JP6628295B2 - 認証されていないユーザのための3gpp進化型パケットコアへのwlanアクセスを介した緊急サービスのサポート - Google Patents
認証されていないユーザのための3gpp進化型パケットコアへのwlanアクセスを介した緊急サービスのサポート Download PDFInfo
- Publication number
- JP6628295B2 JP6628295B2 JP2018541545A JP2018541545A JP6628295B2 JP 6628295 B2 JP6628295 B2 JP 6628295B2 JP 2018541545 A JP2018541545 A JP 2018541545A JP 2018541545 A JP2018541545 A JP 2018541545A JP 6628295 B2 JP6628295 B2 JP 6628295B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- network
- 3gpp
- connection mode
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 56
- 230000005540 biological transmission Effects 0.000 claims 1
- 238000013475 authorization Methods 0.000 description 11
- 230000004044 response Effects 0.000 description 11
- 230000006870 function Effects 0.000 description 7
- 230000011664 signaling Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 3
- 238000013500 data storage Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/90—Services for handling of emergency or hazardous situations, e.g. earthquake and tsunami warning systems [ETWS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/162—Implementing security features at a particular protocol layer at the data link layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0022—Control or signalling for completing the hand-off for data sessions of end-to-end connection for transferring data sessions between adjacent core network technologies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Health & Medical Sciences (AREA)
- Emergency Management (AREA)
- Environmental & Geological Engineering (AREA)
- Public Health (AREA)
- Accounting & Taxation (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、一般にモバイル通信ネットワークおよびシステムに関する。
モバイルネットワークおよびシステムの説明は、特に、たとえば3GPP(第3世代パートナーシッププロジェクト)などの標準化団体によって発行された技術仕様書などの文献に見出され得る。
3GPPモバイルシステムの一例は、EPS(進化型パケットシステム)である。EPSネットワークは、(E−UTRANなどの)3GPPアクセスによって、あるいは(信頼されたまたは信頼されていないWLANなどの)信頼されたまたは信頼されていない非3GPPアクセスによってアクセスされ得る、EPC(進化型パケットコア)と呼ばれるコアネットワークを含む。EPCへの3GPPアクセスは、特に、E−UTRANアクセスについての3GPP TS 23.401において指定されている。EPCへの非3GPPアクセスは、特に、3GPP TS 23.402において指定されている。EPCへの3GPPおよび非3GPP(信頼されたおよび信頼されていない)アクセスのためのアーキテクチャの一例は、3GPP TS 23.402からとられた図1において想起される。
たとえばEPSなどのシステムでは、UEが、(PDN接続性と呼ばれる)接続性サービスを提供するEPCを介して、(パケットデータネットワークPDNと呼ばれ、一例が事業者のIMSネットワークである)様々な外部ネットワークに接続し得る。認証は、概して、アクセスを付与し、接続性サービスを提供する前に実行される。しかしながら、緊急サービスなどのいくつかのサービスは、認証されていないユーザ装置のためにもサポートされる必要があり得る。本明細書では、認証されていないユーザ装置は、認証されたユーザ識別子なしにユーザ装置を設計するように意味され、たとえば、ユーザ識別子がネットワークに与えられない(たとえばUSIMを含んでいないユーザ装置)か、または、ユーザ識別子(たとえばIMSI)はネットワークによって認証されない。
3GPP TS 23.401
3GPP TS 23.402
3GPP TS 33.402、6.1節
3GPP TS 23.402、16.2節
3GPP TS 33.402、8.2節
RFC 4187[7]
RFC 5448[23]
RFC 5996[30]
3GPP TS 29.273
3GPP TS 24.008
3GPP TS 23.167
3GPP TS 23.003
IETF RFC 4282、2.1節
3GPP TR 23.771
3GPP TS 29.273、付属書類A.2−1
IETF RFC 4072[5]
3GPP TS 29.229[24]
そのようなシステムにおける緊急サービスのサポートを改善する必要がある。特に、現在、認証されていないユーザ装置のための、3GPP EPCへの信頼されたまたは信頼されていないWLANアクセスを介した緊急サービスは、サポートされておらず、そのようなサポートを提供する必要がある。
本発明の実施形態は、特にそのような必要に対処する。
これらおよび他の目的は、一態様では、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために:
− アクセス認証のためのユーザ識別子を与えるようにとの要求に応答して、緊急サービスのための認証されていないアクセスを示す領域部分を有する特定のNAIベース(ネットワークアクセス識別子)ユーザ識別子を与える
ように構成されたユーザ装置UEによって、達成される。
− アクセス認証のためのユーザ識別子を与えるようにとの要求に応答して、緊急サービスのための認証されていないアクセスを示す領域部分を有する特定のNAIベース(ネットワークアクセス識別子)ユーザ識別子を与える
ように構成されたユーザ装置UEによって、達成される。
これらおよび他の目的は、別の態様では、EPCへの信頼されたWLANアクセスのためのTWANエンティティまたはEPCへの信頼されていないWLANアクセスのためのePDGなど、オーセンティケータであって、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために:
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスする特定の3GPP AAAサーバに向かって、緊急サービスのための認証されていないアクセスを示すNAIベース(ネットワークアクセス識別子)ユーザ識別子の領域部分に基づいて、ユーザ装置UEからのメッセージを送る
ように構成されたオーセンティケータによって、達成される。
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスする特定の3GPP AAAサーバに向かって、緊急サービスのための認証されていないアクセスを示すNAIベース(ネットワークアクセス識別子)ユーザ識別子の領域部分に基づいて、ユーザ装置UEからのメッセージを送る
ように構成されたオーセンティケータによって、達成される。
これらおよび他の目的は、別の態様では、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために:
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスし、
− 認証されていないユーザ装置UEにアクセスを付与し、
− 緊急サービスのためのネットワークアクセスを可能にする特定の許可データを前記UEに与える
ように構成された3GPP AAAサーバによって、達成される。
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスし、
− 認証されていないユーザ装置UEにアクセスを付与し、
− 緊急サービスのためのネットワークアクセスを可能にする特定の許可データを前記UEに与える
ように構成された3GPP AAAサーバによって、達成される。
これらおよび他の目的は、別の態様では、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために:
− ユーザ装置のための緊急事態に関連するアクセス認証試みのためにHPLMNにおいて3GPP AAAサーバに交信することが不可能であることを検出すると、ローカルポリシーに基づいて、緊急サービスのための認証されていないアクセスに専用のドメインをサービスするローカルAAAサーバに、アクセス認証要求をリダイレクトする
ように構成された3GPP AAAプロキシによって、達成される。
− ユーザ装置のための緊急事態に関連するアクセス認証試みのためにHPLMNにおいて3GPP AAAサーバに交信することが不可能であることを検出すると、ローカルポリシーに基づいて、緊急サービスのための認証されていないアクセスに専用のドメインをサービスするローカルAAAサーバに、アクセス認証要求をリダイレクトする
ように構成された3GPP AAAプロキシによって、達成される。
これらおよび他の目的は、他の態様では、上述のユーザ装置、オーセンティケータ、3GPP AAAサーバ、3GPP AAAプロキシなど、様々なエンティティのうちの1つまたは複数において実行されるステップを含む様々な方法によって、達成される。
次に、本発明の実施形態による装置および/または方法のいくつかの実施形態について、単に例として、および添付の図面を参照しながら説明する:
略語
AAA 認証許可アカウンティング
AKA 認証およびキー合意
APN アクセスポイント名
AVP 属性値ペア
CK 暗号化キー
DEA ダイアメータ(Diameter)EAP回答
DER ダイアメータEAP要求
EAP 拡張認証プロトコル
EPC 進化型パケットコア
ePDG 進化型パケットデータゲートウェイ
EPS 進化型パケットシステム
E−UTRAN 進化型ユニバーサル地上波無線アクセスネットワーク
HPLMN ホームパブリックランドモバイルネットワーク
HSS ホーム加入者サーバ
IK 完全性キー
IMSI 移動端末識別子
IMEI 移動端末装置識別子
IMS IPマルチメディアサブシステム
LTE ロングタームエボリューション
MCM マルチ接続モード
MK マスタキー
MSK マスタセッションキー
NAI ネットワークアクセス識別子
PDN パケットデータネットワーク
PDN GW PDNゲートウェイ
PLMN パブリックランドモバイルネットワーク
PRF 擬似ランダム関数
SCM 単一接続モード
SIM 加入者識別モジュール
TSCM 透過型単一接続モード
TWAN 信頼されたWLANアクセスネットワーク
UWAN 信頼されていないWLANアクセスネットワーク
UE ユーザ装置
USIM 汎用加入者識別モジュール
WLAN ワイヤレスローカルエリアネットワーク
WLCP WLAN制御プロトコル
AAA 認証許可アカウンティング
AKA 認証およびキー合意
APN アクセスポイント名
AVP 属性値ペア
CK 暗号化キー
DEA ダイアメータ(Diameter)EAP回答
DER ダイアメータEAP要求
EAP 拡張認証プロトコル
EPC 進化型パケットコア
ePDG 進化型パケットデータゲートウェイ
EPS 進化型パケットシステム
E−UTRAN 進化型ユニバーサル地上波無線アクセスネットワーク
HPLMN ホームパブリックランドモバイルネットワーク
HSS ホーム加入者サーバ
IK 完全性キー
IMSI 移動端末識別子
IMEI 移動端末装置識別子
IMS IPマルチメディアサブシステム
LTE ロングタームエボリューション
MCM マルチ接続モード
MK マスタキー
MSK マスタセッションキー
NAI ネットワークアクセス識別子
PDN パケットデータネットワーク
PDN GW PDNゲートウェイ
PLMN パブリックランドモバイルネットワーク
PRF 擬似ランダム関数
SCM 単一接続モード
SIM 加入者識別モジュール
TSCM 透過型単一接続モード
TWAN 信頼されたWLANアクセスネットワーク
UWAN 信頼されていないWLANアクセスネットワーク
UE ユーザ装置
USIM 汎用加入者識別モジュール
WLAN ワイヤレスローカルエリアネットワーク
WLCP WLAN制御プロトコル
技術背景:
− 3GPP TS 33.402の6.1節は、原則として、次のことを規定する:「EPSにおける非3GPPアクセスのためのアクセス認証は、EAP−AKA(RFC 4187[7])またはEAP−AKA’(RFC 5448[23])に基づくものとする」
− 3GPP TS 23.402の16.2節において定義されているように、TWANにアクセスするために、UEは、最初に、EAPを使用することを認証するものとする(「EAP認証プロシージャが、UE、TWANおよび3GPP AAAサーバを伴って開始され、実行される」)。
− 3GPP TS 33.402の8.2節「UE開始型IPsecトンネルのセットアップのための機構」において定義されているように、「RFC 4187[7]において指定されているように、EAP−AKAが、RFC 5996[30]において指定されているように、IKEv2内で、UEを認証するために使用されるものとする」
− 3GPP TS 29.273は、現在、AAAインターフェースを介した、認証されていないUEのための認証および許可プロシージャをサポートしていない。
− 3GPP TS 33.402の6.1節は、原則として、次のことを規定する:「EPSにおける非3GPPアクセスのためのアクセス認証は、EAP−AKA(RFC 4187[7])またはEAP−AKA’(RFC 5448[23])に基づくものとする」
− 3GPP TS 23.402の16.2節において定義されているように、TWANにアクセスするために、UEは、最初に、EAPを使用することを認証するものとする(「EAP認証プロシージャが、UE、TWANおよび3GPP AAAサーバを伴って開始され、実行される」)。
− 3GPP TS 33.402の8.2節「UE開始型IPsecトンネルのセットアップのための機構」において定義されているように、「RFC 4187[7]において指定されているように、EAP−AKAが、RFC 5996[30]において指定されているように、IKEv2内で、UEを認証するために使用されるものとする」
− 3GPP TS 29.273は、現在、AAAインターフェースを介した、認証されていないUEのための認証および許可プロシージャをサポートしていない。
本発明の様々な態様および/または実施形態の説明
いくつかの国では、(PLMNと呼ばれる)モバイルネットワークは、ローカル規制により、認証されていないUEのために(たとえば、USIMを含んでいないモバイルフォン、すなわち、UEのために)、緊急セッションをサポートする必要がある。この特徴は、ネットワークアクセスレイヤとサービスレイヤの両方が、緊急セッションを発する認証されていないUEをサポートすることを暗示する。
いくつかの国では、(PLMNと呼ばれる)モバイルネットワークは、ローカル規制により、認証されていないUEのために(たとえば、USIMを含んでいないモバイルフォン、すなわち、UEのために)、緊急セッションをサポートする必要がある。この特徴は、ネットワークアクセスレイヤとサービスレイヤの両方が、緊急セッションを発する認証されていないUEをサポートすることを暗示する。
3GPPは、以下について、この能力をすでに与えている:
− CS(回線交換)ドメイン、したがって、アクセスレイヤとサービスレイヤの両方について。これは、たとえば、3GPP TS 24.008において定義されている
− IMSドメイン、したがって、IPに依拠するセッションセットアップのサービスレイヤについて。これは、3GPP TS 23.167において定義されている
− EUTRAN(LTE)アクセス、したがって、IPに依拠するセッションセットアップの3GPPアクセスレイヤについて。これは、3GPP TS 23.401において定義されている。
− CS(回線交換)ドメイン、したがって、アクセスレイヤとサービスレイヤの両方について。これは、たとえば、3GPP TS 24.008において定義されている
− IMSドメイン、したがって、IPに依拠するセッションセットアップのサービスレイヤについて。これは、3GPP TS 23.167において定義されている
− EUTRAN(LTE)アクセス、したがって、IPに依拠するセッションセットアップの3GPPアクセスレイヤについて。これは、3GPP TS 23.401において定義されている。
認証されていないUEのための、WLANを介した緊急セッションのサポートが、3GPP仕様書において欠如している。このサポートは、信頼されたアクセス(TWAN)および信頼されていないアクセス(UWAN)のどちらの場合も、3GPP TS 23.402において定義されているEPC(進化型パケットコア)に提供されるべきである。
そのようなサポートを可能にする本発明の様々な態様および/または実施形態について、以下で説明する。
いくつかの実施形態では、緊急セッションを発するためにWLANを介したEPCアクセスをセットアップする必要があるUEについて、それが、それの識別子を与えるようにとの要求を(EAP識別子要求の一部として)オーセンティケータから受信したとき、
− UEはEPCにアクセスするためのクレデンシャルを得ていない(UEはUSIMを得ていない)が、UEは、NAIフォーマットをサポートし、それのIMEI(3GPP TS 23.003において定義されている移動端末装置識別子)と、3GPPネットワーク内の緊急サービスのサポートに専用の特定の領域とに基づいて構築される、特定の識別子を送信する。
− UEが、クレデンシャル(USIM)を得ているが、UEが認証され得ないことを知っているとき、UEは、NAIフォーマットをサポートし、それのIMEIと、3GPPネットワーク内の緊急サービスのサポートに専用の特定の領域とに基づいて構築される、特定の識別子を送信する。
− UEはEPCにアクセスするためのクレデンシャルを得ていない(UEはUSIMを得ていない)が、UEは、NAIフォーマットをサポートし、それのIMEI(3GPP TS 23.003において定義されている移動端末装置識別子)と、3GPPネットワーク内の緊急サービスのサポートに専用の特定の領域とに基づいて構築される、特定の識別子を送信する。
− UEが、クレデンシャル(USIM)を得ているが、UEが認証され得ないことを知っているとき、UEは、NAIフォーマットをサポートし、それのIMEIと、3GPPネットワーク内の緊急サービスのサポートに専用の特定の領域とに基づいて構築される、特定の識別子を送信する。
いくつかの実施形態では、このアクセス要求は、NAIの領域に基づいて、特定の3GPP AAAサーバ機能に送られ、特定の3GPP AAAサーバ機能は、アクセスを常に付与するが、緊急サービスのためにのみネットワークアクセスを可能にする特定の許可データを与える。
UEが通常認証されるべきであるいくつかの動作の場合には、ただし、3GPP AAAプロキシが、緊急要求を発するUEの適切な認証を妨げる何らかのネットワーク問題を発見した場合には、3GPP AAAプロキシは、(ローカルポリシーに基づいて)同じ特定の3GPP AAAサーバ機能に向けてUEの認証/許可に関係するAAAシグナリングの進路を変え得る。これは、アクセスが通常通りに認証され得ない(たとえば、いかなる通常のEAP−AKA/EAP−AKA’認証も行われ得ない)ことを告げる特定の指示が、特定の3GPP AAAサーバによってUEに返送されることを必要とする。
いくつかの実施形態では、認証およびMSK決定に関係する例外は別として、EAP−AKA/EAP−AKA’およびAAAプロシージャは、通常通りに認証されたUEの場合のように行われる。EAPプロシージャは、UEおよびネットワークに、無線インターフェース上でセキュリティのために使用されるべきMSK(マスタセッションキー)を与える。MSKは、UEが実際に認証される場合とは異なる手法に基づいて決定される。
本発明の実施形態の利益は以下を含む:
− 緊急サービスへのアクセスのために、通常のUEアクセスの原理(および、特にTWANアクセスの場合、UEとネットワークとの間の情報の交換(*))を再利用する:EAPプロシージャの使用、セキュリティ材料をさらに与える3GPP AAAサーバによって付与されるEPCネットワークにアクセスするためのUE許可
・ (*)たとえば、認証なしの緊急サービスへのアクセスのための特定のEAPプロシージャは、UEおよびネットワークが、通常の認証の場合にそれらがEAP−AKA’を介して交換するパラメータを交換することを可能にするように実行される
− それは、ローミングの場合、HPLMNによるサポートを必要としない。
− 緊急サービスへのアクセスのために、通常のUEアクセスの原理(および、特にTWANアクセスの場合、UEとネットワークとの間の情報の交換(*))を再利用する:EAPプロシージャの使用、セキュリティ材料をさらに与える3GPP AAAサーバによって付与されるEPCネットワークにアクセスするためのUE許可
・ (*)たとえば、認証なしの緊急サービスへのアクセスのための特定のEAPプロシージャは、UEおよびネットワークが、通常の認証の場合にそれらがEAP−AKA’を介して交換するパラメータを交換することを可能にするように実行される
− それは、ローミングの場合、HPLMNによるサポートを必要としない。
いくつかの実施形態では、UEが緊急サービスを発する必要があり、ネットワークにアクセスするためのクレデンシャルを有しない(たとえば、UEが(U)SIMを得ていない)とき、UEは、オーセンティケータ(*)からのEAP−識別子要求への回答として、以下の性質の一部または全部を有する特定の識別子を送信する:
− NAIフォーマットをサポートする:識別子は、NAIの形態をとるものとし、IETF RFC 4282の2.1節において指定されているように形式username@realmを有するものとする
− IMEIをNAIのユーザ名部分中に有する
− 3GPP端末のための、認証されていない緊急サービスのサポートを示す特定の値をNAIの領域部分中に有する。この領域部分、(本発明の実施形態の一部)は、規格によって、たとえば3GPPによって、定義されるべきである。
(*)オーセンティケータは、(3GPP)AAAサーバから来る許可情報に基づいてネットワークへのUEアクセスを制御するエンティティである。TWAN(EPCへの信頼されたWLANアクセス)の場合、オーセンティケータはTWAN中にあり、UWAN(EPCへの信頼されていないWLANアクセス)の場合、それはePDGである。
− NAIフォーマットをサポートする:識別子は、NAIの形態をとるものとし、IETF RFC 4282の2.1節において指定されているように形式username@realmを有するものとする
− IMEIをNAIのユーザ名部分中に有する
− 3GPP端末のための、認証されていない緊急サービスのサポートを示す特定の値をNAIの領域部分中に有する。この領域部分、(本発明の実施形態の一部)は、規格によって、たとえば3GPPによって、定義されるべきである。
(*)オーセンティケータは、(3GPP)AAAサーバから来る許可情報に基づいてネットワークへのUEアクセスを制御するエンティティである。TWAN(EPCへの信頼されたWLANアクセス)の場合、オーセンティケータはTWAN中にあり、UWAN(EPCへの信頼されていないWLANアクセス)の場合、それはePDGである。
いくつかの実施形態では、オーセンティケータは、次いで、NAIの領域部分を担当するAAAサーバに交信することを試みる。いくつかの実施形態では、この領域部分が緊急サービスのサポートに専用であるとき、オーセンティケータは専用AAAサーバに交信する。この専用AAAサーバは、オーセンティケータと同じ国にあるものとする。UEがUSIMを得ていないとき、「HPLMN」中のどのAAAサーバエンティティも交信され得ず、したがって、ローカルネットワークはUEのためのHPLMNを決定することができない。
いくつかの実施形態では、信頼されたWLANアクセスの場合、以下のステップの一部または全部が行われ得る
− 認証なしの緊急サービスへのアクセスのための特定のEAPプロシージャは、UEおよびネットワークが、通常の認証の場合にそれらがEAP−AKA’を介して交換するパラメータ(たとえば、SCMにおけるIPバージョンについてのUEからの要求、MCMにおけるTWAN制御プレーンアドレス)を交換することを可能にするように実行される。このプロシージャは、EAP−AKA’を再利用するが、UEとネットワークとの間の相互認証がないとき、それを変更する。それにもかかわらず、それは、UEとネットワークとの間でTWANモード(SCM/MCM)をネゴシエートするために、ならびに、SCMにおけるPDN接続のパラメータをネゴシエートするために、これまでEAP−AKA’において定義されたすべての機構を再利用する
− 単一接続モード(SCM)とマルチプル接続モード(MCM)の両方では、UEはまた、EAP−AKA’における緊急PDN接続の確立をAAAサーバに示すための新しい緊急指示情報を含める(この指示は、通常の認証の場合、3GPP TR 23.771においてすでに述べられているが、EAP−AKA’の一部としてそれを含めることは、本発明の実施形態の一部である)。マルチプル接続モード(MCM)における信頼されたWLANアクセスの場合、UEはまた、ネットワークへのアタッチメントに続くWLCP PDN接続要求の一部として(3GPP TR 23.771においてすでに述べられている)新しい緊急指示を含める。
− 認証なしの緊急サービスへのアクセスのための特定のEAPプロシージャは、UEおよびネットワークが、通常の認証の場合にそれらがEAP−AKA’を介して交換するパラメータ(たとえば、SCMにおけるIPバージョンについてのUEからの要求、MCMにおけるTWAN制御プレーンアドレス)を交換することを可能にするように実行される。このプロシージャは、EAP−AKA’を再利用するが、UEとネットワークとの間の相互認証がないとき、それを変更する。それにもかかわらず、それは、UEとネットワークとの間でTWANモード(SCM/MCM)をネゴシエートするために、ならびに、SCMにおけるPDN接続のパラメータをネゴシエートするために、これまでEAP−AKA’において定義されたすべての機構を再利用する
− 単一接続モード(SCM)とマルチプル接続モード(MCM)の両方では、UEはまた、EAP−AKA’における緊急PDN接続の確立をAAAサーバに示すための新しい緊急指示情報を含める(この指示は、通常の認証の場合、3GPP TR 23.771においてすでに述べられているが、EAP−AKA’の一部としてそれを含めることは、本発明の実施形態の一部である)。マルチプル接続モード(MCM)における信頼されたWLANアクセスの場合、UEはまた、ネットワークへのアタッチメントに続くWLCP PDN接続要求の一部として(3GPP TR 23.771においてすでに述べられている)新しい緊急指示を含める。
いくつかの実施形態では、ローカル規制が、認証されていない緊急セッションを可能にするとき、緊急サービスのための専用領域をサービスするAAAサーバは、アクセス要求を常に受け付け(認証ベクトルなどのセキュリティ材料はHSSから取り出されず、サブスクリプションデータはHSSからダウンロードされず)、UEが緊急セッションを進めることを可能にするが、いかなる他のサービスをも禁止する許可データを与える:AAAサーバは、(たとえば、サブスクライブされたAPNに対する、UEがEPCへの非3GPPアクセスを要求し得るロケーションに対する、ユーザが非3GPPアクセスサブスクリプションを有するかどうかに対するなど)通例の許可検査を迂回する。信頼されたWLANアクセスの場合、AAAサーバは、STa上で、これが緊急アタッチであること、およびしたがって、(3GPP TR 23.771においてすでに述べられている)以下のことをTWANに示すための、TWANへの(3GPP TR 23.771においてすでに述べられている)新しい緊急指示AVPを含める:
・ SCMでは、TWAGは、緊急サービスのためのPDN接続を確立するものとする
・ MCMでは、TWAGは、緊急サービスのためのPDN接続についての、UEからのWLCP要求のみを受け付けるものとする。
・ SCMでは、TWAGは、緊急サービスのためのPDN接続を確立するものとする
・ MCMでは、TWAGは、緊急サービスのためのPDN接続についての、UEからのWLCP要求のみを受け付けるものとする。
どちらの場合(SCM/MCM)も、TWAGは、確立すべきPDN接続のパラメータを決定するために、(UEによって与えられる接続性パラメータを使用する代わりに)それのローカルに構成された緊急構成データを使用する。
いくつかの実施形態では、専用AAAサーバがオーセンティケータと同じ国にあるとき、ローミングの場合、現地国のエンティティのみが、認証されていないUEのための緊急サービスをサポートすることに関与する。これは、認証されていないUEのための緊急セッションが可能にされないかまたは配備されない国からのローマーが、これが可能にされる国において、認証されていない緊急セッションを発することを可能にする。
一実装オプションとして、この専用AAAサーバは、オーセンティケータ(ePDG)と並置され得るか、または、オーセンティケータ(TWAP)によって交信されるAAAプロキシ中にあり得る。
本発明のいくつかの実施形態では、WLANを介したEPCへの信頼された/信頼されていないアクセスのための既存のプロシージャの使用は、UE、TWANおよびePDGレベルにおいて可能にされる、すなわち、
− EAP、すなわち、ネットワークへのUEアクセスを開始するための、および、UEが認証されていない緊急サービスのためのネットワークアクセスを進め得ることをネットワークがUEに告げるためのプロシージャの使用。そのようなアクセスが可能にされないとき、ローカルAAAエンティティはEAP要求を拒否すべきであり、SCMにおいてUEからTWANにパラメータを転送するためにEAPが使用され、MCMにおいてUEにTWANパラメータ(たとえば、TWAN制御プレーンIPv4またはIPv6アドレス)を伝達するためにEAPが使用されるので、EAPを再利用することは、(SCMおよびMCMにおいて)信頼されたWLANアクセスに介した認証されていないUEのために緊急PDN接続をサポートするために重要である。
− (信頼されたWLANアクセスと信頼されていないWLANアクセスの両方のために)ネットワークへのUEアクセスを制御するAAAサーバの使用。
− EAP、すなわち、ネットワークへのUEアクセスを開始するための、および、UEが認証されていない緊急サービスのためのネットワークアクセスを進め得ることをネットワークがUEに告げるためのプロシージャの使用。そのようなアクセスが可能にされないとき、ローカルAAAエンティティはEAP要求を拒否すべきであり、SCMにおいてUEからTWANにパラメータを転送するためにEAPが使用され、MCMにおいてUEにTWANパラメータ(たとえば、TWAN制御プレーンIPv4またはIPv6アドレス)を伝達するためにEAPが使用されるので、EAPを再利用することは、(SCMおよびMCMにおいて)信頼されたWLANアクセスに介した認証されていないUEのために緊急PDN接続をサポートするために重要である。
− (信頼されたWLANアクセスと信頼されていないWLANアクセスの両方のために)ネットワークへのUEアクセスを制御するAAAサーバの使用。
いくつかの実施形態では、EAPが(WLANを介してEPCにアクセスするための既存のプロシージャの一部として)使用されるとき、オーセンティケータ(TWAN/ePDG)およびUEは、EAPプロシージャが、無線インターフェース上でセキュリティのために使用されるべきMSK(マスタセッションキー)を出力することを予想する(このMSKは、3GPP AAAサーバにおいて、およびUE中で算出される)。
いくつかの実施形態では、同様の原理が再利用される:
− 信頼されたWLANアクセスの場合、UEおよび3GPP AAAサーバは、NAIのユーザ部分を入力として使用する鍵導出関数に基づいてMSKをローカルに決定し、(IETF RFC 5448に従う)通常の3GPPアクセスについてのMSK決定との差は、EPCへの認証されていないアクセスの場合、認証がないので、AKAベース認証プロセスの暗号化キーCK/IK出力が使用され得ないということである。このMSKは、3GPP AAAサーバからTWAPに、次いでWLAN ANに受け渡され、変更されていないWLAN ANの使用を可能にする
・ IETF RFC 5448では、鍵導出は次のように行われる:「MKは、以下のように導出され、使用される:
MK=PRF’(IK’|CK’,“EAP−AKA’”|識別子)(PRF=RFC 5448において定義されている擬似ランダム関数)
K_encr=MK[0..127]、
K_aut=MK[128..383]、
K_re=MK[384..639]、
MSK=MK[640..1151]」
・ いくつかの実施形態では、MKは、以下のように導出され、使用される:
MK=PRF’(“EAP−AKA’”|識別子)、識別子はUEがEAPを介して与えたものに基づく:IMEI(SIMレス(SIMless)アクセス)またはIMSI(UEはSIMをもつがそれを認証する可能性がない)
K_encr、K_aut、K_reおよびMSKは、IETF RFC 5448において説明されるようにMKに基づいて決定される。
− 信頼されたWLANアクセスの場合、UEおよび3GPP AAAサーバは、NAIのユーザ部分を入力として使用する鍵導出関数に基づいてMSKをローカルに決定し、(IETF RFC 5448に従う)通常の3GPPアクセスについてのMSK決定との差は、EPCへの認証されていないアクセスの場合、認証がないので、AKAベース認証プロセスの暗号化キーCK/IK出力が使用され得ないということである。このMSKは、3GPP AAAサーバからTWAPに、次いでWLAN ANに受け渡され、変更されていないWLAN ANの使用を可能にする
・ IETF RFC 5448では、鍵導出は次のように行われる:「MKは、以下のように導出され、使用される:
MK=PRF’(IK’|CK’,“EAP−AKA’”|識別子)(PRF=RFC 5448において定義されている擬似ランダム関数)
K_encr=MK[0..127]、
K_aut=MK[128..383]、
K_re=MK[384..639]、
MSK=MK[640..1151]」
・ いくつかの実施形態では、MKは、以下のように導出され、使用される:
MK=PRF’(“EAP−AKA’”|識別子)、識別子はUEがEAPを介して与えたものに基づく:IMEI(SIMレス(SIMless)アクセス)またはIMSI(UEはSIMをもつがそれを認証する可能性がない)
K_encr、K_aut、K_reおよびMSKは、IETF RFC 5448において説明されるようにMKに基づいて決定される。
いくつかの実施形態では、オーセンティケータの現地国において可能にされるとき、UEがUSIMを得ているが認証され得ない(ローカルネットワークがUEのHPLMNとのAAA関係(直接的または間接的)を有せず、したがって、UEの認証を進めることができない)場合をサポートするために、上記で説明された同じ機構が適用される。
この場合、UEは、特定の領域をもつNAIを作成するが、オーセンティケータによって開始されるEAP−識別子の回答として与えられるNAIのユーザ名部分においてIMSIを与える(IMEIを与えない)。
これは、緊急セッションをセットアップする必要があるが、UEがそれのHPLMNによって認証されることを可能にする任意の好適なWLANネットワークを見つけない、USIMをもつUEに対応する。
プロシージャの残りは、IMEIの代わりにIMSIがユーザ識別子として使用される(たとえば、MK、したがってMSKを導出するためにIMEIの代わりにIMSIが使用される)ことは別として、SIMレスUEのためのプロシージャよりも同じである。この場合、UEは、MSKがEAP−AKA’認証の出力に基づいて決定されないように、UEが認証され得ないということを事前に知っている。
いくつかの実施形態では、AAAプロキシ(たとえば、ローミングの場合、3GPP AAAプロキシ)が、HPLMN中の3GPP AAAサーバに交信することが不可能であり、アクセス試みが緊急事態に関連することを検出した場合、ローカルポリシーに基づいて、それは、3GPP端末のための、認証されていない緊急サービスをサポートするために使用されるものよりも同じ領域をサービスするローカルAAAサーバに、アクセス要求(EAP−AKAシグナリング)をリダイレクトし得る。
これは、たとえば、通常の3GPPサーバが非稼働中であるか、輻輳しているか、範囲外であるためであり得る。
ローカルポリシーは、ローカル規制が認証されていない緊急セッションを受け付けるかどうかに依存する。
これは、たとえば、通常の3GPPサーバが非稼働中であるか、輻輳しているか、範囲外であるためであり得る。
ローカルポリシーは、ローカル規制が認証されていない緊急セッションを受け付けるかどうかに依存する。
その場合同じプロシージャが適用される:UEは、実際は認証されず、MSKは、AKAベース認証プロセスの暗号化キーCK/IK出力ではなく、文字の固定シーケンスおよびユーザ識別子(IMSI)を考慮に入れる擬似ランダム関数に基づいて決定され、さらに、UEは、その場合、ネットワークを認証することを試みないものとする。
いくつかの実施形態では、UEが、緊急サービスのためのそれのEPCアクセスのために認証が行われないことを事前に知ることができないので、ネットワークは、これが、UEに送信されたEAP−AKA’シグナリングにおける、およびオーセンティケータに送信されたAAAシグナリングにおける認証がない、限定されたサービスのためのアクセスであることを示す。
プロシージャをよりロバストおよびより一般的にするために、この指示はまた、上記で説明された2つの他の場合において、UE(およびオーセンティケータ)に与えられ得る
− 緊急サービスのためのSIMレスアクセス(UEがそれのIMEIを識別子として与える)
− UEがそれのIMSIを与える(UEがSIMを有する)が、UEが認証され得ないことを知っている。
− 緊急サービスのためのSIMレスアクセス(UEがそれのIMEIを識別子として与える)
− UEがそれのIMSIを与える(UEがSIMを有する)が、UEが認証され得ないことを知っている。
SCMのためのTWAN認証および許可プロシージャ−認証されていない緊急セッションのためのコールフローの一例が、図2に示されている。
以下のステップが与えられ得、ここで、以下の説明において、3GPP TS 29.273の付属書類A.2−1のコールフローとの差に下線が引かれている。
1.IEEE802.11[40]に基づく特定のプロシージャを使用してUEとTWANとの間の接続が確立される。
2.TWANは、UEにEAP要求/識別子を送信する。
3.UEは、TWANに、ユーザ部分中のIMEI(SIMレスUE)(または、認証され得ないUEの場合、IMSI)と緊急サービスのための認証されていないアクセスのための特定のドメインとを含んでいるEAP応答/識別子メッセージを送信する。
4.TWANは、(緊急サービスのための認証されていないアクセスのための特定のドメインをサービスする)3GPP AAAサーバに、UEから受信されたEAPペイロードをフォワーディングし、また、サポートされるTWAN接続モードをDERメッセージ中で示す。
5.無効
6.3GPP AAAサーバは、EAP要求/AKA’チャレンジを送信し、それにおいて、3GPP AAAサーバは、ネットワークによってサポートされるTWAN接続モード(たとえば、TSCM、SCMおよびMCM)と、これが、認証なしの、限定されたサービスのためのアクセスであることとをUEに示す。DEAメッセージ中の結果コードAVPは、DIAMETER_MULTI_ROUND_AUTHに設定される。TWAN−S2a接続性インジケータは、DEAフラグAVPにおいて設定されない。DEAメッセージは、これが、認証なしの、限定されたサービスのためのアクセスであるという指示をも含んでいる
7.TWANは、UEにEAPペイロードをフォワーディングする。UEは、ネットワークを認証することを試みないものとする
8.UEは、EAP応答/AKA’チャレンジを送信し、それにおいて、UEは、要求された接続モードを示す。UEがSCMを要求する場合、UEはまた、セッションのための要求されたパラメータ:緊急サービスのインジケータ、PDNタイプ(その場合、APNは与えられない)、PDNタイプ(IPv4またはIPv6)、初期アタッチ/ハンドオーバ指示および/またはPCO、を示す。
9.TWANは、3GPP AAAサーバにEAPペイロードをフォワーディングする。
10.無効。
11.この場合(緊急)、3GPP AAAサーバは、UEが送信済みであり得るいかなるチャレンジレスポンスも受け付け、UEによって要求されたモード(ここではSCM)を許可するものとする。3GPP AAAサーバは、セッションのためのUE要求パラメータ:緊急サービスのインジケータ、PDNタイプ、初期アタッチ/ハンドオーバ指示および/またはPCO、をDIAMETER_MULTI_ROUND_AUTHに設定された結果コードAVPを有するDEAメッセージ中に含める。3GPP AAAサーバはまた、S2a接続性の確立を進めることをTWANに要求するために、DEAフラグAVPにおいてTWAN−S2a接続性インジケータを設定する。
12.TWANは、PDN GWに、S2aトンネル確立を開始するようにとのセッション作成要求/PBUメッセージを送信する。TWAGは、UE識別子としてIMEI(SIMレスUE)(または、認証され得ないUEの場合、IMSI)を与える。[GTP−cインターフェースを介してIMEIをPGWに与えることは、SIMレスUEのための3GPPアクセスを介した緊急呼セットアップの場合に使用される]
13.PDN GWは、3GPP AAAサーバに、そのPDN GW識別子およびUEのPDN接続に対応するAPNを、ならびに、永続的ユーザ識別子(PGWがePDG/TWAGからIMSIを受信していないとき、ユーザ部分中のIMEIをもつNAI)を通知する(S6b許可要求)。AAAサーバは、いかなるさらなる検査もなしに緊急PDN接続についての要求を許可する。3GPP AAAサーバは、PGWアドレスでHSSを更新しない。
14.PDN GWは、UEのために割り振られた(1つまたは複数の)IPアドレスを含むセッション作成応答/PBAメッセージをTWANに返す。
15.TWANは、3GPP AAAサーバへのDERメッセージにおいて、PDN GWから受信された、与えられた接続性パラメータを含め、DERフラグAVPにおいてTWAN−S2a接続性インジケータを設定する。3GPP AAAサーバは、DERメッセージ中に含まれるEAPペイロードを無視する。
16.3GPP AAAサーバは、AKA’通知中にPDN接続性パラメータを含め、TWANにDEAメッセージを送信する。DEAメッセージ中の結果コードAVPは、DIAMETER_MULTI_ROUND_AUTHに設定される。TWAN−S2a接続性インジケータは、DEAフラグAVPにおいて設定されない。
17.TWANは、UEにEAPペイロードをフォワーディングする。
18−19.UEは、EAP−RSP/AKA’通知メッセージで応答し、TWANは、EAP−RSP/AKA’通知メッセージを3GPP AAAサーバにフォワーディングする。
20−21.3GPP AAAサーバはEAP成功メッセージを送信し、TWANは、それをUEにフォワーディングする。DEAメッセージ中の結果コードAVPは、DIAMETER_SUCESSに設定される。
いくつかの実施形態では、一例としてEPCへのTWANアクセスを考慮すると、AAAサーバは、認証されていないUE(たとえば、SIMレスUE)の場合、認証および許可回答メッセージ(3GPP TS 29.273参照)中でTWANに以下の情報を与え得る(これは例示的な例にすぎない):
本発明の様々な態様は、(それに限定はされないが)以下の態様を含む。
一態様は、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために構成されたユーザ装置UEである。
様々な組合せに従って、単独でまたは組み合わせて用いられ得る、(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
一実施形態では、前記ユーザ装置は:
− アクセス認証のためのユーザ識別子を与えるようにとの要求に応答して、緊急サービスのための認証されていないアクセスを示す領域部分を有する特定のネットワークアクセス識別子NAIベースユーザ識別子を与える
ように構成される。
− アクセス認証のためのユーザ識別子を与えるようにとの要求に応答して、緊急サービスのための認証されていないアクセスを示す領域部分を有する特定のネットワークアクセス識別子NAIベースユーザ識別子を与える
ように構成される。
一実施形態では、前記ユーザ装置は:
− 以下の場合、すなわち:
・ UEがIMSIを有しない場合、
・ UEが、IMSIを有するが、UEが認証され得ないことを知っている場合
のうちの1つにおいて前記特定のユーザ識別子を与える
ように構成される。
− 以下の場合、すなわち:
・ UEがIMSIを有しない場合、
・ UEが、IMSIを有するが、UEが認証され得ないことを知っている場合
のうちの1つにおいて前記特定のユーザ識別子を与える
ように構成される。
一実施形態では、前記ユーザ装置は:
− UEがIMSIを有しない場合、IMEIに基づくユーザ名部分を有する特定のNAIベースユーザ識別子を与える
ように構成される。
− UEがIMSIを有しない場合、IMEIに基づくユーザ名部分を有する特定のNAIベースユーザ識別子を与える
ように構成される。
一実施形態では、前記ユーザ装置は:
− 認証なしの緊急サービスのための、WLANを介したEPCへのアクセスのために特定のEAPベースプロシージャを実行するように構成され、前記特定のEAPベースプロシージャが、通常のEAPベースプロシージャに関して:
・ ネットワークを認証することを試みないことと、
・ 暗号化キーCKおよび完全性キーIKの使用なしにマスタキーMKを導出することと
のうちの少なくとも1つを含む。
− 認証なしの緊急サービスのための、WLANを介したEPCへのアクセスのために特定のEAPベースプロシージャを実行するように構成され、前記特定のEAPベースプロシージャが、通常のEAPベースプロシージャに関して:
・ ネットワークを認証することを試みないことと、
・ 暗号化キーCKおよび完全性キーIKの使用なしにマスタキーMKを導出することと
のうちの少なくとも1つを含む。
別の態様は、EPCへの信頼されたWLANアクセスのためのTWANエンティティまたはEPCへの信頼されていないWLANアクセスのためのePDGなど、オーセンティケータであって、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために構成されたオーセンティケータである。
様々な組合せに従って、単独でまたは組み合わせて用いられ得る、(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
一実施形態では、前記オーセンティケータは:
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスする特定の3GPP AAAサーバに向かって、緊急サービスのための認証されていないアクセスを示すネットワークアクセス識別子NAIベースユーザ識別子の領域部分に基づいて、ユーザ装置UEからのメッセージを送る
ように構成される。
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスする特定の3GPP AAAサーバに向かって、緊急サービスのための認証されていないアクセスを示すネットワークアクセス識別子NAIベースユーザ識別子の領域部分に基づいて、ユーザ装置UEからのメッセージを送る
ように構成される。
一実施形態では、前記オーセンティケータは:
− アクセスが、限定されたサービスのためのものであるという、3GPP AAAサーバからの指示を処理し、
− ユーザ識別子が認証されていないという、3GPP AAAサーバからの指示を処理し、この情報をPDN GWに中継する
ように構成される。
− アクセスが、限定されたサービスのためのものであるという、3GPP AAAサーバからの指示を処理し、
− ユーザ識別子が認証されていないという、3GPP AAAサーバからの指示を処理し、この情報をPDN GWに中継する
ように構成される。
別の態様は、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために構成された3GPP AAAサーバである。
様々な組合せに従って、単独でまたは組み合わせて用いられ得る、(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
一実施形態では、前記3GPP AAAサーバは:
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスし、
− 認証されていないユーザ装置UEにアクセスを付与し、
− 緊急サービスのためのネットワークアクセスを可能にする特定の許可データを前記UEに与える
ように構成される。
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスし、
− 認証されていないユーザ装置UEにアクセスを付与し、
− 緊急サービスのためのネットワークアクセスを可能にする特定の許可データを前記UEに与える
ように構成される。
一実施形態では、前記3GPP AAAサーバは:
− 認証なしの緊急サービスへのアクセスのために特定のEAPベースプロシージャを実行するように構成され、前記特定のEAPベースプロシージャが、通常のEAPベースプロシージャに関して:
− UEのための認証ベクトルをHSSから取り出さないことと、
− アクセスが、認証なしの限定されたサービスのためのものであるという指示を与えることと、
− UEによって送信されたいかなるチャレンジレスポンスも受け付けることと、
− HSSからユーザのサブスクリプション情報をダウンロードしないことと、
− いかなるさらなる検査もなしに緊急PDN接続についての要求を受け付けることと、
− 暗号化キーCKおよび完全性キーIKの使用なしにマスタキーMKを導出することと
のうちの少なくとも1つを含み、
− 一方、TWANアクセスの場合など、通常の3GPP AAAサーバの特徴のうちのいくつか、EAPベースシグナリングとオーセンティケータとの間での、情報の中継またはアクセスのモードのネゴシエーションをサポートする。
− 認証なしの緊急サービスへのアクセスのために特定のEAPベースプロシージャを実行するように構成され、前記特定のEAPベースプロシージャが、通常のEAPベースプロシージャに関して:
− UEのための認証ベクトルをHSSから取り出さないことと、
− アクセスが、認証なしの限定されたサービスのためのものであるという指示を与えることと、
− UEによって送信されたいかなるチャレンジレスポンスも受け付けることと、
− HSSからユーザのサブスクリプション情報をダウンロードしないことと、
− いかなるさらなる検査もなしに緊急PDN接続についての要求を受け付けることと、
− 暗号化キーCKおよび完全性キーIKの使用なしにマスタキーMKを導出することと
のうちの少なくとも1つを含み、
− 一方、TWANアクセスの場合など、通常の3GPP AAAサーバの特徴のうちのいくつか、EAPベースシグナリングとオーセンティケータとの間での、情報の中継またはアクセスのモードのネゴシエーションをサポートする。
一実施形態では、前記3GPP AAAサーバは:
− 前記アクセスが認証なしの限定されたサービスのためのアクセスであることを、UEに、および前記アクセス認証に関与するオーセンティケータにシグナリングする
ように構成される。
− 前記アクセスが認証なしの限定されたサービスのためのアクセスであることを、UEに、および前記アクセス認証に関与するオーセンティケータにシグナリングする
ように構成される。
一実施形態では、前記3GPP AAAサーバは:
− 前記アクセス認証に関与するオーセンティケータに、オーセンティケータに向かうシグナリングにおいて与えるIMSIが認証されていないことをシグナリングする
ように構成される。
− 前記アクセス認証に関与するオーセンティケータに、オーセンティケータに向かうシグナリングにおいて与えるIMSIが認証されていないことをシグナリングする
ように構成される。
別の態様は、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのために構成された3GPP AAAプロキシである。
(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
一実施形態では、前記3GPP AAAプロキシは:
− ユーザ装置のための緊急事態に関連するアクセス認証試みのためにHPLMNにおいて3GPP AAAサーバに交信することが不可能であることを検出すると、ローカルポリシーに基づいて、緊急サービスのための認証されていないアクセスに専用のドメインをサービスするローカルAAAサーバに、アクセス認証要求をリダイレクトする
ように構成される。
− ユーザ装置のための緊急事態に関連するアクセス認証試みのためにHPLMNにおいて3GPP AAAサーバに交信することが不可能であることを検出すると、ローカルポリシーに基づいて、緊急サービスのための認証されていないアクセスに専用のドメインをサービスするローカルAAAサーバに、アクセス認証要求をリダイレクトする
ように構成される。
別の態様は、認証されていないユーザ装置のための、3GPP進化型パケットコアEPCへのWLANアクセスを介した緊急サービスのサポートのための方法である。
様々な組合せに従って、単独でまたは組み合わせて用いられ得る、(それに限定はされないが)以下の実施形態を含む様々な実施形態が与えられ得る。
一実施形態では、前記方法は:
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスする特定の3GPP AAAサーバが、認証されていないユーザ装置にアクセスを付与し、緊急サービスのためのネットワークアクセスを可能にする特定の許可データを前記UEに与えるステップ
を含む。
− 緊急サービスのための認証されていないアクセスに専用のドメインをサービスする特定の3GPP AAAサーバが、認証されていないユーザ装置にアクセスを付与し、緊急サービスのためのネットワークアクセスを可能にする特定の許可データを前記UEに与えるステップ
を含む。
一実施形態では、前記方法は:
− アクセス認証のためのユーザ識別子を与えるようにとの要求に応答して、ユーザ装置UEが、緊急サービスのための認証されていないアクセスを示す領域部分を有する特定のNAIベースユーザ識別子を与えるステップ
を含む。
− アクセス認証のためのユーザ識別子を与えるようにとの要求に応答して、ユーザ装置UEが、緊急サービスのための認証されていないアクセスを示す領域部分を有する特定のNAIベースユーザ識別子を与えるステップ
を含む。
一実施形態では、前記方法は:
− 信頼されたWLANアクセスのためのTWANエンティティ、または信頼されていないWLANアクセスのためのePDGなど、オーセンティケータが、前記特定の3GPP AAAサーバに向かって、前記領域部分に基づいて、前記UEからのメッセージを送るステップ
を含む。
− 信頼されたWLANアクセスのためのTWANエンティティ、または信頼されていないWLANアクセスのためのePDGなど、オーセンティケータが、前記特定の3GPP AAAサーバに向かって、前記領域部分に基づいて、前記UEからのメッセージを送るステップ
を含む。
一実施形態では、前記方法は:
− ユーザ装置のための緊急事態に関連するアクセス認証試みのためにHPLMNにおいて3GPP AAAサーバに交信することが不可能であることを検出すると、3GPP AAAプロキシが、ローカルポリシーに基づいて、緊急サービスのための認証されていないアクセスに専用のドメインをサービスするローカルAAAサーバに、前記UEのためのアクセス認証要求をリダイレクトするステップ
を含む。
− ユーザ装置のための緊急事態に関連するアクセス認証試みのためにHPLMNにおいて3GPP AAAサーバに交信することが不可能であることを検出すると、3GPP AAAプロキシが、ローカルポリシーに基づいて、緊急サービスのための認証されていないアクセスに専用のドメインをサービスするローカルAAAサーバに、前記UEのためのアクセス認証要求をリダイレクトするステップ
を含む。
一実施形態では、前記方法は:
− 3GPP AAAサーバが、アクセスが、認証されていないデバイスのための緊急サービスへのアクセスに対応し、したがって、緊急サービスのサポートに制限されることを、UEに、およびオーセンティケータに示すステップ
を含む。
− 3GPP AAAサーバが、アクセスが、認証されていないデバイスのための緊急サービスへのアクセスに対応し、したがって、緊急サービスのサポートに制限されることを、UEに、およびオーセンティケータに示すステップ
を含む。
様々な他の実施形態が、ユーザ装置、オーセンティケータ、3GPP AAAサーバ、3GPP AAAプロキシのための上述の様々な実施形態に従って、前記方法のために与えられ得る。
様々な上記で説明した方法のステップが、プログラムされたコンピュータによって実行され得ることを、当業者は容易に認識されよう。本明細書では、いくつかの実施形態はまた、機械またはコンピュータ可読であり、命令の機械実行可能プログラムまたはコンピュータ実行可能プログラムを符号化するプログラム記憶デバイス、たとえば、デジタルデータ記憶媒体をカバーするものであり、前記命令は、前記上記で説明した方法のステップの一部または全部を実行する。プログラム記憶デバイスは、たとえば、デジタルメモリ、磁気ディスクおよび磁気テープなどの磁気記憶媒体、ハードドライブ、または光学的に読取り可能なデジタルデータ記憶媒体であり得る。実施形態はまた、上記で説明した方法の前記ステップを実行するようにプログラムされたコンピュータをカバーするものである。
Claims (15)
- 装置であって、
プロセッサと、
実行されたとき、装置に、
・ 進化型パケットコアネットワークへの信頼されたワイヤレスローカルエリアネットワークアクセスを介した緊急サービスへのユーザ装置によるアクセスのために、前記ユーザ装置とネットワークとの間の相互認証がない、特定の拡張認証プロトコルベースプロシージャを実行することと、
・ 前記プロシージャ内で、前記アクセスが認証なしの限定されたサービスのためのものであるという指示を前記ネットワークから受信することと
を行わせる命令を記憶するメモリと
を備える、装置。 - 実行されたとき、前記命令が、装置に、
・ 移動端末識別子ベースユーザ識別子が前記ネットワークによって認証され得ない場合、前記指示を受信すること
を行わせる、請求項1に記載の装置。 - 実行されたとき、前記命令が、装置に、
・ 前記プロシージャ内で、前記アクセスのための接続モードを前記ネットワークとネゴシエートすること
を行わせる、請求項1または2に記載の装置。 - 前記接続モードが、単一接続モードおよびマルチプル接続モードのうちの1つを備える、請求項3に記載の装置。
- 実行されたとき、前記命令が、装置に、
・ 暗号化キーおよび完全性キーを使用せずに、ただしユーザ識別子を使用して、前記アクセスのためのマスタセッションキーを導出すること
を行わせる、請求項1から4のいずれか一項に記載の装置。 - ・ 進化型パケットコアネットワークへの信頼されたワイヤレスローカルエリアネットワークアクセスを介した緊急サービスへのユーザ装置によるアクセスのために、前記ユーザ装置とネットワークとの間の相互認証がない、特定の拡張認証プロトコルベースプロシージャを実行するステップと、
・ 前記プロシージャ内で、前記アクセスが認証なしの限定されたサービスのためのものであるという指示を前記ネットワークから受信するステップと
を含む、方法。 - ・ 移動端末識別子ベースユーザ識別子が前記ネットワークによって認証され得ない場合、前記指示を受信するステップ
を含む、請求項6に記載の方法。 - ・ 前記プロシージャ内で、前記アクセスのための接続モードを前記ネットワークとネゴシエートするステップ
を含む、請求項6または7に記載の方法。 - 前記接続モードが、単一接続モードおよびマルチプル接続モードのうちの1つを備える、請求項8に記載の方法。
- ・ 暗号化キーおよび完全性キーを使用せずに、ただしユーザ識別子を使用して、前記アクセスのためのマスタセッションキーを導出するステップ
を含む、請求項6から9のいずれか一項に記載の方法。 - 装置であって、
プロセッサと、
実行されたとき、装置に、
・ 進化型パケットコアネットワークへの信頼されたワイヤレスローカルエリアネットワークアクセスを介した緊急サービスへのユーザ装置によるアクセスのために、前記ユーザ装置とネットワークとの間の相互認証がない、特定の拡張認証プロトコルベースプロシージャを実行することと、
・ 前記プロシージャ内で、前記アクセスが認証なしの限定されたサービスのためのものであるという指示を前記ユーザ装置に向かって送信することと
を行わせる命令を記憶するメモリと
を備える、装置。 - 実行されたとき、前記命令が、装置に、
・ 移動端末識別子ベースユーザ識別子が前記ネットワークによって認証され得ない場合、前記指示を送信すること
を行わせる、請求項11に記載の装置。 - 実行されたとき、前記命令が、装置に、
・ 前記プロシージャ内で、前記アクセスのための接続モードを前記ユーザ装置とネゴシエートすること
を行わせる、請求項11または12に記載の装置。 - 前記接続モードが、単一接続モードおよびマルチプル接続モードのうちの1つを備える、請求項13に記載の装置。
- 実行されたとき、前記命令が、装置に、
・ 暗号化キーおよび完全性キーを使用せずに、ただしユーザ識別子を使用して、前記アクセスのためのマスタセッションキーを導出すること
を行わせる、請求項11から13のいずれか一項に記載の装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP15306757.4 | 2015-11-05 | ||
| EP15306757.4A EP3166351A1 (en) | 2015-11-05 | 2015-11-05 | Support of emergency services over wlan access to 3gpp evolved packet core for unauthenticated users |
| PCT/EP2016/076588 WO2017076986A1 (en) | 2015-11-05 | 2016-11-03 | Support of emergency services over wlan access to 3gpp evolved packet core for unauthenticated users |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2018537927A JP2018537927A (ja) | 2018-12-20 |
| JP6628295B2 true JP6628295B2 (ja) | 2020-01-08 |
Family
ID=54545050
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2018541545A Active JP6628295B2 (ja) | 2015-11-05 | 2016-11-03 | 認証されていないユーザのための3gpp進化型パケットコアへのwlanアクセスを介した緊急サービスのサポート |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US20180332457A1 (ja) |
| EP (1) | EP3166351A1 (ja) |
| JP (1) | JP6628295B2 (ja) |
| KR (2) | KR20180066142A (ja) |
| CN (1) | CN108464027B (ja) |
| BR (1) | BR112018009153A8 (ja) |
| CA (1) | CA3004359A1 (ja) |
| PH (1) | PH12018500982A1 (ja) |
| WO (1) | WO2017076986A1 (ja) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20170289883A1 (en) * | 2016-04-01 | 2017-10-05 | Apple Inc. | Emergency services handover between untrusted wlan access and cellular access |
| EP3244588B1 (en) * | 2016-05-10 | 2021-06-23 | Nokia Solutions and Networks Oy | Support of dedicated core networks for wlan access |
| US11356931B2 (en) * | 2016-10-20 | 2022-06-07 | T-Mobile Usa, Inc. | WLAN assisted cellular network discovery and selection |
| JP6861285B2 (ja) * | 2017-01-30 | 2021-04-21 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | 緊急アクセス中のパラメータ交換のための方法およびデバイス |
| CN111543073B (zh) * | 2017-11-03 | 2023-10-13 | 联想(新加坡)私人有限公司 | 用于用户认证的装置和方法 |
| KR102372494B1 (ko) | 2018-03-30 | 2022-03-10 | 삼성전자 주식회사 | 무인증으로 접속한 단말에 대한 셀룰라 네트워크 접속 해지 방법 및 장치 |
| US11470474B2 (en) | 2019-09-27 | 2022-10-11 | Qualcomm Incorporated | Method for deriving a network specific identifier (NSI) |
| US11032743B1 (en) * | 2019-11-30 | 2021-06-08 | Charter Communications Operating, Llc | Methods and apparatus for supporting devices of different types using a residential gateway |
| US20210337422A1 (en) * | 2020-04-24 | 2021-10-28 | Parallel Wireless, Inc. | QCI Based Traffic-Offload of PDN Traffic at Trusted Wifi Access Gateway |
| EP4060947A1 (de) * | 2021-03-16 | 2022-09-21 | Siemens Aktiengesellschaft | Authentifizieren eines knotens in einem kommunikationsnetz einer automatisierungsanlage |
| US20240048953A1 (en) * | 2022-08-04 | 2024-02-08 | Samsung Electronics Co., Ltd. | Methods and apparatus for prioritization handling for epcs operation |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2617783C (en) * | 2005-08-02 | 2012-07-03 | Qualcomm Incorporated | Voip emergency call support |
| US7787600B1 (en) * | 2005-10-07 | 2010-08-31 | At&T Mobility Ii, Llc | Handling emergency calls using EAP |
| US20070143613A1 (en) * | 2005-12-21 | 2007-06-21 | Nokia Corporation | Prioritized network access for wireless access networks |
| US9198033B2 (en) * | 2007-09-27 | 2015-11-24 | Alcatel Lucent | Method and apparatus for authenticating nodes in a wireless network |
| CN101466083B (zh) * | 2007-12-18 | 2010-12-08 | 华为技术有限公司 | 一种紧急呼叫方法和装置 |
| EP2258126B9 (en) * | 2008-04-02 | 2013-06-19 | Nokia Siemens Networks OY | Security for a non-3gpp access to an evolved packet system |
| CN102365061B (zh) * | 2009-02-25 | 2015-06-17 | 捷迈有限公司 | 定制矫形植入物和相关方法 |
| CN101883346B (zh) * | 2009-05-04 | 2015-05-20 | 中兴通讯股份有限公司 | 基于紧急呼叫的安全协商方法与装置 |
| PL2887594T3 (pl) * | 2013-12-19 | 2020-07-13 | Alcatel Lucent | Sterowanie przeciążeniem dla dostępu zaufanej WLAN do EPC |
| US10383016B2 (en) * | 2015-07-02 | 2019-08-13 | Apple Inc. | Methods and apparatus to support emergency services connectivity requests through untrusted wireless networks |
-
2015
- 2015-11-05 EP EP15306757.4A patent/EP3166351A1/en active Pending
-
2016
- 2016-11-03 WO PCT/EP2016/076588 patent/WO2017076986A1/en active Application Filing
- 2016-11-03 CA CA3004359A patent/CA3004359A1/en active Pending
- 2016-11-03 JP JP2018541545A patent/JP6628295B2/ja active Active
- 2016-11-03 US US15/773,432 patent/US20180332457A1/en active Pending
- 2016-11-03 KR KR1020187012772A patent/KR20180066142A/ko active Application Filing
- 2016-11-03 BR BR112018009153A patent/BR112018009153A8/pt not_active Application Discontinuation
- 2016-11-03 KR KR1020207014117A patent/KR102390380B1/ko active IP Right Grant
- 2016-11-03 CN CN201680077993.XA patent/CN108464027B/zh active Active
-
2018
- 2018-05-07 PH PH12018500982A patent/PH12018500982A1/en unknown
Also Published As
| Publication number | Publication date |
|---|---|
| US20180332457A1 (en) | 2018-11-15 |
| EP3166351A1 (en) | 2017-05-10 |
| JP2018537927A (ja) | 2018-12-20 |
| CN108464027B (zh) | 2021-05-04 |
| KR20180066142A (ko) | 2018-06-18 |
| BR112018009153A2 (pt) | 2018-11-06 |
| KR102390380B1 (ko) | 2022-04-25 |
| BR112018009153A8 (pt) | 2019-02-26 |
| PH12018500982A1 (en) | 2019-01-28 |
| CA3004359A1 (en) | 2017-05-11 |
| CN108464027A (zh) | 2018-08-28 |
| WO2017076986A1 (en) | 2017-05-11 |
| KR20200058577A (ko) | 2020-05-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6628295B2 (ja) | 認証されていないユーザのための3gpp進化型パケットコアへのwlanアクセスを介した緊急サービスのサポート | |
| US8990925B2 (en) | Security for a non-3GPP access to an evolved packet system | |
| CN116033420A (zh) | 通过中继用户设备认证用户设备 | |
| US20170289883A1 (en) | Emergency services handover between untrusted wlan access and cellular access | |
| US9973338B2 (en) | Configuration of liveness check using internet key exchange messages | |
| JP2018523418A (ja) | セルラーアクセスネットワークノードのための識別子を含むネットワークアクセス識別子 | |
| US11490252B2 (en) | Protecting WLCP message exchange between TWAG and UE | |
| TWI627870B (zh) | 通訊系統中閘道器節點之選擇 | |
| CN107113612B (zh) | 接入点名称授权的方法、装置及*** | |
| JP2020505845A (ja) | 緊急アクセス中のパラメータ交換のための方法およびデバイス | |
| KR102103320B1 (ko) | 이동 단말기, 네트워크 노드 서버, 방법 및 컴퓨터 프로그램 | |
| CN108924832B (zh) | 用于安全Wi-Fi通话的方法、设备和*** | |
| US20180343559A1 (en) | Method and device for obtaining user equipment identifier, and method and device for sending user equipment identifier |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20180621 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20180621 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20190326 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20190530 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20190925 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20191029 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20191127 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6628295 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |