JP7612286B2 - 5gcnへの非3gppアクセスが許可されない失敗の対処 - Google Patents
5gcnへの非3gppアクセスが許可されない失敗の対処 Download PDFInfo
- Publication number
- JP7612286B2 JP7612286B2 JP2023116614A JP2023116614A JP7612286B2 JP 7612286 B2 JP7612286 B2 JP 7612286B2 JP 2023116614 A JP2023116614 A JP 2023116614A JP 2023116614 A JP2023116614 A JP 2023116614A JP 7612286 B2 JP7612286 B2 JP 7612286B2
- Authority
- JP
- Japan
- Prior art keywords
- 5gcn
- message
- n3iwf
- request
- response
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/047—Key management, e.g. using generic bootstrapping architecture [GBA] without using a trusted network node as an anchor
- H04W12/0471—Key exchange
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
- H04W24/08—Testing, supervising or monitoring using real traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/16—Discovering, processing access restriction or access information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
- H04W76/18—Management of setup rejection or failure
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Description
関連出願の相互参照
本出願は、「Method and Apparatus For Handling Authentication Failure During Security Association Establishment」と題する2018年6月30日に出願された、参照により本明細書に明示的に組み込まれる米国仮出願第62/692,722号に対する優先権を米国特許法第119条の下で主張する。
本出願は、「Method and Apparatus For Handling Authentication Failure During Security Association Establishment」と題する2018年6月30日に出願された、参照により本明細書に明示的に組み込まれる米国仮出願第62/692,722号に対する優先権を米国特許法第119条の下で主張する。
本出願は、一般にアクセスネットワークに関し、より詳細には、セキュリティアソシエーションの確立が承認されない場合のアクセスネットワークにおけるユーザ機器によるセッション確立に関する。
関連技術の説明
本節の記載は、関連技術の説明を与えるものであり、先行技術を認めるものではない。スマートフォン、スマートタブレット、ラップトップ、コンピュータ、スマートウォッチなどのユーザ機器(UE)は、多くの場合、ワイヤレスローカルエリアネットワーク(WLAN)接続性(IEEE 802.11x準拠のWLAN接続性など)と無線アクセスネットワーク接続性(EVDO、UMTS、HSPA、及びLTEを含む第3世代パートナシッププロジェクト(3GPP)との規格セットに、全面的に、または部分的に準拠しているテクノロジなど)の両方の機能を含む。したがって、UEは、3GPPアクセスネットワークと非3GPPアクセスネットワークとで構成される2種類のアクセス技術を使用して、3GPP発展型パケットコア(EPC)ネットワークに接続することができる。
本節の記載は、関連技術の説明を与えるものであり、先行技術を認めるものではない。スマートフォン、スマートタブレット、ラップトップ、コンピュータ、スマートウォッチなどのユーザ機器(UE)は、多くの場合、ワイヤレスローカルエリアネットワーク(WLAN)接続性(IEEE 802.11x準拠のWLAN接続性など)と無線アクセスネットワーク接続性(EVDO、UMTS、HSPA、及びLTEを含む第3世代パートナシッププロジェクト(3GPP)との規格セットに、全面的に、または部分的に準拠しているテクノロジなど)の両方の機能を含む。したがって、UEは、3GPPアクセスネットワークと非3GPPアクセスネットワークとで構成される2種類のアクセス技術を使用して、3GPP発展型パケットコア(EPC)ネットワークに接続することができる。
一般に、3GPPアクセスネットワークは、例えば、GPRS、UMTS、EDGE、HSPA、LTE、及びLTE Advancedを含む3GPPの規格セットによって指定された技術に、全面的に、または部分的に準拠している。非3GPPアクセスネットワークは、3GPPの規格セットによって指定されない技術に、全面的に、または部分的に準拠している。それらには、cdma2000、WLAN(IEEE 802.11x準拠のWLANなど)、または固定ネットワークなどの技術が含まれる。
3GPPの規格セットは、様々なセキュリティ機構を備えた「非3GPP」アクセス技術を指定している。信頼されていないアクセスネットワークと信頼されたアクセスネットワークである。信頼されていないアクセスネットワークには、セキュリティリスクを高め得るアクセスネットワーク(例えば、公衆WLANまたはフェムトセルアクセスネットワーク)が含まれる。信頼されたアクセスネットワークには、セキュリティの観点から一定の信頼度を有し、EPCネットワークと直接インタフェースすることができるとネットワークオペレータが認めるアクセスネットワークが含まれる。
新たな5G規格のセットでは、非3GPPアクセスネットワーク(N3AN)は、5Gアクセスネットワークとして扱われ、かつ5Gシステム(5GS)の一部として扱われる。信頼されていない非3GPPアクセスの場合、非3GPPインターワーキング機能(N3IWF)が、NG-RANノードと同様に、制御プレーン及びユーザプレーンに対して、それぞれシグナリングインタフェースの終端を提供する。したがって、5G対応のUEは、N3IWFを介して、5Gアクセスネットワークとして非3GPPアクセスネットワークに接続することによって、5Gコアネットワーク(5GCN)にアクセスすることができる。N3IWFは、UEと5GCNとの間でアップリンク及びダウンリンクの制御プレーンシグナリングを中継する。さらに、N3IWFは、非3GPPアクセスネットワークを介したセッションのために、UEと5GCNとの間にユーザプレーン接続を提供する。
現在、UEとN3IWFとの間のシグナリング手順は、特定のセキュリティ認証の確立がネットワークによって承認されたときに指定される。ただし、セキュリティアソシエーションの確立がネットワークによって承認されないときに対処するために利用できる方法はない。同様に、ユーザプレーン接続の場合、ユーザプレーンセキュリティアソシエーションの確立がネットワークによって承認されないときに対処するための方法が指定される必要がある。
したがって、非3GPPアクセスネットワークを介した5GCNへのアクセスのためのセキュリティアソシエーション確立中の障害対処を支援するシステム及び方法を提供する必要性がある。他の必要性及び利点もまた、本明細書に記載された実施形態でもって提供される。
以下では、開示された主題のいくつかの態様への基本的な理解を提供するために、開示された主題の概要が示される。本概要は、開示された主題の網羅的な全体像ではない。開示された主題の主要素もしくは決定的要素を特定すること、または開示された主題の範囲を明確化することを意図したものではない。その唯一の目的は、後述するさらに詳細な説明の前置きとして、いくつかの概念を簡略化した形で提示することである。
一態様では、信頼されていないアクセスネットワークを介したコアネットワークへのネットワーク接続を管理するためのインターワーキング機能ノードが、信頼されていないアクセスネットワークを介してユーザ機器(UE)と通信するように構成された第1のネットワークインタフェースと、コアネットワーク内の1つ以上のノードと通信するように構成された第2のネットワークインタフェースとを含む。本インターワーキング機能ノードは、信頼されていないアクセスネットワーク内のUEからのコアネットワークへの接続確立の要求を処理し、コアネットワークへの要求を生成することと、接続確立がコアネットワークによって承認されないと判定することと、UEへのレスポンスメッセージを生成することとを行うように構成され、レスポンスメッセージが、信頼されていないアクセスネットワークを介した接続確立がコアネットワークによって許可されないことを示すエラーを含む、処理デバイスを備える。
別の態様では、インターワーキング機能ノードからのネットワーク接続要求に対処するためのアクセス及びモビリティ管理機能(AMF)が、コアネットワーク内のインターワーキング機能ノード及び認証機能と通信するように構成されたネットワークインタフェースを含む。本AMFはまた、信頼されていないアクセスネットワークを介したUEの認証及び安全な接続確立の要求を処理することと、認証サーバ機能(AUSF)に対する認証及びサブスクリプションチェックの要求を生成することと、認証及びサブスクリプションチェックに対するレスポンスが、認証の失敗を示すことを判定することと、認証及び安全な接続確立のレスポンスメッセージを、信頼されていないアクセスネットワークを介したコアネットワークへのアクセスが許可されないことを示す原因値をレスポンスメッセージに含むことによって生成することとを行うように構成されている処理デバイスを含む。
別の態様では、ユーザ機器(UE)が、信頼されていないアクセスネットワークを介して、インターワーキング機能ノードと通信するように構成されたネットワークインタフェースを含む。本UEは、コアネットワークへの安全なセッション確立のための登録要求を生成することと、インターワーキング機能ノードからのレスポンスメッセージを処理することと、レスポンスメッセージから、信頼されていないアクセスネットワークを介した接続確立が、コアネットワークによって許可されないことを判定することとを行うように構成されている処理デバイスを含む。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、信頼されていないアクセスネットワークを介したUEからの認証及び安全な接続確立の要求を受信することと、認証及びサブスクリプションチェックの要求を生成し、認証及びサブスクリプションチェックの要求を、第2のインタフェースを介して、アクセス及びモビリティ管理機能(AMF)に対して送信することと、AMFからの認証及びサブスクリプションチェックのレスポンスを受信することと、信頼されていないアクセスネットワークを介した接続確立がコアネットワークによって許可されないことを示すエラーを含むNASペイロードを有するUEへのインターネット鍵交換(IKE)レスポンスメッセージを生成することとを行うように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、5GCNへの非3GPPアクセスが許可されていないことを示す5GMM原因値を含む登録拒否メッセージをカプセル化するアクセス及びモビリティ管理機能からのレスポンスを受信することと、接続確立がコアネットワークによって承認されないことを示すメッセージタイプを含むペイロードを有するインターネット鍵交換(IKE)レスポンスメッセージを生成することとを行うように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、失敗理由を示すプライベート通知メッセージタイプを含む通知ペイロードを有するインターネット鍵交換(IKE)レスポンスメッセージを生成するように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、5GCNへの信頼されていない非3GPPアクセスが許可されないことを示すプライベート通知メッセージタイプを含む通知ペイロードを有するIKEレスポンスメッセージを生成することにより、IKEレスポンスメッセージを生成するように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、UEにレスポンスメッセージを送信することであって、レスポンスメッセージは、接続確立がコアネットワークによって承認されないことを示す、送信することと、UEからストップメッセージを受信することと、UEへの失敗メッセージを生成することとを行うように構成されている。
上記の態様の1つ以上において、インターワーキング機能ノード内の処理デバイスは、UEからのストップメッセージを処理するように構成されており、ストップメッセージは、メッセージ識別子フィールドを有する5G-Stopメッセージ形式を含み、メッセージ識別子フィールドは、5G-Stop識別子を含む。
上記の態様の1つ以上において、信頼されていないアクセスネットワーク内のUEからの接続確立の要求が、コアネットワークとのIPsecセキュリティアソシエーション(SA)を開始するためのIKE要求メッセージを含む。
上記の態様の1つ以上において、コアネットワークが5GCNであり、信頼されていないアクセスネットワークが非3GPPアクセスネットワークである。
上記の態様の1つ以上において、AMFの処理デバイスは、原因値を含む登録拒否メッセージをレスポンスメッセージにカプセル化するように構成されており、原因値は、5GCNへの非3GPPアクセスが許可されないことを示す5GMM原因値を含む。
上記の態様の1つ以上において、AMFの処理デバイスは、レスポンスメッセージに、拡張認証プロトコル(EAP)の失敗インディケーションを生成するように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、5GCNへの安全なセッション確立のための登録要求の終了を示すストップメッセージを生成することと、非3GPPアクセスネットワークを介してインターワーキング機能ノードにストップメッセージを送信することとを行うように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、5G-Stopに設定されたメッセージ識別子フィールドを含むEAP-Response形式のメッセージとしてストップメッセージを生成するように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、インターワーキング機能ノードからのEAP失敗メッセージを処理することと、セキュリティアソシエーションの削除手順を実行することとを行うように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、5GCNへの安全なセッション確立のための第2の登録要求を生成することにより、5GCNへの登録を再試行することと、インターワーキング機能ノードからの第2のレスポンスメッセージから、信頼されていないアクセスネットワークを介した接続確立が成功したことを判定することとを行うように構成されている。
上記の態様の1つ以上において、ユーザ機器の処理デバイスは、更新されたパラメータで、5GCNへの安全なセッション確立のための第2の登録要求を生成するように構成されている。
以下の詳細な説明、図、及びいずれかの特許請求の範囲では、部分的に、更なる態様が述べられており、一部はその詳細な説明から得られる。上記の概説と以下の詳細な説明とはいずれも、例示及び説明のためのものにすぎず、特許請求の範囲は、開示された実施形態に限定されないことを理解されたい。
次に、本開示の実施形態による装置及び/または方法のいくつかの実施形態を、ほんの一例として、添付の図面を参照して説明する。
説明及び図面は、単に様々な実施形態の原理を例示しているにすぎない。したがって、当業者であれば、本明細書に明示的に記載されず、または示されないが、本明細書及び特許請求の範囲に記載されている原理を具体化し、本開示の趣旨及び範囲の内に含まれる様々な構成を考案できるであろうことが理解されよう。さらに、本明細書で説明された全ての実施例は、主として、読者が、本実施形態の原理と、本発明者が本技術をさらに発展させるのに貢献した概念とを理解するのを補助するための教育的目的のものであるにすぎないことが明示的に意図されており、そのような具体的に説明された実施例及び条件に限定されるものではないと解釈されるべきである。さらに、本明細書では、原理、態様、及び実施形態、ならびにそれらの具体例を説明する全ての記載は、それらの均等物を包含することが意図されている。
本明細書に記載された略語のいくつかが、便宜のため、以下に展開されている。
5GC 5Gコア
5GCN 5Gコアネットワーク
5GS 5Gシステム
5G-AN 5Gアクセスネットワーク
5GMM 5GSモビリティ管理
5G-GUTI 5Gグローバル固有テンポラリ識別子
5G-S-TMSI 5G S-テンポラリモバイルサブスクリプション識別子
5QI 5G QoS識別子
AMF アクセス及びモビリティ管理機能
AUSF 認証サーバ機能
EAP 拡張認証プロトコル
HPLMN 家庭用公衆陸上モバイルネットワーク
IKEv2 インターネット鍵交換v2
IMSI 国際モバイル加入者識別番号
IMEI 国際モバイル機器識別番号
IPsec インターネットプロトコルセキュリティ
MCM マルチ接続モード
N3IWF 非3GPPインターワーキング機能
NAS 非アクセス層
PDN パケットデータネットワーク
PLMN 公衆陸上モバイルネットワーク
QoS サービス品質
SA セキュリティアソシエーション
SCM シングル接続モード
UDM 統合データ管理
UE ユーザ機器
UICC ユニバーサル集積回路カード
USIM UMTS加入者識別モジュール
5GC 5Gコア
5GCN 5Gコアネットワーク
5GS 5Gシステム
5G-AN 5Gアクセスネットワーク
5GMM 5GSモビリティ管理
5G-GUTI 5Gグローバル固有テンポラリ識別子
5G-S-TMSI 5G S-テンポラリモバイルサブスクリプション識別子
5QI 5G QoS識別子
AMF アクセス及びモビリティ管理機能
AUSF 認証サーバ機能
EAP 拡張認証プロトコル
HPLMN 家庭用公衆陸上モバイルネットワーク
IKEv2 インターネット鍵交換v2
IMSI 国際モバイル加入者識別番号
IMEI 国際モバイル機器識別番号
IPsec インターネットプロトコルセキュリティ
MCM マルチ接続モード
N3IWF 非3GPPインターワーキング機能
NAS 非アクセス層
PDN パケットデータネットワーク
PLMN 公衆陸上モバイルネットワーク
QoS サービス品質
SA セキュリティアソシエーション
SCM シングル接続モード
UDM 統合データ管理
UE ユーザ機器
UICC ユニバーサル集積回路カード
USIM UMTS加入者識別モジュール
本明細書には、認証されていないユーザ機器にネットワークサービスを提供するためのシステム及び方法を提供する1つ以上の実施形態が説明されている。例えば、非3GPPアクセスネットワークにおいて、認証されていないUEのセッションを確立するための様々な方法が説明されている。
図1は、技術仕様(TS)23.501「System Architecture for the 5G System」、5Gシステムの手順を定める技術仕様(TS)23.502、ならびに5Gシステムのポリシー及び課金制御フレームワークを定める技術仕様(TS)23.503など、5Gシステム向けの第3世代パートナーシッププロジェクト(3GPP)の規格セットに、全面的にまたは部分的に準拠した5Gコアネットワーク(5GCN)100のためのアクセスネットワークの種類の実施形態の概略ブロック図を示す。
5GCN100は、1つ以上のアクセスネットワーク102に通信可能に結合されている。実施形態では、アクセスネットワーク102には、1つ以上の3GPPアクセスネットワーク104、または1つ以上の非3GPPアクセスネットワーク106が含まれ得る。3GPPアクセスネットワーク104は、3GPPの規格セットによって指定された技術に、全面的に、または部分的に準拠しており、例えば、GPRS、UMTS、EDGE、HSPA、LTE、及びLTE Advancedを含む。非3GPPアクセスネットワーク106は、3GPPの規格セットによって指定されない技術に、全面的に、または部分的に準拠している。非3GPPアクセスネットワーク106は、3GPPの規格セットでそのように指定され得る。非3GPPアクセスネットワーク106には、1つ以上の信頼された非3GPPアクセスネットワーク108、または1つ以上の信頼されていない非3GPPアクセスネットワーク110が含まれ得る。
信頼された非3GPPアクセスネットワーク108は、IEEE802.11x準拠のWLANネットワークなど、暗号化及びセキュアな認証方法を用いた、オペレータによって構築される、またはオペレータによってサポートされる、ワイヤレスローカルエリアネットワーク(WLAN)である。一実施形態では、信頼された非3GPPアクセスネットワーク108は、以下の例示的な特徴をサポートする。無線アクセスネットワーク(RAN)の暗号化をも要求する802.1xベースの認証、認証にEAP方式を使用する3GPPベースのネットワークアクセス、及びIPv4及び/またはIPv6プロトコルである。また一方、セキュリティタイプの異なる他種の非3GPPアクセスネットワークが信頼されたと認められるとオペレータが判断する場合もある。信頼されていない非3GPPアクセスネットワーク110には、オペレータに知られていない非3GPPアクセスネットワーク、またはサポートされた認証規格を含まない非3GPPアクセスネットワークが含まれる。例えば、信頼されていない非3GPPアクセスネットワークには、一般に公開されるIEEE802.11x準拠のWLANネットワーク、家庭用WLAN、または他の非オペレータによって創設され管理されるものなど、家庭用または公衆用のWLANが含まれ得る。
図2は、非3GPPアクセスのための5Gシステムアーキテクチャの実施形態の概略ブロック図を示す。このアーキテクチャは、参照により本明細書に組み込まれる「System Architecture for the 5G System」と題する技術規格3GPP TS 23.501,Release 15 (2017年12月)にさらに詳細に説明されている。
非3GPPアクセスネットワークは、非3GPPインターワーキング機能(N3IWF)を介して5GCN100に接続されている。N3IWF204は、5GCN100の制御プレーン(CP)機能及びユーザプレーン(UP)機能を、それぞれN2インタフェース及びN3インタフェースを介してインタフェース接続する。UE200は、N3IWF204とのIPセキュリティ(IPSec)トンネルを確立して、信頼されていない非3GPPアクセスネットワーク110を介して5GCN100にアタッチする。UE200は、IPSecトンネルの確立手順を通じて、5GCN100によって認証されて、5GCN100にアタッチされる。信頼されていない非3GPPアクセス110を介した5GCN100へのUE200のアタッチに関する更なる詳細が、参照により本明細書に組み込まれる「Procedures for the 5G System」と題する3GPP TS 23.502,Release 15(2017年12月)に説明されている。
5GCN100は、アクセス及びモビリティ管理機能(AMF)202を含む家庭用公衆陸上モバイルネットワークまたは同等の家庭用PLMN(HPLMN)を含む。AMF202は、制御プレーンインタフェース(N2)の終端及びNAS(N1)プロトコルセットの終端と、NASの暗号化及び整合性の保護とを提供する。AMF202はまた、登録及び接続の管理を提供する。AMF202は、非3GPPアクセスネットワーク110をサポートするために様々な機能性を含み得る。例えば、AMF202は、N3IWF204を用いたN2インタフェース制御プロトコルのサポートと、N3IWF204を介したUE200とのNASシグナリングのサポートとを提供し得る。さらに、AMF202は、N3IWF204を介して接続されたUE200の認証のサポートと、非3GPPアクセスを介して接続された、または3GPPアクセス及び非3GPPアクセスを介して同時に接続されたUE200のモビリティ、認証、及び別個のセキュリティコンテキスト状態(複数可)の管理を提供し得る。非アクセス層(NAS)は、5G規格のプロトコルセットである。5G NAS(非アクセス層)は、5GS(5Gシステム)での5GMM(5GSモビリティ管理)及び5GSM(5Gセッション管理)に関連した手順を含む。NASは、ユーザ機器(UE)と5GCN機能との間で制御シグナリングを伝達するのに用いられる。5GNASプロトコルのバージョンが、参照により本明細書に組み込まれる3GPP TS 24.501:「Access-Stratum(NAS) protocol for 5G System(5GS)」 Version 1.1(2018年5月9日)で定義されている。
セッション管理機能(SMF)206は、セッション管理機能性、例えば、UPF208とANノードとの間のトンネル維持を含む、セッションの確立、変更、及び解除を含む。SMF206はまた、UEのIPアドレスの割り当て及び管理(任意選択の認可を含む)と、DHCPv4(サーバ及びクライアント)及びDHCPv6(サーバ及びクライアント)の機能とを提供する。
ユーザプレーン機能(UPF)208は、データネットワークとパケットルーティング及びパケットフォワーディングとに外部PDUセッションの相互接続ポイントを提供する。UPF208はまた、ポリシールール施行のユーザプレーン部分、例えば、ゲーティング、リダイレクト、トラフィックステアリングなどをサポートする。
ポリシー制御機能(PCF)214は、ネットワークの挙動を統御するための統合されたポリシーフレームワークをサポートする。統合データ管理(UDM)212は、3GPP AKA認証証明書の生成、サブスクリプションデータに基づくアクセス認可(例えば、ローミング制限)、及びUEのサービングNF登録管理(例えば、UEのためのサービングAMFを保存する、UEのPDUセッションのためのサービングSMFを保存する)のサポートを含む。UDM212はまた、SMS及びサブスクリプションの管理を提供する。この機能性を提供するために、UDM212は、UDRに格納され得るサブスクリプションデータ(認証データを含む)を使用する。別のモジュールが、認証サーバ機能(AUSF)210を提供する。
信頼されていない非3GPPアクセス110の場合のN3IWF204の機能性は、UE200とのIPsecトンネル確立のサポートを含む。N3IWF204は、NWuインタフェースを介したUE200とのIKEv2/IPsecプロトコルを終端し、N3IWF204は、UE200を認証して、その5GCN100へのアクセスを認可するために必要な情報を、N2インタフェースを介して中継する。N3IWF204は、N2及びN3インタフェースの終端を、それぞれ制御プレーン及びユーザプレーンを関して、5GCN100に提供する。N3IWF204は、UE200とAMF202との間で、アップリンク及びダウンリンクの制御プレーンNAS(N1)シグナリングを中継する。N3IWF204は、PDUセッション及びQoSに関連するSMF206からの(AMF202によって中継される)N2シグナリングの対処を提供する。N3IWF204は、PDUセッショントラフィックをサポートするためのIPsecセキュリティアソシエーション(IPsec SA)の確立をさらに提供する。N3IWF204はまた、UE200とUPF208との間で、アップリンク及びダウンリンクのユーザプレーンパケットを中継することを提供する。
図3は、信頼されていない非3GPPアクセス110を介してUE200を5GCN100に登録するための方法の実施形態を示す論理フロー図を示す。本方法は、「EAP-5G」と呼ばれるベンダー固有の拡張認証プロトコル(EAP)を含む。EAPは、2004年6月付けのIETF RFC 3748:「Extensible Authentication Protocol(EAP)」で定義されている。EAP-5Gは、UE200とN3IWF204との間でNASメッセージをカプセル化するのに用いられるベンダー固有の5GS用EAP(EAP-5G)である。EAP-5Gパケットは、「拡張」EAPタイプと、SMIプライベートエンタープライズコードレジストリ(すなわち10415)の下でIANAに登録された既存の3GPPベンダーIDとを利用する。実施形態では、EAP-5Gは、NASメッセージをカプセル化するためにのみ利用される(認証のためではない)。
UE200を認証する必要がある場合、以下に本明細書で説明するように、UE200とAUSF210との間でEAP-AKA′相互認証が実行される。信頼されていない非3GPPアクセスネットワーク110を介した登録と、その後の登録手順とでは、NASメッセージがUE200とAMF202との間で交換される。
ステップ1において、UE200は、3GPPの範囲外の手順(IEEE 802.11 WLANプロトコルで指定される手順など)で、信頼されていない非3GPPアクセスネットワーク110に接続し、IPアドレスが割り当てられる。任意の非3GPP認証方法、例えば、認証なし(無料WLANの場合)や、事前共有鍵、ユーザ名/パスワードなどを用いる拡張認証プロトコル(EAP)が使用され得る。UE200が5GCN100にアタッチすることを決定すると、UE200は、5G PLMN内のN3IWF204を選択する。
ステップ2において、UE200は、例えば、IETF RFC 7296,「Internet Key Exchange Protocol Version 2(IKEv2)」(2014年10月)に記載されているように、インターネット鍵交換(IKE)プロトコルの初期交換を開始することで、選択したN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立を進める。ステップ2の後、以降のIKEメッセージは、このステップで確立されたIKE SAを使用することによって、暗号化され、整合性が保護される。
ステップ3において、UE200は、IKE_AUTH要求メッセージを送信することにより、IKE_AUTH交換を開始するものとする。AUTHペイロードはIKE_AUTH要求メッセージに含まれず、このことは、IKE_AUTH交換が、拡張認証プロトコル(EAP)シグナリングプロトコル、例えば、EAP-5Gシグナリング(IETF RFC 5448, 「Improved Extensible Authentication Protocol Method for 3rd Generation Authentication and Key Agreement (EAP-AKA’)」 (2018年3月5日)に記載され、参照により本明細書に組み込まれるEAP-AKA’など)を使用することを示す。
ステップ4において、N3IWF204は、EAP-Request/5G-Startパケットを含むIKE_AUTHレスポンスメッセージで応答する。EAP-Request/5G-Startパケットは、UE200に、EAP-5Gセッションを開始するよう通知する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう通知する。
ステップ5において、UE200は、5GCN100に対する登録要求、例えば、アクセスネットワークパラメータ(AN-Params)を含むEAP-Response/5G-NASパケットとNAS登録要求メッセージとを含むIKE_AUTH要求を生成して送信する。したがって、UEは、例えば、a)NASメッセージ、例えば、登録要求メッセージを包含するNAS-PDUフィールドと、b)SUPIまたは5G-GUTI、選択されたネットワーク及びS-NSSAIなどのアクセスネットワークパラメータを包含するANパラメータフィールド(3GPP TS 23.502を参照)とを含むEAP-Response/5G-NASパケットを送信することにより、EAP-5Gセッションの開始を確認する。ANパラメータ(AN-Params)は、5GCN100でのAMF202を選択するためにN3IWF204によって使用される。
ステップ6aにおいて、N3IWF204は、受信したANパラメータ及びローカルポリシーに基づいて、5GCN100内のAMF202を選択する。次に、N3IWF204は、ステップ6bにおいて、UE200から受信した登録要求を、選択したAMF202に転送する。N3IWF204は、AMF202からのNASメッセージの受信時に、UE200へのEAP-Request/5G-NASメッセージ内にNASメッセージを含む。EAP-Request/5G-NASメッセージは、NASメッセージを包含するNAS-PDUフィールドを含む。N3IWF204を介したUE200とAMF202との間の更なるNASメッセージは、EAP-Response/5G-NASメッセージ(UEからN3IWFへの向き)及びEAP-Request/5G-NASメッセージ(N3IWFからUEへの向き)のNAS-PDUフィールドに挿入される。
ステップ7a及び7bにおいて、選択したAMF202は、N3IWF204を介してUE200にNAS ID要求メッセージを送信することにより、UEの永続的ID(SUPI)を要求することを決定することができる。このNASメッセージと、それに続く全てのNASメッセージとは、EAP/5G-NASパケット内にカプセル化されて、N3IWF204によってUE200に送信される。
ステップ8において、AMF202は、UE200を認証することを決定することができる。この場合、AMF202は、UE200のSUPIまたは暗号化されたSUPIを使用することによりAUSF210を選択するものとし、ステップ8aでは、選択したAUSF210に鍵要求を送信するものとする。AUSF210は、参照により本明細書に組み込まれるTS 3GPP TS 33.501:「SecurityArchitecture and Procedures for 5G System」(Release 15(2018年3月26日))に指定されるように、ステップ8bにおいてEAP-AKA′認証を開始し得る。EAP-AKA′チャレンジパケットは、ステップ8cでN3IWFへのNAS認証メッセージ内にカプセル化され、このNAS認証メッセージは、ステップ8dでEAP/5G-NASパケット内にカプセル化される。UE200は、ステップ8eでEAP-AKAチャレンジに対する認証レスポンスを生成し、この認証レスポンスは、ステップ8fでN3IWF204によってAMFに転送される。次に、AUSF210は、ステップ8gでAMFから認証レスポンスを受信する。
UE200の認証が成功した後、ステップ8hにおいて、AUSF210は、NASのセキュリティ鍵とN3IWF204用のセキュリティ鍵(N3IWF鍵)とを導出するためにAMF202によって使用されるアンカー鍵(SEAF鍵)をAMF202に送信する。UE200はまた、アンカー鍵(SEAF鍵)を導出し、その鍵からNASのセキュリティ鍵とN3IWF204用のセキュリティ鍵(N3IWF鍵)とを導出する。N3IWF鍵は、(ステップ11において)IPsecセキュリティアソシエーションを確立するために、UE200及びN3IWF204によって使用される。AUSF210は、ステップ8aにおいて、AMF202が、暗号化されたSUPIをAUSF210に提供した場合には、SUPI(暗号化されていない)を含む。
ステップ9a及び9bで、AMF202は、セキュリティモードコマンド(SMC)要求をUE200に送信して、NASセキュリティをアクティブ化する。(N2メッセージ内の)この要求は、最初にN3IWF鍵とともにN3IWF204に送信される。ステップ8においてEAP-AKA′認証が正常に実行された場合、ステップ9aにおいてAMF202は、AUSF210から受信したEAP-SuccessをSMC要求メッセージ内にカプセル化する。
ステップ10aにおいて、UE200は、(ステップ8で開始された場合)EAP-AKA′認証を完了し、NASセキュリティコンテキスト及びN3IWF鍵を作成する。N3IWF鍵がUE200で作成された後、UE200は、EAP-Response/5G-Completeパケットを送信することによって、EAP-5Gセッションの完了を要求する。それによって、N3IWF204がAMF202からN3IWF鍵も受信していると仮定して、ステップ10bにおいて、N3IWF204がUE200にEAP-Successを送信することをトリガする。これでEAP-5Gセッションは完了し、それ以上EAP-5Gパケットを交換することはできない。N3IWF204がAMF202からN3IWF鍵を受信していない場合は、N3IWF204はEAP-Failureで応答する。
ステップ11では、UE200で作成されて、ステップ9aにおいてN3IWF204によって受信された共通のN3IWF鍵を用いることにより、UE200とN3IWF204との間にIPsec SAが確立される。このIPsec SAは、「シグナリングIPsec SA」と呼ばれる。シグナリングIPsec SAの確立後、UE200とN3IWF204との間の全てのNASメッセージは、このIPsec SAを介して交換される。シグナリングIPsec SAは、トランスポートモードで動作するように構成されるものとする。SPI値は、IPsecパケットがNASメッセージを搬送するかどうかを判定するのに用いられる。
ステップ12で、UE200は、確立されたシグナリングIPsec SAを介してSMC完了メッセージを送信し、その後の全てのNASメッセージは、このIPsec SAを介して、UE200とAMF202との間で交換される。
上記のように、UE200及びN3IWF204は、非3GPPアクセスネットワーク110を介したIKE SA及びシグナリングIPsec SAの確立が5GCN100によって承認されたときの方法を定めている。しかし、IKE SA及びシグナリングIPsec SAの確立が5GCN100によって承認されないときに対処するのに利用できるシステムまたは方法はない。さらに、ユーザプレーンについては、ユーザプレーンのIPsec SAの確立が5GCN100によって承認されないときに対処するためのシステム及び方法を指定する必要がある。一般に、5GCN100への非3GPPアクセスの拒否に対処するための方法及びシステムを確立する必要がある。
実施形態 - 非3GPPアクセスネットワークを介したUE登録が5Gコアネットワークによって承認されないときに対処するためのプロセス及びプロトコルの高度化
図4は、IKE SA及びシグナリングIPsec SAの確立が承認されないときに対処するための方法400の実施形態の論理フロー図を示す。ステップ402において、UE200は、選択したN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立の要求を進める。UE200は、IETF RFC 7296「Internet Key Exchange Protocol Version 2(IKEv2)」,(2014年10月)に記載されているインターネット鍵交換(IKE)プロトコルを使用してIPsec SAの確立を開始する。UE200は、ステップ404において、IKE_AUTH要求メッセージを送信する。ステップ406において、N3IWF204は、EAP-Request/5G-Startパケットを含むIKE_AUTHレスポンスメッセージで応答する。EAP-Request/5G-Startパケットは、UE200に、EAP-5Gセッションを開始するよう通知する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう通知する。
図4は、IKE SA及びシグナリングIPsec SAの確立が承認されないときに対処するための方法400の実施形態の論理フロー図を示す。ステップ402において、UE200は、選択したN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立の要求を進める。UE200は、IETF RFC 7296「Internet Key Exchange Protocol Version 2(IKEv2)」,(2014年10月)に記載されているインターネット鍵交換(IKE)プロトコルを使用してIPsec SAの確立を開始する。UE200は、ステップ404において、IKE_AUTH要求メッセージを送信する。ステップ406において、N3IWF204は、EAP-Request/5G-Startパケットを含むIKE_AUTHレスポンスメッセージで応答する。EAP-Request/5G-Startパケットは、UE200に、EAP-5Gセッションを開始するよう通知する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう通知する。
ステップ408において、UE200は、5GCN100に対する登録要求、例えば、アクセスネットワークパラメータ(AN-Params)を含むEAP-Response/5G-NASパケットとNAS登録要求メッセージとを含むIKE_AUTH要求を生成する。AN-Paramsは、5GCN100でAMF202を選択するためのN3IWF204によって使用される情報(例えば、SUPIまたは5G-GUTI、選択したネットワーク及びNSSAIなど)を含む。
場合によっては、例えばEAP-AKA′認証が成功しなかったなどの認証の失敗が原因で、非3GPPアクセスを介したUE登録が拒否される。その場合、IKE SA及びシグナリングIPsec SAの確立は、5GCN100によって承認されない。実施形態では、AMF202は、登録拒否(REGISTRATION REJECT)メッセージを生成し、N3IWF204は、ステップ410において、その登録拒否メッセージを包含するNAS-PDUフィールドを含むEAP-Response/5G-NASメッセージをUEに送信する。
登録拒否メッセージを受信すると、UE200は、ステップ412において、EAP-Response/5G-Stopメッセージ(IKE_Auth要求にカプセル化される)を生成して送信することにより、登録要求を終了する。UE200は、ステップ414において、N3IWF204からEAP失敗メッセージ付きのIKE_AUTHレスポンスを受信する。N3IWF204からEAP-Failureメッセージを受信すると、UE200は、IKEv2 SA削除手順を実行する。UE200は、スイッチを切るか、またはUSIMを含むUICCが除去されるまで、同じPLMNからN3IWF204へのIKE SA及びシグナリングIPsec SAの確立を再開始しない。
非3GPPアクセスネットワーク110を介したUE200の登録が拒否されると、AMF202は、登録拒否メッセージをN3IWF204に送信する。それに応答して、N3IWF204は、登録拒否メッセージを含むNAS-PDUフィールドを含むEAP-Response/5G-NASメッセージをUE200に送信する。その後のUE200のレスポンスは、登録拒否の理由に応じて異なり得る。構文エラーまたは特定の一時的な拒否理由など、修復可能なエラーの場合、UE200は、有効なパラメータを用いて登録を再び開始しようと試みることができる。他の拒否の理由では、UE200はEAP-5G手順を停止し、IKE SA及びEAPスタック関連のリソースを復元する。EAP-5G手順の停止には、5G-Stop表示が必要とされる。これらの手順はいずれも、本明細書でさらに詳細に説明されている。
実施形態 - 修復可能なエラーによる登録失敗後のEAP-5G手順の完了
図5は、修復可能なエラーによる認証失敗後のEAP-5Gセッション手順の方法500の実施形態の論理フロー図を示す。本実施形態では、信頼されていない非3GPPアクセスネットワーク110を介した5GCN100へのUE200登録要求は拒否される。
図5は、修復可能なエラーによる認証失敗後のEAP-5Gセッション手順の方法500の実施形態の論理フロー図を示す。本実施形態では、信頼されていない非3GPPアクセスネットワーク110を介した5GCN100へのUE200登録要求は拒否される。
N3IWF204は、ステップ502において、EAP-Request/5G-StartメッセージをUE200に送信する。この5G開始メッセージは、UE200に、EAP-5Gセッションを開始するよう要求する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう要求する。UE200は、EAP-Response/5G-NASメッセージ内に、5GCN100への登録要求を生成しており、このEAP-Response/5G-NASメッセージは、ANパラメータと、ステップ504でのその登録要求を含むNAS-PDUフィールドとを含む。本実施形態では、5GCN100へのUE200登録は、AMF202によって拒否される。AMF202は、登録拒否メッセージをN3IWF204に送信する。それに応答して、N3IWF204は、NAS登録拒否メッセージを含むNAS-PDUフィールドを含むEAP-Request/5G-NASメッセージを、ステップ506でUE200に送信する。
登録を再試行することは必須ではないが、UE200は、5GCNへの登録を再び開始することを試みることができる。構文エラーまたは特定の一時的な拒否理由などの修復可能なエラーの場合、UE200は、更新されたパラメータで登録要求メッセージを変更し、登録を再試行し得る。あるいは、UE200は、パラメータを更新せずに、後で登録を再試行してもよい。
UE200は、必要に応じて更新されたANパラメータと、ステップ508での登録要求を含むNAS-PDUフィールドとを含むEAP-Response/5G-NASメッセージとしてフォーマットされた第2の登録要求を送信する。次に、UE200及びN3IWF204は、IKE SA及びシグナリングIPsec SAの確立を行って、NASセキュリティコンテキスト及びN3IWF鍵を作成する(図示せず)。
N3IWF鍵がUE200で作成された後、N3IWF204は、510でのEAP-successを示すセキュリティモードコマンド(SECURITY MODE COMMAND)メッセージを有したNAS PDUを含むEAP-Request/5G NASメッセージを送信する。UE200は、512でのセキュリティモード完了(SECURITY MODE COMPLETE)メッセージを含むNAS PDUを備えたEAP-Response/5G-NASメッセージを生成して送信することにより、EAP-5Gセッションの完了を要求する。それによって、N3IWF204がAMF202からN3IWF鍵も受信していると仮定して、N3IWF204がUE200にEAP-Successを送信することをトリガする。これでEAP-5Gセッションは完了し、それ以上EAP-5Gパケットを交換することはできない。
このようにして、UE200は、拒否されたときに、非3GPPアクセスネットワーク110を介して5GCN100への登録要求を再試行することができる。拒否は、構文エラーまたはANパラメータのエラーなど、修復可能なエラーが原因である場合がある。このような修復可能なエラーが修正されたときに、2回目の登録試行は成功する可能性がある。別の実施形態では、拒否は一時的な拒否理由によるものである。その後、UE200は、同じパラメータで登録を再試行し、EAP-5Gセッションを完了することができる。
実施形態 - 修復不能なエラーによる登録失敗後のEAP-5G手順の完了
図6は、修復不能なエラーまたは永続的な障害による登録拒否のEAP-5Gセッション手順の実施形態を示す論理フロー図を示す。本実施形態では、信頼されていない非3GPPアクセスネットワーク110を介した5GCN100へのUE200登録要求は再び拒否される。
図6は、修復不能なエラーまたは永続的な障害による登録拒否のEAP-5Gセッション手順の実施形態を示す論理フロー図を示す。本実施形態では、信頼されていない非3GPPアクセスネットワーク110を介した5GCN100へのUE200登録要求は再び拒否される。
N3IWF204は、ステップ602において、非3GPPアクセスネットワーク110を介した5GCN100への登録を開始するために、EAP-Request/5G-StartメッセージをUE200に送信する。UE200は、登録要求、例えば、ANパラメータと、ステップ604での登録要求を含むNAS-PDUフィールドとを含むEAP-Response/5G-NASメッセージで応答する。
EAP-AKA′認証が成功しなかったなど、修復不能なエラーが原因で認証が失敗した場合、N3IWF204はAMF202(図示せず)から登録拒否メッセージを受信する。AMF202からの登録拒否メッセージの受信に応答して、N3IWF204は、606でUE200へのEAP-Request/5G-NASメッセージを生成する。EAP-Request/5G-NASメッセージは、EAP-Failureフィールドを有するNAS登録拒否メッセージを含むNAS-PDUフィールドを含む。
UE200は、ステップ608において、EAP-Response/5G-Stopメッセージを生成して送信することにより、登録手順を終了する。5G-stopメッセージは、非3GPPアクセスネットワーク110を介した5GCN100への登録のためのEAPセッションが終了したことを示す。UE200からEAP-Response/5G-Stopメッセージを受信した後、N3IWF204は、ステップ610において、EAP-FailureメッセージをUE200に送信することにより、EAP-5Gの手順を終了する。本実施形態では、UE200は、登録時に再試行することなく、EAP-5Gセッションを停止する。
図7は、EAP-Response/5G-Stopメッセージ700の実施形態の概略ブロック図を示す。EAP-Response/5G-Stopメッセージ700は、コード702、識別子704、長さ706、タイプ708、ベンダーID710、ベンダータイプ712、メッセージ識別子(メッセージID)714、スペア716、及び拡張子718を含む例示的なフィールドを有する様々なEAPパケットを含む。EAPパケットのメッセージIDフィールド714は、5G-Stopメッセージを示すための識別子を含む。EAPパケット内のフィールドの値の例を以下の表1に示す。
表1
EAP-Response/5G-Stopメッセージのフィールド例
EAP-Response/5G-Stopメッセージのフィールド例
EAPメッセージ内のメッセージ識別子(メッセージID)フィールド714は、5G Stop識別子または値を含む。EAP-Response/5G-Stopメッセージ700のフィールド及び値は例にすぎず、登録停止の同様の意味を示す他のフィールド/値またはプロトコルパケットが実装されてもよい。
実施形態 - 認証失敗のためにIPsec SAの確立が承認されないときに対処するための方法及びプロトコルの高度化
図8は、認証失敗により、非3GPPアクセスネットワーク110を介したUE200登録のためのIKE SA及びシグナリングIPsec SAの確立が承認されないときのネットワークノード機能間のメッセージフローのための方法800の実施形態の論理フロー図を示す。例えば、AKA-ChallengeまたはAKA′-challengeなどの認証手順の失敗により、IKE SA及びシグナリングIPsec SAの確立が承認されない場合がある。方法800は、UE200に障害を伝えるための新たなプライベートIKEv2通知メッセージタイプと、5GCN100へのアクセスが非3GPPアクセスネットワーク110によって許可されないことを指摘するための新たな原因値とを含む。
図8は、認証失敗により、非3GPPアクセスネットワーク110を介したUE200登録のためのIKE SA及びシグナリングIPsec SAの確立が承認されないときのネットワークノード機能間のメッセージフローのための方法800の実施形態の論理フロー図を示す。例えば、AKA-ChallengeまたはAKA′-challengeなどの認証手順の失敗により、IKE SA及びシグナリングIPsec SAの確立が承認されない場合がある。方法800は、UE200に障害を伝えるための新たなプライベートIKEv2通知メッセージタイプと、5GCN100へのアクセスが非3GPPアクセスネットワーク110によって許可されないことを指摘するための新たな原因値とを含む。
UE200は、ステップ802において、信頼されていない非3GPPアクセスネットワーク(N3AN)110、例えば、パブリックWLANに、802.1xプロトコルを使用して接続する。UE200が5GCN100にアタッチすることを決定すると、UE200は、ステップ804において、5G PLMN内のN3IWF204を選択する。UE200は、例えば、ステップ806において、IETF RFC 7296「Internet Key Exchange Protocol Version 2(IKEv2)」(2014年10月)に記載されているように、IKEの初期交換を開始することで、選択したN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立を進める。IKE SAの確立後、後続のIKEメッセージは暗号化され、このステップ806で確立されたIKE SAを使用することによって整合性が保護される。
次に、UE200は、ステップ808において、IKE_AUTH要求メッセージを送信することにより、IKE_AUTH交換を開始する。AUTHペイロードはIKE_AUTH要求メッセージに含まれず、このことは、IKE_AUTH交換が、EAPシグナリング(この場合はEAP-5Gシグナリング)を使用しなければならないことを示す。UE200は、このメッセージのUE IDフィールドを任意の乱数に等しく設定することになる。N3IWF204は、ステップ810において、EAP-Request/5G-Startパケットを含むIKE_AUTHレスポンスメッセージで応答する。EAP-Request/5G-Startパケットは、UE200に、EAP-5Gセッションを開始するよう通知する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう通知する。
UE200はまた、N3IWF証明書を有効にし、N3IWF204のIDがUE200によって選択されたN3IWF204と一致することを確認し得る。N3IWF204からの証明書がないか、またはID確認に失敗すると、接続に失敗する可能性がある。次に、UE200は、ステップ812で、5GCN100への登録を要求するために、EAP-Response/5G-NASパケットを含むIKE_AUTH要求を送信する。EAP-Response/5G-NASメッセージは、ANパラメータ(例えば、GUAMI、選択されたPLMN ID、要求されたNSSAI)と、登録要求を含むNAS-PDUフィールドとを含む。
次に、N3IWF204は、ANパラメータを使用してAMF202を選択し、ステップ814において、UE200から受信した登録要求をN2 NASトランスポートメッセージでAMF202に転送する。
AMF202は、UE200を認証することを決定することができる。この場合、AMF202は、ステップ816でAUSF210を選択し、そのAUSF210に鍵要求を送信する。次に、AUSF210は、ステップ818で、AKA-ChallengeまたはAKA’-challengeなどの認証手順を開始することができる。AMF202とUE200との間で、認証パケットはNAS認証メッセージ内にカプセル化され、このNAS認証メッセージはEAP-5G/5G-NASパケット内にカプセル化される。ステップ820及び822では、NASメッセージの認証要求メッセージ内のEAP-Request/AKA′-Challengeメッセージが、N3IWF204を介してUE200へ送信される。このメッセージは、認証が成功した場合に作成される部分的ネイティブセキュリティコンテキストを識別するためにUE200及びAMF202によって使用されるngKSIを含み得る。UE200は、EAP-Request/AKA′-Challengeメッセージで受信したRAND及びAUTNをUSIMに転送する。
RAND及びAUTNを受信すると、USIMは、AUTNを承認することができるかどうかを確認することにより、認証ベクトルを検証する。その場合、USIMはステップ823でレスポンスRESを計算する。UE200は、ステップ824において、NASメッセージのAuth-Respメッセージ内のEAP-Response/AKA′-Challengeメッセージを送信する。EAP-Response/AKA′-Challengeメッセージは、ステップ826及び828において、AMF202を介してAUSF210に送信される。次に、AUSF210は、メッセージの検証を試みることになる。AUSF210は、このメッセージを成功裏に検証した場合、認証を続行する。
先行する既知のシステムでは、AUSF210は、ステップ830での認証失敗のために、5GCN100への非3GPPアクセスが許可されていないと判定した場合に、エラーを返す。新しく改良されたシステム及び方法では、AMF202は、例えば認証の失敗のために5GCネットワークへの非3GPPアクセスが許可されないことを伝えるために、新たなプライベートIKEv2通知メッセージタイプを生成する。
ステップ832において、AUSF210は、EAP失敗(EAP-Failure)のEAPペイロード(EapPayload)と、認証失敗(AUTHENTICATION_FAILURE)の認証結果(authenResult)とを含むHTTP EAPセッション(EAP-session)メッセージを送信する。AMF202は、5GCN100の非3GPPアクセスが許可されていないことを示す新たな5Gモビリティ管理(5GMM)の原因(cause)を生成する。AMF202は、ステップ834で、登録拒否とEAP失敗を示すEAPメッセージ(EAP message)とを含み、5GMM原因を含むN2 NASトランスポートメッセージを生成する。5GMM原因(5GMM_cause)は、エラータイプが、例えばこの場合は、「5GCNの非3GPPアクセスは許可されていない」であることを示している。
UE200は、ステップ836において、N3IWF204から、プライベート通知メッセージタイプ(例えば、8192・・・16383などの事前定義された範囲内の任意のプライベート通知メッセージタイプ)を有する通知ペイロードを含むIKE_AUTHレスポンスメッセージを受信する。プライベートIKEv2通知メッセージには、「5GCへの非3GPPアクセスは許可されない(NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED)」の5GMM原因による登録拒否と、EAP-FailureのEAPメッセージタイプとを含むEAPレスポンス/5G-NAS PDUが含まれる。
したがって、方法800は、5GCN100への非3GPPアクセスが許可されないという登録要求の失敗をUEに通知するために、新たなプライベートIKEv2通知メッセージタイプと新たな5GMM原因値とを含む。新たなプライベートIKEv2通知メッセージが実装されるが、5GCネットワークへの非3GPPアクセスが許可されないか、または拒否されたことをUE200に通知するために、他のタイプのメッセージ、またはフォーマット、またはフィールド、またはエラータイプが実装されてもよい。
NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWEDの5GMM原因を伴うプライベート通知メッセージを受信すると、UE200は、ステップ838において、EAP-Response/5G-Stopメッセージを送信することにより、EAP-5Gセッションを終了する。UE200は、ステップ840において、N3IWF204から、EAP失敗メッセージ付きのIKE_AUTHレスポンスメッセージを受信する。
N3IWF204からEAP失敗メッセージを受信すると、UE200は、IKEv2 SA削除手順を実行し、ステップ842でIKE SAを閉じる。UE200は、スイッチを切るか、またはUSIMを含むUICCが除去されるまで、同じPLMNからN3IWF204へのIKE SA及びIPsec SAの確立を再開始しない。UE200は、ステップ844で、IKEv2 SA削除の情報(INFORMATIONAL)メッセージを送信してもよい。その後、N3IWF204は、ステップ846でIKEv2 SAを閉じることができる。
実施形態 - サブスクリプション制限のためにIPsec SAの確立が承認されないときに対処するための方法及びプロトコルの高度化
図9は、非3GPPアクセスを介したUE200登録のためのIKE SA及びシグナリングIPsec SAの確立が、サブスクリプション制限のために承認されないときのネットワーク機能間のメッセージフローのための方法900の実施形態の論理フロー図を示す。例えば、サブスクリプション制限により、IKE SA及びシグナリングIPsec SAの確立が承認されない場合がある。方法900は、UE200に障害を伝えるための新たなプライベートIKEv2通知メッセージタイプと、5GCN100へのアクセスが非3GPPアクセスネットワーク110によって許可されないことを指摘するための新たな原因値とを含む。
図9は、非3GPPアクセスを介したUE200登録のためのIKE SA及びシグナリングIPsec SAの確立が、サブスクリプション制限のために承認されないときのネットワーク機能間のメッセージフローのための方法900の実施形態の論理フロー図を示す。例えば、サブスクリプション制限により、IKE SA及びシグナリングIPsec SAの確立が承認されない場合がある。方法900は、UE200に障害を伝えるための新たなプライベートIKEv2通知メッセージタイプと、5GCN100へのアクセスが非3GPPアクセスネットワーク110によって許可されないことを指摘するための新たな原因値とを含む。
UE200は、ステップ902において、信頼されていない非3GPPアクセスネットワーク(N3AN)110、例えば、パブリックWLANに、802.1xプロトコルを使用して接続する。UE200が5GCN100にアタッチすることを決定すると、UE200は、ステップ904において、5G PLMN内のN3IWF204を選択する。UE200は、例えば、ステップ906において、IETF RFC 7296「Internet Key Exchange Protocol Version 2(IKEv2)」(2014年10月)に記載されているように、IKEの初期交換を開始することで、選択したN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立を進める。IKE SAの確立後、後続のIKEメッセージは暗号化され、このIKE SAで確立された鍵を使用して整合性が保護される。
次に、UE200は、ステップ908において、IKE_AUTH要求メッセージを送信することにより、IKE_AUTH交換を開始する。AUTHペイロードはIKE_AUTH要求メッセージに含まれず、このことは、IKE_AUTH交換が、EAPシグナリング(この場合はEAP-5Gシグナリング)を使用しなければならないことを示す。UE200は、このメッセージのUE IDフィールドを任意の乱数に等しく設定する。N3IWF204は、ステップ910において、EAP-Request/5G-Startパケットを含むIKE_AUTHレスポンスメッセージで応答する。EAP-Request/5G-Startパケットは、UE200に、EAP-5Gセッションを開始するよう通知する、つまり、EAP-5Gパケットの中にカプセル化されたNASメッセージの送信を開始するよう通知する。
UE200はまた、N3IWF証明書を有効にし、N3IWF204のIDがUEによって選択されたN3IWF204と一致することを確認し得る。N3IWF204からの証明書がないか、またはID確認に失敗すると、接続に失敗する可能性がある。次に、UE200は、ステップ912において、EAP-Response/5G-NASパケットを含むIKE_AUTH要求の中の登録要求を送信する。EAP-Response/5G-NASパケットは、GUAMI、選択されたPLMN ID、要求されたNSSAIなどのANパラメータと、登録要求を有するNAS PDUとを含む。次に、N3IWF204は、ステップ914において、AMF202を選択し、UE200から受信したNAS PDU内の登録要求をAMF202に転送する。
AMF202は、UE200を認証することを決定することができる。この場合、AMF202は、ステップ916でAUSF210を選択し、そのAUSF210に鍵要求を送信する。次に、AUSF210は、ステップ918で、AKA-ChallengeまたはAKA′-challengeなどの認証手順を開始することができる。AMF202とUE200との間で、認証パケットはNAS認証メッセージ内にカプセル化され、このNAS認証メッセージはEAP-5G/5G-NASパケット内にカプセル化される。NASメッセージの認証要求メッセージ内のEAP-Request/AKA′-Challengeメッセージが、ステップ920でAMFによってUE200に送信され、ステップ922でN3IWFによって転送される。このメッセージは、認証が成功した場合に作成される部分的ネイティブセキュリティコンテキストを識別するためにUE200及びAMF202によって使用されるngKSIを含み得る。UE200は、EAP-Request/AKA′-Challengeメッセージで受信したRAND及びAUTNを、UE200のUSIMに転送する。
RAND及びAUTNを受信すると、USIMは、AUTNを承認することができるかどうかを確認することにより、認証ベクトルを検証する。その場合、USIMはステップ923で認証レスポンスを計算する。UE200は、ステップ924において、NASメッセージのAuth-Respメッセージ内のEAP-Response/AKA′-Challengeメッセージを送信する。EAP-Response/AKA′-Challengeメッセージは、ステップ926でN3IWFによってAMFに送信され、次にステップ928でAUSF210に送信される。次に、AUSF210は、メッセージの検証を試みることになる。AUSF210は、このメッセージを成功裏に検証した場合、認証を続行する。しかしながら、AUSF210は、ステップ930において、認証を拒否し、非3GPPの5GCN100へのアクセスを許可しない場合がある。
先行する既知のシステムでは、AUSF210が認証失敗を判定すると、AUSF210はエラーを返す。新しく改良された方法では、AMF202は、5GCN100への非3GPPアクセスが許可されないことを伝えるために、新たな原因を生成する。例えば、AMF202は、例えば、サブスクリプションまたはネットワークの制限のために、5GCN100への非3GPPアクセスが許可されないことをUE200に伝えるために、新たなプライベートIKEv2通知メッセージタイプを生成することができる。
ステップ932において、AUSF210は、EAP失敗(EAP-Failure)のEAPペイロード(EapPayload)と、認証失敗(AUTHENTICATION_FAILURE)の認証結果(authenResult)とを含むHTTP EAPセッション(EAP-session)メッセージを原因とともに送信する。AMF202は、ステップ934で、登録拒否とEAP失敗のEAPメッセージ(EAP message)とを有する、5GMM原因を含むN2 NASトランスポートメッセージを生成する。5GMM原因(5GMM_cause)は、エラータイプがNON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWEDであることを示している。
N3IWF204は、5GCNへの非3GPPアクセスが許可されていないことを示す5GMM原因値と、EAP-Failureタイプメッセージとを含む登録拒否メッセージをカプセル化したAMF202からのレスポンスを受信する。N3IWF204は、ステップ936において、プライベート通知メッセージタイプ(例えば、8192・・・16383などの事前定義された範囲内の任意のプライベート通知メッセージタイプ)を有する通知(Notify)ペイロードを含むIKE_AUTHレスポンスメッセージを生成する。プライベートIKEv2通知メッセージには、「5GCへの非3GPPアクセスは許可されない(NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED)」の5GMM原因による登録拒否と、EAP-FailureのEAPメッセージタイプとを含むEAPレスポンス/5G-NAS PDUが含まれる。
このように、5GCN100への非3GPPアクセスが許可されていないことをUE200に伝えるために、新たな5GMM原因コードが実装される。この5GMM原因は、AMF202によって生成され、UE200がサブスクリプションまたはネットワークの制限により、非3GPPアクセスネットワーク110を介して5GCN100にアクセスすることが許可されていないPLMNでは、UE200が非3GPPアクセスを介してサービスを要求した場合に、この5GMM原因がUE200に送信される。したがって、UE200は、非3GPPアクセスネットワーク110を介して5GCN100へアクセスすることが拒否されたことを通知される。
UE200は、ステップ936において、N3IWF204から、プライベート通知メッセージタイプを有する通知ペイロードと、EAP-FailureのEAPメッセージと、NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWEDの5GMM原因とを含むIKE_AUTHレスポンスメッセージを受信する。この結果として、UE200は、単にエラーメッセージを受信するのではなく、理由付きの登録拒否通知を受信する。
次に、UE200は、ステップ938において、N3IWF204へのEAP-Response/5G-Stopメッセージを生成することにより、登録要求を終了する。UE200は、ステップ940において、N3IWF204から、EAP失敗メッセージ付きのIKE_AUTHレスポンスメッセージを受信する。
N3IWF204からEAP失敗メッセージを受信すると、UE200は、IKEv2 SA削除手順を実行し、ステップ942でIKE SAを閉じる。本例では、サブスクリプションまたはネットワークの制限という修正不能なエラーのため、UE200は、スイッチを切るか、またはUSIMを含むUICCが除去されるまで、同じPLMNからN3IWF204へのIKE SA及びIPsec SAの確立を再開始しない。UE200は、ステップ944で、IKEv2 SA削除の情報(INFORMATIONAL)メッセージを送信してもよい。その後、N3IWF204は、ステップ946でIKEv2 SAを閉じることができる。
実施形態 - ユーザプレーンのIPsec SAの確立が承認されないときに対処するための方法及びプロトコルの高度化
図10は、ユーザプレーンIPsecセキュリティアソシエーション(SA)の確立が承認されないときのネットワークノード機能間のメッセージフローのための方法の実施形態の論理フロー図を示す。UE200は、ステップ1002において、信頼されていない非3GPPアクセスネットワーク(N3AN)110、例えば、パブリックWLANに、802.1xプロトコルを使用して接続する。UE200が5GCN100にアタッチすることを決定すると、UE200は、ステップ1004において、5G PLMN内のN3IWF204を選択する。UE200は、ステップ1006でIKE初期交換を開始することにより、選択されたN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立を進める。本実施形態では、UE200は、1008で、選択されたN3IWF204に対してIKE SA及びシグナリングIPsec SAを正常に確立する。例えば、図3に示すように、例えば、EAP-AKA′手順などのUE200の認証が成功し、EAP-5Gが完了する。
図10は、ユーザプレーンIPsecセキュリティアソシエーション(SA)の確立が承認されないときのネットワークノード機能間のメッセージフローのための方法の実施形態の論理フロー図を示す。UE200は、ステップ1002において、信頼されていない非3GPPアクセスネットワーク(N3AN)110、例えば、パブリックWLANに、802.1xプロトコルを使用して接続する。UE200が5GCN100にアタッチすることを決定すると、UE200は、ステップ1004において、5G PLMN内のN3IWF204を選択する。UE200は、ステップ1006でIKE初期交換を開始することにより、選択されたN3IWF204とのIPsecセキュリティアソシエーション(SA)の確立を進める。本実施形態では、UE200は、1008で、選択されたN3IWF204に対してIKE SA及びシグナリングIPsec SAを正常に確立する。例えば、図3に示すように、例えば、EAP-AKA′手順などのUE200の認証が成功し、EAP-5Gが完了する。
次に、UE200は、1010でPDUセッション確立要求メッセージをAMF202に送信して、ユーザプレーンIPsec SAを確立する。このPDUセッション確立要求メッセージは、シグナリングIPsec SAを介してN3IWF204に送信され、N3IWF204は、このメッセージを、ステップ1012で、5GCN100のAMF202に透過的に転送する。AMF202は、ステップ1014で、SMF206とのセッション管理(SM)コンテキストを作成することができる。AMF202は、NAS N2インタフェースPDUセッション要求メッセージをN3IWF204に送信して、例えば、ステップ1016で、N2 PDUセッションリソースセットアップ要求において、このPDUセッションのためのアクセスリソースを確立する。PDUセッション要求は、PDUセッションID、PDUセッション確立承認、QFI、QoSプロファイルなどを含み得る。
独自のポリシー及び構成に基づいて、かつN2 PDUセッション要求で受信したQoSプロファイルに基づいて、N3IWF204は、確立するユーザプレーンIPsec SAの数と、各ユーザプレーンIPsec SAに関連付けられたQoSプロファイルとを判定する。例えば、N3IWF204は、1つのユーザプレーンIPsec SAを確立し、全てのQoSプロファイルをこのユーザプレーンIPsec SAに関連付けることを決定することができる。本例では、PDUセッションの全てのQoSフローは、1つのユーザプレーンIPsec SAを介して転送される。別の例では、N3IWF204は、複数のユーザプレーンIPsecチャイルドSAを確立し、特定のQoSプロファイルを、複数のユーザプレーンIPsecチャイルドSAのうちの種々のユーザプレーンIPsecチャイルドSAに関連付けることを決定し得る。
N3IWF204は、ステップ1018で、PDUセッションのための第1のユーザプレーンIPsecチャイルドSAを確立するために、IKE Creat_Child_SA要求をUE200に送信する。IKE Create_Child_SA要求は、SAup1のIDを持つ第1のユーザプレーンIPsecチャイルドSAを示す。この要求には、(a)チャイルドSAに関連付けられたQFI(複数可)、(b)このチャイルドSAに関連付けられたPDUセッションのID、(c)任意選択で、チャイルドSAに関連付けられたDSCP値、及び(d)UP_IP_ADDRESSを含む3GPP固有の通知(Notify)ペイロードが含まれ得る。IKE Create_Child_SA要求は、SAペイロード、N3IWF204及びUE200のトラフィックセレクタ(Traffic Selector)(TS)などの他の情報を含む場合もある。
UE200が新たなIPsecチャイルドSAを承認すると、UE200は、ステップ1020で、IKE Create_Child_SAレスポンスを送信する。UE200及びN3IWF204は、ステップ1022で、複数のIPsecチャイルドSAを確立するために、IKE Create_Child_SA要求及びレスポンスの複数回の繰り返しをやり取りし得る。追加のIPsecチャイルドSAが確立され、それぞれが1つ以上のQFI(複数可)とUP_IP_ADDRESSとに関連付けられる。
ステップ1024でのユーザプレーンIPsec SA要求が、ステップ1026でのように、UE200によって承認されない場合、UE200は、ステップ1026で、エラータイプの通知ペイロードを有するCREATE_CHILD_SAレスポンスメッセージをN3IWF204に送信する。通知メッセージのタイプは「エラー」であり得る。「エラー」の通知メッセージタイプは、IPsecチャイルドSAがUE200によって承認されないことを示す。
エラータイプの通知ペイロードを含むCREATE_CHILD_SAレスポンスメッセージを受信すると、N3IWF204は、非3GPPアクセスを介したPDUセッション確立の拒否をトリガするために、ステップ1032でN2 PDUセッションリソースセットアップレスポンスメッセージを介して、AMF202に、失敗と、セットアップに失敗したPDUセッションリソースのリストとを示す。あるいは、N3IWF204が、以前にPDUセッションのQoSフロー識別子(QFI)用に、複数のユーザプレーンIPsec SAを作成することを決定し、PDUセッションの1つ以上のユーザプレーンIPsec SAがすでにアクティブである場合、ネットワークは、ステップ1028及び1030に示すように、障害が発生したユーザプレーンIPsec SAのQFI(複数可)を、すでに確立されているユーザプレーンIPsec SAにマッピングすることにより、PDUセッションの確立を完了することを選択することができる。
ステップ1034で、PDUセッション確立拒否メッセージを示すNAS PDUを含むN2 PDUセッションリソース解放コマンドを受信すると、N3IWF204は、ステップ1036で、このPDUセッション確立拒否をUE200へ透過的に転送する。専用の5Gセッション管理(5GSM)原因(5GSM_cause)「IPsec SA障害」が、PDUセッション拒否の理由を示すために定められている。
実施形態 - 非3GPPアクセスのためのプライベートIKEv2通知メッセージタイプ
以下の表2に、非3GPPアクセス用の通知メッセージのタイプを示す。本例では、プライベートIKEv2通知メッセージ及びプライベートエラータイプを説明しているが、他のメッセージプロトコル、値、及びエラータイプを、5GCN100への非3GPPアクセスが許可されないときに、UE200へ理由またはエラーの通知を提供するのに使用してもよい。
以下の表2に、非3GPPアクセス用の通知メッセージのタイプを示す。本例では、プライベートIKEv2通知メッセージ及びプライベートエラータイプを説明しているが、他のメッセージプロトコル、値、及びエラータイプを、5GCN100への非3GPPアクセスが許可されないときに、UE200へ理由またはエラーの通知を提供するのに使用してもよい。
本例では、プライベートIKEv2通知メッセージタイプが非3GPPアクセス使用のために定義されている。8192~16383の値(10進数)を持つ通知メッセージタイプが、プライベートエラー使用のために予約されているが、他の値やフィールドが実装されている場合もある。40960~65535の値(10進数)を持つ通知メッセージタイプが、プライベートステータスでの使用のために予約されている。本明細書では、本明細書で使用されるプライベートIKEv2通知メッセージタイプのみを説明する。表2で定義されているプライベート通知メッセージのエラータイプは、5GCN100への非3GPPアクセスのネゴシエーション中のエラーを示すエラー通知である。例えば、エラータイプは、5GCN100への非3GPPアクセスのためのIKEv2 SAまたはIPsec SAのネゴシエーションに応答して生成され得る。プライベート通知メッセージタイプのフィールド及び値は例にすぎず、同様の意味を示す他のフィールド/値を実装してもよい。
表2
非3GPPアクセス用の通知メッセージのタイプ
表2
非3GPPアクセス用の通知メッセージのタイプ
UE200は、5GCN100への非3GPPアクセスが許可されていないことを示すエラータイプを伴うメッセージを受信することができる。この結果として、UE200は、非3GPPアクセスネットワーク110を介して5GCN100へアクセスすることが拒否されたことを通知される。
実施形態 - 5GCネットワークへの非3GPPアクセスのためのサブスクリプションがないために認証失敗を通知するための原因コード
図11は、5GMM原因情報要素1100の実施形態の概略ブロック図を示す。5GMM原因情報要素1100は、5GMM原因情報要素インディケータ(IEI)1104及び原因値1106を含む。原因値1106は、UE200から5GCN100へのアクセスを求める5GMM要求がネットワークによって拒否される理由を示す。本実施形態においては、「5GCNへの非3GPPアクセスは許可されていない」に新たな原因コードが対応する。この5GMM原因は、サブスクリプション、ネットワーク制限、またはその他の認証失敗により、UE200が非3GPPアクセスを介して5GCN100にアクセスすることを許可されていないPLMNにおいて、UE200が非3GPPアクセスを介してサービスを要求した場合に、UE200に送信される。
図11は、5GMM原因情報要素1100の実施形態の概略ブロック図を示す。5GMM原因情報要素1100は、5GMM原因情報要素インディケータ(IEI)1104及び原因値1106を含む。原因値1106は、UE200から5GCN100へのアクセスを求める5GMM要求がネットワークによって拒否される理由を示す。本実施形態においては、「5GCNへの非3GPPアクセスは許可されていない」に新たな原因コードが対応する。この5GMM原因は、サブスクリプション、ネットワーク制限、またはその他の認証失敗により、UE200が非3GPPアクセスを介して5GCN100にアクセスすることを許可されていないPLMNにおいて、UE200が非3GPPアクセスを介してサービスを要求した場合に、UE200に送信される。
図12は、5GMM原因情報要素の値の実施形態の概略ブロック図を示す。この例では、所定の値が「5GCNへの非3GPPアクセスは許可されていない」に対応する。UE200によって受信される他の値が、「プロトコルエラー、詳細不明」として扱われる。ネットワークが受信したその他の何らかの値も「プロトコルエラー、詳細不明」として扱われる。5GMM原因情報要素のフィールド及び値は例にすぎず、同様の意味を示す他のフィールド/値を実装してもよい。
図13は、N3IWF204の方法1300の実施形態の論理フロー図を示す。N3IWF204は、ステップ1302で1つ以上のプロトコルを使用して、5GCN100内のノードと第1のインタフェースを使用して通信する。N3IWF204は、ステップ1304で、IEEE 802.1x WLANプロトコルに準拠したWLANトランシーバなどの少なくとも第2のインタフェースを使用して、非3GPPアクセスネットワークを介してUEと通信する。
N3IWF204は、ステップ1306で、信頼されていないアクセスネットワーク内のUE200からコアネットワークへ安全な接続を確立するための登録要求を処理する。例えば、N3IWF204は、UE200からのANパラメータ及び登録要求を含むEAP-Response/5G-NASメッセージを受信する。N3IWF204は、UE200の認証及びサブスクリプションチェックのために、メッセージを5GCN100に転送する。例えば、N3IWF204は、認証及びサブスクリプションチェックの要求を生成し、この認証及びサブスクリプションチェックの要求を、AMF202に向けて、第2のインタフェースを介して送信する。
N3IWF204は、例えば、修復不能なエラーのために、ステップ1308で、接続の確立がコアネットワークによって承認されないと判定する。例えば、AMF202は、AUSF210から認証失敗のレスポンスを受信する。AMF202は、登録拒否を有するNASトランスポートメッセージと、5GMM原因を含むEAP失敗のEAPメッセージとを生成する。5GMM原因(5GMM_cause)は、エラータイプがNON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWEDであることを示している。N3IWF204は、5GCNへの非3GPPアクセスが許可されていないことを示す5GMM原因値を含む登録拒否メッセージをカプセル化したAMF202からのレスポンスを受信する。
N3IWF204は、UEへのレスポンスメッセージを生成し、このレスポンスメッセージは、ステップ1310において、信頼されていないネットワークアクセスを介した接続の確立が、コアネットワークによって許可されていないことを示す原因値を含む。例えば、N3IWF204は、接続の確立が5GCN100によって承認されないことを示すメッセージタイプまたはEAP-Failureを含むペイロードと、5GMM原因とを有するインターネット鍵交換(IKE)レスポンスメッセージを生成する。UE200へのEAP-Response/5G-NASメッセージには、EAP-Failureフィールドと5GMM原因とを含む登録拒否メッセージが含まれる。登録拒否メッセージの5GMM原因は、非3GPPアクセスが5GCN100によって許可されないことを示す。
実施形態では、UEへのIKEレスポンスメッセージは、プライベート通知メッセージタイプ(例えば、8192・・・16383などの事前定義された範囲内の任意のプライベート通知メッセージタイプ)を有する通知(Notify)ペイロードを含むIKE_AUTHレスポンスメッセージを含み得る。プライベートIKEv2通知メッセージには、「5GCへの非3GPPアクセスは許可されない(NON_3GPP_ACCESS_TO_5GCN_NOT_ALLOWED)」の5GMM原因による登録拒否と、EAP-FailureのEAPメッセージタイプとを含むEAPレスポンス/5G-NAS PDUが含まれる。
N3IWF204は、ストップメッセージを含むUE200からのレスポンスを処理し、それに応答してUE200への失敗メッセージを生成する。例えば、UE200は、EAP-Response/5G-StopメッセージをN3IWF204に送信して、5GCN100との安全なセッション確立のための登録要求の終了を示す。EAP-responseパケットには、5G停止のメッセージタイプ識別子が含まれている。UE200からEAP-Response/5G-Stopメッセージを受信した後、N3IWF204は、EAP-FailureメッセージをUE200に送信することにより、EAP-5Gの手順を終了する。N3IWF204は、方法1300でこれらのステップを実行するものとして説明されているが、UE及びコアネットワークと通信する他のノードまたはモジュールが、本明細書で説明されるステップのうちの1つ以上を行ってもよい。
図14は、修復可能なエラーによる認証失敗を伴う、信頼されていないアクセスネットワークを介したコアネットワークへの登録要求の方法1400の実施形態の論理フロー図を示す。UE200は、ステップ1402で、非3GPPアクセスネットワークを介して5GCN100内のインターワーキング機能(N3IWF204など)へ通信するように構成される。UE200は、1404で、非3GPPアクセスネットワークを介した5GCN100への登録を要求し得る。UE200は、1406で、5GCN100への非3GPPアクセスが許可されていないという通知を含むレスポンスメッセージを処理する。UE200は、ステップ1408において、エラーまたは拒否理由が修復可能であると判定する。UE200は、この第2の登録要求におけるパラメータを第1の試行から修正することができる。あるいは、UEは、同じパラメータを用いて後で登録を再試行することを決定することができる。次に、UE200は、1410で、非3GPPアクセスネットワークを介して、第2の登録要求を5GCN100に送信する。次に、UE200は、ステップ1412で、セッションの確立が成功したというレスポンスを処理する。
図15は、修復不能なエラーによる認証失敗を伴う、信頼されていないアクセスネットワークを介したコアネットワークへの登録要求の方法1500の実施形態の論理フロー図を示す。UE200は、ステップ1502で、非3GPPアクセスネットワークを介して5GCN100内のインターワーキング機能(N3IWF204など)へ通信するように構成される。UE200は、1504で、非3GPPアクセスネットワークを介した5GCN100への登録を要求し得る。UE200は、1506で、5GCN100への非3GPPアクセスが許可されていないという通知を含むレスポンスメッセージを処理する。UE200は、ステップ1508において、エラーまたは拒否理由が修復可能ではないと判定する。UE200は、ステップ1510において、セッションを終了し、ストップメッセージを含むレスポンスを生成する。UE200は、ステップ1512において、失敗メッセージを受信し、削除手順を実行して、セッションを閉じる。
図16は、例示的なユーザ機器200の実施形態の概略ブロック図を示す。ユーザ機器(UE)200は、非3GPPアクセスネットワーク110を介して通信するように動作可能なスマートフォン、スマートタブレット、ラップトップ、スマートウォッチ、PC、テレビまたは他のデバイスを含み得る。追加または代替の構成要素及び機能が、UE200内に含まれてもよい。さらに、本明細書に示す機能及び構成要素のうちの1つ以上は、存在しない場合があり、または他の構成要素もしくは機能と組み合わされない場合がある。
UE200は、UE200に関して本明細書で説明される機能のうちの1つ以上を実行するように構成された処理デバイス1600及びメモリデバイス1602を含む。メモリデバイス1602は、本明細書で説明される様々な機能を実行するように処理デバイス1600を制御するアプリケーション及び動作命令を格納する管理対象オブジェクト1604を含み得る。UE200はまた、IMSIの記憶のためのUSIM1608を含むUICC1606を含み得る。他の実施形態では、例えば、UE200はUICC1606を有さない、UE200は動作不能なUICC1606を有するなど、UE200はUICC機能を有さない。
UE200は、ブルートゥーストランシーバ1610、WLAN(IEEE 802.11x準拠)トランシーバ1612、モバイルRF(3G/4G)トランシーバ1614、及びGPS1616をさらに含み得る。WLANトランシーバ1612は、WLANネットワークへの非3GPPアクセスインタフェースとして動作し得る。UE200は、ユーザインタフェース1618、ACアダプタ1620、バッテリモジュール1622、USBトランシーバ1624、及びイーサネットポート1628をさらに含み得る。
UE200は、デジタルカメラ1630、タッチスクリーンコントローラ1632、スピーカ1634、及びマイクロフォン1636をさらに含み得る。UE200はまた、電力管理ユニット1638を含み得る。1つ以上の内部通信バス(図示せず)が、UE200の構成要素のうちの1つ以上を通信可能に結合し得る。
図17は、例示的なAMF202の実施形態の概略ブロック図を示す。AMF202は、AMF202の機能性を備えた任意の1つ以上のノードを含む。AMF202は、5GCN100内の他のノードと統合され得る。追加または代替の構成要素及び機能が、AMF202内に含まれてもよい。さらに、本明細書に示す機能及び構成要素のうちの1つ以上は、存在しない場合があり、あるいは他の構成要素または機能もしくはノードと組み合わされない場合がある。AMF202は、AMF202に関して本明細書で説明される機能のうちの1つ以上を実行するように構成された処理デバイス1700及びメモリデバイス1702を含む。AMF202は、5GCN100内の他のネットワークノードとインタフェースするためのポートを含むネットワークインタフェース1704を含み得る。
図18は、例示的なN3IWF204の実施形態の概略ブロック図を示す。N3IWF204は、ワイヤレスローカルエリアネットワーク内のアクセスポイント、ローカルエリアネットワーク内のゲートウェイ、または本明細書で説明されるインターワーキング機能を含む他のタイプのノードであり得る。N3IWF204は、アクセスネットワークまたは5GCN100内の他のノードと統合させてもよい。追加または代替の構成要素及び機能が、N3IWF204内に含まれてもよい。さらに、本明細書に示す機能及び構成要素のうちの1つ以上は、存在しない場合があり、または他の構成要素もしくは機能と組み合わされない場合がある。
N3IWF204は、本明細書で説明される機能のうちの1つ以上を実行するように構成された処理デバイス1800及びメモリデバイス1802を含む。N3IWF204は、5GCN100内の他のネットワークノードとインタフェースするための第1のネットワークインタフェース1804(例えば、イーサネットポート、IPポート)を含み得る。N3IWF204はまた、WLANトランシーバ1806(例えば、IEEE 802.1x WLANタイプのネットワークに準拠)など、UEと通信するための1つ以上の他のタイプのインタフェースを含み得る。N3IWF204はまた、セルラエアインタフェースに準拠したモバイルRFトランシーバ1808を含み得る。UE200は、WLANトランシーバ1806またはモバイルRFトランシーバ1808のうちの1つ以上を使用して、N3IWF204と通信し得る。
実施形態では、処理デバイスは、信頼されていない非3GPPアクセスネットワークを介してUE200からIPsecセキュリティアソシエーション(SA)要求を受信し、IKEプロトコルなど、信頼されていない非3GPPアクセスネットワーク内のUE200の認証プロトコルを実行するように構成される。次に、N3IWF204は、IPsec SA要求がコアネットワークによって承認されないことを示す認証レスポンスを取得することができる。その後、N3IWF204は、UE200への認証レスポンスを生成することができ、この認証レスポンスは、信頼されていないアクセスネットワークを介したUE200によるコアネットワークへのアクセスが拒否されることを示す。
本明細書に記載の処理デバイスは、マイクロプロセッサ、マイクロコントローラ、デジタルシグナルプロセッサ、マイクロコンピュータ、中央処理装置、フィールドプログラマブルゲートアレイ、プログラマブルロジックデバイス、ステートマシン、ロジック回路、アナログ回路、デジタル回路、及び/または回路のハードコーディング及び/または動作命令に基づいて信号(アナログ及び/またはデジタル)を操作する任意のデバイスなどの少なくとも1つの処理デバイスを含む。メモリデバイスは、非一時的メモリデバイスであり、内部メモリまたは外部メモリであり得、メモリは、単一のメモリデバイスまたは複数のメモリデバイスであり得る。メモリデバイスは、読み出し専用メモリ、ランダムアクセスメモリ、揮発性メモリ、不揮発性メモリ、静的メモリ、動的メモリ、フラッシュメモリ、キャッシュメモリ、及び/またはデジタル情報を格納する任意の非一時的メモリデバイスであり得る。用語「モジュール」は、本明細書の要素の1つ以上の実施形態の説明で使用される。モジュールは、本明細書で説明され得るように、1つ以上の機能を実行するように動作可能な1つ以上の処理デバイス及び/または1つ以上の非一時的メモリデバイスを含む。モジュールは、独立して及び/または他のモジュールと組み合わせて動作し得、他のモジュールの処理デバイス及び/またはメモリ及び/または他のモジュールの動作命令を利用し得る。本明細書でも使用されるように、モジュールは、1つ以上のサブモジュールを含み得、そのそれぞれは、1つ以上のモジュールであり得る。
本明細書で使用され得るように、「動作可能な」または「構成可能な」という用語は、要素が、記載された、または必要な対応する機能のうちの1つ以上を実行するための回路、命令、モジュール、データ、入力(複数可)、出力(複数可)などのうちの1つ以上を含むことを示し、記載された、または必要な対応する機能を実行するために、1つ以上の他のアイテムへの推論的結合をさらに含み得る。本明細書でも使用されることがあるように、用語(複数可)「結合された」、「~に結合された」、「~に接続された」及び/または「接続している」または「相互に接続される」は、ノード/デバイス間の直接的な接続またはリンク、及び/またはノード/デバイス間の間接的な接続を、介在するアイテム(例えば、アイテムは、構成要素、要素、回路、モジュール、ノード、デバイス、ネットワーク要素などを含むが、これらに限定されない)を介して含む。本明細書でさらに使用され得るように、推論的接続(すなわち、1つの要素が推論によって別の要素に接続されている場合)は、「接続されている」と同様に、2つのアイテム間の直接的及び間接的な接続を含む。
本開示の態様は、本明細書では、概略図、フローチャート、流れ図、構造図、またはブロック図として示されるプロセスとして説明され得ることに留意されたい。フローチャートは動作を順序プロセスとして説明する場合があるが、動作の多くは並行してまたは同時に実行することができる。さらに、動作の順序を再整理する場合がある。プロセスは、その動作が完了した時点で終了する。プロセスは、方法、関数、プロシージャ、サブルーチン、サブプログラムなどに対応し得る。プロセスが関数に対応する場合、その終了は、呼び出し元の関数、またはメイン関数への関数の戻りに対応する。
本明細書に記載された本開示の様々な特徴は、本開示から逸脱することなく、様々なシステム及びデバイスに実装することができる。本開示の上記の態様は単なる例にすぎず、本開示を限定するものとして解釈されるべきではないことに留意すべきである。本開示の態様の説明は、例示を意図するものであり、特許請求の範囲を限定するものではない。したがって、本教示は、他のタイプの装置に容易に適用することができ、多くの代替、修正、及び変形が当業者には明らかであろう。
上記の明細書では、本発明の特定の代表的な態様が、特定の例を参照して説明されている。しかしながら、特許請求の範囲に記載されている本発明の範囲から逸脱することなく、様々な修正及び変更を行い得る。本明細書及び図は、限定的ではなく例示的なものであり、修正は、本発明の範囲内に含まれることが意図されている。したがって、本発明の範囲は、単に記載された例によってではなく、特許請求の範囲及びそれらの法的同等物によって決定されるべきである。例えば、任意の装置請求項に記載された構成要素及び/または要素は、組み立てられ得、または別の方法で、様々な組み合わせで作動的に構成され得、したがって、請求項に記載された特定の構成に限定されない。
さらに、特定の実施形態に関して、特定の利益、他の利点、及び問題に対する解決策が上記で説明されているが、任意の特定の利益、利点、問題に対する解決策、あるいは任意の特定の利益、利点、または解決策を発生させる、もしくはより顕著になる可能性のある要素は、請求項のいずれかまたは全ての特許請求の範囲の重要な、必須の、または本質的な特徴もしくは構成要素として解釈されるべきではない。
本明細書で使用するとき、用語「備える(comprise)」、「備える(comprises)」、「備えている(comprising)」、「有している(having)」、「含んでいる(including)」、「含む(includes)」またはそれらの任意の変形は、要素のリストを構成するプロセス、方法、成形品、組成物または装置が、引用された要素のみを含むのではなく、明示的にリストされていない他の要素またはそのようなプロセス、方法、成形品、組成物もしくは装置に固有の要素を含むことができるように、非排他的な包含を参照することを意図している。本発明の実施において使用される上記の構造、配置、用途、割合、要素、材料、または構成要素の他の組み合わせ及び/または変更は、特に言及されていないものに加えて、同様の一般原則から逸脱することなく、特定の環境、製造仕様、設計パラメータ、または他の動作要件に変化させるか、または別の方法で特別に適合させることができる。
さらに、単数形の要素への言及は、特に明記されていない限り、「1つだけ(one and only one)」を意味するのではなく、「1つ以上(one or more)」を意味することが意図されている。特に明記されていない限り、「一部」という用語は、1つまたは複数のものを指す。当業者に知られている、または後に知られるようになる、本開示を通して記載された様々な態様の要素に対する全ての構造的及び機能的均等物は、参照により本明細書に明示的に組み込まれ、特許請求の範囲に包含されることが意図されている。さらに、本明細書に開示されているものは、そのような開示が特許請求の範囲に明示的に記載されているかどうかにかかわらず、公衆に提供されることを意図していない。いかなる特許請求の要素も、その要素が明示的に「手段」(means for)という語句を用いて記載されているか、または方法クレームの場合には、その要素が「ステップ」(step for)という語句を用いて記載されているかでない限り、米国特許法第112条(f)の定めにより、「ミーンズプラスファンクション」(means-plus-function)タイプの要素として解釈されることを意図していない。
Claims (13)
- 信頼されていない非第3世代パートナシッププロジェクト(非3GPP)アクセスネットワークを介した第5世代コアネットワーク(5GCN)へのネットワーク接続を管理するためのインターワーキング機能ノード(N3IWF)であって、前記N3IWFは、
前記信頼されていない非3GPPアクセスネットワークを介してユーザ機器(UE)と通信するように構成された第1のネットワークインタフェースと、
前記5GCN内のアクセス及びモビリティ管理機能(AMF)と通信するように構成された第2のネットワークインタフェースと、
処理デバイスであって、
前記信頼されていない非3GPPアクセスネットワークを介して前記UEから受信された、前記5GCNへの安全な接続を確立するための要求を処理して、前記5GCNの前記AMFへの要求を生成することと、
前記第2のネットワークインタフェースを介して、前記5GCN内の前記AMFに、認証及び安全な接続確立要求を提供することと、
前記認証及び安全な接続確立要求に応答する前記5GCN内の前記AMFからのレスポンスに基づいて、信頼されていない非3GPPアクセスネットワークを介した安全な接続の確立が前記5GCNによって許可されないと判定することと、
いずれの信頼されていない非3GPPアクセスネットワークを介した前記5GCNへのアクセスも前記5GCNが許可しないことを示す5Gモビリティ管理(5GMM)原因値を含むレスポンスメッセージを前記UEに提供することと、
前記レスポンスメッセージに応答して、前記UEから、前記信頼されていない非3GPPアクセスネットワークを介した前記5GCNへの前記安全な接続を確立するための前記要求を終了するストップメッセージを受信することであって、前記ストップメッセージは、メッセージ識別子フィールドを含み、前記メッセージ識別子フィールドは、前記信頼されていない非3GPPアクセスネットワークを介した前記5GCNへの前記安全な接続を確立するための前記要求を前記UEが終了するつもりであることを示す5G-Stop識別子を含む、前記受信することと、
を前記N31WFに実行させるように構成されている、処理デバイスと
を備える、N3IWF。 - 前記処理デバイスは、さらに、
前記UEから、前記信頼されていない非3GPPアクセスネットワークを介して、前記第1のネットワークインタフェースを通じて、前記5GCNへの前記安全な接続を確立するための前記要求を受信することと、
前記5GCNの前記AMFから、前記第2のネットワークインタフェースを通じて、認証及びサブスクリプションチェックのための要求に対する前記レスポンスを受信することと、
いずれの信頼されていない非3GPPアクセスネットワークを介した安全な接続確立も前記5GCNが許可しないことを示す前記5GMM原因値を含む非アクセス層(NAS)ペイロードを有するインターネット鍵交換(IKE)レスポンスメッセージを前記UEに対して生成することと、
を前記N31WFに実行させるように構成されている、請求項1に記載のN3IWF。 - 前記処理デバイスは、さらに、
前記5GCNの前記AMFから、いずれの信頼されていない非3GPPアクセスネットワークを介した前記5GCNへの安全な接続確立も前記5GCNが許可しない旨のインディケーションを含む登録拒否メッセージをカプセル化しているレスポンスを受信することと、
信頼されていない非3GPPアクセスネットワークを介した前記5GCNとの安全な接続確立を前記5GCNが許可しないことを示すメッセージタイプを含むペイロードを有する前記IKEレスポンスメッセージを生成することと、
を前記N31WFに実行させるように構成されている、請求項2に記載のN3IWF。 - 前記処理デバイスは、さらに、
失敗理由を示すプライベート通知メッセージタイプを含む通知ペイロードを有する前記IKEレスポンスメッセージを生成すること、または
信頼されていない非3GPPアクセスネットワークを介した前記5GCNとの接続確立及び接続が前記5GCNによって許可されないことを示す前記プライベート通知メッセージタイプを含む前記通知ペイロードを有する前記IKEレスポンスメッセージを生成すること、
のいずれかによって前記N31WFに前記IKEレスポンスメッセージを生成させるように構成されている、請求項2に記載のN3IWF。 - 前記処理デバイスは、さらに、
前記UEから前記ストップメッセージを受信したことに応答して、前記UEに対して失敗メッセージを生成することと、
前記UEから受信された前記ストップメッセージを処理することであって、前記ストップメッセージはメッセージ識別子フィールドを有する5G-Stopメッセージ形式を含み、前記メッセージ識別子フィールドは5G-Stop識別子を含む、前記処理することと、
を前記N31WFに実行させるように構成されている、請求項1に記載のN3IWF。 - 前記信頼されていない非3GPPアクセスネットワークを介して前記UEから受信された安全な接続確立のための登録要求が、前記5GCNとのIPsecセキュリティアソシエーション(SA)を開始するためのIKE要求メッセージを含む、請求項1に記載のN3IWF。
- 第5世代コアネットワーク(5GCN)のインターワーキング機能ノード(N3IWF)からのネットワーク接続要求に対処するためのアクセス及びモビリティ管理機能(AMF)デバイスであって、前記AMFデバイスは、
前記5GCN内の前記N3IWF並びに認証及びサブスクリプション機能(AUSF)と通信するように構成されたネットワークインタフェースと、
処理デバイスであって、
前記N3IWFがユーザ機器(UE)から受信した、信頼されていない非第3世代パートナシッププロジェクト(非3GPP)アクセスネットワークを介した前記5GCNとの安全な接続を確立するための登録要求に関連する認証及び安全な接続確立要求を、前記N3IWFから前記ネットワークインタフェースを介して受信することと、
前記認証及び安全な接続確立要求を受信したことに応答して、前記5GCNの前記AUSFに、認証及びサブスクリプションチェックのための要求を提供することと、
前記AUSFによる前記認証及びサブスクリプションチェックが失敗したと判定したことに応答して、いずれの信頼されていない非3GPPアクセスネットワークを介した前記5GCNへのアクセスも前記5GCNが許可しない旨のインディケーションをレスポンスメッセージにカプセル化することにより、前記N3IWFから受信された前記認証及び安全な接続確立要求に応答して前記レスポンスメッセージを生成することと、
前記レスポンスメッセージを前記N3IWFに提供することと、
を前記AMFデバイスに実行させるように構成されている、処理デバイスと
を備える、AMF。 - 前記処理デバイスは、さらに、
いずれの信頼されていない非3GPPアクセスネットワークを介した前記5GCNとの安全な接続確立も前記5GCNが許可しない旨の前記インディケーションを含む登録拒否メッセージを前記レスポンスメッセージにカプセル化することを前記AMFデバイスに実行させるように構成されている、請求項7に記載のAMFデバイス。 - 前記処理デバイスは、さらに、
前記レスポンスメッセージに、拡張認証プロトコル(EAP)失敗インディケーションを生成することを前記AMFデバイスに実行させるように構成されている、請求項8に記載のAMFデバイス。 - ユーザ機器(UE)であって、
信頼されていない非第3世代パートナシッププロジェクト(非3GPP)アクセスネットワークを介して第5世代コアネットワーク(5GCN)のインターワーキング機能ノード(N3IWF)と通信するように構成されたネットワークインタフェースと、
処理デバイスであって、
前記5GCNとの安全な接続確立のための登録要求を生成することと、
前記信頼されていない非3GPPネットワークを介して、前記5GCNの前記N3IWFに、前記5GCNとの安全な接続確立のための前記要求を含むメッセージを送信することと、
前記要求に応答して、前記5GCNの前記N3IWFから、いずれの信頼されていない非3GPPアクセスネットワークを介した前記5GCNとの安全な接続確立も前記5GCNが許可しないことを示す5Gモビリティ管理(5GMM)原因値を含むレスポンスメッセージを受信することと、
前記レスポンスメッセージから、いずれの信頼されていない非3GPPアクセスネットワークを介した前記5GCNとの安全な接続確立も前記5GCNが許可しないと判定することと、
いずれの信頼されていない非3GPPアクセスネットワークを介した前記5GCNとの安全な接続確立も前記5GCNが許可しない場合、ストップメッセージを生成することであって、前記ストップメッセージは、メッセージ識別子フィールドを含み、前記メッセージ識別子フィールドは、前記信頼されていない非3GPPアクセスネットワークを介した前記5GCNへの前記安全な接続を確立するための前記要求を前記UEが終了するつもりであることを示す5G-Stop識別子を含む、前記生成することと、
前記ストップメッセージの前記メッセージ識別子フィールド内の前記5Gストップ識別子を5G-Stopに設定することと、
前記信頼されていない非3GPPネットワークを介した前記5GCNとの前記安全な接続確立のための前記登録要求を終了するために、前記ストップメッセージを前記5GCNの前記N3IWFに向けて送信することと、
を前記UEに実行させるように構成されている、処理デバイスと
を備える、UE。 - 前記処理デバイスは、さらに、
前記5GCNへの安全な接続確立のための前記登録要求の終了を示す前記ストップメッセージを生成することと、
前記信頼されていない非3GPPネットワークを介して前記5GCNの前記N3IWFに前記ストップメッセージを送信することと、
を前記UEに実行させるように構成されている、請求項10に記載のUE。 - 前記処理デバイスは、さらに、
5G-Stopに設定されたメッセージ識別子フィールドを含む拡張認証プロトコル(EAP)-Response形式のメッセージとして前記ストップメッセージを生成することを前記UEに実行させるように構成されている、請求項11に記載のUE。 - 前記処理デバイスは、さらに、
前記N3IWFからのEAP失敗メッセージを処理することと、
セキュリティアソシエーション(SA)の削除手順を実行することと、
を前記UEに実行させるように構成されている、請求項12に記載のUE。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862692722P | 2018-06-30 | 2018-06-30 | |
| US62/692,722 | 2018-06-30 | ||
| JP2020573395A JP7317056B2 (ja) | 2018-06-30 | 2019-06-28 | 5gcnへの非3gppアクセスが許可されない失敗の対処 |
| PCT/US2019/039992 WO2020006515A1 (en) | 2018-06-30 | 2019-06-28 | Handling failure of non-3gpp access to 5gcn not being allowed |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020573395A Division JP7317056B2 (ja) | 2018-06-30 | 2019-06-28 | 5gcnへの非3gppアクセスが許可されない失敗の対処 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2023156302A JP2023156302A (ja) | 2023-10-24 |
| JP7612286B2 true JP7612286B2 (ja) | 2025-01-14 |
Family
ID=67470646
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020573395A Active JP7317056B2 (ja) | 2018-06-30 | 2019-06-28 | 5gcnへの非3gppアクセスが許可されない失敗の対処 |
| JP2023116614A Active JP7612286B2 (ja) | 2018-06-30 | 2023-07-18 | 5gcnへの非3gppアクセスが許可されない失敗の対処 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020573395A Active JP7317056B2 (ja) | 2018-06-30 | 2019-06-28 | 5gcnへの非3gppアクセスが許可されない失敗の対処 |
Country Status (16)
| Country | Link |
|---|---|
| US (2) | US12356188B2 (ja) |
| EP (1) | EP3811588A1 (ja) |
| JP (2) | JP7317056B2 (ja) |
| KR (3) | KR102435266B1 (ja) |
| CN (2) | CN116647394B (ja) |
| AU (2) | AU2019293046B2 (ja) |
| BR (1) | BR112020026940A2 (ja) |
| CA (1) | CA3104374A1 (ja) |
| CL (1) | CL2020003401A1 (ja) |
| CO (1) | CO2021000912A2 (ja) |
| MX (2) | MX2021000159A (ja) |
| MY (1) | MY209690A (ja) |
| PH (1) | PH12020552227A1 (ja) |
| SG (1) | SG11202012478QA (ja) |
| WO (1) | WO2020006515A1 (ja) |
| ZA (1) | ZA202100508B (ja) |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2020006515A1 (en) | 2018-06-30 | 2020-01-02 | Nokia Solutions And Networks Oy | Handling failure of non-3gpp access to 5gcn not being allowed |
| EP3858083B1 (en) * | 2018-09-27 | 2023-11-01 | Lenovo (Singapore) Pte. Ltd. | Accessing a 5g network via a non-3gpp access network |
| CN113141676B (zh) * | 2020-01-19 | 2022-10-11 | 大唐移动通信设备有限公司 | 非3gpp接入的终端进入连接状态的方法及通信设备 |
| EP4708986A2 (en) * | 2020-02-13 | 2026-03-11 | Lenovo (Singapore) Pte. Ltd. | Determining an access network radio access type |
| US12439358B2 (en) * | 2020-02-21 | 2025-10-07 | Telefonaktiebolaget Lm Ericsson (Publ) | Determination of trust relationship of non-3GPP access networks in 5GC |
| US20230232221A1 (en) * | 2020-03-30 | 2023-07-20 | Samsung Electronics Co., Ltd. | Method and apparatus for providing akma service in wireless communication system |
| CN113498060B (zh) * | 2020-04-07 | 2023-02-17 | 大唐移动通信设备有限公司 | 一种控制网络切片认证的方法、装置、设备及存储介质 |
| KR102847582B1 (ko) * | 2020-06-03 | 2025-08-20 | 레노보 (싱가포르) 피티이. 엘티디. | 인증 유형 결정 |
| CN115943652A (zh) * | 2020-06-22 | 2023-04-07 | 联想(新加坡)私人有限公司 | 使用隐藏标识的移动网络认证 |
| WO2022127791A1 (en) * | 2020-12-15 | 2022-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods, entities and computer readable media for non-3gpp access authentication |
| WO2022175964A1 (en) | 2021-02-20 | 2022-08-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system in 3gpp networks for reporting of vowifi calls over untrusted non-3gpp access |
| US11785658B2 (en) * | 2021-06-24 | 2023-10-10 | Mediatek Inc. | Method and apparatus for performing internet reachability management with aid of indicator |
| US11729849B1 (en) * | 2021-07-20 | 2023-08-15 | T-Mobile Usa, Inc. | UE retry during network overload |
| US12256450B1 (en) | 2021-07-20 | 2025-03-18 | T-Mobile Usa, Inc. | UE retry during network overload |
| WO2023056051A1 (en) * | 2021-09-30 | 2023-04-06 | Ofinno, Llc | Location-based policy for wireless device |
| US20230345578A1 (en) * | 2022-04-22 | 2023-10-26 | Mediatek Inc. | Method and apparatus for starting user equipment initiated procedure for release of non-3gpp connection in response to receiving specific message from 3gpp network over non-3gpp connection |
| CN116980897A (zh) * | 2022-04-22 | 2023-10-31 | 华为技术有限公司 | 通信方法和装置 |
| CN115175264A (zh) * | 2022-07-21 | 2022-10-11 | 亚信科技(中国)有限公司 | 接入核心网的方法、装置及处理器可读存储介质 |
| GB2623165A (en) * | 2022-08-10 | 2024-04-10 | Nokia Technologies Oy | Method and apparatus to access core networks via gateway functions |
| WO2024050736A1 (zh) * | 2022-09-07 | 2024-03-14 | 北京小米移动软件有限公司 | 通信方法、装置、系统、电子设备及介质 |
| US12549941B2 (en) | 2022-12-01 | 2026-02-10 | T-Mobile Usa, Inc. | Secure tunnel as a service for 5G networks |
| US12470633B2 (en) * | 2023-04-14 | 2025-11-11 | Cisco Technology, Inc. | Non-disruptive session timeout |
| WO2025068841A1 (en) * | 2023-09-28 | 2025-04-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Enhancement of operator determined barring |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ES2362444T3 (es) * | 2007-01-04 | 2011-07-05 | Telefonaktiebolaget Lm Ericsson (Publ) | Método y aparato para determinar un procedimiento de autentificación. |
| EP2263396B1 (en) * | 2008-04-11 | 2014-01-15 | Telefonaktiebolaget L M Ericsson (PUBL) | Access through non-3gpp access networks |
| US8861426B2 (en) * | 2010-04-16 | 2014-10-14 | Panasonic Intellectual Property Corporation Of America | Path switching system, path switching method, and mobile terminal |
| MX2013008150A (es) * | 2011-01-14 | 2013-09-13 | Nokia Siemens Networks Oy | Soporte de autenticacion externo sobre una red no confiable. |
| CN103313344B (zh) * | 2012-03-07 | 2017-04-05 | 中兴通讯股份有限公司 | 融合的核心网及其接入方法 |
| DK3100511T3 (da) | 2014-01-31 | 2021-10-18 | Ericsson Telefon Ab L M | Understøtning mellem netværk, der opererer i henhold til forskellige radioadgangsteknologier |
| US9332015B1 (en) | 2014-10-30 | 2016-05-03 | Cisco Technology, Inc. | System and method for providing error handling in an untrusted network environment |
| KR102084580B1 (ko) * | 2015-08-07 | 2020-03-04 | 후아웨이 테크놀러지 컴퍼니 리미티드 | 3gpp 네트워크로의 단말 액세스를 위한 처리 방법 및 장치 |
| US10084755B2 (en) | 2015-08-14 | 2018-09-25 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) proxy and diameter agent address resolution |
| CN107005927B (zh) | 2015-09-22 | 2022-05-31 | 华为技术有限公司 | 用户设备ue的接入方法、设备及系统 |
| EP3151599A1 (en) * | 2015-09-30 | 2017-04-05 | Apple Inc. | Authentication failure handling for cellular network access through wlan |
| US20190021064A1 (en) | 2016-07-04 | 2019-01-17 | Lg Electronics Inc. | Method for managing registration in wireless communication system and device for same |
| US9877198B1 (en) | 2016-09-08 | 2018-01-23 | Alcatel-Lucent Usa Inc. | Network access backoff mechanism |
| WO2018088836A1 (ko) | 2016-11-10 | 2018-05-17 | 엘지전자 주식회사 | 무선 통신 시스템에서 동일 plmn에 속하는 네트워크 액세스를 통한 등록 방법 및 이를 위한 장치 |
| EP3547769B1 (en) * | 2016-11-27 | 2021-05-12 | LG Electronics Inc. | Deregistration method in wireless communication system and device therefor |
| US10321503B2 (en) | 2016-12-11 | 2019-06-11 | Motorola Mobility Llc | Method and apparatus for attaching a remote unit to a mobile core network via a standalone untrusted non-3GPP access network |
| US10327278B2 (en) * | 2017-03-24 | 2019-06-18 | Qualcomm Incorporated | Mechanisms for establishing user plane connectivity for non-3GPP access |
| ES3057935T3 (en) | 2018-04-05 | 2026-03-05 | Nokia Technologies Oy | Unified subscription identifier management in communication systems |
| US11968614B2 (en) * | 2018-04-17 | 2024-04-23 | Mediatek Singapore Pte. Ltd. | Apparatuses and methods for handling access type restriction information |
| WO2020006515A1 (en) | 2018-06-30 | 2020-01-02 | Nokia Solutions And Networks Oy | Handling failure of non-3gpp access to 5gcn not being allowed |
| CL2020002558A1 (es) | 2020-10-02 | 2021-01-22 | Nokia Technologies Oy | Mejora del procedimiento de acceso a celdas |
-
2019
- 2019-06-28 WO PCT/US2019/039992 patent/WO2020006515A1/en not_active Ceased
- 2019-06-28 CN CN202310661806.4A patent/CN116647394B/zh active Active
- 2019-06-28 CN CN201980044322.7A patent/CN112602298B/zh active Active
- 2019-06-28 KR KR1020217002859A patent/KR102435266B1/ko active Active
- 2019-06-28 BR BR112020026940-9A patent/BR112020026940A2/pt unknown
- 2019-06-28 MX MX2021000159A patent/MX2021000159A/es unknown
- 2019-06-28 SG SG11202012478QA patent/SG11202012478QA/en unknown
- 2019-06-28 CA CA3104374A patent/CA3104374A1/en active Pending
- 2019-06-28 EP EP19745834.2A patent/EP3811588A1/en active Pending
- 2019-06-28 KR KR1020227028320A patent/KR102542210B1/ko active Active
- 2019-06-28 US US17/257,106 patent/US12356188B2/en active Active
- 2019-06-28 AU AU2019293046A patent/AU2019293046B2/en active Active
- 2019-06-28 KR KR1020237018955A patent/KR102666042B1/ko active Active
- 2019-06-28 MY MYPI2020006761A patent/MY209690A/en unknown
- 2019-06-28 JP JP2020573395A patent/JP7317056B2/ja active Active
-
2020
- 2020-12-21 PH PH12020552227A patent/PH12020552227A1/en unknown
- 2020-12-28 CL CL2020003401A patent/CL2020003401A1/es unknown
-
2021
- 2021-01-06 MX MX2024006886A patent/MX2024006886A/es unknown
- 2021-01-25 ZA ZA2021/00508A patent/ZA202100508B/en unknown
- 2021-01-28 CO CONC2021/0000912A patent/CO2021000912A2/es unknown
-
2022
- 2022-06-29 AU AU2022204645A patent/AU2022204645B2/en active Active
-
2023
- 2023-07-18 JP JP2023116614A patent/JP7612286B2/ja active Active
-
2025
- 2025-05-30 US US19/223,396 patent/US20250294356A1/en active Pending
Non-Patent Citations (3)
| Title |
|---|
| Motorola Mobility, Lenovo, Broadcom, Brocade, Rogers Wireless, Samsung, ITRI, CMCC, CATT, Cisco, NEC,Details of EAP-5G Solution for registration via untrusted non-3GPP access,3GPP TSG SA WG3 #88Bis S3-172511,2017年10月13日 |
| Nokia,Observations on the solution for untrusted non-3GPP access in S2-174885,3GPP TSG SA WG3 #88 S3-171943,2017年07月31日 |
| Samsung R & D Institute UK, Nokia, Nokia Shanghai Bell, Intel,Change "N1 mode radio capability" to "N1 mode capability for 3GPP access",3GPP TSG CT WG1 #111 C1-183524,2018年05月28日 |
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7612286B2 (ja) | 5gcnへの非3gppアクセスが許可されない失敗の対処 | |
| JP7723782B2 (ja) | 異種アクセスネットワークを介した接続のセキュリティ実現のための方法及び装置 | |
| CN110249648B (zh) | 由未经认证的用户设备执行的用于会话建立的系统和方法 | |
| RU2774977C1 (ru) | Обработка отказа в случае не разрешения доступа к 5gcn не от 3gpp | |
| HK40115799A (en) | Method and apparatus for security realization of connections over heterogeneous access networks | |
| HK40048949B (en) | Method and apparatus for security realization of connections over heterogeneous access networks | |
| HK40048949A (en) | Method and apparatus for security realization of connections over heterogeneous access networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230816 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230816 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240606 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20240906 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240911 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20241125 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20241223 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7612286 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |