Nothing Special   »   [go: up one dir, main page]

JP2022502908A - Nasメッセージのセキュリティ保護のためのシステム及び方法 - Google Patents

Nasメッセージのセキュリティ保護のためのシステム及び方法 Download PDF

Info

Publication number
JP2022502908A
JP2022502908A JP2021516442A JP2021516442A JP2022502908A JP 2022502908 A JP2022502908 A JP 2022502908A JP 2021516442 A JP2021516442 A JP 2021516442A JP 2021516442 A JP2021516442 A JP 2021516442A JP 2022502908 A JP2022502908 A JP 2022502908A
Authority
JP
Japan
Prior art keywords
nas
security
message
protocol
initial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2021516442A
Other languages
English (en)
Other versions
JP7495396B2 (ja
Inventor
リウ,ジェニファー
Original Assignee
ノキア テクノロジーズ オサケユイチア
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ノキア テクノロジーズ オサケユイチア filed Critical ノキア テクノロジーズ オサケユイチア
Publication of JP2022502908A publication Critical patent/JP2022502908A/ja
Priority to JP2024021892A priority Critical patent/JP2024073446A/ja
Application granted granted Critical
Publication of JP7495396B2 publication Critical patent/JP7495396B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/037Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/25Maintenance of established connections
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W76/00Connection management
    • H04W76/20Manipulation of established connections
    • H04W76/27Transitions between radio resource control [RRC] states

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Multi Processors (AREA)

Abstract

モバイルネットワークにNASセキュリティ保護を提供するシステム及び方法。一実施形態では、モバイルネットワークのネットワーク要素は、NASセキュリティコンテキストが存在しないとき、ユーザ機器(UE)とのNAS通信セッションを確立するために、複数のフェーズのNAS手順を実行する。第1のフェーズでは、ネットワーク要素は、セキュリティ関連の対処用に指定されたNASプロトコル情報要素(IE)のサブセットが投入された初期NASメッセージをUEから受信し、NASセキュリティコンテキストのNASセキュリティアルゴリズムを選択し、NASセキュリティアルゴリズムを示す応答をUEに送信する。第2のフェーズでは、ネットワーク要素は、NAS手順のNASプロトコルIEのそれぞれが投入された初期NASメッセージを含有するNASメッセージコンテナを有する後続のNASメッセージをUEから受信し、NASセキュリティアルゴリズムを使用して、後続のNASメッセージのNASメッセージコンテナを復号する。【選択図】なし

Description

関連出願
この非仮特許出願は、2018年9月24日に出願された米国仮特許出願第62/735,732号の優先権を主張し、参照によって、完全に本明細書で提供されるかのように援用される。
本開示は、通信システムの分野、詳細には、ネットワークのセキュリティに関する。
サービスプロバイダまたは通信事業者は、モバイルネットワークを実装して、一般にユーザ機器(UE)と呼ばれる携帯電話またはその他のモバイルデバイス/端末のエンドユーザに多数の音声サービス及びデータサービスを提供する。音声サービスの例としては、音声通話、通話転送、通話中着信などがある。データサービスの例としては、インターネットアクセス、音声ストリーミング、ビデオストリーミング、オンラインゲーム、インターネットプロトコルテレビ(IP−TV)などがある。モバイルネットワークは、エンドユーザへの最後のリンクがワイヤレスであるタイプのネットワークである。モバイルネットワークは一般に、コアネットワークと、無線インタフェースを介してUEとシグナリング及びデータをやり取りする1つ以上の無線アクセスネットワーク(RAN)とを含む。一般的なモバイルネットワークは、論理的にユーザプレーンと制御プレーンに分けられる。ユーザプレーンは、ネットワークを介して送信されるユーザデータの伝送を担当する論理プレーンであり、制御プレーンは、UEの通信を確立するために使用されるシグナリングの伝送を担当する論理プレーンである。第3世代パートナーシッププロジェクト(3GPP)仕様は、セルラープロトコルを、非アクセス層(NAS)とアクセス層(AS)という2つの層に分割する。ASは、無線周波数(RF)チャネルを介して発生するUEとRAN(例えば、eNodeB)間の通信で構成される。NASは、UEとコアネットワーク(例えば、LTEの場合はモビリティ管理エンティティ(MME)、または、ネットワーク生成ネットワークの場合はアクセス及びモビリティ管理機能(AMF))間の非無線シグナリングトラフィックで構成される。3GPPは、制御プレーンメッセージ(例えば、NASメッセージ)を様々な攻撃から保護するためのセキュリティ手順を実装している。しかしながら、制御プレーンメッセージをさらに保護する強化されたセキュリティ手順を特定することが有益な場合がある。
本明細書に記載の実施形態は、NASメッセージに強化された保護を提供する。NAS手順(例えば、UEの登録)は、情報を伝達する情報要素(IE)のセットを含む。以下に記載する実施形態は、NASメッセージで送信されるIEまたはIEのサブセットを保護する方法を説明する。従って、IEで伝達される情報は、悪意のある攻撃に対して脆弱ではない。
一実施形態は、モバイルネットワークのネットワーク要素を備える。ネットワーク要素は、プロセッサ(複数可)と、プロセッサによって実行可能なコンピュータプログラムコードを含むメモリとを含む。プロセッサは、ネットワーク要素とUEの間にNAS通信セッションを確立するための複数のフェーズのNAS手順をネットワーク要素に実行させるように構成される。NAS手順の第1のフェーズでは、プロセッサはさらに、ネットワーク要素にUEから初期NASメッセージを受信させるように構成され、初期NASメッセージには、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットがNAS手順のNASプロトコルIEから投入されている。プロセッサはさらに、ネットワーク要素に、UEのNASセキュリティコンテキストが存在しないことを判定するためにNASプロトコルIEのサブセットを処理させ、NASセキュリティコンテキストのNASセキュリティアルゴリズムを選択させ、NASセキュリティコンテキストのNASセキュリティアルゴリズム及びセキュリティキーセット識別子を示す応答をUEに送信させるように構成される。NAS手順の第2のフェーズでは、プロセッサはさらに、ネットワーク要素に、NASセキュリティアルゴリズムに基づいて暗号化された初期NASメッセージを含有するNASメッセージコンテナを有するUEから後続のNASメッセージを受信させ、且つ、後続のNASメッセージのNASメッセージコンテナを復号させるように構成され、後続のNASメッセージのNASメッセージコンテナに含有される初期NASメッセージには、NAS手順の各NASプロトコルIEが投入されている。
別の実施形態では、第1のフェーズで、NASプロトコルIEのサブセットは、UEのホームパブリックランドモバイルネットワーク(HPLMN)の公開鍵を使用して、初期NASメッセージで暗号化される。プロセッサはさらに、ネットワーク要素に、NASプロトコルIEのサブセットの復号を開始させるように構成される。
別の実施形態では、ネットワーク要素は、モバイルネットワークのアクセス及びモビリティ管理機能(AMF)要素を備える。
別の実施形態では、プロセッサはさらに、ネットワーク要素に、暗号化されたNASプロトコルIEのサブセットを、HPLMNの秘密鍵に基づいてNASプロトコルIEのサブセットを復号する統一データ管理(UDM)要素に送信させるように構成される。
別の実施形態では、初期NASメッセージは、登録要求メッセージを備える。セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットは、UEのモバイル識別、UEによってサポートされる1つ以上のNASセキュリティアルゴリズムを示すUEセキュリティ機能、登録タイプ、及びNASセキュリティコンテキストのセキュリティキーセット識別子から構成される。
別の実施形態では、応答は、NASセキュリティアルゴリズムとセキュリティキーセット識別子とを示すセキュリティモードコマンドメッセージを備え、UEから受信される後続のNASメッセージは、NASセキュリティアルゴリズムに基づいて暗号化された初期NASメッセージを含有するNASメッセージコンテナを有するセキュリティモード完了メッセージを備える。
別の実施形態では、モバイルネットワークは、第5世代(5G)ネットワークを備える。
別の実施形態は、NAS手順を実行して、UEとモバイルネットワークのネットワーク要素の間のNAS通信セッションを確立する方法を備える。NAS手順の第1のフェーズでは、方法は、ネットワーク要素でUEから初期NASメッセージを受信することを備え、初期NASメッセージには、NAS手順のNASプロトコルIEから、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットが投入されている。さらに、第1のフェーズでは、方法は、UEのNASセキュリティコンテキストが存在しないことを判定するために、ネットワーク要素においてNASプロトコルIEのサブセットを処理することと、NASセキュリティコンテキストのネットワーク要素でNASセキュリティアルゴリズムを選択することと、NASセキュリティコンテキストのNASセキュリティアルゴリズムとセキュリティキーセット識別子とを示す応答をネットワーク要素からUEに送信することとを備える。NAS手順の第2のフェーズでは、方法は、NASセキュリティアルゴリズムに基づいて暗号化された初期NASメッセージを含有するNASメッセージコンテナを有する後続のNASメッセージをUEからネットワーク要素において受信することと、後続のNASメッセージのNASメッセージコンテナをネットワーク要素において復号することとを備え、後続のNASメッセージのNASメッセージコンテナに含有される初期NASメッセージには、NAS手順の各NASプロトコルIEが投入されている。
別の実施形態では、第1のフェーズで、NASプロトコルIEのサブセットは、UEのHPLMNの公開鍵を使用して初期NASメッセージで暗号化され、方法は、NASプロトコルIEのサブセットの復号を開始することをさらに備える。
別の実施形態では、ネットワーク要素は、モバイルネットワークのAMF要素を備え、NASプロトコルIEのサブセットの復号を開始するステップは、HPLMNの秘密鍵に基づいてNASプロトコルIEのサブセットを復号するために、暗号化されたNASプロトコルIEのサブセットをUDM要素に送信することを備える。
別の実施形態では、初期NASメッセージは、登録要求メッセージを備え、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットは、UEのモバイル識別、UEがサポートする1つ以上のNASセキュリティアルゴリズムを示すUEセキュリティ機能、登録タイプ、及びNASセキュリティコンテキストのセキュリティキーセット識別子から構成される。
別の実施形態では、応答は、NASセキュリティアルゴリズムとセキュリティキーセット識別子とを示すセキュリティモードコマンドメッセージを備え、UEから受信される後続のNASメッセージは、NASセキュリティアルゴリズムに基づいて暗号化された初期NASメッセージを含有するNASメッセージコンテナを有するセキュリティモード完了メッセージを備える。
別の実施形態では、NAS手順の第1のフェーズで、方法は、UEにおいて、セキュリティ関連の対処用に指定されたNAS手順のNASプロトコルIEのサブセットを識別するステップと、NASプロトコルIEのサブセットを初期NASメッセージに挿入するステップと、初期NASメッセージをUEからネットワーク要素に送信するステップと、NASセキュリティコンテキストのNASセキュリティアルゴリズムとセキュリティキーセット識別子とを示す応答をネットワーク要素から受信するステップとを備える。NAS手順の第2のフェーズでは、方法は、UEにおいて、NAS手順のNASプロトコルIEを初期NASメッセージに挿入するステップと、後続のNASメッセージのNASメッセージコンテナに初期NASメッセージを挿入するステップと、NASセキュリティアルゴリズムを使用して後続のNASメッセージのNASメッセージコンテナを暗号化するステップと、後続のNASメッセージをUEからネットワーク要素に送信するステップとを備える。
別の実施形態では、第1のフェーズで、方法は、UEにおいて、UEのHPLMNの公開鍵を使用して、初期NASメッセージのNASプロトコルIEのサブセットを暗号化することをさらに備える。
別の実施形態は、プロセッサ(複数可)と、プロセッサによって実行可能なコンピュータプログラムコードとを含むUEを備える。プロセッサは、UEとモバイルネットワークのネットワーク要素との間にNAS通信セッションを確立するための複数のフェーズのNAS手順をUEに開始させるように構成される。NAS手順の第1のフェーズでは、プロセッサはさらに、UEに、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットをNAS手順のNASプロトコルIEから、識別させるように構成される。プロセッサはさらに、UEに、NASプロトコルIEのサブセットを初期NASメッセージに挿入させ、初期NASメッセージをネットワーク要素に送信させ、NASセキュリティコンテキストのNASセキュリティアルゴリズムとセキュリティキーセット識別子とを示す応答をネットワーク要素から受信させるように構成される。NAS手順の第2のフェーズでは、プロセッサはさらに、UEに、NAS手順のNASプロトコルIEを初期NASメッセージに挿入させ、初期NASメッセージを後続のNASメッセージのNASメッセージコンテナに挿入させ、NASセキュリティアルゴリズムを使用して、後続のNASメッセージのNASメッセージコンテナを暗号化させ、且つ、後続のNASメッセージをネットワーク要素に送信させるように構成される。
別の実施形態では、第1のフェーズで、プロセッサはさらに、UEに、UEのHPLMNの公開鍵を使用して、初期NASメッセージのNASプロトコルIEのサブセットを暗号化させるように構成される。
別の実施形態では、プロセッサは、UEに、UEがUMTS加入者識別モジュール(USIM)にプログラムされた公開鍵を有するときに、公開鍵を使用して初期NASメッセージのNASプロトコルIEのサブセットを暗号化させ、且つ、UEがUSIMにプログラムされた公開鍵を有しないとき、初期NASメッセージでNASプロトコルIEのサブセットを暗号化せずに、初期NASメッセージをネットワーク要素に送信させるようにさらに構成される。
別の実施形態では、初期NASメッセージは、登録要求メッセージを備え、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットは、UEのモバイル識別、UEによってサポートされる1つ以上のNASセキュリティアルゴリズムを示すUEセキュリティ機能、登録タイプ、及びNASセキュリティコンテキストのセキュリティキーセット識別子から構成される。
別の実施形態では、プロセッサは、UEに、登録タイプが緊急事態を示していないとき、UEのHPLMNの公開鍵を使用して初期NASメッセージのNASプロトコルIEのサブセットを暗号化させ、且つ、登録タイプが緊急事態を示しているとき、初期NASメッセージのNASプロトコルIEのサブセットを暗号化せずに、初期NASメッセージをネットワーク要素に送信させるように構成される。
別の実施形態では、応答は、NASセキュリティアルゴリズムとセキュリティキーセット識別子とを示すセキュリティモードコマンドメッセージを備え、後続のNASメッセージは、NASセキュリティアルゴリズムに基づいて暗号化された初期NASメッセージを含有するNASメッセージコンテナを有するセキュリティモード完了メッセージを備える。
別の実施形態は、モバイルネットワークのネットワーク要素を備える。ネットワーク要素は、ネットワーク要素に複数のフェーズのNAS手順を実行させて、ネットワーク要素とUEの間にNAS通信セッションを確立させる手段を含む。NAS手順の第1のフェーズでは、ネットワーク要素は、UEから初期NASメッセージを受信する手段を含み、初期NASメッセージには、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットがNAS手順のNASプロトコルIEから投入されている。ネットワーク要素はさらに、NASセキュリティコンテキストがUEに存在しないことを判定するために、NASプロトコルIEのサブセットを処理する手段と、NASセキュリティコンテキストのNASセキュリティアルゴリズムを選択する手段と、NASセキュリティコンテキストのNASセキュリティアルゴリズムとセキュリティキーセット識別子とを示す応答をUEに送信する手段とを含む。NAS手順の第2のフェーズでは、ネットワーク要素は、NASセキュリティアルゴリズムに基づいて暗号化された初期NASメッセージを含有するNASメッセージコンテナを有する後続のNASメッセージをUEから受信する手段と、後続のNASメッセージのNASメッセージコンテナを復号する手段とをさらに含み、後続のNASメッセージのNASメッセージコンテナに含有される初期NASメッセージには、NAS手順の各NASプロトコルIEが投入されている。
上記概要は、明細書のいくつかの態様の基本的な理解を提供する。この概要は、明細書を広範に概説したものではない。これは、明細書の主要なまたは必須の要素を特定することも、明細書の特定の実施形態の範囲または特許請求の範囲を画定することも意図していない。概要の唯一の目的は、後述するさらに詳細な説明の前置きとして、明細書のいくつかの概念を簡略化した形で提示することである。
本発明の実施形態を、添付の図面を参照しながら単に例として説明する。同じ参照番号は、全ての図面で同じ要素または同じタイプの要素を表す。
例示的な実施形態におけるモバイルネットワークを示す。 進化したパケットコア(EPC)ネットワークを示す。 次世代ネットワークの非ローミングアーキテクチャを示す。 次世代ネットワークのローミングアーキテクチャを示す。 無線プロトコルスタックを示す。 例示的な実施形態におけるUEのブロック図である。 例示的な実施形態におけるネットワーク要素のブロック図である。 例示的な実施形態において、UEでNAS手順を実行する方法を示すフローチャートである。 例示的な実施形態における、ネットワーク要素でNAS手順を実行する方法を示すフローチャートである。 例示的な実施形態における、UEがセキュリティコンテキストを有しないときのNAS手順を示すメッセージ図である。 別の例示的な実施形態における、UE110でNAS手順を実行する方法を示すフローチャートである。 別の例示的な実施形態における、ネットワーク要素でNAS手順を実行する方法を示すフローチャートである。 例示的な実施形態における、UEがセキュリティコンテキストを有しないときのNAS手順を示すメッセージ図である。 別の例示的な実施形態における、UEでNAS手順を実行する方法を示すフローチャートである。 別の例示的な実施形態における、ネットワーク要素でNAS手順を実行する方法を示すフローチャートである。 例示的な実施形態における、UEが有効なセキュリティコンテキストを有するときのNAS登録手順を示すメッセージ図である。 例示的な実施形態における、UEが有効なセキュリティコンテキストを有するときのNASサービス要求手順を示すメッセージ図である。 例示的な実施形態における、UEが有効なセキュリティコンテキストを有するときのNAS登録解除手順を示すメッセージ図である。 例示的な実施形態における、UEでNAS手順を実行する方法を示すフローチャートである。 例示的な実施形態における、UEでNAS手順を実行する方法を示すフローチャートである。 例示的な実施形態における、ネットワーク要素でNAS手順を実行する方法を示すフローチャートである。 例示的な実施形態における、UEがNASセキュリティコンテキストを有するが、NASセキュリティコンテキストが有効でないか、または見つけられないときのNAS登録手順を示すメッセージ図である。 例示的な実施形態における、UEがNASセキュリティコンテキストを有するが、NASセキュリティコンテキストが有効でないか、または見つけられないときのNASサービス要求手順を示すメッセージ図である。
図及び以下の説明は、特定の例示的な実施形態を示している。当業者であれば、本明細書では明示的に説明または図示していないが、実施形態の原理を具体化し、実施形態の範囲内に含まれる様々な構成を考案できることは理解されよう。さらに、本明細書に記載されたいずれの例も、本実施形態の原理の理解を助けることを意図しており、このような具体的に記載した例及び条件に限定されないものとして解釈されるべきである。結果として、本発明の概念(複数可)は、以下に記載される特定の実施形態にも例にも限定されず、特許請求の範囲及びそれらの同等物によって限定される。
図1は、例示的な実施形態におけるモバイルネットワーク100を示す。モバイルネットワーク100(セルラーネットワークとも呼ばれる)は、最後のリンクがワイヤレスであるタイプのネットワークであり、複数のデバイスに音声及び/またはデータサービスを提供する。モバイルネットワーク100は、第3世代(3G)、第4世代(4G)、及び/または次世代ネットワーク(例えば、第5世代(5G))であってよい。
モバイルネットワーク100は、(図示していない他のUEと共に)UE110に通信サービスを提供するものとして示されている。UE110は、音声サービス、データサービス、マシンツーマシン(M2M)もしくはマシンタイプ通信(MTC)サービス、及び/または他のサービスに対して有効にされてよい。UE110は、携帯電話(例えば、スマートフォン)、タブレットもしくはPDA、モバイルブロードバンドアダプタを備えたコンピュータ等のようなエンドユーザデバイスであってよい。
モバイルネットワーク100は、無線インタフェース122を介してUE110と通信する1つ以上の無線アクセスネットワーク(RAN)120を含む。RAN120は、進化型UMTS地上無線アクセスネットワーク(E−UTRAN)アクセス、ワイヤレスローカルエリアネットワーク(WLAN)アクセス、固定アクセス、衛星無線アクセス、新しい無線アクセス技術(RAT)などをサポートし得る。例として、RAN120は、地理的領域にわたって分散された1つ以上の基地局124を含むE−UTRANまたは次世代RAN(NG−RAN)を含み得る。基地局124は、無線通信技術を使用して、認可されたスペクトル上でUEと通信し、UEをコアネットワークにインタフェースするエンティティを含み得る。E−UTRAN内の基地局124は、進化型ノードB(eNodeB)と呼ばれる。NG−RAN内の基地局124は、gNodeB(NR基地局)及び/またはng−eNodeB(5GコアネットワークをサポートするLTE基地局)と呼ばれる。別の例として、RAN120は、1つ以上のワイヤレスアクセスポイント(WAP)125を含むWLANを含み得る。WLANは、UEがワイヤレス(無線)接続を介してローカルエリアネットワーク(LAN)に接続できるネットワークである。WAP125は、無線通信技術を使用して、無認可のスペクトルを介してUEと通信し、コアネットワークへのアクセスをUEに提供するノードである。WAP125の一例は、2.4GHzまたは5GHzの無線帯域で動作するWiFiアクセスポイントである。本明細書で使用される「基地局」という用語は、eNodeB、gNodeB、ng−eNodeB、WAPなどを指してよい。
UE110は、コアネットワーク130にアクセスするために、RAN120のセル126に接続することができる。従って、RAN120は、UE110とコアネットワーク130の間の無線インタフェースを表す。コアネットワーク130は、RAN120によって接続されている顧客に様々なサービスを提供するモバイルネットワーク100の中心部分である。コアネットワーク130の一例は、LTE用の3GPPによって提案された進化型パケットコア(EPC)ネットワークである。コアネットワーク130の別の例は、3GPPによって提案された5Gコアネットワークである。コアネットワーク130は、UE110にサービスを提供するサーバ、デバイス、装置、または機器(ハードウェアを含む)を含み得るネットワーク要素132を備える。EPCネットワークのネットワーク要素132は、モビリティ管理エンティティ(MME)、サービングゲートウェイ(S−GW)、パケットデータネットワークゲートウェイ(P−GW)などを含み得る。5Gネットワークのネットワーク要素132は、アクセス及びモビリティ管理機能(AMF)、セッション管理機能(SMF)、ポリシー制御機能(PCF)、アプリケーション機能(AF)、ユーザプレーン機能(UPF)などを含み得る。
図2は、LTEのコアネットワークである進化型パケットコア(EPC)ネットワーク200を示す。EPCネットワーク200は、モビリティ管理エンティティ(MME)214、サービングゲートウェイ(S−GW)215、パケットデータネットワークゲートウェイ(P−GW)216、ホーム加入者サーバ(HSS)217、並びにポリシー及び課金ルール機能(PCRF)218を含むが、IPマルチメディアサブシステム(IMS)アプリケーションサーバなど、図示していない他の要素も含んでよい。EPCネットワーク200内では、ユーザデータ(「ユーザプレーン」とも呼ばれる)とシグナリング(「制御プレーン」とも呼ばれる)が分離されている。MME214は、EPCネットワーク200内の制御プレーンを処理する。例えば、MME214は、E−UTRANアクセスのモビリティ及びセキュリティに関連するシグナリングを処理する。MME214は、アイドルモードでUE110の追跡及びページングを担当する。S−GW215及びP−GW216は、ユーザプレーンを処理する。S−GW215及びP−GW216は、UE110と外部データネットワーク240(DNまたはパケットデータネットワーク(PDN))の間でデータトラフィックをトランスポートする。S−GW215は、無線側とEPCネットワーク200の間の相互接続点であり、着信及び発信IPパケットをルーティングすることによってUE110にサービスを提供する。S−GW215は、LTE内モビリティ(すなわち、eNodeB同士間のハンドオーバーの場合)のための、及び、LTEと他の3GPPアクセスの間の、アンカーポイントでもある。P−GW216は、EPCネットワーク200と外部データネットワーク240の間の相互接続ポイント(すなわち、データネットワーク240の入口または出口のポイント)であり、データネットワーク240との間でパケットをルーティングする。HSS217は、ユーザ関連及び加入者関連の情報を記憶するデータベースである。PCRF218は、EPCネットワーク200においてポリシー及び課金制御(PCC)ソリューションを提供し、エンドユーザによって要求されたサービスに対するPCC規則を定式化するEPCネットワーク200のノードまたはエンティティである。
MME214はS1−MMEインタフェースを介してRAN120(すなわち、eNodeB)に接続し、S−GW215はS1−Uインタフェースを介してRAN120に接続する。MME214は、S11インタフェースを介してS−GW215に接続し、S6aインタフェースを介してHSS217に接続する。PCRF218は、Gxインタフェースを介してP−GW216に接続し、これにより、PCRF218からP−GW216のポリシー及び課金実施機能(PCEF)へのポリシー及び課金ルールが転送される。PCRF218は、Gxxインタフェースを介してS−GW215に接続し、S−GW215はS5インタフェースを介してP−GW216に接続する。
図3は、次世代ネットワークの非ローミングアーキテクチャ300を示す。図3のアーキテクチャは、3GPP TS23.501(v15.3.0)にさらに記載されるように、基準点の表現であり、その記載は、参照により、本明細書に完全に含まれるかのように組み込まれる。アーキテクチャ300は、コアネットワークのネットワーク機能(NF)で構成されており、制御プレーンのネットワーク機能はユーザプレーンから分離されている。コアネットワークの制御プレーンは、認証サーバ機能(AUSF)310、統一データ管理(UDM)312、ネットワークスライス選択機能(NSSF)313、アクセス及びモビリティ管理機能(AMF)314、セッション管理機能(SMF)316、ポリシー制御機能(PCF)318、並びにアプリケーション機能(AF)320を含む。コアネットワークのユーザプレーンは、データネットワーク240と通信する1つ以上のユーザプレーン機能(UPF)324を含む。UE110は、(R)AN120を介してコアネットワークの制御プレーン及びユーザプレーンにアクセスすることができる。
AUSF310は、UE110の認証をサポートするように構成される。UDM312は、UE110のサブスクリプションデータ/情報を記憶するように構成される。UDM312は、サブスクリプション、ポリシー、及びセッション関連のコンテキスト(例えば、UEの場所など)の3種類のユーザデータを記憶してよい。AMF314は、UEベースの認証、承認、モビリティ管理などを提供するように構成される。SMF316は、セッション管理(SM)、UEインターネットプロトコル(IP)アドレスの割当及び管理、UPF(複数可)の選択及び制御、PCF318へのインタフェースの終了、ポリシー施行及びサービス品質(QoS)の制御部分、合法的な傍受、NASメッセージのSM部分の終了、ダウンリンクデータ通知(DNN)、ローミング機能、サービスレベルアグリーメント(SLA)のQoS適用のためのローカル施行の対処、課金データ収集、並びに課金インタフェースなどを提供するように構成される。UE110が複数のセッションを有する場合、セッションごとに異なるSMFを割り当てて、複数のセッションを個別に管理し、セッションごとに異なる機能を提供することができる。PCF318は、ネットワークの振る舞いを管理するための統一されたポリシーフレームワークをサポートし、QoS施行、課金、アクセス制御、トラフィックルーティングなどのための制御プレーン機能にポリシールールを提供するように構成される。AF320は、パケットフローに関する情報をPCF318に提供する。この情報に基づいて、PCF318は、AMF314及びSMF316を適切に動作させるために、モビリティ及びセッション管理に関するポリシールールを決定するように構成される。
UPF324は、パケットルーティングと転送、トラフィック処理(QoS施行など)、RAT内/RAT間モビリティのアンカーポイント(該当するとき)、パケット検査及びポリシールール施行、合法的傍受(UP収集)、トラフィックアカウンティング、レポートなど、様々なユーザプレーンの動作と機能をサポートする。データネットワーク240は、コアネットワークの一部ではなく、インターネットアクセス、オペレータサービス、サードパーティサービスなどを提供する。例えば、国際電気通信連合(ITU)は、5Gモバイルネットワークサービスを、高速大容量(eMBB:Enhanced Mobile Broadband)、超高信頼低遅延通信(uRLLC:Ultra−reliable and Low−Latency Communications)、大規模マシンタイプ通信(mMTC:Massive Machine Type Communications)もしくは大規模IoT(MIoT:Massive Internet of Things)の3つのカテゴリに分類している。eMBBは、HDビデオ、仮想現実(VR)、及び拡張現実(AR)など、帯域幅の要件が高いサービスに重点を置いている。uRLLCは、自動運転やリモート管理など、遅延の影響を受けやすいサービスに重点を置いている。mMTCとMIoTは、スマートシティやスマート農業など、接続密度に対する高い要件を含むサービスに重点を置いている。データネットワーク240は、これらのサービス及び他のサービスを提供するように構成されてよい。
アーキテクチャ300は、以下の基準点を含む。N1基準点は、UE110とAMF314の間に実装される。N2基準点は、(R)AN120とAMF314の間に実装される。N3基準点は、(R)AN120とUPF324の間に実装される。N4基準点は、SMF316とUPF324の間に実装される。N5基準点は、PCF318とAF320の間に実装される。N6基準点は、UPF324とデータネットワーク240の間に実装される。N7基準点は、SMF316とPCF318の間に実装される。N8基準点は、UDM312とAMF314の間に実装される。N9基準点は、2つのUPF324の間に実装される。N10基準点は、UDM312とSMF316の間に実装される。N11基準点は、AMF314とSMF316の間に実装される。N12基準点は、AMF314とAUSF310の間に実装される。N13基準点は、UDM312とAUSF310の間に実装される。N14基準点は、2つのAMFの間に実装される。非ローミングシナリオの場合、N15基準点はPCF318とAMF314の間に実装される。N22基準点は、NSSF313とAMF314の間に実装される。
図4は、次世代ネットワークのローミングアーキテクチャ400を示す。図4のアーキテクチャは、3GPP TS23.501(v15.3.0)でさらに説明されているように、基準点表現におけるローカルなブレイクアウトシナリオである。ローミングシナリオでは、訪問先パブリックランドモバイルネットワーク(VPLMN:Visited Public Land Mobile Network)402とホームPLMN(HPLMN)404が示されている。HPLMN404は、モバイル加入者のプロファイルが保持されているPLMNを特定する。VPLMNは、モバイル加入者が自分のHPLMNを離れるときにローミングしたPLMNである。他のネットワークにローミングしているユーザは、HPLMN404からサブスクリプション情報を受信する。ローカルブレイクアウトシナリオでは、PCF318(hPCF)、UDM312、及びAUSF310が、UE110のHPLMN404にある。訪問先PCF(vPCF)418を含む他のネットワーク機能は、VPLMN402にある。
図5は、無線インタフェース122などの無線プロトコルスタック500を示す。本明細書で説明するように、ユーザプレーン512は、ネットワークを介して実際のユーザデータを転送するために使用されるプロトコルのセットを含み、制御プレーン514は、ネットワーク内のユーザ接続及びベアラを制御及び確立するために使用されるプロトコルを含む。ユーザプレーン512及び制御プレーン514では、無線プロトコルスタック500は、物理(PHY)層501、媒体アクセス制御(MAC)層502、無線リンク制御(RLC)層503、及びパケットデータ収束プロトコル(PDCP)層504を備える。制御プレーン514は、無線リソース制御(RRC)層505及び非アクセス(NAS)層506をさらに備える。
物理層501は、無線インタフェースを介してMACトランスポートチャネルからの全ての情報を伝送する。データ及びシグナリングメッセージは、物理層501の異なるレベル間の物理チャネルで伝送される。物理チャネルは、物理データチャネルと物理制御チャネルに分けられる。物理データチャネルは、物理ダウンリンク共有チャネル(PDSCH)、物理ブロードキャストチャネル(PBCH)、物理マルチキャストチャネル(PMCH)、物理アップリンク共有チャネル(PUSCH)、及び物理ランダムアクセスチャネル(PRACH)を含み得る。物理制御チャネルは、物理制御フォーマットインジケータチャネル(PCFICH)、物理ハイブリッドARQインジケータチャネル(PHICH)、物理ダウンリンク制御チャネル(PDCCH)、及び物理アップリンク制御チャネル(PUCCH)を含み得る。
MAC層502は、論理チャネルとトランスポートチャネルの間のマッピング、トランスポートチャネルで物理層に配信されるトランスポートブロック(TB)への1つまたは異なる論理チャネルからのMACサービスデータユニット(SDU)の多重化、トランスポートチャネルで物理層から配信されるトランスポートブロックから1つまたは異なる論理チャネルからのMAC SDUの逆多重化、情報レポートのスケジューリング、ハイブリッド自動再送要求(HARQ:Hybrid Automatic Repeat Request)によるエラー訂正、動的スケジューリングによるUE間の優先処理、1つのUEの論理チャネル間の優先処理、及び論理チャネルの優先順位付けを担当する。RLC層503は、上位層プロトコルデータユニット(PDU)の転送、ARQを介したエラー訂正、並びにRLC SDUの連結、セグメンテーション、及び再構築を担当する。RLC層503はまた、RLCデータPDUの再セグメンテーション、RLCデータPDUの並べ替え、重複検出、RLC SDU破棄、RLC再確立、及びプロトコルエラー検出を担当する。PDCP層504は、IPデータのヘッダ圧縮及び解凍、データの転送(ユーザプレーンまたは制御プレーン)、PDCPシーケンス番号(SN)の維持、下位層の再確立における上位層PDUの順次配信、RLC確認モード(AM:Acknowledged Mode)にマッピングされた無線ベアラの下位層の再確立時の下位層SDUの重複排除、ユーザプレーンデータ及び制御プレーンデータの暗号化と復号、制御プレーンデータの完全性保護と完全性検証、タイマベースの破棄、重複破棄などを担当する。RRC層505は、NASに関連するシステム情報のブロードキャスト、アクセス層(AS)に関連するシステム情報のブロードキャスト、ページング、UEとRANの間のRRC接続の確立、保守、及びリリース、キー管理含むセキュリティ機能、ポイントツーポイント無線ベアラ(RB)の確立、構成、保守、及びリリースを担当する。NAS層506は、UEとコアネットワーク(例えば、MME/AMF)の間の制御プレーン514の最上位層を表し、UEとコアネットワークの間のIP接続を確立及び維持するためのUEのモビリティ及びセッション管理手順をサポートする。
ネットワークの目的の1つは、システム全体のセキュリティを向上させることである。特に懸念される領域の1つは、NASメッセージのセキュリティ保護である。本明細書で説明される実施形態では、UE110及びネットワーク要素132は、NASメッセージの追加のセキュリティ保護を提供するように強化される。
図6は、例示的な実施形態におけるUE110のブロック図である。UE110は、無線インタフェースコンポーネント602、1つ以上のプロセッサ604、メモリ606、ユーザインタフェースコンポーネント608、及びバッテリ610を備える。無線インタフェースコンポーネント602は、RFユニット620(例えば、トランシーバ)及び1つ以上のアンテナ622など、UE110のローカル無線リソースを表すハードウェアコンポーネントで、無線または「OTA(Over−the−Air)」信号を介して基地局(例えば、基地局124)との無線通信に使用される。プロセッサ604は、UE110の機能を提供する内部回路、論理回路、ハードウェア、ソフトウェアなどを表す。プロセッサ604は、メモリ606にロードされるソフトウェアの命令640を実行するように構成されてよい。プロセッサ604は、特定の実装に応じて、1つ以上のプロセッサのセットを含んでよい、または、マルチプロセッサコアを含んでよい。メモリ606は、データ、命令640、アプリケーションなどのためのコンピュータ可読記憶媒体であり、プロセッサ604によってアクセス可能である。メモリ606は、一時的及び/または永続的に情報を記憶することができるハードウェアストレージデバイスである。メモリ606は、ランダムアクセスメモリ、または任意の他の揮発性または不揮発性ストレージデバイスを含み得る。ユーザインタフェースコンポーネント608は、エンドユーザと対話するためのハードウェアコンポーネントである。例えば、ユーザインタフェースコンポーネント608は、ディスプレイ650、スクリーン、タッチスクリーンなど(例えば、液晶ディスプレイ(LCD)、発光ダイオード(LED)ディスプレイなど)を含み得る。ユーザインタフェースコンポーネント608は、キーボードまたはキーパッド652、追跡デバイス(例えば、トラックボールまたはトラックパッド)、スピーカ、マイクロフォンなどを含み得る。UE110はまた、UE110にセキュリティ及び完全性機能を提供するハードウェアデバイスであるユニバーサル集積回路カード(UICC)660を含む。UICC660は、他の認証情報と共にUE110のHPLMNの1つ以上の公開鍵を記憶または示すユニバーサル加入者識別モジュール(USIM)662をホストしてよい。UE110は、図6に具体的に示されていない様々な他のコンポーネントを含んでよい。
プロセッサ604は、1つ以上のアプリケーション630を実装してよい。これらのアプリケーション630は、RAN120及びコアネットワーク130を介してダウンリンク(DL)データにアクセスしてよく、また、RAN120及びコアネットワーク130を介して宛先に転送するためのアップリンク(UL)データを生成してよい。プロセッサ604はまた、以下でより詳細に説明するように、NAS手順を制御するように構成されたNASコントローラ634を実装する。
図7は、例示的な実施形態におけるネットワーク要素132のブロック図である。ネットワーク要素132は、UEのセキュリティ及び登録を処理するサーバ、デバイス、装置、機器(ハードウェアを含む)、システム、手段などである。例えば、ネットワーク要素132は、LTEネットワークのMME214、次世代ネットワークのAMF要素314などを含み得る。この実施形態では、ネットワーク要素132は、1つ以上のプラットフォームで動作するサブシステム、すなわち、ネットワークインタフェースコンポーネント702、セキュリティマネージャ704、及び登録マネージャ706を備える。ネットワークインタフェースコンポーネント702は、他のネットワーク要素及び/またはUEと(例えば、RAN120を介して)制御プレーンメッセージまたはシグナリングをやり取りするように構成された回路、論理、ハードウェア、手段などを含み得る。ネットワークインタフェースコンポーネント702は、様々なプロトコル(NASプロトコルを含む)または基準点を使用して動作してよい。セキュリティマネージャ704は、NASセキュリティコンテキストを作成する、NASセキュリティコンテキストのためのNASセキュリティアルゴリズム(複数可)を選択するなど、UEの認証及び/またはセキュリティ手順を処理するように構成された回路、論理、ハードウェア、手段などを備え得る。登録マネージャ706は、UEの登録を処理するように構成された回路、論理、ハードウェア、手段などを備え得る。
ネットワーク要素132のサブシステムのうちの1つ以上は、アナログ及び/またはデジタル回路から構成されるハードウェアプラットフォームに実装されてよい。ネットワーク要素132のサブシステムのうちの1つ以上は、メモリ732に記憶された命令を実行するプロセッサ730上に実装されてよい。プロセッサ730は、命令を実行するように構成された集積ハードウェア回路を備え、メモリ732は、データ、命令、アプリケーション等のための非一時コンピュータ可読記憶媒体等であり、プロセッサ730によってアクセス可能である。
ネットワーク要素132は、図7に具体的に示されていない様々な他のコンポーネントを含んでよい。
NAS手順は、UEとアクセスセキュリティ管理エンティティ(例えば、AMF、MMEなど)の間にNASセキュリティコンテキストが既に存在するときに実行または呼び出されてよい。NASセキュリティの目的は、NASセキュリティキーを使用して、制御プレーンでUEとアクセスセキュリティ管理エンティティの間でNASメッセージを安全に配信することである。NASセキュリティキーは、UEに対して認証が実行されるたびに生成される。NASセキュリティの設定が完了すると、UEとアクセスセキュリティ管理エンティティとは、NAS暗号化キーとNAS完全性キーを共有できるようになり、それらのキーは、送信前にNASメッセージの暗号化と完全性保護で、それぞれ使用される。NAS手順は、NASセキュリティコンテキストが存在しないときにも実行または呼び出されてよい。このシナリオを最初に説明する。
例1:セキュリティコンテキストなし
図8は、例示的な実施形態において、UE110でNAS手順を実行する方法800を示すフローチャートである。方法800のステップは、図6のUE110を参照して説明されるが、当業者は、方法800が他のネットワークまたはアーキテクチャで実行されてよいことを理解するであろう。また、本明細書に記載のフローチャートのステップは、全てを網羅しているわけではなく、示されていない他のステップを含んでよく、ステップは、別の順序で実行されてよい。
この実施形態では、UE110とネットワーク要素132の間にNAS通信セッションがないと想定されてよい。さらに、UE110が非接続モード(例えば、アイドルモード)にあり、接続モードに移行中であると想定されてよい。UE110のNASコントローラ634は、NAS手順を開始して、UE110とネットワーク要素132の間のNAS通信セッションを確立する(ステップ802)。例えば、NAS手順は、登録手順を備え得る。各NAS手順は、必須のNASプロトコルIEのセットを含み、情報を送信するためのオプションのNASプロトコルIEのセットも含み得る。従って、NASコントローラ634は、NAS手順のためのNASプロトコルIE(必須及びオプション)を識別し得る。
この実施形態では、NAS手順は、複数のフェーズ831〜832で実行される。NAS手順の第1のフェーズ831では、NASコントローラ634は、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットを識別する(ステップ804)。セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットは、UEのNASセキュリティコンテキストを作成または確立するために使用されるIEを指す。第1のフェーズ831では、最小限の情報の提供が望ましい場合があるため、NASプロトコルIEのサブセットは、NASセキュリティコンテキストを確立するために使用されるNAS手順の最小数のIEを含み得る。登録手順の場合、一例では、NASプロトコルIEのサブセットは、UEのモバイル識別(例えば、5G−GUTIまたはSUCI(暗号化された加入者識別子(Subscription Concealed Identifier))と、UEによってサポートされる1つ以上のセキュリティアルゴリズムを示すUEセキュリティ機能と、登録タイプ(例えば、初期、モビリティ、定期的、緊急など)と、UEのNASセキュリティコンテキストのセキュリティキーセット識別子(例えば、ngKSI、eKSIなど)から構成されてよい。
NASコントローラ634は、タイプ「初期」の登録要求など、NAS手順のための初期NASメッセージをフォーマットまたは生成してよい。初期NASメッセージは、UEが非接続モード(例えば、アイドルモード)から接続モードに移行した後に送信される最初のNASメッセージを指す。NASコントローラ634は、NASプロトコルIEのサブセットを初期NASメッセージに含める、または挿入する(ステップ806)。第1のフェーズ831では、初期NASメッセージにNASプロトコルIEのサブセットが投入され、初期NASメッセージに投入されるIEは、セキュリティ関連の対処用に選択されたNASプロトコルIEのサブセットに限定される(すなわち、のみから構成される)。初期NASメッセージは、NAS手順に必須のNASプロトコルIEの全てを含むわけではないので、初期NASメッセージは、第1のフェーズ831では「部分的な」メッセージと見なされる。サブセットから除外される他の必須のNASプロトコルIEは、(第2のフェーズ832の一部として)別のNASメッセージに含まれる。次に、NASコントローラ634は、初期NASメッセージをネットワーク要素132に送信する(ステップ810)。
初期NASメッセージを送信する前に、NASコントローラ634は、オプションで、UE110のHPLMNの公開鍵を使用して初期NASメッセージのNASプロトコルIEのサブセットを暗号化してよい(オプションのステップ808)。各HPLMNは、楕円曲線統合暗号化スキーム(ECIES:Elliptic Curve Integrated Encryption Scheme)に従って公開鍵を割り当ててよい。保護スキームによっては、複数の公開鍵があってよい。HPLMNの公開鍵は通常、UE110のUSIM662にプロビジョニングされる。従って、NASコントローラ634は、初期NASメッセージの第1のフェーズ831について識別されたNASプロトコルIEのサブセットを暗号化することができる。公開鍵を使用してNASプロトコルIEのサブセットを暗号化するかどうかの決定は、ポリシーまたは基準に基づいてよい。例えば、NASコントローラ634は、登録タイプが緊急事態を示さないとき(例えば、登録タイプ=初期)、NASプロトコルIEのサブセットを暗号化してよく、登録タイプが緊急事態を示す場合、暗号化せずに初期NASメッセージを送信してよい。別の例では、NASコントローラ634は、UE110がそのUSIM662にプログラムされた公開鍵を有するときにNASプロトコルIEのサブセットを暗号化してよく、UE110がUSIM662にプログラムされた公開鍵を有しないとき、暗号化せずに初期NASメッセージを送信してよい。
図9は、例示的な実施形態において、ネットワーク要素132でNAS手順を実行する方法900を示すフローチャートである。方法900のステップは、図7のネットワーク要素132を参照して説明されるが、当業者は、方法900が他のネットワークまたはアーキテクチャで実行されてよいことを理解されよう。
第1のフェーズ831では、ネットワーク要素132のネットワークインタフェースコンポーネント702が、UE110から初期NASメッセージを受信する(ステップ902)。初期NASメッセージを受信した後、セキュリティマネージャ704は、オプションで、情報がHPLMNの公開鍵を使用して暗号化されているかどうかを判定するために初期NASメッセージを処理してよい。初期NASメッセージが暗号化されているとき、セキュリティマネージャ704は、初期NASメッセージのNASプロトコルIEのサブセットの復号を開始してよい(オプションのステップ904)。一例では、セキュリティマネージャ704は、NASプロトコルIEのサブセットを内部で復号するように構成されてよい。別の例では、セキュリティマネージャ704は、NASプロトコルIEのサブセットを別のネットワーク要素(例えば、UDM要素312)に送信して、NASプロトコルIEのサブセットを復号してよい。
セキュリティマネージャ704は、NASプロトコルIEのサブセットを処理し、UE110のNASセキュリティコンテキストが存在しないことを判定する(ステップ906)。NASセキュリティコンテキストが存在しないので、セキュリティマネージャ704は、UE110を認証するための認証手順を開始してよい(ステップ908)。認証手順(例えば、認証及び鍵合意(AKA))を使用して、UE110とモバイルネットワーク100の間の相互認証を実行してよい。認証手順は異なり得るが、一般に、セキュリティマネージャ704は、ネットワークインタフェースコンポーネント702を介して、認証トークンと共に認証要求をUE110に送信してよい(オプションのステップ910)。認証要求に応答して、UE110は、UE110の側で認証ステップを処理し、認証トークンの検証を試みる(図8のステップ812を参照)。成功した場合、UE110は、モバイルネットワーク100は認証されていると見なす。UE110は、応答トークンを計算し、応答トークンとともに認証応答を送信し、これらは、ネットワークインタフェースコンポーネント702を介してセキュリティマネージャ704によって受信される(オプションのステップ912)。次に、セキュリティマネージャ704(または、別のネットワーク要素)は、応答トークンが有効であるかどうかを判定(例えば、応答トークンを予期された応答トークンと比較)してよい。応答トークンが有効である場合、セキュリティマネージャ704は、UE110は認証されていると見なす。
UE110が検証されると、セキュリティマネージャ704は、NASセキュリティコンテキストを確立するNASセキュリティ手順を開始する(ステップ914)。NASセキュリティ手順では、セキュリティマネージャ704は、NASセキュリティコンテキストの1つ以上のNASセキュリティアルゴリズムを選択し(ステップ916)、1つ以上のNASセキュリティキー(例えば、KAMF、KASMEなど)を導出する。NASセキュリティアルゴリズムは、NAS暗号化アルゴリズムと完全性保護アルゴリズムとを含み得る。次に、セキュリティマネージャ704は、ネットワークインタフェースコンポーネント702を介して、NASセキュリティコンテキストのために選択されたNASセキュリティアルゴリズム(複数可)とセキュリティキーセット識別子とを示すまたは含む応答をUEに送信する(ステップ918)。応答は、NASセキュリティアルゴリズム(複数可)、セキュリティキーセット識別子(例えば、ngKSI、eKSIなど)、及びその他の情報を含むセキュリティモードコマンドを含み得る。
図8では、UE110のNASコントローラ634は、NASセキュリティアルゴリズム(複数可)とセキュリティキーセット識別子とを示す応答をネットワーク要素132から受信する(ステップ814)。ネットワーク要素132からの応答で提供される情報を用いて、NASセキュリティコンテキストがUE110とネットワーク要素132の間に確立される。従って、UE110とネットワーク要素132の間の後続のNASメッセージは、NASセキュリティコンテキストを使用して保護されてよい。
NAS手順の第2のフェーズ832では、NASコントローラ634は、NAS手順のNASプロトコルIEを初期NASメッセージに含める、または挿入する(ステップ816)。初期NASメッセージは、第1のフェーズ831で以前にネットワーク要素132に送信された初期NASメッセージのコピー、複製、または同じタイプである。このステップでは、初期NASメッセージは、NAS手順用のNASプロトコルIEのセット全体を含む(必須及びオプション(必要な場合))。初期NASメッセージにはNAS手順に必須の各NASプロトコルIEが含まれているため、初期NASメッセージは第2のフェーズ832で「完全な」NASメッセージと見なされる。
UE110のNASコントローラ634は、NAS手順のための後続のNASメッセージをフォーマットまたは生成してよい。例えば、後続のNASメッセージは、セキュリティモード完了メッセージを備え得る。NASコントローラ634は、初期NASメッセージを、後続のNASメッセージのNASメッセージコンテナに含める、または挿入する(ステップ818)。NASメッセージコンテナは、プレーンなNASメッセージをカプセル化するために使用されるIEの一種である。NASコントローラ634は、NASセキュリティアルゴリズム(複数可)を使用して、後続のNASメッセージのNASメッセージコンテナを暗号化する(ステップ820)。従って、完全な初期NASメッセージは、後続のNASメッセージのNASメッセージコンテナで暗号化される。次に、NASコントローラ634は、後続のNASメッセージをネットワーク要素132に送信する(ステップ822)。
図9において、第2のフェーズ832では、ネットワークインタフェースコンポーネント702は、UE110から後続のNASメッセージを受信する(ステップ920)。セキュリティマネージャ704は、NASセキュリティアルゴリズム(複数可)を使用して、後続のNASメッセージのNASメッセージコンテナを復号して、完全な初期NASメッセージにアクセスする(ステップ922)。次に、セキュリティマネージャ704またはネットワーク要素132の他のサブシステムは、完全な初期NASメッセージからNASプロトコルIEを処理して、NAS手順をさらに実行してよい。例えば、登録マネージャ706は、登録承諾メッセージをUE110に送信してよく、登録完了メッセージをUE110から受信してよい(オプションのステップ924)。このプロセスの技術的な利点の1つは、NASセキュリティコンテキストを確立するために必要なNASプロトコルIEのみが、暗号化されずに、または、部分的な初期NASメッセージのHPLMN公開鍵に従って暗号化されて、送信され、完全な初期NASメッセージは、後続のNASメッセージで暗号化され、これによって、さらなるセキュリティ保護が提供される。
図10は、例示的な実施形態において、UEがセキュリティコンテキストを有しないときのNAS手順を示すメッセージ図である。図10に示されるNAS手順は、登録手順であるが、他のNAS手順にも同様の概念が適用されてよい。この例は、5Gネットワークで示され、ネットワーク要素132は、AMF要素314を含む。
このNAS手順も、複数のフェーズで実行される。第1のフェーズでは、UE110は、NAS登録手順を求める初期登録要求を生成またはフォーマットする。NAS登録手順は、情報の転送に使用されるNASプロトコルIEのセット(必須及びオプション)を有する。この実施形態では、UE110は、第1のフェーズにおいて、初期登録要求にNASプロトコルIEの完全なセットを投入しない。代わりに、UE110は、NASセキュリティコンテキストを確立するために不可欠なNASプロトコルIEを識別する。従って、UE110は、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットを識別する。この例では、NASプロトコルIEのサブセットは、5Gグローバル一意一時的識別(5G−GUTI:5G Globally Unique Temporary Identity)、UEセキュリティ機能、登録タイプ、及びngKSIから構成されてよい。UE110は、NASプロトコルIEのサブセットを初期登録要求に挿入する。初期登録要求は、NAS登録手順の必須のNASプロトコルIEの全てを含んでいるわけではないため、初期登録要求は、第1のフェーズでは「部分的な」要求である。UE110はまた、UE110によって生成されたSUCIなどの他の情報を初期登録要求に挿入してよい。この例では、UE110はHPLMN公開鍵を使用してNASプロトコルIEのサブセットを暗号化し、初期登録要求をAMF要素314に送信する(S1)。暗号化に使用される保護スキームと公開鍵識別子は、SUCIに示されている保護スキームと公開鍵識別子と同じである。ただし、前述のように、HPLMN公開鍵を使用したNASプロトコルIEのサブセットの暗号化はオプションである。SUCIの保護スキームがNULLの場合、NASプロトコルIEのサブセットは暗号化されない。
初期登録要求の受信に応答して、AMF要素314は、UEのPLMN ID及びルーティングIDに基づいて復号するために、情報をUEのホームUDMにルーティングする。従って、AMF要素314は、認証要求(すなわち、Nausf_UEAuthentication_Authenticate要求)をフォーマットまたは生成し、NASプロトコルIEの暗号化されたサブセットを他の情報(例えば、SUCI及びサービングネットワーク名)とともに認証要求に挿入する。次に、AMF要素314は、認証要求をAUSF要素310に送信する(S2)。認証要求を受信することに応答して、AUSF要素310は、認証要求(すなわち、Nudm_UEAuthentication_Get要求)をフォーマットまたは生成し、NASプロトコルIEの暗号化されたサブセットを他の情報とともに認証要求に挿入する。次に、AUSF要素310は、認証要求をUDM要素312に送信する(S3)。
認証要求に応答して、UDM要素312は、NASプロトコルIEのサブセットが読み取り可能になるように、HPLMN秘密鍵を使用して(すなわち、SUCI用に選択された保護スキームに従った情報を使用して)NASプロトコルIEのサブセットを復号する。UDM要素312はまた、認証資格情報リポジトリ及び処理機能(ARPF)に関連する機能をホストし、ARPFは、認証方法を選択し、AUSF要素310の認証データ及びキー情報(例えば、トークン)を計算する(必要な場合)。UDM要素312は、AUSF要素310の認証応答(すなわち、Nudm_UEAuthentication_Get応答)をフォーマットまたは生成し、NASプロトコルIEの復号されたサブセット、認証ベクトル(AV)、及びその他の情報を認証応答に挿入する。次に、UDM要素312は、認証応答をAUSF要素310に送信する(S4)。認証応答を受信することに応答して、AUSF要素310は、AMF要素314の認証応答(すなわち、Nuasf_UEAuthentication_Authenticate応答)をフォーマットまたは生成し、NASプロトコルIEの復号されたサブセット、AV、及び他の情報を認証応答に挿入する。次に、AUSF要素310は、認証応答をAMF要素314に送信する(S5)。
AMF要素314は、UDM/AUSFによって提供される情報を使用して、UE110を用いて認証手順を実行するように構成される。例えば、AMF要素314は、AVから認証トークンとともに認証要求をUE110に送信し(S6)、UE110は、認証トークンの検証を試みる。成功した場合、UE110は、応答トークンを計算し、応答トークンとともに認証応答を送信し、これらは、AMF要素314によって受信される(S7)。AMF要素314は、別の認証要求(すなわち、Nausf_UEAuthentication_Authenticate要求)をフォーマットまたは生成し、UE110からの応答トークンを他の情報とともに認証要求に挿入する。次に、AMF要素314は、認証要求をAUSF要素310に送信する(S8)。AUSF要素310は、UE110からの応答トークンが予期された応答トークンと一致するかどうかを検証し、認証の成功/失敗を示す認証応答(すなわち、Nausf_UEAuthentication_Authenticate応答)をAMF要素314に送信する。
UE110がネットワークに対して認証されると、AMF要素314は、NASセキュリティコンテキストを確立するNASセキュリティ手順を開始する。AMF要素314は、暗号化及び完全性保護のためにNASセキュリティアルゴリズム(または複数のアルゴリズム)を選択する。AMF要素314は、セキュリティモードコマンドメッセージをフォーマットまたは生成し、NASセキュリティアルゴリズム(複数可)、ngKSI、及び他の情報のインジケータをセキュリティモードコマンドメッセージに挿入する。次に、AMF要素314は、セキュリティモードコマンドメッセージをUE110に送信する(S10)。
NAS手順の第2のフェーズでは、UE110はngKSI及びNASセキュリティアルゴリズムを使用して、後続のNASメッセージを保護するための対応するキーを導出する。従って、NASセキュリティコンテキストは、UE110とAMF要素314の間に確立される。UE110は、NAS登録手順のNASプロトコルIEを初期登録要求に含め、または挿入し、これは、第1のフェーズで以前に送信された初期登録要求のコピー、複製、または同じタイプのメッセージである。初期登録要求は、全ての必須のNASプロトコルIEと、情報の転送に使用される任意のオプションのNASプロトコルIEとを含む。追加のNASプロトコルIEは、非現在の(Non−current)ネイティブNASキーセット識別子、5Gモビリティ管理(MM)機能、要求されたネットワークスライス選択支援情報(NSSAI)、最後に訪問した登録済み追跡エリア識別子(TAI)、S1 UEネットワーク機能、アップリンクデータステータス、PDUセッションステータス、モバイル開始接続のみ(MICO)インジケーション、UEステータス、追加のGUTI、許可されたPDUセッションステータス、UEの使用設定、要求された不連続受信(DRX)パラメータ、EPS NASメッセージコンテナ、及びペイロードコンテナを含み得る。従って、初期登録要求は、必須のNASプロトコルIEの全てを含むため、第2のフェーズの「完全な」要求である。UE110は、セキュリティモード完了メッセージをフォーマットまたは生成し、セキュリティモード完了メッセージのNASメッセージコンテナに完全な初期登録要求を挿入する。UE110は、NASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、セキュリティモード完了メッセージのNASメッセージコンテナを暗号化する。従って、完全な初期登録要求は、セキュリティモード完了メッセージのNASメッセージコンテナで暗号化される。次に、UE110は、セキュリティモード完了メッセージをAMF要素314に送信する(S11)。
AMF要素314は、UE110からセキュリティモード完了メッセージを受信し、セキュリティモード完了メッセージのNASメッセージコンテナを復号して、完全な初期登録要求からNASプロトコルIEにアクセスする。次に、AMF要素314は、登録承諾メッセージをUE110に送信することなどによって、登録手順を続行する(S12)。UE110は、登録完了メッセージでAMF要素314に応答し(S13)、この時点で、UE110は、サービスにアクセスするためのネットワークに登録される。
例2:セキュリティコンテキストなし
セキュリティコンテキストが存在しないときのNAS手順の別の例では、図11は、例示的な実施形態において、UE110でNAS手順を実行する方法1100を示すフローチャートである。UE110のNASコントローラ634は、UE110とネットワーク要素132の間にNAS通信セッションを確立するNAS手順を開始する(ステップ1102)。NASコントローラ634は、NAS手順のためのNASプロトコルIE(必須及びオプション)を識別する(ステップ1104)。NASコントローラ634は、NAS手順のための第1の初期NASメッセージをフォーマットまたは生成してよく、第1の初期NASメッセージにNASプロトコルIEを含める、または挿入する(ステップ1106)。このステップでは、第1の初期NASメッセージは、NAS手順のNASプロトコルIEのセット全体を含む(必須及びオプション(必要な場合))。第1の初期NASメッセージにはNAS手順に必須のNASプロトコルIEそれぞれが含まれているため、第1の初期NASメッセージは「完全な」NASメッセージと見なされる。
NASコントローラ634はまた、第1の初期NASメッセージの複製である第2の初期NASメッセージをフォーマットまたは生成する(ステップ1108)。複製メッセージとは、NAS手順の同じタイプのメッセージを指す。例えば、第1の初期NASメッセージが登録要求である場合、第2の初期NASメッセージも登録要求である。ただし、複製メッセージに投入されるIEは、元のメッセージとは異なる場合がある。NASコントローラ634は、第2の初期NASメッセージのNASメッセージコンテナに第1の初期NASメッセージを含める、または挿入する(ステップ1110)。NASコントローラ634は、UE110のHPLMNの公開鍵を使用して、第2の初期NASメッセージのNASメッセージコンテナを暗号化する(ステップ1112)。従って、完全な初期NASメッセージは、第2の初期NASメッセージのNASメッセージコンテナで暗号化される。次に、NASコントローラ634は、第2の初期NASメッセージをネットワーク要素132に送信する(ステップ1114)。
図12は、例示的な実施形態において、ネットワーク要素132でNAS手順を実行する方法1200を示すフローチャートである。ネットワーク要素132のネットワークインタフェースコンポーネント702は、UE110から第2の初期NASメッセージを受信する(ステップ1202)。この例のようにNASメッセージコンテナが暗号化されているとき、セキュリティマネージャ704は、第1の初期NASメッセージにアクセスするために、NASメッセージコンテナの復号を開始する(ステップ1204)。一例では、セキュリティマネージャ704は、NASメッセージコンテナを復号するように構成されてよい。別の例では、セキュリティマネージャ704は、NASメッセージコンテナを、NASメッセージコンテナを復号するために別のネットワーク要素(例えば、UDM要素312)に送信してよい。
NASメッセージコンテナが復号されると、セキュリティマネージャ704は、第1の初期NASメッセージにアクセスすることができる。第1の初期NASメッセージには、NAS手順のNASプロトコルIEが投入されている。セキュリティマネージャ704は、NASプロトコルIEを処理して、UE110のNASセキュリティコンテキストが存在しないことを判定してよい(ステップ1206)。NASセキュリティコンテキストが存在しないので、セキュリティマネージャ704は、UE110を認証するための認証手順を開始してよい(ステップ1208)。認証手順では、セキュリティマネージャ704は、ネットワークインタフェースコンポーネント702を介して、認証トークンと共に認証要求をUE110に送信してよい(オプションのステップ1210)。認証要求に応答して、UE110は、UE110の側で認証ステップを処理し、認証トークンの検証を試みる(図11のステップ1116を参照)。成功した場合、UE110は、モバイルネットワーク100は認証されていると見なす。UE110は、応答トークンを計算し、応答トークンを有する認証応答を送信し、これは、ネットワークインタフェースコンポーネント702を介してセキュリティマネージャ704によって受信される(オプションのステップ1212)。次に、セキュリティマネージャ704(または、別のネットワーク要素)は、応答トークンが有効であるかどうかを判定(例えば、応答トークンを予期された応答トークンと比較)してよい。応答トークンが有効である場合、セキュリティマネージャ704は、UE110は認証されていると見なす。
UE110が検証されると、セキュリティマネージャ704は、NASセキュリティコンテキストを確立するNASセキュリティ手順を開始する(ステップ1214)。NASセキュリティ手順では、セキュリティマネージャ704は、NASセキュリティコンテキストの1つ以上のNASセキュリティアルゴリズムを選択し(ステップ1216)、1つ以上のNASセキュリティキー(例えば、KAMF、KASMEなど)を導出する。次に、セキュリティマネージャ704は、セキュリティモードコマンドをフォーマットまたは生成し、NASセキュリティコンテストに対して選択されたNASセキュリティアルゴリズム(複数可)とセキュリティキーセット識別子とを示すまたは含むセキュリティモードコマンドをネットワークインタフェースコンポーネント702を介して、UE110に送信する(ステップ1218)。
図11では、UE110のNASコントローラ634は、NASセキュリティアルゴリズム(複数可)を示すセキュリティモードコマンドをネットワーク要素132から受信する(ステップ1118)。セキュリティモードコマンドで提供される情報を使用して、NASセキュリティコンテキストがUE110とネットワーク要素132の間に確立される。従って、UE110とネットワーク要素132の間の後続のNASメッセージは、NASセキュリティコンテキストを使用して保護されてよい。次に、UE110のNASコントローラ634は、セキュリティモード完了メッセージをフォーマットまたは生成してよく、セキュリティモード完了メッセージをネットワーク要素132に送信してよい(ステップ1120)。図12では、ネットワークインタフェースコンポーネント702は、UE110からセキュリティモード完了を受信する(ステップ1220)。セキュリティマネージャ704は、NASセキュリティアルゴリズム(複数可)を使用して、任意の後続のNASメッセージを復号し得る。このプロセスの技術的な利点の1つは、NASセキュリティコンテキストを確立するために必要なNASプロトコルIEのみが、暗号化されずに、部分的な初期NASメッセージに挿入され、完全な初期NASメッセージは、部分的なNASメッセージで暗号化され、これによって、さらなるセキュリティ保護を提供することである。
図13は、例示的な実施形態において、UEがセキュリティコンテキストを有しないときのNAS手順を示すメッセージ図である。図13に示すNAS手順は、登録手順であるが、他のNAS手順にも同様の概念が適用されてよい。UE110は、NAS登録手順のための登録要求を生成またはフォーマットする。この実施形態では、UE110は、登録要求にNASプロトコルIEの完全なセットを投入する。従って、登録要求は完全な登録要求である。
UE110はまた、完全な登録要求の複製である別の登録要求を生成またはフォーマットする。別の登録要求は「初期」タイプであるため、初期登録要求である。完全な登録要求に必須のNASプロトコルIEのそれぞれを投入する代わりに、UE110は初期登録要求のNASメッセージコンテナに完全な登録要求を挿入する。UE110はまた、UE110によって生成されたSUCIなどの他の情報を初期登録要求に挿入してよい。この例では、UE110は、HPLMN公開鍵を使用して初期登録要求のNASメッセージコンテナを暗号化し、初期登録要求をAMF要素314に送信する(S1)。
初期登録要求の受信に応答して、AMF要素314は、UEのPLMN ID及びルーティングIDに基づいて復号するために、UEのホームUDMに情報をルーティングする。従って、AMF要素314は、認証要求(すなわち、Nausf_UEAuthentication_Authenticate要求)をフォーマットまたは生成し、初期登録要求の暗号化されたNASメッセージコンテナを他の情報とともに認証要求に挿入する。次に、AMF要素314は、認証要求をAUSF要素310に送信する(S2)。認証要求を受信することに応答して、AUSF要素310は、認証要求(すなわち、Nudm_UEAuthentication_Get要求)をフォーマットまたは生成し、暗号化されたNASメッセージコンテナを他の情報とともに認証要求に挿入する。次に、AUSF要素310は、認証要求をUDM要素312に送信する(S3)。
認証要求に応答して、UDM要素312は、完全な登録要求が読み取り可能であるように、HPLMN秘密鍵を使用して暗号化されたNASメッセージコンテナを復号する。UDM要素312はまた、認証方法を選択し、AUSF要素310の認証データ及びキー情報(例えば、トークン)を計算する(必要な場合)。UDM要素312は、AUSF要素310の認証応答(すなわち、Nudm_UEAuthentication_Get応答)をフォーマットまたは生成し、復号されたNASメッセージコンテナ、認証ベクトル(AV)、及びその他の情報を認証応答に挿入する。次に、UDM要素312は、認証応答をAUSF要素310に送信する(S4)。認証応答を受信することに応答して、AUSF要素310は、AMF要素314の認証応答(すなわち、Nuasf_UEAuthentication_Authenticate応答)をフォーマットまたは生成し、復号されたNASメッセージコンテナ、AV、及び他の情報を認証応答に挿入する。次に、AUSF要素310は、認証応答をAMF要素314に送信する(S5)。
AMF要素314は、UDM/AUSFによって提供される情報を使用して、UE110を用いて認証手順を実行するように構成される。例えば、AMF要素314は、AVからの認証トークンとともに認証要求をUE110に送信し(S6)、UE110は、認証トークンの検証を試みる。成功した場合、UE110は、応答トークンを計算し、応答トークンとともに認証応答を送信し、これらは、AMF要素314によって受信される(S7)。AMF要素314は、別の認証要求(すなわち、Nausf_UEAuthentication_Authenticate要求)をフォーマットまたは生成し、UE110からの応答トークンを他の情報とともに認証要求に挿入する。次に、AMF要素314は、認証要求をAUSF要素310に送信する(S8)。AUSF要素310は、UE110からの応答トークンが予期された応答トークンと一致するかどうかを検証し、認証の成功/失敗を示す認証応答(すなわち、Nausf_UEAuthentication_Authenticate応答)をAMF要素314に送信する。
UE110がネットワークに対して認証されると、AMF要素314は、NASセキュリティコンテキストを確立するNASセキュリティ手順を開始する。AMF要素314は、暗号化及び完全性保護のためにNASセキュリティアルゴリズム(または複数のアルゴリズム)を選択する。AMF要素314は、セキュリティモードコマンドメッセージをフォーマットまたは生成し、NASセキュリティアルゴリズム(複数可)、ngKSI、及び他の情報のインジケータをセキュリティモードコマンドメッセージに挿入する。次に、AMF要素314は、セキュリティモードコマンドメッセージをUE110に送信する(S10)。UE110は、ngKSI及びNASセキュリティアルゴリズムを使用して、後続のNASメッセージを保護するための対応するキーを導出する。従って、セキュリティコンテキストは、UE110とAMF要素314の間に確立される。UE110は、セキュリティモード完了メッセージをフォーマットまたは生成し、セキュリティモード完了メッセージをAMF要素314に送信する(S11)。
次に、AMF要素314は、登録承諾メッセージをUE110に送信することなどによって、登録手順を続行する(S12)。UE110は、登録完了メッセージでAMF要素314に応答し(S13)、この時点で、UE110は、サービスにアクセスするためのネットワークに登録される。
例3:セキュリティコンテキストが存在−セキュリティコンテキストは有効
さらなる例では、NAS手順は、UEとアクセスセキュリティ管理エンティティ(例えば、AMF、MMEなど)の間にNASセキュリティコンテキストが既に存在するときに実行または呼び出されてよい。以下に、NASセキュリティコンテキストが存在するときのNAS手順の例を示す。
図14は、例示的な実施形態において、UE110でNAS手順を実行する方法1400を示すフローチャートである。UE110のNASコントローラ634は、UE110とネットワーク要素132の間にNAS通信セッションを確立(または、再確立)するNAS手順を開始する(ステップ1402)。NASコントローラ634は、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットを識別する(ステップ1404)。NASコントローラ634は、タイプ「モビリティ」、「周期的」などの登録要求等、NAS手順のための第1のNASメッセージをフォーマットまたは生成する。NASコントローラ634は、NASプロトコルIEのサブセットを第1のNASメッセージに含める、または挿入する(ステップ1406)。
NASコントローラ634はまた、第1のNASメッセージの複製である第2のNASメッセージをフォーマットまたは生成する。NASコントローラ634は、第2のNASメッセージに、NAS手順のためのNASプロトコルIEを含める、または挿入する(ステップ1408)。このステップでは、第2のNASメッセージは、NAS手順のためのNASプロトコルIEのセット全体を含む(必須及びオプション(必要な場合))。第2のNASメッセージにはNAS手順に必須のNASプロトコルIEのそれぞれが含まれているため、第2のNASメッセージは「完全な」NASメッセージと見なされる。
NASコントローラ634は、第1のNASメッセージのNASメッセージコンテナに第2のNASメッセージを含める、または挿入する(ステップ1410)。NASコントローラ634は、NASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、第1のNASメッセージのNASメッセージコンテナを暗号化する(ステップ1412)。従って、完全な第2のNASメッセージは、第1のNASメッセージのNASメッセージコンテナで暗号化される。次に、NASコントローラ634は、第1のNASメッセージをネットワーク要素132に送信する(ステップ1414)。
図15は、例示的な実施形態において、ネットワーク要素132でNAS手順を実行する方法1500を示すフローチャートである。ネットワーク要素132のネットワークインタフェースコンポーネント702は、UE110から第1のNASメッセージを受信する(ステップ1502)。セキュリティマネージャ704は、UE110のNASセキュリティコンテキストを識別するために第1のNASメッセージのNASプロトコルIEのサブセットを処理する(ステップ1504)。次に、セキュリティマネージャ704は、NASセキュリティコンテキストを使用して第1のNASメッセージのNASメッセージコンテナを復号して、NASメッセージコンテナに含有される第2のNASメッセージにアクセスする(ステップ1506)。復号された第1のNASメッセージのNASメッセージコンテナを用いて、セキュリティマネージャ704は、復号された第2のNASメッセージにアクセスすることができる。第2のNASメッセージには、NAS手順のNASプロトコルIEが投入されている。従って、セキュリティマネージャ704は、NAS手順のさらなる処理を続行するために第2のNASメッセージのNASプロトコルIEを処理してよい(ステップ1508)。このプロセスの技術的な利点の1つは、NASセキュリティコンテキストを識別するために必要なNASプロトコルIEのみが、初期NASメッセージで暗号化されずに送信され、完全な第2のNASメッセージは初期NASメッセージで暗号化され、これにより、さらなるセキュリティ保護を提供する。
図16は、例示的な実施形態において、UEが有効なセキュリティコンテキストを有するときのNAS登録手順を示すメッセージ図である。UE110は、NAS登録手順のための第1の登録要求を生成またはフォーマットする。この実施形態では、UE110は、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットを第1の登録要求に投入する。この情報は、NASセキュリティコンテキストをAMF要素314に示すために使用される。例えば、NASプロトコルIEのサブセットは、5G−GUTI、登録タイプ、及びngKSIを含んでよい。UE110はまた、第1の登録要求の複製である第2の登録要求をフォーマットまたは生成する。UE110は、第2の登録要求において、NAS登録手順のためのNASプロトコルIEを含める、または挿入する。このステップでは、第2の登録要求は、NAS登録手順用のNASプロトコルIEのセット全体を含む(必須及びオプション(必要な場合))。第2の登録要求にはNAS登録手順に必須のNASプロトコルIEのそれぞれが含まれているため、第2の登録要求は「完全な」登録要求と見なされる。
UE110は、第1の登録要求のNASメッセージコンテナに第2の登録要求を含め、または挿入し、NASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、第1の登録要求のNASメッセージコンテナを暗号化する。従って、完全な第2の登録要求は、第1の登録要求のNASメッセージコンテナで暗号化される。次に、UE110は、第1の登録要求をAMF要素314に送信する(S1)。
第1の登録要求を受信することに応答して、AMF要素314は、第1の登録要求に含まれるNASプロトコルIEのサブセットに基づいて、NASセキュリティコンテキストを識別するまたは読み出す。次に、AMF要素314は、第2の登録要求が読み取り可能になるように、NASセキュリティコンテキストを使用して、第1の登録要求の暗号化されたNASメッセージコンテナを復号する。従って、AMF要素314は、NAS登録手順のためにNASプロトコルIEのセット全体を処理し、NAS登録手順の処理を継続することができる。例えば、AMF要素314は、登録承諾メッセージをUE110に送信する(S2)。UE110は、登録完了メッセージでAMF要素314に応答し(S3)、この時点で、UE110は、サービスにアクセスするためにネットワークに登録される。
図17は、例示的な実施形態において、UEが有効なセキュリティコンテキストを有するときのNASサービス要求手順を示すメッセージ図である。UE110は、NASサービス要求手順のための第1のサービス要求を生成またはフォーマットする。この実施形態では、UE110は、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットを第1のサービス要求に投入し、これは、AMF要素314にNASセキュリティコンテキストを示すために使用される。この例では、NASプロトコルIEのサブセットは、5G−S−TMSI及びngKSIを含み得る。UE110はまた、第1のサービス要求の複製である第2のサービス要求をフォーマットまたは生成する。UE110は、第2のサービス要求にNASサービス要求手順のためのNASプロトコルIEを含める、または挿入する。このステップでは、第2のサービス要求は、NASサービス要求手順のためのNASプロトコルIEのセット全体を含む(必須及びオプション(必要な場合))。第2のサービス要求には、NASサービス要求手順に必須のNASプロトコルIEのそれぞれが含まれているため、第2のサービス要求は「完全な」サービス要求と見なされる。
UE110は、第1のサービス要求のNASメッセージコンテナに第2のサービス要求を含め、または挿入し、NASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、第1のサービス要求のNASメッセージコンテナを暗号化する。従って、完全な第2のサービス要求は、第1のサービス要求のNASメッセージコンテナで暗号化される。次に、UE110は、第1のサービス要求をAMF要素314に送信する(S1)。
第1のサービス要求の受信に応答して、AMF要素314は、第1のサービス要求に含まれるNASプロトコルIEのサブセットに基づいて、NASセキュリティコンテキストを識別する、または読み出す。次に、AMF要素314は、第2のサービス要求が読み取り可能になるように、NASセキュリティコンテキストを使用して、第1のサービス要求の暗号化されたNASメッセージコンテナを復号する。従って、AMF要素314は、NASサービス要求手順のためのNASプロトコルIEのセット全体を処理し、NASサービス要求手順のための処理を継続することができる。例えば、AMF要素314は、サービス承諾メッセージをUE110に送信する(S2)。
図18は、例示的な実施形態において、UEが有効なセキュリティコンテキストを有するときのNAS登録解除手順を示すメッセージ図である。UE110は、NAS登録解除手順のための第1の登録解除要求を生成またはフォーマットする。この実施形態では、UE110は、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットを第1の登録解除要求に投入し、これは、AMF要素314にNASセキュリティコンテキストを示すために使用される。この例では、NASプロトコルIEのサブセットは、5G−S−TMSI及びngKSIを含み得る。UE110はまた、第1の登録解除要求の複製である第2の登録解除要求をフォーマットまたは生成する。UE110は、NAS登録解除手順のためのNASプロトコルIEを第2の登録解除要求に含める、または挿入する。このステップでは、第2の登録解除要求は、NAS登録解除手順のためのNASプロトコルIEのセット全体を含む(必須及びオプション(必要な場合))。第2の登録解除要求にはNAS登録解除手順に必須のNASプロトコルIEのそれぞれが含まれているため、第2の登録解除要求は「完全な」登録解除要求と見なされる。
UE110は、第1の登録解除要求のNASメッセージコンテナに第2の登録解除要求を含め、または挿入し、NASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、第1の登録解除要求のNASメッセージコンテナを暗号化する。従って、完全な第2の登録解除要求は、第1の登録解除要求のNASメッセージコンテナで暗号化される。次に、UE110は、第1の登録解除要求をAMF要素314に送信する(S1)。
第1の登録解除要求を受信することに応答して、AMF要素314は、第1の登録解除要求に含まれるNASプロトコルIEのサブセットに基づいて、NASセキュリティコンテキストを識別するまたは読み出す。次に、AMF要素314は、第2の登録解除要求が読み取り可能になるように、NASセキュリティコンテキストを使用して、第1の登録解除要求の暗号化されたNASメッセージコンテナを復号する。従って、AMF要素314は、NAS登録解除手順のためにNASプロトコルIEのセット全体を処理し、NAS登録解除手順の処理を継続することができる。例えば、AMF要素314は、登録解除承諾メッセージをUE110に送信する(S2)。
例4:セキュリティコンテキストが存在−セキュリティコンテキストが無効、または見つからない
図19A〜図19Bは、例示的な実施形態において、UE110でNAS手順を実行する方法1900を示すフローチャートである。UE110のNASコントローラ634は、UE110とネットワーク要素132の間にNAS通信セッションを確立(または、再確立)するNAS手順を開始する(ステップ1902)。NAS手順の第1のフェーズ1931では、NASコントローラ634は、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットを識別する(ステップ1904)。NASコントローラ634は、NAS手順のための第1のNASメッセージをフォーマットまたは生成し、第1のNASメッセージにNASプロトコルIEのサブセットを含める、または挿入する(ステップ1906)。
NASコントローラ634はまた、第1のNASメッセージの複製である第2のNASメッセージをフォーマットまたは生成する。NASコントローラ634は、NAS手順のためのNASプロトコルIEを第2のNASメッセージに含める、または挿入する(ステップ1908)。このステップでは、第2のNASメッセージは、NAS手順のためのNASプロトコルIEのセット全体を含む(必須及びオプション(必要な場合))。第2のNASメッセージにはNAS手順に必須のNASプロトコルIEのそれぞれが含まれているため、第2のNASメッセージは「完全な」NASメッセージと見なされる。
NASコントローラ634は、第1のNASメッセージのNASメッセージコンテナに第2のNASメッセージを含める、または挿入する(ステップ1910)。NASコントローラ634は、NASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、第1のNASメッセージのNASメッセージコンテナを暗号化する(ステップ1912)。従って、完全な第2のNASメッセージは、第1のNASメッセージのNASメッセージコンテナで暗号化される。次に、NASコントローラ634は、第1のNASメッセージをネットワーク要素132に送信する(ステップ1914)。
図20は、例示的な実施形態において、ネットワーク要素132でNAS手順を実行する方法2000を示すフローチャートである。NAS手順の第1のフェーズ1931では、ネットワーク要素132のネットワークインタフェースコンポーネント702は、UE110から第1のNASメッセージを受信する(ステップ2002)。セキュリティマネージャ704は、第1のNASメッセージのNASプロトコルIEのサブセットを処理し、UE110の有効なNASセキュリティコンテキストの識別に失敗する(ステップ2004)。例えば、NASセキュリティコンテキストが存在する場合でも、セキュリティマネージャ704が、第1のNASメッセージで提供されるNASプロトコルIEのサブセットに基づいてNASセキュリティコンテキストを識別できない、NASプロトコルIEのサブセットに基づいて識別されたNASセキュリティコンテキストが無効である等の場合である。有効なNASセキュリティコンテキストが見つからないため、セキュリティマネージャ704は、UE110を認証するための認証手順を開始する(ステップ2006)。認証手順が以前に実行された可能性があるとしても、セキュリティマネージャ704は、有効なNASセキュリティコンテキストが見つからないときは、認証手順を再度実行する。認証手順の一部として、セキュリティマネージャ704は、ネットワークインタフェースコンポーネント702を介して、認証トークンとともに認証要求をUE110に送信してよい(オプションのステップ2008)。認証要求に応答して、UE110は、認証トークンの検証を試みる(図19Aのステップ1916を参照)。成功した場合、UE110は、モバイルネットワーク100は認証されていると見なす。UE110は、応答トークンを計算し、応答トークンとともに認証応答を送信し、これらは、ネットワークインタフェースコンポーネント702を介してセキュリティマネージャ704によって受信される(オプションのステップ2010)。次に、セキュリティマネージャ704(または別のネットワーク要素)は、応答トークンが有効であるかどうかを判定(例えば、応答トークンを予期された応答トークンと比較)してよい。応答トークンが有効である場合、セキュリティマネージャ704は、UE110が認証されていると見なす。
UE110が検証されると、セキュリティマネージャ704は、新しいNASセキュリティコンテキストを確立するNASセキュリティ手順を開始する(ステップ2012)。NASセキュリティ手順では、セキュリティマネージャ704は、新しいNASセキュリティ手順のために1つ以上のNASセキュリティアルゴリズムを選択し(ステップ2014)、1つ以上のNASセキュリティキーを導出する。次に、セキュリティマネージャ704は、新しいNASセキュリティコンテキストのために選択されたNASセキュリティアルゴリズム(複数可)とセキュリティキーセット識別子とを示すまたは含む応答をネットワークインタフェースコンポーネント702を介してUE110に送信する(ステップ2016)。応答は、NASセキュリティアルゴリズム(複数可)、セキュリティキーセット識別子(例えば、ngKSI、eKSIなど)、及びその他の情報を含むセキュリティモードコマンドを含み得る。
図19Aでは、NASコントローラ634は、NASセキュリティアルゴリズム(複数可)とセキュリティキーセット識別子とを示す応答をネットワーク要素132から受信する(ステップ1918)。ネットワーク要素132からの応答で提供される情報を用いて、新しいNASセキュリティコンテキストがUE110とネットワーク要素132の間に確立される。従って、UE110とネットワーク要素132の間の後続のNASメッセージは、新しいNASセキュリティコンテキストを使用して保護されてよい。
図19BのNAS手順の第2のフェーズ1932では、UE110のNASコントローラ634は、次に、NAS手順のための後続のNASメッセージをフォーマットまたは生成してよい。例えば、後続のNASメッセージは、セキュリティモード完了メッセージを備え得る。NASコントローラ634は、NAS手順のための第2のNASメッセージを、後続のNASメッセージのNASメッセージコンテナに含める、または挿入する(ステップ1920)。上記のように、第2のNASメッセージは、NAS手順のためのNASプロトコルIEのセット全体を含み(必須及びオプション(必要な場合))、「完全な」NASメッセージと見なされる。NASコントローラ634は、新しいNASセキュリティコンテキストのNASセキュリティアルゴリズム(複数可)を使用して、後続のNASメッセージのNASメッセージコンテナを暗号化する(ステップ1922)。次に、NASコントローラ634は、後続のNASメッセージをネットワーク要素132に送信する(ステップ1924)。
図20において、第2のフェーズ1932では、ネットワークインタフェースコンポーネント702は、UE110から後続のNASメッセージを受信する(ステップ2018)。セキュリティマネージャ704は、新しいNASセキュリティコンテキストのNASセキュリティアルゴリズム(複数可)を使用して、後続のNASメッセージのNASメッセージコンテナを復号して、完全な第2のNASメッセージにアクセスする(ステップ2020)。次に、セキュリティマネージャ704またはネットワーク要素132の他のサブシステムは、NAS手順をさらに処理するために完全な第2のNASメッセージからNASプロトコルIEを処理してよい。このプロセスの技術的な利点の1つは、NASセキュリティコンテキストを識別するために必要なNASプロトコルIEのみが、第1のNASメッセージで暗号化されずに送信されることである。有効なNASセキュリティコンテキストが見つからないとき、新しいNASセキュリティコンテキストが確立され、新しいNASセキュリティコンテキストに従って完全なNASメッセージが後続のNASメッセージで暗号化され、これにより、さらなるセキュリティ保護が提供される。
図21は、例示的な実施形態において、UEがNASセキュリティコンテキストを有するが、NASセキュリティコンテキストが有効でないか、または見つけられないときのNAS登録手順を示すメッセージ図である。NAS手順の第1のフェーズでは、UE110は、NAS登録手順のための第1の登録要求を生成またはフォーマットする。この実施形態では、UE110は、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットを第1の登録要求に投入する。この情報は、NASセキュリティコンテキストをAMF要素314に示すために使用される。例えば、NASプロトコルIEのサブセットは、5G−GUTI、登録タイプ、及びngKSIを含んでよい。UE110はまた、第1の登録要求の複製である第2の登録要求をフォーマットまたは生成する。UE110は、NAS登録手順のためのNASプロトコルIEを第2の登録要求に含める、または挿入する。このステップでは、第2の登録要求は、NAS登録手順のためのNASプロトコルIEのセット全体を含む(必須及びオプション(必要な場合))。第2の登録要求にはNAS登録手順に必須のNASプロトコルIEのそれぞれが含まれているため、第2の登録要求は「完全な」登録要求と見なされる。
UE110は、第1の登録要求のNASメッセージコンテナに第2の登録要求を含め、または挿入し、NASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、第1の登録要求のNASメッセージコンテナを暗号化する。従って、完全な第2の登録要求は、第1の登録要求のNASメッセージコンテナで暗号化される。次に、UE110は、第1の登録要求をAMF要素314に送信する(S1)。
第1の登録要求の受信に応答して、AMF要素314は、第1の登録要求に含まれるNASプロトコルIEのサブセットに基づいて、NASセキュリティコンテキストの識別または読み出しを試みる。この例では、AMF要素314はUE110の有効なNASセキュリティコンテキストを識別できない。従って、AMF要素314は、第1の登録要求のNASメッセージコンテナを復号することができない。安全な通信を可能にするために、AMF要素314は、新しい認証手順を開始して、新しいNASセキュリティコンテキストを作成する。AMF要素314は、認証要求(すなわち、Nausf_UEAuthentication_Authenticate要求)をフォーマットまたは生成し、認証要求をAUSF要素310に送信する(S2)。認証要求の受信に応答して、AUSF要素310は、認証要求(すなわち、Nudm_UEAuthentication_Get要求)をフォーマットまたは生成し、認証要求をUDM要素312に送信する(S3)。
認証要求に応答して、UDM要素312は、SUCIを隠蔽解除し、認証応答(すなわち、Nudm_UEAuthentication_Get応答)をAUSF要素310に送信する(S4)。認証応答を受信することに応答して、AUSF要素310は、AMF要素314の認証応答(すなわち、Nuasf_UEAuthentication_Authenticate応答)をフォーマットまたは生成し、認証応答をAMF要素314に送信する(S5)。
AMF要素314は、UDM/AUSFによって提供される情報を使用して、UE110を用いて認証手順を実行するように構成される。例えば、AMF要素314は、認証トークンとともに認証要求をUE110に送信し(S6)、UE110は、認証トークンの検証を試みる。成功した場合、UE110は、応答トークンを計算し、応答トークンとともに認証応答を送信し、これらは、AMF要素314によって受信される(S7)。AMF要素314は、別の認証要求(すなわち、Nausf_UEAuthentication_Authenticate要求)をフォーマットまたは生成し、UE110からの応答トークンを他の情報とともに認証要求に挿入する。次に、AMF要素314は、認証要求をAUSF要素310に送信する(S8)。AUSF要素310は、UE110からの応答トークンが予期された応答トークンと一致するかどうかを検証し、認証の成功/失敗を示す認証応答(すなわち、Nausf_UEAuthentication_Authenticate応答)をAMF要素314に送信する。
UE110がネットワークに対して認証されると、AMF要素314は、新しいNASセキュリティコンテキストを確立するNASセキュリティ手順を開始する。AMF要素314は、暗号化及び完全性保護のためにNASセキュリティアルゴリズム(または複数のアルゴリズム)を選択する。AMF要素314は、セキュリティモードコマンドメッセージをフォーマットまたは生成し、NASセキュリティアルゴリズム、ngKSI、及び他の情報のインジケータをセキュリティモードコマンドメッセージに挿入する。次に、AMF要素314は、セキュリティモードコマンドメッセージをUE110に送信する(S10)。
NAS手順の第2のフェーズでは、UE110は、ngKSI及びNASセキュリティアルゴリズムを使用して、後続のNASメッセージを保護するための対応するキーを導出する。従って、新しいNASセキュリティコンテキストは、UE110とAMF要素314の間に確立される。UE110は、セキュリティモード完了メッセージをフォーマットまたは生成し、セキュリティモード完了メッセージのNASメッセージコンテナに第2の登録要求を挿入する。上記のように、第2の登録要求は、NAS登録手順のためのNASプロトコルIEのセット全体を含み(必須及びオプション(必要な場合))、「完全な」NASメッセージと見なされる。UE110は、新しいNASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、セキュリティモード完了メッセージのNASメッセージコンテナを暗号化する。従って、第2の登録要求は、セキュリティモード完了メッセージのNASメッセージコンテナで暗号化される。次に、UE110は、セキュリティモード完了メッセージをAMF要素314に送信する(S11)。
AMF要素314は、UE110からセキュリティモード完了メッセージを受信し、セキュリティモード完了メッセージのNASメッセージコンテナを復号して、第2の登録要求からNASプロトコルIEにアクセスする。次に、AMF要素314は、登録承諾メッセージをUE110に送信することなどによって、NAS登録手順を続行する(S12)。UE110は、登録完了メッセージでAMF要素314に応答し(S13)、この時点で、UE110は、サービスにアクセスするためにネットワークに登録される。
図22は、例示的な実施形態において、UEがNASセキュリティコンテキストを有するが、NASセキュリティコンテキストが有効でない、またはNASセキュリティコンテキストが見つからないときのNASサービス要求手順を示すメッセージ図である。NAS手順の第1のフェーズでは、UE110は、NASサービス要求手順を求める第1のサービス要求を生成またはフォーマットする。この実施形態では、UE110は、セキュリティ関連の対処用に指定されたNASプロトコルIEのサブセットを第1のサービス要求に投入する。この情報は、NASセキュリティコンテキストをAMF要素314に示すために使用される。例えば、NASプロトコルIEのサブセットは、5G−S−TMSI及びngKSIを含み得る。UE110はまた、第1のサービス要求の複製である第2のサービス要求をフォーマットまたは生成する。UE110は、第2のサービス要求にNASサービス要求手順のためのNASプロトコルIEを含める、または挿入する。このステップでは、第2のサービス要求は、NASサービス要求手順のためのNASプロトコルIEのセット全体を含む(必須及びオプション(必要な場合))。第2のサービス要求には、NASサービス要求手順に必須のNASプロトコルIEのそれぞれが含まれているため、第2のサービス要求は「完全な」サービス要求と見なされる。
UE110は、第1のサービス要求のNASメッセージコンテナに第2のサービス要求を含め、または挿入し、NASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、第1のサービス要求のNASメッセージコンテナを暗号化する。従って、完全な第2のサービス要求は、第1のサービス要求のNASメッセージコンテナで暗号化される。次に、UE110は、第1のサービス要求をAMF要素314に送信する(S1)。
第1のサービス要求の受信に応答して、AMF要素314は、第1のサービス要求に含まれるNASプロトコルIEのサブセットに基づいて、NASセキュリティコンテキストの識別または読み出しを試みる。この例では、AMF要素314はUE110の有効なNASセキュリティコンテキストを識別できない。従って、AMF要素314は、第1のサービス要求のNASメッセージコンテナを復号することができない。安全な通信を可能にするために、AMF要素314は、新しいNASセキュリティコンテキストを作成する新しい認証手順を開始する。AMF要素314は、認証要求(すなわち、Nausf_UEAuthentication_Authenticate要求)をフォーマットまたは生成し、認証要求をAUSF要素310に送信する(S2)。認証要求を受信することに応答して、AUSF要素310は、認証要求(すなわち、Nudm_UEAuthentication_Get要求)をフォーマットまたは生成し、認証要求をUDM要素312に送信する(S3)。
認証要求に応答して、UDM要素312は、SUCIを隠蔽解除し、認証応答(すなわち、Nudm_UEAuthentication_Get応答)をAUSF要素310に送信する(S4)。認証応答を受信することに応答して、AUSF要素310は、AMF要素314の認証応答(すなわち、Nuasf_UEAuthentication_Authenticate応答)をフォーマットまたは生成し、認証応答をAMF要素314に送信する(S5)。
AMF要素314は、UDM/AUSFによって提供される情報を使用して、UE110を用いて認証手順を実行するように構成される。例えば、AMF要素314は、認証トークンとともに認証要求をUE110に送信し(S6)、UE110は、認証トークンの検証を試みる。成功した場合、UE110は、応答トークンを計算し、応答トークンとともに認証応答を送信し、これらは、AMF要素314(S7)によって受信される。AMF要素314は、別の認証要求(すなわち、Nausf_UEAuthentication_Authenticate要求)をフォーマットまたは生成し、他の情報とともに、UE110からの応答トークンを認証要求に挿入する。次に、AMF要素314は、認証要求をAUSF要素310に送信する(S8)。AUSF要素310は、UE110からの応答トークンが予期された応答トークンと一致するかどうかを検証し、認証の成功/失敗を示す認証応答(すなわち、Nausf_UEAuthentication_Authenticate応答)をAMF要素314に送信する。
UE110がネットワークに対して認証されると、AMF要素314は、新しいNASセキュリティコンテキストを確立するNASセキュリティ手順を開始する。AMF要素314は、暗号化及び完全性保護のためにNASセキュリティアルゴリズム(または複数のアルゴリズム)を選択する。AMF要素314は、セキュリティモードコマンドメッセージをフォーマットまたは生成し、NASセキュリティアルゴリズム、ngKSI、及び他の情報のインジケータをセキュリティモードコマンドメッセージに挿入する。次に、AMF要素314は、セキュリティモードコマンドメッセージをUE110に送信する(S10)。
NAS手順の第2のフェーズでは、UE110は、ngKSI及びNASセキュリティアルゴリズムを使用して、後続のNASメッセージを保護するための対応するキーを導出する。従って、新しいNASセキュリティコンテキストは、UE110とAMF要素314の間に確立される。UE110は、セキュリティモード完了メッセージをフォーマットまたは生成し、セキュリティモード完了メッセージのNASメッセージコンテナに第2のサービス要求を挿入する。上記のように、第2のサービス要求は、NASサービス要求手順のためのNASプロトコルIEのセット全体を含み(必須及びオプション(必要な場合))、「完全な」NASメッセージと見なされる。UE110は、新しいNASセキュリティコンテキストのNASセキュリティアルゴリズムを使用して、セキュリティモード完了メッセージのNASメッセージコンテナを暗号化する。従って、第2のサービス要求は、セキュリティモード完了メッセージのNASメッセージコンテナで暗号化される。次に、UE110は、セキュリティモード完了メッセージをAMF要素314に送信する(S11)。
AMF要素314は、UE110からセキュリティモード完了メッセージを受信し、セキュリティモード完了メッセージのNASメッセージコンテナを復号して、第2のサービス要求からのNASプロトコルIEにアクセスする。次に、AMF要素314は、登録承諾メッセージをUE110に送信することなどによって、NASサービス要求手順を続行する(S12)。UE110は、登録完了メッセージでAMF要素314に応答する(S13)。
図に示されている、または本明細書に記載されている様々な要素またはモジュールのいずれかは、ハードウェア、ソフトウェア、ファームウェア、またはこれらの何らかの組み合わせとして実装されてよい。例えば、要素は専用ハードウェアとして実装されてよい。専用のハードウェア要素は、「プロセッサ」、「コントローラ」、または何らかの類似の用語で呼ばれる場合がある。プロセッサによって提供される場合、機能は、単一の専用プロセッサ、単一の共有プロセッサ、または複数の個別のプロセッサによって提供されてよく、それらの一部は共有されてよい。さらに、「プロセッサ」または「コントローラ」という用語の明示的な使用は、ソフトウェアを実行できるハードウェアのみを指すと解釈されるべきではなく、デジタルシグナルプロセッサ(DSP)ハードウェア、ネットワークプロセッサ、特定用途向け集積回路(ASIC)もしくは他の回路、フィールドプログラマブルゲートアレイ(FPGA)、ソフトウェアを記憶するための読み取り専用メモリ(ROM)、ランダムアクセスメモリ(RAM)、不揮発性ストレージ、論理回路、または何らかの他の物理ハードウェアコンポーネントもしくはモジュールを黙示的に含み得る。
また、要素は、要素の機能を実行するためにプロセッサまたはコンピュータによって実行可能な命令として実装されてよい。命令の例としては、ソフトウェア、プログラムコード、ファームウェアなどがある。命令は、プロセッサによって実行されると、プロセッサに要素の機能の実行を指示するように動作可能である。命令は、プロセッサが読み取り可能なストレージデバイスに記憶されてよい。ストレージデバイスの例としては、デジタルもしくはソリッドステートメモリ、磁気ディスクや磁気テープなどの磁気記憶媒体、ハードドライブ、または光学的に読み取り可能なデジタルデータ記憶媒体がある。
本出願書で使用される場合、「回路」という用語は、以下の1つ以上または全てを指す場合がある。
(a)ハードウェアのみの回路の実装(アナログ及び/またはデジタル回路のみで実装など)
(b)ハードウェア回路とソフトウェアの組み合わせ(該当する場合)
(i)アナログ及び/またはデジタルハードウェア回路(複数可)とソフトウェア/ファームウェアの組み合わせ、
(ii)携帯電話やサーバなどの装置に協働して様々な機能を実行させる、(デジタルシグナルプロセッサ(複数可)を含む)ソフトウェアを有するハードウェアプロセッサ(複数可)、ソフトウェア、及びメモリ(複数可)の任意の部分
(c)動作のためにソフトウェア(例えば、ファームウェア)を必要とするが、動作に不要な場合、ソフトウェアが存在しなくてもよい、マイクロプロセッサ(複数可)またはマイクロプロセッサ(複数可)の一部などのハードウェア回路(複数可)及び/またはプロセッサ(複数可)
回路のこの定義は、請求項を含む、本明細書におけるこの用語の全ての使用に適用される。さらなる例として、本出願で使用される場合、回路という用語は、単にハードウェア回路またはプロセッサ(または複数のプロセッサ)またはハードウェア回路またはプロセッサの一部及びその(またはそれらの)付随するソフトウェア及び/またはファームウェアの実装も包含する。回路という用語は、例として、且つ、特定の請求項要素に適用可能な場合、モバイルデバイス用のベースバンド集積回路もしくはプロセッサ集積回路、または、サーバ、セルラーネットワークデバイス、もしくは他のコンピューティングもしくはネットワークデバイスの類似の集積回路も包含する。
特定の実施形態を本明細書に記載したが、本開示の範囲はそれらの特定の実施形態に限定されない。本開示の範囲は、以下の特許請求の範囲及びそれらの同等物によって規定される。

Claims (20)

  1. モバイルネットワークのネットワーク要素であって、前記ネットワーク要素は、
    少なくとも1つのプロセッサと、
    前記プロセッサによって実行可能なコンピュータプログラムコードを含む少なくとも1つのメモリと、を備え、
    前記プロセッサは、前記ネットワーク要素とユーザ機器(UE)の間にNAS通信セッションを確立するために複数のフェーズの非アクセス層(NAS)手順を前記ネットワーク要素に実行させるように構成され、
    前記NAS手順の第1のフェーズでは、前記プロセッサは、前記ネットワーク要素に、
    前記UEから初期NASメッセージを受信することであって、前記初期NASメッセージには、セキュリティ関連の対処用に指定されたNASプロトコル情報要素(IE)のサブセットが前記NAS手順の前記NASプロトコルIEから投入されている、前記受信することと、
    前記UEのNASセキュリティコンテキストが存在しないことを判定するために前記NASプロトコルIEの前記サブセットを処理することと、
    前記NASセキュリティコンテキストのNASセキュリティアルゴリズムを選択すること、且つ、
    前記NASセキュリティコンテキストの前記NASセキュリティアルゴリズムとセキュリティキーセット識別子を示す応答を前記UEに送信すること、
    を行わせるようにさらに構成され、
    前記NAS手順の第2のフェーズでは、前記プロセッサは、前記ネットワーク要素に、
    前記NASセキュリティアルゴリズムに基づいて暗号化された前記初期NASメッセージを含有するNASメッセージコンテナを有する後続のNASメッセージを前記UEから受信すること、且つ、
    前記後続のNASメッセージの前記NASメッセージコンテナを復号することであって、前記後続のNASメッセージの前記NASメッセージコンテナに含有される前記初期NASメッセージには、前記NAS手順の前記NASプロトコルIEのそれぞれが投入されている、前記復号すること、
    を行わせるようにさらに構成される、
    前記モバイルネットワークのネットワーク要素。
  2. 前記第1のフェーズでは、前記NASプロトコルIEの前記サブセットは、前記UEのホームパブリックランドモバイルネットワーク(HPLMN)の公開鍵を使用して、前記初期NASメッセージで暗号化され、
    前記プロセッサは、前記ネットワーク要素に、前記NASプロトコルIEの前記サブセットの復号を開始させるようにさらに構成される
    請求項1に記載のネットワーク要素。
  3. 前記ネットワーク要素は、前記モバイルネットワークのアクセス及びモビリティ管理機能(AMF)要素を備える、
    請求項2に記載のネットワーク要素。
  4. 前記プロセッサは、前記ネットワーク要素に、前記HPLMNの秘密鍵に基づいてNASプロトコルIEの前記サブセットを復号する統一データ管理(UDM)要素に、NASプロトコルIEの前記サブセットを暗号化して送信させるようにさらに構成される
    請求項3に記載のネットワーク要素。
  5. 前記初期NASメッセージは、登録要求メッセージを備え、
    セキュリティ関連の対処用に指定された前記NASプロトコルIEの前記サブセットは、前記UEのモバイル識別、前記UEによってサポートされる1つ以上のNASセキュリティアルゴリズムを示すUEセキュリティ機能、登録タイプ、及びNASセキュリティコンテキストのセキュリティキーセット識別子から構成される
    請求項1に記載のネットワーク要素。
  6. 前記応答は、前記NASセキュリティアルゴリズムと前記セキュリティキーセット識別子とを示すセキュリティモードコマンドメッセージを備え、
    前記UEから受信した前記後続のNASメッセージは、前記NASセキュリティアルゴリズムに基づいて暗号化された前記初期NASメッセージを含有する前記NASメッセージコンテナを有するセキュリティモード完了メッセージを備える、
    請求項1に記載のネットワーク要素。
  7. 前記モバイルネットワークは、第5世代(5G)ネットワークを備える、
    請求項1に記載のネットワーク要素。
  8. ユーザ機器(UE)とモバイルネットワークのネットワーク要素との間にNAS通信セッションを確立するために非アクセス層(NAS)手順を実行する方法であって、
    前記NAS手順の第1のフェーズでは、
    前記ネットワーク要素において前記UEから初期NASメッセージを受信することであって、前記初期NASメッセージには、セキュリティ関連の対処用に指定されたNASプロトコル情報要素(IE)のサブセットが前記NAS手順の前記NASプロトコルIEから投入されている、前記受信することと、
    前記UEのNASセキュリティコンテキストが存在しないことを判定するために前記NASプロトコルIEの前記サブセットを前記ネットワーク要素において処理することと、
    前記ネットワーク要素において前記NASセキュリティコンテキストのNASセキュリティアルゴリズムを選択することと、
    前記NASセキュリティコンテキストの前記NASセキュリティアルゴリズムとセキュリティキーセット識別子とを示す応答を前記ネットワーク要素から前記UEに送信することと、
    を備え、
    前記NAS手順の第2のフェーズでは、
    前記NASセキュリティアルゴリズムに基づいて暗号化された前記初期NASメッセージを含有するNASメッセージコンテナを有する後続のNASメッセージを前記UEから前記ネットワーク要素において受信することと、
    前記ネットワーク要素において前記後続のNASメッセージの前記NASメッセージコンテナを復号することであって、前記後続のNASメッセージの前記NASメッセージコンテナに含有される前記初期NASメッセージには、前記NAS手順の前記NASプロトコルIEのそれぞれが投入されている、前記復号することと、
    を備える、前記方法。
  9. 前記第1のフェーズでは、前記NASプロトコルIEの前記サブセットは、前記UEのホームパブリックランドモバイルネットワーク(HPLMN)の公開鍵を使用して、前記初期NASメッセージで暗号化され、
    前記方法は、
    前記NASプロトコルIEの前記サブセットの復号を開始すること
    をさらに備える、
    請求項8に記載の方法。
  10. 前記ネットワーク要素は、前記モバイルネットワークのアクセス及びモビリティ管理機能(AMF)要素を備え、
    前記NASプロトコルIEの前記サブセットの復号を開始することは、前記HPLMNの秘密鍵に基づいてNASプロトコルIEの前記サブセットを復号するためにNASプロトコルIEの前記サブセットを暗号化して統一データ管理(UDM)要素に送信することを備える
    請求項9に記載の方法。
  11. 前記初期NASメッセージは、登録要求メッセージを備え、
    セキュリティ関連の対処用に指定された前記NASプロトコルIEの前記サブセットは、前記UEのモバイル識別、前記UEによってサポートされる1つ以上のNASセキュリティアルゴリズムを示すUEセキュリティ機能、登録タイプ、及びNASセキュリティコンテキストのセキュリティキーセット識別子から構成される
    請求項8に記載の方法。
  12. 前記応答は、前記NASセキュリティアルゴリズムと前記セキュリティキーセット識別子とを示すセキュリティモードコマンドメッセージを備え、
    前記UEから受信した前記後続のNASメッセージは、前記NASセキュリティアルゴリズムに基づいて暗号化された前記初期NASメッセージを含有する前記NASメッセージコンテナを有するセキュリティモード完了メッセージを備える。
    請求項8に記載の方法。
  13. 前記NAS手順の前記第1のフェーズでは、
    前記UEにおいて、セキュリティ関連の対処用に指定された前記NAS手順の前記NASプロトコルIEの前記サブセットを識別することと、
    前記UEにおいて、NASプロトコルIEの前記サブセットを前記初期NASメッセージに挿入することと、
    前記UEから前記ネットワーク要素に前記初期NASメッセージを送信することと、
    前記NASセキュリティコンテキストの前記NASセキュリティアルゴリズムと前記セキュリティキーセット識別子とを示す前記応答を前記ネットワーク要素から前記UEにおいて受信することと、
    前記NAS手順の前記第2のフェーズでは、
    前記UEにおいて、前記NAS手順の前記NASプロトコルIEを前記初期NASメッセージに挿入することと、
    前記UEにおいて、前記後続のNASメッセージの前記NASメッセージコンテナに前記初期NASメッセージを挿入することと、
    前記UEにおいて、前記NASセキュリティアルゴリズムを使用して前記後続のNASメッセージの前記NASメッセージコンテナを暗号化することと、
    前記後続のNASメッセージを前記UEから前記ネットワーク要素に送信することと、
    をさらに含む、請求項8に記載の方法。
  14. 前記第1のフェーズでは、
    前記UEにおいて、前記UEのホームパブリックランドモバイルネットワーク(HPLMN)の公開鍵を使用して、前記初期NASメッセージの前記NASプロトコルIEの前記サブセットを暗号化すること
    をさらに含む、請求項13に記載の方法。
  15. 少なくとも1つのプロセッサと、
    前記プロセッサによって実行可能なコンピュータプログラムコードを含む少なくとも1つのメモリと、
    を備える、ユーザ機器(UE)であって、
    前記プロセッサは、前記UEとモバイルネットワークのネットワーク要素との間にNAS通信セッションを確立するために複数のフェーズの非アクセス層(NAS)手順を前記UEに開始させるように構成され、
    前記NAS手順の第1のフェーズでは、前記プロセッサは、前記UEに、
    セキュリティ関連の対処用に指定された前記NASプロトコルIEのサブセットを前記NAS手順のNASプロトコル情報要素(IE)から識別させ、
    NASプロトコルIEの前記サブセットを初期NASメッセージに挿入させ、
    前記初期NASメッセージを前記ネットワーク要素に送信させ、且つ、
    NASセキュリティコンテキストのNASセキュリティアルゴリズムとセキュリティキーセット識別子とを示す応答を前記ネットワーク要素から受信させる、
    ようにさらに構成され、
    前記NAS手順の第2のフェーズでは、前記プロセッサは、前記UEに、
    前記NAS手順の前記NASプロトコルIEを前記初期NASメッセージに挿入させ、
    前記初期NASメッセージを後続のNASメッセージのNASメッセージコンテナに挿入させ、
    前記NASセキュリティアルゴリズムを使用して前記後続のNASメッセージの前記NASメッセージコンテナを暗号化させ、且つ、
    前記後続のNASメッセージを前記ネットワーク要素に送信させる
    ようにさらに構成される
    前記ユーザ機器(UE)。
  16. 前記プロセッサは、前記UEに、
    前記第1のフェーズでは、前記UEのホームパブリックランドモバイルネットワーク(HPLMN)の公開鍵を使用して、前記初期NASメッセージの前記NASプロトコルIEの前記サブセットを暗号化させる
    ようにさらに構成される、請求項15に記載のUE。
  17. 前記プロセッサは、前記UEに、
    前記UEがUMTS加入者識別モジュール(USIM)にプログラムされた前記公開鍵を有するとき、前記公開鍵を使用して前記初期NASメッセージの前記NASプロトコルIEの前記サブセットを暗号化させ、且つ、
    前記UEが前記USIMにプログラムされた前記公開鍵を有しないとき、前記初期NASメッセージの前記NASプロトコルIEの前記サブセットを暗号化せずに、前記初期NASメッセージを前記ネットワーク要素に送信させる
    ようにさらに構成される、請求項16に記載のUE。
  18. 前記初期NASメッセージは、登録要求メッセージを備え、
    セキュリティ関連の対処用に指定されたNASプロトコルIEの前記サブセットは、前記UEのモバイル識別、前記UEによってサポートされる1つ以上のNASセキュリティアルゴリズムを示すUEセキュリティ機能、登録タイプ、及びNASセキュリティコンテキストのセキュリティキーセット識別子から構成される、
    請求項15に記載のUE。
  19. 前記プロセッサは、前記UEに、
    前記登録タイプが緊急事態を示さないとき、前記UEのホームパブリックランドモバイルネットワーク(HPLMN)の公開鍵を使用して、前記初期NASメッセージの前記NASプロトコルIEの前記サブセットを暗号化させ、且つ、
    前記登録タイプが緊急事態を示しているとき、前記初期NASメッセージの前記NASプロトコルIEの前記サブセットを暗号化せずに、前記初期NASメッセージを前記ネットワーク要素に送信させる
    ようにさらに構成される、請求項18に記載のUE。
  20. 前記応答は、前記NASセキュリティアルゴリズムと前記セキュリティキーセット識別子とを示すセキュリティモードコマンドメッセージを備え、
    前記後続のNASメッセージは、前記NASセキュリティアルゴリズムに基づいて暗号化された前記初期NASメッセージを含有する前記NASメッセージコンテナを有するセキュリティモード完了メッセージを備える、
    請求項15に記載のUE。

JP2021516442A 2018-09-24 2019-09-24 Nasメッセージのセキュリティ保護のためのシステム及び方法 Active JP7495396B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2024021892A JP2024073446A (ja) 2018-09-24 2024-02-16 Nasメッセージのセキュリティ保護のためのシステム及び方法

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201862735732P 2018-09-24 2018-09-24
US62/735,732 2018-09-24
PCT/FI2019/050685 WO2020065132A1 (en) 2018-09-24 2019-09-24 Systems and method for security protection of nas messages

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2024021892A Division JP2024073446A (ja) 2018-09-24 2024-02-16 Nasメッセージのセキュリティ保護のためのシステム及び方法

Publications (2)

Publication Number Publication Date
JP2022502908A true JP2022502908A (ja) 2022-01-11
JP7495396B2 JP7495396B2 (ja) 2024-06-04

Family

ID=69950018

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2021516442A Active JP7495396B2 (ja) 2018-09-24 2019-09-24 Nasメッセージのセキュリティ保護のためのシステム及び方法
JP2024021892A Pending JP2024073446A (ja) 2018-09-24 2024-02-16 Nasメッセージのセキュリティ保護のためのシステム及び方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2024021892A Pending JP2024073446A (ja) 2018-09-24 2024-02-16 Nasメッセージのセキュリティ保護のためのシステム及び方法

Country Status (15)

Country Link
US (3) US11689920B2 (ja)
EP (1) EP3857935A4 (ja)
JP (2) JP7495396B2 (ja)
KR (4) KR102601585B1 (ja)
CN (2) CN119364345A (ja)
AU (2) AU2019348793A1 (ja)
BR (1) BR112021005537A2 (ja)
CA (1) CA3113894A1 (ja)
CL (1) CL2021000730A1 (ja)
CO (1) CO2021005229A2 (ja)
MX (1) MX2021003363A (ja)
PH (1) PH12021550635A1 (ja)
SA (1) SA521421545B1 (ja)
SG (1) SG11202102969WA (ja)
WO (1) WO2020065132A1 (ja)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11637694B2 (en) 2018-07-16 2023-04-25 Winkk, Inc. Secret material exchange and authentication cryptography operations
EP3939224A1 (en) * 2019-03-13 2022-01-19 Telefonaktiebolaget LM Ericsson (publ) Providing ue capability information to an authentication server
US11470017B2 (en) * 2019-07-30 2022-10-11 At&T Intellectual Property I, L.P. Immersive reality component management via a reduced competition core network component
WO2021091285A1 (en) * 2019-11-06 2021-05-14 Samsung Electronics Co., Ltd. Method and apparatus for controlling network slice in wireless communication system
US12132763B2 (en) 2019-12-10 2024-10-29 Winkk, Inc. Bus for aggregated trust framework
US11936787B2 (en) 2019-12-10 2024-03-19 Winkk, Inc. User identification proofing using a combination of user responses to system turing tests using biometric methods
US11928193B2 (en) 2019-12-10 2024-03-12 Winkk, Inc. Multi-factor authentication using behavior and machine learning
US11328042B2 (en) 2019-12-10 2022-05-10 Winkk, Inc. Automated transparent login without saved credentials or passwords
US12073378B2 (en) 2019-12-10 2024-08-27 Winkk, Inc. Method and apparatus for electronic transactions using personal computing devices and proxy services
US11553337B2 (en) 2019-12-10 2023-01-10 Winkk, Inc. Method and apparatus for encryption key exchange with enhanced security through opti-encryption channel
US12143419B2 (en) 2019-12-10 2024-11-12 Winkk, Inc. Aggregated trust framework
US11574045B2 (en) 2019-12-10 2023-02-07 Winkk, Inc. Automated ID proofing using a random multitude of real-time behavioral biometric samplings
US11657140B2 (en) 2019-12-10 2023-05-23 Winkk, Inc. Device handoff identification proofing using behavioral analytics
US11652815B2 (en) 2019-12-10 2023-05-16 Winkk, Inc. Security platform architecture
US12153678B2 (en) 2019-12-10 2024-11-26 Winkk, Inc. Analytics with shared traits
US11588794B2 (en) 2019-12-10 2023-02-21 Winkk, Inc. Method and apparatus for secure application framework and platform
GB2592356B (en) 2020-02-12 2022-07-27 Samsung Electronics Co Ltd Network security
EP4104080A1 (en) * 2020-02-14 2022-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Protecting capability information transfer in a wireless communication network
US20220304079A1 (en) * 2020-09-16 2022-09-22 Apple Inc. Security protection on user consent for edge computing
EP4193622A4 (en) * 2020-09-16 2024-01-03 Apple Inc. NETWORK OPERATIONS TO RECEIVE USER CONSENT FOR EDGE COMPUTER PROCESSING
CN116033541B (zh) * 2020-12-30 2024-07-16 展讯通信(上海)有限公司 一种网络注册方法及装置
CN114915966A (zh) * 2021-02-10 2022-08-16 华为技术有限公司 配置演进分组系统非接入层安全算法的方法及相关装置
US12095751B2 (en) * 2021-06-04 2024-09-17 Winkk, Inc. Encryption for one-way data stream
TWI829331B (zh) * 2021-09-07 2024-01-11 新加坡商聯發科技(新加坡)私人有限公司 當ue同時支持3gpp和非3gpp接入時改進5g nas安全上下文的處理
GB2620416A (en) * 2022-07-07 2024-01-10 Canon Kk Obfuscation of IES in management frames using container IES with encrypted information section
WO2024025391A1 (en) * 2022-07-28 2024-02-01 Samsung Electronics Co., Ltd. Method and device for provision key for base station verification in wireless communication system
WO2024035434A1 (en) * 2022-08-10 2024-02-15 Nokia Technologies Oy Security in a distributed nas terminations architecture
GB2630674A (en) * 2023-05-11 2024-12-04 Samsung Electronics Co Ltd Improvements in and relating to a telecommunication system

Family Cites Families (50)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ATE550893T1 (de) 2004-08-27 2012-04-15 Nokia Siemens Networks Gmbh Methode zum dezentralisieren des zählens von irregulär abgebauten verbindungen auf zellbasis in digitalen zellularen kommunikationsnetzwerken
CN101094065B (zh) 2006-06-23 2011-09-28 华为技术有限公司 无线通信网络中的密钥分发方法和系统
US20080076392A1 (en) * 2006-09-22 2008-03-27 Amit Khetawat Method and apparatus for securing a wireless air interface
US7995994B2 (en) * 2006-09-22 2011-08-09 Kineto Wireless, Inc. Method and apparatus for preventing theft of service in a communication system
US8532614B2 (en) 2007-10-25 2013-09-10 Interdigital Patent Holdings, Inc. Non-access stratum architecture and protocol enhancements for long term evolution mobile units
US8041335B2 (en) * 2008-04-18 2011-10-18 Kineto Wireless, Inc. Method and apparatus for routing of emergency services for unauthorized user equipment in a home Node B system
WO2010019020A2 (ko) 2008-08-15 2010-02-18 삼성전자주식회사 이동 통신 시스템의 보안화된 비계층 프로토콜 처리 방법
KR101475349B1 (ko) 2008-11-03 2014-12-23 삼성전자주식회사 이동 통신 시스템에서 단말 보안 능력 관련 보안 관리 방안및 장치
CN102104987B (zh) 2009-12-21 2014-03-12 华为技术有限公司 一种接口数据处理方法及设备
EP2553980B1 (en) 2010-04-02 2015-03-25 InterDigital Patent Holdings, Inc. Method for displaying closed subscriber group identification
US20120159151A1 (en) * 2010-12-21 2012-06-21 Tektronix, Inc. Evolved Packet System Non Access Stratum Deciphering Using Real-Time LTE Monitoring
US20130265937A1 (en) * 2012-04-09 2013-10-10 Puneet Jain Machine type communication (mtc) via non-access stratum layer
JP2015520556A (ja) * 2012-04-27 2015-07-16 インターデイジタル パテント ホールディングス インコーポレイテッド 近接データパスセットアップを最適化するための方法および装置
TWI623205B (zh) * 2012-09-27 2018-05-01 內數位專利控股公司 在虛擬網路中端對端架構、api框架、發現及存取
CN105532026A (zh) * 2013-10-28 2016-04-27 华为技术有限公司 一种安全上下文的提供、获取方法及设备
US10219305B2 (en) 2013-11-21 2019-02-26 Bao Tran Communication apparatus
US10129802B2 (en) 2013-12-06 2018-11-13 Idac Holdings, Inc. Layered connectivity in wireless systems
US10567964B2 (en) * 2015-11-24 2020-02-18 Futurewei Technologies, Inc. Security for proxied devices
US20170171752A1 (en) * 2015-12-14 2017-06-15 Qualcomm Incorporated Securing signaling interface between radio access network and a service management entity to support service slicing
US10616936B2 (en) * 2016-02-17 2020-04-07 Nec Corporation Method for (re)selection of control plane and user plane data transmission
EP3416741B1 (en) 2016-03-31 2020-07-29 Hewlett-Packard Development Company, L.P. Digital titration cassette with monolithic carrier structure and manufacturing method thereof
KR102088717B1 (ko) 2016-04-08 2020-03-13 한국전자통신연구원 비접속계층 기반 액세스 방법 및 이를 지원하는 단말
US10334435B2 (en) 2016-04-27 2019-06-25 Qualcomm Incorporated Enhanced non-access stratum security
US10187910B2 (en) * 2016-05-12 2019-01-22 Lg Electronics Inc. Method and apparatus for resuming RRC connection in wireless communication system
US10367677B2 (en) * 2016-05-13 2019-07-30 Telefonaktiebolaget Lm Ericsson (Publ) Network architecture, methods, and devices for a wireless communications network
US10624006B2 (en) * 2016-08-05 2020-04-14 Qualcomm Incorporated Techniques for handover of a connection between a wireless device and a local area network, from a source access node to a target access node
US20180083972A1 (en) * 2016-09-20 2018-03-22 Lg Electronics Inc. Method and apparatus for security configuration in wireless communication system
US10440096B2 (en) * 2016-12-28 2019-10-08 Intel IP Corporation Application computation offloading for mobile edge computing
US10356830B2 (en) * 2017-01-17 2019-07-16 Cisco Technology, Inc. System and method to facilitate stateless serving gateway operations in a network environment
KR101748246B1 (ko) * 2017-02-28 2017-06-16 삼성전자주식회사 이동 통신 시스템에서 비계층 프로토콜을 이용한 통신 지원 방법 및 장치
US10568007B2 (en) * 2017-03-22 2020-02-18 Comcast Cable Communications, Llc Handover random access
US10582432B2 (en) * 2017-05-04 2020-03-03 Comcast Cable Communications, Llc Communications for network slicing using resource status information
EP3619931A4 (en) * 2017-05-04 2021-01-20 Deepak Das MOBILITY FUNCTIONALITY FOR A CLOUD ACCESS SYSTEM
JP7178365B2 (ja) * 2017-05-05 2022-11-25 マイクロソフト テクノロジー ライセンシング,エルエルシー サービス能力公開機能(scef)ベースのインターネットオブシングス(iot)通信の方法とシステム
ES2905349T3 (es) 2017-05-08 2022-04-08 Ericsson Telefon Ab L M Métodos que proporcionan seguridad para múltiples conexiones de NAS utilizando contajes independientes y nodos de red y terminales inalámbricos relacionados
US10638372B2 (en) * 2017-06-01 2020-04-28 Huawei Technologies Co., Ltd. Geographic dispersion of radio access network (RAN) node functions
WO2019020161A1 (en) 2017-07-24 2019-01-31 Telefonaktiebolaget Lm Ericsson (Publ) METHODS OF PROVIDING NAS CONNECTION IDENTIFICATIONS, WIRELESS TERMINALS AND ASSOCIATED NETWORK NODES
US10470042B2 (en) 2017-07-27 2019-11-05 Nokia Technologies Oy Secure short message service over non-access stratum
WO2019020193A1 (en) 2017-07-28 2019-01-31 Telefonaktiebolaget Lm Ericsson (Publ) METHODS OF PROVIDING NON-3GPP ACCESS USING ACCESS NETWORK KEYS AND RELATED WIRELESS TERMINALS AND NETWORK NODES
US10887939B2 (en) * 2017-08-10 2021-01-05 Comcast Cable Communications, Llc Transmission power control for beam failure recovery requests
US10855359B2 (en) * 2017-08-10 2020-12-01 Comcast Cable Communications, Llc Priority of beam failure recovery request and uplink channels
EP3442293B1 (en) * 2017-08-10 2020-07-15 Comcast Cable Communications, LLC Activation of grant-free transmission
US11678246B2 (en) * 2017-08-11 2023-06-13 Comcast Cable Communications, Llc Contention free random access failure
CN109788474A (zh) 2017-11-14 2019-05-21 华为技术有限公司 一种消息保护的方法及装置
CN110121196B (zh) 2018-02-05 2021-11-02 大唐移动通信设备有限公司 一种安全标识管理方法及装置
CN110574407B (zh) 2018-03-06 2023-04-04 联发科技(新加坡)私人有限公司 用于保护初始非接入层消息的用户设备和方法
US11457353B2 (en) 2018-06-25 2022-09-27 Mediatek Singapore Pte. Ltd. Indication of additional security capabilities using NAS signaling in 5G mobile communications
MX2021001534A (es) 2018-08-13 2021-04-19 Ericsson Telefon Ab L M Proteccion de comunicacion de estrato sin acceso en una red de comunicacion inalambrica.
WO2020038545A1 (en) 2018-08-20 2020-02-27 Telefonaktiebolaget Lm Ericsson (Publ) Negotiation of security features
CN112703754A (zh) 2018-09-19 2021-04-23 苹果公司 5g系统中的初始非接入层协议消息的保护

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
S3-183046 3GPP TSG SA WG3#92BIS会合資料 (外国学会論文2019-02103-030), JPN6022020037, 19 September 2018 (2018-09-19), ISSN: 0005173525 *
TS24.501 V15.1.0 3GPP標準規格書, JPN7022002330, 21 September 2018 (2018-09-21), ISSN: 0005173524 *
TS33.501 V15.2.0 3GPP標準規格書, JPN7022002329, 21 September 2018 (2018-09-21), ISSN: 0005173523 *

Also Published As

Publication number Publication date
SG11202102969WA (en) 2021-04-29
KR102369596B1 (ko) 2022-03-02
KR20220156097A (ko) 2022-11-24
KR102601585B1 (ko) 2023-11-13
EP3857935A4 (en) 2023-01-04
JP7495396B2 (ja) 2024-06-04
US12081978B2 (en) 2024-09-03
WO2020065132A1 (en) 2020-04-02
KR20210064334A (ko) 2021-06-02
AU2023201713A1 (en) 2023-04-20
MX2021003363A (es) 2021-05-27
US20240357350A1 (en) 2024-10-24
CA3113894A1 (en) 2020-04-02
CN112930691A (zh) 2021-06-08
CN119364345A (zh) 2025-01-24
JP2024073446A (ja) 2024-05-29
CN112930691B (zh) 2024-11-08
EP3857935A1 (en) 2021-08-04
KR20230160406A (ko) 2023-11-23
KR102466422B1 (ko) 2022-11-14
AU2019348793A1 (en) 2021-04-29
KR20220030319A (ko) 2022-03-10
CL2021000730A1 (es) 2021-09-24
US11689920B2 (en) 2023-06-27
US20220038897A1 (en) 2022-02-03
BR112021005537A2 (pt) 2021-06-29
AU2023201713B2 (en) 2024-06-13
PH12021550635A1 (en) 2021-10-11
SA521421545B1 (ar) 2024-01-29
US20230292121A1 (en) 2023-09-14
CO2021005229A2 (es) 2021-04-30

Similar Documents

Publication Publication Date Title
US12081978B2 (en) System and method for security protection of NAS messages
US11785447B2 (en) Identifier-based access control in mobile networks
AU2023201180B2 (en) Systems and method for secure updates of configuration parameters provisioned in user equipment
US20190124502A1 (en) Key configuration method, security policy determining method, and apparatus
CN110786031A (zh) 用于5g切片标识符的隐私保护的方法和系统
RU2772709C1 (ru) Системы и способ защиты безопасности сообщений nas
EP4292312A1 (en) Connection between sim-less device and cellular network

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20210512

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20210512

RD03 Notification of appointment of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7423

Effective date: 20210518

RD04 Notification of resignation of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7424

Effective date: 20210520

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20220516

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20220523

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20220823

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20221024

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20230215

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20230515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20230714

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20231016

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240216

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20240228

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20240425

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20240523

R150 Certificate of patent or registration of utility model

Ref document number: 7495396

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150