以下に、本出願の実施形態における技術的解決策を、本出願の実施形態における添付図面を参照しながら説明する。
以下に、当業者の理解を容易にするための、本出願の実施形態におけるいくつかの用語を説明する。
本出願の実施形態におけるユーザ機器UEは、無線端末装置であり得るか、または有線端末装置であり得る。無線端末装置は、音声および/または他のサービスデータ接続をユーザに提供する装置、無線接続機能を備えたハンドヘルド装置、または無線モデムに接続された別の処理装置であり得る。無線端末装置は、無線アクセスネットワーク(radio access network、RAN)を介して1つ以上のコアネットワークと通信することができる。無線端末装置は、携帯電話(「セルラ」電話とも呼ばれる)などの携帯端末、および携帯端末を備えたコンピュータ、たとえば、ポータブル、ポケットサイズ、ハンドヘルド、コンピュータ内蔵型、ウェアラブル、あるいは無線アクセスネットワークと音声および/またはデータを交換する車載モバイル機器であってもよい。たとえば、端末装置は、パーソナル通信サービス(personal communication service、PCS)電話、コードレス電話セット、セッション開始プロトコル(session initiation protocol、SIP)電話、無線ローカルループ(wireless local loop、WLL)局、または携帯情報端末(personal digital assistant、PDA)であってもよい。無線端末は、システム、加入者ユニット(subscriber unit)、加入者局(subscriber station)、移動局(mobile station)、携帯電話コンソール(mobile)、遠隔局(remote station)、リモート端末(remote terminal)、アクセス端末(access terminal)、ユーザ端末(user terminal)、ユーザエージェント(user agent)、ユーザ装置(user device or user equipment)と呼ばれることもある。
本出願の実施形態における無線アクセスネットワークRANは、無線物理レイヤ機能、リソーススケジューリング、無線リソース管理、無線アクセス制御、およびモビリティ管理機能などの機能を実装することができる。たとえば、RANは、アクセスネットワーク内の1つ以上のセクタを使用して、エアインタフェースを介して無線端末装置と通信する基地局を指す。基地局は、受信した無線フレームとIPパケットを相互に変換し、端末装置とアクセスネットワークの残りの部分との間のルータとして機能するように構成でき、アクセスネットワークの残りの部分は、IPネットワークを含むことができる。基地局は、エアインタフェースの属性管理をさらに調整することができる。たとえば、基地局は、長期進化(long term evolution、LTE)システムの進化ノードB(nodeB、eNB、またはe-NodeB、evolutional node B)または進化LTEシステム(LTE-Advanced、LTE-A)、あるいは5Gシステムの次世代ノードB(next generation Node B、gNB)を含むことができる。これは、本発明の実施形態では限定されない。
本出願の実施形態で設計されたコアネットワークは、複数のNFエンティティ、たとえば、アクセス制御およびモビリティ管理機能(access control and mobility management function、AMF)エンティティ(以下、AMFエンティティと呼ぶ)、セッション管理機能(session management function、SMF)エンティティ(以下、SMFエンティティと呼ぶ)、ポリシー制御機能(policy control function、PCF)エンティティ(以下、PCFエンティティと呼ぶ)、ユーザプレーン機能(user plane function、UPF)エンティティ(以下、UPFエンティティと呼ぶ)、データネットワーク(data network、DN)エンティティ(以下、DNエンティティと呼ぶ)、認証サーバ機能(authentication server function、AUSF)エンティティ(以下、AUSFエンティティと呼ぶ)、およびユーザデータ管理(user data management、UDM)エンティティ(以下、UDMエンティティと呼ぶ)を含む。もちろん、コアネットワーク側にはさらに他のNFエンティティを含む。前述のいくつかのタイプは単なる例である。これは、本出願の実施形態では限定されない。
具体的には、NFエンティティの機能は次のとおりである。
AMFエンティティは、主にUEの登録と認証管理、UEの接続ケーブル管理とモビリティ管理、ネットワークスライスの選択、およびSMFエンティティの選択などの機能を担当する。AMFエンティティは、無線アクセスベアラ制御などの機能を実装するために、RANとの制御プレーンシグナリング接続を確立することができる。
SMFエンティティは、AMFエンティティに接続され(たとえば、N11インタフェースを介して接続される)、UPFエンティティの選択やUDMエンティティの選択など、UEセッション管理のすべての制御プレーン機能を主に担当する。SMFエンティティは、PCFエンティティからUEのセッション管理ポリシーを取得することをさらに担当する。
UDMエンティティは、SMFエンティティに接続され(たとえば、N10インタフェースを介して接続される)、UEのPDUセッションコンテキストを登録し、UEの加入者環境を格納するように構成される。UDMエンティティはAUSFエンティティにさらに接続される(たとえば、N13インタフェースを介して接続される)。UDMエンティティがAUSFエンティティによって呼び出されると、UDMエンティティはUEのユーザ認証セットをAUSFエンティティに送信し、AUSFエンティティはUEで認証を実行する。
AUSFエンティティは、AMFエンティティに接続され(たとえば、N12インタフェースを介して接続される)、セキュリティ認証ベクトルを取得するように構成される。セキュリティ認証ベクトルは、UEとネットワーク間のセキュリティ認証を実行するために使用される。
PCFエンティティは、SMFエンティティに接続され(たとえば、N7インタフェースを介して接続される)、UEのセッション管理ポリシーを取得し、UEのセッション管理ポリシーをSMFエンティティに提供するように構成される。
CHFエンティティは、SMFエンティティに接続され、ユーザのオフライン課金機能、ユーザのオンライン課金機能などをサポートする、UEの課金機能を担当する。
UPFエンティティは、SMFエンティティに接続され(たとえば、N4インタフェースを介して接続される)、UEのデータパケットのパケットフィルタリング、データ送信/転送、レート制御などを担当する。
DNエンティティは、UPFエンティティに接続され(たとえば、N6インタフェースを介して接続される)、サービスデータを格納するように構成される。DNエンティティは、UEによって送信されたアップリンクデータを受信し、アップリンクデータに基づいてUEに送信されるダウンリンクデータを生成し、ダウンリンクデータをUEに送信するようにさらに構成される。
5Gネットワークアーキテクチャにおけるユーザデータレコード(user data record、UDR)エンティティは、UDMエンティティおよびPCFエンティティのデータを格納するように構成され得る。たとえば、UDRは、加入者情報とセッション管理ポリシーを格納するように構成され得る。UDRエンティティは、UDMエンティティとPCFエンティティにそれぞれ接続され得る。UDMエンティティは、UDRから加入者情報を取得することができ、PCFエンティティは、UDRからセッション管理ポリシーを取得することができる。加入者情報は、UEによって加入されたサービスに関する情報などを含み得る。セッション管理ポリシーは、UEによって加入されたパッケージに関する情報などを含み得る。
本出願の実施形態では、加入者情報またはセッション管理情報は、代わりに別の名前を有することができる。たとえば、セッション管理ポリシーは、代わりにポリシー情報と呼ばれることもある。これは、本出願の実施形態では限定されない。
前述の図に示される各NFエンティティが物理的に単一の装置であり得るか、または2つ以上のエンティティが同じ物理的装置に統合され得ることが理解されるべきである。これは、本発明の実施形態では特に限定されない。本出願の実施形態では、「エンティティ」という名称は限定されず、「エンティティ」は、代わりに、たとえば、「ネットワーク要素」、「ネットワーク要素装置」、「ゲートウェイ」、または「ゲートウェイ装置」という別の名称を有し得る。
本出願の実施形態におけるいくつかの英語の略語は、LTEシステムおよび現在の5Gネットワークシステムを例として使用することによって本発明の実施形態を説明するために使用され、英語の略語はネットワークの進化とともに変化する可能性があることに留意されたい。具体的な進化については、対応する規格の説明を参照されたい。
さらに、本明細書における「および/または」という用語は、関連オブジェクトを記述するための関連関係のみを記述し、3つの関係が存在し得ることを表す。たとえば、Aおよび/またはBは、Aのみが存在する、AとBの両方が存在する、Bのみが存在するという3つのケースを表し得る。さらに、本明細書における文字「/」は通常、関連するオブジェクト間の「または」という関係を示す。
図1は、本出願の実施形態によるアプリケーションシナリオの概略図である。図1に示すように、UEがスマートフォンと便利なコンピュータを含み、RANが基地局である例が使用される。医療およびヘルスケアに従事する企業が例として使用される。企業は、サービスデータをコアネットワークに格納できる。UEが企業のサービスデータにアクセスする必要があるとき、UEは、基地局を介してコアネットワークに入り、コアネットワークからサービスデータを取得する。
以上のことから、コアネットワークは複数のNFエンティティを含んでいることが分かる。5Gネットワークアーキテクチャでは、UEがコアネットワークにアクセスした後、コアネットワーク側のNFエンティティ間の相互作用情報は、UEのユーザ情報を運ぶ。その結果、ユーザ情報が漏洩しやすくなる。UEがPDUセッションを確立することが例として使用される。図2は、UEが従来技術においてPDUセッションを確立するプロセスの概略図である。図2に示されるように、UEは、PDUセッション確立要求をRANに送信し、PDUセッション確立要求は、加入者秘匿識別子(Subscription Concealed Identifier、SUCI)を運ぶ。SUCIは、UEが鍵を用いてUEの加入者永続識別子(Subscription Permanent Identifier、SUPI)に対して実行する暗号化を通じて取得されることに留意されたい。SUPIは、UEのユーザ情報を示すために使用され得る。
RANは、PDUセッション確立要求をAMFエンティティに送信する。AMFエンティティはSUCIに基づいてSUPIを取得する(たとえば、AMFはUDMを呼び出し、UDMはSUCIを復号してSUPIを取得する)。次に、AMFエンティティは、SMFエンティティに、PDUセッションコンテキストを確立するための要求情報を送信し、要求情報はSUPIを運ぶ。次に、SMFエンティティは、UDMエンティティに、PDUセッションコンテキストを登録するための要求情報を送信し、要求情報はSUPIを運ぶ。さらに、SMFエンティティは、PCFエンティティに、セッション管理ポリシーを取得するための要求情報を送信し、要求情報もまたSUPIを運ぶ。従来技術では、UEがコアネットワークにアクセスした後、コアネットワーク上のNFエンティティ間(たとえば、SMFエンティティとUDMエンティティ間、およびSMFエンティティとPCFエンティティ間)の相互作用情報は、SUPIを直接運ぶことが分かる。SUPIはUEのユーザ情報を示すために使用されるため、UEのユーザ情報は漏洩しやすい。
本出願の実施形態は、通信方法を提供する。この方法では、コアネットワーク上のNFエンティティ間の相互作用情報は暗号化されたユーザ情報を運び、ユーザプライバシーの漏洩を防ぐ。この方法は、図1に示されるアプリケーションシナリオに適用可能であり得、そしてもちろん、別のアプリケーションシナリオにさらに適用可能であり得る。以下に、別の2つのアプリケーションシナリオについて説明する。
アプリケーションシナリオ1:
5Gネットワークアーキテクチャでは、コアネットワーク上の各NFエンティティの場所は異なる場合がある。したがって、コアネットワークはエッジクラウドとセントラルクラウドを含む。一部のNFエンティティはエッジクラウドに配置され、一部のNFエンティティはセントラルクラウドに配置される。たとえば、SMFエンティティおよび/またはUPFエンティティは、データルートを短縮し、伝送コストおよびサービス待ち時間を削減するために、基地局近くのエッジクラウドまで下流に移動され得る。図3は、本出願の実施形態による別のアプリケーションシナリオのインスタンスの概略図である。図3では、SMFエンティティおよびUPFエンティティは、基地局近くのエッジクラウドまで下流に移動されている。医療およびヘルスケアに従事する企業が再び例として使用される。企業は、コアネットワーク上のDNエンティティにサービスデータを格納できる。ユーザのUEが企業のサービスデータにアクセスする必要があるとき、UEは、基地局を介してコアネットワークにアクセスし、エッジクラウドおよびセントラルクラウド上のNFエンティティを介してDNエンティティのサービスデータを取得する。
一般に、エッジクラウドに配置されたNFエンティティは、セキュリティリスクを有する傾向がある。たとえば、エッジクラウドに配置されたNFエンティティは、限られたハードウェアリソースと無人操作により、ハッカーによって簡単に攻撃および制御される。したがって、コアネットワーク上のNFエンティティ(特にエッジクラウドに配置されたNFエンティティ)間の相互作用情報が依然としてユーザ情報を直接運んでいる場合、ユーザプライバシーの漏洩が発生しやすくなる。
確かに、図3では、SMFエンティティおよびUPFエンティティが基地局近くのエッジクラウドまで下流に移動される例のみが使用されている。実際の運用プロセスでは、コアネットワーク内の別のNFエンティティもエッジクラウドまで下流に移動される場合がある。どのNFエンティティがエッジクラウドまで下流に移動されるかに関係なく、本出願の実施形態で提供される通信方法は、コアネットワーク上のNFエンティティ間の情報相互作用のプロセスにおけるユーザプライバシーの漏洩の可能性を低減するために使用され得る。
図1に示されるアプリケーションシナリオでは、コアネットワーク上の各NFエンティティの配置場所は関係しないことに留意されたい(たとえば、すべてのNFエンティティは中央クラウド上に配置され得る)。図3に示されるアプリケーションシナリオでは、各NFエンティティの配置場所は異なる可能性がある。本出願の実施形態で提供される通信方法は、図1および図3に示されるアプリケーションシナリオの両方に適用可能である。もちろん、本出願の実施形態で提供される通信方法は、コアネットワーク上のNFエンティティ間の相互作用情報がユーザ情報を直接運ばない別のシナリオ、たとえば、以下のアプリケーションシナリオ2にさらに適用可能である。
アプリケーションシナリオ2:
図4は、本出願の実施形態による別のアプリケーションシナリオの概略図である。図4に示されるアプリケーションシナリオでは、コアネットワークは、2つのネットワークスライス(network slice)、すなわち、slice#1およびslice#2を含む。各ネットワークスライスは異なる機能特性を有し、異なる要件およびサービスを対象としている。UEは、異なる要件に基づいて異なるネットワークスライスにアクセスすることができる。各ネットワークスライスは、独立したNFエンティティを含む。例として、SMFエンティティおよびUPFエンティティを使用する。各ネットワークスライスは、対応するSMFエンティティおよびUPFエンティティを有する。たとえば、slice#1は、SMF#11、SMF#12、およびUPF#1を含む。slice#2は、SMF#21、SMF#22、およびUPF#2を含む。各ネットワークスライスによって実装される機能が異なるため、ネットワークスライス内のSMFエンティティおよびUPFエンティティは、オペレータのセキュリティ信頼範囲外である可能性がある。たとえば、slice#1に含まれているSMF#11、SMF#12、およびUPF#1は、オペレータのセキュリティ信頼範囲外である。この場合、UEがslice#1にアクセスするときに、SMFエンティティとslice#1内のUPFエンティティとの間の相互作用情報が依然としてユーザ情報を直接運ぶ場合、ユーザプライバシーの漏洩が発生する可能性がある。したがって、本出願の実施形態で提供される通信方法は、NFエンティティがオペレータのセキュリティ信頼範囲外にあるネットワークスライスを含む、すべてのネットワークスライスに適用可能であり得る。もちろん、本出願の実施形態で提供される通信方法は、ネットワークスライス内の一部のNFエンティティにさらに適用可能であり得る。たとえば、本出願の実施形態で提供される通信方法は、ネットワークスライス内にあるが、オペレータのセキュリティ信頼範囲外にあるNFエンティティにのみ適用可能である(言い換えれば、NFエンティティによって受信または送信される相互作用情報は、ユーザ情報を直接運ぶのではなく、暗号化されたユーザ情報を運ぶ)。ネットワークスライス内の別のNFエンティティ(オペレータのセキュリティ信頼範囲外のNFエンティティ以外のNFエンティティ)について、情報相互作用は、従来技術で提供される方法で実行され得る(言い換えれば、相互作用情報は、ユーザ情報を直接運ぶ)。いずれにせよ、本出願の実施形態で提供される通信方法は、コアネットワーク上のNFエンティティ間の情報相互作用のプロセスにおけるユーザプライバシーの漏洩の可能性を低減する。
もちろん、本出願の実施形態で提供される通信方法は、別のアプリケーションシナリオにさらに適用可能であり得る。前述のアプリケーションシナリオは単なる例である。これは、本出願の実施形態では限定されない。
たとえば、図3に示されるアプリケーションシナリオおよびUEがPDUセッションを確立するシナリオが使用される。UPFエンティティとSMFエンティティは、エッジクラウドまで下流に移動される。ユーザ情報の漏洩の可能性を最小限に抑えるために、UPFエンティティおよびSMFエンティティによって受信または送信される情報は、可能であればUEのユーザ情報を直接運ぶことを妨げられ、暗号化されたユーザ情報を運ぶ。図5Aは、本出願の実施形態による、PDUセッションが確立されるアプリケーションシナリオの概略図である。図5Aに示すように、UEがRANを介してコアネットワークにアクセスした後、AMFエンティティは、UEのユーザ情報を暗号化し、暗号化されたユーザ情報をAMFエンティティとSMFエンティティとの間の相互作用情報に含めることができる。さらに、SMFエンティティとUDMエンティティ、PCFエンティティおよびCHFエンティティのそれぞれとの間の相互作用情報も暗号化されたユーザ情報を運び、NFエンティティ間の相互作用情報がユーザ情報を直接運ぶことを防ぎ、ユーザ情報の漏洩を防ぐ。例としてUDMエンティティを使用する。AMFエンティティはユーザ情報を暗号化することができるため、UDMエンティティがユーザ情報を必要とする場合、UDMエンティティは、AMFエンティティにユーザ情報をUDMエンティティに送信するよう要求することができる。同じ方法がPCFエンティティとCHFエンティティにも適用される。この方法では、SMFエンティティとUPFエンティティ間の相互作用情報は、ユーザ情報を直接運ぶのではなく、暗号化されたユーザ情報を運ぶ。これにより、ユーザプライバシーが漏洩する可能性を減らすことができる。
PDUセッションを確立することをUEが要求する、図5Aに提供されるシナリオをさらに説明するために、図5B-1、図5B-2、および図5B-3を参照されたい。図5B-1、図5B-2、および図5B-3は、本出願の実施形態による、通信方法の概略フローチャートである。図5B-1、図5B-2、および図5B-3はまた、コアネットワークにおけるUEとNFエンティティとの間の情報相互作用のプロセスの概略図として理解され得る。図5B-1、図5B-2、および図5B-3に示されるように、プロセスは以下のステップを含む。
S501aからS501b:S501a:UEは、第1のPDUセッション確立要求をRANに送信し、第1のPDUセッション確立要求は、PDUセッションを確立することを要求するために使用され、それに対応して、RANは、UEによって送信された第1のPDUセッション確立要求を受信する。S501b:RANは、第1のPDUセッション確立要求をAMFエンティティに送信する。
一般に、UEがコアネットワークにアクセスする前に、登録プロセスを完了する必要がある(UEの登録プロセスを以下に説明する)。登録の完了後、PDUセッションの確立を要求する場合、UEは第1のPDUセッション確立要求をAMFエンティティに送信する。UEによって送信された第1のPDUセッション確立要求を受信した後、AMFエンティティは、暗号化されたユーザ情報を取得するために、UEのユーザ情報を暗号化することができる。なお、UEの登録プロセスにおいて、AMFエンティティは、UEのユーザ情報を取得することができる(具体的なプロセスについては、以下に説明する)。したがって、UEが登録を完了した後、UEによって送信された第1のPDUセッション確立要求を受信するとき、AMFエンティティは、暗号化されたユーザ情報を取得するために、UEのユーザ情報を暗号化することができる。
UEのユーザ情報は、SUPI、国際モバイル加入者識別情報(International Mobile Subscriber Identity、IMSI)、またはモバイルステーション統合サービスデジタルネットワーク番号(Mobile Station Integrated Services Digital Network Number、MSISDN)のうちの1つ以上を含み得る。
S502:AMFエンティティは、暗号化されたユーザ情報を取得するために、UEのユーザ情報を暗号化する。
以上のことから、たとえば、SUPIやIMSIなど、複数のタイプのユーザ情報を含めることができることが分かる。AMFエンティティは、暗号化されたユーザ情報を取得するために、鍵を用いてSUPIおよびIMSIを暗号化することができる。鍵は、オペレータによってAMFエンティティに割り当てられる場合もあれば、AMFエンティティによって別の方法で取得される場合もある。これは、本出願の実施形態では限定されない。
S503:AMFエンティティは第2のPDUセッション確立要求をSMFエンティティに送信し、第2のPDUセッション確立要求は、PDUセッションコンテキストの作成を要求するために使用され、第2のPDUセッション確立要求は、暗号化されたユーザ情報(つまり、S502で取得された暗号化されたユーザ情報)を運ぶ。
S504:SMFエンティティはUDMエンティティを選択する。
実際の適用では、コアネットワークは複数のUDMエンティティを含むことができる。したがって、SMFエンティティは、複数のUDMエンティティから適切なUDMエンティティを選択することができる。
可能な実装において、暗号化されたユーザ情報は、UDMのルーティング情報を運ぶことができる。たとえば、UDMのルーティング情報は、暗号化されたユーザ情報のフィールドである。したがって、SMFエンティティは、UDMのルーティング情報に基づいて、複数のUDMエンティティから適切なUDMエンティティを選択することができる。あるいは、暗号化されたユーザ情報はUDMのルーティング情報を運ばない場合があるが、第2のPDUセッションはUDMのルーティング情報を運ぶ。言い換えると、UDMのルーティング情報は、暗号化されたユーザ情報のフィールドではなく、第2のPDUセッション確立要求で運び、かつ暗号化されたユーザ情報から分離された別のフィールドである。
もちろん、SMFエンティティは別の方法でUDMエンティティを選択することもできる。前述の実装は単なる例である。これは、本出願の実施形態では限定されない。
S505:SMFエンティティは、UEの加入者情報を取得するために、UDMエンティティ(つまり、S504で選択されたUDMエンティティ)を呼び出す。
具体的には、S505は、S505aからS505eの4つのサブステップで実行され得る。S505a-1:SMFエンティティはUDMエンティティにPDUセッションコンテキスト登録要求を送信し、PDUセッションコンテキスト登録要求は、PDUセッションコンテキストの登録を要求するために使用され、PDUセッションコンテキスト登録要求は、暗号化されたユーザ情報を運ぶ。S505a-2:UDMエンティティは、PDUセッションコンテキストが正常に登録されたことを示すために使用される応答情報をSMFエンティティに送信する。S505a-3:SMFエンティティは、加入者コンテキストを取得するために使用される要求をUDMエンティティに送信する。S505a-4:UDMエンティティは、SMFエンティティに加入者コンテキストを送信する。
UDMエンティティによって受信されたPDUセッションコンテキスト登録要求は暗号化されたユーザ情報を運ぶため、UDMエンティティは、UDRから加入者情報を取得する前に、UEのユーザ情報を取得する必要がある。したがって、UDMエンティティは、ユーザ情報を取得するために、AMFエンティティに、暗号化されたユーザ情報を復号するように要求することができる。
以上のことから、AMFエンティティはS502のユーザ情報を暗号化することが分かる。したがって、AMFエンティティは、ユーザ情報の暗号化に使用される暗号化モードを認識している。この場合、UDMエンティティは、AMFエンティティに暗号化されたユーザ情報を復号するように要求できる。たとえば、AMFエンティティによってユーザ情報に対して行われる暗号化を通じて取得された暗号化されたユーザ情報は、AMFエンティティのルーティング情報を運ぶことができる。このようにして、PDUセッションコンテキスト登録要求を受信した後、UDMエンティティは、暗号化された情報で運ばれるAMFエンティティのルーティング情報に基づいて、ユーザ情報を暗号化する特定のAMFエンティティを決定することができる。AMFエンティティを決定した後、UDMエンティティは第1の復号要求をAMFエンティティに送信し、第1の復号要求は、暗号化されたユーザ情報の復号を要求するために使用される(S505b)。第1の復号要求を受信した後、AMFエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報を復号することができる(S505c)。AMFエンティティは、ユーザ情報をUDMエンティティに送信する(S505d)。UEのユーザ情報を取得した後、UDMエンティティは、UEの加入者情報を要求するために使用される要求をUDRに送信することができ、その要求は、UEのユーザ情報を運ぶ(S505e)。UDRは、UEの加入者情報をUDMエンティティに送信する(S505f)。UDMエンティティは、UEの加入者情報をSMFエンティティに送信する(S505g)。
S506:SMFエンティティは、UEのセッション管理ポリシーを取得するために、PCFエンティティを呼び出す。
具体的には、S506は、S506aからS506eの5つのサブステップで実行され得る。S506a:SMFエンティティは、UEのセッション管理ポリシーを取得するために使用される要求をPCFエンティティに送信し、この要求は、暗号化されたユーザ情報を運ぶ。以上のことから、UDRはUEのセッション管理ポリシーを格納していることが分かる。したがって、PCFエンティティは、UDRからUEのセッション管理ポリシーを取得するために、UEのユーザ情報を学習する必要がある。UDMエンティティと同様に、PCFエンティティは、ユーザ情報を取得するために、AMFエンティティに、暗号化されたユーザ情報を復号するように要求することができる。具体的には、PCFエンティティは、第2の復号要求をAMFエンティティに送信し、第2の復号要求は、暗号化されたユーザ情報の復号を要求するために使用される(S506b)。第2の復号要求を受信した後、AMFエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報を復号することができる(S506c)。AMFエンティティは、ユーザ情報をPCFエンティティに送信する(S506d)。UEのユーザ情報を取得した後、PCFエンティティは、UEのセッション管理ポリシーを取得するために使用される要求をUDRに送信することができ、その要求は、UEのユーザ情報を運ぶ(S506e)。UDRは、UEのセッション管理ポリシーをPCFエンティティに送信する(S506f)。PCFエンティティは、UEのセッション管理ポリシーをSMFエンティティに送信する(S506g)。
AMFエンティティは、S505cで一度暗号化されたユーザ情報を復号したことに留意されたい。したがって、AMFエンティティはS505cの後にユーザ情報を格納する場合がある。第2の復号要求を受信した後、AMFエンティティはS506cを実行せず、格納されているユーザ情報をPCFエンティティに直接送信する場合がある。
S507:SMFエンティティは、UEの課金を実行するために、CHFエンティティを呼び出す。
具体的には、S507は、S507aからS507eの5つのサブステップで実行され得る。S507a:SMFエンティティは、UEの課金を実行するための要求に使用される要求をCHFエンティティに送信し、この要求は、暗号化されたユーザ情報を運ぶ。CHFエンティティによって受信され、UEの課金の実行を要求するために使用される要求は、暗号化されたユーザ情報を運ぶ。したがって、CHFエンティティが、UDMエンティティと同様に、UEのユーザ情報を取得する必要がある場合、CHFエンティティは、暗号化されたユーザ情報を復号するようにAMFエンティティに要求することができる。具体的には、CHFエンティティは、第3の復号要求をAMFエンティティに送信し、第3の復号要求は、暗号化されたユーザ情報の復号を要求するために使用される(S507b)。第3の復号要求を受信した後、AMFエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報を復号することができる(S507c)。AMFエンティティは、ユーザ情報をCHFエンティティに送信する(S507d)。ユーザ情報を取得した後、CHFエンティティは、UDRエンティティからUEのセッション管理ポリシーを取得することができる。たとえば、セッション管理ポリシーは、UEによって加入されたパッケージに関する情報である。CHFエンティティは、パッケージ情報に基づいてUEの課金を実行することができる。S507e:PCFエンティティは、課金が成功したことを示すために使用される応答情報をSMFエンティティに送信する。
AMFエンティティは、S505cで一度暗号化されたユーザ情報を復号したことに留意されたい。したがって、AMFエンティティはS505cの後にユーザ情報を格納する場合がある。第3の復号要求を受信すると、AMFエンティティはS507cを実行せず、格納されているユーザ情報をCHFエンティティに直接送信する。
S508:SMFエンティティはUPFエンティティを呼び出してN4セッションの確立を完了する(UPFエンティティは、N4インタフェースを介してSMFエンティティに接続される)。
具体的には、S508は、S508aおよびS508bの2つのサブステップで実行され得る。S508a:SMFエンティティは、N4セッション確立要求をUPFエンティティに送信し、N4セッション確立要求は、PDUセッションの確立を要求するために使用される。S508b:SMFエンティティは、UPFエンティティによって送信されたN4セッション確立応答を受信し、N4セッション確立応答は、PDUセッションが正常に確立されたことを示すために使用される。
以上のことから、図5A、図5B-1、図5B-2、および図5B-3に示される実施形態では、AMFエンティティがユーザ情報を暗号化できることが分かる。UDMエンティティ、PCFエンティティ、およびCHFエンティティのいずれかがユーザ情報を復号する必要がある場合、AMFは、暗号化されたユーザ情報を復号し、復号結果を1つのエンティティに送信するように要求される場合がある。この実施形態では、SMFエンティティおよびUPFエンティティによって受信または送信される情報は、ユーザ情報を直接運ぶのではなく、暗号化されたユーザ情報を運ぶ。したがって、エッジクラウドまで下流に移動されるUPFエンティティおよびSMFエンティティの場合、これはユーザ情報の漏洩を防ぐのに役立つ。以下に、別の実施形態を説明する。この実施形態では、AMFエンティティは、ユーザ情報を暗号化することができる。UDMエンティティ、PCFエンティティ、またはCHFエンティティが復号されたユーザ情報を必要とする場合、UDMエンティティ、PCFエンティティ、またはCHFエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報を復号することができる。
図3に示されるアプリケーションシナリオが再び例として使用され、UEがPDUセッションを確立するシナリオが例として使用される。図6Aは、本出願の実施形態による、PDUセッションを確立するUEのためのアプリケーションシナリオの概略図である。図6Aでは、オペレータは、AMFエンティティ、UDMエンティティ、PCFエンティティ、およびCHFエンティティに鍵を割り当てる。UEがRANを介してコアネットワークにアクセスした後、AMFエンティティは、ユーザ情報を暗号化することができる。次に、AMFエンティティとSMFエンティティ間の相互作用情報は、暗号化されたユーザ情報を運ぶ。さらに、SMFエンティティと、UDMエンティティ、PCFエンティティ、およびCHFエンティティのそれぞれとの間の相互作用情報も、暗号化されたユーザ情報を運ぶ。これにより、NFエンティティ間の相互作用情報がユーザ情報を直接運ぶことを防ぎ、ユーザ情報の漏洩を防ぐ。鍵は、UDMエンティティ、PCFエンティティ、およびCHFエンティティに格納される。UDMエンティティ、PCFエンティティ、またはCHFエンティティがユーザ情報を必要とする場合、UDMエンティティ、PCFエンティティ、またはCHFエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報を復号することができる。このように、SMFエンティティとUPFエンティティ間の相互作用情報は、ユーザ情報を直接運ぶのではなく、暗号化されたユーザ情報を運ぶ。これにより、ユーザプライバシーが漏洩する可能性を減らすことができる。
図6B-1、図6B-2、および図6B-3は、本出願の実施形態による通信方法の概略フローチャートである。図6B-1、図6B-2、および図6B-3では、UEが図6Aに示されるPDUセッションの確立を要求するシナリオが、UEとコアネットワーク上のエンティティとの間の情報相互作用のプロセスを説明するための例として使用される。図6B-1、図6B-2、および図6B-3に示されるように、プロセスは以下のステップを含む。
S601:オペレータは、AMFエンティティ、UDMエンティティ、PCFエンティティ、およびCHFエンティティに鍵を割り当てる。
本出願のこの実施形態では、様々な鍵、たとえば、対称鍵または非対称鍵が含まれ得る。図6B-1、図6B-2、および図6B-3では、非対称鍵が例として使用されている。具体的には、S601は、S601aからS601dの4つのサブステップで実行され得る。S601a:オペレータは、秘密鍵(private key)をAMFエンティティに割り当てる。S601bからS601d:オペレータは、公開鍵(public key)をUDMエンティティ、PCFエンティティ、およびCHFエンティティにそれぞれ割り当てることができる。言い換えると、AMFエンティティは秘密鍵を使用してユーザ情報を暗号化し、UDMエンティティ、PCFエンティティ、およびCHFエンティティはそれぞれ、ユーザ情報を取得するために、暗号化されたユーザ情報を公開鍵で復号する。本出願の実施形態では、S601aからS601dの実行シーケンスは、本出願の実施形態では限定されないことに留意されたい。
任意選択で、S601は定期的に実行することも、1回だけ実行することもできる。(たとえば、AMFエンティティ、UDMエンティティ、PCFエンティティ、およびCHFエンティティが初めて使用されるときに、オペレータはAMFエンティティ、UDMエンティティ、PCFエンティティ、およびCHFエンティティに鍵を割り当てる。それゆえ、エンティティはその後使用されるときに鍵を使用できる。)S601が定期的に実行される場合、S601aからS601dの実行サイクルは同じでも異なっていてもよい。
任意選択で、図6B-1、図6B-2、および図6B-3に示される実施形態では、オペレータが鍵をそれぞれAMFエンティティ、UDMエンティティ、PCFエンティティ、およびCHFエンティティに割り当てることは、例としてのみ使用される。実際の適用では、別の鍵割り当て方法が存在する場合がある(NFエンティティに鍵を割り当てる別の方法については後で説明する)。
S602aからS602b:S602a:UEは第1のPDUセッション確立要求をRANに送信し、それに対応して、RANは、UEによって送信された第1のPDUセッション確立要求を受信し、第1のPDUセッション確立要求は、ユーザ情報を運ぶ。S602b:RANは、第1のPDUセッション確立要求をAMFエンティティに送信する。
S603:AMFエンティティは、暗号化されたユーザ情報を取得するために、鍵を用いてユーザ情報を暗号化する。
S604:AMFエンティティは第2のPDUセッション確立要求をSMFエンティティに送信し、第2のPDUセッション確立要求は、PDUセッションコンテキストの作成を要求するために使用され、第2のPDUセッション確立要求は、暗号化されたユーザ情報(つまり、S603で取得された暗号化されたユーザ情報)を運ぶ。
S605:SMFエンティティはUDMエンティティを選択する。
S602aからS606のプロセスについては、図5B-1、図5B-2、および図5B-3に示される実施形態におけるS501aからS505の説明を参照されたい。明細書を簡潔にするために、詳細は本書で再び説明されない。
S606:SMFエンティティは、UEの加入者情報を取得するために、UDMエンティティ(つまり、S605で選択されたUDMエンティティ)を呼び出す。
具体的には、S606は、S606aからS606cの3つのサブステップで実行され得る。S606a-1:SMFエンティティはUDMエンティティにPDUセッションコンテキスト登録要求を送信し、PDUセッションコンテキスト登録要求は、PDUセッションコンテキストの登録を要求するために使用され、PDUセッションコンテキスト登録要求は、暗号化されたユーザ情報を運ぶ。S606a-2:UDMエンティティは、PDUセッションコンテキストが正常に登録されたことを示すために使用される応答情報をSMFエンティティに送信する。S606a-3:SMFエンティティは、加入者コンテキストを取得するために使用される要求をUDMエンティティに送信する。S606a-4:UDMエンティティは、SMFエンティティに加入者コンテキストを送信する。
以上のことから、UDMエンティティは、UEの加入者情報を取得するために、UEのユーザ情報を取得する必要があることが分かる。ただし、オペレータは公開鍵をUDMエンティティに割り当てている。したがって、UDMエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報を公開鍵を用いて復号することができる(S606b)。UEのユーザ情報を取得した後、UDMエンティティは、UEの加入者情報を要求するために使用される要求をUDRに送信することができ、その要求は、UEのユーザ情報を運ぶ(S606c)。UDRは、UEの加入者情報をUDMエンティティに送信する(S606d)。UDMエンティティは、UEの加入者情報をSMFエンティティに送信する(S606e)。
S607:SMFエンティティは、UEのセッション管理ポリシーを取得するために、PCFエンティティを呼び出す。
具体的には、S607は、S607aからS607cの3つのサブステップで実行され得る。S607a:SMFエンティティは、UEのセッション管理ポリシーを取得するために使用される要求をPCFエンティティに送信し、この要求は、暗号化されたユーザ情報を運ぶ。これは、PCFエンティティがUEのセッション管理ポリシーを決定するためにUEのユーザ情報を取得する必要があり、オペレータが公開鍵をPCFエンティティに割り当てているためである。したがって、PCFエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報を公開鍵を用いて復号することができる(S607b)。UEのユーザ情報を取得した後、PCFエンティティは、UEのセッション管理ポリシーを要求するために使用される要求をUDRに送信することができ、その要求は、UEのユーザ情報を運ぶ(S607c)。UDRは、UEのセッション管理ポリシーをPCFエンティティに送信する(S607d)。PCFエンティティは、UEのセッション管理ポリシーをSMFエンティティに送信する(S607e)。S607c:PCFエンティティは、UEのセッション管理ポリシーをSMFエンティティに送信する。
S608:SMFエンティティは、UEの課金を実行するために、CHFエンティティを呼び出す。
具体的には、S608は、S608aからS608cの3つのサブステップで実行され得る。S608a:SMFエンティティは、UEの課金を実行するための要求に使用される要求をCHFエンティティに送信し、この要求は、暗号化されたユーザ情報を運ぶ。CHFエンティティがUEのユーザ情報を取得する必要があるとき、CHFエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報をオペレータによって割り当てられた公開鍵を用いて復号することができる(S608b)。S608c:CHFエンティティは、課金が成功したことを示すために使用される応答情報をSMFエンティティに送信する。
S609:SMFエンティティは、N4セッションの確立を完了するために、UPFエンティティを呼び出す。
具体的には、S609は、S609aおよびS609bの2つのサブステップで実行され得る。S609a:SMFエンティティは、N4セッション確立要求をUPFエンティティに送信し、N4セッション確立要求は、PDUセッションの確立を要求するために使用される。S609b:SMFエンティティは、UPFエンティティによって送信されたN4セッション確立応答を受信し、N4セッション確立応答は、PDUセッションが正常に確立されたことを示すために使用される。
以上のことから、図6A、図6B-1、図6B-2、および図6B-3に示される実施形態では、AMFエンティティがユーザ情報を暗号化できることが分かる。UDMエンティティ、PCFエンティティ、またはCHFエンティティが復号されたユーザ情報を必要とする場合、UDMエンティティ、PCFエンティティ、またはCHFエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報を復号することができる。以下に、別の実施形態を説明する。この実施形態では、AMFエンティティはユーザ情報を暗号化することができ、UDMエンティティは暗号化されたユーザ情報を復号することができる。PCFエンティティまたはCHFエンティティは、UDMエンティティに、暗号化されたユーザ情報を復号し、復号結果をPCFエンティティまたはCHFエンティティに送信するように要求することができる。
図3に示されるアプリケーションシナリオが再び例として使用され、UEがPDUセッションを確立するシナリオが例として使用される。図7Aは、本出願の実施形態による、UEによってPDUセッションが確立されるアプリケーションシナリオの概略図である。UEがRANを介してコアネットワークにアクセスした後、AMFエンティティは、ユーザ情報を暗号化することができ、暗号化されたユーザ情報をAMFエンティティとSMFエンティティとの間の相互作用情報に含めることができる。さらに、SMFエンティティと、UDMエンティティ、PCFエンティティ、およびCHFエンティティのそれぞれとの間の相互作用情報も、暗号化されたユーザ情報を運ぶ。これにより、NFエンティティ間の相互作用情報がユーザ情報を直接運ぶことを防ぎ、ユーザ情報の漏洩を防ぐ。UDMエンティティは鍵を格納しているため、UDMエンティティは、ユーザ情報を取得するために、暗号化されたユーザ情報を復号することができる。PCFエンティティまたはCHFエンティティは、UDMエンティティに、暗号化されたユーザ情報を復号し、復号結果をPCFエンティティまたはCHFエンティティに送信するように要求することができる。このように、SMFエンティティとUPFエンティティ間の相互作用情報は、ユーザ情報を直接運ぶのではなく、暗号化されたユーザ情報を運ぶ。これにより、ユーザプライバシーが漏洩する可能性を減らすことができる。
図7B-1、図7B-2、および図7B-3は、本出願の実施形態による通信方法のフローチャートである。図7B-1、図7B-2、および図7B-3では、UEが図7Aに示されるPDUセッションの確立を要求するシナリオが、UEとコアネットワーク上のエンティティとの間の情報相互作用のプロセスを説明するための例として使用される。図7B-1、図7B-2、および図7B-3に示されるように、プロセスは以下のステップを含む。
S700:UEは登録プロセスを実行する。
UEがコアネットワークとのデータ送信を確立する前に、UEはコアネットワークに登録することができることに留意されたい。したがって、コアネットワークは、UEの登録プロセスにおいてUEの有効性を検証する必要がある。UEが有効であることをコアネットワークが確認すると、UEの登録は成功する。
具体的には、S700は、S700a乃至S700gの6つのサブステップで実行され得る。S700a:UEは登録要求(registration request)をRANに送信し、登録要求はコアネットワークへの登録を要求するために使用され、登録要求はSUCIを運ぶ。S700b:RANは、登録要求をAMFエンティティに送信する。S700c:AMFエンティティは認証要求をAUSFエンティティに送信し、認証要求はSUCIを運ぶ。S700d:AUSFエンティティは、ユーザ認証セットを要求するために使用される要求をUDMエンティティに送信し、ユーザ認証セットは、UEが有効なユーザであるかどうかを検証するために使用されるパラメータを含む。たとえば、ユーザ認証セットは、オペレータによってUEおよびUDMにそれぞれ割り当てられる認証パラメータであり得る。S700e:UDMエンティティは、ユーザ認証セットをAUSFエンティティに送信する。S700f:AUSFエンティティは、ユーザ認証セットを介してUEで認証を実行し、認証結果を取得する。S700g:AUSFエンティティは認証結果をAMFエンティティに送信する。このプロセスにおいて、AUSFによって取得された認証結果が、UEが正当なユーザであることを示す場合、AUSFエンティティは、AMFに鍵を割り当てることができることに留意されたい。もちろん、UEはこのプロセスでコアネットワーク上で認証を実行することもある。UEがコアネットワーク上で認証を実行する方法は、従来技術で提供される方法で実行され得る。明細書を簡潔にするために、詳細は本書で説明されない。
以上のことから、この実施形態では、UDMエンティティは暗号化されたユーザを復号することができ、したがってUDMエンティティが鍵を有することが分かる。たとえば、S700では、UEの登録プロセスで、AUSFエンティティが鍵をAMFエンティティに割り当てる。したがって、AUSFはまた、鍵(図7B-1、図7B-2、および図7B-3には示さず)をUDMエンティティに割り当てることができ、またはオペレータが、鍵をUDMエンティティ(図7B-1、図7B-2、および図7B-3には示さず)に割り当てることができる。または、S700では、AUSFエンティティはAMFエンティティに鍵を割り当てないが、オペレータはAMFエンティティとUDMエンティティに鍵を割り当てる。もちろん、鍵を割り当てる別の方法があってもよい。これは、本出願の実施形態では限定されない。
S701aからS701b:S701a:UEは第1のPDUセッション確立要求をRANに送信し、それに対応して、RANは、UEによって送信された第1のPDUセッション確立要求を受信し、第1のPDUセッション確立要求は、ユーザ情報を運ぶ。S701b:RANは、第1のPDUセッション確立要求をAMFエンティティに送信する。
S702:AMFエンティティは、暗号化されたユーザ情報を取得するために、UEのユーザ情報を暗号化する。
以上のことから、様々なタイプのユーザ情報が含まれている可能性があることが分かる。ユーザ情報がSUPIのみを含む場合、AMFエンティティは、登録プロセスのS700a~S700cにおいてUEのSUCIを取得している(SUCIはSUPIで実行される暗号化を通じて取得される)ため、S702を実行する必要がない場合がある。したがって、ユーザ情報がSUPIのみを含む場合、AMFエンティティは、S702を実行せずに直接S703を実行することができる。具体的には、SUCIは暗号化されたユーザ情報である。言い換えると、第2のPDUセッション確立要求はSUCIを運ぶ。
S703:AMFエンティティは第2のPDUセッション確立要求をSMFエンティティに送信し、第2のPDUセッション確立要求は、PDUセッションコンテキストの作成を要求するために使用され、第2のPDUセッション確立要求は、暗号化されたユーザ情報(つまり、S702で取得された暗号化されたユーザ情報)を運ぶ。
S704:SMFエンティティはUDMエンティティを選択する。
S705:SMFエンティティは、UDMエンティティ(つまり、S704で選択されたUDMエンティティ)を介してUEの加入者情報を取得する。
具体的には、S705は、S705aおよびS705bの2つのサブステップで実行され得る。S705a-1:SMFエンティティはUDMエンティティにPDUセッションコンテキスト登録要求を送信し、PDUセッションコンテキスト登録要求は、PDUセッションコンテキストの登録を要求するために使用され、PDUセッションコンテキスト登録要求は、暗号化されたユーザ情報を運ぶ。S705a-2:UDMエンティティは、PDUセッションコンテキストが正常に登録されたことを示すために使用される応答情報をSMFエンティティに送信する。S705a-3:SMFエンティティは、加入者コンテキストを取得するために使用される要求をUDMエンティティに送信する。S705a-4:UDMエンティティは、SMFエンティティに加入者コンテキストを送信する。
UDMエンティティによって受信されたPDUセッションコンテキスト登録要求は、暗号化されたユーザ情報を運ぶため、UDMエンティティは、ユーザ情報を取得する必要があるときに、暗号化されたユーザ情報を復号することができる。以上のことから、UDMエンティティは鍵を格納するため、UDMエンティティは、暗号化されたユーザ情報を復号してユーザ情報を取得できる(S705b)ことが分かる。UEのユーザ情報を取得した後、UDMエンティティは、UEの加入者情報を要求するために使用される要求をUDRに送信することができ、その要求は、UEのユーザ情報を運ぶ(S705c)。UDRは、UEの加入者情報をUDMエンティティに送信する(S705d)。UDMエンティティは、UEの加入者情報をSMFエンティティに送信する(S705e)。
S706:SMFエンティティは、UEのセッション管理ポリシーを取得するために、PCFエンティティを呼び出す。
具体的には、S706は、S706aからS706dの4つのサブステップで実行され得る。S706a:SMFエンティティは、UEのセッション管理ポリシーを取得するために使用される要求をPCFエンティティに送信し、この要求は、暗号化されたユーザ情報を運ぶ。PCFエンティティによって受信され、UEのセッション管理ポリシーを取得するために使用される要求は、暗号化されたユーザ情報を運ぶ。したがって、PCFエンティティがユーザ情報を取得する必要がある場合、PCFエンティティは、暗号化されたユーザ情報を復号するようにUDMエンティティに要求することができる。具体的には、PCFエンティティは、第1の復号要求をUDMエンティティに送信し、第1の復号要求は、暗号化されたユーザ情報の復号を要求するために使用される(S706b)。第1の復号要求を受信した後、UDMエンティティは、ユーザ情報をPCFエンティティに送信する(S706c)。UEのユーザ情報を取得した後、PCFエンティティは、UEのセッション管理ポリシーを要求するために使用される要求をUDRに送信することができ、その要求は、UEのユーザ情報を運ぶ(S706d)。UDRは、UEのセッション管理ポリシーをPCFエンティティに送信する(S706e)。PCFエンティティは、UEのセッション管理ポリシーをSMFエンティティに送信する(S706f)。
S707:SMFエンティティは、UEの課金を実行するために、CHFエンティティを呼び出す。
具体的には、S707は、S707aからS707dの4つのサブステップで実行され得る。S707a:SMFエンティティは、UEの課金を実行するための要求に使用される要求をCHFエンティティに送信し、この要求は、暗号化されたユーザ情報を運ぶ。CHFエンティティによって受信され、UEの課金を実行するために使用される要求は、暗号化されたユーザ情報を運ぶ。したがって、PCFエンティティと同様に、ユーザ情報を取得する必要がある場合、CHFエンティティは、暗号化されたユーザ情報を復号するようにUDMエンティティに要求することができる。具体的には、CHFエンティティは、第2の復号要求をUDMエンティティに送信し、第2の復号要求は、暗号化されたユーザ情報の復号を要求するために使用される(S707b)。第2の復号要求を受信した後、UDMエンティティは、ユーザ情報をCHFエンティティに送信する(S707c)。ユーザ情報を取得した後、CHFエンティティは、UDRエンティティからUEのセッション管理ポリシー、たとえば、UEによって加入されたパッケージに関する情報を取得することができる。CHFエンティティは、パッケージ情報に基づいてUEの課金を実行する。S707d:PCFエンティティは、課金が成功したことを示すために使用される応答情報をSMFエンティティに送信する。
S708:SMFエンティティは、N4セッションの確立を完了するために、UPFエンティティを呼び出す。
具体的には、S708は、S708aおよびS708bの2つのサブステップで実行され得る。S708a:SMFエンティティは、N4セッション確立要求をUPFエンティティに送信し、N4セッション確立要求は、PDUセッションの確立を要求するために使用される。S708b:SMFエンティティは、UPFエンティティによって送信されたN4セッション確立応答を受信し、N4セッション確立応答は、PDUセッションが正常に確立されたことを示すために使用される。
以上のことから、図7A、図7B-1、図7B-2、および図7B-3に示される実施形態では、AMFエンティティがユーザ情報を暗号化することができ、UDMエンティティが暗号化されたユーザ情報を復号できることが分かる。PCFエンティティまたはCHFエンティティは、UDMエンティティに、暗号化されたユーザ情報を復号し、復号結果をPCFエンティティまたはCHFエンティティに送信するように要求することができる。他の実施形態では、AMFエンティティは、ユーザ情報を暗号化することができ、PCFエンティティは、暗号化されたユーザ情報を復号することができる。UDMエンティティまたはCHFエンティティは、PCFエンティティに、暗号化されたユーザ情報を復号し、復号結果をUDMエンティティまたはCHFエンティティに送信するように要求することができる。これらの実施形態では、AMFエンティティおよびPCFエンティティはそれぞれ、鍵を取得する必要がある。したがって、前述の鍵割り当て方法で、鍵をAMFエンティティとPCFエンティティに割り当てることができる。たとえば、オペレータは鍵をAMFエンティティとPCFエンティティに割り当てることができる。他の実施形態では、AMFエンティティは、ユーザ情報を暗号化することができ、CHFエンティティは、暗号化されたユーザ情報を復号することができる。UDMエンティティまたはPCFエンティティは、CHFエンティティに、暗号化されたユーザ情報を復号し、復号結果をUDMエンティティまたはPCFエンティティに送信するように要求することができる。これらの実施形態では、AMFエンティティおよびCHFエンティティはそれぞれ、鍵を取得する必要がある。したがって、前述の鍵割り当て方法で、鍵をAMFエンティティとCHFエンティティに割り当てることができる。
図5Aから図7B-3に示される実施形態では、図3に示されるシナリオが説明のための例として使用されることに留意されたい。言い換えると、UPFエンティティとSMFがエッジクラウドまで下流に移動されていることが説明の例として使用される。実際の適用では、別のNFエンティティ、たとえばUDMエンティティまたはPCFエンティティが、エッジクラウドまで下流に移動され得る。たとえば、PCFエンティティがエッジクラウドまで下流に移動される。ユーザ情報の漏洩を最小限に抑えるために、PCFエンティティはユーザ情報とできるだけ少なく接触する場合がある(たとえば、PCFエンティティによって受信または送信される情報は、ユーザ情報を運びない)。あるいは、図5B-1、図5B-2、および図5B-3に示される通信方法に基づく同じ考えを使用することができる。したがって、どのNFエンティティがエッジクラウドまで下流に移動されるかに関係なく、図5B-1、図5B-2、および図5B-3に示される通信方法に基づく同じ考えを、エッジクラウドまで下流に移動されたNFエンティティによって受信または送信される情報が、ユーザ情報を直接運ばないが、暗号化されたユーザ情報を運ぶことを確実にするために使用することができる。
この適用の実装は、様々な技術的効果を達成するためにランダムに組み合わせることができる。
図7B-1、図7B-2、および図7B-3に示される実施形態が例として使用される。AUSFエンティティはAMFエンティティとUDMエンティティに鍵を割り当てるが、PCFエンティティ(またはCHFエンティティ)がユーザ情報を必要とする場合、PCFエンティティ(またはCHFエンティティ)はUDMエンティティではなくAMFエンティティに、暗号化されたユーザ情報を復号し、復号結果をPCFエンティティ(またはCHFエンティティ)に送信するように要求することができる。
本出願で提供される前述の実施形態では、本出願の実施形態で提供される方法は、コアネットワーク上の各NFエンティティが実行本体として使用されるという観点から説明される。本出願の実施形態で提供される方法で機能を実装するために、各NFエンティティは、ハードウェア構造および/またはソフトウェアモジュールを含み得、ハードウェア構造、ソフトウェアモジュール、またはハードウェア構造とソフトウェアモジュールの組み合わせの形態で機能を実装する。機能のうちの機能がハードウェア構造、ソフトウェアモジュール、またはハードウェア構造とソフトウェアモジュールの組み合わせによって実行されるかどうかは、特定の適用と技術ソリューションの設計制約条件によって異なる。
以下に、添付の図面を参照して、本発明の実施形態で提供される装置を説明する。
図8は、通信装置800の概略構造図である。通信装置800は、上記のAMFエンティティの機能を実装することができる。通信装置800は、受信器801、プロセッサ802、および送信器803を含み得る。受信器801、プロセッサ802、および送信器803は、バスによって接続され得る。もちろん、実際の適用では、受信器801、プロセッサ802、および送信器803は、バス構造ではなく、別の構造、たとえば、スター構造であり得る。これは本出願では特に限定されない。
受信器801は、図5B-1、図5B-2、および図5B-3に示される実施形態においてS501b、S505c、S506b、およびS507bを実行するように構成され得、ならびに/または、本明細書に記載の技術の別のプロセスをサポートするように構成され得る。あるいは、受信器801は、図6B-1、図6B-2、および図6B-3に示される実施形態においてS601aおよびS602bを実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得る。あるいは、受信器801は、図7B-1、図7B-2、および図7B-3に示される実施形態においてS700b、S700g、およびS701bを実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得る。
プロセッサ802は、図5B-1、図5B-2、および図5B-3に示される実施形態においてS502、S505c、S506c、およびS507cを実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得、プロセッサ802は、図6B-1、図6B-2、および図6B-3に示される実施形態においてS603を実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得、あるいは、プロセッサ802は、図7B-1、図7B-2、および図7B-3に示される実施形態においてS702を実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得る。
送信器803は、図5B-1、図5B-2、および図5B-3に示される実施形態においてS503、S505d、S506d、およびS507dを実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得、送信器803は、図6B-1、図6B-2、および図6B-3に示される実施形態においてS604を実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得、あるいは、送信器803は、図7B-1、図7B-2、および図7B-3に示される実施形態においてS700cおよびS703を実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得る。
前述の方法の実施形態におけるステップのすべての関連する内容は、対応する機能モジュールの機能説明において参照され得る。詳細はここでは再度説明しない。
図9は、通信装置900の概略構造図である。通信装置900は、上記のUDMエンティティの機能を実装することができる。通信装置900は、受信器901、プロセッサ902、および送信器903を含み得る。受信器901、プロセッサ902、および送信器903は、バスによって接続され得る。もちろん、実際の適用では、受信器901、プロセッサ902、および送信器903は、バス構造ではなく、別の構造、たとえば、スター構造であり得る。これは本出願では特に限定されない。
受信器901は、図5B-1、図5B-2、および図5B-3に示される実施形態においてS505a-1、S505a-3、S505d、およびS505fを実行するように構成され得、および/または本明細書に記載の技術の別のプロセスをサポートするように構成され得、受信器901は、図6B-1、図6B-2、および図6B-3に示される実施形態においてS601b、S606a-1、S606a-3、およびS606d、および/または本明細書に記載の技術をサポートするために使用される別のプロセスを実行するように構成され得、または、受信器901は、図7B-1、図7B-2、および図7B-3に示される実施形態においてS700d、S705a-1、S705a-3、およびS705d、ならびに/または本明細書に記載の技術をサポートするために使用される別のプロセスを実行するように構成され得る。
プロセッサ902は、図6B-1、図6B-2、および図6B-3に示される実施形態においてS606bを実行するように構成され得、および/または本明細書に記載の技術の別のプロセスをサポートするように構成され得、あるいは、プロセッサ902は、図7B-1、図7B-2、および図7B-3に示される実施形態においてS705bを実行するように構成され得、および/または本明細書に記載の技術の別のプロセスをサポートするように構成され得る。
送信器903は、図5B-1、図5B-2、および図5B-3に示される実施形態においてS505a-2、S505a-4、S505b、S505bおよびS505gを実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得、送信器903は、図6B-1、図6B-2、および図6B-3に示される実施形態においてS606a-2、S606a-4、S606c、およびS606eを実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得、あるいは、送信器903は、図7B-1、図7B-2、および図7B-3に示される実施形態においてS700e、S705a-2、S705a-4、S705cおよびS705eを実行するように構成され得、ならびに/または本明細書に記載の技術の別のプロセスをサポートするように構成され得る。
前述の方法の実施形態におけるステップのすべての関連する内容は、対応する機能モジュールの機能説明において参照され得る。詳細はここでは再度説明しない。
任意選択で、図8および図9のそれぞれに示される通信装置内のプロセッサは、具体的には、汎用中央処理装置、特定用途向け集積回路(Application Specific Integrated Circuit、略してASIC)、プログラムの実行を制御するために使用される1つ以上の集積回路、フィールドプログラマブルゲートアレイ(英語:Field Programmable Gate Array、略してFPGA)を使用して開発されたハードウェア回路、またはベースバンドプロセッサであり得る。
任意選択で、プロセッサは、少なくとも1つの処理コアを含み得る。
任意選択で、送信器と受信器は、互いに独立していてもよいし、物理的に一緒に統合されていてもよい。
送信器と受信器は無線周波数回路であってもよい。または、送信器は送信ポートであり、受信器は受信ポートである。
任意選択で、図8または図9に示される通信装置は、メモリをさらに含み得る。メモリは、読み取り専用メモリ(英語:Read Only Memory、略してROM)、ランダムアクセスメモリ(英語:Random Access Memory、略してRAM)、および磁気ディスクストレージのうちの1つ以上を含み得る。メモリは、データおよび/またはプロセッサを実行するために必要な命令を格納するように構成され得る。1つ以上のメモリがあってもよい。
本出願の実施形態は、コンピュータ記憶媒体をさらに提供する。記憶媒体はメモリを含み得、メモリはプログラムを格納し得、プログラムが実行されると、図5B-1、図5B-2、図5B-3、図6B-1、図6B-2、図6B-3、図7B-1、図7B-2、および図7B-3に示される方法の実施形態に記載のAMFによって実行されるすべてのステップが実行される。
本出願の実施形態は、コンピュータ記憶媒体をさらに提供する。記憶媒体はメモリを含み得、メモリはプログラムを格納し得、プログラムが実行されると、図5B-1、図5B-2、図5B-3、図6B-1、図6B-2、図6B-3、図7B-1、図7B-2、および図7B-3に示される方法の実施形態に記載のUDMによって実行されるすべてのステップが実行される。
本発明の実施形態は、コンピュータプログラム製品をさらに提供する。コンピュータプログラム製品がAMF上で実行されるとき、AMFは、図5B-1、図5B-2、図5B-3、図6B-1、図6B-2、図6B-3、図7B-1、図7B-2および図7B-3に示される方法の実施形態に記載のAMFによって実行されるすべてまたは一部のステップを実行することができる。
本発明の実施形態は、コンピュータプログラム製品をさらに提供する。コンピュータプログラム製品がUDM上で実行されるとき、UDMは、図5B-1、図5B-2、図5B-3、図6B-1、図6B-2、図6B-3、図7B-1、図7B-2および図7B-3に示される方法の実施形態に記載のUDMによって実行されるすべてまたは一部のステップを実行することができる。
当業者は、本発明の実施形態が、方法、システム、またはコンピュータプログラム製品として提供され得ることを理解すべきである。したがって、本発明の実施形態は、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、またはソフトウェアとハードウェアの組み合わせを含む実施形態を使用することができる。さらに、本発明の実施形態は、コンピュータ使用可能なプログラムコードを含む1つ以上のコンピュータ使用可能記憶媒体(磁気ディスクメモリ、CD-ROM、光メモリなどを含むがこれに限定されない)上に実装されるコンピュータプログラム製品の形態を使用してもよい。
本発明の実施形態は、本発明の実施形態による方法、装置(システム)、およびコンピュータプログラム製品のフローチャートおよび/またはブロック図を参照して説明される。コンピュータプログラム命令を使用して、フローチャートおよび/またはブロック図における各プロセスおよび/または各ブロック、ならびにフローチャートおよび/またはブロック図におけるプロセスおよび/またはブロックの組み合わせを実装できることを理解されたい。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ、または他のプログラマブルデータ処理装置のプロセッサに提供されて機械を生成することができ、その結果、コンピュータまたは他のプログラマブルデータ処理装置のプロセッサによって実行される命令は、フローチャートおよび/またはブロック図の1つ以上のブロックの1つ以上のプロセスにおける特定の機能を実装するための装置を生成する。
これらのコンピュータプログラム命令は、コンピュータ可読メモリに格納され、コンピュータまたは他のプログラマブルデータ処理装置に特定の仕方で動作するよう命令することができ、その結果、コンピュータ可読メモリに格納された命令は、命令装置を含むアーティファクトを生成する。命令装置は、フローチャートおよび/またはブロック図の1つ以上のブロックの1つ以上のプロセスにおける特定の機能を実装する。
これらのコンピュータプログラム命令は、コンピュータまたは別のプログラマブルデータ処理装置にロードされ、その結果、コンピュータまたは別のプログラマブル装置上で一連の動作およびステップが実行され、それによってコンピュータ実装処理が生成される。したがって、コンピュータまたは別のプログラマブル装置上で実行される命令は、フローチャートおよび/またはブロック図の1つ以上のブロックの1つ以上のプロセスにおける特定の機能を実装するステップを提供する。
明らかに、当業者は、本出願の精神および範囲から逸脱することなく、本発明の実施形態に対して様々な修正および変形を行うことができる。本出願は、添付の本出願の特許請求の範囲およびそれらと等価な技術によって規定される範囲内に入るという条件で、本発明の実施形態に対するこれらの修正および変形を包含することが意図されている。