JP7651036B2 - セキュリティコンテキスト取得方法および装置、ならびに通信システム - Google Patents
セキュリティコンテキスト取得方法および装置、ならびに通信システム Download PDFInfo
- Publication number
- JP7651036B2 JP7651036B2 JP2024062617A JP2024062617A JP7651036B2 JP 7651036 B2 JP7651036 B2 JP 7651036B2 JP 2024062617 A JP2024062617 A JP 2024062617A JP 2024062617 A JP2024062617 A JP 2024062617A JP 7651036 B2 JP7651036 B2 JP 7651036B2
- Authority
- JP
- Japan
- Prior art keywords
- amf
- request message
- security context
- registration request
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/65—Environment-dependent, e.g. using captured environmental data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/75—Temporary identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/0005—Control or signalling for completing the hand-off
- H04W36/0011—Control or signalling for completing the hand-off for data sessions of end-to-end connection
- H04W36/0033—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information
- H04W36/0038—Control or signalling for completing the hand-off for data sessions of end-to-end connection with transfer of context information of security context information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W36/00—Hand-off or reselection arrangements
- H04W36/14—Reselecting a network or an air interface
- H04W36/144—Reselecting a network or an air interface over a different radio air interface technology
- H04W36/1443—Reselecting a network or an air interface over a different radio air interface technology between licensed networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Databases & Information Systems (AREA)
- Environmental & Geological Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
- Telephone Function (AREA)
Description
装置、ならびに通信システムに関する。
ザ機器にサービス提供するネットワークデバイスが変わる。起こり得るハンドオーバのシ
ナリオでは、ユーザ機器が第4世代(4th generation、4G)通信システムから5G通信シス
テムにハンドオーバされる。このハンドオーバのシナリオでは、4Gアクセスネットワーク
デバイスから5Gアクセスネットワークデバイスに、そして4Gコアネットワークデバイスか
ら5Gコアネットワークデバイスに、ユーザ機器がハンドオーバされる。コアネットワーク
デバイス間のハンドオーバは、ユーザ機器のためにモビリティ管理サービスを提供するコ
アネットワークエレメント間のハンドオーバを、換言すると、4G通信システムのモビリテ
ィ管理エンティティ(mobility management entity、MME)から5G通信システムのモビリ
ティ管理機能(access and mobility management function、AMF)へのハンドオーバを、
含む。
では、MMEによって選択されるAMF(第1のAMF)に加えて、5G通信システムは、ユーザ機器
のセキュリティコンテキストを保存するAMF(第2のAMF)をさらに含む。この場合は、第1
のAMFがどのようにして第2のAMFからユーザ機器のセキュリティコンテキストを取得する
かが、解決するべき緊急課題となる。
供する。第1のAMFによって第2のAMFへ送信される第2の登録要求メッセージには、ユーザ
機器と第2のAMFとの間のネイティブセキュリティコンテキストに基づいて完全性保護が行
われるため、第2のAMFは、ユーザ機器と第2のAMFとの間のネイティブセキュリティコンテ
キストに基づいて第2の登録要求メッセージの完全性を検証でき、第2のAMFが第2の登録要
求メッセージを成功裏に検証する可能性が高まる。この検証が成功する場合は、第1のAMF
が第2のAMFからユーザ機器のセキュリティコンテキストを成功裏に取得できる。
アクセスおよびモビリティ管理機能AMFがユーザ機器によって送信される第1の登録要求メ
ッセージを受信するステップであって、第1の登録要求メッセージは第2の登録要求メッセ
ージを保持し、第2の登録要求メッセージには第1のセキュリティコンテキストを使用して
完全性保護が行われ、第1のセキュリティコンテキストはユーザ機器と第2のAMFとの間の
ネイティブセキュリティコンテキストであり、第1のAMFは、4G通信システムから5G通信シ
ステムにユーザ機器がハンドオーバされた後にユーザ機器のためにアクセスおよびモビリ
ティ管理サービスを提供するAMFである、ステップを含む。第1のAMFは第2のAMFへ第2の登
録要求メッセージを送信する。第2のAMFは第2の登録要求メッセージの完全性を検証する
。第2のAMFは、第2の登録要求メッセージの完全性を成功裏に検証した場合に、第1のAMF
へユーザ機器のセキュリティコンテキストを送信する。
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器と第2のAMFによってユーザ機器のセキュリティコンテキストが保存され
る。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第1のA
MFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のAMFは
、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体的に
は、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存されたユー
ザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッセー
ジに対して完全性保護を行い、第2の登録要求メッセージを生成し、第2の登録要求メッセ
ージを第1の登録要求メッセージに加え、第1のAMFへ第1の登録要求メッセージを送信する
ことができる。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転
送でき、第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2
の登録要求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュ
リティコンテキストを返すことができる。これは、第1のAMFが第2のAMFからユーザ機器の
セキュリティコンテキストを成功裏に取得する可能性を高めることができる。
ンテキストは、第1のセキュリティコンテキスト、または第1のセキュリティコンテキスト
に基づいて得られる第2のセキュリティコンテキストを含む。
機器のセキュリティコンテキストは、ユーザ機器と第2のAMFとの間のネイティブセキュリ
ティコンテキストであってよい。あるいは、第2のAMFが鍵導出を行って新たな鍵を生成す
る場合は、ユーザ機器のセキュリティコンテキストは、第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストであってよい。
登録要求メッセージを送信するステップは、第1のAMFが第2のAMFへユーザ機器コンテキス
ト転送サービス呼び出し要求を送信するステップであって、ユーザ機器コンテキスト転送
サービス呼び出し要求が第2の登録要求メッセージを保持する、ステップを含む。
MFによって第2のAMFへ送信される第2の登録要求メッセージは、第1のAMFによって第2のAM
Fへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求に含まれてよい。
機器のセキュリティコンテキストを送信するステップは、第2のAMFが第1のAMFへ第1の応
答メッセージを送信するステップであって、第1の応答メッセージがユーザ機器のセキュ
リティコンテキストを保持する、ステップを含む。
MFにユーザ機器のセキュリティコンテキストを返すときに、第2のAMFは、ユーザ機器のセ
キュリティコンテキストを保持する第1の応答メッセージを第1のAMFへ送信できる。
の登録要求メッセージの完全性検証に失敗したことを示すメッセージを第1のAMFが受信し
た場合に、第1のAMFがマップドセキュリティコンテキストの使用を継続するか、またはユ
ーザ機器に対して初期認証を開始するステップをさらに含む。
MFは、第2のAMFからユーザ機器のセキュリティコンテキストを取得しそこなう場合に、ユ
ーザ機器とのネゴシエーションを通じて生成されたマップドセキュリティコンテキストの
使用を継続でき、または、第1のAMFとユーザ機器との間のセキュリティコンテキストを生
成するために、ユーザ機器に対して初期認証を開始できる。
キストは、モビリティ管理エンティティMMEとユーザ機器との間のセキュリティコンテキ
ストに基づいて得られ、MMEは4G通信システム内のネットワークエレメントである。
ドセキュリティコンテキストは、ユーザ機器とMMEとの間のセキュリティコンテキストに
基づく導出によってユーザ機器と第1のAMFとによって別々に生成されるセキュリティコン
テキストである。
ッセージの完全性を検証するステップは、第2のAMFが第2のAMFとユーザ機器との間のネイ
ティブセキュリティコンテキストに基づいて第2の登録要求メッセージの完全性を検証す
るステップを含む。
アクセスおよびモビリティ管理機能AMFが第1のAMFによって送信される第2の登録要求メッ
セージを受信するステップであって、第2の登録要求メッセージには第1のセキュリティコ
ンテキストを使用して完全性保護が行われ、第1のセキュリティコンテキストはユーザ機
器と第2のAMFとの間のネイティブセキュリティコンテキストであり、第1のAMFは、4G通信
システムから5G通信システムにユーザ機器がハンドオーバされた後にユーザ機器のために
アクセスおよびモビリティ管理サービスを提供するAMFである、ステップを含む。第2のAM
Fは第2の登録要求メッセージの完全性を検証する。第2のAMFは、第2の登録要求メッセー
ジの完全性を成功裏に検証した場合に、第1のAMFへユーザ機器のセキュリティコンテキス
トを送信する。
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器と第2のAMFによってユーザ機器のセキュリティコンテキストが保存され
る。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第1のA
MFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のAMFは
、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体的に
は、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存されたユー
ザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッセー
ジに対して完全性保護を行い、次いで第2の登録要求メッセージを生成することができる
。UEは、第1のAMFへ送信される第1の登録要求メッセージに第2の登録要求メッセージを加
える。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転送でき、
第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2の登録要
求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュリティコ
ンテキストを送信する。これは、第1のAMFが第2のAMFからユーザ機器のセキュリティコン
テキストを成功裏に取得する可能性を高めることができる。
ンテキストは、第1のセキュリティコンテキスト、または第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストを含む。
機器のセキュリティコンテキストは、ユーザ機器と第2のAMFとの間のネイティブセキュリ
ティコンテキストであってよい。あるいは、第2のAMFが鍵導出を行って新たな鍵を生成す
る場合は、ユーザ機器のセキュリティコンテキストは、第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストであってよい。
送信される第2の登録要求メッセージを受信するステップは、第2のAMFが第1のAMFによっ
て送信されるユーザ機器コンテキスト転送サービス呼び出し要求を受信するステップであ
って、ユーザ機器コンテキスト転送サービス呼び出し要求が第2の登録要求メッセージを
保持する、ステップを含む。
MFによって第2のAMFへ送信される第2の登録要求メッセージは、第1のAMFによって第2のAM
Fへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求に含まれてよい。
機器のセキュリティコンテキストを送信するステップは、第2のAMFが第1のAMFへ第1の応
答メッセージを送信するステップであって、第1の応答メッセージがユーザ機器のセキュ
リティコンテキストを保持する、ステップを含む。
MFにユーザ機器のセキュリティコンテキストを返すときに、第2のAMFは、ユーザ機器のセ
キュリティコンテキストを保持する第1の応答メッセージを第1のAMFへ送信できる。
ッセージの完全性を検証するステップは、第2のAMFが第1のセキュリティコンテキストに
基づいて第2の登録要求メッセージの完全性を検証するステップを含む。
ザ機器が第2の登録要求メッセージを決定するステップと、第2の登録要求メッセージに対
して完全性保護を行うステップであって、第2の登録要求メッセージには第1のセキュリテ
ィコンテキストを使用して完全性保護が行われ、第1のセキュリティコンテキストはユー
ザ機器と第2のアクセスおよびモビリティ管理機能AMFとの間のネイティブセキュリティコ
ンテキストである、ステップとを含む。ユーザ機器は第1のアクセスおよびモビリティ管
理機能AMFへ第1の登録要求メッセージを送信し、第1の登録要求メッセージは第2の登録要
求メッセージを保持し、第1のAMFは、4G通信システムから5G通信システムにユーザ機器が
ハンドオーバされた後にユーザ機器のためにアクセスおよびモビリティ管理サービスを提
供するAMFである。
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器および第2のAMFによってユーザ機器のセキュリティコンテキストが保存
される。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第
1のAMFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のA
MFは、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体
的には、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存された
ユーザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッ
セージに対して完全性保護を行い、次いで第2の登録要求メッセージを生成することがで
きる。UEは、第1のAMFへ送信される第1の登録要求メッセージに第2の登録要求メッセージ
を加える。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転送で
き、第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2の登
録要求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュリテ
ィコンテキストを返すことができる。これは、第1のAMFが第2のAMFからユーザ機器のセキ
ュリティコンテキストを成功裏に取得する可能性を高めることができる。
信される非アクセス層セキュリティモードコマンドNAS SMCメッセージが受信された場合
に、NAS SMCの完全性を検証するステップと、検証が成功した場合に、第1のAMFへ非アク
セス層セキュリティモード完了メッセージを送信するステップとをさらに含む。
機器は、第1のAMFによって送信されるNAS SMCメッセージを受信して、NAS SMCメッセージ
を成功裏に検証した場合に、第1のAMFへ非アクセス層セキュリティモード完了メッセージ
を送信する。
アクセスおよびモビリティ管理機能AMFがユーザ機器によって送信される第1の登録要求メ
ッセージを受信するステップであって、第1の登録要求メッセージは第2の登録要求メッセ
ージを保持し、第2の登録要求メッセージには第1のセキュリティコンテキストを使用して
完全性保護が行われ、第1のセキュリティコンテキストはユーザ機器と第2のAMFとの間の
ネイティブセキュリティコンテキストであり、第1のAMFは、4G通信システムから5G通信シ
ステムにユーザ機器がハンドオーバされた後にユーザ機器のためにアクセスおよびモビリ
ティ管理サービスを提供するAMFである、ステップを含む。第1のAMFは第2のAMFへ第2の登
録要求メッセージを送信する。第2のAMFが第2の登録要求メッセージの完全性を成功裏に
検証した場合は、第1のAMFが第2のAMFによって送信されるユーザ機器のセキュリティコン
テキストを受信する。
システムから5G通信システムにユーザ機器がハンドオーバされる場合は、ハンドオーバの
前に、ユーザ機器と第2のAMFによってユーザ機器のセキュリティコンテキストが保存され
る。4G通信システムから5G通信システムにユーザ機器がハンドオーバされた後は、第1のA
MFがユーザ機器のためにアクセスおよびモビリティ管理サービスを提供する。第1のAMFは
、第2のAMFからユーザ機器のセキュリティコンテキストを取得する必要がある。具体的に
は、ユーザ機器は、ハンドオーバコマンドを受信した後に、ネイティブに保存されたユー
ザ機器と第2のAMFとの間のセキュリティコンテキストに基づいて第4の登録要求メッセー
ジに対して完全性保護を行い、次いで第2の登録要求メッセージを生成することができる
。UEは、第1のAMFへ送信される第1の登録要求メッセージに第2の登録要求メッセージを加
える。このようにして、第1のAMFは、第2のAMFへ第2の登録要求メッセージを転送でき、
第2のAMFは、第2の登録要求メッセージの完全性を検証できる。第2のAMFは、第2の登録要
求メッセージの完全性を成功裏に検証した後に、第1のAMFへユーザ機器のセキュリティコ
ンテキストを返すことができる。これは、第1のAMFが第2のAMFからユーザ機器のセキュリ
ティコンテキストを成功裏に取得する可能性を高めることができる。
ンテキストは、第1のセキュリティコンテキスト、または第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストを含む。
機器のセキュリティコンテキストは、ユーザ機器と第2のAMFとの間のネイティブセキュリ
ティコンテキストであってよい。あるいは、第2のAMFが鍵導出を行って新たな鍵を生成す
る場合は、ユーザ機器のセキュリティコンテキストは、第1のセキュリティコンテキスト
に基づく鍵導出によって生成される第2のセキュリティコンテキストであってよい。
登録要求メッセージを送信するステップは、第1のAMFが第2のAMFへユーザ機器コンテキス
ト転送サービス呼び出し要求を送信するステップであって、ユーザ機器コンテキスト転送
サービス呼び出し要求が第2の登録要求メッセージを保持する、ステップを含む。
MFによって第2のAMFへ送信される第2の登録要求メッセージは、第1のAMFによって第2のAM
Fへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求に含まれてよい。
送信されるユーザ機器のセキュリティコンテキストを受信するステップは、第1のAMFが第
2のAMFによって送信される第1の応答メッセージを受信するステップであって、第1の応答
メッセージがユーザ機器のセキュリティコンテキストを保持する、ステップを含む。
MFにユーザ機器のセキュリティコンテキストを返すときに、第2のAMFは、ユーザ機器のセ
キュリティコンテキストを保持する第1の応答メッセージを第1のAMFへ送信できる。
録要求メッセージの完全性検証に失敗したことを示すメッセージを第1のAMFが受信した場
合に、第1のAMFがマップドセキュリティコンテキストの使用を継続するか、またはユーザ
機器に対して初期認証を開始するステップをさらに含む。
MFは、第2のAMFからユーザ機器のセキュリティコンテキストを取得しそこなう場合に、ユ
ーザ機器とのネゴシエーションを通じて生成されたマップドセキュリティコンテキストの
使用を継続でき、または、第1のAMFとユーザ機器との間のセキュリティコンテキストを生
成するために、ユーザ機器に対して初期認証を開始できる。
キストは、モビリティ管理エンティティMMEとユーザ機器との間のセキュリティコンテキ
ストに基づいて得られ、MMEは4G通信システム内のネットワークエレメントである。
ドセキュリティコンテキストは、ユーザ機器とMMEとの間のセキュリティコンテキストに
基づく導出によってユーザ機器と第1のAMFとによって別々に生成されるセキュリティコン
テキストである。
アクセスおよびモビリティ管理機能AMFが第2のAMFへユーザ機器コンテキスト転送サービ
ス呼び出し要求を送信するステップであって、ユーザ機器コンテキスト転送サービス呼び
出し要求がユーザ機器のセキュリティコンテキストを取得するために使用され、ユーザ機
器コンテキスト転送サービス呼び出し要求が指示情報を保持し、指示情報が、ユーザ機器
が検証済みであることを示すために使用され、第1のAMFが、4G通信システムから5G通信シ
ステムにユーザ機器がハンドオーバされた後にユーザ機器のためにアクセスおよびモビリ
ティ管理サービスを提供するAMFである、ステップを含む。第1のAMFは第2のAMFによって
送信される第2の応答メッセージを受信し、第2の応答メッセージはユーザ機器のセキュリ
ティコンテキストを保持する。
MFによって第2のAMFへ送信されるユーザ機器コンテキスト転送サービス呼び出し要求は、
UEが検証済みであることを示す指示情報を保持する。これは、第2のAMFがUEの検証に失敗
して、第1のAMFへUEのセキュリティコンテキストを送信しない状況を回避し、第1のAMFが
第2のAMFからユーザ機器のセキュリティコンテキストを成功裏に取得する可能性を高める
ことができる。
証済みであることを示すために使用されることは、指示情報が、登録要求メッセージの完
全性が成功裏に検証されたことを示すために使用されることを含み、登録要求メッセージ
はユーザ機器から第1のAMFによって受信される。
MFによって第2のAMFへ送信され、UEが検証済みであることを示す、指示情報は、UEによっ
て送信される登録要求メッセージの完全性が成功裏に検証されたことを第2のAMFに知らせ
るために第1のAMFによって使用されてよい。これは、UEが検証済みであることを示すため
の柔軟で任意のソリューションを提供する。
機器コンテキスト転送サービス呼び出し要求を送信する前に、方法は、第1のAMFが登録要
求メッセージの完全性保護を成功裏に検証するステップであって、登録要求メッセージが
ユーザ機器から第1のAMFによって受信される、ステップ、および/または、登録要求メッ
セージが、ユーザ機器が4G通信システムから5G通信システムにハンドオーバされた後にユ
ーザ機器によって送信された登録要求メッセージであると第1のAMFが判定するステップを
含む。
MFは、登録要求メッセージが成功裏に検証されたことを示す結果に基づいて、および/ま
たは、受信された登録要求メッセージが、ユーザ機器が4G通信システムから5G通信システ
ムにハンドオーバされた後にユーザ機器によって送信された登録要求メッセージであると
いうことに基づいて、第2のAMFへユーザ機器コンテキスト転送サービス呼び出し要求が送
信されてよいと判定する。
サービス呼び出し要求はユーザ機器のIDを保持する。
MFがユーザ機器のセキュリティコンテキストを取得する必要があることを第2のAMFが知る
ことを可能にするため、第1のAMFは、コンテキスト転送サービス呼び出し要求にユーザ機
器のIDを加える。
サービス呼び出し要求は、ユーザ機器のアップリンク非アクセス層カウントUL NAS COUNT
を保持する。
MFがUL NAS COUNTを知ることを可能にするため、第1のAMFは、コンテキスト転送サービス
呼び出し要求にUL NAS COUNTを加えることができる。
サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機器コンテキスト転送サ
ービス呼び出し要求がプレーンテキスト登録要求メッセージを保持することを含み、プレ
ーンテキスト登録要求メッセージはUL NAS COUNTを含み、登録要求メッセージはユーザ機
器から第1のAMFによって受信される。
機器コンテキスト転送サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機
器コンテキスト転送サービス呼び出し要求でプレーンテキスト登録要求メッセージを保持
することによって実現されてよく、プレーンテキスト登録要求メッセージはUL NAS COUNT
を含む。これは、第1のAMFが第2のAMFへUL NAS COUNTを送信するための柔軟で任意のソリ
ューションを提供する。
アクセスおよびモビリティ管理機能AMFが第1のAMFによって送信されるユーザ機器コンテ
キスト転送サービス呼び出し要求を受信するステップであって、ユーザ機器コンテキスト
転送サービス呼び出し要求がユーザ機器のセキュリティコンテキストを取得するために使
用され、ユーザ機器コンテキスト転送サービス呼び出し要求が指示情報を保持し、指示情
報が、ユーザ機器が検証済みであることを示すために使用され、第1のAMFが、4G通信シス
テムから5G通信システムにユーザ機器がハンドオーバされた後にユーザ機器のためにアク
セスおよびモビリティ管理サービスを提供するAMFである、ステップを含む。第2のAMFは
第1のAMFへ第2の応答メッセージを送信し、第2の応答メッセージはユーザ機器のセキュリ
ティコンテキストを保持する。
MFによって送信されて第2のAMFによって受信されるユーザ機器コンテキスト転送サービス
呼び出し要求は、UEが検証済みであることを示す指示情報を保持する。指示情報に基づき
、第2のAMFはUEを検証する必要がない。これは、第2のAMFがUEの検証に失敗して、第1のA
MFへUEのセキュリティコンテキストを送信しない状況を回避し、第1のAMFが第2のAMFから
ユーザ機器のセキュリティコンテキストを成功裏に取得する可能性を高めることができる
。
証済みであることを示すために使用されることは、指示情報が、登録要求メッセージの完
全性が成功裏に検証されたことを示すために使用されることを含み、登録要求メッセージ
はユーザ機器から第1のAMFによって受信される。
MFによって送信されて第2のAMFによって受信される、UEが検証済みであることを示す指示
情報は、UEによって送信された登録要求メッセージの完全性が成功裏に検証されたことを
第2のAMFに知らせるために第1のAMFによって使用されてよい。これは、UEが検証済みであ
ることを示すための柔軟で任意のソリューションを提供する。
サービス呼び出し要求はユーザ機器のIDを保持する。
MFは、コンテキスト転送サービス呼び出し要求に含まれたユーザ機器のIDに基づいて、第
1のAMFがユーザ機器のセキュリティコンテキストを取得する必要があると判定し得る。
サービス呼び出し要求は、ユーザ機器のアップリンク非アクセス層カウントUL NAS COUNT
を保持する。
MFは、コンテキスト転送サービス呼び出し要求に含まれたUL NAS COUNTに基づいてUL NAS
COUNTを知ることができる。
サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機器コンテキスト転送サ
ービス呼び出し要求がプレーンテキスト登録要求メッセージを保持することを含み、プレ
ーンテキスト登録要求メッセージはUL NAS COUNTを含み、登録要求メッセージはユーザ機
器から第1のAMFによって受信される。
機器コンテキスト転送サービス呼び出し要求がUL NAS COUNTを保持することは、ユーザ機
器コンテキスト転送サービス呼び出し要求でプレーンテキスト登録要求メッセージを保持
することによって実現されてよく、プレーンテキスト登録要求メッセージはUL NAS COUNT
を含む。これは、第1のAMFが第2のAMFへUL NAS COUNTを送信するための柔軟で任意のソリ
ューションを提供する。
OUNTに基づいて鍵導出を行うステップをさらに含む。
MFは、受信したUL NAS COUNTに基づいて鍵導出を行うことができる。
第1の態様の可能な実装のいずれか1つで第1のAMFおよび第2のAMFによって実行される動作
を実行するように構成されてよい第1のAMFおよび第2のAMFを含む。具体的には、通信装置
は、第1の態様、または第1の態様の可能な実装のいずれか1つに記載されているステップ
または機能を実行するように構成された対応するコンポーネント(手段)を含んでよく、
コンポーネントは、第1の態様の第1のAMFおよび第2のAMFであってよく、または第1の態様
の第1のAMFおよび第2のAMF内のチップもしくは機能モジュールであってもよい。ステップ
または機能は、ソフトウェア、ハードウェア、またはハードウェアおよびソフトウェアの
組み合わせによって実施されてよい。
態様、第4の態様、第5の態様の可能な実装、または第4の態様の可能な実装のいずれか1つ
で第1のAMFによって実行される動作を実行するように構成されてよい。具体的には、セキ
ュリティコンテキスト取得装置は、第5の態様、第4の態様、第1の態様の可能な実装、ま
たは第4の態様の可能な実装のいずれか1つに記載されているステップまたは機能を実行す
るように構成された対応するコンポーネント(手段)を含んでよく、コンポーネントは、
第4および第5の態様の第1のAMFであってよく、または第4および第5の態様の第1のAMF内の
チップもしくは機能モジュールであってもよい。ステップまたは機能は、ソフトウェア、
ハードウェア、またはハードウェアおよびソフトウェアの組み合わせによって実施されて
よい。
態様、第6の態様、第2の態様の可能な実装、または第6の態様の可能な実装のいずれか1つ
で第2のAMFによって実行される動作を実行するように構成されてよい。具体的には、セキ
ュリティコンテキスト取得装置は、第2の態様、第6の態様、第2の態様の可能な実装、ま
たは第6の態様の可能な実装のいずれか1つに記載されているステップまたは機能を実行す
るように構成された対応するコンポーネント(手段)を含んでよく、コンポーネントは、
第2および第6の態様の第2のAMFであってよく、または第2および第6の態様の第2のAMF内の
チップもしくは機能モジュールであってもよい。ステップまたは機能は、ソフトウェア、
ハードウェア、またはハードウェアおよびソフトウェアの組み合わせによって実施されて
よい。
の態様でユーザ機器によって実行される動作を実行するように構成されてよい。具体的に
は、セキュリティコンテキスト取得装置は、第3の態様に記載されているステップまたは
機能を実行するように構成された対応するコンポーネント(手段)を含んでよく、コンポ
ーネントは、第3の態様のユーザ機器であってよく、または第3の態様のユーザ機器内のチ
ップもしくは機能モジュールであってもよい。ステップまたは機能は、ソフトウェア、ハ
ードウェア、またはハードウェアおよびソフトウェアの組み合わせによって実施されてよ
い。
提供される。メモリは、コンピュータプログラムを記憶するように構成される。トランシ
ーバは、第1から第5の態様のいずれかの可能な実装のセキュリティコンテキスト取得装置
方法で送受信ステップを実行するように構成される。プロセッサは、通信デバイスが第1
から第6の態様のいずれかの可能な実装でセキュリティコンテキスト取得装置方法を実行
できるようにするために、メモリからコンピュータプログラムを呼び出し、なおかつコン
ピュータプログラムを実行するように構成される。
は別々に配置されてもよい。
含む。
で提供されるセキュリティコンテキスト取得装置を含む。
ラム製品はコンピュータプログラム(コードまたは命令と呼ばれることもある)を含む。
コンピュータプログラムが実行されると、コンピュータは、第1から第6の態様のいずれか
の可能な実装の方法を実行可能となる。
ンピュータプログラム(コードまたは命令と呼ばれることもある)を記憶する。コンピュ
ータプログラムがコンピュータ上で実行されると、コンピュータは、第1から第6の態様の
いずれかの可能な実装の方法を実行可能となる。
リは、コンピュータプログラムを記憶するように構成される。プロセッサは、メモリから
コンピュータプログラムを呼び出してコンピュータプログラムを実行するように構成され
、これにより、チップシステムが取り付けられた通信デバイスは、第1から第6の態様のい
ずれかの可能な実装の方法を実行する。
イル・コミュニケーションズ(global system for mobile communications、GSM)、符号
分割多元接続(code division multiple access、CDMA)システム、広帯域符号分割多元
接続(wideband code division multiple access、WCDMA(登録商標))システム、汎用
パケット無線サービス(general packet radio service、GPRS)システム、ロングターム
エボリューション(long term evolution、LTE)システム、LTE周波数分割二重(frequen
cy division duplex、FDD)システム、LTE時分割二重(time division duplex、TDD)シ
ステム、ユニバーサル・モバイル・テレコミュニケーションズ・システム(universal mo
bile telecommunication system、UMTS)、ワールドワイド・インターオペラビリティ・
フォー・マイクロウェーブ・アクセス(worldwide interoperability for microwave acc
ess、WiMAX)通信システム、将来の第5世代(5th generation、5G)システム、またはニ
ューラジオ(new radio、NR)システムなどの様々な通信システムに適用され得る。
れているように、以下では、ネットワークアーキテクチャの構成要素を個別に説明する。
、ウェアラブルデバイス、および無線通信機能を有する計算デバイス、または無線モデム
に接続された他の処理デバイス、ならびに様々な形態の端末、モバイルステーション(mo
bile station、MS)、端末(terminal)、ソフトクライアントなどを含み得る。例えば、
ユーザ機器110は、水道メーター、電気メーター、またはセンサーであってよい。
は、特定のエリア内で認可されたユーザ機器のためにネットワークアクセス機能を提供す
るように構成され、ユーザ機器のレベル、サービス要件などに基づいて質の異なる伝送ト
ンネルを使用できる。
で制御信号やユーザ機器データを転送するため、ユーザ機器のためにアクセスサービスを
提供できる。(R)ANエレメントはまた、従来のネットワークにおける基地局として理解
され得る。
、ならびにユーザプレーンデータのサービス品質(quality of service、QoS)処理など
に使用される。
user plane function、UPF)ネットワークエレメントであってもよい。将来の通信システ
ムでは、ユーザプレーンネットワークエレメントは引き続きUPFネットワークエレメント
である可能性があり、または別の名称を持つ可能性もある。これは本出願では限定されな
い。
ように構成される。
work、DN)エレメントであってもよい。将来の通信システムでは、データネットワークエ
レメントは引き続きDNエレメントである可能性があり、または別の名称を持つ可能性もあ
る。これは本出願では限定されない。
理またはアクセス管理などを行うように構成される。アクセスおよびモビリティ管理ネッ
トワークエレメント150は、機能を、例えば、セッション管理以外のモビリティ管理エン
ティティ(mobility management entity、MME)機能で合法的な傍受やアクセス認可/認
証を、実施するように構成されてよい。
スおよびモビリティ管理機能(access and mobility management function、AMF)であっ
てもよい。将来の通信システムでは、アクセスおよびモビリティ管理デバイスは引き続き
AMFである可能性があり、または別の名称を持つ可能性もある。これは本出願では限定さ
れない。
機器のインターネットプロトコル(internet protocol、IP)アドレスを割り当てて管理
し、ユーザプレーン機能インターフェイスとポリシーコントロールおよび課金機能インタ
ーフェイスとを管理できるエンドポイントを選択し、ダウンリンクデータを通知すること
などを行うように構成される。
session management function、SMF)ネットワークエレメントであってもよい。将来の通
信システムでは、セッション管理ネットワークエレメントは引き続きSMFネットワークエ
レメントである可能性があり、または別の名称を持つ可能性もある。これは本出願では限
定されない。
シー機構を案内し、コントロールプレーン機能ネットワークエレメント(AMFまたはSMFネ
ットワークエレメントなど)のためにポリシールール情報を提供することなどを行うよう
に構成される。
課金ルール機能(policy and charging rules function、PCRF)ネットワークエレメント
であってもよい。5G通信システムでは、ポリシーコントロールネットワークエレメントは
ポリシーコントロール機能(policy control function、PCF)ネットワークエレメントで
あってもよい。将来の通信システムでは、ポリシーコントロールネットワークエレメント
は引き続きPCFネットワークエレメントである可能性があり、または別の名称を持つ可能
性もある。これは本出願では限定されない。
を生成し、統一認証機構をサポートするように構成される。
、AUSF)ネットワークエレメントであってもよい。将来の通信システムでは、認証サーバ
機能ネットワークエレメントは引き続きAUSFネットワークエレメントである可能性があり
、または別の名称を持つ可能性もある。これは本出願では限定されない。
ス認証、登録、およびモビリティ管理などを行うように構成される。
data management、UDM)ネットワークエレメントであってもよい。4G通信システムでは、
データ管理ネットワークエレメントはホームサブスクライバサーバ(home subscriber se
rver、HSS)ネットワークエレメントであってもよい。将来の通信システムでは、統一デ
ータ管理は引き続きUDMネットワークエレメントである可能性があり、または別の名称を
持つ可能性もある。これは本出願では限定されない。
るデータのルーティングを行い、ネットワーク曝露機能ネットワークエレメントにアクセ
スし、ポリシーコントロールを行うためにポリシー機構とやり取りし、その他を行うよう
に構成される。
能(application function、AF)ネットワークエレメントであってもよい。将来の通信シ
ステムでは、アプリケーションネットワークエレメントは引き続きAFネットワークエレメ
ントである可能性があり、または別の名称を持つ可能性もある。これは本出願では限定さ
れない。
トワーク機能サービスのリアルタイム情報を維持するように構成される。
リポジトリ機能(network repository function、NRF)ネットワークエレメントであって
もよい。将来の通信システムでは、ネットワークストレージネットワークエレメントは引
き続きNRFネットワークエレメントである可能性があり、または別の名称を持つ可能性も
ある。これは本出願では限定されない。
レメント、専用のハードウェア上で実行するソフトウェア機能、またはプラットフォーム
(例えば、クラウドプラットフォーム)上でインスタンスとして生成される仮想機能であ
ってよいことは理解され得る。説明を容易にするため、以下では、アクセスおよびモビリ
ティ管理デバイスがAMFであり、データ管理ネットワークエレメントがUDMネットワークエ
レメントであり、セッション管理ネットワークエレメントがSMFネットワークエレメント
であり、ユーザプレーンネットワークエレメントがUPFネットワークエレメントである一
例を用いて本出願を説明する。
ティティである一例を用いてセッション確立方法を説明する。装置がAMFエンティティ内
のチップであるか、またはUDMエンティティ内のチップである実施方法については、装置
がAMFエンティティまたはUDMエンティティであるセッション確立方法に関する具体的な説
明を参照されたい。詳細は繰り返さない。
ェイスを通じてAMFに接続され、(R)ANはN2インターフェイスを通じてAMFに接続され、
(R)ANはN3インターフェイスを通じてUPFに接続される。UPFはN9インターフェイスを通
じて互いに接続され、UPFはN6インターフェイスを通じてDNに相互接続される。SMFはN4イ
ンターフェイスを通じてUPFを制御する。AMFはN11インターフェイスを通じてSMFに接続さ
れる。AMFは、N8インターフェイスを通じてUDMユニットからユーザ機器のサブスクリプシ
ョンデータを取得する。SMFは、N10インターフェイスを通じてUDMユニットからユーザ機
器のサブスクリプションデータを取得する。
出願の実施形態に適用可能なネットワークアーキテクチャがこれに限定されないことを理
解されたい。前述したネットワークエレメントの機能を実行できるネットワークアーキテ
クチャはいずれも、本出願の実施形態に適用可能である。
メント、PCFネットワークエレメント、BSFネットワークエレメント、およびUDMネットワ
ークエレメントなどのネットワーク機能ネットワークエレメントおよびエンティティはい
ずれも、ネットワーク機能(network function、NF)ネットワークエレメントと呼ばれる
。あるいは、いくつかの他のネットワークアーキテクチャにおいて、AMF、SMFネットワー
クエレメント、PCFネットワークエレメント、BSFネットワークエレメント、およびUDMネ
ットワークエレメントなどの1セットのネットワークエレメントは、コントロールプレー
ン機能ネットワークエレメントと呼ばれることがある。
ブスクライバステーション、モバイルステーション、モバイルコンソール、リレーステー
ション、リモートステーション、リモート端末、モバイルデバイス、ユーザ端末(user t
erminal)、端末機器(terminal equipment)、端末(terminal)、無線通信デバイス、
ユーザエージェント、ユーザ装置などであってよい。ユーザ機器は、代わりに、携帯電話
機、コードレス電話機、セッション開始プロトコル(session initiation protocol、SIP
)電話機、ワイヤレスローカルループ(wireless local loop、WLL)ステーション、個人
用デジタル補助装置(personal digital assistant、PDA)、無線通信機能を有する手持
ち型デバイス、計算デバイス、無線モデムに接続された他の処理デバイス、車載デバイス
、ウェアラブルデバイス、将来の5Gネットワークにおけるユーザ機器、または将来の進化
型公衆陸上移動ネットワーク(public land mobile network、PLMN)におけるユーザ機器
などであってもよい。これは本出願の実施形態では限定されない。
ーザ機器と通信するように構成された何らかのデバイスであってよい。デバイスは、進化
型ノードB(evolved Node B、eNB)、無線ネットワークコントローラ(radio network co
ntroller、RNC)、ノードB(NodeB、NB)、基地局コントローラ(base station controll
er、BSC)、ベーストランシーバステーション(base transceiver station、BTS)、ホー
ムベースステーション(例えば、home evolved NodeB、またはhome Node B、HNB)、ベー
スバンドユニット(baseBand unit、BBU)、ワイヤレスフィデリティ(wireless fidelit
y、WIFI)システムのアクセスポイント(access point、AP)、ワイヤレスリレーノード
、ワイヤレスバックホールノード、送信ポイント(transmission point、TP)、送信およ
び受信ポイント(transmission and reception point、TRP)などを含むが、これらに限
定されない。あるいは、デバイスは、NRシステムなどの5GシステムのgNBもしくは送信ポ
イント(TRPまたはTP)であってよく、5Gシステムの基地局のアンテナパネルの1つのアン
テナパネルまたはアンテナパネルのグループ(複数のアンテナパネルを含む)であっても
よく、またはgNBもしくは送信ポイントを構成するベースバンドユニット(BBU)、または
分散型ユニット(distributed unit、DU)などのネットワークノードであってもよい。
る。gNBは、アクティブアンテナユニット(active antenna unit、AAU)をさらに含み得
る。CUはgNBの一部の機能を実行し、DUはgNBの一部の機能を実行する。例えば、CUは非リ
アルタイムのプロトコルとサービスの処理を担当し、無線リソース制御(radio resource
control、RRC)層とパケットデータコンバージェンスプロトコル(packet data converg
ence protocol、PDCP)層の機能を実行する。DUは、物理層プロトコルとリアルタイムサ
ービスの処理を担当し、無線リンク制御(radio link control、RLC)層、媒体アクセス
制御(media access control、MAC)層、および物理(physical、PHY)層の機能を実行す
る。AAUは、いくつかの物理層処理機能、無線周波数処理、およびアクティブアンテナに
関連する機能を実行する。RRC層の情報は、最終的にはPHY層の情報に変換されるか、また
はPHY層の情報から変換される。したがって、このアーキテクチャでは、RRC層シグナリン
グなどの上位層シグナリングも、DUによって送信されていると、またはDUおよびAAUによ
って送信されていると、見なされ得る。ネットワークデバイスが、CUノード、DUノード、
およびAAUノードのいずれか1つ以上を含むデバイスであり得ることは理解され得る。加え
て、CUは、アクセスネットワーク(radio access network、RAN)内のネットワークデバ
イスであってもよく、またはコアネットワーク(core network、CN)内のネットワークデ
バイスであってもよい。これは本出願では限定されない。
層と、ハードウェア層の上で実行するオペレーティングシステム層と、オペレーティング
システム層の上で実行するアプリケーション層とを含む。ハードウェア層は、中央処理装
置(central processing unit、CPU)、メモリ管理装置(memory management unit、MMU
)、およびメモリ(メインメモリとも呼ばれる)などのハードウェアを含む。オペレーテ
ィングシステムは、プロセス(Process)を使用することによってサービス処理を実施す
るいずれか1種類以上のコンピュータオペレーティングシステムであってよく、例えば、L
inux(登録商標)オペレーティングシステム、Unixオペレーティングシステム、Android
オペレーティングシステム、iOSオペレーティングシステム、またはwindowsオペレーティ
ングシステムであってよい。アプリケーション層は、ブラウザ、アドレス帳、ワープロソ
フトウェア、およびインスタントコミュニケーションソフトウェアなどのアプリケーショ
ンを含む。加えて、本出願の実施形態で提供される方法を実行するエンティティの具体的
な構造は、本出願の実施形態で提供される方法のコードを記録するプログラムを実行して
、本出願の実施形態で提供される方法による通信を行うことができる限り、本出願の実施
形態で特に限定されない。例えば、本出願の実施形態で提供される方法を実行するエンテ
ィティは、ユーザ機器またはネットワークデバイスであってよく、またはユーザ機器また
はネットワークデバイスでプログラムを呼び出して実行できる機能モジュールであっても
よい。
アリング技術を使用する方法、装置、または製品として実装されてもよい。本出願で使用
される「製品」という用語は、何らかのコンピュータ可読コンポーネント、キャリア、ま
たは媒体からアクセスできるコンピュータプログラムをその範囲に含む。例えば、コンピ
ュータ可読媒体は、磁気ストレージコンポーネント(例えば、ハードディスク、フロッピ
ー(登録商標)ディスク、または磁気テープ)、光ディスク(例えば、コンパクトディス
ク(compact disc、CD)、またはデジタル多用途ディスク(digital versatile disc、DV
D))、スマートカード、およびフラッシュメモリコンポーネント(例えば、消去可能プ
ログラム可能読み取り専用メモリ(erasable programmable read-only memory、EPROM)
、カード、スティック、またはキードライブ)を含み得、ただしこれらに限定されない。
加えて、本明細書に記載されている様々な記憶媒体は、情報を記憶するように構成された
1つ以上のデバイスおよび/または他の機械可読媒体を指す場合がある。「機械可読記憶
媒体」という用語は、無線チャネル、ならびに命令および/またはデータを記憶、収容、
および/または保持することができる様々な他の媒体を含み得るが、これらに限定されな
い。
トワークアーキテクチャである場合のモビリティ管理エンティティMMEと、図1に示されて
いるネットワークアーキテクチャが5Gネットワークである場合のアクセスおよびモビリテ
ィ管理機能AMFならびにUEとに関する。AMFについては、本出願は第1のAMFと第2のAMFとに
関する。具体的には、本出願の第1のAMFは、UEのためにコアネットワークサービスを提供
するために、ユーザ機器が4G通信システムから5G通信システムにハンドオーバされる過程
で、4G通信システムのMMEによってUEのために5G通信システムから選択されるAMFである。
本出願の第2のAMFは、ユーザ機器が4G通信システムから5G通信システムにハンドオーバさ
れる過程で、5G通信システムの第1のAMF以外の、UEのセキュリティコンテキストを保存す
る、AMFである。
る制限として解釈されるべきではないことを理解されたい。例えば、第1のAMFと第2のAMF
は、異なるAMFを区別するために使用されているにすぎない。
ため、以下では、図2を参照して、ユーザ機器が4G通信システムから5G通信システムにハ
ンドオーバされるプロセスを簡潔に説明する。図2は、通信システム間のハンドオーバの
概略フローチャートである。この概略フローチャートは、UEと、MMEと、第1のAMFと、第2
のAMFとを含む。
を送信する。
ムにハンドオーバされることを知り、UEのためにアクセスおよびモビリティ管理サービス
を提供し続けるために、5G通信システムからUEのために第1のAMFを選択する必要がある。
UEが4G通信システムにアクセスすると、UEとMMEは同じ鍵KASMEを得る。UEが4G通信システ
ムから5G通信システムにハンドオーバされると、MMEは第1のAMFを選択し、KASMEと次ホッ
プパラメータ(next hop parameter、NH)を第1のAMFへ送信する。換言すると、順方向再
配置要求メッセージはKASMEやNHなどのパラメータを保持する。
詳細については、既存のプロトコルにおける4G通信システムから5G通信システムへのハン
ドオーバ手順の仕様を参照されたい。例えば、4G通信システムの基地局はMMEへハンドオ
ーバ要求を送信でき、その結果、MMEは、4G通信システムから5G通信システムにユーザ機
器をハンドオーバする必要があることを知る。
については、既存のプロトコルの仕様を参照されたい。例えば、MMEは、オペレータによ
って設定された少なくとも1つのAMFを保存する。MMEは、4G通信システムから5G通信シス
テムにユーザ機器をハンドオーバする必要があることを知ると、少なくとも1つのAMFから
第1のAMFを選択する。
などのパラメータに基づいてマップされたセキュリティコンテキストを導出する。マップ
されたセキュリティコンテキストは、UEのマップされたコンテキストに含まれる。本出願
のマップされたコンテキストが、4G通信システムでUEとMMEとのネゴシエーションによっ
て生成されるコンテキストに基づいて、第1のAMFとUEとによって別々に導出されるUEのセ
キュリティコンテキストであることを理解されたい。4Gコンテキストに基づいてUEのセキ
ュリティコンテキストを導出する方法については、既存のプロトコルの仕様を参照された
く、このプロセスは本出願で限定されない。マップされたセキュリティコンテキストは、
MMEとユーザ機器との間のセキュリティコンテキストに基づいて、第1のAMFとUEとによっ
て別々に得られる。加えて、本出願では、4G通信システムでUEとMMEとの間で取り決めら
れるコンテキストが、UEとMMEとの間のセキュリティコンテキストを含み、区別のため、U
Eの4Gコンテキストと呼ばれることもある。同様に、本出願では、UEが4G通信システムか
ら5G通信システムにハンドオーバされる前に、UEと第2のAMFに保存されるUEのセキュリテ
ィコンテキストは、5G通信システムでUEと第2のAMFとの間で取り決められるコンテキスト
であり、UEと第2のAMFとの間のセキュリティコンテキストを含み、区別のため、UEの5Gコ
ンテキストと呼ばれることもある。
トに基づく導出によって第1のAMFとUEによって別々に得られるセキュリティコンテキスト
がマップドセキュリティコンテキストと呼ばれ、第2のAMFとUEとの間のセキュリティコン
テキストがネイティブ(native)セキュリティコンテキストと呼ばれる。
ストを送信することに関することをさらに理解されたい。UEのセキュリティコンテキスト
はUEのコンテキストの一部であり、UEのコンテキストと共に転送されてよい。したがって
、説明を容易にするため、本出願の本実施形態において、第2のAMFによって第1のAMFへUE
のセキュリティコンテキストを送信することは、UEのコンテキストを送信することとして
、またはUEのセキュリティコンテキストを送信することとして、説明され得る。これは説
明を容易にするために使用されているにすぎず、本出願の実施形態の保護範囲を制限する
ものではない。
に基づいてUEのマップドセキュリティコンテキストを導出することは、第1のAMFがKASME
とNHとに基づいて鍵KAMF1を導出することを含む。
計算できる。導出式は、KAMF1=HMAC-SHA-256(Key,FC||P0||L0)であり、ここでFC
=0x76であり、P0=NH valueであり、L0=length of NH value(i.e. 0x00 0x20)であり
、KEY=KASMEである。第1のAMFは、鍵KAMF1とUEと取り決められたセキュリティアルゴリ
ズムとに基づいて、完全性保護鍵KNASint1と機密性保護鍵KNASenc1を計算し、KAMF1、KNA
Sint1、およびKNASenc1はUEのセキュリティコンテキストに含まれる。KAMF1、KNASint1、
およびKNASenc1は、KASMEとNHとに基づいて導出され、KASMEとNHは、UEとMMEとの間のセ
キュリティコンテキストである。したがって、KAMF1、KNASint1、およびKNASenc1は、UE
のマップドセキュリティコンテキストと呼ばれる。
を送信する。
順方向再配置応答メッセージを送信する。順方向再配置応答メッセージは、UEが4G通信シ
ステムから5G通信システムにハンドオーバされるときに、第1のAMFが5G通信システムでUE
のためにアクセスおよびモビリティ管理サービスを提供するAMFとして使用され得ること
をMMEに知らせるために使用される。
、第1のAMFがUEのためにアクセスおよびモビリティ管理サービスを提供できることを知る
。この場合、MMEはUEへハンドオーバコマンドメッセージを送信するので、UEは、UEが4G
通信システムから5G通信システムにハンドオーバできることを知る。
に保存されている鍵KASMEとNHとに基づいて、鍵KAMF1を計算する。具体的な導出プロセス
については、前述のS220を参照されたく、ここでは詳細を再度説明しない。
めに使用されてよい。
り決められる非アクセス層(non-access stratum、NAS)完全性保護アルゴリズムおよび
機密性保護アルゴリズムとに基づいて、UEと第1のAMFは、NASメッセージ(例えば、登録
要求メッセージ)を保護するために使用される完全性保護鍵KNASint1と機密性保護鍵KNAS
enc1を生成する。具体的には、KNASint1とKNASenc1は次のように計算される。
1であり、FC=0x69であり、P01=アルゴリズムタイプ区別子(algorithm type distingui
sher)であり、L01=アルゴリズムタイプ区別子の長さ(length of algorithm type dist
inguisher)(i.e. 0x00 0x01)であり、P11=アルゴリズムID(algorithm identity)で
あり、L11=アルゴリズムIDの長さ(length of algorithm identity)(i.e. 0x00 0x01
)であり、KEY=KAMF1である。
あり、FC=0x69であり、P0=アルゴリズムタイプ区別子であり、L0=アルゴリズムタイプ
区別子の長さ(i.e. 0x00 0x01)であり、P1=アルゴリズムIDであり、L1=アルゴリズム
IDの長さ(i.e. 0x00 0x01)であり、KEY=KAMF1である。
計算するためのものとは異なる。
る。UEは、第1のAMFへ登録要求(registration request)メッセージを送信し、UEは、前
述の生成されたKAMF1に基づく導出によって生成されたマップドセキュリティコンテキス
トを使用して登録要求メッセージに対してセキュリティ保護を行う。セキュリティ保護は
、暗号化保護および/または完全性保護を含む。
デバイスによって転送され得ることを理解されたい。アクセスデバイスの機能は本出願の
本実施形態で限定されないので、アクセスネットワークデバイスは、UEと第1のAMFとの間
でメッセージを転送できる。簡潔にするため、本出願では、UEと第1のAMFとの間でメッセ
ージを転送することが、UEが第1のAMFへ登録要求メッセージを送信し、MMEがUEへメッセ
ージを送信することとして説明される。UEによって送信される登録要求メッセージは、マ
ップドコンテキスト内にグローバルに一意な仮ユーザ機器ID(globally unique temporar
y user equipment identity、GUTI)をさらに含み、GUTIは、第1のAMFへ登録要求メッセ
ージを転送することを決定するためにアクセスネットワークデバイスによって使用される
。GUTIはマップドコンテキストに含まれているため、GUTIはマップドGUTIと呼ばれること
がある。
F(第2のAMF)との間のUEのセキュリティコンテキストと、ユーザ機器の5Gグローバルに
一意な仮ユーザ機器ID(5th generation globally unique temporary user equipment id
entity、5G-GUTI)とを保存する。したがって、UEは登録要求メッセージに5G-GUTIを加え
る。
を成功裏に(successfully)取得するプロセスに関することを理解されたい。したがって
、本出願では主に以下のケースが検討される。UEが第1のAMFへ登録要求メッセージを送信
するときに、UEは、UEと第2のAMFとの間で取り決められるUEのセキュリティコンテキスト
と5G-GUTIとを保存する。
、本出願の本実施形態で限定されず、既存のプロトコルで規定され得ることをさらに理解
されたい。例えば、UEが4G通信システムから5G通信システムにハンドオーバされる前に、
UEは5Gネットワーク通信システムから4G通信システムにハンドオーバされる。あるいは、
デュアル接続をサポートするUEは、非3GPP(登録商標)接続を通じて5G通信システムにア
クセスし、同時に3GPP(登録商標)接続を通じて4G通信システムにアクセスする。このよ
うにして、接続モードのUEは4G通信システムから5G通信システムにハンドオーバされる。
第1のAMFが第2のAMFからUEのセキュリティコンテキストを取得する必要があることを理解
されたい。具体的には、第1のAMFが第2のAMFからUEのセキュリティコンテキストを取得す
ることは、UEから受信される登録要求メッセージに含まれた5G-GUTIに基づいて決定され
る。5G-GUTIは、UEのために第2のAMFによって構成され、UEと第2のAMFを識別するために
使用されてよい。マップドセキュリティコンテキストは、4G通信システムのUEとMMEとの
間のUEのセキュリティコンテキストに基づくマッピングによって得られるため、プロトコ
ルで規定されているように、UEのセキュリティコンテキストが5G通信システムに存在する
場合は、第1のAMFとUEとの間のネゴシエーションによって決定されるマップドセキュリテ
ィコンテキストではなく、UEのセキュリティコンテキストが優先的に使用される。換言す
ると、図2に示されている手順は、第1のAMFがユーザ機器コンテキスト転送サービス呼び
出し要求(Namf_Communication_UEContextTransfer)を開始するS270をさらに含む。
メッセージに含まれた5G-GUTIに基づいて、第2のAMFに対してユーザ機器コンテキスト転
送サービス呼び出し要求を開始する。ユーザ機器コンテキスト転送サービス呼び出し要求
は、登録要求メッセージを保持する。
づいてセキュリティ保護され、第2のAMFが、登録要求メッセージを検証した結果に基づい
て、第1のAMFにUEのセキュリティコンテキストを返すかどうかを判定することを理解され
たい。つまり、S290が実行される。第2のAMFは登録要求メッセージを検証する。
第2のAMFは第1のAMFにUEのセキュリティコンテキストを返さない。その結果、第1のAMFは
、第2のAMFからUEのセキュリティコンテキストを取得しそこない、第1のAMFは、UEのセキ
ュリティコンテキストを優先的に使用することができない。これはプロトコルに準拠しな
い。
る。この場合、第2のAMFは、第1のAMFにUEのセキュリティコンテキストを返し、第2のAMF
が第1のAMFへUEのセキュリティコンテキストを送信するS291を実行する。任意選択として
、第2のAMFが第1のAMFへUEのセキュリティコンテキストを送信することは、第2のAMFが第
1のAMFへUEのコンテキストを送信することとして説明され得る。UEのコンテキストは、第
2のAMFとUEとのネゴシエーションを通じて決定されるUEのセキュリティコンテキストを含
み、UEのセキュリティコンテキストは、鍵KAMF2および非アクセス層カウント(non-acces
s stratum count、NAS COUNT)などを含む。
ルポリシーに従って鍵KAMF2に対して鍵導出を行ってよい。第2のAMFがKAMF2に対して鍵導
出を行った場合、第2のAMFは、導出の後に得られる鍵KAMF2’と、第2のAMFがKAMF2に対し
て鍵導出を行ったことを示すために使用される導出指示情報とを、第1のAMFへ送信する。
。
KAMF2’=HMAC-SHA-256(Key,S);
FC=0x72;
P0=0x01;
L0=length of P0(i.e. 0x00 0x01);
P1=uplink NAS COUNT;
L1=length of P1(i.e. 0x00 0x04);
KEY=KAMF2;
S=FC||P0||L0||P1||L1
で合意される鍵導出方式であってよい。例えば、第1のAMFと第2のAMFは既定の鍵導出方式
について合意する。ただし、第2のAMFによって第1のAMFへ送信されるUEのセキュリティコ
ンテキストが導出指示情報を含む場合、第1のAMFは、受信されたUEのセキュリティコンテ
キスト内の鍵が、第2のAMFによって既定の鍵導出方式で鍵導出を行うことによって得られ
たものであると判定し得る。
って鍵KAMF2’を得るようにUEに指示し、UEとネットワーク側が鍵について合意するよう
にするために、UEへ導出指示情報を送信する。UEが鍵KAMF2を示す鍵識別子を受信し、し
たがって、KAMFの代わりに鍵KAMF2に対して鍵導出を行うことを判定できることを理解さ
れたい。本出願で鍵識別子は改良されない。したがって、ここでは鍵識別子を詳しく説明
しない。
ストを取得できないことは、図2の4G通信システムから5G通信システムにユーザ機器をハ
ンドオーバするプロセスから知ることができる。UEのセキュリティコンテキストを取得し
そこなうことを回避するため、本出願の実施形態はセキュリティコンテキスト取得方法を
提供する。第1のAMFが第2のAMFからUEのセキュリティコンテキストを取得すると、セキュ
リティコンテキストは指示情報を保持する。この指示情報は、UEが成功裏に検証されたこ
とを示す。指示情報に基づいて、第2のAMFはUEを検証する必要はないが、UEのセキュリテ
ィコンテキストをそのまま返す。これは、UEのセキュリティコンテキストを取得しそこな
う可能性を回避できる。
証することを、例えば、登録要求メッセージを復号することを、および/または登録要求
メッセージの完全性を検証することを、意味することを理解されたい。登録要求メッセー
ジの完全性が成功裏に検証されるという前提は、登録要求メッセージが成功裏に復号され
ることであるため、本出願の本実施形態において、UEが成功裏に検証されるということは
、登録要求メッセージの完全性が成功裏に検証されることとして説明される。
方法を詳しく説明する。図3は、本出願の一実施形態によるセキュリティコンテキスト取
得方法の概略図である。この概略図は、UEと、MMEと、第1のAMFと、第2のAMFとを含む。
めに使用される。第2の要求メッセージは指示情報を保持し、指示情報はUEが検証済みで
あることを示すために使用される。
る登録要求メッセージが既定の条件を満たすかどうかを判定することである。第1のAMFが
第2のAMFへ第2の要求メッセージを送信する前に、図3に示されている方法手順がS311~S3
16をさらに含むことを理解されたい。
S210と同様であり、ここでは詳細を再度説明しない。
のS220と同様であり、ここでは詳細を再度説明しない。
S230と同様であり、ここでは詳細を再度説明しない。
40と同様であり、ここでは詳細を再度説明しない。
と同様であり、ここでは詳細を再度説明しない。
様であり、ここでは詳細を再度説明しない。
第1のAMFが登録要求メッセージの完全性保護を成功裏に検証することを、または、
登録要求メッセージが、UEが4G通信システムから5G通信システムにハンドオーバされた
後にUEによって送信された登録要求メッセージであると第1のAMFが判定することを、含む
。例えば、第1のAMFは、UEによって送信される登録要求メッセージを受信する前に、MME
によって送信される順方向再配置要求メッセージを受信する。したがって、第1のAMFは、
現在受信されている登録要求メッセージが、ハンドオーバ手順でUEから受信される登録要
求メッセージであることを知ることができる。
第1のAMFがUEを成功裏に検証することと呼ばれることもある。換言すると、図3に示され
ている方法手順は、第1のAMFがUEを検証するS317をさらに含む。
開始されるユーザ機器コンテキスト転送サービス呼び出し要求(Namf_Communication_UEC
ontextTransfer)である。図2に示されているユーザ機器コンテキスト転送サービス呼び
出し要求とは異なり、本出願の本実施形態におけるユーザ機器コンテキスト転送サービス
呼び出し要求は、新たに追加される情報要素(information element、IE)を、すなわち
指示情報を、含む。
信され、UEのセキュリティコンテキストを取得するために使用される、別の可能な第2の
要求メッセージである。
示情報は、第1のAMFと第2のAMFとの間の既存のシグナリングに加えられてよく、または第
1のAMFと第2のAMFとの間に新たに加えられるシグナリングに加えられてもよい。
機器コンテキスト転送サービス呼び出し要求を送信する前に、第2のAMFへ指示情報を送信
する必要があることのみが限定される。換言すると、第1のAMFは、第2の要求メッセージ
に指示情報を加えず、第2のAMFへ指示情報をそのまま送信できる。この可能な実装は図3
に示されていない。
さらに理解されたい。可能な一実装において、指示情報はUEの5G-GUTIであってよい。こ
の場合、5G-GUTIは、UEを識別し、UEが検証済みであることを示すために使用されてよい
。この実装では、既存のIEに新しい指示機能が追加され、5G-GUTIが新しい機能を有する
ことが、規定の方式で、第2のAMFに通知されてよい。別の可能な一実装において、指示情
報は、少なくとも1つの新たに追加されるビットであってよく、このビットの値は、UEが
検証済みであることを示すために、1に設定される。前述の可能な実装は説明のための例
にすぎず、本出願の保護範囲を制限するものではない。
は、別の可能な一実装において、指示情報は、UEが検証済みであることを暗黙的に示す。
例えば、指示情報は、UEから第1のAMFによって受信される登録要求メッセージの完全性が
成功裏に検証されたことを示す。
判定できるようにするには、第2の要求メッセージがUEのIDをさらに保持する必要がある
。
dentity、SUPI)であってよい。
テキストを取得する必要があると判定した場合に、UEの5G-GUTI、UEのSUPI、またはUEの5
G-GUTIとSUPIの両方を第2の要求メッセージに加え続けることを選択できることを理解さ
れたい。
ess stratum count、UL NAS COUNT)を取得できるようにするために、可能な一実装では
、第2の要求メッセージがプレーンテキスト登録要求メッセージを保持し、このプレーン
テキスト登録要求メッセージがUL NAS COUNTを含み、または、可能な一実装では、第2の
要求メッセージがUL NAS COUNTを含む。
に、指示情報に基づいて、UEが検証済みであることを知る。この場合、第2のAMFはUEを検
証する必要がない、つまり、UEを検証する必要がないと第2のAMFが判定するS320を実行す
る。
のAMFによって送信される第2の要求メッセージを受信した後に、第1のAMFにUEのセキュリ
ティコンテキストをそのまま返す。これは、第2のAMFがUEの検証に失敗したため、第1のA
MFがUEのセキュリティコンテキストを取得しそこなう状況を回避する。
する場合、または第2の要求メッセージがUL NAS COUNTを保持する場合、第2のAMFはUL NA
S COUNTを取得できる。例えば、プレーンテキスト登録要求メッセージはセキュリティ保
護が行われない登録要求メッセージであるため、第2のAMFはプレーンテキスト登録要求メ
ッセージを検証する必要がなく、プレーンテキスト登録要求メッセージからUL NAS COUNT
を直接取得できる。
1の鍵に対して鍵導出を行うことができる。この場合、第2のAMFによって第1のAMFに返さ
れるUEのセキュリティコンテキスト内の鍵は、第1の鍵に対して鍵導出を行うことによっ
て得られる第2の鍵である。
の鍵が第2の鍵である場合は、第2のAMFはさらに、第2の鍵が鍵導出によって得られた鍵で
あることを示すために、第1のAMFへ鍵導出指示情報を送信する必要がある。
5G通信システムにUEをハンドオーバする既存の手順で第1のAMFがUEのセキュリティコンテ
キストを取得した後の手順と同様であることを理解されたい。詳細については、既存の手
順を参照されたい。ここでは詳細を再度説明しない。
Fへ送信される第2の要求メッセージが指示情報を保持し、指示情報は、UEが検証済みであ
ることを示すために使用される。したがって、第2のAMFは、指示情報に基づいて、UEが検
証済みであることを判定でき、UEを検証する必要はない。第2のAMFは、指示情報を保持す
る第2の要求メッセージを受信した後に、第1のAMFにUEのセキュリティコンテキストをそ
のまま返す。これは、第2のAMFがUEの検証に失敗したため、第1のAMFがUEのセキュリティ
コンテキストを取得しそこなう状況を回避する。本出願は、第2のAMFがUEを検証する別の
セキュリティコンテキスト取得方法をさらに提供する。しかしながら、この方法は、第2
のAMFがUEを成功裏に検証する可能性を高めることができ、これにより、第1のAMFが第2の
AMFからユーザ機器のセキュリティコンテキストを成功裏に取得する可能性が高まる。
は、本出願の一実施形態による別のセキュリティコンテキスト取得方法の概略図である。
この概略図は、UEと、MMEと、第1のAMFと、第2のAMFとを含む。
セージには、第1のセキュリティコンテキストを使用して完全性保護が行われ、第1のセキ
ュリティコンテキストは、UEと第2のAMFとの間のネイティブ(native)セキュリティコン
テキストである。
ッセージを決定することである。第2の登録要求メッセージは、UEがネイティブセキュリ
ティコンテキストを使用して第4の登録要求メッセージに対して完全性保護を行った後に
得られるメッセージである。第4の登録要求メッセージは、GUTIと、鍵識別子(ngKSI)情
報と、UEと第2のAMFとの間のUEのコンテキスト内にあるUL NAS COUNTとを含む。区別を容
易にするため、このGUTIはネイティブGUTIと呼ばれることがあり、鍵識別子はネイティブ
鍵識別子と呼ばれることがある。
第4の登録要求メッセージは、ネイティブGUTIと、ネイティブ鍵識別子と、UL NAS COUN
Tとに基づいてUEによって生成されるメッセージである。ケース1では、第4の登録要求メ
ッセージが第4のメッセージと呼ばれることがあり、または別の可能な名称を持つことも
ある。メッセージの名称は本出願の本実施形態で限定されない。
求メッセージが、代わりに、別の形式であってもよいことを理解されたい。例えば、ネイ
ティブGUTI、ネイティブ鍵識別子、およびUL NAS COUNTに加えて、UEによって生成される
第4の登録要求メッセージは別の情報要素(information element、IE)をさらに含む。
セージに対して完全性保護を行うことは、UEが、第1のセキュリティコンテキストに基づ
いて第4の登録要求メッセージに対して完全性保護を行うことと、第1のMACを生成するこ
ととを含む。したがって、第1の登録要求メッセージで第2の登録要求メッセージを保持す
ることは、第1の登録要求メッセージで第1のMACと第4の登録要求メッセージを保持するこ
ととしても理解され得る。
含む。
UEは第4の登録要求メッセージを構築する。
UEは、UEと第2のAMFとの間のセキュリティコンテキストに基づいて、第4の登録要求メ
ッセージに対して完全性保護を行い、第1のMACを生成する。
UEは、UEと第1のAMFとの間のマップドセキュリティコンテキストに基づいて、第3の登
録要求メッセージと第2の登録要求メッセージ(RR2)に対して完全性保護を行い、第5のM
ACを生成する。第3の登録要求メッセージは、図2に示されている方法手順S260でUEによっ
て第1のAMFへ送信される登録要求メッセージである。具体的には、第3の登録要求メッセ
ージは、UEと第1のAMFとの間のマップドコンテキスト内にあるGUTIと鍵識別子情報とを含
む。区別を容易にするため、このGUTIはマップドGUTIと呼ばれることがあり、鍵識別子は
マップド鍵識別子と呼ばれることがある。
録要求メッセージ(RR3)と、第5のMAC(MAC5)と、第1のMAC(MAC1)とを含む。MAC1は
、ネイティブセキュリティコンテキストを使用してRR4に対して完全性保護を行うことに
よって得られるMAC値である。MAC5は、マップドセキュリティコンテキストを使用してRR3
とRR2に対して完全性保護を行うことによって得られるMAC値である(またはMAC5は、マッ
プドセキュリティコンテキストを使用してRR3とRR4とMAC1に対して完全性保護を行うこと
によって得られるMAC値である)。第1の登録要求メッセージが、ネイティブセキュリティ
コンテキストとマップドセキュリティコンテキストとに基づいて完全性保護が順次行われ
るメッセージであることも理解され得る。
第4の登録要求メッセージは、UEがマップドセキュリティコンテキストに基づいて第3の
登録要求メッセージに対して完全性保護を行った後に得られる登録要求メッセージである
。
セージに対して完全性保護を行うことは、UEが、第1のセキュリティコンテキストに基づ
いて第4の登録要求メッセージに対して完全性保護を行うことと、第1のMACを生成するこ
ととを含む。したがって、第1の登録要求メッセージで第2の登録要求メッセージを保持す
ることは、第1の登録要求メッセージで第1のMACと第4の登録要求メッセージを保持するこ
ととしても理解され得る。
含む。
UEは、UEと第1のAMFとの間のマップドセキュリティコンテキストに基づいて、第3の登
録要求メッセージに対して完全性保護を行い、第3のMACを生成する。
UEは、UEと第2のAMFとの間のネイティブセキュリティコンテキストに基づいて、ステッ
プ1でマップドセキュリティコンテキストに基づいて完全性保護が行われる第3の登録要求
メッセージに対して完全性保護を行い、第1のMACを生成する。
C(MAC3)と、第1のMAC(MAC1)とを含む。MAC3は、マップドセキュリティコンテキスト
を使用してRR3に対して完全性保護を行うことによって得られるMAC値である。MAC1は、ネ
イティブセキュリティコンテキストを使用してRR3とMAC3に対して完全性保護を行うこと
によって得られるMAC値である。第1の登録要求メッセージが、マップドセキュリティコン
テキストとネイティブセキュリティコンテキストとに基づいて完全性保護が順次行われる
メッセージであることも理解され得る。
第4の登録要求メッセージは第3の登録要求メッセージである。第3の登録要求メッセー
ジは、図2に示されている方法手順S260でUEによって第1のAMFへ送信される登録要求メッ
セージである。
セージに対して完全性保護を行うことは、UEが、第1のセキュリティコンテキストに基づ
いて第4の登録要求メッセージに対して完全性保護を行うことと、第1のMACを生成するこ
ととを含む。したがって、第1の登録要求メッセージで第2の登録要求メッセージを保持す
ることは、第1の登録要求メッセージで第1のMACと第4の登録要求メッセージを保持するこ
ととしても理解され得る。
含む。
UEは、UEと第2のAMFとの間のネイティブセキュリティコンテキストに基づいて、第3の
登録要求メッセージに対して完全性保護を行い、第1のMACを生成する。
UEは、UEと第1のAMFとの間のマップドセキュリティコンテキストに基づいて、ステップ
1でネイティブセキュリティコンテキストに基づいて完全性保護が行われる第3の登録要求
メッセージに対して完全性保護を行い、第4のMACを生成する。
C(MAC1)と、第4のMAC(MAC4)とを含む。MAC1は、ネイティブセキュリティコンテキス
トを使用してRR3に対して完全性保護を行うことによって得られるMAC値である。MAC4は、
マップドセキュリティコンテキストを使用してRR3とMAC1に対して完全性保護を行うこと
によって得られるMAC値である。第1の登録要求メッセージが、ネイティブセキュリティコ
ンテキストとマップドセキュリティコンテキストとに基づいて完全性保護が順次行われる
メッセージであることも理解され得る。
ップドGUITIとネイティブGUTIの両方に基づいて、ネイティブセキュリティコンテキスト
を使用して完全性が保護される第2の登録要求メッセージを、第2のAMFへ送信することを
決定できることを理解されたい。
登録要求メッセージをどのように決定するかを説明するための例にすぎないことをさらに
理解されたい。第2の登録要求の別の説明されていない可能な形式も本出願の保護範囲内
に入る。例えば、第4の登録要求メッセージは、nativeコンテキストに基づいてUEによっ
て構築される別の可能なメッセージである。
。
デバイスによって転送され得ることを理解されたい。アクセスネットワークデバイスの機
能は本出願で限定されない。したがって、UEによって第1のAMFへ送信される第1の登録要
求メッセージがアクセスネットワークデバイスによって転送され得ることは、UEが第1のA
MFへ第1の登録要求メッセージを送信することとして直接的に説明される。
コンテキストを決定する必要があることをさらに理解されたい。したがって、UEが第1のA
MFへ第1の登録要求メッセージを送信する前に、図4に示されている方法手順は、S411から
S414をさらに含む。
S210と同様であり、ここでは詳細を再度説明しない。
のS220と同様であり、ここでは詳細を再度説明しない。
S230と同様であり、ここでは詳細を再度説明しない。
40と同様であり、ここでは詳細を再度説明しない。
リティコンテキストを導出する。さらに、UEは、ネイティブセキュリティコンテキストと
マップドセキュリティコンテキストを使用することによって、第1の登録要求メッセージ
に対してセキュリティ保護を行う。
る第1の登録要求メッセージが既定の条件を満たすかどうかを判定することである。第1の
登録要求メッセージが既定の条件を満たすと第1のAMFが判定することは、
第1のAMFが、マップドセキュリティコンテキストに基づいて、第1の登録要求メッセー
ジの完全性保護を成功裏に検証すること、または
第1の登録要求メッセージが、4G通信システムから5G通信システムにUEがハンドオーバ
された後にUEによって送信される登録要求メッセージであると第1のAMFが判定することを
含む。例えば、第1のAMFは、UEによって送信される第1の登録要求メッセージを受信する
前に、MMEによって送信される順方向再配置要求メッセージを受信する。したがって、第1
のAMFは、現在受信されている第1の登録要求メッセージが、ハンドオーバ手順でUEから受
信される登録要求メッセージであることを知ることができる。
セージを送信し、第2の登録要求メッセージは、UEを検証するために第2のAMFによって使
用される。換言すると、図4に示されている方法手順は、第1のAMFが第2のAMFへ第2の要求
メッセージを送信するS440をさらに含む。
によって第2のAMFへ送信される。
開始されるユーザ機器コンテキスト転送サービス呼び出し要求(Namf_Communication_UEC
ontextTransfer)である。図2に示されているユーザ機器コンテキスト転送サービス呼び
出し要求とは異なり、本出願の本実施形態におけるユーザ機器コンテキスト転送サービス
呼び出し要求は、新たに追加される情報要素を、すなわち第1のMACを、含む。
信され、UEのセキュリティコンテキストを取得するために使用される、別の可能な第1の
要求メッセージである。
のMACは、第1のAMFと第2のAMFとの間の既存のシグナリングに加えられてよく、または第1
のAMFと第2のAMFとの間に新たに加えられるシグナリングに加えられてもよい。
判定できるようにするため、第1の要求メッセージはUEのIDをさらに保持する。具体的に
は、UEのIDは、第1のAMFによって第2のAMFへ送信される第2の登録要求メッセージに含ま
れる。
コンテキストを取得する必要があると判定する場合に、第1のAMFが、UEのマップドGUTI、
UEのSUPI、またはUEのマップドGUTIとSUPIの両方を第1の要求メッセージに加え続けるこ
とを選択できることを理解されたい。
第1の登録要求メッセージである場合に、第1の登録要求メッセージが第2の登録要求メッ
セージを保持し、第2の登録要求メッセージがネイティブGUTIを含むことをさらに理解さ
れたい。この場合、第1のAMFは、UEのネイティブGUTIを第1の要求メッセージに加えるこ
とを選択できる。
AMFは、UEのUL NAS COUNTを取得できる。
に、第2の登録要求メッセージの完全性検証結果に基づいて、UEが検証済みであるかどう
かを判定する。具体的には、第2のAMFはS450を実行する、つまり、第2の登録要求メッセ
ージの完全性を検証する。
2の登録要求メッセージの完全性を検証する。例えば、第2のAMFは、ネイティブに保存さ
れたセキュリティコンテキストに基づいて第2のMACを生成し、第1のMACを第2のMACと比較
する。第1のMACが第2のMACと等しければ、第2のAMFは、UEを成功裏に検証し、UEが検証済
みであると判定する。この場合、第2のAMFは第1のAMFへUEのセキュリティコンテキストを
送信する。
づいてUEによって生成されるMACであり、第2のMACが、UEと第2のAMFとの間で取り決めら
れるUEのセキュリティコンテキストに基づいて第2のAMFによって生成されるMACであるこ
とを理解されたい。したがって、第1のMACが第2のMACと等しい可能性は高い。この場合、
第2のAMFはUEを成功裏に検証でき、送信エラーなどの確率の低い事象のために第2のAMFが
UEの検証に失敗しない限りは、UEのセキュリティコンテキストを第1のAMFに返す。図2に
示されている方法手順と比較して、図4に示されているセキュリティコンテキスト取得方
法は、第1のAMFが第2のAMFからユーザ機器のセキュリティコンテキストを成功裏に取得す
る可能性を高める。
する、つまり、第1のAMFへユーザUEのセキュリティコンテキストを送信する。
MFが第1のAMFへUEのコンテキストを送信できる。
ト内の第1の鍵に対して鍵導出を行うことができる。この場合、第2のAMFによって第1のAM
Fに返されるUEのセキュリティコンテキスト内の鍵は、第1の鍵に対して鍵導出を行うこと
によって得られる第2の鍵である。本出願の本実施形態において、鍵導出によって生成さ
れる第2の鍵を含むUEのセキュリティコンテキストは、第2のセキュリティコンテキストと
呼ばれることがある。換言すると、第2のAMFによって第1のAMFへ送信されるUEのセキュリ
ティコンテキストは、鍵導出を受けない可能性があり、第2のAMFにネイティブに保存され
ている第2のAMFとUEとの間のUEのセキュリティコンテキストであってよく、または第2のA
MFが、ローカルポリシーに従って、ネイティブに保存された第2のAMFとUEとの間のUEのセ
キュリティコンテキスト内の鍵に対して鍵導出を行って導出された鍵を生成する場合の、
第2のセキュリティコンテキストであってもよい。
の鍵が第2の鍵である場合は、第2のAMFはさらに、第2の鍵が鍵導出によって得られた鍵で
あることを示すために、第1のAMFへ鍵導出指示情報を送信する必要がある。
5G通信システムにUEをハンドオーバする既存の手順で第1のAMFがUEのセキュリティコンテ
キストを取得した後の手順と同様であることを理解されたい。詳細については、既存の手
順を参照されたい。ここでは詳細を再度説明しない。
を取り決める。具体的には、第1のAMFはUEへ非アクセス層セキュリティモードコマンド(
non-access stratum secure mode command、NAS SMC)メッセージを送信し、UEはNAS SMC
メッセージの完全性を検証する。UEは、NAS SMCメッセージを成功裏に検証した後に、第1
のAMFへ非アクセス層セキュリティモード完了(non-access layer security mode comple
te)メッセージを送信する。
すると、第2のAMFが第2の登録要求メッセージの完全性の検証に失敗したことを第1のAMF
に知らせるために、第1のAMFへ失敗指示情報を送信する。
指示情報を第1のAMFが受信した後に、第1のAMFは、ローカルポリシーに従って、第1のAMF
がマップドセキュリティコンテキストを引き続き使用できると判定し、または第1のAMFは
、ローカルポリシーに従って、UEに対して初期認証を開始することを決定し、第1のAMFと
UEの間の新しいセキュリティコンテキストを生成する。
いことを理解されたい。プロセスの実行順序は、プロセスの機能と内部ロジックとに基づ
いて決定されるべきであり、本出願の実施形態の実施過程に対する制限として解釈される
べきではない。
を詳しく説明した。以下では、図5から図10を参照して、本出願の実施形態のセキュリテ
ィコンテキスト取得装置を詳しく説明する。
れているように、装置50は、送信ユニット510と、処理ユニット520と、受信ユニット530
とを含む。
。
るように構成される。
態におけるユーザ機器であってよく、または方法の実施形態におけるユーザ機器内のチッ
プもしくは機能モジュールであってもよい。装置50の対応するユニットは、図3および図4
に示されている方法の実施形態でユーザ機器によって実行される対応するステップを実行
するように構成される。
テップを実行する。例えば、送信ユニット510は、図3で第1のAMFへ登録要求メッセージを
送信するステップS316と、図4で第1のAMFへ第1の登録要求メッセージを送信するステップ
S420とを実行する。
テップを実行する。例えば、処理ユニット520は、図3でマップドセキュリティコンテキス
トを決定するステップS315と、図4で第1の登録要求メッセージを決定するステップS410と
を実行する。
実行する。例えば、受信ユニット530は、図3でMMEによって送信されるハンドオーバコマ
ンドメッセージを受信するステップ314と、図4でMMEによって送信されるハンドオーバコ
マンドメッセージを受信するステップ414とを実行する。
方を有するトランシーバユニットを構成してよい。処理ユニット520はプロセッサであっ
てよい。送信ユニット510は送信機であってよく、受信ユニット530は受信機であってよい
。受信機と送信機とは一体化されてトランシーバを構成してよい。
器60は図1に示されているシステムに適用されてよい。説明を容易にするため、図6はユー
ザ機器の主要なコンポーネントのみを示している。図6に示されているように、ユーザ機
器60は、プロセッサ(図5の処理ユニット520に対応)と、メモリと、制御回路と、アンテ
ナと、入出力装置(図5の送信ユニット510および受信ユニット530に対応)とを含む。プ
ロセッサは、信号を送受信するようにアンテナと入出力装置とを制御するように構成され
る。メモリは、コンピュータプログラムを記憶するように構成される。プロセッサは、本
出願で提供されるセキュリティコンテキスト取得方法でユーザ機器によって実行される対
応する手順および/または動作を実行するために、メモリからコンピュータプログラムを
呼び出し、なおかつコンピュータプログラムを実行するように構成される。ここでは詳細
を再度説明しない。
サを示していることを理解できるだろう。実際のユーザ機器は、複数のプロセッサと複数
のメモリを有してよい。メモリは、記憶媒体または記憶デバイスなどと呼ばれることもあ
る。これは、本出願の本実施形態で限定されない。
れているように、装置70は、受信ユニット710と、処理ユニット720と、送信ユニット730
とを含む。
、第1の登録要求メッセージが第2の登録要求メッセージを保持し、第2の登録要求メッセ
ージには第1のセキュリティコンテキストを使用して完全性保護が行われ、第1のセキュリ
ティコンテキストがユーザ機器と第2のAMFとの間のネイティブセキュリティコンテキスト
であり、第1のAMFが、4G通信システムから5G通信システムにユーザ機器がハンドオーバさ
れた後にユーザ機器のためにアクセスおよびモビリティ管理サービスを提供するAMFであ
る、ように構成される。
。
。
における第1のAMFであってよく、または方法の実施形態における第1のAMF内のチップもし
くは機能モジュールであってもよい。装置70の対応するユニットは、図3および図4に示さ
れている方法の実施形態で第1のAMFによって実行される対応するステップを実行するよう
に構成される。
ップを実行する。例えば、受信ユニット710は、図3でMMEによって送信される順方向再配
置要求メッセージを受信するステップS311と、図4でMMEによって送信される順方向再配置
要求メッセージを受信するステップS411と、図3でUEによって送信される登録要求メッセ
ージを受信するステップS316と、図3でUEによって送信される第1の登録要求メッセージを
受信するステップS420と、図3で第2のAMFによって送信される第2の応答メッセージを受信
するステップS330と、図4で第2のAMFによって送信されるUEのセキュリティコンテキスト
を受信するステップS460とを実行する。
ップを実行する。例えば、処理ユニット720は、図3でマップドセキュリティコンテキスト
を決定するステップS312と、図4でマップドセキュリティコンテキストを決定するステッ
プS412と、図3でUEを検証するステップS317と、図4でUEを検証するステップS430とを実行
する。
行する。例えば、送信ユニット730は、図3でMMEへ順方向再配置応答メッセージを送信す
るステップS313と、図4でMMEへ順方向再配置応答メッセージを送信するステップS413と、
図3で第2のAMFへ第2の要求メッセージを送信するステップS310と、図4で第2のAMFへ第2の
登録要求メッセージを送信するステップS440とを実行する。
バユニットを構成してよい。処理ユニット720はプロセッサであってよい。送信ユニット7
30は送信機であってよい。受信ユニット710は受信機であってよい。受信機と送信機とは
一体化されてトランシーバを構成してよい。
のAMF 80は、プロセッサ810と、メモリ820と、トランシーバ830とを含む。メモリ820は命
令またはプログラムを記憶し、プロセッサ830は、メモリ820に記憶された命令またはプロ
グラムを実行するように構成される。メモリ820に記憶された命令またはプログラムが実
行されると、トランシーバ830は、図7に示されている装置70内の受信ユニット710および
送信ユニット730によって実行される動作を実行するように構成される。
れているように、装置90は、受信ユニット910と、処理ユニット920と、送信ユニット930
とを備える。
第2の登録要求メッセージには第1のセキュリティコンテキストを使用して完全性保護が行
われ、第1のセキュリティコンテキストがユーザ機器と第2のAMFとの間のネイティブセキ
ュリティコンテキストである、ように構成される。
検証した場合に、第1のAMFへユーザ機器のセキュリティコンテキストを送信するように構
成される。
における第2のAMFであってよく、または方法の実施形態における第2のAMF内のチップもし
くは機能モジュールであってもよい。装置90の対応するユニットは、図3および図4に示さ
れている方法の実施形態で第2のAMFによって実行される対応するステップを実行するよう
に構成される。
ップを実行する。例えば、受信ユニット910は、図3で第1のAMFによって送信される第2の
要求メッセージを受信するステップS310と、図4で第1のAMFによって送信される第2の登録
要求メッセージを受信するステップS440とを実行する。
ップを実行する。例えば、処理ユニット920は、図3でUEを検証する必要がないと判定する
ステップS320と、図4で第2の登録要求メッセージの完全性を検証するステップS450とを実
行する。
行する。例えば、送信ユニット930は、図3で第1のAMFへ第2の応答メッセージを送信する
ステップS330と、図4で第1のAMFへUEのセキュリティコンテキストを送信するステップS46
0とを実行する。
バユニットを構成してよい。処理ユニット920はプロセッサであってよい。送信ユニット9
30は送信機であってよく、受信ユニット910は受信機であってよい。受信機と送信機とは
一体化されてトランシーバを構成してよい。
2のAMF 100は、プロセッサ1010と、メモリ1020と、トランシーバ1030とを含む。メモリ10
20は命令またはプログラムを記憶し、プロセッサ1030は、メモリ1020に記憶された命令ま
たはプログラムを実行するように構成される。メモリ1020に記憶された命令またはプログ
ラムが実行されると、トランシーバ1030は、図9に示されている装置90内の受信ユニット9
10および送信ユニット930によって実行される動作を実行するように構成される。
読記憶媒体は命令を記憶する。命令がコンピュータで実行されると、コンピュータは、図
3および図4に示されている方法で第1のAMFによって実行されるステップを実行できるよう
になる。
読記憶媒体は命令を記憶する。命令がコンピュータで実行されると、コンピュータは、図
3および図4に示されている方法で第2のAMFによって実行されるステップを実行できるよう
になる。
のコンピュータプログラム製品がコンピュータで実行すると、コンピュータは、図3およ
び図4に示されている方法で第1のAMFによって実行されるステップを実行できるようにな
る。
のコンピュータプログラム製品がコンピュータで実行すると、コンピュータは、図3およ
び図4に示されている方法で第2のAMFによって実行されるステップを実行できるようにな
る。
、本出願で提供されるセキュリティコンテキスト取得方法で第2のAMFによって実行される
対応する動作および/または手順を実行するために、メモリに記憶されたコンピュータプ
ログラムを読み取り、なおかつコンピュータプログラムを実行するように構成される。任
意選択として、チップはメモリをさらに含む。メモリは、回路またはケーブルを通じてプ
ロセッサに接続される。プロセッサは、メモリからコンピュータプログラムを読み取り、
なおかつコンピュータプログラムを実行するように構成される。任意選択として、チップ
は通信インターフェイスをさらに含む。プロセッサは通信インターフェイスに接続される
。通信インターフェイスは、処理される必要があるデータおよび/または情報を受信する
ように構成される。プロセッサは通信インターフェイスからデータおよび/または情報を
取得し、データおよび/または情報を処理する。通信インターフェイスは入出力インター
フェイスであってよい。
供されるセキュリティコンテキスト取得方法で第1のAMFによって実行される対応する動作
および/または手順を実行するために、メモリに記憶されたコンピュータプログラムを呼
び出し、なおかつコンピュータプログラムを実行するように構成される。任意選択として
、チップはメモリをさらに含む。メモリは、回路またはケーブルを通じてプロセッサに接
続される。プロセッサは、メモリからコンピュータプログラムを読み取り、なおかつコン
ピュータプログラムを実行するように構成される。任意選択として、チップは通信インタ
ーフェイスをさらに含む。プロセッサは通信インターフェイスに接続される。通信インタ
ーフェイスは、処理される必要があるデータおよび/または情報を受信するように構成さ
れる。プロセッサは通信インターフェイスからデータおよび/または情報を取得し、デー
タおよび/または情報を処理する。通信インターフェイスは入出力インターフェイスであ
ってよい。
よって、ユニットとアルゴリズムのステップが、電子ハードウェア、またはコンピュータ
ソフトウェアと電子ハードウェアとの組み合わせによって実装され得ることに気付くこと
ができる。機能がハードウェアとソフトウェアのどちらによって実装されるかは、技術的
なソリューションの具体的な用途と設計上の制約に左右される。当業者なら、具体的な用
途ごとに様々な方法を用いて説明されている機能を実装できるが、かかる実装は本出願の
範囲を越えると見なされるべきではない。
スについては、上述の方法の実施形態における対応するプロセスを参照するべきであるこ
とは当業者によって明確に理解され得るし、ここでは詳細を再度説明しない。
よび方法が、別の方式で実装されてもよいことを理解されたい。例えば、説明されている
装置の実施形態は一例にすぎない。例えば、ユニットへの分割は、論理的な機能の分割に
すぎず、実際の実装では別の分割であってもよい。例えば、複数のユニットまたはコンポ
ーネントが別のシステムに組み合わされてもよく、もしくは別のシステムに統合されても
よく、または一部の機能は無視されてもよく、もしくは実行されなくてもよい。加えて、
表示または論述されている相互結合または直接結合または通信接続は、いくつかのインタ
ーフェイスを使用して実施されてよい。装置間またはユニット間の間接的結合または通信
接続は、電気的形態、機械的形態、またはその他の形態で実装されてよい。
てもよく、ユニットとして表示されている部分は物理的なユニットであってもなくてもよ
く、一箇所に置かれてもよく、または複数のネットワークユニット上に分散されてもよい
。実施形態のソリューションの目的を達成するために、ユニットの一部または全部が実際
の要件に基づいて選択されてよい。
またはユニットの各々が物理的に単独で存在してもよく、または2つ以上のユニットが1つ
のユニットに統合される。
される場合は、機能がコンピュータ可読記憶媒体に記憶されてよい。そうした理解に基づ
き、本出願の技術なソリューションは本質的に、または先行技術に寄与する部分は、また
は技術的なソリューションの一部は、ソフトウェア製品の形で実装されてよい。ソフトウ
ェア製品は記憶媒体に記憶され、本出願の実施形態で説明されている方法のステップの全
部または一部を実行することをコンピュータデバイス(パーソナルコンピュータ、サーバ
、またはネットワークデバイスなどであってよい)に命令するいくつかの命令を含む。前
述の記憶媒体は、USBフラッシュドライブ、リムーバブルハードディスク、読み取り専用
メモリ(Read-Only Memory、ROM)、ランダムアクセスメモリ((R)ANdom Access Memor
y、RAM)、磁気ディスク、または光ディスクなど、プログラムコードを記憶できる何らか
の媒体を含む。
る関連関係を記述するものであり、3つの関係が存在し得ることを表す。例えば、Aおよび
/またはBは、以下の3つの場合を、すなわち、Aのみが存在する場合と、AとBの両方が存
在する場合と、Bのみが存在する場合とを表すことができる。加えて、本明細書における
文字「/」は通常、関連する対象間の「または」の関係を示す。本出願における「少なく
とも1つ」という用語は、「1つ」と「2つ以上」を表すことができる。例えば、A、B、お
よびCのうちの少なくとも1つは、Aのみが存在し、Bのみが存在し、Cのみが存在し、AとB
の両方が存在し、AとCの両方が存在し、CとBが存在し、AとBとCが存在することを表すこ
とができる。
ない。本出願で開示されている技術的範囲の中で当業者によって容易く考え出されるバリ
エーションや置換は、本出願の保護範囲内に入るものとする。したがって、本出願の保護
範囲は請求項の保護範囲に従うものとする。
60 ユーザ機器
70 セキュリティコンテキスト取得装置
80 第1のAMF
90 セキュリティコンテキスト取得装置
100 第2のAMF
110 ユーザ機器
120 エレメント
130 ユーザプレーンネットワークエレメント
140 データネットワークエレメント
150 モビリティ管理ネットワークエレメント
160 セッション管理ネットワークエレメント
170 ポリシーコントロールネットワークエレメント
180 認証サーバ
190 データ管理ネットワークエレメント
510 送信ユニット
520 処理ユニット
530 受信ユニット
710 受信ユニット
720 処理ユニット
730 送信ユニット
810 プロセッサ
820 メモリ
830 トランシーバ
910 受信ユニット
920 処理ユニット
930 送信ユニット
1010 プロセッサ
1020 メモリ
1030 トランシーバ
1100 アプリケーションネットワークエレメント
Claims (17)
- セキュリティコンテキスト取得方法であって、
第1のアクセスおよびモビリティ管理機能(AMF)がユーザ機器(UE)から第1の登録要求メッセージを受信して、前記第1の登録要求メッセージの完全性を成功裏に検証した後、第2のAMFにより、前記第1のAMFから第2の要求メッセージを受信するステップであって、前記UEが4G通信システムから5G通信システムへハンドオーバされた後、前記第1のAMFは前記UEから前記第1の登録要求メッセージを受信する、ステップと、
前記第2の要求メッセージが指示情報を伝送し、前記指示情報が、前記UEが検証済みであることを示すために使用される場合、前記第2のAMFにより、前記UEの検証をスキップし、前記第2のAMFにより、前記第2の要求メッセージに基づいて、前記第1のAMFへ前記UEのネイティブセキュリティコンテキストを送信するステップと
を含む方法。 - 前記UEの検証をスキップする前記ステップが、
前記第2の要求メッセージの完全性を検証することをスキップするステップ
を含む、請求項1に記載の方法。 - 前記第1のAMFが前記第1の登録要求メッセージを受信した後であって、前記第2のAMFが前記第2の要求メッセージを受信する前は、前記第2のAMFは前記UEを検証していない、請求項1または2に記載の方法。
- 前記UEが4G通信システムから5G通信システムへハンドオーバされることは、前記UEが接続モードのときに前記UEが4G通信システムから5G通信システムへハンドオーバされることを含む、請求項1から3のいずれか一項に記載の方法。
- 前記第1の登録要求メッセージを受信したことに応答して前記第1のAMFが前記第1の登録要求メッセージの前記完全性を検証する、請求項1から4のいずれか一項に記載の方法。
- 前記第2の要求メッセージは、前記UEの5G GUTI(globally unique temporary user equipment identity)を含み、
前記第2のAMFにより、前記第1のAMFへ前記UEのネイティブセキュリティコンテキストを送信する前記ステップよりも前に、前記方法は、
前記第2のAMFにより、前記第2の要求メッセージの前記5G GUTIに基づいて、前記UEの前記ネイティブセキュリティコンテキストを決定するステップ
をさらに含む、請求項1から5のいずれか一項に記載の方法。 - 前記指示情報が、ユーザ機器(UE)が検証済みであることを示すために使用されることは、
前記指示情報が、前記UEからの第1の登録要求メッセージの完全性が成功裏に検証されたことを示すために使用されること
を含む、請求項1から6のいずれか一項に記載の方法。 - 前記第1のAMFは、前記UEが4G通信システムから5G通信システムへハンドオーバされる過程で、前記UEに対してコアネットワークサービスを提供するために、前記4G通信システムのモビリティ管理エンティティ(MME)によって前記UEのために前記5G通信システムから選択されるAMFであり、
前記第2のAMFは、前記5G通信システムの前記第1のAMF以外の、前記5G通信システムのAMFであり、前記第2のAMFは、前記UEのネイティブ5Gセキュリティコンテキストを記憶している、請求項1から7のいずれか一項に記載の方法。 - 前記ネイティブセキュリティコンテキストが前記第2のAMFによって記憶される理由は、
前記UEが4G通信システムから5G通信システムへハンドオーバされる前に、前記UEが前記5G通信システムから前記4G通信システムへハンドオーバされたためであるか、または
デュアル接続をサポートする前記UEが、非3GPP接続を介して前記5G通信システムにアクセスし、同時に3GPP接続を介して前記4G通信システムにアクセスし、接続モードの前記UEが、前記4G通信システムから前記5G通信システムへハンドオーバされるためである、請求項1から8のいずれか一項に記載の方法。 - 通信装置であって、
プロセッサと、メモリとを備え、
前記メモリは命令を記憶し、前記メモリに記憶された前記命令が前記プロセッサによって実行されるとき、前記通信装置は、請求項1から9のいずれか一項に記載の方法を実行する、通信装置。 - 通信システムであって、第1のアクセスおよびモビリティ管理機能(AMF)と第2のAMFとを備え、
前記第1のAMFは、
ユーザ機器(UE)がハンドオーバ手順を完了した後、前記UEから第1の登録要求メッセージを受信し、
前記第1の登録要求メッセージの完全性を検証し、
前記第1の登録要求メッセージの完全性を成功裏に検証したとき、前記第2のAMFに第2の要求メッセージであって、前記UEが検証済みであることを示すために使用される指示情報を伝送する第2の要求メッセージを送信するよう構成され、
前記第2のAMFは、請求項1から9のいずれか一項に記載の方法を実行するよう構成される、通信システム。 - モビリティ管理エンティティ(MME)をさらに備え、
前記第1のAMFは、前記UEによって送信される前記第1の登録要求メッセージを受信する前に、
前記MMEから、前記UEと前記MMEとの間の4Gセキュリティコンテキストを含む第1の順方向再配置要求を受信し、
前記4Gセキュリティコンテキストに基づき、マップドセキュリティコンテキストを決定し、
前記MMEへ順方向再配置応答メッセージを送信するようさらに構成され、
前記第1の登録要求メッセージの完全性を検証することは、
前記マップドセキュリティコンテキストを使用することによって前記第1の登録要求メッセージの完全性を検証することを含み、
前記MMEは、前記第1のAMFが前記UEから前記第1の登録要求メッセージを受信する前に、
前記第1のAMFへ前記第1の順方向再配置要求を送信し、
前記第1のAMFから順方向再配置応答メッセージを受信し、
前記UEへハンドオーバコマンドを送信するよう構成される、請求項11に記載の通信システム。 - 前記4Gセキュリティコンテキストが鍵K ASME と、次ホップパラメータNHとを含み、前記マップドセキュリティコンテキストが鍵K AMF1 を含み、
前記4Gセキュリティコンテキストに基づき、前記マップドセキュリティコンテキストを決定することが、前記鍵K ASME と、前記NHとに基づいて前記鍵K AMF1 を導出することを含む、請求項12に記載の通信システム。 - 前記鍵K AMF1 が既定の導出式に基づいて導出され、
前記既定の導出式が、K AMF1 =HMAC-SHA-256(Key,FC||P0||L0)であり、FC=0x76であり、P0=NH valueであり、L0=length of NH valueであり、KEY=K ASME である、請求項13に記載の通信システム。 - 前記第1のAMFが、前記鍵K AMF1 と、前記UEと取り決められたセキュリティアルゴリズムとに基づいて、完全性保護鍵K NASint1 と機密性保護鍵K NASenc1 を計算するようさらに構成される、請求項14に記載の通信システム。
- 前記完全性保護鍵K NASint1 を生成するための計算式が、
K NASint1 =HMAC-SHA-256(KEY,S)を含み、ここでS=FC||P0 1 ||L0 1 ||P11||L1 1 であり、FC=0x69であり、P0 1 はアルゴリズムタイプ区別子であり、L0 1 はアルゴリズムタイプ区別子の長さであり、P1 1 はアルゴリズム識別子であり、L1 1 はアルゴリズム識別子の長さであり、KEY=K AMF1 であり、
前記機密性保護鍵K NASenc1 を生成するための計算式が、
K NASenc1 =HMAC-SHA-256(KEY,S)を含み、ここでS=FC||P0||L0||P1||L1であり、FC=0x69であり、P0はアルゴリズムタイプ区別子であり、L0はアルゴリズムタイプ区別子の長さであり、P1はアルゴリズム識別子であり、L1はアルゴリズム識別子の長さであり、KEY=K AMF1 である、請求項15に記載の通信システム。 - 前記第1の登録要求メッセージが前記UEの5G-GUTIを含む、請求項11から16のいずれか一項に記載の通信システム。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910470895.8 | 2019-05-31 | ||
| CN201910470895.8A CN112020067B (zh) | 2019-05-31 | 2019-05-31 | 获取安全上下文的方法、装置和通信系统 |
| JP2021570947A JP7210779B2 (ja) | 2019-05-31 | 2020-05-11 | セキュリティコンテキスト取得方法および装置、ならびに通信システム |
| JP2023001883A JP7472331B2 (ja) | 2019-05-31 | 2023-01-10 | セキュリティコンテキスト取得方法および装置、ならびに通信システム |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023001883A Division JP7472331B2 (ja) | 2019-05-31 | 2023-01-10 | セキュリティコンテキスト取得方法および装置、ならびに通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2024088760A JP2024088760A (ja) | 2024-07-02 |
| JP7651036B2 true JP7651036B2 (ja) | 2025-03-25 |
Family
ID=73502110
Family Applications (3)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021570947A Active JP7210779B2 (ja) | 2019-05-31 | 2020-05-11 | セキュリティコンテキスト取得方法および装置、ならびに通信システム |
| JP2023001883A Active JP7472331B2 (ja) | 2019-05-31 | 2023-01-10 | セキュリティコンテキスト取得方法および装置、ならびに通信システム |
| JP2024062617A Active JP7651036B2 (ja) | 2019-05-31 | 2024-04-09 | セキュリティコンテキスト取得方法および装置、ならびに通信システム |
Family Applications Before (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021570947A Active JP7210779B2 (ja) | 2019-05-31 | 2020-05-11 | セキュリティコンテキスト取得方法および装置、ならびに通信システム |
| JP2023001883A Active JP7472331B2 (ja) | 2019-05-31 | 2023-01-10 | セキュリティコンテキスト取得方法および装置、ならびに通信システム |
Country Status (12)
| Country | Link |
|---|---|
| US (2) | US11818578B2 (ja) |
| EP (2) | EP4425982B1 (ja) |
| JP (3) | JP7210779B2 (ja) |
| KR (1) | KR102568230B1 (ja) |
| CN (4) | CN112020067B (ja) |
| AU (1) | AU2020284886B2 (ja) |
| BR (1) | BR112021024023A2 (ja) |
| CA (1) | CA3141367A1 (ja) |
| ES (1) | ES2982110T3 (ja) |
| MX (2) | MX395531B (ja) |
| SG (1) | SG11202112749TA (ja) |
| WO (1) | WO2020238595A1 (ja) |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112153647B (zh) * | 2019-06-29 | 2022-04-22 | 华为技术有限公司 | 通信方法和相关设备 |
| EP4154474A1 (en) * | 2020-05-21 | 2023-03-29 | Telefonaktiebolaget LM ERICSSON (PUBL) | Service producer health-check |
| EP4185003A4 (en) * | 2020-07-30 | 2023-09-13 | Huawei Technologies Co., Ltd. | COMMUNICATION METHOD AND APPARATUS |
| CN113260015B (zh) * | 2021-05-11 | 2022-11-18 | 中国联合网络通信集团有限公司 | 任务处理方法及接入和移动性管理功能实体 |
| CN116074828A (zh) * | 2021-10-30 | 2023-05-05 | 华为技术有限公司 | 管理安全上下文的方法和装置 |
| US11785509B2 (en) | 2021-11-18 | 2023-10-10 | Cisco Technology, Inc. | Inter access and mobility management function idle mode mobility optimization |
| CN118488604A (zh) * | 2023-02-13 | 2024-08-13 | 华为技术有限公司 | 通信方法和通信装置 |
| US20250048302A1 (en) * | 2023-08-01 | 2025-02-06 | T-Mobile Usa, Inc. | Avoiding redundant voice capability updates from the amf to the udm |
| US12581369B2 (en) | 2023-08-09 | 2026-03-17 | T-Mobile Usa, Inc. | Optimized registration and deregistration messaging to the UDM |
| CN119729469A (zh) * | 2023-09-26 | 2025-03-28 | 华为技术有限公司 | 一种通信方法及装置 |
| CN119729490A (zh) * | 2023-09-27 | 2025-03-28 | 华为技术有限公司 | 一种通信方法及装置 |
| WO2025194492A1 (en) * | 2024-03-22 | 2025-09-25 | Mediatek Singapore Pte. Ltd. | Methods and apparatus to support dynamic vertical key derivation for ltm |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190098537A1 (en) | 2017-09-28 | 2019-03-28 | Weihua QIAO | SMF, AMF and UPF Relocation During UE Registration |
| US20190116521A1 (en) | 2017-10-16 | 2019-04-18 | Weihua QIAO | Header Compression for Ethernet Frame |
Family Cites Families (30)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9084110B2 (en) | 2010-04-15 | 2015-07-14 | Qualcomm Incorporated | Apparatus and method for transitioning enhanced security context from a UTRAN/GERAN-based serving network to an E-UTRAN-based serving network |
| US8681740B2 (en) * | 2010-12-21 | 2014-03-25 | Tektronix, Inc. | LTE network call correlation during User Equipment mobility |
| US10433161B2 (en) | 2012-01-30 | 2019-10-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Call handover between cellular communication system nodes that support different security contexts |
| US9959386B2 (en) * | 2013-11-27 | 2018-05-01 | General Electric Company | Cloud-based clinical information systems and methods of use |
| EP3547769B1 (en) * | 2016-11-27 | 2021-05-12 | LG Electronics Inc. | Deregistration method in wireless communication system and device therefor |
| KR102549946B1 (ko) * | 2017-01-09 | 2023-06-30 | 삼성전자주식회사 | 이동통신 환경에서 단말의 초기 접속 요청 메시지를 라우팅하는 방법 및 관련 파라미터 |
| US10524166B2 (en) * | 2017-01-09 | 2019-12-31 | Lg Electronics Inc. | Method for interworking between networks in wireless communication system and apparatus thereof |
| PT3952375T (pt) * | 2017-01-30 | 2022-12-21 | Ericsson Telefon Ab L M | Gestão de contexto de segurança em 5g durante o modo conectado |
| MX2019008888A (es) | 2017-01-30 | 2019-10-15 | Telefonaktiebolaget LM Ericsson publi | Comunicaciones inalámbricas. |
| CN115278658B (zh) | 2017-01-30 | 2026-03-17 | 瑞典爱立信有限公司 | 针对用户平面数据的完整性保护的方法 |
| US20200084676A1 (en) * | 2017-01-30 | 2020-03-12 | Telefonaktiebolaget Lm Ericsson (Publ) | Security Anchor Function in 5G Systems |
| WO2018142263A1 (en) * | 2017-02-03 | 2018-08-09 | Nokia Technologies Oy | Method and system for selection of an access and mobility management function in an access network environment |
| US10397892B2 (en) * | 2017-02-06 | 2019-08-27 | Huawei Technologies Co., Ltd. | Network registration and network slice selection system and method |
| CN108401269A (zh) * | 2017-02-07 | 2018-08-14 | 中兴通讯股份有限公司 | 跨系统的切换方法和装置 |
| CN108702798B (zh) * | 2017-03-01 | 2021-03-30 | 华为技术有限公司 | 数据传输的方法与装置 |
| EP3613231B1 (en) | 2017-04-17 | 2022-10-12 | Apple Inc. | Group based context and security for massive internet of things devices |
| BR112019022934A2 (pt) * | 2017-05-04 | 2020-06-09 | Huawei Tech Co Ltd | método e aparelho de obtenção de chave, dispositivo terminal, mídia de armazenamento legível por computador, método para processamento de segurança em mobilidade de um dispositivo terminal e sistema de comunicações |
| EP3641424B1 (en) | 2017-06-17 | 2022-05-04 | LG Electronics Inc. | Method for registering a user equipment with a network slice in a wireless communication system and user equipment therefor |
| WO2019011751A1 (en) * | 2017-07-14 | 2019-01-17 | Telefonaktiebolaget Lm Ericsson (Publ) | AUTHENTICATION CONTROL IN A HOME NETWORK |
| US20200059989A1 (en) * | 2017-08-16 | 2020-02-20 | Lenovo (Singapore) Pte. Ltd. | Indicating a packet data unit session as unavailable |
| WO2019063098A1 (en) * | 2017-09-29 | 2019-04-04 | Telefonaktiebolaget Lm Ericsson (Publ) | METHODS AND NODES FOR RECORDING DURING MOBILITY |
| US10512005B2 (en) * | 2017-09-29 | 2019-12-17 | Nokia Technologies Oy | Security in intersystem mobility |
| KR102216156B1 (ko) * | 2017-11-13 | 2021-02-16 | 엘지전자 주식회사 | 무선 통신 시스템에서 액세스의 전환에 관련된 신호 송수신 방법 및 이를 위한 장치 |
| US10542428B2 (en) * | 2017-11-20 | 2020-01-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Security context handling in 5G during handover |
| US10805973B2 (en) * | 2018-02-15 | 2020-10-13 | Apple Inc. | Apparatus, system, and method for performing GUTI reallocation |
| US11096242B2 (en) * | 2018-04-30 | 2021-08-17 | Lenovo (Singapore) Pte. Ltd. | Establishing an IP multimedia subsystem session |
| KR102577006B1 (ko) * | 2018-08-13 | 2023-09-11 | 삼성전자 주식회사 | 4g 및 5g 네트워크 이동 시 네트워크 슬라이스 지원 방법 및 장치 |
| TWI783184B (zh) * | 2018-10-17 | 2022-11-11 | 新加坡商聯發科技(新加坡)私人有限公司 | 行動性更新時的使用者設備金鑰推導方法及相關使用者設備 |
| CN113302951B (zh) * | 2019-01-14 | 2024-08-27 | 苹果公司 | 5g系统中的车联万物pc5能力的管理 |
| US12238671B2 (en) * | 2019-01-29 | 2025-02-25 | Apple Inc. | V2X UE with different PC5 rat capability in 5GS |
-
2019
- 2019-05-31 CN CN201910470895.8A patent/CN112020067B/zh active Active
- 2019-05-31 CN CN202210113055.8A patent/CN114513790B/zh active Active
- 2019-05-31 CN CN202210112915.6A patent/CN114513789B/zh active Active
-
2020
- 2020-05-11 KR KR1020217043061A patent/KR102568230B1/ko active Active
- 2020-05-11 WO PCT/CN2020/089621 patent/WO2020238595A1/zh not_active Ceased
- 2020-05-11 ES ES20814989T patent/ES2982110T3/es active Active
- 2020-05-11 SG SG11202112749TA patent/SG11202112749TA/en unknown
- 2020-05-11 CA CA3141367A patent/CA3141367A1/en active Pending
- 2020-05-11 EP EP24161048.4A patent/EP4425982B1/en active Active
- 2020-05-11 BR BR112021024023A patent/BR112021024023A2/pt unknown
- 2020-05-11 AU AU2020284886A patent/AU2020284886B2/en active Active
- 2020-05-11 MX MX2021014521A patent/MX395531B/es unknown
- 2020-05-11 EP EP20814989.8A patent/EP3796696B1/en active Active
- 2020-05-11 JP JP2021570947A patent/JP7210779B2/ja active Active
- 2020-05-11 CN CN202080036772.4A patent/CN114145032B/zh active Active
- 2020-12-08 US US17/114,812 patent/US11818578B2/en active Active
-
2021
- 2021-11-26 MX MX2022011363A patent/MX2022011363A/es unknown
-
2023
- 2023-01-10 JP JP2023001883A patent/JP7472331B2/ja active Active
- 2023-10-11 US US18/485,137 patent/US12170901B2/en active Active
-
2024
- 2024-04-09 JP JP2024062617A patent/JP7651036B2/ja active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190098537A1 (en) | 2017-09-28 | 2019-03-28 | Weihua QIAO | SMF, AMF and UPF Relocation During UE Registration |
| US20190116521A1 (en) | 2017-10-16 | 2019-04-18 | Weihua QIAO | Header Compression for Ethernet Frame |
Non-Patent Citations (3)
| Title |
|---|
| 3GPP TS 29.518 v15.1.0 (2018-08),Internet<URL:https://www.3gpp.org/ftp/tsg_ct/WG4_protocollars_ex-CN4/TSGCT4_86_Palm_Beach/Docs/C4-186625.zip>,2018年08月24日,P.1-2,190-192 |
| Huawei, HiSilicon, Ericsson,Default S-NSSAI correction and NSSF service update,3GPP TSG SA WG2 #128BIS S2-188755,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_128BIS_Sophia_Antipolis/Docs/S2-188755.zip>,2018年08月24日 |
| ZTE,UE Context Transfer Reason,3GPP TSG CT WG4 #86bis C4-187046,Internet<URL:https://www.3gpp.org/ftp/tsg_ct/WG4_protocollars_ex-CN4/TSGCT4_86bis_Vilnus/Docs/C4-187046.zip>,2018年10月19日 |
Also Published As
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7651036B2 (ja) | セキュリティコンテキスト取得方法および装置、ならびに通信システム | |
| US11576092B2 (en) | Handover handling method and apparatus | |
| CN111328112B (zh) | 一种安全上下文隔离的方法、装置及系统 | |
| WO2019096279A1 (zh) | 一种安全通信方法和装置 | |
| US11606768B2 (en) | Method and apparatus for registration | |
| CN111465060A (zh) | 一种确定安全保护方式的方法、装置及系统 | |
| RU2793801C1 (ru) | Способ и устройство получения контекста безопасности и система связи | |
| WO2021057456A1 (zh) | 用于注册的方法和装置 | |
| US20250279885A1 (en) | Communication method and communication apparatus | |
| HK40049510A (en) | Method and apparatus for acquiring security context, and communication system | |
| HK40049510B (en) | Method and apparatus for acquiring security context, and communication system | |
| WO2024131598A9 (zh) | 一种信息处理方法、装置及可读存储介质 | |
| CN118842589A (zh) | 设备认证方法、装置及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240422 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240422 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20250212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20250312 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7651036 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |