JP7035163B2 - ネットワークセキュリティ管理方法および装置 - Google Patents
ネットワークセキュリティ管理方法および装置 Download PDFInfo
- Publication number
- JP7035163B2 JP7035163B2 JP2020502612A JP2020502612A JP7035163B2 JP 7035163 B2 JP7035163 B2 JP 7035163B2 JP 2020502612 A JP2020502612 A JP 2020502612A JP 2020502612 A JP2020502612 A JP 2020502612A JP 7035163 B2 JP7035163 B2 JP 7035163B2
- Authority
- JP
- Japan
- Prior art keywords
- session
- network
- authentication
- terminal device
- data network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Description
本出願は、通信技術の分野に関し、特に、ネットワークセキュリティ管理方法および装置に関する。
ネットワークセキュリティ管理において、端末デバイスは、ネットワークにアクセスする前に認証および許可される必要がある。端末デバイスは、認証および許可された後にのみネットワークにアクセスし得る。第4世代モバイル通信技術(the 4th generation mobile communication technology、4G)ネットワークでは、端末デバイスは、事業者ネットワークによって直接認証および許可される。これは、第5世代ワイヤレス(5th-Generation、5G、新無線(New radio)、NRとも呼ばれる)標準化プロセスでは一次認証(primary authentication)と呼ばれる。事業者ネットワークを使用することによって、事業者ネットワーク外のデータネットワーク(data network、DN)にアクセスすることを要求する端末デバイスも、DNにアクセスする前にDNによって認証および許可される必要がある。5G標準化プロセスにおいて、DNによる端末デバイスに対するこの認証および許可は、二次認証(secondary authentication)と呼ばれる。通常、第2の認証は、第1の認証の後に行われる。
既存の実施態様では、端末デバイスがDNへのパケットデータユニット(packet data unit、PDU)セッション接続を確立する必要があるとき、端末デバイスは、事業者ネットワークを使用することによってDNによって認証および許可される。DNが端末デバイスの二次認証結果を事業者ネットワークにフィードバックした後、事業者ネットワークは、その結果に基づいて、端末デバイスのためにDNへのPDUセッション接続を確立するかどうかを判定する。既存の実施態様では、二次認証はセッションごとに行われ、端末デバイスがDNとPDUセッションを確立する必要があるたびに、二次認証が行われる必要がある。端末デバイスが、1つのDNまたは1つの認証サーバ(グループ)に関連付けられた異なるDNと複数のPDUセッションを確立する必要がある場合、認証はDNによって繰り返される必要がある。認証効率が低く、リソースが著しく浪費される。
本出願の実施形態は、端末デバイス認証の効率を改善し、端末デバイス認証のリソース消費を低減し、ネットワークセキュリティ管理の適用性を高めるべく、ネットワークセキュリティ管理方法および装置を提供する。
第1の態様は、ネットワークセキュリティ管理方法であって、該方法は、事業者ネットワーク上の第1のネットワークデバイスによって実行され得、第1のネットワークデバイスは、アイデンティティ認証者として機能し、本方法は、
端末デバイスによって送信されたセッション要求を第1のネットワークデバイスによって受信するステップであって、セッション要求は、端末デバイスと第1のデータネットワークとの間に第1のセッションを確立するように第1のネットワークデバイスに要求するために使用され得、セッション要求は、第1のセッションの第1の認証情報を含む、ステップと、セッション要求で搬送された第1の認証情報と、端末デバイスによって以前に開始された、複数のセッションの中の第2のセッションのプリセットされた第2の認証情報とに基づいて、第1のネットワークデバイスによって、第1のデータネットワークと第1のセッションを確立することを端末デバイスに認証または許可するステップと
を含む、ネットワークセキュリティ管理方法を提供する。本出願のこの実施形態で提供される方法によれば、端末デバイスが新しいセッションを開始するとき、新しいセッションに対して高速認証を行うかどうかは、端末デバイスによって以前に開始された他のセッションの認証情報に基づいて判定され得る。新しいセッションに対して認証が必要とされない場合、端末デバイスは、第1のデータネットワークと新しいセッションを確立することを直接許可され得る。これは、セッション確立の効率を改善し、端末デバイスと事業者ネットワークのネットワークデバイスとデータネットワークとの間の余分なシグナリングオーバヘッドを低減し、セッション認証のリソース消費を低減し得、したがって、より良い適用性を有する。
端末デバイスによって送信されたセッション要求を第1のネットワークデバイスによって受信するステップであって、セッション要求は、端末デバイスと第1のデータネットワークとの間に第1のセッションを確立するように第1のネットワークデバイスに要求するために使用され得、セッション要求は、第1のセッションの第1の認証情報を含む、ステップと、セッション要求で搬送された第1の認証情報と、端末デバイスによって以前に開始された、複数のセッションの中の第2のセッションのプリセットされた第2の認証情報とに基づいて、第1のネットワークデバイスによって、第1のデータネットワークと第1のセッションを確立することを端末デバイスに認証または許可するステップと
を含む、ネットワークセキュリティ管理方法を提供する。本出願のこの実施形態で提供される方法によれば、端末デバイスが新しいセッションを開始するとき、新しいセッションに対して高速認証を行うかどうかは、端末デバイスによって以前に開始された他のセッションの認証情報に基づいて判定され得る。新しいセッションに対して認証が必要とされない場合、端末デバイスは、第1のデータネットワークと新しいセッションを確立することを直接許可され得る。これは、セッション確立の効率を改善し、端末デバイスと事業者ネットワークのネットワークデバイスとデータネットワークとの間の余分なシグナリングオーバヘッドを低減し、セッション認証のリソース消費を低減し得、したがって、より良い適用性を有する。
任意選択で、端末デバイスによって送信されるセッション要求で搬送される第1の認証情報は、第1のデータネットワークの識別子情報を含み得、第1のネットワークデバイスは、ローカル記憶スペースから、端末デバイスによって以前に開始された第2のセッションが接続されている第2のデータネットワークの識別子情報を取得し得る。第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じである場合、第1のネットワークデバイスは、第1のデータネットワークと第1のセッションを確立することを端末デバイスに直接許可し得る。端末デバイスによって開始された新しいセッションは、認証なしで確立され得る。端末デバイスは、新しいセッションのデータ送信チャネルを使用することによって、データネットワークとデータ送信相互作用を迅速に実行し得る。データ送信チャネルの確立は、より良い適用性を伴ってより効率的になる。
任意選択で、本出願のこの実施形態で説明されている、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じであることは、以下の1つまたは任意の組み合わせ、すなわち、
第1のデータネットワークに対応するデータネットワーク番号DNNが第2のデータネットワークに対応するDNNと同じであること、または
第1のデータネットワークに対応する認証サーバが第2のデータネットワークに対応する認証サーバと同じであること、または
第1のデータネットワークの認証サーバが属する同期認証サーバグループが第2のデータネットワークの認証サーバが属する同期認証サーバグループと同じであること
の1つまたは任意の組み合わせを含む。
第1のデータネットワークに対応するデータネットワーク番号DNNが第2のデータネットワークに対応するDNNと同じであること、または
第1のデータネットワークに対応する認証サーバが第2のデータネットワークに対応する認証サーバと同じであること、または
第1のデータネットワークの認証サーバが属する同期認証サーバグループが第2のデータネットワークの認証サーバが属する同期認証サーバグループと同じであること
の1つまたは任意の組み合わせを含む。
本出願のこの実施形態では、新しいセッションが接続を要求するデータネットワークが、端末デバイスによって以前に開始されたセッションが接続されているデータネットワークと同じである場合、端末デバイスは、データネットワークと新しいセッションを確立することを直接許可され得る。本出願のこの実施形態では、新しいセッションが接続されるデータネットワークの認証サーバが、端末デバイスによって以前に開始されたセッションが接続されているデータネットワークの認証サーバと同じであるか、または認証サーバが同期認証サーバである場合、端末デバイスは、データネットワークと新しいセッションを確立することを直接許可され得る。本出願のこの実施形態でデータネットワークとセッションを確立することを端末デバイスに直接許可することは、多くのシナリオに適応可能である。したがって、より良い適用性が達成される。
任意選択で、アイデンティティ認証者として機能する第1のネットワークデバイスは、端末デバイスの加入データまたは以前に開始された他のセッションの認証情報を記憶しない、または記憶していない場合、端末デバイスの加入データまたは以前に開始されたセッションの認証情報は、第2のネットワークデバイスに記憶され得る。例えば、統合データ管理ネットワーク要素による管理の適用シナリオでは、第1のネットワークデバイスは、端末デバイスによって以前に開始されたセッションの認証情報について第2のネットワークデバイスに照会するために、認証情報照会要求を第2のネットワークデバイスに送信し得、第1のネットワークデバイスは、第2のネットワークデバイスによってフィードバックされた端末デバイスの第2のセッションの第2の認証情報を受信し、第2の認証情報から第2のデータネットワークの識別子情報を取得する。さらに、第1のセッションが接続を要求する第1のデータネットワークの識別子情報が、端末デバイスによって以前に開始されたセッションが接続されているデータネットワークの識別子情報と同じである場合、端末デバイスは、データネットワークと新しいセッション(すなわち、第1のセッション)を確立することを直接許可される。第2のセッションは、端末デバイスによって以前に開始された複数のセッションのうち少なくとも1つであり、第2のセッションの認証情報または第2のセッションの許可情報は依然として有効期間内にある。動作がよりフレキシブルになり、適用性がより良くなる。
任意選択で、端末デバイスが確立を要求する第1のセッションの第1の認証情報は、第1のセッションによって使用される第1のセキュリティコンテキストをさらに含み、端末デバイスによって以前に開始された第2のセッションの第2の認証情報は、第2のセッションによって使用された第2のセキュリティコンテキストを含む。第1のネットワークデバイスは、ローカル記憶スペースから、第2のセッションによって使用された第2のセキュリティコンテキストを取得し、第2のセキュリティコンテキストが第1のセキュリティコンテキストと同じである場合、同じセキュリティコンテキスト情報に基づいて、第1のデータネットワークと第1のセッションを確立することを端末デバイスに直接許可し得るか、または高速認証および許可を開始し得る。本出願のこの実施形態では、新しいセッションが接続を要求するデータネットワークが、端末デバイスによって以前に開始されたセッションが接続されているデータネットワークと同じである場合、またはデータネットワークのサーバが同じである場合、同じセキュリティコンテキストに基づいて、認証なしで新しいセッションに対して許可を直接実行することまたは高速認証を行うことを判定するために、セキュリティコンテキストが比較される。動作がより簡単になり、ネットワークセキュリティ管理のデータ処理効率がより高くなる。
任意選択で、本出願のこの実施形態で提供される実施態様では、第1のネットワークデバイスは、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可した後に、第2のセッションの第2のセキュリティコンテキストを更新し、端末デバイスに記憶されている第2のセッションのセキュリティコンテキストを更新するように端末デバイスに命令し得、これにより、ネットワークセキュリティ管理のより多くのセキュリティ要件、例えば、リプレイアタックを防ぐセキュリティ要件が満たされる。
任意選択で、本出願のこの実施形態で提供される実施態様では、アイデンティティ認証者として機能する第1のネットワークデバイスは、端末デバイスによって以前に開始されたセッションのセキュリティコンテキストなどの情報を記憶しない、または記憶していない場合、第2のネットワークデバイスは、端末デバイスによって以前に開始されたセッションのセキュリティコンテキストなどの情報について照会され得、端末デバイスによって開始された新しいセッションに対して認証を行うかどうかがさらに判定され得る。これは、具体的には、第1のネットワークデバイスによってセキュリティコンテキスト照会要求を第2のネットワークデバイスに送信するステップであって、セキュリティコンテキスト照会要求は、端末デバイスのセッションのセキュリティコンテキストについて照会するために使用される、ステップと、第1のネットワークデバイスによって、第2のネットワークデバイスによってフィードバックされた第2のセッションの第2のセキュリティコンテキストを受信するステップであって、第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションのセキュリティコンテキストが依然として有効期間内にある、ステップとを含み得る。
本出願のこの実施形態で提供されるこの実施態様では、第1のネットワークデバイスは、端末デバイスによって以前に開始されたセッションのセキュリティコンテキストなどの認証情報について第2のネットワークデバイスに照会し得、新しいセッションが接続を要求するデータネットワークが、端末デバイスによって以前に開始されたセッションが接続されているデータネットワークと同じであるか、またはデータネットワークのサーバが同じである場合、同じセキュリティコンテキスト情報に基づいて、新しいセッションに対して許可を直接実行することまたは高速認証および許可を行うことを判定するためにセキュリティコンテキストをさらに比較し得る。データ取得方法は多様であり、セッション確立のための許可動作がより簡単になり、ネットワークセキュリティ管理のデータ処理効率がより高くなる。
任意選択で、端末デバイスのセッションの認証情報は、以下のうち少なくとも1つ、すなわち、事業者ネットワーク上の端末デバイス加入識別子ID、第1のデータネットワーク上の端末デバイス加入ID、セッションが接続されている、事業者ネットワークのネットワークデバイスのID、セッションのセキュリティコンテキスト、セッションが接続されているデータネットワークの識別子情報、セッションが接続されている認証サーバの識別子情報、および成功したセッション認証の有効期間のうち少なくとも1つを含む。
任意選択で、事業者ネットワーク上の端末デバイス加入ID、第1のデータネットワーク上の端末デバイス加入ID、およびセッションのセキュリティコンテキストのうち少なくとも1つまたは2つが、端末デバイスに対する認証、高速認証、または許可に使用される。
任意選択で、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するステップは、
第1のネットワークデバイスによってセッション認証または許可ポリシー照会要求を第2のネットワークデバイスに送信するステップと、
第2のネットワークデバイスによってフィードバックされたセッション認証または許可ポリシーを第1のネットワークデバイスによって受信し、セッション認証または許可ポリシーに従って、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するステップと
を含む。
第1のネットワークデバイスによってセッション認証または許可ポリシー照会要求を第2のネットワークデバイスに送信するステップと、
第2のネットワークデバイスによってフィードバックされたセッション認証または許可ポリシーを第1のネットワークデバイスによって受信し、セッション認証または許可ポリシーに従って、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するステップと
を含む。
本出願のこの実施形態で提供されるこの実施態様では、アイデンティティ認証者として機能する第1のネットワークデバイスは、セッション認証または許可ポリシーについて第2のネットワークデバイスに照会し、第2のネットワークデバイスによって提供されるセッション認証または許可ポリシーに従って、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与し得る。
任意選択で、本出願のこの実施形態で提供される方法は、
第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じである場合に、第1のネットワークデバイスによってセッション認証要求を第1のデータネットワークの認証サーバに送信するステップであって、セッション認証要求は、第2の認証情報に基づいて第1のセッションに対して高速認証を開始するように認証サーバに命令するために使用される、ステップと、
認証サーバによってフィードバックされた高速認証成功応答メッセージが受信された場合、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するステップと
をさらに含む。
第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じである場合に、第1のネットワークデバイスによってセッション認証要求を第1のデータネットワークの認証サーバに送信するステップであって、セッション認証要求は、第2の認証情報に基づいて第1のセッションに対して高速認証を開始するように認証サーバに命令するために使用される、ステップと、
認証サーバによってフィードバックされた高速認証成功応答メッセージが受信された場合、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するステップと
をさらに含む。
任意選択で、端末デバイスによって送信されたセッション要求を第1のネットワークデバイスによって受信するステップの後に、本方法は、
第1のネットワークデバイスによってセッション要求を第1のデータネットワークの認証サーバに転送するステップであって、セッション要求は、第1のセッションに対して高速認証を行うかどうかを判定するように認証サーバをトリガするために使用される、ステップと、
認証サーバが、第1のセッションに対して高速認証を行うと決定した場合、認証サーバが第1のセッションに対して高速認証を行った後に、第1のネットワークデバイスによって、認証サーバによってフィードバックされた高速認証成功応答メッセージを受信し、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するステップと
をさらに含む。
第1のネットワークデバイスによってセッション要求を第1のデータネットワークの認証サーバに転送するステップであって、セッション要求は、第1のセッションに対して高速認証を行うかどうかを判定するように認証サーバをトリガするために使用される、ステップと、
認証サーバが、第1のセッションに対して高速認証を行うと決定した場合、認証サーバが第1のセッションに対して高速認証を行った後に、第1のネットワークデバイスによって、認証サーバによってフィードバックされた高速認証成功応答メッセージを受信し、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するステップと
をさらに含む。
本出願のこの実施形態のこの実施態様では、第1のセッションに対する高速認証は、EAP再認証プロトコルERPを含み得る。EAP認証を使用するシステムでは、端末デバイスおよび認証サーバは、アイデンティティ認証者を使用することによって完全なEAP認証手順を実行する。端末デバイスがあるアイデンティティ認証者から他のアイデンティティ認証者に移動する(データネットワークの認証サーバは変更されない)とき、他の完全なEAP認証手順を実行する必要なく、ERPメカニズムを使用することによって、アイデンティティ認証者間の高速で安全な切り替えが実施され得る。本出願のこの実施形態で説明されているERPは1つのEAP認証方法に限定されないだけでなく、複数のEAP認証方法がサポートされることに留意されたい。
任意選択で、第1のセッションに対する高速認証は、セキュアトンネリングによるEAPフレキシブル認証(EAP-FAST)を含み得る。EAP-FASTプロトコルは、2つのステージを含む。ステージ1では、トランスポート層セキュリティTLSプロトコルに基づいて、端末デバイスとDNとの間にセキュアトンネルが確立される。ステージ2では、セキュアトンネルを再確立する必要なく、セキュアトンネルが高速で復元され、これにより、安全で高速な接続確立が実施される。ここで適用されるEAP-FASTの場合、端末デバイスに対する1番目の二次認証は、EAP-FASTのステージ1に対応し、端末デバイスの2番目の二次認証は、ステージ2に対応する。
任意選択で、前述の二次認証の高速認証は、他の高速認証プロトコルを含み得る。ここでは制限は課されない。
前述の高速認証方法は、通常、物理認証ノード間で切り替えが実行されるときに実行される高速認証に使用される。本出願のこの実施形態では、物理認証ノード間で実行される前述の高速認証方法は、端末デバイスとDNとの間の二次認証の高速認証に使用され得る。ERPおよびEAP-FAST高速認証方法(これらについては、それぞれIETF EAPプロトコルRFC 6696およびRFC 4851への参照が行われ得る)によって提供される実施態様は、ここでは限定されない。
任意選択で、再認証などの前述の高速認証方法は、第1のネットワークデバイスによって開始され得、第1のネットワークデバイスは、第1のセッションに対して再認証などの高速認証および許可を行うようにデータネットワークの認証サーバをトリガするために、セッション認証要求を認証サーバに送信する。
任意選択で、再認証などの前述の高速認証方法は、代替的に、第1のネットワークデバイスの認識なしでデータネットワークの認証サーバによって決定および/または開始され得る。第1のネットワークデバイスは、第1のセッションに対して高速認証を行うかどうかを判定するように認証サーバをトリガするためにセッション要求を認証サーバに転送し得る。認証サーバによってフィードバックされた高速認証成功応答メッセージを受信すると、第1のネットワークデバイスは、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可し得る。本出願のこの実施形態で提供されるネットワークセキュリティ管理は、多くのシナリオに適応可能である。動作がよりフレキシブルになり、適用性がより良くなる。
第2の態様は、事業者ネットワーク上のデータ管理ネットワーク要素として機能する第1のネットワークデバイスによって実行され得るネットワークセキュリティ管理方法であって、データ管理要素が、事業者ネットワーク上のアイデンティティ認証者として機能する第2のネットワークデバイスに端末デバイスの認証情報を提供し得、本方法は、
第2のネットワークデバイスによって送信された認証情報照会要求を第1のネットワークデバイスによって受信するステップであって、認証情報照会要求は、端末デバイスの識別子情報と、端末デバイスが確立を要求する第1のセッションが接続される第1のデータネットワークの識別子情報とを含む、ステップと、
端末デバイスの識別子情報および第1のデータネットワークの識別子情報に基づいて、第1のネットワークデバイスによって、第1のデータネットワークに接続するための端末デバイスの第2のセッションの認証情報を取得するステップと、
第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するように第2のネットワークデバイスをトリガするために、第1のネットワークデバイスによって第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするステップと
を含み得、第2のセッションは、第1のデータネットワークに接続するために端末デバイスによって開始された複数のセッションのうち少なくとも1つである、ネットワークセキュリティ管理方法を提供する。
第2のネットワークデバイスによって送信された認証情報照会要求を第1のネットワークデバイスによって受信するステップであって、認証情報照会要求は、端末デバイスの識別子情報と、端末デバイスが確立を要求する第1のセッションが接続される第1のデータネットワークの識別子情報とを含む、ステップと、
端末デバイスの識別子情報および第1のデータネットワークの識別子情報に基づいて、第1のネットワークデバイスによって、第1のデータネットワークに接続するための端末デバイスの第2のセッションの認証情報を取得するステップと、
第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するように第2のネットワークデバイスをトリガするために、第1のネットワークデバイスによって第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするステップと
を含み得、第2のセッションは、第1のデータネットワークに接続するために端末デバイスによって開始された複数のセッションのうち少なくとも1つである、ネットワークセキュリティ管理方法を提供する。
任意選択で、端末デバイスの第2のセッションの認証情報は、以下のうち少なくとも1つ、すなわち、事業者ネットワーク上の端末デバイス加入識別子ID、第1のデータネットワーク上の端末デバイス加入識別子ID、セッションが接続されている、事業者ネットワークのネットワークデバイスのID、セッションのセキュリティコンテキスト、セッションが接続されているデータネットワークの識別子情報、セッションが接続されている認証サーバの識別子情報、および成功したセッション認証の有効期間のうち少なくとも1つを含む。
任意選択で、事業者ネットワーク上の端末デバイス加入識別子ID、第1のデータネットワーク上の端末デバイス加入識別子ID、およびセッションのセキュリティコンテキストのうち少なくとも1つまたは2つが、端末デバイスに対する認証、高速認証、または許可に使用される。
任意選択で、認証情報照会要求は、第1のデータネットワークの識別子情報をさらに含み、
第1のネットワークデバイスによって端末デバイスのセッションの認証情報を第2のネットワークデバイスにフィードバックするステップは、
端末デバイスの複数の事前に記憶されたセッションから、第1のネットワークデバイスによって、第1のデータネットワークに接続されている第2のセッションを決定し、第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするステップ
を含み、第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの認証情報または許可情報は依然として有効期間内にある。
第1のネットワークデバイスによって端末デバイスのセッションの認証情報を第2のネットワークデバイスにフィードバックするステップは、
端末デバイスの複数の事前に記憶されたセッションから、第1のネットワークデバイスによって、第1のデータネットワークに接続されている第2のセッションを決定し、第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするステップ
を含み、第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの認証情報または許可情報は依然として有効期間内にある。
任意選択で、本方法は、
第2のネットワークデバイスによって送信されたセッション認証または許可ポリシー照会要求を第1のネットワークデバイスによって受信するステップと、
第1のネットワークデバイスによってセッション認証または許可ポリシーを第2のネットワークデバイスにフィードバックするステップと
をさらに含み、セッション認証または許可ポリシーは、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するように第2のネットワークデバイスに命令するために使用される。
第2のネットワークデバイスによって送信されたセッション認証または許可ポリシー照会要求を第1のネットワークデバイスによって受信するステップと、
第1のネットワークデバイスによってセッション認証または許可ポリシーを第2のネットワークデバイスにフィードバックするステップと
をさらに含み、セッション認証または許可ポリシーは、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するように第2のネットワークデバイスに命令するために使用される。
本出願のこの実施形態で提供される実施態様では、データ管理ネットワーク要素は、データネットワークに接続するために端末デバイスによって開始されたセッションの認証情報を記憶し、さらに、アイデンティティ認証者が端末デバイスによって開始された新しいセッションを処理する必要があるときに、新しいセッションに対して認証が行われる必要があるかどうかを判定するアイデンティティ認証者のために、端末デバイスによって以前に開始されたセッションの認証情報をアイデンティティ認証者に提供し得るか、またはデータネットワークと新しいセッションを確立することを端末デバイスに直接許可し得る。これは、ネットワークセキュリティ管理のセッション認証処理方法を多様化し、ネットワークセキュリティ管理のセッション処理効率を改善する。本出願のこの実施形態で提供される実施態様では、データ管理ネットワーク要素は、セッション認証または許可ポリシーをアイデンティティ認証者にさらに提供し得る。これは、端末デバイスのセッションに対する認証または許可の利便性を改善し得、適用性がより良くなる。
第3の態様は、ネットワークデバイスであって、ネットワークデバイスは、事業者ネットワークの第1のネットワークデバイスであり、第1のネットワークデバイスは、
端末デバイスによって送信されたセッション要求を受信し、セッション要求は、第1のデータネットワークとの第1のセッションの確立を要求するために使用され、セッション要求は、第1のセッションの第1の認証情報を含み、第1の認証情報は、第1のデータネットワークの識別子情報を含む、ように構成されたトランシーバユニットと、
端末デバイスの第2のセッションの第2の認証情報を取得し、第2の認証情報は、第2のセッションが接続されている第2のデータネットワークの識別子情報を含む、ように構成された処理ユニットと
を含み、処理ユニットは、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じである場合に、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成されている、ネットワークデバイスを提供する。
端末デバイスによって送信されたセッション要求を受信し、セッション要求は、第1のデータネットワークとの第1のセッションの確立を要求するために使用され、セッション要求は、第1のセッションの第1の認証情報を含み、第1の認証情報は、第1のデータネットワークの識別子情報を含む、ように構成されたトランシーバユニットと、
端末デバイスの第2のセッションの第2の認証情報を取得し、第2の認証情報は、第2のセッションが接続されている第2のデータネットワークの識別子情報を含む、ように構成された処理ユニットと
を含み、処理ユニットは、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じである場合に、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成されている、ネットワークデバイスを提供する。
任意選択で、第1の認証情報は、第1のデータネットワークの識別子情報を含み、第2の認証情報は、第2のセッションが接続されている第2のデータネットワークの識別子情報を含み、
処理ユニットは、
第2のデータネットワークのプリセット識別子情報を取得し、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じである場合、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可する
ように構成される。
処理ユニットは、
第2のデータネットワークのプリセット識別子情報を取得し、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じである場合、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可する
ように構成される。
任意選択で、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じであることは、以下のうち少なくとも1つ、すなわち、
第1のデータネットワークのデータネットワーク番号DNNが第2のデータネットワークのDNNと同じであること、または
第1のデータネットワークの認証サーバが第2のデータネットワークの認証サーバと同じであること、または
第1のデータネットワークの認証サーバが属する同期認証サーバグループが第2のデータネットワークの認証サーバが属する同期認証サーバグループと同じであること
のうち少なくとも1つを含む。
第1のデータネットワークのデータネットワーク番号DNNが第2のデータネットワークのDNNと同じであること、または
第1のデータネットワークの認証サーバが第2のデータネットワークの認証サーバと同じであること、または
第1のデータネットワークの認証サーバが属する同期認証サーバグループが第2のデータネットワークの認証サーバが属する同期認証サーバグループと同じであること
のうち少なくとも1つを含む。
任意選択で、事業者ネットワークは、第2のネットワークデバイスをさらに含み、
トランシーバユニットは、
認証情報照会要求を第2のネットワークデバイスに送信し、認証情報照会要求は、端末デバイスのセッションの認証情報について照会するために使用され、
第2のネットワークデバイスによってフィードバックされた第2のセッションの第2の認証情報を受信し、第2の認証情報から第2のデータネットワークの識別子情報を取得し、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの第2の認証情報または認証もしくは許可情報は、依然として有効期間内にある、
ようにさらに構成される。
トランシーバユニットは、
認証情報照会要求を第2のネットワークデバイスに送信し、認証情報照会要求は、端末デバイスのセッションの認証情報について照会するために使用され、
第2のネットワークデバイスによってフィードバックされた第2のセッションの第2の認証情報を受信し、第2の認証情報から第2のデータネットワークの識別子情報を取得し、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの第2の認証情報または認証もしくは許可情報は、依然として有効期間内にある、
ようにさらに構成される。
任意選択で、第1の認証情報は、第1のセッションによって使用される第1のセキュリティコンテキストをさらに含み、第2の認証情報は、第2のセッションによって使用される第2のセキュリティコンテキストをさらに含み、
処理ユニットは、
プリセットされた第2のセキュリティコンテキストを取得し、第2のセキュリティコンテキストが第1のセキュリティコンテキストと同じである場合、データネットワークと第1のセッションを確立することを端末デバイスに許可する
ように構成される。
処理ユニットは、
プリセットされた第2のセキュリティコンテキストを取得し、第2のセキュリティコンテキストが第1のセキュリティコンテキストと同じである場合、データネットワークと第1のセッションを確立することを端末デバイスに許可する
ように構成される。
任意選択で、処理ユニットは、第2のセキュリティコンテキストを更新するようにさらに構成され、
トランシーバユニットは、端末デバイスに記憶されている第2のセッションのセキュリティコンテキストを更新するよう端末デバイスに命令するようにさらに構成される。
トランシーバユニットは、端末デバイスに記憶されている第2のセッションのセキュリティコンテキストを更新するよう端末デバイスに命令するようにさらに構成される。
任意選択で、トランシーバユニットは、セキュリティコンテキスト照会要求を第2のネットワークデバイスに送信し、セキュリティコンテキスト照会要求は、端末デバイスのセッションのセキュリティコンテキストについて照会するために使用される、ようにさらに構成され、
トランシーバユニットは、第2のネットワークデバイスによってフィードバックされた第2のセッションの第2のセキュリティコンテキストを受信するようにさらに構成され、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションのセキュリティコンテキストは依然として有効期間内にある。
トランシーバユニットは、第2のネットワークデバイスによってフィードバックされた第2のセッションの第2のセキュリティコンテキストを受信するようにさらに構成され、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションのセキュリティコンテキストは依然として有効期間内にある。
任意選択で、トランシーバユニットは、セッション認証または許可ポリシー照会要求を第2のネットワークデバイスに送信するようにさらに構成され、
トランシーバユニットは、第2のネットワークデバイスによってフィードバックされたセッション認証または許可ポリシーを受信するようにさらに構成され、
処理ユニットは、トランシーバユニットによって受信されたセッション認証または許可ポリシーに従って、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するようにさらに構成される。
トランシーバユニットは、第2のネットワークデバイスによってフィードバックされたセッション認証または許可ポリシーを受信するようにさらに構成され、
処理ユニットは、トランシーバユニットによって受信されたセッション認証または許可ポリシーに従って、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するようにさらに構成される。
任意選択で、トランシーバユニットは、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じであるときに、セッション認証要求を第1のデータネットワークの認証サーバに送信し、セッション認証要求は、第2の認証情報に基づいて第1のセッションに対して高速認証を開始するように認証サーバに命令するために使用される、ようにさらに構成され、
処理ユニットは、トランシーバユニットが認証サーバによってフィードバックされた高速認証成功応答メッセージを受信したときに、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成される。
処理ユニットは、トランシーバユニットが認証サーバによってフィードバックされた高速認証成功応答メッセージを受信したときに、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成される。
任意選択で、トランシーバユニットは、セッション要求を第1のデータネットワークの認証サーバに転送し、セッション要求は、第1のセッションに対して高速認証を行うかどうかを判定するように認証サーバをトリガするために使用される、ようにさらに構成され、
処理ユニットは、トランシーバユニットが認証サーバによってフィードバックされた高速認証成功応答メッセージを受信したときに、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成される。
処理ユニットは、トランシーバユニットが認証サーバによってフィードバックされた高速認証成功応答メッセージを受信したときに、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成される。
第4の態様は、ネットワークデバイスであって、ネットワークデバイスは、事業者ネットワーク上の第1のネットワークデバイスであり、事業者ネットワークは、第2のネットワークデバイスをさらに含み、第1のネットワークデバイスは、
第2のネットワークデバイスによって送信された認証情報照会要求を受信し、認証情報照会要求は、端末デバイスの識別子情報と、端末デバイスが確立を要求する第1のセッションが接続される第1のデータネットワークの識別子情報とを含む、ように構成されたトランシーバユニットと、
端末デバイスの識別子情報および第1のデータネットワークの識別子情報に基づいて、第1のデータネットワークに接続するための端末デバイスの第2のセッションの認証情報を取得するように構成された処理ユニットと
を含み、トランシーバユニットは、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するように第2のネットワークデバイスをトリガするために、第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするように構成されており、
端末デバイスの第2のセッションは、第1のデータネットワークに接続するために端末デバイスによって開始された複数のセッションのうち少なくとも1つである、ネットワークデバイスを提供する。
第2のネットワークデバイスによって送信された認証情報照会要求を受信し、認証情報照会要求は、端末デバイスの識別子情報と、端末デバイスが確立を要求する第1のセッションが接続される第1のデータネットワークの識別子情報とを含む、ように構成されたトランシーバユニットと、
端末デバイスの識別子情報および第1のデータネットワークの識別子情報に基づいて、第1のデータネットワークに接続するための端末デバイスの第2のセッションの認証情報を取得するように構成された処理ユニットと
を含み、トランシーバユニットは、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するように第2のネットワークデバイスをトリガするために、第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするように構成されており、
端末デバイスの第2のセッションは、第1のデータネットワークに接続するために端末デバイスによって開始された複数のセッションのうち少なくとも1つである、ネットワークデバイスを提供する。
任意選択で、端末デバイスの第2のセッションの認証情報は、以下のうち少なくとも1つ、すなわち、事業者ネットワーク上の端末デバイス加入識別子ID、第1のデータネットワーク上の端末デバイス加入識別子ID、セッションが接続されている、事業者ネットワークのネットワークデバイスのID、セッションのセキュリティコンテキスト、セッションが接続されているデータネットワークの識別子情報、セッションが接続されている認証サーバの識別子情報、および成功したセッション認証の有効期間のうち少なくとも1つをさらに含む。
任意選択で、認証情報照会要求は、第1のデータネットワークの識別子情報をさらに含み、
ネットワークデバイスは、
記憶ユニットに事前に記憶された、端末デバイスの複数のセッションから、第1のデータネットワークに接続されている第2のセッションを決定するように構成された処理ユニット
をさらに含み、トランシーバユニットは、処理ユニットによって決定された第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするように構成され、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの認証情報または許可情報は依然として有効期間内にある。
ネットワークデバイスは、
記憶ユニットに事前に記憶された、端末デバイスの複数のセッションから、第1のデータネットワークに接続されている第2のセッションを決定するように構成された処理ユニット
をさらに含み、トランシーバユニットは、処理ユニットによって決定された第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするように構成され、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの認証情報または許可情報は依然として有効期間内にある。
任意選択で、記憶ユニットは、セッション認証または許可ポリシーを記憶するようにさらに構成され、
トランシーバユニットは、第2のネットワークデバイスによって送信されたセッション認証または許可ポリシー照会要求を受信し、セッション認証または許可ポリシーを第2のネットワークデバイスにフィードバックするようにさらに構成され、
セッション認証または許可ポリシーは、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するように第2のネットワークデバイスに命令するために使用される。
トランシーバユニットは、第2のネットワークデバイスによって送信されたセッション認証または許可ポリシー照会要求を受信し、セッション認証または許可ポリシーを第2のネットワークデバイスにフィードバックするようにさらに構成され、
セッション認証または許可ポリシーは、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するように第2のネットワークデバイスに命令するために使用される。
第5の態様は、ネットワークセキュリティ管理システムであって、該システムが、第3の態様で提供されるネットワークデバイスと、第4の態様で提供されるネットワークデバイスと、端末デバイスと、データネットワークの認証サーバとを含み得、
端末デバイスが、事業者ネットワークへのセッション要求を開始し、セッション要求は、データネットワークとの第1のセッションの確立を要求するために使用される、ように構成されており、
データネットワークの認証サーバが、第1のセッションに対して高速認証を行うかどうかを判定し、および/または第1のセッションに対して高速認証を行い、データネットワークと第1のセッションを確立することを端末デバイスに許可するように事業者ネットワークに命令するように構成されている、ネットワークセキュリティ管理システムを提供する。
端末デバイスが、事業者ネットワークへのセッション要求を開始し、セッション要求は、データネットワークとの第1のセッションの確立を要求するために使用される、ように構成されており、
データネットワークの認証サーバが、第1のセッションに対して高速認証を行うかどうかを判定し、および/または第1のセッションに対して高速認証を行い、データネットワークと第1のセッションを確立することを端末デバイスに許可するように事業者ネットワークに命令するように構成されている、ネットワークセキュリティ管理システムを提供する。
第6の態様は、ネットワークデバイスであって、ネットワークデバイスは、プロセッサ、メモリ、トランシーバ、およびバスシステムを含み得、
メモリ、プロセッサ、およびトランシーバが、バスシステムを使用することによって接続されており、
メモリが、プログラムコードのグループを記憶するように構成されており、
プロセッサおよびトランシーバが、第1の態様で提供される方法を実行するために、メモリに記憶されているプログラムコードを呼び出すように構成されている、ネットワークデバイスを提供する。
メモリ、プロセッサ、およびトランシーバが、バスシステムを使用することによって接続されており、
メモリが、プログラムコードのグループを記憶するように構成されており、
プロセッサおよびトランシーバが、第1の態様で提供される方法を実行するために、メモリに記憶されているプログラムコードを呼び出すように構成されている、ネットワークデバイスを提供する。
第7の態様は、ネットワークデバイスであって、ネットワークデバイスは、プロセッサ、メモリ、トランシーバ、およびバスシステムを含み得、
メモリ、プロセッサ、およびトランシーバが、バスシステムを使用することによって接続されており、
メモリが、プログラムコードのグループを記憶するように構成されており、
プロセッサおよびトランシーバが、第2の態様で提供される方法を実行するために、メモリに記憶されているプログラムコードを呼び出すように構成されている、ネットワークデバイスを提供する。
メモリ、プロセッサ、およびトランシーバが、バスシステムを使用することによって接続されており、
メモリが、プログラムコードのグループを記憶するように構成されており、
プロセッサおよびトランシーバが、第2の態様で提供される方法を実行するために、メモリに記憶されているプログラムコードを呼び出すように構成されている、ネットワークデバイスを提供する。
第8の態様によれば、本出願の一実施形態は、第3の態様で提供されるネットワークデバイスによって使用されるコンピュータソフトウェア命令を記憶するように構成されたコンピュータ記憶媒体を提供する。コンピュータソフトウェア命令は、第1の態様で提供される方法を実行するために設計されたプログラムを含む。
第9の態様によれば、本出願の一実施形態は、第4の態様で提供されるネットワークデバイスによって使用されるコンピュータソフトウェア命令を記憶するように構成されたコンピュータ記憶媒体を提供する。コンピュータソフトウェア命令は、第2の態様で提供される方法を実行するために設計されたプログラムを含む。
第10の態様によれば、本出願の一実施形態は、チップをさらに提供し、このチップは、ネットワークデバイスのトランシーバに結合され、本出願の実施形態の第1の態様または第2の態様の技術的解決策を実行するように構成される。本出願のこの実施形態では、「結合」は、2つの構成要素が互いに直接的または間接的に接続されることを意味することを理解されたい。この接続は固定式であっても可動式であってもよい。この接続は、流れる液体、電気、電気信号、または他のタイプの信号が2つの構成要素間で伝わることを可能にし得る。
本出願の実施形態を実施することによって、端末デバイス認証の効率が改善され得、端末デバイス認証のリソース消費が低減され得、ネットワークセキュリティ管理の適用性が高められ得る。
本出願の実施形態で説明されている事業者ネットワークは、モバイル通信ネットワークと呼ばれる場合があり、主に、モバイルネットワーク事業者(mobile network operator、MNO)がユーザにモバイルブロードバンドアクセスサービスを提供するネットワークであり得る。本出願の実施形態で説明されている事業者ネットワークは、具体的には、第3世代パートナーシッププロジェクト(3rd generation partnership project、3GPP)の仕様に準拠したネットワーク、略して3GPPネットワークであり得る。一般に、3GPPネットワークは、China Mobile、China Unicom、またはChina Telecomなどの事業者によって運営されている。3GPPネットワークは、3GPPの仕様によって定義された5Gネットワーク、4Gネットワーク、および第3世代モバイル通信技術(3rd-Generation、3G)ネットワーク、ならびに第2世代ワイヤレス電話技術(2-Generation wireless telephone technology、2G)ネットワークを含むが、これらに限定されない。説明を容易にするために、本出願の実施形態の以下の説明は、例として事業者ネットワークを用いる。
モバイルブロードバンドアクセスサービスの拡大には、多様化されたビジネスモデルをより良くサポートし、より多くの多様化されたアプリケーションサービスおよびより多くの産業の要件を満たすために、MNOネットワークの開発が伴う。より良い、より包括的なサービスをより多くの産業に提供するために、次世代ネットワーク(すなわち、5Gネットワーク)には、4Gネットワークからのネットワークアーキテクチャの調整も付随する。例えば、5Gネットワークでは、4Gネットワークのモビリティ管理エンティティ(mobility management entity、MME)は、アクセスおよびモビリティ管理機能(access and mobility management function、AMF)ならびにセッション管理機能(session management function、SMF)を含む複数のネットワーク要素に分割される。3GPP標準化プロセスでは、図1に示されているように、サービス指向アーキテクチャに基づく5Gネットワークアーキテクチャも定義されている。図1は、サービス指向アーキテクチャに基づく5Gネットワークアーキテクチャの概略図である。図1に示されている5Gネットワークアーキテクチャは、3つの部分、すなわち、端末デバイス部分、DN部分、および事業者ネットワーク部分を含み得る。事業者ネットワークは、ネットワークエクスポージャ機能(network exposure function、NEF)、ネットワークリポジトリ機能(network repository function、NRF)、ポリシー制御機能(policy control function、PCF)、統合データ管理ネットワーク要素(unified data management、UDM)、アプリケーション機能(application function、AF)、認証サーバ機能(authentication server function、AUSF)、AMF、SMF、アクセスネットワーク(access network、AN)、およびユーザプレーン機能(user plane function、UPF)などのネットワーク要素および/またはエンティティを含み得る。ANは、無線アクセスネットワーク(Radio access network、RAN)とも呼ばれる。ここでは制限は課されない。説明を容易にするために、本出願の実施形態の以下の説明は、例としてANを用いる。
図1に示されている5Gネットワークアーキテクチャは、5Gネットワークの可能なアーキテクチャ図に過ぎない。5Gネットワークに含まれるネットワーク要素および/またはエンティティは、図1に示されているネットワーク要素および/またはエンティティを含むが、これらに限定されない。特定の実施態様では、図1に示されているネットワークアーキテクチャに含まれるネットワーク要素および/またはエンティティは、代替的に、他の表現形式のネットワーク要素および/またはエンティティであり得る。具体的な形式は、実際の適用シナリオに応じて決定され得る。ここでは制限は課されない。
以下は、図1を参照して、本出願の実施形態に含まれるネットワーク要素および/またはエンティティのそれぞれを説明する。
a.端末デバイスは、例えば、ユーザ機器(user equipment、UE)である。本出願における端末デバイスは、音声および/またはデータ接続性をユーザに提供するデバイス(device)であり得、ワイヤレス端末および有線端末を含み得る。ワイヤレス端末は、ワイヤレス接続機能を備える手持ち型デバイス、またはワイヤレスモデムに接続された他の処理デバイスであり得、無線アクセスネットワークを使用することによって1つ以上のコアネットワークと通信するモバイル端末であり得る。例えば、ワイヤレス端末は、携帯電話、コンピュータ、タブレットコンピュータ、携帯情報端末(personal digital assistant、PDA)、モバイルインターネットデバイス(mobile Internet device、MID)、ウェアラブルデバイス、または電子書籍リーダ(e-book reader)などであり得る。他の例として、ワイヤレス端末は、代替的に、携帯モバイルデバイス、ポケットサイズのモバイルデバイス、手持ち型モバイルデバイス、コンピュータ内蔵モバイルデバイス、または車載モバイルデバイスであってもよい。他の例として、ワイヤレス端末は、移動局(mobile station)またはアクセスポイント(access point)であってもよい。UEは、端末デバイスの一タイプであり、ロングタームエボリューション(long term evolution、LTE)システムにおける端末デバイスの名前である。
端末デバイスは、事業者ネットワークによって提供される例えばデータおよび/または音声サービスを使用するために、事業者ネットワークによって提供されるインタフェース(例えば、N1)を使用することによって事業者ネットワークへの接続を確立し得る。端末デバイスは、DNで展開される事業者サービスおよび/または第三者によって提供されるサービスを使用するために事業者ネットワークを介してDNにさらにアクセスし得る。第三者は、事業者ネットワークおよび端末デバイス以外のサービスプロバイダであり得、例えば他のデータおよび/または音声サービスを端末デバイスに提供し得る。第三者の具体的な表現形式は、具体的には、実際の適用シナリオに応じて決定され得る。ここでは制限は課されない。
b.ANは、事業者ネットワークのサブネットワークであり、事業者ネットワーク上のサービスノードと端末デバイスとの間の実施システムである。事業者ネットワークに接続するために、端末デバイスは、最初にANに接続され、次に、ANを使用することによって事業者ネットワークのサービスノードに接続され得る。ANは、部分的または完全に従来の加入者ローカル回線ネットワークの代わりになり得るものであり、多重化、相互接続、および送信機能を含み得る。ANは、様々な加入者と事業者ネットワークのサービスノードとを接続し、狭帯域および広帯域サービスを含む様々なタイプのサービスの包括的なアクセスをサポートすることができるサブネットワークである。
c.AMFは、事業者ネットワークによって提供される制御プレーンネットワーク要素であり、事業者ネットワークへの端末デバイスのアクセスに関するアクセス制御およびモビリティ管理を担当する。
d.SMFは、事業者ネットワークによって提供される制御プレーンネットワーク要素であり、端末デバイスのPDUセッションを管理する役割を担う。PDUセッションは、PDU送信に使用されるチャネルである。端末デバイスは、DNとPDUを交換するためにPDUセッションに依存する。SMFは、例えばPDUセッションの確立、維持、および削除を担当する。
e.DNは、パケットデータネットワーク(packet data network、PDN)とも呼ばれ、事業者ネットワーク外に位置するネットワークである。事業者ネットワークは、複数のDNに接続され得る。複数のサービスは、例えばデータおよび/または音声サービスを端末デバイスに提供するためにDN上で展開され得る。例えば、DNはインテリジェントファクトリのプライベートネットワークであり、インテリジェントファクトリによってワークショップに設置されるセンサは端末デバイスであってもよく、センサの制御サーバはDN上に展開され、制御サーバはセンサにサービスを提供してもよい。センサは、例えば制御サーバの命令を取得し、命令に基づいて、収集されたセンサデータを制御サーバに送信するために、制御サーバと通信し得る。他の例として、DNは会社の内部オフィスネットワークであり、会社の従業員の携帯電話またはコンピュータは端末デバイスであってもよく、従業員の携帯電話またはコンピュータは、会社の内部オフィスネットワークの情報、データ、および他のリソースにアクセスし得る。
f.UDMは、事業者によって提供される制御プレーンネットワーク要素であり、加入者の永続的な識別子(subscriber permanent identifier、SUPI)、資格証明書(credential)、セキュリティコンテキスト(security context)、および加入データなどの、事業者ネットワークの加入者に関する情報を記憶する役割を担う。UDMによって記憶される情報は、事業者ネットワークへのアクセスに関する端末デバイスの認証および許可に使用され得る。事業者ネットワークの加入者は、具体的には、事業者ネットワークによって提供されるサービスを使用する加入者、例えば、China Telecomの携帯電話チップカードを使用する加入者またはChina Mobileの携帯電話チップカードを使用する加入者であり得る。加入者のSUPIは、例えば、携帯電話チップカードの番号であり得る。加入者の資格証明書およびセキュリティコンテキストは、例えば携帯電話チップカードの暗号化鍵または携帯電話チップカードの暗号化に関連する情報を記憶する小さなファイルであり得、認証および/または許可に使用される。セキュリティコンテキストは、加入者のローカル端末(例えば、携帯電話)に記憶されるクッキー(cookie)またはトークン(token)などであり得る。加入者の加入データは、携帯電話チップカードに付随するサービス、例えば、携帯電話チップカードのためのトラフィックパッケージまたは携帯電話チップカードによって使用されるネットワークであり得る。説明を容易にするために、永続的な識別子、資格証明書、セキュリティコンテキスト、認証クッキー(cookie)、およびトークンなどの、認証および許可に関連する情報は、本発明の本出願では差別または限定されないことに留意されたい。本出願の実施形態では、特に明記しない限り、セキュリティコンテキストが、説明のための例として使用される。しかしながら、本出願の実施形態は、他の方法で表現される認証および/または許可情報にも適用可能である。
g.AUSFは、事業者によって提供される制御プレーンネットワーク要素であり、通常、一次認証、すなわち、端末デバイス(加入者)と事業者ネットワークとの間の認証に使用される。加入者によって開始された認証要求を受信した後、AUSFは、UDMに記憶されている認証情報および/または許可情報を使用することによって加入者に対して認証および/または許可を実行し得るか、またはUDMを使用することによって加入者の認証および/または許可情報を生成し得る。AUSFは、認証情報および/または許可情報を加入者にフィードバックし得る。
h.NEFは、事業者によって提供される制御プレーンネットワーク要素である。NEFは、事業者ネットワークの外部インタフェースを安全な方法で第三者に公開する。SMFなどのネットワーク要素が第三者のネットワーク要素と通信する必要があるとき、NEFは、SMFなどのネットワーク要素と第三者のネットワーク要素との間の通信用のリレーとして機能し得る。リレーとして機能するとき、NEFは、加入者の識別子情報のトランスレータおよび第三者のネットワーク要素の識別子情報のトランスレータとして機能し得る。例えば、加入者のSUPIを事業者ネットワークから第三者に送信するとき、NEFは、SUPIをSUPIに対応する外部アイデンティティ(identity、ID)に変換し得る。逆に、外部ID(第三者のネットワーク要素のID)を事業者ネットワークに送信するとき、NEFは、外部IDをSUPIに変換し得る。
i.UPFは、事業者によって提供されるゲートウェイであり、事業者ネットワークとDNとの間の通信用のゲートウェイである。
j.PCFは、PDUセッションポリシーをSMFに提供するための、事業者によって提供される制御プレーン機能である。ポリシーは、例えば、課金関連ポリシー、サービス品質(quality of service、QoS)関連ポリシー、および許可関連ポリシーを含み得る。
図1において、Nnef、Nausf、Nnrf、Npcf、Nudm、Naf、Namf、Nsmf、N1、N2、N3、N4、およびN6は、インタフェースシリアル番号である。これらのインタフェースシリアル番号の意味については、3GPP仕様の定義を参照されたい。ここでは制限は課されない。
本出願の実施形態で説明されている二次認証は、二次認証と呼ばれる場合もある。説明を容易にするために、本出願の実施形態は、以下では二次認証を例として用いることによって説明される。
具体的な実施態様では、端末デバイスと事業者ネットワークとの間の一次認証(一次認証とも呼ばれる)が成功した後、端末デバイスがDNとセッション(例えば、PDUセッション)を確立する必要がある場合、二次認証は、事業者ネットワークを介して端末デバイスとDNとの間で実行される。PDUセッションの確立は、端末デバイスまたは事業者ネットワークのコアネットワーク(core network、CN)によってトリガされ得、認証は、事業者ネットワークのCNによって開始される。具体的には、端末デバイスは、認証要求を事業者ネットワークに送信し得、事業者ネットワークは、認証要求をDNに転送し得、DNは、DNに対応する認証サーバを使用することによってDNと端末デバイスとの間で認証および/または許可を行う。DNに対応する認証サーバは、認証、許可、およびアカウンティングサーバ((authentication,authorization,and accounting、AAA)Server、AAAサーバ)であり得る。DNに対応する認証サーバによって端末デバイスに対して実行された認証および/または許可の結果は、DNによって事業者ネットワークにフィードバックされ、事業者ネットワークは、結果に基づいて、端末デバイスのために対応するセッション接続を確立するかどうかを判定する。
二次認証は、現在、3GPP 5Gの仕様(TS 23.502およびTS 33.501)で、端末デバイスと事業者ネットワーク外のDNとの間の認証のための任意選択の認証メカニズムとして受け入れられている。図2Aおよび図2Bは、本出願の一実施形態による二次認証の認証相互作用の概略図である。図2Aおよび図2Bに示されている認証相互作用の概略図に含まれるステップならびにこれらのステップに関して説明されている実施態様は、単なる例に過ぎない。具体的な実施態様において、図2Aおよび図2Bに示されているステップおよび/またはネットワーク要素は、実際の適用シナリオの要件に応じて、例えば、追加、削除、または変更され得る。ここでは制限は課されない。図2Aおよび図2Bに示されている二次認証相互作用プロセスは、以下のステップを含み得る。
1.端末デバイスは、登録要求をAMFに送信する。
2.端末デバイスと事業者ネットワークとの間で一次認証を行う。
具体的な実施態様では、端末デバイスによって送信された登録要求を受信した後、AMFは、端末デバイスと事業者ネットワークとの間の一次認証を行うようにAUSFをトリガし得る。
任意選択で、AUSFが端末デバイスと事業者ネットワークとの間の一次認証を行うプロセスで、AUSFは、一次認証に必要とされる認証情報をUDMから取得し得、UDMによって生成または記憶された認証情報に基づいて端末デバイスと事業者ネットワークとの間の一次認証をさらに実施し得る。
3.端末デバイスとAMFとの間で非アクセス層(non-access stratum、NAS)セキュリティを確立する。
具体的な実施態様では、端末デバイスと事業者ネットワークとの間の一次認証が成功した後、AMFは、端末デバイスとの間でNASセキュリティを確立し得る。NASは、ユニバーサルモバイルテレコミュニケーションシステム(universal mobile telecommunications system、UMTS)のワイヤレス通信プロトコルスタックに存在し、CNと端末デバイスとの間の機能層として機能する。NASは、CNと端末デバイスとの間のシグナリングおよび/またはデータ送信をサポートする。
4.端末デバイスは、セッション確立要求を開始する。
端末デバイスとAMFとの間にNASが確立された後、端末デバイスは、AMFへのセッション確立要求を開始し得る。セッション確立要求は、NASメッセージに埋め込まれ、AMFに送信される。セッション確立要求は、具体的には、PDUセッションの確立を要求するために使用され得る。
5.AMFは、セッション確立要求をSMFに送信する。
端末デバイスによって送信されたNASメッセージを受信した後、AMFは、セッション確立要求を取得するためにNASメッセージを復号し、次に、セッション確立要求をSMFに送信し得る。SMFは、セッション確立要求によって確立が要求されたPDUセッションが接続を要求するSMFである。
6.SMFは、加入データを確認する。
セッション確立要求を受信した後、SMFは、セッション確立要求で搬送された認証情報を取得する。SMFは、UDMに事前に記憶された加入データを取得し、UDMに記憶されている加入データに基づいて、セッション確立要求で搬送された認証情報が加入データと同じかどうかをさらに確認し得る。確認の結果が、認証情報が加入データと同じであることである場合、ステップ7が実行され得る。
7.SMFは、拡張認証プロトコル(extensible authentication protocol、EAP)認証手順を開始する。
8.SMFは、EAP要求およびアイデンティティ情報要求を端末デバイスに送信する。
9.端末デバイスは、EAP応答およびアイデンティティ情報をSMFにフィードバックする。
10.SMFは、UPFへのN4インタフェースセッション接続の確立を開始する。
11.SMFは、UPFを使用することによって端末デバイスのEAP応答およびアイデンティティ情報をDNおよびAAAサーバに送信する。
SMFは、ステップ10で確立されたN4インタフェースセッション接続を介して、端末デバイスから送信されたEAP応答および認証情報をUPFに送信する。UPFは、端末デバイスのEAP応答およびアイデンティティ情報をDNおよびAAAサーバに送信する。
12.DNは、端末デバイスに対して認証および/または許可を行う。
端末デバイスは、DNによる端末デバイスに対する認証を完了するために、DN(およびAAAサーバ)と複数のEAPメッセージを交換する。
交換されるEAPメッセージのメッセージタイプまたは端末デバイスとDNとの間の相互作用方法などの詳細は、使用される具体的なEAP認証方法に依存する。ここでは制限は課されない。
13.DNは、UPFを使用することによって認証成功メッセージをSMFに送信する。
端末デバイスがDNによって認証された場合、DNは、認証成功メッセージをUPFに送信し、UPFおよびN4インタフェースセッション接続を使用することによって認証成功メッセージをSMFに送信する。
14.SMFは、PDUセッション確立の他の手順を開始する。
DNによる端末デバイスに対するEAP認証が終了した後、SMFは、PDUセッション確立の他の手順を引き続き開始し得る。例えば:
15a.SMFは、N4インタフェースセッション変更要求をUPFに送信する。
15b.UPFは、N4インタフェースセッション変更応答をSMFにフィードバックする。
16.SMFは、AMFを使用することによってPDUセッション確立成功メッセージを端末デバイスに送信する。
SMFは、PDUセッション確立成功メッセージをAMFに送信し、AMFは、PDUセッション確立成功メッセージを端末デバイスに転送する。
ステップ1から16に記載された認証手順は、3GPP TS 33.501で提供されている二次認証手順であり、二次認証の通常の手順とも呼ばれる。
端末デバイスとAAAサーバとの間で交換される認証メッセージは、EAP認証フレームワークに基づく。EAP認証フレームワークは、認証に関してオープンである。EAP認証フレームワークは、認証方法のネゴシエーションをサポートし、数十の認証方法、および将来のより多くの認証方法への拡張をサポートし得る。EAPによって提供される認証メカニズムでは、アイデンティティ認証者(Authenticator)の役割が定義されている。図2Aおよび図2Bに示されている二次認証の認証手順では、SMFは、アイデンティティ認証者として機能する。端末デバイスとSMFとの間のEAPメッセージは、NASメッセージで搬送される。SMFとDNとの間のEAPメッセージは、3GPPの仕様で定義されている、SMFとUPFとの間のN4インタフェースおよびUPFとDNとの間のN6インタフェースを使用することによって伝送される。
ステップ1から16で説明されている認証手順から、二次認証の通常の手順では、PDUセッションごとに二次認証が実行され、端末デバイスがDNとPDUセッションを確立する必要があるたびに、前述の手順の二次認証が行われる必要があることが知られ得る。端末デバイスが、DNと複数のPDUセッションを確立する必要がある場合、端末デバイスは、DNとの間で複数の二次認証手順を実行する必要がある。
通常、1つの端末デバイスと1つのDNとの間の信頼関係は不変であり、したがって、実行される複数の同様の認証手順は、ネットワークリソース(例えば、無線スペクトルリソースもしくはネットワーク送信容量)および/または端末リソース(例えば、計算負荷もしくは電気容量)の著しい浪費をもたらす。各認証手順は、比較的長い時間を消費するため、不必要な待ち時間が生じる。その結果、端末デバイス認証の効率は低くなり、不必要な待ち時間が発生する。同様に、1つの端末デバイスが異なるDNとPDUセッションを確立する適用シナリオでは、異なるDNが同じ認証サーバ(例えば、AAAサーバ)を使用する場合、端末デバイスと異なるDNとの間で二次認証を複数回繰り返すことも、リソースの不必要な浪費をもたらし、待ち時間を長くし、PDUセッションの認証効率を低下させる。
本出願の実施形態は、1つの端末デバイスと1つのDN(または1つの認証サーバなど)との間で二次認証が複数回実行される適用シナリオで、1番目の二次認証の後、端末デバイスとDNとの間の他の二次認証に関して高速認証および/または許可が実行されるように、ネットワークセキュリティ管理方法および装置を提供する。これは、端末デバイス認証の効率を改善し、端末デバイス認証のリソース消費を低減する。
現在標準化されている3GPP TS 23.501では、以下のPDUセッションシナリオがサポートされていることが明確に強調されている。
1.1つの端末デバイスは、複数のPDUセッションを同時に確立し得、これらのPDUセッションは、同じDNまたは異なるDNに接続され得る。
2.1つの端末デバイスは、1つ以上のネットワークスライスに接続され得る。1つの端末デバイスが複数のネットワークスライスに接続される場合、アクセスを担当するコアネットワーク要素は、共通のAMFである。
本出願の実施形態で提供されるネットワークセキュリティ管理方法は、端末デバイスが2つ以上のPDUセッションを確立する適用シナリオに適用可能であり得る。説明を容易にするために、本出願の実施形態の以下の説明は、例として2つのPDUセッションを用いる。2つのPDUセッションは、同時に確立されるセッションであってもよいし、または異なる時間に確立されるセッションであってもよい。
2つのPDUセッションは、ネットワークスライス関連のシナリオに基づいて、主に以下の2つのカテゴリに分類され得る。
カテゴリ1:2つのPDUセッションは、同じネットワークスライスに属する。
図3は、本出願の一実施形態による端末デバイスのセッションの概略図である。図3に示されているように、ネットワークスライス1は、2つのPDUセッション:セッション1(Session1)およびセッション2(Session2)を含む。セッション1およびセッション2の両方は、ネットワークスライス1のSMFによって管理および/または制御される。
任意選択で、セッション1およびセッション2が同じネットワークスライスに属することは、具体的には、セッション1およびセッション2が同じSMFに属することとしても表され得る。これは、具体的には、ネットワークスライス選択支援情報(Network Slice Selection Assistance Information、NSSAI)またはネットワークスライスIDなどの情報によって示され得る。詳細は、実際の適用シナリオに応じて決定され得、ここでは制限は課されない。
セッション1およびセッション2の確立は、端末デバイスによって開始される。セッション1およびセッション2は、ANおよびAMFを通ってSMFに到達する。SMFによって管理および/または制御された後、セッション1およびセッション2は、それらが接続を要求したそれぞれのUPFおよびそれぞれのDNを使用することによって、認証のために同じAAAサーバに接続され得る。
任意選択で、図3に示されている適用シナリオでは、セッション1およびセッション2はまた、同じUPFを共有し得る。同様に、セッション1およびセッション2が同じUPFを共有するかどうかに関係なく、セッション1およびセッション2は、同じDNを共有し得る。同様に、セッション1およびセッション2はまた、異なるAAAサーバに接続され得る。しかしながら、この適用シナリオでは、セッション1およびセッション2に接続される2つの異なるAAAサーバは、2つの同期サーバである必要があるか、または1つの認証サーバグループの2つのAAAサーバである必要がある。
カテゴリ2:2つのPDUセッションは、2つの異なるネットワークスライスのセッションである。
図4は、本出願の一実施形態による端末デバイスのセッションの他の概略図である。図4に示されているように、端末デバイスは、事業者ネットワークへの2つのセッション:セッション1およびセッション2を開始する。図3に示されているシナリオとは異なり、図4に示されているシナリオでは、セッション1およびセッション2は、事業者ネットワークの2つの異なるネットワークスライスに属する。セッション1は、ネットワークスライス1に接続され、ネットワークスライス1のSMF1によって管理および/または制御される。セッション2は、ネットワークスライス2に接続され、ネットワークスライス2のSMF2によって管理および/または制御される。
任意選択で、セッション1の認証情報およびセッション2の認証情報は両方とも、事業者ネットワーク上のUDMによって記憶および/または管理され得る。SMF1は、セッション1の認証情報をローカル記憶スペースに記憶してもよいし、またはUDMに照会することによってセッション1の認証情報を取得してもよい。SMF1は、UDMに照会することによってセッション2の認証情報も取得し得、セッション1の認証情報およびセッション2の認証情報に基づいて、セッション1に対して高速認証を行うかどうかをさらに判定し得る。同様に、SMF2は、セッション2の認証情報をローカル記憶スペースに記憶してもよいし、またはUDMに照会することによってセッション2の認証情報を取得してもよい。SMF2は、UDMに照会することによってセッション1の認証情報も取得し得、セッション1の認証情報およびセッション2の認証情報に基づいて、セッション2の高速認証を行うかどうかをさらに判定し得る。
任意選択で、図4に示されている適用シナリオでは、セッション1およびセッション2はまた、同じUPFを共有し得る。同様に、セッション1およびセッション2が同じUPFを共有するかどうかに関係なく、セッション1およびセッション2は、同じDNを共有し得る。同様に、セッション1およびセッション2はまた、異なるAAAサーバに接続され得る。しかしながら、この適用シナリオでは、セッション1およびセッション2に接続される2つの異なるAAAサーバは、2つの同期サーバである必要があるか、または1つの認証サーバグループの2つのAAAサーバである必要がある。
任意選択で、前述のPDUセッション分類は、ネットワークスライス関連のシナリオに適用可能であり、非ネットワークスライスシナリオのPDUセッション分類にも適用可能である。例えば、前述のPDUセッション分類は、代替的に、UPFがPDUセッションの認証情報を記憶および/または管理し、UPFがPDUセッションの高速認証を行うかどうかを判定するUPF関連のシナリオに基づいてもよい。代替的に、前述のPDUセッション分類は、DNがPDUセッションの認証情報を記憶および/または管理し、DNがPDUセッションの高速認証を行うかどうかを判定するDN関連のシナリオに基づいてもよい。
以下は、例として、SMFがアイデンティティ認証者として機能する適用シナリオを使用することによって、本出願の実施形態で提供されるネットワークセキュリティ管理方法および装置を説明する。
実施形態1
実施形態1で説明されている実施態様は、前述のカテゴリ1のPDUセッションに適用可能であり得る。以下は、図5ならびに図6Aおよび図6Bを参照して、前述のカテゴリ1のPDUセッションに対応する適用シナリオにおける二次認証の実施態様を説明する。
実施形態1で説明されている実施態様は、前述のカテゴリ1のPDUセッションに適用可能であり得る。以下は、図5ならびに図6Aおよび図6Bを参照して、前述のカテゴリ1のPDUセッションに対応する適用シナリオにおける二次認証の実施態様を説明する。
図5は、本出願の一実施形態によるネットワークセキュリティ管理方法の概略フローチャートである。本出願のこの実施形態で提供される方法は、以下のステップを含む。
S51.端末デバイスは、PDUセッションの確立のためのセッション要求を送信する。
任意選択で、端末デバイスがDN(例えば、DN1)上のサービスにアクセスしようとするとき、端末デバイスは、DNとのセッションの確立のための要求を開始し得る。端末デバイスは、DN1とのPDUセッションの確立を要求するために、セッション要求をAMFに送信し得る。以下では、PDUセッションはセッション1であると仮定されている。
任意選択で、セッション要求は、セッション1の認証情報を含み得る。認証情報は、端末デバイスID、事業者ネットワーク上の端末デバイス加入ID、第1のデータネットワーク上の端末デバイス加入ID、セキュリティコンテキスト、加入データ、およびDNの識別子情報などを含み得る。本出願のこの実施形態で提供される実施態様は、1つの端末デバイスが複数のセッションを開始する場合に第2のセッションおよび第2のセッションの後の他のセッションの二次認証に適用可能である。事業者ネットワークは、端末デバイスIDなどの、セッションで搬送される情報に基づいて、セッションを開始する端末デバイスを決定し得、セッションが端末デバイスによって開始される1番目のセッション、2番目のセッション、または3番目のセッションなどであることをさらに決定し得る。
任意選択で、事業者ネットワーク上の端末デバイス加入ID、第1のデータネットワーク上の端末デバイス加入ID、およびセッションのセキュリティコンテキストのうち少なくとも1つまたは2つが、端末デバイスに対する認証、高速認証、または許可に使用される。
任意選択で、端末デバイスによって送信されたセッション要求を受信した後、AMFは、セッション要求をSMFまたはUPFなどのネットワーク要素に転送し得る。説明を容易にするために、本出願のこの実施形態の以下の説明は、例としてSMFを用いる。
S52.SMFは、端末デバイスによって送信されたセッション要求を受信する。
任意選択で、AMFによって転送されたセッション要求を受信した後、SMFは、セッション要求で搬送された認証情報に基づいて、セッション要求を開始した端末デバイスがDN1との間で二次認証を行ったかどうかを最初に判定し得る。
任意選択で、SMFは、SMFのローカル記憶スペースを検索することによって、端末デバイスのセッションの認証情報が含まれているかどうかを判定し得る。SMFのローカル記憶スペースが、端末デバイスのセッションの認証情報を含まない場合、セッション1は、端末デバイスによってSMFに対して開始された1番目のセッションであると決定され得る。SMFは、セッション要求で搬送された情報に基づいて、セッション1の二次認証の通常の手順、すなわち、図2Aおよび図2Bに示されている認証手順を開始し得る。
任意選択で、端末デバイスの各セッションの二次認証が成功した後、SMFは、セッションの認証情報をSMFのローカル記憶スペースに記憶し得る。さらに、新しいセッション要求が受信されると、それらが同じDNとの間の複数の二次認証に関するものであるかどうかが、セッションの認証情報の比較を通じて判定され得る。セッションが1つの端末デバイスと1つのDNとの間の複数のセッションである場合、1番目のセッションの後、他のすべてのセッションに対して高速認証方法が使用され得る。
S53.SMFは、第2のセッションの認証情報についてローカル記憶スペースに照会する。
任意選択で、SMFが、端末デバイスによって開始されたセッション1が端末デバイスとDN1とを接続する1番目のPDUセッションではないと判定した場合、SMFは、これの前に端末デバイスによってSMFに対して開始された他のセッション(以前のセッションと呼ばれる場合がある)の認証情報についてローカル記憶スペースに照会し得る。
SMFは、複数の以前のセッションの発見された認証情報に基づいて、複数の以前のセッションから第2のセッションを選択し、第2のセッションの認証情報に基づいて、セッション1に対して高速認証および/または許可を行うかどうかを判定し得る。以前のセッションの認証情報は、端末デバイスID、DN番号(DN number、DNN)、AAAサーバ識別子、および成功した認証の有効期限(または有効期間)などを含み得る。SMFは、各セッションの成功した認証の有効期限に基づいて複数の以前のセッションから、成功した認証の有効期限が来ていないセッションを第2のセッション(セッション2であると仮定され得る)として選択し得る。言い換えれば、セッション2の成功した認証は依然として有効期間内にある。
S54.SMFは、第1のセッションの認証情報および第2のセッションの認証情報に基づいて、DNと第1のセッションを確立することを端末デバイスに許可する。
任意選択で、セッション1の認証情報に含まれるDNNがセッション2の認証情報に含まれるDN識別子情報と同じである場合、端末デバイスは、DN1とセッション1を確立することまたはセッション1に対して二次認証の高速認証を行うことを直接許可され得る。
任意選択で、DN識別子情報は、DNN、DNに対応する認証サーバ(例えば、AAAサーバ)の識別子、およびDNに対応する認証サーバが属する同期認証サーバグループなどを含み得る。具体的な実施態様では、DN識別子情報の具体的な表現形式は、実際の適用シナリオの要件に応じて決定され得る。ここでは制限は課されない。
任意選択で、SMFは、SMFのローカル記憶スペースからセッション2のセキュリティコンテキストを取得し得、確立されるべきセッション1のセキュリティコンテキストがセッション2のセキュリティコンテキストと同じである場合、SMFは、DNとセッション1を確立することを端末デバイスに直接許可し得る。
任意選択で、SMFは、セッション2のセキュリティコンテキストなどの、SMFのローカル記憶スペースに記憶されている情報に基づいてセッション2の認証情報を更新し得、また、リプレイアタックを防ぐセキュリティ要件などのセキュリティ要件に基づいて、端末デバイスによってその後に開始されるセッション要求によって要求されるセッションの二次認証に使用するために、端末デバイスに記憶されている、セキュリティコンテキストなどのセッション2の認証情報を更新するように端末デバイスに命令し得る。
任意選択で、前述の二次認証の高速認証は、EAP再認証プロトコル(EAP extensions for EAP re-authentication protocol、ERP)を含み得る。EAP認証を使用するシステムでは、端末デバイスおよび認証サーバは、アイデンティティ認証者を使用することによって完全なEAP認証手順を実行する。端末デバイスがあるアイデンティティ認証者から他のアイデンティティ認証者に移動する(認証サーバは変更されない)とき、他の完全なEAP認証手順を実行する必要なく、ERPメカニズムを使用することによって、アイデンティティ認証者間の高速で安全な切り替えが実施され得る。本出願のこの実施形態では、1番目の二次認証は、完全なEAP認証に対応し、2番目の二次認証は、高速ERP再認証手順に対応する。ERPは1つのEAP認証方法に限定されないだけでなく、複数のEAP認証方法がサポートされることに留意されたい。
任意選択で、前述の二次認証の高速認証は、セキュアトンネリングによるEAPフレキシブル認証(EAP Flexible Authentication via Secure Tunneling、EAP-FAST)を含み得る。EAP-FASTプロトコルは、2つのステージを含む。ステージ1では、トランスポート層セキュリティ(transport layer security、TLS)プロトコルに基づいて、端末デバイスとDNとの間にセキュアトンネルが確立される。ステージ2では、セキュアトンネルを再確立する必要なく、セキュアトンネルが高速で復元され、これにより、安全で高速な接続確立が実施される。ここで適用されるEAP-FASTの場合、1番目の二次認証は、EAP-FASTのステージ1に対応し、2番目の二次認証は、ステージ2に対応する。
任意選択で、前述の二次認証の高速認証は、他の高速認証プロトコルを含み得る。ここでは制限は課されない。
前述の高速認証方法は、通常、物理認証ノード間で切り替えが実行されるときに実行される高速認証に使用される。本出願のこの実施形態では、物理認証ノード間で実行される前述の高速認証方法は、端末デバイスとDNとの間の二次認証の高速認証に使用され得る。ERPおよびEAP-FAST高速認証方法(これらについては、それぞれIETF EAPプロトコルRFC 6696およびRFC 4851への参照が行われ得る)によって提供される実施態様は、ここでは限定されない。
任意選択で、再認証などの前述の高速認証方法は、SMFによって開始され得、SMFは、セッション1に対して再認証などの高速認証および許可を行うようにAAAサーバをトリガするために、セッション認証要求をAAAサーバに送信する。
任意選択で、再認証などの前述に対して高速認証方法は、代替的に、SMFの認識なしでAAAサーバによって決定および/または開始され得る。SMFは、セッション1に対して高速認証を行うかどうかを判定するようにAAAサーバをトリガするために、セッション要求をAAAサーバに転送し得る。AAAサーバにフィードバックされた高速認証成功応答メッセージを受信すると、SMFは、DN1とセッション1を確立することを端末デバイスに許可し得る。
図6Aおよび図6Bは、本出願の一実施形態による高速認証の概略フローチャートである。本出願のこの実施形態で提供される二次認証の高速認証は、以下のステップを含み得る。
1.端末デバイスは、登録要求をAMFに送信する。
2.端末デバイスと事業者ネットワークとの間で一次認証を行う。
3.端末デバイスとAMFとの間でNASセキュリティを確立する。
ステップ1から3で説明されている実施態様は、図2Aおよび図2Bに示されている二次認証の通常の手順のステップ1から3のものと同じである。詳細はここでは繰り返されない。
4.端末デバイスは、セッション確立要求を開始する。
5.AMFは、セッション確立要求をSMFに送信する。
任意選択で、端末デバイスは、事業者ネットワークによって配信またはネゴシエートされた認証ポリシーに従って、図2Aおよび図2Bに示されている実施形態のステップ4のものと同じ実施態様を使用することによってセッション確立要求を開始し得る。任意選択で、端末デバイスは、確立されるように要求されたセッションの認証情報と、これより前に端末デバイスによって記憶された以前のセッションの、cookieおよび加入データなどの認証情報とをセッション確立要求に追加し、このセッション確立要求をSMFに送信し得る。
6.SMFは、加入データを確認する。
任意選択で、SMFによって加入データを確認する実施態様については、図2Aおよび図2Bに示されている実施形態の実施態様への参照が行われ得、詳細はここでは繰り返されない。
7.セッション1の認証情報およびセッション2の認証情報に基づいて、端末デバイスに対して二次認証を行うかどうかを判定する。
ステップ6における加入データの確認が成功し、PDUセッション(セッション1)に対して二次認証が行われる必要がある場合、SMFは、セッション1の認証情報に基づいて、高速認証および/または許可がサポートされているかどうか、すなわち、セッション1が高速認証要件を満たしているかどうかを判定し得る。
8.SMFは、認証情報が有効かどうかを確認する。
ステップ7で、セッション1が高速認証および許可をサポートしている(例えば、二次認証が成功しているセッション2がセッション1の前に存在する)と決定された場合、SMFは、cookieなどの認証情報が有効かどうかを確認し得る。cookieなどの認証情報が有効な場合、SMFは、DN1とセッション1を確立することを端末デバイスに直接許可し得る。
ステップ7で、セッション1が高速認証許可をサポートしていない(例えば、セッション1が、端末デバイスによってDN1と確立される1番目セッションである)と決定された場合、SMFは、二次認証の通常の手順(図2Aおよび図2Bに示されている認証手順)を使用することによってセッション1に対して二次認証を行い得る。
9および10.SMFは、EAP要求およびアイデンティティ情報要求を端末デバイスに送信し、端末デバイスは、EAP応答およびアイデンティティ情報をSMFにフィードバックする。
11.SMFは、EAP応答およびアイデンティティ情報をDNおよびAAAサーバに送信する。
SMFは、SMFとUPFとの間に確立されたセッション接続を介して、端末デバイスから送信された端末デバイスのEAP応答およびアイデンティティ情報をUPFに送信する。UPFは、端末デバイスのEAP応答およびアイデンティティ情報をDNおよびAAAサーバにさらに送信する。
12.AAAサーバは、選択された高速認証方法を使用することによってセッション1に対して高速認証を行う。
AAAサーバは、選択されたEAP高速認証方法を使用することによって、EAPプロトコルで定義された認証ポリシーに従ってセッション1に対して認証を行い得る。
13.DNは、UPFを使用することによって認証成功メッセージをSMFに送信する。
14および15.SMFは、PDUセッション確立成功メッセージをAMFに送信し、AMFは、PDUセッション確立成功メッセージを端末デバイスに転送する。
認証成功メッセージを受信した後、SMFは、DNとセッション1を確立することを端末デバイスに許可し得る。
任意選択で、ステップ9から13は、任意選択のステップである。ステップ9から13が必要とされるかどうかは、異なる認証ポリシーに依存する。PDUセッションが、直接許可方法のみをサポートしているか、または直接許可方法を優先的にサポートしている場合、ステップ8における成功の後、ステップ14および15が直接実行され得る。詳細は、実際の適用シナリオに応じて決定され得、ここでは制限は課されない。
本出願のこの実施形態では、SMFは、端末デバイスのPDUセッションの認証情報を記憶し得、端末デバイスが複数のPDUセッションを開始し、複数のPDUセッションが1つのSMFに属するとき、SMFは、ローカル記憶スペースに記憶されているPDUセッションの認証情報に基づいて、PDUセッションが高速認証をサポートしているかどうかを判定し、高速認証がサポートされている場合、PDUセッションに対して高速認証または直接許可を行う。本出願のこの実施形態で提供される二次認証の実施態様は、二次認証の実施手順を簡略化し、二次認証のシグナリングオーバヘッドなどのリソースを低減し、二次認証の効率を改善し得、したがって、より良い適用性を有する。
実施形態2
実施形態2で説明されている実施態様は、前述のカテゴリ2のPDUセッションに適用可能である。以下は、図7ならびに図8Aおよび図8Bを参照して、前述のカテゴリ2のPDUセッションに対応する適用シナリオにおける二次認証の実施態様を説明する。
実施形態2で説明されている実施態様は、前述のカテゴリ2のPDUセッションに適用可能である。以下は、図7ならびに図8Aおよび図8Bを参照して、前述のカテゴリ2のPDUセッションに対応する適用シナリオにおける二次認証の実施態様を説明する。
図7は、本出願の一実施形態によるネットワークセキュリティ管理方法の概略フローチャートである。本出願のこの実施形態で提供される方法は、以下のステップを含む。
S71.端末デバイスは、PDUセッションの確立のためのセッション要求を送信する。
S72.SMFは、端末デバイスによって送信されたセッション要求を受信する。
任意選択で、ステップS71およびS72の具体的な実施態様については、実施形態1のステップS51およびS52で提供されている実施態様への参照が行われ得る。詳細はここでは繰り返されない。
S73.SMFは、第2のセッションの認証情報についてUDMに照会する。
任意選択で、セッション1およびセッション2は、1つのSMFに属さず(例えば、SMF1およびSMF2に属し)、したがって、確立されるべきセッション1が接続されるSMFは、第2のセッションの認証情報は記憶していないか、または記憶しない。SMF間には直接のインタフェースが存在せず、この場合、cookieまたは加入データなどの対応する認証情報は、UDMまたはDNのAAAサーバ(すなわち、第2のネットワークデバイス、SMF1が第1のネットワークデバイスである)に記憶され得る。
任意選択で、SMFは、端末デバイスによって以前に開始された複数のセッションの、UDMに記憶されている認証情報について照会するために、UDMなどのネットワーク要素に認証情報照会要求を送信し得る。さらに、SMFは、認証情報が依然として有効期間内にある第2のセッション(例えば、セッション2)の認証情報についてUDMに照会し得る。セッション2の前述の認証情報の具体的な表現形式については、前述の実施形態で説明された実施態様を参照されたい。詳細はここでは繰り返されない。任意選択で、本出願のこの実施形態で説明されている認証情報照会要求は、代替的に、他の方法、例えば、照会要求またはデータ要求で説明され得る。詳細は、実際の適用シナリオに応じて決定され得、ここでは制限は課されない。
任意選択で、事業者ネットワーク上の端末デバイス加入ID、第1のデータネットワーク上の端末デバイス加入ID、およびセッションのセキュリティコンテキストのうち少なくとも1つまたは2つが、端末デバイスに対する認証、高速認証、または許可に使用される。
S74.SMFは、第1のセッションの認証情報および第2のセッションの認証情報に基づいて、DNと第1のセッションを確立することを端末デバイスに許可する。
任意選択で、SMFは、セッション1の認証情報と、UDMなどのネットワーク要素に照会することによって取得されるセッション2の認証情報とに基づいて、セッション1に対して二次認証の高速認証を行うかどうか、またはDNとセッション1を確立することを端末デバイスに直接許可するかどうかを判定し得る。具体的な実施態様については、実施形態1のステップS74で説明されている実施態様を参照されたい。詳細はここでは繰り返されない。
任意選択で、SMFは、端末デバイスによって以前に開始されたセッションのセキュリティコンテキストをUDMから取得するように要求するために、セキュリティコンテキスト照会要求をUDMなどのネットワーク要素に送信し、セキュリティコンテキストからセッション2のセキュリティコンテキストを選択し得る。さらに、セッション1のセキュリティコンテキストがセッション2のセキュリティコンテキストと同じである場合、端末デバイスは、DNとセッション1を確立することを直接許可され得る。本出願のこの実施形態で提供されるセキュリティコンテキスト照会要求は、代替的に、他の方法、例えば、照会要求またはセキュリティコンテキスト取得要求で説明され得る。詳細は、実際の適用シナリオに応じて決定され得、ここでは制限は課されない。
任意選択で、SMFは、代替的に、セッション認証または許可ポリシー照会要求をUDMに送信し、UDMによってフィードバックされたセッション認証または許可ポリシーに従って、DNとセッション1を確立する権限および付与される権限範囲を端末デバイスに付与し得る。任意選択で、本出願のこの実施形態で説明されているセッション認証または許可ポリシー照会要求は、代替的に、他の方法、例えば、認証または許可ポリシー要求で説明され得る。詳細は、実際の適用シナリオに応じて決定され得、ここでは制限は課されない。本出願のこの実施形態で説明されているセッション認証または許可ポリシーは、代替的に、他の方法で説明され得る。詳細は、実際の適用シナリオに応じて決定され得、ここでは制限は課されない。
図8Aおよび図8Bは、本出願の一実施形態による高速認証の他の概略フローチャートである。本出願のこの実施形態で提供される二次認証の高速認証は、以下のステップを含み得る。
1.端末デバイスは、登録要求をAMFに送信する。
2.端末デバイスと事業者ネットワークとの間で一次認証を行う。
3.端末デバイスとAMFとの間でNASセキュリティを確立する。
ステップ1から3で説明されている実施態様は、図2Aおよび図2Bに示されている二次認証の通常の手順のステップ1から3のものと同じである。詳細はここでは繰り返されない。
4.端末デバイスは、セッション確立要求を開始する。
5.AMFは、セッション確立要求をSMFに送信する。
任意選択で、端末デバイスは、事業者ネットワークによって配信またはネゴシエートされた認証ポリシーに従って、図2Aおよび図2Bに示されている実施形態のステップ4のものと同じ実施態様を使用することによってセッション確立要求を開始し得る。任意選択で、端末デバイスは、確立されるように要求されたセッションの認証情報と、これより前に端末デバイスによって記憶された以前のセッションの、cookieおよび加入データなどの認証情報とをセッション確立要求に追加し、このセッション確立要求をSMFに送信し得る。
6.SMFは、加入データを確認する。
任意選択で、SMFは、UDMから端末デバイスの加入データを取得し、UDMに記憶されている端末デバイスの加入データが、端末デバイスによって送信され、かつセッション確立要求で搬送された加入データと同じかどうかを確認し得る。加入データが同じであることが確認され、PDUセッション(セッション1)に対して二次認証が行われる必要がある場合、SMFは、セッション1の認証情報に基づいて、高速認証および/または許可がサポートされているかどうか、すなわち、セッション1が高速認証要件を満たしているかどうかを判定し得る。
さらに、SMFは、SMF ID、DNN、およびAAAサーバ識別子などの、以前に認証されたPDUセッションに対応するDNの識別子情報を含む、端末デバイスによって既に認証されているセッションの認証情報をUDMから取得し得る。UDM内の情報がリアルタイムで更新されない場合、SMFは、以前に認証されたPDUセッションに対応するDNの識別子情報の有効期限などの情報をUDMからさらに取得し得る。
7.セッション1の認証情報およびセッション2の認証情報に基づいて、端末デバイスに対して二次認証を行うかどうかを判定する。
ステップ6における加入データの確認が成功し、PDUセッション(セッション1)に対して二次認証が行われる必要がある場合、SMFは、セッション1の認証情報と、UDMに照会することによって取得された以前のセッションの認証情報とに基づいて、セッション1が高速認証要件を満たしているかどうかを判定し得る。セッション1の認証情報および以前のセッション(例えば、セッション2)の認証情報に基づいて、セッション1に対して高速認証を行うかどうかを判定する実施態様については、前述の実施態様を参照されたい。詳細はここでは繰り返されない。
セッション1が高速認証許可をサポートしている(例えば、二次認証が成功しているセッション2がセッション1の前に存在する)と決定された場合、SMFは、DN1とセッション1を確立することを端末デバイスに直接許可し得る。
セッション1が高速認証許可をサポートしていない(例えば、セッション1が、端末デバイスによってDN1と確立される1番目のセッションである)と決定された場合、SMFは、二次認証の通常の手順(図2Aおよび図2Bに示されている認証手順)を使用することによってセッション1に対して二次認証を行い得る。
8および9.SMFは、EAP要求およびアイデンティティ要求情報を端末デバイスに送信し、端末デバイスは、EAP応答およびアイデンティティ情報をSMFにフィードバックする。
10.SMFは、端末デバイスのEAP応答およびアイデンティティ情報をDNおよびAAAサーバに送信する。
SMFは、SMFとUPFとの間に確立されたセッション接続を介して、端末デバイスから送信された端末デバイスのEAP応答およびアイデンティティ情報をUPFに送信する。UPFは、端末デバイスのEAP応答およびアイデンティティ情報をDNおよびAAAサーバにさらに送信する。
11.AAAサーバは、選択された高速認証方法を使用することによってセッション1に対して高速認証を行う。
AAAサーバは、選択されたEAP高速認証方法を使用することによって、EAPプロトコルで定義された認証ポリシーに従ってセッション1に対して認証を行い得る。
12.DNは、UPFを使用することによって認証成功メッセージをSMFに送信する。
13および14.SMFは、PDU確立成功メッセージをAMFに送信し、AMFは、PDU確立成功メッセージを端末デバイスに転送する。
認証成功メッセージを受信した後、SMFは、DNとセッション1を確立することを端末デバイスに許可し得る。
任意選択で、ステップ8から12は、任意選択のステップである。ステップ8から12が必要とされるかどうかは、異なる認証ポリシーに依存する。PDUセッションが、直接許可方法のみをサポートしているか、または直接許可方法を優先的にサポートしている場合、ステップ7における成功の後、ステップ13および14が直接実行され得る。詳細は、実際の適用シナリオに応じて決定され得、ここでは制限は課されない。
本出願のこの実施形態では、UDMは、端末デバイスのPDUセッションの認証情報を記憶し得、端末デバイスが複数のPDUセッションを開始し、複数のPDUセッションが異なるSMFに属するとき、どのSMFも、端末デバイスによって既に認証されているセッションの認証情報についてUDMに照会する。SMFは、UDMに記憶されているPDUセッションの認証情報と、セッション確立要求によって確立されるように要求されたPDUセッションとに基づいて、高速認証がサポートされているかどうかを判定し、高速認証がサポートされている場合、PDUセッションに対して高速認証または直接許可を行う。本出願のこの実施形態では、UDMは、端末デバイスのPDUセッションの認証情報を記憶し得、SMFは、端末デバイスのPDUセッションの認証情報についてUDMに照会し得、さらに、セッション確立要求によって確立されるように要求されたPDUセッションの認証情報に基づいて、PDUセッションの高速認証を決定または実行し得る。これは、高速認証の実施態様を多様化する。本出願のこの実施形態で提供される二次認証の実施態様は、二次認証の実施手順を簡略化し、二次認証のシグナリングオーバヘッドなどのリソースを低減し、二次認証の効率を改善し得、したがって、より良い適用性を有する。
図9は、本出願の一実施形態によるネットワークセキュリティ管理システムの概略構造図である。本出願のこの実施形態で提供されるネットワークセキュリティ管理システムは、端末デバイス、事業者ネットワークのネットワークデバイス、およびデータネットワークの認証サーバを含み得る。事業者ネットワークのネットワークデバイスは、第1のネットワークデバイス90および第2のネットワークデバイス100を含み得る。第1のネットワークデバイス90は、具体的には、前述の実施形態で説明されたアイデンティティ認証者、例えば、SMFなどのデバイスであり得る。第1のネットワークデバイス90は、トランシーバユニット91、処理ユニット92、および記憶ユニット93を含み得る。
記憶ユニット93は、端末デバイスの加入データおよび/または端末デバイスのセッションの認証情報を記憶するように構成される。
トランシーバユニット91は、端末デバイスによって送信されたセッション要求を受信し、セッション要求は、第1のデータネットワークとの第1のセッションの確立を要求するために使用され、セッション要求は、第1のセッションの第1の認証情報を含む、ように構成される。
処理ユニット92は、トランシーバユニット91によって受信された第1の認証情報と、端末デバイスの第2のセッションのプリセットされた第2の認証情報とに基づいて、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するように構成される。
任意選択で、第1の認証情報は、第1のデータネットワークの識別子情報を含み、第2の認証情報は、第2のセッションが接続されている第2のデータネットワークの識別子情報を含み、
処理ユニット92は、
第2のデータネットワークのプリセット識別子情報を取得し、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じである場合、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可する
ように構成される。
処理ユニット92は、
第2のデータネットワークのプリセット識別子情報を取得し、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じである場合、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可する
ように構成される。
任意選択で、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じであることは、以下のうち少なくとも1つ、すなわち、
第1のデータネットワークのデータネットワーク番号DNNが第2のデータネットワークのDNNと同じであること、または
第1のデータネットワークの認証サーバが第2のデータネットワークの認証サーバと同じであること、または
第1のデータネットワークの認証サーバが属する同期認証サーバグループが第2のデータネットワークの認証サーバが属する同期認証サーバグループと同じであること
のうち少なくとも1つを含む。
第1のデータネットワークのデータネットワーク番号DNNが第2のデータネットワークのDNNと同じであること、または
第1のデータネットワークの認証サーバが第2のデータネットワークの認証サーバと同じであること、または
第1のデータネットワークの認証サーバが属する同期認証サーバグループが第2のデータネットワークの認証サーバが属する同期認証サーバグループと同じであること
のうち少なくとも1つを含む。
任意選択で、事業者ネットワークは、第2のネットワークデバイスをさらに含み、
トランシーバユニット91は、
認証情報照会要求を第2のネットワークデバイスに送信し、認証情報照会要求は、端末デバイスのセッションの認証情報について照会するために使用され、
第2のネットワークデバイスによってフィードバックされた第2のセッションの第2の認証情報を受信し、第2の認証情報から第2のデータネットワークの識別子情報を取得し、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの第2の認証情報または許可情報は、依然として有効期間内にある、
ようにさらに構成される。
トランシーバユニット91は、
認証情報照会要求を第2のネットワークデバイスに送信し、認証情報照会要求は、端末デバイスのセッションの認証情報について照会するために使用され、
第2のネットワークデバイスによってフィードバックされた第2のセッションの第2の認証情報を受信し、第2の認証情報から第2のデータネットワークの識別子情報を取得し、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの第2の認証情報または許可情報は、依然として有効期間内にある、
ようにさらに構成される。
任意選択で、第1の認証情報は、第1のセッションによって使用される第1のセキュリティコンテキストをさらに含み、第2の認証情報は、第2のセッションによって使用される第2のセキュリティコンテキストをさらに含み、
処理ユニット92は、
プリセットされた第2のセキュリティコンテキストを取得し、第2のセキュリティコンテキストが第1のセキュリティコンテキストと同じである場合、データネットワークと第1のセッションを確立することを端末デバイスに許可する
ように構成される。
処理ユニット92は、
プリセットされた第2のセキュリティコンテキストを取得し、第2のセキュリティコンテキストが第1のセキュリティコンテキストと同じである場合、データネットワークと第1のセッションを確立することを端末デバイスに許可する
ように構成される。
任意選択で、処理ユニット92は、第2のセキュリティコンテキストを更新するようにさらに構成され、
トランシーバユニット91は、端末デバイスに記憶されている第2のセッションのセキュリティコンテキストを更新するよう端末デバイスに命令するようにさらに構成される。
トランシーバユニット91は、端末デバイスに記憶されている第2のセッションのセキュリティコンテキストを更新するよう端末デバイスに命令するようにさらに構成される。
任意選択で、トランシーバユニット91は、セキュリティコンテキスト照会要求を第2のネットワークデバイスに送信し、セキュリティコンテキスト照会要求は、端末デバイスのセッションのセキュリティコンテキストについて照会するために使用される、ようにさらに構成され、
トランシーバユニット91は、第2のネットワークデバイスによってフィードバックされた第2のセッションの第2のセキュリティコンテキストを受信するようにさらに構成され、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションのセキュリティコンテキストは依然として有効期間内にある。
トランシーバユニット91は、第2のネットワークデバイスによってフィードバックされた第2のセッションの第2のセキュリティコンテキストを受信するようにさらに構成され、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションのセキュリティコンテキストは依然として有効期間内にある。
任意選択で、トランシーバユニット91は、セッション認証または許可ポリシー照会要求を第2のネットワークデバイスに送信するようにさらに構成され、
トランシーバユニット91は、第2のネットワークデバイスによってフィードバックされたセッション認証または許可ポリシーを受信するようにさらに構成され、
処理ユニット92は、トランシーバユニットによって受信されたセッション認証または許可ポリシーに従って、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するようにさらに構成される。
トランシーバユニット91は、第2のネットワークデバイスによってフィードバックされたセッション認証または許可ポリシーを受信するようにさらに構成され、
処理ユニット92は、トランシーバユニットによって受信されたセッション認証または許可ポリシーに従って、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するようにさらに構成される。
任意選択で、トランシーバユニット91は、第1のデータネットワークの識別子情報が第2のデータネットワークの識別子情報と同じであるときに、セッション認証要求を第1のデータネットワークの認証サーバに送信し、セッション認証要求は、第2の認証情報に基づいて第1のセッションに対して高速認証を開始するように認証サーバに命令するために使用される、ようにさらに構成され、
処理ユニット92は、トランシーバユニットが認証サーバによってフィードバックされた高速認証成功応答メッセージを受信したときに、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成される。
処理ユニット92は、トランシーバユニットが認証サーバによってフィードバックされた高速認証成功応答メッセージを受信したときに、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成される。
任意選択で、トランシーバユニット91は、セッション要求を第1のデータネットワークの認証サーバに転送するようにさらに構成される。セッション要求は、第1のセッションに対して高速認証を行うかどうかを判定するように認証サーバをトリガするために使用され、
処理ユニット92は、トランシーバユニット91が認証サーバによってフィードバックされた高速認証成功応答メッセージを受信したときに、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成される。
処理ユニット92は、トランシーバユニット91が認証サーバによってフィードバックされた高速認証成功応答メッセージを受信したときに、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するようにさらに構成される。
事業者ネットワーク上の第2のネットワークデバイス100は、具体的には、前述の実施形態で説明されたUDMなどのデータ管理ネットワーク要素であり得る。第2のネットワークデバイス100は、記憶ユニット101、トランシーバユニット102、および処理ユニット103を含み得る。記憶ユニット101は、端末デバイスの加入データおよび/または端末デバイスのセッションの認証情報を記憶するように構成される。
トランシーバユニット102は、第2のネットワークデバイスによって送信された認証情報照会要求を受信し、認証情報照会要求は、端末デバイスの識別子情報を含む、ように構成される。
トランシーバユニット102は、第1のデータネットワークと第1のセッションを確立することを端末デバイスに許可するように第2のネットワークデバイスをトリガするために、端末デバイスのセッションの認証情報を第2のネットワークデバイスにフィードバックするように構成される。
端末デバイスのセッションは、第1のデータネットワークに接続するために端末デバイスによって開始された少なくとも1つのセッションを含む。
任意選択で、端末デバイスのセッションの認証情報は、以下のうち少なくとも1つ、すなわち、端末デバイスID、事業者ネットワーク上の端末デバイス加入ID、第1のデータネットワーク上の端末デバイス加入ID、セッションが接続されている、事業者ネットワークのネットワークデバイスのID、セッションのセキュリティコンテキスト、セッションが接続されているデータネットワークの識別子情報、セッションが接続されている認証サーバの識別子情報、および成功したセッション認証の有効期間のうち少なくとも1つを含む。
任意選択で、事業者ネットワーク上の端末デバイス加入ID、第1のデータネットワーク上の端末デバイス加入ID、およびセッションのセキュリティコンテキストのうち少なくとも1つまたは2つが、端末デバイスに対する認証、高速認証、または許可に使用される。
任意選択で、認証情報照会要求は、第1のデータネットワークの識別子情報をさらに含み、
ネットワークデバイスは、
記憶ユニットに事前に記憶された、端末デバイスの複数のセッションから、第1のデータネットワークに接続されている第2のセッションを決定するように構成された処理ユニット103
をさらに含み、トランシーバユニット102は、処理ユニットによって決定された第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするように構成され、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの認証情報または許可情報は依然として有効期間内にある。
ネットワークデバイスは、
記憶ユニットに事前に記憶された、端末デバイスの複数のセッションから、第1のデータネットワークに接続されている第2のセッションを決定するように構成された処理ユニット103
をさらに含み、トランシーバユニット102は、処理ユニットによって決定された第2のセッションの認証情報を第2のネットワークデバイスにフィードバックするように構成され、
第2のセッションは、端末デバイスの複数のセッションのうち少なくとも1つであり、第2のセッションの認証情報または許可情報は依然として有効期間内にある。
任意選択で、記憶ユニット101は、セッション認証または許可ポリシーを記憶するようにさらに構成され、
トランシーバユニット102は、第2のネットワークデバイスによって送信されたセッション認証または許可ポリシー照会要求を受信し、セッション認証または許可ポリシーを第2のネットワークデバイスにフィードバックするようにさらに構成され、
セッション認証または許可ポリシーは、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するように第2のネットワークデバイスに命令するために使用される。
トランシーバユニット102は、第2のネットワークデバイスによって送信されたセッション認証または許可ポリシー照会要求を受信し、セッション認証または許可ポリシーを第2のネットワークデバイスにフィードバックするようにさらに構成され、
セッション認証または許可ポリシーは、第1のデータネットワークと第1のセッションを確立する権限範囲を端末デバイスに付与するように第2のネットワークデバイスに命令するために使用される。
特定の実施態様では、第1のネットワークデバイス(例えば、SMF)および第2のネットワークデバイス(例えば、UDM)は、第1のネットワークデバイスに組み込まれたユニットおよび第2のネットワークデバイスのそれを使用することによって、前述の実施形態ではSMFまたはUDMによって実行される実施態様を実行し得る。詳細はここでは繰り返されない。
図10は、本出願の一実施形態による通信デバイスの概略構造図である。図10に示されているように、本出願のこの実施形態で提供される通信デバイス110は、プロセッサ111、メモリ112、トランシーバ113、およびバスシステム114を含む。
プロセッサ111、メモリ112、およびトランシーバ113は、バスシステム114を使用することによって接続される。
メモリ112は、通信デバイスのプログラムおよび/または処理データを記憶するように構成される。具体的には、プログラムは、プログラムコードを含み得、プログラムコードは、コンピュータ動作命令を含む。メモリ112は、ランダムアクセスメモリ(random access memory、RAM)、読み出し専用メモリ(read-only memory、ROM)、消去可能プログラマブル読み出し専用メモリ(erasable programmable read only memory、EPROM)、またはコンパクトディスク読み出し専用メモリ(compact disc read-only memory、CD-ROM)を含むが、これらに限定されない。図10では、1つのメモリのみが示されている。もちろん、必要に応じて複数のメモリが構成されてもよい。代替的に、メモリ112は、プロセッサ111内のメモリであってもよい。ここでは制限は課されない。
メモリ112は、以下の要素、すなわち、実行可能モジュールもしくはデータ構造、またはそのサブセット、またはその拡張セット、
様々な動作を実施するために使用される、様々な動作命令を含む動作命令、および
様々な基本サービスを実施し、ハードウェアベースのタスクを処理するために使用される、様々なシステムプログラムを含むオペレーティングシステム
を記憶する。
様々な動作を実施するために使用される、様々な動作命令を含む動作命令、および
様々な基本サービスを実施し、ハードウェアベースのタスクを処理するために使用される、様々なシステムプログラムを含むオペレーティングシステム
を記憶する。
プロセッサ111は、通信デバイス110の動作を制御する。プロセッサ111は、1つ以上の中央処理装置(central processing unit、CPU)であってもよい。プロセッサ111が1つのCPUである場合、CPUは、シングルコアCPUであってもよいし、またはマルチコアCPUでもよい。
具体的な適用時、通信デバイス110の構成要素は、バスシステム114を使用することによって互いに結合される。データバスに加えて、バスシステム114は、電力バス、制御バス、および状態信号バスなどを含む。しかしながら、明確な説明のために、様々なタイプのバスは、図10ではバスシステム114として示されており、図示を容易にするために、図10では単に模式的に描かれている。
本出願の前述の実施形態で提供された図2Aおよび図2B、図5、図6Aおよび図6B、図7、もしくは図8Aおよび図8B、または前述の実施形態で開示されたSMFによって実行される方法、または前述の実施形態で開示されたUDMもしくはAAAサーバによって実行される方法は、プロセッサ111に適用され得るし、またはプロセッサ111によって実施され得る。プロセッサ111は、集積回路チップであってもよく、信号処理能力を有する。実施プロセスでは、前述の方法のステップは、プロセッサ111のハードウェア集積論理回路を使用することによって、またはソフトウェア形態の命令を使用することによって実施され得る。プロセッサ111は、汎用プロセッサ、デジタル信号プロセッサ(digital signal processor、DSP)、特定用途向け集積回路(application specific integrated circuit、ASIC)、フィールドプログラマブルゲートアレイ(field-programmable gate array、FPGA)、もしくは他のプログラマブル論理デバイス、ディスクリートゲートもしくはトランジスタ論理デバイス、またはディスクリートハードウェア構成要素であり得る。プロセッサ111は、本出願の実施形態で開示されている方法、ステップ、および論理ブロック図を実施または実行し得る。汎用プロセッサは、マイクロプロセッサであってもよいし、またはプロセッサは、任意の従来のプロセッサなどであってもよい。本出願の実施形態を参照して開示された方法のステップは、ハードウェア復号プロセッサを使用することによって直接実行および完了されてもよいし、または復号プロセッサのハードウェアおよびソフトウェアモジュールの組み合わせを使用することによって実行および完了されてもよい。ソフトウェアモジュールは、ランダムアクセスメモリ、フラッシュメモリ、読み出し専用メモリ、プログラマブル読み出し専用メモリ、電気的消去可能プログラマブルメモリ、またはレジスタなどの、当技術分野の成熟した記憶媒体に配置され得る。記憶媒体は、メモリ112に配置される。プロセッサ111は、メモリ112内の情報を読み出し、そのハードウェアと共に、図2Aおよび図2B、図5、図6Aおよび図6B、図7、もしくは図8Aおよび図8B、または前述の実施形態で開示されたSMFによって実行される方法、または前述の実施形態で開示されたUDMもしくはAAAサーバによって実行される方法を実行する。
前述の説明は、単なる本出願の特定の実施態様に過ぎず、本出願の保護範囲を限定することを意図されていない。本出願で開示された技術的範囲内で当業者によって容易に考え出されるいかなる変形または置換も、本出願の保護範囲内にあるものとする。
90 第1のネットワークデバイス
91 トランシーバユニット
92 処理ユニット
93 記憶ユニット
100 第2のネットワークデバイス
101 記憶ユニット
102 トランシーバユニット
103 処理ユニット
110 通信デバイス
111 プロセッサ
112 メモリ
113 トランシーバ
114 バスシステム
91 トランシーバユニット
92 処理ユニット
93 記憶ユニット
100 第2のネットワークデバイス
101 記憶ユニット
102 トランシーバユニット
103 処理ユニット
110 通信デバイス
111 プロセッサ
112 メモリ
113 トランシーバ
114 バスシステム
Claims (9)
- ネットワークセキュリティ管理方法であって、前記方法は、
端末デバイスによって送信されたセッション要求を、事業者ネットワーク上のネットワークデバイスによって受信するステップであって、前記セッション要求は、前記事業者ネットワーク外のデータネットワークとの第1のセッションの確立を要求するために使用され、前記セッション要求は、前記データネットワークの認証情報を含み、前記データネットワークの前記認証情報は、前記データネットワークの識別子情報または前記データネットワークに対応する認証サーバの識別子情報である、ステップと、
前記ネットワークデバイスによって、前記端末デバイスが前記データネットワークによって認証されているかどうかを判定するステップと、
前記端末デバイスが前記データネットワークによって認証されている場合、前記ネットワークデバイスによって、前記データネットワークと前記第1のセッションを確立することを前記端末デバイスに許可するステップと
を含み、
前記ネットワークデバイスによって、前記端末デバイスが前記データネットワークによって認証されているかどうかを判定する前記ステップは、
前記データネットワークの前記認証情報が、前記端末デバイスが正常に認証されている以前に開始された第2のセッションの認証情報と同じであるかどうかを判定するステップ
を含む、
ネットワークセキュリティ管理方法。 - 前記方法は、
前記端末デバイスが前記データネットワークによって認証されていない場合、前記ネットワークデバイスによって前記端末デバイスと前記データネットワークとの間の認証を開始するステップと、
前記端末デバイスと前記データネットワークとの間の前記認証が成功した場合、前記ネットワークデバイスによって前記第1のセッションの認証情報を統合データ管理ネットワーク要素に記憶するステップと
をさらに含む、請求項1に記載の方法。 - 前記ネットワークデバイスによって、前記データネットワークと前記第1のセッションを確立することを前記端末デバイスに許可する前記ステップは、
前記ネットワークデバイスによってセッション認証または許可ポリシー照会要求を前記統合データ管理ネットワーク要素に送信するステップと、
前記ネットワークデバイスによって、前記統合データ管理ネットワーク要素によってフィードバックされたセッション認証または許可ポリシーを受信し、前記セッション認証または許可ポリシーに従って、前記データネットワークと前記第1のセッションを確立する権限範囲を前記端末デバイスに付与するステップと
を含む、請求項2に記載の方法。 - 前記データネットワークの前記認証情報は、前記データネットワークのデータネットワーク番号DNNである、請求項1に記載の方法。
- 事業者ネットワーク上の装置であって、
トランシーバに結合されたプロセッサと、
プロセッサによって実行されるとき、前記プロセッサに、
端末デバイスによって送信されたセッション要求を受信することであって、前記セッション要求は、前記事業者ネットワーク外のデータネットワークとの第1のセッションの確立を要求するために使用され、前記セッション要求は、前記データネットワークの認証情報を含み、前記データネットワークの前記認証情報は、前記データネットワークの識別子または前記データネットワークに対応する認証サーバの識別子である、ことと、
前記端末デバイスが前記データネットワークによって認証されているかどうかを判定することと、
前記端末デバイスが前記データネットワークによって認証されている場合、前記データネットワークと前記第1のセッションを確立することを前記端末デバイスに許可することと
を実施させる命令を記憶したメモリとを含み、
前記プロセッサは、
前記データネットワークの前記認証情報が、前記端末デバイスが正常に認証されている以前に開始された第2のセッションの認証情報と同じであるかどうかを判定すること
を実施するようにされる、
装置。 - 前記プロセッサは、さらに
前記端末デバイスが前記データネットワークによって認証されていない場合、前記端末デバイスと前記データネットワークとの間の認証を開始することと、
前記端末デバイスと前記データネットワークとの間の前記認証が成功した場合、前記第1のセッションの認証情報を統合データ管理ネットワーク要素に記憶することと、
を実施するようにされる、請求項5に記載の装置。 - プロセッサは、特に、
セッション認証または許可ポリシー照会要求を前記統合データ管理ネットワーク要素に送信することと、
前記統合データ管理ネットワーク要素によってフィードバックされたセッション認証または許可ポリシーを受信し、前記セッション認証または許可ポリシーに従って、前記データネットワークと前記第1のセッションを確立する権限範囲を前記端末デバイスに付与することと
を実施するようにされる、請求項6に記載の装置。 - 前記データネットワークの前記認証情報は、前記データネットワークのデータネットワーク番号DNNである、請求項5に記載の装置。
- コンピュータ記憶媒体であって、前記コンピュータ記憶媒体は、コンピュータソフトウェア命令を記憶しており、前記コンピュータソフトウェア命令が実行されると、請求項1から4のいずれか一項に記載の方法が行われる、コンピュータ記憶媒体。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SG2017/050368 WO2019017837A1 (zh) | 2017-07-20 | 2017-07-20 | 网络安全管理的方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2020527914A JP2020527914A (ja) | 2020-09-10 |
| JP7035163B2 true JP7035163B2 (ja) | 2022-03-14 |
Family
ID=65015167
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020502612A Active JP7035163B2 (ja) | 2017-07-20 | 2017-07-20 | ネットワークセキュリティ管理方法および装置 |
Country Status (9)
| Country | Link |
|---|---|
| US (3) | US11477242B2 (ja) |
| EP (2) | EP4167678A1 (ja) |
| JP (1) | JP7035163B2 (ja) |
| KR (1) | KR102345932B1 (ja) |
| CN (2) | CN115835203A (ja) |
| AU (1) | AU2017423732B2 (ja) |
| BR (1) | BR112020000932A2 (ja) |
| MY (1) | MY208966A (ja) |
| WO (1) | WO2019017837A1 (ja) |
Families Citing this family (28)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US12238076B2 (en) * | 2018-10-02 | 2025-02-25 | Arista Networks, Inc. | In-line encryption of network data |
| CN111641949B (zh) * | 2019-03-01 | 2022-05-31 | 华为技术有限公司 | 一种认证结果更新的方法和通信装置 |
| CN112672336B (zh) * | 2019-09-30 | 2024-04-30 | 华为技术有限公司 | 实现外部认证的方法、通信装置及通信系统 |
| US11777935B2 (en) | 2020-01-15 | 2023-10-03 | Cisco Technology, Inc. | Extending secondary authentication for fast roaming between service provider and enterprise network |
| CN113395238B (zh) * | 2020-03-12 | 2022-09-23 | 华为技术有限公司 | 一种认证授权方法及对应装置 |
| US11765581B2 (en) | 2020-03-31 | 2023-09-19 | Cisco Technology, Inc. | Bootstrapping fast transition (FT) keys on wireless local area access network nodes based on private wireless wide area access network information |
| CN113472724B (zh) * | 2020-03-31 | 2023-03-24 | 中国联合网络通信集团有限公司 | 一种网络认证方法、设备及系统 |
| US11706619B2 (en) | 2020-03-31 | 2023-07-18 | Cisco Technology, Inc. | Techniques to facilitate fast roaming between a mobile network operator public wireless wide area access network and an enterprise private wireless wide area access network |
| US11778463B2 (en) | 2020-03-31 | 2023-10-03 | Cisco Technology, Inc. | Techniques to generate wireless local area access network fast transition key material based on authentication to a private wireless wide area access network |
| CN113573298B (zh) * | 2020-04-10 | 2022-05-24 | 华为技术有限公司 | 一种通信方法及装置 |
| CN111639116B (zh) * | 2020-05-15 | 2023-06-09 | 中国银联股份有限公司 | 数据访问连接会话保护方法以及装置 |
| CN113784346A (zh) * | 2020-05-22 | 2021-12-10 | 华为技术有限公司 | 认证授权的方法和装置 |
| CN111638997A (zh) * | 2020-05-28 | 2020-09-08 | 中国联合网络通信集团有限公司 | 数据恢复方法、装置及网络设备 |
| CN112039838B (zh) * | 2020-07-15 | 2022-03-15 | 中国电子科技集团公司第三十研究所 | 一种适用于移动通信不同应用场景的二次认证方法和系统 |
| CN114640994B (zh) * | 2020-12-16 | 2024-11-15 | 中国电信股份有限公司 | 协议数据单元会话鉴权认证方法、系统和相关设备 |
| EP4262258A4 (en) * | 2020-12-25 | 2024-01-24 | Huawei Technologies Co., Ltd. | METHOD AND APPARATUS FOR GENERATING SECURITY CONTEXT, AND COMPUTER-READABLE STORAGE MEDIUM |
| CN114980090B (zh) * | 2021-02-19 | 2024-11-22 | 中国电信股份有限公司 | 二次认证方法、网元和系统、计算机装置和存储介质 |
| EP4298813A4 (en) * | 2021-02-23 | 2024-12-04 | Telefonaktiebolaget LM Ericsson (publ) | AUTHENTICATION METHOD AND APPARATUS |
| KR102895760B1 (ko) * | 2021-04-05 | 2025-12-04 | 한국전자통신연구원 | 온보딩 네트워크를 통해 단말에게 자격증명을 제공하는 방법 및 장치 |
| CN115913584B (zh) * | 2021-08-10 | 2025-04-15 | 中国电信股份有限公司 | 鉴权方法、装置、电子设备和计算机可读存储介质 |
| CN113489747B (zh) * | 2021-08-17 | 2023-03-24 | 中国联合网络通信集团有限公司 | 会话连接方法、装置及终端 |
| CN116232620B (zh) * | 2021-12-06 | 2025-10-03 | 中国移动通信有限公司研究院 | 认证方法、装置、通信设备及可读存储介质 |
| CN114697963B (zh) * | 2022-03-29 | 2024-08-30 | 中国南方电网有限责任公司 | 终端的身份认证方法、装置、计算机设备和存储介质 |
| CN114978747B (zh) * | 2022-06-10 | 2024-02-06 | 中国电信股份有限公司 | 注册认证方法、装置、电子设备及存储介质 |
| CN118120269A (zh) * | 2022-09-30 | 2024-05-31 | 北京小米移动软件有限公司 | 应用功能授权方法及装置 |
| CN115835202B (zh) * | 2022-10-10 | 2025-05-13 | 中通服中睿科技有限公司 | 一种鉴权方法及系统 |
| CN118119037A (zh) * | 2022-11-29 | 2024-05-31 | 中移(成都)信息通信科技有限公司 | 通信系统、方法、装置、相关设备及存储介质 |
| CN117134947B (zh) * | 2023-07-31 | 2024-04-12 | 深圳市卓青科技有限公司 | 一种网络信息安全分析管理系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017055407A (ja) | 2011-09-12 | 2017-03-16 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | リンク設定および認証を実行するシステムおよび方法 |
| JP2020506578A (ja) | 2017-01-27 | 2020-02-27 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | ユーザ機器の二次認証 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7769838B2 (en) | 2001-08-23 | 2010-08-03 | The Directv Group, Inc. | Single-modem multi-user virtual private network |
| WO2008099254A2 (en) * | 2007-02-12 | 2008-08-21 | Nokia Corporation | Authorizing n0n-3gpp ip access during tunnel establishment |
| US8780856B2 (en) * | 2007-09-18 | 2014-07-15 | Telefonaktiebolaget Lm Ericsson (Publ) | Inter-system handoffs in multi-access environments |
| CN101656956B (zh) * | 2008-08-22 | 2012-05-23 | 华为技术有限公司 | 一种接入3gpp网络的方法、系统和网关 |
| CN101931928B (zh) * | 2009-06-19 | 2014-08-13 | 中兴通讯股份有限公司 | 漫游场景下单apn多pdn连接的策略计费控制的方法及系统 |
| CN101827112B (zh) * | 2010-05-25 | 2016-05-11 | 中兴通讯股份有限公司 | 上网认证服务器识别客户端软件的方法及系统 |
| JP5993022B2 (ja) * | 2011-11-04 | 2016-09-14 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | Pdn接続を確立および使用する方法および装置 |
| EP2675203B1 (en) | 2012-06-11 | 2019-11-27 | BlackBerry Limited | Enabling multiple authentication applications |
| CN103533666B (zh) * | 2012-07-02 | 2019-06-11 | 中兴通讯股份有限公司 | 分组数据网络连接建立方法及装置 |
| US9479934B2 (en) * | 2013-12-13 | 2016-10-25 | Parallel Wireless, Inc. | Virtualization of the evolved packet core to create a local EPC |
| CN103944737B (zh) | 2014-05-06 | 2018-11-02 | 中国联合网络通信集团有限公司 | 用户身份认证方法、第三方认证平台、运营商认证平台 |
| CN106302376A (zh) * | 2015-06-29 | 2017-01-04 | 中兴通讯股份有限公司 | 重认证识别方法、演进分组数据网关及系统 |
| KR101795786B1 (ko) * | 2015-11-19 | 2017-11-08 | 에스케이 텔레콤주식회사 | 이동통신 시스템에서 코어 네트워크를 선택하는 방법 및 장치 |
| CN105873059A (zh) | 2016-06-08 | 2016-08-17 | 中国南方电网有限责任公司电网技术研究中心 | 配电通信无线专网的联合身份认证方法和系统 |
| US10609561B2 (en) * | 2016-07-18 | 2020-03-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Operation related to user equipment using secret identifier |
| US10638388B2 (en) * | 2016-08-05 | 2020-04-28 | Qualcomm Incorporated | Techniques for fast transition of a connection between a wireless device and a local area network, from a source access node to a target access node |
| US11196728B1 (en) * | 2021-03-29 | 2021-12-07 | Fmr Llc | Caching login sessions to access a software testing environment |
-
2017
- 2017-07-20 JP JP2020502612A patent/JP7035163B2/ja active Active
- 2017-07-20 EP EP22194130.5A patent/EP4167678A1/en active Pending
- 2017-07-20 BR BR112020000932-6A patent/BR112020000932A2/pt unknown
- 2017-07-20 MY MYPI2020000274A patent/MY208966A/en unknown
- 2017-07-20 WO PCT/SG2017/050368 patent/WO2019017837A1/zh not_active Ceased
- 2017-07-20 AU AU2017423732A patent/AU2017423732B2/en active Active
- 2017-07-20 KR KR1020207004389A patent/KR102345932B1/ko active Active
- 2017-07-20 EP EP17918260.5A patent/EP3657894B1/en active Active
- 2017-07-20 CN CN202211413375.1A patent/CN115835203A/zh active Pending
- 2017-07-20 CN CN201780093005.5A patent/CN110999356B/zh active Active
-
2020
- 2020-01-17 US US16/746,479 patent/US11477242B2/en active Active
-
2022
- 2022-09-07 US US17/939,637 patent/US11895157B2/en active Active
-
2024
- 2024-01-17 US US18/415,304 patent/US20240223613A1/en active Pending
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017055407A (ja) | 2011-09-12 | 2017-03-16 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | リンク設定および認証を実行するシステムおよび方法 |
| JP2020506578A (ja) | 2017-01-27 | 2020-02-27 | テレフオンアクチーボラゲット エルエム エリクソン(パブル) | ユーザ機器の二次認証 |
Non-Patent Citations (3)
| Title |
|---|
| 3GPP,Study on Architecture for Next Generation System (Release 14),3GPP TR23.799 V14.0.0 (2016-12),2016年12月16日,第145-152頁 |
| Nokia,EAP based Secondary authentication with an external Authenticator[online],3GPP TSG SA WG3 #87 S3-171387,Internet<URL:http://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_87_Ljubljana/Docs/S3-171387.zip>,2017年05月15日 |
| Qualcomm Incorporated,EAP based secondary authentication with PDU session authorization information[online],3GPP TSG SA WG3 #87 S3-171329,Internet<URL:http://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_87_Ljubljana/Docs/S3-171329.zip>,2017年05月15日 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2020527914A (ja) | 2020-09-10 |
| US20240223613A1 (en) | 2024-07-04 |
| CN110999356B (zh) | 2022-11-18 |
| US20200153871A1 (en) | 2020-05-14 |
| AU2017423732A1 (en) | 2020-02-20 |
| CN110999356A (zh) | 2020-04-10 |
| CN115835203A (zh) | 2023-03-21 |
| US20230076628A1 (en) | 2023-03-09 |
| EP3657894A4 (en) | 2020-06-24 |
| EP4167678A1 (en) | 2023-04-19 |
| KR102345932B1 (ko) | 2021-12-30 |
| EP3657894A1 (en) | 2020-05-27 |
| AU2017423732B2 (en) | 2021-07-15 |
| US11895157B2 (en) | 2024-02-06 |
| MY208966A (en) | 2025-06-13 |
| WO2019017837A1 (zh) | 2019-01-24 |
| US11477242B2 (en) | 2022-10-18 |
| EP3657894B1 (en) | 2022-09-07 |
| KR20200022512A (ko) | 2020-03-03 |
| BR112020000932A2 (pt) | 2020-07-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7035163B2 (ja) | ネットワークセキュリティ管理方法および装置 | |
| KR101068424B1 (ko) | 통신시스템을 위한 상호동작 기능 | |
| CN115989689B (zh) | 用于边缘数据网络的用户装备认证和授权规程的方法和设备 | |
| EP2215803B1 (en) | Network access authentication | |
| CN115843447B (zh) | 用户装备对边缘数据网络的接入的网络认证 | |
| EP2317694B1 (en) | Method and system and user equipment for protocol configuration option transmission | |
| CN112188608B (zh) | 一种同步pdu会话状态的方法、装置、系统及芯片 | |
| US8611859B2 (en) | System and method for providing secure network access in fixed mobile converged telecommunications networks | |
| WO2018170703A1 (zh) | 一种连接建立方法及装置 | |
| JP2023529951A (ja) | 安全な通信方法、関連する装置、およびシステム | |
| JPWO2007097101A1 (ja) | 無線アクセスシステムおよび無線アクセス方法 | |
| WO2022134089A1 (zh) | 一种安全上下文生成方法、装置及计算机可读存储介质 | |
| US20220263674A1 (en) | Communication method and related apparatus | |
| CN101203030B (zh) | 一种利用移动终端多模协议栈进行鉴权的装置和方法 | |
| CN116889004A (zh) | 用于边缘数据网络重定位的认证指示 | |
| CN113543112B (zh) | 网络漫游认证方法、装置、电子设备及存储介质 | |
| WO2025232244A1 (zh) | 认证方法、装置、通信设备、存储介质和计算机程序产品 | |
| WO2025167843A1 (zh) | 一种通信方法及装置 | |
| WO2023213184A1 (zh) | 一种通信方法及通信装置 | |
| CN119301915A (zh) | 通信网络中漫游用户的加密密钥传输方法和设备 | |
| CN115396873A (zh) | 一种通信方法、装置、服务器及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200228 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200228 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20210311 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20210510 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20210802 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220131 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220302 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7035163 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |