アクセスシステム間のハンドオーバー時の認証手順を最適化するシステム及び方法
本発明は新たなシステムにアクセスするための新たなキーを派生させる方法及びシステムを提供する。本発明は、既存のシステムから新たなシステムにハンドオーバー時に既存のシステムアクセスキーを用いて最適化した認証手順を可能にする。ユーザー端末が速い再認証を遂行できるようにするハンドオーバー準備時に、新たなシステムにアクセスするユーザー端末は臨時IDを受信する。上記方法は、新たなネットワークのためのシステムアクセスキーを生成するために既存のシステムアクセスキーを使用する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は異種システム(heterogeneous systems)、アクセスシステム間のハンドオーバー時の認証手順の最適化、及び進化した(evolved)システムのためのキーの派生(derivation)方法に関するもので、特に、以前のアクセスシステムのキーを用いてハンドオーバー以後に新たなアクセスシステムとの通信を確保するための新たなキーを生成する方法に関する。
【背景技術】
【0002】
3GPP(3rd Generation Partnership Project)の無線アクセスネットワーク(Radio Access Network:RAN)、システム構造(System Architecture:SA)、及びコアターミナル(Core Terminal:CT)作業グループは、次世代無線システムの向上した(Enhanced)UTRAN(E-UTRAN)構造を開発することを目標としている。E−UTRANシステムは、現在第2世代(2G)及び第3世代(3G)無線システムと共存することが要求され、特に既存のシステムと3GPP TR 23.882、3GPP TS 23.401、及び3GPP TS 23.402規格に明示されたように新たに進化した(evolved)E−UTRANシステムとの間のハンドオーバーを支援することが要求される。
【0003】
E-UTRANシステムは、3GPP UTRANシステムの進化したシステムであり、主要エンティティは、図1に示すようにUE(User Equipment)、ENB(Enhanced Node B)、MME(Mobility Management Entity)、UPE(User Plane Entity)、及びIASA(Inter Access System Anchor)である。E-UTRANシステムのENBは、Node Bと古い(legacy)UTRANシステムの無線ネットワーク制御器(Radio Network Controller:RNC)の特性を有しなければならない。システム構造進化(System Architecture Evolution:SAE)のMMEは、UEコンテキスト(アイドル状態の場合、UE/ユーザー識別(Identity)、UE移動状態、ユーザーセキュリティパラメータ)を管理及び格納する。また、MMEは、UEに割り当てる臨時識別(temporary identities)を生成し、UEがTA又はPLMN(Public Land Mobile Network)に留まっているかどうかについて認証を確認し、ユーザーの認証を遂行する。SAEのUPEは、アイドル状態のUEに対してダウンリンクデータ経路を終了し、ダウンリンクデータがUEに到着したときに呼び出し(paging)をトリガー及び開始(trigger/initiate)する。また、UPEは、UEコンテキスト、例えば、IP(Internet Protocol)ベアラサービス又はネットワーク内部ルーティング情報を管理及び格納し、インターセプション(interception)の場合にユーザートラフィックのレプリケーション(replication)を遂行する。IASAは、相互に異なるアクセスシステム間の移動性のためのユーザープレーンアンカー(user plane anchor)である。このIASAは、相互に異なるアクセスシステム間のハンドオーバーを遂行または支援する。
【0004】
GERAN(GSM(Global System for Mobile Communication)/EDGE(Enhanced Data rates for Global Evolution) Radio Access Network)は、送受信基地局(Base Transceiver Station:BTS)と基地局制御器(Base Station Controller:BSC)で構成される。UTRANは、Node Bと無線ネットワーク制御器(Radio Network Controller:RNC)で構成される。GPRS(General Packet Radio Service)コアネットワークは、図1に示すようにサービングGPRS支援ノード(Serving GPRS Support Node:SGSN)とゲートウェイGPRS支援ノード(Gateway GPRS Support Node:GGSN)で構成される。
【0005】
3GPP TS 23.234規格に明示されたI-WLAN(Integrated Wireless Local Area Network)システムは、図2に示すように、古いUTRANシステムをWLANシステムと統合するシステム及び方法を提供する。I-WLANシステムは、WLANユーザーが3GPPパケット交換サービスをアクセスできるようにする。
【0006】
しかしながら、現在、異種アクセスシステム間のハンドオーバー時に認証手順を提供する効率的なメカニズムが提示されていない。さらに、進化したシステムのキーを生成するための方法も提示されていない。
【発明の開示】
【発明が解決しようとする課題】
【0007】
したがって、本発明は、少なくとも上記した従来技術の問題点及び短所を解消し、下記のような長所を提供する。したがって、本発明の目的は、異種ネットワークでアクセスシステム間のハンドオーバー時に認証手順を最適化する方法を提供する。
本発明の他の目的は、異種ネットワークでアクセスシステム間のハンドオーバー時に認証手順を最適化するシステムを提供する。
また、本発明は、SAEシステム固有のキーを生成させるためのメカニズムを提供する。
【課題を解決するための手段】
【0008】
上記のような目的を達成するために、本発明は、異種ネットワークにおけるアクセスシステム間のハンドオーバー時に認証手順を最適化する方法であって、新たなシステムにアクセスするための新たなキーを派生するステップと、既存システムから新たなシステムへのハンドオーバー時に既存システムアクセスキーを用いて認証手順を最適化するステップと、ハンドオーバー準備時に新たなシステムにアクセスし、UEが新たなシステムで速い再認証を遂行可能にするための臨時ID(Identification)をUEによって受信するステップとを有することを特徴とする。
【0009】
また、本発明は、異種ネットワークにおけるアクセスシステム間のハンドオーバー時に認証手順を最適化するシステムであって、新たなシステムにアクセスするための新たなキーを派生する手段と、既存システムから新たなシステムへのハンドオーバー時に、既存システムと共に使用される既存システムアクセスキーを用いて認証手順を最適化する手段と、ユーザー端末が速い再認証を遂行可能にするハンドオーバー準備時に新たなシステムにアクセスするユーザー端末によって臨時IDを受信する手段とを含むことを特徴とする。
【0010】
本発明は、第2のアクセスシステムで使用されるアクティブ認証キーを第1のアクセスシステムで利用することによって、ハンドオーバー時に最適化した認証手順を提供するメカニズムを含む。また、本発明は、ハンドオーバー手順中に速く再認証を遂行するためのメカニズムを含む。
本発明は、UEとネットワークエンティティとの間の通信を確保するために進化したシステムに対するキーを生成するためのメカニズムを含む。
【0011】
さらに、本発明の他の態様によれば、次のようである。
異種ネットワーク環境でハンドオーバー時にネットワークアクセス認証手順の最適化すること。
アクセスシステムの従属認証手順を遂行せずに、その代わりに、以前のアクセスシステムで生成された最新のアクティブキーを用いて、新たなアクセスシステムのための新たなキーを生成するメカニズムを提供すること。
順方向ハンドオーバーと逆方向ハンドオーバー共に対する新たなキーを派生するメカニズムを提供すること。
SAEシステム又はI-WLANインターワーキングシステムのネットワークエンティティ又はSAEシステム又はI-WLANインターワーキングシステムの別途のエンティティと同時に配置された論理インターワーキングユニットを通じてキー、セキュリティコンテキスト、及びその他のメッセージを交換するためのMME/UPE及びAAA(Authentication Authorization and Accounting)サーバ間のシグナリングインターフェースを提供すること。
I-WLANアクセス及び保安(secure)通信のために、UE及びAAAサーバによってアクティブEUTRANネットワークアクセスキーを用いるキーを生成すること。
【0012】
ハンドオーバー準備段階で、最新CK(Cypher Key)及びIK(Integrity Key)を用いてSAEシステム又はUMTSシステムからI-WLANシステムにキー(EAP関連キー、すなわちTEK、MSK及びEMSK)を生成すること。このUEは、測定レポートを通じてI-WLAN ID及びNAIをSAEシステムに伝送する。SAEシステムのネットワークエンティティはI-WLANインターワーキングシステムに転送されたハンドオーバー(HandOver:以下、“HO”と称する)準備要求内に他のパラメータと共に最新CK及びIKを含む。UEとネットワークはハンドオーバー準備段階でキーを生成することができる。
【0013】
I-WLAN接続(attach)手順の間に、UEがSAEシステムからI-WLANシステムへ移動するとき、UEとAAAサーバがハンドオーバー準備段階でキーを生成すると、WLAN-ANがAAAサーバにUEの認証を要求する場合に、I-WLANネットワークエンティティ(AAAサーバ)はEAP認証手順なしにWLAN-ANにMSKを伝送することを提供する。このように、UEとI-WLAN ASは、IEEE(Institute of Electrical and Electronic Engineers)802.11の特定ハンドシェイク(handshake)メカニズムを直接遂行してL2(Layer2)保護(protections)を開始することができる。
【0014】
ハンドオーバー準備段階で、AAAサーバによって(HO承認(accept)メッセージ/HO命令メッセージ内の)I-WLAN固有の臨時ID、匿名(pseudonym)及び/又は速い再認証IDをUEに伝送すること。(ネットワークが速い再認証IDを伝送し、UEにキーの認証及びリフレッシュ(refresh)を要求すると)UEは、SAE ASからI-WLAN ASに初期にハンドオーバー時に速い再認証手順を遂行することができる。本発明によると、UEは、最後に成功的に受信されたパケットのシーケンス番号をI-WLAN ASに伝送できる。I-WLAN ASは、パケットをコアネットワークに伝達し、コアネットワークは最後に成功的に受信されたシーケンス番号以後のパケットをUEに伝送し始めることができる。
【0015】
本発明によると、ネットワークは、SAEシステム又はUMTSシステムからI-WLANシステムにハンドオーバーしつつ、HO命令の間にUEがシナリオ(scenario)2及びシナリオ3認証手順と支援される最適化手順のリストを共に遂行するように指示できる。このように、UEは、施行錯誤方法なしに、直接ネットワークによって支援される最適化手順の中で一つを選択して開始することができる。
【0016】
本発明によると、MMEは、HO準備段階でHSSにソフト登録(soft registration)を遂行し、ハンドオーバー後に、UEは、上記MMEに接続する。SGSNは、HO準備段階でHSSにソフト登録を遂行し、ハンドオーバー後に、UEは上記SGSNに接続する。
【0017】
本発明によると、AAAサーバはHO準備段階でHSSにソフト登録を遂行して、ハンドオーバー後に、UEはAAAサーバに接続される。保安モード命令手順は、SAEシステム又はUMTSシステムへのハンドオーバーの間にHO準備段階で遂行される。
【0018】
本発明によると、UEは、ネットワークによってブロードキャスティングされるネットワーク支援アルゴリズムのリストから選択されたアルゴリズムを測定レポートを通じてSAEシステムに伝送する。HO命令で、SAEシステムは、UE選択アルゴリズムを同意/交渉(agree/negotiate)して、UEがハンドオーバー時に初期メッセージの保護を開始することができる。
【0019】
本発明によると、SGSNは、最新CK及びIKをSAEシステムのMME又は認証及びキー管理エンティティに伝達し、MME又はSAEシステムの認証及びキー管理エンティティは、SAE固有のキーを派生してハンドオーバー以前又はハンドオーバー時にSAEシステムエンティティに分配する。
【0020】
本発明によると、MMEは、他のASからのHO要求又は他のASへのHO要求時に、LTE(Lon Term Evolution)関連パラメータをUMTS固有のパラメータに変換する。MMEは、最新CK及びIKをSGSNに伝達し、このSGSNはこのキーをSAEシステムからのハンドオーバー準備要求時にRNC(Radio Network Controller)に分配する。
【0021】
本発明によると、UMTS ASのための順方向ハンドオーバー認証手順中に、UEはRAU手順又は初期NASメッセージを通じて以前アクセスシステムの詳細を伝送し、コアネットワークは、以前アクセスシステムからセキュリティコンテキスト(例えば、CK及びIK)とバッファリングされたパケットを検索する(retrieve)ことができる。I-WLAN ASへの順方向ハンドオーバー認証手順中に、UEは、以前アクセスシステムの詳細を伝送し、コアネットワークは、以前アクセスシステムからセキュリティコンテキスト及びバッファリングされたパケットを検索することができる。この以前アクセスシステムの詳細は、EAPOL ID応答メッセージを通じて伝送される。
【0022】
本発明によると、UEは、最後に成功的に受信されたパケットのシーケンス番号をアクセスシステムに伝送し、アクセスシステムはこれを以前コアネットワークに伝達して、UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝送し始めることができる。
【0023】
本発明によると、I-WLAN ASでシナリオ2認証手順中に、UEとネットワークがUMTS CK及びIKを用いてキーを生成すると、コアネットワークは臨時IDを生成し、これをUEに伝達する。UEは、シナリオ3アクセスのための速い再認証手順を始める。
【0024】
SAE ASに対する順方向ハンドオーバー認証手順中に、UEは、以前アクセスシステムの詳細をTAU手順又は初期NASメッセージを通じて伝送し、コアネットワークは以前のアクセスシステムからセキュリティコンテキスト(例えば、CK及びIK)とバッファリングされたパケットを検索する。
【発明を実施するための最良の形態】
【0025】
以下、本発明の望ましい実施形態を添付の図面を参照して詳細に説明する。
下記に、本発明の実施形態において、本発明の範囲及び精神を逸脱することなく、多様な変形が可能であることは、当該技術分野における通常の知識を有する者には明らかである。また、本発明に関連した公知の機能または構成に関する具体的な説明が本発明の要旨を不明にすると判断された場合に、その詳細な説明を省略する。
【0026】
本発明は、異種ネットワーク間のハンドオーバー時に最適化した認証手順を提供するためのシステム及びその方法を提供し、SAEシステム固有のキーを生成させるメカニズムも提供する。
この方法は、アクセスシステム固有の認証手順を遂行することなく、以前のアクセスシステムキーを用いて新たなアクセスシステム固有のキーを生成するためのメカニズムを含む。
【0027】
図3は、本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2アクセス)を示す。
図3を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値(measurements)をEUTRANネットワークに伝送する。ENB(Evolving Node B)/MME(Mobility Management Entity)は、UE測定値がしきい値以下であることが分かり、あるいはMMEが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2aで、他のRAT(Radio Access Technology)をスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域(coverage area)内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、レイヤ2(L2)又はその他の手段によって、UEは、EUTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0028】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSAEシステムに伝送する。すると、ENB/MMEは、論理的なインターワーキングユニットによって、それ自体又は選択的にI-WLANネットワークにUEをハンドオーバーするように決定する。
【0029】
NAI(Network Address Identifier)を用いて、MMEは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析し、論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、MME又はAAAサーバ内に配置されるか、SAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置されることができる。インターワーキングユニットの機能は、第1のアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換するものである。
【0030】
MMEは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用(unused)AV(Authentication Vector)、最新(latest)CK及びIKとその他のパラメータを含む。
【0031】
AAAは、他のAAAがHSS(Home Subscription Service)に登録されたか否かについてHSSを確認し、そうでない場合には、ステップ6でソフト登録(soft registration)を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成/派生する(generate/derive)。また、AAAサーバは、Temp ID(匿名(pseudonym)ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0032】
ステップ7で、AAAサーバは、インターワーキングユニットを通じてHO承認をMMEに伝送する。HO承認メッセージは保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。
MMEは、ステップ8で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージとしてUEに伝送する。
【0033】
I-WLANネットワークへのハンドオーバーのためにSAEシステムからHO命令を受信した後に、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp IDを解読する。ステップ10で、UEは、I-WLAN ASとL2接続(L2 attachment)を始める。
【0034】
I-WLANシステムが認証を要求すると、WLAN-ANは、ステップ11a.1で認証手順を開始する。
すると、UEは、ステップ11a.2で、HO命令を通じてTemp IDが受信された場合にTemp ID(速い再認証ID)を伝送する。UEは、I-WLAN ANを通じて、Temp ID(匿名ID又は速い再認証ID)及び選択的にEAP応答識別メッセージのインテグリティ(integrity)の保護を含むEAP応答識別をAAAサーバに伝送する。
【0035】
AAAサーバがTemp IDと共にEAP応答識別メッセージを受信すると、AAAは、UEがHO準備を遂行したことを知るようになる。AAAサーバは、ステップ11a.3で、インテグリティ(integrity)の保護及びTemp IDを検証(verify)する。したがって、AAAは、UEを認証する。選択的に、AAAサーバが保護された成功的結果表示を使用するように以前に要求された場合、EAP成功メッセージより以前に、MAC(Medium Access Control)保護されたメッセージEAP要求/AKA通知(Notification)を伝送することができる。AAAサーバは、新たなTemp IDを生成してEAP要求/AKA通知メッセージと一緒にUEに伝送する。WLAN ANは、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を送信する。WLAN ANは、EAP応答/AKA通知メッセージをAAAサーバに伝送し、AAAサーバはこれらメッセージの内容を無視する。
【0036】
AAAサーバは、ステップ11a.4で、EAP成功メッセージをWLAN ANに伝送する。一部エキストラキーイング要素(extra keying material)がWLAN技術固有の機密性及び/又はインテグリティの保護のために生成されると、AAAサーバは、このキーイング要素を基本(underlying)AAAプロトコルメッセージ(すなわち、EAPレベルでない)に含める。I-WLAN ANは、認証されたWLAN-UEとの通信に使用されるキーイング要素を格納する。AAAサーバが保護された成功的な結果表示を使用していないと、AAAサーバは、新たなTemp IDを生成してEAP成功メッセージと一緒にUEに伝送する。
【0037】
I-WLAN ANは、ステップ11a.5で、成功的な認証に関してEAP成功メッセージを通じてWLAN-UEに知らせる。このとき、EAP AKA交換が成功的に完了し、WLAN-UE及びI-WLAN ANはこの交換中に生成されたキーイング要素を共有する。
または、ステップ11bで、UEは、I-WLANネットワークと共に速い再認証手順を開始する。UEが速い再認証IDを受信しないと、UEは、全体認証手順を開始するために匿名IDを伝送する。
【0038】
図4は、本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2及びシナリオ3アクセス)を示す。
図4を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をEUTRANネットワークに伝送する。
【0039】
ENB/MMEは、UE測定値がしきい値以下であることが分かり、あるいはMMEが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2aで、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、EUTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0040】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSAEシステムに伝送する。すると、ENB/MMEは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0041】
NAIを用いて、MMEは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、MME又はAAAサーバ内に配置されるか、SAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置されることができる。インターワーキングユニットの機能は、第1のアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換するものである。
【0042】
MMEは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他のパラメータを含む。
【0043】
AAAは、ステップ6で、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合には、AAAがソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成する。また、AAAサーバは、Temp ID(匿名ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0044】
AAAサーバは、ステップ7で、インターワーキングユニットを通じてHO承認をMMEに伝送する。HO承認メッセージは、保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。また、AAAサーバは、シナリオ2とシナリオ3を連続して遂行するUEに対して支援される最適化手順をHO承認内に含む。
【0045】
MMEは、ステップ8で、受信されたパラメータをHO命令メッセージとしてHO承認メッセージを通じてUEに伝送する。
I-WLANネットワークへのハンドオーバーのためにSAEシステムからHO命令を受信した後、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp ID(匿名ID及び速い再認証ID)を解読する。ステップ10で、UEは、I-WLAN ASとL2接続を始める。
【0046】
I-WLANシステムが認証を要求すると、WLAN-ANは、ステップ11a.1で認証手順を開始する。すると、UEは、ステップ11a.2で、HO命令を通じて受信される場合にTemp ID(速い再認証ID)を伝送する。UEは、I-WLAN ANを通じて、Temp ID(匿名ID又は速い再認証ID)及び選択的にEAP応答識別メッセージのインテグリティの保護を含むEAP応答識別をAAAサーバに伝送する。
【0047】
AAAサーバがTemp IDと共にEAP応答識別メッセージを受信すると、AAAは、UEがHO準備を遂行したことを知るようになる。AAAサーバは、ステップ11a.3で、インテグリティの保護及びTemp IDを検証する。したがって、AAAは、UEを認証する。選択的に、AAAサーバが保護された成功的結果表示を使用するように事前に要求された場合、EAP成功メッセージより以前に、MAC保護されたメッセージEAP要求/AKA通知を送信することができる。AAAサーバは、新たなTemp IDを生成してEAP要求/AKA通知メッセージと一緒にUEに伝送する。WLAN ANは、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送する。WLAN ANは、EAP応答/AKA通知メッセージをAAAサーバに伝送し、AAAサーバはこれらメッセージの内容を無視する。
【0048】
AAAサーバは、ステップ11a.4で、EAP成功メッセージをWLAN ANに伝送する。一部エキストラキーイング要素がWLAN技術固有の機密性及び/又はインテグリティの保護のために生成されると、AAAサーバは、このキーイング要素を基本AAAプロトコルメッセージ(すなわち、EAPレベルでない)に含める。I-WLAN ANは、認証されたWLAN-UEとの通信に使用されるキーイング要素を格納する。AAAサーバが保護された成功的な結果表示を使用していないと、AAAサーバは、新たなTemp IDを生成してEAP成功メッセージと一緒にUEに伝送する。
【0049】
I-WLAN ANは、ステップ11a.5で、成功的な認証に関してEAP成功メッセージでWLAN-UEに知らせる。このとき、EAP AKA交換が成功的に完了し、WLAN-UE及びI-WLAN ANはこの交換中に生成されたキーイング要素を共有する。
【0050】
または、UEは、ステップ11bで、I-WLANネットワークと共に速い再認証手順を開始する。UEが速い再認証IDを受信しないと、UEは、全体認証手順を開始するために匿名IDを伝送する。
【0051】
成功的なシナリオ2認証手順後に、UEは、ステップ12aで、HO命令にAAAサーバによってリストされたシナリオ3に対する最適化した認証手順を開始する。UEは、EMSK基盤の最適化手順を用いてシナリオ3認証手順を開始することができる。
また、UEは、ステップ12bで、シナリオ3認証手順に対する速い再認証手順を開始することができる。
【0052】
図5は、本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(直接的なシナリオ3アクセス)を示す。
図5を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をEUTRANネットワークに伝送する。
【0053】
ENB/MMEは、UE測定値がしきい値以下であることが分かり、あるいはMMEが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2で、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、EUTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0054】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSAEシステムに伝送する。すると、ENB/MMEは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0055】
NAIを用いて、MMEは、ステップ4で、I-WLANAAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、MME又はAAAサーバ内に配置されるか、SAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置されることができる。インターワーキングユニットの機能は、第1のアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換するものである。
【0056】
MMEは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他のパラメータを含む。
【0057】
AAAは、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合には、AAAがソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成する。また、AAAサーバは、Temp ID(匿名ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)する。すると、AAAは、UEに上記Temp IDを伝送する。
【0058】
AAAサーバは、ステップ7で、インターワーキングユニットを通じてHO承認をMMEに伝送する。HO承認メッセージは、保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。また、AAAサーバは、シナリオ2及びシナリオ3を連続して遂行するUEに対して支援される最適化手順をHO承認内に含む。
【0059】
MMEは、ステップ8で、受信されたパラメータをHO命令メッセージとしてHO承認メッセージを通じてUEに伝送する。
I-WLANネットワークへのハンドオーバーのためにSAEシステムからHO命令を受信した後、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp IDを解読する。
ステップ10で、UEは、I-WLAN ASとL2接続を始める。
【0060】
I-WLAN ANとの成功的な接続後に、UEは、ステップ11aで、HO命令にAAAサーバによってリストされたシナリオ3に対する最適化した認証手順を開始する。UEは、EMSK基盤の最適化手順を用いてシナリオ3認証手順を開始することができる。
UEは、ステップ11bで、選択的にシナリオ3認証手順に対する速い再認証手順を開始することができる。
【0061】
SAEからI-WLAN ASへの順方向ハンドオーバー:
認証手順中に、UEは、以前アクセスシステムの詳細を伝送し、それによってコアネットワークがセキュリティコンテキストとバッファリングされたパケットを以前のアクセスシステムから検索することができる。最近のアクセスシステムの詳細は、EAPOL ID応答メッセージ内で伝送されることができる。
【0062】
シナリオ2認証手順中に、UEとネットワークがCK及びIKを用いてキーを生成すると、コアネットワークは、Temp IDを生成してUEに伝達する。UEは、シナリオ3アクセスのための速い再認証手順を始めることができる。
【0063】
UEは、最後に成功的に受信されたパケットのシーケンス番号をI-WLANネットワークに伝送し、I-WLANネットワークはこのシーケンス番号をコアネットワークに伝達することができる。すると、コアネットワークは、UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝達し始める。
【0064】
図6は、本発明によるI-WLANからSAEシステムへの逆方向ハンドオーバー(代案1)を示す。
図6を参照すると、UEは、ステップ1で、論理的な決定(decision)及びインターワーキングユニットに周期的またはイベントベースの測定値を伝送する。この論理的な決定及びインターワーキングユニットは、MME又はAAAサーバ内に配置され、あるいは別途のエンティティとして配置され、もしくはSAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる。決定及びインターワーキングユニットの機能は、第1のアクセスシステムのRAN及びCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換し、上記測定値に基づいてHOを遂行するかを決定する。
【0065】
論理的な決定及びインターワーキングユニットは、UE測定値がしきい値以下であることがわかり、その他の手段によってI-WLANが持続できないと判断すると、論理的な決定及びインターワーキングユニットは、ステップ2で、UEに他のRATのスキャニングを始めるように要求し、あるいはENB/MMEはUEに隣接RAT、又はそのサービス領域内で利用可能な特定のRATをスキャンするように要求することができる。また、L2又は一部の他の手段によって、UEは、I-WLANが持続できないと決定し、他のRATをスキャニングし始める。
【0066】
UEは、ステップ3で、TAI、選択されたUIA及びUEA、ENB-ID及び選択的にSTART値を含むSAE測定レポートをAAAサーバを通じて論理的決定及びインターワーキングユニットに伝送する。
すると、ステップ4で、論理的決定及びインターワーキングユニットは、UEをSAEネットワークにハンドオーバーするように決定し、これをAAAサーバに知らせる。
TAIを用いて、AAAサーバは、HSSに接続することによってMMEアドレスを知るようになる。
【0067】
ステップ6で、AAAサーバは、HO要求メッセージをMME/UPEに伝送する。HO要求メッセージは、以前のRATタイプ、非使用AV、最新CK及びIK、選択的にENB-ID及びその他のパラメータを含む。
MMEは、他のMMEがHSSに登録されたか否かについてHSSを確認し、そうでない場合、ステップ7でソフト登録を遂行する。また、MMEは、キーを生成する。
【0068】
MMEは、ステップ8で、インターワーキングユニットを通じてHO承認をAAAサーバに伝送する。このHO承認メッセージは、選択されたUEA及びUIA、選択的にFRESH及びRAN保護を始めるかに関する情報とその他のパラメータを含む。
AAAサーバは、ステップ9でHO承認メッセージを通じて受信されたパラメータをHO命令メッセージを通じてUEに伝送する。
【0069】
SAEネットワークへのハンドオーバーのためにAAAサーバからHO命令を受信した後に、UEは、ステップ10で、最新CK及びIKを用いてSAEシステムに固有のキーを生成させる。
UEは、ステップ11で、何らの保護なしにENBとL2接続を始める。
【0070】
UEは、ステップ12で、初期レイヤ3(L3)メッセージをMME/UPEに伝送する。初期L3メッセージは、ユーザー識別、START値及びMAC-INASを含む。このMAC-INASは、生成されたSAE固有のキー、及び選択的にFRESH及びSTART値を用いて計算される。
【0071】
MME/UPEは、ステップ13で、生成したキー、受信されたSTART、及び選択的にFRESH値を用いてMAC-Iを検証する。
MME/UPEは、ENB、START、選択的にFRESH及び合意されたUEA及びUIAに対するキーを含む初期L3メッセージ応答を伝送する。MMEは、ENB、START、選択的にFRESH及び合意されたUEA及びUIAに対してキーを除いた初期L3メッセージ応答を通じてMAC-INASを計算する。
【0072】
ENBは、初期L3メッセージ応答を受信し、START、選択的にFRESH及び合意されたUEA及びUIAに対するキーを格納する。
ENBは、初期L3メッセージ応答をUEに伝達する。選択的に、ENBはRANセキュリティ(MAC-IRAN)を始めることができる。
UEは、MAC-INASとMAC-IRANを検証する。
【0073】
図7は、本発明によるI-WLANからSAEシステムへの逆方向ハンドオーバー(代案2)を示す。
図7を参照すると、UEは、ステップ1で、論理的な決定及びインターワーキングユニットに周期的またはイベントベースの測定値を伝送する。この論理的な決定及びインターワーキングユニットは、MME又はAAAサーバ内に配置され、あるいは別途のエンティティとして配置され、もしくはSAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる。決定及びインターワーキングユニットの機能は、第1のアクセスシステムのRAN及びCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換し、上記測定値に基づいてHOを遂行するかを決定する。
【0074】
論理的な決定及びインターワーキングユニットは、UE測定値がしきい値以下であることがわかり、その他の手段によってI-WLANが持続できないと判断すると、論理的な決定及びインターワーキングユニットは、ステップ2で、UEに他のRATのスキャニングを始めるように要求し、あるいはENB/MMEはUEに隣接RAT、又はそのサービス領域内で利用可能な特定のRATをスキャンするように要求することができる。また、L2又は一部他の手段によって、UEは、I-WLANが持続できないと決定し、他のRATをスキャニングし始める。
【0075】
UEは、ステップ3で、TAI、選択されたUIA及びUEA、ENB-ID及び選択的にSTART値を含むSAE測定レポートをAAAサーバを通じて論理的決定及びインターワーキングユニットに伝送する。
すると、論理的決定及びインターワーキングユニットは、UEをSAEネットワークにハンドオーバーするように決定し、これをAAAサーバに知らせる。
TAIを用いて、AAAサーバは、ステップ5で、HSSに接続することによってMMEアドレスを知るようになる。
【0076】
ステップ6で、AAAサーバは、HO要求メッセージをMME/UPEに伝送する。HO要求メッセージは、以前のRATタイプ、非使用AV、最新CK及びIK、選択的にENB-ID及びその他のパラメータを含む。
MMEは、ステップ7で、他のMMEがHSSに登録されたか否かについてHSSを確認し、そうでない場合、ソフト登録を遂行する。また、MMEは、AAAサーバによってCK及びIKを用いてキーを生成する。
【0077】
MMEは、ステップ8で、ENB-IDを用いてFRESHを生成し、ENBにセキュリティコンテキストを分配する。
MMEは、ステップ9で、インターワーキングユニットを通じてHO承認をAAAサーバに伝送する。HO承認メッセージは、選択されたUEA及びUIA,及び選択的にFRESH及びRAN保護を始めるかに関する情報とその他のパラメータを含む。
【0078】
AAAサーバは、ステップ10で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージを通じてUEに伝送する。
SAEネットワークへのハンドオーバーのためにAAAサーバからHO命令を受信した後に、UEは、ステップ11で、最新CK及びIKを用いてSAEシステムに固有のキーを生成し、RAN保護を始める。
【0079】
UEは、ステップ12で、ENBとL2接続を始める。UEは、RRCメッセージの保護を始める。ENBへの初期メッセージの間に、UEは、START値を伝達し、生成されたSAE固有のキー、選択的にFRESH及びSTART値を用いてMAC-IRANを計算する。すると、ENBは、START値と共にステップ8で受信されたセキュリティコンテキストを用いてMAC-IRANを検証する。
【0080】
UEは、ステップ13で、初期L3メッセージをMME/UPEに伝送する。初期L3メッセージは、ユーザー識別、START値及びMAC-INASを含む。このMAC-INASは、生成されたSAE固有のキー、及び選択的にFRESH及びSTART値を用いて計算される。
【0081】
MME/UPEは、ステップ14で、生成されたキー、受信されたSTART、及び選択的にFRESH値を用いてMAC-INASを検証する。
MME/UPEは、初期L3メッセージ応答を伝送する。MMEは、初期L3メッセージ応答を通じてMAC-INASを計算する。
【0082】
I-WLANからSAEシステムへの順方向ハンドオーバー:
TAU手順又は初期NASメッセージの間に、UEは、TAU手順内に以前アクセスシステムの詳細を伝送し、コアネットワークは以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索することができる。
【0083】
図8は、本発明によるUMTSからSAEシステムへの逆方向ハンドオーバーを示す。
図8を参照すると、UEは、ステップ1で、SGSNに周期的又はイベントベースの測定値を伝送する。
測定レポートに基づいて、SGSNは、ステップ2で、UEに他のRATのスキャニングを始めるように要求し、あるいはENB/MMEが隣接RATまたはそのサービス領域で利用可能な特定RATをスキャンするようにUEに要求することができる。または、L2又はその他の手段によって、UEは、UMTSが持続できないと決定し、他のRATのスキャニングを始める。
【0084】
UEは、ステップ3で、TAI、選択されたUIA及びUEA、選択的にSTART値及び/又はENB IDを含むSAE測定レポートをSGSNに伝送する。
すると、SGSNは、UEをSAEネットワークにハンドオーバーすることを決定する。TAIを用いて、SGSNは、ステップ4で、MMEアドレスを知るようになり、S3又はS4インターフェースを利用し、あるいはHSSに接続し、もしくはその他の方式を通じてMMEに接続する。
【0085】
SGSNは、ステップ5で、MME/UPEにHO要求メッセージを伝送する。HO要求メッセージは、セキュリティコンテキスト、以前RATタイプ、非使用AV、最新CK及びIK、及び選択的にENB-ID、START値、KSI及びその他のパラメータを含む。
【0086】
ステップ6で、MMEは、MMEがHSSに登録された否かについてHSSを確認し、そうでないと、MMEは、ソフト登録をする。MMEは、SGSNによって伝送されたCK及びIKを用いてキーを生成させる。MMEは、MME又はAAAサーバ内に配置され、又はSAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる論理的なインターワーキングユニットを用いてUMTSパラメータをSAE固有のパラメータに変換する。インターワーキングユニットの機能は、一つのアクセスシステムのRAN及びCNコンテナ/プロトコル/パラメータを他のものに変換する。
【0087】
ステップ7で、MMEは、FRESHを生成し、RAN保護のためのENBキー、選択されたUIA及びUEA、FRESH、START、KSI、及びその他のパラメータを含むセキュリティコンテキストをENB-IDを用いてENBに分配する。
【0088】
ステップ8で、MMEは、HO承認をSGSNに伝送する。HO承認メッセージは、選択されたUEA及びUIA、選択的にFRESHを含む。
SGSNは、ステップ9で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージを通じてUEに伝送する。
SAEネットワークへのハンドオーバーのためにSGSNからHO命令を受信した後に、UEは、ステップ10で、最新CK及びIKを用いてSAEシステムに固有のキーを生成し、RAN保護を始める。
【0089】
UEは、ステップ11で、ENBとL2接続を始める。UEは、選択的にRRCメッセージの保護を始める。ENBへの初期メッセージの間に、UEは、START値を伝達し、生成されたSAE固有のキー、選択的にFRESH及びSTART値を用いてMAC-IRANを計算する。すると、ENBは、START値と共にステップ8で受信されたセキュリティコンテキストを用いてMAC-IRANを検証する。
【0090】
UEは、ステップ12で、初期L3メッセージをMME/UPEに伝送する。初期L3メッセージは、ユーザー識別、START値及びMAC-INASを含む。このMAC-INASは、生成されたSAE固有のキー、及び選択的にFRESH及びSTART値を用いて計算される。
【0091】
MME/UPEは、ステップ13で、生成されたキー、受信されたSTART、及び選択的にFRESH値を用いてMAC-Iを検証する。
MME/UPEは、ステップ14で、初期L3メッセージ応答を伝送する。MMEは、初期L3メッセージ応答を通じてMAC-INASを計算する。
【0092】
UMTSからSAEシステムへの順方向ハンドオーバー:
TAU手順又は初期NASメッセージの間に、UEは、以前アクセスシステムの詳細を伝送し、コアネットワークは以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索することができる。
【0093】
図9は、本発明によるSAEからUMTSシステムへの逆方向ハンドオーバーを示す。
図9を参照すると、UEは、ステップ1で、ENB/MMEに周期的又はイベントベースの測定値を伝送する。
【0094】
測定レポートに基づいて、ENB/MMEは、ステップ2で、UEに他のRATのスキャニングを始めるように要求し、あるいはENB/MMEが隣接RATまたはそのサービス領域に利用可能な特定RATをスキャンするようにUEに要求することができる。または、L2又はその他の手段によって、UEは、EUTRANが持続できないと決定し、他のRATのスキャニングを始める。
【0095】
UEは、ステップ3で、RAI、支援されるUIA及びUEA、KSI及びSTART値及びセルIDを含むUMTS測定レポートをENB/MMEに伝送する。
すると、SGSNは、ステップ4で、UEをUMTSネットワークにハンドオーバーすることを決定する。RAIを用いて、MMEは、SGSNアドレスを知るようになり、S3又はS4インターフェースを利用し、あるいはHSSに接続し、もしくは公知の方式を通じてSGSMに接続する。
【0096】
MMEは、ステップ5で、SGSNにHO要求メッセージを伝送する。HO要求メッセージは、セキュリティコンテキスト、以前RATタイプ、非使用AV、最新CK及びIK、及び選択的にセルID、START値、KSI及びその他のパラメータを含む。MMEは、MME又はSGSN内に配置され、あるいは別途のネットワークエンティティとして配置され、又はSAE又はUMTSシステムのネットワークエンティティ内に同時に配置されることができる論理的なインターワーキングユニットを用いてSAEパラメータをUMTS固有のパラメータに変換する。インターワーキングユニットの機能は、第1のアクセスシステムのRAN及びCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換する。
【0097】
このSGSNは、ステップ6で、SGSNがHSSに登録されたか否かについてHSSを確認し、そうでないと、ソフト登録を遂行する。
【0098】
ステップ7で、SGSNは、FRESHを生成し、セルIDを用いて、保護のためのキー、選択されたUIA及びUEA、FRESH、START、KSI及びその他のパラメータを含むセキュリティコンテキストをRNCに伝送する。RNCは、受信されたパラメータを格納する。
【0099】
SGSNは、ステップ8で、HO承認をMMEに伝送する。HO承認メッセージは、選択されたUEA及びUIA、及び選択的にFRESHを含む。
MMEは、ステップ9で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージを通じてUEに伝達する。
【0100】
UMTSネットワークへのハンドオーバーのためにMMEからHO命令を受信した後に、UEは、ステップ10で、UMTSネットワークに対する最新CK及びIKを利用して選択的にRAN保護を始める。
UEは、ステップ11で、RNCとL2接続を始める。UEは選択的にRRCメッセージを保護し始める。RNCへの初期メッセージの間に、UEは、START値を伝送する。
【0101】
ステップ12で、UEは、初期L3メッセージをSGSNに伝送する。初期L3メッセージは、ユーザー識別、START値、KSI及びMAC-Iを含む。
RNCは、ステップ13で、MAC-Iを検証し、ステップ14でSGSNへ伝送する。
【0102】
SAEからUMTSシステムへの順方向ハンドオーバー:
RAU手順又は最初のNASメッセージの間に、UEは、最後/以前アクセスシステムの詳細を伝送し、コアネットワークが以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索することができる。
【0103】
図10は、本発明によるUMTSからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2アクセス)を示す。
図10を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をUTRANネットワークに伝送する。
【0104】
RNC/SGSNは、UE測定値がしきい値以下であることが分かり、あるいはSGSNが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2で、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、UTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0105】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSGSNに伝送する。すると、SGSNは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0106】
NAIを用いて、SGSNは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、SGSN又はAAAサーバ内に配置するか、別途のネットワークエンティティとして配置する。あるいは、UMTSシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる。インターワーキングユニットの機能は、第1のアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換するものである。
【0107】
SGSNは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含む。
【0108】
AAAは、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合には、AAAがステップ6でソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)及びTemp ID(匿名ID及び速い再認証ID)を生成する。AAAサーバは、生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0109】
ステップ7で、AAAサーバは、インターワーキングユニットを通じてHO承認をSGSNに伝送する。HO承認メッセージは、保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。
SGSNは、ステップ8で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージとしてUEに伝送する。
【0110】
I-WLANネットワークへのハンドオーバーのためにUMTSシステムからHO命令を受信した後に、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp ID(匿名ID又は速い再認証ID)を解読する。
【0111】
UEは、ステップ10で、I-WLAN ASとL2接続を始める。
I-WLANシステムが認証を要求すると、WLAN-ANは、ステップ11a.1で認証手順を開始する。
【0112】
すると、UEは、ステップ11a.2で、HO命令を通じて受信された場合にTemp ID(速い再認証ID)を伝送する。UEは、I-WLAN ANを通じて、Temp ID(匿名ID又は速い再認証ID)及びEAP応答識別メッセージのインテグリティの保護を含むEAP応答識別をAAAサーバに伝送する。
【0113】
AAAサーバがTemp IDと共にEAP応答識別メッセージを受信すると、AAAは、UEがHO準備を遂行したことを知るようになる。AAAサーバは、ステップ11a.3で、インテグリティの保護及びTemp IDを検証する。したがって、AAAは、UEを認証する。AAAサーバは、選択的に、AAAサーバが保護された成功的結果表示を使用するように以前に要求された場合、EAP成功メッセージより以前に、MAC保護されたメッセージEAP要求/AKA通知を送信することができる。AAAサーバは、新たなTemp IDを生成してEAP要求/AKA通知メッセージと一緒にUEに伝送する。WLAN ANは、EAP要求/AKA通知メッセージをUEに伝達する。UEは、EAP応答/AKA通知を伝送する。WLAN ANは、EAP応答/AKA通知メッセージをAAAサーバに伝送し、AAAサーバはこれらメッセージの内容を無視する。
【0114】
AAAサーバは、ステップ11a.4で、EAP成功メッセージをWLAN ANに伝送する。一部エキストラキーイング要素がWLAN技術固有の機密性及び/又はインテグリティの保護のために生成されると、AAAサーバは、このキーイング要素を基本AAAプロトコルメッセージ(すなわち、EAPレベルでない)に含める。I-WLAN ANは、認証されたWLAN-UEとの通信に使用されるキーイング要素を格納する。AAAサーバが保護された成功的な結果表示を使用していないと、AAAサーバは、新たなTemp IDを生成してEAP成功メッセージと一緒にUEに伝送する。
【0115】
I-WLAN ANは、ステップ11a.5で、成功的な認証に関してEAP成功メッセージでWLAN-UEに知らせる。このとき、EAP AKA交換が成功的に完了し、WLAN-UE及びI-WLAN ANはこの交換中に生成されたキーイング要素を共有する。
【0116】
または、ステップ11bで、UEは、I-WLANネットワークと共に速い再認証手順を開始する。UEが速い再認証IDを受信しないと、UEは、全体認証手順を開始するために匿名IDを伝送する。
【0117】
図11は、本発明によるUMTSからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2及びシナリオ3アクセス)を示す。
図11を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をEUTRANネットワークに伝送する。
【0118】
RNC/SGSNは、UE測定値がしきい値以下であることが分かり、あるいはSGSNが如何なる方式でもEUTRANを持続できないと判断すると、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、UTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0119】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSGSNに伝送する。すると、SGSNは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0120】
NAIを用いて、SGSNは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、SGSN又はAAAサーバ内に配置するか、別途のネットワークエンティティに配置するか、UMTSシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる。インターワーキングユニットの機能は、一つのアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを他のアクセスシステムに変換するものである。
【0121】
SGSNは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含む。
【0122】
AAAは、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合には、AAAがソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成する。また、AAAサーバは、Temp ID(匿名ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0123】
AAAサーバは、ステップ7で、インターワーキングユニットを通じてHO承認をSGSNに伝送する。HO承認メッセージは、保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。また、AAAサーバは、シナリオ2及びシナリオ3を連続して遂行するUEに対して支援される最適化手順をHO承認内に含む。
【0124】
SGSNは、ステップ8で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージとしてUEに伝送する。
I-WLANネットワークへのハンドオーバーのためにUMTSシステムからHO命令を受信した後、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp IDを解読する。
【0125】
UEは、ステップ10で、I-WLAN ASとL2接続を始める。
I-WLANシステムが認証を要求すると、WLAN-ANは、ステップ11a.1で認証手順を開始する。
【0126】
すると、UEは、ステップ11a.2で、HO命令を通じて受信される場合にTemp ID(速い再認証ID)を伝送する。UEは、I-WLAN ANを通じて、Temp ID(匿名ID又は速い再認証ID)及びEAP応答識別メッセージのインテグリティの保護を含むEAP応答識別をAAAサーバに伝送する。
【0127】
AAAサーバがTemp IDと共にEAP応答識別メッセージを受信すると、AAAは、UEがHO準備を遂行したことを知るようになる。AAAサーバは、ステップ11a.3で、インテグリティの保護及びTemp IDを検証する。したがって、AAAは、UEを認証する。選択的に、AAAサーバが保護された成功的結果表示を使用するように以前に要求された場合、EAP成功メッセージより以前に、MAC保護されたメッセージEAP要求/AKA通知を送信することができる。AAAサーバは、新たなTemp IDを生成してEAP要求/AKA通知メッセージと一緒にUEに伝送する。WLAN ANは、EAP要求/AKA通知メッセージをUEに伝達する。UEは、EAP応答/AKA通知を伝送する。WLAN ANは、EAP応答/AKA通知メッセージをAAAサーバに伝送し、AAAサーバはこれらメッセージの内容を無視する。
【0128】
AAAサーバは、ステップ11a.4で、EAP成功メッセージをWLAN ANに伝送する。一部エキストラキーイング要素がWLAN技術固有の機密性及び/又はインテグリティの保護のために生成されると、AAAサーバは、このキーイング要素を基本AAAプロトコルメッセージ(すなわち、EAPレベルでない)に含める。I-WLAN ANは、認証されたWLAN-UEとの通信に使用されるキーイング要素を格納する。AAAサーバが保護された成功的な結果表示を使用していないと、AAAサーバは、新たなTemp IDを生成してEAP成功メッセージと一緒にUEに伝送する。
【0129】
I-WLAN ANは、ステップ11a.5で、成功的な認証に関してEAP成功メッセージでWLAN-UEに知らせる。このとき、EAP AKA交換が成功的に完了し、WLAN-UE及びI-WLAN ANはこの交換中に生成されたキーイング要素を共有する。
【0130】
また、ステップ11bで、UEは、I-WLANネットワークと共に速い再認証手順を開始する。UEが速い再認証IDを受信しないと、UEは、全体認証手順を開始するために匿名IDを伝送する。
【0131】
成功的なシナリオ2認証手順後に、UEは、ステップ12aで、HO命令にAAAサーバによってリストされたシナリオ3に対する最適化した認証手順を開始する。UEは、EMSK基盤の最適化手順を用いてシナリオ3認証手順を開始することができる。
また、UEは、ステップ12bで、シナリオ3認証手順に対する速い再認証手順を開始することができる。
【0132】
図12は、本発明によるUMTSからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ3アクセス)を示す。
図12を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をUTRANネットワークに伝送する。
【0133】
RNC/SGSNは、UE測定値がしきい値以下であることが分かり、あるいはSGSNが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2で、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、UTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0134】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSGSNに伝送する。すると、SGSNは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0135】
NAIを用いて、SGSNは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、SGSN又はAAAサーバ内に配置されるか、別途のネットワークエンティティに配置されるか、UMTSシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置されることができる。インターワーキングユニットの機能は、一つのアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを他のアクセスシステムに変換するものである。
【0136】
SGSNは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他のパラメータを含む。
【0137】
AAAは、ステップ6で、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合、ソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成する(generate/derive)。また、AAAサーバは、Temp ID(匿名ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0138】
AAAサーバは、ステップ7で、インターワーキングユニットを通じてHO承認をSGSNに伝送する。HO承認メッセージは、保護されたTemp ID(匿名ID及び速い再認証ID)及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。また、AAAサーバは、シナリオ2及びシナリオ3を連続して遂行するUEに対して支援される最適化手順をHO承認内に含む。
【0139】
SGSNは、ステップ8で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージとしてUEに伝送する。
I-WLANネットワークへのハンドオーバーのためにUMTSシステムからHO命令を受信した後、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp(匿名ID及び速い再認証ID)IDを解読する。
【0140】
UEは、ステップ10で、I-WLAN ASとL2接続を始める。
I-WLAN ANとの成功的な接続後に、UEは、ステップ11aで、HO命令にAAAサーバによってリストされたシナリオ3に対する最適化した認証手順を開始する。UEは、EMSK基盤の最適化手順を用いてシナリオ3認証手順を開始することができる。
UEは、ステップ11bで、選択的にシナリオ3認証手順に対する速い再認証手順を開始することができる。
【0141】
SAEシステムからI-WLAN ASへの順方向ハンドオーバー:
認証手順中に、UEは、以前アクセスシステムの詳細を伝送し、それによってコアネットワークがセキュリティコンテキストとバッファリングされたパケットを以前のアクセスシステムから検索することができる。最近のアクセスシステムの詳細は、EAPOL ID応答メッセージ内に伝送されることができる。
【0142】
シナリオ2認証手順中に、UEとネットワークがCK及びIKを用いてキーを生成すると、コアネットワークは、Temp IDを生成してUEに伝達する。UEは、シナリオ3アクセスのための速い再認証手順を始めることができる。
【0143】
UEは、最後に成功的に受信されたパケットのシーケンス番号をI-WLANネットワークに伝送する。I-WLANネットワークは、このシーケンス番号をコアネットワークに伝達することができる。すると、コアネットワークは、UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝達し始める。
【0144】
I-WLANからUMTSアクセスシステムへの逆方向ハンドオーバー:
UE及びネットワークは、最新CK及びIKを選択的に使用することができる。このUEは、AKA認証なしにRRC接続手順とSMC手順を始める。
また、SMC手順は、HO準備段階で遂行されることができる。
HO命令で、ネットワークは、支援されるアルゴリズムを伝送し、UEはアルゴリズムを選択して初期メッセージ保護を始める。
【0145】
I-WLANからUMTSアクセスシステムへの順方向ハンドオーバー:
RAU手順中に、UEは、RAUメッセージを通じて以前アクセスシステムの詳細を伝送し、コアネットワークは以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索することができる。
【0146】
SAEシステムのためのキー生成−図13に示すような代案1:
図13に示すように、9AVは、UEとHSSで生成される。関数f6,f7,f8,f9は、LTE/SAEシステムのための新たなキー派生関数である。HSSは、MMEがn個の9AVを要求すると、LTE/SAE可能なUEの通信を認証して確保するために上記AVをMMEに伝送する。
【0147】
LTE/SAEから他のRATへのセキュリティコンテキスト伝送は、次の<数式1>又は<数式2>のように示される。
【0148】
【数1】
【0149】
又は、
【0150】
【数2】
【0151】
ここで、CKは暗号キー(Cypher Key)を表し、IKはインテグリティキー(Integrity Key)又はHSSからのAVのキーを表す。
他のRATらからLTE/SAEへのセキュリティコンテキスト伝送は、<数式3>のように示される。
【0152】
【数3】
【0153】
ここで、CKは暗号キーを表し、IKはインテグリティキーを表す。
上記のキーは、UEとMMEで派生される。
MMEとUPEが結合されると、関数F8とF9は提供されず、CKNASとIKNASは、NAS信号保護及びユーザープレーン(plane)保護のために利用される。
LTE/SAEから他のRATへのセキュリティコンテキスト伝送は、<数式4>のように示される。
【0154】
【数4】
【0155】
ここで、CKとIKは事前に識別されている。
他のRATからLTE/SAEへのセキュリティコンテキスト伝送は、次の<数式5>のようである。
【0156】
【数5】
【0157】
ここで、prfは疑似ランダム関数(pseudo random function)を表し、CK、IK、及びUEは事前に識別されている。
【0158】
SAEシステムのためのキー派生−代案2:
この代案において、LTE/SAEシステムは、図14に示すようにUMTS AVを利用し、次に示される<数式6>のように他のキーを派生する。
【0159】
【数6】
【0160】
すべてのMMEに対して共通のCKNASとIKNASが、すべてのUPE(User Plane Entity)に対して共通のCKUPとIKUPが、及びすべてのENBに対して共通のCKRANとIKRANがある。
MMEとUPEが結合された場合、関数F8とF9は提供されていないし、CKNASとIKNASはNAS信号保護及びユーザープレーン保護のために利用される。
【0161】
【数7】
【0162】
ここで、これらパラメータの各々は、事前に識別されている。
UEの識別は、EAP-AKAが利用される場合にはNAIフォーマットであり、UMTS-AKA基盤認証が遂行される場合にはIMSI又はTMSIである。
また、UEの識別は、サービングノード識別と関連されることができる。
同一のオペレータドメイン内のすべてのMMEに対して共通のCKNASとIKNASとすべてのENBに対して共通のCKRANとIKRANがある。
【0163】
SAEシステムのためのキー派生 −代案3
この代案で、LTE/SAEシステムは、図14に示すようにUMTS AVを利用し、数式8〜13に示すように他のキーを派生する。
【0164】
【数8】
【0165】
【数9】
【0166】
【数10】
【0167】
【数11】
【0168】
【数12】
【0169】
【数13】
【0170】
上記の数式において、prfは疑似ランダム関数を、UEはユーザー端末(User Equipment)を、IDは識別子(Identifier)を、MMEは移動管理エンティティ(Mobility Management Entity)を、それぞれ表す。
固有キーは、ネットワークエンティティに対して派生される。
【0171】
その他の制御方法及び装置が、上記の説明及び添付の図面に示すような本発明の多様な方法及び装置の組み合わせから派生されることができ、これらが本発明の範囲内にあることは当業者には自明なことである。アプリケーションを格納するためのホストは、マイクロチップ、マイクロプロセッサー、携帯用通信装置(handheld communication device)、コンピュータ、レンダリング(rendering)装置又は多機能装置を含むが、これに限定されないことに留意すべきである。
【0172】
以上、本発明の詳細な説明においては具体的な実施形態に関して説明したが、特許請求の範囲を逸脱することなく、様々な変更が可能であることは、当該技術分野における通常の知識を持つ者には明らかである。したがって、本発明の範囲は、前述の実施形態に限定されるものではなく、特許請求の範囲の記載及びこれと均等なものに基づいて定められるべきである。
【図面の簡単な説明】
【0173】
【図1】進化したシステムに対する従来の論理的上位階層構造を示す図である。
【図2】従来のI-WLANシステム構成及びネットワーク要素を示す図である。
【図3】本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2アクセス)のためのメッセージフローを示す図である。
【図4】本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2及びシナリオ3アクセス)のためのメッセージフローを示す図である。
【図5】本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ3アクセス)のためのメッセージフローを示す図である。
【図6】本発明によるI-WLANからLTEへの逆方向ハンドオーバー(代案1)のためのメッセージフローを示す図である。
【図7】本発明によるI-WLANからLTEへの逆方向ハンドオーバー(代案2)のためのメッセージフローを示す図である。
【図8】本発明によるUMTSシステムからLTEシステムへの逆方向ハンドオーバーのためのメッセージフローを示す図である。
【図9】本発明によるLTEシステムからUMTSシステムへの逆方向ハンドオーバーのためのメッセージフローを示す図である。
【図10】本発明によるUMTSシステムからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2アクセス)のためのメッセージフローを示す図である。
【図11】本発明によるUMTSシステムからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2及びシナリオ3アクセス)のためのメッセージフローを示す図である。
【図12】本発明によるUMTSからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ3アクセス)のためのメッセージフローを示す図である。
【図13】本発明による進化したシステムのためのキー派生(代案1)を示す図である。
【図14】本発明による進化したシステムのためのキー派生(代案1)を示す図である。
【符号の説明】
【0174】
1,2a,2b,3,4,5,6,7,8,9,10,11,11a.1,11a.2,11a.3,11a.4,11a.5,11b,12,12a,12b,13,14,15,16,17;ステップ
【技術分野】
【0001】
本発明は異種システム(heterogeneous systems)、アクセスシステム間のハンドオーバー時の認証手順の最適化、及び進化した(evolved)システムのためのキーの派生(derivation)方法に関するもので、特に、以前のアクセスシステムのキーを用いてハンドオーバー以後に新たなアクセスシステムとの通信を確保するための新たなキーを生成する方法に関する。
【背景技術】
【0002】
3GPP(3rd Generation Partnership Project)の無線アクセスネットワーク(Radio Access Network:RAN)、システム構造(System Architecture:SA)、及びコアターミナル(Core Terminal:CT)作業グループは、次世代無線システムの向上した(Enhanced)UTRAN(E-UTRAN)構造を開発することを目標としている。E−UTRANシステムは、現在第2世代(2G)及び第3世代(3G)無線システムと共存することが要求され、特に既存のシステムと3GPP TR 23.882、3GPP TS 23.401、及び3GPP TS 23.402規格に明示されたように新たに進化した(evolved)E−UTRANシステムとの間のハンドオーバーを支援することが要求される。
【0003】
E-UTRANシステムは、3GPP UTRANシステムの進化したシステムであり、主要エンティティは、図1に示すようにUE(User Equipment)、ENB(Enhanced Node B)、MME(Mobility Management Entity)、UPE(User Plane Entity)、及びIASA(Inter Access System Anchor)である。E-UTRANシステムのENBは、Node Bと古い(legacy)UTRANシステムの無線ネットワーク制御器(Radio Network Controller:RNC)の特性を有しなければならない。システム構造進化(System Architecture Evolution:SAE)のMMEは、UEコンテキスト(アイドル状態の場合、UE/ユーザー識別(Identity)、UE移動状態、ユーザーセキュリティパラメータ)を管理及び格納する。また、MMEは、UEに割り当てる臨時識別(temporary identities)を生成し、UEがTA又はPLMN(Public Land Mobile Network)に留まっているかどうかについて認証を確認し、ユーザーの認証を遂行する。SAEのUPEは、アイドル状態のUEに対してダウンリンクデータ経路を終了し、ダウンリンクデータがUEに到着したときに呼び出し(paging)をトリガー及び開始(trigger/initiate)する。また、UPEは、UEコンテキスト、例えば、IP(Internet Protocol)ベアラサービス又はネットワーク内部ルーティング情報を管理及び格納し、インターセプション(interception)の場合にユーザートラフィックのレプリケーション(replication)を遂行する。IASAは、相互に異なるアクセスシステム間の移動性のためのユーザープレーンアンカー(user plane anchor)である。このIASAは、相互に異なるアクセスシステム間のハンドオーバーを遂行または支援する。
【0004】
GERAN(GSM(Global System for Mobile Communication)/EDGE(Enhanced Data rates for Global Evolution) Radio Access Network)は、送受信基地局(Base Transceiver Station:BTS)と基地局制御器(Base Station Controller:BSC)で構成される。UTRANは、Node Bと無線ネットワーク制御器(Radio Network Controller:RNC)で構成される。GPRS(General Packet Radio Service)コアネットワークは、図1に示すようにサービングGPRS支援ノード(Serving GPRS Support Node:SGSN)とゲートウェイGPRS支援ノード(Gateway GPRS Support Node:GGSN)で構成される。
【0005】
3GPP TS 23.234規格に明示されたI-WLAN(Integrated Wireless Local Area Network)システムは、図2に示すように、古いUTRANシステムをWLANシステムと統合するシステム及び方法を提供する。I-WLANシステムは、WLANユーザーが3GPPパケット交換サービスをアクセスできるようにする。
【0006】
しかしながら、現在、異種アクセスシステム間のハンドオーバー時に認証手順を提供する効率的なメカニズムが提示されていない。さらに、進化したシステムのキーを生成するための方法も提示されていない。
【発明の開示】
【発明が解決しようとする課題】
【0007】
したがって、本発明は、少なくとも上記した従来技術の問題点及び短所を解消し、下記のような長所を提供する。したがって、本発明の目的は、異種ネットワークでアクセスシステム間のハンドオーバー時に認証手順を最適化する方法を提供する。
本発明の他の目的は、異種ネットワークでアクセスシステム間のハンドオーバー時に認証手順を最適化するシステムを提供する。
また、本発明は、SAEシステム固有のキーを生成させるためのメカニズムを提供する。
【課題を解決するための手段】
【0008】
上記のような目的を達成するために、本発明は、異種ネットワークにおけるアクセスシステム間のハンドオーバー時に認証手順を最適化する方法であって、新たなシステムにアクセスするための新たなキーを派生するステップと、既存システムから新たなシステムへのハンドオーバー時に既存システムアクセスキーを用いて認証手順を最適化するステップと、ハンドオーバー準備時に新たなシステムにアクセスし、UEが新たなシステムで速い再認証を遂行可能にするための臨時ID(Identification)をUEによって受信するステップとを有することを特徴とする。
【0009】
また、本発明は、異種ネットワークにおけるアクセスシステム間のハンドオーバー時に認証手順を最適化するシステムであって、新たなシステムにアクセスするための新たなキーを派生する手段と、既存システムから新たなシステムへのハンドオーバー時に、既存システムと共に使用される既存システムアクセスキーを用いて認証手順を最適化する手段と、ユーザー端末が速い再認証を遂行可能にするハンドオーバー準備時に新たなシステムにアクセスするユーザー端末によって臨時IDを受信する手段とを含むことを特徴とする。
【0010】
本発明は、第2のアクセスシステムで使用されるアクティブ認証キーを第1のアクセスシステムで利用することによって、ハンドオーバー時に最適化した認証手順を提供するメカニズムを含む。また、本発明は、ハンドオーバー手順中に速く再認証を遂行するためのメカニズムを含む。
本発明は、UEとネットワークエンティティとの間の通信を確保するために進化したシステムに対するキーを生成するためのメカニズムを含む。
【0011】
さらに、本発明の他の態様によれば、次のようである。
異種ネットワーク環境でハンドオーバー時にネットワークアクセス認証手順の最適化すること。
アクセスシステムの従属認証手順を遂行せずに、その代わりに、以前のアクセスシステムで生成された最新のアクティブキーを用いて、新たなアクセスシステムのための新たなキーを生成するメカニズムを提供すること。
順方向ハンドオーバーと逆方向ハンドオーバー共に対する新たなキーを派生するメカニズムを提供すること。
SAEシステム又はI-WLANインターワーキングシステムのネットワークエンティティ又はSAEシステム又はI-WLANインターワーキングシステムの別途のエンティティと同時に配置された論理インターワーキングユニットを通じてキー、セキュリティコンテキスト、及びその他のメッセージを交換するためのMME/UPE及びAAA(Authentication Authorization and Accounting)サーバ間のシグナリングインターフェースを提供すること。
I-WLANアクセス及び保安(secure)通信のために、UE及びAAAサーバによってアクティブEUTRANネットワークアクセスキーを用いるキーを生成すること。
【0012】
ハンドオーバー準備段階で、最新CK(Cypher Key)及びIK(Integrity Key)を用いてSAEシステム又はUMTSシステムからI-WLANシステムにキー(EAP関連キー、すなわちTEK、MSK及びEMSK)を生成すること。このUEは、測定レポートを通じてI-WLAN ID及びNAIをSAEシステムに伝送する。SAEシステムのネットワークエンティティはI-WLANインターワーキングシステムに転送されたハンドオーバー(HandOver:以下、“HO”と称する)準備要求内に他のパラメータと共に最新CK及びIKを含む。UEとネットワークはハンドオーバー準備段階でキーを生成することができる。
【0013】
I-WLAN接続(attach)手順の間に、UEがSAEシステムからI-WLANシステムへ移動するとき、UEとAAAサーバがハンドオーバー準備段階でキーを生成すると、WLAN-ANがAAAサーバにUEの認証を要求する場合に、I-WLANネットワークエンティティ(AAAサーバ)はEAP認証手順なしにWLAN-ANにMSKを伝送することを提供する。このように、UEとI-WLAN ASは、IEEE(Institute of Electrical and Electronic Engineers)802.11の特定ハンドシェイク(handshake)メカニズムを直接遂行してL2(Layer2)保護(protections)を開始することができる。
【0014】
ハンドオーバー準備段階で、AAAサーバによって(HO承認(accept)メッセージ/HO命令メッセージ内の)I-WLAN固有の臨時ID、匿名(pseudonym)及び/又は速い再認証IDをUEに伝送すること。(ネットワークが速い再認証IDを伝送し、UEにキーの認証及びリフレッシュ(refresh)を要求すると)UEは、SAE ASからI-WLAN ASに初期にハンドオーバー時に速い再認証手順を遂行することができる。本発明によると、UEは、最後に成功的に受信されたパケットのシーケンス番号をI-WLAN ASに伝送できる。I-WLAN ASは、パケットをコアネットワークに伝達し、コアネットワークは最後に成功的に受信されたシーケンス番号以後のパケットをUEに伝送し始めることができる。
【0015】
本発明によると、ネットワークは、SAEシステム又はUMTSシステムからI-WLANシステムにハンドオーバーしつつ、HO命令の間にUEがシナリオ(scenario)2及びシナリオ3認証手順と支援される最適化手順のリストを共に遂行するように指示できる。このように、UEは、施行錯誤方法なしに、直接ネットワークによって支援される最適化手順の中で一つを選択して開始することができる。
【0016】
本発明によると、MMEは、HO準備段階でHSSにソフト登録(soft registration)を遂行し、ハンドオーバー後に、UEは、上記MMEに接続する。SGSNは、HO準備段階でHSSにソフト登録を遂行し、ハンドオーバー後に、UEは上記SGSNに接続する。
【0017】
本発明によると、AAAサーバはHO準備段階でHSSにソフト登録を遂行して、ハンドオーバー後に、UEはAAAサーバに接続される。保安モード命令手順は、SAEシステム又はUMTSシステムへのハンドオーバーの間にHO準備段階で遂行される。
【0018】
本発明によると、UEは、ネットワークによってブロードキャスティングされるネットワーク支援アルゴリズムのリストから選択されたアルゴリズムを測定レポートを通じてSAEシステムに伝送する。HO命令で、SAEシステムは、UE選択アルゴリズムを同意/交渉(agree/negotiate)して、UEがハンドオーバー時に初期メッセージの保護を開始することができる。
【0019】
本発明によると、SGSNは、最新CK及びIKをSAEシステムのMME又は認証及びキー管理エンティティに伝達し、MME又はSAEシステムの認証及びキー管理エンティティは、SAE固有のキーを派生してハンドオーバー以前又はハンドオーバー時にSAEシステムエンティティに分配する。
【0020】
本発明によると、MMEは、他のASからのHO要求又は他のASへのHO要求時に、LTE(Lon Term Evolution)関連パラメータをUMTS固有のパラメータに変換する。MMEは、最新CK及びIKをSGSNに伝達し、このSGSNはこのキーをSAEシステムからのハンドオーバー準備要求時にRNC(Radio Network Controller)に分配する。
【0021】
本発明によると、UMTS ASのための順方向ハンドオーバー認証手順中に、UEはRAU手順又は初期NASメッセージを通じて以前アクセスシステムの詳細を伝送し、コアネットワークは、以前アクセスシステムからセキュリティコンテキスト(例えば、CK及びIK)とバッファリングされたパケットを検索する(retrieve)ことができる。I-WLAN ASへの順方向ハンドオーバー認証手順中に、UEは、以前アクセスシステムの詳細を伝送し、コアネットワークは、以前アクセスシステムからセキュリティコンテキスト及びバッファリングされたパケットを検索することができる。この以前アクセスシステムの詳細は、EAPOL ID応答メッセージを通じて伝送される。
【0022】
本発明によると、UEは、最後に成功的に受信されたパケットのシーケンス番号をアクセスシステムに伝送し、アクセスシステムはこれを以前コアネットワークに伝達して、UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝送し始めることができる。
【0023】
本発明によると、I-WLAN ASでシナリオ2認証手順中に、UEとネットワークがUMTS CK及びIKを用いてキーを生成すると、コアネットワークは臨時IDを生成し、これをUEに伝達する。UEは、シナリオ3アクセスのための速い再認証手順を始める。
【0024】
SAE ASに対する順方向ハンドオーバー認証手順中に、UEは、以前アクセスシステムの詳細をTAU手順又は初期NASメッセージを通じて伝送し、コアネットワークは以前のアクセスシステムからセキュリティコンテキスト(例えば、CK及びIK)とバッファリングされたパケットを検索する。
【発明を実施するための最良の形態】
【0025】
以下、本発明の望ましい実施形態を添付の図面を参照して詳細に説明する。
下記に、本発明の実施形態において、本発明の範囲及び精神を逸脱することなく、多様な変形が可能であることは、当該技術分野における通常の知識を有する者には明らかである。また、本発明に関連した公知の機能または構成に関する具体的な説明が本発明の要旨を不明にすると判断された場合に、その詳細な説明を省略する。
【0026】
本発明は、異種ネットワーク間のハンドオーバー時に最適化した認証手順を提供するためのシステム及びその方法を提供し、SAEシステム固有のキーを生成させるメカニズムも提供する。
この方法は、アクセスシステム固有の認証手順を遂行することなく、以前のアクセスシステムキーを用いて新たなアクセスシステム固有のキーを生成するためのメカニズムを含む。
【0027】
図3は、本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2アクセス)を示す。
図3を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値(measurements)をEUTRANネットワークに伝送する。ENB(Evolving Node B)/MME(Mobility Management Entity)は、UE測定値がしきい値以下であることが分かり、あるいはMMEが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2aで、他のRAT(Radio Access Technology)をスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域(coverage area)内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、レイヤ2(L2)又はその他の手段によって、UEは、EUTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0028】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSAEシステムに伝送する。すると、ENB/MMEは、論理的なインターワーキングユニットによって、それ自体又は選択的にI-WLANネットワークにUEをハンドオーバーするように決定する。
【0029】
NAI(Network Address Identifier)を用いて、MMEは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析し、論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、MME又はAAAサーバ内に配置されるか、SAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置されることができる。インターワーキングユニットの機能は、第1のアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換するものである。
【0030】
MMEは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用(unused)AV(Authentication Vector)、最新(latest)CK及びIKとその他のパラメータを含む。
【0031】
AAAは、他のAAAがHSS(Home Subscription Service)に登録されたか否かについてHSSを確認し、そうでない場合には、ステップ6でソフト登録(soft registration)を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成/派生する(generate/derive)。また、AAAサーバは、Temp ID(匿名(pseudonym)ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0032】
ステップ7で、AAAサーバは、インターワーキングユニットを通じてHO承認をMMEに伝送する。HO承認メッセージは保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。
MMEは、ステップ8で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージとしてUEに伝送する。
【0033】
I-WLANネットワークへのハンドオーバーのためにSAEシステムからHO命令を受信した後に、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp IDを解読する。ステップ10で、UEは、I-WLAN ASとL2接続(L2 attachment)を始める。
【0034】
I-WLANシステムが認証を要求すると、WLAN-ANは、ステップ11a.1で認証手順を開始する。
すると、UEは、ステップ11a.2で、HO命令を通じてTemp IDが受信された場合にTemp ID(速い再認証ID)を伝送する。UEは、I-WLAN ANを通じて、Temp ID(匿名ID又は速い再認証ID)及び選択的にEAP応答識別メッセージのインテグリティ(integrity)の保護を含むEAP応答識別をAAAサーバに伝送する。
【0035】
AAAサーバがTemp IDと共にEAP応答識別メッセージを受信すると、AAAは、UEがHO準備を遂行したことを知るようになる。AAAサーバは、ステップ11a.3で、インテグリティ(integrity)の保護及びTemp IDを検証(verify)する。したがって、AAAは、UEを認証する。選択的に、AAAサーバが保護された成功的結果表示を使用するように以前に要求された場合、EAP成功メッセージより以前に、MAC(Medium Access Control)保護されたメッセージEAP要求/AKA通知(Notification)を伝送することができる。AAAサーバは、新たなTemp IDを生成してEAP要求/AKA通知メッセージと一緒にUEに伝送する。WLAN ANは、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を送信する。WLAN ANは、EAP応答/AKA通知メッセージをAAAサーバに伝送し、AAAサーバはこれらメッセージの内容を無視する。
【0036】
AAAサーバは、ステップ11a.4で、EAP成功メッセージをWLAN ANに伝送する。一部エキストラキーイング要素(extra keying material)がWLAN技術固有の機密性及び/又はインテグリティの保護のために生成されると、AAAサーバは、このキーイング要素を基本(underlying)AAAプロトコルメッセージ(すなわち、EAPレベルでない)に含める。I-WLAN ANは、認証されたWLAN-UEとの通信に使用されるキーイング要素を格納する。AAAサーバが保護された成功的な結果表示を使用していないと、AAAサーバは、新たなTemp IDを生成してEAP成功メッセージと一緒にUEに伝送する。
【0037】
I-WLAN ANは、ステップ11a.5で、成功的な認証に関してEAP成功メッセージを通じてWLAN-UEに知らせる。このとき、EAP AKA交換が成功的に完了し、WLAN-UE及びI-WLAN ANはこの交換中に生成されたキーイング要素を共有する。
または、ステップ11bで、UEは、I-WLANネットワークと共に速い再認証手順を開始する。UEが速い再認証IDを受信しないと、UEは、全体認証手順を開始するために匿名IDを伝送する。
【0038】
図4は、本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2及びシナリオ3アクセス)を示す。
図4を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をEUTRANネットワークに伝送する。
【0039】
ENB/MMEは、UE測定値がしきい値以下であることが分かり、あるいはMMEが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2aで、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、EUTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0040】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSAEシステムに伝送する。すると、ENB/MMEは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0041】
NAIを用いて、MMEは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、MME又はAAAサーバ内に配置されるか、SAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置されることができる。インターワーキングユニットの機能は、第1のアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換するものである。
【0042】
MMEは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他のパラメータを含む。
【0043】
AAAは、ステップ6で、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合には、AAAがソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成する。また、AAAサーバは、Temp ID(匿名ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0044】
AAAサーバは、ステップ7で、インターワーキングユニットを通じてHO承認をMMEに伝送する。HO承認メッセージは、保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。また、AAAサーバは、シナリオ2とシナリオ3を連続して遂行するUEに対して支援される最適化手順をHO承認内に含む。
【0045】
MMEは、ステップ8で、受信されたパラメータをHO命令メッセージとしてHO承認メッセージを通じてUEに伝送する。
I-WLANネットワークへのハンドオーバーのためにSAEシステムからHO命令を受信した後、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp ID(匿名ID及び速い再認証ID)を解読する。ステップ10で、UEは、I-WLAN ASとL2接続を始める。
【0046】
I-WLANシステムが認証を要求すると、WLAN-ANは、ステップ11a.1で認証手順を開始する。すると、UEは、ステップ11a.2で、HO命令を通じて受信される場合にTemp ID(速い再認証ID)を伝送する。UEは、I-WLAN ANを通じて、Temp ID(匿名ID又は速い再認証ID)及び選択的にEAP応答識別メッセージのインテグリティの保護を含むEAP応答識別をAAAサーバに伝送する。
【0047】
AAAサーバがTemp IDと共にEAP応答識別メッセージを受信すると、AAAは、UEがHO準備を遂行したことを知るようになる。AAAサーバは、ステップ11a.3で、インテグリティの保護及びTemp IDを検証する。したがって、AAAは、UEを認証する。選択的に、AAAサーバが保護された成功的結果表示を使用するように事前に要求された場合、EAP成功メッセージより以前に、MAC保護されたメッセージEAP要求/AKA通知を送信することができる。AAAサーバは、新たなTemp IDを生成してEAP要求/AKA通知メッセージと一緒にUEに伝送する。WLAN ANは、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送する。WLAN ANは、EAP応答/AKA通知メッセージをAAAサーバに伝送し、AAAサーバはこれらメッセージの内容を無視する。
【0048】
AAAサーバは、ステップ11a.4で、EAP成功メッセージをWLAN ANに伝送する。一部エキストラキーイング要素がWLAN技術固有の機密性及び/又はインテグリティの保護のために生成されると、AAAサーバは、このキーイング要素を基本AAAプロトコルメッセージ(すなわち、EAPレベルでない)に含める。I-WLAN ANは、認証されたWLAN-UEとの通信に使用されるキーイング要素を格納する。AAAサーバが保護された成功的な結果表示を使用していないと、AAAサーバは、新たなTemp IDを生成してEAP成功メッセージと一緒にUEに伝送する。
【0049】
I-WLAN ANは、ステップ11a.5で、成功的な認証に関してEAP成功メッセージでWLAN-UEに知らせる。このとき、EAP AKA交換が成功的に完了し、WLAN-UE及びI-WLAN ANはこの交換中に生成されたキーイング要素を共有する。
【0050】
または、UEは、ステップ11bで、I-WLANネットワークと共に速い再認証手順を開始する。UEが速い再認証IDを受信しないと、UEは、全体認証手順を開始するために匿名IDを伝送する。
【0051】
成功的なシナリオ2認証手順後に、UEは、ステップ12aで、HO命令にAAAサーバによってリストされたシナリオ3に対する最適化した認証手順を開始する。UEは、EMSK基盤の最適化手順を用いてシナリオ3認証手順を開始することができる。
また、UEは、ステップ12bで、シナリオ3認証手順に対する速い再認証手順を開始することができる。
【0052】
図5は、本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(直接的なシナリオ3アクセス)を示す。
図5を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をEUTRANネットワークに伝送する。
【0053】
ENB/MMEは、UE測定値がしきい値以下であることが分かり、あるいはMMEが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2で、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、EUTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0054】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSAEシステムに伝送する。すると、ENB/MMEは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0055】
NAIを用いて、MMEは、ステップ4で、I-WLANAAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、MME又はAAAサーバ内に配置されるか、SAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置されることができる。インターワーキングユニットの機能は、第1のアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換するものである。
【0056】
MMEは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他のパラメータを含む。
【0057】
AAAは、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合には、AAAがソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成する。また、AAAサーバは、Temp ID(匿名ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)する。すると、AAAは、UEに上記Temp IDを伝送する。
【0058】
AAAサーバは、ステップ7で、インターワーキングユニットを通じてHO承認をMMEに伝送する。HO承認メッセージは、保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。また、AAAサーバは、シナリオ2及びシナリオ3を連続して遂行するUEに対して支援される最適化手順をHO承認内に含む。
【0059】
MMEは、ステップ8で、受信されたパラメータをHO命令メッセージとしてHO承認メッセージを通じてUEに伝送する。
I-WLANネットワークへのハンドオーバーのためにSAEシステムからHO命令を受信した後、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp IDを解読する。
ステップ10で、UEは、I-WLAN ASとL2接続を始める。
【0060】
I-WLAN ANとの成功的な接続後に、UEは、ステップ11aで、HO命令にAAAサーバによってリストされたシナリオ3に対する最適化した認証手順を開始する。UEは、EMSK基盤の最適化手順を用いてシナリオ3認証手順を開始することができる。
UEは、ステップ11bで、選択的にシナリオ3認証手順に対する速い再認証手順を開始することができる。
【0061】
SAEからI-WLAN ASへの順方向ハンドオーバー:
認証手順中に、UEは、以前アクセスシステムの詳細を伝送し、それによってコアネットワークがセキュリティコンテキストとバッファリングされたパケットを以前のアクセスシステムから検索することができる。最近のアクセスシステムの詳細は、EAPOL ID応答メッセージ内で伝送されることができる。
【0062】
シナリオ2認証手順中に、UEとネットワークがCK及びIKを用いてキーを生成すると、コアネットワークは、Temp IDを生成してUEに伝達する。UEは、シナリオ3アクセスのための速い再認証手順を始めることができる。
【0063】
UEは、最後に成功的に受信されたパケットのシーケンス番号をI-WLANネットワークに伝送し、I-WLANネットワークはこのシーケンス番号をコアネットワークに伝達することができる。すると、コアネットワークは、UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝達し始める。
【0064】
図6は、本発明によるI-WLANからSAEシステムへの逆方向ハンドオーバー(代案1)を示す。
図6を参照すると、UEは、ステップ1で、論理的な決定(decision)及びインターワーキングユニットに周期的またはイベントベースの測定値を伝送する。この論理的な決定及びインターワーキングユニットは、MME又はAAAサーバ内に配置され、あるいは別途のエンティティとして配置され、もしくはSAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる。決定及びインターワーキングユニットの機能は、第1のアクセスシステムのRAN及びCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換し、上記測定値に基づいてHOを遂行するかを決定する。
【0065】
論理的な決定及びインターワーキングユニットは、UE測定値がしきい値以下であることがわかり、その他の手段によってI-WLANが持続できないと判断すると、論理的な決定及びインターワーキングユニットは、ステップ2で、UEに他のRATのスキャニングを始めるように要求し、あるいはENB/MMEはUEに隣接RAT、又はそのサービス領域内で利用可能な特定のRATをスキャンするように要求することができる。また、L2又は一部の他の手段によって、UEは、I-WLANが持続できないと決定し、他のRATをスキャニングし始める。
【0066】
UEは、ステップ3で、TAI、選択されたUIA及びUEA、ENB-ID及び選択的にSTART値を含むSAE測定レポートをAAAサーバを通じて論理的決定及びインターワーキングユニットに伝送する。
すると、ステップ4で、論理的決定及びインターワーキングユニットは、UEをSAEネットワークにハンドオーバーするように決定し、これをAAAサーバに知らせる。
TAIを用いて、AAAサーバは、HSSに接続することによってMMEアドレスを知るようになる。
【0067】
ステップ6で、AAAサーバは、HO要求メッセージをMME/UPEに伝送する。HO要求メッセージは、以前のRATタイプ、非使用AV、最新CK及びIK、選択的にENB-ID及びその他のパラメータを含む。
MMEは、他のMMEがHSSに登録されたか否かについてHSSを確認し、そうでない場合、ステップ7でソフト登録を遂行する。また、MMEは、キーを生成する。
【0068】
MMEは、ステップ8で、インターワーキングユニットを通じてHO承認をAAAサーバに伝送する。このHO承認メッセージは、選択されたUEA及びUIA、選択的にFRESH及びRAN保護を始めるかに関する情報とその他のパラメータを含む。
AAAサーバは、ステップ9でHO承認メッセージを通じて受信されたパラメータをHO命令メッセージを通じてUEに伝送する。
【0069】
SAEネットワークへのハンドオーバーのためにAAAサーバからHO命令を受信した後に、UEは、ステップ10で、最新CK及びIKを用いてSAEシステムに固有のキーを生成させる。
UEは、ステップ11で、何らの保護なしにENBとL2接続を始める。
【0070】
UEは、ステップ12で、初期レイヤ3(L3)メッセージをMME/UPEに伝送する。初期L3メッセージは、ユーザー識別、START値及びMAC-INASを含む。このMAC-INASは、生成されたSAE固有のキー、及び選択的にFRESH及びSTART値を用いて計算される。
【0071】
MME/UPEは、ステップ13で、生成したキー、受信されたSTART、及び選択的にFRESH値を用いてMAC-Iを検証する。
MME/UPEは、ENB、START、選択的にFRESH及び合意されたUEA及びUIAに対するキーを含む初期L3メッセージ応答を伝送する。MMEは、ENB、START、選択的にFRESH及び合意されたUEA及びUIAに対してキーを除いた初期L3メッセージ応答を通じてMAC-INASを計算する。
【0072】
ENBは、初期L3メッセージ応答を受信し、START、選択的にFRESH及び合意されたUEA及びUIAに対するキーを格納する。
ENBは、初期L3メッセージ応答をUEに伝達する。選択的に、ENBはRANセキュリティ(MAC-IRAN)を始めることができる。
UEは、MAC-INASとMAC-IRANを検証する。
【0073】
図7は、本発明によるI-WLANからSAEシステムへの逆方向ハンドオーバー(代案2)を示す。
図7を参照すると、UEは、ステップ1で、論理的な決定及びインターワーキングユニットに周期的またはイベントベースの測定値を伝送する。この論理的な決定及びインターワーキングユニットは、MME又はAAAサーバ内に配置され、あるいは別途のエンティティとして配置され、もしくはSAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる。決定及びインターワーキングユニットの機能は、第1のアクセスシステムのRAN及びCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換し、上記測定値に基づいてHOを遂行するかを決定する。
【0074】
論理的な決定及びインターワーキングユニットは、UE測定値がしきい値以下であることがわかり、その他の手段によってI-WLANが持続できないと判断すると、論理的な決定及びインターワーキングユニットは、ステップ2で、UEに他のRATのスキャニングを始めるように要求し、あるいはENB/MMEはUEに隣接RAT、又はそのサービス領域内で利用可能な特定のRATをスキャンするように要求することができる。また、L2又は一部他の手段によって、UEは、I-WLANが持続できないと決定し、他のRATをスキャニングし始める。
【0075】
UEは、ステップ3で、TAI、選択されたUIA及びUEA、ENB-ID及び選択的にSTART値を含むSAE測定レポートをAAAサーバを通じて論理的決定及びインターワーキングユニットに伝送する。
すると、論理的決定及びインターワーキングユニットは、UEをSAEネットワークにハンドオーバーするように決定し、これをAAAサーバに知らせる。
TAIを用いて、AAAサーバは、ステップ5で、HSSに接続することによってMMEアドレスを知るようになる。
【0076】
ステップ6で、AAAサーバは、HO要求メッセージをMME/UPEに伝送する。HO要求メッセージは、以前のRATタイプ、非使用AV、最新CK及びIK、選択的にENB-ID及びその他のパラメータを含む。
MMEは、ステップ7で、他のMMEがHSSに登録されたか否かについてHSSを確認し、そうでない場合、ソフト登録を遂行する。また、MMEは、AAAサーバによってCK及びIKを用いてキーを生成する。
【0077】
MMEは、ステップ8で、ENB-IDを用いてFRESHを生成し、ENBにセキュリティコンテキストを分配する。
MMEは、ステップ9で、インターワーキングユニットを通じてHO承認をAAAサーバに伝送する。HO承認メッセージは、選択されたUEA及びUIA,及び選択的にFRESH及びRAN保護を始めるかに関する情報とその他のパラメータを含む。
【0078】
AAAサーバは、ステップ10で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージを通じてUEに伝送する。
SAEネットワークへのハンドオーバーのためにAAAサーバからHO命令を受信した後に、UEは、ステップ11で、最新CK及びIKを用いてSAEシステムに固有のキーを生成し、RAN保護を始める。
【0079】
UEは、ステップ12で、ENBとL2接続を始める。UEは、RRCメッセージの保護を始める。ENBへの初期メッセージの間に、UEは、START値を伝達し、生成されたSAE固有のキー、選択的にFRESH及びSTART値を用いてMAC-IRANを計算する。すると、ENBは、START値と共にステップ8で受信されたセキュリティコンテキストを用いてMAC-IRANを検証する。
【0080】
UEは、ステップ13で、初期L3メッセージをMME/UPEに伝送する。初期L3メッセージは、ユーザー識別、START値及びMAC-INASを含む。このMAC-INASは、生成されたSAE固有のキー、及び選択的にFRESH及びSTART値を用いて計算される。
【0081】
MME/UPEは、ステップ14で、生成されたキー、受信されたSTART、及び選択的にFRESH値を用いてMAC-INASを検証する。
MME/UPEは、初期L3メッセージ応答を伝送する。MMEは、初期L3メッセージ応答を通じてMAC-INASを計算する。
【0082】
I-WLANからSAEシステムへの順方向ハンドオーバー:
TAU手順又は初期NASメッセージの間に、UEは、TAU手順内に以前アクセスシステムの詳細を伝送し、コアネットワークは以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索することができる。
【0083】
図8は、本発明によるUMTSからSAEシステムへの逆方向ハンドオーバーを示す。
図8を参照すると、UEは、ステップ1で、SGSNに周期的又はイベントベースの測定値を伝送する。
測定レポートに基づいて、SGSNは、ステップ2で、UEに他のRATのスキャニングを始めるように要求し、あるいはENB/MMEが隣接RATまたはそのサービス領域で利用可能な特定RATをスキャンするようにUEに要求することができる。または、L2又はその他の手段によって、UEは、UMTSが持続できないと決定し、他のRATのスキャニングを始める。
【0084】
UEは、ステップ3で、TAI、選択されたUIA及びUEA、選択的にSTART値及び/又はENB IDを含むSAE測定レポートをSGSNに伝送する。
すると、SGSNは、UEをSAEネットワークにハンドオーバーすることを決定する。TAIを用いて、SGSNは、ステップ4で、MMEアドレスを知るようになり、S3又はS4インターフェースを利用し、あるいはHSSに接続し、もしくはその他の方式を通じてMMEに接続する。
【0085】
SGSNは、ステップ5で、MME/UPEにHO要求メッセージを伝送する。HO要求メッセージは、セキュリティコンテキスト、以前RATタイプ、非使用AV、最新CK及びIK、及び選択的にENB-ID、START値、KSI及びその他のパラメータを含む。
【0086】
ステップ6で、MMEは、MMEがHSSに登録された否かについてHSSを確認し、そうでないと、MMEは、ソフト登録をする。MMEは、SGSNによって伝送されたCK及びIKを用いてキーを生成させる。MMEは、MME又はAAAサーバ内に配置され、又はSAEシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる論理的なインターワーキングユニットを用いてUMTSパラメータをSAE固有のパラメータに変換する。インターワーキングユニットの機能は、一つのアクセスシステムのRAN及びCNコンテナ/プロトコル/パラメータを他のものに変換する。
【0087】
ステップ7で、MMEは、FRESHを生成し、RAN保護のためのENBキー、選択されたUIA及びUEA、FRESH、START、KSI、及びその他のパラメータを含むセキュリティコンテキストをENB-IDを用いてENBに分配する。
【0088】
ステップ8で、MMEは、HO承認をSGSNに伝送する。HO承認メッセージは、選択されたUEA及びUIA、選択的にFRESHを含む。
SGSNは、ステップ9で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージを通じてUEに伝送する。
SAEネットワークへのハンドオーバーのためにSGSNからHO命令を受信した後に、UEは、ステップ10で、最新CK及びIKを用いてSAEシステムに固有のキーを生成し、RAN保護を始める。
【0089】
UEは、ステップ11で、ENBとL2接続を始める。UEは、選択的にRRCメッセージの保護を始める。ENBへの初期メッセージの間に、UEは、START値を伝達し、生成されたSAE固有のキー、選択的にFRESH及びSTART値を用いてMAC-IRANを計算する。すると、ENBは、START値と共にステップ8で受信されたセキュリティコンテキストを用いてMAC-IRANを検証する。
【0090】
UEは、ステップ12で、初期L3メッセージをMME/UPEに伝送する。初期L3メッセージは、ユーザー識別、START値及びMAC-INASを含む。このMAC-INASは、生成されたSAE固有のキー、及び選択的にFRESH及びSTART値を用いて計算される。
【0091】
MME/UPEは、ステップ13で、生成されたキー、受信されたSTART、及び選択的にFRESH値を用いてMAC-Iを検証する。
MME/UPEは、ステップ14で、初期L3メッセージ応答を伝送する。MMEは、初期L3メッセージ応答を通じてMAC-INASを計算する。
【0092】
UMTSからSAEシステムへの順方向ハンドオーバー:
TAU手順又は初期NASメッセージの間に、UEは、以前アクセスシステムの詳細を伝送し、コアネットワークは以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索することができる。
【0093】
図9は、本発明によるSAEからUMTSシステムへの逆方向ハンドオーバーを示す。
図9を参照すると、UEは、ステップ1で、ENB/MMEに周期的又はイベントベースの測定値を伝送する。
【0094】
測定レポートに基づいて、ENB/MMEは、ステップ2で、UEに他のRATのスキャニングを始めるように要求し、あるいはENB/MMEが隣接RATまたはそのサービス領域に利用可能な特定RATをスキャンするようにUEに要求することができる。または、L2又はその他の手段によって、UEは、EUTRANが持続できないと決定し、他のRATのスキャニングを始める。
【0095】
UEは、ステップ3で、RAI、支援されるUIA及びUEA、KSI及びSTART値及びセルIDを含むUMTS測定レポートをENB/MMEに伝送する。
すると、SGSNは、ステップ4で、UEをUMTSネットワークにハンドオーバーすることを決定する。RAIを用いて、MMEは、SGSNアドレスを知るようになり、S3又はS4インターフェースを利用し、あるいはHSSに接続し、もしくは公知の方式を通じてSGSMに接続する。
【0096】
MMEは、ステップ5で、SGSNにHO要求メッセージを伝送する。HO要求メッセージは、セキュリティコンテキスト、以前RATタイプ、非使用AV、最新CK及びIK、及び選択的にセルID、START値、KSI及びその他のパラメータを含む。MMEは、MME又はSGSN内に配置され、あるいは別途のネットワークエンティティとして配置され、又はSAE又はUMTSシステムのネットワークエンティティ内に同時に配置されることができる論理的なインターワーキングユニットを用いてSAEパラメータをUMTS固有のパラメータに変換する。インターワーキングユニットの機能は、第1のアクセスシステムのRAN及びCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換する。
【0097】
このSGSNは、ステップ6で、SGSNがHSSに登録されたか否かについてHSSを確認し、そうでないと、ソフト登録を遂行する。
【0098】
ステップ7で、SGSNは、FRESHを生成し、セルIDを用いて、保護のためのキー、選択されたUIA及びUEA、FRESH、START、KSI及びその他のパラメータを含むセキュリティコンテキストをRNCに伝送する。RNCは、受信されたパラメータを格納する。
【0099】
SGSNは、ステップ8で、HO承認をMMEに伝送する。HO承認メッセージは、選択されたUEA及びUIA、及び選択的にFRESHを含む。
MMEは、ステップ9で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージを通じてUEに伝達する。
【0100】
UMTSネットワークへのハンドオーバーのためにMMEからHO命令を受信した後に、UEは、ステップ10で、UMTSネットワークに対する最新CK及びIKを利用して選択的にRAN保護を始める。
UEは、ステップ11で、RNCとL2接続を始める。UEは選択的にRRCメッセージを保護し始める。RNCへの初期メッセージの間に、UEは、START値を伝送する。
【0101】
ステップ12で、UEは、初期L3メッセージをSGSNに伝送する。初期L3メッセージは、ユーザー識別、START値、KSI及びMAC-Iを含む。
RNCは、ステップ13で、MAC-Iを検証し、ステップ14でSGSNへ伝送する。
【0102】
SAEからUMTSシステムへの順方向ハンドオーバー:
RAU手順又は最初のNASメッセージの間に、UEは、最後/以前アクセスシステムの詳細を伝送し、コアネットワークが以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索することができる。
【0103】
図10は、本発明によるUMTSからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2アクセス)を示す。
図10を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をUTRANネットワークに伝送する。
【0104】
RNC/SGSNは、UE測定値がしきい値以下であることが分かり、あるいはSGSNが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2で、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、UTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0105】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSGSNに伝送する。すると、SGSNは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0106】
NAIを用いて、SGSNは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、SGSN又はAAAサーバ内に配置するか、別途のネットワークエンティティとして配置する。あるいは、UMTSシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる。インターワーキングユニットの機能は、第1のアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを第2のアクセスシステムに変換するものである。
【0107】
SGSNは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含む。
【0108】
AAAは、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合には、AAAがステップ6でソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)及びTemp ID(匿名ID及び速い再認証ID)を生成する。AAAサーバは、生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0109】
ステップ7で、AAAサーバは、インターワーキングユニットを通じてHO承認をSGSNに伝送する。HO承認メッセージは、保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。
SGSNは、ステップ8で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージとしてUEに伝送する。
【0110】
I-WLANネットワークへのハンドオーバーのためにUMTSシステムからHO命令を受信した後に、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp ID(匿名ID又は速い再認証ID)を解読する。
【0111】
UEは、ステップ10で、I-WLAN ASとL2接続を始める。
I-WLANシステムが認証を要求すると、WLAN-ANは、ステップ11a.1で認証手順を開始する。
【0112】
すると、UEは、ステップ11a.2で、HO命令を通じて受信された場合にTemp ID(速い再認証ID)を伝送する。UEは、I-WLAN ANを通じて、Temp ID(匿名ID又は速い再認証ID)及びEAP応答識別メッセージのインテグリティの保護を含むEAP応答識別をAAAサーバに伝送する。
【0113】
AAAサーバがTemp IDと共にEAP応答識別メッセージを受信すると、AAAは、UEがHO準備を遂行したことを知るようになる。AAAサーバは、ステップ11a.3で、インテグリティの保護及びTemp IDを検証する。したがって、AAAは、UEを認証する。AAAサーバは、選択的に、AAAサーバが保護された成功的結果表示を使用するように以前に要求された場合、EAP成功メッセージより以前に、MAC保護されたメッセージEAP要求/AKA通知を送信することができる。AAAサーバは、新たなTemp IDを生成してEAP要求/AKA通知メッセージと一緒にUEに伝送する。WLAN ANは、EAP要求/AKA通知メッセージをUEに伝達する。UEは、EAP応答/AKA通知を伝送する。WLAN ANは、EAP応答/AKA通知メッセージをAAAサーバに伝送し、AAAサーバはこれらメッセージの内容を無視する。
【0114】
AAAサーバは、ステップ11a.4で、EAP成功メッセージをWLAN ANに伝送する。一部エキストラキーイング要素がWLAN技術固有の機密性及び/又はインテグリティの保護のために生成されると、AAAサーバは、このキーイング要素を基本AAAプロトコルメッセージ(すなわち、EAPレベルでない)に含める。I-WLAN ANは、認証されたWLAN-UEとの通信に使用されるキーイング要素を格納する。AAAサーバが保護された成功的な結果表示を使用していないと、AAAサーバは、新たなTemp IDを生成してEAP成功メッセージと一緒にUEに伝送する。
【0115】
I-WLAN ANは、ステップ11a.5で、成功的な認証に関してEAP成功メッセージでWLAN-UEに知らせる。このとき、EAP AKA交換が成功的に完了し、WLAN-UE及びI-WLAN ANはこの交換中に生成されたキーイング要素を共有する。
【0116】
または、ステップ11bで、UEは、I-WLANネットワークと共に速い再認証手順を開始する。UEが速い再認証IDを受信しないと、UEは、全体認証手順を開始するために匿名IDを伝送する。
【0117】
図11は、本発明によるUMTSからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2及びシナリオ3アクセス)を示す。
図11を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をEUTRANネットワークに伝送する。
【0118】
RNC/SGSNは、UE測定値がしきい値以下であることが分かり、あるいはSGSNが如何なる方式でもEUTRANを持続できないと判断すると、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、UTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0119】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSGSNに伝送する。すると、SGSNは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0120】
NAIを用いて、SGSNは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、SGSN又はAAAサーバ内に配置するか、別途のネットワークエンティティに配置するか、UMTSシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置することができる。インターワーキングユニットの機能は、一つのアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを他のアクセスシステムに変換するものである。
【0121】
SGSNは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含む。
【0122】
AAAは、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合には、AAAがソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成する。また、AAAサーバは、Temp ID(匿名ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0123】
AAAサーバは、ステップ7で、インターワーキングユニットを通じてHO承認をSGSNに伝送する。HO承認メッセージは、保護されたTemp ID及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。また、AAAサーバは、シナリオ2及びシナリオ3を連続して遂行するUEに対して支援される最適化手順をHO承認内に含む。
【0124】
SGSNは、ステップ8で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージとしてUEに伝送する。
I-WLANネットワークへのハンドオーバーのためにUMTSシステムからHO命令を受信した後、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp IDを解読する。
【0125】
UEは、ステップ10で、I-WLAN ASとL2接続を始める。
I-WLANシステムが認証を要求すると、WLAN-ANは、ステップ11a.1で認証手順を開始する。
【0126】
すると、UEは、ステップ11a.2で、HO命令を通じて受信される場合にTemp ID(速い再認証ID)を伝送する。UEは、I-WLAN ANを通じて、Temp ID(匿名ID又は速い再認証ID)及びEAP応答識別メッセージのインテグリティの保護を含むEAP応答識別をAAAサーバに伝送する。
【0127】
AAAサーバがTemp IDと共にEAP応答識別メッセージを受信すると、AAAは、UEがHO準備を遂行したことを知るようになる。AAAサーバは、ステップ11a.3で、インテグリティの保護及びTemp IDを検証する。したがって、AAAは、UEを認証する。選択的に、AAAサーバが保護された成功的結果表示を使用するように以前に要求された場合、EAP成功メッセージより以前に、MAC保護されたメッセージEAP要求/AKA通知を送信することができる。AAAサーバは、新たなTemp IDを生成してEAP要求/AKA通知メッセージと一緒にUEに伝送する。WLAN ANは、EAP要求/AKA通知メッセージをUEに伝達する。UEは、EAP応答/AKA通知を伝送する。WLAN ANは、EAP応答/AKA通知メッセージをAAAサーバに伝送し、AAAサーバはこれらメッセージの内容を無視する。
【0128】
AAAサーバは、ステップ11a.4で、EAP成功メッセージをWLAN ANに伝送する。一部エキストラキーイング要素がWLAN技術固有の機密性及び/又はインテグリティの保護のために生成されると、AAAサーバは、このキーイング要素を基本AAAプロトコルメッセージ(すなわち、EAPレベルでない)に含める。I-WLAN ANは、認証されたWLAN-UEとの通信に使用されるキーイング要素を格納する。AAAサーバが保護された成功的な結果表示を使用していないと、AAAサーバは、新たなTemp IDを生成してEAP成功メッセージと一緒にUEに伝送する。
【0129】
I-WLAN ANは、ステップ11a.5で、成功的な認証に関してEAP成功メッセージでWLAN-UEに知らせる。このとき、EAP AKA交換が成功的に完了し、WLAN-UE及びI-WLAN ANはこの交換中に生成されたキーイング要素を共有する。
【0130】
また、ステップ11bで、UEは、I-WLANネットワークと共に速い再認証手順を開始する。UEが速い再認証IDを受信しないと、UEは、全体認証手順を開始するために匿名IDを伝送する。
【0131】
成功的なシナリオ2認証手順後に、UEは、ステップ12aで、HO命令にAAAサーバによってリストされたシナリオ3に対する最適化した認証手順を開始する。UEは、EMSK基盤の最適化手順を用いてシナリオ3認証手順を開始することができる。
また、UEは、ステップ12bで、シナリオ3認証手順に対する速い再認証手順を開始することができる。
【0132】
図12は、本発明によるUMTSからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ3アクセス)を示す。
図12を参照すると、UEは、ステップ1で、周期的又はイベントベースの測定値をUTRANネットワークに伝送する。
【0133】
RNC/SGSNは、UE測定値がしきい値以下であることが分かり、あるいはSGSNが如何なる方式でもEUTRANを持続できないと判断すると、ステップ2で、他のRATをスキャニングし始めるようにUEに要求するか、隣接RAT又はそのサービス領域内で利用可能な特定のRATをスキャンするようにUEに要求することができる。また、L2又はその他の手段によって、UEは、UTRANが持続できないと判断し、他のRATのスキャニングを開始する。
【0134】
UEは、ステップ3で、他のパラメータと共にI-WLAN IDとNAIを含むI-WLAN測定レポートをSGSNに伝送する。すると、SGSNは、I-WLANネットワークにUEをハンドオーバーするように決定する。
【0135】
NAIを用いて、SGSNは、ステップ4で、I-WLAN AAAサーバIPアドレスを分析して論理的なインターワーキングユニットを通じてAAAサーバに接続する。この論理的なインターワーキングユニットは、SGSN又はAAAサーバ内に配置されるか、別途のネットワークエンティティに配置されるか、UMTSシステム又はI-WLANシステムのネットワークエンティティ内に同時に配置されることができる。インターワーキングユニットの機能は、一つのアクセスシステムのRANとCNコンテナ/プロトコル/パラメータを他のアクセスシステムに変換するものである。
【0136】
SGSNは、ステップ5で、インターワーキングユニットを通じてHO要求をAAAサーバに伝送する。HO要求は、NAI、I-WLAN ID、非使用AV、最新CK及びIKとその他のパラメータを含む。
【0137】
AAAは、ステップ6で、他のAAAがHSSに登録されたか否かについてHSSを確認し、そうでない場合、ソフト登録を遂行する。AAAは、NAI、CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成する(generate/derive)。また、AAAサーバは、Temp ID(匿名ID及び速い再認証ID)を生成し、この生成されたTEKを用いてTemp IDを保護(暗号化)してUEに伝送する。
【0138】
AAAサーバは、ステップ7で、インターワーキングユニットを通じてHO承認をSGSNに伝送する。HO承認メッセージは、保護されたTemp ID(匿名ID及び速い再認証ID)及びシナリオ2及びシナリオ3認証が要求されたか否かの表示を含む。また、AAAサーバは、シナリオ2及びシナリオ3を連続して遂行するUEに対して支援される最適化手順をHO承認内に含む。
【0139】
SGSNは、ステップ8で、HO承認メッセージを通じて受信されたパラメータをHO命令メッセージとしてUEに伝送する。
I-WLANネットワークへのハンドオーバーのためにUMTSシステムからHO命令を受信した後、UEは、ステップ9で、最新CK及びIKを用いてキー(MSK、TEK及びEMSK)を生成し、保護されたTemp(匿名ID及び速い再認証ID)IDを解読する。
【0140】
UEは、ステップ10で、I-WLAN ASとL2接続を始める。
I-WLAN ANとの成功的な接続後に、UEは、ステップ11aで、HO命令にAAAサーバによってリストされたシナリオ3に対する最適化した認証手順を開始する。UEは、EMSK基盤の最適化手順を用いてシナリオ3認証手順を開始することができる。
UEは、ステップ11bで、選択的にシナリオ3認証手順に対する速い再認証手順を開始することができる。
【0141】
SAEシステムからI-WLAN ASへの順方向ハンドオーバー:
認証手順中に、UEは、以前アクセスシステムの詳細を伝送し、それによってコアネットワークがセキュリティコンテキストとバッファリングされたパケットを以前のアクセスシステムから検索することができる。最近のアクセスシステムの詳細は、EAPOL ID応答メッセージ内に伝送されることができる。
【0142】
シナリオ2認証手順中に、UEとネットワークがCK及びIKを用いてキーを生成すると、コアネットワークは、Temp IDを生成してUEに伝達する。UEは、シナリオ3アクセスのための速い再認証手順を始めることができる。
【0143】
UEは、最後に成功的に受信されたパケットのシーケンス番号をI-WLANネットワークに伝送する。I-WLANネットワークは、このシーケンス番号をコアネットワークに伝達することができる。すると、コアネットワークは、UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝達し始める。
【0144】
I-WLANからUMTSアクセスシステムへの逆方向ハンドオーバー:
UE及びネットワークは、最新CK及びIKを選択的に使用することができる。このUEは、AKA認証なしにRRC接続手順とSMC手順を始める。
また、SMC手順は、HO準備段階で遂行されることができる。
HO命令で、ネットワークは、支援されるアルゴリズムを伝送し、UEはアルゴリズムを選択して初期メッセージ保護を始める。
【0145】
I-WLANからUMTSアクセスシステムへの順方向ハンドオーバー:
RAU手順中に、UEは、RAUメッセージを通じて以前アクセスシステムの詳細を伝送し、コアネットワークは以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索することができる。
【0146】
SAEシステムのためのキー生成−図13に示すような代案1:
図13に示すように、9AVは、UEとHSSで生成される。関数f6,f7,f8,f9は、LTE/SAEシステムのための新たなキー派生関数である。HSSは、MMEがn個の9AVを要求すると、LTE/SAE可能なUEの通信を認証して確保するために上記AVをMMEに伝送する。
【0147】
LTE/SAEから他のRATへのセキュリティコンテキスト伝送は、次の<数式1>又は<数式2>のように示される。
【0148】
【数1】
【0149】
又は、
【0150】
【数2】
【0151】
ここで、CKは暗号キー(Cypher Key)を表し、IKはインテグリティキー(Integrity Key)又はHSSからのAVのキーを表す。
他のRATらからLTE/SAEへのセキュリティコンテキスト伝送は、<数式3>のように示される。
【0152】
【数3】
【0153】
ここで、CKは暗号キーを表し、IKはインテグリティキーを表す。
上記のキーは、UEとMMEで派生される。
MMEとUPEが結合されると、関数F8とF9は提供されず、CKNASとIKNASは、NAS信号保護及びユーザープレーン(plane)保護のために利用される。
LTE/SAEから他のRATへのセキュリティコンテキスト伝送は、<数式4>のように示される。
【0154】
【数4】
【0155】
ここで、CKとIKは事前に識別されている。
他のRATからLTE/SAEへのセキュリティコンテキスト伝送は、次の<数式5>のようである。
【0156】
【数5】
【0157】
ここで、prfは疑似ランダム関数(pseudo random function)を表し、CK、IK、及びUEは事前に識別されている。
【0158】
SAEシステムのためのキー派生−代案2:
この代案において、LTE/SAEシステムは、図14に示すようにUMTS AVを利用し、次に示される<数式6>のように他のキーを派生する。
【0159】
【数6】
【0160】
すべてのMMEに対して共通のCKNASとIKNASが、すべてのUPE(User Plane Entity)に対して共通のCKUPとIKUPが、及びすべてのENBに対して共通のCKRANとIKRANがある。
MMEとUPEが結合された場合、関数F8とF9は提供されていないし、CKNASとIKNASはNAS信号保護及びユーザープレーン保護のために利用される。
【0161】
【数7】
【0162】
ここで、これらパラメータの各々は、事前に識別されている。
UEの識別は、EAP-AKAが利用される場合にはNAIフォーマットであり、UMTS-AKA基盤認証が遂行される場合にはIMSI又はTMSIである。
また、UEの識別は、サービングノード識別と関連されることができる。
同一のオペレータドメイン内のすべてのMMEに対して共通のCKNASとIKNASとすべてのENBに対して共通のCKRANとIKRANがある。
【0163】
SAEシステムのためのキー派生 −代案3
この代案で、LTE/SAEシステムは、図14に示すようにUMTS AVを利用し、数式8〜13に示すように他のキーを派生する。
【0164】
【数8】
【0165】
【数9】
【0166】
【数10】
【0167】
【数11】
【0168】
【数12】
【0169】
【数13】
【0170】
上記の数式において、prfは疑似ランダム関数を、UEはユーザー端末(User Equipment)を、IDは識別子(Identifier)を、MMEは移動管理エンティティ(Mobility Management Entity)を、それぞれ表す。
固有キーは、ネットワークエンティティに対して派生される。
【0171】
その他の制御方法及び装置が、上記の説明及び添付の図面に示すような本発明の多様な方法及び装置の組み合わせから派生されることができ、これらが本発明の範囲内にあることは当業者には自明なことである。アプリケーションを格納するためのホストは、マイクロチップ、マイクロプロセッサー、携帯用通信装置(handheld communication device)、コンピュータ、レンダリング(rendering)装置又は多機能装置を含むが、これに限定されないことに留意すべきである。
【0172】
以上、本発明の詳細な説明においては具体的な実施形態に関して説明したが、特許請求の範囲を逸脱することなく、様々な変更が可能であることは、当該技術分野における通常の知識を持つ者には明らかである。したがって、本発明の範囲は、前述の実施形態に限定されるものではなく、特許請求の範囲の記載及びこれと均等なものに基づいて定められるべきである。
【図面の簡単な説明】
【0173】
【図1】進化したシステムに対する従来の論理的上位階層構造を示す図である。
【図2】従来のI-WLANシステム構成及びネットワーク要素を示す図である。
【図3】本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2アクセス)のためのメッセージフローを示す図である。
【図4】本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2及びシナリオ3アクセス)のためのメッセージフローを示す図である。
【図5】本発明によるSAEからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ3アクセス)のためのメッセージフローを示す図である。
【図6】本発明によるI-WLANからLTEへの逆方向ハンドオーバー(代案1)のためのメッセージフローを示す図である。
【図7】本発明によるI-WLANからLTEへの逆方向ハンドオーバー(代案2)のためのメッセージフローを示す図である。
【図8】本発明によるUMTSシステムからLTEシステムへの逆方向ハンドオーバーのためのメッセージフローを示す図である。
【図9】本発明によるLTEシステムからUMTSシステムへの逆方向ハンドオーバーのためのメッセージフローを示す図である。
【図10】本発明によるUMTSシステムからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2アクセス)のためのメッセージフローを示す図である。
【図11】本発明によるUMTSシステムからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ2及びシナリオ3アクセス)のためのメッセージフローを示す図である。
【図12】本発明によるUMTSからI-WLANアクセスシステムへの逆方向ハンドオーバー(シナリオ3アクセス)のためのメッセージフローを示す図である。
【図13】本発明による進化したシステムのためのキー派生(代案1)を示す図である。
【図14】本発明による進化したシステムのためのキー派生(代案1)を示す図である。
【符号の説明】
【0174】
1,2a,2b,3,4,5,6,7,8,9,10,11,11a.1,11a.2,11a.3,11a.4,11a.5,11b,12,12a,12b,13,14,15,16,17;ステップ
【特許請求の範囲】
【請求項1】
異種ネットワークにおけるアクセスシステム間のハンドオーバー時に認証手順を最適化する方法であって、
新たなシステムにアクセスするための新たなキーを派生するステップと、
既存システムから新たなシステムへのハンドオーバー時に既存システムアクセスキーを用いて認証手順を最適化するステップと、
ハンドオーバー準備時に新たなシステムにアクセスし、UEが前記新たなシステムで速い再認証を遂行可能にするための臨時ID(Identification)を前記UEによって受信するステップと、
を有することを特徴とする方法。
【請求項2】
認証手順の最適化は、
I-WLAN(Integrated Wireless Local Area Network access system)からSAE(System Architecture Evolution access system)への順方向ハンドオーバー及びSAEからI-WLANへの逆方向ハンドオーバーと、
UMTS(Universal Mobile Telecommunication System)からSAEへの順方向ハンドオーバー及びSAEからUMTSへの逆方向ハンドオーバーと、
I-WLANからUMTSへの順方向ハンドオーバー及びUMTSからI-WLANへの逆方向ハンドオーバーのうち、少なくとも一つからのUEハンドオーバーに関連していることを特徴とする請求項1に記載の方法。
【請求項3】
SAEアクセスシステムからI-WLANへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRAN(Enhanced UMTS Terrestrial Radio Access Network)に伝送するステップと、
ENB(Evolving Node B)/MME(Mobility Management Entity)によって、伝送されたUE測定値がしきい値以下であると判断し、あるいはMMEによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT(Radio Access Technology)又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、I-WLAN IDとNAI(Network Access Identifier)を含むI-WLAN測定レポートを他のパラメータと共にSAEシステムに伝送し、ENB/MME又はENB/MMEと論理インターワーキングユニットによって、UEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記MMEによって、I-WLANのAAA(Authentication,Authorization,and Accounting)サーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはMME、AAAサーバ、又はSAEシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記MMEによって、前記インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV(Authentication Vector)、最新CK(Cypher Key)及びIK(Integrity Key)とその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSS(Home Subscription Server)を確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名(pseudonym)ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをMMEに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含むステップと、
前記MMEによって、前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
UEによって、I-WLANネットワークへのハンドオーバーのためにSAEシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
UEによって、I-WLANとのL2(Layer2)接続(attachment)を開始するステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項4】
I-WLANシステムが認証を要求すると、I-WLANによって認証手順を開始するステップと、
UEがハンドオーバー命令を受信すると、前記UEによって速い再認証臨時IDを伝送するステップと、
前記UEによって、臨時匿名ID、臨時速い再認証ID、及びEAP(Extensible Authentication Protocol)応答識別メッセージのインテグリティの保護のうちの一つと共にEAP応答識別メッセージをI-WLANを通じてAAAサーバに伝送するステップと、
AAAサーバによって、臨時IDと一緒にEAP応答識別メッセージを受信し、インテグリティの保護及び臨時IDを検証することによって、AAAがUEを認証するステップと、
前記AAAサーバによって、保護された成功的な結果表示を利用することを以前に要求した場合、EAP成功メッセージを伝送する前にEAP要求/AKA通知メッセージを伝送し、前記EAP要求/AKA通知メッセージはMAC(Medium Access Control)保護され、前記AAAサーバは新たな臨時IDと前記EAP要求/AKA通知メッセージを生成してUEに伝送するステップと、
I-WLANによって、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送してEAP応答/AKA通知メッセージをAAAサーバに伝達し、AAAサーバは前記メッセージの内容を考慮しないステップと、
AAAサーバによって、EAP成功メッセージをI-WLANに伝送し、I-WLANに対して付加キーイング要素が生成された場合、I-WLANは認証されたWLAN-UEとの通信に利用されるキーイング要素を格納するステップと、
AAAサーバが保護された成功的な結果表示を利用しないと、新たな臨時IDを生成してEAP成功メッセージと一緒にUEに伝送するステップと、
I-WLANによって、EAP成功メッセージを通じてWLAN-UEに成功的な認証について知らせ、EAP AKA交換が成功的に完了され、WLAN-UE及びI-WLANはEAP AKA交換中に派生されたキーイング要素を共有するステップと、
UEによって、I-WLANネットワークと一緒に速い再認証手順を開始し、UEが速い再認証IDを受信しないと、UEが全体認証手順を開始するために匿名IDを伝送するステップと、
をさらに有することを特徴とする請求項3に記載の方法。
【請求項5】
SAEアクセスシステムからI-WLANへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRANに伝送するステップと、
前記ENB/MMEによって、伝送されたUE測定値がしきい値以下であると判断し、あるいはMMEによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、少なくともI-WLAN IDとNAIを含むI-WLAN測定レポートをSAEシステムに伝送し、前記ENB/MMEによってUEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記MMEによって、I-WLANのAAAサーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはMME、AAAサーバ、又はSAEシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記MMEによって、インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSSを確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをMMEに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含むステップと、
前記MMEによって、前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
前記UEによって、I-WLANネットワークへのハンドオーバーのためにSAEシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
前記UEによってI-WLANとのL2接続を開始するステップと、
を有することを特徴とする請求項1に記載の方法。
【請求項6】
I-WLANシステムが認証を要求すると、I-WLANによって認証手順を開始するステップと、
前記UEがハンドオーバー命令を受信すると、前記UEによって速い再認証臨時IDを伝送するステップと、
前記UEによって、臨時匿名ID、臨時速い再認証ID、及びEAP(Extensible Authentication Protocol)応答識別メッセージのインテグリティの保護のうちの一つと共にEAP応答識別メッセージを前記I-WLANを通じてAAAサーバに伝送するステップと、
前記AAAサーバによって、臨時IDと一緒にEAP応答識別メッセージを受信し、インテグリティの保護及び臨時IDを検証することによって、前記AAAがUEを認証するステップと、
前記AAAサーバによって、保護された成功的な結果表示を利用することを事前に要求した場合、EAP成功メッセージを伝送する前にメッセージEAP要求/AKA通知メッセージを伝送し、前記EAP要求/AKA通知メッセージはMAC保護され、前記AAAサーバは新たな臨時IDと前記EAP要求/AKA通知メッセージを生成してUEに伝送するステップと、
前記I-WLANによって、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送してEAP応答/AKA通知メッセージをAAAサーバに伝達し、AAAサーバは前記メッセージの内容を考慮しないステップと、
前記AAAサーバによって、EAP成功メッセージをI-WLANに伝送し、I-WLANに対して付加キーイング要素が生成された場合、I-WLANは認証されたWLAN-UEとの通信に利用されるキーイング要素を格納するステップと、
前記AAAサーバが保護された成功的な結果表示を利用しないと、前記AAAサーバによって新たな臨時IDを生成してEAP成功メッセージと一緒にUEに伝送するステップと、
前記I-WLANによって、EAP成功メッセージを通じてWLAN-UEに成功的な認証について知らせ、EAP AKA交換が成功的に完了され、WLAN-UE及びI-WLANはEAP AKA交換中に派生されたキーイング要素を共有するステップと、
前記UEによって、I-WLANネットワークと一緒に速い再認証手順を開始し、UEが速い再認証IDを受信しないと、UEが全体認証手順を開始するために匿名IDを伝送するステップと、
前記UEによって、成功的な認証手順以後にHO命令にAAAサーバによってリストされた最適化した認証手順を開始し、UEはEMSK(Extended Master Session Key)基盤の最適化手順を用いて前記最適化した認証手順を開始するステップと、をさらに有し、
前記UEは、前記最適化した認証手順のための速い再認証手順を選択的に(alternatively)開始することを特徴とする請求項5に記載の方法。
【請求項7】
I-WLANとの成功的な接続後に、前記UEによって、HO命令にAAAサーバによってリストされた最適化認証手順を開始し、前記UEは、EMSK(Extended Master Session Key)基盤の最適化手順を用いて前記最適化した認証手順を開始するするステップをさらに有し、
前記UEは、前記最適化した認証手順のための速い再認証手順を選択的に開始することを特徴とする請求項5に記載の方法。
【請求項8】
SAEからI-WLAN ASへの順方向ハンドオーバーは、
認証手順の間に、前記UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細を伝送し、コアネットワークによってセキュリティコンテキストとバッファリングされたコンテキストを以前アクセスシステムから検索し、以前アクセスシステムの詳細はEAPOL ID応答メッセージ内で伝送されるステップと、
認証手順の間に、前記UEとネットワークによってCKとIKを用いて複数のキーを派生させ、コアネットワークは臨時IDを生成して前記UEに伝送し、UEは速い再認証手順を始めるステップと、
前記UEによって、最も最近に成功的に受信されたパケットシーケンス番号をI-WLANネットワークに伝送し、I-WLANネットワークは前記パケットをコアネットワークに伝送し、コアネットワークは前記UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝送し始めるステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項9】
I-WLANからSAEシステムへの逆方向ハンドオーバーは、
前記UEによって、MME、AAAサーバ、及びSAEシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されるか、または個別に配置された論理的な決定及びインターワーキングユニットに周期的或いはイベントベースの測定値を伝送するステップと、
前記論理的な決定及びインターワーキングユニットはUE測定値がしきい値以下であり、あるいはI-WLANが持続できないことを知るようになると、前記論理的な決定及びインターワーキングユニットによって、他のRATをスキャニングし始めることをUEに要求し、あるいはENB/MMEによって、UEにそれのサービス領域内で利用可能な特定RATをスキャンすることを要求し、またはUEによってI-WLANが持続できないと判断して他のRATのスキャニングを始めるステップと、
前記UEによって、TAI、選択されたUIA及びUEA、ENB-ID及びSTART値を含むSAE測定レポートをAAAサーバを通じて論理的な決定及びインターワーキングユニットに伝送するステップと、
前記論理的な決定及びインターワーキングユニットは、UEをSAEネットワークにハンドオーバーするように決定し、前記決定をAAAサーバに知らせるステップと、
前記TAIを用いて、AAAサーバがHSSに接続してMMEアドレスを知るようになるステップと、
前記AAAサーバによって、ハンドオーバー要求メッセージをMME/UPE(User Plane Entity)に伝送し、前記ハンドオーバー要求メッセージは少なくとも以前RATタイプ、非使用AV、最も最新のCK及びIK、及びENB-IDを含むステップと、
前記MMEによって、他のAAAが登録されたか否かについてHSSを確認し、そうでない場合には、ソフト登録を遂行してキーを生成するステップと、
前記MMEによって、インタワーキングユニットを通じてAAAサーバにハンドオーバー承認メッセージを伝送し、前記MMEは選択されたUEA及びUIA、FRESHを含み、最後のRAN保護を開始するかを決定するステップと、
前記AAAサーバによって、ハンドオーバー承認メッセージを通じて受信されたパラメータをハンドオーバー命令メッセージを通じてUEに伝送するステップと、
前記SAEネットワークへのハンドオーバーのためにAAAサーバからハンドオーバー命令を受信した後に、UEによって、最も最新のCK及びIKを用いてSAEシステムに固有のキーを派生するステップと、
前記UEが何らの保護なしにENBとのL2接続を始めるステップと、
前記UEによって、初期L3メッセージをMME/UPEに伝送し、前記初期L3メッセージはユーザー識別、START値及びMAC-INASを含んでMAC-INASは派生したSAE固有のキー、及びFRESH及びSTART値を用いて計算されるステップと、
前記MME/UPEによって派生されたキー、受信されたSTART及びFRESH値を用いてMAC-Iを検証するステップと、
前記MME/UPEによってENB、START、FRESH及びUEA及びUIAに対するキーを含む初期L3メッセージ応答を伝送し、MMEがENB、START、選択的にはFRESH及びUEA及びUIAに対するキーを除いた初期L3メッセージが応答を通じてMAC-INASを計算するステップと、
前記MMEによって、初期L3メッセージが応答を受信してSTART、FRESH及びUEA及びUIAに対するキーを格納するステップと、
前記ENBによって、初期L3メッセージが応答をUEに伝送し、RANセキュリティ(MAC-IRAN)を始めるステップと、
前記UEによって、MAC-INASとMAC-IRANを検証するステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項10】
I-WLANからSAEシステムへの逆方向ハンドオーバー(代案2)は、
前記UEによって、MME、AAAサーバ、及びSAEシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されるか、または個別に配置された論理的な決定及びインターワーキングユニットに周期的或いはイベントベースの測定値を伝送するステップと、
前記論理的な決定及びインターワーキングユニットはUE測定値がしきい値以下であるか、あるいはI-WLANが持続できないことを知るようになると、前記論理的な決定及びインターワーキングユニットによって、UEに他のRATをスキャニングし始めることを要求し、あるいはENB/MMEによって、UEにそれのサービス領域内で利用可能な特定RATをスキャンすることを要求し、またはUEがI-WLANが持続できないと判断して他のRATのスキャニングを始めるステップと、
前記UEによって、TAI、選択されたUIA及びUEA、ENB-ID及びSTART値を含むSAE測定レポートをAAAサーバを通じて論理的な決定及びインターワーキングユニットに伝送するステップと、
前記論理的な決定及びインターワーキングユニットは、UEをSAEネットワークにハンドオーバーするように決定し、前記決定をAAAサーバに知らせるステップと、
前記TAIを用いて、AAAサーバがHSSに接続してMMEアドレスを知るようになるステップと、
前記AAAサーバによって、ハンドオーバー要求メッセージをMME/UPEに伝送し、前記ハンドオーバー要求メッセージは少なくとも以前RATタイプ、非使用AV、最も最新のCK及びIK、及びENB-IDを含むステップと、
前記MMEによって、他のAAAが登録されたか否かについてHSSを確認し、そうでない場合には、ソフト登録を遂行し、AAAサーバによって伝送されたCKとIKを用いてキーを生成するステップと、
前記MMEによって、FRESHを生成し、ENB-IDを用いてENBにセキュリティコンテキストを分配するステップと、
前記MMEによって、インタワーキングユニットを通じてAAAサーバにハンドオーバー承認メッセージを伝送し、前記ハンドオーバー承認メッセージは、前記選択されたUEA及びUIA、FRESHとRAN保護の開始のための表示を含むステップと、
前記AAAサーバがハンドオーバー承認メッセージを通じて受信された前記パラメータをハンドオーバー命令メッセージを通じてUEに伝送するステップと、
前記UEによって、最も最新のCK及びIKを用いてSAEシステムに固有のキーを決定し、UEをSAEネットワークにハンドオーバーするようにAAAサーバからハンドオーバー命令を受信した後、RAN保護を始めるステップと、
前記UEによって、ENBとのL2接続を始め、RRCメッセージを保護し、ENBへの初期メッセージで、UEはSTART値を伝送し、派生されたSAE固有のキー、FRESH及びSTART値を用いてMAC-IRANを計算し、ENBがMAC-IRANを検証するステップ、
前記UEが初期L3メッセージをMME/UPEに伝送し、前記初期L3メッセージはユーザー識別、START値及びMAC-INASを含み、MAC-INASは派生したSAE固有のキー、及びFRESH及びSTART値を用いて計算されるステップと、
前記MME/UPEによって、派生されたキー、受信されたSTART及びFRESH値を用いてMAC-Iを検証するステップと、
前記MME/UPEによって、初期L3メッセージ応答を伝送し、MMEは、前記初期L3メッセージ応答を通じてMAC-INASを計算するステップと、
をさらに有することを特徴とする請求項2に記載の方法。
【請求項11】
I-WLANからSAEシステムへの順方向ハンドオーバーは、
前記UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細をTAU手順内に伝送し、コアネットワークによってTAU手順又は初期NASメッセージで以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索するステップをさらに有することを特徴とする請求項2に記載の方法。
【請求項12】
UMTSからSAEシステムへの逆方向ハンドオーバーは、
前記UEがSGSN(Serving GPRS Support Node)にレポートを通じて周期的またはイベントベースの測定値を伝送するステップと、
前記測定レポートに基づいて、SGSNがUEに他のRATをスキャニングし始めることを要求し、ENB/MMEがUEに他のRAT、またはUEのサービス領域内で利用可能なRATをスキャンすることを要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、TAI、選択されたUIA及びUEA、START値及びENB-IDを含む前記SAE測定レポートをSGSNに伝送するステップと、
前記SGSNによって、UEをSAEネットワークにハンドオーバーするように決定し、SGSNはMMEアドレスを決定するためにTAIを利用してS3又はS4インターフェースのうちの少なくとも一つを用いてMMEに接続し、HSSに接続するステップと、
前記SGSNによってMME/UPEにハンドオーバー要求メッセージを伝送し、前記ハンドオーバー要求メッセージは少なくとも、セキュリティコンテキスト、以前RATタイプ、非使用AV、最も最新のCK及びIK、ENB-ID、START値及びKSIを含むステップと、
前記MMEによって、他のMMEがHSSに登録されたか否かについてHSSを確認し、そうでない場合に、MMEはソフト登録を遂行してSGSNにより伝送されたCK及びIKを用いてキーを生成し、MMEがUMTSパラメータをMME、AAAサーバ、又はSAEシステム又はI-WLANシステムのネットワークエンティティの中の一つに配置された論理インターワーキングユニットを用いてSAE固有のパラメータに変換するステップと、
前記MMEによって、少なくてもRAN保護、選択されたUIA及びUEA、FRESH、START及びKSIに対するENBキーを含むセキュリティコンテキストをENBに分配するためにENB-IDを用いてFRESHを生成するステップと、
前記MMEによって、SGSNにハンドオーバー承認メッセージを伝送し、前記ハンドオーバー承認メッセージはUEA、UIA及びFRESHを含むステップと、
前記SGSNによって、HO承認メッセージを通じて受信されたパラメータをUEにハンドオーバー命令メッセージを通じて伝送するステップと、
UEによって、最も最新のCK及びIKを用いてSAEシステムに固有のキーを決定し、UEをSAEネットワークにハンドオーバーするためにSGSNからハンドオーバー命令を受信した後、RAN保護を始めるステップと、
前記UEによって、ENBとのL2接続を始め、RRCメッセージを保護し、ENBへの初期メッセージで、UEはSTART値を伝送し、派生されたSAE固有のキー、FRESH及びSTART値を用いてMAC-IRANを計算し、ENBがSTART値と共に受信されたセキュリティテキストを用いてMAC-IRANを検証するステップと、
前記UEによって、初期L3メッセージをMME/UPEに伝送し、前記初期L3メッセージはユーザー識別、START値、KSI及びMAC-INASを含み、MAC-INASは派生したSAE固有のキー、及びFRESH及びSTART値を用いて計算されるステップと、
前記MME/UPEによって、派生されたキー、受信されたSTART及びFRESH値を用いてMAC-INASを検証するステップと、
前記MME/UPEによって、初期L3メッセージ応答を伝送し、MMEは、前記初期L3メッセージ応答を通じてMAC-INASを計算するステップと、
をさらに有することを特徴とする請求項2に記載の方法。
【請求項13】
UMTSからSAEシステムへの順方向ハンドオーバーは、
TAU手順又は初期NASメッセージの間、UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細を伝送し、コアネットワークは以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索するステップをさらに有することを特徴とする請求項2に記載の方法。
【請求項14】
SAEからUMTSシステムへの逆方向ハンドオーバーは、
前記UEによって、ENB/MMEにレポートを通じて周期的またはイベントベースの測定値を伝送するステップと、
前記ENB/MMEによって、UEに他のRAT又はUEのサービス領域内に利用可能なRATをスキャニングし始めることを要求するために前記レポートを利用し、あるいは前記UEによって、EUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、RAI、支援されるUIA及びUEA、KSI及びSTART値、及びセルIDを含むUMTS測定レポートをENB/MMEに伝送するステップと、
前記SGSNによって、UEをUMTSネットワークにハンドオーバーするように決定し、MMEはRAIを用いてSGSNのアドレスを把握し、S3又はS4インターフェースのうちの一つを利用し、あるいはHSSに接続することによってSGSNに接続するステップと、
前記MMEによって、SGSNにハンドオーバー要求メッセージを伝送し、前記ハンドオーバー要求メッセージはセキュリティコンテキスト、以前RATタイプ、非使用AV、最も最新のCK及びIK、セルID、START値、KSI及び他のパラメータを含み、MMEはMME、SGSN、又はSAEシステム又はUMTSシステムのネットワークエンティティのうちの一つに配置された、または個別に配置された論理インターワーキングユニットを用いてSAEパラメータをUMTS固有のパラメータに変換するステップと、
前記SGSNによって、他のSGSNがHSSに登録されたか否かについてHSSを確認し、そうでない場合に、SGSNはソフト登録を遂行するステップと、
前記SGSNは、FRESHを生成し、少なくとも保護、選択されたUIA及びUEA、FRESH、START及びKSIに対したキーを含むセキュリティコンテキストをセルIDを用いてRNCに分配し、前記RNCは受信されたパラメータを格納するステップと、
前記SGSNによって、ハンドオーバー承認メッセージをMMEに伝送し、前記ハンドオーバー承認メッセージはUEA、UIA及びFRESHを含むステップと、
前記MMEによって、ハンドオーバー承認メッセージを通じて受信されたパラメータをUEにハンドオーバー命令メッセージを通じて伝送するステップと、
UMTSネットワークにハンドオーバーするために、MMEからハンドオーバー命令を受信した後に、UEによってUMTSネットワークに対して最も最新のCK及びIKを利用してRAN保護を始めるステップと、
前記UEによって、RNCとのL2接続を開始し、UEはRRCメッセージを保護し始め、初期メッセージの間にSTART値をRNCに伝達するステップと、
UEによって、ユーザー識別、START値、KSI及びMAC-Iを含む初期L3メッセージをSGSNに伝送するステップと、
RNCによって、MAC-Iを検証してSGSNに伝送するステップと、
をさらに有することを特徴とする請求項2に記載の方法。
【請求項15】
SAEからUMTSシステムへの順方向ハンドオーバーは、
RAU手順または1番目のNASメッセージ中に、UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細を伝送し、現在ネットワークが以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索するステップをさらに有することを特徴とする請求項2に記載の方法。
【請求項16】
UMTSからI-WLANアクセスシステムへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRANに伝送するステップと、
前記RNC/SGSNによって、伝送されたUE測定値がしきい値以下であると判断し、あるいはSGSNによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、I-WLAN IDとNAIを含むI-WLAN測定レポートを他のパラメータと共にSGSNシステムに伝送し、SGSNによって、UEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記SGSNによって、I-WLANのAAAサーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはSGSN、AAAサーバ、又はUMTSシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記SGSNによって、インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSSを確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをSGSNに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含むステップと、
前記SGSNによって前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
前記UEによって、I-WLANネットワークへのハンドオーバーのためにUMTSシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
前記UEによってI-WLANとのL2接続を開始するステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項17】
I-WLANシステムが認証を要求すると、I-WLANによって認証手順を開始するステップと、
UEがハンドオーバー命令を受信すると、前記UEによって速い再認証臨時IDを伝送するステップと、
前記UEによって、臨時匿名ID、臨時速い再認証ID、及びEAP応答識別メッセージのインテグリティの保護のうちの一つと共にEAP応答IDメッセージをI-WLANを通じてAAAサーバに伝送するステップと、
AAAサーバが臨時識別と一緒にEAP応答識別メッセージを受信すると、AAAサーバによって、インテグリティの保護及び臨時IDを検証するステップと、
前記AAAサーバによってUEを認証するステップと、
前記AAAサーバによって、保護された成功的な結果表示を利用することを以前に要求した場合、EAP成功メッセージを伝送する前にEAP要求/AKA通知メッセージを伝送し、前記EAP要求/AKA通知メッセージはMAC保護されるステップと、
前記AAAサーバによって、新たな臨時IDとEAP要求/AKA通知メッセージを生成してUEに伝送するステップと、
前記I-WLANによって、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送してEAP応答/AKA通知メッセージをAAAサーバに伝達し、AAAサーバは前記メッセージの内容を考慮しないステップと、
前記AAAサーバによって、EAP成功メッセージをI-WLANに伝送し、I-WLANに対して付加キーイング要素が生成された場合、AAAサーバは基本AAAプロトコルメッセージに前記キーイング要素を含み、I-WLANは認証されたWLAN-UEとの通信に利用されるキーイング要素を格納するステップと、
前記AAAサーバが保護された成功的な結果表示を利用しないと、新たな臨時IDを生成してEAP成功メッセージと一緒にUEに伝送するステップと、
前記I-WLANによって、EAP成功メッセージを通じてWLAN-UEに成功的な認証について知らせ、EAP AKA交換が成功的に完了され、WLAN-UE及びI-WLANはEAP AKA交換中に派生されたキーイング要素を共有するステップと、
前記UEによって、I-WLANネットワークと一緒に速い再認証手順を開始し、UEが速い再認証IDを受信しないと、UEが全体認証手順を開始するために匿名IDを伝送するステップと、
をさらに有することを特徴とする請求項16に記載の方法。
【請求項18】
UMTSからI-WLANアクセスシステムへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRANに伝送するステップと、
前記RNC/SGSNによって、伝送されたUE測定値がしきい値以下であると判断し、あるいはSGSNによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、I-WLAN IDとNAIを含むI-WLAN測定レポートを他のパラメータと共にSGSNシステムに伝送し、SGSNによって、UEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記SGSNによって、I-WLANのAAAサーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはSGSN、AAAサーバ、又はUMTSシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記SGSNによって、インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSSを確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをSGSNに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含み、AAAサーバはハンドオーバー承認メッセージ内にハンドオーバー手順を継続して遂行するUEに対して支援される最適化手順を含むステップと、
前記SGSNによって前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
前記UEによって、I-WLANネットワークへのハンドオーバーのためにUMTSシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
前記UEによってI-WLANとのL2接続を開始するステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項19】
I-WLANシステムが認証を要求すると、I-WLANによって認証手順を開始するステップと、
前記Temp IDが前記UEによってハンドオーバー命令を受信すると、前記UEによって速い再認証臨時IDを伝送するステップと、
前記UEによって、臨時匿名ID、臨時速い再認証ID、及びEAP応答識別メッセージのインテグリティの保護のうちの一つと共にEAP応答識別メッセージをI-WLANを通じてAAAサーバに伝送するステップと、
AAAサーバが臨時IDと一緒にEAP応答識別メッセージを受信すると、AAAサーバによって、インテグリティの保護及び臨時IDを検証することによって、前記AAAサーバによってUEを認証するステップと、
前記AAAサーバによって、保護された成功的な結果表示を利用することを以前に要求した場合、EAP成功メッセージを伝送する前にメッセージEAP要求/AKA通知メッセージを伝送し、前記EAP要求/AKA通知メッセージはMAC保護されるステップと、
前記AAAサーバによって、新たな臨時IDとEAP要求/AKA通知メッセージを生成してUEに伝送するステップと、
前記I-WLANによって、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送してEAP応答/AKA通知メッセージをAAAサーバに伝達し、AAAサーバは前記メッセージの内容を考慮しないステップと、
前記AAAサーバによって、EAP成功メッセージをI-WLANに伝送し、I-WLANに対して付加キーイング要素が生成された場合、AAAサーバは基本AAAプロトコルメッセージに前記キーイング要素を含み、I-WLANは認証されたWLAN-UEとの通信に利用されるキーイング要素を格納するステップと、
前記AAAサーバが保護された成功的な結果表示を利用しないと、新たな臨時IDを生成してEAP成功メッセージと一緒にUEに伝送するステップと、
前記I-WLANによって、EAP成功メッセージを通じてWLAN-UEに成功的な認証について知らせ、EAP AKA交換が成功的に完了して、WLAN-UE及びI-WLANはEAP AKA交換中に派生されたキーイング要素を共有するステップと、
前記UEによって、I-WLANネットワークと一緒に速い再認証手順を開始し、UEが速い再認証IDを受信しないと、UEが全体認証手順を開始するために匿名IDを伝送するステップと、
成功的な認証手順以後に、UEがハンドオーバー命令にAAAサーバによってリストされた最適化した認証手順を開始し、前記UEによって、EMSK基盤の最適化手順を用いて前記最適化した認証手順を開始するステップと、
前記UEによって、前記最適化した認証手順に対する速い再認証手順を選択的に開始するステップと、
をさらに有することを特徴とする請求項18に記載の方法。
【請求項20】
UMTSからI-WLANアクセスシステムへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRANに伝送するステップと、
前記RNC/SGSNによって、伝送されたUE測定値がしきい値以下であると判断し、あるいはSGSNによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、I-WLAN IDとNAIを含むI-WLAN測定レポートを他のパラメータと共にSGSNシステムに伝送し、SGSNによって、UEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記SGSNによって、I-WLANのAAAサーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはSGSN、AAAサーバ、又はUMTSシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記SGSNによって、インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSSを確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをSGSNに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含むステップと、
前記SGSNによって前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
前記UEによって、I-WLANネットワークへのハンドオーバーのためにUMTSシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
前記UEによってI-WLANとのL2接続を開始するステップと、
前記UEによって、I-WLAN ANと成功的な接続以後に、ハンドオーバーの命令内のAAAサーバによってリストされたシナリオのための最適化した認証手順を開始し、UEによって、EMSKベースの最適化手順を用いて前記最適化した認証手順を開始するステップと、
前記UEによって、前記最適化した認証手順のための速い再認証手順を選択的に開始するステップと、
をさらに有することを特徴とする請求項2に記載の方法。
【請求項21】
SAEシステムからI-WLANへの順方向ハンドオーバーは、
認証手順の間に、前記UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細を伝送し、コアネットワークによってセキュリティコンテキストとバッファリングされたコンテキストを以前アクセスシステムから検索し、以前アクセスシステムの詳細はEAPOL ID応答メッセージ内で伝送されるステップと、
前記コアネットワークによって、臨時IDを生成してUEに伝達し、前記UEは、認証手順中に最適化した認証のための速い再認証手順を開始し、UEとネットワークがCK及びIKを用いてキーを派生するステップと、
前記UEによって、最も最近に成功的に受信されたパケットシーケンス番号をI-WLANネットワークに伝送し、I-WLANネットワークは前記パケットをコアネットワークに伝送し、コアネットワークは前記UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝送し始めるステップと、
を含むことを特徴とする請求項2に記載の方法。
【請求項22】
I-WLANからUMTSアクセスシステムへの逆方向ハンドオーバーは、
前記UEとネットワークによって、最も最新のCK及びIKを利用し、UEはAKAA認証無しにRRC接続手順とSMC手順を始めるステップと、
ハンドオーバー準備段階でSMC手順を選択的に遂行するステップと、
ネットワークによって、支援されるアルゴリズムを伝送し、UEがアルゴリズムを選択して初期メッセージの保護を始めるステップをさらに含むことを特徴とする請求項2に記載の方法。
【請求項23】
I-WLANからUMTSアクセスシステムへの順方向ハンドオーバーは、
RAU手順中に、UEがRAUメッセージ内に以前アクセスシステムの詳細を伝送し、コアネットワークが既存及び現在の以前アクセスシステムからセキュリティコンテキスト及びバッファリングされたパケットを検索するステップをさらに含むことを特徴とする請求項2に記載の方法。
【請求項24】
異種ネットワークにおけるアクセスシステム間のハンドオーバー時に認証手順を最適化するシステムであって、
新たなシステムにアクセスするための新たなキーを派生する手段と、
既存システムから新たなシステムへのハンドオーバー時に、既存システムと共に使用される既存システムアクセスキーを用いて認証手順を最適化する手段と、
ユーザー端末が速い再認証を遂行可能にするハンドオーバー準備時に新たなシステムにアクセスするユーザー端末によって臨時IDを受信する手段と、
を含むことを特徴とするシステム。
【請求項1】
異種ネットワークにおけるアクセスシステム間のハンドオーバー時に認証手順を最適化する方法であって、
新たなシステムにアクセスするための新たなキーを派生するステップと、
既存システムから新たなシステムへのハンドオーバー時に既存システムアクセスキーを用いて認証手順を最適化するステップと、
ハンドオーバー準備時に新たなシステムにアクセスし、UEが前記新たなシステムで速い再認証を遂行可能にするための臨時ID(Identification)を前記UEによって受信するステップと、
を有することを特徴とする方法。
【請求項2】
認証手順の最適化は、
I-WLAN(Integrated Wireless Local Area Network access system)からSAE(System Architecture Evolution access system)への順方向ハンドオーバー及びSAEからI-WLANへの逆方向ハンドオーバーと、
UMTS(Universal Mobile Telecommunication System)からSAEへの順方向ハンドオーバー及びSAEからUMTSへの逆方向ハンドオーバーと、
I-WLANからUMTSへの順方向ハンドオーバー及びUMTSからI-WLANへの逆方向ハンドオーバーのうち、少なくとも一つからのUEハンドオーバーに関連していることを特徴とする請求項1に記載の方法。
【請求項3】
SAEアクセスシステムからI-WLANへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRAN(Enhanced UMTS Terrestrial Radio Access Network)に伝送するステップと、
ENB(Evolving Node B)/MME(Mobility Management Entity)によって、伝送されたUE測定値がしきい値以下であると判断し、あるいはMMEによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT(Radio Access Technology)又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、I-WLAN IDとNAI(Network Access Identifier)を含むI-WLAN測定レポートを他のパラメータと共にSAEシステムに伝送し、ENB/MME又はENB/MMEと論理インターワーキングユニットによって、UEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記MMEによって、I-WLANのAAA(Authentication,Authorization,and Accounting)サーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはMME、AAAサーバ、又はSAEシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記MMEによって、前記インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV(Authentication Vector)、最新CK(Cypher Key)及びIK(Integrity Key)とその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSS(Home Subscription Server)を確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名(pseudonym)ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをMMEに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含むステップと、
前記MMEによって、前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
UEによって、I-WLANネットワークへのハンドオーバーのためにSAEシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
UEによって、I-WLANとのL2(Layer2)接続(attachment)を開始するステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項4】
I-WLANシステムが認証を要求すると、I-WLANによって認証手順を開始するステップと、
UEがハンドオーバー命令を受信すると、前記UEによって速い再認証臨時IDを伝送するステップと、
前記UEによって、臨時匿名ID、臨時速い再認証ID、及びEAP(Extensible Authentication Protocol)応答識別メッセージのインテグリティの保護のうちの一つと共にEAP応答識別メッセージをI-WLANを通じてAAAサーバに伝送するステップと、
AAAサーバによって、臨時IDと一緒にEAP応答識別メッセージを受信し、インテグリティの保護及び臨時IDを検証することによって、AAAがUEを認証するステップと、
前記AAAサーバによって、保護された成功的な結果表示を利用することを以前に要求した場合、EAP成功メッセージを伝送する前にEAP要求/AKA通知メッセージを伝送し、前記EAP要求/AKA通知メッセージはMAC(Medium Access Control)保護され、前記AAAサーバは新たな臨時IDと前記EAP要求/AKA通知メッセージを生成してUEに伝送するステップと、
I-WLANによって、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送してEAP応答/AKA通知メッセージをAAAサーバに伝達し、AAAサーバは前記メッセージの内容を考慮しないステップと、
AAAサーバによって、EAP成功メッセージをI-WLANに伝送し、I-WLANに対して付加キーイング要素が生成された場合、I-WLANは認証されたWLAN-UEとの通信に利用されるキーイング要素を格納するステップと、
AAAサーバが保護された成功的な結果表示を利用しないと、新たな臨時IDを生成してEAP成功メッセージと一緒にUEに伝送するステップと、
I-WLANによって、EAP成功メッセージを通じてWLAN-UEに成功的な認証について知らせ、EAP AKA交換が成功的に完了され、WLAN-UE及びI-WLANはEAP AKA交換中に派生されたキーイング要素を共有するステップと、
UEによって、I-WLANネットワークと一緒に速い再認証手順を開始し、UEが速い再認証IDを受信しないと、UEが全体認証手順を開始するために匿名IDを伝送するステップと、
をさらに有することを特徴とする請求項3に記載の方法。
【請求項5】
SAEアクセスシステムからI-WLANへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRANに伝送するステップと、
前記ENB/MMEによって、伝送されたUE測定値がしきい値以下であると判断し、あるいはMMEによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、少なくともI-WLAN IDとNAIを含むI-WLAN測定レポートをSAEシステムに伝送し、前記ENB/MMEによってUEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記MMEによって、I-WLANのAAAサーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはMME、AAAサーバ、又はSAEシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記MMEによって、インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSSを確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをMMEに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含むステップと、
前記MMEによって、前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
前記UEによって、I-WLANネットワークへのハンドオーバーのためにSAEシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
前記UEによってI-WLANとのL2接続を開始するステップと、
を有することを特徴とする請求項1に記載の方法。
【請求項6】
I-WLANシステムが認証を要求すると、I-WLANによって認証手順を開始するステップと、
前記UEがハンドオーバー命令を受信すると、前記UEによって速い再認証臨時IDを伝送するステップと、
前記UEによって、臨時匿名ID、臨時速い再認証ID、及びEAP(Extensible Authentication Protocol)応答識別メッセージのインテグリティの保護のうちの一つと共にEAP応答識別メッセージを前記I-WLANを通じてAAAサーバに伝送するステップと、
前記AAAサーバによって、臨時IDと一緒にEAP応答識別メッセージを受信し、インテグリティの保護及び臨時IDを検証することによって、前記AAAがUEを認証するステップと、
前記AAAサーバによって、保護された成功的な結果表示を利用することを事前に要求した場合、EAP成功メッセージを伝送する前にメッセージEAP要求/AKA通知メッセージを伝送し、前記EAP要求/AKA通知メッセージはMAC保護され、前記AAAサーバは新たな臨時IDと前記EAP要求/AKA通知メッセージを生成してUEに伝送するステップと、
前記I-WLANによって、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送してEAP応答/AKA通知メッセージをAAAサーバに伝達し、AAAサーバは前記メッセージの内容を考慮しないステップと、
前記AAAサーバによって、EAP成功メッセージをI-WLANに伝送し、I-WLANに対して付加キーイング要素が生成された場合、I-WLANは認証されたWLAN-UEとの通信に利用されるキーイング要素を格納するステップと、
前記AAAサーバが保護された成功的な結果表示を利用しないと、前記AAAサーバによって新たな臨時IDを生成してEAP成功メッセージと一緒にUEに伝送するステップと、
前記I-WLANによって、EAP成功メッセージを通じてWLAN-UEに成功的な認証について知らせ、EAP AKA交換が成功的に完了され、WLAN-UE及びI-WLANはEAP AKA交換中に派生されたキーイング要素を共有するステップと、
前記UEによって、I-WLANネットワークと一緒に速い再認証手順を開始し、UEが速い再認証IDを受信しないと、UEが全体認証手順を開始するために匿名IDを伝送するステップと、
前記UEによって、成功的な認証手順以後にHO命令にAAAサーバによってリストされた最適化した認証手順を開始し、UEはEMSK(Extended Master Session Key)基盤の最適化手順を用いて前記最適化した認証手順を開始するステップと、をさらに有し、
前記UEは、前記最適化した認証手順のための速い再認証手順を選択的に(alternatively)開始することを特徴とする請求項5に記載の方法。
【請求項7】
I-WLANとの成功的な接続後に、前記UEによって、HO命令にAAAサーバによってリストされた最適化認証手順を開始し、前記UEは、EMSK(Extended Master Session Key)基盤の最適化手順を用いて前記最適化した認証手順を開始するするステップをさらに有し、
前記UEは、前記最適化した認証手順のための速い再認証手順を選択的に開始することを特徴とする請求項5に記載の方法。
【請求項8】
SAEからI-WLAN ASへの順方向ハンドオーバーは、
認証手順の間に、前記UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細を伝送し、コアネットワークによってセキュリティコンテキストとバッファリングされたコンテキストを以前アクセスシステムから検索し、以前アクセスシステムの詳細はEAPOL ID応答メッセージ内で伝送されるステップと、
認証手順の間に、前記UEとネットワークによってCKとIKを用いて複数のキーを派生させ、コアネットワークは臨時IDを生成して前記UEに伝送し、UEは速い再認証手順を始めるステップと、
前記UEによって、最も最近に成功的に受信されたパケットシーケンス番号をI-WLANネットワークに伝送し、I-WLANネットワークは前記パケットをコアネットワークに伝送し、コアネットワークは前記UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝送し始めるステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項9】
I-WLANからSAEシステムへの逆方向ハンドオーバーは、
前記UEによって、MME、AAAサーバ、及びSAEシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されるか、または個別に配置された論理的な決定及びインターワーキングユニットに周期的或いはイベントベースの測定値を伝送するステップと、
前記論理的な決定及びインターワーキングユニットはUE測定値がしきい値以下であり、あるいはI-WLANが持続できないことを知るようになると、前記論理的な決定及びインターワーキングユニットによって、他のRATをスキャニングし始めることをUEに要求し、あるいはENB/MMEによって、UEにそれのサービス領域内で利用可能な特定RATをスキャンすることを要求し、またはUEによってI-WLANが持続できないと判断して他のRATのスキャニングを始めるステップと、
前記UEによって、TAI、選択されたUIA及びUEA、ENB-ID及びSTART値を含むSAE測定レポートをAAAサーバを通じて論理的な決定及びインターワーキングユニットに伝送するステップと、
前記論理的な決定及びインターワーキングユニットは、UEをSAEネットワークにハンドオーバーするように決定し、前記決定をAAAサーバに知らせるステップと、
前記TAIを用いて、AAAサーバがHSSに接続してMMEアドレスを知るようになるステップと、
前記AAAサーバによって、ハンドオーバー要求メッセージをMME/UPE(User Plane Entity)に伝送し、前記ハンドオーバー要求メッセージは少なくとも以前RATタイプ、非使用AV、最も最新のCK及びIK、及びENB-IDを含むステップと、
前記MMEによって、他のAAAが登録されたか否かについてHSSを確認し、そうでない場合には、ソフト登録を遂行してキーを生成するステップと、
前記MMEによって、インタワーキングユニットを通じてAAAサーバにハンドオーバー承認メッセージを伝送し、前記MMEは選択されたUEA及びUIA、FRESHを含み、最後のRAN保護を開始するかを決定するステップと、
前記AAAサーバによって、ハンドオーバー承認メッセージを通じて受信されたパラメータをハンドオーバー命令メッセージを通じてUEに伝送するステップと、
前記SAEネットワークへのハンドオーバーのためにAAAサーバからハンドオーバー命令を受信した後に、UEによって、最も最新のCK及びIKを用いてSAEシステムに固有のキーを派生するステップと、
前記UEが何らの保護なしにENBとのL2接続を始めるステップと、
前記UEによって、初期L3メッセージをMME/UPEに伝送し、前記初期L3メッセージはユーザー識別、START値及びMAC-INASを含んでMAC-INASは派生したSAE固有のキー、及びFRESH及びSTART値を用いて計算されるステップと、
前記MME/UPEによって派生されたキー、受信されたSTART及びFRESH値を用いてMAC-Iを検証するステップと、
前記MME/UPEによってENB、START、FRESH及びUEA及びUIAに対するキーを含む初期L3メッセージ応答を伝送し、MMEがENB、START、選択的にはFRESH及びUEA及びUIAに対するキーを除いた初期L3メッセージが応答を通じてMAC-INASを計算するステップと、
前記MMEによって、初期L3メッセージが応答を受信してSTART、FRESH及びUEA及びUIAに対するキーを格納するステップと、
前記ENBによって、初期L3メッセージが応答をUEに伝送し、RANセキュリティ(MAC-IRAN)を始めるステップと、
前記UEによって、MAC-INASとMAC-IRANを検証するステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項10】
I-WLANからSAEシステムへの逆方向ハンドオーバー(代案2)は、
前記UEによって、MME、AAAサーバ、及びSAEシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されるか、または個別に配置された論理的な決定及びインターワーキングユニットに周期的或いはイベントベースの測定値を伝送するステップと、
前記論理的な決定及びインターワーキングユニットはUE測定値がしきい値以下であるか、あるいはI-WLANが持続できないことを知るようになると、前記論理的な決定及びインターワーキングユニットによって、UEに他のRATをスキャニングし始めることを要求し、あるいはENB/MMEによって、UEにそれのサービス領域内で利用可能な特定RATをスキャンすることを要求し、またはUEがI-WLANが持続できないと判断して他のRATのスキャニングを始めるステップと、
前記UEによって、TAI、選択されたUIA及びUEA、ENB-ID及びSTART値を含むSAE測定レポートをAAAサーバを通じて論理的な決定及びインターワーキングユニットに伝送するステップと、
前記論理的な決定及びインターワーキングユニットは、UEをSAEネットワークにハンドオーバーするように決定し、前記決定をAAAサーバに知らせるステップと、
前記TAIを用いて、AAAサーバがHSSに接続してMMEアドレスを知るようになるステップと、
前記AAAサーバによって、ハンドオーバー要求メッセージをMME/UPEに伝送し、前記ハンドオーバー要求メッセージは少なくとも以前RATタイプ、非使用AV、最も最新のCK及びIK、及びENB-IDを含むステップと、
前記MMEによって、他のAAAが登録されたか否かについてHSSを確認し、そうでない場合には、ソフト登録を遂行し、AAAサーバによって伝送されたCKとIKを用いてキーを生成するステップと、
前記MMEによって、FRESHを生成し、ENB-IDを用いてENBにセキュリティコンテキストを分配するステップと、
前記MMEによって、インタワーキングユニットを通じてAAAサーバにハンドオーバー承認メッセージを伝送し、前記ハンドオーバー承認メッセージは、前記選択されたUEA及びUIA、FRESHとRAN保護の開始のための表示を含むステップと、
前記AAAサーバがハンドオーバー承認メッセージを通じて受信された前記パラメータをハンドオーバー命令メッセージを通じてUEに伝送するステップと、
前記UEによって、最も最新のCK及びIKを用いてSAEシステムに固有のキーを決定し、UEをSAEネットワークにハンドオーバーするようにAAAサーバからハンドオーバー命令を受信した後、RAN保護を始めるステップと、
前記UEによって、ENBとのL2接続を始め、RRCメッセージを保護し、ENBへの初期メッセージで、UEはSTART値を伝送し、派生されたSAE固有のキー、FRESH及びSTART値を用いてMAC-IRANを計算し、ENBがMAC-IRANを検証するステップ、
前記UEが初期L3メッセージをMME/UPEに伝送し、前記初期L3メッセージはユーザー識別、START値及びMAC-INASを含み、MAC-INASは派生したSAE固有のキー、及びFRESH及びSTART値を用いて計算されるステップと、
前記MME/UPEによって、派生されたキー、受信されたSTART及びFRESH値を用いてMAC-Iを検証するステップと、
前記MME/UPEによって、初期L3メッセージ応答を伝送し、MMEは、前記初期L3メッセージ応答を通じてMAC-INASを計算するステップと、
をさらに有することを特徴とする請求項2に記載の方法。
【請求項11】
I-WLANからSAEシステムへの順方向ハンドオーバーは、
前記UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細をTAU手順内に伝送し、コアネットワークによってTAU手順又は初期NASメッセージで以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索するステップをさらに有することを特徴とする請求項2に記載の方法。
【請求項12】
UMTSからSAEシステムへの逆方向ハンドオーバーは、
前記UEがSGSN(Serving GPRS Support Node)にレポートを通じて周期的またはイベントベースの測定値を伝送するステップと、
前記測定レポートに基づいて、SGSNがUEに他のRATをスキャニングし始めることを要求し、ENB/MMEがUEに他のRAT、またはUEのサービス領域内で利用可能なRATをスキャンすることを要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、TAI、選択されたUIA及びUEA、START値及びENB-IDを含む前記SAE測定レポートをSGSNに伝送するステップと、
前記SGSNによって、UEをSAEネットワークにハンドオーバーするように決定し、SGSNはMMEアドレスを決定するためにTAIを利用してS3又はS4インターフェースのうちの少なくとも一つを用いてMMEに接続し、HSSに接続するステップと、
前記SGSNによってMME/UPEにハンドオーバー要求メッセージを伝送し、前記ハンドオーバー要求メッセージは少なくとも、セキュリティコンテキスト、以前RATタイプ、非使用AV、最も最新のCK及びIK、ENB-ID、START値及びKSIを含むステップと、
前記MMEによって、他のMMEがHSSに登録されたか否かについてHSSを確認し、そうでない場合に、MMEはソフト登録を遂行してSGSNにより伝送されたCK及びIKを用いてキーを生成し、MMEがUMTSパラメータをMME、AAAサーバ、又はSAEシステム又はI-WLANシステムのネットワークエンティティの中の一つに配置された論理インターワーキングユニットを用いてSAE固有のパラメータに変換するステップと、
前記MMEによって、少なくてもRAN保護、選択されたUIA及びUEA、FRESH、START及びKSIに対するENBキーを含むセキュリティコンテキストをENBに分配するためにENB-IDを用いてFRESHを生成するステップと、
前記MMEによって、SGSNにハンドオーバー承認メッセージを伝送し、前記ハンドオーバー承認メッセージはUEA、UIA及びFRESHを含むステップと、
前記SGSNによって、HO承認メッセージを通じて受信されたパラメータをUEにハンドオーバー命令メッセージを通じて伝送するステップと、
UEによって、最も最新のCK及びIKを用いてSAEシステムに固有のキーを決定し、UEをSAEネットワークにハンドオーバーするためにSGSNからハンドオーバー命令を受信した後、RAN保護を始めるステップと、
前記UEによって、ENBとのL2接続を始め、RRCメッセージを保護し、ENBへの初期メッセージで、UEはSTART値を伝送し、派生されたSAE固有のキー、FRESH及びSTART値を用いてMAC-IRANを計算し、ENBがSTART値と共に受信されたセキュリティテキストを用いてMAC-IRANを検証するステップと、
前記UEによって、初期L3メッセージをMME/UPEに伝送し、前記初期L3メッセージはユーザー識別、START値、KSI及びMAC-INASを含み、MAC-INASは派生したSAE固有のキー、及びFRESH及びSTART値を用いて計算されるステップと、
前記MME/UPEによって、派生されたキー、受信されたSTART及びFRESH値を用いてMAC-INASを検証するステップと、
前記MME/UPEによって、初期L3メッセージ応答を伝送し、MMEは、前記初期L3メッセージ応答を通じてMAC-INASを計算するステップと、
をさらに有することを特徴とする請求項2に記載の方法。
【請求項13】
UMTSからSAEシステムへの順方向ハンドオーバーは、
TAU手順又は初期NASメッセージの間、UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細を伝送し、コアネットワークは以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索するステップをさらに有することを特徴とする請求項2に記載の方法。
【請求項14】
SAEからUMTSシステムへの逆方向ハンドオーバーは、
前記UEによって、ENB/MMEにレポートを通じて周期的またはイベントベースの測定値を伝送するステップと、
前記ENB/MMEによって、UEに他のRAT又はUEのサービス領域内に利用可能なRATをスキャニングし始めることを要求するために前記レポートを利用し、あるいは前記UEによって、EUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、RAI、支援されるUIA及びUEA、KSI及びSTART値、及びセルIDを含むUMTS測定レポートをENB/MMEに伝送するステップと、
前記SGSNによって、UEをUMTSネットワークにハンドオーバーするように決定し、MMEはRAIを用いてSGSNのアドレスを把握し、S3又はS4インターフェースのうちの一つを利用し、あるいはHSSに接続することによってSGSNに接続するステップと、
前記MMEによって、SGSNにハンドオーバー要求メッセージを伝送し、前記ハンドオーバー要求メッセージはセキュリティコンテキスト、以前RATタイプ、非使用AV、最も最新のCK及びIK、セルID、START値、KSI及び他のパラメータを含み、MMEはMME、SGSN、又はSAEシステム又はUMTSシステムのネットワークエンティティのうちの一つに配置された、または個別に配置された論理インターワーキングユニットを用いてSAEパラメータをUMTS固有のパラメータに変換するステップと、
前記SGSNによって、他のSGSNがHSSに登録されたか否かについてHSSを確認し、そうでない場合に、SGSNはソフト登録を遂行するステップと、
前記SGSNは、FRESHを生成し、少なくとも保護、選択されたUIA及びUEA、FRESH、START及びKSIに対したキーを含むセキュリティコンテキストをセルIDを用いてRNCに分配し、前記RNCは受信されたパラメータを格納するステップと、
前記SGSNによって、ハンドオーバー承認メッセージをMMEに伝送し、前記ハンドオーバー承認メッセージはUEA、UIA及びFRESHを含むステップと、
前記MMEによって、ハンドオーバー承認メッセージを通じて受信されたパラメータをUEにハンドオーバー命令メッセージを通じて伝送するステップと、
UMTSネットワークにハンドオーバーするために、MMEからハンドオーバー命令を受信した後に、UEによってUMTSネットワークに対して最も最新のCK及びIKを利用してRAN保護を始めるステップと、
前記UEによって、RNCとのL2接続を開始し、UEはRRCメッセージを保護し始め、初期メッセージの間にSTART値をRNCに伝達するステップと、
UEによって、ユーザー識別、START値、KSI及びMAC-Iを含む初期L3メッセージをSGSNに伝送するステップと、
RNCによって、MAC-Iを検証してSGSNに伝送するステップと、
をさらに有することを特徴とする請求項2に記載の方法。
【請求項15】
SAEからUMTSシステムへの順方向ハンドオーバーは、
RAU手順または1番目のNASメッセージ中に、UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細を伝送し、現在ネットワークが以前アクセスシステムからセキュリティコンテキスト(CK及びIK)とバッファリングされたパケットを検索するステップをさらに有することを特徴とする請求項2に記載の方法。
【請求項16】
UMTSからI-WLANアクセスシステムへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRANに伝送するステップと、
前記RNC/SGSNによって、伝送されたUE測定値がしきい値以下であると判断し、あるいはSGSNによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、I-WLAN IDとNAIを含むI-WLAN測定レポートを他のパラメータと共にSGSNシステムに伝送し、SGSNによって、UEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記SGSNによって、I-WLANのAAAサーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはSGSN、AAAサーバ、又はUMTSシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記SGSNによって、インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSSを確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをSGSNに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含むステップと、
前記SGSNによって前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
前記UEによって、I-WLANネットワークへのハンドオーバーのためにUMTSシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
前記UEによってI-WLANとのL2接続を開始するステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項17】
I-WLANシステムが認証を要求すると、I-WLANによって認証手順を開始するステップと、
UEがハンドオーバー命令を受信すると、前記UEによって速い再認証臨時IDを伝送するステップと、
前記UEによって、臨時匿名ID、臨時速い再認証ID、及びEAP応答識別メッセージのインテグリティの保護のうちの一つと共にEAP応答IDメッセージをI-WLANを通じてAAAサーバに伝送するステップと、
AAAサーバが臨時識別と一緒にEAP応答識別メッセージを受信すると、AAAサーバによって、インテグリティの保護及び臨時IDを検証するステップと、
前記AAAサーバによってUEを認証するステップと、
前記AAAサーバによって、保護された成功的な結果表示を利用することを以前に要求した場合、EAP成功メッセージを伝送する前にEAP要求/AKA通知メッセージを伝送し、前記EAP要求/AKA通知メッセージはMAC保護されるステップと、
前記AAAサーバによって、新たな臨時IDとEAP要求/AKA通知メッセージを生成してUEに伝送するステップと、
前記I-WLANによって、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送してEAP応答/AKA通知メッセージをAAAサーバに伝達し、AAAサーバは前記メッセージの内容を考慮しないステップと、
前記AAAサーバによって、EAP成功メッセージをI-WLANに伝送し、I-WLANに対して付加キーイング要素が生成された場合、AAAサーバは基本AAAプロトコルメッセージに前記キーイング要素を含み、I-WLANは認証されたWLAN-UEとの通信に利用されるキーイング要素を格納するステップと、
前記AAAサーバが保護された成功的な結果表示を利用しないと、新たな臨時IDを生成してEAP成功メッセージと一緒にUEに伝送するステップと、
前記I-WLANによって、EAP成功メッセージを通じてWLAN-UEに成功的な認証について知らせ、EAP AKA交換が成功的に完了され、WLAN-UE及びI-WLANはEAP AKA交換中に派生されたキーイング要素を共有するステップと、
前記UEによって、I-WLANネットワークと一緒に速い再認証手順を開始し、UEが速い再認証IDを受信しないと、UEが全体認証手順を開始するために匿名IDを伝送するステップと、
をさらに有することを特徴とする請求項16に記載の方法。
【請求項18】
UMTSからI-WLANアクセスシステムへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRANに伝送するステップと、
前記RNC/SGSNによって、伝送されたUE測定値がしきい値以下であると判断し、あるいはSGSNによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、I-WLAN IDとNAIを含むI-WLAN測定レポートを他のパラメータと共にSGSNシステムに伝送し、SGSNによって、UEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記SGSNによって、I-WLANのAAAサーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはSGSN、AAAサーバ、又はUMTSシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記SGSNによって、インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSSを確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをSGSNに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含み、AAAサーバはハンドオーバー承認メッセージ内にハンドオーバー手順を継続して遂行するUEに対して支援される最適化手順を含むステップと、
前記SGSNによって前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
前記UEによって、I-WLANネットワークへのハンドオーバーのためにUMTSシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
前記UEによってI-WLANとのL2接続を開始するステップと、
を有することを特徴とする請求項2に記載の方法。
【請求項19】
I-WLANシステムが認証を要求すると、I-WLANによって認証手順を開始するステップと、
前記Temp IDが前記UEによってハンドオーバー命令を受信すると、前記UEによって速い再認証臨時IDを伝送するステップと、
前記UEによって、臨時匿名ID、臨時速い再認証ID、及びEAP応答識別メッセージのインテグリティの保護のうちの一つと共にEAP応答識別メッセージをI-WLANを通じてAAAサーバに伝送するステップと、
AAAサーバが臨時IDと一緒にEAP応答識別メッセージを受信すると、AAAサーバによって、インテグリティの保護及び臨時IDを検証することによって、前記AAAサーバによってUEを認証するステップと、
前記AAAサーバによって、保護された成功的な結果表示を利用することを以前に要求した場合、EAP成功メッセージを伝送する前にメッセージEAP要求/AKA通知メッセージを伝送し、前記EAP要求/AKA通知メッセージはMAC保護されるステップと、
前記AAAサーバによって、新たな臨時IDとEAP要求/AKA通知メッセージを生成してUEに伝送するステップと、
前記I-WLANによって、EAP要求/AKA通知メッセージをUEに伝達し、UEはEAP応答/AKA通知を伝送してEAP応答/AKA通知メッセージをAAAサーバに伝達し、AAAサーバは前記メッセージの内容を考慮しないステップと、
前記AAAサーバによって、EAP成功メッセージをI-WLANに伝送し、I-WLANに対して付加キーイング要素が生成された場合、AAAサーバは基本AAAプロトコルメッセージに前記キーイング要素を含み、I-WLANは認証されたWLAN-UEとの通信に利用されるキーイング要素を格納するステップと、
前記AAAサーバが保護された成功的な結果表示を利用しないと、新たな臨時IDを生成してEAP成功メッセージと一緒にUEに伝送するステップと、
前記I-WLANによって、EAP成功メッセージを通じてWLAN-UEに成功的な認証について知らせ、EAP AKA交換が成功的に完了して、WLAN-UE及びI-WLANはEAP AKA交換中に派生されたキーイング要素を共有するステップと、
前記UEによって、I-WLANネットワークと一緒に速い再認証手順を開始し、UEが速い再認証IDを受信しないと、UEが全体認証手順を開始するために匿名IDを伝送するステップと、
成功的な認証手順以後に、UEがハンドオーバー命令にAAAサーバによってリストされた最適化した認証手順を開始し、前記UEによって、EMSK基盤の最適化手順を用いて前記最適化した認証手順を開始するステップと、
前記UEによって、前記最適化した認証手順に対する速い再認証手順を選択的に開始するステップと、
をさらに有することを特徴とする請求項18に記載の方法。
【請求項20】
UMTSからI-WLANアクセスシステムへの前記逆方向ハンドオーバーは、
前記UEによって、周期的又はイベントベースの測定値をEUTRANに伝送するステップと、
前記RNC/SGSNによって、伝送されたUE測定値がしきい値以下であると判断し、あるいはSGSNによってEUTRANが持続できないと判断するステップと、
前記ENB/MMEによって、他のRAT又はUEのサービス領域内で利用可能なRATをスキャンするようにUEに要求し、あるいはUEによってEUTRANが持続できないと決定して他のRATをスキャニングするステップと、
前記UEによって、I-WLAN IDとNAIを含むI-WLAN測定レポートを他のパラメータと共にSGSNシステムに伝送し、SGSNによって、UEをI-WLANネットワークにハンドオーバーするように決定するステップと、
前記SGSNによって、I-WLANのAAAサーバIPアドレスを分析するためにNAIを利用し、論理インターワーキングユニットを通じてAAAサーバに接続し、前記論理インターワーキングユニットはSGSN、AAAサーバ、又はUMTSシステム又はI-WLANシステムのネットワークエンティティのうちの一つに配置されたステップと、
前記SGSNによって、インターワーキングユニットを通じてハンドオーバー要求をAAAサーバに伝送し、前記ハンドオーバー要求はNAI、I-WLAN ID、非使用AV、最新CK及びIKとその他パラメータを含むステップと、
前記AAAサーバによって、他のAAAが登録されたか否かを判定するようにHSSを確認し、そうでない場合には、AAAサーバによってソフト登録を遂行し、AAAは、NAI、CK及びIKを用いてMSK、TEK、及びEMSKキーを生成し、匿名ID及び速い再認証IDを含む臨時IDを生成し、前記TEKを用いて臨時IDを保護してUEに伝送するステップと、
前記AAAサーバによって、インターワーキングユニットを通じてハンドオーバー承認メッセージをSGSNに伝送し、前記ハンドオーバー承認メッセージは保護された臨時IDと認証が要求されるか否かを示す表示を含むステップと、
前記SGSNによって前記受信されたパラメータを含むハンドオーバー命令メッセージをハンドオーバー承認メッセージを通じてUEに伝送するステップと、
前記UEによって、I-WLANネットワークへのハンドオーバーのためにUMTSシステムからハンドオーバー命令を受信した後に、前記CK及びIKを用いてMSK、TEK及びEMSKキーを生成し、保護された臨時IDを解読するステップと、
前記UEによってI-WLANとのL2接続を開始するステップと、
前記UEによって、I-WLAN ANと成功的な接続以後に、ハンドオーバーの命令内のAAAサーバによってリストされたシナリオのための最適化した認証手順を開始し、UEによって、EMSKベースの最適化手順を用いて前記最適化した認証手順を開始するステップと、
前記UEによって、前記最適化した認証手順のための速い再認証手順を選択的に開始するステップと、
をさらに有することを特徴とする請求項2に記載の方法。
【請求項21】
SAEシステムからI-WLANへの順方向ハンドオーバーは、
認証手順の間に、前記UEが現在以前のアクセスシステムである既存のアクセスシステムの詳細を伝送し、コアネットワークによってセキュリティコンテキストとバッファリングされたコンテキストを以前アクセスシステムから検索し、以前アクセスシステムの詳細はEAPOL ID応答メッセージ内で伝送されるステップと、
前記コアネットワークによって、臨時IDを生成してUEに伝達し、前記UEは、認証手順中に最適化した認証のための速い再認証手順を開始し、UEとネットワークがCK及びIKを用いてキーを派生するステップと、
前記UEによって、最も最近に成功的に受信されたパケットシーケンス番号をI-WLANネットワークに伝送し、I-WLANネットワークは前記パケットをコアネットワークに伝送し、コアネットワークは前記UEによって最後に成功的に受信されたシーケンス番号以後のパケットを伝送し始めるステップと、
を含むことを特徴とする請求項2に記載の方法。
【請求項22】
I-WLANからUMTSアクセスシステムへの逆方向ハンドオーバーは、
前記UEとネットワークによって、最も最新のCK及びIKを利用し、UEはAKAA認証無しにRRC接続手順とSMC手順を始めるステップと、
ハンドオーバー準備段階でSMC手順を選択的に遂行するステップと、
ネットワークによって、支援されるアルゴリズムを伝送し、UEがアルゴリズムを選択して初期メッセージの保護を始めるステップをさらに含むことを特徴とする請求項2に記載の方法。
【請求項23】
I-WLANからUMTSアクセスシステムへの順方向ハンドオーバーは、
RAU手順中に、UEがRAUメッセージ内に以前アクセスシステムの詳細を伝送し、コアネットワークが既存及び現在の以前アクセスシステムからセキュリティコンテキスト及びバッファリングされたパケットを検索するステップをさらに含むことを特徴とする請求項2に記載の方法。
【請求項24】
異種ネットワークにおけるアクセスシステム間のハンドオーバー時に認証手順を最適化するシステムであって、
新たなシステムにアクセスするための新たなキーを派生する手段と、
既存システムから新たなシステムへのハンドオーバー時に、既存システムと共に使用される既存システムアクセスキーを用いて認証手順を最適化する手段と、
ユーザー端末が速い再認証を遂行可能にするハンドオーバー準備時に新たなシステムにアクセスするユーザー端末によって臨時IDを受信する手段と、
を含むことを特徴とするシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公表番号】特表2009−531952(P2009−531952A)
【公表日】平成21年9月3日(2009.9.3)
【国際特許分類】
【出願番号】特願2009−502694(P2009−502694)
【出願日】平成19年4月2日(2007.4.2)
【国際出願番号】PCT/KR2007/001601
【国際公開番号】WO2007/114623
【国際公開日】平成19年10月11日(2007.10.11)
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
【公表日】平成21年9月3日(2009.9.3)
【国際特許分類】
【出願日】平成19年4月2日(2007.4.2)
【国際出願番号】PCT/KR2007/001601
【国際公開番号】WO2007/114623
【国際公開日】平成19年10月11日(2007.10.11)
【出願人】(503447036)サムスン エレクトロニクス カンパニー リミテッド (2,221)
【Fターム(参考)】
[ Back to top ]