知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-02-07
(45)【発行日】2023-02-15
(54)【発明の名称】端末(UE)の管理と制御のための方法および装置
(51)【国際特許分類】
H04W 12/126 20210101AFI20230208BHJP
H04W 24/00 20090101ALI20230208BHJP
H04W 12/122 20210101ALI20230208BHJP
H04W 92/24 20090101ALI20230208BHJP
【FI】
H04W12/126
H04W24/00
H04W12/122
H04W92/24
【請求項の数】
11
(21)【出願番号】P 2020552791
(86)(22)【出願日】2019-03-27
(65)【公表番号】
(43)【公表日】2021-07-15
(86)【国際出願番号】 CN2019079840
(87)【国際公開番号】W WO2019192366
(87)【国際公開日】2019-10-10
【審査請求日】2020-09-29
(31)【優先権主張番号】201810299619.5
(32)【優先日】2018-04-04
(33)【優先権主張国・地域又は機関】CN
【前置審査】
(73)【特許権者】
【識別番号】510065207
【氏名又は名称】大唐移▲動▼通信▲設▼▲備▼有限公司
【氏名又は名称原語表記】DATANG MOBILE COMMUNICATIONS EQUIPMENT CO., LTD.
【住所又は居所原語表記】1/F, Building 1, No.5 Shangdi East Road, Haidian District,Beijing 100085, China
(74)【代理人】
【識別番号】100108453
【弁理士】
【氏名又は名称】村山 靖彦
(74)【代理人】
【識別番号】100110364
【弁理士】
【氏名又は名称】実広 信哉
(74)【代理人】
【識別番号】100133400
【弁理士】
【氏名又は名称】阿部 達彦
(72)【発明者】
【氏名】王 胡成
【審査官】伊東 和重
(56)【参考文献】
【文献】韓国公開特許第10-2014-0018093(KR,A)
【文献】CATT, Lenovo, Motorola Mobility,Update to the use case on customized mobility management[online],3GPP TSG SA WG2 #126,3GPP,2018年03月02日,S2-182346,検索日[2022.12.22],Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG2_Arch/TSGS2_126_Montreal/Docs/S2-182346.zip>
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24-7/26
H04W 4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1,4
(57)【特許請求の範囲】
【請求項1】
UEの動作情報を取得するステップと、前記動作情報を分析して、前記UEのセキュリティリスクを決定するステップと、
ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーするステップを備え、
前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示すことを特徴とするネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項2】
前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターは、前記UEのモビリティ管理パラメーターおよび/またはセッション管理パラメーターを含むことを特徴とする請求項1に記載のネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項3】
前記動作情報は、前記UEの端末タイプ、端末位置、端末モビリティ情報、アプリケーション情報およびUEの宛先アドレスのうちの1つまたは複数を含むことを特徴とする請求項1に記載のネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項4】
前記動作情報を分析して、前記UEのセキュリティリスクを決定することは、前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが事前設定された固定エリアから出たことを示す場合、盗難セキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが禁止エリアに位置していることを示す場合、不正使用されるセキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEがトラフィック使用において異常であることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが不正なターゲットアドレスにアクセスしていることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定することを特徴とする請求項3に記載のネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項5】
前記ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を 送信することは、ポリシー制御機能(PCF)にアクセスおよびモビリティ管理ポリシー、および/または、プロトコルデータユニット(PDU)セッション管理ポリシーを更新するように、前記PCFに前記第1の指示を送信することを特徴とする請求項1に記載のネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項6】
前記PCFが前記第1の指示に従って前記UEのサービス要求を拒否する必要があると決定する場合、前記アクセスおよびモビリティ管理ポリシーで前記UEの禁止エリアとしてすべてのトラッキングエリア(TA)を構成し、または、前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションのデータレートを制限する必要があると決定する場合、前記セッション管理ポリシーでセッションの集約最大ビットレート(AMBR)を調整するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEに対して位置監視または追跡を実行する必要があると決定する場合、位置監視要求を生成するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションを削除する必要があると決定する必要があると決定する場合、PDUセッション終了プロセスを開始するように前記PCFをトリガーすることを特徴とする請求項5に記載のネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項7】
前記ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信することは、アクセスおよびモビリティ管理機能(AMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記AMFをトリガーし、
前記UEの登録を解除し、
前記UEのセキュリティに対する認証を再度実行し、
前記UEに対して位置監視または追跡を実行し、
前記UEにネットワークサービスの取得を制限することを特徴とする請求項1に記載のネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項8】
前記ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信することは、セッション管理機能(SMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記SMFをトリガーし、
前記UEの特定のPDUセッションのデータレートを制限し、
前記UEの特定のPDUセッションを削除することを特徴とする請求項1に記載のネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項9】
前記モビリティ管理パラメーターは、モビリティ制限パラメーターまたは定期的な更新タイマー値を含み、前記セッション管理パラメーターはサービス品質(QoS)パラメーターを含むことを特徴とする請求項2に記載のネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項10】
前記UEのセキュリティリスクを決定した後、アプリケーションサーバーに前記UEの前記セキュリティリスクを示す警告情報を送信することを特徴とする請求項1に記載のネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための方法。
【請求項11】
UEの動作情報を取得するように構成された取得ユニットと、前記動作情報を分析して、前記UEのセキュリティリスクを決定するように構成された決定ユニットと、
ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーするように構成された処理ユニットと
を備え、
前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示すことを特徴とするネットワークデータ分析機能(NWDAF)エンティティに適用される、端末(UE)の管理と制御のための装置。
【発明の詳細な説明】
【技術分野】
【0001】
関連出願の相互参照
本出願は、2018年4月4日に中国特許局に提出し、出願番号が201810299619.5であり、発明名称が「端末(UE)の管理と制御のための方法および装置」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
本出願は、2018年4月4日に中国特許局に提出し、出願番号が201810299619.5であり、発明名称が「端末(UE)の管理と制御のための方法および装置」との中国特許出願を基礎とする優先権を主張し、その開示の総てをここに取り込む。
【0002】
本発明は、通信技術分野に関し、特に端末(UE)の管理と制御のための方法および装置に関する。
【背景技術】
【0003】
第5世代モバイル通信ネットワーク(Fifith Generation Mobile Network,5G)は、ネットワークデータ分析機能(Network Data Analytics Function,NWDAF)エンティティを導入した。当該機能エンティティは、ネットワークデータを分析し、分析結果を5Gネットワークに提供で、そして、ネットワークを最適化する。
【0004】
従来技術では、NWDAFは静的構成に基づきネットワークスライスの負荷データを収集して分析し、ポリシー制御機能(Policy Control Function,PPCF)などのネットワーク機能にスライス負荷に関連するネットワークデータ分析結果を提供し、PCFなどのネットワーク機能がNWDAFの分析結果によれば、当該スライスに属する端末に対して対応するネットワーク制御ポリシーを設定するか、または対応するネットワーク動作を実行する。ただし、NWDAFはネットワークデータをスライスレベルでしか分析できないため、NWDAFは現在スライスを使用しているユーザを認識できない。
【0005】
つまり、既存の5Gネットワークは、端末に対する悪意のある動作を認識できず、悪意のある動作に対する効果的な防御は言うまでもない。
【0006】
具体的な例を挙げれば、街路灯、共有自転車などの多数のモノのインターネット(IoT)装置が悪意を持って使用または乗っ取られると、既存の5Gネットワークはそのような端末に対する悪意のある動作を認識できなくなり、セキュリティ上の問題が発生するだけではない、そして深刻な緊急損失を引き起こす。たとえば、2016年、「Mirai」に感染した89万台のカメラとルーターがDYN DNSサーバにDDoS攻撃を仕掛け、米国東海岸を6時間切断し、数十億に及ぶ経済的損失を引き起こした。
【発明の概要】
【発明が解決しようとする課題】
【0007】
したがって、既存のモバイル通信ネットワークシステムが、端末の直面するリスクまたは潜在的なリスクに対する効果的な検出および防御を欠いていることは明らかである。
【課題を解決するための手段】
【0008】
本発明の実施形態は、端末(UE)の管理と制御のための方法および装置を提供して、既存のモバイル通信ネットワークシステムが、端末の直面するリスクまたは潜在的なリスクに対する効果的な検出および防御を欠いているという問題を解決し、モバイル通信ネットワークシステムの端末管理への管理および制御を強化するにより、システムのリスクが軽減させる。
【0009】
一方では、本発明の実施形態によって提供される端末(UE)の管理と制御のための方法は、ネットワークデータ分析機能(NWDAF)エンティティに適用され、前記方法は、
前記UEの動作情報を取得するステップと、
前記動作情報を分析して、前記UEのセキュリティリスクを決定するステップと、
ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、
前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示すステップとを備える。
前記UEの動作情報を取得するステップと、
前記動作情報を分析して、前記UEのセキュリティリスクを決定するステップと、
ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、
前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示すステップとを備える。
【0010】
任意選択で、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターは、前記UEのモビリティ管理パラメーターおよび/またはセッション管理パラメーターを含む。
【0011】
任意選択で、前記動作情報は、前記UEの端末タイプ、端末位置、端末モビリティ情報、アプリケーション情報およびUEの宛先アドレスのうちの1つまたは複数を含む。
【0012】
任意選択で、前記動作情報を分析して、前記UEのセキュリティリスクを決定することは、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが事前設定された固定エリアから出たことを示す場合、盗難セキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが禁止エリアに入ったことを示す場合、不正使用されるセキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEがトラフィック使用において異常であることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが不正なターゲットアドレスにアクセスしていることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが事前設定された固定エリアから出たことを示す場合、盗難セキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが禁止エリアに入ったことを示す場合、不正使用されるセキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEがトラフィック使用において異常であることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが不正なターゲットアドレスにアクセスしていることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。
【0013】
任意選択で、前記ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信することは、
前記PCFにアクセスおよびモビリティ管理ポリシー、および/または、プロトコルデータユニット(PDU)セッション管理ポリシーを更新するように、ポリシー制御機能(PCF)に前記第1の指示を送信する。
前記PCFにアクセスおよびモビリティ管理ポリシー、および/または、プロトコルデータユニット(PDU)セッション管理ポリシーを更新するように、ポリシー制御機能(PCF)に前記第1の指示を送信する。
【0014】
任意選択で、前記方法では、さらに、
前記PCFが前記第1の指示に従って前記UEのサービス要求を拒否する必要があると決定する場合、前記アクセスおよびモビリティ管理ポリシーで前記UEの禁止エリアとしてすべてのトラッキングエリア(TA)を構成し、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションのデータレートを制限する必要があると決定する場合、前記セッション管理ポリシーでセッションの集約最大ビットレート(AMBR)を調整するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEに対して位置監視または追跡を実行する必要があると決定する場合、位置監視要求を生成するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションを削除する必要があると決定する必要があると決定する場合、PDUセッション終了プロセスを開始するように前記PCFをトリガーする。
前記PCFが前記第1の指示に従って前記UEのサービス要求を拒否する必要があると決定する場合、前記アクセスおよびモビリティ管理ポリシーで前記UEの禁止エリアとしてすべてのトラッキングエリア(TA)を構成し、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションのデータレートを制限する必要があると決定する場合、前記セッション管理ポリシーでセッションの集約最大ビットレート(AMBR)を調整するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEに対して位置監視または追跡を実行する必要があると決定する場合、位置監視要求を生成するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションを削除する必要があると決定する必要があると決定する場合、PDUセッション終了プロセスを開始するように前記PCFをトリガーする。
【0015】
任意選択で、前記ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信することは、
アクセスおよびモビリティ管理機能(AMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記AMFをトリガーし、
前記UEの登録を解除し、
前記UEのセキュリティに対する認証を再度実行し、
前記UEに対して位置監視または追跡を実行し、
前記UEにネットワークサービスの取得を制限する。
アクセスおよびモビリティ管理機能(AMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記AMFをトリガーし、
前記UEの登録を解除し、
前記UEのセキュリティに対する認証を再度実行し、
前記UEに対して位置監視または追跡を実行し、
前記UEにネットワークサービスの取得を制限する。
【0016】
任意選択で、前記ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信することは、
セッション管理機能(SMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記SMFをトリガーし、
前記UEの特定のPDUセッションのデータレートを制限し、
前記UEの特定のPDUセッションを削除する。
セッション管理機能(SMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記SMFをトリガーし、
前記UEの特定のPDUセッションのデータレートを制限し、
前記UEの特定のPDUセッションを削除する。
【0017】
任意選択で、前記モビリティ管理パラメーターは、モビリティ制限パラメーターまたは定期的な更新タイマー値を含み、前記セッション管理パラメーターはサービス品質(QoS)パラメーターを含む。
【0018】
任意選択で、前記UEのセキュリティリスクを決定した後、前記方法ではさらに、
アプリケーションサーバーに前記UEの前記セキュリティリスクを示す警告情報を送信する。
アプリケーションサーバーに前記UEの前記セキュリティリスクを示す警告情報を送信する。
【0019】
他方では、本発明の実施形態によって提供される端末(UE)におけるセキュリティリスクの存在のための処理方法は前記UEに適用され、前記方法は、
ネットワークが前記UEのセキュリティリスクを決定したときにネットワークによって送信された第1の指示を受信し、ここで、前記第1の指示は、前記UEの直面する前記セキュリティリスクのタイプを示すか、または、前記UEの前記セキュリティリスクを解決するためのポリシーやパラメーターを示すステップと、
前記第1の指示に従って、前記セキュリティリスクに対して、前記UEをトリガーして、警報を発し、および/またはリスク防御を実行するステップとを備える。
ネットワークが前記UEのセキュリティリスクを決定したときにネットワークによって送信された第1の指示を受信し、ここで、前記第1の指示は、前記UEの直面する前記セキュリティリスクのタイプを示すか、または、前記UEの前記セキュリティリスクを解決するためのポリシーやパラメーターを示すステップと、
前記第1の指示に従って、前記セキュリティリスクに対して、前記UEをトリガーして、警報を発し、および/またはリスク防御を実行するステップとを備える。
【0020】
任意選択で、前記第1の指示は、ネットワークデータ分析機能(NWDAF)エンティティが前記UEの動作情報を分析して前記UEのセキュリティリスクを決定した後に直接送信され、または、ポリシー制御機能(PCF)またはアクセスおよびモビリティ管理機能(AMF)またはセッション管理機能(SMF)がネットワークデータ分析機能(NWDAF)エンティティによる前記UEのセキュリティリスクに対する分析結果を受信した後に送信される。
【0021】
任意選択で、前記第1の指示に従って、前記セキュリティリスクに対して、前記UEをトリガーして、警報を発し、および/またはリスク防御を実行することは、具体的に、
前記第1の指示に従って、前記UEのアプリケーション層に警告情報を送信し、アプリケーションサーバーに警告情報を送信するように前記アプリケーション層をトリガーし、
光学的/音響的/電気的警報を発し、および/または、UEをロックし、および/または、位置を定期的に報告する。
前記第1の指示に従って、前記UEのアプリケーション層に警告情報を送信し、アプリケーションサーバーに警告情報を送信するように前記アプリケーション層をトリガーし、
光学的/音響的/電気的警報を発し、および/または、UEをロックし、および/または、位置を定期的に報告する。
【0022】
他方では、本発明の実施形態によって提供される端末(UE)の管理と制御のための装置はネットワークデータ分析機能(NWDAF)エンティティに適用され、前記装置は、
前記UEの動作情報を取得するように構成された取得ユニットと、
前記動作情報を分析して、前記UEのセキュリティリスクを決定するように構成された決定ユニットと、
ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、
前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す処理ユニットとを備える。
前記UEの動作情報を取得するように構成された取得ユニットと、
前記動作情報を分析して、前記UEのセキュリティリスクを決定するように構成された決定ユニットと、
ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、
前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す処理ユニットとを備える。
【0023】
任意選択で、前記第1の指示が前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示す場合、前記処理ユニットはさらに、
前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターが前記UEのモビリティ管理パラメーターおよび/またはセッション管理パラメーターを含むことを決定する。
前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターが前記UEのモビリティ管理パラメーターおよび/またはセッション管理パラメーターを含むことを決定する。
【0024】
任意選択で、前記動作情報は、前記UEの端末タイプ、端末位置、端末モビリティ情報、アプリケーション情報およびUEの宛先アドレスのうちの1つまたは複数を含む。
【0025】
本発明の実施形態では、前記決定ユニットは、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記端末が事前設定された固定エリアから出たことを示す場合、盗難セキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが禁止エリアに位置していることを示す場合、不正使用されるセキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEがトラフィック使用において異常であることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが不正なターゲットアドレスにアクセスしていることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記端末が事前設定された固定エリアから出たことを示す場合、盗難セキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが禁止エリアに位置していることを示す場合、不正使用されるセキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEがトラフィック使用において異常であることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが不正なターゲットアドレスにアクセスしていることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。
【0026】
任意選択で、前記処理ユニットはさらに、
前記PCFにアクセスおよびモビリティ管理ポリシー、および/または、プロトコルデータユニット(PDU)セッション管理ポリシーを更新するように、ポリシー制御機能(PCF)に前記第1の指示を送信する。
前記PCFにアクセスおよびモビリティ管理ポリシー、および/または、プロトコルデータユニット(PDU)セッション管理ポリシーを更新するように、ポリシー制御機能(PCF)に前記第1の指示を送信する。
【0027】
任意選択で、前記処理ユニットはさらに、
前記PCFが前記第1の指示に従って前記UEのサービス要求を拒否する必要があると決定する場合、前記アクセスおよびモビリティ管理ポリシーで前記UEの禁止エリアとしてすべてのトラッキングエリア(TA)を構成し、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションのデータレートを制限する必要があると決定する場合、前記セッション管理ポリシーでセッションの集約最大ビットレート(AMBR)を調整するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEに対して位置監視または追跡を実行する必要があると決定する場合、位置監視要求を生成するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションを削除する必要があると決定する必要があると決定する場合、PDUセッション終了プロセスを開始するように前記PCFをトリガーする。
前記PCFが前記第1の指示に従って前記UEのサービス要求を拒否する必要があると決定する場合、前記アクセスおよびモビリティ管理ポリシーで前記UEの禁止エリアとしてすべてのトラッキングエリア(TA)を構成し、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションのデータレートを制限する必要があると決定する場合、前記セッション管理ポリシーでセッションの集約最大ビットレート(AMBR)を調整するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEに対して位置監視または追跡を実行する必要があると決定する場合、位置監視要求を生成するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションを削除する必要があると決定する必要があると決定する場合、PDUセッション終了プロセスを開始するように前記PCFをトリガーする。
【0028】
任意選択で、前記処理ユニットはさらに、
アクセスおよびモビリティ管理機能(AMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記AMFをトリガーし、
前記UEの登録を解除し、
前記UEのセキュリティに対する認証を再度実行し、
前記UEに対して位置監視または追跡を実行し、
前記UEにネットワークサービスの取得を制限する。
アクセスおよびモビリティ管理機能(AMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記AMFをトリガーし、
前記UEの登録を解除し、
前記UEのセキュリティに対する認証を再度実行し、
前記UEに対して位置監視または追跡を実行し、
前記UEにネットワークサービスの取得を制限する。
【0029】
任意選択で、前記処理ユニットはさらに、
セッション管理機能(SMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記SMFをトリガーし、
前記UEの特定のPDUセッションのデータレートを制限し、
前記UEの特定のPDUセッションを削除する。
セッション管理機能(SMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記SMFをトリガーし、
前記UEの特定のPDUセッションのデータレートを制限し、
前記UEの特定のPDUセッションを削除する。
【0030】
本発明の実施形態では、前記モビリティ管理パラメーターは、モビリティ制限パラメーターまたは定期的な更新タイマー値を含み、前記セッション管理パラメーターはサービス品質(QoS)パラメーターを含む。
【0031】
任意選択で、前記UEのセキュリティリスクを決定した後、前記装置はさらに、
アプリケーションサーバーに前記UEの前記セキュリティリスクを示す警告情報を送信するように構成された送信ユニットを備える。
アプリケーションサーバーに前記UEの前記セキュリティリスクを示す警告情報を送信するように構成された送信ユニットを備える。
【0032】
他方では、本発明の実施形態によって提供される端末(UE)におけるセキュリティリスクの存在のための処理装置は前記UEに適用され、前記装置は、
ネットワークが前記UEのセキュリティリスクを決定したときにネットワークによって送信された第1の指示を受信するように構成された受信ユニットであって、ここで、前記第1の指示は、前記UEの直面する前記セキュリティリスクのタイプを示すか、または、前記UEの前記セキュリティリスクを解決するためのポリシーやパラメーターを示す前記受信ユニットと、
前記第1の指示に応答して、前記セキュリティリスクに対して、前記UEをトリガーして、警報を発し、および/またはリスク防御を実行するように構成されたトリガーユニットとを備える。
ネットワークが前記UEのセキュリティリスクを決定したときにネットワークによって送信された第1の指示を受信するように構成された受信ユニットであって、ここで、前記第1の指示は、前記UEの直面する前記セキュリティリスクのタイプを示すか、または、前記UEの前記セキュリティリスクを解決するためのポリシーやパラメーターを示す前記受信ユニットと、
前記第1の指示に応答して、前記セキュリティリスクに対して、前記UEをトリガーして、警報を発し、および/またはリスク防御を実行するように構成されたトリガーユニットとを備える。
【0033】
任意選択で、前記受信ユニットは、ネットワークデータ分析機能(NWDAF)エンティティが前記UEの動作情報を分析して前記UEのセキュリティリスクを決定した後に直接送信された前記第1の指示を受信し、または、ポリシー制御機能(PCF)またはアクセスおよびモビリティ管理機能(AMF)またはセッション管理機能(SMF)がネットワークデータ分析機能(NWDAF)エンティティによる前記UEのセキュリティリスク分析結果を受信した後に送信した前記第1の指示を、受信する。
【0034】
任意選択で、前記トリガーユニットは、
前記第1の指示に従って、前記UEのアプリケーション層に警告情報を送信し、アプリケーションサーバーに警告情報を送信するように前記アプリケーション層をトリガーし、
光学的/音響的/電気的警報を発し、および/または、UEをロックし、および/または、位置を定期的に報告する。
前記第1の指示に従って、前記UEのアプリケーション層に警告情報を送信し、アプリケーションサーバーに警告情報を送信するように前記アプリケーション層をトリガーし、
光学的/音響的/電気的警報を発し、および/または、UEをロックし、および/または、位置を定期的に報告する。
【0035】
他方では、本発明の実施形態によって提供されるコンピュータ装置は、メモリと、プロセッサと、および前記メモリに格納され、前記プロセッサ上で動作するコンピュータプログラムとを備え、前記プロセッサが前記コンピュータプログラムを実行するとき、前記端末(UE)の管理と制御のための方法のステップが実施される。
【0036】
他方では、本発明の実施形態は、コンピュータプログラムが格納されたコンピュータ可読前記憶媒体を提供し、コンピュータプログラムがプロセッサによって実行されると、前記端末(UE)の管理と制御のための方法のステップが実施される。
【発明の効果】
【0037】
本発明の実施形態における上前記の1つまたは複数の技術的解決策は、以下の技術的効果のうちの少なくとも1つまたは複数を有する。
【0038】
本発明の実施形態の技術的解決策では、UEの動作情報は、ネットワークデータ分析機能(NWDAF)エンティティを通じて取得され、前記動作情報を分析して、前記UEのセキュリティリスクを決定し、ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。言い換えれば、NWDAFエンティティは、端末動作情報を分析して端末のセキュリティリスクを決定し、防御管理を実行することにより、モバイル通信ネットワークシステムの端末管理への管理および制御を強化し、システムのリスクが軽減させる。
【図面の簡単な説明】
【0039】
本発明に係る実施例や従来の技術方案をより明確に説明するために、以下に実施例を説明するために必要な図面をについて簡単に紹介する。無論、以下の説明における図面は本発明に係る実施例の一部であり、当業者は、創造性作業を行わないことを前提として、これらの図面に基づいて他の図面を得ることができる。
【0040】
【図1】本発明の実施形態におけるネットワーク機能アーキテクチャの概略構造図である。
【図2】本発明の実施形態1によって提供される端末(UE)の管理と制御のための方法の一方法のフローチャートである。
【図3】本発明の実施形態1によって提供される端末(UE)の管理と制御のための方法におけるPCFが前記第1の指示に従って端末に対するネットワークポリシーを調整する概略図である。
【図4】本発明の実施形態1によって提供される端末(UE)の管理と制御のための方法において、NWDAFがネットワークにおける各ネットワーク機能および/または端末に指示を送信し、対応して、ネットワークにおける各ネットワーク機能および/または端末が直接リスク防止を実行する動作の概略図である。
【図5】本発明の実施形態2によって提供される端末(UE)におけるセキュリティリスクの存在のための処理方法の方法フローチャートである。
【図6】本発明の実施形態2によって提供される端末(UE)におけるセキュリティリスクの存在のための処理方法におけるステップS302の方法の概略的なフローチャートである。
【図7】本発明の実施形態3によって提供される端末(UE)の管理と制御のための装置の概略構造図である。
【図8】本発明の実施形態4によって提供される端末(UE)におけるセキュリティリスクの存在のための処理装置の概略構造図である。
【図9】本発明の実施形態5によって提供されるコンピュータ装置の概略構造図である。
【発明を実施するための形態】
【0041】
以下に本発明に係る実施形態において図面を結合して本発明の実施形態における技術方案について詳細に、完全に説明するが、次に陳述する実施形態は単に本発明のいくつかの実施形態であり、その全てではない。本分野の一般の技術者にとって、創造性的労働をしなくても、これらの実施形態に基づいてその他の実施形態を容易に獲得することができ、全て本発明の保護範囲に属することは明白である。
【0042】
本発明の技術案は多様な通信システムに応用することができる。例えば、GSM(Global System of Mobile communication)システム、CDMA(Code Division Multiple Access)システム、WCDMA(登録商標)(Wideband Code Division Multiple Access)システム、GPRS(General Packet Radio Service)、LTE(Long Term Evolution)システム、LTE-A(Advanced long term evolution)システム、UMTS(Universal Mobile Telecommunication System)、NR(New Radio)等に応用できる。
【0043】
また、本発明に係る実施例において、UE(User Equipment)は、MS(Mobile Station)、移動端末(Mobile Terminal)、MT(Mobile Telephone)、携帯(handset)及び携帯機器(portable equipment)を含むが、それに限られない。当該ユーザ設備は、RAN(Radio Access Network,RAN)を介して1つまたは複数のコアネットワークと通信することができる。例えば、ユーザ設備は、MT(Cellular phoneとも呼ばれる)、無線通信機能を有するコンピュータなどを含むこともできる。ユーザ設備は、携帯式、ポケット式、手持ち式、コンピュータに内蔵されるかまたは、車載の移動装置であることもできる。
【0044】
本発明に係る実施例において、基地局(例えば、接続点)は、AN(Access Network)で無線インターフェースにおいて、1つまたは複数のセクターを介して無線端末と通信する設備であることができる。基地局は、受信した無線フレームとIP組み分けを相互に転換して、無線端末とANの他の部分間のルーターとすることができる。ここで、ANの他の部分は、IPネットワークを含むことができる。基地局は、無線インターフェースに対する属性管理を協調することができる。例えば、基地局は、GSMまたはCDMAの基地局(Base Transceiver Station,BTS)であってもよいし、WCDMA(登録商標)の基地局(NodeB)であってもよく、LTEの進化型基地局(NodeBまたはeNBまたはe-NodeB,evolutional Node B)、または、5G NRにおける基地局(gNB)であってもよいが、本発明をそれに限定しない。
【0045】
本発明の実施形態によって提供される端末(UE)の管理と制御のための方法および装置は、既存のモバイル通信ネットワークシステムが、端末の直面するリスクまたは潜在的なリスクに対する効果的な検出および防御を欠いているという問題を解決し、了モバイル通信ネットワークシステムの端末管理への管理および制御を強化するにより、システムのリスクが軽減させる。
【0046】
本発明の実施形態の技術的解決策が上前記の技術的な問題を解決するための一般的な考え方は次のとおりである。
【0047】
端末(UE)の管理と制御のための方法は、ネットワークデータ分析機能(NWDAF)エンティティに適用され、前記方法では、
前記UEの動作情報を取得し、
前記動作情報を分析して、前記UEのセキュリティリスクを決定し、
ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、
前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。
前記UEの動作情報を取得し、
前記動作情報を分析して、前記UEのセキュリティリスクを決定し、
ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、
前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。
【0048】
本発明の実施形態の技術的解決策では、UEの動作情報は、ネットワークデータ分析機能(NWDAF)エンティティを通じて取得され、前記動作情報を分析して、前記UEのセキュリティリスクを決定し、ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。言い換えれば、NWDAFエンティティは、端末動作情報を分析して端末のセキュリティリスクを決定し、防御管理を実行することにより、モバイル通信ネットワークシステムの端末管理への管理および制御を強化し、システムのリスクが軽減させる。
【0049】
本明細書で使用される「および/または」という用語は、関連するオブジェクトの関連関係を説明するために単に使用され、3つの関係があり得ることを示し、例えば、Aおよび/またはBは、Aが別個に存在し、AとBは同時に存在し、Bは別個に存在する3つのケースを示し得る。さらに、本明細書で使用される文字「/」は、別段の指定がない限り、一般に、前後の関連するオブジェクトが「または」の関係を持つことを示す。
【0050】
本願の明細書、特許請求の範囲、および図面において、「第1」および「第2」などの用語は、異なるオブジェクトを区別するために使用され、特定の順序を説明するために使用されない。さらに、「含む」または「備える」という用語、およびそれらの任意の変更は、非排他的な包含をカバーすることを意図している。たとえば、プロセス、方法、システム、製品、または機器には、リストされているステップまたはユニットに限定されない一連のステップまたはユニットが含まれるが、オプションとして、リストされていないステップまたはユニットがさらに含まれる。または、これらのプロセス、方法、製品または機器の特定のステップまたはユニットがさらに含まれる。
【0051】
本明細書における「実施形態」は、実施形態と組み合わせて説明される特定の特徴、構造または特性が、本発明の少なくとも1つの実施形態に含まれ得ることを意味する。本明細書の各位置に現れる「実施形態」という語句は、必ずしも同じ実施形態、または他の実施形態を除いた独立したまたは代替の実施形態を指すとは限らない。当業者は、本明細書に前記載された実施形態が他の実施形態と組み合わせることができることを明示的および暗黙的に理解すべきである。
【0052】
上前記の技術的解決策をよりよく理解するために、本発明の技術的解決法を添付の図面および特定の実施形態により以下に詳細に説明するが、本発明の実施形態および特定の特徴は、実施形態は、本発明の技術的解決策を詳細に説明するためだけに使用され、本発明の技術的解決策を限定することを意図するものではなく、矛盾がない場合、本発明の実施形態および実施形態における技術的特徴互いに組み合わせることができる。
【0053】
本明細書で説明される技術的解決策は、例えば5Gなどのモバイルネットワークシステムに使用することができる。
【0054】
図1は、本明細書で使用される技術的解決策に適用されるネットワーク機能アーキテクチャを示している。当該アーキテクチャには、ネットワーク層とユーザプレーン層が含まれる。ネットワーク層は、NWDAF、統合データ管理(Unified Data Management ,UDM)機能、ネットワーク露出機能(Network Exposure Function,NEF)、アプリケーション機能(Application Function,AF)、ポリシー制御機能(Policy Control Function,PCF)などのネットワーク機能を含み得る。UDMには、ユーザデータリポジトリ(Unified Data Management,UDR)が含まれている。UDRはユーザサブスクリプションデータストレージサーバーであり、サブスクリプション識別子、セキュリティクレジット、アクセス/モバイル管理設計のユーザサブスクリプション情報およびセッション管理設計のユーザサブスクリプション情報を含むユーザサブスクリプションデータを提供でき、ポリシーデータをPCFに提供することもできる。つまり、UDRはサブスクリプションデータストレージサービスを提供する。ユーザプレーン層は、ユーザプレーン機能(User Plane Function,UPF)、アクセスおよびモビリティ管理機能(Access and Mobility Management Function ,AMF)、セッション管理機能(Session Management Function,SMF)などを含むことができる。ユーザプレーン層の機能エンティティは、基地局などによりUEと接続することができる。モバイルネットワークの機能エンティティは、対応するネットワークインターフェースによって相互に接続される。
【0055】
実際の用途では、UPFを使用して、UEと外部データネットワークとの間でデータを相互作用させることができる。AMFはモビリティ管理を担当するために使用でき、AMFはUEおよびアクセスネットワークに接続されている。また、SMFはセッション管理を担当するために使用でき、SMFはUPFと接続される。PCFはポリシー制御を実行するために使用され、NEFはサードパーティのアプリケーションとの相互作用とネットワーク機能の公開に使用され、UDMはユーザデータのストレージと管理を担当するために使用され、NWDAFはネットワーク分析機能で管理されるオペレーターによって、スライス関連のネットワークデータ分析をPCFに提供する。
【0056】
本発明の実施形態によって提供される技術的解決策を、本明細書の添付図面と組み合わせて以下に説明する。以下の例示的なプロセスでは、本発明の実施形態によって提供される技術的解決策の、図1に示されるネットワーク機能アーキテクチャへの適用が、例として使用される。
【0057】
実施形態1.
【0058】
本発明の実施形態1は、NWDAFエンティティに適用される、UEを管理および制御するための方法を提供する。具体的には、この方法は、図1に示すネットワークシステムなどのモバイルネットワークシステムに適用され、この方法は、ネットワークシステム内の対応するネットワーク機能によって実行することができ、方法のステップは以下のように説明される。
【0059】
S101:UE動作情報を取得する。
【0060】
S102:前記動作情報を分析して、前記UEのセキュリティリスクを決定する。
【0061】
S103:ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示す。
【0062】
および/または、
S104:前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。
S104:前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。
【0063】
特定の実施プロセスにおいて、それは、ステップS101、S102およびS103を順次実行する解決策だけでなく、ステップS101、S102およびS104を順次実行する解決策であってもよく、さらにステップS101、S102、S103、S104を順次実行する解決策であってもよい。もちろん、当業者は、ステップS103とステップS104との間の実行シーケンスを、ここでは図示されていない、ユーザの実際の使用習慣に従って設計することもできる。図2は、ステップS103とステップS104が同時に実行されるフローチャートを示している。
【0064】
特定の実施プロセスにおいて、最初に、前記NWDAF前記UEの動作情報を取得し、ここで、前記動作情報は、前記UEの端末タイプ、端末位置、端末モビリティ情報、アプリケーション情報およびUEの宛先アドレスのうちの1つまたは複数を含む。当業者はまた、NWDAFによって取得される、本明細書には示されていない実際の要求に従ってUEのUE動作情報を設計することもできる。
【0065】
次に、前記NWDAFは、前記UEの動作情報を分析し、前記UEのリスクを決定する。例えば、前記NWDAFは、UEタイプおよび/またはアプリケーション情報などを分析することにより、前記UEが固定位置に配置されるべきであると決定し、したがって、前記UEの位置変化が検出された後、前記UEが盗まれたと判断できる。たとえば、UEは街路灯に取り付けられた端末機器、現金自動預け払い機(ATM)、および監視機器である。さらなる例として、前記NWDAFは、前記UEの位置と前記UEのモビリティ制限情報を分析することにより、前記UEが許可されていないエリア(または禁止エリア)に長時間留まっていると判断し、その結果、UEが不正に使用されていると判断できる。たとえば、共有自転車が住宅地に入ったと判断できる。さらに別の例として、前記NWDAFは、前記UEがトラフィック使用に異常があると検出すると、例えばビデオ監視のデータストリームに異常があることを検出すると、UEのタイプ、アプリケーション情報などを分析することにより、UEがハッカーに乗っ取られたと判断し、たとえば、データストリームが不正なアドレスに送信されたと判断する。
【0066】
前記NWDAFが前記UEのセキュリティリスクを決定した後、前記方法ではさらに、ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示す。
【0067】
ここで、前記少なくとも1つのネットワーク機能エンティティは、具体的には、PCF、AMF、およびSMFのうちの1つまたは複数であり得る。
【0068】
少なくとも1つのネットワーク機能エンティティがPCFである場合、すなわち、前記NWDAFが第1の指示を前記PCFに送信する場合、前記PCFは、第1の指示に従ってUEに対するネットワークポリシーを調整する。さらなる例として、まず、前記NWDAFは、前記リスクに応じて、UEの様々なパラメーター、例えば、モビリティ制限パラメーター、QoSパラメーター、定期的な更新タイマー値などに対する更新を決定する。次に、前記NWDAFはこれらの生成されたパラメーターを対応するネットワーク機能に直接送信する。たとえば、モビリティ制限パラメーターをAMFに送信し、QoSパラメーターをSMFに送信する。
【0069】
特定の実施プロセスでは、以下のステップも実行することができる:前記NWDAFは、第2の指示を前記UEに直接送信し、その結果、UEは、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。
【0070】
すなわち、前記UEが前記第2の指示を受信した場合、前記UEは、リスクのタイプ、例えば「盗難リスクが現在UEに存在している。タイムリーに対処してください。」との警告情報がアプリケーション層によって送信される。当業者は、ユーザの実際の使用習慣に従って、UEが警報を発し、および/またはリスク防御を実行する特定の実施プロセスを設計することができ、ここでは、1つずつ例示しない。
【0071】
本発明の実施形態では、前記NWDAFは、ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーすることができるだけでなく、前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーこともできる。具体的な実施プロセスは上前記のプロセスで説明されているため、ここでは1つずつ示さない。
【0072】
本発明の実施形態では、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターは、前記UEのモビリティ管理パラメーターおよび/またはセッション管理パラメーターを含む。
【0073】
特定の実施プロセスでは、最初に、前記NWDAFは、前記UEのモビリティ管理パラメーターおよび/またはセッション管理パラメーターを決定する。前記モビリティ管理パラメーターは、モビリティ制限パラメーターとすることができ、前記セッション管理パラメーターは、QoSパラメーターとすることができる。次に、前記NWDAFは、モビリティ管理パラメーターおよび/またはセッション管理パラメーターを少なくとも1つのネットワーク機能エンティティに送信し、その結果、少なくとも1つのネットワーク機能エンティティは、UEのパラメーター調整を実行する。前記モビリティ管理パラメーターは、モビリティ制限パラメーターまたは定期的な更新タイマー値を含み、前記セッション管理パラメーターはサービス品質(QoS)パラメーターを含む。
【0074】
つまり、前記NWDAFは、UEに対して変更されたパラメーターを5Gに直接送信できる。
【0075】
具体的には、第1に、NWDAFは、リスクに従って、UEの様々なパラメーター、例えば、モビリティ制限パラメーター、QoSパラメーター、定期的更新タイマー値などに対する変更を決定する。次に、NWDAFはこれらの生成されたパラメーターを対応するネットワーク機能に直接送信する。たとえば、NWDAFはモビリティ制限パラメーターをAMFに送信する。さらに、AMFは、UEに対するパラメーター調整を実行し、例えば、UEの位置を追跡するようにより短い周期的タイマーを構成する。さらなる例では、NWDAFは、QoSパラメーター、例えば、PDUセッションを調整するためのQoSパラメーターをSMFに送信する。
【0076】
本発明の実施形態において、NWDAFは、リスク分析を実行することができ、具体的には、前記NWDAFは、UEの動作情報を分析して、リスクがUEに存在するかどうかを判断する。UEのリスクを決定するとき、NWDAFはさらに、UEが持つ可能性のある特定のタイプのリスクを決定することもできる。リスクの種類には、UEが盗まれたタイプ、UEが不正に使用されたタイプ、ハッカーに乗っ取られたタイプなどがある。
【0077】
特定の実施プロセスでは、UE動作情報は、UEタイプ、UE位置、UEモビリティ情報、アプリケーション情報、およびUEの宛先アドレスのうちの1つまたは複数を含む。
【0078】
例えば、NWDAFは、UEタイプおよびUE位置を分析し、UEがIoT機器であると決定する。具体的には、UEタイプは、一般的なインテリジェント端末であってよく、またはハンドヘルド端末であってよく、またはIoT端末などであってよい。アプリケーション情報は、監視タイプ、照明タイプ、金融タイプなど、端末上の特定のアプリケーションのアプリケーションタイプを示すことができる。アプリケーション情報は、アプリケーションのデータトラフィックのユースケースを示すこともできるが、ここでは示していない。
【0079】
本発明の実施形態において、UEの動作情報が分析され、UEにおけるリスクの存在が判定されるステップS102は、以下の4つの場合を有し得るが、これらに限定されない。
【0080】
第1のケース
【0081】
第1のケースは、前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記端末が事前設定された固定エリアから出たことを示す場合、盗難セキュリティリスクが前記UEに存在すると決定し、具体的には、前記UEタイプが、前記UEがIoT機器であることを示し、前記NWDAFが、UE位置が事前設定された固定エリア内にないことを検出した場合、盗難リスクがUEに存在すると決定される。ここで、前記事前設定された固定エリアは、5Gから取得してUEに設定された許容エリア情報、またはアプリケーションサーバーから取得して端末の移動を許可する地理的範囲情報に従って、NWDAFによって決定できる。たとえば、UEがIoT機器であり、街灯に取り付けられた端末機器であることがNWDAFによって決定される。一般に、このタイプの端末は特定の事前設定された固定エリアに取り付けられる必要があり、端末が事前設定された固定エリアから外れたと検出されると、盗難リスクがUEに存在すると判断される。
【0082】
第2のケース
【0083】
第2のケースは、前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが禁止エリアに位置していることを示す場合、不正使用されるセキュリティリスクが前記UEに存在すると決定し、具体的には、前記UEがIoT機器であることを前記UEタイプが示しており、前記NWDAFが、UEが禁止エリアに位置していることを検出した場合、不正使用されるリスクがUEに存在すると判定される。禁止エリアは、5Gから取得してUE用に構成された禁止エリア情報、またはアプリケーションサーバーから取得して端末の進入を禁止するために使用される地理的範囲情報に従って、NWDAFによって決定できる。たとえば、UEがIoT機器であり、許可されたエリアと禁止されたエリア(共有自転車や共有車など)を持つ輸送手段であることがNWDAFによって決定され、UEが住宅地や学校のような禁止エリアに入ると、UEに不正使用されるリスクが存在すると判断される。
【0084】
第3のケース
【0085】
第3のケースは、前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEがトラフィック使用において異常であることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定し、例えば、NWDAFが、UE上の特定のアプリケーションのサービストラフィックが、アプリケーションのトラフィックモデル、QoS要求などの面でNWDAFによって学習されたものと大きく異なることを検出すると、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定される。さらなる例として、UEがIoT機器であり、指紋検出機能を備えたアプリケーション端末であることがNWDAFによって決定され、UEがトラフィック使用において異常であると決定されると、例えば、検出が定期的に送信されるため、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。
【0086】
第4のケース
【0087】
第4のケースは、前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが不正なターゲットアドレスにアクセスしていることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。例えば、NWDAFは、データ分析と機械学習を通じて、UEによってアクセスされた正当なターゲットアドレス機能を決定することができ、例えば、ターゲットネットワークセグメント情報、ターゲットアドレスホーム情報およびターゲットアドレスの地理的位置属性、アクセス時間、アクセス頻度などを含むことができる。U前記NWDAFが現在UEによってアクセスされているアドレスが正当なターゲットアドレスの機能に適合していないことを検出すると、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。さらなる例として、UEがIoT機器であり、ビデオ監視端末であることがNWDAFによって決定され、ビデオ監視端末のデータストリームが不正なターゲットアドレスに送信されたことが検出されると、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。
【0088】
確かに、UEのリスクを決定するためにUEの前記動作情報が分析される上述の4つのケースに加えて、当業者はまた、実際の要求に応じてUEのリスクを決定するための他の方法を設計することができる。ここでは1つずつ例を挙げない。
【0089】
本発明の実施形態では、本発明の実施形態では、前記ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信することは、具体的に、前記PCFにアクセスおよびモビリティ管理ポリシー、および/または、プロトコルデータユニット(PDU)セッション管理ポリシーを更新するように、ポリシー制御機能(PCF)に前記第1の指示を送信する。特定の実施プロセスにおいて、PCFのみがNWDAFからUEのUE動作情報の分析結果を受信できる場合、前記PCFは第1の指示に従って対応するネットワーク防御ポリシーを生成し、コアネットワークと関連するネットワーク機能(AMFやSMFなど)に対してポリシー更新を実行できる。
【0090】
図3に示されるように、前記PCFは、前記第1の指示に従って、UEに対するネットワークポリシーを調整する。具体的には、前記PCFはNWDAFから前記第1の指示(たとえば、リスクプロンプトまたは警告表示)を受信し、5Gの応答動作を決定できる。具体的には以下とおりである。
【0091】
前記UEが盗まれたことをリスクプロンプトまたは警告表示が示している場合、位置監視または追跡はUEに対して実行され、UEのサービス要求は拒否される。
【0092】
前記UEが不正に使用されていることをリスクプロンプトまたは警告表示が示す場合、前記UEに対して位置監視または追跡が実行され、前記UEはネットワークサービスを取得できないように制限される。
【0093】
リスクプロンプトまたは警告の表示が、UEがハッカーに乗っ取られたことを示している場合、UEの登録が解除され、UEがトリガーされて再登録と再認証が実行され、UEの新しいセキュリティ認証プロセスが開始され、前記UEの特定のPDUセッションのデータレートを制限し、および/または、指定されたPDUセッションが削除される。
【0094】
特定の実施プロセスでは、PCFは、Rxインターフェースメッセージを介してAFからリスクプロンプトまたは警告表示を受け取ることもでき、これは、具体的には、AFがNWDAFからリスクプロンプトまたは警告表示を受信した後に端末動作をさらに分析して、確認することによって得られる。また、前記AFがリスクが前記UEに存在しないと判断した場合、現時点では、前記PCFはRxインターフェースメッセージからリスクなしのプロンプトを受信する。
【0095】
特定の実施プロセスにおいて、前記PCFは、第1の指示を受信した後、対応する命令またはポリシー更新要求を前記AMFおよび/またはSMFに送信し、これは、以下の4つのケースを含むが、これらに限定されない。
【0096】
第1のケース
【0097】
第1のケースは、前記PCFが前記第1の指示に従って前記UEのサービス要求を拒否する必要があると決定する場合、前記アクセスおよびモビリティ管理ポリシーで前記UEの禁止エリアとしてすべてのトラッキングエリア(TA)を構成し、言い換えれば、前記PCFが前記第1の指示に従って前記UEのサービス要求を拒否する必要があると決定する場合、すべてのTAは、アクセスおよびモビリティ管理ポリシーにおいて、前記UEの禁止エリアまたは不許可エリアとして構成される。
【0098】
第2のケース
【0099】
第2のケースは、前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションのデータレートを制限する必要があると決定する場合、前記セッション管理ポリシーでセッションの集約最大ビットレート(AMBR)を調整するように前記PCFをトリガーし、言い換えれば、前記PDUセッション
【0100】
第3のケース
【0101】
第3のケースは、前記PCFが前記第1の指示に従って前記UEに対して位置監視または追跡を実行する必要があると決定する場合、位置監視要求を生成するように前記PCFをトリガーし、言い換えれば、前記第1の指示に従って前記UEに対して位置監視または追跡を実行する必要があると前記PCFが決定した場合、位置監視要求が生成され、その結果、UEは定期的な位置報告を実行する。
【0102】
第4のケース
【0103】
第4のケースは、前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションを削除する必要があると決定する必要があると決定する場合、PDUセッション終了プロセスを開始するように前記PCFをトリガーする。具体的には、指定されたPDUセッションが第1の指示に従って削除される必要があるとPCFが決定した場合、PDUセッション終了プロセスが開始される。
【0104】
確かに、当業者にとって、前記PCFは前記第1の指示を受信した後、対応する命令またはポリシー更新要求をAMFおよび/またはSMFに送信し、上前記の4つのケースに加えて、当業者はまた、本明細書では例示されていない、ユーザの実際の使用習慣に従って、PCFによってAMFおよび/またはSMFに送信される他の指示またはポリシー更新要求を設計することもできる。
【0105】
特定の実施プロセスにおいて、前記AMFがアクセスおよびモビリティ管理ポリシーを受信した場合、対応するモビリティ管理プロセスがトリガーされ、対応する動作が実行される。例えば、モビリティ制限の更新が実行される。さらなる例として、前記AMFが前記PCFの要求命令、例えば位置監視要求を受信した場合、PCFの要求命令が実行される。
【0106】
特定の実施プロセスでは、前記SMFがPDUセッションの関連するポリシーを受信した場合、PDUセッションの操作がトリガーされ、対応する動作が実行され、例えば、PDUセッションのセッション集約最大ビットレート(AMBR)が調整される。また、前記SMFが前記PCFの要求命令を受信すると、前記PCFの要求命令が実行され、たとえば、PDUセッションが削除される。
【0107】
さらに、前期UEの管理および制御効率をさらに改善するために、前記NWDAFが前期UEのリスクを決定した後、セキュリティリスクのタイプに従って前記第1の指示が、対応するネットワーク機能に送信されることがさらに決定される。たとえば、前記第1の指示がUEの盗難を示している場合、第1の指示は前期AMFおよび/または前記PCFに送信される。さらなる例では、前記第1の指示が前記UEが不正に使用されていることを示している場合、前記第1の指示が前記AMFに送信される。さらに別の例として、前記UEがハッカーに乗っ取られたことを前記第1の指示が示している場合、前記第1の指示は前記AMF、前記SMF、前記PCFのいずれか1つ以上に送信される。
【0108】
特定の実施プロセスにおいて、前記NWDAFが前記第1の指示を5GのAMFに直接送信すると、前記AMFはリスク防御操作を直接実行し、以下の操作の1つまたは組み合わせを実行することができる:
前記UEの登録を解除し、
前記UEのセキュリティに対する認証を再度実行し、
前記UEに対して位置監視または追跡を実行し、
前記UEにネットワークサービスの取得を制限する。
前記UEの登録を解除し、
前記UEのセキュリティに対する認証を再度実行し、
前記UEに対して位置監視または追跡を実行し、
前記UEにネットワークサービスの取得を制限する。
【0109】
特定の実施プロセスでは、前記AMFが前記UEの前記第1の指示をサブスクライブする場合、前記AMFは、リスクのタイプに従って対応するモビリティ管理動作を決定し、例えば、より短い定期的なタイマーを構成して、端末位置を追跡する。
【0110】
特定の実施プロセスでは、前記NWDAFが5Gネットワークの前記SMFに前記第1の指示を直接送信すると、前記SMFはリスク防御操作を直接実行し、以下の操作の1つまたは組み合わせを実行することができる:
前記UEの特定のPDUセッションのデータレートを制限し、
前記UEの特定のPDUセッションを削除する。
前記UEの特定のPDUセッションのデータレートを制限し、
前記UEの特定のPDUセッションを削除する。
【0111】
特定の実施プロセスでは、前記SMFが特定のPDUセッションの指示をサブスクライブする場合、前記SMFは、リスクタイプに従って対応するセッション管理操作を決定し、例えば、PDUセッションを削除する。
【0112】
本発明の実施形態では、前記NWDAFが前記UEに第2の指示を送信する場合、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。具体的には、前記UEが前記第2の指示を受信した場合、アプリケーションサーバーに前記UEの前記セキュリティリスクを示す警告情報を送信する。特定の実施プロセスにおいて、前記第2の指示は、前記第1の指示と同じであってもよく、または前記第1の指示とは異なっていてもよく、具体的には、当業者は、実際の要求に従って動作を設計することができ、ここで繰り返される。
【0113】
本発明の実施形態では、前記NWDAFは、5Gネットワークにおける各ネットワーク機能および/または前記UEに指示を直接送信し、対応して、5Gネットワークにおける各ネットワーク機能および/または前記UEは、関連するリスク防御を直接実行することができる。全体的な処理プロセスの概略図は図4に示すとおりであり、特定の処理プロセスは上で詳細に説明されているため、本明細書では図示されていない。
【0114】
実施形態2
【0115】
本発明の実施形態1と同じ発明思想に基づいて、図5を参照すると、本発明の実施形態2は、前記UEに適用される、UEにおけるセキュリティリスクの存在のための処理方法を提供する。この方法には以下のステップが含まれる。
【0116】
S201:ネットワークが前記UEのセキュリティリスクを決定したときにネットワークによって送信された第1の指示を受信し、ここで、前記第1の指示は、前記UEの直面する前記セキュリティリスクのタイプを示すか、または、前記UEの前記セキュリティリスクを解決するためのポリシーやパラメーターを示す。
【0117】
S202:前記第1の指示に従って、前記セキュリティリスクに対して警報を発し、および/またはリスク防御を実行するように、前記UEをトリガーする。
【0118】
本発明の実施形態では、S201~S202の特定の実施プロセスは、実施形態1で詳細に説明されており、したがって、本明細書では繰り返されない。
【0119】
本発明の実施形態では、前記第1の指示は、ネットワークデータ分析機能(NWDAF)エンティティが前記UEの動作情報を分析して前記UEのセキュリティリスクを決定した後に直接送信され、または、ポリシー制御機能(PCF)またはアクセスおよびモビリティ管理機能(AMF)またはセッション管理機能(SMF)がネットワークデータ分析機能(NWDAF)エンティティによる前記UEのセキュリティリスクに対する分析結果を受信した後に送信される。
【0120】
本発明の実施形態では、図6に示すように、ステップS202において、前記第1の指示に従って、前記セキュリティリスクに対して警報を発し、および/またはリスク防御を実行するように、前記UEをトリガーすることは、具体的に、
S301:前記第1の指示に従って、前記UEのアプリケーション層に警告情報を送信し、アプリケーションサーバーに警告情報を送信するように前記アプリケーション層をトリガーする。
S301:前記第1の指示に従って、前記UEのアプリケーション層に警告情報を送信し、アプリケーションサーバーに警告情報を送信するように前記アプリケーション層をトリガーする。
【0121】
S302:光学的/音響的/電気的警報を発し、および/または、UEをロックし、および/または、位置を定期的に報告する。
【0122】
特定の実施プロセスにおいて、S301~S302の特定の実施プロセスは、以下のように示される。
【0123】
最初に、前記第1の指示に従って、前記UEのアプリケーション層に警告情報を送信し、アプリケーションサーバーに警告情報を送信するように前記アプリケーション層をトリガーする。
【0124】
例えば、第1の表示が盗難リスクが「00100」と番号付けされたインテリジェント機器に存在することを示す場合、警告情報は当該インテリジェント機器のアプリケーション層に送信され、「盗難リスクは、「00100」という番号が付けられたインテリジェント機器に存在し、アプリケーションサーバーに存在する」との警報情報をアプリケーションサーバーに送信するように前記アプリケーション層はトリガーされる。次に、警報が相応に発せられ、および/またはリスク防御が相応に実行される。たとえば、「00100」という番号のインテリジェント機器の懐中電灯は、ユーザに警告するために特定の周波数で発光する。さらなる例として、「00100」と番号付けされたインテリジェント機器は、ユーザに警告するために特定の周波数で振動する。さらに別の例として、「00100」の番号が付けられたインテリジェント機器は直接ロックされており、たとえば、共有自転車はロックされており、ユーザはそれを使用できなくなる。また、定期的な位置報告を行うようにUEを制御することもできるため、リアルタイムでモニターがUEの位置を特定することで、UEが盗難される事態を最大限で回避することができる。
【0125】
実施形態3
【0126】
実施形態1と同じ発明思想に基づいて、図7を参照すると、本発明の実施形態は、ネットワークデータ分析機能(NWDAF)エンティティに適用される、UEを管理および制御するための装置をさらに提供する。この装置は、取得ユニット10、決定ユニット20および処理ユニット30を含む。
【0127】
前記取得ユニット10は、前記UE動作情報を取得するように構成される。
【0128】
決定ユニット20は、前記UE動作情報を分析し、前記UEのリスクを決定するように構成される。
【0129】
前記処理ユニット30は、ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、
前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。
前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。
【0130】
本発明の実施形態では、前記第1の指示が前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示す場合、処理ユニット30はさらに、
前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターが前記UEのモビリティ管理パラメーターおよび/またはセッション管理パラメーターを含むことを決定する。
前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターが前記UEのモビリティ管理パラメーターおよび/またはセッション管理パラメーターを含むことを決定する。
【0131】
本発明の実施形態では、前記動作情報は、前記UEの端末タイプ、端末位置、端末モビリティ情報、アプリケーション情報およびUEの宛先アドレスのうちの1つまたは複数を含む。
【0132】
本発明の実施形態では、決定ユニット20は、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが事前設定された固定エリアから出たことを示す場合、盗難セキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが禁止エリアに位置していることを示す場合、不正使用されるセキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEがトラフィック使用において異常であることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが不正なアドレスにアクセスすることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが事前設定された固定エリアから出たことを示す場合、盗難セキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが禁止エリアに位置していることを示す場合、不正使用されるセキュリティリスクが前記UEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEがトラフィック使用において異常であることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定し、または、
前記端末タイプが、前記UEがモノのインターネット(IoT)機器であり、前記UEが不正なアドレスにアクセスすることを示す場合、ハッカーによってハイジャックされるセキュリティリスクがUEに存在すると決定する。
【0133】
本発明の実施形態では、処理ユニット30は、
前記PCFにアクセスおよびモビリティ管理ポリシー、および/または、プロトコルデータユニット(PDU)セッション管理ポリシーを更新するように、ポリシー制御機能(PCF)に前記第1の指示を送信する。
前記PCFにアクセスおよびモビリティ管理ポリシー、および/または、プロトコルデータユニット(PDU)セッション管理ポリシーを更新するように、ポリシー制御機能(PCF)に前記第1の指示を送信する。
【0134】
本発明の実施形態では、処理ユニット30はさらに、
前記PCFが前記第1の指示に従って前記UEのサービス要求を拒否する必要があると決定する場合、前記アクセスおよびモビリティ管理ポリシーで前記UEの禁止エリアとしてすべてのトラッキングエリア(TA)を構成し、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションのデータレートを制限する必要があると決定する場合、前記セッション管理ポリシーでセッションの集約最大ビットレート(AMBR)を調整するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEに対して位置監視または追跡を実行する必要があると決定する場合、位置監視要求を生成するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションを削除する必要があると決定する必要があると決定する場合、PDUセッション終了プロセスを開始するように前記PCFをトリガーする。
前記PCFが前記第1の指示に従って前記UEのサービス要求を拒否する必要があると決定する場合、前記アクセスおよびモビリティ管理ポリシーで前記UEの禁止エリアとしてすべてのトラッキングエリア(TA)を構成し、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションのデータレートを制限する必要があると決定する場合、前記セッション管理ポリシーでセッションの集約最大ビットレート(AMBR)を調整するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEに対して位置監視または追跡を実行する必要があると決定する場合、位置監視要求を生成するように前記PCFをトリガーし、または、
前記PCFが前記第1の指示に従って前記UEの特定のPDUセッションを削除する必要があると決定する必要があると決定する場合、PDUセッション終了プロセスを開始するように前記PCFをトリガーする。
【0135】
本発明の実施形態では、前記処理ユニット30はさらに、
アクセスおよびモビリティ管理機能(AMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記AMFをトリガーし、
前記UEの登録を解除し、
前記UEのセキュリティに対する認証を再度実行し、
前記UEに対して位置監視または追跡を実行し、
前記UEにネットワークサービスの取得を制限する。
アクセスおよびモビリティ管理機能(AMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記AMFをトリガーし、
前記UEの登録を解除し、
前記UEのセキュリティに対する認証を再度実行し、
前記UEに対して位置監視または追跡を実行し、
前記UEにネットワークサービスの取得を制限する。
【0136】
本発明の実施形態では、前記処理ユニット30はさらに、
セッション管理機能(SMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記SMFをトリガーし、
前記UEの特定のPDUセッションのデータレートを制限し、
前記UEの特定のPDUセッションを削除する。
セッション管理機能(SMF)に前記第1の指示を送信し、次の操作の1つまたは組み合わせを実行するように前記SMFをトリガーし、
前記UEの特定のPDUセッションのデータレートを制限し、
前記UEの特定のPDUセッションを削除する。
【0137】
本発明の実施形態では、前記モビリティ管理パラメーターは、モビリティ制限パラメーターまたは定期的な更新タイマー値を含み、前記セッション管理パラメーターはサービス品質(QoS)パラメーターを含む。
【0138】
本発明の実施形態では、前記UEのセキュリティリスクを決定した後、前記装置は、
アプリケーションサーバーに前記UEの前記セキュリティリスクを示す警告情報を送信するように構成された送信ユニットをさらに備える。
アプリケーションサーバーに前記UEの前記セキュリティリスクを示す警告情報を送信するように構成された送信ユニットをさらに備える。
【0139】
実施形態4
【0140】
実施形態1と同じ発明思想に基づいて、図8を参照すると、本発明の実施形態は、前記UEに適用される、端末(UE)におけるセキュリティリスクの存在のための処理装置をさらに提供する。この装置は、受信ユニット40およびトリガーユニット40を含む。
【0141】
前記受信ユニット40は、ネットワークが前記UEのセキュリティリスクを決定したときにネットワークによって送信された第1の指示を受信するように構成され、ここで、前記第1の指示は、前記UEの直面する前記セキュリティリスクのタイプを示すか、または、前記UEの前記セキュリティリスクを解決するためのポリシーやパラメーターを示す。
【0142】
前記トリガーユニット50は、前記第1の指示に従って、前記セキュリティリスクに対して、前記UEをトリガーして、警報を発し、および/またはリスク防御を実行するように構成される。
【0143】
本発明の実施形態では、前記受信ユニット40は、ネットワークデータ分析機能(NWDAF)エンティティが前記UEの動作情報を分析して前記UEのセキュリティリスクを決定した後に直接送信された前記第1の指示を受信し、または、ポリシー制御機能(PCF)またはアクセスおよびモビリティ管理機能(AMF)またはセッション管理機能(SMF)がネットワークデータ分析機能(NWDAF)エンティティによる前記UEのセキュリティリスク分析結果を受信した後に送信した前記第1の指示を、受信する。
【0144】
本発明の実施形態では、前記トリガーユニット50は、
前記第1の指示に従って、前記UEのアプリケーション層に警告情報を送信し、アプリケーションサーバーに警告情報を送信するように前記アプリケーション層をトリガーし、
光学的/音響的/電気的警報を発し、および/または、UEをロックし、および/または、位置を定期的に報告する。
前記第1の指示に従って、前記UEのアプリケーション層に警告情報を送信し、アプリケーションサーバーに警告情報を送信するように前記アプリケーション層をトリガーし、
光学的/音響的/電気的警報を発し、および/または、UEをロックし、および/または、位置を定期的に報告する。
【0145】
実施形態5
【0146】
本発明の実施形態は、コンピュータ装置を提供する。コンピュータ装置の構造は図9に示されるとおりである。特定の実施プロセスにおいて、前記コンピュータ装置は、メモリ60、プロセッサ70、およびメモリ60に格納され、プロセッサ70上で動作可能なコンピュータプログラムを含む。本発明の実施形態1によって提供される方法のステップは、プロセッサ70が前記コンピュータプログラムを実行するときに実施され、本発明の実施形態2によって提供される方法のステップは、プロセッサ70が前記コンピュータプログラムを実行するときに実施される。
【0147】
本発明の実施形態では、プロセッサ70は、具体的には中央処理装置または特定用途向け集積回路(Application Specific Integrated Circuit,ASIC)であり得、プログラム実行を制御するための1つまたは複数の集積回路であり得、フィールドプログラマブルゲートアレイ(Field Programmable Gate Array,FPGA)によって開発されたハードウェア回路であり得る。ベースバンドプロセッサの場合もある。
【0148】
本発明の実施形態では、プロセッサ70は、少なくとも1つの処理コアを含むことができる。
【0149】
本発明の実施形態では、電子機器はメモリ60をさらに含み、メモリ60は、読み取り専用メモリ(Read Only Memory,ROM)、ランダムアクセスメモリ(Random Access Memory,RAM)、および磁気ディスクメモリを含むことができる。メモリ60は、プロセッサ70が動作するときに必要なデータを格納するように構成される。1つまたは複数のメモリ60が提供される。
【0150】
実施形態6
【0151】
本発明の実施形態は、コンピュータプログラムを前記憶するコンピュータ可読前記憶媒体をさらに提供する。前記コンピュータプログラムがプロセッサによって実行されるとき、本発明の実施形態1によって提供される方法のステップが実施される。そして、前記コンピュータプログラムがプロセッサによって実行されるとき、本発明の実施形態2によって提供される方法のステップが実施される。
【0152】
本発明の実施形態では、開示された方法および装置は他の方法で実施できることを理解されたい。たとえば、上前記の機器の実施形態は単に概略的なものであり、たとえば、ユニットの分割は単なる論理機能の分割であり、実際の実施プロセスには他の分割モードがあり、たとえば、複数のユニットまたはコンポーネントを組み合わせたり、別のシステムに統合することもできる。または、一部の機能を無視したり、実行しないこともできる。さらに、表示または議論された相互結合または直接結合または通信接続は、いくつかのインターフェース、機器またはユニットによる間接結合または通信接続であり得、電気モードまたは他のモードであり得る。
【0153】
本発明の実施形態における機能ユニットは、1つの処理ユニットに統合することができ、または各ユニットは、独立した物理モジュールであることもできる。
【0154】
統合されたユニットがソフトウェア機能ユニットの形で実施され、独立した製品として販売および使用されるとき、統合されたユニットは、1つのコンピュータ可読前記憶媒体に格納することができる。そのような理解に基づいて、本発明の実施形態の技術的解決策のすべてまたは一部をソフトウェア製品の形で示すことができ、コンピュータソフトウェア製品は1つの前記憶媒体に格納される。例えばパーソナルコンピュータ、サーバまたはネットワーク機器など、またはプロセッサであり得るコンピュータ機器に、本発明の各実施形態によって提供される方法のステップの全部または一部を実行させるための、複数の命令が含まれる。上前記の前記憶媒体は、ユニバーサルシリアルバスフラッシュドライブ(Universal Serial Bus flash drive,USB)、モバイルハードディスク、ROM(Read-Only Memory)、RAM(Random Access Memory)、磁気ディスクまたはコンパクトディスクなどのプログラムコードを前記憶することができる様々な媒体を含む。
【0155】
本発明の実施形態における上前記の1つまたは複数の技術的解決策は、少なくとも以下のような1つまたは複数の技術的効果を有する。
【0156】
本発明の実施形態の技術的解決策では、UEの動作情報は、ネットワークデータ分析機能(NWDAF)エンティティを通じて取得され、前記動作情報を分析して、前記UEのセキュリティリスクを決定し、ネットワーク内の少なくとも1つのネットワーク機能エンティティに第1の指示を送信し、前記UEに対するポリシー更新またはパラメーター調整を実行するように、前記少なくとも1つのネットワーク機能エンティティをトリガーし、ここで、前記第1の指示は、前記UEの直面するセキュリティリスクのタイプを示し、または、前記UEのセキュリティリスクを解決するためのポリシーまたはパラメーターを示し、および/または、前記UEに第2の指示を送信し、警報を発し、および/またはリスク防御を実行するように前記UEをトリガーし、ここで、前記第2の指示は、前記UEの直面するセキュリティリスクのタイプを示す。言い換えれば、NWDAFエンティティは、端末動作情報を分析して端末のセキュリティリスクを決定し、防御管理を実行することにより、モバイル通信ネットワークシステムの端末管理への管理および制御を強化し、システムのリスクが軽減させる。
【0157】
本分野の技術者として、本発明の実施形態が、方法、システム或いはコンピュータプログラム製品を提供できるため、本発明は完全なハードウェア実施形態、完全なソフトウェア実施形態、またはソフトウェアとハードウェアの両方を結合した実施形態を採用できることがわかるはずである。さらに、本発明は、一つ或いは複数のコンピュータプログラム製品の形式を採用できる。当該製品はコンピュータ使用可能なプログラムコードを含むコンピュータ使用可能な前記憶媒体(ディスク前記憶装置、CD-ROM、光学前記憶装置等を含むがそれとは限らない)において実施する。
【0158】
以上は本発明の実施形態の方法、装置(システム)、およびコンピュータプログラム製品のフロー図および/またはブロック図によって、本発明を前記述した。理解すべきことは、コンピュータプログラム指令によって、フロー図および/またはブロック図における各フローおよび/またはブロックと、フロー図および/またはブロック図におけるフローおよび/またはブロックの結合を実現できる。プロセッサはこれらのコンピュータプログラム指令を、汎用コンピュータ、専用コンピュータ、組込み式処理装置、或いは他のプログラム可能なデータ処理装置設備の処理装置器に提供でき、コンピュータ或いは他のプログラム可能なデータ処理装置のプロセッサは、これらのコンピュータプログラム指令を実行し、フロー図における一つ或いは複数のフローおよび/またはブロック図における一つ或いは複数のブロックに指定する機能を実現する。
【0159】
これらのコンピュータプログラム指令は又、また、コンピュータ或いは他のプログラム可能なデータ処理装置を特定方式で動作させるコンピュータ読取前記憶装置に前記憶できる。これによって、指令を含む装置は当該コンピュータ読取前記憶装置内の指令を実行でき、フロー図における一つ或いは複数のフローおよび/またはブロック図における一つ或いは複数のブロックに指定する機能を実現する。
【0160】
これらコンピュータプログラム指令はさらに、コンピュータ或いは他のプログラム可能なデータ処理装置設備に実施もできる。コンピュータプログラム指令が実施されたコンピュータ或いは他のプログラム可能設備は、一連の操作ステップを実行することによって、関連の処理を実現し、コンピュータ或いは他のプログラム可能な設備において実行される指令によって、フロー図における一つ或いは複数のフローおよび/またはブロック図における一つ或いは複数のブロックに指定する機能を実現する。
【0161】
上述した実施形態に前記述された技術的な解決手段を改造し、或いはその中の一部の技術要素を置換することもできる。そのような、改造と置換は本発明の各実施形態の技術の範囲から逸脱するとは見なされない。
【0162】
無論、当業者によって、上述した実施形態に前記述された技術的な解決手段を改造し、或いはその中の一部の技術要素を置換することもできる。そのような、改造と置換は本発明の各実施形態の技術の範囲から逸脱するとは見なされない。そのような改造と置換は、すべて本発明の請求の範囲に属する。
【符号の説明】
【0163】
10 取得ユニット
20 決定ユニット
30 処理ユニット
40 受信ユニット
50 トリガーユニット
60 メモリ
70 プロセッサ
20 決定ユニット
30 処理ユニット
40 受信ユニット
50 トリガーユニット
60 メモリ
70 プロセッサ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】