知財求人 - 知財ポータルサイト「IP Force」
▶ オラクル・インターナショナル・コーポレイションの特許一覧
特許7546778加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-08-29
(45)【発行日】2024-09-06
(54)【発明の名称】加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体
(51)【国際特許分類】
H04W 12/02 20090101AFI20240830BHJP
H04W 12/06 20210101ALI20240830BHJP
H04W 12/72 20210101ALI20240830BHJP
H04W 12/75 20210101ALI20240830BHJP
H04W 92/24 20090101ALI20240830BHJP
【FI】
H04W12/02
H04W12/06
H04W12/72
H04W12/75
H04W92/24
【請求項の数】
20
(21)【出願番号】P 2023541627
(86)(22)【出願日】2021-12-17
(65)【公表番号】
(43)【公表日】2024-01-22
(86)【国際出願番号】 US2021064102
(87)【国際公開番号】W WO2022150176
(87)【国際公開日】2022-07-14
【審査請求日】2023-09-21
(31)【優先権主張番号】17/145,143
(32)【優先日】2021-01-08
(33)【優先権主張国・地域又は機関】US
(73)【特許権者】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】ラジプット,ジャイ
(72)【発明者】
【氏名】マハランク,シャシキラン・バラチャンドラ
(72)【発明者】
【氏名】ワドワ,プラティーク
(72)【発明者】
【氏名】グランディ,ベンカタ・スリバツァ
【審査官】本橋 史帆
(56)【参考文献】
【文献】米国特許出願公開第2019/0260803(US,A1)
【文献】米国特許出願公開第2020/0036754(US,A1)
【文献】米国特許第10834571(US,B1)
【文献】Nokia,Adding normative text on SEPP to the security architecture section[online],3GPP TSG SA WG3 #90Bis S3-180675,Internet<URL:https://www.3gpp.org/ftp/tsg_sa/WG3_Security/TSGS3_90Bis_SanDiego/Docs/S3-180675.zip>,2018年02月19日
(58)【調査した分野】(Int.Cl.,DB名)
H04B 7/24- 7/26
H04W 4/00-99/00
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
電気通信ネットワークから加入者識別子の漏洩を防止する方法であって、前記方法は、セキュリティエッジプロテクションプロキシ(SEPP)が、訪問者ネットワークの加入者を認証するための認証応答メッセージを受信することを含み、前記認証応答メッセージは、ホームネットワーク内で前記加入者を識別するために使用されているホーム加入者識別子を含み、前記方法は、
前記SEPPが、前記認証応答メッセージ内の前記ホーム加入者識別子を訪問者加入者識別子に置換することと、
前記SEPPが、前記訪問者加入者識別子を含む認証応答メッセージを訪問者ネットワークに転送することとを含む、方法。
【請求項2】
前記方法は、前記訪問者ネットワークから、要求メッセージを受信することを含み、前記要求メッセージは、前記訪問者加入者識別子を含み、前記方法は、
前記要求メッセージ内の前記訪問者加入者識別子を前記ホーム加入者識別子に置換することと、
前記ホーム加入者識別子を含む前記要求メッセージを前記ホームネットワーク内の宛先ノードに転送することとを含む、請求項1に記載の方法。
【請求項3】
前記方法は、前記ホームネットワーク内の前記宛先ノードから、応答メッセージを受信することを含み、前記応答メッセージは、前記ホーム加入者識別子を含み、前記方法は、
前記応答メッセージ内の前記ホーム加入者識別子を前記訪問者加入者識別子に置換することと、
前記訪問者加入者識別子を含む前記応答メッセージを前記訪問者ネットワークに転送することとを含む、請求項2に記載の方法。
【請求項4】
加入者識別子のマッピングにおいて、前記訪問者加入者識別子と前記ホーム加入者識別子との間の関連付けを作成することを含む、請求項1~3のいずれか一項に記載の方法。
【請求項5】
前記加入者識別子のマッピングにアクセスすることと、
前記ホーム加入者識別子を見つけるために、前記マッピングにおいて前記訪問者加入者識別子を検索することと、
要求メッセージ内の前記訪問者加入者識別子を前記ホーム加入者識別子に置換することとによって、
前記訪問者ネットワークからの前記訪問者加入者識別子を含む当該要求メッセージを転送することを含む、請求項4に記載の方法。
【請求項6】
前記加入者識別子のマッピングにアクセスすることと、前記訪問者加入者識別子を見つけるために、前記マッピングにおいて前記ホーム加入者識別子を検索することと、
応答メッセージ内の前記ホーム加入者識別子を前記訪問者加入者識別子に置換することとによって、
前記ホームネットワーク内のノードからの前記訪問者加入者識別子を含む当該応答メッセージを転送することを含む、請求項4に記載の方法。
【請求項7】
前記ホームネットワークは、5Gネットワークであり、前記ホーム加入者識別子は、加入者永続識別子(SUPI)である、請求項1~6のいずれか一項に記載の方法。
【請求項8】
前記訪問者加入者識別子を含む前記認証応答メッセージを前記訪問者ネットワークに転送することは、前記認証応答メッセージを前記訪問者ネットワークの訪問者SEPPに転送することを含む、請求項7に記載の方法。
【請求項9】
前記認証応答メッセージを受信することは、認証サービス機能(AUSF)を介して、統合データ管理(UDM)ノードから前記認証応答メッセージを受信することを含む、請求項7または請求項8に記載の方法。
【請求項10】
前記認証応答メッセージは、前記加入者が前記訪問者ネットワーク上でローミングすることを許可する、請求項7から9のいずれか一項に記載の方法。
【請求項11】
電気通信ネットワークから加入者識別子の漏洩を防止するためのシステムであって、前記システムは、少なくとも1つのプロセッサおよびメモリを含むセキュリティエッジプロテクションプロキシ(SEPP)と、
前記少なくとも1つのプロセッサによって実装され、以下のように構成された加入者識別子置換器とを備え、
前記加入者識別子置換器は、
訪問者ネットワークの加入者を認証するための認証応答メッセージを受信するように構成され、前記認証応答メッセージは、ホームネットワーク内で前記加入者を識別するために使用されているホーム加入者識別子を含み、
前記加入者識別子置換器は、
前記認証応答メッセージ内の前記ホーム加入者識別子を訪問者加入者識別子に置換し、
前記訪問者加入者識別子を含む認証応答メッセージを訪問者ネットワークに転送するように構成されている、システム。
【請求項12】
前記加入者識別子置換器は、前記訪問者ネットワークから、要求メッセージを受信するように構成され、前記要求メッセージは、前記訪問者加入者識別子を含み、
前記加入者識別子置換器は、
前記要求メッセージ内の前記訪問者加入者識別子を前記ホーム加入者識別子に置換し、
前記ホーム加入者識別子を含む前記要求メッセージを前記ホームネットワーク内の宛先ノードに転送するように構成されている、請求項11に記載のシステム。
【請求項13】
前記加入者識別子置換器は、前記ホームネットワーク内の前記宛先ノードから、応答メッセージを受信するように構成され、前記応答メッセージは、前記ホーム加入者識別子を含み、
前記加入者識別子置換器は、
前記応答メッセージ内の前記ホーム加入者識別子を前記訪問者加入者識別子に置換し、
前記訪問者加入者識別子を含む前記応答メッセージを前記訪問者ネットワークに転送するように構成されている、請求項12に記載のシステム。
【請求項14】
前記加入者識別子置換器は、加入者識別子のマッピングにおいて、前記訪問者加入者識別子と前記ホーム加入者識別子との間の関連付けを作成するように構成されている、請求項11から13のいずれか一項に記載のシステム。
【請求項15】
前記加入者識別子置換器は、
前記加入者識別子のマッピングにアクセスすることと、
前記ホーム加入者識別子を見つけるために、前記マッピングにおいて前記訪問者加入者識別子を検索することと、
要求メッセージ内の前記訪問者加入者識別子を前記ホーム加入者識別子に置換することとによって、
前記訪問者ネットワークからの前記訪問者加入者識別子を含む当該要求メッセージを転送するように構成されている、請求項14に記載のシステム。
【請求項16】
前記加入者識別子置換器は、
前記加入者識別子のマッピングにアクセスすることと、
前記訪問者加入者識別子を見つけるために、前記マッピングにおいて前記ホーム加入者識別子を検索することと、
応答メッセージ内の前記ホーム加入者識別子を前記訪問者加入者識別子に置換することによって、
前記ホームネットワーク内のノードからの前記訪問者加入者識別子を含む当該応答メッセージを転送するように構成されている、請求項14に記載のシステム。
【請求項17】
前記ホームネットワークは、5Gネットワークであり、前記ホーム加入者識別子は、加入者永続識別子(SUPI)である、請求項11から16のいずれか一項に記載のシステム。
【請求項18】
前記訪問者加入者識別子を含む前記認証応答メッセージを前記訪問者ネットワークに転送することは、前記認証応答メッセージを前記訪問者ネットワークの訪問者SEPPに転送することを含む、請求項17に記載のシステム。
【請求項19】
前記認証応答メッセージを受信することは、認証サービス機能(AUSF)を介して、統合データ管理(UDM)ノードから前記認証応答メッセージを受信することを含む、請求項17または請求項18に記載のシステム。
【請求項20】
請求項1~10のいずれかに記載の方法をプロセッサに実行させるためのプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
優先権主張
本願は、2021年1月8日に提出された米国特許出願第17/145143号の優先権利益を主張する。その開示の全体は、参照により本明細書に組み込まれる。
本願は、2021年1月8日に提出された米国特許出願第17/145143号の優先権利益を主張する。その開示の全体は、参照により本明細書に組み込まれる。
【0002】
技術分野
本明細書に記載された主題は、加入者識別子の漏洩を防止することに関する。より具体的には、本明細書に記載された主題は、5G電気通信ネットワークにおいて加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体に関する。
本明細書に記載された主題は、加入者識別子の漏洩を防止することに関する。より具体的には、本明細書に記載された主題は、5G電気通信ネットワークにおいて加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体に関する。
【背景技術】
【0003】
背景
第3世代パートナーシッププロジェクト(3GPP(登録商標))は、電気通信標準化団体のグループ間の共同作業である。3GPPは、3Gネットワーク、4Gネットワーク、およびロングタームエボリューション(LTE)ネットワークを含む電気通信ネットワークの携帯電話システムの仕様を定義する。
第3世代パートナーシッププロジェクト(3GPP(登録商標))は、電気通信標準化団体のグループ間の共同作業である。3GPPは、3Gネットワーク、4Gネットワーク、およびロングタームエボリューション(LTE)ネットワークを含む電気通信ネットワークの携帯電話システムの仕様を定義する。
【0004】
3GPPの次世代ネットワークは、5Gネットワークである。5Gの仕様は、データレートの向上、遅延の低減、エネルギーの節約、コストの削減、システム容量の拡大、および接続装置数の増加を目標としている。
【0005】
5Gシステムアーキテクチャは、公衆陸上移動ネットワーク(PLMN)の周囲に配置されるエンティティとして、セキュリティエッジプロテクションプロキシ(SEPP)を導入する。SEPPは、異なるネットワーク間のインターフェイスを介して送信されるメッセージを保護することができる。SEPPは、以下のようなノード、すなわち、N32インターフェイスでネットワーク機能から全てのサービスレイヤメッセージを受信し、ネットワークから送信する前にこれらのサービス層メッセージを保護すると共に、N32インターフェイスで全てのメッセージを受信し、(セキュリティが存在する場合)セキュリティを検証した後これらのメッセージを適切なネットワーク機能に転送するノードとして構成することができる。
【0006】
SEPPは、2つの異なるPLMNに跨る2つのNF間で交換された全てのサービス層情報に対してアプリケーション層セキュリティを実装する。
【0007】
5Gシステムアーキテクチャは、加入者の加入者永続識別子(SUPI:subscriber permanent identifier)を含む。SUPIは、5Gシステムの各加入者に割り当てられた全体的に一意な識別子である。5Gは、SUPIを秘密に維持し、ユーザ機器(UE:user equipment)およびネットワークのみに識別されるようにするために、加入隠蔽識別子(SUCI:subscription concealed identifier)のような概念を導入している。
【発明の概要】
【発明が解決しようとする課題】
【0008】
ローミングシナリオ中に、5Gサービスベースのインターフェイス(SBI)サービスにアクセスするために、SUPIを訪問者ネットワーク(visitor network)と共有する必要がある。しかしながら、SUPIを訪問者ネットワークと共有すると、SUPIが漏洩する可能性がある。訪問者ネットワークのセキュリティが侵入され易いため、SUPIは、訪問者ネットワークから漏洩する可能性がある。例えば、訪問者アクセスおよびモビリティ管理機能(AMF)は、侵入され易く、データを漏洩する可能性がある。訪問者ネットワークから漏洩したデータは、数日から数カ月の間に公開されない可能性があるが、漏洩したSUPIは、漏洩が分かった時点で、既にダークウェブで売られている可能性がある。
【0009】
これらの問題および他の問題に照らして、加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体が必要とされている。
【課題を解決するための手段】
【0010】
概要
電気通信ネットワークから加入者識別子の漏洩を防止するための方法は、セキュリティエッジプロテクションプロキシ(SEPP)が、訪問者ネットワークの加入者を認証するための認証応答メッセージを受信することを含み、認証応答メッセージは、ホームネットワーク内で加入者を識別するために使用されているホーム加入者識別子を含む。方法は、SEPPが、認証応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換することをさらに含む。方法は、SEPPが、訪問者加入者識別子を含む認証応答メッセージを訪問者ネットワークに転送することをさらに含む。
電気通信ネットワークから加入者識別子の漏洩を防止するための方法は、セキュリティエッジプロテクションプロキシ(SEPP)が、訪問者ネットワークの加入者を認証するための認証応答メッセージを受信することを含み、認証応答メッセージは、ホームネットワーク内で加入者を識別するために使用されているホーム加入者識別子を含む。方法は、SEPPが、認証応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換することをさらに含む。方法は、SEPPが、訪問者加入者識別子を含む認証応答メッセージを訪問者ネットワークに転送することをさらに含む。
【0011】
本明細書に記載された主題の別の態様によれば、方法は、訪問者ネットワークから、要求メッセージを受信することを含み、要求メッセージは、訪問者加入者識別子を含み、当該方法は、要求メッセージ内の訪問者加入者識別子をホーム加入者識別子に置換することと、ホーム加入者識別子を含む要求メッセージをホームネットワーク内の宛先ノードに転送することとを含む。
【0012】
本明細書に記載された主題の別の態様によれば、方法は、ホームネットワーク内の宛先ノードから、応答メッセージを受信することを含み、応答メッセージは、ホーム加入者識別子を含み、当該方法は、応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換することと、訪問者加入者識別子を含む応答メッセージを訪問者ネットワークに転送することとを含む。
【0013】
本明細書に記載の主題の別の態様によれば、方法は、加入者識別子マッピングにおいて、訪問者加入者識別子とホーム加入者識別子との間の関連付けを作成することを含む。
【0014】
本明細書に記載の主題の別の態様によれば、方法は、加入者識別子マッピングにアクセスし、マッピングにおいて訪問者加入者識別子を検索することによってホーム加入者識別子を見つけ、要求メッセージ 内の訪問者加入者識別子をホーム加入者識別子に置換することによって、訪問者ネットワークからの訪問者加入者識別子を含む要求メッセージを転送することを含む。
【0015】
本明細書に記載された主題の別の態様によれば、方法は、加入者識別子マッピングにアクセスし、マッピングにおいてホーム加入者識別子を検索することによって訪問者加入者識別子を見つけ、応答メッセージ 内のホーム加入者識別子を訪問者加入者識別子に置換することによって、ホームネットワーク内のノードからの訪問者加入者識別子を含む応答メッセージを転送することを含む。
【0016】
本明細書に記載の主題の別の態様によれば、ホームネットワークは、5Gネットワークであり、ホーム加入者識別子は、加入者永続識別子(SUPI)である。
【0017】
本明細書に記載の主題の別の態様によれば、訪問者加入者識別子と共に認証応答メッセージを訪問者ネットワークに転送することは、認証応答メッセージを訪問者ネットワークの訪問者SEPPに転送することを含む。
【0018】
本明細書に記載された主題の別の態様によれば、認証応答メッセージを受信することは、認証サービス機能(AUSF:authentication service function)を介して、統合データ管理(UDM:unified data management)ノードから認証応答メッセージを受信することを含む。
【0019】
本明細書に記載された主題の別の態様によれば、認証応答メッセージは、加入者が訪問者ネットワーク上でローミングすることを許可する。
【0020】
本明細書に記載された主題の別の態様によれば、電気通信ネットワークから加入者識別子の漏洩を防止するためのシステムは、少なくとも1つのプロセッサとメモリとを含むセキュリティエッジプロテクションプロキシ(SEPP)を含む。システムは、少なくとも1つのプロセッサによって実装され、訪問者ネットワークの加入者を認証するための認証応答メッセージを受信するように構成された加入者識別子置換器をさらに含み、認証応答メッセージは、ホームネットワーク内で加入者を識別するために使用されているホーム加入者識別子を含む。加入者識別子置換器は、認証応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換し、訪問者加入者識別子を含む認証応答メッセージを訪問者ネットワークに転送するように構成されている。
【0021】
本明細書に記載の主題の別の態様によれば、加入者識別子置換器は、訪問者ネットワークから、要求メッセージを受信するように構成され、要求メッセージは、訪問者加入者識別子を含む。加入者識別子置換器は、要求メッセージ内の訪問者加入者識別子をホーム加入者識別子に置換し、ホーム加入者識別子を含む要求メッセージをホームネットワーク内の宛先ノードに転送するように構成されている。
【0022】
本明細書に記載の主題の別の態様によれば、加入者識別子置換器は、ホームネットワーク内の宛先ノードから、応答メッセージを受信するように構成され、応答メッセージは、ホーム加入者識別子を含む。加入者識別子置換器は、応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換し、訪問者加入者識別子を含む応答メッセージを訪問者ネットワークに転送するように構成されている。
【0023】
本明細書に記載の主題の別の態様によれば、加入者識別子置換器は、加入者識別子マッピングにおいて、訪問者加入者識別子とホーム加入者識別子との間の関連付けを作成するように構成されている。
【0024】
本明細書に記載された主題の別の態様によれば、加入者識別子置換器は、加入者識別子マッピングにアクセスし、マッピングにおいて訪問者加入者識別子を検索することによってホーム加入者識別子を見つけ、要求メッセージ内の訪問者加入者識別子をホーム加入者識別子に置換することによって、訪問者ネットワークからの訪問者加入者識別子を含む要求メッセージを転送するように構成されている。
【0025】
本明細書に記載された主題の別の態様によれば、加入者識別子置換器は、加入者識別子マッピングにアクセスし、マッピングにおいてホーム加入者識別子を検索することによって訪問者加入者識別子を見つけ、応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換することによって、ホームネットワーク内のノードからの訪問者加入者識別子を含む応答メッセージを転送するように構成されている。
【0026】
本明細書に記載の主題の別の態様によれば、ホームネットワークは、5Gネットワークであり、ホーム加入者識別子は、加入者永続識別子(SUPI)である。
【0027】
本明細書に記載の主題の別の態様によれば、訪問者加入者識別子と共に認証応答メッセージを訪問者ネットワークに転送することは、認証応答メッセージを訪問者ネットワークの訪問者SEPPに転送することを含む。
【0028】
本明細書に記載された主題の別の態様によれば、認証応答メッセージを受信することは、認証サービス機能(AUSF)を介して、統合データ管理(UDM)ノードから認証応答メッセージを受信することを含む。
【0029】
本明細書に記載された主題の別の態様によれば、認証応答メッセージは、加入者が訪問者ネットワーク上でローミングすることを許可する。
【0030】
本明細書に記載の主題の別の態様によれば、コンピュータのプロセッサによって実行されると、複数のステップを実行するようにコンピュータを制御する実行可能な命令を記憶する非一時的なコンピュータ可読媒体が提供される。当該複数のステップは、セキュリティエッジプロテクションプロキシ(SEPP)が、訪問者ネットワークの加入者を認証するための認証応答メッセージを受信することを含み、認証応答メッセージは、ホームネットワーク内で加入者を識別するために使用されているホーム加入者識別子を含む。当該複数のステップは、SEPPが、認証応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換することと、SEPPが、訪問者加入者識別子を含む認証応答メッセージを訪問者ネットワークに転送することとを含む。
【0031】
本明細書に記載された主題は、ソフトウェアとハードウェアおよび/またはファームウェアとの組み合わせで実装されてもよい。例えば、本明細書に記載された主題は、プロセッサによって実行されるソフトウェアで実装されてもよい。1つの例示的な実装形態において、本明細書に記載された主題は、コンピュータのプロセッサによって実行されると複数のステップを実行するようにコンピュータを制御するコンピュータ実行可能な命令を記憶するコンピュータ可読媒体を用いて実装されてもよい。
【0032】
本明細書に記載された主題を実装するのに適した例示的なコンピュータ可読媒体は、ディスクメモリ装置、チップメモリ装置、プログラマブル論理装置、および特定用途向け集積回路などの非一時的な装置を含む。さらに、本明細書に記載された主題を実装するコンピュータ可読媒体は、1つの装置またはコンピューティングプラットフォーム上に配置されてもよく、複数の装置またはコンピューティングプラットフォームに分散されてもよい。
【0033】
添付の図面を参照して、本明細書に記載された主題を説明する。
【図面の簡単な説明】
【0034】
【図1】例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。
【図2】例示的なSEPPを示すブロック図である。
【図3】ローミングシナリオ中に訪問者ネットワークからのUEを認証するために交換されたメッセージを示すメッセージ流れ図である。
【図4】ローミングシナリオ中に訪問者ネットワークからのUEの追加のサービスを保護するために交換されたメッセージを示すメッセージ流れ図である。
【図5】電気通信ネットワークから加入者識別子の漏洩を防止するための例示的な方法を示す流れ図である。
【発明を実施するための形態】
【0035】
詳細な説明
本明細書に記載された主題は、電気通信ネットワークから加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体に関する。
本明細書に記載された主題は、電気通信ネットワークから加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体に関する。
【0036】
5G電気通信ネットワークにおいて、サービスを提供するネットワークノードは、プロデューサ(producer)ネットワーク機能(NF)と呼ばれている。サービスを消費するネットワークノードは、コンシューマ(consumer)NFと呼ばれている。ネットワーク機能は、それがサービスを消費しているかまたは提供しているかに応じて、プロデューサNFおよびコンシューマNFの両方であり得る。
【0037】
特定のプロデューサNFは、多くのサービスエンドポイントを有することができる。サービスエンドポイントは、プロデューサNFによってホストされている1つ以上のNFインスタンスの接点である。サービスエンドポイントは、インターネットプロトコル(IP)アドレスおよびポート番号の組み合わせ、またはプロデューサNFをホストするネットワークノードのIPアドレスおよびポート番号に分解した完全修飾ドメイン名によって識別されている。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。特定のプロデューサNFは、複数のNFインスタンスを含み得る。なお、複数のNFインスタンスは、同じサービスエンドポイントを共有することもできる。
【0038】
プロデューサNFは、ネットワーク機能リポジトリ機能(NRF)に登録する。NRFは、各NFインスタンスによってサポートされているサービスを識別するための利用可能なNFインスタンスのサービスプロファイルを保持する。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するように加入することができる。
【0039】
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するように加入することができる別のタイプのネットワークノードは、サービス通信プロキシ(SCP)である。SCPは、NRFに加入し、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシは、必要なサービスを提供するプロデューサNFサービスインスタンスの間でトラフィックを負荷分散するか、またはトラフィックを宛先のプロデューサNFインスタンスに直接にルーティングする。
【0040】
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする一組の中間プロキシノードまたはネットワークノードの他の例は、セキュリティエッジプロテクションプロキシ(SEPP)、サービスゲートウェイ、および5Gサービスメッシュのノードを含む。SEPPは、異なる5G公衆陸上移動体ネットワーク(PLMN)の間に交換される制御プレーントラフィックを保護するために使用されているネットワークノードである。したがって、SEPPは、全てのアプリケーションプログラミングインターフェイス(API)メッセージに対して、メッセージフィルタリング、ポリシング、およびトポロジ隠蔽を実行する。
【0041】
5Gシステムアーキテクチャは、加入者の加入者永続識別子(SUPI)を含む。SUPIは、5Gシステムの各加入者に割り当てられたグローバルに一意な識別子である。5Gは、SUPIを秘密に維持し、ユーザ機器(UE)およびネットワークのみに識別されるようにするために、加入隠蔽識別子(SUCI)のような概念を導入している。
【0042】
ローミングシナリオ中に、5Gサービスベースのインターフェイス(SBI)サービスにアクセスするために、SUPIを訪問者ネットワーク(visitor network)と共有する必要がある。ローミングとは、携帯電話加入者がホームネットワークの地理的なサービスエリアの外部に移動しているときに、訪問者ネットワークを利用して、音声通話を自動的に発信および受信し、データを送信および受信し、ホームデータサービスを含む他のサービスにアクセスする能力を意味する。例えば、加入者が携帯電話会社の送信範囲を越えて移動する場合、加入者の携帯電話は、利用可能な別の電話会社のサービスに自動的にホップする。
【0043】
「ホームネットワーク」とは、加入者が登録しているネットワークを指す。「訪問者ネットワーク」は、加入者が一時的にローミングし、「ホームネットワーク」の範囲外にあるネットワークを指す。
【0044】
しかしながら、SUPIを訪問者ネットワークと共有すると、SUPIが漏洩する可能性がある。訪問者ネットワークのセキュリティが侵入され易いため、SUPIは、訪問者ネットワークから漏洩する可能性がある。例えば、訪問者アクセスおよびモビリティ管理機能(AMF)は、侵入され易く、データを漏洩する可能性がある。訪問者ネットワークから漏洩したデータは、数日から数カ月の間に公開されない可能性があるが、漏洩したSUPIは、漏洩が分かった時点で、既にダークウェブで売られている可能性がある。
【0045】
第3世代パートナーシッププロジェクト(3GPP(登録商標))技術仕様33.501は、5G認証プロシージャおよび他のセキュリティプロシージャを定義する。セキュリティアンカ機能(SEAF:security anchor function)は、SEAFのポリシに従って、UEとのシグナリング接続を確立する任意のプロシージャ中にUEとの認証を開始することができる。
【0046】
UEは、登録要求中のSUCIまたは5G-GUTIを使用することができる。SEAFは、認証を開始したいときに、Nausf_UE認証_確認要求メッセージをAUSFに送信することによって、Nausf_UE認証サービスを呼び出す。SEAFは、有効な5G-GUTIを持ち、UEを再認証する場合、SUPIをNausf_UE認証_確認要求メッセージに入れる。そうでない場合、SUCIをNausf_UE認証_確認要求に入れる。
【0047】
Nausf_UE認証_確認要求メッセージを受信すると、AUSFは、サービングネットワーク名を期待されるサービングネットワーク名と比較することによって、サービングネットワークにおいて要求しているSEAFがNausf_UE認証_確認要求内のサービングネットワーク名を使用する権利があることを確認する。AUSFは、受信したサービングネットワーク名を一時的に記憶する。サービングネットワークがサービングネットワーク名を使用することを許可されていない場合、AUSFは、Nausf_UE認証_確認応答において「サービングネットワークが許可されていない」で応答する。
【0048】
5G AKAは、訪問先ネットワークからのUEの認証成功の証明をホームネットワークに提供することによって、認証プロシージャを強化する。この証明は、認証確認メッセージに含めて、訪問先ネットワークによって送信される。5G AKAの認証プロシージャは、3GPP TS33.501に記載されているように機能する。SUPIは、Nausf_UE認証応答に含めて返される。次いで、訪問者PLMN NFコンシューマは、SBIサービスアクセス要求において、同じSUPIを異なるメッセージに使用する。
【0049】
表1は、訪問者PLMNからホームPLMNへのPLMN間メッセージを示す。
【0050】
【表1】
【0051】
3GPP TS33.501に記載されているように、認証プロシージャにおいてホームSUPIを提供する代わりに、SEPPは、認証応答中の擬似SUPI(または訪問者SUPI)を返すことができる。訪問者SUPIは、訪問者ネットワークによって、サービスアクセス要求の異なるメッセージに使用されてもよい。
【0052】
この解決策は、いくつかの利点、すなわち、
・SUPIの漏洩を防止し、さらなる攻撃を回避すること、
・SEPPでの実装が容易であること、および、
・複数のインターフェイス(nudm-sdm、nudm-uecm、npcf-ueポリシ、nsmf-pduセッション)に適用可能であること、
のうち、1つ以上を提供することができる。
・SUPIの漏洩を防止し、さらなる攻撃を回避すること、
・SEPPでの実装が容易であること、および、
・複数のインターフェイス(nudm-sdm、nudm-uecm、npcf-ueポリシ、nsmf-pduセッション)に適用可能であること、
のうち、1つ以上を提供することができる。
【0053】
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動ネットワーク(HPLMN)に配置され得るNRF100とSCP101とを含む。NRF100は、利用可能なプロデューサNFサービスインスタンスおよびサポートされているサービスのプロファイルを保持し、コンシューマNFまたはSCPが新しい/更新されたプロデューサNFサービスインスタンスの登録に加入し、その登録を通知されることを可能にすることができる。
【0054】
また、SCP101は、プロデューサNFインスタンスのサービス発見および選択をサポートすることができる。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行することができる。さらに、SCP101は、本明細書に記載された方法を用いて、好ましいNF場所に基づいた選択およびルーティングを行うことができる。
【0055】
NRF100は、プロデューサNFインスタンスのNFまたはサービスプロファイルのリポジトリである。コンシューマNFまたはSCPは、プロデューサNFインスタンスと通信するために、NRF100から、NFもしくはサービスプロファイルまたはプロデューサNFインスタンスを取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標)技術仕様書(TS)29.510に定義されているJavaScript(登録商標)オブジェクト表記法(JSON)データ構造である。
【0056】
図1において、(NRF100以外の)任意のノードは、サービスを要求しているかまたは提供しているかに応じて、コンシューマNFまたはプロデューサNFのいずれかであってもよい。図示の例において、ノードは、ネットワークにおいてポリシーに関連する動作を実行するポリシー制御機能(PCF)102と、ユーザデータを管理するユーザデータ管理(UDM)機能104と、アプリケーションサービスを提供するアプリケーション機能(AF)106とを含む。
【0057】
図1に示されたノードは、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(SMF)108をさらに含む。AMF110は、モビリティ管理エンティティ(MME)が4Gネットワークにおいて実行している動作と同様のモビリティ管理動作を実行する。認証サーバ機能(AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114などのユーザ機器の認証サービスを実行する。
【0058】
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスに関連する特定のネットワーク能力および特性にアクセスしようとする装置に、ネットワークスライスサービスを提供する。ネットワーク露出機能(NEF)118は、ネットワークに接続されたIoT(Internet of things)装置および他のUEに関する情報を取得しようとするアプリケーション機能に対して、アプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークのサービス能力露出機能(SCEF)と同様の機能を実行する。
【0059】
無線アクセスネットワーク(RAN)120は、無線リンクを介して、ユーザ機器(UE)114をネットワークに接続する。g-Node B(gNB)(図1に図示せず)または他の無線アクセスポイントを用いて、無線アクセスネットワーク120にアクセスすることができる。ユーザプレーン機能(UPF)122は、ユーザプレーンサービスの様々なプロキシ機能をサポートすることができる。このようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(MPTCP)プロキシ機能である。
【0060】
また、UPF122は、性能測定機能をサポートすることができる。UE114は、性能測定機能を用いて、ネットワーク性能測定値を取得することができる。また、図1は、データネットワーク(DN)124を示しており、UEは、DN124を介して、インターネットサービスなどのデータネットワークサービスを利用する。
【0061】
SEPP126は、別のPLMNから着信するトラフィックをフィルタリングし、ホームPLMNから発信するトラフィックのトポロジ隠蔽を実行する。SEPP126は、外部PLMNに配置され、外部PLMNのセキュリティを管理するためのSEPPと通信することができる。したがって、異なるPLMNに配置されたNF間のトラフィックは、ホームPLMN用および外部PLMN用の2つのSEPP機能をトラバースすることができる。
【0062】
SEPP126は、訪問者ネットワークの加入者を認証するための認証応答メッセージを受信するように構成されている。認証応答メッセージは、ホームネットワーク内で加入者を識別するために使用されているホーム加入者識別子を含む。また、SEPP126は、認証応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換するように構成されてもよい。さらに、SEPP126は、訪問者加入者識別子を含む認証応答メッセージを訪問者ネットワークに転送するように構成されてもよい。
【0063】
図2は、例示的なSEPP126を示すブロック図である。SEP126は、少なくとも1つのプロセッサ202と、メモリ204とを含む。SEPP126は、少なくとも1つのプロセッサ202によって実行される加入者識別子置換器206を含む。
【0064】
加入者識別子置換器206は、識別子生成器208と、識別子マッピング器210とを含む。識別子生成器208は、訪問者ネットワークに提供するための訪問者SUPIを生成するように構成されている。例えば、識別子生成器208は、固有の加入者識別子を生成する任意の適切な方法を用いて、ホームネットワーク上で使用されている加入者識別子とは異なる新しい固有の加入者識別子を加入者のために生成することができる。
【0065】
識別子マッピング器210は、ホームSUPIと訪問者SUPIとの間のマッピングデータベース212に、訪問者SUIPとホームネットワーク上で使用されるホーム(実際のまたは本当の)SUPIとの間の関連付けを作成するように構成されている。本明細書は、SUPIを用いて動作するものとしてSEPP126を説明するが、一般的に、SEPP126は、ホームネットワーク内で使用され、訪問者ネットワークに送信される任意の種類の加入者識別子を使用することができる。
【0066】
加入者識別子置換器206は、
・訪問者ネットワークから、訪問者加入者識別子を含む要求メッセージを受信し、
・要求メッセージ内の訪問者加入者識別子をホーム加入者識別子に置換し、
・ホーム加入者識別子を含む要求メッセージをホームネットワーク内の宛先ノードに転送する、ように構成されている。
・訪問者ネットワークから、訪問者加入者識別子を含む要求メッセージを受信し、
・要求メッセージ内の訪問者加入者識別子をホーム加入者識別子に置換し、
・ホーム加入者識別子を含む要求メッセージをホームネットワーク内の宛先ノードに転送する、ように構成されている。
【0067】
加入者識別子置換器206は、加入者が訪問者ネットワーク上で認可された後に加入者からの追加の要求を処理するようにさらに構成されている。例えば、加入者識別子置換器206は、
・ホームネットワーク内の宛先ノードから、ホーム加入者識別子を含む応答メッセージを受信し、
・応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換し、
・訪問者加入者識別子を含む応答メッセージを訪問者ネットワークに転送する、ように構成されている。
・ホームネットワーク内の宛先ノードから、ホーム加入者識別子を含む応答メッセージを受信し、
・応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換し、
・訪問者加入者識別子を含む応答メッセージを訪問者ネットワークに転送する、ように構成されている。
【0068】
加入者識別子置換器206は、加入者が訪問者ネットワークから要求を出した後、加入者の要求に対する応答を処理するようにさらに構成されてもよい。例えば、加入者識別子206は、
・ホームネットワーク内の宛先ノードから、ホーム加入者識別子を含む応答メッセージを受信し、
・応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換し、
・訪問者加入者識別子を含む応答メッセージを訪問者ネットワークに転送する、ように構成されている。
・ホームネットワーク内の宛先ノードから、ホーム加入者識別子を含む応答メッセージを受信し、
・応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換し、
・訪問者加入者識別子を含む応答メッセージを訪問者ネットワークに転送する、ように構成されている。
【0069】
一般的に、加入者識別子置換器206は、マッピングデータベース212において、識別子生成器208によって生成されたSUPIと訪問者SUPIとの間の関連付けを作成することによって機能する。訪問者ネットワークから要求を受信すると、SEPP126は、マッピングデータベース212にアクセスし、ホームSUPIを検索し、訪問者SUPIをホームSUPIに置換することによって、訪問者SUPIをホームSUPIに置換する。ホームネットワーク内のノードから応答を受信すると、SEPP126は、マッピングデータベース212にアクセスし、訪問者SUPIを検索し、ホームSUPIを訪問者SUPIに置換することによって、ホームSUPIを訪問者SUPIに置換する。
【0070】
加入者識別子置換器206は、任意の適切な技術を用いて、加入者識別子を置換するためのメッセージを識別するように構成されてもよい。例えば、加入者識別子置換器206は、加入者識別子を置換するためのメッセージ種類またはインターフェイス種類のリストを記憶することができる。その後、SEPP126は、リスト上のメッセージ種類のうちの1つに一致するメッセージを受信すると、加入者識別子の置換を実行する。リストは、単なる例であり、一般的に、任意の適切なデータ構造または技法を用いて、加入者識別子を置換するためのメッセージを識別することができる。
【0071】
いくつかの例において、加入者識別子置換器206は、(訪問者ネットワークに送信される)いくつかのアウトバウンドメッセージをチェックすることによって、メッセージがホーム加入者識別子を含むか否かを判断するように構成されている。メッセージがホーム加入者識別子を含む場合、加入者識別子置換器206は、メッセージを訪問者ネットワークに転送する前に、ホーム加入者識別子を訪問者加入者識別子に置換する。
【0072】
同様に、加入者識別子置換器206は、(訪問者ネットワークから発信する)特定のインバウンドメッセージをチェックすることによって、メッセージが訪問者加入者識別子を含むか否かを判断するように構成することができる。メッセージが訪問者加入者識別子を含む場合、加入者識別子206は、ホームネットワーク内のメッセージを転送する前に、訪問者加入者識別子をホーム加入者識別子に置換する。
【0073】
【0074】
図3に示すように、ホームネットワークは、ホームPLMN302を含み、訪問者ネットワークは、訪問者PLMN304を含む。ホームPLMN302は、少なくともホームSEPP306と、AUSF308と、UDM310とを含む。訪問者PLMN304は、少なくとも訪問者SEPP312と、AMF314とを含む。
【0075】
316において、AMF314は、UE認証要求(Nausf_UE認証(suci,サービングネットワーク名))をホームネットワークに送信する。
【0076】
318において、訪問者SEPP312は、要求をホームSEPP306に転送する。
320において、ホームSEPP306は、要求をAUSF308に転送する。
320において、ホームSEPP306は、要求をAUSF308に転送する。
【0077】
322において、AUSF308は、UDM310(Nudm_UE認証(suci,サービングネットワーク名))から、AVおよびSUPIをフェッチする。
【0078】
324において、UDM310は、AVおよびSUPI(Nudm_UE認証応答(5G HE AV、SUPI))を送信する。
【0079】
326において、AUSF308は、AVをAMFに返す(Nausf_UE認証応答(5G SE AV、authCtxId))。SUPIは、返されない。
【0080】
328において、ホームSEPP306は、応答を訪問者SEPP312に転送する。
330において、訪問者SEPP312は、応答をAMF314に転送する。
330において、訪問者SEPP312は、応答をAMF314に転送する。
【0081】
332において、AMF314は、認証イベント(Nausf_UE認証(authCtxId、resStar))を送信する。
【0082】
334において、訪問者SEPP312は、イベントをホームSEPP306に転送する。
【0083】
336において、ホームSEPP306は、要求をAUSF308に転送する。
338において、AUSF308は、認証イベント(Nudm_UE認証要求)をUDM310に送信する。
338において、AUSF308は、認証イベント(Nudm_UE認証要求)をUDM310に送信する。
【0084】
340において、UDM310は、AUSF308(Nudm_UE認証要求)に応答する。
【0085】
342において、AUSF308は、認証結果およびSUPI(Nausf_UE認証応答(認証結果、SUPI))に応答する。AUSF308は、324においてUDMからのSUPIを既に記憶している。
【0086】
ローミングシナリオ中に、5G SBIサービスにアクセスするために、SUPIを訪問者ネットワークと共有する必要がある。しかしながら、SUPIを訪問者ネットワークと共有すると、SUPIが漏洩する可能性がある。訪問者ネットワークのセキュリティが侵入され易いため、SUPIは、訪問者ネットワークから漏洩する可能性がある。例えば、AMF314は、侵入され易く、データを漏洩する可能性がある。訪問者ネットワークから漏洩したデータは、数日から数カ月の間に公開されない可能性があるが、漏洩したSUPIは、漏洩が分かった時点で、既にダークウェブで売られている可能性がある。
【0087】
3GPP TS33.501に記載されているように、認証プロシージャにおいてホームSUPIを提供する代わりに、SEPPは、認証応答で訪問者SUPIを返すことができる。訪問者SUPIは、訪問者ネットワークによって、サービスアクセス要求の異なるメッセージに使用されてもよい。
【0088】
再び342を参照して、ホームSEPP306は、ホームSUPI(ホームネットワーク内で使用された実際のSUPI)を訪問者SUPIに置換する。
【0089】
344において、ホームSEPP306は、(訪問者SUPIを含む)更新された応答を訪問者SEPP312に転送する。
【0090】
346において、訪問者SEPP312は、更新された応答をAMF314に転送する。AMF314は、訪問者SUPIを記憶し、訪問者SUPIを実際のホームSUPIであるかのように使用する。
【0091】
【0092】
図4に示すように、訪問者PLMN304は、コンシューマネットワーク機能402を含む。ホームPLMN302は、プロデューサネットワーク機能404を含む。
【0093】
5G電気通信ネットワークにおいて、サービスを提供するネットワークノードは、プロデューサネットワーク機能(NF)と呼ばれている。サービスを消費するネットワークノードは、コンシューマNFと呼ばれている。ネットワーク機能は、それがサービスを消費しているかまたは提供しているかに応じて、プロデューサNFおよびコンシューマNFの両方であり得る。
【0094】
特定のプロデューサNFは、多くのサービスエンドポイントを有することができる。サービスエンドポイントは、プロデューサNFによってホストされている1つ以上のNFインスタンスの接点である。サービスエンドポイントは、インターネットプロトコル(IP)アドレスおよびポート番号の組み合わせ、またはプロデューサNFをホストするネットワークノードのIPアドレスおよびポート番号に分解した完全修飾ドメイン名によって識別されている。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。特定のプロデューサNFは、複数のNFインスタンスを含み得る。なお、複数のNFインスタンスは、同じサービスエンドポイントを共有することもできる。
【0095】
プロデューサNFは、ネットワーク機能リポジトリ機能(NRF)に登録する。NRFは、各NFインスタンスによってサポートされているサービスを識別するための利用可能なNFインスタンスのサービスプロファイルを保持する。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するように加入することができる。
【0096】
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するように加入することができる別のタイプのネットワークノードは、サービス通信プロキシ(SCP)である。SCPは、NRFに加入し、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシは、必要なサービスを提供するプロデューサNFサービスインスタンスの間でトラフィックを負荷分散するか、またはトラフィックを宛先のプロデューサNFインスタンスに直接にルーティングする。
【0097】
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする一組の中間プロキシノードまたはネットワークノードの他の例は、セキュリティエッジプロテクションプロキシ(SEPP)、サービスゲートウェイ、および5Gサービスメッシュのノードを含む。SEPPは、異なる5G公衆陸上移動体ネットワーク(PLMN)の間に交換される制御プレーントラフィックを保護するために使用されているネットワークノードである。したがって、SEPPは、全てのアプリケーションプログラミングインターフェイス(API)メッセージに対して、メッセージフィルタリング、ポリシング、およびトポロジ隠蔽を実行する。
【0098】
406において、コンシューマネットワーク機能402は、訪問者SUPIを含むSBIサービス要求を送信する。
【0099】
408において、訪問者SEPP312は、要求をホームSEPP306に転送する。ホームSEPP306は、訪問者SUPIをホームSUPIに置換する。
【0100】
410において、ホームSEPP306は、要求をプロデューサネットワーク機能404に転送する。
【0101】
412において、プロデューサネットワーク機能404は、要求(SBIサービス応答)に応答する。ホームSEPP306は、応答メッセージがホームSUPIを含むか否かを確認し、応答メッセージがホームSUPIを含む場合、ホームSEPP306は、ホームSUPIを訪問者SUPIに置換する。
【0102】
414において、ホームSEPP306は、応答を訪問者SEPP312に転送する。
416において、訪問者SEPP312は、応答をコンシューマネットワーク機能402に転送する。
416において、訪問者SEPP312は、応答をコンシューマネットワーク機能402に転送する。
【0103】
図5は、電気通信ネットワークから加入者識別子の漏洩を防止するための例示的な方法500を示す流れ図である。
【0104】
方法500は、セキュリティエッジプロテクションプロキシ(SEPP)が、訪問者ネットワークの加入者を認証するための認証応答メッセージを受信すること(502)を含む。認証応答メッセージは、ホームネットワーク内で加入者を識別するために使用されているホーム加入者識別子を含む。方法500は、SEPPが、認証応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換すること(504)を含む。方法500は、SEPPが、訪問者加入者識別子を含む認証応答メッセージを訪問者ネットワークに転送すること(506)を含む。
【0105】
いくつかの例において、方法500は、訪問者ネットワークから、訪問者加入者識別子を含む要求メッセージを受信することと、要求メッセージ内の訪問者加入者識別子をホーム加入者識別子に置換することと、ホーム加入者識別子を含む要求メッセージをホームネットワーク内の宛先ノードに転送することとを含む。また、方法500は、ホームネットワーク内の宛先ノードから、ホーム加入者識別子を含む応答メッセージを受信することと、応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換することと、訪問者加入者識別子を含む応答メッセージを訪問者ネットワークに転送することとを含む。
【0106】
いくつかの例において、方法500は、加入者識別子マッピングにおいて、訪問者加入者識別子とホーム加入者識別子との間の関連付けを作成することを含む。また、方法500は、加入者識別子マッピングにアクセスし、マッピングにおいて訪問者加入者識別子を検索することによってホーム加入者識別子を見つけ、要求メッセージ内の訪問者加入者識別子をホーム加入者識別子に置換することによって、訪問者ネットワークからの訪問者加入者識別子を含む要求メッセージを転送することを含む。
【0107】
また、方法500は、加入者識別子マッピングにアクセスし、マッピングにおいてホーム加入者識別子を検索することによって訪問者加入者識別子を見つけ、応答メッセージ内のホーム加入者識別子を訪問者加入者識別子に置換することによって、ホームネットワーク内のノードからの訪問者加入者識別子を含む応答メッセージを転送することを含む。
【0108】
いくつかの例において、ホームネットワークは、5Gネットワークであり、ホーム加入者識別子は、加入者永続識別子(SUPI)である。訪問者加入者識別子を含む認証応答メッセージを訪問者ネットワークに転送することは、認証応答メッセージを訪問者ネットワークの訪問者SEPPに転送することを含むことができる。認証応答メッセージを受信することは、認証サービス機能(AUSF)を介して、統合データ管理(UDM)ノードから認証応答メッセージを受信することを含むことができる。認証応答メッセージは、加入者が訪問者ネットワーク上でローミングすることを許可することができる。
【0109】
いくつかの例において、方法500は、(訪問者ネットワークに送信される)いくつかのアウトバウンドメッセージをチェックすることによって、メッセージがホーム加入者識別子を含むか否かを判断することを含む。メッセージがホーム加入者識別子を含む場合、方法500は、メッセージを訪問者ネットワークに転送する前に、ホーム加入者識別子を訪問者加入者識別子に置換することを含む。
【0110】
同様に、方法500は、(訪問者ネットワークから発信する)特定のインバウンドメッセージをチェックすることによって、メッセージが訪問者加入者識別子を含むか否かを判断することを含むことができる。メッセージが訪問者加入者識別子を含む場合、方法500は、ホームネットワーク内でメッセージを転送する前に、訪問者加入者識別子をホーム加入者識別子に置換することを含む。
【0111】
本開示の範囲は、本明細書に(明示的にまたは暗黙的に)開示される任意の特徴または特徴の組み合わせ、または開示された任意の特徴の一般化を含む(これらの特徴または一般化が本明細書に記載された課題のいずれかまたは全てを緩和するか否かに関わらず)。したがって、本願(または本願の優先権を主張する出願)を審査する間に、これらの特徴の任意の組み合わせを含むように、新しい請求項を作成することができる。
【0112】
特に、添付の特許請求の範囲を参照して、添付の特許請求の範囲に列挙された特定の組み合わせに限らず、従属請求項に記載の特徴を独立請求項に記載の特徴に組み合わせることができ、独立請求項に記載の特徴を任意の適切な方法で組み合わせることができる。
【図1】
【図2】
【図3】
【図4】
【図5】