知財求人 - 知財ポータルサイト「IP Force」
特許7622745コアネットワークノード、MECサーバ、外部サーバ、通信システム、制御方法、プログラム、及びプログラムを記録した非一過性の記録媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2025-01-20
(45)【発行日】2025-01-28
(54)【発明の名称】コアネットワークノード、MECサーバ、外部サーバ、通信システム、制御方法、プログラム、及びプログラムを記録した非一過性の記録媒体
(51)【国際特許分類】
H04W 12/122 20210101AFI20250121BHJP
H04W 28/084 20230101ALI20250121BHJP
H04W 88/18 20090101ALI20250121BHJP
G06F 21/57 20130101ALI20250121BHJP
G06F 21/55 20130101ALI20250121BHJP
【FI】
H04W12/122
H04W28/084
H04W88/18
G06F21/57 370
G06F21/55
【請求項の数】
10
(21)【出願番号】P 2022531960
(86)(22)【出願日】2021-06-21
(86)【国際出願番号】 JP2021023324
(87)【国際公開番号】W WO2021261422
(87)【国際公開日】2021-12-30
【審査請求日】2022-12-21
(31)【優先権主張番号】P 2020110059
(32)【優先日】2020-06-26
(33)【優先権主張国・地域又は機関】JP
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100141519
【弁理士】
【氏名又は名称】梶田 邦之
(72)【発明者】
【氏名】晒谷 光一
【審査官】倉本 敦史
(56)【参考文献】
【文献】国際公開第2020/068521(WO,A1)
【文献】国際公開第2018/235836(WO,A1)
【文献】特表2019-536305(JP,A)
【文献】Qualcomm Incorporated,Discussion on Slice-Specific Secondary Authentication and Authorization,3GPP TSG CT WG1 Meeting #114 C1-190236,2019年01月14日,pp.1-4
(58)【調査した分野】(Int.Cl.,DB名)
H04W 4/00~99/00
G06F 21/57
G06F 21/55
3GPP TSG RAN WG1-4
SA WG1-4
CT WG1、4
(57)【特許請求の範囲】
【請求項1】
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、検知手段から通知された端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理手段を備え、
前記検知手段は、Cプレーン又はUプレーン上の通信内容に基づいて前記端末装置に存在する脆弱性又は脅威を検知し、検知した前記脆弱性又は前記脅威を前記セキュリティ情報として前記通信処理手段に通知する手段であり、
前記コマンドは、前記端末装置の構成を更新するコマンドである、
コアネットワークノード。
【請求項2】
前記コマンドは、前記端末装置を収容すべき前記ネットワークスライスを特定するスライス情報を含む、請求項1に記載のコアネットワークノード。
【請求項3】
前記コマンドは、前記端末装置の構成を更新するUE Configuration Update Commandである、請求項1又は請求項2に記載のコアネットワークノード。
【請求項4】
前記スライス情報は、スライス/サービスタイプ(Slice/Service Type)を特定するNSSAI(Network Slice Selection Assistance Information)パラメータを含む、請求項2に記載のコアネットワークノード。
【請求項5】
前記通信処理手段は、前記セキュリティ情報に基づいて、検疫機能を有する検疫ネットワークスライスに前記端末装置を収容させる、請求項1から請求項4のいずれか1項に記載のコアネットワークノード。
【請求項6】
前記通信処理手段は、前記セキュリティ情報に応じたセキュリティレベルを有するネットワークスライスに前記端末装置を収容させる、請求項1から請求項4のいずれか1項に記載のコアネットワークノード。
【請求項7】
前記通信処理手段は、前記セキュリティ情報が示す攻撃対象を前記コアネットワークから切り離す、請求項1から請求項4のいずれか1項に記載のコアネットワークノード。
【請求項8】
前記検知手段は、前記端末装置が送信する登録要求メッセージに示される当該端末装置のセキュリティ能力に基づいて前記脆弱性を検知する、請求項1に記載のコアネットワークノード。
【請求項9】
前記登録要求メッセージは、位置登録時に前記端末装置から送信され、前記セキュリティ能力を示すN2パラメータを含む、請求項8に記載のコアネットワークノード。
【請求項10】
前記検知手段は、前記コアネットワークノードと通信可能なMECサーバ又は外部サーバに備えられる、
請求項1から請求項9のいずれか1項に記載のコアネットワークノード。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コアネットワークノード、MECサーバ、外部サーバ、通信システム、制御方法、プログラム、及びプログラムを記録した非一過性の記録媒体に関する。
【背景技術】
【0002】
近年、様々な「モノ(Things)」がインターネットに接続されるIoT(Internet of Things)が広まり、ネットワークを介して提供されるサービスの多様化に伴う通信トラヒックが増大している。以上のような状況に対処するため、第5世代移動通信システム(以下、5G)の導入が各国において進展している。
【0003】
従来の3G/4Gは、特定のモバイルネットワーク事業者によって運用され、携帯電話及びスマートフォン等の移動端末に通信サービスを提供する。他方、5Gは、3G/4Gと比較して、多種多様な事業者の参画と多種多様なデバイスからの同時接続とが想定されている(例えば、非特許文献1)。
【先行技術文献】
【非特許文献】
【0004】
【文献】3GPP TR 38.913 - Technical Specification Group Radio Access Network; Study on Scenarios and Requirements for Next Generation Access Technologies
【発明の概要】
【発明が解決しようとする課題】
【0005】
従来、サイバー攻撃に対応するために、侵入検知システム(Intrusion Detection System)、ファイアウォール(Firewall)/侵入防止システム(Intrusion Prevention System)等のネットワークセキュリティ技術が用いられている。しかしながら、5Gのセキュリティに関しては、上記したような通信トラヒックの増大や多数同時接続等の新たな状況に対応することが要求されている。
【0006】
そのため、5Gでは、従来よりも多くのネットワーク設備をシステム内に保持する必要があると共に、システムに接続される多種多様なデバイスや事業者を適切に管理する必要がある。現在、以上のような特性を有する5G等の無線通信システムに適したセキュリティ技術の開発が求められている。
【0007】
以上の事情に鑑み、本発明の目的は、セキュリティ情報に基づいた適切な収容を実現可能なコアネットワークノード、MECサーバ、外部サーバ、通信システム、制御方法、プログラム、及びプログラムを記録した非一過性の記録媒体を提供することにある。
【課題を解決するための手段】
【0008】
本発明の一態様に係るコアネットワークノードは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える。
【0009】
本発明の一態様に係るMEC(Mobile Edge Computing)サーバは、複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なMECサーバであって、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える。
【0010】
本発明の一態様に係る外部サーバは、複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える。
【0011】
本発明の一態様に係る通信システムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、前記コアネットワークノードは、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える。
【0012】
本発明の一態様に係る通信システムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、前記コアネットワークに属する又は前記コアネットワークと通信可能なMECサーバと、を備える通信システムであって、前記MECサーバは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、前記コアネットワークノードは、前記MECサーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える。
【0013】
本発明の一態様に係る通信システムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、前記コアネットワークと通信可能な外部サーバと、を備える通信システムであって、前記外部サーバは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、前記コアネットワークノードは、前記外部サーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える。
【0014】
本発明の一態様に係る制御方法は、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信することを備える。
【0015】
本発明の一態様に係るプログラムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる。
【0016】
本発明の一態様に係る非一過性の記録媒体は、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させるプログラムを記録する。
【0017】
本発明の一態様に係るコアネットワークノードは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、検知された前記脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部と、を備える。
【0018】
本発明の一態様に係るMECサーバは、複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なMEC(Mobile Edge Computing)サーバであって、特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える。
【0019】
本発明の一態様に係る外部サーバは、複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える。
【0020】
本発明の一態様に係る通信システムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、前記コアネットワークノードは、特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備える。
【0021】
本発明の一態様に係る制御方法は、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御することを備える。
【0022】
本発明の一態様に係るプログラムは、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる。
【0023】
本発明の一態様に係る非一過性の記録媒体は、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させるプログラムを記録する。
【発明の効果】
【0024】
本発明によれば、セキュリティ情報に基づいた適切なネットワークスライスへの収容処理を実現することが可能である。なお、本発明により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。
【図面の簡単な説明】
【0025】
【図1】本発明の第1実施形態に係る通信システムS1の概略的な構成を例示する説明図である。
【図2】本発明の第1実施形態に係る端末装置100の概略的な構成を例示するブロック図である。
【図3】本発明の第1実施形態に係る基地局200の概略的な構成を例示するブロック図である。
【図4】本発明の第1実施形態に係るコアネットワーク30の概略的な構成を例示するブロック図である。
【図5】本発明の第1実施形態に係るコアネットワーク30のアーキテクチャを例示する説明図である。
【図6】本発明の第1実施形態に係るコアネットワークノード300の概略的な構成を例示するブロック図である。
【図7】本発明の第1実施形態に係るアクセス管理ノード350の概略的な構成を例示するブロック図である。
【図8】本発明の第1実施形態に係るMECサーバ400の概略的な構成を例示するブロック図である。
【図9】本発明の第1実施形態に係る外部サーバ500の概略的な構成を例示するブロック図である。
【図10】従来のS-NSSAI及びSSTを例示する説明図である。
【図11】本発明の第1実施形態における第1の動作例を示すシーケンス図である。
【図12】本発明の第1実施形態における別の第1の動作例を示すシーケンス図である。
【図13】本発明の第1実施形態における第2の動作例を示すシーケンス図である。
【図14】本発明の第1実施形態における第3の動作例を示すシーケンス図である。
【図15】本発明の第2実施形態に係るアクセス管理ノード350aの概略的な構成を例示するブロック図である。
【図16】本発明の第2実施形態に係るMECサーバ400aの概略的な構成を例示するブロック図である。
【図17】本発明の第2実施形態に係る外部サーバ500aの概略的な構成を例示するブロック図である。
【図18】本発明の第2実施形態に係る通信システムS1aの第1の構成を概略的に例示するブロック図である。
【図19】本発明の第2実施形態に係る通信システムS1aの第2の構成を概略的に例示するブロック図である。
【図20】本発明の第2実施形態に係る通信システムS1aの第3の構成を概略的に例示するブロック図である。
【発明を実施するための形態】
【0026】
以下、添付の図面を参照して本発明の実施形態を詳細に説明する。なお、本明細書及び図面において、同様に説明されることが可能な要素については、同一の符号を付することにより重複した説明が省略され得る。
【0027】
以下に説明される各実施形態は、本発明を実現可能な構成の一例に過ぎない。以下の各実施形態は、本発明が適用される装置の構成や各種の条件に応じて適宜に修正又は変更することが可能である。以下の各実施形態に含まれる要素の組合せの全てが本発明を実現するに必須であるとは限られず、要素の一部を適宜に省略することが可能である。したがって、本発明の範囲は、以下の各実施形態に記載される構成によって限定されるものではない。相互に矛盾のない限りにおいて、実施形態内に記載された複数の構成を組み合わせた構成も採用可能である。
【0028】
本発明に係る説明は、以下の順序で行われる。
1. 本発明の実施形態の概要
2. 第1実施形態
2.1. 通信システムS1の構成
2.2. 端末装置100の構成
2.3. 基地局200の構成
2.4. コアネットワーク30の構成
2.4.1. 一般的なコアネットワークノード300の構成
2.4.2. アクセス管理ノード350の構成
2.5. MECサーバ400の構成
2.6. 外部サーバ500の構成
2.7. 動作例
2.7.1. 第1の動作例
2.7.2. 第2の動作例
2.7.3. 第3の動作例
2.8. 変形例
3. 第2実施形態
3.1. アクセス管理ノード350aの構成と動作例
3.2. MECサーバ400aの構成と動作例
3.3. 外部サーバ500aの構成と動作例
3.4.1. 通信システムS1aの第1の構成と動作例
3.4.2. 通信システムS1aの第2の構成と動作例
3.4.3. 通信システムS1aの第3の構成と動作例
4. 他の実施形態
1. 本発明の実施形態の概要
2. 第1実施形態
2.1. 通信システムS1の構成
2.2. 端末装置100の構成
2.3. 基地局200の構成
2.4. コアネットワーク30の構成
2.4.1. 一般的なコアネットワークノード300の構成
2.4.2. アクセス管理ノード350の構成
2.5. MECサーバ400の構成
2.6. 外部サーバ500の構成
2.7. 動作例
2.7.1. 第1の動作例
2.7.2. 第2の動作例
2.7.3. 第3の動作例
2.8. 変形例
3. 第2実施形態
3.1. アクセス管理ノード350aの構成と動作例
3.2. MECサーバ400aの構成と動作例
3.3. 外部サーバ500aの構成と動作例
3.4.1. 通信システムS1aの第1の構成と動作例
3.4.2. 通信システムS1aの第2の構成と動作例
3.4.3. 通信システムS1aの第3の構成と動作例
4. 他の実施形態
【0029】
<<1. 本発明の実施形態の概要>>
まず、本発明の実施形態の概要を説明する。
まず、本発明の実施形態の概要を説明する。
【0030】
(1)技術的課題
近年、様々な「モノ(Things)」がインターネットに接続されるIoT(Internet of Things)が広まり、ネットワークを介して提供されるサービスの多様化に伴う通信トラヒックが増大している。以上のような状況に対処するため、第5世代移動通信システム(以下、5G)の導入が各国において進展している。
近年、様々な「モノ(Things)」がインターネットに接続されるIoT(Internet of Things)が広まり、ネットワークを介して提供されるサービスの多様化に伴う通信トラヒックが増大している。以上のような状況に対処するため、第5世代移動通信システム(以下、5G)の導入が各国において進展している。
【0031】
従来の3G/4Gは、特定のモバイルネットワーク事業者によって運用され、携帯電話及びスマートフォン等の移動端末に通信サービスを提供する。他方、5Gは、3G/4Gと比較して、多種多様な事業者の参画と多種多様なデバイスからの同時接続とが想定されている。
【0032】
従来、侵入検知システム(Intrusion Detection System)、ファイアウォール(Firewall)/侵入防止システム(Intrusion Prevention System)等のネットワークセキュリティ技術が用いられている。しかしながら、5Gのセキュリティに関しては、上記したような通信トラヒックの増大や多数同時接続等の新たな状況に対応することが要求されている。
【0033】
そのため、5Gでは、従来よりも多くのネットワーク設備をシステム内に保持する必要があると共に、システムに接続される多種多様なデバイスを適切に管理する必要がある。現在、以上のような特性を有する5G等の無線通信システムに適したセキュリティ技術の開発が求められている。
【0034】
以上の事情に鑑み、本実施形態では、セキュリティ情報に基づいた端末装置の適切な収容を実現することを目的とする。特に、本実施形態では、5Gのネットワークアーキテクチャ仕様(<参考文献>3GPP TS 23.501, 3GPP TS 23.502等)に規定されるネットワークスライス化(Network Slicing)に適したメッセージングに着目する。ネットワークスライス化は、同一のネットワーク物理設備を論理的(仮想的)に分割することにより、分割した論理的な設備(仮想資源)を組み合わせてネットワークスライス(又は、スライス)という論理的な通信網を構成する技術である。
【0035】
(2)技術的特徴
本発明の実施形態では、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードが、端末装置のセキュリティに関するセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。コアネットワークノードは、上記セキュリティ情報を自ら取得し得る。
本発明の実施形態では、複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードが、端末装置のセキュリティに関するセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。コアネットワークノードは、上記セキュリティ情報を自ら取得し得る。
【0036】
本発明の実施形態の一態様では、複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なMECサーバが、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記コアネットワークに属するコアネットワークノードに対して送信する。
【0037】
本発明の実施形態の一態様では、複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバが、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記コアネットワークに属するコアネットワークノードに対して送信する。
【0038】
以上の構成によれば、セキュリティ情報に基づいた適切なネットワークスライスへの収容処理を実現することが可能である。
【0039】
なお、本実施形態により、当該効果の代わりに、又は当該効果とともに、他の効果が奏されてもよい。なお、上述した技術的特徴は本発明の実施形態の具体的な一例であり、当然ながら、本発明の実施形態は上述した技術的特徴に限定されない。
【0040】
【0041】
<<2.1. 通信システムS1の構成>>
図1は、本実施形態に係る通信システムS1の概略的な構成を例示する説明図である。図1に示すように、本実施形態の通信システムS1は、端末装置100、基地局200、コアネットワーク30、MEC(Mobile Edge Computing)サーバ400、及び外部サーバ500を有する。コアネットワーク30は、複数のコアネットワークノード300を含む。外部サーバ500は、移動通信システムMCS(コアネットワーク30)外に位置するサーバ装置であって、コアネットワーク30と通信可能に接続されている。
図1は、本実施形態に係る通信システムS1の概略的な構成を例示する説明図である。図1に示すように、本実施形態の通信システムS1は、端末装置100、基地局200、コアネットワーク30、MEC(Mobile Edge Computing)サーバ400、及び外部サーバ500を有する。コアネットワーク30は、複数のコアネットワークノード300を含む。外部サーバ500は、移動通信システムMCS(コアネットワーク30)外に位置するサーバ装置であって、コアネットワーク30と通信可能に接続されている。
【0042】
移動通信システムMCSは、例えば、3GPP(3rd Generation Partnership Project)の技術仕様(Technical Specification,TS)に準拠したシステムである。より具体的には、移動通信システムMCSは、第5世代(5G)の技術仕様に準拠した第5世代移動通信システムであってよい。また、移動通信システムMCSは、通信事業者ではない個別の事業者がプライベートに構築するローカル5Gであってもよい。移動通信システムMCSは通信システムS1に内包される。当然ながら、通信システムS1の構成は本例に限定されない。
【0043】
<<2.2. 端末装置100の構成>>
端末装置100は、基地局200と無線通信を行うノードである。端末装置100は、例えば、スマートフォン等の携帯電話端末であってもよいし、自動運転車に搭載される通信モジュールであってもよいし、監視カメラやロボット等のIoTデバイスに搭載される通信モジュールであってもよい。すなわち、端末装置100は、高度化モバイルブロードバンド(enhanced Mobile Broadband,eMBB)向けのノードであってもよく、超高信頼性・低遅延通信(Ultra-Reliable and Low Latency Communications,URLLC)向けのノードであってもよく、大規模マシンタイプ通信(massive Machine Type Communications,mMTC)向けのノードであってもよく、車両通信(Vehicle to X,V2X)向けのノードであってもよい。
端末装置100は、基地局200と無線通信を行うノードである。端末装置100は、例えば、スマートフォン等の携帯電話端末であってもよいし、自動運転車に搭載される通信モジュールであってもよいし、監視カメラやロボット等のIoTデバイスに搭載される通信モジュールであってもよい。すなわち、端末装置100は、高度化モバイルブロードバンド(enhanced Mobile Broadband,eMBB)向けのノードであってもよく、超高信頼性・低遅延通信(Ultra-Reliable and Low Latency Communications,URLLC)向けのノードであってもよく、大規模マシンタイプ通信(massive Machine Type Communications,mMTC)向けのノードであってもよく、車両通信(Vehicle to X,V2X)向けのノードであってもよい。
【0044】
【0045】
無線通信部110は、基地局200と無線通信を行う要素である。無線通信部110は、基地局200に対して無線信号を送信し、基地局200から無線信号を受信する。無線通信部110は、例えば、アンテナ及び高周波(Radio Frequency,RF)回路によって実装され得る。
【0046】
記憶部120は、端末装置100における種々の処理を実行するのに用いられるプログラム(命令)及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、端末装置100の動作のための1つ以上の命令を含む。記憶部120は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの2種以上の組合せによって実装され得る。また、記憶部120が処理部130を構成する1以上のプロセッサと一体的に構成されてもよい。
【0047】
処理部130は、端末装置100の種々の機能を提供する要素であって、制御部131と通信処理部132とを機能ブロックとして有する。概略的には、制御部131が端末装置100の処理を制御し、通信処理部132が基地局200等の他のノードとの通信処理を実行する。なお、処理部130は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部130は、以上の機能ブロックによる動作以外の動作を実行できる。
【0048】
処理部130は、例えば、ベースバンドプロセッサ等の1以上のプロセッサによって実装され得る。処理部130は、記憶部120に記憶されたプログラムを記憶部120及び/又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック(制御部131及び通信処理部132)が、処理部130とは別の1以上のプロセッサによって実現されてもよい。処理部130がSoC(System on Chip)内で実装されてもよい。
【0049】
<<2.3. 基地局200の構成>>
基地局200は、端末装置100と無線通信を行うノードであって、すなわち、無線アクセスネットワーク(Radio Access Network,RAN)のノードである。基地局200は、例えば、eNB(evolved Node B)であってもよいし、5GにおけるgNB(generation Node B)であってもよい。
基地局200は、端末装置100と無線通信を行うノードであって、すなわち、無線アクセスネットワーク(Radio Access Network,RAN)のノードである。基地局200は、例えば、eNB(evolved Node B)であってもよいし、5GにおけるgNB(generation Node B)であってもよい。
【0050】
【0051】
無線通信部210は、端末装置100と無線通信を行う要素である。無線通信部210は、端末装置100に対して無線信号を送信し、端末装置100から無線信号を受信する。無線通信部210は、例えば、アンテナ及び高周波(Radio Frequency,RF)回路によって実装され得る。
【0052】
ネットワーク通信部220は、コアネットワーク30と通信する要素である。ネットワーク通信部220は、コアネットワーク30に対して信号を送信し、コアネットワーク30から信号を受信する。ネットワーク通信部220は、例えば、ネットワークアダプタ及び/又はネットワークインターフェースカードによって実装され得る。
【0053】
記憶部230は、基地局200における種々の処理を実行するのに用いられるプログラム(命令)及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、基地局200の動作のための1つ以上の命令を含む。記憶部230は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの2種以上の組合せによって実装され得る。また、記憶部230が処理部240を構成する1以上のプロセッサと一体的に構成されてもよい。
【0054】
処理部240は、基地局200の種々の機能を提供する要素であって、制御部241と通信処理部242とを機能ブロックとして有する。概略的には、制御部241が基地局200の処理を制御し、通信処理部242が端末装置100やコアネットワークノード300等の他のノードとの通信処理を実行する。なお、処理部240は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部240は、以上の機能ブロックによる動作以外の動作を実行できる。
【0055】
処理部240は、例えば、ベースバンドプロセッサ等の1以上のプロセッサによって実装され得る。処理部240は、記憶部230に記憶されたプログラムを記憶部230及び/又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック(制御部241及び通信処理部242)が、処理部240とは別の1以上のプロセッサによって実現されてもよい。
【0056】
なお、基地局200が仮想化されていてもよい。すなわち、基地局200が仮想マシンとして実装されてもよい。以上の場合、基地局200(仮想マシン)は、プロセッサ及びメモリ等を含む物理マシン(ハードウェア)及びハイパーバイザ上で仮想マシンとして動作してよい。
【0057】
<<2.4. コアネットワーク30の構成>>
コアネットワーク30は、例えば、5Gコアネットワーク(5GC)であって、一部又は全部がネットワーク機能仮想化(Network Function Virtualization,NFV)技術を用いて構成される。
コアネットワーク30は、例えば、5Gコアネットワーク(5GC)であって、一部又は全部がネットワーク機能仮想化(Network Function Virtualization,NFV)技術を用いて構成される。
【0058】
図4は、本実施形態に係るコアネットワーク30の概略的な構成を例示するブロック図である。図4に示すように、コアネットワーク30は、サーバ装置SVとストレージ装置STとネットワーク装置NWとをハードウェアとして有する。
【0059】
以上のコアネットワーク30のハードウェアはNFV技術を用いて仮想化され、複数のコアネットワークノード300(インスタンス)が構成される。コアネットワークノード300のタイプを非限定的に列挙する。
-AMF(Access and Mobility Management Function)
-SMF(Session Management Function)
-PCF(Policy Control Function)
-NSSF(Network Slice Selection Function)
-AUSF(Authentication Server Function)
-UDM(Unified Data Management)
-UPF(User Plane Function)
-AMF(Access and Mobility Management Function)
-SMF(Session Management Function)
-PCF(Policy Control Function)
-NSSF(Network Slice Selection Function)
-AUSF(Authentication Server Function)
-UDM(Unified Data Management)
-UPF(User Plane Function)
【0060】
なお、複数のコアネットワークノード300の少なくとも一部が、NFV技術を用いない物理装置によって実現されてもよい。
【0061】
仮想化されたコアネットワーク30のリソースは、図4に示すように、各々が論理的(仮想的)なネットワークを構成する複数のネットワークスライスNS1,NS2,NS3,…に分割され得る。すなわち、本実施形態のコアネットワーク30は、複数のネットワークスライスNSを形成し得る。複数のネットワークスライスNSは、それぞれ異なるネットワーク特性を有する。各ネットワークスライスNSは、複数のコアネットワークノード300を有する。なお、ネットワークスライスNSに属さないコアネットワークノード300が存在してもよいし、1つのコアネットワークノード300が複数のネットワークスライスNSに属してもよい。
【0062】
図5は、コアネットワーク30のアーキテクチャを例示する説明図である。コアネットワーク30のCプレーンには、上記したAMF、SMF、PCF、NSSF、AUSF、UDMがネットワーク機能(コアネットワークノード300)として含まれる。コアネットワーク30のUプレーンには、上記した1以上のUPFがネットワーク機能(コアネットワークノード300)として含まれる。UPFは、後述されるMECサーバ400及び外部サーバ500との接続点として構成され得る。
【0063】
<<2.4.1. 一般的なコアネットワークノード300の構成>>
コアネットワークノード300の各々は、コアネットワーク30における特定のネットワーク機能(サービス)を提供する機能的な要素である。
コアネットワークノード300の各々は、コアネットワーク30における特定のネットワーク機能(サービス)を提供する機能的な要素である。
【0064】
図6は、本実施形態に係るコアネットワークノード300の概略的な構成を例示するブロック図である。図6に示すように、コアネットワークノード300は、ネットワーク通信部310と記憶部320と処理部330とを有する。
【0065】
ネットワーク通信部310は、コアネットワーク30内外の他ノードと通信する要素である。ネットワーク通信部310は、他ノードに対して信号を送信し、他ノードから信号を受信する。ネットワーク通信部310は、前述のように、NFV技術を用いて仮想化されたコアネットワーク30のリソースによって実装され得る。
【0066】
記憶部320は、コアネットワークノード300における種々の処理を実行するのに用いられるプログラム(命令)及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、コアネットワークノード300の動作のための1つ以上の命令を含む。記憶部320は、前述のように、NFV技術を用いて仮想化されたコアネットワーク30のリソースによって実装され得る。
【0067】
処理部330は、コアネットワークノード300の種々の機能を提供する要素であって、制御部331と通信処理部333とを機能ブロックとして有する。概略的には、制御部331がコアネットワークノード300の処理を制御し、通信処理部333が他のノードとの通信処理を実行する。なお、処理部330は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部330は、以上の機能ブロックによる動作以外の動作を実行できる。処理部330は、前述のように、NFV技術を用いて仮想化されたコアネットワーク30のリソースによって実装され得る。
【0068】
<<2.4.2. アクセス管理ノード350の構成>>
アクセス管理ノード350は、例えば、3GPP技術仕様(例えば、<参考文献>3GPP TS 23.501)に規定されるAMF(Access and Mobility Management Function)である。アクセス管理ノード350は、CプレーンのN2インタフェースを終端するノードであって、登録管理機能、接続管理機能、及び移動管理機能を提供する。
アクセス管理ノード350は、例えば、3GPP技術仕様(例えば、<参考文献>3GPP TS 23.501)に規定されるAMF(Access and Mobility Management Function)である。アクセス管理ノード350は、CプレーンのN2インタフェースを終端するノードであって、登録管理機能、接続管理機能、及び移動管理機能を提供する。
【0069】
図7は、本実施形態に係るアクセス管理ノード350の概略的な構成を例示するブロック図である。図7に示すように、アクセス管理ノード350は、ネットワーク通信部310と記憶部320と処理部360とを有する。ネットワーク通信部310及び記憶部320の構成及び機能は、一般的なコアネットワークノード300と同様である。
【0070】
処理部360は、制御部331と検知部332と通信処理部333とを有する。制御部331及び通信処理部333の構成及び機能は、一般的なコアネットワークノード300と同様である。検知部332は、概略的には、端末装置100等のノードのセキュリティに関する状態や情報を検知する。
【0071】
なお、本実施形態によるアクセス管理ノード350の機能が、他のネットワーク機能インスタンスによって実現されてもよい。
【0072】
<<2.5. MECサーバ400の構成>>
MECサーバ400は、コアネットワーク30に属するサーバであって、端末装置100に所定のサービスを提供する。MECサーバ400は、一般的なサーバよりも端末装置100に近接して配置されることによって、端末装置100に対してより効率的にサービスを提供することが可能となる。
MECサーバ400は、コアネットワーク30に属するサーバであって、端末装置100に所定のサービスを提供する。MECサーバ400は、一般的なサーバよりも端末装置100に近接して配置されることによって、端末装置100に対してより効率的にサービスを提供することが可能となる。
【0073】
【0074】
ネットワーク通信部410は、コアネットワーク30と通信する要素である。ネットワーク通信部410は、コアネットワーク30に対して信号を送信し、コアネットワーク30から信号を受信する。ネットワーク通信部410は、例えば、ネットワークアダプタ及び/又はネットワークインターフェースカードによって実装され得る。
【0075】
記憶部420は、MECサーバ400における種々の処理を実行するのに用いられるプログラム(命令)及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、MECサーバ400の動作のための1つ以上の命令を含む。記憶部420は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの2種以上の組合せによって実装され得る。また、記憶部420が処理部430を構成する1以上のプロセッサと一体的に構成されてもよい。
【0076】
処理部430は、MECサーバ400の種々の機能を提供する要素であって、制御部431と検知部432と通信処理部433とを機能ブロックとして有する。概略的には、制御部431がMECサーバ400の処理を制御し、検知部432が端末装置100等のノードのセキュリティに関する状態や情報を検知し、通信処理部433がコアネットワークノード300等の他のノードとの通信処理を実行する。なお、処理部430は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部430は、以上の機能ブロックによる動作以外の動作を実行できる。
【0077】
処理部430は、例えば、1以上のプロセッサによって実装され得る。処理部430は、記憶部420に記憶されたプログラムを記憶部420及び/又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック(制御部431、検知部432、及び通信処理部433)が、処理部430とは別の1以上のプロセッサによって実現されてもよい。
【0078】
なお、MECサーバ400(ネットワーク通信部410、記憶部420、及び処理部430)がNFV技術による仮想化されたリソースによって実装されてもよい。また、MECサーバ400は、コアネットワーク30ではなく基地局200と通信するように構成されてもよい。すなわち、MECサーバ400が基地局200を介してコアネットワーク30と通信可能に構成されてよい。
【0079】
<<2.6. 外部サーバ500の構成>>
外部サーバ500は、コアネットワーク30外に位置するサーバである。外部サーバ500は、コアネットワーク30を介して、又はインターネット等の他のネットワークを介して、端末装置100にサービスを提供する装置である。
外部サーバ500は、コアネットワーク30外に位置するサーバである。外部サーバ500は、コアネットワーク30を介して、又はインターネット等の他のネットワークを介して、端末装置100にサービスを提供する装置である。
【0080】
【0081】
ネットワーク通信部510は、コアネットワーク30と通信する要素である。ネットワーク通信部510は、コアネットワーク30に対して信号を送信し、コアネットワーク30から信号を受信する。ネットワーク通信部510は、例えば、ネットワークアダプタ及び/又はネットワークインターフェースカードによって実装され得る。
【0082】
記憶部520は、外部サーバ500における種々の処理を実行するのに用いられるプログラム(命令)及びデータを一時的又は恒久的に格納する要素である。上記プログラムは、外部サーバ500の動作のための1つ以上の命令を含む。記憶部520は、例えば、揮発性メモリ、不揮発性メモリ、若しくは磁気ディスク等の記憶媒体又はこれらの2種以上の組合せによって実装され得る。また、記憶部520が処理部530を構成する1以上のプロセッサと一体的に構成されてもよい。
【0083】
処理部530は、外部サーバ500の種々の機能を提供する要素であって、制御部531と検知部532と通信処理部533とを機能ブロックとして有する。概略的には、制御部531が外部サーバ500の処理を制御し、検知部532が端末装置100等のノードのセキュリティに関する状態や情報を検知し、通信処理部533がコアネットワークノード300等の他のノードとの通信処理を実行する。なお、処理部530は、以上の機能ブロック以外の構成要素を更に含んでよい。即ち、処理部530は、以上の機能ブロックによる動作以外の動作を実行できる。
【0084】
処理部530は、例えば、1以上のプロセッサによって実装され得る。処理部530は、記憶部520に記憶されたプログラムを記憶部520及び/又は不図示のシステムメモリに展開し実行することによって、後述される本実施形態の処理を実現してよい。なお、各機能ブロック(制御部531、検知部532、及び通信処理部533)が、処理部530とは別の1以上のプロセッサによって実現されてもよい。
【0085】
<<2.7. 動作例>>
図10から図14を参照して、本実施形態の複数の動作例を説明する。以下の動作例における共通点は、アクセス管理ノード350の通信処理部333が、端末装置100のセキュリティに関するセキュリティ情報SIに基づいて、端末装置100を収容すべきネットワークスライスNSに関するパラメータを示すコマンドを端末装置100に送信することである。
図10から図14を参照して、本実施形態の複数の動作例を説明する。以下の動作例における共通点は、アクセス管理ノード350の通信処理部333が、端末装置100のセキュリティに関するセキュリティ情報SIに基づいて、端末装置100を収容すべきネットワークスライスNSに関するパラメータを示すコマンドを端末装置100に送信することである。
【0086】
上記コマンドは、例えば、端末装置100を収容すべきネットワークスライスNSを特定するスライス情報を含んでよい。上記コマンドは、例えば、端末装置100(User Equipment,UE)の構成を更新するUE Configuration Update Commandであってよい。上記コマンドに含まれるスライス情報は、例えば、スライス/サービスタイプ(Slice/Service Type,SST)を特定するNSSAI(Network Slice Selection Assistance Information)パラメータを含んでよい。
【0087】
上記UE Configuration Update Commandは、例えば、<参考文献>3GPP TS 23.502(例えば、4.2.4.2 UE Configuration Update procedure for access and mobility management related parameters)に準拠してよい。また、上記SSTを特定するNSSAI(例えば、S-NSSAI)は、例えば、<参考文献>3GPP TS 23.003(例えば、28.4.2 Format of the S-NSSAI)及び<参考文献>3GPP TS 3GPP TS 23.501(例えば、5.15.2.2 Standardised SST values)に準拠してよい。上記SSTは、eMBB、URLLC、mMTC(MIoT)、V2X等を特定する値(SST Value)を示してよい。図10は、S-NSSAI及びSSTを例示する説明図である。
【0088】
ここで、図10に示すように、従来の技術仕様では、ネットワークの静的な特性に応じたSSTが規定されているのみであって、検知された脅威や脆弱性(セキュリティ情報)に応じたSST(ひいては、ネットワークスライスNS)は規定されていない。また、検知された脅威や脆弱性(セキュリティ情報)に応じたネットワークスライスNSの選択も、従来の技術仕様には規定されていない(例えば、<参考文献>3GPP TS 23.502の4.2.4.2 UE Configuration Update procedure for access and mobility management related parameters)。
【0089】
<<2.7.1. 第1の動作例>>
図11及び図12は、本実施形態における第1の動作例を示すシーケンス図である。図11は、端末装置100からの制御メッセージに基づいてアクセス管理ノード350が脆弱性を検知する例に対応し、図12は、端末装置100の通信内容に基づいてアクセス管理ノード350が脅威を検知する例に対応する。
図11及び図12は、本実施形態における第1の動作例を示すシーケンス図である。図11は、端末装置100からの制御メッセージに基づいてアクセス管理ノード350が脆弱性を検知する例に対応し、図12は、端末装置100の通信内容に基づいてアクセス管理ノード350が脅威を検知する例に対応する。
【0090】
図11に示すように、ステップS110において、端末装置100の通信処理部132が、登録要求メッセージ(Registration Request Message)を基地局200を介してアクセス管理ノード350に送信する。端末装置100は、例えば、位置登録時に以上の登録要求メッセージをアクセス管理ノード350に送信してよい。以上の登録要求メッセージは、端末装置100のセキュリティ能力を示すN2パラメータを含んでよい。以上の登録要求メッセージはCプレーンのメッセージである。
【0091】
ステップS120において、アクセス管理ノード350の検知部332が、端末装置100が送信する登録要求メッセージに示される端末装置100のセキュリティ能力に基づいて端末装置100に存在する脆弱性を検知する。検知部332は、検知した脆弱性をセキュリティ情報SIとして通信処理部333に通知する。
【0092】
ステップS130において、アクセス管理ノード350の通信処理部333が、検知部332から通知されたセキュリティ情報SIに基づいて、端末装置100を収容すべきネットワークスライスNSに関するパラメータを示すコマンドを端末装置100に送信する。
【0093】
ステップS130において送信されるコマンドは、例えば、検疫機能を有するネットワークスライスNSである検疫ネットワークスライスを特定してよい。すなわち、通信処理部333は、セキュリティ情報SIに基づいて、検疫機能を有する検疫ネットワークスライスに端末装置100を収容させてよい。
【0094】
また、例えば、ステップS130において送信されるコマンドは、端末装置100のセキュリティ能力に応じたセキュリティレベルを有するネットワークスライスNSを特定してよい。すなわち、通信処理部333は、セキュリティ情報SIに応じたセキュリティレベルを有するネットワークスライスNSに端末装置100を収容させてよい。
【0095】
以降、端末装置100を含む各ノードが、以上のように検知された脆弱性(すなわち、セキュリティ情報SI)に基づいてネットワークスライスNSの構成変更に関する動作を実行することによって、端末装置100が適切なネットワークスライスNSに収容される。
【0096】
次いで、図12の例について説明する。図12に示すように、ステップS112において、端末装置100の通信処理部132が、基地局200を介してアクセス管理ノード350にCプレーン上の信号を送信する。上記信号は、例えば、認証関連の制御メッセージであってもよいし、その他の制御メッセージであってもよい。
【0097】
ステップS122において、アクセス管理ノード350の検知部332が、端末装置100が送信するCプレーン上の信号(すなわち、端末装置100のCプレーン上の通信内容)に基づいて端末装置100に対する脅威を検知する。検知部332は、検知した脅威をセキュリティ情報SIとして通信処理部333に通知する。なお、検知部332は、端末装置100のCプレーン上の通信内容に基づいて端末装置100に存在する脆弱性を検知してもよい。
【0098】
ステップS130において、図11の例と同様に、アクセス管理ノード350の通信処理部333が、検知部332から通知されたセキュリティ情報SIに基づいて、端末装置100を収容すべきネットワークスライスNSに関するパラメータを示すコマンドを端末装置100に送信する。
【0099】
ステップS130において送信されるコマンドによって生じる動作は、図11の例と同様である。すなわち、セキュリティ情報SIに基づいて、検疫機能を有する検疫ネットワークスライスに端末装置100が収容されてもよく、セキュリティ情報SIに応じたセキュリティレベルを有するネットワークスライスNSに端末装置100が収容されてもよい。
【0100】
また、例えば、ステップS130において送信されるコマンドは、セキュリティ情報SIに含まれる脅威が示す攻撃対象をコアネットワーク30から切り離すような制御を実現するコマンドであってもよい。
【0101】
以降、図11の例と同様に、端末装置100を含む各ノードが、以上のように検知された脅威(すなわち、セキュリティ情報SI)に基づいてネットワークスライスNSの構成変更に関する動作を実行することによって、端末装置100が適切なネットワークスライスNSに収容される。
【0102】
<<2.7.2. 第2の動作例>>
図13は、本実施形態における第2の動作例を示すシーケンス図である。図13は、端末装置100からの通信内容に基づいてMECサーバ400が脆弱性又は脅威を検知する例に対応する。
図13は、本実施形態における第2の動作例を示すシーケンス図である。図13は、端末装置100からの通信内容に基づいてMECサーバ400が脆弱性又は脅威を検知する例に対応する。
【0103】
ステップS210において、端末装置100の通信処理部132が、UPFノード300を介してMECサーバ400とUプレーン上の信号を送受信する。上記信号は、例えば、Webサイトを構成するユーザデータであってもよいし、その他のユーザデータであってもよい。
【0104】
ステップS220において、MECサーバ400の検知部432が、端末装置100が送受信するUプレーン上の信号(すなわち、端末装置100のUプレーン上の通信内容)に基づいて、端末装置100に存在する脆弱性又は端末装置100に対する脅威を検知する。検知部432は、例えば、端末装置100のUプレーン上のデータに含まれるマルウェアを脅威として検知できる。
【0105】
ステップS230において、MECサーバ400の通信処理部433が、検知部432が検知した脆弱性又は脅威をセキュリティ情報SIとしてUPFノード300を介してアクセス管理ノード350に通知する。なお、通信処理部433は、以上のセキュリティ情報SIを含むネットワークスライス構成の変更要求をアクセス管理ノード350に通知してよい。
【0106】
ステップS240において、図11及び図12の例と同様に、アクセス管理ノード350の通信処理部333が、MECサーバ400から通知されたセキュリティ情報SIに基づいて、端末装置100を収容すべきネットワークスライスNSに関するパラメータを示すコマンドを端末装置100に送信する。
【0107】
ステップS240において送信されるコマンドによって生じる動作は、図11及び図12の例と同様である。すなわち、セキュリティ情報SIに基づいて、検疫機能を有する検疫ネットワークスライスに端末装置100が収容されてもよく、セキュリティ情報SIに応じたセキュリティレベルを有するネットワークスライスNSに端末装置100が収容されてもよい。また、ステップS240において送信されるコマンドは、セキュリティ情報SIに含まれる脅威が示す攻撃対象をコアネットワーク30から切り離すような制御を実現するコマンドであってもよい。
【0108】
以降、図11及び図12の例と同様に、端末装置100を含む各ノードが、以上のように検知された脆弱性又は脅威(すなわち、セキュリティ情報SI)に基づいてネットワークスライスNSの構成変更に関する動作を実行することによって、端末装置100が適切なネットワークスライスNSに収容される。
【0109】
<<2.7.3. 第3の動作例>>
図14は、本実施形態における第3の動作例を示すシーケンス図である。図14は、端末装置100からの通信内容に基づいて外部サーバ500が脆弱性又は脅威を検知する例に対応する。
図14は、本実施形態における第3の動作例を示すシーケンス図である。図14は、端末装置100からの通信内容に基づいて外部サーバ500が脆弱性又は脅威を検知する例に対応する。
【0110】
ステップS310において、端末装置100の通信処理部132が、外部サーバ500とCプレーン上の信号及びUプレーン上の信号を送受信する。上記Cプレーン上の信号は、例えば、ログデータであってもよいし、その他の制御メッセージであってもよい。上記Uプレーン上の信号は、例えば、Webサイトを構成するユーザデータであってもよいし、その他のユーザデータであってもよい。
【0111】
ステップS320において、外部サーバ500の検知部532が、端末装置100が送受信するCプレーン上の信号及び/又はUプレーン上の信号(すなわち、端末装置100のCプレーン及び/又はUプレーン上の通信内容)に基づいて、端末装置100に存在する脆弱性又は端末装置100に対する脅威を検知する。検知部532は、例えば、端末装置100のUプレーン上のデータに含まれるマルウェアを脅威として検知できる。他に、検知部532は、例えば、端末装置100のCプレーン上の通信をインターセプトすることで脅威を検知できる。
【0112】
ステップS330において、外部サーバ500の通信処理部533が、検知部532が検知した脆弱性又は脅威をセキュリティ情報SIとしてアクセス管理ノード350に通知する。通信処理部533は、セキュリティ情報SIをUプレーン上の信号としてUPFノード300を介してアクセス管理ノード350に送信してもよいし、セキュリティ情報SIをCプレーン上の信号としてアクセス管理ノード350に送信してもよい。なお、通信処理部533は、以上のセキュリティ情報SIを含むネットワークスライス構成の変更要求をアクセス管理ノード350に通知してよい。
【0113】
ステップS340において、図11及び図12の例と同様に、アクセス管理ノード350の通信処理部333が、外部サーバ500から通知されたセキュリティ情報SIに基づいて、端末装置100を収容すべきネットワークスライスNSに関するパラメータを示すコマンドを端末装置100に送信する。
【0114】
ステップS340において送信されるコマンドによって生じる動作は、図11及び図12の例と同様である。すなわち、セキュリティ情報SIに基づいて、検疫機能を有する検疫ネットワークスライスに端末装置100が収容されてもよく、セキュリティ情報SIに応じたセキュリティレベルを有するネットワークスライスNSに端末装置100が収容されてもよい。また、ステップS340において送信されるコマンドは、セキュリティ情報SIに含まれる脅威が示す攻撃対象をコアネットワーク30から切り離すような制御を実現するコマンドであってもよい。
【0115】
以降、図11及び図12の例と同様に、端末装置100を含む各ノードが、以上のように検知された脆弱性又は脅威(すなわち、セキュリティ情報SI)に基づいてネットワークスライスNSの構成変更に関する動作を実行することによって、端末装置100が適切なネットワークスライスNSに収容される。
【0116】
上記した本実施形態の構成によれば、アクセス管理ノード350、MECサーバ400、又は外部サーバ500が検知したセキュリティ情報SIに基づいて、適切なネットワークスライスへの収容処理を実現することが可能である。すなわち、上記した本実施形態の構成によって、端末装置100を適切なネットワークスライスに収容することが可能である。
【0117】
特に、多種多様な端末装置100がコアネットワーク30に接続されても、適切なネットワークスライスNSに端末装置100を動的に収容できるので、個々の端末装置100や、端末装置100を使用する個々の事業者に対して、個別の設定管理をする負荷が回避される。ひいては、通信システムS1の管理負荷や管理コストを低減することができる。
【0118】
加えて、検知された脆弱性や脅威に応じてネットワークスライスNSの動的な割当てが実現できるので、通信トラヒックが増大してもハードウェア増設の規模(ひいては、設備投資コスト)を低減することができる。
【0119】
<<2.8. 変形例>>
上記した本実施形態は多様に変形される。具体的な変形の態様を以下に例示する。以上の実施形態及び以下の例示から任意に選択された2以上の態様は、相互に矛盾しない限り適宜に併合され得る。
上記した本実施形態は多様に変形される。具体的な変形の態様を以下に例示する。以上の実施形態及び以下の例示から任意に選択された2以上の態様は、相互に矛盾しない限り適宜に併合され得る。
【0120】
上記した脆弱性又は脅威が検知されたことに基づいて、新たなネットワークスライスNSが形成されてもよい。脆弱性又は脅威を示すセキュリティ情報SIに適合したネットワークスライスNS(例えば、脆弱性又は脅威のレベルに応じたセキュリティレベルを有するネットワークスライスNS)が形成されると好適である。
【0121】
上記した本実施形態においては、端末装置100が送受信する信号(Cプレーン上の信号又はUプレーン上の信号)に基づいて脆弱性や脅威が検知され、端末装置100を単位としてネットワークスライスNSの割当てが実行される。
【0122】
しかしながら、以上の構成では、個々の端末装置100ごとにネットワークスライスNSの制御が実行されるので、処理粒度(制御粒度)が微細に過ぎる可能性がある。そこで、本変形例においては、端末装置100ではなく事業者を単位としてネットワークスライスNSの制御が実行される。
【0123】
例えば、アクセス管理ノード350の検知部332、MECサーバ400の検知部432、又は外部サーバ500の検知部532によって、特定の事業者に対する脅威(攻撃)が検知されると、以上の脅威(攻撃)を示すセキュリティ情報SIがアクセス管理ノード350の通信処理部333に供給される。以上の脅威は、特定の事業者が管理するノードが送受信する信号(Cプレーン上の信号又はUプレーン上の信号)に基づいて検知され得る。
【0124】
アクセス管理ノード350の通信処理部333は、供給された以上のセキュリティ情報SIに基づいて、他のネットワークスライスNS(例えば、セキュリティ情報SIが示す攻撃対象であるネットワークスライスNS以外のネットワークスライスNS)に特定の事業者を収容するように制御する。
【0125】
「ネットワークスライスNSに事業者を収容する」とは、例えば、特定の事業者が管理する全部又は一部のノードを、上記ネットワークスライスNSに収容することを意味し得る。上記ネットワークスライスNSに収容される上記ノードには、特定の事業者が管理するコアネットワークノード300が含まれ得る。
【0126】
以上の本変形例の構成によれば、事業者を単位としてネットワークスライスNSの制御が実行されるので、より効率的な収容処理を実現することが可能である。
【0127】
<<3. 第2実施形態>>
次いで、図15から図20を参照して、本発明の第2実施形態を説明する。上述した第1実施形態は具体的な実施形態であるが、第2実施形態はより一般化された実施形態である。以下の第2実施形態によれば、第1実施形態と同様の技術的効果が奏される。
次いで、図15から図20を参照して、本発明の第2実施形態を説明する。上述した第1実施形態は具体的な実施形態であるが、第2実施形態はより一般化された実施形態である。以下の第2実施形態によれば、第1実施形態と同様の技術的効果が奏される。
【0128】
<<3.1. アクセス管理ノード350aの構成と動作例>>
図15は、本発明の第2実施形態に係るアクセス管理ノード350aの概略的な構成を例示するブロック図である。図15に示すように、アクセス管理ノード350aは、複数のネットワークスライスを形成するコアネットワーク30aに属するコアネットワークノードである。
図15は、本発明の第2実施形態に係るアクセス管理ノード350aの概略的な構成を例示するブロック図である。図15に示すように、アクセス管理ノード350aは、複数のネットワークスライスを形成するコアネットワーク30aに属するコアネットワークノードである。
【0129】
アクセス管理ノード350aの通信処理部333aは、端末装置のセキュリティに関するセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。
【0130】
アクセス管理ノード350a及び通信処理部333aは、NFV技術を用いて仮想化されたコアネットワーク30aのリソースによって実装されてよい。また、アクセス管理ノード350aが、NFV技術を用いない物理装置によって実現され、通信処理部333aが、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0131】
-第1実施形態との関係
一例として、第2実施形態に係るアクセス管理ノード350aが備える通信処理部333aが、第1実施形態に係るアクセス管理ノード350が備える通信処理部333の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
一例として、第2実施形態に係るアクセス管理ノード350aが備える通信処理部333aが、第1実施形態に係るアクセス管理ノード350が備える通信処理部333の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
【0132】
<<3.2. MECサーバ400aの構成と動作例>>
図16は、本発明の第2実施形態に係るMECサーバ400aの概略的な構成を例示するブロック図である。図16に示すように、MECサーバ400は、複数のネットワークスライスを形成するコアネットワーク30aに属する。なお、MECサーバ400aが、上記コアネットワーク30aの外部に上記コアネットワーク30aと通信可能なように設けられてもよい。
図16は、本発明の第2実施形態に係るMECサーバ400aの概略的な構成を例示するブロック図である。図16に示すように、MECサーバ400は、複数のネットワークスライスを形成するコアネットワーク30aに属する。なお、MECサーバ400aが、上記コアネットワーク30aの外部に上記コアネットワーク30aと通信可能なように設けられてもよい。
【0133】
MECサーバ400aの通信処理部433aは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記コアネットワーク30aに属するコアネットワークノードに対して送信する。
【0134】
MECサーバ400a及び通信処理部433aは、NFV技術を用いて仮想化されたコアネットワーク30aのリソースによって実装されてよい。また、MECサーバ400aが、NFV技術を用いない物理装置によって実現され、通信処理部433aが、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0135】
-第1実施形態との関係
一例として、第2実施形態に係るMECサーバ400aが備える通信処理部433aが、第1実施形態に係るMECサーバ400が備える通信処理部433の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
一例として、第2実施形態に係るMECサーバ400aが備える通信処理部433aが、第1実施形態に係るMECサーバ400が備える通信処理部433の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
【0136】
<<3.3. 外部サーバ500aの構成と動作例>>
図17は、本発明の第2実施形態に係る外部サーバ500aの概略的な構成を例示するブロック図である。図17に示すように、外部サーバ500は、複数のネットワークスライスを形成するコアネットワーク30aと通信可能に設けられる。
図17は、本発明の第2実施形態に係る外部サーバ500aの概略的な構成を例示するブロック図である。図17に示すように、外部サーバ500は、複数のネットワークスライスを形成するコアネットワーク30aと通信可能に設けられる。
【0137】
外部サーバ500aの通信処理部533aは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記コアネットワーク30aに属するコアネットワークノードに対して送信する。
【0138】
外部サーバ500aは、サーバ装置等の物理装置によって実現されてよい。通信処理部533aは、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0139】
-第1実施形態との関係
一例として、第2実施形態に係る外部サーバ500aが備える通信処理部533aが、第1実施形態に係る外部サーバ500が備える通信処理部533の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
一例として、第2実施形態に係る外部サーバ500aが備える通信処理部533aが、第1実施形態に係る外部サーバ500が備える通信処理部533の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
【0140】
<<3.4.1. 通信システムS1aの第1の構成と動作例>>
図18は、本発明の第2実施形態に係る通信システムS1aの第1の構成を概略的に例示するブロック図である。図18に示すように、通信システムS1aは、アクセス管理ノード350aをコアネットワークノードとして備える。アクセス管理ノード350aは、複数のネットワークスライスを形成するコアネットワーク30aに属する。
図18は、本発明の第2実施形態に係る通信システムS1aの第1の構成を概略的に例示するブロック図である。図18に示すように、通信システムS1aは、アクセス管理ノード350aをコアネットワークノードとして備える。アクセス管理ノード350aは、複数のネットワークスライスを形成するコアネットワーク30aに属する。
【0141】
アクセス管理ノード350aの通信処理部333aは、端末装置のセキュリティに関するセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。
【0142】
アクセス管理ノード350a及び通信処理部333aは、NFV技術を用いて仮想化されたコアネットワーク30aのリソースによって実装されてよい。また、アクセス管理ノード350aが、NFV技術を用いない物理装置によって実現され、通信処理部333aが、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0143】
-第1実施形態との関係
一例として、第2実施形態に係るアクセス管理ノード350aが備える通信処理部333aが、第1実施形態に係るアクセス管理ノード350が備える通信処理部333の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
一例として、第2実施形態に係るアクセス管理ノード350aが備える通信処理部333aが、第1実施形態に係るアクセス管理ノード350が備える通信処理部333の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
【0144】
<<3.4.2. 通信システムS1aの第2の構成と動作例>>
図19は、本発明の第2実施形態に係る通信システムS1aの第2の構成を概略的に例示するブロック図である。図19に示すように、通信システムS1aは、アクセス管理ノード350aをコアネットワークノードとして備えると共に、MECサーバ400aを備える。アクセス管理ノード350a及びMECサーバ400は、複数のネットワークスライスを形成するコアネットワーク30aに属する。なお、MECサーバ400aが、上記コアネットワーク30aの外部に上記コアネットワーク30aと通信可能なように設けられてもよい。
図19は、本発明の第2実施形態に係る通信システムS1aの第2の構成を概略的に例示するブロック図である。図19に示すように、通信システムS1aは、アクセス管理ノード350aをコアネットワークノードとして備えると共に、MECサーバ400aを備える。アクセス管理ノード350a及びMECサーバ400は、複数のネットワークスライスを形成するコアネットワーク30aに属する。なお、MECサーバ400aが、上記コアネットワーク30aの外部に上記コアネットワーク30aと通信可能なように設けられてもよい。
【0145】
MECサーバ400aの通信処理部433aは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記アクセス管理ノード350a(コアネットワークノード)に対して送信する。
【0146】
アクセス管理ノード350aの通信処理部333aは、MECサーバ400aからのセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。
【0147】
アクセス管理ノード350a及び通信処理部333a並びにMECサーバ400a及び通信処理部433aは、NFV技術を用いて仮想化されたコアネットワーク30aのリソースによって実装されてよい。また、アクセス管理ノード350a及び/又はMECサーバ400aが、NFV技術を用いない物理装置によって実現され、通信処理部333a及び/又は通信処理部433aが、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0148】
-第1実施形態との関係
一例として、第2実施形態に係るアクセス管理ノード350aが備える通信処理部333aが、第1実施形態に係るアクセス管理ノード350が備える通信処理部333の動作を実行してもよい。同様に、第2実施形態に係るMECサーバ400aが備える通信処理部433aが、第1実施形態に係るMECサーバ400が備える通信処理部433の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
一例として、第2実施形態に係るアクセス管理ノード350aが備える通信処理部333aが、第1実施形態に係るアクセス管理ノード350が備える通信処理部333の動作を実行してもよい。同様に、第2実施形態に係るMECサーバ400aが備える通信処理部433aが、第1実施形態に係るMECサーバ400が備える通信処理部433の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
【0149】
<<3.4.3. 通信システムS1aの第3の構成と動作例>>
図20は、本発明の第2実施形態に係る通信システムS1aの第3の構成を概略的に例示するブロック図である。図20に示すように、通信システムS1aは、アクセス管理ノード350aをコアネットワークノードとして備えると共に、外部サーバ500aを備える。アクセス管理ノード350aは、複数のネットワークスライスを形成するコアネットワーク30aに属する。外部サーバ500aは、上記コアネットワーク30aと通信可能に設けられる。
図20は、本発明の第2実施形態に係る通信システムS1aの第3の構成を概略的に例示するブロック図である。図20に示すように、通信システムS1aは、アクセス管理ノード350aをコアネットワークノードとして備えると共に、外部サーバ500aを備える。アクセス管理ノード350aは、複数のネットワークスライスを形成するコアネットワーク30aに属する。外部サーバ500aは、上記コアネットワーク30aと通信可能に設けられる。
【0150】
外部サーバ500aの通信処理部533aは、端末装置のセキュリティに関するセキュリティ情報を含むメッセージを上記アクセス管理ノード350a(コアネットワークノード)に対して送信する。
【0151】
アクセス管理ノード350aの通信処理部333aは、外部サーバ500aからのセキュリティ情報に基づいて、上記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを上記端末装置に送信する。
【0152】
アクセス管理ノード350a及び通信処理部333aは、NFV技術を用いて仮想化されたコアネットワーク30aのリソースによって実装されてよい。また、アクセス管理ノード350aがNFV技術を用いない物理装置によって実現され、通信処理部333aが、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてもよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0153】
外部サーバ500aは、サーバ装置等の物理装置によって実現されてよい。通信処理部533aは、1つ以上のプロセッサと、メモリ(例えば、不揮発性メモリ及び/若しくは揮発性メモリ)並びに/又はハードディスクとにより実装されてよい。上記メモリは、上記1つ以上のプロセッサ内に含まれていてもよく、又は、上記1つ以上のプロセッサ外にあってもよい。
【0154】
-第1実施形態との関係
一例として、第2実施形態に係るアクセス管理ノード350aが備える通信処理部333aが、第1実施形態に係るアクセス管理ノード350が備える通信処理部333の動作を実行してもよい。同様に、第2実施形態に係る外部サーバ500aが備える通信処理部533aが、第1実施形態に係るMECサーバ400が備える通信処理部433の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
一例として、第2実施形態に係るアクセス管理ノード350aが備える通信処理部333aが、第1実施形態に係るアクセス管理ノード350が備える通信処理部333の動作を実行してもよい。同様に、第2実施形態に係る外部サーバ500aが備える通信処理部533aが、第1実施形態に係るMECサーバ400が備える通信処理部433の動作を実行してもよい。以上の場合、第1実施形態についての説明が第2実施形態にも適用可能である。なお、第2実施形態は以上の例に限定されるものではない。
【0155】
<<4. 他の実施形態>>
以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
以上、本発明の実施形態を説明したが、本発明はこれらの実施形態に限定されるものではない。これらの実施形態は例示にすぎないということ、及び、本発明のスコープ及び精神から逸脱することなく様々な変形が可能であるということは、当業者に理解されるであろう。
【0156】
例えば、本明細書に記載されている処理におけるステップは、必ずしもシーケンス図に記載された順序に沿って時系列に実行されなくてよい。例えば、処理におけるステップは、シーケンス図として記載した順序と異なる順序で実行されても、並列的に実行されてもよい。また、処理におけるステップの一部が削除されてもよく、さらなるステップが処理に追加されてもよい。
【0157】
また、本明細書において説明した端末装置、基地局、コアネットワークノード、MECサーバ、及び外部サーバの構成要素(例えば、制御部、検知部、及び/又は通信処理部)を備える装置(例えば、以上のいずれかのエンティティを構成する複数の装置(又はユニット)のうちの1つ以上の装置(又はユニット)、又は上記複数の装置(又はユニット)のうちの1つのためのモジュール)が提供されてもよい。
【0158】
また、上記構成要素の処理を含む方法が提供されてもよく、上記構成要素の処理をプロセッサに実行させるためのプログラムが提供されてもよい。また、当該プログラムを記録したコンピュータに読み取り可能な非一時的記録媒体(Non-transitory computer readable medium)が提供されてもよい。当然ながら、このような装置、モジュール、方法、プログラム、及びコンピュータに読み取り可能な非一時的記録媒体も本発明に含まれる。
【0159】
上記実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
【0160】
(付記1)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
コアネットワークノード。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
コアネットワークノード。
【0161】
(付記2)
前記コマンドは、前記端末装置を収容すべき前記ネットワークスライスを特定するスライス情報を含む、
付記1に記載のコアネットワークノード。
前記コマンドは、前記端末装置を収容すべき前記ネットワークスライスを特定するスライス情報を含む、
付記1に記載のコアネットワークノード。
【0162】
(付記3)
前記コマンドは、前記端末装置の構成を更新するUE Configuration Update Commandである、
付記1又は付記2に記載のコアネットワークノード。
前記コマンドは、前記端末装置の構成を更新するUE Configuration Update Commandである、
付記1又は付記2に記載のコアネットワークノード。
【0163】
(付記4)
前記スライス情報は、スライス/サービスタイプ(Slice/Service Type)を特定するNSSAI(Network Slice Selection Assistance Information)パラメータを含む、
付記2に記載のコアネットワークノード。
前記スライス情報は、スライス/サービスタイプ(Slice/Service Type)を特定するNSSAI(Network Slice Selection Assistance Information)パラメータを含む、
付記2に記載のコアネットワークノード。
【0164】
(付記5)
前記通信処理部は、前記セキュリティ情報に基づいて、検疫機能を有する検疫ネットワークスライスに前記端末装置を収容させる、
付記1から付記4のいずれか1項に記載のコアネットワークノード。
前記通信処理部は、前記セキュリティ情報に基づいて、検疫機能を有する検疫ネットワークスライスに前記端末装置を収容させる、
付記1から付記4のいずれか1項に記載のコアネットワークノード。
【0165】
(付記6)
前記通信処理部は、前記セキュリティ情報に応じたセキュリティレベルを有するネットワークスライスに前記端末装置を収容させる、
付記1から付記4のいずれか1項に記載のコアネットワークノード。
前記通信処理部は、前記セキュリティ情報に応じたセキュリティレベルを有するネットワークスライスに前記端末装置を収容させる、
付記1から付記4のいずれか1項に記載のコアネットワークノード。
【0166】
(付記7)
前記通信処理部は、前記セキュリティ情報が示す攻撃対象を前記コアネットワークから切り離す、
付記1から付記4のいずれか1項に記載のコアネットワークノード。
前記通信処理部は、前記セキュリティ情報が示す攻撃対象を前記コアネットワークから切り離す、
付記1から付記4のいずれか1項に記載のコアネットワークノード。
【0167】
(付記8)
前記端末装置に存在する脆弱性を検知し、検知した前記脆弱性を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
付記1から付記7のいずれか1項に記載のコアネットワークノード。
前記端末装置に存在する脆弱性を検知し、検知した前記脆弱性を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
付記1から付記7のいずれか1項に記載のコアネットワークノード。
【0168】
(付記9)
前記検知部は、前記端末装置が送信する登録要求メッセージに示される当該端末装置のセキュリティ能力に基づいて前記脆弱性を検知する、
付記8に記載のコアネットワークノード。
前記検知部は、前記端末装置が送信する登録要求メッセージに示される当該端末装置のセキュリティ能力に基づいて前記脆弱性を検知する、
付記8に記載のコアネットワークノード。
【0169】
(付記10)
前記登録要求メッセージは、位置登録時に前記端末装置から送信され、前記セキュリティ能力を示すN2パラメータを含む、
付記9に記載のコアネットワークノード。
前記登録要求メッセージは、位置登録時に前記端末装置から送信され、前記セキュリティ能力を示すN2パラメータを含む、
付記9に記載のコアネットワークノード。
【0170】
(付記11)
前記検知部は、前記端末装置のCプレーン上の通信内容に基づいて前記脆弱性を検知する、
付記8から付記10のいずれか1項に記載のコアネットワークノード。
前記検知部は、前記端末装置のCプレーン上の通信内容に基づいて前記脆弱性を検知する、
付記8から付記10のいずれか1項に記載のコアネットワークノード。
【0171】
(付記12)
前記端末装置に対する脅威を検知し、検知した前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
付記1から付記7のいずれか1項に記載のコアネットワークノード。
前記端末装置に対する脅威を検知し、検知した前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
付記1から付記7のいずれか1項に記載のコアネットワークノード。
【0172】
(付記13)
前記検知部は、前記端末装置のCプレーン上の通信内容に基づいて前記脅威を検知する、
付記12に記載のコアネットワークノード。
前記検知部は、前記端末装置のCプレーン上の通信内容に基づいて前記脅威を検知する、
付記12に記載のコアネットワークノード。
【0173】
(付記14)
前記通信処理部は、前記コアネットワークに属する又は前記コアネットワークと通信可能なMEC(Mobile Edge Computing)サーバが検知した前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を、前記セキュリティ情報として受信する、
付記1から付記7のいずれか1項に記載のコアネットワークノード。
前記通信処理部は、前記コアネットワークに属する又は前記コアネットワークと通信可能なMEC(Mobile Edge Computing)サーバが検知した前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を、前記セキュリティ情報として受信する、
付記1から付記7のいずれか1項に記載のコアネットワークノード。
【0174】
(付記15)
前記セキュリティ情報は、前記端末装置のUプレーン上の通信内容に基づいて前記MECサーバが検知した前記脆弱性又は前記脅威を示す、
付記14に記載のコアネットワークノード。
前記セキュリティ情報は、前記端末装置のUプレーン上の通信内容に基づいて前記MECサーバが検知した前記脆弱性又は前記脅威を示す、
付記14に記載のコアネットワークノード。
【0175】
(付記16)
前記通信処理部は、前記コアネットワーク外に位置する外部サーバが検知した前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を、前記セキュリティ情報として受信する、
付記1から付記7のいずれか1項に記載のコアネットワークノード。
前記通信処理部は、前記コアネットワーク外に位置する外部サーバが検知した前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を、前記セキュリティ情報として受信する、
付記1から付記7のいずれか1項に記載のコアネットワークノード。
【0176】
(付記17)
前記セキュリティ情報は、前記端末装置のCプレーン及び/又はUプレーン上の通信内容に基づいて前記外部サーバが検知した前記脆弱性又は前記脅威を示す、
付記16に記載のコアネットワークノード。
前記セキュリティ情報は、前記端末装置のCプレーン及び/又はUプレーン上の通信内容に基づいて前記外部サーバが検知した前記脆弱性又は前記脅威を示す、
付記16に記載のコアネットワークノード。
【0177】
(付記18)
Access and Mobility Management Functionである、付記1から付記17のいずれか1項に記載のコアネットワークノード。
Access and Mobility Management Functionである、付記1から付記17のいずれか1項に記載のコアネットワークノード。
【0178】
(付記19)
複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なMECサーバであって、
端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える、
MECサーバ。
複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なMECサーバであって、
端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える、
MECサーバ。
【0179】
(付記20)
前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を検知し、検知した前記脆弱性又は前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
付記19に記載のMECサーバ。
前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を検知し、検知した前記脆弱性又は前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
付記19に記載のMECサーバ。
【0180】
(付記21)
複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、
端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える、
外部サーバ。
複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、
端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部を備える、
外部サーバ。
【0181】
(付記22)
前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を検知し、検知した前記脆弱性又は前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
付記21に記載の外部サーバ。
前記端末装置に存在する脆弱性又は前記端末装置に対する脅威を検知し、検知した前記脆弱性又は前記脅威を前記セキュリティ情報として前記通信処理部に通知する検知部を備える、
付記21に記載の外部サーバ。
【0182】
(付記23)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、
前記コアネットワークノードは、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
通信システム。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、
前記コアネットワークノードは、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
通信システム。
【0183】
(付記24)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、
前記コアネットワークに属する又は前記コアネットワークと通信可能なMECサーバと、を備える通信システムであって、
前記MECサーバは、
端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、
前記コアネットワークノードは、
前記MECサーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
通信システム。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、
前記コアネットワークに属する又は前記コアネットワークと通信可能なMECサーバと、を備える通信システムであって、
前記MECサーバは、
端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、
前記コアネットワークノードは、
前記MECサーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
通信システム。
【0184】
(付記25)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、
前記コアネットワークと通信可能な外部サーバと、を備える通信システムであって、
前記外部サーバは、
端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、
前記コアネットワークノードは、
前記外部サーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
通信システム。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードと、
前記コアネットワークと通信可能な外部サーバと、を備える通信システムであって、
前記外部サーバは、
端末装置のセキュリティに関するセキュリティ情報を含むメッセージを前記コアネットワークノードに対して送信する通信処理部を備え、
前記コアネットワークノードは、
前記外部サーバからの前記セキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備える、
通信システム。
【0185】
(付記26)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信することを備える、
制御方法。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信することを備える、
制御方法。
【0186】
(付記27)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
プログラム。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
プログラム。
【0187】
(付記28)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
プログラムを記録した非一過性の記録媒体。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
端末装置のセキュリティに関するセキュリティ情報に基づいて、前記端末装置を収容すべきネットワークスライスに関するパラメータを示すコマンドを前記端末装置に送信する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
プログラムを記録した非一過性の記録媒体。
【0188】
(付記29)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
検知された前記脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部と、を備える、
コアネットワークノード。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
検知された前記脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部と、を備える、
コアネットワークノード。
【0189】
(付記30)
複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なMEC(Mobile Edge Computing)サーバであって、
特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える、
MECサーバ。
複数のネットワークスライスを形成するコアネットワークに属する又は複数のネットワークスライスを形成するコアネットワークと通信可能なMEC(Mobile Edge Computing)サーバであって、
特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える、
MECサーバ。
【0190】
(付記31)
複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、
特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える、
外部サーバ。
複数のネットワークスライスを形成するコアネットワークと通信可能な外部サーバであって、
特定の事業者が管理するノードが送受信する信号に基づいてセキュリティ上の脅威を検知する検知部と、
検知された前記脅威を示すセキュリティ情報を含むメッセージを前記コアネットワークに属するコアネットワークノードに対して送信する通信処理部と、を備える、
外部サーバ。
【0191】
(付記32)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、
前記コアネットワークノードは、
特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備える、
通信システム。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードを備える通信システムであって、
前記コアネットワークノードは、
特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備える、
通信システム。
【0192】
(付記33)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、
特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御することを備える、
制御方法。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードの制御方法であって、
特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御することを備える、
制御方法。
【0193】
(付記34)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
プログラム。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
プログラム。
【0194】
(付記35)
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
プログラムを記録した非一過性の記録媒体。
複数のネットワークスライスを形成するコアネットワークに属するコアネットワークノードであって、
特定の事業者が管理するノードが送受信する信号に基づいて検知されたセキュリティ上の脅威に基づいて、前記特定の事業者を他のネットワークスライスに収容するように制御する通信処理部を備えるコアネットワークノードとしてコンピュータを機能させる、
プログラムを記録した非一過性の記録媒体。
【0195】
この出願は、2020年6月26日に出願された日本出願特願2020-110059を基礎とする優先権を主張し、その開示の全てをここに取り込む。
【産業上の利用可能性】
【0196】
アクセス管理ノード350、MECサーバ400、又は外部サーバ500が検知したセキュリティ情報SI(脆弱性又は脅威)に基づいて、端末装置100を適切なネットワークスライスに収容することが可能である。
【符号の説明】
【0197】
S1 通信システム
30 コアネットワーク
100 端末装置
200 基地局
300 コアネットワークノード
350 アクセス管理ノード
400 MECサーバ
500 外部サーバ
30 コアネットワーク
100 端末装置
200 基地局
300 コアネットワークノード
350 アクセス管理ノード
400 MECサーバ
500 外部サーバ
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図15】
【図16】
【図17】
【図18】
【図19】
【図20】