▶ テレフオンアクチーボラゲット エル エム エリクソン(パブル)の特許一覧
特表2022-541760コアネットワークドメインにおける証明書ハンドリングのための技法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2022-09-27
(54)【発明の名称】コアネットワークドメインにおける証明書ハンドリングのための技法
(51)【国際特許分類】
H04W 12/108 20210101AFI20220916BHJP
H04L 9/32 20060101ALI20220916BHJP
H04W 88/18 20090101ALI20220916BHJP
H04W 76/10 20180101ALI20220916BHJP
【FI】
H04W12/108
H04L9/32 200B
H04L9/32 200F
H04W88/18
H04W76/10 130
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2022502053
(86)(22)【出願日】2019-09-03
(85)【翻訳文提出日】2022-03-09
(86)【国際出願番号】 EP2019073411
(87)【国際公開番号】W WO2021008716
(87)【国際公開日】2021-01-21
(31)【優先権主張番号】19382607.0
(32)【優先日】2019-07-17
(33)【優先権主張国・地域又は機関】EP
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.3GPP
2.JAVASCRIPT
(71)【出願人】
【識別番号】598036300
【氏名又は名称】テレフオンアクチーボラゲット エルエム エリクソン(パブル)
(74)【代理人】
【識別番号】100109726
【弁理士】
【氏名又は名称】園田 吉隆
(74)【代理人】
【識別番号】100161470
【弁理士】
【氏名又は名称】冨樫 義孝
(74)【代理人】
【識別番号】100194294
【弁理士】
【氏名又は名称】石岡 利康
(74)【代理人】
【識別番号】100194320
【弁理士】
【氏名又は名称】藤井 亮
(74)【代理人】
【識別番号】100150670
【弁理士】
【氏名又は名称】小梶 晴美
(72)【発明者】
【氏名】マルティネス デ ラ クルス, パブロ
(72)【発明者】
【氏名】ガルシア ガルシア, フランシスコ ハビエル
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067DD11
5K067EE02
5K067EE10
5K067EE16
5K067HH23
(57)【要約】
移動体通信ネットワークのコアネットワークドメインにおいて、ネットワークリポジトリ機能(NRF)が提供され、NRFは、ネットワーク機能(NF)ディスカバリのためにNFプロファイルを登録するように設定され、NF証明書はNFに向けて発行されており、各NF証明書はそれぞれのNFの公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含む。NRFは、NF証明書を有する登録NFから、登録NFのNF識別情報、登録NFのNFタイプ、および登録NFに向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を含むプロファイル情報を受信するように設定される。NRFは、受信したプロファイル情報をリポジトリに記憶するようにさらに設定される。
【選択図】図4
【選択図】図4
【特許請求の範囲】
【請求項1】
移動体通信ネットワークのコアネットワークドメイン(102)において、ネットワークリポジトリ機能(NRF)を提供するように設定される装置(106)であって、前記NRFは、ネットワーク機能(NF)ディスカバリのためにNFプロファイルを登録するように設定され、NF証明書はNF(107)に向けて発行されており、各NF証明書はそれぞれの前記NFの公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含み、前記装置(106)は、NF証明書を有する登録NF(107)から、
前記登録NF(107)のNF識別情報、
前記登録NF(107)のNFタイプ、および
前記登録NF(107)に向けて発行された前記NF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書
を含むプロファイル情報を受信することと(210)、
受信した前記プロファイル情報をリポジトリ(106A)に記憶することと(212)
を行うように設定される、装置(106)。
【請求項2】
前記登録NF(107)に向けて発行された前記NF証明書が、前記登録NF(107)の前記NF識別情報とは異なるNF識別子をさらに含み、受信した前記プロファイル情報が前記NF識別子をさらに含む、請求項1に記載の装置。
【請求項3】
前記NF識別子が、前記NF証明書のサブジェクトフィールドに含まれる、請求項2に記載の装置。
【請求項4】
前記NF識別子が、完全修飾ドメイン名(FQDN)、およびsecure production identity framework for everyone(SPIFFE)識別子のうちの1つの形態を取る、請求項2または3に記載の装置。
【請求項5】
前記NF識別情報が、前記コアネットワークドメイン(102)において、前記登録NF(107)を発見可能または区別可能にする、請求項1から4のいずれか一項に記載の装置。
【請求項6】
少なくとも1つのNFタイプを示すディスカバリ要求を受信することと、前記リポジトリ(106A)にアクセスして、少なくとも示された前記NFタイプに一致する1つまたは複数のNFプロファイルを識別することと、
前記1つまたは複数の一致するNFプロファイルからのディスカバリ情報を含むディスカバリ応答を送信することであって、前記ディスカバリ情報がそれぞれの前記NFプロファイルごとに記憶された少なくとも前記1つまたは複数のCA証明書を含む、ディスカバリ応答を送信することと
を行うように設定される、請求項1から5のいずれか一項に記載の装置。
【請求項7】
第1のNF(107E)から、更新されたCA証明書情報を含む更新要求を受信することと、前記第1のNF(107E)の前記プロファイル情報を、前記更新されたCA証明書情報に基づいて更新することと
を行うように設定される、請求項1から6のいずれか一項に記載の装置。
【請求項8】
前記第1のNF(107E)に関連付けられる1つまたは複数の第2のNF(107D)を、通知のサブスクリプションを通じて、識別することと、前記更新されたCA証明書情報の少なくとも一部を、前記1つまたは複数の識別された第2のNF(107D)に送信することと
を行うように設定される、請求項7に記載の装置。
【請求項9】
移動体通信ネットワークのコアネットワークドメイン(102)において、ネットワーク機能(NF)を提供するように設定される装置(107)であって、NF証明書は前記NF(107)に向けて発行されており、前記NF証明書は、前記NF(107)の公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含み、前記装置は、前記NF(107)に向けて発行された前記NF証明書に署名した前記少なくとも1つのCAの前記少なくとも1つのCA証明書を取得することと(310)、
前記コアネットワークドメインにおいて、NFディスカバリのためにNFプロファイルを登録するように設定される、ネットワークリポジトリ機能(NRF)(106)にプロファイル情報を送信すること(312)であって、前記プロファイル情報が
登録NF(107)のNF識別情報、
前記登録NF(107)のNFタイプ、および
前記少なくとも1つのCA証明書
を含む、プロファイル情報を送信することと(312)
を行うように設定される、装置(107)。
【請求項10】
前記登録NF(107)に向けて発行された前記NF証明書が、前記登録NF(107)の前記NF識別情報とは異なるNF識別子をさらに含み、受信した前記プロファイル情報が前記NF識別子をさらに含む、請求項9に記載の装置。
【請求項11】
他のNF(107D/E)とのハンドシェイク手順において、前記他のNF(107D/E)に、前記NF証明書を送信するように設定される、請求項9または10に記載の装置。
【請求項12】
少なくとも1つのNFタイプを示すディスカバリ要求を、前記NRF(106)に送信することと、前記NRF(106)から、少なくとも前記NFタイプに一致する1つまたは複数のNFプロファイルからのディスカバリ情報を含むディスカバリ応答を受信することであって、前記ディスカバリ情報が、それぞれの前記NFプロファイルごと記憶された前記少なくとも1つのCA証明書を含む、ディスカバリ応答を受信することと、
前記ディスカバリ情報を記憶装置に記憶することと
を行うように設定される、請求項9から11のいずれか一項に記載の装置。
【請求項13】
ディスカバリ情報が以前に前記NRF(106)から受信されている、他のNF(107D/E)から、前記他のNF(107D/E)に対して発行された前記NF証明書を受信することと、前記記憶装置から前記ディスカバリ情報に含まれる前記少なくとも1つのCA証明書を読み取ることと、
前記NF証明書を前記記憶装置から読み取った前記CA証明書を使用して有効性確認することと
を行うように設定される、請求項12に記載の装置。
【請求項14】
受信した前記NF証明書から第1のNF識別子を抽出することと、前記プロファイル情報から第2のNF識別子を抽出することと、
前記第2のNF識別子に基づいて前記第1のNF識別子を有効性確認することと
を行うように設定される、請求項13に記載の装置。
【請求項15】
前記NF証明書が、他のNF(107D/E)とのハンドシェイク手順のコンテキストにおいて受信される、請求項13または14に記載の装置。
【請求項16】
前記ハンドシェイク手順がトランスポートレイヤセキュリティ(TLS)プロトコルに基づくものである、請求項11または15に記載の装置。
【請求項17】
前記NRF(106)から、通知のサブスクリプションを通じて受信側の前記NFに関連付けられ、ディスカバリ情報が以前に受信されて記憶されているNF(107)についての更新されたCA証明書情報の少なくとも一部を受信することと、記憶された前記ディスカバリ情報を、受信した前記更新されたCA証明書情報に基づいて更新することと
を行うように設定される、請求項12から16のいずれか一項に記載の装置。
【請求項18】
前記NF(107)についての更新されたCA証明書情報を決定することと、前記NRF(106)に、前記NF(107)についての前記更新されたCA証明書情報を含む更新メッセージを送信することと
を行うように設定される、請求項10から17のいずれか一項に記載の装置。
【請求項19】
サービスを消費するNF(107D)として設定される、請求項10から18のいずれか一項に記載の装置。
【請求項20】
サービスをプロデュースするNF(107E)として設定される、請求項10から18のいずれか一項に記載の装置。
【請求項21】
請求項1から8のいずれか一項に記載の前記装置(106)、および請求項9から20のいずれか一項に記載の前記装置(107)を備える、コアネットワークシステム。
【請求項22】
移動体通信ネットワークのコアネットワークドメイン(106)において、ネットワークリポジトリ機能(NRF)(106)を提供する方法であって、前記NRFは、ネットワーク機能(NF)ディスカバリのためにNFプロファイルを登録するように設定され、NF証明書はNF(107)に向けて発行されており、各NF証明書はそれぞれの前記NF(107)の公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含み、前記方法は、NF証明書を有する登録NF(107)から、
前記登録NF(107)のNF識別情報、
前記登録NF(107)のNFタイプ、および
前記登録NF(107)に向けて発行された前記NF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書
を含むプロファイル情報を受信することと(406)、
受信した前記プロファイル情報をリポジトリ(106A)に記憶することと(408)
を含む、方法。
【請求項23】
請求項1から8のいずれか一項に記載の前記装置によって実施される、請求項22に記載の方法。
【請求項24】
移動体通信ネットワークのコアネットワークドメイン(102)において、ネットワーク機能(NF)(107)を提供する方法であって、NF証明書は前記NF(107)に向けて発行されており、前記NF証明書は、前記NF(107)の公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含み、前記方法は、前記NF(107)に向けて発行された前記NF証明書に署名した前記少なくとも1つのCAの前記少なくとも1つのCA証明書を取得することと(402)、
前記コアネットワークドメイン(102)においてNFディスカバリのためにNFプロファイルを登録するように設定される、ネットワークリポジトリ機能(NRF)(106)にプロファイル情報を送信すること(404)であって、前記プロファイル情報が
登録NF(107)のNF識別情報、
前記登録NF(107)のNFタイプ、および
前記少なくとも1つのCA証明書
を含む、プロファイル情報を送信することと(404)
を含む、方法。
【請求項25】
請求項9から20のいずれか一項に記載の前記装置によって実施される、請求項24に記載の方法。
【請求項26】
プログラムコード部分が1つまたは複数のプロセッサ(202、302)によって実施されると、請求項22から25のいずれか一項に記載の前記方法を実施するための前記プログラムコード部分を含む、コンピュータプログラム製品。
【請求項27】
コンピュータ可読媒体に記憶される、請求項26に記載のコンピュータプログラム製品。【発明の詳細な説明】
【技術分野】
【0001】
本開示は、一般的に移動体通信システムに関し、詳細には移動体通信ネットワークのコアネットワークドメインに関する。より詳細には、本開示は、コアネットワークドメインにおいてネットワークリポジトリ機能およびネットワーク機能を提供する装置、コアネットワークドメインシステム、対応する方法、ならびにコンピュータプログラム製品に関する。
【背景技術】
【0002】
第3世代パートナーシッププロジェクト(3GPP)は、第5世代(5G)通信システムに向けて開発中の技術仕様(TS:technical specification)である。3GPP TS 23.501 V15.4.0(2018-12)は、5Gのサービスベースアーキクテチャ(SBA:Service Based Architecture)のアーキクテチャ上の態様を規定している。このSBAによると、ネットワーク機能(NF:network function)は、他のNFからのサービスを消費するためにサービスベースの対話を使用する。サービスのディスカバリおよびそれらをプロデュースするNFのディスカバリは、ネットワークリポジトリ機能(NRF:network repository function)によって提供される。
【0003】
サービスをプロデュースするNFは、NRFにおいてNFのプロファイルを登録、更新、または登録抹消する。サービスを消費するNFは、所与のタイプのサービスを提供するNFインスタンスについてNRFに問い合わせることによって、NFプロデューサーインスタンスによって提供されるサービスを発見する。NFは、NRFに登録されたNFのステータスの変更を、サブスクライブおよびサブスクライブ解除してもよい。そのようなサブスクリプションに基づいて、NRFは、NFに他のNFのステータス変更を通知する。
【0004】
SBAのセキュリティメカニズムは、3GPP TS 33.501 V15.3.1で指定されている。例えば、この文書のセクション13.1は、NFは、サーバ側とクライアント側の両方の証明書によりトランスポートレイヤセキュリティ(TLS:Transport Layer Security)をサポートするものと規定している。このTLSモードは、通常相互TLS(mTLS)と称される。
【0005】
TLSは、公開鍵を含み、認証局(CA:certification authority)によりデジタル署名されたX.509証明書を使用する。CAは、他のCAによって署名される場合がある証明書を有している。ルートCAは、その証明書が、他のどのCAによっても署名されていないCAである。証明書チェーンは、ルートCAで始まり、すべての(ルートCA以外の)中間的なCAを含み、クライアント証明書またはサーバ証明書で終わり、それぞれの証明書は、それ以前の証明書において符号化された公開鍵に対して署名される。
【0006】
X.509証明書を受信するパーティは、それを有効性確認(validate)しなければならない。有効性確認とは、証明書チェーンを横断し、すべての証明書署名を有効性確認することを意味する。すべての署名が有効である場合、証明書は、有効であると考えられる。
【0007】
サービスコンシューマーNFの証明書が、サービスプロデューサーNFによって正常に有効性確認された場合、サービスプロデューサーNFは、このサービスコンシューマーNFを認証(authenticate)する。次いで、サービスプロデューサーNFは、サービスコンシューマーNFを認可(authorize)する必要がある、つまり、サービスコンシューマーNFが、サービスプロデューサーNFによって提供されるサービスを消費するよう権限付けられているかチェックする必要がある。
【0008】
TS 33.501によると、任意選択的にトークンベースの認可を使用することが可能である。使用されない場合、サービスプロデューサーNFは、ローカルポリシに基づいてサービスコンシューマーNFの認可をチェックすることになる。
【0009】
mTLSを使用する場合、CA証明書のライフサイクル管理が必須となる。そのような管理を大規模に行うことは、複雑なタスクであり、高額な統合を必要として複雑性を招くものである。その一方で、トークンベースの認可が使用されず、認可がローカルポリシに基づいている場合、アクセス制御リスト(ACL:access control list)または等価なメカニズムを、サービスプロデューサーNFにおいて設定する必要があり、ネットワーク内に新しいNFインスタンスをインスタンス化する際、すべてのサービスプロデューサーNFのACLを更新しなければならず、これもまた複雑かつ高額である。
【発明の概要】
【0010】
コアネットワークドメインにおいてCA証明書の効率的なハンドリングを提供する技法が必要である。
【0011】
第1の態様によると、移動体通信ネットワークのコアネットワークドメインにおいて、ネットワークリポジトリ機能(NRF)を提供するように設定された装置が提供され、NRFは、ネットワーク機能(NF)ディスカバリのためにNFプロファイルを登録するように設定され、NF証明書はNFに向けて発行されており、各NF証明書はそれぞれのNFの公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含む。装置は、NF証明書を有する登録NFから、登録NFのNF識別情報、登録NFのNFタイプ、および登録NFに向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を含むプロファイル情報を受信するように設定される。装置は、受信したプロファイル情報をリポジトリに記憶するようにさらに設定される。
【0012】
例として、一部またはすべてのNFのNFプロファイルは、対応するNFプロファイルに関連付けられるNFの証明書を有効性確認するために必要とされる1つもしくは複数またはすべてのCA証明書を含む属性により、それぞれ拡張されてもよい。有効性確認は、特にサービスコンシューマーNFとサービスプロデューサーNFとの間の相互ハンドシェイク手順の間に行われる場合がある。ハンドシェイク手順は、TLSプロトコルに従ってもよい。
【0013】
1つの変形では、登録NFに向けて発行されたNF証明書は、登録NFのNF識別情報とは異なるNF識別子をさらに含む。この変形では、受信したプロファイル情報は、NF識別子をさらに含んでもよい。例として、一部またはすべてのNFのNFプロファイルは、対応するNFプロファイルに関連付けられるNFのNF識別子を含むさらなる属性により、それぞれ拡張されてもよい。NF識別子は、サービスコンシューマーNFとサービスプロデューサーNFとの間の相互ハンドシェイク手順の間の、有効性確認目的に使用されてもよい。
【0014】
例として、NF識別子は、NF証明書のサブジェクトフィールドに含まれる特定の識別子であってもよい。場合によっては、NF識別子は、完全修飾ドメイン名(FQDN:fully qualified domain name)、およびsecure production identity framework for everyone(SPIFFE)識別子のうちの1つの形態を取ってもよい。
【0015】
NF識別子とは反対に、「レギュラー」NF識別情報は、コアネットワークドメインにおいて、(このNF識別情報を含むNFプロファイルに関連付けられる)NFを発見可能または区別可能にしてもよい。
【0016】
装置は、少なくとも1つのNFタイプを示すディスカバリ要求を受信するように設定されてもよい。そのような実装形態では、装置は、リポジトリにアクセスして、少なくとも示されたNFタイプに一致する1つまたは複数のNFプロファイルを識別することと、1つまたは複数の一致するNFプロファイルからのディスカバリ情報を含むディスカバリ応答を送信することとを行うようにさらに設定されてもよい。場合によっては、ディスカバリ情報は、それぞれのNFプロファイルごとに記憶された少なくとも1つまたは複数のCA証明書を含む。
【0017】
装置は、第1のNFから、更新されたCA証明書情報を含む更新要求を受信するようにさらに設定されてもよい。次いで、装置は、第1のNFのプロファイル情報を、更新されたCA証明書情報に基づいて更新してもよい。特に、装置は、第1のNFに関連付けられる1つまたは複数の第2のNFを、通知のサブスクリプションを通じて、識別することと、更新されたCA証明書情報の少なくとも一部を、1つまたは複数の識別された第2のNFに送信することとを行うように設定されてもよい。
【0018】
装置は、第1のNFから、更新されたNF識別子情報を含む更新要求を受信するようにさらに設定されてもよい。次いで、装置は、第1のNFのプロファイル情報を、更新されたNF識別子情報に基づいて更新してもよい。特に、装置は、第1のNFに関連付けられる1つまたは複数の第2のNFを、通知のサブスクリプションを通じて、識別することと、更新されたNF識別子情報の少なくとも一部を、1つまたは複数の識別された第2のNFに送信することとを行うように設定されてもよい。
【0019】
第2の態様によると、移動体通信ネットワークのコアネットワークドメインにおいて、ネットワーク機能(NF)を提供するように設定される装置が提供され、NF証明書はNFに向けて発行されており、NF証明書は、NFの公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含む。第2の態様の装置は、NFに向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を取得することと、コアネットワークドメインにおいて、NFディスカバリのためにNFプロファイルを登録するように設定される、ネットワークリポジトリ機能(NRF)にプロファイル情報を送信することを行うように設定され、プロファイル情報は、登録NFのNF識別情報、登録NFのNFタイプ、および少なくとも1つのCA証明書を含む。
【0020】
登録NFに向けて発行されたNF証明書は、登録NFのNF識別情報とは異なるNF識別子をさらに含んでもよい。受信したプロファイル情報は、例えば属性の形態で(例えば、少なくとも1つのCA証明書を規定する属性に加えて)NF識別子をさらに含んでもよい。
【0021】
第2の態様の装置は、他のNFとのハンドシェイク手順において、他のNFに、NF証明書を送信するように設定されてもよい。ハンドシェイク手順は、TLS(例えば、mTLS)に従ってもよい。
【0022】
第2の態様の装置は、少なくとも1つのNFタイプを示すディスカバリ要求をNRFに送信するように設定されてもよい。装置は、NRFから、少なくともNFタイプに一致する1つまたは複数のNFプロファイルからのディスカバリ情報を含むディスカバリ応答を受信するようにさらに設定されてもよく、ディスカバリ情報は、それぞれのNFプロファイル(また、任意選択的に、関連するNF識別子)ごとに記憶された少なくとも1つのCA証明書を含んでもよい。装置は、ディスカバリ情報を記憶装置に記憶してもよい。
【0023】
特に、装置は、ディスカバリ情報が以前にNRFから受信されている、他のNFから、他のNFに対して発行されたNF証明書を受信することと、記憶装置からディスカバリ情報に含まれる少なくとも1つのCA証明書を読み取ることと、NF証明書を記憶装置から読み取ったCA証明書を使用して有効性確認することとを行うようにさらに設定されてもよい。NF証明書は、(例えば、TLSに従う)他のNFとのハンドシェイク手順のコンテキストにおいて受信されてもよい。
【0024】
第2の態様の装置は、受信したNF証明書から第1のNF識別子を抽出することと、プロファイル情報から第2のNF識別子を抽出することと、第2のNF識別子に基づいて第1のNF識別子を有効性確認することとを行うように設定されてもよい。例として、第1のNF識別子および第2のNF識別子が同一であることが有効性確認されてもよい。
【0025】
第2の態様の装置は、NRFから、通知のサブスクリプションを通じて受信側NFに関連付けられ、ディスカバリ情報が以前に受信されて記憶されているNFについての更新されたCA証明書情報の少なくとも一部を受信するように設定されてもよい。この場合、装置は、記憶されたディスカバリ情報を、受信した更新されたCA証明書情報に基づいて更新するようにさらに設定されてもよい。同一の手順が更新されたNF識別子情報について実施されてもよい。
【0026】
第2の態様の装置は、NFについての更新されたCA証明書情報を決定することと、NRFに、NFについての更新されたCA証明書情報を含む更新メッセージを送信することとを行うように設定されてもよい。同一の手順が更新されたNF識別子情報について実施されてもよい。
【0027】
いくつかの実装形態では、第2のものの装置は、サービスコンシューマーNFとして設定される。他の実装形態では、装置はサービスプロデューサーNFとして設定される。
【0028】
第1の態様の装置(つまり、NRF)および第2の態様の装置(つまり、NF)を備えるコアネットワークシステムもまた、提供される。
【0029】
移動体通信ネットワークのコアネットワークドメインにおいて、ネットワークリポジトリ機能(NRF)を提供する方法がさらに提示され、NRFは、ネットワーク機能(NF)ディスカバリのためにNFプロファイルを登録するように設定され、NF証明書はNFに向けて発行されており、各NF証明書はそれぞれのNFの公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含む。方法は、NF証明書を有する登録NFから、登録NFのNF識別情報、登録NFのNFタイプ、および登録NFに向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を含むプロファイル情報を受信することを含む。方法はまた、受信したプロファイル情報をリポジトリに記憶することを含む。
【0030】
上記方法は、第1の態様の装置(つまり、NRF)によって実施されてもよい。
【0031】
なおさらには、移動体通信ネットワークのコアネットワークドメインにおいて、ネットワーク機能(NF)を提供する方法が提示され、NF証明書はNFに向けて発行されており、NF証明書は、NFの公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含む。方法は、NFに向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を取得することと、コアネットワークドメインにおいて、ネットワーク機能(NF)ディスカバリのためにNFプロファイルを登録するように設定される、ネットワークリポジトリ機能(NRF)にプロファイル情報を送信することとを含み、プロファイル情報は、登録NFのNF識別情報、登録NFのNFタイプ、および少なくとも1つのCA証明書を含む。
【0032】
上記方法は、第2の態様の装置(つまり、NF)によって実施されてもよい。
【0033】
コンピュータプログラム製品が1つまたは複数のプロセッサによって実行されると、本明細書で提示される方法を実行するように設定されたプログラムコード部分を含む、コンピュータプログラム製品もまた提供される。コンピュータプログラム製品は、コンピュータ可読記録媒体に記憶されてもよく、またはネットワーク接続を介してダウンロード用に提供されてもよい。
【0034】
本開示のさらなる態様、詳細、および利点は、次の例示の実施形態の詳細な説明から、および図面から、明らかとなろう。
【図面の簡単な説明】
【0035】
【図1】本開示のネットワークシステム実施形態の図である。
【図2】A~Bは、本開示の2つのNRF装置実施形態を図示するブロック図である。
【図3】A~Bは、本開示による、2つのNF装置の実施形態を図示するブロック図である。
【図4】本開示の方法実施形態のフロー図である。
【図5A】本開示のさらなる実施形態を図示する概略図シグナリング図である。
【図5B】本開示のさらなる実施形態を図示する概略図シグナリング図である。
【図5C】本開示のさらなる実施形態を図示する概略図シグナリング図である。
【図5D】本開示のさらなる実施形態を図示する概略図シグナリング図である。
【発明を実施するための形態】
【0036】
以下の説明では、限定ではなく説明目的として、本開示の十分な理解を与えるために具体的な詳細が説明される。本開示は、このような具体的な詳細から逸脱する他の実施形態において実践されてもよいことが当業者には明らかとなろう。
【0037】
例えば、以下の説明は、5G仕様に従う例示的なコアネットワーク設定にフォーカスを当てるが、本開示はその点に限定されない。本開示はまた、コアネットワークドメインを有する他のセルラまたは非セルラの無線通信ネットワークに実装することもできる。
【0038】
したがって、実施形態は具体的に5Gコアネットワークエンティティを参照して説明されるが、本開示は、他のネットワークタイプにおいて、および類似の機能性を有する他のネットワークエンティティによって、実装可能であることを了解されたい。その上、証明書関連の情報は、TLSのような例示的なタイプのセキュリティプロトコルおよびハンドシェイク手順のコンテキストにおいて説明されるが、本開示は、その点に限定されないことが容易に明らかとなろう。
【0039】
当業者であれば、本明細書で説明されるステップ、サービス、および機能は、個々のハードウェア回路を用いて、プログラムされたマイクロプロセッサもしくは汎用コンピュータと併せてソフトウェア機能性を用いて、1つもしくは複数の特定用途向け集積回路(ASIC)を用いて、および/または1つもしくは複数のデジタル信号プロセッサ(DSP)を用いて、実装され得ることがさらに了解されよう。本開示が、方法の観点で説明される場合、方法は、1つまたは複数のプロセッサ、および1つまたは複数のプロセッサに結合された1つまたは複数のメモリに具体化されてもよく、この場合、1つまたは複数のメモリは、1つまたは複数のプロセッサによって実行されると、本明細書で開示されるステップ、サービス、および機能を実施する、1つまたは複数のコンピュータプログラムを記憶することも了解されたい。
【0040】
例示の実施形態の以下の説明では、同じ符号は、同一または類似のコンポーネントを指す。
【0041】
図1は、本開示を実装することができるネットワークシステム100の実施形態を図示している。図1に示されるように、ネットワークシステム100は、モバイルネットワークオペレータによって運用されるコアネットワークドメイン102を含む。UEタイプの端末デバイス104A(例えば、スマートフォン)および2つのIoTタイプの端末デバイス104B、104C(例えば、車用およびウェアラブルのデバイス)などの、様々な端末デバイス104が、アクセスネットワークドメインを通じてコアネットワークドメイン102によってサービスされている。アクセスネットワークドメインは、図1には示されていない。
【0042】
以下では、コアネットワークドメイン102は、5G仕様に準拠しているものと仮定する。この理由のため、コアネットワークドメイン102の以下の説明は、典型的な5Gコアネットワーク要素を参照するが、本開示はそれに限定されない。アクセスネットワークドメインもまた、5G仕様に準拠していてもよく、任意選択的に、4Gおよび3G端末デバイスに対するコンパチビリティを追加的に提供してもよい。
【0043】
コアネットワークドメイン102は、複数のネットワークエンティティを含む。図1では、NRF関連の手順に関与するネットワークエンティティが主に図示されている。このようなネットワークエンティティは、様々なNF107、ならびにNFサービスディスカバリおよびそれらを提供するNF107のディスカバリの点で、NF107にサービスするように設定される中央的なNRF106を含む。
【0044】
以下の実施形態のコンテキストにおいて、NF107は、規定された機能的な挙動および規定されたインタフェースを有する処理機能である。NF107は、専用ハードウェア上のネットワーク要素として、専用ハードウェア上で実行するソフトウェアインスタンスとして、または適当なプラットフォーム、例えば、クラウドインフラストラクチャにインスタンス化された仮想化された機能としてのいずれかで実装することができる。以下では、用語「NF」は、通常、専用のNF識別情報を有する(また、専用のNFタイプである)識別可能なNFインスタンスを指す。
【0045】
図1に図示されるNF107は、ユーザプレーン機能(UPF)107A、107B、107Cなど、様々な形態を取ることが可能である。UPFタイプの各NF107A、107B、107Cは、端末デバイス104A、104B、104Cのうちの1つにそれぞれ関連付けられ、関連するデータトラフィックをハンドリングする。各UPF107A、107B、107Cは、原理的にはネットワーク設定に応じて端末デバイス104A、104B、104Cのうちの複数のデバイスについてのデータトラフィックをハンドリングすることを了解されたい。
【0046】
NF107A、107B、107Cおよび他のNF107D、107Eは、その個々のNRプロファイルをNRF106に登録、更新、または登録解除してもよく、NRF106に登録されたNF107のステータス変更についてNRF106が通知されるようNRF106においてサブスクライブおよびサブスクライブ解除してもよい。これらの(および他の)手順では、NRF106は、例示的な5G実装形態において、いわゆるNnrf_NFManagementサービスを提供する(3GPP TS 29.510 V.15.2.0(2018-12)のセクション5.2参照)。その上、NF107はまた、NRF106に、他のNF107によって提供されるサービスを発見するため、およびそれらをどのように消費するかを問い合わせることができる。これらの手順では、NRF106は、例示的な5G実装形態において、いわゆるNnrf_NFDiscoveryサービスを提供する(TS 29.510のセクション5.3参照)。
【0047】
NF107のそれぞれは、NFプロファイルに関連付けられる。特定のNFのNFプロファイルは、特定のNF107の一意な識別情報ならびにそのタイプ(例えば、そのNFによって提供されるサービスのタイプによって示される)など、複数のNF属性を規定する。NRF106は、NF107から受信したプロファイル関連情報を記憶するためのデータリポジトリ106Aを含む。各NF107もまた、ローカルのデータ記憶装置を含む。
【0048】
TS 33.501のセクション13.1によると、NF107は、サーバ側およびクライアント側両方のNF証明書を用いてTLSをサポートする。本明細書で理解されるように、サービスプロデューサーNF107は、サーバ側に置かれ、その一方でサービスコンシューマーNF107は、クライアント側に置かれる。各NF証明書は、個々のNFの公開鍵および少なくとも1つのCAの少なくとも1つの署名を含む。
【0049】
図2Aおよび図2Bは、図1のNRF106の2つの実施形態を図示している。図2Aに図示される実施形態では、NRF106は、プロセッサ202およびプロセッサ202に結合されるメモリ204を含む。NRF106は、任意選択的な入力インタフェース206および任意選択的な出力インタフェース208をさらに含む。メモリ204は、プロセッサ202の動作を制御するプログラムコードを記憶する。メモリ204、または様々な記憶装置はまた、データリポジトリ106Bを記憶する。
【0050】
プロセッサ202は、例えば、入力インタフェース206を通じて、およびNF証明書を有する登録NFから、登録NFのNF識別情報、登録NFのNFタイプ、および登録NFに向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を含むプロファイル情報を受信するように適合される。プロセッサ202は、図1に図示されるように、受信したプロファイル情報をデータリポジトリ106Aに記憶するようにさらに設定される。
【0051】
図2Bは、NRF106がモジュール的な設定で実装される実施形態を示している。図2Bに示されるように、NRF106は、登録NFから、登録NFのNF識別情報、登録NFのNFタイプ、および登録NFに向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を含むプロファイル情報を受信するように設定される受信モジュール210を含む。NRF106は、受信したプロファイル情報をデータリポジトリに記憶するように設定される記憶モジュール212をさらに含む。
【0052】
図3Aおよび図3Bは、NF107のNFプロファイルをNRF106に登録するように設定される図1のNF107の2つの実施形態を図示する。図3Aに図示される実施形態では、NF107は、プロセッサ302およびプロセッサ302に結合されるメモリ304を含む。NF107は、任意選択的な入力インタフェース306および任意選択的な出力インタフェース308をさらに含む。メモリ304は、プロセッサ302の動作を制御するプログラムコードを記憶する。メモリ304、または様々な記憶装置はまた、NF107自身についての、または他のNF107から取得したCA証明書関連情報を記憶してもよい。
【0053】
NF107のプロセッサ302は、例えば、入力インタフェース306を通じて、NF107に向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を取得するように適合される。プロセッサ302は、例えば、出力インタフェース308を通じて、コアネットワークドメイン102において、NFディスカバリのためにNFプロファイルを登録するように設定されるNRF106に、プロファイル情報を送信するようにさらに適合される。送信されるプロファイル情報は、登録NF107のNF識別情報、登録NF107のNFタイプ、および少なくとも1つのCA証明書を含む。
【0054】
図3Bは、NF107がモジュール的な設定で実装される実施形態を示している。図3Bに示されるように、NF107は、NF107に向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を取得するように設定される取得モジュール310を含む。NF107は、コアネットワークドメイン102において、NFディスカバリのためにNFプロファイルを登録するように設定されるNRF106に、プロファイル情報を送信するように設定される送信モジュール312をさらに含む。プロファイル情報は、登録NF107のNF識別情報、登録NF107のNFタイプ、および少なくとも1つのCA証明書を含む。
【0055】
図4は、2つのフロー図400、410において、本開示の方法実施形態を図示している。フロー図400の方法実施形態は、図3Aおよび図3BのNF実施形態のいずれかによって実施されてもよい。フロー図410の方法実施形態は、図2Aおよび図2BのNRF実施形態のいずれかによって実施されてもよい。
【0056】
フロー図400に図示される方法は、登録NF107によって、登録NF107に向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を取得するステップ402を含む。少なくとも1つのCA証明書は、NF設定の一部として登録NF107によって取得されている。この設定はベンダー特有であるが、典型的にはNETCONFなどの汎用のConfiguration Management(CM)インタフェースが、この目的のために使用される。
【0057】
ステップ404では、登録NF107は、そのNFプロファイルを、コアネットワークドメイン102において、NFディスカバリのためにNRF106に登録することができるように、プロファイル情報をNRF106に送信する。プロファイル情報は、(少なくとも)登録NF107のNF識別情報、登録NF107のNFタイプ、およびステップ402で取得した少なくとも1つのCA証明書を含む。
【0058】
次にフロー図410を見ると、NRF106は、ステップ404で送信されたプロファイル情報を、ステップ406において登録NF107から受信する。上で説明したように、プロファイル情報は、(少なくとも)登録NF107のNF識別情報、登録NF107のNFタイプ、および登録NF107に向けて発行されたNF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書を含む。そして、ステップ408では、NRF106は、受信したプロファイル情報を、そのデータリポジトリ106Aに記憶する。
【0059】
以下では、上の一般的な実施形態を、図5a~図5Dで図示されるシグナリング実施形態を参照してさらに詳細に説明する。これらのシグナリング図は、とりわけTS 29.510で規定されるような例示的な5Gシグナリング実装形態に基づいている。例示的なレガシーなNFプロファイルのコンテンツは、TS 29.510のセクション6.1.6.2.2および6.1.6.2.3に規定されており、以下の実施形態では次の2つの属性のうちの一方または両方によって拡張される:
【0060】
caCertificates属性は、NF107によって使用される証明書を検証(verify)するために使用される最大NのCA証明書の一覧を含む任意選択的な属性である。この属性の形式は、文字列型の配列である。各文字列は、1つのCA証明書のコンテンツを含んでもよい。
【0061】
1つの変形では、各文字列は、PEM(Privacy-enhanced Electronic Mail)Base64符号化DER(Distinguishing Encoding Rule)証明書を、「-----BEGIN CERTIFICATE-----」と「-----END CERTIFICATE-----」とで囲んで、表現する。NFプロファイルに通常使用されるJSON(JavaScript Object Notation)エンコーディングとコンパチビリティがある限り、caCertificates属性には、他のエンコーディング形式が可能である。
【0062】
identifier属性は、NFインスタンスを、そのCA証明書において識別するために使用される識別子を含む任意選択的な属性である。形式は、文字列型である。このidentifier属性は、レガシーなNFプロファイルにおけるnfInstanceID属性またはserviceInstanceID属性とは異なっており、それらに加えて提供されることに留意されたい。
【0063】
1つの変形では、identifier属性は、FQDNである。FQDNは、3GPP TS 23.003 V15.6.0(2018-12)のセクション28.2に従って構築されてもよい。FQDNの一例は、以下の通り:
<nf-instance-id>.<nf-instance-type>.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org
ここで、
- <nf-instance-id>は、NFインスタンスに一意な識別子である。公衆陸上移動体通信網(PLMN)でのNFタイプには、2つの等しい識別子が存在してはならない。
- <nf-instance-type>は、NFタイプ、例えばUnified Data Management(UDM)である。
- <MNC>および<MCC>は、オペレータのPLMNのモバイルネットワークコード(MNC)およびモバイル国コード(MCC)に対応する。
<nf-instance-id>.<nf-instance-type>.5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org
ここで、
- <nf-instance-id>は、NFインスタンスに一意な識別子である。公衆陸上移動体通信網(PLMN)でのNFタイプには、2つの等しい識別子が存在してはならない。
- <nf-instance-type>は、NFタイプ、例えばUnified Data Management(UDM)である。
- <MNC>および<MCC>は、オペレータのPLMNのモバイルネットワークコード(MNC)およびモバイル国コード(MCC)に対応する。
【0064】
別の変形では、identifier属性は、SPIFFE識別子である。例示的なSPIFFE識別子を、次に示す:
spiffe://5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org/<nf-instance-type>/<nf-instance-id>
ここで、
- <nf-instance-id>は、NFインスタンスに一意な識別子である。PLMNでのNFタイプには、2つの等しい識別子が存在してはならない。
- <nf-instance-type>は、NFタイプ、例えばUDMである。
- <MNC>および<MCC>は、オペレータのPLMNのMNCおよびMCCに対応する。
spiffe://5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org/<nf-instance-type>/<nf-instance-id>
ここで、
- <nf-instance-id>は、NFインスタンスに一意な識別子である。PLMNでのNFタイプには、2つの等しい識別子が存在してはならない。
- <nf-instance-type>は、NFタイプ、例えばUDMである。
- <MNC>および<MCC>は、オペレータのPLMNのMNCおよびMCCに対応する。
【0065】
なおさらなる変形では、identifier属性は、不透明な値である。不透明なidentifier属性の例を、次に示す:
36f01027-4d6f-45e6-8e60-1e14d464344e
36f01027-4d6f-45e6-8e60-1e14d464344e
【0066】
図5Aは、図1に図示されるNF107のいずれかをNRF106に登録するコンテキストにおけるシグナリング実施形態を描いている。図5Aに描かれるNF107は、サービスプロデューサーもしくはサービスコンシューマーであってもよく、または優勢な要求に応じて両方の役割を果たすこともできる。
【0067】
事前条件として、NF107が、例えば設定中に、ルートCA証明書、および任意選択的にはNF107の証明書に署名するために使用された1つまたは複数の中間的なCA証明書を用いてプロビジョニングされていることが仮定される。このプロビジョニングは、図4に図示されるステップS402のコンテキストで生じてもよい。
【0068】
図5Aのシグナリング実施形態は、以下のステップを含む:
【0069】
最初のステップ1100では、NF107は、自身のNFプロファイルを作成する。NFプロファイルは、とりわけそのNFタイプ(例えば、UDR)、その一意なNF識別情報(例えば、nfInstanceIDまたはserviceInstanceID)、および以下の属性のうちの少なくとも1つを含む:
- caCertificates属性:(例えば、上で説明したように符号化された)NF107の証明書を有効性確認するために必要となるルートおよび/または中間的なCA証明書を含む。
- identifier属性:(例えば、上で説明したような)NF識別子を含む。いくつかの変形では、NF識別子は、NF107の証明書のSubject NameまたはSubject Alternative Nameフィールドの値と一致する。
- caCertificates属性:(例えば、上で説明したように符号化された)NF107の証明書を有効性確認するために必要となるルートおよび/または中間的なCA証明書を含む。
- identifier属性:(例えば、上で説明したような)NF識別子を含む。いくつかの変形では、NF識別子は、NF107の証明書のSubject NameまたはSubject Alternative Nameフィールドの値と一致する。
【0070】
いくつかの実装形態では、identifier属性は省略されてもよい。他の実装形態では、caCertificates属性は省略されてもよい。このような属性のうちの1つが省略される場合では、一定のセキュリティプロセスを実施することができない(図5Cを参照して以下で議論する通り)。そのため、最大のセキュリティとして、両方の属性が、デフォルトで使用される場合がある。
【0071】
ステップ1101では、NF107は、Nnrf_NFManagement_NFRegister要求を送信することによって自身をNRF106に登録する(図4におけるステップS404参照)。要求は、ステップ1100で既に作成されたNFプロファイルを含む。
【0072】
【0073】
次いで、ステップ1102では、NRF106、およびNnrf_NFManagement_NFRegister応答をNF107に返す。この応答は、NF107に、NFプロファイルがNF107によって適切に受信され、記憶されたことを知らせる。
【0074】
図5Bは、サービスコンシューマーの役割を仮定したNF107によるNFディスカバリのコンテキストにおけるシグナリング実施形態を描いている。以下では、例示的に、図1のNF107Dがサービスコンシューマーとして振る舞い、NF107Eはサービスプロデューサーとして振る舞うと仮定する。図5Aを参照して上で説明したように、NRF106は、そのデータリポジトリ106Aに、他のNF107に対してサービスプロデューサーとして振る舞うことができるNF107すべてのNFプロファイル(関連するNFタイプおよびCA証明書とともに)を記憶する。
【0075】
ステップ1200では、サービスコンシューマーNF107Dは、対話する必要がある1つまたは複数のNFタイプ(つまり、サービスタイプ)を決定し、それらのそれぞれに対して、ステップ1201~1205を繰り返す。
【0076】
ステップ1201では、サービスコンシューマーNF107Dは、Nnrf_NFDiscovery要求をNRF107に送信する。この要求は、選択基準として少なくとも1つの特定のNFタイプを示す。場合によっては、要求は1つもしくは複数のさらなる選択基準、または他の情報を含んでもよい。
【0077】
次いで、ステップ1202では、NRF106は、1つまたは複数のサービスプロデューサーNF107EのNFプロファイルをマッチングするためにそのデータリポジトリ106Aを調べ、Nnrf_NFDiscovery応答を返す。この応答には、ステップ1201で示された1つまたは複数の基準に一致するNFプロファイルが含まれる。ステップ1202で返されたNFプロファイルは、とりわけ個々のcaCertificates属性およびidentifier属性を含んでもよい。この方法では、サービスコンシューマーNF107Dは、将来的な使用のために、NRF106のデータリポジトリ106AにサービスプロデューサーNF107Eごとに記憶された1つまたは複数のCA証明書を受信する。
【0078】
ステップ1203では、サービスコンシューマーNF107Dは、受信したNFプロファイルを処理する。NFプロファイルごとに、サービスコンシューマーNF107Dは、:
- caCertificates属性のコンテンツを抽出し、CA証明書ごとに、抽出したコンテンツをTLS実装形態のセキュアなレジストリに記憶する;
- identifier属性のコンテンツを抽出し、それを内部的に(そして、通常はcaCertificates属性から抽出されたコンテンツとは別個に)記憶する。
- caCertificates属性のコンテンツを抽出し、CA証明書ごとに、抽出したコンテンツをTLS実装形態のセキュアなレジストリに記憶する;
- identifier属性のコンテンツを抽出し、それを内部的に(そして、通常はcaCertificates属性から抽出されたコンテンツとは別個に)記憶する。
【0079】
さらなるステップ1204では、サービスコンシューマーNF107Dは、(任意選択的な)Nnrf_NFManagement_NFStatusSubscribe要求をNRF106に送信する。このサブスクリプション要求では、ステップ1202においてNFプロファイルが取得されたサービスプロデューサーNF107Eのステータスの変更を受信し、示されるNFタイプに一致する新しいNFプロファイルを知るために、サービスコンシューマーNF107DはNFタイプを示す。
【0080】
ステップ1205では、NRF106は、サブスクリプション要求を処理し、Nnrf_NFManagement_NFStatusSubscribe応答を返す。サブスクリプション応答は、サービスコンシューマーNF107Dにサブスクリプション要求が適切に受信されて処理されたことを通知する。
【0081】
図5Bに図示されるシグナリング手順の終わりには、サービスコンシューマーNF107Dは、潜在的にサービスを消費する必要があるすべてのサービスプロデューサーNF107Eの、NF識別情報、CA証明書、およびNF識別子すべてを有する。同じシグナリング手順が、サービスプロデューサーNF107Eによって実行される可能性があるが、この場合は、サービスプロデューサー107Eが、そのサービスを提供するNFタイプを示している。対応するシグナリング手順の終わりには、サービスプロデューサーNF107Eは、そのサービスを消費するすべてのサービスコンシューマーNF107Dの、NF識別情報、CA証明書、およびNF識別子すべてを有する。
【0082】
一部のNF107は、サービスコンシューマーとサービスプロデューサーの両方の役割を同時的に有することが可能であり、例えば、UDMは認証サーバ機能(AUSF)に対してはサービスプロデュースとして振る舞い、unified data repository(UDR)に対してはコンシューマーとして振る舞う。そのような事例では、図5Bに図示されるシグナリング手順は、所与のNF107によって2回実行されてもよい(サービスコンシューマーとして1回、サービスプロデューサーとして1回)。
【0083】
図5Cは、サービスコンシューマーNF107Dによる、サービスプロデューサーNF107Eに対する、NFサービス呼び出しのコンテキストにおけるシグナリング実施形態を描いている。サービスプロデュースNF107Eは、図5Bに図示されるように、以前にディスカバリ/サブスクリプションのシグナリングを使用してサービスコンシューマーNF107Dによって発見されている。
【0084】
ステップ1300では、サービスコンシューマーNF107Dは、hypertext transfer protocol 2(HTTP/2)接続をサービスプロデューサーNF107Eに向けて開始する。接続はmTLSでセキュアにされているため、TLSハンドシェイク手順が始まる(破線枠を参照)。
【0085】
ステップ1301では、サービスコンシューマーNF107Dは、Client HelloメッセージをサービスプロデューサーNF107Eに送信し、ステップ1302では、サービスプロデューサーNF107Eは、Server Helloメッセージを、(他のパラメータの中でも)サービスプロデューサーNF107Eの証明書(図5Cの「サーバ証明書」)を含めて、サービスコンシューマーNF107Eに送信する。
【0086】
次いで、ステップ1303では、サービスコンシューマーNF107Dは、サービスをプロデュースするNF107Eによって提供されたサーバ証明書を有効性確認する。このコンテキストでは、TLS実装形態は、セキュアなレジストリにアクセスして、図5Bのステップ1203においてサービスプロデューサーNF107Eについて記憶された1つまたは複数のCA証明書をフェッチする。そのような検証は、通常はルートCA証明書から中間的なCA証明書を経由してNF証明書までの証明書チェーンを横断すること、および証明書署名のすべてを有効性確認することによって、X.509プロトコルに従って実施され、本明細書ではあまり詳細には説明しない。以下では、証明書チェーンのすべての署名が正常に有効性確認することができたため、有効性確認がすべて正常であったと仮定する。
【0087】
正常な有効性確認の後、ステップ1304において、サービスコンシューマーNF107Dは、メッセージをサービスプロデューサーNF107Eに送信する。このメッセージは、他のパラメータの中でも、サービスコンシューマーNF107Dの証明書を含む(図5Cにおける「クライアント証明書」)。
【0088】
ステップ1305では、サービスプロデューサーNF107Eは、サービスコンシューマーNF107Dによって提供されたクライアント証明書を(正常に)有効性確認する。この目的のため、TLS実装形態は、セキュアなレジストリにアクセスして、図5Bのステップ1203においてサービスコンシューマーNF107Dについて記憶された1つまたは複数のCA証明書をフェッチする。サービスプロデューサーNF107Eは、クライアント証明書の詳細を後の使用のために記憶する。
【0089】
ステップ1306では、サービスプロデューサーNF107Eは、Server FinishedメッセージをサービスコンシューマーNF107Dに送信し、TLSハンドシェイクフェーズを終了する。この時点から、HTTP/2接続はセキュアにされ、mTLS認証は、正常に完了する。
【0090】
ステップ1307では、サービスコンシューマーNF107Dは、NF Service要求をサービスプロデュースNF107Eに送信し、そのサービスのうちの1つを消費する。
【0091】
ステップ1308では、サービスプロデューサーNF107Eは、そのサービスの消費を可能にすることに先立って、サービスコンシューマーNF107Dを認可する。このために、サービスプロデューサーNF107Eは、:
- ステップ1304および1305でそれぞれ受信して記憶したクライアント証明書から、Subject NameおよびSubject Alternative Nameフィールドを抽出する;
- そのサービスを消費するNFタイプのNFプロファイルを反復処理し(例えば、図5Bに図示されるディスカバリシグナリングの間に、NRF106から既に受信した通りに)、各NFプロファイル中のidentifier属性を、クライアント証明書からのSubject NameまたはSubject Alternative Nameフィールドとマッチングする。
- ステップ1304および1305でそれぞれ受信して記憶したクライアント証明書から、Subject NameおよびSubject Alternative Nameフィールドを抽出する;
- そのサービスを消費するNFタイプのNFプロファイルを反復処理し(例えば、図5Bに図示されるディスカバリシグナリングの間に、NRF106から既に受信した通りに)、各NFプロファイル中のidentifier属性を、クライアント証明書からのSubject NameまたはSubject Alternative Nameフィールドとマッチングする。
【0092】
一致が見つかった場合、サービスコンシューマーNF107Dは、正常に認可されており、ステップ1309において、サービスプロデューサーNF107Eはサービス呼び出し応答を返す。一方で、一致が見つからない場合、サービスコンシューマーNF107Dは、認可されておらず、ステップ1310において、サービスプロデューサーNF107Eはエラー応答を返す。エラーメッセージは、ステップ1307におけるサービス要求受信が認可されなかったことを示す。
【0093】
ステップ1301~1306ならびにステップ1307~1309は、それぞれ新しいcaCertificates属性および新しいidentifier属性に基づいていることを了解されたい。これらの属性のうちの1つしか実装されていない場合でも、レガシーな実装形態と比較して、なお実装形態またはセキュリティ上の恩恵がある。
【0094】
図5Dは、ライフサイクル管理(LCM)に係るCA証明書の更新(例えば、その失効による)のコンテキストにおけるシグナリング実施形態を描いている。更新する必要があるCA証明書は、図5Aおよび図5Bを参照して上で議論したように、コアネットワークドメイン102内で既に通信されたことがある。同一のシグナリング手順が、各NF107によって、そのサービスコンシューマーかサービスプロデューサーかの役割とは無関係に、適用される。図5Dに図示されるシグナリング手順の事前条件として、NF107には、少なくとも1つの更新された、または新しい、ルートおよび/または中間的なCA証明書がプロビジョニングされている。
【0095】
以下では、LCM運用のため、CA証明書は、例として、サービスプロデューサーNF107E用に更新されなければならないと仮定する。故にサービスプロデューサーNF107Eは、そのNFプロファイルを、ステップ1400においてcaCertificates属性についての新しい値で更新する。
【0096】
ステップ1401では、サービスプロデューサーNF107Eは、NFUpdate要求をNRF106に送信する。要求は、caCertificates属性についての新しい値を示しており、潜在的には追加的な変わってしまったNFプロファイル属性を伴う。いくつかの実装形態では、完全なNFプロファイルが送信され、他の実装形態では、変わってしまった属性の値だけが送信される。
【0097】
ステップ1402では、NRF106は、更新されたNFプロファイルをデータリポジトリ106Aに記憶し、NFUpdate応答をサービスプロデュースNF107Eに返す。
【0098】
ステップ1403では、NRF106は、ステップ1402において要求メッセージを送信した特定のサービスプロデューサーNF107E中の変更に対して、または一般的には、ステップ1402において要求メッセージを送信した特定のサービスプロデューサーNF107Eが属するサービスプロデューサーNFタイプ中の変更に対して、アクティブなサブスクリプションを有するすべてのサービスコンシューマーNF107Dを決定する。
【0099】
次いで、ステップ1404において、ステップ1403で決定されたサービスコンシューマーNF107Dごとに、NRF106はNFStatusNotify要求を送信する。要求には、ステップ1401で受信した修正caCertificates属性が含まれ、それに関連するサービスプロデューサーNF107Eのidentifier属性を示す。
【0100】
ステップ1405では、特定のサービスコンシューマーNF107Dは、要求を受信し、NFStatusNotify応答をNRF106に返す。応答は、要求の適当な受信を肯定応答する。
【0101】
さらには、ステップ1406では、サービスコンシューマーNF107Dは、ステップ1405で受信したメッセージからcaCertificates属性のコンテンツを抽出し、それらをTLS実装形態のセキュアなレジストリに記憶する。
【0102】
図5Dにおけるシグナリング手順の終わりには、それぞれ考慮されるサービスコンシューマーNF107Dは、更新されたそのCA証明書を、手順を開始したサービスプロデューサーNF107Eについて記憶されたものとして有する。他の方向では、また、サービスコンシューマーNF107Dは、自身のそれぞれのcaCertificates属性を更新し、サービスプロデューサーNF107Eは、対応する更新通知をNRF106から受信し、それに応じてTLS実装形態の自身のそれぞれのセキュアなレジストリを更新する。同一のシグナリング手順が、サービスコンシューマーNF107DのNFプロファイルのidentifier属性における変更に対して適用可能である。
【0103】
図5A~図5Dから明らかなように、NFプロファイルをcaCertificates属性およびidentifier属性の一方または両方で拡張すると、レガシーなシグナリング手順の様々な修正形態となる。このような修正形態としては、caCertificates属性および/またはidentifier属性を有するNF107用のNFプロファイルの作成(図5Aのステップ1100、および図5Dのステップ1400)、caCertificates属性に含まれるCA証明書のTLS実装形態のセキュアなレジストリへの記憶、およびidentifier属性の内部的な記憶(図5Bのステップ1203および図5Dのステップ1406)、NFプロファイル中のidentifier属性の、クライアント証明書のSubject Nameおよび/またはSubject Alternative Nameフィールドに対するルックアップとマッチング(図5Cのステップ1308)、ならびにその他が挙げられる。
【0104】
了解されるように、上記実施形態のコンテキストにおいて証明書およびNF識別子を送信することは、注意深く行わなければセキュリティ上の問題を露呈させる可能性がある。しかしながら、NF107とNRF106との間の接続は、mTLSを使用して保護されているため、登録、ディスカバリ、および通知シグナリングの間に交換されるCA証明書およびNF識別子は、潜在的な攻撃者による盗聴または改竄から保護される。その上、NRF106は、信頼できると考えられるため、中に含まれるNFプロファイルが潜在的な攻撃者によって公開、または改竄することができない方法で実装される。
【0105】
本明細書で提示される技法は、例えばmTLSを用いてセキュアにされる接続で使用される証明書を有効性確認するために必要な、暗号法的な文書(CA証明書)の配布を容易にする。本明細書で提示される技法はまた、(トークンベースの認可を使用していない場合)ローカルポリシに基づく単純な認可方法を提供し、異なるNFでの設定を通常は必要としない。結果として、5Gまたは類似のシステムの運用が容易になり、簡単なスケーリングを可能とし、手作業による介入および設定エラーに起因するエラーの確率を低減させる。
【0106】
本開示は、多くの態様で変わる可能性がある例示の実施形態を参照して説明されたことを了解されたい。そのため、本発明は、以降の特許請求項によってのみ限定される。
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図5C】
【図5D】
【手続補正書】
【提出日】2022-04-13
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
移動体通信ネットワークのコアネットワークドメイン(102)において、ネットワークリポジトリ機能(NRF)を提供するように設定される装置(106)であって、前記NRFは、ネットワーク機能(NF)ディスカバリのためにNFプロファイルを登録するように設定され、NF証明書はNF(107)に向けて発行されており、各NF証明書はそれぞれの前記NFの公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含み、前記装置(106)は、NF証明書を有する登録NF(107)から、
前記登録NF(107)のNF識別情報、
前記登録NF(107)のNFタイプ、および
前記登録NF(107)に向けて発行された前記NF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書
を含むプロファイル情報を受信することと(210)、
受信した前記プロファイル情報をリポジトリ(106A)に記憶することと(212)
を行うように設定される、装置(106)。
【請求項2】
前記登録NF(107)に向けて発行された前記NF証明書が、前記登録NF(107)の前記NF識別情報とは異なるNF識別子をさらに含み、受信した前記プロファイル情報が前記NF識別子をさらに含む、請求項1に記載の装置。
【請求項3】
前記NF識別子が、前記NF証明書のサブジェクトフィールドに含まれる、請求項2に記載の装置。
【請求項4】
前記NF識別子が、完全修飾ドメイン名(FQDN)、およびsecure production identity framework for everyone(SPIFFE)識別子のうちの1つの形態を取る、請求項2または3に記載の装置。
【請求項5】
前記NF識別情報が、前記コアネットワークドメイン(102)において、前記登録NF(107)を発見可能または区別可能にする、請求項1から4のいずれか一項に記載の装置。
【請求項6】
少なくとも1つのNFタイプを示すディスカバリ要求を受信することと、前記リポジトリ(106A)にアクセスして、少なくとも示された前記NFタイプに一致する1つまたは複数のNFプロファイルを識別することと、
前記1つまたは複数の一致するNFプロファイルからのディスカバリ情報を含むディスカバリ応答を送信することであって、前記ディスカバリ情報がそれぞれの前記NFプロファイルごとに記憶された少なくとも前記1つまたは複数のCA証明書を含む、ディスカバリ応答を送信することと
を行うように設定される、請求項1から5のいずれか一項に記載の装置。
【請求項7】
第1のNF(107E)から、更新されたCA証明書情報を含む更新要求を受信することと、前記第1のNF(107E)の前記プロファイル情報を、前記更新されたCA証明書情報に基づいて更新することと
を行うように設定される、請求項1から6のいずれか一項に記載の装置。
【請求項8】
前記第1のNF(107E)に関連付けられる1つまたは複数の第2のNF(107D)を、通知のサブスクリプションを通じて、識別することと、前記更新されたCA証明書情報の少なくとも一部を、前記1つまたは複数の識別された第2のNF(107D)に送信することと
を行うように設定される、請求項7に記載の装置。
【請求項9】
移動体通信ネットワークのコアネットワークドメイン(102)において、ネットワーク機能(NF)を提供するように設定される装置(107)であって、NF証明書は前記NF(107)に向けて発行されており、前記NF証明書は、前記NF(107)の公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含み、前記装置は、前記NF(107)に向けて発行された前記NF証明書に署名した前記少なくとも1つのCAの前記少なくとも1つのCA証明書を取得することと(310)、
前記コアネットワークドメインにおいて、NFディスカバリのためにNFプロファイルを登録するように設定される、ネットワークリポジトリ機能(NRF)(106)にプロファイル情報を送信すること(312)であって、前記プロファイル情報が
登録NF(107)のNF識別情報、
前記登録NF(107)のNFタイプ、および
前記少なくとも1つのCA証明書
を含む、プロファイル情報を送信することと(312)
を行うように設定される、装置(107)。
【請求項10】
前記登録NF(107)に向けて発行された前記NF証明書が、前記登録NF(107)の前記NF識別情報とは異なるNF識別子をさらに含み、受信した前記プロファイル情報が前記NF識別子をさらに含む、請求項9に記載の装置。
【請求項11】
他のNF(107D/E)とのハンドシェイク手順において、前記他のNF(107D/E)に、前記NF証明書を送信するように設定される、請求項9または10に記載の装置。
【請求項12】
少なくとも1つのNFタイプを示すディスカバリ要求を、前記NRF(106)に送信することと、前記NRF(106)から、少なくとも前記NFタイプに一致する1つまたは複数のNFプロファイルからのディスカバリ情報を含むディスカバリ応答を受信することであって、前記ディスカバリ情報が、それぞれの前記NFプロファイルごと記憶された前記少なくとも1つのCA証明書を含む、ディスカバリ応答を受信することと、
前記ディスカバリ情報を記憶装置に記憶することと
を行うように設定される、請求項9から11のいずれか一項に記載の装置。
【請求項13】
ディスカバリ情報が以前に前記NRF(106)から受信されている、他のNF(107D/E)から、前記他のNF(107D/E)に対して発行された前記NF証明書を受信することと、前記記憶装置から前記ディスカバリ情報に含まれる前記少なくとも1つのCA証明書を読み取ることと、
前記NF証明書を前記記憶装置から読み取った前記CA証明書を使用して有効性確認することと
を行うように設定される、請求項12に記載の装置。
【請求項14】
受信した前記NF証明書から第1のNF識別子を抽出することと、前記プロファイル情報から第2のNF識別子を抽出することと、
前記第2のNF識別子に基づいて前記第1のNF識別子を有効性確認することと
を行うように設定される、請求項13に記載の装置。
【請求項15】
前記NF証明書が、他のNF(107D/E)とのハンドシェイク手順のコンテキストにおいて受信される、請求項13または14に記載の装置。
【請求項16】
前記ハンドシェイク手順がトランスポートレイヤセキュリティ(TLS)プロトコルに基づくものである、請求項11または15に記載の装置。
【請求項17】
前記NRF(106)から、通知のサブスクリプションを通じて受信側の前記NFに関連付けられ、ディスカバリ情報が以前に受信されて記憶されているNF(107)についての更新されたCA証明書情報の少なくとも一部を受信することと、記憶された前記ディスカバリ情報を、受信した前記更新されたCA証明書情報に基づいて更新することと
を行うように設定される、請求項12から16のいずれか一項に記載の装置。
【請求項18】
前記NF(107)についての更新されたCA証明書情報を決定することと、前記NRF(106)に、前記NF(107)についての前記更新されたCA証明書情報を含む更新メッセージを送信することと
を行うように設定される、請求項10から17のいずれか一項に記載の装置。
【請求項19】
サービスを消費するNF(107D)として設定される、請求項10から18のいずれか一項に記載の装置。
【請求項20】
サービスをプロデュースするNF(107E)として設定される、請求項10から18のいずれか一項に記載の装置。
【請求項21】
請求項1から8のいずれか一項に記載の前記装置(106)、および請求項9から20のいずれか一項に記載の前記装置(107)を備える、コアネットワークシステム。
【請求項22】
移動体通信ネットワークのコアネットワークドメイン(106)において、ネットワークリポジトリ機能(NRF)(106)を提供する方法であって、前記NRFは、ネットワーク機能(NF)ディスカバリのためにNFプロファイルを登録するように設定され、NF証明書はNF(107)に向けて発行されており、各NF証明書はそれぞれの前記NF(107)の公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含み、前記方法は、NF証明書を有する登録NF(107)から、
前記登録NF(107)のNF識別情報、
前記登録NF(107)のNFタイプ、および
前記登録NF(107)に向けて発行された前記NF証明書に署名した少なくとも1つのCAの少なくとも1つのCA証明書
を含むプロファイル情報を受信することと(406)、
受信した前記プロファイル情報をリポジトリ(106A)に記憶することと(408)
を含む、方法。
【請求項23】
請求項2から8のいずれか一項に記載の装置によって実施される、請求項22に記載の方法。
【請求項24】
移動体通信ネットワークのコアネットワークドメイン(102)において、ネットワーク機能(NF)(107)を提供する方法であって、NF証明書は前記NF(107)に向けて発行されており、前記NF証明書は、前記NF(107)の公開鍵および少なくとも1つの認証局(CA)の少なくとも1つの署名を含み、前記方法は、前記NF(107)に向けて発行された前記NF証明書に署名した前記少なくとも1つのCAの前記少なくとも1つのCA証明書を取得することと(402)、
前記コアネットワークドメイン(102)においてNFディスカバリのためにNFプロファイルを登録するように設定される、ネットワークリポジトリ機能(NRF)(106)にプロファイル情報を送信すること(404)であって、前記プロファイル情報が
登録NF(107)のNF識別情報、
前記登録NF(107)のNFタイプ、および
前記少なくとも1つのCA証明書
を含む、プロファイル情報を送信することと(404)
を含む、方法。
【請求項25】
請求項10から20のいずれか一項に記載の装置によって実施される、請求項24に記載の方法。
【請求項26】
プログラムコード部分が1つまたは複数のプロセッサ(202、302)によって実施されると、請求項22から25のいずれか一項に記載の方法を実施するための前記プログラムコード部分を含む、コンピュータプログラム。
【国際調査報告】