▶ テレフオンアクチーボラゲット エル エム エリクソン(パブル)の特許一覧
特表2023-547946暗号化ドメイン名サーバを用いたプロトコルのコンテンツフィルタリングサポート
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-11-14
(54)【発明の名称】暗号化ドメイン名サーバを用いたプロトコルのコンテンツフィルタリングサポート
(51)【国際特許分類】
H04W 12/088 20210101AFI20231107BHJP
H04W 48/08 20090101ALI20231107BHJP
H04W 72/53 20230101ALI20231107BHJP
H04W 12/37 20210101ALI20231107BHJP
H04W 88/14 20090101ALI20231107BHJP
【FI】
H04W12/088
H04W48/08
H04W72/53
H04W12/37
H04W88/14
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023527999
(86)(22)【出願日】2021-01-05
(85)【翻訳文提出日】2023-07-07
(86)【国際出願番号】 EP2021050087
(87)【国際公開番号】W WO2022100889
(87)【国際公開日】2022-05-19
(31)【優先権主張番号】20382975.9
(32)【優先日】2020-11-11
(33)【優先権主張国・地域又は機関】EP
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.3GPP
2.GOOGLE CHROME
3.CHROME
4.FIREFOX
5.EXPLORER
(71)【出願人】
【識別番号】598036300
【氏名又は名称】テレフオンアクチーボラゲット エルエム エリクソン(パブル)
(74)【代理人】
【識別番号】100109726
【弁理士】
【氏名又は名称】園田 吉隆
(74)【代理人】
【識別番号】100150670
【弁理士】
【氏名又は名称】小梶 晴美
(74)【代理人】
【識別番号】100194294
【弁理士】
【氏名又は名称】石岡 利康
(72)【発明者】
【氏名】ムニョス デ ラ トーレ アロンソ, ミゲル アンヘル
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067EE02
5K067EE10
5K067EE16
(57)【要約】
本発明は、無線通信ネットワークが、無線通信ネットワークを通るパケットフローに使用されるプロトコルがドメイン名の暗号化を要求する場合であっても、コンテンツフィルタリングを実施することを可能にするための様々な方法、エンティティ、システムおよびコンピュータプログラムに関する。1つの方法は、特に、ユーザ機器(100)とコンテンツプロバイダ(400)との間でデータパケットを交換するためのデータパケットフローが提供される、無線通信ネットワーク(200)内でポリシ制御エンティティ(240)を動作させるための方法に関し、データパケットフローは、コンテンツプロバイダ(400)のドメイン名を暗号化している。本方法は、データリポジトリ(250)からユーザポリシプロファイルを受信するステップ(S6、S31)を含み、ユーザポリシプロファイルは、データパケットをフィルタリングするためのコンテンツフィルタリングポリシを含む。本方法は、ユーザポリシプロファイルに基づくセッションポリシを無線通信ネットワーク(200)のセッション制御エンティティ(220)に伝送するステップ(S8、S32)であって、セッションポリシは、データパケットをフィルタリングするように無線通信ネットワーク(200)のユーザプレーンエンティティ(230)に指示する、伝送するステップ(S8、S32)と、ユーザポリシプロファイルに基づいてユーザポリシを無線通信ネットワーク(200)のアクセス管理エンティティ(210)に伝送するステップ(S12、S33)であって、ユーザポリシは、非暗号化形態のドメイン名をデータパケットに追加するようにユーザ機器(100)に指示する、伝送するステップ(S12、S33)とをさらに含む。
【選択図】図1
【選択図】図1
【特許請求の範囲】
【請求項1】
ユーザ機器(100)とコンテンツプロバイダ(400)との間でデータパケットを交換するためのデータパケットフローが提供される、無線通信ネットワーク(200)内でポリシ制御エンティティ(240)を動作させるための方法であって、前記データパケットフローは、前記コンテンツプロバイダ(400)のドメイン名を暗号化しており、前記方法は、データリポジトリ(250)からユーザポリシプロファイルを受信するステップ(S6、S31)であって、前記ユーザポリシプロファイルは、前記データパケットをフィルタリングするためのコンテンツフィルタリングポリシを含む、受信するステップ(S6、S31)と、
前記ユーザポリシプロファイルに基づいてセッションポリシを前記無線通信ネットワーク(200)のセッション制御エンティティ(220)に伝送するステップ(S8、S32)であって、前記セッションポリシは、前記無線通信ネットワーク(200)のユーザプレーンエンティティ(230)に、前記データパケットをフィルタリングするように指示する、セッションポリシを伝送するステップ(S8、S32)と、
前記ユーザポリシプロファイルに基づいてユーザポリシを前記無線通信ネットワーク(200)のアクセス管理エンティティ(210)に伝送するステップ(S12、S33)であって、前記ユーザポリシは、前記ユーザ機器(100)に、前記ドメイン名を非暗号化形態で前記データパケットに追加するように指示する、ユーザポリシを伝送するステップ(S12、S33)と
を含む、方法。
【請求項2】
前記セッションポリシおよび/または前記ユーザポリシは、非暗号化形態の前記ドメイン名の伝送を前記ユーザプレーンエンティティ(230)に示すための識別子を含む、請求項1に記載の方法。
【請求項3】
前記ユーザポリシは、前記ユーザ機器(100)に対する前記ユーザポリシのドメイン名システムキャッシュをクリアすることを求める要求を含む、請求項1または2に記載の方法。
【請求項4】
ユーザ機器(100)とコンテンツプロバイダ(400)との間でデータパケットを交換するためのデータパケットフローが提供される、無線通信ネットワーク(200)内でユーザプレーンエンティティ(230)を動作させるための方法であって、前記データパケットフローは、前記コンテンツプロバイダ(400)のドメイン名を暗号化しており、前記方法は、前記無線通信ネットワーク(200)のセッション制御エンティティ(220)から、前記データパケットをフィルタリングするように前記ユーザプレーンエンティティ(230)に指示するセッションポリシを受信するステップ(S9、S41)と、
前記ユーザ機器(100)から、非暗号化形態の前記ドメイン名を含む前記データパケットフローの少なくとも1つのデータパケットを受信するステップ(S16、S42)と、
前記少なくとも1つのデータパケットから前記ドメイン名を抽出するステップ(S17、S43)と、
前記セッションポリシおよび抽出されている前記ドメイン名に基づいて、前記データパケットをフィルタリングするステップ(S18~S21、S44)と
を含む、方法。
【請求項5】
前記抽出するステップ(S17、S43)は、非暗号化形態の前記ドメイン名の伝送を示すための識別子を、前記少なくとも1つのデータパケット内で認識することによって、非暗号化形態の前記ドメイン名を含む前記少なくとも1つのデータパケットを識別する、請求項4に記載の方法。
【請求項6】
前記セッションポリシは、前記識別子を含む、請求項5に記載の方法。
【請求項7】
ユーザ機器(100)とコンテンツプロバイダ(400)との間でデータパケットを交換するためのデータパケットフローを確立するために無線通信ネットワーク(200)に接続可能な前記ユーザ機器(100)を動作させるための方法であって、前記データパケットフローは、前記コンテンツプロバイダ(400)のドメイン名を暗号化しており、前記方法は、前記データパケットフローの少なくとも1つのデータパケットに、非暗号化形態の前記ドメイン名を追加するステップ(S15、S51)と、
前記無線通信ネットワーク(200)のユーザプレーンエンティティ(230)に前記少なくとも1つのデータパケットを伝送するステップ(S16、S52)と
を含む、方法。
【請求項8】
前記少なくとも1つのデータパケットに、非暗号化形態の前記ドメイン名の伝送を示すための識別子を追加するステップ(S15、S51)をさらに含む、請求項7に記載の方法。
【請求項9】
前記追加するステップ(S15、S51)の前に、前記ユーザ機器(100)のドメイン名システムキャッシュをクリアするステップをさらに含む、請求項7または8に記載の方法。
【請求項10】
前記追加するステップ(S15、S51)の前に、前記無線通信ネットワーク(200)のアクセス管理エンティティ(210)から、前記ユーザ機器(100)に、前記ドメイン名を非暗号化形態で前記データパケットフローに追加するように指示するユーザポリシを受信するステップ(S13)をさらに含む、請求項7から9のいずれか一項に記載の方法。
【請求項11】
前記ユーザポリシは、前記識別子を含む、請求項8または10に記載の方法。
【請求項12】
前記データパケットフローは、TLS、QUICまたはDNSオーバHTTPSのうちの少なくとも1つを実装する、請求項1から11のいずれか一項に記載の方法。
【請求項13】
ユーザ機器(100)とコンテンツプロバイダ(400)との間でデータパケットを交換するためのデータパケットフローが提供される、無線通信ネットワーク(200)のためのポリシ制御エンティティ(240、60)であって、前記データパケットフローは前記コンテンツプロバイダ(400)のドメイン名を暗号化しており、前記ポリシ制御エンティティ(240、60)は、処理ユニット(62)およびメモリ(63)を備え、前記メモリ(63)は、前記処理ユニット(62)に、データリポジトリ(250)からユーザポリシプロファイルを受信するステップ(S6、S31)であって、前記ユーザポリシプロファイルは、前記データパケットをフィルタリングするためのコンテンツフィルタリングポリシを含む、受信するステップ(S6、S31)と、
前記ユーザポリシプロファイルに基づいてセッションポリシを前記無線通信ネットワーク(200)のセッション制御エンティティ(220)に伝送するステップ(S8、S32)であって、前記セッションポリシは、前記無線通信ネットワーク(200)のユーザプレーンエンティティ(230)に、前記データパケットをフィルタリングするように指示する、セッションポリシを伝送するステップ(S8、S32)と、
前記ユーザポリシプロファイルに基づいてユーザポリシを前記無線通信ネットワーク(200)のアクセス管理エンティティ(210)に伝送するステップ(S12、S33)であって、前記ユーザポリシは、前記ユーザ機器(100)に、前記ドメイン名を非暗号化形態で前記データパケットに追加するように指示する、ユーザポリシを伝送するステップ(S12、S33)と
を実行させるように設定されている命令を含む、ポリシ制御エンティティ(240、60)。
【請求項14】
前記セッションポリシおよび/または前記ユーザポリシは、非暗号化形態の前記ドメイン名の伝送を前記ユーザプレーンエンティティ(230)に示すための識別子を含む、請求項13に記載のポリシ制御エンティティ(240、60)。
【請求項15】
前記ユーザポリシは、前記ユーザ機器(100)に対する前記ユーザポリシのドメイン名システムキャッシュをクリアすることを求める要求を含む、請求項13または14に記載のポリシ制御エンティティ(240、60)。
【請求項16】
ユーザ機器(100)とコンテンツプロバイダ(400)との間でデータパケットを交換するためのデータパケットフローが提供される、無線通信ネットワーク(200)のためのユーザプレーンエンティティ(230、80)であって、前記データパケットフローは前記コンテンツプロバイダ(400)のドメイン名を暗号化しており、前記ユーザプレーンエンティティ(230、80)は、処理ユニット(82)およびメモリ(83)を備え、前記メモリ(83)は、前記処理ユニット(82)に、前記無線通信ネットワーク(200)のセッション制御エンティティ(220)から、前記データパケットをフィルタリングするように前記ユーザプレーンエンティティ(230、80)に指示するセッションポリシを受信するステップ(S9、S41)と、
前記ユーザ機器(100)から、非暗号化形態の前記ドメイン名を含む前記データパケットフローの少なくとも1つのデータパケットを受信するステップ(S16、S42)と、
前記少なくとも1つのデータパケットから前記ドメイン名を抽出するステップ(S17、S43)と、
前記セッションポリシおよび抽出されている前記ドメイン名に基づいて、前記データパケットをフィルタリングするステップ(S18~S21、S44)と
を実行させるように設定されている命令を含む、ユーザプレーンエンティティ(230、80)。
【請求項17】
前記抽出するステップ(S17、S43)のために、前記メモリ(83)は、前記処理ユニット(82)に、非暗号化形態の前記ドメイン名の伝送を示すための識別子を、前記少なくとも1つのデータパケット内で認識することによって、非暗号化形態の前記ドメイン名を含む前記少なくとも1つのデータパケットを識別させるように設定されている命令を含む、請求項16に記載のユーザプレーンエンティティ(230、80)。
【請求項18】
前記セッションポリシは、前記識別子を含む、請求項17に記載のユーザプレーンエンティティ(230、80)。
【請求項19】
データパケットフローを確立するために無線通信ネットワーク(200)に接続可能なユーザ機器(100)であって、前記データパケットフローは前記ユーザ機器(100)とコンテンツプロバイダ(400)との間でデータパケットを交換するためのものであり、前記データパケットフローは前記コンテンツプロバイダ(400)のドメイン名を暗号化しており、前記ユーザ機器(100)は、処理ユニット(102)およびメモリ(103)を備え、前記メモリ(103)は、前記処理ユニット(102)に、前記データパケットフローの少なくとも1つのデータパケットに、非暗号化形態の前記ドメイン名を追加するステップ(S15、S51)と、
前記無線通信ネットワーク(200)のユーザプレーンエンティティ(230)に前記少なくとも1つのデータパケットを伝送するステップ(S16、S52)と
を実行させるように設定されている命令を含む、ユーザ機器(100)。
【請求項20】
前記メモリ(103)は、前記処理ユニット(102)に、前記少なくとも1つのデータパケットに、非暗号化形態の前記ドメイン名の伝送を示すための識別子を追加するステップ(S15、S51)を実行させるように設定されている命令をさらに含む、請求項19に記載のユーザ機器(100)。
【請求項21】
前記メモリ(103)は、前記処理ユニット(102)に、前記追加するステップ(S15、S51)の前に、前記ユーザ機器(100)のドメイン名システムキャッシュをクリアするステップを実行させるように設定されている命令をさらに含む、請求項19または20に記載のユーザ機器(100)。
【請求項22】
前記メモリ(103)は、前記処理ユニット(102)に、前記追加するステップ(S15、S51)の前に、前記無線通信ネットワーク(200)のアクセス管理エンティティ(210)から、前記ユーザ機器(100)に、前記ドメイン名を非暗号化形態で前記データパケットフローに追加するように指示するユーザポリシを受信するステップ(S13)を実行させるように設定されている命令をさらに含む、請求項19から21のいずれか一項に記載のユーザ機器(100)。
【請求項23】
前記ユーザポリシは、前記識別子を含む、請求項20または22に記載のユーザ機器(100)。
【請求項24】
少なくとも2つのエンティティを備えるシステムであって、前記少なくとも2つのエンティティは、以下のエンティティグループ、すなわち、- 請求項13から15のいずれか一項に記載のポリシ制御エンティティ(240、60)、
- 請求項16から18のいずれか一項に記載のユーザプレーンエンティティ(230、80)、
- 請求項19から23のいずれか一項に記載のユーザ機器(100)
から選択される、システム。
【請求項25】
ポリシ制御エンティティ(240、60)、ユーザプレーンエンティティ(230)、ユーザ機器(100)の少なくとも1つの処理ユニットによって実行されるプログラムコードを含むコンピュータプログラムであって、前記プログラムコードの実行は、- 前記ポリシ制御エンティティ(240、60)の前記処理ユニットに、請求項1から3および12のいずれか一項に記載の方法を実行させ、
- 前記ユーザプレーンエンティティ(230、80)の前記処理ユニットに、請求項4から6および12のいずれか一項に記載の方法を実行させ、
- 前記ユーザ機器(100)の前記処理ユニットに、請求項7から11および12のいずれか一項に記載の方法を実行させる、コンピュータプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、無線通信ネットワークにおいてコンテンツ制御を可能にするための方法、ならびに、対応するデバイス、ネットワークノード、システム、およびコンピュータプログラムに関する。特に、本発明は、データパケットフローがサーバのドメイン名の暗号化を実施する場合であっても、サーバからのデータパケットフローに対して無線通信ネットワークによってコンテンツ制御が操作されることを可能にする。
【背景技術】
【0002】
図1は、サービスベースのインターフェースを有する5G NRアーキテクチャを示す。5Gコアネットワーク部分は、ネットワークスライス選択機能(NSSF)10、ネットワーク公開機能15、ネットワークリポジトリ機能(NRF)20、ポリシ制御機能(PCF)25、統合データ管理(UDM)30、アプリケーション機能(AF)35、認証サーバ機能(AUSF)40、アクセス・モビリティ管理機能(AMF)45、およびセッション管理機能(SMF)50を含む。ユーザ機器(UE)60が、無線アクセスネットワーク(RAN)70に接続されており、ユーザプレーン機能(UPF)80が、UE60をデータネットワーク(DN)90に接続するために提供される。
【0003】
5Gコア制御プレーン(CP)内にサービスベースのインターフェースを有することは、5GコアCP内のネットワーク機能(NF)が、5GコアCP内の他のNFによって消費されるサービスを提供することを暗示する。
【0004】
上記エンティティおよびインターフェースの役割は、3GPP TS 23.501に定義されており、手順は、TS 23.502に記載されている。
【0005】
本発明の最も関連する5Gシステムアーキテクチャネットワーク機能は、以下のとおりである。
・PCF25、ネットワーク挙動を統制するための統合ポリシフレームワークをサポートする。特に、PCF25は、ポリシ・課金制御(PCC)規則をポリシ・課金執行機能(PCEF)、たとえば、SMF50および/またはUPF80に提供し、PCEFは、提供されたPCC規則に従って、ポリシおよび課金決定を執行し、PCF25は、さらに、ユーザ機器60にポリシを提供する。
・AMF45、たとえば、UE60が異なるアクセスネットワークおよびUEモビリティ態様を通じて接続されるときに、ユーザ機器(UE)60のアクセスを管理する。AMF45は、PCF25からUE60へと規則を転送するために使用することができる。
・PCF25、ネットワーク挙動を統制するための統合ポリシフレームワークをサポートする。特に、PCF25は、ポリシ・課金制御(PCC)規則をポリシ・課金執行機能(PCEF)、たとえば、SMF50および/またはUPF80に提供し、PCEFは、提供されたPCC規則に従って、ポリシおよび課金決定を執行し、PCF25は、さらに、ユーザ機器60にポリシを提供する。
・AMF45、たとえば、UE60が異なるアクセスネットワークおよびUEモビリティ態様を通じて接続されるときに、ユーザ機器(UE)60のアクセスを管理する。AMF45は、PCF25からUE60へと規則を転送するために使用することができる。
【0006】
・SMF50は、UPF80エンティティの選択および制御を含む、セッション確立、修正および解放の役割を担う。SMF50は、PFCP(パケットフロー中心プロトコル)手順を使用して、N4参照ポイントを介してUPF80とインタラクトする。さらに、SMF50は、PCF25からPCC規則を受信し、それに従ってUPF80を設定する。SMF50は、特に、PFCPセッションを確立、修正または削除すること、ならびに、PFCPセッションごとにPDR、FAR、QERおよび/またはURRを提供、たとえば追加、修正または削除することによって、UPF80におけるパケット処理を制御することができ、以て、PFCPセッションは、個々のPDUセッション、または、いかなるPDUセッションにも結びつけられていない独立したPFCPセッションに対応することができる。各PDRは、入来するパケットが照合されるトラフィックフィルタまたはシグニチャを指定するPDIを含むことができる。各PDRは、PDIに一致するパケットに適用するための命令のセットを提供する以下の規則に関連付けることができる。
-1つのFAR、パケットの処理、特に、DLパケットの到来に関するCP機能への通知を有するかまたは有しないパケットの転送、複製、ドロップまたはバッファリングに関係する命令を含む。
-0、1つまたは複数のQER、トラフィックのQoS執行に関係する命令を含む。
-0、1つまたは複数のURR、トラフィック測定および報告に関係する命令を含む。
-1つのFAR、パケットの処理、特に、DLパケットの到来に関するCP機能への通知を有するかまたは有しないパケットの転送、複製、ドロップまたはバッファリングに関係する命令を含む。
-0、1つまたは複数のQER、トラフィックのQoS執行に関係する命令を含む。
-0、1つまたは複数のURR、トラフィック測定および報告に関係する命令を含む。
【0007】
・UPF80、SMF50から受信される規則に基づくユーザプレーントラフィックのハンドリング、特に、たとえばPDRを通じたパケット検査、および、たとえばFAR、QER、URRのいずれかを通じたトラフィックステアリング、QoS、課金/報告などの異なる執行措置をサポートする。
【0008】
トラフィック暗号化は、モバイルネットワークにおいて大きく成長しており、同時に、暗号化メカニズムの複雑度も成長している。特に、今日のほとんどのアプリケーションは、HTTPクリアテキストに基づいておらず、代わりに、HTTPSに基づく、すなわち、TLSプロトコル(トランスポート層セキュリティ)を使用する。加えて、トラフィックの大部分は、TLSよりも高い暗号化レベルを有する、QUICトランスポートに基づく。将来、ほとんどのトラフィックがQUICトランスポートまたは他の種類の暗号化プロトコルに基づくと予想される。
【0009】
TLSプロトコルは、サーバ名表示(SNI)として知られる拡張機能を指定する。コンテンツサーバが、単一のIPアドレスを背景とする複数の起源をホストすることが一般的である。フロー全体を解読する必要なしにアプリケーションフローを正しいサーバにルーティングするために、SNI拡張が導入された。SNI拡張機能は、クライアントによってクライアントハローメッセージにおいて送信され、クライアントが接続を試行しているサーバのドメイン名のクリアテキスト文字列を含む。SNIフィールドは、クリアテキストにおいて送信されるため、一般的に、フローを分類するためにオンパスネットワークエレメントによって使用される。
【0010】
IETF(インターネットエンジニアリングタスクフォース)において、TLSプロトコルバージョン1.3向けにサーバ名表示(SNI)を暗号化することが提案されている。この点について、TLSワーキンググループによって採用されている、たとえばdraft-ietf-tls-esni-05などの、いくつかのIETF草案がある。
【0011】
高速UDPインターネット接続としても知られるQUICは、UDPベースのストリーミング多重化暗号化トランスポートプロトコルである。QUICは、TCPに対するUDPベースの置換として理解することができる。QUICは現在、IETFにおける標準化の最中であり、TLS1.3に依拠し、したがって、QUICベースのアプリケーションも、将来的にサーバ名表示(SNI)拡張機能を暗号化されることになる。
【0012】
DNS(ドメイン名システム)は、インターネットの基本構成ブロックの1つである。DNSは、実際には、ウェブサイトが訪問されるとき、電子メールが送信されるとき、IM会話が開始されるときなどに、いつでも使用される。ユーザがアプリケーションを開くと、DNSプロトコルが使用されて、目標アプリケーションドメイン名のサーバIPアドレスが取り出される。DNSオーバUDP/TCPなどの今日のDNSプロトコルは、通常、暗号化されていないが、ミドルボックスがDNSトラフィックを検出することを妨げるためのDNS暗号化を提案している種々のIETF草案が存在する。DNSSEC、DNSオーバHTTP/2、DOH、DNSCrypt、Quad9などのような種々の提案が、IETFには存在する。5Gタイムフレームにおいては、ほとんどのDNSトラフィックが暗号化されると予想される。
【0013】
したがって、ユーザ機器と、ユーザ機器によってアクセスされているサーバとの間でのドメイン名のエンドツーエンド暗号化に向かう傾向が存在することが、上記から明らかである。この傾向によってユーザのプライバシーが増大するが、特にコンテンツフィルタリングの分野における、ネットワークオペレータにとっての主要な欠点も防止される。
【0014】
より具体的には、今日のネットワークオペレータは、禁止されているサイトへのトラフィックをブロックするために種々のトラフィック管理措置を適用しており、それらの措置のうちの1つが、コンテンツフィルタリングである。この措置によって、ネットワークオペレータは、たとえば、子どもがインターネット上の暴力的または性的なマテリアルにアクセスするのを防止することを求める親の要求に応じることが可能になる。同様に、この措置によって、ネットワークオペレータは、違法なウェブサイトへのトラフィックをブロックすることを求める権限要求などに応じることが可能になる。
【0015】
現行のフィルタリング手法は、ユーザによってアクセスされているサーバのドメイン名に依拠する。現在、特にDNSおよび/またはTLS/QUIC SNIが暗号化されているときなど、トラフィックが完全に暗号化されているときに、HTTPベースのアプリケーションについてコンテンツフィルタリングを適用することは可能でない。これは、HTTPS、HTTP/HTTP2オーバTLSと、QUICベースのアプリケーション、HTTP3オーバQUICの両方に当てはまる。加えて、DNSトラフィックが、DNSオーバHTTPS(DoH)などによって暗号化されるとき、UPFにおけるDNS検査に基づくコンテンツフィルタリングをサポートすることさえ不可能である。
【0016】
したがって、ネットワークオペレータがコンテンツフィルタリングを提供することはますます不可能になってきている。
【発明の概要】
【0017】
したがって、HTTPSならびにSNIおよび/またはDNS暗号化を伴うQUICなどによってデータパケットフローが暗号化されているときであっても、ネットワークオペレータがコンテンツフィルタリングを適用することを可能にする技法が必要とされている。この必要は、独立請求項の特徴によって満たされる。さらなる態様が、従属請求項において説明される。
【0018】
1つの態様によれば、無線通信ネットワークにおいてポリシ制御エンティティを動作させるための方法が提供され、無線通信ネットワークは、ユーザ機器とコンテンツプロバイダとの間でデータパケットを交換するためのデータパケットフローを提供することが可能であり、データパケットフローは、コンテンツプロバイダのドメイン名を暗号化している。方法は、データリポジトリからユーザポリシプロファイルを受信するステップを含むことができ、ユーザポリシプロファイルは、データパケットをフィルタリングするためのコンテンツフィルタリングポリシを含む。さらに、本方法は、ユーザポリシプロファイルに基づいてセッションポリシを無線通信ネットワークのセッション制御エンティティに伝送するステップを含むことができ、セッションポリシは、無線通信ネットワークのユーザプレーンエンティティに、データパケットをフィルタリングするように指示する。加えて、本方法は、ユーザポリシプロファイルに基づいてユーザポリシを無線通信ネットワークのアクセス管理エンティティに伝送するステップを含むことができ、ユーザポリシは、ユーザ機器に、ドメイン名を非暗号化形態でデータパケットに追加するように指示する。
【0019】
さらに、別の態様は、無線通信ネットワークのためのポリシ制御エンティティであって、処理ユニットおよびメモリを備え、メモリは、処理ユニットに、ポリシ制御エンティティを動作させるための方法について上述したステップを実行させるように設定されている命令を含む、ポリシ制御エンティティに関する。
【0020】
さらに、別の態様は、無線通信ネットワークのためのポリシ制御エンティティであって、無線通信ネットワークは、ユーザ機器とコンテンツプロバイダとの間でデータパケットを交換するためのデータパケットフローを提供することが可能であり、データパケットフローは、コンテンツプロバイダのドメイン名を暗号化している、ポリシ制御エンティティに関する。ポリシ制御エンティティは、データリポジトリからユーザポリシプロファイルを受信するためのモジュールを備えることができ、ユーザポリシプロファイルは、データパケットをフィルタリングするためのコンテンツフィルタリングポリシを含む。さらに、ポリシ制御エンティティは、ユーザポリシプロファイルに基づいてセッションポリシを無線通信ネットワークのセッション制御エンティティに伝送するためのモジュールを備えることができ、セッションポリシは、無線通信ネットワークのユーザプレーンエンティティに、データパケットをフィルタリングするように指示する。さらに、ポリシ制御エンティティは、ユーザポリシプロファイルに基づいてユーザポリシを無線通信ネットワークのアクセス管理エンティティに伝送するためのモジュールを備えることができ、ユーザポリシは、ユーザ機器に、ドメイン名を非暗号化形態でデータパケットに追加するように指示する。
【0021】
さらに、別の態様は、無線通信ネットワーク内のユーザプレーンエンティティを動作させるための方法に関し、無線通信ネットワークは、ユーザ機器とコンテンツプロバイダとの間でデータパケットを交換するためのデータパケットフローを提供することが可能であり、データパケットフローは、コンテンツプロバイダのドメイン名を暗号化している。本方法は、無線通信ネットワークのセッション制御エンティティから、データパケットをフィルタリングするようにユーザプレーンエンティティに指示するセッションポリシを受信するステップを含むことができる。本方法は、ユーザ機器から、非暗号化形態のドメイン名を含むデータパケットフローの少なくとも1つのデータパケットを受信するステップと、少なくとも1つのデータパケットからドメイン名を抽出するステップとをさらに含むことができる。加えて、本方法は、セッションポリシおよび抽出されているドメイン名に基づいて、データパケットをフィルタリングするステップをさらに含むことができる。
【0022】
さらに、別の態様は、無線通信ネットワークのためのユーザプレーンエンティティであって、処理ユニットおよびメモリを備え、メモリは、処理ユニットに、ユーザプレーンエンティティを動作させるための方法について上述したステップを実行させるように設定されている命令を含む、ユーザプレーンエンティティに関する。
【0023】
さらに、別の態様は、無線通信ネットワークのためのユーザプレーンエンティティであって、無線通信ネットワークは、ユーザ機器とコンテンツプロバイダとの間でデータパケットを交換するためのデータパケットフローを提供することが可能であり、データパケットフローは、コンテンツプロバイダのドメイン名を暗号化している、ユーザプレーンエンティティに関する。ユーザプレーンエンティティは、無線通信ネットワークのセッション制御エンティティから、データパケットをフィルタリングするようにユーザプレーンエンティティに指示するセッションポリシを受信するためのモジュールを備えることができる。ユーザプレーンエンティティは、ユーザ機器から、非暗号化形態のドメイン名を含むデータパケットフローの少なくとも1つのデータパケットを受信するためのモジュールと、少なくとも1つのデータパケットからドメイン名を抽出するためのモジュールとをさらに備えることができる。ユーザプレーンエンティティは、セッションポリシおよび抽出されているドメイン名に基づいて、データパケットをフィルタリングするためのモジュールをさらに備えることができる。
【0024】
さらに、別の態様は、ユーザ機器とコンテンツプロバイダとの間でデータパケットを交換するためのデータパケットフローを提供すること確立するために無線通信ネットワークに接続可能なユーザ機器を動作させるための方法に関し、データパケットフローは、コンテンツプロバイダのドメイン名を暗号化している。本方法は、データパケットフローの少なくとも1つのデータパケットに、非暗号化形態のドメイン名を追加するステップを含むことができる。本方法は、無線通信ネットワークのユーザプレーンエンティティに少なくとも1つのデータパケットを伝送するステップをさらに含むことができる。
【0025】
さらに、別の態様は、無線通信ネットワークに接続可能なユーザ機器であって、処理ユニットおよびメモリを備え、メモリは、処理ユニットに、ユーザ機器動作させるための方法について上述したステップを実行させるように設定されている命令を含む、ユーザ機器に関する。
【0026】
さらに、別の態様は、ユーザ機器とコンテンツプロバイダとの間でデータパケットを交換するためのデータパケットフローを提供すること確立するために無線通信ネットワークに接続可能なユーザ機器に関し、データパケットフローは、コンテンツプロバイダのドメイン名を暗号化している。ユーザ機器は、データパケットフローの少なくとも1つのデータパケットに、非暗号化形態のドメイン名を追加するためのモジュールを備えることができる。ユーザ機器は、無線通信ネットワークのユーザプレーンエンティティに少なくとも1つのデータパケットを伝送するためのモジュールをさらに備えることができる。
【0027】
さらに、別の態様は、上記のエンティティのいずれかから選択される少なくとも2つのエンティティを備えるシステムに関する。
【0028】
さらなる態様は、ポリシ制御エンティティ、ユーザプレーンエンティティ、ユーザ機器の少なくとも1つの処理ユニットによって実行されるプログラムコードを含むコンピュータプログラムに関し、プログラムコードの実行は、処理ユニットに、それぞれのエンティティについて上記で言及したような方法を実行させる。
【0029】
上記で言及した特徴、および、下記にこれより説明する特徴は、指示されているそれぞれの組合せにおいてだけでなく、本発明の範囲から逸脱することなく、他の組合せにおいて、または、単独においても使用することができることは理解されたい。上記で言及した態様および下記に説明する実施形態の特徴は、明示的に別途言及されない限り、他の実施形態において互いに組み合わされてもよい。
【0030】
他のデバイス、システム、方法、機構および利点は、以下の詳細な説明および図面を検討することによって、当業者に明らかであるかまたは明らかとなろう。すべてのこのような追加のシステム、方法、機構および利点が本明細書内に含まれ本発明の範囲内に含まれるとともに、添付の特許請求の範囲によって保護されることが意図されている。
【0031】
実施形態の様々な特徴は、添付の図面とともに読まれるときにより明らかになるであろう。
【図面の簡単な説明】
【0032】
【図1】3GPPによって定義されているものとしての5G NR参照アーキテクチャを示す概略図である。
【図2】データパケットフィルタリングを実施するために無線通信ネットワークによって実行される方法の例示的なフローチャートを示す概略図である。
【図3】ポリシ制御エンティティを動作させるための例示的な方法を示す概略図である。
【図4】ユーザプレーンエンティティを動作させるための例示的な方法を示す概略図である。
【図5】ユーザ機器を動作させるための例示的な方法を示す概略図である。
【図6】ポリシ制御エンティティの例示的な実施態様を示す概略図である。
【図7】ポリシ制御エンティティの例示的な実施態様を示す概略図である。
【図8】ユーザプレーンエンティティの例示的な実施態様を示す概略図である。
【図9】ユーザプレーンエンティティの例示的な実施態様を示す概略図である。
【図10】ユーザ機器の例示的な実施態様を示す概略図である。
【図11】ユーザ機器の例示的な実施態様を示す概略図である。
【発明を実施するための形態】
【0033】
以下において、添付の図面を参照して、本発明の実施形態を詳細に説明する。以下の実施形態の説明は、限定する意味において解釈されるべきではないことは理解されたい。本発明の範囲は、単なる例示であるべきである、以下にまたは図面によって説明される実施形態によって限定されるようには意図されていない。
【0034】
図面は、概略表現であるものとして考えられるべきであり、図面に示す要素は、必ずしも原寸に比例するようには示されていない。むしろ、様々な要素は、それらの機能および一般的な目的が当業者に明らかになるように表されている。図面に示され以降に説明されている物理または機能ユニットの機能ブロック、デバイス、構成要素の間の任意の接続または結合はまた、間接接続または結合によって実施されてもよい。構成要素間の結合は、有線または無線接続を介して確立されてもよい。機能ブロックは、ハードウェア、ソフトウェア、ファームウェア、またはそれらの組合せにおいて実施することができる。
【0035】
本発明の一般的ないくつかの態様は、たとえば、ポリシ制御エンティティが、コンテンツフィルタリングが適用されるべきである加入者プロファイルを取り出したときなど、コンテンツフィルタリングがトリガされる必要があるときはいつでも、ポリシ制御エンティティがユーザ機器に以下のことを指示することができるメカニズムを提案する。
- たとえば、DNS手順におけるFQDNドメイン、任意選択的および付加的にまたTLS/QUICベースのアプリケーションのSNIなど、ユーザ機器上のアプリケーションがユーザ機器のより下位の層に要求するドメイン名を検出すること、ならびに
- トークンならびに上記で検出したドメイン名および/またはSNIによってIPオプションヘッダなどのトラフィックをマークすること。
- たとえば、DNS手順におけるFQDNドメイン、任意選択的および付加的にまたTLS/QUICベースのアプリケーションのSNIなど、ユーザ機器上のアプリケーションがユーザ機器のより下位の層に要求するドメイン名を検出すること、ならびに
- トークンならびに上記で検出したドメイン名および/またはSNIによってIPオプションヘッダなどのトラフィックをマークすること。
【0036】
このように、ユーザ機器からのトラフィックをネットワークによって識別することができ、ドメイン名を取り出すことができる。また一般的に、代替的にまたは加えて、ポリシ制御エンティティは、ユーザ機器にDNSクエリを強制的にトリガさせるために、ユーザ機器にそのDNSキャッシュをクリアアウトするように指示することができる。上記は、すべてのユーザ機器セッショントラフィックに適用され得るが、場合によってはアプリIDごとに、すなわち、アプリケーションIDに基づいて適用され得る。たとえば、Google Chromeアプリ、または、Chrome、Firefox、ExplorerなどのUE内の任意のブラウザアプリなど。
【0037】
また一般的に、本発明のいくつかの態様は、ユーザプレーンエンティティがトークンを検出し、ドメイン名を抽出することができることを提案する。いくつかの実施態様において、ユーザプレーンエンティティは、ICAPクライアントを作動させ、上記ドメイン名をICAPサーバに送信することができる。次いで、ユーザプレーンエンティティは、成人向け/暴力的などの、返されたカテゴリに基づいて、トラフィックを許可/ブロックすることができる。このソリューションは、さらに、たとえば、ユーザが成人向け/暴力的なサイトに入ろうとしたか否かをチェックするために、コンテンツフィルタリングの対象としてトラフィックを報告することを可能にする。
【0038】
このように、提案されるソリューションは、ネットワークオペレータが、特に、トラフィックがDNS暗号化および/またはHTTPS/TLSもしくはQUICによって暗号化されているときに、ユーザのアプリケーショントラフィックに対するコンテンツフィルタリングポリシをトリガすることを可能にする。
【0039】
図2は、コンテンツプロバイダ400およびユーザ機器100からのトラフィックのフィルタリングを実施するために、無線通信ネットワーク200によって実行される方法の例示的なフローチャートを示す。
【0040】
本出願の文脈内で、「モバイルエンティティ」または「ユーザ機器」(UE)100という用語は、たとえば、人(すなわち、ユーザ)が自身の個人的な通信のために使用するデバイスを指す。これは、たとえば、電話またはセッション開始プロトコル(SIP)もしくはボイスオーバIP(VoIP)電話機、携帯電話機、移動局、コードレス電話機などの電話タイプのデバイス、または、無線データ接続を備えたラップトップ、ノートブック、ノートパッド、タブレットのような個人情報端末タイプのデバイスとすることができる。UEはまた、動物、植物、または機械のような非人間と関連付けられてもよい。UEは、UEを使用するユーザと関連付けられる、IMSI(国際移動加入者識別子)、TMSI(一時的移動加入者識別子)、またはGUTI(グローバル一意一時的UE識別子)などの一意の識別子を含むSIM(加入者識別モジュール)または電子SIMを備えてもよい。UE内にSIMが存在することによって、ユーザのサブスクリプションによってUEが一意にカスタマイズされる。
【0041】
明瞭にするために、ユーザと加入者との間には差異があるが、緊密な関連もあることに留意されたい。ユーザは、ネットワークに対するサブスクリプションを獲得すること、および、ネットワーク内の加入者になることによって、ネットワークにアクセスすることができる。次いで、ネットワークは、加入者を認識し(たとえば、IMSI、TMSIまたはGUTIなどによって)、関連付けられるサブスクリプションを使用して関連する加入者データを識別する。ユーザは、UEの実際の使用者であり、ユーザはまた、サブスクリプションを所有する者である場合もあるが、ユーザとサブスクリプションの所有者とは異なる場合もある。たとえば、サブスクリプション所有者が親である場合があり、UEの実際の使用者がその親の子である可能性がある。
【0042】
無線通信ネットワーク200は、一般的に、ユーザ機器100との無線通信を可能にする任意の通信ネットワークである。いくつかの実施形態において、無線通信ネットワーク200は、LTEネットワークまたは5G NRネットワークであり得る。
【0043】
無線通信ネットワーク200は、アクセス管理エンティティ210を備える。アクセス管理エンティティ210は、一般的に、たとえば、UEアクセスが異なるアクセスネットワークおよびUEモビリティ態様を通じて接続されるときに、UEアクセスを管理することができる。本発明の態様において、アクセス管理エンティティ210は、UE規則をポリシ制御エンティティ240からUEに転送するために使用することができる。5G NR実施態様において、アクセス管理エンティティ210は、AMF(アクセス・モビリティ管理機能)によって実装することができる。LTE実施態様において、アクセス管理エンティティ210は、モビリティ管理エンティティ(MME)によって実装することができる。
【0044】
無線通信ネットワーク200は、ユーザプレーンエンティティ230をさらに備える。ユーザプレーンエンティティ230は、一般的に、少なくとも、セッション制御エンティティ220から受信される規則に基づいてユーザプレーントラフィックのハンドリングをサポートすることができる。したがって、ユーザプレーンエンティティ230は、たとえば、パケット検査、および、QoS、課金などのような、ユーザ機器100に特有の異なる執行措置を実行することができる。5G NR実施態様において、ユーザプレーンエンティティ230は、UPF(ユーザプレーン機能)によって実装することができる。LTE実施態様において、ユーザプレーンエンティティ230は、PGW-U(パケットデータネットワークゲートウェイのユーザプレーン)および/またはTDF-U(トラフィック検出機能のユーザプレーン)によって実装することができる。
【0045】
無線通信ネットワーク200は、ポリシ制御エンティティ240をさらに備える。ポリシ制御エンティティ240は、一般的に、少なくとも、無線通信ネットワーク200の挙動を統制するための統合ポリシフレームワークをサポートすることができる。たとえば、ポリシ制御エンティティ240は、セッション制御エンティティ220にPCC(ポリシ・課金制御)規則を提供することができる。5G NR実施態様において、ポリシ制御エンティティ240は、PCF(ポリシ制御機能)によって実装することができる。LTE実施態様において、ポリシ制御エンティティ240は、PCRF(ポリシ・課金規則機能)によって実装することができる。
【0046】
無線通信ネットワーク200は、セッション制御エンティティ220をさらに備える。セッション制御エンティティ220は、一般的に、少なくとも、ポリシ制御エンティティ240からPCC(ポリシ・課金制御)規則を受信し、それに従ってユーザプレーンエンティティ230を設定することができる。5G NR実施態様において、セッション制御エンティティ220は、SMF(セッション管理機能)によって実装することができる。LTE実施態様において、セッション制御エンティティ220は、PGW-C(パケットデータネットワークゲートウェイの制御プレーン)および/またはTDF-C(トラフィック検出機能の制御プレーン)によって実装することができる。
【0047】
無線通信ネットワーク200は、データリポジトリ250をさらに備える。データリポジトリ250は、一般的に、少なくとも、ポリシおよび/または設定データなどのデータの記憶および取り出しを可能にすることができる。5G NR実施態様において、データリポジトリ250は、UDR(統合データリポジトリ)によって実装することができる。LTE実施態様において、データリポジトリ250は、たとえば、3GPP TS 23.203によって、特に図5.1.1およびそれぞれの説明において記載されているようなSPR(サブスクリプションプロファイルリポジトリ)によって実装することができる。
【0048】
コンテンツプロバイダ400は、無線通信ネットワーク200を介してユーザ機器100にコンテンツを提供することができるノードとすることができる。たとえば、コンテンツプロバイダ400はサーバとすることができる。5G NR実施態様において、コンテンツプロバイダ400は、AF(アプリケーション機能)によって実装することができる。LTE実施態様において、コンテンツプロバイダ400は、SCS/AF(サービス機能サーバ/アプリケーション機能)によって実装することができる。
【0049】
サーバ300は、インターネットコンテンツ適合プロトコル(ICAP)サーバ、または、一般的に、コンテンツプロバイダ400によって提供されるコンテンツのカテゴリに関する情報を取り出すことを可能にする任意のサーバとすることができる。
【0050】
ユーザ機器100、サーバ300、コンテンツプロバイダ400、および無線通信ネットワーク200のエンティティのいずれかのうちのいずれかは、単独でまたは他のエンティティと組み合わせて、ハードウェア、ファームウェアおよび/またはソフトウェアによって実装することができることは理解されたい。
【0051】
【0052】
図2において、ユーザ機器100に関連付けられる加入者が、ネットワーク200には分かっており、コンテンツフィルタリングポリシを受けると仮定する。図2は、一般的に、セッション確立の一部として発生し、第1の水平二重線と第2の水平二重線との間の部分として識別される設定セクションと、アプリケーショントラフィックの一部として発生し、第3の水平二重線の下方の部分として識別される使用事例セクションとを含む。図2は、セッション確立またはアプリケーショントラフィックに必要なすべてのステップを示しているわけではなく、本発明の実行に関与し得るステップに限定されることが明らかであろう。
【0053】
ネットワーク200は、一般的に、ユーザ機器100とコンテンツプロバイダ400との間でデータパケットを交換するためのデータパケットフローが提供されるかまたは提供することができる無線通信ネットワークであり、データパケットフローは、コンテンツプロバイダ400のドメイン名を暗号化している。好ましくは、ドメイン名および/またはSNIの暗号化は、TLS、QUICまたはDNSオーバHTTPSなどの所定のプロトコルに従って、ユーザ機器によって実施される。本明細書の文脈において、ドメイン名は、コンテンツプロバイダ400のドメイン名および/またはコンテンツプロバイダ400のSNIを指すことができる。
【0054】
データパケットフローのために実装されるプロトコルは、ドメイン名および/またはSNIの暗号化を必要とするため、通常、ネットワーク200がいずれのSNIおよび/もしくはドメイン名から、ならびに/または、いずれのSNIおよび/もしくはドメイン名へとデータパケットフローが方向付けられているかを検出することは不可能である。これによって、実効的に、ネットワーク200においてコンテンツフィルタリングが実施されることが妨げられる。しかしながら、以下からより明らかになるように、本発明の実施によって、ドメイン名および/またはSNIを非暗号化形態でデータパケットフローに含めることがさらに可能であり、結果、ネットワーク200がフィルタリングされるパケットを認識することができる。
【0055】
ステップS1において、ユーザ機器100が、たとえば、PDUセッション確立手順などのセッション確立手順をトリガするためのメッセージをアクセス管理エンティティ210に伝送する。ステップS2において、アクセス管理エンティティ210が、セッション確立をトリガするためのメッセージをセッション制御エンティティ220に伝送する。
【0056】
ステップS3において、アクセス管理エンティティ210が、加入者に関連付けられるユーザポリシを要求するためのメッセージをポリシ制御エンティティ240に伝送する。ステップS4において、セッション制御エンティティ220が、加入者に関連付けられるセッションポリシを要求するためのメッセージをポリシ制御エンティティ240に伝送する。
【0057】
ステップS5において、ポリシ制御エンティティ240が、ユーザ機器のユーザ、すなわち、ユーザ機器を現在使用している加入者と関連付けられるユーザポリシプロファイルを要求するためのメッセージをデータリポジトリ250に伝送する。
【0058】
ステップS6において、データリポジトリ250が、ユーザポリシプロファイルをポリシ制御エンティティ240に伝送する。本発明の文脈において、ユーザポリシプロファイルは、少なくとも、データパケットをフィルタリングするためのコンテンツフィルタリングポリシを含む。すなわち、場合によっては、ユーザに関連付けられ得る他のポリシに加えて、ユーザポリシプロファイルは、ユーザが、たとえば暴力、わいせつ情報などに関連付けられるコンテンツをフィルタリングするための、コンテンツフィルタリングの対象であるか否かを判定することを可能にするデータを含む。コンテンツフィルタリングが実施される必要があるか否か、および、そうである場合、いずれのカテゴリのコンテンツについて実施される必要があるかを規定するための様々な様式を実装することができ、それらの様式は詳細には論じない。図2に示す実施形態において、ユーザポリシプロファイルが、現在のユーザについて、コンテンツフィルタリングが実施される必要があることを指示すると仮定する。
【0059】
ステップS7において、ポリシ制御エンティティ240が、ユーザポリシプロファイルに基づいて、たとえば、ポリシ・課金制御規則(PCC)などのポリシ規則を生成する。ポリシ規則は、ユーザプレーンエンティティに対するセッションポリシを含むことができる。
【0060】
セッションポリシは、データパケットをフィルタリングするようにユーザプレーンエンティティ230に指示するための規則を含むことができる。特に、セッションポリシは、以下の説明からより明らかになるように、フィルタリングされるべきコンテンツに関連付けられるドメイン名へのおよび/または当該ドメイン名からのデータパケットをフィルタリングするように、ユーザプレーンエンティティ230に指示することができる。ドメイン名は、ユーザ機器100とコンテンツプロバイダ400との間のデータパケットフローから抽出することができる。いくつかの実施形態において、セッションポリシは、非暗号化形態のドメイン名の伝送をユーザプレーンエンティティ230に示すための識別子をさらに含むことができる。
【0061】
このようにして、以下に説明するように、ユーザ機器100へのおよび/もしくはユーザ機器100からの、または、一般的にユーザ機器100とコンテンツプロバイダ400との間のデータパケットからドメイン名を抽出するように、ユーザプレーンエンティティ230に指示することができる。抽出は、識別子を、ユーザ機器100によって伝送される時に認識することによって単純化することができるが、本発明は、これに限定されず、ユーザプレーンエンティティ230は、代わりに、パケットから非暗号化形態のドメイン名を識別し、抽出するために、すべてのデータパケットを解析するように指示されてもよい。抽出されると、ドメイン名は、ユーザプレーンエンティティ230によって、ユーザ機器が、セッションポリシによって指示されているように、したがって、ユーザポリシプロファイルによって、フィルタリングされるべきであるコンテンツにアクセスしようとしているか否かを判定するために使用することができる。これが当てはまる場合、ユーザプレーンエンティティ230は、次いで、ユーザ機器100と、そのドメイン名がそのユーザについてフィルタリングされるべきであるコンテンツと関連付けられると考えられるコンテンツプロバイダ400との間でパケットを停止することができる。
【0062】
ステップS8において、ポリシ制御エンティティ240が、少なくともセッションポリシを含むメッセージをセッション制御エンティティ220に伝送する。いくつかの実施形態において、ステップS8は、ステップS4におけるメッセージに応答する、セッション確立応答の一部とすることができる。
【0063】
ステップS9において、セッション制御エンティティ220が、少なくともセッションポリシを含むメッセージをユーザプレーンエンティティ230に伝送することができる。このようにして、ユーザプレーンエンティティ230に、セッションポリシを通知することができる。いくつかの実施形態において、ステップS9において伝送されるメッセージは、ユーザプレーンエンティティ230へのセッション確立要求とすることができるが、本発明はそれに限定されず、コンテンツフィルタリングに関連付けられるセッションポリシも、セッション確立要求メッセージの前または後に伝送することができる。特に、いくつかの実施形態において、セッション制御エンティティ220は、パケット検出規則(PDR)を示すために、ユーザプレーンエンティティ230に向けたパケット転送制御プロトコル(PFCP)セッション確立手順をトリガすることができる、すなわち、これは、データパケットを特定の処理規則に照合するための情報、および、FAR、QER、URRなどのような、PDUセッションの対応する執行措置を含む。特に、いくつかの実施形態において、セッション制御エンティティ220は、適用可能な場合は識別子によって、またはより一般的には非暗号化ドメイン名によってマークされているトラフィックを検出すること、および、セッションポリシによって示されるものとしてのコンテンツフィルタリングポリシを適用することを、ユーザプレーンエンティティ230に要求することができる。
【0064】
例示されている実施形態において、セッションポリシが、ポリシ制御エンティティ240からセッション制御エンティティ220を通じてユーザプレーンエンティティ230に伝送されるが、本発明はこれに限定されない。いくつかの実施形態において、ポリシ制御エンティティ240は、セッションポリシをユーザプレーンエンティティ230に直接的に伝送することができる。
【0065】
ステップS11において、ポリシ制御エンティティ240が、ユーザ機器に対するユーザポリシを生成する。
【0066】
ユーザポリシは、たとえば、コンテンツプロバイダ400のドメイン名などのドメイン名を、非暗号化形態でデータパケットに追加するようにユーザ機器100に指示するための規則を含むことができる。特に、ユーザ機器100には、DNS手順におけるFQDNドメインおよび/または特にTLSトラフィックのSNIなどの、ユーザ機器100上のアプリケーションがユーザ機器100のより下位の層に要求するドメイン名を検出するように指示することができる。ユーザ機器100にはまた、ユーザ機器100とコンテンツプロバイダ400との間のデータパケットフローのデータパケットのうちの1つまたは複数に、好ましくは、暗号化形態のドメイン名を含むデータパケットのうちの少なくとも1つに、ドメイン名および/またはSNIを含めるように指示することもできる。
【0067】
いくつかの実施形態において、ユーザポリシは、非暗号化形態のドメイン名の伝送をユーザプレーンエンティティ230に示すための識別子をさらに含むことができる。識別子は、好ましくは、適用可能な場合はセッションポリシに含まれるものと同じである。このようにして、データパケットのIPオプションヘッダなどのトラフィックを、上記で検出されたドメイン名および/またはSNIに加えて、識別子によってマークすることが可能である。
【0068】
上記の説明において、適用可能な場合、識別子は、ユーザプレーンエンティティ230およびユーザ機器100に伝送されるものとして示されている。これによって、ユーザ機器100は、非暗号化形態のドメイン名および/またはSNIの存在を、ユーザプレーンエンティティ230に示すことが可能である。たとえば、識別子ならびに非暗号化形態のドメイン名および/またはSNIを、ユーザプレーンエンティティに警告するように、好ましくは識別子を最初にして、ユーザ機器によってデータパケットに含めることができる。しかしながら、本発明はこれに限定されるものではない。場合によっては、ユーザプレーンエンティティ230およびユーザ機器100に識別子を伝送する代わりに、たとえば、ユーザ機器100およびネットワーク200によって実装される電気通信規格によって定義される所定の値を有することによって、識別子がそれらのエンティティの一方または両方に知られていてもよい。
【0069】
代替的に、または加えて、いくつかの実施形態において、ユーザポリシは、ユーザ機器に対する、そのDNSキャッシュをクリアする指示をさらに含むことができる。これは、有利には、DNSクエリにおける非暗号化ドメイン名の伝送が、ユーザプレーンエンティティ230によって認識され得るように、ユーザ機器におけるDNSクエリをトリガすることを可能にする。
【0070】
いくつかの実施形態において、ユーザ機器100には、すべてのセッショントラフィックについて上記の指示のいずれかを実施するように指示することができる。代替的に、または加えて、ユーザポリシは、ユーザ機器に対する、上記のステップのうちの1つまたは複数をアプリケーションごとに適用する指示を含むことができる。たとえば、ユーザポリシは、たとえば、Google Chrome、Firefox、Explorerなどのブラウザなどのアプリケーションを識別するための1つまたは複数のアプリケーション識別子を含むことができる。
【0071】
ステップS12において、ポリシ制御エンティティ240が、少なくともユーザポリシを含むメッセージをアクセス管理エンティティ210に伝送する。いくつかの実施形態において、メッセージは、ステップS3のメッセージに応答したものとすることができる。
【0072】
ステップS13において、アクセス管理エンティティ210が、少なくともユーザポリシを含むメッセージをユーザ機器100に伝送する。いくつかの実施形態において、このメッセージは、ステップS1におけるメッセージに応答する、セッション確立応答の一部とすることができる。
【0073】
ステップS14において、ユーザ機器が、ユーザポリシを記憶する。これによって、コンテンツフィルタリングを目的としたユーザ機器100およびネットワーク200の設定が完結するが、必要に応じて、PDUセッション確立を完了するために追加のステップが実施されてもよいことは明らかであろう。
【0074】
上記ステップによって、ユーザ機器100には、一般的に、たとえデータパケットフローを定義するプロトコルが、ドメイン名および/またはSNIを暗号化形態で含めることのみをユーザ機器100に指示する場合であっても、少なくともドメイン名および/またはSNIを非暗号化形態でデータパケットフローに含めるように指示することができる。すなわち、プロトコルによる要求に対する暗号化形態に加えて、ユーザ機器100はまた、ドメイン名および/またはSNIを非暗号化形態でデータパケットフローに含めることもできる。これによって、以下から明らかになるように、ユーザプレーンエンティティ230が、データパケットフロー内の非暗号化ドメイン名および/またはSNIを検出することが可能になり、以て、コンテンツフィルタリングが可能になる。
【0075】
図2内の第2の水平二重線によって概略的に示されているようにセッション確立が完了した後、ユーザ機器100は、図2内の第3の水平二重線によって概略的に示されているように、コンテンツプロバイダとアプリケーショントラフィックを交換することができる。
【0076】
特に、ユーザは、コンテンツプロバイダ400とデータを交換することを要求する、ユーザ機器100上のアプリケーションを始動することができる。たとえば、アプリケーションは、TLSおよび/またはQUICを介してドメインexample.comとデータを交換することを要求する。
【0077】
ステップS15において、ユーザ機器100が、コンテンツプロバイダ400の非暗号化形態のドメイン名および/またはSNIを、アプリケーショントラフィックのデータパケットフローの少なくとも1つのデータパケットに追加する。
【0078】
好適な実施形態において、追加されるドメイン名および/またはSNIは、アプリケーショントラフィックに対するDNSクエリにおいて使用されるドメイン名として、ユーザ機器によって検出することができる。そのような実施形態において、ユーザ機器100に対する、そのDNSキャッシュをクリアする前述の指示には、すべての新たなドメイン名および/またはSNIに対するDNSクエリをユーザ機器に強制的に実施させるという有利な効果があり、したがって、新たなドメイン名がある度に検出されることが保証される。しかしながら、本発明はこれに限定されるものではない。代替的に、または加えて、ドメイン名および/またはSNIは、ユーザ機器によって、DNSオーバHTTPSに加えて、たとえば、TLSまたはQUICなどの、任意のデータパケットプロトコルを通じてデータを伝送することを求めるアプリケーション要求から抽出されてもよい。このようにして、たとえ新たなDNSクエリがなくとも、本発明は、ドメイン名および/またはSNIを抽出し、これをデータパケットフローに追加することに進むことができる。
【0079】
好適な実施形態において、非暗号化形態のドメイン名の伝送を示すための識別子が実装される場合、ステップS15はまた、識別子をパケットフローの少なくとも1つのデータパケットに、好ましくは、ドメイン名が非暗号化形態で追加されるものと同じデータパケットに追加することも含むことができる。
【0080】
いくつかの実施形態において、ドメイン名が非暗号化形態で追加されるデータパケットは、好ましくは、たとえば、ドメイン名および/またはSNIを暗号化形態で実装するTLS、QUICまたはDNSオーバHTTPSのいずれかによるデータパケットなどの、暗号化形態のドメイン名を含むデータパケットフローのデータパケットである。また好ましくは、ドメイン名が非暗号化形態で追加されるデータパケットは、好ましくは、暗号化形態のドメイン名を含むデータパケットである。代替的に、または加えて、ドメイン名が非暗号化形態で追加されるデータパケットは、好ましくは、ユーザ機器からコンテンツプロバイダ400に送信される最初のデータパケットである。
【0081】
いくつかの好適な実施形態において、ドメイン名は、データパケットのIPオプションヘッダ内に、非暗号化形態で追加される。実装される場合、識別子も、IPオプションヘッダに追加することができる。
【0082】
ステップS16において、ドメイン名が非暗号化形態で追加されたデータパケットが、ユーザ機器からユーザプレーンエンティティ230に伝送される。
【0083】
ステップS17において、ユーザプレーンエンティティ230が、少なくとも1つのデータパケットからドメイン名を抽出する。ドメイン名の認識は、たとえば、ユーザ機器100からのすべてのデータパケットを解析して、ドメイン名としてフォーマットされているデータシーケンスを探すことによって実施することができる。代替的に、または加えて、識別子が実装される実施形態において、ドメイン名を求めての解析は、データパケットフロー内での識別子の認識によってトリガすることができる。たとえば、所定の英数字列などの識別子の認識は、ドメイン名ベースのフォーマット化規則の認識よりも計算集約度が低いため、これは特に有利である。参照されている実施形態において、識別子とドメイン名との間の距離は、ユーザプレーンエンティティ230におけるドメイン名の検出および抽出に必要な計算労力をさらに単純化するように、予め定めることができ、かつ/または、識別子によって示すことができる。また代替的に、または加えて、識別子は、ユーザプレーンエンティティ230の動作をさらに単純化するように、ドメイン名の長さを示すフィールドを含むことができるか、または、そのフィールドを後続させることができる。
【0084】
ステップS18において、ユーザプレーンエンティティが、少なくとも抽出されたドメイン名および/またはSNIを含むメッセージをサーバ300に伝送する。サーバ300は、ドメイン名および/またはSNIに基づいて、所定の様式においてドメイン名および/またはSNIによって提供されるコンテンツをカテゴリ化することができる任意のサーバであると理解される。すなわち、サーバ300は、所定の様式において、抽出されたドメイン名および/またはSNIによって、いずれのタイプまたはレベルのコンテンツが利用可能にされるかをネットワーク200に示すことができる。従来技術のプロトコルによって可能にされるものとしての、非暗号化形態のドメイン名の検出に基づいてステップS18を実施するための任意の既知の様式を実施することができることは明らかであろう。
【0085】
好適な実施形態において、サーバ300はICAPサーバによって実装することができ、したがって、ステップS18のメッセージは、ICAPクライアントとして動作するユーザプレーンエンティティ230からUPFメッセージとして送信することができ、ICAPクエリメッセージ内にドメイン名および/またはSNIを含む。
【0086】
ステップS19において、サーバ300は、ステップS18のメッセージとともに受信されるドメイン名および/またはSNIによって提供されるコンテンツを評価する。ステップS20において、サーバ300は、ドメイン名および/またはSNIによって提供されるコンテンツのタイプおよび/またはレベルの指示によって、ステップS18のメッセージに返答する。
【0087】
ステップS21において、サーバ300から取得される情報に基づいて、好ましくはまた、セッションポリシにも基づいて、ユーザプレーンエンティティ230が、ユーザ機器100とコンテンツプロバイダ400との間のデータパケットをフィルタリングすべきか否かを判断する。たとえば、セッションポリシが暴力的なコンテンツを許容するが、性的なコンテンツは許容しない場合に、サーバ300が暴力的なコンテンツを示す場合、トラフィックは許可され、一方、サーバ300が性的なコンテンツを示す場合、トラフィックはブロックされる。このように、ステップS18~S21は、セッションポリシおよび抽出されているドメイン名に基づいて、データパケットのフィルタリングを実施することを可能にする。
【0088】
図2に示されてはいないが、ユーザプレーンエンティティ230によってパケットがフィルタリングされる、すなわち、ブロックされる場合、ユーザプレーンエンティティ230はまた、このフィルタリングをネットワーク200内の他のエンティティに報告してもよい。たとえば、本発明がペアレンタルコントロールシステムの一部として実装される場合、これによって、加入者が許可されていないコンテンツにアクセスしようとしたことを報告することが可能である。
【0089】
また代替的に、または加えて、図2に示されてはいないが、パケットがフィルタリングされない場合、ユーザプレーンエンティティ230は、データパケットフローからの非暗号化形態の抽出されたドメイン名および/またはSNIの除去に進んでもよい。このようにして、説明されているように、ネットワーク200がコンテンツフィルタリングを実施することを依然として可能にしながら、ネットワーク200とコンテンツプロバイダ400との間のデータパケットフローのセキュリティを強化することができる。
【0090】
擬似コードで書かれており、たとえば、オプションの識別子がtokenId(トークンID)として示され、オプションのDNSキャッシュクリアも実施する5G実施態様を参照した、図2による方法において交換されるメッセージの1つの可能な例示的実施形態は、たとえば、以下のように形式化することができる。
- S1:PDUセッション確立要求
- S2:Nsmf_PDUSession_CreateSMContext要求
- S3:Npcf_AMPolicyControl_Create要求
- S4:Npcf_SMPolicyControl_Create要求
- S5:{SUPI}を含むUDRポリシプロファイル要求
- S6:{コンテンツフィルタリングポリシ}を含むUDRポリシプロファイル応答
- S7:PCC規則を生成するPCF
- S8:{tokenIdによってマークされたトラフィックを検出し、コンテンツフィルタリングポリシを適用することを求める要求を含むPCC規則}を含むNpcf_SMPolicyControl_Create応答
- S9:PFCPセッション確立要求{tokenIdによってマークされたトラフィックを検出し、コンテンツフィルタリングポリシを適用することを求める要求を含むPDR/FAR/QER/URR}
- S10:PFCPセッション確立応答
- S11:PCFが、ドメイン名を検出し、(tokenId,ドメイン名)をマークし、DNSキャッシュをクリアアウトすることをUEに要求する
- S12:{(tokenId,ドメイン名)をマークし、DNSキャッシュをクリアアウトするためのUEポリシ}を含むNpcf_AMPolicyControl_Create応答
- S13:{(tokenId,ドメイン名)をマークし、DNSキャッシュをクリアアウトするためのUEポリシ}を含むセッション確立応答
- S14:UEがUEポリシを記憶する
- S15:UEがTLSまたはQUICを介してアプリケーション(example.com)を始動する。UEが、要求されたドメイン名を検出し、tokenIdおよびドメイン名によってトラフィックをマークする
- S16:{tokenId,ドメイン名}を含むアプリケーショントラフィック
- S17:UPFがtokenIdを検出し、ドメイン名を抽出する
- S18:{ドメイン名}を含むICAPクエリ
- S19:ICAPサーバが暴力コンテンツカテゴリにおいてデータベース内でドメイン名を見つける
- S20:{コンテンツカテゴリ=暴力}を含むICAP応答
- S21:UPFが、コンテンツカテゴリに基づいて、対応する措置(たとえば、ブロック)を適用する
- S1:PDUセッション確立要求
- S2:Nsmf_PDUSession_CreateSMContext要求
- S3:Npcf_AMPolicyControl_Create要求
- S4:Npcf_SMPolicyControl_Create要求
- S5:{SUPI}を含むUDRポリシプロファイル要求
- S6:{コンテンツフィルタリングポリシ}を含むUDRポリシプロファイル応答
- S7:PCC規則を生成するPCF
- S8:{tokenIdによってマークされたトラフィックを検出し、コンテンツフィルタリングポリシを適用することを求める要求を含むPCC規則}を含むNpcf_SMPolicyControl_Create応答
- S9:PFCPセッション確立要求{tokenIdによってマークされたトラフィックを検出し、コンテンツフィルタリングポリシを適用することを求める要求を含むPDR/FAR/QER/URR}
- S10:PFCPセッション確立応答
- S11:PCFが、ドメイン名を検出し、(tokenId,ドメイン名)をマークし、DNSキャッシュをクリアアウトすることをUEに要求する
- S12:{(tokenId,ドメイン名)をマークし、DNSキャッシュをクリアアウトするためのUEポリシ}を含むNpcf_AMPolicyControl_Create応答
- S13:{(tokenId,ドメイン名)をマークし、DNSキャッシュをクリアアウトするためのUEポリシ}を含むセッション確立応答
- S14:UEがUEポリシを記憶する
- S15:UEがTLSまたはQUICを介してアプリケーション(example.com)を始動する。UEが、要求されたドメイン名を検出し、tokenIdおよびドメイン名によってトラフィックをマークする
- S16:{tokenId,ドメイン名}を含むアプリケーショントラフィック
- S17:UPFがtokenIdを検出し、ドメイン名を抽出する
- S18:{ドメイン名}を含むICAPクエリ
- S19:ICAPサーバが暴力コンテンツカテゴリにおいてデータベース内でドメイン名を見つける
- S20:{コンテンツカテゴリ=暴力}を含むICAP応答
- S21:UPFが、コンテンツカテゴリに基づいて、対応する措置(たとえば、ブロック)を適用する
【0091】
上記は本発明を特定のステップに限定するようには意図されておらず、当業者に明らかになるように、この例示的な実施態様にあるようなすべてのステップが実施されなければならないわけではないことが明らかであろう。上述したような1つのステップの実施が,必ずしも、上記のように実施されるものとしてのすべてのステップを必要とするわけではないことがさらに明らかであろう。
【0092】
特に、図2および図3を参照すると、一態様は、ユーザ機器100とコンテンツプロバイダ400との間でデータパケットを交換するためのデータパケットフローが提供される、無線通信ネットワーク200内でポリシ制御エンティティ240を動作させるための方法に関連することができ、データパケットフローは、コンテンツプロバイダ400のドメイン名を暗号化する。本方法は、データリポジトリ250からユーザポリシプロファイルを受信するステップS6、S31を含むことができ、ユーザポリシプロファイルは、データパケットをフィルタリングするためのコンテンツフィルタリングポリシを含む。本方法は、ユーザポリシプロファイルに基づくセッションポリシを無線通信ネットワーク200のセッション制御エンティティ220に伝送するステップS8、S32であって、セッションポリシは、データパケットをフィルタリングするように無線通信ネットワーク200のユーザプレーンエンティティ230に指示する、伝送するステップS8、S32と、ユーザポリシプロファイルに基づいてユーザポリシを無線通信ネットワーク200のアクセス管理エンティティ210に伝送するステップS12、S33であって、ユーザポリシは、非暗号化形態のドメイン名をデータパケットに追加するようにユーザ機器100に指示する、伝送するステップS12、S33とをさらに含むことができる。
【0093】
このようにして、加入者に関連付けられるユーザポリシプロファイルを取得し、対応するセッションポリシおよびユーザポリシを作成し、それらをそれぞれの受信先に転送することが可能である。これによって、ユーザプレーンエンティティ230およびユーザ機器100が、コンテンツフィルタリングを実行することが可能であるように設定されることが可能である。
【0094】
いくつかの実施形態において、セッションポリシおよび/またはユーザポリシは、非暗号化形態のドメイン名の伝送をユーザプレーンエンティティ230に示すための識別子を含むことができる。前述のように、識別子は、非暗号化形態のドメイン名の存在、および/または長さなどのその特性を示すことによって、ユーザプレーンエンティティ230の動作を単純化することができる。
【0095】
いくつかの実施形態において、ユーザポリシは、ユーザ機器100に対する、そのドメイン名システムキャッシュをクリアすることを求める要求を含むことができる。前述のように、これは、非暗号化形態のドメイン名を追加するために使用することができる、ユーザ機器におけるDNSクエリを強制する。これによって、ユーザプレーンエンティティが、DNSクエリのみを検出し、したがって、ユーザプレーンエンティティ230における認識および抽出プロセスを単純化することによって、ユーザ機器100とコンテンツプロバイダ400との間のすべてのトラフィックをフィルタリングすることができることが保証される。その上、この実施態様によって、非暗号化形態のドメイン名の認識および挿入に関するユーザ機器の実施態様を、DNSクエリの事例のみに限定することができるため、単純化することができることが保証される。
【0096】
特に、図2および図4を参照すると、さらなる態様は、ユーザ機器100とコンテンツプロバイダ400との間でデータパケットを交換するためのデータパケットフローが提供される、無線通信ネットワーク200内でユーザプレーンエンティティ230を動作させるための方法に関連することができ、データパケットフローは、コンテンツプロバイダ400のドメイン名を暗号化する。本方法は、無線通信ネットワーク200のセッション制御エンティティ220から、データパケットをフィルタリングするようにユーザプレーンエンティティ230に指示するセッションポリシを受信するステップS9、S41を含むことができる。本方法は、非暗号化形態のドメイン名を含むデータパケットフローの少なくとも1つのデータパケットをユーザ機器100から受信するステップS16、S42と、少なくとも1つのデータパケットからドメイン名を抽出するステップS17、S43と、セッションポリシおよび抽出されたドメイン名に基づいてデータパケットをフィルタリングするステップS18~S21、S44とをさらに含むことができる。
【0097】
この実施態様によって、ユーザプレーンエンティティ230は、ドメイン名および/またはSNIがデータパケットフローのプロトコルによって暗号化されている事例においても、ユーザ機器によってプロコトルによる暗号化形態のものに追加される、非暗号化形態のドメイン名および/またはSNIを認識することによって、コンテンツフィルタリングを有利に実施することができる。
【0098】
いくつかの実施形態において、抽出するステップS17、S43は、非暗号化形態のドメイン名の伝送を示すための識別子を、少なくとも1つのデータパケット内で認識することによって、非暗号化形態のドメイン名を含む少なくとも1つのデータパケットを識別することができる。
【0099】
すなわち、識別子の存在によって、前述のように、非暗号化形態のドメイン名を含むデータパケットを容易に識別することができる。この事例では、同じデータパケットが非暗号化形態のドメイン名と識別子の両方を含むものとして説明されているが、本発明はそれに限定されず、識別子は、非暗号化形態のドメイン名を含むデータパケットとは異なる、好ましくはそれに先行するデータパケットに含まれてもよい。
【0100】
いくつかの実施形態において、セッションポリシが識別子を含むことができる。この実施態様によって、ユーザ機器にそれぞれ異なる識別子を適切に提供することによって、各加入者について、および/または、ネットワーク200上のユーザ機器100によって確立される各PDUセッションについて、および/または、ユーザ機器100の異なるアプリケーションについて、異なる可能性があり得る識別子を使用することが可能である。すなわち、識別子は、非暗号化形態のドメイン名および/またはSNIの存在を識別するだけでなく、加入者および/またはコンテンツプロバイダ400上のコンテンツにアクセスすることを意図しているアプリケーションなどのような追加の情報を提供するために使用することもできる。
【0101】
特に、図2および図5を参照すると、さらなる態様は、ユーザ機器100とコンテンツプロバイダ400との間でデータパケットを交換するためのデータパケットフローを確立するために無線通信ネットワーク200に接続可能なユーザ機器100を動作させるための方法に関連することができ、データパケットフローは、コンテンツプロバイダ400のドメイン名を暗号化する。本方法は、非暗号化形態のドメイン名をデータパケットフローの少なくとも1つのデータパケットに追加するステップS15、S51と、無線通信ネットワーク200のユーザプレーンエンティティ230に少なくとも1つのデータパケットを伝送するステップS16、S52とを含むことができる。
【0102】
このようにして、ユーザ機器100は、たとえデータパケットフローのプロトコルがドメイン名が暗号化されることを必要とする場合であっても、非暗号化形態のドメイン名を追加することができる。すなわち、同じく非暗号化形態のドメイン名を提供することによって、ユーザ機器は、ネットワーク200がコンテンツフィルタリングを実施することを可能にする。
【0103】
いくつかの実施形態において、追加するステップS15、S51はまた、非暗号化形態のドメイン名の伝送を示すための識別子を少なくとも1つのデータパケットに追加することも含むことができる。識別子の存在は、ネットワーク200によるデータパケットフロー内での非暗号化形態のドメイン名の認識を単純化する。
【0104】
いくつかの実施形態において、本方法はまた、追加ステップS15、S51の前に、ユーザ機器100のドメイン名システムキャッシュをクリアするステップも含むことができる。このようにして、ユーザ機器100におけるDNSクエリを保証することができる。
【0105】
いくつかの実施形態において、本方法はまた、追加ステップS15、S51の前に、非暗号化形態のドメイン名をデータパケットフローに追加するようにユーザ機器100に指示するユーザポリシを、無線通信ネットワーク200のアクセス管理エンティティ210から受信するステップS13も含むことができる。このようにして、ユーザ機器に、追加ステップS15、S51を実施するための命令を提供することができる。これによって、さらに、ネットワーク200が、コンテンツフィルタリングが実施される必要があるユーザ機器100のみに命令を提供することが可能である。
【0106】
いくつかの実施形態において、ユーザポリシが識別子を含むことができる。このようにして、ユーザ機器100とユーザプレーンエンティティ230の両方に識別子を転送することができ、両方が同じ識別子を提供されることが保証される。好適な実施形態において、これによってまた、ユーザ機器に提供される識別子が、特定のセッションおよび/もしくは特定のユーザ機器向けに設定されることも可能であり、ならびに/または、複数の識別子がユーザ機器100におけるそれぞれのアプリケーションに提供されることも可能である。
【0107】
上述した方法のいずれかにおいて、データパケットフローは、TLS、QUICまたはDNSオーバHTTPSのうちの少なくとも1つを実装することができる。説明されているように、それらの規格の最近の実装において、ドメイン名および/またはSNIが暗号化されており、これによって、ネットワーク200がコンテンツフィルタリングを実施することが妨げられている。しかしながら、上述したように、非暗号化形態のドメイン名および/またはSNIを提供することによって、本発明は、ネットワーク200におけるドメイン名および/またはSNIの認識を可能にし、したがって、コンテンツフィルタリングが実施されることを可能にする。
【0108】
上記の方法は、複数のノードによって実施される複数のステップを含む図面を参照して独立して説明されているが、本発明を、1つまたは複数のノードによって実行される、それらのステップのサブセットによって実施することができることは明らかであろう。その上、所与の実施形態について説明されている1つのステップの特徴および利点が、異なる実施形態について説明されている同じステップおよび/または類似のステップにも適用され得る。
【0109】
その上、上記の説明は方法ステップに関して論じられているが、本発明はまた、それぞれのデバイスによって実施することもできることが明らかであろう。特に、図6、図8および図10はそれぞれ、以下の例示的な概略図を示す。
- ポリシ制御エンティティ240、60
- ユーザプレーンエンティティ230、80
- ユーザ機器100
- ポリシ制御エンティティ240、60
- ユーザプレーンエンティティ230、80
- ユーザ機器100
【0110】
これらが各々、処理ユニット、インターフェースおよびメモリを備える。インターフェースまたはトランシーバは、無線通信ネットワーク内のおよび/またはその外部の他のエンティティとの通信を可能にするように設定されている。メモリは、処理ユニットに、それぞれのエンティティを参照して上述したステップのいずれかを実行させるように設定されている命令を含むことができる。
【0111】
その上、本発明を実施するためのそれぞれのデバイスはまた、モジュールに関して定義することもできる。特に、図7、図9および図11はそれぞれ、以下の様々なモジュールを示す。
- ポリシ制御エンティティ240、70
- ユーザプレーンエンティティ230、90
- ユーザ機器100、110
- ポリシ制御エンティティ240、70
- ユーザプレーンエンティティ230、90
- ユーザ機器100、110
【0112】
それらのモジュールは、一般的に、各エンティティが、それぞれのエンティティと組み合わせて前述したステップのいずれかを実施することを可能にする。より具体的には、図7は、それぞれステップS6、S8およびS12またはステップS31、S32およびS33の機能を実行するために設定されたモジュール71、72、および73を概略的に示す。同様に、図9は、それぞれステップS9、S16、S17およびS18~S21またはステップS41、S42、S43およびS44の機能を実行するために設定されたモジュール91、92、93および94を概略的に示す。同様に、図11は、それぞれステップS15およびS16またはステップS51およびS52の機能を実行するために設定されたモジュール111および112を概略的に示す。
【0113】
それらのエンティティのいずれかが、前述した他のステップのモジュール実施態様をさらに含むことができることは明らかであろう。
【0114】
加えて、一実施形態は、上述したエンティティのいずれかから、特に、ポリシ制御エンティティ240、ユーザプレーンエンティティ230およびユーザ機器100の中から選択される少なくとも2つのエンティティを備えるシステムに関連することができる。
【0115】
上記から明らかになるように、本発明の様々な実施形態は、ユーザ機器においてドメイン名を暗号化し、ネットワークオペレータにとって読解不可能にするプロトコルであっても、ドメイン名に関連付けられるカテゴリに基づいてトラフィックをフィルタリングするためのソリューションを可能にする。非暗号化形態のドメイン名をユーザ機器においてデータパケットフローにさらに追加することによって、ネットワークはそれにアクセスし、フィルタリングを実行することができる。加えて、有利な実施形態は、非暗号化形態のドメイン名の伝送をユーザプレーンエンティティに示すための識別子を提供することによって、ネットワークの動作を単純化する。いくつかのさらなる有利な実施形態において、ユーザ機器においてDNSキャッシュをクリアアウトする命令が、ユーザ機器のより下位のレベルが、DNSクエリを実施するためにドメイン名を通知されることを保証し、結果、ユーザ機器が、ドメイン名を検出し、それを非暗号化形態でデータパケットフローに含めることを保証することができる。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【国際調査報告】