▶ オラクル・インターナショナル・コーポレイションの特許一覧
特表2023-553496第5世代(5G)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2023-12-21
(54)【発明の名称】第5世代(5G)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体
(51)【国際特許分類】
H04W 12/06 20210101AFI20231214BHJP
H04W 12/40 20210101ALI20231214BHJP
【FI】
H04W12/06
H04W12/40
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023536111
(86)(22)【出願日】2021-10-28
(85)【翻訳文提出日】2023-08-09
(86)【国際出願番号】 US2021057157
(87)【国際公開番号】W WO2022132316
(87)【国際公開日】2022-06-23
(31)【優先権主張番号】17/123,038
(32)【優先日】2020-12-15
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】ラジプット,ジャイ
(72)【発明者】
【氏名】マハランク,シャシキラン・バラチャンドラ
(72)【発明者】
【氏名】ダス,コーシック
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067DD17
5K067EE02
5K067EE10
5K067HH23
(57)【要約】
第5世代(5G)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体が開示される。第1のネットワークの第1のネットワークノードにおいて実行される1つの方法は、第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つの認証および鍵合意(AKA)プロシージャ関連メッセージから、ユーザ機器を識別するための認証情報を取得することと、後続のメッセージを検証するために、認証情報をデータストアに記憶することと、ユーザ機器に関連する要求メッセージを受信することと、認証情報を用いて、要求メッセージが無効であると判断することと、要求メッセージが無効であると判断したことに応答して、無効メッセージ動作を実行することとを含む。
【特許請求の範囲】
【請求項1】
第5世代(5G)通信ネットワークにおいてメッセージ検証を実行するための方法であって、前記方法は、第1のネットワークの第1のネットワークノードにおいて、
第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つの認証および鍵合意(AKA)プロシージャ関連メッセージから、前記ユーザ機器を識別するための認証情報を取得することと、
後続のメッセージを検証するために、前記認証情報をデータストアに記憶することと、
前記ユーザ機器に関連する要求メッセージを受信することと、
前記認証情報を用いて、前記要求メッセージが無効であると判断することと、
前記要求メッセージが無効であると判断したことに応答して、無効メッセージ動作を実行することとを含む、方法。
【請求項2】
前記認証情報を用いて、前記要求メッセージが無効であると判断することは、前記要求メッセージ内のユーザ機器識別子を用いて、前記データストアから前記認証情報を取得することと、
前記認証情報を用いて、前記ユーザ機器が前記要求メッセージの発信元である前記ネットワークにローミングしていることを確認できないと判断することとを含む、請求項1に記載の方法。
【請求項3】
前記要求メッセージは、5Gコア要求メッセージを含む、請求項1または請求項2に記載の方法。
【請求項4】
前記少なくとも1つのAKAプロシージャ関連メッセージは、前記認証情報を含む1つ以上のデータタイプを含む、先行する請求項のいずれかに記載の方法。
【請求項5】
前記認証情報は、認証ステータス、ネットワーク識別子、ネットワークノード識別子、加入永続識別子(SUPI)、サービングネットワーク名、または公衆陸上移動体ネットワーク(PLMN)識別子を含む、先行する請求項のいずれかに記載の方法。
【請求項6】
前記第1のネットワークノードは、セキュリティエッジプロテクションプロキシ(SEPP)、5Gコアネットワーク機能、ネットワークプロキシ、またはネットワークゲートウェイを含む、先行する請求項のいずれかに記載の方法。
【請求項7】
前記少なくとも1つのAKAプロシージャ関連メッセージは、前記第2のネットワークの第2のネットワークノードを介して送信され、前記第2のネットワークノードは、コンシューマネットワーク機能(NF)、ポリシー制御機能(PCF)、アクセスおよびモビリティ管理機能(AMF)、セッション管理機能(SMF)、ネットワークリポジトリ機能(NRF)、ネットワークスライス選択機能(NSSF)、または5Gコアネットワーク機能を含む、先行する請求項のいずれかに記載の方法。
【請求項8】
前記無効メッセージ動作は、前記要求メッセージを破棄すること、またはネットワーク管理者もしくは管理システムに通知することを含む、先行する請求項のいずれかに記載の方法。
【請求項9】
前記第1のネットワークは、ホーム公衆陸上移動体ネットワーク(PLMN)であり、前記第2のネットワークは、訪問先PLMNである、先行する請求項のいずれかに記載の方法。
【請求項10】
第5世代(5G)通信ネットワークにおいてメッセージ検証を実行するためのシステムであって、前記システムは、第1のネットワークの第1のネットワークノードを備え、前記第1のネットワークノードは、少なくとも1つのプロセッサと、メモリとを含み、
前記第1のネットワークノードは、
第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つの認証および鍵合意(AKA)プロシージャ関連メッセージから、前記ユーザ機器を識別するための認証情報を取得し、
後続のメッセージを検証するために、前記認証情報をデータストアに記憶し、
前記ユーザ機器に関連する要求メッセージを受信し、
前記認証情報を用いて、前記要求メッセージが無効であると判断し、
前記要求メッセージが無効であると判断したことに応答して、無効メッセージ動作を実行するように構成されている、システム。
【請求項11】
前記第1のネットワークノードは、前記要求メッセージ内のユーザ機器識別子を用いて、前記データストアから前記認証情報を取得し、前記認証情報を用いて、前記ユーザ機器が前記要求メッセージの発信元である前記ネットワークにローミングしていることを確認できないと判断することによって、前記認証情報を用いて前記要求メッセージが無効であると判断するように構成されている、請求項10に記載のシステム。
【請求項12】
前記要求メッセージは、5Gコア要求メッセージを含む、請求項10または請求項11に記載のシステム。
【請求項13】
前記少なくとも1つのAKAプロシージャ関連メッセージは、前記認証情報を含む1つ以上のデータタイプを含む、請求項10から請求項12のいずれかに記載のシステム。
【請求項14】
前記認証情報は、認証ステータス、ネットワーク識別子、ネットワークノード識別子、加入永続識別子(SUPI)、サービングネットワーク名、または公衆陸上移動体ネットワーク(PLMN)識別子を含む、請求項10から13のいずれかに記載のシステム。
【請求項15】
前記第1のネットワークノードは、セキュリティエッジプロテクションプロキシ(SEPP)、5Gコアネットワーク機能、ネットワークプロキシ、またはネットワークゲートウェイを含む、請求項10から14のいずれかに記載のシステム。
【請求項16】
前記少なくとも1つのAKAプロシージャ関連メッセージは、前記第2のネットワークの第2のネットワークノードを介して送信され、前記第2のネットワークノードは、コンシューマネットワーク機能(NF)、ポリシー制御機能(PCF)、アクセスおよびモビリティ管理機能(AMF)、セッション管理機能(SMF)、ネットワークリポジトリ機能(NRF)、ネットワークスライス選択機能(NSSF)、または5Gコアネットワーク機能を含む、請求項10から15のいずれかに記載のシステム。
【請求項17】
前記無効メッセージ動作は、前記要求メッセージを破棄すること、またはネットワーク管理者もしくは管理システムに通知することを含む、請求項10から16のいずれかに記載のシステム。
【請求項18】
前記第1のネットワークは、ホーム公衆陸上移動体ネットワーク(PLMN)であり、前記第2のネットワークは、訪問先PLMNである、請求項10から17のいずれかに記載のシステム。
【請求項19】
コンピュータの少なくとも1つのプロセッサによって実行されると、コンピュータに以下のステップを実行させる実行可能な命令を記憶する非一時的コンピュータ可読媒体であって、前記ステップは、第1のネットワークの第1のネットワークノードにおいて、
第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つの認証および鍵合意(AKA)プロシージャ関連メッセージから、前記ユーザ機器を識別するための認証情報を取得するステップと、
後続のメッセージを検証するために、前記認証情報をデータストアに記憶するステップと、
前記ユーザ機器に関連する要求メッセージを受信するステップと、
前記認証情報を用いて、前記要求メッセージが無効であると判断するステップと、
前記要求メッセージが無効であると判断したことに応答して、無効メッセージ動作を実行するステップとを含む、非一時的コンピュータ可読媒体。
【請求項20】
前記認証情報を用いて、前記要求メッセージが無効であると判断するステップは、前記要求メッセージ内のユーザ機器識別子を用いて、前記データストアから前記認証情報を取得することと、
前記認証情報を用いて、前記ユーザ機器が前記要求メッセージの発信元である前記ネットワークにローミングしていることを確認できないと判断することとを含む、請求項19に記載の非一時的コンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
優先権主張
本願は、2020年12月15日に提出された米国特許出願第17/123038号の優先権利益を主張する。その開示の全体は、参照により本明細書に組み込まれる。
本願は、2020年12月15日に提出された米国特許出願第17/123038号の優先権利益を主張する。その開示の全体は、参照により本明細書に組み込まれる。
【0002】
技術分野
本明細書に記載された主題は、第5世代(5G)通信ネットワークのセキュリティ強化に関する。より具体的には、本明細書に記載された主題は、5G通信ネットワークにおいてメッセージ検証を実行するための方法、システム、およびコンピュータ可読媒体に関する。
本明細書に記載された主題は、第5世代(5G)通信ネットワークのセキュリティ強化に関する。より具体的には、本明細書に記載された主題は、5G通信ネットワークにおいてメッセージ検証を実行するための方法、システム、およびコンピュータ可読媒体に関する。
【背景技術】
【0003】
背景
第5世代(5G)通信ネットワークにおいて、サービスを提供するネットワークノードは、プロデューサ(producer)ネットワーク機能(NF)と呼ばれている。サービスを消費するネットワークノードは、コンシューマ(consumer)NFと呼ばれている。ネットワーク機能は、それがサービスを消費しているかまたは提供しているかに応じて、プロデューサNFおよびコンシューマNFの両方であり得る。
第5世代(5G)通信ネットワークにおいて、サービスを提供するネットワークノードは、プロデューサ(producer)ネットワーク機能(NF)と呼ばれている。サービスを消費するネットワークノードは、コンシューマ(consumer)NFと呼ばれている。ネットワーク機能は、それがサービスを消費しているかまたは提供しているかに応じて、プロデューサNFおよびコンシューマNFの両方であり得る。
【0004】
特定のプロデューサNFは、多くのサービスエンドポイントを有することができる。サービスエンドポイントは、プロデューサNFによってホストされている1つ以上のNFインスタンスの接点である。サービスエンドポイントは、インターネットプロトコル(IP)アドレスおよびポート番号の組み合わせ、またはプロデューサNFをホストするネットワークノードのIPアドレスおよびポート番号に分解した完全修飾ドメイン名によって識別されている。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。特定のプロデューサNFは、複数のNFインスタンスを含み得る。なお、複数のNFインスタンスは、同じサービスエンドポイントを共有することもできる。
【0005】
プロデューサNFは、ネットワーク機能リポジトリ機能(NRF)に登録する。NRFは、各NFインスタンスによってサポートされているサービスを識別するための利用可能なNFインスタンスのサービスプロファイルを保持する。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するように加入することができる。コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するように加入することができる別のタイプのネットワークノードは、サービス通信プロキシ(SCP)である。SCPは、NRFに加入し、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシは、必要なサービスを提供するプロデューサNFサービスインスタンスの間でトラフィックを負荷分散するか、またはトラフィックを宛先のプロデューサNFインスタンスに直接にルーティングする。
【0006】
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする一組の中間プロキシノードまたはネットワークノードの他の例は、セキュリティエッジプロテクションプロキシ(SEPP)、サービスゲートウェイ、および5Gサービスメッシュのノードを含む。SEPPは、異なる5G公衆陸上移動体ネットワーク(PLMN)の間に交換される制御プレーントラフィックを保護するために使用されているネットワークノードである。したがって、SEPPは、全てのアプリケーションプログラミングインターフェイス(API)メッセージに対して、メッセージフィルタリング、ポリシング、およびトポロジ隠蔽を実行する。
【発明の概要】
【発明が解決しようとする課題】
【0007】
しかしながら、1つ以上のNFのセキュリティ対策を改善する必要がある。
【課題を解決するための手段】
【0008】
概要
第5世代(5G)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体が開示される。5G通信ネットワークにおいてメッセージ検証を実行するための1つの例示的な方法は、第1のネットワークの第1のネットワークノードにおいて、第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つの認証および鍵合意(AKA)プロシージャ関連メッセージから、ユーザ機器を識別するための認証情報を取得することと、後続のメッセージを検証するために、認証情報をデータストアに記憶することと、ユーザ機器に関連する要求メッセージを受信することと、認証情報を用いて、要求メッセージが無効であると判断することと、要求メッセージが無効であると判断したことに応答して、無効メッセージ動作を実行することとを含む。
第5世代(5G)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体が開示される。5G通信ネットワークにおいてメッセージ検証を実行するための1つの例示的な方法は、第1のネットワークの第1のネットワークノードにおいて、第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つの認証および鍵合意(AKA)プロシージャ関連メッセージから、ユーザ機器を識別するための認証情報を取得することと、後続のメッセージを検証するために、認証情報をデータストアに記憶することと、ユーザ機器に関連する要求メッセージを受信することと、認証情報を用いて、要求メッセージが無効であると判断することと、要求メッセージが無効であると判断したことに応答して、無効メッセージ動作を実行することとを含む。
【0009】
5G通信ネットワークにおいてメッセージ検証を実行するための1つの例示的なシステムは、少なくとも1つのプロセッサとメモリとを含む第1のネットワークの第1のネットワークノードを備える。第1のノードは、第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つの認証および鍵合意(AKA)プロシージャ関連メッセージから、ユーザ機器を識別するための認証情報を取得し、後続のメッセージを検証するために、認証情報をデータストアに記憶し、ユーザ機器に関連する要求メッセージを受信し、認証情報を用いて、要求メッセージが無効であると判断し、要求メッセージが無効であると判断したことに応答して、無効メッセージ動作を実行するように構成されている。
【0010】
1つの例示的な非一時的コンピュータ可読媒体は、コンピュータ実行可能な命令を含み、当該命令は、非一時的コンピュータ可読媒体に具現化され、少なくとも1つのコンピュータの少なくとも1つのプロセッサによって実行されると、少なくとも1つのコンピュータに、以下のステップを実行させる。当該ステップは、第1のネットワークの第1のネットワークノードにおいて、第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つの認証および鍵合意(AKA)プロシージャ関連メッセージから、ユーザ機器を識別するための認証情報を取得するステップと、後続のメッセージを検証するために、認証情報をデータストアに記憶するステップと、ユーザ機器に関連する要求メッセージを受信するステップと、認証情報を用いて、要求メッセージが無効であると判断するステップと、要求メッセージが無効であると判断したことに応答して、無効メッセージ動作を実行するステップとを含む。
【0011】
本明細書に記載された主題の一態様によれば、認証情報を用いて、要求メッセージが無効であると判断することは、要求メッセージ内のユーザ機器識別子を用いて、データストアから認証情報を取得することと、認証情報を用いて、ユーザ機器が要求メッセージの発信元であるネットワークにローミングしていることを確認できないと判断することとを含み得る。
【0012】
本明細書に記載された主題の一態様によれば、メッセージ検証を実行するための要求メッセージは、nudm-sdmサービスメッセージ、nudm-uecmサービスメッセージ、npcf-ueポリシサービスメッセージ、nsmf-pduセッションサービスメッセージ、nnrf-discサービスメッセージ、またはnnrf-nfmサービスメッセージを含み得る。
【0013】
本明細書に記載された主題の一態様によれば、AKAプロシージャ関連メッセージは、AuthenticationInfoデータタイプ、UEAuthenticationCtxデータタイプ、ConfirmationDataデータタイプ、またはConfirmationDataResponseデータタイプを含むメッセージを含み得る。
【0014】
本明細書に記載された主題の一態様によれば、ユーザ機器またはネットワークを識別するために使用可能な認証情報は、ネットワーク識別子、ユーザ機器識別子、ネットワークノード識別子、加入永続識別子(SUPI)、加入隠蔽識別子(SUCI)、または公衆陸上移動体ネットワーク(PLMN)識別子を含み得る。
【0015】
本明細書に記載された主題の一態様によれば、第1のネットワークノードは、セキュリティエッジプロテクションプロキシ(SEPP)、5Gコアネットワーク機能、ネットワークプロキシ、またはネットワークゲートウェイを含む。
【0016】
本明細書に記載された主題の一態様によれば、少なくとも1つのAKAプロシージャ関連メッセージは、第2のネットワークの第2のネットワークノードを介して送信され、第2のネットワークノードは、コンシューマネットワーク機能(NF)、ポリシー制御機能(PCF)、アクセスおよびモビリティ管理機能(AMF)、セッション管理機能(SMF)、ネットワークリポジトリ機能(NRF)、ネットワークスライス選択機能(NSSF)、または5Gコアネットワーク機能を含む。
【0017】
本明細書に記載された主題の一態様によれば、無効メッセージ動作は、要求メッセージを破棄すること、またはネットワーク管理者もしくは管理システムに通知することを含み得る。
【0018】
本明細書に記載された主題の一態様によれば、第1のネットワークは、ホームPLMNであってもよく、第2のネットワークは、訪問先PLMNであってもよい。
【0019】
本明細書に記載された主題は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせで実現されてもよい。したがって、本明細書に使用されている「機能」、「ノード」または「モジュール」という用語は、ソフトウェアおよび/またはファームウェアコンポーネントを含んでもよく、記載された特徴を実装するためのハードウェアを指す。1つの例示的な実装形態において、本明細書に記載された主題は、コンピュータのプロセッサによって実行されると、ステップを実行するようにコンピュータを制御するためのコンピュータ実行可能な命令を記憶するコンピュータ可読媒体を用いて実装されてもよい。本明細書に記載された主題を実装するのに適した例示的なコンピュータ可読媒体は、ディスクメモリ装置、チップメモリ装置、プログラマブル論理装置、および特定用途向け集積回路などの非一時的コンピュータ可読媒体を含む。さらに、本明細書に記載された主題を実装するコンピュータ可読媒体は、1つの装置またはコンピューティングプラットフォーム上に配置されてもよく、複数の装置またはコンピューティングプラットフォームにわたって分散されてもよい。
【0020】
添付の図面を参照して、本明細書に記載された主題を説明する。
【図面の簡単な説明】
【0021】
【図1】例示的な第5世代(5G)ネットワークアーキテクチャを示すネットワーク図である。
【図2】5G通信ネットワークにおいてメッセージ検証を実行するための例示的なノードを示す図である。
【図3】コンシューマネットワーク機能(NF)および認証サーバ機能(AUSF)が関与する例示的な認証および鍵合意(AKA)プロシージャを示すメッセージフロー図である。
【図4】様々な5Gサービスメッセージに関連する例示的な識別データを示す図である。
【図5A】認証プロシージャに関連するメッセージから、ユーザ機器(UE)識別子を取得することを示すメッセージフロー図である。
【図5B】認証プロシージャに関連するメッセージから、ユーザ機器(UE)識別子を取得することを示すメッセージフロー図である。
【図6】5G通信ネットワークにおいて例示的なメッセージ検証を示すメッセージフロー図である。
【図7】5G通信ネットワークにおいてメッセージ検証を実行するための例示的なプロセスを示すフローチャートである。
【発明を実施するための形態】
【0022】
詳細な説明
本明細書に記載された主題は、第5世代(5G)通信ネットワークにおいてメッセージ検証を実行するための方法、システム、およびコンピュータ可読媒体に関する。本明細書に記載された主題のいくつかの態様によれば、ユーザ機器(UE)認証プロシージャ(例えば、5G認証および鍵合意(AKA)プロシージャ)から取得または導出され、記憶されている認証情報を用いて、メッセージ検証を実行するための方法、システム、メカニズムおよび/または技術が提供される。例えば、本明細書に記載された様々な態様に従って、セキュリティエッジプロテクションプロキシ(SEPP)は、UEを認証するための5G AKAプロシージャに関連するメッセージを監視することによって、UEに関連する認証情報(例えば、UE識別子、サービングPLMN識別子、およびUE認証ステータス)を取得または導出することができる。この例において、SEPPは、同じ認証情報を用いて、UEに関連する後続のPLMN間メッセージを検証することによって、セキュリティ攻撃および他の問題を回避または軽減することができる。有利なことに、本明細書に記載の1つ以上の技術および/または方法を利用することによって、SEPPまたは別のネットワークノードは、PLMN間トラフィックを使用するDOS攻撃を防止し、ホームネットワークからの加入者データの盗難を防止し、および/または加入者レベルの認証を実現することができる。
本明細書に記載された主題は、第5世代(5G)通信ネットワークにおいてメッセージ検証を実行するための方法、システム、およびコンピュータ可読媒体に関する。本明細書に記載された主題のいくつかの態様によれば、ユーザ機器(UE)認証プロシージャ(例えば、5G認証および鍵合意(AKA)プロシージャ)から取得または導出され、記憶されている認証情報を用いて、メッセージ検証を実行するための方法、システム、メカニズムおよび/または技術が提供される。例えば、本明細書に記載された様々な態様に従って、セキュリティエッジプロテクションプロキシ(SEPP)は、UEを認証するための5G AKAプロシージャに関連するメッセージを監視することによって、UEに関連する認証情報(例えば、UE識別子、サービングPLMN識別子、およびUE認証ステータス)を取得または導出することができる。この例において、SEPPは、同じ認証情報を用いて、UEに関連する後続のPLMN間メッセージを検証することによって、セキュリティ攻撃および他の問題を回避または軽減することができる。有利なことに、本明細書に記載の1つ以上の技術および/または方法を利用することによって、SEPPまたは別のネットワークノードは、PLMN間トラフィックを使用するDOS攻撃を防止し、ホームネットワークからの加入者データの盗難を防止し、および/または加入者レベルの認証を実現することができる。
【0023】
次に、本明細書に記載された主題の様々な実施形態を詳細に説明する。主題の例示は、添付の図面に示されている。可能な限り、図面の全体において、同じ参照番号を用いて、同じまたは同様の部品を示す。
【0024】
図1は、例示的な5Gシステムネットワークアーキテクチャ、例えば、ホーム5Gコア(5GC)ネットワークを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体ネットワーク(PLMN)に配置され得るNRF100とSCP101とを含む。上述したように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびサポートされているサービスのプロファイルを保持し、コンシューマNFまたはSCPが新しい/更新されたプロデューサNFサービスインスタンスの登録に加入し、その登録を通知されることを可能にすることができる。また、SCP101は、プロデューサNFインスタンスのサービス発見および選択をサポートすることができる。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行することができる。さらに、SCP101は、本明細書に記載された方法を用いて、好ましいNF場所に基づいた選択およびルーティングを行うことができる。
【0025】
NRF100は、プロデューサNFインスタンスのNFまたはサービスプロファイルのリポジトリである。コンシューマNFまたはSCPは、プロデューサNFインスタンスと通信するために、NRF100から、NFもしくはサービスプロファイルまたはプロデューサNFインスタンスを取得しなければならない。NFまたはサービスプロファイルは、第3世代パートナーシッププロジェクト(3GPP(登録商標))技術仕様書(TS)29.510に定義されているJavaScript(登録商標)オブジェクト表記法(JSON)データ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレスまたはIPバージョン6(IPv6)アドレスのうち、少なくとも1つを含む。図1において、(NRF100以外の)任意のノードは、サービスを要求しているかまたは提供しているかに応じて、コンシューマNFまたはプロデューサNFのいずれかであってもよい。図示の例において、ノードは、ネットワークにおいてポリシーに関連する動作を実行するポリシー制御機能(PCF)102と、ユーザデータを管理するユーザデータ管理(UDM)機能104と、アプリケーションサービスを提供するアプリケーション機能(AF)106とを含む。図1に示されたノードは、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(SMF)108をさらに含む。AMF110は、モビリティ管理エンティティ(MME)が4Gネットワークにおいて実行している動作と同様のモビリティ管理動作を実行する。認証サーバ機能(AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114などのユーザ機器の認証サービスを実行する。
【0026】
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスに関連する特定のネットワーク能力および特性にアクセスしようとする装置に、ネットワークスライスサービスを提供する。ネットワーク露出機能(NEF)118は、ネットワークに接続されたIoT(Internet of things)装置および他のUEに関する情報を取得しようとするアプリケーション機能に対して、アプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークのサービス能力露出機能(SCEF)と同様の機能を実行する。
【0027】
無線アクセスネットワーク(RAN)120は、無線リンクを介して、UE114をネットワークに接続する。g-Node B(gNB)(図1に図示せず)または他の無線アクセスポイントを用いて、無線アクセスネットワーク120にアクセスすることができる。ユーザプレーン機能(UPF)122は、ユーザプレーンサービスの様々なプロキシ機能をサポートすることができる。このようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(MPTCP)プロキシ機能である。また、UPF122は、性能測定機能をサポートすることができる。UE114は、性能測定機能を用いて、ネットワーク性能測定値を取得することができる。また、図1は、データネットワーク(DN)124を示しており、UEは、DN124を介して、インターネットサービスなどのデータネットワークサービスを利用する。
【0028】
セキュリティエッジプロテクションプロキシ(SEPP)126は、別のPLMNから着信するトラフィックをフィルタリングし、ホームPLMNから発信するトラフィックのトポロジ隠蔽を実行する。SEPP126は、外部PLMNに配置され、外部PLMNのセキュリティを管理するためのSEPPと通信することができる。したがって、異なるPLMNに配置されたNF間のトラフィックは、ホームPLMN用および外部PLMN用の2つのSEPP機能をトラバースすることができる。
【0029】
SEPP126は、N32-cインターフェイスとN32-fインターフェイスとを利用することができる。N32-cインターフェイスは、初期ハンドシェイク(例えば、TLSハンドシェイク)を実行し、N32-fインターフェイス接続および関連メッセージ転送のための様々なパラメータをネゴシエートするために使用可能な2つのSEPP間の制御プレーンインターフェイスである。N32-fインターフェイスは、アプリケーションレベルのセキュリティ保護を適用した後に、コンシューマNFとプロデューサNFとの間の様々な通信(例えば、5GC要求)を転送するために使用可能な2つのSEPP間の転送インターフェイスである。
【0030】
既存の5Gアーキテクチャに関する1つの課題は、既存の5Gアーキテクチャがリソースまたはオブジェクトレベルの認証を利用しないことである。代わりに、既存の5Gアーキテクチャは、APIアクセスに基づく認証モデルを利用する。例えば、信頼できる(ただし、侵害またはハッキングされた)訪問先PLMN(V-PLMN)内の侵害されたAMFがnudm-sdmサービスにアクセスできる場合、AMFは、ホームネットワークまたはその中のネットワークノードが関連するUEが実際にローミングしているかを確認することなく、ホームネットワークのUDMからUE加入データを要求し、受信することができる。別の例において、信頼できるV-PLMN内の侵害されたSEPPは、相当な数のPLMN間メッセージをホームPLMN内のSEPPに送信することによって、シグナリングストームをトリガするまたはサービス拒否(DOS)攻撃を開始することができる。したがって、ホームPLMN内のSEPPは、信頼されたが侵害されたV-PLMNを殆ど保護できない。
【0031】
図2は、5G通信ネットワークにおいてメッセージ検証を実行するための例示的なノード200を示す図である。ノード200は、メッセージ検証を実行するための任意の適切なエンティティを表すことができる。いくつかの実施形態において、ノード200は、1つ以上の5GC NF、例えば、SEPP、NRF、PCF、NSSF、NEF、UDM、AUSF、UDR、バインディングサポート機能(BSF)、または非構造化データ記憶機能(UDSF)を表し、または含み得る。いくつかの実施形態において、ノード200は、ネットワークゲートウェイ、ネットワークプロキシ、エッジセキュリティ装置、または関連する機能を表し、または含み得る。
【0032】
いくつかの実施形態において、ノード200または関連するモジュールは、AKAプロシージャ中に取得されたUE関連認証情報を用いて、(例えば、プログラミング論理を介して)PLMN間メッセージのメッセージ検証を実行することによって、5Gホームネットワーク内のネットワークノードと相互作用する未承認エンティティおよび/または悪質なエンティティの影響を低減または軽減するように構成されてもよい。例えば、ノード200または関連するモジュールは、UE114がホームネットワークによって認証される場合に認証情報(例えば、UE114に関連する1つ以上のUE識別子およびサービングネットワーク名)を識別および記憶し、その後、例えば、記憶されている認証情報を用いて、UE114がPLMN間メッセージの発信元であるネットワークにローミングしていることを確認することによって、UE114に関連するように見えるPLMN間メッセージ(例えば、UDM情報要求)が有効であるか否かを判断するように構成されてもよい。
【0033】
図2を参照して、ノード200は、通信環境、例えば、ホーム5GCネットワークを介してメッセージを通信するための1つ以上の通信インターフェイス202を含み得る。いくつかの実施形態において、通信インターフェイス202は、第1のネットワーク内の1つ以上のSEPP126と通信するための第1の通信インターフェイスと、第2のネットワーク内の1つ以上のSEPP126と通信するための第2の通信インターフェイスと、ホームネットワーク、例えば、ホーム5GCネットワーク内の1つ以上のSEPP126と通信するための第3の通信インターフェイスとを含み得る。
【0034】
ノード200は、メッセージ検証ツール(MV)204を含み得る。MV204は、1つ以上のメッセージ検証を実行するための任意の適切なエンティティ(例えば、少なくとも1つのプロセッサ上で実行されるソフトウェア)であってもよい。いくつかの実施形態において、MV204は、第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つのAKAプロシージャ関連メッセージから、ユーザ機器を識別するための認証情報を取得し、認証情報を用いてユーザ機器に関連する(または関連するように見える)後続メッセージを検証するための機能を含み得る。いくつかの実施形態において、少なくとも1つのAKAプロシージャ関連メッセージから認証情報を取得することは、ノード200をトラバースするAKAプロシージャ関連メッセージを監視または検査することを含み得る。別の例において、少なくとも1つのAKAプロシージャ関連メッセージから認証情報を取得することは、MV204に送信したAKAプロシージャ関連メッセージのコピーを検査することを含み得る。いくつかの実施形態において、MV204は、第1のAKAプロシージャ関連メッセージ(例えば、nausf-ue認証要求)から1つ以上の識別子(例えば、SUPIまたはSUCIおよびサービングネットワーク名)を取得し、第2のAKAプロシージャ関連メッセージ(例えば、nausf-ue認証応答)から追加の情報(例えば、認証コンテキスト識別子)を取得することができる。
【0035】
いくつかの実施形態において、MV204は、PLMN間メッセージ(例えば、HTTP/2メッセージ)用のN32-fインターフェイス接続を監視するように構成されてもよい。例えば、受信したPLMN間メッセージに対して、MV204は、記憶されている関連する認証情報を用いて、PLMN間メッセージが有効であるか否かを判断することができる。この例において、MV204は、PLMN間メッセージ内のUE識別情報を識別することができ、その情報を用いて、データ記憶装置206に照会し、関連する認証情報を取得することができる。この例を続けると、MV204は、記憶されている認証情報を解析することによって、認証情報を用いて、UE114がPLMN間メッセージの発信元であるネットワークにローミングしていることを確認するまたは裏付けるか否かを判断することができる。認証情報を用いて、UE114がPLMN間メッセージの発信元であるネットワークにローミングしていることを確認するまたは裏付ける場合、PLMN間メッセージは、有効であると見なされてもよい。認証情報を用いて、UE114がPLMN間メッセージの発信元であるネットワークにローミングしていることを確認または裏付けできない場合、PLMN間メッセージは、無効であると見なされてもよい。
【0036】
いくつかの実施形態において、MV204は、記憶されている使用可能な関連認証情報がない場合に、UE114に関連する着信PLMN間メッセージが無効であると判断するように構成されてもよい。例えば、UE114がH-PLMN490によって認証されていない場合および/または記憶されている認証情報が利用できない場合、MV204は、UE114に関連する任意のPLMN間メッセージが無効であると見なすことができる。
【0037】
ノード200は、データ記憶装置206にアクセスする(例えば、情報を読み取るおよび/または書き込む)ことができる。データ記憶装置206は、様々なデータを記憶するための任意の適切なエンティティ(例えば、コンピュータ可読媒体またはメモリ)であってもよい。いくつかの実施形態において、データ記憶装置206は、ユーザ機器の認証情報および/またはメッセージ検証を実行する際に使用される関連情報を含み得る。例えば、データストア206は、様々な種類の認証情報(例えば、UEを識別および/または認証するために使用可能な情報)を含み、1つ以上の鍵、例えば、固有のUE識別子、固有の認証コンテキスト識別子、または固有の識別子の組み合わせを用いてインデックスされるデータレコードまたはエントリを含み得る。この例において、各データレコードまたはエントリは、ローミング加入者または関連するUEに関連してもよく、1つ以上のUE識別子および他の認証情報(例えば、サービングネットワーク名または識別子、認証コンテキスト識別子、認証が成功したことを示す認証結果)を含んでもよい。例示的な認証情報は、認証ステータス、ネットワーク識別子、ユーザ機器識別子、ネットワークノード識別子、加入永続識別子(SUPI)、加入隠蔽識別子(SUCI)、またはPLMN識別子を含み得る。
【0038】
いくつかの実施形態において、データ記憶装置206は、様々なAKAプロシージャ関連メッセージから認証情報を取得するためのロジック、様々なPLMN間メッセージからUE識別情報を取得するためのロジック、記憶されている認証情報を用いてメッセージ検証を実行するためのロジック、無効メッセージ動作または有効メッセージ動作を実行またはトリガするためのロジックを含み得る。
【0039】
理解すべきことは、図2および関連する説明は、例示の目的であり、ノード200は、追加のおよび/または異なるモジュール、コンポーネント、または機能を含み得ることである。
【0040】
図3は、コンシューマNF300およびAUSF112が関与する例示的なAKAプロシージャを示すメッセージフロー図である。いくつかの実施形態において、コンシューマNF300は、AUSF112と対話するV-PLMN内のネットワークノードを表すことができる。例えば、コンシューマNF300(例えば、V-PLMN内のAMF(V-AMF))は、UEに関連する情報およびサービングネットワーク名をAUSF112に提供することによって、UE114の認証を要求し、AUSF112は、UDM104からUEに関連する情報および認証方法を取得することができる。この例において、5G AKAプロシージャに含まれる様々なメッセージを受信および転送する中間ノード(例えば、コンシューマNF300とAUSF112との間のH-SEPP126)は、UE114に関連する後続のPLMN間メッセージを検証するために、UE114に関連する認証情報を取得および記憶するように構成されてもよい。
【0041】
5G AKAプロシージャおよび他のセキュリティプロシージャは、3GPP(Third Generation Partnership Project)技術仕様書(TS)33.501に定義されている。Nausf_UE認証サービスに関連する5G AKAプロシージャは、TS29.509にさらに定義されている。TS29.509に定義されるように、種々のメッセージは、5G AKAプロシージャに使用され、本明細書に記載されたように、メッセージ検証を行うために使用可能な認証情報を含む様々な構造化データタイプを含んでもよい。例えば、いくつかの構造化データタイプは、UE識別子(例えば、SUPI、SUCIなど)、サービングネットワーク識別子(例えば、サービングネットワーク名)、認証タイプ(例えば、authType)、認証結果(例えば、authResult)、および/または他の情報を含み得る。
【0042】
TS29.509に定義され、認証情報を含み得るいくつかの例示的な構造化データタイプの一例を以下に示す。例示的な構造化データタイプは、AuthenticationInfoデータタイプ、UEAuthenticationCtxデータタイプ、ConfirmationDataデータタイプ、およびConfirmationDataResponseデータタイプを含む。
【0043】
【数1】
【0044】
図3を参照して、ステップ301において、コンシューマNF300は、POST要求をAUSF112に送信することができる。このPOST要求のペイロードは、UE識別子(例えば、SUPIまたはSUCI)と、UE114に関連するサービングネットワーク識別子(例えば、サービングネットワーク名)とを含むAuthenticationInfoデータタイプを含み得る。
【0045】
ステップ302Aにおいて、成功した場合、「201作成済み」メッセージが返される。このメッセージは、様々な認証に関連する情報を含むUEAuthenticationCtxデータタイプを含み得る。
【0046】
ステップ302Bにおいて、失敗した場合、HTTPステータスコードを示す「4XXまたは5XX」メッセージが返される。このメッセージは、「原因」属性セットを有する問題詳細構造を含む。
【0047】
ステップ303において、コンシューマNF300は、PUT要求をAUSF112に送信することができる。このPUT要求は、UE114によって提供された「RES*」情報を含むまたは「RES*」情報が提供されていない場合にヌル値を含むConfirmationDataデータタイプを含み得る。
【0048】
ステップ304Aにおいて、成功した場合、「200 OK」メッセージが返される。このメッセージは、UE114が認証されているか否かを示すことができる。例えば、AUSF112による「RES*」情報の検証が成功しなかったため、UE114が認証されていない場合、メッセージ内の認証結果値は、「認証失敗」に設定されてもよい。
【0049】
ステップ304Bにおいて、失敗した場合、HTTPステータスコードを示す「4XXまたは5XX」メッセージが返される。このメッセージは、「原因」属性セットを有する問題詳細構造を含む。
【0050】
理解すべきことは、図3は、例示の目的であり、異なるおよび/または追加のメッセージおよび/または動作を使用してもよいことである。また、理解すべきことは、本明細書に記載された様々なメッセージおよび/または動作は、異なる順序またはシーケンスで発生してもよいことである。
【0051】
図4は、様々な5Gサービスメッセージに関連する例示的な識別データ400を示す図である。いくつかの実施形態において、データ400は、5Gサービスに関連するPLMN間メッセージ、5Gサービスを使用するコンシューマNF、およびUEまたは関連するサービングネットワーク(例えば、UEがローミングしているネットワーク)を識別するためのPLMN間メッセージに見られるメッセージ入力を示すことができる。例えば、UE114が訪問先PLMN(V-PLMN)にローミングしている場合、UE114に関連する情報を取得または提供するために、UE114のホームPLMN(H-PLMN)とV-PLMNとの間に様々な通信を必要とする。上記で開示したように、PLMN間メッセージは、それぞれのネットワーク内のSEPP126を介して、H-PLMNとV-PLMNとの間に送信される。しかしながら、PLMN間メッセージは、異なる5Gインターフェイスまたはサービスに関連付けられ、異なるネットワークノードから発信される様々なタイプのメッセージを表す(以下の表1参照)。したがって、異なるPLMN間メッセージは、異なるタイプのUE識別情報またはネットワーク識別情報を含み得る。
【0052】
表1は、H-SEPP126をトラバースすることができる様々なPLMN間メッセージを示す。表1に示すように、異なる5Gサービスまたは関連するインターフェイスは、異なるメッセージ入力および/またはメッセージフォーマットを含むメッセージを利用することができる。
【0053】
表1 例示的なPLMN間メッセージ
【0054】
【表1】
【0055】
いくつかの実施形態において、ノード200、H-SEPP126、またはMV204は、メッセージ検証を実行するときに、(表1のような)様々なPLMN間メッセージに関連するメッセージ入力または値を識別するように構成されてもよい。例えば、ノード200またはMV204は、どのタイプのPLMN間メッセージを受信したか、および受信したPLMN間メッセージにおいてどのタイプのUE識別情報が利用可能であるかに応じて、異なるタイプのUE識別情報(例えば、SUPIまたはSUCI)を解析することができる。
【0056】
図4を参照して、データ400を示す表は、サービス名、V-PLMNコンシューマNF、およびメッセージ入力の列および/またはフィールドを含む。サービス名フィールドは、特定のサービスまたは関連のインターフェイスに関連する一組のPLMN間メッセージを表す情報を格納することができる。例えば、図4の表の第1のデータ行は、サービス名フィールド値「npcf-uepolicycontrol」を示す。この例において、サービス名フィールド値「npcf-uepolicycontrol」は、UEポリシー制御サービスに関連する一組のメッセージを表すことができる。別の例において、図4の表の第2のデータ行は、サービス名フィールド値「nudm-sdm」を示す。この例において、サービス名フィールド値「nudm-sdm」は、UDMからUE加入データを取得するためのサービスに関連する一組のメッセージを表すことができる。例示的なサービス名は、npcf-uepolicycontrol、nudm-sdm、nudm-uecm、nausf-ueauthentication、nsmf-pdusession、nssf-nsselection、nnrf-disc、またはnnrf-nfmを含み得る。
【0057】
V-PLMNコンシューマNFフィールドは、特定のタイプまたはグループ(例えば、サービス関連)のPLMN間メッセージを送信または発信している特定のコンシューマNFを表す情報を格納することができる。例えば、図4の表の第1のデータ行は、V-PLMNコンシューマNFフィールド値「PCF」を示す。この例において、V-PLMNコンシューマNFフィールド値「PCF」は、V-PLMNに位置するPCFがnpcf-uepolicycontrolサービスメッセージを送信することができることを示す。別の例において、図4の表の第5のデータ行は、V-PLMNコンシューマNFフィールド値「SMF」を示す。この例において、V-PLMNコンシューマNFフィールド値「SMF」は、V-PLMNに位置するSMFがnsmf-pdusessionサービスメッセージを送信できることを示す。例示的なV-PLMNコンシューマNFは、AMF(例えば、V-PLMN内のAMF)、SMF(例えば、V-PLMN内のSMF)、NSSF(例えば、V-PLMN内のNSSF)、またはNRF(例えば、V-PLMN内のNFR)を含み得る。
【0058】
メッセージ入力フィールドは、UEまたは関連するサービングネットワーク(例えば、UEがローミングしているネットワーク)を識別するために使用可能な特定のタイプまたはグループ(例えば、サービス関連)のPLMN間メッセージの情報を格納することができる。例えば、図4の表の第1のデータ行は、メッセージ入力フィールド値「SUPI」を示す。この例において、メッセージ入力フィールド値「SUPI」は、npcf-uepolicycontrolサービスメッセージがローミングしているUE、例えば、UE114を識別するために使用可能なSUPIを含み得ることを示す。別の例において、図4の表の第4のデータ行は、メッセージ入力フィールド値「SUCI」を示す。この例において、メッセージ入力フィールド値「SUCI」は、nausf-ueauthenticationサービスメッセージがローミングしているUE、例えば、UE114を識別するために使用可能なSUCIを含み得ることを示す。様々なPLMN間メッセージの例示的なメッセージ入力は、SUPI、SUCI、SUPIのPLMN ID、またはオプションのSUPIを含み得る。
【0059】
理解すべきことは、データ400は、例示の目的であり、図4に示されたデータとは異なるおよび/または追加のデータは、特定のデータ部分または他の情報のデフォルト値を示すために使用可能であることである。また、データ400は、様々なデータ構造および/またはコンピュータ可読媒体を用いて(例えば、データ記憶装置206内に)記憶され、管理されてもよい。
【0060】
図5A~5Bは、認証プロシージャに関連するメッセージから認証情報を取得することを示すメッセージフロー図である。図5A~5Bを参照して、UE114は、V-PLMN1 488内のAMF110がH-PLMN490内のAUSF112と通信することを含むAKAプロシージャをトリガすることができる。図5A~5Bに示すように、AKAプロシージャの間に、様々なAKA関連メッセージは、V-SEPP126およびH-SEPP126をトラバースすることができる。
【0061】
いくつかの実施形態において、H-SEPP126またはノード200(例えば、AKAプロシージャに関与するネットワークノード)は、AKAプロシージャ関連メッセージを監視し、これらのメッセージから認証情報(例えば、UE識別子およびサービングネットワーク名)を取得および記憶するために、MV204または同様の機能を含み得る。例えば、H-SEPP126またはその中のMV204は、nausf-ueauthentication要求から認証情報(例えば、SUPIまたはSUCIおよびサービングネットワーク名)を取得し、記憶することができる。この例において、H-SEPP126またはその中のMV204は、nausf-ueauthentication応答から認証セッション識別情報(例えば、認証コンテキスト識別子)を取得し、このセッション識別情報と以前に記憶された認証情報とを関連付けることもできる。この例を続けると、H-SEPP126またはその中のMV204は、別のnausf-ueauthentication応答から追加の認証関連情報(例えば、オプションのSUPIおよび認証結果)を取得することもできる。
【0062】
図5Aを参照して、ステップ501において、AMF110は、V-SEPP126を介してAUSF112に向けて、UE114を認証するためのSUPIまたはSUCIおよびサービングネットワーク名情報を示す認証要求メッセージ(例えば、nausf-ueauthenticationメッセージ)を送信することができる。
【0063】
ステップ502において、V-SEPP126は、認証要求メッセージを受信し、N-32インターフェイスを介して認証要求メッセージまたはそのバージョンをH-SEPP126に送信することができる。
【0064】
ステップ503において、H-SEPP126および/またはMV204は、認証要求メッセージを受信し、UE114に関連する識別情報(例えば、SUPIまたはSUCIおよびサービングネットワーク名情報)を記憶することができる。
【0065】
ステップ504において、H-SEPP126は、認証要求メッセージまたはそのバージョンをH-PLMN490内のAUSF112に送信することができる。
【0066】
ステップ505において、認証要求メッセージを受信した後、AUSF112は、取得した(例えば、nudm-ueauthentication要求メッセージ中の)識別情報をH-PLMN490内のUDM104に送信することができる。
【0067】
ステップ506において、UDM104は、識別情報を受信し、応答として、5Gホーム環境(HE)認証ベクトル(AV)および任意選択で(例えばnudm-ueauthentication応答メッセージ中の)SUPIを含む認証応答情報をAUSF112に送信することができる。
【0068】
ステップ507において、AUSF112は、認証応答情報を受信し、H-SEPP126を介して認証関連情報(例えば、5G HE AVおよび認証コンテキスト識別子)を含む認証応答メッセージ(例えば、nausf-ueauthentication応答メッセージ)をAMF110に向けて送信することができる。
【0069】
ステップ508において、H-SEPP126および/またはMV204は、認証応答メッセージを受信し、その中の認証関連情報(例えば、認証コンテキスト識別子)を取得し、この認証関連情報を記憶し、記憶されているUE114に関連する識別情報と関連付けることができる。
【0070】
ステップ509において、H-SEPP126は、N-32インターフェイスを介して、認証応答メッセージまたはそのバージョンをV-SEPP126に送信することができる。
【0071】
ステップ510において、V-SEPP126は、認証応答メッセージを受信し、認証応答メッセージまたはそのバージョンをAMF110に送信することができる。
【0072】
図5Bを参照して、ステップ511において、AMF110は、UE114からの認証コンテキスト識別子および応答データを示す認証確認メッセージ(例えば、nausf-ueauthenticationメッセージ)を、AUSF112に向けて送信することができる。
【0073】
ステップ512において、V-SEPP126は、認証確認メッセージを受信し、N-32インターフェイスを介して認証確認メッセージまたはそのバージョンをH-SEPP126に送信することができる。
【0074】
ステップ513において、H-SEPP126は、認証確認メッセージを受信し、認証確認メッセージまたはそのバージョンをH-PLMN490内のAUSF112に送信することができる。
【0075】
ステップ514において、認証確認メッセージを受信した後、AUSF112は、取得した(例えば、nudm-ueauthentication確認メッセージ中の)認証確認情報をH-PLMN490内のUDM104に送信することができる。
【0076】
ステップ515において、UDM104は、認証確認情報を受信し、応答として、認証結果および任意選択で(例えば、nudm-ueauthentication確認応答メッセージ中の)SUPIをAUSF112に送信することができる。
【0077】
ステップ516において、AUSF112は、認証確認応答情報を受信し、H-SEPP126を介して認証確認応答メッセージ(例えば、nausf-ueauthentication応答メッセージ)をAMF110に向けて送信することができる。
【0078】
ステップ517において、H-SEPP126および/またはMV204は、認証確認応答メッセージを受信し、記憶されているUE114に関連する他の情報と共に、認証確認応答情報(例えば、認証結果およびSUPI)を記憶することができる。
【0079】
ステップ518において、H-SEPP126は、N-32インターフェイスを介して、応答メッセージまたはそのバージョンをV-SEPP126に送信することができる。
【0080】
ステップ519において、V-SEPP126は、認証確認応答メッセージを受信し、認証確認応答メッセージまたはそのバージョンをAMF110に送信することができる。
【0081】
理解すべきことは、図5A~5Bは、例示の目的であり、異なるおよび/または追加のメッセージおよび/または動作を使用してもよいことである。また、理解すべきことは、本明細書に記載された様々なメッセージおよび/または動作は、異なる順序またはシーケンスで発生してもよいことである。
【0082】
図6は、5G通信ネットワークにおいて例示的なメッセージ検証を示すメッセージフロー図である。いくつかの実施形態において、H-SEPP126またはその中のMV204は、AKAプロシージャまたは関連メッセージから導出または取得した1つ以上の識別子を用いて、メッセージ検証を実行するように構成されてもよい。例えば、UE114に関連するAKAプロシージャから1つ以上のUE関連識別子(例えば、SUPI、SUCI、サービングネットワーク名など)を識別した後、H-SEPP126またはその中のMV204は、UE114に関連する着信PLMN間メッセージ(例えば、HTTP/2メッセージ)を監視し、PLMN間メッセージを処理、転送および/または応答する前に、記憶されているUE114に関連する認証情報に基づいて、PLMN間メッセージの各々が有効であるか否かを判断することができる。H-SEPP126またはMV204は、認証情報を用いて、UE114がPLMN間メッセージの発信元であるネットワークにローミングしていることを確認または支持できないと判断した場合、メッセージが無効であると見なし、無効メッセージ動作、例えば、1つ以上のPLMN間を破棄することおよび/またはイベントをネットワーク管理者もしくはネットワーク管理システムに報告することを実行することができる。H-SEPP126またはMV204は、認証情報を用いて、UE114がPLMN間メッセージの発信元であるネットワークにローミングしていることを確認または支持すると判断した場合、メッセージが有効であると見なし、有効メッセージ動作、例えば、意図した宛先でPLMN間メッセージを受信し、処理することを可能にする動作を実行することができる。
【0083】
図6を参照して、例えば、ステップ601~605の前に、H-SEPP126またはその中のMV204は、AKA関連プロシージャから認証情報を導出または取得することができる。例えば、H-SEPP126またはその中のMV204は、UE114が5Gホームネットワークまたは関連ネットワークに接続しようとするとき(例えば、UE114の電源を投入した後)に、UE114を認証する際に使用されるAKA関連メッセージから、UEに関連する識別子およびサービングネットワーク名を導出または取得することができる。この例において、H-SEPP126またはその中のMV204は、H-SEPP126をトラバースするUE114に関連する後続のPLMN間メッセージ(例えば、HTTP/2メッセージ)を検証するために、UEに関連する識別子およびサービングネットワーク名を記憶することができる。
【0084】
ステップ601において、例えば、関連するAKAプロシージャの後、UE114に関連する(または関連するように見える)5GC要求は、H-PLMN490内のH-SEPP126に転送されるために、V-PLMN1 488内のコンシューマNF300からV-SEPP126に送信されてもよい。例えば、V-PLMN1 488内のコンシューマNF300は、H-PLMN490内のUDM104、PCF102、またはSMF108から情報を要求するネットワークノードを表すことができる。
【0085】
ステップ602において、5GC要求は、N32-fインターフェイスを介して、(例えば、HTTP/2メッセージとして)V-SEPP126からH-SEPP126に転送されてもよい。
【0086】
ステップ603において、H-SEPP126またはその中のMV204は、5GC要求を受信し、メッセージ検証プロシージャを実行することができる。例えば、H-SEPP126またはMV204は、受信した5GC要求に関連するUE識別子(例えば、SUPI)および発信するネットワーク識別子を識別し、その後、5GC要求に関連するUE識別子およびネットワーク識別子を記憶されているUE114に関連する認証情報(例えば、UE114の最近のAKAプロシージャに関連するメッセージから導出または取得したもの)と比較することができる。この例において、H-SEPP126またはMV204は、記憶されているUE114に関連する認証情報を用いて、UE114が5GC要求の発信元であるネットワークにローミングしていることを支持または確認できる場合、5GC要求が有効であると見なすことができる。この例を続けると、H-SEPP126またはMV204は、記憶されているUE114に関連する認証情報を用いて、UE114が5GC要求の発信元であるネットワークにローミングしていることを支持または確認できない場合、例えば、記憶されている認証情報を用いて、UE114がローミングしていないまたは異なるネットワークにローミングしていることを示す場合、5GC要求が無効であると見なすことができる。
【0087】
ステップ604において、例えば、5GC要求が有効であると判断した後、さらなる処理のために、5GC要求またはそのバージョンをプロデューサNF498に送信することができる。例えば、プロデューサNF498は、情報の要求を受信し、要求した情報を用いてそれらの要求に応答するネットワークノード(例えば、UDM104、PCF102、またはSMF108)であってもよい。
【0088】
ステップ605において、UE114に関連する(または関連するように見える)別の5GC要求は、(例えば、HTTP/2メッセージとして)V-PLMN2 600内のコンシューマNF300からH-PLMN490内のH-SEPP126に送信されてもよい。例えば、V-PLMN2 600内のコンシューマNF300は、実際のPLMN内のV-SEPPまたは別のエンティティなどのネットワークノードであるか、またはそのように見える場合がある。この例において、V-PLMN2 600内のコンシューマNF300は、PLMN間トラフィックを用いてサービス拒否(DOS)攻撃を開始する、またはH-PLMN490から加入者情報を盗むなど、悪質なまたは不適切な動作を実行するまたは実行しようとするように、侵害またはハッキングされるか、または別様に構成されてもよい。
【0089】
ステップ606において、H-SEPP126またはその中のMV204は、5GC要求を受信すると、メッセージ検証プロシージャを実行し、5GC要求が無効であると判断し、無効メッセージ動作、例えば5GC要求を破棄することを実行することができる。例えば、H-SEPP126またはMV204は、受信した5GC要求に関連するUE識別子(例えば、SUCI)および発信するネットワーク識別子を識別し、その後、5GC要求に関連するUE識別子およびネットワーク識別子を、記憶されているUE114に関連する認証情報と比較することができる。この例において、記憶されている認証情報は、UE114がローミングしていないことを示すため、5GC要求が無効(例えば、不正)であり、応答すべきではないことを示す。
【0090】
理解すべきことは、図6は、例示の目的であり、異なるおよび/または追加のメッセージおよび/または動作を使用してもよいことである。また、理解すべきことは、本明細書に記載された様々なメッセージおよび/または動作は、異なる順序またはシーケンスで発生してもよいことである。
【0091】
図7は、5G通信ネットワークにおいてメッセージ検証を実行するための例示的なプロセス700を示す図である。いくつかの実施形態において、本明細書に記載された例示的なプロセス700またはその一部は、ノード200、MV204、および/または別のモジュールもしくはノードにおいて実行されてもよく、またはそれらによって実行されてもよい。
【0092】
例示的なプロセス700を参照して、態様(例えば、処理ステップまたは動作)は、第1のネットワーク(例えば、ホーム5GCネットワーク内のMV204を含むSEPP126またはノード200)のネットワークノードにおいて発生してもよい。
【0093】
ステップ702において、第2のネットワークを介して通信するユーザ機器に関連する少なくとも1つのAKAプロシージャ関連メッセージから、認証情報を取得することができる。この認証情報は、加入者、ユーザ機器または第2のネットワークを識別するために使用可能である。
【0094】
いくつかの実施形態において、少なくとも1つのAKAプロシージャ関連メッセージから認証情報を取得することは、第1のAKAプロシージャ関連メッセージから第1の識別子を取得することと、第2のAKAプロシージャ関連メッセージから第1の識別子とは異なる第2の識別子を取得することとを含む。
【0095】
いくつかの実施形態において、少なくとも1つのAKAプロシージャ関連メッセージは、認証情報を含む1つ以上のデータタイプを含み得る。例えば、AKAプロシージャ関連メッセージは、AuthenticationInfoデータタイプ、UEAuthenticationCtxデータタイプ、ConfirmationDataデータタイプ、またはConfirmationDataResponseデータタイプを含み得る。
【0096】
いくつかの実施形態において、ユーザ機器を識別するために使用可能な認証情報は、ネットワーク識別子、ユーザ機器識別子、ネットワークノード識別子、SUPI、SUCI、サービングネットワーク名、またはPLMN識別子を含んでもよい。
【0097】
いくつかの実施形態において、第1のネットワークノードは、SEPP、5GCネットワーク機能、ネットワークプロキシ、またはネットワークゲートウェイを含み得る。
【0098】
いくつかの実施形態において、少なくとも1つのAKAプロシージャ関連メッセージは、第2のネットワーク内の第2のネットワークノードを介して、第1のネットワーク内の第1のネットワークノードに送信されてもよい。このような実施形態において、第2のネットワークノードは、コンシューマNF、PCF、AMF、SMF、NRF、NSSF、または5GCネットワーク機能を含み得る。
【0099】
ステップ704において、後続のメッセージを検証するために、認証情報をデータストアに記憶することができる。例えば、データストア206は、UE識別子(例えば、SUPIまたはSUCI)と他の認証情報(例えば、サービングネットワーク名もしくは識別子、認証コンテキスト識別子、および/または認証が成功したことを示す認証結果)とを関連付けるレコードまたはエントリを含み得る。別の例において、データストア206は、ユーザ機器またはUEを識別および/または認証するために使用可能な様々なタイプの情報に関連するレコードまたはエントリ、1つ以上の鍵、例えば、固有のUE識別子、固有の認証コンテキスト識別子、または識別子の固有の組み合わせを用いてインデックスされるレコードまたはエントリを含み得る。
【0100】
ステップ706において、ユーザ機器に関連する要求メッセージを受信することができる。例えば、AMF110であるように見えるエンティティは、UDM104に向けて、UE114に関連するnudm-uecmサービス要求を送信し、H-SEPP126は、N32-fインターフェイスを介してこれを受信することができる。
【0101】
いくつかの実施形態において、要求メッセージは、5GC要求メッセージを含み得る。例えば、要求メッセージは、nudm-sdmサービスメッセージ、nudm-uecmサービスメッセージ、npcf-uepolicyサービスメッセージ、nsmf-pdusessionサービスメッセージ、nnrf-discサービスメッセージ、またはnnrf-nfmサービスメッセージであってもよい。
【0102】
ステップ708において、認証情報を用いて、要求メッセージが無効であると判断することができる。例えば、H-SEPP126またはその中の機能(例えば、MV204)は、要求メッセージに関連するUE識別子および発信元ネットワークを識別し、記憶されているUE識別子に対応する認証情報と比較することができる。この例において、記憶されている認証情報を用いて、関連するUEが要求の発信元であるネットワークに現在ローミングしていることを確認または支持していない場合、メッセージは、無効であると見なされる。
【0103】
いくつかの実施形態において、認証情報を用いて、要求メッセージが無効であると判断することは、要求メッセージ内のユーザ機器識別子(例えば、SUPI)を用いて、データストア(例えば、データストア206)から認証情報を検索することと、認証情報を用いて、ユーザ機器が要求メッセージの発信元であるネットワークにローミングしていることを確認できないと判断することとを含み得る。
【0104】
ステップ710において、要求メッセージが無効であると判断したことに応答して、無効メッセージ動作を実行することができる。例えば、無効メッセージ動作は、要求メッセージを破棄すること、またはネットワーク管理者もしくは管理システムに通知することを含み得る。
【0105】
いくつかの実施形態において、第1のネットワークは、ホームPLMN(例えば、H-PLMN490)であってもよく、第2のネットワークは、訪問先PLMN(例えば、V-PLMN2 600)であってもよい。
【0106】
理解すべきことは、プロセス700は、例示の目的であり、異なるおよび/または追加のメッセージおよび/または動作を使用してもよいことである。また、理解すべきことは、本明細書に記載された様々なメッセージおよび/または動作は、異なる順序またはシーケンスで発生してもよいことである。
【0107】
理解すべきことは、5Gネットワークを参照して本明細書に記載された主題のいくつかの態様を説明したが、様々な他のネットワークが本明細書に記載された主題のいくつかの態様を利用できるである。例えば、5G AKAプロシージャまたは同様の認証プロシージャを利用する任意のネットワークは、本明細書に記載された特徴、メカニズムおよび技術を用いて、認証情報を取得または導出し、メッセージ検証を実行するときにその認証情報を使用することができる。
【0108】
なお、ノード200、MV204、および/または本明細書に記載された機能は、専用のコンピューティング装置を構成することができる。また、本明細書に記載されたノード200、MV204、および/または機能は、5Gネットワークにおいてネットワークセキュリティおよび/またはメッセージ検証の技術分野を改善することができる。例えば、H-SEPP126内のUE認証情報(例えば、SUPI、PLMN識別子、およびUE認証ステータス)に基づいてメッセージ検証を実行することによって、悪意のある行動およびその悪影響(例えば、収益詐欺、ネットワーク輻輳、サービス障害、および/またはユーザ体験の低下)を軽減および/または防止することができる。この例において、H-SEPP126またはその中のMV204は、本明細書に記載された1つ以上の技術および/または方法を利用することによって、PLMN間トラフィックを使用するDOS攻撃を防止し、H-PLMN490から加入者データを盗難することを防止し、および/またはSUPIもしくは加入者レベルの承認(例えば、コンシューマNFが特定のUEデータのみにアクセスできるようにすること)を実装することができる。また、本明細書に記載された技術および/または方法は、例えば、nudm-sdm、nudm-uecm、npcf-uepolicy、nsmf-pdusession、nssf-nsselection、nnrf-disc、および/またはnnrf-nfmを含む複数のサービスまたは関連インターフェイスに適用可能である。
【0109】
以下の各参考文献の開示は、本明細書と矛盾しない範囲で、および本明細書に使用された方法、技術および/またはシステムを補足する、説明する、背景を提供する、または教示する範囲で、その全体が参照により本明細書に組み込まれる。
【0110】
理解すべきことは、本開示の主題の範囲から逸脱することなく、本開示の主題の様々な詳細を変更することができることである。さらに、前述の説明は、例示のみを目的としており、限定を目的としていない。
【0111】
参考文献
1. 3GPP TS 29.510;第3世代パートナーシッププロジェクト;技術仕様グループコアネットワークおよび端末;5Gシステム;ネットワーク機能リポジトリサービス;ステージ3(リリース16)、V16.5.0(2020-09)。
2. 3GPP TS 23.003;第3世代パートナーシッププロジェクト;技術仕様グループコアネットワークおよび端末;番号付け、アドレス指定および識別(リリース16)、V16.4.0(2020-09)。
3. 3GPP TS 29.573;第3世代パートナーシッププロジェクト;技術仕様グループコアネットワークおよび端末;5Gシステム;公衆陸上移動体ネットワーク(PLMN)相互接続;ステージ3(リリース16)V16.4.0(2020-09)。
4. 3GPP TS 33.501;第3世代パートナーシッププロジェクト;技術仕様グループサービスおよびシステム態様;5Gシステムのセキュリティアーキテクチャおよびプロシージャ;(リリース16)、V16.4.0(2020-09)。
5. 3GPP TS 29.509;第3世代パートナーシッププロジェクト;技術仕様グループコアネットワークおよび端末;5Gシステム;認証サーバサービス;ステージ3(リリース16)、V16.5.0(2020-09)。
1. 3GPP TS 29.510;第3世代パートナーシッププロジェクト;技術仕様グループコアネットワークおよび端末;5Gシステム;ネットワーク機能リポジトリサービス;ステージ3(リリース16)、V16.5.0(2020-09)。
2. 3GPP TS 23.003;第3世代パートナーシッププロジェクト;技術仕様グループコアネットワークおよび端末;番号付け、アドレス指定および識別(リリース16)、V16.4.0(2020-09)。
3. 3GPP TS 29.573;第3世代パートナーシッププロジェクト;技術仕様グループコアネットワークおよび端末;5Gシステム;公衆陸上移動体ネットワーク(PLMN)相互接続;ステージ3(リリース16)V16.4.0(2020-09)。
4. 3GPP TS 33.501;第3世代パートナーシッププロジェクト;技術仕様グループサービスおよびシステム態様;5Gシステムのセキュリティアーキテクチャおよびプロシージャ;(リリース16)、V16.4.0(2020-09)。
5. 3GPP TS 29.509;第3世代パートナーシッププロジェクト;技術仕様グループコアネットワークおよび端末;5Gシステム;認証サーバサービス;ステージ3(リリース16)、V16.5.0(2020-09)。
【図1】
【図2】
【図3】
【図4】
【図5A】
【図5B】
【図6】
【図7】
【国際調査報告】