知財求人 - 知財ポータルサイト「IP Force」
▶ オラクル・インターナショナル・コーポレイションの特許一覧
特表2024-505791予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-08
(54)【発明の名称】予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
(51)【国際特許分類】
H04W 12/12 20210101AFI20240201BHJP
H04W 12/60 20210101ALI20240201BHJP
H04W 8/18 20090101ALI20240201BHJP
H04W 8/02 20090101ALI20240201BHJP
【FI】
H04W12/12
H04W12/60
H04W8/18
H04W8/02
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2023537103
(86)(22)【出願日】2021-10-28
(85)【翻訳文提出日】2023-08-09
(86)【国際出願番号】 US2021057156
(87)【国際公開番号】W WO2022132315
(87)【国際公開日】2022-06-23
(31)【優先権主張番号】17/125,943
(32)【優先日】2020-12-17
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】マハランク,シャシキラン・バラチャンドラ
(72)【発明者】
【氏名】ラジプット,ジャイ
(72)【発明者】
【氏名】チェラサミー,イヤッパン
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA32
5K067DD17
5K067DD57
5K067EE02
5K067EE16
5K067HH22
(57)【要約】
予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法は、少なくとも1つのプロセッサを含むネットワーク機能(NF)で、サービスを要求するサービス要求メッセージを、サービス要求メッセージにおいて識別されたUEのホームパブリックランドモバイルネットワーク(PLMN)から受信するステップを含み、UEはIoTデバイスを含み、方法はさらに、サービス要求メッセージにおいて識別されたUEのために、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップを含む。方法はさらに、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、サービス要求メッセージからの少なくとも1つのパラメータと比較するステップと、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないと判定するステップとを含む。方法はさらに、サービス要求メッセージを除外または拒否するステップを含む。
【特許請求の範囲】
【請求項1】
予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法であって、前記方法は、少なくとも1つのプロセッサを含むネットワーク機能(NF)で、サービスを要求するサービス要求メッセージを、前記サービス要求メッセージにおいて識別されたUEのホームパブリックランドモバイルネットワーク(PLMN)から受信するステップを含み、前記UEはIoTデバイスを含み、前記方法はさらに、
前記NFが、前記サービス要求メッセージにおいて識別された前記UEのために、前記UEの予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップと、
前記NFが、前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記サービス要求メッセージからの少なくとも1つのパラメータと比較するステップと、
前記NFが、前記比較するステップの結果に基づいて、前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないと判定するステップと、
前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないと判定するステップに応答して、前記サービス要求メッセージを除外または拒否するステップとを含む、方法。
【請求項2】
前記NFは、セキュリティエッジ保護プロキシ(SEPP)を含む、請求項1に記載の方法。
【請求項3】
予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、前記ホームPLMNに位置するユーザデータ管理(UDM)機能に問合わせるステップを含む、請求項1または請求項2に記載の方法。
【請求項4】
予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、前記SEPPの内部にあり、前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを含むデータベースに問合わせるステップを含む、請求項1または請求項2に記載の方法。
【請求項5】
前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、Nnef_ParameterProvisionサービスを使用して前記ホームPLMNにプロビジョニングされたパラメータを取得するステップを含む、先行する請求項のいずれか1項に記載の方法。
【請求項6】
前記ネットワーク機能は、統合されたファイアウォールを有するDiameterシグナリングルータ(DSR)を含む、先行する請求項のいずれか1項に記載の方法。
【請求項7】
予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、ホームサブスクライバサーバ(HSS)に問合わせることによって前記少なくとも1つのパラメータを取得するステップを含む、請求項6に記載の方法。
【請求項8】
予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、前記DSRの内部にあるデータベースから前記少なくとも1つのパラメータを取得するステップを含む、請求項6に記載の方法。
【請求項9】
前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記サービス要求メッセージにおける少なくとも1つのパラメータと比較するステップは、モビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つを、前記サービス要求メッセージからのモビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つと比較するステップを含む、先行する請求項のいずれか1項に記載の方法。
【請求項10】
前記比較するステップの結果に基づいて、前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないと判定するステップは、前記サービス要求メッセージにおける前記少なくとも1つのパラメータによって示された前記モビリティ、通信時間、または通信タイプのうちの少なくとも1つが、前記UEの予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた少なくとも1つのパラメータによって示された前記モビリティ、通信時間、または通信タイプのうちの少なくとも1つと一致しないと判定するステップを含む、先行する請求項のいずれか1項に記載の方法。
【請求項11】
予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するためのシステムであって、前記システムは、サービスを要求するサービス要求メッセージを、前記サービス要求メッセージにおいて識別されたUEのホームパブリックランドモバイルネットワーク(PLMN)から受信するように構成された、少なくとも1つのプロセッサを含むネットワーク機能(NF)を含み、前記UEはIoTデバイスを含み、前記システムはさらに、
予想UE挙動判定部を含み、前記予想UE挙動判定部は、前記サービス要求メッセージにおいて識別された前記UEのために、前記UEの予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得し、前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記サービス要求メッセージからの少なくとも1つのパラメータと比較し、前記比較の結果に基づいて、前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないと判定し、前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないとの判定に応答して、前記サービス要求メッセージを除外または拒否するように構成される、システム。
【請求項12】
前記NFは、セキュリティエッジ保護プロキシ(SEPP)を含む、請求項11に記載のシステム。
【請求項13】
前記予想UE挙動判定部は、予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記ホームPLMNに位置するユーザデータ管理(UDM)機能に問合わせることによって取得するように構成される、請求項11または請求項12に記載のシステム。
【請求項14】
前記予想UE挙動判定部は、予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記SEPPの内部にあり、前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを含む予想UE挙動パラメータデータベースに問合わせることによって取得するように構成される、請求項11または請求項12に記載のシステム。
【請求項15】
前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータは、Nnef_ParameterProvisionサービスを使用して前記ホームPLMNにプロビジョニングされた少なくとも1つのパラメータを含む、請求項11~14のいずれか1項に記載のシステム。
【請求項16】
前記ネットワーク機能は、統合されたファイアウォールを有するDiameterシグナリングルータ(DSR)を含む、請求項11~15のいずれか1項に記載のシステム。
【請求項17】
前記予想UE挙動判定部は、予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、ホームサブスクライバサーバ(HSS)に問合わせることによって取得するように構成される、請求項16に記載のシステム。
【請求項18】
前記予想UE挙動判定部は、予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記DSRの内部にある予想UE挙動パラメータデータベースに問合わせることによって取得するように構成される、請求項16に記載のシステム。
【請求項19】
前記予想UE挙動判定部は、モビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つを、前記サービス要求メッセージからのモビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つと比較することによって、前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記サービス要求メッセージにおける少なくとも1つのパラメータと比較するように構成される、請求項11~18のいずれか1項に記載のシステム。
【請求項20】
コンピュータのプロセッサによって実行されると複数のステップを行なうように前記コンピュータを制御する実行可能命令が格納された、非一時的コンピュータ読取可能媒体であって、前記複数のステップは、少なくとも1つのプロセッサを含むネットワーク機能(NF)で、サービスを要求するサービス要求メッセージを、前記サービス要求メッセージにおいて識別されたUEのホームパブリックランドモバイルネットワーク(PLMN)から受信するステップを含み、前記UEはインターネット・オブ・シングス(IoT)デバイスを含み、前記複数のステップはさらに、
前記NFが、前記サービス要求メッセージにおいて識別された前記UEのために、予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップと、
前記NFが、前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記サービス要求メッセージからの少なくとも1つのパラメータと比較するステップと、
前記NFが、前記比較するステップの結果に基づいて、前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないと判定するステップと、
前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないと判定するステップに応答して、前記サービス要求メッセージを除外または拒否するステップとを含む、非一時的コンピュータ読取可能媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本明細書に記載されている主題は、ネットワークセキュリティに関する。より特定的には、本明細書に記載されている主題は、予想されるユーザ機器(user equipment:UE)挙動パターンに基づいてインターネット・オブ・シングス(Internet of things:IoT)デバイスへの5Gローミング攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。
【背景技術】
【0002】
背景
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(network function:NF)、またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNF、またはNFサービスコンシューマと呼ばれる。ネットワーク機能は、当該ネットワーク機能がサービスを消費しているか、生成しているか、または、消費および生成しているかによって、プロデューサNF、コンシューマNF、またはそれら双方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、本明細書では交換可能に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、本明細書では交換可能に使用される。
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(network function:NF)、またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNF、またはNFサービスコンシューマと呼ばれる。ネットワーク機能は、当該ネットワーク機能がサービスを消費しているか、生成しているか、または、消費および生成しているかによって、プロデューサNF、コンシューマNF、またはそれら双方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、本明細書では交換可能に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、本明細書では交換可能に使用される。
【0003】
所与のプロデューサNFは、多くのサービスエンドポイントを有し得る。サービスエンドポイントとは、プロデューサNFによってホストされる1つ以上のNFインスタンスのための接点である。サービスエンドポイントは、プロデューサNFをホストするネットワークノード上のインターネットプロトコル(Internet protocol:IP)アドレスおよびポート番号または完全修飾ドメイン名(IPアドレスとポート番号とに分解する)の組合せである。NFインスタンスとは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは2つ以上のNFインスタンスを含み得る。なお、複数のNFインスタンスが同じサービスエンドポイントを共有することができる。
【0004】
プロデューサNFは、ネットワーク機能リポジトリ機能(network function repository function:NRF)に登録する。NRFは、各NFインスタンスによってサポートされるサービスを識別する、利用可能なNFインスタンスのサービスプロファイルを維持する。コンシューマNFは、NRFに登録したプロデューサNFインスタンスについての情報の受信をサブスクライブすることができる。
【0005】
コンシューマNFに加えて、NFサービスインスタンスについての情報の受信をサブスクライブすることができる別のタイプのネットワークノードは、サービス通信プロキシ(service communications proxy:SCP)である。SCPは、NRFにサブスクライブし、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFはサービス通信プロキシに接続し、サービス通信プロキシは、要求されたサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを負荷分散するか、または、トラフィックを宛先プロデューサNFインスタンスへ直接ルーティングする。
【0006】
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングするネットワークノードの中間プロキシノードまたはグループの他の例は、5Gサービスメッシュにおけるセキュリティエッジ保護プロキシ(security edge protection proxy:SEPP)、サービスゲートウェイ、およびノードを含む。SEPPとは、異なる5Gパブリックランドモバイルネットワーク(public land mobile network:PLMN)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。そのため、SEPPは、PLMN間で送信されるすべてのアプリケーションプログラミングインターフェイス(application programming interface:API)メッセージのために、メッセージフィルタリング、ポリシー化、およびトポロジ隠蔽を行なう。
【発明の概要】
【発明が解決しようとする課題】
【0007】
5G通信ネットワークにおける1つの問題は、PLMN間ローミングシグナリングを介したIoTデバイスへの不正攻撃が起こり得ることである。そのような攻撃の例は、位置追跡攻撃、サービス妨害(denial of service:DoS)攻撃、課金不正などを含む。ハッカーらは、ホームコアネットワークに向かって本物に見えるローミングトラフィックを開始し、セルラーIoTデバイスへのセキュリティ攻撃を開始するおそれがある。一例では、水道メータなどの固定されたUEデバイスに関連するPLMN間ローミングシグナリングが開始されるかもしれない。そのようなデバイスは据置型であり、常にホームネットワーク内にある。このため、そのようなデバイスのためにローミングトラフィックが生成されるはずがない。これらのおよび他のタイプのPLMN間シグナリング攻撃は、ホームネットワークからサブスクライバ情報を取得するために、および/または、サービス妨害攻撃を開始するために使用され得る。SEPPは、ローミングPLMNトラフィックのための入口および出口の点であり、ローミングセキュリティ攻撃を緩和するためにモバイルネットワークオペレータによってシグナリングファイアウォールとしてデプロイされる。しかしながら、予想されるUE挙動の分析は、3GPP(登録商標)規格およびGSMA規格によって特定されていない。
【0008】
したがって、5Gローミングセキュリティ攻撃を緩和するための改良された方法、システム、およびコンピュータ読取可能媒体に対する要望が存在する。
【課題を解決するための手段】
【0009】
概要
予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法は、少なくとも1つのプロセッサを含むネットワーク機能(NF)で、サービスを要求するサービス要求メッセージを、サービス要求メッセージにおいて識別されたUEのホームパブリックランドモバイルネットワーク(PLMN)から受信するステップを含み、UEはIoTデバイスを含む。方法はさらに、NFが、サービス要求メッセージにおいて識別されたUEのために、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップを含む。方法はさらに、NFが、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、サービス要求メッセージからの少なくとも1つのパラメータと比較するステップを含む。方法はさらに、NFが、比較するステップの結果に基づいて、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないと判定するステップを含む。方法はさらに、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないと判定するステップに応答して、サービス要求メッセージを除外または拒否するステップを含む。
予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法は、少なくとも1つのプロセッサを含むネットワーク機能(NF)で、サービスを要求するサービス要求メッセージを、サービス要求メッセージにおいて識別されたUEのホームパブリックランドモバイルネットワーク(PLMN)から受信するステップを含み、UEはIoTデバイスを含む。方法はさらに、NFが、サービス要求メッセージにおいて識別されたUEのために、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップを含む。方法はさらに、NFが、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、サービス要求メッセージからの少なくとも1つのパラメータと比較するステップを含む。方法はさらに、NFが、比較するステップの結果に基づいて、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないと判定するステップを含む。方法はさらに、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないと判定するステップに応答して、サービス要求メッセージを除外または拒否するステップを含む。
【0010】
本明細書に記載されている主題の別の局面によれば、NFは、セキュリティエッジ保護プロキシ(SEPP)を含む。
【0011】
本明細書に記載されている主題の別の局面によれば、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップは、ホームPLMNに位置するユーザデータ管理(user data management:UDM)機能に問合わせるステップを含む。
【0012】
本明細書に記載されている主題の別の局面によれば、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップは、SEPPの内部にあり、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを含むデータベースに問合わせるステップを含む。
【0013】
本明細書に記載されている主題の別の局面によれば、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップは、Nnef_ParameterProvisionサービスを使用してホームPLMNにプロビジョニングされたパラメータを取得するステップを含む。
【0014】
本明細書に記載されている主題の別の局面によれば、ネットワーク機能は、統合されたファイアウォールを有するDiameterシグナリングルータ(Diameter signaling router:DSR)を含む。
【0015】
本明細書に記載されている主題の別の局面によれば、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップは、ホームサブスクライバサーバ(home subscriber server:HSS)に問合わせることによって少なくとも1つのパラメータを取得するステップを含む。
【0016】
本明細書に記載されている主題の別の局面によれば、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップは、DSRの内部にあるデータベースから少なくとも1つのパラメータを取得するステップを含む。
【0017】
本明細書に記載されている主題の別の局面によれば、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、サービス要求メッセージにおける少なくとも1つのパラメータと比較するステップは、モビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つを、サービス要求メッセージからのモビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つと比較するステップを含む。
【0018】
本明細書に記載されている主題の別の局面によれば、比較するステップの結果に基づいて、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないと判定するステップは、サービス要求メッセージにおける少なくとも1つのパラメータによって示されたモビリティ、通信時間、または通信タイプのうちの少なくとも1つが、UEの予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータによって示されたモビリティ、通信時間、または通信タイプのうちの少なくとも1つと一致しないと判定するステップを含む。
【0019】
本明細書に記載されている主題の別の局面によれば、予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するためのシステムが提供される。システムは、サービスを要求するサービス要求メッセージを、サービス要求メッセージにおいて識別されたUEのホームパブリックランドモバイルネットワーク(PLMN)から受信するように構成された、少なくとも1つのプロセッサを含むネットワーク機能(NF)を含み、UEはIoTデバイスを含む。システムはさらに予想UE挙動判定部を含み、予想UE挙動判定部は、サービス要求メッセージにおいて識別されたUEのために、UEの予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得し、UEの予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、サービス要求メッセージからの少なくとも1つのパラメータと比較し、比較の結果に基づいて、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないと判定し、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないとの判定に応答して、サービス要求メッセージを除外または拒否するように構成される。
【0020】
本明細書に記載されている主題の別の局面によれば、予想UE挙動判定部は、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、ホームPLMNに位置するユーザデータ管理(UDM)機能に問合わせることによって取得するように構成される。
【0021】
本明細書に記載されている主題の別の局面によれば、予想UE挙動判定部は、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、SEPPの内部にあり、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを含む予想UE挙動パラメータデータベースに問合わせることによって取得するように構成される。
【0022】
本明細書に記載されている主題の別の局面によれば、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータは、Nnef_ParameterProvisionサービスを使用してホームPLMNにプロビジョニングされた少なくとも1つのパラメータを含む。
【0023】
本明細書に記載されている主題の別の局面によれば、NFはDSRを含み、予想UE挙動判定部は、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、ホームサブスクライバサーバ(HSS)に問合わせることによって取得するように構成される。
【0024】
本明細書に記載されている主題の別の局面によれば、NFはDSRを含み、予想UE挙動判定部は、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、DSRの内部にある予想UE挙動パラメータデータベースに問合わせることによって取得するように構成される。
【0025】
本明細書に記載されている主題の別の局面によれば、予想UE挙動判定部は、モビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つを、サービス要求メッセージからのモビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つと比較することによって、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、サービス要求メッセージにおける少なくとも1つのパラメータと比較するように構成される。
【0026】
本明細書に記載されている主題の別の局面によれば、コンピュータのプロセッサによって実行されると複数のステップを行なうようにコンピュータを制御する実行可能命令が格納された、非一時的コンピュータ読取可能媒体が提供される。複数のステップは、少なくとも1つのプロセッサを含むネットワーク機能(NF)で、サービスを要求するサービス要求メッセージを、サービス要求メッセージにおいて識別されたUEのホームパブリックランドモバイルネットワーク(PLMN)から受信するステップを含み、UEはインターネット・オブ・シングス(IoT)デバイスを含む。複数のステップはさらに、NFが、サービス要求メッセージにおいて識別されたUEのために、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップを含む。複数のステップはさらに、NFが、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを、サービス要求メッセージからの少なくとも1つのパラメータと比較するステップを含む。複数のステップはさらに、NFが、比較するステップの結果に基づいて、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないと判定するステップを含む。複数のステップはさらに、サービス要求メッセージからの少なくとも1つのパラメータはUEの予想されるUE挙動パターンを示していないと判定するステップに応答して、サービス要求メッセージを除外または拒否するステップを含む。
【0027】
本明細書に記載されている主題は、ハードウェアおよび/またはファームウェアと組合されたソフトウェアで実現され得る。たとえば、本明細書に記載されている主題は、プロセッサによって実行されるソフトウェアで実現され得る。例示的な一実現化例では、本明細書に記載されている主題は、コンピュータのプロセッサによって実行されると複数のステップを行なうようにコンピュータを制御するコンピュータ実行可能命令が格納された非一時的コンピュータ読取可能媒体を使用して実現され得る。本明細書に記載されている主題を実現するために好適である例示的なコンピュータ読取可能媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイス、および特定用途向け集積回路といった、非一時的コンピュータ読取可能媒体を含む。加えて、本明細書に記載されている主題を実現するコンピュータ読取可能媒体は、単一のデバイスまたはコンピューティングプラットフォーム上に位置していてもよく、もしくは、複数のデバイスまたはコンピューティングプラットフォーム間で分散されていてもよい。
【図面の簡単な説明】
【0028】
【図1】例示的な5Gネットワークアーキテクチャを示すネットワーク図である。
【図2】セキュリティ攻撃緩和を行なうノードがホームネットワークSEPPである場合に、予想されるUE挙動に基づいてセキュリティ攻撃を緩和するために交換される例示的なメッセージを示すメッセージフロー図である。
【図3】予想されるUE挙動に基づいてローミングセキュリティ攻撃を緩和するように構成されたSEPPを示すブロック図である。
【図4】予想されるUE挙動に基づいてローミングセキュリティ攻撃を緩和するための例示的なプロセスを示すフローチャートである。
【図5】セキュリティ攻撃緩和を行なうノードが、統合されたファイアウォールを有するDiameterシグナリングルータである場合に、予想されるUE挙動に基づいてセキュリティ攻撃を緩和するために交換される例示的なメッセージを示すメッセージフロー図である。
【発明を実施するための形態】
【0029】
詳細な説明
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホームパブリックランドモバイルネットワーク(home public land mobile network:HPLMN)に位置し得るNRF100とSCP101とを含む。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスをサブスクライブしてその登録を通知されることを可能にし得る。SCP101はまた、サービス発見およびプロデューサNFインスタンスの選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの接続の負荷分散を行ない得る。
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホームパブリックランドモバイルネットワーク(home public land mobile network:HPLMN)に位置し得るNRF100とSCP101とを含む。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスをサブスクライブしてその登録を通知されることを可能にし得る。SCP101はまた、サービス発見およびプロデューサNFインスタンスの選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの接続の負荷分散を行ない得る。
【0030】
NRF100は、プロデューサNFインスタンスのNFプロファイルまたはサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、NRF100からプロデューサNFインスタンスのNFプロファイルまたはサービスプロファイルを取得しなければならない。NFプロファイルまたはサービスプロファイルは、第3世代パートナーシッププロジェクト(Third Generation Partnership Project:3GPP)技術仕様書(Technical Specification:TS)29.510で定義されたJavaScript(登録商標)オブジェクト表記法(JavaScript object notation:JSON)データ構造である。NFプロファイルまたはサービスプロファイルの定義は、完全修飾ドメイン名(fully qualified domain name:FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。
【0031】
図1では、(NRF100以外の)ネットワーク機能はいずれも、それらがサービスを要求しているか、提供しているか、または、要求および提供しているかによって、コンシューマNF、プロデューサNF、またはそれら双方であり得る。図示された例では、NFは、ネットワークにおいてポリシー関連動作を行なうポリシー制御機能(policy control function:PCF)102と、ユーザデータを管理するユーザデータ管理(UDM)機能104と、アプリケーションサービスを提供するアプリケーション機能(application function:AF)106とを含む。以下にさらに詳細に説明されるように、UDM104は、予想されるUE挙動パターンを示す、ホームネットワークUEのためにプロビジョニングされたパラメータを格納し得る。これらのパラメータは、ローミングセキュリティ攻撃を識別して緩和するために使用され得る。
【0032】
図1に示されるNFはさらに、アクセスおよびモビリティ管理機能(access and mobility management function:AMF)110とPCF102との間のセッションを管理するセッション管理機能(session management function:SMF)108を含む。AMF110は、4Gネットワークにおいてモビリティ管理エンティティ(mobility management entity:MME)によって行なわれるものと同様のモビリティ管理動作を行なう。認証サーバ機能(authentication server function:AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114などのユーザ機器(UE)のための認証サービスを行なう。
【0033】
ネットワークスライス選択機能(network slice selection function:NSSF)116は、ネットワークスライスに関連付けられた特定のネットワーク能力および特性にアクセスしようとするデバイスのためのネットワークスライシングサービスを提供する。ネットワーク公開機能(network exposure function:NEF)118は、ネットワークに接続されたインターネット・オブ・シングス(IoT)デバイスおよび他のUEについての情報を取得しようとするアプリケーション機能のためのアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス能力公開機能(service capability exposure function:SCEF)と同様の機能を行なう。
【0034】
無線アクセスネットワーク(radio access network:RAN)120は、無線リンクを介してユーザ機器(UE)114をネットワークに接続する。無線アクセスネットワーク120は、gノードB(gNB)(図1に図示せず)または他の無線アクセスポイントを使用してアクセスされ得る。ユーザプレーン機能(user plane function:UPF)122は、ユーザプレーンサービスのためのさまざまなプロキシ機能性をサポートすることができる。そのようなプロキシ機能性の一例は、マルチパス伝送制御プロトコル(multipath transmission control protocol:MPTCP)プロキシ機能性である。UPF122は性能測定機能性もサポートすることができ、それは、ネットワーク性能測定値を取得するためにUE114によって使用され得る。図1にはデータネットワーク(data network:DN)124も図示されており、それを通してUEは、インターネットサービスなどのデータネットワークサービスにアクセスする。
【0035】
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNを出るトラフィックのためのトポロジ隠蔽を行なう。SEPP126は、外部PLMNのためのセキュリティを管理する、当該外部PLMNにおけるSEPPと通信し得る。このため、異なるPLMNにおけるNF間のトラフィックは、ホームPLMNのためのSEPP機能と外部PLMNのためのSEPP機能という2つのSEPP機能を横断し得る。
【0036】
上述のように、3GPPネットワークアーキテクチャでの1つの問題は、SEPPがホームネットワークのためのファイアウォールとして使用されるものの、ローミングセキュリティ攻撃を識別してブロックするための手順が、3GPP規格およびGSMA規格によって特定されていないということである。
【0037】
5Gローミングセキュリティ攻撃をブロックする能力は、マッシブIoTが5Gネットワークデプロイメントの最も重要な使用事例のうちの1つであるという点で、特に重要である。IoTデバイスのためのローミングセキュリティは、最も重要である。本明細書に記載されている主題は、予想されるUEデバイス挙動を使用してローミング不正セキュリティ攻撃を緩和するための方法を含む。そのような挙動の例は、据置型デバイス表示、IoTデバイス移動のための許可された地理的エリア、IoTデバイスのための許可された/予定された通信時間などを含む。一例では、5G SEPPは、予想されるUE挙動パターン情報をUDMから取得し、予想されるUE挙動に従わないPLMN間通信をブロックする。
【0038】
本明細書に記載されているSEPPによって監視され得る予想されるUE挙動の一例は、UEが据置型であるか否かである。水道メータなどの固定されたデバイスは、ホームネットワークの外部でローミングするはずがない。したがって、SEPPが、水道メータなどの据置型デバイスがローミングしていることを示す5Gサービス要求を受信した場合、SEPPは、据置型デバイスのローミングに関連するPLMN間メッセージングをブロックし得る。以下に詳細に示されるように、デバイスが据置型であるか否かは、SEPPがUDMに問合わせメッセージを送信することによって取得され得る。
【0039】
不正なローミングセキュリティ攻撃を識別するためにSEPPによって使用され得る予想されるUE挙動の別の例は、UEの予定された通信時間である。たとえば、低電力ワイドエリア(low power wide area:LWPA)IoTデバイスは、一日の予定された時間に通信し得る。1つのそのようなLWPAデバイスは、毎日午前12:00に電力消費測定値を送信するかまたは1時間毎に健全性ステータスメッセージを送信するように予定されたスマート電力メータであり得る。SEPPが、これらの予定された時間のうちの1つ以外で電力メータからメッセージを受信した場合(そのようなメッセージの例は、ユーザ機器コンテキスト管理(user equipment context management:UECM)登録、PDUセッション更新、非IPデータ、モバイル由来(mobile originated:MO)データ通信などを含む)、SEPPは、そのような通信を不正なものとして識別し、そのようなメッセージをブロックまたは拒否し得る。
【0040】
別の例では、SEPPは、PLMN間通信を不正なものとして識別するために、ジオフェンシング(geofencing)情報を使用し得る。たとえば、いくつかの車両は、予め規定された追跡エリア/カバレージエリア(tracking area/coverage area:TA/CA)またはPLMN内で通信または移動するようにジオフェンスされ得る。これらの地理的エリアのうちの1つ以外にあるそのような車両を識別するローミングシグナリングは、当該車両ではなく攻撃者からのものかもしれず、SEPPによって不正なものとして分類され、ブロックされ得る。
【0041】
SEPPは、不正なシグナリングがIoTデバイスなどのUEのホームPLMNに入る機会を有する前に当該シグナリングを阻止するために理想的な位置にある。しかしながら、上述のように、3GPP規格またはGSMA規格は、攻撃トラフィックを識別するためにSEPPによって使用されるべき手順を定義していない。本明細書に記載されている主題は、HPLMNにプロビジョニングされた予想されるUE挙動情報を取得し、不正なPLMN間通信を識別するためにその情報を使用するための方法論を含む。
【0042】
5G通信ネットワークでは、UDMネットワーク機能はUEサブスクリプションデータをホストし、それは、UEが固定されているかまたはモビリティ対応であるかを示す据置型表示、UEの予想される地理的移動、UE通信が周期的かまたはオンデマンドか、および、UEが通信のために利用可能である時間帯および曜日を識別する予定された通信時間といった、予想されるUE挙動データを含む。これらの予想されるUE挙動パラメータは、RANが状態遷移を最小化して最適ネットワーク挙動を達成するのを支援するコアネットワーク支援RANパラメータ調整を導き出すために使用される。本明細書に記載されているSEPPは、これらのパラメータを使用して、予想されるUE挙動を識別し、5Gサービス要求メッセージにおけるパラメータが予想されるUE挙動を示すか否かを判定する。パラメータが予想されるUE挙動を示していないとSEPPが判定した場合、SEPPはサービス要求メッセージをブロックまたは拒否し得る。
【0043】
予想されるUE挙動パラメータは、直接UDMでプロビジョニングされるか、または、これらの予想されるUE挙動パラメータをプロビジョニングするために、NEFを介して、NEFが公開するNnef_ParameterProvisionサービスを使用して、第三者アプリケーション(アプリケーション機能(application function)、すなわちAF)によってプロビジョニングされる。予想されるUE挙動パラメータおよびプロビジョニングの例は、3GPP TS 23.502および3GPP TS 29.122に記載されている。
【0044】
本明細書に記載されているSEPPは、リモートPLMNからN32インターフェイスを介して来るアウトバウンドローミングサブスクライバに関連するPLMN間サービス要求をスクリーニングする。SEPPは、所与のアウトバウンドローミングサブスクライバについてUDMから得られた予想されるUE挙動パラメータに対してメッセージを検証する。予想されるUE挙動を満たさないメッセージは脆弱であるとしてマークされることになっており、SEPPはメッセージを廃棄および/または拒否し得る。
【0045】
図2は、PLMN間ローミング攻撃を緩和するための、ホームネットワークSEPPでの予想されるUE挙動の検証を示すメッセージフロー図である。図2を参照して、ライン1で、コンシューマNF200は、そのローカルPLMN SEPP126Bにサービス要求を送信する。SEPP126Bはサービス要求を受信し、ライン2でサービス要求をホームネットワークSEPP126Aへ転送する。
【0046】
ライン3で、ホームネットワークSEPP126Aは、サービス要求に応答して、Nudm_SDM_GetメッセージをUDM104に送信する。Nudm_SDM_Getメッセージは、サービス要求メッセージから取得されたUE識別情報を使用して、UDM104から、予想されるUE挙動パラメータを要求する。
【0047】
Nudm_SDM_Getメッセージに応答して、UDM104は、そのサブスクリプションデータベースでルックアップを行ない、Nudm_SDM_Getメッセージにおいて識別されたUEに対応する記録を見つける。ライン4で、UDM104は、予想されるUE挙動を示す少なくとも1つのパラメータを含むNudm_SDM_Get応答メッセージを用いてホームSEPP126Aに応答する。ステップ5で、ホームPLMN SEPP126Aは、サービス要求から抽出されたUE挙動パラメータを、UDMから取得された予想されるUE挙動パラメータと比較する。これらの挙動が一致することを比較が示す場合、ホームPLMN SEPP Bはサービス要求メッセージをプロデューサNF202へ転送し、それは、サービス要求メッセージによって要求されたサービスを提供するであろう。この例では、サービス要求メッセージにおけるパラメータは予想されるUE挙動を示していないと仮定される。したがって、ステップ6で、ホームPLMN SEPP126Aは、検証が失敗したため、サービス要求を除外または拒否する。
【0048】
図3は、予想されるUE挙動に基づいて5Gローミングセキュリティ攻撃を緩和するために好適である例示的なSEPP126Aを示すブロック図である。図3を参照して、SEPP126Aは、少なくとも1つのプロセッサ300と、メモリ302とを含む。SEPP126Aはさらに、メモリ302に格納され、プロセッサ300によって実行され得る、予想UE挙動判定部304を含む。予想UE挙動判定部304は、攻撃者および本物のリモートSEPPからPLMN間サービス要求を受信する。予想UE挙動判定部304はまた、予想されるUE挙動パラメータを取得するために、UDMとシグナリングする。予想UE挙動判定部304は、サービス要求メッセージからの予想されるUE挙動パラメータを、UDMから取得されたパラメータと比較して、サービス要求メッセージによって示されたUE挙動が予想通りかどうかを判定する。挙動が予想通りである場合、予想UE挙動判定部304は、有効なシグナリングをホームPLMNへ転送し得る。予想UE挙動判定部304が、サービス要求によって示されたUE挙動は予想通りではないと判定した場合、UE挙動判定部304は、そのようなシグナリングをブロックまたは拒否し得る。
【0049】
図4は、予想されるUE挙動に基づいて5Gローミングセキュリティ攻撃を緩和するための例示的なプロセスを示すフローチャートである。図4を参照して、ステップ400で、ホームネットワークSEPPなどのNFが、サービスを要求するサービス要求メッセージを、サービス要求メッセージにおいて識別されたUEのホームPLMNから受信する。たとえば、SEPP126Aが、サービスを要求するサービス要求メッセージを、プロデューサNFから受信してもよい。サービス要求メッセージは、UDMに向けられたNudm_UECM_Registration要求メッセージであってもよい。別の例では、サービス要求メッセージは、UE認証メッセージ、IPまたは非IPデータ配信のためのPDUセッション確立メッセージ、非IPデータ配信モバイル由来(MO)またはモバイル終了(mobile terminated:MT)メッセージなどであってもよい。ホームネットワークSEPPは、N32インターフェイスを介して、トランスポート層セキュリティ(transport layer security:TLS)またはN32相互接続セキュリティ用プロトコル(protocol for N32 interconnect security:PRINS)保護モードを通して、サービス要求を受信し得る。しかしながら、これらのセキュリティメカニズムを使用しても、サービス要求が不正であるおそれがある。
【0050】
ステップ402で、NFは、サービス要求メッセージにおいて識別されたUEのために、予想されるUE挙動パターンを示すためにホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得する。たとえば、アプリケーション機能(AF)が、3GPP TS 23.502で定義されたNnef_ParameterProvisionサービスを使用して、予想されるUE挙動パターンをUDMにプロビジョニングしてもよい。ホームPLMNにプロビジョニングされ得る予想されるUE挙動パラメータの例は、3GPP TS 23.502のセクション4.15.6.3で定義されている。以下に示す表1は、UEのためにホームPLMNからサービスを要求する着信サービス要求メッセージをスクリーニングするために、SEPPなどのNFによって使用され得る予想されるUE挙動パラメータの一例である。
【0051】
【表1】
【0052】
表1は、3GPP TS 23.502からの表4.15.6.3-1のコピーである。表1で識別された予想されるUE挙動パラメータは、予想されるUE挙動を示すために、AFまたは他のノードによってプロビジョニングされ得る。上に示されるように、これらのパラメータは通常、エアーインターフェイスを介してUEと通信するために、ホームPLMNによって使用される。本明細書に記載されている主題によれば、SEPP、SCP、または他のノードは、着信サービス要求メッセージをスクリーニングするために、これらのパラメータを使用し得る。サービス要求メッセージをスクリーニングするために使用され得る表1からの1つのパラメータは、据置型表示パラメータであり、それはUEを据置型であるかまたは携帯型であるとして識別する。予定された通信時間、周期的時間、通信持続時間、トラフィックプロファイル、予定された通信タイプなどといった、他のパラメータのうちのいずれかも使用され得る。
【0053】
図2に示す例では、SEPP126Aは、予想されるUE挙動パラメータをUDMから取得する。代替的な実現化例では、表1に示されたものなどの予想されるUE挙動パラメータは、SEPPがサービス要求メッセージの受信に応答してUDMに問合わせるよう要求されないように、SEPPでプロビジョニングされてもよい。代わりに、そのような実現化例では、SEPPは、予想されるUE挙動パラメータを取得するために、サービス要求メッセージにおけるサブスクライバまたはUE識別子を使用して、その内部データベースに問合わせるであろう。
【0054】
ステップ406で、SEPPなどのNFは、UDMまたは内部データベースからのパラメータ(複数可)を、サービス要求メッセージにおけるパラメータと比較する。たとえば、SEPP126Aは、サービス要求メッセージからのモビリティを示すパラメータを、ホームPLMNから取得されたデータにおける据置型表示パラメータと比較して、サービス要求によって示された挙動が据置型表示パラメータの値によって示された予想されるUE挙動と一致するかどうかを判定し得る。表1の予想されるUE挙動パラメータを例として使用すると、ホームPLMNにプロビジョニングされた据置型表示パラメータの値が、UEが据置型デバイスであることを示し、サービス要求メッセージが、「モビリティ登録更新」に設定された登録タイプパラメータを有するNudm_UECM_Registration要求メッセージである場合、NFは、サービス要求メッセージによって示されたUE挙動は異常または予想外であると判定し得る。3GPP TS 23.502のセクション4.2.2.2.1は、モビリティ登録更新登録タイプを以下のように定義する:
モビリティ登録更新:CM接続状態およびCMアイドル状態の双方において、UEの登録エリア外の新たな追跡エリア(TA)へ変化した場合、または、UEが、新たなTAへの変化、サービス提供するAMFによって提供されるサポートされたネットワーク挙動との不適合性を生み出すであろうUEの好ましいネットワーク挙動の変化の有無にかかわらず、登録手順で交渉されるその能力またはプロトコルパラメータを更新する必要がある場合、または、UEがLADN情報を検索することを意図する場合。
モビリティ登録更新:CM接続状態およびCMアイドル状態の双方において、UEの登録エリア外の新たな追跡エリア(TA)へ変化した場合、または、UEが、新たなTAへの変化、サービス提供するAMFによって提供されるサポートされたネットワーク挙動との不適合性を生み出すであろうUEの好ましいネットワーク挙動の変化の有無にかかわらず、登録手順で交渉されるその能力またはプロトコルパラメータを更新する必要がある場合、または、UEがLADN情報を検索することを意図する場合。
【0055】
上述の例では、モビリティ登録更新登録タイプは、携帯型デバイスの追跡エリアまたは能力を更新するために使用され得る。したがって、「据置型」に設定された据置型表示パラメータ値を有する、デバイスの追跡エリアを更新するためのNudm_UECM_Registration要求の受信は、予想外の挙動として見られるかもしれず、一方、「据置型」に設定された据置型表示パラメータを有する、デバイスの能力を更新するためのNudm_UECM_Registration要求の受信は、予想外の挙動として見られないかもしれない。
【0056】
別の例では、UEが、「携帯型」に設定されたプロビジョニングされた据置型表示パラメータを有し、デバイスの追跡エリアを更新するためのNudm_UECM_Registration要求が受信された場合、Nudm_UECM_Registration要求で特定された追跡エリアが、予想されるUE移動軌跡パラメータの値によって特定される軌跡内にあるかどうかを判定するために、「予想されるUE移動軌跡」パラメータの値がチェックされ得る。Nudm_UECM_Registration要求で特定された追跡エリアが、予想されるUE移動軌跡パラメータの値によって特定される軌跡内にない場合、Nudm_UECM_Registration要求メッセージによって示されたUEの挙動は予想外であると判定され、Nudm_UECM_Registration要求メッセージは廃棄され、および/または、ホームPLMNに入ることをブロックされ得る。
【0057】
他の例では、NFは、サービス要求メッセージにおけるパラメータによって示された通信時間、周波数、持続時間、または他の挙動を、ホームPLMNにプロビジョニングされた予想されるUE挙動パラメータと比較して、サービス要求メッセージによって示されたUE挙動が、UEのためにホームPLMNにプロビジョニングされた予想されるUE挙動パラメータによって示されたUE挙動と一致するかどうかを判定し得る。UEが、UEのためにホームPLMNにプロビジョニングされた予想されるUE挙動パラメータによって示されたものとは異なる時間に、異なる周波数で、および/または異なる持続時間にわたって通信していることを、サービス要求メッセージが示す場合、NFは、サービス要求メッセージによって示されたUE挙動は予想されるUE挙動ではないと判定し得る。
【0058】
ステップ406で、NFは、比較するステップの結果に基づいて、サービス要求からのパラメータは予想されるUE挙動パターンを示していないと判定する。上述の例のいずれかを使用して、NFは、サービス要求メッセージによって示されたUE挙動は予想されるUE挙動ではないと判定し得る。
【0059】
ステップ408で、NFは、サービス要求メッセージを除外または拒否する。上述の例では、UEの通信パターンが、UDMから取得された情報に対して検証される。代替例では、UE挙動パターンは、直接SEPPでプロビジョニングされ得る。
【0060】
上述の例では、サービス要求は、ホームネットワークSEPPによって検証される。別の例では、サービス要求が予想されるUE挙動を示すかまたは予想外のUE挙動を示すかを判定するためにサービス要求を分析するNFは、統合されたファイアウォールを有するDiameterシグナリングルータ(DSR)といった4G NFであってもよい。DSRは、4Gサービス要求メッセージを検証し、それらが予想されるUE挙動パターンと一致しない場合にはそのようなメッセージをブロックまたは拒否するために、5Gの場合について上述されたものと同様のステップを行ない得る。
【0061】
図5は、そのような機能を行なうためのDSRの使用を示すメッセージフロー図である。図5を参照して、統合されたファイアウォールを有するDSR500が、ローミングサブスクライバに関連するPLMN間シグナリングが最初にDSR500に到着するように、ホームネットワークのエッジに位置し得る。DSR500は、IETF RFC 6733に記載されるようなDiameter中継エージェント機能性を実現し得る。簡潔に言うと、そのような機能性は、Diameterメッセージを、当該メッセージにおけるDiameter層情報に基づいてルーティングすることを含む。基本的なDiameter中継エージェント機能性に加えて、DSR500は、SEPP126Aに関して上述されたものと同様のステップを使用して、予想されるUE挙動の検証を行ない得る。
【0062】
図5のメッセージフローを参照して、ライン1で、攻撃者がサービス要求をホームPLMNに送信する。サービス要求は、UE識別情報とUE挙動を示す少なくとも1つのパラメータとを含む位置更新要求または他のメッセージであり得る。たとえば、位置更新要求メッセージのメッセージタイプは、UEが携帯型であることを示し得る。
【0063】
サービス要求メッセージに応答して、ライン2で、DSR500は、予想されるUE挙動パラメータをホームサブスクライバサーバ(HSS)504から取得するために、Diameter構成情報要求(configuration information request:CIR)メッセージを使用してHSS504に問合わせる。CIRメッセージに応答して、HSS504は、そのUEサブスクリプションデータベースでルックアップを行ない、携帯型または据置型表示、予想されるUE位置、予想されるUE通信パターン統計などといった予想されるUE挙動パラメータを抽出する。メッセージフロー図のライン3で、HSS504は、予想されるUE挙動パラメータを構成情報回答(configuration information answer:CIA)メッセージでDSR500へ返す。
【0064】
ステップ4で、DSR500は、UEのためにホームPLMNにプロビジョニングされた予想されるUE挙動パラメータに対してサービス要求メッセージを検証する。予想される挙動パラメータが、サービス要求メッセージは予想されるUE挙動を表わすことを示す場合、DSR500は、サービス要求メッセージをサブスクライバのホームPLMNへ転送し得る。HSSから取得された予想されるUE挙動パラメータが、UE挙動は予想通りではないことを示す場合、DSR500は、ステップ5によって示されるように、サービス要求を除外または拒否し得る。上述のSEPPの例と同様に、予想されるUE挙動パラメータをHSSから取得する代わりに、代替的な一実現化例では、予想されるUE挙動パラメータは、DSRの内部にあるデータベースにプロビジョニングされてもよく、DSRは、PLMN間サービス要求を検証するために使用される予想されるUE挙動パラメータを取得するために、データベースに問合わせてもよい。
【0065】
本明細書に記載されている主題の利点は、据置型表示、通信周波数、通信タイプ、通信持続時間、通信のための許可された地理的エリアなどといった予想されるIoTデバイス挙動パラメータを使用するローミングセキュリティ攻撃の緩和を含む。本明細書に記載されている方法およびシステムを使用してローミングセキュリティ攻撃の緩和を行なう別の利点は、予想されるUE挙動パラメータが、ローミングセキュリティ以外の目的のために、ネットワークにすでにプロビジョニングされているということである。ローミングセキュリティからのこれらのパラメータを再使用することは、予想されるUE挙動パターンを導き出すための複雑なまたは計算コストが高いアルゴリズムを不要にする。その結果、サービス要求をより迅速にスクリーニングする能力が達成され得る。
【0066】
以下の参考文献の各々の開示は、その全体がここに引用により援用される:
参考文献
1.3GPP TS 23.502 V16.6.0(2020-09)、技術仕様書、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5G System:5GS)のための手順;ステージ2(リリース16)
2.3GPP TS 29.122 V15.6.0(2019-12)、技術仕様書、第3世代パートナーシッププロジェクト;技術仕様書 グループコアネットワークおよび端末;ノースバウンドAPIのためのT8基準点(リリース15)
3.IETF RFC 6733;Diameterベースプロトコル(2012年10月)。
参考文献
1.3GPP TS 23.502 V16.6.0(2020-09)、技術仕様書、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5G System:5GS)のための手順;ステージ2(リリース16)
2.3GPP TS 29.122 V15.6.0(2019-12)、技術仕様書、第3世代パートナーシッププロジェクト;技術仕様書 グループコアネットワークおよび端末;ノースバウンドAPIのためのT8基準点(リリース15)
3.IETF RFC 6733;Diameterベースプロトコル(2012年10月)。
【0067】
本明細書に記載されている主題のさまざまな詳細は、本明細書に記載されている主題の範囲から逸脱することなく変更され得るということが理解されるであろう。さらに、本明細書に記載されている主題は、以下に述べられるような請求項によって定義されるため、上述の説明は、限定のためではなく、例示のためのものであるに過ぎない。
【図1】
【図2】
【図3】
【図4】
【図5】
【手続補正書】
【提出日】2023-11-17
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法であって、前記方法は、少なくとも1つのプロセッサを含むネットワーク機能(NF)で、サービスを要求するサービス要求メッセージを、前記サービス要求メッセージにおいて識別されたUEのホームパブリックランドモバイルネットワーク(PLMN)から受信するステップを含み、前記UEはIoTデバイスを含み、前記方法はさらに、
前記NFが、前記サービス要求メッセージにおいて識別された前記UEのために、前記UEの予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた少なくとも1つのパラメータを取得するステップと、
前記NFが、前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記サービス要求メッセージからの少なくとも1つのパラメータと比較するステップと、
前記NFが、前記比較するステップの結果に基づいて、前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないと判定するステップと、
前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないと判定するステップに応答して、前記サービス要求メッセージを除外または拒否するステップとを含む、方法。
【請求項2】
前記NFは、セキュリティエッジ保護プロキシ(SEPP)を含む、請求項1に記載の方法。
【請求項3】
予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、前記ホームPLMNに位置するユーザデータ管理(UDM)機能に問合わせるステップを含む、請求項1または請求項2に記載の方法。
【請求項4】
予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、前記SEPPの内部にあり、前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを含むデータベースに問合わせるステップを含む、請求項1または請求項2に記載の方法。
【請求項5】
前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、Nnef_ParameterProvisionサービスを使用して前記ホームPLMNにプロビジョニングされたパラメータを取得するステップを含む、請求項1~4のいずれか1項に記載の方法。
【請求項6】
前記ネットワーク機能は、統合されたファイアウォールを有するDiameterシグナリングルータ(DSR)を含む、請求項1~5のいずれか1項に記載の方法。
【請求項7】
予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、ホームサブスクライバサーバ(HSS)に問合わせることによって前記少なくとも1つのパラメータを取得するステップを含む、請求項6に記載の方法。
【請求項8】
予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを取得するステップは、前記DSRの内部にあるデータベースから前記少なくとも1つのパラメータを取得するステップを含む、請求項6に記載の方法。
【請求項9】
前記予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた前記少なくとも1つのパラメータを、前記サービス要求メッセージにおける少なくとも1つのパラメータと比較するステップは、モビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つを、前記サービス要求メッセージからのモビリティを示すパラメータ、通信時間を示すパラメータ、および通信タイプを示すパラメータのうちの少なくとも1つと比較するステップを含む、請求項1~8のいずれか1項に記載の方法。
【請求項10】
前記比較するステップの結果に基づいて、前記サービス要求メッセージからの前記少なくとも1つのパラメータは前記UEの前記予想されるUE挙動パターンを示していないと判定するステップは、前記サービス要求メッセージにおける前記少なくとも1つのパラメータによって示された前記モビリティ、通信時間、または通信タイプのうちの少なくとも1つが、前記UEの予想されるUE挙動パターンを示すために前記ホームPLMNにプロビジョニングされた少なくとも1つのパラメータによって示された前記モビリティ、通信時間、または通信タイプのうちの少なくとも1つと一致しないと判定するステップを含む、請求項1~9のいずれか1項に記載の方法。
【請求項11】
請求項1~10のいずれかに記載の方法をプロセッサに実行させるためのプログラム。
【請求項12】
請求項11に記載のプログラムを格納したメモリと、
前記プログラムを実行するためのプロセッサとを備える、システム。
【国際調査報告】