知財求人 - 知財ポータルサイト「IP Force」
▶ オラクル・インターナショナル・コーポレイションの特許一覧
特表2024-505991ネットワーク機能(NF)でのサービス拒否(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-08
(54)【発明の名称】ネットワーク機能(NF)でのサービス拒否(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
(51)【国際特許分類】
H04W 12/126 20210101AFI20240201BHJP
H04W 12/30 20210101ALI20240201BHJP
H04W 88/18 20090101ALI20240201BHJP
【FI】
H04W12/126
H04W12/30
H04W88/18
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023547252
(86)(22)【出願日】2022-01-21
(85)【翻訳文提出日】2023-10-02
(86)【国際出願番号】 US2022013367
(87)【国際公開番号】W WO2022169617
(87)【国際公開日】2022-08-11
(31)【優先権主張番号】17/167,319
(32)【優先日】2021-02-04
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】ラジプット,ジャイ
(72)【発明者】
【氏名】シング,ビレンドラ
(72)【発明者】
【氏名】ジャヤラマチャー,アマーナス
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA28
5K067AA30
5K067DD57
5K067HH22
5K067HH23
(57)【要約】
NFでのDoS攻撃のための方法は、第1のNFで、許容サブスクリプションの最大数を特定するルールと対応するルール基準とを含むNFサブスクリプションデータベースを維持するステップを含む。方法はさらに、第1のNFで、第2のNFから、サブスクリプションを確立するためのサブスクリプション要求を受信するステップを含む。方法はさらに、第1のNFが、サブスクリプション要求はNFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定するステップと、第1のNFが、少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントするステップとを含む。方法はさらに、第1のNFが、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定するステップを含む。方法はさらに、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回るとの判定に応答して、サブスクリプションの確立を防止するステップを含む。
【特許請求の範囲】
【請求項1】
ネットワーク機能(NF:network function)でのサービス拒否(DoS:denial of service)攻撃を緩和するための方法であって、前記方法は、第1のNFで、許容サブスクリプションの最大数を特定するルールと対応するルール基準とを含むNFサブスクリプションデータベースを維持するステップと、
前記第1のNFで、第2のNFから、サブスクリプションを確立するためのサブスクリプション要求を受信するステップと、
前記第1のNFが、前記サブスクリプション要求は前記NFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定するステップと、
前記第1のNFが、前記少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントするステップと、
前記第1のNFが、前記サブスクリプションの数の前記少なくとも1つのカウントは前記少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定するステップと、
前記サブスクリプションの数の前記少なくとも1つのカウントは前記少なくとも1つのルールについての許容サブスクリプションの前記最大数を上回るとの判定に応答して、前記サブスクリプションの確立を防止するステップとを含む、方法。
【請求項2】
前記第1のNFは、プロデューサNFを含む、請求項1に記載の方法。
【請求項3】
前記第1のNFは、サービス通信プロキシ(SCP:service communication proxy)を含む、先行する請求項のいずれか1項に記載の方法。
【請求項4】
前記NFサブスクリプションデータベースを維持するステップは、NFタイプを特定する基準を有する少なくとも1つのルールを有する前記データベースを維持するステップを含む、先行する請求項のいずれか1項に記載の方法。
【請求項5】
前記NFサブスクリプションデータベースにアクセスするステップは、前記サブスクリプション要求からNFタイプ情報を抽出または推測し、前記サブスクリプション要求から抽出または推測された前記NFタイプ情報を、前記データベースにおける前記ルールについて特定された前記基準と突き合わせるためのキーとして使用するステップを含む、請求項4に記載の方法。
【請求項6】
前記NFサブスクリプションデータベースを維持するステップは、公衆陸上移動体通信網(PLMN:public land mobile network)の基準を特定する少なくとも1つのルールを有する前記データベースを維持するステップを含む、先行する請求項のいずれか1項に記載の方法。
【請求項7】
前記NFサブスクリプションデータベースにアクセスするステップは、前記サブスクリプション要求から前記第2のNFのPLMN情報を抽出または推測し、前記サブスクリプション要求から抽出または推測された前記第2のNFの前記PLMN情報を、前記データベースにおける前記ルールについて特定された前記基準と突き合わせるためのキーとして使用するステップを含む、請求項6に記載の方法。
【請求項8】
前記NFサブスクリプションデータベースを維持するステップは、NFインスタンスIDの基準を特定する少なくとも1つのルールを有する前記データベースを維持するステップを含み、前記NFサブスクリプションデータベースにアクセスするステップは、前記サブスクリプション要求からNFインスタンスIDを抽出し、前記サブスクリプション要求から抽出された前記NFインスタンスIDを、前記データベースにおける前記ルールについて特定された前記基準と突き合わせるためのキーとして使用するステップを含む、先行する請求項のいずれか1項に記載の方法。
【請求項9】
前記NFサブスクリプションデータベースを維持するステップは、前記ルールの各々についての前記基準と一致する、前記第1のNFによって現在取り扱われているサブスクリプションの数のカウントを維持するステップを含む、先行する請求項のいずれか1項に記載の方法。
【請求項10】
前記第1のNFが、前記サブスクリプション要求は前記NFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定するステップは、前記サブスクリプション要求は前記データベースにおける複数のルールについての基準と一致すると判定するステップを含み、前記第1のNFが、前記少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントするステップは、前記サブスクリプション要求と一致する基準を有する前記ルールの各々についての前記カウントをインクリメントするステップを含み、
前記第1のNFが、前記サブスクリプションの数の前記少なくとも1つのカウントは前記少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定するステップは、前記サブスクリプション要求と一致する基準を有する前記ルールのうちのいずれかについての前記サブスクリプションの数の前記カウントが、前記ルールについての許容サブスクリプションの前記最大数を上回ると判定するステップを含む、請求項9に記載の方法。
【請求項11】
ネットワーク機能(NF:network function)でのサービス拒否(DoS:denial of service)攻撃を緩和するためのシステムであって、前記システムは、少なくとも1つのプロセッサとメモリとを含む第1のNFと、
前記メモリにおいて具現化され、許容サブスクリプションの最大数を特定するルールと対応するルール基準とを含むNFサブスクリプションデータベースと、
NFサブスクリプションポリサーとを含み、前記NFサブスクリプションポリサーは、第2のNFから、サブスクリプションを確立するためのサブスクリプション要求を受信し、前記サブスクリプション要求は前記NFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定し、前記少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントし、前記サブスクリプションの数の前記少なくとも1つのカウントは前記少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定し、前記サブスクリプションの数の前記少なくとも1つのカウントは前記少なくとも1つのルールについての許容サブスクリプションの前記最大数を上回るとの判定に応答して、前記サブスクリプションの確立を防止するためのものである、システム。
【請求項12】
前記第1のNFは、プロデューサNFを含む、請求項11に記載のシステム。
【請求項13】
前記第1のNFは、サービス通信プロキシ(SCP:service communication proxy)を含む、請求項11または請求項12に記載のシステム。
【請求項14】
前記NFサブスクリプションデータベースは、NFタイプを特定する基準を有する少なくとも1つのルールを含む、請求項11~13のいずれか1項に記載のシステム。
【請求項15】
前記NFサブスクリプションデータベースにアクセスする際、前記NFサブスクリプションポリサーは、前記サブスクリプション要求から前記第2のNFのNFタイプ情報を抽出または推測し、前記サブスクリプション要求から抽出または推測された前記第2のNFの前記NFタイプ情報を、前記データベースにおける前記ルールについて特定された前記基準と突き合わせるためのキーとして使用するように構成される、請求項14に記載のシステム。
【請求項16】
前記NFサブスクリプションデータベースは、公衆陸上移動体通信網(PLMN:public land mobile network)を特定する基準を有する少なくとも1つのルールを含み、前記NFサブスクリプションデータベースにアクセスする際、前記NFサブスクリプションポリサーは、前記サブスクリプション要求から前記第2のNFについてのPLMN識別子を抽出または推測し、前記サブスクリプション要求から抽出または推測された前記PLMN識別子を、前記データベースにおける前記ルールについて特定された前記基準と突き合わせるためのキーとして使用するように構成される、請求項11~15のいずれか1項に記載のシステム。
【請求項17】
前記NFサブスクリプションデータベースは、NFインスタンスIDを特定する基準を有する少なくとも1つのルールを含み、前記NFサブスクリプションデータベースにアクセスする際、前記NFサブスクリプションポリサーは、前記サブスクリプション要求からNFインスタンスIDを抽出し、前記サブスクリプション要求から抽出された前記NFインスタンスIDを、前記データベースにおける前記ルールについて特定された前記基準と突き合わせるためのキーとして使用するように構成される、請求項11~16のいずれか1項に記載のシステム。
【請求項18】
前記NFサブスクリプションポリサーは、前記ルールの各々についての基準と一致する、前記第1のNFによって取り扱われているサブスクリプションの現在の数のカウントを維持するように構成される、請求項11~17のいずれか1項に記載のシステム。
【請求項19】
前記サブスクリプション要求は前記NFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定する際、前記NFサブスクリプションポリサーは、前記サブスクリプション要求は前記データベースにおける複数のルールについての基準と一致すると判定するように構成され、前記少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントする際、前記NFサブスクリプションポリサーは、前記サブスクリプション要求と一致する基準を有する前記ルールの各々についての前記カウントをインクリメントするように構成され、
前記サブスクリプションの数の前記少なくとも1つのカウントは前記少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定する際、前記NFサブスクリプションポリサーは、前記サブスクリプション要求と一致する基準を有する前記ルールのうちのいずれかについての前記サブスクリプションの数の前記カウントが、前記ルールについての許容サブスクリプションの前記最大数を上回ると判定するように構成される、請求項18に記載のシステム。
【請求項20】
コンピュータのプロセッサによって実行されると複数のステップを行なうように前記コンピュータを制御する実行可能命令が格納された、非一時的コンピュータ読取可能媒体であって、前記複数のステップは、第1のネットワーク機能(NF:network function)で、許容サブスクリプションの最大数を特定するルールと対応するルール基準とを含むNFサブスクリプションデータベースを維持するステップと、
前記第1のNFで、第2のNFから、サブスクリプションを確立するためのサブスクリプション要求を受信するステップと、
前記第1のNFが、前記サブスクリプション要求は前記NFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定するステップと、
前記第1のNFが、前記少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントするステップと、
前記第1のNFが、前記サブスクリプションの数の前記少なくとも1つのカウントは前記少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定するステップと、
前記サブスクリプションの数の前記少なくとも1つのカウントは前記少なくとも1つのルールについての許容サブスクリプションの前記最大数を上回るとの判定に応答して、前記サブスクリプションの確立を防止するステップとを含む、非一時的コンピュータ読取可能媒体。
【発明の詳細な説明】
【技術分野】
【0001】
優先権主張
本願は、2021年2月4日に出願された米国特許出願連続番号第17/167,319号の優先権利益を主張する。当該特許出願の開示はその全体がここに引用により援用される。
本願は、2021年2月4日に出願された米国特許出願連続番号第17/167,319号の優先権利益を主張する。当該特許出願の開示はその全体がここに引用により援用される。
【0002】
技術分野
本明細書に記載されている主題は、ネットワークセキュリティに関する。より特定的には、本明細書に記載されている主題は、5Gプロデューサネットワーク機能(network function:NF)などのNFでのサービス拒否(denial of service:DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。
本明細書に記載されている主題は、ネットワークセキュリティに関する。より特定的には、本明細書に記載されている主題は、5Gプロデューサネットワーク機能(network function:NF)などのNFでのサービス拒否(denial of service:DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。
【背景技術】
【0003】
背景
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)、またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNF、またはNFサービスコンシューマと呼ばれる。ネットワーク機能は、当該ネットワーク機能がサービスを消費しているか、生成しているか、または、消費および生成しているかによって、プロデューサNF、コンシューマNF、またはそれら双方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、本明細書では交換可能に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、本明細書では交換可能に使用される。
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)、またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNF、またはNFサービスコンシューマと呼ばれる。ネットワーク機能は、当該ネットワーク機能がサービスを消費しているか、生成しているか、または、消費および生成しているかによって、プロデューサNF、コンシューマNF、またはそれら双方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、本明細書では交換可能に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、本明細書では交換可能に使用される。
【0004】
所与のプロデューサNFは、多くのサービスエンドポイントを有し得る。サービスエンドポイントとは、プロデューサNFによってホストされる1つ以上のNFインスタンスのための接点である。サービスエンドポイントは、プロデューサNFをホストするネットワークノード上のインターネットプロトコル(Internet protocol:IP)アドレスおよびポート番号または完全修飾ドメイン名(IPアドレスとポート番号とに分解する)の組合せである。NFインスタンスとは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは2つ以上のNFインスタンスを含み得る。なお、複数のNFインスタンスが同じサービスエンドポイントを共有することができる。
【0005】
プロデューサNFは、ネットワーク機能リポジトリ機能(network function repository function:NRF)に登録する。NRFは、各NFインスタンスによってサポートされるサービスを識別する、利用可能なNFインスタンスのサービスプロファイルを維持する。「サービスプロファイル」および「NFプロファイル」という用語は、本明細書では交換可能に使用される。コンシューマNFは、NRFに登録したプロデューサNFインスタンスについての情報の受信をサブスクライブすることができる。
【0006】
コンシューマNFに加えて、NFサービスインスタンスについての情報の受信をサブスクライブすることができる別のタイプのネットワークノードは、サービス通信プロキシ(service communication proxy:SCP)である。SCPは、NRFにサブスクライブし、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFはサービス通信プロキシに接続し、サービス通信プロキシは、要求されたサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを負荷分散するか、または、トラフィックを宛先プロデューサNFインスタンスへ直接ルーティングする。
【0007】
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードまたはネットワークノード群の他の例は、5Gサービスメッシュにおけるセキュリティエッジ保護プロキシ(security edge protection proxy:SEPP)、サービスゲートウェイ、およびノードを含む。SEPPとは、異なる5G公衆陸上移動体通信網(public land mobile network:PLMN)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。そのため、SEPPは、PLMN間で送信されるすべてのアプリケーションプログラミングインターフェイス(application programming interface:API)メッセージのために、メッセージフィルタリング、ポリシー化、およびトポロジ隠蔽を行なう。
【0008】
5G通信ネットワークにおける1つの問題は、プロデューサNFが多数のサブスクリプション要求に起因して圧倒されるようになる場合に生じる。5GネットワークにおけるほぼすべてのNFは、通信のためのサブスクライブ/通知メカニズムを使用する。通信のためのサブスクライブ/通知メカニズムでは、コンシューマNFは、プロデューサNFについて通知されるためにプロデューサNFにサブスクライブする。たとえば、NRFは、コンシューマNFがネットワークトポロジー変更について知りたい場合に通知されるためにサブスクライブ/通知通信を使用する。ユーザデータ管理ノード(user data management:UDM)は、サブスクライバデータ変更についてコンシューマNFに知らせるためにサブスクライブ/通知通信を使用する。ネットワークスライス選択機能(network slice selection function:NSSF)は、単一ネットワークスライス選択支援情報(single network slice selection assistance information:S-NSSAI)における変更についてAMFに知らせるためにサブスクライブ/通知通信を使用する。ポリシー制御機能(policy control function:PCF)は、ポリシー制御事象についてコンシューマNFに知らせるためにサブスクライブ/通知通信を使用する。
【発明の概要】
【発明が解決しようとする課題】
【0009】
プロデューサNFでのサブスクリプションの数が、プロデューサNFの処理能力が圧倒されることを引き起こす場合、NFサービスプロファイルまたは他の情報についての通知を受けようとするコンシューマNFへのサービスが拒否されるおそれがある。現在、プロデューサNFは、コンシューマNFによって作成可能なサブスクリプションの数を制限していない。プロデューサNFでの過剰な数のNFサブスクリプションがコンシューマNFによって故意にまたは誤って作成されるおそれがあり、プロデューサNFによって提供されるサービスにアクセスしようとする他のNFへのサービス拒否をもたらす。サービス拒否は、多過ぎるサブスクリプションレコードに起因するプロデューサNFのストレージ容量の枯渇によって引き起こされ得る。サービス拒否はまた、過剰な処理要求に起因してプロデューサNFのCPUが枯渇した場合に結果として生じ得る。処理中のサブスクリプションレコードの数がプロデューサNFのメモリ容量を上回る場合、プロデューサNFのメモリリソースも枯渇し得る。サービス拒否はまた、サブスクリプション応答のための望ましくない処理オーバーヘッドに起因するネットワークリソース枯渇によって引き起こされ得る。なお、他の動作(たとえば、NRFへのNF登録)は、サブスクリプションと同じ問題を抱えていない。なぜなら、メッセージの内容(登録要求におけるNFインスタンスID)が、同じNFインスタンスのために複数の登録を作成できないことを確認するのを助けるためである。しかしながら、サブスクライブメッセージでは、またはサブスクライブメッセージについては、そのような保護はない。
【0010】
したがって、NFでのDoS攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に対する要望が存在する。
【課題を解決するための手段】
【0011】
概要
ネットワーク機能(NF)でのサービス拒否(DoS)攻撃を緩和するための方法が提供される。方法は、第1のNFで、許容サブスクリプションの最大数を特定するルールと対応するルール基準とを含むNFサブスクリプションデータベースを維持するステップを含む。方法はさらに、第1のNFで、第2のNFから、サブスクリプションを確立するためのサブスクリプション要求を受信するステップを含む。方法はさらに、第1のNFが、サブスクリプション要求はNFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定するステップを含む。方法はさらに、第1のNFが、少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントするステップを含む。方法はさらに、第1のNFが、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定するステップを含む。方法はさらに、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回るとの判定に応答して、サブスクリプションの確立を防止するステップを含む。
ネットワーク機能(NF)でのサービス拒否(DoS)攻撃を緩和するための方法が提供される。方法は、第1のNFで、許容サブスクリプションの最大数を特定するルールと対応するルール基準とを含むNFサブスクリプションデータベースを維持するステップを含む。方法はさらに、第1のNFで、第2のNFから、サブスクリプションを確立するためのサブスクリプション要求を受信するステップを含む。方法はさらに、第1のNFが、サブスクリプション要求はNFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定するステップを含む。方法はさらに、第1のNFが、少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントするステップを含む。方法はさらに、第1のNFが、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定するステップを含む。方法はさらに、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回るとの判定に応答して、サブスクリプションの確立を防止するステップを含む。
【0012】
本明細書に記載されている主題の別の局面によれば、第1のNFは、プロデューサNFを含む。
【0013】
本明細書に記載されている主題の別の局面によれば、第1のNFは、サービス通信プロキシ(SCP)を含む。
【0014】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースを維持するステップは、NFタイプを特定する基準を有する少なくとも1つのルールを有するデータベースを維持するステップを含む。
【0015】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースにアクセスするステップは、サブスクリプション要求からNFタイプ情報を抽出または推測し、サブスクリプション要求から抽出または推測されたNFタイプ情報を、データベースにおけるルールについて特定された基準と突き合わせるためのキーとして使用するステップを含む。
【0016】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースを維持するステップは、公衆陸上移動体通信網(PLMN)の基準を特定する少なくとも1つのルールを有するデータベースを維持するステップを含む。
【0017】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースにアクセスするステップは、サブスクリプション要求から第2のNFのPLMN情報を抽出または推測し、サブスクリプション要求から抽出または推測された第2のNFのPLMN情報を、データベースにおけるルールについて特定された基準と突き合わせるためのキーとして使用するステップを含む。
【0018】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースを維持するステップは、NFインスタンスIDの基準を特定する少なくとも1つのルールを有するデータベースを維持するステップを含み、NFサブスクリプションデータベースにアクセスするステップは、サブスクリプション要求からNFインスタンスIDを抽出し、サブスクリプション要求から抽出されたNFインスタンスIDを、データベースにおけるルールについて特定された基準と突き合わせるためのキーとして使用するステップを含む。
【0019】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースを維持するステップは、ルールの各々についての基準と一致する、第1のNFによって現在取り扱われているサブスクリプションの数のカウントを維持するステップを含む。
【0020】
本明細書に記載されている主題の別の局面によれば、第1のNFが、サブスクリプション要求はNFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定するステップは、サブスクリプション要求はデータベースにおける複数のルールについての基準と一致すると判定するステップを含み、第1のNFが、少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントするステップは、サブスクリプション要求と一致する基準を有するルールの各々についてのカウントをインクリメントするステップを含み、第1のNFが、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定するステップは、サブスクリプション要求と一致する基準を有するルールのうちのいずれかについてのサブスクリプションの数のカウントが、ルールについての許容サブスクリプションの最大数を上回ると判定するステップを含む。
【0021】
本明細書に記載されている主題の別の局面によれば、ネットワーク機能(NF)でのサービス拒否(DoS)攻撃を緩和するためのシステムが提供される。システムは、少なくとも1つのプロセッサとメモリとを含む第1のNFを含む。システムはさらに、メモリにおいて具現化され、許容サブスクリプションの最大数を特定するルールと対応するルール基準とを含むNFサブスクリプションデータベースを含む。システムはさらに、NFサブスクリプションポリサーを含み、NFサブスクリプションポリサーは、第2のNFから、サブスクリプションを確立するためのサブスクリプション要求を受信し、サブスクリプション要求はNFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定し、少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントし、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定し、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回るとの判定に応答して、サブスクリプションの確立を防止するためのものである。
【0022】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースは、NFタイプを特定する基準を有する少なくとも1つのルールを含む。
【0023】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースにアクセスする際、NFサブスクリプションポリサーは、サブスクリプション要求から第2のNFのNFタイプ情報を抽出または推測し、サブスクリプション要求から抽出または推測された第2のNFのNFタイプ情報を、データベースにおけるルールについて特定された基準と突き合わせるためのキーとして使用するように構成される。
【0024】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースは、公衆陸上移動体通信網(PLMN)を特定する基準を有する少なくとも1つのルールを含み、NFサブスクリプションデータベースにアクセスする際、NFサブスクリプションポリサーは、サブスクリプション要求から第2のNFについてのPLMN識別子を抽出または推測し、サブスクリプション要求から抽出または推測されたPLMN識別子を、データベースにおけるルールについて特定された基準と突き合わせるためのキーとして使用するように構成される。
【0025】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションデータベースは、NFインスタンスIDを特定する基準を有する少なくとも1つのルールを含み、NFサブスクリプションデータベースにアクセスする際、NFサブスクリプションポリサーは、サブスクリプション要求からNFインスタンスIDを抽出し、サブスクリプション要求から抽出されたNFインスタンスIDを、データベースにおけるルールについて特定された基準と突き合わせるためのキーとして使用するように構成される。
【0026】
本明細書に記載されている主題の別の局面によれば、NFサブスクリプションポリサーは、ルールの各々についての基準と一致する、第1のNFによって取り扱われているサブスクリプションの現在の数のカウントを維持するように構成される。
【0027】
本明細書に記載されている主題の別の局面によれば、サブスクリプション要求はNFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定する際、NFサブスクリプションポリサーは、サブスクリプション要求はデータベースにおける複数のルールについての基準と一致すると判定するように構成され、少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントする際、NFサブスクリプションポリサーは、サブスクリプション要求と一致する基準を有するルールの各々についてのカウントをインクリメントするように構成され、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定する際、NFサブスクリプションポリサーは、サブスクリプション要求と一致する基準を有するルールのうちのいずれかについてのサブスクリプションの数のカウントが、ルールについての許容サブスクリプションの最大数を上回ると判定するように構成される。
【0028】
本明細書に記載されている主題の別の局面によれば、コンピュータのプロセッサによって実行されると複数のステップを行なうようにコンピュータを制御する実行可能命令が格納された、非一時的コンピュータ読取可能媒体が提供される。複数のステップは、第1のネットワーク機能(NF)で、許容サブスクリプションの最大数を特定するルールと対応するルール基準とを含むNFサブスクリプションデータベースを維持するステップを含む。複数のステップはさらに、第1のNFで、第2のNFから、サブスクリプションを確立するためのサブスクリプション要求を受信するステップを含む。複数のステップはさらに、第1のNFが、サブスクリプション要求はNFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定するステップを含む。複数のステップはさらに、第1のNFが、少なくとも1つのルールについてのサブスクリプションの数の少なくとも1つのカウントをインクリメントするステップを含む。複数のステップはさらに、第1のNFが、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回ると判定するステップを含む。複数のステップはさらに、サブスクリプションの数の少なくとも1つのカウントは少なくとも1つのルールについての許容サブスクリプションの最大数を上回るとの判定に応答して、サブスクリプションの確立を防止するステップを含む。
【0029】
本明細書に記載されている主題は、ハードウェアおよび/またはファームウェアと組合されたソフトウェアで実現され得る。たとえば、本明細書に記載されている主題は、プロセッサによって実行されるソフトウェアで実現され得る。例示的な一実現化例では、本明細書に記載されている主題は、コンピュータのプロセッサによって実行されると複数のステップを行なうようにコンピュータを制御するコンピュータ実行可能命令が格納された非一時的コンピュータ読取可能媒体を使用して実現され得る。本明細書に記載されている主題を実現するために好適である例示的なコンピュータ読取可能媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイス、および特定用途向け集積回路といった、非一時的コンピュータ読取可能媒体を含む。加えて、本明細書に記載されている主題を実現するコンピュータ読取可能媒体は、単一のデバイスまたはコンピューティングプラットフォーム上に位置していてもよく、もしくは、複数のデバイスまたはコンピューティングプラットフォーム間で分散されていてもよい。
【図面の簡単な説明】
【0030】
【図1】例示的な5Gシステムネットワークアーキテクチャを示すネットワーク図である。
【図2】プロデューサNFへのサブスクリプションを作成するために交換される例示的なメッセージを示すメッセージフロー図である。
【図3】プロデューサNFがサブスクリプションに関する通知をコンシューマNFに送信する場合に交換される例示的なメッセージを示すメッセージフロー図である。
【図4】NFサービスコンシューマが過剰なサブスクリプションに起因してNFサービスプロデューサの処理リソースを圧倒する場合に交換される例示的なメッセージを示すメッセージフロー図である。
【図5】オペレータ構成基準に基づいてコンシューマNFについて許容されるサブスクリプションの数をポリシー化するために交換される例示的なメッセージを示すメッセージフロー図である。
【図6】オペレータ構成基準に基づいてコンシューマNFについて許容されるサブスクリプションの数をポリシー化することが、オペレータ定義最大限度を上回ったことに応答してサブスクリプションの確立を防止することをもたらす場合に交換される例示的なメッセージを示すメッセージフロー図である。
【図7】オペレータ構成基準に基づいてコンシューマNFからのサブスクリプションの数をポリシー化することによってDoS攻撃を緩和することができるコンシューマNFまたはSCPを示すブロック図である。
【図8】オペレータ構成基準に基づいてコンシューマNFからのサブスクリプションの数をポリシー化することによってDoS攻撃を緩和するための例示的なプロセスを示すフローチャートである。
【発明を実施するための形態】
【0031】
詳細な説明
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(home public land mobile network:HPLMN)に位置し得るNRF100とSCP101とを含む。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスをサブスクライブしてその登録を通知されることを可能にし得る。SCP101はまた、サービス発見およびプロデューサNFインスタンスの選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの接続の負荷分散を行ない得る。
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(home public land mobile network:HPLMN)に位置し得るNRF100とSCP101とを含む。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスをサブスクライブしてその登録を通知されることを可能にし得る。SCP101はまた、サービス発見およびプロデューサNFインスタンスの選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの接続の負荷分散を行ない得る。
【0032】
NRF100は、プロデューサNFインスタンスのNFプロファイルまたはサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、NRF100からプロデューサNFインスタンスのNFプロファイルまたはサービスプロファイルを取得しなければならない。NFプロファイルまたはサービスプロファイルは、第3世代パートナーシッププロジェクト(Third Generation Partnership Project:3GPP(登録商標))技術仕様書(Technical Specification:TS)29.510で定義されたJavaScript(登録商標)オブジェクト表記法(JavaScript object notation:JSON)データ構造である。NFプロファイルまたはサービスプロファイルの定義は、完全修飾ドメイン名(fully qualified domain name:FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。
【0033】
図1では、ネットワーク機能はいずれも、それらがサービスを要求しているか、提供しているか、または、要求および提供しているかによって、コンシューマNF、プロデューサNF、またはそれら双方であり得る。図示された例では、NFは、ネットワークにおいてポリシー関連動作を行なうPCF102と、ユーザデータを管理するUDM機能104と、アプリケーションサービスを提供するアプリケーション機能(application function:AF)106とを含む。
【0034】
図1に示されるNFはさらに、アクセスおよびモビリティ管理機能(access and mobility management function:AMF)110とPCF102との間のセッションを管理するセッション管理機能(session management function:SMF)108を含む。AMF110は、4Gネットワークにおいてモビリティ管理エンティティ(mobility management entity:MME)によって行なわれるものと同様のモビリティ管理動作を行なう。認証サーバ機能(authentication server function:AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(user equipment:UE)114などのユーザ機器(UE)のための認証サービスを行なう。
【0035】
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスに関連付けられた特定のネットワーク能力および特性にアクセスしようとするデバイスのためのネットワークスライシングサービスを提供する。ネットワーク公開機能(network exposure function:NEF)118は、ネットワークに接続されたインターネット・オブ・シングス(IoT)デバイスおよび他のUEについての情報を取得しようとするアプリケーション機能のためのアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス能力公開機能(service capability exposure function:SCEF)と同様の機能を行なう。
【0036】
無線アクセスネットワーク(radio access network:RAN)120は、無線リンクを介してユーザ機器(UE)114をネットワークに接続する。無線アクセスネットワーク120は、gノードB(gNB)(図1に図示せず)または他の無線アクセスポイントを使用してアクセスされ得る。ユーザプレーン機能(user plane function:UPF)122は、ユーザプレーンサービスのためのさまざまなプロキシ機能性をサポートすることができる。そのようなプロキシ機能性の一例は、マルチパス伝送制御プロトコル(multipath transmission control protocol:MPTCP)プロキシ機能性である。UPF122は性能測定機能性もサポートすることができ、それは、ネットワーク性能測定値を取得するためにUE114によって使用され得る。図1にはデータネットワーク(data network:DN)124も図示されており、それを通してUEは、インターネットサービスなどのデータネットワークサービスにアクセスする。
【0037】
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNを出るトラフィックのためのトポロジ隠蔽を行なう。SEPP126は、外部PLMNのためのセキュリティを管理する、当該外部PLMNにおけるSEPPと通信し得る。このため、異なるPLMNにおけるNF間のトラフィックは、ホームPLMNのためのSEPP機能と外部PLMNのためのSEPP機能という2つのSEPP機能を横断し得る。
【0038】
上述のように、5G通信ネットワークのための3GPPネットワークアーキテクチャでの1つの問題は、プロデューサNFが、コンシューマNFからの過剰なサブスクリプションから生じる処理に圧倒されるようになり得ることである。図2は、サブスクリプションを作成する際にNFサービスコンシューマとNFサービスプロデューサとの間で交換される例示的なメッセージを示すメッセージフロー図である。図2を参照して、NFサービスコンシューマ200は、他のNFにサブスクライブする、図1に示されたNFのうちのいずれかであり得る。NFサービスプロデューサ202は、サブスクリプションを処理する、図1に示されたNFのうちのいずれかであり得る。図2におけるメッセージフローを参照して、ライン1で、NFサービスコンシューマ200はHTTP Post要求をNFサービスプロデューサ202に送信する。HTTP Post要求は、通知をトリガする1組の事象をフィルタリングするための追加の基準を含むコールバックURIを含む。メッセージフロー図のライン2で、NFサービスプロデューサ202は201 CreatedメッセージをNFサービスコンシューマ200に送信する。201 Createdメッセージは、サブスクリプションが作成されたことを示す。
【0039】
サブスクリプションを作成して維持することは、NFサービスプロデューサ202の処理リソース、メモリリソース、およびストレージリソースを利用する。たとえば、サブスクリプションに対応するレコードが、NFサービスプロデューサ202によって維持されるサブスクリプションデータベースにおいて作成されなければならない。NFサービスプロデューサ202は、NFサービスコンシューマへの通知が必要とされるかどうかをそれが判定できるように、そのステータスの変化が生じたときにはいつでも、そのサブスクリプションデータベースにおけるレコードを繰り返しチェックしなければならない。NFサービスプロデューサ202はまた、各サブスクリプションの満了時間を判定するために、各サブスクリプションのためのタイマーを維持しなければならない。更新または削除メッセージといった、既存のサブスクリプションに関連付けられた次のメッセージを処理することも、プロデューサNF202のプロセッササイクルを消費する。オペレータ定義基準と一致するサブスクリプションの数のチェックまたは実施がないため、過剰なサブスクリプションがNFサービスプロデューサ202の処理容量を圧倒するおそれがある。
【0040】
図3は、サブスクリプションによって要求された通知をトリガする事象が生じた場合にNFサービスコンシューマ200とNFサービスプロデューサ202との間で交換される例示的なメッセージを示す。図3を参照して、メッセージフロー図のライン1で、NFサービスプロデューサ202は、通知を受信するためにNFサービスコンシューマ200によって特定された基準と一致する事象が生じたと判定する。たとえば、NFサービスプロデューサがNRFである場合、事象は、通知を受信するためにNFサービスコンシューマ200がサブスクライブした特定のサービスを提供するためにプロデューサNFが利用可能または利用不可能であるという、プロデューサNFからのメッセージの受信であり得る。この事象が生じると、NFサービスプロデューサ202は、サブスクリプションによって要求されたデータを含むHTTP PostポストメッセージをNFサービスコンシューマ200に送信する。通知中、サブスクリプションプロセス中に提供されたコールバックリファレンスが、Post要求をNFサービスプロデューサ202からNFサービスコンシューマ200に送信するために使用される。通知を送信する際、NFサービスプロデューサ202はHTTPクライアントとして機能しており、NFサービスコンシューマ200はHTTPサーバとして機能している。図3に示されたメッセージフロー図のライン2で、NFサービスコンシューマ200は、Postメッセージがサブスクリプションに関する予想される通知に対応したかどうかに依存して、200 OKまたは204 No Contentメッセージで通知に応答する。
【0041】
多数のNFサービスコンシューマと、単一のNFサービスコンシューマによって作成可能なサブスクリプションの数とを踏まえると、NFサービスプロデューサのリソースが圧倒されるおそれがある。このシナリオは図4に示される。図4を参照して、ライン1で、NFサービスコンシューマ200は、サブスクリプション要求1を含むPostメッセージをNFサービスプロデューサ202に送信する。NFサービスプロデューサ202はライン2で、サブスクリプション要求を含むPostメッセージを受信し、サブスクライブするノードを認証し、サブスクリプションの作成が成功したことを示す201 Createdメッセージで応答する。なお、NFサービスコンシューマ200によるサブスクリプションの数、NFサービスコンシューマ200のPLMN、サブスクリプションの総数などに関し、チェックはない。したがって、NFサービスプロデューサ202の処理リソース、メモリリソース、またはストレージリソースが枯渇するまで、NFサービスコンシューマ200は、NFサービスプロデューサ202へのN個のサブスクリプションを作成し続け得る。N番目のサブスクリプションはラインNによって示される。ラインN+1で、NFサービスプロデューサ202はN番目のサブスクリプションを作成し、201 Createdメッセージで応答する。
【0042】
ラインN+2で、NFサービスコンシューマ200は、サブスクリプションN+1を作成するための別のサブスクリプション要求をNFサービスプロデューサ202に送信する。NFサービスプロデューサ202の処理リソースは、この時点で圧倒される。したがって、NFサービスプロデューサ202はラインN+3でエラーメッセージを送信するか、または、NFサービスプロデューサ202が応答を生成するために十分な処理リソースを有していないためにNFサービスコンシューマ200に応答できない。
【0043】
図4に示されたシナリオは望ましくない。なぜなら、NFサービスプロデューサ202は、それがNFサービスコンシューマ200からの過剰なサブスクリプションに起因して十分なリソースを有していないために、新たなサブスクリプション要求を処理できず、さらには、既存のサブスクリプションを取り扱うことすらできないかもしれないためである。しかしながら、NFタイプ、PLMN、または他のパラメータに依存して、NFサービスコンシューマが複数のサブスクリプションを作成するよう許容されるいくつかのシナリオがあり得る。
【0044】
図5は、NFサービスプロデューサ202がオペレータ構成基準に基づいて許容サブスクリプションの数を制限する場合のメッセージの例示的な交換を示すメッセージフロー図である。図5を参照して、メッセージフロー図のステップ1で、NFサービスコンシューマ200はサブスクリプション要求をNFサービスプロデューサ202に送信する。NFサービスプロデューサ202は、サービス要求メッセージにおけるOAuthトークンまたはトランスポート層セキュリティ(transport layer security:TLS)証明書からのNFサービスコンシューマのアイデンティティ、ソースPLMN、NFタイプ、または他の好適なパラメータといったパラメータをサブスクリプション要求メッセージから抽出する。ステップ2で、NFサービスプロデューサは、サブスクリプション要求メッセージから抽出されたパラメータが、サブスクリプションデータベース500における複数のルールのうちのいずれかと一致するかどうかを判定する。メッセージパラメータがサブスクリプションデータベース500におけるルールのうちのいずれかと一致する場合、NFサービスプロデューサ202は、対応するルール(複数可)についてのサブスクリプションカウントをインクリメントし、サブスクリプションカウントがルールについてのサブスクリプションの許容数を上回るかどうかを判定する。図5に示された例示的なサブスクリプションデータベースにおいて、ルール基準は、NFタイプと、PLMNとNFタイプとの組合せと、NFサービスプロデューサ202が取り扱うことができるサブスクリプションの最大総数についてのワイルドカードルールとを含む。なお、例示的なデータベースにおいて、「NFタイプ」は、ネットワークオペレータによって特定されるであろうNFのタイプを表わす。たとえば、オペレータは、UDMからの許容サブスクリプションの最大数とは異なる、AMFのNFタイプについてのサブスクリプションの最大許容数を特定し得る。加えて、NFサービスプロデューサ202によって取り扱われているサブスクリプションの数の現在のカウントが、各ルールについて格納される。なお、メッセージからの基準が複数のルールと一致する場合、一実現化例では、一致するルールについてのサブスクリプションの最大許容数のうちのいずれかの1つを上回る場合に、新たなサブスクリプションが拒否され得る。
【0045】
一致するルールについてのサブスクリプションカウントが、ルールについて特定されたサブスクリプションの最大許容数を上回らない場合、NFサービスプロデューサ202は、ステップ4Aで示されるように、サブスクリプションの作成成功を示すサブスクリプション応答メッセージで応答し得る。上述のように、サブスクリプション応答は、201 Createdメッセージであり得る。一致するルールについてのサブスクリプションカウントが、ルールについてのサブスクリプションの最大許容数を上回る場合、NFサービスプロデューサ202は、ステップ4Bで示されるように、サブスクリプションの作成失敗を示す失敗応答メッセージを送信し得る。
【0046】
以下に示された表1は、サブスクリプションデータベース500に含まれ得るサブスクリプションカウントデータをより詳細に示す。
【0047】
【表1】
【0048】
表1では、各行は、新たなサブスクリプション要求に対して比較するためのルールに対応する。各ルールは、ルール基準と、許容サブスクリプションの対応する最大数と、各ルールと一致する、NFによって現在取り扱われているサブスクリプションの現在のサブスクリプションカウントとを含む。表1における第1のルールは、PLMN1については、サブスクリプションの最大許容数がMAX1であるということを示す。表1における第2のルールは、基準PLMN1およびNFTYPE1については、許容サブスクリプションの最大数がMAX2であるということを示す。表1における第3のルールは、PLMN1およびNFTYPE2については、許容サブスクリプションの最大数がMAX3であるということを示す。表1における第4のルールは、NFTYPE1についての許容サブスクリプションの最大数がMAX4であるということを示す。表1における第5のルールは、NFINSTANCEID1についての許容サブスクリプションの最大数がMAX5であるということを示す。
【0049】
サブスクリプションカウントも各ルールについて維持される。上述のように、サブスクリプションカウントとは、各ルールと一致する、NFによって取り扱われているサブスクリプションの現在の数である。表1では、NFINSTANCEID1およびNFTYPE1というNFタイプを有するNFからのサブスクリプション要求がPLMN1から受信された場合、ルール1、2、4、および5のサブスクリプションカウントが各々インクリメントされるであろう。なぜなら、サブスクリプション要求が、これらのルールの各々について特定された基準と一致するためである。一致するルールのうちのいずれかについてのサブスクリプションの最大数を上回る場合、一実現化例では、サブスクリプション要求は拒否されるであろう。
【0050】
図6は、一致するルールについての許容サブスクリプションの最大数を上回る場合にサブスクリプションを拒絶する際のNFサービスプロデューサ202の動作を示すメッセージフロー図である。図6を参照して、ステップ1で、NFサービスコンシューマ200は、サブスクリプション1についてのサブスクリプション要求を有するPostメッセージをNFサービスプロデューサ202に送信する。ステップ2で、NFサービスプロデューサ202は、図6の例ではNF1についてのNFインスタンスIDのみを含む一致するルールを探し出し、一致するルールについてのサブスクリプションカウントをインクリメントし、インクリメントされたサブスクリプションカウントが、許容サブスクリプションの最大数を上回ることを引き起こすかどうかを判定する。図6の例示的なルールでは、ルールについての許容サブスクリプションの最大数はNであり、ここでN>1である。したがって、サブスクリプション要求1についてのPostメッセージは、許容サブスクリプションの最大数を上回ることを引き起こさず、ステップ3で、NFサービスプロデューサ202はサブスクリプションを作成し、サブスクリプション1が作成されたことを示すメッセージをNFサービスコンシューマ200に送信する。
【0051】
NFサービスプロデューサ202は、NFサービスコンシューマ200から新たなサブスクリプションを受け付け続ける。図6のメッセージフローのステップNで、NFサービスコンシューマ200は、サブスクリプションNについてのPostメッセージをNFサービスプロデューサ202に送信する。この例では、サブスクリプションNは、NFサービスコンシューマ200から受信されたN番目のアクティブなサブスクリプションであると仮定される。ステップN+1で、NFサービスプロデューサ202は現在のサブスクリプションカウントをインクリメントし、それは、現在のカウントがNと等しいことをもたらす。したがって、サブスクリプションカウントが許容サブスクリプションの最大数と等しいため、ステップN+2で、NFサービスプロデューサ202はサブスクリプションを作成し、サブスクリプションNが作成されたことを示す201 CreatedメッセージでNFサービスコンシューマ200に応答する。
【0052】
ステップN+3で、NFサービスコンシューマ200は、(N+1)番目のサブスクリプションを作成するためにPostメッセージをNFサービスプロデューサ202に送信する。ステップN+4で、NFサービスプロデューサ202は現在のサブスクリプションカウントをインクリメントし、現在のサブスクリプションカウントが許容サブスクリプションの最大数を上回るかどうかを判定する。この例では、許容サブスクリプションの最大数はNであり、それは、インクリメントされた現在のサブスクリプションカウント(N+1)よりも小さい。したがって、NFサービスプロデューサ202は新たなサブスクリプションを作成せず、オプションで、ステップN+5によって示されるように、サブスクリプションの最大数を上回ったことを示すメッセージをNFサービスコンシューマ200に送信する。
【0053】
このため、図6のステップを使用して、ルールごとにサブスクリプションの最大許容数を維持することによって、NFサービスプロデューサ202は、NFサービスコンシューマからの有効なサービス拒否攻撃の可能性を減少させる。上に示された他の例では、PLMN、NFタイプ、または任意の他のオペレータ特定基準からのそのような攻撃の有効性を減少させることができる。本明細書に記載されている主題はまた、故意でないサービス拒否の可能性、すなわち、NFコンシューマが多過ぎる正規のサブスクリプション要求をNFサービスプロデューサに送信する可能性を減少させる。なお、データベース500における個々のルールについての許容サブスクリプションの最大数は、ネットワークオペレータの要件に従ったコンシューマNF間のリソースの相対的な割り当てを保証するように設定され得る。すべてのルールにわたる、または、ワイルドカード基準を有するデフォルトルールによって特定されるような、許容サブスクリプションの総数は、許容サブスクリプションの最大総数に達した場合に、NFサービスプロデューサ202が、NFサービスプロデューサ動作を取り扱うために利用可能である設計された量の確保された処理容量、ストレージ容量、および/またはメモリ容量を有し得るように設定され得る。
【0054】
図7は、本明細書に記載されているようにNFサブスクリプションポリシー化を行なうNF700のための例示的なアーキテクチャを示すブロック図である。なお、NFサービスプロデューサ202に関して上述されたサブスクリプションポリシー化機能性は、それに代えてSCPで実現され得る。なぜなら、SCPはサブスクリプション要求メッセージをルーティングし、よって、プロデューサNFについての許容サブスクリプションの最大数を上回らないことを保証するようにサブスクリプション要求メッセージがポリシー化される場所であり得るためである。したがって、図7では、NF700は、NFサービスプロデューサ202、または、メッセージをプロデューサNFへルーティングし、プロデューサNFに代わってサブスクリプションポリシー化を行なうSCPといった、プロデューサNFであり得る。図7では、NF700は、少なくとも1つのプロセッサ702と、メモリ704とを含む。NF700はまた、NF700がNFサービスプロデューサである場合にサブスクリプションに関連するデータを格納するNFサブスクリプションデータベース706を含み得る。NFサブスクリプションデータベース706はまた、(NF700がNFサービスプロデューサまたはSCPである場合に)表1に関して上述された最大許容サブスクリプションルールを格納し得る。NFが、コンシューマNFからサブスクリプション受信して処理するNFサービスプロデューサである場合、NF700はさらにNFサブスクリプションハンドラ708を含む。NF700がNFサービスプロデューサまたはSCPである場合、NF700は、NFサブスクリプションデータベース706にプロビジョニングされたルールについての許容サブスクリプションの最大数を上回らないことを保証するように上述のポリシー化を行なうNFサブスクリプションポリサー710を含み得る。
【0055】
NF700がSCPである場合、サブスクリプションデータベース706には、表1に示されるようなサブスクリプションポリシー化ルールが、SCPがサブスクリプション要求メッセージをルーティングする各NFサービスプロデューサについて、NFサービスプロデューサごとにプロビジョニングされ得る。複数のNFサービスプロデューサに代わってサブスクリプションをポリシー化するためにSCPなどの集中型ノードを使用することは、スケーラビリティおよび効率の観点から有利であり得る。サブスクリプション要求がサブスクリプションポリシー化に合格した場合、SCPとして機能するNF700は、要求されたサブスクリプションを作成できるプロデューサNFへサブスクリプション要求メッセージをルーティングし得る。サブスクリプション要求メッセージがサブスクリプションポリシー化に合格しなかった場合、NF700は、メッセージをプロデューサNFへルーティングする代わりにメッセージを破棄してもよく、それにより、要求されたサブスクリプションが確立されることを防止する。
【0056】
図8は、サブスクリプションルールに基づいてプロデューサNFまたはSCPでのサービス拒否攻撃を緩和するための例示的なプロセスを示すフローチャートである。図8を参照して、ステップ800で、プロセスは、第1のNFで、許容サブスクリプションの最大数を特定するルールと対応する基準とを含むNFサブスクリプションデータベースを維持するステップを含む。たとえば、第1のNFは、プロデューサNFまたはSCPであり得る。NFサブスクリプションデータベースは、NFインスタンスID、PLMN ID、NFタイプ、またはそれらの任意の組合せといった基準を特定し、各組の基準と一致する許容サブスクリプションの最大数を特定し得る。
【0057】
ステップ802で、プロセスは、第1のNFで、サブスクリプションを確立するために第2のNFからサブスクリプション要求を受信するステップを含む。たとえば、プロデューサNFまたはSCPは、サブスクリプション要求を受信したプロデューサNFのステータス、または、SCPの場合には、SCPがコンシューマNFに代わってメッセージをルーティングするプロデューサのステータスに関する更新の通知を受信するために、サブスクリプション要求を受信し得る。ステップ804で、プロセスは、第1のNFが、サブスクリプション要求はNFサブスクリプションデータベースにおける少なくとも1つのルールについての基準と一致すると判定するステップを含む。たとえば、プロデューサNFまたはSCPは、サブスクリプション要求メッセージから、NFインスタンスID、NFタイプ、PLMN IDなどといったパラメータを抽出し、これらのパラメータを使用してNFサブスクリプションデータベースにおいてルックアップを行ない得る。第1のNFは、メッセージから抽出されたパラメータをデータベースにおける各ルールについてのルール基準と比較し、1つ以上の一致するルールを識別し得る。
【0058】
ステップ806で、プロセスは、第1のNFが、一致するルールのサブスクリプションカウントをインクリメントするステップを含む。たとえば、プロデューサNFまたはSCPは、所与のルールについての基準と一致するメッセージをSCPがルーティングするプロデューサNF(複数可)によって維持されるアクティブなサブスクリプションの数を示す、各ルールについてのサブスクリプションカウントを維持し得る。新たなサブスクリプションについての要求が受信されると、プロデューサNFまたはSCPは、一致する各ルールについてのサブスクリプションカウントを更新またはインクリメントし得る。
【0059】
ステップ808で、プロセスは、第1のNFが、サブスクリプションカウントは一致するルールのうちの1つ以上についての許容サブスクリプションの最大数を上回ると判定するステップを含む。たとえば、プロデューサNFまたはSCPは、現在のサブスクリプション要求から抽出または導き出されたパラメータと一致するとして識別された各ルールについてのサブスクリプションカウントを更新し、ルールのうちの1つについての最大カウントを上回ると判定し得る。
【0060】
ステップ810で、プロセスは、サブスクリプションの作成を防止するステップを含む。たとえば、現在のサブスクリプション要求のためのサブスクリプションを作成することによって、ルールのうちのいずれかについての最大許容サブスクリプションカウントを上回るであろうとプロデューサNFまたはSCPが判定した場合、プロデューサNFまたはSCPは、第1のサブスクリプションが確立されることを防止し、サブスクリプション要求メッセージを除外または破棄し、オプションで、サブスクリプション要求を送信したコンシューマNFにエラーメッセージを送信し得る。
【0061】
このため、本明細書に記載されている主題は、プロデューサNFまたはSCPでの過剰なサブスクリプションの可能性を減少させることによって、サービス拒否攻撃を緩和する。上述のように、本明細書に記載されている主題は、コンシューマNFと通信するためにサブスクリプションを利用するあらゆるプロデューサNFに、または、サブスクリプション要求メッセージをプロデューサNFへルーティングするSCPによって、適用可能である。本明細書に記載されている主題が実現され得るプロデューサNFの例は、NRF、PCF、BSF、NSSF、UDR、UDM、またはNEFを含む。NRFまたはSCPなどの集中型ノードで本明細書に記載されている主題を実現することは、特に有利であると考えられる。なぜなら、そのようなノードは、それらが取り扱い得るサブスクリプションの数に起因して、サービス拒否攻撃についてのリスクが高い場合があるためである。
【0062】
以下の参考文献の各々の開示は、その全体がここに引用により援用される:
参考文献
1.3GPP TS 23.502 V16.7.0(2020-12)、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5G System:5GS)のための手順;ステージ2(リリース16)
2.3GPP TS 23.501 V16.7.0(2020-12)、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5GS)のためのシステムアーキテクチャ;ステージ2(リリース16)
3.3GPP TS 29.510 V17.0.0(2020-12)、第3世代パートナーシッププロジェクト;技術仕様書 グループコアネットワークおよび端末;5Gシステム;ネットワーク機能リポジトリサービス;ステージ3(リリース17)。
参考文献
1.3GPP TS 23.502 V16.7.0(2020-12)、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5G System:5GS)のための手順;ステージ2(リリース16)
2.3GPP TS 23.501 V16.7.0(2020-12)、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5GS)のためのシステムアーキテクチャ;ステージ2(リリース16)
3.3GPP TS 29.510 V17.0.0(2020-12)、第3世代パートナーシッププロジェクト;技術仕様書 グループコアネットワークおよび端末;5Gシステム;ネットワーク機能リポジトリサービス;ステージ3(リリース17)。
【0063】
本明細書に記載されている主題のさまざまな詳細は、本明細書に記載されている主題の範囲から逸脱することなく変更され得るということが理解されるであろう。さらに、本明細書に記載されている主題は、以下に述べられるような請求項によって定義されるため、上述の説明は、限定のためではなく、例示のためのものであるに過ぎない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【国際調査報告】