知財求人 - 知財ポータルサイト「IP Force」
▶ オラクル・インターナショナル・コーポレイションの特許一覧
特表2024-507577アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-02-20
(54)【発明の名称】アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
(51)【国際特許分類】
H04W 12/126 20210101AFI20240213BHJP
H04W 12/63 20210101ALI20240213BHJP
H04W 88/14 20090101ALI20240213BHJP
H04W 12/06 20210101ALI20240213BHJP
H04W 92/24 20090101ALI20240213BHJP
G06F 21/55 20130101ALI20240213BHJP
【FI】
H04W12/126
H04W12/63
H04W88/14
H04W12/06
H04W92/24
G06F21/55
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023551730
(86)(22)【出願日】2022-01-21
(85)【翻訳文提出日】2023-10-11
(86)【国際出願番号】 US2022013373
(87)【国際公開番号】W WO2022182448
(87)【国際公開日】2022-09-01
(31)【優先権主張番号】17/185,934
(32)【優先日】2021-02-25
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】ラジプット,ジャイ
(72)【発明者】
【氏名】マハランク,シャシキラン・バラチャンドラ
(72)【発明者】
【氏名】グランディ,ベンカタ・スリバツァ
(72)【発明者】
【氏名】ワドワ,プラティーク
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA33
5K067DD20
5K067EE16
5K067HH22
5K067HH23
(57)【要約】
AMF位置サービスを利用する位置追跡攻撃およびDoS攻撃を緩和するための方法は、NFで、UEのHPLMNから、認証応答メッセージを受信するステップを含む。方法はさらに、NFが、認証応答メッセージから、UEのためのサブスクリプション識別子および認証結果の指標を抽出するステップを含む。方法はさらに、NFが、AMF位置サービス検証データベースに、UEのためのサブスクリプション識別子および認証結果の指標を格納するステップを含む。方法はさらに、NFが、AMF位置サービスメッセージを受信するステップと、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために、AMF位置サービスメッセージから抽出されたサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップを含む。方法はさらに、位置追跡攻撃またはDoS攻撃を防止するステップを含む。
【特許請求の範囲】
【請求項1】
アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(DoS)攻撃を緩和するための方法であって、前記方法は、ネットワーク機能(NF)で、ユーザ機器(UE)のホームパブリックランドモバイルネットワーク(HPLMN)から、認証応答メッセージを受信するステップと、
前記NFが、前記認証応答メッセージから、前記UEのためのサブスクリプション識別子および認証結果の指標を抽出するステップと、
前記NFが、AMF位置サービス検証データベースに、前記UEのための前記サブスクリプション識別子および前記認証結果の前記指標を格納するステップと、
前記NFが、AMF位置サービスメッセージを受信するステップと、
前記NFが、前記AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために、前記AMF位置サービスメッセージから抽出されたサブスクリプション識別子および前記AMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップと、
前記AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類することに応答して、前記位置追跡攻撃またはDoS攻撃を防止するステップとを含む、方法。
【請求項2】
前記NFは、セキュリティエッジ保護プロキシ(SEPP)を含む、請求項1に記載の方法。
【請求項3】
前記SEPPは、前記UEの訪問先SEPPを含む、請求項2に記載の方法。
【請求項4】
認証応答メッセージを受信するステップは、認証結果パラメータとサブスクリプション永久識別子(SUPI)とを含むNausf_UEAuthenticationメッセージを受信するステップを含む、先行する請求項のいずれか1項に記載の方法。
【請求項5】
前記サブスクリプション識別子および前記認証結果の前記指標を格納するステップは、前記SUPIおよび前記認証結果パラメータの値を格納するステップを含む、請求項4に記載の方法。
【請求項6】
前記AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として識別するために、前記AMF位置サービスメッセージから抽出された前記サブスクリプション識別子および前記AMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップは、前記AMF位置サービスメッセージからSUPIを抽出するステップと、
前記AMF位置サービスメッセージのソースPLMNが、前記AMF位置サービスメッセージから抽出された前記SUPIのホームPLMNと一致すると判定するステップと、
前記SUPIを使用して前記AMF位置サービス検証データベースにおいてルックアップを行なうステップと、
前記AMF位置サービス検証データベースにおいて前記SUPIに対応するレコードを探し出せないこと、または、前記AMF位置サービス検証データベースにおいて前記SUPIに対応するレコードを探し出し、前記レコードが、前記UEの認証が成功しなかったことを示す認証結果パラメータの値を含むと判定することに応答して、前記AMF位置サービスメッセージをDoS攻撃として分類するステップとを含む、請求項5に記載の方法。
【請求項7】
前記AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために、前記AMF位置サービスメッセージからのサブスクリプション識別子および前記AMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップは、前記AMF位置サービスメッセージからサブスクリプション永久識別子(SUPI)を抽出するステップと、
前記SUPIからホームPLMNを識別するステップと、
前記AMF位置サービスメッセージのソースPLMNを判定するステップと、
前記SUPIから識別された前記ホームPLMNが前記AMF位置サービスメッセージの前記ソースPLMNと一致しないと判定することに応答して、前記AMF位置サービスメッセージを位置追跡攻撃として分類するステップとを含む、請求項1に記載の方法。
【請求項8】
前記AMF位置サービスメッセージのソースPLMNを判定するステップは、前記AMF位置サービスメッセージのソースアドレスまたはソーストランスポート層セキュリティ(TLS)証明書から前記ソースPLMNを判定するステップを含む、請求項7に記載の方法。
【請求項9】
AMF位置サービスメッセージを受信するステップは、Namf_Locationサービスメッセージを受信するステップを含む、先行する請求項のいずれか1項に記載の方法。
【請求項10】
前記Namf_Locationサービスメッセージは、位置決め情報提供サービス動作識別子、イベント通知サービス動作識別子、および、位置情報提供サービス動作識別子のうちの1つを含む、請求項9に記載の方法。
【請求項11】
アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびDoS攻撃を緩和するためのシステムであって、前記システムは、少なくとも1つのプロセッサとメモリとを含むネットワーク機能(NF)と、
前記メモリで具現化されたAMF位置サービス検証データベースと、
ユーザ機器(UE)のホームパブリックランドモバイルネットワーク(HPLMN)から認証応答メッセージを受信し、前記認証応答メッセージから前記UEのためのサブスクリプション識別子および認証結果の指標を抽出し、前記NFが前記AMF位置サービス検証データベースに前記UEのための前記サブスクリプション識別子および前記認証結果の前記指標を格納するために、前記少なくとも1つのプロセッサによって実現された認証結果収集器と、
AMF位置サービスメッセージを受信し、前記AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために前記AMF位置サービスメッセージから抽出されたサブスクリプション識別子および前記AMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用し、前記AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類することに応答して前記位置追跡攻撃を防止するために、前記少なくとも1つのプロセッサによって実現されたAMF位置サービス検証器とを含む、システム。
【請求項12】
前記NFは、セキュリティエッジ保護プロキシ(SEPP)を含む、請求項11に記載のシステム。
【請求項13】
前記SEPPは、前記UEの訪問先SEPPを含む、請求項12に記載のシステム。
【請求項14】
前記認証応答メッセージは、認証結果パラメータとサブスクリプション永久識別子(SUPI)とを含むNausf_UEAuthenticationメッセージを含む、請求項11~13のいずれか1項に記載のシステム。
【請求項15】
前記サブスクリプション識別子を格納することは前記SUPIを含み、前記認証結果の前記指標は前記認証結果パラメータの値を含む、請求項14に記載のシステム。
【請求項16】
前記AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として識別するために、前記AMF位置サービスメッセージから抽出された前記サブスクリプション識別子および前記AMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用する際、前記AMF位置サービス検証器は、前記AMF位置サービスメッセージからSUPIを抽出し、
前記AMF位置サービスメッセージのソースPLMNが、前記AMF位置サービスメッセージから抽出された前記SUPIのホームPLMNと一致すると判定し、
前記SUPIを使用して前記AMF位置サービス検証データベースにおいてルックアップを行ない、
前記AMF位置サービス検証データベースにおいて前記SUPIに対応するレコードを探し出せないこと、または、前記AMF位置サービス検証データベースにおいて前記SUPIに対応するレコードを探し出し、前記レコードが、前記UEの認証が成功しなかったことを示す認証結果パラメータの値を含むと判定することに応答して、前記AMF位置サービスメッセージをDoS攻撃として分類する
ように構成される、請求項15に記載のシステム。
【請求項17】
前記AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために、前記AMF位置サービスメッセージからのサブスクリプション識別子および前記AMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用する際、前記AMF位置サービス検証器は、前記AMF位置サービスメッセージからサブスクリプション永久識別子(SUPI)を抽出し、
前記AMF位置サービスメッセージから抽出された前記SUPIからホームPLMNを識別し、
前記AMF位置サービスメッセージのソースPLMNを判定し、
前記SUPIから識別された前記ホームPLMNが前記AMF位置サービスメッセージの前記ソースPLMNと一致しないと判定することに応答して、前記AMF位置サービスメッセージを位置追跡攻撃として分類する
ように構成される、請求項11に記載のシステム。
【請求項18】
前記AMF位置サービス検証器は、前記AMF位置サービスメッセージのソースPLMNを、前記AMF位置サービスメッセージのソースアドレスまたはソーストランスポート層セキュリティ(TLS)証明書から前記ソースPLMNを判定することによって、判定するように構成される、請求項17に記載のシステム。
【請求項19】
前記AMF位置サービスメッセージは、位置決め情報提供サービス動作識別子、イベント通知サービス動作識別子、および、位置情報提供サービス動作識別子のうちの1つを含むNamf_Locationサービスメッセージを含む、請求項11~18のいずれか1項に記載のシステム。
【請求項20】
コンピュータのプロセッサによって実行されると複数のステップを行なうように前記コンピュータを制御する実行可能命令が格納された、非一時的コンピュータ読取可能媒体であって、前記複数のステップは、ネットワーク機能(NF)で、ユーザ機器(UE)のホームパブリックランドモバイルネットワーク(HPLMN)から、認証応答メッセージを受信するステップと、
前記NFが、前記認証応答メッセージから、前記UEのためのサブスクリプション識別子および認証結果の指標を抽出するステップと、
前記NFが、アクセスおよびモビリティ管理機能(AMF)位置サービス検証データベースに、前記UEのための前記サブスクリプション識別子および前記認証結果の前記指標を格納するステップと、
前記NFが、AMF位置サービスメッセージを受信するステップと、
前記NFが、前記AMF位置サービスメッセージを位置追跡攻撃またはサービス妨害(DoS)攻撃として分類するために、前記AMF位置サービスメッセージから抽出されたサブスクリプション識別子および前記AMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップと、
前記AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類することに応答して、前記位置追跡攻撃またはDoS攻撃を防止するステップとを含む、非一時的コンピュータ読取可能媒体。
【発明の詳細な説明】
【技術分野】
【0001】
優先権主張
本願は、2021年2月25日に出願された米国特許出願連続番号第17/185,934号の優先権利益を主張する。当該特許出願の開示はその全体がここに引用により援用される。
本願は、2021年2月25日に出願された米国特許出願連続番号第17/185,934号の優先権利益を主張する。当該特許出願の開示はその全体がここに引用により援用される。
【0002】
技術分野
本明細書に記載されている主題は、ネットワークセキュリティに関する。より特定的には、本明細書に記載されている主題は、アクセスおよびモビリティ管理機能(access and mobility management function:AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(denial of service:DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。
本明細書に記載されている主題は、ネットワークセキュリティに関する。より特定的には、本明細書に記載されている主題は、アクセスおよびモビリティ管理機能(access and mobility management function:AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(denial of service:DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に関する。
【背景技術】
【0003】
背景
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(network function:NF)、またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNF、またはNFサービスコンシューマと呼ばれる。ネットワーク機能は、当該ネットワーク機能がサービスを消費しているか、生成しているか、または、消費および生成しているかによって、プロデューサNF、コンシューマNF、またはそれら双方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、本明細書では交換可能に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、本明細書では交換可能に使用される。
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(network function:NF)、またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNF、またはNFサービスコンシューマと呼ばれる。ネットワーク機能は、当該ネットワーク機能がサービスを消費しているか、生成しているか、または、消費および生成しているかによって、プロデューサNF、コンシューマNF、またはそれら双方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、本明細書では交換可能に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、本明細書では交換可能に使用される。
【0004】
所与のプロデューサNFは、多くのサービスエンドポイントを有し得る。サービスエンドポイントとは、プロデューサNFによってホストされる1つ以上のNFインスタンスのための接点である。サービスエンドポイントは、プロデューサNFをホストするネットワークノード上のインターネットプロトコル(Internet protocol:IP)アドレスおよびポート番号または完全修飾ドメイン名(IPアドレスとポート番号とに分解する)の組合せである。NFインスタンスとは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは2つ以上のNFインスタンスを含み得る。なお、複数のNFインスタンスが同じサービスエンドポイントを共有することができる。
【0005】
プロデューサNFは、ネットワーク機能リポジトリ機能(network function repository function:NRF)に登録する。NRFは、各NFインスタンスによってサポートされるサービスを識別する、利用可能なNFインスタンスのサービスプロファイルを維持する。「サービスプロファイル」および「NFプロファイル」という用語は、本明細書では交換可能に使用される。コンシューマNFは、NRFに登録したプロデューサNFインスタンスについての情報の受信をサブスクライブすることができる。
【0006】
コンシューマNFに加えて、NFサービスインスタンスについての情報の受信をサブスクライブすることができる別のタイプのネットワークノードは、サービス通信プロキシ(service communication proxy:SCP)である。SCPは、NRFにサブスクライブし、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFはサービス通信プロキシに接続し、サービス通信プロキシは、要求されたサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを負荷分散するか、または、トラフィックを宛先プロデューサNFインスタンスへ直接ルーティングする。
【0007】
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードまたはネットワークノード群の他の例は、5Gサービスメッシュにおけるセキュリティエッジ保護プロキシ(security edge protection proxy:SEPP)、サービスゲートウェイ、およびノードを含む。SEPPとは、異なる5Gパブリックランドモバイルネットワーク(public land mobile network:PLMN)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。そのため、SEPPは、PLMN間で送信されるすべてのアプリケーションプログラミングインターフェイス(application programming interface:API)メッセージのために、メッセージフィルタリング、ポリシー化、およびトポロジ隠蔽を行なう。
【発明の概要】
【発明が解決しようとする課題】
【0008】
5G通信ネットワークにおける1つの問題は、無認可のエンティティが、サブスクライバに関する位置情報を取得するためにAMF位置サービスを使用するおそれがあるということである。3GPP(登録商標)TS 29.518はNamf_Locationサービスを定義しており、それは、NFがターゲットUEの地理的位置情報および位置決め情報の受信を要求またはサブスクライブすることを可能にする。Namf_Locationサービスは典型的には、UEの現在位置を判定するために、ゲートウェイモバイル位置センター(gateway mobile location center:GMLC)およびユーザデータ管理(user data management:UDM)といった、UEのホームネットワークにおけるエンティティによって使用される。しかしながら、Namf_Locationサービスでの1つの問題は、このサービスのためのリソースオブジェクトレベル認可がないということである。したがって、UEのホームネットワーク外のエンティティを含む無認可のエンティティが、UEの位置を無認可で取得するためにNamf_Locationサービスを使用するおそれがある。Namf_Locationサービスのそのような無認可の使用は、本明細書では位置追跡攻撃と呼ばれる。同様に、UEのホームネットワーク外の無認可のエンティティはまた、無認可の位置サービス要求メッセージでAMFを圧倒するためにNamf_Locationサービスを使用するおそれがある。このタイプの攻撃は、サービス妨害(DoS)攻撃と呼ばれる。
【0009】
UEの位置を無認可で提供することは望ましくないため、AMF位置サービスを利用する位置追跡攻撃およびDoS攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体に対する要望が存在する。
【課題を解決するための手段】
【0010】
概要
AMF位置サービスを利用する位置追跡攻撃およびDoS攻撃を緩和するための方法は、ネットワーク機能(NF)で、ユーザ機器(user equipment:UE)のホームパブリックランドモバイルネットワーク(home public land mobile network:HPLMN)から、認証応答メッセージを受信するステップを含む。方法はさらに、NFが、認証応答メッセージから、UEのためのサブスクリプション識別子および認証結果の指標を抽出するステップを含む。方法はさらに、NFが、AMF位置サービス検証データベースに、UEのためのサブスクリプション識別子および認証結果の指標を格納するステップを含む。方法はさらに、NFが、AMF位置サービスメッセージを受信するステップを含む。方法はさらに、NFが、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために、AMF位置サービスメッセージから抽出されたサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップを含む。方法はさらに、AMF位置サービスメッセージを位置追跡攻撃として分類することに応答して、位置追跡攻撃またはDoS攻撃を防止するステップを含む。
AMF位置サービスを利用する位置追跡攻撃およびDoS攻撃を緩和するための方法は、ネットワーク機能(NF)で、ユーザ機器(user equipment:UE)のホームパブリックランドモバイルネットワーク(home public land mobile network:HPLMN)から、認証応答メッセージを受信するステップを含む。方法はさらに、NFが、認証応答メッセージから、UEのためのサブスクリプション識別子および認証結果の指標を抽出するステップを含む。方法はさらに、NFが、AMF位置サービス検証データベースに、UEのためのサブスクリプション識別子および認証結果の指標を格納するステップを含む。方法はさらに、NFが、AMF位置サービスメッセージを受信するステップを含む。方法はさらに、NFが、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために、AMF位置サービスメッセージから抽出されたサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップを含む。方法はさらに、AMF位置サービスメッセージを位置追跡攻撃として分類することに応答して、位置追跡攻撃またはDoS攻撃を防止するステップを含む。
【0011】
本明細書に記載されている主題の別の局面によれば、NFは、セキュリティエッジ保護プロキシ(SEPP)を含む。
【0012】
本明細書に記載されている主題のさらに別の局面によれば、SEPPは、UEの訪問先SEPPを含む。
【0013】
本明細書に記載されている主題のさらに別の局面によれば、認証応答メッセージを受信するステップは、認証結果パラメータとサブスクリプション永久識別子(subscription permanent identifier:SUPI)とを含むNausf_UEAuthenticationメッセージを受信するステップを含む。
【0014】
本明細書に記載されている主題のさらに別の局面によれば、サブスクリプション識別子および認証結果の指標を格納するステップは、SUPIおよび認証結果パラメータの値を格納するステップを含む。
【0015】
本明細書に記載されている主題のさらに別の局面によれば、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として識別するために、AMF位置サービスメッセージから抽出されたサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップは、AMF位置サービスメッセージからSUPIを抽出するステップと、AMF位置サービスメッセージのソースPLMNが、AMF位置サービスメッセージから抽出されたSUPIのホームPLMNと一致すると判定するステップと、SUPIを使用してAMF位置サービス検証データベースにおいてルックアップを行なうステップと、AMF位置サービス検証データベースにおいてSUPIに対応するレコードを探し出せないこと、または、AMF位置サービス検証データベースにおいてSUPIに対応するレコードを探し出し、レコードが、UEの認証が成功しなかったことを示す認証結果パラメータの値を含むと判定することに応答して、AMF位置サービスメッセージをDoS攻撃として分類するステップとを含む。
【0016】
本明細書に記載されている主題のさらに別の局面によれば、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために、AMF位置サービスメッセージからのサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップは、AMF位置サービスメッセージからサブスクリプション永久識別子(SUPI)を抽出するステップと、SUPIからホームPLMNを識別するステップと、AMF位置サービスメッセージのソースPLMNを判定するステップと、SUPIから識別されたホームPLMNがAMF位置サービスメッセージのソースPLMNと一致しないと判定することに応答して、AMF位置サービスメッセージを位置追跡攻撃として分類するステップとを含む。
【0017】
本明細書に記載されている主題の別の局面によれば、AMF位置サービスメッセージのソースPLMNを判定するステップは、AMF位置サービスメッセージのソースアドレスまたはソーストランスポート層セキュリティ(transport layer security:TLS)証明書からソースPLMNを判定するステップを含む。
【0018】
本明細書に記載されている主題のさらに別の局面によれば、AMF位置サービスメッセージを受信するステップは、Namf_Locationサービスメッセージを受信するステップを含む。
【0019】
本明細書に記載されている主題のさらに別の局面によれば、Namf_Locationサービスメッセージは、位置決め情報提供(ProvidePositioningInfo)サービス動作識別子、イベント通知(EventNotify)サービス動作識別子、および、位置情報提供(ProvideLocationInfo)サービス動作識別子のうちの1つを含む。
【0020】
本明細書に記載されている主題のさらに別の局面によれば、AMF位置サービスを利用する位置追跡攻撃およびDoS攻撃を緩和するためのシステムが提供される。システムは、少なくとも1つのプロセッサとメモリとを含むネットワーク機能(NF)を含む。システムはさらに、メモリで具現化されたAMF位置サービス検証データベースを含む。システムはさらに、ユーザ機器(UE)のホームパブリックランドモバイルネットワーク(HPLMN)から認証応答メッセージを受信し、認証応答メッセージからUEのためのサブスクリプション識別子および認証結果の指標を抽出し、NFがAMF位置サービス検証データベースにUEのためのサブスクリプション識別子および認証結果の指標を格納するために、少なくとも1つのプロセッサによって実現された認証結果収集器を含む。システムはさらに、AMF位置サービスメッセージを受信し、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するためにAMF位置サービスメッセージから抽出されたサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用し、AMF位置サービスメッセージを位置追跡攻撃として分類することに応答して位置追跡攻撃またはDoS攻撃を防止するために、少なくとも1つのプロセッサによって実現されたAMF位置サービス検証器を含む。
【0021】
本明細書に記載されている主題のさらに別の局面によれば、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として識別するために、AMF位置サービスメッセージから抽出されたサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用する際、AMF位置サービス検証器は、AMF位置サービスメッセージからSUPIを抽出し、AMF位置サービスメッセージのソースPLMNが、AMF位置サービスメッセージから抽出されたSUPIのホームPLMNと一致すると判定し、SUPIを使用してAMF位置サービス検証データベースにおいてルックアップを行ない、AMF位置サービス検証データベースにおいてSUPIに対応するレコードを探し出せないこと、または、AMF位置サービス検証データベースにおいてSUPIに対応するレコードを探し出し、レコードが、UEの認証が成功しなかったことを示す認証結果パラメータの値を含むと判定することに応答して、AMF位置サービスメッセージをDoS攻撃として分類するように構成される。
【0022】
本明細書に記載されている主題のさらに別の局面によれば、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために、AMF位置サービスメッセージからのサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用する際、AMF位置サービス検証器は、AMF位置サービスメッセージからサブスクリプション永久識別子(SUPI)を抽出し、AMF位置サービスメッセージから抽出されたSUPIからホームPLMNを識別し、AMF位置サービスメッセージのソースPLMNを判定し、SUPIから識別されたホームPLMNがAMF位置サービスメッセージのソースPLMNと一致しないと判定することに応答して、AMF位置サービスメッセージを位置追跡攻撃として分類するように構成される。
【0023】
本明細書に記載されている主題の別の局面によれば、AMF位置サービス検証器は、AMF位置サービスメッセージのソースPLMNを、AMF位置サービスメッセージのソースアドレスまたはソーストランスポート層セキュリティ(TLS)証明書からソースPLMNを判定することによって、判定するように構成される。
【0024】
本明細書に記載されている主題のさらに別の局面によれば、コンピュータのプロセッサによって実行されると複数のステップを行なうようにコンピュータを制御する実行可能命令が格納された、非一時的コンピュータ読取可能媒体が提供される。複数のステップは、ネットワーク機能(NF)で、ユーザ機器(UE)のホームパブリックランドモバイルネットワーク(HPLMN)から、認証応答メッセージを受信するステップを含む。複数のステップはさらに、NFが、認証応答メッセージから、UEのためのサブスクリプション識別子および認証結果の指標を抽出するステップを含む。複数のステップはさらに、NFが、AMF位置サービス検証データベースに、UEのためのサブスクリプション識別子および認証結果の指標を格納するステップを含む。複数のステップはさらに、NFが、AMF位置サービスメッセージを受信するステップを含む。複数のステップはさらに、NFが、AMF位置サービスメッセージを位置追跡攻撃として分類するために、AMF位置サービスメッセージから抽出されたサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用するステップを含む。複数のステップはさらに、AMF位置サービスメッセージを位置追跡攻撃として分類することに応答して、位置追跡攻撃を防止するステップを含む。
【0025】
本明細書に記載されている主題は、ハードウェアおよび/またはファームウェアと組合されたソフトウェアで実現され得る。たとえば、本明細書に記載されている主題は、プロセッサによって実行されるソフトウェアで実現され得る。例示的な一実現化例では、本明細書に記載されている主題は、コンピュータのプロセッサによって実行されると複数のステップを行なうようにコンピュータを制御するコンピュータ実行可能命令が格納された非一時的コンピュータ読取可能媒体を使用して実現され得る。本明細書に記載されている主題を実現するために好適である例示的なコンピュータ読取可能媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイス、および特定用途向け集積回路といった、非一時的コンピュータ読取可能媒体を含む。加えて、本明細書に記載されている主題を実現するコンピュータ読取可能媒体は、単一のデバイスまたはコンピューティングプラットフォーム上に位置していてもよく、もしくは、複数のデバイスまたはコンピューティングプラットフォーム間で分散されていてもよい。
【図面の簡単な説明】
【0026】
【図1】例示的な5Gシステムネットワークアーキテクチャを示すネットワーク図である。
【図2】Namf_Locationサービスの位置決め情報提供サービス動作のために交換される例示的なメッセージを示すメッセージフロー図である。
【図3】Namf_Locationサービスの位置決め情報提供サービス動作および位置情報提供サービス動作を使用して取得され得る例示的なUEの地理的位置情報を示す図である。
【図4】Namf_Locationサービスへの正当なアクセスのために、および、位置追跡攻撃のために交換される例示的なメッセージを示すメッセージフロー図である。
【図5】Nausf認証手順からUEサブスクリプション識別情報および認証結果情報を取得して格納する際に、交換される例示的なメッセージと、訪問先SEPPによって行なわれるステップとを示すメッセージフロー図である。
【図6】AMF位置サービス要求メッセージを検証するための、および、AMF位置サービスを利用する位置追跡攻撃およびDoS攻撃を防止するための、格納されたUEサブスクリプション識別情報および認証結果情報の使用を示すメッセージフロー図である。
【図7】本明細書に記載されている方法論を使用してAMF位置サービスメッセージを検証することができるSEPPのための例示的なアーキテクチャを示すブロック図である。
【図8】AMF位置サービスを利用する位置追跡攻撃およびDoS攻撃を緩和するための例示的なプロセスを示すフローチャートである。
【発明を実施するための形態】
【0027】
詳細な説明
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホームパブリックランドモバイルネットワーク(HPLMN)に位置し得るNRF100とSCP101とを含む。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスをサブスクライブしてその登録を通知されることを可能にし得る。SCP101はまた、サービス発見およびプロデューサNFインスタンスの選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの接続の負荷分散を行ない得る。
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホームパブリックランドモバイルネットワーク(HPLMN)に位置し得るNRF100とSCP101とを含む。上述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスをサブスクライブしてその登録を通知されることを可能にし得る。SCP101はまた、サービス発見およびプロデューサNFインスタンスの選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの接続の負荷分散を行ない得る。
【0028】
NRF100は、プロデューサNFインスタンスのNFプロファイルまたはサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、NRF100からプロデューサNFインスタンスのNFプロファイルまたはサービスプロファイルを取得しなければならない。NFプロファイルまたはサービスプロファイルは、第3世代パートナーシッププロジェクト(Third Generation Partnership Project:3GPP)技術仕様書(Technical Specification:TS)29.510で定義されたJavaScript(登録商標)オブジェクト表記法(JavaScript object notation:JSON)データ構造である。NFプロファイルまたはサービスプロファイルの定義は、完全修飾ドメイン名(fully qualified domain name:FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。
【0029】
図1では、ネットワーク機能はいずれも、それらがサービスを要求しているか、提供しているか、または、要求および提供しているかによって、コンシューマNF、プロデューサNF、またはそれら双方であり得る。図示された例では、NFは、ネットワークにおいてポリシー関連動作を行なうPCF102と、ユーザデータを管理するUDM機能104と、アプリケーションサービスを提供するアプリケーション機能(application function:AF)106とを含む。
【0030】
図1に示されるNFはさらに、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(session management function:SMF)108を含む。AMF110は、4Gネットワークにおいてモビリティ管理エンティティ(mobility management entity:MME)によって行なわれるものと同様のモビリティ管理動作を行なう。認証サーバ機能(authentication server function:AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114などのユーザ機器(UE)のための認証サービスを行なう。
【0031】
ネットワークスライス選択機能(network slice selection function:NSSF)116は、ネットワークスライスに関連付けられた特定のネットワーク能力および特性にアクセスしようとするデバイスのためのネットワークスライシングサービスを提供する。ネットワーク公開機能(network exposure function:NEF)118は、ネットワークに接続されたインターネット・オブ・シングス(Internet of things:IoT)デバイスおよび他のUEについての情報を取得しようとするアプリケーション機能のためのアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス能力公開機能(service capability exposure function:SCEF)と同様の機能を行なう。
【0032】
無線アクセスネットワーク(radio access network:RAN)120は、無線リンクを介してユーザ機器(UE)114をネットワークに接続する。無線アクセスネットワーク120は、gノードB(gNB)(図1に図示せず)または他の無線アクセスポイントを使用してアクセスされ得る。ユーザプレーン機能(user plane function:UPF)122は、ユーザプレーンサービスのためのさまざまなプロキシ機能性をサポートすることができる。そのようなプロキシ機能性の一例は、マルチパス伝送制御プロトコル(multipath transmission control protocol:MPTCP)プロキシ機能性である。UPF122は性能測定機能性もサポートすることができ、それは、ネットワーク性能測定値を取得するためにUE114によって使用され得る。図1にはデータネットワーク(data network:DN)124も図示されており、それを通してUEは、インターネットサービスなどのデータネットワークサービスにアクセスする。
【0033】
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNを出るトラフィックのためのトポロジ隠蔽を行なう。SEPP126は、外部PLMNのためのセキュリティを管理する、当該外部PLMNにおけるSEPPと通信し得る。このため、異なるPLMNにおけるNF間のトラフィックは、ホームPLMNのためのSEPP機能と外部PLMNのためのSEPP機能という2つのSEPP機能を横断し得る。
【0034】
上述のように、5G通信ネットワークのための3GPPネットワークアーキテクチャでの1つの問題は、3GPP TS 29.518で定義されたNamf_Locationサービスが、UEについての位置情報を提供する前に、リソースオブジェクトレベル認可を必要としないということである。以下に示される表1は、UEに関する位置情報を取得するために、または、AMFに対するサービス妨害攻撃を開始するために、Namf_Locationサービスにおいて使用され得るさまざまなタイプのメッセージを示す。
【0035】
【表1】
【0036】
表1では、Namf_Locationサービスは、位置決め情報提供サービス動作と、イベント通知サービス動作と、位置情報提供サービス動作と、位置キャンセル(CancelLocation)サービス動作とを含む。位置決め情報提供情報サービス動作は、UEの現在のまたは延期された(deferred)測地的なおよびオプションで都市の(civic)位置を要求するために、ゲートウェイモバイル位置センター(GMLC)といったNFサービスコンシューマによって使用される。この動作は、位置管理機能(location management function:LMF)向けのサービスを呼び出すようにAMFをトリガする。イベント通知サービス動作は、セキュリティセッションまたは延期された位置に関連するUE位置関連イベント情報、すなわち、緊急セッションの開始、ハンドオーバ、または終了、もしくは、延期された位置の完了または起動について、NFサービスコンシューマに通知する。位置情報提供サービス動作は、UDMなどのNFサービスコンシューマが、ターゲットUEのネットワーク提供位置情報(network provided location information:NPLI)を要求することを可能にする。位置キャンセルサービス動作は、定期的な位置またはイベントによってトリガされた位置を報告することをキャンセルするために、GMLCなどのNFサービスコンシューマによって呼び出される。
【0037】
表1に示されたサービス動作のすべては、UEに現在サービス提供しているAMFに要求かまたはサブスクライブメッセージを送信することによってトリガされる。図2は、位置決め情報提供サービスにおいて交換されるメッセージの一例を示す。図2を参照して、ライン1で、NFサービスコンシューマ200は、HTTP PostメッセージをAMF110に送信することによって位置決め情報提供サービスを呼び出す。HTTP Postメッセージは位置決め情報提供URIを含み、それは位置決め情報提供サービス動作を識別する。HTTP Postメッセージはまた、個々のUEコンテキストを含む。個々のUEコンテキストはUEコンテキストIDを含み、それはUEを識別する。一例では、個々のUEコンテキストはUEのサブスクリプション永久識別子(SUPI)から構成されるかまたは作られてもよく、それは、ネットワークにおけるUEのためのグローバル識別子である。
【0038】
位置決め情報提供サービス動作を含むpostメッセージに応答して、AMF110は、要求されたUE位置決め情報をAMF110が提供するステップ2A、UEのためのコンテンツが存在しないことをAMF110が示すステップ2B、または、要求されたサービス動作を呼び出す際に問題があったことをAMF110が示すステップ2Cで示されるように応答し得る。
【0039】
なお、Namf位置決め情報提供サービス動作の一部としての、NFサービスコンシューマ200の認証はない。上述の表1に列挙された他のNamf_Locationサービス動作のために、同様のメッセージが交換され得るが、それらのうちのいずれも、定義された認証機構を有していない。
【0040】
図3は、位置決め情報提供サービス動作および位置情報提供サービス動作からの出力の一例を示す。図3に示されるように、双方のサービス動作は、UEの地理的位置または座標を出力することができる。双方のサービス動作はまた、位置の時代(age)を出力することができ、それは、特定のUE位置が報告された時代または時間を示す。位置決め情報提供サービス動作の出力はまた、速度推定値を含み、それは、UEがどれくらい速く動いているかを示唆し得る。これらのサービス動作双方の出力は、UEの位置と、UEが特定のその位置にいる時間とを正確に特定するために使用され得るため、この情報への無認可のアクセスを防止することが望ましい。また、表1におけるどのメッセージも、AMFに対するDoS攻撃を実現するために使用されることを防止することが望ましい。
【0041】
図4は、Namf_Locationサービスへの正当なアクセスのために、および、位置追跡攻撃またはDoS攻撃のために交換される例示的なメッセージを示すメッセージフロー図である。図4を参照して、コンシューマNF200およびホームSEPP126Aは、UEのホームネットワークのコンポーネントである。訪問先SEPP126BおよびAMF110は、UEが現在ローミングしている訪問先ネットワークのコンポーネントである。攻撃者400は、ホームネットワークおよび訪問先ネットワーク双方の外部に位置する。しかしながら、本明細書に記載されている主題は、UEのホームネットワークおよび訪問先ネットワークの内部からの位置追跡攻撃を検出することもできる。
【0042】
図4に示されたメッセージフローのライン1で、コンシューマNF200はNamf_Location要求メッセージをH-SEPP126Aに送信する。ライン2で、H-SEPP126AはNamf_Locationサービス要求を、訪問先ネットワークに位置するV-SEPP126Bに転送する。ライン3で、V-SEPP126BはNamf_Locationサービス要求をAMF110に転送する。
【0043】
ライン4で、AMF110はNamf_Locationサービス応答をV-SEPP126Bに送信する。Namf_Locationサービス応答は、UEの要求された位置情報を含む。ライン5で、V-SEPP126BはNamf_Locationサービス応答をH-SEPP126Aに送信する。ライン6で、H-SEPP126Aは位置サービス応答を、データを要求したノードであるコンシューマNF200に転送する。
【0044】
ライン1~6は、UEのホームネットワークに位置するコンシューマNF200によるNamf_Locationサービスの正当な使用を示す。しかしながら、ライン7で、攻撃者によって制御され、正当なサービスユーザを装うコンシューマNF400が、Namf_Locationサービス要求メッセージをV-SEPP126Bに送信する。ライン8で、V-SEPP126BはNamf_Locationサービス要求をAMF110に転送する。AMF110は要求の認証を行なわず、ライン9で、Namf_Locationサービス応答メッセージにおいて、要求されたUE位置データで応答する。
【0045】
ライン10で、V-SEPP126Bは、Namf_Locationサービス応答をコンシューマNF400に転送する。コンシューマNF400はサブスクライバに関する位置情報へのアクセスを有するため、コンシューマNF400はこの位置を犯罪者に報告するおそれがあり、犯罪者は位置情報を不正な目的のために使用するおそれがある。加えて、コンシューマNFは、DoS攻撃でAMF110のリソースを圧倒するために、AMF110への複数の無認可のNamf_Locationサービス要求メッセージを始動するおそれがある。
【0046】
図4に示されたものなどの位置追跡攻撃、および、Namf位置サービスを利用するDoS攻撃を緩和するかまたは防ぐために、SEPPなどのネットワーク機能は、AUSFからのUE認証要求から取得されたサブスクリプション識別情報および認証を格納し、サブスクリプション識別情報および認証結果情報を使用して、UEに関するAMF位置サービスメッセージを検証する。
【0047】
図5は、Nausf認証手順からUEサブスクリプション識別情報および認証結果情報を取得して格納する際に、交換される例示的なメッセージと、訪問先SEPPによって行なわれるステップとを示すメッセージフロー図である。図5を参照して、UEがAMFに登録すると、AMFは、メッセージフロー図のライン1によって示されるように、Nausf_UEAuthentication_Authenticate要求メッセージをUEのホームネットワークに送信する。Nausf_UEAuthentication_Authenticate要求メッセージは、暗号化されたサブスクリプション識別子(subscription concealed identifier:SUCI)と、UEが現在位置するサービス提供ネットワークのための識別子とを含む。メッセージフロー図のライン2で、V-SEPP126BはNausf_UEAuthentication_Authenticate要求メッセージをH-SEPP126Aに転送する。メッセージフロー図のライン3で、H-SEPP126AはNausf_UEAuthenticationメッセージをAUSF112に転送する。
【0048】
メッセージフロー図のライン4で、AUSF112は、Nausf_UEAuthentication_Authenticate要求を受信し、サービス提供ネットワークにおける要求元AMFが、Nausf_UEAuthentication_Authenticate要求におけるサービス提供ネットワーク名を使用する資格を与えられているかどうかを判定し、Nudm_UEAuthentication_Get要求メッセージをUDM104に送信する。Nudm_UEAuthentication_Get要求メッセージは、SUCIと、サービス提供ネットワーク名とを含む。
【0049】
Nudm_UEAuthentication_Get要求を受信すると、UDM104は、SUCIの暗号化を解除してSUPIを決定する。SUPIに基づいて、UDM104は認証方法を選択する。メッセージフロー図のライン5で、UDM104はNudm_UEAuthentication_Get応答メッセージをAUSF112に送信する。Nudm_UEAuthentication_Get応答メッセージは、選択された認証方法に従った認証挑戦情報を含む認証ベクトル(authentication vector:AV)を含む。Nudm_UEAuthentication_Get応答メッセージはまた、SUPIを含む。メッセージフロー図のライン6で、AUSF112は、認証ベクトルと認証コンテキストIDとを含むNausf_UEAuthentication_Authenticate応答メッセージを生成してH-SEPP126Aに送信する。メッセージフロー図のライン7で、H-SEPP126Aは、Nausf_UEAuthentication_Authenticate応答をV-SEPP126Bに転送する。ライン8で、V-SEPP126BはNausf_UEAuthentication_Authenticate応答をAMF110に転送する。
【0050】
AMF110は、認証ベクトルを含むNausf_UEAuthentication_Authenticate応答メッセージを受信し、認証挑戦情報を含む認証ベクトルとともに、認証要求メッセージをUEに送信する。UEは、認証挑戦情報に基づいて認証応答を計算する。あるタイプの認証では、認証応答は、セキュアハッシュアルゴリズムを使用してUEによって計算されたRes*値である。UEは、認証応答メッセージにおいてRes*値をAMF110に通信する。ライン9で、AMF110はNausf_UEAuthentication_Authenticate要求メッセージにおいてRes*値をV-SEPP126Bに転送する。ライン10で、V-SEPP126BはNausf_UEAuthentication_Authenticate要求メッセージをH-SEPP126Aに転送する。ライン11で、H-SEPP126AはNausf_UEAuthentication_Authenticate要求をAUSF112に転送する。ライン12で、AUSF112はNudm_UEAuthentication要求メッセージを策定してUDM104に送信する。ライン13で、UDM104は、Res*値に基づいてUEを認証し、認証結果パラメータとUEのSUPIとを含むNudm_UEAuthentication応答メッセージを送信することによってNudm_UEAuthentication要求メッセージに応答する。認証結果パラメータの値は、UEの認証が成功したか否かを示す。ライン14で、AUSF112は、認証結果とSUPIとを含むNausf_UEAuthentication応答を生成してH-SEPP126Aに送信することによって、Nudm_UEAuthentication応答に応答する。ライン15で、H-SEPP126AはNausf_UEAuthentication応答をV-SEPP126Bに転送する。
【0051】
単にNausf_UEAuthentication応答メッセージをAMF110に転送するのではなく、V-SEPP126Bは、Nausf_UEAuthentication応答から認証結果パラメータの値とSUPIとを抽出し、SUPIと認証結果パラメータの値とをAMF位置サービス検証データベースに格納する。ライン17で、V-SEPP126BはNausf_UEAuthentication応答メッセージをAMF110に転送する。
【0052】
V-SEPP126BがSUPIと認証結果とをいったん格納すると、このデータは、将来のAMF位置サービス要求およびサブスクライブメッセージを検証するために使用され得る。図6は、AMF位置サービスメッセージを検証するための、および、AMF位置サービスメッセージを利用する位置追跡攻撃またはDoS攻撃を防止するための、格納されたUEサブスクリプション識別情報および認証結果情報の使用を示すメッセージフロー図である。図6を参照して、ライン1で、ホームPLMNに位置するコンシューマNF200はAMF位置サービス要求メッセージをH-SEPP126Aに送信する。ライン2で、H-SEPP126AはAMF位置サービス要求をV-SEPP126Bに転送する。単にAMF位置サービス要求メッセージをAMF110に転送するのではなく、ステップ3で、V-SEPP126Bは、AMF位置サービス要求におけるソースPLMNをSUPIと照合し、SUPIのために格納された認証結果をチェックして、UEが認証されたかどうかを判定する。以下に示される表2は、AMF位置サービス要求メッセージに含まれ得るUEコンテンツテキスト識別情報の例を示す。
【0053】
【表2】
【0054】
表2は、3GPP TS 29.518の表6.4.3.2.2-1のコピーであり、それは、位置サービス要求メッセージで運ばれるUEコンテキストIDのためのリソースURI変数を特定する。表2に示されるように、UEコンテキストIDは、SUPIまたは永久機器識別子のいずれかを含む。SUPIについてのパターンは、3GPP TS 23.501で定義される。この例では、SUPIはAMF位置サービス要求メッセージに存在すると仮定される。3GPP TS 23.501の節5.9.2は、SUPIに関して下記を述べている:
「グローバル一意5Gサブスクリプション永久識別子(SUPI)は、5Gシステムにおける各サブスクライバに割り当てられ、UDM/UDRにプロビジョニングされるものとする。SUPIは3GPPシステム内でのみ使用され、そのプライバシーはTS 33.501[29]で特定される。
「グローバル一意5Gサブスクリプション永久識別子(SUPI)は、5Gシステムにおける各サブスクライバに割り当てられ、UDM/UDRにプロビジョニングされるものとする。SUPIは3GPPシステム内でのみ使用され、そのプライバシーはTS 33.501[29]で特定される。
【0055】
SUPIは、以下のものを含み得る:
- TS 23.003[19]で定義されるようなIMSI;または
- TS 22.261[2]で定義されるようなプライベートネットワークのために使用されるネットワーク固有識別子;
- TS 23.316[84]にさらに記載されるような、FN-BRGをサポートするために使用される、5GCオペレータのオペレータ識別子およびGLI;
- TS 23.316[84]にさらに記載されるような、FN-CRGおよび5G-CRGをサポートするために使用される、5GCオペレータのオペレータ識別子およびGCI。
- TS 23.003[19]で定義されるようなIMSI;または
- TS 22.261[2]で定義されるようなプライベートネットワークのために使用されるネットワーク固有識別子;
- TS 23.316[84]にさらに記載されるような、FN-BRGをサポートするために使用される、5GCオペレータのオペレータ識別子およびGLI;
- TS 23.316[84]にさらに記載されるような、FN-CRGおよび5G-CRGをサポートするために使用される、5GCオペレータのオペレータ識別子およびGCI。
【0056】
ネットワーク固有識別子を含むSUPIは、TS 23.003[19]で定義されるようなNAI RFC 7542[20]ベースのユーザIDを使用するネットワークアクセス識別子(Network Access Identifier:NAI)の形をとるものとする。
【0057】
UEが(たとえば登録手順の一部として)そのSUPIをネットワークに示す必要がある場合、UEは、TS 23.003[19]で定義されるように、暗号化された形でSUPIを提供する。
【0058】
ローミングシナリオを可能にするために、SUPIは、ホームネットワークのアドレス(たとえば、IMSIベースのSUPIの場合、MCCおよびMNC)を含むものとする。
【0059】
EPCと相互作用するために、3GPP UEに割り当てられたSUPIは、UEがIMSIをEPCに提示することを可能にするように常にIMSIに基づくものとする。」。
【0060】
3GPP TS 23.501からの文章において上述されたように、SUPIは、UEのためのグローバル一意識別子を含み、また、ホームネットワークまたはHPLMNのアドレスを含み得る。このため、図6のステップ3におけるAMF位置サービス要求メッセージの検証は、以下のように行なわれ得る:
1.AMF位置サービスメッセージからSUPIを抽出する;
2.AMF位置サービスメッセージのソースPLMNが、AMF位置サービスメッセージのSUPIにおいて特定されたホームPLMNと一致するかどうかを判定する。3GPP TS 23.501からの上述の抜粋において示されたように、SUPIはホームネットワークのアドレスを含み、それは、モバイルネットワークコード(mobile network code:MNC)およびモバイル国コード(mobile country code:MCC)の形をとり得る。これらのパラメータは、AMF位置サービスメッセージのソースPLMNのMNCおよびMCCと比較され得る。AMF位置サービスメッセージのソースPLMNは、メッセージのソースTLS証明書またはソースアドレス(たとえば、ソースIPアドレスまたはソースドメイン)から識別され得る。AMF位置サービス検証データベースは、ソースIPアドレスまたはドメインを既知のネットワークのMNCおよびMCCにマッピングするテーブルを含み得る。このため、メッセージから抽出されたソースアドレスは、ソースネットワークのMNCおよびMCCを識別するために使用されてもよく、これらのパラメータは、SUPIから抽出されたMNCおよびMCCと比較されてもよい。TLS証明書からのソースPLMNが使用される場合、AMF位置サービスメッセージから取得されたTLS証明書からのソースPLMNは、SUPIに含まれるかまたはSUPIから導き出されたMNC、MCC、またはホームネットワークを識別する他のパラメータと比較されてもよい;
3.AMF位置サービスメッセージにおけるソースPLMNが、AMF位置サービスメッセージのSUPIにおけるホームPLMNと一致しない場合、検証は失敗する;
4.AMF位置サービスメッセージにおけるソースPLMNが、AMF位置サービスメッセージのSUPIにおけるホームPLMNと一致する場合、AMF位置サービス検証データベースにおいてSUPIのためのルックアップを行なう;
5.AMF位置サービスメッセージからのSUPIがAMF位置サービス検証データベースに存在しない場合、検証は失敗する;
6.AMF位置サービスメッセージからのSUPIがAMF位置サービス検証データベースに存在する場合、一致するデータベースレコードにおける認証結果をチェックする;
7.データベースレコードにおける認証結果が、UEが認証されなかったことを示す場合、検証は失敗する;
8.データベースレコードにおける認証結果が、UEが認証されたことを示す場合、検証は合格する。
1.AMF位置サービスメッセージからSUPIを抽出する;
2.AMF位置サービスメッセージのソースPLMNが、AMF位置サービスメッセージのSUPIにおいて特定されたホームPLMNと一致するかどうかを判定する。3GPP TS 23.501からの上述の抜粋において示されたように、SUPIはホームネットワークのアドレスを含み、それは、モバイルネットワークコード(mobile network code:MNC)およびモバイル国コード(mobile country code:MCC)の形をとり得る。これらのパラメータは、AMF位置サービスメッセージのソースPLMNのMNCおよびMCCと比較され得る。AMF位置サービスメッセージのソースPLMNは、メッセージのソースTLS証明書またはソースアドレス(たとえば、ソースIPアドレスまたはソースドメイン)から識別され得る。AMF位置サービス検証データベースは、ソースIPアドレスまたはドメインを既知のネットワークのMNCおよびMCCにマッピングするテーブルを含み得る。このため、メッセージから抽出されたソースアドレスは、ソースネットワークのMNCおよびMCCを識別するために使用されてもよく、これらのパラメータは、SUPIから抽出されたMNCおよびMCCと比較されてもよい。TLS証明書からのソースPLMNが使用される場合、AMF位置サービスメッセージから取得されたTLS証明書からのソースPLMNは、SUPIに含まれるかまたはSUPIから導き出されたMNC、MCC、またはホームネットワークを識別する他のパラメータと比較されてもよい;
3.AMF位置サービスメッセージにおけるソースPLMNが、AMF位置サービスメッセージのSUPIにおけるホームPLMNと一致しない場合、検証は失敗する;
4.AMF位置サービスメッセージにおけるソースPLMNが、AMF位置サービスメッセージのSUPIにおけるホームPLMNと一致する場合、AMF位置サービス検証データベースにおいてSUPIのためのルックアップを行なう;
5.AMF位置サービスメッセージからのSUPIがAMF位置サービス検証データベースに存在しない場合、検証は失敗する;
6.AMF位置サービスメッセージからのSUPIがAMF位置サービス検証データベースに存在する場合、一致するデータベースレコードにおける認証結果をチェックする;
7.データベースレコードにおける認証結果が、UEが認証されなかったことを示す場合、検証は失敗する;
8.データベースレコードにおける認証結果が、UEが認証されたことを示す場合、検証は合格する。
【0061】
以下に示される表3は、図5に示されたNausf認証手順から取得された認証結果およびSUPI情報の格納後にAMF位置サービス検証データベースに存在し得る例示的なレコードを示す。
【0062】
【表3】
【0063】
表3では、データベースレコードはSUPI1を含み、それは、図5の手順を使用して、サブスクライバのHPLMNにおけるUDMから取得されたものである。認証済という認証結果は、UEの認証が成功したことを示す。
【0064】
図6におけるメッセージフローを続けると、ステップ3での例で、AMF位置サービス要求は、上述のステップを使用して検証される。したがって、ライン4で、V-SEPP126BはAMF位置サービス要求をAMF110に転送する。ライン5で、AMF110は、要求されたUE位置情報を含むAMF位置サービス応答メッセージを生成してV-SEPP126Bに送信する。ライン6で、V-SEPP126BはAMF位置サービス応答をH-SEPP126Aに転送する。ライン7で、H-SEPP126AはAMF位置サービス応答をコンシューマNF200に転送する。
【0065】
図6に示されたメッセージフローのライン8で、この例ではハッカーまたは攻撃者であるコンシューマNF400が、UEが現在ローミングしている訪問先ネットワークのためのSEPPであるV-SEPP126BにAMF位置サービス要求を送信する。V-SEPP126Bは、上述のステップを使用して、AMF位置サービス要求を位置追跡攻撃またはDoS攻撃であるとして分類する。繰り返すと、AMF位置サービス要求は、メッセージのソースPLMNがSUPIにおけるホームPLMNと一致せず、SUPIがAMF位置サービス検証データベースに存在しない場合には、位置追跡攻撃として分類され、または、SUPIがAMF位置サービス検証データベースに存在し、SUPIのために格納された認証結果が、UEの認証が成功しなかったことを示す場合には、DoS攻撃として分類され得る。この場合、V-SEPP126BはAMF位置サービス要求がAMF110に転送されるのを防止して、位置サービス要求を破棄してもよく、およびオプションで、ネットワークオペレータへの送出のために位置サービス要求のレコードを生成してもよい。このため、図6のステップを使用して、AMFでのUEの登録によってトリガされたNamf認証手順中に格納されたSUPIおよび認証結果は、(ステップ3で)AMF位置サービス要求を検証するために、および、(ライン8で)攻撃者からのAMF位置サービス要求を拒否するために使用される。
【0066】
図7は、本明細書に記載されている方法論を使用してAMF位置サービスメッセージを検証することができるSEPPのための例示的なアーキテクチャを示すブロック図である。図7を参照して、本明細書に記載されている主題を実現するSEPPは、その位置情報または位置決め情報が保護されているUEの訪問先SEPPであってもよい。上述の例では、VPLMNにおけるAMFに登録されたローミングサブスクライバについて、AMF位置サービス検証が、V-SEPP126Bによって行なわれる。
【0067】
図7に示された例示的なアーキテクチャでは、SEPP126Bは、少なくとも1つのプロセッサ700とメモリ702とを含む。SEPP126Bは、上述のNausf認証手順から取得されたSUPIおよび認証結果情報を格納するAMF位置サービス検証データベース704を含む。ホームまたは訪問先SEPP126Bはさらに、UE認証情報およびSUPI情報を取得し、これらの情報をデータベース704に格納するために、図5に関して上述されたステップを行なうためのUE認証結果収集器706を含む。SEPP126Aはさらに、データベース704に格納されたSUPIおよび認証結果情報を使用してAMF位置サービスメッセージを検証または拒否するためのAMF位置サービス検証器708を含む。1つの例示的な実現化例では、UE認証結果収集器706およびAMF位置サービス検証器708は、メモリ702で具現化され、プロセッサ700によって実行可能であるコンピュータ実行可能命令を使用して実現され得る。
【0068】
図8は、位置追跡攻撃およびDoS攻撃を緩和するための例示的なプロセスを示すフローチャートである。図8を参照して、ステップ800で、プロセスは、ネットワーク機能で、UEのホームパブリックランドモバイルネットワークから、認証応答メッセージを受信することを含む。たとえば、図5のライン14によって示されるように、訪問先SEPP126BなどのSEPPが、Nausf_UEAuthentication応答メッセージを受信し得る。
【0069】
ステップ802で、プロセスは、NFが、認証応答メッセージから、UEのためのサブスクリプション識別子および認証結果の指標を抽出することを含む。たとえば、訪問先SEPP126Bは、Nausf_UEAuthentication応答メッセージからSUPIおよび認証結果パラメータの値を抽出し得る。
【0070】
ステップ804で、プロセスは、NFが、AMF位置サービス検証データベースに、サブスクリプション識別子および認証結果を格納することを含む。たとえば、訪問先SEPP126Bは、Nausf_UEAuthentication応答メッセージから抽出されたSUPIおよび認証結果パラメータの値を、AMF位置サービス検証データベースに格納し得る。
【0071】
ステップ806で、プロセスは、NFが、AMF位置サービスメッセージを受信することを含む。たとえば、訪問先SEPP126BはAMF位置サービスメッセージを受信し得る。ここで、AMF位置サービスメッセージは、UEに関する位置情報または位置決め情報の受信を要求またはサブスクライブする、表1に示されたメッセージタイプのうちのいずれかである。そのようなメッセージの例は、位置決め情報提供サービス動作識別子、位置情報提供サービス動作識別子、またはイベント通知サービス動作識別子を運ぶメッセージを含み得る。
【0072】
ステップ808で、プロセスは、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類するために、AMF位置サービスメッセージからのサブスクリプション識別子およびAMF位置サービス検証データベースのコンテンツのうちの少なくとも1つを使用することを含む。たとえば、訪問先SEPP126Bは、メッセージのソースPLMNが、メッセージから抽出されたSUPIにおけるホームPLMNと一致しないと判定し、メッセージを位置追跡攻撃として識別し得る。メッセージのソースPLMNが、SUPIに含まれるホームPLMNと一致する場合、SEPPは、AMF位置サービスメッセージから抽出されたSUPIを使用して、AMF位置サービス検証データベースにおいてルックアップを行ない得る。SUPIがデータベースに存在しない場合、または、データベースから取得された認証結果が、UEが認証されたことを示さない場合、AMF位置サービスメッセージは、DoS攻撃として分類され得る。
【0073】
ステップ810で、プロセスは、AMF位置サービスメッセージを位置追跡攻撃またはDoS攻撃として分類することに応答して、位置追跡攻撃またはDoS攻撃を防止することを含む。たとえば、訪問先SEPP126Bは、AMF位置サービスメッセージを位置追跡またはDoS攻撃として分類することに応答して、メッセージを破棄することによって攻撃を防止し得る。訪問先SEPP126Bはまた、メッセージを格納し、メッセージを位置追跡攻撃またはDoSに関連付けられているとして識別するメッセージをネットワークオペレータに送信し得る。
【0074】
本明細書に記載されている主題の利点は、UEの位置が無認可で取得され得る位置追跡攻撃の成功を緩和するかまたは減少させることを含む。本明細書に記載されている主題はまた、AMFでのサービス妨害攻撃の成功を緩和するかまたは減少させる。なぜなら、位置追跡攻撃またはDoS攻撃に関連付けられているとして識別された無認可のAMF位置サービスメッセージがSEPPで止められて、AMFへの転送が防止されるためである。本明細書に記載されている主題は、UEの訪問先SEPP、および、UEが登録されたAMFを含む、AMF位置サービスメッセージを処理または転送するあらゆるNFで実現され得る。本明細書に記載されている主題はまた、訪問先SEPP向けの他のタイプのPLMN間メッセージングを検証するように拡張されてもよい。
【0075】
以下の参考文献の各々の開示は、その全体がここに引用により援用される:
参考文献
1.3GPP TS 33.501 V17.0.0(2020-12) 第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステムのためのセキュリティアーキテクチャおよび手順(リリース17)
2.3GPP TS 29.573 V16.5.0(2020-12) 第3世代パートナーシッププロジェクト;技術仕様書 グループコアネットワークおよび端末;5Gシステム;パブリックランドモバイルネットワーク(PLMN)相互接続;ステージ3(リリース16)
3.3GPP TS 29.572 V16.5.0(2020-12) 第3世代パートナーシッププロジェクト 技術仕様書 グループコアネットワークおよび端末;5Gシステム;位置管理サービス;ステージ3(リリース16)
4.3GPP TS 29.518 V17.0.0(2020-12) 第3世代パートナーシッププロジェクト;技術仕様書 グループコアネットワークおよび端末;5Gシステム;アクセスおよびモビリティ管理サービス;ステージ3(リリース17)
5.3GPP TS 23.502 V16.7.1(2021-01)、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5G System:5GS)のための手順;ステージ2(リリース16)
6.3GPP TS 23.501 V16.7.0(2020-12)、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5GS)のためのシステムアーキテクチャ;ステージ2(リリース16)。
参考文献
1.3GPP TS 33.501 V17.0.0(2020-12) 第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステムのためのセキュリティアーキテクチャおよび手順(リリース17)
2.3GPP TS 29.573 V16.5.0(2020-12) 第3世代パートナーシッププロジェクト;技術仕様書 グループコアネットワークおよび端末;5Gシステム;パブリックランドモバイルネットワーク(PLMN)相互接続;ステージ3(リリース16)
3.3GPP TS 29.572 V16.5.0(2020-12) 第3世代パートナーシッププロジェクト 技術仕様書 グループコアネットワークおよび端末;5Gシステム;位置管理サービス;ステージ3(リリース16)
4.3GPP TS 29.518 V17.0.0(2020-12) 第3世代パートナーシッププロジェクト;技術仕様書 グループコアネットワークおよび端末;5Gシステム;アクセスおよびモビリティ管理サービス;ステージ3(リリース17)
5.3GPP TS 23.502 V16.7.1(2021-01)、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5G System:5GS)のための手順;ステージ2(リリース16)
6.3GPP TS 23.501 V16.7.0(2020-12)、第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5GS)のためのシステムアーキテクチャ;ステージ2(リリース16)。
【0076】
本明細書に記載されている主題のさまざまな詳細は、本明細書に記載されている主題の範囲から逸脱することなく変更され得るということが理解されるであろう。さらに、本明細書に記載されている主題は、以下に述べられるような請求項によって定義されるため、上述の説明は、限定のためではなく、例示のためのものであるに過ぎない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【国際調査報告】