▶ オラクル・インターナショナル・コーポレイションの特許一覧
特表2024-509940サービス通信プロキシ(SCP)における代行承認のための方法、システム、およびコンピュータ可読媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-03-05
(54)【発明の名称】サービス通信プロキシ(SCP)における代行承認のための方法、システム、およびコンピュータ可読媒体
(51)【国際特許分類】
H04W 12/084 20210101AFI20240227BHJP
H04W 88/18 20090101ALI20240227BHJP
H04W 92/24 20090101ALI20240227BHJP
【FI】
H04W12/084
H04W88/18
H04W92/24
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023555356
(86)(22)【出願日】2022-01-27
(85)【翻訳文提出日】2023-11-01
(86)【国際出願番号】 US2022014087
(87)【国際公開番号】W WO2022191932
(87)【国際公開日】2022-09-15
(31)【優先権主張番号】17/198,815
(32)【優先日】2021-03-11
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVASCRIPT
(71)【出願人】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】シング,ビレンドラ
(72)【発明者】
【氏名】ラジプット,ジャイ
(72)【発明者】
【氏名】スリバスタバ,アンキット
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA33
5K067HH22
5K067HH23
5K067HH36
(57)【要約】
サービス通信プロキシ(SCP)における代行承認のための方法は、アクセストークンベースの承認をサポートしないコンシューマネットワーク機能(NF)から、サービスベースのインターフェース(SBI)要求を傍受することを含む。本方法はさらに、アクセストークン承認クライアントとして動作して、コンシューマNFに代わって第1のアクセストークンを取得することを含む。本方法はさらに、第1のアクセストークンを使用して、コンシューマNFが、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。SCPは、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバとして機能することもできる。
【特許請求の範囲】
【請求項1】
サービス通信プロキシ(SCP)における代行承認のための方法であって、少なくとも1つのプロセッサおよびメモリを含む第1のSCPにおいて、
アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、サービスベースのインターフェース(SBI)要求を傍受することと、
アクセストークン承認クライアントプロキシとして動作して、前記第1のコンシューマNFに代わって第1のアクセストークンを取得することと、
前記第1のアクセストークンを使用して、前記第1のコンシューマNFが、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることとを含む、方法。
【請求項2】
アクセストークン承認クライアントプロキシとして動作することは、前記第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うことを含む、請求項1に記載の方法。
【請求項3】
前記第1のアクセストークンを取得するために前記NRFと信号通信を行うことは、前記第1のコンシューマNFに代わってアクセストークン要求を生成することと、
前記アクセストークン要求を前記NRFに送信することと、
前記NRFから、前記第1のアクセストークンを含むアクセストークン応答を受信することとを含む、請求項2に記載の方法。
【請求項4】
前記アクセストークン要求を生成することは、前記SBI要求のユーザエージェントヘッダから、前記アクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することを含む、請求項3に記載の方法。
【請求項5】
前記属性のうちの少なくともいくつかの値を抽出することは、前記SBI要求の前記ユーザエージェントヘッダから前記第1のコンシューマNFのNFインスタンスIDを抽出することを含む、請求項4に記載の方法。
【請求項6】
SBI要求を受信することは、前記第1のコンシューマNFからSBIサービス要求を受信することを含み、前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にすることは、前記SBIサービス要求に前記第1のアクセストークンを挿入することと、
前記第1のアクセストークンを含む前記SBIサービス要求を前記第1のプロデューサNFに転送することと、
前記第1のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第1のコンシューマNFに転送することとを含む、先行する請求項のいずれか1項に記載の方法。
【請求項7】
SBI要求を受信することは、前記第1のコンシューマNFからSBIサービスアクセス要求を受信することを含み、前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にすることは、前記SBIサービスアクセス要求に応答して実行される代行発見およびNF選択に基づいてSBIサービス要求を生成することと、
前記SBIサービス要求に前記第1のアクセストークンを挿入することと、
前記第1のアクセストークンを含む前記SBIサービス要求を前記第1のプロデューサNFに転送することと、
前記第1のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第1のコンシューマNFに転送することとを含む、先行する請求項のいずれか1項に記載の方法。
【請求項8】
第2のコンシューマNFまたは第2のSCPから、アクセストークン要求を受信することと、前記第2のコンシューマNFまたは前記第2のSCPからの前記アクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバプロキシとして動作することと、
前記第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、前記第2のコンシューマNFまたは前記第2のSCPおよび前記第2のプロデューサNFと信号通信を行うこととを含む、先行する請求項のいずれか1項に記載の方法。
【請求項9】
アクセストークン承認サーバプロキシとして動作することは、前記アクセストークン要求に応答して、第2のアクセストークンを生成することと、
前記第2のコンシューマNFまたは前記第2のSCPに、前記第2のアクセストークンを含むアクセストークン応答を送信することとを含む、請求項8に記載の方法。
【請求項10】
前記第2のコンシューマNFが前記第2のプロデューサNFによって提供される前記サービスにアクセスすることを可能にするよう、前記第2のプロデューサNFと信号通信を行うことは、前記第2のコンシューマNFまたは前記第2のSCPから、前記第2のアクセストークンを含む第2のSBIサービス要求を受信することと、
前記第2のSBIサービス要求から前記第2のアクセストークンを除去することと、
前記第2のSBIサービス要求を前記第2のプロデューサNFに転送することと、
前記第2のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第2のコンシューマNFまたは前記第2のSCPに転送することとを含む、請求項8に記載の方法。
【請求項11】
サービス通信プロキシ(SCP)における代行承認のためのシステムであって、少なくとも1つのプロセッサおよびメモリを含む第1のSCPと、
前記少なくとも1つのプロセッサによって実現されるアクセストークン承認クライアントプロキシとを備え、前記アクセストークン承認クライアントプロキシは、アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、サービスベースのインターフェース(SBI)要求を傍受し、アクセストークン承認クライアントとして動作して、前記第1のコンシューマNFに代わって第1のアクセストークンを取得し、前記第1のアクセストークンを使用して、前記第1のコンシューマNFがアクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にする、システム。
【請求項12】
前記アクセストークン承認クライアントプロキシは、前記第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うよう構成される、請求項11に記載のシステム。
【請求項13】
前記アクセストークン承認クライアントプロキシは、前記第1のアクセストークンを取得するために、前記NRFと信号通信を行うことを、前記第1のコンシューマNFに代わってアクセストークン要求を生成することと、
前記アクセストークン要求を前記NRFに送信することと、
前記NRFから、前記第1のアクセストークンを含むアクセストークン応答を受信することとによって行うよう構成される、請求項12に記載のシステム。
【請求項14】
前記アクセストークン承認クライアントプロキシは、前記SBI要求のユーザエージェントヘッダから、前記アクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することによって、前記アクセストークン要求を生成するよう構成される、請求項13に記載のシステム。
【請求項15】
前記アクセストークン承認クライアントプロキシによって抽出される前記値は、前記SBI要求の前記ユーザエージェントヘッダからの前記第1のコンシューマNFのNFインスタンスIDを含む、請求項14に記載のシステム。
【請求項16】
前記SBI要求は、SBIサービス要求を含み、前記アクセストークン承認クライアントプロキシは、前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記サービスにアクセスすることを可能にすることを、前記第1のアクセストークンを前記SBIサービス要求に挿入することと、
前記第1のアクセストークンを含む前記SBIサービス要求を前記第1のプロデューサNFに転送することと、
前記第1のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第1のコンシューマNFに転送することとによって行うよう構成される、請求項11~15のいずれか1項に記載のシステム。
【請求項17】
前記SBI要求は、前記第1のコンシューマNFからのSBIサービスアクセス要求を含み、前記アクセストークン承認クライアントプロキシは、前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にすることを、前記SBIサービスアクセス要求に応答して実行される代行発見およびNF選択に基づいてSBIサービス要求を生成することと、
前記SBIサービス要求に前記第1のアクセストークンを挿入することと、
前記第1のアクセストークンを含む前記SBIサービス要求を前記第1のプロデューサNFに転送することと、
前記第1のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第1のコンシューマNFに転送することとによって行うよう構成される、請求項11~16のいずれか1項に記載のシステム。
【請求項18】
第2のコンシューマNFまたは第2のSCPからアクセストークン要求を受信し、前記第2のコンシューマNFからの前記アクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバとして動作し、前記第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、前記第2のコンシューマNFまたは前記第2のSCPおよび前記第2のプロデューサNFと信号通信を行うためのアクセストークン承認サーバプロキシを備える、請求項11~17のいずれか1項に記載のシステム。
【請求項19】
前記アクセストークン承認サーバとして動作する際に、前記アクセストークン承認サーバプロキシは、前記アクセストークン要求に応答して、第2のアクセストークンを生成し、
前記第2のコンシューマNFまたは前記第2のSCPに、前記第2のアクセストークンを含むアクセストークン応答を送信するよう構成され、
前記アクセストークン承認サーバプロキシは、前記第2のコンシューマNFが前記第2のプロデューサNFによって提供される前記サービスにアクセスすることを可能にするよう、前記第2のコンシューマNFまたは前記第2のSCPおよび前記第2のプロデューサNFとの信号通信を、
前記第2のコンシューマNFまたは前記第2のSCPから、前記第2のアクセストークンを含む第2のSBIサービス要求を受信することと、
前記第2のSBIサービス要求から前記第2のアクセストークンを除去することと、
前記SBIサービス要求を前記第2のプロデューサNFに転送することと、
前記第2のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第2のコンシューマNFに転送することとによって行うよう構成される、請求項18に記載のシステム。
【請求項20】
コンピュータのプロセッサによって実行されるとステップを実行するように前記コンピュータを制御する実行可能命令を記憶した非一時的なコンピュータ可読媒体であって、前記ステップは、アクセストークンベースの承認をサポートしないコンシューマネットワーク機能(NF)から、サービスベースのインターフェース(SBI)要求を傍受することと、
アクセストークン承認クライアントとして動作して、前記コンシューマNFに代わって第1のアクセストークンを取得することと、
前記第1のアクセストークンを使用して、前記コンシューマNFが、アクセストークンベースの承認を必要とするプロデューサNFによって提供されるサービスにアクセスすることを可能にすることとを含む、非一時的なコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
優先権主張
本出願は、2021年3月11日に提出された米国特許出願17/198,815の優先権利益を主張し、その開示は、参照によりその全体が本明細書に組み込まれる。
本出願は、2021年3月11日に提出された米国特許出願17/198,815の優先権利益を主張し、その開示は、参照によりその全体が本明細書に組み込まれる。
【0002】
技術分野
本明細書で説明する主題は、ネットワークセキュリティおよび公衆陸上移動体通信網(PLMN)間互換性に関する。より具体的には、本明細書で説明される主題は、SCPにおける代行承認のための方法、システム、およびコンピュータ可読媒体に関する。
本明細書で説明する主題は、ネットワークセキュリティおよび公衆陸上移動体通信網(PLMN)間互換性に関する。より具体的には、本明細書で説明される主題は、SCPにおける代行承認のための方法、システム、およびコンピュータ可読媒体に関する。
【背景技術】
【0003】
背景
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと呼ばれる。ネットワーク機能は、ネットワーク機能がサービスを消費しているか、産生しているか、または消費および産生しているかに応じて、プロデューサNF、コンシューマNF、またはその両方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、ここでは互換的に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、ここでは互換的に使用される。
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと呼ばれる。ネットワーク機能は、ネットワーク機能がサービスを消費しているか、産生しているか、または消費および産生しているかに応じて、プロデューサNF、コンシューマNF、またはその両方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、ここでは互換的に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、ここでは互換的に使用される。
【0004】
所与のプロデューサNFは、多くのサービスエンドポイントを有することができ、サービスエンドポイントは、プロデューサNFによってホストされる1つ以上のNFインスタンスのための接点である。サービスエンドポイントは、インターネットプロトコル(IP)アドレスおよびポート番号の組み合わせ、またはプロデューサNFをホストするネットワークノード上のIPアドレスおよびポート番号に解決する完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは、複数のNFインスタンスを含み得る。複数のNFインスタンスが同じサービスエンドポイントを共有できることにも留意されたい。
【0005】
プロデューサNFは、ネットワーク機能リポジトリ機能(NRF)に登録する。NRFは、各NFインスタンスによってサポートされるサービスを識別する、利用可能なNFインスタンスのサービスプロファイルを維持する。「サービスプロファイル」および「NFプロファイル」という用語は、ここでは互換的に使用される。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するように加入することができる。
【0006】
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するよう加入することができる別のタイプのネットワークノードは、サービス通信プロキシ(SCP)である。SCPは、NRFに加入し、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシは、要求されるサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを分散させるか、またはそのトラフィックを宛先プロデューサNFインスタンスに直接ルーティングする。
【0007】
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードの別の例は、セキュリティエッジ保護プロキシ(SEPP)である。SEPPは、異なる5G公衆陸上移動体通信網(PLMN)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。したがって、SEPPは、PLMN間で送信されるすべてのアプリケーションプログラミングインターフェース(API)メッセージに対してメッセージフィルタリング、監視、およびトポロジー隠蔽を実行する。
【0008】
5G通信ネットワークにおける1つの問題は、1つのPLMNまたはネットワーク機能がOAuth2.0承認をサポートし、別のPLMNまたはネットワーク機能がOAuth2.0承認をサポートしないときに生じる。インターネットエンジニアリングタスクフォース(IETF)コメント要求(RFC)6749(Internet Engineering Task Force (IETF) Request for Comments (RFC) 6749)に規定されるOAuth2.0承認フレームワークによれば、リソースサーバから利用可能な保護されたリソースにアクセスしようとする承認クライアントは、まず承認サーバからアクセストークンを取得する。クライアントは、アクセストークンを取得した後、リソースサーバにサービス要求を送信する。リソースサーバは、アクセストークンを検証し、保護されたリソースへのアクセスを提供する。
【0009】
5G通信ネットワークの文脈では、NFサービスコンシューマはOAuth2.0リソースクライアントとして機能し、NFサービスプロデューサはOAuth2.0リソースサーバとして機能し、NRFは承認サーバとして機能する。したがって、NFサービスプロデューサによって提供されるサービスにアクセスしようとするNFサービスコンシューマは、NFサービスプロデューサによって提供されるリソースにアクセスするためにアクセストークンを取得するために、NRFと信号通信を行う。NFサービスコンシューマがNRFからアクセストークンを取得した後、NFサービスコンシューマは、サービス要求をNFサービスプロデューサに送信し、ここで、サービス要求は、アクセストークンを含んでいる。NFサービスプロデューサは、アクセストークンを検証し、NFサービスコンシューマによって要求されたサービスへのアクセスを提供する。
【0010】
OAuth2.0承認フレームワークは、5G通信ネットワークにおいて承認を提供するように機能するが、サービス要求が、OAuth2.0承認をサポートしないコンシューマNFから、OAuth2.0アクセストークンを必要とするプロデューサNFに送信される場合、そのサービス要求は拒否されることになる。同様に、OAuth2.0承認をサポートするコンシューマNFが、OAuth2.0承認をサポートしないNRFにアクセストークン要求を送信する場合、要求側コンシューマNFは、アクセストークンを取得することはできない。
【0011】
これらのタイプの非互換性の問題は、サービスコンシューマのPLMNがOAuth2.0承認をサポートし、サービスプロデューサのPLMNがOAuth2.0承認をサポートしないとき、またはその逆のときに発生し得る。これらのタイプの非互換性の問題はまた、あるベンダからのNFがOAuth2.0承認をサポートし、別のベンダからのNFがOAuth2.0承認をサポートしないときにも生じ得る。
【0012】
これらおよび他の困難に照らして、OAuth2.0承認非互換性が存在する場合に、ネットワーク機能間の改善された相互運用性のための方法の必要性が存在する。
【発明の概要】
【課題を解決するための手段】
【0013】
概要
サービス通信プロキシ(SCP)における代行承認のための方法は、アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、サービスベースのインターフェース(SBI)サービス要求を傍受することを含む。本方法はさらに、アクセストークン承認クライアントプロキシとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得することを含む。本方法はさらに、第1のアクセストークンを使用して、第1のコンシューマNFが、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。
サービス通信プロキシ(SCP)における代行承認のための方法は、アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、サービスベースのインターフェース(SBI)サービス要求を傍受することを含む。本方法はさらに、アクセストークン承認クライアントプロキシとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得することを含む。本方法はさらに、第1のアクセストークンを使用して、第1のコンシューマNFが、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。
【0014】
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシとして動作することは、第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うことを含む。
【0015】
本明細書で説明する主題の別の局面によれば、第1のアクセストークンを取得するためにNRFと信号通信を行うことは、第1のコンシューマNFに代わってアクセストークン要求を生成することと、アクセストークン要求をNRFに送信することと、NRFから、第1のアクセストークンを含むアクセストークン応答を受信することとを含む。
【0016】
本明細書で説明する主題の別の局面によれば、アクセストークン要求を生成することは、SBI要求のユーザエージェントヘッダから、アクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することを含む。
【0017】
本明細書で説明する主題の別の局面によれば、属性のうちの少なくともいくつかの値を抽出することは、SBI要求のユーザエージェントヘッダから第1のコンシューマNFのNFインスタンスIDを抽出することを含む。
【0018】
本明細書で説明する主題の別の局面によれば、SBI要求を受信することは、第1のコンシューマNFからSBIサービス要求を受信することを含み、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることは、SBIサービス要求に第1のアクセストークンを挿入することと、第1のアクセストークンを含むSBIサービス要求を第1のプロデューサNFに転送することと、第1のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第1のコンシューマNFに転送することとを含む。
【0019】
本明細書で説明する主題の別の局面によれば、SBI要求を受信することは、第1のコンシューマNFからSBIサービスアクセス要求を受信することを含み、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることは、SBIサービスアクセス要求に応答して実行される代行発見およびNF選択に基づいてSBIサービス要求を生成することと、SBIサービス要求に第1のアクセストークンを挿入することと、第1のアクセストークンを含むSBIサービス要求を第1のプロデューサNFに転送することと、第1のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第1のコンシューマNFに転送することとを含む。
【0020】
本明細書で説明する主題の別の局面によれば、SCPにおける代行承認のための方法は、第2のコンシューマNFまたは第2のSCPから、アクセストークン要求を受信することと、第2のコンシューマNFまたは第2のSCPからのアクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバプロキシとして動作することと、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のコンシューマNFまたは第2のSCPおよび第2のプロデューサNFと信号通信を行うこととを含む。
【0021】
本明細書で説明する主題の別の局面によれば、アクセストークン承認サーバプロキシとして動作することは、アクセストークン要求に応答して、第2のアクセストークンを生成することと、第2のコンシューマNFまたは第2のSCPに、第2のアクセストークンを含むアクセストークン応答を送信することとを含む。
【0022】
本明細書で説明される主題の別の局面によれば、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のプロデューサNFまたは第2のSCPと信号通信を行うことは、第2のコンシューマNFから、第2のアクセストークンを含む第2のSBIサービス要求を受信することと、第2のSBIサービス要求から第2のアクセストークンを除去することと、第2のSBIサービス要求を第2のプロデューサNFに転送することと、第2のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第2のコンシューマNFまたは第2のSCPに転送することとを含む。
【0023】
本明細書で説明する主題の別の局面によれば、第2のアクセストークンを生成することは、構文的に正しいクレームを伴うダミーアクセストークンを含むOAuth2.0アクセストークンを生成することを含む。
【0024】
本明細書で説明する主題の別の局面によれば、サービス通信プロキシ(SCP)における代行承認のためのシステムが提供される。本システムは、少なくとも1つのプロセッサおよびメモリを含む第1のSCPを含む。本システムはさらに、少なくとも1つのプロセッサによって実現され、アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、サービスベースのインターフェース(SBI)要求を傍受し、アクセストークン承認クライアントとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得し、第1のアクセストークンを使用して、第1のコンシューマNFがアクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にするための、アクセストークン承認クライアントプロキシを備える。
【0025】
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うよう構成される。
【0026】
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のアクセストークンを取得するために、NRFと信号通信を行うことを、第1のコンシューマNFに代わってアクセストークン要求を生成することと、アクセストークン要求をNRFに送信することと、NRFから、第1のアクセストークンを含むアクセストークン応答を受信することとによって行うよう構成される。
【0027】
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシは、SBI要求のユーザエージェントヘッダからアクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することによってアクセストークン要求を生成するよう構成される。
【0028】
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシによって抽出される値は、SBI要求のユーザエージェントヘッダからの第1のコンシューマNFのNFインスタンスIDを含む。
【0029】
本明細書で説明する主題の別の局面によれば、SBI要求は、第1のコンシューマNFからのSBIサービス要求を含み、アクセストークン承認クライアントプロキシは、第1のアクセストークンを使用して、第1のコンシューマNFがサービスにアクセスすることを可能にすることを、SBIサービス要求に第1のアクセストークンを挿入することと、第1のアクセストークンを含むSBIサービス要求を第1のプロデューサNFに転送することと、第1のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第1のコンシューマNFに転送することとによって行うよう構成される。
【0030】
本明細書で説明される主題の別の局面によれば、SBI要求は、第1のコンシューマNFからのSBIサービスアクセス要求を含み、アクセストークン承認クライアントプロキシは、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを、SBIサービスアクセス要求に応答して実行される代行発見およびNF選択に基づいてSBIサービス要求を生成することと、SBIサービス要求に第1のアクセストークンを挿入することと、第1のアクセストークンを含むSBIサービス要求を第1のプロデューサNFに転送することと、第1のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第1のコンシューマNFに転送することとによって行うよう構成される。
【0031】
本明細書で説明する主題の別の局面によれば、SCPにおける代行承認のためのシステムは、第2のコンシューマNFまたは第2のSCPからアクセストークン要求を受信し、第2のコンシューマNFからのアクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバとして動作し、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のコンシューマNFまたは第2のSCPおよび第2のプロデューサNFと信号通信を行うためのアクセストークン承認サーバプロキシを備える。
【0032】
本明細書に記載される主題の別の局面によれば、アクセストークン承認サーバプロキシは、アクセストークン承認サーバとして動作する際に、アクセストークン要求に応答して、第2のアクセストークンを生成し、第2のコンシューマNFまたは第2のSCPに、第2のアクセストークンを含むアクセストークン応答を送信するよう構成される。
【0033】
本明細書で説明する主題の別の局面によれば、アクセストークン承認サーバプロキシは、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のコンシューマNFまたは第2のSCPおよび第2のプロデューサNFとの信号通信を、第2のコンシューマNFまたは第2のSCPから、第2のアクセストークンを含む第2のSBIサービス要求を受信することと、第2のSBIサービス要求から第2のアクセストークンを除去することと、SBIサービス要求を第2のプロデューサNFに転送することと、第2のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第2のコンシューマNFまたは第2のSCPに転送することとによって行うよう構成される。
【0034】
本明細書で説明する主題の別の局面によれば、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御する実行可能命令を記憶した非一時的なコンピュータ可読媒体が提供される。ステップは、アクセストークンベースの承認をサポートしないコンシューマネットワーク機能(NF)から、サービスベースのインターフェース(SBI)要求を傍受することを含む。ステップは、さらに、アクセストークン承認クライアントプロキシとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得することを含む。ステップは、さらに、第1のアクセストークンを使用して、コンシューマNFが、アクセストークンベースの承認を必要とするプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。
【0035】
本明細書で説明される主題は、ソフトウェアをハードウェアおよび/またはファームウェアと組み合わせて実現され得る。たとえば、本明細書で説明する主題は、プロセッサによって実行されるソフトウェアで実現され得る。例示的な一実現例では、本明細書で説明する主題は、コンピュータのプロセッサによって実行されるとステップを実行するようコンピュータを制御するコンピュータ実行可能命令を記憶した非一時的コンピュータ可読媒体を使用して実現され得る。本明細書に記載の主題を実施するのに適した例示的なコンピュータ可読媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブル論理デバイス、および特定用途向け集積回路などの非一時的コンピュータ可読媒体を含む。加えて、本明細書で説明される主題を実現するコンピュータ可読媒体は、単一のデバイスもしくはコンピューティングプラットフォーム上に位置してもよく、または複数のデバイスもしくはコンピューティングプラットフォームにわたって分散されてもよい。
【図面の簡単な説明】
【0036】
【図1】例示的な5Gシステムネットワークアーキテクチャを示すネットワーク図である。
【図2A】OAuth2.0承認フレームワークを使用して5G通信ネットワーク内でサービスにアクセスする際に交換される例示的なメッセージを示すメッセージフロー図であり、メッセージフローは、代行発見を伴わない間接的なPLMN間通信のためのものである(モデルC)。
【図2B】OAuth2.0承認フレームワークを使用して5G通信ネットワーク内でサービスにアクセスする際に交換される例示的なメッセージを示すメッセージフロー図であり、メッセージフローは、代行発見を伴う間接的なPLMN間通信のためのものである(モデルD)。
【図3A】コンシューマNFがOAuth2.0承認をサポートせず、プロデューサNFが、プロデューサNFによって提供されるサービスへのアクセスを許可するための条件としてOAuth2.0承認を必要とするときに交換される例示的なメッセージを示すメッセージフロー図であり、メッセージフローは、代行発見を伴わない間接的なPLMN間通信のためのものである(モデルC)。
【図3B】コンシューマNFがOAuth2.0承認をサポートし、NRFがOAuth2.0承認をサポートしないときに交換される例示的なメッセージを示すメッセージフロー図であり、メッセージフローは、代行発見を伴わない間接的なPLMN間通信のためのものである(モデルC)。
【図3C】コンシューマNFがOAuth2.0承認をサポートし、NRFがOAuth2.0承認をサポートしないときに交換される例示的なメッセージを示すメッセージフロー図であり、メッセージフローは、代行発見を伴う間接的なPLMN間通信のためのものである(モデルD)。
【図4】OAuth2.0承認をサポートしないコンシューマNFに代わってSCPがOAuth2.0承認クライアントプロキシとして動作するときの代行OAuth2.0承認を示すメッセージフロー図であり、メッセージフローは、代行発見(モデルD)を伴う間接的なPLMN間通信のためのものである。
【図5A】OAuth2.0承認をサポートしないNRFに代わってSCPがOAuth2.0承認サーバプロキシとして動作するときに交換される例示的なメッセージを示すメッセージフロー図であり、メッセージフローは、代行発見を伴わない間接的なPLMN間通信のためのものである(モデルC)。
【図5B】OAuth2.0承認をサポートしないNRFに代わってSCPがOAuth2.0承認サーバプロキシとして動作するときに交換される例示的なメッセージを示すメッセージフロー図であり、メッセージフローは、代行発見を伴う間接的なPLMN間通信のためのものである(モデルD)。
【図6】OAuth2.0承認をサポートしないNFサービスコンシューマおよびNRFに代わって代行OAuth2.0承認を実行することができるSCPを示すブロック図である。
【図7A】OAuth2.0承認をサポートしないコンシューマNFに代わって代行OAuth2.0承認を実行する例示的なプロセスを示すフローチャートである。
【図7C】OAuth2.0承認をサポートしないコンシューマNFがOAuth2.0承認を必要とするプロデューサNFによって提供されるサービスにアクセスすることを可能にするためにアクセストークンを使用する図7Aからのステップをより詳細に示すフローチャートである。
【図8A】OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバプロキシとして動作し、コンシューマNFがOAuth2.0承認をサポートし、プロデューサNFがOAuth2.0承認をサポートしないときにサービスへのアクセスを容易にするための例示的なプロセスを示すフローチャートである。
【発明を実施するための形態】
【0037】
詳細な説明
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(HPLMN:home public land mobile network)に位置し得るNRF100およびSCP101を含む。上記で説明されるように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスに加入し、その登録を通知されることを可能にし得る。SCP101はまた、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(HPLMN:home public land mobile network)に位置し得るNRF100およびSCP101を含む。上記で説明されるように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスに加入し、その登録を通知されることを可能にし得る。SCP101はまた、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。
【0038】
NRF100は、プロデューサNFインスタンスのNFまたはサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、プロデューサNFインスタンスのNFまたはサービスプロファイルをNRF100から取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標) TS 29.510で定義されるJavaScriptオブジェクト表記(JSON)データ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。
【0039】
図1では、ネットワーク機能のいずれも、それらがサービスを要求、提供、または要求および提供しているかどうかに応じて、コンシューマNF、プロデューサNF、または両方となり得る。図示の例では、NFは、ネットワークにおいてポリシー関連動作を実行するPCF102と、ユーザデータを管理するUDM機能104と、アプリケーションサービスを提供するアプリケーション機能(AF)106とを含む。
【0040】
図1に示すNFは、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(SMF)108をさらに含む。AMF110は、4Gネットワークにおいてモビリティ管理エンティティ(MME)によって実行されるモビリティ管理動作と同様の動作を実行する。認証サーバ機能(AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114などのユーザ機器(UE)のために認証サービスを実行する。
【0041】
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスに関連付けられる特定のネットワーク機能および特性にアクセスしようとするデバイスのためにネットワークスライスサービスを提供する。ネットワーク公開機能(NEF)118は、モノのインターネット(IoT)デバイスおよびネットワークに接続される他のUEに関する情報を取得しようとするアプリケーション機能のためにアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス機能公開機能(SCEF)と同様の機能を実行する。
【0042】
無線アクセスネットワーク(RAN)120は、無線リンクを介してユーザ機器(UE)114をネットワークに接続する。無線アクセスネットワーク120は、g-Node B(gNB)(図1には示さず)または他の無線アクセスポイントを用いてアクセスされてもよい。ユーザプレーン機能(UPF)122は、ユーザプレーンサービスのために様々なプロキシ機能をサポート可能である。そのようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(MPTCP)プロキシ機能である。UPF122はまた、ネットワーク性能測定値を取得するためにUE114によって使用されてもよい性能測定機能をサポートしてもよい。図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするデータネットワーク(DN)124も示されている。
【0043】
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNを出るトラフィックのためにトポロジー隠蔽を実行する。SEPP126は、外部PLMNのセキュリティを管理する、外部PLMN内のSEPPと通信してもよい。したがって、異なるPLMN内のNF間のトラフィックは、一方はホームPLMN用であり、他方は外部PLMN用である、2つのSEPP機能を横断し得る。
【0044】
前述のように、5Gネットワークにおいて生じ得る1つの問題は、OAuth2.0承認のための汎用サポートの欠如であり、これは、ネットワーク間のサービス非互換性をもたらし得る。図2Aは、PLMN間のOAuth2.0承認と、PLMN境界を越えてサービスにアクセスするためのアクセストークンの使用とを示すメッセージフロー図である。図2Aのメッセージフローは、3GPP TS 23.501の補遺EにおいてモデルCとして定義される、代行発見を伴わない間接的なPLMN間通信のためのものである。モデルCの仕様によれば、コンシューマNFは、NRFに問い合わせることによって発見を実行する。コンシューマNFは、発見結果に基づいて、プロデューサNFまたはNFセットを選択する。次いで、コンシューマNFは、選択されたプロデューサNFまたはプロデューサNFセットのアドレスを含むSBIサービス要求をSCPに送信する。サービス要求がNFセットを指定する場合、SCPは、NRFと対話して、ロケーション、容量などの選択パラメータを取得し、これらのパラメータを使用してプロデューサNFインスタンスを選択することができる。SCPは、選択されたプロデューサNFインスタンスにSBIサービス要求をルーティングする。
【0045】
図2Aのメッセージフローを参照すると、ライン1において、コンシューマNF200は、NF発見を実行し、SCP101Aおよび101BならびにSEPP126Aおよび126Bを介してNRF100Bと信号通信を行うことによって、プロデューサNFインスタンスまたはNFセットを選択する。ライン2で、プロデューサNFまたはNFセットを選択した後、コンシューマNF200は、Nnrfアクセストークン要求メッセージをビジターネットワーク(アクセストークン要求をトリガしたUEが現在ローミングしているビジターPLMNにローカルなネットワーク)内に位置するNRF100Aに送信する。NRF100Aは、SCP101Aおよび101BならびにSEPP126Aおよび126Bを介して、アクセストークン要求メッセージをリモートNRF100Bに転送する。この転送は、図2Aのライン2~6によって示される。
【0046】
ホームNRF100Bは、クライアントがアクセストークンの受信を承認されているか否かを判断し、アクセストークン応答メッセージを送信することによってアクセストークンを返信する。ライン7~11で、アクセストークン応答メッセージは、SCP101Aおよび101B、SEPP126Aおよび126B、ならびにNRF100Aを介してコンシューマNF200に通信される。
【0047】
コンシューマNF200は、ライン12~14によって示されるように、アクセストークンを含むSBIサービス要求メッセージを生成し、SCP101Aおよび101BならびにSEPP126Aおよび126Bを介して、SBIサービス要求メッセージをプロデューサNF202に送信する。SBIサービス要求メッセージは、アクセストークンを含む。SBI要求は、任意選択で、図2Aの「CCA*」によって示されるように、クライアント身分証明表明(CCA)属性を含んでもよい。
【0048】
プロデューサNF202は、アクセストークンを検証し、サービスへのアクセスをコンシューマNF200に許可する。ライン15~17において、プロデューサNF202は、SBIサービス応答メッセージをコンシューマNF200に返す。同様のフローが、コンシューマNFがホームネットワーク内に存在し、プロデューサNFがビジターまたは非ホームネットワーク内に存在するときに、生じる。したがって、図2Aは、2つの異なるネットワークが、SCPを介してOAuth2.0承認および間接的なPLMN間通信をサポートし、その結果、アクセストークンメッセージングおよびサービス要求メッセージングが成功する場合を示す。しかしながら、一方または他方のネットワークがOAuth2.0承認をサポートしない場合、サービス要求メッセージングおよび/またはアクセストークンメッセージングは成功しないことになる。
【0049】
図2Bは、代行発見を伴う間接的なPLMN間通信およびOAuth2.0承認を示すメッセージフロー図である。代行発見を伴う間接的な通信は、3GPP TS 23.501の補遺EにおけるモデルDとして定義される。モデルDによれば、コンシューマNFは、NF選択または発見を実行しない。代わりに、コンシューマNFは、必要な発見パラメータおよび選択パラメータを、SCPに送信される発見要求に追加する。次いで、SCPは、NRFと発見を実行し、発見結果を取得し、選択されたNFにSBIサービス要求を送信する。図2Bのメッセージフローを参照すると、ライン1において、コンシューマNF200は、SBIサービスアクセス要求メッセージを発見パラメータおよびプロデューサNF選択パラメータとともにSCP101Aに送信する。ライン2で、SCP101Aは、NRF101Bと発見を実行する。発見の結果は、サービス要求メッセージを処理するためのプロデューサNF202の選択である。しかしながら、サービス要求メッセージをプロデューサNF202に送信する前に、SCP101Aは、プロデューサNF202のネットワーク内のNRF100Bからアクセストークンを取得しなければならない。したがって、ライン3において、SCP101Aは、アクセストークン要求メッセージをローカルNRF100Aに送信する。ローカルNRF100Aは、メッセージフロー図のライン4~6によって示されるように、SCP101Aおよび101BならびにSEPP126Aおよび126Bを介して、アクセストークン要求メッセージをリモートNRF100Bに転送する。
【0050】
NRF100Bは、クライアントが承認されているかどうかを判断し、SCP101Bおよび101AならびにSEPP126Bおよび126Aを介してアクセストークンを返す。アクセストークンの返送は、図2Bのメッセージフローのライン7~10を介して示されている。
【0051】
ライン11および12で、SCP101Aは、SEPP126Aおよび126BならびにSCP101Bを介して、ライン2によって表される代行発見手順中に選択されたプロデューサNF202に、SBIサービス要求メッセージを送信する。プロデューサNF202は、アクセストークンを検証し、ライン13~15において、SBIサービス応答を、自身のSCP101Bおよび101AならびにSEPP126Bおよび126Aを介して、コンシューマNF200に送信する。コンシューマNF200に通信されるSBIサービス応答は、任意選択で、図2Bにおいて「アクセストークン**」によって示されるように、アクセストークンを含んでもよい。
【0052】
同様のフローが、コンシューマNFがホームネットワーク内にあり、プロデューサNFがビジターネットワーク内にあるときに、生じる。したがって、図2Bは、コンシューマNFにサービスするSCPおよびプロデューサNFのネットワーク内のNRFがOAuth2.0承認をサポートし、代行発見を伴う間接的なPLMN間通信が実行されるケースを示す。
【0053】
図3Aは、NFサービスコンシューマがOAuth2.0承認をサポートせず、NFサービスプロデューサがOAuth2.0承認を必要とする、代行発見を伴わないPLMN間間接通信の場合を示す。図3Aを参照すると、この例におけるビジターネットワークはOAuth2.0承認をサポートしないので、図2Aのライン1~11からアクセストークンを取得するためのPLMN間信号通信は発生しない。図3Aのメッセージフローは、ライン1で始まり、コンシューマNF200は、アクセストークンなしのSBIサービス要求メッセージを、異なるPLMN内に位置し、アクセストークン承認を必要とするプロデューサNF202に送信する。サービス要求はアクセストークンを含まないので、ライン2のサービス要求はホームSEPP126Bによって拒否される。3GPP TS 33.501のセクション13.4.1.2.2は、プロバイダSEPPが、アクセストークン内のサブジェクトクレームのサービングPLMNがN32メッセージ内のN32-fコンテキストIDに対応するリモートPLMNに一致することをチェックすることを提唱するので、SEPP126Bは、サービス要求を拒否する。ライン2のサービス要求メッセージはアクセストークンを含まないので、SEPP126Bが検証するサブジェクトクレームはなく、したがってメッセージは拒否される。
【0054】
図3Aは、コンシューマNFがOAuth2.0承認をサポートせず、プロデューサNFがOAuth2.0承認をサポートする、代行発見を伴わない間接的なPLMN間通信の場合を示し、図3Bは、コンシューマNFがOAuth2.0承認をサポートし、プロデューサNFのネットワーク内のNRFがサポートしない、代行発見を伴わない間接的なPLMN間通信の場合を示す。図3Bのメッセージフローを参照すると、ライン1において、ホームネットワークに位置するコンシューマNF300は、ビジターネットワークに位置するNRF100Aと信号通信を行って、サービス発見を実行する。この例では、サービス発見の結果は、要求されたサービスを提供するためにビジターネットワーク内に位置するプロデューサNF302の選択である、と仮定する。
【0055】
サービス発見後、ライン2において、コンシューマNF300は、ホームネットワーク内に位置するSCP101Bにアクセストークン要求メッセージを送信する。ライン3で、SCP101Bは、アクセストークン要求をNRF100Bに送信する。ライン4で、NRF100Bは、アクセストークン要求をSCP101Bに転送し、ライン5で、アクセストークン要求をリモートSCP101Aにルーティングする。ライン6で、SCP101Aは、アクセストークン要求をビジターネットワーク内に位置するNRF100Aにルーティングする。この例では、ビジターNRF100Aは、OAuth2.0承認をサポートしない。したがって、ビジターNRF100Aは、アクセストークン要求に応答することはできず、アクセストークンメッセージングの失敗をもたらす。その結果、コンシューマNF300は、ビジターネットワークによって提供されるサービスにアクセスすることができない場合がある。
【0056】
図3Cは、コンシューマNFはOAuth2.0承認をサポートし、プロデューサNFはサポートしない、代行発見を伴う間接的なPLMN間通信の場合を示す。図3Cのメッセージフローを参照すると、ライン1において、ホームネットワーク内に位置するコンシューマNF300は、サービスアクセス要求を発見パラメータとともにSCP101Bに送信する。ライン2で、SCP101Bは、ビジターネットワーク内に位置するNRF100Aと信号通信を行って、サービス発見を実行する。この例では、サービス発見の結果は、要求されたサービスを提供するためにビジターネットワーク内に位置するプロデューサNF302の選択である、と仮定する。
【0057】
サービス発見後、ライン3において、SCP101Bは、アクセストークン要求をNRF100Bに送信する。ライン4で、NRF100Bは、アクセストークン要求をSCP101Bに転送し、ライン5で、アクセストークン要求をリモートSCP101Aにルーティングする。ライン6で、SCP101Aは、アクセストークン要求をビジターネットワーク内に位置するNRF100Aにルーティングする。この例では、ビジターNRF100Aは、OAuth2.0承認をサポートしない。したがって、ビジターNRF100Aは、アクセストークン要求に応答することはできず、アクセストークンメッセージングの失敗をもたらす。その結果、コンシューマNF300は、ビジターネットワークによって提供されるサービスにアクセスすることができない場合がある。
【0058】
これらの困難を回避するために、本明細書で説明するSCPは、アクセストークンベースの承認をサポートしないコンシューマNFに代わってアクセストークン承認クライアントプロキシとして機能し、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバとして機能する。アクセストークンベースの承認をサポートしないコンシューマNFについては、SCPは、アクセストークンをフェッチし、アクセストークンをSBI要求に追加した後に、プロデューサNFにSBI要求を転送する。SCPは、処理を高速化するためにトークンをキャッシュすることを選択することができる。SCPは、SBIサービスまたはSBIサービスアクセス要求においてコンシューマNFによって提供されるユーザエージェントヘッダからのフィールドを利用して、コンシューマNFに代わってアクセストークン要求を作成するために使用されるNFタイプおよびNFインスタンスIDを取得してもよい。SCPがOAuth2.0承認サーバとして機能する場合、SCPは、代行発見が実行されるか否かに応じて、アクセストークンを、要求を行っているコンシューマNFまたはSCPに発行する。
【0059】
図4は、SCPがOAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0承認クライアントプロキシとして動作する、代行発見を伴う間接的なPLMN間通信の場合を示す。図4を参照すると、メッセージフロー図のライン1において、コンシューマNF200は、SBIサービスアクセス要求をアクセストークンなしでSCP101Aに送信する。ライン2で、SCP101Aは、NRF100Bとの信号通信によってコンシューマNF200に代わって代行発見を実行し、代行発見の結果は、プロデューサNF202の選択である。
【0060】
ライン1のサービスアクセス要求に応答してSBIサービス要求を生成するのではなく、SCP101Aは、サービスアクセス要求はアクセストークンを含まないことを検出し、サービスアクセス要求を傍受して記憶し、コンシューマNF200に代わってアクセストークンをフェッチする。アクセストークンをフェッチするプロセスは、メッセージフロー図のライン3において始まり、SCP101Aは、アクセストークン要求を定式化し、SCP101Bに送信し、SCP101Bは、ライン4において、プロデューサNF202のPLMN内に位置するNRF100Bにアクセストークン要求をルーティングする。アクセストークン要求メッセージの定式化については、以下でさらに詳細に説明する。NRF100Bは、コンシューマNF200を検証し、アクセストークンを含むアクセストークン応答を生成し、ライン5および6において、SEPP126Bおよび126AならびにSCP101Bを介して、アクセストークン応答をコンシューマNF200のネットワークに送信する。
【0061】
SCP101Aは、アクセストークン応答を受信し、応答からアクセストークンを抽出し、ライン1で受信したSBIサービスアクセス要求に基づいてSBIサービス要求を生成し、生成したSBIサービス要求にアクセストークンを挿入する。ライン7および8で、SCP101Aは、SBIサービス要求をアクセストークンとともにプロデューサNF202に転送する。プロデューサNF202は、アクセストークンを使用してサービス要求を検証し、ライン9~11において、SBIサービス応答メッセージを生成し、コンシューマNF200に送信する。したがって、図4は、SCP101AがOAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0承認クライアントプロキシとして機能する場合を示す。
【0062】
別の例では、SCP101Aは、アクセストークン承認サーバとして機能し得る。1つのそのような例は、ホームネットワーク内に位置し、OAuth2.0承認をサポートしないコンシューマNF300が、ビジターネットワーク内に位置するプロデューサNF302によって提供されるサービスにアクセスしようとする、代行発見を伴わない間接的なPLMN間通信を図示する、図5Aに図示される。図5Aを参照すると、ライン1において、コンシューマNFは、NRF100Aと信号通信を行うことによってサービス発見を実行し、サービス発見の結果は、サービスを提供するためのプロデューサNF302の選択である。
【0063】
ライン2で、コンシューマNF300は、アクセストークン要求メッセージを生成し、アクセストークン要求をSCP101Bに転送する。ライン3で、SCP101Bは、アクセストークン要求をNRF100Bに転送する。NRF100Bは、ライン4および5において、アクセストークン要求メッセージをNRF100Aに転送する。しかしながら、NRF100Aは、OAuth2.0承認をサポートしない。したがって、アクセストークン要求をNRF100Aに転送する代わりに、SCP101Aは、アクセストークン要求メッセージを傍受し、NRF100Aに代わってアクセストークン応答メッセージを生成する。アクセストークン応答メッセージは、SCP101Aにローカルな情報を使用してSCP101Aによって生成されたアクセストークンを含む。アクセストークンは、必要とされるアクセストークンクレームのすべてを含むという点で、構文的に正しくてもよい。ライン6~9において、SCP101Aは、アクセストークン応答をコンシューマNF300に転送する。
【0064】
ライン10で、コンシューマNF300は、SBIサービス要求を生成し、SCP101Bおよび101AならびにSEPP126Bおよび126Aを介してプロデューサNF302に送信し、サービス要求は、アクセストークンを含む。ライン11で、SCP101Aは、SBIサービス要求を傍受し、プロデューサNF302がOAuth2.0承認をサポートしないため、サービス要求からアクセストークンを除去する。ライン12で、SCP101Aは、サービス要求を(アクセストークンなしで)プロデューサNF302に転送する。ライン13~15で、プロデューサNF302は、SBIサービス応答メッセージを生成し、コンシューマNF300に送信する。したがって、図5Aは、SCP101Aが、OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバプロキシとして機能する場合を示す。
【0065】
図5Aは、SCPが、代行発見を伴わないPLMN間との間接的な通信のためにOAuth2.0承認サーバとして動作するケースを示し、図5Bは、SCPが、代行発見を伴う間接的なPLMN間通信のためにOAuth2.0承認サーバとして動作するケースを示す。図5Bを参照すると、メッセージフロー図のライン1において、ホームネットワーク内に位置するコンシューマNF300は、サービスアクセス要求メッセージを発見パラメータとともにSCP101Bに送信する。ライン2で、SCP101Bは、ビジターネットワーク内に位置するNRF100Aと信号通信を行うことによって、代行NF発見および選択を実行する。代行発見およびNF選択の結果は、要求されたサービスを提供するための、ビジターネットワーク内に位置するプロデューサNF302の選択である。
【0066】
代行発見およびNF選択を実行した後、ライン3において、SCP101Bは、アクセストークン要求メッセージを生成し、アクセストークン要求メッセージをNRF100Bに転送する。NRF100Bは、ライン4および5において、アクセストークン要求メッセージをNRF100Aに転送する。しかしながら、NRF100Aは、OAuth2.0承認をサポートしない。アクセストークン要求をNRF100Aに転送する代わりに、SCP101Aは、アクセストークン要求を傍受し、NRF100Aに代わってアクセストークン応答を生成する。アクセストークン応答は、SCP101Aにローカルな情報を使用してSCP101Aによって生成されたアクセストークンを含む。アクセストークンは、必要とされるアクセストークンクレームのすべてを含むという点で、構文的に正しくてもよい。ライン6~8において、SCP101Aは、アクセストークン応答をSCP101Bに転送する。
【0067】
ライン9で、SCP101Bは、SBIサービス要求を生成し、SEPP126Bおよび126AならびにSCP101Aを介して、プロデューサNF302に送信し、サービス要求は、アクセストークンを含む。SCP101Aは、プロデューサNF302がOAuth2.0承認をサポートしないため、SBIサービス要求を傍受し、サービス要求からアクセストークンを除去する。ライン10で、SCP101Aは、サービス要求を(アクセストークンなしで)プロデューサNF302に転送する。ライン11~13において、プロデューサNF302は、SBIサービス応答メッセージを生成し、コンシューマNF300に送信する。したがって、図5Bは、SCP101Aが代行発見およびNF選択を実行し、OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバプロキシとして機能する場合を示す。
【0068】
図6は、本明細書で説明するOAuth2.0承認プロキシ化をサポートするSCPの例示的なアーキテクチャを示すブロック図である。図6を参照すると、SCP101Aは、少なくとも1つのプロセッサ600およびメモリ602を含む。SCP101Aは、OAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0アクセストークンを取得し、OAuth2.0アクセストークンを含むSBIサービス要求メッセージを生成して、コンシューマNFがOAuth2.0承認をサポートするプロデューサNFによって提供されるサービスにアクセスすることを可能にする、代行発見例のために図4に関して上記で説明した動作を実行するためのアクセストークン承認クライアントプロキシ604をさらに含む。非代行発見の場合、アクセストークン承認クライアントプロキシ604は、OAuth2.0アクセストークンを取得し、OAuth2.0承認をサポートしないコンシューマNFからのSBIサービス要求メッセージ中に挿入してもよい。
【0069】
SCP101Aは、図5Aおよび図5Bに関して上述したように、OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバの機能を実行するアクセストークン承認サーバプロキシ606をさらに含む。アクセストークン承認サーバプロキシ606はまた、アクセストークンベースの承認をサポートしないプロデューサNFに宛てられたサービス要求メッセージからアクセストークンを除去し得る。アクセストークン承認クライアントプロキシ604およびアクセストークン承認サーバプロキシ606は、プロセッサ600に上述のアクセストークン承認クライアントおよびサーバプロキシ化動作を行わせる、メモリ602に記憶されたコンピュータ実行可能命令を使用して実現することができる。
【0070】
図7Aは、SCPにおいて代行承認を実行するための例示的な全体的なプロセスを示すフローチャートであり、SCPはアクセストークン承認クライアントプロキシとして機能する。図7Aを参照すると、ステップ700において、本プロセスは、アクセストークンベースの承認をサポートしないコンシューマNFから、アクセストークンベースの承認を必要とするプロデューサNFによって提供されるサービスにアクセスするためのSBI要求を傍受することを含む。例えば、代行発見を伴わない間接的なPLMN間通信の場合、SCP101Aは、プロデューサNF202によって提供されるサービスにアクセスするためのSBIサービス要求をコンシューマNFから受信し得る。代行発見伴う間接的なPLMN間通信の場合、SCP101Aは、コンシューマNFからサービスアクセス要求を受信し得る。
【0071】
ステップ702において、本プロセスは、コンシューマNFに代わってアクセストークンを取得するためにアクセストークン承認クライアントプロキシとして動作することを含む。例えば、SCP101Aは、OAuth2.0承認をサポートしないコンシューマNFに代わってアクセストークンを取得するためにOAuth2.0承認クライアントプロキシとして機能し得る。図7Bは、図7Aのステップ702のさらなる詳細を示す。図7Bを参照すると、ステップ702Aにおいて、本プロセスは、コンシューマNFに代わってアクセストークン要求メッセージを生成することを含む。下記の表1は、アクセストークン要求メッセージに含まれなければならない属性を示す。
【0072】
【表1】
【0073】
アクセストークン要求に含まれなければならない属性の最小セットは、許可タイプ、NFインスタンスID、NFタイプ、ターゲットNFタイプ、範囲、要求元PLMN、およびターゲットPLMNである。許可タイプ属性は、SBIサービス要求またはサービスアクセス要求メッセージからポピュレートされるコンシューマNF身分証明から取得され得る。NFインスタンスIDは、SBIサービス要求メッセージまたはサービスアクセス要求メッセージのユーザエージェントヘッダからポピュレートされ得る。3GPP TS 29.500のセクション5.2.2によれば、ユーザエージェントヘッダは、SBIサービス要求メッセージ内の必須ヘッダである。以下の表2は、ユーザエージェントパラメータの構造を示す。
【0074】
【表2】
【0075】
表2に示されるように、ユーザエージェントパラメータは、NFインスタンスID等の、NFインスタンスを識別する情報を含み得る。SCP101Aは、SBI要求メッセージ(すなわち、代行発見のためのサービスアクセス要求または非代行発見のためのサービス要求メッセージ)のユーザエージェントヘッダからNFインスタンスIDを抽出し、その情報を使用してアクセストークン要求メッセージのNFインスタンスID属性をポピュレートし得る。同様に、NFタイプもまた、SBI要求メッセージのユーザエージェントヘッダから取得され得る。
【0076】
表1に戻ると、アクセストークン要求の要求元PLMNは、SCP101Aの、設定された要求元PLMNパラメータに基づいて、ポピュレートされ得る。ターゲットPLMN属性は、SBI要求メッセージの要求元統一資源識別子(R-URI)から抽出されたAPI名からポピュレートされ得る。アクセストークン要求の範囲属性は、SBI要求メッセージのR-URIから抽出されたサービス名からポピュレートされ得る。
【0077】
図7Bに戻ると、アクセストークン要求が定式化されると、ステップ702Bにおいて、SCP101Aは、アクセストークン要求をNRFに送信する。例えば、SCP101Aは、プロデューサNFが位置するPLMNに位置するNRF100Bにアクセストークン要求メッセージを送信してもよい。
【0078】
ステップ702Cにおいて、本プロセスは、アクセストークンを含むアクセストークン応答をNRFから受信することを含む。例えば、SCP101Aは、アクセストークンを含むアクセストークン応答をNRF100Bから受信してもよい。
【0079】
図7Aに戻ると、ステップ704において、本プロセスは、アクセストークンを使用して、コンシューマNFがプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。図7Cは、図7Aのステップ704のさらなる詳細を示す。図7Cを参照すると、本プロセスは、代行発見が実行されたかまたは非代行発見が実行されたかに応じて、わずかに異なる。代行発見が実行された場合、制御はステップ704A1に進み、本プロセスは、以前に受信されたサービスアクセス要求に応答してSBIサービス要求メッセージを生成することと、ステップ702においてコンシューマNFに代わって取得されたアクセストークンをSBIサービス要求メッセージに挿入することとを含む。例えば、SCP101Aは、代行発見手順において識別されたプロデューサNFに向けられるSBIサービス要求を生成し、それがNRF100Bから取得したアクセストークンをSBIサービス要求メッセージに挿入することができる。ステップ704B1において、本プロセスは、アクセストークンを含むSBIサービス要求をプロデューサNFに転送することを含む。例えば、SCP101Aは、アクセストークンを含むSBIサービス要求を、代行発見手順において識別されたプロデューサNFに転送することができる。次いで、プロデューサNFは、アクセストークンを使用してサービス要求を承認し、サービス要求に応答する。SCP101Aは、サービスアクセス要求を送信したコンシューマNF200に応答を転送する。
【0080】
代行発見が実施されない場合、制御はステップ704A2に進み、SCP101Aは、アクセストークンを、以前に受信されたSBIサービス要求に挿入する。非代行発見の場合のメッセージフローは、ライン1において受信されるメッセージがSBIサービスアクセス要求ではなくSBIサービス要求であり、発見が既に実行されていることを除いて、図4に示されるものと同様である。図4のライン2における代行発見メッセージングは必要とされない。非代行発見ケースの残りのステップは、図4に示すものと同じである。したがって、ステップ704B2において、SCP101Aは、アクセストークンを含むSBIサービス要求をプロデューサNFに転送する。SCP101Aは、プロデューサNFから応答を受信すると、その応答をコンシューマNFに転送する。したがって、図7A~図7Cは、SCPがアクセストークン承認クライアントプロキシとして機能し、アクセストークン承認クライアントプロキシは、本明細書で説明する例では、OAuth2.0承認クライアントプロキシである、SCPによる代行承認を示す。
【0081】
図8Aは、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバプロキシとして機能するSCPによって実行される例示的な代行承認プロセスを示す。図8Aを参照すると、本プロセスは、ステップ800において、非代行発見の場合にはコンシューマNFから、または代行発見の場合にはコンシューマNFに代わってリモートSCPから、アクセストークン要求を受信することを含む。例えば、SCP101Aは、非代行発見の場合(図5A参照)にはコンシューマNF300から、または代行発見の場合(図5B参照)にはSCP101Bから、アクセストークン要求を受信してもよい。
【0082】
ステップ802において、本プロセスは、アクセストークン要求に応答して、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバプロキシとして動作することを含む。ステップ802は、図8Bにさらに詳細に示される。図8Bを参照すると、ステップ802Aにおいて、本プロセスは、アクセストークン要求に応答してアクセストークンを生成することを含む。たとえば、SCP101Aは、IETF RFC6749において指定される必要とされるクレームを含むアクセストークンを生成し得る。アクセストークンは、IETF RFC6749において指定されたフォーマットおよびコンテンツに従って構文的に正しいものであってもよい。しかしながら、以下で説明されるように、SCP101Aは、アクセストークンベースの承認をサポートしないプロデューサNFにサービス要求メッセージを転送する前にサービス要求メッセージからアクセストークンを除去することになるので、アクセストークンは実際のアクセストークンである必要はなく、構文的に正しいフィールドを有するダミーアクセストークンであり得る。
【0083】
ステップ802Bにおいて、本プロセスは、アクセストークン応答をコンシューマNFまたはSCPに送信することを含む。例えば、SCP101Aは、それがステップ802Aで生成したアクセストークン応答を、非代行発見の場合には要求側コンシューマNFに送信し、代行発見の場合にはリモートSCPに送信することができる。
【0084】
図8Aに戻ると、ステップ804において、本プロセスは、コンシューマNFがサービスにアクセスすることを可能にするよう、プロデューサNFおよびコンシューマNFまたはSCPと信号通信を行うことを含む。ステップ804は、図8Cにより詳細に示される。図8Cを参照すると、プロデューサNFおよびコンシューマNFまたはSCPとの信号通信のプロセスは、ステップ804Aにおいて、コンシューマNFまたはSCPから、アクセストークンを含むSBIサービス要求を受信することを含む。例えば、SCP101Aは、(非代行発見の場合には)SCP101Aが生成したNFアクセストークンを含むSBIサービス要求をNFサービスコンシューマ300から、または代行発見の場合にはSCP101Bから、受信することができる。
【0085】
ステップ804Bにおいて、本プロセスは、SBIサービス要求からアクセストークンを除去することを含む。ステップ804Cにおいて、本プロセスは、SBIサービス要求をプロデューサNFに転送することを含む。例えば、SCP101Aは、それがSBIサービス要求から生成したアクセストークンを除去し、SBIサービス要求をプロデューサNFに転送することができる。したがって、図8A~図8Cは、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバプロキシおよび信号通信仲介者として機能する際にSCPによって実行され得る例示的なステップを示す。
【0086】
本明細書で説明される主題の例示的な利点は、あるPLMNがアクセストークンベースの承認をサポートし、別のPLMNがサポートしない、PLMN間の改善された相互運用性を含む。本ソリューションをSCPにおいて提供することは、SCPが複数のコンシューマNFに代わってメッセージングを扱うので、有益である。また、それは、単一のSCPが、コンシューマNFおよびプロデューサNFのために、またはそれらに代わって、本明細書で説明される機能を果たすことができるため、スケーラブルなソリューションでもある。
【0087】
以下の参考文献の各々の開示は、参照によりその全体が本明細書に組み込まれる。
参照
1. Hardt, D. "The OAuth 2.0 Authorization Framework," IETF RFC 6749 (October 2012).
2. 3GPP TS 33.501 V17.0.0 (2020-12), 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 17).
3. 3GPP TS 29.500 V17.1.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Technical Realization of the Service Based Architecture; Stage 3 (Release 17).
4. 3GPP TS 29.510 V17.0.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 17).
5. 3GPP TS 23.501 V16.7.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; System architecture for the 5G System (5GS); Stage 2 (Release 16).
本明細書に記載される主題の様々な詳細は、本明細書に記載される主題の範囲から逸脱することなく変更され得ることが理解されるであろう。さらに、本明細書に記載される主題は、以下に記載される特許請求の範囲によって規定されるため、前述の説明は、例示のみを目的とし、限定を目的としない。
参照
1. Hardt, D. "The OAuth 2.0 Authorization Framework," IETF RFC 6749 (October 2012).
2. 3GPP TS 33.501 V17.0.0 (2020-12), 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 17).
3. 3GPP TS 29.500 V17.1.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Technical Realization of the Service Based Architecture; Stage 3 (Release 17).
4. 3GPP TS 29.510 V17.0.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 17).
5. 3GPP TS 23.501 V16.7.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; System architecture for the 5G System (5GS); Stage 2 (Release 16).
本明細書に記載される主題の様々な詳細は、本明細書に記載される主題の範囲から逸脱することなく変更され得ることが理解されるであろう。さらに、本明細書に記載される主題は、以下に記載される特許請求の範囲によって規定されるため、前述の説明は、例示のみを目的とし、限定を目的としない。
【図1】
【図2A】
【図2B】
【図3A】
【図3B】
【図3C】
【図4】
【図5A】
【図5B】
【図6】
【図7A】
【図7B】
【図7C】
【図8A】
【図8B】
【図8C】
【国際調査報告】