▶ オラクル・インターナショナル・コーポレイションの特許一覧
特表2024-513662ネットワーク機能(NF)におけるリソースオブジェクトレベル承認のための方法、システム、およびコンピュータ可読媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-03-27
(54)【発明の名称】ネットワーク機能(NF)におけるリソースオブジェクトレベル承認のための方法、システム、およびコンピュータ可読媒体
(51)【国際特許分類】
H04W 12/08 20210101AFI20240319BHJP
H04L 41/40 20220101ALI20240319BHJP
H04W 92/24 20090101ALI20240319BHJP
【FI】
H04W12/08
H04L41/40
H04W92/24
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2023553376
(86)(22)【出願日】2022-01-21
(85)【翻訳文提出日】2023-10-19
(86)【国際出願番号】 US2022013268
(87)【国際公開番号】W WO2022186911
(87)【国際公開日】2022-09-09
(31)【優先権主張番号】17/192,800
(32)【優先日】2021-03-04
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.JAVASCRIPT
(71)【出願人】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】シング,ビレンドラ
(72)【発明者】
【氏名】ラジプット,ジャイ
(72)【発明者】
【氏名】スリバスタバ,アンキット
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067DD11
5K067EE16
5K067HH23
(57)【要約】
ネットワーク機能(NF)におけるリソースオブジェクトレベル承認のための方法は、第1のNFが、SBIリソースオブジェクトへのアクセスを制御するためのポリシーを含むサービスベースのインターフェース(SBI)リソースオブジェクトアクセス承認ポリシーデータベースを保持することと、リソースオブジェクトおよび対応するリソースオブジェクト所有者についてのレコードを含むリソースオブジェクト所有者データベースを動的にポピュレートすることとを含む。本方法は、第1のNFが、第2のNFから、リソースオブジェクトにアクセスするための第1のSBIリソースオブジェクトアクセス要求を受信することと、第1のSBIリソースオブジェクトアクセス要求からの情報を使用して、リソースオブジェクトアクセス承認ポリシーデータベースおよびリソースオブジェクト所有者データベースにアクセスすることと、第1のリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスは許可されない、と判断することと、第1のリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスを防止することとをさらに含む。
【特許請求の範囲】
【請求項1】
ネットワーク機能におけるリソースオブジェクトレベル承認のための方法であって、第1のネットワーク機能(NF)が、サービスベースのインターフェース(SBI)リソースオブジェクトへのアクセスを制御するためのポリシーを含む、SBIリソースオブジェクトアクセス承認ポリシーデータベースを保持することと、
前記第1のNFが、リソースオブジェクトおよび対応するリソースオブジェクト所有者についてのレコードを含むリソースオブジェクト所有者データベースを動的にポピュレートすることと、
前記第1のNFが、第2のNFから、リソースオブジェクトにアクセスするための第1のSBIリソースオブジェクトアクセス要求を受信することと、
前記第1のNFが、前記第1のSBIリソースオブジェクトアクセス要求からの情報を使用して、前記リソースオブジェクトアクセス承認ポリシーデータベースおよび前記リソースオブジェクト所有者データベースにアクセスし、前記第1のリソースオブジェクトアクセス要求によって要求される前記リソースオブジェクトへのアクセスは許可されない、と判断することと、
前記第1のリソースオブジェクトアクセス要求によって要求される前記リソースオブジェクトへの前記アクセスは許可されない、と判断したことに応答して、前記第1のリソースオブジェクトアクセス要求によって要求される前記リソースオブジェクトへの前記アクセスを防止することとを含む、方法。
【請求項2】
前記第1のNFはプロデューサNFを含む、請求項1に記載の方法。
【請求項3】
前記第1のNFはサービス通信プロキシ(SCP)を含む、請求項1に記載の方法。
【請求項4】
前記SBIリソースオブジェクトアクセス承認ポリシーデータベースを保持することは、SBIリソースオブジェクトを識別する属性を有するポリシー、前記SBIリソースオブジェクトにアクセスするためのハイパーテキスト転送プロトコル(HTTP)メソッド、および前記SBIリソースオブジェクトに対するコンシューマNF承認範囲を保持することを含む、先行する請求項のいずれか1項に記載の方法。
【請求項5】
前記リソースオブジェクト所有者データベースを動的にポピュレートすることは、コンシューマNFからSBIリソースオブジェクト作成要求を受信することと、前記5G SBIリソースオブジェクト作成要求から、前記SBIリソースオブジェクト作成要求を発信した前記コンシューマNFのNFインスタンス識別子を抽出することと、プロデューサNFから、前記リソースオブジェクトの作成の成功を確認する、前記SBIリソースオブジェクト作成要求に対する応答を受信することと、前記SBIリソースオブジェクト作成要求に対する前記応答を受信することに応答して、前記コンシューマNFの前記NFインスタンス識別子および対応するリソースオブジェクト識別子を前記リソースオブジェクト所有者データベースに格納することとを含む、先行する請求項のいずれか1項に記載の方法。
【請求項6】
前記5G SBIリソースオブジェクト作成要求から前記NFインスタンス識別子を抽出することは、前記5G SBIリソースオブジェクト作成要求内のアクセストークンのサブクレーム属性から前記コンシューマNFの前記NFインスタンス識別子を抽出することを含む、請求項5に記載の方法。
【請求項7】
前記リソースオブジェクトアクセス承認ポリシーデータベースにアクセスすることは、前記第1のSBIリソースオブジェクトアクセス要求からリソースオブジェクト識別子を抽出することと、前記リソースオブジェクト識別子を使用して前記リソースオブジェクトアクセス承認ポリシーデータベースにおいてルックアップを実行することと、前記第1のSBIリソースオブジェクトアクセス要求から抽出された前記リソースオブジェクト識別子に一致するリソースオブジェクト識別子を有するレコードを前記リソースオブジェクトアクセス承認ポリシーデータベースにおいて見つけ出すこととを含む、先行する請求項のいずれか1項に記載の方法。
【請求項8】
前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記アクセスは許可されない、と判断することは、前記アクセスは前記リソースオブジェクトの所有者に対してのみ許可される、と判断することと、前記第2のNFは前記リソースオブジェクトの前記所有者ではない、と判断することとを含む、先行する請求項のいずれか1項に記載の方法。
【請求項9】
前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記アクセスは許可されない、と判断することは、前記リソースオブジェクトアクセス要求によって要求されるタイプのアクセスは許可されない、と判断することを含む、先行する請求項のいずれか1項に記載の方法。
【請求項10】
前記第1のNFにおいて、第3のNFから、前記リソースオブジェクトにアクセスするための第2のSBIリソースオブジェクトアクセス要求を受信することと、前記第2のSBIリソースオブジェクトアクセス要求からの情報を使用して、前記リソースオブジェクトアクセス承認ポリシーデータベースおよび前記リソースオブジェクト所有者データベースにアクセスすることと、前記リソースオブジェクトへの前記第3のNFアクセスを許可することとを含む、先行する請求項のいずれか1項に記載の方法。
【請求項11】
ネットワーク機能におけるリソースオブジェクトレベル承認のためのシステムであって、少なくとも1つのプロセッサとメモリとを含む第1のネットワーク機能(NF)と、
前記メモリ内に位置し、サービスベースのインターフェース(SBI)リソースオブジェクトへのアクセスを制御するためのポリシーを格納するためのSBIリソースオブジェクトアクセス承認ポリシーデータベースと、
リソースオブジェクト識別子および対応するリソースオブジェクト所有者識別子を含むレコードを格納するためのリソースオブジェクト所有者データベースと、
前記リソースオブジェクト所有者データベース内の前記レコードを動的にポピュレートし、リソースオブジェクトにアクセスするための第1のSBIリソースオブジェクトアクセス要求を第2のNFから受信し、前記第1のSBIリソース要求からの情報を使用して、前記リソースオブジェクトアクセス承認ポリシーデータベースおよび前記リソースオブジェクト所有者データベースにアクセスし、前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記リソースオブジェクトへのアクセスは許可されない、と判断し、前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記リソースオブジェクトへの前記アクセスは許可されない、と判断したことに応答して、前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記リソースオブジェクトへの前記アクセスを防止するためのリソースオブジェクトアクセス承認マネージャとを備える、システム。
【請求項12】
前記第1のNFはプロデューサNFを含む、請求項11に記載のシステム。
【請求項13】
前記第1のNFはサービス通信プロキシ(SCP)を含む、請求項11に記載のシステム。
【請求項14】
前記SBIリソースオブジェクトアクセス承認ポリシーデータベースは、SBIリソースオブジェクトを識別する属性を有するポリシー、前記SBIリソースオブジェクトにアクセスするためのハイパーテキスト転送プロトコル(HTTP)メソッド、および前記SBIリソースオブジェクトに対するコンシューマNF承認範囲を含む、請求項11~13のいずれか1項に記載のシステム。
【請求項15】
前記リソースオブジェクト所有者データベースを動的にポピュレートする際に、前記リソースオブジェクトアクセス承認マネージャは、コンシューマNFからSBIリソースオブジェクト作成要求を受信するよう構成され、前記SBIリソースオブジェクト作成要求から、前記リソースオブジェクト作成要求を発信した前記コンシューマNFのNFインスタンス識別子を抽出するよう構成され、プロデューサNFから前記リソースオブジェクトの作成の成功を確認する、前記SBIリソースオブジェクト作成要求に対する応答を受信するよう構成され、前記応答を受信することに応答して、前記コンシューマNFの前記NFインスタンス識別子および対応するリソースオブジェクト識別子を前記リソースオブジェクト所有者データベースに格納するよう構成される、請求項11~14のいずれか1項に記載のシステム。
【請求項16】
前記リソースオブジェクトアクセス承認マネージャは、前記SBIリソースオブジェクト作成要求におけるアクセストークンのサブクレーム属性から前記コンシューマNFの前記NFインスタンス識別子を抽出するよう構成される、請求項15に記載のシステム。
【請求項17】
前記リソースオブジェクトアクセス承認ポリシーデータベースにアクセスする際に、前記リソースオブジェクトアクセス承認マネージャは、前記第1のSBIリソースオブジェクトアクセス要求からリソースオブジェクト識別子を抽出するよう構成され、前記リソースオブジェクト識別子を使用して前記リソースオブジェクトアクセス承認ポリシーデータベースにおいてルックアップを実行するよう構成され、前記第1のSBIリソースオブジェクトアクセス要求から抽出された前記リソースオブジェクト識別子に一致するリソースオブジェクト識別子を有するレコードを前記リソースオブジェクトアクセス承認ポリシーデータベースにおいて見つけ出すよう構成される、請求項11~16のいずれか1項に記載のシステム。
【請求項18】
前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記アクセスは許可されない、と判断する際に、前記リソースオブジェクトアクセス承認マネージャは、前記アクセスは前記リソースオブジェクトの所有者に対してのみ許可される、と判断し、前記第2のNFは前記リソースオブジェクトの前記所有者ではない、と判断するよう構成される、請求項11~17のいずれか1項に記載のシステム。
【請求項19】
前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記アクセスは許可されない、と判断する際に、前記リソースオブジェクトアクセス承認マネージャは、前記リソースオブジェクトアクセス要求によって要求されるタイプのアクセスは許可されない、と判断するよう構成される、請求項11~18のいずれか1項に記載のシステム。
【請求項20】
コンピュータのプロセッサによって実行されると、ステップを実行するように前記コンピュータを制御する実行可能命令が記憶された非一時的なコンピュータ可読媒体であって、前記ステップは、第1のネットワーク機能(NF)が、SBIリソースオブジェクトへのアクセスを制御するためのポリシーを含む、サービスベースのインターフェース(SBI)リソースオブジェクトアクセス承認ポリシーデータベースを保持することと、
前記第1のNFが、リソースオブジェクトおよび対応するリソースオブジェクト所有者についてのレコードを含むリソースオブジェクト所有者データベースを動的にポピュレートすることと、
前記第1のNFが、第2のNFから、リソースオブジェクトにアクセスするための第1のSBIリソースオブジェクトアクセス要求を受信することと、
前記第1のNFが、前記第1のSBIリソースオブジェクトアクセス要求からの情報を使用して、前記リソースオブジェクトアクセス承認ポリシーデータベースおよび前記リソースオブジェクト所有者データベースにアクセスし、前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記リソースオブジェクトへのアクセスは許可されない、と判断することと、
前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記リソースオブジェクトへの前記アクセスは許可されない、と判断したことに応答して、前記第1のSBIリソースオブジェクトアクセス要求によって要求される前記リソースオブジェクトへの前記アクセスを防止することとを含む、非一時的なコンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
優先権主張
本出願は、2021年3月4日に提出された米国特許出願連続番号第17/192,800号の優先権利益を主張し、その開示は、ここに引用により援用される。
本出願は、2021年3月4日に提出された米国特許出願連続番号第17/192,800号の優先権利益を主張し、その開示は、ここに引用により援用される。
【0002】
技術分野
ここで説明される主題は、ネットワークセキュリティに関する。より具体的には、ここで説明される主題は、ネットワーク機能におけるリソースオブジェクトレベル承認のための方法、システム、およびコンピュータ可読媒体に関する。
ここで説明される主題は、ネットワークセキュリティに関する。より具体的には、ここで説明される主題は、ネットワーク機能におけるリソースオブジェクトレベル承認のための方法、システム、およびコンピュータ可読媒体に関する。
【背景技術】
【0003】
背景
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと呼ばれる。ネットワーク機能は、ネットワーク機能がサービスを消費しているか、産生しているか、または消費および産生しているかに応じて、プロデューサNF、コンシューマNF、またはその両方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、ここでは互換的に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、ここでは互換的に使用される。
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと呼ばれる。ネットワーク機能は、ネットワーク機能がサービスを消費しているか、産生しているか、または消費および産生しているかに応じて、プロデューサNF、コンシューマNF、またはその両方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、ここでは互換的に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、ここでは互換的に使用される。
【0004】
所与のプロデューサNFは、多くのサービスエンドポイントを有することができ、サービスエンドポイントは、プロデューサNFによってホストされる1つまたは複数のNFインスタンスのための接点である。サービスエンドポイントは、インターネットプロトコル(IP)アドレスおよびポート番号の組み合わせ、またはプロデューサNFをホストするネットワークノード上のIPアドレスおよびポート番号に解決する完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは、複数のNFインスタンスを含み得る。複数のNFインスタンスが同じサービスエンドポイントを共有できることにも留意されたい。
【0005】
プロデューサNFは、ネットワーク機能リポジトリ機能(NRF)に登録する。NRFは、各NFインスタンスによってサポートされるサービスを識別する、利用可能なNFインスタンスのサービスプロファイルを保持する。「サービスプロファイル」および「NFプロファイル」という用語は、ここでは互換的に使用される。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するように加入することができる。
【0006】
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するよう加入することができる別のタイプのネットワークノードは、サービス通信プロキシ(SCP)である。SCPは、NRFに加入し、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシは、要求されるサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを分散させるか、またはそのトラフィックを宛先プロデューサNFインスタンスに直接ルーティングする。
【0007】
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードの別の例は、セキュリティエッジ保護プロキシ(SEPP)である。SEPPは、異なる5G公衆陸上移動ネットワーク(PLMN)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。したがって、SEPPは、PLMN間で送信されるすべてのアプリケーションプログラミングインターフェース(API)メッセージに対してメッセージフィルタリング、監視、およびトポロジー隠蔽を実行する。
【0008】
5G通信ネットワークにおける1つの問題は、承認が、ネットワーク機能レベルで定義されるが、サービスベースのインターフェース(SBI)リソースオブジェクトレベルでは定義されないことであり、ここで、リソースオブジェクトとは、プロデューサNFによって提供されるサービスにアクセスするコンシューマNFの要求で、プロデューサNFにおいて作成されるデータ構造である。例えば、3rd Generation Partnership Project (3GPP(登録商標)) Technical Specification (TS) 33.501の第13.4節は、コンシューマネットワーク機能がプロデューサネットワーク機能によって提供されるサービスにアクセスすることができるかどうかを判断するために、OAuth 2.0ベースの承認が使用されるべきであることを示す。OAuth 2.0承認手順は、インターネットエンジニアリングタスクフォース(IETF)コメント要求(RFC)6749(Internet Engineering Task Force (IETF) Request for Comments (RFC) 6749)において定義されている。OAuth 2.0承認手順を使用して、サービスにアクセスしようとするコンシューマネットワーク機能は、プロデューサNFにアクセストークンを提示する。アクセストークンは、NRFの公開鍵を使用して要求側コンシューマNFによって署名される。プロデューサNFは、アクセストークンを検証し、要求されたサービスへのアクセスをコンシューマNFに承認する。一旦そのコンシューマNFがサービスへのアクセスを承認されると、あるネットワーク機能が別のネットワーク機能によって作成されたリソースオブジェクトにアクセスすることを防止する、定義された承認機構はない。すなわち、所与のプロデューサNFによって提供されるサービスにアクセスしようとするすべてのコンシューマNFに同じアクセストークンが提供され、そのアクセストークンが検証された後には、さらなる承認は実行されないので、コンシューマNF#2は、コンシューマNF#1によって作成されたリソースオブジェクトを、意図的に、または意図せずして、修正し得る。
【0009】
リソースオブジェクトレベルにおいて定義された承認機構が存在しないため、NFにおけるリソースオブジェクトレベル承認のための方法、システム、およびコンピュータ可読媒体の必要性が存在する。
【発明の概要】
【課題を解決するための手段】
【0010】
概要
ネットワーク機能(NF)におけるリソースオブジェクトレベル承認のための方法は、第1のNFが、SBIリソースオブジェクトへのアクセスを制御するためのポリシーを含むサービスベースのインターフェース(SBI)リソースオブジェクトアクセス承認ポリシーデータベースを保持することを含む。本方法はさらに、第1のNFが、リソースオブジェクトおよび対応するリソースオブジェクト所有者についてのレコードを含むリソースオブジェクト所有者データベースを動的にポピュレートすることを含む。本方法はさらに、第1のNFが、第2のNFから、リソースオブジェクトにアクセスするための第1のSBIリソースオブジェクトアクセス要求を受信することを含む。本方法はさらに、第1のNFが、第1のSBIリソースオブジェクトアクセス要求からの情報を使用して、リソースオブジェクトアクセス承認ポリシーデータベースおよびリソースオブジェクト所有者データベースにアクセスし、第1のリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスは許可されない、と判断することを含む。本方法はさらに、第1のリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスは許可されない、と判断したことに応答して、第1のリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスを防止することを含む。
ネットワーク機能(NF)におけるリソースオブジェクトレベル承認のための方法は、第1のNFが、SBIリソースオブジェクトへのアクセスを制御するためのポリシーを含むサービスベースのインターフェース(SBI)リソースオブジェクトアクセス承認ポリシーデータベースを保持することを含む。本方法はさらに、第1のNFが、リソースオブジェクトおよび対応するリソースオブジェクト所有者についてのレコードを含むリソースオブジェクト所有者データベースを動的にポピュレートすることを含む。本方法はさらに、第1のNFが、第2のNFから、リソースオブジェクトにアクセスするための第1のSBIリソースオブジェクトアクセス要求を受信することを含む。本方法はさらに、第1のNFが、第1のSBIリソースオブジェクトアクセス要求からの情報を使用して、リソースオブジェクトアクセス承認ポリシーデータベースおよびリソースオブジェクト所有者データベースにアクセスし、第1のリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスは許可されない、と判断することを含む。本方法はさらに、第1のリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスは許可されない、と判断したことに応答して、第1のリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスを防止することを含む。
【0011】
ここに記載の主題の別の局面によれば、第1のNFは、プロデューサNFを含む。
ここで説明される主題の別の局面によれば、第1のNFは、サービス通信プロキシ(SCP)を含む。
ここで説明される主題の別の局面によれば、第1のNFは、サービス通信プロキシ(SCP)を含む。
【0012】
ここで説明される主題の別の局面によれば、SBIリソースオブジェクトアクセス承認ポリシーデータベースを保持することは、SBIリソースオブジェクトを識別する属性を有するポリシー、SBIリソースオブジェクトにアクセスするためのハイパーテキスト転送プロトコル(HTTP)メソッド、およびSBIリソースオブジェクトに対するコンシューマNF承認範囲を保持することを含む。
【0013】
ここで説明される主題の別の局面によれば、リソースオブジェクト所有者データベースを動的にポピュレートすることは、コンシューマNFからSBIリソースオブジェクト作成要求を受信することと、SBIリソースオブジェクト作成要求から、SBIリソースオブジェクト作成要求を発信したコンシューマNFのNFインスタンス識別子を抽出することと、プロデューサNFから、リソースオブジェクトの作成の成功を確認する、SBIリソースオブジェクト作成要求に対する応答を受信することと、応答を受信することに応答して、コンシューマNFのNFインスタンス識別子および対応するリソースオブジェクト識別子をリソースオブジェクト所有者データベースに格納することとを含む。
【0014】
ここで説明される主題の別の局面によれば、SBIリソースオブジェクト作成要求からNFインスタンス識別子を抽出することは、SBIリソースオブジェクト作成要求内のアクセストークンのサブクレーム属性からコンシューマNFのNFインスタンス識別子を抽出することを含む。
【0015】
ここで説明される主題の別の局面によれば、リソースオブジェクトアクセス承認ポリシーデータベースにアクセスすることは、第1のSBIリソースオブジェクトアクセス要求からリソースオブジェクト識別子を抽出することと、リソースオブジェクト識別子を使用してリソースオブジェクトアクセス承認ポリシーデータベースにおいてルックアップを実行することと、第1のSBIリソースオブジェクトアクセス要求から抽出されたリソースオブジェクト識別子に一致するリソースオブジェクト識別子を有するレコードをリソースオブジェクトアクセス承認ポリシーデータベースにおいて見つけ出すこととを含む。
【0016】
ここで説明される主題の別の局面によれば、第1のSBIリソースオブジェクトアクセス要求によって要求されるアクセスは許可されない、と判断することは、アクセスはリソースオブジェクトの所有者に対してのみ許可される、と判断することと、第2のNFはリソースオブジェクトの所有者ではない、と判断することとを含む。
【0017】
ここで説明される主題の別の局面によれば、第1のSBIリソースオブジェクトアクセス要求によって要求されるアクセスは許可されない、と判断することは、第1のSBIリソースオブジェクトアクセス要求によって要求されるタイプのアクセスは許可されない、と判断することを含む。
【0018】
ここで説明される主題の別の局面によれば、リソースオブジェクトレベル承認のための方法は、第1のNFにおいて、第3のNFから、リソースオブジェクトにアクセスするための第2のSBIリソースオブジェクトアクセス要求を受信することと、第2のSBIリソースオブジェクトアクセス要求からの情報を使用して、リソースオブジェクトアクセス承認ポリシーデータベースおよびリソースオブジェクト所有者データベースにアクセスすることと、リソースオブジェクトへの第3のNFアクセスを許可することとを含む。
【0019】
ここで説明される主題の別の局面によれば、ネットワーク機能におけるリソースオブジェクトレベル承認のためのシステムが提供される。システムは、少なくとも1つのプロセッサおよびメモリを含む第1のネットワーク機能(NF)を含む。本システムはさらに、メモリ内に位置し、サービスベースのインターフェース(SBI)リソースオブジェクトへのアクセスを制御するためのポリシーを格納するためのSBIリソースオブジェクトアクセス承認ポリシーデータベースを含む。本システムはさらに、リソースオブジェクト識別子および対応するリソースオブジェクト所有者識別子を含むレコードを格納するためのリソースオブジェクト所有者データベースを含む。本システムはさらに、リソースオブジェクト所有者データベース内のレコードを動的にポピュレートし、リソースオブジェクトにアクセスするための第1のSBIリソースオブジェクトアクセス要求を第2のNFから受信し、第1のSBIリソース要求からの情報を使用して、リソースオブジェクトアクセス承認ポリシーデータベースおよびリソースオブジェクト所有者データベースにアクセスし、第1のSBIリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスは許可されない、と判断し、第1のSBIリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスは許可されない、と判断したことに応答して、第1のSBIリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスを防止するためのリソースオブジェクトアクセス承認マネージャを含む。
【0020】
ここで説明される主題の別の局面によれば、SBIリソースオブジェクトアクセス承認ポリシーデータベースは、SBIリソースオブジェクトを識別する属性を有するポリシー、SBIリソースオブジェクトにアクセスするためのハイパーテキスト転送プロトコル(HTTP)メソッド、およびSBIリソースオブジェクトに対するコンシューマNF承認範囲を含む。
【0021】
ここで説明される主題の別の局面によれば、リソースオブジェクト所有者データベースを動的にポピュレートする際に、リソースオブジェクトアクセス承認マネージャは、コンシューマNFからSBIリソースオブジェクト作成要求を受信するよう構成され、SBIリソースオブジェクト作成要求から、SBIリソースオブジェクト作成要求を発信したコンシューマNFのNFインスタンス識別子を抽出するよう構成され、プロデューサNFからリソースオブジェクトの作成の成功を確認する、SBIリソースオブジェクト作成要求に対する応答を受信するよう構成され、応答を受信することに応答して、コンシューマNFのNFインスタンス識別子および対応するリソースオブジェクト識別子をリソースオブジェクト所有者データベースに格納するよう構成される。
【0022】
ここで説明する主題の別の局面によれば、リソースオブジェクトアクセス承認マネージャは、SBIリソースオブジェクト作成要求中のアクセストークンのサブクレーム属性からコンシューマNFのNFインスタンス識別子を抽出するよう構成される。
【0023】
ここで説明される主題の別の局面によれば、リソースオブジェクトアクセス承認ポリシーデータベースにアクセスする際に、リソースオブジェクトアクセス承認マネージャは、第1のSBIリソースオブジェクトアクセス要求からリソースオブジェクト識別子を抽出するよう構成され、リソースオブジェクト識別子を使用してリソースオブジェクトアクセス承認ポリシーデータベースにおいてルックアップを実行するよう構成され、第1のSBIリソースオブジェクトアクセス要求から抽出されたリソースオブジェクト識別子に一致するリソースオブジェクト識別子を有するレコードをリソースオブジェクトアクセス承認ポリシーデータベースにおいて見つけ出すよう構成される。
【0024】
ここで説明される主題の別の局面によれば、第1のSBIリソースオブジェクトアクセス要求によって要求されるアクセスは許可されない、と判断する際に、リソースオブジェクトアクセス承認マネージャは、アクセスはリソースオブジェクトの所有者に対してのみ許可される、と判断し、第2のNFはリソースオブジェクトの所有者ではない、と判断するよう構成される。
【0025】
ここで説明される主題の別の局面によれば、第1のSBIリソースオブジェクトアクセス要求によって要求されるアクセスは許可されない、と判断する際に、リソースオブジェクトアクセス承認マネージャは、SBIリソースオブジェクトアクセス要求によって要求されるタイプのアクセスは許可されない、と判断するよう構成される。
【0026】
ここに記載の主題の別の局面によれば、コンピュータのプロセッサによって実行されるとステップを実行するようコンピュータを制御する実行可能命令を記憶した非一時的なコンピュータ可読媒体が提供される。ステップは、第1のネットワーク機能(NF)が、SBIリソースオブジェクトへのアクセスを制御するためのポリシーを含む、サービスベースのインターフェース(SBI)リソースオブジェクトアクセス承認ポリシーデータベースを保持することを含む。ステップはさらに、第1のNFが、リソースオブジェクトおよび対応するリソースオブジェクト所有者についてのレコードを含むリソースオブジェクト所有者データベースを動的にポピュレートすることを含む。ステップはさらに、第1のNFが、第2のNFから、リソースオブジェクトにアクセスするための第1のSBIリソースオブジェクトアクセス要求を受信することを含む。ステップはさらに、第1のNFが、第1のSBIリソースオブジェクトアクセス要求からの情報を使用して、リソースオブジェクトアクセス承認ポリシーデータベースおよびリソースオブジェクト所有者データベースにアクセスし、第1のSBIリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスは許可されない、と判断することを含む。ステップはさらに、第1のSBIリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスは許可されない、と判断したことに応答して、第1のSBIリソースオブジェクトアクセス要求によって要求されるリソースオブジェクトへのアクセスを防止することを含む。
【0027】
ここで説明される主題は、ハードウェアおよび/またはファームウェアと組み合わせたソフトウェアで実現され得る。たとえば、ここで説明する主題は、プロセッサによって実行されるソフトウェアで実現され得る。例示的な一実現形態では、ここで説明する主題は、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御するコンピュータ実行可能命令を記憶した非一時的コンピュータ可読媒体を使用して実現され得る。本明細書に記載の主題を実施するのに適した例示的なコンピュータ可読媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブル論理デバイス、および特定用途向け集積回路などの非一時的コンピュータ可読媒体を含む。加えて、本明細書で説明される主題を実現するコンピュータ可読媒体は、単一のデバイスもしくはコンピューティングプラットフォーム上に位置してもよく、または複数のデバイスもしくはコンピューティングプラットフォームにわたって分散されてもよい。
【図面の簡単な説明】
【0028】
【図1】例示的な5Gシステムネットワークアーキテクチャを示すネットワーク図である。
【図2A】HTTP POSTメソッドを使用してNFサービスプロデューサにおいてリソースオブジェクトを作成するために交換される例示的なメッセージを示すメッセージフロー図である。
【図2B】HTTP PUTメソッドを使用してNFサービスプロデューサにおいてリソースオブジェクトを作成するために交換される例示的なメッセージを示すメッセージフロー図である。
【図3A】HTTP GETメソッドを使用して単一のリソースオブジェクトを読み出すために交換される例示的なメッセージを示すメッセージフロー図である。
【図3B】HTTP GETメソッドを使用してリソースオブジェクトのセットに照会するために交換される例示的なメッセージを示すメッセージフロー図である。
【図4A】HTTP PUTメソッドを使用してリソースオブジェクトを更新するために交換される例示的なメッセージを示すメッセージフロー図である。
【図4B】HTTP PATCHメソッドを使用してリソースオブジェクトを更新するために交換される例示的なメッセージを示すメッセージフロー図である。
【図5】HTTP DELETEメソッドを使用してリソースオブジェクトを削除するために交換される例示的なメッセージを示すメッセージフロー図である。
【図6A】HTTP POSTメソッドを使用してサブスクリプションリソースオブジェクトを作成するために交換される例示的なメッセージを示すメッセージフロー図である。
【図6B】HTTP PUTメソッドを使用してサブスクリプションリソースオブジェクトを作成するために交換される例示的なメッセージを示すメッセージフロー図である。
【図6C】HTTP PATCHメソッドを使用してサブスクリプションリソースオブジェクトを更新するために交換される例示的なメッセージを示すメッセージフロー図である。
【図6D】HTTP POSTメソッドを使用したサブスクリプションリソースオブジェクトに関する情報の例示的な提供を示すメッセージフロー図である。
【図7A】プロデューサNFがNRFからアクセストークンを取得するために交換される例示的なメッセージを示すメッセージフロー図である。
【図7B】コンシューマNFがNRFからアクセストークンを取得するために交換される例示的なメッセージを示すメッセージフロー図である。
【図7C】NFサービスプロデューサによって提供されるサービスを取得するか、またはそのサービスにアクセスするための、NFサービスコンシューマによるアクセストークンの使用を示すメッセージフロー図である。
【図8】直接SBI通信を用いたリソースオブジェクトの不正更新を示すメッセージフロー図である。
【図9】間接SBI通信を用いたリソースオブジェクトの不正更新を示すメッセージフロー図である。
【図10】SBI間接通信を使用したリソースオブジェクトへの不正アクセスを防止するために交換される例示的なメッセージを示すメッセージフロー図である。
【図11】SBIリソースレベル承認を提供するためのネットワーク機能の例示的なアーキテクチャを示すブロック図である。
【図12】SBIリソースオブジェクトレベル承認のための例示的なプロセスを示すフローチャートである。
【発明を実施するための形態】
【0029】
詳細な説明
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(HPLMN:home public land mobile network)に位置し得るNRF100およびSCP101を含む。上記で説明されるように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを保持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスに加入し、その登録を通知されることを可能にし得る。SCP101はまた、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(HPLMN:home public land mobile network)に位置し得るNRF100およびSCP101を含む。上記で説明されるように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを保持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスに加入し、その登録を通知されることを可能にし得る。SCP101はまた、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。
【0030】
NRF100は、プロデューサNFインスタンスのNFまたはサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、プロデューサNFインスタンスのNFまたはサービスプロファイルをNRF100から取得しなければならない。NFまたはサービスプロファイルは、3GPP TS 29.510で定義されるJavaScriptオブジェクト表記(JSON)データ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。
【0031】
図1では、ネットワーク機能のいずれも、それらがサービスを要求、提供、または要求および提供しているかどうかに応じて、コンシューマNF、プロデューサNF、または両方となり得る。図示の例では、NFは、ネットワークにおいてポリシー関連動作を実行するPCF102と、ユーザデータを管理するUDM機能104と、アプリケーションサービスを提供するアプリケーション機能(AF)106とを含む。
【0032】
図1に示すNFは、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(SMF)108をさらに含む。AMF110は、4Gネットワークにおいてモビリティ管理エンティティ(MME)によって実行されるモビリティ管理動作と同様の動作を実行する。認証サーバ機能(AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114などのユーザ機器(UE)のために認証サービスを実行する。
【0033】
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスに関連付けられる特定のネットワーク機能および特性にアクセスしようとするデバイスのためにネットワークスライスサービスを提供する。ネットワーク公開機能(NEF)118は、モノのインターネット(IoT)デバイスおよびネットワークに接続される他のUEに関する情報を取得しようとするアプリケーション機能のためにアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス機能公開機能(SCEF)と同様の機能を実行する。
【0034】
無線アクセスネットワーク(RAN)120は、無線リンクを介してユーザ機器(UE)114をネットワークに接続する。無線アクセスネットワーク120は、g-Node B(gNB)(図1には示さず)または他の無線アクセスポイントを用いてアクセスされてもよい。ユーザプレーン機能(UPF)122は、ユーザプレーンサービスのために様々なプロキシ機能をサポート可能である。そのようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(MPTCP)プロキシ機能である。UPF122はまた、ネットワーク性能測定値を取得するためにUE114によって使用されてもよい性能測定機能をサポートしてもよい。図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするデータネットワーク(DN)124も示されている。
【0035】
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNを出るトラフィックのためにトポロジー隠蔽を実行する。SEPP126は、外部PLMNのセキュリティを管理する、外部PLMN内のSEPPと通信してもよい。したがって、異なるPLMN内のNF間のトラフィックは、一方はホームPLMN用であり、他方は外部PLMN用である、2つのSEPP機能を横断し得る。
【0036】
上述のように、5Gネットワークに対する3GPPネットワークアーキテクチャに関する1つの問題は、3GPP TS 33.501が、NFサービスプロデューサがNFサービスリクエスタからの要求を承認するためにOAuth 2.0承認手順が使用されるべきである旨を規定しているが、異なるプロデューサNFが、同じOAuth 2.0アクセストークンを使用してリソースにアクセスすることができ、これは、権限のない5G NFへのデータ開示、データ損失、サービスの拒否またはデータ操作をもたらし得ることである。ここに記載の主題は、5GコンシューマNFによる不正アクセスから5G SBI APIリソースオブジェクトを保護する方法を提供する。不正アクセスの例は、読み出しアクセス、削除アクセス、および更新アクセスを含む。一例では、5G SBI APIリソースオブジェクトレベル承認は、サービス通信プロキシまたはSCPにおいて実現される。別の実現形態では、5G SBI APIリソースオブジェクトレベル承認は、プロデューサNFにおいて実現される。
【0037】
SBIリソースオブジェクトは、NFサービスプロデューサによって提供されるサービスにNFサービスコンシューマがアクセスすることを可能にするSBIインターフェースを使用して、NFサービスプロデューサにおいて作成されるデータ構造である。図2Aは、HTTP POSTメソッドを使用してSBIリソースオブジェクトを作成する例を示す。図2Aを参照すると、メッセージフロー図のライン1において、NFサービスコンシューマ200は、HTTP POSTメッセージをNFサービスプロデューサ202に送信して、NFサービスプロデューサ202において新たなリソースオブジェクトを作成する。HTTP POSTメッセージは、統一資源識別子(URI)を使用して子リソースを識別する。HTTP POSTメッセージに応答して、NFサービスプロデューサ202は、要求されたリソースオブジェクトを作成し、ライン2において、要求されたリソースオブジェクトが作成されたことを示す201 CreatedメッセージをNFサービスコンシューマ200に送信する。新たに作成されたリソースオブジェクトへのアクセスに対する承認はなく、それは、NFサービスコンシューマ200以外のNFサービスコンシューマがその新たに作成されたリソースオブジェクトにアクセスできることを意味することに留意されたい。
【0038】
別の例では、リソースオブジェクトは、NFサービスプロデューサにおいて、HTTP PUTメソッドを使用して作成され得る。この方法を図2Bに示す。図2Bのメッセージフローのライン1において、NFサービスコンシューマ200は、HTTP PUTメッセージをNFサービスプロデューサ202に送信する。PUTメッセージは、NFサービスコンシューマ200がNFサービスプロデューサ202において作成することを望むリソースオブジェクトを指定する。HTTP PUTメッセージに応答して、NFサービスプロデューサ202は、要求されたリソースオブジェクトを作成し、ライン2で201 CreatedメッセージをNFサービスコンシューマ200に送信する。POSTメソッドを使用して作成されたリソースオブジェクトと同様に、PUTメソッドを使用して作成されたリソースオブジェクトも、NRFからアクセストークンを取得する任意のコンシューマNFによって、リソースオブジェクトレベルで、承認なくアクセスすることができる。
【0039】
コンシューマNFがSBIリソースオブジェクトにアクセスすることができる1つの方法は、HTTP GETメソッドを使用することである。図3Aは、HTTP GETメソッドを使用してSBIリソースオブジェクトにアクセスする例を示す。上述したように、ある既存のリソースオブジェクトは、そのリソースオブジェクトを作成したコンシューマNFによって、またはそのリソースオブジェクトを作成しなかったコンシューマNFによって、アクセスされ得る。図3Aおよび残りの図では、NFサービスコンシューマ200は、リソースオブジェクト作成者であると仮定され、NFサービスコンシューマ300は、そのリソースオブジェクトにアクセスしようとする、リソースオブジェクト作成者以外のコンシューマNFであると仮定される。図3Aを参照すると、ライン1において、NFサービスコンシューマ200または300は、SBIリソースオブジェクトを識別するHTTP GETメッセージをNFサービスプロデューサ202に送信する。図3Aでは、リソースオブジェクトは、URIおよび場合によっては他のクエリパラメータによって識別される単一のリソースである。NFサービスプロデューサ202は、ライン2において、200 OKメッセージを、リソースオブジェクトの、要求された表現とともに送信することによって、HTTP GETメッセージに応答する。有効なネットワークアクセストークンを必要とする以外に、リソースオブジェクト表現の提供前にNFサービスプロデューサ202によって実行される承認はないことに留意されたい。したがって、リソースオブジェクトを作成したコンシューマNF200などの、承認されたコンシューマNFは、リソースオブジェクトにアクセスすることができ、コンシューマNF300などの承認されていないコンシューマNFは、リソースオブジェクトレベルで定義された承認手順がないので、リソースオブジェクトにアクセスすることができる。
【0040】
別の例では、NFサービスコンシューマ200または300は、HTTP GETメソッドを利用してリソースのセットにアクセスすることができる。この例を図3Bに示す。図3Bのメッセージフローのライン1において、NFサービスコンシューマ200または300は、HTTP GETメッセージをNFサービスプロデューサ202に送信する。HTTP GETメッセージは、リソースのセットを識別するクエリパラメータを指定する。クエリコンポーネントは、経路コンポーネントにおけるデータとともに、NFサービスプロデューサ202によって使用されて、URIスキームの範囲内で識別されるリソースを、クエリパラメータに一致するリソースのサブセットにフィルタリングする、非階層データを含む。クエリコンポーネントは、最初の「?」文字によって示され、URIの最後で「#」文字によって終了する。単一のリソースへのアクセスと同様に、複数のリソースへのアクセスは、権限のないコンシューマNFに提供され得る。
【0041】
別のタイプのリソースオブジェクトアクセスは、リソースオブジェクトを更新するためのアクセスである。図4Aは、リソースオブジェクトを更新するためのHTTP PUTメソッドの使用を示すメッセージフロー図である。HTTP PUTメソッドは、サービスコンシューマNFがプロデューサNFに記憶された情報を完全な置換によって更新することを可能にする。PUTメソッドは、リソースオブジェクトの現在の表現を新たな表現で置換する。図4に示されるメッセージフローを参照すると、ライン1において、NFサービスコンシューマ200または300は、HTTP PUTメッセージをNFサービスプロデューサ202に送信する。PUTメッセージは、リソースオブジェクトの識別子と、置換されるリソースオブジェクトを表すリソースオブジェクト表現とを含む。メッセージフロー図のライン2において、NFサービスプロデューサ202は、リソースオブジェクトを新たなリソース表現で置換し、置換が成功した場合は200 OKメッセージで、置換動作が成功しなかった場合は204 No Contentメッセージで、応答する。リソースオブジェクト置換を実行する前に、リソースオブジェクトレベルでは承認はない。
【0042】
図4Bは、既存のリソースオブジェクトを更新するためのHTTP PATCHメソッドの使用を示すメッセージフロー図である。HTTP PATCHメソッドは、コンシューマNFがプロデューサNFに記憶された情報を部分置換によって更新することを可能にする。PATCHメソッドは、PATCHメソッドにおいて提供される修正命令に従ってリソースオブジェクトの現在の表現を修正する。図4Bのメッセージフローを参照すると、ライン1において、NFサービスコンシューマ200または300は、HTTP PATCHメッセージをNFサービスプロデューサ202に送信する。HTTP PATCHメッセージは、修正されるリソースオブジェクトを識別し、修正命令を含む。メッセージフロー図のライン2において、NFサービスプロデューサ202は、当該リソースオブジェクトがNFサービスプロデューサ202に存在する場合には、そのリソースオブジェクトを置換または修正し、存在しない場合には、204 No Contentメッセージを送信する。この場合もやはり、リソースオブジェクトレベルでは承認はない。リソースを作成したコンシューマNF200またはリソースを作成しなかった別のコンシューマNF300等の正当なコンシューマは、NRFから取得された有効なアクセストークンを提示することによって、リソースオブジェクトを修正することができる。
【0043】
リソースオブジェクトへのさらに別のタイプのアクセスは、削除アクセスである。図5は、リソースオブジェクトを削除するためのHTTP DELETEメソッドの使用を示すメッセージフロー図である。HTTP DELETEメソッドは、NFサービスコンシューマが、NFサービスプロデューサにおいて、あるリソースオブジェクト全体を削除することを可能にする。図5のメッセージフローを参照すると、ライン1において、NFサービスコンシューマ200または300は、HTTP DELETEメッセージをNFサービスプロデューサ202に送信する。NFサービスプロデューサ202は、DELETEメッセージ内で識別されるリソースオブジェクトがNFサービスプロデューサ202に存在するかどうかを判断し、存在する場合には、そのリソースオブジェクトを削除する。ライン2において、NFサービスプロデューサ202は、削除動作が成功した場合は202 Acceptedメッセージで応答し、削除動作が成功しなかった場合は204 No Contentメッセージで応答する。HTTP DELETEメソッドに対して実行されるリソースオブジェクトレベル承認はない。NFサービスコンシューマ200または300が、OAuth 2.0手順を使用して取得された、プロデューサNF202に対する署名されたアクセストークンを有する限り、NFサービスコンシューマ200または300は、そのリソースオブジェクトにアクセスし、それを削除することができる。
【0044】
上述のような要求/応答通信に加えて、リソースオブジェクトは、サブスクライブ/通知通信を使用して作成され、読み出され、修正され得る。図6Aは、NFサービスコンシューマがHTTP POSTメソッドを使用してサブスクリプションリソースオブジェクトを作成するのを示すメッセージフロー図である。図6Aを参照すると、ライン1において、NFサービスコンシューマ200または300は、HTTP POSTメッセージをNFサービスプロデューサ202に送信する。HTTP POSTメッセージは、作成されるサブスクリプションリソースオブジェクトを識別する。HTTP POSTメッセージに応答して、ライン2において、NFサービスプロデューサ202は、要求されるサブスクリプションリソースオブジェクトを作成し、サブスクリプションリソースオブジェクトが作成されたことを示す201 Createdメッセージで、POSTメッセージに応答する。
【0045】
図6Bは、HTTP PUTメソッドを使用したサブスクリプションリソースオブジェクトの更新を示す。HTTP PUTメソッドは、NFサービスコンシューマがNFサービスプロデューサにおいて既存のサブスクリプションリソースオブジェクトを置換することを可能にする。図6Bを参照すると、ライン1において、NFサービスコンシューマ200または300は、HTTP PUTメッセージをNFサービスプロデューサ202に送信する。HTTP PUTメッセージは、図6Aで作成されたサブスクリプションリソースオブジェクトを識別する。HTTP PUTメソッドに応答して、NFサービスプロデューサ202は、サブスクリプションリソースオブジェクトを、PUTメッセージにおいて指定されたサブスクリプションリソースオブジェクトの新たな表現で置換するか、またはPUT動作が成功しなかった場合には、204 No Contentメッセージで応答する。既存のサブスクリプションのためにPUT動作を実行するために必要とされるリソースオブジェクトレベル承認はない。
【0046】
図6Cは、サブスクリプションを修正するためのHTTP PATCHメソッドの使用を示す。図6Cを参照すると、メッセージフロー図のライン1において、NFサービスコンシューマ200または300は、HTTP PATCHメッセージを、サブスクリプションリソースオブジェクトの識別子と、サブスクリプションリソースオブジェクトを修正するための命令とともに、NFサービスプロデューサ202に送信する。HTTP PATCHメッセージに応答して、NFサービスプロデューサ202は、サブスクリプションが首尾よく修正された場合には、200 OKメッセージで応答し、サブスクリプションが首尾よく修正されなかった場合には、204 No Contentメッセージで応答する。リソースオブジェクトレベルでは承認はない。
【0047】
図6Dは、既存のサブスクリプションに関する通知を送信するためのHTTP POSTメソッドの使用を示す。図6Dを参照すると、メッセージフロー図のライン1において、NFサービスプロデューサ202は、既存のサブスクリプションリソースオブジェクトにおいて指定される条件によってトリガされた通知を含むHTTP POSTメッセージを、NFサービスコンシューマ200または300に送信する。ライン2では、NFサービスコンシューマ200または300は、POST動作が成功したかどうかに応じて、200 OKまたは204 No Contentメッセージで応答する。したがって、図6Dは、正当なサービスコンシューマまたは権限のないサービスコンシューマが、リソースオブジェクトレベル承認なしに、リソースイベントによりトリガされた通知を受信することによって、既存のサブスクリプションに関する情報を得ることができることを示す。
【0048】
図7Aおよび図7Bは、3GPP TS 33.501において規定される承認フレームワークを示す。3GPP TS 33.501の第13.4.1項によれば、NFサービスプロデューサは、IETF RFC 6749において規定されるようなOAuth 2.0フレームワークを使用して、NFサービス要求コンシューマからの要求を承認する。IETF RFC6749の第4.4項によれば、承認はクライアント資格証明承認タイプであり、これはクライアントがクライアントレベルで資格証明を承認されることを意味する。NFサービスプロデューサによって提供されるサービスにNFサービスコンシューマがアクセスするための機構は、IETF RFC7515に規定されるようなJSONウェブ署名に基づくデジタル署名またはメッセージ認証コードで保護された、IETF RFC7519に記載されるJSONウェブトークンである。
【0049】
図7Aは、NFサービスプロデューサが、あるプロファイルを、NRFとともに作成するための手順を示す。図7Aを参照すると、ライン1において、NFサービスプロデューサ202は、Nnrf_NFManagement_NFRegister要求をNRF100に送信する。ステップ2において、NRF100は、プロデューサNFについてのNFプロファイルを記憶する。ステップ3において、NRF100は、NFプロファイルが成功裏に確立されたことを示すNnrf_NFManagement_NFRegister応答で応答する。
【0050】
図7Bは、NFサービスコンシューマがNRF100からアクセストークンを取得するプロセスを示す。図7Bを参照すると、ライン1において、NFサービスコンシューマ200または300は、アクセスが要求されるサービスを識別するNRFアクセストークンGET要求をNRF100に送信する。ライン2では、NRF100は、クライアント(NFサービスコンシューマ200または300)を承認し、NRFアクセストークンGET要求において識別されるサービスにアクセスするためのアクセストークンを生成する。ライン3では、NRF100は、アクセストークンを含むNRFアクセストークンGET応答で応答し、アクセストークンをNFサービスコンシューマ200または300に提供する。アクセストークンは、NFサービスコンシューマがリソースオブジェクトの作成者であるかどうかにかかわらず、任意のサービスコンシューマがプロデューサNF202において作成されたリソースオブジェクトにアクセスすることを可能にする。
【0051】
図7Cは、NFサービスプロデューサ202によって提供されるサービスを取得するかまたはそれにアクセスするための、NFサービスコンシューマ200または300によるアクセストークンの使用を示す。図7Cを参照すると、ライン1において、NFサービスコンシューマ200または300は、サービス要求をNFサービスプロデューサ202に送信する。サービス要求はアクセストークンを含む。ライン2において、NFサービスプロデューサ202は、アクセストークンを検証し、要求されるサービスへのアクセスを提供する。リソースオブジェクトレベルで実行される承認はない。NFサービスコンシューマ200または300が有効なアクセストークンを提示する限り、リソースオブジェクトは、読み出され、修正され、または削除され得る。
【0052】
図8は、コンシューマNFがプロデューサNFと直接通信して、SBIリソースオブジェクトを作成し、そのリソースオブジェクトにアクセスする、直接SBI通信を示すメッセージフロー図である。図8を参照すると、ライン1において、コンシューマNF200は、リソースオブジェクトを作成するために、メッセージをプロデューサNF202に送信する。コンシューマNF200は、プロデューサNF202によって提供されるサービスにアクセスするために、NRFからアクセストークンを以前に取得している、と仮定される。アクセストークンは、図示の例ではHTTP PUTまたはPOSTメッセージにあるリソース作成要求メッセージに含まれる。ライン2において、プロデューサNF202は、リソースデータを含む201 Createdメッセージで、リソース作成要求メッセージに応答する。
【0053】
図8のメッセージフローのライン3において、コンシューマNF200は、プロデューサNF202でリソースオブジェクトを更新するためのメッセージを送信する。更新メッセージは、HTTP PUTまたはPATCHメッセージであってもよく、NRFから取得されたアクセストークンを含む。ライン4において、プロデューサNF202は、アクセストークンを検証し、5Gリソーステーブル800によって示されるようにリソースオブジェクトを更新する。タイムスタンプT4におけるデータは、リソースオブジェクトがタイムスタンプT2において作成されたときのデータよりも修正される。
【0054】
メッセージフロー図のライン5において、コンシューマNF200によって作成されたリソースオブジェクトにアクセスすることを承認されていないコンシューマNF300は、NRF100からアクセストークンを取得して5G NFサービスAPIにアクセスすることによって、リソースオブジェクトにアクセスすることができる。コンシューマNF300は、コンシューマNF200が作成したリソースについて更新メッセージを送信する。ライン6では、プロデューサNF202は、アクセストークンを検証し、5G SBIリソーステーブル800内のタイムスタンプT6によって示されるように、修正されたデータを含むようにリソースオブジェクトを更新する。
【0055】
別の例では、コンシューマNF300は、別のコンシューマNFによって作成されたリソースオブジェクト内のデータを読み出すことができる。この例は、メッセージフロー図のライン7およびライン8に示されており、コンシューマNF202は、HTTP GET要求をプロデューサNF202に送信し、プロデューサNF202は、GET要求内のアクセストークンを検証し、ライン8においてリソースデータで応答する。
【0056】
メッセージフロー図のライン9およびライン10は、別のコンシューマNFによって作成されたリソースオブジェクトへの不正アクセスのさらに別の例を示す。ライン9では、コンシューマNF300は、ライン1およびライン2でコンシューマNF200によって作成されたリソースオブジェクトを削除するよう、HTTP DELETEメッセージを送信する。DELETEメッセージは、NRFから取得されたアクセストークンを含む。ライン10では、プロデューサNF202は、DELETE動作が成功したことを示す202 Acceptedメッセージで応答する。このように、図8は、5G直接SBI通信モデルを使用するSBIリソースオブジェクトへの不正アクセスを示す。
【0057】
図9は、コンシューマNFが中間SCPにリソース作成および更新要求を送信し、SCPがプロデューサNFと通信して対応するリソースオブジェクトを作成および更新する間接通信モデルを使用する、SBIリソースオブジェクトへの不正アクセスを示す。図9を参照すると、メッセージフロー図のライン1において、コンシューマNF200は、リソース作成メッセージをSCP101に送信する。SCP101は、リソース作成要求をプロデューサNF202に転送する。ライン2において、プロデューサNF202は、要求されるリソースを作成し、201 CreatedメッセージをリソースデータとともにSCP101に送信する。SCP101は、201 CreatedメッセージをコンシューマNF200に転送する。
【0058】
メッセージフロー図のライン3では、コンシューマNF200は、ライン1およびライン2で作成されたリソースオブジェクトを更新するために、リソース更新メッセージをSCP101に送信する。SCP101は、更新メッセージをプロデューサNF202に転送する。ライン4では、プロデューサNF202は、アクセストークンを検証し、5G SBIリソーステーブル800内のタイムスタンプT4によって示されるように、更新メッセージ内のデータを含むようにリソースオブジェクトを更新する。プロデューサNF202は、リソースが成功裏に更新されたことを示す200 OKメッセージ、または更新が失敗した場合は204 No Contentメッセージを送信する。
【0059】
メッセージフロー図のライン5において、コンシューマNF300は、更新要求をSCP101に送信する。SCP101は、更新要求をプロデューサNF202に転送する。要求は有効なアクセストークンを有するので、ライン6において、プロデューサNF202は、5Gリソーステーブル800内のタイムスタンプT6によって示されるように、更新要求内のデータを含むようにリソースオブジェクトを更新する。プロデューサNF202は、更新メッセージをSCP101に送信し、SCP101は、そのメッセージをコンシューマNF200に転送する。
【0060】
メッセージフロー図のライン7において、コンシューマNF300は、プロデューサNF202によって作成されたリソースを読み出すためにSCP101にメッセージを送信する。SCP101は、要求をプロデューサNF202に転送する。ライン8において、プロデューサNF202は、アクセストークンを検証し、メッセージをリソースデータとともにSCP101に送信する。SCP101は、メッセージをリソースデータとともにコンシューマNF300に転送する。
【0061】
ライン9では、コンシューマNF300は、コンシューマNF200が作成したリソースを削除するメッセージをSCP101に送信する。SCP101は、メッセージをプロデューサNF202に転送する。プロデューサNF202は、DELETEメッセージ内のアクセストークンを検証し、リソースを削除し、削除動作が成功したことを示す202 Acceptedメッセージで応答する。したがって、図9は、リソースオブジェクトがリソースオブジェクトレベルで承認なしに更新または削除さえされ得る、5G SBI間接通信を使用する場合を示す。
【0062】
リソースオブジェクトへの不正アクセスに関連付けられる困難を回避するために、ここで説明する主題は、間接通信モデルでの使用についてはSCPにおいて、または直接通信モデルでの使用についてはプロデューサNFにおいて保持され得る、SBIリソースオブジェクトレベルアクセス承認サービスを含む。SBIリソースオブジェクトレベル承認サービスは、プロデューサNFによって実現されるOAuth 2.0承認とは別個に独立して動作し得る。したがって、NFサービスコンシューマが有効なOAuth 2.0アクセストークンを有する場合であっても、SBIリソースオブジェクトレベル承認サービスは、NFサービスコンシューマによって要求されるアクセスがここで説明されるSBIリソースオブジェクトレベル承認サービスに失敗した場合、NFサービスコンシューマがリソースオブジェクトにアクセスすることを防止し得る。
【0063】
ここに記載される主題の一局面によれば、SBIリソースオブジェクトレベル承認サービスは、リソースオブジェクト所有者データベースをSBIリソースオブジェクト所有者情報で動的にポピュレートする。データベースを動的にポピュレートするために、SBIリソースオブジェクトレベルアクセス承認サービスは、リソースの作成を確認するプロデューサNFからの成功応答メッセージを受信すると、5G SBIリソース作成要求において受信されたアクセストークンからコンシューマNF情報を抽出し得る。コンシューマNF情報は、3GPP TS 29.510、セクション6.3.5.2.4で定義されるサブアクセストークンクレームから抽出され得る。以下に示す表1は、3GPP TS 29.510の表6.3.5.2.4-1のコピーである。
【0064】
【表1-1】
【0065】
【表1-2】
【0066】
表1に示されるように、サブアクセストークンクレームは、コンシューマNFのNFインスタンスIDを含み、これは、コンシューマNFからプロデューサNFへのリソースを作成するためのリソースオブジェクト作成要求メッセージのコンテキストにおいて、リソース作成者のNFインスタンスIDを含む。SBIリソースオブジェクトレベルアクセス承認サービスは、このNFインスタンスIDを、リソースオブジェクト要求または応答メッセージのいずれかから抽出されたリソースIDとともにリソースオブジェクト所有者データベースに格納することになる。5Gリソースオブジェクトに関する後続の要求に対して、リソースオブジェクトレベルアクセス承認サービスは、要求内のコンシューマNFのインスタンス識別子を、動的に記憶されるリソースオブジェクト所有者のインスタンス識別子に対して評価し、事業者により設定された5G SBIリソースオブジェクトレベル承認ポリシーを適用し、そのポリシーに基づいて5G SBIリソースアクセス要求を許可または拒否する。
【0067】
以下に示す表2および表3はそれぞれ、SCPまたはプロデューサNFにおいてリソースオブジェクトレベルアクセス承認サービスによって保持され得る5G SBIリソースオブジェクトアクセス承認ポリシーデータベースおよび5G SBIリソースオブジェクト所有者データベースに現れるレコードを示す。
【0068】
【表2】
【0069】
【表3】
【0070】
表2において、例示的な5G SBIリソースオブジェクトアクセス承認ポリシーデータベースレコードは、所与のリソースオブジェクトアクセス承認ポリシーについて、以下の属性:5G SBI NFサービス、5G SBIリソースURI、HTTPメソッド、承認されたコンシューマNF範囲、を含む。5G SBI NFサービス属性は、3GPP定義のSBI NFサービスの名前を記憶し、任意の3GPP定義のNFサービスの名前を記憶することができる。表2の5G SBI NFサービス属性の例示的な値は、Npcf-eventexposureおよびNnrf-udmを含む。5GリソースURI属性は、リソースオブジェクトに対する3GPP定義の5G SBIリソースURIを記憶する。表2におけるこの属性の例示的な値は、 /subscriptionsおよび/nf-instancesを含み、これらは、特定の5GリソースオブジェクトのためのURIを表すよう意図される。HTTPメソッド属性は、特定のポリシールールに対するHTTPメソッドを記憶する。表2において、例示的なポリシールールのための定義されたHTTPメソッドは、GET、PUT、PATCH、およびDELETEである。承認されたコンシューマNF範囲属性は、ポリシールールが適用されるコンシューマNFの範囲を定義する。表2におけるこの属性の値は、NFインスタンス、NF-Set、NF-Type、NetworkSlice、PLMN、およびすべて、を含む。
【0071】
表2のデータは、ネットワーク事業者によって、NF設定時間に、ネットワーク事業者特定のポリシーに従って、プロビジョニングされ得る。表3のデータは、実行時、リソースオブジェクトが作成されるときに、動的にポピュレートされ得る。表3において、リソースオブジェクト所有権データベースレコードのための例示的な属性は、リソースURIおよびリソース所有者を含む。リソースURI属性は、新たに作成されたリソースオブジェクトに対するURIを記憶する。リソース所有者属性は、リソースの作成を要求したコンシューマNFのNFインスタンスIDを記憶する。リソース所有者データベースがSCPに保持される場合、表3のフィールドは、プロデューサNFからのリソース要求作成応答がSCPによって受信されたときに、対応するリソースオブジェクト作成要求から抽出されたリソースオブジェクト所有者情報を使用して、ポピュレートされ得る。リソース所有者データベースがプロデューサNFにおいて保持される場合、表3のデータは、プロデューサNFによるリソースオブジェクト作成時に、リソースオブジェクト作成要求から抽出されたリソースオブジェクト所有者情報を使用して、ポピュレートされ得る。
【0072】
リソース所有者データベース内のデータは、特定のリソースオブジェクトに対するコンシューマNFアクセスを許可するかどうかを判断するために、リソースオブジェクトアクセス承認ポリシーデータベース内のデータと組み合わせて使用されることになる。たとえば、リソースオブジェクトアクセス承認ポリシーデータベース中の特定のリソースオブジェクトに対する定義された範囲がNFインスタンスであり、あるメッセージがそのリソースオブジェクトを更新するために到着する場合、リソースオブジェクトレベルアクセス承認サービスは、あるポリシーがそのリソースオブジェクトのために設定されるかどうかを判断してもよい。あるポリシーがそのリソースオブジェクトのために設定されるかどうかを判断することは、更新要求メッセージにおいて識別されるリソースURIを使用して、リソースオブジェクトアクセス承認ポリシーデータベース内でルックアップを実行することを含んでもよい。リソースオブジェクト更新要求メッセージ中のリソースURIが、ポリシールールのうちの1つについて、そのリソースURIと一致する場合、リソースオブジェクトレベルアクセス承認サービスは、リソースオブジェクト所有者データベースに格納されるデータを使用して、アクセスを許可することがポリシーに違反するかどうかを判断してもよい。例えば、アクセス要求メッセージ内のコンシューマNFのNFインスタンスIDがリソースオブジェクト所有者のNFインスタンスIDと一致する場合にのみリソースオブジェクトへのアクセスが許可されるべきである旨を、リソースオブジェクトアクセスポリシーが示す場合、NFインスタンスIDが一致しなければ、アクセス要求は拒否されるべきである。
【0073】
図10は、リソースオブジェクトレベルでSBIリソースオブジェクトへのアクセスを管理するための、上述のリソースオブジェクトレベル承認アクセス承認サービスの使用を示す図である。図10は、ネットワーク事業者によって設定されたリソースオブジェクトアクセス承認ポリシールールを含むリソースオブジェクトアクセス承認ポリシーデータベース1000、および動的にポピュレートされるリソースオブジェクト所有者情報を含むリソースオブジェクト所有者データベース1002の例を示す。図10では、データベース1000および1002は、SCP101に位置する。しかしながら、上述のように、これらのデータベースは、代替的に、保護されたリソースオブジェクトに対応するサービスを提供するプロデューサNFにおいて構成されてもよい。
【0074】
図10のメッセージフローを参照すると、ライン1において、コンシューマNF200は、プロデューサNF202でリソースオブジェクトを作成するために、メッセージをSCP101に送信する。SCP101は、リソースオブジェクト作成要求をプロデューサNF202に転送する。SCP101は、リソースオブジェクト作成要求のアクセストークンのサブクレームからNFインスタンスIDを抽出することができる。ライン2では、プロデューサNF202は、リソースオブジェクトを作成し、201 Createdメッセージで応答する。プロデューサNF202は、201 CreatedメッセージをSCP101に転送し、SCP101は、リソースオブジェクト所有者データベースに、応答メッセージから抽出されたリソースのURIを、リソースオブジェクト作成要求メッセージから抽出されたコンシューマNFのNFインスタンスIDとともに、記憶する。代替的に、応答メッセージからリソースのURIを抽出するのではなく、SCP101は、リソースオブジェクト作成要求メッセージからリソースのURIを抽出し得る。次いで、SCP101は、この時点で、リソースについて、リソースオブジェクトおよび所有者を識別する、完全なレコードを有する。SCP101は、201 CreatedメッセージをコンシューマNF200に転送する。
【0075】
ライン3では、コンシューマNF200は、リソースオブジェクトを更新するためのメッセージを送信する。SCP101は、メッセージを受信し、あるポリシーがそのリソースオブジェクトに適用される、と判断し、リソースオブジェクト更新要求内のコンシューマNFのNFインスタンスIDが、SBIリソーステーブル内で識別されるリソースオブジェクト所有者のNFインスタンスIDと一致するため、更新要求は許可されるべきである、と判断する。したがって、ライン4において、SCP101は、リソースオブジェクト更新要求をプロデューサNF202に転送し、プロデューサNFは、リソースオブジェクトを更新する。ライン4では、プロデューサNF202は、200 OKメッセージをSCP101に転送し、SCP101は、200 OKメッセージをコンシューマNF200に転送する。
【0076】
ライン5では、コンシューマNF300は、コンシューマNF200によって作成されたリソースを更新するよう、メッセージを生成し、SCP101に送信する。SCP101は、あるポリシーがリソース更新要求に適用される、と判断し、更新要求から取得されたコンシューマNF300のNFインスタンスIDをリソースオブジェクト所有者のNFインスタンスIDと比較し、要求はポリシーに違反する、と判断する。したがって、ライン6では、SCP101は、更新要求を拒否し、403 Forbiddenメッセージ等のエラー応答をコンシューマNF300に送信する。
【0077】
ライン7では、コンシューマNF300は、コンシューマNF200の要求で作成されたリソースオブジェクトを読み出すよう、読出要求を送信する。SCP101は、読出要求を受信し、当該リソースのために設定された承認ポリシーに基づいて要求を許可または拒否する。図示の例では、読出要求は許可される。しかしながら、読出動作が許可されない場合、読出要求は、更新要求と同様に拒否されるであろう。
【0078】
メッセージフロー図のライン9において、コンシューマNF300は、コンシューマNF200の要求で作成されたリソースオブジェクトについてSCP101に削除要求を送信する。この例では、SCP101は、設定されたポリシーに対して削除要求を評価し、削除要求は許可されない、と判断し、削除要求メッセージを拒否する。したがって、図10に示されるステップを使用して、リソースオブジェクトへの不正アクセスは、リソースアクセスレベル承認ポリシーに基づいて防止される。
【0079】
図11は、ここで説明されるリソースオブジェクトレベル承認を実現するSCPまたはプロデューサNF101もしくは202の例示的なアーキテクチャを示すブロック図である。図11を参照すると、SCP101またはプロデューサNF202は、少なくとも1つのプロセッサ1100およびメモリ1102を含む。リソースオブジェクトアクセス承認ポリシーデータベース1000は、メモリ1102に格納され得、上記で説明した事業者設定リソースオブジェクトレベルポリシールールを含み得る。リソースオブジェクト所有者データベース1002も、メモリ1102に格納され得、実行時にSCP101またはプロデューサNF202によってポピュレートされ得る。SCP101またはコンシューマNF202はさらに、リソースオブジェクト所有者データベース1002を動的にポピュレートし、データベース1000および1002内のデータを使用して、リソースオブジェクトレベルアクセス承認のためにここに記載されるステップを行う、リソースオブジェクトアクセス承認マネージャ1104を含んでもよい。リソースオブジェクトアクセス承認マネージャ1104は、メモリ1102に格納され、プロセッサ1100によって実行されるコンピュータ実行可能命令を使用して実現され得る。
【0080】
図12は、ネットワーク機能においてリソースオブジェクトレベル承認を提供するための例示的なプロセスを示すフローチャートである。図12を参照すると、ステップ1200において、本プロセスは、第1のネットワーク機能(NF)が、SBIリソースオブジェクトへのアクセスを制御するためのポリシーを含むサービスベースのインターフェース(SBI)リソースオブジェクトアクセス承認ポリシーデータベースを保持することを含む。例えば、SCPまたはプロデューサNFは、ネットワーク事業者によって設定されたリソースオブジェクトアクセス承認ポリシーを含むデータベースとともに構成され得る。そのようなポリシーの例は、表2およびリソースオブジェクトアクセス承認ポリシーデータベース1000に関して上で説明されている。ポリシーは、各ポリシーが関係するリソースオブジェクトの識別子、およびポリシーが適用されるNFの識別子範囲を有し得る。
【0081】
ステップ1202において、本プロセスは、第1のNFが、リソースオブジェクトおよび対応するリソースオブジェクト所有者についてのレコードを含むリソースオブジェクト所有者データベースを動的にポピュレートすることを含む。例えば、リソースオブジェクトアクセス承認マネージャ1104は、コンシューマNFからのリソースオブジェクト作成要求メッセージに含まれるアクセストークンのサブクレームからNFインスタンス識別子を抽出し、リソースオブジェクトの作成を確認するプロデューサNFからの成功応答を受信することに応答して、コンシューマNFおよび対応するリソースオブジェクトを識別するレコードをリソースオブジェクト所有者データベース内に作成することができる。
【0082】
ステップ1204において、本プロセスは、第1のNFが、第2のNFから、リソースオブジェクトにアクセスするための第1のSBIリソースアクセス要求を受信することを含む。例えば、あるSCPまたはプロデューサNFは、あるコンシューマNFから、既存のリソースオブジェクトの読出、更新、または削除を試みるHTTP GET、PUT、PATCH、またはDELETEメッセージを受信し得る。
【0083】
ステップ1206において、本プロセスは、第1のNFが、SBIリソースオブジェクトアクセス要求からの情報を使用して、リソースオブジェクトアクセス承認ポリシーデータベースおよびリソースオブジェクト所有者データベースにアクセスすることと、リソースオブジェクトアクセス要求によって要求されるアクセスは許可されない、と判断することとを含む。一例では、リソースオブジェクトアクセス承認マネージャ1104は、リソースオブジェクトアクセス制御ポリシーが、リソース所有者のみがリソースにアクセスできる旨を示し、リソースオブジェクト所有者データベースから、要求をしているコンシューマNFが所有者ではない、と判断し得る。別の例では、リソースオブジェクトアクセス承認マネージャ1104は、第1のSBIリソースオブジェクトアクセス要求によって要求されるタイプのアクセスは許可されない、と判断し得る。たとえば、あるリソースオブジェクト承認ポリシーは、リソースオブジェクト所有者と同じタイプのコンシューマNFは、HTTP GETメソッドを使用してリソースオブジェクトを読み出すことはできるが、HTTP PUT、PATCH、もしくはDELETEメソッドを使用してリソースオブジェクトを修正または削除することはできない旨を規定し得る。リソースオブジェクト所有者は、HTTP PUT、PATCH、またはDELETEメソッドを使用してリソースオブジェクトを修正することを許可されてもよい。
【0084】
ステップ1208において、本プロセスは、リソースオブジェクトアクセス要求によって要求されたアクセスは許可されない、と判断したことに応答して、リソースオブジェクトアクセス要求によって要求されたアクセスを防止することを含む。例えば、リソースオブジェクトアクセス承認マネージャ1104は、SCPの場合、プロデューサNFにアクセス要求を転送しないことによって、アクセスを防止し得る。プロデューサNFがアクセス制御を実施する場合、要求されたアクセスを防止することは、要求を無視することを含んでもよい。SCPまたはプロデューサNFのいずれの実現形態でも、リソースオブジェクトアクセス承認マネージャ1104は、エラーメッセージを生成して要求側に送信し、要求を記憶し、拒否されたアクセス試行をネットワーク事業者に通知することができる。
【0085】
以下の参考文献の各々の開示は、参照によりその全体がここに組み込まれる。
参照
1. 3GPP TS 33.501 V17.0.0 (2020-12) 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architectures and Procedures for 5G System (Release 17).
2. 3GPP TS 29.510 V17.0.0 (2020-12), 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 17).
3. 3GPP TS 29.500 V17.1.0 (2020-12), 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Technical Realization of Service Based Architecture; Stage 3 (Release 17).
4. 3GPP TS 29.501 V17.0.0 (2020-12) 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Principles and Guidelines for Services Definition; Stage 3 (Release 17).
5. Hardt, D., The OAuth2.0 Authorization Framework, IETF RFC 6749 (October 2012).
6. Jones et al., JSON Web Token, IETF RFC 7519 (May 2015).
7. Jones et al., JSON Web Signature, IETF RFC 7515 (May 2015).
ここに記載される主題の様々な詳細は、ここに記載される主題の範囲から逸脱することなく変更され得ることが理解されるであろう。さらに、前述の説明は、例示のみを目的とし、限定を目的とせず、ここに記載される主題は、以下に記載される特許請求の範囲によって定義される。
参照
1. 3GPP TS 33.501 V17.0.0 (2020-12) 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architectures and Procedures for 5G System (Release 17).
2. 3GPP TS 29.510 V17.0.0 (2020-12), 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 17).
3. 3GPP TS 29.500 V17.1.0 (2020-12), 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Technical Realization of Service Based Architecture; Stage 3 (Release 17).
4. 3GPP TS 29.501 V17.0.0 (2020-12) 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Principles and Guidelines for Services Definition; Stage 3 (Release 17).
5. Hardt, D., The OAuth2.0 Authorization Framework, IETF RFC 6749 (October 2012).
6. Jones et al., JSON Web Token, IETF RFC 7519 (May 2015).
7. Jones et al., JSON Web Signature, IETF RFC 7515 (May 2015).
ここに記載される主題の様々な詳細は、ここに記載される主題の範囲から逸脱することなく変更され得ることが理解されるであろう。さらに、前述の説明は、例示のみを目的とし、限定を目的とせず、ここに記載される主題は、以下に記載される特許請求の範囲によって定義される。
【図1】
【図2A】
【図2B】
【図3A】
【図3B】
【図4A】
【図4B】
【図5】
【図6A】
【図6B】
【図6C】
【図6D】
【図7A】
【図7B】
【図7C】
【図8】
【図9】
【図10】
【図11】
【図12】
【国際調査報告】