▶ オラクル・インターナショナル・コーポレイションの特許一覧
特表2024-533280過負荷制御情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するための方法、システム、およびコンピュータ可読プログラム
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-09-12
(54)【発明の名称】過負荷制御情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するための方法、システム、およびコンピュータ可読プログラム
(51)【国際特許分類】
H04W 12/122 20210101AFI20240905BHJP
H04W 12/69 20210101ALI20240905BHJP
H04W 88/14 20090101ALI20240905BHJP
【FI】
H04W12/122
H04W12/69
H04W88/14
【審査請求】有
【予備審査請求】未請求
(21)【出願番号】P 2024514704
(86)(22)【出願日】2022-08-10
(85)【翻訳文提出日】2024-05-02
(86)【国際出願番号】 US2022039977
(87)【国際公開番号】W WO2023038756
(87)【国際公開日】2023-03-16
(31)【優先権主張番号】17/468,117
(32)【優先日】2021-09-07
(33)【優先権主張国・地域又は機関】US
(81)【指定国・地域】
(71)【出願人】
【識別番号】502303739
【氏名又は名称】オラクル・インターナショナル・コーポレイション
(74)【代理人】
【識別番号】110001195
【氏名又は名称】弁理士法人深見特許事務所
(72)【発明者】
【氏名】ラジプット,ジャイ
(72)【発明者】
【氏名】シング,ビレンドラ
(72)【発明者】
【氏名】スリバスタバ,アンキット
【テーマコード(参考)】
5K067
【Fターム(参考)】
5K067AA30
5K067DD57
5K067EE16
5K067HH22
5K067HH23
(57)【要約】
本明細書に記載される主題は、ターゲットリソース識別情報を使用して取得されるネットワーク機能(NF)プロファイル情報に対して過負荷制御情報(OCI)スコープ情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するための方法を含む。方法は、サービスベースインタフェース(SBI)要求メッセージを受信し、SBI要求メッセージからターゲットリソース識別情報を取得し、ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、NFプロファイル情報を記憶し、過負荷制御情報および過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信し、記憶されたNFプロファイル情報を使用して、過負荷制御情報におけるスコープ情報が有効であるかどうかを決定し、過負荷制御情報におけるスコープ情報が無効であると決定することに応じて、SBI応答メッセージを拒否することを含む。
【特許請求の範囲】
【請求項1】
ターゲットリソース識別情報を使用して取得されるネットワーク機能(NF)プロファイル情報に対して過負荷制御情報(OCI)スコープ情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するための方法であって、少なくとも1つのプロセッサを含むNFにおいて、
サービスベースインタフェース(SBI)要求メッセージを受信することと、
前記SBI要求メッセージからターゲットリソース識別情報を取得することと、
前記ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、前記NFプロファイル情報を前記NFのメモリに記憶することと、
過負荷制御情報および前記過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信することと、
前記記憶されたNFプロファイル情報を使用して、前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定することと、
前記過負荷制御情報における前記スコープ情報が無効であると決定することに応じて、前記SBI応答メッセージを拒否することとを含む、方法。
【請求項2】
前記ターゲットリソース識別情報を取得することは、前記SBI要求メッセージの3gpp-Sbi-Target-apiRootヘッダの1つ以上の構成要素の値を読み取ることを含む、請求項1に記載の方法。
【請求項3】
前記3gpp-Sbi-Target-apiRootヘッダの1つ以上の構成要素の値を読み取ることは、前記ターゲットリソース識別情報によって識別されるターゲットリソースをホストするプロデューサNFのNFプロファイルの属性に対応する構成要素の値を読み取ることを含む、請求項2に記載の方法。
【請求項4】
前記NFプロファイル情報を取得することは、前記3gpp-Sbi-Target-apiRootヘッダの構成要素の値のうちの前記1つ以上を使用して、NFプロファイルデータベース内のルックアップを実行し、前記ターゲットリソースをホストする前記NFの前記NFプロファイルの位置を特定することを含む、請求項3に記載の方法。
【請求項5】
前記ターゲットリソースをホストする前記プロデューサNFの前記NFプロファイルの属性に対応する前記3gpp-Sbi-Target-apiRootヘッダの前記1つ以上の構成要素の値を読み取ることは、スキーム構成要素、完全修飾ドメイン名(FQDN)構成要素、トランスポート層ポート構成要素、apiPrefix構成要素、apiName構成要素、およびapiVersion構成要素のうちの1つ以上の値を読み取ることを含む、請求項3に記載の方法。
【請求項6】
前記NFプロファイル情報を使用して前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定することは、NFインスタンスID、NFセットID、NFサービスインスタンスID、NFサービスセットID、単一ネットワークスライス選択支援情報(S-NSSAI)、送信先ネットワーク名(DNN)、コールバックユニフォームリソース識別子(URI)、およびサービス通信プロキシ(SCP)完全修飾ドメイン名(FQDN)のうちの1つ以上を3gpp-Sbi-Ociヘッダのスコープ構成要素の対応する構成要素の値と比較することを含む、先行する請求項のいずれかに記載の方法。
【請求項7】
前記NFプロファイル情報を使用して前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定することは、前記NFプロファイル情報が前記過負荷制御情報における前記スコープ情報と一致しないとの決定に応答して、前記過負荷制御情報における前記スコープ情報が無効であると決定することを含む、請求項1~請求項5のいずれかに記載の方法。
【請求項8】
前記NFプロファイル情報を使用して前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定することは、前記NFプロファイル情報が前記過負荷制御情報における前記スコープ情報と一致するとの決定に応答して、前記過負荷制御情報における前記スコープ情報が有効であると決定することを含む、請求項1~請求項5のいずれかに記載の方法。
【請求項9】
前記ネットワーク機能がサービス通信プロキシ(SCP)を含む、先行する請求項のいずれかに記載の方法。
【請求項10】
前記NFが、セキュリティエッジ保護プロキシ(SEPP)またはコンシューマNFを含む、先行する請求項のいずれかに記載の方法。
【請求項11】
ターゲットリソース識別情報を使用して取得されるネットワーク機能(NF)プロファイル情報に対して過負荷制御情報(OCI)スコープ情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するためのシステムであって、少なくとも1つのプロセッサおよびメモリを含むNFと、
サービスベースインタフェース(SBI)要求メッセージを受信し、前記SBI要求メッセージからターゲットリソース識別情報を取得し、前記ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、前記NFプロファイル情報を前記メモリに記憶し、過負荷制御情報および前記過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信し、前記記憶されたNFプロファイル情報を使用して、前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定し、前記過負荷制御情報における前記スコープ情報が無効であると決定することに応じて、前記SBI応答メッセージを拒否するためのolcScopeバリデータとを備える、システム。
【請求項12】
前記olcScopeバリデータは、前記SBI要求メッセージの3gpp-Sbi-Target-apiRootヘッダから1つ以上の構成要素の値を読み取ることによって前記ターゲットリソース識別情報を取得するように構成される、請求項11に記載のシステム。
【請求項13】
前記3gpp-Sbi-Target-apiRootヘッダの前記1つ以上の構成要素の値は、前記ターゲットリソース識別情報によって識別されるターゲットリソースをホストするプロデューサNFのNFプロファイルの属性に対応する値を含む、請求項12に記載のシステム。
【請求項14】
前記olcScopeバリデータは、前記3gpp-Sbi-Target-apiRootヘッダの前記属性の値のうちの1つ以上の値を使用してNFプロファイルデータベース内のルックアップを実行することによって前記NFプロファイル情報を取得し、前記ターゲットリソースをホストする前記NFの前記NFプロファイルの位置を特定するように構成される、請求項13に記載のシステム。
【請求項15】
前記ターゲットリソースをホストする前記プロデューサNFの前記NFプロファイルの属性に対応する前記3gpp-Sbi-Target-apiRootヘッダの前記1つ以上の構成要素の値は、スキーム属性、完全修飾ドメイン名(FQDN)構成要素、トランスポート層ポート構成要素、apiPrefix構成要素、apiName構成要素、およびapiVersion構成要素のうちの1つ以上の値を含む、請求項13に記載のシステム。
【請求項16】
前記olcScopeバリデータは、前記NFプロファイル情報と前記過負荷制御情報における前記スコープ情報とを比較することによって前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定するように構成される、請求項11~請求項15のいずれかに記載のシステム。
【請求項17】
前記olcScopeバリデータは、前記NFプロファイル情報が前記過負荷制御情報における前記スコープ情報と一致しないとの決定に応答して、前記過負荷制御情報における前記スコープ情報が無効であると決定するように構成される、請求項11~請求項15のいずれかに記載のシステム。
【請求項18】
前記olcScopeバリデータは、前記NFプロファイル情報が前記過負荷制御情報における前記スコープ情報と一致するという決定に応答して、前記過負荷制御情報における前記スコープ情報が有効であると決定するように構成される、請求項11~請求項15のいずれかに記載のシステム。
【請求項19】
前記ネットワーク機能は、サービス通信プロキシ(SCP)、セキュリティエッジ保護プロキシ(SEPP)、またはコンシューマNFを含む、請求項11~請求項18のいずれかに記載のシステム。
【請求項20】
コンピュータのプロセッサによって実行されると、ネットワーク機能(NF)において、サービスベースインタフェース(SBI)要求メッセージを受信することと、
前記SBI要求メッセージからターゲットリソース識別情報を取得することと、
前記ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、前記NFプロファイル情報を前記NFのメモリに記憶することと、
過負荷制御情報および前記過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信することと、
前記記憶されたNFプロファイル情報を使用して、前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定することと、
前記過負荷制御情報における前記スコープ情報が無効であると決定することに応じて、前記SBI応答メッセージを拒否することと、
を含むステップを実行するように前記コンピュータを制御する実行可能命令が記憶された非一時的コンピュータ可読媒体。
【発明の詳細な説明】
【技術分野】
【0001】
優先権の主張
この出願は、その開示内容全体が参照により本明細書に組み込まれる、2021年9月7日に出願された米国特許出願第17/468,117号の優先権の利益を主張する。
この出願は、その開示内容全体が参照により本明細書に組み込まれる、2021年9月7日に出願された米国特許出願第17/468,117号の優先権の利益を主張する。
【0002】
技術分野
本明細書中に記載される主題は、DoS攻撃が成功する可能性を減らすことに関する。より詳細には、本明細書中に記載される主題は、ターゲットリソース識別情報を使用して取得されるNFプロファイル情報に対してOCIスコープ情報を検証することによってDoS攻撃が成功する可能性を低減するための方法、システム、およびコンピュータ可読媒体に関する。
本明細書中に記載される主題は、DoS攻撃が成功する可能性を減らすことに関する。より詳細には、本明細書中に記載される主題は、ターゲットリソース識別情報を使用して取得されるNFプロファイル情報に対してOCIスコープ情報を検証することによってDoS攻撃が成功する可能性を低減するための方法、システム、およびコンピュータ可読媒体に関する。
【背景技術】
【0003】
背景
5G通信ネットワークにおいて、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)またはNFサービスプロデューサと称される。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと称される。ネットワーク機能は、ネットワーク機能がサービスを消費しているのか、生産しているのか、あるいは消費して生産しているのかどうかに応じて、プロデューサNF、コンシューマNF、またはその両方になることができる。「プロデューサNF」および「NFサービスプロデューサ」という用語は、本明細書では置き替え可能に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、本明細書では置き替え可能に使用される。
5G通信ネットワークにおいて、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)またはNFサービスプロデューサと称される。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと称される。ネットワーク機能は、ネットワーク機能がサービスを消費しているのか、生産しているのか、あるいは消費して生産しているのかどうかに応じて、プロデューサNF、コンシューマNF、またはその両方になることができる。「プロデューサNF」および「NFサービスプロデューサ」という用語は、本明細書では置き替え可能に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、本明細書では置き替え可能に使用される。
【0004】
所定のプロデューサNFは多くのサービスエンドポイントを有する場合があり、この場合、1つのサービスエンドポイントが、プロデューサNFによってホストされる1つ以上のNFインスタンスの連絡先である。サービスエンドポイントは、インターネットプロトコル(IP)アドレスとポート番号との組み合わせ、またはプロデューサNFをホストするネットワークノード上のIPアドレスとポート番号とに分解する完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。所定のプロデューサNFが複数のNFインスタンスを含む場合がある。複数のNFインスタンスが同じサービスエンドポイントを共有できることにも留意すべきである。
【0005】
プロデューサNFは、ネットワーク機能リポジトリ機能(NRF)に登録する。NRFは、各NFインスタンスによってサポートされるサービスを識別する利用可能なNFインスタンスのサービスプロファイルを維持する。「サービスプロファイル」および「NFプロファイル」という用語は、本明細書では置き替え可能に使用される。コンシューマNFは、NRFに登録しているプロデューサNFインスタンスに関する情報を受信するためにサブスクライブできる。
【0006】
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するためにサブスクライブできる別のタイプのネットワークノードは、サービス通信プロキシ(SCP)である。SCPは、NRFとサブスクライブし、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFはサービス通信プロキシに接続し、サービス通信プロキシ負荷は、必要なサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを釣り合わせ、あるいは、トラフィックを送信先プロデューサNFインスタンスへ直接にルーティングする。
【0007】
SCPに加えて、プロデューサとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードまたはネットワークノードのグループの他の例としては、セキュリティエッジ保護プロキシ(SEPP)、サービスゲートウェイ、および5Gサービスメッシュのノードが挙げられる。SEPPは、異なる5Gパブリックランドモバイルネットワーク(PLMN)間で交換されるコントロールプレーントラフィックを保護するために使用されるネットワークノードである。そのため、SEPPは、PLMN間で送信される全てのアプリケーションプログラミングインタフェース(API)メッセージに関してメッセージフィルタリング、ポリシング、およびトポロジ隠蔽を実行する。
【0008】
5G通信ネットワークにおける問題の1つは、ハッカーが誤った過負荷制御情報スコープで過負荷制御情報を送信し、ピアNFに別のNFへのトラフィックの送信を停止させる場合に起こり得る。NFに送信側NFへのトラフィックを抑制させて送信側NFが負荷を軽減できるようにするべく、送信側NFが過負荷になるときに、過負荷制御情報がNFによってピアNFに送信される。過負荷制御情報は、スコープ構成要素を含むOCIヘッダで通信され、スコープ構成要素の値は、過負荷制御情報が関連するスコープを識別する(つまり、1つ以上のピアネットワーク機能識別情報)。送信ノードが指定されたスコープでOCI情報を送信する権限を持っているかどうかを確認するためのOCIヘッダ内の情報の検証はない。
【0009】
したがって、ネットワーク内のOCIスコープ情報を検証するための改善された方法、システム、およびコンピュータ可読媒体の必要性が存在する。
【発明の概要】
【課題を解決するための手段】
【0010】
概要
ターゲットリソース識別情報を使用して取得されるネットワーク機能(NF)プロファイル情報に対して過負荷制御情報(OCI)スコープ情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するための方法は、少なくとも1つのプロセッサを含むNFにおいて実行されるステップを含む。ステップは、サービスベースインタフェース(SBI)要求メッセージを受信することを含む。ステップは、SBI要求メッセージからターゲットリソース識別情報を取得することを更に含む。ステップは、ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、NFプロファイル情報をNFのメモリに記憶することを更に含む。ステップは、過負荷制御情報および過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信することを更に含む。ステップは、記憶されたNFプロファイル情報を使用して、過負荷制御情報におけるスコープ情報が有効であるかどうかを決定することを更に含む。ステップは、過負荷制御情報におけるスコープ情報が無効であると決定することに応じて、SBI応答メッセージを拒否することを更に含む。
ターゲットリソース識別情報を使用して取得されるネットワーク機能(NF)プロファイル情報に対して過負荷制御情報(OCI)スコープ情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するための方法は、少なくとも1つのプロセッサを含むNFにおいて実行されるステップを含む。ステップは、サービスベースインタフェース(SBI)要求メッセージを受信することを含む。ステップは、SBI要求メッセージからターゲットリソース識別情報を取得することを更に含む。ステップは、ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、NFプロファイル情報をNFのメモリに記憶することを更に含む。ステップは、過負荷制御情報および過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信することを更に含む。ステップは、記憶されたNFプロファイル情報を使用して、過負荷制御情報におけるスコープ情報が有効であるかどうかを決定することを更に含む。ステップは、過負荷制御情報におけるスコープ情報が無効であると決定することに応じて、SBI応答メッセージを拒否することを更に含む。
【0011】
本明細書中に記載される主題の他の態様によれば、ターゲットリソース識別情報を取得することは、SBI要求メッセージの3gpp(登録商標)-Sbi-Target-apiRootヘッダの1つ以上の構成要素の値を読み取ることを含む。
【0012】
本明細書中に記載される主題の他の態様によれば、3gpp-Sbi-Target-apiRootヘッダの1つ以上の属性の値を読み取ることは、ターゲットリソース識別情報によって識別されるターゲットリソースをホストするプロデューサNFのNFプロファイルの属性に対応する1つ以上の構成要素の値を読み取ることを含む。
【0013】
本明細書中に記載される主題の他の態様によれば、NFプロファイル情報を取得することは、3gpp-Sbi-Target-apiRootヘッダの構成要素の値のうちの1つ以上を使用して、NFプロファイルデータベース内のルックアップを実行し、ターゲットリソースをホストするNFのNFプロファイルの位置を特定することを含む。
【0014】
本明細書中に記載される主題の他の態様によれば、ターゲットリソースをホストするプロデューサNFのNFプロファイルの属性に対応する3gpp-Sbi-Target-apiRootヘッダの1つ以上の構成要素の値を読み取ることは、スキーム構成要素、完全修飾ドメイン名(FQDN)構成要素、トランスポート層ポート構成要素、apiPrefix構成要素、apiName構成要素、およびapiVersion構成要素のうちの1つ以上の値を読み取ることを含む。
【0015】
本明細書中に記載される主題の他の態様によれば、NFプロファイル情報を使用して過負荷制御情報におけるスコープ情報が有効であるかどうかを決定することは、NFインスタンスID、NFセットID、NFサービスインスタンスID、NFサービスセットID、単一ネットワークスライス選択支援情報(S-NSSAI)、送信先ネットワーク名(DNN)、コールバックユニフォームリソース識別子(URI)、およびサービス通信プロキシ(SCP)完全修飾ドメイン名(FQDN)のうちの1つ以上を3gpp-Sbi-Ociヘッダのスコープ構成要素の対応する構成要素の値と比較することを含む。
【0016】
本明細書中に記載される主題の他の態様によれば、NFプロファイル情報を使用して過負荷制御情報におけるスコープ情報が有効であるかどうかを決定することは、NFプロファイル情報が過負荷制御情報におけるスコープ情報と一致しないとの決定に応答して、過負荷制御情報におけるスコープ情報が無効であると決定することを含む。
【0017】
本明細書中に記載される主題の他の態様によれば、NFプロファイル情報を使用して過負荷制御情報におけるスコープ情報が有効であるかどうかを決定することは、NFプロファイル情報が過負荷制御情報におけるスコープ情報と一致するとの決定に応答して、過負荷制御情報におけるスコープ情報が有効であると決定することを含む。
【0018】
本明細書中に記載される主題の他の態様によれば、NFがサービス通信プロキシ(SCP)を含む。
【0019】
本明細書中に記載される主題の他の態様によれば、NFが、セキュリティエッジ保護プロキシ(SEPP)またはコンシューマNFを含む。
【0020】
本明細書中に記載される主題の他の態様によれば、ターゲットリソース識別情報を使用して取得されるネットワーク機能(NF)プロファイル情報に対して過負荷制御情報(OCI)スコープ情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するためのシステムが提供される。システムは、少なくとも1つのプロセッサおよびメモリを含むNFを含む。システムは、サービスベースインタフェース(SBI)要求メッセージを受信し、SBI要求メッセージからターゲットリソース識別情報を取得し、ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、NFプロファイル情報をメモリに記憶し、過負荷制御情報および過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信し、記憶されたNFプロファイル情報を使用して、過負荷制御情報におけるスコープ情報が有効であるかどうかを決定し、過負荷制御情報におけるスコープ情報が無効であると決定することに応じて、SBI応答メッセージを拒否するためのolcScopeバリデータを更に含む。
【0021】
本明細書中に記載される主題の他の態様によれば、olcScopeバリデータは、SBI要求メッセージの3gpp-Sbi-Target-apiRootヘッダから1つ以上の構成要素の値を読み取ることによってターゲットリソース識別情報を取得するように構成される。
【0022】
本明細書中に記載される主題の他の態様によれば、3gpp-Sbi-Target-apiRootヘッダの1つ以上の構成要素の値は、ターゲットリソース識別情報によって識別されるターゲットリソースをホストするプロデューサNFのNFプロファイルの属性に対応する値を含む。
【0023】
本明細書中に記載される主題の他の態様によれば、olcScopeバリデータは、3gpp-Sbi-Target-apiRootヘッダの属性の値のうちの1つ以上の値を使用してNFプロファイルデータベース内のルックアップを実行することによってNFプロファイル情報を取得し、ターゲットリソースをホストするNFのNFプロファイルの位置を特定するように構成される。
【0024】
本明細書中に記載される主題の他の態様によれば、ターゲットリソースをホストするプロデューサNFのNFプロファイルの属性に対応する3gpp-Sbi-Target-apiRootヘッダの1つ以上の構成要素の値は、スキーム属性、完全修飾ドメイン名(FQDN)構成要素、トランスポート層ポート構成要素、apiPrefix構成要素、apiName構成要素、およびapiVersion構成要素のうちの1つ以上の値を含む。
【0025】
本明細書中に記載される主題の他の態様によれば、olcScopeバリデータは、NFプロファイル情報と過負荷制御情報におけるスコープ情報とを比較することによって過負荷制御情報におけるスコープ情報が有効であるかどうかを決定するように構成される。
【0026】
本明細書中に記載される主題の他の態様によれば、olcScopeバリデータは、NFプロファイル情報が過負荷制御情報におけるスコープ情報と一致しないとの決定に応答して、過負荷制御情報におけるスコープ情報が無効であると決定するように構成される。
【0027】
本明細書中に記載される主題の他の態様によれば、olcScopeバリデータは、NFプロファイル情報が過負荷制御情報におけるスコープ情報と一致するという決定に応答して、過負荷制御情報におけるスコープ情報が有効であると決定するように構成される。
【0028】
本明細書中に記載される主題の他の態様によれば、ネットワーク機能は、サービス通信プロキシ(SCP)、セキュリティエッジ保護プロキシ(SEPP)、またはコンシューマNFを含む。
【0029】
本明細書中に記載される主題の他の態様によれば、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御する実行可能命令が記憶された非一時的コンピュータ可読媒体が提供される。ステップは、サービスベースインタフェース(SBI)要求メッセージを受信することを含む。ステップは、SBI要求メッセージからターゲットリソース識別情報を取得することを更に含む。ステップは、ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、NFプロファイル情報をNFのメモリに記憶することを更に含む。ステップは、過負荷制御情報および過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信することを更に含む。ステップは、記憶されたNFプロファイル情報を使用して、過負荷制御情報におけるスコープ情報が有効であるかどうかを決定することを更に含む。ステップは、過負荷制御情報におけるスコープ情報が無効であると決定することに応じて、SBI応答メッセージを拒否することを更に含む。本明細書中に記載される主題は、ハードウェアおよび/またはファームウェアと組み合わせたソフトウェアで実装することができる。例えば、本明細書中に記載される主題は、プロセッサによって実行されるソフトウェアで実装することができる。1つの典型的な実装形態では、本明細書中に記載される主題は、コンピュータのプロセッサによって実行されると、ステップを実行するようにコンピュータを制御するコンピュータ実行可能命令が記憶された非一時的コンピュータ可読媒体を使用して実装することができる。本明細書中に記載される主題を実装するのに適した典型的なコンピュータ可読媒体としては、ディスクメモリデバイス、チップメモリデバイス、プログラマブルロジックデバイス、および特定用途向け集積回路などの非一時的コンピュータ可読媒体が挙げられる。更に、本明細書中に記載される主題を実装するコンピュータ可読媒体は、単一のデバイスまたはコンピューティングプラットフォーム上に配置されてもよく、あるいは複数のデバイスまたはコンピューティングプラットフォームに分散されてもよい。
【0030】
ここで、本明細書中に記載される主題の典型的な実装について添付図面を参照して説明する。
【図面の簡単な説明】
【0031】
【図1】典型的な5Gシステムネットワークアーキテクチャを示すネットワーク図である。
【図2】OCIスコープ情報を検証するために使用できるNFプロファイルの典型的な属性を示すブロック図である。
【図3】ハッカーが偽のOCIスコープ情報を伴うSBIメッセージを使用してDoS攻撃を開始する場合に交換される典型的なメッセージを示すメッセージフロー図である。
【図4】ターゲットリソース識別情報を使用して取得されるNFプロファイル情報に対してOCIスコープ情報を検証することによってDoS攻撃が成功する可能性を低減するために交換される典型的なメッセージを示すメッセージフロー図である。
【図5】3gpp-Sbi-Target-apiRootヘッダ構成要素と、SCPまたは他のNFがOCIスコープ情報を検証するために使用できるNFプロファイル属性との間の典型的なマッピングを示すブロック図である。
【図6】DoS攻撃が成功する可能性を低減するためにOCIスコープ情報を検証するためのNFにおける典型的なアーキテクチャを示すブロック図である。
【図7】ターゲットリソース識別情報を使用して取得されるNFプロファイル情報に対してOCIスコープ情報を検証することによってDoS攻撃が成功する可能性を低減するためにNFによって実行される典型的なプロセスを示すフローチャートである。
【発明を実施するための形態】
【0032】
詳細な説明
図1は、典型的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャはNRF100およびSCP101を含み、これらは同じホームパブリックランドモバイルネットワーク(HPLMN)内に配置することができる。前述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが新規/更新されたプロデューサNFサービスインスタンスの登録に加入し、その登録について通知されることを可能にすることができる。SCP101はまた、サービス発見およびプロデューサNFインスタンスの選択をサポートすることもできる。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行することができる。
図1は、典型的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャはNRF100およびSCP101を含み、これらは同じホームパブリックランドモバイルネットワーク(HPLMN)内に配置することができる。前述のように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが新規/更新されたプロデューサNFサービスインスタンスの登録に加入し、その登録について通知されることを可能にすることができる。SCP101はまた、サービス発見およびプロデューサNFインスタンスの選択をサポートすることもできる。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行することができる。
【0033】
NRF100は、NFまたはプロデューサNFインスタンスのサービスプロファイルにおけるリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、NRF100からプロデューサNFインスタンスのNFまたはサービスプロファイルを取得する必要がある。NFまたはサービスプロファイルは、第三世代パートナーシッププロジェクト(3GPP)技術仕様(TS)29.510に定義されるJavaScript(登録商標)オブジェクト表記(JSON)データ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。
【0034】
図1では、サービスを要求しているか、提供しているか、または要求と提供を行っているかに応じて、ネットワーク機能のいずれかがコンシューマNF、プロデューサNF、あるいはその両方になることができる。図示の例では、NFは、ネットワーク内でポリシー関連の動作を実行するポリシー制御機能(PCF)102、ユーザデータを管理する統合データ管理(UDM)機能104、およびアプリケーションサービスを提供するアプリケーション機能(AF)106を含む。
【0035】
図1に示されるNFは、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(SMF)108を更に含む。AMF110は、4Gネットワークでモビリティ管理エンティティ(MME)によって実行されるものと同様のモビリティ管理動作を実行する。認証サーバ機能(AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114などのユーザ機器(UE)に対して認証サービスを実行する。
【0036】
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスに関連する特定のネットワーク機能および特性にアクセスしようとするデバイスにネットワークスライシングサービスを提供する。ネットワーク公開機能(NEF)118は、ネットワークに接続されたモノのインターネット(IoT)デバイスおよび他のUEに関する情報を取得しようとするアプリケーション機能にアプリケーションプログラミングインタフェース(API)を提供する。NEF118は、4Gネットワークのサービス機能公開機能(SCEF)と同様の機能を実行する。
【0037】
無線アクセスネットワーク(RAN)120は、無線リンクを介してユーザ機器(UE)114をネットワークに接続する。無線アクセスネットワーク120は、gノードB(gNB)(図1には示されない)または他の無線アクセスポイントを使用してアクセスされ得る。ユーザプレーン機能(UPF)122は、ユーザプレーンサービスのための様々なプロキシ機能をサポートすることができる。そのようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(MPTCP)プロキシ機能である。また、UPF122は、ネットワーク性能測定値を取得するためにUE114によって使用され得る性能測定機能もサポートし得る。また、図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするためのデータネットワーク(DN)124も示される。
【0038】
SEPP126は、別のPLMNから入ってくるトラフィックをフィルタリングし、ホームPLMNから出るトラフィックに対してトポロジ隠蔽を実行する。SEPP126は、外部PLMNのセキュリティを管理する外部PLMN内のSEPPと通信することができる。したがって、異なるPLMN内のNF間のトラフィックは、ホームPLMN用のものと外部PLMN用のものの2つのSEPP機能を通過する可能性がある。
【0039】
前述したように、5Gネットワークで発生する可能性のある問題の1つは、偽のOCI情報を使用してハッカーによって開始されるDoS攻撃である。3GPP標準規格では、OCIヘッダを使用した過負荷制御を推奨する。NFサービスプロデューサまたはコンシューマが実装依存の過負荷閾値に達すると、NFサービスプロデューサまたはコンシューマはOCIをそのピアエンティティ(それぞれコンシューマまたはプロデューサ)に伝達する。受信したOCIに基づいて、ピアは過負荷になったエンティティに送信するシグナリングをOCIに従って調整する。OCI通信に伴う問題の1つは、OCIが認可されたエンティティからのものであるかどうかが検証されないことである。ハッカーNFは、別のNF、NFセット、NFサービス、NFサービスセット、S-NSSAI、DNN、コールバックURIなどの過負荷の兆候を送信できる。偽のOCI情報をSBIメッセージ送信者に伝えると、OCI情報によって誤って識別されたエンティティがネットワーク外に流出する。OCIヘッダがハッカーによって悪用されないこと、および許可されたNFのみが所定のスコープにおけるOCIヘッダで過負荷情報を示すことができることを確認する必要がある。本明細書中に記載される主題は、OCIヘッダで情報を送信しているピアエンティティがOCIヘッダで指定されたスコープでOCIヘッダを送信する権限があるかどうかの検証を実行することによってSCPなどのNFがこの問題を軽減できるプロセスを含む。
【0040】
以下に示す表1は、本明細書中に記載される主題を説明する際に使用される典型的な3GPP用語を示す。
【0041】
【表1】
【0042】
表1中の左側列の用語は、OCIヘッダのolcScope構成要素で指定できるパラメータの名前である。例えば、NFセットを指定するolcScopeは、NFセット全体の過負荷制御情報を通信している。そのようなパラメータが改ざんされると、OCI情報により、受信側NFがNFセット内の全てのNFインスタンスとの通信を停止する可能性がある。
【0043】
・3GPPTS29.500のセクション6.4では、OCIヘッダを使用した過負荷制御を推奨する。過負荷制御は、送信側NFが過負荷状態にあるときに、ピアNFに負荷を軽減することを知らせる反応的なメカニズムである。3GPPTS29.500のセクション5.2.3.2.9では、OCIヘッダについて説明している。本明細書中に記載される主題にとって重要なOCIヘッダの必須構成要素の1つはolcScopeであり、その値はNFプロデューサスコープ、NFコンシューマスコープ、またはSCPスコープを指定できる。NFプロデューサスコープ、NFコンシューマスコープ、およびSCPスコープの各々は、実際のOCIヘッダ内のサブパラメータに置き換えられる。例えば、NFコンシューマ、NFプロデューサ、およびNF SCPの各スコープは、以下のサブパラメータを使用して指定できる。
【0044】
nfProducerScope = ((“NF-Instance:” RWS nfinst)
/ (“NF-Set:” RWS nfset)
/ “(NF-Service-Instance:” RWS nfservinst)
/ (“NF-Service-Set:” RWS nfserviceset)) [“;” RWS sNssai “;” RWS dnn]
nfConsumerScope = (“NF-Instance:” RWS nfinst [“;” RWS “Service-Name:” RWS servname])
/ (“NF-Set:” RWS nfset [“;” RWS “Service-Name:” RWS servname])
/ “(NF-Service-Instance:” RWS nfservinst)
/ (“NF-Service-Set:” RWS nfserviceset)
/ (“Callback-Uri:” RWS URI *( RWS “&” RWS URI))
scpScope = (“SCP-FQDN:” RWS fqdn)
上記の仕様から、定義されたNFサービスコンシューマスコープとNFサービスプロデューサスコープの各々は、NFインスタンス、NFサービスインスタンス、NFセット、またはNFサービスセットを識別できる。SCPスコープパラメータはFQDNを指定できる。S-NSSAIをolcScopeで指定することもできる。これらのパラメータはいずれも、対応するエンティティを過負荷しているものとして識別するために使用できる。
/ (“NF-Set:” RWS nfset)
/ “(NF-Service-Instance:” RWS nfservinst)
/ (“NF-Service-Set:” RWS nfserviceset)) [“;” RWS sNssai “;” RWS dnn]
nfConsumerScope = (“NF-Instance:” RWS nfinst [“;” RWS “Service-Name:” RWS servname])
/ (“NF-Set:” RWS nfset [“;” RWS “Service-Name:” RWS servname])
/ “(NF-Service-Instance:” RWS nfservinst)
/ (“NF-Service-Set:” RWS nfserviceset)
/ (“Callback-Uri:” RWS URI *( RWS “&” RWS URI))
scpScope = (“SCP-FQDN:” RWS fqdn)
上記の仕様から、定義されたNFサービスコンシューマスコープとNFサービスプロデューサスコープの各々は、NFインスタンス、NFサービスインスタンス、NFセット、またはNFサービスセットを識別できる。SCPスコープパラメータはFQDNを指定できる。S-NSSAIをolcScopeで指定することもできる。これらのパラメータはいずれも、対応するエンティティを過負荷しているものとして識別するために使用できる。
【0045】
以下は、3GPPTS29.500のセクション5.2.3.2.9で指定されるolcScopeの3つの例である。
【0046】
例1:NFインスタンスにおける過負荷制御情報:
3gpp-Sbi-Oci:タイムスタンプ:“2020年2月4日火曜日08:49:37GMT”;有効期間:75秒;過負荷削減メトリック:50%;NFインスタンス:54804518-4191-46b3-955c-ac631f953ed8
例2:NFサービスセットにおける過負荷制御情報:
3gpp-Sbi-Oci:タイムスタンプ:“2020年2月4日火曜日08:49:37GMT”;有効期間:120秒;過負荷削減メトリック:50%;NFサービスセット:setxyz.snnsmf-pdusession.nfi54804518-4191-46b3-955c-ac631f953ed8.5gc.mnc012.mcc345
例3:S-NSSAIにおける特定のDNNに関連するSMFインスタンスの過負荷制御情報:
3gpp-Sbi-Oci:タイムスタンプ:“2020年2月4日火曜日08:49:37GMT”;有効期間:600秒;過負荷削減メトリック:50%;NFインスタンス:54804518-4191-46b3-955c-ac631f953ed8;S-NSSAI:{“sst”:1,“sd”:“A08923”};DNN:internet.mnc012.mcc345.gprs
例1において、54804518-4191-46b3-955c-ac631f953ed8は、過負荷制御情報が適用されるNFインスタンスを識別するolcScope構成要素の値である。例2において、setxyz.snnsmf-pdusession.nfi54804518-4191-46b3-955c-ac631f953ed8.5gc.mnc012.mcc345は、過負荷制御情報が適用されるNFサービスセットを識別するolcScope構成要素の値である。例3において、internet.mnc012.mcc345.gprsは、過負荷制御情報が適用されるDNNを識別するolcScope構成要素の値である。
3gpp-Sbi-Oci:タイムスタンプ:“2020年2月4日火曜日08:49:37GMT”;有効期間:75秒;過負荷削減メトリック:50%;NFインスタンス:54804518-4191-46b3-955c-ac631f953ed8
例2:NFサービスセットにおける過負荷制御情報:
3gpp-Sbi-Oci:タイムスタンプ:“2020年2月4日火曜日08:49:37GMT”;有効期間:120秒;過負荷削減メトリック:50%;NFサービスセット:setxyz.snnsmf-pdusession.nfi54804518-4191-46b3-955c-ac631f953ed8.5gc.mnc012.mcc345
例3:S-NSSAIにおける特定のDNNに関連するSMFインスタンスの過負荷制御情報:
3gpp-Sbi-Oci:タイムスタンプ:“2020年2月4日火曜日08:49:37GMT”;有効期間:600秒;過負荷削減メトリック:50%;NFインスタンス:54804518-4191-46b3-955c-ac631f953ed8;S-NSSAI:{“sst”:1,“sd”:“A08923”};DNN:internet.mnc012.mcc345.gprs
例1において、54804518-4191-46b3-955c-ac631f953ed8は、過負荷制御情報が適用されるNFインスタンスを識別するolcScope構成要素の値である。例2において、setxyz.snnsmf-pdusession.nfi54804518-4191-46b3-955c-ac631f953ed8.5gc.mnc012.mcc345は、過負荷制御情報が適用されるNFサービスセットを識別するolcScope構成要素の値である。例3において、internet.mnc012.mcc345.gprsは、過負荷制御情報が適用されるDNNを識別するolcScope構成要素の値である。
【0047】
以下に示す表2は、3GPPTS29.500のセクション6.4.3.4.5で定義されるolcScopeの例を示す。
【0048】
【表2】
【0049】
3GPPTS29.500で定義されるもう1つのヘッダは、3gpp-Sbi-Target-apiRootヘッダである。3GPPTS29.500のセクション6.10.2.5によると、委任された検出の有無にかかわらず、間接通信の場合、HTTPクライアントは、利用可能な場合、SCPに送信する要求で、ターゲットリソースにおける権限サーバのapiRootに設定された3gpp-Sbi-Target-apiRootヘッダを含むものとする。特に、クライアントは、リソースの作成後、SCPに送信される後続のサービス要求で、およびSCP経由で送信される通知またはコールバックで、委任された検出を行わずに間接通信を使用して送信されるSBI要求に3gpp-Sbi-Target-apiRootヘッダを含める。
【0050】
SCPは、ネクストホップSCPに送信する要求に、利用可能な場合、ターゲットリソースにおける機関サーバのapiRootに設定された3gpp-Sbi-Target-apiRootヘッダも含む。強調すべき点は、SCPがターゲットリソース自体を見つけることも、3gpp-Sbi-Target-apiRootヘッダからターゲットリソースを推測することもできるということである。
【0051】
以下で詳細に説明するように、3gpp-Sbi-Target-apiRootヘッダは、ターゲットリソースが存在するプロデューサNFのNFプロファイルの1つ以上の属性に対応する構成要素を含む。ターゲットリソースが存在するプロデューサNFのNFプロファイルに共通する3gpp-Sbi-Target-apiRootヘッダの構成要素は、3gpp-Sbi-Ociヘッダで指定されたスコープを検証するために使用できる。図2は、3gpp-Sbi-Ociヘッダに含まれるスコープ情報を検証するために使用できるNFプロファイルの典型的なパラメータを示すブロック図である。図2において、NFプロファイルはsmfinfo属性を含み、この属性は、送信先ネットワーク名(DNN)およびセッション管理機能(SMF)の単一ネットワークスライス選択支援情報(S-NSSAI)の詳細を含む。3gpp-Sbi-Target-apiRootヘッダによって識別されるターゲットリソースがSMFである場合、3gpp-Sbi-Target-apiRootヘッダを使用してSMFのNFプロファイルを取得でき、NFプロファイルのsmfInfo属性は3gpp-Sbi-Ociヘッダのスコープ構成要素におけるDNNおよびS-NSSAIと比較され得る。
【0052】
3gpp-Sbi-Ociヘッダの構成要素のスコープを検証するために使用できるもう1つのNFプロファイル属性は、コールバックURIを含むdefaultNoficationSubscriptions属性である。3gpp-Sbi-Target-apiRootヘッダは、ターゲットリソースのNFプロファイルを取得するために使用されてもよく、コールバックURIはNFプロファイルのdefaultNotificationSubscriptions属性から読み取られてもよく、NFプロファイルから取得されたコールバックURIは、3gpp-Sbi-Ociヘッダのスコープ構成要素から取得したコールバックURIと比較されてもよい。属性値が一致する場合、OCIは有効であると決定できる。属性値が一致しない場合、OCIは無効であると決定できる。
【0053】
3gpp-Sbi-Target-apiRootヘッダを使用して取得されたNFプロファイル属性と比較できるOCIスコープの他の構成要素としては、NFインスタンスID、NFセットID、NFサービスインスタンスID、およびNFサービスセットIDが挙げられる。図2の「OCIスコープ」という見出しが付いた表にリストアップされているNFプロファイル属性の任意の1つ以上は、OCIを検証するために3gpp-Sbi-Ociヘッダのスコープ構成要素からの対応する属性値と比較され得る。図3は、コンシューマNF、プロデューサNF、SCP、およびハッカーの間で交換される典型的なメッセージを示すメッセージフロー図であり、この場合、ハッカーはOCIを使用してサービス拒否攻撃を開始する。図3を参照すると、1行目で、コンシューマNF300がSBI要求メッセージをSCP101に送信する。2行目で、SCP101がSBI要求メッセージをプロデューサNF302に転送する。3行目で、プロデューサNF302がSBI応答メッセージをSCP101に送信する。4行目で、SCP101はSBI応答メッセージをコンシューマNF300に転送する。コンシューマNF300とプロデューサNF302の間の通信はSCP101を介して行われるため、1~4行目に示される通信モデルは間接通信モデルと呼ばれる。
【0054】
5行目で、コンシューマNF300がSCP101にSBI要求メッセージを送信する。6行目で、SCP101がSBI要求メッセージをハッカー304に転送する。この例において、ハッカー304は、ネットワーク内でサービスを提供するプロデューサNFまたはプロデューサNFになりすましたノードである可能性がある。メッセージフロー図の7行目で、ハッカー304はSBI応答をSCP101に送信する。SBI応答は、プロデューサNF302が過負荷されていることを示す、プロデューサNF302を識別する3gpp-Sbi-Ociヘッダを、そのスコープ構成要素に含む。8行目で、SCP101は、プロデューサNF302が過負荷されていることを識別する3gpp-Sbi-Ociヘッダを有するSBI応答メッセージをコンシューマNF300に送信する。コンシューマNF300は、プロデューサNF302が過負荷であることを示す3gpp-Sbi-Ociヘッダを伴うSBI応答の受信に応答して、プロデューサNF302との通信を停止する。プロデューサNF302がネットワーク内で必須のサービスを提供するとともにそのようなサービスの唯一のプロバイダである場合、ネットワークの停止が起こる可能性がある。例えば、プロデューサNF302が、ネットワーク内でアクセスおよびモビリティ管理サービスを提供する唯一のAMFであるとともにハッカー304によって送信されたOCIに基づいてコンシューマNF300に利用できなくなる場合、ネットワークにアクセスしようとするUEは、そうすることができない可能性がある。図3に示すような、DoS攻撃が成功する可能性を回避または低減するために、本明細書中に記載されるSCPまたは他のNFは、SBI要求メッセージからの情報を使用して、SBI要求のターゲットであるSBIプロデューサを識別するNFプロファイル情報を取得することができるとともに、記憶された情報を使用して、SBI応答で受信したOCIヘッダ内のスコープ情報を検証することができる。図4は、SCPが、SBI要求からのターゲットリソース識別情報を使用して取得したNFプロファイル情報を使用して、SBI応答のOCIヘッダ内のスコープ情報を検証するときに交換される典型的なメッセージを示すメッセージフロー図である。図4を参照すると、1行目で、コンシューマNF300がSBI要求メッセージをSCP101に送信する。2行目で、SCP101がSBI要求メッセージをプロデューサNF302に転送する。3行目で、プロデューサNF302がSBI応答メッセージをSCP101に送信する。4行目で、SCP101はSBI応答メッセージをコンシューマNF300に転送する。
【0055】
5行目で、コンシューマNF300がSBI要求メッセージをSCP101に送信する。SCP101は、SBI要求からのピア識別情報を記憶する。この場合、ピア識別情報は、SBI要求メッセージの3gpp-Sbi-Target-apiRootヘッダから決定されるハッカー304の1つ以上のNFプロファイル属性である。6行目で、SCP101はSBI要求メッセージをハッカー304に転送する。メッセージフロー図の7行目で、ハッカー304がSBI応答をSCP101に送信する。SBI応答は、プロデューサNF302が過負荷になっていることを示す、プロデューサNF302を識別する3gpp-Sbi-Ociヘッダを、そのスコープ構成要素に含む。SCP101は、SBI応答メッセージをコンシューマNF300に転送するのではなく、3gpp-Sbi-OciヘッダのolcScope構成要素で識別されたエンティティを、SBI要求の3gpp-Sbi-Target-apiRootヘッダから取得または決定されたNFプロファイル情報に対して検証する。この例では、3gpp-Sbi-Target-apiRootヘッダから決定された記憶されたNFプロファイル情報はハッカー304の識別情報である。しかしながら、olcScopeパラメータからのピア識別情報はプロデューサNF302を識別する。識別情報が一致しないため、SCP101はSBI要求メッセージを拒否する。これは、ハッカー304には3gpp-Sbi-Ociヘッダで指定されたスコープにおけるOCI情報を送信する権限がないからである。SCP101は無許可のolcScopeを伴うSBI要求メッセージを拒否するため、プロデューサNF302に対するDoS攻撃が成功する可能性が低減される。
【0056】
図5は、NFプロファイル属性と3gpp-Sbi-Target-apiRootヘッダ構成要素との間の典型的なマッピングを示すブロック図である。SCPは、3gpp-Sbi-Target-apiRootヘッダの構成要素のいずれか1つ以上を利用して、ターゲットリソースのNFプロファイルを識別し、図2に示されているパラメータを取得して、過負荷制御情報のスコープを検証できる。例えば、SCP101は、3gpp-Sbi-Target-apiRootヘッダからのスキーム、FQDN、ポート、apiPrefix、apiName、およびapiVersionのうちの1つ以上の値を使用して、NFプロファイルデータベース内のルックアップを実行し、ターゲットリソースが存在するNFのNFプロファイルを取得することができる。その後、SCPは、図2に示されているNFプロファイル属性を読み取り、これらの属性を3gpp-Sbi-Target-apiRootヘッダのスコープ構成要素からの対応する属性の値と比較し、比較の結果に基づいて、OCIが有効であるかどうかを決定することができる。図6は、SBI応答メッセージ内のolcScope情報を検証するための、SCP、SEPP、または他のNFなどのNFの典型的なアーキテクチャを示すブロック図である。図6を参照すると、NF600は、少なくとも1つのプロセッサ602およびメモリ604を含む。SCP101は、SBI要求メッセージを受信し、SBI要求メッセージからターゲットリソース識別情報を取得し、ターゲットリソース識別情報を使用して、メモリ604内にあってもよいNFプロファイルデータベース608からNFプロファイル情報を取得し、そのNFプロファイル情報を使用してSBI応答メッセージで送信されたolcScope情報を検証するためのolcScopeバリデータ606を更に含む。代替の実施態様において、olcScopeバリデータ606は、NF600の外部のNFプロファイルデータベースに問い合わせて、NFプロファイル情報を取得することができる。olcScopeバリデータ606は、メモリ604に記憶されてプロセッサ602によって実行されるコンピュータ実行可能命令を使用して実装され得る。
【0057】
図7は、ピアNF識別情報に対してolcScope情報を検証する際にNFによって実行される典型的なプロセスを示すフローチャートである。図7を参照すると、ステップ700において、プロセスは、NFにおいてSBI要求メッセージを受信することを含む。例えば、間接通信モデルでは、SCPまたはSEPPであってもよいNF600は、プロデューサNFに転送するためにコンシューマNFからSBI要求メッセージを受信することができる。
【0058】
ステップ702において、プロセスは、SBI要求メッセージからターゲットリソース識別情報を取得することを含む。例えば、NF600は、SBI要求メッセージの3gpp-Sbi-Target-apiRootヘッダの1つ以上の構成要素の値を読み取ることができる。そのような構成要素の例が図5に示される。
【0059】
ステップ704において、NF600は、ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、そのNFプロファイル情報をメモリに記憶する。例えば、NF600は、3gpp-Sbi-Target-apiRootヘッダからの1つ以上の属性値を利用して、ターゲットリソースが存在するNFのNFプロファイルを取得し、図2の表に示されるOCIスコープ属性のいずれかに対応するNFプロファイルからの属性値を読み取って、NFプロファイル属性の値をメモリに記憶できる。
【0060】
ステップ706において、プロセスは、olcScope情報を含む3gpp-Sbi-Ociヘッダを含むSBI応答メッセージを受信することを含む。例えば、NF600は、正規のプロデューサNFまたはハッカーから、3gpp-Sbi-Ociヘッダを含むSBI応答メッセージを受信することができる。ヘッダはolcScope構成要素を含むことができる。
【0061】
ステップ708および710において、プロセスは、NFプロファイル情報を使用して、olcScope情報が有効であるかどうかを決定することを含む。例えば、NF600は、3gpp-Sbi-OciヘッダのolcScope構成要素から1つ以上の値を読み取り、olcScope構成要素から読み取った値を、3gpp-Sbi-Target-apiRootヘッダを使用して取得されたNFプロファイルの記憶された1つ以上の構成要素と比較できる。
【0062】
ステップ710で、olcScopeが有効でないと決定される場合、すなわち、olcScope情報が記憶されたNFプロファイル情報と一致しない場合、制御はステップ712に進み、SBI応答が拒否される。olcScope情報が有効であると決定される場合、すなわち、olcScope情報が記憶されたNFプロファイル情報と一致する場合、制御はステップ714に進み、SCPは、対応するSBI要求を送信したコンシューマNFにSBI応答を転送する。ステップ714における転送は、olcScope検証を実行するノードがSCPまたはSEPPである場合に実施されることに留意すべきである。検証を実行するノードがコンシューマNFである場合、ステップ714は、SBI応答を転送するのではなく、処理することを含むことができる。
【0063】
本明細書中に記載される主題の利点には、3gpp-Sbi-Ociヘッダまたは他の同様のヘッダのスプーフィングによって実行されるサービス拒否攻撃が成功する可能性を低減することが含まれる。本明細書中に記載される主題は、3gpp-Sbi-Ociヘッダと同様の他のヘッダに拡張可能である。本明細書中に記載される主題は、インターパブリックランドモバイルネットワーク(PLMN)およびイントラPLMNシグナリングの両方に適用可能である。本明細書中に記載される主題は、SCPまたは他のNF(SEPPやコンシューマNFなど)で実装してolcScopeを検証することができる。
【0064】
以下の各参考文献の開示は、その全体が参照により本明細書に組み込まれる。
参考文献
1. 3GPP TS 29.500 V17.3.0 (2021-06), 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Technical Realization of Service Base Architecture; Stage 3; (Release 17).
2. 3GPP TS 29.501 V17.2.0 (2021-06), 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; System Architecture for the 5G System (5GS), Stage 2; (Release 17).
3. 3GPP TS 29.510 V17.2.0 (2021-06), 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3; (Release 17).
本明細書中に記載される主題の様々な詳細は、本明細書に記載される主題の範囲から逸脱することなく変更され得ることが理解される。更に、本明細書中に記載される主題は以下に記載の特許請求の範囲によって定義されるため、前述の説明は例示のみを目的としたものであり、限定を目的とするものではない。
参考文献
1. 3GPP TS 29.500 V17.3.0 (2021-06), 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Technical Realization of Service Base Architecture; Stage 3; (Release 17).
2. 3GPP TS 29.501 V17.2.0 (2021-06), 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; System Architecture for the 5G System (5GS), Stage 2; (Release 17).
3. 3GPP TS 29.510 V17.2.0 (2021-06), 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3; (Release 17).
本明細書中に記載される主題の様々な詳細は、本明細書に記載される主題の範囲から逸脱することなく変更され得ることが理解される。更に、本明細書中に記載される主題は以下に記載の特許請求の範囲によって定義されるため、前述の説明は例示のみを目的としたものであり、限定を目的とするものではない。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【手続補正書】
【提出日】2024-08-20
【手続補正1】
【補正対象書類名】特許請求の範囲
【補正対象項目名】全文
【補正方法】変更
【補正の内容】
【特許請求の範囲】
【請求項1】
ターゲットリソース識別情報を使用して取得されるネットワーク機能(NF)プロファイル情報に対して過負荷制御情報(OCI)スコープ情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するための方法であって、少なくとも1つのプロセッサを含むNFにおいて、
サービスベースインタフェース(SBI)要求メッセージを受信することと、
前記SBI要求メッセージからターゲットリソース識別情報を取得することと、
前記ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、前記NFプロファイル情報を前記NFのメモリに記憶することと、
過負荷制御情報および前記過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信することと、
前記記憶されたNFプロファイル情報を使用して、前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定することと、
前記過負荷制御情報における前記スコープ情報が無効であると決定することに応じて、前記SBI応答メッセージを拒否することとを含む、方法。
【請求項2】
前記ターゲットリソース識別情報を取得することは、前記SBI要求メッセージの3gpp-Sbi-Target-apiRootヘッダの1つ以上の構成要素の値を読み取ることを含む、請求項1に記載の方法。
【請求項3】
前記3gpp-Sbi-Target-apiRootヘッダの1つ以上の構成要素の値を読み取ることは、前記ターゲットリソース識別情報によって識別されるターゲットリソースをホストするプロデューサNFのNFプロファイルの属性に対応する構成要素の値を読み取ることを含む、請求項2に記載の方法。
【請求項4】
前記NFプロファイル情報を取得することは、前記3gpp-Sbi-Target-apiRootヘッダの構成要素の値のうちの前記1つ以上を使用して、NFプロファイルデータベース内のルックアップを実行し、前記ターゲットリソースをホストする前記NFの前記NFプロファイルの位置を特定することを含む、請求項3に記載の方法。
【請求項5】
前記ターゲットリソースをホストする前記プロデューサNFの前記NFプロファイルの属性に対応する前記3gpp-Sbi-Target-apiRootヘッダの前記1つ以上の構成要素の値を読み取ることは、スキーム構成要素、完全修飾ドメイン名(FQDN)構成要素、トランスポート層ポート構成要素、apiPrefix構成要素、apiName構成要素、およびapiVersion構成要素のうちの1つ以上の値を読み取ることを含む、請求項3に記載の方法。
【請求項6】
前記NFプロファイル情報を使用して前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定することは、NFインスタンスID、NFセットID、NFサービスインスタンスID、NFサービスセットID、単一ネットワークスライス選択支援情報(S-NSSAI)、送信先ネットワーク名(DNN)、コールバックユニフォームリソース識別子(URI)、およびサービス通信プロキシ(SCP)完全修飾ドメイン名(FQDN)のうちの1つ以上を3gpp-Sbi-Ociヘッダのスコープ構成要素の対応する構成要素の値と比較することを含む、請求項1~請求項5のいずれか1項に記載の方法。
【請求項7】
前記NFプロファイル情報を使用して前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定することは、前記NFプロファイル情報が前記過負荷制御情報における前記スコープ情報と一致しないとの決定に応答して、前記過負荷制御情報における前記スコープ情報が無効であると決定することを含む、請求項1~請求項5のいずれか1項に記載の方法。
【請求項8】
前記NFプロファイル情報を使用して前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定することは、前記NFプロファイル情報が前記過負荷制御情報における前記スコープ情報と一致するとの決定に応答して、前記過負荷制御情報における前記スコープ情報が有効であると決定することを含む、請求項1~請求項5のいずれか1項に記載の方法。
【請求項9】
前記ネットワーク機能がサービス通信プロキシ(SCP)を含む、請求項1~請求項5のいずれか1項に記載の方法。
【請求項10】
前記NFが、セキュリティエッジ保護プロキシ(SEPP)またはコンシューマNFを含む、請求項1~請求項5のいずれか1項に記載の方法。
【請求項11】
ターゲットリソース識別情報を使用して取得されるネットワーク機能(NF)プロファイル情報に対して過負荷制御情報(OCI)スコープ情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するためのシステムであって、少なくとも1つのプロセッサおよびメモリを含むNFと、
サービスベースインタフェース(SBI)要求メッセージを受信し、前記SBI要求メッセージからターゲットリソース識別情報を取得し、前記ターゲットリソース識別情報を使用して、NFプロファイル情報を取得し、前記NFプロファイル情報を前記メモリに記憶し、過負荷制御情報および前記過負荷制御情報におけるスコープ情報を含むSBI応答メッセージを受信し、前記記憶されたNFプロファイル情報を使用して、前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定し、前記過負荷制御情報における前記スコープ情報が無効であると決定することに応じて、前記SBI応答メッセージを拒否するためのolcScopeバリデータとを備える、システム。
【請求項12】
前記olcScopeバリデータは、前記SBI要求メッセージの3gpp-Sbi-Target-apiRootヘッダから1つ以上の構成要素の値を読み取ることによって前記ターゲットリソース識別情報を取得するように構成される、請求項11に記載のシステム。
【請求項13】
前記3gpp-Sbi-Target-apiRootヘッダの前記1つ以上の構成要素の値は、前記ターゲットリソース識別情報によって識別されるターゲットリソースをホストするプロデューサNFのNFプロファイルの属性に対応する値を含む、請求項12に記載のシステム。
【請求項14】
前記olcScopeバリデータは、前記3gpp-Sbi-Target-apiRootヘッダの前記属性の値のうちの1つ以上の値を使用してNFプロファイルデータベース内のルックアップを実行することによって前記NFプロファイル情報を取得し、前記ターゲットリソースをホストする前記NFの前記NFプロファイルの位置を特定するように構成される、請求項13に記載のシステム。
【請求項15】
前記ターゲットリソースをホストする前記プロデューサNFの前記NFプロファイルの属性に対応する前記3gpp-Sbi-Target-apiRootヘッダの前記1つ以上の構成要素の値は、スキーム属性、完全修飾ドメイン名(FQDN)構成要素、トランスポート層ポート構成要素、apiPrefix構成要素、apiName構成要素、およびapiVersion構成要素のうちの1つ以上の値を含む、請求項13に記載のシステム。
【請求項16】
前記olcScopeバリデータは、前記NFプロファイル情報と前記過負荷制御情報における前記スコープ情報とを比較することによって前記過負荷制御情報における前記スコープ情報が有効であるかどうかを決定するように構成される、請求項11~請求項15のいずれか1項に記載のシステム。
【請求項17】
前記olcScopeバリデータは、前記NFプロファイル情報が前記過負荷制御情報における前記スコープ情報と一致しないとの決定に応答して、前記過負荷制御情報における前記スコープ情報が無効であると決定するように構成される、請求項11~請求項15のいずれか1項に記載のシステム。
【請求項18】
前記olcScopeバリデータは、前記NFプロファイル情報が前記過負荷制御情報における前記スコープ情報と一致するという決定に応答して、前記過負荷制御情報における前記スコープ情報が有効であると決定するように構成される、請求項11~請求項15のいずれか1項に記載のシステム。
【請求項19】
前記ネットワーク機能は、サービス通信プロキシ(SCP)、セキュリティエッジ保護プロキシ(SEPP)、またはコンシューマNFを含む、請求項11~請求項15のいずれか1項に記載のシステム。
【請求項20】
請求項1~請求項5のいずれか1項に記載の方法をプロセッサに実行させるためのコンピュータ可読プログラム。
【手続補正3】
【補正対象書類名】明細書
【補正対象項目名】0055
【補正方法】変更
【補正の内容】
【0055】
5行目で、コンシューマNF300がSBI要求メッセージをSCP101に送信する。SCP101は、SBI要求からのピア識別情報を記憶する。この場合、ピア識別情報は、SBI要求メッセージの3gpp-Sbi-Target-apiRootヘッダから決定されるハッカー304の1つ以上のNFプロファイル属性である。6行目で、SCP101はSBI要求メッセージをハッカー304に転送する。メッセージフロー図の7行目で、ハッカー304がSBI応答をSCP101に送信する。SBI応答は、プロデューサNF302が過負荷になっていることを示す、プロデューサNF302を識別する3gpp-Sbi-Ociヘッダを、そのスコープ構成要素に含む。SCP101は、SBI応答メッセージをコンシューマNF300に転送するのではなく、3gpp-Sbi-OciヘッダのolcScope構成要素で識別されたエンティティを、SBI要求の3gpp-Sbi-Target-apiRootヘッダから取得または決定されたNFプロファイル情報に対して検証する。この例では、3gpp-Sbi-Target-apiRootヘッダから決定された記憶されたNFプロファイル情報はハッカー304の識別情報である。しかしながら、olcScopeパラメータからのピア識別情報はプロデューサNF302を識別する。識別情報が一致しないため、SCP101はSBI応答メッセージを拒否する。これは、ハッカー304には3gpp-Sbi-Ociヘッダで指定されたスコープにおけるOCI情報を送信する権限がないからである。SCP101は無許可のolcScopeを伴うSBI応答メッセージを拒否するため、プロデューサNF302に対するDoS攻撃が成功する可能性が低減される。
【国際調査報告】