CN113994625A - 网络节点 - Google Patents
网络节点 Download PDFInfo
- Publication number
- CN113994625A CN113994625A CN202080024688.0A CN202080024688A CN113994625A CN 113994625 A CN113994625 A CN 113994625A CN 202080024688 A CN202080024688 A CN 202080024688A CN 113994625 A CN113994625 A CN 113994625A
- Authority
- CN
- China
- Prior art keywords
- network node
- vplmn
- network
- hplmn
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 claims abstract description 57
- 230000006870 function Effects 0.000 claims description 74
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 claims description 2
- 102100023843 Selenoprotein P Human genes 0.000 claims description 2
- 229940119265 sepp Drugs 0.000 claims description 2
- 239000011814 protection agent Substances 0.000 claims 1
- 238000010586 diagram Methods 0.000 description 33
- 238000000034 method Methods 0.000 description 29
- 230000005540 biological transmission Effects 0.000 description 23
- 238000007726 management method Methods 0.000 description 20
- 238000012545 processing Methods 0.000 description 14
- 230000008569 process Effects 0.000 description 13
- 238000005516 engineering process Methods 0.000 description 6
- 230000011664 signaling Effects 0.000 description 5
- 238000010295 mobile communication Methods 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 3
- 101150119040 Nsmf gene Proteins 0.000 description 2
- 238000004364 calculation method Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 238000009795 derivation Methods 0.000 description 2
- 238000011835 investigation Methods 0.000 description 2
- 230000007774 longterm Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008054 signal transmission Effects 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 239000002245 particle Substances 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000029058 respiratory gaseous exchange Effects 0.000 description 1
- 208000000649 small cell carcinoma Diseases 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/02—Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
- H04W8/08—Mobility data transfer
- H04W8/12—Mobility data transfer between location registers or mobility servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/24—Interfaces between hierarchically similar devices between backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
网络节点具有:接收部,其从管理节点接收用于提高网络节点之间的通信的安全性的信息;以及控制部,其根据所述用于提高安全性的信息,接收从配置于第1PLMN(Public Land Mobile Network:公共陆地移动网)的第1网络节点发送的请求,向配置于第2PLMN的第2网络节点发送所述请求。
Description
技术领域
本发明涉及通信系统中的网络节点。
背景技术
在3GPP(3rd Generation Partnership Project:第三代合作伙伴计划)中,为了实现系统容量的进一步大容量化、数据传输速度的进一步高速化、无线区间中的进一步低延迟化等,开展了称为5G或者NR(New Radio)的无线通信方式(以下,将该无线通信方式称为“5G”或者“NR”)的研究。在5G中,为了满足实现10Gbps以上的吞吐量(throughput)并且使无线区间的延迟为1ms以下这样的要求条件,进行了各种各样的无线技术的研究。
在NR中,正在研究包含与LTE(Long Term Evolution:长期演进)的网络架构(architecture)中的核心网络即EPC(Evolved Packet Core:演进分组核心)对应的5GC(5GCore Network:5G核心网)和与LTE的网络架构中的RAN(Radio Access Network:无线接入网)即E-UTRAN(Evolved Universal Terrestrial Radio Access Network:演进的通用陆地无线接入网)对应的NG-RAN(Next Generation-Radio Access Network:下一代-无线接入网)在内的网络架构(例如,非专利文献1)。
现有技术文献
非专利文献
非专利文献1:3GPP TS 23.501V15.4.0(2018-12)
发明内容
发明所要解决的问题
在具有5G的网络架构的系统中,NF(Network Function:网络功能)被定义为具有单一功能的NF服务的组合。在各NF服务之间的通信需要安全性或认证的情况下,在初版(Release 15)中,NF内部的结构要素实现了该安全性或认证。在第2版(Release 16)中,进行了总括该结构要素而形成各NF服务能够共同利用的基础功能的研究。在将依据第1版的PLMN(Public Land Mobile Network:公共陆地移动网)和依据第2版的PLMN相互连接时,难以构成NF服务之间的安全通信。
本发明是鉴于上述情况而完成的,其目的在于,在网络节点之间执行提高了安全性的通信。
用于解决课题的手段
根据公开的技术,提供一种网络节点,其具有:接收部,其从管理节点接收用于提高网络节点之间的通信的安全性的信息;以及控制部,其根据所述用于提高安全性的信息,接收从配置于第1PLMN(Public Land Mobile Network:公共陆地移动网)的第1网络节点发送的请求,向配置于第2PLMN的第2网络节点发送所述请求。
发明效果
根据公开的技术,能够在网络节点之间执行提高了安全性的通信。
附图说明
图1是用于说明本发明实施方式中的通信系统的例子的图。
图2是用于说明相互TLS的例子的图。
图3是用于说明本发明实施方式中的相互TLS的例子的图。
图4是用于说明认证过程的例子的图。
图5是用于说明本发明实施方式中的认证动作的例子的图。
图6是用于说明本发明实施方式中的漫游环境下的通信系统的例子的图。
图7是用于说明漫游环境下的相互TLS的例子的图。
图8是用于说明本发明实施方式中的漫游环境下的相互TLS的例(1)的图。
图9是用于说明本发明实施方式中的漫游环境下的相互TLS的例(2)的图。
图10是用于说明漫游环境下的认证过程的例子的图。
图11是用于说明本发明实施方式中的漫游环境下的认证过程的例(1)的图。
图12是用于说明本发明实施方式中的漫游环境下的认证过程的例(2)的图。
图13是示出本发明实施方式中的网络节点10的功能结构的一例的图。
图14是示出本发明实施方式中的用户装置20的功能结构的一例的图。
图15是示出本发明实施方式中的网络节点10或用户装置20的硬件结构的一例的图。
具体实施方式
以下,参考附图说明本发明的实施方式。另外,以下说明的实施方式仅为一例,应用本发明的实施方式不限于以下的实施方式。
在本发明的实施方式的无线通信系统进行工作时,可适当地使用现有技术。但是,该现有技术例如是现有的LTE,但不限于现有的LTE。此外,除非另有说明,本说明书中使用的用语“LTE”具有包含LTE-Advanced和LTE-Advanced以后的方式(例如,NR)或无线LAN(Local Area Network:局域网)的广泛含义。
此外,在本发明的实施方式中,“设定(Configure)”无线参数等可以是指预先设定(Pre-configure)预定的值,也可以是指设定从网络节点10或用户装置20通知的无线参数。
图1是用于说明本发明实施方式中的通信系统的图。如图1所示,通信系统由作为用户装置20的UE、多个网络节点10构成。以下,假设按照每个功能对应有1个网络节点10,但是,可以由1个网络节点10实现多个功能,也可以由多个网络节点10实现1个功能。此外,以下记载的“连接”可以是逻辑性的连接,也可以是物理性的连接。
RAN(Radio Access Network:无线接入网络)是具有无线接入功能的网络节点10,与UE、AMF(Access and Mobility Management Function:接入和移动性管理功能)以及UPF(User plane function:用户面功能)连接。AMF是具有RAN接口的终端、NAS(Non-AccessStratum:非接入层)的终端、注册管理、连接管理、到达性管理、移动性(mobility)管理等功能的网络节点10。UPF是具有针对与DN(Data Network:数据网络)相互连接的外部的PDU(Protocol Data Unit:协议数据单元)会话点、分组的路由及转发、用户面的QoS(Qualityof Service:服务质量)处理等功能的网络节点10。UPF和DN构成网络切片。在本发明的实施方式中的无线通信网络中也可以构建多个网络切片。
AMF与UE、RAN、SMF(Session Management function:会话管理功能)、NSSF(Network Slice Selection Function:网络切片选择功能)、NEF(Network ExposureFunction:网络开放功能)、NRF(Network Repository Function:网络存储功能)、UDM(Unified Data Management:统一数据管理)、AUSF(Authentication Server Function:鉴权服务器功能)、PCF(Policy Control Function:策略控制功能)、AF(ApplicationFunction:应用功能)连接。AMF、SMF、NSSF、NEF、NRF、AUSF、PCF、AF是经由基于各自的服务的接口,如Namf、Nsmf、Nnssf、Nnef、Nnrf、Nudm、Nausf、Npcf、Naf而相互连接的网络节点10。
SMF是具有会话管理、UE的IP(Internet Protocol:互联网协议)地址分配及管理、DHCP(Dynamic Host Configuration Protocol:动态主机配置协议)功能、ARP(AddressResolution Protocol:地址解析协议)代理、漫游功能等功能的网络节点10。NEF是具有向其他NF(Network Function:网络功能)通知能力和事件的功能的网络节点10。NSSF是具有UE所连接的网络切片的选择、被许可的NSSAI(Network Slice Selection AssistanceInformation:网络切片选择辅助信息)的决定、所设定的NSSAI的决定、UE所连接的AMF集的决定等功能的网络节点10。PCF是具有进行网络的策略控制的功能的网络节点10。AF是具有对应用服务器进行控制的功能的网络节点10。NRF是具有发现提供服务的NF实例的功能的网络节点10。
图1所示的除了UE、RAN、UPF、DN以外的网络节点都包含在SBA(Service BasedArchitecture:服务化架构)的范围。SBA中采用来自网络(Web)和云(Cloud)的领域的技术。各NF被定义为具有单一功能的NF服务的组合。NF以整合的协议相互提供服务并利用。例如,AMF是不具有状态的NF,与进程(process)和UDSF(Unified Data Storage Function:统一数据存储功能)所提供的存储器(storage)分离。
以下,主要从安全性的观点出发,对与eSBA(enhanced SBA)有关的网络的设定进行说明。在eSBA中,正在研究使用NF服务、NF服务自身不执行注册(registration)、发现(discovery)、要求安全性的NF服务之间的通信、以及使用开源软件作为安装选项等。
图2是用于说明相互TLS的例子的图。图2示出了在非漫游环境下经由相互TLS(Transport Layer Security:传输层安全协议)而与NF连接的现有结构。TLS是为了在网络中进行要求安全性的通信而使用的协议。相互TLS双向地执行服务器客户端之间的TLS的认证。如图2所示,NF经由TLS执行要求安全性的通信。
图3是用于说明本发明实施方式中的相互TLS的例子的图。图3示出了在非漫游环境下经由相互TLS而通过Envoy与NF服务连接的结构。Envoy是指配置于与NF服务相同的Pod的sidecar(边车)。Pod是指由被容器化的应用程序执行的进程的实例(instance)。在图3中,相互TLS在Envoy之间被建立。Envoy作为NF服务之间的通信的代理而进行工作。在Envoy之间执行经由TLS的安全通信。此外,Envoy还可以监视NF服务等。
图4是用于说明认证过程的例子的图。图4示出了在非漫游环境下执行用于进行认证的开放标准(Open standard)即OAuth2.0的现有结构。NF向NRF发送包含NF实例ID的注册(Registration)。接下来,NF向NRF发送令牌请求(Token request)。接下来,NRF向NF发送令牌(Token)。接下来,NF向其它NF发送伴随该令牌的请求。
图5是用于说明本发明实施方式中的认证动作的例子的图。图5示出了在非漫游环境下从NF服务执行相当于基于OAuth2.0的认证的新认证的结构。NF服务经由Envoy向其它NF服务发送请求。这里,其它NF服务的Envoy从IstioPilot取得ServiceRole(服务角色)和ServiceRoleBinding(服务角色绑定)。IstioPilot进行Envoy之间的业务策略管理,例如具有角色绑定(RoleBinding)的策略管理功能等。IstioPilot所提供的ServiceRole是指对NF服务中被许可的操作进行定义,ServiceRoleBinding是指对将哪个NF服务与ServiceRole(服务角色)相关联进行定义。通过使用ServiceRole(服务角色),能够实现图4所示的OAuth中的令牌的功能。
图6是用于说明本发明实施方式中的漫游环境下的通信系统的例子的图。如图6所示,网络由作为用户装置20的UE、多个网络节点10构成。以下,假设按照每个功能对应有1个网络节点10,但是,可以由1个网络节点10实现多个功能,也可以由多个网络节点10实现1个功能。此外,以下记载的“连接”可以是逻辑性的连接,也可以是物理性的连接。
RAN是具有无线接入功能的网络节点10,与UE、AMF以及UPF连接。AMF是具有RAN接口的终端、NAS的终端、注册管理、连接管理、到达性管理、移动性(mobility)管理等功能的网络节点10。UPF是具有针对与DN相互连接的外部的PDU会话点、分组的路由及转发、用户面的QoS处理等功能的网络节点10。UPF和DN构成网络切片。在本发明的实施方式中的无线通信网络中也可以构建多个网络切片。
AMF与UE、RAN、SMF、NSSF、NEF、NRF、UDM、AUSF、PCF、AF、SEPP(Security EdgeProtection Proxy:安全边界保护代理)连接。AMF、SMF、NSSF、NEF、NRF、AUSF、PCF、AF是经由基于各自的服务的接口,如Namf、Nsmf、Nnssf、Nnef、Nnrf、Nudm、Nausf、Npcf、Naf而相互连接的网络节点10。
SMF是具有会话管理、UE的IP地址分配及管理、DHCP功能、ARP代理、漫游功能等功能的网络节点10。NEF是具有向其他NF通知能力和事件的功能的网络节点10。NSSF是具有UE所连接的网络切片的选择、被许可的NSSAI的决定、所设定的NSSAI的决定、UE所连接的AMF集的决定等功能的网络节点10。PCF是具有进行网络的策略控制的功能的网络节点10。AF是具有对应用服务器进行控制的功能的网络节点10。NRF是具有发现提供服务的NF实例的功能的网络节点10。SEPP是非透明的代理,对PLMN(Public Land Mobile Network:公共陆地移动网)间的控制面的消息进行过滤。图6所示的vSEPP是受访(visited)网络中的SEPP,hSEPP是归属(home)网络中的SEPP。
如图6所示,UE处于在VPLMN(Visited PLMN:受访公共陆地移动网)中与RAN以及AMF连接的漫游环境。VPLMN和HPLMN(Home PLMN)经由vSEPP和hSEPP而被连接。UE例如能够经由VPLMN的AMF而与HPLMN的UDM进行通信。
图7是用于说明漫游环境下的相互TLS的例子的图。图7示出了在漫游环境下经由相互TLS和SEPP而与NF连接的现有结构。相互TLS双向地执行服务器客户端间的TLS的认证。如图7所示,NF经由TLS和SEPP执行要求安全性的通信。在图7中,假设步骤1的发送请求的NF存在于VPLMN,步骤8的接收请求的NF存在于HPLMN。
在步骤1中,VPLMN的NF向VPLMN的NRF发送发现目标NF服务的请求。VPLMN的NRF经由VPLMN和HPLMN的SEPP向HPLMN的NRF发送请求。接下来,在步骤2中,HPLMN的NRF向HPLMN的SEPP发送目标NF的实际的FQDN(Fully Qualified Domain Name:全称域名)。接下来,在步骤3中,HPLMN的SEPP向VPLMN的SEPP发送目标NF的被隐藏的FQDN。接下来,在步骤4中,VPLMN的SEPP经由VPLMN的NRF向VPLMN的NF发送被扩展(telescopic)的FQDN。所谓被扩展的FQDN是在末尾追加了SEPP的域而得到的FQDN。
在步骤5中,VPLMN的NF经由VPLMN的NF与VPLMN的SEPP之间的TLS,通过被扩展的FQDN向VPLMN的SEPP发送请求。接下来,在步骤6中,VPLMN的SEPP通过被隐藏的FQDN,向HPLMN的SEPP发送请求。接下来,在步骤8中,HPLMN的SEPP经由NF与SEPP之间的TLS,通过实际的FQDN向HPLMN的NF发送请求。
图8是用于说明本发明实施方式中的漫游环境下的相互TLS的例(1)的图。图8示出了在漫游环境下经由相互TLS而通过Envoy与NF服务连接的结构。在图8中,相互TLS通过Envoy建立。在图8中,步骤0的发送请求的NF服务存在于VPLMN,步骤8的接收请求的NF服务存在于HPLMN。另外,NF服务和Envoy也可以是在同一Pod上工作的一个网络节点。此外,3gppGW和Envoy也可以是在同一Pod上工作的一个网络节点。
如图8所示,在VPLMN和HPLMN的各个中,IstioPilot向Envoy提供TLS策略。通过TLS策略,能够在Envoy间或Envoy与SEPP之间建立TLS。另外,为了认证,TLS被分离为Envoy-Envoy间和Envoy-SEPP间。
在步骤0中,VPLMN的NF服务经由Envoy间的TLS向VPLMN的3gppGW发送请求。接下来,3gppGW将HTTP头中包含的用于发现目的地NF服务的信息变形为GET查询字符(querystring)。在步骤1中,VPLMN的3gppGW经由Envoy、VPLMN的NRF、VPLMN和HPLMN的SEPP向HPLMN的NRF发送请求。接下来,在步骤2中,HPLMN的NRF向HPLMN的SEPP发送目标NF服务的实际的FQDN。接下来,在步骤3中,HPLMN的SEPP向VPLMN的SEPP发送目标NF服务的被隐藏的FQDN。接下来,在步骤4中,VPLMN的SEPP经由VPLMN的NRF向VPLMN的3gppGW发送被扩展的FQDN。
在步骤5中,VPLMN的3gppGW经由Envoy与SEPP之间的TLS,通过被扩展的FQDN向VPLMN的SEPP发送请求。接下来,在步骤6中,VPLMN的SEPP通过被隐藏的FQDN,向HPLMN的SEPP发送请求。接下来,在步骤7中,HPLMN的SEPP经由SEPP与Envoy之间的TLS,通过实际的FQDN向HPLMN的3gppGW发送请求。接下来,在步骤8中,HPLMN的3gppGW经由Envoy之间的TLS,通过实际的FQDN向HPLMN的NF服务发送请求。
图9是用于说明本发明实施方式中的漫游环境下的相互TLS的例(2)的图。图9示出了在漫游环境下经由相互TLS而通过Envoy与NF服务连接的结构、和经由相互TLS和SEPP而与NF连接的现有结构在VPLMN和HPLMN中相互不同的情况的例子。即,在图9中,示出从VPLMN中的NF服务向HPLMN中的NF发送请求的步骤a0到步骤a8的时序以及从VPLMN中的NF向HPLMN中的NF服务发送请求的步骤b1到步骤b8的时序。另外,NF服务和Envoy也可以是在同一Pod上工作的一个网络节点。此外,3gppGW和Envoy也可以是在同一Pod上工作的一个网络节点。
在步骤a0中,VPLMN的NF服务经由Envoy间的TLS向VPLMN的3gppGW发送发现目标NF服务的请求。接下来,3gppGW将HTTP头中包含的用于发现目的地NF服务的信息变形为GET查询字符(query string)。在步骤a1中,VPLMN的3gppGW经由Envoy、VPLMN的NRF、VPLMN和HPLMN的SEPP向HPLMN的NRF发送请求。接下来,在步骤a2中,HPLMN的NRF向HPLMN的SEPP发送目标NF的实际的FQDN。接下来,在步骤a3中,HPLMN的SEPP向VPLMN的SEPP发送目标NF的被隐藏的FQDN。接下来,在步骤a4中,VPLMN的SEPP经由VPLMN的NRF向VPLMN的3gppGW发送被扩展的FQDN。
在步骤a5中,VPLMN的3gppGW经由Envoy与SEPP之间的TLS,通过所扩展的FQDN向VPLMN的SEPP发送请求。接下来,在步骤a6中,VPLMN的SEPP通过隐藏的FQDN向HPLMN的SEPP发送请求。接下来,在步骤a8中,HPLMN的SEPP经由SEPP与NF之间的TLS,通过实际的FQDN向HPLMN的NF发送请求。
另一方面,在步骤b1中,VPLMN的NF向VPLMN的NRF发送发现目标NF服务的请求。VPLMN的NRF经由VPLMN和HPLMN的SEPP向HPLMN的NRF发送请求。接下来,在步骤b2中,HPLMN的NRF向HPLMN的SEPP发送目标NF服务的实际的FQDN。接下来,在步骤b3中,HPLMN的SEPP向VPLMN的SEPP发送目标NF服务的被隐藏的FQDN。接下来,在步骤b4中,VPLMN的SEPP经由VPLMN的NRF向VPLMN的3gppGW发送被扩展的FQDN。
在步骤b5中,VPLMN的NF经由NF与SEPP之间的TLS,通过被扩展的FQDN向VPLMN的SEPP发送请求。接下来,在步骤b6中,VPLMN的SEPP通过被隐藏的FQDN向HPLMN的SEPP发送请求。接下来,在步骤b7中,HPLMN的SEPP经由SEPP与Envoy之间的TLS,通过实际的FQDN向HPLMN的3gppGW发送请求。接下来,在步骤b8中,HPLMN的3gppGW经由Envoy之间的TLS,通过实际的FQDN向HPLMN的NF服务发送请求。
图10是用于说明漫游环境下的认证过程的例子的图。图10示出了在漫游环境下执行用于进行认证的开放标准(Open standard)即OAuth2.0的现有结构。在图10中,步骤1的发送令牌请求的NF存在于VPLMN,步骤3的接收请求的NF存在于HPLMN。
在步骤1中,VPLMN的NF向VPLMN的NRF发送令牌请求。接下来,VPLMN的NRF向VPLMN的SEPP发送令牌请求。接下来,VPLMN的SEPP向HPLMN的SEPP发送令牌请求。接下来,HPLMN的SEPP向HPLMN的NRF发送令牌请求。接下来,在步骤2中,HPLMN的NRF经由HPLMN和VPLMN的SEPP向VPLMN的NRF发送令牌。VPLMN的NRF向VPLMN的NF发送令牌。接下来,在步骤3中,VPLMN的NF经由VPLMN和HPLMN的SEPP向HPLMN的NF发送伴随该令牌的请求。
图11是用于说明本发明实施方式中的漫游环境下的认证过程的例(1)的图。图11示出了在漫游环境下从VPLMN的NF服务执行相当于基于OAuth2.0的认证的新认证的结构。VPLMN的NF服务经由Envoy向HPLMN的NF服务发送请求。这里,配置于VPLMN及HPLMN的Envoy从IstioPilot取得ServiceRole(服务角色)和ServiceRoleBinding(服务角色绑定)。通过使用ServiceRole(服务角色),能够实现图10所示的OAuth中的令牌的功能。另外,NF服务和Envoy也可以是在同一Pod上工作的一个网络节点。此外,3gppGW和Envoy也可以是在同一Pod上工作的一个网络节点。
在步骤0中,VPLMN的NF服务经由Envoy向VPLMN的3gppGW发送请求。VPLMN的3gppGW根据接收到的请求,如自装置是消费者(consumer)NF那样生成令牌请求。接下来,在步骤1中,VPLMN的3gppGW经由Envoy向VPLMN的NRF发送令牌请求。接下来,VPLMN的NRF经由VPLMN和HPLMN的SEPP向HPLMN的NRF发送令牌请求。
在步骤2中,HPLMN的NRF向HPLMN的SEPP发送用于接入预先设定的HPLMN的3gppGW的令牌。接下来,HPLMN的SEPP向VPLMN的SEPP发送令牌。接下来,VPLMN的SEPP向VPLMN的NRF发送令牌。VPLMN的NRF经由Envoy向VPLMN的3gppGW发送令牌。在步骤3中,VPLMN的3gppGW经由Envoy和SEPP向HPLMN的3gppGW发送伴随所生成的该令牌的请求。HPLMN的3gppGW对令牌进行处理。接下来,在步骤4中,HPLMN的3gppGW经由Envoy向HPLMN的NF服务发送接收到的请求。
图12是用于说明本发明实施方式中的漫游环境下的认证过程的例(2)的图。图12示出了在漫游环境下从VPLMN的NF服务执行相当于基于OAuth2.0的认证的新认证的结构与执行OAuth2.0的现有结构在VPLMN和HPLMN中相互不同的情况的例子。即,在图12中,示出从VPLMN中的NF服务向HPLMN中的NF发送请求的步骤a0到步骤a3的时序以及从VPLMN中的NF向HPLMN中的NF服务发送请求的步骤b1到步骤b4的时序。另外,NF服务和Envoy也可以是在同一Pod上工作的一个网络节点。此外,3gppGW和Envoy也可以是在同一Pod上工作的一个网络节点。
在步骤a0中,VPLMN的NF服务经由Envoy向VPLMN的3gppGW发送请求。VPLMN的3gppGW根据接收到的请求,如自装置是消费者(consumer)NF那样生成令牌请求。接下来,在步骤a1中,VPLMN的3gppGW经由Envoy向VPLMN的NRF发送令牌请求。接下来,VPLMN的NRF经由VPLMN和HPLMN的SEPP向HPLMN的NRF发送令牌请求。
在步骤a2中,HPLMN的NRF经由HPLMN和VPLMN的SEPP向VPLMN的NRF发送令牌。VPLMN的NRF经由Envoy向VPLMN的3gppGW发送令牌。接下来,在步骤a3中,VPLMN的3gppGW经由Envoy、VPLMN的SEPP和HPLMN的SEPP向HPLMN的NF发送伴随该令牌的请求。
另一方面,在步骤b1中,VPLMN的NF向VPLMN的NRF发送令牌请求。接下来,VPLMN的NRF向VPLMN的SEPP发送令牌请求。接下来,VPLMN的SEPP向HPLMN的SEPP发送令牌请求。接下来,HPLMN的SEPP向HPLMN的NRF发送令牌请求。接下来,在步骤b2中,HPLMN的NRF经由HPLMN和VPLMN的SEPP向VPLMN的NRF发送用于接入预先设定的3gppGW的令牌。VPLMN的NRF向VPLMN的NF发送令牌。接下来,在步骤b3中,VPLMN的NF经由VPLMN及HPLMN的SEPP、Envoy向HPLMN的3gppGW发送伴随该令牌的请求。HPLMN的3gppGW对接收到的令牌进行处理。接下来,在步骤b4中,HPLMN的3gppGW经由Envoy向HPLMN的NF服务发送接收到的请求。
根据上述的实施例,作为网络节点10的NF服务能够在Envoy间建立相互TLS而与其它NF服务进行安全通信。此外,作为网络节点10的NF服务能够通过从IstioPilot提供的ServiceRole(服务角色)和ServiceRoleBinding(服务角色绑定)经由Envoy执行认证。此外,即使在VPLMN和HPLMN中混合存在基于NF的网络结构和基于Envoy成为代理的NF服务的网络结构,作为网络节点10的NF服务或NF也能够建立TLS来进行安全通信、以及通过从IstioPilot提供的ServiceRole(服务角色)和ServiceRoleBinding(服务角色绑定)而经由Envoy执行认证。
即,能够在网络节点之间执行提高了安全性的通信。
(装置结构)
接着,说明实施之前所说明的处理和动作的网络节点10和用户装置20的功能结构例。网络节点10和用户装置20包含实施上述实施例的功能。但是,网络节点10和用户装置20也可以分别仅具有实施例中的一部分功能。
<网络节点10>
图13是示出网络节点10的功能结构的一例的图。如图13所示,网络节点10具有发送部110、接收部120、设定部130和控制部140。图13所示的功能结构仅为一例。只要能够执行本发明实施方式的动作即可,功能区分和功能部的名称可以是任意的。此外,在系统架构上具有多个不同功能的网络节点10也可以由按照每个功能而分开的多个网络节点10构成。
发送部110包含生成向用户装置20或其他网络节点10发送的信号并以有线或无线的方式发送该信号的功能。接收部120包括接收从用户装置20或其他网络节点10发送的各种信号并从接收到的信号中取得例如更高层的信息的功能。
设定部130将预先设定的设定信息以及向用户装置20发送的各种设定信息存储到存储装置,并根据需要从存储装置中读出。设定信息的内容例如是与NF服务间的安全性或认证有关的信息等。
如在实施例中所说明那样,控制部140进行与NF服务间的安全性或认证有关的处理。此外,控制部140进行与用户装置20之间的通信所涉及的处理。也可以将控制部140中的与信号发送有关的功能部包含于发送部110,将控制部140中的与信号接收有关的功能部包含于接收部120。
<用户装置20>
图14是示出用户装置20的功能结构的一例的图。如图14所示,用户装置20具有发送部210、接收部220、设定部230和控制部240。图14所示的功能结构仅为一例。只要能够执行本发明实施方式的动作即可,功能区分和功能部的名称可以是任意的。
发送部210根据发送数据生成发送信号,并以无线的方式发送该发送信号。接收部220以无线的方式接收各种信号,并从接收到的物理层的信号中取得更高层的信号。此外,接收部220具有接收从网络节点10发送的NR-PSS、NR-SSS、NR-PBCH、DL/UL控制信号或参考信号等的功能。
设定部230将由接收部220从网络节点10接收到的各种设定信息存储到存储装置,并根据需要从存储装置中读出。此外,设定部230还存储预先设定的设定信息。设定信息的内容例如是与被许可连接的网络切片有关的信息等。
如在实施例中所说明那样,控制部240进行与对网络及网络切片的连接控制有关的处理。也可以将控制部240中的与信号发送有关的功能部包含于发送部210,将控制部240中的与信号接收有关的功能部包含于接收部220。
(硬件结构)
在上述实施方式的说明中使用的框图(图13和图14)示出了以功能为单位的块。这些功能块(结构部)通过硬件和软件中的至少一方的任意组合来实现。此外,各功能块的实现方法没有特别限定。即,各功能块可以使用物理地或逻辑地结合而成的一个装置来实现,也可以将物理地或逻辑地分开的两个以上的装置直接或间接地(例如,使用有线、无线等)连接,使用这些多个装置来实现。功能块也可以通过将软件与上述一个装置或上述多个装置组合来实现。
在功能上具有判断、决定、判定、计算、算出、处理、导出、调查、搜索、确认、接收、发送、输出、接入、解决、选择、选定、建立、比较、设想、期待、视为、广播(broadcasting)、通知(notifying)、通信(communicating)、转发(forwarding)、配置(configuring)、重新配置(reconfiguring)、分配(allocating、mapping)、分派(assigning)等,但是不限定于这些。例如,使发送发挥功能的功能块(结构部)称为发送部(transmitting unit)或发送机(transmitter)。总之,如上所述,实现方法没有特别限定。
例如,本公开一个实施方式中的网络节点10、用户装置20等也可以作为进行本公开的无线通信方法的处理的计算机发挥功能。图15是示出本公开一个实施方式的网络节点10和用户装置20的硬件结构的一例的图。上述的网络节点10和用户装置20在物理上也可以构成为包含处理器1001、存储装置1002、辅助存储装置1003、通信装置1004、输入装置1005、输出装置1006、总线1007等的计算机装置。
另外,在下面的说明中,“装置”这一用语可以替换为“电路”、“设备(device)”、“单元(unit)”等。网络节点10和用户装置20的硬件结构可以构成为包含一个或多个图示的各装置,也可以构成为不包含一部分的装置。
网络节点10和用户装置20中的各功能通过如下方法实现:在处理器1001、存储装置1002等硬件上读入预定的软件(程序),从而处理器1001进行运算,并控制通信装置1004的通信或者控制存储装置1002和辅助存储装置1003中的数据的读出和写入中的至少一方。
处理器1001例如使操作系统工作而对计算机整体进行控制。处理器1001也可以由包含与周边装置的接口、控制装置、运算装置、寄存器等的中央处理装置(CPU:CentralProcessing Unit)构成。例如,上述控制部140、控制部240等也可以通过处理器1001来实现。
此外,处理器1001从辅助存储装置1003和通信装置1004中的至少一方向存储装置1002读出程序(程序代码)、软件模块或数据等,据此执行各种处理。作为程序,使用了使计算机执行在上述实施方式中说明的动作中的至少一部分的程序。例如,图13所示的网络节点10的控制部140也可以通过存储在存储装置1002中并在处理器1001中工作的控制程序实现。此外,例如,图14所示的用户装置20的控制部240也可以通过存储在存储装置1002中并在处理器1001中工作的控制程序实现。关于上述的各种处理,虽然说明了通过1个处理器1001执行上述的各种处理,但也可以通过2个以上的处理器1001同时或依次执行上述的各种处理。处理器1001也可以通过一个以上的芯片来安装。另外,程序也可以经由电信线路从网络发送。
存储装置1002是计算机可读取的记录介质,例如也可以由ROM(Read OnlyMemory:只读存储器)、EPROM(Erasable Programmable ROM:可擦除可编程只读存储器)、EEPROM(Electrically Erasable Programmable ROM:电可擦可编程只读存储器)、RAM(Random Access Memory:随机存取存储器)等中的至少一种构成。存储装置1002也可以称为寄存器、缓存、主存储器(主存储装置)等。存储装置1002能够保存为了实施本公开一个实施方式的通信方法而能够执行的程序(程序代码)、软件模块等。
辅助存储装置1003是计算机可读取的记录介质,例如可以由CD-ROM(CompactDisc ROM)等光盘、硬盘驱动器、软盘、磁光盘(例如,压缩盘、数字多用途盘、Blu-ray(注册商标)盘、智能卡、闪存(例如,卡、棒、键驱动(Key drive))、Floppy(注册商标)盘、磁条等中的至少一种构成。上述存储介质例如可以是包含存储装置1002和辅助存储装置1003中的至少一方的数据库、服务器以及其它适当的介质。
通信装置1004是用于经由有线网络和无线网络中的至少一方进行计算机之间的通信的硬件(收发设备),例如也可以称为网络设备、网络控制器、网卡、通信模块等。通信装置1004例如为了实现频分双工(FDD:Frequency Division Duplex)和时分双工(TDD:TimeDivision Duplex)中的至少一方,也可以构成为包含高频开关、双工器、滤波器、频率合成器等。例如,收发天线、放大部、收发部、传输路径接口等也可以通过通信装置1004实现。收发部也可以由发送部和接收部进行在物理上或逻辑上分开的安装。
输入装置1005是受理来自外部的输入的输入设备(例如,键盘、鼠标、麦克风、开关、按键、传感器等)。输出装置1006是实施向外部的输出的输出设备(例如,显示器、扬声器、LED灯等)。另外,输入装置1005和输出装置1006也可以一体地构成(例如,触摸面板)。
此外,处理器1001和存储装置1002等各装置通过用于对信息进行通信的总线1007来连接。总线1007可以使用单一的总线构成,也可以按照每个装置间使用不同的总线而构成。
此外,网络节点10和用户装置20可以构成为包含微处理器、数字信号处理器(DSP:Digital Signal Processor)、ASIC(Application Specific Integrated Circuit:专用集成电路)、PLD(Programmable Logic Device:可编程逻辑器件)、FPGA(Field ProgrammableGate Array:现场可编程门阵列)等硬件,也可以通过该硬件来实现各功能块的一部分或全部。例如,处理器1001也可以使用这些硬件中的至少一个来实现。
(实施方式的总结)
如以上所说明的那样,根据本发明的实施方式,提供一种网络节点,其具有:接收部,其从管理节点接收用于提高网络节点之间的通信的安全性的信息;以及控制部,其根据所述用于提高安全性的信息,接收从配置于第1PLMN(Public Land Mobile Network:公共陆地移动网)的第1网络节点发送的请求,向配置于第2PLMN的第2网络节点发送所述请求。
根据上述结构,作为网络节点10的NF服务能够在Envoy间建立相互TLS,与其它NF服务进行安全通信。此外,作为网络节点10的NF服务能够通过从IstioPilot提供的ServiceRole(服务角色)和ServiceRoleBinding(服务角色绑定)而经由Envoy执行认证。此外,即使在VPLMN和HPLMN中混合存在基于NF的网络结构和基于Envoy成为代理的NF服务的网络结构,作为网络节点10的NF服务或NF也能够建立TLS来进行安全通信、以及通过从IstioPilot提供的ServiceRole(服务角色)和ServiceRoleBinding(服务角色绑定)而经由Envoy执行认证。即,能够在网络节点之间执行提高了安全性的通信。
也可以是,所述第1PLMN是VPLMN(Visited PLMN:受访公共陆地移动网),所述第2PLMN是HPLMN(Home PLMN:归属公共陆地移动网),所述第1网络节点和所述第2网络节点中的至少一个是NF((Network Function:网络功能)服务。根据该结构,在漫游环境中,能够在网络节点之间执行提高了安全性的通信。
也可以是,所述第1网络节点是NF服务并且所述第2网络节点是NF,或者所述第1网络节点是NF并且所述第2网络节点是NF服务。根据该结构,在漫游环境中,即使在网络的结构在NF和NF服务中不同的情况下,也能够在网络节点之间执行提高了安全性的通信。
也可以是,所述用于提高安全性的信息是TLS(Transport Layer Security:传输层安全协议)策略,所述控制部与所述第1网络节点建立第1相互TLS,与所述第1PLMN中的SEPP(Security Edge Protection Proxy:安全边界保护代理)建立第2相互TLS,经由所述建立的第1相互TLS接收所述请求,经由所述建立的第2相互TLS发送所述请求。根据该结构,在漫游环境中,能够在网络节点之间通过相互TLS执行提高了安全性的通信。
也可以是,所述用于提高安全性的信息是ServiceRole(服务角色)和ServiceRoleBinding(服务角色绑定),所述控制部根据所述服务角色和服务角色绑定,实现如下功能:取得用于向所述第2网络节点发送所述请求的令牌并加以使用。根据该结构,能够经由实现令牌的功能的Envoy在网络节点间执行提高了安全性的通信。
(实施方式的补充)
以上说明了本发明的实施方式,但所公开的发明不限于这样的实施方式,本领域普通技术人员应当理解各种变形例、修改例、代替例、置换例等。为了促进发明的理解而使用具体数值例进行了说明,但只要没有特别指出,这些数值就仅为一例,也可以使用适当的任意值。上述说明中的项目的区分对于本发明而言并不是本质性的,既可以根据需要组合使用两个以上的项目中记载的事项,也可以将某一项目中记载的事项应用于在另一项目中记载的事项(只要不矛盾)。功能框图中的功能部或处理部的边界不一定对应于物理性部件的边界。既可以通过物理上的一个部件进行多个功能部的动作,或者也可以通过物理上的多个部件进行一个功能部的动作。关于实施方式中所述的处理过程,在不矛盾的情况下,可以调换处理的顺序。为了便于说明处理,网络节点10和用户装置20使用功能框图进行了说明,而这样的装置也可以通过硬件、软件或它们的组合来实现。根据本发明的实施方式通过网络节点10所具有的处理器进行工作的软件以及根据本发明的实施方式通过用户装置20所具有的处理器进行工作的软件分别可以保存在随机存取存储器(RAM)、闪速存储器、只读存储器(ROM)、EPROM、EEPROM、寄存器、硬盘(HDD)、可移动盘、CD-ROM、数据库、服务器和其他适当的任意存储介质中。
此外,信息的通知不限于本公开中说明的形式/实施方式,也可以使用其它方法进行。例如,信息的通知可以通过物理层信令(例如,DCI(Downlink Control Information:下行链路控制信息)、UCI(Uplink Control Information:上行链路控制信息))、高层信令(例如,RRC(Radio Resource Control:无线资源控制)信令、MAC(Medium Access Control:介质接入控制)信令、广播信息(MIB(Master Information Block:主信息块)、SIB(SystemInformation Block:系统信息块))、其它信号或它们的组合来实施。此外,RRC信令可以称为RRC消息,例如,也可以是RRC连接创建(RRC Connection Setup)消息、RRC连接重新配置(RRC Connection Reconfiguration)消息等。
本公开中说明的各形式/实施方式也可以应用于LTE(Long Term Evolution:长期演进)、LTE-A(LTE-Advanced)、SUPER 3G、IMT-Advanced、4G(4th generation mobilecommunication system:第四代移动通信系统)、5G(5th generation mobilecommunication system:第五代移动通信系统)、FRA(Future Radio Access:未来的无线接入)、NR(new Radio)、W-CDMA(注册商标)、GSM(注册商标)、CDMA 2000、UMB(Ultra MobileBroadband:超移动宽带)、IEEE 802.11(Wi-Fi(注册商标))、IEEE802.16(WiMAX(注册商标))、IEEE 802.20、UWB(Ultra-WideBand)、Bluetooth(注册商标)、使用其它适当系统的系统和据此扩展的下一代系统中的至少一种。此外,也可以组合多个系统(例如,LTE及LTE-A中的至少一方与5G的组合等)来应用。
对于本说明书中说明的各形式/实施方式的处理过程、时序、流程等,在不矛盾的情况下,可以更换顺序。例如,对于本公开中说明的方法,使用例示的顺序提示各种各样的步骤的要素,不限于所提示的特定的顺序。
在本说明书中由网络节点10进行的特定动作有时根据情况而通过其上位节点(upper node)来进行。在由具有网络节点10的一个或者多个网络节点(network nodes)构成的网络中,为了与用户装置20进行通信而进行的各种动作可以通过网络节点10和网络节点10以外的其他网络节点(例如,考虑有MME或者S-GW等,但不限于这些)中的至少一个来进行。在上述中,例示了网络节点10以外的其他网络节点为一个的情况,但其他网络节点也可以是多个其他网络节点的组合(例如,MME和S-GW)。
在本公开中说明的信息或信号等能够从高层(或者低层)向低层(或者高层)输出。也可以经由多个网络节点输入或输出。
所输入或输出的信息等可以保存在特定的位置(例如,内存),也可以使用管理表来管理。输入或输出的信息等可以重写、更新或追记。所输出的信息等也可以被删除。所输入的信息等还可以向其它装置发送。
本公开中的判定可以通过1比特所表示的值(0或1)进行,也可以通过布尔值(Boolean:true或false)进行,还可以通过数值的比较(例如,与预定值的比较)进行。
对于软件,无论被称为软件、固件、中间件、微码、硬件描述语言,还是以其它名称来称呼,均应当广泛地解释为是指命令、命令集、代码、代码段、程序代码、程序(program)、子程序、软件模块、应用、软件应用、软件包、例行程序(routine)、子程序(subroutine)、对象、可执行文件、执行线程、过程、功能等。
此外,软件、命令、信息等可以经由传输介质进行收发。例如,在使用有线技术(同轴缆线、光纤缆线、双绞线、数字订户线路(DSL:Digital Subscriber Line)等)和无线技术(红外线、微波等)中的至少一方来从网页、服务器或者其它远程源发送软件的情况下,这些有线技术和无线技术中的至少一方包含在传输介质的定义内。
在本公开中说明的信息、信号等也可以使用各种不同的技术中的任意一种技术来表示。例如,可以通过电压、电流、电磁波、磁场或磁性颗粒、光场或光子或者这些的任意组合来表示上述说明整体所可能涉及的数据、指令、命令(command)、信息、信号、比特、码元(symbol)、码片(chip)等。
另外,对于本公开中说明的用语和理解本公开所需的用语,可以与具有相同或类似的意思的用语进行置换。例如,信道和码元中的至少一方也可以是信号(信令)。此外,信号也可以是消息。此外,分量载波(CC:Component Carrier)也可以称为载波频率、小区、频率载波等。
本公开中使用的“系统”和“网络”的用语可以互换使用。
此外,本公开中说明的信息、参数等可以使用绝对值表示,也可以使用与预定值的相对值表示,还可以使用对应的其它信息表示。例如,无线资源也可以通过索引来指示。
上述参数所使用的名称在任何方面都是非限制性的。并且,使用这些参数的数式等有时也与本公开中显式地公开的内容不同。由于能够通过所有适当的名称来识别各种各样的信道(例如,PUCCH、PDCCH等)及信息要素,因此,分配给这些各种各样的信道及信息要素的各种各样的名称在任何方面都是非限制性的。
在本公开中,“基站(BS:Base Station)”、“无线基站”、“基站装置”、“固定站(fixed station)”、“NodeB”、“eNodeB(eNB)”、“gNodeB(gNB)”、“接入点(access point)”、“发送点(transmission point)”、“接收点(reception point)”、“收发点(transmission/reception point)”、“小区”、“扇区”、“小区组”、“载波”、“分量载波”等用语可以互换使用。有时也用宏小区、小型小区、毫微微小区、微微小区等用语来称呼基站。
基站能够容纳一个或者多个(例如,3个)小区。在基站容纳多个小区的情况下,基站的覆盖区域整体能够划分为多个更小的区域,各个更小的区域还能够通过基站子系统(例如,室内用的小型基站(RRH:Remote Radio Head(远程无线头))提供通信服务。“小区”或者“扇区”这样的用语是指在其覆盖范围内进行通信服务的基站和基站子系统中的至少一方的覆盖区域的一部分或者整体。
在本公开中,“移动站(MS:Mobile Station)”、“用户终端(user terminal)”、“用户装置(UE:User Equipment)”、“终端”等用语可以互换使用。
关于移动站,本领域技术人员有时也用订户站、移动单元(mobile unit)、订户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持机、用户代理(user agent)、移动客户端、客户端或者一些其它适当的用语来称呼。
基站和移动站中的至少一方也可以称为发送装置、接收装置、通信装置等。另外,基站和移动站中的至少一方也可以为搭载于移动体的设备、移动体自身等。该移动体可以为交通工具(例如,汽车、飞机等),也可以为以无人的方式移动的移动体(例如,无人机、自动驾驶汽车等),还可以为机器人(有人型或无人型)。另外,基站和移动站中的至少一方也包含在通信动作时不一定移动的装置。例如,基站和移动站中的至少一方也可以为传感器等IoT(Internet of Things:物联网)设备。
此外,本公开中的基站也可以替换为用户终端。例如,关于将基站和用户终端之间的通信置换为多个用户装置20之间的通信(例如,也可以称为D2D(Device-to-Device:装置到装置)、V2X(Vehicle-to-Everything:车辆到一切系统)等)的结构,也可以应用本公开的各形式/实施方式。在该情况下,也可以设为用户装置20具有上述的网络节点10所具有的功能的结构。此外,“上行”以及“下行”等用语也可以替换为与终端间通信对应的用语(例如“侧(side)”)。例如,上行信道、下行信道等也可以替换为侧信道。
同样地,本公开中的用户终端也可以替换为基站。在该情况下,也可以形成为基站具有上述的用户终端所具有的功能的结构。
本公开中使用的“判断(determining)”、“决定(determining)”这样的用语有时包含多种多样的动作。“判断”、“决定”例如可以包含将进行了判定(judging)、计算(calculating)、算出(computing)、处理(processing)、导出(deriving)、调查(investigating)、搜索(looking up、search、inquiry)(例如,表格、数据库或其它数据结构中的搜索)、确认(ascertaining)的事项视为进行了“判断”、“决定”的情况等。此外,“判断”、“决定”可以包含将进行了接收(receiving)(例如,接收信息)、发送(transmitting)(例如,发送信息)、输入(input)、输出(output)、接入(accessing)(例如,接入存储器中的数据)的事项视为进行了“判断”、“决定”的情况等。此外,“判断”、“决定”可以包含将进行了解决(resolving)、选择(selecting)、选定(choosing)、建立(establishing)、比较(comparing)等的事项视为进行了“判断”、“决定”的情况。即,“判断”、“决定”可以包含“判断”、“决定”了任意动作的情况。此外,“判断(决定)”可以用“设想(assuming)”、“期待(expecting)”、“视作(considering)”等替换。
“连接(connected)”、“结合(coupled)”这样的用语或者这些用语的一切变形意在表示2个或者2个以上的要素之间的一切直接或间接的连接或结合,可以包括在相互“连接”或“结合”的2个要素之间存在1个或者1个以上的中间要素的情况。要素之间的结合或连接可以是物理上的结合或连接,也可以是逻辑上的结合或连接,或者也可以是它们的组合。例如,“连接”也可以替换为“接入(Access)”。在本公开中使用的情况下,对于2个要素,可以认为通过使用一个或者一个以上的电线、缆线和印刷电连接中的至少一种,以及作为一些非限制性且非包括性的例子通过使用具有无线频域、微波区域以及光(包括可视及不可视双方)区域的波长的电磁能量等,来进行相互“连接”或“结合”。
参考信号也可以简称为RS(Reference Signal),也可以根据所应用的标准,称为导频(Pilot)。
本公开中使用的“根据”这样的记载,除非另有明确记载,否则不是“仅根据”的意思。换言之,“根据”这样的记载意味着“仅根据”和“至少根据”这两者。
针对使用了本公开中使用的“第一”、“第二”等称呼的要素的任何参照也并非全部限定这些要素的数量或者顺序。这些称呼作为区分两个以上的要素之间的简便方法而能够在本公开中被使用。因此,针对第一要素和第二要素的参考不表示仅能采取两个要素或者在任何形式下第一要素必须先于第二要素。
也可以将上述各装置的结构中的“单元”置换为“部”、“电路”、“设备”等。
在本公开中,在使用“包含(include)”、“包含(including)”和它们的变形的情况下,这些用语与用语“具有(comprising)”同样意味着包含性的。并且,在本公开中使用的用语“或者(or)”意味着不是异或。
在本公开中,例如,在如英语中的a、an和the那样由于翻译而追加了冠词的情况下,本公开也可以包括接在这些冠词之后的名词是复数形式的情况。
在本公开中,“A和B不同”这样的用语也可以表示“A与B相互不同”。另外,该用语也可以表示“A和B分别与C不同”。“分离”、“结合”等用语也可以同样地解释为“不同”。
本公开中说明的各形态/实施方式可以单独使用,也可以组合使用,还可以根据执行来切换使用。此外,预定信息的通知不限于显式地(例如,“是X”的通知)进行,也可以隐式地(例如,不进行该预定信息的通知)进行。
另外,本公开中的NF、NF服务、NRF、SEPP、3gppGW、IstioPilot或Envoy以及它们的组合是网络节点的一例。IstioPilot是管理节点的一例。
以上,对本公开详细地进行了说明,但对于本领域技术人员而言,应清楚本公开不限于在本公开中说明的实施方式。本公开能够在不脱离由权利要求确定的本公开的主旨和范围的情况下,作为修改和变更方式来实施。因此,本公开的记载目的在于例示说明,对本公开不具有任何限制意义。
本国际专利申请基于2019年4月11日申请的日本专利申请第2019-075884号而主张其优先权,并将日本专利申请第2019-075884号的全部内容援引到本申请中。
标号说明
10:网络节点;
110:发送部;
120:接收部;
130:设定部;
140:控制部;
20:用户装置;
210:发送部;
220:接收部;
230:设定部;
240:控制部;
1001:处理器;
1002:存储装置;
1003:辅助存储装置;
1004:通信装置;
1005:输入装置;
1006:输出装置。
Claims (5)
1.一种网络节点,其具有:
接收部,其从管理节点接收用于提高网络节点之间的通信的安全性的信息;以及
控制部,其根据所述用于提高安全性的信息,接收从配置于第1PLMN的第1网络节点发送的请求,向配置于第2PLMN的第2网络节点发送所述请求,所述PLMN是公共陆地移动网。
2.根据权利要求1所述的网络节点,其中,
所述第1PLMN是VPLMN即受访公共陆地移动网,所述第2PLMN是HPLMN即归属公共陆地移动网,所述第1网络节点和所述第2网络节点中的至少一个是NF服务,所述NF是网络功能。
3.根据权利要求2所述的网络节点,其中,
所述第1网络节点是NF服务并且所述第2网络节点是NF,或者所述第1网络节点是NF并且所述第2网络节点是NF服务。
4.根据权利要求2所述的网络节点,其中,
所述用于提高安全性的信息是TLS策略即传输层安全性策略,
所述控制部与所述第1网络节点建立第1相互TLS,与所述第1PLMN中的SEPP即安全边界保护代理建立第2相互TLS,经由所述建立的第1相互TLS接收所述请求,经由所述建立的第2相互TLS发送所述请求。
5.根据权利要求1所述的网络节点,其中,
所述用于提高安全性的信息是服务角色即ServiceRole和服务角色绑定即ServiceRoleBinding,
所述控制部根据所述服务角色和服务角色绑定,实现如下功能:取得用于向所述第2网络节点发送所述请求的令牌并加以使用。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2019075884 | 2019-04-11 | ||
| JP2019-075884 | 2019-04-11 | ||
| PCT/JP2020/004063 WO2020208913A1 (ja) | 2019-04-11 | 2020-02-04 | ネットワークノード |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN113994625A true CN113994625A (zh) | 2022-01-28 |
Family
ID=72751660
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080024688.0A Pending CN113994625A (zh) | 2019-04-11 | 2020-02-04 | 网络节点 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US20220201487A1 (zh) |
| EP (1) | EP3955515A4 (zh) |
| JP (1) | JP7412419B2 (zh) |
| CN (1) | CN113994625A (zh) |
| WO (1) | WO2020208913A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114945173A (zh) * | 2022-03-29 | 2022-08-26 | 广州爱浦路网络技术有限公司 | Plmn信令转发方法、电子设备及存储介质 |
| WO2024001563A1 (zh) * | 2022-06-29 | 2024-01-04 | 中兴通讯股份有限公司 | 消息的路由方法及装置、系统 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11811747B2 (en) * | 2021-03-11 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for delegated authorization at service communication proxy (SCP) |
| US20220295282A1 (en) * | 2021-03-11 | 2022-09-15 | Oracle International Corporation | Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp) |
| WO2023031037A1 (en) * | 2021-09-03 | 2023-03-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Network function service authorization in a wireless communication network |
| CN114222327A (zh) * | 2021-12-15 | 2022-03-22 | 中国电信股份有限公司 | 信令监测方法、系统和存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2898746A1 (en) * | 2012-09-18 | 2015-07-29 | Telefonaktiebolaget LM Ericsson (Publ) | Network nodes, devices and methods therein for enabling device to device communication |
| US20150269368A1 (en) * | 2014-03-18 | 2015-09-24 | Fuji Xerox Co., Ltd. | Relay apparatus, system, relay method, and computer readable medium |
| WO2018013925A1 (en) * | 2016-07-15 | 2018-01-18 | Idac Holdings, Inc. | Adaptive authorization framework for communication networks |
| CN108702620A (zh) * | 2016-02-23 | 2018-10-23 | 华为技术有限公司 | 一种安全通信方法及核心网节点 |
| WO2018235708A1 (ja) * | 2017-06-19 | 2018-12-27 | 株式会社Nttドコモ | ユーザ装置及び移動管理ノード |
| CN109391592A (zh) * | 2017-08-08 | 2019-02-26 | 华为技术有限公司 | 网络功能服务的发现方法及设备 |
| WO2019065955A1 (ja) * | 2017-09-29 | 2019-04-04 | 株式会社Nttドコモ | セキュリティ確立方法、端末装置及びネットワーク装置 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8914905B2 (en) * | 2009-11-09 | 2014-12-16 | Nec Corporation | Access control system, communication terminal, server, and access control method |
| US9900210B2 (en) * | 2010-04-09 | 2018-02-20 | Nokia Solutions And Networks Oy | Establishing connectivity between a relay node and a configuration entity |
| JP2017011487A (ja) * | 2015-06-22 | 2017-01-12 | 富士通株式会社 | 情報処理システム、情報処理システムの制御プログラム及び情報処理システムの制御方法 |
| US10334468B2 (en) * | 2015-10-05 | 2019-06-25 | Cisco Technology, Inc. | Scalable control plane |
| US11468285B1 (en) * | 2016-05-30 | 2022-10-11 | Apple Inc. | Analysis of objects of interest in sensor data using deep neural networks |
| JP6888673B2 (ja) * | 2016-10-27 | 2021-06-16 | 株式会社デンソー | デバイスを認証および認可するためのシステムおよび方法 |
| JP7137918B2 (ja) | 2017-10-16 | 2022-09-15 | 株式会社三井ハイテック | 積層鉄心の製造方法 |
| CN110035433B (zh) * | 2018-01-11 | 2024-03-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
| CN109699031B (zh) * | 2018-01-11 | 2020-03-20 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
| US10548004B2 (en) * | 2018-02-15 | 2020-01-28 | Nokia Technologies Oy | Security management in communication systems between security edge protection proxy elements |
| US10893025B2 (en) * | 2018-02-15 | 2021-01-12 | Nokia Technologies Oy | Security management in communication systems with network function assisted mechanism to secure information elements |
| US10963553B2 (en) * | 2018-02-15 | 2021-03-30 | Nokia Technologies Oy | Security management for service authorization in communication systems with service-based architecture |
| US10826946B2 (en) * | 2018-02-15 | 2020-11-03 | Nokia Technologies Oy | Security management in communication systems with provisioning based mechanism to identify information elements |
| US10645583B2 (en) * | 2018-02-15 | 2020-05-05 | Nokia Technologies Oy | Security management for roaming service authorization in communication systems with service-based architecture |
| PL3752947T3 (pl) * | 2018-02-16 | 2024-02-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Ochrona komunikatu przesyłanego między domenami sieci rdzeniowej |
| US11038923B2 (en) * | 2018-02-16 | 2021-06-15 | Nokia Technologies Oy | Security management in communication systems with security-based architecture using application layer security |
| US20210203643A1 (en) * | 2018-05-21 | 2021-07-01 | Telefonaktiebolaget Lm Ericsson (Publ) | Message Transmission between Core Network Domains |
| US10673618B2 (en) * | 2018-06-08 | 2020-06-02 | Cisco Technology, Inc. | Provisioning network resources in a wireless network using a native blockchain platform |
| US10499081B1 (en) * | 2018-06-19 | 2019-12-03 | Sony Interactive Entertainment Inc. | Neural network powered codec |
| EP3831042A1 (en) * | 2018-07-27 | 2021-06-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Transparent network function discovery and addressing |
| US11050788B2 (en) * | 2018-07-30 | 2021-06-29 | Cisco Technology, Inc. | SEPP registration, discovery and inter-PLMN connectivity policies |
| CN110830990B (zh) * | 2018-08-09 | 2021-04-20 | 华为技术有限公司 | 一种身份信息的处理方法、装置及存储介质 |
| US11595968B2 (en) * | 2018-09-26 | 2023-02-28 | Intel Corporation | Edge computing deployment scenarios |
| CN113424575A (zh) * | 2019-02-13 | 2021-09-21 | 苹果公司 | 消息3(msg3)中针对版本16(rel-16)增强型机器类型通信(emtc)和窄带物联网(nb-iot)的质量报告的设计 |
| WO2020198234A1 (en) * | 2019-03-26 | 2020-10-01 | Apple Inc. | Methods, systems and computer readable storage devices for integrity protection of uplink data in early data transmission (edt) |
| CN113661696B (zh) * | 2019-04-08 | 2023-10-10 | 瑞典爱立信有限公司 | 用于处理可伸缩fqdn的系统和方法 |
| US10834571B1 (en) * | 2019-08-02 | 2020-11-10 | Syniverse Technologies, Llc | Steering of roaming for 5G core roaming in an internet packet exchange network |
-
2020
- 2020-02-04 WO PCT/JP2020/004063 patent/WO2020208913A1/ja unknown
- 2020-02-04 JP JP2021513180A patent/JP7412419B2/ja active Active
- 2020-02-04 EP EP20787473.6A patent/EP3955515A4/en active Pending
- 2020-02-04 US US17/601,246 patent/US20220201487A1/en active Pending
- 2020-02-04 CN CN202080024688.0A patent/CN113994625A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2898746A1 (en) * | 2012-09-18 | 2015-07-29 | Telefonaktiebolaget LM Ericsson (Publ) | Network nodes, devices and methods therein for enabling device to device communication |
| US20150269368A1 (en) * | 2014-03-18 | 2015-09-24 | Fuji Xerox Co., Ltd. | Relay apparatus, system, relay method, and computer readable medium |
| CN108702620A (zh) * | 2016-02-23 | 2018-10-23 | 华为技术有限公司 | 一种安全通信方法及核心网节点 |
| WO2018013925A1 (en) * | 2016-07-15 | 2018-01-18 | Idac Holdings, Inc. | Adaptive authorization framework for communication networks |
| WO2018235708A1 (ja) * | 2017-06-19 | 2018-12-27 | 株式会社Nttドコモ | ユーザ装置及び移動管理ノード |
| CN109391592A (zh) * | 2017-08-08 | 2019-02-26 | 华为技术有限公司 | 网络功能服务的发现方法及设备 |
| WO2019065955A1 (ja) * | 2017-09-29 | 2019-04-04 | 株式会社Nttドコモ | セキュリティ確立方法、端末装置及びネットワーク装置 |
Non-Patent Citations (1)
| Title |
|---|
| CHINA MOBILE GROUP DEVICE CO.: "S3-181474 "Living Document: Security of Service Based Architecture of 5G phase 1"", 3GPP TSG_SA\\WG3_SECURITY, no. 3, 20 April 2018 (2018-04-20), pages 7 - 4 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114945173A (zh) * | 2022-03-29 | 2022-08-26 | 广州爱浦路网络技术有限公司 | Plmn信令转发方法、电子设备及存储介质 |
| WO2024001563A1 (zh) * | 2022-06-29 | 2024-01-04 | 中兴通讯股份有限公司 | 消息的路由方法及装置、系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7412419B2 (ja) | 2024-01-12 |
| JPWO2020208913A1 (zh) | 2020-10-15 |
| EP3955515A1 (en) | 2022-02-16 |
| US20220201487A1 (en) | 2022-06-23 |
| EP3955515A4 (en) | 2023-01-04 |
| WO2020208913A1 (ja) | 2020-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7412419B2 (ja) | ネットワークノード | |
| WO2020145300A1 (ja) | ユーザ装置、ネットワークノード及び通信システム | |
| WO2020145299A1 (ja) | ネットワークノード及び通知方法 | |
| JP2020057859A (ja) | ネットワークノード | |
| JP7169827B2 (ja) | 端末及び通信方法 | |
| CN112690039B (zh) | 网络节点 | |
| CN113273252B (zh) | 网络节点及用户装置 | |
| WO2022091188A1 (ja) | ネットワークノード及び通信方法 | |
| WO2022113370A1 (ja) | ネットワークノード及び通信方法 | |
| WO2022029957A1 (ja) | 端末、ネットワークノード及び通信方法 | |
| WO2022239160A1 (ja) | 端末及び通信方法 | |
| WO2022097290A1 (ja) | 端末及び通信システム | |
| WO2021220971A1 (ja) | 端末及び通信方法 | |
| EP4366329A1 (en) | Network node and communication method | |
| WO2023084635A1 (ja) | ネットワークノード及び通信方法 | |
| WO2022157899A1 (ja) | ネットワークノード、無線通信システム及び通信方法 | |
| WO2022162920A1 (ja) | ネットワークノード及び通信方法 | |
| CN117751676A (zh) | 网络节点以及通信方法 | |
| CN117751626A (zh) | 网络节点以及通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |