JP2023547926A - サービス認証方法、通信装置、及びシステム - Google Patents
サービス認証方法、通信装置、及びシステム Download PDFInfo
- Publication number
- JP2023547926A JP2023547926A JP2023526336A JP2023526336A JP2023547926A JP 2023547926 A JP2023547926 A JP 2023547926A JP 2023526336 A JP2023526336 A JP 2023526336A JP 2023526336 A JP2023526336 A JP 2023526336A JP 2023547926 A JP2023547926 A JP 2023547926A
- Authority
- JP
- Japan
- Prior art keywords
- network
- information
- service
- token
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 160
- 238000004891 communication Methods 0.000 title claims abstract description 87
- 238000012795 verification Methods 0.000 claims abstract description 69
- 230000006870 function Effects 0.000 claims description 234
- 230000004044 response Effects 0.000 claims description 70
- 230000015654 memory Effects 0.000 claims description 52
- 238000012545 processing Methods 0.000 claims description 30
- 238000013461 design Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 17
- 230000008569 process Effects 0.000 description 15
- 238000004590 computer program Methods 0.000 description 10
- 239000000284 extract Substances 0.000 description 8
- 238000007726 management method Methods 0.000 description 6
- 230000001360 synchronised effect Effects 0.000 description 6
- 238000010200 validation analysis Methods 0.000 description 5
- 230000005540 biological transmission Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 4
- 230000003068 static effect Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 239000012634 fragment Substances 0.000 description 3
- 238000010295 mobile communication Methods 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000015572 biosynthetic process Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 239000003795 chemical substances by application Substances 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000014509 gene expression Effects 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000004984 smart glass Substances 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/303—Terminal profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/14—Backbone network devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/121—Timestamp
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/107—Network architectures or network communication protocols for network security for controlling access to devices or network resources wherein the security policies are location-dependent, e.g. entities privileges depend on current location or allowing specific operations only from locally connected terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/126—Anti-theft arrangements, e.g. protection against subscriber identity module [SIM] cloning
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/61—Time-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Medical Informatics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本願は、サービス認証方法、通信装置、及びシステムを提供する。方法は、第1ネットワーク要素が第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信することを含む。第1ネットワーク要素から第1トークン要求を受信した後、ネットワークリポジトリ機能ネットワーク要素は、第1トークン要求で運ばれたネットワーク機能サービスコンシューマエンティティの第1情報がネットワーク機能サービスコンシューマエンティティのアサーション内の証明書の第2情報と一致するかどうかを検証により決定することによって、ネットワーク機能サービスコンシューマエンティティの妥当性に関する検証を完了することができ、ネットワーク機能サービスコンシューマエンティティの妥当性を検証するためにネットワーク機能サービスコンシューマエンティティのプロファイルに依存しない。従って、プロファイルがネットワークリポジトリ機能ネットワーク要素で保持されていないネットワーク機能サービスコンシューマエンティティの場合にも、ネットワークリポジトリ機能ネットワーク要素は、ネットワーク機能サービスコンシューマエンティティのパラメータの妥当性を検証することができるので、ネットワーク機能サービスを使用する安全性は有効に改善される。
Description
本願は、通信技術の分野に、特に、サービス認証方法、通信装置、及びシステムに関係がある。
第3世代パートナーシッププロジェクト(3rd generation partnership project,3GPP)は、第5世代(the 5th Generation,5G)移動体通信システムでサービスベースのアーキテクチャ(service-based architecture,SBA)及びサービスベースのアーキテクチャのエンハンスメント(enhancement of service-based architecture,eSBA)を使用することを提案している。
SBA又はeSBAでは、全てのネットワーク機能(network functions,NF)がトランスポートレイヤセキュリティ(transport layer security,TLS)プロトコルに対応している。ネットワーク機能サービスプロバイダ(network function service provider,NFp)エンティティは、許可されたネットワーク機能サービスコンシューマ(network function service consumer,NFc)エンティティがネットワーク機能サービスプロバイダエンティティのサービスにアクセスすることを許す。ネットワークリポジトリ機能(network repository function,NRF)ネットワーク要素が、NFの管理、発見、及び承認などのサービスを提供する。
認証プロセスは、NFcエンティティがNRFネットワーク要素に認証を求めて、NFcエンティティが要求したいサービスに対応するトークンを得ることを要求ことと、NRFネットワーク要素がNFcエンティティの証明書に基づいてトークンを生成し、トークンをNFcエンティティへ送ることと、トークンを得た後、NFcが、トークンに基づいて、サービスを有するNFpエンティティにサービスを要求することができることとを含む。
上記の認証プロセスでは、NFcエンティティからトークン要求を受け取ると、NRFネットワーク要素は、一般的に、NFcエンティティのローカルに記憶されたプロファイル(profile)に基づいて、トークン要求で運ばれたパラメータ(例えば、単一ネットワークスライス選択支援情報(single network slice selection assistance information,S-NSSAI))を検証して、NFcエンティティがNRF認証を得るために悪意を持ってNFcエンティティのパラメータを報告することを防ぐ。しかし、NRFは、NFcの一部のプロファイルを記憶していない。結果として、NRFは、NFcのパラメータを検証することができない。
本願の実施形態は、NRFがNFcの一部を検証することができないという問題を解決して、ネットワーク信頼性及び安全性が有効に改善されるようにするために、サービス認証方法、通信装置、及びシステムを提供する。
第1の態様に従って、本願の実施形態はサービス認証方法を提供する。方法は、第1ネットワーク要素が第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信することを含み、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションはネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書はネットワーク機能サービスコンシューマエンティティの第2情報を含む。第1トークン要求を受信した後、ネットワークリポジトリ機能ネットワーク要素は、検証により、第1情報が第2情報と一致するかどうかを決定し、第1情報が第2情報と一致することを決定した後、トークンを生成し、トークンを第1ネットワーク要素へ送信する。第1ネットワーク要素はトークンを受信する。
上記の技術的解決法では、第1ネットワーク要素から第1トークン要求を受信した後、ネットワークリポジトリ機能ネットワーク要素は、第1トークンで運ばれたネットワーク機能サービスコンシューマエンティティの第1情報がネットワーク機能サービスコンシューマエンティティのアサーション内の証明書の第2情報と一致するかどうかを検証により決定することによって、ネットワーク機能サービスコンシューマエンティティの妥当性に対する検証を完了することができ、ネットワーク機能サービスコンシューマエンティティの妥当性を検証するためにネットワーク機能サービスコンシューマエンティティのプロファイルに依存しない。従って、ネットワークリポジトリ機能ネットワーク要素にプロファイルが保持されていないネットワーク機能サービスコンシューマエンティティの場合にも、ネットワークリポジトリ機能ネットワーク要素は、ネットワーク機能サービスコンシューマエンティティのパラメータの妥当性を検証することができ、それにより、ネットワーク機能サービスを使用する安全性は有効に改善される。
可能な設計において、第1情報は、次の、第1公衆地上移動体ネットワーク識別子、第1スタンドアロン非公衆ネットワーク識別子、第1単一ネットワークスライス選択支援情報識別子、第1ネットワーク機能インスタンス識別子、第2ネットワーク機能タイプ、第1ネットワーク機能セット、及び第1統一資源識別子、のうちの1つ以上を含む。第2情報は、次の、第2公衆地上移動体ネットワーク識別子、第2スタンドアロン非公衆ネットワーク識別子、第2単一ネットワークスライス選択支援情報識別子、第3ネットワーク機能インスタンス識別子、第2ネットワーク機能タイプ、第2ネットワーク機能セット、及び第2統一資源識別子、のうちの1つ以上を含む。
上記の技術的解決法では、第1情報及び第2情報は、1つ以上のネットワーク機能サービスコンシューマエンティティのパラメータ情報を含んでよく、それにより、技術的解決法の柔軟性及び信頼性は有効に改善される。
第1情報に含まれている情報は、第2情報に含まれている情報と一対一の対応にあることに留意すべきである。
例えば、第1情報が第1ネットワーク機能インスタンス識別子を含む場合に、第2情報は第2ネットワーク機能インスタンス識別子を含む。他の例として、第1情報が第1スタンドアロン非公衆ネットワーク識別子及び第1公衆地上移動体ネットワーク識別子を含む場合に、第2情報は第2スタンドアロン非公衆ネットワーク識別子及び第2公衆地上移動体ネットワーク識別子を含む。更なる他の例として、第1情報が第1公衆地上移動体ネットワーク識別子、第1スタンドアロン非公衆ネットワーク識別子、及び第1ネットワーク機能インスタンス識別子を含む場合に、第2情報は第2公衆地上移動体ネットワーク識別子、第2スタンドアロン非公衆ネットワーク識別子、及び第3ネットワーク機能インスタンス識別子を含む。
ネットワークリポジトリ機能ネットワーク要素が、検証により、第1情報が第2情報と一致するかどうかを決定する具体的な実施には複数通りあり、次の2つの実施を含むがそれらにに限られないことが理解されるべきである。
実施1:第1情報が第2情報と同じである場合に、ネットワークリポジトリ機能ネットワーク要素は、第1情報が第2情報と一致すると決定する。
例えば、第1情報が第1公衆地上移動体ネットワーク識別子であり、第2情報が第2公衆地上移動体ネットワーク識別子である場合に、第1公衆地上移動体ネットワーク識別子が第2公衆地上移動体ネットワーク識別子と同じあり、例えば、両方とも1であるならば、ネットワークリポジトリ機能ネットワーク要素は、第1情報が第2情報と一致すると決定する。
実施2:第1情報が第2情報のサブセットであると決定する場合に、ネットワークリポジトリ機能ネットワーク要素は、第1情報が第2情報と一致すると決定する。
例えば、第1情報が第1スタンドアロン非公衆ネットワーク識別子であり、第2情報がスタンドアロン非公衆ネットワーク識別子であり、第1スタンドアロン非公衆ネットワーク識別子が1であり、第2スタンドアロン非公衆ネットワーク識別子が{1,2,4}である場合に、第1スタンドアロン非公衆ネットワーク識別子は第2スタンドアロン非公衆ネットワーク識別子のサブセットであり、ネットワークリポジトリ機能ネットワーク要素は、第1情報が第2情報と一致すると決定する。
上記の技術的解決法では、ネットワークリポジトリ機能ネットワーク要素は、第1情報と第2情報との間の一致関係を複数の方法で検証することができ、それにより、本願のこの実施形態で提供される技術的解決法の柔軟性は更に改善される。
可能な設計において、トークンを受信した後、第1ネットワーク要素は更に、第1サービス要求をネットワーク機能サービスプロバイダエンティティへ送信してよく、第1サービス要求は、ネットワーク機能サービスコンシューマエンティティにサービスを提供することをネットワーク機能サービスプロバイダエンティティに要求するためのものであり、第1サービス要求はトークン及びアサーションを含み、トークンは第1ネットワーク機能インスタンス識別子を含み、アサーションは第2ネットワーク機能インスタンス識別子を更に含む。第1サービス要求を受信した後、ネットワーク機能サービスプロバイダエンティティは、検証により、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と同じであるかどうかを決定し、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と同じであると決定した後、ネットワーク機能サービスコンシューマエンティティにサービスを提供してよい。
上記の技術的解決法では、ネットワーク機能サービスプロバイダエンティティは、サービス要求で運ばれたトークン内のネットワーク機能インスタンス識別子及びアサーションで運ばれたネットワーク機能インスタンス識別子を検証する。これにより、サービス要求に含まれるトークン及びアサーションの間の一致が確かにされ、攻撃者が違法にトークンを盗み、更には違法にネットワーク機能サービスを取得することが回避される。従って、ネットワーク機能サービスを使用する安全性は有効に改善される。
第1ネットワーク要素はサービス通信プロキシネットワーク要素であってよく、あるいは、ネットワーク機能サービスコンシューマエンティティであってよいことが留意されるべきである。これは、本願のこの実施形態で特に制限されない。
可能な設計において、第1ネットワーク要素はサービス通信プロキシネットワーク要素であり、サービス通信プロキシネットワーク要素が第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信する前に、サービス通信プロキシネットワーク要素は、ネットワーク機能サービスコンシューマエンティティから第2トークン要求又は第2サービス要求を更に受信してよく、第2トークン要求又は第2サービス要求は証明書を含む。次いで、サービス通信プロキシネットワーク要素は、証明書に関連する第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子を取得し、第1FQDNが第3ネットワーク機能インスタンス識別子と一致することを決定する。
可能な設計において、第1ネットワーク要素はサービス通信プロキシネットワーク要素であり、トークンを受信した後、第1ネットワーク要素は更に、トークンをネットワーク機能サービスコンシューマエンティティへ送信し、ネットワーク機能サービスプロバイダエンティティから第1サービス要求を受信してよく、第1サービス要求は証明書を含む。次いで、サービス通信プロキシネットワーク要素は、証明書に関連する第1FQDN及び第3ネットワーク機能インスタンス識別子を取得し、第1FQDNが第3ネットワーク機能インスタンス識別子と一致すると決定した後第1サービス要求をネットワーク機能サービスプロバイダエンティティへ送信する。
サービス通信プロキシネットワーク要素が、第1FQDNが第3ネットワーク機能インスタンス識別子と一致することを決定する実施には複数通りあり、次の2つの実施を含むがそれらに限られない。
実施1:サービス通信プロキシネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素からFQDNとネットワーク機能インスタンス識別子との間のバインディング関係を取得し、バインディング関係に基づいて、第1FQDNが第3ネットワーク機能インスタンス識別子と一致するかどうかを決定する。
実施2:サービス通信プロキシネットワーク要素は、第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子をネットワークリポジトリ機能ネットワーク要素へ送信し、ネットワークリポジトリ機能ネットワーク要素は、ネットワークリポジトリ機能ネットワーク要素によってローカルで記憶されているバインディング関係、又は証明書管理当局エンティティから取得されたバインディング関係に基づいて、第1FQDNが第3ネットワーク機能インスタンス識別子と一致するかどうかを決定する。
上記の技術的解決法では、サービス要求をネットワーク機能サービスプロバイダエンティティへ送る前に、サービス通信プロキシネットワーク要素は、最初に、ネットワーク機能サービスコンシューマエンティティのアサーション内の証明書に関連するFQDN及び第3ネットワーク機能インスタンス識別子の間の一致関係を検証し、検証が成功した後にのみ、サービス要求をネットワーク機能サービスプロバイダエンティティへ送信する。従って、攻撃者が違法にアサーションを盗み、更には違法にネットワーク機能サービスを取得する場合は回避することができ、それんひより、ネットワーク機能サービスを使用する安全性は有効に改善される。
可能な設計において、第1ネットワーク要素はネットワーク機能サービスコンシューマエンティティであり、第1ネットワーク要素が第1サービス要求をネットワーク機能サービスへ送信する具体的な実施は次の通りであってよい:ネットワーク機能サービスコンシューマエンティティは、第1サービス要求を、サービス通信プロキシネットワーク要素を使用することによってネットワーク機能サービスプロバイダエンティティへ送信し、第1サービス要求は証明書を含む。サービス通信プロキシネットワーク要素は、第1ネットワーク要素から第1サービス要求を受信し、第1サービス要求を受信した後、証明書に関連する第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子を取得し、第1FQDNが第3ネットワーク機能インスタンス識別子と一致すると決定した後、第1サービス要求をネットワーク機能サービスプロバイダエンティティへ更に送信してよい。
上記の技術的解決法では、サービス要求をネットワーク機能サービスプロバイダエンティティへ送信する前、サービス通信プロキシネットワーク要素は、最初に、ネットワーク機能サービスコンシューマエンティティのアサーション内の証明書に関連する第1FQDN及び第3ネットワーク機能インスタンス識別子の間の一致関係を検証し、検証が成功した後にのみ、サービス要求をネットワーク機能サービスプロバイダエンティティへ送信する。従って、攻撃者が違法にアサーションを盗み、更には違法にネットワーク機能サービスを取得する場合は回避することでき、それにより、ネットワーク機能サービスを使用する安全性は有効に改善される。
可能な設計において、第1トークン要求を受信した後、かつ、トークンを第1ネットワーク要素へ送信する前に、ネットワークリポジトリ機能ネットワーク要素は、証明書に関連する第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子を取得し、第1FQDNが第3ネットワーク機能インスタンス識別子と一致すること及び第1情報が第2情報と一致することを決定してよい。
上記の技術的解決法では、トークンを第1ネットワーク要素へ返す前に、ネットワークリポジトリ機能ネットワーク要素は、最初に、ネットワーク機能サービスコンシューマエンティティのアサーション内の証明書に関連する第1FQDNと第3ネットワーク機能インスタンス識別子、及びトークン要求内の第1情報と第2情報の間の一致関係を検証し、検証が成功した後にのみ、トークンを返す。サービス通信プロキシネットワーク要素は、トークンを受信した後にのみサービスを開始することができる。従って、攻撃者が違法にアサーションを盗み、更には違法にネットワーク機能サービスを取得する場合は回避することでき、それにより、ネットワーク機能サービスを使用する安全性は有効に改善される。
可能な設計において、第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信する前、ネットワーク機能サービスコンシューマエンティティは、証明書申請要求を証明書管理当局エンティティへ更に送信してよく、証明書申請要求は証明書テンプレートを含み、証明書テンプレートは第1FQDN及び第2情報を含む。証明書申請要求を受信した後、証明書管理当局エンティティは、第1FQDN及び第2情報に基づいて証明書を生成し、証明書をネットワーク機能サービスコンシューマエンティティへ送信してよく、証明書は第1FQDNを含む。
上記の技術的解決法では、ネットワーク機能サービスコンシューマエンティティは、第1FQDN及び第2情報を証明書申請要求に含めて、証明書がより豊かな情報を含むようにする。これは、証明書情報検証の信頼性を有効に高める。
可能な設計において、証明書管理当局エンティティは、証明書テンプレート内にある第1FQDN及び第2情報内の第3ネットワーク機能インスタンス識別子に基づいて、第1FQDNと第3ネットワーク機能インスタンス識別子との間のバインディング関係を更に生成してよい。
上記の技術的解決法では、証明書管理当局エンティティが、第1FQDNと第3ネットワーク機能インスタンス識別子との間のバインディング関係を生成する。これは、証明書検証の信頼性を更に改善し、攻撃者が違法にステートメントを盗み、更には違法にサービスを取得する場合を有効に回避する。
可能な設計において、ネットワーク機能サービスコンシューマエンティティから第1サービス要求を受信したか、又はネットワーク機能サービスプロバイダエンティティからサービス登録要求を受信した後、ネットワークリポジトリ機能ネットワーク要素は、証明書管理当局エンティティからバインディング関係を更に取得してよい。
上記の技術的解決法では、ネットワーク機能サービスコンシューマエンティティから第1サービス要求を受信したか、又はネットワーク機能サービスプロバイダエンティティからサービス登録要求を受信した後にのみ、ネットワークリポジトリ機能ネットワーク要素は、証明書管理当局エンティティからバインディング関係を取得し、バインディング関係をローカルで記憶する必要がなく、それにより、ネットワークリポジトリ機能ネットワーク要素の記憶資源は有効に削減される。
第2の態様に従って、サービス認証方法が提供される。方法は、ネットワークリポジトリ機能ネットワーク要素に適用されてよく、あるいは、ネットワークリポジトリ機能ネットワーク要素内のチップに適用されてもよい。例えば、方法は、ネットワークリポジトリ機能ネットワーク要素に適用されてよく、方法は、
第1ネットワーク要素から第1トークン要求を受信することであり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、前記ネットワーク機能サービスコンシューマエンティティの第2情報を含む、受信することと、
検証により、第1情報が第2情報と一致するかどうかを決定し、第1情報が第2情報と一致すると決定した後、トークンを生成し、トークンを第1ネットワーク要素へ送信することと
を含む。
第1ネットワーク要素から第1トークン要求を受信することであり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、前記ネットワーク機能サービスコンシューマエンティティの第2情報を含む、受信することと、
検証により、第1情報が第2情報と一致するかどうかを決定し、第1情報が第2情報と一致すると決定した後、トークンを生成し、トークンを第1ネットワーク要素へ送信することと
を含む。
可能な設計において、第1トークン要求を受信した後、かつ、トークンを第1ネットワーク要素へ送信する前、ネットワークリポジトリ機能ネットワーク要素は更に、証明書に関連する第1FQDN及び第3ネットワーク機能インスタンス識別子を取得し、第1FQDNが第3ネットワーク機能インスタンス識別子と一致すること及び第1情報が第2情報と一致することを決定してよい。
可能な設計において、ネットワークリポジトリ機能ネットワーク要素が、検証により、第1情報が第2情報と一致するかどうかを決定する実施には複数通りあり、次の2つの実施を含むがそれらに限られない。
実施1:第1情報が第2情報と同じである場合に、第1情報が第2情報と一致する、と決定される。
実施2:第1情報が第2情報のサブセットである場合に、第1情報が第2情報と一致する、と決定される。
可能な設計において、ネットワーク機能サービスコンシューマエンティティから第1サービス要求を受信したか、又はネットワーク機能サービスプロバイダエンティティからサービス登録要求を受信した後、ネットワークリポジトリ機能ネットワーク要素は、証明書管理当局からFQDNとネットワーク機能インスタンス識別子との間のバインディング関係を取得してよい。
第3の態様に従って、サービス認証方法が提供される。方法は、第1ネットワーク要素に適用されてよく、あるいは、第1ネットワーク要素内のチップに適用されてもよい。例えば、方法は第1ネットワーク要素に適用されてよく、方法は、
第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信することであり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、ことと、
ネットワークリポジトリ機能ネットワーク要素からトークンを受信することと
を含む。
第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信することであり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、ことと、
ネットワークリポジトリ機能ネットワーク要素からトークンを受信することと
を含む。
可能な設計において、トークンを受信した後、第1ネットワーク要素は、第1サービス要求をネットワーク機能サービスプロバイダエンティティへ更に送信してよく、第1サービス要求はトークン及びアサーションを含み、トークンは第1ネットワーク機能インスタンス識別子を含み、アサーションは第2ネットワーク機能インスタンス識別子を更に含み、第1サービス要求は、ネットワーク機能サービスコンシューマエンティティにサービスを提供することをネットワーク機能サービスプロバイダエンティティに要求するためのものである。
可能な設計において、第1ネットワーク要素はサービス通信プロキシネットワーク要素であり、第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信する前に、方法は、ネットワーク機能サービスコンシューマエンティティから第2トークン要求又は第2サービス要求を受信することであり、第2トークン要求又は第2サービス要求は証明書を含む、ことと、証明書に関連する第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子を取得することと、第1FQDNが第3ネットワーク機能インスタンス識別子と一致することを決定することとを更に含む。
可能な設計において、第1ネットワーク要素はネットワーク機能サービスコンシューマエンティティであり、トークンを受信した後、ネットワーク機能サービスコンシューマエンティティは、第1サービス要求を、サービス通信プロキシネットワーク要素を使用することによってネットワーク機能サービスプロバイダエンティティへ更に送信してよく、第1サービス要求は、ネットワーク機能サービスコンシューマエンティティにサービスを提供することをネットワーク機能サービスプロバイダエンティティに示す。
可能な設計において、第1ネットワーク要素がネットワーク機能サービスコンシューマエンティティである場合に、第1トークン要求をネットワーク記憶機能ネットワーク要素へ送信する前に、ネットワーク機能サービスコンシューマエンティティは、証明書申請要求を証明書管理当局へ更に送信してよく、証明書申請要求は証明書テンプレートを含み、証明書テンプレートは第1FQDN及び第2情報を含む。
第4の態様に従って、サービス認証方法が提供される。方法は、ネットワーク機能サービスプロバイダエンティティに適用され、あるいは、ネットワーク機能サービスプロバイダエンティティ内のチップに適用されてもよい。例えば、方法はネットワーク機能サービスプロバイダエンティティに適用されてよく、方法は、
第1ネットワーク要素から第1サービス要求を受信することであり、第1サービス要求はトークン及びアサーションを含み、トークンは第1ネットワーク機能インスタンス識別子を含み、アサーションは第2ネットワーク機能インスタンス識別子を含む、受信することと、
検証により、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致するかどうかを決定することと、
第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致すると決定した後、ネットワーク機能サービスコンシューマエンティティにサービスを提供することと
を含む。
第1ネットワーク要素から第1サービス要求を受信することであり、第1サービス要求はトークン及びアサーションを含み、トークンは第1ネットワーク機能インスタンス識別子を含み、アサーションは第2ネットワーク機能インスタンス識別子を含む、受信することと、
検証により、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致するかどうかを決定することと、
第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致すると決定した後、ネットワーク機能サービスコンシューマエンティティにサービスを提供することと
を含む。
第5の態様に従って、通信装置が提供される。装置は、第2の態様又は第2の態様の可能な実施のうちのいずれか1つに係る方法を実行するよう構成されたモジュールを含む。
一例で、装置は、
第1ネットワーク要素から第1トークン要求を受信するよう構成されるトランシーバユニットであり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、トランシーバユニットと、
検証により、第1情報が第2情報と一致するかどうかを決定し、第1情報が第2情報と一致すると決定した後、トークンを生成するよう構成される処理ユニットと
を含んでよく、トランシーバユニットは、トークンを第1ネットワーク要素へ送信するよう更に構成される。
第1ネットワーク要素から第1トークン要求を受信するよう構成されるトランシーバユニットであり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、トランシーバユニットと、
検証により、第1情報が第2情報と一致するかどうかを決定し、第1情報が第2情報と一致すると決定した後、トークンを生成するよう構成される処理ユニットと
を含んでよく、トランシーバユニットは、トークンを第1ネットワーク要素へ送信するよう更に構成される。
可能な設計において、トランシーバユニットが第1トークン要求を受信した後、かつ、トランシーバユニットがトークンを第1ネットワーク要素へ送信する前、処理ユニットは、証明書に関連する第1FQDN及び第3ネットワーク機能インスタンス識別子を取得し、第1FQDNが第3ネットワーク機能インスタンス識別子と一致すること及び第1情報が第2情報と一致することを決定するよう更に構成される。
可能な設計において、検証により、第1情報が第2情報と一致するかどうかを決定するよう構成される前に、処理ユニットは、第1情報が第2情報と同じである場合に、第1情報が第2情報と一致すると決定するか、あるいは、第1情報が第2情報のサブセットである場合に、第1情報が第2情報と一致すると決定するよう特に構成される。
第6の態様に従って、通信装置が提供される。装置は、第3の態様又は第3の態様の可能な実施のうちのいずれか1つに係る方法を実行するよう構成されたモジュールを含む。
一例で、装置は、
第1トークン要求を生成するよう構成される処理ユニットであり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、処理ユニットと、
第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信し、ネットワークリポジトリ機能ネットワーク要素からトークンを受信するよう構成されるトランシーバユニットと
を含んでよい。
第1トークン要求を生成するよう構成される処理ユニットであり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、処理ユニットと、
第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信し、ネットワークリポジトリ機能ネットワーク要素からトークンを受信するよう構成されるトランシーバユニットと
を含んでよい。
可能な設計において、トークンを受信した後、トランシーバユニットは、第1サービス要求をネットワーク機能サービスプロバイダエンティティへ送信するよう更に構成され、第1サービス要求はトークン及びアサーションを含み、トークンは第1ネットワーク機能インスタンス識別子を含み、アサーションは第2ネットワーク機能インスタンス識別子を更に含み、第1サービス要求は、ネットワーク機能サービスコンシューマエンティティにサービスを提供することをネットワーク機能サービスプロバイダエンティティに要求するためのものである。
可能な設計において、第1ネットワーク要素はサービス通信プロキシネットワーク要素であり、第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信する前に、トランシーバユニットは、ネットワーク機能サービスコンシューマエンティティから第2トークン要求又は第2サービス要求を受信するよう更に構成され、第2トークン要求又は第2サービス要求は証明書を含む。処理ユニットは、証明書に関連する第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子を取得し、第1FQDNが第3ネットワーク機能インスタンス識別子と一致することを決定するよう更に構成される。
第7の態様に従って、通信装置が提供される。装置は、第4の態様又は第4の態様の可能な実施のうちのいずれか1つに係る方法を実行するよう構成されたモジュールを含む。
一例で、装置は、
第1ネットワーク要素から第1サービス要求を受信するよう構成されるトランシーバユニットであり、第1サービス要求はトークン及びアサーションを含み、トークンは第1ネットワーク機能インスタンス識別子を含み、アサーションは第2ネットワーク機能インスタンス識別子を含む、トランシーバユニットと、
検証により、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致するかどうかを決定し、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致すると決定した後、ネットワーク機能サービスコンシューマエンティティにサービスを提供するよう構成される処理ユニットと
を含んでよい。
第1ネットワーク要素から第1サービス要求を受信するよう構成されるトランシーバユニットであり、第1サービス要求はトークン及びアサーションを含み、トークンは第1ネットワーク機能インスタンス識別子を含み、アサーションは第2ネットワーク機能インスタンス識別子を含む、トランシーバユニットと、
検証により、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致するかどうかを決定し、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致すると決定した後、ネットワーク機能サービスコンシューマエンティティにサービスを提供するよう構成される処理ユニットと
を含んでよい。
第8の態様に従って、サービング認証システムが提供される。システムは、第5の態様又は第5の態様の可能な実施のうちのいずれか1つに係る通信装置と、第6の態様又は第6の態様の可能な実施のうちのいずれか1つに係る通信装置とを含む。
任意に、システムは、第7の態様に係る通信装置を更に含む。
第9の態様に従って、少なくとも1つのプロセッサと、少なくとも1つのプロセッサへ通信可能に接続されているメモリ及び通信インターフェースとを含む電子デバイスが提供される。メモリは、少なくとも1つのプロセッサが実行することができる命令を記憶し、少なくとも1つのプロセッサは、メモリに記憶されている命令を実行し、それにより、電子デバイスは、第2の態様又は第2の態様の可能な設計のうちのいずれか1つに係る方法、第3の態様又は第3の態様の可能な設計のうちのいずれか1つに係る方法、あるいは、第4の態様又は第4の態様の可能な実施のうちのいずれか1つに係る方法を実行する。
第10の態様に従って、プログラム又は命令を含むコンピュータ可読記憶媒体が提供される。プログラム又は命令がコンピュータで実行されると、第2の態様又は第2の態様の可能な実施のうちのいずれか1つに係る方法、第3の態様又は第3の態様の可能な設計のうちのいずれか1つに係る方法、あるいは、第4の態様又は第4の態様の可能な実施のうちのいずれか1つに係る方法が実行される。
第11の態様に従って、チップが提供される。チップはメモリへ結合され、メモリに記憶されているプログラム命令を読み出して実行するよう構成され、それにより、第2の態様又は第2の態様の可能な実施のうちのいずれか1つに係る方法、第3の態様又は第3の態様の可能な設計のうちのいずれか1つに係る方法、あるいは、第4の態様又は第4の態様の可能な実施のうちのいずれか1つに係る方法が実行される。
第12の態様に従って、コンピュータプログラム命令が提供される。コンピュータプログラム命令がコンピュータで実行されると、第2の態様又は第2の態様の可能な実施のうちのいずれか1つに係る方法、第3の態様又は第3の態様の可能な設計のうちのいずれか1つに係る方法、あるいは、第4の態様又は第4の態様の可能な実施のうちのいずれか1つに係る方法が実行される。
第2の態様乃至第12の態様のうちのいずれか1つの設計解決法によって達成することができる技術的効果については、第1の態様又は第1の態様の可能な設計のうちのいずれか1つに係る方法によって達成することができる技術的効果を参照されたい。詳細はここで再び記載されない。
最初に、本願の実施形態でのいくつかの用語について、理解を容易にするために説明する。
(1)証明書(certificate)はデジタル証明書であり、認証局(certificate authority,CA)によってデジタル署名され、公開鍵所有者情報及び公開鍵を含むファイルである。証明書は、通信パーティ間の身元認証のためのものである。証明書は、一般的に、証明書バージョン番号(version)、シリアル番号(serial number)、証明アルゴリズム識別子(signature)、発行者名(issuer)、主体者公開鍵情報(subject public key info)、及び妥当性(validity)などの情報を含み、発行者識別子(issuer unique identifier)、主体者識別子(subject unique identifier)、及び他の拡張情報(extensions)も含んでよい。本願の実施形態は、NFサービスコンシューマエンティティの証明書に関係がある。証明書はアプリケーションレイヤ証明書であってよく、トランスポートレイヤセキュリティ(transport layer security,TLS)証明書であってよく、あるいは、アプリケーションレイヤ及びトランスポートレイヤによって共有されている証明書であってもよい。
(2)ネットワーク機能サービスコンシューマ(network function service consumer,NFc)エンティティは、「NFcエンティティ」や略して「NFc」と呼ばれ、具体的には、サービスベースのアーキテクチャにおける機能サービス、例えば、セッション管理機能(session management function,SMF)ネットワーク要素、アクセス及びモビリティ管理機能(access and mobility management function,AMF)ネットワーク要素、又は認証サーバ機能(Authentication Server Function,AUSF)ネットワーク要素を呼び出すことができるNFであってよい。
(3)ネットワーク機能サービスプロバイダ(network function service provider,NFp)エンティティは、「NFpエンティティ」又は略して「NFp」と呼ばれ、具体的には、サービスベースのアーキテクチャで呼び出され得る機能サービス、例えば、SMFネットワーク要素、AUSFネットワーク要素、又は統合データ管理(unified data management,UDM)ネットワーク要素を有するNFであってよい。
(4)ネットワークリポジトリ機能(network repository function,NRF)ネットワーク要素は、「NRFネットワーク要素」又は略して「NRF」と呼ばれ、ネットワーク機能及びサービスのオンデマンド設定及びNF間の相互接続を実装するように、具体的にNFサービス登録、発見、ステータス監視、サービス認証、などを含むNF自動管理、選択、及び拡張に関与するよう構成される。例えば、NRFは、トークン生成及びトークン検証などの機能を有する。
(5)サービス通信プロキシ(service communication proxy,SCP)ネットワーク要素は、「SCPネットワーク要素」又は略して「SCP」と呼ばれ、NF間の間接的な通信のためのものであってよく、負荷平衡及びNF選択を実施するよう更に構成されてよく、NF登録、発見、及びサービス認証などの機能を更に有してもよい。
いくつかの可能な実施形態で、用語「ネットワーク要素」は、「エンティティ」、「デバイス」などと置換されることがある。例えば、「AMFネットワーク要素」は「AMFエンティティ」又は「AMFデバイス」とも記述されることがあり、「SMFネットワーク要素」は「SMFエンティティ」又は「SMFデバイス」とも記述されることがある。記載を容易にするために、「XXXネットワーク要素」は、以下で、「XXX」と一律に省略される。例えば、「AUSFネットワーク要素」は「AUSF」と省略されてもよく、「SMFネットワーク要素」は「SMF」と省略されてもよい。
本願中の用語で示される各ネットワーク要素は物理的な概念であり得る、ことが理解されるべきである。例えば、ネットワーク要素は、物理的に単一のデバイスであってよく、あるいは、少なくとも2つのネットワーク要素は、同じ物理的なデバイスに一体化されてもよい。代替的に、本明細書中に示されるネットワーク要素は、論理的な概念、例えば、各ネットワーク要素によって提供されるサービスに対応するソフトウェアモジュールまたはネットワーク機能であり得る。ネットワーク機能は、仮想実施におけるか総機能として理解されてよく、あるいは、サービスベースのアーキテクチャでサービスを提供するネットワーク機能として理解されてもよい。
本願の実施形態で、用語「少なくとも1つ」は1つ以上を示し、「複数の」は2つ以上を示す。用語「及び/又は」は、関連するオブジェクトについて記載するための関連付け関係を示し、3つの関係が存在する可能性があることを表す。例えば、A及び/又はBは、次の3つの場合:Aのみ存在、AとBの両方が存在、Bのみ存在を表す。A及びBは夫々単数又は複数であってよい。文字「/」は、一般的に、関連するオブジェクトの間の「論理和」関係を示す。次の項目(断片)又はその類似した表現のうちの少なくとも1つは、単数の項目(断片)又は複数の項目(断片)の任意の組み合わせを含む、これらの項目の任意の組み合わせを指す。例えば、a、b、又はcのうちの少なくとも1つは、a、b、c、aとb、aとc、bとc、又はaとbとcを表し得る。
加えて、別なふうに述べられない限り、本願の実施形態での「第1」及び「第2」などの序数は、複数のオブジェクトどうしを区別するためのものであり、複数のオブジェクトの順番、時間順序、優先度、又は重要性を制限する意図はない。例えば、第1優先基準及び第2優先基準は、単に、異なる基準どうしを区別するために使用され、2つの基準の異なる内容、優先度、重要性、などを示すものではない。
加えて、本願の実施形態、特許請求の範囲、及び添付の図面での用語「含む」及び「有する」は、排他的ではない。例えば、一連のステップ又はモジュールを含むプロセス、方法、システム、製品、又はデバイスは、挙げられているステップ又はモジュールに制限されず、挙げられていないステップ又はモジュールを更に含んでもよい。
本願の実施形態での技術的解決法は、様々な通信システム、例えば、第4世代(4th Generation,4G)通信システム、第5世代(5th Generation,5G)通信システム、他の将来の進化したシステム、又はラジオアクセス技術を使用する様々な他の無線通信システムに適用されてよい。本願の実施形態での技術的解決法は、サービス承認又は認証などの要件を有する任意の通信システムに適用されてよい。更に、本願の実施形態で使用されるネットワーク要素は、将来の通信システムでは異なる名称を有する場合がある。
例えば、図1は、本願の実施形態が適用される通信システムを示す。通信システムは、第1ネットワーク要素、NRF、及びNFpを含む。
第1ネットワーク要素はNFcであってよい。NFcは、NFpのサービス認証をNRFに要求し、例えば、NFpに対応するトークンを要求し、NRFから認証を得た後(例えば、トークンを取得した後)、NFpへのサービス要求を開始し得る。
第1ネットワーク要素は、代替的に、NFcへ通信可能に接続されているSCPであってもよい。SCPは、NFcの機能の一部のためのプロキシとして機能するか、あるいは、NFcが方法を実行するためのプロキシとして機能し得る。例えば、SCPは、NFcのプロキシとして、NFpのサービス認証をNRFに要求するか、あるいは、NFcのプロキシとして、NFpへのサービス要求を開始し得る。
実際の適用中、図1に示される通信システムは、より多くのネットワーク要素を更に含んでもよい。
例えば、図2は、本願の実施形態が適用される具体的な通信システムを示す。通信システムは、コアネットワーク(core network,CN)を含む。ベアラネットワークとして、CNは、データネットワーク(data network)へのインターフェースを提供し、端末デバイスに通信接続、認証、管理、ポリシー制御、データサービスベアラ、などを提供する。CNは、次のネットワーク要素:SMFネットワーク要素、AMFネットワーク要素、UDMネットワーク要素、AUSFネットワーク要素、ポリシー制御機能(policy control function,PCF)ネットワーク要素、ユーザプレーン機能(user plane function,UPF)ネットワーク要素、ネットワークスライス選択機能(network slice selection function,NSSF)ネットワーク要素、ネットワーク露出機能(network exposure function,NEF)ネットワーク要素、NRF、アプリケーション機能(application function,AF)ネットワーク要素、などを含み得る。
CNは1つ以上のCNデバイスを含んでもよい、ことが留意されるべきである。CNデバイスは、上記の単一のネットワーク機能を実行するよう構成されたネットワーク要素であってよく、あるいは、上記の複数のネットワーク機能を実行するよう構成されたネットワーク要素であってもよい。1つのCNデバイスが複数のネットワーク機能を実行するよう構成される場合に、CNデバイスは、複数のネットワーク機能を実行するよう構成された1つ以上の機能モジュールを含んでもよい。機能モジュールはソフトウェアモジュールであってよく、あるいは、ソフトウェア/ハードウェアモジュールであってもよい。これは、本願の実施形態で制限されない。
AMF、SMF、AUSF、UDM、NEF、PCF、AF、NSSF、などは、サービスベースのインターフェースを使用することによって互いに相互作用し得る、ことが留意されるべきである。例えば、図1に示されるように、Namf、Nsmf、Nausf、Nudm、Nnef、Npcf、Naf、Nnssf、及びNnrfは、夫々、AMF、SMF、AUSF、UDM、NEF、PCF、AF、NSSF、及びNRFによって提供されるサービスベースのインターフェースである。N1及びN2は、夫々、SMFとUPFとの間のサービスベースのインターフェース、及びUPFとDNAとの間のサービスベースのインターフェースである。
図1の第1ネットワーク要素は、具体的に、図2のSCP、SMF、AMF、などであってよい。図1のNRFは、具体的に、図2のNRFであってよい。図1のNFpは、具体的に、図2のSMF、DUM、などであってよい。
図2は、単に、理解を容易にするための例の簡略化された模式図である、ことが理解されるべきである。通信システムは、より多くのネットワーク要素又はデバイスを更に含んでもよい。例えば、任意に、通信システムは端末デバイスを更に含む。任意に、通信システムはRANを更に含む。
端末デバイスは、端末とも呼ばれ、ユーザにボイス及び/又はデータコネクティビティを提供するデバイスを含んでよく、例えば、無線接続機能を備えたハンドヘルドデバイス、又は無線モデムへ接続された処理デバイスを含んでよい。端末デバイスは、ラジオアクセスネットワーク(radio access network,RAN)を通じてコアネットワークと通信し、ボイス及び/又はデータをRANと交換し得る。端末デバイスは、ユーザ設備(user equipment,UE)、無線端末デバイス、移動体端末デバイス、デバイス間(device-to-device,D2D)通信端末デバイス、V2X端末デバイス、マシン間/マシンタイプ通信(machine-to-machine/machine-type communications,M2M/MTC)端末デバイス、インターネット・オブ・シングス(internet of things,IoT)端末デバイス、加入者ユニット(subscribe unit)、加入者局(subscriber station)、移動局(mobile station)、遠隔局(remote station)、アクセスポイント(access point,AP)、遠隔端末(remote terminal)、アクセス端末(access terminal)、ユーザ端末(user terminal)、ユーザエージェント(user agent)、ユーザデバイス(user device)、などであってよい。例えば、端末デバイスは、携帯電話(又は「セルラー」電話と呼ばれる)、移動体端末デバイスを備えたコンピュータ、又はポータブル、ポケットサイズ、ハンドヘルド、若しくはコンピュータ内蔵モバイル装置を含んでよい。例えば、端末デバイスは、パーソナル通信サービス(personal communication service,PCS)電話、コードレス電話セット、セッション開始プロトコル(session initiation protocol,SIP)電話、無線ローカルループ(wireless local loop,WLL)局、又はパーソナルデジタルアシスタント(personal digital assistant,PDA)などのデバイスであってよい。端末デバイスは、代替的に、制限されたデバイス、比較的に電力消費が低いデバイス、記憶能力が限られているデバイス、又は計算能力が限られているデバイスを含んでもよい。例えば、端末デバイスは、バーコード、無線周波数識別(radio frequency identification,RFID)、センサ、グローバル・ポジショニング・システム(global positioning system,GPS)、又はレーザスキャナなどの情報検知デバイスを含む。
限定ではなく一例として、本願の実施形態で、端末デバイスは、代替的に、ウェアラブルデバイスであってよい。ウェアラブルデバイスは、ウェアラブルインテリジェントデバイス、インテリジェントウェアラブルデバイス、などとも呼ばれることがあり、ウェアラブル技術を使用することによって日常着用にインテリジェントに設計及び開発されるウェアラブルデバイスの一般名称であり、例えば、メガネ、グループ、時計、衣服、及び靴などがある。ウェアラブルデバイスは、身体に直接身につけられるか又はユーザの衣服若しくはアクセサリに組み込むことができるポータブルデバイスである。ウェアラブルデバイスは、ハードウェアデバイスであるだけでなく、ソフトウェアサポート、データ交換、及びクラウドインタラクションを通じて強力な機能も実装する。広い意味で、ウェアラブルインテリジェントデバイスは、スマートフォンに依存しない機能の全て又は一部を実装することができるフル機能の大規模なデバイス、例えば、スマートウォッチ又はスマートグラスを含み、ただ1つのタイプのアプリケーション機能に専用であり、スマートフォンなどの他のデバイス、例えば、身体的な兆候を監視する様々なスマートバンド、スマートヘルメット、又はスマートジュエリなどと協働する必要があるデバイスを含む。
上述されている様々な端末デバイスが車内に位置する(例えば、車内に置かれるか又は車内に設置される)場合に、端末デバイスは全て車載端末デバイスと見なされてよい。例えば、車載端末デバイスは、オンボードユニット(on-board unit,OBU)とも呼ばれる。
RANは、UEのアクセスに主に関与する。RANは、通信システムのネットワーク側に位置し、無線トランシーバ機能を備えるデバイス、又はデバイスに配置することができるチップである。アクセスネットワークデバイスは、エボルブド・ノードB(evolved node B,eNB)、ラジオネットワークコントローラ(radio network controller,RNC)、ノードB(node B,NB)、基地局コントローラ(base station controller,BSC)、ベーストランシーバ局(base transceiver station,BTS)、ホーム基地局(例えば、ホーム・エボルブド・ノードB又はホーム・ノードB,HNB)、ベースバンドユニット(base band unit,BBU)、ワイヤレス・フィデリティ(wireless fidelity,Wi-Fi)システムのアクセスポイント(access point,AP)、無線中継ノード、無線バックホールノード、送受信ポイント(transmission and reception point,TRP又はtransmission point,TP)などを含むがこれらに限られない。代替的にアクセスネットワークデバイスは、ニュー・ラジオ(new radio,NR)システムなどの5GシステムのgNB若しくは送信ポイント(TRP若しくは又はTP)、又は5Gシステムの基地局の1つのアンテナパネル若しくはアンテナパネルのグループ(複数のアンテナパネルを含む)であってよく、あるいは、gNB又は送信ポイントを構成する、ベースバンドユニット(BBU)又は分散ユニット(distributed unit,DU)などのネットワークノードであってもよい。
本願の実施形態は、NFcが、サービスベースのアーキテクチャ内の対応するNFpにサービスを要求するために、NRFからトークンを取得するシナリオに適用されてよい。
図3Aから図3Cは、本願の実施形態に係るいくつかの可能な具体的なアプリケーションシナリオを示す。
図3Aに示されるように、SCPは、NRFに対して、NFcのプロキシとして、サービスをNFpに要求するためのトークンを要求する。NRFは、対応するトークンを生成し、トークンを、SCPを通じてNFcに返す。SCPは、NFcのプロキシとして、サービス要求をNFpへ送信する。NFpはサービス要求を受信し、サービス応答を、SCPを通じてNFcに返す。
図3Bに示されるように、NFcはサービス要求をSCPへ送信し、それにより、SCPは、NFcのプロキシとして、NRFへのトークン要求を開始して、サービスをNFpに要求するためのトークンを取得する。NRFは、対応するトークンを生成し、トークンをSCPに返す。SCPは、NFcのプロキシとして、サービス要求をNFpへ送信する。NFpはサービス要求を受信し、サービス応答を、SCPを通じてNFcに返す。
図3Cに示されるように、NFcは、NRFに対して直接に、サービスをNFpに要求するためのトークンを要求する。NRFは、対応するトークンを生成し、トークンをNFcに返す。NFcのプロキシとして、SCPはサービス要求をNFpへ送信する。NFpはサービス要求を受信し、サービス応答を、SCPを通じてNFcに返す。
上記のいくつかのシナリオは、限定ではなく、単に例である、ことが理解されるべきである。
添付の図面を参照して、以下は、本願の実施形態で提供されるサービス認証方法について記載する。
eSBA又はSBAで、NFcからトークン要求を受信した後、NRFは、一般的に、表1に示されるNFcのプロファイルに基づいて、トークン要求で運ばれたパラメータを検証して、NFcがNRFから認証を得るために悪意を持ってNFcのパラメータを報告することを防ぐ。例えば、トークン要求で運ばれた単一ネットワークスライス選択支援情報(single-network slice selection assistance information,S-NSSAI)が、NFcの妥当性を検証するために、検証される。しかし、NRFは、NFcの一部(例えば、NRFに登録されていないNFc)のプロファイルを保持していない。その結果、NRFは、それらのNFcのパラメータを検証することができない。
上記の技術的問題について、本願の実施形態はサービス認証方法を提供する。方法は、図1に示される通信システムに適用されてよい。
図4を参照されたい。方法は次のプロシージャを含む。
S401:第1ネットワーク要素は第1トークン要求をNRFへ送信し、NRFは第1ネットワーク要素から第1トークン要求を受信する。
本願のこの実施形態の第1ネットワーク要素はNFcであってよく、あるいは、SCPであってよい。これは、本願のこの実施形態で特に制限されない。
本願のこの実施形態のNFcは、機能サービスを呼び出すことができる任意のネットワーク要素、例えば、図2のSMF又はAMFであってよい。これはここで制限されない。
第1トークン要求は、NFcの第1情報と、NFcのアサーション(assertion)とを含む。アサーションはNFcの証明書を含み、証明書は、NFcの第2情報を含む。
第1情報は、次の1つ以上を含み得る:
(1)第1公衆地上移動体ネットワーク識別子(public land mobile network identifier,PLMN-ID);
(2)第1スタンドアロン非公衆ネットワーク識別子(stand-alone non-public network identifier,SNPN-ID);
(4)第1単一ネットワークスライス選択支援情報(single-network slice selection assistance information identifier,S-NSSAI ID);
(4)第1ネットワーク機能インスタンス識別子(network function instance identifier,NFインスタンスID);
(5)第1ネットワーク機能タイプ(network function type,NFタイプ);
(6)第1ネットワーク機能セット(network function set,NFセット);及び
(7)第1統合資源識別子(universal resource locator,URI)。
(1)第1公衆地上移動体ネットワーク識別子(public land mobile network identifier,PLMN-ID);
(2)第1スタンドアロン非公衆ネットワーク識別子(stand-alone non-public network identifier,SNPN-ID);
(4)第1単一ネットワークスライス選択支援情報(single-network slice selection assistance information identifier,S-NSSAI ID);
(4)第1ネットワーク機能インスタンス識別子(network function instance identifier,NFインスタンスID);
(5)第1ネットワーク機能タイプ(network function type,NFタイプ);
(6)第1ネットワーク機能セット(network function set,NFセット);及び
(7)第1統合資源識別子(universal resource locator,URI)。
第2情報は、次の1つ以上を含み得る:
(1)第2PLMN ID;
(2)第2SNPN ID;
(4)第2S-NSSAI ID;
(4)第3NFインスタンスID;
(5)第2NFタイプ;
(6)第2NFセット;及び
(7)第2URI。
(1)第2PLMN ID;
(2)第2SNPN ID;
(4)第2S-NSSAI ID;
(4)第3NFインスタンスID;
(5)第2NFタイプ;
(6)第2NFセット;及び
(7)第2URI。
第1PLMN ID及び第2PLMN IDは両方とも、NFcのホームネットワーク及び/又は訪問ネットワークを識別するためのものである、ことが理解されるべきである。第1SNPN ID及び第2SNPN IDは両方とも、NFcのホームネットワーク及び/又は方今ネットワークを識別するためのものである。第1S-NSSAI ID及び第2S-NSSAI IDは両方とも、NFcのネットワークスライス情報を識別するためのものである。第1NFインスタンスID及び第3NFインスタンスIDは両方とも、NFcの特定のネットワーク要素を識別するためのものである。第1NFタイプ及び第2NFタイプは両方とも、NFp又はNFcによって提供されるサービスリストを識別するためのものである。第1URI及び第2URIは両方とも、インターネットリソース名の文字列を識別するためのものである。
第1情報又は第2情報内の各情報は、識別子(identifier,ID)であってよく、あるいは、IDリストであってよい。これは、本願のこの実施形態で特に制限されない。
第1情報の具体的な内容は、第2情報の具体的な内容に対応する、ことが理解され得る。
例えば、第1情報は第1SNPN IDを含む場合に、第2情報は第2SNPN IDを含む。他の例として、第1情報が第1SNPN ID及び第1PLMN IDを含む場合に。第2情報は、第2SNPN ID及び第2PLMN IDを含む。更なる他の例として、第1情報が第1SNPN ID、第1PLMN ID、及び第1NFインスタンスIDを含む場合に、第2情報は第2SNPN ID、第2PLMN ID、及び第3NFインスタンスIDを含む。
任意に、第2情報は、証明書の拡張(extensions)フィールドで運ばれる。
S402:NRFは、検証により、第1情報が第2情報と一致するかどうかを決定する。
具体的に、第1トークン要求を受信した後、NRFはS402を実行して、検証により、第1情報が第2情報と一致するかどうかを決定する。第1情報が第2情報と一致すると決定する場合に、NRFはS403AからS404を実行する。第1情報が第2情報と一致しないと決定する場合に、NRFはS403Bを実行して、トークン要求が失敗したことを示す応答情報を第1ネットワーク要素に返すか、又はNFcからのトークン要求を拒絶する。
本願のこの実施形態で、NRFが、検証により、第1情報が第2情報と一致するかどうかを決定する具体的な実施は、次の2つのタイプを含むが限られない。
実施1:第1情報が第2情報と同じである場合に、NRFは、第1情報が第2情報と一致すると決定する。
例えば、第1情報が第1PLMN IDであり、第2情報が第2PLMN IDである場合に、第1PLMN ID及び第2PLMN IDが同じであり、例えば、両方とも1であるならば、NRFは、第1情報が第2情報と一致すると決定する。
実施2:第1情報が第2情報のサブセットである場合に、NRFは、第1情報が第2情報と一致すると決定する。
例えば、第1情報が第1SNPN IDであり、第2情報が第2SNPN IDであり、第1SNPN IDが1であり、第2SNPN IDが{1,2,4}である場合に、第1SNPN IDは第2SNPN IDのサブセットであり、NRFは、第1情報が第2情報と一致すると決定する。
第1情報及び第2情報の両方が複数の情報を含む場合に、NRFが、第1情報が第2情報と一致すると決定することは、具体的に、NRFが、第1情報に含まれている情報が、一対一の対応で、第2情報に含まれている情報と一致する、と決定することを含む、ことが理解されるべきである。
例えば、第1情報が第1PLMN ID、第1SNPN ID、第1S-NSSAI ID、及び第1NFインスタンスIDを含み、第2情報が第2PLMN ID、第2SNPN ID、第2S-NSSAI ID、及び第3NFインスタンスIDを含む場合に、第1PLMN IDが第2PLMN IDと一致し、第1SNPN IDが第2SNPN IDと一致し、第1NFインスタンスIDが第3NFインスタンスIDと一致すると決定すると、NRFは、第1情報が第2情報と一致すると決定する。
S403A:NRFはトークンを生成する。
可能な実施において、NRFは、トークン要求で運ばれた第1情報及びアサーションに含まれている証明書に基づいてトークンを生成してよい。具体的に言えば、生成されたトークンは、NFcの第1情報及びアサーションを運んでよく、それにより、他のネットワーク要素は、その後にトークンを使用するときに、トークン内の第1情報及び証明書に基づいて他の検証動作を実行し得る。
S403B:NRFは、不成功応答を第1ネットワーク要素に返し、第1ネットワーク要素は不成功応答を受信し、このとき、不成功応答は、トークン要求が失敗したことを示す。
S404:NRFはトークンを第1ネットワーク要素へ送信し、第1ネットワーク要素はトークンを受信する。
以上から分かるように、本願のこの実施形態ででは、第1情報はトークン要求で運ばれ、第2情報はNFcの証明書で運ばれ、それにより、NRFは、第1情報と第2情報との間の一致関係を検証することによってNFcの妥当性を検証することができ、NFcの妥当性を検証するためにNFcのプロファイルに依存しない。従って、プロファイルがNRFに記憶されていないNFcの場合にも、NRFはNFcのパラメータの妥当性を検証することができ、それにより、NFサービスを使用する安全性は、本願のこの実施形態で有効に改善される。
図5は、サービス認証方法の模式図である。方法は、次のステップを含む。
S501:NFc及びNRFはサービスを発見する。
具体的に、NFcは、NRFへのサービス発見要求を開始する。NRFはサービス発見要求を受信し、対応するNFpによって提供されるNFサービスに関する情報をNFcに返す。
S502:NFcはトークン要求をNRFへ送信し、NRFはトークン要求を受信する。
具体的に、トークン要求を受信した後、NRFはトークンを生成し、トークンをNFcに返す。
S503:NRFはトークンをNFcへ送信し、NFcはトークンを受信する。
具体的に、トークンを受信した後、NFcはS501を再び実行して、NFpによって提供されるサービスを発見し、次いでS504を実行する。
S504:NFcはサービス要求を、SCPを通じてNFpへ送信し、NFpはサービス要求を、SCPを通じて受信し、このとき、サービス要求はトークン及びNFcのアサーションを運ぶ。
S505:NFpはアサーション及びトークンを検証する。
具体的に、NFpがトークンを検証するプロセスは、検証により、トークンの標準パラメータ(例えば、妥当性又はPLMN ID)が有効であるかどうかを決定することであってよい。NFpがアサーションを検証するプロセスは、検証により、アサーション内のNFインスタンスIDが、アサーションに含まれている証明書内のNFインスタンスIDと一致するかどうかを決定すること、又はアサーション内のタイムスタンプ(timestamp)、経過情報(expiration time)、期待される聴衆のネットワーク機能タイプ(network function type of the expected audience)、署名、などを検証することであってよい。NFpが、トークン内の標準パラメータが有効であり、アサーション内のNFインスタンスIDが、アサーションに含まれている証明書内のNFインスタンスIDと一致する、と決定する場合に、S506が実行される。
S506:NFpはサービス応答を、SCPを通じてNFcに返し、NFcはサービス応答を、SCPを通じて受信する。
上記の方法では、NFcがトークン要求を直接NRFへ送信し、NFcがサービス要求を、SCPを通じてNFpへ送信する場合に、NFcは更に、アサーションをサービス要求に含め、NFpは、検証により、アサーション内のNFインスタンスIDが、アサーションに含まれている証明書内のNFインスタンスIDと一致するかどうかのみを決定する。従って、トークン内のNFインスタンスIDがアサーション内のNFインスタンスIDと不一致であるとき、攻撃者がNFcのトークンを違法に取得する場合に、攻撃者はNFサービスを違法に取得する可能性がある。
図6は、他のサービス認証方法の略フローチャートである。方法は、具体的に、次のステップを含む。
S600:NFc及びNRFはサービスを発見する。
具体的に、S600の具体的な実施は、S501の具体的な実施と似ている。S501の記載を参照されたい。詳細はここで再び記載されない。
S601:NFcはトークン要求を、SCPを通じてNRFへ送信し、NRFはトークン要求を、SCPを通じて受信し、このとき、トークン要求はNFcのアサーションを運ぶ。
S602:NRFはアサーションを検証する。
具体的に、NRFがアサーションを検証するプロセスは、検証により、アサーション内のNFインスタンスIDが、アサーションに含まれている証明書内のNFインスタンスIDと一致するかどうかを決定することであってよい。
S603:NFpはトークンを、SCPを通じてNFcへ送信し、NFcはトークンを、SCPを通じて受信する。
S604:NFcはサービス要求を、SCPを通じてNFpへ送信し、NFpはサービス要求を、SCPを通じて受信する。
S605:NFpはトークンを検証する。
具体的に、NFpがトークンを検証するプロセスは、トークンの標準パラメータ(例えば、妥当性又はPLMN ID)を検証することであってよい。
S606:NFpはサービス応答を、SCPを通じてNFcに返し、NFcはサービス応答を、SCPを通じて受信する。
上記の方法では、NFcがトークン要求を、SCPを通じてNRFへ送信し、サービス要求を、SCPを通じてNFcへ送信する場合に、NFcは、トークン要求及びサービス要求の両方にNFcのアサーションを含め、NRF及びNFpの両方がアサーションを検証する。しかし、トークン内のNFインスタンスIDがアサーション内のNFインスタンスIDと不一致である場合は依然として存在する。その結果、攻撃者がNRFから違法にトークンを取得し、更にはNFサービスを違法に取得する場合は、依然として存在する。
攻撃者がNFcのトークンを違法に盗んでNFサービスを違法に取得する、という技術的問題を解決するために、本願の実施形態は、サービス認証方法を更に提供する。方法は、図1に示される通信システムに適用されてよい。図7を参照されたい。方法は次のステップを含む。
S701:第1ネットワーク要素はサービス要求をNFpへ送信し、NFpはサービス要求を受信する。
サービス要求は、NFcにNFサービスを提供するようNFpに要求するためのものである。サービス要求はトークン及びアサーションを含む。トークンは第1NFインスタンスIDを含み、アサーションは第2NFインスタンスIDを含む。
第1ネットワーク要素はNFc又はSCPであってよい。これはここで制限されない。
本願のこの実施形態のNFpは、呼び出すことができるNFサービスを有する任意のネットワーク要素、例えば、図2のSMF又はUDMであってよい。これはここで制限されない。
S702:NFpは、検証により、アサーションがトークンと一致するかどうかを決定する。
具体的に、NFpが、検証により、アサーションがトークンと一致するかどうかを決定する具体的なプロセスは、NFpが、検証により、トークン内の第1NFインスタンスIDがアサーション内の第2NFインスタンスIDと同じであるかどうかを決定することであってよい。第1NFインスタンスIDが第2NFインスタンスIDと同じであるとき、NFpは、アサーションがトークンと一致すると決定し、S703Aを実行する。第1NFインスタンスIDが第2NFインスタンスIDとは異なると決定するとき、NFpは、アサーションがトークンと一致しないと決定し、S703Bを実行する。
例えば、第1NFインスタンスIDが普遍的に一意の識別子(universally unique identifier,UUID)であり、第2NFインスタンスIDがUUDIである、と仮定したとき、NFpは、第1NFインスタンスIDが第2NFインスタンスIDと同じであると決定し、つまり、アサーションがトークンと一致すると決定する。他の例として、第1NFインスタンスIDは“###134”であり、第2NFインスタンスIDも“###134”である場合に、NFpは、第1NFインスタンスIDが第2NFインスタンスIDと同じであると決定し、つまり、アサーションがトークンと一致すると決定する。
S703A:NFpはサービス応答を第1ネットワーク要素に返し、第1ネットワーク要素はサービス応答を受信する。
可能な実施において、第1ネットワーク要素はSCPである。サービス応答を受信した後、SCPである。はサービス応答をNFcへ送信する。サービス応答はNFpのアサーションを運び、アサーションは第3NFセットを含む。サービス応答を受信した後、NFcは、検証により、NFcによって要求されている第1NFセットが第3NFセットと一致するかどうかを決定する。第1NFセットが第3NFセットと一致する場合に、NFcは、対応するNFサービスにアクセスする。第1NFセットが第3NFセットと一致しない場合には、NFcは、NFpへのサービス要求を再開する。
他の可能な実施においては、第1ネットワーク要素はNFcである。サービス応答はNFpのアサーションを運び、アサーションは第3NFセットを含む。サービス応答を受信した後、NFcは、検証により、NFcによって要求されている第1NFセットが第3NFセットと一致するかどうかを決定する。第1NFセットが第3NFセットと一致する場合に、NFcは、対応するNFサービスにアクセスする。第1NFセットが第3NFセットと一致しない場合には、NFcは、NFpへのサービス要求を再開する。
NFcが、検証により、第1NFセットが第3NFセットと一致するかどうかを決定するプロセスは、具体的に、第1NFセットが第3NFセットと同じであるかどうかを決定すること、又は共通集合が第1NFセットと第3NFセットとの間に存在するかどうかを決定することであってよい。例えば、第1NFセットが1であり、第3NFセットも1である場合に、NFcは、第1NFセットが第3NFセットと一致すると決定する。他の例として、第1NFセットが{2,3,5}であり、第3NFセットが{1,2,4}であり、第1NFセットと第3NFセットとの間に共通集合{2}がある場合に、NFcは、第1NFセットが第3NFセットと一致すると決定する。
S703B:NFpは不成功応答を第1ネットワーク要素に返し、第1ネットワーク要素は不成功応答を受信し、このとき、不成功応答は、第1ネットワーク要素のサービス要求が失敗したことを示す。
図7に示されるサービス認証方法では、NFpは、サービス要求で運ばれたトークン内のNFインスタンスIDと、アサーションで運ばれたNFインスタンスIDとを検証して、サービス要求内のトークンがアサーションと一致することを確かにし、攻撃者が違法にトークンを盗み、更には違法にNFサービスを取得する場合を回避する。従って、NFサービスを使用する安全性は、本願のこの実施形態では有効に改善される。
図8は、他のサービス認証方法の略フローチャートである。図8は、NFcがサービス要求を、SCPを通じてNFpへ送信し、サービス要求が、トークン要求をNRFへ送信するようSCPをトリガするシナリオを示す。方法は、具体的に、次のステップを含む。
S800:NFcはサービス要求を、SCPを通じてNRFへ送信し、NRFはサービス要求を、SCPを通じて受信する。
具体的に、NFcは、NFcのアサーションをサービス要求に含める。
S801:SCP及びNRFはサービスを発見する。
具体的に、SCPは、NRFへのサービス発見要求を開始し、NRFによって返された情報を受信し、情報に基づいて、登録されているNFpによって提供されたNFサービスを決定し、S802を実行してトークン要求をNRFへ送信する。
S802:SCPはトークン要求をNRFへ送信し、NRFはトークン要求を受信する。
具体的に、SCPは、NFcのアサーションをトークン要求に含める。
S803:NRFはアサーションを検証する。
具体的に、トークン要求を受信した後、NRFは、トークン要求内のアサーションを検証する。検証が成功した後、NRFはトークンを生成し、S804を実行してトークンをSCPへ送信する。検証が成功する場合に、NRFは、SCPに対して、トークン要求が失敗したことを示す応答情報を返す。
S804:NRFはトークンをSCPへ送信し、SCPはトークンを受信する。
S805:SCPはサービス要求をNFpへ送信し、NFpはサービス要求を受信し、このとき、サービス要求は、トークン及びNFcのアサーションを運ぶ。
S806:NFpはトークン及びアサーションを検証する。
S806の具体的な実施は、S505の具体的な実施に似ている。S505の記載を参照されたい。詳細はここで再び記載されない。トークン及びアサーションの両方が成功裏に検証されると、NFpはS807を実行して、サービス応答を、SCPを通じてNFcに返す。
S807:NFpはサービス応答を、SCPを通じてNFcに返し、NFcはサービス応答を、SCPを通じて受信する。
図8に示されるサービス認証方法では、NFcがサービス要求を、SCPを通じてNFpへ送信する場合に、NFcは、NFcのアサーションをサービス要求に含め、サービス要求は、トークン要求をNRFへ送信するようSCPをトリガする。SCPもアサーションをトークン要求に含める。トークンを取得した後、SCPは、NFcのプロキシとしてサービス要求を送信するときにアサーションをサービス要求にも含める。NRF及びNFpの両方が、NFcのアサーションを検証する。サービス要求プロセス全体がアサーションに依存する(例えば、アサーションが成功裏に検証されることは、トークンを生成するための必要条件である)。従って、攻撃者は、他のNFcのアサーションを盗み、更には違法にNFサービスを取得する可能性がある。
攻撃者が違法にNFcのアサーションを盗んで違法にNFサービスを取得する、という技術的問題を解決するために、本願の実施形態は、サービス認証方法を更に提供する。方法は、図1に示される通信システムに適用されてよい。図9を参照されたい。方法は次のステップを含む。
S901:SCPは、証明書に関連する第1完全修飾ドメイン名(fully qualified domain name,FQDN)及び第3NFインスタンスIDを取得する。
本願のこの実施形態では、第1FQDNは、NFcのトランスポートレイヤ証明書内のFQDNであってよく、第3NFインスタンスIDは、NFcのアプリケーションレイヤ証明書内のNFインスタンスIDであってよい。代替的に、第1FQDN及び第3NFインスタンスIDは、NFcの共有証明書(例えば、トランスポートレイヤ及びアプリケーションレイヤによって共有されている証明書)内のFQDN及びNFインスタンスIDであってよい。
S902:SCPは、第1FQDNが第3NFインスタンスIDと一致することを決定する。
可能な実施において、SCPは、NFcからサービス要求を受信してよい。サービス要求は、NFcの証明書を含む。SCPはS901及びS902を実行して、証明書から、証明書に関連する第1FQDN及び第3NFインスタンスIDを取得する。SCPが、第1FQDNが第3NFインスタンスIDと一致すると決定する場合に、SCPはS903を実行して、サービス要求をNFpへ送信する。SCPが、第1FQDNが第3NFインスタンスIDと一致しないと決定する場合には、SCPは、サービス要求が失敗したことを示すプロンプト情報をNFcに返す。
他の可能な実施においては、SCPは、NFcからトークン要求を受信してよい。トークン要求は、NFcの証明書を含む。SCPはS901及びS902を実行して、証明書から、証明書に関連する第1FQDN及び第3NFインスタンスIDを取得する。SCPが、第1FQDNが第3NFインスタンスIDと一致すると決定する場合に、SCPは、トークン要求をNRFへ送信する。SCPが、第1FQDNが第3NFインスタンスIDと一致しないと決定する場合には、SCPは、トークン要求が失敗したことを示すプロンプト情報をNFcに返す。
可能な実施において、SCPは、FQDNとNFインスタンスIDとの間のバインディング関係に基づいて、第1FQDNが第3NFインスタンスIDと一致するかどうかを決定してもよい。
本願のこの実施形態では、SCPが、バインディング関係に基づいて、第1FQDNが第3NFインスタンスIDと一致するかどうかを決定する実施が複数通りあり、次の3つの実施を含むがこれらに限られない。
実施1:SCPは、NFcのトランスポートレイヤ証明書から第1FQDNを抽出し、バインディング関係クエリ要求をNRFへ送信し、このとき、バインディング関係クエリ要求は第1FQDNを運ぶ。SCPは、NRFによって返された対応するNFインスタンスIDを受信し、NFインスタンスIDが、トークン要求で運ばれたアサーション内のアプリケーションレイヤ証明書内の第3NFインスタンスIDと一致するかどうかを決定する。NFインスタンスIDが第3NFインスタンスIDと一致する場合に、SCPは、第1FQDNが第3NFインスタンスIDと一致すると決定する。NFインスタンスIDが第3NFインスタンスIDと不一致である場合には、SCPは、第1FQDNが第3NFインスタンスIDと一致しないと決定する。
実施2:SCPは、NFcのアサーション内のアプリケーションレイヤ証明書から第3NFインスタンスIDを抽出し、バインディング関係クエリ要求をNRFへ送信し、このとき、バインディング関係クエリ要求は第3NFインスタンスIDを運ぶ。SCPは、NRFによって返された対応するFQDNを受信し、FQDNが、NFcのトランスポートレイヤ証明書内の第1FQDNと一致するかどうかを決定する。FQDNが第1FQDNと一致する場合に、SCPは、第1FQDNが第3NFインスタンスIDと一致すると決定する。FQDNが第1FQDNと不一致である場合に、SCPは、第1FQDNが第3NFインスタンスIDと一致しないと決定する。
実施3:SCPは、NFcのトランスポートレイヤ証明書から第1FQDNを抽出し、NFcのアサーション内のアプリケーションレイヤ証明書から第3NFインスタンスIDを抽出し、バインディング関係クエリ要求をNRFへ送信し、このとき、バインディング関係クエリ要求は、第3NFインスタンスID及び第1FQDNを運ぶ。SCPは、NRFによって返された一致結果を受信し、一致結果は、第1FQDNが第3NFインスタンスIDと一致するかどうかを直接示し得る。
任意に、バインディング関係は、認証局/登録局(certification authority/registration authority,CA/RA)エンティティからSCPによって取得されてよい。代替的に、バインディング関係は、前もってCA/RAからNRFによって取得され、ローカルで記憶され、それから、NRFからSCPによって取得されてもよい。
S903:SCPはサービス要求をNFpへ送信し、NFpはサービス要求を受信する。
具体的に、SCPは、NFcのアサーション及びトークンをサービス要求に含めてよい。サービス要求を受信した後、NFpは、検証により、アサーションがトークンと一致するかどうかを決定してよい。アサーションがトークンと一致すると決定するとき、NFpはS904を実行して、サービス応答をSCPへ返す。アサーションがトークンと一致しないと決定すると、NFpはサービス要求を拒絶する。
S904:NFpはサービス応答をSCPに返し、SCPはサービス応答を受信する。
具体的に、サービス応答を受信した後、SCPは更に、サービス応答をNFcへ送信し、NFcはサービス応答を受信する。
図9に示されるサービス認証方法では、サービス要求をNFpへ送信する前に、SCPは最初に、NFcのアサーションに含まれ証明書に関連するFQDN及びNFインスタンスIDの間の一致関係を検証し、検証が成功した後にのみ、サービス要求をNFpへ送信する。従って、攻撃者が違法にアサーションを盗み、更には違法にNFサービスを取得する場合は回避することができ、NFサービスを使用する安全性は有効に改善され得る。
本願のこの実施形態ででは、バインディング関係が、代替的に、他のネットワーク要素によって検証されてもよい。例えば、第1ネットワーク要素からトークン要求を受信した後、NRFは、トークンを第1ネットワーク要素へ配信する前に、バインディング関係を検証してよい。詳細については、図10を参照されたい。次のステップが含まれる。
S1001:第1ネットワーク要素はトークン要求をNRFへ送信し、NRFはトークン要求を受信し、このとき、トークン要求はNFcのアサーションを運ぶ。
可能な実施において、第1ネットワーク要素はSCPである。サービス要求又はトークン要求をNFcから受信した後、SCPはトークン要求をNRFへ送信する。
他の可能な実施においては、第1ネットワーク要素はNFcである。NFcはトークン要求をNRFへ直接送信する。
S1002:NRFは、証明書に関連する第1FQDN及び第3NFインスタンスIDを取得する。
可能な実施において、トークン要求はNFcのアサーションを運び、アサーションは、NFcのアプリケーションレイヤ証明書及びトランスポートレイヤ証明書を含む。NRFは、NFcのトランスポートレイヤ証明書からFQDNを抽出し、NFcのアプリケーションレイヤ証明書から第3NFインスタンスIDを抽出してよい。
トランスポートレイヤ証明書は、トランスポートレイヤリンクが第1ネットワーク要素とNRFとの間で確立されるときに、第1ネットワーク要素によってNRFへ送信され得る、ことが理解されるべきである。
他の可能な実施においては、トークン要求はNFcのアサーションを運び、アサーションは、NFcのアプリケーションレイヤ及びトランスポートレイヤの共有証明書を含む。NRFは、共有証明書から第1FQDN及び/又は第3NFインスタンスIDを抽出してもよい。
S1003:NRFは、第1FQDNが第3NFインスタンスIDと一致することを決定する。
可能な実施において、第1ネットワーク要素からトークン要求を受信した後、NRFは、FQDNとNFインスタンスIDとの間のローカルで記憶されているバインディング関係に基づいて、第1FQDNが第3NFインスタンスIDと一致するかどうかを決定してよい。具体的に、NRFが、第1FQDN及び第3NFインスタンスIDが夫々、バインディング関係におけるFQDN及びNFインスタンスIDと一対一に対応していることを決定する場合に、NRFは、第1FQDNが第3NFインスタンスIDと一致すると決定し、トークンを生成し、S1004を実行する。NRFが、第1FQDN及び第3NFインスタンスIDが夫々、バインディング関係におけるFQDN及びNFインスタンスIDと一対一に対応していないことを決定する場合には、NRFは、第1FQDNが第3NFインスタンスIDと一致しないと決定し、第1ネットワーク要素に対して、トークン要求が失敗したことを示す応答情報を返すか、あるいは、第1ネットワーク要素のトークン要求を拒絶する。
他の可能な実施においては、第1ネットワーク要素からトークン要求を受信した後、NRFは、CA/RAからバインディング関係の関連パラメータ(FQDN及び/又はNFインスタンスID)を取得し、バインディング関係の関連パラメータに基づいて、第1FQDNが第3NFインスタンスIDと一致するかどうかを決定してよい。NRFがCA/RAからバインディング関係の関連パラメータを取得する具体的な実施は、図12に示される実施形態で詳細に記載される。
S1004:NRFはトークンを第1ネットワーク要素に返し、第1ネットワーク要素はトークンを受信する。
可能な実施において、第1ネットワーク要素はSCPである。トークンを受信した後、SCPはトークンをNFcに転送する。
他の可能な実施においては、第1ネットワーク要素はNFcであり、NFcはNRFからトークンを受信する。
図10に示されるサービス認証方法では、トークンを第1ネットワーク要素に返す前に、NRFは最初に、NFcのアサーションに含まれ証明書に関連するFQDN及びNFインスタンスIDの間の一致関係を検証し、検証が成功した後にのみ、トークンを返す。NFc又はSCPは、トークンを受信した後にのみ、サービス要求を開始することができる。従って、攻撃者が違法にアサーションを盗み、更には違法にNFサービスを取得する場合は回避することができ、NFサービスを使用する安全性は有効に改善され得る。
任意に、FQDNとNFインスタンスIDとの間のバインディング関係は、NFcが証明書をCA/RAに申請する場合に、CA/RAによって生成されてもよい。
以下は、証明書を申請する方法について記載する。
図11は、証明書申請方法の模式図である。方法は次のステップを含む。
S1101:NFcは第1証明書申請要求をCA/RAへ送信し、CA/RAは第1証明書申請要求を受信する。
具体的に、第1証明書申請要求は証明書テンプレートを含み、証明書テンプレートは第2情報を含む。第2情報は、第3NFインスタンスID、第2PLMN ID、第2SNPN ID、第2S-NSSAI ID、第2NFタイプ、第2NFセット、及び第2URIなどの1つ以上の情報を含んでよい。第1証明書申請要求を受信した後、CA/RAは、第2情報に基づいて第1証明書を生成してよい。
S1102:CA/RAは、第2情報を運ぶ第2証明書を生成する。
第1証明書は、NFcのアプリケーションレイヤ証明書であってよい、ことが理解されるべきである。
S1103:CA/RAは第1証明書をNFcに返し、NFcは第1証明書を受信する。
S1104:NFcは第2証明書申請要求をCA/RAへ送信し、CA/RAは第2証明書申請要求を受信する。
具体的に、第2証明書申請要求は証明書テンプレートを含み、証明書テンプレートは第1FQDNを含む。第1証明書申請要求を受信した後、CA/RAは、第1FQDNに基づいて第2証明書を生成してよい。
S1105:CA/RAは、第1FQDNを運ぶ第2証明書を生成する。
第1証明書は、NFcのトランスポートレイヤ証明書であってよい、ことが理解されるべきである。
S1106:CA/RAは第2証明書をNFcに返し、NFcは第2証明書を受信する。
S1107:CA/RAは、第2情報内の第3NFインスタンスIDを第1FQDNと結び付けて、第3NFインスタンスIDと第1FQDNとの間のバインディング関係を生成する。
任意に、第1証明書及び第2証明書は1つの証明書にまとめられてもよい。従って、NFcは、一度だけ証明書をCA/RAに申請しさえすればよい。NFcは、CA/RAへ送られた証明書申請要求に、第1FQDN及び第2情報を含む証明書テンプレートを含めてよい。証明書申請要求を受信した後、CA/RAは、証明書申請要求の証明書テンプレートに基づいて、第1FQDN及び第2情報を運ぶ証明書と、第3NFインスタンスIDと第1FQDNとの間のバインディング関係とを生成してよい。
以下は、NRFがバインディング関係を取得する方法について記載する。
図12は、NRFがバインディング関係を取得する方法のフローチャートである。方法は次のステップを含む。
S1201:NRFはトリガイベントを検出する。
トリガイベントは、NRFがNFpからNFサービス登録要求を受信すること、NRFがNFcからサービス発見要求を受信すること、又はNRFがNFcからサービス要求を受信することであってよい。これは、本願のこの実施形態で特に制限されない。
S1202:NRFは、バインディング関係要求をCA/RAへ送信し、CA/RAはバインディング関係要求を受信する。
可能な実施において、NRFは、バインディング関係要求で証明書を運ぶ。証明書は、NFcのトランスポートレイヤ証明書(第1FQDNを含む証明書)、NFcのアプリケーションレイヤ証明書(第3NFインスタンスIDを含む証明書)、又はNFcのトランスポートレイヤ及びアプリケーションレイヤによって共有されている証明書(つまり、第1NFインスタンスID及び第3FQDNを含む証明書)であってよい。
他の可能な実施においては、NRFは、バインディング関係要求で証明書申請パラメータを運ぶ。パラメータは、NFcのトランスポートレイヤ証明書内の第1FQDN、NFcのアプリケーションレイヤ証明書内の第3NFインスタンスID、又はNFcのトランスポートレイヤ証明書内の第1FQDN及びアプリケーションレイヤ証明書内の第3NFインスタンスIDであってよい。
S1203:CA/RAは、バインディング関係要求に対応する応答結果を決定する。
本願のこの実施形態では、CA/RAによって受信されたバインディング関係要求がNFcのトランスポートレイヤ証明書を運ぶ場合に、CA/RAは、応答結果がバインディング関係におけるアプリケーションレイヤ証明書であることを決定する。CA/RAによって受信されたバインディング関係要求がNFcのアプリケーションレイヤ証明書を運ぶ場合に、CA/RAは、応答結果がバインディング関係におけるトランスポートレイヤ証明書であることを決定する。CA/RAによって受信されたバインディング関係要求がNFcのトランスポートレイヤ及びアプリケーションレイヤの共有証明書を運ぶ場合に、CA/RAは、応答結果がFQDN及びNFインスタンスIDの一致結果であることを決定する。
相応して、CA/RAによって受信されたバインディング関係要求がNFcのトランスポートレイヤ証明書内の第1FQDNを運ぶ場合に、CA/RAは、応答結果がバインディング関係におけるNFインスタンスIDであることを決定する。CA/RAによって受信されたバインディング関係要求がNFcのアプリケーションレイヤ証明書内の第3NFインスタンスIDを運ぶ場合に、CA/RAは、応答結果がバインディング関係におけるFQDNであることを決定する。CA/RAによって受信されたバインディング関係要求がNFcのトランスポートレイヤ及びアプリケーションレイヤの共有証明書内の第1FQDN及び第3NFインスタンスIDを運ぶ場合に、CA/RAは、応答結果が第1FQDN及び第3NFインスタンスIDの一致結果であることを決定する。
S1204:CA/RAは応答結果をNRFに返し、NRFは応答結果を受信する。
具体的に、バインディング関係要求で運ばれたパラメータに基づいて、対応する応答結果を決定した後、CA/RAは応答結果をNRFに返す。
任意に、応答結果を受信した後、NRFは、応答結果に基づいて、第1FQDNが第3NFインスタンスIDと一致するかどうかを決定し、このとき、第1FQDN及び第3NFインスタンスIDは、SCPからNRFによって受信されたサービス要求で運ばれたNFcのアサーションに含まれている証明書に関連し、そして、一致結果をSCPへ送信してよい。
以上は、3つの技術的問題に対する対応する技術的解決法を別々に提供する、ことが理解されるべきである。実際の適用では、上記の実施は、異なる技術的解決法及び技術的効果を実施するよう互いに組み合わされてもよい。以下は、いくつかの具体例を使用することによって、詳細な説明を提供する。
例1:
図13に示されるように、図4、図7、及び図9に示される技術的解決法を参照して、本願の実施形態はサービス認証方法を提供する。方法は、図3Aに示されるアプリケーションシナリオに適用され、方法は次のステップを含む。
図13に示されるように、図4、図7、及び図9に示される技術的解決法を参照して、本願の実施形態はサービス認証方法を提供する。方法は、図3Aに示されるアプリケーションシナリオに適用され、方法は次のステップを含む。
S1301:NFcはトークン要求をSCPへ送信し、SCPはトークン要求を受信する。
例えば、NFcは、図2に示される通信システム内のSMD、AMF、などであってよい。
トークン要求は、NFcのアサーション及び第1情報を運ぶ。アサーションはNFcの証明書を含み、証明書はNFcの第2情報を含む。第1情報及び第2情報の具体的な中身については、S401の関連する記載を参照されたい。詳細はここで再び記載されない。
S1302:SCPは、第1FQDNが第3NFインスタンスIDと一致することを決定する。
第1FQDNは、NFcのトランスポートレイヤ証明書内のFQDNであってよく、第3NFインスタンスIDは、NFcのアプリケーションレイヤ証明書内のNFインスタンスIDであってよい。代替的に、第1FQDN及び第3NFインスタンスIDは、NFcのトランスポートレイヤ及びアプリケーションレイヤによって共有されている証明書内のFQDN及びNFインスタンスIDであってよい。
具体的に、SCPは、FQDNとNFインスタンスIDとの間のバインディング関係に基づいて、第1FQDNが第3NFインスタンスIDと一致するかどうかを決定してよい。
SCPが、バインディング関係に基づいて、S1302で、第1FQDNが第3NFインスタンスIDと一致することを決定する具体的な実施は、S902の具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
任意に、S1302を実行した後、SCPは、FQDNとNFインスタンスIDとの間のバインディング関係、又はバインディング関係における関連パラメータ(例えば、FQDN及びNFインスタンスID)をローカルで記憶してもよい。
S1303:SCPはトークン要求をNRFへ送信し、NRFはトークン要求を受信する。
具体的に、トークン要求はアサーション及び第1情報を運び、アサーション内の証明書は第2情報を運び、第1情報は第1NFインスタンスIDを含む。トークンを受信した後、かつ、トークンを生成する前に、NRFはS1304を実行して、第1情報が第2情報と一致するかどうかを決定する。第1情報が第2情報と一致すると決定すると、NRFは、証明書及び第1NFインスタンスIDを運ぶトークンを生成し、S1305を実行して、トークンを、SCPを通じてNFcに返す。第1情報が第2情報と一致しないと決定する場合には、NRFは、NFcに対してSCPを通じて、トークン要求が失敗したことを示すプロンプト情報を返すか、あるいは、NFcのトークン要求を拒絶する。
S1304:NRFは、第1情報が第2情報と一致することを決定する。
NRFが、検証により、S1304で、第1情報が第2情報と一致するかどうかを決定する具体的な実施は、S402の具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
S1305:NRFはトークンを、SCPを通じてNFcへ送信し、NFcはトークンを、SCPを通じて受信する。
S1306:NFcはサービス要求をSCPへ送信し、SCPはサービス要求を受信する。
具体的に、NFcは、NFcのアサーション及びトークンをサービス要求に含め、SCPは更にS1302を再度実行して、アサーション内の証明書に関連する第1FQDN及び第3NFインスタンスIDの間に一致があるかどうかを決定するか、あるいは、S1302で記憶されたバインディング関係又はバインディング関係における関連パラメータに基づいて、サービス要求に含まれている証明書に関連する第1FQDN及び第3NFインスタンスIDの間に一致があるかどうかを決定してよい。
S1307:SCPはサービス要求をNFpへ送信し、NFpはサービス要求を受信する。
具体的に、サービス要求は、NFcのアサーション及びトークンを運び、トークンは第1NFインスタンスIDを含み、アサーションは第2NFインスタンスIDを含む。サービス要求を受信した後、NFpはS1308を実行する。
S1308:NFpは、第1NFインスタンスIDが第2NFインスタンスIDと同じであるかどうかを決定する。
具体的に、NFpは、検証により、トークン内の第1NFインスタンスIDがアサーション内の第2NFインスタンスIDと同じであるかどうかを決定する。第1NFインスタンスIDが第2NFインスタンスIDと同じである場合に、NFpはS1309を実行する。第1NFインスタンスIDが第2NFインスタンスIDと異なる場合には、NFpは、NFcに対してSCPを通じて、サービス要求が失敗したことを示す情報を返す。
NFpが、検証により、S1308で、第1NFインスタンスIDが第2NFインスタンスIDと同じであるかどうかを決定する具体的な実施は、S702の具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
S1309:NFpはサービス応答を、SCPを通じてNFpに返し、NFpはサービス応答を、SCPを通じて受信する。
S1309の具体的な実施は、S703Aの具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
図13に示される技術的解決法では、NRFは、トークン要求で運ばれるNFcの第1情報及びNFcのアサーションの証明書で運ばれた第2情報の間の一致関係を検証し、NFpは、サービス要求で運ばれるNFcのトークン内の第1NFインスタンスID及びアサーション内の第2NFインスタンスIDの間の一致関係を検証し、SCPは、サービス要求で運ばれたNFの証明書に関連する第1FQDN及び第3NFインスタンスIDの間の一致関係を検証する。これは、攻撃者が違法にトークンを盗み、アサーションをねつ造し、更には違法にNFサービスを取得する場合を有効に回避する。更には、NFcの妥当性は、NFcのプロファイルを使用することによって検証により決定する必要がない。従って、NRFは、プロファイルがNRFに保持されていないNFcのパラメータの妥当性も検証することができる。従って、本願のこの実施形態では、NFサービスを使用する安全性が有効に改善され得る。
例2:
例2と例1との間の違いは、例1では、トークン要求がNFcによってSCPを通じてNRFに対して開始され、SCPを通じてNRFによって返されたトークンを受信した後にのみ、NFcがサービス要求を開始する点にある。例2では、NFcは、SCPを通じてNRFに直接にサービス要求を送信して、NFcのプロキシとしてNRFへのトークン要求を開始するようSCPをトリガする。
例2と例1との間の違いは、例1では、トークン要求がNFcによってSCPを通じてNRFに対して開始され、SCPを通じてNRFによって返されたトークンを受信した後にのみ、NFcがサービス要求を開始する点にある。例2では、NFcは、SCPを通じてNRFに直接にサービス要求を送信して、NFcのプロキシとしてNRFへのトークン要求を開始するようSCPをトリガする。
図14に示されるように、図4、図7、及び図9に示される技術的解決法を参照して、本願の実施形態は、他のサービス認証方法を提供する。方法は、図3Bに示されるアプリケーションシナリオに適用されてよく、方法は次のステップを含む。
S1401:NFcは第1サービス要求をSCPへ送信し、SCPは第1サービス要求を受信する。
S1402:SCPは、第1FQDNが第3NFインスタンスIDと一致することを決定する。
第1FQDNは、トランスポートレイヤ証明書内のFQDNであってよく、第3NFインスタンスIDは、NFcのアプリケーションレイヤ証明書内のNFインスタンスIDであってよい。代替的に、第1FQDN及び第3NFインスタンスIDは、NFcのトランスポートレイヤ及びアプリケーションレイヤによって共有されている証明書内のFQDN及びNFインスタンスIDであってよい。
具体的に、第1サービス要求は、NFcのアサーション及び第1情報を運び、アサーションは、NFcのトランスポートレイヤ証明書及びアプリケーションレイヤ証明書、又はトランスポートレイヤ及びアプリケーションレイヤによって共有されている証明書を含む。SCPは、これらの証明書から第1FQDN及び/又は第3NFインスタンスIDを抽出子、ステップS1402を実行して、第1FQDNが第3NFインスタンスIDと一致することを決定してよい。S1402の具体的な実施は、S902の具体的な実施に似ている、ことが理解され得る。S902の記載を参照されたい。詳細はここで再び記載されない。
S1403:SCPはトークン要求をNRFへ送信し、NRFはトークン要求を受信する。
具体的に、トークン要求は、NFcのアサーション及び第1情報を運び、アサーションはNFcの証明書を含み、証明書は第2情報を含む。第1情報及び第2情報の具体的な中身については、S401の関連する記載を参照されたい。詳細はここで再び記載されない。
具体的に、第1情報は第1NFインスタンスIDを含む。トークン要求を受信した後、トークンを生成する前、NRFはS1401を実行して、検証により、第1情報が第2情報と一致するかどうかを決定する。第1情報が第2情報と一致すると決定すると、NRFは、証明書及び第1NFインスタンスIDを運ぶトークンを生成し、S1405を実行して、トークンを、SCPを通じてNFcに返す。第1情報が第2情報と一致しないと決定する場合には、NRFは、NFcに対してSCPを通じて、トークン要求が失敗したことを示すプロンプト情報を返すか、あるいは、NFcのトークン要求を拒絶する。
S1404:NRFは、第1情報が第2情報と一致することを決定する。
NRFが、検証により、S1404で、第1情報が第2情報と一致するかどうかを決定する具体的な実施は、S402の具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
S1405:NRFはトークンをSCPへ送信し、SCPはトークンを受信する。
S1406:SCPは第2サービス要求をNFpへ送信し、NFpは第2サービス要求を受信する。
具体的に、第2サービス要求は、NFcのトークン及びアサーションを運び、トークンは第1NFインスタンスIDを含み、アサーションは第2NFインスタンスIDを含む。
S1407:NFpは、第1NFインスタンスIDが第2NFインスタンスIDと同じであることを決定する。
具体的に、第2サービス要求を受信した後、NFpは、検証により、第1NFインスタンスIDが第2NFインスタンスIDと同じであるかどうかを決定する。第1NFインスタンスIDが第2NFインスタンスIDと同じである場合に、NFpはS1408を実行して、サービス応答を、SCPを通じてNFcに返す。第1NFインスタンスIDが第2NFインスタンスIDと異なる場合には、NFpは、SCPを通じて、サービス要求が失敗したことを示す情報をNFcに返す。
NFpが、検証により、S1407で、第1NFインスタンスIDが第2NFインスタンスIDと同じであるかどうかを決定する具体的な実施は、S702の具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
S1408;NFpはサービス応答を、SCPを通じてNFcに返し、NFcはサービス応答を、SCPを通じて受信する。
S1408の具体的な実施は、S703Aの具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
図14に示される技術的解決法では、SCPは、NFcから第1サービス要求で運ばれたNFcのアサーション内の証明書に関連する第1FQDN及び第3NFインスタンスIDの間の一致関係を検証し、NRFは、SCPからトークン要求で運ばれる第1情報及び第2情報の間の一致関係を検証し、NFpは、SCPから第2サービス要求で運ばれるトークン内の第1NFインスタンスID及びアサーション内の第2NFインスタンスIDの間の一致関係を検証する。これは、攻撃者が違法にトークンを盗み、アサーションをねつ造し、更には違法にNFサービスを取得する場合を有効に回避する。更には、NFcの妥当性は、NFcのプロファイルを使用することによって検証される必要がない。従って、NRFは、プロファイルがNRFに保持されていないNFcのパラメータの妥当性も検証することができる。従って、本願のこの実施形態では、NFサービスを使用する安全性が有効に改善され得、SCPは、NFcのアサーション内の証明書に関連する第1FQDN及び第3NFインスタンスIDの間の一致関係を繰り返し検証する必要がない。これは、計算資源を有効に削減する。
例3:
この例と例1及び例2との間の違いは、次の通りである:例3では、NFcがNRFへのトークン要求を直接に開始し、NRFによって返されたトークンを受信した後、サービス要求をSCPへ送信する。サービス要求を受信した後、SCPは、サービス要求で運ばれたアサーション内の証明書に関連する第1FQDN及び第3NFインスタンスIDの間の一致関係を検証する。
この例と例1及び例2との間の違いは、次の通りである:例3では、NFcがNRFへのトークン要求を直接に開始し、NRFによって返されたトークンを受信した後、サービス要求をSCPへ送信する。サービス要求を受信した後、SCPは、サービス要求で運ばれたアサーション内の証明書に関連する第1FQDN及び第3NFインスタンスIDの間の一致関係を検証する。
図15に示されるように、図4、図7、及び図9に示される技術的解決法を参照して、本願の実施形態は、更なる他のサービス認証及び要求方法を提供する。方法は、図3Cに示されるアプリケーションシナリオに適用されてよく、方法は次のステップを含む。
S1501:NFcはトークン要求をNRFへ送信し、NRFはトークン要求を受信する。
具体的に、トークンは、NFcの第1情報を運ぶ。トークン要求を受信した後、NRFはNFcの証明書を取得し、証明書は第2情報を含む。NRFはS1502を実行して、検証により、第1情報が第2情報と一致するかどうかを決定する。第1情報が第2情報と一致する場合に、NRFはS1503を実行する。第1情報が第2情報と一致しない場合には、NRFは、NFcに対して、トークン要求が失敗したことを示す指示情報を返すか、あるいは、NFcのトークン要求を拒絶する。
本願のこの実施形態では、NRFによって取得されたNFcの証明書は、NRFがNFcへのトランスポートレイヤリンクを確立する場合にNFRによって取得されたNFcの証明書であってよく、NRFで事前設定されたNFcの証明書であってよく、あるいは、トークン要求で運ばれたNFcの証明書であってよい。
S1502:NRFは、第1情報が第2情報と一致すること決定する。
NRFが、検証により、S1502で、第1情報が第2情報と一致するかどうかを決定する具体的な実施は、S302の具体的な実施に似ている、ことが理解され得る。S402の関連する記載を参照されたい。
S1503:NRFはトークンをNFcへ送信し、NFcはトークンを受信する。
具体的に、トークンをNFcへ送信する前に、NRFは、証明書及び第1NFインスタンスIDを運ぶトークンを生成する。
S1504:NFcはサービス要求をSCPへ送信し、SCPはサービス要求を受信する。
具体的に、サービス要求はNFcのトークン及びアサーションを運び、アサーションはNFcの証明書を含む。サービス要求を受信した後、SCPは、証明書に関連する第1FQDN及び第3NFインスタンスIDを決定し、S1505を実行して、第1FQDNが第3NFインスタンスIDと一致するかどうかを決定し得る。第1FQDNが第3NFインスタンスIDと一致すると決定する場合に、SCPは、引き続きS1506を実行する。第1FQDNが第3NFインスタンスIDと一致しないと決定する場合には、SCPは、NFcに対して、サービス要求が失敗したことを示す指示情報を返す。
S1505:SCPは、第1FQDNが第3NFインスタンスIDと一致することを決定する。
SCPが、S1505で、第1FQDNが第3NFインスタンスIDと一致することを決定する具体的な実施は、S902の具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
S1506:SCPはサービス要求をNFpへ送信し、NFpはサービス要求を受信する。
具体的に、サービス要求は、NFcのアサーション及びトークンを運び、トークンは第1NFインスタンスIDを運び、アサーションは第2NFインスタンスIDを運ぶ。
S1507:NFpは、第1NFインスタンスIDが第2NFインスタンスIDと同じであるかどうかを決定する。
具体的に、サービス要求を受信した後、NFpは、検証により、第1NFインスタンスIDが第2NFインスタンスIDと同じであるかどうかを決定する。第1NFインスタンスIDが第2NFインスタンスIDと同じである場合に、NFpはS1508を実行して、サービス応答を、SCPを通じてNFcに返す。第1NFインスタンスIDが第2NFインスタンスIDと異なる場合には、NFpは、SCPを通じて、サービス要求が失敗したことを示す情報をNFcに返す。
NFpが、検証により、S1508で、第1NFインスタンスIDが第2NFインスタンスIDと同じであるかどうかを決定する具体的な実施は、S702の具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
S1508:NFpはサービス応答を、SCPを通じてNFcに返し、NFcはサービス応答を、SCPを通じて受信する。
S1508の具体的な実施は、S703Aの具体的な実施に似ている、ことが理解され得る。詳細はここで再び記載されない。
図15に示される技術的解決法では、NRFは、NFcからトークン要求で運ばれる第1情報と証明書内の第2情報との間の一致関係を検証し、SCPは、NFcからサービス要求で運ばれたアサーション内の証明書に関連する第1FQDN及び第3NFインスタンスIDの間の一致関係を検証し、NFPは、SCPからサービス要求で運ばれるNFcのトークン内の第1NFインスタンスID及びアサーション内の第2NFインスタンスIDの間の一致関係を検証する。これは、攻撃者が違法にトークンを盗み、アサーションをねつ造し、更には違法にNFサービスを取得する場合を有効に回避する。更には、NRFは、プロファイルがNRFに保持されていないNFcのパラメータの妥当性も検証することができる。これは、本願のこの実施形態でNFサービスを使用する安全性を有効に改善することができる。
確かに、実際の適用では、上記の3つの例に加えて、より多くの他の組み合わされた解決法が存在する場合があるが、それらはここで1つずつ挙げられていない。
本願の実施形態の上記の解決法をより良く理解するために、本願の上記の実施形態でのいくつかのNFインスタンスIDは、ここで更に分類される。第1NFインスタンスIDは、NFcのトークン要求で運ばれるNFインスタンスID、又はトークン内のNFインスタンスIDであり、第2NFインスタンスIDは、NFcのアサーションで運ばれるNFインスタンスIDであり、第3NFインスタンスIDは、NFcのアサーションで運ばれるNFインスタンスIDである。
本願の実施形態で挙げられている情報に加えて、本願の実施形態でのトークン要求、トークン、サービス要求、又はサービス応答などのメッセージは、他の情報を更に含んでもよい、ことが留意されるべきである。これは本願で制限されない。
NFcがNFcからのNFサービスにサブスクライブするアプリケーションシナリオでは、一部の攻撃者は、NFサービスの通知情報を違法に得るために、サブスクリプション要求で違法なURIを運ぶ可能性がある。その結果、NFサービスのネットワーク情報は開示される。これを鑑み、本願の実施形態はサービス認証方法を更に提供する。図16を参照されたい。方法は次のステップを含む。
S1601:NFcはサブスクリプション要求をNFpへ送信し、NFpはサブスクリプション要求を受信する。
可能な実施において、サブスクリプション要求は、NFcの第1URI及びNFcの証明書を運び、証明書は第2URIを含む。この場合に、NFpは、サブスクリプション要求から第1URI及び第2URIを取得し得る。
他の可能な実施においては、サブスクリプション要求は、NFcの第1URIを運び、NFpは、他の方法でNFcの証明書を取得し、例えば、トランスポートレイヤからNFcの証明書を取得し、それから、NFcの証明書から第2URIを取得する。この場合にも、NFpは、第1URI及び第2URIを取得し得る。
S1602:NFpは、検証により、第1URIが証明書内の第2URIと一致するかどうかを決定する。
具体的に、NFpが、検証により、第1URIが第2URIと一致するかどうかを決定するプロセスは、第1URIが第2URIと一致することを決定すること、又は第1URIが第2URIのサブセットであることを決定するを具体的に含んでもよい。例えば、第1URIが“##8888”であり、第2URIも“##8888”である場合に、NFpは、第1URIが第2URIと一致すると決定する。他の例として、第1URIが“123”であり、第2URIが{123,456}であり、第1NF URIが第2NF URIのサブセットである場合に、NFpは、第1NF URIが第2NF URIと一致すると決定する。第1URIが第2URIと一致すると決定する場合に、NFpはS1603Aを実行する。第1URIが第2URIと一致しないと決定する場合には、NFpはS1603Bを実行する。
S1603A:NFpは第1応答情報をNFcに返し、NFcは第1応答情報を受信し、第1応答情報は、NFcのサブスクリプション要求が成功したこと又はNFpがサブスクリプション要求を受け入れたことを示す。
具体的に、NFcによって送信されたサブスクリプション要求に同意した後、NFpは、前もってセットされた周期に基づいてNFpへ、NFpによってサポートされているNFサービスに関する通知メッセージを送信してよい。
S1603B:NFpは第2応答情報をNFcに返し、NFcは第2応答情報を受信し、第2応答情報は、NFcのサブスクリプション要求が失敗したこと又はNFpがサブスクリプション要求を拒絶したことを示す。
図16に示される実施形態では、NFpは、検証により、サブスクリプション要求で運ばれたNFcの第1情報内の第1URIが、NFcのトランスポートレイヤ証明書内の第2URIと一致するかどうかを決定し、それにより、NFcがネットワーク情報を違法に得るためにサブスクリプション要求で違法なURIを違法に運ぶ場合は、有効に回避することができる。これは、NFサービスのネットワーク情報が回避されることを有効に回避する。
以上は、図4から図16を参照して、本願の実施形態で提供されるサービス認証方法について記載してきた。以下は、図17、図18、及び図19を参照して、本願の実施形態で提供される装置について記載する。
同じ技術概念に基づいて、本願の実施形態は通信装置1700を更に提供する。装置1700は、上記の方法の例でNRFを実装する機能を備えている。例えば、装置1700は、図10に示される実施形態でNRFによって実行されるステップを実行するための対応するモジュール、ユニット、又は手段(means)を含む。機能、ユニット、又は手段は、ソフトウェアによって実施されてよく、あるいは、ハードウェアによって実施されてよく、あるいは、対応するソフトウェアを実行することでハードウェアによって実施されてよい。
例えば、図17を参照されたい。装置1700は、
第1ネットワーク要素から第1トークン要求を受信するよう構成されるトランシーバユニット1701であり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、トランシーバユニット1701と、
検証により、第1情報が第2情報と一致するかどうかを決定し、第1情報が第2情報と一致すると決定した後、トークンを生成するよう構成される処理ユニット1702と
を含んでよく、トランシーバユニット1701は、トークンを第1ネットワーク要素へ送信するよう更に構成される。
第1ネットワーク要素から第1トークン要求を受信するよう構成されるトランシーバユニット1701であり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、トランシーバユニット1701と、
検証により、第1情報が第2情報と一致するかどうかを決定し、第1情報が第2情報と一致すると決定した後、トークンを生成するよう構成される処理ユニット1702と
を含んでよく、トランシーバユニット1701は、トークンを第1ネットワーク要素へ送信するよう更に構成される。
上記の方法の実施形態におけるステップの全ての関連する内容は、対応する機能モジュールの機能説明で引用され得る、ことが理解されるべきである。詳細はここで再び記載されない。
同じ技術概念に基づいて、本願の実施形態は通信装置1800を更に提供する。装置1800は、上記の方法の例で第1ネットワーク要素を実装する機能を備えている。例えば、装置1800は、図7に示される実施形態で第1ネットワーク要素によって実行されるステップを実行するための対応するモジュール、ユニット、又は手段(means)を含む。機能、ユニット、又は手段は、ソフトウェアによって実施されてよく、あるいは、ハードウェアによって実施されてよく、あるいは、対応するソフトウェアを実行することでハードウェアによって実施されてよい。
例えば、図18を参照されたい。装置は、
第1トークン要求を生成するよう構成される処理ユニット1801であり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、処理ユニット1808と、
第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信し、ネットワークリポジトリ機能ネットワーク要素からトークンを受信するよう構成されるトランシーバユニット1802と
を含んでよい。
第1トークン要求を生成するよう構成される処理ユニット1801であり、第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、アサーションは、ネットワーク機能サービスコンシューマエンティティの証明書を含み、証明書は、ネットワーク機能サービスコンシューマエンティティの第2情報を含む、処理ユニット1808と、
第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信し、ネットワークリポジトリ機能ネットワーク要素からトークンを受信するよう構成されるトランシーバユニット1802と
を含んでよい。
上記の方法の実施形態におけるステップの全ての関連する内容は、対応する機能モジュールの機能説明で引用され得る、ことが理解されるべきである。詳細はここで再び記載されない。
同じ技術概念に基づいて、本願の実施形態は通信装置1900を更に提供する。装置1900は、上記の方法の例でNFpを実装する機能を備えている。例えば、装置1900は、図7に示される実施形態でNFpによって実行されるステップを実行するための対応するモジュール、ユニット、又は手段(means)を含む。機能、ユニット、又は手段は、ソフトウェアによって実施されてよく、あるいは、ハードウェアによって実施されてよく、あるいは、対応するソフトウェアを実行することでハードウェアによって実施されてよい。
例えば、図19を参照されたい。装置1900は、
第1ネットワーク要素から第1サービス要求を受信するよう構成されるトランシーバユニット1901であり、第1サービス要求はトークン及びアサーションを含み、トークンは第1ネットワーク機能インスタンス識別子を含み、アサーションは第2ネットワーク機能インスタンス識別子を含む、トランシーバユニット1901と、
検証により、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致するかどうかを決定し、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致すると決定した後、ネットワーク機能サービスコンシューマエンティティにサービスを提供するよう構成される処理ユニット1902と
を含んでよい。
第1ネットワーク要素から第1サービス要求を受信するよう構成されるトランシーバユニット1901であり、第1サービス要求はトークン及びアサーションを含み、トークンは第1ネットワーク機能インスタンス識別子を含み、アサーションは第2ネットワーク機能インスタンス識別子を含む、トランシーバユニット1901と、
検証により、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致するかどうかを決定し、第1ネットワーク機能インスタンス識別子が第2ネットワーク機能インスタンス識別子と一致すると決定した後、ネットワーク機能サービスコンシューマエンティティにサービスを提供するよう構成される処理ユニット1902と
を含んでよい。
上記の方法の実施形態におけるステップの全ての関連する内容は、対応する機能モジュールの機能説明で引用され得る、ことが理解されるべきである。詳細はここで再び記載されない。
同じ技術概念に基づいて、本願の実施形態は、図1に示される実施形態の方法を実施するよう構成された電子デバイス2000を更に提供する。
図20に示されるように、電子デバイス2000は、メモリ2002に記憶されているプログラム又は命令を実行するよう構成されたプロセッサ2001を含んでよい。メモリ2002に記憶されているプログラム又は命令が実行されると、プロセッサは、図4乃至図16に示される実施形態の方法を実行するよう構成される。
任意に、電子デバイス2000は、通信インターフェース2003を更に含んでよい。図20で、通信インターフェース2003は、破線によって表されており、電子デバイス2000にとって任意である。
プロセッサ2001、メモリ2002、及び通信インターフェース2003の数は、本願のこの実施形態に対する制限を構成せず、具体的な実施中、サービス要件に基づいてランダムに構成されてよい。
任意に、メモリ2022は、電子デバイス2000の外に位置する。
任意に、電子デバイス2000はメモリ2002を含み、メモリ2002は少なくとも1つのプロセッサ2001へ接続され、メモリ2002は、少なくとも1つのプロセッサ2001によって実行することができる命令を記憶する。図20で、メモリ2002が破線によって表されており、電子デバイス2000にとって任意である。
プロセッサ2001及びメモリ2002は、インターフェース回路を通じて結合されてよく、あるいは、一体化されてもよい。これはここで制限されない。
プロセッサ2001と、メモリ2002と、通信インターフェース2003との間の具体的な接続媒体は、本願のこの実施形態で制限されない。本願のこの実施形態で、プロセッサ2001、メモリ2002、及び通信インターフェース2003は、図20ではバス2004を通じて接続される。バスは、図20では太線を使用することによって表されている。他のコンポーネントの間の接続様態は、記載のための例にすぎず、それに限られない。バスは、アドレスバス、データバス、コントロールバス、などに分類されてよい。表現を容易にするために、ただ1つの太線は図20ではバスを表すためのものであるが、ただ1つのバス又はただ1種類のバスしか存在しないことを意味するものではない。
本願の実施形態で述べられているプロセッサは、ハードウェアによって実施されてよく、あるいは、ソフトウェアによって実施されてよい、ことが理解されるべきである。プロセッサはハードウェアを使用することによって実施される場合に、プロセッサは論理回路、集積回路、などであってよい。プロセッサがソフトウェアを使用することによって実施される場合に、プロセッサは汎用プロセッサであってよく、メモリに記憶されているソフトウェアコードを読み出すことによって実施される。
例えば、プロセッサは中央演算処理装置(Central Processing Unit,CPU)であってよく、あるいは、他の汎用プロセッサ、デジタル信号プロセッサ(Digital Signal Processor,DSP)、特定用途向け集積回路(Application-Specific Integrated Circuit,ASIC)、フィールド・プログラマブル・ゲート・アレイ(Field Programmable Gate Array,FPGA)、他のプログラム可能なロジックデバイス、ディスクリートゲート、トランジスタロジックデバイス、ディスクリートハードウェア部品、などであってよい。汎用プロセッサはマイクロプロセッサであってよく、あるいは、プロセッサは任意の従来のプロセッサなどであってもよい。
本願の実施形態で述べられているメモリは揮発性メモリ若しくは不揮発性メモリであってよく、又は揮発性メモリ及び不揮発性メモリを含んでもよい、ことが理解され得る。不揮発性メモリはリードオンリーメモリ(Read-Only Memory,ROM)、プログラム可能リードオンリーメモリ(Programmable ROM,PROM)、消去可能なプログラム可能リードオンリーメモリ(Erasable PROM,EPROM)、電気的消去可能なプログラム可能リードオンリーメモリ(Electrically EPROM,EEPROM)、又はフラッシュメモリであってよい。揮発性メモリは、外部キャッシュとして使用されるランダムアクセスメモリ(Random Access Memory,RAM)であってよい。例として、限定ではなく、多くの形態のRAM、例えば、静的ランダムアクセスメモリ(Static RAM,SRAM)、動的ランダムアクセスメモリ(Dynamic RAM,DRAM)、同期型動的ランダムアクセスメモリ(Synchronous DRAM,SDRAM)、ダブルデータレート同期型動的ランダムアクセスメモリ(Double Data Eate SDRAM,DDR SDRAM)、エンハンスド同期型動的ランダムアクセスメモリ(Enhanced SDRAM,ESDRAM)、シンクリンク動的ランダムアクセスメモリ(Synchlink DRAM,SLDRAM)及びダイレクトランバス型ランダムアクセスメモリ(Direct Rambus RAM,DR RAM)が使用されてもよい。
プロセッサが汎用プロセッサ、DSP、ASIC、FPGA、他のプログラム可能なロジックデバイス、ディスクリートゲート若しくはトランジスタロジックデバイス、又はディスクリートハードウェア部品であるとき、メモリ(記憶媒体)はプロセッサに組み込まれてよい、ことが留意されるべきである。
本明細書で記載されているメモリは、これらのメモリ及び他の適切なタイプの任意のメモリを含むことを目指しているが、これらに限られない、ことが留意されるべきである。
同じ技術概念に基づいて、本願の実施形態は、プログラム又は命令を含むコンピュータ可読記憶媒体を更に提供する。プログラム又は命令がコンピュータで実行されると、上記の方法の例におけるNRFによって実行される方法、第1ネットワーク要素によって実行される方法、又はNFpによって実行される方法が実行される。
同じ技術概念に基づいて、本願の実施形態は、チップを更に提供する。チップはメモリへ結合され、メモリに記憶されているプログラム命令を読み出して実行するよう構成され、それにより、上記の方法の例におけるNRFによって実行される方法、第1ネットワーク要素によって実行される方法、又はNFpによって実行される方法が実行される。
同じ技術概念に基づいて、本願の実施形態は、コンピュータプログラム命令を更に提供する、コンピュータプログラム命令がコンピュータで実行されると、上記の方法の例におけるNRFによって実行される方法、第1ネットワーク要素によって実行される方法、又はNFpによって実行される方法が実行される。
上記の実施形態は、異なる技術的効果を達成するために互いに組み合わされてよい。
当業者であれば、本願の実施形態が方法、システム、又はコンピュータプログラム製品として提供されてもよいことを理解するはずである。従って、本願は、ハードウェアのみの実施形態、ソフトウェアのみの実施形態、又はソフトウェアとハードウェアとの組み合わせによる実施形態の形式を使用し得る。更には、本願は、コンピュータで使用可能なプログラムコードを含む1つ以上のコンピュータ使用可能記憶媒体(ディスクメモリ、CD-ROM、光学メモリ、などを含むがこれらに限られない)で実施されるコンピュータプログラム製品の形成を使用し得る。
本願は、本願の実施形態に係る方法、デバイス(システム)、及びコンピュータプログラム製品のフローチャート及び/又はブロック図を参照して記載される。コンピュータプログラム命令は、フローチャート及び/又はブロック図の各プロセス及び/又は各ブロックと、フローチャート及び/又はブロック図のプロセス及び/又はブロックの組み合わせとを実施するために使用されてよい、ことが理解されるべきである。これらのコンピュータプログラム命令は、汎用コンピュータ、専用コンピュータ、埋め込みコンピュータ、又は任意の他のプログラム可能なデータ処理デバイスのプロセッサがマシンを発生させるために提供されてよく、それにより、任意の他のプログラム可能なデータ処理デバイスのプロセッサの又はコンピュータによって実行された命令は、ブロック図の1つ以上のブロックでの及び/又はフローチャートの1つ以上のプロセスでの特定の機能を実施する装置を発生させる。
これらのコンピュータプログラム命令は、特定の方法で作動するようにコンピュータ又は任意の他のプログラム可能なデータ処理デバイスに命令することができるコンピュータ読み出し可能なメモリに記憶されてよく、それにより、コンピュータ読み出し可能な命令に記憶されている命令は、命令装置を含むアーチファクトを発生させる。命令装置は、ブロック図の1つ以上のブロックでの及び/又はフローチャートの1つ以上のプロセスでの特定の機能を実施する。
当業者であれば、本願の実施形態の範囲から逸脱せずに、本願の実施形態に対して様々な変更及び変形を行うことができることは明らかである。本願は、これらの変更及び変形が続く特許請求の範囲及びそれらの同等の技術によって定義されている保護の範囲内にあるという条件で、これらの変更及び変形をカバーするよう意図される。
[関連出願への相互参照]
本願は、2020年10月30日付けで「SERVICE AUTHORIZATION METHOD, COMMUNICATION APPARATUS, AND SYSTEM」との発明の名称にて中国知識産権局に出願された中国特許出願第202011197519.5号に対する優先権を主張するものである。この先の中国出願は、その全文を参照により本願に援用される。
本願は、2020年10月30日付けで「SERVICE AUTHORIZATION METHOD, COMMUNICATION APPARATUS, AND SYSTEM」との発明の名称にて中国知識産権局に出願された中国特許出願第202011197519.5号に対する優先権を主張するものである。この先の中国出願は、その全文を参照により本願に援用される。
第3世代パートナーシッププロジェクト(3rd generation partnership project,3GPP)は、第5世代(5th Generation,5G)移動体通信システムでサービスベースのアーキテクチャ(service-based architecture,SBA)及びサービスベースのアーキテクチャのエンハンスメント(enhancement of service-based architecture,eSBA)を使用することを提案している。
可能な設計において、第1情報は、次の、第1公衆地上移動体ネットワーク識別子、第1スタンドアロン非公衆ネットワーク識別子、第1単一ネットワークスライス選択支援情報識別子、第1ネットワーク機能インスタンス識別子、第1ネットワーク機能タイプ、第1ネットワーク機能セット、及び第1統一資源識別子、のうちの1つ以上を含む。第2情報は、次の、第2公衆地上移動体ネットワーク識別子、第2スタンドアロン非公衆ネットワーク識別子、第2単一ネットワークスライス選択支援情報識別子、第2ネットワーク機能インスタンス識別子、第2ネットワーク機能タイプ、第2ネットワーク機能セット、及び第2統一資源識別子、のうちの1つ以上を含む。
例えば、第1情報が第1ネットワーク機能インスタンス識別子を含む場合に、第2情報は第2ネットワーク機能インスタンス識別子を含む。他の例として、第1情報が第1スタンドアロン非公衆ネットワーク識別子及び第1公衆地上移動体ネットワーク識別子を含む場合に、第2情報は第2スタンドアロン非公衆ネットワーク識別子及び第2公衆地上移動体ネットワーク識別子を含む。更なる他の例として、第1情報が第1公衆地上移動体ネットワーク識別子、第1スタンドアロン非公衆ネットワーク識別子、及び第1ネットワーク機能インスタンス識別子を含む場合に、第2情報は第2公衆地上移動体ネットワーク識別子、第2スタンドアロン非公衆ネットワーク識別子、及び第2ネットワーク機能インスタンス識別子を含む。
例えば、第1情報が第1スタンドアロン非公衆ネットワーク識別子であり、第2情報が第2スタンドアロン非公衆ネットワーク識別子であり、第1スタンドアロン非公衆ネットワーク識別子が1であり、第2スタンドアロン非公衆ネットワーク識別子が{1,2,4}である場合に、第1スタンドアロン非公衆ネットワーク識別子は第2スタンドアロン非公衆ネットワーク識別子のサブセットであり、ネットワークリポジトリ機能ネットワーク要素は、第1情報が第2情報と一致すると決定する。
図1の第1ネットワーク要素は、具体的に、図2のSCP、SMF、AMF、などであってよい。図1のNRFは、具体的に、図2のNRFであってよい。図1のNFpは、具体的に、図2のSMF、UDM、などであってよい。
第1情報は、次の1つ以上を含み得る:
(1)第1公衆地上移動体ネットワーク識別子(public land mobile network identifier,PLMN-ID);
(2)第1スタンドアロン非公衆ネットワーク識別子(stand-alone non-public network identifier,SNPN-ID);
(3)第1単一ネットワークスライス選択支援情報(single-network slice selection assistance information identifier,S-NSSAI ID);
(4)第1ネットワーク機能インスタンス識別子(network function instance identifier,NFインスタンスID);
(5)第1ネットワーク機能タイプ(network function type,NFタイプ);
(6)第1ネットワーク機能セット(network function set,NFセット);及び
(7)第1統合資源識別子(universal resource locator,URI)。
(1)第1公衆地上移動体ネットワーク識別子(public land mobile network identifier,PLMN-ID);
(2)第1スタンドアロン非公衆ネットワーク識別子(stand-alone non-public network identifier,SNPN-ID);
(3)第1単一ネットワークスライス選択支援情報(single-network slice selection assistance information identifier,S-NSSAI ID);
(4)第1ネットワーク機能インスタンス識別子(network function instance identifier,NFインスタンスID);
(5)第1ネットワーク機能タイプ(network function type,NFタイプ);
(6)第1ネットワーク機能セット(network function set,NFセット);及び
(7)第1統合資源識別子(universal resource locator,URI)。
第2情報は、次の1つ以上を含み得る:
(1)第2PLMN ID;
(2)第2SNPN ID;
(3)第2S-NSSAI ID;
(4)第2NFインスタンスID;
(5)第2NFタイプ;
(6)第2NFセット;及び
(7)第2URI。
(1)第2PLMN ID;
(2)第2SNPN ID;
(3)第2S-NSSAI ID;
(4)第2NFインスタンスID;
(5)第2NFタイプ;
(6)第2NFセット;及び
(7)第2URI。
例えば、第1情報は第1SNPN IDを含む場合に、第2情報は第2SNPN IDを含む。他の例として、第1情報が第1SNPN ID及び第1PLMN IDを含む場合に。第2情報は、第2SNPN ID及び第2PLMN IDを含む。更なる他の例として、第1情報が第1SNPN ID、第1PLMN ID、及び第1NFインスタンスIDを含む場合に、第2情報は第2SNPN ID、第2PLMN ID、及び第2NFインスタンスIDを含む。
任意に、第2情報は、証明書の拡張フィールドで運ばれる。
S603:NRFはトークンを、SCPを通じてNFcへ送信し、NFcはトークンを、SCPを通じて受信する。
具体的に、トークン要求を受信した後、NRFは、トークン要求内のアサーションを検証する。検証が成功した後、NRFはトークンを生成し、S804を実行してトークンをSCPへ送信する。検証が失敗する場合に、NRFは、SCPに対して、トークン要求が失敗したことを示す応答情報を返す。
具体的に、第2証明書申請要求は証明書テンプレートを含み、証明書テンプレートは第1FQDNを含む。第2証明書申請要求を受信した後、CA/RAは、第1FQDNに基づいて第2証明書を生成してよい。
第2証明書は、NFcのトランスポートレイヤ証明書であってよい、ことが理解されるべきである。
可能な実施において、NRFは、バインディング関係要求で証明書を運ぶ。証明書は、NFcのトランスポートレイヤ証明書(第1FQDNを含む証明書)、NFcのアプリケーションレイヤ証明書(第3NFインスタンスIDを含む証明書)、又はNFcのトランスポートレイヤ及びアプリケーションレイヤによって共有されている証明書(つまり、第1FQDN及び第3NFインスタンスIDを含む証明書)であってよい。
NRFが、検証により、S1502で、第1情報が第2情報と一致するかどうかを決定する具体的な実施は、S402の具体的な実施に似ている、ことが理解され得る。S402の関連する記載を参照されたい。
図15に示される技術的解決法では、NRFは、NFcからトークン要求で運ばれる第1情報と証明書内の第2情報との間の一致関係を検証し、SCPは、NFcからサービス要求で運ばれたアサーション内の証明書に関連する第1FQDN及び第3NFインスタンスIDの間の一致関係を検証し、NFpは、SCPからサービス要求で運ばれるNFcのトークン内の第1NFインスタンスID及びアサーション内の第2NFインスタンスIDの間の一致関係を検証する。これは、攻撃者が違法にトークンを盗み、アサーションをねつ造し、更には違法にNFサービスを取得する場合を有効に回避する。更には、NRFは、プロファイルがNRFに保持されていないNFcのパラメータの妥当性も検証することができる。これは、本願のこの実施形態でNFサービスを使用する安全性を有効に改善することができる。
本願の実施形態で述べられているメモリは揮発性メモリ若しくは不揮発性メモリであってよく、又は揮発性メモリ及び不揮発性メモリを含んでもよい、ことが理解され得る。不揮発性メモリはリードオンリーメモリ(Read-Only Memory,ROM)、プログラム可能リードオンリーメモリ(Programmable ROM,PROM)、消去可能なプログラム可能リードオンリーメモリ(Erasable PROM,EPROM)、電気的消去可能なプログラム可能リードオンリーメモリ(Electrically EPROM,EEPROM)、又はフラッシュメモリであってよい。揮発性メモリは、外部キャッシュとして使用されるランダムアクセスメモリ(Random Access Memory,RAM)であってよい。例として、限定ではなく、多くの形態のRAM、例えば、静的ランダムアクセスメモリ(Static RAM,SRAM)、動的ランダムアクセスメモリ(Dynamic RAM,DRAM)、同期型動的ランダムアクセスメモリ(Synchronous DRAM,SDRAM)、ダブルデータレート同期型動的ランダムアクセスメモリ(Double Data Rate SDRAM,DDR SDRAM)、エンハンスド同期型動的ランダムアクセスメモリ(Enhanced SDRAM,ESDRAM)、シンクリンク動的ランダムアクセスメモリ(Synchlink DRAM,SLDRAM)及びダイレクトランバス型ランダムアクセスメモリ(Direct Rambus RAM,DR RAM)が使用されてもよい。
Claims (40)
- ネットワークリポジトリ機能ネットワーク要素によって、ネットワーク機能サービスコンシューマエンティティからトークン要求を受信することであり、前記トークン要求は、前記ネットワーク機能サービスコンシューマエンティティの第1情報を運ぶ、前記受信することと、
前記ネットワークリポジトリ機能ネットワーク要素によって、前記ネットワーク機能サービスコンシューマエンティティの証明書を取得することであり、前記証明書は第2情報を含む、前記取得することと、
検証により、前記第1情報が前記第2情報と一致することを決定した後、前記ネットワークリポジトリ機能ネットワーク要素によって、トークンを前記ネットワーク機能サービスコンシューマエンティティへ送信することと
を有する処理方法。 - 前記第1情報は第1ネットワーク機能タイプを含み、前記第2情報は第2ネットワーク機能タイプを含む、
請求項1に記載の方法。 - 当該方法は、
検証により、前記第1情報が前記第2情報と一致しないことを決定した後、前記ネットワークリポジトリ機能ネットワーク要素によって、不成功応答を前記ネットワーク機能サービスコンシューマエンティティへ送信することを更に有する、
請求項1又は2に記載の方法。 - 当該方法は、
ネットワーク機能サービスプロバイダエンティティによって、前記ネットワーク機能サービスコンシューマエンティティからサービス要求を受信することであり、前記サービス要求は前記トークン及びアサーションを含み、前記トークンは第1NFインスタンスIDを含み、前記アサーションは第2NFインスタンスIDを含む、ことと、
検証により、前記第1NFインスタンスIDが前記第2NFインスタンスIDと一致することを決定した後、前記ネットワーク機能サービスプロバイダエンティティによって、サービス応答を前記ネットワーク機能サービスコンシューマエンティティへ送信することと
を更に有する、
請求項1乃至3のうちいずれか一項に記載の方法。 - 当該方法は、
検証により、前記第1NFインスタンスIDが前記第2NFインスタンスIDと一致しないことを決定した場合に、前記ネットワーク機能サービスプロバイダエンティティによって、不成功応答を前記ネットワーク機能サービスコンシューマエンティティへ送信することを更に有する、
請求項4に記載の方法。 - 前記ネットワークリポジトリ機能ネットワーク要素によって検証により、前記第1情報が前記第2情報と一致することを決定した場合に、当該方法は、前記トークンを生成することを更に有する、
請求項1乃至5のうちいずれか一項に記載の方法。 - ネットワーク機能サービスプロバイダエンティティによって、ネットワーク機能サービスコンシューマエンティティからサービス要求を受信することであり、前記サービス要求はトークン及びアサーションを含み、前記トークンは第1NFインスタンスIDを含み、前記アサーションは第2NFインスタンスIDを含む、前記受信することと、
検証により、前記第1NFインスタンスIDが前記第2NFインスタンスIDと一致することを決定した後、前記ネットワーク機能サービスプロバイダエンティティによって、サービス応答を前記ネットワーク機能サービスコンシューマエンティティへ送信することと
を有する処理方法。 - 当該方法は、
検証により、前記第1NFインスタンスIDが前記第2NFインスタンスIDと一致しないことを決定した場合に、前記ネットワーク機能サービスプロバイダエンティティによって、不成功応答を前記ネットワーク機能サービスコンシューマエンティティへ送信することを更に有する、
請求項7に記載の方法。 - ネットワーク機能サービスコンシューマエンティティからトークン要求を受信するよう構成されるトランシーバユニットであり、前記トークン要求は、前記ネットワーク機能サービスコンシューマエンティティの第1情報を運ぶ、前記トランシーバユニットと、
前記ネットワーク機能サービスコンシューマエンティティの証明書を取得し、前記証明書が第2情報を含み、検証により、前記第1情報が前記第2情報と一致するかどうかを決定するよう構成される処理ユニットと
を有し、
前記トランシーバユニットは、検証により前記第1情報が前記第2情報と一致すると決定された後、トークンを前記ネットワーク機能サービスコンシューマエンティティへ送信するよう更に構成される、
通信装置。 - 前記第1情報は第1ネットワーク機能タイプを含み、前記第2情報は第2ネットワーク機能タイプを含む、
請求項9に記載の装置。 - 前記トランシーバユニットは、前記処理ユニットが、検証により、前記第1情報が前記第2情報と一致しないと決定する場合に、不成功応答を前記ネットワーク機能サービスコンシューマエンティティへ送信するよう更に構成される、
請求項9又は10に記載の装置。 - 検証により前記第1情報が前記第2情報と一致すると決定した後、前記処理ユニットは、前記トークンを生成するよう更に構成される、
請求項9乃至11のうちいずれか一項に記載の装置。 - ネットワーク機能サービスコンシューマエンティティからサービス要求を受信するよう構成されるトランシーバユニットであり、前記サービス要求はトークン及びアサーションを含み、前記トークンは第1NFインスタンスIDを含み、前記アサーションは第2NFインスタンスIDを含む、前記トランシーバユニットと、
検証により、前記第1NFインスタンスIDが前記第2NFインスタンスIDと一致するかどうかを決定するよう構成される処理ユニットと
を有し、
前記トランシーバユニットは、前記処理ユニットが、検証により、前記第1NFインスタンスIDが前記第2NFインスタンスIDと一致すると決定した後、サービス応答を前記ネットワーク機能サービスコンシューマエンティティへ送信するよう更に構成される、
通信装置。 - 前記トランシーバユニットは、前記処理ユニットが、検証により、前記第1NFインスタンスIDが前記第2NFインスタンスIDと一致しないと決定する場合に、不成功応答を前記ネットワーク機能サービスコンシューマエンティティへ送信するよう更に構成される、
請求項13に記載の装置。 - 第1ネットワーク要素によって第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信することであり、前記第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、前記ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、前記アサーションは、前記ネットワーク機能サービスコンシューマエンティティの証明書を含み、前記証明書は、前記ネットワーク機能サービスコンシューマエンティティの第2情報を含む、前記送信することと、
前記ネットワークリポジトリ機能ネットワーク要素によって前記第1トークン要求を受信し、検証により、前記第1情報が前記第2情報と一致するかどうかを決定し、前記第1情報が前記第2情報と一致することを決定した後、トークンを生成し、前記トークンを前記第1ネットワーク要素へ送信することと、
前記第1ネットワーク要素によって前記トークンを受信することと
を有するサービス認証方法。 - 当該方法は、
前記トークンを受信した後、前記第1ネットワーク要素によって第1サービス要求をネットワーク機能サービスプロバイダエンティティへ送信することであり、前記第1サービス要求は、前記ネットワーク機能サービスコンシューマエンティティにサービスを提供することを前記ネットワーク機能サービスプロバイダエンティティに要求するためのものであり、前記第1サービス要求は前記トークン及び前記アサーションを含み、前記トークンは第1ネットワーク機能インスタンス識別子を含み、前記アサーションは第2ネットワーク機能インスタンス識別子を更に含む、ことと、
前記ネットワーク機能サービスプロバイダエンティティによって前記第1サービス要求を受信し、検証により、前記第1ネットワーク機能インスタンス識別子が前記第2ネットワーク機能インスタンス識別子と同じであるかどうかを決定し、前記第1ネットワーク機能インスタンス識別子が前記第2ネットワーク機能インスタンス識別子と同じであると決定した後、前記ネットワーク機能サービスコンシューマエンティティに前記サービスを提供することと
を更に有する、
請求項15に記載の方法。 - 前記第1ネットワーク要素はサービス通信プロキシネットワーク要素であり、
前記第1ネットワーク要素によって前記第1トークン要求を前記ネットワークリポジトリ機能ネットワーク要素へ送信することの前に、当該方法は、
前記サービス通信プロキシネットワーク要素によって、前記ネットワーク機能サービスコンシューマエンティティから第2トークン要求又は第2サービス要求を受信することであり、前記第2トークン要求又は前記第2サービス要求は前記証明書を含む、ことと、
前記サービス通信プロキシネットワーク要素によって、前記証明書に関連する第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子を取得し、前記第1FQDNが前記第3ネットワーク機能インスタンス識別子と一致することを決定することと
を更に有する、
請求項15又は16に記載の方法。 - 前記第1ネットワーク要素は前記ネットワーク機能サービスコンシューマエンティティであり、
前記第1ネットワーク要素によって前記第1サービス要求を前記ネットワーク機能サービスプロバイダエンティティへ送信することは、
前記ネットワーク機能サービスコンシューマエンティティによって、前記第1サービス要求を、前記サービス通信プロキシネットワーク要素を使用することによって前記ネットワーク機能サービスプロバイダエンティティへ送信することであり、前記第1サービス要求は前記証明書を含む、ことと、
前記サービス通信プロキシネットワーク要素によって、前記第1ネットワーク要素から前記第1サービス要求を受信し、前記第1サービス要求を受信した後、前記証明書に関連する第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子を取得し、前記第1FQDNが前記第3ネットワーク機能インスタンス識別子と一致すると決定した後、前記第1サービス要求を前記ネットワーク機能サービスプロバイダエンティティへ送信することと
を有する、
請求項16に記載の方法。 - 前記ネットワークリポジトリ機能ネットワーク要素によって前記第1トークン要求を受信した後、かつ、前記トークンを前記第1ネットワーク要素へ送信する前に、当該方法は、
前記ネットワークリポジトリ機能ネットワーク要素によって、前記証明書に関連する前記第1完全修飾ドメイン名FQDN及び前記第3ネットワーク機能インスタンス識別子を取得し、前記第1FQDNが前記第3ネットワーク機能インスタンス識別子と一致すること及び前記第1情報が前記第2情報と一致することを決定することを更に有する、
請求項17又は18に記載の方法。 - 前記ネットワークリポジトリ機能ネットワーク要素によって検証により、前記第1情報が前記第2情報と一致するかどうかを決定することは、
前記第1情報が前記第2情報と同じである場合に、前記第1情報が前記第2情報と一致すると決定すること、又は
前記第1情報が前記第2情報のサブセットであると決定する場合に、前記第1情報が前記第2情報と一致すると決定すること
を有する、
請求項15乃至19のうちいずれか一項に記載の方法。 - ネットワークリポジトリ機能ネットワーク要素に適用されるサービス認証方法であって、
第1ネットワーク要素から第1トークン要求を受信することであり、前記第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、前記ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、前記アサーションは、前記ネットワーク機能サービスコンシューマエンティティの証明書を含み、前記証明書は、前記ネットワーク機能サービスコンシューマエンティティの第2情報を含む、前記受信することと、
検証により、前記第1情報が前記第2情報と一致するかどうかを決定し、前記第1情報が前記第2情報と一致すると決定した後、トークンを生成し、前記トークンを前記第1ネットワーク要素へ送信することと
を有する方法。 - 前記第1トークン要求を受信した後、かつ、前記トークンを前記第1ネットワーク要素へ送信する前に、当該方法は、
前記証明書に関連する第1FQDN及び第3ネットワーク機能インスタンス識別子を取得することと、
前記第1FQDNが前記第3ネットワーク機能インスタンス識別子と一致すること及び前記第1情報が前記第2情報と一致することを決定することと
を更に有する、
請求項21に記載の方法。 - 検証により、前記第1情報が前記第2情報と一致するかどうかを決定することは、
前記第1情報が前記第2情報と同じである場合に、前記第1情報が前記第2情報と一致すると決定すること、又は
前記第1情報が前記第2情報のサブセットであると決定する場合に、前記第1情報が前記第2情報と一致すると決定すること
を有する、
請求項21又は22に記載の方法。 - 第1ネットワーク要素に適用されるサービス認証方法であって、
第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信することであり、前記第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、前記ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、前記アサーションは、前記ネットワーク機能サービスコンシューマエンティティの証明書を含み、前記証明書は、前記ネットワーク機能サービスコンシューマエンティティの第2情報を含む、ことと、
前記ネットワークリポジトリ機能ネットワーク要素からトークンを受信することと
を有する方法。 - 前記トークンを受信した後、当該方法は、
第1サービス要求を前記ネットワーク機能サービスプロバイダエンティティへ送信することであり、前記第1サービス要求は前記トークン及び前記アサーションを含み、前記トークンは第1ネットワーク機能インスタンス識別子を含み、前記アサーションは第2ネットワーク機能インスタンス識別子を更に含む、ことを更に有し、
前記第1サービス要求は、前記ネットワーク機能サービスコンシューマエンティティにサービスを提供することを前記ネットワーク機能サービスプロバイダエンティティに要求するためのものである、
請求項24に記載の方法。 - 前記第1ネットワーク要素はサービス通信プロキシネットワーク要素であり、
前記第1トークン要求を前記ネットワークリポジトリ機能ネットワーク要素へ送信する前に、当該方法は、
前記ネットワーク機能サービスコンシューマエンティティから第2トークン要求又は第2サービス要求を受信することであり、前記第2トークン要求又は前記第2サービス要求は前記証明書を含む、ことと、
前記証明書に関連する第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子を取得することと、
前記第1FQDNが前記第3ネットワーク機能インスタンス識別子と一致することを決定することと
を更に有する、
請求項24又は25に記載の方法。 - ネットワーク機能サービスプロバイダエンティティに適用されるサービス認証方法であって、
第1ネットワーク要素から第1サービス要求を受信することであり、前記第1サービス要求はトークン及びアサーションを含み、前記トークンは前記第1ネットワーク機能インスタンス識別子を含み、前記アサーションは第2ネットワーク機能インスタンス識別子を含む、前記受信することと、
検証により、前記第1ネットワーク機能インスタンス識別子が前記第2ネットワーク機能インスタンス識別子と一致するかどうかを決定することと、
前記第1ネットワーク機能インスタンス識別子が前記第2ネットワーク機能インスタンス識別子と一致すると決定した後、前記ネットワーク機能サービスコンシューマエンティティに前記サービスを提供することと
を有する方法。 - 第1ネットワーク要素から第1トークン要求を受信するよう構成されるトランシーバユニットであり、前記第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、前記ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、前記アサーションは、前記ネットワーク機能サービスコンシューマエンティティの証明書を含み、前記証明書は、前記ネットワーク機能サービスコンシューマエンティティの第2情報を含む、前記トランシーバユニットと、
検証により、前記第1情報が前記第2情報と一致するかどうかを決定し、前記第1情報が前記第2情報と一致すると決定した後、トークンを生成するよう構成される処理ユニットと
を有し、
前記トランシーバユニットは、前記トークンを前記第1ネットワーク要素へ送信する要更に構成される、
通信装置。 - 前記トランシーバユニットが前記第1トークン要求を受信した後、かつ、前記トランシーバユニットが前記トークンを前記第1ネットワーク要素へ送信する前に、前記処理ユニットは、
前記証明書に関連する第1FQDN及び第3ネットワーク機能インスタンス識別子を取得し、
前記第1FQDNが前記第3ネットワーク機能インスタンス識別子と一致すること及び前記第1情報が前記第2情報と一致することを決定する
よう更に構成される、
請求項28に記載の装置。 - 検証により、前記第1情報が前記第2情報と一致するかどうかを決定するよう構成される場合に、前記処理ユニットは、
前記第1情報が前記第2情報と同じである場合に、前記第1情報が前記第2情報と一致すると決定するか、又は
前記第1情報が前記第2情報のサブセットであると決定する場合に、前記第1情報が前記第2情報と一致すると決定する
よう特に構成される、
請求項28又は29に記載の装置。 - 第1トークン要求を生成するよう構成される処理ユニットであり、前記第1トークン要求は、ネットワーク機能サービスコンシューマエンティティの第1情報と、前記ネットワーク機能サービスコンシューマエンティティのアサーションとを含み、前記アサーションは、前記ネットワーク機能サービスコンシューマエンティティの証明書を含み、前記証明書は、前記ネットワーク機能サービスコンシューマエンティティの第2情報を含む、前記処理ユニットと、
前記第1トークン要求をネットワークリポジトリ機能ネットワーク要素へ送信し、前記ネットワークリポジトリ機能ネットワーク要素からトークンを受信するよう構成されるトランシーバユニットと
を有する通信装置。 - 前記トークンを受信した後、前記トランシーバユニットは、
第1サービス要求を前記ネットワーク機能サービスプロバイダエンティティへ送信するよう更に構成され、前記第1サービス要求は前記トークン及び前記アサーションを含み、前記トークンは第1ネットワーク機能インスタンス識別子を含み、前記アサーションは第2ネットワーク機能インスタンス識別子を更に含み、
前記第1サービス要求は、前記ネットワーク機能サービスコンシューマエンティティにサービスを提供することを前記ネットワーク機能サービスプロバイダエンティティに要求するためのものである、
請求項31に記載の装置。 - 前記第1ネットワーク要素はサービス通信プロキシネットワーク要素であり、
前記第1トークン要求を前記ネットワークリポジトリ機能ネットワーク要素へ送信する前に、前記トランシーバユニットは、
前記ネットワーク機能サービスコンシューマエンティティから第2トークン要求又は第2サービス要求を受信するよう更に構成され、前記第2トークン要求又は前記第2サービス要求は前記証明書を含み、
前記処理ユニットは、前記証明書に関連する第1完全修飾ドメイン名FQDN及び第3ネットワーク機能インスタンス識別子を取得し、前記第1FQDNが前記第3ネットワーク機能インスタンス識別子と一致することを決定するよう更に構成される、
請求項31又は32に記載の装置。 - 第1ネットワーク要素から第1サービス要求を受信するよう構成されるトランシーバユニットであり、前記第1サービス要求はトークン及びアサーションを含み、前記トークンは第1ネットワーク機能インスタンス識別子を含み、前記アサーションは第2ネットワーク機能インスタンス識別子を含む、前記トランシーバユニットと、
検証により、前記第1ネットワーク機能インスタンス識別子が前記第2ネットワーク機能インスタンス識別子と一致するかどうかを決定し、前記第1ネットワーク機能インスタンス識別子が前記第2ネットワーク機能インスタンス識別子と一致すると決定した後、前記ネットワーク機能サービスコンシューマエンティティに前記サービスを提供するよう構成される処理ユニットと
を有する通信装置。 - 請求項28に記載の通信装置と
請求項31に記載の通信装置と
を有するサービス認証システム。 - 当該システムは、
請求項34に記載の通信装置を更に有する、
請求項35に記載のシステム。 - プログラム又は命令を有し、
前記プログラム又は前記命令がコンピュータで実行されると、請求項1乃至6、請求項7及び8、請求項21乃至23、請求項24乃至26、又は請求項27のうちいずれか一項に記載の方法が実行される、
コンピュータ可読記憶媒体。 - メモリへ結合され、該メモリに記憶されているプログラム命令を読み出して実行して、請求項1乃至6、請求項7及び8、請求項21乃至23、請求項24乃至26、又は請求項27のうちいずれか一項に記載の方法を実施するよう構成されるチップ。
- 前記第1情報は、次の、第1公衆地上移動体ネットワーク識別子、第1スタンドアロン非公衆ネットワーク識別子、第1単一ネットワークスライス選択支援情報識別子、前記第1ネットワーク機能インスタンス識別子、第2ネットワーク機能タイプ、第1ネットワーク機能セット、及び第1統一資源識別子、のうちの1つ以上を含み、
前記第2情報は、次の、第2公衆地上移動体ネットワーク識別子、第2スタンドアロン非公衆ネットワーク識別子、第2単一ネットワークスライス選択支援情報識別子、前記第3ネットワーク機能インスタンス識別子、第2ネットワーク機能タイプ、第2ネットワーク機能セット、及び第2統一資源識別子、のうちの1つ以上を含む、
請求項15乃至20のうちいずれか一項に記載の方法、又は請求項28乃至34のうちいずれか一項に記載の装置、又は請求項35及び36のうちいずれか一項に記載のシステム。 - 請求項9乃至12のうちいずれか一項に記載の通信装置と、
請求項13又は14に記載の通信装置と
を有するサービス認証システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011197519.5 | 2020-10-30 | ||
| CN202011197519.5A CN114528540A (zh) | 2020-10-30 | 2020-10-30 | 一种服务授权方法、通信装置及系统 |
| PCT/CN2021/125200 WO2022089290A1 (zh) | 2020-10-30 | 2021-10-21 | 一种服务授权方法、通信装置及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2023547926A true JP2023547926A (ja) | 2023-11-14 |
Family
ID=81381912
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2023526336A Pending JP2023547926A (ja) | 2020-10-30 | 2021-10-21 | サービス認証方法、通信装置、及びシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20230262459A1 (ja) |
| EP (1) | EP4224346A4 (ja) |
| JP (1) | JP2023547926A (ja) |
| KR (1) | KR20230096062A (ja) |
| CN (1) | CN114528540A (ja) |
| WO (1) | WO2022089290A1 (ja) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2021234028A1 (en) * | 2020-05-20 | 2021-11-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Service request handling |
| FI129556B (en) * | 2021-01-13 | 2022-04-29 | Nokia Technologies Oy | Handling an error in a network function call |
| US11630922B2 (en) * | 2021-09-23 | 2023-04-18 | Rockwell Automation Technologies, Inc. | Counterfeit hardware detection techniques |
| CN117318948A (zh) * | 2022-06-20 | 2023-12-29 | 华为技术有限公司 | 通信方法和装置 |
| CN117858087A (zh) * | 2022-09-30 | 2024-04-09 | 中国移动通信有限公司研究院 | 信息传输方法、装置、设备及存储介质 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20060083262A1 (en) * | 2004-10-14 | 2006-04-20 | Utstarcom, Inc. | Method and apparatus to facilitate use of a pool of internet protocol 6to4 address prefixes |
| US11075819B2 (en) * | 2014-08-07 | 2021-07-27 | Ca, Inc. | Identifying unauthorized changes to network elements and determining the impact of unauthorized changes to network elements on network services |
| US10963553B2 (en) * | 2018-02-15 | 2021-03-30 | Nokia Technologies Oy | Security management for service authorization in communication systems with service-based architecture |
| CN110519074B (zh) * | 2018-05-22 | 2022-04-12 | 华为技术有限公司 | 一种服务区域管理方法及装置 |
| CN110650029B (zh) * | 2018-06-26 | 2021-05-18 | 华为技术有限公司 | 一种配置方法及装置 |
| CN111435932B (zh) * | 2019-01-14 | 2021-10-01 | 华为技术有限公司 | 一种令牌处理方法及装置 |
-
2020
- 2020-10-30 CN CN202011197519.5A patent/CN114528540A/zh active Pending
-
2021
- 2021-10-21 EP EP21885017.0A patent/EP4224346A4/en active Pending
- 2021-10-21 WO PCT/CN2021/125200 patent/WO2022089290A1/zh active Application Filing
- 2021-10-21 KR KR1020237017881A patent/KR20230096062A/ko active Search and Examination
- 2021-10-21 JP JP2023526336A patent/JP2023547926A/ja active Pending
-
2023
- 2023-04-28 US US18/309,530 patent/US20230262459A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| KR20230096062A (ko) | 2023-06-29 |
| EP4224346A1 (en) | 2023-08-09 |
| WO2022089290A1 (zh) | 2022-05-05 |
| CN114528540A (zh) | 2022-05-24 |
| US20230262459A1 (en) | 2023-08-17 |
| EP4224346A4 (en) | 2024-03-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2023547926A (ja) | サービス認証方法、通信装置、及びシステム | |
| US11134105B2 (en) | Method and apparatus for providing a profile | |
| US10346147B2 (en) | Method and apparatus for providing a profile | |
| KR102398221B1 (ko) | 무선 직접통신 네트워크에서 비대칭 키를 사용하여 아이덴티티를 검증하기 위한 방법 및 장치 | |
| KR102492203B1 (ko) | 기기간 통신 네트워크에서의 자동화된 서비스 등록 | |
| KR102094216B1 (ko) | 이동 통신 시스템 환경에서 프락시미티 기반 서비스 단말 간 발견 및 통신을 지원하기 위한 보안 방안 및 시스템 | |
| US11989543B2 (en) | Method for interoperating between bundle download process and eSIM profile download process by SSP terminal | |
| US11831736B2 (en) | System and methods for service layer cache management | |
| JP2022541760A (ja) | コアネットワークドメインにおける証明書ハンドリングのための技法 | |
| CN113709736B (zh) | 网络认证方法及装置、系统 | |
| WO2018045983A1 (zh) | 信息处理方法、装置以及网络系统 | |
| US20200128392A1 (en) | Methods for automatic bootstrapping of a device | |
| CN109891921B (zh) | 下一代系统的认证的方法、装置和计算机可读存储介质 | |
| EP4226663A1 (en) | Relay ue and remote ue authorization | |
| CN115699678A (zh) | 设备注销的方法、设备注册的方法、通信设备和云平台 | |
| WO2021099675A1 (en) | Mobile network service security management | |
| CN114301788A (zh) | 一种切片管理方法、装置及通信设备 | |
| CN112887965A (zh) | 发送用户标识的方法和装置 | |
| US20230030315A1 (en) | Network Security | |
| JP7428265B2 (ja) | 通信端末及びその方法 | |
| WO2022116695A1 (zh) | 发送用户标识的方法和装置 | |
| TW202245442A (zh) | 一種通訊方法及裝置 | |
| WO2015135269A1 (zh) | 业务发现及鉴权方法、设备、终端、系统及计算机存储介质 | |
| WO2021079023A1 (en) | Inter-mobile network communication security | |
| CN116114282A (zh) | 一种注册方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230529 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20230529 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20240514 |