JP2023548370A - 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体 - Google Patents

受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体 Download PDF

Info

Publication number
JP2023548370A
JP2023548370A JP2023527034A JP2023527034A JP2023548370A JP 2023548370 A JP2023548370 A JP 2023548370A JP 2023527034 A JP2023527034 A JP 2023527034A JP 2023527034 A JP2023527034 A JP 2023527034A JP 2023548370 A JP2023548370 A JP 2023548370A
Authority
JP
Japan
Prior art keywords
network
network node
message
identifier
rate
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023527034A
Other languages
English (en)
Other versions
JPWO2022098404A5 (ja
Inventor
ラジプット,ジャイ
マハランク,シャシキラン・バラチャンドラ
ジェイン,アミット
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US17/129,487 external-priority patent/US11528251B2/en
Priority claimed from US17/134,635 external-priority patent/US11943616B2/en
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2023548370A publication Critical patent/JP2023548370A/ja
Publication of JPWO2022098404A5 publication Critical patent/JPWO2022098404A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/822Collecting or measuring resource availability data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体について開示する。1つの方法は、第1のネットワークの第1のネットワークノードにおいて実行され、第2のネットワークの第2のネットワークノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、第2のネットワークノードまたは第2のネットワークを識別する識別子を取得することと、第2のネットワークノードまたは第2のネットワークからリクエストメッセージを受信することと、識別子を利用して、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することと、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、レート制限動作を実行することとを含む。

Description

優先権の主張
本願は、2020年12月28日に出願された米国特許出願第17/134,635号、2020年12月21日に出願された米国特許出願第17/129,487号、2020年11月13日に出願されたインド仮出願第202041049614号、および2020年11月6日に出願されたインド仮出願第202041048552号の優先権の利益を主張するものであり、これらのすべての開示内容を引用により本明細書に援用する。
技術分野
本明細書において説明する主題は、5G通信ネットワークにおけるセキュリティを向上させることに関する。特に、本明細書において説明する主題は、受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体に関する。
背景
5G電気通信ネットワークでは、サービスを提供するネットワークノードは、プロデューサーNF(ネットワーク機能)と称される。サービスを利用するネットワークノードは、コンシューマーNFと称される。ネットワーク機能は、サービスを利用しているかサービスを提供しているかに応じて、プロデューサーNFにもコンシューマーNFにもなり得る。
所与のプロデューサーNFは、多くのサービスエンドポイントを有し得る。ここで、サービスエンドポイントとは、プロデューサーNFがホストする1つ以上のNFインスタンスの接続ポイントである。サービスエンドポイントは、IP(インターネットプロトコル)アドレスとポート番号との組合せ、またはプロデューサーNFをホストするネットワークノード上のIPアドレスおよびポート番号に変換される完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサーNFのインスタンスである。所与のプロデューサーNFは、2つ以上のNFインスタンスを含み得る。なお、複数のNFインスタンスが同じサービスエンドポイントを共有できる。
プロデューサーNFは、NRF(Network Function Repository Function)に登録される。NRFは、各NFインスタンスがサポートするサービスを識別する利用可能なNFインスタンスのサービスプロファイルを保持する。コンシューマーNFは、NRFに登録されているプロデューサーNFインスタンスについての情報を受信するようにサブスクライブできる。コンシューマーNFに加えて、NFサービスインスタンスについての情報を受信するようにサブスクライブできる別の種類のネットワークノードは、SCP(Service Communications Proxy)である。SCPは、NRFを介してサブスクライブし、プロデューサーNFサービスインスタンスに関するリーチャビリティとサービスプロファイル情報とを取得する。コンシューマーNFは、Service Communications Proxyに接続し、Service Communications Proxyは、要求されたサービスを提供するプロデューサーNFサービスインスタンス間でトラフィックの負荷を分散する、または、宛先であるプロデューサーNFインスタンスにトラフィックを直接ルーティングする。
SCPに加えて、プロデューサーNFとコンシューマーNFとの間でトラフィックをルーティング中間プロキシノードまたはネットワークノード群のその他の例として、SEPP(セキュリティエッジ保護プロキシ)、サービスゲートウェイ、および5Gサービスメッシュにあるノードなどが挙げられる。SEPPは、異なる5G PLMN(公衆陸上移動体通信網)間で交換されるコントロールプレーンのトラフィックを保護するために用いられるネットワークノードである。このように、SEPPは、すべてのAPI(Application Programming Interfaceメッセージについてメッセージフィルタリング、ポリシング、およびトポロジ隠蔽を実行する。
しかしながら、1つ以上のNFにおけるセキュリティ対策の改善が必要とされている。
概要
受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体について開示する。受信メッセージレート制限のための1つの例示的な方法は、第1のネットワークの第1のネットワークノードにおいて実行され、第2のネットワークの第2のネットワークノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、第2のネットワークノードまたは第2のネットワークを識別する識別子を取得することと、第2のネットワークノードまたは第2のネットワークからリクエストメッセージを受信することと、識別子を利用して、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することと、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、レート制限動作を実行することとを含む。
受信メッセージレート制限のための1つの例示的なシステムは、少なくとも1つのプロセッサと、メモリとを備える、第1のネットワークの第1のネットワークノードを備える。第1のノードは、第2のネットワークの第2のネットワークノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、第2のネットワークノードまたは第2のネットワークを識別する識別子を取得し、第2のネットワークノードまたは第2のネットワークからリクエストメッセージを受信し、識別子を利用して、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断し、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、レート制限動作を実行するように構成される。
1つの例示的な非一時的なコンピュータ読み取り可能な媒体は、コンピュータにより実行可能な命令を含み、非一時的なコンピュータ読み取り可能な媒体に含まれる当該コンピュータにより実行可能な命令は、少なくとも1つのコンピュータの少なくとも1つのプロセッサによって実行されると、当該少なくとも1つのコンピュータにステップを実行させ、当該ステップは、第1のネットワークの第1のネットワークノードにおいて、第2のネットワークの第2のネットワークノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、第2のネットワークノードまたは第2のネットワークを識別する識別子を取得するステップと、第2のネットワークノードまたは第2のネットワークからリクエストメッセージを受信するステップと、識別子を利用して、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断するステップと、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、レート制限動作を実行するステップとを含む。
本明細書において説明する主題の態様によると、TLSメッセージから識別子を取得することは、TLSメッセージに含まれる証明書(たとえば、X.509v3証明書)から識別子を取得することを含んでもよい。たとえば、TLSメッセージにあるX.509v3証明書は、送信者のアイデンティティに対応付けられたFQDNを含むサブジェクトフィールドまたはサブジェクトの別名フィールドを含んでもよい。この例では、FQDNは、ネットワークノード識別子またはネットワーク識別子を含むまたは表してもよく、たとえば、ネットワーク識別子は、「5gc.mnc<MNC>.mcc<MCC>.3gpp(登録商標)network.org」のようなフォーマットで格納されてもよい。ここで、「<MNC>」および「<MCC>」フィールドは、事業者のPLMNのMNCおよびMCCに対応する。
本明細書において説明する主題の態様によると、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することは、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートを取得することと、第2のネットワークノードまたは第2のネットワークに対応付けられた現在の受信メッセージレートを取得することと、現在の受信メッセージレートが許容受信メッセージレートを満たすまたは上回ると判断するために現在の受信メッセージレートと許容受信メッセージレートとを比較することとを含んでもよい。
本明細書において説明する主題の態様によると、第2のネットワークノードまたは第2のネットワークに対応付けられた現在の受信メッセージレートを取得することは、第2のネットワークにある複数のSEPPのメッセージレートを追跡または導出して、第2のネットワークに対応付けられた現在の受信レートを判断することを含んでもよい。たとえば、レート制限が送信元のネットワーク識別子に基づくと仮定すると、SEPP126は、複数のN32-fインタフェース接続をまたいで受信メッセージレートを追跡してもよく、同じネットワーク識別子に対応付けられた複数のSEPPの受信メッセージレートを複合してもよく、ネットワーク識別子に対応付けられた複合受信メッセージレートをネットワーク識別子に対応付けられた所定の許容受信メッセージレートと比較してもよい。
本明細書において説明する主題の態様によると、レート制限動作は、リクエストメッセージを破棄すること、メッセージの一部を破棄するためにスロットルレートを生成もしくは変更すること、または、ネットワーク事業者または管理システムに通知することを含んでもよい。
本明細書において説明する主題は、ハードウェア、ソフトウェア、ファームウェア、または、それらの任意の組合せで実現されてもよい。このように、「機能」、「ノード」、または「モジュール」という用語は、本明細書において用いられる場合、記載の特徴を実現するためのハードウェア(ソフトウェアおよび/またはファームウェアコンポーネントも含んでもよい)を指す。一例示的な実施態様では、本明細書において説明する主題は、コンピュータにより実行可能な命令を記憶したコンピュータ読み取り可能な媒体を用いて実現されてもよい。当該命令は、コンピュータのプロセッサによって実行されると、本発明のいずれか1つ以上のステップを実行させるようにコンピュータを制御する。本明細書において説明する主題を実現するのに適した例示的なコンピュータ読み取り可能な媒体として、ディスク記憶装置、チップ記憶装置、プログラム可能な論理回路、および特定用途向け集積回路など、非一時的なコンピュータ読み取り可能な媒体などが挙げられる。これに加えて、本明細書において説明する主題を実現するコンピュータ読み取り可能な媒体は、1つのデバイスまたは1つのコンピューティングプラットフォーム上に位置してもよいし、複数のデバイスまたは複数のコンピューティングプラットフォーム間で分散されてもよい。これに加えて、本明細書において説明する主題を実現するコンピュータ読み取り可能な媒体は、1つのデバイスまたは1つのコンピューティングプラットフォーム上に位置してもよいし、複数のデバイスまたは複数のコンピューティングプラットフォーム間で分散されてもよい。
ここで、添付の図面を参照して本明細書において説明する主題について説明する。
例示的な5Gネットワークアーキテクチャを示すネットワーク図である。 TLS(トランスポートレイヤーセキュリティ)を用いたN32-fインタフェース接続を示す図である。 受信メッセージレート制限のための例示的なノードを示す図である。 N32-fインタフェースに関連するTLSハンドシェイクを示すメッセージフロー図である。 例示的なメッセージレート関連データを示す図である。 受信メッセージレート制限の例を示すメッセージフロー図である。 受信メッセージレート制限のための例示的な工程を示すフローチャートである。
詳細な説明
本明細書において説明する主題の様々な実施の形態について、今から詳細に説明し、その例を添付の図面に示す。可能な限り、同一の要素には同一の参照番号を付す。可能な限り図面全体で同じまたは同一の部品には同じ参照番号を付す。
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じHPLMN(ホーム側公衆陸上移動体通信網)に位置し得るNRF100とSCP101とを備える。上述したように、NRF100は、利用可能なプロデューサーNFサービスインスタンスのプロファイルおよびこれらがサポートするサービスを保持し、コンシューマーNFまたはSCPが新しい/更新されたプロデューサーNFサービスインスタンスをサブスクライブすることまたは新しい/更新されたプロデューサーNFサービスインスタンスの登録について通知されることを可能にする。また、SCP101は、サービス検出およびプロデューサーNFインスタンスの選択をサポートし得る。SCP101は、コンシューマーNFとプロデューサーNFとの接続の負荷分散を行い得る。これに加えて、本明細書に記載の技法を用いて、SCP101は、NFの位置に基づいた、好ましい選択およびルーティングを行い得る。
NRF100は、NFまたはプロデューサーNFインスタンスのサービスプロファイルのリポジトリである。プロデューサーNFインスタンスと通信を行うために、コンシューマーNFまたはSCPは、NFもしくはサービスプロファイル、またはプロデューサーNFインスタンスをNRF100から取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標)(Third Generation Partnership Project)TS(技術仕様書)29.510で規定されたJSON(JavaScript(登録商標) Object Notation)データ構造である。NFまたはサービスプロファイルの規定は、FQDN(完全修飾ドメイン名)、IPv4(IP(インターネットプロトコル)バージョン4)アドレスまたはIPv6(IPバージョン6)アドレスのうち、少なくとも1つを含む。図1では、すべてのノード(NRF100以外)は、要求側サービスであるか提供側サービスであるかに応じて、コンシューマーNFまたはプロデューサーNFのいずれかであり得る。図示した例では、これらのノードは、ネットワークにおけるポリシー関連の操作を実行するPCF(Policy Control Function)102と、ユーザデータを管理するUDM(User Data Management)機能104、アプリケーションサービスを提供するAF(Application Function)106とを含む。図1に示すノードは、AMF(Access And Mobility Management Function)110とPCF102との間のセッションを管理するSMF(Session Management Function)108をさらに含む。AMF110は、4GネットワークにおいてMME(Mobility Management Entity)が実行するモビリティ管理操作と同様のモビリティ管理操作を実行する。AUSF(Authentication Server Function)112は、ネットワークにアクセスしたいUE(ユーザ機器)114など、UE(ユーザ機器)の認証サービスを実行する。
NSSF(Network Slice Selection Function)116は、ネットワークスライスに関連する特定のネットワーク機能および特性にアクセスしたいデバイスのためのネットワークスライシングサービスを提供する。NEF(Network Exposure Function)118は、ネットワークにアタッチされているIoT(Internet of things)デバイスおよびその他のUEについての情報を取得したいアプリケーション機能のためのAPI(Application Programming Interface)を提供する。NEF118は、4GネットワークにおけるSCEF(Service Capability Exposure Function)と同様の機能を実行する。
RAN(無線アクセスネットワーク)120は、ワイヤレスリンクを経由してUE(ユーザ機器)114をネットワークに接続する。無線アクセスネットワーク120には、gNB(g-NodeB)(図1に図示せず)またはその他のワイヤレスアクセスポイントを用いてアクセスされ得る。UPF(User Plane Function)122は、ユーザプレーンサービスに関する様々なプロキシ機能をサポートできる。このようなプロキシ機能の一例は、MPTCP(Multipath Transmission Control Protocol)プロキシ機能である。UPF122は、パフォーマンス測定機能もサポートし得る。パフォーマンス測定機能は、ネットワーク性能の測定値を取得するためにUE114によって用いられ得る。図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするDN(データネットワーク)124も示されている。
SEPP(Security Edge Protection Proxy)126は、別のPLMNからの受信トラフィックをフィルタリングし、ホーム側PLMNから出るトラフィックのトポロジ隠蔽を実行する。SEPP126は、外部PLMNのセキュリティを管理する、外部PLMNにあるSEPPと通信し得る。よって、それぞれ異なるPLMNにおけるNF間のトラフィックは、ホーム側PLMNのためのSEPP機能および外部PLMNのためのSEPP機能という2つのSEPP機能を横断し得る。
SEPP126は、N32-cインタフェースと、N32-fインタフェースとを利用し得る。N32-cインタフェースは、最初のハンドシェイク(たとえば、TLSハンドシェイク)を実行するためと、N32-fインタフェース接続および関連するメッセージ転送に関する様々なパラメータをネゴシエーションするために使用できる2つのSEPP間のコントロールプレーンのインタフェースである。N32-fインタフェースは、アプリケーションレベルのセキュリティ保護を適用した後にコンシューマーNFとプロデューサーNFとの間で様々な情報(たとえば、5GCリクエスト)を転送するために使用できる2つのSEPP間の転送インタフェースである。
一般に、SEPP間のN32-fインタフェース接続は、TLS保護モードを利用するが、SEPP間で1つ以上のIP交換がある場合は、PRINSベースの保護モードを利用する場合がある。PRINSベースの保護モードを用いたN32-fインタフェース接続をセットアップする際は、ハンドシェイク手順の一部としてN32-fコンテキスト識別子が作成されるが、TLS保護モードを用いたN32-fインタフェース接続をセットアップする際は、N32-fコンテキスト識別子は作成されない。さらには、TLS保護モードを用いたN32-fインタフェース接続を介して送られた転送メッセージは、HTTP/2メッセージであり、送信元SEPPのアイデンティティを含んでいない可能性がある。
既存の5Gアーキテクチャの潜在的な問題は、外部PLMNにあるSEPPが、ホームPLMNにある別のSEPPにかなりの数のPLMN間メッセージを送ることによってシグナリングストームを生じさせてしまう可能性がある点である。受信側SEPPまたはホームPLMNがグローバルメッセージレート制限手順を開始してシグナリングストームによる影響を抑制または軽減できる一方で、グローバルメッセージレート制限は、シグナリングストームの原因ではないまたはシグナリングストームに関連しないネットワークまたはSEPPSからのメッセージを破棄できる。
図2は、TLSを用いたN32-fインタフェース接続を示す図である。図2では、SEPP126は、それぞれ異なるMNO(モバイルネットワーク事業者)が管理するネットワークにある様々なSEPPに接続され得る。図2に示すように、SEPP126は、TLS保護モードを用いたN32-fインタフェース接続を介して「MNO-1」ネットワークにあるSEPP200に接続される。SEPP126は、TLS保護モードを用いたN32-fインタフェース接続を介して「MNO-2」ネットワークにあるSEPP202に接続される。SEPP126は、TLS保護モードを用いたN32-fインタフェース接続を介して「MNO-3」ネットワークにあるSEPP204に接続される。
いくつかの実施の形態では、SEPP126は、3GPP TS 33.501において定義されている機能、たとえば、メッセージ保護、相互認証、キー管理、トポロジ隠蔽、アクセス制御、不正なN32シグナリングメッセージの破棄、レート制限、なりすまし防止メカニズムを含み得る。たとえば、「MNO-1」ネットワークにあるSEPP200および/またはその他のSEPPがかなりの量のトラフィック(たとえば、シグナリングストーム)を送信しており、そのホームネットワークにあるSEPP126またはノードがネットワーク輻輳および/もしくはその他の問題を被っている場合、SEPP126は、グローバルメッセージレート制限手順を実行し得る。グローバルメッセージレート制限手順は、グローバル受信メッセージレートを抑えようとして受信メッセージを破棄するまたは抑制(スロットル)し得る。しかしながら、このような手順は、概して、どのネットワークのメッセージが抑制されるまたは破棄されるかについて見境がない。
グローバルメッセージレート制限がシグナリングストームのマイナスの影響を軽減できる一方で、このようなレート制限は、シグナリングストームの原因でないまたはシグナリングストームに関連しないネットワーク(たとえば、「MNO-2」および「MNO-3」ネットワーク)に関連するトラフィックも不当に破棄または抑制してしまう場合がある。
選択的な受信メッセージレート制限を行うために効果的な識別子は、様々な要因により、容易に利用可能ではないであろう。たとえば、N32-fコンテキストのIDは、PRINSベースの保護を利用するN32-fインタフェース接続で利用できるが、このようなIDは、TLS保護を利用するN32-fインタフェース接続では利用できない。さらには、送信者の識別子は、構文解析されたり、個々のPLMN間メッセージから導出されたりし得る一方で、TLS保護を利用するN32-fインタフェース接続を通常横断するHTTP/2メッセージは、送信元SEPPのアイデンティティを含んでいない可能性があり、送信元のIPアドレスを利用することは、ネットワークアドレスの変換ならびにSEPPインスタンスおよび/または接続が複数あるという理由で、面倒であろう。また、このような構文解析を必要とするレート制限ソリューションは、多くのリソースを必要とする可能性があり、スケーラビリティに欠け、および/または望ましくない。
本明細書において説明する主題は、たとえば、問題の原因であるネットワークからの過剰なPLMN間メッセージのみを破棄することによってPLMNまたはその中にあるノード当たりの効率的かつ選択的な受信メッセージレート制限を行う方法および技術を提供することによって、このような問題に対処する。さらには、このような方法および技術は、オーバーヘッドをほとんど増やすことなくPLMN間メッセージの受信メッセージレート制限を行うことができ、PLMNの識別子を取得するためにPLMN間メッセージを構文解析することも回避できる。たとえば、本明細書に記載の受信メッセージレート制限方法または技術は、ハンドシェイク手順の間に受信したTLSメッセージまたはX.509証明書から送信元または送信者の識別子(たとえば、FQDNまたはネットワークドメインの識別子)を取得した後、その識別子に基づいて受信メッセージのレート制限を行い得る。
図3は、受信メッセージレート制限のための例示的なノード300を示す図である。ノード300は、受信メッセージレート制限の態様を実行するための任意の適切な1つのエンティティまたは複数のエンティティを表し得る。いくつかの実施の形態では、ノード300は、1つ以上の5GC NF、たとえば、SEPP、NRF、PCF、NSSF、NEF、UDM、AUSF、UDR、BSF(Binding Support Function)、もしくはUDSF(Unstructured Data Storage Function)を表すまたは含んでもよい。いくつかの実施の形態では、ノード300は、ネットワークゲートウェイ、ネットワークプロキシ、エッジセキュリティデバイス、もしくは関連機能を表すまたは含んでもよい。
いくつかの実施の形態では、ノード300または関連モジュールは、PLMN間メッセージに対して、これらの送信元PLMNに基づいて受信メッセージレート制限を行うように(たとえば、プログラミングロジックを介して)構成されることにより、ホームネットワークにあるノードまたはその他のダウンストリームのNFに対するコントロールプレーンのシグナリングストームの影響を抑制または軽減し得る。たとえば、ノード300または関連モジュールは、TLSハンドシェイクの間に受信したデジタル証明書からPLMNのIDを識別するように構成され得、その後、PLMNのIDに関連する受信メッセージに対してレート制限を行い得る。
図3を参照すると、ノード300は、通信環境、たとえば、ホーム5GCネットワークを経由してメッセージを伝えるための1つ以上の通信インタフェース(複数可)302を備え得る。いくつかの実施の形態では、通信インタフェース(複数可)302は、第1のネットワークにある1つ以上のSEPPと通信するための第1の通信インタフェース、第2のネットワークにある1つ以上のSEPPと通信するための第2の通信インタフェース、ならびに、ホームネットワーク、たとえば、ホーム5GCネットワークにある1つ以上のSEPPと通信するための第3の通信インタフェースを含み得る。
ノード300は、RLM(レート制限マネージャ)304を備え得る。RLM304は、受信メッセージレート制限の1つ以上の態様を実行するための任意の適切なエンティティ(たとえば、少なくとも1つのプロセッサ上で実行されているソフトウェア)であり得る。いくつかの実施の形態では、RLM304は、ネットワークノードまたは関連ネットワークを識別する識別子をネットワークノードからのTLSメッセージから取得し、この識別子を利用して受信メッセージレート制限を行うための機能を備え得る。たとえば、TLSメッセージから識別子を取得することは、TLSメッセージに含まれている証明書(たとえば、X.509v3証明書)から識別子を取得することを含み得る。この例では、TLSメッセージにあるX.509v3証明書は、送信者のアイデンティティに対応付けられたFQDNを含むサブジェクトフィールドまたはサブジェクトの別名フィールドを含み得る。この例では、FQDNは、ネットワークノード識別子またはネットワーク識別子を含むまたは表し得、たとえば、ネットワーク識別子は、「5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org」のようなフォーマットで格納されたPLMNのIDまたはネットワークドメインであり得る。ここで、「<MNC>」および「<MCC>」フィールドは、事業者のPLMNのMNCおよびMCCに対応する。
いくつかの実施の形態では、たとえば、特定のN32-fインタフェース接続に対応付けられた識別子を特定した後、RLM304は、PLMN間メッセージ(たとえば、HTTP/2メッセージ)についてN32-fインタフェース接続を監視するように構成され得る。この例では、受信したPLMN間メッセージごとに、RLM304は、識別子を利用して、識別子に対応付けられた許容受信メッセージレートに達したまたは上回ったかどうかを判断し得、識別子に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、RLM304は、レート制限動作を実行し得る。レート制限動作として、リクエストメッセージを破棄すること、受信メッセージの一部を破棄するためにスロットルレートを生成もしくは変更すること、および/または受信メッセージレートもしくは関連イベントに関するネットワーク事業者または管理システムに通知することなどが挙げられ得る。
いくつかの実施の形態では、ネットワークノードまたはネットワークノードを含んだネットワークに対応付けられた許容受信メッセージレートを取得し、ネットワークノードまたはネットワークに対応付けられた現在の受信メッセージレートを取得し、現在の受信メッセージレートと許容受信メッセージレートとを比較することによって、RLM304は、受信メッセージレート制限を行うかどうかを判断するように構成され得る。現在の受信メッセージレートが許容受信メッセージレートを満たすまたは上回る場合、レート制限動作が実行され得る。現在の受信メッセージレートが許容受信メッセージレートを満たすまたは上回る場合、RLM304は、たとえば、受信メッセージレート制限なしで、メッセージを取り扱いまたは処理させる。
いくつかの実施の形態では、RLM304は、複数のノードまたは関連する接続のメッセージレートを追跡または導出するように構成され得る。たとえば、レート制限が送信元のネットワーク識別子に基づくと仮定すると、RLM304は、複数のN32-fインタフェース接続をまたいで受信メッセージレートを追跡し得、同じネットワーク識別子に対応付けられた複数のSEPPの受信メッセージレートを複合し得、ネットワーク識別子に対応付けられた複合受信メッセージレートをネットワーク識別子に対応付けられた所定の許容受信メッセージレートと比較し得る。
ノード300は、データストレージ306にアクセスし得る(たとえば、情報を読み出すおよび/または書き込む)。データストレージ306は、様々なデータを格納するための任意の適切なエンティティ(たとえば、コンピュータ読み取り可能な媒体またはメモリ)であり得る。いくつかの実施の形態では、データストレージ306は、TLSメッセージおよび/またはデジタル証明書の識別子を取得するためのロジックと、受信メッセージレート制限を行うかどうかをチェックするためのロジックと、レート制限動作を実施またはトリガするためのロジックと、様々な接続(たとえば、N32-fインタフェース接続)および/または送信元エンティティ(たとえば、PLMNのIDまたはFQDN)に対応付けられた現在の受信メッセージレートを追跡するためのロジックと、1つ以上の外部ネットワークおよび/またはその中にあるノードについての所定の許容メッセージレートとを含み得る。
いくつかの実施の形態では、データストレージ306は、メッセージレート制限データを含み得る。たとえば、データストレージ306は、様々なPLMNもしくはその中にあるネットワークノードの現在のメッセージレート、許容メッセージレート、および/またはメッセージスロットルレートを識別するための情報を含み得る。この例では、関連するメッセージレートおよびスロットルレートは、索引付けされ得、そうでない場合、TLSメッセージまたはその中にあるX.509証明書から取得した識別子を利用して識別され得る。
図3およびその関連する説明が例示を目的としていること、ならびにノード300が追加のおよび/もしくは異なるモジュール、構成要素、または機能を備えてもよいことが分かるであろう。
図4は、SEPP200とSEPP126との間でN32-fインタフェース接続をセットアップすることに関連するTLSハンドシェイクを示すメッセージフロー図である。いくつかの実施の形態では、SEPP126またはその中にあるRLM304は、N32-fインタフェース接続をセットアップまたは構成するときに、開始側SEPP200に対応付けられた識別子を取得または特定するように構成され得る。たとえば、開始側SEPP200と応答側SEPP126は、N32-cインタフェース上でTLSハンドシェイクメッセージを交換してTLS接続を確立する。TLSハンドシェイクは、ClientHelloメッセージとServerHelloメッセージとの交換、続いて、証明書メッセージの交換を含み得る。各証明書メッセージには、送信者のX.509証明書が含まれ得る。送信者のアイデンティティは、X.509証明書に含まれ得、なりすますことは困難である。なぜならば、認証局によってX.509証明書に署名されているためである。
TLSハンドシェイクプロトコルは、IETF(Internet Engineering Task Force)のRFC(Request for Comments)5246において規定されており、TLS接続の両エンドによる証明書メッセージの交換を含む。IETF RFC5246において規定されているTLSハンドシェイクメッセージの構造(証明書メッセージを含む)は、以下のように表示される。
Figure 2023548370000002
上述したTLSハンドシェイクメッセージの構造によって示されているように、規定されたハンドシェイクメッセージの種類の1つは、証明書メッセージである。証明書メッセージは、送信者がクライアントとして機能しているかサーバとして機能しているかに応じて、クライアントの証明書またはサーバの証明書を含む。N32-cインタフェースでセキュアなTLS通信を確立する際、TLS接続の両エンドが他方のエンドのX.509証明書を受信および検証する共通のTLSまたはm-TLSが使用される。IETF RFC5246は、明らかにネゴシエーションされない限り、証明書の種類がX.509v3でなければならないことを示す。本明細書に記載の実施例では、例としてX.509v3証明書を用いるが、本明細書において説明する主題は、X.509v3から抽出した送信者のアイデンティティを用いて送信者のN32-cアイデンティティを検証することだけに限られない。X.509v3証明書のフォーマットは、IETF RFC3280で規定されている。IETF RFC3280によると、X.509v3証明書が含み得る拡張子またはパラメータは、サブジェクトの別名拡張である。サブジェクトの別名拡張は、次のように定義される。
サブジェクトの別名拡張により、証明書のサブジェクトに追加のアイデンティティをバインドできるようになる。定義済みオプションは、インターネット電子メールアドレスと、DNS名と、IPアドレスと、URI(Uniform Resource Identifier)とを含む。完全にローカルな定義を含む、その他のオプションも存在する。複数の名前形式、および各名前形式の複数のインスタンスが含まれてもよい。このようなアイデンティティが証明書にバインドされる時はいつも、サブジェクトの別名(発行者の別名)拡張を使わなければならない。しかしながら、DNS名は、4.1.2.4節に記載されているように、domainComponent属性を用いてサブジェクトフィールドで表されてもよい。
サブジェクトの別名は、最終的に公開鍵にバインドされると考えられるので、サブジェクトの別名のすべての部分をCAによって確認しなければならない。
いくつかの実施の形態では、上記の通り、X.509v3証明書のサブジェクトの別名拡張は、証明書のサブジェクトを識別する、認証局によって確認されるDNS名、IPアドレス、またはURIを含み得る。サブジェクトの別名は認証局によって確認されるので、サブジェクトの別名をなりすますことは困難である。
図4を参照すると、ステップ401では、TLSハンドシェイクを開始するためのClientHelloメッセージがSEPP200からSEPP126に送られ得る。
ステップ402では、たとえば、ClientHelloメッセージに応答して、様々なハンドシェイク関連メッセージ(たとえば、ServerHelloメッセージ、Certificateメッセージ、ServerKeyExchangeメッセージ、CertificateRequestメッセージ、およびServerHelloDoneメッセージ)がSEPP126からSEPP200に送られ得る。
ステップ403では、たとえば、ServerHelloDoneメッセージに応答して、様々なハンドシェイク関連メッセージ(たとえば、Certificateメッセージ、ClientKeyExchangeメッセージ、CertificateVerifyメッセージ、ChangeCipherSpecメッセージ、およびFinishedメッセージ)がSEPP200からSEPP126に送られ得る。
ステップ404では、Certificateメッセージからクライアント関連の識別子を抽出し、たとえば、データストレージ306に格納し得る。たとえば、SEPP126またはその中にあるRLM304は、関連性のある識別子を、CertificateメッセージのX.509v3証明書に格納されたFQDNから抽出または導出し得る。この例では、FQDNは、ネットワークノード識別子またはネットワーク識別子を含むまたは表し得、たとえば、ネットワーク識別子は、「5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org」のようなフォーマットで格納され得る。ここで、「<MNC>」および「<MCC>」フィールドは、事業者のPLMNのMNCおよびMCCに対応する。
ステップ405では、たとえば、Finishedメッセージに応答して、様々なハンドシェイク関連メッセージ(たとえば、ChangeCipherSpecメッセージ、およびFinishedメッセージ)がSEPP126からSEPP200に送られ得る。
ステップ406では、N32-fインタフェース接続に関連するクライアント関連の識別子(たとえば、PLMNのID)を識別した後、SEPP126またはその中にあるRLM304は、受信メッセージレート制限の目的で、N32-fインタフェース接続を介して受信したPLMN間メッセージ(たとえば、HTTP/2メッセージ)を監視し得る。たとえば、N32-fインタフェース接続を介して特定のPLMNのIDに関連するHTTP/2リクエストメッセージが受信された場合、SEPP126またはその中にあるRLM304は、クライアント関連の識別子に対応付けられた現在のメッセージレートが、PLMN間メッセージを処理、転送、および/または応答する前のクライアント関連の識別子に対応付けられた許容メッセージレートを満たすまたは上回るかどうかを判断し得る。
図4が例示を目的としていること、ならびに異なるおよび/または追加のメッセージおよび/または動作が用いられてもよいことが分かるであろう。また、本明細書に記載の様々なメッセージおよび/もしくは動作が、異なる順序またはシーケンスで実行されてもよいことが分かるであろう。
図5は、例示的なメッセージレート関連データ500を示す図である。データ500は、様々なPLMNもしくはその中にあるネットワークノードの現在のメッセージレート、許容メッセージレート、および/またはメッセージスロットルレートを識別するための情報を含み得る。たとえば、データ500にある各レートは、一定期間、たとえば、TPS(1秒あたりのトランザクション数)当たりのメッセージ数、リクエスト数、またはトランザクション数を表し得る。
図5を参照すると、データ500を示す表は、ネットワークおよび/もしくはノードID、現在のメッセージレート、許容メッセージレート、ならびにメッセージスロットルレートのカラムおよび/またはフィールドを含む。NET IDフィールドは、PLMNを表すための情報を格納し得る。ネットワークIDとして、PLMNの識別子、MCC(Mobile Country Code)、MNC(Mobile Network Code)、LAC(Location Area Code)、ネットワーク識別子、CGI(Cell Global Identifier)、BSID(Base Station Identifier)、アクセスノード識別子、CI(Cell Identity)、SAC(Service Area Code)、RAI(Routing Area Identity)、RAC(Routing Area Code)、TAI(Tracking Area Identity)、TAC(Tracking Area Code)、EGCI(eUTRAN CGI)、位置座標(たとえば、GPS(Global Positioning System)情報)、および/または相対的位置情報などが挙げられる。ノードIDとして、FQDN、URI、DNS(Domain Name System)名、またはIPアドレスなどが挙げられる。
現在のメッセージレートフィールドは、1つ以上のメッセージ、メッセージの種類、またはトランザクションに対応付けられた測定または追跡メッセージレートを表すための情報を格納し得る。たとえば、現在のメッセージレート(たとえば、50TPS)は、特定のPLMNから受信したPLMN間リクエストメッセージまたはトランザクションの測定レートを示し得る。
許容メッセージレートフィールドは、1つ以上のメッセージ、メッセージの種類、またはトランザクションに対応付けられた所定の許容メッセージレートを表すための情報を格納し得る。たとえば、許容メッセージレート(たとえば、40TPS)は、SEPP126が、たとえば、レート制限動作を実行しないで許可するように構成された特定のPLMNからのPLMN間リクエストメッセージまたはトランザクションのレートを示し得る。
メッセージスロットルレートフィールドは、1つ以上のメッセージ、メッセージの種類、またはトランザクションに対応付けられたメッセージスロットルレートを表すための情報を格納し得る。たとえば、メッセージスロットルレートは、SEPP126が抑制するまたは破棄する特定のPLMNからのPLMN間リクエストメッセージまたはトランザクションのレートを示し得る。この例では、スロットルレートは、現在のメッセージレートと許容メッセージレートとの差、たとえば、50TPS-40TPS=10TPSに基づき得る。
また、データ500が例示を目的としていること、ならびに、特定のデータ部分のデフォルト値またはその他の情報を示すために、図5に示したデータ以外に、異なるおよび/または追加のデータが用いられてもよいことが分かるであろう。さらには、データ500は、様々なデータ構造および/またはコンピュータ読み取り可能な媒体を用いて(たとえば、データストレージ306に)格納されてもよく、管理されてもよい。
図6は、受信メッセージレート制限の例を示すメッセージフロー図である。いくつかの実施の形態では、SEPP126またはその中にあるRLM304は、N32-fインタフェース接続をセットアップまたは構成するときに交換されたTLSベースの証明書から取得または導出された開始側SEPPに対応付けられた識別子を利用して、受信メッセージレート制限を行うように構成され得る。N32-fインタフェース接続に対応付けられた送信者の識別子(たとえば、PLMN ID)を識別した後、SEPP126またはその中にあるRLM304は、送信者の識別子に対応付けられた受信PLMN間メッセージ(たとえば、HTTP/2メッセージ)を監視し得、送信者の識別子に対応付けられた現在のメッセージレートがPLMN間メッセージを処理、転送、および/または応答する前の送信者の識別子に対応付けられた許容メッセージレートを満たすまたは上回るかどうかを判断し得る。現在のメッセージレートが許容メッセージレートを満たすまたは上回るとSEPP126またはRLM304が判断した場合、SEPP126またはその中にあるRLM304は、PLMN間メッセージのうち1つ以上を破棄し得、または別のレート制限動作を実行し得る。現在のメッセージレートが許容メッセージレートを満たさないまたは上回らないとSEPP126またはその中にあるRLM304が判断した場合、SEPP126またはその中にあるRLM304は、PLMN間メッセージを許可し得る。
図6を参照すると、ステップ601では、SEPP202とSEPP126とのTLSハンドシェイクがN32-cインタフェースを介して行われ得る。たとえば、SEPP202は、SEPP126とのTLSハンドシェイクを開始し得、TLSハンドシェイクの間、SEPP202とSEPP126は、識別子を含んだデジタル証明書(たとえば、X.509v3証明書)を交換し得る。
いくつかの実施の形態では、TLSハンドシェイクの間、SEPP126またはその中にあるRLM304は、SEPP202に対応付けられたアイデンティティを含んだデジタル証明書を受信し得る。このような実施の形態では、SEPP126またはその中にあるRLM304は、デジタル証明書から識別子を抽出、導出、そうでない場合、判断し、その識別子を受信メッセージレート制限機能のために使用し得る。
ステップ602では、TLSハンドシェイクの後、TLS保護モードを利用するN32-fインタフェースを介して5GCリクエスト(たとえば、HTTP/2メッセージ)がSEPP202からSEPP126に送信され得る。たとえば、外部ネットワークにあるプロデューサーNFは、SEPP202およびSEPP126を経由して別のネットワークにあるコンシューマーNFに転送される5GCリクエストを生成し得る。
ステップ603では、たとえば、レート制限を行わないと判断した後、N32-fインタフェースを介して5GCレスポンス(たとえば、HTTP/2メッセージ)がSEPP126からSEPP202に送られ得る。たとえば、ホームネットワークにあるコンシューマーNFが、SEPP126およびSEPP202を経由して外部ネットワークにあるプロデューサーNFに転送される5GCレスポンスを生成し得る。
ステップ604では、SEPP200とSEPP126とのTLSハンドシェイクがN32-cインタフェースを介して行われ得る。たとえば、SEPP200は、SEPP126とのTLSハンドシェイクを開始し得、TLSハンドシェイクの間、SEPP200とSEPP126は、識別子を含んだデジタル証明書(たとえば、X.509v3証明書)を交換し得る。
いくつかの実施の形態では、TLSハンドシェイクの間、SEPP126またはその中にあるRLM304は、SEPP200に対応付けられたアイデンティティを含んだデジタル証明書を受信し得る。このような実施の形態では、SEPP126またはその中にあるRLM304は、デジタル証明書から識別子を抽出、導出、そうでない場合、判断し、その識別子を受信メッセージレート制限を行う目的に使用し得る。
ステップ605では、TLSハンドシェイクの後、5GCリクエスト(たとえば、HTTP/2メッセージ)がTLS保護モードを利用するN32-fインタフェースを介してSEPP200からSEPP126に送られ得る。たとえば、外部ネットワークにあるプロデューサーNFが、SEPP200およびSEPP126を経由して別のネットワークにあるコンシューマーNFに転送される5GCリクエストを生成し得る。
ステップ606では、たとえば、レート制限を行わないと判断した後、5GCリクエストを破棄し得る。たとえば、SEPP126またはその中にあるRLM304は、SEPP200が転送した5GCリクエストをコンシューマーNFに受信させないようにし得る。
図6が例示を目的としていること、ならびに異なるおよび/または追加のメッセージおよび/または動作が用いられてもよいことが分かるであろう。また、本明細書に記載の様々なメッセージおよび/または動作が、異なる順序またはシーケンスで実行されてもよいことが分かるであろう。
図7は、受信メッセージレート制限の例示的な工程700を示す図である。いくつかの実施の形態では、本明細書に記載の例示的な工程700またはその一部は、ノード300、RLM304、および/または別のモジュールもしくはノードにおいて実行されてもよく、ノード300、RLM304、および/または別のモジュールもしくはノードによって実行されてもよい。
例示的な工程700を参照すると、態様(たとえば、処理ステップまたは動作)は、第1のネットワークのネットワークノード(たとえば、ホーム5GCネットワークにあるSEPP126またはRLM304を備えるノード300)において実行され得る。
ステップ702では、第2のネットワークノードまたは第2のネットワークを識別する識別子を、第2のネットワークの第2のネットワークノードからのTLSメッセージから取得し得る。たとえば、「MNO-1」ネットワークのSEPP200は、ホームネットワークにあるSEPP126とのTLSハンドシェイクを開始し得、TLSハンドシェイクの間、SEPP200に対応付けられた識別子を有する証明書を含んだTLSメッセージを提供し得る。
いくつかの実施の形態では、TLSメッセージから識別子を取得することは、TLSメッセージに含まれる証明書(たとえば、X.509v3証明書)から識別子を取得することを含んでもよい。たとえば、TLSメッセージにあるX.509v3証明書は、送信者のアイデンティティに対応付けられたFQDNを含むサブジェクトフィールドまたはサブジェクトの別名フィールドを含んでもよい。この例では、FQDNは、ネットワークノード識別子またはネットワーク識別子を含むまたは表してもよく、たとえば、ネットワーク識別子は、「5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org」のようなフォーマットで格納されてもよい。ここで、「<MNC>」および「<MCC>」フィールドは、事業者のPLMNのMNCおよびMCCに対応する。
ステップ704では、第2のネットワークノードまたは第2のネットワークからリクエストメッセージを受信し得る。たとえば、TLSハンドシェイクの後、「MNO-1」ネットワークのSEPP200が、TLS保護モードを利用するN32-fインタフェースを介して、(たとえば、プロデューサーNFからの)1つ以上の5GCリクエストをホームネットワークにあるSEPP126に転送し得る。
ステップ706では、識別子を利用して、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断し得る。たとえば、SEPP126は、開始側SEPPに対応付けられた識別子を利用して、SEPPが受信メッセージレートに達しているまたは上回っているかどうかを判断し得る。この例では、SEPP126は、現在の受信メッセージレートと、関連性のある識別子(たとえば、PLMN識別子および/またはSEPP識別子)で索引付けまたは対応付けられた許容メッセージレートとを含んだデータストアまたはデータベースに照会し得る。
いくつかの実施の形態では、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することは、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートを取得することと、第2のネットワークノードまたは第2のネットワークに対応付けられた現在の受信メッセージレートを取得することと、現在の受信メッセージレートが許容受信メッセージレートを満たすまたは上回ると判断するために現在の受信メッセージレートと許容受信メッセージレートとを比較することとを含んでもよい。
いくつかの実施の形態では、第2のネットワークノードまたは第2のネットワークに対応付けられた現在の受信メッセージレートを取得することは、第2のネットワークにある複数のSEPPのメッセージレートを追跡または導出して、第2のネットワークに対応付けられた現在の受信レートを判断することを含んでもよい。たとえば、レート制限が送信元のネットワーク識別子に基づくと仮定すると、SEPP126は、複数のN32-fインタフェース接続をまたいで受信メッセージレートを追跡してもよく、同じネットワーク識別子に対応付けられた複数のSEPPの受信メッセージレートを複合してもよく、ネットワーク識別子に対応付けられた複合受信メッセージレートをネットワーク識別子に対応付けられた所定の許容受信メッセージレートと比較してもよい。
ステップ708では、第2のネットワークノードまたは第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、レート制限動作を実行し得る。
いくつかの実施の形態では、レート制限動作は、リクエストメッセージを破棄すること、メッセージの一部を破棄するためにスロットルレートを生成もしくは変更すること、または、ネットワーク事業者または管理システムに通知することを含んでもよい。
工程700が例示を目的としていること、ならびに異なる動作および/または追加の動作が用いられてもよいことがわかるであろう。また本明細書に記載の様々な動作が、異なる順序またはシーケンスで実行されてもよいことがわかるであろう。
本明細書に記載の主題のいくつかの態様を、5Gネットワークを例に説明したが、本明細書に記載の主題のいくつかの態様は、様々なその他のネットワークによって利用されてもよいことがわかるであろう。たとえば、送信者または関連ネットワークを識別する証明書を利用する任意のネットワークは、本明細書に記載の特徴、仕組み、および技術を利用し、たとえば、送信元ノードまたはネットワークに基づいて、より選択的な受信メッセージレート制限を実行してもよい。
なお、本明細書に記載のノード300、RLM304、および/または機能によって、特定用途のコンピューティングデバイスが構成されてもよい。さらには、本明細書に記載のノード300、RLM304、および/または機能は、SEPPまたはその他のネットワークノードにおけるネットワークセキュリティおよび/またはメッセージレート制限の技術分野を向上させることができる。たとえば、ネットワーク識別子および/またはノード識別子に基づいて受信メッセージレート制限を行うことによって、悪意のある行為(たとえば、シグナリングトラフィックストーム)ならびにそのマイナスの影響(たとえば、ネットワーク輻輳、サービス障害、および/またはユーザエクスペリエンスの低下)を軽減および/または防ぐことができる。
下記文献の各々の開示内容のすべてを、本明細書と矛盾しない程度に、そして本明細書において採用した方法、技術、および/またはシステムを補足、説明、その背景を提供する、または、教示する程度に引用により本明細書に援用する。
文献
1. IETF RFC 5246; The Transport Layer Security (TLS) Protocol, Version 1.2; August 2008.
2. IETF RFC 3280; Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile, April 2002.
3. 3GPP TS 23.003; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; Numbering, addressing and identification (Release 16), V16.4.0 (2020-09).
4. 3GPP TS 29.573; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Public Land Mobile Network (PLMN) Interconnection; Stage 3 (Release 16) V16.3.0 (2020-07).
5. 3GPP TS 33.501; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for the 5G System; (Release 16), V16.3.0 (2020-07).
6. 3GPP TS 29.510; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 16), V16.4.0 (2020-07).
今回開示した主題の様々な詳細は、今回開示した主題の範囲を逸脱することなく変更してもよいことが理解されるであろう。さらには、上記の説明は、あくまで例示にすぎず、限定ではない。

Claims (20)

  1. 受信メッセージレート制限のための方法であって、第1のネットワークの第1のネットワークノードにおいて、
    第2のネットワークの第2のネットワークノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、前記第2のネットワークノードまたは前記第2のネットワークを識別する識別子を取得することと、
    前記第2のネットワークノードまたは前記第2のネットワークからリクエストメッセージを受信することと、
    前記識別子を利用して、前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することと、
    前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた前記許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、レート制限動作を実行することとを含む、方法。
  2. 前記TLSメッセージから前記識別子を取得することは、前記TLSメッセージに含まれる証明書から前記識別子を取得することを含む、請求項1に記載の方法。
  3. 前記証明書は、X.509証明書を含む、請求項2に記載の方法。
  4. 前記識別子を取得することは、前記X.509証明書のサブジェクトフィールドまたはサブジェクトの別名フィールドから前記第2のネットワークノードのFQDN(完全修飾ドメイン名)を抽出することを含む、請求項3に記載の方法。
  5. 前記識別子を取得することは、前記第2のネットワークを識別するためのネットワーク識別子を前記FQDNから取得することを含む、請求項4に記載の方法。
  6. 前記第1のネットワークノードまたは前記第2のネットワークノードは、SEPP(Security Edge Protection Proxy)、5Gコアネットワーク機能、ネットワークプロキシ、またはネットワークゲートウェイを含む、先行する請求項のいずれか1項に記載の方法。
  7. 前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた前記許容受信メッセージレートに達したまたは上回ったと判断することは、
    前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた前記許容受信メッセージレートを取得することと、
    前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた現在の受信メッセージレートを取得することと、
    前記現在の受信メッセージレートが前記許容受信メッセージレートを満たすまたは上回ると判断するために前記現在の受信メッセージレートと前記許容受信メッセージレートとを比較することとを含む、先行する請求項のいずれか1項に記載の方法。
  8. 前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた前記現在の受信メッセージレートを取得することは、前記第2のネットワークにある複数のSEPPについての複合メッセージレートを追跡または導出し、前記第2のネットワークに対応付けられた前記現在の受信レートを判断することを含む、請求項7に記載の方法。
  9. 前記レート制限動作は、前記リクエストメッセージを破棄すること、受信メッセージの一部を破棄するためにスロットルレートを生成もしくは変更すること、またはネットワーク事業者または管理システムに通知することを含む、先行する請求項のいずれか1項に記載の方法。
  10. 受信メッセージレート制限のためのシステムであって、
    少なくとも1つのプロセッサと、メモリとを備える、第1のネットワークの第1のネットワークノードを備え、
    前記第1のネットワークノードは、
    第2のネットワークの第2のネットワークノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、前記第2のネットワークノードまたは前記第2のネットワークを識別する識別子を取得し、
    前記第2のネットワークノードまたは前記第2のネットワークからリクエストメッセージを受信し、
    前記識別子を利用して、前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断し、
    前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた前記許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、レート制限動作を実行するように構成される、システム。
  11. 前記第1のネットワークノードは、前記TLSメッセージに含まれる証明書から前記識別子を取得することによって前記TLSメッセージから前記識別子を取得するように構成される、請求項10に記載のシステム。
  12. 前記証明書は、X.509証明書を含む、請求項11に記載のシステム。
  13. 前記第1のネットワークノードは、前記X.509証明書のサブジェクトフィールドまたはサブジェクトの別名フィールドから前記第2のネットワークノードのFQDN(完全修飾ドメイン名)を抽出するように構成される、請求項12に記載のシステム。
  14. 前記第1のネットワークノードは、前記第2のネットワークを識別するためのネットワーク識別子を前記FQDNから取得するように構成される、請求項13に記載のシステム。
  15. 前記第1のネットワークノードまたは前記第2のネットワークノードは、SEPP(Security Edge Protection Proxy)、5Gコアネットワーク機能、ネットワークプロキシ、またはネットワークゲートウェイを含む、請求項10~14のいずれか1項に記載のシステム。
  16. 前記第1のネットワークノードは、
    前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた前記許容受信メッセージレートを取得し、
    前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた現在の受信メッセージレートを取得し、
    前記現在の受信メッセージレートが前記許容受信メッセージレートを満たすまたは上回ると判断するために前記現在の受信メッセージレートと前記許容受信メッセージレートとを比較するように構成される、請求項10~15のいずれか1項に記載のシステム。
  17. 前記第1のネットワークノードは、前記第2のネットワークにある複数のSEPPのメッセージレートを追跡または導出し、前記第2のネットワークに対応付けられた前記現在の受信レートを判断するように構成される、請求項16に記載のシステム。
  18. 前記レート制限動作は、前記リクエストメッセージを破棄すること、受信メッセージの一部を破棄するためにスロットルレートを生成もしくは変更すること、またはネットワーク事業者または管理システムに通知することを含む、請求項10~17のいずれか1項に記載のシステム。
  19. 実行可能な命令を記憶した非一時的なコンピュータ読み取り可能な媒体であって、前記命令は、コンピュータのプロセッサによって実行されると、ステップを実行するように前記コンピュータを制御し、前記ステップは、第1のネットワークの第1のネットワークノードにおいて、
    第2のネットワークの第2のネットワークノードからのTLS(トランスポートレイヤーセキュリティ)メッセージから、前記第2のネットワークノードまたは前記第2のネットワークを識別する識別子を取得するステップと、
    前記第2のネットワークノードまたは前記第2のネットワークからリクエストメッセージを受信するステップと、
    前記識別子を利用して、前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断するステップと、
    前記第2のネットワークノードまたは前記第2のネットワークに対応付けられた前記許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、レート制限動作を実行するステップとを含む、非一時的なコンピュータ読み取り可能な媒体。
  20. 前記TLSメッセージから前記識別子を取得することは、前記TLSメッセージに含まれる証明書から前記識別子を取得することを含む、請求項19に記載の非一時的なコンピュータ読み取り可能な媒体。
JP2023527034A 2020-11-06 2021-07-21 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体 Pending JP2023548370A (ja)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
IN202041048552 2020-11-06
IN202041048552 2020-11-06
IN202041049614 2020-11-13
IN202041049614 2020-11-13
US17/129,487 US11528251B2 (en) 2020-11-06 2020-12-21 Methods, systems, and computer readable media for ingress message rate limiting
US17/129,487 2020-12-21
US17/134,635 2020-12-28
US17/134,635 US11943616B2 (en) 2020-11-13 2020-12-28 Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
PCT/US2021/042660 WO2022098404A1 (en) 2020-11-06 2021-07-21 Methods, systems, and computer readable media for ingress message rate limiting

Publications (2)

Publication Number Publication Date
JP2023548370A true JP2023548370A (ja) 2023-11-16
JPWO2022098404A5 JPWO2022098404A5 (ja) 2024-02-16

Family

ID=81458176

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2023527034A Pending JP2023548370A (ja) 2020-11-06 2021-07-21 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体
JP2023527049A Pending JP2023548372A (ja) 2020-11-06 2021-07-21 ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2023527049A Pending JP2023548372A (ja) 2020-11-06 2021-07-21 ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体

Country Status (4)

Country Link
EP (2) EP4241420A1 (ja)
JP (2) JP2023548370A (ja)
CN (1) CN116438779A (ja)
WO (2) WO2022098405A1 (ja)

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11553342B2 (en) 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11943616B2 (en) 2020-11-13 2024-03-26 Oracle International Corporation Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11895501B2 (en) 2020-12-08 2024-02-06 Oracle International Corporation Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US11553524B2 (en) 2021-03-04 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for resource object level authorization at a network function (NF)
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries
US11843546B1 (en) * 2023-01-17 2023-12-12 Capital One Services, Llc Determining resource usage metrics for cloud computing systems

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9860390B2 (en) * 2011-08-10 2018-01-02 Tekelec, Inc. Methods, systems, and computer readable media for policy event record generation

Also Published As

Publication number Publication date
WO2022098405A1 (en) 2022-05-12
JP2023548372A (ja) 2023-11-16
EP4241420A1 (en) 2023-09-13
EP4241419A1 (en) 2023-09-13
WO2022098404A1 (en) 2022-05-12
CN116438779A (zh) 2023-07-14

Similar Documents

Publication Publication Date Title
JP2023548370A (ja) 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体
US11528251B2 (en) Methods, systems, and computer readable media for ingress message rate limiting
US11825310B2 (en) Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11832172B2 (en) Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11818570B2 (en) Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
JP7466053B2 (ja) セキュリティエッジ保護プロキシ(sepp)を使用して5gローミングセキュリティ攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
US11943616B2 (en) Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
JP2024505791A (ja) 予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
JP2024507577A (ja) アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
US11695563B2 (en) Methods, systems, and computer readable media for single-use authentication messages
JPWO2022066228A5 (ja)
JPWO2022098404A5 (ja)
US11582258B2 (en) Methods, systems, and computer readable media for mitigating denial of service (DoS) attacks at network functions (NFs)
US20230072290A1 (en) METHODS, SYSTEMS, AND COMPUTER READABLE MEDIA FOR REDUCING THE LIKELIHOOD OF SUCCESSFUL DENIAL OF SERVICE (DoS) ATTACKS BY VALIDATING OVERLOAD CONTROL INFORMATION (OCI) SCOPE AGAINST NETWORK FUNCTION (NF) PROFILE INFORMATION OBTAINED USING TARGET RESOURCE IDENTIFICATION INFORMATION
CN116491140A (zh) 用于入口消息速率限制的方法、系统和计算机可读介质
US20240163660A1 (en) Methods, systems, and computer readable media for providing shared security edge protection proxy (sepp) for roaming aggregators
CN116530053A (zh) 用于减轻对安全边缘保护代理(sepp)公共陆地移动网络间(plmn间)转发接口的假冒攻击的方法、系统和计算机可读介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240207

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240207