JP2024509941A - セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体 - Google Patents
セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体 Download PDFInfo
- Publication number
- JP2024509941A JP2024509941A JP2023555360A JP2023555360A JP2024509941A JP 2024509941 A JP2024509941 A JP 2024509941A JP 2023555360 A JP2023555360 A JP 2023555360A JP 2023555360 A JP2023555360 A JP 2023555360A JP 2024509941 A JP2024509941 A JP 2024509941A
- Authority
- JP
- Japan
- Prior art keywords
- access token
- consumer
- authorization
- producer
- service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000013475 authorization Methods 0.000 title claims abstract description 165
- 238000000034 method Methods 0.000 title claims abstract description 43
- 230000004224 protection Effects 0.000 title claims abstract description 8
- 230000004044 response Effects 0.000 claims description 48
- 230000006870 function Effects 0.000 claims description 45
- 238000004891 communication Methods 0.000 claims description 14
- 230000011664 signaling Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 13
- 238000012546 transfer Methods 0.000 description 4
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 description 3
- 102100023843 Selenoprotein P Human genes 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/084—Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/18—Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/02—Inter-networking arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
セキュリティエッジ保護プロキシ(SEPP)における代行承認のための方法は、アクセストークンベースの承認をサポートしないコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とするプロデューサNFによって提供されるサービスにアクセスするためのサービスベースインターフェース(SBI)サービス要求を傍受することを含む。本方法はさらに、アクセストークン承認クライアントとして動作して、コンシューマNFに代わって第1のアクセストークンを取得することを含む。本方法はさらに、第1のアクセストークンを使用して、コンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。SEPPはまた、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバとして動作し得る。
Description
優先権主張
本出願は、2021年3月11日提出の米国特許出願17/198,740の優先権利益を主張し、その開示は、参照によりその全体が本明細書に組み込まれる。
本出願は、2021年3月11日提出の米国特許出願17/198,740の優先権利益を主張し、その開示は、参照によりその全体が本明細書に組み込まれる。
技術分野
本明細書で説明する主題は、ネットワークセキュリティおよび公衆陸上移動体通信網(PLMN)間互換性に関する。より詳細には、本明細書で説明する主題は、SEPPにおける代行承認のための方法、システム、およびコンピュータ可読媒体に関する。
本明細書で説明する主題は、ネットワークセキュリティおよび公衆陸上移動体通信網(PLMN)間互換性に関する。より詳細には、本明細書で説明する主題は、SEPPにおける代行承認のための方法、システム、およびコンピュータ可読媒体に関する。
背景
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと呼ばれる。ネットワーク機能は、ネットワーク機能がサービスを消費しているか、産生しているか、または消費および産生しているかに応じて、プロデューサNF、コンシューマNF、またはその両方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、ここでは互換的に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、ここでは互換的に使用される。
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと呼ばれる。ネットワーク機能は、ネットワーク機能がサービスを消費しているか、産生しているか、または消費および産生しているかに応じて、プロデューサNF、コンシューマNF、またはその両方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、ここでは互換的に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、ここでは互換的に使用される。
所与のプロデューサNFは、多くのサービスエンドポイントを有することができ、サービスエンドポイントは、プロデューサNFによってホストされる1つ以上のNFインスタンスのための接点である。サービスエンドポイントは、インターネットプロトコル(IP)アドレスおよびポート番号の組み合わせ、またはプロデューサNFをホストするネットワークノード上のIPアドレスおよびポート番号に解決する完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは、複数のNFインスタンスを含み得る。複数のNFインスタンスが同じサービスエンドポイントを共有できることにも留意されたい。
プロデューサNFは、ネットワーク機能リポジトリ機能(NRF)に登録する。NRFは、各NFインスタンスによってサポートされるサービスを識別する、利用可能なNFインスタンスのサービスプロファイルを維持する。「サービスプロファイル」および「NFプロファイル」という用語は、ここでは互換的に使用される。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するように加入することができる。
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するよう加入することができる別のタイプのネットワークノードは、サービス通信プロキシ(SCP)である。SCPは、NRFに加入し、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシは、要求されるサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを分散させるか、またはそのトラフィックを宛先プロデューサNFインスタンスに直接ルーティングする。
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードの別の例は、セキュリティエッジ保護プロキシ(SEPP)である。SEPPは、異なる5G公衆陸上移動体通信網(PLMN)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。したがって、SEPPは、PLMN間で送信されるすべてのアプリケーションプログラミングインターフェース(API)メッセージに対してメッセージフィルタリング、監視、およびトポロジー隠蔽を実行する。
5G通信ネットワークにおける1つの問題は、1つの公衆PLMNまたはネットワーク機能がOAuth2.0承認をサポートし、別のPLMNまたはネットワーク機能がOAuth2.0承認をサポートしないときに生じる。インターネットエンジニアリングタスクフォース(IETF)コメント要求(RFC)6749(Internet Engineering Task Force (IETF) Request for Comments (RFC) 6749)に規定されるOAuth2.0承認フレームワークによれば、リソースサーバから利用可能な保護されたリソースにアクセスしようとする承認クライアントは、まず承認サーバからアクセストークンを取得する。クライアントは、アクセストークンを取得した後、リソースサーバにサービス要求を送信する。リソースサーバは、アクセストークンを検証し、保護されたリソースへのアクセスを提供する。
5G通信ネットワークの文脈では、NFサービスコンシューマはOAuth2.0リソースクライアントとして機能し、NFサービスプロデューサはOAuth2.0リソースサーバとして機能し、NRFは承認サーバとして機能する。したがって、NFサービスプロデューサによって提供されるサービスにアクセスしようとするNFサービスコンシューマは、NFサービスプロデューサによって提供されるリソースにアクセスするためにアクセストークンを取得するために、NRFと信号通信を行う。NFサービスコンシューマがNRFからアクセストークンを取得した後、NFサービスコンシューマは、サービス要求をNFサービスプロデューサに送信し、ここで、サービス要求は、アクセストークンを含んでいる。NFサービスプロデューサは、アクセストークンを検証し、NFサービスコンシューマによって要求されたサービスへのアクセスを提供する。
OAuth2.0承認フレームワークは、5G通信ネットワークにおいて承認を提供するように機能するが、サービス要求が、OAuth2.0承認をサポートしないコンシューマNFから、OAuth2.0アクセストークンを必要とするプロデューサNFに送信される場合、そのサービス要求は拒否されることになる。同様に、OAuth2.0承認をサポートするコンシューマNFが、OAuth2.0承認をサポートしないNRFにアクセストークン要求を送信する場合、要求側コンシューマNFは、アクセストークンを取得することはできない。
これらのタイプの非互換性の問題は、サービスコンシューマのPLMNがOAuth2.0承認をサポートし、サービスプロデューサのPLMNがOAuth2.0承認をサポートしないとき、またはその逆のときに発生し得る。これらのタイプの非互換性の問題はまた、あるベンダからのNFがOAuth2.0承認をサポートし、別のベンダからのNFがOAuth2.0承認をサポートしないときにも生じ得る。
これらおよび他の困難に照らして、OAuth2.0承認非互換性が存在する場合に、ネットワーク機能間の改善された相互運用性のための方法の必要性が存在する。
概要
セキュリティエッジ保護プロキシ(SEPP)における代行承認のための方法は、アクセストークンベース承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベース承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースインターフェース(SBI)サービス要求を傍受することを含む。本方法はさらに、アクセストークン承認クライアントプロキシとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得することを含む。本方法はさらに、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。
セキュリティエッジ保護プロキシ(SEPP)における代行承認のための方法は、アクセストークンベース承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベース承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースインターフェース(SBI)サービス要求を傍受することを含む。本方法はさらに、アクセストークン承認クライアントプロキシとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得することを含む。本方法はさらに、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシとして動作することは、第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うことを含む。
本明細書で説明する主題の別の局面によれば、第1のアクセストークンを取得するためにNRFと信号通信を行うことは、第1のコンシューマNFに代わってアクセストークン要求を生成することと、アクセストークン要求をNRFに送信することと、NRFから、第1のアクセストークンを含むアクセストークン応答を受信することとを含む。
本明細書で説明する主題の別の局面によれば、アクセストークン要求を生成することは、第1のSBIサービス要求のユーザエージェントヘッダから、アクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することを含む。
本明細書で説明する主題の別の局面によれば、属性のうちの少なくともいくつかの値を抽出することは、第1のSBIサービス要求のユーザエージェントヘッダから第1のコンシューマNFのNFインスタンスIDを抽出することを含む。
本明細書で説明される主題の別の局面によれば、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることは、第1のアクセストークンを第1のSBIサービス要求に挿入することと、第1のアクセストークンを含む第1のSBIサービス要求を第1のプロデューサNFに転送することと、第1のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第1のコンシューマNFに転送することとを含む。
本明細書で説明される主題の別の局面によれば、SEPPにおける代行承認のための方法は、第2のコンシューマNFからアクセストークン要求を受信することと、第2のコンシューマNFからのアクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバプロキシとして動作することと、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のコンシューマNFおよび第2のプロデューサNFと信号通信を行うこととを含む。
本明細書で説明される主題の別の局面によれば、アクセストークン承認サーバプロキシとして動作することは、アクセストークン要求に応答して、第2のアクセストークンを生成することと、第2のコンシューマNFに、第2のアクセストークンを含むアクセストークン応答を送信することとを含む。
本明細書で説明される主題の別の局面によれば、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のプロデューサNFと信号通信を行うことは、第2のコンシューマNFから、第2のアクセストークンを含む第2のSBIサービス要求を受信することと、第2のSBIサービス要求から第2のアクセストークンを除去することと、第2のSBIサービス要求を第2のプロデューサNFに転送することと、第2のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第2のコンシューマNFに転送することとを含む。
本明細書で説明される主題の別の局面によれば、第2のアクセストークンを生成することは、構文的に正しいクレームを伴うダミーアクセストークンを含むOAuth2.0アクセストークンを生成することを含む。
本明細書で説明する主題の別の局面によれば、セキュリティエッジ保護プロキシ(SEPP)における代行承認のためのシステムが提供される。本システムは、少なくとも1つのプロセッサとメモリとを含むSEPPを含む。本システムは、さらに、少なくとも1つのプロセッサによって実現され、アクセストークンベース承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベース承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースインターフェース(SBI)サービス要求を傍受し、アクセストークン承認クライアントとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得し、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にするためのアクセストークン承認クライアントプロキシを含む。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うよう構成される。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のアクセストークンを取得するために、NRFと信号通信を行うことを、第1のコンシューマNFに代わってアクセストークン要求を生成することと、アクセストークン要求をNRFに送信することと、NRFから、第1のアクセストークンを含むアクセストークン応答を受信することとによって行うよう構成される。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のSBIサービス要求のユーザエージェントヘッダからアクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することによってアクセストークン要求を生成するよう構成される。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシによって抽出される値は、第1のSBIサービス要求のユーザエージェントヘッダからの第1のコンシューマNFのNFインスタンスIDを含む。
本明細書に記載される主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のアクセストークンを使用して、第1のコンシューマNFがサービスにアクセスすることを可能にすることを、第1のアクセストークンを第1のSBIサービス要求に挿入することと、第1のアクセストークンを含む第1のSBIサービス要求を第1のプロデューサNFに転送することと、第1のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第1のコンシューマNFに転送することとによって行うよう構成される。
本明細書で説明する主題の別の局面によれば、SEPPにおける代行承認のためのシステムは、第2のコンシューマNFからアクセストークン要求を受信し、第2のコンシューマNFからのアクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバとして動作し、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のコンシューマNFおよび第2のプロデューサNFと信号通信を行うためのアクセストークン承認サーバプロキシを含む。
本明細書に記載される主題の別の局面によれば、アクセストークン承認サーバプロキシは、アクセストークン承認サーバとして動作する際に、アクセストークン要求に応答して、第2のアクセストークンを生成し、第2のコンシューマNFに対して、第2のアクセストークンを含むアクセストークン応答を送信するよう構成される。
本明細書で説明される主題の別の局面によれば、アクセストークン承認サーバプロキシは、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のコンシューマNFおよび第2のプロデューサNFとの信号通信を、第2のコンシューマNFから、第2のアクセストークンを含む第2のSBIサービス要求を受信することと、第2のSBIサービス要求から第2のアクセストークンを除去することと、SBIサービス要求を第2のプロデューサNFに転送することと、第2のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第2のコンシューマNFに転送することとによって行うよう構成される。
本明細書で説明される主題の別の局面によれば、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御する実行可能命令を記憶した非一時的なコンピュータ可読媒体が提供される。ステップは、アクセストークンベースの承認をサポートしないコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とするプロデューサNFによって提供されるサービスにアクセスするためのサービスベースインターフェース(SBI)サービス要求を傍受することを含む。ステップは、さらに、アクセストークン承認クライアントプロキシとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得することを含む。ステップは、さらに、第1のアクセストークンを使用して、コンシューマNFがプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。
ここで説明される主題は、ハードウェアおよび/またはファームウェアと組み合わせたソフトウェアで実現され得る。たとえば、ここで説明する主題は、プロセッサによって実行されるソフトウェアで実現され得る。例示的な一実現形態では、ここで説明する主題は、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御するコンピュータ実行可能命令を記憶した非一時的コンピュータ可読媒体を使用して実現され得る。本明細書に記載の主題を実施するのに適した例示的なコンピュータ可読媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブル論理デバイス、および特定用途向け集積回路などの非一時的コンピュータ可読媒体を含む。加えて、本明細書で説明される主題を実現するコンピュータ可読媒体は、単一のデバイスもしくはコンピューティングプラットフォーム上に位置してもよく、または複数のデバイスもしくはコンピューティングプラットフォームにわたって分散されてもよい。
詳細な説明
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(HPLMN:home public land mobile network)に位置し得るNRF100およびSCP101を含む。上記で説明されるように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスに加入し、その登録を通知されることを可能にし得る。SCP101はまた、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(HPLMN:home public land mobile network)に位置し得るNRF100およびSCP101を含む。上記で説明されるように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスに加入し、その登録を通知されることを可能にし得る。SCP101はまた、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。
NRF100は、プロデューサNFインスタンスのNFまたはサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、プロデューサNFインスタンスのNFまたはサービスプロファイルをNRF100から取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標) TS 29.510で定義されるJavaScriptオブジェクト表記(JSON)データ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。
図1では、ネットワーク機能のいずれも、それらがサービスを要求、提供、または要求および提供しているかどうかに応じて、コンシューマNF、プロデューサNF、または両方となり得る。図示の例では、NFは、ネットワークにおいてポリシー関連動作を実行するPCF102と、ユーザデータを管理するUDM機能104と、アプリケーションサービスを提供するアプリケーション機能(AF)106とを含む。
図1に示すNFは、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(SMF)108をさらに含む。AMF110は、4Gネットワークにおいてモビリティ管理エンティティ(MME)によって実行されるモビリティ管理動作と同様の動作を実行する。認証サーバ機能(AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114などのユーザ機器(UE)のために認証サービスを実行する。
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスに関連付けられる特定のネットワーク機能および特性にアクセスしようとするデバイスのためにネットワークスライスサービスを提供する。ネットワーク公開機能(NEF)118は、モノのインターネット(IoT)デバイスおよびネットワークに接続される他のUEに関する情報を取得しようとするアプリケーション機能のためにアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス機能公開機能(SCEF)と同様の機能を実行する。
無線アクセスネットワーク(RAN)120は、無線リンクを介してユーザ機器(UE)114をネットワークに接続する。無線アクセスネットワーク120は、g-Node B(gNB)(図1には示さず)または他の無線アクセスポイントを用いてアクセスされてもよい。ユーザプレーン機能(UPF)122は、ユーザプレーンサービスのために様々なプロキシ機能をサポート可能である。そのようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(MPTCP)プロキシ機能である。UPF122はまた、ネットワーク性能測定値を取得するためにUE114によって使用されてもよい性能測定機能をサポートしてもよい。図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするデータネットワーク(DN)124も示されている。
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNを出るトラフィックのためにトポロジー隠蔽を実行する。SEPP126は、外部PLMNのセキュリティを管理する、外部PLMN内のSEPPと通信してもよい。したがって、異なるPLMN内のNF間のトラフィックは、一方はホームPLMN用であり、他方は外部PLMN用である、2つのSEPP機能を横断し得る。
前述のように、5Gネットワークにおいて生じ得る1つの問題は、OAuth2.0承認のための汎用サポートの欠如であり、これは、ネットワーク間のサービス非互換性をもたらし得る。図2は、PLMN間のOAuth2.0承認と、PLMN境界を越えてサービスにアクセスするためのアクセストークンの使用とを示すメッセージフロー図である。図2のメッセージフローを参照すると、ライン1において、コンシューマNF200は、NRF内アクセストークン要求メッセージをビジターネットワーク内に位置するNRF100Aに送信する。NRF100Aは、SEPP126Aおよび126Bを介してリモートNRF100Bにアクセストークン要求メッセージを転送する。この転送は、図2の線2~4によって示される。
ライン5で、ホームNRF100Bは、クライアントがアクセストークンの受信を承認されているか否かを判断し、アクセストークン応答メッセージを送信することによってアクセストークンを返す。ライン5~7で、アクセストークン応答メッセージがコンシューマNF200に通信される。
ライン9で、コンシューマNF200は、ライン9~11によって示されるように、アクセストークンを含むSBIサービス要求メッセージを生成し、SEPP126Aおよび126Bを介してSBIサービス要求メッセージをプロデューサNF202に送信する。
プロデューサNF202は、アクセストークンを検証し、コンシューマNF200にサービスへのアクセスを許可する。ライン12~14において、プロデューサNF202は、SBIサービス応答メッセージをコンシューマNF200に返す。したがって、図2は、2つの異なるネットワークがOAuth2.0承認をサポートし、その結果、アクセストークンメッセージングおよびサービス要求メッセージングが成功する場合を示す。しかしながら、一方または他方のネットワークがOAuth2.0承認をサポートしない場合、サービス要求メッセージングおよび/またはアクセストークンメッセージングは成功しないことになる。
図3は、NFサービスコンシューマがOAuth2.0承認をサポートせず、NFサービスプロデューサがOAuth2.0承認を必要とする場合を示す。図3を参照すると、ライン1において、コンシューマNF200は、SBIサービス要求メッセージを、異なるPLMN内に位置し、アクセストークン承認を必要とするプロデューサNF202に送信する。サービス要求はアクセストークンを含まないので、ライン2のサービス要求はホームSEPP126Bによって拒否される。3GPP TS 33.501のセクション13.4.1.2.2は、プロバイダSEPPが、アクセストークン内のサブジェクトクレームのサービングPLMNがN32メッセージ内のN32-fコンテキストIDに対応するリモートPLMNに一致することをチェックすることを提唱するので、SEPP126Bは、サービス要求を拒否する。ライン2のサービス要求メッセージはアクセストークンを含まないので、SEPP126Bが検証するサブジェクトクレームはなく、したがってメッセージは拒否される。
図3は、コンシューマNFがOAuth2.0承認をサポートせず、プロデューサNFがOAuth2.0承認をサポートする場合を示しているが、図4は、コンシューマNFがOAuth2.0承認をサポートし、NRFがサポートしない場合を示す。図4のメッセージフローを参照すると、ライン1において、この例ではホームネットワーク内に位置するコンシューマNF300が、ホームネットワーク内に位置するプロデューサNF302によって提供されるサービスにアクセスするために、ホームネットワーク内に位置するNRF100Bにアクセストークン要求メッセージを送信する。NRF100Bは、アクセストークン要求メッセージを、ビジターネットワーク内に位置するリモートNRF100Aに転送する。この転送は、図4のメッセージフロー図のライン2~4によって示される。この例では、ビジターNRF100Aは、OAuth2.0承認をサポートしない。したがって、ビジターNRF100Aは、アクセストークン要求に応答することができず、アクセストークンメッセージングの失敗をもたらす。その結果、コンシューマNF300は、ビジターネットワーク内のプロデューサNF302によって提供されるサービスにアクセスすることができない場合がある。
これらの困難を回避するために、本明細書で説明するSEPPは、アクセストークンベースの承認をサポートしないコンシューマNFに代わってアクセストークン承認クライアントプロキシとして機能し、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバとして機能する。アクセストークンベースの承認をサポートしないコンシューマNFについては、SEPPは、アクセストークンをフェッチし、アクセストークンをSBI要求に追加した後に、プロデューサNFにSBI要求を転送する。SEPPは、処理を高速化するためにトークンをキャッシュすることを選択することができる。SEPPは、コンシューマNFに代わってアクセストークン要求を作成するために使用されるNFタイプおよびNFインスタンスIDを取得するために、SBIサービス要求においてコンシューマNFによって提供されるユーザエージェントヘッダからのフィールドを利用し得る。SEPPがOAuth2.0承認サーバとして機能する場合、SEPPは、アクセストークンを要求側コンシューマNFに発行する。
図5は、SEPPがOAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0承認クライアントプロキシとして動作するケースを示す。図5を参照すると、メッセージフロー図のライン1において、コンシューマNF200は、SBIサービス要求メッセージを、異なるPLMNに位置するプロデューサNF202に送信する。SEPP126Aは、アクセストークン要求を傍受し、その要求はアクセストークンを有さない、と判断する。メッセージフロー図のライン2において、SEPP126Aは、プロデューサNFのPLMNに位置するNRF100Bにアクセストークン要求を定式化して送信する。アクセストークン要求メッセージの定式化については、以下でさらに詳細に説明する。図5のライン2および3は、NRF100Bへのアクセストークン要求の転送を示す。NRF100Bは、コンシューマNF200を検証し、アクセストークンを含むアクセストークン応答を生成し、ライン4および5において、SEPP126Bおよび126Aを介してコンシューマNF200のネットワークにアクセストークン応答を送信する。アクセストークン応答をコンシューマNF200に転送する代わりに、SEPP126Aは、アクセストークン応答を傍受し、応答からアクセストークンを抽出し、ライン1で受信されたSBIサービス要求メッセージにアクセストークンを挿入する。ライン6および7で、SEPP126Aは、SBIサービス要求をアクセストークンとともにプロデューサNF202に転送する。プロデューサNF202は、アクセストークンを使用してサービス要求を検証し、ライン8~10において、SBIサービス応答メッセージを生成し、コンシューマNF200に送信する。したがって、図5は、SEPP126AがOAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0承認クライアントプロキシとして機能する場合を示す。
別の例では、SEPP126Aは、アクセストークン承認サーバとして機能し得る。この例を図6に示す。図6を参照すると、ライン1において、コンシューマNF300は、アクセストークン要求メッセージを生成し、アクセストークン要求メッセージをホームネットワーク内に位置するNRF100Bに転送する。NRF100Bは、ライン2および3において、プロデューサNF302が存在するネットワーク内に位置するNRF100Aにアクセストークン要求メッセージを転送する。しかしながら、NRF100Aは、OAuth2.0承認をサポートしない。したがって、SEPP126Aは、アクセストークン要求メッセージを傍受し、ライン4において、NRF100Aに代わってアクセストークン応答メッセージを生成する。アクセストークン応答メッセージは、SEPP126Aにローカルな情報を使用してSEPP126Aによって生成されたアクセストークンを含む。アクセストークンは、必要とされるアクセストークンクレームのすべてを含むという点で、構文的に正しくてもよい。ライン4~6において、SEPP126Aは、アクセストークンをコンシューマNF300に転送する。
ライン7で、コンシューマNF300は、SBIサービス要求を生成し、プロデューサNF302に送信し、サービス要求は、アクセストークンを含む。ライン8で、SEPP126Aは、SBIサービス要求を受信し、プロデューサNF302はOAuth2.0承認をサポートしないので、サービス要求からアクセストークンを除去する。ライン9において、SEPP126Aは、サービス要求をプロデューサNF302に転送する。ライン10~12において、プロデューサNF202は、SBIサービス応答メッセージを生成し、コンシューマNF300に送信する。したがって、図6は、SEPP126Aが、OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバプロキシとして機能する場合を示す。
図7は、本明細書で説明するOAuth2.0承認プロキシ化をサポートするSEPPの例示的なアーキテクチャを示すブロック図である。図7を参照すると、SEPP126Aは、少なくとも1つのプロセッサ700とメモリ702とを含む。SEPP126Aは、OAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0アクセストークンを取得し、コンシューマNFがOAuth2.0承認をサポートするプロデューサNFによって提供されるサービスにアクセスすることを可能にするためにOAuth2.0アクセストークンを含むようにSBIサービス要求メッセージを修正する、図5に関して上記で説明した動作を実行するためのアクセストークン承認クライアントプロキシ704をさらに含む。SEPP126Aは、さらに、図6に関して上述したように、OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバの機能を実行するアクセストークン承認サーバプロキシ706を含む。アクセストークン承認サーバプロキシ706はまた、アクセストークンベースの承認をサポートしないプロデューサNFに宛てられたサービス要求メッセージからアクセストークンを除去し得る。アクセストークン承認クライアントプロキシ704およびアクセストークン承認サーバプロキシ706は、プロセッサ700に上述のアクセストークン承認クライアントおよびサーバプロキシ化動作を行わせる、メモリ702に記憶されたコンピュータ実行可能命令を使用して実現することができる。
図8Aは、SEPPがアクセストークン承認クライアントプロキシとして機能する、SEPPにおいて代行承認を実行するための例示的な全体的なプロセスを示すフローチャートである。図8Aを参照すると、ステップ800において、本プロセスは、アクセストークンベースの承認をサポートしないコンシューマNFから、アクセストークンベースの承認を必要とするプロデューサNFによって提供されるサービスにアクセスするためのSBIサービス要求を傍受することを含む。例えば、SEPP126Aは、プロデューサNF202によって提供されるサービスにアクセスするためのSBIサービス要求をコンシューマNF200から受信し得る。
ステップ802において、本プロセスは、コンシューマNFに代わってアクセストークンを取得するためにアクセストークン承認クライアントプロキシとして動作することを含む。例えば、SEPP126Aは、OAuth2.0承認をサポートしないコンシューマNF200に代わってアクセストークンを取得するためにOAuth2.0承認クライアントプロキシとして機能し得る。図8Bは、図8Aのステップ802のさらなる詳細を示す。図8Bを参照すると、ステップ802Aにおいて、本プロセスは、コンシューマNFに代わってアクセストークン要求メッセージを生成することを含む。下記の表1は、アクセストークン要求メッセージに含まれなければならない属性を示す。
アクセストークン要求に含まれなければならない属性の最小セットは、許可タイプ、NFインスタンスID、NFタイプ、ターゲットNFタイプ、範囲、要求元PLMN、およびターゲットPLMNである。許可タイプ属性は、SBIサービス要求メッセージからポピュレートされるコンシューマNF身分証明から取得され得る。NFインスタンスIDは、SBIサービス要求メッセージのユーザエージェントヘッダからポピュレートされ得る。3GPP TS 29.500のセクション5.2.2によれば、ユーザエージェントヘッダは、SBIサービス要求メッセージ内の必須ヘッダである。以下の表2は、ユーザエージェントパラメータの構造を示す。
表2に示されるように、ユーザエージェントパラメータは、NFインスタンスID等の、NFインスタンスを識別する情報を含み得る。SEPP126Aは、SBIサービス要求メッセージのユーザエージェントヘッダからNFインスタンスIDを抽出し、その情報を使用してアクセストークン要求メッセージのNFインスタンスID属性をポピュレートし得る。同様に、NFタイプもまた、SBIサービス要求メッセージのユーザエージェントヘッダから取得され得る。
表1に戻ると、アクセストークン要求の要求元PLMNは、SEPP126Aの、設定された要求元PLMNパラメータに基づいて、ポピュレートされ得る。ターゲットPLMN属性は、SBIサービス要求メッセージの要求元統一資源識別子(R-URI)から抽出されたAPI名からポピュレートされ得る。アクセストークン要求の範囲属性は、SBIサービス要求メッセージのR-URIから抽出されたサービス名からポピュレートされ得る。
図8Bに戻ると、アクセストークン要求が定式化されると、ステップ802Bにおいて、SEPP126Aは、アクセストークン要求をNRFに送信する。たとえば、SEPP126Aは、プロデューサNF202が位置するPLMNに位置するNRF100Bにアクセストークン要求メッセージを送信し得る。
ステップ802Cにおいて、本プロセスは、アクセストークンを含むアクセストークン応答をNRFから受信することを含む。例えば、SEPP126Aは、アクセストークンを含むアクセストークン応答をNRF100Bから受信してもよい。
図8Aに戻ると、ステップ804において、本プロセスは、第1のアクセストークンを使用して、コンシューマNFがプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。図8Cは、図8Aのステップ804のさらなる詳細を示す。図8Cを参照すると、ステップ804Aにおいて、本プロセスは、アクセストークンをSBIサービス要求メッセージに挿入することを含む。例えば、SEPP126Aは、NRF100Bから取得したアクセストークンを、コンシューマNF200から傍受したサービス要求メッセージに挿入することができる。
ステップ804Bにおいて、本プロセスは、第1のアクセストークンを含むSBIサービス要求をプロデューサNFに転送することを含む。たとえば、SEPP126Aは、アクセストークンを含むSBIサービス要求をプロデューサNF202に転送することができる。次いで、プロデューサNF202は、アクセストークンを使用してサービス要求を承認し、サービス要求に応答する。SEPP126Aは、応答をコンシューマNF200に転送する。したがって、図8A~図8Cは、SEPPがアクセストークン承認クライアントプロキシとして機能し、アクセストークン承認クライアントプロキシは、本明細書で説明する例では、OAuth2.0承認クライアントプロキシである、SEPPによる代行承認を示す。
図9Aは、アクセストークン承認をサポートしないNRFに代わってアクセストークン承認サーバプロキシとして機能するSEPPによって実行される例示的な代行承認プロセスを示す。図9Aを参照すると、本プロセスは、ステップ900において、コンシューマNFからアクセストークン要求を受信することを含む。例えば、SEPP126Aは、コンシューマNF300からアクセストークン要求を受信する。
ステップ902において、本プロセスは、アクセストークン要求に応答して、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバプロキシとして動作することを含む。ステップ902は、図9Bにさらに詳細に示される。図9Bを参照すると、ステップ902Aにおいて、本プロセスは、アクセストークン要求に応答してアクセストークンを生成することを含む。たとえば、SEPP126Aは、IETF RFC6749において指定される必要とされるクレームを含むアクセストークンを生成し得る。アクセストークンは、IETF RFC6749において指定されたフォーマットおよびコンテンツに従って構文的に正しいものであってもよい。しかしながら、以下で説明されるように、SEPP126Aは、アクセストークンベースの承認をサポートしないプロデューサNFにサービス要求メッセージを転送する前にサービス要求メッセージからアクセストークンを除去することになるので、アクセストークンは実際のアクセストークンである必要はなく、構文的に正しいフィールドを有するダミーアクセストークンであり得る。
ステップ902Bにおいて、本プロセスは、アクセストークン応答をコンシューマNFに送信することを含む。例えば、SEPP126Aは、ステップ902Aで生成されたアクセストークンを含むアクセストークン応答を要求側コンシューマNF300に送信することができる。
図9Aに戻ると、ステップ904において、本プロセスは、コンシューマNFがサービスにアクセスすることを可能にするよう、プロデューサNFおよびコンシューマNFとの信号通信を含む。ステップ904は、図9Cにより詳細に示される。図9Cを参照すると、コンシューマNFおよびプロデューサNFとの信号通信のプロセスは、ステップ904Aにおいて、アクセストークンを含むSBIサービス要求をコンシューマNFから受信することを含む。たとえば、SEPP126Aは、SEPP126Aが生成したNFアクセストークンを含むSBIサービス要求をNFサービスコンシューマ300から受信することができる。
ステップ904Bにおいて、本プロセスは、SBIサービス要求からアクセストークンを除去することを含む。ステップ904Cにおいて、本プロセスは、SBIサービス要求をプロデューサNFに転送することを含む。したがって、図9A~図9Cは、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバプロキシおよび信号通信仲介者として機能する際にSEPPによって実行され得る例示的なステップを示す。
本明細書で説明される主題の例示的な利点は、あるPLMNがアクセストークンベースの承認をサポートし、別のPLMNがサポートしない、PLMN間の改善された相互運用性を含む。SEPPにおいてソリューションを提供することは、SEPPがネットワーク間の境界に位置するので、有益である。また、それは、単一のSEPPが、コンシューマNFおよびプロデューサNFのために、またはそれらに代わって、本明細書で説明される機能を果たすことができるため、スケーラブルなソリューションでもある。
以下の参考文献の各々の開示は、参照によりその全体が本明細書に組み込まれる。
参照
1. Hardt, D. "The OAuth 2.0 Authorization Framework," IETF RFC 6749 (October 2012).
2. 3GPP TS 33.501 V17.0.0 (2020-12), 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 17).
3. 3GPP TS 29.500 V17.1.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Technical Realization of the Service Based Architecture; Stage 3 (Release 17).
4. 3GPP TS 29.510 V17.0.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 17).
ここに記載される主題の様々な詳細は、ここに記載される主題の範囲から逸脱することなく変更され得ることが理解されるであろう。さらに、前述の説明は、例示のみを目的とし、限定を目的とせず、ここに記載される主題は、以下に記載される特許請求の範囲によって定義される。
参照
1. Hardt, D. "The OAuth 2.0 Authorization Framework," IETF RFC 6749 (October 2012).
2. 3GPP TS 33.501 V17.0.0 (2020-12), 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 17).
3. 3GPP TS 29.500 V17.1.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Technical Realization of the Service Based Architecture; Stage 3 (Release 17).
4. 3GPP TS 29.510 V17.0.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 17).
ここに記載される主題の様々な詳細は、ここに記載される主題の範囲から逸脱することなく変更され得ることが理解されるであろう。さらに、前述の説明は、例示のみを目的とし、限定を目的とせず、ここに記載される主題は、以下に記載される特許請求の範囲によって定義される。
Claims (20)
- セキュリティエッジ保護プロキシ(SEPP)における代行承認のための方法であって、
少なくとも1つのプロセッサおよびメモリを含むSEPPにおいて、
アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースのインターフェース(SBI)サービス要求を傍受することと、
アクセストークン承認クライアントプロキシとして動作して、前記第1のコンシューマNFに代わって第1のアクセストークンを取得することと、
前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にすることとを含む、方法。 - アクセストークン承認クライアントプロキシとして動作することは、前記第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うことを含む、請求項1に記載の方法。
- 前記第1のアクセストークンを取得するために前記NRFと信号通信を行うことは、
前記第1のコンシューマNFに代わってアクセストークン要求を生成することと、
前記アクセストークン要求を前記NRFに送信することと、
前記NRFから、前記第1のアクセストークンを含むアクセストークン応答を受信することとを含む、請求項2に記載の方法。 - 前記アクセストークン要求を生成することは、前記第1のSBIサービス要求のユーザエージェントヘッダから、前記アクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することを含む、請求項3に記載の方法。
- 前記属性のうちの少なくともいくつかの値を抽出することは、前記第1のSBIサービス要求の前記ユーザエージェントヘッダから前記第1のコンシューマNFのNFインスタンスIDを抽出することを含む、請求項4に記載の方法。
- 前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にすることは、
前記第1のアクセストークンを前記第1のSBIサービス要求に挿入することと、
前記第1のアクセストークンを含む前記第1のSBIサービス要求を前記第1のプロデューサNFに転送することと、
前記第1のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第1のコンシューマNFに転送することとを含む、先行する請求項のいずれか1項に記載の方法。 - 第2のコンシューマNFからアクセストークン要求を受信することと、
前記第2のコンシューマNFからの前記アクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバプロキシとして動作することと、
前記第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、前記第2のコンシューマNFおよび前記第2のプロデューサNFと信号通信を行うこととを含む、先行する請求項のいずれか1項に記載の方法。 - アクセストークン承認サーバプロキシとして動作することは、
前記アクセストークン要求に応答して、第2のアクセストークンを生成することと、
前記第2のコンシューマNFに、前記第2のアクセストークンを含むアクセストークン応答を送信することとを含む、請求項7に記載の方法。 - 前記第2のコンシューマNFが前記第2のプロデューサNFによって提供される前記サービスにアクセスすることを可能にするよう、前記第2のプロデューサNFと信号通信を行うことは、
前記第2のコンシューマNFから、前記第2のアクセストークンを含む第2のSBIサービス要求を受信することと、
前記第2のSBIサービス要求から前記第2のアクセストークンを除去することと、
前記第2のSBIサービス要求を前記第2のプロデューサNFに転送することと、
前記第2のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第2のコンシューマNFに転送することとを含む、請求項8に記載の方法。 - 前記第2のアクセストークンを生成することは、構文的に正しいクレームを伴うダミーアクセストークンを含むOAuth2.0アクセストークンを生成することを含む、請求項8に記載の方法。
- セキュリティエッジ保護プロキシ(SEPP)における代行承認のためのシステムであって、
少なくとも1つのプロセッサおよびメモリを含むSEPPと、
前記少なくとも1つのプロセッサによって実現されるアクセストークン承認クライアントプロキシとを備え、前記アクセストークン承認クライアントプロキシは、アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースのインターフェース(SBI)サービス要求を傍受し、アクセストークン承認クライアントとして動作して、前記第1のコンシューマNFに代わって第1のアクセストークンを取得し、前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にする、システム。 - 前記アクセストークン承認クライアントプロキシは、前記第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うよう構成される、請求項11に記載のシステム。
- 前記アクセストークン承認クライアントプロキシは、前記第1のアクセストークンを取得するために、前記NRFと信号通信を行うことを、
前記第1のコンシューマNFに代わってアクセストークン要求を生成することと、
前記アクセストークン要求を前記NRFに送信することと、
前記NRFから、前記第1のアクセストークンを含むアクセストークン応答を受信することとによって行うよう構成される、請求項12記載のシステム。 - 前記アクセストークン承認クライアントプロキシは、前記第1のSBIサービス要求のユーザエージェントヘッダから、前記アクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することによって、前記アクセストークン要求を生成するよう構成される、請求項13に記載のシステム。
- 前記アクセストークン承認クライアントプロキシによって抽出される前記値は、前記第1のSBIサービス要求の前記ユーザエージェントヘッダからの前記第1のコンシューマNFのNFインスタンスIDを含む、請求項14に記載のシステム。
- 前記アクセストークン承認クライアントプロキシは、前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記サービスにアクセスすることを可能にすることを、
前記第1のアクセストークンを前記第1のSBIサービス要求に挿入することと、
前記第1のアクセストークンを含む前記第1のSBIサービス要求を前記第1のプロデューサNFに転送することと、
前記第1のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第1のコンシューマNFに転送することとによって行うよう構成される、請求項11~15のいずれか1項に記載のシステム。 - 第2のコンシューマNFからアクセストークン要求を受信し、前記第2のコンシューマNFからの前記アクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバとして動作し、前記第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、前記第2のコンシューマNFおよび前記第2のプロデューサNFと信号通信を行うためのアクセストークン承認サーバプロキシを備える、請求項11~16のいずれか1項に記載のシステム。
- 前記アクセストークン承認サーバとして動作する際に、前記アクセストークン承認サーバプロキシは、
前記アクセストークン要求に応答して、第2のアクセストークンを生成し、
前記第2のコンシューマNFに、前記第2のアクセストークンを含むアクセストークン応答を送信するよう構成される、請求項17に記載のシステム。 - 前記アクセストークン承認サーバプロキシは、前記第2のコンシューマNFが前記第2のプロデューサNFによって提供される前記サービスにアクセスすることを可能にするよう、前記第2のコンシューマNFおよび前記第2のプロデューサNFとの信号通信を、
前記第2のコンシューマNFから、前記第2のアクセストークンを含む第2のSBIサービス要求を受信することと、
前記第2のSBIサービス要求から前記第2のアクセストークンを除去することと、
前記SBIサービス要求を前記第2のプロデューサNFに転送することと、
前記第2のプロデューサNFからSBIサービス応答を受信することと、
前記SBIサービス応答を前記第2のコンシューマNFに転送することとによって行うよう構成される、請求項17に記載のシステム。 - コンピュータのプロセッサによって実行されるとステップを実行するように前記コンピュータを制御する実行可能命令を記憶した非一時的なコンピュータ可読媒体であって、前記ステップは、
アクセストークンベースの承認をサポートしないコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とするプロデューサNFによって提供されるサービスにアクセスするためのサービスベースインターフェース(SBI)サービス要求を傍受することと、
アクセストークン承認クライアントとして動作して、前記コンシューマNFに代わって第1のアクセストークンを取得することと、
前記第1のアクセストークンを使用して、前記コンシューマNFが前記プロデューサNFによって提供される前記サービスにアクセスすることを可能にすることとを含む、非一時的なコンピュータ可読媒体。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/198,740 | 2021-03-11 | ||
US17/198,740 US20220295282A1 (en) | 2021-03-11 | 2021-03-11 | Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp) |
PCT/US2022/014084 WO2022191931A1 (en) | 2021-03-11 | 2022-01-27 | Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp) |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2024509941A true JP2024509941A (ja) | 2024-03-05 |
JPWO2022191931A5 JPWO2022191931A5 (ja) | 2024-08-29 |
Family
ID=80786954
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023555360A Pending JP2024509941A (ja) | 2021-03-11 | 2022-01-27 | セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体 |
Country Status (5)
Country | Link |
---|---|
US (1) | US20220295282A1 (ja) |
EP (1) | EP4305805A1 (ja) |
JP (1) | JP2024509941A (ja) |
CN (1) | CN117121438A (ja) |
WO (1) | WO2022191931A1 (ja) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11811747B2 (en) | 2021-03-11 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for delegated authorization at service communication proxy (SCP) |
US11818102B2 (en) * | 2021-04-16 | 2023-11-14 | Nokia Technologies Oy | Security enhancement on inter-network communication |
US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
US20240163661A1 (en) * | 2022-11-15 | 2024-05-16 | Oracle International Corporation | Methods, systems, and computer readable media for securing sensitive data to be transmitted in 5g and subsequent generation networks |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7512973B1 (en) * | 2004-09-08 | 2009-03-31 | Sprint Spectrum L.P. | Wireless-access-provider intermediation to facilliate digital rights management for third party hosted content |
US11245682B2 (en) * | 2018-10-18 | 2022-02-08 | Oracle International Corporation | Adaptive authorization using access token |
EP3955515A4 (en) * | 2019-04-11 | 2023-01-04 | Ntt Docomo, Inc. | NETWORK NODE |
EP3963825A4 (en) * | 2019-04-27 | 2023-01-25 | Nokia Technologies Oy | SERVICE AUTHORIZATION FOR INDIRECT COMMUNICATION IN A COMMUNICATION SYSTEM |
JP2021064319A (ja) * | 2019-10-17 | 2021-04-22 | 富士通株式会社 | 通信プログラム、認可サーバ、および、通信システム |
US11032270B1 (en) * | 2020-04-07 | 2021-06-08 | Cyberark Software Ltd. | Secure provisioning and validation of access tokens in network environments |
-
2021
- 2021-03-11 US US17/198,740 patent/US20220295282A1/en active Pending
-
2022
- 2022-01-27 JP JP2023555360A patent/JP2024509941A/ja active Pending
- 2022-01-27 EP EP22704990.5A patent/EP4305805A1/en active Pending
- 2022-01-27 CN CN202280025297.XA patent/CN117121438A/zh active Pending
- 2022-01-27 WO PCT/US2022/014084 patent/WO2022191931A1/en active Application Filing
Also Published As
Publication number | Publication date |
---|---|
WO2022191931A1 (en) | 2022-09-15 |
US20220295282A1 (en) | 2022-09-15 |
CN117121438A (zh) | 2023-11-24 |
EP4305805A1 (en) | 2024-01-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116057924B (zh) | 用于提供网络功能发现服务增强的方法、系统和计算机可读介质 | |
US11943616B2 (en) | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting | |
EP3963825A1 (en) | Service authorization for indirect communication in a communication system | |
US11924641B2 (en) | Security management for service access in a communication system | |
JP2024509941A (ja) | セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体 | |
JP2023548372A (ja) | ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体 | |
US11811747B2 (en) | Methods, systems, and computer readable media for delegated authorization at service communication proxy (SCP) | |
JP2023536286A (ja) | サービス通信プロキシ(scp)を使用する好ましいネットワーク機能(nf)位置ルーティングのための方法、システム、およびコンピュータ読取可能媒体 | |
US11283883B1 (en) | Methods, systems, and computer readable media for providing optimized binding support function (BSF) packet data unit (PDU) session binding discovery responses | |
JP2024502607A (ja) | 加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体 | |
US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
WO2023096785A1 (en) | Method, system, and computer readable media for dynamically updating domain name system (dns) records from registered network function (nf) profile information | |
US11864093B2 (en) | Methods, systems, and computer readable media for communicating delegated network function (NF) discovery results between service communication proxies (SCPs) and using the delegated NF discovery results for alternate routing | |
JP2024533280A (ja) | 過負荷制御情報を検証することによってサービス拒否(DoS)攻撃が成功する可能性を低減するための方法、システム、およびコンピュータ可読プログラム | |
US11895080B2 (en) | Methods, systems, and computer readable media for resolution of inter-network domain names | |
US11716283B2 (en) | Methods, systems, and computer readable media for selecting a software defined wide area network (SD-WAN) link using network slice information | |
WO2021068937A1 (zh) | 服务绑定的方法及装置 | |
US9888001B2 (en) | Methods, systems, and computer readable media for negotiating diameter capabilities | |
WO2023229855A1 (en) | Methods, systems, and computer readable media for utilizing network function (nf) service attributes associated with registered nf service producers in a hierarchical network | |
US20230318960A1 (en) | Methods, systems, and computer readable media for service communication proxy (scp) routing | |
US20230094027A1 (en) | Methods, systems, and computer readable media for supporting mobile originated data multicasting in a communications network | |
WO2022067736A1 (zh) | 一种通信方法及装置 | |
WO2024195282A1 (ja) | コアネットワークノード、データ生成方法、プログラム及び通信システム | |
US20240080300A1 (en) | Methods, systems, and computer readable media for automatic category 1 message filtering rules configuration by learning topology information from network function (nf) repository function (nrf) | |
US20230292274A1 (en) | Methods, systems, and computer readable media for discovering network function service producers in a hierarchical network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20240821 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20240821 |