JP2024517875A - ネットワーク機能インスタンス識別子を隠蔽するための方法、システム、およびコンピュータ可読媒体 - Google Patents

ネットワーク機能インスタンス識別子を隠蔽するための方法、システム、およびコンピュータ可読媒体 Download PDF

Info

Publication number
JP2024517875A
JP2024517875A JP2023568350A JP2023568350A JP2024517875A JP 2024517875 A JP2024517875 A JP 2024517875A JP 2023568350 A JP2023568350 A JP 2023568350A JP 2023568350 A JP2023568350 A JP 2023568350A JP 2024517875 A JP2024517875 A JP 2024517875A
Authority
JP
Japan
Prior art keywords
instance
pseudo
request message
nrf
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023568350A
Other languages
English (en)
Inventor
ラジプット,ジャイ
シング,ビレンドラ
ジャヤラマチャー,アマーナス
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2024517875A publication Critical patent/JP2024517875A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W40/00Communication routing or communication path finding
    • H04W40/24Connectivity information management, e.g. connectivity discovery or connectivity update
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • G06F21/6254Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4541Directories for service discovery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W60/00Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/26Network addressing or numbering for mobility support
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W80/00Wireless network protocols or protocol adaptations to wireless operation
    • H04W80/08Upper layer protocols
    • H04W80/10Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Databases & Information Systems (AREA)
  • Bioethics (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Medical Informatics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

Figure 2024517875000001
通信ネットワークにおいてネットワーク機能(NF)インスタンス識別子(ID)を隠蔽するための方法、システム、およびコンピュータ可読媒体が開示される。通信ネットワークにおいてNFインスタンスIDを隠蔽するための1つの方法は、少なくとも1つのプロセッサを備えるNFリポジトリ機能(NRF)において行われる。本方法は、第1のNFから、第1のNFの第1のNFインスタンスを登録することを求めるNF登録要求メッセージを受信することを含み、NF登録要求メッセージは、第1のNFインスタンスを識別するための第1のNFインスタンスIDを含み、本方法は、第1のNFインスタンスIDと少なくとも1つの擬似NFインスタンスIDとの間のマッピングをデータストアに記憶することをさらに含み、データストアは、NFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間のマッピングを含み、本方法は、第1のNFインスタンスを識別するための少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージを生成し、第1のNFに送信することをさらに含む。

Description

優先権の主張
本願は、その開示全体が参照により本願に組み込まれる、2021年5月7日付で出願の米国特許出願第17/314,300号の優先権の利益を主張する。
技術分野
本明細書に記載されている主題は、第5世代(5G)および後続の世代の通信ネットワークにおけるセキュリティの強化に関する。より詳細には、本明細書に記載されている主題は、第5世代(5G)および後続の世代の通信ネットワークにおけるネットワーク機能(NF)インスタンス識別子(ID)を隠蔽するための方法、システム、およびコンピュータ可読媒体に関する。
背景
第5世代(5G)通信ネットワークにおいて、サービスを提供するネットワークノードは、プロデューサネットワーク機能(NF)として参照される。サービスを消費するネットワークノードは、コンシューマNFとして参照される。ネットワーク機能は、サービスを消費しているかまたは提供しているかに応じて、プロデューサNFとコンシューマNFの両方であり得る。
所与のプロデューサNFは、多くのサービスエンドポイントを有し得、サービスエンドポイントは、プロデューサNFによってホストされる1つまたは複数のNFインスタンスの接点である。サービスエンドポイントは、インターネットプロトコル(IP)アドレスおよびポート番号、または、IPアドレスに帰着する完全修飾ドメイン名およびプロデューサNFをホストするネットワークノード上のポート番号の組合せによって識別される。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは、2つ以上のNFインスタンスを含み得る。複数のNFインスタンスが同じサービスエンドポイントを共有することができることにも留意されたい。
プロデューサNFは、NFリポジトリ機能(NRF)に登録する。NRFは、各NFインスタンスによってサポートされるサービスを識別する利用可能なNFインスタンスのサービスプロファイルを維持する。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するためにサブスクライブし得る。コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するためにサブスクライブし得る別のタイプのネットワークノードは、サービス通信プロキシ(SCP)である。SCPは、NRFにサブスクライブし、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を得る。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシは、必要なサービスを提供するプロデューサNFサービスインスタンスの間でトラフィックの負荷バランシングを行うか、または、トラフィックを宛先プロデューサNFインスタンスに直接ルーティングする。
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードまたはネットワークノードのグループの他の例は、セキュリティエッジ保護プロキシ(SEPP)、サービスゲートウェイ、および5Gサービスメッシュ内のノードを含む。SEPPは、異なる5G公衆陸上移動体通信網(PLMN)の間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。そのため、SEPPは、アプリケーションプログラミングインターフェース(API)メッセージに対して様々な量のメッセージフィルタリング、ポリシング、およびトポロジ隠蔽を実施する。
しかしながら、1つまたは複数のNFにおいて、改善されるセキュリティ対策が必要とされている。
概要
通信ネットワークにおいてネットワーク機能(NF)インスタンス識別子(ID)を隠蔽するための方法、システム、およびコンピュータ可読媒体が開示される。通信ネットワークにおいてNFインスタンスIDを隠蔽するための1つの方法は、少なくとも1つのプロセッサを備えるNFリポジトリ機能(NRF)において行われる。本方法は、第1のNFから、第1のNFの第1のNFインスタンスを登録することを求めるNF登録要求メッセージを受信することを含み、NF登録要求メッセージは、第1のNFインスタンスを識別するための第1のNFインスタンスIDを含み、本方法は、第1のNFインスタンスIDと少なくとも1つの擬似NFインスタンスIDとの間のマッピングをデータストアに記憶することをさらに含み、データストアは、NFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間のマッピングを含み、本方法は、第1のNFインスタンスを識別するための少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージを生成し、第1のNFに送信することをさらに含む。
通信ネットワークにおいてNFインスタンスIDを隠蔽するための1つの例示的なシステムは、少なくとも1つのプロセッサおよびメモリを備えるNRFを含む。NRFは、第1のNFから、第1のNFの第1のNFインスタンスを登録することを求めるNF登録要求メッセージを受信するように構成されており、NF登録要求メッセージは、第1のNFインスタンスを識別するための第1のNFインスタンスIDを含み、NRFは、第1のNFインスタンスIDと少なくとも1つの擬似NFインスタンスIDとの間のマッピングをデータストアに記憶するように構成されており、データストアは、NFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間のマッピングを含み、NRFは、第1のNFインスタンスを識別するための少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージを生成し、第1のNFに送信するように構成されている。
1つの例示的な非一時的コンピュータ可読媒体は、非一時的コンピュータ可読媒体内に具現化されるコンピュータ実行可能命令を含み、コンピュータ実行可能命令は、少なくとも1つのコンピュータの少なくとも1つのプロセッサによって実行されると、少なくとも1つのコンピュータにステップを実施させ、ステップは、第1のNFから、第1のNFの第1のNFインスタンスを登録することを求めるNF登録要求メッセージを受信するステップを含み、NF登録要求メッセージは、第1のNFインスタンスを識別するための第1のNFインスタンスIDを含み、ステップは、第1のNFインスタンスIDと少なくとも1つの擬似NFインスタンスIDとの間のマッピングをデータストアに記憶するステップを含み、データストアは、NFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間のマッピングを含み、ステップは、第1のNFインスタンスを識別するための少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージを生成し、第1のNFに送信するステップを含む。
本明細書に記載されている主題の一態様によれば、第1のNFは、NRFから、第1のNFの第1のNFインスタンスを識別するための少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージを受信するように構成されてもよく、少なくとも1つの擬似NFインスタンスIDの各々は、第1のNFインスタンスを識別するための第1のNFインスタンスIDとは異なり、第1のNFは、第1のNFインスタンスIDと関連付けられる少なくとも1つの擬似NFインスタンスIDを記憶することと、要求または応答メッセージを送信するときに、送信元識別のために少なくとも1つの擬似NFインスタンスIDのうちの第1の擬似NFインスタンスIDを使用することとを行うように構成されてもよい。
本明細書に記載されている主題の一態様によれば、NRFは、コンシューマNFインスタンスから、少なくとも1つのクエリパラメータを含むNF発見要求メッセージを受信することと、少なくとも1つのクエリパラメータおよびデータストアを使用して、第1の擬似NFインスタンスIDを含むNFプロファイルを選択することと、第1の擬似NFインスタンスIDを含むNFプロファイルをコンシューマNFインスタンスに送信することとを行うように構成されてもよい。
本明細書に記載されている主題の一態様によれば、第1の擬似NFインスタンスIDは、第1のNFインスタンスと関連付けられるアクセストークン、NFプロファイル、またはNFサブスクリプションを要求するために、コンシューマNFインスタンスによって使用可能であってもよい。
本明細書に記載されている主題の一態様によれば、第1の擬似NFインスタンスIDは、サービスベースインターフェース(SBI)を介して第1のNFインスタンスと通信するために、コンシューマNFインスタンスによって使用可能であってもよい。
本明細書に記載されている主題の一態様によれば、NRFは、第1のNFインスタンスと関連付けられるアクションを実施するためのサービス要求メッセージを受信するように構成されてもよく、サービス要求メッセージは、第1のNFインスタンスのIDを含み、NRFは、IDおよびNFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間の関連付けを包含するデータストアを使用して、サービス要求メッセージが有効または無効であることを判定することと、サービス要求メッセージが無効であるという判定に応答して、無効メッセージアクションを実施することと、サービス要求メッセージが有効であるという判定に応答して、第1のNFインスタンスと関連付けられるアクションを実施することとを行うように構成されてもよい。
本明細書に記載されている主題の一態様によれば、(たとえば、擬似NFインスタンスIDを使用することによって)NFインスタンスIDを隠蔽するNFは、プロデューサNF、ポリシ制御機能(PCF)、バインディングサポート機能(BSF)、サービス通信プロキシ(SCP)、セキュリティエッジ保護プロキシ(SEPP)、ネットワークスライス選択機能(NSSF)、ネットワークエクスポージャ機能(NEF)、統合データリポジトリ(UDR)、または5GC NFを含んでもよい。
本明細書に記載されている主題の一態様によれば、無効メッセージアクションは、要求メッセージを破棄すること、または、ネットワークオペレータもしくは管理システムに通知することを含んでもよい。
本明細書に記載されている主題の一態様によれば、サービス要求メッセージは、NF登録要求メッセージ、NF更新要求メッセージ、またはNF登録解除要求メッセージを含んでもよい。
本明細書に記載されている主題の一態様によれば、サービス要求メッセージ(たとえば、NF登録要求メッセージ、NF更新要求メッセージ、またはNF登録解除要求メッセージ)が無効であると判定することは、サービス要求メッセージ内のIDが第1のNFインスタンスIDと関連付けられる1つまたは複数の擬似NFインスタンスIDのうちの1つであると判定することを含む。
本明細書に記載されている主題は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組合せで実装されてもよい。そのため、本明細書において使用されるものとしての用語「機能」、「ノード」または「モジュール」は、記載されている特徴を実装するための、ソフトウェアおよび/またはファームウェア構成要素も含んでもよいハードウェアを指す。1つの例示的な実施態様において、本明細書に記載されている主題は、コンピュータのプロセッサによって実行されると、ステップを実施するようにコンピュータを制御するコンピュータ実行可能命令を記憶しているコンピュータ可読媒体を使用して実装されてもよい。本明細書に記載されている主題を実装するのに適した例示的なコンピュータ可読媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブル論理デバイス、および特定用途向け集積回路などの、非一時的コンピュータ可読媒体を含む。加えて、本明細書に記載されている主題を実装するコンピュータ可読媒体は、単一のデバイスもしくはコンピューティングプラットフォーム上に位置してもよく、または、複数のデバイスもしくはコンピューティングプラットフォームにわたって分散されてもよい。
ここで、添付の図面を参照して、本明細書に記載されている主題を説明する。
例示的な第5世代(5G)ネットワークアーキテクチャを示すネットワーク図である。 5G通信ネットワークにおいてネットワーク機能(NF)インスタンス識別子(ID)を隠蔽するための例示的なネットワークノードを示す図である。 NFインスタンスIDを伴う例示的なNF発見シナリオを示すメッセージフロー図である。 NFインスタンスIDを含む例示的なNFアクセストークンの使用を示すメッセージフロー図である。 NFインスタンスIDおよび関係付けられる擬似NFインスタンスIDを示す例示的なIDデータを示す図である。 メッセージタイプおよび関係付けられる擬似NFインスタンスIDの使用を示す例示的なID使用状況データを示す図である。 擬似NFインスタンスIDを伴う例示的なNF発見シナリオを示すメッセージフロー図である。 擬似NFインスタンスIDを含む例示的なNFアクセストークンの使用を示すメッセージフロー図である。 NF登録解除要求メッセージの例示的な妥当性確認を示すメッセージフロー図である。 通信ネットワークにおいてNFインスタンスIDを隠蔽するための例示的なプロセスを示すフローチャートである。
詳細な説明
本明細書に記載されている主題は、第5世代(5G)通信ネットワークにおけるネットワーク機能(NF)インスタンス識別子(ID)を隠蔽するための方法、システム、およびコンピュータ可読媒体に関する。5G通信ネットワークにおいて、NFインスタンスIDは、5G NFインスタンスを一意に識別するために使用される。たとえば、NFリポジトリ機能(NRF)は、NF管理、NF発見、およびNFアクセストークンサービスのためにNFインスタンスIDを使用する。さらに、コンシューマNFは、クライアント認証情報アサーション(CCA)ベースのクライアント認証のためにNFインスタンスIDを使用する。NFはまた、それらの識別情報を共有するためにNFインスタンスIDを使用し、たとえば、アクセスおよびモビリティ管理機能(AMF)は、UEコンテキスト管理(UECM)サービス登録中にそのNFインスタンスIDを使用する。NFインスタンスIDは、NFを一意に識別するため、NFインスタンスIDをそれらの公衆陸上移動体通信網(PLMN)の外側に暴露することは、黙示的に、PLMNのトポロジを外界に暴露し得る。たとえば、NFインスタンスIDは、NF間でトランスポート層セキュリティ(TLS)を使用しないことなど、ビジタネットワーク内でセキュリティが損なわれるために、ビジタネットワークから漏洩する可能性がある。
セキュリティエッジ保護プロキシ(SEPP)がPLMN間通信に対するある程度のセキュリティ対策を提供するが、NFインスタンスIDは、JSON Web Signature(JWS)署名のために改変することができないアクセストークンに埋め込まれ得るため、SEPPはNFインスタンスIDを隠蔽することが不可能である。さらに、NFインスタンスIDは、NF更新およびNF登録解除サービス動作に使用される。したがって、漏洩されているNFインスタンスIDは、たとえば、権限を与えられていないNF更新またはNF登録解除要求メッセージを送信することによって、サービス妨害(DoS)攻撃において(たとえば、ハッカーによって)悪用される可能性がある。
本明細書に記載されている主題のいくつかの態様によれば、様々なシナリオにおいてNFインスタンスIDの代わりに擬似NFインスタンスIDを使用することによって、通信ネットワークにおいてNFインスタンスIDを隠蔽するための方法、システム、メカニズム、および/または技術が開示される。たとえば、本明細書に記載されている様々な態様によるNRFは、NFのNF登録中に擬似NFインスタンスIDを生成、および/または、割り当てることができる。この例において、擬似NFインスタンスIDは、NF登録応答においてNFと共有され得る。いくつかの実施形態において、擬似NFインスタンスIDは、様々なシナリオ(たとえば、PLMN間通信)においてNFを識別するために使用することができ、以て、NFインスタンスIDの漏洩および関係付けられる悪用が軽減される。いくつかの実施形態において、たとえば、NFインスタンスID悪用をさらに軽減するために、実際のNFインスタンスID(擬似NFインスタンスIDではなく)が、NF登録、NF更新、およびNF登録解除に使用されてもよい。
有利には、本明細書に記載されている1つまたは複数の技術、システム、および/または方法を利用することによって、NRFまたは他のエンティティは、擬似NFインスタンスIDを使用すること、および/または、NF登録、NF更新、NF登録解除シナリオに対するNFインスタンスIDの使用を減少することによって、セキュリティを強化する(たとえば、DoS攻撃または他の悪意あるアクションを防止する)ことができる。
ここで、本明細書に記載されている主題の様々な実施形態を詳細に参照し、その例は添付の図面に示されている。可能である場合はいつでも、同じまたは同様の部分を指すために、同じ参照符号が、図面全体を通じて使用される。
図1は、例示的な5Gシステムネットワークアーキテクチャ、たとえば、ホーム5Gコア(5GC)ネットワークを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(PLMN)内に位置してもよいNRF100およびSCP101を含む。上述したように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されているプロデューサNFサービスインスタンスにサブスクライブし、その登録が通知されることを可能にすることができる。SCP101はまた、プロデューサNFインスタンスのサービス発見および選択をサポートすることもできる。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷バランシングを実施することができる。加えて、本明細書に記載されている方法論を使用して、SCP101は、好適なNFロケーションベースの選択およびルーティングを実施することができる。
NRF100は、プロデューサNFインスタンスのNFまたはサービスプロファイルのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、NRF100からNFまたはサービスプロファイルまたはプロデューサNFインスタンス(the NF or service profile or the producer NF instance)を得なければならない。NFまたはサービスプロファイルは、第3世代パートナーシッププロジェクト(3GPP(登録商標))技術仕様書(TS)29.510に定義されているJavaScriptオブジェクト表記(JSON)データ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。図1において、ノードのいずれか(NRF100以外)は、それらがサービスを要求しているかまたは提供しているかに応じて、コンシューマNFまたはプロデューサNFのいずれかであり得る。図解例において、ノードは、ネットワークにおけるポリシ関連動作を実施するポリシ制御機能(PCF)102、ユーザデータを管理するユーザデータ管理(UDM)機能104、および、アプリケーションサービスを提供するアプリケーション機能(AF)106を含む。図1に示すノードは、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(SMF)108をさらに含む。AMF110は、4Gネットワークにおけるモビリティ管理エンティティ(MME)によって実施されるものと同様のモビリティ管理動作を実施する。認証サーバ機能(AUSF)112は、ネットワークへのアクセスを模索している、ユーザ機器(UE)114などのユーザデバイスに対する認証サービスを実施する。
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスと関連付けられる特定のネットワーク機能および特性へのアクセスを模索しているデバイスのためのネットワークスライシングサービスを提供する。ネットワークエクスポージャ機能(NEF)118は、モノのインターネット(IoT)デバイスおよびネットワークにアタッチされている他のUEに関する情報を得ることを模索しているアプリケーション機能のためのアプリケーションプログラミングインターフェース(API)を提供する。NEF118は、4Gネットワークにおけるサービス能力エクスポージャ機能(SCEF)と同様の機能を実施する。
無線アクセスネットワーク(RAN)120は、ワイヤレスリンクを介してUE114をネットワークに接続する。無線アクセスネットワーク120は、gノードB(gNB)(図1には示さず)または他のワイヤレスアクセスポイントを使用してアクセスされてもよい。ユーザプレーン機能(UPF)122は、ユーザプレーンサービスの様々なプロキシ機能をサポートすることができる。そのようなプロキシ機能の1つの例は、マルチパス伝送制御プロトコル(MPTCP)プロキシ機能である。UPF122はまた、ネットワーク性能測定値を得るためにUE114によって使用され得る性能測定機能もサポートしてもよい。図1には、UEがそれを通じてインターネットサービスなどのデータネットワークサービスにアクセスするデータネットワーク(DN)124も示されている。
セキュリティエッジ保護プロキシ(SEPP)126は、別のPLMNから入来するトラフィックをフィルタリングし、ホームPLMNを出るトラフィックに対するトポロジ隠蔽を実施する。SEPP126は、外部PLMNのセキュリティを管理する外部PLMN内のSEPPと通信することができる。したがって、異なるPLMN内のNF間のトラフィックは、1つはホームPLMNのための、および、他方は外部PLMNのための、2つのSEPP機能をトラバースすることができる。
SEPP126は、N32-cインターフェースおよびN32-fインターフェースを利用することができる。N32-cインターフェースは、初期ハンドシェイク(たとえば、TLSハンドシェイク)を実施し、N32-fインターフェース接続および関連するメッセージ転送の様々なパラメータをネゴシエートするために使用可能な、2つのSEPP間の制御プレーンインターフェースである。N32-fインターフェースは、アプリケーションレベルセキュリティ保護を適用した後にコンシューマNFとプロデューサNFとの間で様々な通信(たとえば、5GC要求メッセージ)を転送するために使用可能な2つのSEPP間の転送インターフェースである。
既存の5Gアーキテクチャに伴う1つの課題は、既存5Gアーキテクチャは、NFインスタンスIDの様々なエンティティへの漏洩を許容する可能性があり、悪意あるエンティティが様々な悪意あるアクション、たとえば、漏洩されているまたは収集されているNFインスタンスIDを使用してNFインスタンスの、権限を与えられていないまたは不適切なNF登録解除要求メッセージを実施することに寄与するか、またはこれを可能にする可能性があることである。たとえば、信頼できる(ただし損なわれているかまたはハッキングされている)ビジタPLMN(V-PLMN)内の損なわれているNFがホームPLMN(H-PLMN)にアクセスすることができる場合、損なわれているNFは、NF発見手順を介して特定のNFインスタンスを識別するためのNFインスタンスIDを受信することができる。この例において、信頼できるV-PLMN内の損なわれているNFは、NF発見手順から得たNFインスタンスIDを使用して特定のNFインスタンスになりすまし、NF登録解除要求メッセージを送信することによって、サービス妨害(DOS)攻撃をトリガまたは開始することができる。したがって、既存の認証手順を用いても、5Gアーキテクチャは、セキュリティ強化、および/または、実際のNFインスタンスIDの代わりに一時的もしくは擬似NFインスタンスIDを使用し、以て、NFインスタンスIDの漏洩および関連する悪用を軽減する関連する技術から利益を得ることができる。
図1は例示を目的としたものであること、ならびに、図1に関連して上述した様々なノードおよび/もしくはモジュール、ロケーション、ならびに/または機能を変更、改変、追加、または削除することができることが諒解されよう。
図2は、5G通信ネットワークにおいてNFインスタンスIDを隠蔽するための例示的なネットワークノード200を示す図である。ノード200は、認証、登録、および/またはセキュリティ機能、たとえば、NFインスタンスIDおよび/または関連トポロジ情報の隠蔽の様々な態様を実施するための任意の適切な1つまたは複数のエンティティを表してもよい。いくつかの実施形態において、ノード200は、1つまたは複数の5GC NF、たとえば、NRF、SEPP、SCP、PCF、NSSF、NEF、統合データリポジトリ(UDR)、バインディングサポート機能(BSF)などを表すかまたは含んでもよい。いくつかの実施形態において、ノード200は、コンシューマNFまたはプロデューサNFを表すかまたは含んでもよい。いくつかの実施形態において、ノード200は、認証サーバ、データリポジトリ、ネットワークゲートウェイ、ネットワークプロキシ、エッジセキュリティデバイス、または他の機能を表すかまたは含んでもよい。
いくつかの実施形態において、ノード200または関連モジュール(たとえば、セキュリティモジュール)は、(たとえば、プログラミング論理を介して)NF登録手順中に擬似NFインスタンスIDを検出するか、生成するか、得るか、または割り当てるように構成されてもよい。たとえば、ノード200がNRFを含む場合、ノード200または関連モジュールは、第1のNFインスタンスを登録するための5G NF登録要求メッセージを受信してもよく、5G NF登録要求メッセージは、第1のNFインスタンスIDを含む。この例において、ノード200または関連モジュールは、第1のNFインスタンスIDと関連付けられる1つまたは複数の擬似NFインスタンスIDを決定することができ、1つまたは複数の擬似NFインスタンスIDの各々は、第1のNFインスタンスIDの代わりに第1のNFインスタンスを参照するために使用可能である。この例を続けると、ノード200または関連モジュールは、1つまたは複数の擬似NFインスタンスIDを含む5G NF登録応答メッセージを生成し、送信することができる。
いくつかの実施形態において、ノード200または関連モジュール(たとえば、セキュリティモジュール)は、様々な通信シナリオに擬似NFインスタンスIDを使用するように構成されてもよい。たとえば、ノード200は、NRF100に登録されているNFインスタンスを含み、NRF100から5G NF登録応答メッセージにおいて割り当てられている擬似NFインスタンスIDのセットを受信した場合、ノード200または関連モジュール(たとえば、セキュリティモジュール)は、様々な5G要求メッセージ(NF登録、NF更新、およびNF登録解除要求メッセージを除く)における識別のために擬似NFインスタンスIDを使用し、ノード200と関連付けられる擬似NFインスタンスIDのうちの1つを対象とする様々な5Gメッセージに応答するように構成されてもよい。
図2を参照すると、ノード200は、通信環境、たとえば、ホーム5GCネットワークを介してメッセージを通信するための1つまたは複数の通信インターフェース202を含んでもよい。たとえば、通信インターフェース202は、ホームネットワーク内のSEPP126の第1のセットと通信するための第1の通信インターフェース、ホームネットワーク内のSEPP126の第2のセットと通信するための第2の通信インターフェース、および、ホームネットワーク内の他のエンティティと通信するための第3の通信インターフェースを含んでもよい。
ノード200は、セキュリティモジュール(SM)204を含んでもよい。SM204は、擬似NFインスタンスIDの使用および/または妥当性確認をすることと関連付けられる1つまたは複数の態様を実施するための任意の適切なエンティティ(たとえば、少なくとも1つのプロセッサ上で実行するソフトウェア)であってもよい。いくつかの実施形態において、SM204は、第1のNFインスタンスを登録するための5G NF登録要求メッセージを受信するように構成されてもよく、5G NF登録要求メッセージは、第1のNFインスタンスIDを含み、SM204は、第1のNFインスタンスIDと関連付けられる1つまたは複数の擬似NFインスタンスIDを含む5G NF登録応答メッセージを生成し、送信するように構成されてもよく、1つまたは複数の擬似NFインスタンスIDの各々は、第1のNFインスタンスIDの代わりに第1のNFインスタンスを参照するために使用可能である。
いくつかの実施形態において、SM204は、様々な通信シナリオに擬似NFインスタンスIDを使用するように構成されてもよい。たとえば、SM204は、送信される1つまたは複数の5Gメッセージを分析し、適切なとき、たとえば、NF登録、NF更新、およびNF登録解除要求メッセージを除く置換を実施するときに、送信前にNFインスタンスIDを対応する擬似NFインスタンスIDに置換するように構成されてもよい。この例において、SM204はまた、擬似NFインスタンスIDが様々な受信5Gメッセージに対して有効または適切であることを検証するように構成されてもよい。
いくつかの実施形態において、SM204は、NFインスタンスIDと擬似NFインスタンスIDとの間の1つまたは複数の関連付けを包含するデータストアにアクセスまたはデータストアを利用するように構成されてもよい。たとえば、SM204は、コンシューマNFインスタンスから、第1のNFインスタンスを発見するためのサービス要求メッセージを受信することと、NFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間の関連付けを記憶するデータストアを使用して、第1のNFインスタンスIDと関連付けられる1つまたは複数の擬似NFインスタンスIDのうちの第1の擬似NFインスタンスIDを決定することと、第1の擬似NFインスタンスIDをコンシューマNFインスタンスに送信することとを行うように構成されてもよい。
いくつかの実施形態において、SM204は、メッセージ妥当性確認のために構成されてもよい。たとえば、SM204は、第1のNFインスタンスと関連付けられるアクションを実施するための要求メッセージを受信するように構成されてもよく、要求メッセージは、第1のNFインスタンスのIDを含み、SM204は、ID、およびNFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間の関連付けを記憶するデータストアを使用して、要求メッセージが有効または無効であることを判定するように構成されてもよい。この例において、要求メッセージが無効であると考えられる場合、SM204は、無効メッセージアクションを実施する(たとえば、要求メッセージを破棄するかまたはネットワークオペレータもしくは管理システムにこの問題に関して通知する)ように構成されてもよい。この例を続けると、要求メッセージが有効であると考えられる場合、SM204は、有効メッセージアクションを実施する(たとえば、要求メッセージを処理するかまたは要求メッセージを処理のために別のノードに転送する)ように構成されてもよい。
いくつかの実施形態において、SM204は、受信メッセージのメッセージタイプを分析し、メッセージタイプが擬似NFインスタンスIDを使用することができないと判定することによって、要求メッセージが無効であると判定してもよい。たとえば、SM204は、擬似NFインスタンスIDを含むNF登録要求メッセージ、NF更新要求メッセージ、またはNF登録解除要求メッセージが無効または不適切であると判定してもよく、要求メッセージを破棄するかまたは他の様態で無視してもよい。
いくつかの実施形態において、たとえばノード200がSEPP126である場合、SM204は、PLMN間メッセージ(たとえば、HTTP/2メッセージ)についてN32-fインターフェース接続部を監視し、別の宛先に送信される前にメッセージを妥当性確認するように構成されてもよい。たとえば、第1のPLMN間5G NF登録解除メッセージについて、SM204は、要求メッセージが有効である(たとえば、メッセージが実際のまたは非擬似NFインスタンスIDを含む)と判定し、これを処理のためにNRF100に送信してもよい。別の例において、第2のPLMN間5G NF登録解除メッセージについて、SM204は、要求メッセージが無効である(たとえば、メッセージが擬似NFインスタンスIDを含む)と判定し、要求メッセージを破棄するか、または、NRF100によって受信されるのを防止してもよい。
ノード200は、データ記憶装置206にアクセスする(たとえば、データ記憶装置206から情報を読み出す、および/または、データ記憶装置206に情報を書き込む)ことができる。データ記憶装置206は、様々なデータを記憶するための任意の適切なエンティティ(たとえば、コンピュータ可読媒体またはメモリ)であってもよい。いくつかの実施形態において、データ記憶装置206は、ユーザデバイスの認証情報、および/または、NFインスタンスIDの隠蔽もしくは関連するメッセージ妥当性確認に使用される関連情報を含んでもよい。たとえば、データストア206は、NFインスタンスIDと擬似NFインスタンスIDとの間の関連付けを示すデータレコードまたはエントリを含んでもよい。いくつかの実施形態において、データ記憶装置206は、擬似NFインスタンスIDを得るか、生成するか、もしくはNFインスタンスに割り当てるための論理、様々なPLMN間メッセージからNFインスタンス識別情報を得るための論理、記憶されている認証情報を使用してメッセージ妥当性確認を実施するための論理、および/または、無効メッセージアクションもしくは有効メッセージアクションを実施もしくはトリガするための論理を含んでもよい。
図2およびその関連記述は例示を目的としたものであること、ならびに、ノード200は追加および/または異なるモジュール、構成要素、もしくは機能を含んでもよいことが諒解されよう。
図3は、NFインスタンスIDを伴う例示的なNF発見シナリオを示すメッセージフロー図である。いくつかの実施形態において、H-NRF100(SM204を有しない)は、特定のサービスまたは情報を提供するためのNFを要求するNF発見要求メッセージを受信することができ、たとえば、NFインスタンスIDが一意の識別子である場合、特定のNFインスタンスを識別するためのNFインスタンスIDを含むNF発見応答を提供することができる。そのような実施形態において、外部NF発見要求元(たとえば、V-PLMN1 300内の)が、ホームネットワーク(たとえば、H-PLMN298)内の様々なNFインスタンスと通信するための実際の(たとえば、非擬似)NFインスタンスIDを受信してもよく、したがって、V-PLMN300内のノードは、それらのNFインスタンスの実際のNFインスタンスIDを学習するかまたは知ってもよい。
図3を参照すると、たとえば、ステップ301の前に、プロデューサNF296(たとえば、特定のNFインスタンス)を登録するためのNF登録手順が行われてもよい。NF登録手順中にまたはそれと同時に、H-NRF100は、プロデューサNF296と関連付けられ、それによって提供されるNFインスタンスIDを記憶してもよい。たとえば、プロデューサNF296と関連付けられるNFインスタンスIDは、プロデューサNF296が登録されているH-NRF100のPLMN(たとえば、H-PLMN298)の内側でグローバルに一意であってもよい。この例において、NFインスタンスIDは、プロデューサNF296を識別する、参照する、および/または、これと通信するために使用可能であってもよい。
ステップ301において、H-PLMN298から特定のサービスまたは関連情報を提供することができるNFインスタンスを要求するために、NF発見要求メッセージがV-PLMN1 300内でコンシューマNF294からV-NRF100に送信され得る。
ステップ302において、H-PLMN298内のH-NRF100に転送するために、NF発見要求メッセージがV-NRF100からV-SEPP126に送信され得る。
ステップ303において、NF発見要求メッセージは(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してV-SEPP126からH-SEPP126に転送され得る。
ステップ304において、NF発見要求メッセージは、H-SEPP126からH-NRF100に送信され得る。たとえば、H-NRF100は、NF発見要求メッセージを受信し、サービスまたは情報を提供するための適切なNFインスタンス、すなわち、プロデューサNF296を選択する。
ステップ305において、プロデューサNF296を識別するNFインスタンスIDを含むかまたは示すNF発見応答が生成され、V-PLMN300に転送するために、H-NRF100からH-SEPP126に送信され得る。
ステップ306において、NF発見応答は(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してH-SEPP126からV-SEPP126に転送され得る。
ステップ307において、NF発見応答は、V-SEPP126からV-NRF100に送信され得る。
ステップ308において、NF発見応答は、V-NRF100からコンシューマNF294に送信され得る。
いくつかの実施形態において、コンシューマNF294は、NFインスタンスIDを使用して、たとえば、SBI要求メッセージを介してプロデューサ296からサービスまたは関連データを要求することができる。
図3は例示を目的としたものであること、ならびに、異なるおよび/または追加のメッセージおよび/またはアクションが使用されてもよいことが諒解されよう。本明細書に記載されている様々なメッセージおよび/またはアクションは、異なる順序またはシーケンスにおいて行われてもよいことも諒解されよう。
図4は、NFインスタンスIDを含む例示的なNFアクセストークンの使用を示すメッセージフロー図である。いくつかの実施形態において、H-NRF100(SM204を有しない)は、たとえば、NFインスタンスIDが一意の識別子である場合、特定のNFインスタンスを識別するためのNFインスタンスIDを含むアクセストークンを提供することができる。そのような実施形態において、外部アクセストークン要求元(たとえば、V-PLMN1 300内の)が、ホームネットワーク(たとえば、H-PLMN298)内の様々なNFインスタンスと通信するための実際の(たとえば、非擬似)NFインスタンスIDを受信してもよく、したがって、V-PLMN300内のノードは、それらのNFインスタンスの実際のNFインスタンスIDを学習するかまたは知ってもよい。
図4を参照すると、たとえば、ステップ401の前に、プロデューサNF296(たとえば、特定のNFインスタンス)を登録するためのNF登録手順が行われてもよい。NF登録手順中にまたはそれと同時に、H-NRF100は、プロデューサNF296と関連付けられ、それによって提供されるNFインスタンスIDを記憶してもよい。たとえば、プロデューサNF296と関連付けられるNFインスタンスIDは、プロデューサNF296が登録されているH-NRF100のPLMN(たとえば、H-PLMN298)の内側でグローバルに一意であってもよい。この例において、NFインスタンスIDは、プロデューサNF296を識別する、参照する、および/または、これと通信するために使用可能であってもよい。
ステップ401において、H-PLMN298からサービスまたは関連情報にアクセスするために、アクセストークン要求メッセージがV-PLMN1 300内でコンシューマNF294からV-NRF100に送信され得る。たとえば、V-PLMN1 300内のコンシューマNF294は、たとえば、プロデューサNF296からホームネットワーク内のサービスまたは関連情報を受信するようにアクセストークン(たとえば、OAuth2アクセストークン)を要求するネットワークノードを表してもよい。
ステップ402において、H-PLMN298内のH-NRF100に転送するために、アクセストークン要求メッセージが、V-NRF100からV-SEPP126に送信され得る。
ステップ403において、アクセストークン要求メッセージは(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してV-SEPP126からH-SEPP126に転送され得る。
ステップ404において、アクセストークン要求メッセージは、H-SEPP126からH-NRF100に送信され得る。たとえば、H-NRF100は、アクセストークン要求メッセージを受信し、サービスまたは情報を提供するための適切なNFインスタンス、すなわち、プロデューサNF296を選択してもよい。
ステップ405において、H-NRF100は、プロデューサNF296を識別するためのNFインスタンスIDを含むかまたは示すアクセストークンを生成し得、アクセストークンを、V-PLMN300に転送するために、アクセストークン応答においてH-NRF100からH-SEPP126に送信し得る。
ステップ406において、アクセストークン応答は(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してH-SEPP126からV-SEPP126に転送され得る。
ステップ407において、アクセストークン応答は、V-SEPP126からV-NRF100に送信され得る。
ステップ408において、アクセストークン応答は、V-NRF100からコンシューマNF294に送信され得る。
ステップ409において、H-PLMN298に転送するために、アクセストークンを含むSBI要求メッセージが、コンシューマNF294からV-SEPP126に送信され得る。
ステップ410において、SBI要求メッセージは(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してV-SEPP126からH-SEPP126に転送され得る。
ステップ411において、SBI要求メッセージは、H-SEPP126からプロデューサNF296に送信され得る。
ステップ412において、たとえば、アクセストークンを妥当性確認した後、要求されているサービスまたは情報を提供するSBI応答が生成され、V-PLMN300に転送するために、プロデューサNF296からH-SEPP126に送信され得る。
ステップ413において、SBI応答は(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してH-SEPP126からV-SEPP126に転送され得る。
ステップ414において、SBI応答は、V-SEPP126からコンシューマNF294に送信され得る。
図4は例示を目的としたものであること、ならびに、異なるおよび/または追加のメッセージおよび/またはアクションが使用されてもよいことが諒解されよう。本明細書に記載されている様々なメッセージおよび/またはアクションは、異なる順序またはシーケンスにおいて行われてもよいことも諒解されよう。
図5は、NFインスタンスIDおよび関係付けられる擬似NFインスタンスIDを示す例示的なIDデータ500を示す図である。たとえば、IDデータ500は、NFインスタンスIDと1つまたは複数の擬似NFインスタンスIDとの間のマッピング(たとえば、関連付け)を示すことができる。いくつかの実施形態において、IDマッピングまたは関連付けは、オペレータによって静的に構成されてもよく、または、NRF100によって動的に生成されてもよく、NFと共有されてもよい。たとえば、NFと関連付けられるNF登録手順中、NFに割り当てられている擬似NFインスタンスIDが、NFに送信されるNF登録応答において共有されてもよい。
いくつかの実施形態において、ノード200、H-NRF100、またはSM204は、様々な規則および/または論理に基づいて擬似NFインスタンスIDを割り当てるように構成されてもよい。たとえば、H-NRF100は、少なくとも1つの一意の擬似NFインスタンスIDを、H-NRF100に登録するNFに割り当てるように構成されてもよい。別の例において、H-NRF100は、3~6個の一意の擬似NFインスタンスIDのセットを、H-NRF100に登録するNFに割り当てるように構成されてもよい。いくつかの実施形態において、特定のNFインスタンスと関連付けられるかまたは特定のNFインスタンスに割り当てられる各擬似NFインスタンスIDは、不連続であってもよく、および/または、対応する実際の(非擬似)NFインスタンスIDを推定するかもしくは見抜くことができる可能性を減少させるように生成もしくは割り当てられてもよい。
いくつかの実施形態において、NF(たとえば、プロデューサNF296)は、それ自体の擬似NFインスタンスIDを記憶することができ、その実際のNFインスタンスIDを使用する代わりに、それらの擬似NFインスタンスIDのうちの1つを識別のために使用および/または提供することができる。たとえば、NFが5GC要求メッセージを送信しているとき、NFは、その実際のNFインスタンスIDの代わりに、その擬似NFインスタンスIDのうちの1つを、それ自体を識別するために使用してもよい。この例において、NFは、擬似NFインスタンスIDのそのセットから特定の擬似NFインスタンスIDを選択するために、選択アルゴリズム(たとえば、ラウンドロビン、擬似ランダム、要求タイプ、または時間ベース)を利用してもよい。この例を続けると、NFは、たとえば、状態情報を記憶することおよび/またはハッシング関数を使用することによって、同じノードまたはネットワークとのトランザクションに同じ擬似NFインスタンスIDを利用してもよい。
図5を参照すると、IDデータ500を表す表は、NFインスタンスIDおよび対応する擬似NFインスタンスIDの列および/またはフィールドを含む。NFインスタンスIDフィールドは、特定のNFインスタンスを識別するために使用可能なNFインスタンスIDを表すための情報を記憶することができる。いくつかの実施形態において、各NFインスタンスIDは、対応するNFインスタンスが登録されているH-NRF100のPLMN(たとえば、H-PLMN298)の内側でグローバルに一意であってもよい。いくつかの実施形態において、NFインスタンスIDのフォーマットは、IETF RFC4122に記載されているような、汎用一意識別子(UUID)バージョン4であってもよい。たとえば、NFインスタンスID「ID1」は、128ビットUUIDを表してもよく、UUIDの16バイト(たとえば、オクテット)が32個の16進数として表され、これらの数字は、8-4-4-4-12の形態の、ハイフンによって分離されている5つのグループにおいて表示され、合計で36文字(32個の16進数文字および4つのハイフン)になり、たとえば、「4947a69a-f61b-4bc1-b9da-47c9c5d14b64」となる。
擬似NFインスタンスIDフィールドは、対応するNFインスタンスIDに割り当てられる、および/または、関連付けられる1つまたは複数の擬似NFインスタンスIDを表すことができる。いくつかの実施形態において、たとえば、実際のNFインスタンスIDと同様に、各擬似NFインスタンスIDは、対応するNFインスタンスが登録されているH-NRF100のPLMN(たとえば、H-PLMN298)の内側でグローバルに一意であり得るが、一時的であり(たとえば、有効期間にわたってまたは登録されている間は同じNFインスタンスに割り当てられ)得、後に(たとえば、NF登録解除手順後に)別のNFインスタンスに再割り当てされ得る。いくつかの実施形態において、擬似NFインスタンスIDのフォーマットは、実際のNFインスタンスIDと同じであってもよく、たとえば、UUIDバージョン4フォーマットであってもよい。たとえば、擬似インスタンスID「PID2」は、「5162f79a-c31b-4bc1-c8da-27e5c5d34b22」などの128ビットUUIDを表してもよい。
図示されているように、図5の第1の行は、NFインスタンスID「ID1」と擬似NFインスタンスID「PID2」、「PID4」、および「PID7」との間の関連付けを示し、図5の第2の行は、NFインスタンスID「ID2」と擬似NFインスタンスID「PID61」、「PID40」、「PID55」、「PID32」、および「PID34」との間の関連付けを示し、図5の第3の行は、NFインスタンスID「ID3」と擬似NFインスタンスID「PID27」、「PID21」、および「PID25」との間の関連付けを示し、図5の第4の行は、NFインスタンスID「ID4」と擬似NFインスタンスID「PID72」、「PID29」、「PID33」、および「PID11」との間の関連付けを示し、図5の第5の行は、NFインスタンスID「ID5」と擬似NFインスタンスID「PID16」、「PID22」、「PID64」、および「PID96」との間の関連付けを示す。
IDデータ500は例示を目的としたものであること、ならびに、図5に示すデータとは異なるおよび/または追加のデータが、特定のデータ部分または他の情報のデフォルト値を示すために使用可能であってもよいことも諒解されよう。さらに、IDデータ500は、様々なデータ構造および/またはコンピュータ可読媒体を使用して記憶(たとえば、データ記憶装置206に)および管理されてもよい。
図6は、メッセージタイプおよび関係付けられる擬似NFインスタンスIDの使用を示す例示的なID使用状況データ600を示す図である。ID使用状況データ600は、5Gサービスと関連付けられる様々なタイプのメッセージ(たとえば、PLMN間メッセージ)、および、擬似NFインスタンスIDを妥当性確認の目的として使用することができるか否かを示し得る。たとえば、UE114がV-PLMN1 300内でローミングしているとき、複数のNFインスタンスを伴うV-PLMN1 300とH-PLMN298との間の様々な通信が行われ得る。この例において、PLMN間メッセージは、それぞれのネットワーク内のSEPP126を介してV-PLMN1 300とH-PLMN298との間で送信され得る。いくつかのメッセージは、首尾よく擬似NFインスタンスIDを利用することができるが、他のメッセージ(たとえば、NF登録、NF更新、およびNF登録解除要求メッセージ)は、実際のNFインスタンスIDが首尾よく妥当性確認および処理されることを必要とし得る。たとえば、H-NRF100は、擬似NFインスタンス識別子を有する任意のNF登録、NF更新、およびNF登録解除要求メッセージを破棄または無視してもよく、以て、悪意あるまたはハッキングされている外部ノードがネットワークノードを登録解除しようと試みる機会が減少する。
いくつかの実施形態において、たとえば、メッセージ妥当性確認中、ノード200、H-NRF100、またはSM204は、受信メッセージ(たとえば、PLMN間メッセージ)のメッセージタイプを識別し、ID使用状況データ600を使用して、実際のNFインスタンスIDが受信メッセージに含まれるか否かを判定し、そうでない場合、受信メッセージ内の擬似NFインスタンスIDが許容可能または許可されるかを判定するように構成されてもよい。たとえば、ノード200またはSM204は、NFサブスクリプション要求メッセージがプロデューサNF296を識別する擬似NFインスタンスIDを含む場合、NFサブスクリプション要求メッセージを有効であるとみなしてもよいが、NF更新要求メッセージが同じ擬似NFインスタンスIDを含むが、プロデューサNF296と関連付けられる実際のNFインスタンスIDを含まない場合、NF更新要求メッセージを無効(または不適切)であるとみなしてもよい。
図6を参照すると、ID使用状況データ600を表す表は、メッセージタイプおよび擬似NFインスタンスID使用状況(たとえば、擬似NFインスタンスIDが対応するメッセージタイプに対して使用可能または許可されるかを示す)の列および/またはフィールドを含む。メッセージタイプフィールドは、NFインスタンスと関連付けられるメッセージのタイプを表すための情報を記憶することができる。たとえば、図6に示されている例示的なメッセージタイプは、NF登録メッセージ、NF更新メッセージ、NF登録解除メッセージ、NF発見メッセージ、NFプロファイルメッセージ、NFアクセストークンメッセージ、およびSBIメッセージを含む。
擬似NFインスタンスID使用状況フィールドは、擬似NFインスタンスIDが、対応するメッセージタイプに対して使用可能または許可されるかを示すことができる。たとえば、図6に示されているように、有効NF登録メッセージ、NF更新メッセージ、およびNF登録解除メッセージは、擬似NFインスタンスIDを許可せず、ただし、有効NF発見メッセージ、NFプロファイルメッセージ、NFアクセストークンメッセージ、およびSBIメッセージは、擬似NFインスタンスIDを許可する。
ID使用状況データ600は例示を目的としたものであること、ならびに、図6に示すデータとは異なるおよび/または追加のデータが、特定のデータ部分または他の情報のデフォルト値を示すために使用可能であってもよいことも諒解されよう。さらに、ID使用状況データ600は、様々なデータ構造および/またはコンピュータ可読媒体を使用して記憶(たとえば、データ記憶装置206に)および管理されてもよい。
図7は、NFインスタンスIDを伴う例示的なNF発見シナリオを示すメッセージフロー図である。いくつかの実施形態において、H-NRF100またはその中のSM204は、特定のサービスまたは情報を提供するためのNFを要求するNF発見要求メッセージを受信することができ、たとえば、擬似NFインスタンスIDが、NF登録手順中に割り当てられるかまたはネットワークオペレータによって予め決定される複数の一時インスタンスIDのうちの1つである、特定のNFインスタンスを識別するための擬似NFインスタンスIDを含むNF発見応答を提供することができる。そのような実施形態において、外部NF発見要求元(たとえば、V-PLMN1 300内の)が、ホームネットワーク(たとえば、H-PLMN298)内の様々なNFインスタンスと通信するための擬似NFインスタンスIDを受信してもよく、したがって、V-PLMN300内のノードは、それらのNFインスタンスの実際のNFインスタンスIDを学習せず、または知らない。
図7を参照すると、たとえば、ステップ701の前に、プロデューサNF296(たとえば、特定のNFインスタンス)を登録するためのNF登録手順が行われてもよい。NF登録手順中にまたはそれと同時に、プロデューサNF296に対応する1つまたは複数の擬似NFインスタンスIDは、1つまたは複数のエンティティ、たとえば、H-NRF100による使用のために割り当ておよび/または記憶され得る。たとえば、プロデューサNF296は、NFインスタンスID「ID45」を使用してH-NRF100に登録してもよく、H-NRF100から、擬似NFインスタンスID、たとえば、「PID23」、「PID44」、および「PID55」のセットを受信してもよい。この例において、擬似NFインスタンスIDのセットは、所定の時間量にわたって、または、プロデューサNF296がホームネットワークに登録されている間、プロデューサNF296に一意に割り当てられてもよい。
ステップ701において、H-PLMN298から特定のサービスまたは関連情報を提供することができるNFインスタンスを要求するために、NF発見要求メッセージがV-PLMN1 300内でコンシューマNF294からV-NRF100に送信され得る。
ステップ702において、NF発見要求メッセージは、H-PLMN298内のH-NRF100に転送するために、V-NRF100からV-SEPP126に送信され得る。
ステップ703において、NF発見要求メッセージは(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してV-SEPP126からH-SEPP126に転送され得る。
ステップ704において、NF発見要求メッセージは、H-SEPP126からH-NRF100に送信され得る。
ステップ705において、H-NRF100またはその中のSM204が、NF発見要求メッセージを受信し、サービスまたは情報を提供するための適切なNFインスタンス、すなわち、プロデューサNF296を決定または選択し、プロデューサNF296を識別するための対応する擬似NFインスタンスIDを識別し得る。
ステップ706において、プロデューサNF296を識別する擬似NFインスタンスIDを含むかまたは示すNF発見応答が、V-PLMN300に転送するために、H-NRF100からH-SEPP126に送信され得る。
ステップ707において、NF発見応答は(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してH-SEPP126からV-SEPP126に転送され得る。
ステップ708において、NF発見応答は、V-SEPP126からV-NRF100に送信され得る。
ステップ709において、NF発見応答は、V-NRF100からコンシューマNF294に送信され得る。
いくつかの実施形態において、コンシューマNF294は、擬似NFインスタンスIDを使用して、たとえば、SBI要求メッセージを介してプロデューサ296からサービスまたは関連データを要求することができる。
図7は例示を目的としたものであること、ならびに、異なるおよび/または追加のメッセージおよび/またはアクションが使用されてもよいことが諒解されよう。本明細書に記載されている様々なメッセージおよび/またはアクションは、異なる順序またはシーケンスにおいて行われてもよいことも諒解されよう。
図8は、擬似NFインスタンスIDを含む例示的なNFアクセストークンの使用を示すメッセージフロー図である。いくつかの実施形態において、H-NRF100またはその中のSM204は、たとえば、擬似NFインスタンスIDが、NF登録手順中に割り当てられるかまたはネットワークオペレータによって予め決定される複数の一時インスタンスIDのうちの1つである、特定のNFインスタンスを識別するための擬似NFインスタンスIDを含むアクセストークンを提供するように構成されてもよい。そのような実施形態において、外部NF発見要求元(たとえば、V-PLMN1 300内の)が、ホームネットワーク(たとえば、H-PLMN298)内の様々なNFインスタンスと通信するための擬似NFインスタンスIDを受信してもよく、したがって、V-PLMN300内のノードは、それらのNFインスタンスの実際のNFインスタンスIDを学習せず、または知らない。
図8を参照すると、たとえば、ステップ801の前に、プロデューサNF296(たとえば、特定のNFインスタンス)を登録するためのNF登録手順が行われてもよい。NF登録手順中にまたはそれと同時に、プロデューサNF296に対応する1つまたは複数の擬似NFインスタンスIDは、1つまたは複数のエンティティ、たとえば、H-NRF100による使用のために割り当ておよび/または記憶され得る。たとえば、プロデューサNF296は、NFインスタンスID「ID45」を使用してH-NRF100に登録してもよく、H-NRF100から、擬似NFインスタンスID、たとえば、「PID23」、「PID44」、および「PID55」のセットを受信してもよい。この例において、擬似NFインスタンスIDのセットは、所定の時間量にわたって、または、プロデューサNF296がホームネットワークに登録されている間、プロデューサNF296に一意に割り当てられてもよい。
ステップ801において、H-PLMN298からサービスまたは関連情報にアクセスするために、アクセストークン要求メッセージがV-PLMN1 300内でコンシューマNF294からV-NRF100に送信され得る。たとえば、V-PLMN1 300内のコンシューマNF294は、たとえば、プロデューサNF296からホームネットワーク内のサービスまたは関連情報を受信するようにアクセストークン(たとえば、OAuth2アクセストークン)を要求するネットワークノードを表してもよい。
ステップ802において、H-PLMN298内のH-NRF100に転送するために、アクセストークン要求メッセージは、V-NRF100からV-SEPP126に送信され得る。
ステップ803において、アクセストークン要求メッセージは(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してV-SEPP126からH-SEPP126に転送され得る。
ステップ804において、アクセストークン要求メッセージは、H-SEPP126からH-NRF100に送信され得る。
ステップ805において、H-NRF100またはその中のSM204は、アクセストークン要求メッセージを受信し、サービスまたは情報を提供するための適切なNFインスタンス(たとえば、プロデューサNF296)を選択し、選択されているNFインスタンスを識別するための擬似NFインスタンスIDを含むかまたは示すアクセストークンを生成し得る。
ステップ806において、アクセストークンを含むアクセストークン応答が生成され、V-PLMN300に転送するために、H-NRF100からH-SEPP126に送信され得る。
ステップ807において、アクセストークン応答は(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してH-SEPP126からV-SEPP126に転送され得る。
ステップ808において、アクセストークン応答は、V-SEPP126からV-NRF100に送信され得る。
ステップ809において、アクセストークン応答は、V-NRF100からコンシューマNF294に送信され得る。
ステップ810において、アクセストークンを含むSBI要求メッセージが、H-PLMN298に転送するために、コンシューマNF294からV-SEPP126に送信され得る。
ステップ811において、SBI要求メッセージは(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してV-SEPP126からH-SEPP126に転送され得る。
ステップ812において、SBI要求メッセージは、H-SEPP126からプロデューサNF296に送信され得る。
ステップ813において、プロデューサNF296は、妥当性確認を目的として、受信SBI要求メッセージ内のアクセストークンから得られる擬似NFインスタンスIDを使用し得る。たとえば、プロデューサNF296は、たとえば、NF登録手順中にH-NRF100によって、それ自体に割り当てられる擬似NFインスタンスIDのセットを記憶してもよい。この例において、プロデューサNF296は、受信されている擬似NFインスタンスIDが、擬似NFインスタンスIDのセット内の擬似NFインスタンスIDに一致することを確認し得る。
ステップ814において、たとえば、アクセストークンを妥当性確認した後、要求されているサービスまたは情報を提供するSBI応答が生成され、V-PLMN300に転送するために、プロデューサNF296からH-SEPP126に送信され得る。
ステップ815において、SBI応答は(たとえば、HTTP/2メッセージとして)、N32-fインターフェースを介してH-SEPP126からV-SEPP126に転送され得る。
ステップ816において、SBI応答は、V-SEPP126からコンシューマNF294に送信され得る。
図8は例示を目的としたものであること、ならびに、異なるおよび/または追加のメッセージおよび/またはアクションが使用されてもよいことが諒解されよう。本明細書に記載されている様々なメッセージおよび/またはアクションは、異なる順序またはシーケンスにおいて行われてもよいことも諒解されよう。
図9は、NF登録解除要求メッセージの例示的な妥当性確認を示すメッセージフロー図である。いくつかの実施形態において、H-NRF100またはその中のSM204は、NFインスタンスIDまたは擬似NFインスタンスIDを使用してメッセージ妥当性確認を実施するように構成されてもよい。たとえば、第1のNFインスタンス(NF1)896の登録手順中にNF1 896と関連付けられるIDデータ(たとえば、NFインスタンスIDおよび対応する擬似NFインスタンスID)を記憶した後、H-NRF100またはその中のSM204は、NFインスタンスと関連付けられるイングレスメッセージ(たとえば、たとえば、PLMN間および/またはHTTP/2メッセージ)を監視してもよく、イングレスメッセージの処理、イングレスメッセージへの転送、および/または応答前に記憶されているIDデータを使用して、これらのイングレスメッセージの各々が有効であるか否かを判定してもよい。メッセージ内のNFインスタンスIDまたは擬似NFインスタンスIDが、関連する記憶されているIDデータに一致しないか、または、そのタイプのメッセージに適切でないとH-NRF100またはSM204が判定した場合、H-NRF100またはSM204は、メッセージを無効であるとみなし、無効メッセージアクション、たとえば、PLMN間の1つまたは複数の破棄を実施し、および/または、そのイベントをネットワークオペレータまたはネットワーク管理システムに報告してもよい。メッセージ内のNFインスタンスIDまたは擬似NFインスタンスIDが、関連する記憶されているIDデータに一致し、そのタイプのメッセージに適切であるとH-NRF100またはSM204が判定した場合、H-NRF100またはSM204は、メッセージを有効であるとみなし、有効メッセージアクション、たとえば、イングレスメッセージが、意図されている宛先において受信され、処理されることを許可することを実施してもよい。
図9を参照すると、たとえば、ステップ901の前に、NF1 896を登録するためのNF登録手順が行われてもよい。NF登録手順中にまたはそれと同時に、NF1 896に対応する1つまたは複数の擬似NFインスタンスIDは、1つまたは複数のエンティティ、たとえば、H-NRF100による使用のために割り当ておよび/または記憶され得る。たとえば、NF1 896は、NFインスタンスID「ID1」を使用してH-NRF100に登録してもよく、H-NRF100から、擬似NFインスタンスID、たとえば、「PID1」、「PID2」、および「PID3」のセットを受信してもよい。この例において、擬似NFインスタンスIDのセットは、所定の時間量にわたって、または、NF1 896がホームネットワークに登録されている間、NF1 896に一意に割り当てられてもよい。
いくつかの実施形態において、NF1 896がH-NRF100に登録した後、コンシューマNFインスタンス(NF2)898が、特定のサービスまたはNFと関連付けられるNFプロファイルまたは関連情報(たとえば、NFインスタンスID)を要求し、その情報を悪用しようと試行する場合がある。たとえば、NF2 898は、V-PLMN1 300内に位置する5G NFインスタンスであり得るか、または、そのように見え得る。この例において、NF2 898は、損なわれているか、ハッキングされているか、または、他の様態で、学習されているNFインスタンスIDまたは擬似NFインスタンスIDを使用してDoS攻撃を開始するなど、悪意あるまたは不適切なアクションを実施するかまたは実施しようと試行するように構成され得る。
ステップ901において、サービスまたはデータを提供するためにNFインスタンスを発見するためのNF発見要求メッセージが、たとえば、V-SEPP126およびH-SEPP126(図示せず)を介してNF2 898からH-NRF100に送信され得る。
ステップ902において、NF発見要求メッセージを受信した後、H-NRF100および/またはSM204が、サービスまたはデータを提供するための関連するNFインスタンス(たとえば、NF1 896)を識別し得、そのNFインスタンスと通信する、および/または、これを参照するための擬似NFインスタンスID「PID1」を決定し得る。この例において、H-NRF100および/またはSM204は、擬似NFインスタンスIDを示すNF発見応答を生成し得る。
ステップ903において、NF1 896と通信する、および/または、これを参照するための擬似NFインスタンスID「PID1」を含むNF発見応答が(たとえば、HTTP/2メッセージとして)、たとえば、V-SEPP126およびH-SEPP126(図示せず)を介してH-NRF100からNF2 898に送信され得る。
ステップ904において、NF1 896を登録解除するためのNF登録解除要求メッセージが、NF2 898からH-NRF100に送信され得、擬似NFインスタンスID「PID1」を含み得る。たとえば、V-PLMN1 300内のNF2 898が、損なわれているか、ハッキングされているか、または、他の様態で、NF1 896を登録解除しようと試みるように構成される場合がある。しかしながら、NF2 898はNF1 896の実際のNFインスタンスID(たとえば、「ID1」)を知らないため、NF2 898は、そのNF1 896の登録解除試行において擬似NFインスタンスID「PID1」を使用する。
ステップ905において、H-NRF100またはその中のSM204が、NF登録解除要求メッセージを受信し、メッセージ妥当性確認手順を実施し、NF登録解除要求メッセージが無効であることを判定し、無効メッセージアクション、たとえば、NF登録解除要求メッセージの破棄を実施し得る。たとえば、H-NRF100またはSM204は、NF登録解除要求メッセージが実際のまたは非擬似NFインスタンスIDを欠くことを識別し、以て、NF登録解除要求メッセージが不適切または無効(たとえば、不正)であり、これに回答すべきでないことを示し得る。
ステップ906において、NF1 896を登録解除するための第2のNF登録解除要求メッセージが、NF1 896からH-NRF100に送信され得、その実際のまたは非擬似NFインスタンスID「ID1」を含み得る。
ステップ907において、H-NRF100またはその中のSM204が、第2のNF登録解除要求メッセージを受信し、メッセージ妥当性確認手順を実施し、第2のNF登録解除要求メッセージが有効であることを判定し、無効メッセージアクションを実施し得る(determine that the second NF deregistration request message is valid, and perform an invalid message action)。たとえば、H-NRF100またはSM204は、第2のNF登録解除要求メッセージが実際のまたは非擬似NFインスタンスIDを含むことを識別し、以て、NF登録解除要求メッセージが有効であり、これに回答すべきであることを示し得る。
ステップ908において、たとえば、第2のNF登録解除要求メッセージが有効であると判定した後、H-NRF100またはSM204は、NF1 896を登録解除し、NF1 896の登録解除に成功したことを示すNF登録解除応答をNF1 896に送信し得る。
図9は例示を目的としたものであること、ならびに、異なるおよび/または追加のメッセージおよび/またはアクションが使用されてもよいことが諒解されよう。本明細書に記載されている様々なメッセージおよび/またはアクションは、異なる順序またはシーケンスにおいて行われてもよいことも諒解されよう。
図10は、通信ネットワークにおいてNFインスタンスIDを隠蔽するための例示的なプロセス1000を示す図である。いくつかの実施形態において、本明細書に記載されている例示的なプロセス1000またはその部分は、ネットワークノード、たとえば、NRF100、ノード200、SM204、および/または別のモジュール、NF、もしくはノードにおいて実施されてもよく、または、それによって実施されてもよい。
ステップ1002において、第1のNFの第1のNFインスタンスを登録するためのNF登録要求メッセージ(たとえば、5G NF登録要求メッセージ)が受信され得、NF登録要求メッセージは、第1のNFインスタンスを識別するための第1のNFインスタンスIDを含む。
ステップ1004において、第1のNFインスタンスIDと少なくとも1つの擬似NFインスタンスIDとの間のマッピングが記憶され得、データストアは、NFインスタンスIDと、関連する擬似NFインスタンスIDとの間のマッピングを含む。
ステップ1006において、第1のNFインスタンスを識別するための少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージ(たとえば、5G NF登録応答メッセージ)が生成され、送信され得る。
いくつかの実施形態において、第1のNFは、NRFから、第1のNFの第1のNFインスタンスを識別するための少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージを受信するように構成されてもよく、少なくとも1つの擬似NFインスタンスIDの各々は、第1のNFインスタンスを識別するための第1のNFインスタンスIDとは異なり、第1のNFは、第1のNFインスタンスIDと関連付けられる少なくとも1つの擬似NFインスタンスIDを記憶することと、要求または応答メッセージを送信するときに、送信元識別のために少なくとも1つの擬似NFインスタンスIDのうちの第1の擬似NFインスタンスIDを使用することとを行うように構成されてもよい。
いくつかの実施形態において、NF(たとえば、H-NRF100)は、コンシューマNFインスタンスから、第1のNFインスタンスを発見するためのサービス要求メッセージを受信することと、NFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間の関連付けを記憶するデータストアを使用して、第1のNFインスタンスIDと関連付けられる1つまたは複数の擬似NFインスタンスIDのうちの第1の擬似NFインスタンスIDを決定することと、第1の擬似NFインスタンスIDをコンシューマNFインスタンスに送信することとを行うように構成されてもよい。
いくつかの実施形態において、コンシューマNFインスタンスが、第1の擬似NFインスタンスIDを使用して、第1のNFインスタンスと関連付けられるアクセストークン、NFプロファイル、またはNFサブスクリプションを要求してもよい。
いくつかの実施形態において、コンシューマNFインスタンスは、第1の擬似NFインスタンスIDを使用して、SBIを介して第1のNFインスタンスと通信してもよい。
いくつかの実施形態において、ネットワークノード(たとえば、H-NRF100またはH-SEPP126)は、第1のNFインスタンスと関連付けられるアクションを実施するためのサービス要求メッセージを受信するように構成されてもよく、サービス要求メッセージは、第1のNFインスタンスのIDを含み、ネットワークノードは、IDおよびNFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間のデータストア関連付け(a data store associations between)を使用して、サービス要求メッセージが有効または無効であることを判定することと、サービス要求メッセージが無効であるという判定に応答して、無効メッセージアクションを実施することと、サービス要求メッセージが有効であるという判定に応答して、有効メッセージアクションを実施することとを行うように構成されてもよい。
いくつかの実施形態において、要求メッセージ内の擬似NFインスタンスIDを使用して要求メッセージを妥当性確認するためのネットワークノードは、NRF、プロデューサNF、PCR、BSF、SCP、NSSF、NEF、UDR、または5GC NFを含んでもよい。
いくつかの実施形態において、無効メッセージアクションは、要求メッセージを破棄すること、または、ネットワークオペレータもしくは管理システムに通知することを含んでもよい。
いくつかの実施形態において、サービス要求メッセージは、NF登録要求メッセージ、NF更新要求メッセージ、またはNF登録解除要求メッセージを含んでもよい。
いくつかの実施形態において、要求メッセージ(たとえば、NF登録要求メッセージ、NF更新要求メッセージ、またはNF登録解除要求メッセージ)が無効であると判定することは、サービス要求メッセージ内のIDが第1のNFインスタンスIDと関連付けられる1つまたは複数の擬似NFインスタンスIDのうちの1つであること、および、擬似NFインスタンスIDがそのメッセージまたはそのメッセージタイプに対して許可されていないことを判定することを含む。
プロセス1000は例示を目的としたものであること、ならびに、異なるおよび/または追加のアクションが使用されてもよいことが諒解されよう。本明細書に記載されている様々なアクションは、異なる順序またはシーケンスにおいて行われてもよいことも諒解されよう。
本明細書に記載されている主題のいくつかの態様は、5Gネットワークを参照して論じられているが、様々な他のネットワークが、本明細書に記載されている主題のいくつかの態様を利用してもよいことが諒解されよう。たとえば、NFインスタンスIDまたは同様のIDを利用する任意のネットワークは、擬似または一時識別子を割り当てるか、または関連付け、それらの擬似または一時IDを様々なネットワーク対話、たとえば、PLMN間通信に使用するために、本明細書に記載されている特徴、メカニズムおよび技術を使用してもよい。
本明細書に記載されている主題のいくつかの態様は、NRF関連メッセージを参照して論じられているが、様々な他のメッセージが、本明細書に記載されている主題の擬似NFインスタンスIDまたは他の態様を利用してもよいことが諒解されよう。たとえば、AMFによるUECM登録要求が、UECMサービス登録中に擬似NFインスタンスIDを識別のために利用してもよい。さらに、擬似NFインスタンスIDは、その部分の様々なメッセージタイプ、たとえば、メッセージペイロードおよび/またはヘッダにおいて使用されてもよいことが諒解されよう。たとえば、擬似NFインスタンスIDは、アクセストークンおよびCCAトークンの一部であってもよい。別の例において、擬似NFインスタンスIDは、負荷制御情報(LCI)ヘッダまたは過負荷制御情報(OCI)ヘッダ内にあってもよい。
ノード200、SM204、および/または本明細書に記載されている機能は、専用コンピューティングデバイスを構成してもよいことに留意されたい。さらに、ノード200、SM204、および/または本明細書に記載されている機能は、通信ネットワークにおけるネットワークセキュリティおよび/またはメッセージ妥当性確認の技術分野を改善することができる。たとえば、擬似NFインスタンスIDを使用すること、および/またはNF登録、NF更新、NF登録解除シナリオに対するNFインスタンスIDの使用を減少させることによって、悪意ある活動およびそれらの否定的結果(たとえば、DoS攻撃、顧客データ窃盗など)を軽減および/または防止することができる。この例において、本明細書に記載されている1つまたは複数の技術および/または方法を利用することによって、H-NRF100またはその中のSM204は、漏洩されているNFインスタンスIDを使用して権限を与えられていないNF更新またはNF登録解除を試行するDOS攻撃を防止することができる。さらに、本明細書に記載されているそのような技術および/または方法は、たとえば、nudm-sdm、nudm-uecm、npcf-uepolicy、nsmf-pdusession、nssf-nsselection、nnrf-disc、および/もしくはnnrf-nfmを含む複数のサービスまたは関連するインターフェースに適用可能であってもよい。
以下の引用文献の各々の開示は、本明細書と矛盾しない限りにおいて、ならびに、本明細書において採用されている方法、技術、および/もしくはシステムの背景を補足、説明、提供するか、または教示する限りにおいて、参照によりその全体が本明細書に組み込まれる。
引用文献:
1. 3GPP TS 29.510; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 17), V17.1.0 (2021-03).
2. 3GPP TS 33.501; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for the 5G System; (Release 17), V17.1.0 (2021-03).
3. RFC4122:A Universally Unique IDentifier (UUID) URN Namespace; Leach, P., Mealling, M.およびSalz, R.; (2005).
本開示の主題の様々な詳細は、本開示の主題の範囲から逸脱することなく変更されてもよいことが理解されよう。さらに、上記の説明は例示のみを目的としており、限定を目的とするものではない。

Claims (20)

  1. 通信ネットワークにおいてネットワーク機能(NF)インスタンス識別子(ID)を隠蔽するための方法であって、
    少なくとも1つのプロセッサを備えるNFリポジトリ機能(NRF)において、
    第1のNFから、前記第1のNFの第1のNFインスタンスを登録することを求めるNF登録要求メッセージを受信することを含み、前記NF登録要求メッセージは、前記第1のNFインスタンスを識別するための第1のNFインスタンス識別子(ID)を含み、
    前記方法は、少なくとも1つのプロセッサを備えるNFリポジトリ機能(NRF)において、
    前記第1のNFインスタンスIDと少なくとも1つの擬似NFインスタンスIDとの間のマッピングをデータストアに記憶することをさらに含み、前記データストアは、NFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間のマッピングを含み、
    前記方法は、少なくとも1つのプロセッサを備えるNFリポジトリ機能(NRF)において、
    前記第1のNFインスタンスを識別するための前記少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージを生成し、前記第1のNFに送信すること
    をさらに含む、方法。
  2. 前記方法は、前記第1のNFにおいて、
    前記NRFから、前記少なくとも1つの擬似NFインスタンスIDを含む前記NF登録応答メッセージを受信することを含み、前記少なくとも1つの擬似NFインスタンスIDの各々は、前記第1のNFインスタンスIDとは異なり、
    前記方法は、前記第1のNFにおいて、
    前記第1のNFインスタンスIDと関連付けられる前記少なくとも1つの擬似NFインスタンスIDを記憶することと、
    要求または応答メッセージを送信するときに送信元識別のために前記少なくとも1つの擬似NFインスタンスIDを使用することと
    をさらに含む、請求項1に記載の方法。
  3. 前記NRFにおいて、
    コンシューマNFインスタンスから、少なくとも1つのクエリパラメータを含むNF発見要求メッセージを受信することと、
    前記少なくとも1つのクエリパラメータおよび前記データストアを使用して、前記第1のNFインスタンスと関連付けられる第1の擬似NFインスタンスIDを含むNFプロファイルを選択することと、
    前記第1の擬似NFインスタンスIDを含む前記NFプロファイルを前記コンシューマNFインスタンスに送信することと
    を含む、請求項1または請求項2に記載の方法。
  4. 前記第1の擬似NFインスタンスIDは、前記第1のNFインスタンスと関連付けられるアクセストークンまたはNFサブスクリプションを要求するために、前記コンシューマNFインスタンスによって使用可能である、請求項3に記載の方法。
  5. 前記第1の擬似NFインスタンスIDは、サービスベースインターフェース(SBI)を介して前記第1のNFインスタンスと通信するために、前記コンシューマNFインスタンスによって使用可能である、請求項3または請求項4に記載の方法。
  6. 前記方法は、前記NRFにおいて、
    コンシューマNFインスタンスから、前記第1のNFインスタンスと関連付けられるアクションを実施するためのサービス要求メッセージを受信することを含み、前記サービス要求メッセージは、前記第1のNFインスタンスのIDを含み、
    前記方法は、前記NRFにおいて、
    前記IDおよび前記データストアを使用して、前記サービス要求メッセージが有効または無効であることを判定することと、
    前記サービス要求メッセージが無効であるという判定に応答して、無効メッセージアクションを実施することと、
    前記サービス要求メッセージが有効であるという判定に応答して、有効メッセージアクションを実施することと
    をさらに含む、先行する請求項のいずれかに記載の方法。
  7. 前記無効メッセージアクションは、前記サービス要求メッセージを破棄すること、または、ネットワークオペレータもしくは管理システムに通知することを含む、請求項6に記載の方法。
  8. 前記サービス要求メッセージは、NF登録要求メッセージ、NF更新要求メッセージ、またはNF登録解除要求メッセージを含む、請求項6または請求項7に記載の方法。
  9. 前記サービス要求メッセージが無効であることを判定することは、前記サービス要求メッセージ内の前記IDが前記第1のNFインスタンスと関連付けられる前記少なくとも1つの擬似NFインスタンスIDのうちの1つであることを判定することを含む、請求項8に記載の方法。
  10. 前記第1のNFは、プロデューサネットワーク機能(NF)、ポリシ制御機能(PCF)、バインディングサポート機能(BSF)、サービス通信プロキシ(SCP)、セキュリティエッジ保護プロキシ(SEPP)、ネットワークスライス選択機能(NSSF)、ネットワークエクスポージャ機能(NEF)、統合データリポジトリ(UDR)、または第5世代(5G)コアNFを含む、先行する請求項のいずれかに記載の方法。
  11. 通信ネットワークにおいてネットワーク機能(NF)インスタンス識別子(ID)を隠蔽するためのシステムであって、
    NFリポジトリ機能(NRF)を備え、
    前記NFリポジトリ機能は、
    少なくとも1つのプロセッサと、
    前記少なくとも1つのプロセッサによって実装されるセキュリティモジュールとを備え、前記セキュリティモジュールは、
    第1のNFから、前記第1のNFの第1のNFインスタンスを登録することを求めるNF登録要求メッセージを受信するために実装され、前記NF登録要求メッセージは、前記第1のNFインスタンスを識別するための第1のNFインスタンス識別子(ID)を含み、
    前記第1のNFインスタンスIDと少なくとも1つの擬似NFインスタンスIDとの間のマッピングをデータストアに記憶するために実装され、前記データストアは、NFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間のマッピングを含み、
    前記第1のNFインスタンスを識別するための前記少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージを生成し、前記第1のNFに送信するために実装される、システム。
  12. 前記システムは、前記第1のNFを備え、前記第1のNFは、
    前記NRFから、前記少なくとも1つの擬似NFインスタンスIDを含む前記NF登録応答メッセージを受信するように構成されており、前記少なくとも1つの擬似NFインスタンスIDの各々は、前記第1のNFインスタンスIDとは異なり、
    前記第1のNFインスタンスIDと関連付けられる前記少なくとも1つの擬似NFインスタンスIDを記憶することと、
    要求または応答メッセージを送信するときに送信元識別のために前記少なくとも1つの擬似NFインスタンスIDを使用することと
    を行うように構成されている、請求項11に記載のシステム。
  13. 前記NRFは、
    コンシューマNFインスタンスから、少なくとも1つのクエリパラメータを含むNF発見要求メッセージを受信することと、
    前記少なくとも1つのクエリパラメータおよび前記データストアを使用して、前記第1のNFインスタンスと関連付けられる第1の擬似NFインスタンスIDを含むNFプロファイルを選択することと、
    前記第1の擬似NFインスタンスIDを含む前記NFプロファイルを前記コンシューマNFインスタンスに送信することと
    を行うように構成されている、請求項11または請求項12に記載のシステム。
  14. 前記第1の擬似NFインスタンスIDは、前記第1のNFインスタンスと関連付けられる、アクセストークンまたはNFサブスクリプションを要求するために、前記コンシューマNFインスタンスによって使用可能である、請求項13に記載のシステム。
  15. 前記第1の擬似NFインスタンスIDは、サービスベースインターフェース(SBI)を介して前記第1のNFインスタンスと通信するために、前記コンシューマNFインスタンスによって使用可能である、請求項13または請求項14に記載のシステム。
  16. 前記NRFは、
    コンシューマNFインスタンスから、前記第1のNFインスタンスと関連付けられるアクションを実施するためのサービス要求メッセージを受信するように構成されており、前記サービス要求メッセージは、前記第1のNFインスタンスのIDを含み、
    前記IDおよび前記データストアを使用して、前記サービス要求メッセージが有効または無効であることを判定することと、
    前記サービス要求メッセージが無効であるという判定に応答して、無効メッセージアクションを実施することと、
    前記サービス要求メッセージが有効であるという判定に応答して、有効メッセージアクションを実施することと
    を行うように構成されている、請求項11~請求項15のいずれかに記載のシステム。
  17. 前記無効メッセージアクションは、前記サービス要求メッセージを破棄すること、または、ネットワークオペレータもしくは管理システムに通知することを含む、請求項16に記載のシステム。
  18. 前記サービス要求メッセージは、NF登録要求メッセージ、NF更新要求メッセージ、またはNF登録解除要求メッセージを含み、前記サービス要求メッセージが無効であることを判定することは、前記サービス要求メッセージ内の前記IDが前記第1のNFインスタンスと関連付けられる前記少なくとも1つの擬似NFインスタンスIDのうちの1つであることを判定することを含む、請求項16または請求項17に記載のシステム。
  19. 前記第1のNFは、プロデューサネットワーク機能(NF)、ポリシ制御機能(PCF)、バインディングサポート機能(BSF)、サービス通信プロキシ(SCP)、セキュリティエッジ保護プロキシ(SEPP)、ネットワークスライス選択機能(NSSF)、ネットワークエクスポージャ機能(NEF)、統合データリポジトリ(UDR)、または第5世代(5G)コアNFを含む、請求項11~請求項18のいずれかに記載のシステム。
  20. コンピュータの少なくとも1つのプロセッサによって実行されると、前記コンピュータにステップを実施させる実行可能命令が記憶されている非一時的コンピュータ可読媒体であって、前記ステップは、
    少なくとも1つのプロセッサを備えるネットワーク機能(NF)リポジトリ機能(NRF)において、
    第1のNFから、前記第1のNFの第1のNFインスタンスを登録することを求めるNF登録要求メッセージを受信するステップを含み、前記NF登録要求メッセージは、前記第1のNFインスタンスを識別するための第1のNFインスタンス識別子(ID)を含み、
    少なくとも1つのプロセッサを備えるネットワーク機能(NF)リポジトリ機能(NRF)において、
    前記第1のNFインスタンスIDと少なくとも1つの擬似NFインスタンスIDとの間のマッピングをデータストアに記憶するステップを含み、前記データストアは、NFインスタンスIDと、関係付けられる擬似NFインスタンスIDとの間のマッピングを含み、
    少なくとも1つのプロセッサを備えるネットワーク機能(NF)リポジトリ機能(NRF)において、
    前記第1のNFインスタンスを識別するための前記少なくとも1つの擬似NFインスタンスIDを含むNF登録応答メッセージを生成し、前記第1のNFに送信するステップを含む、非一時的コンピュータ可読媒体。
JP2023568350A 2021-05-07 2022-04-07 ネットワーク機能インスタンス識別子を隠蔽するための方法、システム、およびコンピュータ可読媒体 Pending JP2024517875A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/314,300 2021-05-07
US17/314,300 US11570689B2 (en) 2021-05-07 2021-05-07 Methods, systems, and computer readable media for hiding network function instance identifiers
PCT/US2022/023894 WO2022235373A1 (en) 2021-05-07 2022-04-07 Methods, systems, and computer readable media for hiding network function instance identifiers

Publications (1)

Publication Number Publication Date
JP2024517875A true JP2024517875A (ja) 2024-04-23

Family

ID=81454778

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023568350A Pending JP2024517875A (ja) 2021-05-07 2022-04-07 ネットワーク機能インスタンス識別子を隠蔽するための方法、システム、およびコンピュータ可読媒体

Country Status (5)

Country Link
US (1) US11570689B2 (ja)
EP (1) EP4335080A1 (ja)
JP (1) JP2024517875A (ja)
CN (1) CN117280656A (ja)
WO (1) WO2022235373A1 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2021011933A1 (en) * 2019-07-18 2021-01-21 Nokia Solutions And Networks Oy Mechanism to facilitate signaling traffic
US11888894B2 (en) 2021-04-21 2024-01-30 Oracle International Corporation Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks
US11627467B2 (en) 2021-05-05 2023-04-11 Oracle International Corporation Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces
US11695563B2 (en) 2021-05-07 2023-07-04 Oracle International Corporation Methods, systems, and computer readable media for single-use authentication messages
US11638155B2 (en) 2021-05-07 2023-04-25 Oracle International Corporation Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US1872857A (en) 1931-04-20 1932-08-23 Peerless Handcuff Company Police officer's shackle
US5758257A (en) 1994-11-29 1998-05-26 Herz; Frederick System and method for scheduling broadcast of and access to video programs and other data using customer profiles
US6460036B1 (en) 1994-11-29 2002-10-01 Pinpoint Incorporated System and method for providing customized electronic newspapers and target advertisements
US6185612B1 (en) 1998-10-29 2001-02-06 Novell, Inc. Secure distribution and use of weighted network topology information
US6298383B1 (en) 1999-01-04 2001-10-02 Cisco Technology, Inc. Integration of authentication authorization and accounting service and proxy service
JP4095892B2 (ja) 2000-10-10 2008-06-04 ノキア コーポレイション ネットワーク要素ネームおよびアドレスを隠蔽するための技術
EP1873980B1 (en) 2002-01-21 2015-07-22 SISVEL International S.A. Interrogating network element for an IMS data network
PL372459A1 (en) 2002-03-27 2005-07-25 Siemens Aktiengesellschaft Aaa server system for efficient access control and address assignment
US7283539B2 (en) 2002-06-10 2007-10-16 Airwide Solutions Inc. Method and system for managing message-based applications and applications providers in a communications network
US7266837B2 (en) 2002-11-22 2007-09-04 Telefonaktiebolaget Lm Ericsson (Publ) Authentication, authorization, and accounting (AAA) server
KR100651716B1 (ko) 2004-10-11 2006-12-01 한국전자통신연구원 Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템
EP1860837A4 (en) 2005-03-30 2010-09-29 Huawei Tech Co Ltd METHOD AND SYSTEM FOR IMPLEMENTING THE ROUTE CONTROL
US20060259759A1 (en) 2005-05-16 2006-11-16 Fabio Maino Method and apparatus for securely extending a protected network through secure intermediation of AAA information
US20070019616A1 (en) 2005-06-29 2007-01-25 Olli Rantapuska Group formation using mobile computing devices
CN1964316A (zh) 2005-11-10 2007-05-16 华为技术有限公司 在分组网络中实现网络屏蔽的方法及系统
DE602006007319D1 (de) 2006-04-20 2009-07-30 Ntt Docomo Inc Verfahren und Vorrichtung zur Datennetzwerktopologieverheimlichung
US8843657B2 (en) 2006-04-21 2014-09-23 Cisco Technology, Inc. Using multiple tunnels by in-site nodes for securely accessing a wide area network from within a multihomed site
US20080010669A1 (en) 2006-04-28 2008-01-10 Nokia Corporation Hiding in Sh interface
US8208930B2 (en) 2006-06-21 2012-06-26 Hewlett-Packard Development Company, L. P. Message routing in a telecommunication system
EP2060087A1 (en) 2006-07-03 2009-05-20 Telefonaktiebolaget L M Ericsson (Publ) Topology hiding of mobile agents
EP2052563B1 (en) 2006-08-16 2013-10-16 Telefonaktiebolaget LM Ericsson (publ) Ggsn proxy for one tunnel solution
US8929360B2 (en) 2006-12-07 2015-01-06 Cisco Technology, Inc. Systems, methods, media, and means for hiding network topology
CN101247321B (zh) 2007-02-14 2012-07-04 华为技术有限公司 在基于直径协议的网络中进行路由诊断的方法、装置及系统
US8155128B2 (en) 2007-09-26 2012-04-10 Alcatel Lucent Method and apparatus for establishing and managing diameter associations
US8218459B1 (en) 2007-12-20 2012-07-10 Genbrand US LLC Topology hiding of a network for an administrative interface between networks
US20090165017A1 (en) 2007-12-24 2009-06-25 Yahoo! Inc. Stateless proportionally consistent addressing
ES2553191T3 (es) 2007-12-27 2015-12-04 Zte Corporation Procedimiento de selección de una función de políticas y reglas de facturación
US9749404B2 (en) 2008-04-17 2017-08-29 Radware, Ltd. Method and system for load balancing over a cluster of authentication, authorization and accounting (AAA) servers
US8249551B2 (en) 2008-06-05 2012-08-21 Bridgewater Systems Corp. Long-term evolution (LTE) policy control and charging rules function (PCRF) selection
US8615237B2 (en) 2010-01-04 2013-12-24 Tekelec, Inc. Methods, systems, and computer readable media for policy and charging rules function (PCRF) node selection
US8626157B2 (en) 2010-02-11 2014-01-07 Tekelec, Inc. Methods, systems, and computer readable media for dynamic subscriber profile adaptation
CN103039049B (zh) 2010-06-06 2016-08-24 泰克莱克股份有限公司 用于在通信网络中遮蔽直径节点信息的方法、系统和计算机可读介质
US8515392B2 (en) 2010-12-16 2013-08-20 Verizon Patent And Licensing Inc. Self-subscription and self-reactivation to a network
US8880726B2 (en) 2010-12-16 2014-11-04 Openet Telecom Ltd. Methods, systems and devices for dynamic context-based routing using a topology tree
US8824370B2 (en) 2010-12-16 2014-09-02 Openet Telecom Ltd. Methods, systems and devices for dynamic context-based routing
KR101589574B1 (ko) 2011-01-14 2016-01-28 노키아 솔루션스 앤드 네트웍스 오와이 비신뢰 네트워크를 통한 외부 인증 지원
US9521145B2 (en) 2011-10-17 2016-12-13 Mitel Mobility Inc. Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network
US9253163B2 (en) 2011-12-12 2016-02-02 Tekelec, Inc. Methods, systems, and computer readable media for encrypting diameter identification information in a communication network
US8806580B2 (en) 2012-01-18 2014-08-12 Juniper Networks, Inc. Clustered AAA redundancy support within a radius server
MX366459B (es) 2014-12-08 2019-07-10 Ericsson Telefon Ab L M Procesamiento de mensajes para sesiones de suscriptor que se extienden a traves de diferentes dominios de red.
US9967148B2 (en) 2015-07-09 2018-05-08 Oracle International Corporation Methods, systems, and computer readable media for selective diameter topology hiding
US10033736B2 (en) 2016-01-21 2018-07-24 Oracle International Corporation Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding
US10547613B1 (en) 2017-05-17 2020-01-28 Amazon Technologies, Inc. Simplified association of devices with a network using unique codes on the devices and side channel communication
EP3692732B1 (en) 2017-10-04 2024-01-17 Telefonaktiebolaget LM Ericsson (publ) Identifiers in a wireless communication system
EP3744076A4 (en) * 2018-01-24 2021-08-25 Telefonaktiebolaget LM Ericsson (publ) PROCESS AND APPARATUS FOR IMPROVING THE DISCOVERY OF SERVICES
US11038923B2 (en) 2018-02-16 2021-06-15 Nokia Technologies Oy Security management in communication systems with security-based architecture using application layer security
US11050788B2 (en) 2018-07-30 2021-06-29 Cisco Technology, Inc. SEPP registration, discovery and inter-PLMN connectivity policies
US20220124468A1 (en) * 2018-11-15 2022-04-21 Telefonaktiebolaget Lm Ericsson (Publ) Service instance indication for resource creation
US11032084B2 (en) 2018-12-07 2021-06-08 Arris Enterprises Llc Generic code signing client with downloadable modules
CN114785523A (zh) * 2019-04-28 2022-07-22 华为技术有限公司 网络功能服务的身份校验方法及相关装置
US10834571B1 (en) 2019-08-02 2020-11-10 Syniverse Technologies, Llc Steering of roaming for 5G core roaming in an internet packet exchange network
US11310151B2 (en) * 2019-09-16 2022-04-19 Verizon Patent And Licensing Inc. System and method for managing lookups for network repository functions
CN111163473B (zh) 2020-01-02 2020-11-13 广州爱浦路网络技术有限公司 一种基于nrf权限等级的5g核心网数据防护方法
US11509476B2 (en) 2020-02-12 2022-11-22 Verizon Patent And Licensing Inc. System and method for enabling secure service-based communications via 5G proxies
US11757635B2 (en) 2020-03-13 2023-09-12 Mavenir Networks, Inc. Client authentication and access token ownership validation
WO2022043130A1 (en) 2020-08-24 2022-03-03 Telefonaktiebolaget Lm Ericsson (Publ) Integrity verification in a wireless communication network

Also Published As

Publication number Publication date
US20220361085A1 (en) 2022-11-10
WO2022235373A1 (en) 2022-11-10
US11570689B2 (en) 2023-01-31
CN117280656A (zh) 2023-12-22
EP4335080A1 (en) 2024-03-13

Similar Documents

Publication Publication Date Title
US11818570B2 (en) Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US20220104112A1 (en) Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (sepp) inter-public land mobile network (inter-plmn) forwarding interface
US11570689B2 (en) Methods, systems, and computer readable media for hiding network function instance identifiers
US11516671B2 (en) Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US11943616B2 (en) Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
WO2022098405A1 (en) Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
US11627467B2 (en) Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces
US11888894B2 (en) Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks
JP2024502607A (ja) 加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体
US11695563B2 (en) Methods, systems, and computer readable media for single-use authentication messages
JPWO2022066227A5 (ja)
JP2024509940A (ja) サービス通信プロキシ(scp)における代行承認のための方法、システム、およびコンピュータ可読媒体
US10009258B2 (en) Methods, systems, and computer readable media for routing a redirected request message
US20230171099A1 (en) Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification
US11758368B2 (en) Methods, systems, and computer readable media for supporting mobile originated data multicasting in a communications network
CN117859312A (zh) 通过验证过载控制信息来降低成功DoS攻击的可能性
US20240163271A1 (en) Methods, systems, and computer readable media for detecting stolen access tokens
US11974134B2 (en) Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network
US10841283B2 (en) Smart sender anonymization in identity enabled networks
CN116491140A (zh) 用于入口消息速率限制的方法、系统和计算机可读介质