JP2024518157A - ネットワーク機能(nf)リポジトリ機能(nrf)またはサービス通信プロキシ(scp)によるプラットフォームファイアウォール管理のための方法、システムおよびコンピュータ可読媒体 - Google Patents

ネットワーク機能(nf)リポジトリ機能(nrf)またはサービス通信プロキシ(scp)によるプラットフォームファイアウォール管理のための方法、システムおよびコンピュータ可読媒体 Download PDF

Info

Publication number
JP2024518157A
JP2024518157A JP2023568041A JP2023568041A JP2024518157A JP 2024518157 A JP2024518157 A JP 2024518157A JP 2023568041 A JP2023568041 A JP 2023568041A JP 2023568041 A JP2023568041 A JP 2023568041A JP 2024518157 A JP2024518157 A JP 2024518157A
Authority
JP
Japan
Prior art keywords
firewall
platform
profile
updating
nrf
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2023568041A
Other languages
English (en)
Inventor
ラジプット,ジャイ
シング,ビレンドラ
スリバスタバ,アンキット
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2024518157A publication Critical patent/JP2024518157A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ネットワーク機能(NF)リポジトリ機能(NRF)またはサービス通信プロキシ(SCR)を用いて、プラットフォームファイアウォールを自動的に管理する方法は、プラットフォームファイアウォールとは別のNFプロファイルデータベース内にNFプロファイルを登録、更新または登録解除することに関するメッセージを受信するステップを含む。方法は、NFプロファイルを登録、更新または登録解除することが、プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定するステップをさらに含む。方法は、NFプロファイルを登録、更新または登録解除することが、プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定するステップに応答して、NRFまたはSCRによって、プラットフォームファイアウォールのファイアウォールルール設定を自動的に更新するステップをさらに含む。

Description

優先権主張
この出願は、2021年5月4日に出願されている米国特許出願第17/308,018号の優先権の利益を主張し、その開示全体は、本願明細書に参照によって組み込まれる。
技術分野
本願明細書において記載されている主題は、電気通信網におけるセキュリティに関する。より詳しくは、本願明細書において記載されている主題は、NRFまたはSCPによるプラットフォームファイアウォール管理のための方法、システムおよびコンピュータ可読媒体に関する。
背景
5G電気通信網では、サービスを提供するネットワーク機能は、プロデューサNFまたはNFサービスプロデューサと称される。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと称される。ネットワーク機能は、ネットワーク機能がサービスを消費しているか、生成しているか、消費および生成しているかに依存して、プロデューサNF、コンシューマNF、または両方とすることができる。「プロデューサNF」および「NFサービスプロデューサ」という用語は、本願明細書において同義に用いられる。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、本願明細書において同義に用いられる。
所定のプロデューサNFは、多くのサービスエンドポイントを有してもよく、サービスエンドポイントは、プロデューサNFによってホストされる1つまたは複数のNFインスタンスのための接続ポイントである。サービスエンドポイントは、インターネットプロトコル(IP)アドレスおよびポート番号の組み合わせ、または、プロデューサNFをホストするネットワークノード上のIPアドレスおよびポート番号に変換される完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。所定のプロデューサNFは、2つ以上のNFインスタンスを含んでもよい。複数のNFインスタンスが同じサービスエンドポイントを共有することができることにもまた留意されたい。
プロデューサNFは、ネットワーク機能リポジトリ機能(NRF)に登録する。NRFは、各々のNFインスタンスによりサポートされるサービスを識別する、利用できるNFインスタンスのサービスプロファイルを保持する。「サービスプロファイル」および「NFプロファイル」という用語は、本願明細書において同義に用いられる。コンシューマNFは、NRFに登録されているプロデューサNFインスタンスに関する情報を受信するためにサブスクライブすることができる。
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するためにサブスクライブすることができるネットワークノードの他のタイプは、サービス通信プロキシ(SCP)である。SCPは、NRFにサブスクライブし、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシ負荷は、必要なサービスを提供するプロデューサNFサービスインスタンスの間でトラフィックのバランスをとるか、または、宛先プロデューサNFインスタンスにトラフィックを直接ルーティングする。
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードの他の例は、セキュリティエッジ保護プロキシ(SEPP)である。SEPPは、異なる5G公衆地上移動ネットワーク(PLMN)の間で交換される制御プレーントラフィックを保護するために用いられるネットワークノードである。したがって、SEPPは、PLMN間で送信されるすべてのアプリケーションプログラミングインタフェース(API)メッセージのためにメッセージフィルタリング、ポリシングおよびトポロジ隠蔽を実行する。
5G通信ネットワークの1つの問題は、ネットワークに入るおよび/またはネットワークから出るパケットをフィルタリングすることによって、ネットワークを保護するファイアウォールを設定することが労働集約的であり、誤りを起こしやすいということである。ネットワークに入るおよび/またはネットワークから出るパケットをフィルタリングすることによって5G(または次世代)のコアネットワークを保護するファイアウォールは、本願明細書において、プラットフォームファイアウォールと称される。
5G NFは、他の5Gの定義済みのセキュリティメカニズムに加えて、ソースおよび宛先IPアドレス、ソースおよび宛先ポートならびにプロトコルに基づいてパケットをフィルタリングするファイアウォールルールによって守られるネットワークに配備される。設定について存在する課題の1つは、5G NF IPアドレスおよびポートの詳細を含むNFプロファイルに対する変更としてNRFによってもたらされる5G NFトポロジ変更に同期して、ファイアウォールルールを保つことである。この種の設定を手動で実行することは、時間がかかり、労働集約的で、誤りが生じやすい。例えば、特に5Gシステムのクラウドネットワークの実施態様では、NFインスタンスがインスタンス生成され、更新され、サービスから除去されるとき、NFプロファイルは高速で変更しうる。5Gネットワークを保護するプラットフォームファイアウォールは、ネットワークトポロジの変更に基づいて更新される必要がある。しかしながら、5GネットワークのNFプロファイル変更に同期して、プラットフォームファイアウォールルールを保つための定義済みのメカニズムが存在しない。
これらおよび他の問題点を考慮して、プラットフォームファイアウォールを管理するための改善される方法、システムおよびコンピュータ可読媒体の必要が存在する。
概要
ネットワーク機能(NF)リポジトリ機能(NRF)またはサービス通信プロキシ(SCP)を用いて、プラットフォームファイアウォールを自動的に管理する方法は、プラットフォームファイアウォールとは別のNFプロファイルデータベース内にNFプロファイルを登録、更新または登録解除することに関するメッセージを受信するステップを含む。方法は、NFプロファイルを登録、更新または登録解除することが、プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定することをさらに含む。方法は、NFプロファイルを登録、更新または登録解除することが、プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定することに応答して、NRFまたはSCPによって、プラットフォームファイアウォールのファイアウォールルール設定を自動的に更新することをさらに含む。
本願明細書において記載されている主題の他の態様によれば、NFプロファイルを登録、更新または登録解除することに関するメッセージを受信することは、NRFによってNFプロファイルを登録することに関するNF登録要求または応答を受信することを含む。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールのファイアウォールルール設定を自動的に更新することは、ファイアウォールルール設定にルールを追加し、NFへのまたはNFからのパケットトラフィックをフィルタリングすることを含む。
本願明細書において記載されている主題の他の態様によれば、NFプロファイルを登録、更新または登録解除することに関するメッセージを受信することは、NRFによってNFプロファイルを更新することに関するNF更新要求または応答を受信することを含む。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールの設定を自動的に更新することは、ファイアウォールルール設定のルールを更新し、NFへのまたはNFからのパケットトラフィックをフィルタリングすることを含む。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールのルール設定を自動的に更新する方法は、NFプロファイルを登録、更新または登録解除することに関するメッセージが、NFの完全修飾ドメイン名(FQDN)を含むと決定することを含み、方法は、DNSサーバに問い合わせ、NFのFQDNをNFのインターネットプロトコル(IP)アドレスに変換することをさらに含む。
本願明細書において記載されている主題の他の態様によれば、NFプロファイルを登録、更新または登録解除することに関するメッセージを受信することは、NRFによってNFプロファイルを登録解除することに関するNF登録解除要求または応答を受信することを含む。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールの設定を自動的に更新することは、NFプロファイルに対応するファイアウォールルール設定のルールを削除することを含む。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールの設定を自動的に更新することは、プラットフォームファイアウォールの設定アプリケーションプログラミングインタフェース(API)を呼び出すことを含む。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールの設定を自動的に更新することは、異なるネットワークサイトに位置する複数のプラットフォームファイアウォールを更新することを含む。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールを自動的に管理するシステムが提供される。システムは、少なくとも1つのプロセッサおよびメモリを含むネットワーク機能(NF)リポジトリ機能(NRF)またはサービス通信プロキシ(SCP)を含む。システムは、プラットフォームファイアウォールとは別のNFプロファイルデータベース内にNFプロファイルを登録、更新または登録解除することに関するメッセージを受信し、NFプロファイルを登録、更新または登録解除することが、プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定し、NFプロファイルを登録、更新または登録解除することが、プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定することに応答して、NRFまたはSCPによって、プラットフォームファイアウォールのファイアウォールルール設定を自動的に更新するためのプラットフォームファイアウォールルール設定マネージャをさらに含む。
本願明細書において記載されている主題の他の態様によれば、NFプロファイルを登録、更新または登録解除することに関するメッセージは、NRFによってNFプロファイルを登録することに関するNF登録要求または応答を含む。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールの設定を自動的に更新する際、プラットフォームファイアウォールルール設定マネージャは、ファイアウォールルール設定にルールを追加し、NFへのまたはNFからのパケットトラフィックをフィルタリングするように構成される。
本願明細書において記載されている主題の他の態様によれば、NFプロファイルを登録、更新または登録解除することに関するメッセージは、NRFによってNFプロファイルを更新することに関するNF更新要求または応答を含む。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールの設定を自動的に更新する際、プラットフォームファイアウォールルール設定マネージャは、ファイアウォールルール設定のルールを更新し、NFへのまたはNFからのパケットトラフィックをフィルタリングするように構成される。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールルール設定マネージャは、NFプロファイルを登録、更新または登録解除することに関するメッセージが、NFの完全修飾ドメイン名(FQDN)を含むと決定し、DNSサーバに問い合わせ、NFのFQDNをNFのインターネットプロトコル(IP)アドレスに変換するように構成される。
本願明細書において記載されている主題の他の態様によれば、NFプロファイルを登録、更新または登録解除することに関するメッセージは、NRFによってNFプロファイルを登録解除することに関するNF登録解除要求または応答を含み、プラットフォームファイアウォールの設定を自動的に更新する際、プラットフォームファイアウォールルール設定マネージャは、NF登録解除要求または応答内で識別されるNFプロファイルに対応するファイアウォールルール設定のルールを削除するように構成される。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールの設定を自動的に更新する際、プラットフォームファイアウォールルール設定マネージャは、プラットフォームファイアウォールの設定アプリケーションプログラミングインタフェース(API)を呼び出すように構成される。
本願明細書において記載されている主題の他の態様によれば、プラットフォームファイアウォールルール設定マネージャは、異なるネットワークサイトに位置する複数のプラットフォームファイアウォールのルール設定を更新するように構成される。
本願明細書において記載されている主題の他の態様によれば、実行可能な命令を格納している非一時的コンピュータ可読媒体が提供され、命令は、コンピュータのプロセッサによって実行されると、コンピュータをステップを実行するように制御する。ステップは、少なくとも1つのプロセッサによって実施されるネットワーク機能(NF)リポジトリ機能(NRF)またはサービス通信プロキシ(SCP)において実行される。ステップは、プラットフォームファイアウォールとは別のNFプロファイルデータベース内にNFプロファイルを登録、更新または登録解除することに関するメッセージを受信するステップをさらに含む。ステップは、NFプロファイルを登録、更新または登録解除することが、プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定するステップをさらに含む。ステップは、NFプロファイルを登録、更新または登録解除することが、プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定することに応答して、NRFまたはSCPによって、プラットフォームファイアウォールのファイアウォールルール設定を自動的に更新することをさらに含む。
本願明細書において記載されている主題は、ソフトウェアで、ハードウェアおよび/またはファームウェアと組み合わせて実施可能である。例えば、本願明細書において記載されている主題は、プロセッサによって実行されるソフトウェアで実施可能である。1つの例示的な実施態様において、本願明細書において記載されている主題は、コンピュータ実行可能命令を格納している非一時的コンピュータ可読媒体を用いて実施可能であり、命令は、コンピュータのプロセッサによって実行されると、コンピュータがステップを実行するように制御する。本願明細書において記載されている主題を実施するように構成される例示的なコンピュータ可読媒体は、非一時的コンピュータ可読媒体、例えば、ディスクメモリデバイス、チップメモリデバイス、プログラム可能論理回路および特定用途向け集積回路を含む。加えて、本願明細書において記載されている主題を実施するコンピュータ可読媒体は、単一のデバイスもしくはコンピューティングプラットフォーム上に位置してもよいかまたは複数のデバイスもしくはコンピューティングプラットフォームにわたり分散されてもよい。
本願明細書において記載されている主題の例示的な実施態様は、以下、添付の図面を参照して説明される。
例示的な5Gシステムネットワークアーキテクチャを示すネットワーク図である。 信頼できるネットワークと信頼できないネットワークとの間に位置するファイアウォールを示すネットワーク図である。 NRFを用いて、プラットフォームファイアウォールを自動的に設定するために交換される例示的なメッセージを示すメッセージフロー図である。 異なるサイトに位置する複数のプラットフォームファイアウォールを管理するNRFを示すネットワーク図である。 プラットフォームファイアウォールを自動的に管理するための、NRFまたはSCPのための例示的なアーキテクチャを示すブロック図である。 NRFまたはSCPを用いてプラットフォームファイアウォールを管理するための例示的なプロセスを示すフローチャートである。
詳細な説明
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、NRF100およびSCP101を含み、これらは、同じホーム公衆地上移動ネットワーク(HPLMN)内に位置してもよい。上述したように、NRF100は、利用できるプロデューサNFサービスインスタンスおよびそれらのサポートされているサービスのプロファイルを保持し、コンシューマNFまたはSCPが、新しい/更新されているプロデューサNFサービスインスタンスの登録をサブスクライブし、通知されるのを可能にしてもよい。SCP101はまた、プロデューサNFインスタンスのサービス発見および選択をサポートしてもよい。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷バランスを実行してもよい。
NRF100は、NFまたはプロデューサNFインスタンスのサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、NRF100からNFまたはプロデューサNFインスタンスのサービスプロファイルを取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標) TS 29.510で定義されるJavaScriptオブジェクト表記法(JSON)のデータ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレスまたはIPバージョン6(IPv6)アドレスの少なくとも1つを含む。
図1において、ネットワーク機能のいずれかは、サービスを要求しているか、提供しているか、または、要求および提供しているかに依存して、コンシューマNF、プロデューサNFまたは両方とすることができる。図示例では、NFは、ネットワーク内でポリシー関連の動作を実行するポリシー制御機能(PCF)102、ユーザデータを管理するユーザ定義型管理(UDM)104およびアプリケーションサービスを提供するアプリケーション機能(AF)106を含む。
図1に示されるNFは、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(SMF)108をさらに含む。AMF110は、4Gネットワークにおいてモビリティ管理エンティティ(MME)によって実行されるものに類似のモビリティ管理動作を実行する。認証サーバ機能(AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114のようなユーザ機器(UE)のための認証サービスを実行する。
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスに関連付けられている特定のネットワーク能力および特性にアクセスしようとしているデバイスのためのネットワークスライシングサービスを提供する。ネットワーク露出機能(NEF)118は、ネットワークに取り付けられるモノのインターネット(IoT)デバイスおよび他のUEに関する情報を取得しようとしているアプリケーション機能のためのアプリケーションプログラミングインタフェース(API)を提供する。NEF118は、4Gネットワークでサービス能力露出機能(SCEF)に類似の機能を実行する。
無線アクセスネットワーク(RAN)120は、ワイヤレスリンクを介してユーザ機器(UE)114をネットワークに接続する。無線アクセスネットワーク120は、g-Node B(gNB)(図1に示されない)または他のワイヤレスアクセスポイントを用いてアクセスされてもよい。ユーザプレーン機能(UPF)122は、ユーザプレーンサービスのためのさまざまなプロキシ機能をサポートすることができる。この種のプロキシ機能の1つの例は、マルチパス送信制御プロトコル(MPTCP)プロキシ機能である。UPF122は、ネットワーク性能測定値を取得するためにUE114によって用いられてもよい性能測定機能をサポートしてもよい。図1には、UEが、インターネットサービスのようなデータネットワークサービスにアクセスするデータネットワーク(DN)124も示される。
SEPP126は、他のPLMNから入るトラフィックをフィルタリングし、ホームPLMNから出るトラフィックのためにトポロジ隠蔽を実行する。SEPP126は、外部のPLMNのセキュリティを管理する、外部のPLMN内のSEPPと通信してもよい。したがって、異なるPLMN内のNF間のトラフィックは、2つのSEPP機能、すなわち、一方はホームPLMNのため、他方は外部のPLMNのための機能を横断してもよい。
図2は、信頼できるネットワークと信頼できないネットワークとの間に位置する例示的なファイアウォールを示すネットワーク図である。一般に、ファイアウォールは、所定のセキュリティルールに基づいて、出入りするネットワークトラフィックを監視および制御するネットワークセキュリティシステムである。ファイアウォールは、典型的には、信頼できるネットワークと信頼できないネットワークとの間の障壁を確立する。ネットワークファイアウォールの1つのタイプは、5Gエンティティ間で転送されるパケットを検査するパケットフィルタである。いくつかの場合において、パケットは、ソースおよび宛先IPアドレス、ソースおよび宛先ポートならびにプロトコルに基づいてフィルタリングされる。
上述したように、5Gネットワークで生じうる1つの問題は、5Gネットワークを保護するプラットフォームファイアウォールの管理である。具体的には、ファイアウォールルールがNRFで発生するNFプロファイルの変更に同期することを確実にする必要がある。NFプロファイルは、3GPP TS 29.510で定義される属性を有するデータ構造である。NFプロファイル属性の例示的なリストは、3GPP TS 29.510の表6.2.6.2.3-1に見られる。これらの属性のいずれかに対する更新を用いて、プラットフォームファイアウォールルール設定に対する自動更新をトリガしてもよい。
以下のリストは、プラットフォームファイアウォールルールに含まれてもよいNFプロファイル属性の例を示し、NFプロファイル属性の更新を用いて、プラットフォームファイアウォールルール設定に対する自動化されている更新をトリガしてもよい。
ネットワーク機能の完全修飾ドメイン名(FQDN)、
ネットワーク機能のIPv4アドレス、
ネットワーク機能のIPv6アドレス、
サービスインスタンスのFQDNおよび
IpEndPoint:ネットワーク機能のIPアドレスおよびポート情報であり、サービスは、入って来るサービス要求を聴いている。
3GPP TS 29.510の表6.2.6.2.3-1からの追加または代替の属性を用いて、プラットフォームファイアウォールルールを設定してもよい。NRFがネットワーク内で他のNFによって発見されるように登録されるNFのNFプロファイルを格納するので、NRFは、プラットフォームファイアウォールを設定するのに必要な情報のすべてではないにしても、ほとんどを有する。しかしながら、NFプロファイルが、NRFにおいて追加、更新または削除されるとき、パケットをフィルタリングするためのプラットフォームファイアウォールによって用いられるファイアウォールルールセットを更新するための定義済みのメカニズムは存在しない。
プラットフォームファイアウォールは、概して、設定APIを露出させ、ファイアウォール設定プロセスを自動化する。例えば、いくつかのプラットフォームファイアウォールは、代表的状態遷移(REST)APIを露出させ、ファイアウォールルールを設定する。しかしながら、本願明細書において記載されている主題は、REST APIを用いてファイアウォールルールを設定することに限定されるものではない。ファイアウォールルールを設定するための任意の適切なAPIは、本願明細書において記載されている主題の範囲内にあることを意図する。加えて、たとえファイアウォールが設定のためのAPIを有するとしても、ファイアウォールルールの変更をNFプロファイルの変更に同期させるための定義済みのメカニズムは存在しない。
5G NFトポロジ構成に従ってプラットフォームファイアウォールを設定し、次に5G NFトポロジ更新に同期してファイアウォールを保つ必要がある。手動の設定プロセスは、扱いにくく誤りを起こしやすい。プラットフォームファイアウォールプロセスを自動化する必要がある。5GCネットワークは、複数のサイトにわたり、手動プロセスを複雑にし、自動化されている設定の必要を増加させる。
1つの例示的な実施態様において、NRFは、プラットフォームファイアウォールルールを自動的に設定するために強化される。NRFは、作成/削除/更新のためにNFプロファイルを監視する。NRFは、NFプロファイルの変更が、プラットフォームファイアウォールルール設定のファイアウォールルール設定に対する変更を必要とするかを決定する。NFプロファイルの変更が、ファイアウォールルール設定に対する変更を必要とする場合、NRFは、対応するプラットフォームファイアウォールルール設定を更新するための処置をとる。そのようなステップは、IPアドレスがNFプロファイルにまだ設けられていないかまたはオペレータ設定に基づいている場合、FQDNをIPアドレスに変換することでもよい。次に、NRFは、ファイアウォールルール作成/削除/更新のための適切なプラットフォームAPIを呼び出してもよい。
ファイアウォールルール設定に対する変更を必要としうるNFプロファイル変更の1つの例は、NF登録である。NFがNRFに登録するとき、NFは、そのNFプロファイルをNRFに提供する。NFプロファイルは、NFがサービスのためにコンタクトされるべきFQDNまたはIPアドレスを含む。新しいNFプロファイルをNRFに追加することは、プラットフォームファイアウォールにおいて少なくとも1つのファイアウォールルールの作成をトリガしてもよい。例えば、この種のインスタンスで作成される1つのファイアウォールルールは、新しく登録されているNFのIPアドレスまたはFQDNに対するトラフィックまたはこれらからのトラフィックの特定のタイプを可能にすることである。
ファイアウォールルール設定に対する変更を必要としうるNFプロファイル変更の他の例は、NFプロファイルのコンタクトアドレスに対する更新である。例えば、NFがサービスのためにコンタクトされるIPアドレスまたはFQDNが変更する場合、1つまたは複数の対応するプラットフォームファイアウォールルールは、更新されているコンタクトアドレスへのパケットおよび更新されているコンタクトアドレスからのパケットが、ファイアウォールを通過可能であり、フィルタリング可能であるように、対応するコンタクトアドレスによって更新されるべきである。
ファイアウォールルール設定に対する変更を必要としうるNFプロファイル変更のさらに他の例は、NFプロファイルの登録解除である。NRFによるNFプロファイルの登録解除は、結果として、NRFによって保持されるNFプロファイルデータベースからNFプロファイルを削除することになる。NFプロファイルが削除される場合、登録解除されているNFのためのコンタクトアドレスが、ファイアウォールを通して攻撃トラフィックを送信するために用いることができないように、削除されているNFプロファイルのための対応するプラットフォームファイアウォールルールも削除されなければならない。
図3は、プラットフォームファイアウォールを設定するために交換される例示的なメッセージを示すメッセージフロー図である。図3を参照すると、ライン1において、図1において示されるNFのいずれかでもよい5G NF300は、NF登録、NF更新またはNF登録解除要求をNRF100に送信する。NF登録要求は、NFプロファイルをNRF100に登録するメッセージである。NF登録要求は、NFプロファイルが登録されることを含む。NF更新要求は、NRF100に登録されているNFプロファイルの1つまたは複数の属性を更新するためのメッセージである。NF登録解除メッセージは、NRF100に現在登録されているプロファイルを登録解除するためのメッセージであり、結果として、NFプロファイルは削除される。メッセージフロー図のライン2において、NRF100は、NF登録、NF更新またはNF登録解除要求に対する応答を返す。ライン1の要求がNF登録要求であり、動作が成功している場合、ライン2の応答は、201の作成メッセージでもよい。ライン1の要求がNF更新要求であり、動作が成功している場合、応答は、200のOKメッセージでもよい。ライン1の要求がNF登録解除要求である場合、ライン2の応答は、201のノーコンテンツメッセージでもよい。
NF登録、NF更新およびNF登録解除動作のいずれかが成功した場合、プラットフォームファイアウォールルール設定に対する変更を要求してもよい。したがって、メッセージフロー図のライン3-6において、NRF100は、DNSサーバ302およびプラットフォームファイアウォール304に信号送信し、1つまたは複数のファイアウォールルールを更新する。例えば、ライン3において、NRF100は、DNSクエリをDNSサーバ402に送信し、ライン1の動作の1つによって更新または作成されているNFプロファイル内のFQDNをIPアドレスに変換する。ライン4において、DNSサーバ402は、DNSクエリ内のFQDNに対応する1つまたは複数のIPアドレスによって、クエリに応答する。NFプロファイルがFQDNの代わりにIPアドレスを含み、NFまたはNFインスタンスを識別する場合、ライン3のDNSクエリがオプションであり、省略されてもよい点に留意されたい。
ライン5において、一旦NRF100がIPアドレスまたは1つもしくは複数のファイアウォールルールを更新するために必要な他のパラメータを受信すると、NRF100は、適切なプラットフォームファイアウォール設定APIを呼び出し、プラットフォームファイアウォール304によって用いられる1つまたは複数のファイアウォールルールを更新する。プラットフォームファイアウォール設定APIを呼び出すことは、APIに従ってフォーマットされるメッセージをプラットフォームファイアウォール304に送信すること、および、更新されているファイアウォールルールパラメータを含むことを含んでもよい。プラットフォームファイアウォール304は、メッセージを受信し、送信者を認証し、NRF100から受信した、更新されているNFプロファイル情報を用いて、そのパケットフィルタリングルールの1つまたは複数を更新し、ライン6において、NFルール更新が成功したことを示す応答をNRF100に返す。
プラットフォームファイアウォール304を設定するために、NRF100は、下記の表1の属性を利用してもよい。
Figure 2024518157000002
表1から、プラットフォームファイアウォール設定APIにアクセスするのに必要なパラメータは、APIエンドポイントを含み、APIエンドポイントは、ファイアウォールルール設定パラメータを受信するためのエンドポイントのFQDNまたはIPアドレスおよびポート番号でもよい。パラメータは、APIプレフィクスを含んでもよい。設定パラメータは、プラットフォームファイアウォール設定APIにアクセスするための、ログイン認証情報のようなセキュリティ認証情報をさらに含んでもよい。
プラットフォームファイアウォールを自動的に設定するために上述したように構成されるNRFを用いて、異なるサイトに位置する複数のプラットフォームファイアウォールを設定してもよい。図4は、この種の実施態様を示す。図4を参照すると、NRF100は、サイト1に位置し、サイト1は、プラットフォームファイアウォール304A、ならびにUDM104A、ユーザデータリポジトリ(UDR)400A、PCF102A、チャージング機能(CHF)402A、サブスクリプションロケータ機能(SLF)404AおよびSCP101Aを含んでもよい。サイト2は、プラットフォームファイアウォール304B、SMF108B、AMF110B、UPF122BおよびSCP101Bを含む。サイト3は、プラットフォームファイアウォール304C、SMF108C、AMF110C、UPF122CおよびSCP101Cを含む。サイト4は、プラットフォームファイアウォール304D、SMF108D、AMF110D、UPF122DおよびSCP101Dを含む。NRF100は、サイト1-4に位置するNFからNFプロファイル更新を受信し、NFプロファイル更新に基づいて、プラットフォームファイアウォール304A-304Dを更新する。例えば、サイト4内に位置するSCP101Dが、NRF100によりそのNFプロファイルを更新する場合、NRF100は、NFプロファイル更新に影響を受けるパラメータを有するプラットフォームファイアウォール304A-304Dの一部または全部によりファイアウォールルールを更新してもよい。この種のルールの1つの例は、SCP101DのIPアドレスからのトラフィックを可能にすることでもよい。NFプロファイル更新のため、SCP101DのIPアドレスが変更する場合、NRF100は、各々のプラットフォームファイアウォール304A-304Dにおいてファイアウォールルールを更新し、SCP101Dの新しいIPアドレスからのトラフィックを可能にしてもよい。
NRF100が各々のプラットフォームファイアウォール304A-304Dのための異なるルール設定を保持してもよく、異なる設定が各々のファイアウォールのためのサイトに特有のパケットフィルタリングルールを含む点に留意されたい。例えば、サイト1に位置するプラットフォームファイアウォール304Aのために、NRF100は、UDM104A、UDR400A、PCF102A、SLF404A、SCP101AおよびNRF100に関連付けられているIPアドレスに、または、IPアドレスからパケットをフィルタリングするためのファイアウォールルール設定を保持し、自動的に更新してもよい。サイト2に位置するプラットフォームファイアウォール304Bのために、NRF100は、SMF108B、AMF110B、UPF122BおよびSCP101Bへのパケットまたはこれらからのパケットをフィルタリングするためのファイアウォールルール設定を保持して、自動的に更新してもよい。サイト3に位置するプラットフォームファイアウォール304Cのために、NRF100は、SMF108C、AMF110C、UPF122CおよびSCP101Cへのパケットまたはこれらからのパケットをフィルタリングするためのファイアウォールルール設定を保持し、自動的に更新してもよい。サイト4に位置するプラットフォームファイアウォール304Dのために、NRF100は、SMF108D、AMF110D、UPF122DおよびSCP101Dへのパケットまたはこれらからのパケットをフィルタリングするためのファイアウォールルール設定を保持し、自動的に更新してもよい。
上述した例において、プラットフォームファイアウォールを自動的に管理するためのプロセスは、NRF100によって実行される。代替の実施態様において、自動化されているプラットフォームファイアウォール管理は、SCP101によって実行されてもよい。図5は、NFプロファイル変更に応答して、プラットフォームファイアウォールルールを自動的に更新することができる、NRF100またはSCP101のための例示的なアーキテクチャを示すブロック図である。図5を参照すると、NRF100またはSCP101は、少なくとも1つのプロセッサ500およびメモリ502を含む。自動プラットフォームファイアウォールデータベース更新がNRFで実施される場合、NRF100は、NRF100に登録されるNFのNFプロファイルを格納するためのNFプロファイルデータベース504と、NF登録、NF更新およびNFからのNF登録解除要求に応答して、NFプロファイルデータベース504を更新するためのNFプロファイルデータベースマネージャ506と、をさらに含む。自動のプラットフォームファイアウォールデータベース更新機能がSCPで実施されている場合、NFプロファイルデータベース504およびNFプロファイルデータベースマネージャ506は、他で(すなわち、NRFで)実施されてもよく、本願明細書において記載されている自動プラットフォームファイアウォールルール設定の更新手順は、要求されているサービス動作の成功した完了を確認しているNRFから、NF登録、NF更新およびNF登録解除応答を受信することによってトリガされてもよい。
NRF100またはSCP101はまた、NFプロファイル更新に応答して、プラットフォームファイアウォールによって管理されるファイアウォールルールを更新するために、本願明細書において記載されているステップを実行するためのプラットフォームファイアウォールルール設定マネージャ508を含む。プラットフォームファイアウォールルール設定マネージャ508は、メモリ502に格納され、プロセッサ500によって実行されるコンピュータ実行可能命令を用いて実施されてもよい。NRF100またはSCP101は、プラットフォームファイアウォールルール設定データベースのローカル(マスター)コピー510をさらに含んでもよい。プラットフォームファイアウォールルール設定マネージャ508が、NFプロファイルの登録、更新または登録解除に関する要求または応答を受信するとき、プラットフォームファイアウォールルール設定マネージャ508は、要求されているサービス動作に影響を受けるNFプロファイルまたはプロファイル属性を識別し、データベースコピー510にアクセスし、更新または削除されている同じ属性またはパラメータを有するファイアウォールルールを識別し、プラットフォームファイアウォールルール設定データベースのローカルコピー510に対して、要求されているファイアウォールルール更新を実行し、プラットフォームファイアウォールルール設定マネージャ508によって管理されているプラットフォームファイアウォールに、必要とされているルール設定更新を配布してもよい。図4を参照して上述したように、異なるプラットフォームファイアウォールは、それらが保護するネットワークまたはサイトが異なるNFインスタンスを含んでもよく、したがって異なるファイアウォールルール設定を要求してもよいので、異なるルール更新を受信してもよい。
図6は、NFプロファイル変更に応答して、プラットフォームファイアウォールルールを自動的にプロビジョニングすることによって、プラットフォームファイアウォールを管理するための例示的なプロセスを示すフローチャートである。図6を参照すると、ステップ600において、プロセスは、プラットフォームファイアウォールとは別のNFプロファイルデータベース内にNFプロファイルを登録、更新または登録解除することに関するメッセージを受信することを含む。例えば、NRF100は、NRF100によって、NFプロファイルを登録、更新または登録解除しようとするNFからNF登録、NF更新またはNF登録解除要求を受信してもよい。本願明細書において記載されている主題のSCPの実施態様の場合、自動プラットフォームファイアウォールルール設定プロセスは、NFプロファイルの登録、更新または登録解除の成功を確認する応答メッセージを受信することによって、トリガされてもよい。したがって、本願明細書において記載されている主題のSCPの実施態様では、ステップ600は、NF登録、NF更新またはNF登録解除応答メッセージを受信することを含んでもよい。
プロセスがNRFによって実施されている場合、制御は、ステップ602Aに進み、ステップ602Aにおいて、プロセスは、要求のタイプに基づいて、NFプロファイルを登録、更新または登録解除することをさらに含む。例えば、要求がNF登録要求である場合、NRF100は、NFプロファイルをNFプロファイルデータベース内に格納することによってNFを登録してもよい。要求がNF更新要求である場合、NRF100は、NF更新要求で識別されるパラメータに基づいてNFプロファイルを更新してもよい。要求がNF登録解除要求である場合、NRF100は、NF登録解除要求において識別されるNFプロファイルを削除してもよい。
プロセスがSCPによって実施されている場合、制御は、ステップ600からステップ602Bに進み、ステップ602Bにおいて、SCPは、NF登録、NF更新またはNF登録解除応答を、要求されているNF登録、NF更新またはNF登録解除サービス動作を要求したNFにルーティングする。
ステップ602Aまたは602Bの後、制御は、ステップ604に進み、ステップ604において、プロセスは、NFプロファイルの登録、更新または登録解除がプラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定することをさらに含む。NF登録要求または応答の場合、プラットフォームファイアウォールルール設定マネージャ508は、登録されているNFプロファイルに対応するルールが、NRF100またはSCP101においてプラットフォームファイアウォールルール設定データベースのローカル(マスター)コピーに追加される必要があると決定してもよい。NRF100またはSCP101によって受信されているメッセージが、NF更新要求または応答である場合、プラットフォームファイアウォールルール設定マネージャ508は、NF更新サービス動作によって更新されているNFプロファイル属性を識別し、更新されているNFプロファイル属性がNRF100またはSCP101においてプラットフォームファイアウォールルール設定データベースのローカルコピーのルールのいずれかによって用いられるかを決定し、プラットフォームファイアウォールルール内の対応する属性を更新してもよい。NRF100またはSCP101によって受信されているメッセージが、NF登録解除要求または応答である場合、プラットフォームファイアウォールルール設定マネージャ508は、登録解除されているNFプロファイルに対応する1つまたは複数のルールが、NRF100またはSCP101にローカルなプラットフォームファイアウォールルール設定データベースから削除される必要があると決定してもよい。
ステップ606において、NFプロファイルの登録、更新、登録解除が、プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定することに応答して、プロセスは、NRFまたはSCPによって、プラットフォームファイアウォールのファイアウォールルール設定を自動的に更新することをさらに含む。例えば、プラットフォームファイアウォールルール設定マネージャ508は、プラットフォームファイアウォール304のファイアウォール設定APIを呼び出すかまたは用いて、ルールを追加、修正、または、ファイアウォールルール設定データベースから削除してもよい。プラットフォームファイアウォールルール設定マネージャ508は、最初にプラットフォームファイアウォールルール設定データベース内のローカルコピーの1つまたは複数のルールを更新してもよい。プラットフォームファイアウォールルール設定マネージャ508は、次に、要求されているファイアウォールルール設定更新を実行するために、プラットフォームファイアウォールルール設定APIによって特定されているフォーマットでメッセージを作成し、次に、メッセージを1つまたは複数のプラットフォームファイアウォールに送信し、それらのそれぞれのファイアウォールルール設定を更新してもよい。1つまたは複数のプラットフォームファイアウォールルール設定とNRFによるNFプロファイル変更との同期が維持されるように、図6におけるステップが継続的に実行されてもよい点に留意されたい。
以下に示される表2および表3は、NF更新サービス動作に応答して更新されてもよいファイアウォールルールの一例を示す。この例では、UDM1のIPアドレスがNF更新サービス動作によってIP1からIP3に変更したと仮定される。
Figure 2024518157000003
Figure 2024518157000004
表2から、NFプロファイル更新前に、プラットフォームファイアウォールは、IP1、ポート1からIP2、ポート1へのトラフィックを可能にするように設定され、逆もまた同じである。この種の一対のルールは、ファイアウォールの保護されている側上のUDMおよび他のノード、例えば、ファイアウォールの保護されていない側上に位置するAMFからのトラフィックを可能にするように設定されてもよい。表3において、UDMのIPアドレスは、IP3に変更する。AMFは、NF発見サービスを通してNRFによってUDMのNFプロファイルにおける変更を知らされる。しかしながら、自動化されているファイアウォールルール更新なしでは、AMFとUDMとの間の通信は、ファイアウォールによってブロックされる。しかしながら、UDMのNFプロファイルが変更するとき、ファイアウォールルール設定を自動的に更新することによって、本願明細書において記載されている主題によって、UDMとAMFとの間の通信は、継続することができる。
本願明細書において記載されている主題は、以下の例示的な利点の1つまたは複数を達成してもよい。
・オンデマンドのトポロジ変更(例えば、ネットワークスライス追加/削除/更新)のためのファイアウォール設定の自動化
・手動変更は、トポロジ変更のペースについていくことができないので、頻繁に変更するクラウドネイティブトポロジの動的な性質は、自動化を要求する。プラットフォームファイアウォール設定ルール変更を自動化し、変更をNRFでのNFプロファイル更新に同期させることによって、本願明細書において記載されている主題は、ファイアウォールルール設定更新を、クラウドネイティブネットワークトポロジ変更によって生じるNFプロファイルの変更に同期させるように保つことができる。
・5Gは、トポロジに変更をさらに追加するネットワークスライスの概念を含む。本願明細書において記載されている自動化されているプラットフォームファイアウォール設定更新方法は、ファイアウォールルール設定更新を、ネットワークスライスに対するリソースの割り当ておよびネットワークスライスからのリソースの割り当て解除によって生じるNFプロファイルの変更に同期させるように保つことができる。
・プラットフォームファイアウォールルール設定は、変更のために継続的に監視/監査される。例えば、NRFまたはSCPは、プラットフォームファイアウォールルールに対する更新を必要とする変更のためのNF登録、NF更新およびNF登録解除動作を継続的に監視し、プラットフォームファイアウォールルールを更新するために、本願明細書において記載されている動作を実行してもよい。
・NRF(またはSCP)を用いて、プラットフォームファイアウォールルール設定に対する更新を自動化することは、ファイアウォールルール設定がNRFでのNFプロファイル更新に同期することを確実にすることによって、強化されているセキュリティを提供する。
・NRFを用いて、プラットフォームファイアウォールルール設定に対する更新を自動化することは、実施するのが容易である。なぜなら、NRFは、プラットフォームファイアウォールルールによって用いられてもよい、NFプロファイル内のパラメータを更新するタスクをすでに有するからである。
・上述したように、ファイアウォールルールを自動的に更新するために本願明細書において記載されている主題はまた、NRFの代わりにSCPにおいて実施可能である。例えば、SCPは、NRFによるNFプロファイルの登録、更新または削除の成功を確認するNF登録、NF更新またはNF登録解除応答を受信し、プラットフォームファイアウォールルール設定を自動的に更新するための本願明細書において記載されているステップを実行してもよい。したがって、SCPは、自動プラットフォームファイアウォールルール設定更新を、その通常のメッセージルーティング機能に加えて実施してもよい。
以下の参考文献の各々の開示は、その全体が、本願明細書に参照によって組み込まれる。
参考文献
1.第3世代パートナーシッププロジェクト;技術仕様書 グループサービスおよびシステム局面;5Gシステム(5GS)のためのシステムアーキテクチャ;ステージ2(リリース17)3GPP TS 23.501 V17.0.0(2021-03)
2.第3世代パートナーシッププロジェクト;技術仕様書 グループコアネットワークおよび端末;5Gシステム;ネットワーク機能リポジトリサービス;ステージ3(リリース17)3GPP TS 29.510 V17.1.0(2021-03)
本願明細書において記載されている主題のさまざまな詳細が本願明細書において記載されている主題の範囲要旨を逸脱しない範囲で変えられてもよいことを理解されたい。さらに、上述した説明は、本願明細書において記載されている主題が以下のように請求項によって定義されるように、例示のみのためであり、制限するためではない。

Claims (20)

  1. ネットワーク機能(NF)リポジトリ機能(NRF)またはサービス通信プロキシ(SCP)を用いて、プラットフォームファイアウォールを自動的に管理する方法であって、前記方法は、
    少なくとも1つのプロセッサによって実施されるNRFまたはSCPにおいて、
    プラットフォームファイアウォールとは別のNFプロファイルデータベース内にNFプロファイルを登録、更新または登録解除することに関するメッセージを受信することと、
    前記NFプロファイルを前記登録、更新または登録解除することが、前記プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定することと、
    前記NFプロファイルを前記登録、更新または登録解除することが、前記プラットフォームファイアウォールの前記ファイアウォールルール設定に対する変更を必要とすると決定することに応答して、前記NRFまたはSCPが、前記プラットフォームファイアウォールの前記ファイアウォールルール設定を自動的に更新することと、
    を含む方法。
  2. 前記NFプロファイルを登録、更新または登録解除することに関するメッセージを受信することは、前記NRFによって前記NFプロファイルを登録することに関するNF登録要求または応答を受信することを含む、請求項1に記載の方法。
  3. 前記プラットフォームファイアウォールの前記設定を自動的に更新することは、前記プラットフォームファイアウォールルール設定にルールを追加し、前記NFへのまたは前記NFからのパケットトラフィックをフィルタリングすることを含む、請求項2に記載の方法。
  4. 前記NFプロファイルを登録、更新または登録解除することに関するメッセージを受信することは、前記NRFによって前記NFプロファイルを更新することに関するNF更新要求または応答を受信することを含む、請求項1に記載の方法。
  5. 前記プラットフォームファイアウォールの前記設定を自動的に更新することは、前記プラットフォームファイアウォールルール設定のルールを更新し、前記NFへのまたは前記NFからのパケットトラフィックをフィルタリングすることを含む、請求項4に記載の方法。
  6. 前記方法は、前記NFプロファイルを登録、更新または登録解除することに関する前記メッセージが、前記NFの完全修飾ドメイン名(FQDN)を含むと決定することを含み、前記方法は、DNSサーバに問い合わせ、前記NFの前記FQDNを前記NFのインターネットプロトコル(IP)アドレスに変換することをさらに含む、先行する請求項のいずれかに記載の方法。
  7. 前記NFプロファイルを登録、更新または登録解除することに関するメッセージを受信することは、前記NRFによって前記NFプロファイルを登録解除することに関するNF登録解除要求または応答を受信することを含む、請求項1に記載の方法。
  8. 前記プラットフォームファイアウォールの前記設定を自動的に更新することは、前記NFプロファイルに対応する前記ファイアウォールルール設定のルールを削除することを含む、請求項7に記載の方法。
  9. 前記プラットフォームファイアウォールの前記ファイアウォールルール設定を自動的に更新することは、前記プラットフォームファイアウォールの設定アプリケーションプログラミングインタフェース(API)を呼び出すことを含む、先行する請求項のいずれかに記載の方法。
  10. 前記プラットフォームファイアウォールの前記設定を自動的に更新することは、異なるネットワークサイトに位置する複数のプラットフォームファイアウォールを更新することを含む、先行する請求項のいずれかに記載の方法。
  11. プラットフォームファイアウォールを自動的に管理するシステムであって、前記システムは、
    少なくとも1つのプロセッサおよびメモリを含むネットワーク機能(NF)リポジトリ機能(NRF)またはサービス通信プロキシ(SCP)と、
    プラットフォームファイアウォールとは別のNFプロファイルデータベース内にNFプロファイルを登録、更新または登録解除することに関するメッセージを受信し、前記NFプロファイルを前記登録、更新または登録解除することが、前記プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定し、前記NFプロファイルを前記登録、更新または登録解除することが、前記プラットフォームファイアウォールの前記ファイアウォールルール設定に対する変更を必要とすると決定することに応答して、前記NRFによって、前記プラットフォームファイアウォールの前記ファイアウォールルール設定を自動的に更新するためのプラットフォームファイアウォールルール設定マネージャと、
    を備えるシステム。
  12. 前記NFプロファイルを登録、更新または登録解除することに関する前記メッセージは、前記NRFによって前記NFプロファイルを登録することに関するNF登録要求または応答を含む、請求項11に記載のシステム。
  13. 前記プラットフォームファイアウォールの前記ファイアウォールルール設定を自動的に更新する際、前記プラットフォームファイアウォールルール設定マネージャは、前記プラットフォームファイアウォールルール設定にルールを追加し、前記NFへのまたは前記NFからのパケットトラフィックをフィルタリングするように構成される、請求項12に記載のシステム。
  14. 前記NFプロファイルを登録、更新または登録解除することに関する前記メッセージは、前記NRFによって前記NFプロファイルを更新することに関するNF更新要求または応答を含む、請求項11に記載のシステム。
  15. 前記プラットフォームファイアウォールの前記ファイアウォールルール設定を自動的に更新する際、前記プラットフォームファイアウォールルール設定マネージャは、前記プラットフォームファイアウォールルール設定のルールを更新し、前記NFへのまたは前記NFからのパケットトラフィックをフィルタリングするように構成される、請求項14に記載のシステム。
  16. 前記プラットフォームファイアウォールルール設定マネージャは、前記NFプロファイルを登録、更新または登録解除することに関する前記メッセージが、前記NFの完全修飾ドメイン名(FQDN)を含むと決定し、DNSサーバに問い合わせ、前記NFの前記FQDNを前記NFのインターネットプロトコル(IP)アドレスに変換するように構成される、請求項11~請求項15のいずれかに記載のシステム。
  17. 前記NFプロファイルを登録、更新または登録解除することに関する前記メッセージは、前記NRFによって前記NFプロファイルを登録解除することに関するNF登録解除要求または応答を含み、前記プラットフォームファイアウォールの前記設定を自動的に更新する際、前記プラットフォームファイアウォールルール設定マネージャは、前記NFプロファイルに対応する前記ファイアウォールルール設定のルールを削除するように構成される、請求項11に記載のシステム。
  18. 前記プラットフォームファイアウォールの前記設定を自動的に更新する際、前記プラットフォームファイアウォールルール設定マネージャは、前記プラットフォームファイアウォールの設定アプリケーションプログラミングインタフェース(API)を呼び出すように構成される、請求項11~請求項17のいずれかに記載のシステム。
  19. 前記プラットフォームファイアウォールルール設定マネージャは、異なるネットワークサイトに位置する複数のプラットフォームファイアウォールのファイアウォールルール設定を更新するように構成される、請求項11~請求項18のいずれかに記載のシステム。
  20. 実行可能な命令を格納している非一時的コンピュータ可読媒体であって、前記命令は、コンピュータのプロセッサによって実行されると、前記コンピュータを、
    少なくとも1つのプロセッサによって実施されるネットワーク機能(NF)リポジトリ機能(NRF)またはサービス通信プロキシ(SCP)において、
    プラットフォームファイアウォールとは別のNFプロファイルデータベース内にNFプロファイルを登録、更新または登録解除することに関するメッセージを受信するステップと、
    前記NFプロファイルを前記登録、更新または登録解除することが、前記プラットフォームファイアウォールのファイアウォールルール設定に対する変更を必要とすると決定するステップと、
    前記NFプロファイルを前記登録、更新または登録解除することが、前記プラットフォームファイアウォールの前記ファイアウォールルール設定に対する変更を必要とすると決定することに応答して、前記NRFまたはSCPによって、前記プラットフォームファイアウォールの前記ファイアウォールルール設定を自動的に更新するステップと、
    を含むステップを実行するように制御する、
    非一時的コンピュータ可読媒体。
JP2023568041A 2021-05-04 2022-04-07 ネットワーク機能(nf)リポジトリ機能(nrf)またはサービス通信プロキシ(scp)によるプラットフォームファイアウォール管理のための方法、システムおよびコンピュータ可読媒体 Pending JP2024518157A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/308,018 US11843580B2 (en) 2021-05-04 2021-05-04 Methods, systems, and computer readable media for platform firewall management by network function (NF) repository function (NRF) or service communication proxy (SCP)
US17/308,018 2021-05-04
PCT/US2022/023812 WO2022235372A1 (en) 2021-05-04 2022-04-07 Methods, systems, and computer readable media for platform firewall management by network function (nf) repository function (nrf) or service communications proxy (scp)

Publications (1)

Publication Number Publication Date
JP2024518157A true JP2024518157A (ja) 2024-04-25

Family

ID=83900931

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023568041A Pending JP2024518157A (ja) 2021-05-04 2022-04-07 ネットワーク機能(nf)リポジトリ機能(nrf)またはサービス通信プロキシ(scp)によるプラットフォームファイアウォール管理のための方法、システムおよびコンピュータ可読媒体

Country Status (5)

Country Link
US (1) US11843580B2 (ja)
EP (1) EP4335081A1 (ja)
JP (1) JP2024518157A (ja)
CN (1) CN117321963A (ja)
WO (1) WO2022235372A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10110563B1 (en) * 2016-04-28 2018-10-23 Palo Alto Networks, Inc. Reduction and acceleration of a deterministic finite automaton

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200527870A (en) * 2004-01-14 2005-08-16 Nec Corp Encrypted communication method, encrypted communication system, node device and program
US8713628B2 (en) * 2011-02-08 2014-04-29 Verizon Patent And Licensing Inc. Method and system for providing cloud based network security services
US9130901B2 (en) * 2013-02-26 2015-09-08 Zentera Systems, Inc. Peripheral firewall system for application protection in cloud computing environments
US10601776B1 (en) * 2017-04-21 2020-03-24 Palo Alto Networks, Inc. Security platform for service provider network environments
US10594734B1 (en) * 2017-04-21 2020-03-17 Palo Alto Networks, Inc. Dynamic per subscriber policy enablement for security platforms within service provider network environments
US20190230556A1 (en) * 2018-01-19 2019-07-25 Electronics And Telecommunications Research Institute Apparatus and method for network function profile management

Also Published As

Publication number Publication date
WO2022235372A1 (en) 2022-11-10
US20220360561A1 (en) 2022-11-10
CN117321963A (zh) 2023-12-29
EP4335081A1 (en) 2024-03-13
US11843580B2 (en) 2023-12-12

Similar Documents

Publication Publication Date Title
US11018971B2 (en) Methods, systems, and computer readable media for distributing network function (NF) topology information among proxy nodes and for using the NF topology information for inter-proxy node message routing
US11528334B2 (en) Methods, systems, and computer readable media for preferred network function (NF) location routing using service communications proxy (SCP)
US11470544B2 (en) Methods, systems, and computer readable media for optimized routing of messages relating to existing network function (NF) subscriptions using an intermediate forwarding NF repository function (NRF)
JP2023539852A (ja) サービス通信プロキシ(scp)とネットワーク機能(nf)リポジトリ機能(nrf)とを使用する最適化されたnf発見およびルーティングのための方法、システム、およびコンピュータ読取可能媒体
WO2022098404A1 (en) Methods, systems, and computer readable media for ingress message rate limiting
US11611626B1 (en) Methods, systems, and computer readable media for distributing network function (NF) high availability (HA) topology information in a core network
US11283883B1 (en) Methods, systems, and computer readable media for providing optimized binding support function (BSF) packet data unit (PDU) session binding discovery responses
JP2024502607A (ja) 加入者識別子の漏洩を防止するための方法、システム、およびコンピュータ可読媒体
US11979369B2 (en) Methods, systems, and computer readable media for providing for optimized service-based interface (SBI) communications by performing network function (NF) fully qualified domain name (FQDN) resolution at NF repository function (NRF)
JP2024509941A (ja) セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体
JP2024509940A (ja) サービス通信プロキシ(scp)における代行承認のための方法、システム、およびコンピュータ可読媒体
WO2023096785A1 (en) Method, system, and computer readable media for dynamically updating domain name system (dns) records from registered network function (nf) profile information
US11849506B2 (en) Methods, systems, and computer readable media for routing inter-public land mobile network (inter-PLMN) messages related to existing subscriptions with network function (NF) repository function (NRF) using security edge protection proxy (SEPP)
US11716283B2 (en) Methods, systems, and computer readable media for selecting a software defined wide area network (SD-WAN) link using network slice information
JP2024505991A (ja) ネットワーク機能(NF)でのサービス拒否(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
JP2024518157A (ja) ネットワーク機能(nf)リポジトリ機能(nrf)またはサービス通信プロキシ(scp)によるプラットフォームファイアウォール管理のための方法、システムおよびコンピュータ可読媒体
WO2023229855A1 (en) Methods, systems, and computer readable media for utilizing network function (nf) service attributes associated with registered nf service producers in a hierarchical network
US11895080B2 (en) Methods, systems, and computer readable media for resolution of inter-network domain names
US20240163660A1 (en) Methods, systems, and computer readable media for providing shared security edge protection proxy (sepp) for roaming aggregators
US11974134B2 (en) Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network
US20240007858A1 (en) Methods, systems, and computer readable media for managing network function request messages at a security edge protection proxy
US20240080300A1 (en) Methods, systems, and computer readable media for automatic category 1 message filtering rules configuration by learning topology information from network function (nf) repository function (nrf)
US20230379690A1 (en) Methods, systems, and computer readable media for facilitating processing of inter-public land mobile network (plmn) messages relating to existing subscriptions
US11910306B2 (en) Methods, systems, and computer readable media for providing updated network slice information to a network slice selection function (NSSF)
CN116491140A (zh) 用于入口消息速率限制的方法、系统和计算机可读介质