JP7774635B2 - セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体 - Google Patents

セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体

Info

Publication number
JP7774635B2
JP7774635B2 JP2023555360A JP2023555360A JP7774635B2 JP 7774635 B2 JP7774635 B2 JP 7774635B2 JP 2023555360 A JP2023555360 A JP 2023555360A JP 2023555360 A JP2023555360 A JP 2023555360A JP 7774635 B2 JP7774635 B2 JP 7774635B2
Authority
JP
Japan
Prior art keywords
access token
consumer
authorization
producer
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023555360A
Other languages
English (en)
Other versions
JP2024509941A (ja
JPWO2022191931A5 (ja
Inventor
ラジプット,ジャイ
シング,ビレンドラ
スリバスタバ,アンキット
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2024509941A publication Critical patent/JP2024509941A/ja
Publication of JPWO2022191931A5 publication Critical patent/JPWO2022191931A5/ja
Application granted granted Critical
Publication of JP7774635B2 publication Critical patent/JP7774635B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0884Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/18Processing of user or subscriber data, e.g. subscribed services, user preferences or user profiles; Transfer of user or subscriber data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/02Inter-networking arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

優先権主張
本出願は、2021年3月11日提出の米国特許出願17/198,740の優先権利益を主張し、その開示は、参照によりその全体が本明細書に組み込まれる。
技術分野
本明細書で説明する主題は、ネットワークセキュリティおよび公衆陸上移動体通信網(PLMN)間互換性に関する。より詳細には、本明細書で説明する主題は、SEPPにおける代行承認のための方法、システム、およびコンピュータ可読媒体に関する。
背景
5G電気通信ネットワークでは、サービスを提供するネットワーク機能は、プロデューサネットワーク機能(NF)またはNFサービスプロデューサと呼ばれる。サービスを消費するネットワーク機能は、コンシューマNFまたはNFサービスコンシューマと呼ばれる。ネットワーク機能は、ネットワーク機能がサービスを消費しているか、産生しているか、または消費および産生しているかに応じて、プロデューサNF、コンシューマNF、またはその両方であり得る。「プロデューサNF」および「NFサービスプロデューサ」という用語は、ここでは互換的に使用される。同様に、「コンシューマNF」および「NFサービスコンシューマ」という用語は、ここでは互換的に使用される。
所与のプロデューサNFは、多くのサービスエンドポイントを有することができ、サービスエンドポイントは、プロデューサNFによってホストされる1つ以上のNFインスタンスのための接点である。サービスエンドポイントは、インターネットプロトコル(IP)アドレスおよびポート番号の組み合わせ、またはプロデューサNFをホストするネットワークノード上のIPアドレスおよびポート番号に解決する完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサNFのインスタンスである。所与のプロデューサNFは、複数のNFインスタンスを含み得る。複数のNFインスタンスが同じサービスエンドポイントを共有できることにも留意されたい。
プロデューサNFは、ネットワーク機能リポジトリ機能(NRF)に登録する。NRFは、各NFインスタンスによってサポートされるサービスを識別する、利用可能なNFインスタンスのサービスプロファイルを維持する。「サービスプロファイル」および「NFプロファイル」という用語は、ここでは互換的に使用される。コンシューマNFは、NRFに登録したプロデューサNFインスタンスに関する情報を受信するように加入することができる。
コンシューマNFに加えて、NFサービスインスタンスに関する情報を受信するよう加入することができる別のタイプのネットワークノードは、サービス通信プロキシ(SCP)である。SCPは、NRFに加入し、プロデューサNFサービスインスタンスに関する到達可能性およびサービスプロファイル情報を取得する。コンシューマNFは、サービス通信プロキシに接続し、サービス通信プロキシは、要求されるサービスを提供するプロデューサNFサービスインスタンス間でトラフィックを分散させるか、またはそのトラフィックを宛先プロデューサNFインスタンスに直接ルーティングする。
SCPに加えて、プロデューサNFとコンシューマNFとの間でトラフィックをルーティングする中間プロキシノードの別の例は、セキュリティエッジ保護プロキシ(SEPP)である。SEPPは、異なる5G公衆陸上移動体通信網(PLMN)間で交換される制御プレーントラフィックを保護するために使用されるネットワークノードである。したがって、SEPPは、PLMN間で送信されるすべてのアプリケーションプログラミングインターフェース(API)メッセージに対してメッセージフィルタリング、監視、およびトポロジー隠蔽を実行する。
5G通信ネットワークにおける1つの問題は、1つの公衆PLMNまたはネットワーク機能がOAuth2.0承認をサポートし、別のPLMNまたはネットワーク機能がOAuth2.0承認をサポートしないときに生じる。インターネットエンジニアリングタスクフォース(IETF)コメント要求(RFC)6749(Internet Engineering Task Force (IETF) Request for Comments (RFC) 6749)に規定されるOAuth2.0承認フレームワークによれば、リソースサーバから利用可能な保護されたリソースにアクセスしようとする承認クライアントは、まず承認サーバからアクセストークンを取得する。クライアントは、アクセストークンを取得した後、リソースサーバにサービス要求を送信する。リソースサーバは、アクセストークンを検証し、保護されたリソースへのアクセスを提供する。
5G通信ネットワークの文脈では、NFサービスコンシューマはOAuth2.0リソースクライアントとして機能し、NFサービスプロデューサはOAuth2.0リソースサーバとして機能し、NRFは承認サーバとして機能する。したがって、NFサービスプロデューサによって提供されるサービスにアクセスしようとするNFサービスコンシューマは、NFサービスプロデューサによって提供されるリソースにアクセスするためにアクセストークンを取得するために、NRFと信号通信を行う。NFサービスコンシューマがNRFからアクセストークンを取得した後、NFサービスコンシューマは、サービス要求をNFサービスプロデューサに送信し、ここで、サービス要求は、アクセストークンを含んでいる。NFサービスプロデューサは、アクセストークンを検証し、NFサービスコンシューマによって要求されたサービスへのアクセスを提供する。
OAuth2.0承認フレームワークは、5G通信ネットワークにおいて承認を提供するように機能するが、サービス要求が、OAuth2.0承認をサポートしないコンシューマNFから、OAuth2.0アクセストークンを必要とするプロデューサNFに送信される場合、そのサービス要求は拒否されることになる。同様に、OAuth2.0承認をサポートするコンシューマNFが、OAuth2.0承認をサポートしないNRFにアクセストークン要求を送信する場合、要求側コンシューマNFは、アクセストークンを取得することはできない。
これらのタイプの非互換性の問題は、サービスコンシューマのPLMNがOAuth2.0承認をサポートし、サービスプロデューサのPLMNがOAuth2.0承認をサポートしないとき、またはその逆のときに発生し得る。これらのタイプの非互換性の問題はまた、あるベンダからのNFがOAuth2.0承認をサポートし、別のベンダからのNFがOAuth2.0承認をサポートしないときにも生じ得る。
これらおよび他の困難に照らして、OAuth2.0承認非互換性が存在する場合に、ネットワーク機能間の改善された相互運用性のための方法の必要性が存在する。
概要
セキュリティエッジ保護プロキシ(SEPP)における代行承認のための方法は、アクセストークンベース承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベース承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースインターフェース(SBI)サービス要求を傍受することを含む。本方法はさらに、アクセストークン承認クライアントプロキシとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得することを含む。本方法はさらに、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシとして動作することは、第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うことを含む。
本明細書で説明する主題の別の局面によれば、第1のアクセストークンを取得するためにNRFと信号通信を行うことは、第1のコンシューマNFに代わってアクセストークン要求を生成することと、アクセストークン要求をNRFに送信することと、NRFから、第1のアクセストークンを含むアクセストークン応答を受信することとを含む。
本明細書で説明する主題の別の局面によれば、アクセストークン要求を生成することは、第1のSBIサービス要求のユーザエージェントヘッダから、アクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することを含む。
本明細書で説明する主題の別の局面によれば、属性のうちの少なくともいくつかの値を抽出することは、第1のSBIサービス要求のユーザエージェントヘッダから第1のコンシューマNFのNFインスタンスIDを抽出することを含む。
本明細書で説明される主題の別の局面によれば、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にすることは、第1のアクセストークンを第1のSBIサービス要求に挿入することと、第1のアクセストークンを含む第1のSBIサービス要求を第1のプロデューサNFに転送することと、第1のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第1のコンシューマNFに転送することとを含む。
本明細書で説明される主題の別の局面によれば、SEPPにおける代行承認のための方法は、第2のコンシューマNFからアクセストークン要求を受信することと、第2のコンシューマNFからのアクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバプロキシとして動作することと、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のコンシューマNFおよび第2のプロデューサNFと信号通信を行うこととを含む。
本明細書で説明される主題の別の局面によれば、アクセストークン承認サーバプロキシとして動作することは、アクセストークン要求に応答して、第2のアクセストークンを生成することと、第2のコンシューマNFに、第2のアクセストークンを含むアクセストークン応答を送信することとを含む。
本明細書で説明される主題の別の局面によれば、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のプロデューサNFと信号通信を行うことは、第2のコンシューマNFから、第2のアクセストークンを含む第2のSBIサービス要求を受信することと、第2のSBIサービス要求から第2のアクセストークンを除去することと、第2のSBIサービス要求を第2のプロデューサNFに転送することと、第2のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第2のコンシューマNFに転送することとを含む。
本明細書で説明される主題の別の局面によれば、第2のアクセストークンを生成することは、構文的に正しいクレームを伴うダミーアクセストークンを含むOAuth2.0アクセストークンを生成することを含む。
本明細書で説明する主題の別の局面によれば、セキュリティエッジ保護プロキシ(SEPP)における代行承認のためのシステムが提供される。本システムは、少なくとも1つのプロセッサとメモリとを含むSEPPを含む。本システムは、さらに、少なくとも1つのプロセッサによって実現され、アクセストークンベース承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベース承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースインターフェース(SBI)サービス要求を傍受し、アクセストークン承認クライアントとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得し、第1のアクセストークンを使用して、第1のコンシューマNFが第1のプロデューサNFによって提供されるサービスにアクセスすることを可能にするためのアクセストークン承認クライアントプロキシを含む。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うよう構成される。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のアクセストークンを取得するために、NRFと信号通信を行うことを、第1のコンシューマNFに代わってアクセストークン要求を生成することと、アクセストークン要求をNRFに送信することと、NRFから、第1のアクセストークンを含むアクセストークン応答を受信することとによって行うよう構成される。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のSBIサービス要求のユーザエージェントヘッダからアクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することによってアクセストークン要求を生成するよう構成される。
本明細書で説明する主題の別の局面によれば、アクセストークン承認クライアントプロキシによって抽出される値は、第1のSBIサービス要求のユーザエージェントヘッダからの第1のコンシューマNFのNFインスタンスIDを含む。
本明細書に記載される主題の別の局面によれば、アクセストークン承認クライアントプロキシは、第1のアクセストークンを使用して、第1のコンシューマNFがサービスにアクセスすることを可能にすることを、第1のアクセストークンを第1のSBIサービス要求に挿入することと、第1のアクセストークンを含む第1のSBIサービス要求を第1のプロデューサNFに転送することと、第1のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第1のコンシューマNFに転送することとによって行うよう構成される。
本明細書で説明する主題の別の局面によれば、SEPPにおける代行承認のためのシステムは、第2のコンシューマNFからアクセストークン要求を受信し、第2のコンシューマNFからのアクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバとして動作し、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のコンシューマNFおよび第2のプロデューサNFと信号通信を行うためのアクセストークン承認サーバプロキシを含む。
本明細書に記載される主題の別の局面によれば、アクセストークン承認サーバプロキシは、アクセストークン承認サーバとして動作する際に、アクセストークン要求に応答して、第2のアクセストークンを生成し、第2のコンシューマNFに対して、第2のアクセストークンを含むアクセストークン応答を送信するよう構成される。
本明細書で説明される主題の別の局面によれば、アクセストークン承認サーバプロキシは、第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、第2のコンシューマNFおよび第2のプロデューサNFとの信号通信を、第2のコンシューマNFから、第2のアクセストークンを含む第2のSBIサービス要求を受信することと、第2のSBIサービス要求から第2のアクセストークンを除去することと、SBIサービス要求を第2のプロデューサNFに転送することと、第2のプロデューサNFからSBIサービス応答を受信することと、SBIサービス応答を第2のコンシューマNFに転送することとによって行うよう構成される。
本明細書で説明される主題の別の局面によれば、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御する実行可能命令を記憶した非一時的なコンピュータ可読媒体が提供される。ステップは、アクセストークンベースの承認をサポートしないコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とするプロデューサNFによって提供されるサービスにアクセスするためのサービスベースインターフェース(SBI)サービス要求を傍受することを含む。ステップは、さらに、アクセストークン承認クライアントプロキシとして動作して、第1のコンシューマNFに代わって第1のアクセストークンを取得することを含む。ステップは、さらに、第1のアクセストークンを使用して、コンシューマNFがプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。
ここで説明される主題は、ハードウェアおよび/またはファームウェアと組み合わせたソフトウェアで実現され得る。たとえば、ここで説明する主題は、プロセッサによって実行されるソフトウェアで実現され得る。例示的な一実現形態では、ここで説明する主題は、コンピュータのプロセッサによって実行されるとステップを実行するようにコンピュータを制御するコンピュータ実行可能命令を記憶した非一時的コンピュータ可読媒体を使用して実現され得る。本明細書に記載の主題を実施するのに適した例示的なコンピュータ可読媒体は、ディスクメモリデバイス、チップメモリデバイス、プログラマブル論理デバイス、および特定用途向け集積回路などの非一時的コンピュータ可読媒体を含む。加えて、本明細書で説明される主題を実現するコンピュータ可読媒体は、単一のデバイスもしくはコンピューティングプラットフォーム上に位置してもよく、または複数のデバイスもしくはコンピューティングプラットフォームにわたって分散されてもよい。
例示的な5Gシステムネットワークアーキテクチャを示すネットワーク図である。 OAuth2.0承認フレームワークを使用して5G通信ネットワーク内でサービスにアクセスする際に交換される例示的なメッセージを示すメッセージフロー図である。 コンシューマNFがOAuth2.0承認をサポートせず、プロデューサNFが、プロデューサNFによって提供されるサービスへのアクセスを許可するための条件としてOAuth2.0承認を必要とするときに交換される例示的なメッセージを示すメッセージフロー図である。 コンシューマNFがOAuth2.0承認をサポートし、NRFがOAuth2.0承認をサポートしないときに交換される例示的なメッセージを示すメッセージフロー図である。 SEPPがOAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0承認クライアントプロキシとして動作するときの代行OAuth2.0承認を示すメッセージフロー図である。 SEPPがOAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバプロキシとして動作するときに交換される例示的なメッセージを示すメッセージフロー図である。 OAuth2.0承認をサポートしないNFサービスコンシューマおよびNRFに代わって代行OAuth2.0承認を実行することができるSEPPを示すブロック図である。 OAuth2.0承認をサポートしないコンシューマNFに代わって代行OAuth2.0承認を実行する例示的なプロセスを示すフローチャートである。 OAuth2.0承認をサポートしないコンシューマNFに代わってアクセストークン承認クライアントプロキシとして動作する、図8Aからのステップをより詳細に示すフローチャートである。 OAuth2.0承認をサポートしないコンシューマNFがOAuth2.0承認を必要とするプロデューサNFによって提供されるサービスにアクセスすることを可能にするためにアクセストークンを使用する図8Aからのステップをより詳細に示すフローチャートである。 OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバプロキシとして動作し、コンシューマNFがOAuth2.0承認をサポートし、プロデューサNFがOAuth2.0承認をサポートしないときにサービスへのアクセスを容易にするための例示的なプロセスを示すフローチャートである。 OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバプロキシとして動作する、図9Aからのステップをより詳細に示すフローチャートである。 コンシューマNFがOAuth2.0承認をサポートし、プロデューサNFがOAuth2.0承認をサポートしないときに、コンシューマNFがプロデューサNFによって提供されるサービスにアクセスすることを可能にするために、プロデューサNFおよびコンシューマNFとの信号通信の、図9Aからのステップをより詳細に示すフローチャートである。
詳細な説明
図1は、例示的な5Gシステムネットワークアーキテクチャを示すブロック図である。図1のアーキテクチャは、同じホーム公衆陸上移動体通信網(HPLMN:home public land mobile network)に位置し得るNRF100およびSCP101を含む。上記で説明されるように、NRF100は、利用可能なプロデューサNFサービスインスタンスおよびそれらのサポートされるサービスのプロファイルを維持し、コンシューマNFまたはSCPが、新たな/更新されたプロデューサNFサービスインスタンスに加入し、その登録を通知されることを可能にし得る。SCP101はまた、プロデューサNFインスタンスのサービス発見および選択をサポートし得る。SCP101は、コンシューマNFとプロデューサNFとの間の接続の負荷分散を実行し得る。
NRF100は、プロデューサNFインスタンスのNFまたはサービスプロファイルのためのリポジトリである。プロデューサNFインスタンスと通信するために、コンシューマNFまたはSCPは、プロデューサNFインスタンスのNFまたはサービスプロファイルをNRF100から取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標) TS 29.510で定義されるJavaScriptオブジェクト表記(JSON)データ構造である。NFまたはサービスプロファイル定義は、完全修飾ドメイン名(FQDN)、インターネットプロトコル(IP)バージョン4(IPv4)アドレス、またはIPバージョン6(IPv6)アドレスのうちの少なくとも1つを含む。
図1では、ネットワーク機能のいずれも、それらがサービスを要求、提供、または要求および提供しているかどうかに応じて、コンシューマNF、プロデューサNF、または両方となり得る。図示の例では、NFは、ネットワークにおいてポリシー関連動作を実行するPCF102と、ユーザデータを管理するUDM機能104と、アプリケーションサービスを提供するアプリケーション機能(AF)106とを含む。
図1に示すNFは、アクセスおよびモビリティ管理機能(AMF)110とPCF102との間のセッションを管理するセッション管理機能(SMF)108をさらに含む。AMF110は、4Gネットワークにおいてモビリティ管理エンティティ(MME)によって実行されるモビリティ管理動作と同様の動作を実行する。認証サーバ機能(AUSF)112は、ネットワークへのアクセスを求めるユーザ機器(UE)114などのユーザ機器(UE)のために認証サービスを実行する。
ネットワークスライス選択機能(NSSF)116は、ネットワークスライスに関連付けられる特定のネットワーク機能および特性にアクセスしようとするデバイスのためにネットワークスライスサービスを提供する。ネットワーク公開機能(NEF)118は、モノのインターネット(IoT)デバイスおよびネットワークに接続される他のUEに関する情報を取得しようとするアプリケーション機能のためにアプリケーションプログラミングインターフェイス(API)を提供する。NEF118は、4Gネットワークにおけるサービス機能公開機能(SCEF)と同様の機能を実行する。
無線アクセスネットワーク(RAN)120は、無線リンクを介してユーザ機器(UE)114をネットワークに接続する。無線アクセスネットワーク120は、g-Node B(gNB)(図1には示さず)または他の無線アクセスポイントを用いてアクセスされてもよい。ユーザプレーン機能(UPF)122は、ユーザプレーンサービスのために様々なプロキシ機能をサポート可能である。そのようなプロキシ機能の一例は、マルチパス伝送制御プロトコル(MPTCP)プロキシ機能である。UPF122はまた、ネットワーク性能測定値を取得するためにUE114によって使用されてもよい性能測定機能をサポートしてもよい。図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするデータネットワーク(DN)124も示されている。
SEPP126は、別のPLMNからの着信トラフィックをフィルタリングし、ホームPLMNを出るトラフィックのためにトポロジー隠蔽を実行する。SEPP126は、外部PLMNのセキュリティを管理する、外部PLMN内のSEPPと通信してもよい。したがって、異なるPLMN内のNF間のトラフィックは、一方はホームPLMN用であり、他方は外部PLMN用である、2つのSEPP機能を横断し得る。
前述のように、5Gネットワークにおいて生じ得る1つの問題は、OAuth2.0承認のための汎用サポートの欠如であり、これは、ネットワーク間のサービス非互換性をもたらし得る。図2は、PLMN間のOAuth2.0承認と、PLMN境界を越えてサービスにアクセスするためのアクセストークンの使用とを示すメッセージフロー図である。図2のメッセージフローを参照すると、ライン1において、コンシューマNF200は、NRF内アクセストークン要求メッセージをビジターネットワーク内に位置するNRF100Aに送信する。NRF100Aは、SEPP126Aおよび126Bを介してリモートNRF100Bにアクセストークン要求メッセージを転送する。この転送は、図2の線2~4によって示される。
ライン5で、ホームNRF100Bは、クライアントがアクセストークンの受信を承認されているか否かを判断し、アクセストークン応答メッセージを送信することによってアクセストークンを返す。ライン5~7で、アクセストークン応答メッセージがコンシューマNF200に通信される。
ライン9で、コンシューマNF200は、ライン9~11によって示されるように、アクセストークンを含むSBIサービス要求メッセージを生成し、SEPP126Aおよび126Bを介してSBIサービス要求メッセージをプロデューサNF202に送信する。
プロデューサNF202は、アクセストークンを検証し、コンシューマNF200にサービスへのアクセスを許可する。ライン12~14において、プロデューサNF202は、SBIサービス応答メッセージをコンシューマNF200に返す。したがって、図2は、2つの異なるネットワークがOAuth2.0承認をサポートし、その結果、アクセストークンメッセージングおよびサービス要求メッセージングが成功する場合を示す。しかしながら、一方または他方のネットワークがOAuth2.0承認をサポートしない場合、サービス要求メッセージングおよび/またはアクセストークンメッセージングは成功しないことになる。
図3は、NFサービスコンシューマがOAuth2.0承認をサポートせず、NFサービスプロデューサがOAuth2.0承認を必要とする場合を示す。図3を参照すると、ライン1において、コンシューマNF200は、SBIサービス要求メッセージを、異なるPLMN内に位置し、アクセストークン承認を必要とするプロデューサNF202に送信する。サービス要求はアクセストークンを含まないので、ライン2のサービス要求はホームSEPP126Bによって拒否される。3GPP TS 33.501のセクション13.4.1.2.2は、プロバイダSEPPが、アクセストークン内のサブジェクトクレームのサービングPLMNがN32メッセージ内のN32-fコンテキストIDに対応するリモートPLMNに一致することをチェックすることを提唱するので、SEPP126Bは、サービス要求を拒否する。ライン2のサービス要求メッセージはアクセストークンを含まないので、SEPP126Bが検証するサブジェクトクレームはなく、したがってメッセージは拒否される。
図3は、コンシューマNFがOAuth2.0承認をサポートせず、プロデューサNFがOAuth2.0承認をサポートする場合を示しているが、図4は、コンシューマNFがOAuth2.0承認をサポートし、NRFがサポートしない場合を示す。図4のメッセージフローを参照すると、ライン1において、この例ではホームネットワーク内に位置するコンシューマNF300が、ホームネットワーク内に位置するプロデューサNF302によって提供されるサービスにアクセスするために、ホームネットワーク内に位置するNRF100Bにアクセストークン要求メッセージを送信する。NRF100Bは、アクセストークン要求メッセージを、ビジターネットワーク内に位置するリモートNRF100Aに転送する。この転送は、図4のメッセージフロー図のライン2~4によって示される。この例では、ビジターNRF100Aは、OAuth2.0承認をサポートしない。したがって、ビジターNRF100Aは、アクセストークン要求に応答することができず、アクセストークンメッセージングの失敗をもたらす。その結果、コンシューマNF300は、ビジターネットワーク内のプロデューサNF302によって提供されるサービスにアクセスすることができない場合がある。
これらの困難を回避するために、本明細書で説明するSEPPは、アクセストークンベースの承認をサポートしないコンシューマNFに代わってアクセストークン承認クライアントプロキシとして機能し、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバとして機能する。アクセストークンベースの承認をサポートしないコンシューマNFについては、SEPPは、アクセストークンをフェッチし、アクセストークンをSBI要求に追加した後に、プロデューサNFにSBI要求を転送する。SEPPは、処理を高速化するためにトークンをキャッシュすることを選択することができる。SEPPは、コンシューマNFに代わってアクセストークン要求を作成するために使用されるNFタイプおよびNFインスタンスIDを取得するために、SBIサービス要求においてコンシューマNFによって提供されるユーザエージェントヘッダからのフィールドを利用し得る。SEPPがOAuth2.0承認サーバとして機能する場合、SEPPは、アクセストークンを要求側コンシューマNFに発行する。
図5は、SEPPがOAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0承認クライアントプロキシとして動作するケースを示す。図5を参照すると、メッセージフロー図のライン1において、コンシューマNF200は、SBIサービス要求メッセージを、異なるPLMNに位置するプロデューサNF202に送信する。SEPP126Aは、アクセストークン要求を傍受し、その要求はアクセストークンを有さない、と判断する。メッセージフロー図のライン2において、SEPP126Aは、プロデューサNFのPLMNに位置するNRF100Bにアクセストークン要求を定式化して送信する。アクセストークン要求メッセージの定式化については、以下でさらに詳細に説明する。図5のライン2および3は、NRF100Bへのアクセストークン要求の転送を示す。NRF100Bは、コンシューマNF200を検証し、アクセストークンを含むアクセストークン応答を生成し、ライン4および5において、SEPP126Bおよび126Aを介してコンシューマNF200のネットワークにアクセストークン応答を送信する。アクセストークン応答をコンシューマNF200に転送する代わりに、SEPP126Aは、アクセストークン応答を傍受し、応答からアクセストークンを抽出し、ライン1で受信されたSBIサービス要求メッセージにアクセストークンを挿入する。ライン6および7で、SEPP126Aは、SBIサービス要求をアクセストークンとともにプロデューサNF202に転送する。プロデューサNF202は、アクセストークンを使用してサービス要求を検証し、ライン8~10において、SBIサービス応答メッセージを生成し、コンシューマNF200に送信する。したがって、図5は、SEPP126AがOAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0承認クライアントプロキシとして機能する場合を示す。
別の例では、SEPP126Aは、アクセストークン承認サーバとして機能し得る。この例を図6に示す。図6を参照すると、ライン1において、コンシューマNF300は、アクセストークン要求メッセージを生成し、アクセストークン要求メッセージをホームネットワーク内に位置するNRF100Bに転送する。NRF100Bは、ライン2および3において、プロデューサNF302が存在するネットワーク内に位置するNRF100Aにアクセストークン要求メッセージを転送する。しかしながら、NRF100Aは、OAuth2.0承認をサポートしない。したがって、SEPP126Aは、アクセストークン要求メッセージを傍受し、ライン4において、NRF100Aに代わってアクセストークン応答メッセージを生成する。アクセストークン応答メッセージは、SEPP126Aにローカルな情報を使用してSEPP126Aによって生成されたアクセストークンを含む。アクセストークンは、必要とされるアクセストークンクレームのすべてを含むという点で、構文的に正しくてもよい。ライン4~6において、SEPP126Aは、アクセストークンをコンシューマNF300に転送する。
ライン7で、コンシューマNF300は、SBIサービス要求を生成し、プロデューサNF302に送信し、サービス要求は、アクセストークンを含む。ライン8で、SEPP126Aは、SBIサービス要求を受信し、プロデューサNF302はOAuth2.0承認をサポートしないので、サービス要求からアクセストークンを除去する。ライン9において、SEPP126Aは、サービス要求をプロデューサNF302に転送する。ライン10~12において、プロデューサNF202は、SBIサービス応答メッセージを生成し、コンシューマNF300に送信する。したがって、図6は、SEPP126Aが、OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバプロキシとして機能する場合を示す。
図7は、本明細書で説明するOAuth2.0承認プロキシ化をサポートするSEPPの例示的なアーキテクチャを示すブロック図である。図7を参照すると、SEPP126Aは、少なくとも1つのプロセッサ700とメモリ702とを含む。SEPP126Aは、OAuth2.0承認をサポートしないコンシューマNFに代わってOAuth2.0アクセストークンを取得し、コンシューマNFがOAuth2.0承認をサポートするプロデューサNFによって提供されるサービスにアクセスすることを可能にするためにOAuth2.0アクセストークンを含むようにSBIサービス要求メッセージを修正する、図5に関して上記で説明した動作を実行するためのアクセストークン承認クライアントプロキシ704をさらに含む。SEPP126Aは、さらに、図6に関して上述したように、OAuth2.0承認をサポートしないNRFに代わってOAuth2.0承認サーバの機能を実行するアクセストークン承認サーバプロキシ706を含む。アクセストークン承認サーバプロキシ706はまた、アクセストークンベースの承認をサポートしないプロデューサNFに宛てられたサービス要求メッセージからアクセストークンを除去し得る。アクセストークン承認クライアントプロキシ704およびアクセストークン承認サーバプロキシ706は、プロセッサ700に上述のアクセストークン承認クライアントおよびサーバプロキシ化動作を行わせる、メモリ702に記憶されたコンピュータ実行可能命令を使用して実現することができる。
図8Aは、SEPPがアクセストークン承認クライアントプロキシとして機能する、SEPPにおいて代行承認を実行するための例示的な全体的なプロセスを示すフローチャートである。図8Aを参照すると、ステップ800において、本プロセスは、アクセストークンベースの承認をサポートしないコンシューマNFから、アクセストークンベースの承認を必要とするプロデューサNFによって提供されるサービスにアクセスするためのSBIサービス要求を傍受することを含む。例えば、SEPP126Aは、プロデューサNF202によって提供されるサービスにアクセスするためのSBIサービス要求をコンシューマNF200から受信し得る。
ステップ802において、本プロセスは、コンシューマNFに代わってアクセストークンを取得するためにアクセストークン承認クライアントプロキシとして動作することを含む。例えば、SEPP126Aは、OAuth2.0承認をサポートしないコンシューマNF200に代わってアクセストークンを取得するためにOAuth2.0承認クライアントプロキシとして機能し得る。図8Bは、図8Aのステップ802のさらなる詳細を示す。図8Bを参照すると、ステップ802Aにおいて、本プロセスは、コンシューマNFに代わってアクセストークン要求メッセージを生成することを含む。下記の表1は、アクセストークン要求メッセージに含まれなければならない属性を示す。
アクセストークン要求に含まれなければならない属性の最小セットは、許可タイプ、NFインスタンスID、NFタイプ、ターゲットNFタイプ、範囲、要求元PLMN、およびターゲットPLMNである。許可タイプ属性は、SBIサービス要求メッセージからポピュレートされるコンシューマNF身分証明から取得され得る。NFインスタンスIDは、SBIサービス要求メッセージのユーザエージェントヘッダからポピュレートされ得る。3GPP TS 29.500のセクション5.2.2によれば、ユーザエージェントヘッダは、SBIサービス要求メッセージ内の必須ヘッダである。以下の表2は、ユーザエージェントパラメータの構造を示す。
表2に示されるように、ユーザエージェントパラメータは、NFインスタンスID等の、NFインスタンスを識別する情報を含み得る。SEPP126Aは、SBIサービス要求メッセージのユーザエージェントヘッダからNFインスタンスIDを抽出し、その情報を使用してアクセストークン要求メッセージのNFインスタンスID属性をポピュレートし得る。同様に、NFタイプもまた、SBIサービス要求メッセージのユーザエージェントヘッダから取得され得る。
表1に戻ると、アクセストークン要求の要求元PLMNは、SEPP126Aの、設定された要求元PLMNパラメータに基づいて、ポピュレートされ得る。ターゲットPLMN属性は、SBIサービス要求メッセージの要求元統一資源識別子(R-URI)から抽出されたAPI名からポピュレートされ得る。アクセストークン要求の範囲属性は、SBIサービス要求メッセージのR-URIから抽出されたサービス名からポピュレートされ得る。
図8Bに戻ると、アクセストークン要求が定式化されると、ステップ802Bにおいて、SEPP126Aは、アクセストークン要求をNRFに送信する。たとえば、SEPP126Aは、プロデューサNF202が位置するPLMNに位置するNRF100Bにアクセストークン要求メッセージを送信し得る。
ステップ802Cにおいて、本プロセスは、アクセストークンを含むアクセストークン応答をNRFから受信することを含む。例えば、SEPP126Aは、アクセストークンを含むアクセストークン応答をNRF100Bから受信してもよい。
図8Aに戻ると、ステップ804において、本プロセスは、第1のアクセストークンを使用して、コンシューマNFがプロデューサNFによって提供されるサービスにアクセスすることを可能にすることを含む。図8Cは、図8Aのステップ804のさらなる詳細を示す。図8Cを参照すると、ステップ804Aにおいて、本プロセスは、アクセストークンをSBIサービス要求メッセージに挿入することを含む。例えば、SEPP126Aは、NRF100Bから取得したアクセストークンを、コンシューマNF200から傍受したサービス要求メッセージに挿入することができる。
ステップ804Bにおいて、本プロセスは、第1のアクセストークンを含むSBIサービス要求をプロデューサNFに転送することを含む。たとえば、SEPP126Aは、アクセストークンを含むSBIサービス要求をプロデューサNF202に転送することができる。次いで、プロデューサNF202は、アクセストークンを使用してサービス要求を承認し、サービス要求に応答する。SEPP126Aは、応答をコンシューマNF200に転送する。したがって、図8A~図8Cは、SEPPがアクセストークン承認クライアントプロキシとして機能し、アクセストークン承認クライアントプロキシは、本明細書で説明する例では、OAuth2.0承認クライアントプロキシである、SEPPによる代行承認を示す。
図9Aは、アクセストークン承認をサポートしないNRFに代わってアクセストークン承認サーバプロキシとして機能するSEPPによって実行される例示的な代行承認プロセスを示す。図9Aを参照すると、本プロセスは、ステップ900において、コンシューマNFからアクセストークン要求を受信することを含む。例えば、SEPP126Aは、コンシューマNF300からアクセストークン要求を受信する。
ステップ902において、本プロセスは、アクセストークン要求に応答して、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバプロキシとして動作することを含む。ステップ902は、図9Bにさらに詳細に示される。図9Bを参照すると、ステップ902Aにおいて、本プロセスは、アクセストークン要求に応答してアクセストークンを生成することを含む。たとえば、SEPP126Aは、IETF RFC6749において指定される必要とされるクレームを含むアクセストークンを生成し得る。アクセストークンは、IETF RFC6749において指定されたフォーマットおよびコンテンツに従って構文的に正しいものであってもよい。しかしながら、以下で説明されるように、SEPP126Aは、アクセストークンベースの承認をサポートしないプロデューサNFにサービス要求メッセージを転送する前にサービス要求メッセージからアクセストークンを除去することになるので、アクセストークンは実際のアクセストークンである必要はなく、構文的に正しいフィールドを有するダミーアクセストークンであり得る。
ステップ902Bにおいて、本プロセスは、アクセストークン応答をコンシューマNFに送信することを含む。例えば、SEPP126Aは、ステップ902Aで生成されたアクセストークンを含むアクセストークン応答を要求側コンシューマNF300に送信することができる。
図9Aに戻ると、ステップ904において、本プロセスは、コンシューマNFがサービスにアクセスすることを可能にするよう、プロデューサNFおよびコンシューマNFとの信号通信を含む。ステップ904は、図9Cにより詳細に示される。図9Cを参照すると、コンシューマNFおよびプロデューサNFとの信号通信のプロセスは、ステップ904Aにおいて、アクセストークンを含むSBIサービス要求をコンシューマNFから受信することを含む。たとえば、SEPP126Aは、SEPP126Aが生成したNFアクセストークンを含むSBIサービス要求をNFサービスコンシューマ300から受信することができる。
ステップ904Bにおいて、本プロセスは、SBIサービス要求からアクセストークンを除去することを含む。ステップ904Cにおいて、本プロセスは、SBIサービス要求をプロデューサNFに転送することを含む。したがって、図9A~図9Cは、アクセストークンベースの承認をサポートしないNRFに代わってアクセストークン承認サーバプロキシおよび信号通信仲介者として機能する際にSEPPによって実行され得る例示的なステップを示す。
本明細書で説明される主題の例示的な利点は、あるPLMNがアクセストークンベースの承認をサポートし、別のPLMNがサポートしない、PLMN間の改善された相互運用性を含む。SEPPにおいてソリューションを提供することは、SEPPがネットワーク間の境界に位置するので、有益である。また、それは、単一のSEPPが、コンシューマNFおよびプロデューサNFのために、またはそれらに代わって、本明細書で説明される機能を果たすことができるため、スケーラブルなソリューションでもある。
以下の参考文献の各々の開示は、参照によりその全体が本明細書に組み込まれる。
参照
1. Hardt, D. "The OAuth 2.0 Authorization Framework," IETF RFC 6749 (October 2012).
2. 3GPP TS 33.501 V17.0.0 (2020-12), 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 17).
3. 3GPP TS 29.500 V17.1.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Technical Realization of the Service Based Architecture; Stage 3 (Release 17).
4. 3GPP TS 29.510 V17.0.0 (2020-12); 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 17).
ここに記載される主題の様々な詳細は、ここに記載される主題の範囲から逸脱することなく変更され得ることが理解されるであろう。さらに、前述の説明は、例示のみを目的とし、限定を目的とせず、ここに記載される主題は、以下に記載される特許請求の範囲によって定義される。

Claims (10)

  1. セキュリティエッジ保護プロキシ(SEPP)における代行承認のための方法であって、
    少なくとも1つのプロセッサおよびメモリを含むSEPPにおいて、
    アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースのインターフェース(SBI)サービス要求を傍受することと、
    アクセストークン承認クライアントプロキシとして動作して、前記第1のコンシューマNFに代わって第1のアクセストークンを取得することと、
    前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にすることとを含
    前記アクセストークン承認クライアントプロキシとして動作することは、前記第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うことを含み、
    前記第1のアクセストークンを取得するために前記NRFと信号通信を行うことは、
    前記第1のコンシューマNFに代わってアクセストークン要求を生成することと、
    前記アクセストークン要求を前記NRFに送信することと、
    前記NRFから、前記第1のアクセストークンを含むアクセストークン応答を受信することとを含み、
    前記アクセストークン要求を生成することは、前記第1のSBIサービス要求のユーザエージェントヘッダから、前記アクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することを含む、方法。
  2. 前記属性のうちの少なくともいくつかの値を抽出することは、前記第1のSBIサービス要求の前記ユーザエージェントヘッダから前記第1のコンシューマNFのNFインスタンスIDを抽出することを含む、請求項に記載の方法。
  3. 前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にすることは、
    前記第1のアクセストークンを前記第1のSBIサービス要求に挿入することと、
    前記第1のアクセストークンを含む前記第1のSBIサービス要求を前記第1のプロデューサNFに転送することと、
    前記第1のプロデューサNFからSBIサービス応答を受信することと、
    前記SBIサービス応答を前記第1のコンシューマNFに転送することとを含む、請求項1または2に記載の方法。
  4. セキュリティエッジ保護プロキシ(SEPP)における代行承認のための方法であって、
    少なくとも1つのプロセッサおよびメモリを含むSEPPにおいて、
    アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースのインターフェース(SBI)サービス要求を傍受することと、
    アクセストークン承認クライアントプロキシとして動作して、前記第1のコンシューマNFに代わって第1のアクセストークンを取得することと、
    前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にすることと、
    第2のコンシューマNFからアクセストークン要求を受信することと、
    前記第2のコンシューマNFからの前記アクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバプロキシとして動作することと、
    前記第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、前記第2のコンシューマNFおよび前記第2のプロデューサNFと信号通信を行うこととを含む、方法。
  5. 前記アクセストークン承認サーバプロキシとして動作することは、
    前記アクセストークン要求に応答して、第2のアクセストークンを生成することと、
    前記第2のコンシューマNFに、前記第2のアクセストークンを含むアクセストークン応答を送信することとを含む、請求項に記載の方法。
  6. 前記第2のコンシューマNFが前記第2のプロデューサNFによって提供される前記サービスにアクセスすることを可能にするよう、前記第2のプロデューサNFと信号通信を行うことは、
    前記第2のコンシューマNFから、前記第2のアクセストークンを含む第2のSBIサービス要求を受信することと、
    前記第2のSBIサービス要求から前記第2のアクセストークンを除去することと、
    前記第2のSBIサービス要求を前記第2のプロデューサNFに転送することと、
    前記第2のプロデューサNFからSBIサービス応答を受信することと、
    前記SBIサービス応答を前記第2のコンシューマNFに転送することとを含む、請求項に記載の方法。
  7. 前記第2のアクセストークンを生成することは、構文的に正しいクレームを伴うダミーアクセストークンを含むOAuth2.0アクセストークンを生成することを含む、請求項に記載の方法。
  8. セキュリティエッジ保護プロキシ(SEPP)における代行承認のためのシステムであって、
    少なくとも1つのプロセッサおよびメモリを含むSEPPと、
    前記少なくとも1つのプロセッサによって実現されるアクセストークン承認クライアントプロキシとを備え、
    前記アクセストークン承認クライアントプロキシは、
    アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースのインターフェース(SBI)サービス要求を傍受し、
    アクセストークン承認クライアントとして動作して、前記第1のコンシューマNFに代わって第1のアクセストークンを取得し、
    前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能に
    前記アクセストークン承認クライアントプロキシは、前記第1のアクセストークンを取得するためにNFリポジトリ機能(NRF)と信号通信を行うよう構成され、
    前記第1のアクセストークンを取得するために前記NRFと信号通信を行うことは、
    前記第1のコンシューマNFに代わってアクセストークン要求を生成することと、
    前記アクセストークン要求を前記NRFに送信することと、
    前記NRFから、前記第1のアクセストークンを含むアクセストークン応答を受信することとを含み、
    前記アクセストークン要求を生成することは、前記第1のSBIサービス要求のユーザエージェントヘッダから、前記アクセストークン要求に含まれるべき少なくともいくつかの属性の値を抽出することを含む、システム。
  9. セキュリティエッジ保護プロキシ(SEPP)における代行承認のためのシステムであって、
    少なくとも1つのプロセッサおよびメモリを含むSEPPと、
    前記少なくとも1つのプロセッサによって実現されるアクセストークン承認クライアントプロキシとを備え、
    前記アクセストークン承認クライアントプロキシは、
    アクセストークンベースの承認をサポートしない第1のコンシューマネットワーク機能(NF)から、アクセストークンベースの承認を必要とする第1のプロデューサNFによって提供されるサービスにアクセスするための第1のサービスベースのインターフェース(SBI)サービス要求を傍受し、
    アクセストークン承認クライアントとして動作して、前記第1のコンシューマNFに代わって第1のアクセストークンを取得し、
    前記第1のアクセストークンを使用して、前記第1のコンシューマNFが前記第1のプロデューサNFによって提供される前記サービスにアクセスすることを可能にし、
    アクセストークン承認サーバプロキシをさらに備え、
    前記アクセストークン承認サーバプロキシは、
    第2のコンシューマNFからアクセストークン要求を受信し、
    前記第2のコンシューマNFからの前記アクセストークン要求に応答して、アクセストークン承認をサポートしないNFリポジトリ機能(NRF)に代わってアクセストークン承認サーバとして動作し、
    前記第2のコンシューマNFが第2のプロデューサNFによって提供されるサービスにアクセスすることを可能にするよう、前記第2のコンシューマNFおよび前記第2のプロデューサNFと信号通信を行う、システム。
  10. 請求項1~のいずれか1項に記載の方法をプロセッサに実行させるためのコンピュータ可読プログラム。
JP2023555360A 2021-03-11 2022-01-27 セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体 Active JP7774635B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/198,740 US12192764B2 (en) 2021-03-11 2021-03-11 Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (SEPP)
US17/198,740 2021-03-11
PCT/US2022/014084 WO2022191931A1 (en) 2021-03-11 2022-01-27 Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp)

Publications (3)

Publication Number Publication Date
JP2024509941A JP2024509941A (ja) 2024-03-05
JPWO2022191931A5 JPWO2022191931A5 (ja) 2024-08-29
JP7774635B2 true JP7774635B2 (ja) 2025-11-21

Family

ID=80786954

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2023555360A Active JP7774635B2 (ja) 2021-03-11 2022-01-27 セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体

Country Status (5)

Country Link
US (1) US12192764B2 (ja)
EP (1) EP4305805A1 (ja)
JP (1) JP7774635B2 (ja)
CN (1) CN117121438A (ja)
WO (1) WO2022191931A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11811747B2 (en) 2021-03-11 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for delegated authorization at service communication proxy (SCP)
CN115150835A (zh) * 2021-03-31 2022-10-04 华为技术有限公司 一种信令保护方法、装置及系统
US11818102B2 (en) * 2021-04-16 2023-11-14 Nokia Technologies Oy Security enhancement on inter-network communication
US20220353263A1 (en) * 2021-04-28 2022-11-03 Verizon Patent And Licensing Inc. Systems and methods for securing network function subscribe notification process
US12348955B2 (en) * 2022-11-15 2025-07-01 Oracle International Corporation Methods, systems, and computer readable media for securing sensitive data to be transmitted in 5G and subsequent generation networks
GB2624690A (en) * 2022-11-28 2024-05-29 Nokia Technologies Oy Methods, apparatus, and computer programs for providing access to a subset of a resource managed by an entity of a mobile communication network
US12531894B2 (en) * 2023-11-29 2026-01-20 Oracle International Corporation Methods, systems, and computer readable media for detecting and mitigating security attacks on producer network functions (NFs) using access token to non-access-token parameter correlation at proxy nf
US20250234187A1 (en) * 2024-01-16 2025-07-17 Oracle International Corporation Methods, systems, and computer readable media for detecting and processing inter-public land mobile network (plmn) service-based interface (sbi) messages without 3gpp-sbi-originating-network-id headers

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7512973B1 (en) * 2004-09-08 2009-03-31 Sprint Spectrum L.P. Wireless-access-provider intermediation to facilliate digital rights management for third party hosted content
US11245682B2 (en) * 2018-10-18 2022-02-08 Oracle International Corporation Adaptive authorization using access token
CN113994625B (zh) 2019-04-11 2025-03-11 株式会社Ntt都科摩 网络节点
US11844014B2 (en) 2019-04-27 2023-12-12 Nokia Technologies Oy Service authorization for indirect communication in a communication system
JP2021064319A (ja) * 2019-10-17 2021-04-22 富士通株式会社 通信プログラム、認可サーバ、および、通信システム
US11032270B1 (en) * 2020-04-07 2021-06-08 Cyberark Software Ltd. Secure provisioning and validation of access tokens in network environments
EP3962136B1 (en) 2020-08-25 2025-03-05 Nokia Technologies Oy Management of access tokens in communication networks
US11811747B2 (en) 2021-03-11 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for delegated authorization at service communication proxy (SCP)

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
Huawei, Hisilicon,eSBA: Resolving the ENs in Solution #25,3GPP TSG SA WG3 #96 S3-193100,2019年08月30日
Huawei,Discussion on TLS and Inter PLMN Routing through SEPP,3GPP TSG CT WG4 #85bis C4-185052,2018年06月29日
SA3,Presentation of Specification/Report to TSG: TR 33.855 "Study on Service Based Architecture (SBA) Security", Version 1.0.0,3GPP TSG SA #80 SP-180615,2018年06月16日

Also Published As

Publication number Publication date
EP4305805A1 (en) 2024-01-17
CN117121438A (zh) 2023-11-24
US20220295282A1 (en) 2022-09-15
JP2024509941A (ja) 2024-03-05
WO2022191931A1 (en) 2022-09-15
US12192764B2 (en) 2025-01-07

Similar Documents

Publication Publication Date Title
JP7748473B2 (ja) サービス通信プロキシ(scp)における代行承認のための方法、システム、およびコンピュータ可読媒体
JP7774635B2 (ja) セキュリティエッジ保護プロキシ(sepp)における代行承認のための方法、システム、およびコンピュータ可読媒体
JP7611381B2 (ja) ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体
CN113748699B (zh) 用于通信系统中的间接通信的服务授权
EP3815401B1 (en) Security management for service access in a communication system
US11943616B2 (en) Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
JP7738062B2 (ja) 最適化されたバインディングサポート機能(bsf)パケットデータユニット(pdu)セッションバインディング発見応答を提供するための方法、システム、およびコンピュータ可読媒体
CN116686313B (zh) 用于防止订户标识符泄露的方法、系统和计算机可读介质
US20240048986A1 (en) Communication method and apparatus
US11743363B1 (en) Methods, systems, and computer readable media for utilizing network function (NF) service attributes associated with registered NF service producers in a hierarchical network
CN113994633A (zh) 通信系统中的网络功能集合的授权
EP4399901B1 (en) Reducing likelihood of successful dos attacks by validating overload control information
JP2024543859A (ja) 登録されたネットワーク機能(nf)プロファイル情報からドメイン名システム(dns)レコードを動的に更新するための方法、システム、およびコンピュータ可読媒体
US20240080300A1 (en) Methods, systems, and computer readable media for automatic category 1 message filtering rules configuration by learning topology information from network function (nf) repository function (nrf)
US12323316B2 (en) Methods, systems, and computer readable media for service communication proxy (SCP) routing
WO2021068937A1 (zh) 服务绑定的方法及装置
US20250280294A1 (en) METHODS, SYSTEMS, AND COMPUTER READABLE MEDIA FOR INDICATING CONSUMER NETWORK FUNCTION (NF) TYPE FOR ACCESS TOKEN REQUESTS FORWARDED BETWEEN NF REPOSITORY FUNCTIONS (NRFs)
US12289291B2 (en) Methods, systems, and computer readable media for managing network function request messages at a security edge protection proxy
WO2024195282A1 (ja) コアネットワークノード、データ生成方法、プログラム及び通信システム
CN116491140A (zh) 用于入口消息速率限制的方法、系统和计算机可读介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240821

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240821

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20250423

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20250507

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20250708

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20251021

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20251111

R150 Certificate of patent or registration of utility model

Ref document number: 7774635

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150