JPWO2022066227A5 - - Google Patents

Description

コンシューマーＮＦに加えて、ＮＦサービスインスタンスについての情報を受信するようにサブスクライブできる別の種類のネットワークノードは、ＳＣＰ（Ｓｅｒｖｉｃｅ Ｃｏｍｍｕｎｉｃａｔｉｏｎ Ｐｒｏｘｙ）である。ＳＣＰは、ＮＲＦを介してサブスクライブし、プロデューサーＮＦサービスインスタンスに関するリーチャビリティとサービスプロファイル情報とを取得する。コンシューマーＮＦは、ＳＣＰに接続し、ＳＣＰは、要求されたサービスを提供するプロデューサーＮＦサービスインスタンス間でトラフィックの負荷を分散する、または、宛先であるプロデューサーＮＦインスタンスにトラフィックを直接ルーティングする。

本明細書に記載の主題の別の態様によると、証明書は、Ｘ．５０９証明書を含む。
本明細書に記載の主題の別の態様によると、第１ノードの第１識別子を取得することは、Ｘ．５０９証明書のサブジェクトの別名拡張から第１ノードのＦＱＤＮ（完全修飾ドメイン名）を抽出することを含む。

本明細書に記載の主題の別の態様によると、５Ｇローミングなりすまし攻撃緩和モジュールは、証明書のサブジェクトの別名拡張から第１ノードのＦＱＤＮ（完全修飾ドメイン名）を抽出することによって、第１ノードの第１識別子を取得するように構成される。

ＮＲＦ１００は、ＮＦまたはプロデューサーＮＦインスタンスのサービスプロファイルのリポジトリである。プロデューサーＮＦインスタンスと通信を行うために、コンシューマーＮＦまたはＳＣＰは、ＮＦもしくはサービスプロファイル、またはプロデューサーＮＦインスタンスをＮＲＦ１００から取得しなければならない。ＮＦまたはサービスプロファイルは、３ＧＰＰ（登録商標）（Ｔｈｉｒｄ Ｇｅｎｅｒａｔｉｏｎ Ｐａｒｔｎｅｒｓｈｉｐ Ｐｒｏｊｅｃｔ）ＴＳ（技術仕様書）２９．５１０で規定されたＪＳＯＮ（ＪａｖａＳｃｒｉｐｔ（登録商標） Ｏｂｊｅｃｔ Ｎｏｔａｔｉｏｎ）データ構造である。ＮＦまたはサービスプロファイルの規定は、ＦＱＤＮ（完全修飾ドメイン名）、ＩＰｖ４（ＩＰ（インターネットプロトコル）バージョン４）アドレスまたはＩＰｖ６（ＩＰバージョン６）アドレスのうち、少なくとも１つを含む。図１では、すべてのノード（ＮＲＦ１００以外）は、要求側サービスであるか提供側サービスであるかに応じて、コンシューマーＮＦまたはプロデューサーＮＦのいずれかであり得る。図示した例では、これらのノードは、ネットワークにおけるポリシー関連の操作を実行するＰＣＦ（Ｐｏｌｉｃｙ Ｃｏｎｔｒｏｌ Ｆｕｎｃｔｉｏｎ）１０２と、ユーザデータを管理するＵＤＭ（Ｕｎｉｆｉｅｄ Ｄａｔａ Ｍａｎａｇｅｍｅｎｔ）機能１０４、アプリケーションサービスを提供するＡＦ（Ａｐｐｌｉｃａｔｉｏｎ Ｆｕｎｃｔｉｏｎ）１０６とを含む。図１に示すノードは、ＡＭＦ（Ａｃｃｅｓｓ Ａｎｄ Ｍｏｂｉｌｉｔｙ Ｍａｎａｇｅｍｅｎｔ Ｆｕｎｃｔｉｏｎ）１１０とＰＣＦ１０２との間のセッションを管理するＳＭＦ（Ｓｅｓｓｉｏｎ Ｍａｎａｇｅｍｅｎｔ Ｆｕｎｃｔｉｏｎ）１０８をさらに含む。ＡＭＦ１１０は、４ＧネットワークにおいてＭＭＥ（Ｍｏｂｉｌｉｔｙ Ｍａｎａｇｅｍｅｎｔ Ｅｎｔｉｔｙ）が実行するモビリティ管理操作と同様のモビリティ管理操作を実行する。ＡＵＳＦ（Ａｕｔｈｅｎｔｉｃａｔｉｏｎ Ｓｅｒｖｅｒ Ｆｕｎｃｔｉｏｎ）１１２は、ネットワークにアクセスしたいＵＥ（ユーザ機器）１１４など、ＵＥ（ユーザ機器）の認証サービスを実行する。

上記の通り、既存の５Ｇアーキテクチャの１つの問題は、Ｎ３２－ｃハンドシェイクがリモートエンドポイントのＩＤを検証しないことである。エンドポイントのＩＤを検証しない場合、悪意があるＳＥＰＰが別のＳＥＰＰのアイデンティティになりすましてセキュリティ攻撃を仕掛ける可能性がある。応答側ＳＥＰＰは、Ｎ３２－ｃハンドシェイクメッセージを正規開始側ＳＥＰＰから受信しているかどうかを検証しない。同様に、開始側ＳＥＰＰは、Ｎ３２－ｃハンドシェイクメッセージが正規応答側ＳＥＰＰに送られるかどうかを検証しない。本明細書に記載の主題は、ＳＥＰＰのＮ３２－ｃアイデンティティを、ＴＬＳレイヤーのアイデンティティ、ならびに開始側ＳＥＰＰおよび応答側ＳＥＰＰが保持するピアＳＥＰＰデータベースに格納されているピアＳＥＰＰアイデンティティと交差検証することによって、これらのおよびその他の問題点に対処する。

上記の通り、Ｘ．５０９ｖ３証明書のサブジェクトの別名拡張は、証明書のサブジェクトを識別する、認証局によって確認されるＤＮＳ名、ＩＰアドレス、またはＵＲＩを含み得る。サブジェクトの別名は認証局によって確認されるので、サブジェクトの別名をなりすますことは困難である。しかしながら、送信者が有効なＸ．５０９証明書を有していることを確実にするだけでは、Ｎ３２－ｃアプリケーションレベルで送信者のアイデンティティを検証することにならない。このような交差検証を実行するために、開始側ＳＥＰＰ１２６Ａおよび応答側ＳＥＰＰ１２６Ｂは、Ｎ３２－ｃメッセージからアイデンティティを抽出し、これらのアイデンティティを、ＴＬＳハンドシェイクの間に共有したＸ－５０９証明書から抽出したアイデンティティと比較し得る。これらのアイデンティティが一致した場合、ＳＥＰＰ１２６Ａおよび１２６Ｂは、Ｎ３２－ｃメッセージまたはＴＬＳメッセージのいずれかから抽出したアイデンティティを構成済みピアＳＥＰＰアイデンティティのデータベースと比較するさらなる検証ステップを実行し得る。いずれの検証も失敗した場合、ＳＥＰＰは、リモートノードとのＰＬＭＮ間通信をブロックし得、リモートノードを攻撃者として識別する。

Claims (17)

1. ５Ｇローミングなりすまし攻撃を緩和するための方法であって、
   ＳＥＰＰ（セキュリティエッジ保護プロキシ）が、第１ノードからのＴＬＳ（トランスポートレイヤーセキュリティ）メッセージから、前記第１ノードの第１識別子を取得することと、
   前記ＳＥＰＰが、前記第１ノードからのＮ３２－ｃセキュリティ機能ネゴシエーションメッセージから、前記第１ノードの第２識別子を取得することと、
   前記第１ノードの前記第１識別子と前記第２識別子を比較することと、
   第１識別子と第２識別子とは一致しないと判断し、これに応答して、前記第１ノードの第２識別子が無効であると判断することと、
   前記第１ノードの前記第２識別子が無効であると判断したことに応答して、前記第１ノードとのＰＬＭＮ（公衆陸上移動体通信網）間通信をブロックすることとを含む、方法。
2. ＴＬＳメッセージから前記第１ノードの前記第１識別子を取得することは、前記第１識別子をＴＬＳ証明書メッセージに含まれる証明書から取得することを含む、請求項１に記載の方法。
3. 前記証明書は、Ｘ．５０９証明書を含む、請求項２に記載の方法。
4. 前記第１ノードの前記第１識別子を取得することは、前記Ｘ．５０９証明書のサブジェクトの別名拡張から前記第１ノードのＦＱＤＮ（完全修飾ドメイン名）を抽出することを含む、請求項３に記載の方法。
5. 前記ＳＥＰＰは、Ｎ３２－ｃセキュリティ機能ネゴシエーション手順における応答側ＳＥＰＰであり、前記第１ノードの前記第２識別子を取得することは、前記Ｎ３２－ｃセキュリティ機能ネゴシエーションメッセージのＳｅｃＮｅｇｏｔｉａｔｅＲｅｑＤａｔａ情報要素の送信者属性から、前記第１ノードの前記第２識別子を抽出することを含む、請求項１～４のいずれか１項に記載の方法。
6. 前記ＳＥＰＰは、Ｎ３２－ｃセキュリティ機能ネゴシエーション手順における開始側ＳＥＰＰであり、前記第１ノードの前記第２識別子を取得することは、前記Ｎ３２－ｃセキュリティ機能ネゴシエーションメッセージのＳｅｃＮｅｇｏｔｉａｔｉｏｎＲｓｐＤａｔａ情報要素の送信者属性から前記第１ノードの前記第２識別子を抽出することを含む、請求項１～４のいずれか１項に記載の方法。
7. 前記ＳＥＰＰが、第２ノードからのＴＬＳハンドシェイクメッセージから、前記第２ノードの第１識別子を取得することと、
   前記第２ノードからのＮ３２－ｃセキュリティ機能ネゴシエーションメッセージから、前記第２ノードの第２識別子を取得することと、
   前記第２ノードの前記第１識別子と前記第２識別子を比較することと、
   第１識別子と第２識別子が一致すると判断することと、
   前記第２ノードの前記第１識別子および前記第２識別子のうち一方を用いてピアＳＥＰＰデータベースでルックアップを実行し、前記ピアＳＥＰＰデータベースにおいて一致する識別子を探し出すことと、
   前記第２ノードの前記第１識別子と前記第２識別子が一致し、前記ピアＳＥＰＰデータベースに一致する識別子が存在すると判断したことに応答して、前記第２ノードとのＰＬＭＮ間通信を許可することとを含む、請求項１～６のいずれか１項に記載の方法。
8. 前記ＳＥＰＰが、第２ノードからのＴＬＳハンドシェイクメッセージから、前記第２ノードの第１識別子を取得することと、
   前記ＳＥＰＰが、前記第２ノードからのＮ３２－ｃセキュリティ機能ネゴシエーションメッセージから、前記第２ノードの第２識別子を取得することと、
   前記第２ノードの前記第１識別子と前記第２識別子を比較することと、
   第１識別子と第２識別子が一致すると判断することと、
   前記第２ノードの前記第１識別子および前記第２識別子のうち一方を用いてピアＳＥＰＰデータベースでルックアップを実行し、前記ピアＳＥＰＰデータベースにおいて一致する識別子を探し出せないことと、
   前記第２ノードの前記第１識別子と前記第２識別子が一致し、前記ピアＳＥＰＰデータベースに一致する識別子が存在しないと判断したことに応答して、前記第２ノードからのＰＬＭＮ間通信をブロックすることとを含む、請求項１～７のいずれか１項に記載の方法。
9. ５Ｇローミングなりすまし攻撃を緩和するためのシステムであって、
   少なくとも１つのプロセッサと、メモリとを含むＳＥＰＰ（セキュリティエッジ保護プロキシ）と、
   前記少なくとも１つのプロセッサによって実装された５Ｇローミングなりすまし攻撃緩和モジュールとを備え、前記５Ｇローミングなりすまし攻撃緩和モジュールは、
   第１ノードからのＴＬＳ（トランスポートレイヤーセキュリティ）メッセージから、前記第１ノードの第１識別子を取得し、
   前記第１ノードからのＮ３２－ｃセキュリティ機能ネゴシエーションメッセージから、前記第１ノードの第２識別子を取得し、
   前記第１ノードの前記第１識別子と前記第２識別子を比較し、
   第１識別子と第２識別子とは一致しないと判断し、これに応答して、前記第１ノードの第２識別子が無効であると判断し、
   前記第１ノードの前記第２識別子が無効であると判断したことに応答して、前記第１ノードとのＰＬＭＮ（公衆陸上移動体通信網）間通信をブロックするように構成される、システム。
10. 前記５Ｇローミングなりすまし攻撃緩和モジュールは、前記第１ノードの前記第１識別子を、ＴＬＳ証明書メッセージに含まれる証明書から取得するように構成される、請求項９に記載のシステム。
11. 前記証明書は、Ｘ．５０９証明書を含む、請求項１０に記載のシステム。
12. 前記５Ｇローミングなりすまし攻撃緩和モジュールは、前記証明書のサブジェクトの別名拡張から抽出される前記第１ノードのＦＱＤＮ（完全修飾ドメイン名）を抽出することによって、前記第１ノードの前記第１識別子を取得するように構成される、請求項１１に記載のシステム。
13. 前記ＳＥＰＰは、Ｎ３２－ｃセキュリティ機能ネゴシエーション手順における応答側ＳＥＰＰであり、５Ｇローミングなりすまし攻撃緩和モジュールは、前記Ｎ３２－ｃセキュリティ機能ネゴシエーションメッセージのＳｅｃＮｅｇｏｔｉａｔｅＲｅｑＤａｔａ情報要素の送信者属性から前記第１ノードの前記第２識別子を抽出することによって、前記第１ノードの前記第２識別子を取得するように構成される、請求項９～１２のいずれか１項に記載のシステム。
14. 前記ＳＥＰＰは、Ｎ３２－ｃセキュリティ機能ネゴシエーション手順における開始側ＳＥＰＰであり、前記５Ｇローミングなりすまし攻撃緩和モジュールは、前記Ｎ３２－ｃセキュリティ機能ネゴシエーションメッセージのＳｅｃＮｅｇｏｔｉａｔｅＲｓｐＤａｔａ情報要素の送信者情報要素属性から前記第１ノードの前記第２識別子を抽出することによって、前記第１ノードの前記第２識別子を取得するように構成される、請求項９～１２のいずれか１項に記載のシステム。
15. 前記５Ｇローミングなりすまし攻撃緩和モジュールは、
    第２ノードからのＴＬＳハンドシェイクメッセージから、前記第２ノードの第１識別子を取得し、
    前記第２ノードからのＮ３２－ｃセキュリティ機能ネゴシエーションメッセージから、前記第２ノードの第２識別子を取得し、
    前記第２ノードの前記第１識別子と前記第２識別子を比較し、
    第１識別子と第２識別子が一致すると判断し、
    前記第２ノードの前記第１識別子および前記第２識別子のうち一方を用いてピアＳＥＰＰデータベースでルックアップを実行し、前記ピアＳＥＰＰデータベースにおいて一致する識別子を探し出し、
    前記第２ノードの前記第１識別子と前記第２識別子が一致し、前記ピアＳＥＰＰデータベースに一致する識別子が存在すると判断したことに応答して、前記第２ノードとのＰＬＭＮ間通信を許可するように構成される、請求項９～１４のいずれか１項に記載のシステム。
16. 前記５Ｇローミングなりすまし攻撃緩和モジュールは、
    第２ノードからのＴＬＳハンドシェイクメッセージから、前記第２ノードの第１識別子を取得し、
    前記第２ノードからのＮ３２－ｃセキュリティ機能ネゴシエーションメッセージから、前記第２ノードの第２識別子を取得し、
    前記第２ノードの前記第１識別子と前記第２識別子を比較し、
    第１識別子と第２識別子が一致すると判断し、
    前記第２ノードの前記第１識別子および前記第２識別子のうち一方を用いてピアＳＥＰＰデータベースでルックアップを実行し、前記ピアＳＥＰＰデータベースにおいて一致する識別子を探し出せず、
    前記第２ノードの前記第１識別子と前記第２識別子が一致し、前記ピアＳＥＰＰデータベースに一致する識別子が存在しないと判断したことに応答して、前記第２ノードからのＰＬＭＮ間通信をブロックするように構成される、請求項９～１５のいずれか１項に記載のシステム。
17. 実行可能な命令を備えるコンピュータプログラムであって、前記実行可能な命令は、コンピュータのプロセッサによって実行されると、請求項１～８のいずれか１項に記載の方法を実行するように前記コンピュータを制御する、コンピュータプログラム。