WO2020208913A1 - ネットワークノード - Google Patents

ネットワークノード Download PDF

Info

Publication number
WO2020208913A1
WO2020208913A1 PCT/JP2020/004063 JP2020004063W WO2020208913A1 WO 2020208913 A1 WO2020208913 A1 WO 2020208913A1 JP 2020004063 W JP2020004063 W JP 2020004063W WO 2020208913 A1 WO2020208913 A1 WO 2020208913A1
Authority
WO
WIPO (PCT)
Prior art keywords
network node
vplmn
network
service
hplmn
Prior art date
Application number
PCT/JP2020/004063
Other languages
English (en)
French (fr)
Inventor
淳 巳之口
マティカイネン ジャリ
リカルド グエルゾーニ
Original Assignee
株式会社Nttドコモ
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 株式会社Nttドコモ filed Critical 株式会社Nttドコモ
Priority to JP2021513180A priority Critical patent/JP7412419B2/ja
Priority to CN202080024688.0A priority patent/CN113994625A/zh
Priority to US17/601,246 priority patent/US12075251B2/en
Priority to EP20787473.6A priority patent/EP3955515A4/en
Publication of WO2020208913A1 publication Critical patent/WO2020208913A1/ja

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks
    • H04W8/08Mobility data transfer
    • H04W8/12Mobility data transfer between location registers or mobility servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/10Integrity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W84/00Network topologies
    • H04W84/02Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
    • H04W84/04Large scale networks; Deep hierarchical networks
    • H04W84/042Public Land Mobile systems, e.g. cellular systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W88/00Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
    • H04W88/16Gateway arrangements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W92/00Interfaces specially adapted for wireless communication networks
    • H04W92/16Interfaces between hierarchically similar devices
    • H04W92/24Interfaces between hierarchically similar devices between backbone network devices

Definitions

  • the present invention relates to a network node in a communication system.
  • 5G or NR New Radio
  • 5G wireless communication system
  • 5G various wireless technologies are being studied in order to satisfy the requirement that the delay of the wireless section be 1 ms or less while achieving a throughput of 10 Gbps or more.
  • 5GC 5G Core Network
  • EPC Evolved Packet Core
  • LTE Long Term Evolution
  • E-UTRAN RAN (Radio Access Network)
  • NG-RAN Next Generation-Radio Access Network
  • Evolved Universal Terrestrial Radio Access Network A network architecture including NG-RAN (Next Generation-Radio Access Network) corresponding to Evolved Universal Terrestrial Radio Access Network) is being studied (for example, Non-Patent Document 1).
  • NF Network Function
  • first edition the components inside the NF made it possible.
  • second edition studies are being conducted to extract this component and make it a basic function that can be commonly used by each NF service.
  • PLMN Public Land Mobile Network
  • the present invention has been made in view of the above points, and an object of the present invention is to execute communication with improved security between network nodes.
  • the first PLMN Public Land Mobile
  • the receiving unit that receives information for improving the security of communication between network nodes from the management node and the information for improving the security.
  • a network node having a control unit that receives a request transmitted from a first network node arranged in a network) and transmits the request to a second network node arranged in a second PLMN is provided. Node.
  • LTE Long Term Evolution
  • NR Universal Terrestrial Radio Access
  • LAN Local Area Network
  • “configuring" the radio parameter or the like may mean that a predetermined value is set in advance (Pre-configure), or the network node 10 or The radio parameter notified from the user device 20 may be set.
  • FIG. 1 is a diagram for explaining a communication system according to an embodiment of the present invention.
  • the communication system is composed of a UE which is a user device 20 and a plurality of network nodes 10.
  • a UE which is a user device 20
  • network nodes 10 may realize a plurality of functions, or a plurality of network nodes 10 may realize one function.
  • the "connection" described below may be a logical connection or a physical connection.
  • the RAN Radio Access Network
  • the RAN Radio Access Network
  • the AMF is a network node 10 having functions such as RAN interface termination, NAS (Non-Access Stratum) termination, registration management, connection management, reachability management, and mobility management.
  • the UPF is a network node 10 having functions such as a PDU (Protocol Data Unit) session point to the outside interconnected with a DN (Data Network), packet routing and forwarding, and user plane QoS (Quality of Service) handling.
  • UPF and DN constitute a network slice.
  • a plurality of network slices are constructed.
  • AMF includes UE, RAN, SMF (Session Management function), NSSF (Network Slice Selection Function), NEF (Network Exposure Function), NRF (Network Repository Function), UDM (Unified Data Management), AUSF (Authentication Server Function), It is connected to PCF (Policy Control Function) and AF (Application Function).
  • AMF, SMF, NSSF, NEF, NRF, AUSF, PCF, AF are networks connected to each other via their respective service-based interfaces, Namf, Nsmf, Nnssf, Nnef, Nnrf, Nodem, Nausf, Npcf, Naf. Node 10
  • the SMF is a network node 10 having functions such as session management, UE IP (Internet Protocol) address allocation and management, DHCP (Dynamic Host Configuration Protocol) function, ARP (Address Resolution Protocol) proxy, and roaming function.
  • the NEF is a network node 10 having a function of notifying other NFs (Network Functions) of capabilities and events.
  • the NSSF is a network node 10 having functions such as selecting a network slice to be connected to the UE, determining an allowed NSSAI (Network Slice Selection Assistance Information), determining an NSSAI to be set, and determining an AMF set to be connected to the UE. is there.
  • the PCF is a network node 10 having a function of controlling network policy.
  • AF is a network node 10 having a function of controlling an application server.
  • the NRF is a network node 10 having a function of discovering an NF instance that provides a service.
  • the network nodes excluding UE, RAN, UPF, and DN shown in FIG. 1 are included in the scope of SBA (Service Based Architecture).
  • SBA Service Based Architecture
  • AMF is a stateless NF, and the process and the storage provided by UDSF (Unified Data Storage Function) are separated.
  • eSBA enhanced SBA
  • NF services themselves do not perform registration, discovery, communication between NF services that require security, and open source software is used as an implementation option. Etc. are being considered.
  • FIG. 2 is a diagram for explaining an example of mutual TLS.
  • FIG. 2 shows an existing configuration in which NFs are connected via mutual TLS (Transport Layer Security) in a non-roaming environment.
  • TLS is a protocol used to perform security-required communications in a network.
  • Mutual TLS performs bidirectional authentication of TLS between server and client. As shown in FIG. 2, the NF executes security-required communication via TLS.
  • FIG. 3 is a diagram for explaining an example of mutual TLS in the embodiment of the present invention.
  • FIG. 3 shows a configuration in which NF services are connected by Envoy via mutual TLS in a non-roaming environment.
  • An envoy is a sidecar that is placed in the same pod as the NF service.
  • a pod is an instance of a process that runs in a containerized application.
  • mutual TLS is established between Envoys.
  • Envoy acts as a proxy for communication between NF services.
  • Secure communication via TLS is executed between Envoys.
  • Envoy can also monitor NF services and the like.
  • FIG. 4 is a diagram for explaining an example of the authentication procedure.
  • FIG. 4 shows an existing configuration for running OAuth 2.0, an open standard for authentication, in a non-roaming environment.
  • the NF transmits a registration containing the NF instance ID to the NRF. Subsequently, the NF transmits a token request (Token request) to the NRF. The NRF then sends the token to the NF. Subsequently, the NF transmits a request with the token to another NF.
  • Token request token request
  • FIG. 5 is a diagram for explaining an example of an authentication operation according to the embodiment of the present invention.
  • FIG. 5 shows a configuration in which a new authentication corresponding to the authentication by OAuth 2.0 is executed from the NF service in a non-roaming environment.
  • the NF service sends a request to another NF service via Envoy.
  • the other NF services Envoy have acquired the service role and service role binding from the IstioPirot.
  • the IstioPirot manages traffic policy between Envoys, and has, for example, a load balancing policy management function.
  • the service role provided by IsoPirot defines the operations allowed for the NF service, and the service role binding defines which NF service is associated with the service role. By using the service role, the function of the token in OAuth shown in FIG. 4 can be realized.
  • FIG. 6 is a diagram for explaining an example of a communication system under a roaming environment according to the embodiment of the present invention.
  • the network is composed of a UE which is a user device 20 and a plurality of network nodes 10.
  • one network node 10 corresponds to each function, but one network node 10 may realize a plurality of functions, or a plurality of network nodes 10 may realize one function. ..
  • the "connection" described below may be a logical connection or a physical connection.
  • the RAN is a network node 10 having a wireless access function, and is connected to a UE, an AMF, and an UPF.
  • the AMF is a network node 10 having functions such as RAN interface termination, NAS termination, registration management, connection management, reachability management, and mobility management.
  • the UPF is a network node 10 having functions such as a PDU session point to the outside interconnecting with the DN, packet routing and forwarding, and QoS handling of the user plane.
  • UPF and DN constitute a network slice.
  • a plurality of network slices are constructed.
  • AMF is connected to UE, RAN, SMF, NSSF, NEF, NRF, UDM, AUSF, PCF, AF, and SEPP (Security Edge Protection Proxy).
  • AMF, SMF, NSSF, NEF, NRF, AUSF, PCF, AF are interconnected networks via their respective service-based interfaces, Namf, Nsmf, Nnssf, Nnef, Nnrf, Nodem, Nausf, Npcf, Naf Node 10
  • the SMF is a network node 10 having functions such as session management, UE IP address allocation and management, DHCP function, ARP proxy, and roaming function.
  • the NEF is a network node 10 having a function of notifying other NFs of capabilities and events.
  • the NSSF is a network node 10 having functions such as selecting a network slice to which the UE connects, determining an allowed NSSAI, determining an NSSAI to be set, and determining an AMF set to which the UE connects.
  • the PCF is a network node 10 having a function of controlling network policy.
  • AF is a network node 10 having a function of controlling an application server.
  • the NRF is a network node 10 having a function of discovering an NF instance that provides a service.
  • SEPP is a non-transparent proxy that filters control plane messages between PLMNs (Public Land Mobile Networks).
  • the vSEPP shown in FIG. 6 is a SEPP in a visited network, and hSEPP is a SEPP in a home network.
  • the UE is in a roaming environment connected to RAN and AMF in VPLMN (Visited PLMN).
  • VPLMN and HPLMN are connected via vSEPP and hSEPP.
  • the UE can communicate with the HPLMN UDM, for example, via the VPLMN AMF.
  • FIG. 7 is a diagram for explaining an example of mutual TLS under a roaming environment.
  • FIG. 7 shows an existing configuration in which NFs are connected via mutual TLS and SEPP in a roaming environment.
  • Mutual TLS performs bidirectional authentication of TLS between server and client.
  • the NF performs security-required communication via TLS and SEPP.
  • FIG. 7 it is assumed that the NF that transmits the request of step 1 exists in the VPLMN, and the NF that receives the request of step 8 exists in the HPLMN.
  • the VPLMN NF sends a request to discover the target NF service to the VPLMN NRF.
  • the VPLMN NRF transmits a request to the HPLMN NRF via the VPLMN and HPLMN SEPPs.
  • the HPLMN NRF transmits the actual FQDN (Fully Qualified Domain Name) of the target NF to the HPLMN SEPP.
  • the HPLMN SEPP transmits the hidden FQDN of the target NF to the VPLMN SEPP.
  • the VPLMN SEPP transmits the telescopic FQDN to the VPLMN NF via the VPLMN NRF.
  • the extended FQDN is an FQDN in which the domain of SEPP is added at the end.
  • step 5 the NF of the VPLMN transmits a request to the SEPP of the VPLMN with the FQDN extended via the TLS between the NF of the VPLMN and the SEPP of the VPLMN.
  • step 6 the VPLMN SEPP sends a request to the HPLMN SEPP with a hidden FQDN.
  • step 8 the HPLMN SEPP sends a request to the HPLMN NF with the actual FQDN via the TLS between the NF and SEPP.
  • FIG. 8 is a diagram for explaining an example (1) of mutual TLS under a roaming environment in the embodiment of the present invention.
  • FIG. 8 shows a configuration in which NF services are connected by Envoy via mutual TLS in a roaming environment.
  • mutual TLS is established by Envoy.
  • the NF service that transmits the request of step 0 exists in the VPLMN
  • the NF service that receives the request of step 8 exists in the HPLMN.
  • the NF service and enjoy may be one network node operating in the same pod.
  • 3gpGW and Envoy may be one network node operating in the same pod.
  • the IstioPirot supplies TLS policy to Envoy.
  • the TLS policy allows the establishment of TLS between Envoy or between Envoy and SEPP.
  • TLS is separated between Envoy-Envoy and Envoy-SEPP for authentication.
  • step 1 the VPLMN NF service sends a request to the VPLMN's 3 gpGW via TLS between Envoys. Subsequently, the 3gpGW transforms the information contained in the HTTP header for discovering the destination NF service into a GET query string.
  • step 1 the 3 gpGW of the VPLMN transmits a request to the NRF of the HPLMN via the Envoy, the NRF of the VPLMN, and the SEPP of the VPLMN and the HPLMN. Subsequently, in step 2, the HPLMN NRF transmits the actual FQDN of the target NF service to the HPLMN SEPP.
  • step 3 the HPLMN SEPP transmits the hidden FQDN of the target NF service to the VPLMN SEPP.
  • step 4 the SEPP of the VPLMN transmits the extended FQDN to the 3 gpGW of the VPLMN via the NRF of the VPLMN.
  • step 5 the 3gpGW of VPLMN sends a request to SEPP of VPLMN with the FQDN extended via TLS between Envoy and SEPP.
  • step 6 the VPLMN SEPP sends a request to the HPLMN SEPP with a hidden FQDN.
  • step 7 the HPLMN SEPP sends a request to the HPLMN 3 gpGW in the actual FQDN via the TLS between SEPP and Envoy.
  • step 8 the HPLMN 3gppGW sends a request to the HPLMN NF service in the actual FQDN via the TLS between Envoys.
  • FIG. 9 is a diagram for explaining an example (2) of mutual TLS under a roaming environment in the embodiment of the present invention.
  • FIG. 9 shows that in a roaming environment, the configuration in which the NF service is connected by envoy via mutual TLS and the existing configuration in which NF is connected via mutual TLS and SEPP are different between VPLMN and HPLMN.
  • An example of the case is shown. That is, in FIG. 9, the sequence from step a0 to step a8 in which the request is transmitted from the NF service in VPLMN to the NF in HPLMN, and the sequence from steps b1 to b8 in which the request is transmitted from NF in VPLMN to the NF service in HPLMN.
  • the NF service and enjoy may be one network node operating in the same pod.
  • 3gpGW and Envoy may be one network node operating in the same pod.
  • step a0 the VPLMN NF service sends a request to discover the target NF service to the VPLMN 3 gpGW via TLS between Envoys. Subsequently, the 3gpGW transforms the information contained in the HTTP header for discovering the destination NF service into a GET query string.
  • step a1 the VPLMN 3 gpGW transmits a request to the HPLMN NRF via the Envoy, the VPLMN NRF, and the VPLMN and HPLMN SEPPs. Subsequently, in step a2, the NRF of the HPLMN transmits the actual FQDN of the target NF to the SEPP of the HPLMN.
  • step a3 the SEPP of the HPLMN transmits the hidden FQDN of the target NF to the SEPP of the VPLMN.
  • step a4 the SEPP of the VPLMN transmits the extended FQDN to the 3 gpGW of the VPLMN via the NRF of the VPLMN.
  • step a5 the 3gpGW of VPLMN sends a request to SEPP of VPLMN with the FQDN extended via TLS between Envoy and SEPP.
  • step a6 the VPLMN SEPP sends a request to the HPLMN SEPP with a hidden FQDN.
  • step a8 the SEPP of the HPLMN transmits a request to the NF of the HPLMN in the actual FQDN via the TLS between the SEPP and the NF.
  • the VPLMN NF transmits a request to discover the target NF service to the VPLMN NRF.
  • the VPLMN NRF transmits a request to the HPLMN NRF via the VPLMN and HPLMN SEPPs.
  • the HPLMN NRF transmits the actual FQDN of the target NF service to the HPLMN SEPP.
  • the HPLMN SEPP transmits the hidden FQDN of the target NF service to the VPLMN SEPP.
  • the SEPP of the VPLMN transmits the extended FQDN to the 3 gpGW of the VPLMN via the NRF of the VPLMN.
  • step b5 the NF of the VPLMN sends a request to the SEPP of the VPLMN with the FQDN extended via the TLS between the NF and SEPP.
  • step b6 the VPLMN SEPP sends a request to the HPLMN SEPP with a hidden FQDN.
  • step b7 the HPLMN SEPP sends a request to the HPLMN 3gpGW in the actual FQDN via the TLS between SEPP and Envoy.
  • step b8 the HPLMN 3gpGW sends a request to the HPLMN's NF service in the actual FQDN via the TLS between Envoys.
  • FIG. 10 is a diagram for explaining an example of an authentication procedure in a roaming environment.
  • FIG. 10 shows an existing configuration in which OAuth 2.0, which is an open standard for performing authentication, is executed in a roaming environment.
  • OAuth 2.0 which is an open standard for performing authentication
  • FIG. 10 it is assumed that the NF that transmits the token request of step 1 exists in the VPLMN, and the NF that receives the request of step 3 exists in the HPLMN.
  • step 1 the VPLMN NF sends a token request to the VPLMN NRF.
  • the VPLMN NRF then sends a token request to the VPLMN SEPP.
  • the VPLMN SEPP sends a token request to the HPLMN SEPP.
  • the HPLMN SEPP then sends a token request to the HPLMN NRF.
  • step 2 the HPLMN NRF transmits the token to the VPLMN NRF via the HPLMN and VPLMN SEPPs.
  • the VPLMN NRF sends a token to the VPLMN NF.
  • step 3 the VPLMN NF transmits a request with the token to the HPLMN NF via the VPLMN and the HPLMN SEPP.
  • FIG. 11 is a diagram for explaining an example (1) of an authentication procedure under a roaming environment according to the embodiment of the present invention.
  • FIG. 11 shows a configuration in which a new authentication corresponding to the authentication by OAuth 2.0 is executed from the NF service of VPLMN in a roaming environment.
  • the VPLMN NF service sends a request to the HPLMN NF service via Envoy.
  • the Envoys placed in the VPLMN and the HPLMN have acquired the service role and the service role binding from the IstioPirot.
  • the function of the token in OAuth shown in FIG. 10 can be realized.
  • the NF service and enjoy may be one network node operating in the same pod.
  • 3gpGW and Envoy may be one network node operating in the same pod.
  • step 0 the VPLMN NF service sends a request to the VPLMN's 3 gpGW via Envoy.
  • the 3gpGW of VPLMN creates a token request based on the received request as if the own device is a consumer NF.
  • step 1 the 3gp GW of VPLMN transmits a token request to the NRF of VPLMN via Envoy.
  • the VPLMN NRF transmits a token request to the HPLMN NRF via the VPLMN and the HPLMN SEPP.
  • step 2 the HPLMN NRF transmits a token for accessing the preset HPLMN 3gpGW to the HPLMN SEPP. Subsequently, the HPLMN SEPP transmits a token to the VPLMN SEPP. Subsequently, the VPLMN SEPP transmits a token to the VPLMN NRF. The VPLMN NRF transmits a token to the VPLMN's 3 gpGW via Envoy. In step 3, the VPLMN 3 gpGW transmits a request with the created token to the HPLMN 3 gpGW via Envoy and SEPP. HPLMN's 3gppGW disposes of tokens. Subsequently, in step 4, the HPLMN 3gppGW transmits the received request to the HPLMN NF service via Envoy.
  • FIG. 12 is a diagram for explaining an example (2) of the authentication procedure under the roaming environment in the embodiment of the present invention.
  • the configuration in which a new authentication corresponding to the authentication by OAuth 2.0 is executed from the NF service of VPLMN and the existing configuration in which OAuth 2.0 is executed are different between VPLMN and HPLMN.
  • An example of the case is shown. That is, in FIG. 12, the sequence of steps a0 to a3 in which the request is transmitted from the NF service in the VPLMN to the NF in the HPLMN, and the sequence of steps b1 to b4 in which the request is transmitted from the NF in the VPLMN to the NF service in the HPLMN.
  • the NF service and enjoy may be one network node operating in the same pod.
  • 3gpGW and Envoy may be one network node operating in the same pod.
  • step a0 the VPLMN NF service sends a request to the VPLMN's 3 gpGW via Envoy.
  • the 3gpGW of VPLMN creates a token request based on the received request as if the own device is a consumer NF.
  • step a1 the 3gpGW of VPLMN transmits a token request to the NRF of VPLMN via Envoy.
  • the VPLMN NRF transmits a token request to the HPLMN NRF via the VPLMN and the HPLMN SEPP.
  • step a2 the HPLMN NRF transmits the token to the VPLMN NRF via the HPLMN and VPLMN SEPP.
  • the VPLMN NRF transmits a token to the VPLMN's 3 gpGW via Envoy.
  • step a3 the 3gpGW of VPLMN transmits a request with the token to NF of HPLMN via Envoy, SEPP of VPLMN and SEPP of HPLMN.
  • the VPLMN NF transmits the token request to the VPLMN NRF.
  • the VPLMN NRF then sends a token request to the VPLMN SEPP.
  • the VPLMN SEPP sends a token request to the HPLMN SEPP.
  • the HPLMN SEPP then sends a token request to the HPLMN NRF.
  • the HPLMN NRF transmits a token for accessing the preset 3 gpGW to the VPLMN NRF via the HPLMN and the VPLMN SEPP.
  • the VPLMN NRF sends a token to the VPLMN NF.
  • step b3 the NF of VPLMN transmits a request with the token to 3 gpGW of HPLMN via SEPP of VPLMN and HPLMN and Envoy.
  • HPLMN's 3gppGW disposes of received tokens.
  • step b4 the HPLMN 3gpGW transmits the received request to the HPLMN NF service via Envoy.
  • the NF service which is the network node 10 can establish mutual TLS between Envoys and perform secure communication with other NF services.
  • the NF service which is the network node 10 can execute authentication via the envoy by the service role and service role binding provided by IstioPirot.
  • the NF service or NF which is the network node 10 establishes TLS and secure communication even if the network configuration by NF in VPLMN and HPLMN and the network configuration by NF service in which Envoy is a proxy are mixed. And authentication can be performed via the Network with the service roles and service role bindings provided by the ISTIOPirot.
  • the network node 10 and the user apparatus 20 include a function of carrying out the above-described embodiment.
  • the network node 10 and the user device 20 may each have only a part of the functions in the embodiment.
  • FIG. 13 is a diagram showing an example of the functional configuration of the network node 10.
  • the network node 10 has a transmission unit 110, a reception unit 120, a setting unit 130, and a control unit 140.
  • the functional configuration shown in FIG. 13 is only an example. Any function classification and name of the functional unit may be used as long as the operation according to the embodiment of the present invention can be performed.
  • the network node 10 having a plurality of different functions on the system architecture may be composed of a plurality of network nodes 10 separated for each function.
  • the transmission unit 110 includes a function of generating a signal to be transmitted to the user device 20 or another network node 10 and transmitting the signal by wire or wirelessly.
  • the receiving unit 120 includes a function of receiving various signals transmitted from the user device 20 or another network node 10 and acquiring information of, for example, a higher layer from the received signals.
  • the setting unit 130 stores preset setting information and various setting information to be transmitted to the user device 20 in the storage device, and reads them out from the storage device as needed.
  • the content of the setting information is, for example, information related to security or authentication between NF services.
  • the control unit 140 performs processing related to security or authentication between NF services, as described in the embodiment. In addition, the control unit 140 performs processing related to communication with the user device 20.
  • the function unit related to signal transmission in the control unit 140 may be included in the transmission unit 110, and the function unit related to signal reception in the control unit 140 may be included in the reception unit 120.
  • FIG. 14 is a diagram showing an example of the functional configuration of the user device 20.
  • the user device 20 includes a transmission unit 210, a reception unit 220, a setting unit 230, and a control unit 240.
  • the functional configuration shown in FIG. 14 is only an example. Any function classification and name of the functional unit may be used as long as the operation according to the embodiment of the present invention can be performed.
  • the transmission unit 210 creates a transmission signal from the transmission data and wirelessly transmits the transmission signal.
  • the receiving unit 220 wirelessly receives various signals and acquires a signal of a higher layer from the received signal of the physical layer. Further, the receiving unit 220 has a function of receiving NR-PSS, NR-SSS, NR-PBCH, DL / UL control signal, reference signal and the like transmitted from the network node 10.
  • the setting unit 230 stores various setting information received from the network node 10 by the receiving unit 220 in the storage device, and reads it out from the storage device as needed.
  • the setting unit 230 also stores preset setting information.
  • the content of the setting information is, for example, information related to a network slice to which connection is permitted.
  • the control unit 240 performs a process related to connection control to the network and the network slice as described in the embodiment.
  • the function unit related to signal transmission in the control unit 240 may be included in the transmission unit 210, and the function unit related to signal reception in the control unit 240 may be included in the reception unit 220.
  • each functional block may be realized by using one physically or logically connected device, or directly or indirectly (for example, two or more physically or logically separated devices). , Wired, wireless, etc.) and may be realized using these plurality of devices.
  • the functional block may be realized by combining the software with the one device or the plurality of devices.
  • Functions include judgment, decision, judgment, calculation, calculation, processing, derivation, investigation, search, confirmation, reception, transmission, output, access, solution, selection, selection, establishment, comparison, assumption, expectation, and assumption.
  • broadcasting notifying, communicating, forwarding, configuring, reconfiguring, allocating, mapping, assigning, etc., but only these. I can't.
  • a functional block that functions transmission is called a transmitting unit (transmitting unit) or a transmitter (transmitter).
  • transmitting unit transmitting unit
  • transmitter transmitter
  • the network node 10, the user device 20, and the like in one embodiment of the present disclosure may function as a computer that processes the wireless communication method of the present disclosure.
  • FIG. 15 is a diagram showing an example of the hardware configuration of the network node 10 and the user device 20 according to the embodiment of the present disclosure.
  • the network node 10 and the user device 20 described above are physically configured as a computer device including a processor 1001, a storage device 1002, an auxiliary storage device 1003, a communication device 1004, an input device 1005, an output device 1006, a bus 1007, and the like. You may.
  • the word “device” can be read as a circuit, device, unit, etc.
  • the hardware configuration of the network node 10 and the user device 20 may be configured to include one or more of the devices shown in the figure, or may be configured not to include some devices.
  • the processor 1001 For each function in the network node 10 and the user device 20, the processor 1001 performs an operation by loading predetermined software (program) on the hardware such as the processor 1001 and the storage device 1002, and controls the communication by the communication device 1004. It is realized by controlling at least one of reading and writing of data in the storage device 1002 and the auxiliary storage device 1003.
  • Processor 1001 operates, for example, an operating system to control the entire computer.
  • the processor 1001 may be composed of a central processing unit (CPU: Central Processing Unit) including an interface with a peripheral device, a control device, an arithmetic unit, a register, and the like.
  • CPU Central Processing Unit
  • control unit 140, control unit 240, and the like may be realized by the processor 1001.
  • the processor 1001 reads a program (program code), a software module, data, or the like from at least one of the auxiliary storage device 1003 and the communication device 1004 into the storage device 1002, and executes various processes according to these.
  • a program that causes a computer to execute at least a part of the operations described in the above-described embodiment is used.
  • the control unit 140 of the network node 10 shown in FIG. 13 may be realized by a control program stored in the storage device 1002 and operated by the processor 1001.
  • the control unit 240 of the user device 20 shown in FIG. 14 may be realized by a control program stored in the storage device 1002 and operated by the processor 1001.
  • Processor 1001 may be implemented by one or more chips.
  • the program may be transmitted from the network via a telecommunication line.
  • the storage device 1002 is a computer-readable recording medium, for example, by at least one of ROM (Read Only Memory), EPROM (Erasable Programmable ROM), EPROM (Electrically Erasable Programmable ROM), RAM (Random Access Memory), and the like. It may be configured.
  • the storage device 1002 may be referred to as a register, a cache, a main memory (main storage device), or the like.
  • the storage device 1002 can store a program (program code), a software module, or the like that can be executed to implement the communication method according to the embodiment of the present disclosure.
  • the auxiliary storage device 1003 is a computer-readable recording medium, and is, for example, an optical disk such as a CD-ROM (Compact Disc ROM), a hard disk drive, a flexible disk, a magneto-optical disk (for example, a compact disk, a digital versatile disk, Blu).
  • -It may be composed of at least one of a ray (registered trademark) disk), a smart card, a flash memory (for example, a card, a stick, a key drive), a floppy (registered trademark) disk, a magnetic strip and the like.
  • the storage medium described above may be, for example, a database, server or other suitable medium containing at least one of the storage device 1002 and the auxiliary storage device 1003.
  • the communication device 1004 is hardware (transmission / reception device) for communicating between computers via at least one of a wired network and a wireless network, and is also referred to as, for example, a network device, a network controller, a network card, a communication module, or the like.
  • the communication device 1004 includes, for example, a high frequency switch, a duplexer, a filter, a frequency synthesizer, and the like in order to realize at least one of frequency division duplex (FDD: Frequency Division Duplex) and time division duplex (TDD: Time Division Duplex). It may be composed of.
  • FDD Frequency Division Duplex
  • TDD Time Division Duplex
  • the transmission / reception unit may be physically or logically separated from each other in the transmission unit and the reception unit.
  • the input device 1005 is an input device (for example, a keyboard, a mouse, a microphone, a switch, a button, a sensor, etc.) that receives an input from the outside.
  • the output device 1006 is an output device (for example, a display, a speaker, an LED lamp, etc.) that outputs to the outside.
  • the input device 1005 and the output device 1006 may have an integrated configuration (for example, a touch panel).
  • each device such as the processor 1001 and the storage device 1002 is connected by a bus 1007 for communicating information.
  • the bus 1007 may be configured by using a single bus, or may be configured by using a different bus for each device.
  • the network node 10 and the user device 20 are hardware such as a microprocessor, a digital signal processor (DSP: Digital Signal Processor), an ASIC (Application Specific Integrated Circuit), a PLD (Programmable Logic Device), and an FPGA (Field Programmable Gate Array). It may be configured to include hardware, and a part or all of each functional block may be realized by the hardware. For example, processor 1001 may be implemented using at least one of these hardware.
  • DSP Digital Signal Processor
  • ASIC Application Specific Integrated Circuit
  • PLD Programmable Logic Device
  • FPGA Field Programmable Gate Array
  • the embodiment of the present invention is based on a receiving unit that receives information for improving the security of communication between network nodes from the management node and information for improving the security. Then, the request transmitted from the first network node arranged in the first PLMN (Public Land Mobile Network) is received, and the request is transmitted to the second network node arranged in the second PLMN.
  • a network node having a control unit is provided.
  • the NF service which is the network node 10 can establish mutual TLS between Envoys and perform secure communication with other NF services.
  • the NF service which is the network node 10 can execute authentication via the envoy by the service role and service role binding provided by IstioPirot.
  • the NF service or NF which is the network node 10 establishes TLS and secure communication even if the network configuration by NF in VPLMN and HPLMN and the network configuration by NF service in which Envoy is a proxy are mixed.
  • authentication can be performed via the Network with the service roles and service role bindings provided by the ISTIOPirot. That is, it is possible to execute communication with improved security between network nodes.
  • the first PLMN is VPLMN (Visited PLMN), the second PLMN is HPLMN (Home PLMN), and at least one of the first network node and the second network node is NF (Network Function). ) It may be a service. With this configuration, it is possible to perform communication with improved security between network nodes in a roaming environment.
  • VPLMN Vehicle PLMN
  • HPLMN Home PLMN
  • NF Network Function
  • the first network node may be the NF service and the second network node NF, or the first network node may be the NF and the second network node may be the NF service.
  • the information for improving the security is a TLS (Transport Layer Security) policy, and the control unit establishes a first mutual TLS with the first network node, and SEPP (SEPP) in the first PLMN.
  • SecurityEdgeProtectionProxy establishes a second mutual TLS, receives the request via the established first mutual TLS, and transmits the request via the established second mutual TLS. You may. With this configuration, it is possible to execute communication with improved security by mutual TLS between network nodes in a roaming environment.
  • the information for improving the security is a service role and a service role binding, and the control unit transmits the request to the second network node based on the service role and the service role binding.
  • the function of acquiring and using a token may be realized. With this configuration, it is possible to perform communication with improved security between network nodes via the Envoy that realizes the function of the token.
  • the boundary of the functional unit or the processing unit in the functional block diagram does not always correspond to the boundary of the physical component.
  • the operation of the plurality of functional units may be physically performed by one component, or the operation of one functional unit may be physically performed by a plurality of components. With respect to the processing procedure described in the embodiment, the order of processing may be changed as long as there is no contradiction.
  • the network node 10 and the user device 20 have been described with reference to functional block diagrams, but such devices may be implemented in hardware, software, or a combination thereof.
  • the software operated by the processor of the network node 10 according to the embodiment of the present invention and the software operated by the processor of the user apparatus 20 according to the embodiment of the present invention are random access memory (RAM), flash memory, and read-only, respectively. It may be stored in memory (ROM), EPROM, EEPROM, registers, hard disks (HDD), removable disks, CD-ROMs, databases, servers or any other suitable storage medium.
  • information notification includes physical layer signaling (for example, DCI (Downlink Control Information), UCI (Uplink Control Information)), higher layer signaling (for example, RRC (Radio Resource Control) signaling, MAC (Medium Access Control) signaling, etc. Broadcast information (MIB (Master Information Block), SIB (System Information Block)), other signals, or a combination thereof may be used.
  • RRC signaling may be referred to as an RRC message, for example, RRC. It may be a connection setup (RRCConnectionSetup) message, an RRC connection reconfiguration (RRCConnectionReconfiguration) message, or the like.
  • Each aspect / embodiment described in the present disclosure includes LTE (Long Term Evolution), LTE-A (LTE-Advanced), SUPER 3G, IMT-Advanced, 4G (4th generation mobile communication system), and 5G (5th generation mobile communication).
  • system FRA (Future Radio Access), NR (new Radio), W-CDMA (registered trademark), GSM (registered trademark), CDMA2000, UMB (Ultra Mobile Broadband), IEEE 802.11 (Wi-Fi (registered trademark)) )), LTE 802.16 (WiMAX®), IEEE 802.20, UWB (Ultra-WideBand), Bluetooth®, and other systems that utilize suitable systems and have been extended based on these. It may be applied to at least one of the next generation systems. Further, a plurality of systems may be applied in combination (for example, a combination of at least one of LTE and LTE-A and 5G).
  • the specific operation performed by the network node 10 in the present specification may be performed by its upper node (upper node).
  • various operations performed for communication with the user apparatus 20 are the network node 10 and other network nodes other than the network node 10. It is clear that this can be done by at least one (eg, MME, S-GW, etc., but not limited to).
  • MME Mobility Management Entity
  • S-GW Serving GPRS Support Node
  • the information, signals, etc. described in the present disclosure can be output from the upper layer (or lower layer) to the lower layer (or upper layer). Input / output may be performed via a plurality of network nodes.
  • the input / output information and the like may be saved in a specific location (for example, memory), or may be managed using a management table. Input / output information and the like can be overwritten, updated, or added. The output information and the like may be deleted. The input information or the like may be transmitted to another device.
  • the determination in the present disclosure may be made by a value represented by 1 bit (0 or 1), by a boolean value (Boolean: true or false), or by comparing numerical values (for example). , Comparison with a predetermined value).
  • Software is an instruction, instruction set, code, code segment, program code, program, subprogram, software module, whether called software, firmware, middleware, microcode, hardware description language, or another name.
  • Applications, software applications, software packages, routines, subroutines, objects, executable files, execution threads, procedures, features, etc. should be broadly interpreted to mean.
  • software, instructions, information, etc. may be transmitted and received via a transmission medium.
  • a transmission medium For example, a website that uses at least one of wired technology (coaxial cable, fiber optic cable, twisted pair, digital subscriber line (DSL: Digital Subscriber Line), etc.) and wireless technology (infrared, microwave, etc.) When transmitted from a server, or other remote source, at least one of these wired and wireless technologies is included within the definition of transmission medium.
  • data, instructions, commands, information, signals, bits, symbols, chips, etc. may be voltage, current, electromagnetic waves, magnetic fields or magnetic particles, light fields or photons, or any of these. It may be represented by a combination of.
  • a channel and a symbol may be a signal (signaling).
  • the signal may be a message.
  • the component carrier CC: Component Carrier
  • CC Component Carrier
  • system and “network” used in this disclosure are used interchangeably.
  • the information, parameters, etc. described in the present disclosure may be expressed using absolute values, relative values from predetermined values, or using other corresponding information. It may be represented.
  • the radio resource may be one indicated by an index.
  • base station Base Station
  • wireless base station base station
  • base station device fixed station
  • NodeB nodeB
  • eNodeB eNodeB
  • GNB nodeB
  • access point “ transmission point ”,“ reception point ”,“ transmission / reception point (transmission / reception point) ”,“ cell ”,“ sector ”
  • Terms such as “cell group,” “carrier,” and “component carrier” can be used interchangeably.
  • Base stations are sometimes referred to by terms such as macrocells, small cells, femtocells, and picocells.
  • the base station can accommodate one or more (for example, three) cells.
  • a base station accommodates multiple cells, the entire coverage area of the base station can be divided into multiple smaller areas, each smaller area being a base station subsystem (eg, a small indoor base station (RRH:)).
  • Communication services can also be provided by Remote Radio Head).
  • the term "cell” or “sector” refers to part or all of the coverage area of at least one of the base stations and base station subsystems that provide communication services in this coverage. Point to.
  • MS Mobile Station
  • UE User Equipment
  • Mobile stations can be subscriber stations, mobile units, subscriber units, wireless units, remote units, mobile devices, wireless devices, wireless communication devices, remote devices, mobile subscriber stations, access terminals, mobile terminals, wireless, depending on the trader. It may also be referred to as a terminal, remote terminal, handset, user agent, mobile client, client, or some other suitable term.
  • At least one of the base station and the mobile station may be called a transmitting device, a receiving device, a communication device, or the like.
  • At least one of the base station and the mobile station may be a device mounted on the mobile body, the mobile body itself, or the like.
  • the moving body may be a vehicle (eg, car, airplane, etc.), an unmanned moving body (eg, drone, self-driving car, etc.), or a robot (manned or unmanned). ) May be.
  • at least one of the base station and the mobile station includes a device that does not necessarily move during communication operation.
  • at least one of the base station and the mobile station may be an IoT (Internet of Things) device such as a sensor.
  • IoT Internet of Things
  • the base station in the present disclosure may be read by the user terminal.
  • the communication between the base station and the user terminal is replaced with the communication between a plurality of user devices 20 (for example, it may be called D2D (Device-to-Device), V2X (Vehicle-to-Everything), etc.).
  • D2D Device-to-Device
  • V2X Vehicle-to-Everything
  • Each aspect / embodiment of the present disclosure may be applied to the configuration.
  • the user device 20 may have the function of the network node 10 described above.
  • words such as "up” and “down” may be read as words corresponding to communication between terminals (for example, "side”).
  • the uplink, downlink, and the like may be read as side channels.
  • the user terminal in the present disclosure may be read as a base station.
  • the base station may have the functions of the user terminal described above.
  • determining and “determining” used in this disclosure may include a wide variety of actions.
  • “Judgment” and “decision” are, for example, judgment (judging), calculation (calculating), calculation (computing), processing (processing), derivation (deriving), investigation (investigating), search (looking up, search, inquiry). It may include (eg, searching in a table, database or another data structure), ascertaining as “judgment” or “decision”.
  • judgment and “decision” are receiving (for example, receiving information), transmitting (for example, transmitting information), input (input), output (output), and access. (Accessing) (for example, accessing data in memory) may be regarded as “judgment” or “decision”.
  • judgment and “decision” mean that “resolving”, “selecting”, “choosing”, “establishing”, “comparing”, etc. are regarded as “judgment” and “decision”. Can include. That is, “judgment” and “decision” may include that some action is regarded as “judgment” and “decision”. Further, “judgment (decision)” may be read as “assuming”, “expecting”, “considering” and the like.
  • connection means any direct or indirect connection or connection between two or more elements, and each other. It can include the presence of one or more intermediate elements between two “connected” or “combined” elements.
  • the connection or connection between the elements may be physical, logical, or a combination thereof.
  • connection may be read as "access”.
  • the two elements use at least one of one or more wires, cables and printed electrical connections, and, as some non-limiting and non-comprehensive examples, the radio frequency domain. Can be considered to be “connected” or “coupled” to each other using electromagnetic energies having wavelengths in the microwave and light (both visible and invisible) regions.
  • the reference signal can also be abbreviated as RS (Reference Signal), and may be called a pilot (Pilot) depending on the applicable standard.
  • RS Reference Signal
  • Pilot Pilot
  • references to elements using designations such as “first”, “second”, etc. as used in this disclosure does not generally limit the quantity or order of those elements. These designations can be used in the present disclosure as a convenient way to distinguish between two or more elements. Thus, references to the first and second elements do not mean that only two elements can be adopted, or that the first element must somehow precede the second element.
  • the term "A and B are different” may mean “A and B are different from each other”.
  • the term may mean that "A and B are different from C”.
  • Terms such as “separate” and “combined” may be interpreted in the same way as “different”.
  • the notification of predetermined information (for example, the notification of "being X") is not limited to the explicit notification, but is performed implicitly (for example, the notification of the predetermined information is not performed). May be good.
  • NF NF service
  • NRF NRF
  • SEPP 3gpGW
  • IstioPirot is an example of a management node.
  • Network node 110 Transmission unit 120 Reception unit 130 Setting unit 140 Control unit 20 User device 210 Transmission unit 220 Reception unit 230 Setting unit 240 Control unit 1001 Processor 1002 Storage device 1003 Auxiliary storage device 1004 Communication device 1005 Input device 1006 Output device

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

ネットワークノードは、ネットワークノード間における通信のセキュリティを向上させるための情報を管理ノードから受信する受信部と、前記セキュリティを向上させるための情報に基づいて、第1のPLMN(Public Land Mobile Network)に配置される第1のネットワークノードから送信される要求を受信して、前記要求を第2のPLMNに配置される第2のネットワークノードに送信する制御部とを有する。

Description

ネットワークノード
 本発明は、通信システムにおけるネットワークノードに関する。
 3GPP(3rd Generation Partnership Project)では、システム容量の更なる大容量化、データ伝送速度の更なる高速化、無線区間における更なる低遅延化等を実現するために、5GあるいはNR(New Radio)と呼ばれる無線通信方式(以下、当該無線通信方式を「5G」あるいは「NR」という。)の検討が進んでいる。5Gでは、10Gbps以上のスループットを実現しつつ無線区間の遅延を1ms以下にするという要求条件を満たすために、様々な無線技術の検討が行われている。
 NRでは、LTE(Long Term Evolution)のネットワークアーキテクチャにおけるコアネットワークであるEPC(Evolved Packet Core)に対応する5GC(5G Core Network)及びLTEのネットワークアーキテクチャにおけるRAN(Radio Access Network)であるE-UTRAN(Evolved Universal Terrestrial Radio Access Network)に対応するNG-RAN(Next Generation - Radio Access Network)を含むネットワークアーキテクチャが検討されている(例えば非特許文献1)。
3GPP TS 23.501 V15.4.0(2018-12)
 5Gのネットワークアーキテクチャを有するシステムにおいて、NF(Network Function)は単一機能を有するNFサービスの組み合わせとして定義されている。各NFサービス間の通信にセキュリティ又は認証が必要である場合、初版(リリース15)では、NF内部の構成要素がそれを実現していた。第2版(リリース16)では、この構成要素をくくりだして各NFサービスが共通に利用できる基盤機能とする検討が行われている。第1版に準拠するPLMN(Public Land Mobile Network)と第2版に準拠するPLMNを相互接続する際に、NFサービスの間でのセキュアな通信を構成することは困難であった。
 本発明は上記の点に鑑みてなされたものであり、ネットワークノード間でセキュリティが向上された通信を実行することを目的とする。
 開示の技術によれば、ネットワークノード間における通信のセキュリティを向上させるための情報を管理ノードから受信する受信部と、前記セキュリティを向上させるための情報に基づいて、第1のPLMN(Public Land Mobile Network)に配置される第1のネットワークノードから送信される要求を受信して、前記要求を第2のPLMNに配置される第2のネットワークノードに送信する制御部とを有するネットワークノードが提供される。
 開示の技術によれば、ネットワークノード間でセキュリティが向上された通信を実行することができる。
本発明の実施の形態における通信システムの例を説明するための図である。 相互TLSの例を説明するための図である。 本発明の実施の形態における相互TLSの例を説明するための図である。 認証手順の例を説明するための図である。 本発明の実施の形態における認証動作の例を説明するための図である。 本発明の実施の形態におけるローミング環境下の通信システムの例を説明するための図である。 ローミング環境下の相互TLSの例を説明するための図である。 本発明の実施の形態におけるローミング環境下の相互TLSの例(1)を説明するための図である。 本発明の実施の形態におけるローミング環境下の相互TLSの例(2)を説明するための図である。 ローミング環境下の認証手順の例を説明するための図である。 本発明の実施の形態におけるローミング環境下の認証手順の例(1)を説明するための図である。 本発明の実施の形態におけるローミング環境下の認証手順の例(2)を説明するための図である。 本発明の実施の形態におけるネットワークノード10の機能構成の一例を示す図である。 本発明の実施の形態におけるユーザ装置20の機能構成の一例を示す図である。 本発明の実施の形態におけるネットワークノード10又はユーザ装置20のハードウェア構成の一例を示す図である。
 以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例であり、本発明が適用される実施の形態は、以下の実施の形態に限られない。
 本発明の実施の形態の無線通信システムの動作にあたっては、適宜、既存技術が使用される。ただし、当該既存技術は、例えば既存のLTEであるが、既存のLTEに限られない。また、本明細書で使用する用語「LTE」は、特に断らない限り、LTE-Advanced、及び、LTE-Advanced以降の方式(例:NR)、又は無線LAN(Local Area Network)を含む広い意味を有するものとする。
 また、本発明の実施の形態において、無線パラメータ等が「設定される(Configure)」とは、所定の値が予め設定(Pre-configure)されることであってもよいし、ネットワークノード10又はユーザ装置20から通知される無線パラメータが設定されることであってもよい。
 図1は、本発明の実施の形態における通信システムを説明するための図である。図1に示されるように、通信システムは、ユーザ装置20であるUE、複数のネットワークノード10から構成される。以下、機能ごとに1つのネットワークノード10が対応するものとするが、複数の機能を1つのネットワークノード10が実現してもよいし、複数のネットワークノード10が1つの機能を実現してもよい。また、以下に記載する「接続」は、論理的な接続であってもよいし、物理的な接続であってもよい。
 RAN(Radio Access Network)は、無線アクセス機能を有するネットワークノード10であり、UE、AMF(Access and Mobility Management Function)及びUPF(User plane function)と接続される。AMFは、RANインタフェースの終端、NAS(Non-Access Stratum)の終端、登録管理、接続管理、到達性管理、モビリティ管理等の機能を有するネットワークノード10である。UPFは、DN(Data Network)と相互接続する外部に対するPDU(Protocol Data Unit)セッションポイント、パケットのルーティング及びフォワーディング、ユーザプレーンのQoS(Quality of Service)ハンドリング等の機能を有するネットワークノード10である。UPF及びDNは、ネットワークスライスを構成する。、本発明の実施の形態における無線通信ネットワークでは、複数のネットワークスライスが構築されている。
 AMFは、UE、RAN、SMF(Session Management function)、NSSF(Network Slice Selection Function)、NEF(Network Exposure Function)、NRF(Network Repository Function)、UDM(Unified Data Management)、AUSF(Authentication Server Function)、PCF(Policy Control Function)、AF(Application Function)と接続される。AMF、SMF、NSSF、NEF、NRF、AUSF、PCF、AFは、各々のサービスに基づくインタフェース、Namf、Nsmf、Nnssf、Nnef、Nnrf、Nudm、Nausf、Npcf、Nafを介して相互に接続されるネットワークノード10である。
 SMFは、セッション管理、UEのIP(Internet Protocol)アドレス割り当て及び管理、DHCP(Dynamic Host Configuration Protocol)機能、ARP(Address Resolution Protocol)プロキシ、ローミング機能等の機能を有するネットワークノード10である。NEFは、他のNF(Network Function)に能力及びイベントを通知する機能を有するネットワークノード10である。NSSFは、UEが接続するネットワークスライスの選択、許可されるNSSAI(Network Slice Selection Assistance Information)の決定、設定されるNSSAIの決定、UEが接続するAMFセットの決定等の機能を有するネットワークノード10である。PCFは、ネットワークのポリシ制御を行う機能を有するネットワークノード10である。AFは、アプリケーションサーバを制御する機能を有するネットワークノード10である。NRFは、サービスを提供するNFインスタンスを発見する機能を有するネットワークノード10である。
 図1に示されるUE、RAN、UPF、DNを除いたネットワークノードは、SBA(Service Based Architecture)のスコープに含まれる。SBAにおいて、ウェブ及びクラウドの領域からの技術が採用される。各NFは、単一機能を有するNFサービスの組み合わせとして定義される。NFは、統合されたプロトコルで互いにサービスを提供し利用する。例えば、AMFは、状態を有しないNFであり、プロセスとUDSF(Unified Data Storage Function)が提供するストレージとは分離されている。
 以下、主にセキュリティの観点から、eSBA(enhanced SBA)に係るネットワークの設定について説明する。eSBAにおいて、NFサービスを使用すること、NFサービス自身は登録(registration)、発見(discovery)、セキュリティが要求されるNFサービス間の通信を実行しないこと、実装オプションとしてオープンソースソフトウェアが使用されること等が検討されている。
 図2は、相互TLSの例を説明するための図である。図2は、非ローミング環境下において、相互TLS(Transport Layer Security)を介してNFが接続される既存の構成を示している。TLSは、ネットワークにおいてセキュリティが要求される通信を行うために使用されるプロトコルである。相互TLSは、サーバクライアント間のTLSの認証を双方向で実行する。図2に示されるように、NFは、TLSを介してセキュリティが要求される通信を実行する。
 図3は、本発明の実施の形態における相互TLSの例を説明するための図である。図3は、非ローミング環境下において、相互TLSを介してNFサービスがEnvoyによって接続される構成を示している。Envoyとは、NFサービスと同一のポッドに配置されるサイドカーである。ポッドとは、コンテナ化されたアプリケーションで実行されるプロセスのインスタンスである。図3において、相互TLSは、Envoy間で確立される。Envoyは、NFサービス間の通信のプロキシとして動作する。Envoy間でTLSを介したセキュアな通信が実行される。また、Envoyは、NFサービスをモニタリングすることなども可能である。
 図4は、認証手順の例を説明するための図である。図4は、非ローミング環境下において、認証を行うためのオープンスタンダードであるOAuth2.0を実行する既存の構成を示している。NFは、NFインスタンスIDを含む登録(Registration)をNRFに送信する。続いて、NFはトークン要求(Token request)をNRFに送信する。続いて、NRFは、トークンをNFに送信する。続いて、NFは、当該トークンを伴う要求を他のNFに送信する。
 図5は、本発明の実施の形態における認証動作の例を説明するための図である。図5は、非ローミング環境下において、OAuth2.0による認証に相当する新たな認証をNFサービスから実行する構成を示している。NFサービスは、Envoyを介して他のNFサービスに要求を送信する。ここで、他のNFサービスのEnvoyは、IstioPilotからサービスロール及びサービスロールバインディングを取得している。IstioPilotとは、Envoy間のトラフィックポリシ管理を行い、例えば、ロードバランシングのポリシ管理機能等を有する。IstioPilotが提供するサービスロールとは、NFサービスに許可される操作を定義し、サービスロールバインディングとは、いずれのNFサービスがサービスロールに関連付けられるかを定義する。サービスロールを使用することにより、図4に示されるOAuthにおけるトークンの機能を実現することができる。
 図6は、本発明の実施の形態におけるローミング環境下の通信システムの例を説明するための図である。図6に示されるように、ネットワークは、ユーザ装置20であるUE、複数のネットワークノード10から構成される。以下、機能ごとに1つのネットワークノード10が対応するものとするが、複数の機能を1つのネットワークノード10が実現してもよいし、複数のネットワークノード10が1つの機能を実現してもよい。また、以下に記載する「接続」は、論理的な接続であってもよいし、物理的な接続であってもよい。
 RANは、無線アクセス機能を有するネットワークノード10であり、UE、AMF及びUPFと接続される。AMFは、RANインタフェースの終端、NASの終端、登録管理、接続管理、到達性管理、モビリティ管理等の機能を有するネットワークノード10である。UPFは、DNと相互接続する外部に対するPDUセッションポイント、パケットのルーティング及びフォワーディング、ユーザプレーンのQoSハンドリング等の機能を有するネットワークノード10である。UPF及びDNは、ネットワークスライスを構成する。、本発明の実施の形態における無線通信ネットワークでは、複数のネットワークスライスが構築されている。
 AMFは、UE、RAN、SMF、NSSF、NEF、NRF、UDM、AUSF、PCF、AF、SEPP(Security Edge Protection Proxy)と接続される。AMF、SMF、NSSF、NEF、NRF、AUSF、PCF、AFは、各々のサービスに基づくインタフェース、Namf、Nsmf、Nnssf、Nnef、Nnrf、Nudm、Nausf、Npcf、Nafを介して相互に接続されるネットワークノード10である。
 SMFは、セッション管理、UEのIPアドレス割り当て及び管理、DHCP機能、ARPプロキシ、ローミング機能等の機能を有するネットワークノード10である。NEFは、他のNFに能力及びイベントを通知する機能を有するネットワークノード10である。NSSFは、UEが接続するネットワークスライスの選択、許可されるNSSAIの決定、設定されるNSSAIの決定、UEが接続するAMFセットの決定等の機能を有するネットワークノード10である。PCFは、ネットワークのポリシ制御を行う機能を有するネットワークノード10である。AFは、アプリケーションサーバを制御する機能を有するネットワークノード10である。NRFは、サービスを提供するNFインスタンスを発見する機能を有するネットワークノード10である。SEPPは、非透過的なプロキシであり、PLMN(Public Land Mobile Network)間のコントロールプレーンのメッセージをフィルタリングする。図6に示されるvSEPPは、visitedネットワークにおけるSEPPであり、hSEPPは、homeネットワークにおけるSEPPである。
 図6に示されるように、UEは、VPLMN(Visited PLMN)においてRAN及びAMFと接続されているローミング環境にある。VPLMN及びHPLMN(Home PLMN)は、vSEPP及びhSEPPを経由して接続されている。UEは、例えば、VPLMNのAMFを介してHPLMNのUDMと通信が可能である。
 図7は、ローミング環境下の相互TLSの例を説明するための図である。図7は、ローミング環境下において、相互TLS及びSEPPを介してNFが接続される既存の構成を示している。相互TLSは、サーバクライアント間のTLSの認証を双方向で実行する。図7に示されるように、NFは、TLS及びSEPPを介してセキュリティが要求される通信を実行する。図7において、ステップ1の要求を送信するNFがVPLMNに存在し、ステップ8の要求を受信するNFがHPLMNに存在するものとする。
 ステップ1において、VPLMNのNFは、ターゲットNFサービスを発見する要求をVPLMNのNRFに送信する。VPLMNのNRFは、VPLMN及びHPLMNのSEPPを介してHPLMNのNRFに要求を送信する。続いて、ステップ2において、HPLMNのNRFは、ターゲットNFの実際のFQDN(Fully Qualified Domain Name)をHPLMNのSEPPに送信する。続いて、ステップ3において、HPLMNのSEPPは、ターゲットNFの隠ぺいされたFQDNをVPLMNのSEPPに送信する。続いて、ステップ4において、VPLMNのSEPPは、伸長された(telescopic)FQDNをVPLMNのNRFを介してVPLMNのNFに送信する。伸長されたFQDNとは、末尾にSEPPのドメインが追加されたFQDNである。
 ステップ5において、VPLMNのNFは、VPLMNのNFとVPLMNのSEPP間のTLSを介して伸長されたFQDNでVPLMNのSEPPに要求を送信する。続いて、ステップ6において、VPLMNのSEPPは隠ぺいされたFQDNでHPLMNのSEPPに要求を送信する。続いて、ステップ8において、HPLMNのSEPPは、NFとSEPP間のTLSを介して実際のFQDNでHPLMNのNFに要求を送信する。
 図8は、本発明の実施の形態におけるローミング環境下の相互TLSの例(1)を説明するための図である。図8は、ローミング環境下において、相互TLSを介してNFサービスがEnvoyによって接続される構成を示している。図8において、相互TLSは、Envoyによって確立される。図8において、ステップ0の要求を送信するNFサービスがVPLMNに存在し、ステップ8の要求を受信するNFサービスがHPLMNに存在するものとする。なお、NFサービスとEnvoyは、同一のポッドで動作する1つのネットワークノードであってもよい。また、3gppGWとEnvoyは同一のポッドで動作する1つのネットワークノードであってもよい。
 図8に示されるように、VPLMN及びHPLMNそれぞれにおいて、IstioPilotは、EnvoyにTLSポリシを供給する。TLSポリシによって、Envoy間又はEnvoyとSEPP間にTLSを確立することができる。なお、TLSは、認証のため、Envoy-Envoy間とEnvoy-SEPP間とに分離されている。
 ステップ0において、VPLMNのNFサービスは、Envoy間のTLSを介してVPLMNの3gppGWに要求を送信する。続いて、3gppGWは、HTTPヘッダに含まれていた宛先NFサービスを発見するための情報をGETクエリストリングに変形する。ステップ1において、VPLMNの3gppGWは、Envoyと、VPLMNのNRFと、VPLMN及びHPLMNのSEPPとを介して、HPLMNのNRFに要求を送信する。続いて、ステップ2において、HPLMNのNRFは、ターゲットNFサービスの実際のFQDNをHPLMNのSEPPに送信する。続いて、ステップ3において、HPLMNのSEPPは、ターゲットNFサービスの隠ぺいされたFQDNをVPLMNのSEPPに送信する。続いて、ステップ4において、VPLMNのSEPPは、伸長されたFQDNをVPLMNのNRFを介してVPLMNの3gppGWに送信する。
 ステップ5において、VPLMNの3gppGWは、EnvoyとSEPP間のTLSを介して伸長されたFQDNでVPLMNのSEPPに要求を送信する。続いて、ステップ6において、VPLMNのSEPPは隠ぺいされたFQDNでHPLMNのSEPPに要求を送信する。続いて、ステップ7において、HPLMNのSEPPは、SEPPとEnvoy間のTLSを介して、実際のFQDNでHPLMNの3gppGWに要求を送信する。続いて、ステップ8において、HPLMNの3gppGWは、Envoy間のTLSを介して実際のFQDNでHPLMNのNFサービスに要求を送信する。
 図9は、本発明の実施の形態におけるローミング環境下の相互TLSの例(2)を説明するための図である。図9は、ローミング環境下において、相互TLSを介してNFサービスがEnvoyによって接続される構成と、相互TLS及びSEPPを介してNFが接続される既存の構成とが、VPLMNとHPLMNとで互いに異なる場合の例を示している。すなわち、図9において、VPLMNにおけるNFサービスからHPLMNにおけるNFに要求が送信されるステップa0からステップa8のシーケンスと、VPLMNにおけるNFからHPLMNにおけるNFサービスに要求が送信されるステップb1からステップb8のシーケンスとが示される。なお、NFサービスとEnvoyは、同一のポッドで動作する1つのネットワークノードであってもよい。また、3gppGWとEnvoyは同一のポッドで動作する1つのネットワークノードであってもよい。
 ステップa0において、VPLMNのNFサービスは、Envoy間のTLSを介してVPLMNの3gppGWにターゲットNFサービスを発見する要求を送信する。続いて、3gppGWは、HTTPヘッダに含まれていた宛先NFサービスを発見するための情報をGETクエリストリングに変形する。ステップa1において、VPLMNの3gppGWは、Envoyと、VPLMNのNRFと、VPLMN及びHPLMNのSEPPとを介して、HPLMNのNRFに要求を送信する。続いて、ステップa2において、HPLMNのNRFは、ターゲットNFの実際のFQDNをHPLMNのSEPPに送信する。続いて、ステップa3において、HPLMNのSEPPは、ターゲットNFの隠ぺいされたFQDNをVPLMNのSEPPに送信する。続いて、ステップa4において、VPLMNのSEPPは、伸長されたFQDNをVPLMNのNRFを介してVPLMNの3gppGWに送信する。
 ステップa5において、VPLMNの3gppGWは、EnvoyとSEPP間のTLSを介して伸長されたFQDNでVPLMNのSEPPに要求を送信する。続いて、ステップa6において、VPLMNのSEPPは隠ぺいされたFQDNでHPLMNのSEPPに要求を送信する。続いて、ステップa8において、HPLMNのSEPPは、SEPPとNF間のTLSを介して、実際のFQDNでHPLMNのNFに要求を送信する。
 一方、ステップb1において、VPLMNのNFは、ターゲットNFサービスを発見する要求をVPLMNのNRFに送信する。VPLMNのNRFは、VPLMN及びHPLMNのSEPPを介してHPLMNのNRFに要求を送信する。続いて、ステップb2において、HPLMNのNRFは、ターゲットNFサービスの実際のFQDNをHPLMNのSEPPに送信する。続いて、ステップb3において、HPLMNのSEPPは、ターゲットNFサービスの隠ぺいされたFQDNをVPLMNのSEPPに送信する。続いて、ステップb4において、VPLMNのSEPPは、伸長されたFQDNをVPLMNのNRFを介してVPLMNの3gppGWに送信する。
 ステップb5において、VPLMNのNFは、NFとSEPP間のTLSを介して伸長されたFQDNでVPLMNのSEPPに要求を送信する。続いて、ステップb6において、VPLMNのSEPPは隠ぺいされたFQDNでHPLMNのSEPPに要求を送信する。続いて、ステップb7において、HPLMNのSEPPは、SEPPとEnvoy間のTLSを介して、実際のFQDNでHPLMNの3gppGWに要求を送信する。続いて、ステップb8において、HPLMNの3gppGWは、Envoy間のTLSを介して実際のFQDNでHPLMNのNFサービスに要求を送信する。
 図10は、ローミング環境下の認証手順の例を説明するための図である。図10は、ローミング環境下において、認証を行うためのオープンスタンダードであるOAuth2.0を実行する既存の構成を示している。図10において、ステップ1のトークン要求を送信するNFがVPLMNに存在し、ステップ3の要求を受信するNFがHPLMNに存在するものとする。
 ステップ1において、VPLMNのNFは、トークン要求をVPLMNのNRFに送信する。続いて、VPLMNのNRFは、トークン要求をVPLMNのSEPPに送信する。続いて、VPLMNのSEPPは、HPLMNのSEPPにトークン要求を送信する。続いて、HPLMNのSEPPは、HPLMNのNRFにトークン要求を送信する。続いて、ステップ2において、HPLMNのNRFは、トークンをHPLMN及びVPLMNのSEPPを介してVPLMNのNRFに送信する。VPLMNのNRFは、VPLMNのNFにトークンを送信する。続いて、ステップ3において、VPLMNのNFは、当該トークンを伴う要求をVPLMN及びHPLMNのSEPPを介してHPLMNのNFに送信する。
 図11は、本発明の実施の形態におけるローミング環境下の認証手順の例(1)を説明するための図である。図11は、ローミング環境下において、OAuth2.0による認証に相当する新たな認証をVPLMNのNFサービスから実行する構成を示している。VPLMNのNFサービスは、Envoyを介してHPLMNのNFサービスに要求を送信する。ここで、VPLMN及びHPLMNに配置されるEnvoyは、IstioPilotからサービスロール及びサービスロールバインディングを取得している。サービスロールを使用することにより、図10に示されるOAuthにおけるトークンの機能を実現することができる。なお、NFサービスとEnvoyは、同一のポッドで動作する1つのネットワークノードであってもよい。また、3gppGWとEnvoyは同一のポッドで動作する1つのネットワークノードであってもよい。
 ステップ0において、VPLMNのNFサービスは、Envoyを介して要求をVPLMNの3gppGWに送信する。VPLMNの3gppGWは、受信した要求に基づいて、自装置がコンシューマNFであるかのようにトークン要求を作成する。続いて、ステップ1において、VPLMNの3gppGWは、Envoyを介してトークン要求をVPLMNのNRFに送信する。続いて、VPLMNのNRFは、VPLMN及びHPLMNのSEPPを介してトークン要求をHPLMNのNRFに送信する。
 ステップ2において、HPLMNのNRFは、予め設定されたHPLMNの3gppGWにアクセスするためのトークンをHPLMNのSEPPに送信する。続いて、HPLMNのSEPPは、VPLMNのSEPPにトークンを送信する。続いて、VPLMNのSEPPは、VPLMNのNRFにトークンを送信する。VPLMNのNRFは、Envoyを介してVPLMNの3gppGWにトークンを送信する。ステップ3において、VPLMNの3gppGWは、作成した当該トークンを伴う要求をEnvoy及びSEPPを介してHPLMNの3gppGWに送信する。HPLMNの3gppGWは、トークンを処分する。続いて、ステップ4において、HPLMNの3gppGWは、受信した要求をEnvoyを介してHPLMNのNFサービスに送信する。
 図12は、本発明の実施の形態におけるローミング環境下の認証手順の例(2)を説明するための図である。図12は、ローミング環境下において、OAuth2.0による認証に相当する新たな認証をVPLMNのNFサービスから実行する構成と、OAuth2.0を実行する既存の構成とが、VPLMNとHPLMNとで互いに異なる場合の例を示している。すなわち、図12において、VPLMNにおけるNFサービスからHPLMNにおけるNFに要求が送信されるステップa0からステップa3のシーケンスと、VPLMNにおけるNFからHPLMNにおけるNFサービスに要求が送信されるステップb1からステップb4のシーケンスとが示される。なお、NFサービスとEnvoyは、同一のポッドで動作する1つのネットワークノードであってもよい。また、3gppGWとEnvoyは同一のポッドで動作する1つのネットワークノードであってもよい。
 ステップa0において、VPLMNのNFサービスは、Envoyを介して要求をVPLMNの3gppGWに送信する。VPLMNの3gppGWは、受信した要求に基づいて、自装置がコンシューマNFであるかのようにトークン要求を作成する。続いて、ステップa1において、VPLMNの3gppGWは、Envoyを介してトークン要求をVPLMNのNRFに送信する。続いて、VPLMNのNRFは、VPLMN及びHPLMNのSEPPを介してトークン要求をHPLMNのNRFに送信する。
 ステップa2において、HPLMNのNRFは、トークンをHPLMN及びVPLMNのSEPPを介してVPLMNのNRFに送信する。VPLMNのNRFは、Envoyを介してVPLMNの3gppGWにトークンを送信する。続いて、ステップa3において、VPLMNの3gppGWは、当該トークンを伴う要求をEnvoy、VPLMNのSEPP及びHPLMNのSEPPを介してHPLMNのNFに送信する。
 一方、ステップb1において、VPLMNのNFは、トークン要求をVPLMNのNRFに送信する。続いて、VPLMNのNRFは、トークン要求をVPLMNのSEPPに送信する。続いて、VPLMNのSEPPは、HPLMNのSEPPにトークン要求を送信する。続いて、HPLMNのSEPPは、HPLMNのNRFにトークン要求を送信する。続いて、ステップb2において、HPLMNのNRFは、予め設定された3gppGWにアクセスするためのトークンをHPLMN及びVPLMNのSEPPを介してVPLMNのNRFに送信する。VPLMNのNRFは、VPLMNのNFにトークンを送信する。続いて、ステップb3において、VPLMNのNFは、当該トークンを伴う要求をVPLMN及びHPLMNのSEPPと、Envoyとを介してHPLMNの3gppGWに送信する。HPLMNの3gppGWは、受信したトークンを処分する。続いて、ステップb4において、HPLMNの3gppGWは、受信した要求をEnvoyを介してHPLMNのNFサービスに送信する。
 上述の実施例により、ネットワークノード10であるNFサービスは、相互TLSをEnvoy間で確立してセキュアな通信を他のNFサービスと行うことができる。また、ネットワークノード10であるNFサービスは、認証をIstioPilotから提供されるサービスロール及びサービスロールバインディングによってEnvoyを介して実行することができる。また、また、ネットワークノード10であるNFサービス又はNFは、VPLMNとHPLMNとでNFによるネットワーク構成とEnvoyがプロキシとなるNFサービスによるネットワーク構成とが混在しても、TLSを確立してセキュアな通信を行うこと及び認証をIstioPilotから提供されるサービスロール及びサービスロールバインディングによってEnvoyを介して実行することができる。
 すなわち、ネットワークノード間でセキュリティが向上された通信を実行することができる。
 (装置構成)
 次に、これまでに説明した処理及び動作を実施するネットワークノード10及びユーザ装置20の機能構成例を説明する。ネットワークノード10及びユーザ装置20は上述した実施例を実施する機能を含む。ただし、ネットワークノード10及びユーザ装置20はそれぞれ、実施例の中の一部の機能のみを備えることとしてもよい。
 <ネットワークノード10>
 図13は、ネットワークノード10の機能構成の一例を示す図である。図13に示されるように、ネットワークノード10は、送信部110と、受信部120と、設定部130と、制御部140とを有する。図13に示される機能構成は一例に過ぎない。本発明の実施の形態に係る動作を実施できるのであれば、機能区分及び機能部の名称はどのようなものでもよい。また、システムアーキテクチャ上で複数の異なる機能を有するネットワークノード10は、機能ごとに分離された複数のネットワークノード10から構成されてもよい。
 送信部110は、ユーザ装置20又は他のネットワークノード10に送信する信号を生成し、当該信号を有線又は無線で送信する機能を含む。受信部120は、ユーザ装置20又は他のネットワークノード10から送信された各種の信号を受信し、受信した信号から、例えばより上位のレイヤの情報を取得する機能を含む。
 設定部130は、予め設定される設定情報、及び、ユーザ装置20に送信する各種の設定情報を記憶装置に格納し、必要に応じて記憶装置から読み出す。設定情報の内容は、例えば、NFサービス間のセキュリティ又は認証に係る情報等である。
 制御部140は、実施例において説明したように、NFサービス間のセキュリティ又は認証に係る処理を行う。また、制御部140は、ユーザ装置20との通信に係る処理を行う。制御部140における信号送信に関する機能部を送信部110に含め、制御部140における信号受信に関する機能部を受信部120に含めてもよい。
 <ユーザ装置20>
 図14は、ユーザ装置20の機能構成の一例を示す図である。図14に示されるように、ユーザ装置20は、送信部210と、受信部220と、設定部230と、制御部240とを有する。図14に示される機能構成は一例に過ぎない。本発明の実施の形態に係る動作を実施できるのであれば、機能区分及び機能部の名称はどのようなものでもよい。
 送信部210は、送信データから送信信号を作成し、当該送信信号を無線で送信する。受信部220は、各種の信号を無線受信し、受信した物理レイヤの信号からより上位のレイヤの信号を取得する。また、受信部220は、ネットワークノード10から送信されるNR-PSS、NR-SSS、NR-PBCH、DL/UL制御信号又は参照信号等を受信する機能を有する。
 設定部230は、受信部220によりネットワークノード10から受信した各種の設定情報を記憶装置に格納し、必要に応じて記憶装置から読み出す。また、設定部230は、予め設定される設定情報も格納する。設定情報の内容は、例えば、接続が許可されるネットワークスライスに係る情報等である。
 制御部240は、実施例において説明したように、ネットワーク及びネットワークスライスへの接続制御に係る処理を行う。制御部240における信号送信に関する機能部を送信部210に含め、制御部240における信号受信に関する機能部を受信部220に含めてもよい。
 (ハードウェア構成)
 上記実施形態の説明に用いたブロック図(図13及び図14)は、機能単位のブロックを示している。これらの機能ブロック(構成部)は、ハードウェア及びソフトウェアの少なくとも一方の任意の組み合わせによって実現される。また、各機能ブロックの実現方法は特に限定されない。すなわち、各機能ブロックは、物理的又は論理的に結合した1つの装置を用いて実現されてもよいし、物理的又は論理的に分離した2つ以上の装置を直接的又は間接的に(例えば、有線、無線などを用いて)接続し、これら複数の装置を用いて実現されてもよい。機能ブロックは、上記1つの装置又は上記複数の装置にソフトウェアを組み合わせて実現されてもよい。
 機能には、判断、決定、判定、計算、算出、処理、導出、調査、探索、確認、受信、送信、出力、アクセス、解決、選択、選定、確立、比較、想定、期待、見做し、報知(broadcasting)、通知(notifying)、通信(communicating)、転送(forwarding)、構成(configuring)、再構成(reconfiguring)、割り当て(allocating、mapping)、割り振り(assigning)などがあるが、これらに限られない。たとえば、送信を機能させる機能ブロック(構成部)は、送信部(transmitting unit)や送信機(transmitter)と呼称される。いずれも、上述したとおり、実現方法は特に限定されない。
 例えば、本開示の一実施の形態におけるネットワークノード10、ユーザ装置20等は、本開示の無線通信方法の処理を行うコンピュータとして機能してもよい。図15は、本開示の一実施の形態に係るネットワークノード10及びユーザ装置20のハードウェア構成の一例を示す図である。上述のネットワークノード10及びユーザ装置20は、物理的には、プロセッサ1001、記憶装置1002、補助記憶装置1003、通信装置1004、入力装置1005、出力装置1006、バス1007などを含むコンピュータ装置として構成されてもよい。
 なお、以下の説明では、「装置」という文言は、回路、デバイス、ユニット等に読み替えることができる。ネットワークノード10及びユーザ装置20のハードウェア構成は、図に示した各装置を1つ又は複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。
 ネットワークノード10及びユーザ装置20における各機能は、プロセッサ1001、記憶装置1002等のハードウェア上に所定のソフトウェア(プログラム)を読み込ませることによって、プロセッサ1001が演算を行い、通信装置1004による通信を制御したり、記憶装置1002及び補助記憶装置1003におけるデータの読み出し及び書き込みの少なくとも一方を制御したりすることによって実現される。
 プロセッサ1001は、例えば、オペレーティングシステムを動作させてコンピュータ全体を制御する。プロセッサ1001は、周辺装置とのインタフェース、制御装置、演算装置、レジスタ等を含む中央処理装置(CPU:Central Processing Unit)で構成されてもよい。例えば、上述の制御部140、制御部240等は、プロセッサ1001によって実現されてもよい。
 また、プロセッサ1001は、プログラム(プログラムコード)、ソフトウェアモジュール又はデータ等を、補助記憶装置1003及び通信装置1004の少なくとも一方から記憶装置1002に読み出し、これらに従って各種の処理を実行する。プログラムとしては、上述の実施の形態において説明した動作の少なくとも一部をコンピュータに実行させるプログラムが用いられる。例えば、図13に示したネットワークノード10の制御部140は、記憶装置1002に格納され、プロセッサ1001で動作する制御プログラムによって実現されてもよい。また、例えば、図14に示したユーザ装置20の制御部240は、記憶装置1002に格納され、プロセッサ1001で動作する制御プログラムによって実現されてもよい。上述の各種処理は、1つのプロセッサ1001によって実行される旨を説明してきたが、2以上のプロセッサ1001により同時又は逐次に実行されてもよい。プロセッサ1001は、1以上のチップによって実装されてもよい。なお、プログラムは、電気通信回線を介してネットワークから送信されてもよい。
 記憶装置1002は、コンピュータ読み取り可能な記録媒体であり、例えば、ROM(Read Only Memory)、EPROM(Erasable Programmable ROM)、EEPROM(Electrically Erasable Programmable ROM)、RAM(Random Access Memory)等の少なくとも1つによって構成されてもよい。記憶装置1002は、レジスタ、キャッシュ、メインメモリ(主記憶装置)等と呼ばれてもよい。記憶装置1002は、本開示の一実施の形態に係る通信方法を実施するために実行可能なプログラム(プログラムコード)、ソフトウェアモジュール等を保存することができる。
 補助記憶装置1003は、コンピュータ読み取り可能な記録媒体であり、例えば、CD-ROM(Compact Disc ROM)等の光ディスク、ハードディスクドライブ、フレキシブルディスク、光磁気ディスク(例えば、コンパクトディスク、デジタル多用途ディスク、Blu-ray(登録商標)ディスク)、スマートカード、フラッシュメモリ(例えば、カード、スティック、キードライブ)、フロッピー(登録商標)ディスク、磁気ストリップ等の少なくとも1つによって構成されてもよい。上述の記憶媒体は、例えば、記憶装置1002及び補助記憶装置1003の少なくとも一方を含むデータベース、サーバその他の適切な媒体であってもよい。
 通信装置1004は、有線ネットワーク及び無線ネットワークの少なくとも一方を介してコンピュータ間の通信を行うためのハードウェア(送受信デバイス)であり、例えばネットワークデバイス、ネットワークコントローラ、ネットワークカード、通信モジュールなどともいう。通信装置1004は、例えば周波数分割複信(FDD:Frequency Division Duplex)及び時分割複信(TDD:Time Division Duplex)の少なくとも一方を実現するために、高周波スイッチ、デュプレクサ、フィルタ、周波数シンセサイザなどを含んで構成されてもよい。例えば、送受信アンテナ、アンプ部、送受信部、伝送路インタフェース等は、通信装置1004によって実現されてもよい。送受信部は、送信部と受信部とで、物理的に、または論理的に分離された実装がなされてもよい。
 入力装置1005は、外部からの入力を受け付ける入力デバイス(例えば、キーボード、マウス、マイクロフォン、スイッチ、ボタン、センサ等)である。出力装置1006は、外部への出力を実施する出力デバイス(例えば、ディスプレイ、スピーカー、LEDランプ等)である。なお、入力装置1005及び出力装置1006は、一体となった構成(例えば、タッチパネル)であってもよい。
 また、プロセッサ1001及び記憶装置1002等の各装置は、情報を通信するためのバス1007によって接続される。バス1007は、単一のバスを用いて構成されてもよいし、装置間ごとに異なるバスを用いて構成されてもよい。
 また、ネットワークノード10及びユーザ装置20は、マイクロプロセッサ、デジタル信号プロセッサ(DSP:Digital Signal Processor)、ASIC(Application Specific Integrated Circuit)、PLD(Programmable Logic Device)、FPGA(Field Programmable Gate Array)等のハードウェアを含んで構成されてもよく、当該ハードウェアにより、各機能ブロックの一部又は全てが実現されてもよい。例えば、プロセッサ1001は、これらのハードウェアの少なくとも1つを用いて実装されてもよい。
 (実施の形態のまとめ)
 以上、説明したように、本発明の実施の形態によれば、ネットワークノード間における通信のセキュリティを向上させるための情報を管理ノードから受信する受信部と、前記セキュリティを向上させるための情報に基づいて、第1のPLMN(Public Land Mobile Network)に配置される第1のネットワークノードから送信される要求を受信して、前記要求を第2のPLMNに配置される第2のネットワークノードに送信する制御部とを有するネットワークノードが提供される。
 上記の構成により、ネットワークノード10であるNFサービスは、相互TLSをEnvoy間で確立してセキュアな通信を他のNFサービスと行うことができる。また、ネットワークノード10であるNFサービスは、認証をIstioPilotから提供されるサービスロール及びサービスロールバインディングによってEnvoyを介して実行することができる。また、また、ネットワークノード10であるNFサービス又はNFは、VPLMNとHPLMNとでNFによるネットワーク構成とEnvoyがプロキシとなるNFサービスによるネットワーク構成とが混在しても、TLSを確立してセキュアな通信を行うこと及び認証をIstioPilotから提供されるサービスロール及びサービスロールバインディングによってEnvoyを介して実行することができる。すなわち、ネットワークノード間でセキュリティが向上された通信を実行することができる。
 前記第1のPLMNはVPLMN(Visited PLMN)であり、前記第2のPLMNはHPLMN(Home PLMN)であり、前記第1のネットワークノード及び前記第2のネットワークノードは、少なくとも一つがNF(Network Function)サービスであってもよい。当該構成により、ローミング環境において、ネットワークノード間でセキュリティが向上された通信を実行することができる。
 前記第1のネットワークノードがNFサービスであって前記第2のネットワークノードNFであるか、又は前記第1のネットワークノードがNFであって前記第2のネットワークノードがNFサービスであってもよい。当該構成により、ローミング環境において、ネットワークの構成がNFとNFサービスとで異なる場合であっても、ネットワークノード間でセキュリティが向上された通信を実行することができる。
 前記セキュリティを向上させるための情報は、TLS(Transport Layer Security)ポリシであって、前記制御部は、前記第1のネットワークノードと第1の相互TLSを確立し、前記第1のPLMNにおけるSEPP(Security Edge Protection Proxy)と第2の相互TLSを確立し、前記確立された第1の相互TLSを介して前記要求を受信し、前記確立された第2の相互TLSを介して前記要求を送信してもよい。当該構成により、ローミング環境において、ネットワークノード間で相互TLSによりセキュリティが向上された通信を実行することができる。
 前記セキュリティを向上させるための情報は、サービスロール及びサービスロールバインディングであって、前記制御部は、前記サービスロール及びサービスロールバインディングに基づいて、前記第2のネットワークノードに前記要求を送信するためのトークンを取得し使用する機能を実現してもよい。当該構成により、トークンの機能を実現するEnvoyを介して、ネットワークノード間でセキュリティが向上された通信を実行することができる。
 (実施形態の補足)
 以上、本発明の実施の形態を説明してきたが、開示される発明はそのような実施形態に限定されず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。発明の理解を促すため具体的な数値例を用いて説明がなされたが、特に断りのない限り、それらの数値は単なる一例に過ぎず適切な如何なる値が使用されてもよい。上記の説明における項目の区分けは本発明に本質的ではなく、2以上の項目に記載された事項が必要に応じて組み合わせて使用されてよいし、ある項目に記載された事項が、別の項目に記載された事項に(矛盾しない限り)適用されてよい。機能ブロック図における機能部又は処理部の境界は必ずしも物理的な部品の境界に対応するとは限らない。複数の機能部の動作が物理的には1つの部品で行われてもよいし、あるいは1つの機能部の動作が物理的には複数の部品により行われてもよい。実施の形態で述べた処理手順については、矛盾の無い限り処理の順序を入れ替えてもよい。処理説明の便宜上、ネットワークノード10及びユーザ装置20は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウェアで又はそれらの組み合わせで実現されてもよい。本発明の実施の形態に従ってネットワークノード10が有するプロセッサにより動作するソフトウェア及び本発明の実施の形態に従ってユーザ装置20が有するプロセッサにより動作するソフトウェアはそれぞれ、ランダムアクセスメモリ(RAM)、フラッシュメモリ、読み取り専用メモリ(ROM)、EPROM、EEPROM、レジスタ、ハードディスク(HDD)、リムーバブルディスク、CD-ROM、データベース、サーバその他の適切な如何なる記憶媒体に保存されてもよい。
 また、情報の通知は、本開示で説明した態様/実施形態に限られず、他の方法を用いて行われてもよい。例えば、情報の通知は、物理レイヤシグナリング(例えば、DCI(Downlink Control Information)、UCI(Uplink Control Information))、上位レイヤシグナリング(例えば、RRC(Radio Resource Control)シグナリング、MAC(Medium Access Control)シグナリング、報知情報(MIB(Master Information Block)、SIB(System Information Block))、その他の信号又はこれらの組み合わせによって実施されてもよい。また、RRCシグナリングは、RRCメッセージと呼ばれてもよく、例えば、RRC接続セットアップ(RRC Connection Setup)メッセージ、RRC接続再構成(RRC Connection Reconfiguration)メッセージ等であってもよい。
 本開示において説明した各態様/実施形態は、LTE(Long Term Evolution)、LTE-A(LTE-Advanced)、SUPER 3G、IMT-Advanced、4G(4th generation mobile communication system)、5G(5th generation mobile communication system)、FRA(Future Radio Access)、NR(new Radio)、W-CDMA(登録商標)、GSM(登録商標)、CDMA2000、UMB(Ultra Mobile Broadband)、IEEE 802.11(Wi-Fi(登録商標))、IEEE 802.16(WiMAX(登録商標))、IEEE 802.20、UWB(Ultra-WideBand)、Bluetooth(登録商標)、その他の適切なシステムを利用するシステム及びこれらに基づいて拡張された次世代システムの少なくとも一つに適用されてもよい。また、複数のシステムが組み合わされて(例えば、LTE及びLTE-Aの少なくとも一方と5Gとの組み合わせ等)適用されてもよい。
 本明細書で説明した各態様/実施形態の処理手順、シーケンス、フローチャート等は、矛盾の無い限り、順序を入れ替えてもよい。例えば、本開示において説明した方法については、例示的な順序を用いて様々なステップの要素を提示しており、提示した特定の順序に限定されない。
 本明細書においてネットワークノード10によって行われるとした特定動作は、場合によってはその上位ノード(upper node)によって行われることもある。ネットワークノード10を有する1つ又は複数のネットワークノード(network nodes)からなるネットワークにおいて、ユーザ装置20との通信のために行われる様々な動作は、ネットワークノード10及びネットワークノード10以外の他のネットワークノード(例えば、MME又はS-GW等が考えられるが、これらに限られない)の少なくとも1つによって行われ得ることは明らかである。上記においてネットワークノード10以外の他のネットワークノードが1つである場合を例示したが、他のネットワークノードは、複数の他のネットワークノードの組み合わせ(例えば、MME及びS-GW)であってもよい。
 本開示において説明した情報又は信号等は、上位レイヤ(又は下位レイヤ)から下位レイヤ(又は上位レイヤ)へ出力され得る。複数のネットワークノードを介して入出力されてもよい。
 入出力された情報等は特定の場所(例えば、メモリ)に保存されてもよいし、管理テーブルを用いて管理してもよい。入出力される情報等は、上書き、更新、又は追記され得る。出力された情報等は削除されてもよい。入力された情報等は他の装置へ送信されてもよい。
 本開示における判定は、1ビットで表される値(0か1か)によって行われてもよいし、真偽値(Boolean:true又はfalse)によって行われてもよいし、数値の比較(例えば、所定の値との比較)によって行われてもよい。
 ソフトウェアは、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語と呼ばれるか、他の名称で呼ばれるかを問わず、命令、命令セット、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行可能ファイル、実行スレッド、手順、機能などを意味するよう広く解釈されるべきである。
 また、ソフトウェア、命令、情報などは、伝送媒体を介して送受信されてもよい。例えば、ソフトウェアが、有線技術(同軸ケーブル、光ファイバケーブル、ツイストペア、デジタル加入者回線(DSL:Digital Subscriber Line)など)及び無線技術(赤外線、マイクロ波など)の少なくとも一方を使用してウェブサイト、サーバ、又は他のリモートソースから送信される場合、これらの有線技術及び無線技術の少なくとも一方は、伝送媒体の定義内に含まれる。
 本開示において説明した情報、信号などは、様々な異なる技術のいずれかを使用して表されてもよい。例えば、上記の説明全体に渡って言及され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、チップなどは、電圧、電流、電磁波、磁界若しくは磁性粒子、光場若しくは光子、又はこれらの任意の組み合わせによって表されてもよい。
 なお、本開示において説明した用語及び本開示の理解に必要な用語については、同一の又は類似する意味を有する用語と置き換えてもよい。例えば、チャネル及びシンボルの少なくとも一方は信号(シグナリング)であってもよい。また、信号はメッセージであってもよい。また、コンポーネントキャリア(CC:Component Carrier)は、キャリア周波数、セル、周波数キャリアなどと呼ばれてもよい。
 本開示において使用する「システム」及び「ネットワーク」という用語は、互換的に使用される。
 また、本開示において説明した情報、パラメータなどは、絶対値を用いて表されてもよいし、所定の値からの相対値を用いて表されてもよいし、対応する別の情報を用いて表されてもよい。例えば、無線リソースはインデックスによって指示されるものであってもよい。
 上述したパラメータに使用する名称はいかなる点においても限定的な名称ではない。さらに、これらのパラメータを使用する数式等は、本開示で明示的に開示したものと異なる場合もある。様々なチャネル(例えば、PUCCH、PDCCHなど)及び情報要素は、あらゆる好適な名称によって識別できるので、これらの様々なチャネル及び情報要素に割り当てている様々な名称は、いかなる点においても限定的な名称ではない。
 本開示においては、「基地局(BS:Base Station)」、「無線基地局」、「基地局装置」、「固定局(fixed station)」、「NodeB」、「eNodeB(eNB)」、「gNodeB(gNB)」、「アクセスポイント(access point)」、「送信ポイント(transmission point)」、「受信ポイント(reception point)、「送受信ポイント(transmission/reception point)」、「セル」、「セクタ」、「セルグループ」、「キャリア」、「コンポーネントキャリア」などの用語は、互換的に使用され得る。基地局は、マクロセル、スモールセル、フェムトセル、ピコセルなどの用語で呼ばれる場合もある。
 基地局は、1つ又は複数(例えば、3つ)のセルを収容することができる。基地局が複数のセルを収容する場合、基地局のカバレッジエリア全体は複数のより小さいエリアに区分でき、各々のより小さいエリアは、基地局サブシステム(例えば、屋内用の小型基地局(RRH:Remote Radio Head)によって通信サービスを提供することもできる。「セル」又は「セクタ」という用語は、このカバレッジにおいて通信サービスを行う基地局及び基地局サブシステムの少なくとも一方のカバレッジエリアの一部又は全体を指す。
 本開示においては、「移動局(MS:Mobile Station)」、「ユーザ端末(user terminal)」、「ユーザ装置(UE:User Equipment)」、「端末」などの用語は、互換的に使用され得る。
 移動局は、当業者によって、加入者局、モバイルユニット、加入者ユニット、ワイヤレスユニット、リモートユニット、モバイルデバイス、ワイヤレスデバイス、ワイヤレス通信デバイス、リモートデバイス、モバイル加入者局、アクセス端末、モバイル端末、ワイヤレス端末、リモート端末、ハンドセット、ユーザエージェント、モバイルクライアント、クライアント、又はいくつかの他の適切な用語で呼ばれる場合もある。
 基地局及び移動局の少なくとも一方は、送信装置、受信装置、通信装置などと呼ばれてもよい。なお、基地局及び移動局の少なくとも一方は、移動体に搭載されたデバイス、移動体自体などであってもよい。当該移動体は、乗り物(例えば、車、飛行機など)であってもよいし、無人で動く移動体(例えば、ドローン、自動運転車など)であってもよいし、ロボット(有人型又は無人型)であってもよい。なお、基地局及び移動局の少なくとも一方は、必ずしも通信動作時に移動しない装置も含む。例えば、基地局及び移動局の少なくとも一方は、センサなどのIoT(Internet of Things)機器であってもよい。
 また、本開示における基地局は、ユーザ端末で読み替えてもよい。例えば、基地局及びユーザ端末間の通信を、複数のユーザ装置20間の通信(例えば、D2D(Device-to-Device)、V2X(Vehicle-to-Everything)などと呼ばれてもよい)に置き換えた構成について、本開示の各態様/実施形態を適用してもよい。この場合、上述のネットワークノード10が有する機能をユーザ装置20が有する構成としてもよい。また、「上り」及び「下り」などの文言は、端末間通信に対応する文言(例えば、「サイド(side)」)で読み替えられてもよい。例えば、上りチャネル、下りチャネルなどは、サイドチャネルで読み替えられてもよい。
 同様に、本開示におけるユーザ端末は、基地局で読み替えてもよい。この場合、上述のユーザ端末が有する機能を基地局が有する構成としてもよい。
 本開示で使用する「判断(determining)」、「決定(determining)」という用語は、多種多様な動作を包含する場合がある。「判断」、「決定」は、例えば、判定(judging)、計算(calculating)、算出(computing)、処理(processing)、導出(deriving)、調査(investigating)、探索(looking up、search、inquiry)(例えば、テーブル、データベース又は別のデータ構造での探索)、確認(ascertaining)した事を「判断」「決定」したとみなす事などを含み得る。また、「判断」、「決定」は、受信(receiving)(例えば、情報を受信すること)、送信(transmitting)(例えば、情報を送信すること)、入力(input)、出力(output)、アクセス(accessing)(例えば、メモリ中のデータにアクセスすること)した事を「判断」「決定」したとみなす事などを含み得る。また、「判断」、「決定」は、解決(resolving)、選択(selecting)、選定(choosing)、確立(establishing)、比較(comparing)などした事を「判断」「決定」したとみなす事を含み得る。つまり、「判断」「決定」は、何らかの動作を「判断」「決定」したとみなす事を含み得る。また、「判断(決定)」は、「想定する(assuming)」、「期待する(expecting)」、「みなす(considering)」などで読み替えられてもよい。
 「接続された(connected)」、「結合された(coupled)」という用語、又はこれらのあらゆる変形は、2又はそれ以上の要素間の直接的又は間接的なあらゆる接続又は結合を意味し、互いに「接続」又は「結合」された2つの要素間に1又はそれ以上の中間要素が存在することを含むことができる。要素間の結合又は接続は、物理的なものであっても、論理的なものであっても、或いはこれらの組み合わせであってもよい。例えば、「接続」は「アクセス」で読み替えられてもよい。本開示で使用する場合、2つの要素は、1又はそれ以上の電線、ケーブル及びプリント電気接続の少なくとも一つを用いて、並びにいくつかの非限定的かつ非包括的な例として、無線周波数領域、マイクロ波領域及び光(可視及び不可視の両方)領域の波長を有する電磁エネルギーなどを用いて、互いに「接続」又は「結合」されると考えることができる。
 参照信号は、RS(Reference Signal)と略称することもでき、適用される標準によってパイロット(Pilot)と呼ばれてもよい。
 本開示において使用する「に基づいて」という記載は、別段に明記されていない限り、「のみに基づいて」を意味しない。言い換えれば、「に基づいて」という記載は、「のみに基づいて」と「に少なくとも基づいて」の両方を意味する。
 本開示において使用する「第1の」、「第2の」などの呼称を使用した要素へのいかなる参照も、それらの要素の量又は順序を全般的に限定しない。これらの呼称は、2つ以上の要素間を区別する便利な方法として本開示において使用され得る。したがって、第1及び第2の要素への参照は、2つの要素のみが採用され得ること、又は何らかの形で第1の要素が第2の要素に先行しなければならないことを意味しない。
 上記の各装置の構成における「手段」を、「部」、「回路」、「デバイス」等に置き換えてもよい。
 本開示において、「含む(include)」、「含んでいる(including)」及びそれらの変形が使用されている場合、これらの用語は、用語「備える(comprising)」と同様に、包括的であることが意図される。さらに、本開示において使用されている用語「又は(or)」は、排他的論理和ではないことが意図される。
 本開示において、例えば、英語でのa, an及びtheのように、翻訳により冠詞が追加された場合、本開示は、これらの冠詞の後に続く名詞が複数形であることを含んでもよい。
 本開示において、「AとBが異なる」という用語は、「AとBが互いに異なる」ことを意味してもよい。なお、当該用語は、「AとBがそれぞれCと異なる」ことを意味してもよい。「離れる」、「結合される」などの用語も、「異なる」と同様に解釈されてもよい。
 本開示において説明した各態様/実施形態は単独で用いてもよいし、組み合わせて用いてもよいし、実行に伴って切り替えて用いてもよい。また、所定の情報の通知(例えば、「Xであること」の通知)は、明示的に行うものに限られず、暗黙的(例えば、当該所定の情報の通知を行わない)ことによって行われてもよい。
 なお、本開示におけるNF、NFサービス、NRF、SEPP、3gppGW、IstioPilot又はEnvoy及びそれらの組み合わせは、ネットワークノードの一例である。IstioPilotは、管理ノードの一例である。
 以上、本開示について詳細に説明したが、当業者にとっては、本開示が本開示中に説明した実施形態に限定されるものではないということは明らかである。本開示は、請求の範囲の記載により定まる本開示の趣旨及び範囲を逸脱することなく修正及び変更態様として実施することができる。したがって、本開示の記載は、例示説明を目的とするものであり、本開示に対して何ら制限的な意味を有するものではない。
 本国際特許出願は2019年4月11日に出願した日本国特許出願第2019-075884号に基づきその優先権を主張するものであり、日本国特許出願第2019-075884号の全内容を本願に援用する。
10    ネットワークノード
110   送信部
120   受信部
130   設定部
140   制御部
20    ユーザ装置
210   送信部
220   受信部
230   設定部
240   制御部
1001  プロセッサ
1002  記憶装置
1003  補助記憶装置
1004  通信装置
1005  入力装置
1006  出力装置

Claims (5)

  1.  ネットワークノード間における通信のセキュリティを向上させるための情報を管理ノードから受信する受信部と、
     前記セキュリティを向上させるための情報に基づいて、第1のPLMN(Public Land Mobile Network)に配置される第1のネットワークノードから送信される要求を受信して、前記要求を第2のPLMNに配置される第2のネットワークノードに送信する制御部とを有するネットワークノード。
  2.  前記第1のPLMNはVPLMN(Visited PLMN)であり、前記第2のPLMNはHPLMN(Home PLMN)であり、前記第1のネットワークノード及び前記第2のネットワークノードは、少なくとも一つがNF(Network Function)サービスである請求項1記載のネットワークノード。
  3.  前記第1のネットワークノードがNFサービスであって前記第2のネットワークノードNFであるか、又は前記第1のネットワークノードがNFであって前記第2のネットワークノードがNFサービスである請求項2記載のネットワークノード。
  4.  前記セキュリティを向上させるための情報は、TLS(Transport Layer Security)ポリシであって、
     前記制御部は、前記第1のネットワークノードと第1の相互TLSを確立し、前記第1のPLMNにおけるSEPP(Security Edge Protection Proxy)と第2の相互TLSを確立し、前記確立された第1の相互TLSを介して前記要求を受信し、前記確立された第2の相互TLSを介して前記要求を送信する請求項2記載のネットワークノード。
  5.  前記セキュリティを向上させるための情報は、サービスロール及びサービスロールバインディングであって、
     前記制御部は、前記サービスロール及びサービスロールバインディングに基づいて、前記第2のネットワークノードに前記要求を送信するためのトークンを取得し使用する機能を実現する請求項1記載のネットワークノード。
PCT/JP2020/004063 2019-04-11 2020-02-04 ネットワークノード WO2020208913A1 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2021513180A JP7412419B2 (ja) 2019-04-11 2020-02-04 ネットワークノード
CN202080024688.0A CN113994625A (zh) 2019-04-11 2020-02-04 网络节点
US17/601,246 US12075251B2 (en) 2019-04-11 2020-02-04 Network node
EP20787473.6A EP3955515A4 (en) 2019-04-11 2020-02-04 NETWORK NODE

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2019075884 2019-04-11
JP2019-075884 2019-04-11

Publications (1)

Publication Number Publication Date
WO2020208913A1 true WO2020208913A1 (ja) 2020-10-15

Family

ID=72751660

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2020/004063 WO2020208913A1 (ja) 2019-04-11 2020-02-04 ネットワークノード

Country Status (5)

Country Link
US (1) US12075251B2 (ja)
EP (1) EP3955515A4 (ja)
JP (1) JP7412419B2 (ja)
CN (1) CN113994625A (ja)
WO (1) WO2020208913A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114222327A (zh) * 2021-12-15 2022-03-22 中国电信股份有限公司 信令监测方法、系统和存储介质
WO2022191932A1 (en) * 2021-03-11 2022-09-15 Oracle International Corporation Methods, systems, and computer readable media for delegated authorization at service communication proxy (scp)
WO2022191931A1 (en) * 2021-03-11 2022-09-15 Oracle International Corporation Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp)
WO2023031037A1 (en) * 2021-09-03 2023-03-09 Telefonaktiebolaget Lm Ericsson (Publ) Network function service authorization in a wireless communication network

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114945173B (zh) * 2022-03-29 2023-05-05 广州爱浦路网络技术有限公司 跨plmn信令转发方法、电子设备及存储介质
CN117354232A (zh) * 2022-06-29 2024-01-05 中兴通讯股份有限公司 消息的路由方法及装置、系统
CN117377017A (zh) * 2023-10-16 2024-01-09 中电信数智科技有限公司 5g专网归属路由选路方法、装置、设备及存储介质

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018235708A1 (ja) * 2017-06-19 2018-12-27 株式会社Nttドコモ ユーザ装置及び移動管理ノード
WO2019065955A1 (ja) * 2017-09-29 2019-04-04 株式会社Nttドコモ セキュリティ確立方法、端末装置及びネットワーク装置
JP2019075884A (ja) 2017-10-16 2019-05-16 株式会社三井ハイテック 積層鉄心の製造方法

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2500839A4 (en) 2009-11-09 2016-11-16 Nec Corp ACCESS CONTROL SYSTEM, COMMUNICATION END, SERVER AND ACCESS CONTROL METHOD
WO2011124266A1 (en) 2010-04-09 2011-10-13 Nokia Siemens Networks Oy Establishing connectivity between a relay node and a configuration entity
EP2898746B1 (en) * 2012-09-18 2016-05-18 Telefonaktiebolaget LM Ericsson (publ) Network nodes, devices and methods therein for enabling device to device communication
JP6287401B2 (ja) 2014-03-18 2018-03-07 富士ゼロックス株式会社 中継装置、システム及びプログラム
JP2017011487A (ja) 2015-06-22 2017-01-12 富士通株式会社 情報処理システム、情報処理システムの制御プログラム及び情報処理システムの制御方法
US10334468B2 (en) * 2015-10-05 2019-06-25 Cisco Technology, Inc. Scalable control plane
CN108702620A (zh) * 2016-02-23 2018-10-23 华为技术有限公司 一种安全通信方法及核心网节点
US11468285B1 (en) * 2016-05-30 2022-10-11 Apple Inc. Analysis of objects of interest in sensor data using deep neural networks
WO2018013925A1 (en) * 2016-07-15 2018-01-18 Idac Holdings, Inc. Adaptive authorization framework for communication networks
CN109891416A (zh) 2016-10-27 2019-06-14 株式会社电装 用于认证和授权装置的系统和方法
CN109391592B (zh) * 2017-08-08 2021-12-24 华为技术有限公司 网络功能服务的发现方法及设备
CN109699031B (zh) * 2018-01-11 2020-03-20 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置
CN110035433B (zh) * 2018-01-11 2024-03-19 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置
US10645583B2 (en) * 2018-02-15 2020-05-05 Nokia Technologies Oy Security management for roaming service authorization in communication systems with service-based architecture
US10963553B2 (en) * 2018-02-15 2021-03-30 Nokia Technologies Oy Security management for service authorization in communication systems with service-based architecture
US10826946B2 (en) * 2018-02-15 2020-11-03 Nokia Technologies Oy Security management in communication systems with provisioning based mechanism to identify information elements
US10893025B2 (en) * 2018-02-15 2021-01-12 Nokia Technologies Oy Security management in communication systems with network function assisted mechanism to secure information elements
US10548004B2 (en) * 2018-02-15 2020-01-28 Nokia Technologies Oy Security management in communication systems between security edge protection proxy elements
KR102422660B1 (ko) * 2018-02-16 2022-07-20 텔레호낙티에볼라게트 엘엠 에릭슨(피유비엘) 코어 네트워크 도메인들 사이에서 송신되는 메시지의 보호
US11038923B2 (en) * 2018-02-16 2021-06-15 Nokia Technologies Oy Security management in communication systems with security-based architecture using application layer security
US20210203643A1 (en) * 2018-05-21 2021-07-01 Telefonaktiebolaget Lm Ericsson (Publ) Message Transmission between Core Network Domains
US10673618B2 (en) * 2018-06-08 2020-06-02 Cisco Technology, Inc. Provisioning network resources in a wireless network using a native blockchain platform
US10499081B1 (en) * 2018-06-19 2019-12-03 Sony Interactive Entertainment Inc. Neural network powered codec
US11582685B2 (en) * 2018-07-27 2023-02-14 Telefonaktiebolaget Lm Ericsson (Publ) Transparent network function discovery and addressing
US11050788B2 (en) * 2018-07-30 2021-06-29 Cisco Technology, Inc. SEPP registration, discovery and inter-PLMN connectivity policies
CN110830990B (zh) * 2018-08-09 2021-04-20 华为技术有限公司 一种身份信息的处理方法、装置及存储介质
WO2020069036A1 (en) * 2018-09-26 2020-04-02 Intel Corporation Edge computing deployment scenarios
WO2020167979A1 (en) * 2019-02-13 2020-08-20 Apple Inc. Design of quality report in message 3 (msg3) for release 16(rel-16) enhanced machine type communication (emtc) and narrowband internet of things (nb-iot)
US12127002B2 (en) * 2019-03-26 2024-10-22 Apple Inc. Integrity protection of uplink data
EP3886405A1 (en) 2019-04-08 2021-09-29 Telefonaktiebolaget LM Ericsson (publ) Systems and methods for handling telescopic fqdns
US10834571B1 (en) * 2019-08-02 2020-11-10 Syniverse Technologies, Llc Steering of roaming for 5G core roaming in an internet packet exchange network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2018235708A1 (ja) * 2017-06-19 2018-12-27 株式会社Nttドコモ ユーザ装置及び移動管理ノード
WO2019065955A1 (ja) * 2017-09-29 2019-04-04 株式会社Nttドコモ セキュリティ確立方法、端末装置及びネットワーク装置
JP2019075884A (ja) 2017-10-16 2019-05-16 株式会社三井ハイテック 積層鉄心の製造方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3GPP TS 23.501
See also references of EP3955515A4

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022191932A1 (en) * 2021-03-11 2022-09-15 Oracle International Corporation Methods, systems, and computer readable media for delegated authorization at service communication proxy (scp)
WO2022191931A1 (en) * 2021-03-11 2022-09-15 Oracle International Corporation Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp)
US11811747B2 (en) 2021-03-11 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for delegated authorization at service communication proxy (SCP)
WO2023031037A1 (en) * 2021-09-03 2023-03-09 Telefonaktiebolaget Lm Ericsson (Publ) Network function service authorization in a wireless communication network
CN114222327A (zh) * 2021-12-15 2022-03-22 中国电信股份有限公司 信令监测方法、系统和存储介质

Also Published As

Publication number Publication date
CN113994625A (zh) 2022-01-28
EP3955515A1 (en) 2022-02-16
US12075251B2 (en) 2024-08-27
US20220201487A1 (en) 2022-06-23
JP7412419B2 (ja) 2024-01-12
JPWO2020208913A1 (ja) 2020-10-15
EP3955515A4 (en) 2023-01-04

Similar Documents

Publication Publication Date Title
WO2020208913A1 (ja) ネットワークノード
WO2020145300A1 (ja) ユーザ装置、ネットワークノード及び通信システム
WO2020145299A1 (ja) ネットワークノード及び通知方法
JP7204403B2 (ja) ネットワークノード
WO2020145273A1 (ja) ネットワークノード及びユーザ装置
JP7169827B2 (ja) 端末及び通信方法
WO2020059149A1 (ja) ネットワークノード
WO2020217532A1 (ja) セッション管理装置、ユーザプレーン装置、及び通信方法
WO2022113370A1 (ja) ネットワークノード及び通信方法
WO2022091188A1 (ja) ネットワークノード及び通信方法
WO2022097290A1 (ja) 端末及び通信システム
WO2020255657A1 (ja) 通信装置及び通信方法
WO2022029957A1 (ja) 端末、ネットワークノード及び通信方法
WO2022239160A1 (ja) 端末及び通信方法
WO2021220971A1 (ja) 端末及び通信方法
WO2021125191A1 (ja) 通信装置及び通信方法
WO2023084635A1 (ja) ネットワークノード及び通信方法
WO2023013078A1 (ja) ネットワークノード及び通信方法
WO2023013076A1 (ja) ネットワークノード及び通信方法
WO2022157899A1 (ja) ネットワークノード、無線通信システム及び通信方法
EP4366329A1 (en) Network node and communication method
WO2020255654A1 (ja) 通信装置及び通信方法
EP4422346A1 (en) Network node and communication method
WO2022162921A1 (ja) ネットワークノード、通信方法及びトランスポート
WO2020144856A1 (ja) 通信管理装置、及びデータ管理装置

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 20787473

Country of ref document: EP

Kind code of ref document: A1

ENP Entry into the national phase

Ref document number: 2021513180

Country of ref document: JP

Kind code of ref document: A

NENP Non-entry into the national phase

Ref country code: DE

ENP Entry into the national phase

Ref document number: 2020787473

Country of ref document: EP

Effective date: 20211111