WO2020208913A1

WO2020208913A1 - ネットワークノード

Info

Publication number: WO2020208913A1
Application number: PCT/JP2020/004063
Authority: WO
Inventors: 淳巳之口; マティカイネンジャリ; リカルドグエルゾーニ
Original assignee: 株式会社Ｎｔｔドコモ
Priority date: 2019-04-11
Filing date: 2020-02-04
Publication date: 2020-10-15
Also published as: US12075251B2; EP3955515A4; JP7412419B2; CN113994625A; JPWO2020208913A1; US20220201487A1; EP3955515A1

Abstract

ネットワークノードは、ネットワークノード間における通信のセキュリティを向上させるための情報を管理ノードから受信する受信部と、前記セキュリティを向上させるための情報に基づいて、第１のＰＬＭＮ（Public Land Mobile Network）に配置される第１のネットワークノードから送信される要求を受信して、前記要求を第２のＰＬＭＮに配置される第２のネットワークノードに送信する制御部とを有する。

Description

ネットワークノード

　本発明は、通信システムにおけるネットワークノードに関する。

　３ＧＰＰ（3rd Generation Partnership Project）では、システム容量の更なる大容量化、データ伝送速度の更なる高速化、無線区間における更なる低遅延化等を実現するために、５ＧあるいはＮＲ（New Radio）と呼ばれる無線通信方式（以下、当該無線通信方式を「５Ｇ」あるいは「ＮＲ」という。）の検討が進んでいる。５Ｇでは、１０Ｇｂｐｓ以上のスループットを実現しつつ無線区間の遅延を１ｍｓ以下にするという要求条件を満たすために、様々な無線技術の検討が行われている。

　ＮＲでは、ＬＴＥ（Long Term Evolution）のネットワークアーキテクチャにおけるコアネットワークであるＥＰＣ（Evolved Packet Core）に対応する５ＧＣ（5G Core Network）及びＬＴＥのネットワークアーキテクチャにおけるＲＡＮ（Radio Access Network）であるＥ－ＵＴＲＡＮ（Evolved Universal Terrestrial Radio Access Network）に対応するＮＧ－ＲＡＮ（Next Generation - Radio Access Network）を含むネットワークアーキテクチャが検討されている（例えば非特許文献１）。

３ＧＰＰ　ＴＳ　２３．５０１　Ｖ１５．４．０（２０１８－１２）

　５Ｇのネットワークアーキテクチャを有するシステムにおいて、ＮＦ（Network Function）は単一機能を有するＮＦサービスの組み合わせとして定義されている。各ＮＦサービス間の通信にセキュリティ又は認証が必要である場合、初版（リリース１５）では、ＮＦ内部の構成要素がそれを実現していた。第２版（リリース１６）では、この構成要素をくくりだして各ＮＦサービスが共通に利用できる基盤機能とする検討が行われている。第１版に準拠するＰＬＭＮ（Public Land Mobile Network）と第２版に準拠するＰＬＭＮを相互接続する際に、ＮＦサービスの間でのセキュアな通信を構成することは困難であった。

　本発明は上記の点に鑑みてなされたものであり、ネットワークノード間でセキュリティが向上された通信を実行することを目的とする。

　開示の技術によれば、ネットワークノード間における通信のセキュリティを向上させるための情報を管理ノードから受信する受信部と、前記セキュリティを向上させるための情報に基づいて、第１のＰＬＭＮ（Public Land Mobile Network）に配置される第１のネットワークノードから送信される要求を受信して、前記要求を第２のＰＬＭＮに配置される第２のネットワークノードに送信する制御部とを有するネットワークノードが提供される。

　開示の技術によれば、ネットワークノード間でセキュリティが向上された通信を実行することができる。

本発明の実施の形態における通信システムの例を説明するための図である。相互ＴＬＳの例を説明するための図である。本発明の実施の形態における相互ＴＬＳの例を説明するための図である。認証手順の例を説明するための図である。本発明の実施の形態における認証動作の例を説明するための図である。本発明の実施の形態におけるローミング環境下の通信システムの例を説明するための図である。ローミング環境下の相互ＴＬＳの例を説明するための図である。本発明の実施の形態におけるローミング環境下の相互ＴＬＳの例（１）を説明するための図である。本発明の実施の形態におけるローミング環境下の相互ＴＬＳの例（２）を説明するための図である。ローミング環境下の認証手順の例を説明するための図である。本発明の実施の形態におけるローミング環境下の認証手順の例（１）を説明するための図である。本発明の実施の形態におけるローミング環境下の認証手順の例（２）を説明するための図である。本発明の実施の形態におけるネットワークノード１０の機能構成の一例を示す図である。本発明の実施の形態におけるユーザ装置２０の機能構成の一例を示す図である。本発明の実施の形態におけるネットワークノード１０又はユーザ装置２０のハードウェア構成の一例を示す図である。

　以下、図面を参照して本発明の実施の形態を説明する。なお、以下で説明する実施の形態は一例であり、本発明が適用される実施の形態は、以下の実施の形態に限られない。

　本発明の実施の形態の無線通信システムの動作にあたっては、適宜、既存技術が使用される。ただし、当該既存技術は、例えば既存のＬＴＥであるが、既存のＬＴＥに限られない。また、本明細書で使用する用語「ＬＴＥ」は、特に断らない限り、ＬＴＥ－Ａｄｖａｎｃｅｄ、及び、ＬＴＥ－Ａｄｖａｎｃｅｄ以降の方式（例：ＮＲ）、又は無線ＬＡＮ（Local Area Network）を含む広い意味を有するものとする。

　また、本発明の実施の形態において、無線パラメータ等が「設定される（Configure）」とは、所定の値が予め設定（Pre-configure）されることであってもよいし、ネットワークノード１０又はユーザ装置２０から通知される無線パラメータが設定されることであってもよい。

　図１は、本発明の実施の形態における通信システムを説明するための図である。図１に示されるように、通信システムは、ユーザ装置２０であるＵＥ、複数のネットワークノード１０から構成される。以下、機能ごとに１つのネットワークノード１０が対応するものとするが、複数の機能を１つのネットワークノード１０が実現してもよいし、複数のネットワークノード１０が１つの機能を実現してもよい。また、以下に記載する「接続」は、論理的な接続であってもよいし、物理的な接続であってもよい。

　ＲＡＮ（Radio Access Network）は、無線アクセス機能を有するネットワークノード１０であり、ＵＥ、ＡＭＦ（Access and Mobility Management Function）及びＵＰＦ（User plane function）と接続される。ＡＭＦは、ＲＡＮインタフェースの終端、ＮＡＳ（Non-Access Stratum）の終端、登録管理、接続管理、到達性管理、モビリティ管理等の機能を有するネットワークノード１０である。ＵＰＦは、ＤＮ（Data Network）と相互接続する外部に対するＰＤＵ（Protocol Data Unit）セッションポイント、パケットのルーティング及びフォワーディング、ユーザプレーンのＱｏＳ（Quality of Service）ハンドリング等の機能を有するネットワークノード１０である。ＵＰＦ及びＤＮは、ネットワークスライスを構成する。、本発明の実施の形態における無線通信ネットワークでは、複数のネットワークスライスが構築されている。

　ＡＭＦは、ＵＥ、ＲＡＮ、ＳＭＦ（Session Management function）、ＮＳＳＦ（Network Slice Selection Function）、ＮＥＦ（Network Exposure Function）、ＮＲＦ（Network Repository Function）、ＵＤＭ（Unified Data Management）、ＡＵＳＦ（Authentication Server Function）、ＰＣＦ（Policy Control Function）、ＡＦ（Application Function）と接続される。ＡＭＦ、ＳＭＦ、ＮＳＳＦ、ＮＥＦ、ＮＲＦ、ＡＵＳＦ、ＰＣＦ、ＡＦは、各々のサービスに基づくインタフェース、Ｎａｍｆ、Ｎｓｍｆ、Ｎｎｓｓｆ、Ｎｎｅｆ、Ｎｎｒｆ、Ｎｕｄｍ、Ｎａｕｓｆ、Ｎｐｃｆ、Ｎａｆを介して相互に接続されるネットワークノード１０である。

　ＳＭＦは、セッション管理、ＵＥのＩＰ（Internet Protocol）アドレス割り当て及び管理、ＤＨＣＰ（Dynamic Host Configuration Protocol）機能、ＡＲＰ（Address Resolution Protocol）プロキシ、ローミング機能等の機能を有するネットワークノード１０である。ＮＥＦは、他のＮＦ（Network Function）に能力及びイベントを通知する機能を有するネットワークノード１０である。ＮＳＳＦは、ＵＥが接続するネットワークスライスの選択、許可されるＮＳＳＡＩ（Network Slice Selection Assistance Information）の決定、設定されるＮＳＳＡＩの決定、ＵＥが接続するＡＭＦセットの決定等の機能を有するネットワークノード１０である。ＰＣＦは、ネットワークのポリシ制御を行う機能を有するネットワークノード１０である。ＡＦは、アプリケーションサーバを制御する機能を有するネットワークノード１０である。ＮＲＦは、サービスを提供するＮＦインスタンスを発見する機能を有するネットワークノード１０である。

　図１に示されるＵＥ、ＲＡＮ、ＵＰＦ、ＤＮを除いたネットワークノードは、ＳＢＡ（Service Based Architecture）のスコープに含まれる。ＳＢＡにおいて、ウェブ及びクラウドの領域からの技術が採用される。各ＮＦは、単一機能を有するＮＦサービスの組み合わせとして定義される。ＮＦは、統合されたプロトコルで互いにサービスを提供し利用する。例えば、ＡＭＦは、状態を有しないＮＦであり、プロセスとＵＤＳＦ（Unified Data Storage Function）が提供するストレージとは分離されている。

　以下、主にセキュリティの観点から、ｅＳＢＡ（enhanced SBA）に係るネットワークの設定について説明する。ｅＳＢＡにおいて、ＮＦサービスを使用すること、ＮＦサービス自身は登録（registration）、発見（discovery）、セキュリティが要求されるＮＦサービス間の通信を実行しないこと、実装オプションとしてオープンソースソフトウェアが使用されること等が検討されている。

　図２は、相互ＴＬＳの例を説明するための図である。図２は、非ローミング環境下において、相互ＴＬＳ（Transport Layer Security）を介してＮＦが接続される既存の構成を示している。ＴＬＳは、ネットワークにおいてセキュリティが要求される通信を行うために使用されるプロトコルである。相互ＴＬＳは、サーバクライアント間のＴＬＳの認証を双方向で実行する。図２に示されるように、ＮＦは、ＴＬＳを介してセキュリティが要求される通信を実行する。

　図３は、本発明の実施の形態における相互ＴＬＳの例を説明するための図である。図３は、非ローミング環境下において、相互ＴＬＳを介してＮＦサービスがＥｎｖｏｙによって接続される構成を示している。Ｅｎｖｏｙとは、ＮＦサービスと同一のポッドに配置されるサイドカーである。ポッドとは、コンテナ化されたアプリケーションで実行されるプロセスのインスタンスである。図３において、相互ＴＬＳは、Ｅｎｖｏｙ間で確立される。Ｅｎｖｏｙは、ＮＦサービス間の通信のプロキシとして動作する。Ｅｎｖｏｙ間でＴＬＳを介したセキュアな通信が実行される。また、Ｅｎｖｏｙは、ＮＦサービスをモニタリングすることなども可能である。

　図４は、認証手順の例を説明するための図である。図４は、非ローミング環境下において、認証を行うためのオープンスタンダードであるＯＡｕｔｈ２．０を実行する既存の構成を示している。ＮＦは、ＮＦインスタンスＩＤを含む登録（Registration）をＮＲＦに送信する。続いて、ＮＦはトークン要求（Token request）をＮＲＦに送信する。続いて、ＮＲＦは、トークンをＮＦに送信する。続いて、ＮＦは、当該トークンを伴う要求を他のＮＦに送信する。

　図５は、本発明の実施の形態における認証動作の例を説明するための図である。図５は、非ローミング環境下において、ＯＡｕｔｈ２．０による認証に相当する新たな認証をＮＦサービスから実行する構成を示している。ＮＦサービスは、Ｅｎｖｏｙを介して他のＮＦサービスに要求を送信する。ここで、他のＮＦサービスのＥｎｖｏｙは、ＩｓｔｉｏＰｉｌｏｔからサービスロール及びサービスロールバインディングを取得している。ＩｓｔｉｏＰｉｌｏｔとは、Ｅｎｖｏｙ間のトラフィックポリシ管理を行い、例えば、ロードバランシングのポリシ管理機能等を有する。ＩｓｔｉｏＰｉｌｏｔが提供するサービスロールとは、ＮＦサービスに許可される操作を定義し、サービスロールバインディングとは、いずれのＮＦサービスがサービスロールに関連付けられるかを定義する。サービスロールを使用することにより、図４に示されるＯＡｕｔｈにおけるトークンの機能を実現することができる。

　図６は、本発明の実施の形態におけるローミング環境下の通信システムの例を説明するための図である。図６に示されるように、ネットワークは、ユーザ装置２０であるＵＥ、複数のネットワークノード１０から構成される。以下、機能ごとに１つのネットワークノード１０が対応するものとするが、複数の機能を１つのネットワークノード１０が実現してもよいし、複数のネットワークノード１０が１つの機能を実現してもよい。また、以下に記載する「接続」は、論理的な接続であってもよいし、物理的な接続であってもよい。

　ＲＡＮは、無線アクセス機能を有するネットワークノード１０であり、ＵＥ、ＡＭＦ及びＵＰＦと接続される。ＡＭＦは、ＲＡＮインタフェースの終端、ＮＡＳの終端、登録管理、接続管理、到達性管理、モビリティ管理等の機能を有するネットワークノード１０である。ＵＰＦは、ＤＮと相互接続する外部に対するＰＤＵセッションポイント、パケットのルーティング及びフォワーディング、ユーザプレーンのＱｏＳハンドリング等の機能を有するネットワークノード１０である。ＵＰＦ及びＤＮは、ネットワークスライスを構成する。、本発明の実施の形態における無線通信ネットワークでは、複数のネットワークスライスが構築されている。

　ＡＭＦは、ＵＥ、ＲＡＮ、ＳＭＦ、ＮＳＳＦ、ＮＥＦ、ＮＲＦ、ＵＤＭ、ＡＵＳＦ、ＰＣＦ、ＡＦ、ＳＥＰＰ（Security Edge Protection Proxy）と接続される。ＡＭＦ、ＳＭＦ、ＮＳＳＦ、ＮＥＦ、ＮＲＦ、ＡＵＳＦ、ＰＣＦ、ＡＦは、各々のサービスに基づくインタフェース、Ｎａｍｆ、Ｎｓｍｆ、Ｎｎｓｓｆ、Ｎｎｅｆ、Ｎｎｒｆ、Ｎｕｄｍ、Ｎａｕｓｆ、Ｎｐｃｆ、Ｎａｆを介して相互に接続されるネットワークノード１０である。

　ＳＭＦは、セッション管理、ＵＥのＩＰアドレス割り当て及び管理、ＤＨＣＰ機能、ＡＲＰプロキシ、ローミング機能等の機能を有するネットワークノード１０である。ＮＥＦは、他のＮＦに能力及びイベントを通知する機能を有するネットワークノード１０である。ＮＳＳＦは、ＵＥが接続するネットワークスライスの選択、許可されるＮＳＳＡＩの決定、設定されるＮＳＳＡＩの決定、ＵＥが接続するＡＭＦセットの決定等の機能を有するネットワークノード１０である。ＰＣＦは、ネットワークのポリシ制御を行う機能を有するネットワークノード１０である。ＡＦは、アプリケーションサーバを制御する機能を有するネットワークノード１０である。ＮＲＦは、サービスを提供するＮＦインスタンスを発見する機能を有するネットワークノード１０である。ＳＥＰＰは、非透過的なプロキシであり、ＰＬＭＮ（Public Land Mobile Network）間のコントロールプレーンのメッセージをフィルタリングする。図６に示されるｖＳＥＰＰは、ｖｉｓｉｔｅｄネットワークにおけるＳＥＰＰであり、ｈＳＥＰＰは、ｈｏｍｅネットワークにおけるＳＥＰＰである。

　図６に示されるように、ＵＥは、ＶＰＬＭＮ（Visited PLMN）においてＲＡＮ及びＡＭＦと接続されているローミング環境にある。ＶＰＬＭＮ及びＨＰＬＭＮ（Home PLMN）は、ｖＳＥＰＰ及びｈＳＥＰＰを経由して接続されている。ＵＥは、例えば、ＶＰＬＭＮのＡＭＦを介してＨＰＬＭＮのＵＤＭと通信が可能である。

　図７は、ローミング環境下の相互ＴＬＳの例を説明するための図である。図７は、ローミング環境下において、相互ＴＬＳ及びＳＥＰＰを介してＮＦが接続される既存の構成を示している。相互ＴＬＳは、サーバクライアント間のＴＬＳの認証を双方向で実行する。図７に示されるように、ＮＦは、ＴＬＳ及びＳＥＰＰを介してセキュリティが要求される通信を実行する。図７において、ステップ１の要求を送信するＮＦがＶＰＬＭＮに存在し、ステップ８の要求を受信するＮＦがＨＰＬＭＮに存在するものとする。

　ステップ１において、ＶＰＬＭＮのＮＦは、ターゲットＮＦサービスを発見する要求をＶＰＬＭＮのＮＲＦに送信する。ＶＰＬＭＮのＮＲＦは、ＶＰＬＭＮ及びＨＰＬＭＮのＳＥＰＰを介してＨＰＬＭＮのＮＲＦに要求を送信する。続いて、ステップ２において、ＨＰＬＭＮのＮＲＦは、ターゲットＮＦの実際のＦＱＤＮ（Fully Qualified Domain Name）をＨＰＬＭＮのＳＥＰＰに送信する。続いて、ステップ３において、ＨＰＬＭＮのＳＥＰＰは、ターゲットＮＦの隠ぺいされたＦＱＤＮをＶＰＬＭＮのＳＥＰＰに送信する。続いて、ステップ４において、ＶＰＬＭＮのＳＥＰＰは、伸長された（telescopic）ＦＱＤＮをＶＰＬＭＮのＮＲＦを介してＶＰＬＭＮのＮＦに送信する。伸長されたＦＱＤＮとは、末尾にＳＥＰＰのドメインが追加されたＦＱＤＮである。

　ステップ５において、ＶＰＬＭＮのＮＦは、ＶＰＬＭＮのＮＦとＶＰＬＭＮのＳＥＰＰ間のＴＬＳを介して伸長されたＦＱＤＮでＶＰＬＭＮのＳＥＰＰに要求を送信する。続いて、ステップ６において、ＶＰＬＭＮのＳＥＰＰは隠ぺいされたＦＱＤＮでＨＰＬＭＮのＳＥＰＰに要求を送信する。続いて、ステップ８において、ＨＰＬＭＮのＳＥＰＰは、ＮＦとＳＥＰＰ間のＴＬＳを介して実際のＦＱＤＮでＨＰＬＭＮのＮＦに要求を送信する。

　図８は、本発明の実施の形態におけるローミング環境下の相互ＴＬＳの例（１）を説明するための図である。図８は、ローミング環境下において、相互ＴＬＳを介してＮＦサービスがＥｎｖｏｙによって接続される構成を示している。図８において、相互ＴＬＳは、Ｅｎｖｏｙによって確立される。図８において、ステップ０の要求を送信するＮＦサービスがＶＰＬＭＮに存在し、ステップ８の要求を受信するＮＦサービスがＨＰＬＭＮに存在するものとする。なお、ＮＦサービスとＥｎｖｏｙは、同一のポッドで動作する１つのネットワークノードであってもよい。また、３ｇｐｐＧＷとＥｎｖｏｙは同一のポッドで動作する１つのネットワークノードであってもよい。

　図８に示されるように、ＶＰＬＭＮ及びＨＰＬＭＮそれぞれにおいて、ＩｓｔｉｏＰｉｌｏｔは、ＥｎｖｏｙにＴＬＳポリシを供給する。ＴＬＳポリシによって、Ｅｎｖｏｙ間又はＥｎｖｏｙとＳＥＰＰ間にＴＬＳを確立することができる。なお、ＴＬＳは、認証のため、Ｅｎｖｏｙ－Ｅｎｖｏｙ間とＥｎｖｏｙ－ＳＥＰＰ間とに分離されている。

　ステップ０において、ＶＰＬＭＮのＮＦサービスは、Ｅｎｖｏｙ間のＴＬＳを介してＶＰＬＭＮの３ｇｐｐＧＷに要求を送信する。続いて、３ｇｐｐＧＷは、ＨＴＴＰヘッダに含まれていた宛先ＮＦサービスを発見するための情報をＧＥＴクエリストリングに変形する。ステップ１において、ＶＰＬＭＮの３ｇｐｐＧＷは、Ｅｎｖｏｙと、ＶＰＬＭＮのＮＲＦと、ＶＰＬＭＮ及びＨＰＬＭＮのＳＥＰＰとを介して、ＨＰＬＭＮのＮＲＦに要求を送信する。続いて、ステップ２において、ＨＰＬＭＮのＮＲＦは、ターゲットＮＦサービスの実際のＦＱＤＮをＨＰＬＭＮのＳＥＰＰに送信する。続いて、ステップ３において、ＨＰＬＭＮのＳＥＰＰは、ターゲットＮＦサービスの隠ぺいされたＦＱＤＮをＶＰＬＭＮのＳＥＰＰに送信する。続いて、ステップ４において、ＶＰＬＭＮのＳＥＰＰは、伸長されたＦＱＤＮをＶＰＬＭＮのＮＲＦを介してＶＰＬＭＮの３ｇｐｐＧＷに送信する。

　ステップ５において、ＶＰＬＭＮの３ｇｐｐＧＷは、ＥｎｖｏｙとＳＥＰＰ間のＴＬＳを介して伸長されたＦＱＤＮでＶＰＬＭＮのＳＥＰＰに要求を送信する。続いて、ステップ６において、ＶＰＬＭＮのＳＥＰＰは隠ぺいされたＦＱＤＮでＨＰＬＭＮのＳＥＰＰに要求を送信する。続いて、ステップ７において、ＨＰＬＭＮのＳＥＰＰは、ＳＥＰＰとＥｎｖｏｙ間のＴＬＳを介して、実際のＦＱＤＮでＨＰＬＭＮの３ｇｐｐＧＷに要求を送信する。続いて、ステップ８において、ＨＰＬＭＮの３ｇｐｐＧＷは、Ｅｎｖｏｙ間のＴＬＳを介して実際のＦＱＤＮでＨＰＬＭＮのＮＦサービスに要求を送信する。

　図９は、本発明の実施の形態におけるローミング環境下の相互ＴＬＳの例（２）を説明するための図である。図９は、ローミング環境下において、相互ＴＬＳを介してＮＦサービスがＥｎｖｏｙによって接続される構成と、相互ＴＬＳ及びＳＥＰＰを介してＮＦが接続される既存の構成とが、ＶＰＬＭＮとＨＰＬＭＮとで互いに異なる場合の例を示している。すなわち、図９において、ＶＰＬＭＮにおけるＮＦサービスからＨＰＬＭＮにおけるＮＦに要求が送信されるステップａ０からステップａ８のシーケンスと、ＶＰＬＭＮにおけるＮＦからＨＰＬＭＮにおけるＮＦサービスに要求が送信されるステップｂ１からステップｂ８のシーケンスとが示される。なお、ＮＦサービスとＥｎｖｏｙは、同一のポッドで動作する１つのネットワークノードであってもよい。また、３ｇｐｐＧＷとＥｎｖｏｙは同一のポッドで動作する１つのネットワークノードであってもよい。

　ステップａ０において、ＶＰＬＭＮのＮＦサービスは、Ｅｎｖｏｙ間のＴＬＳを介してＶＰＬＭＮの３ｇｐｐＧＷにターゲットＮＦサービスを発見する要求を送信する。続いて、３ｇｐｐＧＷは、ＨＴＴＰヘッダに含まれていた宛先ＮＦサービスを発見するための情報をＧＥＴクエリストリングに変形する。ステップａ１において、ＶＰＬＭＮの３ｇｐｐＧＷは、Ｅｎｖｏｙと、ＶＰＬＭＮのＮＲＦと、ＶＰＬＭＮ及びＨＰＬＭＮのＳＥＰＰとを介して、ＨＰＬＭＮのＮＲＦに要求を送信する。続いて、ステップａ２において、ＨＰＬＭＮのＮＲＦは、ターゲットＮＦの実際のＦＱＤＮをＨＰＬＭＮのＳＥＰＰに送信する。続いて、ステップａ３において、ＨＰＬＭＮのＳＥＰＰは、ターゲットＮＦの隠ぺいされたＦＱＤＮをＶＰＬＭＮのＳＥＰＰに送信する。続いて、ステップａ４において、ＶＰＬＭＮのＳＥＰＰは、伸長されたＦＱＤＮをＶＰＬＭＮのＮＲＦを介してＶＰＬＭＮの３ｇｐｐＧＷに送信する。

　ステップａ５において、ＶＰＬＭＮの３ｇｐｐＧＷは、ＥｎｖｏｙとＳＥＰＰ間のＴＬＳを介して伸長されたＦＱＤＮでＶＰＬＭＮのＳＥＰＰに要求を送信する。続いて、ステップａ６において、ＶＰＬＭＮのＳＥＰＰは隠ぺいされたＦＱＤＮでＨＰＬＭＮのＳＥＰＰに要求を送信する。続いて、ステップａ８において、ＨＰＬＭＮのＳＥＰＰは、ＳＥＰＰとＮＦ間のＴＬＳを介して、実際のＦＱＤＮでＨＰＬＭＮのＮＦに要求を送信する。

　一方、ステップｂ１において、ＶＰＬＭＮのＮＦは、ターゲットＮＦサービスを発見する要求をＶＰＬＭＮのＮＲＦに送信する。ＶＰＬＭＮのＮＲＦは、ＶＰＬＭＮ及びＨＰＬＭＮのＳＥＰＰを介してＨＰＬＭＮのＮＲＦに要求を送信する。続いて、ステップｂ２において、ＨＰＬＭＮのＮＲＦは、ターゲットＮＦサービスの実際のＦＱＤＮをＨＰＬＭＮのＳＥＰＰに送信する。続いて、ステップｂ３において、ＨＰＬＭＮのＳＥＰＰは、ターゲットＮＦサービスの隠ぺいされたＦＱＤＮをＶＰＬＭＮのＳＥＰＰに送信する。続いて、ステップｂ４において、ＶＰＬＭＮのＳＥＰＰは、伸長されたＦＱＤＮをＶＰＬＭＮのＮＲＦを介してＶＰＬＭＮの３ｇｐｐＧＷに送信する。

　ステップｂ５において、ＶＰＬＭＮのＮＦは、ＮＦとＳＥＰＰ間のＴＬＳを介して伸長されたＦＱＤＮでＶＰＬＭＮのＳＥＰＰに要求を送信する。続いて、ステップｂ６において、ＶＰＬＭＮのＳＥＰＰは隠ぺいされたＦＱＤＮでＨＰＬＭＮのＳＥＰＰに要求を送信する。続いて、ステップｂ７において、ＨＰＬＭＮのＳＥＰＰは、ＳＥＰＰとＥｎｖｏｙ間のＴＬＳを介して、実際のＦＱＤＮでＨＰＬＭＮの３ｇｐｐＧＷに要求を送信する。続いて、ステップｂ８において、ＨＰＬＭＮの３ｇｐｐＧＷは、Ｅｎｖｏｙ間のＴＬＳを介して実際のＦＱＤＮでＨＰＬＭＮのＮＦサービスに要求を送信する。

　図１０は、ローミング環境下の認証手順の例を説明するための図である。図１０は、ローミング環境下において、認証を行うためのオープンスタンダードであるＯＡｕｔｈ２．０を実行する既存の構成を示している。図１０において、ステップ１のトークン要求を送信するＮＦがＶＰＬＭＮに存在し、ステップ３の要求を受信するＮＦがＨＰＬＭＮに存在するものとする。

　ステップ１において、ＶＰＬＭＮのＮＦは、トークン要求をＶＰＬＭＮのＮＲＦに送信する。続いて、ＶＰＬＭＮのＮＲＦは、トークン要求をＶＰＬＭＮのＳＥＰＰに送信する。続いて、ＶＰＬＭＮのＳＥＰＰは、ＨＰＬＭＮのＳＥＰＰにトークン要求を送信する。続いて、ＨＰＬＭＮのＳＥＰＰは、ＨＰＬＭＮのＮＲＦにトークン要求を送信する。続いて、ステップ２において、ＨＰＬＭＮのＮＲＦは、トークンをＨＰＬＭＮ及びＶＰＬＭＮのＳＥＰＰを介してＶＰＬＭＮのＮＲＦに送信する。ＶＰＬＭＮのＮＲＦは、ＶＰＬＭＮのＮＦにトークンを送信する。続いて、ステップ３において、ＶＰＬＭＮのＮＦは、当該トークンを伴う要求をＶＰＬＭＮ及びＨＰＬＭＮのＳＥＰＰを介してＨＰＬＭＮのＮＦに送信する。

　図１１は、本発明の実施の形態におけるローミング環境下の認証手順の例（１）を説明するための図である。図１１は、ローミング環境下において、ＯＡｕｔｈ２．０による認証に相当する新たな認証をＶＰＬＭＮのＮＦサービスから実行する構成を示している。ＶＰＬＭＮのＮＦサービスは、Ｅｎｖｏｙを介してＨＰＬＭＮのＮＦサービスに要求を送信する。ここで、ＶＰＬＭＮ及びＨＰＬＭＮに配置されるＥｎｖｏｙは、ＩｓｔｉｏＰｉｌｏｔからサービスロール及びサービスロールバインディングを取得している。サービスロールを使用することにより、図１０に示されるＯＡｕｔｈにおけるトークンの機能を実現することができる。なお、ＮＦサービスとＥｎｖｏｙは、同一のポッドで動作する１つのネットワークノードであってもよい。また、３ｇｐｐＧＷとＥｎｖｏｙは同一のポッドで動作する１つのネットワークノードであってもよい。

　ステップ０において、ＶＰＬＭＮのＮＦサービスは、Ｅｎｖｏｙを介して要求をＶＰＬＭＮの３ｇｐｐＧＷに送信する。ＶＰＬＭＮの３ｇｐｐＧＷは、受信した要求に基づいて、自装置がコンシューマＮＦであるかのようにトークン要求を作成する。続いて、ステップ１において、ＶＰＬＭＮの３ｇｐｐＧＷは、Ｅｎｖｏｙを介してトークン要求をＶＰＬＭＮのＮＲＦに送信する。続いて、ＶＰＬＭＮのＮＲＦは、ＶＰＬＭＮ及びＨＰＬＭＮのＳＥＰＰを介してトークン要求をＨＰＬＭＮのＮＲＦに送信する。

　ステップ２において、ＨＰＬＭＮのＮＲＦは、予め設定されたＨＰＬＭＮの３ｇｐｐＧＷにアクセスするためのトークンをＨＰＬＭＮのＳＥＰＰに送信する。続いて、ＨＰＬＭＮのＳＥＰＰは、ＶＰＬＭＮのＳＥＰＰにトークンを送信する。続いて、ＶＰＬＭＮのＳＥＰＰは、ＶＰＬＭＮのＮＲＦにトークンを送信する。ＶＰＬＭＮのＮＲＦは、Ｅｎｖｏｙを介してＶＰＬＭＮの３ｇｐｐＧＷにトークンを送信する。ステップ３において、ＶＰＬＭＮの３ｇｐｐＧＷは、作成した当該トークンを伴う要求をＥｎｖｏｙ及びＳＥＰＰを介してＨＰＬＭＮの３ｇｐｐＧＷに送信する。ＨＰＬＭＮの３ｇｐｐＧＷは、トークンを処分する。続いて、ステップ４において、ＨＰＬＭＮの３ｇｐｐＧＷは、受信した要求をＥｎｖｏｙを介してＨＰＬＭＮのＮＦサービスに送信する。

　図１２は、本発明の実施の形態におけるローミング環境下の認証手順の例（２）を説明するための図である。図１２は、ローミング環境下において、ＯＡｕｔｈ２．０による認証に相当する新たな認証をＶＰＬＭＮのＮＦサービスから実行する構成と、ＯＡｕｔｈ２．０を実行する既存の構成とが、ＶＰＬＭＮとＨＰＬＭＮとで互いに異なる場合の例を示している。すなわち、図１２において、ＶＰＬＭＮにおけるＮＦサービスからＨＰＬＭＮにおけるＮＦに要求が送信されるステップａ０からステップａ３のシーケンスと、ＶＰＬＭＮにおけるＮＦからＨＰＬＭＮにおけるＮＦサービスに要求が送信されるステップｂ１からステップｂ４のシーケンスとが示される。なお、ＮＦサービスとＥｎｖｏｙは、同一のポッドで動作する１つのネットワークノードであってもよい。また、３ｇｐｐＧＷとＥｎｖｏｙは同一のポッドで動作する１つのネットワークノードであってもよい。

　ステップａ０において、ＶＰＬＭＮのＮＦサービスは、Ｅｎｖｏｙを介して要求をＶＰＬＭＮの３ｇｐｐＧＷに送信する。ＶＰＬＭＮの３ｇｐｐＧＷは、受信した要求に基づいて、自装置がコンシューマＮＦであるかのようにトークン要求を作成する。続いて、ステップａ１において、ＶＰＬＭＮの３ｇｐｐＧＷは、Ｅｎｖｏｙを介してトークン要求をＶＰＬＭＮのＮＲＦに送信する。続いて、ＶＰＬＭＮのＮＲＦは、ＶＰＬＭＮ及びＨＰＬＭＮのＳＥＰＰを介してトークン要求をＨＰＬＭＮのＮＲＦに送信する。

　ステップａ２において、ＨＰＬＭＮのＮＲＦは、トークンをＨＰＬＭＮ及びＶＰＬＭＮのＳＥＰＰを介してＶＰＬＭＮのＮＲＦに送信する。ＶＰＬＭＮのＮＲＦは、Ｅｎｖｏｙを介してＶＰＬＭＮの３ｇｐｐＧＷにトークンを送信する。続いて、ステップａ３において、ＶＰＬＭＮの３ｇｐｐＧＷは、当該トークンを伴う要求をＥｎｖｏｙ、ＶＰＬＭＮのＳＥＰＰ及びＨＰＬＭＮのＳＥＰＰを介してＨＰＬＭＮのＮＦに送信する。

　一方、ステップｂ１において、ＶＰＬＭＮのＮＦは、トークン要求をＶＰＬＭＮのＮＲＦに送信する。続いて、ＶＰＬＭＮのＮＲＦは、トークン要求をＶＰＬＭＮのＳＥＰＰに送信する。続いて、ＶＰＬＭＮのＳＥＰＰは、ＨＰＬＭＮのＳＥＰＰにトークン要求を送信する。続いて、ＨＰＬＭＮのＳＥＰＰは、ＨＰＬＭＮのＮＲＦにトークン要求を送信する。続いて、ステップｂ２において、ＨＰＬＭＮのＮＲＦは、予め設定された３ｇｐｐＧＷにアクセスするためのトークンをＨＰＬＭＮ及びＶＰＬＭＮのＳＥＰＰを介してＶＰＬＭＮのＮＲＦに送信する。ＶＰＬＭＮのＮＲＦは、ＶＰＬＭＮのＮＦにトークンを送信する。続いて、ステップｂ３において、ＶＰＬＭＮのＮＦは、当該トークンを伴う要求をＶＰＬＭＮ及びＨＰＬＭＮのＳＥＰＰと、Ｅｎｖｏｙとを介してＨＰＬＭＮの３ｇｐｐＧＷに送信する。ＨＰＬＭＮの３ｇｐｐＧＷは、受信したトークンを処分する。続いて、ステップｂ４において、ＨＰＬＭＮの３ｇｐｐＧＷは、受信した要求をＥｎｖｏｙを介してＨＰＬＭＮのＮＦサービスに送信する。

　上述の実施例により、ネットワークノード１０であるＮＦサービスは、相互ＴＬＳをＥｎｖｏｙ間で確立してセキュアな通信を他のＮＦサービスと行うことができる。また、ネットワークノード１０であるＮＦサービスは、認証をＩｓｔｉｏＰｉｌｏｔから提供されるサービスロール及びサービスロールバインディングによってＥｎｖｏｙを介して実行することができる。また、また、ネットワークノード１０であるＮＦサービス又はＮＦは、ＶＰＬＭＮとＨＰＬＭＮとでＮＦによるネットワーク構成とＥｎｖｏｙがプロキシとなるＮＦサービスによるネットワーク構成とが混在しても、ＴＬＳを確立してセキュアな通信を行うこと及び認証をＩｓｔｉｏＰｉｌｏｔから提供されるサービスロール及びサービスロールバインディングによってＥｎｖｏｙを介して実行することができる。

　すなわち、ネットワークノード間でセキュリティが向上された通信を実行することができる。

　（装置構成）
　次に、これまでに説明した処理及び動作を実施するネットワークノード１０及びユーザ装置２０の機能構成例を説明する。ネットワークノード１０及びユーザ装置２０は上述した実施例を実施する機能を含む。ただし、ネットワークノード１０及びユーザ装置２０はそれぞれ、実施例の中の一部の機能のみを備えることとしてもよい。

　＜ネットワークノード１０＞
　図１３は、ネットワークノード１０の機能構成の一例を示す図である。図１３に示されるように、ネットワークノード１０は、送信部１１０と、受信部１２０と、設定部１３０と、制御部１４０とを有する。図１３に示される機能構成は一例に過ぎない。本発明の実施の形態に係る動作を実施できるのであれば、機能区分及び機能部の名称はどのようなものでもよい。また、システムアーキテクチャ上で複数の異なる機能を有するネットワークノード１０は、機能ごとに分離された複数のネットワークノード１０から構成されてもよい。

　送信部１１０は、ユーザ装置２０又は他のネットワークノード１０に送信する信号を生成し、当該信号を有線又は無線で送信する機能を含む。受信部１２０は、ユーザ装置２０又は他のネットワークノード１０から送信された各種の信号を受信し、受信した信号から、例えばより上位のレイヤの情報を取得する機能を含む。

　設定部１３０は、予め設定される設定情報、及び、ユーザ装置２０に送信する各種の設定情報を記憶装置に格納し、必要に応じて記憶装置から読み出す。設定情報の内容は、例えば、ＮＦサービス間のセキュリティ又は認証に係る情報等である。

　制御部１４０は、実施例において説明したように、ＮＦサービス間のセキュリティ又は認証に係る処理を行う。また、制御部１４０は、ユーザ装置２０との通信に係る処理を行う。制御部１４０における信号送信に関する機能部を送信部１１０に含め、制御部１４０における信号受信に関する機能部を受信部１２０に含めてもよい。

　＜ユーザ装置２０＞
　図１４は、ユーザ装置２０の機能構成の一例を示す図である。図１４に示されるように、ユーザ装置２０は、送信部２１０と、受信部２２０と、設定部２３０と、制御部２４０とを有する。図１４に示される機能構成は一例に過ぎない。本発明の実施の形態に係る動作を実施できるのであれば、機能区分及び機能部の名称はどのようなものでもよい。

　送信部２１０は、送信データから送信信号を作成し、当該送信信号を無線で送信する。受信部２２０は、各種の信号を無線受信し、受信した物理レイヤの信号からより上位のレイヤの信号を取得する。また、受信部２２０は、ネットワークノード１０から送信されるＮＲ－ＰＳＳ、ＮＲ－ＳＳＳ、ＮＲ－ＰＢＣＨ、ＤＬ／ＵＬ制御信号又は参照信号等を受信する機能を有する。

　設定部２３０は、受信部２２０によりネットワークノード１０から受信した各種の設定情報を記憶装置に格納し、必要に応じて記憶装置から読み出す。また、設定部２３０は、予め設定される設定情報も格納する。設定情報の内容は、例えば、接続が許可されるネットワークスライスに係る情報等である。

　制御部２４０は、実施例において説明したように、ネットワーク及びネットワークスライスへの接続制御に係る処理を行う。制御部２４０における信号送信に関する機能部を送信部２１０に含め、制御部２４０における信号受信に関する機能部を受信部２２０に含めてもよい。

　（ハードウェア構成）
　上記実施形態の説明に用いたブロック図（図１３及び図１４）は、機能単位のブロックを示している。これらの機能ブロック（構成部）は、ハードウェア及びソフトウェアの少なくとも一方の任意の組み合わせによって実現される。また、各機能ブロックの実現方法は特に限定されない。すなわち、各機能ブロックは、物理的又は論理的に結合した１つの装置を用いて実現されてもよいし、物理的又は論理的に分離した２つ以上の装置を直接的又は間接的に（例えば、有線、無線などを用いて）接続し、これら複数の装置を用いて実現されてもよい。機能ブロックは、上記１つの装置又は上記複数の装置にソフトウェアを組み合わせて実現されてもよい。

　機能には、判断、決定、判定、計算、算出、処理、導出、調査、探索、確認、受信、送信、出力、アクセス、解決、選択、選定、確立、比較、想定、期待、見做し、報知（broadcasting）、通知（notifying）、通信（communicating）、転送（forwarding）、構成（configuring）、再構成（reconfiguring）、割り当て（allocating、mapping）、割り振り（assigning）などがあるが、これらに限られない。たとえば、送信を機能させる機能ブロック（構成部）は、送信部（transmitting　unit）や送信機（transmitter）と呼称される。いずれも、上述したとおり、実現方法は特に限定されない。

　例えば、本開示の一実施の形態におけるネットワークノード１０、ユーザ装置２０等は、本開示の無線通信方法の処理を行うコンピュータとして機能してもよい。図１５は、本開示の一実施の形態に係るネットワークノード１０及びユーザ装置２０のハードウェア構成の一例を示す図である。上述のネットワークノード１０及びユーザ装置２０は、物理的には、プロセッサ１００１、記憶装置１００２、補助記憶装置１００３、通信装置１００４、入力装置１００５、出力装置１００６、バス１００７などを含むコンピュータ装置として構成されてもよい。

　なお、以下の説明では、「装置」という文言は、回路、デバイス、ユニット等に読み替えることができる。ネットワークノード１０及びユーザ装置２０のハードウェア構成は、図に示した各装置を１つ又は複数含むように構成されてもよいし、一部の装置を含まずに構成されてもよい。

　ネットワークノード１０及びユーザ装置２０における各機能は、プロセッサ１００１、記憶装置１００２等のハードウェア上に所定のソフトウェア（プログラム）を読み込ませることによって、プロセッサ１００１が演算を行い、通信装置１００４による通信を制御したり、記憶装置１００２及び補助記憶装置１００３におけるデータの読み出し及び書き込みの少なくとも一方を制御したりすることによって実現される。

　プロセッサ１００１は、例えば、オペレーティングシステムを動作させてコンピュータ全体を制御する。プロセッサ１００１は、周辺装置とのインタフェース、制御装置、演算装置、レジスタ等を含む中央処理装置（ＣＰＵ：Central Processing Unit）で構成されてもよい。例えば、上述の制御部１４０、制御部２４０等は、プロセッサ１００１によって実現されてもよい。

　また、プロセッサ１００１は、プログラム（プログラムコード）、ソフトウェアモジュール又はデータ等を、補助記憶装置１００３及び通信装置１００４の少なくとも一方から記憶装置１００２に読み出し、これらに従って各種の処理を実行する。プログラムとしては、上述の実施の形態において説明した動作の少なくとも一部をコンピュータに実行させるプログラムが用いられる。例えば、図１３に示したネットワークノード１０の制御部１４０は、記憶装置１００２に格納され、プロセッサ１００１で動作する制御プログラムによって実現されてもよい。また、例えば、図１４に示したユーザ装置２０の制御部２４０は、記憶装置１００２に格納され、プロセッサ１００１で動作する制御プログラムによって実現されてもよい。上述の各種処理は、１つのプロセッサ１００１によって実行される旨を説明してきたが、２以上のプロセッサ１００１により同時又は逐次に実行されてもよい。プロセッサ１００１は、１以上のチップによって実装されてもよい。なお、プログラムは、電気通信回線を介してネットワークから送信されてもよい。

　記憶装置１００２は、コンピュータ読み取り可能な記録媒体であり、例えば、ＲＯＭ（Read Only Memory）、ＥＰＲＯＭ（Erasable Programmable ROM）、ＥＥＰＲＯＭ（Electrically Erasable Programmable ROM）、ＲＡＭ（Random Access Memory）等の少なくとも１つによって構成されてもよい。記憶装置１００２は、レジスタ、キャッシュ、メインメモリ（主記憶装置）等と呼ばれてもよい。記憶装置１００２は、本開示の一実施の形態に係る通信方法を実施するために実行可能なプログラム（プログラムコード）、ソフトウェアモジュール等を保存することができる。

　補助記憶装置１００３は、コンピュータ読み取り可能な記録媒体であり、例えば、ＣＤ－ＲＯＭ（Compact Disc ROM）等の光ディスク、ハードディスクドライブ、フレキシブルディスク、光磁気ディスク（例えば、コンパクトディスク、デジタル多用途ディスク、Ｂｌｕ－ｒａｙ（登録商標）ディスク）、スマートカード、フラッシュメモリ（例えば、カード、スティック、キードライブ）、フロッピー（登録商標）ディスク、磁気ストリップ等の少なくとも１つによって構成されてもよい。上述の記憶媒体は、例えば、記憶装置１００２及び補助記憶装置１００３の少なくとも一方を含むデータベース、サーバその他の適切な媒体であってもよい。

　通信装置１００４は、有線ネットワーク及び無線ネットワークの少なくとも一方を介してコンピュータ間の通信を行うためのハードウェア（送受信デバイス）であり、例えばネットワークデバイス、ネットワークコントローラ、ネットワークカード、通信モジュールなどともいう。通信装置１００４は、例えば周波数分割複信（ＦＤＤ：Frequency　Division　Duplex）及び時分割複信（ＴＤＤ：Time　Division　Duplex）の少なくとも一方を実現するために、高周波スイッチ、デュプレクサ、フィルタ、周波数シンセサイザなどを含んで構成されてもよい。例えば、送受信アンテナ、アンプ部、送受信部、伝送路インタフェース等は、通信装置１００４によって実現されてもよい。送受信部は、送信部と受信部とで、物理的に、または論理的に分離された実装がなされてもよい。

　入力装置１００５は、外部からの入力を受け付ける入力デバイス（例えば、キーボード、マウス、マイクロフォン、スイッチ、ボタン、センサ等）である。出力装置１００６は、外部への出力を実施する出力デバイス（例えば、ディスプレイ、スピーカー、LEDランプ等）である。なお、入力装置１００５及び出力装置１００６は、一体となった構成（例えば、タッチパネル）であってもよい。

　また、プロセッサ１００１及び記憶装置１００２等の各装置は、情報を通信するためのバス１００７によって接続される。バス１００７は、単一のバスを用いて構成されてもよいし、装置間ごとに異なるバスを用いて構成されてもよい。

　また、ネットワークノード１０及びユーザ装置２０は、マイクロプロセッサ、デジタル信号プロセッサ（ＤＳＰ：Digital Signal Processor）、ＡＳＩＣ（Application Specific Integrated Circuit）、ＰＬＤ（Programmable Logic Device）、ＦＰＧＡ（Field Programmable Gate Array）等のハードウェアを含んで構成されてもよく、当該ハードウェアにより、各機能ブロックの一部又は全てが実現されてもよい。例えば、プロセッサ１００１は、これらのハードウェアの少なくとも１つを用いて実装されてもよい。

　（実施の形態のまとめ）
　以上、説明したように、本発明の実施の形態によれば、ネットワークノード間における通信のセキュリティを向上させるための情報を管理ノードから受信する受信部と、前記セキュリティを向上させるための情報に基づいて、第１のＰＬＭＮ（Public Land Mobile Network）に配置される第１のネットワークノードから送信される要求を受信して、前記要求を第２のＰＬＭＮに配置される第２のネットワークノードに送信する制御部とを有するネットワークノードが提供される。

　上記の構成により、ネットワークノード１０であるＮＦサービスは、相互ＴＬＳをＥｎｖｏｙ間で確立してセキュアな通信を他のＮＦサービスと行うことができる。また、ネットワークノード１０であるＮＦサービスは、認証をＩｓｔｉｏＰｉｌｏｔから提供されるサービスロール及びサービスロールバインディングによってＥｎｖｏｙを介して実行することができる。また、また、ネットワークノード１０であるＮＦサービス又はＮＦは、ＶＰＬＭＮとＨＰＬＭＮとでＮＦによるネットワーク構成とＥｎｖｏｙがプロキシとなるＮＦサービスによるネットワーク構成とが混在しても、ＴＬＳを確立してセキュアな通信を行うこと及び認証をＩｓｔｉｏＰｉｌｏｔから提供されるサービスロール及びサービスロールバインディングによってＥｎｖｏｙを介して実行することができる。すなわち、ネットワークノード間でセキュリティが向上された通信を実行することができる。

　前記第１のＰＬＭＮはＶＰＬＭＮ（Visited PLMN）であり、前記第２のＰＬＭＮはＨＰＬＭＮ（Home PLMN）であり、前記第１のネットワークノード及び前記第２のネットワークノードは、少なくとも一つがＮＦ（Network Function）サービスであってもよい。当該構成により、ローミング環境において、ネットワークノード間でセキュリティが向上された通信を実行することができる。

　前記第１のネットワークノードがＮＦサービスであって前記第２のネットワークノードＮＦであるか、又は前記第１のネットワークノードがＮＦであって前記第２のネットワークノードがＮＦサービスであってもよい。当該構成により、ローミング環境において、ネットワークの構成がＮＦとＮＦサービスとで異なる場合であっても、ネットワークノード間でセキュリティが向上された通信を実行することができる。

　前記セキュリティを向上させるための情報は、ＴＬＳ（Transport Layer Security）ポリシであって、前記制御部は、前記第１のネットワークノードと第１の相互ＴＬＳを確立し、前記第１のＰＬＭＮにおけるＳＥＰＰ（Security Edge Protection Proxy）と第２の相互ＴＬＳを確立し、前記確立された第１の相互ＴＬＳを介して前記要求を受信し、前記確立された第２の相互ＴＬＳを介して前記要求を送信してもよい。当該構成により、ローミング環境において、ネットワークノード間で相互ＴＬＳによりセキュリティが向上された通信を実行することができる。

　前記セキュリティを向上させるための情報は、サービスロール及びサービスロールバインディングであって、前記制御部は、前記サービスロール及びサービスロールバインディングに基づいて、前記第２のネットワークノードに前記要求を送信するためのトークンを取得し使用する機能を実現してもよい。当該構成により、トークンの機能を実現するＥｎｖｏｙを介して、ネットワークノード間でセキュリティが向上された通信を実行することができる。

　（実施形態の補足）
　以上、本発明の実施の形態を説明してきたが、開示される発明はそのような実施形態に限定されず、当業者は様々な変形例、修正例、代替例、置換例等を理解するであろう。発明の理解を促すため具体的な数値例を用いて説明がなされたが、特に断りのない限り、それらの数値は単なる一例に過ぎず適切な如何なる値が使用されてもよい。上記の説明における項目の区分けは本発明に本質的ではなく、２以上の項目に記載された事項が必要に応じて組み合わせて使用されてよいし、ある項目に記載された事項が、別の項目に記載された事項に（矛盾しない限り）適用されてよい。機能ブロック図における機能部又は処理部の境界は必ずしも物理的な部品の境界に対応するとは限らない。複数の機能部の動作が物理的には１つの部品で行われてもよいし、あるいは１つの機能部の動作が物理的には複数の部品により行われてもよい。実施の形態で述べた処理手順については、矛盾の無い限り処理の順序を入れ替えてもよい。処理説明の便宜上、ネットワークノード１０及びユーザ装置２０は機能的なブロック図を用いて説明されたが、そのような装置はハードウェアで、ソフトウェアで又はそれらの組み合わせで実現されてもよい。本発明の実施の形態に従ってネットワークノード１０が有するプロセッサにより動作するソフトウェア及び本発明の実施の形態に従ってユーザ装置２０が有するプロセッサにより動作するソフトウェアはそれぞれ、ランダムアクセスメモリ（ＲＡＭ）、フラッシュメモリ、読み取り専用メモリ（ＲＯＭ）、ＥＰＲＯＭ、ＥＥＰＲＯＭ、レジスタ、ハードディスク（ＨＤＤ）、リムーバブルディスク、ＣＤ－ＲＯＭ、データベース、サーバその他の適切な如何なる記憶媒体に保存されてもよい。

　また、情報の通知は、本開示で説明した態様／実施形態に限られず、他の方法を用いて行われてもよい。例えば、情報の通知は、物理レイヤシグナリング（例えば、ＤＣＩ（Downlink Control Information）、ＵＣＩ（Uplink Control Information））、上位レイヤシグナリング（例えば、ＲＲＣ（Radio Resource Control）シグナリング、ＭＡＣ（Medium Access Control）シグナリング、報知情報（ＭＩＢ（Master Information Block）、ＳＩＢ（System Information Block））、その他の信号又はこれらの組み合わせによって実施されてもよい。また、ＲＲＣシグナリングは、ＲＲＣメッセージと呼ばれてもよく、例えば、ＲＲＣ接続セットアップ（RRC Connection Setup）メッセージ、ＲＲＣ接続再構成（RRC Connection Reconfiguration）メッセージ等であってもよい。

　本開示において説明した各態様／実施形態は、ＬＴＥ（Long　Term　Evolution）、ＬＴＥ－Ａ（LTE-Advanced）、ＳＵＰＥＲ　３Ｇ、ＩＭＴ－Ａｄｖａｎｃｅｄ、４Ｇ（4th　generation　mobile　communication　system）、５Ｇ（5th　generation　mobile　communication　system）、ＦＲＡ（Future　Radio　Access）、ＮＲ（new　Radio）、Ｗ－ＣＤＭＡ（登録商標）、ＧＳＭ（登録商標）、ＣＤＭＡ２０００、ＵＭＢ（Ultra　Mobile　Broadband）、ＩＥＥＥ　８０２．１１（Ｗｉ－Ｆｉ（登録商標））、ＩＥＥＥ　８０２．１６（ＷｉＭＡＸ（登録商標））、ＩＥＥＥ　８０２．２０、ＵＷＢ（Ultra-WideBand）、Ｂｌｕｅｔｏｏｔｈ（登録商標）、その他の適切なシステムを利用するシステム及びこれらに基づいて拡張された次世代システムの少なくとも一つに適用されてもよい。また、複数のシステムが組み合わされて（例えば、ＬＴＥ及びＬＴＥ－Ａの少なくとも一方と５Ｇとの組み合わせ等）適用されてもよい。

　本明細書で説明した各態様／実施形態の処理手順、シーケンス、フローチャート等は、矛盾の無い限り、順序を入れ替えてもよい。例えば、本開示において説明した方法については、例示的な順序を用いて様々なステップの要素を提示しており、提示した特定の順序に限定されない。

　本明細書においてネットワークノード１０によって行われるとした特定動作は、場合によってはその上位ノード（upper node）によって行われることもある。ネットワークノード１０を有する１つ又は複数のネットワークノード（network nodes）からなるネットワークにおいて、ユーザ装置２０との通信のために行われる様々な動作は、ネットワークノード１０及びネットワークノード１０以外の他のネットワークノード（例えば、ＭＭＥ又はＳ－ＧＷ等が考えられるが、これらに限られない）の少なくとも１つによって行われ得ることは明らかである。上記においてネットワークノード１０以外の他のネットワークノードが１つである場合を例示したが、他のネットワークノードは、複数の他のネットワークノードの組み合わせ（例えば、ＭＭＥ及びＳ－ＧＷ）であってもよい。

　本開示において説明した情報又は信号等は、上位レイヤ（又は下位レイヤ）から下位レイヤ（又は上位レイヤ）へ出力され得る。複数のネットワークノードを介して入出力されてもよい。

　入出力された情報等は特定の場所（例えば、メモリ）に保存されてもよいし、管理テーブルを用いて管理してもよい。入出力される情報等は、上書き、更新、又は追記され得る。出力された情報等は削除されてもよい。入力された情報等は他の装置へ送信されてもよい。

　本開示における判定は、１ビットで表される値（０か１か）によって行われてもよいし、真偽値（Boolean：true又はfalse）によって行われてもよいし、数値の比較（例えば、所定の値との比較）によって行われてもよい。

　ソフトウェアは、ソフトウェア、ファームウェア、ミドルウェア、マイクロコード、ハードウェア記述言語と呼ばれるか、他の名称で呼ばれるかを問わず、命令、命令セット、コード、コードセグメント、プログラムコード、プログラム、サブプログラム、ソフトウェアモジュール、アプリケーション、ソフトウェアアプリケーション、ソフトウェアパッケージ、ルーチン、サブルーチン、オブジェクト、実行可能ファイル、実行スレッド、手順、機能などを意味するよう広く解釈されるべきである。

　また、ソフトウェア、命令、情報などは、伝送媒体を介して送受信されてもよい。例えば、ソフトウェアが、有線技術（同軸ケーブル、光ファイバケーブル、ツイストペア、デジタル加入者回線（ＤＳＬ：Digital　Subscriber　Line）など）及び無線技術（赤外線、マイクロ波など）の少なくとも一方を使用してウェブサイト、サーバ、又は他のリモートソースから送信される場合、これらの有線技術及び無線技術の少なくとも一方は、伝送媒体の定義内に含まれる。

　本開示において説明した情報、信号などは、様々な異なる技術のいずれかを使用して表されてもよい。例えば、上記の説明全体に渡って言及され得るデータ、命令、コマンド、情報、信号、ビット、シンボル、チップなどは、電圧、電流、電磁波、磁界若しくは磁性粒子、光場若しくは光子、又はこれらの任意の組み合わせによって表されてもよい。

　なお、本開示において説明した用語及び本開示の理解に必要な用語については、同一の又は類似する意味を有する用語と置き換えてもよい。例えば、チャネル及びシンボルの少なくとも一方は信号（シグナリング）であってもよい。また、信号はメッセージであってもよい。また、コンポーネントキャリア（ＣＣ：Component　Carrier）は、キャリア周波数、セル、周波数キャリアなどと呼ばれてもよい。

　本開示において使用する「システム」及び「ネットワーク」という用語は、互換的に使用される。

　また、本開示において説明した情報、パラメータなどは、絶対値を用いて表されてもよいし、所定の値からの相対値を用いて表されてもよいし、対応する別の情報を用いて表されてもよい。例えば、無線リソースはインデックスによって指示されるものであってもよい。

　上述したパラメータに使用する名称はいかなる点においても限定的な名称ではない。さらに、これらのパラメータを使用する数式等は、本開示で明示的に開示したものと異なる場合もある。様々なチャネル（例えば、ＰＵＣＣＨ、ＰＤＣＣＨなど）及び情報要素は、あらゆる好適な名称によって識別できるので、これらの様々なチャネル及び情報要素に割り当てている様々な名称は、いかなる点においても限定的な名称ではない。

　本開示においては、「基地局（ＢＳ：Base　Station）」、「無線基地局」、「基地局装置」、「固定局（fixed　station）」、「ＮｏｄｅＢ」、「ｅＮｏｄｅＢ（ｅＮＢ）」、「ｇＮｏｄｅＢ（ｇＮＢ）」、「アクセスポイント（access　point）」、「送信ポイント（transmission　point）」、「受信ポイント（reception　point）、「送受信ポイント（transmission/reception　point）」、「セル」、「セクタ」、「セルグループ」、「キャリア」、「コンポーネントキャリア」などの用語は、互換的に使用され得る。基地局は、マクロセル、スモールセル、フェムトセル、ピコセルなどの用語で呼ばれる場合もある。

　基地局は、１つ又は複数（例えば、３つ）のセルを収容することができる。基地局が複数のセルを収容する場合、基地局のカバレッジエリア全体は複数のより小さいエリアに区分でき、各々のより小さいエリアは、基地局サブシステム（例えば、屋内用の小型基地局（ＲＲＨ：Ｒｅｍｏｔｅ　Ｒａｄｉｏ　Ｈｅａｄ）によって通信サービスを提供することもできる。「セル」又は「セクタ」という用語は、このカバレッジにおいて通信サービスを行う基地局及び基地局サブシステムの少なくとも一方のカバレッジエリアの一部又は全体を指す。

　本開示においては、「移動局（ＭＳ：Mobile　Station）」、「ユーザ端末（user　terminal）」、「ユーザ装置（ＵＥ：User　Equipment）」、「端末」などの用語は、互換的に使用され得る。

　移動局は、当業者によって、加入者局、モバイルユニット、加入者ユニット、ワイヤレスユニット、リモートユニット、モバイルデバイス、ワイヤレスデバイス、ワイヤレス通信デバイス、リモートデバイス、モバイル加入者局、アクセス端末、モバイル端末、ワイヤレス端末、リモート端末、ハンドセット、ユーザエージェント、モバイルクライアント、クライアント、又はいくつかの他の適切な用語で呼ばれる場合もある。

　基地局及び移動局の少なくとも一方は、送信装置、受信装置、通信装置などと呼ばれてもよい。なお、基地局及び移動局の少なくとも一方は、移動体に搭載されたデバイス、移動体自体などであってもよい。当該移動体は、乗り物（例えば、車、飛行機など）であってもよいし、無人で動く移動体（例えば、ドローン、自動運転車など）であってもよいし、ロボット（有人型又は無人型）であってもよい。なお、基地局及び移動局の少なくとも一方は、必ずしも通信動作時に移動しない装置も含む。例えば、基地局及び移動局の少なくとも一方は、センサなどのＩｏＴ（Internet of Things）機器であってもよい。

　また、本開示における基地局は、ユーザ端末で読み替えてもよい。例えば、基地局及びユーザ端末間の通信を、複数のユーザ装置２０間の通信（例えば、Ｄ２Ｄ（Device-to-Device）、Ｖ２Ｘ（Vehicle-to-Everything）などと呼ばれてもよい）に置き換えた構成について、本開示の各態様／実施形態を適用してもよい。この場合、上述のネットワークノード１０が有する機能をユーザ装置２０が有する構成としてもよい。また、「上り」及び「下り」などの文言は、端末間通信に対応する文言（例えば、「サイド（side）」）で読み替えられてもよい。例えば、上りチャネル、下りチャネルなどは、サイドチャネルで読み替えられてもよい。

　同様に、本開示におけるユーザ端末は、基地局で読み替えてもよい。この場合、上述のユーザ端末が有する機能を基地局が有する構成としてもよい。

　本開示で使用する「判断(determining)」、「決定(determining)」という用語は、多種多様な動作を包含する場合がある。「判断」、「決定」は、例えば、判定(judging)、計算(calculating)、算出(computing)、処理(processing)、導出(deriving)、調査(investigating)、探索(looking　up、search、inquiry)（例えば、テーブル、データベース又は別のデータ構造での探索）、確認(ascertaining)した事を「判断」「決定」したとみなす事などを含み得る。また、「判断」、「決定」は、受信(receiving)（例えば、情報を受信すること）、送信(transmitting)(例えば、情報を送信すること)、入力(input)、出力(output)、アクセス(accessing)（例えば、メモリ中のデータにアクセスすること）した事を「判断」「決定」したとみなす事などを含み得る。また、「判断」、「決定」は、解決(resolving)、選択(selecting)、選定(choosing)、確立(establishing)、比較(comparing)などした事を「判断」「決定」したとみなす事を含み得る。つまり、「判断」「決定」は、何らかの動作を「判断」「決定」したとみなす事を含み得る。また、「判断（決定）」は、「想定する（assuming）」、「期待する（expecting）」、「みなす（considering）」などで読み替えられてもよい。

　「接続された(connected)」、「結合された(coupled)」という用語、又はこれらのあらゆる変形は、２又はそれ以上の要素間の直接的又は間接的なあらゆる接続又は結合を意味し、互いに「接続」又は「結合」された２つの要素間に１又はそれ以上の中間要素が存在することを含むことができる。要素間の結合又は接続は、物理的なものであっても、論理的なものであっても、或いはこれらの組み合わせであってもよい。例えば、「接続」は「アクセス」で読み替えられてもよい。本開示で使用する場合、２つの要素は、１又はそれ以上の電線、ケーブル及びプリント電気接続の少なくとも一つを用いて、並びにいくつかの非限定的かつ非包括的な例として、無線周波数領域、マイクロ波領域及び光（可視及び不可視の両方）領域の波長を有する電磁エネルギーなどを用いて、互いに「接続」又は「結合」されると考えることができる。

　参照信号は、ＲＳ（Reference　Signal）と略称することもでき、適用される標準によってパイロット（Pilot）と呼ばれてもよい。

　本開示において使用する「に基づいて」という記載は、別段に明記されていない限り、「のみに基づいて」を意味しない。言い換えれば、「に基づいて」という記載は、「のみに基づいて」と「に少なくとも基づいて」の両方を意味する。

　本開示において使用する「第１の」、「第２の」などの呼称を使用した要素へのいかなる参照も、それらの要素の量又は順序を全般的に限定しない。これらの呼称は、２つ以上の要素間を区別する便利な方法として本開示において使用され得る。したがって、第１及び第２の要素への参照は、２つの要素のみが採用され得ること、又は何らかの形で第１の要素が第２の要素に先行しなければならないことを意味しない。

　上記の各装置の構成における「手段」を、「部」、「回路」、「デバイス」等に置き換えてもよい。

　本開示において、「含む（include）」、「含んでいる（including）」及びそれらの変形が使用されている場合、これらの用語は、用語「備える（comprising）」と同様に、包括的であることが意図される。さらに、本開示において使用されている用語「又は（or）」は、排他的論理和ではないことが意図される。

　本開示において、例えば、英語でのa, an及びtheのように、翻訳により冠詞が追加された場合、本開示は、これらの冠詞の後に続く名詞が複数形であることを含んでもよい。

　本開示において、「ＡとＢが異なる」という用語は、「ＡとＢが互いに異なる」ことを意味してもよい。なお、当該用語は、「ＡとＢがそれぞれＣと異なる」ことを意味してもよい。「離れる」、「結合される」などの用語も、「異なる」と同様に解釈されてもよい。

　本開示において説明した各態様／実施形態は単独で用いてもよいし、組み合わせて用いてもよいし、実行に伴って切り替えて用いてもよい。また、所定の情報の通知（例えば、「Ｘであること」の通知）は、明示的に行うものに限られず、暗黙的（例えば、当該所定の情報の通知を行わない）ことによって行われてもよい。

　なお、本開示におけるＮＦ、ＮＦサービス、ＮＲＦ、ＳＥＰＰ、３ｇｐｐＧＷ、ＩｓｔｉｏＰｉｌｏｔ又はＥｎｖｏｙ及びそれらの組み合わせは、ネットワークノードの一例である。ＩｓｔｉｏＰｉｌｏｔは、管理ノードの一例である。

　以上、本開示について詳細に説明したが、当業者にとっては、本開示が本開示中に説明した実施形態に限定されるものではないということは明らかである。本開示は、請求の範囲の記載により定まる本開示の趣旨及び範囲を逸脱することなく修正及び変更態様として実施することができる。したがって、本開示の記載は、例示説明を目的とするものであり、本開示に対して何ら制限的な意味を有するものではない。

　本国際特許出願は２０１９年４月１１日に出願した日本国特許出願第２０１９－０７５８８４号に基づきその優先権を主張するものであり、日本国特許出願第２０１９－０７５８８４号の全内容を本願に援用する。

１０　　　　ネットワークノード
１１０　　　送信部
１２０　　　受信部
１３０　　　設定部
１４０　　　制御部
２０　　　　ユーザ装置
２１０　　　送信部
２２０　　　受信部
２３０　　　設定部
２４０　　　制御部
１００１　　プロセッサ
１００２　　記憶装置
１００３　　補助記憶装置
１００４　　通信装置
１００５　　入力装置
１００６　　出力装置

Claims

　ネットワークノード間における通信のセキュリティを向上させるための情報を管理ノードから受信する受信部と、
　前記セキュリティを向上させるための情報に基づいて、第１のＰＬＭＮ（Public Land Mobile Network）に配置される第１のネットワークノードから送信される要求を受信して、前記要求を第２のＰＬＭＮに配置される第２のネットワークノードに送信する制御部とを有するネットワークノード。
　前記第１のＰＬＭＮはＶＰＬＭＮ（Visited PLMN）であり、前記第２のＰＬＭＮはＨＰＬＭＮ（Home PLMN）であり、前記第１のネットワークノード及び前記第２のネットワークノードは、少なくとも一つがＮＦ（Network Function）サービスである請求項１記載のネットワークノード。
　前記第１のネットワークノードがＮＦサービスであって前記第２のネットワークノードＮＦであるか、又は前記第１のネットワークノードがＮＦであって前記第２のネットワークノードがＮＦサービスである請求項２記載のネットワークノード。
　前記セキュリティを向上させるための情報は、ＴＬＳ（Transport Layer Security）ポリシであって、
　前記制御部は、前記第１のネットワークノードと第１の相互ＴＬＳを確立し、前記第１のＰＬＭＮにおけるＳＥＰＰ（Security Edge Protection Proxy）と第２の相互ＴＬＳを確立し、前記確立された第１の相互ＴＬＳを介して前記要求を受信し、前記確立された第２の相互ＴＬＳを介して前記要求を送信する請求項２記載のネットワークノード。
　前記セキュリティを向上させるための情報は、サービスロール及びサービスロールバインディングであって、
　前記制御部は、前記サービスロール及びサービスロールバインディングに基づいて、前記第２のネットワークノードに前記要求を送信するためのトークンを取得し使用する機能を実現する請求項１記載のネットワークノード。