JP7050937B2 - コアネットワークドメイン間で伝送されるメッセージの保護 - Google Patents
コアネットワークドメイン間で伝送されるメッセージの保護 Download PDFInfo
- Publication number
- JP7050937B2 JP7050937B2 JP2020537209A JP2020537209A JP7050937B2 JP 7050937 B2 JP7050937 B2 JP 7050937B2 JP 2020537209 A JP2020537209 A JP 2020537209A JP 2020537209 A JP2020537209 A JP 2020537209A JP 7050937 B2 JP7050937 B2 JP 7050937B2
- Authority
- JP
- Japan
- Prior art keywords
- message
- protection
- network
- interdomain
- parts
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本発明は、一般に無線通信システムに関するものであり、より詳細には、無線通信システムの異なるコアネットワークドメイン間で伝送されるメッセージの保護に関するものである。
ユーザのサービスネットワークドメインには、コアネットワーク機器と、ユーザのアクセスポイントに対してローカルな機能が含まれる。ユーザのホームネットワークドメインは、コアネットワーク機器と、ユーザのアクセスポイントの位置に依存しない機能とを含む。ユーザのホームネットワークドメインは、例えば、ユーザの加入情報および/またはホーム固有のサービスを管理してもよい。ユーザのサービングネットワークドメインがユーザのホームネットワークドメインと異なるとき、サービングネットワークドメインとホームネットワークドメインは、例えば、ユーザ認証、ユーザ固有のデータ/サービスなどのために、互いに通信する。これらおよび他の例において、異なるコアネットワークドメイン間の通信は、通信が許可されていない主体によって検査インスタンス改変されないことを保証するために、(例えば、機密性および/インスタンス完全性保護によって)保護される必要がある。
いくつかの文脈は、ドメイン間通信の保護を複雑にする。第1に、異なるコアネットワークドメイン間の相互接続をサポートするインターネットワーク交換プロバイダは、ネットワークオペレータに特定の価値あるサービスを提供するために、実際に通信の一部を読みとったり修正したりする必要があるかもしれない。第2に、通信フォーマットの進化に直面しているドメイン間通信の適切な保護を保証することは、非現実的な管理上および運用上のオーバーヘッドを課す恐れがある。
本明細書のいくつかの実施形態は、無線通信システムの異なるコアネットワークドメイン間で送信されるメッセージのドメイン間セキュリティ保護のための保護ポリシを利用する。保護ポリシは、メッセージのどの1つ以上の部分にドメイン間セキュリティ保護が適用または解除されるか、例えば、保護がメッセージの特定の部分のみに選択的に適用または解除され得るかを示してよい。実際に、いくつかの実施形態では、保護ポリシは、メッセージにおけるフィールドのコンテンツのどの1つ以上の部分にドメイン間セキュリティ保護が適用又は解除されるかを示す情報を含む。このようにして、保護は、フィールドのコンテンツ全体ではなく、所定のフィールドのコンテンツの特定の部分に選択的に適用されまたは解除されてよい。
代替的または追加的に、いくつかの実施形態では、メッセージのドメイン間セキュリティ保護のための保護ポリシは、動的に受信および/または更新されてもよい。例えば、一実施形態では、特定のメッセージ(例えば、特定のタイプの)に適用可能な保護ポリシは、メッセージの受信に応答して動的にディスカバリされおよび/または検索されてもよい。別の実施形態では、特定のメッセージに適用可能な保護ポリシは、メッセージ自体に含まれるか、またはメッセージ自体に他の方法で関連付けられてもよい。
いくつかの実施形態に従って、メッセージの特定の部分(例えば、特定のフィールドのコンテンツの1つ以上の部分)の選択的ドメイン間セキュリティ保護は、ネットワーク交換プロバイダがネットワークオペレータにサービスを提供するために必要に応じてメッセージを読み取ったり、または変更したりすることを有利に可能にし得る。代替的または追加的に、いくつかの実施形態による保護ポリシの動的受信および/または更新可能性は、そうでなければこのような柔軟性のために必要とされる管理および/または運用のオーバヘッドを最小化または少なくとも削減しながら、(例えば、コアネットワークにおけるネットワーク機能の進化に起因する)メッセージフォーマットの変更により進化する柔軟な保護を有利に提供する。
より詳細には、本明細書の実施形態は、無線通信システムの複数の異なるコアネットワークドメインのうちの1つにおけるネットワーク機器によって実行される方法を含む。方法は、異なるコアネットワークドメイン間で送信された、または送信されるメッセージを受信することを含んでよい。また、方法は、保護ポリシに従って、メッセージの1つ以上の部分(例えば、メッセージ内のフィールドのコンテンツの1つ以上の部分)に対してドメイン間セキュリティ保護を適用すること、またはドメイン間セキュリティ保護を解除することを含むことができる。いくつかの実施形態では、保護ポリシは、メッセージのどの1つ以上の部分にドメイン間セキュリティ保護が適用されまたは解除されるかを示す。実際に、いくつかの実施形態では、保護ポリシは、メッセージにおけるフィールドのコンテンツのどの1つ以上の部分にドメイン間セキュリティ保護が適用され又は解除されるかを示す情報を含む。ある実施形態では、ネットワーク機器は、保護ポリシを受信することによって、例えば、ディスカバリ要求に応答して動的に、保護ポリシを取得してもよい。いくつかの実施形態では、本方法は、メッセージの宛先に向けて、1つ以上の部分に適用されまたは解除されたドメイン間セキュリティ保護を伴うメッセージを転送することをさらに含む。
いくつかの実施形態では、メッセージはハイパーテキスト転送プロトコル(HTTP)メッセージであり、フィールドはHTTPフィールドである。例えば、いくつかの実施形態では、HTTPメッセージはHTTP要求メッセージであり、フィールドはパスフィールドであり、パスフィールドのコンテンツは要求ユニフォーム・リソース・アイデンティファイア(URI)である。
いくつかの実施形態において、情報は、1つ以上の部分を示す1つ以上の正規表現を含む。代替的に、または追加的に、いくつかの実施形態では、情報は、1つ以上の部分を示す1つ以上のJavaScript Object Notation(JSON)ポインタを含む。
いくつかの実施形態において、保護ポリシは、さらに、1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護のタイプを示す。この場合、1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護のタイプは、機密性保護および/または完全性保護を含んでよい。
いくつかの実施形態では、保護ポリシはメッセージに含まれる。これらの実施形態および他の実施形態では、方法は、メッセージの送信元からメッセージの宛先までメッセージが辿るパスにおけるネットワーク機器から保護ポリシを受信することをさらに含んでよい。他の実施形態では、本方法は、さらに、メッセージの受信に応答して、ネットワークリポジトリ機能(NRF)に、メッセージを保護するための保護ポリシのディスカバリを要求するディスカバリ要求を送信することと、ディスカバリ要求に応答して保護ポリシを受信することを含んでもよい。
本明細書の実施形態は、無線通信システムの異なるコアネットワークドメイン間で送信されるメッセージの保護を容易にするために、ネットワーク機器によって実行される方法も含む。この方法は、保護ポリシを取得することを含んでよい。いくつかの実施形態では、保護ポリシは、メッセージのどの1つ以上の部分にドメイン間セキュリティ保護が適用されまたは解除されるかを示す。実際に、いくつかの実施形態では、保護ポリシは、メッセージにおけるフィールドのコンテンツのどの1つ以上の部分にドメイン間セキュリティ保護が適用され又は解除されるかを示す情報を含む。いずれにせよ、方法はまた、保護ポリシを送信することを含んでよい。例えば、ある実施形態では、方法は、保護ポリシに従って、ドメイン間セキュリティ保護を1つ以上の部分に適用するか、またはドメイン間セキュリティ保護を解除するように構成された、1つ以上の異なるコアネットワークドメイン内のネットワーク機器に、保護ポリシを送信することを含む。
ある実施形態では、本方法は、ネットワークリポジトリ機能(NRF)を実施するネットワーク機器によって実行される。この場合、本方法は、さらに、メッセージを保護するための保護ポリシのディスカバリを要求するディスカバリ要求を受信することと、ディスカバリ要求に応答して保護ポリシを送信することを含んでよい。他の実施形態では、方法は、メッセージの送信元からメッセージの宛先までメッセージが辿るパスにおけるネットワーク機器によって実行されてもよい。これらの実施形態および他の実施形態では、保護ポリシは、メッセージに含まれてもよい。
いくつかの実施形態では、メッセージはハイパーテキスト転送プロトコル(HTTP)メッセージであり、フィールドはHTTPフィールドである。例えば、いくつかの実施形態では、HTTPメッセージはHTTP要求メッセージであり、フィールドはパスフィールドであり、パスフィールドのコンテンツは要求ユニフォーム・リソース・アイデンティファイア(URI)である。
いくつかの実施形態において、情報は、1つ以上の部分を示す1つ以上の正規表現を含む。代替的に、または追加的に、いくつかの実施形態では、情報は、1つ以上の部分を示す1つ以上のJavaScript Object Notation(JSON)ポインタを含む。
いくつかの実施形態において、保護ポリシは、さらに、1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護のタイプを示す。この場合、1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護のタイプは、機密性保護および/または完全性保護を含んでよい。
本明細書の実施形態は、対応する装置、コンピュータプログラム、およびキャリア(例えば、非一時的コンピュータ可読媒体)も含む。例えば、本明細書の実施形態は、無線通信システムの複数の異なるコアネットワークドメインの1つで使用するように構成されたネットワーク機器も含む。ネットワーク機器は、通信回路及び処理回路を含む。処理回路は、通信回路を介して、異なるコアネットワークドメイン間で送信された、または送信されるメッセージを受信するように構成されてもよい。また、処理回路は、コンテンツのドメイン間セキュリティ保護の1つ以上の部分が適用または解除されることを示す情報を含む保護ポリシに従って、メッセージのフィールドのコンテンツの1つ以上の部分にドメイン間セキュリティ保護を適用したり、ドメイン間セキュリティ保護を解除したりするように構成されてもよい。処理回路は、通信回路を介してメッセージの宛先に向けて、1つ以上の部分に適用または解除されたドメイン間セキュリティ保護を有するメッセージを転送するようにさらに構成されてもよい。
実施形態は、通信回路および処理回路を含むネットワーク機器をさらに含む。処理回路は、メッセージにおけるフィールドのコンテンツのどの1つ以上の部分にドメイン間セキュリティ保護が適用または解除されるかを示す情報を含む保護ポリシを取得するように構成され、メッセージは無線通信システムの異なるコアネットワークドメイン間で送信される。また、処理回路は、通信回路を介して保護ポリシを送信するように構成される。
図1は、いくつかの実施形態に係る無線通信システム10を示す。システム10は、無線デバイス12を1つ以上のコアネットワーク(CN)16、例えば1つ以上の公衆陸上移動体ネットワーク(PLMN)、に無線接続する1つ以上の無線アクセスネットワーク(RAN)14を含む。CN16は次に無線デバイス12を1つ以上のデータネットワーク18、例えばインターネット、公衆交換電話網(PSTN)等に接続する。
ある実施形態におけるCN16は、CNネットワーク機能(NF)間のサービスベースの相互作用を利用するサービスベースのアーキテクチャを有し、そのうちの2つはNF20、30として示される。各NF20、30は、専用ハードウェア上のネットワーク要素として、専用ハードウェア上で実行されるソフトウェアインスタンスとして、または、例えばクラウドインフラストラクチャ上の適切なプラットフォーム上にインスタンス化される仮想化機能として、ネットワーク機器によって実現されてもよい。システム10が5Gシステムである場合、例えば、制御プレーン内のNFは、アクセス及びモビリティ管理機能 (AMF)、セッション管理機能(SMF)、ポリシ制御機能 (PCF)、認証サーバ機能(AUSF)、統合データ管理機能(UDM)、等を含むことができる。
NFは、そのサービスを消費する他の認証されたNFに、そのサービスを提供してもよい。それにより、NFは、サービスのプロバイダとしてのプロバイダの役割(NFサービスプロバイダ)および/またはサービスの消費者としての消費者の役割(NFサービス消費者)を引き継ぐことができる。一例では、NF20は、NFサービスプロバイダとしてNF30によって提供されるサービスを消費するために、NFサービス消費者として動作する。NFサービスプロバイダがNFサービス消費者にサービスを提供するために、NF20、30は、その一部として、またはそのために、メッセージの形成で通信をやり取りする。しかしながら、いくつかの実施形態では、NF20、30は異なるPLMN内にある。これらの実施形態および他の実施形態では、これらのメッセージは、異なるコアネットワークドメイン間で送信されなければならない。
図1は、プロキシ40、50がドメイン間メッセージングを容易にすることを示す。各プロキシ40、50は、それぞれのコアネットワークドメインのプロキシとして構成される。NF20、30が異なるPLMNにある場合、例えば、プロキシ40、50は、それぞれのPLMNのエッジにあるエッジプロキシ(例えば、セキュリティエッジ保護プロキシ(SEPP)の形態)であってもよい。各プロキシ40、50は、例えば、メッセージ(例えば、悪意の有無)を検査および/またはフィルタリングして、ロードバランシング等を実行するために、そのドメインに着信し、および/またはそのドメインから発信するメッセージを(例えば、アプリケーション層で)インターセプトする。いくつかの実施形態におけるプロキシ40、50は、それぞれのコアネットワークドメインのトポロジを隠蔽する。プロキシ40、50はまた、コアネットワークドメイン間で送信されるメッセージを保護する。
より詳細には、この点に関して、図1は、一例として、NF20がメッセージ60の宛先としてNF30に送信されるメッセージ60(例えば、アプリケーション層メッセージ)の送信元であることを示す。異なるコアネットワークドメイン内のNF20、30により、プロキシ40は、メッセージ60がコアネットワークドメイン境界を越えて送信される前に、メッセージ60を受信する(例えば、インターセプトする)。プロキシ40は、メッセージ60にドメイン間セキュリティ保護70を適用する。保護70が機密性保護を含む場合、例えば、保護70の適用は暗号化を含んでよい。代替的にまたは追加的に、保護70が完全性保護を含む場合、保護70の適用は、チェックサム、メッセージ認証コード(MAC)、署名、またはメッセージ改ざんを検出するための他の情報の追加を含んでよい。いずれにせよ、プロキシ40は、次に、保護70が適用されたメッセージ60を、メッセージの宛先30としてNF 30に向けて転送する。プロキシ50は、NF 30のコアネットワークドメインに着信するメッセージ60を受信する(例えば、インターセプトする)。プロキシ50は、ドメイン間セキュリティ保護70を(例えば、復号化および/またはチェックサム確認および除去を行うことによって)解除する。次に、プロキシ50は、メッセージの宛先30として、メッセージ60をNF30に向けて転送する。
いくつかの実施形態によれば、ドメイン間セキュリティ保護70は、メッセージ60の1つ以上の部分または一部に適用され、例えば、メッセージ60全体に適用される必要はなく、メッセージ60の特定の部分のみに選択的に保護が適用されてもよい。実際、いくつかの実施形態では、保護70は、メッセージ60内の特定のフィールド62のコンテンツの1つ以上の部分に適用される。この点において、フィールド62は、(例えば、メッセージ60が生成されるプロトコルに基づいて)所定のタイプおよび/または目的のコンテンツを有するものとして予め定義されてもよい。いくつかの実施形態におけるフィールド62は、要素または情報要素とも呼ばれてよい。このようにして、保護は、フィールドのコンテンツ全体ではなく、所定のフィールドのコンテンツの特定の部分に選択的に適用されてよい。
図2Aに例を示す。図2Aに示すように、フィールド62のコンテンツは、複数の部分62A、62B、および62Cを有する。これらの部分は、フィールドのコンテンツを一緒に形成するために、全て同じタイプおよび/または目的を有することができる。しかし、保護70は、部分62Aおよび62Cの除外に対して、部分62Bに選択的に適用されてもよい。ある実施形態では、例えば、プロキシ50は、フィールド62から部分62Bを抽出し、抽出された部分62Bに選択的に保護70を(例えば、部分62Bを選択的に暗号化し、および/または部分62Bに対して選択的にチェックサムを生成することによって)適用する。部分62Aおよび62Cは、保護されないままでよい。次に、メッセージ60を受信すると、プロキシ60は、フィールド62から部分62Bを抽出し、抽出された部分62Bから選択的に保護70を(例えば、部分62Bを選択的に復号することによって、および/または部分62Bのチェックサムを確認および除去することによって)解除することができる。
図2Bは、メッセージ60がハイパーテキスト転送プロトコル(HTTP)メッセージであり、フィールド62がHTTPフィールド(例えば、HTTPメッセージのボディまたはボディの一部、またはHTTPヘッダまたは疑似ヘッダのフィールド)である、いくつかの実施形態におけるフィールドのコンテンツの特定の例を示す。図に示すように、メッセージ60はHTTP GET要求であり、フィールド62はパス(PATH)フィールドである。パスフィールドのコンテンツは、要求ユニフォーム・リソース・アイデンティファイア(URI) である。この場合、保護70は、パスフィールド内の要求URIの1つ以上の部分に適用されてもよい。実際、この例におけるパスフィールドのコンテンツ(すなわち、要求URI)は、要求URIの部分62Bのみに選択的に適用された保護70を有する複数の部分62A、62B、および62Cを含む。この例の部分62Bは、国際移動加入者識別情報(IMSI)の形式の加入者識別情報を含む。他の部分62Aおよび62Cは、保護されないままでよい。
いくつかの実施形態に係るメッセージ60の特定の部分(例えば、フィールド62のコンテンツの1つ以上の部分)の選択的ドメイン間セキュリティ保護は、これらの特定の部分を、他の部分を読み取ったり、あるいは修正したりすることを可能にすると同時に、許可されていない検査および/または改ざんから有利に保護し得る。例えば、異なるコアネットワークドメイン間の接続を提供するインターネットワーク交換プロバイダは、ネットワークオペレータにサービスを提供するために、必要に応じて、保護されていない部分を読んだり修正したりすることができる。したがって、防護の粒度は、実際に防護を必要とする(例えば、機密である)コンテンツの粒度に合わせて、狭く調整されてよい。これは、他のエンティティの他のコンテンツの使用を危険にさらす、および/または、通信資源や処理能力を不必要に増加させる可能性がある、過度に広範な防護を回避する。
特に、本明細書のいくつかの実施形態は、メッセージ60の特定の部分(例えば、フィールド62のコンテンツの1つ以上の部分)のこの選択的ドメイン間セキュリティ保護を実現するための保護ポリシ80を利用する。保護ポリシ80は、メッセージ60のどの1つ以上の部分にドメイン間セキュリティ保護70が(例えば、プロキシ40によって)適用されるか、(例えば、プロキシ50によって)解除されるかを示す情報を含む。ある実施形態では、次いで、この情報は、フィールド62のコンテンツのどの1つ以上の部分にドメイン間セキュリティ保護70が適用または解除されるかを示す。情報は、保護70が適用/解除される部分を明示的に示すことによって、または保護70が適用/解除されない部分を示すことによって暗黙的に、どの1つ以上の部分に保護70が適用/解除されるかを効果的に示すことができることに注意されたい。また、一実施形態における保護ポリシ80は、1つ以上の部分の各々に対して、適用または解除されるドメイン間セキュリティ保護70のタイプ(例えば、機密性および/または完全性保護)を示す。
例えば、ある実施形態では、保護ポリシ80内の情報は、1つ以上の部分を示す1つ以上の正規表現を含む。この点で正規表現は、検索パターンを定義する一連の文字であってよい。検索パターンは、次に、アルゴリズムを検索して、メッセージ60内の文字の特定のパターン(例えば、フィールドのコンテンツ内)を見つけることによって使用されてもよい。
例えば、図2Bの部分62B(例えば、IMSI)を見つけるために使用可能な正規表現は、「^/udm-sdm/v1/([^/?#]+)/nssai$」であってよい。この例では、曲折的な文字(すなわち^)とドル記号文字(すなわち$)は、任意の文字を「消費」せず、代わりに、検索される文字列の先頭と末尾にパターンを結び付けるアンカーである。正規表現の中の文字([^/?#]+)は、スラッシュ文字(/)、疑問符文字(?)、ポンド文字(#)を除く任意の文字の1つ以上の出現を含む任意のサブパターンまたはサブグループを捕捉する。この捕捉されたサブパターンまたはサブグループは、検索アルゴリズムから出力される。したがって、正規表現を使用してフィールドのコンテンツを構文解析すると、サブパターン「imsi-214050123456789」が提供される。したがって、保護70は、フィールドのコンテンツの他の部分62Aおよび62Cを除外するために、このサブパターンのみに選択的に適用され得る。
もちろん、正規表現は、本明細書で使用される部分を示す単なる1つの方法である。保護ポリシ80は、任意のタイプの表現、パターン、構文、言語、区切り文字、ポインタ、ルール、または1つ以上の部分を示す他の情報を含むことができる。例えば、ある実施形態では、情報は、より広い文字列内のパターン、トークン、または部分文字列を示す任意の情報であってもよい。図2Bの例では、例えば、情報は、代替的に、部分62Bをフィールドのコンテンツにおける第3のパスセグメントとして、すなわち、スラッシュ(/)の形式で第3および第4のトークンまたは区切り文字の間に現れる文字のサブパターンまたはサブグループを示すことができる。さらに他の実施形態では、情報は、フィールド62内の1つ以上のバイト範囲、および/またはフィールド62内の1つ以上のビット範囲を含み、これらは1つ以上の部分を示す。
さらに他の実施形態では、保護ポリシ80内の情報は、1つ以上の部分を示す1つ以上のJavaScript Object Notation(JSON)ポインタを含む。JSONポインタ(例えば、RFC 6901で定義されている)は、JSONドキュメント内の特定の値を識別するための文字列構文である。JSONポインタは、JSON文字列値および/またはURIフラグメント識別子で表現されてよい。特にJSONポインタは、ゼロ個以上の参照トークンのシーケンスを含むユニコード(Unicode)文字列である。各トークンには、斜線「/」文字がプレフィックスされる。これらの実施形態および他の実施形態では、例としての保護ポリシ80は、HTMLメッセージのボディまたはペイロード内のコンテンツの1つ以上の部分を示してよく、ここで、そのボディまたはペイロードは、JSON文書を含む。
保護ポリシ80内の情報の特定の性質にかかわらず、これらの例は、いくつかの実施形態における保護ポリシ80が、基礎となるメッセージ/フィールドコンテンツまたはメッセージの伝送プロトコルのいずれかとは無関係に、および/または一般的に適用可能な情報を有する部分(保護70が適用または削除される部分)を示すことを表す。保護ポリシ80は、例えば、フィールドのコンテンツのタイプ、構造、又はフォーマットにかかわらず、同じ一般的な種類の情報(例えば、正規表現)を有するフィールド62内のコンテンツの任意の部分を示すことができる。すなわち、ある例では、情報は、特定のタイプまたはフォーマット(例えば、IMSI)を有するコンテンツに基づいてフィールド62内のコンテンツの特定の部分を示すために形成されてもよいが、別の例では、情報は、異なるタイプまたはフォーマット(例えば、セル識別子)を有するコンテンツに基づいてフィールド62内のコンテンツの異なる部分を示すために(例えば、異なる正規表現として)形成されてもよい。しかし、両方の例の情報は、同一の一般的な文字(例えば、両方とも正規表現)を有するため、プロキシ40、50が、基礎となるコンテンツのタイプ、構造、またはフォーマットが進化するか、あるいはどのように進化するかにかかわらず、任意の部分を識別することを、普遍的に可能にする。したがって、プロキシ40、50を構成して、保護ポリシ80内の正規表現または他の情報を一般的に理解または処理することは、プロキシ40、50がそのコンテンツをより具体的に理解するように構成されていなくても、メッセージ60またはフィールド62内のコンテンツの任意の部分に保護70を選択的に適用または解除するプロキシ40、50を十分に備える。図2Bの例では、次に、プロキシは、IMSIを識別する方法をより具体的に理解することなく、部分62Bを保護するために正規表現を処理する方法を単純に理解する必要がある。これは、プロキシ40、50が、新しいエンティティ(例えば、ネットワーク機能)および/またはサービス(例えば、それらのHTTP URIによって表される)のシステム10への導入に応じて、その基礎となるコンテンツが(例えば、その形態または構造に関して)どのように変更または進化するかを無視し続けることができることを意味する。いくつかの実施形態では、それは、その種の情報を使用する部分を識別するためのプロキシの一般的な構成ではなく、メッセージ60の基礎となるコンテンツ(例えば、その構造またはフォーマットに関して)の変更または進化を考慮するために動的に変更または進化する保護ポリシ80内の情報(例えば、正規表現)である。
あるいは、上記の実施形態に加えて、メッセージ60のドメイン間セキュリティ保護70に対する保護ポリシ80は、プロキシ40または50によって動的に受信および/または更新されてもよい。ポリシ80の動的検索および/または更新は、メッセージ60のコンテンツに対する変更または進化を考慮することができる。このように、プロキシ40または50自体の構成は、このような変更または進化を考慮するために(手動で)更新される必要はない。いくつかの実施形態によれば、これは、メッセージフォーマットの変更(例えば、コアネットワークにおけるネットワーク機能またはサービスの進化に起因する)と共に進化する柔軟な保護を有利に提供することができ、一方で、そうでなければそのような柔軟性のために必要とされる管理および/または運用のオーバヘッドを最小化または少なくとも削減することができる。
図3は、例えば、プロキシ40および/または50が、1つ以上のネットワークリポジトリ機能(NRF)90から、例えば、メッセージ60の受信に応答して、保護ポリシ80を動的にディスカバリするいくつかの実施形態を示す。図示されているように、メッセージ60の送信元としてのNF20はメッセージ60を送信し、それはプロキシ40によってインターセプトされるか、あるいは他の方法で受け取られる(ステップ1)。メッセージ60の受信に応答して、プロキシ40は、ディスカバリ要求92をディスカバリサービス(そのコアネットワークドメイン内)に送信し、メッセージ60を保護するための保護ポリシ80のディスカバリを要求する(ステップ2)。ディスカバリサービスは、ネットワークリポジトリ機能(NRF)90Aによって実現されるものとしてここに示されているが、他の実施形態では、NRFと共存するスタンドアロン機能によって、または他のネットワーク機器又は機能によって実現されてもよい。とにかく、プロキシ40は、ディスカバリ要求に応答して保護ポリシ80を受信する(ステップ3)。プロキシ40は、保護ポリシ80に従って決定されたメッセージ60の1つ以上の部分(例えば、フィールド62のコンテンツの1つ以上の部分)に保護を適用し、コアネットワークドメイン境界を越えて保護されたメッセージ60をプロキシ50に送信する(ステップ4)。メッセージ60を受信したことに応じて、プロキシ50は、次に、NRF90Bによって実施されるように、ディスカバリ要求94をディスカバリサービス(そのコアネットワークドメイン内)に送信する(ステップ5)。ディスカバリ要求に応答して、プロキシ50は、ディスカバリサービスから保護ポリシ80を受信する(ステップ6)。プロキシ50は、保護ポリシ80に従って決定されたメッセージ60の1つ以上の部分(例えば、フィールド62のコンテンツの1つ以上の部分)から保護を解除し、メッセージの宛先としてNF30に向けて(保護されていない)メッセージ60を送信する(ステップ7)。
図には示されていないが、いくつかの実施形態では、メッセージの送信元および/または宛先は、例えば、図3に示すように、そのポリシ80の後のディスカバリのために、メッセージ60に適用可能な保護ポリシ80を、コアネットワークドメインの1つ以上におけるディスカバリサービスに提供する。例えば、NF30は、消費者NFとしてのNF 20にサービスを提供するプロバイダNFであり、メッセージ60は、NF20がそのサービスを消費するためにNF30に送信するメッセージである。いくつかの実施形態では、プロバイダNF30は、そのサービスプロファイルを(例えば、初回登録または登録更新の一部として)NRF90Bに提供する。これには、NF30によって提供されるサービスを消費するために使用される1つ以上のメッセージに適用可能な保護ポリシ80が含まれる。次に、NRF90Bは、潜在的な消費者NFによる後のディスカバリのために、サービスプロファイルまたは少なくとも保護ポリシ80をNRF90Aに配布または他の方法で提供してよい。
さらなる他の実施形態では、プロキシ40および/または50は、NRF90Aおよび/または90Bから新らたなまたは更新された保護ポリシを積極的に受信するように加入してもよい。これらの実施形態および他の実施形態では、プロキシ40および/または50は、コアネットワークドメイン間で送信されるメッセージを保護するために後で使用されることを想定して、受信された保護ポリシを記憶(例えば、キャッシュ)することができる。
図4は、これとは対照的に、プロキシ40および/または50が、メッセージ60がメッセージ60の送信元から宛先に向かうパスにおいて、ネットワーク機能または機器から保護ポリシ80を受信する他の実施形態を示す。特に、図4は、メッセージの送信元としてのNF20が、メッセージ60自体に(例えば、メッセージのヘッダに)保護ポリシ80が埋め込まれているか、または他の方法で含まれているメッセージ60を送信することを示している(ステップ1)。このようにして、プロキシ40は、メッセージ60の送信元から保護ポリシ80を受信する。次に、プロキシ40は、再びメッセージ80に含まれる保護ポリシ80とともに保護されたメッセージ60をコアネットワークドメイン境界を超えて送信する(ステップ2)。それに応じて、プロキシ50は、異なるコアネットワークドメイン内のプロキシ40から保護ポリシ80を受信する。次に、プロキシ50は、メッセージ60の保護を解除し、宛先としてのNF30に向けてそれを転送することができる(ステップ3)。
上記のバリエーションおよび修正を考慮して、いくつかの実施形態におけるネットワーク機器は、一般に、図5に示される方法100を実行する。ネットワーク機器は、無線通信システム10の複数の異なるコアネットワークドメインの1つのためのプロキシとして構成されてもよい。例えば、方法100は、プロキシ40またはプロキシ50として構成されたネットワーク機器によって実行されてもよい。示されるような方法100は、異なるコアネットワークドメイン間で送信された、または送信されるメッセージ60を受信することを含む(ブロック110)。また、方法100は、メッセージ60のどの1つ以上の部分(例えば、メッセージ60内のフィールド62のコンテンツの1つ以上の部分)にドメイン間セキュリティ保護70が適用または解除されるかを示す情報を含む保護ポリシ80を受信するステップ(ブロック120)を含んでよい。方法100は、さらに、保護ポリシ80に従って、ドメイン間セキュリティ保護を1つ以上の部分に適用すること、またはドメイン間セキュリティ保護を解除することを含んでよい(ブロック130)。いくつかの実施形態における方法100は、メッセージ60の宛先に向けて、1つ以上の部分に適用または解除されたドメイン間セキュリティ保護を伴うメッセージ60を転送することも含み得る(ブロック140)。
いくつかの実施形態では、本方法は、さらに、メッセージ60の受信に応じて、メッセージ60を保護するための保護ポリシ80のディスカバリを要求する、ネットワークリポジトリ機能(NRF)へのディスカバリ要求を送信することと、ディスカバリ要求に応じた保護ポリシを受信することとを含む。あるいは、この方法は、メッセージの送信元からメッセージの宛先までメッセージが辿るパスにおけるネットワーク機器から保護ポリシ80を受信することを含んでもよい。
また、上記のバリエーションおよび修正を考慮して、他の実施形態のネットワーク機器は、一般に、無線通信システム10の異なるコアネットワークドメイン間で送信されるメッセージ60の保護を容易にするために、図6に示す方法200を実行する。方法200は、例えば、NF20、プロキシ40、プロキシ50、NF30、またはNRF90を実施するネットワーク機器によって実行されてよい。この点で示されるように、方法200は、メッセージ60のどの1つ以上の部分(例えば、メッセージ60のフィールド62のコンテンツの1つ以上の部分)に、ドメイン間セキュリティ保護70が適用または解除されるかを示す情報を含む保護ポリシ80を取得することを含む(ブロック210)。方法200はまた、保護ポリシ80を送信することを含み得る(ブロック220)。
例えば、ある実施形態では、保護ポリシを送信することは、異なるコアネットワークドメインのプロキシとして、保護ポリシに従って1つ以上の部分にドメイン間セキュリティ保護を適用する、またはドメイン間セキュリティ保護を解除するように構成されたネットワーク機器に、保護ポリシを送信することを含む。
代替的または追加的に、本方法は、ネットワークリポジトリ機能(NRF)を実施するネットワーク機器によって実行されてもよく、メッセージを保護するための保護ポリシのディスカバリを要求するディスカバリ要求を受信することと、ディスカバリ要求に応答して保護ポリシを送信することとをさらに含んでもよい。
あるいは、この方法は、メッセージの送信元からメッセージの宛先まで(例えば、NF20、プロキシ40、プロキシ50、またはNF30によって)メッセージが辿るパスにおけるネットワーク機器によって実行されてもよい。
いくつかの実施形態は、次に、5Gである場合に適用可能な特定の関連について説明される。
3GPPは5Gに取り組んでおり、認証から、IPアドレスの割り当て及びパケットのルーティングまで、接続しているユーザにサービスを提供する関連のコアネットワーク(5GC)を提供している。しかしながら、5Gコアネットワークは、以前の世代と著しく異なっている。
5Gアーキテクチャにおける変更の1つは、いわゆるサービスベースアーキテクチャ(SBA)を実装することである。この新しいアーキテクチャでは、コアネットワーク内の多数のインタフェース(ローミングインタフェースを含む)が、従来のテレコム形式から最新のWebベースのアプリケーションプログラミングインタフェース(API)に変更されている。これらのAPIの詳細は、現在、5Gコアネットワークアーキテクチャ文書23.501および23.502における、3GPP SA2グループにおいてならびに3GPP CTグループにおいて、作業されている。
サービスベースのアーキテクチャを開発し、実装するには、いくつかの代替方法がある。いくつかの可能性の中から、3GPP CT4グループは、REST(Representational State Transfer)アーキテクチャモデルに基づくアーキテクチャを選択した。このモデルでは、5Gシステム内の異なるエンティティ(サービス、ネットワーク機能など)は、HTTPでユニフォーム・リソース・アイデンティファイア (URI)によって識別される、いわゆる「リソース」上でアクションを呼び出すことによって互いに相互作用する。そして、異なるシステムエンティティで呼び出される異なるアクションは、異なるHTTP標準コマンド(GET、POST、PUT、DELETE など) によって定義され、一方で、HTTP メッセージは、影響を受けるリソースの表現をHTTPペイロードで伝達する。これらの表現は、異なるデータエンコード言語(JSONなど)でフォーマットされ得る。
5G Core Network は、次の要件に従い得る。Main protocol: HTTP/2; Transport protocol: TCP; RESTful API design style; Data serialization format: JSON; Server-initiated interactions: "Web-hook"; および Interface Definition Language: OpenAPI 3.0.0 (公式には「Swagger」として知られる)。
5Gコアネットワークの異なるネットワーク機能は、アプリケーションプログラミングインターフェース(API)を介してサービスを公開する。このAPI は、HTTPリソース(Universal Resource Identifiers、URI)、可能な操作(GET、POST、PUT など)、およびメッセージペイロードで転送されるデータの形式(メッセージ本文) を定義する。
NFサービスプロバイダに関する情報が対応するNFサービス消費者にローカルに構成されている場合(期待されるNF サービスまたはNFがリクエスタNFと同一のPLMN にある場合など)でなければ、NFサービス消費者は、ネットワークリポジトリ機能(NRF)を使用して動的にNFサービスプロデューサを発見して選択する。NRFは、NFサービスプロデューサの使用可能なインスタンスとそのサポートされているサービスのNFプロファイルを維持し、NFサービス消費者からNFサービスディスカバリ要求を受信し、対応するNFサービスプロデューサの使用可能なインスタンスの情報を要求側NFサービス消費者に提供する、ために使用される論理機能である。
要求されたNFタイプまたはNFサービスへのアクセスを可能にするために、リクエスタNFは、NFのタイプまたは発見しようとしている特定のサービス(例えば、セッション管理機能(SMF)、ポリシ課金機能(PCF)、ユーザ機器(UE)位置報告)および他のサービスパラメータ(例えば、スライシング関連情報)をNRFに提供することによって、NFまたはNFサービスのディスカバリを開始する。選択されたメッセージルーティングモデルに応じて、NRFはIPアドレスまたは完全修飾ドメイン名(FQDN)、または関連するサービスやNFインスタンスの識別子をリクエスタNFに提供し得る。その情報に基づいて、リクエスタNFは、1つの特定のNFインスタンス、または、特定のNFサービスを提供することができるNFインスタンス(例えば、ポリシ認可を提供することができるPCFのインスタンス)を選択することができる。
ローミングの場合(すなわち、ユーザが、そのユーザが加入しているホームネットワーク以外のネットワークにアクセスしている場合)には、相互接続ネットワークを介して送られる情報が、許可されていない主体によって検査または改変されないことを保証するために、訪問されたネットワークとホームネットワークとの間の通信を(例えば、暗号的に)保護することができる。このタスクは、SEPP (Security Edge Protection Proxy) と呼ばれるネットワーク要素によって実行される。N32インターフェイスを介して通信するvSEPP (訪問したネットワークのSEPP) と、hSEPP (ホームネットワークのSEPP)がある場合がある。
SEPP間の通信の保護は、アプリケーション層にあってよい。いくつかの実施形態では、完全性保護は、N32インターフェース上で転送されるすべての属性に適用される。あるいは、追加的に、以下の属性のひとつ以上が、N32インターフェース上で送られるときに、守秘性を保護される可能性がある。属性は、認証ベクトル、暗号材料、位置データ、例えば、セルID と物理セルID、またはInternational Mobile Subscriber Identifier (IMSI)などの加入者永久識別子(SUPI)を含む。
SEPPの機能の一部として、その1つはHTTPメッセージを構成する異なるフィールド上で送信される情報を保護することである。これらのHTTP フィールドには、HTTPリクエストURI、HTTPヘッダ、HTTPボディ(またはペイロード) のさまざまな部分などがある。
2つのPLMN間の接続は、通常、いわゆるIPXプロバイダを介して行われる。実際の接続に加えて、IPXプロバイダは通常、オペレータに追加サービスを提供する。これらのサービスの一部は、PLMN間で送信されるメッセージのフィールドの読み取りおよび/または変更に基づいている。したがって、特定のメッセージ部分またはフィールドは、vSEPPとhSEPPの間のN32インターフェースを介して送信される場合、実際には暗号で保護されないことが望ましい。
要約すると、SEPPは、N32上で送信されるメッセージ中の情報フィールドまたは部分のいくつかを保護(暗号化および/または完全性保護)しなければならず、そして、(例えば、IPXプロバイダによって提供される追加サービスを実現するための)SEPPが保護されていないままにしておくべきメッセージの他の部分もある。
しかしながら、SEPPのロールアウトまたは最後の更新時に定義されなかった新しいタイプのメッセージがN32上で送信された場合、保護される必要があるメッセージの部分は、SEPPに明示的に知られていない。更に、SEPPはまた、コアネットワークにおける異なるネットワーク機能の通常の機能進化の結果として、ソフトウェアアップグレードを必要とせずにそのサービスを提供できることが望ましい。
本明細書のいくつかの実施形態は、メッセージのどの部分を保護する必要があるか、及びどのように保護しなければならないか(機密性、完全性)を定義するポリシを、有利に提供する。1つ以上の実施形態では、このポリシは、新しいタイプのメッセージに適用可能な(パターンマッチング)言語または「マスク」で表現される。このようにして、ポリシは動的に表現でき、SEPPのロールアウト時や最終更新時に知られる必要はない。本明細書の実施形態はまた、特定のメッセージに適用可能なポリシをSEPPに通知するためのフローを含む。それにより、実施形態は、このような保護(暗号化および/または完全性保護)を行うエンティティが静的構成に依存せず、新しいエンティティ(ネットワーク機能)および新しいサービス(それらのHTTP URIによって表される)がシステムに追加されるときに変更される必要がないように、N32上で送信されるメッセージの一部を選択的に保護するための動的かつ柔軟な方法を提供する。
いくつかの実施形態は、ホーム内および訪問したPLMNの間のサービスのデザイン(API)に影響を与えること無く、セキュリティメカニズムの適用を可能にする。追加的にまたは代替的に、いくつかの実施形態は、サービスAPIの現在の定義に拘束されず、柔軟な方法でネットワークオペレータ間で転送される5GトラフィックにおいてHTTPメッセージに見られる機密情報要素(IMSIのようなユーザ識別など)の保護(暗号化および/または完全性保護)を可能にし、5Gコアネットワークのさらなる進化における新しいネットワーク機能、サービスおよびAPIの導入のために準備される。
特定のメッセージのポリシをSEPPに通知するためのシグナリングフローの例について、以下に2つのバリエーションを説明する。図7は、バリエーション1とバリエーション2を説明するためのコンテキストの例を示す。
バリエーション1では、SEPPは適用可能な保護ポリシ情報をNRFに問い合わせる。図示するように、PLMN1のネットワーク機能NF1は、PLMN2のネットワーク機能NF2にメッセージを送信することを意図している。メッセージは、PLMN1およびPLMN2のSEPP1およびSEPP2を介してルーティングされる。SEPP1は、メッセージを受信すると、まだ有効期限が切れていないこのタイプのメッセージの保護ポリシが保存されているかどうかを確認する。このような保護ポリシが利用可能でない場合、SEPP1はPLMN1のNRF(NRF1と呼ばれる)を照会する。
NRF1が特定のメッセージに適用可能な保護ポリシについてSEPP1によって照会された場合、NRF1は使用可能な保護ポリシをSEPP1に送信する。NRF1は、PLMN2のNRFであるNRF2を照会する必要があってもよい。NRF1は、登録時にNF1から保護ポリシを受信したものであってもよい。NRF2は、登録時にNF2から保護ポリシを受信したものであってもよい。
SEPP1は、メッセージをSEPP2に転送する前に、NRF1および/またはNRF2から受信したポリシに従って、メッセージの保護(例えば、暗号保護)を行う。SEPP1は転送するメッセージに保護ポリシを含めることができる。「転送」において、SEPPはメッセージを修正するか、あるいは別のメッセージ内にカプセル化してもよいことに留意する。
SEPP1からメッセージを受信すると、SEPP2はメッセージの暗号化された部分を復号化し、メッセージの完全性保護のされた部分の整合性を確認する。SEPP2は、SEPP1から受信した保護ポリシを使用し、または保護ポリシ情報を取得するために必要に応じてNRF1および/またはNRF2に問い合わせを行ってよい。
SEPP2はメッセージをNF2に転送する。
これに対して、バリエーション2では、メッセージ(NF1)を送信するNFは、メッセージに保護ポリシを含める。NFは、サービスディスカバリの間(サービス消費者の場合)またはサービス登録の間(サービスプロデューサの場合)にポリシを受信してもよい。
この点に関して、より詳細には、ネットワーク機能NF1は、そのPLMNにおけるNRFであるNRF1において、サービスディスカバリまたはサービス登録を行う。上記のディスカバリまたは登録の一部として、NRF1は、NF1がサービスを消費または生産する間に、送信し得るメッセージタイプの保護ポリシを含めてよい。ディスカバリの場合、NRF1はNRF2から保護ポリシを受け取っていてもよい。
サービスを消費または生成している間、NF1はメッセージをNF2に送信しようとする。メッセージはSEPP1とSEPP2を介してルーティングされる。メッセージには、NF1が、このメッセージに適用可能な保護ポリシを含めている。NF1は、NRF1もしくはNRF2からポリシを受信したものであってもよいが、ポリシは、代わりに、NF1自身から発信されたものであってもよい。
SEPP1 は、メッセージをSEPP2に転送する前に、NF1から受信したポリシに従ってメッセージの保護を実行する。SEPP2が確実に元のメッセージを検索できるようにするために、SEPP1は、SEPP2がどの部分が保護されたかを知ることを可能にする情報を含むことができる。これは、例えば、転送するメッセージに保護ポリシを含めるSEPP1によって解決されてもよい。繰り返しになるが、「転送」において、SEPPはメッセージを修正したり、別のメッセージ内にカプセル化したりしてもよいことに留意する。
SEPP1からメッセージを受信すると、SEPP2はメッセージの暗号化された部分を復号化し、メッセージの完全性保護のされた部分の整合性を確認する。たとえば、SEPP2 は、SEPP1から受信した保護ポリシを使用できる。
SEPP2はメッセージをNF2に転送する。
これらの例で説明されている保護ポリシは、メッセージのどの要素が暗号化されるべきか、及び、どの要素の完全性が保護されるべきかを記述する。ポリシは、どの要素が保護されるべきか(暗号化され、かつ/または、完全性保護がされるべきか)を明示的に記述してもよいし、どの要素が保護されてはならないか(暗号化されず、かつ/または、完全性保護がされていないか)を明示的に記述してもよい。
保護方針の実現可能性の1つを以下に概説する。保護ポリシは、NFによって送受信されるすべてのメッセージに対して定義されてよい。メッセージは、HTTPリクエストまたはHTTPレスポンスのいずれかであってよい。
いくつかの実施形態における保護ポリシは、1つ以上の保護ルールを含む。各保護ルールは、(1) ルールが適用可能なメッセージタイプ(例えばHTTPリクエスト、HTTPレスポンス、またはその両方など)と、(2)ルールが適用可能なメッセージエンティティ(Request-URI、HTTP疑似ヘッダ、HTTPヘッダ、HTTPボディなど)と、(3)一致および置換処理、から構成される。メッセージエンティティに応じて、処理は、正規表現、JSON構造内の要素へのJSON ポインタ(RFC 6901)、およびその置換、またはその他の表現で表されてよい。
いくつかの実施形態では、保護ルールは、保護される必要のあるすべてのメッセージのすべての項目について、保護ポリシ内に存在しなければならない。
2つのNF間の通信では、いくつかの実施形態において、単一の保護ポリシが使用されてもよい。この保護ポリシは、サービスを提供するNF(すなわち、呼び出されたNF)によって定義される可能性がある。保護ポリシは、NFによって送受信されるメッセージに適用可能であってよい。NFの保護ポリシは、サービスを提供するNFのPLMNにあるNRFに格納されてもよい。
保護ポリシを、複数のPLMNとのNF通信に使用することができるが、NFは相互作用するPLMNごとに個別に保護ポリシを定義してもよい。
特定のPLMN内のNFの保護ポリシは、サービスを提供するNFが相互作用するすべてのNF サービス消費者に共通であってもよい。
SEPPは、NFに送信されるメッセージを暗号化する場合、そのNFのための保護ポリシの保護ルールを反復処理するものとする。すべてのポリシルールについて、ルールのメッセージタイプがメッセージのメッセージタイプと一致する場合、ルールによって決定されたメッセージエンティティに対して対応する一致と置換処理を適用するものとする。
SEPPは、他のSEPPから受信したメッセージを復号する際に、受信側NFの保護ポリシの保護ルールを反復処理する。すべてのポリシルールについて、ルールのメッセージタイプがメッセージのメッセージタイプと一致する場合、ルールによって決定されたメッセージエンティティに対して逆一致および置換処理を適用するものとする。
暗号化および復号化処理は、保護ポリシのすべての保護ルールが評価されると終了する。
適用可能なバリエーションに応じて、適用可能な保護ポリシは、SEPPに(NFまたは他のPLMNのSEPPによって)提供されるか、またはNRF内でSEPPによってルックアップされる。
いくつかの実施形態では、保護ポリシは、NFおよびNRFにローカルにプロビジョニングされてもよい。後者の場合、NFごとに保護ポリシがNRFに登録されてもよい。これは、NRFへの登録プロセスの一部として、またはオペレーションとメンテナンス(O&M)プロビジョニングなどの別のメカニズムによって行われる。いずれの場合も、新しいNFや既存のNFの保護ポリシの変更がデプロイされた場合にSEPPがアップグレードを必要としないようにすることが目標である。
バリエーション2の具体例を図8に示す。この例では、訪問したPLMN のネットワーク機能(例えば、アクセスおよびモビリティ機能(AMF))が、特定のユーザの加入者データを取得するために、ホームPLMNのネットワーク機能(例えば、統合データ管理(UDM)機能)にHTTP要求を送信する必要がある。加入者データは、5Gコアネットワークの特定の「スライス」を選択するために必要なデータなど、加入者プロファイルのごく一部であってよい。
UDM (ホームPLMNにある)のURIを調べるために、AMFはディスカバリ要求メッセージを発行してローカルNRFに問い合わせる。ディスカバリ要求メッセージには、必要なネットワーク機能タイプ(この場合はUDM)、または特定のサービス(この場合は「nudm-sdm」)などの検索条件が含まれる。vPLMNのNRFは、ディスカバリ要求をhPLMNのNRFに転送し、その結果、hPLMNの利用可能なUDMネットワーク機能(URIエンドポイント) のリストがvAMFに返される。
使用可能なUDMインスタンスから返されるプロファイルの一部として、プロファイル情報には、各サービスで使用可能な異なるURIを示すパラメータが含まれる。また、プロファイル情報は、これらのURIのどこが保護されるべき機密情報であるかについての情報を含む保護ポリシ80を含む。例である、
GET http://www.homeoperator.com/nudm-sdm/v1/{SUPI}/nssaiについて考える。
GET http://www.homeoperator.com/nudm-sdm/v1/{SUPI}/nssaiについて考える。
この場合、AMF は、ホームネットワークのUDMに保存されている特定のユーザのNetwork Slice Selection Assistance Information (NSSAI) を取得する必要があるときに、このURI を使用し得る。上記の構文では、構成要素{SUPI}は、例えば、以下のように実ユーザの識別によって代替される変数を表す。
GET http://www.homeoperator.com/nudm-sdm/v1/imsi-214050123456789/nssai
GET http://www.homeoperator.com/nudm-sdm/v1/imsi-214050123456789/nssai
HTTP要求は、訪問ネットワーク(vSEPP)においてAMFからSEPPにルーティングされ、AMFは機密情報を含むために保護が必要なURIの部分についてNRFから受け取った情報を含む特定のHTTPヘッダの保護ポリシ80を含む。
vSEPPはHTTPメッセージを受信する。vSEPPは、この情報が送信される必要があるhPLMN (hSEPP) のSEPPを決定し、関連するローミングアグリーメントを確認して、SEPP 間のメッセージを保護するために使用される適切な暗号化キーを見つける。vSEPPは、AMFによって送信された特定のHTTPヘッダも抽出し、それに応じてURI を処理する。このため、見つかったキーを使用して機密情報であるURI部分を暗号化することができる。HTTPヘッダは、例えば、以下のような正規表現(上記のURL例から)を示してよい。「^/udm-sdm/v1/ ([^/?#]+)/nssai$」。これにより、完全な一致を見つけることを可能し、ここで、第1の内部グループ「([^/?#]+)」 は、{supi}の値が見つかることが期待される文字の集合である。
hSEPPはHTTPメッセージを受信し、逆の操作を行う。メッセージを送信するPLMNを決定し、適用可能なローミングアグリーメントを確認して、適切な暗号化キーを決定する。次に、特定のHTTP ヘッダを確認し、保護の対象となる(暗号化された) URIの部分を決定し、それらを復号化して、暗号化されていないバージョンに置き換える。hSEPP はまた、URIの暗号化された部分を示すHTPPヘッダを削除する。
次に、hSEPPはHTTPメッセージをHPLMNのUDMインスタンスに転送する。このメッセージは、vAMFによって発信されたメッセージと同一であるため、特定のURI構成要素のSEPPS間で行われる暗号化/復号化は、vAMF → hUDM通信に対して透過的である。
実施形態は、異なるPLMNにおけるコアネットワークの形態をとるコアネットワークドメイン間でメッセージ60を送信する文脈で例示されているが、本明細書の実施形態は、任意のタイプのコアネットワークドメインに拡張可能である。実際、いくつかの実施形態では、コアネットワークドメインは、同じコアネットワーク内の異なるドメインである。
本明細書の更に別の実施形態は、IEEE 802.xx、符号分割多元接続(CDMA)、ワイドバンドCDMA(WCDMA)、GSM、ロングタームエボリューション(LTE)、WiMax、新無線(NR)等のような、当技術分野で公知の又は開発されている1つ以上の通信プロトコルのいずれかを使用してよい。したがって、ここでは5Gの文脈で説明することもあるが、ここで説明する原理と概念は4Gシステムなどに適用可能である。
ここで使用される無線デバイスは、無線信号を介して無線で他の無線ノードと通信することが可能な任意のタイプの装置である。したがって、無線デバイスは、ユーザ機器(UE)、移動局、ラップトップ、スマートフォン、マシンツーマシン(M2M)装置、マシンタイプ通信(MTC)デバイス、ナローバンドインターネットオブシングス(IoT)デバイスなどを参照することができる。すなわち、無線デバイスは、UEと呼ばれてもよいが、デバイスを所有および/または操作する個人の意味における「ユーザ」を必ずしも有しないことに留意すべきである。無線デバイスは、無線通信デバイス(wireless communication device)、無線デバイス、無線通信デバイス(radio communication device)、無線端末、または単に端末と呼ばれることもある。ただし、これらの用語の使用は、他の意味を持たない限り、デバイス対デバイスのUEまたはデバイス、マシン型通信が可能なデバイス、マシン対マシン通信が可能なデバイス、無線デバイスに備わるセンサ、無線対応テーブルコンピュータ、携帯端末、スマートフォン、ラップトップに組み込まれた機器(LEE)、ラップトップ取り付けられた装置(LME)、USBドングル、無線顧客構内装置(CPE)などを含むことが意図されている。ここでの説明では、マシン対マシン(M2M)デバイス、マシン型通信(MTC)デバイス、無線センサ、およびセンサという用語を使用することもできる。これらのデバイスはUEであってもよいが、一般に、直接的な人間の対話なしにデータを送信および/または受信するように構成されてもよいことが理解されるべきである。
IOTシナリオでは、本明細書に記載する無線デバイスは、監視または測定を実行し、そのような監視測定の結果を別のデバイスまたはネットワークに送信するマシンまたはデバイスであってもよく、またはそれらに含まれていてもよい。このようなマシンの特定の例は、パワーメータ、産業用機械、または家庭用または個人用アプライアンス、例えば、冷蔵庫、テレビ、時計等の個人用ウェアラブルである。他のシナリオでは、本明細書に記載する無線通信デバイスは、車両に含まれてもよく、車両の動作状態または車両に関連付けられた他の機能の監視および/または報告を実行してもよい。
本明細書で使用される「ネットワーク機器」とは、無線デバイスと直接的または間接的に通信し、および/または無線デバイスへの無線アクセスを可能におよび/または提供する無線通信ネットワーク内の他の機器と、通信可能に、通信するように構成され、通信するように配置され、および/または動作可能な機器を指す。ネットワーク機器の例としては、コアネットワーク内のコアネットワーク機器(例えば、AMFまたはSMFを実装する機器)が挙げられるが、これらに限定されない。
上述のネットワーク機器は、任意の機能的手段またはユニットを実施することによって、本明細書の処理のいずれかを実行してもよいことに留意されたい。一実施形態では、例えば、ネットワーク機器は、図5に示されたステップを実行するように構成された、それぞれの回路または回路要素を備える。この点に関し、回路または回路要素は、特定の機能処理を実行するために専用の回路および/またはメモリと併せて1つ以上のマイクロプロセッサを備えることができる。読み出し専用ランダムアクセスメモリメモリ、キャッシュメモリ、フラッシュメモリデバイス、光記憶デバイスなどの1つまたはいくつかのタイプのメモリを含むことができるメモリを使用する実施形態では、メモリは、1つ以上のプロセッサによって実行されると、本明細書に記載する技術を実行するプログラムコードを記憶する。
図9Aは、1つ以上の実施形態によるネットワーク機器300を示す。示されるように、ネットワーク機器300は、処理回路310および通信回路320を含む。通信回路320は、例えば任意の通信技術を介して、1つ以上の他のノードとの間で情報を送受信するように構成される。処理回路310は、メモリ330に記憶された命令を実行するなどして、例えば図5に記載された上記の処理を実行するように構成される。この点で、処理回路310は、特定の機能手段、ユニット、またはモジュールを実装することができる。
図9Bは、1つ以上の他の実施形態によるネットワーク機器400を示す。図示されるように、ネットワーク機器400は、図9Aの処理回路410および/またはソフトウェアコードを介して、例えば、様々な機能的な手段、ユニットまたはモジュールを実施する。これらの機能的な手段、ユニットまたはモジュールは、例えば、図5の方法を実施するために、例えば、異なるコアネットワークドメイン間で送信された、または送信されるメッセージ60を受信するため、及び、メッセージ60のどの1つ以上の部分(例えば、メッセージ60内のフィールド62のコンテンツの1つ以上の部分)にドメイン間セキュリティ保護70が適用または解除されるかを示す情報を含む保護ポリシ80を受信するための受信ユニットまたはモジュール410を含む。また、保護ポリシ80に従って1つ以上の部分にドメイン間セキュリティ保護を適用する、またはドメイン間セキュリティ保護を解除するための保護ユニットまたはモジュール420も含まれてもよい。いくつかの実施形態にさらに含まれるのは、ドメイン間セキュリティ保護が1つ以上の部分に適用されまたは解除されたメッセージ60を、メッセージ60の宛先に向かって転送するための転送ユニットまたはモジュール430であってもよい。
また、上述の他のネットワーク機器は、任意の機能的な手段またはユニットを実装することによって、本明細書の処理のいずれかを実行してもよいことに留意されたい。一実施形態では、例えば、ネットワーク機器は、図6に示されたステップを実行するように構成されたそれぞれの回路または回路要素を備える。この点に関し、回路または回路要素は、特定の機能処理を実行するために専用の回路および/またはメモリと併せて1つ以上のマイクロプロセッサを備えることができる。読み出し専用メモリ(ROM)、ランダムアクセスメモリメモリ、キャッシュメモリ、フラッシュメモリデバイス、光記憶デバイスなどの1つまたはいくつかのタイプのメモリを含み得るメモリを使用する実施形態では、メモリは、1つ以上のプロセッサによって実行されると、本明細書に記載する技術を実行するプログラムコードを格納する。
図10Aは、1つ以上の実施形態によるネットワーク機器500を示す。図示されるように、ネットワーク機器500は、処理回路510および通信回路520を含む。通信回路520は、例えば任意の通信技術を介して、1つ以上の他のノードとの間で情報を送受信するように構成される。処理回路510は、メモリ530に記憶された命令を実行することなどによって、例えば図6で上述した処理を実行するように構成される。この点で、処理回路510は、特定の機能的な手段、ユニット、またはモジュールを実装することができる。
図10Bは、1つ以上の他の実施形態によるネットワーク機器600を示す。図示されるように、ネットワーク機器600は、図10Aの処理回路610および/またはソフトウェアコードを介して、例えば、様々な機能的な手段、ユニットまたはモジュールを実施する。これらの機能的な手段、ユニット、またはモジュール、例えば図6の方法を実装するためのモジュールは、例えば、メッセージ60のどの1つ以上の部分(例えば、メッセージ60のフィールド62のコンテンツの1つ以上の部分)に対してドメイン間セキュリティ保護70が適用または解除されるかを示す情報を含む保護ポリシ80を取得するための取得ユニットまたはモジュール410を含む。さらに、保護ポリシ80を送信するための送信ユニットまたはモジュール420を含んでよい。
当業者はまた、本明細書の実施形態は、対応するコンピュータプログラムをさらに含むことを理解するであろう。
コンピュータプログラムは、ネットワーク機器の少なくとも1つのプロセッサ上で実行されると、ネットワーク機器に上記のそれぞれの処理のいずれかを実行させる命令を含む。この点で、コンピュータプログラムは、上述の手段またはユニットに対応する1つ以上のコードモジュールを含むことができる。
実施形態は、そのようなコンピュータプログラムを含むキャリア(carrier)をさらに含む。このキャリアは、電気信号、光信号、無線信号、またはコンピュータ可読記録媒体のうちの1つを含んでよい。
この点に関して、本明細書の実施形態は、ネットワーク機器のプロセッサによって実行されると、ネットワーク機器が上述のように実行する命令をその上に記憶した、一時的でないコンピュータ可読(記憶または記録)媒体も含む。
上記を考慮して、いくつかの実施形態を例として以下に列挙する。
実施形態1.無線通信システムの複数の異なるコアネットワークドメインの1つのプロキシとして構成されるネットワーク機器によって実行される方法であって、前記方法は、前記異なるコアネットワークドメイン間で送信された、または送信されるメッセージを受信することと、ドメイン間セキュリティ保護が適用されまたは解除される、前記メッセージのフィールドのコンテンツの1つ以上の部分を示す情報を含む保護ポリシを受信することと、前記保護ポリシに従って、前記1つ以上の部分にドメイン間セキュリティ保護を適用する、または前記1つ以上の部分からドメイン間セキュリティ保護を解除することと、前記1つ以上の部分にドメイン間セキュリティ保護が適用または解除された前記メッセージを、前記メッセージの宛先に向けて転送することと、を含む方法。
実施形態2.実施形態1に記載の方法であって、前記情報は、前記1つ以上の部分を示す1つ以上の正規表現を含む、方法。
実施形態3.実施形態1に記載の方法であって、前記情報は、前記1つ以上の部分を示す1つ以上のJavaScript Object Notation(JSON)ポインタを含む、方法。
実施形態4.実施形態1に記載の方法であって、前記情報は、前記1つ以上の部分を示す、前記フィールド内のバイトの1つ以上の範囲、および/または前記フィールド内のビットの1つ以上の範囲を含む、方法。
実施形態5.実施形態1に記載の方法であって、前記情報は、前記1つ以上の部分を示す、1つ以上の検索パターン、1つ以上のトークン、および/または1つ以上の部分文字列を含む、方法。
実施形態6.実施形態1-5のいずれかに記載の方法であって、前記保護ポリシに含まれる前記情報を用いて前記コンテンツを構文解析することによって、前記ドメイン間セキュリティ保護を適用または解除するための、前記フィールドの前記コンテンツの前記1つ以上の部分を抽出することをさらに含む、方法。
実施形態7.実施形態1-6のいずれかに記載の方法であって、前記保護ポリシは、更に、前記1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護のタイプを示す、方法。
実施形態8.実施形態1-7のいずれかに記載の方法であって、前記1つ以上の部分のそれぞれに対して適用されまたは解除される前記ドメイン間セキュリティ保護は、機密性保護および/または完全性保護を含む、方法。
実施形態9.実施形態1-8のいずれかに記載の方法であって、前記メッセージはハイパーテキスト転送プロトコル(HTTP)メッセージであり、前記フィールドはHTTPフィールドである、方法。
実施形態10.実施形態9に記載の方法であって、前記HTTPメッセージはHTTP要求メッセージであり、前記フィールドはパスフィールドであり、前記パスフィールドの前記コンテンツは要求ユニフォーム・リソース・アイデンティファイア(URI)である、方法。
実施形態11.実施形態9に記載の方法であって、フィールドはHTTPヘッダまたはHTTP疑似ヘッダのフィールドである、方法。
実施形態12.実施形態9に記載の方法であって、前記フィールドは、前記HTTPメッセージの本文または前記本文の一部である、方法。
実施形態13.実施形態1-12のいずれかに記載の方法であって、更に、前記メッセージを保護するための前記保護ポリシのディスカバリを要求するディスカバリ要求をディスカバリサービスに送信することと、前記ディスカバリ要求に応じて前記保護ポリシを受信することとを含む、方法。
実施形態14.実施形態13に記載の方法であって、前記メッセージの受信に応じて前記ディスカバリ要求を送信することを含む、方法。
実施形態15.実施形態13-14のいずれかに記載の方法であって、前記ディスカバリサービスは、ネットワークリポジトリ機能(NRF)によって実施される、方法。
実施形態16.実施形態1-12のいずれかに記載の方法であって、前記メッセージが前記メッセージの送信元から前記メッセージの前記宛先まで辿るパスにおけるネットワーク機器から前記保護ポリシを受信することを含む、方法。
実施形態17.実施形態1-12および16のいずれかに記載の方法であって、前記メッセージの送信元または前記メッセージの前記宛先のいずれかから前記保護ポリシを受信することを含む、方法。
実施形態18.実施形態1-12および16のいずれかの方法であって、前記メッセージを他のネットワーク機器から受信する場合の前記他のネットワーク機器から前記保護ポリシを受信することを含み、前記他のネットワーク機器は、異なるコアネットワークドメイン間のプロキシとしても構成される、方法。
実施形態19.実施形態1-12および16-18のいずれかに記載の方法であって、前記保護ポリシは前記メッセージに含まれる、方法。
実施形態20.実施形態1-12および16-19のいずれかに記載の方法であって、前記保護ポリシは、前記メッセージのヘッダに含まれる、方法。
実施形態21.実施形態1-20のいずれかに記載の方法であって、前記メッセージはアプリケーション層メッセージであり、前記フィールドはアプリケーション層フィールドであり、前記フィールドの前記コンテンツはアプリケーション層情報を含み、前記ドメイン間セキュリティ保護はアプリケーション層保護を含む、方法。
実施形態22.実施形態1-21のいずれかに記載の方法は、前記ネットワーク機器は、セキュリティエッジ保護プロキシ(SEPP)として構成される、方法。
実施形態23.実施形態1-22のいずれかに記載の方法であって、前記コアネットワークドメインは、異なる公衆陸上移動体ネットワーク(PLMN)のコアネットワークを含む、方法。
実施形態24.無線通信システムの異なるコアネットワークドメイン間で送信されるメッセージの保護を容易にするためにネットワーク機器によって実行される方法であって、前記方法は、メッセージにおけるフィールドのコンテンツのどの1つ以上の部分にドメイン間セキュリティ保護が適用または解除されるかを示す情報を含む保護ポリシを取得することと、前記保護ポリシを送信することと、を含む方法。
実施形態25.実施形態24に記載の方法であって、前記情報は、前記1つ以上の部分を示す1つ以上の正規表現を含む、方法。
実施形態26.実施形態24に記載の方法であって、前記情報は、前記1つ以上の部分を示す1つ以上のJavaScript Object Notation(JSON)ポインタを含む、方法。
実施形態27.実施形態24に記載の方法であって、前記情報は、前記1つ以上の部分を示す、前記フィールド内のバイトの1つ以上の範囲、および/または前記フィールド内のビットの1つ以上の範囲を含む、方法。
実施形態28.実施形態24に記載の方法であって、前記情報は、前記1つ以上の部分を示す、1つ以上の検索パターン、1つ以上のトークン、および/または1つ以上の部分文字列を含む、方法。
実施形態29.実施形態24-28のいずれかに記載の方法であって、前記保護ポリシは、前記1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護のタイプをさらに示す、方法。
実施形態30.実施形態24-29のいずれかに記載の方法であって、前記1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護は、機密性保護および/または完全性保護を含む、方法。
実施形態31.実施形態24-30のいずれかに記載の方法であって、前記メッセージはハイパーテキスト転送プロトコル(HTTP)メッセージであり、前記フィールドはHTTPフィールドである、方法。
実施形態32.実施形態31に記載の方法であって、前記HTTPメッセージはHTTP要求メッセージであり、前記フィールドはパスフィールドであり、前記パスフィールドの前記コンテンツは要求ユニフォーム・リソース・アイデンティファイア(URI)である、方法。
実施形態33.実施形態31に記載の方法であって、前記フィールドはHTTPヘッダまたはHTTP疑似ヘッダのフィールドである、方法。
実施形態34.実施形態31に記載の方法であって、前記フィールドは、前記HTTPメッセージのボディ部である、方法。
実施形態35.実施形態24-34のいずれかに記載の方法であって、前記保護ポリシを送信することは、前記保護ポリシに従って、前記異なるコアネットワークドメインのプロキシとして、ドメイン間セキュリティ保護を前記1つ以上の部分に適用するか、またはドメイン間セキュリティ保護を解除するように構成されたネットワーク機器に、前記保護ポリシを送信することを含む、方法。
実施形態36.実施形態24-35のいずれかに記載の方法であって、更に、前記メッセージを保護するための前記保護ポリシのディスカバリを要求するディスカバリ要求を受信することと、前記ディスカバリ要求に応じて前記保護ポリシを送信することとを含む、方法。
実施形態37.実施形態36に記載の方法であって、前記方法は、ネットワークリポジトリ機能(NRF)を実施するネットワーク機器によって実行される、方法。
実施形態38.実施形態24-35のいずれかに記載の方法であって、前記方法は、前記メッセージの送信元から前記メッセージの前記宛先まで前記メッセージが辿るパスにおけるネットワーク機器によって実行される、方法。
実施形態39.実施形態24-35および38のいずれかに記載の方法であって、前記方法は、前記メッセージの送信元または前記メッセージの宛先であるネットワーク機器によって実行される、方法。
実施形態40.実施形態24-35および38のいずれかに記載の方法であって、前記方法は、前記異なるコアネットワークドメイン間のプロキシとして構成されるネットワーク機器によって実行される、方法。
実施形態41.実施形態24-35および38-40のいずれかに記載の方法であって、前記保護ポリシを送信することは、前記メッセージに含まれる前記保護ポリシを有する前記メッセージを送信することを含む、方法。
実施形態42.実施形態24-41のいずれかに記載の方法であって、前記メッセージはアプリケーション層メッセージであり、前記フィールドはアプリケーション層フィールドであり、前記フィールドのコンテンツはアプリケーション層情報を含み、前記ドメイン間セキュリティ保護はアプリケーション層保護を含む、方法。
実施形態43.実施形態24-42のいずれかに記載の方法であって、前記コアネットワークドメインは、異なる公衆陸上移動体ネットワーク(PLMN)のコアネットワークを含む、方法。
実施形態44.無線通信システムの複数の異なるコアネットワークドメインの1つのプロキシとして構成されるネットワーク機器。前記ネットワーク機器は、前記異なるコアネットワークドメイン間で送信された、または送信されるメッセージを受信し、前記メッセージのフィールドのコンテンツのどの1つ以上の部分に、ドメイン間セキュリティ保護が適用または解除されるかを示す情報を含む保護ポリシを受信し、前記保護ポリシに従って、前記1つ以上の部分にドメイン間セキュリティ保護を適用し、または前記1つ以上の部分からドメイン間セキュリティ保護を解除し、前記メッセージの宛先に向けて、前記1つ以上の部分にドメイン間セキュリティ保護を適用または解除したメッセージを転送するように構成される。
実施形態45.実施形態44に記載のネットワーク機器であって、前記情報は、前記1つ以上の部分を示す1つ以上の正規表現を含む、ネットワーク機器。
実施形態46.実施形態44に記載のネットワーク機器であって、前記情報は、前記1つ以上の部分を示す1つ以上のJavaScript Object Notation(JSON)ポインタを含む、ネットワーク機器。
実施形態47.実施形態44に記載のネットワーク機器であって、前記情報は、前記1つ以上の部分を示す、前記フィールド内のバイトの1つ以上の範囲、および/または前記フィールド内のビットの1つ以上の範囲を含む、ネットワーク機器。
実施形態48.実施形態44に記載のネットワーク機器であって、前記情報は、前記1つ以上の部分を示す、1つ以上の検索パターン、1つ以上のトークン、および/または1つ以上の部分文字列を含む、ネットワーク機器。
実施形態49.実施形態44-48のいずれかに記載のネットワーク機器であって、更に、前記保護ポリシに含まれる情報を使用して前記コンテンツを解析することによって、ドメイン間セキュリティ保護を適用または解除するために、前記フィールドの前記コンテンツの前記1つ以上の部分を抽出することを含む、ネットワーク機器。
実施形態50.実施形態44-49のいずれかに記載のネットワーク機器であって、前記保護ポリシは、前記1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護のタイプをさらに示す、ネットワーク機器。
実施形態51.実施形態44-50のいずれかに記載のネットワーク機器であって、前記1つ以上の部分の各々に対して適用または解除されるドメイン間セキュリティ保護は、機密性保護および/または完全性保護を含む、ネットワーク機器。
実施形態52.実施形態44-51のいずれかに記載のネットワーク機器であって、前記メッセージはハイパーテキスト転送プロトコル(HTTP)メッセージであり、前記フィールドはHTTPフィールドである、ネットワーク機器。
実施形態53.実施形態52に記載のネットワーク機器であって、前記HTTPメッセージはHTTP要求メッセージであり、前記フィールドはパスフィールドであり、前記パスフィールドの前記コンテンツは要求ユニフォーム・リソース・アイデンティファイア(URI)である、ネットワーク機器。
実施形態54.実施形態52に記載のネットワーク機器であって、前記フィールドは、HTTPヘッダまたはHTTP疑似ヘッダのフィールドである、ネットワーク機器。
実施形態55.実施形態52に記載のネットワーク機器であって、前記フィールドは、前記HTTPメッセージの本文または前記本文の一部である、ネットワーク機器。
実施形態56.実施形態44-55のいずれかに記載のネットワーク機器であって、更に、前記メッセージを保護するための前記保護ポリシのディスカバリを要求するディスカバリ要求をディスカバリサービスに送信することと、前記ディスカバリ要求に応じて前記保護ポリシを受信することとを含む、ネットワーク機器。
実施形態57.実施形態56に記載のネットワーク機器であって、前記メッセージの受信に応じて前記ディスカバリ要求を送信することを含む、ネットワーク機器。
実施形態58.実施形態56-57のいずれかに記載のネットワーク機器であって、前記ディスカバリサービスは、ネットワークリポジトリ機能(NRF)によって実施される、ネットワーク機器。
実施形態59.実施形態44-55のいずれかに記載のネットワーク機器であって、前記メッセージが前記メッセージの送信元から前記メッセージの前記宛先まで辿るパスにおけるネットワーク機器から前記保護ポリシを受信することを含む、ネットワーク機器。
実施形態60.実施形態44-55および59のいずれかに記載のネットワーク機器であって、前記メッセージの送信元または前記メッセージの前記宛先のいずれかから前記保護ポリシを受信することを含む、ネットワーク機器。
実施形態61.実施形態44-55および59のいずれかに記載のネットワーク機器であって、前記メッセージを他のネットワーク機器から受信する場合の前記他のネットワーク機器から前記保護ポリシを受信することを含み、前記他のネットワーク機器は、異なるコアネットワークドメイン間のプロキシとしても構成される、ネットワーク機器。
実施形態62.実施形態44-55および59-61のいずれかに記載のネットワーク機器であって、前記保護ポリシがメッセージに含まれる、ネットワーク機器。
実施形態63.実施形態44-55および59-62のいずれかに記載のネットワーク機器であって、前記保護ポリシが前記メッセージのヘッダに含まれる、ネットワーク機器。
実施形態64.実施形態44-63のいずれかに記載のネットワーク機器であって、前記メッセージはアプリケーション層メッセージであり、前記フィールドはアプリケーション層フィールドであり、前記フィールドのコンテンツはアプリケーション層情報を含み、前記ドメイン間セキュリティ保護はアプリケーション層保護を含む、ネットワーク機器。
実施形態65.実施形態44-64のいずれかに記載のネットワーク機器であって、前記ネットワーク機器は、セキュリティエッジ保護プロキシ(SEPP)として構成される、ネットワーク機器。
実施形態66.実施形態44-65のいずれかに記載のネットワーク機器であって、前記コアネットワークドメインは、異なる公衆陸上移動体ネットワーク(PLMN)のコアネットワークを含む、ネットワーク機器。
実施形態67.無線通信システムの異なるコアネットワークドメイン間で送信されるメッセージの保護を容易にするためのネットワーク機器。前記ネットワーク機器は、前記メッセージにおけるフィールドのコンテンツのどの1つ以上の部分にドメイン間セキュリティ保護が適用又は解除されるかを示す情報を含む保護ポリシを取得し、前記保護ポリシを送信するように構成される。
実施形態68.実施形態67に記載のネットワーク機器であって、前記情報は、前記1つ以上の部分を示す1つ以上の正規表現を含む、ネットワーク機器。
実施形態69.実施形態67に記載のネットワーク機器であって、前記情報は、前記1つ以上の部分を示す1つ以上のJavaScript Object Notation(JSON)ポインタを含む、ネットワーク機器。
実施形態70.実施形態67に記載のネットワーク機器であって、前記情報は、前記1つ以上の部分を示す、前記フィールド内のバイトの1つ以上の範囲、および/または前記フィールド内のビットの1つ以上の範囲を含む、ネットワーク機器。
実施形態71.実施形態67に記載のネットワーク機器であって、前記情報は、前記1つ以上の部分を示す、1つ以上の検索パターン、1つ以上のトークン、および/または1つ以上の部分文字列を含む、ネットワーク機器。
実施形態72.実施形態67-71のいずれかに記載のネットワーク機器であって、前記保護ポリシは、前記1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護のタイプをさらに示す、ネットワーク機器。
実施形態73.実施形態67-72のいずれかのネットワーク機器であって、前記1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護は、機密性保護および/または完全性保護を含む、ネットワーク機器。
実施形態74.実施形態67-75のいずれかに記載のネットワーク機器であって、前記メッセージはハイパーテキスト転送プロトコル(HTTP)メッセージであり、前記フィールドはHTTPフィールドである、ネットワーク機器。
実施形態75.実施形態74に記載のネットワーク機器であって、前記HTTPメッセージはHTTP要求メッセージであり、前記フィールドはパスフィールドであり、前記パスフィールドの前記コンテンツは要求ユニフォーム・リソース・アイデンティファイア(URI)である、ネットワーク機器。
実施形態76.実施形態74記載のネットワーク機器であって、前記フィールドはHTTPヘッダまたはHTTP疑似ヘッダのフィールドである、ネットワーク機器。
実施形態77.実施形態74に記載のネットワーク機器であって、前記フィールドは、前記HTTPメッセージのボディ部である、ネットワーク機器。
実施形態78.実施形態67-77のいずれかに記載のネットワーク機器であって、前記保護ポリシを送信することは、前記保護ポリシに従って、前記異なるコアネットワークドメインのプロキシとして、ドメイン間セキュリティ保護を前記1つ以上の部分に適用するか、またはドメイン間セキュリティ保護を解除するように構成されたネットワーク機器に、前記保護ポリシを送信することを含む、ネットワーク機器。
実施形態79.実施形態67-78のいずれかに記載のネットワーク機器であって、更に、前記メッセージを保護するための前記保護ポリシのディスカバリを要求するディスカバリ要求を受信することと、前記ディスカバリ要求に応じて前記保護ポリシを送信することとを含む、ネットワーク機器。
実施形態80.実施形態79に記載のネットワーク機器であって、前記方法は、ネットワークリポジトリ機能(NRF)を実施するネットワーク機器によって実行される、ネットワーク機器。
実施形態81.実施形態67-78のいずれかに記載のネットワーク機器であって、前記方法は、前記メッセージの送信元から前記メッセージの前記宛先まで前記メッセージが辿るパスにおけるネットワーク機器によって実行される、ネットワーク機器。
実施形態82.実施形態67-78および81のいずれかに記載のネットワーク機器であって、前記方法は、前記メッセージの送信元または前記メッセージの宛先であるネットワーク機器によって実行される、ネットワーク機器。
実施形態83.実施形態67-78および81のいずれかに記載のネットワーク機器であって、前記方法は、前記異なるコアネットワークドメイン間のプロキシとして構成されるネットワーク機器によって実行される、ネットワーク機器。
実施形態84.実施形態67-78および81-83のいずれかに記載のネットワーク機器であって、前記保護ポリシを送信することは、前記メッセージに含まれる前記保護ポリシを有する前記メッセージを送信することを含む、ネットワーク機器。
実施形態85.実施形態67-84のいずれかに記載のネットワーク機器であって、前記メッセージはアプリケーション層メッセージであり、前記フィールドはアプリケーション層フィールドであり、前記フィールドのコンテンツはアプリケーション層情報を含み、前記ドメイン間セキュリティ保護はアプリケーション層保護を含む、ネットワーク機器。
実施形態86.実施形態67-85のいずれかに記載のネットワーク機器であって、前記コアネットワークドメインは、異なる公衆陸上移動体ネットワーク(PLMN)のコアネットワークを含む、ネットワーク機器。
実施形態87.無線通信システムの複数の異なるコアネットワークドメインの1つのためのプロキシとして構成されるネットワーク機器。前記ネットワーク機器は、通信回路と、処理回路とを含み、前記ネットワーク機器は、前記異なるコアネットワークドメイン間で送信された、または送信されるメッセージを受信し、前記メッセージのフィールドのコンテンツのどの1つ以上の部分に、ドメイン間セキュリティ保護が適用または解除されるかを示す情報を含む保護ポリシを受信し、前記保護ポリシに従って、前記1つ以上の部分にドメイン間セキュリティ保護を適用し、または前記1つ以上の部分からドメイン間セキュリティ保護を解除し、前記メッセージの宛先に向けて、前記1つ以上の部分にドメイン間セキュリティ保護を適用または解除したメッセージを転送するように構成される。
実施形態88.実施形態2-23のいずれかの方法を実行するように構成された、実施形態87のネットワーク機器。
実施形態89.無線通信システムの異なるコアネットワークドメイン間で送信されるメッセージの保護を容易にするためのネットワーク機器。ネットワーク機器は、通信回路と処理回路とを含み、前記ネットワーク機器は、前記メッセージにおけるフィールドのコンテンツのどの1つ以上の部分にドメイン間セキュリティ保護が適用されまたは解除されるかを示す情報を含む保護ポリシを取得し、前記保護ポリシを送信するように構成される。
実施形態90.実施形態89に記載のネットワーク機器であって、実施形態25-43のいずれかの方法を実行するように構成された、ネットワーク機器。
実施形態91.ネットワーク機器の少なくとも1つのプロセッサによって実行されると、実施形態1-343のいずれかの方法をネットワーク機器装置に実行させる命令を含む、コンピュータプログラム。
実施形態92.実施形態91のコンピュータプログラムを含むキャリアであって、前記キャリアは電気信号、光信号、無線信号、またはコンピュータ可読記録媒体のうちの1つである、キャリア。
Claims (16)
- 無線通信システム(10)の複数の異なるコアネットワークドメインのうちの1つにおけるネットワーク機器(300、400)によって実行される方法であって、前記方法は、
前記異なるコアネットワークドメインの間で送信された、または送信されるメッセージ(60)を受信(110)することと、
コンテンツのどの1つ以上の部分にドメイン間セキュリティ保護を適用し又は解除するかを示す情報を含む保護ポリシ(80)に従って、前記メッセージ(60)内のフィールドのコンテンツの1つ以上の部分に、ドメイン間セキュリティ保護を適用(130)し、またはドメイン間セキュリティ保護を解除することであって、前記情報は、前記1つ以上の部分を示す1つ以上のJavaScript Object Notation(JSON)ポインタを含む、ことと、
前記1つ以上の部分にドメイン間セキュリティ保護が適用または解除された前記メッセージ(60)を、前記メッセージ(60)の宛先に向けて転送する(140)ことと、を含む方法。 - 請求項1に記載の方法であって、前記メッセージ(60)はハイパーテキスト転送プロトコル(HTTP)メッセージであり、前記フィールドはHTTPフィールドである、方法。
- 請求項2に記載の方法であって、前記HTTPメッセージ(60)はHTTP要求メッセージであり、前記フィールドはパスフィールドであり、前記パスフィールドの前記コンテンツは要求ユニフォーム・リソース・アイデンティファイア(URI)である、方法。
- 請求項1から3のいずれか1項に記載の方法であって、前記情報は、前記1つ以上の部分を示す1つ以上の正規表現を含む、方法。
- 請求項1から4のいずれか1項に記載の方法であって、前記保護ポリシ(80)は、更に、前記1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護のタイプを示し、前記1つ以上の部分のそれぞれに対して適用または解除されるドメイン間セキュリティ保護の前記タイプは、機密性保護および/または完全性保護を含む、方法。
- 請求項1から5のいずれか1項に記載の方法であって、前記保護ポリシ(80)は、前記メッセージ(60)に含まれる、方法。
- 請求項1から5のいずれか1項に記載の方法であって、更に、前記メッセージ(60)を受信したことに応じて、前記メッセージ(60)を保護するための前記保護ポリシ(80)のディスカバリを要求するディスカバリ要求をネットワークリポジトリ機能(NRF)に送信することと、前記ディスカバリ要求に応じて前記保護ポリシ(80)を受信することとを含む、方法。
- 請求項1から6のいずれか1項に記載の方法であって、更に、前記メッセージ(60)が前記メッセージ(60)の送信元から前記メッセージ(60)の前記宛先まで辿るパスにおけるネットワーク機器から前記保護ポリシ(80)を受信することを含む、方法。
- 請求項1から8のいずれか1項に記載の方法であって、前記方法は、セキュリティエッジ保護プロキシ(SEPP)によって実行される、方法。
- 請求項9に記載の方法であって、前記SEPPは訪問されたネットワークにおけるSEPP(vSEPP)とホームネットワークにおけるSEPP(hSEPP)とを含む、方法。
- 無線通信システム(10)の複数の異なるコアネットワークドメインの1つで使用するように構成されたネットワーク機器(300、400)であって、前記ネットワーク機器(300、400)は、
通信回路(320)と、
処理回路(310)であって、
通信回路(320)を介して、前記異なるコアネットワークドメインの間で送信された、または送信されるメッセージ(60)を受信し、
コンテンツのどの1つ以上の部分にドメイン間セキュリティ保護を適用し又は解除するかを示す情報を含む保護ポリシ(80)に従って、前記メッセージ(60)内のフィールドのコンテンツの1つ以上の部分に、ドメイン間セキュリティ保護を適用(130)し、またはドメイン間セキュリティ保護を解除し、ここで、前記情報は、前記1つ以上の部分を示す1つ以上のJavaScript Object Notation(JSON)ポインタを含み、
前記1つ以上の部分にドメイン間セキュリティ保護が適用または解除された前記メッセージ(60)を、前記通信回路(320)を介して前記メッセージ(60)の宛先に向けて転送する(140)、ように構成される前記処理回路とを含む、ネットワーク機器。 - 請求項11に記載のネットワーク機器であって、前記ネットワーク機器は、セキュリティエッジ保護プロキシ(SEPP)である、ネットワーク機器。
- 請求項12に記載のネットワーク機器であって、前記SEPPは訪問されたネットワークにおけるSEPP(vSEPP)とホームネットワークにおけるSEPP(hSEPP)とを含む、ネットワーク機器。
- 請求項11から13のいずれか1項に記載のネットワーク機器であって、前記処理回路(310)は請求項2から8のいずれか1項に記載の方法を実行するように構成される、ネットワーク機器。
- ネットワーク機器(300、400)の少なくとも1つのプロセッサによって実行されると、前記ネットワーク機器(300, 400)に請求項1から10のいずれか1項の方法を実行させる命令を含む、コンピュータプログラム。
- 請求項15に記載のコンピュータプログラムを含むコンピュータ可読記録媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP18382092.7 | 2018-02-16 | ||
| EP18382092 | 2018-02-16 | ||
| PCT/EP2019/053784 WO2019158681A1 (en) | 2018-02-16 | 2019-02-15 | Protecting a message transmitted between core network domains |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2021520665A JP2021520665A (ja) | 2021-08-19 |
| JP7050937B2 true JP7050937B2 (ja) | 2022-04-08 |
Family
ID=61258171
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2020537209A Active JP7050937B2 (ja) | 2018-02-16 | 2019-02-15 | コアネットワークドメイン間で伝送されるメッセージの保護 |
Country Status (10)
| Country | Link |
|---|---|
| US (3) | US11729609B2 (ja) |
| EP (1) | EP3752947B1 (ja) |
| JP (1) | JP7050937B2 (ja) |
| KR (1) | KR102422660B1 (ja) |
| CN (1) | CN111936993B (ja) |
| ES (1) | ES2955584T3 (ja) |
| MX (1) | MX2020007578A (ja) |
| PL (1) | PL3752947T3 (ja) |
| RU (1) | RU2760728C1 (ja) |
| WO (1) | WO2019158681A1 (ja) |
Families Citing this family (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BR112020006204A2 (pt) * | 2017-10-02 | 2020-10-13 | Telefonaktiebolaget Lm Ericsson (Publ) | método para garantir a informação de direção da rede por um equipamento de usuário, equipamento de usuário, métodos para garantir a informação de direção da rede por um primeiro nó de rede, primeiro nó de rede que opera como uma função do servidor de autenticação para garantir a informação de direção da rede, e, primeiro nó de rede para garantir a informação de direção da rede. |
| AU2019224247B2 (en) * | 2018-02-21 | 2021-10-21 | Ntt Docomo, Inc. | Radio communication system, security proxy device, and relay device |
| EP3791537A4 (en) * | 2018-05-09 | 2022-01-19 | Nokia Technologies Oy | SECURITY MANAGEMENT FOR EDGE PROXIES AT AN INTERNETWORK INTERFACE IN A COMMUNICATION SYSTEM |
| EP3850813A4 (en) * | 2018-09-10 | 2022-04-27 | Nokia Technologies Oy | METHOD AND DEVICE FOR NETWORK FUNCTION NOTIFICATION |
| US20210219137A1 (en) * | 2018-09-24 | 2021-07-15 | Nokia Technologies Oy | Security management between edge proxy and internetwork exchange node in a communication system |
| US10944796B2 (en) | 2018-09-27 | 2021-03-09 | Palo Alto Networks, Inc. | Network slice-based security in mobile networks |
| EP3837867B1 (en) * | 2018-09-27 | 2023-11-01 | Palo Alto Networks, Inc. | Network slice-based security in mobile networks |
| JP7412419B2 (ja) * | 2019-04-11 | 2024-01-12 | 株式会社Nttドコモ | ネットワークノード |
| CN112584396B (zh) * | 2019-09-27 | 2022-08-26 | 华为技术有限公司 | 一种网络功能路由方法、装置及系统 |
| US20240064211A1 (en) * | 2021-02-03 | 2024-02-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Method for Notification of Network Function Producer (NFp) Quality |
| CN115150820A (zh) * | 2021-03-30 | 2022-10-04 | 华为技术有限公司 | 一种信令消息处理方法、装置和系统 |
| US11558732B1 (en) * | 2021-04-16 | 2023-01-17 | T-Mobile Innovations Llc | Network function discovery through network repository functions in a wireless communication network |
| US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
| US11533358B1 (en) * | 2021-09-17 | 2022-12-20 | Nokia Technologies Oy | Roaming hub for secure interconnect in roaming scenarios |
| CN117354232A (zh) * | 2022-06-29 | 2024-01-05 | 中兴通讯股份有限公司 | 消息的路由方法及装置、系统 |
| CN115297465B (zh) * | 2022-08-01 | 2024-11-12 | 中国电信股份有限公司 | 接入网号传递方法、装置、电子设备及计算机存储介质 |
| JP7518518B2 (ja) | 2022-12-15 | 2024-07-18 | Bbix株式会社 | 中継装置、プログラム、及び中継方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6615166B1 (en) * | 1999-05-27 | 2003-09-02 | Accenture Llp | Prioritizing components of a network framework required for implementation of technology |
| FR2843522B1 (fr) | 2002-08-12 | 2004-10-15 | Evolium Sas | Procede pour la protection d'integrite de messages transmis dans un systeme de radiocommunications mobiles |
| US20060106802A1 (en) * | 2004-11-18 | 2006-05-18 | International Business Machines Corporation | Stateless methods for resource hiding and access control support based on URI encryption |
| US8266327B2 (en) * | 2005-06-21 | 2012-09-11 | Cisco Technology, Inc. | Identity brokering in a network element |
| CN101005489A (zh) * | 2006-01-20 | 2007-07-25 | 华为技术有限公司 | 一种保护移动通信系统网络安全的方法 |
| US20080133729A1 (en) * | 2006-08-17 | 2008-06-05 | Neustar, Inc. | System and method for managing domain policy for interconnected communication networks |
| CN102036256B (zh) | 2009-09-28 | 2013-03-20 | 华为技术有限公司 | 数据传输方法、装置及系统 |
| JP2012044325A (ja) | 2010-08-16 | 2012-03-01 | Ntt Docomo Inc | 移動通信方法及び無線基地局 |
| US8312096B2 (en) | 2010-12-08 | 2012-11-13 | Google Inc. | Priority inbox notifications and synchronization for mobile messaging application |
| CN105393583B (zh) * | 2013-02-22 | 2019-07-05 | 瑞典爱立信有限公司 | 具有媒体突发传送能力的媒体分发网络 |
| US9648125B2 (en) * | 2013-10-04 | 2017-05-09 | Akamai Technologies, Inc. | Systems and methods for caching content with notification-based invalidation |
| US9811365B2 (en) * | 2014-05-09 | 2017-11-07 | Amazon Technologies, Inc. | Migration of applications between an enterprise-based network and a multi-tenant network |
| US10057217B2 (en) * | 2014-07-15 | 2018-08-21 | Sap Se | System and method to secure sensitive content in a URI |
| US9973475B2 (en) * | 2014-10-22 | 2018-05-15 | Protegrity Corporation | Data computation in a multi-domain cloud environment |
| US9668236B2 (en) | 2015-03-25 | 2017-05-30 | Lg Electronics Inc. | Method and apparatus for monitoring user equipment reachability in wireless communication system |
| US10110496B2 (en) * | 2015-03-31 | 2018-10-23 | Juniper Networks, Inc. | Providing policy information on an existing communication channel |
| US10686902B2 (en) | 2016-05-23 | 2020-06-16 | Twilio Inc. | System and method for a multi-channel notification service |
| US9979680B2 (en) | 2016-07-21 | 2018-05-22 | Fujitsu Limited | Smart notification scheduling and modality selection |
| US11323979B2 (en) | 2016-08-09 | 2022-05-03 | Nokia Technologies Oy | Broadcasting or multicasting to user equipment that use extended idle mode discontinuous reception |
| US10999795B2 (en) | 2016-10-06 | 2021-05-04 | Qualcomm Incorporated | Independent wakeups from deep sleep for broadcast and unicast service |
| US10554430B2 (en) | 2016-11-21 | 2020-02-04 | Everbridge, Inc. | Systems and methods for providing adaptive flow control in a notification architecture |
| US10893025B2 (en) | 2018-02-15 | 2021-01-12 | Nokia Technologies Oy | Security management in communication systems with network function assisted mechanism to secure information elements |
-
2019
- 2019-02-15 RU RU2020130257A patent/RU2760728C1/ru active
- 2019-02-15 KR KR1020207023244A patent/KR102422660B1/ko active Active
- 2019-02-15 EP EP19704023.1A patent/EP3752947B1/en active Active
- 2019-02-15 JP JP2020537209A patent/JP7050937B2/ja active Active
- 2019-02-15 MX MX2020007578A patent/MX2020007578A/es unknown
- 2019-02-15 WO PCT/EP2019/053784 patent/WO2019158681A1/en unknown
- 2019-02-15 PL PL19704023.1T patent/PL3752947T3/pl unknown
- 2019-02-15 ES ES19704023T patent/ES2955584T3/es active Active
- 2019-02-15 CN CN201980013502.9A patent/CN111936993B/zh active Active
- 2019-02-15 US US16/969,589 patent/US11729609B2/en active Active
-
2023
- 2023-08-15 US US18/234,339 patent/US12167232B2/en active Active
-
2024
- 2024-12-10 US US18/975,729 patent/US20250106622A1/en active Pending
Non-Patent Citations (4)
| Title |
|---|
| CT3,Presentation sheet for 3GPP TS 29.251 v1.0.0 on Nu reference point between SCEF and PFDF for sponsored data connectivity for Information,3GPP TSG CT #75 CP-170101,フランス,3GPP,2017年02月27日 |
| Ericsson,Discussion on NF access in roaming.,3GPP TSG CT WG4 #82 C4-181040,フランス,3GPP,2018年01月12日 |
| Nokia,Considerations on applying security on HTTP message payload,3GPP TSG SA WG3 #90 S3-180260,フランス,3GPP,2018年01月15日 |
| TIM,Analysis of different approaches for implementing SBA security over N32 reference point,3GPP TSG SA WG3 #90 S3-180028,フランス,3GPP,2018年01月12日 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2019158681A1 (en) | 2019-08-22 |
| CN111936993B (zh) | 2024-05-03 |
| US20250106622A1 (en) | 2025-03-27 |
| CN111936993A (zh) | 2020-11-13 |
| US20210014680A1 (en) | 2021-01-14 |
| US11729609B2 (en) | 2023-08-15 |
| EP3752947B1 (en) | 2023-08-09 |
| MX2020007578A (es) | 2020-09-14 |
| ES2955584T3 (es) | 2023-12-04 |
| KR20200109342A (ko) | 2020-09-22 |
| EP3752947C0 (en) | 2023-08-09 |
| PL3752947T3 (pl) | 2024-02-19 |
| KR102422660B1 (ko) | 2022-07-20 |
| US12167232B2 (en) | 2024-12-10 |
| US20230396994A1 (en) | 2023-12-07 |
| RU2760728C1 (ru) | 2021-11-29 |
| JP2021520665A (ja) | 2021-08-19 |
| EP3752947A1 (en) | 2020-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7050937B2 (ja) | コアネットワークドメイン間で伝送されるメッセージの保護 | |
| US11792235B2 (en) | Network slice-based security in mobile networks | |
| US11750662B2 (en) | Multi-access edge computing services security in mobile networks by parsing application programming interfaces | |
| EP3797500B1 (en) | Message transmission between core network domains | |
| JP7233525B2 (ja) | モバイルネットワークにおけるネットワークスライスベースのセキュリティ | |
| AU2020204346A1 (en) | Multi-access distributed edge security in mobile networks | |
| KR20240124308A (ko) | 암호화된 dns을 사용하여 인터넷 접속을 제어하는 시스템 및 방법 | |
| US20240283791A1 (en) | Authorization of a User Equipment to Access a Resource | |
| US11330038B2 (en) | Systems and methods for utilizing blockchain for securing browsing behavior information | |
| US20240163713A1 (en) | Systems and methods for selectable application-specific quality of service parameters in a wireless network | |
| US11463900B2 (en) | Systems and methods for application-anonymous rule authorization and enforcement in a wireless network | |
| US12244647B2 (en) | Context-based security in mobile networks using an API and a data store | |
| US20240073698A1 (en) | Applying subscriber-id based security, equipment-id based security, and/or network slice-id based security with user-id and syslog messages in mobile networks | |
| KR20250043497A (ko) | 모바일 네트워크들에서 사용자-id 및 syslog 메시지들을 사용하여 가입자-id 기반 보안, 장비-id 기반 보안 및/또는 네트워크 슬라이스-id 기반 보안을 적용 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20200903 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20200903 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20210303 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20211112 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220209 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220318 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220329 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7050937 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |