[go: up one dir, main page]

JP7611381B2 - ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体 - Google Patents

ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体 Download PDF

Info

Publication number
JP7611381B2
JP7611381B2 JP2023527049A JP2023527049A JP7611381B2 JP 7611381 B2 JP7611381 B2 JP 7611381B2 JP 2023527049 A JP2023527049 A JP 2023527049A JP 2023527049 A JP2023527049 A JP 2023527049A JP 7611381 B2 JP7611381 B2 JP 7611381B2
Authority
JP
Japan
Prior art keywords
network function
service
consumer
message rate
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2023527049A
Other languages
English (en)
Other versions
JPWO2022098405A5 (ja
JP2023548372A (ja
Inventor
ラジプット,ジャイ
マハランク,シャシキラン・バラチャンドラ
スリバスタバ,アンキット
Original Assignee
オラクル・インターナショナル・コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US17/129,487 external-priority patent/US11528251B2/en
Priority claimed from US17/134,635 external-priority patent/US11943616B2/en
Application filed by オラクル・インターナショナル・コーポレイション filed Critical オラクル・インターナショナル・コーポレイション
Publication of JP2023548372A publication Critical patent/JP2023548372A/ja
Publication of JPWO2022098405A5 publication Critical patent/JPWO2022098405A5/ja
Application granted granted Critical
Publication of JP7611381B2 publication Critical patent/JP7611381B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/22Traffic shaping
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/70Admission control; Resource allocation
    • H04L47/82Miscellaneous aspects
    • H04L47/822Collecting or measuring resource availability data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • H04L9/3213Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

優先権の主張
本願は、2020年12月28日に出願された米国特許出願第17/134,635号、2020年12月21日に出願された米国特許出願第17/129,487号、2020年11月13日に出願されたインド仮出願第202041049614号、および2020年11月6日に出願されたインド仮出願第202041048552号の優先権の利益を主張するものであり、これらのすべての開示内容を引用により本明細書に援用する。
技術分野
本明細書において説明する主題は、5G通信ネットワークにおけるセキュリティを向上させることに関する。特に、本明細書において説明する主題は、ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体に関する。
背景
5G電気通信ネットワークでは、サービスを提供するネットワークノードは、プロデューサーNF(ネットワーク機能)と称される。サービスを利用するネットワークノードは、コンシューマーNFと称される。ネットワーク機能は、サービスを利用しているかサービスを提供しているかに応じて、プロデューサーNFにもコンシューマーNFにもなり得る。
所与のプロデューサーNFは、多くのサービスエンドポイントを有し得る。ここで、サービスエンドポイントとは、プロデューサーNFがホストする1つ以上のNFインスタンスの接続ポイントである。サービスエンドポイントは、IP(インターネットプロトコル)アドレスとポート番号との組合せ、またはプロデューサーNFをホストするネットワークノード上のIPアドレスおよびポート番号に変換される完全修飾ドメイン名によって識別される。NFインスタンスは、サービスを提供するプロデューサーNFのインスタンスである。所与のプロデューサーNFは、2つ以上のNFインスタンスを含み得る。なお、複数のNFインスタンスが同じサービスエンドポイントを共有できる。
プロデューサーNFは、NRF(Network Function Repository Function)に登録される。NRFは、各NFインスタンスがサポートするサービスを識別する利用可能なNFインスタンスのサービスプロファイルを保持する。コンシューマーNFは、NRFに登録されているプロデューサーNFインスタンスについての情報を受信するようにサブスクライブできる。コンシューマーNFに加えて、NFサービスインスタンスについての情報を受信するようにサブスクライブできる別の種類のネットワークノードは、SCP(Service Communications Proxy)である。SCPは、NRFを介してサブスクライブし、プロデューサーNFサービスインスタンスに関するリーチャビリティとサービスプロファイル情報とを取得する。コンシューマーNFは、SCPに接続し、SCPは、要求されたサービスを提供するプロデューサーNFサービスインスタンス間でトラフィックの負荷を分散する、または、宛先であるプロデューサーNFインスタンスにトラフィックを直接ルーティングする。
SCPに加えて、プロデューサーNFとコンシューマーNFとの間でトラフィックをルーティング中間プロキシノードまたはネットワークノード群のその他の例として、SEPP(セキュリティエッジ保護プロキシ)、サービスゲートウェイ、および5Gサービスメッシュにあるノードなどが挙げられる。SEPPは、異なる5G PLMN(公衆陸上移動体通信網)間で交換されるコントロールプレーンのトラフィックを保護するために用いられるネットワークノードである。このように、SEPPは、すべてのAPI(Application Programming Interface)メッセージについてメッセージフィルタリング、ポリシング、およびトポロジ隠蔽を実行する。
しかしながら、1つ以上のNFにおけるセキュリティ対策の改善が必要とされている。
概要
ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体について開示する。1つの例示的な方法は、ネットワークノードにおいて、サービスコンシューマーネットワーク機能からサービス要求メッセージを受信することと、受信したサービス要求メッセージから、サービスコンシューマーネットワーク機能を識別するコンシューマーネットワーク機能インスタンス識別子を含むアクセストークンを抽出することとを含む。方法は、コンシューマーネットワーク機能インスタンス識別子を利用して、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することと、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、メッセージレート制限動作を実行することとをさらに含む。
本明細書において説明する主題の態様によると、サービス要求メッセージは、SBI(Service Based Interface)サービス要求メッセージである、方法。
本明細書において説明する主題の態様によると、コンシューマーネットワーク機能インスタンス識別子は、アクセストークンのサブジェクトクレームに含まれる、方法。
本明細書において説明する主題の態様によると、ネットワークノードは、アクセストークンにあるコンシューマーPLMNクレームからコンシューマーPLMN(Public Land Mobile Network)識別子を抽出するようにさらに構成される、方法。
本明細書において説明する主題の態様によると、ネットワークノードは、SEPP(Security Edge Protection Proxy)、サービスプロデューサーネットワーク機能、またはSCP(Service Communication Proxy)を含む、方法。
本明細書において説明する主題の態様によると、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することは、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートを取得することと、サービスコンシューマーネットワーク機能に対応付けられた現在の受信メッセージレートを取得することと、現在の受信メッセージレートが許容受信メッセージレートを満たすまたは上回ると判断するために現在の受信メッセージレートと許容受信メッセージレートとを比較することとを含む、方法。
本明細書において説明する主題の態様によると、メッセージレート制限動作は、要求メッセージを破棄すること、受信メッセージの一部を破棄するためにスロットルレートを生成または変更すること、または、ネットワーク事業者または管理システムに通知することを含む、方法。
受信メッセージレート制限のための1つの例示的なシステムは、少なくとも1つのプロセッサとメモリとを備えるネットワークノードを備える。ネットワークノードは、サービスコンシューマーネットワーク機能からサービス要求メッセージを受信し、受信したサービス要求メッセージから、サービスコンシューマーネットワーク機能を識別するコンシューマーネットワーク機能インスタンス識別子を含むアクセストークンを抽出し、コンシューマーネットワーク機能インスタンス識別子を利用して、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断し、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、メッセージレート制限動作を実行するように構成される。
本明細書において説明する主題の態様によるとサービス要求メッセージは、SBI(Service Based Interface)サービス要求メッセージである、システム。
本明細書において説明する主題の態様によると、コンシューマーネットワーク機能インスタンス識別子は、アクセストークンのサブジェクトクレームに含まれる、システム。
本明細書において説明する主題の態様によると、ネットワークノードは、アクセストークンにあるコンシューマーPLMNクレームからコンシューマーPLMN(Public Land Mobile Network)識別子を抽出するようにさらに構成される、システム。
本明細書において説明する主題の態様によると、ネットワークノードは、SEPP(Security Edge Protection Proxy)、サービスプロデューサーネットワーク機能、またはSCP(Service Communication Proxy)を含む、システム。
本明細書において説明する主題の態様によると、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することは、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートを取得することと、サービスコンシューマーネットワーク機能に対応付けられた現在の受信メッセージレートを取得することと、現在の受信メッセージレートが許容受信メッセージレートを満たすまたは上回ると判断するために現在の受信メッセージレートと許容受信メッセージレートとを比較することとを含む、システム。
本明細書において説明する主題の態様によると、メッセージレート制限動作は、要求メッセージを破棄すること、受信メッセージの一部を破棄するためにスロットルレートを生成または変更すること、または、ネットワーク事業者または管理システムに通知することを含む、システム。
1つの例示的な非一時的なコンピュータ読み取り可能な媒体は、コンピュータにより実行可能な命令を含み、非一時的なコンピュータ読み取り可能な媒体に含まれる当該コンピュータにより実行可能な命令は、少なくとも1つのコンピュータの少なくとも1つのプロセッサによって実行されると、当該少なくとも1つのコンピュータにステップを実行させ、当該ステップは、ネットワークノードにおいて、サービスコンシューマーネットワーク機能からサービス要求メッセージを受信するステップと、受信したサービス要求メッセージから、サービスコンシューマーネットワーク機能を識別するコンシューマーネットワーク機能インスタンス識別子を含むアクセストークンを抽出するステップとを含む。ステップは、コンシューマーネットワーク機能インスタンス識別子を利用して、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断するステップと、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、メッセージレート制限動作を実行するステップとをさらに含む。
本明細書において説明する主題は、ハードウェア、ソフトウェア、ファームウェア、または、それらの任意の組合せで実現されてもよい。このように、「機能」、「ノード」、または「モジュール」という用語は、本明細書において用いられる場合、記載の特徴を実現するためのハードウェア(ソフトウェアおよび/またはファームウェアコンポーネントも含んでもよい)を指す。一例示的な実施態様では、本明細書において説明する主題は、コンピュータにより実行可能な命令を記憶したコンピュータ読み取り可能な媒体を用いて実現されてもよい。当該命令は、コンピュータのプロセッサによって実行されると、本発明のいずれか1つ以上のステップなどのステップを実行させるようにコンピュータを制御する。本明細書において説明する主題を実現するのに適した例示的なコンピュータ読み取り可能な媒体として、ディスク記憶装置、チップ記憶装置、プログラム可能な論理回路、および特定用途向け集積回路など、非一時的なコンピュータ読み取り可能な媒体などが挙げられる。これに加えて、本明細書において説明する主題を実現するコンピュータ読み取り可能な媒体は、1つのデバイスまたは1つのコンピューティングプラットフォーム上に位置してもよいし、複数のデバイスまたは複数のコンピューティングプラットフォーム間で分散されてもよい。これに加えて、本明細書において説明する主題を実現するコンピュータ読み取り可能な媒体は、1つのデバイスまたは1つのコンピューティングプラットフォーム上に位置してもよいし、複数のデバイスまたは複数のコンピューティングプラットフォーム間で分散されてもよい。
ここで、添付の図面を参照して本明細書において説明する主題について説明する。
例示的な5Gコアネットワークアーキテクチャを示すネットワーク図である。 サービスコンシューマーネットワーク機能からサービスプロデューサーネットワーク機能が受信する例示的なメッセージシグナリングを示すブロック図である。 アクセストークン要求手順を示すメッセージフロー図である。 例示的な符号化されたアクセストークンと、対応する復号化されたアクセストークンとを示す図である。 メッセージレート制限エンジンが実行する例示的な受信メッセージレート制限を示すメッセージフロー図である。 受信メッセージレート制限のために構成された例示的なネットワークノードを示す図である。 例示的なメッセージスロットルレートに関連するレコードデータベースを示す図である。 ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための例示的な工程を示すフローチャートである。
詳細な説明
本明細書において説明する主題の様々な実施の形態について、今から詳細に説明し、その例を添付の図面に示す。可能な限り、同一の要素には同一の参照番号を付す。可能な限り図面全体で同じまたは同一の部品には同じ参照番号を付す。
図1は、例示的な5Gシステムネットワークアーキテクチャ10を示すブロック図である。図1のアーキテクチャ10は、同じHPLMN(ホーム側公衆陸上移動体通信網)に位置し得るNRF(Network Function Repository Function)100とSCP101とを備える。上述したように、NRF100は、利用可能なプロデューサーNF(ネットワーク機能)サービスインスタンスのプロファイルおよびこれらがサポートするサービスを保持し、コンシューマーNFまたはSCPが新しい/更新されたプロデューサーNFサービスインスタンスをサブスクライブすることまたは新しい/更新されたプロデューサーNFサービスインスタンスの登録について通知されることを可能にする。また、SCP101は、サービス検出およびプロデューサーNFインスタンスの選択をサポートし得る。SCP101は、コンシューマーNFとプロデューサーNFとの接続の負荷分散を行い得る。これに加えて、本明細書に記載の技法を用いて、SCP101は、NFの位置に基づいた、好ましい選択およびルーティングを行い得る。
NRF100は、NFまたはプロデューサーNFインスタンスのサービスプロファイルのリポジトリである。プロデューサーNFインスタンスと通信を行うために、コンシューマーNFまたはSCPは、NFもしくはサービスプロファイル、またはプロデューサーNFインスタンスをNRF100から取得しなければならない。NFまたはサービスプロファイルは、3GPP(登録商標)(Third Generation Partnership Project)TS(技術仕様書)29.510で規定されたJSON(JavaScript(登録商標)Object Notation)データ構造である。NFまたはサービスプロファイルの規定は、FQDN(完全修飾ドメイン名)、IPv4(IP(インターネットプロトコル)バージョン4)アドレスまたはIPv6(IPバージョン6)アドレスのうち、少なくとも1つを含む。図1では、すべてのノード(NRF100以外)は、要求側サービスであるか提供側サービスであるかに応じて、コンシューマーNFまたはプロデューサーNFのいずれかであり得る。図示した例では、これらのノードは、ネットワークにおけるポリシー関連の操作を実行するPCF(Policy Control Function)102と、ユーザデータを管理するUDM(Unified Management)機能104、アプリケーションサービスを提供するAF(Application Function)106とを含む。図1に示すノードは、AMF(Access And Mobility Management Function)110とPCF102との間のセッションを管理するSMF(Session Management Function)108をさらに含む。AMF110は、4GネットワークにおいてMME(Mobility Management Entity)が実行するモビリティ管理操作と同様のモビリティ管理操作を実行する。AUSF(Authentication Server Function)112は、ネットワークにアクセスしたいUE(ユーザ機器)114など、UE(ユーザ機器)の認証サービスを実行する。
NSSF(Network Slice Selection Function)116は、ネットワークスライスに関連する特定のネットワーク機能および特性にアクセスしたいデバイスのためのネットワークスライシングサービスを提供する。NEF(ネットワーク Exposure Function)118は、ネットワークにアタッチされているIoT(Internet of things)デバイスおよびその他のUEについての情報を取得したいアプリケーション機能のためのAPI(Application Programming Interface)を提供する。NEF118は、4GネットワークにおけるSCEF(Service Capability Exposure Function)と同様の機能を実行する。
RAN(無線アクセスネットワーク)120は、ワイヤレスリンクを経由してUE(ユーザ機器)114をネットワークに接続する。無線アクセスネットワーク120には、gNB(g-NodeB)(図1に図示せず)またはその他のワイヤレスアクセスポイントを用いてアクセスされ得る。UPF(User Plane Function)122は、ユーザプレーンサービスに関する様々なプロキシ機能をサポートできる。このようなプロキシ機能の一例は、MPTCP(Multipath Transmission Control Protocol)プロキシ機能である。UPF122は、パフォーマンス測定機能もサポートし得る。パフォーマンス測定機能は、ネットワーク性能の測定値を取得するためにUE114によって用いられ得る。図1には、UEがインターネットサービスなどのデータネットワークサービスにアクセスするDN(データネットワーク)124も示されている。
SEPP(Security Edge Protection Proxy)126は、別のPLMNからの受信トラフィックをフィルタリングし、ホーム側PLMNから出るトラフィックのトポロジ隠蔽を実行する。SEPP126は、外部PLMNのセキュリティを管理する、外部PLMNにあるSEPPと通信し得る。よって、それぞれ異なるPLMNにおけるNF間のトラフィックは、ホーム側PLMNのためのSEPP機能および外部PLMNのためのSEPP機能という2つのSEPP機能を横断し得る。
SEPP126は、N32-cインタフェースと、N32-fインタフェースとを利用し得る。N32-cインタフェースは、最初のハンドシェイク(たとえば、TLSハンドシェイク)を実行するためと、N32-fインタフェース接続および関連するメッセージ転送に関する様々なパラメータをネゴシエーションするために使用できる2つのSEPP間のコントロールプレーンのインタフェースである。N32-fインタフェースは、アプリケーションレベルのセキュリティ保護を適用した後にコンシューマーNFとプロデューサーNFとの間で様々な情報(たとえば、5GCサービスアクセスリクエストおよびレスポンス)を転送するために使用できる2つのSEPP間の転送インタフェースである。
既存の5Gアーキテクチャの潜在的な問題は、コンシューマーNFが、ホームPLMNにあるプロデューサーNF、SEPP、またはSCPにかなりの数のサービス要求メッセージを送ることによってシグナリングストームを生じさせてしまう可能性がある点である。ホームネットワークにある受信側のプロデューサーNF、SEPP、またはSCPがグローバルメッセージレート制限処理を開始し、問題の原因であるコンシューマーNFからのシグナリングストームによる影響を抑制または軽減できる一方で、グローバルメッセージレート制限は、同様に、シグナリングストームの原因ではないまたはシグナリングストームに関連しないまともなコンシューマーNFからのメッセージと、SEPPSからのメッセージを、同じ速度で破棄できる。
図2は、複数のサービスコンシューマーネットワーク機能200~204の各々とサービスプロデューサーネットワーク機能126との間に存在するシグナリング接続を示す図である。いくつかの実施の形態では、サービスプロデューサーネットワーク機能126は、サブスクライブされているコンシューマーネットワーク機能からの過剰な5GCシグナリングからサービスプロデューサーネットワーク機能126自体を保護するために、何らかの受信レート制限方法を必要とする。たとえば、サービスプロデューサーネットワーク機能126は、コンシューマーネットワーク機能から受信する受信メッセージの数を抑制または制限する役割を果たすグローバルレート制限機能を有して構成され得る。図2に示すように、プロデューサーネットワーク機能126は、複数のコンシューマーネットワーク機能200~204からシグナリングメッセージを受信するように構成され得る。メッセージを送信する複数のコンシューマーネットワーク機能のうち、1つ以上のコンシューマー機能が過剰な数のシグナリングメッセージを送信している可能性があり、これによって、プロデューサーネットワーク機能126が、プロデューサーネットワーク機能126において受信されるメッセージの受信レートを操作するメッセージスロットルメカニズムを起動することになる。グローバルメッセージレート制限措置が特定のコンシューマーネットワーク機能(たとえば、コンシューマーネットワーク機能200)からのシグナリングストームのマイナスの影響を軽減できる一方で、このようなレート制限は、シグナリングストームの原因でないまたはシグナリングストームに関連しないまともなコンシューマーネットワーク機能(たとえば、コンシューマーネットワーク機能202~204)に関連するトラフィックも不当に破棄または抑制してしまう可能性がある。図2に示すように、プロデューサーネットワーク機能が実行するグローバルレート制限メカニズムは、すべての受信メッセージを抑制して、許容限度またはしきい値に従ってメッセージを送信しているコンシューマーネットワーク機能(たとえば、コンシューマーネットワーク機能202~204)を不当に抑制してしまうことになる。このように、コンシューマーネットワーク機能202~204は、問題の原因であるコンシューマーネットワーク機能(たとえば、コンシューマーネットワーク機能200)と同程度に抑制されてしまう。
開示する主題のいくつかの実施の形態では、ネットワークノードには、メッセージレート制限エンジン(さらなる詳細については後述する)がプロビジョニングされ得る。とりわけ、メッセージレート制限エンジンは、特定のコンシューマーネットワーク機能に端を発する現在のメッセージングレートを維持および監視し、そのレートが許容しきい値を超えるかどうかを判断するように構成され得る。これを実現するためには、ネットワークノードにあるメッセージレート制限エンジンは、コンシューマーネットワーク機能が送信したサービスアクセスメッセージのHTTPおよび/またはJSONメッセージのヘッダに格納され得るアクセストークン(および含まれているコンシューマーネットワーク機能インスタンス識別子)を見分けられるように構成され得る。いくつかの実施の形態では、アクセストークンは、NRFなど、認証サーバーから要求されるOAuth2アクセストークンであってもよい。
図3は、コンシューマーネットワーク機能によって行われるアクセストークン要求手順を示すメッセージフロー図である。図3を参照すると、サービスコンシューマーネットワーク機能302は、認証サーバー304(たとえば、NRF)にアクセストークン要求メッセージ311を送信し得る。特に、要求メッセージ311は、予想されるNFのサービス名およびNFタイプ、サービスコンシューマーネットワーク機能タイプ、クライアントの識別子などを指定するNnrf_AcessToken_Get Requestメッセージを含む。要求メッセージ311を受信すると、認証サーバー304は、要求側クライアント(すなわち、サービスコンシューマーネットワーク機能302)を認証し、そのクライアントに対して一意の符号化されたアクセストークン(たとえば、OAuth2アクセストークン)を生成するように構成される。符号化されたアクセストークンを生成した後、認証サーバー304は、サービスコンシューマーネットワーク機能302宛ての応答メッセージ313を生成して送信する。特に、応答メッセージ313は、認証サーバーが生成した符号化されたアクセストークンとその対応する有効期限とを含むNnrf_AccessToken_Get Responseメッセージを含み得る。
アクセストークンを正常にフェッチすることによって必要なサービスアクセス認証を取得すると、サービスコンシューマーネットワーク機能302は、サービスプロデューサーネットワーク機能宛てのネットワーク機能サービス要求メッセージ(たとえば、SBIサービス要求メッセージ)に、取得したアクセストークンを含めるように構成され得る。具体的には、サービスコンシューマーネットワーク機能は、サービスプロデューサーネットワーク機能に送られるネットワーク機能サービス要求メッセージに、符号化されたアクセストークンを組み込むことができる。ネットワーク機能サービス要求メッセージを受信したことに応答して、サービスプロデューサーネットワーク機能は、符号化されたアクセストークンをサービス要求メッセージから抽出するように構成される。特に、サービスプロデューサーネットワーク機能は、アクセストークンに含まれる整合性およびクレームを検証するように適合され得る。アクセストークンのクレームおよび整合性が正常に検証された場合、サービスプロデューサーネットワーク機能は、要求したサービスにサービスコンシューマーネットワーク機能がアクセスすることを許可するように構成される。すなわち、サービスプロデューサーネットワーク機能は、要求したサービスが認証されてアクセス可能になることを示すネットワーク機能サービス応答メッセージを、サービスコンシューマーネットワーク機能に送信するように構成され得る。
図4は、例示的な符号化されたアクセストークン402と、復号化されたアクセストークン404とを示す。とりわけ、符号化されたアクセストークン402が認証サーバーまたはNRFからコンシューマーネットワーク機能によってこの形式で受信される。符号化されたアクセストークン402は、コンシューマーネットワーク機能が生成および送信したサービス要求メッセージのHTTPのヘッダにおいてさらに利用される。符号化されたアクセストークンは、後述する受信側プロデューサーネットワーク機能および/またはそのメッセージレート制限エンジンによって最終的に復号化される。
図5は、メッセージレート制限エンジン514によって実行される例示的なレート制限技術を示す、メッセージシグナリング図を示す。図5に示すように、メッセージレート制限エンジン514は、サービスプロデューサーネットワーク機能512によってホストされる。別の実施の形態では、メッセージレート制限エンジン514は、SEPPまたはSCPノードによってホストされる。図5は、コンシューマーネットワーク機能521~522のペアをさらに示している。図5に示すように、サービスプロデューサーネットワーク機能512は、サービスプロデューサーネットワーク機能(または、メッセージレート制限エンジン514のホスト)と通信したそれぞれのサービスコンシューマーネットワーク機能に対応する複数のレコードエントリを含み得るレコードデータベース(たとえば、後述および図7に示すレコードデータベース700を参照)を有して構成され得る。
図5に示すように、サービスプロデューサーネットワーク機能512は、サービスコンシューマーネットワーク機能521からNFサービス要求メッセージ502を受信する。とりわけ、サービス要求メッセージ502は、サービスコンシューマーネットワーク機能521が(たとえば、図3に関して上述したNRFから)以前取得した符号化されたアクセストークンを含む。また、アクセストークンは、複数のクレームを含み、メッセージレート制限エンジン514は、そのいずれのクレームにもアクセスできる。たとえば、アクセストークンにある1つのクレームは、送信側のコンシューマーネットワーク機能521を識別するコンシューマーネットワーク機能インスタンス識別子を含んだサブジェクトクレームである。アクセストークンにある別のアクセス可能なクレームは、コンシューマーPLMN識別子を含む。以下の説明では、サブジェクトクレームおよびコンシューマーPLMNクレームへのアクセス、ならびにこれらのクレームから識別子データを抽出することについて主に説明するが、アクセストークンに含まれるいずれのクレームも、開示する主題の範囲を逸脱することなく、レート制限の目的で利用できる識別情報を求めて、メッセージレート制限エンジンによってアクセスされてもよい。
サービス要求メッセージ502およびアクセストークンを受信した後、サービスプロデューサーネットワーク機能512および/またはメッセージレート制限エンジン514は、符号化されたアクセストークンを復号化し、アクセストークンの検証、およびサービス認証手順を開始するように構成される(ブロック503を参照)。たとえば、メッセージレート制限エンジン514は、アクセストークンに含まれるクレームの整合性を検証するように構成され得る。とりわけ、メッセージレート制限エンジン514は、復号化されたアクセストークンのサブジェクトクレームから、コンシューマーネットワーク機能521を一意に識別するコンシューマーネットワーク機能インスタンス識別子を取得する(および/または、復号化されたアクセストークンのコンシューマーPLMNクレームからコンシューマーPLMNを一意に識別するコンシューマーPLMN識別子を取得する)ように構成される。コンシューマーネットワーク機能インスタンス識別子が取得されると、メッセージレート制限エンジン514は、コンシューマーネットワーク機能インスタンス識別子を利用して、レコードデータベースのエントリを相互参照するように構成される。特に、レコードデータベースは、ネットワーク機能識別子(および/またはコンシューマーPLMN識別子、コンシューマーNFグループ識別子など)と、関連するメッセージレート制限パラメータ(たとえば、図7に示すように)とを含み得る。レコードデータベースのエントリに含まれているコンシューマーネットワーク機能識別子のうち1つ以上とコンシューマーネットワーク機能インスタンス識別子とを比較することによって、メッセージレート制限エンジン514は、特定のサービスコンシューマーネットワーク機能521に加えられている既存のメッセージング制約を判断することができる。たとえば、メッセージレート制限エンジン514は、レコードデータベースにアクセスし、ネットワーク機能521が実行する現在のメッセージングレート、ネットワーク機能521の予め定義された許容メッセージレート、および送信側サービスコンシューマーネットワーク機能に現在適用されている(該当する場合)メッセージスロットルレートなど、サービスコンシューマーネットワーク機能に関する様々なメッセージング情報を判断し得る。アクセストークンの整合性を検証し、さらに、サービスコンシューマーネットワーク機能521がプロデューサーネットワーク機能512にとって許容可能な受信メッセージレートに準拠して通信していると判断した場合、メッセージレート制限エンジン514は、要求されたサービスへのアクセス権が付与されたことを示すサービス応答メッセージを、コンシューマーネットワーク機能521に送信する。さらには、メッセージレート制限エンジン514は、メッセージレート制限動作またはスロットル動作を実行せずに、コンシューマーネットワーク機能521がプロデューサーネットワーク機能512と通信することを引き続き許可する。
図5に示す第2シナリオでは、サービスコンシューマーネットワーク機能522は、それ自体のネットワーク機能サービス要求メッセージをサービスプロデューサーネットワーク機能512に送信する。上に示したメッセージ502と同様に、サービス要求メッセージ505は、サービスコンシューマーネットワーク機能522によって(たとえば、NRFから)以前取得された符号化されたアクセストークンを含む。さらには、符号化されたアクセストークンは、複数のアクセス可能なクレームも含み、そのうちの1つは、送信側のコンシューマーネットワーク機能522を一意に識別するコンシューマーネットワーク機能インスタンス識別子を含んだサブジェクトクレームである。別のアクセス可能なクレームは、送信側のコンシューマーPLMNを一意に識別するコンシューマーPLMN識別子を含むコンシューマーPLMNクレームである。
サービス要求メッセージ505およびアクセストークンを受信した後、サービスプロデューサーネットワーク機能512および/またはメッセージレート制限エンジン514は、アクセストークンを復号化し、アクセストークン検証およびサービス認証手順を開始するように構成される(ブロック503と同様)。たとえば、メッセージレート制限エンジン514は、受信したアクセストークンにあるクレームの整合性を検証するように構成され得る。とりわけ、メッセージレート制限エンジン514は、アクセストークンのサブジェクトクレーム(および/またはコンシューマーPLMNクレームからのコンシューマーPLMN識別子)から、コンシューマーネットワーク機能523を一意に識別するコンシューマーネットワーク機能インスタンス識別子を取得するように構成される。コンシューマーネットワーク機能インスタンス識別子が取得されると、メッセージレート制限エンジン514は、ネットワーク機能インスタンス識別子を利用して、レコードデータベースのエントリを相互参照するように構成される。レコードデータベースのエントリに含まれるネットワーク機能識別子のうち1つ以上とコンシューマーネットワーク機能インスタンス識別子とを比較することによって、メッセージレート制限エンジン514は、特定のサービスコンシューマーネットワーク機能522に加えられているメッセージング制約のいずれも判断することができる。たとえば、メッセージレート制限エンジン514は、レコードデータベースにアクセスして、送信側サービスコンシューマーネットワーク機能にメッセージスロットルレートが現在適用されていると判断し得る。プロデューサーネットワーク機能512への受信メッセージのスロットルレートの影響をサービスコンシューマーネットワーク機能521が受けていると判断した場合、メッセージレート制限エンジン514は、メッセージレート制限動作またはスロットル動作を実行する。たとえば、メッセージレート制限エンジン514は、レコードデータベースにおいて予め定義される所定のレート制限に基づいて、コンシューマーネットワーク機能522によって送信された複数のメッセージを破棄するように構成され得る。より具体的には、メッセージレート制限エンジン514は、サービスコンシューマーネットワーク機能522からプロデューサーネットワーク機能512への受信メッセージングを、レコードデータベース(たとえば、図7のデータベース700を参照)において定められる特定のメッセージングスロットルレート(たとえば、10TPS)に制限できる。
図5が例示を目的としていること、ならびに異なるおよび/または追加のメッセージおよび/または動作が用いられてもよいことが分かるであろう。また、本明細書に記載の様々なメッセージおよび/もしくは動作が、異なる順序またはシーケンスで実行されてもよいことが分かるであろう。
図6は、ネットワーク機能識別子を利用して受信メッセージレート制限を実施するように構成された例示的なネットワークノード600を示す図である。ネットワークノード600は、受信メッセージレート制限の態様を実行するための任意の適切な1つのエンティティまたは複数のエンティティを表し得る。いくつかの実施の形態では、ノード600は、1つ以上の5GCネットワーク機能、たとえば、サービスプロデューサーネットワーク機能、SEPP、SCPなどを表すまたは含み得る。いくつかの実施の形態では、ネットワークノード600は、ネットワークゲートウェイ、ネットワークプロキシ、エッジセキュリティデバイス、もしくは、NF、SEPP、および/またはSCPノードもしくは機能をホストするように構成された任意の関連するコンピューティングデバイスを表すまたは含み得る。いくつかの実施の形態では、ネットワークノード600は、NRF、PCF、BSF、NSSF、NEF、UDM/AUSF、UDR、UDSFなど、任意のプロデューサーネットワーク機能を含み得る。
いくつかの実施の形態では、ネットワークノード600または関連モジュールは、送信元のサービスコンシューマーネットワーク機能に対応するコンシューマーネットワーク機能インスタンス識別子に基づいて、5GCサービス要求メッセージに対して受信メッセージレート制限を実行するように構成される。このように受信メッセージレート制限を実行することによって、ネットワークノード600(たとえば、サービスプロデューサーネットワーク機能)は、ホームネットワークにあるネットワークノードまたはその他のダウンストリームのネットワーク機能に対する受信5GCリクエストシグナリングストームの影響を抑制または軽減することができる。たとえば、ネットワークノード600または関連モジュールは、アクセストークン(たとえば、OAuth2アクセストークン)に含まれるコンシューマーネットワーク機能インスタンス識別子を識別するように構成され得る。より具体的には、コンシューマーネットワーク機能インスタンス識別子は、アクセストークン内に含まれているサブジェクトクレームに含まれる。いくつかの実施の形態では、ネットワークノード、メッセージレート制限エンジン、または関連モジュールは、アクセストークンにあるコンシューマーPLMNクレームからコンシューマーPLMN識別子を抽出するようにさらに構成される。後述するが、このコンシューマーPLMN識別子は、送信側のコンシューマーPLMN上でレート制限手順を実行するためにネットワークノードおよび/またはメッセージレート制限エンジンによって使用され得る。
いくつかの実施の形態では、ネットワークノードおよび/またはメッセージレート制限エンジンは、レート制限の目的で複数のサービスコンシューマーネットワーク機能をグループ化するように構成される。このようなシナリオでは、ネットワークノードおよび/またはメッセージレート制限エンジンは、コンシューマーNFをグループ化することを可能にするための構成がネットワーク事業者または管理者によって行われるよう求める。
図6を参照すると、ネットワークノード600は、通信環境、たとえば、ホーム5GCネットワークを経由してメッセージを伝えるための1つ以上の通信インタフェース(複数可)602を備え得る。いくつかの実施の形態では、通信インタフェース(複数可)602は、第1のネットワークにある1つ以上のサービスコンシューマーネットワーク機能および/またはSEPPと通信するための第1の通信インタフェース、第2のネットワークにある1つ以上のサービスコンシューマーネットワーク機能および/またはSEPPと通信するための第2の通信インタフェース、ならびに、ホームネットワーク、たとえば、ホーム5GCネットワークにある1つ以上のサービスコンシューマーネットワーク機能および/またはSEPPと通信するための第3の通信インタフェースを含み得る。
ネットワークノード600は、MRL(メッセージレート制限)エンジン604を備え得る。メッセージレート制限エンジン604は、受信メッセージレート制限の1つ以上の開示の態様を実行するための任意の適切なエンティティ(たとえば、少なくとも1つのプロセッサ上で実行されているソフトウェア)であり得る。いくつかの実施の形態では、メッセージレート制限エンジン604は、サービスコンシューマーネットワーク機能から送られたサービス要求メッセージから、送信元のサービスコンシューマーネットワーク機能を識別するコンシューマーネットワーク機能インスタンス識別子を取得し、ネットワーク機能インスタンス識別子を利用して受信メッセージレート制限機能をネットワークノード600において実行するための機能を含み得る。たとえば、5GCシグナリングメッセージからコンシューマーネットワーク機能インスタンス識別子を取得することは、5GCベースのネットワーク機能サービス要求メッセージに含まれるアクセストークンに含まれているHTTPのヘッダからインスタンス識別子を取得することを含み得る。
この例では、ネットワークノード600が受信した5GCサービス要求メッセージごとに、メッセージレート制限エンジン604は、コンシューマーネットワーク機能インスタンス識別子を利用して、送信側のコンシューマーネットワーク機能インスタンス識別子に対応付けられた許容受信メッセージレートが予め定義されたしきい値に達したまたは上回ったかどうかを判断し得る。ネットワーク機能インスタンス識別子に対応付けられた許容受信メッセージレートがしきい値に達したまたは上回ったと判断したことに応答して、メッセージレート制限エンジン604は、メッセージレート制限動作を実行し得る。レート制限動作として、受信した要求メッセージの破棄、特定のコンシューマーサービスネットワーク機能によって送信された受信メッセージの一部を破棄するためのスロットルレートの生成もしくは変更、および/または受信メッセージレートもしくは関連イベントに関するネットワーク事業者または管理システムへの通知などが挙げられ得る。
いくつかの実施の形態では、メッセージレート制限エンジン604は、コンシューマーサービスネットワーク機能に対応付けられた許容受信メッセージレートを取得し、コンシューマーサービスネットワーク、機能に対応付けられた現在の受信メッセージレートを取得し、現在の受信メッセージレートと許容受信メッセージレートとを比較することによって、受信メッセージレート制限を行うかどうか判断するように構成され得る。現在の受信メッセージレートが許容受信メッセージレートを満たすまたは上回る場合、メッセージレート制限動作が実行され得る。現在の受信メッセージレートが許容受信メッセージレートを満たすまたは上回る場合、メッセージレート制限エンジン604は、たとえば、受信メッセージレート制限なしで、メッセージを取り扱いまたは処理させる。
いくつかの実施の形態では、ネットワークノード600は、データストレージ606にアクセスし得る(たとえば、情報を読み出すおよび/または書き込む)。データストレージ606は、様々なデータを格納するための任意の適切なエンティティ(たとえば、コンピュータ読み取り可能な媒体またはメモリ)であり得る。いくつかの実施の形態では、データストレージ606は、アクセストークンから識別子を取得するためのロジックと、受信メッセージレート制限を行うかどうかをチェックするためのロジックと、メッセージレート制限動作を実施またはトリガするためのロジックと、様々な送信元のエンティティ(たとえば、コンシューマーサービスネットワーク機能インスタント識別子、PLMNのIDなど)に対応付けられた現在の受信メッセージレートを追跡するためのロジックとを含み得る。
いくつかの実施の形態では、データストレージ606は、メッセージレート制限データを含み得る。たとえば、データストレージ606は、様々なコンシューマーネットワーク機能またはその中にあるネットワークノードの現在のメッセージレート、許容メッセージレート、および/またはメッセージスロットルレートを識別するための情報を含み得る。この例では、関連するメッセージレートおよびスロットルレートは、索引付けされ得、そうでない場合、5GCサービス要求メッセージまたはその中にあるアクセストークンから取得した識別子を利用して識別され得る。データストア606は、図7に示すレコードデータベース700など、レコードデータベースを格納するようにさらに構成され得る。
図7は、レコードデータベース700に格納された、例示的なメッセージレートに関連するデータを示す図である。レコードデータベース700は、様々なネットワーク機能および/もしくはその中にあるネットワークノードの現在のメッセージレート、許容メッセージレート、ならびに/またはメッセージスロットルレートを識別するための情報を含み得る。たとえば、レコードデータベース700にある各レートは、一定期間、たとえば、TPS(1秒あたりのトランザクション数)当たりのメッセージ数、リクエスト数、またはトランザクション数を表し得る。
図7を参照すると、レコードデータベース700を示す表は、ネットワークおよび/またはネットワーク機能インスタンスのID、現在のメッセージレート、許容メッセージレート、ならびにメッセージスロットルレートのカラムおよび/またはフィールドを含む。ネットワーク機能識別子フィールドは、ネットワーク機能または関連するホストネットワークノードを表すための情報を格納し得る。いくつかの実施の形態では、レコードデータベース700は、特定のコンシューマーPLMNに対してメッセージレート制限を行うために利用できるコンシューマーPLMN識別子フィールドを含み得る。同様に、いくつかの実施の形態では、レコードデータベース700は、特定のサービスコンシューマーネットワーク機能グループ化にメッセージレート制限を行うために利用できるコンシューマーNFグループ識別子フィールドを含み得る。
現在のメッセージレートフィールドは、1つ以上のメッセージ、メッセージの種類、またはトランザクションに対応付けられた測定または追跡メッセージレートを表すための情報を格納し得る。たとえば、現在のメッセージレート(たとえば、50TPS)は、特定のコンシューマーネットワーク機能から受信した5GCサービス要求メッセージまたはトランザクションの測定レートを示し得る。
許容メッセージレートフィールドは、1つ以上のメッセージ、メッセージの種類、またはトランザクションに対応付けられた所定の許容メッセージレートを表すための情報を格納し得る。たとえば、許容メッセージレート(たとえば、40TPS)は、ネットワークノード(たとえば、プロデューサーネットワークノード、SCP、またはSEPP)が、たとえば、レート制限動作を実行しないで許可するように構成された特定のコンシューマーネットワーク機能から受信した5GCサービス要求メッセージまたはトランザクションのレートを示し得る。
メッセージスロットルレートフィールドは、1つ以上のメッセージ、メッセージの種類、またはトランザクションに対応付けられたメッセージスロットルレートを表すための情報を格納し得る。たとえば、メッセージスロットルレートは、ネットワークノード(たとえば、プロデューサーネットワークノード、SCP、またはSEPP)が抑制するまたは破棄する特定のコンシューマーネットワーク機能から受信した5GCサービスアクセス間の要求メッセージまたはトランザクションのレートを示し得る。この例では、スロットルレートは、現在のメッセージレートと許容メッセージレートとの差、たとえば、50TPS-40TPS=10TPSに基づき得る。
また、レコードデータベース700が例示を目的としていること、ならびに、特定のデータ部分のデフォルト値またはその他の情報を示すために、図7に示したデータ以外に、異なるおよび/または追加のデータが用いられてもよいことが分かるであろう。さらには、レコードデータベース700は、様々なデータ構造および/またはコンピュータ読み取り可能な媒体を用いて(たとえば、図6に示すようなデータストレージ606にあるデータベースレコードに)格納されてもよく、管理されてもよい。
図8は、受信メッセージレート制限のための例示的な工程800を示す図である。いくつかの実施の形態では、本明細書において説明する例示的な工程800またはその一部は、ネットワークノード600、メッセージレート制限エンジン604、および/または別のモジュールもしくはノードにおいて実行されてもよく、ネットワークノード600、メッセージレート制限エンジン604、および/または別のモジュールもしくはノードによって実行されてもよい。
ステップ802では、サービスコンシューマーネットワーク機能から5GCサービス要求メッセージを受信する。いくつかの実施の形態では、要求メッセージは、SEPP、SCP、プロデューサーNF、または、ホーム5GCネットワークにあるメッセージレート制限エンジン604を備えるその他のノードなど、ネットワークノードによって受信される。
ステップ804では、受信した5GCサービス要求メッセージから、コンシューマーネットワーク機能インスタンス識別子を含むアクセストークンを抽出する。いくつかの実施の形態では、メッセージレート制限エンジンは、アクセストークンのクレームに含まれているコンシューマーネットワーク機能インスタンス識別子を取得する。とりわけ、コンシューマーネットワーク機能インスタンス識別子は、送信側サービスコンシューマーネットワーク機能を一意に識別する。いくつかの実施の形態では、ネットワークノードおよび/またはメッセージレート制限エンジンは、アクセストークンにあるコンシューマーPLMNクレームからコンシューマーPLMN識別子を抽出する。
ステップ806では、コンシューマーネットワーク機能インスタンス識別子を利用して、送信側サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断し得る。たとえば、プロデューサーネットワーク機能は、送信元のサービスコンシューマーネットワーク機能に対応付けられたアクセストークン(ステップ804を参照)から取得したコンシューマーネットワーク機能インスタンス識別子を利用して、特定のサービスコンシューマーネットワーク機能が送信したメッセージが受信メッセージレートに達しているまたは上回っているかどうかを判断し得る。この例では、プロデューサーネットワーク機能は、現在の受信メッセージレートと、関連性のある識別子(たとえば、コンシューマーネットワーク機能インスタンス識別子)で索引付けまたは対応付けられた許容メッセージレートとを含んだデータストアまたはデータベースに照会し得る。いくつかの実施の形態では、抽出したコンシューマーPLMN識別子は、送信側のコンシューマーPLMNに対応付けられた許容受信メッセージレートに達したまたは上回ったかどうかを判断するためにネットワークノードおよび/またはメッセージレート制限エンジンによって使用され得る。
いくつかの実施の形態では、特定の送信側のサービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することは、(1)サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートを取得することと、(2)サービスコンシューマーネットワーク機能に対応付けられた現在の受信メッセージレートを取得することと、(3)現在の受信メッセージレートが許容受信メッセージレートを満たすまたは上回ると判断するために、現在の受信メッセージレートと許容受信メッセージレートとを比較することとを含む。
ステップ808では、サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、メッセージレート制限動作を実行し得る。いくつかの実施の形態では、プロデューサーネットワーク機能および/またはメッセージレート制限エンジンによって実行されるメッセージレート制限動作は、要求メッセージを破棄すること、メッセージの一部を破棄するためにスロットルレートを生成または変更すること、または、ネットワーク事業者または管理システムに通知することを含み得る。いくつかの実施の形態では、メッセージレート制限動作は、送信側のコンシューマーPLMNに対応付けられた許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、ネットワークノードおよび/またはメッセージレート制限エンジンによって実行され得る。
工程800が例示を目的としていること、ならびに異なるおよび/または追加のメッセージおよび/または動作が用いられてもよいことが分かるであろう。また、本明細書に記載の様々なメッセージおよび/もしくは動作が、異なる順序またはシーケンスで実行されてもよいことが分かるであろう。
本明細書に記載の主題のいくつかの態様を、5Gネットワークを例に説明したが、本明細書に記載の主題のいくつかの態様は、様々なその他のネットワークによって利用されてもよいことがわかるであろう。たとえば、送信者または関連ネットワークを識別する証明書を利用する任意のネットワークは、本明細書に記載の特徴、仕組み、および技術を利用して、より選択的なメッセージレート制限を実行してもよい。
なお、本明細書に記載の(たとえば、図6に示すような)ネットワークノード600、メッセージレート制限エンジン604、および/または機能によって、特定用途のコンピューティングデバイスが構成されてもよい。さらには、本明細書に記載のノード600、メッセージレート制限エンジン604、および/または機能は、プロデューサーネットワーク機能、SEPP、SCP、またはその他のネットワークノードにおけるネットワークセキュリティおよび/またはメッセージレート制限の技術分野を向上させることができる。たとえば、コンシューマーNFの識別子に基づいて受信メッセージレート制限を行うことによって、悪意のある行為(たとえば、シグナリングトラフィックストーム)ならびにそのマイナスの影響(たとえば、ネットワーク輻輳、サービス障害、および/またはユーザエクスペリエンスの低下)を軽減および/または防ぐことができる。
下記文献の各々の開示内容のすべてを、本明細書と矛盾しない程度に、そして本明細書において採用した方法、技術、および/またはシステムを補足、説明、その背景を提供する、または、教示する程度に引用により本明細書に援用する。
文献
1. 3GPP TS 33.501; 3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Architecture and Procedures for the 5G System; (Release 16), V16.3.0 (2020-07).
2. 3GPP TS 29.510; 3rd Generation Partnership Project; Technical Specification Group Core Network and Terminals; 5G System; Network Function Repository Services; Stage 3 (Release 16), V16.4.0 (2020-07).
今回開示した主題の様々な詳細は、今回開示した主題の範囲を逸脱することなく変更してもよいことが理解されるであろう。さらには、上記の説明は、あくまで例示にすぎず、限定ではない。

Claims (9)

  1. ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法であって、
    ネットワークノードにおいて、
    サービスコンシューマーネットワーク機能からサービス要求メッセージを受信することと、
    受信した前記サービス要求メッセージから、前記サービスコンシューマーネットワーク機能を識別するコンシューマーネットワーク機能インスタンス識別子を含むアクセストークンを抽出することと、
    前記コンシューマーネットワーク機能インスタンス識別子を利用して、前記サービスコンシューマーネットワーク機能に対応付けられた許容受信メッセージレートに達したまたは上回ったと判断することと、
    前記サービスコンシューマーネットワーク機能に対応付けられた前記許容受信メッセージレートに達したまたは上回ったと判断したことに応答して、メッセージレート制限動作を実行することとを含む、方法。
  2. 前記サービス要求メッセージは、SBI(Service Based Interface)サービス要求メッセージである、請求項1に記載の方法。
  3. 前記コンシューマーネットワーク機能インスタンス識別子は、前記アクセストークンのサブジェクトクレームに含まれる、請求項1または2に記載の方法。
  4. 前記ネットワークノードは、前記アクセストークンにあるコンシューマーPLMNクレームからコンシューマーPLMN(Public Land Mobile Network)識別子を抽出するようにさらに構成される、求項1~3のいずれか1項に記載の方法。
  5. 前記ネットワークノードは、SEPP(Security Edge Protection Proxy)、サービスプロデューサーネットワーク機能、またはSCP(Service Communication Proxy)を含む、求項1~4のいずれか1項に記載の方法。
  6. 前記サービスコンシューマーネットワーク機能に対応付けられた前記許容受信メッセージレートに達したまたは上回ったと判断することは、
    前記サービスコンシューマーネットワーク機能に対応付けられた前記許容受信メッセージレートを取得することと、
    前記サービスコンシューマーネットワーク機能に対応付けられた現在の受信メッセージレートを取得することと、
    前記現在の受信メッセージレートが前記許容受信メッセージレートを満たすまたは上回ると判断するために前記現在の受信メッセージレートと前記許容受信メッセージレートとを比較することとを含む、求項1~5のいずれか1項に記載の方法。
  7. 前記メッセージレート制限動作は、前記要求メッセージを破棄すること、受信メッセージの一部を破棄するためにスロットルレートを生成または変更すること、または、ネットワーク事業者または管理システムに通知することを含む、求項1~6のいずれか1項に記載の方法。
  8. ネットワーク機能識別子を利用して受信メッセージレート制限を実施するためのシステムであって、
    少なくとも1つのプロセッサと、
    プログラムを記憶したメモリとを備えるネットワークノードを備え、
    前記プログラムは、前記少なくとも1つのプロセッサに、請求項1~7のいずれか1項に記載の方法を実行させる、システム。
  9. 少なくとも1つのプロセッサに、請求項1~7のいずれか1項に記載の方法を実行させる、プログラム。
JP2023527049A 2020-11-06 2021-07-21 ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体 Active JP7611381B2 (ja)

Applications Claiming Priority (9)

Application Number Priority Date Filing Date Title
IN202041048552 2020-11-06
IN202041048552 2020-11-06
IN202041049614 2020-11-13
IN202041049614 2020-11-13
US17/129,487 2020-12-21
US17/129,487 US11528251B2 (en) 2020-11-06 2020-12-21 Methods, systems, and computer readable media for ingress message rate limiting
US17/134,635 2020-12-28
US17/134,635 US11943616B2 (en) 2020-11-13 2020-12-28 Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
PCT/US2021/042662 WO2022098405A1 (en) 2020-11-06 2021-07-21 Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting

Publications (3)

Publication Number Publication Date
JP2023548372A JP2023548372A (ja) 2023-11-16
JPWO2022098405A5 JPWO2022098405A5 (ja) 2024-02-08
JP7611381B2 true JP7611381B2 (ja) 2025-01-09

Family

ID=81458176

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2023527034A Active JP7777585B2 (ja) 2020-11-06 2021-07-21 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体
JP2023527049A Active JP7611381B2 (ja) 2020-11-06 2021-07-21 ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2023527034A Active JP7777585B2 (ja) 2020-11-06 2021-07-21 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体

Country Status (4)

Country Link
EP (2) EP4241420A1 (ja)
JP (2) JP7777585B2 (ja)
CN (1) CN116438779A (ja)
WO (2) WO2022098404A1 (ja)

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11553342B2 (en) 2020-07-14 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
US11751056B2 (en) 2020-08-31 2023-09-05 Oracle International Corporation Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns
US11832172B2 (en) 2020-09-25 2023-11-28 Oracle International Corporation Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface
US11825310B2 (en) 2020-09-25 2023-11-21 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks
US11622255B2 (en) 2020-10-21 2023-04-04 Oracle International Corporation Methods, systems, and computer readable media for validating a session management function (SMF) registration request
US11943616B2 (en) 2020-11-13 2024-03-26 Oracle International Corporation Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
US11528251B2 (en) 2020-11-06 2022-12-13 Oracle International Corporation Methods, systems, and computer readable media for ingress message rate limiting
US11770694B2 (en) 2020-11-16 2023-09-26 Oracle International Corporation Methods, systems, and computer readable media for validating location update messages
US11895501B2 (en) 2020-12-08 2024-02-06 Oracle International Corporation Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks
US11818570B2 (en) 2020-12-15 2023-11-14 Oracle International Corporation Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks
US11812271B2 (en) 2020-12-17 2023-11-07 Oracle International Corporation Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns
US11700510B2 (en) 2021-02-12 2023-07-11 Oracle International Corporation Methods, systems, and computer readable media for short message delivery status report validation
US11516671B2 (en) 2021-02-25 2022-11-29 Oracle International Corporation Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service
US11553524B2 (en) 2021-03-04 2023-01-10 Oracle International Corporation Methods, systems, and computer readable media for resource object level authorization at a network function (NF)
US11689912B2 (en) 2021-05-12 2023-06-27 Oracle International Corporation Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries
US12015923B2 (en) 2021-12-21 2024-06-18 Oracle International Corporation Methods, systems, and computer readable media for mitigating effects of access token misuse
US11843546B1 (en) * 2023-01-17 2023-12-12 Capital One Services, Llc Determining resource usage metrics for cloud computing systems
WO2025175524A1 (en) * 2024-02-22 2025-08-28 Zte Corporation Radio access network information exposure method, apparatus, and computer-readable medium

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020002306A1 (en) 2018-06-26 2020-01-02 Nokia Solutions And Networks Oy Communication system
US10819636B1 (en) 2019-06-26 2020-10-27 Oracle International Corporation Methods, systems, and computer readable media for producer network function (NF) service instance wide egress rate limiting at service communication proxy (SCP)

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070121539A1 (en) 2003-10-21 2007-05-31 Tsuneyuki Kikuchi Wireless line sharing network system, and administrative apparatus and method thereof
EP2273737B1 (en) * 2009-06-30 2017-10-04 Alcatel Lucent Measurement-based resource access control
US9860390B2 (en) 2011-08-10 2018-01-02 Tekelec, Inc. Methods, systems, and computer readable media for policy event record generation
WO2015121941A1 (ja) 2014-02-13 2015-08-20 株式会社日立製作所 レート制御装置と基地局および無線通信システム
US20190007329A1 (en) 2016-02-17 2019-01-03 Nec Corporation Method for enforcement of non-ip data policing over the service exposure function
US10334659B2 (en) * 2017-05-09 2019-06-25 Verizon Patent And Licensing Inc. System and method for group device access to wireless networks
ES2886833T3 (es) * 2017-08-14 2021-12-21 Ericsson Telefon Ab L M Un método de ejecución de un servicio para un consumidor de servicios, así como un nodo de red correspondiente y un producto de programa informático

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020002306A1 (en) 2018-06-26 2020-01-02 Nokia Solutions And Networks Oy Communication system
US10819636B1 (en) 2019-06-26 2020-10-27 Oracle International Corporation Methods, systems, and computer readable media for producer network function (NF) service instance wide egress rate limiting at service communication proxy (SCP)

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
3rd Generation Partnership Project; Technical Specification Group Services and System Aspects; Security Aspects; Study on security aspects of the 5G Service Based Architecture (SBA) (Release 16),3GPP TR 33.855,V16.1.0,3GPP,2020年09月25日,p.33

Also Published As

Publication number Publication date
EP4241419A1 (en) 2023-09-13
WO2022098405A1 (en) 2022-05-12
EP4241420A1 (en) 2023-09-13
JP2023548370A (ja) 2023-11-16
CN116438779A (zh) 2023-07-14
JP7777585B2 (ja) 2025-11-28
JP2023548372A (ja) 2023-11-16
WO2022098404A1 (en) 2022-05-12

Similar Documents

Publication Publication Date Title
JP7611381B2 (ja) ネットワーク機能識別子を利用して受信メッセージレート制限を実施するための方法、システム、およびコンピュータ読み取り可能な媒体
US11943616B2 (en) Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
JP7770406B2 (ja) 第5世代(5g)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体
US11528251B2 (en) Methods, systems, and computer readable media for ingress message rate limiting
JP7698714B2 (ja) 5gローミングなりすまし攻撃を緩和するための方法、システム、およびコンピュータ読み取り可能な媒体
US11553342B2 (en) Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP)
JP7705947B2 (ja) アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体
US11695563B2 (en) Methods, systems, and computer readable media for single-use authentication messages
CN117178519A (zh) 用于服务通信代理(scp)处的委托授权的方法、系统和计算机可读介质
US12192764B2 (en) Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (SEPP)
US12015923B2 (en) Methods, systems, and computer readable media for mitigating effects of access token misuse
CN117280656A (zh) 用于隐藏网络功能实例标识符的方法、系统和计算机可读介质
CN117256124A (zh) 用于生成和使用一次性oauth 2.0访问令牌以保护特定的基于服务的架构(sba)接口的方法、系统和计算机可读介质
CN117859312B (zh) 通过验证过载控制信息来降低成功DoS攻击的可能性
JPWO2022098405A5 (ja)
US20250175801A1 (en) METHODS, SYSTEMS, AND COMPUTER READABLE MEDIA FOR DETECTING AND MITIGATING SECURITY ATTACKS ON PRODUCER NETWORK FUNCTIONS (NFs) USING MAPPINGS BETWEEN DYNAMICALLY ASSIGNED SERVICE-BASED INTERFACE (SBI) MESSAGE IDENTIFIERS AND PROXY NF IDENTIFIERS AT PROXY NF
CN119343941A (zh) 用于网络功能(nf)和nf储存库功能(nrf)之间的订阅/通知和发现消息的完整性保护的方法、系统和计算机可读介质
CN116491140A (zh) 用于入口消息速率限制的方法、系统和计算机可读介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20240131

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20240131

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20241203

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20241223

R150 Certificate of patent or registration of utility model

Ref document number: 7611381

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150