漫游5G-NR通信的端到端安全性制造技术

本公开描述了辅助归属地和VPLMN之间的数据通信的加密以及在数据通信的每一端对加密消息的内容和来源的查证的技术。在一个非限制性示例中，通过在HPLMN和VPLMN之间交换网络公钥，部分地辅助了查证加密消息的内容和来源的过程。在另一个示例中，网络证书聚合器(NCA)可以通过查证交互的归属地和VPLMN的身份来充当证书颁发机构(CA)。NCA可以辅助归属地和VPLMN之间的公钥并在其之间交换公钥，由此HPLMN和VPLMN仅需要信任并查证NCA的身份。替代地，NCA可以充当HPLMN和VPLMN之间的数据通信的管道。

【技术实现步骤摘要】
【国外来华专利技术】漫游5G-NR通信的端到端安全性
技术介绍
从历史上看，第7号信令系统(SS7)协议用于交换与电信网络上语音、文本和数据通信的建立和释放相关联的控制信息。SS7协议是国际电信标准，它定义了公共交换电话网络(PSTN)中的元件如何交换信息。SS7协议允许在固定线路网络(即固定电话)与移动电信网络之间进行语音、文本和数据通信，从而允许一个网络上的移动设备在另一网络上漫游，例如在国外旅行时。但是，最近，安全专家发现了SS7协议的安全漏洞，可以利用这些漏洞来实现数据盗窃、窃听、文本拦截和未经授权的位置跟踪。这些安全漏洞实质上代表了语音、文本和数据通信的每一端之间的中间人攻击。附图说明参照附图阐述详细描述。在附图中，附图标记的最左边的数字标识该附图标记首次出现的附图。在不同附图中使用相同的附图标记表示相似或相同的条目或特征。图1A和图1B示出了用于为HPLMN和VPLMN之间的数据通信生成端对端安全性的计算环境。图2A和图2B示出了当用户设备在VPLMN中漫游时，经由VPLMN控制器或HPLMN控制器之一将用户平面流量路由到数据网络的过程的框图。图3A，图3B和图3C示出了用于网络证书聚合器(NCA)以辅助与在VPLMN中漫游的用户设备相关联的路由用户平面流量的过程的框图。图4示出了网络证书控制器的各个组件的框图。图5示出了网络证书聚合器的各个组件的框图。图6示出了用于当用户设备在VPLMN中漫游时经由VPLMN将用户平面流量路由到数据网络的过程。图7示出了用于HPLMN控制器至少部分地基于网络公钥的交换来查证VPLMN身份的过程。图8示出了用于网络证书聚合器(NCA)来辅助与在VPLMN中漫游的用户设备相关联的路由用户平面流量的过程。具体实施方式本公开描述了辅助建立用于在5G-新型无线电(5G-NR)电信网络之间漫游通信的端到端安全性的技术。更具体地，描述了一种系统，从而在受访公共陆地移动网络(VPLMN)上发起的数据通信可以被加密，然后再传输到用户设备的归属地公共陆地移动网络(HPLMN)。这样，可以保护数据通信免受在发起和接收网络(例如HPLMN和VPLMN，反之亦然)之间传输期间SS7协议固有的安全漏洞。为了辅助HPLMN和VPLMN之间的数据通信和相关消息传递的端到端加密，HPLMN和VPLMN可以彼此交换不对称密钥对的公钥，使得每个电信网络(即HPLMN和VPLMN)可以解密其对应方发送的加密消息。例如，VPLMN可以从HPLMN接收与HPLMN相关联的公钥，VPLMN可以使用该公钥来解密由HPLMN发送的加密消息。类似地，HPLMN可以从VPLMN接收与VPLMN相关联的公钥，HPLMN可以使用该公钥来解密由VPLMN发送的加密消息。在一个示例中，HPLMN和VPLMN可以彼此交换它们各自的公钥，作为发送/接收加密数据通信和相关消息传递的前序。在另一个示例中，HPLMN和VPLMN可以交换网络证书，它们各自的公钥嵌入其中。例如，HPLMN可以向VPLMN发送网络证书，该网络证书包括与HPLMN相关联的非对称私钥-公钥对的公钥。类似地，VPLMN可以向HPLMN发送网络证书，该网络证书包括与VPLMN相关联的非对称私钥-公钥对的公钥。在每种情况下，HPLMN发送的网络证书(以下称为“HPLMN证书”)和VPLMN发送的网络证书(以下称为“VPLMN证书”)都可以由受信实体(例如证书颁发机构(CA))进行数字签名。本文所述的术语“网络证书”可以与“数字证书”互换使用。网络证书是一种创建的结构，用于将公钥链接到特定实体，并且可以用作特定实体的电子标识形式。可以通过获取诸如公钥之类的消息有效载荷并识别特定实体的信息(即名称和地址)，并使消息有效载荷由认证机构(CA)签名来形成网络证书。CA是处理网络证书(即数字证书)的受信实体。CA可以对应于电信网络本身，即HPLMN或VPLMN，或与HPLMN和VPLMN建立了信任关系的独立第三方实体。通过对网络证书进行数字签名，CA可以为接收实体提供额外的保证，即发送实体的身份是合法的。此外，本专利技术进一步描述了辅助生成加密消息以在电信网络之间传递的技术。例如，考虑在漫游VPLMN时通过5G-NR网络发起通信会话的用户设备。在此示例中，VPLMN的网络控制器(以下称为“VPLMN控制器”)可以生成加密的消息，以传递到订阅了用户设备的HPLMN的网络控制器(以下称为“VPLMN控制器”)。VPLMN控制器可以使用与VPLMN控制器相关联的非对称私钥-公钥对中的私钥来加密用于HPLMN控制器的消息。值得注意的是，私钥是与HPLMN控制器在较早的时间经由交换公钥或交换网络证书共享的公钥的对应物。在任何情况下，VPLMN控制器都可以将加密的消息发送到HPLMN控制器，因为知道HPLMN控制器可以使用与HPLMN控制器共享的VPLMN控制器的公钥来解密加密的消息。此外，借助于解密加密的消息，HPLMN控制器可以查证发送实体(即，VPLMN)的来源。在一些示例中，VPLMN控制器还可以在将加密消息发送到HPLMN控制器之前将数字签名附加到加密的消息。数字签名可以向接收实体提供额外的保证，即加密消息的消息有效载荷自从VPLMN控制器发送以来就保持不变。VPLMN控制器可以通过使用数字签名算法生成旨在用于HPLMN控制器的消息的哈希值，然后使用VPLMN控制器的私钥对哈希值进行加密来生成数字签名。然后，VPLMN控制器可以将数字签名附加到加密的消息中，并将加密的消息发送到HPLMN控制器。HPLMN控制器可以通过经由用于数字签名的相同数字签名算法执行消息的哈希，并将从消息生成的哈希与数字签名的哈希进行比较，来查证消息的真实性。生成的哈希与数字签名的哈希之间的匹配将意味着消息有效载荷自发送以来保持不变。本公开进一步描述了一种网络证书聚合器(NCA)，其被配置为辅助与在VPLMN中漫游的用户设备相关联的用户平面流量的路由。在各种示例中，NCA可以充当查证交互的HPLMN和VPLMN的身份的证书颁发机构(CA)。换句话说，NCA可以充当生成和发送与HPLMN和一个或更多个VPLMN相关联的网络证书的受信实体。当HPLMN与多个其他VPLMN交互时，充当证书颁发机构的NCA的好处显而易见。HPLMN不需要经由每个VPLMN的网络证书来单独查证每个VPLMN的身份，而是只需要查证NCA的身份即可，NCA可以独立地查证每个VPLMN的身份。在一个非限制性示例中，NCA可以充当HPLMN和VPLMN之间的用户平面流量(即，数据通信)的管道。VPLMN和HPLMN之间的数据通信可以通过NCA进行漏斗处理。因此，HPLMN及其对应的VPLMN仅需要信任并查证NCA的身份。在另一个示例中，NCA可以辅助经由网络证书的交换在HPLMN控制器和VPLMN控制器之间的公钥的交换。在该示例中，NCA可以向包括与HPLMN控制器相关联的公钥的VPLMN控制器发送网络证书。网络本文档来自技高网...

【技术保护点】
1.一种计算机实现的方法，包括：/n在一个或更多个处理器的控制下；/n从用户设备并在受访公共陆地移动网络(VPLMN)控制器处接收发起与数据网络的通信会话的请求；/n生成包括所述请求的第一加密消息，所述第一加密消息包括发起所述通信会话的所述请求；/n确定是否经由与所述VPLMN控制器相关联的VPLMN或与HPLMN控制器相关联的归属地公共陆地移动网络(HPLMN)将与所述请求相关联的用户平面流量路由至所述数据网络；以及/n发送与所述用户设备相关联的所述第一加密消息。/n

【技术特征摘要】
【国外来华专利技术】20180820 US 62/765,303;20190304 US 16/292,2021.一种计算机实现的方法，包括：
在一个或更多个处理器的控制下；
从用户设备并在受访公共陆地移动网络(VPLMN)控制器处接收发起与数据网络的通信会话的请求；
生成包括所述请求的第一加密消息，所述第一加密消息包括发起所述通信会话的所述请求；
确定是否经由与所述VPLMN控制器相关联的VPLMN或与HPLMN控制器相关联的归属地公共陆地移动网络(HPLMN)将与所述请求相关联的用户平面流量路由至所述数据网络；以及
发送与所述用户设备相关联的所述第一加密消息。


2.根据权利要求1所述的计算机实现的方法，还包括：
接收与所述HPLMN控制器相关联的第二非对称私钥-公钥对中的第二公钥；
从所述HPLMN控制器接收第二加密消息；
使用所述第二公钥解密所述第二加密消息以检索第二消息有效载荷；以及
至少部分地基于所述第二消息有效载荷确定所述用户平面流量要经由所述HPLMN被路由。


3.根据权利要求2所述的计算机实现的方法，还包括：
从NCA接收与所述NCA相关联的第三非对称私钥-公钥对的第三公钥；
从所述NCA接收包括与所述HPLMN控制器相关联的所述第二公钥的网络证书；以及
使用所述第三公钥解密所述网络证书的数字签名，并且
其中，接收所述第二公钥至少部分地基于解密所述网络证书的所述数字签名。


4.根据权利要求1所述的计算机实现的方法，还包括：
确定所述用户平面流量要经由所述HPLMN控制器被路由，并且
其中，所述第一加密消息包括第一消息有效载荷，所述第一消息有效载荷带有经由所述HPLMN路由所述用户平面流量的指令。


5.根据权利要求1所述的计算机实现的方法，还包括：
从所述HPLMN控制器接收与所述HPLMN控制器相关联的第二非对称私钥-公钥对的第二公钥；以及
从所述HPLMN控制器接收第二加密消息，所述第二加密消息包括第二消息有效载荷，所述第二消息有效载荷指示是经由所述VPLMN还是所述HPLMN来路由所述用户平面流量，并且
其中，确定是经由所述VPLMN还是所述HPLMN路由所述用户平面流量至少部分地基于所述第二消息有效载荷。


6.根据权利要求1所述的计算机实现的方法，还包括：
从所述NCA接收与所述NCA相关联的第三非对称私钥-公钥对的第三公钥；
从所述NCA接收源于所述HPLMN控制器的第二加密消息；以及
使用与所述NCA相关联的所述第三公钥解密所述第二加密消息。


7.根据权利要求1所述的计算机实现的方法，还包括：
确定所述用户平面流量要经由与所述VPLMN控制器相关联的VPLMN被路由；以及
生成经由所述VPLMN路由所述用户平面流量的计算机可执行指令。


8.一种或更多种非暂时性计算机可读介质，其存储计算机可执行指令，当在一个或更多个处理器上执行所述计算机可执行指令时，使所述一个或更多个处理器执行以下动作，包括：
在网络证书聚合器(NCA)处，从第一电信网络接收第一加密消息，所述第一加密消息包括第一消息有效载荷，所述第一消息有效载荷带有来自用户设备的发起与数据网络的通信会话的请求；
识别与所述用户设备相关联的第二电信网络；
生成包括第二消息有效载荷的第二加密消息，所述第二消息有效载荷带有来自所述用户设备的发起与所述数据网络的所述通信会话的所述请求；以及
向所述第二电信网络发送所述第二加密消息。


9.根据权利要求8所述的一...

【专利技术属性】
技术研发人员：P·法拉杰，R·鲍尔，A·瓦茨，
申请(专利权)人：T移动美国公司，
类型：发明
国别省市：美国;US