用于减轻5G漫游假冒攻击的方法、系统和计算机可读介质技术方案

漫游假冒攻击能够在用于5G网络中PLMN间通信的N32

【技术实现步骤摘要】
【国外来华专利技术】用于减轻5G漫游假冒攻击的方法、系统和计算机可读介质
[0001]优先权声明
[0002]本申请要求于2020年12月21日提交的美国专利申请序列号17/129,441、于2020年11月11日提交的美国专利申请序列号17/095,420、于2020年11月2日提交的印度临时专利申请序列号202041047779以及于2020年9月25日提交的印度临时专利申请序列号202041041754的优先权权益，其公开内容通过引用整体并入本文。


[0003]本文描述的主题涉及增强5G通信网络中的安全性。更具体地，本文描述的主题涉及用于减轻5G漫游假冒攻击的方法、系统和计算机可读介质。

技术介绍

[0004]在5G电信网络中，提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF二者，具体取决于它是在消费还是提供服务。
[0005]给定的生产者NF可以有许多服务端点，其中服务端点是用于由生产者NF托管的一个或多个NF实例的联系点。服务端点由互联网协议(IP)地址和端口号的组合或在托管生产者NF的网络节点上解析为IP地址和端口号的完全限定的域名来识别。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是，多个NF实例可以共享同一个服务端点。
[0006]生产者NF向网络功能储存库功能(NRF)注册。NRF维护识别每个NF实例支持的服务的可用NF实例的服务简档。消费者NF可以订阅以接收关于已向NRF注册的生产者NF实例的信息。
[0007]除了消费者NF之外，另一种可以订阅以接收关于NF服务实例信息的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理，并且服务通信代理在提供所需服务的生产者NF服务实例之间进行负载平衡流量，或者直接将流量路由到目的地生产者NF实例。
[0008]除了SCP之外，在生产者和消费者NF之间路由流量的中间代理节点或网络节点组的其它示例包括安全边缘保护代理(SEPP)、服务网关和5G服务mesh中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。由此，SEPP对所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。
[0009]当前5G网络体系架构存在的一个漏洞出现在N32接口上，该接口是SEPP之间的接口。如上面所指出的，SEPP充当公共陆地移动网络(PLMN)的安全性筛选节点。N32控制或N32
‑
c接口用于与远程SEPP交换控制消息。N32
‑
c接口上的通信的发起涉及传输层安全性(TLS)握手过程以建立TLS连接。通信的发起还涉及N32
‑
c安全性能力协商过程，该过程涉及N32
‑
c消息的交换。在N32
‑
c安全性能力协商过程期间，没有对远程端点的身份的验证。远程端点也不验证发起SEPP的身份。由于在N32
‑
c接口上缺乏验证，因此发起和响应SEPP容易受
到假冒攻击，其中第三方冒充N32
‑
c通信的一端以获得对PLMN的未授权访问。
[0010]鉴于这些和其它困难，需要用于减轻5G漫游假冒攻击的方法、系统和计算机可读介质。

技术实现思路

[0011]一种用于减轻5G漫游假冒攻击的方法包括由安全性边缘保护代理(SEPP)从来自第一节点的传输层安全性(TLS)消息获得第一节点的第一标识符。该方法还包括由SEPP从来自第一节点的N32
‑
c安全性能力协商消息获得第一节点的第二标识符。该方法还包括比较第一节点的第一标识符和第二标识符。该方法还包括确定第一标识符和第二标识符不匹配，并且作为响应，确定第一节点的第二标识符无效。该方法还包括响应于确定第一节点的第二标识符无效而阻止与第一节点的公共陆地移动网络(PLMN)间通信。
[0012]根据本文描述的主题的另一方面，从TLS消息获得第一节点的第一标识符包括从包含证书的TLS证书消息获得第一标识符。
[0013]根据本文描述的主题的另一方面，证书包括X.509证书。
[0014]根据本文描述的主题的另一方面，获得第一节点的第一标识符包括从X.509证书的主题备用名称字段中提取第一节点的完全合格域名(FQDN)。
[0015]根据本文描述的主题的另一方面，SEPP是N32
‑
c安全性能力协商过程中的响应SEPP，并且其中获得第一节点的第二标识符包括从N32
‑
c安全性能力协商消息的SecNegotiateReqData信息元素的发送者属性中提取第一节点的第二标识符。
[0016]根据本文描述的主题的另一方面，SEPP是N32
‑
c安全性能力协商过程中的发起SEPP，并且其中获得第一节点的第二标识符包括从N32
‑
c安全性能力协商消息的SecNegotiationRspData信息元素的发送者属性中提取第一节点的第二标识符。
[0017]根据本文描述的主题的另一方面，用于减轻5G漫游安全性攻击的方法包括由SEPP从来自第二节点的TLS握手消息获得第二节点的第一标识符，从来自第二节点的N32
‑
c安全性能力协商消息获得第二节点的第二标识符，比较第二节点的第一标识符和第二标识符，确定第一标识符和第二标识符匹配，使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找，在对等SEPP数据库中定位匹配的标识符，以及响应于确定第二节点的第一标识符和第二标识符匹配并且匹配的存在于对等SEPP数据库中而允许与第二节点的PLMN间通信。
[0018]根据本文描述的主题的另一方面，用于减轻5G漫游安全性攻击的方法包括由SEPP从来自第二节点的TLS握手消息获得第二节点的第一标识符，由SEPP从来自第二节点的N32
‑
c安全性能力协商消息获得第二节点的第二标识符，比较第二节点的第一标识符和第二标识符，确定第一标识符和第二标识符匹配，使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找并且未能在对等SEPP数据库中定位匹配的标识符，以及响应于确定第二节点的第一标识符和第二标识符匹配并且匹配的标识符不存在于对等SEPP数据库中而阻止来自第二节点的PLMN间通信。
[0019]根据本文描述的主题的另一方面，一种用于减轻5G漫游假冒攻击的系统包括安全性边缘保护代理(SEPP)，其包括至少一个处理器和存储器。该系统还包括5G漫游假冒攻击减轻模块，该5G漫游假冒攻击减轻模块由至少一个处理器实现并被配置为从来自第一节点
的传输层安全性(TLS)消息获得第一节点的第一标识符，从来自第一节点的N32
‑
c安全性能力协商消息获得第一节点的本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于减轻5G漫游假冒攻击的方法，所述方法包括：由安全性边缘保护代理(SEPP)从来自第一节点的传输层安全性(TLS)消息获得第一节点的第一标识符；由SEPP从来自第一节点的N32
‑
c安全性能力协商消息获得第一节点的第二标识符；比较第一节点的第一标识符和第二标识符；确定第一标识符与第二标识符不匹配，并且作为响应，确定第一节点的第二标识符无效；以及响应于确定第一节点的第二标识符无效，阻止与第一节点的公共陆地移动网络(PLMN)间通信。2.如权利要求1所述的方法，其中从TLS消息获得第一节点的第一标识符包括从包含证书的TLS证书消息获得第一标识符。3.如权利要求2所述的方法，其中所述证书包括X.509证书。4.如权利要求3所述的方法，其中获得第一节点的第一标识符包括从X.509证书的主题备用名称字段中提取第一节点的完全合格域名(FQDN)。5.如前述权利要求中的任一项所述的方法，其中所述SEPP是N32
‑
c安全性能力协商过程中的响应SEPP，并且其中获得第一节点的第二标识符包括从N32
‑
c安全性能力协商消息的SecNegotiateReqData信息元素的发送者属性中提取第一节点的第二标识符。6.如权利要求1至4中的任一项所述的方法，其中所述SEPP是N32
‑
c安全性能力协商过程中的发起SEPP，并且其中获得第一节点的第二标识符包括从N32
‑
c安全性能力协商消息的SecNegotiationRspData信息元素的发送者属性中提取第一节点的第二标识符。7.如前述权利要求中的任一项所述的方法，包括：由SEPP从来自第二节点的TLS握手消息获得第二节点的第一标识符；从来自第二节点的N32
‑
c安全性能力协商消息获得第二节点的第二标识符；比较第二节点的第一标识符与第二标识符；确定第一标识符与第二标识符匹配；使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找，在对等SEPP数据库中定位匹配的标识符；以及响应于确定第二节点的第一标识符与第二标识符匹配并且匹配的标识符存在于对等SEPP数据库中，允许与第二节点的PLMN间通信。8.如前述权利要求中的任一项所述的方法，包括：由SEPP从来自第二节点的TLS握手消息获得第二节点的第一标识符；由SEPP从来自第二节点的N32
‑
c安全性能力协商消息获得第二节点的第二标识符；比较第二节点的第一标识符与第二标识符；以及确定第一标识符与第二标识符匹配；使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找并且未能在对等SEPP数据库中定位匹配的标识符；以及响应于确定第二节点的第一标识符与第二标识符匹配并且匹配的标识符不存在于对等SEPP数据库中，阻止来自第二节点的PLMN间通信。9.一种用于减轻5G漫游假冒攻击的系统，所述系统包括：
安全性边缘保护代理(SEPP)，其包括至少一个处理器和存储器；以及5G漫游假冒攻击减轻模块，由所述至少一个处理器实现并被配置为：从来自第一节点的传输层安全性(TLS)消息获得第一节点的第一标识符；从来自第一节点的N32
‑
c安全性能力协商消息获得第一节点的第二标识符；比较第一节点的第一标识符与第二标识符；确定第一标识符与第二标识符不匹配，并且作为响应，确定第一节点的第二标识符无效；以及响应于确定第一节点的第二标识符无效，阻止与第一节点的公共陆地移动网络(PLMN)间通信。10.如权利要求9所述的系...

【专利技术属性】
技术研发人员：J，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：