用于入口消息速率限制的方法、系统和计算机可读介质技术方案

公开了用于入口消息速率限制的方法、系统和计算机可读介质。一种方法发生在第一网络的第一网络节点处，包括：从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符；从第二网络节点或第二网络接收请求消息；使用标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率；以及响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许入口消息速率，执行速率限制动作。执行速率限制动作。执行速率限制动作。

【技术实现步骤摘要】
【国外来华专利技术】用于入口消息速率限制的方法、系统和计算机可读介质
[0001]优先权声明
[0002]本申请要求于2020年12月28日提交的美国专利申请序列No.17/134,635、于2020年12月21日提交的美国专利申请序列No.17/129,487、于2020年11月13日提交的印度临时专利申请序列No.202041049614和于2020年11月6日提交的印度临时专利申请序列No.202041048552的优先权权益，其公开内容通过引用整体并入本文。


[0003]本文描述的主题涉及增强5G通信网络中的安全性。更具体地，本文描述的主题涉及用于入口消息速率限制的方法、系统和计算机可读介质。

技术介绍

[0004]在5G电信网络中，提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF，具体取决于它是在消费还是提供服务。
[0005]给定的生产者NF可以有许多服务端点，其中服务端点是用于由生产者NF托管的一个或多个NF实例的联系点。服务端点由互联网协议(IP)地址和端口号的组合或在托管生产者NF的网络节点上解析为IP地址和端口号的完全限定的域名来识别。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是，多个NF实例可以共享同一个服务端点。
[0006]生产者NF向网络功能储存库功能(NRF)注册。NRF维护识别每个NF实例支持的服务的可用NF实例的服务简档。消费者NF可以订阅以接收关于已向NRF注册的生产者NF实例的信息。除了消费者NF之外，另一种可以订阅以接收关于NF服务实例信息的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理，并且服务通信代理在提供所需服务的生产者NF服务实例之间进行负载平衡流量，或者直接将流量路由到目的地生产者NF实例。
[0007]除了SCP之外，在生产者和消费者NF之间路由流量的中间代理节点或网络节点组的其它示例包括安全边缘保护代理(SEPP)、服务网关和5G服务网格中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。由此，SEPP对所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。
[0008]但是，需要一个或多个NF处改进的安全性措施。

技术实现思路

[0009]公开了用于入口消息速率限制的方法、系统和计算机可读介质。一种用于入口消息速率限制的示例方法发生在第一网络的第一网络节点处，包括：从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符；从第二网络节点或第二网络接收请求消息；使用标识符确定已经达到或超过与第二网络节点或第
二网络相关联的允许的入口消息速率；以及响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许入口消息速率，执行速率限制动作。
[0010]一种用于入口消息速率限制的示例系统包括第一网络的第一网络节点，该第一网络节点包括至少一个处理器和存储器。第一节点被配置为：从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符；从第二网络节点或第二网络接收请求消息；使用标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率；以及响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许入口消息速率，执行速率限制动作。
[0011]一种示例性非暂态计算机可读介质，包括实施在非暂态计算机可读介质中的计算机可执行指令，指令在由至少一个计算机的至少一个处理器执行时，使至少一个计算机执行步骤，包括：在第一网络的第一网络节点处：从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符；从第二网络节点或第二网络接收请求消息；使用标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率；以及响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许入口消息速率，执行速率限制动作。
[0012]根据本文描述的主题的一方面，从TLS消息获得标识符可以包括从包含在TLS消息中的证书(例如，X.509v3证书)获得标识符。例如，TLS消息中的X.509v3证书可以包括主题字段或主题替代名称字段，其包括与发送者的身份相关联的FQDN。在这个示例中，FQDN可以包括或表示网络节点标识符或网络标识符，例如，网络标识符可以以类似“5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org”的格式存储，其中“<MNC>”和“<MCC>”字段与运营商的PLMN的MNC和MCC对应。
[0013]根据本文描述的主题的一方面，确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率可以包括获得与第二网络节点或第二网络相关联的允许的入口消息速率；获得与第二网络节点或第二网络相关联的当前入口消息速率；并将当前入口消息速率与允许的入口消息速率进行比较，以确定当前入口消息速率满足或超过允许的入口消息速率。
[0014]根据本文描述的主题的一方面，获得与第二网络节点或第二网络相关联的当前入口消息速率可以包括跟踪或导出用于第二网络中的多个SEPP的消息速率以确定与第二网络相关联的当前入口速率。例如，假设速率限制是基于始发网络标识符，SEPP 126可以跨多个N32
‑
f接口连接跟踪入口消息速率，并且可以组合用于与同一网络标识符相关联的多个SEPP的入口消息速率，并且可以将与网络标识符相关联的组合入口消息速率和与网络标识符相关联的预定允许的入口消息速率进行比较。
[0015]根据本文描述的主题的一方面，速率限制动作可以包括丢弃请求消息、生成或修改用于丢弃消息的一部分的节流速率，或者通知网络运营商或管理系统。
[0016]本文描述的主题可以以硬件、软件、固件或其任何组合来实现。因此，本文使用的术语“功能”、“节点”或“模块”是指硬件，其还可以包括软件和/或固件组件，用于实现所描述的特征。在一个示例实施方式中，本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现，指令在由计算机的处理器执行时控制计算机执行本专利技术的任何一个或多个步骤。适于实现本文描述的主题的示例计算机可读介质包括非暂态计算机可
读介质，诸如盘存储设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外，实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上，或者可以分布在多个设备或计算平台上。
附图说明
[0017]现在将参考附图解释本文描述的主题，其中：
[0018]图1是图示示例5G网络体系架构的网络图；
[0019]图2是图示使用传输层安全性(TL本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于入口消息速率限制的方法，该方法包括：在第一网络的第一网络节点处：从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符；从第二网络节点或第二网络接收请求消息；使用所述标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率；以及响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率，执行速率限制动作。2.如权利要求1所述的方法，其中从TLS消息获得标识符包括从包含在TLS消息中的证书获得标识符。3.如权利要求2所述的方法，其中证书包括X.509证书。4.如权利要求3所述的方法，其中获得标识符包括从X.509证书的主题字段或主题替代名称字段中提取用于第二网络节点的完全限定域名(FQDN)。5.如权利要求4所述的方法，其中获得标识符包括从FQDN获得用于识别第二网络的网络标识符。6.如任一前述权利要求所述的方法，其中第一网络节点或第二网络节点包括安全性边缘保护代理(SEPP)、5G核心网络功能、网络代理或网络网关。7.如任一前述权利要求所述的方法，其中确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率包括：获得与第二网络节点或第二网络相关联的允许的入口消息速率；获得与第二网络节点或第二网络相关联的当前入口消息速率；以及将当前入口消息速率与允许的入口消息速率进行比较，以确定当前入口消息速率满足或超过允许的入口消息速率。8.如权利要求7所述的方法，其中获得与第二网络节点或第二网络相关联的当前入口消息速率包括跟踪或导出用于第二网络中的多个SEPP的组合消息速率以确定与第二网络相关联的当前入口速率。9.如任一前述权利要求所述的方法，其中速率限制动作包括丢弃请求消息、生成或修改用于丢弃入口消息的一部分的节流速率，或者通知网络运营商或管理系统。10.一种用于入口消息速率限制的系统，该系统包括：第一网络的第一网络节点，包括：至少一个处理器；以及存储器，其中第一网络节点被配置用于：从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符；从第二网络节点或第二网络接收请求消息；使用所述标识符确定已经达到或超过与第二网络节点或第二网络相关联的允...

【专利技术属性】
技术研发人员：J，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：