【技术实现步骤摘要】
【国外来华专利技术】用于减轻对安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口的假冒攻击的方法、系统和计算机可读介质
[0001]优先权声明
[0002]本申请要求于2020年12月21日提交的美国专利申请序列号17/129,441、于2020年11月11日提交的美国专利申请序列号17/095,420、于2020年11月2日提交的印度临时专利申请序列号202041047779以及于2020年9月25日提交的印度临时专利申请序列号202041041754的优先权权益,其公开内容通过引用整体并入本文。
[0003]本文描述的主题涉及增强5G通信网络中的安全性。更具体地,本文描述的主题涉及用于减轻对SEPP PLMN间转发接口上的假冒攻击的方法、系统和计算机可读介质。
技术介绍
[0004]在5G电信网络中,提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF,具体取决于它是在消费还是提供服务。
[0005]给定的生产者NF可以有许多服务端点,其中服务端点是用于由生产者NF托管的一个或多个NF实例的联系点。服务端点由互联网协议(IP)地址和端口号的组合或在托管生产者NF的网络节点上解析为IP地址和端口号的完全限定的域名来识别。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是,多个NF实例可以共享同一个服务端点。
[0006]生产者NF向网络功能储存库功能(NRF)注册。NRF维护 ...
【技术保护点】
【技术特征摘要】
【国外来华专利技术】1.一种用于减轻安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口上的假冒攻击的方法,该方法包括:由响应SEPP从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个;将第一SEPP标识符和第一PLMN标识符中的所述至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中;由响应SEPP从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个;使用包括第二SEPP标识符和第二PLMN标识符中的所述至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找;以及确定与查找键对应的记录不存在于SEPP PLMN间转发接口身份交叉验证数据库中,并且作为响应,防止通过PLMN间转发接口接收的所述至少一个消息进入由响应SEPP保护的PLMN。2.如权利要求1所述的方法,其中PLMN间控制接口包括N32
‑
c接口c并且PLMN间转发接口包括N32
‑
f接口。3.如权利要求1或权利要求2所述的方法,其中从通过PLMN间控制接口接收的所述至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个包括:从包含在用于为N32
‑
c接口建立第一TLS连接的TLS握手期间通过PLMN间控制接口接收的第一传输层安全(TLS)证书消息中的第一证书中获得第一SEPP标识符。4.如权利要求3所述的方法,其中第一证书包括第一X.509证书。5.如权利要求4所述的方法,其中获得第一SEPP标识符包括:从第一X.509证书的主题备用名称扩展中提取第一SEPP标识符。6.如前述权利要求中的任一项所述的方法,其中从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个包括:从包含在用于为N32
‑
f接口建立TLS连接的TLS握手期间接收的第二TLS证书消息中的第二证书中获得第二SEPP标识符。7.如权利要求6所述的方法,其中第二证书包括第二X.509证书。8.如权利要求7所述的方法,其中获得第二SEPP标识符包括:从第二X.509证书的主题备用名称扩展中提取第二SEPP标识符。9.如前述权利要求中的任一项所述的方法,其中:从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符包括:从在用于为PLMN间控制接口设置TLS连接的TLS握手期间接收的第一传输层安全(TLS)证书消息中获得第一SEPP标识符,并从通过用于PLMN间控制接口的TLS连接接收的N32
‑
c安全能力交换消息中获得第一PLMN标识符;以及从通过PLMN间转发接口接收的至少一个相关联消息中获得第二SEPP标识符和第二PLMN标识符包括:从在用于为PLMN间转发接口设置TLS连接的TLS握手期间接收的第二TLS证书消息获得第二SEPP标识符,并从通过用于PLMN间转发接口的TLS连接接收的5G服务消息中获得第二PLMN标识符。10.如前述权利要求中的任一项所述的方法,其中查找键包括包含第二SEPP标识符和
第二PLMN标识符的元组。11.一种用于减轻安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口上的假冒攻击的系统,该系统包括:SEPP,其包括至少一个处理器和存储器;SEPP PLMN间转发接口身份交叉验证数据库,其驻留在存储器中;以及PLMN间转发接口身份假冒减轻模块,其由所述至少一个处理器实现并且被配置为:从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个;将第一SEPP标识符和第一PLMN标识符中的所述至少一个存储在S...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。