用于减轻对安全边缘保护代理（SEPP）公共陆地移动网络间（PLMN间）转发接口的假冒攻击的方法、系统和计算机可读介质技术方案

一种用于减轻SEPP PLMN间转发接口上的假冒攻击的方法包括由响应SEPP从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和/或第一PLMN标识符。该方法还包括将第一SEPP标识符和/或第一PLMN标识符存储在身份交叉验证数据库中。该方法还包括从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和/或第二PLMN标识符，并使用包括第二SEPP标识符和第二PLMN标识符中的至少一个的查找键在身份交叉验证数据库中执行查找，确定与查找键对应的记录不存在于身份交叉验证数据库中，并且作为响应，防止通过PLMN间转发接口接收的所述至少一个消息进入由响应SEPP保护的PLMN。护的PLMN。护的PLMN。

【技术实现步骤摘要】
【国外来华专利技术】用于减轻对安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口的假冒攻击的方法、系统和计算机可读介质
[0001]优先权声明
[0002]本申请要求于2020年12月21日提交的美国专利申请序列号17/129,441、于2020年11月11日提交的美国专利申请序列号17/095,420、于2020年11月2日提交的印度临时专利申请序列号202041047779以及于2020年9月25日提交的印度临时专利申请序列号202041041754的优先权权益，其公开内容通过引用整体并入本文。


[0003]本文描述的主题涉及增强5G通信网络中的安全性。更具体地，本文描述的主题涉及用于减轻对SEPP PLMN间转发接口上的假冒攻击的方法、系统和计算机可读介质。

技术介绍

[0004]在5G电信网络中，提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF，具体取决于它是在消费还是提供服务。
[0005]给定的生产者NF可以有许多服务端点，其中服务端点是用于由生产者NF托管的一个或多个NF实例的联系点。服务端点由互联网协议(IP)地址和端口号的组合或在托管生产者NF的网络节点上解析为IP地址和端口号的完全限定的域名来识别。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是，多个NF实例可以共享同一个服务端点。
[0006]生产者NF向网络功能储存库功能(NRF)注册。NRF维护识别每个NF实例支持的服务的可用NF实例的服务简档。消费者NF可以订阅以接收关于已向NRF注册的生产者NF实例的信息。
[0007]除了消费者NF之外，另一种可以订阅以接收关于NF服务实例信息的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理，并且服务通信代理在提供所需服务的生产者NF服务实例之间进行负载平衡流量，或者直接将流量路由到目的地生产者NF实例。
[0008]除了SCP之外，在生产者和消费者NF之间路由流量的中间代理节点或网络节点组的其它示例包括安全边缘保护代理(SEPP)、服务网关和5G服务mesh中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。由此，SEPP对所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。
[0009]当前5G网络体系架构存在的一个漏洞出现在N32接口上，该接口是SEPP之间的接口。如上面所指示的，SEPP充当公共陆地移动网络(PLMN)的安全性筛选节点。N32控制或N32
‑
c接口用于与远程SEPP交换控制消息。N32
‑
c接口上的通信的发起涉及传输层安全(TLS)握手过程，以便为交换N32控制消息建立TLS连接。在交换N32
‑
c消息之后，发生第二
TLS握手，以便为N32转发或N32
‑
f接口建立第二TLS连接。N32
‑
f接口上发生的唯一验证是TLS证书是否有效并由受信任的证书颁发机构颁发。因此，黑客SEPP可以假冒真实SEPP的身份，并在转发接口上与受SEPP保护的PLMN进行未经授权的服务通信。在通过PLMN间转发接口接收的服务消息中也没有PLMN的验证。
[0010]鉴于这些和其它困难，需要用于减轻SEPP PLMN间转发接口上的假冒攻击的方法、系统和计算机可读介质。

技术实现思路

[0011]一种用于减轻安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口上的假冒攻击的方法包括由响应SEPP从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个。该方法还包括将第一SEPP标识符和第一PLMN标识符中的至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中。该方法还包括由响应SEPP从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个。该方法还包括使用包括第二SEPP标识符和第二PLMN标识符中的至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找。该方法还包括确定与查找键对应的记录不存在于SEPP PLMN间转发接口身份交叉验证数据库中，并且作为响应，防止通过PLMN间转发接口接收的至少一个消息进入由响应SEPP保护的PLMN。
[0012]根据本文描述的主题的另一方面，PLMN间控制接口包括N32
‑
c接口c并且PLMN间转发接口包括N32
‑
f接口。
[0013]根据本文描述的主题的另一方面，从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个包括从包含在用于为N32
‑
c接口建立第一TLS连接的TLS握手期间通过PLMN间控制接口接收的第一传输层安全(TLS)证书消息中的第一证书中获得第一SEPP标识符。
[0014]根据本文描述的主题的另一方面，第一证书包括第一X.509证书。
[0015]根据本文描述的主题的另一方面，获得第一SEPP标识符包括从第一X.509证书的主题备用名称扩展中提取第一SEPP标识符。
[0016]根据本文描述的主题的另一方面，从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个包括从包含在用于为N32
‑
f接口建立第二TLS连接的TLS握手期间接收的第二TLS证书消息中的第二证书中获得第二SEPP标识符。
[0017]根据本文描述的主题的另一方面，第二证书包括第二X.509证书。
[0018]根据本文描述的主题的另一方面，获得第二SEPP标识符包括从第二X.509证书的主题备用名称扩展中提取第二SEPP标识符。
[0019]根据本文描述的主题的另一方面，从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符包括从在用于为PLMN间控制接口设置第一TLS连接的TLS握手期间接收的第一TLS证书消息中获得第一SEPP标识符并从通过第一TLS连接接收的N32
‑
c安全能力交换消息中获得第一PLMN标识符，并且从通过PLMN间转发接口接收的至少一个相关联消息中获得第二SEPP标识符和第二PLMN标识符包括从在用于为PLMN间转发接口设置第二TLS连接的TLS握手期间接收的第二TLS证书消息获得第二SEPP标识符并从通
过第二TLS连接接收的5G服务消息中获得第二PLMN标识符。
[0020]根据本文描述的主题的另一方面，查找键包括包含第二SEPP标识符和第二PLMN标识符的元组。
[0021]根据本文描述的主题的另一方面，提供了一种用于减轻安全边本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种用于减轻安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口上的假冒攻击的方法，该方法包括：由响应SEPP从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个；将第一SEPP标识符和第一PLMN标识符中的所述至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中；由响应SEPP从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个；使用包括第二SEPP标识符和第二PLMN标识符中的所述至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找；以及确定与查找键对应的记录不存在于SEPP PLMN间转发接口身份交叉验证数据库中，并且作为响应，防止通过PLMN间转发接口接收的所述至少一个消息进入由响应SEPP保护的PLMN。2.如权利要求1所述的方法，其中PLMN间控制接口包括N32
‑
c接口c并且PLMN间转发接口包括N32
‑
f接口。3.如权利要求1或权利要求2所述的方法，其中从通过PLMN间控制接口接收的所述至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个包括：从包含在用于为N32
‑
c接口建立第一TLS连接的TLS握手期间通过PLMN间控制接口接收的第一传输层安全(TLS)证书消息中的第一证书中获得第一SEPP标识符。4.如权利要求3所述的方法，其中第一证书包括第一X.509证书。5.如权利要求4所述的方法，其中获得第一SEPP标识符包括：从第一X.509证书的主题备用名称扩展中提取第一SEPP标识符。6.如前述权利要求中的任一项所述的方法，其中从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个包括：从包含在用于为N32
‑
f接口建立TLS连接的TLS握手期间接收的第二TLS证书消息中的第二证书中获得第二SEPP标识符。7.如权利要求6所述的方法，其中第二证书包括第二X.509证书。8.如权利要求7所述的方法，其中获得第二SEPP标识符包括：从第二X.509证书的主题备用名称扩展中提取第二SEPP标识符。9.如前述权利要求中的任一项所述的方法，其中：从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符包括：从在用于为PLMN间控制接口设置TLS连接的TLS握手期间接收的第一传输层安全(TLS)证书消息中获得第一SEPP标识符，并从通过用于PLMN间控制接口的TLS连接接收的N32
‑
c安全能力交换消息中获得第一PLMN标识符；以及从通过PLMN间转发接口接收的至少一个相关联消息中获得第二SEPP标识符和第二PLMN标识符包括：从在用于为PLMN间转发接口设置TLS连接的TLS握手期间接收的第二TLS证书消息获得第二SEPP标识符，并从通过用于PLMN间转发接口的TLS连接接收的5G服务消息中获得第二PLMN标识符。10.如前述权利要求中的任一项所述的方法，其中查找键包括包含第二SEPP标识符和
第二PLMN标识符的元组。11.一种用于减轻安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口上的假冒攻击的系统，该系统包括：SEPP，其包括至少一个处理器和存储器；SEPP PLMN间转发接口身份交叉验证数据库，其驻留在存储器中；以及PLMN间转发接口身份假冒减轻模块，其由所述至少一个处理器实现并且被配置为：从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个；将第一SEPP标识符和第一PLMN标识符中的所述至少一个存储在S...

【专利技术属性】
技术研发人员：J，
申请(专利权)人：甲骨文国际公司，
类型：发明
国别省市：