【技术实现步骤摘要】
本专利技术涉及一种装置、方法和计算机程序产品,用于在边缘计算的漫游场景中提供安全性。
技术介绍
1、本规范中使用的缩写词含义如下:
2、af 应用功能
3、ausf 认证服务器功能
4、dn 数据网络
5、dnn 数据网络名称
6、dns 域名系统
7、eas 边缘应用服务器
8、easdf 边缘应用服务器发现功能
9、fqteid 完全限定隧道端点id
10、gprs 通用分组无线电服务
11、gre 通用路由封装
12、gtp gprs隧道协议
13、h-plmn 归属公共陆地网络
14、h-smf 归属会话管理功能
15、hr 归属路由
16、id 标识符
17、ipups plmn间用户平面安全
18、lbo 本地中断
19、nef 网络暴露功能
20、nf 网络功能
21、nrf 网络存储库功能
22、nsacf 网络切片准入控制功能
23、nssaa
24、nssf 网络切片选择功能
25、pcf 策略控制功能
26、pdn 分组数据网络
27、pdu 协议数据单元
28、plmn 公共陆地移动网络
29、psa pdu会话锚点
30、ran 无线电接入网络
31、sepp 安全边缘保护代理
32、smf 会话管理功能
33、snpn 独立非公共网络
34、teid 隧道端点id
35、ue 用户设备
36、ul 上行链路
37、ul cl 上行链路分类器
38、ul cl upf 上行链路分类器upf
39、upf 用户平面功能
40、urllc 超可靠低延迟通信
41、v-easdf 拜访easdf
42、v-plmn 拜访plmn
43、v-smf 拜访会话管理功能
44、v-upf 拜访用户平面功能
45、尽管不限于此,但在执行归属路由(hr)漫游的场景中,示例实施例与边缘计算(ec)有关。特别是tr 23700-48“针对边缘计算的5g系统增强;第2阶段(第18版)”中的一个问题是,如何确定连接到v-plmn的eas,即使是在归属路由漫游的情况下。建议在v-easdf和h-eadsf/dns服务器之间直接连接的解决方案。然而,这种连接模式会引发安全问题且需要改进。
46、图6(反映了ts23.501的图4.2.4-9)展示了漫游5g系统架构——以基于服务的接口表征的归属路由场景。
47、如ts23.501所述,运营商可在其网络边界部署支持plmn间up安全(ipups)功能的upf,以保护其网络在归属路由漫游场景中免受无效plmn间n9业务(traffic)的影响。在vplmn和hplmn中支持ipups功能的upf分别由pdu会话的v-smf和h-smf控制。支持ipups功能的upf终止gtp-u n9隧道。smf可在相同的upf中与其他up功能一起激活ipups功能,或在up路径中为ipups功能插入单独的upf(例如,其可专用于ipups功能)。图5描述了归属路由漫游架构,其中为ipups功能在up路径中插入了upf。
48、ts23.501第5.8.2.14条规定了ipups功能。运营商可在其网络边界部署支持plmn间用户平面安全(ipups)功能的(多个)upf,以保护其网络免受无效plmn间n9业务的影响。如ts 33.501所述,ipups功能转发(经由n9接口接收的)gtp-u数据包,前提是这些数据包属于活动的pdu会话、且形式正确。smf可在相同的upf中与其他up功能一起激活ipups功能,或在up路径中为ipups功能插入单独的upf。在这两种情况下,具有ipups功能的upf都由smf经由n4接口所控制。
49、因此,如上所述,在hr漫游中,可以在网络边界(v-plmn和h-plmn之间)的用户平面上,即在v-plmn中的“最后”的v-upf和h-plmn中的“第一个”h-upf上,安装安全功能ipups(plmn间用户平面安全)。
50、在ec也被指定用于hr漫游之前,这意味着在“正常”hr漫游场景下(不执行任何ec),所有用户数据都将通过该v-upf/h-upf连接,且ipups将部署到所有用户数据。然而,hr漫游中的ec概念(目前在tr 23.700-48中定义)设想,特别是在eas(边缘应用服务器)选择过程中发送的dns消息将从v-easdf(eas发现功能)直接去往h-dns或h-easdf。即这些dns消息不会穿过正常的v-upf/h-upf连接,因此也不会通过ipups功能。
51、换句话说,在hr漫游情况下的当前ec概念,用户平面消息(即dns消息)将穿过plmn边界,而不受ipups约束。这引发了一些安全问题。
技术实现思路
1、示例实施例针对这种情况,旨在提供一种过程/架构改进,其中这些dns信息也将穿过ipups功能。
2、这通过所附权利要求中规定的方法、装置和非暂时性计算机可读存储介质来实现。
3、根据一些示例实施例,在用户设备的拜访网络和归属网络之间分配网络安全功能,以及控制拜访网络中的边缘计算相关网元与归属网络中的网元之间的域名系统相关信令,使得域名系统相关信令受到网络安全功能的约束。
4、根据一些示例性实施例,在网元中,从拜访网络中的边缘计算相关网元接收域名系统相关信令,对域名系统相关信令执行安全检查,在安全检查是肯定的情况下,将所述域名系统相关信令转发到归属网络中的网元。
5、根据一些示例性实施例,在边缘计算相关网元中,在用户设备的拜访网络中,处理来自用户设备的数据会话的域名系统信令;在专用于用户设备的数据会话的发送隧道中,向归属网络中的网元发送相应的域名系统本文档来自技高网...
【技术保护点】
1.一种在网络控制元件中使用的方法,所述方法包括:
2.根据权利要求1所述的方法,还包括:
3.根据权利要求2所述的方法,其中所述网络控制元件位于所述拜访网络中,并且所述网络安全功能位于所述拜访网络中。
4.根据权利要求2所述的方法,还包括:
5.根据权利要求4所述的方法,其中专用于所述用户设备的数据会话、并且旨在在所述拜访网络中的所述边缘计算相关网元与所述归属网络中的所述网元之间传输域名系统相关信令的所述用户平面隧道不同于专用于所述用户设备的数据会话、旨在在所述拜访网络中的用户平面功能与所述归属网络中的用户平面功能之间传输用户平面数据的用户平面隧道。
6.根据权利要求3至5中任一项所述的方法,还包括:
7.根据权利要求2所述的方法,其中所述网络控制元件位于所述归属网络中,并且所述网络安全功能位于所述归属网络中。
8.根据权利要求7所述的方法,还包括:
9.根据权利要求8所述的方法,还包括:
10.根据权利要求1所述的方法,还包括:
11.根据权利要求10所述的
12.根据权利要求10或11所述的方法,其中所述网络控制元件是所述拜访网络中的网络控制元件,所述方法还包括:
13.根据权利要求12所述的方法,还包括:
14.根据权利要求10或11所述的方法,其中所述网络控制元件是所述归属网络中的网络控制元件,所述方法还包括:
15.根据权利要求14所述的方法,还包括接收以下至少一项:
16.根据权利要求14所述的方法,还包括:
17.一种在网元中使用的方法,所述方法包括:
18.根据权利要求17所述的方法,其中所述网络安全功能被插入到所述拜访网络中的所述边缘计算相关网元与所述归属网络中的所述相关网元之间的路径上。
19.根据权利要求17所述的方法,其中所述网络安全功能是现有的网络安全功能,所述网络安全功能被布置在所述拜访网络中的接入网络和所述归属网络中的数据网络之间。
20.根据权利要求17所述的方法,其中所述网络安全功能被插入到所述拜访网络中、在所述拜访网络中的所述边缘计算相关网元与所述归属网络中的现有网络安全功能之间。
21.根据权利要求20所述的方法,还包括:
22.一种在边缘计算相关网元中使用的方法,所述方法包括:
23.根据权利要求22所述的方法,还包括:
24.一种用于通信的装置,包括用于执行根据权利要求1至23中任一项所述的方法的部件。
25.一种计算机程序产品,包括用于当在处理部件或模块上运行时执行根据权利要求1至23中任一项所述的方法的代码部件。
...【技术特征摘要】
1.一种在网络控制元件中使用的方法,所述方法包括:
2.根据权利要求1所述的方法,还包括:
3.根据权利要求2所述的方法,其中所述网络控制元件位于所述拜访网络中,并且所述网络安全功能位于所述拜访网络中。
4.根据权利要求2所述的方法,还包括:
5.根据权利要求4所述的方法,其中专用于所述用户设备的数据会话、并且旨在在所述拜访网络中的所述边缘计算相关网元与所述归属网络中的所述网元之间传输域名系统相关信令的所述用户平面隧道不同于专用于所述用户设备的数据会话、旨在在所述拜访网络中的用户平面功能与所述归属网络中的用户平面功能之间传输用户平面数据的用户平面隧道。
6.根据权利要求3至5中任一项所述的方法,还包括:
7.根据权利要求2所述的方法,其中所述网络控制元件位于所述归属网络中,并且所述网络安全功能位于所述归属网络中。
8.根据权利要求7所述的方法,还包括:
9.根据权利要求8所述的方法,还包括:
10.根据权利要求1所述的方法,还包括:
11.根据权利要求10所述的方法,还包括:
12.根据权利要求10或11所述的方法,其中所述网络控制元件是所述拜访网络中的网络控制元件,所述方法还包括:
13.根据权利要求12所述的方法,还包括:
...
【专利技术属性】
技术研发人员:K·霍夫曼,L·蒂埃博,S·辛格,B·兰戴斯,
申请(专利权)人:诺基亚通信公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。