CN111742529A - 基于服务的架构(sba)中的安全协商 - Google Patents
基于服务的架构(sba)中的安全协商 Download PDFInfo
- Publication number
- CN111742529A CN111742529A CN201980014066.7A CN201980014066A CN111742529A CN 111742529 A CN111742529 A CN 111742529A CN 201980014066 A CN201980014066 A CN 201980014066A CN 111742529 A CN111742529 A CN 111742529A
- Authority
- CN
- China
- Prior art keywords
- security
- gateway
- responding
- connection
- application layer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本公开提供了用于在安全网关(102A,102B)之间协商安全机制的技术。在这些技术中,发起安全网关(102A)在安全网关之间建立的第一连接上向响应安全网关(102B)发送(302)请求消息。第一连接提供对消息的完整性保护。请求消息包括被发起安全网关支持的一种或多种安全机制。在接收后,响应安全网关选择(406)这些安全机制之一,并向发起安全网关发送(408)指示所选择的安全机制的响应消息。然后,使用所选择的安全机制,在安全网关之间传送(310,412)信令消息。
Description
相关申请
本申请要求2018年2月19日提交的标题为“Security Negotiation in SBA(SBA中的安全协商)”的美国临时专利申请第62/632,415号的优先权,其全部公开内容在此引入作为参考。
技术领域
本公开一般地涉及安全协商,并且特别地,涉及用于在不同网络中的安全网关之间协商安全机制的技术和设备。
背景技术
第三代合作伙伴计划(3GPP)正在致力于基于服务的架构(SBA),SBA在数个工作组和技术规范(TS)中被规定。特别地,SA2 TS 23.501和23.502提供了SBA的架构方面,而CT4TS 29.500提供了SBA第3阶段实现。SBA的安全方面在SA3 TS 33.501的条款9中被规定。
图1示出了TS 23.501中的示例SBA漫游架构图。如图1所示,在每个公共陆地移动网络PLMN(即,拜访PLMN(VPLMN)12和归属PLMN(HPLMN)14)中存在终止N32参考点20的安全边缘保护代理(SEPP)功能(即vSEPP 16和hSEPP 18)。所有PLMN间信令穿过SEPP功能16、18,并且SEPP在TS 23.501的条款6.2.7中被定义为非透明代理,其支持诸如在PLMN间控制平面接口上的消息过滤和监控、以及拓扑隐藏之类的功能。SEPP的功能和针对N32的安全解决方案在TS 33.501中被规定。
尽管PLMN 12、14在3GPP架构中是经由N32参考点20连接的,但实际上,在SEPP之间存在互连网络(即IP分组交换IPX),该互连网络由一个或多个IPX提供商操作。图2示出了在漫游5G系统架构30上的一个这种IPX 32,并且特别地,示出了采用基于服务的接口表示的归属路由场景。如图2所示,IPX提供商具有业务模型,在该业务模型中,它们处理例如对PLMN之间的信令业务的路由和过滤动作。为了完成这些功能,IPX网络实体34、36需要查看和修改在PLMN之间被发送的信令消息的某些信令消息元素。IPX提供商在4G和更早世代的网络中具有该业务模型,并且很明显,此同一模型将在5G网络中继续。实际上,全球移动通信系统协会(GSMA)已经在与SA3的联络声明中表明了针对3GPP的IPX提供商要求。
IPX提供商要求表明针对N32参考点20的安全解决方案将非常复杂。同时,3GPPSA3被迫使在版本15时间表内规定针对SBA并且尤其是针对N32的安全解决方案。但是,SA3可能无法针对N32提供满足在版本15中规定的所有IPX要求的安全解决方案。
解决该问题的一个提议是实施分步的方法。特别地,在第一步骤中,版本15将规定部分(或更简单的)SBA安全解决方案,尽管该解决方案将不能满足针对N32的所有要求。在第二步骤中,满足针对N32的所有要求的另一个(完整)SBA安全解决方案将在版本16中被规定。但是,这种分步的方法的问题在于,一旦(部分)安全解决方案被部署在版本15中,它将很难(如果不是不可能)迁移到在版本16(或更高版本)中的网络中的另一个(完整)安全解决方案而没有降级(bidding down)问题。例如,诸如中间人(MiTM)之类的攻击者可以始终冒充版本15SEPP实体,并且因此避免必须使用(完整)版本16安全解决方案。
发明内容
本公开的实施例提供可以帮助解决这些和其他挑战的技术。特别地,当前实施例添加了SEPP之间受完整性保护的安全能力协商。该协商基于SEPP之间的相互认证和密钥协议。使用受完整性保护的安全能力协商,SEPP能够协商在N32参考点上应当使用哪种特定的安全解决方案,从而消除降级攻击的可能性。
在一些实施例中,本公开提供一种用于与响应安全网关协商安全机制的方法。在这些实施例中,所述方法包括:在协商阶段中,在发起安全网关与所述响应安全网关之间建立第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;在所述第一连接上向所述响应安全网关发送请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;以及在所述第一连接上从所述响应安全网关接收响应消息,其中,所述响应消息标识由所述响应安全网关从被所述发起安全网关支持的所述一种或多种安全机制中选择的应用层安全机制。此后,在通信阶段中,所述方法包括:使用所选择的应用层安全机制与所述响应安全网关传送信令消息。
在一个实施例中,所述第一连接是受完整性保护的传输层安全TLS连接。
在另一个实施例中,所述第一连接是受完整性保护的网际协议安全IPsec连接。
在一个实施例中,所述方法还包括:在所述通信阶段中,在所述发起安全网关与所述响应安全网关之间建立第二连接,以及使用所选择的应用层安全机制在所述第二连接上与所述响应安全网关传送所述信令消息。
在一个实施例中,所述第二连接是N32-F连接。在另一个实施例中,所述应用层安全是N32应用层安全。
在一个实施例中,使用所选择的应用层安全机制与所述响应安全网关传送信令消息包括:保护在与相应的不同公共陆地移动网络PLMN相关联的网络功能之间传送的所述信令消息。
在一个实施例中,所述方法还包括:保护在相应的第一和第二不同的公共陆地移动网络PLMN中的网络功能之间传送的用户平面业务消息。
在一个实施例中,所述一种或多种安全机制是根据所述发起安全网关和所述响应安全网关之一或两者的偏好来排序的。
在一个实施例中,所述一种或多种安全机制包括一种或多种安全协议。
在一个实施例中,所述协商阶段由安全边缘保护代理SEPP来执行。
但是,在另一个实施例中,所述协商阶段由网络资源功能NRF、网络开放功能NEF、以及网络服务器设备中的一个来执行。
在一个实施例中,所述方法还包括:向所述响应安全网关指示要被选择的所述安全机制正在安全连接内被协商。在这样的实施例中,指示要被选择的所述安全机制正在被协商是在所述安全连接的受保护部分的外部传送的消息报头中被指示的。在其他实施例中,这样的指示通过用安全协商模块的地址来填充所述请求消息的地址字段来被执行。
在一个实施例中,所述方法还包括:检测所选择的应用层安全机制应被改变,以及在预定时段内触发选择新的应用层安全机制。
在一个实施例中,所述方法还包括:在向所述响应安全网关发送所述请求消息之前,与因特网提供商所关联的互连节点协商所述应用层安全机制。
在至少一些实施例中,本公开提供一种用于与响应安全网关协商安全机制的网络节点。在这些实施例中,所述发起安全网关包括:通信接口电路,被配置为在一个或多个连接上与所述响应安全网关传送消息;以及处理电路,在操作上被连接到所述通信接口电路。所述处理电路被配置为:在协商阶段中,在发起安全网关与所述响应安全网关之间建立第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;在所述第一连接上向所述响应安全网关发送请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;以及在所述第一连接上从所述响应安全网关接收响应消息,其中,所述响应消息标识由所述响应安全网关从被所述发起安全网关支持的所述一种或多种安全机制中选择的应用层安全机制。在通信阶段中,所述处理电路被配置为:使用所选择的应用层安全机制与所述响应安全网关传送信令消息。
在其他实施例中,本公开提供一种用于与发起安全网关协商安全机制的方法。在这些实施例中,所述方法包括:在协商阶段中,在所述发起安全网关与响应安全网关之间建立第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;在所述第一连接上从所述发起安全网关接收请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;从被所述发起安全网关支持的所述一种或多种安全机制中选择应用层安全机制;以及在所述第一连接上向所述发起安全网关发送响应消息,其中,所述响应消息标识由所述响应安全网关选择的所述应用层安全机制。在通信阶段中,所述方法还包括:使用所选择的应用层安全机制与所述发起安全网关传送信令消息。
在一个实施例中,所述请求消息和所述响应消息之一或两者包括协议的受完整性保护的消息。
在一个实施例中,所述方法还包括:在所述发起安全网关与所述响应安全网关之间建立第二连接,其中,所述第二连接不同于所述第一连接;以及在所述第二连接上使用所选择的应用层安全机制与所述发起安全网关传送所述信令消息。
在一个实施例中,选择所述应用层安全机制包括:基于所述响应安全网关的本地策略来选择所述应用层安全机制。
在一个实施例中,选择所述应用层安全机制包括:基于所述发起安全网关的本地策略来选择所述应用层安全机制。
在一个实施例中,选择所述应用层安全机制包括:基于所述发起安全网关的偏好顺序来选择所述应用层安全机制。
在一个实施例中,选择所述应用层安全机制包括:与因特网提供商所关联的互连节点协商所述应用层安全机制。
在一个实施例中,所述方法还包括:协商与安全性无关的一个或多个特征。在这样的实施例中,协商与安全性无关的一个或多个特征包括:向所述发起安全网关通知作为所述安全协商的一部分,另一个安全网关将要被联系。
在一个实施例中,所述响应消息还标识被所述发起安全网关支持的所述一种或多种安全机制。
在一个实施例中,选择所述应用层安全机制包括:选择用于PLMN中的所有网络功能的所述应用层安全机制。
在一个实施例中,选择所述应用层安全机制包括:选择用于网络功能的所述应用层安全机制而与一个或多个其他网络功能无关。
在一个实施例中,只要所述第一连接被维持,所选择的所述应用层安全机制就有效。
在一个实施例中,选择所述应用层安全机制包括:周期性地选择新的应用层安全机制。
在一个实施例中,响应于选择新的应用层安全机制,所述方法包括:终止当前所选择的应用层安全机制已被应用到的所有连接;打开新的连接;以及将所述新的应用层安全机制应用于每个所述新的连接。
在一个实施例中,所述响应消息使用对应的符号标识符来标识由所述响应安全网关选择的所述应用层安全机制。
附加地,在一个实施例中,本公开提供一种用于与发起安全网关协商安全机制的网络节点。在这些实施例中,所述网络节点包括通信接口电路,被配置为在一个或多个连接上与发起安全网关传送消息;以及处理电路,在操作上被连接到所述通信接口电路。所述处理电路被配置为:在协商阶段中,在所述发起安全网关与响应安全网关之间建立第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;在所述第一连接上从所述发起安全网关接收请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;从被所述发起安全网关支持的所述一种或多种安全机制中选择应用层安全机制;以及在所述第一连接上向所述发起安全网关发送响应消息,其中,所述响应消息标识由所述响应安全网关选择的所述应用层安全机制。在通信阶段中,所述处理电路被配置为:使用所选择的应用层安全机制与所述发起安全网关传送信令消息。
在至少一个实施例中,本公开提供一种非瞬时性计算机可读介质,所述非瞬时性计算机可读介质包括存储在其上的指令,其中,当所述指令由网络节点的处理电路执行时使得所述网络节点:在协商阶段中,在发起安全网关与所述响应安全网关之间建立第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;在所述第一连接上向所述响应安全网关发送请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;以及在所述第一连接上从所述响应安全网关接收响应消息,其中,所述响应消息标识由所述响应安全网关从被所述发起安全网关支持的所述一种或多种安全机制中选择的应用层安全机制。在通信阶段中,所述处理电路被配置为:使用所选择的应用层安全机制与所述响应安全网关传送信令消息。
在至少一个实施例中,本公开提供一种非瞬时性计算机可读介质,所述非瞬时性计算机可读介质包括存储在其上的指令,其中,当所述指令由网络节点的处理电路执行时使得所述网络节点:在协商阶段中,在所述发起安全网关与所述响应安全网关之间建立第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;在所述第一连接上从所述发起安全网关接收请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;从被所述发起安全网关支持的所述一种或多种安全机制中选择应用层安全机制;以及在所述第一连接上向所述发起安全网关发送响应消息,其中,所述响应消息标识由所述响应安全网关选择的所述应用层安全机制。在通信阶段中,所述处理电路被配置为:使用所选择的应用层安全机制与所述发起安全网关传送信令消息。
附图说明
图1是示出漫游5G系统架构—采用基于服务的接口表示的归属路由场景的示意性框图;
图2是示出在漫游5G系统架构—采用基于服务的接口表示的归属路由场景上的IPX的示意性框图;
图3是根据本公开的一个实施例的在不同通信网络中的第一和第二SEPP的示意性框图;
图4是示出根据本公开的一个实施例的安全机制协商技术的信令图;
图5是示出根据本公开的一个实施例的在第一SEPP处实现的与第二SEPP节点协商安全机制的方法的流程图;
图6是示出根据本公开的一个实施例的在第二SEPP处实现的与第一SEPP协商安全机制的方法的流程图;
图7-8是示出根据本公开的实施例的在第一和第二SEPP之一或两者处实现的协商安全机制的方法的流程图;
图9示出了根据本公开的实施例配置的网络节点(诸如SEPP)及其一些组件;
图10是根据本公开的实施例的在通信网络中工作的网络节点(诸如SEPP)中的处理电路的功能框图。
具体实施方式
本公开提供用于在来自不同网络的安全网关(例如,分别为拜访PLMN和归属PLMN中的第一SEPP和第二SEPP)之间的安全机制协商的技术。例如,如图3所示,第一网络110A的第一SEPP 102A可以在一个或多个通信信道104上与第二网络110B的第二SEPP 102B协商用于通信的安全机制。
图4是示出根据本公开的一个实施例的在第一与第二SEPP 102A、102B之间的安全机制协商技术的信令图。在该实施例中,在第一与第二SEPP 102A、102B之间建立受完整性保护的传输层安全(TLS)连接(线202)。在至少一些实施例中,TLS连接可以被加密。一旦TLS连接被建立,SEPP 102A(在本文中被称为“发起”SEPP)便向SEPP 102B(在本文中被称为“响应”SEPP)发送请求消息(线204)。在该实施例中,请求消息向SEPP 102B指示被SEPP 102A支持的安全机制。被支持的安全机制可以以任何所需或期望的方式被排序。但是,在一个实施例中,SEPP102A根据它自己的偏好顺序对请求消息中的安全机制进行排序。响应于接收到请求消息,SEPP 102B选择在请求消息中由SEPP 102A指示的安全机制中的一个(方框206)。根据本公开,所选择的安全机制被SEPP 102A和SEPP 102B两者支持。一旦已选择,SEPP102B便向SEPP 102A发送标识所选择的安全机制的响应消息(线208)。在至少一个实施例中,请求消息和响应消息两者是在3GPP TS 23.502中定义的消息。
尽管图4所示的信令图描绘了第一和第二SEPP 102A、102B执行安全协商的实施例,但是本领域普通技术人员应该理解,这仅出于说明性目的,并且本公开的安全机制协商不仅限于由SEPP执行。例如,在一些实施例中,安全协商由网络资源功能(NRF)而不是由SEPP 102A、102B来执行。在这些实施例中,NRF和SEPP可以共址也可以不共址。在其他实施例中,诸如网络开放功能(NEF)之类的网络功能被配置为执行安全协商,而在其他实施例中,网络服务器被配置为执行安全协商。因此,执行根据当前实施例的安全机制协商不仅限于SEPP。
附加地,由SEPP 102A、102B协商的安全机制可以用于保护信令消息或业务消息。例如,在一个实施例中,被协商的安全机制是由SEPP用于保护在不同PLMN(例如VPLMN 12和HPLMN 14)中的网络功能(NF)或NF服务之间的信令的机制。在另一个实施例中,被协商的安全机制是用于保护网络功能之间的业务的机制。这样的业务包括但不限于用户平面功能(UPF)之间的用户平面业务。
此外,被协商的安全机制不限于任何一个特定的3GPP版本。例如,在一个实施例中,被协商的安全机制是3GPP版本(例如版本15)以及一个或多个不同3GPP版本(例如版本16)中用于N32的安全机制(例如应用层安全)。这意味着,协商在根据当前实施例被执行时不需要具体标识确切的技术解决方案(如TLS)。而是,协商可以仅借助符号名称来提及在给定3GPP版本中规定的技术解决方案。例如,安全机制“X”可以映射到版本15解决方案,而安全机制“Y”可以映射到版本16解决方案。
特定安全机制的选择还可以基于各种标准。在一个实施例中,例如,接收请求消息的SEPP(例如“响应”SEPP 102B)基于它自己的本地策略之一来选择安全机制。在另一个实施例中,接收请求消息的SEPP基于发送请求消息的SEPP(例如“发起”SEPP 102A”)的本地策略来选择安全机制。在又一个实施例中,安全机制是基于发送请求消息的SEPP(例如SEPP102A)和接收请求消息的SEPP(例如SEPP 102B)两者的本地策略来选择的。在一个这样的实施例中,安全机制根据由发起SEPP 102A分配给安全机制的偏好顺序来选择。
选择过程还可以以任何所需或期望的方式被执行。但是,在一个实施例中,选择过程涉及在SEPP 102A、102B及它们的本地互连提供商之间协商安全机制。这可以以预配置的方式来完成,或者通过SEPP与互连节点之间的附加消息传送来完成。在一个实施例中,例如发起SEPP 102A可以在向响应SEPP 102B发送请求消息(图4中的线204)之前执行协商。在另一个实施例中,响应SEPP 102B执行该功能作为其在图4的方框206中的选择过程的一部分。
如上所述,在一个实施例中,在SEPP 102A、102B之间建立的连接是TLS连接。但是,当前实施例不限于此。通常(尽管不是必需的),在SEPP 102A、102B之间建立安全连接或隧道。在一个实施例中,例如在SEPP 102A、102B之间建立受完整性保护的IPsec连接而不是TLS连接。
根据当前实施例,安全协商是否正在安全连接内发生被显式地指示。例如,在一个实施例中,当安全协商正在安全连接内发生时,在安全连接的受保护部分外部传送的消息报头中(例如在TLS记录层报头中)指示安全协商。这使得某些IPX服务器(例如图3所示的IPX实体34、36)能够允许安全协商通过IPX 32,否则会根据安全策略而丢弃安全协商。在另一个实施例中,该指示基于请求消息中的地址字段。例如,被执行以进行安全协商的指令的地址(例如包括指令的模块)将不同于某些其他业务的地址。因此,在这样的实施例中,显式指示可以通过用安全协商模块的地址填充请求消息中的地址字段来实现。例如,本公开的一个实施例用安全协商模块的地址来填充请求消息中的目的地地址字段。
根据当前实施例,安全能力协商并非始终在先前建立的安全连接中发生。在一些实施例中,例如,安全能力协商在协议的一个或多个受完整性保护的消息内发生。这些受完整性保护的消息可以是例如TLS握手消息、IKEv2消息、MIKEY消息、受保护的JSON元素、或另一个安全建立或密钥管理协议的消息。
除了上述方面之外,根据本公开的一个实施例,协商可以包括非安全相关特征。这样的实施例会有益的情况的示例是运营商彼此租用IMSI空间的情况。作为协商的一部分,响应SEPP 102B向发起SEPP 102A通知需要被联系以进行与某些IMSI相关的通信的第三SEPP。
在某些情况下,在SEPP 102A、102B之间建立的连接(线202)可以不是安全连接,并且由发起SEPP 102A发送的包括发起SEPP 102A的所支持的安全机制的请求消息(线204)没有或不能受完整性保护。例如,当安全协商在安全协议运行的早期阶段中发生并且用于保护第一消息的安全关联尚未就位时,便是这种情况。在这些情况下,响应SEPP 102B在受完整性保护的响应消息(线208)中重复发起SEPP 102A的所支持的安全机制。以这种方式,发起SEPP 102A知道所支持的安全机制未被修改。在另一个实施例中,即使安全的受完整性保护的连接已经存在,响应SEPP102B也在受完整性保护的响应消息中重复发起SEPP 102A的所支持的安全机制。
根据本公开,SEPP(例如SEPP 102A和/或SEPP 102B)可以被配置为以不同的方式来选择安全机制。在一个实施例中,例如,SEPP 102A和/或102B被配置为针对在它们被设置在其中的PLMN中的所有NF选择安全机制。但是,在另一个实施例中,SEPP 102A和/或102B被配置为在逐个NF的基础上选择安全机制。但是,不管具体的选择过程如何,根据当前实施例,SEPP 102A、102B都被配置为维持HTTP/2连接,在该HTTP/2连接中,单独的消息(例如在SEPP 102A与SEPP 102B之间传送的请求消息和响应消息)作被交织成流。
仅作为举例,本公开的一个实施例将SEPP 102A、102B配置为选择用于所创建的每个HTTP/2连接的安全机制。在这些实施例中,安全机制协商结果的有效期是HTTP/2连接的有效期。
本公开的另一个实施例将SEPP 102A、102B配置为周期性地选择安全机制。在这些情况下,SEPP 102A、102B被配置为将协商结果应用于所有的HTTP/2连接。这意味着每当安全机制协商结果改变时,便终止所建立的HTTP/2连接并且打开新的连接。在一些实施例中,安全机制协商结果的有效期可以是协商的一部分。
在某些情况下,安全机制选择所基于的安全策略可以改变。因此,在这样的实施例中,本公开将SEPP 102A和/或102B配置为响应于安全策略的变化而在有效期内的任何时间单方面触发选择安全机制。
图5是示出根据本公开的一个实施例的在“发起”安全网关(例如SEPP102A)处实现的与“响应”安全网关(例如SEPP 102B)协商安全机制的方法300的流程图。特别地,本公开的该方面在多个阶段中实现—即“协商”阶段,其中SEPP 102A、102B协商并选择应用层安全机制;以及“通信”阶段,其中SEPP 102A、102B利用所选择的应用层安全机制来传送信令消息。
如图5所示,方法300的协商阶段开始于在“发起”安全网关SEPP102A与“响应”安全网关SEPP 102B之间建立第一连接(方框302)。在该实施例中,第一连接被配置为提供对在发起安全网关与响应安全网关之间传送的消息的完整性保护。然后,发起SEPP 102A向响应SEPP 102B发送请求消息(方框304)。如前所述,在该实施例中,请求消息包括标识被发起SEPP 102A支持的安全机制的信息。在一些实施例中,安全机制被排序。然后,方法300要求发起SEPP 102A从响应SEPP 102B接收响应消息(方框306)。根据该实施例,响应消息包括标识由响应SEPP 102B选择的安全机制的信息。附加地,响应SEPP 102B被配置为从被发起SEPP102A支持的安全机制中选择要使用的安全机制。
发起和响应SEPP 102A、102B被配置为在通信阶段中针对正在进行的通信利用所选择的安全机制。特别地,在发起SEPP 102A与响应SEPP102B之间建立第二连接(例如N32-F连接)(方框308)。如此连接后,发起和响应SEPP 102A、102B利用在协商阶段中选择的应用安全机制来传送信令消息。上面公开的任何方面都可以被包括在图5的示例方法中。
图6是示出根据本公开的一个实施例的在响应SEPP 102B处实现的与发起SEPP102A协商安全机制的方法400的流程图。类似于结合图5描述的方法300,SEPP 102A、102B是在不同PLMN(例如PLMN 12,14)中的安全网关。此外,响应SEPP 102B在两个阶段中实现方法400—即“协商”阶段,其中SEPP 102A、102B协商和选择应用层安全机制;以及“通信”阶段,其中SEPP 102A、102B利用所选择的应用层安全机制来传送信令消息。
如图6所示,方法400的协商阶段开始于在发起SEPP 102A与响应102B之间建立第一连接(方框402)。如上所述,第一连接被配置为提供对在发起SEPP 102A与响应SEPP 102B之间传送的消息的完整性保护。然后,响应SEPP 102B从发起SEPP 102A接收请求消息(方框404)。如上所述,请求消息包括标识被发起SEPP 102A支持的安全机制的信息。响应于接收到请求消息,方法400要求响应SEPP 102B从在请求消息中被标识的那些安全机制中选择要用于在发起与响应SEPP 102A、102B之间的正在进行的通信的安全机制(方框406)。如此选择后,方法400要求响应SEPP 102B向发起SEPP 102A发送响应消息(方框408)。在该实施例中,响应消息包括向发起SEPP 102A标识所选择的安全机制的信息。
如上所述,发起和响应SEPP 102A、102B被配置为在通信阶段中针对正在进行的通信利用所选择的应用安全机制。特别地,在发起SEPP102A与响应SEPP 102B之间建立第二连接(例如N32-F连接)(方框410)。如此连接后,发起和响应SEPP 102A、102B利用在协商阶段中选择的应用安全机制来传送信令消息(方框412)。上面公开的任何方面都可以被包括在图6的示例方法中。
注意,上述装置可以通过实现任何功能部件、模块、单元或电路来执行本文的方法和任何其他处理。在一个实施例中,例如装置包括被配置为执行方法图所示的步骤的相应一个或多个电路。在这点上,一个或多个电路可以包括专用于执行特定功能处理的电路和/或一个或多个微处理器以及存储器。例如,电路可以包括一个或多个微处理器或微控制器,以及可以包括数字信号处理器(DSP)、专用数字逻辑等的其他数字硬件。处理电路可以被配置为执行存储在存储器中的程序代码,存储器可以包括一种或几种类型的存储器,例如只读存储器(ROM)、随机存取存储器、高速缓冲存储器、闪存设备、光学存储设备等。在数个实施例中,存储在存储器中的程序代码可以包括用于执行一种或多种电信和/或数据通信协议的程序指令,以及用于执行本文描述的一种或多种技术的指令。在采用存储器的实施例中,存储器存储程序代码,该程序代码当由一个或多个处理器执行时执行本文描述的技术。
图7示出了根据本实施例的可以由发起SEPP 102A和响应SEPP 102B之一或两者执行的一些附加功能。特别地,如图7所示,发起SEPP 102A可以在请求消息中向响应SEPP102B指示要被选择的安全机制正在安全连接内被协商(方框420)。如前所述,可以以不同的方式做出这样的指示。在一个实施例中,例如,发起SEPP 102A在安全连接的受保护部分外部传送的消息报头中指示要被选择的安全机制正在被协商。在另一个实施例中,发起SEPP102A用安全协商模块的地址填充请求消息的地址字段。
此外,根据当前实施例,发起和响应SEPP 102A、102B被配置为保护在相应的第一和第二PLMN中布置的网络功能之间被传送的用户平面消息(方框422)。
在一些实施例中,发起和/或响应SEPP 102A、102B被配置为与因特网提供商所关联的互连节点协商安全机制(方框424)。例如,在一个实施例中,发起SEPP 102A在向响应SEPP 102B发送请求消息之前执行该协商。在另一个实施例中,响应SEPP 102B执行该协商作为选择适当安全机制的过程的一部分。但是,不管执行该功能的特定设备如何,这都允许安全协商穿过IPX 32,否则可根据安全策略而丢弃安全协商。
此外,在一个实施例中,协商可以包括与安全功能无关的特征(方框426)。例如,在运营商彼此租用IMSI空间的情况下,作为协商过程的一部分,响应SEPP 102B可以向发起SEPP 102A通知需要被联系以进行与一些IMSI相关的通信的第三SEPP。
如前所述,在某些情况下,安全机制选择所基于的安全策略可以改变。因此,本公开的实施例在检测到当前所选择的应用层安全机制应被改变(例如响应于安全策略的变化)时(方框430),将SEPP 102A和/或102B配置为在有效期内的任何时间单方面触发选择新的应用层安全机制(方框432)。
响应于选择新的应用层安全机制,当前实施例终止当前所选择的应用层安全机制已被应用到的所有连接(方框440),并且打开新的连接(方框444)。然后,新选择的应用层安全机制被应用于每个新打开的连接(方框446)。
图9示出了根据本公开的一个或多个实施例实现的网络节点500,例如安全网关(例如SEPP 102A、SEPP 102B)。如图9所示,网络节点500包括处理电路502和通信电路504。通信电路504被配置为经由任何通信技术向一个或多个其他网络节点(例如其他SEPP)发送信息和/或从一个或多个其他网络节点(例如其他SEPP)接收信息。这样的消息包括但不限于先前描述的在SEPP 102A与SEPP 102B之间传送的请求消息和响应消息。处理电路502被配置为例如通过执行被存储在存储器506中的指令(例如控制程序)508来执行上述处理,并且在一个实施例中,被配置为实现特定功能部件、单元或模块,例如下面图10所示。
图10是根据本公开的一个或多个实施例的在无线网络中工作的网络节点500中的处理电路502的功能框图。如图10所示,网络节点500例如经由处理电路502和/或经由软件代码来实现各种功能部件、单元或模块。例如用于实现本文方法的这些功能部件、单元或模块包括例如发送模块/单元510、接收模块/单元512、选择模块/单元514以及通信模块/单元516。这些模块/单元510、512、514、516中的每一个都根据本文公开的实施例来配置以实现先前描述的本公开的各方面。
特别地,发送模块/单元510被配置为向另一个网络节点500(例如SEPP 102A、102B)发送消息。如前所述,消息可以是由发起SEPP 102A发送的请求消息,或者是由接收到请求消息的响应SEPP 102B发送的响应消息。请求消息包括指示例如被发送请求消息的网络节点500支持的特定安全机制的数据和信息。响应消息包括向发起网络节点500指示这些安全机制中的哪一种已被发送响应消息的网络节点500选择的数据和信息。接收模块/单元512被配置为接收由发起网络节点500发送的包括所支持的安全机制的请求消息,以及接收标识所选择的安全机制的响应消息。
选择模块/单元514被配置为从在请求消息中标识的安全机制中选择一种或多种安全机制,如前所述。一旦已选择,网络节点500便生成响应消息,该响应消息包括向发起网络节点500指示所选择的安全机制的信息。
通信模块/节点516被配置为利用由网络节点500协商的所选择的安全机制来传送信令和/或用户平面业务数据。
本领域普通技术人员还将理解,本文的实施例还包括对应的计算机程序,例如图7所示的控制程序508。根据本公开,控制程序508包括指令,这些指令当在装置的至少一个处理器(例如图9-10所示的网络节点500上的处理电路502)上执行时使得该装置执行上述任何相应的处理。在这点上,控制程序508可以包括对应于上述部件或单元的一个或多个代码模块。
实施例还包括包含这种计算机程序508的载体。该载体可以包括电信号、光信号、无线电信号或计算机可读存储介质中的一个。
在这点上,本文的实施例还包括一种计算机程序产品,其被存储在非瞬时性计算机可读(存储或记录)介质上并且包括指令,这些指令当由装置的处理器执行时使得该装置(例如网络节点500)执行如上所述的本实施例的功能。
实施例还包括一种计算机程序产品,其包括程序代码部分,这些程序代码部分用于在该计算机程序产品由计算设备执行时执行本文的任何实施例的步骤。该计算机程序产品可以被存储在计算机可读记录介质(例如存储器506)上。
通常,本文中使用的所有术语将根据其在相关技术领域中的普通含义来解释,除非在使用该术语的上下文中清楚地给出了和/或隐含了不同的含义。除非明确说明,否则对一/一个/该元件、装置、组件、部件、步骤等的所有引用应公开地解释为是指该元件、装置、组件、部件、步骤等的至少一个实例。本文所公开的任何方法的步骤不必以所公开的确切顺序执行,除非显式地将一个步骤描述为在另一个步骤之后或之前和/或隐含地一个步骤必须在另一个步骤之后或之前。在适当的情况下,本文公开的任何实施例的任何特征可以应用于任何其他实施例。同样,任何实施例的任何优点可以适用于任何其他实施例,反之亦然。通过下面的描述,所附实施例的其他目的、特征和优点将显而易见。
术语“单元”可以具有在电子产品、电气设备和/或电子设备领域中的常规含义,并且可以包括例如用于执行如本文所述的相应任务、过程、计算、输出和/或显示功能等的电气和/或电子电路、设备、模块、处理器、存储器、逻辑固态和/或分立器件、计算机程序或指令。
参考附图更全面地描述了本文构想的一些实施例。但是,其他实施例包含在本文公开的主题的范围内。所公开的主题不应被解释为仅限于本文阐述的实施例;相反,这些实施例仅通过示例的方式提供以将主题的范围传达给本领域技术人员。
Claims (37)
1.一种用于与响应安全网关(102B)协商安全机制的方法(300),所述方法包括:
在协商阶段中:
在发起安全网关(102A)与所述响应安全网关之间建立(302)第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;
在所述第一连接上向所述响应安全网关发送(304)请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;
在所述第一连接上从所述响应安全网关接收(306)响应消息,其中,所述响应消息标识由所述响应安全网关从被所述发起安全网关支持的所述一种或多种安全机制中选择的应用层安全机制;
在通信阶段中:
使用所选择的应用层安全机制与所述响应安全网关传送(310)信令消息。
2.根据权利要求1所述的方法,其中,所述第一连接是受完整性保护的传输层安全TLS连接。
3.根据权利要求1所述的方法,其中,所述第一连接是受完整性保护的网际协议安全IPsec连接。
4.根据前述权利要求中任一项所述的方法,还包括:在所述通信阶段中:
在所述发起安全网关与所述响应安全网关之间建立(308)第二连接;以及
使用所选择的应用层安全机制在所述第二连接上与所述响应安全网关传送所述信令消息。
5.根据权利要求4所述的方法,其中,所述第二连接是N32-F连接。
6.根据前述权利要求中任一项所述的方法,其中,所述应用层安全是N32应用层安全。
7.根据权利要求4所述的方法,其中,使用所选择的应用层安全机制与所述响应安全网关传送信令消息包括:保护在与相应的不同公共陆地移动网络PLMN(12,14)相关联的网络功能之间传送的所述信令消息。
8.根据前述权利要求中任一项所述的方法,还包括:保护在相应的第一和第二不同的公共陆地移动网络PLMN中的网络功能之间传送的用户平面业务消息。
9.根据前述权利要求中任一项所述的方法,其中,所述一种或多种安全机制是根据所述发起安全网关和所述响应安全网关之一或两者的偏好来排序的。
10.根据前述权利要求中任一项所述的方法,其中,所述一种或多种安全机制包括一种或多种安全协议。
11.根据前述权利要求中任一项所述的方法,其中,所述协商阶段由安全边缘保护代理SEPP来执行。
12.根据前述权利要求中任一项所述的方法,其中,所述协商阶段由以下中的一项来执行:
网络资源功能NRF;
网络开放功能NEF;
网络服务器设备。
13.根据前述权利要求中任一项所述的方法,还包括:向所述响应安全网关指示要被选择的所述安全机制正在安全连接内被协商。
14.根据权利要求13所述的方法,其中,向所述响应安全网关指示要被选择的所述安全机制正在安全连接内被协商包括:在所述安全连接的受保护部分的外部传送的消息报头中指示要被选择的所述安全机制正在被协商。
15.根据权利要求13所述的方法,其中,向所述响应安全网关指示要被选择的所述安全机制正在安全连接内被协商包括:用安全协商模块的地址来填充所述请求消息的地址字段。
16.根据前述权利要求中任一项所述的方法,还包括:
检测所选择的应用层安全机制应被改变;以及
在预定时段内触发选择新的应用层安全机制。
17.根据前述权利要求中任一项所述的方法,还包括:在向所述响应安全网关发送所述请求消息之前,与因特网提供商所关联的互连节点协商所述应用层安全机制。
18.一种网络节点(500),用于与响应安全网关(102B)协商安全机制,所述发起安全网关包括:
通信接口电路(504),被配置为在一个或多个连接上与所述响应安全网关传送消息;以及
处理电路(502),在操作上被连接到所述通信接口电路并且被配置为:
在协商阶段中:
在发起安全网关与所述响应安全网关之间建立(302)第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;
在所述第一连接上向所述响应安全网关发送(304)请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;以及
在所述第一连接上从所述响应安全网关接收(306)响应消息,其中,所述响应消息标识由所述响应安全网关从被所述发起安全网关支持的所述一种或多种安全机制中选择的应用层安全机制;以及
在通信阶段中:
使用所选择的应用层安全机制与所述响应安全网关传送(310)信令消息。
19.一种用于与发起安全网关(102A)协商安全机制的方法(400),所述方法包括:
在协商阶段中:
在所述发起安全网关与响应安全网关(102B)之间建立(402)第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;
在所述第一连接上从所述发起安全网关接收(404)请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;
从被所述发起安全网关支持的所述一种或多种安全机制中选择(406)应用层安全机制;以及
在所述第一连接上向所述发起安全网关发送(408)响应消息,其中,所述响应消息标识由所述响应安全网关选择的所述应用层安全机制;以及
在通信阶段中:
使用所选择的应用层安全机制与所述发起安全网关传送(412)信令消息。
20.根据权利要求19所述的方法,其中,所述请求消息和所述响应消息之一或两者包括协议的受完整性保护的消息。
21.根据前述权利要求中任一项所述的方法,还包括:
在所述发起安全网关与所述响应安全网关之间建立(410)第二连接,其中,所述第二连接不同于所述第一连接;以及
在所述第二连接上使用所选择的应用层安全机制与所述发起安全网关传送所述信令消息。
22.根据前述权利要求中任一项所述的方法,其中,选择所述应用层安全机制包括:基于所述响应安全网关的本地策略来选择所述应用层安全机制。
23.根据前述权利要求中任一项所述的方法,其中,选择所述应用层安全机制包括:基于所述发起安全网关的本地策略来选择所述应用层安全机制。
24.根据前述权利要求中任一项所述的方法,其中,选择所述应用层安全机制包括:基于所述发起安全网关的偏好顺序来选择所述应用层安全机制。
25.根据前述权利要求中任一项所述的方法,其中,选择所述应用层安全机制包括:与因特网提供商所关联的互连节点协商所述应用层安全机制。
26.根据前述权利要求中任一项所述的方法,还包括:协商与安全性无关的一个或多个特征。
27.根据权利要求26所述的方法,其中,协商与安全性无关的一个或多个特征包括:向所述发起安全网关通知作为所述安全协商的一部分,另一个安全网关将要被联系。
28.根据前述权利要求中任一项所述的方法,其中,所述响应消息还标识被所述发起安全网关支持的所述一种或多种安全机制。
29.根据前述权利要求中任一项所述的方法,其中,选择所述应用层安全机制包括:选择用于PLMN中的所有网络功能的所述应用层安全机制。
30.根据前述权利要求中任一项所述的方法,其中,选择所述应用层安全机制包括:选择用于网络功能的所述应用层安全机制而与一个或多个其他网络功能无关。
31.根据前述权利要求中任一项所述的方法,其中,只要所述第一连接被维持,所选择的所述应用层安全机制就有效。
32.根据前述权利要求中任一项所述的方法,其中,选择所述应用层安全机制包括:周期性地选择新的应用层安全机制。
33.根据权利要求32所述的方法,其中,响应于选择新的应用层安全机制,所述方法包括:
终止当前选择的应用层安全机制已被应用到的所有连接;
打开新的连接;以及
将所述新的应用层安全机制应用于每个所述新的连接。
34.根据前述权利要求中任一项所述的方法,其中,所述响应消息使用对应的符号标识符来标识由所述响应安全网关选择的所述应用层安全机制。
35.一种网络节点(500),用于与发起安全网关(102A)协商安全机制,所述网络节点包括:
通信接口电路(504),被配置为在一个或多个连接上与发起安全网关传送消息;以及
处理电路(502),在操作上被连接到所述通信接口电路并且被配置为:
在协商阶段中:
在所述发起安全网关与所述响应安全网关之间建立(402)第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;
在所述第一连接上从所述发起安全网关接收(404)请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;从被所述发起安全网关支持的所述一种或多种安全机制中选择(406)应用层安全机制;以及在所述第一连接上向所述发起安全网关发送(408)响应消息,其中,所述响应消息标识由所述响应安全网关选择的所述应用层安全机制;
在通信阶段中:
使用所选择的应用层安全机制与所述发起安全网关传送(412)信令消息。
36.一种非瞬时性计算机可读介质(506),包括被存储在其上的指令(508),其中,当所述指令由网络节点(500)的处理电路(502)执行时使得所述网络节点:
在协商阶段中:
在发起安全网关与所述响应安全网关之间建立(302)第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;
在所述第一连接上向所述响应安全网关发送(304)请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;以及
在所述第一连接上从所述响应安全网关接收(306)响应消息,其中,所述响应消息标识由所述响应安全网关从被所述发起安全网关支持的所述一种或多种安全机制中选择的应用层安全机制;以及
在通信阶段中:
使用所选择的应用层安全机制与所述响应安全网关传送(308)信令消息。
37.一种非瞬时性计算机可读介质(506),包括存储在其上的指令(508),其中,当所述指令由网络节点(500)的处理电路(502)执行时使得所述网络节点:
在协商阶段中:
在所述发起安全网关与所述响应安全网关之间建立(402)第一连接,其中,所述第一连接被配置为提供对在所述发起安全网关与所述响应安全网关之间传送的消息的完整性保护;
在所述第一连接上从所述发起安全网关接收(404)请求消息,其中,所述请求消息标识被所述发起安全网关支持的一种或多种安全机制;
从被所述发起安全网关支持的所述一种或多种安全机制中选择(406)应用层安全机制;以及
在所述第一连接上向所述发起安全网关发送(408)响应消息,其中,所述响应消息标识由所述响应安全网关选择的所述应用层安全机制;以及
在通信阶段中:
使用所选择的应用层安全机制与所述发起安全网关传送(412)信令消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862632415P | 2018-02-19 | 2018-02-19 | |
| US62/632,415 | 2018-02-19 | ||
| PCT/EP2019/053865 WO2019158716A1 (en) | 2018-02-19 | 2019-02-15 | Security negotiation in service based architectures (sba) |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111742529A true CN111742529A (zh) | 2020-10-02 |
| CN111742529B CN111742529B (zh) | 2023-03-10 |
Family
ID=65440989
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980014066.7A Active CN111742529B (zh) | 2018-02-19 | 2019-02-15 | 基于服务的架构(sba)中的安全协商 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20210014284A1 (zh) |
| EP (1) | EP3756326B1 (zh) |
| CN (1) | CN111742529B (zh) |
| DK (1) | DK3756326T3 (zh) |
| ES (1) | ES2887323T3 (zh) |
| PL (1) | PL3756326T3 (zh) |
| WO (1) | WO2019158716A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114531675A (zh) * | 2020-11-06 | 2022-05-24 | 华为技术有限公司 | 一种通信方法、相关装置和系统 |
| CN114826627A (zh) * | 2021-01-13 | 2022-07-29 | 中国电信股份有限公司 | 信息传输方法、企业安全网关和系统 |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6966624B2 (ja) * | 2018-02-21 | 2021-11-17 | 株式会社Nttドコモ | 無線通信システム、セキュリティプロキシ装置及び中継装置 |
| WO2020053480A1 (en) * | 2018-09-10 | 2020-03-19 | Nokia Technologies Oy | Method and apparatus for network function messaging |
| CN114024664B (zh) * | 2020-07-17 | 2022-10-18 | 华为技术有限公司 | 安全通信方法、相关装置及系统 |
Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1871834A (zh) * | 2003-09-30 | 2006-11-29 | 诺基亚公司 | 提供通信网之间安全通信的方法和系统 |
| CN1984044A (zh) * | 2006-06-12 | 2007-06-20 | 华为技术有限公司 | 一种h.248协议传输安全机制的协商方法 |
| CN101222503A (zh) * | 2008-01-25 | 2008-07-16 | 中兴通讯股份有限公司 | 用于实现媒体流安全的安全参数产生方法和装置 |
| CN101273571A (zh) * | 2006-02-16 | 2008-09-24 | 中兴通讯股份有限公司 | 跨域多网守分组网络密钥协商安全策略的实现方法 |
| US20080310448A1 (en) * | 2007-06-14 | 2008-12-18 | Research In Motion Limited | Apparatus, and associated method, for selecting and negotiating frame size of communication data communicated in a radio communication system |
| CN101330376A (zh) * | 2007-06-22 | 2008-12-24 | 华为技术有限公司 | 安全算法的协商方法 |
| CN101478755A (zh) * | 2009-01-21 | 2009-07-08 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| WO2009094813A1 (fr) * | 2008-01-23 | 2009-08-06 | Zte Corporation | Procédé et appareil de négociation de paramètres de sécurité pour sécuriser le flux multimédia |
| CN102215211A (zh) * | 2010-04-02 | 2011-10-12 | 中兴通讯股份有限公司 | 通信方法、支持可信网络接入的安全策略协商方法及系统 |
| CN106998549A (zh) * | 2016-01-25 | 2017-08-01 | 中兴通讯股份有限公司 | IPSec隧道的建立方法及装置、终端和网络侧设备 |
| CN107637160A (zh) * | 2015-05-18 | 2018-01-26 | 英特尔Ip公司 | 漫游场景中优选hplmn的epdg选择的设备、系统和方法 |
| CN110366159A (zh) * | 2018-04-09 | 2019-10-22 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9361432B2 (en) * | 2014-01-15 | 2016-06-07 | Hewlett-Packard Development Company, L.P. | Configuring a security setting for a set of devices using a security policy |
-
2019
- 2019-02-15 WO PCT/EP2019/053865 patent/WO2019158716A1/en active Search and Examination
- 2019-02-15 PL PL19705519T patent/PL3756326T3/pl unknown
- 2019-02-15 US US16/968,232 patent/US20210014284A1/en not_active Abandoned
- 2019-02-15 DK DK19705519.7T patent/DK3756326T3/da active
- 2019-02-15 CN CN201980014066.7A patent/CN111742529B/zh active Active
- 2019-02-15 EP EP19705519.7A patent/EP3756326B1/en active Active
- 2019-02-15 ES ES19705519T patent/ES2887323T3/es active Active
Patent Citations (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1871834A (zh) * | 2003-09-30 | 2006-11-29 | 诺基亚公司 | 提供通信网之间安全通信的方法和系统 |
| CN101273571A (zh) * | 2006-02-16 | 2008-09-24 | 中兴通讯股份有限公司 | 跨域多网守分组网络密钥协商安全策略的实现方法 |
| CN1984044A (zh) * | 2006-06-12 | 2007-06-20 | 华为技术有限公司 | 一种h.248协议传输安全机制的协商方法 |
| US20080310448A1 (en) * | 2007-06-14 | 2008-12-18 | Research In Motion Limited | Apparatus, and associated method, for selecting and negotiating frame size of communication data communicated in a radio communication system |
| CN101330376A (zh) * | 2007-06-22 | 2008-12-24 | 华为技术有限公司 | 安全算法的协商方法 |
| WO2009094813A1 (fr) * | 2008-01-23 | 2009-08-06 | Zte Corporation | Procédé et appareil de négociation de paramètres de sécurité pour sécuriser le flux multimédia |
| CN101222503A (zh) * | 2008-01-25 | 2008-07-16 | 中兴通讯股份有限公司 | 用于实现媒体流安全的安全参数产生方法和装置 |
| CN101478755A (zh) * | 2009-01-21 | 2009-07-08 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| CN102215211A (zh) * | 2010-04-02 | 2011-10-12 | 中兴通讯股份有限公司 | 通信方法、支持可信网络接入的安全策略协商方法及系统 |
| CN107637160A (zh) * | 2015-05-18 | 2018-01-26 | 英特尔Ip公司 | 漫游场景中优选hplmn的epdg选择的设备、系统和方法 |
| CN106998549A (zh) * | 2016-01-25 | 2017-08-01 | 中兴通讯股份有限公司 | IPSec隧道的建立方法及装置、终端和网络侧设备 |
| CN110366159A (zh) * | 2018-04-09 | 2019-10-22 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
Non-Patent Citations (2)
| Title |
|---|
| ""S3-180028"", 《3GPP TSG_SA\WG3_SECURITY》 * |
| 高翔等: "IKEv2协议安全性分析与改进", 《计算机应用》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114531675A (zh) * | 2020-11-06 | 2022-05-24 | 华为技术有限公司 | 一种通信方法、相关装置和系统 |
| CN114826627A (zh) * | 2021-01-13 | 2022-07-29 | 中国电信股份有限公司 | 信息传输方法、企业安全网关和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| DK3756326T3 (da) | 2021-09-06 |
| EP3756326B1 (en) | 2021-08-04 |
| US20210014284A1 (en) | 2021-01-14 |
| WO2019158716A1 (en) | 2019-08-22 |
| PL3756326T3 (pl) | 2022-02-14 |
| ES2887323T3 (es) | 2021-12-22 |
| CN111742529B (zh) | 2023-03-10 |
| EP3756326A1 (en) | 2020-12-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111742529B (zh) | 基于服务的架构(sba)中的安全协商 | |
| JP4966432B2 (ja) | 非3gppアクセスネットワーク経由のアクセス | |
| CN107836104B (zh) | 与机器设备进行互联网络通信的方法和系统 | |
| US11038923B2 (en) | Security management in communication systems with security-based architecture using application layer security | |
| EP3759870B1 (en) | Network slicing with smart contracts | |
| CN112584371B (zh) | 漫游信令消息发送的方法、相关设备和通信系统 | |
| US8839378B2 (en) | Interworking between first and second authentication domains | |
| EP2950509B1 (en) | Handling stray session requests in a network environment | |
| CN112887941B (zh) | 使用ott服务的基于基础设施的d2d连接建立 | |
| WO2018138656A1 (en) | Accessing a privately hosted application from a device connected to a wireless network | |
| US20210044678A1 (en) | Optimized quic fallback on access networks and endpoints | |
| WO2023046457A1 (en) | Restricting onboard traffic | |
| CN109787799B (zh) | 一种服务质量QoS控制方法及设备 | |
| JP2023529951A (ja) | 安全な通信方法、関連する装置、およびシステム | |
| CN107211385B (zh) | 一种profile下载和激活方法、集成电路卡及系统 | |
| ES2784795T3 (es) | Técnicas para iniciar un enlace de comunicación de itinerancia con un equipo de usuario en una red de comunicación visitada | |
| EP4068824A1 (en) | Security enforcement and assurance utilizing policy control framework and security enhancement of analytics function in communication network | |
| US9332015B1 (en) | System and method for providing error handling in an untrusted network environment | |
| WO2022067736A1 (zh) | 一种通信方法及装置 | |
| JP2015041970A (ja) | 通信システム、通信方法、および、通信プログラム | |
| CN117652125A (zh) | 分布式网络边缘安全架构 | |
| CA3090132A1 (en) | Application service virtual circuit |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |