CN113039765B - 用于网络功能之间的安全消息收发的方法和装置 - Google Patents
用于网络功能之间的安全消息收发的方法和装置 Download PDFInfo
- Publication number
- CN113039765B CN113039765B CN201980074810.2A CN201980074810A CN113039765B CN 113039765 B CN113039765 B CN 113039765B CN 201980074810 A CN201980074810 A CN 201980074810A CN 113039765 B CN113039765 B CN 113039765B
- Authority
- CN
- China
- Prior art keywords
- message
- protocol message
- inter
- network
- content unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
- H04L67/564—Enhancement of application control based on intercepted application data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0471—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying encryption by an intermediary, e.g. receiving clear information at the intermediary and encrypting the received information at the intermediary before forwarding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
根据示例方面,提供了一种装置,该装置是安全性边缘代理,该安全性边缘代理被配置为针对两个核心网之间交换的数据实现应用层安全性,该装置被配置为至少:处理在装置中接收到的协议消息以基于接收到的协议消息来生成网络间消息,该网络间消息包括第一部分和第二部分,朝向第二安全性边缘代理发送网络间消息,其中第一部分是经完整性保护但没有被加密的并且包括接收到的协议消息的第一内容单元,其中第二部分是经完整性保护且被加密的,并且第二部分包括接收到的协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息内所位于的、协议消息中的位置。
Description
技术领域
各种示例实施例涉及网络功能消息收发(messaging)。
背景技术
该节说明了有用的背景信息,而不承认本文描述任何技术代表现有技术。
在5G中,基于服务的架构被引入以将服务建模为使用RESTful API彼此通信的网络功能(NF)。在两个通信NF位于两个不同的PLMN中的场景中,通信是通过两个参与的PLMN之间的漫游接口而发生的。
为了保护通过漫游接口发送的消息中的特定于NF的内容,每个5G PLMN具有作为实体的安全性边缘代理(SEPP),该实体位于PLMN网络外围并充当保护离开网络的所有业务的网关。SEPP针对服务层处的两个网络间NF之间交换的数据实现应用层安全性。
应用层安全性涉及保护在HTTP消息的各个部分中发送的信息,包括HTTP请求/响应行、HTTP报头和HTTP有效载荷。然而,该消息的一些部分可能需要由两个SEPP之间的中间件(IPX提供者)修改。
发明内容
示例的各种方面在权利要求中被陈述。
根据本公开的第一方面,提供了一种装置,该装置是安全性边缘代理,该安全性边缘代理被配置为针对两个核心网之间交换的数据实现应用层安全性,该装置包括至少一个处理核心、包括计算机程序代码的至少一个存储器,该至少一个存储器和计算机程序代码被配置为与至少一个处理核心一起,使该装置至少:处理在装置中接收到的协议消息以基于接收到的协议消息来生成网络间消息,该网络间消息包括第一部分和第二部分,朝向第二安全性边缘代理发送网络间消息,其中第一部分是经完整性保护但没有被加密的并且包括接收到的协议消息的第一内容单元,其中第二部分是经完整性保护且被加密的,并且第二部分包括接收到的协议消息的第二内容单元以及对应路的径单元,该对应的路径单元指示第二内容单元在协议消息内所位于的、协议消息中的位置。
第一方面的各种实施例可以包括来自以下项目符号列表的至少一个特征:
·协议是超文本传输协议。
·两个核心网是蜂窝通信网络核心网。
·第一部分不包括对第二内容单元在第二部分中的位置的指示。
·第一部分包括对第二内容单元的指示,其中第二内容单元的值由替换值或空字符串表示。
·该装置被配置为随机地生成替换值。
根据本公开的第二方面,提供了一种装置,该装置是安全性边缘代理,该安全性边缘代理被配置为针对两个核心网之间交换的数据实施应用层安全性,该装置包括至少一个处理核心、包括计算机程序代码的至少一个存储器,该至少一个存储器和计算机程序代码被配置为与至少一个处理核心一起使该装置至少:处理在装置中接收到的网络间消息以基于接收到的网络间消息来生成协议消息,该网络间消息包括第一部分和第二部分,以及朝向网络功能传输协议消息,其中第一部分是经完整性保护但没有被加密的并且包括协议消息的第一内容单元,其中第二部分是经完整性保护且被加密的,并且第二部分包括协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息内所位于的、协议消息中的位置。
根据本公开的第三方面,提供了一种方法,包括:处理在装置中接收到的协议消息以基于接收到的协议消息来生成网络间消息,该网络间消息包括第一部分和第二部分,以及朝向第二安全性边缘代理发送网络间消息,其中第一部分是经完整性保护但没有被加密的并且第二部分包括接收到的协议消息的第一内容单元,其中第二部分是经完整性保护且被加密的,并且第二部分包括接收到的协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息内所位于的、协议消息中的位置。
第三方面的各种实施例可以包括来自以下项目符号列表的至少一个特征:
·协议是超文本传输协议。
·第一部分不包括对第二内容单元在第二部分中的位置的指示。
·该方法在第一安全性边缘代理中被执行,该第一安全性边缘代理被配置为针对两个核心网之间交换的数据实现应用层安全性,并且两个核心网是蜂窝通信网络核心网。
·第一部分包括对第二内容单元的指示,其中第二内容单元的值由替换值或空字符串表示。
·该方法包括随机地生成替换值。
根据本公开的第四方面,提供了一种方法,包括:处理在装置中接收到的网络间消息以基于接收到的网络间消息来生成协议消息,该网络间消息包括第一部分和第二部分,以及朝向网络功能发送协议消息,其中第一部分是经完整性保护但没有被加密的并且包括协议消息的第一内容单元,其中第二部分是经完整性保护且被加密的,并且第二部分包括协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息内所位于的、指示协议消息中的位置。
根据本公开的第五方面,提供了一种非瞬态计算机可读介质,在其上存储有计算机可读指令集,该计算机可读指令集在由安全性边缘代理的至少一个处理器执行时使安全性边缘代理至少:处理在安全性边缘代理中接收到的协议消息以基于接收到的协议消息来生成网络间消息,该网络间消息包括第一部分和第二部分,以及朝向第二安全性边缘代理发送网络间消息,其中第一部分是经完整性保护但没有被加密的并且包括接收到的协议消息的第一内容单元,其中第二部分是经完整性保护且被加密的,并且第二部分包括接收到的协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息内所位于的、协议消息中的位置。
根据本公开的第六方面,提供了一种非瞬态计算机可读介质,在其上存储有计算机可读指令集,该计算机可读指令集在由安全性边缘代理的至少一个处理器执行时使安全性边缘代理至少:处理在安全性边缘代理中接收到的网络间消息以基于接收到的网络间消息来生成协议消息,该网络间消息包括第一部分和第二部分,朝向网络功能发送协议消息,其中第一部分是经完整性保护但没有被加密的并且包括协议消息的第一内容单元,其中第二部分是经完整性保护且被加密的,并且第二部分包括协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息内所位于的、协议消息中的位置。
根据本公开的第七方面,提供了一种计算机程序,被配置为在安全性边缘代理的处理器上运行时至少引起以下:处理在安全性边缘代理中接收到的协议消息以基于接收到的协议消息来生成网络间消息,该网络间消息包括第一部分和第二部分,以及朝向第二安全性边缘代理发送网络间消息,其中第一部分是经完整性保护但没有被加密的并且包括接收到的协议消息的第一内容单元,其中第二部分是经完整性保护且被加密的,并且第二部分包括接收到的协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息内所位于的、指示协议消息中的位置。
根据本公开的第八方面,提供了一种计算机程序,被配置为在安全性边缘代理的处理器上运行时至少引起以下:处理在安全性边缘代理中接收到的网络间消息以基于接收到的网络间消息来生成协议消息,该网络间消息包括第一部分和第二部分,以及朝向网络功能发送协议消息,其中第一部分是经完整性保护但没有被加密的并且包括协议消息的第一内容单元,其中第二部分是经完整性保护且被加密的,并且第二部分包括协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息内所位于的、协议消息中的位置。
附图说明
为了更完整地理解示例实施例,现在参照以下结合附图的描述,其中:
图1示出了示例实施例的系统的架构图;
图2示出了发送安全性边缘代理中的示例实施例的过程的流程图;
图3示出了接收安全性边缘代理中的示例实施例的过程的流程图;
图4示出了请求消息行进的示例;以及
图5示出了根据实施例的装置的框图。
具体实施方式
示例实施例及其潜在优点是通过参照附图的图1至5来理解的。在本文档中,相同的附图标记表示相同的部分或步骤。
图1示出了示例实施例的系统100的架构图。图1示出了配备有第一网络功能120的两个公共陆地移动网络PLMN 110,该第一网络功能120在发送情况下例如是接入和移动性功能(AMF)。PLMN分别还包括安全性边缘代理(SEPP)130。SEPP可以被包括在蜂窝通信网络的核心网中,例如诸如长期演进LTE或第五代5G核心网。一个PLMN的SEPP充当发送SEPP 130或sSEPP,并且另一个充当针对一个消息的接收SEPP 130或rSEPP。SEPP 130是处于运营方网络边界处的网络节点,它从网络功能AMF 120接收协议消息(诸如超文本传输协议HTTP消息,诸如HTTP请求或HTTP响应),为发送应用保护,并且通过诸如IP交换(IPX)140等中间节点链将重新格式化的消息转发给rSEPP 130。例如,对HTTP消息备选地,实时输送协议RTP消息可以被采用。SEPP可以彼此交换这种网络间消息,这可以基于遍历SEPP的相应核心网的协议消息。网络间消息可以被视为核心网的重新格式化的协议消息。
rSEPP 130被配置为从中间节点130接收网络间消息,重组(re-assemble)该消息(例如HTTP请求或响应),并朝向其运营方的网络内的第二网络功能转发经重组的协议消息,例如认证服务器功能(AUSF)150。网络间消息可以已经按照如本文所描述的该方式被修改。经重组的协议消息可以备选地被发送朝向第二网络的任何其他网络功能。
中间节点140或简称为中间件是例如运营方网络外部的网络节点,该网络节点(直接地或间接地经由其他中间件)从sSEPP 130接收网络间消息,sSEPP 130可以根据用于具有修改跟踪的完整性保护的方法选择性地修改网络间消息,并将该消息朝向另一中间件140或rSEPP 130转发。
rSEPP 130和sSEPP 130可以同时扮演这两个角色,并且它们的结构可能类似或相同,因此两者由相同的附图标记130表示,而它们在特定消息递送中的角色通过使用指示它们发送还是接收的前缀“s”或“r”而被标识。
根据一些实施例的数据重新布置(也称为重新格式化)是接下来描述的。假设协议消息是符合HTTP协议的HTTP消息,则该消息包括三个协议单元:
A)请求行(request line)或响应行。该请求行例如由1)HTTP方法、2)请求URI,以及3)协议标识符组成,该请求URI可以包含权限(主机和端口)、层次结构(hierarchical)部分、查询和片段部分。响应行例如由协议标识符、状态代码和状态文本组成。
B)HTTP报头集合
C)可选的有效载荷主体,例如被格式化为JSON或XML
所有这三个部分都可以包含通过HTTP被承载的较高层协议的参数,这对于用于读取和/或修改它们的中间件来说可能是有意义的。
针对每个部分,数据被重新布置(例如通过定义合适的中间JSON结构或JSON结构),使得两个保护方法中的一个保护方法可以被应用于它们:1)完整性保护、以及2)与加密相组合的完整性保护。
对不同部分的保护的方法可以被自由地选择,同时例如以下标准化方法被公开:
a.完整性保护:中间数据结构中的需要端到端e2e保护防止中间件修改的(多个)单元被签名,例如使用RFC 7520的JSON Web签名(JWS),或通常使用合适的公钥密码系统。
b.具有加密的完整性保护:需要完整性保护和加密的(多个)单元都可以被签名,如a)中一样,并使用合适的加密算法被译成密码。合适算法的示例包括公钥密码系统和对称密码。签名可以在加密之前或之后。
完整性保护,可选地还具有修改追踪,可以被配置为在修改结构中存储一个或多个修改以及诸如sSEPP 130或中间节点140的相应实体的签名(例如共同用于所有修改或单独用于每个修改)。修改结构包括修改链,在实施例中,该修改链逐中间件具有一个条目。在示例实施例中,每个修改链条目利用已经执行了修改的中间件的签名而被完整性保护。这样,rSEPP 130随后可以针对每个修改单独地确定它是否由授权中间件140执行以及是否符合针对该中间件的修改策略。
在实施例中,原始修改结构是动态的,使得每个中间节点140可以向经修改的项目添加新字段,从而形成增长的阵列。
图2示出了示例实施例的过程的流程图。该过程可以在诸如sSEPP等装置中或者在被配置为控制sSEPP的功能的控制设备中运行。
阶段210包括:处理在装置中接收到的协议消息以基于接收到的协议消息来生成网络间消息,该网络间消息包括第一部分和第二部分。
阶段220包括:朝向第二安全性边缘代理发送网络间消息。第一部分是经完整性保护但没有被加密的并且包括接收到的协议消息的第一内容单元(230),并且第二部分是经完整性保护且被加密的,并且第二部分包括接收到的协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息内(240)所位于的、协议消息中的位置。
在示例实施例中,修改结构由诸如转发网络间消息的第一中间节点的一些其他节点添加到网络间消息。
图3示出了示例实施例的过程的流程图。该过程可以在诸如rSEPP等装置中或者在被配置为控制rSEPP的功能的控制设备中运行。rSEPP 130执行:
阶段310包括:处理在装置中接收到的网络间消息以基于接收到的网络间消息来生成协议消息,该网络间消息包括第一部分和第二部分,并且阶段320包括:例如在rSEPP的核心网中朝向网络功能传输协议消息。
第一部分是经完整性保护但没有被加密的并且包括协议消息的第一内容单元,并且第二部分是经完整性保护且被加密的,并且第二部分包括协议消息的第二内容单元以及对应的路径单元,该对应的路径单元指示第二内容单元在协议消息(330和340)内所位于的、指示协议消息中的位置。
示例实施例是接下来描述的,其中:
sSEPP 130从第一网络功能120接收协议消息(例如HTTP消息),并进行以下:
sSEPP创建网络间消息(例如漫游消息),该消息包含两个部分:用于协议消息中的单元的一部分,根据预定义的策略,该第一部分需要完整性保护而无需加密;以及用于协议消息中的单元的第二部分,根据预定义的策略,该第二部分需要具有加密的完整性保护。因此,第一部分是经完整性保护但没有被加密的,并且第二部分是经完整性保护且被加密的。第一部分、协议消息中的对于诸如节点140的中间节点易读的单元,可以由这种节点来修改。这些节点可以向网络间消息添加补丁,这些补丁描述了(多个)中间节点所请求的向第一部分的(多个)单元的改变。第一部分中的单元可以被称为第一内容单元,并且第二部分中的单元可以被称为第二内容单元。一旦rSEPP接收到具有补丁的网络间消息,它可以验证改变是否是可允许的,然后在从网络间消息重新构成协议消息时应用改变。
在当前设想的解决方案中,通过在未加密的第一部分的明文(clear text)中插入形式{“encBlockIdx”:<num>}的引用,网络间消息的加密的第二部分中的经加密的单元(例如“dataToIntegrityProtectAndCipher”)从网络间消息的明文部分(即,第一部分)(例如“clearTextEncapsulatedMessage”)被引用。当其重新格式化原始协议消息时,该引用通过发送SEPP、sSEPP而被添加。
当前设想的解决方案的潜在问题是协议消息的原始发送器可能会错误地或恶意地在接收SEPP处引起对接收到的消息的错误解译。例如,如果原始HTTP消息恰好包含形式{“encBlockIdx”:<num>}的属性值,并且另外,发送SEPP将这种引用插入经加密的属性值,这可能会导致接收SEPP侧的错误解译,并因此导致错误甚或可能支持了攻击。例如,如果原始消息已经包含{“encBlockIdx”:1},并且发送SEPP添加了另一单元{“encBlockIdx”:1},则接收SEPP可能会无意中将{“encBlockIdx”:1}都仅替换为经解密的值。
如果中间节点没有基于经重新格式化的消息(例如“dataToIntegrityProtectAndCipher”)的经加密部分中的条目通过补丁操作对网络间消息的明文部分(例如“clearTextEncapsulatedMessage”块)进行修改,这也很有用。设想的解决方案允许做到这一点,因为经加密的值在经加密的块中的位置由引用来揭示,该引用由发送SEPP在消息的明文区段中插入。经加密的值的位置可以在第一部分中作为对要被完整性保护和加密的单元阵列的明文索引而被呈现(例如“dataToIntegrityProtectAndCipher”),即,第一部分中的索引指向第二部分中的位置。
为了解决这个问题,sSEPP可以从第一部分中省略对特定的第二内容单元在加密的第二部分中的位置的指示。因此,网络间消息的没有加密的部分不包括经加密的单元在第二经加密的部分中的位置,诸如索引。相反,特定的第二内容单元在原始协议消息中的位置(例如路径)可以专门地被包括在网络间消息的第二加密部分中。因此,第二部分封装了寻址其值将被加密的属性的信息(例如路径)以及经加密的值本身。这支持在rSEPP中重构协议消息。
在一个实施例中,第二部分(例如“dataToIntegrityProtectAndCipher”)包含符合JSON补丁(RFC 6902)格式的补丁操作阵列。每个操作都包括JSON指针路径(RFC 6901),该路径标识HTTP消息中的特定值。在另一实施例中,JSON合并补丁格式(RFC 7386)被用于表示其结构中的经加密的值。该操作支持在rSEPP上重构原始协议消息。在再一实施例中,多个JSON合并补丁片段被采用。在又一实施例中,在XML格式化消息的情况下,在RFC 5621中定义的格式可以被代替使用,该格式使用Xpath来编码位置信息。
针对包含需要在HTTP消息中进行加密的两个属性的消息:a)HTTP报头中的Hdr2以及b)HTTP有效载荷中的IE3,以下JSON补丁文档捕获:a)属性在重新格式化的HTTP消息中的位置,被表示为JSON指针,b)需要在两个SEPP之间进行端到端加密的属性值,以及c)“替换”操作,该操作将重新格式化的消息的clearTextEncapsulatedMessage部分中的属性的现有值替换为在dataToIntegrityProtectAndCipher块中封装的属性的值
阵列中的第一条目是替换操作,以将“Hdr2”中的现有属性值替换为“Hdr_value”。第二条目对HTTP有效载荷中的信息单元IE3执行类似的操作。发送SEPP可以首先利用上述两个操作在网络间消息中创建dataToIntegrityProtectAndCipher块,然后利用例如JSONWeb加密(JWE)将其译成密码。因此,信息的两个关键部分(位置和属性值)在发送SEPP和接收SEPP之间被端到端加密。
一旦原始属性值被封装在第二部分中,则在一些实施例中,下一步骤是在第一部分中移除属性值。属性值可以被替换为合适的替换值,诸如空字符串、空结构或数字零。在一些实施例中,替换属性值可以被替换为合适的(例如随机的或虚拟的)值,该值用于隐藏该属性被译成密码的事实。备选地,空字符串(“”)可以被用作替换。
图4示出了消息的示例。图4图示了原始HTTP消息(即,第一消息)在由sSEPP 130在边缘处并且通过漫游接口进行处理时如何被变换(变换为第二消息)。这是基于JSON补丁和JSON指针封装信息的密码集合的示例。rSEPP 130验证接收到的网络间消息,并从其重组HTTP消息。
图4描绘了在dataToIntegrityProtectAndCipher块中封装的两个基于JSON补丁的“替换”操作。第一操作将HTTP报头中的一个报头Hdr2的值替换为“Hdr_value”。第二操作将有效载荷IE2中的属性中的一个属性替换为值“IE2_Value”。这两个操作由发送SEPP在dataToIntegrityProtectAndCipher块中插入。如S3-182700中所描述的,该数据块作为纯文本值被输入到JSON Web加密(JWE)。JWE产生的是密文,该密文也受完整性保护。只有接收SEPP具有解密dataToIntegrityProtectAndCipher块所需的密钥。因此,该块中的值是对包括授权的IPX节点的所有中间件隐藏的。取决于部署方案,在第三代合作伙伴项目3GPP N32接口上进行交互的SEPP中的一个SEPP可能在发行版15中,并使用基于引用的协议的较旧版本。具有应用层安全性协议的发行版16版本的SEPP必须向后兼容并支持协议的发行版15版本。
在示例实施例中,rSEPP还确定了修改结构所包括的哪些修改是可接受的;仅利用可接受的修改修改前几个单元;并在可接受的修改范围内使用修改结构执行重新构成的协议消息的构造。
图5示出了根据实施例的装置500的框图。该装置可以被用作第一网络功能120、SEPP 130、中间节点140或第二网络功能150。
装置500包括存储器530和工作存储器534,该存储器530包括持久性存储器532,该持久性存储器532包括计算机程序代码5322和数据5324。装置500还包括用于使用计算机程序代码5322控制装置500的操作的处理器520以及用于与其他实体进行通信的通信电路系统510。通信电路系统510包括例如局域网(LAN)端口;无线局域网(WLAN)电路系统;蓝牙电路系统;蜂窝数据通信电路系统;或卫星数据通信电路系统。处理器520包括例如以下中的任何一个或多个:主控制单元(MCU);微处理器;数字信号处理器(DSP);专用集成电路(ASIC);现场可编程门阵列;以及微控制器。在示例实施例中,处理器520包括处理电路系统,该处理电路系统包括以下中的任何一个或多个:主控制单元(MCU);微处理器;数字信号处理器(DSP);专用集成电路(ASIC);现场可编程门阵列;以及微控制器。处理器可以由一个或多个处理元件形成。在示例实施例中,处理元件是分布式的。在另一示例实施例中,处理元件由一个接合元件组成。
如在本申请中所使用的,术语“电路系统”可以指代以下中的一个或多个或者所有:
(a)仅硬件电路实施方式(诸如仅在模拟和/或数字电路系统中的实施方式)以及;
(b)硬件电路和软件的组合,诸如(如果适用的话):
(i)(多个)模拟和/或数字硬件电路与软件/固件的组合;
以及
(ii)具有软件(包括(多个)数字信号处理器)、软件和(多个)存储器的(多个)硬件处理器的任何部分,这些部分共同工作以使诸如移动电话或服务器等装置执行各种功能);以及(c)需要软件(例如固件)才能操作的(多个)硬件电路和/或(多个)处理器,诸如(多个)微处理器或(多个)微处理器的一部分,但在不需要操作时该软件可能不存在。
电路系统的这种定义适用于本申请中该术语的所有使用,包括在任何权利要求中。作为又一示例,如在本申请中所使用的,术语电路系统也将覆盖仅硬件电路或处理器(或多个处理器)或者硬件电路或处理器的一部分及其(或它们的)伴随的软件和/或固件的实施方式。例如并且如果适用于特定权利要求元件的话,则术语电路系统还将覆盖用于服务器、蜂窝网络设备或者其他计算或网络设备中的移动设备或类似的集成电路的基带集成电路或处理器集成电路。
在不以任何方式限制下面出现的权利要求的范围、解释或应用的情况下,本文公开的一个或多个示例实施例的技术效果是网络间网络功能消息收发可以被灵活地保护。本文公开的一个或多个示例实施例的另一技术效果是,如上所述,攻击向量是封闭的,并且网络间接口对于网络间消息的意外误解具有更大的弹性。进一步地,中间件IPX节点被防止对网络间消息的明文(第一)部分进行基于第二加密部分的补丁修改。之所以如此,是因为元素在第二部分中的位置是通过仅指示协议消息中的每个第二元素在第二部分中的位置来隐藏的。
实施例可以以软件、硬件、应用逻辑或软件、硬件和应用逻辑的组合来实施。在示例实施例中,应用逻辑、软件或指令集被维持在各种常规的计算机可读介质中的任何一个上。在本文档的上下文中,“计算机可读介质”可以是可以包含、存储、传递、传播或输送指令以供具有图5所描述和描绘的计算机的一个示例的指令执行系统、装置或设备(诸如计算机)使用或者与其结合使用的任何介质或部件。计算机可读介质可以包括计算机可读存储介质,其可以是可以包含或存储指令以供指令执行系统、装置或设备(诸如计算机)使用或者与其结合使用的任何介质或部件。
如果需要的话,本文讨论的不同功能可以以不同顺序执行和/或彼此并发地执行。此外,如果需要的话,上述功能中的一个或多个可以是可选的或者可以被组合。而且,在参照一个组件或实体时,其功能可以被分布到一个或多个子单元,例如代替一个处理器,多个处理器可以执行一个实体的一些(但不一定是全部)操作。
尽管各个方面是在独立权利要求中陈述的,但是其他方面包括来自所描述的实施例和/或从属权利要求的特征与独立权利要求的特征的其他组合,而不是仅仅在权利要求中显式陈述的组合。
在本文中还要注意的是,尽管上文描述了示例实施例,但是这些描述不应该被视为限制性的。相反,存在可以在不脱离所附权利要求中限定的范围的情况下被做出的若干变型和修改。
Claims (16)
1.一种用于通信的装置,
所述装置是安全性边缘代理,所述安全性边缘代理被配置为针对两个核心网之间交换的数据实现应用层安全性,所述装置包括至少一个处理核心、包括计算机程序代码的至少一个存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起,使所述装置至少:
-处理在所述装置中接收到的协议消息,以基于接收到的所述协议消息来生成网络间消息,所述网络间消息包括第一部分和第二部分;以及
-朝向第二安全性边缘代理发送所述网络间消息;
其中所述第一部分是经完整性保护但没有被加密的并且包括接收到的所述协议消息的第一内容单元;以及
其中所述第二部分是经完整性保护且被加密的,并且所述第二部分包括接收到的所述协议消息的第二内容单元以及对应的路径单元,所述对应的路径单元指示所述第二内容单元在所述协议消息内所位于的、所述协议消息中的位置。
2.根据权利要求1所述的装置,其中所述协议是超文本传输协议。
3.根据权利要求1所述的装置,其中所述两个核心网是蜂窝通信网络核心网。
4.根据权利要求1所述的装置,其中所述第一部分不包括对所述第二内容单元在所述第二部分中的位置的指示。
5.根据权利要求1至4中任一项所述的装置,其中所述第一部分包括对所述第二内容单元的指示,其中所述第二内容单元的值由替换值或空字符串表示。
6.根据权利要求5所述的装置,其中所述装置被配置为随机地生成所述替换值。
7.一种用于通信的装置,
所述装置是安全性边缘代理,所述安全性边缘代理被配置为针对两个核心网之间交换的数据实现应用层安全性,所述装置包括至少一个处理核心、包括计算机程序代码的至少一个存储器,所述至少一个存储器和所述计算机程序代码被配置为与所述至少一个处理核心一起,使所述装置至少:
-处理在所述装置中接收到的网络间消息,以基于接收到的所述网络间消息来生成协议消息,所述网络间消息包括第一部分和第二部分;以及
-朝向网络功能发送所述协议消息;
其中所述第一部分是经完整性保护但没有被加密的并且包括所述协议消息的第一内容单元;以及
其中所述第二部分是经完整性保护且被加密的,并且所述第二部分包括所述协议消息的第二内容单元以及对应的路径单元,所述对应的路径单元指示所述第二内容单元在所述协议消息内所位于的、所述协议消息中的位置。
8.一种通信方法,包括:
-处理在根据权利要求1至6中任一项所述的装置中接收到的协议消息,以基于接收到的所述协议消息来生成网络间消息,
所述网络间消息包括第一部分和第二部分;以及
-朝向第二安全性边缘代理发送所述网络间消息;
其中所述第一部分是经完整性保护但没有被加密的并且包括接收到的所述协议消息的第一内容单元;以及
其中所述第二部分是经完整性保护且被加密的,并且所述第二部分包括接收到的所述协议消息的第二内容单元以及对应的路径单元,所述对应的路径单元指示所述第二内容单元在所述协议消息内所位于的、所述协议消息中的位置。
9.根据权利要求8所述的方法,其中所述协议是超文本传输协议。
10.根据权利要求8所述的方法,其中所述方法在第一安全性边缘代理中被执行,所述第一安全性边缘代理被配置为针对两个核心网之间交换的数据实现应用层安全性,并且所述两个核心网是蜂窝通信网络核心网。
11.根据权利要求8所述的方法,其中所述第一部分不包括对所述第二内容单元在所述第二部分中的位置的指示。
12.根据权利要求8至11中任一项所述的方法,其中所述第一部分包括对所述第二内容单元的指示,其中所述第二内容单元的值由替换值或空字符串表示。
13.根据权利要求12所述的方法,还包括:随机地生成所述替换值。
14.一种通信方法,包括:
-处理在根据权利要求7所述的装置中接收到的网络间消息,以基于接收到的所述网络间消息来生成协议消息,所述网络间消息包括第一部分和第二部分;以及
-朝向网络功能发送所述协议消息;
其中所述第一部分是经完整性保护但没有被加密的并且包括所述协议消息的第一内容单元;以及
其中所述第二部分是经完整性保护且被加密的,并且所述第二部分包括所述协议消息的第二内容单元以及对应的路径单元,所述对应的路径单元指示所述第二内容单元在所述协议消息内所位于的、所述协议消息中的位置。
15.一种计算机可读介质,包括程序指令,所述程序指令用于使安全性边缘代理至少执行以下:
-处理在所述安全性边缘代理中接收到的协议消息,以基于接收到的所述协议消息来生成网络间消息,所述网络间消息包括第一部分和第二部分;以及
-朝向第二安全性边缘代理发送所述网络间消息;以及
其中所述第一部分是经完整性保护但没有被加密的并且包括接收到的所述协议消息的第一内容单元,其中所述第二部分是经完整性保护且被加密的,并且所述第二部分包括接收到的所述协议消息的第二内容单元以及对应的路径单元,所述对应的路径单元指示所述第二内容单元在所述协议消息中所位于的、所述协议消息中的位置。
16.一种计算机可读介质,包括程序指令,所述程序指令用于使安全性边缘代理至少执行以下:
-处理在所述安全性边缘代理中接收到的网络间消息,以基于接收到的所述网络间消息来生成协议消息,所述网络间消息包括第一部分和第二部分;以及
-朝向网络功能发送所述协议消息;以及
其中所述第一部分是经完整性保护但没有被加密的并且包括所述协议消息的第一内容单元,其中所述第二部分是经完整性保护且被加密的,并且所述第二部分包括所述协议消息的第二内容单元以及对应的路径单元,所述对应的路径单元指示所述第二内容单元在所述协议消息内所位于的、所述协议消息中的位置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN201841035682 | 2018-09-21 | ||
| IN201841035682 | 2018-09-21 | ||
| PCT/EP2019/074112 WO2020058041A1 (en) | 2018-09-21 | 2019-09-10 | Method and apparatus for secure messaging between network functions |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113039765A CN113039765A (zh) | 2021-06-25 |
| CN113039765B true CN113039765B (zh) | 2023-09-12 |
Family
ID=67997576
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980074810.2A Active CN113039765B (zh) | 2018-09-21 | 2019-09-10 | 用于网络功能之间的安全消息收发的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220038433A1 (zh) |
| EP (1) | EP3854053A1 (zh) |
| CN (1) | CN113039765B (zh) |
| WO (1) | WO2020058041A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2598084A (en) * | 2020-07-16 | 2022-02-23 | The Sec Dep For Foreign Commonwealth And Development Affairs Acting Through The Government Communica | Payload assurance at a network boundary |
| CN114531675A (zh) * | 2020-11-06 | 2022-05-24 | 华为技术有限公司 | 一种通信方法、相关装置和系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1913426A (zh) * | 2005-08-08 | 2007-02-14 | 北京三星通信技术研究有限公司 | 宽带码分多址系统中完整性保护算法与加密的选择方法 |
| CN101023420A (zh) * | 2004-11-17 | 2007-08-22 | 思科技术公司 | 在网络元件中代表应用执行消息和变换适配器功能 |
| US7603549B1 (en) * | 2003-02-11 | 2009-10-13 | Cpacket Networks Inc. | Network security protocol processor and method thereof |
| CN103688485A (zh) * | 2011-05-18 | 2014-03-26 | 西里克斯系统公司 | 用于对数据进行安全处理的系统和方法 |
| CN104935593A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 数据报文的传输方法及装置 |
| WO2017143521A1 (zh) * | 2016-02-23 | 2017-08-31 | 华为技术有限公司 | 一种安全通信方法及核心网节点 |
| CN107736047A (zh) * | 2015-07-12 | 2018-02-23 | 高通股份有限公司 | 用于蜂窝物联网的网络安全架构 |
| WO2018138006A1 (en) * | 2017-01-25 | 2018-08-02 | Koninklijke Kpn N.V. | Guaranteeing authenticity and integrity in signalling exchange between mobile networks |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5889868A (en) * | 1996-07-02 | 1999-03-30 | The Dice Company | Optimization methods for the insertion, protection, and detection of digital watermarks in digitized data |
| US6978367B1 (en) * | 1999-10-21 | 2005-12-20 | International Business Machines Corporation | Selective data encryption using style sheet processing for decryption by a client proxy |
| US7536712B2 (en) * | 2001-10-16 | 2009-05-19 | Microsoft Corporation | Flexible electronic message security mechanism |
| US20060075228A1 (en) * | 2004-06-22 | 2006-04-06 | Black Alistair D | Method and apparatus for recognition and real time protection from view of sensitive terms in documents |
| US7865742B2 (en) * | 2006-07-12 | 2011-01-04 | Palo Alto Research Center Incorporated | Method, apparatus, and program product for enabling access to flexibly redacted content |
| US7873838B2 (en) * | 2006-07-12 | 2011-01-18 | Palo Alto Research Center Incorporated | Method, apparatus, and program product for flexible redaction of content |
| US8468244B2 (en) * | 2007-01-05 | 2013-06-18 | Digital Doors, Inc. | Digital information infrastructure and method for security designated data and with granular data stores |
| US20100082652A1 (en) * | 2008-09-29 | 2010-04-01 | Chacha Search, Inc. | Method and system for managing user interaction |
| US8949155B2 (en) * | 2008-12-31 | 2015-02-03 | Microsoft Corporation | Protecting privacy of personally identifying information when delivering targeted assets |
| US20120173635A1 (en) * | 2010-12-30 | 2012-07-05 | Research In Motion Limited | Selective message rendering using a communication device |
| EP2974116B1 (en) * | 2013-03-15 | 2018-10-31 | EntIT Software LLC | Sending encrypted data to a service provider |
| WO2013189619A1 (en) * | 2013-04-05 | 2013-12-27 | Nec Europe Ltd. | Method and system for modifying an authenticated and/or encrypted message |
| US20150007351A1 (en) * | 2013-06-27 | 2015-01-01 | Maher Janajri | Mobile Messaging Enhanced with Concealable and Selectively Revealable Text, Image, and Video Messages |
| US10341311B2 (en) * | 2015-07-20 | 2019-07-02 | Schweitzer Engineering Laboratories, Inc. | Communication device for implementing selective encryption in a software defined network |
| US10601781B2 (en) * | 2015-10-12 | 2020-03-24 | Servicenow, Inc. | Selective encryption delineation |
| US10320761B2 (en) * | 2015-11-02 | 2019-06-11 | Servicenow, Inc. | Selective encryption configuration |
| US10607017B2 (en) * | 2017-01-04 | 2020-03-31 | Ca, Inc. | Restricting access to sensitive data using tokenization |
| US10333902B1 (en) * | 2017-12-19 | 2019-06-25 | International Business Machines Corporation | Data sanitization system for public host platform |
| WO2023128723A1 (en) * | 2022-01-03 | 2023-07-06 | Samsung Electronics Co., Ltd. | Method and device for selective user plane security in wireless communication system |
-
2019
- 2019-09-10 CN CN201980074810.2A patent/CN113039765B/zh active Active
- 2019-09-10 WO PCT/EP2019/074112 patent/WO2020058041A1/en unknown
- 2019-09-10 US US17/277,210 patent/US20220038433A1/en active Pending
- 2019-09-10 EP EP19770004.0A patent/EP3854053A1/en active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7603549B1 (en) * | 2003-02-11 | 2009-10-13 | Cpacket Networks Inc. | Network security protocol processor and method thereof |
| CN101023420A (zh) * | 2004-11-17 | 2007-08-22 | 思科技术公司 | 在网络元件中代表应用执行消息和变换适配器功能 |
| CN1913426A (zh) * | 2005-08-08 | 2007-02-14 | 北京三星通信技术研究有限公司 | 宽带码分多址系统中完整性保护算法与加密的选择方法 |
| CN103688485A (zh) * | 2011-05-18 | 2014-03-26 | 西里克斯系统公司 | 用于对数据进行安全处理的系统和方法 |
| CN104935593A (zh) * | 2015-06-16 | 2015-09-23 | 杭州华三通信技术有限公司 | 数据报文的传输方法及装置 |
| CN107736047A (zh) * | 2015-07-12 | 2018-02-23 | 高通股份有限公司 | 用于蜂窝物联网的网络安全架构 |
| WO2017143521A1 (zh) * | 2016-02-23 | 2017-08-31 | 华为技术有限公司 | 一种安全通信方法及核心网节点 |
| WO2018138006A1 (en) * | 2017-01-25 | 2018-08-02 | Koninklijke Kpn N.V. | Guaranteeing authenticity and integrity in signalling exchange between mobile networks |
Non-Patent Citations (1)
| Title |
|---|
| Partial Data Protection via Structure-Preserving Document Partitioning;Luigi Lo Iacono;《2015 IEEE Trustcom/BigDataSE/ISPA》;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113039765A (zh) | 2021-06-25 |
| WO2020058041A1 (en) | 2020-03-26 |
| US20220038433A1 (en) | 2022-02-03 |
| EP3854053A1 (en) | 2021-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9838362B2 (en) | Method and system for sending a message through a secure connection | |
| CN108347410B (zh) | 安全实现方法、设备以及系统 | |
| JP6764753B2 (ja) | 制限帯域幅を有するチャネルにおける効率的かつ強秘匿性の対称暗号化のためのシステムおよび方法 | |
| WO2016114842A1 (en) | End-to-end service layer authentication | |
| WO2019220010A1 (en) | Security management for network function messaging in a communication system | |
| CN113039765B (zh) | 用于网络功能之间的安全消息收发的方法和装置 | |
| US11652851B2 (en) | Method and apparatus for network function messaging | |
| EP1966927A2 (en) | Digital object title and transmission information | |
| EP3788765B1 (en) | Method and apparatus for network function messaging | |
| US20220360644A1 (en) | Packet Acknowledgment Techniques for Improved Network Traffic Management | |
| US20100275008A1 (en) | Method and apparatus for secure packet transmission | |
| EP4297386A1 (en) | Call processing method, related device, and storage medium | |
| RU2517405C2 (ru) | Способ обеспечения сопоставлений безопасности для зашифрованных пакетных данных | |
| US20240163661A1 (en) | Methods, systems, and computer readable media for securing sensitive data to be transmitted in 5g and subsequent generation networks | |
| CN117254976A (zh) | 基于VPP的国标IPsec VPN实现方法、装置、系统及电子设备 | |
| Lindskog et al. | The design and implementation of secure socket SCTP | |
| SECTOR et al. | ITU-Tx. 1811 | |
| WO2018019368A1 (en) | Devices and methods for caching enciphered content in computer networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |