CN113873510A - 安全通信方法、相关装置及系统 - Google Patents

安全通信方法、相关装置及系统 Download PDF

Info

Publication number
CN113873510A
CN113873510A CN202010537382.7A CN202010537382A CN113873510A CN 113873510 A CN113873510 A CN 113873510A CN 202010537382 A CN202010537382 A CN 202010537382A CN 113873510 A CN113873510 A CN 113873510A
Authority
CN
China
Prior art keywords
message
sepp
ipx
equipment
modification
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010537382.7A
Other languages
English (en)
Inventor
邵国强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202010537382.7A priority Critical patent/CN113873510A/zh
Priority to PCT/CN2021/099508 priority patent/WO2021249512A1/zh
Priority to JP2022576520A priority patent/JP7442690B2/ja
Priority to EP21821455.9A priority patent/EP4152717A4/en
Priority to CA3182259A priority patent/CA3182259A1/en
Publication of CN113873510A publication Critical patent/CN113873510A/zh
Priority to US18/064,501 priority patent/US20230156468A1/en
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/069Authentication using certificates or pre-shared keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0435Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请实施例提供一种安全通信的方法、系统和相关装置。该安全通信方法包括:发送端的SEPP设备可以获取与其对接的IPX设备的消息修改策略,然后向该IPX设备发送第一N32消息,第一N32消息中携带所述第一信令消息和消息修改策略。从而,IPX设备可以将接收到的第一N32消息发给接收端的SEPP设备,接收端的SEPP设备可以根据第一N32消息中携带的消息修改策略来校验第一N32消息。本实施例提供的安全通信方法中发送端SEPP设备不需要和接收端SEPP设备协商消息修改策略,而是与其对接的IPX设备协商修改策略,然后通过第一N32消息将IPX设备的消息修改策略发给接收端SEPP设备,降低了SEPP设备上维护的消息修改策略的数量,节省了SEPP设备的资源。

Description

安全通信方法、相关装置及系统
技术领域
本申请涉及通信技术领域,尤其涉及安全通信方法、相关的通信装置、系统及相关的计算机可读存储介质。
背景技术
目前,第三代合作伙伴计划(3rd Generation Partner Project,3GPP)定义了安全和边界保护代理(Security and Edge Protection Proxy,SEPP设备)设备作为5G核心网(5G Core,5GC)的一种边界安全网关。SEPP设备是不同运营商网络之间对接的一种代理设备,5G核心网内部的网络功能(Network Function,NF)设备与其他运营商网络之间的信令交互通过SEPP设备转发。
其中,不同运营商网络的SEPP设备可以通过IP交换服务(IP exchange service,IPX)网络进行消息转发。SEPP设备支持IPX网络中的IPX设备修改传输消息的内容。IPX设备可以根据预定义的消息修改策略来修改传输消息,从而对外隐藏网络拓扑、增强网络安全。
但是,现有技术中本地网络的SEPP设备需要和不同运营商(漫游伙伴)网络的SEPP设备之间协商经过不同IPX网络的消息修改策略。如果本地网络对接的漫游伙伴网络数量较多,且本地网络的SEPP设备和漫游网络的SEPP设备之间的可选路径较多,即本地网络的SEPP设备和漫游网络的SEPP设备可以通过不同的IPX设备传输消息,则SEPP设备需要维护大量的消息修改策略,需要消耗SEPP设备较多的资源,且增加SEPP设备的成本。
发明内容
本申请实施例提供了安全通信方法、系统和相关装置及计算机可读存储介质。
第一方面,本申请实施例提供一种安全通信方法,包括如下操作:
SEPP设备接收网络功能NF设备发送的第一信令消息,随后SEPP设备获取IPX设备的消息修改策略,并向该IPX设备发送第一N32消息,第一N32消息中携带所述第一信令消息和所述消息修改策略。
在本实施例提供的技术方案中,发送端的SEPP设备可以获取与其对接的IPX设备的消息修改策略,然后向该IPX设备发送第一N32消息,第一N32消息中携带所述第一信令消息和消息修改策略。从而,IPX设备可以将接收到的第一N32消息发给接收端的SEPP设备,接收端的SEPP设备可以根据第一N32消息中携带的消息修改策略来校验第一N32消息。与现有技术相比,本实施例提供的安全通信方法中发送端SEPP设备不需要和接收端SEPP设备协商消息修改策略,而是与其对接的IPX设备协商修改策略,然后通过第一N32消息将IPX设备的消息修改策略发给接收端SEPP设备,显著降低了发送端SEPP设备上维护的消息修改策略的数量,节省了SEPP设备的资源,也降低了SEPP设备的成本。
对应的,接收端SEPP设备可以从接收到的N32消息中获得与发送端SEPP设备对接的IPX设备的消息修改策略,不需要在本地维护不同消息传输路径对应的消息修改策略,节省了接收端SEPP设备的资源,也降低了成本。
在一个可能的方案中,SEPP设备可以获取IPX设备的安全证书,将该安全证书添加到第一N32消息的消息体中。进而,接收端SEPP设备直接从第一N32消息中获取该IPX设备的安全证书,不需要在本地配置该IPX设备的安全证书,节省了接收端SEPP设备的存储空间。
在一个可能的方案中,SEPP设备可以使用对称密钥对IPX设备的安全证书进行加密。进而,收到N32消息的SEPP设备可以使用对称密钥解密,获得IPX设备的安全证书。
在一个可能的方案中,SEPP设备获取IPX设备的安全证书,SEPP设备发送的第一N32消息中携带所述IPX设备的安全证书。
在一个可能的方案中,所述消息修改策略包括允许修改第一N32消息的消息头中的第一字段。
在一个可能的方案中,所述消息修改策略包括不允许修改第一N32消息的消息头中的第二字段。
在一个可能的方案中,SEPP设备可以采用如下方式向所述IPX设备发送第一N32消息:
SEPP设备将第一信令消息和IPX设备的消息修改策略封装在所述第一N32消息的消息体中向所述IPX设备发送。该消息修改策略可以携带在现有字段中,也可以新增字段来携带。
在一个可能的方案中,SEPP设备将消息修改策略携带在第一N32消息的消息体的明文部分中发送给所述IPX设备。SEPP设备可以对明文部分进行完整性保护,防止其他设备修改明文部分,增强了安全性。
在一个可能的方案中,SEPP设备使用对称密钥对消息修改策略进行加密,然后将密文携带在第一N32消息的消息体中发送给所述IPX设备,防止其他设备读取或修改消息修改策略,增强了安全性。对应的,接收到该第一N32消息的SEPP设备可以使用该对称密钥对密文进行解密,获得所述IPX设备的消息修改策略。
在一个可能的方案中,SEPP设备可以从本地配置中获取IPX设备的消息修改策略,然后将IPX设备的修改策略添加到上述第一N32消息中。
在一个可能的方案中,SEPP设备接收该IPX设备发送的第二N32消息,第二N32消息中携带第二信令消息和该IPX设备的修改内容;SEPP设备可以根据所述IPX设备的消息修改策略校验所述第二N32消息中的修改内容,如果校验成功,向所述网络功能NF设备发送所述第二信令消息。如果校验失败,则向该IPX设备发送失败响应,丢弃该第二N32消息。
第二方面,本申请提供一种安全通信方法,其主要包括:
SEPP设备接收N32消息,该N32消息中携带信令消息和IPX设备的消息修改策略;随后,SEPP设备可以根据IPX设备的消息修改策略校验所述N32消息。如果校验成功,则向网络功能NF设备发送所述N32消息中的信令消息。
在本方面提供的安全通信方法中,接收到N32消息的SEPP设备可以从N32消息中获取IPX设备的消息修改策略,并使用该修改策略对N32消息进行校验。该SEPP设备本地不需要配置上述IPX设备的消息修改策略,从而节省了存储空间,降低了成本。
在一个可能的方案中,SEPP设备接收第二IPX设备发送的N32消息,该N32消息经过第一IPX设备发给SEPP设备。
在一个可能的方案中,如果SEPP设备校验N32消息失败,则向该IPX设备发送失败响应,丢弃该N32消息。
在一个可能的方案中,SEPP设备接收到的N32消息中还携带IPX设备的安全证书,所述SEPP设备可以采用如下方式来校验所述N32消息:SEPP设备根据安全证书校验所述N32消息中的IPX设备的修改块的签名。如果校验通过,则根据所述消息修改策略校验所述修改块中的修改内容。如果校验失败,则向该IPX设备发送失败响应,丢弃该N32消息。
在一个可能的方案中,IPX设备修改块中包括IPX设备的修改内容。
在一个可能的方案中,IPX设备修改块中包括IPX设备的标识。
在一个可能的方案中,IPX设备修改块中元数据字段,元数据字段中包括IPX设备的标识。
在一个可能的方案中,SEPP设备从N32消息的消息体中获取所述IPX设备的消息修改策略。
在一个可能的方案中,SEPP设备对N32消息的消息体进行解密,获得IPX设备的消息修改策略。
在一个可能的方案中,SEPP设备对N32消息的消息体进行解密,获得N32消息中携带的信令消息,随后可以向其他网络设备发送该信令消息。
在一个可能的方案中,所述N32消息中还携带所述IPX设备的修改内容,所述SEPP设备可以根据所述IPX设备的消息修改策略校验所述IPX设备的修改内容。
第三方面,本申请提供一种安全通信方法,其主要包括:
第一SEPP设备接收第一IPX设备发送的N32消息,所述N32消息中携带信令消息;随后,第一SEPP设备获取第一IPX设备的消息修改策略,根据所述消息修改策略校验所述N32消息。如果校验成功,则第一SEPP设备向网络功能NF设备发送所述信令消息。
在本方面提供的方案中,第一SEPP设备可以接收到与其连接的第一IPX设备的N32消息,并对N32消息进行校验,提高了消息传输的安全性。
在一个可能的方案中,第一SEPP设备从本地获取第一IPX设备的消息修改策略。第一IPX设备的消息修改策略可以配置在SEPP设备上。
在一个可能的方案中,N32消息中还携带第一IPX设备的修改内容,第一SEPP设备采用如下方式校验N32消息:第一SEPP设备根据第一IPX设备的消息修改策略校验所述N32消息中所述第一IPX设备的修改内容。
在一个可能的方案中,如果第一SEPP设备校验N32消息失败,则向该第一IPX设备发送失败响应,丢弃该N32消息。
在一个可能的方案中,N32消息中还携带第二IPX设备的安全证书、所述第二IPX设备的消息修改策略和第二IPX设备的修改块。第二IPX设备与第二SEPP设备连接。
此时,第一SEPP设备使用所述安全证书对所述第二IPX设备的修改块进行校验,若校验通过,则使用所述第二IPX设备的消息修改策略校验所述第二IPX设备的修改块中的修改内容。
在本方案中,第一SEPP设备结合对N32消息进行了两次校验,即使用安全证书对第二IPX设备的修改块进行校验以及使用第二IPX设备的消息修改策略校验所述第二IPX设备的修改内容,进一步增强了安全性。
在一个可能的方案中,第二IPX设备的安全证书中包括第二IPX设备的公钥。
在一个可能的方案中,第一SEPP设备接收第二SEPP设备发送的通知消息,所述通知消息中携带第二IPX设备的消息修改策略。此时,第一SEPP设备接收到的N32消息中携带第二IPX设备的修改内容,而不需要携带第二IPX设备的消息修改策略。
此时,第一SEPP设备使用通知消息中的消息修改策略对N32消息中的第二IPX设备的修改内容进行校验。
在一个可能的方案中,第二SEPP设备接收第一SEPP设备发送的通知消息,所述通知消息中携带第一IPX设备的消息修改策略。在本方面提供的方案中,第二SEPP设备可以在后续接收到第一SEPP设备发送的N32消息时,根据通知消息中的第一IPX设备的消息修改策略对N32消息进行校验,提高了消息传输的安全性。
在一个可能的方案中,上述通知消息用于第一SEPP设备和第二SEPP设备之间交换IPX设备的信息。
在一个可能的方案中,上述通知消息为N32-C消息。本方案通过N32-C消息传递IPX设备的消息修改策略,可以增强第一SEPP设备和第二SEPP设备之间通信的安全。
在一个可能的方案中,在第一SEPP设备接收到的通知消息中携带第二IPX设备的消息修改策略时,第一SEPP设备保存第二IPX设备的标识和第二IPX设备的消息修改策略。该保存可以理解为建立第二IPX设备的标识和第二IPX设备的消息修改策略之间的关联。
第四方面,本申请实施例提供一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,计算机程序被处理器执行时能够完成第一方面、第二方面、第三方面和第四方面任意一项所述的方法。
第五方面,本申请实施例提供一种安全和边界保护代理SEPP设备,其包括:至少一个处理器和相互耦合的存储器,所述存储器中存储了计算机程序代码,所述处理器调用并执行所述存储器中的计算机程序代码,使得所述SEPP设备执行以上第一方面、第二方面、第三方面和第四方面任意一项所述的方法。
第六方面,本申请实施例提供一种安全通信的系统,其包括:
核心网网络功能设备和SEPP设备,核心网网络功能设备配置于向第一SEPP设备发送第一信令消息;
SEPP设备配置于执行上述第一方面任意一项所述的方法。
在一个可能的方案中,上述信令消息为漫游信令消息。
第七方面,本申请实施例提供一种SEPP设备,该设备可以使用在前述对应的第一方面提供的安全通信方法中。
本方面提供的SEPP设备主要包括:第一接收单元、第一获取单元和第一发送单元。
其中,第一接收单元用于接收网络功能NF设备发送的第一信令消息;
第一获取单元用于获取IP交换服务IPX设备的消息修改策略;
第一发送单元用于向IPX设备发送第一N32消息,所述第一N32消息中携带所述第一信令消息和所述IPX设备的消息修改策略。
在一个可能的方案中,上述SEPP设备中的第一获取单元还用于获取所述IPX设备的安全证书。此时,第一发送单元发送的第一N32消息中携带所述IPX设备的安全证书。
在一个可能的方案中,所述SEPP设备中的第一发送单元可以通过如下方式发送第一N32消息:
所述第一发送单元将所述第一信令消息和所述IPX设备的消息修改策略封装在所述第一N32消息的消息体中向所述IPX设备发送。
在一个可能的方案中,上述IPX设备的消息修改策略携带在第一N32消息的消息体的明文部分。
在一个可能的方案中,第一获取单元可以从本地配置中获取所述IPX设备的消息修改策略。
在一个可能的方案中,SEPP设备的第一接收单元还用于接收IPX设备发送的第二N32消息,第二N32消息中携带第二信令消息和所述IPX设备的修改内容。
SEPP设备还包括:第一校验单元,用于根据IPX设备的消息修改策略校验第二N32消息中的IPX设备的修改内容;
上述第一发送单元还在第一校验单元校验成功后,向网络功能NF设备发送所述第二信令消息。
第八方面,本申请实施例提供一种SEPP设备,该SEPP设备可以应用于上述第二方面提供的安全通信方法中,其主要包括:第二接收单元、第二校验单元和第二发送单元。
其中,第二接收单元用于接收N32消息,所述N32消息中携带信令消息和IPX设备的消息修改策略;第二校验单元,用于根据所述IPX设备的消息修改策略校验所述N32消息;第二发送单元用于在第二校验单元校验N32消息成功后,向网络功能NF设备发送所述信令消息。
在一个可能的方案中,SEPP设备中的第二接收单元接收到的N32消息中还携带所述IPX设备的安全证书,所述第二校验单元根据所述消息修改策略校验所述N32消息包括:
第二校验单元根据所述IPX设备的安全证书校验所述N32消息中所述IPX设备的修改块的签名;在校验通过后,第二校验单元还根据所述消息修改策略校验所述IPX设备的修改块中的所述修改内容。
在一个可能的方案中,SEPP设备还包括解密单元,用于对所述N32消息的消息体进行解密,获得所述IPX设备的消息修改策略。
在一个可能的方案中,SEPP设备中的解密单元还用于对所述N32消息的消息体进行解密,获得所述N32消息中携带的信令消息。
第九方面,本申请实施例提供一种第一SEPP设备,其可以应用于以上第三方面提供的安全通信方法,具体细节和有益效果可以参考上述方面的内容。
本方面提供的第一SEPP设备主要包括:第三接收单元,第三获取单元,第三校验单元和第三发送单元。
其中,第三接收单元用于接收第一IPX设备发送的N32消息,所述N32消息中携带信令消息;
第三获取单元用于获取所述第一IPX设备的消息修改策略;
第三校验单元用于根据所述消息修改策略校验所述N32消息;
第三发送单元用于在第三校验单元校验N32消息成功后,向网络功能NF设备发送所述信令消息。
在一个可能的方案中,第三接收单元接收到的N32消息中还携带第一IPX设备的修改内容,第三校验单元可以采用如下方式来校验所述N32消息:第三校验单元根据所述消息修改策略校验所述N32消息中所述第一IPX设备的修改内容。
在一个可能的方案中,第三接收单元接收到的N32消息中还携带第二IPX设备的安全证书、所述第二IPX设备的消息修改策略和所述第二IPX设备的修改块。此时,第三校验单元还用于使用所述安全证书对所述第二IPX设备的修改块进行校验,并在校验通过时,使用所述第二IPX设备的消息修改策略校验所述第二IPX设备的修改块中的修改内容。
在一个可能的方案中,第一SEPP设备中的第三接收单元还用于接收第二SEPP设备发送的通知消息,所述通知消息中携带所述第二IPX设备的消息修改策略。
在一个可能的方案中,第一SEPP设备为cSEPP设备,第二SEPP设备为pSEPP设备。
第十方面,本申请实施例提供一种通信装置,包括:至少一个输入端、信号处理器和至少一个输出端;其中,所述信号处理器,用于执行本申请实施例中由SEPP设备执行的任意一种方法的部分或全部操作。
第十一方面,本申请实施例提供一种通信装置,包括:输入接口电路,逻辑电路和输出接口电路,所述逻辑电路用于执行执行本申请实施例中由SEPP设备执行的任意一种方法的部分或全部操作。
第十二方面,本申请实施例提供一种包括指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述这个计算机设备执行可由SEPP设备执行的任意一种方法的部分或者全部操作。
第十三方面,本申请实施例提供一种SEPP设备,其包括相互耦合的存储器和处理器,所述存储器中存储了程序代码,所述处理器调用并执行所述存储器中的程序代码,使得所述SEPP设备执行上述通信方法的部分或全部操作。
第十四方面,本申请实施例提供一种通信装置,包括:至少一个输入端、信号处理器和至少一个输出端;其中,所述信号处理器,用于执行本申请实施例中由IPX设备执行的任意一种方法的部分或全部操作。
第十五方面,本申请实施例提供一种通信装置,包括:输入接口电路,逻辑电路和输出接口电路,所述逻辑电路用于执行执行本申请实施例中由IPX设备执行的任意一种方法的部分或全部操作。
第十六方面,本申请实施例提供一种包括指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述这个计算机设备执行可由IPX设备执行的任意一种方法的部分或者全部操作。
第十七方面,本申请实施例提供一种IPX设备,其包括相互耦合的存储器和处理器,所述存储器中存储了程序代码,所述处理器调用并执行所述存储器中的程序代码,使得所述IPX设备执行上述通信方法的部分或全部操作。
在以上任一方面提供的方案中,N32消息为N32-F消息。
在以上任一方面提供的方案中,SEPP设备为消费者的SEPP设备或生产者的SEPP设备。
在以上任一方面提供的方案中,SEPP设备为拜访地SEPP设备或归属地SEPP设备。
在以上任一方面提供的方案中,消息修改策略可以为默认策略或通配策略,从而减少SEPP设备或IPX设备上配置的策略的数量。
附图说明
下面将对本申请实施例中所需要使用的附图作简单地介绍。
图1-A是本申请实施例举例的一种5G网络架构的示意图。
图1-B是本申请实施例举例的一种漫游场景下的网络架构的示意图。
图1-C是本申请实施例举例的另一种漫游场景下的网络架构的示意图。
图1-D是本申请实施例举例的另一种漫游场景下的网络架构的示意图。
图1-E是本申请实施例举例的另一种漫游场景下的网络架构的示意图。
图2是本申请实施例提供的一种通信方法的流程示意图。
图3是本申请实施例提供的另一种通信方法的流程示意图。
图4-A是本申请实施例提供的另一种通信方法的流程示意图。
图4-B是本申请实施例提供的通信方法中验证IPX设备修改块的流程示意图。
图4-C是本申请实施例提供的通信方法中一种N32消息的消息体的示意图。
图4-D是本申请实施例提供的通信方法中另一种N32消息的消息体的示意图。
图4-E是本申请实施例提供的通信方法中另一种N32消息的消息体的示意图。
图5是本申请实施例提供的一种SEPP设备的功能示意图。
图6是本申请实施例提供的另一种SEPP设备的功能示意图。
图7是本申请实施例提供的另一种SEPP设备的功能示意图。
图8是本申请实施例提供的一种通信装置的结构示意图。
图9是本申请实施例提供的一种通信装置中单板的接口示意图。
图10是本申请实施例提供的SEPP设备的硬件结构图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
参见图1-A,图1-A是本申请实施例举例的一种5G网络架构的示意图。5G网络对4G网络的某些功能设备(例如移动性管理实体(Mobility Management Entity,MME)等等)进行了一定拆分,并定义了基于服务化架构的架构。在图1-A所示网络架构中,类似4G网络中的MME的功能,被拆分成了接入与移动性管理功能(Access and Mobility ManagementFunction,AMF)和会话管理功能(Session Management Function,SMF)等等。
下面对5G网络架构中其他一些相关设备/网元/实体进行介绍,这些设备/网元/实体可以使用其各自的缩写来作为其简称。例如,移动性管理功能设备简称为AMF。
用户终端(User Equipment,UE)通过接入运营商网络来访问数据网络,使用数据网络(Data Network,DN)上的由运营商或第三方提供的业务。
为方便说明,本申请实施例中用户终端、用户设备、终端设备、移动终端或终端等可统称为UE。即,若无特别的说明,本申请实施例后文所描述的UE均可替换为用户终端、用户设备、终端设备、移动终端或终端,当然它们之间也可互换。
接入与移动性管理功能(AMF)是3GPP网络中的一种控制面功能设备,主要负责UE接入运营商网络的接入控制和移动性管理。其中,安全锚点功能(Security AnchorFunction,SEAF)可以部署于AMF之中,或SEAF也可能部署于不同于AMF的另一设备中,图1-A中以SEAF被部署于AMF中为例。当SEAF被部署于AMF中时,SEAF和AMF可合称为AMF。
会话管理功能(SMF)是3GPP网络中的一种控制面功能设备。其中,SMF主要用于负责管理UE的分组数据单元(Packet Data Unit,PDU)会话。PDU会话是一个用于传输PDU的通道,UE可以通过PDU会话与DN互相发送PDU。SMF负责PDU会话的建立、维护和删除等管理工作。
数据网络也称为分组数据网络(Packet Data Network,PDN),它是位于3GPP网络之外的网络。其中,3GPP网络可接入多个DN,DN上可部署运营商或第三方提供的多种业务。例如,第三方提供的在线视频业务。又例如,某个DN是一个智能工厂的私有网络,安装在智能工厂车间的传感器扮演UE的角色,DN中部署了传感器的控制服务器。UE与控制服务器通信,UE在获取控制服务器的指令之后,可根据这个指令将采集的数据传递给控制服务器。又例如,DN是一个公司的内部办公网络,该公司员工所使用的终端则可扮演UE的角色,这个UE可以访问公司内部的信息和其他资源。
其中,统一数据管理实体(Unified Data Management,UDM)也是3GPP网络中的一种控制面功能设备,UDM主要负责存储3GPP网络中签约用户(UE)的签约数据、凭证(credential)和持久身份标识(Subscriber Permanent Identifier,SUPI)等。这些数据可以被用于UE接入运营商3GPP网络的认证和授权。此外,UDM还可以融合网络中的归属用户服务器(Home Subscriber Server,HSS)和归属位置寄存器(Home Location Register,HLR)的功能。
认证服务器功能(Authentication Server Function,AUSF)也是3GPP网络中的一种控制面功能设备,AUSF主要用于第一级认证(即3GPP网络对其签约用户的认证)。
其中,网络开放功能(Network Exposure Function,NEF)也是3GPP网络之中的一种控制面功能设备。NEF主要负责以安全的方式对第三方开放3GPP网络的对外接口。
其中,网络存储功能(Network Repository Function,NRF)也是3GPP网络中的一种控制面功能设备,主要负责存储可被访问的网络功能(NF)的配置与服务资料(profile),为其他网元提供网络功能的发现服务。
用户面功能(User Plane Function,UPF)是3GPP网络与DN通信的网关。
策略控制功能(Policy Control Function,PCF)是3GPP网络中的一种控制面功能设备,用于向SMF提供PDU会话的策略。策略可包括计费、服务质量(Quality of Service,QoS)、授权相关策略等。
接入网(Access Network,AN)是3GPP网络的一个子网络,UE要接入3GPP网络,首先需要经过AN。在无线接入场景下AN也称无线接入网(Radio Access Network,RAN)。
SEPP设备作为5G核心网(5GC)的一种边界安全网关,主要作为运营商网络之间对接的代理,5G核心网的内部网络功能(NF)与漫游网络之间的信令消息通过SEPP设备转发。
3GPP网络是指符合3GPP标准的网络。其中,图1-A中除了UE和DN以外的部分可看作是3GPP网络。3GPP网络不局限于5G网络,还可包括2G、3G、4G网络。通常3GPP网络由运营商来运营。此外,在图1-A所示架构中的N1、N2、N3、N4、N6等分别代表相关实体/网络功能之间的参照点(Reference Point)。Nausf、Namf...等分别代表相关网络功能的服务化接口。
当然,3GPP网络和非3GPP网络可能共存,5G网络的中的一些网元也可能被运用到一些非5G网络中。
参见图1-B,SEPP设备作为边界安全网关,支持对传输消息进行完整性和机密性保护的同时,还支持IPX网络中的设备(简称IPX设备或IPX)识别并修改传输消息的内容,例如修改传输消息的消息头。
IPX网络中的设备可包括Diameter路由代理(Diameter routing agent,DRA)设备和域名服务器(domain name server,DNS)等。IPX设备可为IPX网络中的DRA设备或DNS。此外,IPX设备可以称为超文本传输协议(Hyper Text Transfer Protocol,HTTP)代理。
本申请实施例中,也可以将SEPP设备简称SEPP设备(例如第一SEPP设备简称第一SEPP,第二SEPP设备简称第二SEPP,以此类推),即SEPP和SEPP设备可混用。将IPX设备简称IPX设备(例如第一IPX设备简称第一IPX,第二IPX设备简称第二IPX,以此类推),即,IPX和IPX设备可混用。
其中,当UE在不同运营商网络之间漫游时,SEPP设备可以分为拜访SEPP设备(visit SEPP设备,vSEPP设备)和归属SEPP设备(home SEPP设备,hSEPP设备)。
参见图1-C和图1-D,不同运营商网络的SEPP设备之间,可以通过N32接口连接。例如,vSEPP设备和hSEPP设备通过N32-C接口直连,vSEPP设备也可以通过N32-f接口连接到IPX设备,IPX设备再通过N32-f接口连接到hSEPP设备。SEPP设备之间可能存在一个IPX设备(例如图1-D举例所示),也可能存在多个IPX设备(例如图1-C举例所示)。
参见图1-E,如果按照提供服务和消费服务的角度来看,SEPP设备又可以分为消费者的SEPP设备(consumer's SEPP设备,cSEPP设备)和生产者的SEPP设备(producer's SEPP设备,pSEPP设备)。其中,vSEPP设备可能是pSEPP设备而hSEPP设备可能是cSEPP设备。或vSEPP设备也可能是cSEPP设备而hSEPP设备可能是pSEPP设备。
其中,当SEPP设备之间存在多个IPX网络,那么与pSEPP设备直连的IPX网络称为pIPX设备;与cSEPP设备直连的IPX网络称为cIPX设备。
基于以上的网络架构,下面介绍两个SEPP设备之间进行安全通信的实施方案。参见图2,图2为本申请实施例提供的一种安全通信方法的流程示意图。
本实施例提供的安全通信方法可以应用于图1-D所描述的系统架构中,第一SEPP设备和第二SEPP设备之间可以存在多条传输路径。
在本实施例提供的安全通信方法主要包括如下的操作:
201.第一SEPP设备接收网络功能NF设备发送的第一信令消息。
在本实施例中,本地网络中的NF设备向第一SEPP设备发送第一信令消息,第一SEPP设备可以通过连接的IPX设备将该信令消息发送到其他运营商网络,例如用户的归属运营商网络。
第一信令消息可以为Http2消息,具体可以为Http2请求/响应,其可以来自于SMF。
202.第一SEPP设备获取第一IPX设备的消息修改策略。
在本实施例中,与第一SEPP设备连接的IPX设备可以有多个,这些IPX设备属于不同的IPX网络。第一SEPP设备可以确定第一信令消息的传输路径上的第一IPX设备,然后获取这个第一IPX设备的消息修改策略。
在本实施例中,第一SEPP设备和第一IPX设备可以提前协商消息修改策略,然后两者在本地配置该消息修改策略。
在本实施例中,上述消息修改策略可以称为消息保护策略,也可以简称为修改策略或保护策略。
203.第一SEPP设备向第一IPX设备发送第一N32消息,第一N32消息中携带第一信令消息和消息修改策略。
在本实施例中,第一SEPP设备可以根据该第一信令消息和消息修改策略生成第一N32消息,该第一N32消息中携带第一IPX设备的消息修改策略和第一信令消息。
随后,第一SEPP设备可以对第一N32消息进行安全保护,例如进行加密。第一SEPP设备可以向第一IPX设备发送安全保护后的第一N32消息。
本实施例中的第一N32消息具体可以为第一N32-F消息。
204.第一IPX设备接收第一SEPP设备发送的第一N32消息,对该第一N32消息进行修改。
在本实施例中,IPX设备可以根据本地配置的消息修改策略,对第一N32消息进行修改。修改的内容作为修改块(block)的形式附在第一N32消息中,并使用第一IPX设备的私钥进行签名。
其中,IPX设备本地可以维护多个消息修改策略,这些消息修改策略分别针对不同的SEPP设备。IPX设备本地可以存储SEPP设备的标识和消息修改策略之间的对应关系,进而在收到第一SEPP设备发送的第一N32消息后,确定与第一SEPP设备的标识对应的消息修改策略。
205.第一IPX设备向第二SEPP设备发送修改后的第一N32消息。
206.第二SEPP设备获取修改后的第一N32消息中的消息修改策略、修改块和第一信令消息。
在本实施例中,第二SEPP设备接收到第一IPX设备发送的修改后的第一N32消息后,其可以获得其中携带的消息修改策略、修改块和第一信令消息。例如,第二SEPP设备对修改后的第一N32消息进行解密,获得第一信令消息。
207.第二SEPP设备根据所述第一IPX设备的消息修改策略校验第一N32消息中的修改块。
在本实施例中,第二SEPP设备具体可以校验修改块是否满足消息修改策略,例如消息修改策略中不能修改的字段是否被第一IPX设备修改。如果修改块满足消息修改策略,则校验通过。如果校验失败,则向第一IPX设备返回错误消息,丢弃该第一N32消息。
208.第二SEPP设备在校验成功后,向本地网络中的网络功能NF设备发送所述第一信令消息。
第二SEPP设备在校验第一N32消息中的修改块成功后,向本地网络中的NF发送第一信令消息。例如,第二SEPP设备向本地核心网中的SMF或UDM发送第一信令消息,本地网络中的NF处理上述第一信令消息。
209.第二SEPP设备接收本地网络的NF发送的第二信令消息。
在本实施例中,在本地网络中的NF处理上述第一信令消息后,可以向第二SEPP设备返回第二信令消息,第二信令消息可以被回传到第一SEPP设备。
此外,第二SEPP设备还可以接收本地网络中的其他NF主动发送的信令消息。为区分第二SEPP设备从第一SEPP设备接收到的第一信令消息,第二SEPP设备接收到的本地网络中的NF发送的信令消息统称为第二信令消息。
210.第二SEPP设备获取第二IPX设备的消息修改策略。
在本实施例中,第二信令消息可以通过上述相同的IPX设备(即第一IPX设备)发送到第一SEPP设备,也可以通过其他路径上的IPX设备(例如第二IPX设备)发送到第一SEPP设备,其处理逻辑是相同的,本实施例以第二信令消息通过不同的IPX设备发送到第一SEPP设备来说明。
在本实施例中,第二SEPP设备和第二IPX设备可以提前协商消息修改策略,然后两者在本地配置该消息修改策略。第二SEPP设备在确定第二信令消息需要通过第二IPX设备发送时,可以从本地配置中获取这个第二IPX设备的消息修改策略。
211.第二SEPP设备向所述第二IPX设备发送第二N32消息,所述第二N32消息中携带所述第二信令消息和所述消息修改策略。
在本实施例中,第二SEPP设备可以根据该第二信令消息和消息修改策略生成第二N32消息,该第二N32消息中携带第二IPX设备的消息修改策略和第二信令消息。
随后,第二SEPP设备可以对第二N32消息进行加密,向所述二IPX设备发送加密后的第二N32消息。本实施例中的第二N32消息具体可以为第二N32-F消息。
212.第二IPX设备接收第二SEPP设备发送的第二N32消息,对该第二N32消息进行修改。
其中,第二IPX设备可以根据本地配置的消息修改策略,对第二N32消息进行修改。修改的内容作为修改块的形式附在第二N32消息中。
213.第二IPX设备向第一SEPP设备发送修改后的第二N32消息。
214.第一SEPP设备获取修改后的第二N32消息中的消息修改策略、修改块和第二信令消息。
在本实施例中,第一SEPP设备接收第二IPX设备发送的修改后的第二N32消息后,其可以获得其中携带的消息修改策略、修改块和第二信令消息。例如,第一SEPP设备可以对修改后的第二N32消息进行解密,获得其中携带的第二信令消息。
215.第一SEPP设备根据第二IPX设备的消息修改策略校验第二N32消息中的修改块。
在本实施例中,第一SEPP设备具体可以校验修改块是否满足消息修改策略,例如消息修改策略中不能修改的字段是否被第二IPX设备修改。如果修改块满足消息修改策略,则校验通过。如果校验失败,则向第二IPX设备返回错误消息,丢弃该第二N32消息。
215.第一SEPP设备在校验成功后,向本地网络中的网络功能NF设备发送所述第二信令消息。
第一SEPP设备在校验第二N32消息中的修改块成功后,向本地网络中的NF发送第二信令消息。例如,向本地核心网中的SMF或PCF发送第二信令消息,本地网络中的NF处理上述第二信令消息。
在本实施例提供的技术方案中,第一SEPP设备既可以作为发送端SEPP设备发送第一N32消息,也可以作为接收端SEPP设备接收第二N32消息。同理,第二SEPP设备既可以作为发送端SEPP设备发送第二N32消息,也可以作为接收端SEPP设备接收第一N32消息。
第一SEPP设备和第二SEPP设备均可以获取与其对接的IPX设备的消息修改策略,然后向该IPX设备发送N32消息,N32消息中携带了该IPX设备的消息修改策略。从而,IPX设备可以将接收到的N32消息向第二SEPP设备或第一SEPP设备发送。与现有技术相比,本实施例提供的安全通信方法中发送端SEPP设备不需要和接收端SEPP设备协商消息修改策略,而是与其对接的IPX设备协商修改策略,然后通过N32消息将协商好的消息修改策略发给接收端SEPP设备,显著降低了发送端SEPP设备上维护的消息修改策略的数量,节省了发送端SEPP设备的资源,也降低了发送端SEPP设备的成本。
对应的,作为接收端的SEPP设备,其可以直接从接收到的N32消息中获得与发送端SEPP设备对接的IPX设备的消息修改策略,不需要在本地维护不同消息传输路径对应的消息修改策略,节省了接收端SEPP设备的资源,也降低了接收端SEPP设备的成本。
在一个可能的实施例中,IPX设备的消息修改策略可以为默认策略或通配策略,例如通过标识“1”来代表默认策略,通过“0”来代表通配策略。本实施例可以减少SEPP设备或IPX设备上配置的策略的数量。
参见图3,图3为本申请实施例提供的另一种安全通信方法的流程示意图。
本实施例提供的安全通信方法可以应用于图1-C和图1-E所描述的系统架构中,第一SEPP设备和第二SEPP设备之间可以存在多条传输路径。其中,第一IPX设备与第一SEPP设备连接,第二IPX设备与第二SEPP设备连接。
在本实施例中,SEPP设备和与其对接的IPX设备可以协商消息修改策略,然后两者在本地配置该消息修改策略。
在本实施例提供的安全通信方法主要包括:
301.第一SEPP设备接收网络功能NF设备发送的第一信令消息。
302.第一SEPP设备获取第一IPX设备的消息修改策略。
303.第一SEPP设备向所述第一IPX设备发送第一N32消息,所述第一N32消息中携带所述第一信令消息和第一IPX设备的消息修改策略。
304.第一IPX设备接收第一SEPP设备发送的第一N32消息,对该第一N32消息进行第一次修改。
其中,上述操作301-304的实现过程和上述实施例中的操作201-204类似,详情参见上述实施例的描述。
305.第一IPX设备向第二IPX设备发送第一次修改后的第一N32消息。
在本实施例中,第一SEPP设备和第二SEPP设备的消息传输路径上包括两个IPX设备,分别为第一IPX设备和第二IPX设备。
306.第二IPX设备接收第一IPX设备发送的第一N32消息,对该第一N32消息进行第二次修改。
在本实施例中,第二IPX设备可以在接收到第一N32消息后,确定该第一N32消息需要发送道第二SEPP设备,则确定第二SEPP设备对应的消息修改策略,然后使用该消息修改策略对该第一N32消息进行第二次修改。修改的内容可以作为修改块的形式附在第一N32消息中,并使用第二IPX设备的私钥进行签名。
其中,第二IPX设备可以根据本地的SEPP设备的标识和消息修改策略之间的对应关系,确定第二SEPP设备的标识对应的消息修改策略。
307.第二IPX设备向第二SEPP设备发送第二次修改后的第一N32消息。
在本实施例中,第一N32消息经过了两个IPX设备的修改,第二次修改后的第一N32消息中包括两个修改块,分别是第一IPX设备的修改块和第二IPX设备的修改块。
308.第二SEPP设备获取第二IPX设备的消息修改策略和第二IPX设备的修改块。
在本实施例中,第二SEPP设备可以从本地获取第二IPX设备的消息修改策略。
第二SEPP设备接收到第二IPX设备发送的第一N32消息后,可以对第一N32消息进行安全校验,安全校验通过后,获得第一IPX设备的修改块、第二IPX设备的修改块、第一信令消息和第一IPX设备的消息修改策略。
随后,第二SEPP设备对第一IPX设备的修改块和第二IPX设备的修改块进行校验。其中,第二SEPP设备可以先校验第一IPX设备的修改块,也可也先校验第二IPX设备的修改块。本实施例中以先校验第二IPX设备的修改块为例来说明。
309.第二SEPP设备使用第二IPX设备的消息修改策略对第二次修改后的第一N32消息中的第二IPX设备的修改块进行校验。
在本实施例中,第二SEPP设备可以校验第二IPX设备对第一N32消息的修改(即第二IPX设备的修改块)是否满足第二IPX设备的消息修改策略,如果满足,则校验成功,第二SEPP设备进一步校验第一N32消息中的第一IPX设备的修改块,执行下面的操作310。否则,校验失败,第二SEPP设备向第二IPX设备返回失败响应。第二SEPP设备可以丢弃该第一N32消息。
310.第二SEPP设备使用第一IPX设备的消息修改策略校验第一N32消息中第一IPX设备的修改块。
在本实施例中,第二SEPP设备可以校验第一IPX设备对第一N32消息的修改(即第一IPX设备的修改块)是否满足第一IPX设备的消息修改策略,如果满足,则校验成功,执行后续操作。否则,校验失败,第二SEPP设备返回失败响应。第二SEPP设备可以丢弃该第一N32消息。
311.第二SEPP设备在校验成功后,向本地网络中的网络功能NF设备发送所述第一信令消息。
第二SEPP设备在校验第一N32消息中的第一IPX设备的修改块成功后,向本地网络中的NF发送第一信令消息。例如,第二SEPP设备向本地核心网中的SMF或UDM发送第一信令消息,本地网络中的NF处理上述第一信令消息。
在本实施例提供的技术方案中,第一SEPP设备既可以作为发送端SEPP设备发送N32消息,也可以作为接收端SEPP设备接收N32消息。第一SEPP设备处理第二SEPP设备发送的N32消息的流程和上述实施例中第二SEPP设备处理第一N32消息的流程类似,例如第一SEPP设备可以对接收到的N32消息中的修改块进行校验,具体过程参考上述相关操作,在此不再赘述。
对应的,第二SEPP设备既可以作为接收端SEPP设备接收N32消息,也可以作为发送端SEPP设备发送N32消息。第二SEPP设备发送N32消息的流程和上述实施例中第一SEPP设备发送第一N32消息的流程类似,例如在N32消息中携带第二IPX设备的消息修改策略。具体过程参考上述相关操作,在此不再赘述。
在本实施例提供的技术方案中,发送端SEPP设备不需要和接收端SEPP设备协商整条传输路径上的消息修改策略,而是与其对接的IPX设备协商消息修改策略,然后通过N32消息将该IPX设备的消息修改策略发给接收端SEPP设备,显著降低了SEPP设备上维护的消息修改策略的数量,节省了SEPP设备的资源。
在本实施例提供的技术方案中,消息修改策略通过N32-F消息在第一SEPP设备和第二SEPP设备之间传输,利用了现有的N32-F消息的保护机制,可以增强消息修改策略传输的安全,也节省了资源。
参见图4-A,图4-A为本申请实施例提供的一种安全通信方法的流程示意图。
本实施例以图1-E所示的系统架构为例来说明。其中,cSEPP设备和pSEPP设备的传输路径上包括cIPX设备和pIPX设备。cSEPP设备和与其对接的cIPX设备可以协商消息修改策略1,然后两者在本地配置该消息修改策略1。pSEPP设备和与其对接的pIPX设备可以协商消息修改策略2,然后两者在本地配置该消息修改策略2。上述协商和配置过程可以由操作员或SEPP设备、IPX设备自身来执行。
参考图4-A,本实施例中的一种安全通信方法可包括:
401.cSEPP设备接收核心网设备发送的http2请求。
在本实施例中,cSEPP设备本网的核心网设备向cSEPP设备发送http2请求。http2请求中可以携带具体的漫游信令消息,例如漫游计费消息。
402.cSEPP设备获取cIPX设备的消息修改策略,生成N32请求消息。
在本实施例中,cSEPP设备可以判断http2请求消息需要通过cIPX设备发送到pSEPP设备,则从本地获取cIPX设备的消息修改策略。其中,cSEPP设备可以根据http2消息中的用户标识或运营商标识等信息来确定http2请求消息需要通过cIPX设备发送到pSEPP设备。
在可选的实施例中,消息修改策略具体可以包括允许修改消息头中的字段和/或不允许修改消息头中的字段。例如允许修改N32请求消息的消息头中的header value字段、不允许修改消息头中的encBlockIndex字段、允许修改消息头中的负载payload字段。
在可选的实施例中,N32请求消息中还携带cIPX设备的公钥或安全证书。cSEPP设备可以将cIPX设备的公钥或安全证书放在N32请求消息的消息体或消息头中发给cIPX设备。
403.cSEPP设备向cIPX设备发送N32请求消息。
在本实施例中,N32请求消息的消息头中可以携带pSEPP设备的标识,例如pSEPP设备的主机名。此外,N32请求消息中还可以携带cSEPP设备的标识,例如cSEPP设备的主机名。
404.cIPX设备对接收到的N32请求消息进行修改,并进行签名认证。
在本实施例中,cIPX设备接收cSEPP设备发送的N32请求消息,然后从本地获取与cSEPP设备对应的消息修改策略,根据该消息修改策略对N32请求消息进行第一次修改。cIPX设备修改的内容以修改块的形式附在N32消息中。
其中,cIPX设备可以对N32请求消息的消息头进行修改,例如修改N32请求消息的消息头中的header value字段。
在修改完成后,cIPX设备可以使用私钥对修改块进行非对称签名,签名后的内容携带JSON网页签名(JSON Web Signature,JWS)。最终生成的修改块包括cIPX设备的标识(cIPX ID)、cIPX设备的签名以及JavaScript对象表示法(JavaScript Object Notation,JSON)包(patch)。其中,JSON包中包括cIPX设备的修改内容。
405.cIPX设备向pIPX设备发送修改后的N32请求消息。
在本实施例中,cIPX设备在完成修改内容签名后,将修改块放在N32请求消息的消息体中发送给pIPX设备。
406.pIPX设备对接收到的N32请求消息进行修改,并进行签名认证。
在本实施例中,pIPX设备接收cIPX设备发送的N32请求消息,获知该N32请求消息需要发送到pSEPP设备,则从本地获取与pSEPP设备对应的消息修改策略,根据该消息修改策略对N32请求消息进行第二次修改。pIPX设备修改的内容也以修改块的形式附加在N32请求消息的消息体中。
其中,pIPX设备可以对N32请求消息的消息头进行修改,例如修改N32请求消息的消息头中的负载字段。pIPX设备可以根据N32消息的消息头中携带的pSEPP设备的标识获知该N32消息需要发送到pSEPP设备。
在修改完成后,pIPX设备可以使用私钥对修改块进行非对称签名,签名后的内容携带JSON网页签名。最终生成的修改块中包括pIPX设备的标识(pIPX ID)、pIPX设备的签名以及JSON包。JSON包中包括pIPX设备的修改内容。
407.pIPX设备向pSEPP设备发送修改后的N32请求消息。
在本实施例中,pIPX设备在完成修改内容签名后,将修改块放在N32请求消息的消息体中发送给pSEPP设备。此时的N32请求消息中包括http2 request消息、cIPX设备的修改块以及pIPX设备的修改块。
408.pSEPP设备对N32请求消息进行校验。
在本实施例中,pSEPP设备在接收到pIPX设备发送的修改后的N32请求消息后,可以验证cIPX设备的修改块以及pIPX设备的修改块。具体的验证过程可以参考图4-B。
图4-B的验证过程包括如下操作:
A1.pSEPP设备验证cIPX设备的修改块的签名。
在本实施例中,pSEPP设备可以从N32消息的消息体中获得cIPX设备的公钥。此外,pSEPP设备还可以根据修改块中的cIPX设备的标识,从本地获取cIPX设备的公钥。
然后,pSEPP设备使用该公钥对cIPX设备的修改块进行解签,即验证该修改块是否为cIPX设备生成的。若是,则执行操作A2,即进一步验证cIPX设备的修改块中的修改内容是否满足cIPX设备的消息修改策略。若否,则验证失败,pSEPP设备向cSEPP设备发送错误消息。pSEPP设备可以丢弃该接收到的N32请求消息。
A2.pSEPP设备验证cIPX设备的修改内容是否满足cIPX设备的消息修改策略。
在本实施例中,pSEPP设备可以从N32消息的消息体或消息头中获取cIPX设备的消息修改策略,即上述消息修改策略1。随后,pSEPP设备根据获取的cIPX设备的消息修改策略对cIPX设备的修改内容进行验证(或校验)。例如,消息修改策略中不允许修改的字段是否被cIPX设备修改。如果没有被修改,则验证通过,否则,验证失败,pSEPP设备向cSEPP设备发送错误消息。pSEPP设备可以丢弃该接收到的N32请求消息。
B1.pSEPP设备验证pIPX设备的修改块的签名。
在本实施例中,pSEPP设备可以根据修改块中的pIPX设备的标识,从本地获取pIPX设备的公钥。
然后,pSEPP设备使用该公钥对pIPX设备的修改块进行解签,即验证该修改块是否为pIPX设备生成的。若是,则执行操作B2,即进一步验证pIPX设备的修改块中的修改内容是否满足pIPX设备的消息修改策略。若否,则验证失败,pSEPP设备向cSEPP设备发送错误消息。pSEPP设备可以丢弃该接收到的N32请求消息。
B2.pSEPP设备验证pIPX设备的修改内容是否满足pIPX设备的消息修改策略。
在本实施例中,pSEPP设备可以从根据pIPX设备的标识从本地获取pIPX设备的消息修改策略,即上述消息修改策略2。随后,pSEPP设备根据获取的pIPX设备的消息修改策略对pIPX设备的修改块中的修改内容进行验证(或校验)。例如,消息修改策略中不允许修改的字段是否被pIPX设备修改。如果没有被修改,则验证通过。否则,验证失败,pSEPP设备向cSEPP设备发送错误消息。pSEPP设备可以丢弃该接收到的N32请求消息。
在上述A2、B2均验证成功后,pSEPP设备可以将N32消息中的http2 request消息发给本地网络的其他设备,即执行操作409。
其中,pSEPP设备可以串行执行上述操作A1-A2和B1-B2,也可以并行执行A1-A2和B1-B2。但其中任何一个判断为否,则pSEPP设备向cSEPP设备发送错误消息。pSEPP设备可以丢弃该接收到的N32请求消息。
409.pSEPP设备向本地网络的设备发送http2请求消息。
在本实施例中,pSEPP设备可以在接收到N32请求消息后,使用对称密钥A对N32消息的消息体进行解密,获得http2消息。pSEPP设备可以在验证cIPX设备的修改块以及pIPX设备的修改块成功后,向本地网络的核心网设备发送该获得的http2请求消息。
在本实施例提供的技术方案中,cSEPP设备不需要和pSEPP设备协商整条传输路径上的消息修改策略,而是与其对接的cIPX设备协商消息修改策略,然后通过N32消息将cIPX设备的消息修改策略发给pSEPP设备,降低了cSEPP设备上维护的消息修改策略的数量,节省了cSEPP设备的资源。
对应的,pSEPP设备可以直接从接收到的N32消息中获得与cSEPP设备对接的cIPX设备的消息修改策略,不需要在本地维护不同消息传输路径对应的消息修改策略,节省了cSEPP设备的资源,也降低了cSEPP设备的成本。
在本实施例中,cSEPP设备可以对接收到的http2请求进行格式转换来生成N32消息。例如,cSEPP设备可以将http2消息封装到N32消息的消息体中。封装过程可以包括:cSEPP设备使用对称密钥A和JavaScript对象签名和加密(JavaScript object signingand encryption,JOSE)算法对Http2消息进行加密,得到加密的信元(informationelement,IE)。随后,cSEPP设备可以将加密的信元、明文(clear text)部分以及元数据封装为N32消息的消息体。此时,N32消息的消息体的结构可以参考图4-C,N32消息的消息体也可以称为验证块。其中,消息体中的明文部分可以携带cIPX设备的消息修改策略。加密信元中携带http2 request消息,元数据部分可以携带下一跳的标识(例如cIPX设备的ID)。cSEPP设备可以对消息体中的明文部分进行完整性保护。
在另一可选的实施例中,cSEPP设备也可以使用对称密钥A和JavaScript对象签名和加密JOSE算法对Http2消息以及cIPX设备的消息修改策略进行加密,得到一个加密的信元IE。此时,加密的信元中包括http2请求消息以及cIPX设备的消息修改策略。随后,cSEPP设备可以将加密的信元、明文部分以及元数据封装为N32消息的消息体(图4-D所示)。此时,明文部分中携带了cIPX的标识,但没有携带cIPX设备的消息修改策略。
在另一可选的实施例中,cSEPP设备也可以使用对称密钥A和JavaScript对象签名和加密JOSE算法分别对Http2消息以及cIPX设备的消息修改策略进行加密,得到两个加密的信元。此时,这两个加密的信元中分别包括http2请求消息以及cIPX设备的消息修改策略。随后,cSEPP设备可以将两个加密的信元、明文部分以及元数据封装为N32消息的消息体(图4-D所示)。此时,明文部分中携带了cIPX的标识,但没有携带cIPX设备的消息修改策略。
下面介绍一些装置实施例。
参见图5,本申请实施例提供的SEPP设备的功能示意图。
如图所示,SEPP设备500主要包括第一接收单元510、第一获取单元520和第一发送单元530。
其中,第一接收单元510用于接收网络功能NF设备发送的第一信令消息;
第一获取单元520用于获取IP交换服务IPX设备的消息修改策略;
第一发送单元530用于向IPX设备发送第一N32消息,所述第一N32消息中携带所述第一信令消息和所述IPX设备的消息修改策略。
本实施例提供的SEPP设备可以使用在前述方法实施例提供的安全通信方法中,具体细节和有益效果可以参考上述实施例。
本实施例提供的SEPP设备通过第一接收单元510、第一获取单元520和第一发送单元530之间的配合,可以实现发送端SEPP设备和接收端SEPP设备之间安全传输IPX设备的消息修改策略,提高了发送端SEPP设备和接收端SEPP设备通信的安全性。
在一个可能的实施例中,上述SEPP设备中的第一获取单元520还用于获取所述IPX设备的安全证书。此时,第一发送单元530发送的第一N32消息中携带所述IPX设备的安全证书。
在一个可能的实施例中,SEPP设备中的第一发送单元530可以通过如下方式发送第一N32消息:
所述第一发送单元530将所述第一信令消息和所述IPX设备的消息修改策略封装在所述第一N32消息的消息体中向所述IPX设备发送。
在一个可能的实施例中,上述IPX设备的消息修改策略携带在第一N32消息的消息体的明文部分。
在一个可能的实施例中,第一获取单元520可以从本地配置中获取所述IPX设备的消息修改策略。
在一个可能的实施例中,SEPP设备的第一接收单元510还用于接收IPX设备发送的第二N32消息,第二N32消息中携带第二信令消息和所述IPX设备的修改内容。
继续参考图5,本实施例提供的SEPP设备还可以包括:第一校验单元540,用于根据IPX设备的消息修改策略校验第二N32消息中的IPX设备的修改内容;进而,上述第一发送单元530还在第一校验单元540校验成功后,向网络功能NF设备发送所述第二信令消息。
参见图6,本申请实施例提供的SEPP设备的功能示意图。
如图所示,SEPP设备600主要包括:第二接收单元610、第二校验单元620和第二发送单元630。
其中,第二接收单元610用于接收N32消息,所述N32消息中携带信令消息和IPX设备的消息修改策略;第二校验单元620,用于根据所述IPX设备的消息修改策略校验所述N32消息;第二发送单元630用于在第二校验单元620校验N32消息成功后,向网络功能NF设备发送所述信令消息。
本实施例提供的SEPP设备可以使用在前述方法实施例提供的安全通信方法中,具体细节和有益效果可以参考上述实施例。
本实施例提供的SEPP设备通过第二接收单元610、第二校验单元620和第二发送单元630之间的配合,可以实现发送端SEPP设备和接收端SEPP设备之间安全传输IPX设备的消息修改策略,提高了发送端SEPP设备和接收端SEPP设备通信的安全性。
在一个可能的实施例中,SEPP设备中的第二接收单元610接收到的N32消息中还携带所述IPX设备的安全证书,所述第二校验单元620根据所述消息修改策略校验所述N32消息包括:
第二校验单元620根据所述IPX设备的安全证书校验所述N32消息中所述IPX设备的修改块的签名;在校验通过后,第二校验单元620还根据所述消息修改策略校验所述IPX设备的修改块中的所述修改内容。
继续参考图5,本实施例提供的SEPP设备还可以包括解密单元640,用于对所述N32消息的消息体进行解密,获得所述IPX设备的消息修改策略。
在一个可能的实施例中,SEPP设备中的解密单元640还用于对所述N32消息的消息体进行解密,获得所述N32消息中携带的信令消息。
参见图7,本申请实施例提供的SEPP设备的功能示意图。
如图所示,SEPP设备700主要包括:第三接收单元710,第三获取单元720、第三校验单元730和第三发送单元740。
其中,其中,第三接收单元710用于接收第一IPX设备发送的N32消息,所述N32消息中携带信令消息;
第三获取单元720用于获取所述第一IPX设备的消息修改策略;
第三校验单元730用于根据所述消息修改策略校验所述N32消息;
第三发送单元740用于在第三校验单元730校验N32消息成功后,向网络功能NF设备发送所述信令消息。
本实施例提供的SEPP设备可以使用在前述方法实施例提供的安全通信方法中,具体细节和有益效果可以参考上述实施例。
本实施例提供的SEPP设备通过第三接收单元710、第三获取单元720、第三校验单元730和第三发送单元740之间的配合,可以实现发送端SEPP设备向接收端SEPP设备之间安全传输IPX设备的消息修改策略,提高了发送端SEPP设备和接收端SEPP设备通信的安全性。
在一个可能的实施例中,第三接收单元710接收到的N32消息中还携带第一IPX设备的修改内容,第三校验单元730可以采用如下方式来校验所述N32消息:第三校验单元730根据所述消息修改策略校验所述N32消息中所述第一IPX设备的修改内容。
在一个可能的实施例中,第三接收单元710接收到的N32消息中还携带第二IPX设备的安全证书、所述第二IPX设备的消息修改策略和所述第二IPX设备的修改块。此时,第三校验单元730还用于使用所述安全证书对所述第二IPX设备的修改块进行校验,并在校验通过时,使用所述第二IPX设备的消息修改策略校验所述第二IPX设备的修改块中的修改内容。
在一个可能的实施例中,第一SEPP设备中的第三接收单元710还用于接收第二SEPP设备发送的通知消息,所述通知消息中携带所述第二IPX设备的消息修改策略。
在一个可能的实施例中,第一SEPP设备为cSEPP设备,第二SEPP设备为pSEPP设备。在一个可能的实施例中,第一SEPP设备为vSEPP设备,第二SEPP设备为hSEPP设备。
参见图8-9,图8为本申请实施例提供的通信装置的结构示意图,图9为通信装置中的单板830的接口示意图。
如图所示,该通信装置主要包括机柜820以及安装在机柜内的单板830。其中,单板由芯片及电子元器件组成,可以提供通信业务。单板830的数量可以根据实际需要增加或减少,本实施例不限定单板830的数量。此外,机柜820还安装有柜门821。
如图9所示,单板830包括多个输入/输出接口,例如用于外接显示器的显示接口831、连接通信网络的网络接口832、通用串行总线(Universal Serial Bus,USB)接口833等。
此外,单板830中还包括连接电源的电源接口835、用于散热的散热口834等。
上述通信装置通过安装不同的单板830实现不同的功能,例如可以实现本申请实施例中SEPP设备的功能。单板830上安装有通用处理器/控制芯片/逻辑电路之类的控制元件。单板830中也可以安装有存储芯片之类的存储器。上述处理器、存储器可以和相关的通信接口配合以执行本申请实施例中可由SEPP设备执行的任意一种方法的部分或全部操作。
参见图10,图10是本发明实施例提供的SEPP设备的硬件结构图。
本实施例提供的SEPP设备可以采用通用的计算机硬件,其包括处理器1001、存储器1002、总线1003、输入设备1004、输出设备1005以及网络接口1006。
具体的,存储器1002可以包括以易失性和/或非易失性存储器形式的计算机存储媒体,如只读存储器和/或随机存取存储器。存储器1002可以存储操作系统、应用程序、其他程序模块、可执行代码和程序数据。
输入设备1004可以用于向SEPP设备输入命令和信息,输入设备1004如键盘或指向设备,如鼠标、轨迹球、触摸板、麦克风、操纵杆、游戏垫、卫星电视天线、扫描仪或类似设备。这些输入设备可以通过总线1003连接至处理器1001。
输出设备1005可以用于SEPP设备输出信息,除了监视器之外,输出设备1005还可以为其他外围输出设各,如扬声器和/或打印设备,这些输出设备也可以通过总线1003连接到处理器1001。
SEPP设备可以通过网络接口1006连接到通信网络中,例如连接到局域网(LocalArea Network,LAN)。在联网环境下,SEPP设备中存储的计算机执行指令可以存储在远程存储设备中,而不限于在本地存储。
当SEPP设备中的处理器1001执行存储器1002中存储的可执行代码或应用程序时,SEPP设备可以执行以上方法实施例中的SEPP设备一侧的方法操作,例如执行操作201、202、301、307、401-403等。具体执行过程参见上述方法实施例,在此不再赘述。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被硬件(如处理器)执行时能够完成本申请实施例中可由SEPP设备执行的任意一种方法的部分或全部操作。
本申请实施例还提供了一种包括指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述这个计算机设备执行可由SEPP设备执行的任意一种方法的部分或者全部操作。
在上述实施例中,可全部或部分地通过软件、硬件、固件、或其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如光盘)、或者半导体介质(例如固态硬盘)等。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,也可以通过其它的方式实现。例如以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可结合或者可以集成到另一个系统,或一些特征可以忽略或不执行。另一点,所显示或讨论的相互之间的间接耦合或者直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例的方案的目的。
另外,在本申请各实施例中的各功能单元可集成在一个处理单元中,也可以是各单元单独物理存在,也可两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,或者也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分操作。

Claims (17)

1.一种安全通信方法,其特征在于,包括:
安全和边界代理SEPP设备接收网络功能NF设备发送的第一信令消息;
所述SEPP设备获取IP交换服务IPX设备的消息修改策略;
所述SEPP设备向所述IPX设备发送第一N32消息,所述第一N32消息中携带所述第一信令消息和所述IPX设备的消息修改策略。
2.如权利要求1所述的方法,其特征在于,还包括:
所述SEPP设备获取所述IPX设备的安全证书,所述第一N32消息中携带所述IPX设备的安全证书。
3.如权利要求1所述的方法,其特征在于,所述SEPP设备向所述IPX设备发送所述第一N32消息包括:
所述SEPP设备将所述第一信令消息和所述IPX设备的消息修改策略封装在所述第一N32消息的消息体中向所述IPX设备发送。
4.如权利要求1或3所述的方法,其特征在于,
所述消息修改策略携带在所述第一N32消息的消息体的明文部分。
5.如权利要求1所述的方法,其特征在于,还包括:
所述SEPP设备接收所述IPX设备发送的第二N32消息,所述第二N32消息中携带第二信令消息和所述IPX设备的修改内容;
所述SEPP设备根据所述IPX设备的消息修改策略校验所述第二N32消息中的所述IPX设备的修改内容;
所述SEPP设备在校验成功后,向所述网络功能NF设备发送所述第二信令消息。
6.一种安全通信方法,其特征在于,包括:
安全和边界保护代理SEPP设备接收N32消息,所述N32消息中携带信令消息和IP交换服务IPX设备的消息修改策略;
所述SEPP设备根据所述IPX设备的消息修改策略校验所述N32消息;
所述SEPP设备在校验成功后,向网络功能NF设备发送所述信令消息。
7.如权利要求6所述的方法,其特征在于,所述SEPP设备接收的N32消息中还携带所述IPX设备的安全证书,所述SEPP设备根据所述消息修改策略校验所述N32消息包括:
所述SEPP设备根据所述IPX设备的安全证书校验所述N32消息中所述IPX设备的修改块的签名;
所述SEPP设备在校验通过后,根据所述消息修改策略校验所述IPX设备的修改块中的所述修改内容。
8.如权利要求6所述的方法,其特征在于,所述SEPP设备对所述N32消息的消息体进行解密,获得所述IPX设备的消息修改策略。
9.如权利要求6所述的方法,其特征在于,所述SEPP设备对所述N32消息的消息体进行解密,获得所述N32消息中携带的信令消息。
10.一种安全通信方法,其特征在于,包括:
第一安全和边界保护代理SEPP设备接收第一IP交换服务IPX设备发送的N32消息,所述N32消息中携带信令消息;
所述第一SEPP设备获取所述第一IPX设备的消息修改策略,根据所述消息修改策略校验所述N32消息;
所述第一SEPP设备在校验成功后,向网络功能NF设备发送所述信令消息。
11.如权利要求10所述的方法,其特征在于,所述N32消息中还携带第一IPX设备的修改内容,所述第一SEPP设备根据所述消息修改策略校验所述N32消息包括:
所述第一SEPP设备根据所述消息修改策略校验所述N32消息中所述第一IPX设备的修改内容。
12.如权利要求10所述的方法,其特征在于,所述N32消息中还携带第二IPX设备的安全证书、所述第二IPX设备的消息修改策略和所述第二IPX设备的修改块,所述方法还包括:
第一SEPP设备使用所述安全证书对所述第二IPX设备的修改块进行校验;
所述第一SEPP设备在校验通过后,使用所述第二IPX设备的消息修改策略校验所述第二IPX设备的修改块中的修改内容。
13.如权利要求10所述的方法,其特征在于,还包括:
第一SEPP设备接收第二SEPP设备发送的通知消息,所述通知消息中携带所述第二IPX设备的消息修改策略。
14.一种计算机可读存储介质,其特征在于,
所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时能够完成权利要求1至13任意一项所述的方法。
15.一种安全和边界保护代理SEPP设备,其特征在于,包括:
至少一个处理器和相互耦合的存储器,所述存储器中存储了计算机程序代码,所述处理器调用并执行所述存储器中的计算机程序代码,使得所述SEPP设备执行如权利要求1-13任意一项所述的方法。
16.一种安全通信的系统,其特征在于,包括:
核心网网络功能设备和安全和边界保护代理SEPP设备,所述核心网网络功能设备配置于向所述SEPP设备发送第一信令消息;
所述SEPP设备配置于执行上述权利要求1-5任意一项所述的方法。
17.一种安全通信的系统,其特征在于,包括:
核心网网络功能设备和安全和边界保护代理SEPP设备,所述SEPP设备配置于执行上述权利要求1-13任意一项所述的方法。
CN202010537382.7A 2020-06-12 2020-06-12 安全通信方法、相关装置及系统 Pending CN113873510A (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN202010537382.7A CN113873510A (zh) 2020-06-12 2020-06-12 安全通信方法、相关装置及系统
PCT/CN2021/099508 WO2021249512A1 (zh) 2020-06-12 2021-06-10 安全通信方法、相关装置及系统
JP2022576520A JP7442690B2 (ja) 2020-06-12 2021-06-10 安全な通信方法、関連する装置、およびシステム
EP21821455.9A EP4152717A4 (en) 2020-06-12 2021-06-10 SECURE COMMUNICATION METHOD, RELATED APPARATUS, AND SYSTEM
CA3182259A CA3182259A1 (en) 2020-06-12 2021-06-10 Secure communication method, related apparatus, and system
US18/064,501 US20230156468A1 (en) 2020-06-12 2022-12-12 Secure Communication Method, Related Apparatus, and System

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010537382.7A CN113873510A (zh) 2020-06-12 2020-06-12 安全通信方法、相关装置及系统

Publications (1)

Publication Number Publication Date
CN113873510A true CN113873510A (zh) 2021-12-31

Family

ID=78845372

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010537382.7A Pending CN113873510A (zh) 2020-06-12 2020-06-12 安全通信方法、相关装置及系统

Country Status (6)

Country Link
US (1) US20230156468A1 (zh)
EP (1) EP4152717A4 (zh)
JP (1) JP7442690B2 (zh)
CN (1) CN113873510A (zh)
CA (1) CA3182259A1 (zh)
WO (1) WO2021249512A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115474188A (zh) * 2022-08-30 2022-12-13 中国联合网络通信集团有限公司 漫游场景下策略协商方法、装置及存储介质

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114945173B (zh) * 2022-03-29 2023-05-05 广州爱浦路网络技术有限公司 跨plmn信令转发方法、电子设备及存储介质

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109699031A (zh) * 2018-01-11 2019-04-30 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11038923B2 (en) * 2018-02-16 2021-06-15 Nokia Technologies Oy Security management in communication systems with security-based architecture using application layer security

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109699031A (zh) * 2018-01-11 2019-04-30 华为技术有限公司 采用共享密钥、公钥和私钥的验证方法及装置

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
3RD GENERATION PARTNERSHIP PROJECT;: "Technical Specification Group Core Network and Terminals; 5G System; Public Land Mobile Network (PLMN) Interconnection; Stage 3(Release 16)", 3GPP TS 29.573 V16.2.0, pages 4 - 5 *
3RD GENERATION PARTNERSHIP PROJECT;: "Technical Specification Group Services and System Aspects; Security architecture and procedures for 5G system (Release 15)", 3GPP TS 33.501 V15.8.0, pages 13 *

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115474188A (zh) * 2022-08-30 2022-12-13 中国联合网络通信集团有限公司 漫游场景下策略协商方法、装置及存储介质
CN115474188B (zh) * 2022-08-30 2024-06-21 中国联合网络通信集团有限公司 漫游场景下策略协商方法、装置及存储介质

Also Published As

Publication number Publication date
CA3182259A1 (en) 2021-12-16
JP2023529951A (ja) 2023-07-12
JP7442690B2 (ja) 2024-03-04
EP4152717A4 (en) 2023-10-18
EP4152717A1 (en) 2023-03-22
WO2021249512A1 (zh) 2021-12-16
US20230156468A1 (en) 2023-05-18

Similar Documents

Publication Publication Date Title
JP7035163B2 (ja) ネットワークセキュリティ管理方法および装置
WO2020029938A1 (zh) 安全会话方法和装置
KR101438243B1 (ko) Sim 기반 인증방법
CN111865597B (zh) 通信方法和通信设备
US20200228977A1 (en) Parameter Protection Method And Device, And System
JP2022502908A (ja) Nasメッセージのセキュリティ保護のためのシステム及び方法
CN113727341B (zh) 安全通信方法、相关装置及系统
WO2020248624A1 (zh) 一种通信方法、网络设备、用户设备和接入网设备
US20230156468A1 (en) Secure Communication Method, Related Apparatus, and System
US9241264B2 (en) Network access authentication for user equipment communicating in multiple networks
US20230269579A1 (en) Communication method, related apparatus, and system
US20230269690A1 (en) Registration methods using one-time identifiers for user equipments and nodes implementing the registration methods
Fujdiak et al. Security in low-power wide-area networks: State-of-the-art and development toward the 5G
WO2022134089A1 (zh) 一种安全上下文生成方法、装置及计算机可读存储介质
CN114301967B (zh) 窄带物联网控制方法、装置及设备
EP3821562A1 (en) Security management for unauthorized requests in communication system with service-based architecture
WO2021164458A1 (zh) 通信方法和相关装置及计算机可读存储介质
CN115706997A (zh) 授权验证的方法及装置
CN114024664B (zh) 安全通信方法、相关装置及系统
KR20200044592A (ko) 다중 경로 전송 시스템, 그리고 이의 다중 경로 전송 방법
WO2024032226A1 (zh) 通信方法和通信装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination