CN116438779A - 用于利用网络功能标识符实现入口消息速率限制的方法、系统和计算机可读介质 - Google Patents
用于利用网络功能标识符实现入口消息速率限制的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN116438779A CN116438779A CN202180074770.9A CN202180074770A CN116438779A CN 116438779 A CN116438779 A CN 116438779A CN 202180074770 A CN202180074770 A CN 202180074770A CN 116438779 A CN116438779 A CN 116438779A
- Authority
- CN
- China
- Prior art keywords
- network function
- service
- consumer
- message rate
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/22—Traffic shaping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/32—Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/70—Admission control; Resource allocation
- H04L47/82—Miscellaneous aspects
- H04L47/822—Collecting or measuring resource availability data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于入口消息速率限制的方法、系统和计算机可读介质。一种方法包括在网络节点处从服务消费者网络功能接收服务访问请求消息并且从接收到的服务访问请求消息中提取访问令牌,该访问令牌包括识别服务消费者网络功能的消费者网络功能实例标识符。该方法还包括使用消费者网络功能实例标识符确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率,并且响应于确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率而执行消息速率限制动作。
Description
优先权声明
本申请要求于2020年12月28日提交的美国专利申请序列No.17/134,635、于2020年12月21日提交的美国专利申请序列No.17/129,487、于2020年11月13日提交的印度临时专利申请序列No.202041049614和于2020年11月6日提交的印度临时专利申请序列No.202041048552的优先权权益,其公开内容通过引用整体并入本文。
技术领域
本文描述的主题涉及增强5G通信网络中的安全性。更具体地,本文描述的主题涉及用于利用网络功能标识符实现入口消息速率限制的方法、系统和计算机可读介质。
背景技术
在5G电信网络中,提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF,具体取决于它是在消费还是提供服务。
给定的生产者NF可以有许多服务端点,其中服务端点是用于由生产者NF托管的一个或多个NF实例的联系点。服务端点由互联网协议(IP)地址和端口号的组合或在托管生产者NF的网络节点上解析为IP地址和端口号的完全限定的域名来识别。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是,多个NF实例可以共享同一个服务端点。
生产者NF向网络功能储存库功能(NRF)注册。NRF维护识别每个NF实例支持的服务的可用NF实例的服务简档。消费者NF可以订阅以接收关于已向NRF注册的生产者NF实例的信息。除了消费者NF之外,另一种可以订阅以接收关于NF服务实例的信息的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理,并且服务通信代理在提供所需服务的生产者NF服务实例之间进行负载平衡流量,或者直接将流量路由到目的地生产者NF实例。
除了SCP之外,在生产者和消费者NF之间路由流量的中间代理节点或网络节点组的其它示例包括安全边缘保护代理(SEPP)、服务网关和5G服务网格中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。由此,SEPP对所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。
但是,需要一个或多个NF处改进的安全性措施。
发明内容
公开了用于利用网络功能标识符实现入口消息速率限制的方法、系统和计算机可读介质。一种示例方法包括在网络节点处从服务消费者网络功能接收服务访问请求消息并且从接收到的5C服务访问请求消息中提取访问令牌,该访问令牌包括识别服务消费者网络功能的消费者网络功能实例标识符。该方法还包括使用消费者网络功能实例标识符确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率,并且响应于确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率而执行消息速率限制动作。
根据本文描述的主题的一方面,一种方法,其中服务请求消息是基于服务的接口(SBI)服务请求消息。
根据本文描述的主题的一方面,一种方法,其中消费者网络功能实例标识符被包含在访问令牌的主题声明中。
根据本文描述的主题的一方面,一种方法,其中网络节点还被配置为从访问令牌中的消费者PLMN声明中提取消费者公共陆地移动网络(PLMN)标识符。
根据本文描述的主题的一方面,一种方法,网络节点包括安全性边缘保护代理(SEPP)、服务生产者网络功能或服务通信代理(SCP)。
根据本文描述的主题的一方面,一种方法,其中确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率包括获得与服务消费者网络功能相关联的允许的入口消息速率;获得与服务消费者网络功能相关联的当前入口消息速率;并且将当前入口消息速率与允许的入口消息速率进行比较,以确定当前入口消息速率满足或超过允许的入口消息速率。
根据本文描述的主题的一方面,一种方法,消息速率限制动作包括丢弃请求消息、生成或修改用于丢弃入口消息的一部分的节流速率,或者通知网络运营商或管理系统。
一种用于入口消息速率限制的示例系统包括网络节点,该网络节点包括至少一个处理器和存储器。网络节点被配置用于其中网络节点被配置用于:从服务消费者网络功能接收服务访问请求消息;从接收到的服务访问请求消息中提取访问令牌,该访问令牌包括识别服务消费者网络功能的消费者网络功能实例标识符;使用消费者网络功能实例标识符确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率;并且响应于确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率而执行消息速率限制动作。
根据本文描述的主题的一方面,一种系统,其中服务请求消息是基于服务的接口(SBI)服务请求消息。
根据本文描述的主题的一方面,一种系统,其中消费者网络功能实例标识符被包含在访问令牌的主题声明中。
根据本文描述的主题的一方面,一种系统,其中网络节点还被配置为从访问令牌中的消费者PLMN声明中提取消费者公共陆地移动网络(PLMN)标识符。
根据本文描述的主题的一方面,一种系统,其中网络节点包括安全性边缘保护代理(SEPP)、服务生产者网络功能或服务通信代理(SCP)。
根据本文描述的主题的一方面,一种系统,其中确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率包括获得与服务消费者网络功能相关联的允许的入口消息速率;获得与服务消费者网络功能相关联的当前入口消息速率;并且将当前入口消息速率与允许的入口消息速率进行比较,以确定当前入口消息速率满足或超过允许的入口消息速率。
根据本文描述的主题的一方面,一种系统,其中消息速率限制动作包括丢弃请求消息、生成或修改用于丢弃入口消息的一部分的节流速率,或者通知网络运营商或管理系统。
一种示例非暂态计算机可读介质包括实施在非暂态计算机可读介质中的计算机可执行指令,指令在由至少一个计算机的至少一个处理器执行时使至少一个计算机执行包括以下的步骤:在网络节点处,从服务消费者网络功能接收服务访问请求消息并从接收到的服务访问请求消息中提取访问令牌,该访问令牌包括识别服务消费者网络功能的消费者网络功能实例标识符。步骤还包括使用消费者网络功能实例标识符确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率,并且响应于确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率而执行消息速率限制动作。
本文描述的主题可以以硬件、软件、固件或其任何组合来实现。因此,本文使用的术语“功能”、“节点”或“模块”是指硬件,其还可以包括软件和/或固件组件,用于实现所描述的特征。在一个示例实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,指令在由计算机的处理器执行时控制计算机执行步骤,诸如本发明的任何一个或多个步骤。适于实现本文描述的主题的示例计算机可读介质包括非暂态计算机可读介质,诸如盘存储设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
附图说明
现在将参考附图解释本文描述的主题,其中:
图1是图示示例5G核心网络体系架构的网络图;
图2是图示由服务生产者网络功能从服务消费者网络功能接收的示例消息信令的框图;
图3是是消息流程图,图示图3是图示访问令牌请求过程的消息流程图;
图4描绘了示例性编码的访问令牌和对应的解码的访问令牌;
图5是图示由消息速率限制引擎执行的入口消息速率限制的示例的消息流程图;
图6是图示被配置用于入口消息速率限制的示例网络节点的图;
图7是图示示例消息节流速率相关的记录数据库的图;以及
图8是图示用于利用网络功能标识符实现入口消息速率限制的示例处理的流程图。
具体实施方式
现在将详细参考本文描述的主题的各种实施例,其示例在附图中示出。在可能的情况下,将贯穿附图使用相同的附图标记来指代相同或相似的部分。
图1是图示示例5G系统网络体系架构10的框图,例如,归属5G核心(5GC)网络。图1中的体系架构10包括网络功能储存库功能(NRF)100和SCP 101,它们可以位于相同的归属公共陆地移动网络(PLMN)中。如上所述,NRF 100可以维护可用的生产者网络功能(NF)服务实例及其支持的服务的简档,并允许消费者NF或SCP订阅并得到新的/更新后的生产者NF服务实例的注册的通知。SCP 101还可以支持服务发现和生产者NF实例的选择。SCP 101可以对消费者和生产者NF之间的连接执行负载平衡。此外,使用本文描述的方法,SCP 101可以执行基于优选的NF位置的选择和路由。
NRF 100是用于生产者NF实例的NF或服务简档的储存库。为了与生产者NF实例通信,消费者NF或SCP必须从NRF 100获得NF或服务简档或生产者NF实例。NF或服务简档是在第三代合作伙伴计划(3GPP)技术规范(TS)29.510中定义的JavaScript对象表示法(JSON)数据结构。NF或服务简档定义包括完全限定的域名(FQDN)、互联网协议(IP)版本4(IPv4)地址或IP版本6(IPv6)地址中的至少一个。在图1中,任何节点(NRF 100除外)都可以是或者消费者NF或者生产者NF,这取决于它们是请求服务还是提供服务。在所示示例中,节点包括在网络中执行策略相关操作的策略控制功能(PCF)102、管理用户数据的用户数据管理(UDM)功能104,以及提供应用服务的应用功能(AF)106。图1中所示的节点还包括会话管理功能(SMF)108,其管理接入和移动性管理功能(AMF)110与PCF 102之间的会话。AMF 110执行类似于在4G网络中由移动性管理实体(MME)执行的那些操作的移动管理操作。认证服务器功能(AUSF)112为寻求接入网络的用户装备(UE),诸如用户装备(UE)114,执行认证服务。
网络切片选择功能(NSSF)116为寻求访问与网络切片相关联的特定网络能力和特点的设备提供网络切片服务。网络暴露功能(NEF)118为寻求获得关于物联网(IoT)设备和附接到网络的其它UE的信息的应用功能提供应用编程接口(API)。NEF 118执行与4G网络中的服务能力暴露功能(SCEF)类似的功能。
无线电接入网络(RAN)120经由无线链路将用户装备(UE)114连接到网络。可以使用g节点B(gNB)(图1中未示出)或其它无线接入点来接入无线电接入网络120。用户平面功能(UPF)122可以支持用于用户平面服务的各种代理功能性。这种代理功能性的一个示例是多路径传输控制协议(MPTCP)代理功能性。UPF 122还可以支持性能测量功能性,UE 114可以使用该功能性来获得网络性能测量。图1中还图示了数据网络(DN)124,UE通过它访问数据网络服务,诸如互联网服务。
安全性边缘保护代理(SEPP)126过滤来自另一个PLMN的传入流量,并对离开归属PLMN的流量执行拓扑隐藏。SEPP 126可以与管理外来PLMN的安全性的外来PLMN中的SEPP通信。因此,不同PLMN中的NF之间的流量可以穿越两个SEPP功能,一个用于归属PLMN,另一个用于外来PLMN。
SEPP 126可以利用N32-c接口和N32-f接口。N32-c接口是两个SEPP之间的控制平面接口,可用于执行初始握手(例如,TLS握手)和协商用于N32-f接口连接和相关消息转发的各种参数。N32-f接口是两个SEPP之间的转发接口,可用于转发在应用应用级安全性保护之后消费者NF和生产者NF之间的各种通信(例如,5GC服务访问请求和响应)。
现有5G体系架构的一个潜在问题是,消费者NF可以通过向归属PLMN中的生产者NF、SEPP或SCP发送大量服务访问请求消息来触发信令风暴。虽然归属网络中的接收生产者NF、SEPP或SCP可以发起全局消息速率限制处理以减少或减轻来自罪魁祸首的消费者NF的信令风暴的后果,但全局消息速率限制可以类似地丢弃以相等速率来自合法消费者NF和不为信令风暴负责或不与信令风暴相关联的SEPP的消息。
图2是描绘存在于多个服务消费者网络功能200-204中的每一个与服务生产者网络功能126之间的信令连接的图。在一些实施例中,服务生产者网络功能126要求某种方式的入口速率限制,以便保护自己免受来自订阅的消费者网络功能的过多5GC信令的影响。例如,服务生产者网络功能126可以配置有全局速率限制功能性,该功能性用于节流或限制从消费者网络功能接收的入口消息的数量。如图2中所示,生产者网络功能126可以被配置为从多个消费者网络功能200-204接收信令消息。在发送消息的多个消费者网络功能当中,一个或多个消费者功能可以正在发送过多数量的信令消息,这使得生产者网络功能126发起消息节流机制,该机制管理在生产者网络功能126处接收的消息的入口速率。虽然全局消息速率限制措施可以减轻来自特定消费者网络功能(例如,消费者网络功能200)的信令风暴的负面影响,但这种速率限制也会不公平地丢弃或节流与不为信令风暴负责或与信令风暴无关的合法消费者网络功能(例如,消费者网络功能202-204)相关联的流量。如图2中所示,由生产者网络功能执行的全局速率限制机制将节流所有传入的消息,并且不适当地节流根据允许的限制或阈值发送消息的消费者网络功能(例如,消费者网络功能202-204)。因此,消费者网络功能202-204被节流到与罪魁祸首的消费者网络功能(例如,消费者网络功能200)相同的程度。
在所公开主题的一些实施例中,可以为网络节点供应消息速率限制引擎(如下文进一步详细讨论的)。值得注意的是,消息速率限制引擎可以被配置为维持监视源自特定消费者网络功能的当前消息速率并确定该速率是否超过允许的阈值。为了实现这一点,网络节点处的消息速率限制引擎可以被配置为识别访问令牌(以及包括的消费者网络功能实例标识符),该访问令牌可以存储在由消费者网络功能发送的服务访问消息的HTTP和/或JSON消息报头。在一些实施例中,访问令牌可以是从诸如NRF之类的授权服务器请求的OAuth2访问令牌。
图3是图示由消费者网络功能执行的访问令牌请求过程的消息流程图。参考图3,服务消费者网络功能302可以向授权服务器304(例如,NRF)发送访问令牌请求消息311。特别地,请求消息311包括Nnrf_AcessToken_Get请求消息,该消息指定预期的NF服务名称和NF类型、服务消费者网络功能类型、客户端标识符等。在接收到请求消息311后,授权服务器304被配置为授权发出请求的客户端(即,服务消费者网络功能302)并为那个客户端生成唯一编码的访问令牌(例如,OAuth2访问令牌)。在生成编码的访问令牌之后,授权服务器304生成并发送指向服务消费者网络功能302的响应消息313。特别地,响应消息313可以包括Nnrf_AccessToken_Get响应消息,该消息包括由授权服务器生成的编码的访问令牌及其对应的到期时间。
一旦服务消费者网络功能302通过成功获取访问令牌获得必要的服务访问授权,服务消费者网络功能302就可以被配置为将获取的访问令牌包括在到服务生产者网络功能的网络功能服务请求消息(例如,SBI服务访问请求消息)中。具体而言,服务消费者网络功能可以在发送到服务生产者网络功能的网络功能服务请求消息中嵌入编码的访问令牌。响应于接收到网络功能服务请求消息,服务生产者网络功能被配置为从服务请求消息中提取编码的访问令牌。特别地,服务生产者网络功能可以适于核实访问令牌中包含的完整性和声明。如果访问令牌中的声明和完整性被成功核实,那么服务生产者网络功能被配置为允许服务消费者网络功能访问所请求的服务。即,服务生产者网络功能可以被配置为向服务消费者网络功能发送网络功能服务响应消息,该消息指示所请求的服务被授权并且将是可访问的。
图4描绘了示例性编码的访问令牌402和解码的访问令牌404。值得注意的是,由消费者网络功能以这种形式从授权服务器或NRF接收编码的访问令牌402。编码的访问令牌402还用在由消费者网络功能生成和发送的服务访问请求消息的HTTP报头中。编码的访问令牌最终由接收生产者网络功能和/或其消息速率限制引擎解码,如下文进一步讨论的。
图5描绘了图示由消息速率限制引擎514执行的示例性速率限制技术的消息信令图。如图5中所示,消息速率限制引擎514由服务生产者网络功能512托管。在替代实施例中,消息速率限制引擎514由SEPP或SCP节点托管。图5进一步图示了一对消费者网络功能521-522。如图5中所示,服务生产者网络功能512可以配置有记录数据库(例如,参见下面讨论并在图7中所示的记录数据库700),该数据库可以包含分别与已与服务生产者网络功能(或消息速率限制引擎514的主机)通信的服务消费者网络功能对应的多个记录条目。
如图5中所示,服务生产者网络功能512从服务消费者网络功能521接收NF服务请求消息502。值得注意的是,服务请求消息502包括先前由服务消费者网络功能521(例如,从上文关于图3描述的NRF)获得的编码的访问令牌。而且,访问令牌包括多个声明,消息速率限制引擎514可以访问其中的任何一个。例如,访问令牌中的一个声明是包含识别发送消费者网络功能521的消费者网络功能实例标识符的主题声明。访问令牌中的另一个可访问声明包括消费者PLMN标识符。虽然以下描述主要描述从主题声明和消费者PLMN声明中访问和提取标识符数据,但是在不脱离所公开主题的范围的情况下,访问令牌中包括的任何声明都可以被消息限速引擎访问以获取可以用于速率限制目的的标识信息。
在接收到服务请求消息502和访问令牌之后,服务生产者网络功能512和/或消息速率限制引擎514被配置为对编码的访问令牌进行解码并发起访问令牌核实和服务授权过程(参见方框503)。例如,消息速率限制引擎514可以被配置为核实包括在访问令牌中的声明的完整性。值得注意的是,消息速率限制引擎514被配置为从解码的访问令牌的主题声明中获取唯一识别消费者网络功能521的消费者网络功能实例标识符(和/或从解码的访问令牌的消费者PLMN声明中获得唯一识别消费者PLMN的消费者PLMN标识符)。一旦获得消费者网络功能实例标识符,消息速率限制引擎514就被配置为利用消费者网络功能实例标识符来交叉引用记录数据库的条目。特别地,记录数据库可以包括网络功能标识符(和/或消费者PLMN标识符、消费者NF组标识符等)和相关联的消息速率限制参数(例如,如图7中所示)。通过将消费者网络功能实例标识符与记录数据库的条目中包括的一个或多个消费者网络功能标识符进行比较,消息速率限制引擎514能够确定对特定服务消费者网络功能521施加的任何现有消息传递限制。例如,消息速率限制引擎514可以访问记录数据库并确定与服务消费者网络功能相关的各种消息传递信息,诸如由网络功能521执行的当前消息传递速率、用于网络功能521的预定义的允许消息速率以及当前应用于(如果适用)发送服务消费者网络功能的消息节流速率。在消息速率限制引擎514核实访问令牌的完整性并进一步确定服务消费者网络功能521正在以遵守生产者网络功能512可接受入口消息速率的方式进行通信的情况下,消息速率限制引擎514将向消费者网络功能521发送服务响应消息,指示对所请求服务的访问已被授权。另外,消息速率限制引擎514将继续允许消费者网络功能521与生产者网络功能512通信而不执行任何消息速率限制或节流动作。
在图5中所示的第二场景中,服务消费者网络功能522将其自己的网络功能服务请求消息发送到服务生产者网络功能512。类似于上面指示的消息502,服务请求消息505包括先前由服务消费者网络功能522(例如,从NRF)获得的编码的访问令牌。另外,编码的访问令牌还包括多个可访问声明,其中一个是包含唯一识别发送消费者网络功能522的消费者网络功能实例标识符的主题声明。另一个可访问的声明是包含唯一识别发送消费者PLMN的消费者PLMN标识符的消费者PLMN声明。
在接收到服务请求消息505和访问令牌之后,服务生产者网络功能512和/或消息速率限制引擎514被配置为解码访问令牌并发起访问令牌验证和服务授权过程(类似于方框503)。例如,消息速率限制引擎514可以被配置为核实接收到的访问令牌中声明的完整性。值得注意的是,消息速率限制引擎514被配置为从访问令牌的主题声明中获得唯一识别消费者网络功能523的消费者网络功能实例标识符(和/或来自消费者PLMN声明的消费者PLMN标识符)。一旦获得消费者网络功能实例标识符,消息速率限制引擎514就被配置为利用网络功能实例标识符来交叉引用记录数据库的条目。通过将消费者网络功能实例标识符与记录数据库的条目中包括的一个或多个网络功能标识符进行比较,消息速率限制引擎514能够确定对特定服务消费者网络功能522施加的任何消息限制。例如,消息速率限制引擎514可以访问记录数据库并确定消息节流速率当前正被应用于发送服务消费者网络功能。在消息速率限制引擎514确定服务消费者网络功能521受到入口消息到生产者网络功能512的节流速率的影响的情况下,消息速率限制引擎514将执行消息速率限制或节流动作。例如,消息速率限制引擎514可以被配置为基于在记录数据库中预定义的建立的速率限制来丢弃由消费者网络功能522发送的多个消息。更具体而言,消息速率限制引擎514可以将从服务消费者网络功能522到生产者网络功能512的入口消息传递限制为记录数据库中定义的特定消息传递节流速率(例如,10TPS)(参见例如图7中的数据库700)。
将认识到的是,图5是为了说明的目的并且可以使用不同的和/或附加的消息和/或动作。还将认识到的是,本文描述的各种消息和/或动作可以以不同的次序或顺序发生。
图6是图示被配置为利用网络功能标识符来实现入口消息速率限制的示例网络节点600的图。网络节点600可以表示用于执行入口消息速率限制的各方面的任何合适的实体。在一些实施例中,节点600可以表示或包括一个或多个5GC网络功能,例如服务生产者网络功能、SEPP、SCP等。在一些实施例中,网络节点600可以表示或包括网络网关、网络代理、边缘安全性设备或被配置为托管NF、SEPP和/或SCP节点或功能性的任何相关计算设备。在一些实施例中,网络节点600可以包括任何生产者网络功能,诸如NRF、PCF、BSF、NSSF、NEF、UDM/AUSF、UDR、UDSF等。
在一些实施例中,网络节点600或相关模块可以被配置为(例如,经由编程逻辑)基于与起源服务消费者网络功能对应的消费者网络功能实例标识符对5GC服务访问请求消息执行入口消息速率限制。通过以这种方式执行入口消息速率限制,网络节点600(例如,服务生产者网络功能)能够减少或减轻传入5GC请求信令风暴对该网络节点或归属网络中的其它下游网络功能的影响。例如,网络节点600或相关模块可以被配置为识别包括在访问令牌(例如,OAuth2访问令牌)中的消费者网络功能实例标识符。更具体而言,消费者网络功能实例标识符包括在访问令牌内包含的主题声明中。在一些实施例中,网络节点、消息速率限制引擎或相关模块还被配置为从访问令牌中的消费者PLMN声明中提取消费者PLMN标识符。如下所述,这个消费者PLMN标识符可以被网络节点和/或消息速率限制引擎用于对发送消费者PLMN执行速率限制过程。
在一些实施例中,网络节点和/或消息速率限制引擎被配置为将多个服务消费者网络功能分组以用于速率限制目的。在此类场景中,网络节点和/或消息速率限制引擎将要求网络运营商或管理员进行的一些配置,以启用消费者NF的分组。
参考图6,网络节点600可以包括一个或多个通信接口602,用于经由通信环境(例如,归属5GC网络)传送消息。在一些实施例中,(一个或多个)通信接口602可以包括用于与第一网络中的一个或多个服务消费者网络功能和/或SEPP通信的第一通信接口、用于与第二网络中的一个或多个服务消费者网络功能和/或SEPP通信的第二通信接口,以及用于与归属网络(例如,归属5GC网络)中的一个或多个服务消费者网络功能和/或SEPP通信的第三通信接口。
网络节点600可以包括消息速率限制(MRL)引擎604。消息速率限制引擎604可以是用于执行所公开的入口消息速率限制的一个或多个方面的任何合适的实体(例如,在至少一个处理器上执行的软件)。在一些实施例中,消息速率限制引擎604可以包括用于从服务消费者网络功能发送的服务访问请求消息中获得识别起源服务消费者网络功能的消费者网络功能实例标识符和使用网络功能实例标识符在功能网络节点600处执行入口消息速率限制功能的功能性。例如,从5GC信令消息中获取消费者网络功能实例标识符可以包括从包含在基于5GC的网络功能服务请求消息中的访问令牌中的HTTP头中获取实例标识符。
在这个示例中,对于由网络节点600接收到的每个5GC服务访问请求消息,消息速率限制引擎604可以使用消费者网络功能实例标识符来确定与发送消费者网络功能实例标识符相关联的允许的入口消息速率是否已经达到或超过预定义的阈值。响应于确定与网络功能实例标识符相关联的允许的入口消息速率已经达到或超过阈值,消息速率限制引擎604可以执行消息速率限制动作。速率限制动作的示例可以包括丢弃接收到的请求消息,生成或修改用于丢弃由特定消费者服务网络功能发送的入口消息的一部分的节流速率,和/或关于入口消息速率或相关事件通知网络运营商或管理系统。
在一些实施例中,消息速率限制引擎604可以被配置用于通过获得与消费者服务网络功能相关联的允许的入口消息速率、获得与消费者服务网络功能相关联的当前入口消息速率并将当前入口消息速率与允许的入口消息速率进行比较来确定是否执行入口消息速率限制。如果当前入口消息速率达到或超过允许的入口消息速率,那么可以执行消息速率限制动作。如果当前入口消息速率达到或超过允许的入口消息速率,那么消息速率限制引擎604可以允许处置或处理消息,例如,没有入口消息速率限制。
在一些实施例中,网络节点600可以访问数据存储装置606(例如,从中读取信息和/或向其中写入信息)。数据存储装置606可以是用于存储各种数据的任何合适的实体(例如,计算机可读介质或存储器)。在一些实施例中,数据存储装置606可以包括用于从访问令牌获得标识符的逻辑、用于检查是否执行入口消息速率限制的逻辑、用于实现或触发消息速率限制动作的逻辑,以及用于跟踪与各种起源实体(例如,消费者服务网络功能即时标识符、PLMN ID等)相关联的当前入口消息速率的逻辑。
在一些实施例中,数据存储装置606可以包括消息速率限制数据。例如,数据存储装置606可以包括用于识别用于各种消费者网络功能或其中的网络节点的当前消息速率、允许的消息速率和/或消息节流速率的信息。在这个示例中,可以使用从5GC服务访问请求消息或其中的访问令牌获得的标识符来索引或以其它方式识别相关的消息速率和节流速率。数据存储装置606还可以被配置为存储记录数据库,诸如图7中所示的记录数据库700。
图7是描绘存储在记录数据库700中的示例消息速率相关数据的图。记录数据库700可以包括用于识别用于各种消费者网络功能或其中的网络节点的当前消息速率、允许的消息速率和/或消息节流速率的信息。例如,记录数据库700中的每个速率可以表示每个时间段的消息、请求或事务的数量,例如,每秒事务(TPS)。
参考图7,表示记录数据库700的表包括用于网络和/或网络功能实例ID、当前消息速率、允许的消息速率和消息节流速率的列和/或字段。网络功能标识符字段可以存储用于表示网络功能或相关联的主机网络节点的信息。在一些实施例中,记录数据库700可以包括可以用于对特定消费者PLMN进行消息速率限制的消费者PLMN标识符字段。类似地,在一些实施例中,记录数据库700可以包括可以用于对服务消费者网络功能的特定分组进行消息速率限制的消费者NF组标识符字段。
当前消息速率字段可以存储用于表示与一个或多个消息、消息的类型或事务相关联的被测量或被跟踪的消息速率的信息。例如,当前消息速率(例如,50TPS)可以指示从特定消费者网络功能接收到的5GC服务访问请求消息或交易的测得的速率。
允许的消息速率字段可以存储用于表示与一个或多个消息、消息的类型或事务相关联的预定允许的消息速率的信息。例如,允许的消息速率(例如,40TPS)可以指示网络节点(例如,生产者网络节点、SCP或SEPP)被配置为允许从特定消费者网络功能接收到的5GC服务访问请求消息或事务的速率,例如,不执行消息速率限制动作。
消息节流速率字段可以存储用于表示与一个或多个消息、消息的类型或事务相关联的消息节流速率的信息。例如,消息节流速率可以指示网络节点(例如,生产者网络节点、SCP或SEPP)将要节流或丢弃的从特定消费者网络功能接收的5GC间服务访问请求消息或事务的速率。在这个示例中,节流速率可以基于当前消息速率与允许的消息速率之间的差异,例如,50TPS-40TPS=10TPS。
还将认识到的是,记录数据库700用于说明目的,并且与图7中描绘的数据不同和/或附加的数据可以可用于指示特定数据部分的默认值或其它信息。另外,记录数据库700可以使用各种数据结构和/或计算机可读介质被存储(例如,在如图6中所示的数据存储装置606中的数据库记录中)或管理。
图8是图示用于入口消息速率限制的示例处理800的图。在一些实施例中,本文描述的示例处理800或其部分可以在网络节点600、消息速率限制引擎604和/或另一个模块或节点处执行或由其执行。
在步骤802中,从服务消费者网络功能接收5GC服务访问请求消息。在一些实施例中,请求消息由网络节点(诸如SEPP、SCP、生产者NF或归属5GC网络中包括消息速率限制引擎604的任何其它节点)接收。
在步骤804中,从接收到的5GC服务访问请求消息中提取包括消费者网络功能实例标识符的访问令牌。在一些实施例中,消息速率限制引擎获得包含在访问令牌的声明中的消费者网络功能实例标识符。值得注意的是,消费者网络功能实例标识符唯一识别发送服务消费者网络功能。在一些实施例中,网络节点和/或消息速率限制引擎从访问令牌中的消费者PLMN声明中提取消费者PLMN标识符。
在步骤806处,可以使用消费者网络功能实例标识符来确定已经达到或超过与发送服务消费者网络功能相关联的允许的入口消息速率。例如,生产者网络功能性可以利用从与起源服务消费者网络功能相关联的访问令牌(参见步骤804)获得的消费者网络功能实例标识符来确定由特定服务消费者网络功能发送的消息是否达到或超过入口消息速率。在这个示例中,生产者网络功能可以查询包含当前入口消息速率和允许的消息速率的数据存储库或数据库,这些消息速率通过相关标识符(例如,消费者网络功能实例标识符)来索引或关联。在一些实施例中,提取出的消费者PLMN标识符可以被网络节点和/或消息速率限制引擎用来确定是否已经达到或超过与发送消费者PLMN相关联的允许的入口消息速率。
在一些实施例中,确定已经达到或超过与特定发送服务消费者网络功能相关联的允许的入口消息速率可以包括i)获得与服务消费者网络功能相关联的允许的入口消息速率,ii)获得与服务消费者网络功能相关联的当前入口消息速率,以及iii)将当前入口消息速率与允许的入口消息速率进行比较以确定当前入口消息速率满足或超过允许的入口消息速率。
在步骤808中,响应于确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率,可以执行消息速率限制动作。在一些实施例中,由生产者网络功能和/或消息速率限制引擎执行的消息速率限制动作可以包括丢弃请求消息、生成或修改用于丢弃消息的一部分的节流速率,或通知网络运营商或管理系统。在一些实施例中,消息速率限制动作可以由网络节点和/或消息速率限制引擎响应于确定已经达到或超过与发送消费者PLMN相关联的允许的入口消息速率而被执行。
将认识到的是,处理800是为了说明的目的并且可以使用不同的和/或附加的动作。还将认识到的是,本文描述的各种动作可以以不同的次序或顺序发生。
将认识到的是,虽然已经参考5G网络讨论了本文描述的主题的一些方面,但是各种其它网络可以利用本文描述的主题的一些方面。例如,利用识别发送者或相关网络的证书的任何网络都可以使用本文描述的特征、机制和技术来执行更具选择性的消息速率限制。
应当注意的是,网络节点600、消息速率限制引擎604和/或本文描述的功能(例如,如图6中所示)可以构成专用计算设备。另外,节点600、消息速率限制引擎604和/或本文描述的功能性可以改进生产者网络功能、SEPP、SCP或其它网络节点处的网络安全性和/或消息速率限制的技术领域。例如,通过基于消费者NF标识符执行入口消息速率限制,恶意活动(例如,信令流量风暴)及其负面后果(例如,网络拥塞、服务故障和/或不良用户体验)可以被减轻和/或预防。
就不与本文一致的程度以及补充、解释、提供背景或教导本文所采用的方法、技术和/或系统的程度而言,以下参考文献中的每一个的公开内容都通过引用整体并入本文。
参考文献:
1.3GPP TS33.501;3rd Generation Partnership Project;TechnicalSpecification Group Services and System Aspects;SecurityArchitectureand Procedures for the 5G System;(Release 16),V16.3.0(2020-07).
2.3GPP TS 29.510;3rd Generation Partnership Project;
Technical Specification Group Core Network and Terminals;
5G System;Network Function Repository Services;Stage 3
(Release 16),V16.4.0(2020-07).
将理解的是,当前公开的主题的各种细节可以改变,而不脱离当前公开的主题的范围。此外,前述描述仅用于说明的目的,而非用于限制的目的。
Claims (20)
1.一种用于利用网络功能标识符实现入口消息速率限制的方法,该方法包括:
在网络节点处:
从服务消费者网络功能接收服务请求消息;
从接收到的服务请求消息中提取访问令牌,该访问令牌包括识别服务消费者网络功能的消费者网络功能实例标识符;
使用消费者网络功能实例标识符确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率;以及
响应于确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率,执行消息速率限制动作。
2.如权利要求1所述的方法,其中服务请求消息是基于服务的接口(SBI)服务请求消息。
3.如权利要求1或权利要求2所述的方法,其中消费者网络功能实例标识符被包含在访问令牌的主题声明中。
4.如任一前述权利要求所述的方法,其中网络节点还被配置为从访问令牌中的消费者公共陆地移动网络(PLMN)声明中提取消费者PLMN标识符。
5.如任一前述权利要求所述的方法,其中网络节点包括安全性边缘保护代理(SEPP)、服务生产者网络功能或服务通信代理(SCP)。
6.如任一前述权利要求所述的方法,其中确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率包括:
获得与服务消费者网络功能相关联的允许的入口消息速率;
获得与服务消费者网络功能相关联的当前入口消息速率;以及
将当前入口消息速率与允许的入口消息速率进行比较,以确定当前入口消息速率满足或超过允许的入口消息速率。
7.如任一前述权利要求所述的方法,其中消息速率限制动作包括丢弃请求消息、生成或修改用于丢弃入口消息的一部分的节流速率,或者通知网络运营商或管理系统。
8.一种用于利用网络功能标识符实现入口消息速率限制的系统,该系统包括:
网络节点,包括:
至少一个处理器;以及
存储器,
其中该网络节点被配置为:
从服务消费者网络功能接收服务访问请求消息;
从接收到的服务访问请求消息中提取访问令牌,该访问令牌包括识别服务消费者网络功能的消费者网络功能实例标识符;
使用消费者网络功能实例标识符确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率;以及
响应于确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率而执行消息速率限制动作。
9.如权利要求8所述的系统,其中服务请求消息是基于服务的接口(SBI)服务请求消息。
10.如权利要求8或权利要求9所述的系统,其中消费者网络功能实例标识符被包含在访问令牌的主题声明中。
11.如权利要求8至10中的任一项所述的系统,其中网络节点还被配置为从访问令牌中的消费者公共陆地移动网络(PLMN)声明中提取消费者PLMN标识符。
12.如权利要求8至10中的任一项所述的系统,其中网络节点包括安全性边缘保护代理(SEPP)、服务生产者网络功能或服务通信代理(SCP)。
13.如权利要求8至12中的任一项所述的系统,其中确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率包括:
获得与服务消费者网络功能相关联的允许的入口消息速率;
获得与服务消费者网络功能相关联的当前入口消息速率;以及
将当前入口消息速率与允许的入口消息速率进行比较,以确定当前入口消息速率满足或超过允许的入口消息速率。
14.如权利要求8至13中的任一项所述的系统,其中消息速率限制动作包括丢弃请求消息、生成或修改用于丢弃入口消息的一部分的节流速率,或者通知网络运营商或管理系统。
15.一种其上存储有可执行指令的非暂态计算机可读介质,指令在由计算机的处理器执行时控制计算机执行包括以下的步骤:
在网络节点处:
从服务消费者网络功能接收服务访问请求消息;
从接收到的服务访问请求消息中提取访问令牌,该访问令牌包括识别服务消费者网络功能的消费者网络功能实例标识符;
使用消费者网络功能实例标识符确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率;以及
响应于确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率而执行消息速率限制动作。
16.如权利要求15所述的非暂态计算机可读介质,其中服务请求消息是基于服务的接口(SBI)服务请求消息。
17.如权利要求15或权利要求16所述的非暂态计算机可读介质,其中消费者网络功能实例标识符包含在访问令牌的主题声明中。
18.如权利要求15至17中的任一项所述的非暂态计算机可读介质,其中网络节点包括安全性边缘保护代理(SEPP)、服务生产者网络功能或服务通信代理(SCP)。
19.如权利要求15至18中的任一项所述的非暂态计算机可读介质,其中确定已经达到或超过与服务消费者网络功能相关联的允许的入口消息速率包括:
获得与服务消费者网络功能相关联的允许的入口消息速率;
获得与服务消费者网络功能相关联的当前入口消息速率;以及
将当前入口消息速率与允许的入口消息速率进行比较,以确定当前入口消息速率满足或超过允许的入口消息速率。
20.如权利要求15至19中的任一项所述的非暂态计算机可读介质,其中消息速率限制动作包括丢弃请求消息、生成或修改用于丢弃入口消息的一部分的节流速率,或者通知网络运营商或管理系统。
Applications Claiming Priority (9)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN202041048552 | 2020-11-06 | ||
IN202041048552 | 2020-11-06 | ||
IN202041049614 | 2020-11-13 | ||
IN202041049614 | 2020-11-13 | ||
US17/129,487 US11528251B2 (en) | 2020-11-06 | 2020-12-21 | Methods, systems, and computer readable media for ingress message rate limiting |
US17/129,487 | 2020-12-21 | ||
US17/134,635 | 2020-12-28 | ||
US17/134,635 US11943616B2 (en) | 2020-11-13 | 2020-12-28 | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting |
PCT/US2021/042662 WO2022098405A1 (en) | 2020-11-06 | 2021-07-21 | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116438779A true CN116438779A (zh) | 2023-07-14 |
Family
ID=81458176
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180074770.9A Pending CN116438779A (zh) | 2020-11-06 | 2021-07-21 | 用于利用网络功能标识符实现入口消息速率限制的方法、系统和计算机可读介质 |
Country Status (4)
Country | Link |
---|---|
EP (2) | EP4241419A1 (zh) |
JP (2) | JP2023548370A (zh) |
CN (1) | CN116438779A (zh) |
WO (2) | WO2022098404A1 (zh) |
Families Citing this family (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11553342B2 (en) | 2020-07-14 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) |
US11751056B2 (en) | 2020-08-31 | 2023-09-05 | Oracle International Corporation | Methods, systems, and computer readable media for 5G user equipment (UE) historical mobility tracking and security screening using mobility patterns |
US11832172B2 (en) | 2020-09-25 | 2023-11-28 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US11825310B2 (en) | 2020-09-25 | 2023-11-21 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks |
US11622255B2 (en) | 2020-10-21 | 2023-04-04 | Oracle International Corporation | Methods, systems, and computer readable media for validating a session management function (SMF) registration request |
US11943616B2 (en) | 2020-11-13 | 2024-03-26 | Oracle International Corporation | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting |
US11528251B2 (en) | 2020-11-06 | 2022-12-13 | Oracle International Corporation | Methods, systems, and computer readable media for ingress message rate limiting |
US11770694B2 (en) | 2020-11-16 | 2023-09-26 | Oracle International Corporation | Methods, systems, and computer readable media for validating location update messages |
US11895501B2 (en) | 2020-12-08 | 2024-02-06 | Oracle International Corporation | Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks |
US11818570B2 (en) | 2020-12-15 | 2023-11-14 | Oracle International Corporation | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks |
US11812271B2 (en) | 2020-12-17 | 2023-11-07 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating 5G roaming attacks for internet of things (IoT) devices based on expected user equipment (UE) behavior patterns |
US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
US11516671B2 (en) | 2021-02-25 | 2022-11-29 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service |
US11553524B2 (en) | 2021-03-04 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for resource object level authorization at a network function (NF) |
US11689912B2 (en) | 2021-05-12 | 2023-06-27 | Oracle International Corporation | Methods, systems, and computer readable media for conducting a velocity check for outbound subscribers roaming to neighboring countries |
US12015923B2 (en) | 2021-12-21 | 2024-06-18 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating effects of access token misuse |
US11843546B1 (en) * | 2023-01-17 | 2023-12-12 | Capital One Services, Llc | Determining resource usage metrics for cloud computing systems |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9106769B2 (en) * | 2011-08-10 | 2015-08-11 | Tekelec, Inc. | Methods, systems, and computer readable media for congestion management in a diameter signaling network |
-
2021
- 2021-07-21 WO PCT/US2021/042660 patent/WO2022098404A1/en active Application Filing
- 2021-07-21 WO PCT/US2021/042662 patent/WO2022098405A1/en active Application Filing
- 2021-07-21 JP JP2023527034A patent/JP2023548370A/ja active Pending
- 2021-07-21 CN CN202180074770.9A patent/CN116438779A/zh active Pending
- 2021-07-21 JP JP2023527049A patent/JP2023548372A/ja active Pending
- 2021-07-21 EP EP21755216.5A patent/EP4241419A1/en active Pending
- 2021-07-21 EP EP21755217.3A patent/EP4241420A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
WO2022098404A1 (en) | 2022-05-12 |
EP4241419A1 (en) | 2023-09-13 |
JP2023548372A (ja) | 2023-11-16 |
EP4241420A1 (en) | 2023-09-13 |
WO2022098405A1 (en) | 2022-05-12 |
JP2023548370A (ja) | 2023-11-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN116438779A (zh) | 用于利用网络功能标识符实现入口消息速率限制的方法、系统和计算机可读介质 | |
US11943616B2 (en) | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting | |
US11818570B2 (en) | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks | |
US11553342B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) | |
US11528251B2 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
KR20230058457A (ko) | 이동성 패턴들을 사용하는 5g 사용자 장비(ue) 이력 이동성 추적 및 보안 스크리닝을 위한 방법들, 시스템들, 및 컴퓨터 판독가능 매체들 | |
JP2024505791A (ja) | 予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 | |
JP2024507577A (ja) | アクセスおよびモビリティ管理機能(AMF)位置サービスを利用する位置追跡攻撃およびサービス妨害(DoS)攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 | |
US11627467B2 (en) | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces | |
US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
CN117280656A (zh) | 用于隐藏网络功能实例标识符的方法、系统和计算机可读介质 | |
JPWO2022098405A5 (zh) | ||
EP4289161A1 (en) | Methods, systems, and computer readable media for mitigating denial of service (dos) attacks at network function (nfs) | |
US20230292131A1 (en) | Rogue network function re-authorization in a communication network | |
CN117321976A (zh) | 用于使用网络切片信息来选择软件定义广域网(sd-wan)链路的方法、系统和计算机可读介质 | |
CN117859312A (zh) | 通过验证过载控制信息来降低成功DoS攻击的可能性 | |
US12015923B2 (en) | Methods, systems, and computer readable media for mitigating effects of access token misuse | |
US11974134B2 (en) | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network | |
CN116491140A (zh) | 用于入口消息速率限制的方法、系统和计算机可读介质 | |
CN116458121A (zh) | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |