CN116458121A - 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 - Google Patents
用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN116458121A CN116458121A CN202180073153.7A CN202180073153A CN116458121A CN 116458121 A CN116458121 A CN 116458121A CN 202180073153 A CN202180073153 A CN 202180073153A CN 116458121 A CN116458121 A CN 116458121A
- Authority
- CN
- China
- Prior art keywords
- identifier
- node
- sepp
- message
- obtaining
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
漫游假冒攻击能够在用于5G网络中PLMN间通信的N32‑c握手过程中被发起。本文描述的一个示例解决方案通过对照TLS握手期间共享的X.509v3证书中的端点身份和在SEPP的本地数据库中配置的远程SEPP身份交叉验证N32‑c握手安全性能力交换消息中存在的发送者属性来使用SEPP减轻N32‑c漫游假冒攻击。
Description
优先权声明
本申请要求于2020年12月21日提交的美国专利申请序列号17/129,441、于2020年11月11日提交的美国专利申请序列号17/095,420、于2020年11月2日提交的印度临时专利申请序列号202041047779以及于2020年9月25日提交的印度临时专利申请序列号202041041754的优先权权益,其公开内容通过引用整体并入本文。
技术领域
本文描述的主题涉及增强5G通信网络中的安全性。更具体地,本文描述的主题涉及用于减轻5G漫游假冒攻击的方法、系统和计算机可读介质。
背景技术
在5G电信网络中,提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF二者,具体取决于它是在消费还是提供服务。
给定的生产者NF可以有许多服务端点,其中服务端点是用于由生产者NF托管的一个或多个NF实例的联系点。服务端点由互联网协议(IP)地址和端口号的组合或在托管生产者NF的网络节点上解析为IP地址和端口号的完全限定的域名来识别。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是,多个NF实例可以共享同一个服务端点。
生产者NF向网络功能储存库功能(NRF)注册。NRF维护识别每个NF实例支持的服务的可用NF实例的服务简档。消费者NF可以订阅以接收关于已向NRF注册的生产者NF实例的信息。
除了消费者NF之外,另一种可以订阅以接收关于NF服务实例信息的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理,并且服务通信代理在提供所需服务的生产者NF服务实例之间进行负载平衡流量,或者直接将流量路由到目的地生产者NF实例。
除了SCP之外,在生产者和消费者NF之间路由流量的中间代理节点或网络节点组的其它示例包括安全边缘保护代理(SEPP)、服务网关和5G服务mesh中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。由此,SEPP对所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。
当前5G网络体系架构存在的一个漏洞出现在N32接口上,该接口是SEPP之间的接口。如上面所指出的,SEPP充当公共陆地移动网络(PLMN)的安全性筛选节点。N32控制或N32-c接口用于与远程SEPP交换控制消息。N32-c接口上的通信的发起涉及传输层安全性(TLS)握手过程以建立TLS连接。通信的发起还涉及N32-c安全性能力协商过程,该过程涉及N32-c消息的交换。在N32-c安全性能力协商过程期间,没有对远程端点的身份的验证。远程端点也不验证发起SEPP的身份。由于在N32-c接口上缺乏验证,因此发起和响应SEPP容易受到假冒攻击,其中第三方冒充N32-c通信的一端以获得对PLMN的未授权访问。
鉴于这些和其它困难,需要用于减轻5G漫游假冒攻击的方法、系统和计算机可读介质。
发明内容
一种用于减轻5G漫游假冒攻击的方法包括由安全性边缘保护代理(SEPP)从来自第一节点的传输层安全性(TLS)消息获得第一节点的第一标识符。该方法还包括由SEPP从来自第一节点的N32-c安全性能力协商消息获得第一节点的第二标识符。该方法还包括比较第一节点的第一标识符和第二标识符。该方法还包括确定第一标识符和第二标识符不匹配,并且作为响应,确定第一节点的第二标识符无效。该方法还包括响应于确定第一节点的第二标识符无效而阻止与第一节点的公共陆地移动网络(PLMN)间通信。
根据本文描述的主题的另一方面,从TLS消息获得第一节点的第一标识符包括从包含证书的TLS证书消息获得第一标识符。
根据本文描述的主题的另一方面,证书包括X.509证书。
根据本文描述的主题的另一方面,获得第一节点的第一标识符包括从X.509证书的主题备用名称字段中提取第一节点的完全合格域名(FQDN)。
根据本文描述的主题的另一方面,SEPP是N32-c安全性能力协商过程中的响应SEPP,并且其中获得第一节点的第二标识符包括从N32-c安全性能力协商消息的SecNegotiateReqData信息元素的发送者属性中提取第一节点的第二标识符。
根据本文描述的主题的另一方面,SEPP是N32-c安全性能力协商过程中的发起SEPP,并且其中获得第一节点的第二标识符包括从N32-c安全性能力协商消息的SecNegotiationRspData信息元素的发送者属性中提取第一节点的第二标识符。
根据本文描述的主题的另一方面,用于减轻5G漫游安全性攻击的方法包括由SEPP从来自第二节点的TLS握手消息获得第二节点的第一标识符,从来自第二节点的N32-c安全性能力协商消息获得第二节点的第二标识符,比较第二节点的第一标识符和第二标识符,确定第一标识符和第二标识符匹配,使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找,在对等SEPP数据库中定位匹配的标识符,以及响应于确定第二节点的第一标识符和第二标识符匹配并且匹配的存在于对等SEPP数据库中而允许与第二节点的PLMN间通信。
根据本文描述的主题的另一方面,用于减轻5G漫游安全性攻击的方法包括由SEPP从来自第二节点的TLS握手消息获得第二节点的第一标识符,由SEPP从来自第二节点的N32-c安全性能力协商消息获得第二节点的第二标识符,比较第二节点的第一标识符和第二标识符,确定第一标识符和第二标识符匹配,使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找并且未能在对等SEPP数据库中定位匹配的标识符,以及响应于确定第二节点的第一标识符和第二标识符匹配并且匹配的标识符不存在于对等SEPP数据库中而阻止来自第二节点的PLMN间通信。
根据本文描述的主题的另一方面,一种用于减轻5G漫游假冒攻击的系统包括安全性边缘保护代理(SEPP),其包括至少一个处理器和存储器。该系统还包括5G漫游假冒攻击减轻模块,该5G漫游假冒攻击减轻模块由至少一个处理器实现并被配置为从来自第一节点的传输层安全性(TLS)消息获得第一节点的第一标识符,从来自第一节点的N32-c安全性能力协商消息获得第一节点的第二标识符,比较第一节点的第一标识符和第二标识符,确定第一标识符和第二标识符不匹配,并且作为响应,确定第一节点的第二标识符无效,以及响应于确定第一节点的第二标识符无效而阻止与第一节点的公共陆地移动网络(PLMN)间通信。
根据本文描述的主题的另一方面,5G漫游假冒攻击减轻模块被配置为从包含在TLS证书消息中的证书获得第一节点的第一标识符。
根据本文描述的主题的另一方面,5G漫游假冒攻击减轻模块被配置为通过从证书的主题备用名称字段中提取第一节点的完全合格域名(FQDN)来获得第一节点的第一标识符。
根据本文描述的主题的另一方面,SEPP是N32-c安全性能力协商过程中的响应SEPP,并且其中5G漫游假冒攻击减轻模块被配置为通过从N32-c安全性能力协商消息的SecNegotiateReqData信息元素的发送者属性中提取第一节点的第二标识符来获得第一节点的第二标识符。
根据本文描述的主题的另一方面,SEPP是N32-c安全性能力协商过程中的发起SEPP,并且其中5G漫游假冒攻击减轻模块被配置为通过从N32-c安全性能力协商消息的SecNegotiateRspData信息元素的发送者信息元素属性中提取第一节点的第二标识符来获得第一节点的第二标识符。
根据本文描述的主题的另一方面,5G漫游假冒攻击减轻模块被配置为从来自第二节点的TLS握手消息中获得第二节点的第一标识符,从来自第二节点的N32-c安全性能力协商消息中获得第二节点的第二标识符,比较第二节点的第一标识符和第二标识符,确定第一标识符和第二标识符匹配,使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找,在对等SEPP数据库中定位匹配的标识符,以及响应于确定第二节点的第一标识符和第二标识符匹配并且匹配的标识符存在于对等SEPP数据库中而允许与第二节点的PLMN间通信。
根据本文描述的主题的另一方面,5G漫游假冒攻击减轻模块被配置为从来自第二节点的TLS握手消息中获得第二节点的第一标识符,从来自第二节点的N32-c安全性能力协商消息中获得第二节点的第二标识符,比较第二节点的第一标识符和第二标识符,确定第一标识符和第二标识符匹配,使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找并且未能在对等SEPP数据库中定位匹配的标识符,以及响应于确定第二节点的第一标识符和第二标识符匹配并且匹配的标识符不存在于对等SEPP数据库中而阻止来自第二节点的PLMN间通信。
根据本文描述的主题的另一方面,提供了一种其上存储有可执行指令的非暂态计算机可读介质,可执行指令在由计算机的处理器执行时控制计算机执行步骤。步骤包括由安全性边缘保护代理(SEPP)从来自第一节点的传输层安全性(TLS)消息获得第一节点的第一标识符。步骤还包括由SEPP从来自第一节点的N32-c安全性能力协商消息中获得第一节点的第二标识符。步骤还包括比较第一节点的第一标识符和第二标识符;确定第一标识符和第二标识符不匹配,并且作为响应,确定第一节点的第二标识符无效。步骤还包括响应于确定第一节点的第二标识符无效而阻止与第一节点的公共陆地移动网络(PLMN)间通信。
本文描述的主题可以用硬件、软件、固件或其任何组合来实现。由此,如本文使用的术语“功能”、“节点”或“模块”是指用于实现所描述的特征的硬件,其还可以包括软件和/或固件组件。在一个示例性实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,所述指令在由计算机的处理器执行时,控制计算机执行步骤。适用于实现本文描述的主题的示例性计算机可读介质包括非暂态计算机可读介质,诸如盘存储器设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
附图说明
现在将参考附图解释本文描述的主题,其中:
图1是图示示例性5G网络体系架构的网络图;
图2是图示SEPP之间传输层安全性(TLS)和N32-c消息的交换的消息流图;
图3是图示黑客冒充SEPP的网络图;
图4是图示SEPP之间交换的N32-c消息中呈现的身份的验证的消息流图;
图5是图示在N32-c接口上验证失败时响应SEPP阻止消息的图;
图6是图示在N32-c接口上验证失败时发起SEPP阻止消息的图;
图7是图示用于减轻5G漫游假冒攻击的SEPP的示例性体系架构的框图;以及
图8是图示用于减轻5G漫游假冒攻击的示例性方法的流程图。
具体实施方式
本文描述的主题涉及用于减轻5G漫游假冒攻击的方法、系统和计算机可读介质。图1是图示示例性5G系统网络体系架构的框图。
图1中的体系架构包括NRF 100和SCP 101,它们可以位于同一个家庭公共陆地移动网络(HPLMN)中。如上所述,NRF 100可以维护可用的生产者NF服务实例及其支持的服务的简档,并允许消费者NF或SCP订阅和被通知新的/更新后的生产者NF服务实例的注册。SCP101还可以支持服务发现和生产者NF实例的选择。SCP 101可以对消费者和生产者NF之间的连接执行负载平衡。此外,使用本文描述的方法,SCP 101可以执行基于首选NF位置的选择和路由。
NRF 100是NF或生产者NF实例的服务简档的储存库。为了与生产者NF实例通信,消费者NF或SCP需要从NRF 100获得NF或服务简档或生产者NF实例。NF或服务简档是第三代合作伙伴计划(3GPP)技术规范(TS)29.510中定义的JavaScript对象表示法(JSON)数据结构。NF或服务简档定义包括完全合格域名(FQDN)、互联网协议(IP)版本4(IPv4)地址或IP版本6(IPv6)地址中的至少一个。在图1中,节点中的任何一个(NRF 100除外)都可以是消费者NF或生产者NF,具体取决于它们是请求服务还是提供服务。在图示示例中,节点包括在网络中执行策略相关操作的策略控制功能(PCF)102、管理用户数据的用户数据管理(UDM)功能104和提供应用服务的应用功能(AF)106。图1中图示的节点还包括管理接入和移动性管理功能(AMF)110和PCF 102之间的会话的会话管理功能(SMF)108。AMF 110执行与4G网络中由移动性管理实体(MME)执行的移动性管理操作类似的移动性管理操作。认证服务器功能(AUSF)112为诸如用户装备(UE)114之类的寻求接入网络的用户装备(UE)执行认证服务。
网络切片选择功能(NSSF)116为寻求访问与网络切片相关联的特定网络能力和特性的设备提供网络切片服务。网络暴露功能(NEF)118为寻求获得关于物联网(IoT)设备和附接到网络的其它UE的信息的应用功能提供应用编程接口(API)。NEF 118执行与4G网络中的服务能力公开功能(SCEF)类似的功能。
无线电接入网络(RAN)120经由无线链路将用户装备(UE)114连接到网络。可以使用g-Node B(gNB)(图1中未示出)或其它无线接入点来接入无线电接入网络120。用户平面功能(UPF)122可以支持用于用户平面服务的各种代理功能。这种代理功能的一个示例是多路径传输控制协议(MPTCP)代理功能。UPF 122还可以支持可以由UE 114使用以获得网络性能测量的性能测量功能。图1中还图示了数据网络(DN)124,UE通过该数据网络访问数据网络服务,诸如互联网服务。
SEPP 126过滤来自另一个PLMN的传入流量,并对离开归属PLMN的流量执行拓扑隐藏。SEPP 126可以与管理外部PLMN的安全的外部PLMN中的SEPP通信。因此,不同PLMN中的NF之间的流量可能经过两个SEPP功能,一个用于本地PLMN,另一个用于外部PLMN。
如上所述,现有5G体系架构的一个问题是N32-c握手不验证远程端点标识。在没有端点标识的验证的情况下,恶意SEPP可以尝试假冒另一个SEPP的身份并发起安全性攻击。响应SEPP不验证N32握手消息是否是从合法的发起SEPP接收的。类似地,发起SEPP不验证N32-c握手消息是否被发送到合法的响应SEPP。本文描述的主题通过用TLS层身份并用存储在由发起和响应SEPP维护的对等SEPP数据库中的对等SEPP身份交叉验证SEPP的N32-c身份来解决这些和其它困难。
图2图示了N32接口上SEPP之间发生的握手。在图2中,发起SEPP 126A和响应SEPP126B通过N32接口交换TLS握手消息传递和N32-c安全性能力协商消息传递。TLS握手涉及证书的交换,其可以被用于在TLS层处验证发送者的身份并且难以假冒。但是,在TLS握手期间交换的身份与在N32-c安全功能协商消息传递期间交换的身份之间没有交叉验证。因此,发起SEPP 126A和响应SEPP 126B都容易受到漫游假冒攻击。漫游假冒攻击是攻击者伪装成移动订户正在其中漫游的网络中的节点的攻击。在N32-c安全性能力协商过程期间对节点的身份进行假冒的情况下,攻击者对服务于订户正在其中漫游的网络的SEPP的身份进行假冒。
图3图示了黑客SEPP 300伪装成合法SEPP的示例。在图3中,位于PLMN1中的SEPP126A可能相信它正在与位于PLMN2中的对等SEPP 126B进行通信。但是,黑客SEPP 300可能冒充合法SEPP 126B并与SEPP 126A建立N32-c通信。一旦建立了此类通信,黑客SEPP 300就可能能够从PLMN1获得机密订户信息和/或对PLMN1生成其它类型的攻击,诸如拒绝服务攻击。
为了避免或减少对N32-c接口成功进行假冒攻击的可能性,SEPP 126A和126B可以用TLS身份对N32-c身份进行交叉验证,并且还可以使用配置的对等SEPP数据库用对等SEPP身份验证N32-c身份。图4图示了可以由发起SEPP 126A和响应SEPP 126B执行的示例性交叉验证。参考图4,发起SEPP 126A和响应SEPP 126B可以通过N32-c接口交换TLS握手消息以建立TLS连接。TLS握手涉及客户端和服务器问候消息的交换,然后是证书消息的交换。证书消息包含发送者的X.509证书。发送者的身份包含在X.509证书中,并且难以假冒,因为X.509证书是由证书颁发机构签署的。
因而,在一个示例中,从X.509证书中提取的发送者的身份可以被用于交叉验证发送者的N32-c身份。TLS握手协议在互联网工程任务组(IETF)征求意见(RFC)5246中定义并且包括TLS连接的两端的证书消息的交换。IETF RFC 5246中定义的TLS握手消息的结构(包括证书消息)如下所示:
如TLS握手消息结构所示,所定义的握手消息类型之一是证书消息,其包含客户端或服务器的证书,这取决于发送者是用作客户端还是服务器。在通过N32-c接口建立安全TLS通信时,使用双向TLS或m-TLS,其中TLS连接的两端都接收并验证另一端的X.509证书。IETF RFC 5246指示证书类型必须是X.509v3,除非另有明确协商。本文描述的示例以X.509v3证书为例,但本文描述的主题不限于仅使用从X.509v3中提取的发送者的身份来验证发送者的N32-c身份。X.509v3证书格式在IETF RFC 3280中定义。根据IETF RFC 3280,X.509v3证书中可以包括的一个扩展或参数是主题备用名称扩展。主题备用名称扩展定义如下:
主题备用名称扩展允许将附加身份绑定到证书的主题。所定义的选项包括互联网电子邮件地址、DNS名称、IP地址和统一资源标识符(URI)。存在其它选项,包括完全本地定义。可以包括多种名称形式,以及每种名称形式的多个实例。每当将此类身份绑定到证书中时,需要使用主题备用名称(或颁发者备用名称)扩展;但是,DNS名称可以使用domainComponent属性在主题字段中表示,如第4.1.2.4节中所述。
因为主题备用名称被认为明确地绑定到公钥,所以主题备用名称的所有部分都需要由CA核实。
如上面所指出的,X.509v3证书的主题备用名称扩展可以包含DNS名称、IP地址或识别证书的主题并由证书颁发机构核实的URI。因为主题备用名称由证书颁发机构核实,所以主题备用名称难以假冒。但是,仅仅确保发送者具有有效的X.509证书并不能在N32-c应用级别验证发送者的身份。为了执行这种交叉验证,发起SEPP 126A和响应SEPP 126B可以从N32-c消息中提取身份并将这些身份与从TLS握手期间共享的X-509证书中提取的身份进行比较。如果身份匹配,那么SEPP 126A和126B可以执行将从或者N32-c消息或者TLS消息中提取的身份与配置的对等SEPP身份的数据库进行比较的进一步验证步骤。如果任一验证失败,那么SEPP可以阻止与远程节点的PLMN间通信,将远程节点识别为攻击者。
返回到图4,在交换TLS握手消息并且在发起SEPP 126A与响应SEPP 126B之间建立TLS连接之后,发起SEPP 126A向响应SEPP 126B发送HTTP POST消息。HTTP POST消息包括SecNegotiateReqData信息元素,该信息元素包括包含发送者的FQDN的发送者信息元素。响应SEPP 126B接收HTTP POST消息,从SecNegotiateReqData信息元素中提取发送者的FQDN,并对照从发送者的X.509证书获得的发送的身份验证FQDN。在这种情况下,假设身份匹配。因而,在下一步中,响应SEPP 126B在由响应SEPP126B维护的对等SEPP数据库中执行对发送者的身份的查找。假设发起SEPP 126A的身份存在于响应SEPP 126B的对等SEPP数据库中,因此从响应SEPP 126B的角度来看,两个验证都通过了,因此,响应SEPP 126B将允许来自发起SEPP 126A的PLMN间通信。
继续图4中的消息流,响应SEPP 126B将HTTP 200OK消息发送到发起SEPP 126A。HTTP 200OK消息包括包含发送者属性的N32-cSecNegotiateRspData信息元素。在图5中,发送者属性携带响应SEPP 126B的FQDN。发起SEPP 126B接收HTTP 200OK消息,从SecNegotiateRspData信息元素的发送者属性中提取发送者的FQDN,并将该FQDN与从TLS证书消息中提取的用于发送者的FQDN进行比较。在这种情况下,假设FQDN匹配。因而,发起SEPP 126A执行确定发送者的身份是否存在于由发起SEPP 126A维护的对等SEPP数据库中的进一步验证步骤。在这个示例中,假设发送者的身份存在,并且因此,发起SEPP 126A允许与响应SEPP 126B进行PLMN间通信。
图5图示了黑客SEPP 300是关于N32-c安全性能力协商过程的发起SEPP的情况。在图5中,黑客SEPP 300发起与响应SEPP 126B的TLS握手。响应SEPP 126B从TLS握手消息中提取X.509证书,并在证书中提取由黑客SEPP 300呈现的身份。黑客SEPP 300在N32-c安全性能力协商消息的N32-cSecNegotiateReqData信息元素中将身份传送给响应SEPP 126B,该消息在所示示例中是HTTP POST消息。响应SEPP 126B提取由黑客SEPP 300在N32-c安全性能力协商消息的N32-c SecNegotiateReqData信息元素中呈现的身份,并将从N32-c安全性能力协商消息的SecNegotiateReqData信息元素中提取的身份与从从TLS消息中获得的证书中提取的身份进行比较。在这种情况下,身份不匹配。因此,响应SEPP 126B确定发生了验证失败。因而,响应SEPP 126B阻止来自黑客SEPP 300的进一步通信。
图6图示了执行TLS和N32-c身份交叉验证的SEPP是N32-c安全性能力协商事务中的发起SEPP的情况。在图6中,发起SEPP接收来自黑客SEPP 300的TLS和N32-c消息。发起SEPP 126A从TLS握手消息之一获取X.509证书。发起SEPP 126A从X.509证书中提取身份,并将该身份与在N32-c安全性能力协商消息的SecNegotiateRspData信息元素中从黑客SEPP300接收的身份进行比较,在所示示例中,该身份是HTTP200OK信息。在这种情况下,身份不匹配。因而,发起SEPP 126A阻止来自黑客SEPP 300的进一步通信。
图7是图示SEPP 126A或126B的示例性体系架构的框图。SEPP 126A或126B包括至少一个处理器700和存储器702。SEPP 126A或126B还包括5G漫游假冒减轻模块704,该模块执行本文描述的这些步骤,以使用从TLS消息中提取的身份来交叉验证N32-c消息中的身份。SEPP 126A或126B还包括配置有允许PLMN间通信的对等SEPP的身份的对等SEP数据库706。5G漫游假冒减轻模块704可以由处理器700实现,并且还可以对照存储在数据库706中的对等SEPP身份执行由远程节点呈现的N32-c身份的交叉检查。如果在N32-c安全性能力协商消息中呈现的远程节点的身份在数据库706中不存在,或者如果与TLS身份的交叉检查失败,那么5G漫游假冒减轻模块704可以阻止与远程节点的PLMN间通信。如果两个身份交叉检查都通过,那么5G漫游假冒减轻模块704可以允许与远程节点进行PLMN间通信。
图8是图示用于减轻5G通话攻击的示例性方法的流程图。参考图8,在步骤800中,SEPP从来自第一节点的TLS消息中获得第一标识符。例如,发起或响应SEPP 126A或126B可以从从发送节点接收的TLS消息中的X.509证书的“备用ID”字段中提取用于发送节点的身份。TLS消息可以是与远程节点交换的证书消息,作为用于与远程节点建立TLS连接的TLS握手过程的一部分。
在步骤802中,SEPP从来自第一节点的N32-c安全性能力协商消息中获得第一节点的第二标识符。例如,如果SEPP是用于N32-c安全性能力协商事务的发起SEPP,那么发起SEPP可以从来自远程节点的HTTP 200OK消息的N32-c SecNegotiateRspData信息元素的发送者ID属性中提取N32c身份。如果SEPP是用于N32-c安全性能力协商事务的响应SEPP,那么响应SEPP可以从来自远程节点的HTTP POST消息的N32-c SecNegotiateReqData信息元素的发送者ID属性中提取N32c身份。下面所示的表1和表2与3GPP TS 29.573的表6.1.5.2.2.1和6.5.1.2.2对应,这些表说明了作为N32-c安全性能力协商的一部分的SecNegotiateReqData和SecNegotiateRspData信息元素中可能包括的属性。
表1:类型SecNegotiateReqData的定义
表2:类型SecNegotiateRspData的定义
如从表1和表2可以看出的,发送者属性是SecNegotiateReqData和SecNegotiateRspData信息元素的必选参数,并且包含发送请求或响应的SEPP的FQDN。正是这个FQDN可以与TLS层身份进行交叉验证。
在步骤804中,SEPP比较第一节点的第一标识符和第二标识符。例如,SEPP可以将从X.509证书中提取的TLS标识符与从N32-c安全性能力协商消息的SecNegotiateRspData或SecNegotiateReqData信息元素中提取的N32-c标识符进行比较。
在步骤806中,如果标识符不匹配,那么控制进行到步骤808,在那里SEPP将第一节点的第二(N32-c)身份分类为无效。然后控制进行到步骤810,在那里SEPP阻止来自第一节点的PLMN间通信。
返回到步骤806,如果TLS和N32-c应用层身份匹配,那么控制前进到步骤812,在那里SEPP在对等SEPP数据库中对用于第一节点的身份执行查找。由于来自TLS层和N32c(应用)层的身份在步骤806中匹配,因此可以使用或者TLS层或者N32-c层身份执行查找。网络运营商可以为对等SEPP数据库供应SEPP的身份,允许运营商网络中的给定SEPP与之通信。此类SEPP在本文中被称为对等SEPP,因为它们可以与对等网络运营商的PLMN相关联。
在步骤814中,如果身份存在于对等SEPP数据库中,那么控制前进到步骤816,在那里SEPP允许与第一节点的PLMN间通信。如果身份不存在于数据库中,那么控制前进到步骤810,在那里SEPP阻止与第一节点的PLMN间通信。
本文描述的主题通过执行不同网络协议层中SEPP之间交换的身份的交叉验证来改进SEPP和PLMN之间的网络安全性。通过将N32-c身份与难以假冒的TLS层身份进行比较,本文描述的SEPP降低了在N32-c安全性能力交换过程期间成功进行假冒攻击的可能性。此外,因为本文描述的交叉验证步骤可以是N32安全性能力协商中的发起和响应SEPP,所以降低了攻击者成功冒充N32-c连接的任一端的可能性。
以下每篇参考文献的公开内容均通过引用整体并入本文。
参考文献
1.IETF RFC 5246;The Transport Layer Security(TLS)Protocol,Version1.2;August 2008
2.IETF RFC 3280;Internet X.509Public Key Infrastructure
Certificate and Certificate Revocation List(CRL)Profile,April 2002.
3.3GPP TS 29.573;3rd Generation Partnership Project;Technical
Specification Group Core Network and Terminals;5G System;
Public Land Mobile Network(PLMN)Interconnection;Stage 3
(Release 16)V16.3.0(2020-07)
4.3GPP TS33.501;3rd Generation Partnership Project;Technical
Specification Group Services and System Aspects;Security
Architecture and Procedures for the 5G System;(Release 16),
V16.3.0(2020-07).
5.3GPP TS 29.510;3rd Generation Partnership Project;TechnicalSpecification Group Core Network and Terminals;5G System;
Network Function Repository Services;Stage 3(Release 16),V16.4.0(2020-07).
将理解的是,当前公开的主题的各种细节可以改变,而不脱离当前公开的主题的范围。此外,前述描述仅用于说明的目的,而非用于限制的目的。
Claims (20)
1.一种用于减轻5G漫游假冒攻击的方法,所述方法包括:
由安全性边缘保护代理(SEPP)从来自第一节点的传输层安全性(TLS)消息获得第一节点的第一标识符;
由SEPP从来自第一节点的N32-c安全性能力协商消息获得第一节点的第二标识符;
比较第一节点的第一标识符和第二标识符;
确定第一标识符与第二标识符不匹配,并且作为响应,确定第一节点的第二标识符无效;以及
响应于确定第一节点的第二标识符无效,阻止与第一节点的公共陆地移动网络(PLMN)间通信。
2.如权利要求1所述的方法,其中从TLS消息获得第一节点的第一标识符包括从包含证书的TLS证书消息获得第一标识符。
3.如权利要求2所述的方法,其中所述证书包括X.509证书。
4.如权利要求3所述的方法,其中获得第一节点的第一标识符包括从X.509证书的主题备用名称字段中提取第一节点的完全合格域名(FQDN)。
5.如前述权利要求中的任一项所述的方法,其中所述SEPP是N32-c安全性能力协商过程中的响应SEPP,并且其中获得第一节点的第二标识符包括从N32-c安全性能力协商消息的SecNegotiateReqData信息元素的发送者属性中提取第一节点的第二标识符。
6.如权利要求1至4中的任一项所述的方法,其中所述SEPP是N32-c安全性能力协商过程中的发起SEPP,并且其中获得第一节点的第二标识符包括从N32-c安全性能力协商消息的SecNegotiationRspData信息元素的发送者属性中提取第一节点的第二标识符。
7.如前述权利要求中的任一项所述的方法,包括:
由SEPP从来自第二节点的TLS握手消息获得第二节点的第一标识符;
从来自第二节点的N32-c安全性能力协商消息获得第二节点的第二标识符;
比较第二节点的第一标识符与第二标识符;
确定第一标识符与第二标识符匹配;
使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找,在对等SEPP数据库中定位匹配的标识符;以及
响应于确定第二节点的第一标识符与第二标识符匹配并且匹配的标识符存在于对等SEPP数据库中,允许与第二节点的PLMN间通信。
8.如前述权利要求中的任一项所述的方法,包括:
由SEPP从来自第二节点的TLS握手消息获得第二节点的第一标识符;
由SEPP从来自第二节点的N32-c安全性能力协商消息获得第二节点的第二标识符;
比较第二节点的第一标识符与第二标识符;以及
确定第一标识符与第二标识符匹配;
使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找并且未能在对等SEPP数据库中定位匹配的标识符;以及
响应于确定第二节点的第一标识符与第二标识符匹配并且匹配的标识符不存在于对等SEPP数据库中,阻止来自第二节点的PLMN间通信。
9.一种用于减轻5G漫游假冒攻击的系统,所述系统包括:
安全性边缘保护代理(SEPP),其包括至少一个处理器和存储器;以及
5G漫游假冒攻击减轻模块,由所述至少一个处理器实现并被配置为:
从来自第一节点的传输层安全性(TLS)消息获得第一节点的第一标识符;
从来自第一节点的N32-c安全性能力协商消息获得第一节点的第二标识符;
比较第一节点的第一标识符与第二标识符;
确定第一标识符与第二标识符不匹配,并且作为响应,确定第一节点的第二标识符无效;以及
响应于确定第一节点的第二标识符无效,阻止与第一节点的公共陆地移动网络(PLMN)间通信。
10.如权利要求9所述的系统,其中5G漫游假冒攻击减轻模块被配置为从包含在TLS证书消息中的证书获得第一节点的第一标识符。
11.如权利要求10所述的系统,其中所述证书包括X.509证书。
12.如权利要求11所述的系统,其中5G漫游假冒攻击减轻模块被配置为通过从所述证书的主题备用名称字段中提取第一节点的完全合格域名(FQDN)来获得第一节点的第一标识符。
13.如权利要求9至12中的任一项所述的系统,其中所述SEPP是N32-c安全性能力协商过程中的响应SEPP,并且其中5G漫游假冒攻击减轻模块被配置为通过从N32-c安全性能力协商消息的SecNegotiateReqData信息元素的发送者属性中提取第一节点的第二标识符来获得第一节点的第二标识符。
14.如权利要求9至12中的任一项所述的系统,其中SEPP是N32-c安全性能力协商过程中的发起SEPP,并且其中5G漫游假冒攻击减轻模块被配置为通过从N32-c安全性能力协商消息的SecNegotiateRspData信息元素的发送者信息元素属性中提取第一节点的第二标识符来获得第一节点的第二标识符。
15.如权利要求9至14中的任一项所述的系统,其中5G漫游假冒攻击减轻模块被配置为:
从来自第二节点的TLS握手消息中获得第二节点的第一标识符;
从来自第二节点的N32-c安全性能力协商消息中获得第二节点的第二标识符;
比较第二节点的第一标识符与第二标识符;
确定第一标识符与第二标识符匹配;
使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找,在对等SEPP数据库中定位匹配的标识符;以及
响应于确定第二节点的第一标识符与第二标识符匹配并且匹配的标识符存在于对等SEPP数据库中,允许与第二节点的PLMN间通信。
16.如权利要求9至15中的任一项所述的系统,其中5G漫游假冒攻击减轻模块被配置为:
从来自第二节点的TLS握手消息中获得第二节点的第一标识符;
从来自第二节点的N32-c安全性能力协商消息中获得第二节点的第二标识符;
比较第二节点的第一标识符与第二标识符;
确定第一标识符与第二标识符匹配;
使用第二节点的第一标识符和第二标识符中的一个在对等SEPP数据库中执行查找并且未能在对等SEPP数据库中定位匹配的标识符;以及
响应于确定第二节点的第一标识符与第二标识符匹配并且匹配的标识符不存在于对等SEPP数据库中,阻止来自第二节点的PLMN间通信。
17.一种非暂态计算机可读介质,其上存储有可执行指令,指令在由计算机的处理器执行时控制计算机执行包括以下的步骤:
由安全性边缘保护代理(SEPP)从来自第一节点的传输层安全性(TLS)消息获得第一节点的第一标识符;
由SEPP从来自第一节点的N32-c安全性能力协商消息中获得第一节点的第二标识符;
比较第一节点的第一标识符与第二标识符;
确定第一标识符与第二标识符不匹配,并且作为响应,确定第一节点的第二标识符无效;以及
响应于确定第一节点的第二标识符无效,阻止与第一节点的公共陆地移动网络(PLMN)间通信。
18.如权利要求17所述的非暂态计算机可读介质,其中从TLS消息获得第一节点的第一标识符包括从包含在TLS证书消息中的证书获得第一标识符。
19.如权利要求18所述的非暂态计算机可读介质,其中证书包括X.509证书。
20.如权利要求19所述的非暂态计算机可读介质,其中获得第一节点的第一标识符包括从所述证书的主题备用名称字段中提取第一节点的完全合格域名(FQDN)。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN202041041754 | 2020-09-25 | ||
| IN202041047779 | 2020-11-02 | ||
| US17/095,420 | 2020-11-11 | ||
| US17/129,441 | 2020-12-21 | ||
| US17/129,441 US11832172B2 (en) | 2020-09-25 | 2020-12-21 | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
| PCT/US2021/029973 WO2022066227A1 (en) | 2020-09-25 | 2021-04-29 | Methods, systems, and computer readable media for mitigating 5g roaming spoofing attacks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116458121A true CN116458121A (zh) | 2023-07-18 |
Family
ID=87122417
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180073135.9A Pending CN116530053A (zh) | 2020-09-25 | 2021-04-29 | 用于减轻对安全边缘保护代理(sepp)公共陆地移动网络间(plmn间)转发接口的假冒攻击的方法、系统和计算机可读介质 |
| CN202180073153.7A Pending CN116458121A (zh) | 2020-09-25 | 2021-04-29 | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180073135.9A Pending CN116530053A (zh) | 2020-09-25 | 2021-04-29 | 用于减轻对安全边缘保护代理(sepp)公共陆地移动网络间(plmn间)转发接口的假冒攻击的方法、系统和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN116530053A (zh) |
-
2021
- 2021-04-29 CN CN202180073135.9A patent/CN116530053A/zh active Pending
- 2021-04-29 CN CN202180073153.7A patent/CN116458121A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| CN116530053A (zh) | 2023-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11825310B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks | |
| US11832172B2 (en) | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface | |
| US11553342B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) | |
| US11528251B2 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
| US20220191694A1 (en) | Methods, systems, and computer readable media for message validation in fifth generation (5g) communications networks | |
| EP4241419A1 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
| US11627467B2 (en) | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces | |
| US11888894B2 (en) | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks | |
| US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
| CN117859312A (zh) | 通过验证过载控制信息来降低成功DoS攻击的可能性 | |
| CN116458121A (zh) | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 | |
| US20240163271A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
| US12015923B2 (en) | Methods, systems, and computer readable media for mitigating effects of access token misuse | |
| US20230247430A1 (en) | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network | |
| CN116491140A (zh) | 用于入口消息速率限制的方法、系统和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |