CN116491140A - 用于入口消息速率限制的方法、系统和计算机可读介质 - Google Patents
用于入口消息速率限制的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN116491140A CN116491140A CN202180074777.0A CN202180074777A CN116491140A CN 116491140 A CN116491140 A CN 116491140A CN 202180074777 A CN202180074777 A CN 202180074777A CN 116491140 A CN116491140 A CN 116491140A
- Authority
- CN
- China
- Prior art keywords
- network
- message
- network node
- identifier
- ingress
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于入口消息速率限制的方法、系统和计算机可读介质。一种方法发生在第一网络的第一网络节点处,包括:从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符;从第二网络节点或第二网络接收请求消息;使用标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率;以及响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许入口消息速率,执行速率限制动作。
Description
优先权声明
本申请要求于2020年12月28日提交的美国专利申请序列No.17/134,635、于2020年12月21日提交的美国专利申请序列No.17/129,487、于2020年11月13日提交的印度临时专利申请序列No.202041049614和于2020年11月6日提交的印度临时专利申请序列No.202041048552的优先权权益,其公开内容通过引用整体并入本文。
技术领域
本文描述的主题涉及增强5G通信网络中的安全性。更具体地,本文描述的主题涉及用于入口消息速率限制的方法、系统和计算机可读介质。
背景技术
在5G电信网络中,提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF,具体取决于它是在消费还是提供服务。
给定的生产者NF可以有许多服务端点,其中服务端点是用于由生产者NF托管的一个或多个NF实例的联系点。服务端点由互联网协议(IP)地址和端口号的组合或在托管生产者NF的网络节点上解析为IP地址和端口号的完全限定的域名来识别。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是,多个NF实例可以共享同一个服务端点。
生产者NF向网络功能储存库功能(NRF)注册。NRF维护识别每个NF实例支持的服务的可用NF实例的服务简档。消费者NF可以订阅以接收关于已向NRF注册的生产者NF实例的信息。除了消费者NF之外,另一种可以订阅以接收关于NF服务实例信息的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理,并且服务通信代理在提供所需服务的生产者NF服务实例之间进行负载平衡流量,或者直接将流量路由到目的地生产者NF实例。
除了SCP之外,在生产者和消费者NF之间路由流量的中间代理节点或网络节点组的其它示例包括安全边缘保护代理(SEPP)、服务网关和5G服务网格中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。由此,SEPP对所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。
但是,需要一个或多个NF处改进的安全性措施。
发明内容
公开了用于入口消息速率限制的方法、系统和计算机可读介质。一种用于入口消息速率限制的示例方法发生在第一网络的第一网络节点处,包括:从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符;从第二网络节点或第二网络接收请求消息;使用标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率;以及响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许入口消息速率,执行速率限制动作。
一种用于入口消息速率限制的示例系统包括第一网络的第一网络节点,该第一网络节点包括至少一个处理器和存储器。第一节点被配置为:从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符;从第二网络节点或第二网络接收请求消息;使用标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率;以及响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许入口消息速率,执行速率限制动作。
一种示例性非暂态计算机可读介质,包括实施在非暂态计算机可读介质中的计算机可执行指令,指令在由至少一个计算机的至少一个处理器执行时,使至少一个计算机执行步骤,包括:在第一网络的第一网络节点处:从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符;从第二网络节点或第二网络接收请求消息;使用标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率;以及响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许入口消息速率,执行速率限制动作。
根据本文描述的主题的一方面,从TLS消息获得标识符可以包括从包含在TLS消息中的证书(例如,X.509v3证书)获得标识符。例如,TLS消息中的X.509v3证书可以包括主题字段或主题替代名称字段,其包括与发送者的身份相关联的FQDN。在这个示例中,FQDN可以包括或表示网络节点标识符或网络标识符,例如,网络标识符可以以类似“5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org”的格式存储,其中“<MNC>”和“<MCC>”字段与运营商的PLMN的MNC和MCC对应。
根据本文描述的主题的一方面,确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率可以包括获得与第二网络节点或第二网络相关联的允许的入口消息速率;获得与第二网络节点或第二网络相关联的当前入口消息速率;并将当前入口消息速率与允许的入口消息速率进行比较,以确定当前入口消息速率满足或超过允许的入口消息速率。
根据本文描述的主题的一方面,获得与第二网络节点或第二网络相关联的当前入口消息速率可以包括跟踪或导出用于第二网络中的多个SEPP的消息速率以确定与第二网络相关联的当前入口速率。例如,假设速率限制是基于始发网络标识符,SEPP 126可以跨多个N32-f接口连接跟踪入口消息速率,并且可以组合用于与同一网络标识符相关联的多个SEPP的入口消息速率,并且可以将与网络标识符相关联的组合入口消息速率和与网络标识符相关联的预定允许的入口消息速率进行比较。
根据本文描述的主题的一方面,速率限制动作可以包括丢弃请求消息、生成或修改用于丢弃消息的一部分的节流速率,或者通知网络运营商或管理系统。
本文描述的主题可以以硬件、软件、固件或其任何组合来实现。因此,本文使用的术语“功能”、“节点”或“模块”是指硬件,其还可以包括软件和/或固件组件,用于实现所描述的特征。在一个示例实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,指令在由计算机的处理器执行时控制计算机执行本发明的任何一个或多个步骤。适于实现本文描述的主题的示例计算机可读介质包括非暂态计算机可读介质,诸如盘存储设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
附图说明
现在将参考附图解释本文描述的主题,其中:
图1是图示示例5G网络体系架构的网络图;
图2是图示使用传输层安全性(TLS)的N32-f接口连接的图;
图3是图示用于入口消息速率限制的示例节点的图;
图4是图示与N32-f接口相关联的TLS握手的消息流程图;
图5是图示示例消息速率相关数据的图;
图6是图示入口消息速率限制的示例的消息流程图;以及
图7是图示用于入口消息速率限制的示例处理的流程图。
具体实施方式
现在将详细参考本文描述的主题的各种实施例,其示例在附图中示出。在可能的情况下,将贯穿附图使用相同的附图标记来指代相同或相似的部分。
图1是图示示例5G系统网络体系架构的框图,例如,归属5G核心(5GC)网络。图1中的体系架构包括NRF 100和SCP 101,它们可以位于相同的归属公共陆地移动网络(PLMN)中。如上所述,NRF 100可以维护可用的生产者NF服务实例及其支持的服务的简档,并允许消费者NF或SCP订阅并得到新的/更新后的生产者NF服务实例的注册的通知。SCP 101还可以支持生产者NF实例的服务发现和选择。SCP 101可以对消费者和生产者NF之间的连接执行负载平衡。此外,使用本文描述的方法,SCP 101可以执行基于优选的NF位置的选择和路由。
NRF 100是用于生产者NF实例的NF或服务简档的储存库。为了与生产者NF实例通信,消费者NF或SCP必须从NRF 100获得生产者NF实例的NF或服务简档。NF或服务简档是在第三代合作伙伴计划(3GPP)技术规范(TS)29.510中定义的JavaScript对象表示法(JSON)数据结构。NF或服务简档定义包括完全限定的域名(FQDN)、互联网协议(IP)版本4(IPv4)地址或IP版本6(IPv6)地址中的至少一个。在图1中,任何节点(NRF 100除外)都可以是或者消费者NF或者生产者NF,这取决于它们是请求服务还是提供服务。在所示示例中,节点包括在网络中执行策略相关操作的策略控制功能(PCF)102、管理用户数据的用户数据管理(UDM)功能104,以及提供应用服务的应用功能(AF)106。图1中所示的节点还包括会话管理功能(SMF)108,其管理接入和移动性管理功能(AMF)110与PCF 102之间的会话。AMF 110执行类似于在4G网络中由移动性管理实体(MME)执行那些类似的移动管理操作。认证服务器功能(AUSF)112为寻求接入网络的用户装备(UE),诸如用户装备(UE)114,执行认证服务。
网络切片选择功能(NSSF)116为寻求访问与网络切片相关联的具体网络能力和特点的设备提供网络切片服务。网络暴露功能(NEF)118为寻求获得关于物联网(IoT)设备和附接到网络的其它UE的信息的应用功能提供应用编程接口(API)。NEF 118执行与4G网络中的服务能力暴露功能(SCEF)类似的功能。
无线电接入网络(RAN)120经由无线链路将用户装备(UE)114连接到网络。可以使用g节点B(gNB)(图1中未示出)或其它无线接入点来接入无线电接入网络120。用户平面功能(UPF)122可以支持用于用户平面服务的各种代理功能性。这种代理功能性的一个示例是多路径传输控制协议(MPTCP)代理功能性。UPF 122还可以支持性能测量功能性,UE 114可以使用该功能性来获得网络性能测量。图1中还图示了数据网络(DN)124,UE通过它访问数据网络服务,诸如互联网服务。
安全性边缘保护代理(SEPP)126过滤来自另一个PLMN的传入流量,并对离开归属PLMN的流量执行拓扑隐藏。SEPP 126可以与管理外来PLMN的安全性的外来PLMN中的SEPP通信。因此,不同PLMN中的NF之间的流量可以穿越两个SEPP功能,一个用于归属PLMN,另一个用于外来PLMN。
SEPP 126可以利用N32-c接口和N32-f接口。N32-c接口是两个SEPP之间的控制平面接口,可用于执行初始握手(例如,TLS握手)和协商用于N32-f接口连接和相关消息转发的各种参数。N32-f接口是两个SEPP之间的转发接口,可用于转发在应用应用级安全性保护之后消费者NF和生产者NF之间的各种通信(例如,5GC请求)。
一般而言,SEPP之间的N32-f接口连接使用TLS保护方式,但如果SEPP之间存在一个或多个IP交换,那么可以使用基于PRINS的保护模式。虽然在使用基于PRINS的保护模式设置N32-f接口连接时作为握手过程的一部分创建N32-f上下文标识符,但在使用TLS保护模式设置N32-f接口连接时不创建N32-f上下文标识符。另外,经由使用TLS保护模式的N32-f接口连接发送的转发的消息是HTTP/2消息,并且可能不包括源SEPP身份。
现有5G体系架构的一个潜在问题是,外来PLMN中的SEPP可以通过向归属PLMN中的另一个SEPP发送大量PLMN间消息来触发信令风暴。虽然接收SEPP或归属PLMN可以发起全局消息速率限制过程以减少或减轻信令风暴的后果,但是全局消息速率限制可以丢弃来自不为信令风暴负责或与信令风暴无关的网络和SEPPS的消息。
图2是图示使用TLS的N32-f接口连接的示意图。在图2中,SEPP 126可以连接到由不同移动网络运营商(MNO)控制的网络中的各种SEPP。如图2中所示,SEPP 126使用TLS保护模式经由N32-f接口连接连接到“MNO-1”网络中的SEPP 200。SEPP 126使用TLS保护模式经由N32-f接口连接连接到“MNO-2”网络中的SEPP 202。SEPP 126使用TLS保护模式经由N32-f接口连接连接到“MNO-3”网络中的SEPP 204。
在一些实施例中,SEPP 126可以包括在3GPP TS 33.501中定义的功能性,例如消息保护、相互认证、密钥管理、拓扑隐藏、访问控制、丢弃格式错误的N32信令消息、速率限制、反欺骗机制。例如,当SEPP 200和/或“MNO-1”网络中的其它SEPP正在发送大量流量(例如,信令风暴)时使得SEPP 126或其归属网络中的节点遇到网络拥塞和/或其它问题时,SEPP 126可以实现全局消息速率限制过程,该过程可以节流或丢弃入口消息以努力降低全局入口消息速率。但是,这种过程一般不区分哪个网络的消息被节流或丢弃。
虽然全局消息速率限制可以减轻信令风暴的负面影响,但这种速率限制也会不公平地丢弃或节流与不为信令风暴负责或与信令风暴相关联的网络(例如,“MNO-2”和“MNO-3”网络)相关联的流量。
取决于各种因素,用于执行选择性入口消息速率限制的有效标识符可能不容易获得。例如,虽然N32-f上下文ID可以被用于使用基于PRINS的保护的N32-f接口连接,但此类ID不可用于使用TLS保护的N32-f接口连接。另外,虽然发送者标识符可以从各个PLMN间消息中解析或导出,但通常遍历使用TLS保护的N32-f接口连接的HTTP/2消息可能不包括源SEPP身份,并且由于网络地址翻译以及多个SEPP实例和/或连接,使用源IP地址可能是麻烦的。而且,要求这种解析的速率限制解决方案可以是资源密集型的、缺乏可伸缩性,和/或以其它方式是不期望的。
本文描述的主题通过提供用于对每个PLMN或其中的节点进行高效和选择性入口消息速率限制的方法或技术来解决这些问题,例如,通过仅丢弃来自罪魁祸首网络的过多的PLMN间消息。另外,此类方法和技术可以执行PLMN间消息的入口消息速率限制而几乎没有或没有附加的开销,并且还可以避免为PLMN标识符解析PLMN间消息。例如,本文描述的入口消息速率限制方法或技术可以从在握手过程期间接收到的TLS消息或X.509证书中获得始发或发送者标识符(例如,FQDN或网络域标识符)然后基于那个标识符对入口消息进行速率限制。
图3是图示用于入口消息速率限制的示例节点300的图。节点300可以表示用于执行入口消息速率限制的各方面的一个或多个任何合适的实体。在一些实施例中,节点300可以表示或包括一个或多个5GC NF,例如SEPP、NRF、PCF、NSSF、NEF、UDM、AUSF、UDR、绑定支持功能(BSF),或非结构化数据存储功能(UDSF)。在一些实施例中,节点300可以表示或包括网络网关、网络代理、边缘安全性设备或相关的功能性。
在一些实施例中,节点300或相关模块可以被配置(例如,经由编程逻辑)以基于它们的始发PLMN对PLMN间消息执行入口消息速率限制,从而减少或减轻控制平面信令风暴对该节点或归属网络中其它下游NF的影响。例如,节点300或相关模块可以被配置为从在TLS握手期间接收的数字证书识别PLMN ID,然后可以对与PLMN ID相关联的入口消息进行速率限制。
参考图3,节点300可以包括一个或多个通信接口302,用于经由通信环境(例如,归属5GC网络)传送消息。在一些实施例中,(一个或多个)通信接口302可以包括用于与第一网络中的一个或多个SEPP通信的第一通信接口、用于与第二网络中的一个或多个SEPP通信的第二通信接口,以及用于与归属网络(例如,归属5GC网络)中的一个或多个SEPP通信的第三通信接口。
节点300可以包括速率限制管理器(RLM)304。RLM 304可以是用于执行入口消息速率限制的一个或多个方面的任何合适的实体(例如,在至少一个处理器上执行的软件)。在一些实施例中,RLM 304可以包括用于从来自网络节点的TLS消息获得识别网络节点或相关网络的标识符并且使用该标识符执行入口消息速率限制的功能性。例如,从TLS消息中获得标识符可以包括从TLS消息中包含的证书(例如,X.509v3证书)中获得标识符。在这个示例中,TLS消息中的X.509v3证书可以包括主题字段或主题替代名称字段,其包括与发送者的身份相关联的FQDN。在这个示例中,FQDN可以包括或表示网络节点标识符或网络标识符,例如,网络标识符可以是PLMN ID或以类似“5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org”的格式存储的网络域,其中“<MNC>”和“<MCC>”字段与运营商的PLMN的MNC和MCC对应。
在一些实施例中,例如,在确定与特定N32-f接口连接相关联的标识符之后,RLM304可以被配置用于监视N32-f接口连接以获取PLMN间消息(例如,HTTP/2条消息)。在这个示例中,对于每个接收到的PLMN间消息,RLM 304可以使用标识符来确定是否已经达到或超过与该标识符相关联的允许的入口消息速率,并且响应于确定已经达到或超过与该标识符相关联的允许的入口消息速率,RLM 304可以执行速率限制动作。示例速率限制动作可以包括丢弃请求消息、生成或修改用于丢弃入口消息的一部分的节流速率、和/或关于入口消息速率或相关事件通知网络运营商或管理系统。
在一些实施例中,RLM 304可以被配置用于通过获得与网络节点或包含该网络节点的网络相关联的允许的入口消息速率来确定是否执行入口消息速率限制;获得与网络节点或网络相关联的当前入口消息速率;以及将当前入口消息速率与允许的入口消息速率进行比较。如果当前入口消息速率满足或超过允许的入口消息速率,那么可以执行速率限制动作。如果当前入口消息速率满足或超过允许的入口消息速率,那么RLM 304可以允许消息被处置或处理,例如,没有入口消息速率限制。
在一些实施例中,RLM 304可以被配置用于跟踪或导出用于多个节点或相关连接的消息速率。例如,假设速率限制是基于始发网络标识符,RLM 304可以跨多个N32-f接口连接跟踪入口消息速率,并且可以组合用于与同一网络标识符相关联的多个SEPP的入口消息速率,并且可以将与网络标识符相关联的组合入口消息速率和与网络标识符相关联的预定允许的入口消息速率进行比较。
节点300可以访问数据存储装置306(例如,从其读取信息和/或向其写入信息)。数据存储装置306可以是用于存储各种数据的任何合适的实体(例如,计算机可读介质或存储器)。在一些实施例中,数据存储装置306可以包括用于获得TLS消息和/或数字证书的标识符的逻辑、用于检查是否执行入口消息速率限制的逻辑、用于实现或触发速率限制动作的逻辑、用于跟踪与各种连接(例如,N32-f接口连接)和/或始发实体(例如,PLMN ID或FQDN)相关联的当前入口消息速率的逻辑,以及用于一个或多个外来网络和/或其中的节点的预定允许的消息速率。
在一些实施例中,数据存储装置306可以包括消息速率限制数据。例如,数据存储装置306可以包括用于识别用于各种PLMN或其中的网络节点的当前消息速率、允许的消息速率和/或消息节流速率的信息。在这个示例中,相关的消息速率和节流速率可以使用从TLS消息或其中的X.509证书获得的标识符来索引或以其它方式识别。
将认识到的是,图3及其相关描述是为了说明的目的,并且节点300可以包括附加的和/或不同的模块、组件或功能性。
图4是图示与在SEPP 200和SEPP 126之间建立N32-f接口连接相关联的TLS握手的消息流程图。在一些实施例中,SEPP 126或其中的RLM 304可以被配置为在设置或配置N32-f接口连接时获得或确定与发起SEPP 200相关联的标识符。例如,发起SEPP 200和响应SEPP126可以通过N32-c接口交换TLS握手消息以建立TLS连接。TLS握手可以涉及ClientHello和ServerHello消息的交换,然后是证书消息的交换。每个证书消息可以包含发送者的X.509证书。发送者的身份可以包含在X.509证书中并且难以被欺骗,因为X.509证书是由证书颁发机构签署的。
TLS握手协议在互联网工程任务组(IETF)征求意见(RFC)5246中定义,并且包括由TLS连接的两端进行的证书消息的交换。IETF RFC 5246中定义的TLS握手消息的结构(包括证书消息)如下所示:
如上面描述的TLS握手消息结构所示,所定义的握手消息类型之一是证书消息,其包含客户端或服务器的证书,这取决于发送者是作为客户端还是服务器。在通过N32-c接口建立安全的TLS通信时,使用相互TLS或m-TLS,TLS连接的两端接收并验证另一端的X.509证书。IETF RFC 5246指示证书的类型必须是X.509v3,除非另有明确协商。本文描述的示例使用X.509v3证书作为示例,但本文描述的主题不限于仅使用从X.509v3中提取出的发送者身份来验证发送者的N32-c身份。X.509v3证书格式在IETF RFC 3280中定义。根据IETF RFC3280,X.509v3证书中可以包括的一个扩展名或参数是主题替代名称扩展名。主题替代名称扩展名定义如下:
主题替代名称扩展名允许将附加身份绑定到证书的主题。所定义的选项包括互联网电子邮件地址、DNS名称、IP地址和统一资源标识符(URI)。存在其它选项,包括完全本地定义。多种名称形式,
以及每种名称形式的多个实例,可以包括在内。每当将此类身份绑定到证书中时,必须使用主题替代名称(或颁发者替代名称)
扩展名;但是,DNS名称可以使用domainComponent属性在主题字段中表示,如第 4.1.2.4节中所描述的。
因为主题替代名称被认为最终绑定到公钥,所以主题替代名称的所有部分都必须由CA核实。
在一些实施例中,如上面所指示的,X.509v3证书的主题替代名称扩展名可以包含DNS名称、IP地址或识别证书的主题并由证书颁发机构核实的URI。因为主题替代名称由证书颁发机构核实,所以主题替代名称难以被欺骗。
参考图4,在步骤401中,可以从SEPP 200向SEPP 126发送用于发起TLS握手的ClientHello消息。
在步骤402中,例如,响应于ClientHello消息,可以从SEPP 126向SEPP 200发送各种握手相关的消息(例如,ServerHello消息、Certificate消息、ServerKeyExchange消息、CertificateRequest消息、ServerHelloDone消息等)。
在步骤403中,例如,响应于ServerHelloDone消息,可以从SEPP 200向SEPP 126发送各种握手相关的消息(例如,Certificate消息、ClientKeyExchange消息、CertificateVerify消息、ChangeCipherSpec消息、Finished消息等)。
在步骤404中,可以提取并存储来自证书消息的客户端相关标识符,例如数据存储装置306。例如,SEPP 126或其中的RLM 304可以从存储在Certificate消息的X.509v3证书中的FQDN中提取或导出相关标识符。在这个示例中,FQDN可以包括或表示网络节点标识符或网络标识符,例如,网络标识符可以以类似“5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org”的格式存储,其中“<MNC>”和“<MCC>”字段与运营商的PLMN的MNC和MCC对应。
在步骤405中,例如,响应于Finished消息,可以从SEPP 126向SEPP 200发送各种握手相关的消息(例如,ChangeCipherSpec消息和Finished消息)。
在步骤406中,在识别出与N32-f接口连接相关联的客户端相关标识符(例如,PLMNID)之后,SEPP 126或其中的RLM 304可以监视经由N32-f接口连接接收的PLMN间消息(例如,HTTP/2消息),用于入口消息速率限制目的。例如,当经由N32-f接口连接接收到与特定PLMN ID相关联的HTTP/2请求消息时,SEPP 126或其中的RLM 304可以在处理、转发和/或响应PLMN间消息之前确定与客户端相关标识符关联的当前消息速率是否满足或超过与客户端相关标识符相关联的允许的消息速率。
将认识到的是,图4是为了说明的目的并且可以使用不同的和/或附加的消息和/或动作。还将认识到的是,本文描述的各种消息和/或动作可以以不同的次序或顺序发生。
图5是描绘示例消息速率相关数据500的图。数据500可以包括用于识别用于各种PLMN或其中的网络节点的当前消息速率、允许的消息速率和/或消息节流速率的信息。例如,数据500中的每个速率可以表示每个时间段的消息、请求或事务的数量,例如,每秒事务(TPS)。
参考图5,表示数据500的表包括用于网络和/或节点ID、当前消息速率、允许的消息速率和消息节流速率的列和/或字段。NET ID字段可以存储表示PLMN的信息。示例网络ID可以包括PLMN标识符、移动国家代码(MCC)、移动网络代码(MNC)、位置区域代码(LAC)、网络标识符、小区全球标识符(CGI)、基站标识符(BSID)、接入节点标识符、小区身份(CI)、服务区域代码(SAC)、路由区域身份(RAI)、路由区域代码(RAC)、跟踪区域身份(TAI)、跟踪区域代码(TAC)、eUTRAN CGI(EGCI)、位置坐标(例如,全球定位系统(GPS)信息)和/或相对位置信息。示例节点ID可以包括FQDN、URI、域名系统(DNS)名称或IP地址。
当前消息速率字段可以存储用于表示与一个或多个消息、消息的类型或事务相关联的被测量或被跟踪的消息速率的信息。例如,当前消息速率(例如,50TPS)可以指示从特定PLMN接收到的PLMN间请求消息或事务的测得的速率。
允许的消息速率字段可以存储用于表示与一个或多个消息、消息的类型或事务相关联的预定允许的消息速率的信息。例如,允许的消息速率(例如,40TPS)可以指示SEPP126被配置为允许的来自特定PLMN的PLMN间请求消息或事务的速率,例如,无需执行速率限制动作。
消息节流速率字段可以存储用于表示与一个或多个消息、消息的类型或事务相关联的消息节流速率的信息。例如,消息节流速率可以指示SEPP 126要节流或丢弃的来自特定PLMN的PLMN间请求消息或事务的速率。在这个示例中,节流速率可以基于当前消息速率与允许的消息速率之间的差异,例如,50TPS-40TPS=10TPS。
还将认识到的是,数据500用于说明的目的,并且与图5中描绘的数据不同和/或附加的数据可用于指示特定数据部分或其它信息的默认值。另外,可以使用各种数据结构和/或计算机可读介质来存储(例如,在数据存储装置306中)或管理数据500。
图6是图示入口消息速率限制的示例的消息流程图。在一些实施例中,SEPP 126或其中的RLM 304可以被配置为使用与发起SEPP相关联的标识符来执行入口消息速率限制,该标识符从在设置或配置N32-f接口连接时交换的基于TLS的证书获得或导出。在识别出与N32-f接口连接相关联的发送者标识符(例如,PLMN ID)之后,SEPP 126或其中的RLM 304可以监视与发送者标识符相关联的入口PLMN间消息(例如,HTTP/2消息)并且可以在处理、转发和/或响应PLMN间消息之前确定与发送者标识符相关联的当前消息速率是否满足或超过与发送者标识符相关联的允许消息速率。如果SEPP 126或RLM 304确定当前消息速率满足或超过允许的消息速率,那么SEPP 126或其中的RLM 304可以丢弃PLMN间消息中的一个或多个或者可以执行另一个速率限制动作。如果SEPP 126或其中的RLM 304确定当前消息速率不满足或超过允许的消息速率,那么SEPP 126或其中的RLM 304可以允许PLMN间消息。
参考图6,在步骤601中,SEPP 202和SEPP 126之间的TLS握手可以经由N32-c接口发生。例如,SEPP 202可以发起与SEPP 126的TLS握手,并且在TLS握手期间,SEPP 202和SEPP 126可以交换包含标识符的数字证书(例如,X.509v3证书)。
在一些实施例中,在TLS握手期间,SEPP 126或其中的RLM304可以接收包含与SEPP202相关联的身份的数字证书。在此类实施例中,SEPP 126或其中的RLM 304可以从数字证书中提取、导出或以其它方式确定标识符并将那个标识符用于入口消息速率限制功能。
在步骤602中,在TLS握手之后,可以使用TLS保护模式经由N32-f接口从SEPP 202向SEPP 126发送5GC请求(例如,HTTP/2消息)。例如,外来网络中的生产者NF可以生成5GC请求,该请求经由SEPP 202和SEPP 126被转发到另一个网络中的消费者NF。
在步骤603中,例如,在确定不执行速率限制之后,可以经由N32-f接口从SEPP 126向SEPP 202发送5GC响应(例如,HTTP/2消息)。例如,归属网络中的消费者NF可以生成5GC响应,该响应经由SEPP 126和SEPP 202转发到外来网络中的生产者NF。
在步骤604中,SEPP 200和SEPP 126之间的TLS握手可以经由N32-c接口发生。例如,SEPP 200可以发起与SEPP 126的TLS握手,并且在TLS握手期间,SEPP 200和SEPP 126可以交换包含标识符的数字证书(例如,X.509v3证书)。
在一些实施例中,在TLS握手期间,SEPP 126或其中的RLM 304可以接收包含与SEPP 200相关联的身份的数字证书。在此类实施例中,SEPP 126或其中的RLM 304可以从数字证书中提取、导出或以其它方式确定标识符并将该标识符用于入口消息速率限制目的。
在步骤605中,在TLS握手之后,可以使用TLS保护模式经由N32-f接口从SEPP 200向SEPP 126发送5GC请求(例如,HTTP/2消息)。例如,外来网络中的生产者NF可以生成5GC请求,该请求经由SEPP 200和SEPP 126被转发到另一个网络中的消费者NF。
在步骤606中,例如,在确定要执行速率限制后,可以丢弃5GC请求。例如,SEPP 126或其中的RLM 304可以阻止消费者NF接收由SEPP 200转发的5GC请求。
将认识到的是,图6是为了说明的目的并且可以使用不同和/或附加的消息和/或动作。还将认识到的是,本文描述的各种消息和/或动作可以以不同的次序或顺序发生。
图7是图示用于入口消息速率限制的示例处理700的图。在一些实施例中,本文描述的示例处理700或其部分可以在节点300、RLM 304和/或另一个模块或节点处执行或由其执行。
参考示例处理700,各方面(例如,处理步骤或动作)可以发生在第一网络的网络节点(例如,归属5GC网络中的包括RLM 304的SEPP 126或节点300)处。
在步骤702中,可以从来自第二网络的第二网络节点的TLS消息中获得识别第二网络节点或第二网络的标识符。例如,“MNO-1”网络的SEPP 200可以发起与归属网络中的SEPP126的TLS握手,并且在TLS握手期间,可以提供包含证书的TLS消息,该证书具有与SEPP 200相关联的标识符。
在一些实施例中,从TLS消息中获得标识符可以包括从包含在TLS消息中的证书(例如,X.509v3证书)中获得标识符。例如,TLS消息中的X.509v3证书可以包括主题字段或主题替代名称字段,其包括与发送者的身份相关联的FQDN。在这个示例中,FQDN可以包括或表示网络节点标识符或网络标识符,例如,网络标识符可以以类似“5gc.mnc<MNC>.mcc<MCC>.3gppnetwork.org”的格式存储,其中“<MNC>”和“<MCC>”字段与运营商的PLMN的MNC和MCC对应。
在步骤704中,可以从第二网络节点或第二网络接收请求消息。例如,在TLS握手之后,“MNO-1”网络的SEPP 200可以使用TLS保护模式经由N32-f接口将一个或多个5GC请求(例如,来自生产者NF)转发到归属网络中的SEPP 126。
在步骤706中,可以使用标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率。例如,SEPP 126可以利用与发起SEPP相关联的标识符来确定SEPP是否达到或超过入口消息速率。在这个示例中,SEPP 126可以查询包含由相关标识符(例如,PLMN标识符和/或SEPP标识符)来索引或与其相关联的当前入口消息速率和允许的消息速率的数据存储库或数据库。
在一些实施例中,确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率可以包括获得与第二网络节点或第二网络相关联的允许的入口消息速率;获得与第二网络节点或第二网络相关联的当前入口消息速率;以及将当前入口消息速率与允许的入口消息速率进行比较,以确定当前入口消息速率满足或超过允许的入口消息速率。
在一些实施例中,获得与第二网络节点或第二网络相关联的当前入口消息速率可以包括跟踪或导出用于第二网络中的多个SEPP的消息速率以确定与第二网络相关联的当前入口速率。例如,假设速率限制是基于始发网络标识符,SEPP 126可以跨多个N32-f接口连接跟踪入口消息速率,并且可以组合用于与同一网络标识符相关联的多个SEPP的入口消息速率,并且可以将与网络标识符相关联的组合入口消息速率和与网络标识符相关联的预定允许的入口消息速率进行比较。
在步骤708中,响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率,可以执行速率限制动作。
在一些实施例中,速率限制动作可以包括丢弃请求消息、生成或修改用于丢弃消息的一部分的节流速率,或者通知网络运营商或管理系统。
将认识到的是,处理700是为了说明的目的并且可以使用不同的和/或附加的动作。还将认识到的是,本文描述的各种动作可以以不同的次序或顺序发生。
将认识到的是,虽然已经参考5G网络讨论了本文描述的主题的一些方面,但是各种其它网络可以利用本文描述的主题的一些方面。例如,利用识别发送者或相关网络的证书的任何网络都可以使用本文描述的特征、机制和技术来执行更具选择性的入口消息速率限制,例如,基于源节点或网络。
应当注意的是,节点300、RLM 304和/或本文描述的功能性可以构成专用计算设备。另外,节点300、RLM 304和/或本文描述的功能性可以改进SEPP或其它网络节点处的网络安全性和/或消息速率限制的技术领域。例如,通过基于网络标识符和/或节点标识符执行入口消息速率限制,恶意活动(例如,信令流量风暴)及其负面后果(例如,网络拥塞、服务故障和/或不良用户体验)可以被减轻和/或预防。
就不与本文一致的程度以及补充、解释、提供背景或教导本文所采用的方法、技术和/或系统的程度而言,以下参考文献中的每一个的公开内容都通过引用整体并入本文。
参考文献:
1.IETF RFC 5246;The Transport Layer Security(TLS)Protocol,Version1.2;2008年8月。
2.IETF RFC 3280;Internet X.509Public Key InfrastructureCertificateand Certificate Revocation List(CRL)Profile,2002年4月。
3.3GPP TS 23.003;3rdGeneration Partnership Project;TechnicalSpecification Group Core Network and Terminals;Numbering,addressingand identification(Release 16),V16.4.0(2020-09)。
4.3GPP TS 29.573;3rd Generation Partnership Project;
Technical Specification Group Core Network and Terminals;
5G System;Public Land Mobile Network(PLMN)
Interconnection;Stage 3(Release 16)V16.3.0(2020-07)。
5.3GPP TS33.501;3rd Generation Partnership Project;TechnicalSpecification Group Services and System Aspects;SecurityArchitectureand Procedures for the 5G System;(Release 16),V16.3.0(2020-07)。
6.3GPP TS 29.510;3rd Generation Partnership Project;
Technical Specification Group Core Network and Terminals;
5G System;Network Function Repository Services;Stage 3
(Release 16),V16.4.0(2020-07)。
将理解的是,当前公开的主题的各种细节可以改变,而不脱离当前公开的主题的范围。此外,前述描述仅用于说明的目的,而非用于限制的目的。
Claims (20)
1.一种用于入口消息速率限制的方法,该方法包括:
在第一网络的第一网络节点处:
从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符;
从第二网络节点或第二网络接收请求消息;
使用所述标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率;以及
响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率,执行速率限制动作。
2.如权利要求1所述的方法,其中从TLS消息获得标识符包括从包含在TLS消息中的证书获得标识符。
3.如权利要求2所述的方法,其中证书包括X.509证书。
4.如权利要求3所述的方法,其中获得标识符包括从X.509证书的主题字段或主题替代名称字段中提取用于第二网络节点的完全限定域名(FQDN)。
5.如权利要求4所述的方法,其中获得标识符包括从FQDN获得用于识别第二网络的网络标识符。
6.如任一前述权利要求所述的方法,其中第一网络节点或第二网络节点包括安全性边缘保护代理(SEPP)、5G核心网络功能、网络代理或网络网关。
7.如任一前述权利要求所述的方法,其中确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率包括:
获得与第二网络节点或第二网络相关联的允许的入口消息速率;
获得与第二网络节点或第二网络相关联的当前入口消息速率;以及
将当前入口消息速率与允许的入口消息速率进行比较,以确定当前入口消息速率满足或超过允许的入口消息速率。
8.如权利要求7所述的方法,其中获得与第二网络节点或第二网络相关联的当前入口消息速率包括跟踪或导出用于第二网络中的多个SEPP的组合消息速率以确定与第二网络相关联的当前入口速率。
9.如任一前述权利要求所述的方法,其中速率限制动作包括丢弃请求消息、生成或修改用于丢弃入口消息的一部分的节流速率,或者通知网络运营商或管理系统。
10.一种用于入口消息速率限制的系统,该系统包括:
第一网络的第一网络节点,包括:
至少一个处理器;以及
存储器,
其中第一网络节点被配置用于:
从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符;
从第二网络节点或第二网络接收请求消息;
使用所述标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率;以及
响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率,执行速率限制动作。
11.如权利要求10所述的系统,其中第一网络节点被配置用于通过从TLS消息中包含的证书中获得标识符来从TLS消息获得标识符。
12.如权利要求11所述的系统,其中证书包括X.509证书。
13.如权利要求12所述的系统,其中第一网络节点被配置用于从X.509证书的主题字段或主题替代名称字段中提取用于第二网络节点的完全限定域名(FQDN)。
14.如权利要求13所述的系统,其中第一网络节点被配置用于从FQDN获得用于识别第二网络的网络标识符。
15.如权利要求10至14中的任一项所述的系统,其中第一网络节点或第二网络节点包括安全性边缘保护代理(SEPP)、5G核心网络功能、网络代理或网络网关。
16.如权利要求10至15中的任一项所述的系统,其中第一网络节点被配置用于:
获得与第二网络节点或第二网络相关联的允许的入口消息速率;
获得与第二网络节点或第二网络相关联的当前入口消息速率;以及
将当前入口消息速率与允许的入口消息速率进行比较,以确定当前入口消息速率满足或超过允许的入口消息速率。
17.如权利要求16所述的系统,其中第一网络节点被配置用于跟踪或导出用于第二网络中的多个SEPP的消息速率以确定与第二网络相关联的当前入口速率。
18.如权利要求10至17中的任一项所述的系统,其中速率限制动作包括丢弃请求消息、生成或修改用于丢弃入口消息的一部分的节流速率,或者通知网络运营商或管理系统。
19.一种非暂态计算机可读介质,其上存储有可执行指令,指令在由计算机的处理器执行时控制计算机执行包括以下的步骤:
在第一网络的第一网络节点处:
从来自第二网络的第二网络节点的传输层安全性(TLS)消息获得识别第二网络节点或第二网络的标识符;
从第二网络节点或第二网络接收请求消息;
使用所述标识符确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率;以及
响应于确定已经达到或超过与第二网络节点或第二网络相关联的允许的入口消息速率,执行速率限制动作。
20.如权利要求19所述的非暂态计算机可读介质,其中从TLS消息获得标识符包括从包含在TLS消息中的证书获得标识符。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IN202041048552 | 2020-11-06 | ||
| IN202041049614 | 2020-11-13 | ||
| US17/129,487 | 2020-12-21 | ||
| US17/134,635 US11943616B2 (en) | 2020-11-13 | 2020-12-28 | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting |
| US17/134,635 | 2020-12-28 | ||
| PCT/US2021/042660 WO2022098404A1 (en) | 2020-11-06 | 2021-07-21 | Methods, systems, and computer readable media for ingress message rate limiting |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116491140A true CN116491140A (zh) | 2023-07-25 |
Family
ID=87218212
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180074777.0A Pending CN116491140A (zh) | 2020-11-06 | 2021-07-21 | 用于入口消息速率限制的方法、系统和计算机可读介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116491140A (zh) |
-
2021
- 2021-07-21 CN CN202180074777.0A patent/CN116491140A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11528251B2 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
| WO2022098404A1 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
| US11818570B2 (en) | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks | |
| US11825310B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks | |
| US11553342B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming security attacks using security edge protection proxy (SEPP) | |
| US11943616B2 (en) | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting | |
| WO2022066227A1 (en) | Methods, systems, and computer readable media for mitigating 5g roaming spoofing attacks | |
| JP2024505791A (ja) | 予想されるユーザ機器(UE)挙動パターンに基づいてインターネット・オブ・シングス(IoT)デバイスへの5Gローミング攻撃を緩和するための方法、システム、およびコンピュータ読取可能媒体 | |
| CN117099386A (zh) | 用于减轻利用接入和移动管理功能(AMF)位置服务的位置跟踪和拒绝服务(DoS)攻击的方法、系统和计算机可读介质 | |
| US20220295282A1 (en) | Methods, systems, and computer readable media for delegated authorization at security edge protection proxy (sepp) | |
| US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
| CN117178519A (zh) | 用于服务通信代理(scp)处的委托授权的方法、系统和计算机可读介质 | |
| WO2022169617A1 (en) | METHODS, SYSTEMS, AND COMPUTER READABLE MEDIA FOR MITIGATING DENIAL OF SERVICE (DoS) ATTACKS AT NETWORK FUNCTION (NFs) | |
| CN117321963A (zh) | 用于通过网络功能(nf)储存库功能(nrf)或服务通信代理(scp)进行平台防火墙管理的方法、系统和计算机可读介质 | |
| CN116491140A (zh) | 用于入口消息速率限制的方法、系统和计算机可读介质 | |
| US20240163660A1 (en) | Methods, systems, and computer readable media for providing shared security edge protection proxy (sepp) for roaming aggregators | |
| US12041078B2 (en) | Methods, systems, and computer readable media for reducing the likelihood of successful denial of service (DoS) attacks by validating overload control information (OCI) scope against network function (NF) profile information obtained using target resource identification information | |
| US20240007858A1 (en) | Methods, systems, and computer readable media for managing network function request messages at a security edge protection proxy | |
| CN116458121A (zh) | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 | |
| CN117859312A (zh) | 通过验证过载控制信息来降低成功DoS攻击的可能性 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |