CN116530053A - 用于减轻对安全边缘保护代理(sepp)公共陆地移动网络间(plmn间)转发接口的假冒攻击的方法、系统和计算机可读介质 - Google Patents
用于减轻对安全边缘保护代理(sepp)公共陆地移动网络间(plmn间)转发接口的假冒攻击的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN116530053A CN116530053A CN202180073135.9A CN202180073135A CN116530053A CN 116530053 A CN116530053 A CN 116530053A CN 202180073135 A CN202180073135 A CN 202180073135A CN 116530053 A CN116530053 A CN 116530053A
- Authority
- CN
- China
- Prior art keywords
- plmn
- sepp
- identifier
- inter
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于减轻SEPP PLMN间转发接口上的假冒攻击的方法包括由响应SEPP从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和/或第一PLMN标识符。该方法还包括将第一SEPP标识符和/或第一PLMN标识符存储在身份交叉验证数据库中。该方法还包括从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和/或第二PLMN标识符,并使用包括第二SEPP标识符和第二PLMN标识符中的至少一个的查找键在身份交叉验证数据库中执行查找,确定与查找键对应的记录不存在于身份交叉验证数据库中,并且作为响应,防止通过PLMN间转发接口接收的所述至少一个消息进入由响应SEPP保护的PLMN。
Description
优先权声明
本申请要求于2020年12月21日提交的美国专利申请序列号17/129,441、于2020年11月11日提交的美国专利申请序列号17/095,420、于2020年11月2日提交的印度临时专利申请序列号202041047779以及于2020年9月25日提交的印度临时专利申请序列号202041041754的优先权权益,其公开内容通过引用整体并入本文。
技术领域
本文描述的主题涉及增强5G通信网络中的安全性。更具体地,本文描述的主题涉及用于减轻对SEPP PLMN间转发接口上的假冒攻击的方法、系统和计算机可读介质。
背景技术
在5G电信网络中,提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF,具体取决于它是在消费还是提供服务。
给定的生产者NF可以有许多服务端点,其中服务端点是用于由生产者NF托管的一个或多个NF实例的联系点。服务端点由互联网协议(IP)地址和端口号的组合或在托管生产者NF的网络节点上解析为IP地址和端口号的完全限定的域名来识别。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是,多个NF实例可以共享同一个服务端点。
生产者NF向网络功能储存库功能(NRF)注册。NRF维护识别每个NF实例支持的服务的可用NF实例的服务简档。消费者NF可以订阅以接收关于已向NRF注册的生产者NF实例的信息。
除了消费者NF之外,另一种可以订阅以接收关于NF服务实例信息的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理,并且服务通信代理在提供所需服务的生产者NF服务实例之间进行负载平衡流量,或者直接将流量路由到目的地生产者NF实例。
除了SCP之外,在生产者和消费者NF之间路由流量的中间代理节点或网络节点组的其它示例包括安全边缘保护代理(SEPP)、服务网关和5G服务mesh中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。由此,SEPP对所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。
当前5G网络体系架构存在的一个漏洞出现在N32接口上,该接口是SEPP之间的接口。如上面所指示的,SEPP充当公共陆地移动网络(PLMN)的安全性筛选节点。N32控制或N32-c接口用于与远程SEPP交换控制消息。N32-c接口上的通信的发起涉及传输层安全(TLS)握手过程,以便为交换N32控制消息建立TLS连接。在交换N32-c消息之后,发生第二TLS握手,以便为N32转发或N32-f接口建立第二TLS连接。N32-f接口上发生的唯一验证是TLS证书是否有效并由受信任的证书颁发机构颁发。因此,黑客SEPP可以假冒真实SEPP的身份,并在转发接口上与受SEPP保护的PLMN进行未经授权的服务通信。在通过PLMN间转发接口接收的服务消息中也没有PLMN的验证。
鉴于这些和其它困难,需要用于减轻SEPP PLMN间转发接口上的假冒攻击的方法、系统和计算机可读介质。
发明内容
一种用于减轻安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口上的假冒攻击的方法包括由响应SEPP从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个。该方法还包括将第一SEPP标识符和第一PLMN标识符中的至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中。该方法还包括由响应SEPP从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个。该方法还包括使用包括第二SEPP标识符和第二PLMN标识符中的至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找。该方法还包括确定与查找键对应的记录不存在于SEPP PLMN间转发接口身份交叉验证数据库中,并且作为响应,防止通过PLMN间转发接口接收的至少一个消息进入由响应SEPP保护的PLMN。
根据本文描述的主题的另一方面,PLMN间控制接口包括N32-c接口c并且PLMN间转发接口包括N32-f接口。
根据本文描述的主题的另一方面,从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个包括从包含在用于为N32-c接口建立第一TLS连接的TLS握手期间通过PLMN间控制接口接收的第一传输层安全(TLS)证书消息中的第一证书中获得第一SEPP标识符。
根据本文描述的主题的另一方面,第一证书包括第一X.509证书。
根据本文描述的主题的另一方面,获得第一SEPP标识符包括从第一X.509证书的主题备用名称扩展中提取第一SEPP标识符。
根据本文描述的主题的另一方面,从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个包括从包含在用于为N32-f接口建立第二TLS连接的TLS握手期间接收的第二TLS证书消息中的第二证书中获得第二SEPP标识符。
根据本文描述的主题的另一方面,第二证书包括第二X.509证书。
根据本文描述的主题的另一方面,获得第二SEPP标识符包括从第二X.509证书的主题备用名称扩展中提取第二SEPP标识符。
根据本文描述的主题的另一方面,从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符包括从在用于为PLMN间控制接口设置第一TLS连接的TLS握手期间接收的第一TLS证书消息中获得第一SEPP标识符并从通过第一TLS连接接收的N32-c安全能力交换消息中获得第一PLMN标识符,并且从通过PLMN间转发接口接收的至少一个相关联消息中获得第二SEPP标识符和第二PLMN标识符包括从在用于为PLMN间转发接口设置第二TLS连接的TLS握手期间接收的第二TLS证书消息获得第二SEPP标识符并从通过第二TLS连接接收的5G服务消息中获得第二PLMN标识符。
根据本文描述的主题的另一方面,查找键包括包含第二SEPP标识符和第二PLMN标识符的元组。
根据本文描述的主题的另一方面,提供了一种用于减轻安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口上的假冒攻击的系统。该系统包括安全边缘保护代理(SEPP),其包括至少一个处理器和存储器。该系统还包括驻留在存储器中的SEPP PLMN间转发接口身份交叉验证数据库。该系统还包括PLMN间转发接口身份假冒减轻模块,该模块由至少一个处理器实现并且被配置为:从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符;将第一SEPP标识符和第一PLMN标识符中的至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中;从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个;使用包括第二SEPP标识符和第二PLMN标识符中的至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找;确定与查找键对应的记录不存在于SEPP PLMN间转发接口身份交叉验证数据库中,并且作为响应,防止通过PLMN间转发接口接收的至少一个消息进入由SEPP保护的PLMN。
根据本文描述的主题的另一方面,PLMN间转发接口身份假冒减轻模块被配置为从第一X.509证书的主题备用名称扩展中提取第一SEPP标识符。
根据本文描述的主题的另一方面,第二证书包括第二X.509证书,并且PLMN间转发接口身份假冒减轻模块被配置为通过从X.509证书的主题备用名称扩展中提取第二标识符来获得第二标识符。
根据本文描述的主题的另一方面,提供了一种其上存储有可执行指令的非暂态计算机可读介质,该可执行指令在由计算机的处理器执行时执行步骤。这些步骤包括由响应安全边缘保护代理(SEPP)从通过公共陆地移动网络间(PLMN间)控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个。这些步骤还包括将第一SEPP标识符和第一PLMN标识符中的至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中。这些步骤还包括由响应SEPP从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个。这些步骤还包括使用包括第二SEPP标识符和第二PLMN标识符中的至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找。这些步骤还包括确定与查找键对应的记录不存在于SEPP PLMN间转发接口身份交叉验证数据库中,并且作为响应,防止通过PLMN间转发接口接收的至少一个消息进入由响应SEPP保护的PLMN。
本文描述的主题可以用硬件、软件、固件或其任何组合来实现。由此,如本文使用的术语“功能”、“节点”或“模块”是指用于实现所描述的特征的硬件,其还可以包括软件和/或固件组件。在一个示例性实施方式中,本文描述的主题可以使用其上存储有计算机可执行指令的计算机可读介质来实现,所述指令在由计算机的处理器执行时,控制计算机执行步骤。适用于实现本文描述的主题的示例性计算机可读介质包括非暂态计算机可读介质,诸如盘存储器设备、芯片存储器设备、可编程逻辑设备和专用集成电路。此外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
附图说明
现在将参考附图解释本文描述的主题,其中:
图1是图示示例性5G网络体系架构的网络图;
图2是图示两个SEPP和SEPP之间的接口的网络图;
图3是图示在TLS握手中在客户端和服务器之间交换的示例性消息的消息流图;
图4是图示黑客冒充SEPP的网络图;
图5是图示当攻击者SEPP在N32-f接口上成功冒充合法SEPP时SEPP之间交换的示例性消息的消息流图;
图6是图示在N32-f接口上呈现的SEPP身份的筛选的消息流图;
图7是图示用于减轻SEPP PLMN间转发接口上的假冒攻击的SEPP的示例性体系架构的框图;以及
图8是图示用于减轻SEPP PLMN间转发接口上的假冒攻击的示例性方法的流程图。
具体实施方式
本文描述的主题涉及用于减轻SEPP的PLMN间转发接口上的5G漫游假冒攻击的方法、系统和计算机可读介质。图1是图示示例性5G系统网络体系架构的框图。图1中的体系架构包括NRF 100和SCP 101,它们可以位于同一个家庭公共陆地移动网络(HPLMN)中。如上所述,NRF 100可以维护可用的生产者NF服务实例及其支持的服务的简档,并允许消费者NF或SCP订阅和被通知新的/更新后的生产者NF服务实例的注册。SCP 101还可以支持服务发现和生产者NF实例的选择。SCP 101可以对消费者和生产者NF之间的连接执行负载平衡。此外,使用本文描述的方法,SCP 101可以执行基于首选NF位置的选择和路由。
NRF 100是NF或生产者NF实例的服务简档的储存库。为了与生产者NF实例通信,消费者NF或SCP必须从NRF 100获得NF或服务简档或生产者NF实例。NF或服务简档是第三代合作伙伴计划(3GPP)技术规范(TS)29.510中定义的JavaScript对象表示法(JSON)数据结构。NF或服务简档定义包括完全限定域名(FQDN)、互联网协议(IP)版本4(IPv4)地址或IP版本6(IPv6)地址中的至少一个。在图1中,节点中的任何一个(NRF 100除外)都可以是消费者NF或生产者NF,具体取决于它们是请求服务还是提供服务。在图示示例中,节点包括在网络中执行策略相关操作的策略控制功能(PCF)102、管理用户数据的用户数据管理(UDM)功能104和提供应用服务的应用功能(AF)106。图1中图示的节点还包括管理接入和移动性管理功能(AMF)110和PCF 102之间的会话的会话管理功能(SMF)108。AMF 110执行与4G网络中由移动性管理实体(MME)执行的移动性管理操作类似的移动性管理操作。认证服务器功能(AUSF)112为诸如用户装备(UE)114之类的寻求接入网络的用户装备(UE)执行认证服务。
网络切片选择功能(NSSF)116为寻求访问与网络切片相关联的特定网络能力和特性的设备提供网络切片服务。网络公开功能(NEF)118为寻求获得关于物联网(IoT)设备和附接到网络的其它UE的信息的应用功能提供应用编程接口(API)。NEF 118执行与4G网络中的服务能力公开功能(SCEF)类似的功能。
无线电接入网络(RAN)120经由无线链路将用户装备(UE)114连接到网络。可以使用g-Node B(gNB)(图1中未示出)或其它无线接入点来接入无线电接入网络120。用户平面功能(UPF)122可以支持用于用户平面服务的各种代理功能。这种代理功能的一个示例是多路径传输控制协议(MPTCP)代理功能。UPF 122还可以支持可以由UE 114使用以获得网络性能测量的性能测量功能。图1中还图示了数据网络(DN)124,UE通过该数据网络访问数据网络服务,诸如互联网服务。
SEPP 126过滤来自另一个PLMN的传入流量,并对离开归属PLMN的流量执行拓扑隐藏。SEPP 126可以与管理外部PLMN安全的外部PLMN中的SEPP通信。因此,不同PLMN中的NF之间的流量可能经过两个SEPP功能,一个用于本地PLMN,另一个用于外部PLMN。
如上所述,现有5G体系架构的一个问题是没有对SEPP的PLMN间转发接口上呈现的SEPP身份或PLMN身份的验证。在PLMN间转发接口上没有验证SEPP身份或PLMN的情况下,恶意SEPP可以尝试假冒另一个SEPP的身份或PLMN身份,并发起安全攻击,包括拒绝服务攻击、使用通过转发接口传输的服务流量。响应SEPP不验证PLMN间转发接口上呈现的SEPP或PLMN身份是否来自合法的发起SEPP和/或PLMN。如本文所使用的,术语“发起SEPP”是指在PLMN间控制接口和PLMN间转发接口上请求TLS连接的SEPP。术语“响应SEPP”是指在PLMN间控制接口和PLMN间转发接口上接收TLS连接请求的SEPP。本文描述的主题通过交叉验证在PLMN间转发接口上呈现的SEPP的身份与在PLMN间控制接口上呈现的SEPP的身份来解决这个和其它困难。
在3GPP网络体系架构中,SEPP是PLMN间控制消息的代理。根据3GPP TS33.501,SEPP提供消息保护、相互认证、密钥管理、拓扑隐藏、访问控制、畸形N32信令丢弃消息、速率限制和反假冒。本文描述的主题包括在N32-f接口上实现针对通信的反假冒。
图2图示了SEPP和SEPP之间的接口。参考图2,SEPP 126A和SEPP 126B通过N32接口进行通信。N32接口包括两个不同的接口,N32-c接口和N32-f接口。N32-c接口是SEPP之间的控制平面接口,用于执行初始握手和协商要在N32消息转发期间应用的参数。N32-f接口是SEPP之间的转发接口,该接口被用于在应用应用级安全保护之后转发NF服务消费者和NF服务生产者之间的通信。
除了N32接口之外,图2还图示了PRINS接口。PRINS接口用于经由一个或多个IP交换(IPX)提供商200和202在SEPP 126A和126B之间转发消息。但是,本文描述的主题感兴趣的是N32-c和N32-fTLS连接。
为了安全的通信,在N32-c和N32-f接口上建立分开的TLS连接。图3图示了在用于建立TLS连接的TLS握手中客户端和服务器之间的示例性消息交换。在图3中,客户端向服务器发送ClientHello消息。服务器然后向客户端发送ServerHello、Certificate、ServerKeyExchange、CertificateRequest和ServerHelloDone消息。响应于这些消息,客户端向服务器发送Certificate消息、ClientKeyExchange消息、CertificateVerify消息和Finished消息。本文描述的响应SEPP(充当服务器以建立TLS连接)用于获取X.509证书的是从客户端到服务器的证书消息。为了核实发起SEPP的身份。在一个示例中,从用于为N32-c通信建立TLS连接的TLS握手的X.509证书中提取的发送者身份可以被用于交叉验证发送者的N32-f身份。如上所述,TLS握手协议在互联网工程任务组(IETF)征求意见(RFC)5246中定义并且包括由TLS连接的两端的证书消息的交换。IETF RFC 5246中定义的TLS握手消息的结构(包括证书消息)如下所示:
如TLS握手消息结构所示,所定义的握手消息类型之一是证书消息,其包含客户端或服务器的证书,这取决于发送者是用作客户端还是服务器。在通过N32-c接口建立安全TLS通信时,使用双向TLS或m-TLS,其中TLS连接的两端都接收并验证另一端的X.509证书。IETF RFC 5246指示证书类型必须是X.509v3,除非另有明确协商。本文描述的示例以X.509v3证书为例,但本文描述的主题不限于仅使用从X.509v3中提取的发送者的身份来验证发送者的N32-f身份。X.509v3证书格式在IETF RFC 3280中定义。根据IETF RFC 3280,X.509v3证书中可以包括的一个扩展或参数是主题备用名称扩展。主题备用名称扩展定义如下:
主题备用名称扩展允许将附加身份绑定到证书的主题。
所定义的选项包括互联网电子邮件地址、DNS名称、IP地
址和统一资源标识符(URI)。存在其它选项,包括完全
本地定义。可以包括多种名称形式,以及每种名称形式的
多个实例。每当将此类身份绑定到证书中时,必须使用主
题备用名称(或颁发者备用名称)扩展;但是,DNS名称
可以使用domainComponent属性在“主题”字段中表示,
如第4.1.2.4节中所述。
因为“主题备用名称”被认为明确地绑定到公钥,所
以“主题备用名称”的所有部分都必须由CA核实。
如上面所指示的,X.509v3证书的主题备用名称扩展可以包含DNS名称、IP地址或识别证书的主题并由证书颁发机构核实的URI。因为主题备用名称由证书颁发机构核实,所以主题备用名称难以假冒。但是,仅仅确保发送者具有有效的X.509证书并不能在N32-f应用级别验证发送者的身份。为了执行这种交叉验证,响应SEPP 126B可以从用于为N32-c通信建立TLS连接的证书消息中提取发送者的身份,从用于为N32-f通信建立TLS连接的证书消息中提取发送者的身份,并比较这些身份。如果身份匹配,那么响应SEPP 126B可以执行将从任一证书消息中提取的身份与配置的对等SEPP身份的数据库进行比较的进一步验证步骤。如果任一验证失败,那么响应SEPP会阻止与用于N32-f通信的TLS连接相关联的PLMN间通信。
图4图示了在N32-c和N32-f接口上使用的身份没有交叉验证时可能发生的示例性攻击场景。在图4中,位于PLMN1中的发起SEPP 126A可以在N32-c接口上与响应SEPP 126B建立TLS连接。位于PLMN3中的黑客SEPP 300可以为与SEPP 126B的N32-f通信建立TLS连接。因为用于N32-f通信的TLS连接中使用的身份与用于N32-c通信的TLS连接中使用的身份没有交叉验证。位于PLMN3中的黑客SEPP 300和黑客NF 302可以向响应SEPP 126B和位于PLMN2的生产者NF 304发送攻击流量。在一个示例中,这种攻击流量可以被用于实现拒绝服务攻击,以防止位于PLMN1中的消费者NF 306从生产者NF 304获得服务。
图5更详细地图示了用于N32-f通信的攻击场景。在图5中,为发起SEPP 126A和响应SEPP 126B之间的N32-c通信建立TLS连接。
在为N32-c通信建立TLS连接之后,发起SEPP 126A和响应SEPP 126B通过TLS连接交换N32-c安全能力消息。
一旦建立了N32-c连接,发起SEPP 126A和响应SEPP 126B就为N32-f通信执行第二TLS握手。一旦建立了第二TLS连接,发起SEPP 126A和响应SEPP 126B就可以在它们相应的PLMN中的消费者和生产者NF之间交换5G服务请求和响应消息。
因为没有N32-f TLS身份与N32-c TLS身份的交叉验证,黑客SEPP 300可以发起与响应SEPP 126B的TLS握手。响应SEPP 126B进行检查以查看证书是否由有效的证书颁发机构颁发。但是,没有与在其它接口上获得的身份进行交叉验证。因此,黑客SEPP 300可以为N32-f通信建立TLS连接,并向由伪装成SEPP 126A的响应SEPP 126B保护的网络中的生产者NF发送5G请求消息,这会造成由响应SEPP 126B保护的PLMN中服务的拒绝或其它问题。
为了防止这种类型的攻击,响应SEPP 126B可以存储在N32-c接口上接收到的发起SEPP的身份,并使用该身份在用于N32-f通信的TLS连接中交叉验证发起SEPP的身份。图6图示了可以由响应SEPP执行的交叉验证。参考图6,在第1行中,发起SEPP 126A和响应SEPP126B交换TLS消息以建立用于N32-c通信的TLS连接。在第2行和第3行中,发起SEPP 126A和响应SEPP 126B交换N32-c,安全证券能力交换消息。
在第2行之后,响应SEPP 126B可以将从用于第一TLS连接的X-509证书中提取的发起SEPP 126A的身份和从来自第二行的N32-c安全能力交换消息的发起SEPP 128C的PLMN存储在SEPP PLMN间转发接口身份中交叉验证数据库600中。响应SEPP 126B可以使用存储在SEPP PLMN间转发接口身份交叉验证数据库600中的身份来验证由发起SEPP呈现的N32-f身份。
由于SEPP 126B是用于N32-c安全能力协商事务的响应SEPP,因此响应SEPP 126B可以从发起SEPP 126A的HTTP POST消息的N32-cSecNegotiateReqData信息元素的senderID属性中提取N32-c身份。下面的表1和2与3GPP TS 29.573的表6.1.5.2.2.1对应,该表说明了可以包括在作为N32-c安全能力协商的一部分的SecNegotiateReqData信息元素中的属性。
表1:SecNegotiateReqData类型的定义
如从表1可以看出的,sender属性是SecNegotiateReqData信息元素的必选参数,并且包含发送请求的SEPP的FQDN。SEPP的PLMN可以从发送SEPP的FQDN中获得。例如,如果发送SEPP的FQDN是sepp1.5gc.mnc123.mcc456.3gppnetwork.org,那么FQDN的PLMN部分是5gc.mnc123.mcc456.3gppnetwork.org。如下面将详细描述的,发送者的PLMN包括在5G核心(5GC)或在N32-f接口上交换的服务消息中,并且即使用于N32-c和N32-f通信的TLS身份匹配,也可以被用于验证后续的5GC消息。这个附加检查防止在第一检查中被识别为受信任的SEPP在转发接口上交换的后续消息中发送错误的PLMN身份。在第4行中,发起SEPP 126A发起与响应SEPP 126B的TLS握手以进行N32-f通信。响应SEPP 126B可以从用于第二TLS握手的X.509证书中提取发起SEPP 126A的身份。响应SEPP 126B可以在SEPP PLMN间转发接口身份交叉验证数据库600中执行查找,以确定发起用于N32-c通信的SEPP 126A的身份是否与呈现在N32-f接口上的身份相匹配。在这个示例中,身份匹配。因此,在第5行和第6行中,发起SEPP 126A向响应SEPP 126B发送5G服务请求消息,并且响应SEPP 126B向发起SEPP 126A发送5G服务响应消息。
在第7行中,黑客SEPP 300向响应SEPP 126B发送消息以发起TLS连接,用于与响应SEPP 126B进行N32-f通信。响应SEPP 126B从TLS握手过程中的证书消息的X.509证书中提取由黑客SEPP 300为TLS连接呈现的身份。响应SEPP 126B在数据库600中执行查找,并且没有发现由黑客SEPP 300呈现的身份存在于数据库600中。因为由黑客SEPP 300呈现的身份不存在于数据库600中,因此交叉验证失败,并且响应SEPP 300在第8行阻止来自黑客PLMN的5G服务请求消息。在另一个示例中,响应SEPP 126B可以在第8行接收5G服务请求消息,从5G服务请求消息中提取PLMN身份,并使用包括N32-c TLS SEPP身份和N32-c PLMN身份两者的查找键在数据库600中执行查找。如果与查找键对应的记录不存在于数据库600中,那么响应SEPP 126B可以防止在用于N32-f接口的TLS连接上接收到的PLMN间流量进入PLMN。
图7是图示用于响应SEPP 126B的示例性体系架构的框图。SEPP 126B包括至少一个处理器700和存储器702。SEPP 126B还包括PLMN间转发接口假冒减轻模块704,该模块执行本文所述的用于交叉验证由SEPP在N32-c接口上呈现的TLS身份与由真实或黑客SEPP在N32-f接口上呈现的身份的步骤。PLMN间转发接口假冒减轻模块704还可以交叉验证由N32-c接口上的SEPP呈现的PLMN与由N32-f接口上的SEPP呈现的PLMN。SEPP 126B还包括SEPPPLMN间转发接口身份交叉验证数据库600,该数据库由PLMN间转发接口假冒减轻模块704用在N32-c接口上获得的SEPP的身份和/或PLMN动态填充。SEPP 126B可以使用存储在SEPP转发接口身份交叉验证数据库600中的SEPP身份和/或PLMN身份来交叉验证在N32-f接口上呈现的TLS级别SEPP身份和/或服务级别PLMN身份。
SEPP 126B还可以包括对等SEPP数据库706,其配置有允许PLMN间通信的对等SEPP的身份。PLMN间转发接口假冒减轻模块704可以由处理器700实现,并且还可以针对存储在数据库706中的对等SEPP身份执行由远程节点呈现的N32-f身份的交叉检查。如果在用于N32-f接口的TLS连接建立期间交换的证书中呈现的远程节点的身份不存在于数据库706中,或者如果N32-c和N32-f身份之间的交叉检查失败,那么PLMN间转发接口假冒减轻模块704可以阻止与远程节点的PLMN间通信。如果两个身份交叉检查都通过,那么PLMN间转发接口假冒减轻模块704可以允许与远程节点的PLMN间通信。
图8是图示用于减轻5G讲话攻击的示例性方法的流程图。参考图8,在步骤800中,SEPP从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个。例如,响应SEPP 126B可以从从寻求与响应SEPP建立N32-c通信的发送节点接收的TLS消息中的X.509证书的alternative ID字段中提取发送节点的身份。TLS消息可以是与远程节点交换的证书消息,作为用于与远程节点建立TLS连接的TLS握手过程的一部分。发送节点可以是与另一个PLMN相关联的发起SEPP。
在步骤800中,响应SEPP还可以(可选地)获得通过PLMN间控制接口接收的第一至少一个消息。例如,SEPP 126B可以从在第一TLS连接上的N32-c安全能力协商期间传输的SecNegotiateReqData信息元素的sender属性中提取第一PLMN标识符,并将该PLMN标识符存储在数据库中。
在步骤802中,响应SEPP将第一SEPP标识符和第一PLMN标识符中的至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中。例如,SEPP 126A可以在数据库600中存储第一SEPP标识符、第一PLMN标识符或两者(取决于网络运营商要求的安全筛选的级别)。下面所示的表2说明了在用通过PLMN间控制接口接收的SEPP标识符和PLMN标识符填充之后数据库的状态。
表2:N32-c TLS身份和PLMN身份在表2中,第一列包括从N32-cTLS证书消息中提取的SEPP身份,并且第二列包括从N32-c安全能力交换消息中提取的PLMN身份。应当注意的是,在表2中,从N32-c安全能力交换消息中获得的PLMN与从TLS消息中的X.509证书中提取的PLMN相同。因此,在这种情况下,存储从N32-c安全能力交换消息中提取的PLMN是可选的。如果来自N32-c安全能力交换消息的PLMN与从N32-cTLS连接获得的PLMN不匹配,那么来自N32-c消息的发送者的PLMN间通信可以被阻止。
在步骤804中,响应SEPP从PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个。例如,响应SEPP可以从在为N32-f接口建立TLS连接的TLS握手期间接收的TLS证书消息中获得第二SEPP标识符和/或从通过用于转发接口的TLS连接接收的5GC服务消息中获得第二PLMN标识符。
在步骤806中,响应SEPP使用包括第二TLS标识符和第二PLMN标识符中的至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找。例如,响应SEPP可以使用包括第二TLS标识符、第二PLMN标识符或包括N32-f TLS SEPP标识符和N32-f PLMN标识符的元组的查找键来执行数据库600中的查找。
在步骤808中,响应SEPP确定在SEPP PLMN间转发接口身份交叉验证数据库中是否存在匹配记录。如果不存在匹配记录,那么这指示攻击并且控制进行到步骤810,在那里响应SEPP防止通过PLMN间转发接口接收的至少一个消息进入由响应SEPP保护的PLMN。例如,如果SEPP和/或PLMN身份交叉验证失败,那么响应SEPP可以阻止验证失败的一个或多个初始消息以及通过为N32-f接口建立的TLS连接接收的后续消息。如果仅基于N32-f TLS SEPP身份与N32-c TLS SEPP身份的交叉验证执行验证,并且在完成用于N32-f接口的TLS连接的建立之前,那么为N32-f接口建立TLS连接也可以被阻止。
在步骤808中,如果确定在SEPP PLMN间转发接口身份交叉验证数据库中存在匹配标识符,那么控制进行到步骤812,在那里响应SEPP在对等SEPP数据库中执行第二SEPP标识符的查找。网络运营商可以为对等SEPP数据库供应SEPP的身份,允许运营商的网络中的给定SEPP与该SEPP通信。此类SEPP在本文中被称为对等SEPP,因为它们可以与对等网络运营商的PLMN相关联。
在步骤814中,如果第二SEPP标识符存在于对等SEPP数据库中,那么控制进行到步骤816,在那里SEPP允许通过PLMN间转发接口接收的消息进入由SEPP保护的PLMN。
PLMN间转发接口身份交叉验证可以与2020年9月25日提交的共同转让的共同未决印度临时专利申请号:202041041754(下文中称为“'754申请”)中描述的身份验证结合使用;其公开内容通过引用全部并入本文。'754申请中描述的身份核实包括从为N32-c通信建立TLS连接而接收的TLS证书消息中提取发送节点的身份。这是本文描述的同一身份,该身份被用于与从用于N32-f通信的TLS连接中提取的身份进行交叉验证。在'754申请中,用于N32-c通信的TLS身份被用于验证从N32-c安全能力交换消息中提取的身份。例如,响应SEPP可以从来自远程节点的HTTP POST消息的N32-cSecNegotiateReqData信息元素的senderID属性中提取N32-c身份。如果N32-c身份与用于N32-c通信的TLS连接的TLS身份相匹配,那么这个验证检查通过。如果N32-c身份与用于N32-c通信的TLS连接的TLS身份不匹配,那么验证检查失败。
因为N32-c通信应当在用于N32-f通信的TLS连接建立之前发生,所以'754申请中执行的验证检查可以在本文描述的验证检查之前执行。如果'754申请中描述的验证检查失败,那么应当阻止N32-c和N-32-f与具有N32-cSecNegotiateReqData消息的sender信息元素中显示的身份的节点的通信。
如果'754申请中描述的验证检查通过,并且本申请中描述的验证检查失败,那么与第二TLS连接(来自黑客)相关联的N32-f通信将被阻止,但N32-c通信将被允许(因为它们可能来自合法的SEPP)。
如果'754申请中描述的验证检查和本文描述的验证检查失败,那么应当阻止N32-c和N32-f使用N32SecNegotiateReqData消息中呈现的身份或第二TLS连接(用于N32-f通信)进行通信。
本文描述的主题通过执行在不同接口上在SEPP之间交换的SEPP身份和PLMN身份的交叉验证来提高SEPP和PLMN之间的网络安全性。通过比较N32-c和N32-f SEPP和/或PLMN身份,本文描述的SEPP降低了对N32-f接口成功进行假冒攻击的可能性,N32-f接口是携带PLMN之间的服务流量的接口。减少在用于PLMN间服务流量的转发接口上进行假冒攻击的可能性是有益的,因为这种接口携带PLMN之间交换的大部分流量。此外,在SEPP上为PLMN间转发流量实现反假冒减轻是有利的,因为SEPP是PLMN的入口点。在PLMN的入口点处停止攻击流量最小化攻击流量对由PLMN提供的服务的影响。
以下每篇参考文献的公开内容均通过引用整体并入本文。
参考文献
1.IETF RFC 5246;The Transport Layer Security(TLS)Protocol,Version1.2;August 2008
2.IETF RFC 3280;Internet X.509Public Key Infrastructure Certificateand Certificate Revocation List(CRL)Profile,April2002.
3.3GPP TS 29.573;3rd Generation Partnership Project;TechnicalSpecification Group Core Network and Terminals;5G System;Public Land MobileNetwork(PLMN)Interconnection;Stage 3(Release 16)V16.3.0(2020-07)
4.3GPP TS33.501;3rd Generation Partnership Project;TechnicalSpecification Group Services and System Aspects;Security Architecture andProcedures for the 5G System;(Release16),V16.3.0(2020-07).
5.3GPP TS 29.510;3rd Generation Partnership Project;TechnicalSpecification Group Core Network and Terminals;5GSystem;Network FunctionRepository Services;Stage 3(Release 16),V16.4.0(2020-07).
将理解的是,当前公开的主题的各种细节可以改变,而不脱离当前公开的主题的范围。此外,前述描述仅用于说明的目的,而非用于限制的目的。
Claims (20)
1.一种用于减轻安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口上的假冒攻击的方法,该方法包括:
由响应SEPP从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个;
将第一SEPP标识符和第一PLMN标识符中的所述至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中;
由响应SEPP从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个;
使用包括第二SEPP标识符和第二PLMN标识符中的所述至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找;以及
确定与查找键对应的记录不存在于SEPP PLMN间转发接口身份交叉验证数据库中,并且作为响应,防止通过PLMN间转发接口接收的所述至少一个消息进入由响应SEPP保护的PLMN。
2.如权利要求1所述的方法,其中PLMN间控制接口包括N32-c接口c并且PLMN间转发接口包括N32-f接口。
3.如权利要求1或权利要求2所述的方法,其中从通过PLMN间控制接口接收的所述至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个包括:从包含在用于为N32-c接口建立第一TLS连接的TLS握手期间通过PLMN间控制接口接收的第一传输层安全(TLS)证书消息中的第一证书中获得第一SEPP标识符。
4.如权利要求3所述的方法,其中第一证书包括第一X.509证书。
5.如权利要求4所述的方法,其中获得第一SEPP标识符包括:从第一X.509证书的主题备用名称扩展中提取第一SEPP标识符。
6.如前述权利要求中的任一项所述的方法,其中从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个包括:从包含在用于为N32-f接口建立TLS连接的TLS握手期间接收的第二TLS证书消息中的第二证书中获得第二SEPP标识符。
7.如权利要求6所述的方法,其中第二证书包括第二X.509证书。
8.如权利要求7所述的方法,其中获得第二SEPP标识符包括:从第二X.509证书的主题备用名称扩展中提取第二SEPP标识符。
9.如前述权利要求中的任一项所述的方法,其中:
从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符包括:从在用于为PLMN间控制接口设置TLS连接的TLS握手期间接收的第一传输层安全(TLS)证书消息中获得第一SEPP标识符,并从通过用于PLMN间控制接口的TLS连接接收的N32-c安全能力交换消息中获得第一PLMN标识符;以及
从通过PLMN间转发接口接收的至少一个相关联消息中获得第二SEPP标识符和第二PLMN标识符包括:从在用于为PLMN间转发接口设置TLS连接的TLS握手期间接收的第二TLS证书消息获得第二SEPP标识符,并从通过用于PLMN间转发接口的TLS连接接收的5G服务消息中获得第二PLMN标识符。
10.如前述权利要求中的任一项所述的方法,其中查找键包括包含第二SEPP标识符和第二PLMN标识符的元组。
11.一种用于减轻安全边缘保护代理(SEPP)公共陆地移动网络间(PLMN间)转发接口上的假冒攻击的系统,该系统包括:
SEPP,其包括至少一个处理器和存储器;
SEPP PLMN间转发接口身份交叉验证数据库,其驻留在存储器中;以及
PLMN间转发接口身份假冒减轻模块,其由所述至少一个处理器实现并且被配置为:
从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个;
将第一SEPP标识符和第一PLMN标识符中的所述至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中;
从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个;
使用包括第二SEPP标识符和第二PLMN标识符中的所述至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找;以及
确定与查找键对应的记录不存在于SEPP PLMN间转发接口身份交叉验证数据库中,并且作为响应,防止通过PLMN间转发接口接收的所述至少一个消息进入由SEPP保护的PLMN。
12.如权利要求11所述的系统,其中PLMN间控制接口包括N32-c接口,并且PLMN间转发接口包括N32-f接口。
13.如权利要求11或权利要求12所述的系统,其中获得第一SEPP标识符和第一PLMN标识符中的所述至少一个包括从包含在用于为N32-c接口建立TLS连接的TLS握手期间接收的第一传输层安全(TLS)证书消息中的第一证书中获得第一SEPP标识符。
14.如权利要求13所述的系统,其中第一证书包括第一X.509证书。
15.如权利要求14所述的系统,其中PLMN间转发接口身份假冒减轻模块被配置为从第一X.509证书的主题备用名称扩展中提取第一SEPP标识符。
16.如权利要求11至14中的任一项所述的系统,其中从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个包括:接收包含在用于为N32-f接口建立TLS连接的TLS握手期间接收的第二TLS证书消息中的第二证书。
17.如权利要求16所述的系统,其中第二证书包括第二X.509证书,并且PLMN间转发接口身份假冒减轻模块被配置为通过从X.509证书的主题备用名称扩展中提取第二标识符来获得第二标识符。
18.如权利要求11至17中的任一项所述的系统,其中:
从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符包括:从在用于为PLMN间控制接口设置TLS连接的TLS握手期间接收的第一传输层安全(TLS)证书消息中获得第一SEPP标识符,并从通过用于PLMN间控制接口的TLS连接接收的N32-c安全能力交换消息中获得第一PLMN标识符;以及
从通过PLMN间转发接口接收的至少一个相关联消息中获得第二SEPP标识符和第二PLMN标识符包括:从在用于为PLMN间转发接口设置TLS连接的TLS握手期间接收的第二TLS证书消息中获得第二SEPP标识符,并从通过用于PLMN间转发接口的TLS连接接收的5G服务消息中获得第二PLMN标识符。
19.如权利要求11至18中的任一项所述的系统,其中查找键包括包含第二SEPP标识符和第二PLMN标识符的元组。
20.一种其上存储有可执行指令的非暂态计算机可读介质,该可执行指令在由计算机的处理器执行时执行步骤,所述步骤包括:
由响应安全边缘保护代理(SEPP)从通过公共陆地移动网络间(PLMN间)控制接口接收的至少一个消息中获得第一SEPP标识符和第一PLMN标识符中的至少一个;
将第一SEPP标识符和第一PLMN标识符中的所述至少一个存储在SEPP PLMN间转发接口身份交叉验证数据库中;
由响应SEPP从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和第二PLMN标识符中的至少一个;
使用包括第二SEPP标识符和第二PLMN标识符中的所述至少一个的查找键在SEPP PLMN间转发接口身份交叉验证数据库中执行查找;以及
确定与查找键对应的记录不存在于SEPP PLMN间转发接口身份交叉验证数据库中,并且作为响应,防止通过PLMN间转发接口接收的所述至少一个消息进入由响应SEPP保护的PLMN。
Applications Claiming Priority (6)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IN202041041754 | 2020-09-25 | ||
IN202041047779 | 2020-11-02 | ||
US17/095,420 | 2020-11-11 | ||
US17/129,441 US11832172B2 (en) | 2020-09-25 | 2020-12-21 | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface |
US17/129,441 | 2020-12-21 | ||
PCT/US2021/029977 WO2022066228A1 (en) | 2020-09-25 | 2021-04-29 | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (sepp) inter-public land mobile network (inter-plmn) forwarding interface |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116530053A true CN116530053A (zh) | 2023-08-01 |
Family
ID=87122417
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180073153.7A Pending CN116458121A (zh) | 2020-09-25 | 2021-04-29 | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 |
CN202180073135.9A Pending CN116530053A (zh) | 2020-09-25 | 2021-04-29 | 用于减轻对安全边缘保护代理(sepp)公共陆地移动网络间(plmn间)转发接口的假冒攻击的方法、系统和计算机可读介质 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202180073153.7A Pending CN116458121A (zh) | 2020-09-25 | 2021-04-29 | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 |
Country Status (1)
Country | Link |
---|---|
CN (2) | CN116458121A (zh) |
-
2021
- 2021-04-29 CN CN202180073153.7A patent/CN116458121A/zh active Pending
- 2021-04-29 CN CN202180073135.9A patent/CN116530053A/zh active Pending
Also Published As
Publication number | Publication date |
---|---|
CN116458121A (zh) | 2023-07-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11825310B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks | |
US11832172B2 (en) | Methods, systems, and computer readable media for mitigating spoofing attacks on security edge protection proxy (SEPP) inter-public land mobile network (inter-PLMN) forwarding interface | |
EP4183154B1 (en) | Methods, systems, and computer readable media for mitigating 5g roaming security attacks using security edge protection proxy (sepp) | |
US11528251B2 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
US11627467B2 (en) | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces | |
EP4241419A1 (en) | Methods, systems, and computer readable media for ingress message rate limiting | |
JP2023553496A (ja) | 第5世代(5g)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体 | |
US11888894B2 (en) | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks | |
US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
CN117859312A (zh) | 通过验证过载控制信息来降低成功DoS攻击的可能性 | |
WO2024107378A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
CN116530053A (zh) | 用于减轻对安全边缘保护代理(sepp)公共陆地移动网络间(plmn间)转发接口的假冒攻击的方法、系统和计算机可读介质 | |
US20240283661A1 (en) | Methods, systems, and computer readable media for protecting against unauthorized use of certificate management protocol (cmp) client identity private keys and public key certificates associated with network functions | |
CN116491140A (zh) | 用于入口消息速率限制的方法、系统和计算机可读介质 | |
WO2023183156A1 (en) | Methods, systems, and computer readable media for integrity protection for subscribe/notify and discovery messages between network function (nf) and nf repository function (nrf) | |
CN114727260A (zh) | 网络请求的认证 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |