CN116783866A - 对5g核心(5gc)授权的网络功能(nf)储存库功能(nrf)访问令牌公钥进行自动密钥管理以减轻安全攻击的方法、系统和计算机可读介质 - Google Patents
对5g核心(5gc)授权的网络功能(nf)储存库功能(nrf)访问令牌公钥进行自动密钥管理以减轻安全攻击的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN116783866A CN116783866A CN202180089788.6A CN202180089788A CN116783866A CN 116783866 A CN116783866 A CN 116783866A CN 202180089788 A CN202180089788 A CN 202180089788A CN 116783866 A CN116783866 A CN 116783866A
- Authority
- CN
- China
- Prior art keywords
- public key
- producer
- access token
- service
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 230000006870 function Effects 0.000 claims description 41
- 230000004044 response Effects 0.000 claims description 34
- 230000001010 compromised effect Effects 0.000 claims description 7
- 230000008859 change Effects 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 3
- 238000007726 management method Methods 0.000 description 29
- 230000008569 process Effects 0.000 description 19
- 238000010586 diagram Methods 0.000 description 14
- 238000013475 authorization Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 230000000116 mitigating effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/23—Updating
- G06F16/2379—Updates performed during online database operations; commit processing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/30—Public key, i.e. encryption algorithm being computationally infeasible to invert or user's encryption keys not requiring secrecy
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Databases & Information Systems (AREA)
- Computer Hardware Design (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于对5GC授权的网络访问令牌公钥进行自动密钥管理以减轻安全攻击的方法,包括:在NRF提供网络访问令牌公钥状态更新通知订阅接口,所述接口允许生产者NF订阅接收由NRF发出的服务访问令牌公钥的状态更新的通知。当NRF判定需要服务访问令牌公钥的状态更新时,NRF更新其本地数据库中的公钥的状态,并通知已订阅接收该更新的生产者NF。生产者NF使用公钥来验证来自消费者NF的服务请求。在一种变型中,NRF维护并更新与不同服务访问级别关联的服务访问令牌公钥的状态。
Description
优先权声明
本申请要求于2020年12月8日提交的美国专利申请序列号17/115,746的优先权,该申请的公开内容通过引用整体并入本文中。
技术领域
本文中描述的主题涉及增强5G通信网络中的安全性。更具体地,本文中描述的主题涉及用于对5GC授权的NRF访问令牌公钥进行自动密钥管理以减轻安全攻击的方法、系统和计算机可读介质。
背景技术
在5G电信网络中,提供服务的网络功能被称为生产者网络功能(NF)或NF服务生产者。消费服务的网络功能被称为消费者NF或NF服务消费者。网络功能可以是生产者NF、消费者NF或者两者兼有,取决于网络功能是在消费服务、生产服务、还是既在消费服务又在生产服务。术语“生产者NF”和“NF服务生产者”在本文中可互换使用。类似地,术语“消费者NF”和“NF服务消费者”在本文中可互换使用。
给定的生产者NF可能具有许多服务端点,其中服务端点是由生产者NF托管的一个或多个NF实例的联系点。服务端点由网际协议(IP)地址和端口号的组合或完全限定域名来识别,完全限定域名解析为托管生产者NF的网络节点上的IP地址和端口号。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括不止一个NF实例。还应注意的是,多个NF实例可以共享同一个服务端点。
生产者NF向网络功能储存库功能(NRF)注册。NRF维护可用NF实例的服务简档,服务简档识别每个NF实例支持的服务。消费者NF可以订阅接收关于已经向NRF注册的生产者NF实例的信息。
除了消费者NF之外,可以订阅接收关于NF服务实例的信息的另一种类型的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理,并且服务通信代理对提供所需服务的生产者NF服务实例之间的流量进行负载平衡,或者直接将流量路由到目的生产者NF实例。
除了SCP之外,在生产者NF和消费者NF之间路由流量的中间代理节点或网络节点组的其他例子包括安全边缘保护代理(SEPP)、服务网关和5G服务网格中的节点。SEPP是用于保护在不同的5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。因此,SEPP对所有应用编程接口(API)消息进行消息过滤、监管和拓扑隐藏。
3GPP TS 33.501定义了用于在5G网络中访问服务的安全架构和过程。3GPP TS33.501的13.4节描述了使用OAuth 2.0作为消费者NF访问5G网络中由生产者NF提供的服务的授权过程。OAuth 2.0在因特网工程任务组(IETF)请求评议(RFC)6749中定义。OAuth 2.0是一种认证模型,用于客户端通过使用资源所有者的凭证与服务器进行认证来获得对服务器上的受保护资源的访问权。OAuth 2.0定义了四个角色。第一个角色是资源所有者,它是能够授予对受保护资源的访问权的实体。第二个角色是资源服务器,它是托管受保护资源的服务器,能够接受受保护资源请求和对其进行响应,并使用访问令牌来认证该请求。客户端是请求访问受保护资源的实体。OAuth 2.0中定义的第四个角色是授权服务器,它在成功认证资源所有者并获得授权后向客户端颁发访问令牌。3GPP TS 33.501的13.4.1节定义了5G网络元件在OAuth 2.0框架中的角色,规定NRF是OAuth 2.0授权服务器,NF服务消费者是OAuth 2.0客户端,NF服务生产者是OAuth 2.0资源服务器。
虽然RFC 6749定义了用于认证的框架,但是RFC 6749没有定义用于进行这种认证的加密密钥的密钥管理过程。该框架为资源服务器、授权服务器和资源客户端定义了上述角色,但没有指定授权服务器的密钥管理,该密钥管理用于分发和更新被分发到资源服务器的公钥的状态以认证来自资源客户端的服务请求。
OAuth 2.0认证是使用由NRF颁发的访问令牌进行的,并且由消费者NF用于访问生产者NF所提供的服务。在一种可能的基于非对称加密算法的认证方法中,使用NRF的私钥对访问令牌的一部分进行签名。NRF的公钥被分发给网络中的生产者NF,并用于验证从消费者NF接收的访问令牌。具体地,3GPP TS 33.501指示访问令牌应当是如RFC 7519中所述的JSON Web令牌,并且利用如RFC 7515中所述的基于JSON Web签名(JWS)的消息认证码(MAC)或数字签名来保护访问令牌。
这种认证机制的一个问题是,3GPP没有定义由NRF维护的用于在生产者NF进行访问令牌完整性检查的公钥的密钥管理过程。例如,当密钥因安全攻击而泄露时,没有撤销OAuth 2.0NRF颁发的公钥的过程,而是需要在生产者NF手动重新提供密钥。进行手动重新提供可能会中断生产者NF提供的服务。
另一个相关问题是,3GPP没有定义过程来管理与不同的服务访问级别(比如公共陆地移动网络(PLMN)级别、网络切片级别、网络功能级别、服务级别等)关联的NRF访问令牌公钥。NRF部署通常可以包括用于给定NRF的单一访问令牌公钥。无法在不同的服务访问级别上指定和管理访问令牌公钥,限制了5G网络部署中服务访问控制和威胁缓解的灵活性。
鉴于这些困难,需要用于访问令牌密钥管理的改进的方法、系统和计算机可读介质。
发明内容
一种用于对5G核心(5GC)授权的网络访问令牌公钥进行自动密钥管理以减轻安全攻击的方法,包括在包含至少一个处理器和存储器的网络功能(NF)储存库功能(NRF)处进行的步骤。所述步骤包括在所述存储器中维护网络访问令牌公钥数据库,所述网络访问令牌公钥数据库包括供生产者NF用于对在来自消费者NF的服务请求中呈现的网络访问令牌进行验证的至少一个公钥。所述步骤还包括向生产者NF提供网络访问令牌公钥状态通知订阅接口,用于允许生产者NF订阅接收所述至少一个公钥的状态更新的通知。所述步骤还包括经由所述网络访问令牌公钥状态通知订阅接口接收来自生产者NF的要被通知所述至少一个公钥的状态更新的请求,并且作为响应,为生产者NF创建订阅。所述步骤还包括判定需要所述至少一个公钥的状态更新。所述步骤还包括响应于判定需要所述至少一个公钥的状态更新:更新所述至少一个公钥的状态;从所述订阅识别出生产者NF订阅接收所述至少一个公钥的状态更新的通知;以及向生产者NF通知所述至少一个公钥的状态更新。
按照本文中描述的主题的另一个方面,维护所述网络访问令牌公钥数据库包括在所述网络访问令牌公钥数据库中维护多个公钥,其中的至少一些公钥与不同的服务访问级别关联。
按照本文中描述的主题的另一个方面,不同的服务访问级别包括公共陆地移动网络(PLMN)服务级别、网络切片级别、NF类型级别以及服务级别。
按照本文中描述的主题的另一个方面,所述至少一个公钥与所述服务访问级别中的一个服务访问级别关联,并且更新所述至少一个公钥的状态包括在所述一个服务访问级别撤销所述公钥。
按照本文中描述的主题的另一个方面,提供所述公钥状态通知订阅接口包括提供用于从生产者NF接收订阅请求的接口,其中所述订阅请求可以包括服务访问级别标识信息和对即时密钥的请求。
按照本文中描述的主题的另一个方面,所述订阅请求包括对即时密钥的请求,并且还包括响应于所述订阅请求将公钥传送到生产者NF。
按照本文中描述的主题的另一个方面,创建订阅包括在数据库中创建或更新记录,以将NF识别为所述至少一个公钥的状态更新的订阅者。
按照本文中描述的主题的另一个方面,判定需要所述至少一个公钥的状态更新包括:判定使用与所述至少一个公钥对应的至少一个私钥签名的至少一个网络访问令牌已被泄露,并且更新所述至少一个公钥的状态包括撤销所述至少一个公钥。
按照本文中描述的主题的另一个方面,判定需要所述至少一个公钥的状态的变更包括:响应于可配置时间段的到期,判定需要所述至少一个公钥的撤销,并且更新所述至少一个公钥的状态包括撤销所述至少一个公钥。
按照本文中描述的主题的另一个方面,用于自动密钥管理以减轻安全攻击的方法包括在生产者NF:接收所述至少一个公钥的状态更新的通知,其中所述状态更新的通知包括所述至少一个公钥的至少一个替换公钥;从消费者NF接收服务请求,所述服务请求包括网络访问令牌;尝试使用所述至少一个替换公钥来验证所述服务请求;判定所述验证失败;以及阻止消费者NF访问在所述服务请求中识别的服务。
按照本文中描述的主题的另一个方面,提供一种用于对5G核心(5GC)的网络访问令牌公钥进行自动密钥管理以减轻安全攻击的系统。所述系统包括网络功能(NF)储存库功能(NRF),所述NRF功能包括至少一个处理器和存储器。所述系统还包括位于所述存储器中的网络访问令牌公钥数据库,所述网络访问令牌公钥数据库包括供生产者NF用于对在来自消费者NF的服务请求中呈现的网络访问令牌进行验证的至少一个公钥。所述系统还包括由所述至少一个处理器实现的自动访问令牌密钥管理器,用于维护所述网络访问令牌公钥数据库。所述自动访问令牌密钥管理器被配置为:向生产者NF提供网络访问令牌公钥状态通知订阅接口,用于允许生产者NF订阅接收所述至少一个公钥的状态更新的通知,经由所述网络访问令牌公钥状态通知订阅接口接收来自生产者NF的要被通知所述至少一个公钥的状态更新的请求,并且作为响应,为生产者NF创建订阅,判定需要所述至少一个公钥的状态更新,并且响应于判定需要所述至少一个公钥的状态更新:响应于判定需要所述至少一个公钥的状态更新:更新所述至少一个公钥的状态;从所述订阅识别出生产者NF订阅接收所述至少一个公钥的状态更新的通知;以及向生产者NF通知所述至少一个公钥的状态更新。
按照本文中描述的主题的另一个方面,所述自动访问令牌密钥管理器被配置为在所述网络访问令牌公钥数据库中维护多个公钥,其中的至少一些公钥与不同的服务访问级别关联。
按照本文中描述的主题的另一个方面,不同的服务访问级别包括公共陆地移动网络(PLMN)级别、网络切片级别、NF类型级别和服务级别。
按照本文中描述的主题的另一个方面,所述至少一个公钥与所述服务访问级别中的一个服务访问级别关联,并且所述自动访问令牌密钥管理器被配置为通过在所述一个服务访问级别撤销所述公钥来更新所述至少一个公钥的状态。
按照本文中描述的主题的另一个方面,所述网络访问令牌公钥状态通知订阅接口被配置为从生产者NF接收订阅请求,其中所述订阅请求可以包括服务访问级别标识信息和对即时密钥的请求。
按照本文中描述的主题的另一个方面,所述订阅请求包括对即时密钥的请求,并且作为响应,所述自动访问令牌密钥管理器被配置为响应于所述订阅请求将公钥传送到生产者NF。
按照本文中描述的主题的另一个方面,在创建订阅时,所述自动访问令牌密钥管理器被配置为在数据库中创建或更新记录,以将NF识别为所述至少一个公钥的状态更新的订阅者。
按照本文中描述的主题的另一个方面,所述自动访问令牌密钥管理器被配置为:响应于判定使用与所述至少一个公钥对应的至少一个私钥来签名的至少一个访问令牌已被泄露,判定需要所述至少一个公钥的状态更新,并且通过撤销所述至少一公钥来更新所述至少一个公钥的状态。
按照本文中描述的主题的另一个方面,所述自动访问令牌密钥管理器被配置为:响应于可配置时间段的到期,判定需要所述至少一个公钥的状态更新,并且通过撤销所述至少一个公钥来更新所述至少一个公钥的状态。
按照本文中描述的主题的另一个方面,提供一种非临时性计算机可读介质,其上存储有可执行指令,所述可执行指令在由计算机的处理器执行时控制所述计算机进行步骤。所述步骤包括在所述非临时性计算机可读介质中维护网络访问令牌公钥数据库,所述网络访问令牌公钥数据库包括供生产者网络功能(NF)用于对在来自消费者NF的服务请求中呈现的网络访问令牌进行验证的至少一个公钥。所述步骤还包括向生产者NF提供网络访问令牌公钥状态通知订阅接口,用于允许生产者NF订阅接收所述至少一个公钥的状态更新的通知。所述步骤还包括经由所述网络访问令牌公钥状态通知订阅接口接收来自生产者NF的要被通知所述至少一个公钥的状态更新的请求,并且作为响应,为生产者NF创建订阅。所述步骤还包括判定需要所述至少一个公钥的状态更新。所述步骤还包括响应于判定需要所述至少一个公钥的状态更新:更新所述至少一个公钥的状态;从所述订阅识别出生产者NF订阅接收所述至少一个公钥的状态更新的通知;以及向生产者NF通知所述至少一个公钥的状态更新。
本文中描述的主题可以用硬件、软件、固件或它们的任意组合来实现。因此,本文中使用的术语“功能”、“节点”或“模块”指的是用于实现所描述特征的硬件,其也可以包括软件和/或固件组件。在一个示例性实现中,本文中描述的主题可以使用上面存储有计算机可执行指令的计算机可读介质来实现,所述计算机可执行指令当由计算机的处理器执行时,控制计算机进行步骤。适合于实现本文中描述的主题的示例性计算机可读介质包括非临时性计算机可读介质,比如磁盘存储器设备、芯片存储器设备、可编程逻辑器件和专用集成电路。另外,实现本文中描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以跨多个设备或计算平台分布。本文中描述的主题也可以被实现为基于云的服务,其中非临时性计算机可读介质和执行包含在计算机可读介质中的指令的处理器各自驻留在云网络中。
附图说明
现在将参考附图说明本文中描述的主题,附图中:
图1是图解说明示例性5G网络架构的网络图;
图2是图解说明与NF服务消费者从NRF获得访问令牌关联的示例性消息流的消息流程图;
图3是图解说明NF服务消费者使用访问令牌从NF服务生产者获得授权以访问由NF服务生产者提供的服务的消息流程图;
图4是图解说明在NRF和NF服务消费者之间交换的示例性消息的消息流程图,其中NF服务消费者订阅接收由NRF维护的访问令牌公钥的状态更新的通知;
图5是图解说明响应于具有使用未经授权的密钥签名的访问令牌的服务请求,NF服务生产者阻止对服务的访问的消息流程图;
图6是图解说明具有自动访问令牌密钥管理器的NRF的框图;和
图7是图解说明NRF的自动访问令牌密钥管理的示例性处理的流程图。
具体实施方式
本文中描述的主题涉及用于减轻5G安全攻击的自动NRF公钥管理的方法、系统和计算机可读介质。图1是示例性5G系统网络架构的框图。图1中的架构包括NRF 100和SCP101,它们可以位于同一归属公共陆地移动网络(HPLMN)中。如上所述,NRF 100可以维护可用的生产者NF服务实例及其支持的服务的简档,并允许消费者NF或SCP订阅并被通知新的/更新的生产者NF服务示例的注册。NRF 100还可以颁发OAuth 2.0访问令牌并进行自动访问令牌密钥管理。SCP 101还可以支持服务发现和生产者NF实例的选择。SCP 101可以进行消费者NF和生产者NF之间的连接的负载平衡。SCP 101还可以代表消费者NF向NRF 100请求并获得OAuth 2.0访问令牌。
NRF 100是生产者NF实例的NF或服务简档的储存库。为了与生产者NF实例通信,消费者NF或SCP必须从NRF 100获得生产者NF实例的NF或服务简档。NF或服务简档是在第三代合作伙伴计划(3GPP)技术规范(TS)29.510中定义的JavaScript对象表示法(JSON)数据结构。NF或服务简档定义包括完全限定域名(FQDN)、网际协议(IP)版本4(IPv4)地址或IP版本6(IPv6)地址中的至少一个。在图1中,任何网络功能(除了NRF 100)都可以是消费者NF、生产者NF或两者,取决于它们是在请求服务、提供服务、还是既在请求服务又在提供服务。在图解所示的示例中,NF包括在网络中进行策略相关操作的策略控制功能(PCF)102、管理用户数据的用户数据管理(UDM)功能104和提供应用服务的应用功能(AF)106。图1中图解所示的NF还包括会话管理功能(SMF)108,SMF 108管理接入和移动性管理功能(AMF)110与PCF102之间的会话。AMF 110进行与4G网络中的移动性管理实体(MME)进行的操作相似的移动性管理操作。认证服务器功能(AUSF)112为寻求接入网络的用户设备(UE)(比如用户设备(UE114))进行认证服务。
网络切片选择功能(NSSF)116为寻求访问与网络切片关联的特定网络能力和特性的设备提供网络切片服务。网络开放功能(NEF)118为寻求获得关于附接到网络的物联网(IoT)设备和其他UE的信息的应用功能提供应用编程接口(API)。NEF 118进行与4G网络中的服务能力开放功能(SCEF)相似的功能。
无线电接入网络(RAN)120经由无线链路将用户设备(UE)114连接到网络。可以使用g-Node B(gNB)(图1中未示出)或其他无线接入点来接入无线电接入网络120。用户平面功能(UPF)122可以支持用于用户平面服务的各种代理功能。这种代理功能的一个例子是多路径传输控制协议(MPTCP)代理功能。UPF 122还可以支持性能测量功能,UE 114可以使用该功能来获得网络性能测量结果。图1中还图解说明了数据网络(DN)124,UE通过该数据网络访问数据网络服务,比如因特网服务。
SEPP 126过滤来自其他PLMN的传入流量,并对离开归属PLMN的流量进行拓扑隐藏。SEPP 126可以与外部PLMN中的SEPP通信,该SEPP为该外部PLMN管理安全性。因此,不同PLMN中的NF之间的流量可以穿过两个SEPP功能,一个用于归属PLMN,另一个用于外部PLMN。
图2是图解说明按照OAuth 2.0框架从NRF获得访问令牌的过程的消息流程图。按照接口规范,NRF充当OAuth 2.0授权服务器。NF服务消费者充当OAuth 2.0客户端。NF服务生产者充当OAuth 2.0资源服务器。参见图2中的消息流,在行1中,消费者NF 200向同一PLMN中的NRF 100请求访问令牌。用于获得访问令牌的过程是Nnrf_AccessToken_Get请求操作。Nnrf_AccessToken_Get请求消息包括NF服务消费者的NF实例ID,所请求的范围(包括预期的NF服务名称,并且可选地采用附加范围信息(即,所请求资源和所请求的对资源的动作(服务操作))、预期的NF生产者实例和NF消费者的NF类型。服务消费者还可以包括NSSAI的列表或预期的NF生产者实例的NF ID的列表。该消息还可以包括预期的NF服务生产者实例的NF集ID。
响应于接收到Nnrf_AccessToken_Get请求,NRF可以可选地授权NF服务消费者。然后,NRF将生成包含适当声明的访问令牌。NRF如IETF RFC 7515中所述的那样基于共享秘密或私钥对生成的访问令牌的一部分进行数字签名。访问令牌中的声明包括NRF(颁发者)的NF实例ID、NF服务消费者(主体)的NF示例ID、NF服务生产者(受众)的NF类型、预期的服务名称、范围、到期时间,以及可选的附加范围信息(允许的资源和允许的动作)。所述声明还可以包括预期的生产者NF实例的NSSAI或NSSID的列表。所述声明可以包括预期的NF服务生产者实例的NF集ID。
如果对NF服务消费者的授权成功,则在行2A中,NRF在Nnrf_access Token_Get响应操作中将访问令牌发送到NF服务消费者。如果认证不成功,则NRF如在行2B中所示,以在IETF RFC 6749中定义的OAuth 2.0错误响应进行回复。数字签名的访问令牌可以在发送给消费者NF 200的响应中,以JavaScript对象表示法(JSON)Web签名(JWS)紧凑序列化编码字符串的形式颁发。JWS紧凑表示法在IETF RFC 7515中定义,是表示数字签名的或消息认证编码的消息的数据结构。
消费者NF 200存储访问令牌,并将访问令牌包括在对同一PLMN中的生产者NF的服务请求中。在接收到带有访问令牌的服务请求时,预先配置有NRF的公钥的生产者NF使用公钥来验证访问令牌中的数字签名。如果访问令牌中的数字签名被验证,则生产者NF以准许消费者NF访问该服务的响应来对服务请求进行响应。如果访问令牌中的数字签名未被验证,则生产者NF以指示对所请求服务的访问被拒绝的消息来对服务请求进行响应。
图3图解说明使用访问令牌从生产者NF获得服务。参见图3,在行1中,消费者NF200向生产者NF 300发送服务请求。消费者NF 200将NRF颁发的访问令牌包括在服务请求中。如上所述,NRF颁发的访问令牌包括使用NRF的公钥签名的JWS紧凑序列化。
在接收到服务请求时,生产者NF 300通过使用NRF的公钥验证签名来确保令牌的完整性,该公钥在生产者NF接收到服务请求之前提供给生产者NF。在图3中图解所示的示例中,假设服务请求得到验证。因而,在行2中,生产者NF 300向消费者NF 200发送指示服务请求已得到验证的消息,并准许对所请求的服务的访问。
如上所述,这种架构的问题包括IETF和3GPP规范没有为NRF所颁发的公钥指定自动管理过程的事实。结果,OAuth 2.0访问令牌NRF公钥可以在生产者NF手动提供和手动维护。没有NRF与生产者NF更新公钥的状态的经定义的自动机制。另外,目前还没有3GPP定义的为不同的服务访问级别颁发访问令牌公钥的机制。
为了解决这些困难中的至少一些,本文中描述的主题包括由NRF实现的自动访问令牌公钥管理过程。该过程规定了在生产者NF的访问令牌公钥的自动提供、续订、替换和撤销。本发明的实施例可以便利对提供的密钥的集中控制,这意味着以安全、高效和可扩展的方式随时向每个订阅的生产者NF通知所提供的密钥的状态(例如撤销)。另外,由NRF提供的服务能够在不同的服务访问级别(包括PLMN级别、网络切片级别、NF类型级别、服务级别等)实现不同的公钥管理。
按照网络访问令牌公钥状态更新订阅服务,网络运营商希望对其参与自动访问令牌密钥管理的每个生产者NF将向NRF发送访问令牌NRF公钥更新订阅请求,以便订阅接收访问令牌公钥的状态更新的通知。订阅请求可以可选地包括对即时密钥的请求,以在生产者NF当前没有被提供访问令牌公钥的情况下,指示NRF在订阅响应中立即发送访问令牌公钥。响应于订阅请求,NRF在其本地数据库中创建订阅,以指示生产者NF订阅接收公钥的状态更新的通知。
订阅请求所指向的公钥可以通过订阅请求中的服务访问级别参数来识别。例如,如果订阅请求将该订阅的所请求服务访问级别识别为PLMN,则NRF将在其数据库中创建或更新记录,该记录指示请求者订阅接收PLMN服务访问级别的公钥的状态更新的通知。如果订阅请求将该订阅的所请求服务访问识别为NSSAI,则NRF将在其数据库中创建或更新,其指示订阅的服务访问级别是由NSSAI识别的网络切片,并在NSSAI级别提供用于服务验证的公钥的状态更新。
当例如由于使用与公钥对应的私钥所签名的访问令牌被泄露或可配置时间段的到期,NRF判定需要公钥之一的状态更新时,NRF向订阅的生产者NF生成状态更新的通知。状态更新可以是公钥的续订、撤销、替换或状态的任何更新。另外,如上所述,基于由生产者NF(在这种情况下生产者NF充当消费者)发送的订阅请求,NRF可以颁发具有不同的服务访问级别(包括但不限于PLMN级别、单一切片级别、NF类型级别和服务级别)的不同公钥。例如,具有PLMN的服务访问级别的私钥可以由NRF用于生成PLMN范围的网络访问令牌,该令牌可以由消费者NF用于访问由PLMN内的任何生产者NF提供的服务。与具有PLMN的服务访问级别的私钥对应的公钥的撤销将阻止攻击者使用PLMN范围的访问令牌来访问PLMN内的任何NF。如果公钥具有NSSAI的服务访问级别,则NRF可以使用对应的私钥来生成NSSAI网络访问令牌,该网络访问令牌可由消费者NF用于访问由NSSAI内的生产者NF提供的服务。如果NRF随后撤销特定于NSSAI的公钥,则攻击者将无法再成功地使用通过使用与对应私钥对应生成的令牌来访问网络切片中的服务。由于撤销的密钥是特定于网络切片的,因此使用具有不同服务访问级别的公钥签名的令牌不受影响。结果,本文中描述的方法在通过单一级别方式管理对网络服务的访问方面提供增强的灵活性。
作为附加的安全措施,如果生产者NF已向NRF注册,则NRF可以只处理来自给定生产者NF的订阅请求。类似于其他SBI服务操作,NRF和订阅接收密钥状态更新通知的生产者NF之间的通信可以使用相互传输层安全性(MTLS)或网络域安全/网际协议(NDS/IP)来保护。
图4是图解说明由NRF提供的访问令牌公钥管理服务的消息流程图。参见图4,在行1中,对订阅服务来说充当服务消费者的5G生产者NF 300向NRF 100发送消息,该消息订阅接收访问令牌公钥的状态更新的通知。订阅请求包括通知统一资源标识符(URI)(订阅NF将在所述URI被通知密钥状态的更新)、PLMN ID和与订阅关联的服务访问级别标识参数。服务访问级别标识参数连同PLMN ID可以用于选择生产者NF 300希望订阅接收其状态更新的通知的一个或多个公钥。在所示的例子中,服务级别标识参数包括单一网络切片选择辅助信息(S-NSSAI)、NF类型和服务类型。订阅请求还包括关于是否请求即时密钥的指示符。如果请求即时密钥,则这是新的订阅,并且生产者NF 300正在订阅不仅接收密钥的状态变更的通知,而且接收NRF 100的当前公钥。
NRF 100使用PLMN ID和服务访问级别标识参数来选择生产者NF 300希望接收其状态更新的公钥,并且通过在NRF 100的密钥管理数据库中更新或创建记录来创建订阅,该记录将生产者NF 300识别为由请求中的参数识别的公钥的订阅NF。在消息流程图的行2中,NRF 100发送订阅访问令牌公钥2XX响应,该响应包含公钥(在请求即时密钥的情况下)以及服务访问级别标识参数。在没有请求即时密钥的情况下,响应可以简单地指示成功订阅,而不包括公钥和服务访问级别标识参数。
当NRF 100判定需要在其数据库中维护的公钥的状态更新时,NRF 100更新公钥的状态,并通知订阅接收状态变更的通知的生产者NF。消息流程图的行3图解说明了一个这样的实例,其中NRF 100向生产者NF 300发送通知请求。每当当前公钥被替换或撤销时,该通知请求都包含新的公钥,并且还包含服务访问级别标识参数。在消息流程图的行4,生产者NF 300用通知响应来确认通知请求。
图5是图解说明使用访问令牌和图4的密钥管理过程来阻止网络攻击的消息流程图。参见图5,在行1中,攻击者500向生产者NF 300发送带有访问令牌的服务请求。该访问令牌可能使用已撤销或未经授权的私钥来签名。应注意的是,攻击者500不需要访问私钥来获得访问令牌。在一个例子中,攻击者500可以通过在网络访问令牌请求中冒充有效消费者NF的身份,从NRF获得网络访问令牌。使用本文中描述的自动密钥管理过程,可以降低成功使用未经授权的访问令牌的可能性。
访问令牌的验证过程可以如下:充当资源服务器的生产者NF 300从充当资源客户端的攻击者500接收带有访问令牌的资源请求。访问令牌是JSON web令牌,并指定用于对令牌中的JWS签名输入进行签名的算法。假设签名算法是RS256,这指示使用RSA私钥来利用安全哈希算法(SHA)-256数字签名算法对JWS签名输入进行签名。JWS签名输入、RSA公钥和JWS签名被提供给RSA签名验证器,RSA签名验证器使用RSA公钥来逆转SHA-256签名处理,以产生应与JWS签名输入匹配的值。如果来自验证器的输出与JWS签名输入匹配,则验证访问令牌,并准许对所请求服务的访问。如果来自验证器的输出与JWS签名输入不匹配,则不验证访问令牌,并拒绝对请求服务的访问。在本例中,假设来自验证器的输出与JWS签名输入不匹配。因而,在行2中,在判定访问令牌无效之后,生产者NF 300以服务拒绝消息进行响应,并且可以指示拒绝的原因,比如无效的令牌。
应注意的是,虽然前面的段落公开了使用RSA公钥和SHA进行签名,但是本文中描述的主题不限于特定的公钥格式或数字签名算法。本文中所述的自动密钥管理过程可以用于管理任何合适类型的加密密钥的分发和状态更新,所述加密密钥可以与任何合适的数字签名或消息认证码算法一起使用,以对网络访问令牌进行签名和验证。因此,本文中使用的术语“公钥”指的是任何合适的可以用作验证器的输入以验证数字签名或消息认证码的加密密钥。
图6是图解说明NRF 100的示例性架构的框图。参见图6,NRF 100包括至少一个处理器600和存储器602。NRF 100还包括进行本文中所述的自动访问令牌密钥管理过程的自动访问令牌密钥管理器604。NRF 100还可以包括访问令牌公钥数据库606,访问令牌公钥数据库606包含用于验证服务请求的公钥。如上所述,NRF 100可以维护与不同的服务访问级别关联的不同公钥。NRF 100还可以包括存储与公钥数据库606中的公钥对应的私钥610的安全元件608。如上所述,在公钥基础设施中,公钥和私钥对用于对访问令牌进行签名和验证。使用私钥签名的访问令牌只能使用对应的公钥进行验证。如果使用公钥验证访问令牌,则验证访问令牌的生产者NF知道访问令牌是使用由NRF维护的私钥签名的。在这种情况下,生产者NF授予对受保护资源的访问权,在5G网络中,受保护资源是由生产者NF提供的服务。如果已使用本文中所述的过程更新了公钥,而攻击者提交使用与撤销的公钥对应的私钥签名的访问令牌,则对受保护资源的访问将被拒绝。
图7是图解说明自动访问令牌公钥管理的示例性处理的流程图。参见图7,在步骤700中,该处理包括维护网络访问令牌密钥数据库,该网络访问令牌密钥数据库包括用于验证网络访问令牌的至少一个公钥。例如,NRF 100可以在存储器602中维护访问令牌公钥数据库606。公钥可以对应于生产者NF、PLMN、网络切片或其他服务访问级别。
在步骤702中,该处理包括向生产者NF提供网络访问令牌公钥状态通知订阅接口,用于允许生产者NF订阅和接收与网络访问令牌关联的公钥的状态更新的通知。例如,NRF100可以提供允许生产者NF能够订阅接收访问令牌公钥的状态变更的通知的API。
在步骤704中,该处理包括经由网络访问令牌公钥状态通知订阅接口接收来自生产者NF的对接收公钥的状态更新的通知的请求,并创建订阅。例如,NRF 100可以从生产者NF接收访问令牌公钥订阅请求,并且在其本地数据库中创建或更新记录,以指示当访问令牌公钥的状态发生变化时将通知生产者NF。
在步骤706中,该处理包括判定需要公钥的状态变更或者状态更新。例如,NRF 100可以检测到使用与公钥对应的私钥签名的密钥或访问令牌已被泄露。在备选场景中,NRF100可以在时间段到期之后自动续订或撤销访问令牌公钥。
在步骤708中,该处理包括更新公钥的状态。更新公钥的状态可以包括续订公钥或撤销公钥。续订公钥可以包括简单地向生产者NF发送指示当前正在使用的公钥仍然有效的续订消息。撤销公钥可以包括向生产者NF发送指示公钥不再有效的消息,并用新密钥替换旧密钥。
一旦在NRF所维护的数据库中更新了状态,控制就进行到步骤710,在步骤710中,NRF从订阅中识别订阅接收更新和状态的通知的生产者NF。在步骤712中,NRF通知消费者NF。
本文中所述主题的优点包括避免在NRF对访问令牌公钥进行手动密钥管理。本文中描述的主题允许在生产者NF自动续订NRF访问令牌公钥,而无需手动干预也不会影响服务。NRF可以在PLMN级别、切片级别、NF类型级别、服务级别或其他服务访问级别使用不同的密钥对用于对访问令牌进行签名。这为NRF访问令牌公钥的管理提供了额外的安全强化。本文中描述的订阅服务可以由任何5G NF(包括PCF、绑定支持功能(BSF)、NSSF、NEF、UDM、AUSF或UDR)使用,作为增值安全特征。另外,订阅服务可以由SCP代表生产者NF使用。
以下各个参考文献的公开内容通过引用整体并入本文中。
参考文献:
1.IETF RFC 5246;The Transport Layer Security(TLS)Protocol,Version1.2;August 2008
2.IETF RFC 3280;Internet X.509Public Key Infrastructure Certificateand Certificate Revocation List(CRL)Profile,April 2002.
3.IETF RFC 6749:The OAuth 2.0Authorization Framework,October 2012.
4.IETF RFC 6750:The OAuth 2.0Authorization Framework:Bearer TokenUsage,October 2012.
5.IETF RFC 7519:JSON Web Token(JWT),May 2015.
6.IETF RFC 7515:JSON Web Signature(JWS),May 2015.
7.3GPP TS 29.573;3rd Generation Partnership Project;TechnicalSpecification Group Core Network and Terminals;5G System;Public Land MobileNetwork(PLMN)Interconnection;Stage 3(Release 16)V16.4.0(2020-09)
8.3GPP TS 33.501;3rd Generation Partnership Project;TechnicalSpecification Group Services and System Aspects;Security Architecture andProcedures for the 5G System;(Release 16),V16.4.0(2020-09).
9.3GPP TS 29.510;3rd Generation Partnership Project;TechnicalSpecification Group Core Network and Terminals;5G System;Network FunctionRepository Services;Stage 3(Release 16),V16.5.0(2020-09).
应理解的是,可以改变当前公开的主题的各种细节,而不脱离当前公开的主题的范围。此外,上述描述只是用于举例说明而不是用于限制。
Claims (20)
1.一种用于对5G核心(5GC)授权的网络访问令牌公钥进行自动密钥管理以减轻安全攻击的方法,所述方法包括:
在包括至少一个处理器和存储器的网络功能(NF)储存库功能(NRF)处:
在所述存储器中维护网络访问令牌公钥数据库,所述网络访问令牌公钥数据库包括供生产者NF用于对在来自消费者NF的服务请求中呈现的网络访问令牌进行验证的至少一个公钥;
向生产者NF提供网络访问令牌公钥状态通知订阅接口,用于允许生产者NF订阅接收所述至少一个公钥的状态更新的通知;
经由所述网络访问令牌公钥状态通知订阅接口接收来自生产者NF的要被通知所述至少一个公钥的状态更新的请求,并且作为响应,为生产者NF创建订阅;
判定需要所述至少一个公钥的状态更新;
响应于判定需要所述至少一个公钥的状态更新:
更新所述至少一个公钥的状态;
从所述订阅识别出生产者NF订阅接收所述至少一个公钥的状态更新的通知;以及
向生产者NF通知所述至少一个公钥的状态更新。
2.按照权利要求1所述的方法,其中维护所述网络访问令牌公钥数据库包括在所述网络访问令牌公钥数据库中维护多个公钥,其中的至少一些公钥与不同的服务访问级别关联。
3.按照权利要求2所述的方法,其中不同的服务访问级别包括公共陆地移动网络(PLMN)服务级别、网络切片级别、NF类型级别和服务级别。
4.按照权利要求3所述的方法,其中所述至少一个公钥与所述服务访问级别中的一个服务访问级别关联,并且其中更新所述至少一个公钥的状态包括在所述一个服务访问级别撤销所述公钥。
5.按照任一项前述权利要求所述的方法,其中提供所述公钥状态通知订阅接口包括提供用于从生产者NF接收订阅请求的接口,其中所述订阅请求能够包括服务访问级别标识信息和对即时密钥的请求。
6.按照任一项前述权利要求所述的方法,其中所述订阅请求包括对即时密钥的请求,并且所述方法还包括响应于所述订阅请求将公钥传送到生产者NF。
7.按照任一项前述权利要求所述的方法,其中创建订阅包括在所述数据库中创建或更新记录,以将NF识别为所述至少一个公钥的状态更新的订阅者。
8.按照任一项前述权利要求所述的方法,其中判定需要所述至少一个公钥的状态更新包括:判定使用与所述至少一个公钥对应的至少一个私钥来签名的至少一个网络访问令牌已被泄露,并且更新所述至少一个公钥的状态包括撤销所述至少一个公钥。
9.按照任一项前述权利要求所述的方法,其中判定需要所述至少一个公钥的状态变更包括:响应于可配置时间段的到期,判定需要所述至少一个公钥的撤销,并且更新所述至少一个公钥的状态包括撤销所述至少一个公钥。
10.按照任一项前述权利要求所述的方法,还包括在生产者NF处:
接收所述至少一个公钥的状态更新的通知,其中所述状态更新的通知包括所述至少一个公钥的至少一个替换公钥;
从消费者NF接收服务请求,所述服务请求包括网络访问令牌;
尝试使用所述至少一个替换公钥来验证所述服务请求;
判定所述验证失败;以及
阻止消费者NF访问在所述服务请求中识别的服务。
11.一种用于对5G核心(5GC)的网络访问令牌公钥进行自动密钥管理以减轻安全攻击的系统,所述系统包括:
包括至少一个处理器和存储器的网络功能(NF)储存库功能(NRF);
网络访问令牌公钥数据库,所述网络访问令牌公钥数据库位于所述存储器中,并且包括供生产者NF用于对在来自消费者NF的服务请求中呈现的网络访问令牌进行验证的至少一个公钥;和
由所述至少一个处理器实现的自动访问令牌密钥管理器,用于维护所述网络访问令牌公钥数据库;
所述自动访问令牌密钥管理器被配置为:
向生产者NF提供网络访问令牌公钥状态通知订阅接口,用于允许生产者NF订阅接收所述至少一个公钥的状态更新的通知,
经由所述网络访问令牌公钥状态通知订阅接口接收来自生产者NF的要被通知所述至少一个公钥的状态更新的请求,并且作为响应,为生产者NF创建订阅,
判定需要所述至少一个公钥的状态更新,并且响应于判定需要所述至少一个公钥的状态更新:更新所述至少一个公钥的状态;从所述订阅识别出生产者NF订阅接收所述至少一个公钥的状态更新的通知;以及向生产者NF通知所述至少一个公钥的状态更新。
12.按照权利要求11所述的系统,其中所述自动访问令牌密钥管理器被配置为在所述网络访问令牌公钥数据库中维护多个公钥,其中的至少一些公钥与不同的服务访问级别关联。
13.按照权利要求11或12所述的系统,其中不同的服务访问级别包括公共陆地移动网络(PLMN)级别、网络切片级别、NF类型级别和服务级别。
14.按照权利要求11至13中任一项所述的系统,其中所述至少一个公钥与所述服务访问级别中的一个服务访问级别关联,并且其中所述自动访问令牌密钥管理器被配置为通过在所述一个服务访问级别撤销所述公钥来更新所述至少一个公钥的状态。
15.按照权利要求11至14中任一项所述的系统,其中所述订阅接口被配置为从生产者NF接收订阅请求,其中所述订阅请求能够包括服务访问级别标识信息和对即时密钥的请求。
16.按照权利要求11至15中任一项所述的系统,其中所述订阅请求包括对即时密钥的请求,并且作为响应,所述自动访问令牌密钥管理器被配置为响应于所述订阅请求将公钥传送到生产者NF。
17.按照权利要求11至16中任一项所述的系统,其中在创建订阅时,所述自动访问令牌密钥管理器被配置为在数据库中创建或更新记录,以将NF识别为所述至少一个公钥的状态更新的订阅者。
18.按照权利要求11至17中任一项所述的系统,其中所述自动访问令牌密钥管理器被配置为:响应于判定使用与所述至少一个公钥对应的至少一个私钥来签名的至少一个网络访问令牌已被泄露,判定需要所述至少一个公钥的状态更新,并且通过撤销所述至少一个公钥来更新所述至少一个公钥的状态。
19.按照权利要求11至18中任一项所述的系统,其中所述自动访问令牌密钥管理器被配置为响应于可配置时间段的到期,判定需要所述至少一个公钥的状态更新,并且通过撤销所述至少一个公钥来更新所述至少一个公钥的状态。
20.一种非临时性计算机可读介质,其上存储有可执行指令,所述可执行指令在由计算机的处理器执行时控制所述计算机进行步骤,所述步骤包括:
在所述非临时性计算机可读介质中维护网络访问令牌公钥数据库,所述网络访问令牌公钥数据库包括供生产者网络功能(NF)用于对在来自消费者NF的服务请求中呈现的网络访问令牌进行验证的至少一个公钥;
向生产者NF提供网络访问令牌公钥状态通知订阅接口,用于允许生产者NF订阅接收所述至少一个公钥的状态更新的通知;
经由所述网络访问令牌公钥状态通知订阅接口接收来自生产者NF的要被通知所述至少一个公钥的状态更新的请求,并且作为响应,为生产者NF创建订阅;
判定需要所述至少一个公钥的状态更新;
响应于判定需要所述至少一个公钥的状态更新:
更新所述至少一个公钥的状态;
从所述订阅识别出生产者NF订阅接收所述至少一个公钥的状态更新的通知;以及
向生产者NF通知所述至少一个公钥的状态更新。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/115,746 US11895501B2 (en) | 2020-12-08 | 2020-12-08 | Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks |
| US17/115,746 | 2020-12-08 | ||
| PCT/US2021/057158 WO2022125212A1 (en) | 2020-12-08 | 2021-10-28 | Methods, systems, and computer readable media for automatic key management of network function (nf) repository function (nrf) access token public keys for 5g core (5gc) authorization to mitigate security attacks |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116783866A true CN116783866A (zh) | 2023-09-19 |
Family
ID=78725697
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202180089788.6A Pending CN116783866A (zh) | 2020-12-08 | 2021-10-28 | 对5g核心(5gc)授权的网络功能(nf)储存库功能(nrf)访问令牌公钥进行自动密钥管理以减轻安全攻击的方法、系统和计算机可读介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11895501B2 (zh) |
| EP (1) | EP4260515A1 (zh) |
| JP (1) | JP2023552796A (zh) |
| CN (1) | CN116783866A (zh) |
| WO (1) | WO2022125212A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11943616B2 (en) | 2020-11-13 | 2024-03-26 | Oracle International Corporation | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting |
| US11582258B2 (en) * | 2021-02-04 | 2023-02-14 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating denial of service (DoS) attacks at network functions (NFs) |
| US11553524B2 (en) | 2021-03-04 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for resource object level authorization at a network function (NF) |
| US20220353263A1 (en) * | 2021-04-28 | 2022-11-03 | Verizon Patent And Licensing Inc. | Systems and methods for securing network function subscribe notification process |
| WO2024003827A1 (en) * | 2022-06-29 | 2024-01-04 | Jio Platforms Limited | System and method for access token validation at a network repository function |
| WO2024135898A1 (ko) * | 2022-12-23 | 2024-06-27 | 삼성전자 주식회사 | 네트워크 기능의 운영을 위한 데이터 관리 기능 및 방법 |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20070118653A1 (en) | 2005-11-22 | 2007-05-24 | Sabre Inc. | System, method, and computer program product for throttling client traffic |
| US8839387B2 (en) | 2009-01-28 | 2014-09-16 | Headwater Partners I Llc | Roaming services network and overlay networks |
| US8619688B2 (en) | 2009-04-28 | 2013-12-31 | Samsung Electronics Co., Ltd. | System and method for indication of contiguous resource allocations in OFDM-based systems |
| CN102137428B (zh) | 2010-08-13 | 2013-10-09 | 华为技术有限公司 | 业务接入速率的控制方法、设备及系统 |
| US10104123B2 (en) | 2015-09-23 | 2018-10-16 | Ca, Inc. | Fetching a policy definition library from a policy server at mobile device runtime of an application package to control access to mobile device resources |
| US9888039B2 (en) | 2015-12-28 | 2018-02-06 | Palantir Technologies Inc. | Network-based permissioning system |
| US10009744B2 (en) | 2016-02-05 | 2018-06-26 | Verizon Patent And Licensing Inc. | Throttling of radio resource control connection requests |
| US11675774B2 (en) | 2016-09-23 | 2023-06-13 | Amazon Technologies, Inc. | Remote policy validation for managing distributed system resources |
| US10334659B2 (en) | 2017-05-09 | 2019-06-25 | Verizon Patent And Licensing Inc. | System and method for group device access to wireless networks |
| CN110474875B (zh) * | 2017-08-31 | 2020-10-16 | 华为技术有限公司 | 基于服务化架构的发现方法及装置 |
| CN109587187B (zh) | 2017-09-28 | 2024-08-02 | 华为技术有限公司 | 用于调用网络功能服务的方法、装置和系统 |
| EP3729783B1 (en) * | 2017-11-27 | 2023-09-27 | Telefonaktiebolaget LM Ericsson (publ) | Status updates in a 5g core network |
| CN109699031B (zh) | 2018-01-11 | 2020-03-20 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
| US10645583B2 (en) * | 2018-02-15 | 2020-05-05 | Nokia Technologies Oy | Security management for roaming service authorization in communication systems with service-based architecture |
| CN110830543B (zh) | 2018-08-13 | 2021-10-19 | 华为技术有限公司 | 通信方法和通信设备 |
| CN111355669B (zh) | 2018-12-20 | 2022-11-25 | 华为技术有限公司 | 控制网络拥塞的方法、装置及系统 |
| US10904739B2 (en) * | 2019-04-02 | 2021-01-26 | Electronics And Telecommunications Research Institute | Network data collection method from network function device for network data analytic function |
| CN114785523B (zh) | 2019-04-28 | 2024-07-30 | 华为技术有限公司 | 网络功能服务的身份校验方法及相关装置 |
| EP3987417A1 (en) | 2019-06-24 | 2022-04-27 | Nokia Technologies Oy | Apparatuses and methods relating to authorisation of network functions |
| US11133946B2 (en) | 2019-11-14 | 2021-09-28 | Verizon Patent And Licensing Inc. | Systems and methods for selective provisioning of a charging function in a wireless network |
| EP3863272A1 (en) | 2020-02-04 | 2021-08-11 | Nokia Technologies Oy | Notifications sent with indirect communication in sba |
| US11451558B2 (en) | 2020-03-16 | 2022-09-20 | The Boeing Company | Information system end user location detection technique |
| US11765618B2 (en) | 2020-03-20 | 2023-09-19 | Nokia Technologies Oy | Wireless communication system |
| EP3886390A1 (en) | 2020-03-26 | 2021-09-29 | Nokia Technologies Oy | Token management |
| US20210306326A1 (en) | 2020-03-27 | 2021-09-30 | Nokia Technologies Oy | Enhanced hop by hop security |
| EP3962136A1 (en) | 2020-08-25 | 2022-03-02 | Nokia Technologies Oy | Management of access tokens in communication networks |
| JP2023548370A (ja) | 2020-11-06 | 2023-11-16 | オラクル・インターナショナル・コーポレイション | 受信メッセージレート制限のための方法、システム、およびコンピュータ読み取り可能な媒体 |
| US11943616B2 (en) | 2020-11-13 | 2024-03-26 | Oracle International Corporation | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting |
| US11553524B2 (en) | 2021-03-04 | 2023-01-10 | Oracle International Corporation | Methods, systems, and computer readable media for resource object level authorization at a network function (NF) |
| US11425636B1 (en) * | 2021-04-16 | 2022-08-23 | Nokia Technologies Oy | Network function service subscription control |
| US20230171099A1 (en) | 2021-11-27 | 2023-06-01 | Oracle International Corporation | Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification |
-
2020
- 2020-12-08 US US17/115,746 patent/US11895501B2/en active Active
-
2021
- 2021-10-28 EP EP21811652.3A patent/EP4260515A1/en active Pending
- 2021-10-28 WO PCT/US2021/057158 patent/WO2022125212A1/en active Application Filing
- 2021-10-28 JP JP2023534705A patent/JP2023552796A/ja active Pending
- 2021-10-28 CN CN202180089788.6A patent/CN116783866A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| JP2023552796A (ja) | 2023-12-19 |
| US11895501B2 (en) | 2024-02-06 |
| US20220182835A1 (en) | 2022-06-09 |
| WO2022125212A1 (en) | 2022-06-16 |
| EP4260515A1 (en) | 2023-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11895501B2 (en) | Methods, systems, and computer readable media for automatic key management of network function (NF) repository function (NRF) access token public keys for 5G core (5GC) authorization to mitigate security attacks | |
| CN112352409B (zh) | 下一代网络中的通用api框架所用的安全过程 | |
| US10645583B2 (en) | Security management for roaming service authorization in communication systems with service-based architecture | |
| US10116663B2 (en) | Identity proxy to provide access control and single sign on | |
| US20210234706A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
| US12074883B2 (en) | Systems and methods for network access granting | |
| EP3752941A1 (en) | Security management for service authorization in communication systems with service-based architecture | |
| US12101629B2 (en) | Technique for certificate handling in a core network domain | |
| US11553524B2 (en) | Methods, systems, and computer readable media for resource object level authorization at a network function (NF) | |
| US20220360989A1 (en) | Methods, systems, and computer readable media for generating and using single-use oauth 2.0 access tokens for securing specific service-based architecture (sba) interfaces | |
| EP1993301B1 (en) | Method and apparatus of operating a wireless home area network | |
| US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
| US20160269382A1 (en) | Secure Distribution of Non-Privileged Authentication Credentials | |
| US20230171099A1 (en) | Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification | |
| US20240163271A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
| US20240283661A1 (en) | Methods, systems, and computer readable media for protecting against unauthorized use of certificate management protocol (cmp) client identity private keys and public key certificates associated with network functions | |
| US20230328145A1 (en) | Methods, systems, and computer readable media for integrity protection for subscribe/notify and discovery messages between network function (nf) and nf repository function (nrf) | |
| CN118283619A (zh) | 网络安全控制方法及电子设备 | |
| CN116458121A (zh) | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |