CN117280656A - 用于隐藏网络功能实例标识符的方法、系统和计算机可读介质 - Google Patents
用于隐藏网络功能实例标识符的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN117280656A CN117280656A CN202280033414.7A CN202280033414A CN117280656A CN 117280656 A CN117280656 A CN 117280656A CN 202280033414 A CN202280033414 A CN 202280033414A CN 117280656 A CN117280656 A CN 117280656A
- Authority
- CN
- China
- Prior art keywords
- instance
- pseudo
- request message
- message
- nrf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 63
- 230000004044 response Effects 0.000 claims abstract description 53
- 238000004891 communication Methods 0.000 claims abstract description 41
- 238000013507 mapping Methods 0.000 claims abstract description 17
- 230000006870 function Effects 0.000 claims description 48
- 230000009471 action Effects 0.000 claims description 38
- 239000003795 chemical substances by application Substances 0.000 claims description 5
- 239000011814 protection agent Substances 0.000 claims description 2
- 229940119265 sepp Drugs 0.000 description 53
- 238000010586 diagram Methods 0.000 description 19
- 102000007530 Neurofibromin 1 Human genes 0.000 description 15
- 108010085793 Neurofibromin 1 Proteins 0.000 description 15
- 238000007726 management method Methods 0.000 description 10
- 230000001010 compromised effect Effects 0.000 description 8
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 description 6
- 102100023843 Selenoprotein P Human genes 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 101000609957 Homo sapiens PTB-containing, cubilin and LRP1-interacting protein Proteins 0.000 description 5
- 102100039157 PTB-containing, cubilin and LRP1-interacting protein Human genes 0.000 description 5
- 238000012795 verification Methods 0.000 description 4
- 101150109471 PID2 gene Proteins 0.000 description 3
- 238000013475 authorization Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000005259 measurement Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000000116 mitigating effect Effects 0.000 description 2
- 238000010200 validation analysis Methods 0.000 description 2
- 101100190466 Caenorhabditis elegans pid-3 gene Proteins 0.000 description 1
- 101100243942 Caenorhabditis elegans pid-4 gene Proteins 0.000 description 1
- 230000002730 additional effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 239000013589 supplement Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W40/00—Communication routing or communication path finding
- H04W40/24—Connectivity information management, e.g. connectivity discovery or connectivity update
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
- G06F21/6254—Protecting personal data, e.g. for financial or medical purposes by anonymising data, e.g. decorrelating personal data from the owner's identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/35—Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4541—Directories for service discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
- H04W80/08—Upper layer protocols
- H04W80/10—Upper layer protocols adapted for application session management, e.g. SIP [Session Initiation Protocol]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Medical Informatics (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
公开了用于在通信网络中隐藏网络功能(NF)实例标识符(ID)的方法、系统和计算机可读介质。一种用于在通信网络中隐藏NF实例ID的方法发生在包括至少一个处理器的NF存储库功能(NRF)处。该方法包括:从第一NF接收用于注册第一NF的第一NF实例的NF注册请求消息,其中NF注册请求消息包括用于标识第一NF实例的第一NF实例ID;在数据储存库中存储第一NF实例ID和至少一个伪NF实例ID之间的映射,其中数据储存库包括NF实例ID和相关伪NF实例ID之间的映射;以及生成并向第一NF发送包括用于标识第一NF实例的所述至少一个伪NF实例ID的NF注册响应消息。
Description
优先权声明
本申请要求享有2021年5月7日提交的美国专利申请序列号17/314,300的优先权,该专利申请的公开内容通过引用完整地并入本文。
技术领域
本文描述的主题涉及增强第五代(5G)和后续代通信网络中的安全性。更具体地说,本文描述的主题涉及用于在5G和后续代通信网络中隐藏网络功能(NF)实例标识符(ID)的方法、系统和计算机可读介质。
背景技术
在第五代(5G)通信网络中,提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以既是生产者NF又是消费者NF,这取决于它是在消费还是提供服务。
给定的生产者NF可以有许多服务端点,其中服务端点是由生产者NF托管的一个或多个NF实例的接触点。服务端点由互联网协议(IP)地址和端口号的组合或解析为托管生产者NF的网络节点上的IP地址和端口号的完全限定域名来标识。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是,多个NF实例可以共享同一个服务端点。
生产者NF向NF存储库功能(NRF)注册。NRF维护可用NF实例的服务简档(profile),这些简档标识每个NF实例支持的服务。消费者NF可以订阅以接收关于已经向NRF注册的生产者NF实例的信息。除了消费者NF之外,另一种可以订阅以接收关于NF服务实例的信息的网络节点是服务通信代理(SCP)。SCP订阅NRF并获取有关生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理,并且服务通信代理对提供所需服务的生产者NF服务实例之间的流量进行负载均衡,或者直接将流量路由到目标生产者NF实例。
除了SCP之外,在生产者NF和消费者NF之间路由流量的中间代理节点或网络节点组的其他示例包括安全边缘保护代理(SEPP)、服务网关和5G服务网格中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。因此,SEPP对应用编程接口(API)消息执行各种数量的消息过滤、管制和拓扑隐藏。
然而,需要在一个或多个NF处改进安全措施。
发明内容
公开了用于在通信网络中隐藏网络功能(NF)实例标识符(ID)的方法、系统和计算机可读介质。一种用于在通信网络中隐藏NF实例ID的方法发生在包括至少一个处理器的NF存储库功能(NRF)处。该方法包括:从第一NF接收用于注册第一NF的第一NF实例的NF注册请求消息,其中NF注册请求消息包括用于标识第一NF实例的第一NF实例ID;在数据储存库中存储第一NF实例ID和至少一个伪NF实例ID之间的映射,其中数据储存库包括NF实例ID和相关伪NF实例ID之间的映射;以及生成并向第一NF发送包括用于标识第一NF实例的该至少一个伪NF实例ID的NF注册响应消息。
一种用于在通信网络中隐藏NF实例ID的示例系统包括NRF,该NRF包括至少一个处理器和存储器。NRF被配置为:从第一NF接收用于注册第一NF的第一NF实例的NF注册请求消息,其中NF注册请求消息包括用于标识第一NF实例的第一NF实例ID;在数据储存库中存储第一NF实例ID和至少一个伪NF实例ID之间的映射,其中数据储存库包括NF实例ID和相关伪NF实例ID之间的映射;以及生成并向第一NF发送包括用于标识第一NF实例的该至少一个伪NF实例ID的NF注册响应消息。
一种示例非暂态计算机可读介质,该介质包括在非暂态计算机可读介质中体现的计算机可执行指令,这些指令当被至少一台计算机的至少一个处理器执行时,使得该至少一台计算机执行包括以下的步骤:在包括至少一个处理器的NRF处:从第一NF接收用于注册第一NF的第一NF实例的NF注册请求消息,其中NF注册请求消息包括用于标识第一NF实例的第一NF实例ID;在数据储存库中存储第一NF实例ID和至少一个伪NF实例ID之间的映射,其中数据储存库包括NF实例ID和相关伪NF实例ID之间的映射;以及生成并向第一NF发送包括用于标识第一NF实例的该至少一个伪NF实例ID的NF注册响应消息。
根据本文描述的主题的一个方面,第一NF可以被配置为:从NRF接收包括用于标识第一NF的第一NF实例的至少一个伪NF实例ID的NF注册响应消息,其中该至少一个伪NF实例ID中的每一个都不同于用于标识第一NF实例的第一NF实例ID;存储与第一NF实例ID相关联的该至少一个伪NF实例ID;以及在发送请求或响应消息时,使用该至少一个伪NF实例ID中的第一伪NF实例ID,用于标识发送者。
根据本文描述的主题的一个方面,第一NF可以被配置为:从消费者NF实例接收包括至少一个查询参数的NF发现请求消息;使用该至少一个查询参数和数据储存库来选择包括第一伪NF实例ID的NF简档;向消费者NF实例发送包括第一伪NF实例ID的NF简档。
根据本文描述的主题的一个方面,第一伪NF实例ID可以由消费者NF实例使用以请求与第一NF实例相关联的访问令牌、NF简档或NF订阅。
根据本文描述的主题的一个方面,第一伪NF实例ID可以由消费者NF实例使用以经由基于服务的接口(SBI)与第一NF实例通信。
根据本文描述的主题的一个方面,NRF可以被配置为:接收用于执行与第一NF实例相关联的动作的服务请求消息,其中服务请求消息包括用于第一NF实例的ID;使用该ID和包含NF实例ID和相关伪NF实例ID之间的关联的数据储存库来确定服务请求消息是有效的或无效的;响应于确定服务请求消息是无效的,执行无效消息动作;以及响应于确定服务请求消息是有效的,执行与第一NF实例相关联的动作。
根据本文描述的主题的一个方面,隐藏NF实例ID(例如通过使用伪NF实例ID)的NF可以包括生产者NF、策略控制功能(PCF)、绑定支持功能(BSF)、服务通信代理(SCP)、安全边缘保护代理(SEPP)、网络切片选择功能(NSSF)、网络暴露功能(NEF)、统一数据存储库(UDR)或5GC NF。
根据本文描述的主题的一个方面,无效消息动作可以包括丢弃请求消息或通知网络运营商或管理系统。
根据本文描述的主题的一个方面,服务请求消息可以包括NF注册(registration)请求消息、NF更新请求消息或NF注销(deregistration)请求消息。
根据本文描述的主题的一个方面,确定服务请求消息(例如NF注册请求消息、NF更新请求消息或NF注销请求消息)是无效的包括确定服务请求消息中的ID是与第一NF实例ID相关联的一个或多个伪NF实例ID之一。
本文描述的主题可以在硬件、软件、固件或其任意组合中实现。因此,本文使用的术语“功能”、“节点”或“模块”指的是用于实现所描述的特征的硬件,其还可以包括软件和/或固件组件。在一个示例实现方式中,本文描述的主题可以使用在其上存储计算机可执行指令的计算机可读介质来实现,这些计算机可执行指令在由计算机的处理器执行时控制计算机以执行步骤。适于实现本文描述的主题的示例计算机可读介质包括非暂态计算机可读介质,诸如盘存储设备、芯片存储设备、可编程逻辑设备和专用集成电路。另外,实现本文描述的主题的计算机可读介质可以位于单个设备或计算平台上或者可以分布在多个设备或计算平台上。
附图说明
现在将参考附图解释本文描述的主题,其中:
图1是图解示例第五代(5G)网络架构的网络图;
图2是图解用于在5G通信网络中隐藏网络功能(NF)实例标识符(ID)的示例网络节点的图;
图3是图解涉及NF实例ID的示例NF发现场景的消息流程图;
图4是图解使用包括NF实例ID的示例NF访问令牌的消息流程图;
图5是图解指示NF实例ID和相关伪NF实例ID的示例ID数据的图;
图6是图解指示消息类型和相关伪NF实例ID使用的示例ID使用数据的图;
图7是图解涉及伪NF实例ID的示例NF发现场景的消息流程图;
图8是图解使用包括伪NF实例ID的示例NF访问令牌的消息流程图;
图9是图解NF注销请求消息的示例验证的消息流程图;以及
图10是图解用于在通信网络中隐藏NF实例ID的示例过程的流程图。
具体实施方式
本文描述的主题涉及用于在第五代(5G)通信网络中隐藏网络功能(NF)实例标识符(ID)的方法、系统和计算机可读介质。在5G通信网络中,NF实例ID用于唯一标识5G NF实例。例如,NF存储库功能使用NF实例ID进行NF管理、NF发现和NF访问令牌服务。此外,消费者NF使用NF实例ID进行基于客户端凭证断言(CCA)的客户端认证。NF还使用NF实例ID来分享其标识,例如接入和移动管理功能(AMF)在UEContextManagement(UECM)服务注册期间使用其NF实例ID。由于NF实例ID唯一标识NF,因此将NF实例ID暴露在其公共陆地移动网络(PLMN)之外可能会隐式地将PLMN的拓扑结构暴露给外界。例如,由于访问者网络中的安全性受到损害(诸如未在NF之间使用传输层安全性(TLS)),NF实例ID可能会从访问者网络中泄漏。
虽然安全边缘保护代理(SEPP)为PLMN间通信提供了一些安全措施,但SEPP无法隐藏NF实例ID,因为NF实例ID可以嵌入到访问令牌中,而访问令牌由于JSON Web签名(JWS)签名而无法修改。此外,NF实例ID被用于NF更新和NF注销服务操作。因此,泄漏的NF实例ID可能在拒绝服务(DoS)攻击中被(例如黑客)滥用,例如通过发送未经授权的NF更新或NF注销请求消息而滥用。
根据本文描述的主题的一些方面,公开了用于在各种场景中通过使用伪NF实例ID代替NF实例ID来在通信网络中隐藏NF实例ID的方法、系统、机制和/或技术。例如,根据本文描述的各个方面,NRF可以在NF的NF注册期间生成和/或分配伪NF实例ID。在这个示例中,伪NF实例ID可以在NF注册响应中被分享给NF。在一些实施例中,伪NF实例ID可以用于在各种场景(例如PLMN间通信)中标识NF,从而减轻NF实例ID的泄漏和相关的滥用。在一些实施例中,例如为了进一步减轻NF实例ID滥用,实际的NF实例ID(而不是伪NF实例ID)可以被用于NF注册、NF更新和NF注销。
有利的是,通过利用本文描述的一种或多种技术、系统和/或方法,NRF或其他实体可以通过使用伪NF实例ID和/或将NF实例ID的适用减少到NF注册、NF更新、NF注销场景来增强安全性(例如防止DoS攻击或其他恶意行为)。
现在将详细参考本文描述的主题的各种实施例,其示例在附图中图解。尽可能地,将在整个附图中使用相同的参考编号来指代相同或相似的部件。
图1是图解示例5G系统网络架构(例如归属5G核心(5GC)网络)的框图。图1中的架构包括NRF 100和SCP 101,它们可以位于同一归属公共陆地移动网络(PLMN)中。如上所述,NRF 100可以维护可用生产者NF服务实例及其支持的服务的简档,并且允许消费者NF或SCP订阅并且被通知新的/更新的生产者NF服务实例的注册。SCP 101还可以支持服务发现和生产者NF实例的选择。SCP 101可以对消费者NF和生产者NF之间的连接执行负载均衡。另外,使用本文描述的方法,SCP 101可以执行基于优选的NF位置的选择和路由。
NRF 100是用于NF或生产者NF实例的服务简档的存储库。为了与生产者NF实例通信,消费者NF或SCP必须从NRF 100获取NF或服务简档或生产者NF实例。NF或服务简档是在第三代合作伙伴计划(3GPP)技术规范(TS)29.510中定义的JavaScript对象标记(JSON)数据结构。NF或服务简档定义包括完全限定域名(FQDN)、互联网协议(IP)版本4(IPv4)地址或IP版本6(IPv6)地址中的至少一个。在图1中,任何节点(除了NRF 100之外)都可以是消费者NF或生产者NF,这取决于它们是在请求服务还是提供服务。在所图解示例中,节点包括在网络中执行策略相关的操作的策略控制功能(PCF)102、管理用户数据的用户数据管理(UDM)功能104和提供应用服务的应用功能(AF)106。图1中图解的节点进一步包括会话管理功能(SMF)108,其管理接入和移动管理功能(AMF)110和PCF 102之间的会话。AMF 110执行与4G网络中的移动管理实体(MME)所执行的那些移动管理操作类似的移动管理操作。认证服务器功能(AUSF)112为寻求访问网络的用户设备(例如用户装备(UE)114)执行认证服务。
网络切片选择功能(NSSF)116为寻求访问与网络切片相关联的特定网络能力和特性的设备的提供网络切片服务。网络暴露功能(NEF)118为寻求获取关于附接到网络的物联网(IoT)设备和其他UE的信息的应用功能提供应用编程接口(API)。NEF 118执行与4G网络中的服务能力暴露功能(SCEF)类似的功能。
无线电接入网络(RAN)120经由无线链路将UE 114连接到网络。可以使用gNode B(gNB)(图1中未示出)或其他无线接入点来访问无线接入网络120。用户平面功能(UPF)122可以支持用户平面服务的各种代理功能性。此类代理功能性的一个示例是多路径传输控制协议(MPTCP)代理功能性。UPF 122还可以支持性能测量功能性,UE 114可以使用性能测量功能性以获取网络性能测量。图1中还图解了数据网络(DN)124,UE通过DN 124来访问诸如互联网服务的数据网络服务。
安全边缘保护代理(SEPP)126过滤来自另一个PLMN的传入流量,并对离开归属PLMN的流量执行拓扑隐藏。SEPP 126可以与外部PLMN中的管理该外部PLMN的安全性的SEPP通信。因此,不同PLMN中的NF之间的流量可以穿越两个SEPP功能,一个用于归属PLMN,而另一个用于外部PLMN。
SEPP 126可以利用N32-c接口和N32-f接口。N32-c接口是两个SEPP之间的控制平面接口,可用于执行初始握手(例如TLS握手)并协商用于N32-f接口连接和相关消息转发的各种参数。N32-f接口是两个SEPP之间的转发接口,可用于在应用应用级安全保护之后在消费者NF和生产者NF之间转发各种通信(例如5GC请求消息)。
现有5G架构的一个问题是,现有5G架构可以允许NF实例ID向各种实体泄漏,这可能导致或允许恶意实体执行各种恶意动作,例如NF实例的未经授权或不正当的NF注销请求消息使用泄漏或收集的NF实例ID。例如,如果受信任(但受损害或被黑客攻击)的访问者PLMN(V-PLMN)中的受损害的NF可以访问归属PLMN(H-PLMN),则受损害的NF可能会经由NF发现程序接收到用于标识特定NF实例的NF实例ID。在这个示例中,受信任的V-PLMN中的受损害的NF可以使用其从NF发现程序获取的NF实例ID来欺骗特定NF实例并发送NF注销请求消息,从而触发或发起拒绝服务(DOS)攻击。因此,即使使用现有授权程序,5G架构也可以从使用临时或伪NF实例ID代替实际NF实例ID的增强的安全性和/或相关技术中受益,从而减轻NF实例ID的泄漏和相关问题。
应当理解的是,图1是用于说明性目的,并且上述与图1相关的各种节点和/或模块、位置和/或功能性都可以被改变、更改、添加或移除。
图2是图解用于在5G通信网络中隐藏NF实例ID的示例网络节点200的图。节点200可以表示用于执行授权、注册和/或安全功能的各个方面(例如隐藏NF实例ID和/或相关拓扑信息)的任何合适的一个或多个实体。在一些实施例中,节点200可以表示或包括一个或多个5GC NF,例如NRF、SEPP、SCP、PCF、NSSF、NEF、统一数据存储库(UDR)、绑定支持功能(BSF)等。在一些实施例中,节点200可以表示或包括消费者NF或生产者NF。在一些实施例中,节点200可以表示或包括授权服务器、数据存储库、网络网关、网络代理、边缘安全设备或其他功能性。
在一些实施例中,节点200或相关模块(例如安全模块)可以被配置(例如经由编程逻辑)为在NF注册程序期间检测、生成、获取或分配伪NF实例ID。例如,在节点200包括NRF的情况下,节点200或相关模块可以接收用于注册第一NF实例的5G NF注册请求消息,其中5GNF注册请求消息包括第一NF实例ID。在这个示例中,节点200或相关模块可以确定与第一NF实例ID相关联的一个或多个伪NF实例ID,其中该一个或多个伪NF实例ID中的每一个都可用于代替第一NF实例ID来指代第一NF实例。继续这个示例,节点200或相关模块可以生成并发送包括该一个或多个伪NF实例ID的5G NF注册响应消息。
在一些实施例中,节点200或相关模块(例如安全模块)可以被配置为针对各种通信场景使用伪NF实例ID。例如,在节点200包括已经向NRF 100注册并在5G NF注册响应消息中从NRF 100接收到一组分配的伪NF实例ID的NF实例的情况下,节点200或相关模块(例如安全模块)可以被配置为在各种5G请求消息(除了NF注册、NF更新和NF注销请求消息之外)中使用伪NF实例ID进行标识,并且对被引导至与节点200相关联的伪NF实例ID之一的各种5G消息进行响应。
参考图2,节点200可以包括一个或多个通信接口202,用于经由通信环境(例如归属5GC网络)传送消息。例如,(一个或多个)通信接口202可以包括用于与归属网络中的第一组SEPP 126通信的第一通信接口,用于与归属网络中的第二组SEPP 126通信的第二通信接口以及用于与归属网络中的其他实体通信的第三通信接口。
节点200可以包括安全模块(SM)204。SM 204可以是用于执行与使用和/或验证伪NF实例ID相关联的一个或多个方面的任何合适的实体(例如在至少一个处理器上执行的软件)。在一些实施例中,SM 204可以被配置为接收用于注册第一NF实例的5G NF注册请求消息(其中5G NF注册请求消息包括第一NF实例ID)以及用于生成和发送包括与第一NF实例ID相关联的一个或多个伪NF实例ID的5G NF注册响应消息,其中该一个或多个伪NF实例ID中的每一个都可用于代替第一NF实例ID来指代第一NF实例。
在一些实施例中,SM 204可以被配置为针对各种通信场景使用伪NF实例ID。例如,SM 204可以被配置为分析要发送的一个或多个5G消息,并且在发送之前在适当时候用对应的伪NF实例ID来代替NF实例ID,例如执行除NF注册、NF更新和NF注销请求消息之外的替换。在这个示例中,SM 204还可以被配置为验证伪NF实例ID对于各种接收到的5G消息来说是有效的或适当的。
在一些实施例中,SM 204可以被配置为访问或利用包含NF实例ID和伪NF实例ID之间的一个或多个关联的数据储存库。例如,SM 204可以被配置为:从消费者NF实例接收用于发现第一NF实例的服务请求消息;使用存储NF实例ID和相关伪NF实例ID之间的关联的数据储存库来确定与第一NF实例ID相关联的该一个或多个伪NF实例ID中的第一伪NF实例ID;以及向消费者NF实例发送第一伪NF实例ID。
在一些实施例中,SM 204可以被配置为用于消息验证。例如,SM 204可以被配置为:接收用于执行与第一NF实例相关联的动作的请求消息,其中请求消息包括用于第一NF实例的ID;使用该ID和存储NF实例ID和相关伪NF实例ID之间的关联的数据储存库来确定请求消息是有效的还是无效的。在这个示例中,如果请求消息被认为是无效的,则SM 204可以被配置为执行无效消息动作(例如丢弃请求消息或将该问题通知给网络运营商或管理系统)。继续这个示例,如果请求消息被认为是有效的,则SM 204可以被配置为执行有效消息动作(例如处理请求消息或将请求消息转发给另一节点进行处理)。
在一些实施例中,SM 204可以通过分析接收到的消息的消息类型并确定该消息类型无法使用伪NF实例ID来确定请求消息是无效的。例如,SM 204可以确定包括伪NF实例ID的NF注册请求消息、NF更新请求消息或NF注销请求消息是无效的或不正当的,并且可以丢弃或以其他方式忽略该请求消息。
在一些实施例中,例如在节点200是SEPP 126的情况下,SM 204可以被配置为针对PLMN间消息(例如HTTP/2消息)来监视N32-f接口连接,并且在发送到另一目的地之前验证这些消息。例如,对于第一PLMN间5G NF注销消息,SM 204可以确定请求消息是有效的(例如该消息包括实际或非伪NF实例ID)并将其发送到NRF 100进行处理。在另一个示例中,对于第二PLMN间5G NF注销消息,SM 204可以确定请求消息是无效的(例如该消息包括伪NF实例ID)并丢弃该请求消息或阻止其被NRF 100接收。
节点200可以访问(例如从数据储存库206读取信息或向数据储存库206写入信息)数据储存库206。数据储存库206可以是用于存储各种数据的任何合适的实体(例如计算机可读介质或存储器)。在一些实施例中,数据储存库206可以包括用户设备的认证信息和/或用于隐藏NF实例ID或相关消息验证的相关信息。例如,数据储存库206可以包括指示NF实例ID和伪NF实例ID之间的关联的数据记录或条目。在一些实施例中,数据储存库206可以包括用于获取、生成或向NF实例分配伪NF实例ID的逻辑,用于从各种PLMN间消息获取NF实例标识信息的逻辑,用于使用所存储的认证信息来执行消息验证的逻辑和/或用于实现或触发无效消息动作或有效消息动作的逻辑。
应当理解的是,图2及其相关描述是用于说明性目的,并且节点200可以包括附加的和/或不同的模块、组件或功能性。
图3是图解涉及NF实例ID的示例NF发现场景的消息流程图。在一些实施例中,H-NRF 100(没有SM 204)可以接收请求NF提供特定服务或信息的NF发现请求消息,并且可以提供包括用于标识特定NF实例的NF实例ID的NF发现响应,例如其中NF实例ID是唯一标识符。在此类实施例中,(例如V-PLMN 1 300中的)外部NF发现请求者可以接收实际(例如非伪)NF实例ID,用于与归属网络(例如H-PLMN 298)中的各种NF实例通信,并且因此,V-PLMN300中的节点可以习得或知道这些NF实例的实际NF实例ID。
参考图3,例如在步骤301之前,可以发生用于注册生产者NF 296(例如特定NF实例)的NF注册程序。在NF注册程序期间或与此同时,H-NRF 100可以存储与生产者NF 296相关联并由生产者NF 296提供的NF实例ID。例如,与生产者NF 296相关联的NF实例ID在正在注册生产者NF 296的H-NRF 100的PLMN(例如H-PLMN 298)内可以是全局唯一的。在这个示例中,NF实例ID可用于标识、指代生产者NF 296和/或与其通信。
在步骤301中,可以将NF发现请求消息从消费者NF 294发送到V-PLMN 1 300中的V-NRF 100,用于请求可以提供来自H-PLMN 298的特定服务或相关信息的NF实例。
在步骤302中,可以将NF发现请求消息从V-NRF 100发送到V-SEPP 126,用于转发到H-PLMN 298中的H-NRF 100。
在步骤303中,可以经由N32-f接口将NF发现请求消息(例如作为HTTP/2消息)从V-SEPP 126转发到H-SEPP 126。
在步骤304中,可以将NF发现请求消息从H-SEPP 126发送到H-NRF 100。例如,H-NRF 100接收NF发现请求消息并选择用于提供服务或信息的合适的NF实例(即生产者NF296)。
在步骤305中,可以生成包括或指示标识生产者NF 296的NF实例ID的NF发现响应,并将该NF发现响应从H-NRF 100发送到H-SEPP 126,用于转发到V-PLMN 300。
在步骤306中,可以经由N32-f接口将NF发现响应(例如作为HTTP/2消息)从H-SEPP126转发到V-SEPP 126。
在步骤307中,可以将NF发现响应从V-SEPP 126发送到V-NRF 100。
在步骤308中,可以将NF发现响应从V-NRF 100发送到消费者NF 294。
在一些实施例中,消费者NF 294可以使用NF实例ID以(例如经由SBI请求消息)从生产者296请求服务或相关数据。
应当理解的是,图3是用于说明性目的,并且可以使用不同的和/或附加的消息和/或动作。还应当理解的是,本文描述的各种消息和/或动作可以以不同的顺序或序列出现。
图4是图解使用包括NF实例ID的示例NF访问令牌的消息流程图。在一些实施例中,H-NRF 100(没有SM 204)可以提供包括用于标识特定NF实例的NF实例ID的访问令牌,例如其中NF实例ID是唯一标识符。在此类实施例中,(例如V-PLMN 1 300中的)外部访问令牌请求者可以接收实际(例如非伪)NF实例ID,用于与归属网络(例如H-PLMN 298)中的各种NF实例通信,并且因此,V-PLMN 300中的节点可以习得或知道这些NF实例的实际NF实例ID。
参考图4,例如在步骤401之前,可以发生用于注册生产者NF 296(例如特定NF实例)的NF注册程序。在NF注册程序期间或与此同时,H-NRF 100可以存储与生产者NF 296相关联并由生产者NF 296提供的NF实例ID。例如,与生产者NF 296相关联的NF实例ID在正在注册生产者NF 296的H-NRF 100的PLMN(例如H-PLMN 298)内可以是全局唯一的。在这个示例中,NF实例ID可用于标识、指代生产者NF 296和/或与其通信。
在步骤401中,可以将访问令牌请求消息从消费者NF 294发送到V-PLMN 1 300中的V-NRF 100,用于访问来自H-PLMN 298的服务或相关信息。例如,V-PLMN 1 300中的消费者NF 294可以表示请求访问令牌(例如OAuth2访问令牌)以便(例如从生产者NF 296)接收归属网络中的服务或相关信息的网络节点。
在步骤402中,可以将访问令牌请求消息从V-NRF 100发送到V-SEPP 126,用于转发到H-PLMN 298中的H-NRF 100。
在步骤403中,可以经由N32-f接口将访问令牌请求消息(例如作为HTTP/2消息)从V-SEPP 126转发到H-SEPP 126。
在步骤404中,可以将访问令牌请求消息从H-SEPP 126发送到H-NRF 100。例如,H-NRF 100可以接收访问令牌请求消息并选择用于提供服务或信息的合适的NF实例(即生产者NF 296)。
在步骤405中,H-NRF 100可以生成包括或指示用于标识生产者NF 296的NF实例ID的访问令牌,并在访问令牌响应中将该访问令牌从H-NRF 100发送到H-SEPP 126,用于转发到V-PLMN 300。
在步骤406中,可以经由N32-f接口将访问令牌响应(例如作为HTTP/2消息)从H-SEPP 126转发到V-SEPP 126。
在步骤407中,可以将访问令牌响应从V-SEPP 126发送到V-NRF 100。
在步骤408中,可以将访问令牌响应从V-NRF 100发送到消费者NF 294。
在步骤409中,可以将包括访问令牌的SBI请求消息从消费者NF 294发送到V-SEPP126,用于转发到H-PLMN 298。
在步骤410中,可以经由N32-f接口将SBI请求消息(例如作为HTTP/2消息)从V-SEPP 126转发到H-SEPP 126。
在步骤411中,可以将SBI请求消息从H-SEPP 126发送到生产者NF 296。
在步骤412中,例如在验证访问令牌之后,可以生成提供所请求的服务或信息的SBI响应,并将该SBI响应从生产者NF 296发送到H-SEPP 126,用于转发到V-PLMN 300。
在步骤413中,可以经由N32-f接口将SBI响应(例如作为HTTP/2消息)从H-SEPP126转发到V-SEPP 126。
在步骤414中,可以将SBI响应从V-SEPP 126发送到消费者NF 294。
应当理解的是,图4是用于说明性目的,并且可以使用不同的和/或附加的消息和/或动作。还应当理解的是,本文描述的各种消息和/或动作可以以不同的顺序或序列出现。
图5是图解指示NF实例ID和相关伪NF实例ID的示例ID数据500的图。例如,ID数据500可以指示NF实例ID和一个或多个伪NF实例ID之间的映射(例如关联)。在一些实施例中,ID映射或关联可以由运营商静态配置或者可以由NRF 100动态生成并且可以分享给NF。例如,在与NF相关联的NF注册程序期间,分配给NF的伪NF实例ID可以在发送给NF的NF注册响应中被分享。
在一些实施例中,节点200、H-NRF 100或SM 204可以被配置为基于各种规则和/或逻辑来分配伪NF实例ID。例如,H-NRF 100可以被配置为分配至少一个唯一的伪NF实例ID给向H-NRF 100注册的NF。在另一个示例中,H-NRF 100可以被配置为分配一组3到6个之间的唯一的伪NF实例ID给向H-NRF 100注册的NF。在一些实施例中,与特定NF实例相关联或分配给特定NF实例的每个伪NF实例ID可以是非连续的和/或被生成或分配以用于减少可以推导或辨别出对应的实际(非伪)NF实例ID的可能性。
在一些实施例中,NF(例如生产者NF 296)可以存储其自身的伪NF实例ID并且可以使用和/或提供这些伪NF实例ID之一来代替使用其实际NF实例ID以用于标识。例如,当NF正在发送5GC请求消息时,NF可以使用其伪NF实例ID之一而非其实际NF实例ID来标识自身。在这个示例中,NF可以利用选择算法(例如基于轮询、伪随机、请求类型或时间的算法)来从其伪NF实例ID集合中选择特定的伪NF实例ID。继续这个示例,NF可以利用同一个伪NF实例ID来处理和相同节点或网络的事务,例如通过存储状态信息和/或使用哈希函数来这样做。
参考图5,表示ID数据500的表格包括NF实例ID和对应伪NF实例ID的列和/或字段。NF实例ID字段可以存储用于表示可用于标识特定NF实例的NF实例ID的信息。在一些实施例中,每个NF实例ID在正在注册对应NF实例的H-NRF 100的PLMN(例如H-PLMN 298)内可以是全局唯一的。在一些实施例中,NF实例ID的格式可以是通用唯一标识符(UUID)版本4,如IETF RFC 4122所描述。例如,NF实例ID“ID1”可以表示128位的UUID,其中UUID的16个字节(例如八位字节)表示为32个十六进制数字,并且其中这些数字以8-4-4-4-12的格式,显示为连字符分隔的五个组,总共36个字符(32个十六进制字符和4个连字符),例如“4947a69a-f61b-4bc1-b9da-47c9c5d14b64”。
伪NF实例ID字段可以表示分配给对应NF实例ID和/或与对应NF实例ID相关联的一个或多个伪NF实例ID。在一些实施例中,例如类似于实际NF实例ID,每个伪NF实例ID在正在注册对应NF实例的H-NRF 100的PLMN(例如H-PLMN 298)内可以是全局唯一的,但可能是临时的(例如在有效期限内或注册期间分配给同一个NF实例),并且可能随后被重新分配给另一个NF实例(例如在NF注销程序之后)。在一些实施例中,伪NF实例ID的格式可以与实际NF实例ID相同,例如UUID版本4格式。例如,伪实例ID“PID2”可以表示诸如“5162f79a-c31b-4bc1-c8da-27e5c5d34b22”的128位的UUID。
如图所述,图5中的第一行指示NF实例ID“ID1”和伪NF实例ID“PID2”、“PID4”和“PID7”之间的关联;图5中的第二行指示NF实例ID“ID2”和伪NF实例ID“PID61”、“PID40”、“PID55”、“PID32”和“PID34”之间的关联;图5中的第三行指示NF实例ID“ID3”和伪NF实例ID“PID27”、“PID21”和“PID25”之间的关联;图5中的第四行指示NF实例ID“ID4”和伪NF实例ID“PID72”、“PID29”、“PID33”和“PID11”之间的关联;图5中的第五行指示NF实例ID“ID5”和伪NF实例ID“PID16”、“PID22”、“PID64”和“PID96”之间的关联。
还应当理解的是,ID数据500是用于说明性目的,并且可以使用除了图5中描述的数据之外的不同的和/或附加的数据以用于指示特定数据部分或其他信息的默认值。此外,可以使用各种数据结构和/或计算机可读介质来存储(例如在数据储存库206中)和管理ID数据500。
图6是图解指示消息类型和相关伪NF实例ID使用的示例ID使用数据600的图。ID使用数据600可以指示与5G服务相关联的各种类型的消息(例如PLMN间消息)以及伪NF实例ID是否可以用于验证目的。例如,当UE 114在V-PLMN 1 300中漫游时,可以发生V-PLMN 1300和H-PLMN 298之间的涉及多个NF实例的各种通信。在这个示例中,可以经由各自网络中的SEPP 126在V-PLMN 1 300和H-PLMN 298之间发送PLMN间消息。虽然一些消息可以成功利用伪NF实例ID,但其他消息(例如NF注册、NF更新和NF注销请求消息)可能需要实际NF实例ID才能被成功验证和处理。例如,H-NRF 100可以丢弃或忽略具有伪NF实例标识符的任何NF注册、NF更新和NF注销请求消息,从而减少恶意的或被黑客攻击的外部节点尝试注销网络节点的机会。
在一些实施例中,例如在消息验证期间,节点200、H-NRF 100或SM 204可以被配置为识别接收到的消息(例如PLMN间消息)的消息类型,并使用ID使用数据600来确定实际NF实例ID是否包括在接收到的消息中,如果没包括,则确定接收到的消息中的伪NF实例ID是否是可接受的或允许的。例如,如果NF订阅请求消息包括标识生产者NF 296的伪NF实例ID,则节点200或SM 204可以认为NF订阅请求消息是有效的,但如果NF更新请求消息包括该相同的伪NF实例ID但不包括与生产者NF 296相关联的实际NF实例ID,则节点200或SM 204可以认为NF更新请求消息是无效的(或不正当的)。
参考图6,表示ID使用数据600的表格包括消息类型和伪NF实例ID使用的列和/或字段(例如指示伪NF实例ID是否可用于或允许用于对应的消息类型)。消息类型字段可以存储用于表示与NF实例相关联的消息的类型的信息。例如,图6中所述的示例消息类型包括NF注册消息、NF更新消息、NF注销消息、NF发现消息、NF简档消息、NF访问令牌消息和SBI消息。
伪NF实例ID使用字段可以指示伪NF实例ID是否可用于或允许用于对应的消息类型。例如,如图6所述,有效的NF注册消息、NF更新消息和NF注销消息不允许使用伪NF实例ID;但有效的NF发现消息、NF简档消息、NF访问令牌消息和SBI消息允许使用伪NF实例ID。
还应当理解的是,ID使用数据600是用于说明性目的,并且可以使用除了图6中描述的数据之外的不同的和/或附加的数据以用于指示特定数据部分或其他信息的默认值。此外,可以使用各种数据结构和/或计算机可读介质来存储(例如在数据储存库206中)和管理ID使用数据600。
图7是图解涉及NF实例ID的示例NF发现场景的消息流程图。在一些实施例中,H-NRF 100或其中的SM 204可以接收请求NF提供特定服务或信息的NF发现请求消息,并且可以提供包括用于标识特定NF实例的伪NF实例ID的NF发现响应,例如其中伪NF实例ID是在NF注册程序期间分配的或由网络运营商预先确定的多个临时实例ID之一。在此类实施例中,(例如V-PLMN 1 300中的)外部NF发现请求者可以接收伪NF实例ID,用于与归属网络(例如H-PLMN 298)中的各种NF实例通信,并且因此,V-PLMN 300中的节点将不会习得或知道这些NF实例的实际NF实例ID。
参考图7,例如在步骤701之前,可以发生用于注册生产者NF 296(例如特定NF实例)的NF注册程序。在NF注册程序期间或与此同时,可以分配和/或存储对应于生产者NF296的一个或多个伪NF实例ID,以供一个或多个实体(例如H-NRF 100)使用。例如,生产者NF296可以使用NF实例ID“ID45”来向H-NRF 100注册,并且可以从H-NRF 100接收一组伪NF实例ID,例如“PID23”、“PID44”和“PID55”。在这个示例中,该组伪NF实例ID可以在预定时间量内或在生产者NF 296向归属网络注册时唯一地分配给生产者NF 296。
在步骤701中,可以将NF发现请求消息从消费者NF 294发送到V-PLMN 1 300中的V-NRF 100,用于请求可以提供来自H-PLMN 298的特定服务或相关信息的NF实例。
在步骤702中,可以将NF发现请求消息从V-NRF 100发送到V-SEPP 126,用于转发到H-PLMN 298中的H-NRF 100。
在步骤703中,可以经由N32-f接口将NF发现请求消息(例如作为HTTP/2消息)从V-SEPP 126转发到H-SEPP 126。
在步骤704中,可以将NF发现请求消息从H-SEPP 126发送到H-NRF 100。
在步骤705中,H-NRF 100或其中的SM 204可以接收NF发现请求消息,确定或选择用于提供服务或信息的合适的NF实例(即生产者NF 296);并且识别用于标识生产者NF 296的对应的伪NF实例ID。
在步骤706中,可以将包括或指示标识生产者NF 296的伪NF实例ID的NF发现响应从H-NRF 100发送到H-SEPP 126,用于转发到V-PLMN 300。
在步骤707中,可以经由N32-f接口将NF发现响应(例如作为HTTP/2消息)从H-SEPP126转发到V-SEPP 126。
在步骤708中,可以将NF发现响应从V-SEPP 126发送到V-NRF 100。
在步骤709处,可以将NF发现响应从V-NRF 100发送到消费者NF294。
在一些实施例中,消费者NF 294可以使用伪NF实例ID以(例如经由SBI请求消息)从生产者296请求服务或相关数据。
应当理解的是,图7是用于说明性目的,并且可以使用不同的和/或附加的消息和/或动作。还应当理解的是,本文描述的各种消息和/或动作可以以不同的顺序或序列出现。
图8是图解使用包括伪NF实例ID的示例NF访问令牌的消息流程图。在一些实施例中,H-NRF 100或其中的SM 204可以被配置为提供包括用于标识特定NF实例的伪NF实例ID的访问令牌,例如其中伪NF实例ID是在NF注册程序期间分配的或由网络运营商预先确定的多个临时实例ID之一。在此类实施例中,(例如V-PLMN 1 300中的)外部NF发现请求者可以接收伪NF实例ID,用于与归属网络(例如H-PLMN 298)中的各种NF实例通信,并且因此,V-PLMN 300中的节点将不会习得或知道这些NF实例的实际NF实例ID。
参考图8,例如在步骤801之前,可以发生用于注册生产者NF 296(例如特定NF实例)的NF注册程序。在NF注册程序期间或与此同时,可以分配和/或存储对应于生产者NF296的一个或多个伪NF实例ID,以供一个或多个实体(例如H-NRF 100)使用。例如,生产者NF296可以使用NF实例ID“ID45”来向H-NRF 100注册,并且可以从H-NRF 100接收一组伪NF实例ID,例如“PID23”、“PID44”和“PID55”。在这个示例中,该组伪NF实例ID可以在预定时间量内或在生产者NF 296向归属网络注册时唯一地分配给生产者NF 296。
在步骤801中,可以将访问令牌请求消息从消费者NF 294发送到V-PLMN 1 300中的V-NRF 100,用于访问来自H-PLMN 298的服务或相关信息。例如,V-PLMN 1 300中的消费者NF 294可以表示请求访问令牌(例如OAuth2访问令牌)以便(例如从生产者NF 296)接收归属网络中的服务或相关信息的网络节点。
在步骤802中,可以将访问令牌请求消息从V-NRF 100发送到V-SEPP 126,用于转发到H-PLMN 298中的H-NRF 100。
在步骤803中,可以经由N32-f接口将访问令牌请求消息(例如作为HTTP/2消息)从V-SEPP 126转发到H-SEPP 126。
在步骤804中,可以将访问令牌请求消息从H-SEPP 126发送到H-NRF 100。
在步骤805中,H-NRF 100或其中的SM 204可以接收访问令牌消息,选择用于提供服务或信息的合适的NF实例(例如生产者NF 296),并且生成包括或指示用于标识所选择的NF实例的伪NF实例ID的访问令牌。
在步骤806中,可以生成包括访问令牌的访问令牌响应,并将该访问令牌响应从H-NRF 100发送到H-SEPP 126,用于转发到V-PLMN 300。
在步骤807中,可以经由N32-f接口将访问令牌响应(例如作为HTTP/2消息)从H-SEPP 126转发到V-SEPP 126。
在步骤808中,可以将访问令牌响应从V-SEPP 126发送到V-NRF 100。
在步骤809中,可以将访问令牌响应从V-NRF 100发送到消费者NF 294。
在步骤810中,可以将包括访问令牌的SBI请求消息从消费者NF 294发送到V-SEPP126,用于转发到H-PLMN 298。
在步骤811中,可以经由N32-f接口将SBI请求消息(例如作为HTTP/2消息)从V-SEPP 126转发到H-SEPP 126。
在步骤812中,可以将SBI请求消息从H-SEPP 126发送到生产者NF 296。
在步骤813中,生产者NF 296可以使用从接收到的SBI请求消息中的访问令牌获取的伪NF实例ID,用于验证目的。例如,生产者NF 296可以存储(例如在NF注册程序期间由H-NRF 100)分配给其自身的一组伪NF实例ID。在这个示例中,生产者NF 296可以确认接收到的伪NF实例ID与该组伪NF实例ID中的伪NF实例ID匹配。
在步骤814中,例如在验证访问令牌之后,可以生成提供所请求的服务或信息的SBI响应,并将该SBI响应从生产者NF 296发送到H-SEPP 126,用于转发到V-PLMN 300。
在步骤815中,可以经由N32-f接口将SBI响应(例如作为HTTP/2消息)从H-SEPP126转发到V-SEPP 126。
在步骤816中,可以将SBI响应从V-SEPP 126发送到消费者NF 294。
应当理解的是,图8是用于说明性目的,并且可以使用不同的和/或附加的消息和/或动作。还应当理解的是,本文描述的各种消息和/或动作可以以不同的顺序或序列出现。
图9是图解NF注销请求消息的示例验证的消息流程图。在一些实施例中,H-NRF100或其中的SM 204可以被配置为使用NF实例ID或伪NF实例ID来执行消息验证。例如,与第一NF实例(NF1)896相关联的ID数据(例如NF实例ID和对应的伪NF实例ID)在NF1 896的注册程序期间被存储之后,H-NRF 100或其中的SM 204可以监视与NF实例相关联的入口消息(例如PLMN间和/或HTTP/2消息),并且可以在处理、转发和/或响应该入口消息之前使用所存储的ID数据来确定这些入口消息中的每一个是否是有效的。如果H-NRF 100或SM 204确定消息中的NF实例ID或伪NF实例ID与相关的所存储的ID数据不匹配或者不适合于该消息的类型,则H-NRF 100或SM 204可以认为该消息是无效的并且执行无效消息动作,例如丢弃一个或多个PLMN间和/或向网络运行商或网络管理系统报告该事件。如果H-NRF 100或SM 204确定消息中的NF实例ID或伪NF实例ID与相关的所存储的ID数据匹配并且适合于该消息的类型,则H-NRF 100或其中的SM 204可以认为该消息是有效的并且执行有效消息动作,例如允许在预期的目的地接收入口消息并进行处理。
参考图9,例如在步骤901之前,可以发生用于注册NF1 896的NF注册程序。在NF注册程序期间或与此同时,可以分配和/或存储对应于NF1 896的一个或多个伪NF实例ID,以供一个或多个实体(例如H-NRF 100)使用。例如,NF1 896可以使用NF实例ID“ID1”向H-NRF100注册,并且可以从H-NRF 100接收一组伪NF实例ID,例如“PID1”、“PID2”和“PID3”。在这个示例中,该组伪NF实例ID可以在预定时间量内或在NF1 896向归属网络注册时唯一地分配给NF1 896。
在一些实施例中,在NF1 896已经向H-NRF 100注册之后,消费者NF实例(NF2)898可以请求与特定服务或NF相关联的NF简档或相关信息(例如NF实例ID),并试图滥用该消息。例如,NF2 898可以是或看起来是位于V-PLMN 1 300中的5G NF实例。在这个示例中,NF2898可能受到损害、被黑客攻击或以其他方式被配置为执行或试图执行恶意的或不正当的动作,诸如使用习得的NF实例或伪NF实例来发起DoS攻击。
在步骤901中,可以(例如经由V-SEPP 126和H-SEPP 126(未示出))将用于发现提供服务或数据的NF实例的NF发现请求消息从NF2898发送到H-NRF 100。
在步骤902中,在接收到NF发现请求消息之后,H-NRF 100和/或SM 204可以识别用于提供服务或数据的相关NF实例(例如NF1 896),并且可以确定用于与该NF实例通信和/或指代该NF实例的伪NF实例ID“PID1”。在这个示例中,H-NRF 100和/或SM 204可以生成指示该伪NF实例ID的NF发现响应。
在步骤903中,可以(例如经由V-SEPP 126和H-SEPP 126(未示出))将包括用于与NF1 896通信和/或指代NF1 896的伪NF实例ID“PID1”的NF发现响应(例如作为HTTP/2消息)从H-NRF 100发送到NF2 898。
在步骤904中,可以将用于注销NF1 896的NF注销请求消息从NF2898发送到H-NRF100,并且该NF注销请求消息可以包括伪NF实例ID“PID1”。例如,V-PLMN 1 300中的NF2 898可能受到损害、被黑客攻击或以其他方式被配置为试图注销NF1 896。然而,因为NF2 898不知道NF1 896的实际NF实例ID(例如“ID1”),所以NF2 898使用伪NF实例ID“PID1”来试图注销NF1 896。
在步骤905中,H-NRF 100或其中的SM 204可以接收NF注销请求消息,执行消息验证程序,确定NF注销请求消息是无效的,并执行无效消息动作,例如丢弃NF注销请求消息。例如,H-NRF 100或SM 204可以识别出NF注销请求消息缺少实际或非伪NF实例ID,从而表明该NF注销请求消息是不正当的或无效的(例如欺诈的),并且不应回答该NF注销请求消息。
在步骤906中,可以将用于注销NF1 896的第二NF注销请求从NF1896发送到H-NRF100,并且该NF注销请求消息可以包括其实际或非伪NF实例ID“ID1”。
在步骤907中,H-NRF 100或其中的SM 204可以接收第二NF注销请求消息,执行消息验证程序,并确定第二NF注销请求消息是有效的,并执行无效消息动作。例如,H-NRF 100或SM 204可以识别出第二NF注销请求消息包括实际或非伪NF实例ID,从而表明该NF注销请求消息是有效的,并且应该回答该NF注销请求消息。
在步骤908中,例如在确定第二NF注销请求消息是有效的之后,H-NRF 100或SM204可以注销NF1 896,并向NF1 896发送表明NF1896已经成功注销的NF注销响应。
应当理解的是,图9是用于说明性目的,并且可以使用不同的和/或附加的消息和/或动作。还应当理解的是,本文描述的各种消息和/或动作可以以不同的顺序或序列出现。
图10是图解用于在通信网络中隐藏NF实例ID的示例过程1000的图。在一些实施例中,本文描述的示例过程1000或其部分,可以在网络节点处执行或由网络节点(例如NRF100、节点200、SM 204和/或另一个模块、NF或节点)执行。
在步骤1002中,可以接收用于注册第一NF的第一NF实例的NF注册请求消息(例如5G NF注册请求消息),其中NF注册请求消息包括用于标识第一NF实例的第一NF实例ID。
在步骤1004中,可以存储第一NF实例ID和至少一个伪NF实例ID之间的映射,其中数据储存库包括NF实例ID和相关伪NF实例ID之间的映射。
在步骤1006中,可以生成并发送包括用于标识第一NF实例的该至少一个伪NF实例ID的NF注册响应消息(例如5G NF注册响应消息)。
在一些实施例中,第一NF可以被配置为:从NRF接收包括用于标识第一NF的第一NF实例的至少一个伪NF实例ID的NF注册响应消息,其中该至少一个伪NF实例ID中的每一个都不同于用于标识第一NF实例的第一NF实例ID;存储与第一NF实例ID相关联的该至少一个伪NF实例ID;以及在发送请求或响应消息时,使用该至少一个伪NF实例ID中的第一伪NF实例ID,用于标识发送者。
在一些实施例中,NF(例如H-NRF 100)可以被配置为:从消费者NF实例接收用于发现第一NF实例的服务请求消息;使用存储NF实例ID和相关伪NF实例ID之间的关联的数据储存库来确定与第一NF实例ID相关联的一个或多个伪NF实例ID中的第一伪NF实例ID;以及向消费者NF实例发送第一伪NF实例ID。
在一些实施例中,消费者NF实例可以使用第一伪NF实例ID以请求与第一NF实例相关联的访问令牌、NF简档或NF订阅。
在一些实施例中,消费者NF实例可以使用第一伪NF实例ID以经由SBI与第一NF实例通信。
在一些实施例中,网络节点(例如H-NRF 100或H-SEPP 126)可以被配置为:接收用于执行与第一NF实例相关联的动作的服务请求消息,其中服务请求消息包括用于第一NF实例的ID;使用该ID和包含NF实例ID和相关伪NF实例ID之间的关联的数据储存库来确定服务请求消息是有效的或无效的;响应于确定服务请求消息是无效的,执行无效消息动作;以及响应于确定服务请求消息是有效的,执行有效消息动作。
在一些实施例中,用于使用请求消息中的伪NF实例ID来验证请求消息的网络节点可以包括NRF、生产者NF、PCR、BSF、SCP、NSSF、NEF、UDR或5GC NF。
在一些实施例中,无效消息动作可以包括丢弃请求消息或通知网络运营商或管理系统。
在一些实施例中,服务请求消息可以包括NF注册请求消息、NF更新请求消息或NF注销请求消息。
在一些实施例中,确定请求消息(例如NF注册请求消息、NF更新请求消息或NF注销请求消息)是无效的包括确定服务请求消息中的ID是与第一NF实例ID相关联的一个或多个伪NF实例ID之一并且该伪NF实例ID不被该消息或其消息类型所允许。
应当理解的是,过程1000是用于说明性目的,并且可以使用不同的和/或附加的动作。还应当理解的是,本文描述的各种动作可以以不同的顺序或序列出现。
应当理解的是,虽然已经参考5G网络讨论了本文描述的主题的一些方面,但各种其他网络可以利用本文描述的主题的一些方面。例如,利用NF实例ID或类似ID的任何网络可以使用本文描述的特征、机制和技术以分配或关联伪或临时标识符,并使用那些伪或临时ID以用于各种网络交互,例如PLMN间通信。
应当理解的是,虽然已经参考NRF相关的消息讨论了本文描述的主题的一些方面,但各种其他消息可以利用伪NF实例ID或本文描述的主题的其他方面。例如,AMF发出的UECM注册请求可以在UECM服务注册期间利用伪NF实例ID进行标识。此外,应当理解的是,伪NF实例ID可以用于其部分的各种消息类型中,例如消息有效载荷和/或报头。例如,伪NF实例ID可以是访问令牌和CCA令牌的一部分。在另一个示例中,伪NF实例ID可以在负载控制信息(LCI)报头或过载控制信息(OCI)报头中。
应当注意的是,节点200、SM 204和/或本文描述的功能性可以构成专用计算设备。此外,节点200、SM 204和/或本文描述的功能性可以改进通信网络中的网络安全和/或消息验证的技术领域。例如,通过使用伪NF实例ID和/或将NF实例ID的使用减少到NF注册、NF更新、NF注销场景,可以减轻和/或防止恶意活动及其负面后果(例如DoS攻击、客户数据盗窃等)。在这个示例中,通过利用本文描述的一种或多种技术和/或方法,H-NRF 100或其中的SM 204可以防止使用泄漏的NF实例ID以尝试未经授权的NF更新或NF注销的DOS攻击。此外,本文描述的此类技术和/或方法,可以适用于多个服务或相关接口,包括例如nudm-sdm、nudm-uecm、npcf-uepolicy、nsmf-pdusession、nssf-nsselection、nnrf-disc和/或nnrf-nfm。
以下参考文献中的每一篇的公开内容,都以与本文不一致的程度以及其补充、解释、提供背景或教导本文所采用的方法、技术和/或系统的程度,通过引用完整地并入本文。
参考文献:
1.3GPP TS29.510;3rd Generation Partnership Project;TechnicalSpecification Group Core Network and Terminals;5G System;Network FunctionRepository Services;Stage 3(Release 17),V17.1.0
(2021-03).
2.3GPP TS 33.501;3rd Generation Partnership Project;TechnicalSpecification Group Services and System Aspects;Security Architecture andProcedures for the 5G System;(Release 17),V17.1.0
(2021-03).
3.RFC 4122:A Universally Unique IDentifier(UUID)URN Namespace;Leach,P.,Mealling,M.and Salz,R.;(2005).
应当理解的是,可以在不脱离当前公开的主题的范围的情况下改变当前公开的主题的各种细节。此外,前面的描述仅仅用于说明的目的,而非用于限制的目的。
Claims (20)
1.一种用于在通信网络中隐藏网络功能(NF)实例标识符(ID)的方法,所述方法包括:
在包括至少一个处理器的NF存储库功能(NRF)处:
从第一NF接收用于注册第一NF的第一NF实例的NF注册请求消息,其中所述NF注册请求消息包括用于标识第一NF实例的第一NF实例标识符(ID);
在数据储存库中存储第一NF实例ID和至少一个伪NF实例ID之间的映射,其中所述数据储存库包括NF实例ID和相关伪NF实例ID之间的映射;以及
生成并向第一NF发送包括用于标识第一NF实例的所述至少一个伪NF实例ID的NF注册响应消息。
2.根据权利要求1所述的方法,包括:
在第一NF处:
从所述NRF接收包括所述至少一个伪NF实例ID的所述NF注册响应消息,其中所述至少一个伪NF实例ID中的每一个伪NF实例ID都不同于第一NF实例ID;
存储与第一NF实例ID相关联的所述至少一个伪NF实例ID;以及
在发送请求或响应消息时,使用所述至少一个伪NF实例ID,用于标识发送者。
3.根据权利要求1或权利要求2所述的方法,包括:
在所述NRF处:
从消费者NF实例接收包括至少一个查询参数的NF发现请求消息;
使用所述至少一个查询参数和所述数据储存库来选择包括与第一NF实例相关联的第一伪NF实例ID的NF简档;以及
向所述消费者NF实例发送包括第一伪NF实例ID的NF简档。
4.根据权利要求3所述的方法,其中第一伪NF实例ID能够由所述消费者NF实例使用以请求与第一NF实例相关联的访问令牌或NF订阅。
5.根据权利要求3或权利要求4所述的方法,其中第一伪NF实例ID能够由消费者NF实例使用以经由基于服务的接口(SBI)与第一NF实例通信。
6.根据上述权利要求中任一项所述的方法,包括:
在所述NRF处:
从消费者NF实例接收用于执行与第一NF实例相关联的动作的服务请求消息,其中所述服务请求消息包括用于第一NF实例的ID;
使用所述ID和所述数据储存库来确定所述服务请求消息是有效的或无效的;
响应于确定所述服务请求消息是无效的,执行无效消息动作;以及
响应于确定所述服务请求消息是有效的,执行有效消息动作。
7.根据权利要求6所述的方法,其中所述无效消息动作包括丢弃所述服务请求消息或通知网络运营商或管理系统。
8.根据权利要求6或权利要求7所述的方法,其中所述服务请求消息包括NF注册请求消息、NF更新请求消息或NF注销请求消息。
9.根据权利要求8所述的方法,其中确定所述服务请求消息是无效的包括确定所述服务请求消息中的所述ID是与第一NF实例相关联的所述至少一个伪NF实例ID之一。
10.根据上述权利要求中任一项所述的方法,其中第一NF包括生产者网络功能(NF)、策略控制功能(PCF)、绑定支持功能(BSF)、服务通信代理(SCP)、安全边缘保护代理(SEPP)、网络切片选择功能(NSSF)、网络暴露功能(NEF)、统一数据存储库(UDR)或第五代(5G)核心NF。
11.一种用于在通信网络中隐藏网络功能(NF)实例标识符(ID)的系统,所述系统包括:
NF存储库功能(NRF),包括:
至少一个处理器;以及
安全模块,由所述至少一个处理器实现以用于:
从第一NF接收用于注册第一NF的第一NF实例的NF注册请求消息,其中所述NF注册请求消息包括用于标识第一NF实例的第一NF实例标识符(ID);
在数据储存库中存储第一NF实例ID和至少一个伪NF实例ID之间的映射,其中所述数据储存库包括NF实例ID和相关伪NF实例ID之间的映射;以及
生成并向第一NF发送包括用于标识第一NF实例的所述至少一个伪NF实例ID的NF注册响应消息。
12.根据权利要求11所述的系统,包括第一NF,其中第一NF被配置为:
从所述NRF接收包括所述至少一个伪NF实例ID的所述NF注册响应消息,其中所述至少一个伪NF实例ID中的每一个伪NF实例ID都不同于第一NF实例ID;
存储与第一NF实例ID相关联的所述至少一个伪NF实例ID;以及
在发送请求或响应消息时,使用所述至少一个伪NF实例ID,用于标识发送者。
13.根据权利要求11或权利要求12所述的系统,其中所述NRF被配置为:
从消费者NF实例接收包括至少一个查询参数的NF发现请求消息;
使用所述至少一个查询参数和所述数据储存库来选择包括与第一NF实例相关联的第一伪NF实例ID的NF简档;以及
向所述消费者NF实例发送包括第一伪NF实例ID的NF简档。
14.根据权利要求13所述的系统,其中第一伪NF实例ID能够由所述消费者NF实例使用以请求与第一NF实例相关联的访问令牌或NF订阅。
15.根据权利要求13或权利要求14所述的系统,其中第一伪NF实例ID能够由所述消费者NF实例使用以经由基于服务的接口(SBI)与第一NF实例通信。
16.根据权利要求11到15中的任一项所述的系统,其中所述NRF被配置为:
从消费者NF实例接收用于执行与第一NF实例相关联的动作的服务请求消息,其中所述服务请求消息包括用于第一NF实例的ID;
使用所述ID和所述数据储存库来确定所述服务请求消息是有效的或无效的;
响应于确定所述服务请求消息是无效的,执行无效消息动作;以及
响应于确定所述服务请求消息是有效的,执行有效消息动作。
17.根据权利要求16所述的系统,其中所述无效消息动作包括丢弃所述服务请求消息或通知网络运营商或管理系统。
18.根据权利要求16或权利要求17所述的系统,其中所述服务请求消息包括NF注册请求消息、NF更新请求消息或NF注销请求消息,并且其中确定所述服务请求消息是无效的包括确定所述服务请求消息中的ID是与第一NF实例相关联的所述至少一个伪NF实例ID之一。
19.根据权利要求11到18中的任一项所述的系统,其中第一NF包括生产者网络功能(NF)、策略控制功能(PCF)、绑定支持功能(BSF)、服务通信代理(SCP)、安全边缘保护代理(SEPP)、网络切片选择功能(NSSF)、网络暴露功能(NEF)、统一数据存储库(UDR)或第五代(5G)核心NF。
20.一种在其上存储可执行指令的非暂态计算机可读介质,所述可执行指令当由计算机的至少一个处理器执行时,导致所述计算机执行包括以下的步骤:
在包括至少一个处理器的NF存储库功能(NRF)处:
从第一NF接收用于注册第一NF的第一NF实例的NF注册请求消息,其中所述NF注册请求消息包括用于标识第一NF实例的第一NF实例标识符(ID);
在数据储存库中存储第一NF实例ID和至少一个伪NF实例ID之间的映射,其中所述数据储存库包括NF实例ID和相关伪NF实例ID之间的映射;以及
生成并向第一NF发送包括用于标识第一NF实例的所述至少一个伪NF实例ID的NF注册响应消息。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US17/314,300 US11570689B2 (en) | 2021-05-07 | 2021-05-07 | Methods, systems, and computer readable media for hiding network function instance identifiers |
US17/314,300 | 2021-05-07 | ||
PCT/US2022/023894 WO2022235373A1 (en) | 2021-05-07 | 2022-04-07 | Methods, systems, and computer readable media for hiding network function instance identifiers |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117280656A true CN117280656A (zh) | 2023-12-22 |
Family
ID=81454778
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202280033414.7A Pending CN117280656A (zh) | 2021-05-07 | 2022-04-07 | 用于隐藏网络功能实例标识符的方法、系统和计算机可读介质 |
Country Status (5)
Country | Link |
---|---|
US (1) | US11570689B2 (zh) |
EP (1) | EP4335080A1 (zh) |
JP (1) | JP2024517875A (zh) |
CN (1) | CN117280656A (zh) |
WO (1) | WO2022235373A1 (zh) |
Families Citing this family (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP4000287B1 (en) * | 2019-07-18 | 2023-10-18 | Nokia Solutions and Networks Oy | Mechanism to facilitate signaling traffic |
US11888894B2 (en) | 2021-04-21 | 2024-01-30 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks |
US11627467B2 (en) | 2021-05-05 | 2023-04-11 | Oracle International Corporation | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces |
US11695563B2 (en) | 2021-05-07 | 2023-07-04 | Oracle International Corporation | Methods, systems, and computer readable media for single-use authentication messages |
US11638155B2 (en) | 2021-05-07 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks |
Family Cites Families (56)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US1872857A (en) | 1931-04-20 | 1932-08-23 | Peerless Handcuff Company | Police officer's shackle |
US5758257A (en) | 1994-11-29 | 1998-05-26 | Herz; Frederick | System and method for scheduling broadcast of and access to video programs and other data using customer profiles |
US6460036B1 (en) | 1994-11-29 | 2002-10-01 | Pinpoint Incorporated | System and method for providing customized electronic newspapers and target advertisements |
US6185612B1 (en) | 1998-10-29 | 2001-02-06 | Novell, Inc. | Secure distribution and use of weighted network topology information |
US6298383B1 (en) | 1999-01-04 | 2001-10-02 | Cisco Technology, Inc. | Integration of authentication authorization and accounting service and proxy service |
CN1303776C (zh) | 2000-10-10 | 2007-03-07 | 诺基亚有限公司 | 用于隐藏网络单元名称和地址的技术 |
EP1873980B1 (en) | 2002-01-21 | 2015-07-22 | SISVEL International S.A. | Interrogating network element for an IMS data network |
PL372459A1 (en) | 2002-03-27 | 2005-07-25 | Siemens Aktiengesellschaft | Aaa server system for efficient access control and address assignment |
US7283539B2 (en) | 2002-06-10 | 2007-10-16 | Airwide Solutions Inc. | Method and system for managing message-based applications and applications providers in a communications network |
US7266837B2 (en) | 2002-11-22 | 2007-09-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Authentication, authorization, and accounting (AAA) server |
KR100651716B1 (ko) | 2004-10-11 | 2006-12-01 | 한국전자통신연구원 | Diameter 기반 프로토콜에서 모바일 네트워크의부트스트랩핑 방법 및 그 시스템 |
WO2006102850A1 (fr) | 2005-03-30 | 2006-10-05 | Huawei Technologies Co., Ltd. | Procede et systeme de mise en oeuvre d'une commande de chemin |
US20060259759A1 (en) | 2005-05-16 | 2006-11-16 | Fabio Maino | Method and apparatus for securely extending a protected network through secure intermediation of AAA information |
US20070019616A1 (en) | 2005-06-29 | 2007-01-25 | Olli Rantapuska | Group formation using mobile computing devices |
CN1964316A (zh) | 2005-11-10 | 2007-05-16 | 华为技术有限公司 | 在分组网络中实现网络屏蔽的方法及系统 |
DE602006007319D1 (de) | 2006-04-20 | 2009-07-30 | Ntt Docomo Inc | Verfahren und Vorrichtung zur Datennetzwerktopologieverheimlichung |
US8843657B2 (en) | 2006-04-21 | 2014-09-23 | Cisco Technology, Inc. | Using multiple tunnels by in-site nodes for securely accessing a wide area network from within a multihomed site |
US20080010669A1 (en) | 2006-04-28 | 2008-01-10 | Nokia Corporation | Hiding in Sh interface |
US8208930B2 (en) | 2006-06-21 | 2012-06-26 | Hewlett-Packard Development Company, L. P. | Message routing in a telecommunication system |
US20090313379A1 (en) | 2006-07-03 | 2009-12-17 | Telefonaktiebolaget L M Ericsson (Publ) | Topology Hiding Of Mobile Agents |
US8218490B2 (en) | 2006-08-16 | 2012-07-10 | Telefonaktiebolaget L M Ericsson (Publ) | GGSN proxy for one tunnel solution |
US8929360B2 (en) | 2006-12-07 | 2015-01-06 | Cisco Technology, Inc. | Systems, methods, media, and means for hiding network topology |
CN101247321B (zh) | 2007-02-14 | 2012-07-04 | 华为技术有限公司 | 在基于直径协议的网络中进行路由诊断的方法、装置及系统 |
US8155128B2 (en) | 2007-09-26 | 2012-04-10 | Alcatel Lucent | Method and apparatus for establishing and managing diameter associations |
US8218459B1 (en) | 2007-12-20 | 2012-07-10 | Genbrand US LLC | Topology hiding of a network for an administrative interface between networks |
US20090165017A1 (en) | 2007-12-24 | 2009-06-25 | Yahoo! Inc. | Stateless proportionally consistent addressing |
ES2553191T3 (es) | 2007-12-27 | 2015-12-04 | Zte Corporation | Procedimiento de selección de una función de políticas y reglas de facturación |
US9749404B2 (en) | 2008-04-17 | 2017-08-29 | Radware, Ltd. | Method and system for load balancing over a cluster of authentication, authorization and accounting (AAA) servers |
US8249551B2 (en) | 2008-06-05 | 2012-08-21 | Bridgewater Systems Corp. | Long-term evolution (LTE) policy control and charging rules function (PCRF) selection |
US8615237B2 (en) | 2010-01-04 | 2013-12-24 | Tekelec, Inc. | Methods, systems, and computer readable media for policy and charging rules function (PCRF) node selection |
WO2011100166A2 (en) | 2010-02-11 | 2011-08-18 | Tekelec | Methods, systems, and computer readable media for dynamic subscriber profile adaptation |
IN2012CN10349A (zh) | 2010-06-06 | 2015-07-31 | Tekelec Inc | |
US8880726B2 (en) | 2010-12-16 | 2014-11-04 | Openet Telecom Ltd. | Methods, systems and devices for dynamic context-based routing using a topology tree |
US8515392B2 (en) | 2010-12-16 | 2013-08-20 | Verizon Patent And Licensing Inc. | Self-subscription and self-reactivation to a network |
US8824370B2 (en) | 2010-12-16 | 2014-09-02 | Openet Telecom Ltd. | Methods, systems and devices for dynamic context-based routing |
AU2011355322B2 (en) | 2011-01-14 | 2016-11-03 | Nokia Solutions And Networks Oy | External authentication support over an untrusted network |
US9521145B2 (en) | 2011-10-17 | 2016-12-13 | Mitel Mobility Inc. | Methods and apparatuses to provide secure communication between an untrusted wireless access network and a trusted controlled network |
US9253163B2 (en) | 2011-12-12 | 2016-02-02 | Tekelec, Inc. | Methods, systems, and computer readable media for encrypting diameter identification information in a communication network |
US8806580B2 (en) | 2012-01-18 | 2014-08-12 | Juniper Networks, Inc. | Clustered AAA redundancy support within a radius server |
BR112017007974B1 (pt) | 2014-12-08 | 2022-12-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Método de processar uma mensagem para uma sessão de assinante, mídia legível por computador, elemento de rede, sistema de gerenciamento de mobilidade, e, sistema de carga |
US9967148B2 (en) | 2015-07-09 | 2018-05-08 | Oracle International Corporation | Methods, systems, and computer readable media for selective diameter topology hiding |
US10033736B2 (en) | 2016-01-21 | 2018-07-24 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding |
US10547613B1 (en) | 2017-05-17 | 2020-01-28 | Amazon Technologies, Inc. | Simplified association of devices with a network using unique codes on the devices and side channel communication |
WO2019068832A1 (en) | 2017-10-04 | 2019-04-11 | Telefonaktiebolaget Lm Ericsson (Publ) | IDENTIFIERS IN A WIRELESS COMMUNICATION SYSTEM |
US20210385286A1 (en) * | 2018-01-24 | 2021-12-09 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for improving service discovery |
US11038923B2 (en) | 2018-02-16 | 2021-06-15 | Nokia Technologies Oy | Security management in communication systems with security-based architecture using application layer security |
US11050788B2 (en) | 2018-07-30 | 2021-06-29 | Cisco Technology, Inc. | SEPP registration, discovery and inter-PLMN connectivity policies |
US20220124468A1 (en) * | 2018-11-15 | 2022-04-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Service instance indication for resource creation |
US11032084B2 (en) | 2018-12-07 | 2021-06-08 | Arris Enterprises Llc | Generic code signing client with downloadable modules |
CN111865598B (zh) * | 2019-04-28 | 2022-05-10 | 华为技术有限公司 | 网络功能服务的身份校验方法及相关装置 |
US10834571B1 (en) | 2019-08-02 | 2020-11-10 | Syniverse Technologies, Llc | Steering of roaming for 5G core roaming in an internet packet exchange network |
US11310151B2 (en) * | 2019-09-16 | 2022-04-19 | Verizon Patent And Licensing Inc. | System and method for managing lookups for network repository functions |
CN111163473B (zh) | 2020-01-02 | 2020-11-13 | 广州爱浦路网络技术有限公司 | 一种基于nrf权限等级的5g核心网数据防护方法 |
US11509476B2 (en) | 2020-02-12 | 2022-11-22 | Verizon Patent And Licensing Inc. | System and method for enabling secure service-based communications via 5G proxies |
US11757635B2 (en) | 2020-03-13 | 2023-09-12 | Mavenir Networks, Inc. | Client authentication and access token ownership validation |
WO2022043130A1 (en) | 2020-08-24 | 2022-03-03 | Telefonaktiebolaget Lm Ericsson (Publ) | Integrity verification in a wireless communication network |
-
2021
- 2021-05-07 US US17/314,300 patent/US11570689B2/en active Active
-
2022
- 2022-04-07 JP JP2023568350A patent/JP2024517875A/ja active Pending
- 2022-04-07 CN CN202280033414.7A patent/CN117280656A/zh active Pending
- 2022-04-07 WO PCT/US2022/023894 patent/WO2022235373A1/en active Application Filing
- 2022-04-07 EP EP22720537.4A patent/EP4335080A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
JP2024517875A (ja) | 2024-04-23 |
EP4335080A1 (en) | 2024-03-13 |
US11570689B2 (en) | 2023-01-31 |
WO2022235373A1 (en) | 2022-11-10 |
US20220361085A1 (en) | 2022-11-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11818570B2 (en) | Methods, systems, and computer readable media for message validation in fifth generation (5G) communications networks | |
US11943616B2 (en) | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting | |
US11825310B2 (en) | Methods, systems, and computer readable media for mitigating 5G roaming spoofing attacks | |
US11570689B2 (en) | Methods, systems, and computer readable media for hiding network function instance identifiers | |
CN115699840B (zh) | 用于使用安全边缘保护代理(sepp)来减轻5g漫游安全攻击的方法、系统和计算机可读介质 | |
WO2022098405A1 (en) | Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting | |
US11516671B2 (en) | Methods, systems, and computer readable media for mitigating location tracking and denial of service (DoS) attacks that utilize access and mobility management function (AMF) location service | |
US11627467B2 (en) | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces | |
US11888894B2 (en) | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks | |
US11695563B2 (en) | Methods, systems, and computer readable media for single-use authentication messages | |
US20230171099A1 (en) | Methods, systems, and computer readable media for sharing key identification and public certificate data for access token verification | |
CN117859312A (zh) | 通过验证过载控制信息来降低成功DoS攻击的可能性 | |
WO2024107378A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
CN112136301A (zh) | 通信系统中用于安全性管理的错误处理框架 | |
US12015923B2 (en) | Methods, systems, and computer readable media for mitigating effects of access token misuse | |
US11758368B2 (en) | Methods, systems, and computer readable media for supporting mobile originated data multicasting in a communications network | |
US11974134B2 (en) | Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network | |
CN116491140A (zh) | 用于入口消息速率限制的方法、系统和计算机可读介质 | |
CN116458121A (zh) | 用于减轻5g漫游假冒攻击的方法、系统和计算机可读介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |