CN117652125A - 分布式网络边缘安全架构 - Google Patents
分布式网络边缘安全架构 Download PDFInfo
- Publication number
- CN117652125A CN117652125A CN202280050686.8A CN202280050686A CN117652125A CN 117652125 A CN117652125 A CN 117652125A CN 202280050686 A CN202280050686 A CN 202280050686A CN 117652125 A CN117652125 A CN 117652125A
- Authority
- CN
- China
- Prior art keywords
- plmn
- sepp
- node
- secure
- interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 107
- 238000012384 transportation and delivery Methods 0.000 claims abstract description 10
- 230000006870 function Effects 0.000 claims description 34
- 230000011664 signaling Effects 0.000 claims description 26
- 238000004590 computer program Methods 0.000 claims description 11
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 claims description 3
- 102100023843 Selenoprotein P Human genes 0.000 claims description 3
- 229940119265 sepp Drugs 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 17
- 230000004044 response Effects 0.000 description 10
- 238000010586 diagram Methods 0.000 description 9
- 230000003287 optical effect Effects 0.000 description 5
- 238000007726 management method Methods 0.000 description 3
- 238000009795 derivation Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000003370 grooming effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000002243 precursor Substances 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 210000003813 thumb Anatomy 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/606—Protecting data by securing the transmission between two devices or processes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/51—Discovery or management thereof, e.g. service location protocol [SLP] or web services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/326—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
- H04W12/037—Protecting confidentiality, e.g. by encryption of the control plane, e.g. signalling traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/18—Service support devices; Network management devices
- H04W88/182—Network node acting on behalf of an other network entity, e.g. proxy
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种由公共陆地移动网络PLMN中的安全中继节点实现的方法,其中所述方法包括下列步骤:从所述PLMN内的网络功能NF来接收将被提供到另一PLMN的控制分组,将所述控制分组中继到远程安全节点以用于所述控制分组到所述另一PLMN的传递,其中所述远程安全节点处于所述PLMN外部并且处于所述另一PLMN外部。
Description
背景技术
本公开一般涉及无线通信网络领域。现代无线通信网络与其他网络高度互连。这些网络中的许多网络相互之间具有关系,使得服务的连续性能够被提供到在那些网络之间漫游的用户设备(UE)。每个其他网络是潜在破坏源,例如以恶意软件、数据抓取、欺骗、拒绝服务攻击、凭证盗窃和/或其他安全风险的形式。为了抑制这类安全威胁,安全功能通常被放置在网络的边缘。值得注意,随着相邻网络的数量增加,网络边缘处的安全功能上的计算负担也增加。
发明内容
本公开的示例一般针对一种分布式安全架构,所述分布式安全架构使用不同节点来安全地保护网络边缘处的控制信令。
本公开的特定示例包括一种由公共陆地移动网络(PLMN)中的安全中继节点实现的方法。所述方法包括从PMLN内的网络功能NF接收将被提供到另一PLMN的控制分组,并且将所述控制分组中继到远程安全节点,以用于所述控制分组到所述另一PLMN的传递。所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部。所述方法进一步包括向所述PLMN内的目的地中继经由所述远程安全节点从所述另一PLMN所接收的入站控制平面业务。
在一些示例中,所述方法包括优选地基于标准化N32接口来建立安全中继节点与远程安全中继节点之间的安全接口的步骤,以及其中中继步骤包括通过所建立的安全接口来中继控制分组。
在一些示例中,中继入站和出站数据平面业务包括使用传输层安全(TLS)进行中继。
在一些示例中,所述方法在中继控制分组的步骤之前进一步包括至少加密控制分组中的信息元素IE的步骤。
加密步骤可使用经由远程安全节点所获得的所述另一PLMN的对等安全节点的加密密钥而被执行。因此,对等安全节点可被所述另一PLMN所包含。
所述方法可包括从远程安全节点来获得对等安全节点的加密密钥的步骤。
在某个示例中,所述方法进一步包括与远程安全节点交换与安全接口关联的控制信令。在一些这类实施例中,安全接口是N32-f接口,以及交换控制信令包括经由N32 c接口来交换控制信令以设立N32-f接口。在其他这类实施例中,经由安全接口来中继出站和入站控制平面业务包括经由TLS连接来中继出站和入站控制平面业务,以及交换控制信令包括经由所述TLS连接来交换控制信令。
在一些示例中,所述方法进一步包括通过向PLMN的网络存储库功能(NRF)注册为安全边缘保护代理(SEPP)来启用PLMN的至少一个网络功能对安全中继节点的发现。
在一些示例中,所述方法进一步包括向所述另一PLMN隐藏所述PLMN的拓扑。
在一些示例中,所述方法进一步包括使用所述PLMN中的网络功能的伸缩式完全限定域名向所述另一PLMN隐藏所述网络功能的地址。
在一些示例中,所述方法进一步包括与远程安全节点交换安全证书,以及中继入站和出站控制平面业务响应于使用远程安全节点的安全证书来认证远程安全节点而进行。
在一些示例中,所述方法进一步包括使用经由远程安全节点所获得的所述另一PLMN的对等安全节点的加密密钥来加密信息元素(IE)。所述方法进一步包括经由远程安全节点向对等安全节点传送经加密的IE。在一些这类示例中,所述方法进一步包括从远程安全节点来获得对等安全节点的加密密钥。
在一些示例中,远程安全节点被包含在因特网协议交换(IPX)网络中。在一些其他实施例中,远程安全节点被包含在漫游中枢网络中。
其他示例包括一种安全中继节点,所述安全中继节点包括处理电路模块和存储器。所述存储器包括由所述处理电路模块可执行的指令,由此所述安全中继节点配置成从公共陆地移动网络(PLMN)内经由安全接口向远程安全节点中继从所述PLMN内的源所接收的出站控制平面业务,以用于所述出站控制平面业务到另一PLMN的传递。所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部。所述安全中继节点进一步配置成向所述PLMN内的目的地中继经由所述远程安全节点通过安全接口从所述另一PLMN所接收的入站控制平面业务。
在另一示例中,安全中继节点包括处理电路模块和存储器,所述存储器包含由所述处理电路模块可执行的指令,由此所述安全中继节点被配置用于从公共陆地移动网络PLMN内:从所述PLMN内的网络功能NF接收将被提供到另一PLMN的控制分组;将所述控制分组中继到远程安全节点,以用于所述控制分组到所述另一PLMN的传递,所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部。
在一些示例中,所述安全中继节点进一步配置成执行以上描述的方法中的任何方法。
其他示例包括一种包含指令的计算机程序,所述指令当在安全中继节点的处理电路模块上被执行时使所述处理电路模块执行以上描述的方法中的任何方法。
其他实施例包括一种载体,所述载体包含这种计算机程序。所述载体是电子信号、光学信号、无线电信号或计算机可读存储介质中的一个。
仍有的其他示例包括一种由远程安全节点实现的方法。所述方法包括从公共陆地移动网络PLMN中的安全中继节点接收将被提供到另一PLMN的控制分组,并且将所述控制分组中继到所述另一PLMN,其中所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部。
在某个示例中,所述方法包括优选地基于标准化N32接口来建立安全中继节点与远程安全中继节点之间的安全接口的步骤,以及其中接收步骤包括通过所建立的安全接口来接收控制分组。
在一些示例中,中继任何入站和出站控制平面业务包括使用TLS进行中继。
在某个示例中,所述方法包括接收控制分组的步骤,其中至少信息元素IE被加密。
所述加密可使用所述另一PLMN的对等安全节点的加密密钥被执行,使得远程安全节点不能对它进行解密。所述加密密钥可从所述另一PLMN的所述对等安全节点被获得,并且可被提供到远程安全节点。
在一些示例中,所述方法进一步包括与安全中继节点交换与安全接口关联的控制信令。在一些这类实施例中,安全接口是N32-f接口,以及交换控制信令包括经由N32-c接口来交换控制信令以设立N32-f接口。在其他这类实施例中,经由安全接口来中继出站和入站控制平面业务包括经由TLS连接来中继出站和入站控制平面业务,以及交换控制信令包括经由所述TLS连接来交换控制信令。
在一些示例中,所述方法进一步包括在所述PLMN与附加PLMN之间中继另一控制平面业务。所述方法进一步包括将PLMN与所述另一PLMN之间的入站和出站控制平面业务与在所述PLMN与所述附加PLMN之间所中继的所述另一控制平面业务隔离。
在一些示例中,所述方法进一步包括向所述另一PLMN隐藏所述PLMN的拓扑。
在一些示例中,所述方法进一步包括与安全中继节点交换安全证书,以及中继入站和出站控制平面业务响应于使用安全中继节点的安全证书来认证安全中继节点而进行。
在一些示例中,所述方法进一步包括从安全中继节点接收采用所述另一PLMN的对等安全节点的加密密钥所加密的信息元素(IE)。所述方法进一步包括将经加密的IE转发到对等安全节点。在一些这类示例中,所述方法进一步包括采用对等安全节点的安全密钥来加密另一IE,并且将经加密的另一IE连同经加密的IE一起转发到对等安全节点。在一些示例中,所述方法附加地或备选地包括从对等安全节点获得对等安全节点的加密密钥,并且将对等安全节点的加密密钥提供到安全中继节点。
在一些实施例中,远程安全节点被包含在因特网协议交换(IPX)网络中。在一些其他示例中,远程安全节点被包含在漫游中枢网络中。
其他示例包括一种远程安全节点,所述远程安全节点包括处理电路模块和存储器。所述存储器包含由所述处理电路模块可执行的指令,由此安全中继节点配置成向另一PLMN中继经由安全接口从PLMN内的安全中继节点所接收的出站控制平面业务。所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部。所述安全中继节点进一步配置成经由安全接口向所述安全中继节点中继从所述另一PLMN内的源所接收的入站控制平面业务。
在一些示例中,远程安全节点进一步配置成执行以上描述的由远程安全节点实现的方法中的任何方法。
其他示例包括一种包含指令的计算机程序,所述指令当在远程安全节点的处理电路模块上被执行时使所述处理电路模块执行以上描述的远程安全节点方法中的任一种。
其他示例包括一种载体,所述载体包含这种计算机程序。所述载体是电子信号、光学信号、无线电信号或计算机可读存储介质中的一个。
下面针对附图更详细描述其他示例。
附图说明
作为示例并且不受附图所限制来示出本公开的方面,附图中,相似参考标号指示相似元件。一般来说,参考标号的使用应当被看作是指代按照一个或多个实施例的所绘制主题,而对所示元件的的特定实例的论述将对其附加字母标号(例如,一般来说,对公共陆地移动网络(PLMN)10的论述,如与对PLMN的特定实例10a、10b的论述相对)。
图1是示出按照本公开的一个或多个示例、为用户设备(UE)提供对数据网络的访问权的PLMN的示例的示意框图。
图2是示出按照本公开的一个或多个实施例、支持PLMN间通信的示例网络环境的示意框图。
图3A-E是示出按照本公开的特定示例的示例分布式网络边缘安全架构的示意框图。
图4是示出按照本公开的一个或多个示例、在网络之间传输信息的安全方式的示例的示意框图。
图5是示出按照本公开的一个或多个示例、在网络之间安全地传输信息的示例过程的调用流程图。
图6是示出按照本公开的一个或多个示例、由安全中继节点实现的示例方法的流程图。
图7是示出按照本公开的一个或多个示例、由远程安全节点实现的示例方法的流程图。
图8是示出按照本公开的一个或多个示例的示例安全中继节点的示意框图。
图9是示出按照本公开的一个或多个示例的示例远程安全节点的示意框图。
具体实施方式
一般来说,在5G无线通信网络的上下文中提供以下论述。然而本领域的那些技术人员将领会,以下提供的技术和解决方案并不局限于它们对5G网络的适用性。实际上,以下提供的教导中的许多教导也可用于按照其他标准进行操作的无线通信网络中。特别是,以下描述的示例可特别完全适合于(但不局限于)例如5G网络的衍生和/或后继。其他示例附加地或备选地可用于前身第三代合作伙伴项目(3GPP)网络中。
图1示出符合3GPP 5G系统架构的示例无线通信网络。所述无线通信网络包括无线电接入网(RAN)20以及采用基于服务的架构的核心网络30。RAN 20和核心网络30当由相同运营商操作时有时统称为运营商的公共陆地移动网络(PLMN)10。
RAN 20包括一个或多个基站25,所述基站配置成向在PLMN 10的覆盖区域内进行操作的一个或多个UE 100提供无线电接入。基站25可被称为gNodeB(gNB)。核心网络30提供例如RAN 20与一个或多个数据网络(DN)90(诸如因特网)之间的连接。在这个示例中,PLMN10是向DN 90提供本地疏导(breakout)的受访PLMN(VPLMN)。那就是说,在以下将要更详细论述的其他示例中,特定实施例的PLMN 10可转而向归属PLMN(HPLMN)提供归属路由用户平面。
核心网络30包括多个网络功能(NF)。这些NF可处于核心网络30的用户平面33或者控制平面37中。用户平面33(有时被称为数据平面)典型地携带用户数据业务。控制平面37典型地携带信令业务(例如控制分组)。
在这个示例中,用户平面33的NF包括用户平面功能(UPF)35。控制平面37的NF包括接入和移动管理功能(AMF)40、会话管理功能(SMF)45、策略控制功能(PCF)50、统一数据管理(UDM)功能55、统一数据存储库(UDR)功能57、认证服务器功能(AUSF)60、网络数据分析功能(NWDAF)65、网络开放功能(NEF)70、网络存储库功能(NRF)75和网络切片选择功能(NSSF)80。核心网络30的控制平面37还包括应用功能(AF)85和安全边缘保护代理(SEPP)95。
核心网络30的NF包括驻留在一个或多个核心网络节点中的逻辑实体,所述逻辑实体可使用诸如一个或多个处理器、存储器、网络接口或者它们的组合之类的计算硬件被实现。功能可驻留在单个核心网络节点中,或者可被分布在多个核心网络节点之间。NF可使用预定义接口相互通信。所述接口中的一些接口通过网络内的标准化参考点被称呼,而其他接口被简单地命名。
N1是UE 100与AMF 40之间的参考点。N2是RAN 20与AMF 40之间的参考点。N3是RAN20与UPF 35之间的参考点。N4是SMF 45与UPF 35之间的参考点。N6是UPF 35与DN 90之间的参考点。N9是UPF 35之间的参考点。NF中的若干NF开放(expose)按它们命名的以格式Nxxx的基于服务的接口,其中xxx是NF的名称。例如,NEF 70提供Nnef接口,NRF 75提供Nnrf接口,依此类推。
SEPP 95是用于控制平面消息的代理,配置成保护运营商网络的边缘。图2示出UE100的示例,所述UE已经漫游离开其归属PLMN(HPLMN)180,并且当前被附连到VPLMN 190。与图1形成对照,图2示出归属路由情形,其中到DN 90的疏导在HPLMN 190发生。为了解释的清楚性,未示出除了SEPP之外的所涉及的控制平面节点。VPLMN 180和HPLMN 190分别使用受访SEPP(vSEPP)95a和归属SEPP(hSEPP)95b在PLMN 180、190之间的边缘130来提供安全功能。vSEPP 95a和hSEPP 95b通过N32接口相互通信。这些SEPP 95a、95b备选地可基于SEPP95是处于服务消费者侧还是服务提供商侧上而被称呼。服务消费者侧上的SEPP 95可被称为c-SEPP,而服务提供商侧上的SEPP 95可被称为p-SEPP。
可要求给定网络的SEPP 95为运营商与其他网络所具有的众多漫游关系提供安全功能,所述漫游关系例如可能是数百个。支持这种大量漫游关系能够对SEPP 95施加相当大的计算负担并且对PLMN 10施加相当大的管理负担。
为了避免在网络10中具有负担过重的SEPP 95,本公开的实施例将SEPP 95的一些方面委派给网络10外部的提供商。例如,原本可能由SEPP 95执行的某些功能可转而从PLMN10中的安全NF委派给PLMN 10外部的安全NF(例如由因特网协议(IP)交换(IPX)140提供商来操作),如图3A中所示。在图3A的示例中,通常可能由SEPP 95提供的某些功能转而使用分布式SEPP架构被提供,所述分布式SEPP架构包括PLMN 10中的中继SEPP(R-SEPP)150和PLMN10外部的委派SEPP(D-SEPP)160(例如在IPX 140中)。
R-SEPP 150和D-SEPP 160可在它们之间通过一个或多个安全接口来交换信息。在这个方面,R-SEPP 150和D-SEPP 160可将任何适当协议用于确保它们之间的(一个或多个)接口的安全性,包括(但不限于)传输层安全(TLS)。下面将更详细论述根据特定实施例所使用的接口和协议的特定示例。
按照本公开的特定实施例,R-SEPP 150可负责向和/或从D-SEPP 160中继Nf与服务通信代理(SCP)之间的信令。在一些实施例中,R-SEPP可被包括在如3GPP中标准化的信令中(例如通过特定配置或者通过NRF发现)。在至少一些这类实施例中,R-SEPP 150可注册为NRF 75中的SEPP 95,例如使得R-SEPP 150可被一个或多个NF发现。
附加地或备选地,在一些实施例中(以及在其未被委派给D-SEPP 160的程度上),R-SEPP 150可执行拓扑隐藏,提供某些漫游相关安全功能,执行伸缩式完全限定域名(FQDN)处置,和/或为其自己的PLMN 10提供防火墙运行(firewalling)。
对应地,D-SEPP 160与R-SEPP 150进行交互(例如通过接收和转发从R-SEPP 150所接收的消息),并且可处置一些或所有漫游关系和/或到漫游伙伴的N32连接(例如N32互连安全协议(PRINS)和/或传输层安全(TLS)连接)。在完成其作用中,特定实施例的D-SEPP160可支持与多个R-SEPP 150的交互,并且可选择用于传入和/或被转发请求的适当R-SEPP。
D-SEPP 160可支持漫游伙伴的网络,而不管它们是否也已经采用分布式SEPP架构。也就是说,在一些实施例中,这些漫游伙伴中的一个或多个可采用包括R-SEPP 150和D-SEPP的相似分布式SEPP架构。附加地或备选地,这些漫游伙伴中的一个或多个可将常规SEPP 95用于网络边缘处的安全性。
PLMN 10可要求D-SEPP 160使用某些安全协议。例如,PLMN 10可要求在N32-f接口上使用PRINS。附加地或备选地,PLMN 10可要求在N32-f和/或N32-c连接上使用TLS。在这个方面,D-SEPP 160例如因运营商之间的合同协定而能以这种方式被配置。在至少一些这类情形中,D-SEPP 160与其他PLMN中的SEPP 90进行交互,而R-SEPP 150不交互。进一步,在至少一些实施例中,D-SEPP 160执行对于一个或多个漫游伙伴唯一的防火墙运行。
在至少一些实施例中,D-SEPP进一步维持R-SEPP与漫游协定之间的正确绑定,可执行拓扑隐藏(在不是由R-SEPP 150执行的程度上),和/或将不同PLMN 10的业务相互隔离。
特定实施例可包括多于一个D-SEPP 160,如图3B的示例中示出的。图3B示出其中两个PLMN 10a、10b使用分布式SEPP架构相互通信的示例。特别是,PLMN 10a包括R-SEPP150a-c,而PLMN 10b包括R-SEPP 150d-f。
每个R-SEPP 150a-f与对应的D-SEPP 160a-f关联。特别是,R-SEPP 150a使用对应D-SEPP 160a与PLMN 10b进行通信。在这个示例中,PLMN 10b包括R-SEPP 150d,所述R-SEPP150d相似地使用对应的D-SEPP 160b与PLMN 10a进行通信。D-SEPP 160a、160b处于相应IPX140a、140b中,并且使用N32-c接口和N32-f接口相互通信。N32-c接口是控制平面接口,例如用于执行初始握手并且协商将被应用于N32消息转发的参数。N32-f接口是转发接口,例如用于转发不同的PLMN 10a、10b中的NF之间的通信。
R-SEPP 150b使用对应D-SEPP 160c经由其对应的D-SEPP 160d与R-SEPP 150e进行通信。D-SEPP 160c、160d被包含在相同的漫游中枢(RH)170a中,并且使用其自己的N32-c和N32-f接口相互通信。
R-SEPP 150c使用对应D-SEPP 160e经由其对应的D-SEPP 160f与R-SEPP 150f进行通信。D-SEPP 160e、160f被包含在相同的漫游中枢(RH)170b中,并且使用TLS相互通信。
相应地,如果两个D-SEPP 160处于不同部署中(例如,如在IPX 140a、140b中),则它们在一些实施例中可根据标准N32接口进行交互。如果两个D-SEPP 160由单个公司在相同的部署中操作(例如,在其之间没有国家或国际互连,诸如在漫游中枢170a或170b中),则D-SEPP之间的通信可被包含在那个部署内。
此外,PRINS或者TLS能够用于D-SEPP之间。当使用TLS时,可要求每个D-SEPP 160查找正确的目标D-SEPP 160,以便建立TLS连接。例如,可要求D-SEPP 160e发现D-SEPP160f,和/或反之亦然。
图3C示出包括多个PLMN 10c-f之间的通信的实施例的示例。PLMN 10c-f中的每个包括其自己的R-SEPP 150g-j,所述R-SEPP中的每个与相应的D-SEPP 160g-j进行交互。虽然D-SEPP 160g和D-SEPP 160i由相同的IPX 140c提供商操作,但D-SEPP 160g和160i相互隔离。D-SEPP 160j由与D-SEPP 160g、160i的IPX提供商不同的IPX 170d提供商来操作。在这个示例中,PLMN 10c-e中的每个具有与PLMN 10f的漫游关系。
在本公开的上下文中,R-SEPP 150a例如可被称为安全中继节点,以及R-SEPP150d例如可被称为PMLN的对等安全节点。D-SEPP 160a-f可被称为远程安全节点。
除了其他内容,以上示例还示出,特定实施例将SEPP功能性拆分为两个作用,它们之间具有传输解决方案。在一些实施例中,D-SEPP 160可选择R-SEPP 150(例如针对传出请求)。附加地或备选地,在一些实施例中,不同R-SEPP 150k、150l可连接到相同的D-SEPP160k,如图3D中所示。本文中描述的实施例中的一个或多个可用于漫游中枢部署,例如没有负面影响漫游伙伴。特别是,一个或多个实施例将运营商的“基于服务的接口(SBI)域”安全地扩大成包括R-SEPP 150和D-SEPP 160两者,同时允许D-SEPP 160将由不同的公司(例如IPX提供商)来操作。
如以上所提及的,在R-SEPP 150与D-SEPP 160之间所使用的协议在一些特定实施例中可使用TLS连接(通过其中,可以不存在对特定协议的需要,除非例如R-SEPP 150需要向D-SEPP 160提供原本不能从被转发消息所推导的某个附加信息)。虽然特定实施例包括使用多个D-SEPP 160l、160m的R-SEPP 150m(如图3E中所示),但预期在大多数情况下,多D-SEPP 160情形中的任何附加的D-SEPP 160会由R-SEPP 150完全用于冗余目的。如果存在向D-SEPP 160提供不能从被转发消息所推导的附加信息的需要,则在某些实施例中可使用N32。
本公开的实施例可针对本文中描述的各种网络节点来采用多种安全和信任模型。例如,在一些实施例中,D-SEPP 160可属于其对应的R-SEPP 150的PLMN 10的安全域。那就是说,按照其他实施例,D-SEPP 160和R-SEPP 150可像内联网/外联网/因特网信任模型那样被部署,其中D-SEPP 160与外联网装置类似地被处理,以及R-SEPP 150与内联网装置类似地被处理。特别是,在至少一些实施例中,D-SEPP 160仅通过R-SEPP 150来连接到PLMN10,以及不能直接连接到PLMN 10中的任何其他NF。
虽然某些实施例可在R-SEPP 150与D-SEPP 160之间使用标准N32接口,但其他实施例可在R-SEPP 150与D-SEPP 160之间简单地支持TLS。在这个方面,D-SEPP 160基本上表示其邻居之间的PLMN 10,以及R-SEPP 150应当在PLMN 10外部不是可见的。那就是说,其他接口可在R-SEPP 150与D-SEPP 160之间是适合的。例如,N32接口的某个派生可在R-SEPP150与D-SEPP 160之间是适当的(例如精简的或简化的N32接口)。在一些特定实施例中,D-SEPP 160支持到R-SEPP 150的接口以及到其他SEPP 95的标准化N32接口。后者可暗示在N32-f上支持TLS、PRINS或者甚至支持两者。附加地或备选地,远程增值服务(RVAS)可由R-SEPP 150或者D-SEPP 160提供。如果例如全球移动通信系统协会(GSMA)开始支持SEPP 95情形中的RVAS,则这类实施例可以是有利的。特别是,如果RVAS由托管D-SEPP 160的IPX170提供商来提供,则那个D-SEPP 160可以是特别适当的。
如以上所提及的,TLS(和/或其他安全协议)可用来保护R-SEPP 150与D-SEPP 160之间的接口。相应地,R-SEPP 150和D-SEPP 160可能需要交换证书,由此进行相互认证,以及保护接口的保密性和完整性。在一些实施例中,将SEPP 95功能性委派给D-SEPP 160可要求D-SEPP 160代表PLMN 10来保存证书,所述证书用于安全地连接到其他PLMN 10中的SEPP95。
PLMN 10之间的接口的安全性也可能是相当重要的。例如考虑D-SEPP 160在与另一PLMN 10的对等SEPP 95或对等D-SEPP 160的N32-f接口上使用PRINS的实施例。如以上所论述的,在本文中公开的分布式SEPP架构的某些实施例中,D-SEPP 160(以及不是R-SEPP150)可负责维持与其他PLMN 10的漫游关系。相应地,R-SEPP 150可能没有与对等SEPP 95或对等D-SEPP 160的安全连接。在这类实施例中,在没有PLMN 10之间的某种形式的安全性的情况下,从R-SEPP 150发送到D-SEPP 160(例如经由TLS)的信息元素(IE)在它们由D-SEPP 160转发到其他PLMN 10之前完全是明文的。因此,在没有某种形式的安全性的情况下,采用分布式SEPP架构的PLMN 10可能无法保护应当仅由PLMN 10和/或其对等PLMN 10可读的某些IE。
鉴于以上所述,本公开的实施例采取步骤来保护在PLMN 10之间被传输的某些信息(例如IE)。在一些这类实施例中,R-SEPP 150从D-SEPP 160请求对等SEPP 95/D-SEPP160的安全凭证(例如公共加密密钥、数字证书)。安全凭证可例如用来加密一个或多个IE。
对安全凭证的请求经由R-SEPP 150与D-SEPP 160之间的安全接口(例如TLS连接)被执行。相应地,本公开的实施例可要求,当安全凭证请求被接收时,例如在D-SEPP 160已经设立到对等PLMN的SEPP/D-SEPP(下文中被简单地称为对等SEPP)的另一TLS连接之后,D-SEPP 160已经具有所请求的安全凭证。
例如,D-SEPP 160可通过安全接口来执行与所述对等SEPP的凭证交换,并且在请求时经由D-SEPP 160与R-SEPP 150之间的TLS或PRINS连接向R-SEPP 150提供所述对等SEPP的安全凭证。如果安全凭证是数字证书,则R-SEPP 150可验证所述对等SEPP的所述证书,以及响应于所述证书是有效的,R-SEPP 150可从所述证书中提取所述对等SEPP的公共密钥。公共密钥可用来加密一个或多个IE,并且将它们发送到D-SEPP 160(例如使用PRINS、使用JavaScrip对象标记(JSON)万维网加密(JWE)或诸如此类)。D-SEPP 160然后可使用PRINS(或其他安全协议)向对等SEPP发送经加密的IE。
此外,在一些实施例中,D-SEPP可加密一个或多个其他IE(例如,如通过PLMN 10的保护策略所描述)。在这个方面,经加密IE一般被包含在所述保护策略中可以是有利的。然而,特定实施例的D-SEPP 160可将R-SEPP加密的IE放入经由N32-f接口去往其他PLMN的传出消息中。
图4示出其中IE从R-SEPP 150发送到D-SEPP 160的示例。R-SEPP可使用任何适当的机制,通过所述机制,例如通过使用JWE或PASETO加密所述IE来保护所述IE。由D-SEPP160接收的IE然后经由N32-f接口(即,以加密形式)从D-SEPP 160发送到对等SEPP 120。以这种方式,由R-SEPP 150经由D-SEPP 160发送到对等SEPP 120的IE被保护。在一些实施例中,IE也可由对等SEPP 120发送回D-SEPP 160。在这类实施例中,D-SEPP 160可对IE进行解密,并且将它们发送到R-SEPP 150。
虽然这个示例中的D-SEPP使用PRINS来支持到对等SEPP 120的N32-f接口,但D-SEPP 160附加地或备选地可支持到对等SEPP 120和/或R-SEPP 150的一个或多个TLS连接。特别是,D-SEPP 160可支持到对等SEPP 120的N32-c接口,所述N32-c接口可用来设立N32-f接口。在一些实施例中,来自D-SEPP 160的接口中的一个或多个经过HTTP代理195。附加地或备选地,来自D-SEPP 160的接口中的一个或多个基于到HTTP代理195的连接,并且HTTP代理195具有到对等SEPP 120的对应的安全连接。
图5示出其中对等SEPP 120的证书和/或公共密钥由R-SEPP 150从D-SEPP 160来取得的示例调用流程。在这个示例中,R-SEPP 150和D-SEPP 160均能够加密将被发送到对等SEPP 120的IE。
按照图5的示例,R-SEPP 150例如从R-SEPP 150的PLMN 10中的节点或NF来接收请求(步骤510)。这个请求例如可以是对由PLMN 10外部的实体提供的服务的服务请求。响应于所述请求,R-SEPP 150请求D-SEPP 160提供对等SEPP 120的安全凭证(例如证书和/或公共密钥)(步骤520)。D-SEPP 160(在一些实施例中)可响应于已经接收对安全凭证的请求而建立到对等SEPP 120的TLS连接(步骤530)。例如,D-SEPP 160可建立到对等SEPP 120的TLS连接,以便获得所请求的安全凭证,以设立安全信道,以后通过所述安全信道来转发服务请求。备选地,D-SEPP 160可能已经具有到对等SEPP 120的TLS连接,在此情况下,新的TLS连接可以不需要被建立。
D-SEPP 160向R-SEPP 150提供所请求的安全凭证(步骤540),以及R-SEPP 150如以上论述使用安全凭证来加密一个或多个IE(步骤550)。R-SEPP 150将服务请求连同经加密的IE一起发送到D-SEPP 160(步骤560)。
响应于接收具有经加密的IE的服务请求,D-SEPP 160在一些实施例中可使用对等SEPP 120的安全凭证来加密一个或多个附加IE(步骤570)。D-SEPP 160将具有经加密的IE(以及附加的经加密IE,若有的话)的请求发送到对等SEPP 120(步骤580)。
响应于接收具有经加密IE的请求,对等SEPP 120对IE(以及附加IE,若有的话)进行解密(步骤590),并且将服务请求发送到其目的地,而没有IE被包括。因此,一个或多个IE以安全的方式被提供到对等SEPP。应当注意,一旦D-SEPP 160和R-SEPP 150已经获得对等SEPP 120的安全凭证,它们就各自可保留那个安全凭证以供将来使用。例如,响应于到达R-SEPP 150的后一请求,可省略步骤520、530和540。
鉴于以上所述的所有内容,特定实施例可将标准化SEPP 95拆分为两个作用,它们之间具有安全传输解决方案,以及扩展运营商的SBI域,使得D-SEPP 160被准许由另一公司来操作,而无需D-SEPP部署对其他运营商的可见性。在一些这类实施例中,处置所有漫游关系的需要可被委派给D-SEPP 160,而R-SEPP 150(连同D-SEPP 160一起)保护运营商边界。特别是,R-SEPP 150可以仅允许来自已知D-SEPP 160的业务。
相应地,本公开的实施例包括一种由PLMN 10a-f中的安全中继节点(例如R-SEPP150)实现的方法200,如图6中所示出。方法200包括经由安全接口向远程安全节点(例如D-SEPP 160a-m)中继从PLMN 10a-f内的源所接收的出站控制平面业务,以用于所述出站控制平面业务到另一PLMN 10a-f的传递(框210)。远程安全节点处于所述PLMN 10a-f和所述另一PLMN 10a-f两者的外部。方法200进一步包括向所述PLMN 10a-f内的目的地中继通过安全接口经由远程安全节点从所述另一PLMN 10a-f所接收的入站控制平面业务(框220)。
本公开的其他实施例包括一种由远程安全节点(例如D-SEPP 160)实现的方法300,如图7中所示出。方法300包括向另一PLMN 10a-f中继经由安全接口从PLMN 10a-f内的安全中继节点(例如R-SEPP 150)所接收的出站控制平面业务(框310)。远程安全节点处于所述PLMN 10a-f和所述另一PLMN 10a-f两者的外部。方法300进一步包括经由安全接口向所述安全中继节点中继从所述另一PLMN 10a-f内的源所接收的入站控制平面业务(框320)。
本公开的仍有的其他实施例包括分别按照图8和图9中示出的硬件所实现的安全中继节点400和远程安全节点500。图8和图9的示例硬件各自包括处理电路模块910a和910b、存储器电路模块920a和920b以及接口电路模块930a和930b。在各个相应节点中,处理电路模块910a、910b例如经由一个或多个总线被通信地耦合到存储器电路模块920a、920b和接口电路模块930a、930b。处理电路模块910a、910b可包括一个或多个微处理器、微控制器、硬件电路、分立逻辑电路、硬件寄存器、数字信号处理器(DSP)、现场可编程门阵列(FPGA)、专用集成电路(ASIC)或者它们的组合。例如,处理电路模块910a、910b可以是可编程硬件,所述可编程硬件能够执行例如作为机器可读计算机程序被存储在存储器电路模块920a、920b中的软件指令960a、960b。各个实施例的存储器电路模块920a、920b可完全或者以任何组合来包括本领域已知的或者可被开发的任何非暂态机器可读介质(无论是易失性还是非易失性的),包括但不限于固态介质(例如SRAM、DRAM、DDRAM、ROM、PROM、EPROM、闪速存储器、固态驱动器等)、可移除存储装置(例如安全数字(SD)卡、miniSD卡、microSD卡、存储棒、thumb驱动器、USB闪速驱动器、ROM卡盒(cartridge)、通用媒体盘)、固定驱动器(例如磁硬盘驱动器)或诸如此类。
接口电路模块930a、930b可以是控制器中枢,所述控制器中枢配置成控制其相应节点400、500的输入和输出(I/O)数据路径。这类I/O数据路径可包括用于通过通信网络(例如,PLMN 10、IPX 140、漫游中枢170)来交换信号的数据路径。例如,接口电路模块930a、930b可包括收发器,所述收发器配置成通过蜂窝网络、以太网网络和/或光网络来发送和接收通信信号。
接口电路模块930a、930b可被实现为单一的物理部件,或者被实现为被毗连或单独布置的多个物理部件,所述物理部件中的任何物理部件可被通信地耦合到任何其他物理部件,或者可经由其相应节点400、500的处理电路模块910a、910b与任何其他物理部件进行通信。例如,接口电路模块930a、930b可包括输出电路模块(例如,传送器电路模块,配置成通过通信网络来发送通信信号)和输入电路模块(例如,接收器电路模块,配置成通过通信网络来接收通信信号)。
按照图8中示出的硬件的实施例,安全中继节点400的处理电路模块910a配置成从所述PLMN 10a-f内经由安全接口向远程安全节点500中继从所述PLMN 10a-f内的源所接收的出站控制平面业务,以用于所述出站控制平面业务到另一PLMN 10a-f的传递。远程安全节点500处于所述PLMN 10a-f和所述另一PLMN 10a-f两者的外部。处理电路模块910a进一步配置成向所述PLMN 10a-f内的目的地中继经由远程安全节点500通过安全接口从所述另一PLMN 10a-f所接收的入站控制平面业务。
按照图9中示出的硬件的实施例,远程安全节点500的处理电路模块910b配置成向另一PLMN 10a-f中继经由安全接口从PLMN 10a-f内的安全中继节点400所接收的出站控制平面业务。远程安全节点500处于所述PLMN 10a-f和所述另一PLMN 10a-f两者的外部。处理电路模块910b进一步配置成经由安全接口向安全中继节点400中继从所述另一PLMN 10a-f内的源所接收的入站控制平面业务。
本发明当然可通过不同于本文具体提出的其他方式来执行,而不背离本发明的本质特性。提出的实施例在所有方面将被理解为说明性而不是限制性的,并且落入本文中描述的实施例的含意和等效范围之内的所有改变旨在被包含。
条款
1.一种由公共陆地移动网络(PLMN)中的安全中继节点实现的方法,所述方法包括:
经由安全接口向远程安全节点中继从所述PLMN内的源所接收的出站控制平面业务,以用于所述出站控制平面业务到另一PLMN的传递,所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部;
向所述PLMN内的目的地中继经由所述远程安全节点通过所述安全接口从所述另一PLMN所接收的入站控制平面业务。
2.实施例1的方法,其中,所述安全接口基于标准化的N32接口。
3.实施例1-2中的任一个的方法,其中,中继所述入站和出站数据平面业务包括使用传输层安全(TLS)进行中继。
4.实施例1-3中的任一个的方法,进一步包括与所述远程安全节点交换与所述安全接口关联的控制信令。
5.实施例4的方法,其中:
所述安全接口是N32-f接口;以及
交换所述控制信令包括经由N32-c接口来交换所述控制信令,以设立所述N32-f接口。
6.实施例4的方法,其中:
经由所述安全接口来中继所述出站和入站控制平面业务包括经由TLS连接来中继所述出站和入站控制平面业务;以及
交换所述控制信令包括经由所述TLS连接来交换所述控制信令。
7.实施例1-6中的任一个的方法,进一步包括通过向所述PLMN的网络存储库功能(NRF)注册为安全边缘保护代理(SEPP)来启用所述PLMN的至少一个网络功能对所述安全中继节点的发现。
8.实施例1-7中的任一个的方法,进一步包括向所述另一PLMN隐藏所述PLMN的拓扑。
9.实施例1-8中的任一个的方法,进一步包括使用所述PLMN中的网络功能的伸缩式完全限定域名向所述另一PLMN隐藏所述网络功能的地址。
10.实施例1-9中的任一个的方法,进一步包括与所述远程安全节点交换安全证书,其中中继所述入站和出站控制平面业务响应于使用所述远程安全节点的安全证书来认证所述远程安全节点而进行。
11.实施例1-10中的任一个的方法,进一步包括:
使用经由所述远程安全节点所获得的所述另一PLMN的对等安全节点的加密密钥来加密信息元素(IE);以及
经由所述远程安全节点向所述对等安全节点传送经加密的IE。
12.实施例11的方法,进一步包括从所述远程安全节点来获得所述对等安全节点的所述加密密钥。
13.实施例1-12中的任一个的方法,其中,所述远程安全节点被包含在因特网协议交换(IPX)网络中。
14.实施例1-12中的任一个的方法,其中,所述远程安全节点被包含在漫游中枢网络中。
15.一种安全中继节点,包括:
处理电路模块和存储器,所述存储器包含由所述处理电路模块可执行的指令,由此所述安全中继节点配置成从公共陆地移动网络(PLMN)内:
经由安全接口向远程安全节点中继从所述PLMN内的源所接收的出站控制平面业务,以用于所述出站控制平面业务到另一PLMN的传递,所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部;
向所述PLMN内的目的地中继经由所述远程安全节点通过所述安全接口从所述另一PLMN所接收的入站控制平面业务。
16.前一实施例的安全中继节点,进一步配置成执行实施例2-14中的任一个的方法。
17.一种包含指令的计算机程序,所述指令在安全中继节点的处理电路模块上被执行时使所述处理电路模块执行按照实施例1-14中的任一个的方法。
18.一种包含前一实施例的计算机程序的载体,其中,所述载体是电子信号、光学信号、无线电信号或计算机可读存储介质中的一个。
19.一种由远程安全节点实现的方法,所述方法包括:
向另一公共陆地移动网络(PLMN)中继经由安全接口从PLMN内的安全中继节点所接收的出站控制平面业务,所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部;
经由安全接口向所述安全中继节点中继从所述另一PLMN内的源所接收的入站控制平面业务。
20.实施例19的方法,其中,所述安全接口基于标准化的N32接口。
21.实施例19-20中的任一个的方法,其中,中继所述入站和出站控制平面业务包括使用传输层安全(TLS)进行中继。
22.实施例19-21中的任一个的方法,进一步包括与所述安全中继节点交换与所述安全接口关联的控制信令。
23.实施例22的方法,其中:
所述安全接口是N32-f接口;以及
交换所述控制信令包括经由N32-c接口来交换所述控制信令,以设立所述N32-f接口。
24.实施例22的方法,其中:
经由所述安全接口来中继所述出站和入站控制平面业务包括经由TLS连接来中继所述出站和入站控制平面业务;以及
交换所述控制信令包括经由所述TLS连接来交换所述控制信令。
25.实施例19-24中的任一个的方法,进一步包括:
在所述PLMN与附加PLMN之间中继另一控制平面业务;以及
将PLMN与所述另一PLMN之间的所述入站和出站控制平面业务与在所述PLMN与所述附加PLMN之间所中继的所述另一控制平面业务隔离。
26.实施例19-25中的任一个的方法,进一步包括向所述另一PLMN隐藏所述PLMN的拓扑。
27.实施例19-26中的任一个的方法,进一步包括与所述安全中继节点交换安全证书,其中中继所述入站和出站控制平面业务响应于使用所述安全中继节点的安全证书来认证所述安全中继节点而进行。
28.实施例19-27中的任一个的方法,进一步包括:
从所述安全中继节点接收采用所述另一PLMN的对等安全节点的加密密钥所加密的信息元素(IE);以及
将经加密的IE转发到所述对等安全节点。
29.实施例28的方法,进一步包括:
采用所述对等安全节点的所述加密密钥来加密另一IE;以及
将经加密的另一IE连同经加密的IE一起转发到所述对等安全节点。
30.实施例28-29中的任一个的方法,进一步包括:
从所述对等安全节点来获得所述对等安全节点的所述加密密钥;以及
向所述安全中继节点提供所述对等安全节点的所述加密密钥。
31.实施例19-30中的任一个的方法,其中,所述远程安全节点被包含在因特网协议交换(IPX)网络中。
32.实施例19-30中的任一个的方法,其中,所述远程安全节点被包含在漫游中枢网络中。
33.一种远程安全节点,包括:
处理电路模块和存储器,所述存储器包含由所述处理电路模块可执行的指令,由此所述安全中继节点配置成:
向另一公共陆地移动网络(PLMN)中继经由安全接口从PLMN内的安全中继节点所接收的出站控制平面业务,所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部;
经由安全接口向所述安全中继节点中继从所述另一PLMN内的源所接收的入站控制平面业务。
34.前一实施例的远程安全节点,进一步配置成执行实施例20-32中的任一个的方法。
35.一种包含指令的计算机程序,所述指令在远程安全节点的处理电路模块上被执行时使所述处理电路模块执行按照实施例19-32中的任一个的方法。
36.一种包含前一实施例的计算机程序的载体,其中,所述载体是电子信号、光学信号、无线电信号或计算机可读存储介质中的一个。
Claims (26)
1.一种由公共陆地移动网络PLMN中的安全中继节点实现的方法,所述方法包括下列步骤:
-从所述PLMN内的网络功能NF来接收将被提供到另一PLMN的控制分组;
-将所述控制分组中继到远程安全节点,以用于所述控制分组到所述另一PLMN的传递,所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部。
2.根据权利要求1所述的方法,其中,所述方法包括下列步骤:
-优选地基于标准化的N32接口来建立所述安全中继节点与所述远程安全中继节点之间的安全接口,
以及其中,所述中继步骤包括通过所述建立的安全接口来中继所述控制分组。
3.根据权利要求2中的任一项所述的方法,其中,所述中继步骤包括:
-使用传输层安全TLS来中继所述控制分组。
4.根据先前权利要求中的任一项所述的方法,其中,所述方法在中继所述控制分组的所述步骤之前进一步包括下列步骤:
-至少加密所述控制分组中的信息元素IE。
5.根据权利要求4所述的方法,其中,所述加密步骤包括:
-使用经由所述远程安全节点所获得的所述另一PLMN的对等安全节点的加密密钥来加密所述IE。
6.根据权利要求5所述的方法,进一步包括下列步骤:
-从所述远程安全节点来获得所述对等安全节点的所述加密密钥。
7.根据先前权利要求中的任一项所述的方法,进一步包括下列步骤:
-与所述远程安全节点交换与所述安全接口关联的控制信令。
8.根据权利要求7所述的方法,其中,所述安全接口是N32-f接口,以及其中,所述交换步骤包括:
-经由N32-c接口来交换所述控制信令,以设立所述N32-f接口。
9.根据先前权利要求中的任一项所述的方法,进一步包括下列步骤:
-通过向所述PLMN的网络存储库功能NRF注册为安全边缘保护代理SEPP来启用所述PLMN的至少一个网络功能对所述安全中继节点的发现。
10.根据先前权利要求中的任一项所述的方法,进一步包括下列步骤:
-向所述另一PLMN隐藏所述PLMN的拓扑。
11.根据先前权利要求中的任一项所述的方法,进一步包括使用所述PLMN中的网络功能的伸缩式完全限定域名向所述另一PLMN隐藏所述网络功能的地址。
12.根据先前权利要求中的任一项所述的方法,其中,所述远程安全节点被包含在因特网协议交换(IPX)网络中。
13.根据权利要求1-11中的任一项所述的方法,其中,所述远程安全节点被包含在漫游中枢网络中。
14.一种安全中继节点,包括:
处理电路模块和存储器,所述存储器包含由所述处理电路模块可执行的指令,由此所述安全中继节点被配置用于从公共陆地移动网络PLMN内:
-从所述PLMN内的网络功能NF来接收将被提供到另一PLMN的控制分组;
-将所述控制分组中继到远程安全节点,以用于所述控制分组到所述另一PLMN的传递,所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部。
15.一种包含存储指令的计算机可读介质的计算机程序产品,所述指令在安全中继节点的处理电路模块上被执行时使所述处理电路模块执行按照权利要求1-13中的任一项所述的方法。
16.一种由远程安全节点实现的方法,所述方法包括:
-从公共陆地移动网络PLMN中的安全中继节点来接收将被提供到另一PLMN的控制分组,
-将所述控制分组中继到所述另一PLMN,
其中所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部。
17.根据权利要求16所述的方法,其中,所述方法包括下列步骤:
-优选地基于标准化的N32接口来建立所述安全中继节点与所述远程安全中继节点之间的安全接口,
以及其中,所述接收步骤包括通过所述建立的安全接口来接收所述控制分组。
18.根据权利要求17所述的方法,其中,所述接收步骤包括:
-使用传输层安全TLS来接收所述控制分组。
19.根据权利要求18中的任一项所述的方法,其中,所述接收步骤包括:
-接收所述控制分组,其中至少信息元素IE被加密。
20.根据权利要求19所述的方法,其中,所述至少IE使用所述另一PLMN的对等安全节点的加密密钥被加密,使得所述远程安全节点不能够对它进行解密。
21.根据权利要求20所述的方法,其中,所述方法包括下列步骤:
-从所述另一PLMN的所述对等安全节点来获得所述加密密钥,以及
-将所述获得的加密密钥提供到所述远程安全节点。
22.根据权利要求16-21中的任一项所述的方法,进一步包括下列步骤:
-向所述另一PLMN隐藏所述PLMN的拓扑。
23.根据权利要求16-22中的任一项所述的方法,其中,所述远程安全节点被包含在因特网协议交换IPX网络中。
24.根据权利要求16-23中的任一项所述的方法,其中,所述远程安全节点被包含在漫游中枢网络中。
25.一种远程安全节点,包括:
处理电路模块和存储器,所述存储器包含由所述处理电路模块可执行的指令,由此所述安全中继节点被配置用于:
-从公共陆地移动网络PLMN中的安全中继节点来接收将被提供到另一PLMN的控制分组,
-将所述控制分组中继到所述另一PLMN,
其中所述远程安全节点处于所述PLMN和所述另一PLMN两者的外部。
26.一种包含存储指令的计算机可读介质的计算机程序产品,所述指令在远程安全节点的处理电路模块上被执行时使所述处理电路模块执行按照实施例16-24中的任一项所述的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US202163224196P | 2021-07-21 | 2021-07-21 | |
| US63/224,196 | 2021-07-21 | ||
| PCT/EP2022/070334 WO2023001881A1 (en) | 2021-07-21 | 2022-07-20 | Distributed network edge security architecture |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117652125A true CN117652125A (zh) | 2024-03-05 |
Family
ID=82932717
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280050686.8A Pending CN117652125A (zh) | 2021-07-21 | 2022-07-20 | 分布式网络边缘安全架构 |
Country Status (4)
| Country | Link |
|---|---|
| EP (1) | EP4374553A1 (zh) |
| KR (1) | KR20240034831A (zh) |
| CN (1) | CN117652125A (zh) |
| WO (1) | WO2023001881A1 (zh) |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210219137A1 (en) * | 2018-09-24 | 2021-07-15 | Nokia Technologies Oy | Security management between edge proxy and internetwork exchange node in a communication system |
| EP4050968A1 (en) * | 2021-02-26 | 2022-08-31 | Syniverse Technologies, LLC | A method of implementing 5g core roaming routing in an ipx network |
-
2022
- 2022-07-20 KR KR1020247005468A patent/KR20240034831A/ko active Search and Examination
- 2022-07-20 WO PCT/EP2022/070334 patent/WO2023001881A1/en active Application Filing
- 2022-07-20 EP EP22754832.8A patent/EP4374553A1/en active Pending
- 2022-07-20 CN CN202280050686.8A patent/CN117652125A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| KR20240034831A (ko) | 2024-03-14 |
| WO2023001881A1 (en) | 2023-01-26 |
| EP4374553A1 (en) | 2024-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11038923B2 (en) | Security management in communication systems with security-based architecture using application layer security | |
| EP3753226B1 (en) | Security management in communication systems between security edge protection proxy elements | |
| US11483741B2 (en) | Automated roaming service level agreements between network operators via security edge protection proxies in a communication system environment | |
| CN110268690B (zh) | 保护物联网中的设备通信 | |
| JP6889263B2 (ja) | ユーザ機器の二次認証 | |
| US20210234706A1 (en) | Network function authentication based on public key binding in access token in a communication system | |
| WO2019215390A1 (en) | Security management for edge proxies on an inter-network interface in a communication system | |
| US20210219137A1 (en) | Security management between edge proxy and internetwork exchange node in a communication system | |
| EP3528456B1 (en) | Security management in communication systems with network function assisted mechanism to secure information elements | |
| EP3753223B1 (en) | Security management in communication systems with provisioning based mechanism to identify information elements | |
| JP2022550165A (ja) | ローミング・シグナリング・メッセージ送信方法、関連するデバイス、および通信システム | |
| US20240196212A1 (en) | Enabling coordinated identity management between an operator-managed mobile-edge platform and an external network | |
| CN111819874B (zh) | 避免基于5g服务的架构中plmn间路由和tls问题的方法和解决方案 | |
| TW201136343A (en) | Apparatus and method for authorization for access point name (APN) usage in a specific access | |
| JP7485788B2 (ja) | 安全な通信方法と関連する装置及びシステム | |
| JP2023529951A (ja) | 安全な通信方法、関連する装置、およびシステム | |
| CN112136301A (zh) | 通信系统中用于安全性管理的错误处理框架 | |
| JP6472030B2 (ja) | 通信システム及びその認証接続方法 | |
| WO2020012065A1 (en) | Security management for unauthorized requests in communication system with service-based architecture | |
| CN117652125A (zh) | 分布式网络边缘安全架构 | |
| WO2023118024A1 (en) | Handling discovery requests in a network | |
| WO2024171084A1 (en) | Method and apparatus for generating qos (quality of service) rules for packet communication | |
| JP2015041970A (ja) | 通信システム、通信方法、および、通信プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |