CN117918013A - 抵抗5g网络切片的侧信道攻击 - Google Patents
抵抗5g网络切片的侧信道攻击 Download PDFInfo
- Publication number
- CN117918013A CN117918013A CN202280059705.3A CN202280059705A CN117918013A CN 117918013 A CN117918013 A CN 117918013A CN 202280059705 A CN202280059705 A CN 202280059705A CN 117918013 A CN117918013 A CN 117918013A
- Authority
- CN
- China
- Prior art keywords
- network
- slice
- computer
- slices
- data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006870 function Effects 0.000 claims description 56
- 238000003860 storage Methods 0.000 claims description 34
- 238000007493 shaping process Methods 0.000 claims description 31
- 230000005540 biological transmission Effects 0.000 claims description 28
- 238000000034 method Methods 0.000 claims description 28
- 238000002955 isolation Methods 0.000 claims description 14
- 239000002131 composite material Substances 0.000 claims description 6
- 238000009826 distribution Methods 0.000 claims description 6
- 230000001131 transforming effect Effects 0.000 claims description 4
- 230000003094 perturbing effect Effects 0.000 claims description 3
- 238000012545 processing Methods 0.000 abstract description 21
- 239000000203 mixture Substances 0.000 abstract description 4
- 230000001934 delay Effects 0.000 abstract description 3
- 230000002123 temporal effect Effects 0.000 abstract description 2
- 230000015654 memory Effects 0.000 description 28
- 238000004891 communication Methods 0.000 description 18
- 230000003287 optical effect Effects 0.000 description 12
- 238000007726 management method Methods 0.000 description 8
- 238000013468 resource allocation Methods 0.000 description 8
- 238000010586 diagram Methods 0.000 description 7
- 230000006855 networking Effects 0.000 description 7
- 238000005516 engineering process Methods 0.000 description 6
- 230000008093 supporting effect Effects 0.000 description 5
- 230000009466 transformation Effects 0.000 description 5
- 238000004519 manufacturing process Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 238000000844 transformation Methods 0.000 description 4
- RDUORFDQRFHYBF-UHFFFAOYSA-N 6-methoxy-1-methyl-2,3,4,9-tetrahydro-1h-pyrido[3,4-b]indole Chemical compound CC1NCCC2=C1NC1=CC=C(OC)C=C12 RDUORFDQRFHYBF-UHFFFAOYSA-N 0.000 description 3
- 238000013473 artificial intelligence Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 3
- 230000036541 health Effects 0.000 description 3
- 230000000116 mitigating effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000002787 reinforcement Effects 0.000 description 3
- 239000004065 semiconductor Substances 0.000 description 3
- 101100194706 Mus musculus Arhgap32 gene Proteins 0.000 description 2
- 101100194707 Xenopus laevis arhgap32 gene Proteins 0.000 description 2
- 230000003190 augmentative effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 230000003139 buffering effect Effects 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 239000000470 constituent Substances 0.000 description 2
- 238000010276 construction Methods 0.000 description 2
- 230000000670 limiting effect Effects 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000011084 recovery Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 239000003990 capacitor Substances 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 230000001976 improved effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 239000004973 liquid crystal related substance Substances 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000013507 mapping Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000005055 memory storage Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 229920001690 polydopamine Polymers 0.000 description 1
- 238000004801 process automation Methods 0.000 description 1
- 230000002829 reductive effect Effects 0.000 description 1
- 230000003014 reinforcing effect Effects 0.000 description 1
- 230000000246 remedial effect Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
- 238000001356 surgical procedure Methods 0.000 description 1
- 230000007704 transition Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
- 230000014616 translation Effects 0.000 description 1
- 238000012384 transportation and delivery Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/12—Detection or prevention of fraud
- H04W12/121—Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
- H04W12/122—Counter-measures against attacks; Protection against rogue devices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/22—Traffic shaping
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/002—Countermeasures against attacks on cryptographic mechanisms
- H04L9/005—Countermeasures against attacks on cryptographic mechanisms for timing attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/04—Large scale networks; Deep hierarchical networks
- H04W84/042—Public Land Mobile systems, e.g. cellular systems
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
通过选择性地在服务提供和数据处理上施加基于时间的约束,以掩盖切片上工作负载执行期间发生的可能泄漏秘密信息的由数据驱动的时间变化,可以增强对如下漏洞的抵抗:即来自共享底层物理基础设施和资源的5G网络切片上的来自基于时序的侧信道攻击的漏洞。通过防止从5G网络切片的时序泄漏,攻击者无法观察执行时延来推断工作负载特性的构成。此外,攻击者无法在自己的切片上创建共享资源的争用,以观察目标切片利用共享资源的程度。
Description
背景技术
第五代(5G)移动网络提供了连接数百亿智能设备的能力,密集部署并且生成数量级更多的数据由网络处理。除了提供大幅性能增强外,未来的5G移动网络还将改变移动网络生态系统。基于网络切片概念,5G允许服务提供方将共享网络基础设施“切片”为单独的逻辑网络,这些网络可能以具有经济高效的方式独立操作并且针对特定服务。然而,5G网络切片可能容易受到侧信道利用的影响,这可能使得攻击者能够跨切片边界访问工作负载秘密,诸如加密密钥、密码和其他敏感或特权数据。在支持5G网络切片配置的共享资源环境中,这样的侧信道攻击漏洞可能允许切片不正确地访问来自另一个切片的信息。
发明内容
通过选择性地对服务提供和数据处理施加基于时间的约束,以掩盖在切片的工作负载执行期间发生的可能泄漏秘密信息的由数据驱动的时间变化,可以增强对如下漏洞的抵抗:即来自共享底层物理基础设施和资源的5G网络切片上的来自基于时序的侧信道攻击的漏洞。通过防止从5G网络切片的时序泄漏,攻击者无法观察执行时延来推断工作负载特性的构成。此外,攻击者无法在自己的切片上创建共享资源的争用,以观察由目标切片利用共享资源的程度。
在各种说明性示例中,基于时间的约束包括扰动5G用户面数据的固有时序以遵循合成分布。这样的与秘密无关的流量整形可以包括施加固定的数据分组长度和固定的传送间隔,而不考虑工作负载。对于某些流量类型,可以允许分组长度和间隔中的某些有限偏差,而不会泄露秘密信息。使得5G网络切片能够被创建并且提供服务的虚拟化网络功能可以被固化,独立于他们的输入,以常数时间内操作。还可以通过强制执行时间限制的时间表来为5G网络切片提供时域隔离,在该时间表中,基础设施和资源不被同时利用或分配给互不信任的切片。
侧信道攻击的缓解措施可以被应用于5G网络的各个组成组件,包括无线电接入网(RAN)、传输和广域网(WAN)、移动核心和云部分。本公开原理的应用可以有利地利用共享底层5G网络基础设施的灵活性和成本节约,而不会影响对于切片针对侧攻击的安全性或需要使用专用资源。
发明内容部分被提供以简化的形式介绍下面在详细描述中进一步描述的概念的选择。发明内容部分无意标识所要求保护的主题的关键特征或基本特征,也无意用于帮助确定所要求保护的主题的范围。此外,所要求保护的主题不限于解决本公开的任何部分中指出的任何或所有缺点的实现。应当理解,上述主题可以实现为计算机控制的设备、计算机过程、计算系统,或如制造品,诸如一个或多个计算机可读存储介质。这些和各种其他特征将通过阅读以下详细描述和查看相关联的附图而显而易见。
附图说明
图1示出了说明性的5G网络使用场景示例;
图2示出了说明性的标准化5G网络切片;
图3示出了说明性的分层5G网络切片框架;
图4示出了切片控制器、服务管理器和编排器的说明性细节;
图5示出了5G网络架构中的说明性物理基础设施;
图6示出了说明性的5G无线电接入网(RAN)和无线电单元(RU);
图7示出了说明性的分割式RAN层级,在层级中中央单元(CU)可以支持多个分布式单元(DU),而分布式单元(DU)接着可以支持多个RU;
图8示出了说明性的无线电资源控制(RRC),其被分解为面向移动核心的控制面组件和近实时RAN智能控制器(近RT RIC);
图9示出了由O-RAN联盟描述的说明性的RAN操作和维护(OAM)逻辑架构;
图10示出了说明性的5G网络实现,在该实现中分割式RAN功能单元和非实时RIC(非RT RIC)的实例可以被分布在物理基础设施组件之间;
图11示出了示例性切片控制器,该切片控制器被配置为针对5G网络切片的一个或多个部分或在端到端基础上执行与秘密无关的流量整形;
图12示出了在5G网络切片中按固定时间间隔利用固定长度数据分组的与秘密无关的流量整形的说明性示例;
图13示出了在5G网络切片中按固定时间间隔利用固定长度数据分组的与秘密无关的流量整形的说明性示例,在该示例中数据分组长度和时间间隔中的某些偏差是被允许的,只要这些偏差不揭示秘密;
图14示出了加固虚拟化网络功能以常数时间执行的说明性示例;
图15示出了由不同5G网络切片对物理5G资源的时间共享上限制的说明性施加;
图16示出了物理无线电资源在RAN切片之间的说明性分配;
图17示出了物理无线电资源到5G网络切片的说明性专用分配;
图18示出了用于在时域和频域中以及仅在频域中物理无线电资源分配的说明性布置;
图19、图20和图21示出了在5G网络切片上实现当前抵抗侧信道攻击时可以执行的说明性方法;
图22是说明性UE的框图,说明性UE可以至少部分地用于实现本公开中对5G网络切片上的侧信道攻击的抵抗;
图23是说明性服务器或计算设备的框图,服务器或计算设备可以至少部分地用于实现本公开中对5G网络切片的侧信道攻击的抵抗;
图24是说明性数据中心的框图,数据中心可以至少部分用于实现本公开中对5G网络切片的侧信道攻击的抵抗;以及
图25是说明性计算机系统的简化框图,计算机系统可以至少部分地用于实现本公开中对5G网络切片的侧信道攻击的抵抗。
类似附图标号指示附图中类似元件。除非另有指示,否则元件不是按比例绘制的。
具体实施方式
5G移动网络利用基于服务的架构,该基于服务的架构支持数据连接和服务,使得部署能够诸如举例而言网络功能虚拟化(NFV)、软件定义网络(SDN)和云计算等技术。5G联网的一些示例性特征和概念包括将用户面(UP)功能从控制面(CP)功能分离,以使能跨例如集中位置和/或分布式(即远程)位置实现独立可扩展性、演进和灵活部署。5G网络的功能设计被模块化,以使能灵活和高效的网络切片。无线电接入网(RAN)和核心网络(CN)之间的依赖关系也被最小化。因此,5G架构被定义为具有公共AN-CN接口的融合核心网络,该接口集成了不同的接入类型,例如3GPP(第三代合作伙伴计划)接入和不可信的非3GPP接入,诸如WiMAX、WLAN或固定网络。
国际电信联盟无线电通信部门(ITU-R M.2083-0)提出的2020年国际移动电信(IMT)建议设想了5G网络的使用场景,包括:如附图标号105指示的移动宽带(MBB);超可靠和低时延通信(URLLC)110;和大规模机器类型通信(MMTC)115,如图1中的使用场景足迹100所示。
MBB使用场景105解决了接入多媒体内容、服务和数据的以人为中心的用例。对移动宽带的需求将继续增加,从而导致增强的移动宽带。增强的MBB使用场景将在除已有的MBB应用之外带来新的应用区域和要求,用于改进性能和日益无缝的用户体验。增强的MBB使用场景可以覆盖一系列用例,包括广域覆盖和热点,这些用例具有不同的要求。
对于热点用例(即,对于具有高用户密度的区域),需要非常高的流量容量,而且对于移动性的要求通常较低,并且用户数据速率高于广域覆盖的用户数据速率。对于广域覆盖用例,需要无缝覆盖和中到高的移动性,与已有的数据速率相比,用户数据速率要高得多-下载速率为20Gbps并且上传速率为10Gbps。然而,与热点相比,数据速率要求可能会放宽。
URLLC使用场景110通常对诸如时延和可用性的能力具有相对严格的要求。例如,RAN中的时延可能期望小于1ms且具有高可靠性。某些示例包括工业制造或生产过程的无线控制、远程医疗手术、智能电网中的分布自动化、运输安全等。
MMTC的使用场景可能以大量连接设备为特征,诸如每平方公里具有数十万个连接设备的物联网(IoT)设备。在某些5G文献中,MMTC也可以被称为“大规模物联网”(MIoT)。这样的连接设备可以预期传输相对少量的非延迟敏感数据。设备通常需要低成本和非常长的电池寿命。
针对5G网络的说明性应用也被示出在图1中。取决于应用联网需求的给定平衡,应用可以落在不同位置处的使用场景示例100内。如图所示,说明性应用可以包括三维和/或超高清(3D和UHD)120;增强现实125;工业自动化130;自动驾驶汽车135;关键任务基础设施140;智能城市145;声音150;智能家居155;和每秒千兆字节160。
需要强调的是,ITU预计附加的5G使用场景和应用会出现,并且5G网络运营商可能不一定被限制或被要求支持任何特定的使用场景或预定义的切片类型。类似地,应用和服务提供方可能预期要利用5G的更高速度和更低时延,为各种连接设备(固定和移动设备两者)开发功能丰富的能力,跨计算设备和平台的范围交付极具吸引力的用户体验,并且以当前连接所禁止的方式进一步实现人工智能(AI)和IoT的潜力。
通过5G,移动网络可以被优化,诸如网络切片等特征变得可用于针对运营商和企业部署5G基础设施。网络切片是一个逻辑(即虚拟)网络,被定制为服务已被定义的目的、服务类型/类别、服务质量(QoS)或专用客户。5G网络切片可以动态创建,由所有不同网络资源的端到端成分和基础设施组成,以满足特定服务类别或应用的指定性能和要求,这可以满足某些预定义的服务水平协议(SLA)。5G网络的每个部分都分别被切片,使得网络可以被视为由空口切片、RAN切片、移动核心切片、云切片等组成。因此,5G网络切片可创建多个逻辑和安全网络,这些网络相互隔离,但跨越相同公共物理网络基础设施。
5G网络切片可以由资源组成,形成端到端服务交付结构。这些可以包括物理资源,被分配给切片的共享或配置文件,或在某些情况下的专用物理资源。切片还由逻辑实体组成,诸如所配置的网络功能、管理功能、VPN(虚拟专用网络)等。资源(物理或逻辑的)可以专用于5G网络切片,即单独的实例,或者资源可以跨多个切片共享。这些资源不一定全部在移动网络提供方内被生产,因为某些资源可能包括从其他提供方消费的服务,支持例如聚合、云基础设施、漫游等。
3GPP是参与针对5G的架构开发的主要标准组织。标准发布的多个迭代已经针对目前阶段的指定切片定义奠定了基础。3GPP R15系统架构(3GPP TS23.501)目前定义了标准的基于服务的切片/服务类型(SST)。如图2所示,5G网络205的标准化3GPP网络切片包括eMBB(增强型移动宽带)(SST=1)、URLLC(SST=2)和MIoT(SST=3),它们对应于由ITU-R2083-0描述的使用场景。3GPP还定义了针对V2X(车联网)(SST=4)和HMTC(高性能机器类型通信)(SST=5)的其他标准化SST值。可以理解,除了那些之外,还可以定义具有标准化SST值的切片服务类型。
5G网络切片的五种标准化或预定义服务类型分别由图2中的附图标号210、215、220、225和230指示。IMT-2020将网络切片的概念描述为使用这样的网络来支持UE和应用服务中的各种需求,在这样的网络中多个逻辑网络实例可以根据需求量身创建。网络切片允许5G网络运营商提供具有客户特定功能的专用逻辑网络(即网络切片)。5G架构在不同的网络切片中实现了不同的网络配置。
网络切片可以专用于不同类型的服务,并且跨越底层物理基础设施235的所有域,诸如支持功能灵活位置的传输网络、专用无线电配置或指定无线电接入技术(RAT)以及移动核心网络。网络切片还可以跨多个运营商部署。切片可以共享公共物理基础设施,或者在某些情况下可能具有专用资源和/或功能。不同类型的网络切片不仅可以由标准化的网络功能组成,还可以由不同运营商或第三方提供的一些专有功能组成。
标准化的SST值和预定义的切片类型为建立5G网络切片的全球互操作性提供了一种方法,使得运营商可以有效地支持关键垂直行业-例如,工业自动化,医疗保健,娱乐,运输,制造,能源,农业,建筑,安全等–用于最常用的预定义切片/服务类型。可以针对特定的使用场景实现应用和服务的额外定制和/或专业化。UE可以向网络提供网络切片选择辅助信息(NSSAI)参数,以帮助网络为设备选择RAN和切片实例的核心网络部分。单个NSSAI可能导致多个切片的选择。NSSAI由会话管理NSSAI(SM-NSSAI)组成,每个NSSAI包括SST和可能的切片区分器(SD)。SST可以指特征方面的预期网络行为,例如宽带或物联网,而SD可以帮助在相同类型的多个切片实例中进行选择。值得注意的是,标准化预定义切片中支持的服务也可能由具有其他(即非标准)SST值的其他预定义切片支持。
图2示出了用户设备(UE)200,其可以表示可以利用5G联网的各种设备类型,包括例如但不限于智能手机和计算设备、无人机、机器人、过程自动化设备、传感器、控制设备、车辆、运输装备、触觉交互装备、虚拟和增强现实(VR和AR)设备、工业机器等。标准化切片可以分别被映射到典型使用场景中的这些UE类型,以优化网络利用率和用户体验,但5G网络切片是为了灵活性而设计的,满足各种设备类型和多样化应用和服务的需求。5G中SDN和NFV范例提供的网络软件化使得网络切片配置–即,如何部署各种物理基础设施和网络资源–能够快速和动态地适应,以确保在给定的UE群体中持续满足对于5G应用的性能目标。
如图所示,eMBB切片210的配置可以针对宽覆盖区域内的宽带无处不在使用场景进行优化,用于诸如消费娱乐(例如,视频、游戏、流媒体)、远程办公等应用,其中希望最大化的网络速度和数据速率并且通常会经历高流量。URLLC切片215可以被配置为移动关键基础设施低时延使用场景,包括诸如医疗和工业环境中的远程控制操作、VR和AR、机器人和自动化等在内的应用。
MIoT切片220可以配置用于优化处理与诸如建筑和农业等垂直行业的物流、建筑和计量相关的IoT、控制和传感器应用。V2X切片225可以针对汽车和运输应用进行优化,诸如遥测、信息娱乐、自主操作、增强安全性等。HMTC切片230通常配置为优化处理非移动/固定关键基础设施应用,诸如智能工厂、智能公用事业等。
图3示出了在IMT-2020建议中描述的说明性分层5G网络切片框架300。该框架包括RAN 305、移动分组核心310和广域网(WAN)/云联网组件315,这些组件在逻辑上被表示在网络切片实例层320中,网络切片实例层320位于框架中的物理基础设施层325之上。物理基础设施层提供无线电、计算、网络和存储资源的抽象,其可以包括例如一个或多个RAT 330、移动前传(MFH)335、移动回传(MBH)340、移动核心网络345、传输网络(TN)350和一个或多个数据中心(DC)355。在某些情况下,一个或多个UE实例可以被实现为资源。
在这个说明性示例中,切片实例层包括三个5G网络切片——切片A 360、切片B365和切片C 370,但是在任何给定的实现中,在任何给定的时间都可以利用更多或更少的切片。这些切片可以包括图2中示出并且在相关文本中描述的一个或多个预定义的切片类型,或者可以包括不同的切片类型。
切片可以通过逻辑或物理隔离其底层资源来被隔离。切片可以支持服务实例层380中的各种应用和/或服务的实例(统称为附图标号375),例如,使用附图标号385所示的应用编程接口(API)。每个网络切片可以被视为资源的独立逻辑集合,其可以根据需要在切片之间动态变化配置,以满足应用/服务实例所需的预定义技术特性(例如,吞吐量、时延、可靠性等)和/或商务特性。
切片控制器390与切片框架300一起使用,以维持对应用要求的感知,以响应性地分配和管理每个切片中的虚拟化网络功能和资源。服务管理器和编排器395组合必要的资源和功能以产生网络切片实例。其主要任务包括在底层物理基础设施上切片实例的创建,动态地将网络功能映射到切片实例以满足变化场景,以及保持应用与服务和框架之间的通信以管理切片生命周期。
如图所示,服务级别协议(SLA)398通常适用于切片360、365和370中的每一个。适用的SLA可以在范围和组成上变化。在某些情况下,可以有利地利用切片控制器390在RAN切片之间执行资源分配,以满足连通性要求,同时确保符合适用的SLA保证。
SLA可以被定义为服务提供方与其内部或外部最终用户或客户之间的合同,其中定义了提供方将提供哪些服务和必须达到的性能级别,以及如果商定的级别无法实现的任何补救措施或处罚。根据ITU,“SLA是两个或两个以上实体之间在谈判活动后达成的正式协议,具有范围包括评估每个部分的服务特性、责任和优先权。”SLA通常建立了客户对提供方性能和质量的期望。
使用5G网络切片可以支持各种类型的客户,通常取决于适用的环境和场景。例如,客户可能包括但不限于消费者(即最终用户)、商务、企业、组织、服务提供方、应用开发商、应用提供方、移动网络运营商、因特网服务提供方等。客户可能支持自己对客户(例如终端用户)的服务以及来自多个不同第三方提供方的服务。例如,一个第三方提供方可能在一个特定的网络切片上向客户提供服务,而另一个第三方提供方在另一个网络切片上提供服务。每个离散的服务供应可能有其相应的独特SLA。
SLA术语可能包括覆盖服务技术方面的指标,例如描述通信服务的级别和量,以及衡量提供的服务的性能特性。这些技术指标可能包括但不限于例如可用性、吞吐量、时延、比特/分组错误率和能量。SLA还可能包括覆盖服务提供方和客户之间协议的业务、经济和法律术语。不同服务和切片类型的SLA可能会变化。例如,某些切片类型在RAN资源分配方面具有更大的弹性,其中资源可以根据资源需求轻松调整。其他切片类型可能更无弹性。例如,URLLC切片类型可能需要严格的资源分配,以保证相应SLA下的可靠性和低时延,而一旦边缘云缓冲完成,增强的MBB资源可以很容易地向下扩展。
图4示出了切片控制器390以及服务管理器和编排器395的说明性细节。切片控制器可以包括组成切片组件,包括RAN切片控制器405、WAN切片控制器410和核心切片控制器415。通常,各个控制器被实例化为SDN(软件定义网络)组件。还可以理解,在某些情况下,切片控制器的功能可以组合或以不同于附图中所示的方式分布在切片架构中的组件之间。
每个切片控制器可以特别适于各种技术领域的不同特性,包括RAN、核心网络和传输网络(例如WAN)。因此,每个切片360、365和370包括虚拟网络功能(由附图标号420表示),包括例如无线电接入功能和核心网络功能。例如,核心网络和RAN切片相关的网络功能在3GPP标准中被描述。RAN切片控制器的操作在图8和图9的相关文本中更详细地描述。虽然每个切片控制器可以独立于其他系统执行功能,但在某些情况下,它们可以链接以实现端到端的5G网络切片。
如图4所示,服务管理器和编排器395支持WAN编排器425,其被配置为负责WAN资源控制和管理。SDN编排器430提供用于5G网络中的自动化行为和策略的编程能力,包括对支持各种服务和应用的交换机和路由器的控制。NFV(网络功能虚拟化)编排器435负责网络服务/网络功能生命周期管理,以在切片之间部署虚拟网络功能用于核心切片。端到端(E2E)编排器440被配置为为跨领域的自动化切片提供编排服务,包括RAN、移动核心和传输网络。
图5示出了5G网络500中的说明性物理基础设施。无线电单元(RU)505的多个实例被配置为通过5G网络的空口512与UE 200的多样化群体进行交互。每个UE通常包括一个或多个本地/客户应用510或客户端软件/固件组件,其被布置为与一个或多个远程应用服务器、服务提供方或其他资源(笼统由附图标号515表示)对接,因此需要与这些远程设施的网络连接。
RU由移动前传335耦合到RAN 305。RAN由移动回传340耦合到一个或多个数据中心(DC)。在这个说明性示例中,DC包括边缘DC 525、城域DC 530和中央DC 535。在某些网络文献中,边缘DC可以被称为远边缘或内部DC。城域DC可以被称为近边缘DC,并且中央DC可以被称为云。在某些实现中,边缘DC可以支持多接入边缘计算(MEC)功能540。
应用服务器515可以位于网络架构500中的各个点,以满足技术要求和流量需求。通常,在寻求最小化时延的情况下,应用服务器将在物理上位置更靠近UE 200。然而,运营商的应用服务器位置准则还可以考虑因素,诸如管理易用性、可伸缩性和安全性等其他因素。在一些实现中,运营商可以可选地在RAN 305或RU 505中部署应用服务器和其他资源,由图5中的虚线圆圈所示。
图6示出了RAN 305和RU 505的功能块。RU包括无线电传输点,例如下一代节点BgNB 605,用于处理与UE的无线电通信。gNB串行耦合到射频(RF)前端610、数模(D/A)转换单元615以及物理(PHY)层620的一部分功能,如OSI开放系统互连模型中所描述的。
在3GPP和O-RAN(开放RAN)联盟下,RAN 305的处理流水线被分割为分布式单元(DU)625和中央单元(CU)630。DU负责实时的1层和2层(L1和L2)调度功能,并且CU负责非实时的、更高的L2和L3功能。因此,DU包括调度器635,位于MAC(媒体接入控制)层组件640、RLC(无线电链路控制)层组件645和PHY(物理)层组件620的部分之上。MAC层组件负责缓冲、复用和解复用分段,包括关于哪些段在何时发射的所有实时调度决策。它还能够做出“后期”转发决策(即,到替代载波频率,例如包括Wi-Fi)。PHY层组件负责编码和调制。
CU 630配置有PDCP(分组数据汇聚协议)层组件650和RRC(无线电资源控制)层组件655。PDCP层组件负责压缩和解压缩IP报头、加密和完整性保护,并且做出“早期”转发决策(即,是将分组沿流水线下发到UE还是转发到另一个基站)。RRC层组件负责配置RAN处理流水线的粗粒度和策略相关方面。RRC层组件与控制面660接口,而PDCP层组件与用户面665接口,从而实现5G(控制和用户面分离)的“CUPS”特征。
图7所示的分割式RAN配置使得RAN功能能够在集中式和分布式位置的物理基础设施元件之间被分割。例如,如图7所示,单个CU 630可以配置为服务于多个DU 625,每个DU接着服务于多个RU 505。
图8显示RRC层组件655可被分解为面向移动核心的控制面转发组件805和近实时(RT)RAN智能控制器(RIC)810。RRC层组件因此仅负责近实时配置和控制决策制定,而MAC组件640上的调度器635负责实时调度决策。
图9示出了说明性的RAN操作和维护(OAM)逻辑架构900,如O-RAN联盟所描述的。在图中,“O”前缀指示针对架构的功能元素的O-RAN实现。O-RAN联盟定义并且维护下面讨论的A1、E2、O1、O2和开放前传接口。如图所示,非RT RIC 905可以被合并到服务管理器和编排器395中。非RT RIC通过A1接口910与近RT RIC 810互操作。
近实时RIC 810通过E2接口915与用于控制和优化的无线电接入网功能耦合,包括O-CU-CP(O-RAN中央单元-控制面)920、O-CU-UP(O-RAN中央单元-用户面)925和O-DU 930。O-CU-CP和O-CU-UP分别通过3GPP定义和维护的F1-c和F1-u接口940和945耦合到O-DU。O-CU-CP通过3GPP E1接口950耦合到O-CU-UP。O-DU和O-RU 935使用开放前传接口955(也称为下层分割(LLS)接口)被耦合。
O-云960是云计算平台,包括满足O-RAN要求的物理基础设施节点的集合,以托管相关的O-RAN功能(即,近RT RIC、O-CU-CP、O-CU-UP和O-DU)、支持软件组件(诸如操作系统、虚拟机器监视、容器运行时等)以及适当的管理和编排功能,以创建虚拟网络实例和映射网络功能。O-Cloud通过O2接口965耦合到服务管理器和编排器395。O1接口970提供给近RTRIC、O-CU-CP、O-CU-UP、O-DU和O-RU中的每一个,如图9所示。
如上所述,DU、CU、近RT RIC和非RT RIC之间功能元素的分割使得这些元素的实例能够在通常5G网络基础设施中灵活部署。图10示出了一个说明性实现,其中分割RAN功能单元和非RT RIC的实例可以分布在5G网络500的物理基础设施组件中。例如,如图所示,DU625和CU 630可以位于边缘DC 525。CU 630和非RT RIC 905可以位于城域DC 530。在某些情况下,中央DC 535也可以托管非RT RIC。
图11示出了切片控制器390,其被配置为对5G网络500的切片(例如,切片360、365、370)的一个或多个部分上携带的数据流量或对端到端基础上在切片上携带的流量,执行如附图标号1105所示的与秘密无关的流量整形。5G网络切片的一个或多个部分可以包括例如UE 200、RAN 305、移动核心310和WAN/云网络315。在某些情况下,与秘密无关的流量整形可以特别适于特定的5G网络部分,尽管下面讨论的原理一般适用于所有5G网络部分。如箭头1110所示,与秘密无关的流量整形可以在沿穿过切片的传输路径1115的一个或多个点处执行,并且不一定仅限于数据流量的起点和终点。
可以理解,此处公开的与秘密无关的流量整形可能适合于适用于当前部署或预期未来部署的其他类型的共享通信网络基础设施的切片范例。例如,新兴的网络概念集成了诸如太空、机载和海洋通信基础设施等各种维度。天-空-地集成网络(SAGIN)基础设施结合了卫星、空中和地面通信的优势。可以进一步利用集成的人工智能和高级SDN和NFV概念来实现这种多维异构基础设施的高级网络切片,在本文中称为“6G”网络基础设施。预计6G网络将支持增加的数据速率、网络容量、并且与当前全球推出的5G网络提供的服务相比,时延更低,并且可能预期支持具有不同QoS和SLA要求的多样化服务集合。与5G网络切片一样,6G网络切片能够在公共基础设施之上为不同的服务构建多个切片。虽然与5G网络相比,6G网络的异构性有所增加,但可以理解,本文公开的与秘密无关的流量整形原则同样适用于这两个网络。
典型实现中的数据流量与工作负载1120相关联,工作负载1120可能由5G网络500上支持的应用或服务的操作引起。工作负载可以包括秘密1125,秘密1125表示例如加密密钥、密码或任何敏感、机密或特权数据,这些数据不希望被泄露给恶意行为者。工作负载可以在5G网络中的任何点出现,包括网络上的出口和出口点、域间位置以及其间的各个点。例如,WAN运营商可以在与移动网络运营商操作的RAN的接口处接收5G流量。在这种场景下,可以在WAN运营商的5G网络切片部分中应用与秘密无关的流量整形来对从RAN接收到的流量。
与秘密无关的流量整形可以包括各种技术,以将数据传输特性从工作负载1120和秘密1125解耦。这种解耦提高了对侧信道攻击的抵抗,这可能涉及攻击者,例如观察执行特定操作所需的时间,从而推断工作负载并且获得对秘密的访问。例如,如果没有与秘密无关的流量整形,工作负载的公共操作可以被布置为比非公共操作花费更少的时间来执行。因此,攻击者可以通过检查与切片上的数据传输相关联的时延来简单地推断工作负载特性。
与秘密无关的流量整形适于通过消除与工作负载和数据相关的切片传输来减轻侧信道攻击,从而阻止从切片中泄漏时序信息。一般来说,与秘密无关的流量整形追求掩盖对于工作负载的数据传输的固有或自然模式(即,那些在没有本公开的技术应用的情况下会发生的模式)。通过故意干扰对于工作负载的数据流量的时序特性,自然时序分布可以有利地由合成分布所取代,合成分布不揭示有关通信、工作负载或秘密的任何信息。
与秘密无关的流量整形可以包括不同的特定实现,以适合缓解侧信道攻击的特殊要求。在一个说明性实现中,如图12所示,对于工作负载的数据分组1205可以被转换为具有固定长度,如附图标号1210所示。附加地,或者替代地,切片控制器可以为在切片路径1115上为数据分组的传输施加固定的时间间隔,如附图标号1215所示。
如图13所示,切片控制器可以以允许任一分组长度(如附图标号1305所示)和/或数据传输时间间隔(如附图标号1310所示)的一些偏差的方式,来执行与秘密无关的流量整形。然而,允许偏差的程度被选择为小于某个预定阈值,以最小化时序泄漏,以确保秘密信息不被泄露。在某些情况下,与给定工作负载相关联的数据流量的性质或类型可能指示,固定分组长度或时序间隔的一些偏差是可取的,例如,以满足适用的QoS或SLA保证。可以理解,突发类型的数据流量可能不太适合严格的固定时序特性。因此,某些5G服务,诸如语音和数据服务,可以利用具有一定灵活性的与秘密无关的流量整形,而其他服务,诸如流视频,可能适合于更严格的固定时序特性。
图14示出了将虚拟化网络功能1420固化为以常数时间执行的说明性示例。通过在常数时间内执行而不考虑输入,加固的虚拟化网络功能可以挫败恶意行为者的侧攻击,恶意行为者试图通过观察网络功能执行与服务供应和/或切片操作相关联的计算所需的时间长度来确定与工作负载相关联的秘密1125(图11)。例如,攻击者可以尝试创建共享资源的争用,然后观察切片在不同级别的流量需求和网络拥塞下的反应,从而获得对工作负载和秘密的洞察。由于虚拟化网络功能是使用软件代码实现的,加固可以减少与输入相关的可变时延,以消除虚拟化网络功能作为切片中时序泄漏的来源。
虚拟化网络功能的加固可以说明性地包括减少控制流对输入数据的依赖。合适的软件控制流可以包括,例如,如果转换和谓词执行(称为吊床(hammock))的使用可以减少和/或由包括单入口,单出口子图的代码控制流代替。加固的另一个说明性示例可以包括配置软件循环以执行常数的固定数目的迭代。在某些情况下,可以将时间填充和混淆写入代码,以便在可以忍受虚拟化网络功能时延增加的情况下掩盖工作负载操作。时间填充可以为代码添加某些固定时延以减少时序差异。混淆可能包括向代码执行注入额外的任意操作或噪声。与上面讨论的与秘密无关的流量整形一样,如本文所公开的,加固虚拟化网络功能以在常数时间内执行的原理可以适用于5G和6G网络。
图15示出了切片控制器390由不同切片360、365和370的各种物理5G资源的时间共享施加限制,作为侧信道攻击缓解的另一个说明性示例。时间共享上的限制可以被单独施加在资源200、330、335、340、345、350和355中的任何一个上,也可以以任何组合或子组合施加。切片控制器通过操作物理资源的分配向每个切片提供时域隔离,如附图标号1505所示,使得给定的资源1510永远不会通过多个可能相互不信任的切片同时共享。因此,如图所示,切片控制器将资源分配给切片A,同时防止切片B和C同时使用该资源。只有在切片A完成某些预定的使用间隔并且放弃资源之后,切片控制器才会将该资源分配交替到切片B。
通过限制切片之间物理资源的时间共享,至少在受限的时间间隔期间,这些资源看起来专用于切片,这可能会减少攻击者观察切片上数据流量和网络功能的基于时间的特性和/或尝试基于资源争用的攻击的机会。通过如附图标号1515所示的在交替分配实例之间实现资源的硬重置,可以进一步加强时间切片隔离。重置将资源返回到某个初始化状态,并且清除任何预先存在的有问题状态或恶意代码,这些代码可能正在执行,试图破坏切片。可以理解,时间切片隔离的原则可能适用于5G和6G网络二者。
交替应用之间经过的时间长度可能因实现而变化。如果硬重置没有昂贵的计算成本,交替分配资源的调度可能会提供相对频繁的切换,以提供细粒度的时域隔离。这可能具有最大化切片对客户数据流量的响应能力的好处,但代价是更高的网络开销。相比之下,更粗粒度的时域隔离同时减少开销,可能会增加错过QoS和SLA保证的机会,并且可能增加侧攻击的时间窗口尺寸。
图16示出了切片控制器390作为说明性地配置为在网络切片之间分配物理无线电资源。切片控制器390可以被实例化,例如,作为近RT RIC 810的组件(图8),从而实现或组合调度器635的功能(图6)。在替代实现中,切片控制器的一部分可以分布在近RT RIC之外,例如,在边缘或城域DC的CU中,或者被包括在5G网络架构的一个或多个其他功能元件中。在某些实现中,动态优化的RAN动作以确保SLA保证可以在近RT RIC中执行,而长期SLA保证可以在非RT RIC中处理。
切片控制器390被布置为基于PHY组件620中的无线电资源的逻辑表示1605来控制MAC组件640的操作(图6)。如图所示,MAC组件640执行切片内资源分配。更具体地说,物理无线电资源1610被划分为多个块或分段,每个块或分段由一个参数集(numerology)定义,以满足某些通信要求,诸如低时延、宽覆盖等。参数集是指基本物理传输参数的值,特别是包括,例如,对于更高的参数集,时隙的长度更短的传输时隙长度。
网络切片的每个RAN部分占用从一个或多个参数集分段获取的物理资源子集,如图16所示,这些参数集段可以使用包括频率和时间的维度来表示。在5G中,时域中无线电资源的帧结构长度为10毫秒,而不管使用的参数集是什么,但是在频域中的宽度可能会有所不同。例如,在高移动性场景中服务汽车服务的RAN切片可能使用更宽的子载波间距来对抗高多普勒频移,而服务诸如实时游戏的时延敏感服务的RAN切片可能在每个子帧中使用更少的符号(5G网络中每帧有10个子帧)。可以理解的是,空间复用,称为MIMO(多输入多输出),还可以被用于提供RAN资源的附加层,切片控制器可以在某些实现中分配这些RAN资源的附加层。
物理无线电资源可以通过将可信切片的PHY层与其他可信和不可信切片的PHY层隔离来进一步增强安全性。例如,可以通过使用专用的PHY资源来实现这种隔离。对于5GRAN空口中的关键物理信道,诸如物理下行链路(DL)和上行链路(UL)控制信道、物理随机接入信道和物理共享信道,我们可以拥有切片特定的物理信道,以及公共物理信道。公共物理信道可以被所有切片使用,切片特定的物理信道专用于各个切片,从而实现PHY资源隔离。
图17示出了示例性DL子帧1705中的物理下行链路控制信道(在3GPP下缩写为PDCCH)、示例性UL子帧1710中的物理上行链路控制信道(PUCCH)以及示例性帧1715中的物理随机接入信道(PRACH)在切片特定基础上的物理无线电资源1610(图16)的说明性专用分配。
公共PDCCH 1720携带网络切片的资源分配信息。网络切片标识符(sNetID)可以用于寻址调度的网络切片。访问被调度的网络切片的UE可以检测寻址到相应sNetID的公共物理控制信息。网络切片的切片专用PDCCH 1725位于分配给网络切片的无线资源中。切片专用PDCCH携带网络切片中UE设备的调度信息。类似地,在上行链路中,可以利用公共和切片专用的物理上行链路控制信道。访问多个网络切片的UE可以聚合上行链路控制信息,并且使用公共物理控制信道将其进行发射。
PHY资源可以通过限制资源时间共享来进一步隔离,以提供时域隔离。图18示出了时域和频域两者中以及仅在频域中的物理无线电资源分配的说明性布置。在第一说明性分配1805中,无线电资源被分配给不同切片,不同切片可以同时利用不同子载波频率的切片。例如,在第二时隙1810中,切片A和切片B都被分配了资源。在第二说明性分配1815中,无线电资源被分配使得没有两个切片共享相同的时隙,从而提供每个切片的时域隔离。
图19是说明性方法1900的流程图,方法1900可以被执行以增加对5G网络切片上的侧信道攻击的抵抗。除非特别说明,否则流程图框中所示并且在附文中描述的方法或步骤不受特定顺序或序列的约束。此外,其中的某些方法或步骤可以同时发生或执行并且并非所有方法或步骤都必须在给定实现中执行,这取决于这种实现的要求并且可以可选地利用某些方法或步骤。
在框1905,接收要由切片携带的数据分组,其中数据分组与工作负载相关联,秘密信息被关联到该工作负载。在框1910,5G网络中的切片控制器被配置为控制流量在切片上的传输,其中流量包括数据分组。在框1915,操作切片控制器以对流量执行与秘密无关的整形,以混淆与工作负载相关联的秘密信息。
图20是可以由在5G网络中操作的计算设备执行的说明性方法2000的流程图。在框2005,接收针对新5G切片的请求以支持5G服务。在框2010,多个虚拟化网络功能被选择以在新5G网络切片上提供5G服务。在框2015,针对新5G网络切片的多个虚拟化网络功能中的每一个被配置为独立于对虚拟化网络功能的输入以常数时间操作。在框2020,使用以常数时间操作的多个虚拟化网络功能来实例化新5G网络切片。
图21是可以由在5G网络中操作的计算设备执行的说明性方法2100的流程图。在框2105,实例化切片控制器,该切片控制器被配置为控制在5G网络的一个或多个部分的多个切片中的每一个切片上的数据传输,其中5G网络在由多个切片公共共享的物理基础设施上操作。在框2110,操作切片控制器以通过在数据传输期间将与物理基础设施相关联的资源交替分配给每个切片,来为每个切片提供时域隔离。在框2115,在资源的交替分配之间将资源重置为初始状态。
上面已经介绍了各种不同的技术来实现抵抗对5G网络切片的侧攻击。可以理解的是,这些技术可以在5G网络的各个部分单独使用或以不同的适当组合使用,以满足特殊实现、应用和使用场景的需要。
图22是示例性UE 200的框图,可至少部分用于实现抵抗对5G网络切片的侧信道攻击。图22中所示的UE 200的实施例仅用于说明,附图中所示和在前面文本中描述的UE 200可以具有相同或类似的配置。然而,需要注意的是,UE可以有各种各样的配置,图22并不将本公开的范围限制为UE的任何特殊实现。
UE 200包括天线2210、射频(RF)收发机2215、发射(TX)处理电路装置2220、麦克风2225和接收(RX)处理电路装置2230。UE 200还包括扬声器2235、处理器2240、输入/输出(I/O)接口2245、输入设备2250、显示器2255和存储器2260。存储器包括操作系统(OS)程序2265和一个或多个应用510。
RF收发机2215从天线2210接收由5G网络500的gNB(图5)发射的传入RF信号。RF收发机对传入的RF信号进行下变频,生成中频(IF)或基带信号。IF或基带信号被发送到RX处理电路2230,RX处理电路通过对基带或IF信号进行滤波、解码和/或数字化,生成处理后的基带信号。RX处理电路将处理后的基带信号发送到扬声器2235(诸如用于语音数据)或处理器2240进行进一步处理(诸如用于网页浏览数据)。
TX处理电路2220接收来自麦克风2225的模拟或数字语音数据或来自处理器2240的其他传出基带数据(诸如网络数据、电子邮件或交互式视频游戏数据)。TX处理电路2220对传出基带数据进行编码、多路复用和/或数字化以产生处理后的基带或IF信号。RF收发器2215接收来自TX处理电路的传出处理后的基带或IF信号,并且将基带或IF信号上变频为通过天线发射的RF信号。
处理器2240可以包括一个或多个处理器或其他处理设备并且执行存储在存储器2260中的OS程序2265以控制UE 200的整体操作。例如,处理器可以根据众所周知的原理控制RF收发器2215、RX处理电路2230和TX处理电路2220接收正向信道信号和发送反向信道信号。在某些实施例中,处理器2240包括至少一个微处理器或微控制器。
处理器2240可以被配置用于执行驻留在存储器2260中的其他进程和程序,诸如用于本公开实施例中描述的系统的CSI测量和报告的操作。处理器可以根据执行进程的需要将数据移入或移出存储器。在一些实施例中,处理器可以被配置为基于OS程序2265或响应于从gNB或操作员接收到的信号来执行应用510。处理器还耦合到I/O接口2245,I/O接口2245为UE 200提供了连接到诸如膝上型计算机和手持计算机等其他计算设备的能力。I/O接口因此可以用作此类附件与处理器之间的通信路径。
处理器2240还耦合到输入设备2250(例如,键盘、触摸屏、按钮等)和显示器2255。UE 200的用户通常可以采用输入设备将数据输入UE。例如,显示器可以是液晶显示器或其他能够呈现来自网站、应用和/或服务提供方的文本和/或图形、视频等的显示器。
存储器2260耦合到处理器2240。存储器的一部分可以包括随机接入存储器(RAM),并且存储器的另一部分可以包括闪存或其它只读存储器(ROM)。
如下文更详细描述的,UE 200可以操作用于信道状态信息(CSI)报告的信令和计算。尽管图22示出了UE 200的一个说明性示例,但可以理解的是,可以对附图进行各种更改。例如,可以组合、进一步细分或省略各种组件,并且可以根据特定需要添加附加组件。作为特殊示例,处理器2240可以被划分为多个处理器,诸如一个或多个中央处理单元(CPU)和一个或多个图形处理单元(GPU)。此外,尽管图22将UE 200描绘为配置为移动设备,诸如智能手机,但UE可以被配置为作为其他类型的便携式或固定设备操作。
图23示出了用于计算设备的说明性架构2300,诸如服务器,能够执行本文所述的各种组件,以抵抗对5G网络切片的侧信道攻击。图23中所示的架构2300包括一个或多个处理器2302(例如,中央处理单元、专用AI芯片、图形处理单元等)、系统存储器2304,包括RAM(随机接入存储器)2306和ROM(只读存储器)2308,以及系统总线2310,其在操作上和功能上耦合架构2300中的组件。包含有助于在架构2300内的元件之间传输信息的基本例程的基本输入/输出系统,诸如在启动期间,通常存储在ROM 2308中。架构2300进一步包括大容量存储设备2312,用于存储用于实现应用、文件系统和操作系统的软件代码或其他计算机执行的代码。大容量存储设备2312通过连接到总线2310的大容量存储控制器(未显示)连接到处理器2302。大容量存储设备2312及其相关联的计算机可读存储介质为架构2300提供非易失性存储。尽管本文包含的计算机可读存储介质的描述是指大容量存储设备,诸如硬盘或CD-ROM驱动器,但本领域技术人员可以理解的是,计算机可读存储介质可以是由架构2300可以访问的任何可用存储介质。
作为示例而非限制,计算机可读存储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据的信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。例如,计算机可读介质包括但不限于RAM、ROM、EPROM(可擦除可编程只读存储器)、EEPROM(电可擦除可编程只读存储器)、闪存或其他固态存储器技术、CD-ROM、DVD、HD-DVD(高清DVD)、蓝光或其他光存储、盒式磁带、磁带、磁盘存储或其他磁存储设备,或可用于存储期望信息且可由架构2300访问的任何其他介质。
根据各种实施例,架构2300可以使用通过网络到远程计算机的逻辑连接在网络环境中操作。架构2300可以通过连接到总线2310的网络接口单元2316连接到网络。可以理解的是,网络接口单元2316也可以用于连接到其他类型的网络和远程计算机系统。架构2300还可以包括输入/输出控制器2318,用于接收和处理来自许多其他设备的输入,包括键盘、鼠标、触摸板、触摸屏、控制设备,诸如按钮和开关或电子触控笔(在图23中未显示)。类似地,输入/输出控制器2318可以向显示屏、用户界面、打印机或其他类型的输出设备(在图23中也未示出)提供输出。
可以理解的是,本文所述的软件组件可以在加载到处理器2302中并且被执行时,将处理器2302和整体架构2300从通用计算系统转换为定制的专用计算系统,以支持本文呈现的功能。处理器2302可以由任何数目的晶体管或其他离散电路元件构建,它们可以单独或共同地承担任何数目的状态。更具体地说,处理器2302可以作为有限状态机运行,响应于本文所公开的软件模块中包含的可执行指令。这些计算机可执行指令可以通过指定处理器2302如何在状态之间转换来转换处理器2302,从而变换构成处理器2302的晶体管或其他离散硬件元件
对本文呈现的软件模块进行编码也可能会改变本文呈现的计算机可读存储介质的物理结构。在本描述的不同实现中,物理结构的具体变换可能取决于各种因素。这种因素的示例可以包括但不限于用于实现计算机可读存储介质的技术、计算机可读存储介质是否被表征为主要或次要存储等。例如,如果计算机可读存储介质被实现为基于半导体的存储器,则本文公开的软件可以通过变换半导体存储器的物理状态来编码在计算机可读存储介质上。例如,软件可以变换晶体管、电容器、或者构成半导体存储器的其他离散电路元件。该软件还可以转换这些组件的物理状态以在其上存储数据。
作为另一个示例,本文公开的计算机可读存储介质可以使用磁性或光学技术来实现。在这样的实现中,本文呈现的软件可以在其中编码软件时转换磁性或光学介质的物理状态。这些转换可以包括改变给定磁性介质内特殊位置的磁特性。这些转换还可以包括改变给定光学介质内特殊位置的物理特征或特性以改变这些位置的光学特性。在不脱离本描述的范围和精神的情况下,物理介质的其他转换是可能的,提供前述示例仅用于促进此讨论。
鉴于上述,可以理解,在架构2300中发生许多类型的物理转换以便存储和执行本文呈现的软件组件。还可以理解,架构2300可以包括其他类型的计算设备,包括可穿戴设备、手持计算机、嵌入式计算机系统、智能手机、PDA和本领域技术人员已知的其他类型的计算设备。还可以设想,架构2300可以不包括图23中显示的所有组件,可以包括图23中未明确显示的其他组件,或者可以利用与图23中显示的完全不同的架构。
图24是说明性数据中心2400的高级框图,提供云计算服务或分布式计算服务,可用于实现当前对5G网络切片的侧信道攻击的抵抗。数据中心2400可以结合附图中所示的DC中公开的和在附文中描述的特征中的一个或多个。多个服务器2401由数据中心管理控制器2402管理。负载均衡器2403在服务器2401上分发请求和计算工作负载,以避免单个服务器可能变得不堪重负的情况。负载均衡器2403最大化数据中心2400中资源的可用容量和性能。路由器/交换机2404经由外部网络2405支持服务器2401之间以及数据中心2400与外部资源和用户(未显示)之间的数据流量,其可以是例如局域网(LAN)或因特网。
服务器2401可以是独立的计算设备,和/或它们可以被配置为一个或多个服务器设备的机架中的独立刀片。服务器2401具有管理与其他数据库实体的通信的输入/输出(I/O)连接器2406。每个服务器2401上的一个或多个主机处理器2407运行支持多个虚拟机(VM)2409的主机操作系统(O/S)2408。每个VM 2409可以运行自己的O/S,以便服务器上的每个VMO/S2410不同,或相同,或两者混合。VMO/S2410可以是,例如,相同O/S的不同版本(例如,不同VM运行操作系统的不同当前和遗留版本)。附加地,或替代地,VMO/S2410可以由不同的制造商提供(例如,某些VM运行/>操作系统,而其他VM运行操作系统)。每个VM 2409还可以运行一个或多个应用(App)2411。每个服务器2401还包括存储装置2412(例如,硬盘驱动器(HDD))和存储器2413(例如,RAM),它们可以被主机处理器2407和VM 2409访问和使用,用于存储软件代码、数据等。在一个实施例中,VM 2409可以采用本文公开的数据平面API。
数据中心2400提供池化资源,客户或租户可以根据需要动态配置和扩展应用,而无需添加服务器或额外的网络。这允许租户获得他们需要的计算资源,而无需在每个应用临时采购、配置和管理基础设施。云计算数据中心2400允许租户动态地扩展或缩减资源,以满足其流量的当前需求。此外,数据中心运营商可以向租户提供基于使用的服务,以便他们在需要使用资源时仅为他们使用的资源付费。例如,租户最初可能使用服务器24011上的一个VM 2409来运行他们的应用2411。当对应用2411的需求增加时,数据中心2400可以激活相同服务器24011和/或者根据需要在新服务器2401N上使用。如果应用的需求稍后下降,这些额外的虚拟机2409可以被停用。
数据中心2400可以提供有保证的可用性、灾难恢复和备份服务。例如,数据中心可以指明服务器24011上的一个VM 2409作为租户应用的主要位置,并且可以激活相同或不同服务器上的第二VM 2409作为备用或备份,以防第一VM或服务器24011发生故障。数据中心管理控制器2402自动将传入的用户请求从主VM转移到备份VM,而不需要租户干预。尽管数据中心2400被示为单个位置,但可以理解的是服务器2401可以分布到全球多个位置,以提供额外的冗余和灾难恢复能力。此外,数据中心2400可以是向单个企业用户提供服务的内部私有系统,也可以是可公开可访问的,为多个不相关的客户和租户提供服务的分布式系统,或者可以是两者的组合。
域名系统(DNS)服务器2414将域名和主机名解析为数据中心2400中所有角色、应用和服务的IP地址。DNS日志2415保持哪些域名已按角色解析的记录。可以理解的是,本文使用DNS作为示例,并且其他名称解析服务和域名日志服务可用于标识依赖关系,例如,在其他实施例中,IP或分组嗅探、代码检测或代码跟踪。
数据中心健康监视2416监视数据中心2400中物理系统、软件和环境的健康状况。当检测到数据中心2400中的服务器、刀片式服务器、处理器或应用程序出现问题或出现网络带宽或通信问题时,健康监控2416向数据中心管理者提供反馈。
访问控制服务2417确定是否允许用户访问数据中心2400提供的特殊连接和服务。目录和身份管理服务2418验证数据中心2400上租户的用户凭证。
图25是一种示例性计算机系统2500的简化框图,诸如PC、客户机或服务器,从而利用计算机系统2500可以实现本公开对5G网络切片的侧信道攻击的抵抗。计算机系统2500包括处理器2505、系统存储器2511和将包括系统存储器2511的各种系统组件耦合到处理器2505的系统总线2514。系统总线2514可以是包括存储器总线或存储器控制器、外围总线或使用各种总线架构中的任何一种的本地总线的几种类型的总线结构中的任何一种总线。系统存储器2511包括只读存储器(ROM)2517和随机接入存储器(RAM)2521。基本输入/输出系统(BIOS)2525存储在ROM 2517中,包含有助于在计算机系统2500内的元件之间传输信息的基本例程,诸如在启动期间。计算机系统2500还可以包括用于从内部设置的硬盘(未显示)读取和写入的硬盘驱动器2528、用于从可移动磁盘2533(例如软盘)读取或写入的磁盘驱动器2530、以及用于从可移动光盘2543读取或写入诸如CD(光盘)、DVD(数字多功能光盘)或其它光学介质的光驱2538。硬盘驱动器2528、磁盘驱动器2530和光驱2538分别通过硬盘驱动器接口2546、磁盘驱动器接口2549和光驱接口2552连接到系统总线2514。驱动器及其相关的计算机可读存储介质为计算机系统2500提供计算机可读指令、数据结构、程序模块和其它数据的非易失性存储。尽管该示例性示例包括硬盘、可移动磁盘2533和可移动光盘2543,但可以存储计算机可访问的数据的其他类型的计算机可读存储介质,例如盒式磁带、闪存卡、数字视频盘、数据盒、随机存取存储器(RAM)、只读存储器(ROM)等,还可以用于当前对5G网络切片的侧信道攻击的抵抗的一些应用中。此外,如本文所用,术语计算机可读存储介质包括一个或多种介质类型的实例(例如,一个或多个磁盘、一个或多个CD等)。为了本说明书和权利要求的目的,短语“计算机可读存储介质”及其变体旨在覆盖非暂时性实施例,并且不包括波、信号和/或其他暂时性和/或无形的通信介质。
多个程序模块可以被存储在硬盘、磁盘2533、光盘2543、ROM 2517或RAM 2521上,包括操作系统2555、一个或多个应用程序2557、其他程序模块2560和程序数据2563。用户可以通过诸如键盘2566的输入设备和诸如鼠标的定点设备2568将命令和信息输入到计算机系统2500中。其他输入设备(未显示)可以包括麦克风、操纵杆、游戏板、卫星天线、扫描仪、轨迹球、触摸板、触摸屏、触敏设备、语音命令模块或设备、用户运动或用户手势捕捉设备等。这些和其他输入设备经常通过耦合到系统总线2514的串行端口接口2571连接到处理器2505,但也可以通过其他接口连接,诸如并行端口、游戏端口、或通用串行总线(USB)。监视器2573或其他类型的显示设备也经由接口连接到系统总线2514,诸如视频适配器2575。除了监视器2573之外,个人计算机通常还包括其他外围输出设备(未显示),诸如扬声器和打印机。图25所示的说明性示例还包括主机适配器2578、小型计算机系统接口(SCSI)总线2583和连接到SCSI总线2583的外部存储设备2576。
计算机系统2500可操作在使用到一个或多个远程计算机,诸如远程计算机2588的逻辑连接的联网环境中。远程计算机2588可以被选择为另一个个人计算机、服务器、路由器、网络PC、对等设备或其他公共网络节点,并且通常包括上述相对于计算机系统2500描述的许多或所有元件,尽管在图25中仅示出了单个代表性远程存储器/存储设备2590。图25中描绘的逻辑连接包括局域网(LAN)2593和广域网(WAN)2595。这样的网络环境经常被部署,例如,在办公室、企业范围的计算机网络、内联网和因特网中。
当在LAN网络环境中使用时,计算机系统2500通过网络接口或适配器2596连接到局域网2593。当在WAN网络环境中使用时,计算机系统2500通常包括宽带调制解调器2598、网络网关或用于在广域网2595建立通信的其他装置,诸如因特网。宽带调制解调器2598可以是内部或外部,经由串行端口接口2571连接到系统总线2514。在网络环境中,程序模块与计算机系统2500相关或其部分可以存储在远程存储器存储设备2590中。需要注意的是,图25中所示的网络连接是说明性的,并且可以使用在计算机之间建立通信链路的其他装置,这取决于本公开的应用对5G网络切片上的侧信道攻击的抵抗的具体要求。
现在以说明的方式介绍本发明的抵抗5G网络切片侧信道攻击的各种示例性实施例,而不是所有实施例的详尽清单。
一个示例包括一种计算机实现方法,用于增加对5G(第五代)网络的切片上的侧信道攻击的抵抗,所述5G网络具有共享底层物理网络基础设施的多个切片,该方法包括:接收要由切片携带的数据分组,数据分组与工作负载相关联,秘密信息被关联到所述工作负载;配置5G网络中的切片控制器以控制在切片上的流量传输,流量包括数据分组;以及操作切片控制器对流量执行与秘密无关的整形,以混淆与工作负载相关联的秘密信息。
在另一个示例中,与秘密无关的流量整形包括将所述数据分组中的每个数据分组变换为具有固定的分组长度。在另一个示例中,工作负载提供针对数据分组的时序,并且与秘密无关的流量整形包括扰动针对数据分组的时序。在另一个示例中,针对数据分组的时序的所述扰动包括:针对所述数据分组中的每个数据分组施加固定的传输时间间隔。在另一个示例中,与秘密无关的流量整形包括针对数据分组传输的基于时间的方面施加合成分布。在另一个示例中,合成分布包括数据分组的固定大小和固定数据分组传输时间间隔。在另一个示例中,固定数据分组大小和固定数据分组传输时间间隔包括在预定阈值内的偏差,所述阈值被选择以防止泄露秘密信息。在另一个示例中,切片控制器操作以控制5G网络的一部分上的传输,该部分包括无线电接入网(RAN)、广域网(WAN)或云网络之一,并且与秘密无关的流量整形被应用于5G网络的所述部分上的数据流量。在另一个示例中,所述计算机实现方法还包括:基于数据分组的类型,控制与秘密无关的流量整形的程度。
进一步的示例包括一个或多个基于硬件的非暂时性计算机可读存储器设备,其存储计算机可执行指令,所述计算机可执行指令在由部署在包括多个切片的5G(第五代)网络中的计算设备中的一个或多个处理器执行时,使计算设备:接收针对新5G网络切片的请求以支持5G服务;选择多个虚拟化网络功能以在新5G网络切片上提供5G服务;将针对新5G网络片的多个虚拟化网络功能中的每一个配置为以常数时间进行操作,与虚拟化网络功能的输入无关;以及使用以常数时间操作的多个虚拟化网络功能来实例化新5G网络切片。
在另一个示例中,虚拟化网络功能是使用代码来实现的,针对代码,代码控制流包括单入口、单出口子图,并且不包括吊床节点。在另一个示例中,虚拟化网络功能是使用具有执行常数固定迭代次数的循环的代码来实现的。在另一个示例中,虚拟化网络功能是使用消除可变时延源的代码实现的。在另一个示例中,虚拟化网络功能以常数时间的操作可以防止在支持5G服务期间从新5G网络切片的泄漏时序。
进一步的示例包括可在5G(第五代)网络中操作的计算设备,包括:至少一个处理器;以及至少一个基于硬件的非暂时性计算机可读存储设备,其上存储有计算机可执行指令,所述计算机可执行指令在由至少一个处理器执行时,使计算设备实例化切片控制器,切片控制器被配置为控制在5G网络的一个或多个部分的多个切片中的每一个切片上的数据传输,5G网络在由多个切片公共共享的物理基础设施上操作;操作切片控制器通过在数据传输期间将与物理基础设施相关联的资源交替分配给每个切片,来为每个切片提供时域隔离;以及在交替分配资源之间将资源重置为初始状态。
在另一个示例中,5G网络的一个或多个部分包括无线电接入网(RAN)、移动核心和广域网(WAN)。在另一个示例中,5G网络的一个或多个部分包括无线电接入网(RAN),并且资源包括RAN的子载波和时隙。在另一个示例中,交替分配以基于资源重置所需时间的速率来执行。在另一个示例中,交替分配是基于可应用于多个切片的服务质量(QoS)度量来执行。在另一个示例中,计算机可执行指令进一步使计算设备利用切片上的时域隔离来隔离对安全敏感的代码执行。
尽管已经用结构特征和/或方法动作专用的语言描述了主题,但是应当理解的是,所附权利要求中定义的主题不一定限于上述指定特征或动作。相反,上述指定特征和动作被公开为实现权利要求的示例形式。
Claims (15)
1.一种计算机实现的方法,用于增加对5G(第五代)网络的切片的侧信道攻击的抵抗,所述5G网络具有共享底层物理网络基础设施的多个切片,所述方法包括:
接收要由所述切片携带的数据分组,所述数据分组与工作负载相关联,秘密信息被关联到所述工作负载;
配置所述5G网络中的切片控制器以控制所述切片上的流量的传输,所述流量包括所述数据分组;以及
操作所述切片控制器对所述流量执行与秘密无关的整形,以混淆与所述工作负载相关联的所述秘密信息。
2.根据权利要求1所述的计算机实现的方法,其中所述与秘密无关的流量整形包括将所述数据分组中的每个数据分组变换为具有固定的分组长度。
3.根据权利要求1所述的计算机实现的方法,其中所述工作负载提供针对所述数据分组的时序,并且所述与秘密无关的流量整形包括扰动针对所述数据分组的所述时序。
4.根据权利要求3所述的计算机实现的方法,其中针对所述数据分组的所述时序的所述扰动包括针对所述数据分组中的每个时间分组施加固定的传输时间间隔。
5.根据权利要求1所述的计算机实现的方法,其中所述与秘密无关的流量整形包括针对数据分组传输的基于时间的方面施加合成分布。
6.根据权利要求5所述的计算机实现的方法,其中所述合成分布包括针对数据分组的固定大小和固定数据分组传输时间间隔。
7.根据权利要求6所述的计算机实现的方法,其中所述固定数据分组大小和固定数据分组传输时间间隔包括在预定阈值内的偏差,所述阈值被选择以防止泄露所述秘密信息。
8.根据权利要求1所述的计算机实现的方法,其中所述切片控制器操作以控制在所述5G网络的一部分上的传输,所述部分包括以下之一:无线电接入网(RAN)、广域网(WAN)或云网络,并且所述与秘密无关的流量整形被应用于所述5G网络的所述部分上的数据流量。
9.根据权利要求1所述的计算机实现的方法,进一步包括:基于所述数据分组的类型来控制与秘密无关的流量整形的程度。
10.一种在包括多个切片的5G(第五代)网络中可操作的计算设备,包括:
至少一个处理器;以及
至少一个基于硬件的计算机可读存储设备,其上存储有计算机可执行指令,所述计算机可执行指令在由所述至少一个处理器执行时,使所述计算设备:
接收针对新5G网络切片的请求以支持5G服务;
选择多个虚拟化网络功能以在所述新5G网络切片上提供所述5G服务;
针对所述新5G网络切片,将所述多个虚拟化网络功能中的每一个配置为以常数时间操作,而独立于对所述虚拟化网络功能的输入;以及
使用以常数时间操作的所述多个虚拟化网络功能实例化所述新5G网络切片。
11.根据权利要求10所述的计算设备,其中所述虚拟化网络功能使用代码来实现,其中针对所述代码,代码控制流包括单入口、单出口子图并且不包括吊床节点。
12.根据权利要求10所述的计算设备,其中所述虚拟化网络功能使用具有执行常数固定迭代次数的循环的代码来实现。
13.根据权利要求10所述的计算设备,其中所述虚拟化网络功能使用消除可变时延源的代码来实现。
14.根据权利要求10所述的计算设备,其中所述虚拟化网络功能以常数时间的操作防止在所述5G服务的支持期间从所述新5G网络切片的时序泄漏。
15.根据权利要求10所述的计算设备,其中所述计算机可执行指令进一步使所述计算设备利用切片上的时域隔离来提供对安全敏感的代码执行。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/448,041 | 2021-09-17 | ||
| US17/448,041 US20230092245A1 (en) | 2021-09-17 | 2021-09-17 | Resistance to side-channel attacks on 5g network slices |
| PCT/US2022/037955 WO2023043535A1 (en) | 2021-09-17 | 2022-07-22 | Resistance to side-channel attacks on 5g network slices |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117918013A true CN117918013A (zh) | 2024-04-23 |
Family
ID=82898840
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280059705.3A Pending CN117918013A (zh) | 2021-09-17 | 2022-07-22 | 抵抗5g网络切片的侧信道攻击 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20230092245A1 (zh) |
| EP (1) | EP4402590A1 (zh) |
| CN (1) | CN117918013A (zh) |
| WO (1) | WO2023043535A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP4016343A1 (en) * | 2020-12-17 | 2022-06-22 | Accemic Technologies GmbH | Processor arrangement for monitoring control-flow integrity |
| EP4195872B1 (en) * | 2021-12-10 | 2024-06-12 | Deutsche Telekom AG | Network slicing based campus networks |
| US20230353982A1 (en) * | 2022-05-02 | 2023-11-02 | At&T Intellectual Property I, L.P. | Quantum artificial intelligence positioning system in a next generation public safety network |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9065751B2 (en) * | 2009-02-27 | 2015-06-23 | Jalal Almhana | Bandwidth provisioning tools for Internet service providers |
| US20190087599A1 (en) * | 2014-04-02 | 2019-03-21 | International Business Machines Corporation | Compressing a slice name listing in a dispersed storage network |
| US11728964B2 (en) * | 2014-07-31 | 2023-08-15 | Pure Storage, Inc. | Performance aided data migration in a distributed storage network |
| US10063590B1 (en) * | 2015-04-23 | 2018-08-28 | Amazon Technologies, Inc. | Secure message protocol |
| EP3308582B1 (en) * | 2015-06-10 | 2019-02-27 | Telefonaktiebolaget LM Ericsson (PUBL) | An access point, wireless device and methods for obtaining information about transmission patterns of interfering radio systems |
| WO2017008842A1 (en) * | 2015-07-14 | 2017-01-19 | Sony Corporation | Method and apparatus for traffic pattern dependent access coordination to a shared transmission medium |
| US10959218B2 (en) * | 2016-11-14 | 2021-03-23 | Comcast Cable Communications, Llc | Semi-persistent scheduling confirmation |
| US10750488B2 (en) * | 2017-09-11 | 2020-08-18 | Apple Inc. | Hybrid automatic repeat request (HARQ) based on codeblock groups in new radio systems |
| US10367746B2 (en) * | 2017-12-30 | 2019-07-30 | Hughes Network Systems, Llc | Statistical traffic classification with adaptive boundaries in a broadband data communications network |
| US11176956B2 (en) * | 2018-03-28 | 2021-11-16 | Qualcomm Incorproated | Application directed latency control for wireless audio streaming |
| US10892958B2 (en) * | 2018-08-03 | 2021-01-12 | Huawei Technologies Co., Ltd. | Methods and functions of network performance monitoring and service assurance |
| US11558769B2 (en) * | 2018-10-15 | 2023-01-17 | Nec Corporation | Estimating apparatus, system, method, and computer-readable medium, and learning apparatus, method, and computer-readable medium |
| WO2020124076A1 (en) * | 2018-12-14 | 2020-06-18 | Georgia Tech Research Corporation | Network employing cube satellites |
| US11388078B1 (en) * | 2019-06-10 | 2022-07-12 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for generating and using statistically varying network traffic mixes to test network devices |
| US10965777B2 (en) * | 2019-07-23 | 2021-03-30 | At&T Intellectual Property I, L.P. | Application management of network slices with ledgers |
| US11689367B2 (en) * | 2020-09-24 | 2023-06-27 | Huawei Technologies Co., Ltd. | Authentication method and system |
| US11716627B2 (en) * | 2021-06-22 | 2023-08-01 | Microsoft Technology Licensing, Llc | Trusted 5G network slices |
-
2021
- 2021-09-17 US US17/448,041 patent/US20230092245A1/en active Pending
-
2022
- 2022-07-22 EP EP22754650.4A patent/EP4402590A1/en active Pending
- 2022-07-22 WO PCT/US2022/037955 patent/WO2023043535A1/en active Application Filing
- 2022-07-22 CN CN202280059705.3A patent/CN117918013A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| WO2023043535A1 (en) | 2023-03-23 |
| EP4402590A1 (en) | 2024-07-24 |
| US20230092245A1 (en) | 2023-03-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10742522B2 (en) | Creation and modification of shareable slice instances | |
| US10892949B2 (en) | Method and apparatus to use infra-structure or network connectivity services provided by 3RD parties | |
| US11716627B2 (en) | Trusted 5G network slices | |
| US20220014948A1 (en) | Quarantine control network in a 5g ran for coordinated multi-layer resiliency of network slice resources | |
| US20230092245A1 (en) | Resistance to side-channel attacks on 5g network slices | |
| US12015646B2 (en) | Security for 5G network slicing | |
| KR20190020073A (ko) | 가속 자원 처리 방법 및 장치, 및 네트워크 기능 가상화 시스템 | |
| US20230086899A1 (en) | Unlicensed spectrum harvesting with collaborative spectrum sensing in next generation networks | |
| US11540298B2 (en) | Dynamic 5G network slicing to maximize spectrum utilization | |
| US20220116335A1 (en) | End-to-end network slicing (ens) from ran to core network for next generation (ng) communications | |
| US20240114382A1 (en) | End-to-end secure communications for privileged 5g network traffic | |
| CN117322062A (zh) | 通过验证切片sla保证的5g允许进入 | |
| CN117321973A (zh) | 应用与5g网络中的预定义的切片类型的自动匹配 | |
| CN115211159A (zh) | 网络切片的分配资源 | |
| US11900127B2 (en) | Automated recovery of far edge computing infrastructure in a 5G network | |
| US20240292300A1 (en) | 5g radio access network live migration and sharing | |
| Ziegler et al. | Architecture vision for the 5G era: Cognitive and cloud network evolution | |
| US11973666B1 (en) | Systems and methods for using blockchain to manage service-level agreements between multiple service providers | |
| WO2024177914A1 (en) | 5g radio access network live migration and sharing | |
| Merzouki et al. | Security automation for cloud-based iot platforms | |
| Chang et al. | Enabling Network Applications for Multi-Service Programmability in a Disaggregated RAN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |