ES2887323T3 - Negociación de seguridad en arquitecturas basadas en servicios (SBA) - Google Patents
Negociación de seguridad en arquitecturas basadas en servicios (SBA) Download PDFInfo
- Publication number
- ES2887323T3 ES2887323T3 ES19705519T ES19705519T ES2887323T3 ES 2887323 T3 ES2887323 T3 ES 2887323T3 ES 19705519 T ES19705519 T ES 19705519T ES 19705519 T ES19705519 T ES 19705519T ES 2887323 T3 ES2887323 T3 ES 2887323T3
- Authority
- ES
- Spain
- Prior art keywords
- security
- connection
- responding
- security gateway
- initiating
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/164—Implementing security features at a particular protocol layer at the network layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
Un método (300) para negociar un mecanismo de seguridad con una pasarela (102B) de seguridad respondedora, el método que comprende: en una etapa de negociación: establecer (302) una primera conexión entre una pasarela (102A) de seguridad iniciadora y la pasarela de seguridad respondedora, en donde la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora; transmitir (304) un mensaje de solicitud a la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de solicitud identifica uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora; recibir (306) un mensaje de respuesta de la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de respuesta identifica un mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora entre los uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora; en una etapa de comunicaciones: comunicar (310) mensajes de señalización con la pasarela de seguridad respondedora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
Description
DESCRIPCIÓN
Negociación de seguridad en arquitecturas basadas en servicios (SBA)
Aplicaciones relacionadas
Esta solicitud reivindica prioridad a la solicitud de patente provisional de U.S. con número de serie 62/632,415, titulada "Security Negotiation in SBA", y presentada el 19 de febrero de 2018.
Campo Técnico
La presente descripción se refiere generalmente a negociaciones de seguridad y, en particular, a técnicas y dispositivos para negociar mecanismos de seguridad entre pasarelas de seguridad en diferentes redes.
Antecedentes
El proyecto de asociación de tercera generación (3GPP, por sus siglas en inglés) está trabajando en la arquitectura basada en servicios (SBA, por sus siglas en inglés), que se está especificando en varios grupos de trabajo y especificaciones técnicas (TS, por su sigas en inglés). En particular, los documentos TS 23.501 y 23.502 del grupo de trabajo SA2 proporcionan los aspectos arquitectónicos de SBA, mientras que el documento TS 29.500 del grupo de trabajo CT4 proporciona la realización de la etapa 3 de SBA. Los aspectos de seguridad de SBA se especifican en la cláusula 9 del documento TS 33.501 del grupo de trabajo SA3.
La figura 1 ilustra un diagrama de arquitectura de itinerancia de SBA de ejemplo del documento TS 23.501. Como se ve en la figura 1, hay funciones de proxy de protección de borde seguro (SEPP, por sus siglas en inglés) (es decir, vSEPP 16 y hSEPP 18) en cada red móvil terrestre pública (PLMN, por sus siglas en inglés) (es decir, PLMN de visitantes (VPLMN, por su siglas en inglés) 12 y PLMN doméstica (HPLMN, por sus siglas en inglés) 14) que terminan un punto 20 de referencia de N32. Toda la señalización entre las PLMN atraviesa a través de las funciones 16, 18 de SEPP, y el SEPP se define en la cláusula 6.2.7 del documento TS 23.501 como un proxy no transparente que soporta funciones tal como el filtrado de mensajes y vigilancia en las interfaces del plano de control entre PLMN y ocultación de topología. La funcionalidad de los SEPP y la solución de seguridad para N32 se especifica en el documento TS 33.501.
Aunque las PLMN 12, 14 están conectadas en la arquitectura de 3GPP a través del punto 20 de referencia de N32, hay, en realidad, una red de interconexión (es decir, un intercambio de paquetes IP - IPX, por sus siglas en inglés) entre los SEPP, que es operada por uno o más proveedores de IPX. La figura 2 ilustra una IPX 32 de este tipo en la arquitectura 30 del sistema 5G de itinerancia y, en particular, un escenario de enrutamiento doméstico en una representación de la interfaz basada en servicios. Como se ve en la figura 2, los proveedores de IPX tienen un modelo comercial donde manejan, por ejemplo, acciones de enrutamiento y filtrado en el tráfico de señalización entre las PLMN. Para realizar estas funciones, las entidades 34, 36 de red de IPX necesitan ver y modificar ciertos elementos de mensajes de señalización de mensajes de señalización enviados entre las PLMN. Los proveedores de IPX tenían este modelo comercial en las redes 4G y de generaciones anteriores, y parece evidente que este mismo modelo continuará en las redes 5G. De hecho, el sistema global para la asociación de comunicaciones móviles (GSMA, por sus siglas en inglés) ya ha indicado los requisitos del proveedor de IPX para 3GPP en una declaración de coordinación a SA3.
Los requisitos del proveedor de IPX indican que la solución de seguridad para el punto 20 de referencia de N32 será bastante compleja. Al mismo tiempo, se está presionando al grupo de trabajo SA3 de 3GPP para que especifique soluciones de seguridad para SBA, y especialmente para N32, en el plazo de tiempo de la versión quince (Rel-15, por sus siglas en inglés). Sin embargo, es posible que el grupo de trabajo SA3 no pueda proporcionar una solución de seguridad para N32 que satisfaga todos los requisitos de IPX especificados en la Rel-15.
Una propuesta para abordar este problema es implementar un enfoque gradual. En particular, en una primera etapa, la Rel-15 especificaría una solución de seguridad de SBA parcial (o más simple) aunque esa solución no satisfaría todos los requisitos para N32. En una segunda etapa, otra solución de seguridad de SBA (completa) que cumpliera con todos los requisitos para N32 se especificaría en la versión dieciséis (Rel-16, por sus siglas en inglés). Sin embargo, el problema con un enfoque gradual de este tipo es que una vez que se despliega una solución de seguridad (parcial) en la Rel-15, será muy difícil, si no imposible, migrar a otra solución de seguridad (completa) en la red en Rel-16 (o posterior) sin problemas de degradación de servicio (en inglés, bidding down problems). Por ejemplo, un atacante, tal como un atacante de intermediario (MiTM, por sus siglas en inglés), siempre podría pretender ser una entidad de SEPP de Rel-15 y, por lo tanto, evitar tener que usar la solución de seguridad (completa) de la Rel-16.
Compendio
Las realizaciones de la presente descripción proporcionan técnicas que pueden ayudar a resolver estos y otros desafíos. En particular, las presentes realizaciones añaden negociación de la capacidad de seguridad protegida por integridad entre los SEPP. La negociación se basa en la autenticación mutua y el acuerdo de claves entre los SEPP. Usando la negociación de la capacidad de seguridad protegida por integridad, los SEPP pueden negociar qué solución
de seguridad particular se debe usar a través del punto de referencia de N32, anulando así la posibilidad de ataques de degradación del servicio (en inglés, bidding down attacks).
En algunas realizaciones, la presente descripción proporciona un método para negociar un mecanismo de seguridad con una pasarela de seguridad respondedora. En estas realizaciones, el método comprende, en una etapa de negociación, establecer una primera conexión entre una pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, en donde la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, transmitir un mensaje de solicitud a la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de solicitud identifica uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora, y recibir un mensaje de respuesta de la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de respuesta identifica un mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora entre el uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora. A continuación, en una etapa de comunicaciones, el método comprende comunicar mensajes de señalización con la pasarela de seguridad respondedora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
En una realización, la primera conexión es una conexión de seguridad de la capa de transporte (TLS, por sus siglas en inglés) protegida por integridad.
En otra realización, la primera conexión es una conexión de seguridad de protocolo de Internet (IPsec, por sus siglas en inglés) protegida por integridad.
En una realización, el método comprende además, en la etapa de comunicaciones, establecer una segunda conexión entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, y comunicar los mensajes de señalización a través de la segunda conexión con la pasarela de seguridad respondedora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
En una realización, la segunda conexión es una conexión N32-F. En otra realización, la seguridad de la capa de aplicación es una seguridad de la capa de aplicación de N32.
En una realización, comunicar mensajes de señalización con la pasarela de seguridad respondedora usando el mecanismo de seguridad de la capa de aplicación seleccionado comprende proteger los mensajes de señalización comunicados entre las funciones de red asociadas con las respectivas redes móviles terrestres públicas (PLMN) diferentes.
En una realización, el método comprende además proteger los mensajes de tráfico del plano de usuario comunicados entre las funciones de red en las respectivas primera y segunda redes móviles terrestres públicas (PLMN) diferentes.
En una realización, el uno o más mecanismos de seguridad se ordenan según una preferencia de uno o ambos de la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora.
En una realización, el uno o más mecanismos de seguridad comprenden uno o más protocolos de seguridad.
En una realización, la etapa de negociación la realiza un proxy de protección de borde seguro (SEPP).
En otra realización, sin embargo, la etapa de negociación se realiza por una función de recursos de red (NRF, por sus siglas en inglés), una función de exposición de red (NEF, por sus siglas en inglés), y un dispositivo servidor de red.
En una realización, el método comprende además indicar a la pasarela de seguridad respondedora que el mecanismo de seguridad a seleccionar se está negociando dentro de una conexión segura. En tales realizaciones, la indicación de que se está negociando el mecanismo de seguridad a seleccionar se indica en una cabecera del mensaje comunicado fuera de la parte protegida de la conexión segura. En otras realizaciones, tales indicaciones se realizan rellenando un campo de dirección del mensaje de solicitud con una dirección del módulo de negociación de seguridad.
En una realización, el método comprende además detectar que el mecanismo de seguridad de la capa de aplicación seleccionado debe cambiarse y activar la selección de un nuevo mecanismo de seguridad de la capa de aplicación dentro de un período de tiempo predeterminado.
En una realización, el método comprende además negociar el mecanismo de seguridad de la capa de aplicación con un nodo de interconexión asociado con un proveedor de Internet antes de transmitir el mensaje de solicitud a la pasarela de seguridad respondedora.
En al menos algunas realizaciones, la presente descripción proporciona un nodo de red para negociar un mecanismo de seguridad con una pasarela de seguridad respondedora. En estas realizaciones, la pasarela de seguridad iniciadora comprende un circuito de interfaz de comunicaciones configurado para comunicar mensajes con la pasarela de seguridad respondedora a través de una o más conexiones, y un circuito de procesamiento conectado operativamente al circuito de interfaz de comunicaciones. El circuito de procesamiento está configurado para, en una etapa de negociación, establecer una primera conexión entre una pasarela de seguridad iniciadora y la pasarela de seguridad
respondedora, en donde la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, transmitir un mensaje de solicitud a la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de solicitud identifica uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora, y recibir un mensaje de respuesta de la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de respuesta identifica un mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora entre el uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora. En una etapa de comunicaciones, el circuito de procesamiento está configurado para comunicar mensajes de señalización con la pasarela de seguridad respondedora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
En otras realizaciones, la presente descripción proporciona un método para negociar un mecanismo de seguridad con una pasarela de seguridad iniciadora. En estas realizaciones, el método comprende, en una etapa de negociación, establecer una primera conexión entre la pasarela de seguridad iniciadora y una pasarela de seguridad respondedora, en donde la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, recibir un mensaje de solicitud de la pasarela de seguridad iniciadora a través de la primera conexión, en donde el mensaje de solicitud identifica uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora, seleccionar un mecanismo de seguridad de la capa de aplicación entre el uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora, y transmitir un mensaje de respuesta a la pasarela de seguridad iniciadora a través de la primera conexión, en donde el mensaje de respuesta identifica el mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora. En una etapa de comunicaciones, el método comprende además comunicar mensajes de señalización con la pasarela de seguridad iniciadora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
En una realización, uno o ambos mensajes de solicitud y respuesta comprenden mensajes de un protocolo protegidos por integridad.
En una realización, el método comprende además establecer una segunda conexión entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, en donde la segunda conexión es diferente de la primera conexión, y comunicar los mensajes de señalización con la pasarela de seguridad iniciadora usando el mecanismo de seguridad de la capa de aplicación seleccionado a través de la segunda conexión.
En una realización, seleccionar el mecanismo de seguridad de la capa de aplicación comprende seleccionar el mecanismo de seguridad de la capa de aplicación basándose en una política local de la pasarela de seguridad respondedora.
En una realización, seleccionar el mecanismo de seguridad de la capa de aplicación comprende seleccionar el mecanismo de seguridad de la capa de aplicación basándose en una política local de la pasarela de seguridad iniciadora.
En una realización, seleccionar el mecanismo de seguridad de la capa de aplicación comprende seleccionar el mecanismo de seguridad de la capa de aplicación basándose en un orden de preferencia de la pasarela de seguridad iniciadora.
En una realización, seleccionar el mecanismo de seguridad de la capa de aplicación comprende negociar el mecanismo de seguridad de la capa de aplicación con un nodo de interconexión asociado con un proveedor de Internet.
En una realización, el método comprende además negociar una o más características que no están relacionadas con la seguridad. En tales realizaciones, negociar una o más características que no están relacionadas con la seguridad comprende informar a la pasarela de seguridad iniciadora que se va a contactar con otra pasarela de seguridad como parte de la negociación de seguridad.
En una realización, el mensaje de respuesta identifica además el uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora.
En una realización, seleccionar el mecanismo de seguridad de la capa de aplicación comprende seleccionar el mecanismo de seguridad de la capa de aplicación para todas las funciones de red en una PLMN.
En una realización, seleccionar el mecanismo de seguridad de la capa de aplicación comprende seleccionar el mecanismo de seguridad de la capa de aplicación para una función de red independientemente de una o más de otras funciones de red.
En una realización, el mecanismo de seguridad de la capa de aplicación que se selecciona es válido siempre que se mantenga la primera conexión.
En una realización, seleccionar el mecanismo de seguridad de la capa de aplicación comprende seleccionar periódicamente un nuevo mecanismo de seguridad de la capa de aplicación.
En una realización, en respuesta a la selección de un nuevo mecanismo de seguridad de la capa de aplicación, el método comprende terminar todas las conexiones a las que se ha aplicado un mecanismo de seguridad de la capa de aplicación actualmente seleccionado, abrir nuevas conexiones, y aplicar el nuevo mecanismo de seguridad de la capa de aplicación a cada una de las nuevas conexiones.
En una realización, el mensaje de respuesta identifica el mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora usando identificadores simbólicos correspondientes.
Además, en una realización, la presente descripción proporciona un nodo de red para negociar un mecanismo de seguridad con una pasarela de seguridad iniciadora. En estas realizaciones, el nodo de red comprende un circuito de interfaz de comunicaciones configurado para comunicar mensajes con una pasarela de seguridad iniciadora a través de una o más conexiones, y un circuito de procesamiento conectado operativamente al circuito de interfaz de comunicaciones. El circuito de procesamiento está configurado para, en una etapa de negociación, establecer una primera conexión entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, en donde la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, recibir un mensaje de solicitud de la pasarela de seguridad iniciadora a través de la primera conexión, en donde el mensaje de solicitud identifica uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora, seleccionar un mecanismo de seguridad de la capa de aplicación entre el uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora, y transmitir un mensaje de respuesta a la pasarela de seguridad iniciadora a través de la primera conexión, en donde el mensaje de respuesta identifica el mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora. En una etapa de comunicaciones, el circuito de procesamiento está configurado para comunicar mensajes de señalización con la pasarela de seguridad iniciadora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
En al menos una realización, la presente descripción proporciona un medio no transitorio legible por ordenador que comprende instrucciones almacenadas en el mismo, en donde cuando las instrucciones se ejecutan por el circuito de procesamiento de un nodo de red, hace que el nodo de red, en una etapa de negociación, establezca un primera conexión entre una pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, en donde la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, transmita un mensaje de solicitud a la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de solicitud identifica uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora, y reciba un mensaje de respuesta de la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de respuesta identifica un mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora de entre el uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora. En una etapa de comunicaciones, el circuito de procesamiento está configurado para comunicar mensajes de señalización con la pasarela de seguridad respondedora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
En al menos una realización, la presente descripción proporciona un medio no transitorio legible por ordenador que comprende instrucciones almacenadas en el mismo, en donde cuando las instrucciones se ejecutan por el circuito de procesamiento de un nodo de red, hace que el nodo de red, en una etapa de negociación, establezca un primera conexión entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, en donde la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, reciba un mensaje de solicitud de la pasarela de seguridad iniciadora a través de la primera conexión, en donde el mensaje de solicitud identifica uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora, seleccione un mecanismo de seguridad de la capa de aplicación entre el uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora, y transmita un mensaje de respuesta a la pasarela de seguridad iniciadora a través de la primera conexión, en donde el mensaje de respuesta identifica el mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora. En una etapa de comunicaciones, el circuito de procesamiento está configurado para comunicar mensajes de señalización con la pasarela de seguridad iniciadora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
Breve descripción de los dibujos
La figura 1 es un diagrama de bloques esquemático que ilustra una arquitectura del sistema 5G de itinerancia -escenario de enrutamiento doméstico en una representación de interfaz basada en servicios.
La figura 2 es un diagrama de bloques esquemático que ilustra un IPX en una arquitectura del sistema 5G de itinerancia - escenario de enrutamiento doméstico en una representación de interfaz basada en servicios.
La figura 3 es un diagrama de bloques esquemático del primer y segundo SEPP en diferentes redes de comunicación según una realización de la presente descripción.
La figura 4 es un diagrama de señalización que ilustra una técnica de negociación de un mecanismo de seguridad según una realización de la presente descripción.
La figura 5 es un diagrama de flujo que ilustra un método implementado en un primer SEPP para negociar un mecanismo de seguridad con un segundo nodo SEPP según una realización de la presente descripción.
La figura 6 es un diagrama de flujo que ilustra un método implementado en el segundo SEPP para negociar un mecanismo de seguridad con el primer SEPP según una realización de la presente descripción.
Las figuras 7 y 8 son diagramas de flujo que ilustran un método implementado en uno o ambos del primer y segundo SEPP para negociar un mecanismo de seguridad según realizaciones de la presente descripción.
La figura 9 ilustra un nodo de red, tal como un SEPP, y algunos de sus componentes configurados según una realización de la presente descripción.
La figura 10 es un diagrama de bloques funcional del circuito de procesamiento en un nodo de red, tal como un SEPP, que opera en una red de comunicaciones según una realización de la presente descripción.
Descripción detallada
La presente descripción proporciona técnicas para la negociación del mecanismo de seguridad entre pasarelas de seguridad de diferentes redes, tales como el primer y segundo SEPP en una PLMN visitada y una PLMN doméstica, respectivamente. Por ejemplo, como se ve en la figura 3, un primer SEPP 102A de una primera red 110A puede negociar un mecanismo de seguridad para la comunicación con un segundo SEPP 102B de la segunda red 110B a través de uno o más canales 104 de comunicación.
La figura 4 es un diagrama de señalización que ilustra una técnica de negociación del mecanismo de seguridad entre el primer y segundo SEPP 102A, 102B según una realización de la presente descripción. En esta realización, se establece una conexión de seguridad de la capa de transporte (TLS) protegida por integridad entre el primer y segundo SEPP 102A, 102B (línea 202). La conexión de TLS puede, al menos en algunas realizaciones, estar cifrada. Una vez que se establece la conexión de TLS, el SEPP 102A (denominado en la presente memoria SEPP “iniciador") envía un mensaje de solicitud (línea 204) al SEPP 102B (denominado en la presente memoria SEPP "respondedor"). En esta realización, el mensaje de solicitud indica al SEPP 102B los mecanismos de seguridad que son soportados por el SEPP 102A. Los mecanismos de seguridad soportados pueden ordenarse de cualquier manera necesaria o deseada. Sin embargo, en una realización, SEPP 102A ordena los mecanismos de seguridad en el mensaje de solicitud según su propio orden de preferencia. En respuesta a la recepción del mensaje de solicitud, SEPP 102B selecciona uno de los mecanismos de seguridad indicados por SEPP 102A en el mensaje de solicitud (recuadro 206). Según la presente descripción, el mecanismo de seguridad seleccionado es soportado por SEPP 102A y SEPP 102B. Una vez seleccionado, SEPP 102B envía un mensaje de respuesta al SEPP 102A que identifica el mecanismo de seguridad seleccionado (línea 208). En al menos una realización, tanto el mensaje de solicitud como el mensaje de respuesta son mensajes definidos en el documento TS 23.502 de 3GPP.
Mientras el diagrama de señalización que se ve en la figura 4 representa una realización donde el primer y segundo SEPP 102A, 102B realizan la negociación de seguridad, los expertos en la técnica deben apreciar que esto es solo con propósitos ilustrativos, y que la negociación del mecanismo de seguridad de la presente descripción no se limita únicamente al desempeño de los SEPP. Por ejemplo, en algunas realizaciones, la negociación de seguridad se realiza por funciones de recursos de red (NRF, por sus siglas en inglés) en lugar de los SEPP 102A, 102B. En estas realizaciones, las NRF y los SEPP pueden estar o no ubicados conjuntamente. En otras realizaciones, las funciones de red, tales como una función de exposición de red (NEF), por ejemplo, están configuradas para realizar la negociación de seguridad, mientras que en otras realizaciones, los servidores de red están configurados para realizar la negociación de seguridad. Por lo tanto, realizar la negociación del mecanismo de seguridad según las presentes realizaciones no se limita únicamente a los SEPP.
Además, el mecanismo de seguridad que se negocia por los SEPP 102A, 102B se puede usar para proteger mensajes de señalización o mensajes de tráfico. Por ejemplo, en una realización, el mecanismo de seguridad que se negocia es el mecanismo usado por los SEPP para proteger la señalización entre las funciones de red (NF, por sus siglas en inglés) o los servicios de NF en diferentes PLMN, tales como VPLMN 12 y HPLMN 14. En otra realización, el mecanismo de seguridad que se negocia es el mecanismo usado para proteger el tráfico entre las funciones de red. Tal tráfico incluye, pero no se limita a, el tráfico del plano de usuario entre las funciones del plano de usuario (UPF, por sus siglas en inglés).
Además, los mecanismos de seguridad que se negocian no se limitan a ninguna versión específica de 3GPP. Por ejemplo, en una realización, los mecanismos de seguridad que se negocian son los mecanismos de seguridad para N32 (por ejemplo, seguridad de la capa de aplicación) en una versión de 3GPP (por ejemplo, Rel-15), así como en una o más versiones diferentes de 3GPP (por ejemplo, Rel-16). Esto significa que la negociación, cuando se realiza según las presentes realizaciones, no necesita identificar específicamente la solución técnica exacta (como TLS). Más bien, la negociación puede simplemente referirse a una solución técnica especificada en una versión de 3GPP dada
por medio de un nombre simbólico. Por ejemplo, el mecanismo de seguridad "X" puede mapearse con una solución de la versión 15, mientras que el mecanismo de seguridad "Y" puede mapearse con una solución de la versión 16.
La selección de un mecanismo de seguridad particular también se puede basar en diversos criterios. En una realización, por ejemplo, el SEPP que recibe el mensaje de solicitud (por ejemplo, el SEPP 102B "respondedor") selecciona el mecanismo de seguridad basándose en una de sus propias políticas locales. En otra realización, el SEPP que recibe el mensaje de solicitud selecciona el mecanismo de seguridad basándose en una política local del SEPP que envió el mensaje de solicitud (por ejemplo, el SEPP 102A "iniciador"). En otra realización más, el mecanismo de seguridad se selecciona basándose en las políticas locales tanto del SEPP que envió el mensaje de solicitud (por ejemplo, SEPP 102A) como del SEPP que recibió el mensaje de solicitud (por ejemplo, SEPP 102B). En un realización de este tipo, el mecanismo de seguridad se selecciona según un orden de preferencia asignado a los mecanismos de seguridad por el SEPP 102A iniciador.
El proceso de selección también puede realizarse de cualquier manera necesaria o deseada. En una realización, sin embargo, el proceso de selección implica negociar el mecanismo de seguridad entre los SEPP 102A, 102B y su proveedor de interconexión local. Esto se podría hacer de una manera preconfigurada o por mensajes adicionales entre los SEPP y un nodo de interconexión. En una realización, por ejemplo, el SEPP 102A iniciador puede realizar la negociación antes de enviar el mensaje de solicitud (línea 204 en la figura 4) al SEPP 102B “respondedor”. En otra realización, el SEPP 102B respondedor realiza esta función como parte de su proceso de selección en la recuadro 206 de la figura 4.
Como se ilustra anteriormente, la conexión que se establece entre los SEPP 102A, 102B en una realización es una conexión de TLS. Sin embargo, las presentes realizaciones no están limitadas a ello. Generalmente, aunque no es necesario, se establece una conexión segura o un túnel entre los SEPP 102A, 102B. En una realización, por ejemplo, se establece una conexión de IPsec protegida por integridad entre los SEPP 102A, 102B en lugar de la conexión de TLS.
Según las presentes realizaciones, se indica explícitamente si se está produciendo una negociación de seguridad dentro de la conexión segura. Por ejemplo, en una realización, cuando se está produciendo una negociación de seguridad dentro de la conexión segura, se indica en una cabecera de mensaje comunicado fuera de la parte protegida de la conexión segura (por ejemplo, en la cabecera de la capa de registro de TLS). Esto permite que ciertos servidores de IPX, tales como las entidades de IPX 34, 36 que se ven en la figura 3, permitan que las negociaciones de seguridad pasen a través de IPX 32, que de otro modo caería según la política de seguridad. En otra realización, la indicación se basa en un campo de dirección en el mensaje de solicitud. Por ejemplo, la dirección de las instrucciones que se ejecutan para realizar la negociación de seguridad (por ejemplo, un módulo que comprende las instrucciones) sería diferente a las direcciones de algún otro tráfico. Por lo tanto, en tales realizaciones, podría lograrse una indicación explícita rellenando un campo de dirección en el mensaje de solicitud con la dirección de un módulo de negociación de seguridad. Por ejemplo, una realización de la presente descripción rellena el campo de dirección de destino en el mensaje de solicitud con la dirección del módulo de negociación de seguridad.
Según las presentes realizaciones, la negociación de la capacidad de seguridad no siempre se produce en una conexión segura previamente establecida. En algunas realizaciones, por ejemplo, la negociación de la capacidad de seguridad se produce dentro de uno o más mensajes protegidos por integridad de un protocolo. Estos mensajes protegidos por integridad pueden ser, por ejemplo, mensajes de protocolo de enlace de TLS, mensajes de intercambio de claves por red IKEv2, mensajes de claves de Internet multimedia (MIKEY, por sus siglas en inglés), elementos de notación de objetos de JavaScript (JSON, por sus siglas en inglés) protegidos, o mensajes de otro establecimiento de seguridad o protocolo de gestión de claves.
Además de los aspectos anteriores, la negociación puede, según una realización de la presente descripción, incluir características no relacionadas con la seguridad. Un ejemplo de una situación donde tal realización sería beneficiosa es una en la que los operadores alquilan espacio de identidad internacional de abonado móvil (IMSI, por sus siglas en inglés) entre sí. Como parte de la negociación, el SEPP 102B respondedor informa al SEPP 102A iniciador de un tercer SEPP que necesita ser contactado para la comunicación relacionada con algunos IMSI.
En algunos casos, la conexión establecida entre los SEPP 102A, 102B (línea 202) puede no ser una conexión segura, y el mensaje de solicitud enviado por el SEPP 102A iniciador (línea 204), que incluye los mecanismos de seguridad soportados del SEPP 102A iniciador, no es o no puede ser protegido por integridad. Tal es el caso, por ejemplo, cuando la negociación de seguridad se produce en las muy tempranas etapas de la ejecución de un protocolo de seguridad, y aún no se ha establecido una asociación de seguridad para proteger el primer mensaje. En estos casos, el SEPP 102B respondedor repite los mecanismos de seguridad soportados del SEPP 102A iniciador en el mensaje de respuesta protegido por integridad (línea 208). De esta manera, el SEPP 102A iniciador sabe que los mecanismos de seguridad soportados no fueron modificados. En otra realización, el SEPP 102B respondedor repite los mecanismos de seguridad soportados del SEPP 102A iniciador en el mensaje de respuesta protegido por integridad incluso aunque ya exista una conexión segura protegida por integridad.
Según la presente descripción, los SEPP (por ejemplo, SEPP 102A y/o SEPP 102B) se pueden configurar para seleccionar un mecanismo de seguridad de diferentes maneras. En una realización, por ejemplo, los SEPP 102A y/o
102B están configurados para seleccionar un mecanismo de seguridad para todos los NF en la PLMN en la que están dispuestos. En otra realización, sin embargo, los SEPP 102A y/o 102B están configurados para seleccionar el mecanismo de seguridad NF por NF. Independientemente del proceso de selección particular, sin embargo, los SEPP 102A, 102B están configurados según las presentes realizaciones para mantener conexiones de protocolo de transferencia de hipertexto versión 2 (HTTP/2, por sus siglas en inglés) en las que los mensajes individuales (por ejemplo, los mensajes de solicitud y los mensajes de respuesta comunicados entre SEPP 102A y SEPP 102B) están intercalados como flujos.
Solo a modo de ejemplo, una realización de la presente descripción configura los SEPP 102A, 102B para seleccionar un mecanismo de seguridad para cada conexión HTTP/2 que se crea. En estas realizaciones, el período de validez del resultado de la negociación del mecanismo de seguridad es el de la conexión HTTP/2.
Otra realización de la presente descripción configura los SEPP 102A, 102B para seleccionar periódicamente el mecanismo de seguridad. En estas situaciones, los SEPP 102A, 102B están configurados para aplicar un resultado de negociación a todas las conexiones HTTP/2. Esto implica terminar las conexiones HTTP/2 establecidas y abrir nuevas cada vez que cambia el resultado de la negociación del mecanismo de seguridad. En algunas realizaciones, el período de validez del resultado de la negociación del mecanismo de seguridad puede ser parte de la negociación.
En algunos casos, las políticas de seguridad en las que se basa la selección del mecanismo de seguridad pueden cambiar. Por lo tanto, en tales realizaciones, la presente descripción configura un SEPP 102A y/o 102B para activar unilateralmente la selección de un mecanismo de seguridad en cualquier momento dentro del período de validez en respuesta al cambio en las políticas de seguridad.
La figura 5 es un diagrama de flujo que ilustra un método 300, implementado en una pasarela de seguridad "iniciadora", (por ejemplo, SEPP 102A), para negociar un mecanismo de seguridad con una pasarela de seguridad "respondedora" (por ejemplo, SEPP 102B) según una realización de la presente descripción. En particular, este aspecto de la presente descripción se implementa en múltiples etapas - es decir, una etapa de "negociación" en la que los SEPP 102A, 102B negocian y seleccionan un mecanismo de seguridad de la capa de aplicación, y una etapa de "comunicaciones" en la que los SEPP 102A, 102B utilizan el mecanismo de seguridad de la capa de aplicación seleccionado para comunicar mensajes de señalización.
Como se ve en la figura 5, la etapa de negociación del método 300 comienza con establecer una primera conexión entre la pasarela SEPP 102A de seguridad “iniciadora” y la pasarela de seguridad SEPP 102B “respondedora” (recuadro 302). En esta realización, la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora. El SEPP 102A iniciador luego transmite un mensaje de solicitud al SEPP 102B respondedor (recuadro 304). Como se indicó anteriormente, el mensaje de solicitud en esta realización comprende información que identifica los mecanismos de seguridad que son soportados por el SEPP 102A iniciador. En algunas realizaciones, los mecanismos de seguridad están ordenados. El método 300 requiere luego que el SEPP 102A iniciador reciba un mensaje de respuesta del SEPP 102B que responde (recuadro 306). Según esta realización, el mensaje de repuesta comprende información que identifica un mecanismo de seguridad seleccionado por el SEPP 102B respondedor. Además, el SEPP 102B respondedor está configurado para seleccionar el mecanismo de seguridad a usar de los mecanismos de seguridad soportados por el SEPP 102A iniciador.
Los SEPP 102A, 102B iniciador y respondedor están configurados para utilizar el mecanismo de seguridad seleccionado para la comunicación en curso en la etapa de comunicaciones. En particular, se establece una segunda conexión (por ejemplo, una conexión N32-F) entre el SEPP 102A iniciador y el SEPP 102B respondedor (recuadro 308). Así conectados, los SEPP 102A, 102B iniciador y respondedor utilizan el mecanismo de seguridad de la aplicación que se seleccionó en la etapa de negociación para comunicar mensajes de señalización. Cualquiera de los aspectos descritos anteriormente se pueden incluir en el método de ejemplo de la figura 5.
La figura 6 es un diagrama de flujo que ilustra un método 400, implementado en el SEPP 102B respondedor, para negociar un mecanismo de seguridad con el SEPP 102A iniciador según una realización de la presente descripción. De manera similar al método 300 descrito en relación con la figura 5, los SEPP 102A, 102B son pasarelas de seguridad en diferentes PLMN (por ejemplo, PLMN 12, 14). Además, el SEPP 102B respondedor implementa el método 400 en dos etapas - es decir, la etapa de "negociación" en la que los SEPP 102A, 102B negocian y seleccionan el mecanismo de seguridad de la capa de aplicación, y la etapa de "comunicaciones" en la que los SEPP 102A, 102B utilizan el mecanismo de seguridad de la capa de aplicación seleccionado para comunicar mensajes de señalización.
Como se ve en la figura 6, la etapa de negociación del método 400 comienza con establecer la primera conexión entre el SEPP 102A iniciador y el 102B respondedor (recuadro 402). Como anteriormente, la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre el SEPP 102A iniciador y el SEPP 102B respondedor. El SEPP 102B respondedor recibe luego un mensaje de solicitud del SEPP 102A iniciador (recuadro 404). Como anteriormente, el mensaje de solicitud comprende información que identifica los mecanismos de seguridad que son soportados por el SEPP 102A iniciador. En respuesta a la recepción del mensaje de solicitud, el método 400 requiere que el SEPP 102B respondedor seleccione un mecanismo de seguridad de entre los identificados en el mensaje de solicitud a utilizar para las comunicaciones en curso entre los SEPP 102A, 102B
iniciador y respondedor (recuadro 406). Así seleccionado, el método 400 requiere que el SEPP 102B respondedor transmita un mensaje de respuesta al SEPP 102A iniciador (recuadro 408). En esta realización, el mensaje de respuesta comprende información que identifica el mecanismo de seguridad seleccionado para el SEPP 102A iniciador.
Como anteriormente, los SEPP 102A, 102B iniciador y respondedor están configurados para utilizar el mecanismo de seguridad de la aplicación seleccionado para la comunicación en curso en la etapa de comunicaciones. En particular, se establece una segunda conexión (por ejemplo, la conexión N32-F) entre el SEPP 102A iniciador y el SEPP 102B respondedor (recuadro 410). Así conectados, los SEPP 102A, 102B iniciador y respondedor utilizan el mecanismo de seguridad de la aplicación que se seleccionó en la etapa de negociación para comunicar mensajes de señalización (recuadro 412). Cualquiera de los aspectos descritos anteriormente se pueden incluir en el método de ejemplo de la figura 6.
Nótese que los aparatos descritos anteriormente pueden realizar los métodos en la presente memoria y cualquier otro procesamiento implementando cualquier medio, módulo, unidad, o circuito funcional. En una realización, por ejemplo, los aparatos comprenden circuito o circuitos respectivos configurados para realizar las etapas mostradas en las figuras del método. Los circuitos o circuito a este respecto pueden comprender circuitos dedicados a realizar cierto procesamiento funcional y/o uno o más microprocesadores junto con la memoria. Por ejemplo, el circuito puede incluir uno o más microprocesadores o microcontroladores, así como otro hardware digital, que puede incluir procesadores de señales digitales (DSP, por sus siglas en inglés), lógica digital de propósito especial, y similares. El circuito de procesamiento se puede configurar para ejecutar el código de programa almacenado en la memoria, que puede incluir uno o varios tipos de memoria, tal como memoria de solo lectura (ROM, por sus siglas en inglés), memoria de acceso aleatorio, memoria caché, dispositivos de memoria flash, dispositivos de almacenamiento óptico, etc. El código de programa almacenado en la memoria puede incluir instrucciones de programa para ejecutar uno o más protocolos de telecomunicaciones y/o comunicaciones de datos, así como instrucciones para llevar a cabo una o más de las técnicas descritas en la presente memoria, en varias realizaciones. En realizaciones que emplean memoria, la memoria almacena código de programa que, cuando se ejecuta por uno o más procesadores, lleva a cabo las técnicas descritas en la presente memoria.
La figura 7 ilustra algunas funciones adicionales que pueden realizarse por uno o ambos del SEPP 102A iniciador y el SEPP 102B respondedor según las presentes realizaciones. En particular, como se ve en la figura 7, el SEPP 102A iniciador puede indicar en el mensaje de solicitud al SEPP 102B respondedor que el mecanismo de seguridad a seleccionar se está negociando dentro de una conexión segura (recuadro 420). Como se describió anteriormente, tales indicaciones se pueden hacer de diferentes maneras. En una realización, por ejemplo, el SEPP 102A iniciador indica que el mecanismo de seguridad a seleccionar se está negociando en una cabecera de mensaje comunicado fuera de la parte protegida de la conexión segura. En otra realización, el SEPP 102A iniciador rellena un campo de dirección del mensaje de solicitud con una dirección del módulo de negociación de seguridad.
Además, según las presentes realizaciones, los SEPP 102A, 102B iniciador y respondedor están configurados para proteger los mensajes del plano de usuario que se comunican entre las funciones de red dispuestas en las respectivas primera y segunda PLMN (recuadro 422).
En algunas realizaciones, el SEPP 102A, 102B iniciador y/o respondedor está configurado para negociar el mecanismo de seguridad con un nodo de interconexión asociado con un proveedor de Internet (recuadro 424). Por ejemplo, en una realización, el SEPP 102A iniciador realiza esta negociación antes de enviar el mensaje de solicitud al SPP 102B respondedor. En otra realización, el SEPP 102B respondedor realiza esta negociación como parte del proceso de selección de un mecanismo de seguridad apropiado. Independientemente del dispositivo en particular que realice esta función, sin embargo, esto permite que las negociaciones de seguridad pasen a través de IPX 32, que de otro modo podría caer dependiendo de la política de seguridad.
Además, en una realización, la negociación puede incluir características que no están relacionadas con las funciones de seguridad (recuadro 426). Por ejemplo, en una situación donde los operadores alquilan espacio de IMSI entre sí, el SEPP 102B respondedor podría, como parte del proceso de negociación, informar al SEPP 102A iniciador de un tercer SEPP que necesita ser contactado para la comunicación relacionada con algunos IMSI.
Como se indicó anteriormente, las políticas de seguridad en las que se basa la selección del mecanismo de seguridad pueden cambiar en algunos casos. Por lo tanto, las realizaciones de la presente descripción, al detectar que el mecanismo de seguridad de la capa de aplicación actualmente seleccionado debe cambiar (por ejemplo, en respuesta a un cambio en las políticas de seguridad) (recuadro 430), configura SEPP 102A y/o 102B para activar unilateralmente la selección de un nuevo mecanismo de seguridad de la capa de aplicación en cualquier momento dentro de un período de validez (recuadro 432).
En respuesta a la selección de un nuevo mecanismo de seguridad de la capa de aplicación, las presentes realizaciones terminan todas las conexiones a las que se ha aplicado el mecanismo de seguridad de la capa de aplicación actualmente seleccionado (recuadro 440), y abren nuevas conexiones (recuadro 444). Luego, el mecanismo de seguridad de la capa de aplicación recién seleccionado se aplica a cada una de las conexiones recién abiertas (recuadro 446).
La figura 9 ilustra un nodo 500 de red, tal como una pasarela de seguridad (por ejemplo, SEPP 102A, SEPP 102B), implementado según una o más realizaciones de la presente descripción. Como se ve en la figura 9, el nodo 500 de red comprende el circuito 502 de procesamiento y el circuito 504 de comunicación. El circuito 504 de comunicación está configurado para transmitir y/o recibir información hacia y/o desde uno o más otros nodos de red, por ejemplo, otros SEPP, a través de cualquier tecnología de comunicación. Tales mensajes incluyen, pero no se limitan a, los mensajes de solicitud y respuesta descritos anteriormente comunicados entre SEPP 102A y SEPP 102B. El circuito 502 de procesamiento está configurado para realizar el procesamiento descrito anteriormente, tal como ejecutando instrucciones (por ejemplo, un programa de control) 508 almacenadas en la memoria 506, y en una realización, está configurado para implementar ciertos medios, unidades o módulos funcionales, tales como los ilustrados en la figura 10 a continuación.
La figura 10 es un diagrama de bloques funcional del circuito 502 de procesamiento en el nodo 500 de red que opera en una red inalámbrica según una o más realizaciones de la presente descripción. Como se ve en la figura 10, el nodo 500 de red implementa diversos medios, unidades o módulos funcionales, por ejemplo, a través del circuito 502 de procesamiento y/o a través del código de software. Estos medios, unidades o módulos funcionales, por ejemplo, para implementar el(los) método(s) en la presenta memoria, incluyen, por ejemplo, un módulo/unidad 510 de transmisión, un módulo/unidad 512 de recepción, un módulo/unidad 514 de selección, y un módulo/unidad 516 de comunicaciones. Cada uno de estos módulos/unidades 510, 512, 514, 516 están configurados según las realizaciones descritas en la presente memoria para implementar los aspectos descritos anteriormente de la presente descripción.
En particular, el módulo/unidad 510 de transmisión está configurado para transmitir mensajes a otro nodo 500 de red, tal como SEPP 102A, 102B. Como se describió anteriormente, los mensajes pueden ser un mensaje de solicitud enviado por el SEPP 102A iniciador, o un mensaje de respuesta enviado por el SEPP 102B respondedor que recibió el mensaje de solicitud. Los mensajes de solicitud comprenden datos e información que indican, por ejemplo, los mecanismos de seguridad particulares que son soportados por el nodo 500 de red que envía el mensaje de solicitud. Los mensajes de respuesta comprenden datos e información que indican al nodo 500 de red iniciador cuáles de esos mecanismos de seguridad han sido seleccionados por el nodo 500 de red que envía el mensaje de respuesta. El módulo/unidad 512 de recepción está configurado para recibir los mensajes de solicitud que comprenden los mecanismos de seguridad soportados enviados por el nodo 500 de red iniciador, así como los mensajes de respuesta que identifican los mecanismos de seguridad seleccionados.
El módulo/unidad 514 de selección está configurado para seleccionar uno o más de los mecanismos de seguridad de los identificados en el mensaje de solicitud, como se describió anteriormente. Una vez seleccionado, el nodo 500 de red genera el mensaje de respuesta que comprende la información que indica el mecanismo de seguridad seleccionado para el nodo 500 de red iniciador.
El módulo/nodo 516 de comunicaciones está configurado para comunicar señalización y/o datos de tráfico del plano de usuario utilizando los mecanismos de seguridad seleccionados negociados por el nodo 500 de red.
Los expertos en la técnica también apreciarán que las realizaciones en la presente memoria incluyen además los programas informáticos correspondientes, tales como el programa 508 de control ilustrado en la figura 7. Según la presente descripción, el programa 508 de control comprende instrucciones que, cuando se ejecutan en al menos un procesador de un aparato (por ejemplo, el circuito 502 de procesamiento en el nodo 500 de red que se ve en las figuras 9 y 10), hace que el aparato lleve a cabo cualquiera de los respectivos procesamientos descritos anteriormente. Un programa 508 de control a este respecto puede comprender uno o más módulos de código correspondientes a los medios o unidades descritos anteriormente.
Las realizaciones incluyen además un soporte que contiene un programa 508 informático de este tipo. Este soporte puede comprender uno de una señal electrónica, una señal óptica, una señal de radio, o un medio de almacenamiento legible por ordenador.
A este respecto, las realizaciones en la presente memoria también incluyen un producto de programa informático almacenado en un medio (almacenamiento o grabación) no transitorio legible por ordenador y que comprende instrucciones que, cuando se ejecutan por un procesador de un aparato, hacen que el aparato (por ejemplo, el nodo 500 de red) realice las funciones de las presentes realizaciones como se describió anteriormente.
Las realizaciones incluyen además un producto de programa informático que comprende partes de código de programa para realizar las etapas de cualquiera de las realizaciones en la presente memoria cuando el producto de programa informático se ejecuta por un dispositivo informático. Este producto de programa informático puede almacenarse en un medio de grabación legible por ordenador, tal como la memoria 506.
Generalmente, todos los términos usados en la presente memoria se van a interpretar según su significado ordinario en el campo técnico relevante, a menos que se dé claramente un significado diferente y/o esté implícito del contexto en el que es usado. Todas las referencias a un/una/el/la elemento, aparato, componente, medio, etapa, etc., se van a interpretar abiertamente como una referencia a al menos una instancia del elemento, aparato, componente, medio, etapa, etc., a menos que se indique explícitamente de otro modo. Las etapas de cualquier método descrito en la presente memoria no tienen que realizarse en el orden exacto descrito, a menos que una etapa se describa
explícitamente como siguiente o anterior a otra etapa y/o donde esté implícito que una etapa debe seguir o preceder a otra etapa. Cualquier característica de cualquiera de las realizaciones descritas en la presente memoria puede aplicarse a cualquier otra realización, siempre que sea apropiado. Asimismo, cualquier ventaja de cualquiera de las realizaciones puede aplicarse a cualquier otra realización, y viceversa. Otros objetivos, características y ventajas de las realizaciones adjuntas resultarán evidentes de la descripción.
El término unidad puede tener un significado convencional en el campo de la electrónica, dispositivos eléctricos y/o dispositivos electrónicos y puede incluir, por ejemplo, circuito eléctrico y/o electrónico, dispositivos, módulos, procesadores, memorias, dispositivos de estado sólido lógico y/o discretos, programas informáticos o instrucciones para llevar a cabo las respectivas tareas, procedimientos, cálculos, salidas, y/o funciones de visualización, etc., tal como los que se describen en la presente memoria.
Algunas de las realizaciones contempladas en la presente memoria se describen más completamente con referencia a los dibujos adjuntos. Sin embargo, otras realizaciones están contenidas dentro del alcance del tema descrito en la presente memoria. El tema descrito no debe interpretarse como limitado solo a las realizaciones expuestas en la presente memoria; más bien, estas realizaciones se proporcionan a modo de ejemplo para transmitir el alcance del tema a los expertos en la técnica.
Claims (22)
1. Un método (300) para negociar un mecanismo de seguridad con una pasarela (102B) de seguridad respondedora, el método que comprende:
en una etapa de negociación:
establecer (302) una primera conexión entre una pasarela (102A) de seguridad iniciadora y la pasarela de seguridad respondedora, en donde la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora; transmitir (304) un mensaje de solicitud a la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de solicitud identifica uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora;
recibir (306) un mensaje de respuesta de la pasarela de seguridad respondedora a través de la primera conexión, en donde el mensaje de respuesta identifica un mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora entre los uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora;
en una etapa de comunicaciones:
comunicar (310) mensajes de señalización con la pasarela de seguridad respondedora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
2. El método según la reivindicación 1, en donde la primera conexión es una conexión de seguridad de la capa de transporte (TLS) protegida por integridad.
3. El método según la reivindicación 1, en donde la primera conexión es una conexión de seguridad de protocolo de Internet (IPsec) protegida por integridad.
4. El método según cualquiera de las reivindicaciones anteriores que comprende además, en la etapa de comunicaciones:
establecer (308) una segunda conexión entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora; y
comunicar los mensajes de señalización a través de la segunda conexión con la pasarela de seguridad respondedora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
5. El método según la reivindicación 4, en donde la segunda conexión es una conexión N32-F.
6. El método según cualquiera de las reivindicaciones anteriores, en donde la seguridad de la capa de aplicación es una seguridad de la capa de aplicación N32.
7. El método según la reivindicación 4, en donde comunicar mensajes de señalización con la pasarela de seguridad respondedora usando el mecanismo de seguridad de la capa de aplicación seleccionado comprende proteger los mensajes de señalización comunicados entre funciones de red asociadas con respectivas redes (12, 14) públicas móviles terrestres (PLMN) diferentes.
8. El método según cualquiera de las reivindicaciones anteriores, que comprende además proteger los mensajes de tráfico del plano de usuario comunicados entre funciones de red en respectivas primera y segunda redes públicas móviles terrestres (PLMN) diferentes.
9. El método de cualquiera de las reivindicaciones anteriores, en donde el uno o más mecanismos de seguridad se ordenan según una preferencia de una o ambas de la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora.
10. El método de cualquiera de las reivindicaciones anteriores, en donde el uno o más mecanismos de seguridad comprenden uno o más protocolos de seguridad.
11. El método de cualquiera de las reivindicaciones anteriores, en donde la etapa de negociación la realiza un proxy de protección de borde seguro (SEPP).
12. El método de cualquiera de las reivindicaciones anteriores, en donde la etapa de negociación la realiza uno de: una función de recursos de red (NRF);
una función de exposición de red (NEF);
un dispositivo servidor de red.
13. El método de cualquiera de las reivindicaciones anteriores, que comprende además indicar a la pasarela de seguridad respondedora que el mecanismo de seguridad a seleccionar se está negociando dentro de una conexión segura.
14. El método de la reivindicación 13, en donde indicar a la pasarela de seguridad respondedora que el mecanismo de seguridad a seleccionar se está negociando dentro de una conexión segura comprende indicar que el mecanismo de seguridad a seleccionar se está negociando en una cabecera de mensaje comunicado fuera de la parte protegida de la conexión segura.
15. El método de la reivindicación 13, en donde indicar a la pasarela de seguridad respondedora que el mecanismo de seguridad a seleccionar se está negociando dentro de una conexión segura comprende rellenar un campo de dirección del mensaje de solicitud con una dirección del módulo de negociación de seguridad.
16. El método de cualquiera de las reivindicaciones anteriores que comprende además:
detectar que debe cambiarse el mecanismo de seguridad de la capa de aplicación seleccionado; y
activar la selección de un nuevo mecanismo de seguridad de la capa de aplicación dentro de un período de tiempo predeterminado.
17. El método de cualquiera de las reivindicaciones anteriores, que comprende además negociar el mecanismo de seguridad de la capa de aplicación con un nodo de interconexión asociado con un proveedor de Internet antes de transmitir el mensaje de solicitud a la pasarela de seguridad respondedora.
18. Un nodo (500) de red para negociar un mecanismo de seguridad con una pasarela (102B) de seguridad respondedora, según el método de cualquiera de las reivindicaciones 1 a 17.
19. Un método (400) para negociar un mecanismo de seguridad con una pasarela (102A) de seguridad iniciadora, el método que comprende:
en una etapa de negociación:
establecer (402) una primera conexión entre la pasarela de seguridad iniciadora y una pasarela (102B) de seguridad respondedora, en donde la primera conexión está configurada para proporcionar protección de la integridad de los mensajes comunicados entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora; recibir (404) un mensaje de solicitud de la pasarela de seguridad iniciadora a través de la primera conexión, en donde el mensaje de solicitud identifica uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora;
seleccionar (406) un mecanismo de seguridad de la capa de aplicación de entre el uno o más mecanismos de seguridad soportados por la pasarela de seguridad iniciadora; y
transmitir (408) un mensaje de respuesta a la pasarela de seguridad iniciadora a través de la primera conexión, en donde el mensaje de respuesta identifica el mecanismo de seguridad de la capa de aplicación seleccionado por la pasarela de seguridad respondedora; y
en una etapa de comunicaciones:
comunicar (412) mensajes de señalización con la pasarela de seguridad iniciadora usando el mecanismo de seguridad de la capa de aplicación seleccionado.
20. El método según la reivindicación 19, en donde uno o ambos mensajes de solicitud y respuesta comprenden mensajes protegidos por integridad de un protocolo.
21. El método según cualquiera de las reivindicaciones anteriores que comprende además:
establecer (410) una segunda conexión entre la pasarela de seguridad iniciadora y la pasarela de seguridad respondedora, en donde la segunda conexión es diferente de la primera conexión; y
comunicar los mensajes de señalización con la pasarela de seguridad iniciadora usando el mecanismo de seguridad de la capa de aplicación seleccionado a través de la segunda conexión.
22. Un nodo (500) de red para negociar un mecanismo de seguridad con una pasarela (102A) de seguridad iniciadora, según el método de cualquiera de las reivindicaciones 19 a 21.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201862632415P | 2018-02-19 | 2018-02-19 | |
| PCT/EP2019/053865 WO2019158716A1 (en) | 2018-02-19 | 2019-02-15 | Security negotiation in service based architectures (sba) |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2887323T3 true ES2887323T3 (es) | 2021-12-22 |
Family
ID=65440989
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES19705519T Active ES2887323T3 (es) | 2018-02-19 | 2019-02-15 | Negociación de seguridad en arquitecturas basadas en servicios (SBA) |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20210014284A1 (es) |
| EP (1) | EP3756326B1 (es) |
| CN (1) | CN111742529B (es) |
| DK (1) | DK3756326T3 (es) |
| ES (1) | ES2887323T3 (es) |
| PL (1) | PL3756326T3 (es) |
| WO (1) | WO2019158716A1 (es) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2019224247B2 (en) * | 2018-02-21 | 2021-10-21 | Ntt Docomo, Inc. | Radio communication system, security proxy device, and relay device |
| WO2020053480A1 (en) * | 2018-09-10 | 2020-03-19 | Nokia Technologies Oy | Method and apparatus for network function messaging |
| CN114024664B (zh) * | 2020-07-17 | 2022-10-18 | 华为技术有限公司 | 安全通信方法、相关装置及系统 |
| CN114531675A (zh) * | 2020-11-06 | 2022-05-24 | 华为技术有限公司 | 一种通信方法、相关装置和系统 |
| CN114826627A (zh) * | 2021-01-13 | 2022-07-29 | 中国电信股份有限公司 | 信息传输方法、企业安全网关和系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0322891D0 (en) * | 2003-09-30 | 2003-10-29 | Nokia Corp | Communication method |
| WO2007093079A1 (fr) * | 2006-02-16 | 2007-08-23 | Zte Corporation | Procédé de mise en oeuvre d'une politique de sécurité en matière de négociation-clé dans un réseau interdomaine de commutation de paquets à plusieurs garde-portes |
| CN100563208C (zh) * | 2006-06-12 | 2009-11-25 | 华为技术有限公司 | 一种h.248协议传输安全机制的协商方法 |
| US8488628B2 (en) * | 2007-06-14 | 2013-07-16 | Research In Motion Limited | Apparatus, and associated method, for selecting and negotiating frame size of communication data communicated in a radio communication system |
| CN101330376A (zh) * | 2007-06-22 | 2008-12-24 | 华为技术有限公司 | 安全算法的协商方法 |
| CN101247218B (zh) * | 2008-01-23 | 2012-06-06 | 中兴通讯股份有限公司 | 用于实现媒体流安全的安全参数协商方法和装置 |
| CN101222503A (zh) * | 2008-01-25 | 2008-07-16 | 中兴通讯股份有限公司 | 用于实现媒体流安全的安全参数产生方法和装置 |
| CN101478755B (zh) * | 2009-01-21 | 2011-05-11 | 中兴通讯股份有限公司 | 一种网络安全的http协商的方法及其相关装置 |
| CN102215211B (zh) * | 2010-04-02 | 2016-01-20 | 中兴通讯股份有限公司 | 通信方法、支持可信网络接入的安全策略协商方法及系统 |
| US9361432B2 (en) * | 2014-01-15 | 2016-06-07 | Hewlett-Packard Development Company, L.P. | Configuring a security setting for a set of devices using a security policy |
| WO2016186684A1 (en) * | 2015-05-18 | 2016-11-24 | Intel IP Corporation | Device, system and method of hplmn preferred epdg selection in roaming scenarios |
| CN106998549A (zh) * | 2016-01-25 | 2017-08-01 | 中兴通讯股份有限公司 | IPSec隧道的建立方法及装置、终端和网络侧设备 |
| CN110366159B (zh) * | 2018-04-09 | 2022-05-17 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
-
2019
- 2019-02-15 WO PCT/EP2019/053865 patent/WO2019158716A1/en active Search and Examination
- 2019-02-15 EP EP19705519.7A patent/EP3756326B1/en active Active
- 2019-02-15 PL PL19705519T patent/PL3756326T3/pl unknown
- 2019-02-15 US US16/968,232 patent/US20210014284A1/en not_active Abandoned
- 2019-02-15 ES ES19705519T patent/ES2887323T3/es active Active
- 2019-02-15 DK DK19705519.7T patent/DK3756326T3/da active
- 2019-02-15 CN CN201980014066.7A patent/CN111742529B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3756326B1 (en) | 2021-08-04 |
| PL3756326T3 (pl) | 2022-02-14 |
| US20210014284A1 (en) | 2021-01-14 |
| EP3756326A1 (en) | 2020-12-30 |
| WO2019158716A1 (en) | 2019-08-22 |
| CN111742529A (zh) | 2020-10-02 |
| DK3756326T3 (da) | 2021-09-06 |
| CN111742529B (zh) | 2023-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2887323T3 (es) | Negociación de seguridad en arquitecturas basadas en servicios (SBA) | |
| US10536373B1 (en) | Session aggregator brokering of data stream communication | |
| JP6379267B2 (ja) | マシンツーマシンブートストラッピング | |
| ES2931775T3 (es) | Selección de instancia de función de red | |
| ES2955584T3 (es) | Protección de un mensaje transmitido entre dominios de la red central | |
| US9021251B2 (en) | Methods, systems, and computer program products for providing a virtual private gateway between user devices and various networks | |
| US9231918B2 (en) | Use of virtual network interfaces and a websocket based transport mechanism to realize secure node-to-site and site-to-site virtual private network solutions | |
| ES2447546T3 (es) | Acceso a través de redes de acceso no-3GPP | |
| US9871768B1 (en) | IPv6 to IPv4 data packet migration in a trusted security zone | |
| CN109936529B (zh) | 一种安全通信的方法、装置和系统 | |
| US10812454B2 (en) | Methods and apparatuses for providing security in a roaming environment | |
| US11641376B2 (en) | Protection of traffic between network functions | |
| CN111226418B (zh) | 针对跨网络周边防火墙的设备使能零接触引导 | |
| Barré | Implementation and assessment of modern host-based multipath solutions. | |
| KR20160122992A (ko) | 정책 기반으로 네트워크 간에 연결성을 제공하기 위한 네트워크 통합 관리 방법 및 장치 | |
| BR112019022934A2 (pt) | método e aparelho de obtenção de chave, dispositivo terminal, mídia de armazenamento legível por computador, método para processamento de segurança em mobilidade de um dispositivo terminal e sistema de comunicações | |
| CN113518348B (zh) | 业务处理方法、装置、系统及存储介质 | |
| US20210044678A1 (en) | Optimized quic fallback on access networks and endpoints | |
| JP7442690B2 (ja) | 安全な通信方法、関連する装置、およびシステム | |
| WO2019063855A1 (es) | Un método y un servidor de comunicaciones para identificación y autenticación segura de un dispositivo a una plataforma de internet | |
| CN111107126B (zh) | 用于加密卷复制的方法和设备 | |
| Nagy et al. | Enhancing security in mobile data networks through end user and core network cooperation | |
| Tulimiero | An All-Round Secure IoT Network Architecture | |
| CN116846862A (zh) | 一种SRv6报文处理方法、装置、通信设备和存储介质 | |
| CN113765861A (zh) | 一种数据处理方法及装置 |