[发明专利]用于减轻对安全边缘保护代理（SEPP）公共陆地移动网络间（PLMN间）转发接口的假冒攻击的方法、系统和计算机可读介质

说明书

一种用于减轻SEPP PLMN间转发接口上的假冒攻击的方法包括由响应SEPP从通过PLMN间控制接口接收的至少一个消息中获得第一SEPP标识符和/或第一PLMN标识符。该方法还包括将第一SEPP标识符和/或第一PLMN标识符存储在身份交叉验证数据库中。该方法还包括从通过PLMN间转发接口接收的至少一个消息中获得第二SEPP标识符和/或第二PLMN标识符，并使用包括第二SEPP标识符和第二PLMN标识符中的至少一个的查找键在身份交叉验证数据库中执行查找，确定与查找键对应的记录不存在于身份交叉验证数据库中，并且作为响应，防止通过PLMN间转发接口接收的所述至少一个消息进入由响应SEPP保护的PLMN。

优先权声明

本申请要求于2020年12月21日提交的美国专利申请序列号17/129,441、于2020年11月11日提交的美国专利申请序列号17/095,420、于2020年11月2日提交的印度临时专利申请序列号202041047779以及于2020年9月25日提交的印度临时专利申请序列号202041041754的优先权权益，其公开内容通过引用整体并入本文。

技术领域

本文描述的主题涉及增强5G通信网络中的安全性。更具体地，本文描述的主题涉及用于减轻对SEPP PLMN间转发接口上的假冒攻击的方法、系统和计算机可读介质。

背景技术

在5G电信网络中，提供服务的网络节点被称为生产者网络功能(NF)。消费服务的网络节点被称为消费者NF。网络功能可以是生产者NF和消费者NF，具体取决于它是在消费还是提供服务。

给定的生产者NF可以有许多服务端点，其中服务端点是用于由生产者NF托管的一个或多个NF实例的联系点。服务端点由互联网协议(IP)地址和端口号的组合或在托管生产者NF的网络节点上解析为IP地址和端口号的完全限定的域名来识别。NF实例是提供服务的生产者NF的实例。给定的生产者NF可以包括多于一个NF实例。还应当注意的是，多个NF实例可以共享同一个服务端点。

生产者NF向网络功能储存库功能(NRF)注册。NRF维护识别每个NF实例支持的服务的可用NF实例的服务简档。消费者NF可以订阅以接收关于已向NRF注册的生产者NF实例的信息。

除了消费者NF之外，另一种可以订阅以接收关于NF服务实例信息的网络节点是服务通信代理(SCP)。SCP向NRF订阅并获得关于生产者NF服务实例的可达性和服务简档信息。消费者NF连接到服务通信代理，并且服务通信代理在提供所需服务的生产者NF服务实例之间进行负载平衡流量，或者直接将流量路由到目的地生产者NF实例。

除了SCP之外，在生产者和消费者NF之间路由流量的中间代理节点或网络节点组的其它示例包括安全边缘保护代理(SEPP)、服务网关和5G服务mesh中的节点。SEPP是用于保护在不同5G公共陆地移动网络(PLMN)之间交换的控制平面流量的网络节点。由此，SEPP对所有应用编程接口(API)消息执行消息过滤、监管和拓扑隐藏。

当前5G网络体系架构存在的一个漏洞出现在N32接口上，该接口是SEPP之间的接口。如上面所指示的，SEPP充当公共陆地移动网络(PLMN)的安全性筛选节点。N32控制或N32-c接口用于与远程SEPP交换控制消息。N32-c接口上的通信的发起涉及传输层安全(TLS)握手过程，以便为交换N32控制消息建立TLS连接。在交换N32-c消息之后，发生第二TLS握手，以便为N32转发或N32-f接口建立第二TLS连接。N32-f接口上发生的唯一验证是TLS证书是否有效并由受信任的证书颁发机构颁发。因此，黑客SEPP可以假冒真实SEPP的身份，并在转发接口上与受SEPP保护的PLMN进行未经授权的服务通信。在通过PLMN间转发接口接收的服务消息中也没有PLMN的验证。

鉴于这些和其它困难，需要用于减轻SEPP PLMN间转发接口上的假冒攻击的方法、系统和计算机可读介质。

发明内容