CN111386682A - 无线通信***、安全代理装置及中继装置 - Google Patents
无线通信***、安全代理装置及中继装置 Download PDFInfo
- Publication number
- CN111386682A CN111386682A CN201980005878.5A CN201980005878A CN111386682A CN 111386682 A CN111386682 A CN 111386682A CN 201980005878 A CN201980005878 A CN 201980005878A CN 111386682 A CN111386682 A CN 111386682A
- Authority
- CN
- China
- Prior art keywords
- message
- signature
- unit
- predetermined element
- relay device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000004891 communication Methods 0.000 title claims description 32
- 230000008859 change Effects 0.000 claims abstract description 45
- 238000010295 mobile communication Methods 0.000 claims abstract description 20
- 238000010586 diagram Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 18
- 230000004048 modification Effects 0.000 description 12
- 238000012986 modification Methods 0.000 description 12
- 230000004044 response Effects 0.000 description 10
- 238000000034 method Methods 0.000 description 8
- 238000005538 encapsulation Methods 0.000 description 5
- 238000012217 deletion Methods 0.000 description 4
- 230000037430 deletion Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 230000011664 signaling Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000007792 addition Methods 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 229940119265 sepp Drugs 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/102—Route integrity, e.g. using trusted paths
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W92/00—Interfaces specially adapted for wireless communication networks
- H04W92/16—Interfaces between hierarchically similar devices
- H04W92/24—Interfaces between hierarchically similar devices between backbone network devices
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
vSEPP(210)对从移动通信网络接收到的原始消息中所包含的预定元素进行封装,并附加针对封装了预定元素的第1消息的第1签名。中继装置(310)接收第1消息,对第1消息中所包含的预定元素进行解封装,并执行针对预定元素的变更。中继装置(310)附加针对包含变更后的预定元素的第2消息的第2签名,并将该第2消息朝向HPLMN(30)进行中继。
Description
技术领域
本发明涉及一种无线通信***、安全代理装置及中继装置,尤其是,涉及受访网络(visited network)与归属网络(home network)之间的消息的安全性以及完整性。
背景技术
在第三代合作伙伴计划(3rd Generation Partnership Project,3GPP)中,对长期演进(Long Term Evolution,LTE)进行了规范化,以LTE的进一步的高速化为目的而对LTE-Advanced(以下,包含LTE-Advanced在内而称为LTE)进行了规范化。此外,在3GPP中,还进一步研究了作为LTE的后继***的5G***的规范。
在5G***中,作为用户装置(UE)的归属网络(Home Public Land Mobile Network(HPLMN):归属公共陆地移动网络)与UE的受访网络(Visited PLMN(VPLMN))的连接点中的参考点(reference point),规定了N32(参照非专利文献1)。
具体来说,N32被规定为VPLMN侧的安全代理装置(具体来说是安全边缘保护代理(Security Edge Protection Proxy)(vSEPP))与HPLMN侧的SEPP(hSEPP)之间的参考点。
现有技术文献
非专利文献
非专利文献1:3GPP TS 23.501 V15.0.0 Subclause 4.2.4 Roaming referencearchitectures,3rd Generation Partnership Project;Technical SpecificationGroup Services and System Aspects;System Architecture for the 5G System;Stage2(Release 15)、3GPP,2017年12月
发明内容
在vSEPP与hSEPP之间(N32)实际上存在IP exchange(IPX)的提供商(IPX提供商:IPX provider)。IPX提供商根据运行的条件等,有时需要进行在VPLMN与HPLMN之间中继的消息(代表性地,有HTTP请求(HTTP Request),HTTP应答(HTTP Response)等)的元素的削除、变更或者追加等。
另一方面,当为了确保在VPLMN与HPLMN之间中继的消息的完整性(integrity)而对消息进行了加密时,不能进行上述那样的削除、变更或者追加等。
在此,本发明是鉴于上述情况而完成的,目的在于提供一种无线通信***、安全代理装置及中继装置,能够确保在VPLMN与HPLMN之间中继的消息的完整性,同时能够进行该消息中所包含的信息元素以及该信息元素的削除、变更或者追加等。
根据本发明的一个方面,一种无线通信***(无线通信***10),所述无线通信***包含与移动通信网络(VPLMN20)连接的安全代理装置(vSEPP210)以及与所述安全代理装置连接的中继装置(中继装置310),其中,所述安全代理装置具有:封装部(封装部211),其对从所述移动通信网络接收到的原始消息(HTTP Request)中所包含的预定元素进行封装;第1签名部(签名部213),其附加针对第1消息的第1签名,所述第1消息是由所述封装部对所述预定元素进行封装而得到的;以及消息发送部(消息发送部215),其将所述第1消息发送给所述中继装置,所述中继装置具有:消息接收部(消息接收部311),其接收所述第1消息;变更部(变更部313),其对所述第1消息中所包含的所述预定元素进行解封装,并执行针对所述预定元素的变更;第2签名部(签名部315),其附加针对第2消息的第2签名,所述第2消息包含由所述变更部变更后的所述预定元素;以及消息中继部(消息中继部317),其将所述第2消息朝向其它的移动通信网络进行中继。
根据本发明的一个方面,一种安全代理装置,所述安全代理装置与移动通信网络连接,其中,所述安全代理装置具有:封装部,其对从所述移动通信网络接收到的原始消息中所包含的预定元素进行封装;第1签名部,其附加针对第1消息的第1签名,所述第1消息是由所述封装部对所述预定元素进行封装而得到的;以及消息发送部,其将所述第1消息发送至与所述安全代理装置连接的中继装置。
根据本发明的一个方面,一种中继装置,所述中继装置与安全代理装置连接,所述安全代理装置与移动通信网络连接,其中,所述中继装置具有:消息接收部,其接收所述安全代理装置从所述移动通信网络接收到的原始消息中所包含的预定元素被封装而得到的第1消息;变更部,其对所述第1消息中所包含的所述预定元素进行解封装,并执行针对所述预定元素的变更;第2签名部,其附加针对第2消息的第2签名,所述第2消息包含由所述变更部变更后的所述预定元素;以及消息中继部,其将所述第2消息朝向其它的移动通信网络进行中继。
附图说明
图1是无线通信***10的整体概略结构图。
图2是示出vSEPP210与hSEPP220之间的网络的结构例的图。
图3是vSEPP210的功能块结构图。
图4是中继装置310的功能块结构图。
图5是示出VPLMN20与HPLMN30之间的消息的中继时序的图。
图6A是示出vSEPP210中的HTTP请求(HTTP Request)的变更例的图。
图6B是示出vSEPP210中的HTTP请求(HTTP Request)的变更例的图。
图7是示出vSEPP210中的针对HTTP请求(HTTP Request)的签名例的图。
图8是示出中继装置310中的HTTP请求(HTTP Request)的变更例的图。
图9是示出中继装置310中的针对HTTP请求(HTTP Request)的变更历史的追加、以及针对HTTP请求(HTTP Request)的签名例的图。
图10是示出中继装置310中的"requesthistory"(变更历史)的数组的记载例的图。
图11是示出中继装置320中的针对HTTP请求(HTTP Request)的签名例的图。
图12是示出vSEPP210以及中继装置310的硬件结构的一例的图。
具体实施方式
以下,根据附图对实施方式进行说明。另外,对相同的功能或者结构赋予相同或者类似的标号,并适当省略其说明。
(1)无线通信***的整体概略结构
图1是示出本实施方式所涉及的无线通信***10的整体概略结构图。无线通信***10是遵循5G新空口(New Radio:NR)的无线通信***。无线通信***10包含受访公共陆地移动网络30(Visited Public Land Mobile Network,以下称为VPLMN20)以及归属公共陆地移动网络20(Home Public Land Mobile Network,以下称为HPLMN30)。
用户装置50(以下,称为UE50)能够接入VPLMN20以及HPLMN30,与VPLMN20中所包含的无线接入网络((R)AN)、以及HPLMN30中所包含的无线接入网络(未图示)、具体来说是gNB(无线基站)进行无线通信。
VPLMN20由多个功能实体构成。具体来说,VPLMN20包含NSSF(Network SliceSelection Function:网络切片选择功能)、NEF(Network Exposure Function:网络开放功能)、NRF(Network Repository Function:网络存储功能)、PCF(Policy ControlFunction:策略控制功能)、AF(Application Function:应用功能)。
此外,VPLMN20包含AMF(Access and Mobility Management Function:访问和移动性管理功能)以及SMF(Session Management Function:会话管理功能)。通过这些功能实体提供网络功能110(Network Function 110)(以下,称为NF110)。另外,VPLMN20包含UPF(User Plane Function:用户平面功能)以及DN(Data Network:数据网络)。
HPLMN30也具有与VPLMN20大致同样的结构。HPLMN30包含AUSF(AuthenticationServer Function:认证服务器功能)以及UDM(Unified Data Management:统一数据管理)。通过这些功能实体提供网络功能120(以下,称为NF120)。
在提供NF110以及NF120的各功能实体中,规定有以“N”为开始的参考点(N3,Nnssf等)。
VPLMN20具有受访安全边缘保护代理210(visited Security Edge ProtectionProxy,以下,称为vSEPP210)。此外,HPLMN30具有归属安全边缘保护代理220(homeSecurity Edge Protection Proxy,以下称为hSEPP220)。
vSEPP210与VPLMN20(移动通信网络)连接。此外,hSEPP220与HPLMN30(其它的移动通信网络)连接。在本实施方式中,vSEPP210和hSEPP220构成安全代理装置。
vSEPP210与hSEPP220之间规定了作为VPLMN20与HPLMN30的连接点中的参考点的N32。
vSEPP210和hSEPP220提供与VPLMN20和HPLMN30之间发送或接收的消息(HTTP请求(HTTP Request)以及HTTP应答(HTTP Response)等)的安全性以及完整性相关的功能。
图2示出vSEPP210与hSEPP220之间的网络的结构例。图2所示,vSEPP210与hSEPP220之间存在IPX提供商(IPX provider)。
具体来说,存在vSEPP210侧的IPX提供商1以及hSEPP220侧的IPX提供商2。
IPX提供商1具有对在vSEPP210与hSEPP220之间发送或接收的消息进行中继的中继装置310。同样地,IPX提供商2具有中继该消息的中继装置320。
中继装置310与vSEPP210连接。中继装置320与hSEPP220连接。中继装置310和中继装置320提供预定的服务,尤其是,在本实施方式中,能够根据该IPX提供商的运行条件等,执行针对作为被中继的消息中所包含的信息元素的一部分的预定元素(HTTP-headers中所包含的Content-Length等)的变更(包含元素的削除以及追加等)。
(2)无线通信***的功能块结构
接着,对无线通信***10的功能块结构进行说明。具体来说,对vSEPP210和中继装置310的功能块结构进行说明。
(2.1)vSEPP210
图3是vSEPP210的功能块结构图。如图3所示,vSEPP210具有封装部211、签名部213以及消息发送部215。另外,hSEPP220也具有与vSEPP210同样的结构。
封装部211对从VPLMN20接收到的原始消息中所包含的预定元素进行封装。具体来说,封装部211使用通过预定的密钥交换机制取得的密钥,对作为原始消息所包含的SBA(Service Base Architecture:服务基础架构)中的接口的SBI(Service BasedInterface:基于服务的接口)上的Request(SBI Request)的主体(body)以及报头(header)等进行封装。
更具体来说,封装部211对通过遵循JavaScript(注册商标)Object Notation(JSON)的预定的数据格式规定的元素(element)进行封装。另外,关于作为封装对象的元素的具体例将在后面进一步阐述。
签名部213附加针对包含由封装部211封装了预定元素的SBI请求(SBI Request)在内的消息(第1消息)的签名(第1签名)。在本实施方式中,签名部213构成第1签名部。另外,签名部213不仅具有附加签名的功能,还具有验证所附加的签名的功能。
具体来说,签名部213针对从封装部211输出的SBI请求(SBI Request)中所包含的保护对象的报头以及有效载荷中所包含的元素,附加VPLMN20(Mobile Network Operator:移动网络运营商(MNO))的签名。另外,关于由vSEPP210进行的签名的具体例将在后面进一步阐述。
消息发送部215将针对从VPLMN20接收到的原始消息执行了变更的消息(第1消息)发送给中继装置310。具体来说,消息发送部215向中继装置310发送由签名部213附加了签名的消息(第1消息)。
(2.2)中继装置310
图4是中继装置310的功能块结构图。如图4所示,中继装置310具有消息接收部311、变更部313、签名部315以及消息中继部317。另外,中继装置320也具有与中继装置310同样的结构。
消息接收部311从vSEPP210接收消息。具体来说,消息接收部311接收封装有SBI请求(SBI Request)的预定元素并且附加有MNO的签名的消息(第1消息)。
变更部313对由消息接收部311接收到的消息中所包含的该预定元素进行解封装(decapsulate)。具体来说,变更部313使用通过预定的密钥交换机制取得的密钥,对该预定元素进行解封装。
此外,变更部313执行针对解封装后的预定元素(SBI Request的主体以及报头等)的变更。如上所述,针对预定元素的变更包含元素的削除以及追加等。
具体来说,变更部313根据遵循JSON的预定的数据格式,执行针对该预定元素的变更。
更具体来说,变更部313使用JSON-Patch机制(JSON-Patch mechanism),执行针对SBI请求(SBI Request)的内容的变更。这种变更被称为JSON-Patch(RFC6902)。另外,关于针对该预定元素的变更的具体例将在后面进一步阐述。
签名部315附加针对包含由变更部313进行了变更的预定元素在内的消息(第2消息)的签名(第2签名)。在本实施方式中,签名部315构成第2签名部。另外,签名部315不仅具有附加签名的功能,还具有验证所附加的签名的功能。
具体来说,签名部315针对由变更部313进行的该预定元素的变更历史,附加IPX提供商1的签名。该变更历史包含vSEPP210中的封装的内容、以及基于VPLMN20的MNO的签名(第1签名)。
更具体来说,签名部315在元素的数组(array)中对该JSON-Patch附加签名,以保证包含所列表的变更对象的元素(链接列表元素(Linked list elements)("next","previous"))在内的JSON-Patch的完整性。
链接列表元素(Linked list elements)可以表示多个JSON-Patch的正确的应用顺序,能够防止非法的内容的窜改等。另外,关于由中继装置310进行的签名的具体例将在后面进一步阐述。
消息中继部317将包含由变更部313进行了变更的预定元素的消息(第2消息)向HPLMN30(其它的移动通信网络)进行中继。具体来说,消息中继部317将由签名部315附加有签名的消息(第2消息)向HPLMN30进行中继。
即,由消息中继部317中继的消息包含VPLMN20的MNO的签名(第1签名)、IPX提供商1的签名(第2签名)、以及由变更部313进行的该预定元素的变更历史。
(3)无线通信***的动作
接着,对无线通信***10的动作进行说明。具体来说,说明VPLMN20与HPLMN30之间的消息的中继时序、vSEPP210与中继装置310中的消息的变更例、以及针对vSEPP210与中继装置310中的消息的签名例。
(3.1)消息的中继时序
图5示出VPLMN20与HPLMN30之间的消息的中继时序。在此,对该消息是SBI请求(SBI Request)、更具体来说是HTTP请求(HTTP Request)的示例进行说明。
如图5所示,VPLMN20中所包含的NF110根据来自UE50的请求等,向vSEPP210发送HTTP请求(HTTP Request)(S10)。
vSEPP210对接收到的HTTP请求(HTTP Request)中所包含的预定元素进行封装,并且针对封装后的预定元素附加VPLMN20的MNO的签名(S20)。vSEPP210将包含封装后的预定元素且附加有签名的HTTP请求(HTTP Request)发送给由IPX提供商1运行的中继装置310(S30)。
中继装置310对从vSEPP210接收到的HTTP请求(HTTP Request)(消息)中的预定元素执行变更,并且针对该预定元素的变更历史附加IPX提供商1的签名(S40)。
另外,中继装置310如上所述地对所封装的预定元素进行解封装,并执行该变更。此外,关于执行该变更的理由,可以列举IPX提供商1中的运行条件(各种元素的上限值等)等。作为更具体的示例,即使在“Homogenous Support of IMS Voice over PS Sessions(PS会话上的IMS语音的同类支持)”(VoLTE驻留于该LTE节点时经常是可能的)是“支持(support)”的情况下,当两家公司之间没有漫游协议时,HPLMN在来电判断中需要忽视该旗标(flag)而设为不能进行VoLTE。然而,在来电判断中,当旗标为“支持(support)”时,规范规定为接收到VoLTE来电,因此需要修正该旗标。
中继装置310将包含执行了变更的该预定元素且附加有签名的HTTP请求(HTTPRequest)发送给由IPX提供商2运行的中继装置320(S50)。
中继装置320针对从中继装置310接收到的HTTP请求(HTTP Request)(具体来说是HTTP Request中所包含的预定元素的变更历史)附加IPX提供商2的签名(S60)。
中继装置320将进一步附加有IPX提供商2的签名的HTTP请求(HTTP Request)发送给hSEPP220(S70)。
hSEPP220确认从中继装置320接收到的HTTP请求(HTTP Request)中所包含的全部签名,并根据该HTTP请求(HTTP Request)中所包含的变更历史,重新生成服务请求(SBIRequest)(S80)。
hSEPP220将重新生成的SBI请求(SBI Request)、具体来说是HTTP请求(HTTPRequest)发送给NF120(S90)。
(3.2)消息的变更例以及针对消息的签名例
接着,对vSEPP210、中继装置310(IPX提供商1)和中继装置320(IPX提供商2)中的消息(HTTP Request)的变更例以及针对消息的签名例进行说明。
(3.2.1)vSEPP210
图6A和图6B示出了vSEPP210中的HTTP Request的变更例。具体来说,图6A示出预定元素变更前的HTTP Request,图6B示出该预定元素变更后的HTTP Request。
如图6A以及图6B所示,vSEPP210追加遵循JSON封装了预定元素的信息(参照图6B的"requesthistory"的部分)。
具体来说,vSEPP210遵循JSON对HTTP Request的主体(body)、报头(headers)、URI等进行封装。此外,该元素的追加的方法(verb)为POST。另外,URI在所有的HTTP Request中可以是公共的。
图7示出针对vSEPP210中的HTTP Request的签名例。如图7所示,vSEPP210针对HTTP Request中所包含的保护对象的报头以及有效载荷中所包含的元素,附加VPLMN20的MNO的签名(参照图7的{protectedHeader.protectedPayload.signature}的部分)。
保护对象的报头(protectedHeader)包含与HTTP Request的描述相关的算法以及密钥的ID。此外,保护对象的有效载荷(body)包含遵循JSON的对象(object)。
vSEPP210根据JSON Web Signature(RFC7515),确保该HTTP Request的完整性(integrity)。作为签名,可以使用椭圆曲线数字签名算法(Elliptic Curve DigitalSignature Algorithm,ECDSA)或者基于哈希的消息验证码(Hash-based MessageAuthentication Code,HMAC)等。
(3.2.2)中继装置310
图8示出中继装置310中的HTTP Request的变更例。图8所示的示例中,IPX提供商1一旦结束该HTTP Request,则执行将TCP连接(TCP connection)转发至新的主机(在此,为IPX提供商2(IPX2))的变更(参照图8的下划线部分)。
图9示出中继装置310中的针对HTTP Request的变更历史的追加、以及针对HTTPRequest的签名例。如图9所示,中继装置310针对"requesthistory"(变更历史)的数组(array)追加图8所示的HTTP Request的变更内容。如上所述,在本实施方式中,这样的变更内容根据JSON-Patch(RFC6902)来追加。
此外,中继装置310针对HTTP Request中所包含的保护对象的报头以及有效载荷中所包含的元素附加IPX提供商1的签名(参照图9的{pprotectedHeaderIPX1.protectedPayloadIPX1.signatureIPX1}的部分)。
图10示出中继装置310中的"requesthistory"(变更历史)的数组的记载例。如图10所示,"previous"表示针对比中继装置310(IPX提供商1)靠前的定时中的HTTP Request的变更者(在此为vSEPP210,即,VPLMN20的MNO)。
"next"表示针对下一个定时中的HTTP Request的变更者。另外,在该变更者未知的情况下,可以是空栏。此外,当在该变更者中不需要进行针对HTTP Request的变更的情况下,也可以没有JSON-Patch的部分。通过进行图10所示的记载,构成了表示针对HTTPRequest的变更历史的定时的链接列表元素(Linked list elements)。
此外,图10的下划线部分表示具体的变更位置的示例。“Content-Length”可以根据新的元素(new_element)的数量而变化。
(3.2.3)中继装置320
图11示出针对中继装置320中的HTTP Request的签名例。在此,中继装置320不执行针对从中继装置310接收到的HTTP Request的变更,而针对该HTTP Request附加IPX提供商2的签名。
如图11所示,针对HTTP Request中所包含的保护对象的报头以及有效载荷中所包含的元素,附加VPLMN20的MNO的签名(参照图11的{protectedHeaderIPX2.protectedPayloadIPX2.signatureIPX2}的部分)。签名的方法与vSEPP210以及中继装置320是同样的。
(4)作用·效果
根据上述的实施方式,能够得到以下的作用效果。具体来说,vSEPP210附加针对包含封装了预定元素的SBI Request(HTTP Request)在内的消息(第1消息)的签名(第1签名)。
此外,中继装置310从vSEPP210接收该消息,执行针对解封装后的预定元素(SBIRequest的主体以及报头等)的变更。另外,中继装置310附加针对包含变更后的预定元素的消息(第2消息)的签名(第2签名)。
因此,中继装置310(IPX提供商1)能够根据运行条件等,变更该消息的内容。此外,由于该消息中附加有各实体(VPLMN20的MNO、IPX提供商1以及IPX提供商2)的签名,因此也能够确保该消息的完整性。
即,根据包含vSEPP210以及中继装置310的无线通信***10,能够确保在VPLMN20与HPLMN30之间中继的消息的完整性,同时能够进行该消息的削除、变更或者追加等。
在本实施方式中,中继装置310(变更部313)根据遵循JSON的预定的数据格式(JSON-Patch),执行针对该预定元素的变更。因此,能够使用现有的格式容易且可靠地实现针对该预定元素的变更。
在本实施方式中,中继装置310(签名部315)能够针对该预定元素的变更历史("requesthistory")附加签名(第2签名)。因此,关于针对该预定元素的变更的时间序列,也能够确保完整性。
另外,中继装置310(消息中继部317)能够将包含VPLMN20的MNO的签名(第1签名)、IPX提供商1的签名(第2签名)、以及上述的变更历史在内的消息(第2消息)中继给HPLMN30。因此,HPLMN30在确认了确保接收到的该消息(还包含变更的时间序列在内)的完整性之后UE,向HPLMN30内的预定目的地发送该消息。
另外,为了能够得到与上述的无线通信***10同样的效果,可以考虑在相邻的各功能实体之间发送或接收HTTP请求(HTTP Request)以及HTTP应答(HTTP Response)的方法,但由于无线通信***10内的时序数量增大,因此从应答(response)的观点来看不是优选。
(5)其它的实施方式
以上,依据实施方式对本发明的内容进行了说明,但本发明不限于这些记载,能够进行各种各样的变形以及改良,这对于本领域的技术人员来说是显而易见的。
例如,在上述实施方式中,为了变更消息中所包含的预定元素,使用了JSON-Patch(RFC6902),但是可以使用其它的方法,例如可以使用JSON-Merge-Patch(RFC7396)。或者也可以使用diff,binary diff或者http-patch。即,只要能够应用于数据、消息、句法信息等的变更、交互等,可以使用任意的程序集(procedure set)·数据描述语言。
在上述的实施方式中,以SBI Request(HTTP Request)为例进行了说明,但是对于SBA Response(HTTP Response)也是同样的。
此外,在上述实施方式中,以vSEPP210和中继装置310的动作为例进行了说明,但hSEPP220和中继装置320也可以同样地进行动作。
另外,在上述实施方式中,对在vSEPP210与hSEPP220之间存在IPX提供商的装置(中继装置310以及中继装置320)的示例进行了说明,但也可以介在IPX提供商以外的装置。
此外,上述的实施方式的说明中使用的功能块结构图(图3、4)示出了功能块。这些功能块(构成部)可以通过硬件和/或软件的任意组合来实现。此外,对各功能块的实现手段没有特别限定。即,各功能块可以通过物理地和/或逻辑地结合而成的一个装置来实现,也可以将物理地和/或逻辑地分开的两个以上的装置(例如,通过有线和/或无线)直接连接和/或间接连接,通过这些多个装置来实现。
另外,上述的vSEPP210和中继装置310可以作为进行本发明的处理的计算机来发挥功能。图12为示出vSEPP210和中继装置310的硬件结构的一例的图。如图12所示,该装置可以构成为包含处理器1001、内存(memory)1002、存储器(storage)1003、通信装置1004、输入装置1005、输出装置1006、以及总线1007等的计算机装置。
该装置的各功能块(参照图3、4)可以通过该计算机装置的任意硬件要素、或者该硬件要素的组合来实现。
处理器1001例如使操作***工作而对计算机整体进行控制。处理器1001也可以由包含与周边装置的接口、控制装置、运算装置、寄存器等的中央处理装置(CPU)构成。
内存1002是计算机可读取的记录介质,例如也可以由ROM(Read Only Memory:只读存储器)、EPROM(Erasable Programmable ROM:可擦除可编程ROM)、EEPROM(Electrically Erasable Programmable ROM:电可擦除可编程ROM)、RAM(Random AccessMemory:随机存取存储器)等中的至少一个构成。内存1002也可以称为寄存器、高速缓存、主存储器(主存储装置)等。内存1002能够保存可执行上述的实施方式所涉及的方法的程序(程序代码)、软件模块等。
存储器1003是计算机可读取的记录介质,例如可以由CD-ROM(Compact Disc ROM)等光盘、硬盘驱动器、软盘、磁光盘(例如压缩盘、数字多功能盘、蓝光(Blu-ray)(注册商标)盘、智能卡、闪存(例如卡、棒、键驱动(Key drive))、软盘(Floppy)(注册商标)、磁条等中的至少一方构成。存储器1003也可以称为辅助存储装置。上述的存储介质可以是例如包含内存1002和/或存储器1003的数据库、服务器及其它适当的介质。
通信装置1004是用于经由有线和/或无线网络进行计算机之间的通信的硬件(收发设备),例如,也可以称为网络设备、网络控制器、网卡、通信模块等。
输入装置1005是受理来自外部的输入的输入设备(例如,键盘、鼠标、麦克风、开关、按键、传感器等)。输出装置1006是实施向外部的输出的输出设备(例如,显示器、扬声器、LED灯等)。另外,输入装置1005和输出装置1006也可以一体地构成(例如,触摸面板)。
此外,处理器1001及内存1002等各装置通过用于对信息进行通信的总线1007来连接。总线1007可以由单一的总线构成,也可以在装置间由不同的总线构成。
信息的通知不限于上述的实施方式,也可以通过其它方法进行。例如,信息的通知可以通过物理层信令(例如,DCI(Downlink Control Information:下行链路控制信息)、UCI(Uplink Control Information:上行链路控制信息))、高层信令(例如,RRC信令、MAC(Medium Access Control:媒体访问控制)信令、广播信息(MIB(Master InformationBlock:主信息块)、SIB(System Information Block:***信息块))、其它信号或它们的组合来实施。此外,RRC信令也可以称为RRC消息,例如可以是RRC连接创建(RRC ConnectionSetup)消息、RRC连接重新设定(RRC Connection Reconfiguration)消息等。
另外,输入或输出的信息可以保存在特定的位置(例如,内存)中,也可以通过管理表进行管理。输入或输出的信息可以被重写、更新或追记。所输出的信息也可以被删除。所输入的信息也可以被发送给其它装置。
对于上述实施方式中的时序以及流程等,在不矛盾的情况下可以更换顺序。
此外,在上述的实施方式中,由vSEPP210以及中继装置310执行的特定动作,有时也可由其它的网络节点(装置)来进行。此外,也可以由多个其它网络节点的组合来提供vSEPP210以及中继装置310的功能。
此外,对于本说明书中说明的用语和/或理解本说明书所需的用语,可以与具有相同或类似的意思的用语进行置换。例如,在具有相应的记载的情况下,信道和/或码元(symbol)可以是信号(signal)。此外,信号可以是消息(message)。另外,“***”和“网络”等用语也可以互换地使用。
另外,参数等可以通过绝对值表示,也可以通过相对于规定值的相对值来表示,还可以通过对应的其它信息来表示。例如,可以通过索引指示无线资源。
gNB(基站)能够收纳1个或者多个(例如,3个)小区(也称为扇区)。在基站收纳多个小区的情况下,基站的覆盖区域整体能够划分为多个更小的区域,各个更小的区域也能够通过基站子***(例如,室内用的小型基站RRH:Remote Radio Head(远程无线头))提供通信服务。
“小区”或者“扇区”这样的用语是指在该覆盖范围内进行通信服务的基站、和/或基站子***的覆盖区域的一部分或者整体。
进而,“基站”“eNB”“小区”以及“扇区”这样的用语在本说明书中可以互换地使用。对于基站,也用下述用语来称呼:固定站(fixed station)、NodeB、eNodeB(eNB)、gNodeB(gNB)、接入点(access point)、毫微微小区、小型小区等。
对于UE 50,根据本领域技术人员的不同,有时也用下述用语来称呼:订户站、移动单元(mobile unit)、订户单元、无线单元、远程单元、移动设备、无线设备、无线通信设备、远程设备、移动订户站、接入终端、移动终端、无线终端、远程终端、手持机、用户代理(useragent)、移动客户端、客户端或一些其它适当的用语。
本说明书中使用的“根据”这样的记载,除非另有明确记载,不是“仅根据”的意思。换而言之,“根据”这样的记载意味着“仅根据”和“至少根据”这两者。
此外,“包括(include)”、“包含(including)”及其变形用语与“具有(comprising)”同样地表示包括性的。并且,在本说明书或者权利要求书中使用的用语“或者(or)”意味着不是异或。
针对使用了本说明书中使用的“第一”、“第二”等称呼的要素的任何参照,也并非全部限定这些要素的数量和顺序。这些呼称在本说明书中被用作区分2个以上的要素之间的简便方法。因此,针对第一和第二要素的参照不表示在此仅能采取2个要素或者在任何形态下第一要素必须先于第二要素。
在本说明书的整体中,例如,在通过翻译增加了如英语中的a、an以及the这样的冠词的情况下,除非上下文明确示出并非如此,否则可以视为包括多个。
如上所述地记载了本发明的实施方式,但构成该公开的一部分的论述以及附图不应该理解为对本发明进行限定。对本领域技术人员来说,根据该公开而得到各种各样的代替实施方式、实施例以及运用技术是显而易见的。
标号说明:
10 无线通信***
20 VPLMN
30 HPLMN
50 UE
110 NF
120 NF
210 vSEPP
211 封装部
213 签名部
215 消息发送部
220 hSEPP
310 中继装置
311 消息接收部
313 变更部
315 签名部
317 消息中继部
320 中继装置
1001 处理器
1002 内存
1003 存储器
1004 通信装置
1005 输入装置
1006 输出装置
1007 总线
Claims (6)
1.一种无线通信***,所述无线通信***包含与移动通信网络连接的安全代理装置以及与所述安全代理装置连接的中继装置,其中,
所述安全代理装置具有:
封装部,其对从所述移动通信网络接收到的原始消息中所包含的预定元素进行封装;
第1签名部,其附加针对第1消息的第1签名,所述第1消息是由所述封装部对所述预定元素进行封装而得到的;以及
消息发送部,其将所述第1消息发送给所述中继装置,
所述中继装置具有:
消息接收部,其接收所述第1消息;
变更部,其对所述第1消息中所包含的所述预定元素进行解封装,并执行针对所述预定元素的变更;
第2签名部,其附加针对第2消息的第2签名,所述第2消息包含由所述变更部变更后的所述预定元素;以及
消息中继部,其将所述第2消息朝向其它的移动通信网络进行中继。
2.根据权利要求1所述的无线通信***,其中,
所述变更部根据预定的数据格式执行针对所述预定元素的变更。
3.根据权利要求1所述的无线通信***,其中,
所述第2签名部针对所述变更部对所述预定元素的变更历史,附加所述第2签名。
4.根据权利要求3所述的无线通信***,其中,
所述消息中继部对包含所述第1签名、所述第2签名以及所述变更历史的所述第2消息进行中继。
5.一种安全代理装置,所述安全代理装置与移动通信网络连接,其中,所述安全代理装置具有:
封装部,其对从所述移动通信网络接收到的原始消息中所包含的预定元素进行封装;
第1签名部,其附加针对第1消息的第1签名,所述第1消息是由所述封装部对所述预定元素进行封装而得到的;以及
消息发送部,其将所述第1消息发送至与所述安全代理装置连接的中继装置。
6.一种中继装置,所述中继装置与安全代理装置连接,所述安全代理装置与移动通信网络连接,其中,所述中继装置具有:
消息接收部,其接收所述安全代理装置从所述移动通信网络接收到的原始消息中所包含的预定元素被封装而得到的第1消息;
变更部,其对所述第1消息中所包含的所述预定元素进行解封装,并执行针对所述预定元素的变更;
第2签名部,其附加针对第2消息的第2签名,所述第2消息包含由所述变更部变更后的所述预定元素;以及
消息中继部,其将所述第2消息朝向其它的移动通信网络进行中继。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311056196.1A CN116866080A (zh) | 2018-02-21 | 2019-02-20 | 无线通信*** |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2018-029222 | 2018-02-21 | ||
| JP2018029222 | 2018-02-21 | ||
| PCT/JP2019/006254 WO2019163810A1 (ja) | 2018-02-21 | 2019-02-20 | 無線通信システム、セキュリティプロキシ装置及び中継装置 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311056196.1A Division CN116866080A (zh) | 2018-02-21 | 2019-02-20 | 无线通信*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111386682A true CN111386682A (zh) | 2020-07-07 |
Family
ID=67686820
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980005878.5A Pending CN111386682A (zh) | 2018-02-21 | 2019-02-20 | 无线通信***、安全代理装置及中继装置 |
| CN202311056196.1A Pending CN116866080A (zh) | 2018-02-21 | 2019-02-20 | 无线通信*** |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311056196.1A Pending CN116866080A (zh) | 2018-02-21 | 2019-02-20 | 无线通信*** |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20200329044A1 (zh) |
| EP (1) | EP3709580A4 (zh) |
| JP (1) | JP6966624B2 (zh) |
| CN (2) | CN111386682A (zh) |
| AU (1) | AU2019224247B2 (zh) |
| WO (1) | WO2019163810A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP3850813A4 (en) * | 2018-09-10 | 2022-04-27 | Nokia Technologies Oy | NETWORK MESSAGING METHOD AND APPARATUS |
| US20210306326A1 (en) * | 2020-03-27 | 2021-09-30 | Nokia Technologies Oy | Enhanced hop by hop security |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020004899A1 (en) * | 2000-07-05 | 2002-01-10 | Nec Corporation | Secure mail proxy system, method of managing security, and recording medium |
| CN101843075A (zh) * | 2007-11-01 | 2010-09-22 | 爱立信电话股份有限公司 | 通过代理连接的主机之间的安全邻居发现 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW313642B (en) * | 1996-06-11 | 1997-08-21 | Ibm | A uniform mechanism for using signed content |
| JP4546105B2 (ja) * | 2004-02-03 | 2010-09-15 | 株式会社日立製作所 | メッセージ交換方法、およびメッセージ変換システム |
| US7496750B2 (en) * | 2004-12-07 | 2009-02-24 | Cisco Technology, Inc. | Performing security functions on a message payload in a network element |
| US8130768B1 (en) * | 2005-07-14 | 2012-03-06 | Avaya Inc. | Enhanced gateway for routing between networks |
| JP4989259B2 (ja) * | 2007-03-06 | 2012-08-01 | 株式会社日立製作所 | 署名情報処理方法、そのプログラムおよび情報処理装置 |
| US9800580B2 (en) * | 2015-11-16 | 2017-10-24 | Mastercard International Incorporated | Systems and methods for authenticating an online user using a secure authorization server |
| EP3744061B1 (en) * | 2018-01-25 | 2021-11-03 | iBasis, Inc. | Ipx signaling security |
| US11038923B2 (en) * | 2018-02-16 | 2021-06-15 | Nokia Technologies Oy | Security management in communication systems with security-based architecture using application layer security |
| MX2020007578A (es) * | 2018-02-16 | 2020-09-14 | Ericsson Telefon Ab L M | Proteccion de un mensaje transmitido entre dominios de red central. |
| CN111742529B (zh) * | 2018-02-19 | 2023-03-10 | 瑞典爱立信有限公司 | 基于服务的架构(sba)中的安全协商 |
-
2019
- 2019-02-20 CN CN201980005878.5A patent/CN111386682A/zh active Pending
- 2019-02-20 CN CN202311056196.1A patent/CN116866080A/zh active Pending
- 2019-02-20 EP EP19756464.4A patent/EP3709580A4/en active Pending
- 2019-02-20 US US16/766,984 patent/US20200329044A1/en active Pending
- 2019-02-20 JP JP2020500984A patent/JP6966624B2/ja active Active
- 2019-02-20 WO PCT/JP2019/006254 patent/WO2019163810A1/ja unknown
- 2019-02-20 AU AU2019224247A patent/AU2019224247B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020004899A1 (en) * | 2000-07-05 | 2002-01-10 | Nec Corporation | Secure mail proxy system, method of managing security, and recording medium |
| CN101843075A (zh) * | 2007-11-01 | 2010-09-22 | 爱立信电话股份有限公司 | 通过代理连接的主机之间的安全邻居发现 |
Non-Patent Citations (1)
| Title |
|---|
| NOKIA: "Introduction to Application layer security in SEPP", 《S3-180676,3GPP TSG SA WG3 (SECURITY) MEETING #90BIS》 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116866080A (zh) | 2023-10-10 |
| US20200329044A1 (en) | 2020-10-15 |
| JP6966624B2 (ja) | 2021-11-17 |
| EP3709580A1 (en) | 2020-09-16 |
| AU2019224247A1 (en) | 2020-06-18 |
| JPWO2019163810A1 (ja) | 2020-12-03 |
| WO2019163810A1 (ja) | 2019-08-29 |
| EP3709580A4 (en) | 2020-12-23 |
| AU2019224247B2 (en) | 2021-10-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110786031B (zh) | 用于5g切片标识符的隐私保护的方法和*** | |
| US10771962B2 (en) | Method for updating policy information, network device and terminal device | |
| US20200304983A1 (en) | Obtaining of ue policy | |
| CN109565746B (zh) | Wtru以及wtru中实施的用于无线通信的方法 | |
| CN107637132B (zh) | 用于选择网络分区的方法和装置 | |
| CN114080843A (zh) | 用于增强5g网络的网络切片和策略框架的装置、***和方法 | |
| CN110603828B (zh) | 网络装置和无线通信方法 | |
| JP2013524556A (ja) | 通信システム | |
| RU2760869C1 (ru) | Способ передачи информации терминала и соответствующие продукты | |
| US20210014688A1 (en) | Communication terminal, network device, communication method, and non-transitory computer readable medium | |
| US20190281116A1 (en) | Data Transmission Method, Apparatus, and System, and Storage Medium | |
| JP6966624B2 (ja) | 無線通信システム、セキュリティプロキシ装置及び中継装置 | |
| US20230121491A1 (en) | Method and apparatus for handover | |
| US11228896B2 (en) | Authorization of roaming for new radio subscribers via an alternative radio access technology | |
| US20230106668A1 (en) | Systems and methods for ue-initiated nssaa procedures | |
| CN106888447B (zh) | 副usim应用信息的处理方法及*** | |
| US20190141521A1 (en) | Switch and communication method | |
| WO2022091188A1 (ja) | ネットワークノード及び通信方法 | |
| CN113473509B (zh) | 一种容灾处理方法及装置 | |
| JP6978421B2 (ja) | 移動体通信システム | |
| KR20230023593A (ko) | 제어평면 기반 사용자 장비의 파라미터를 업데이트하는 장치 및 방법 | |
| JP6417177B2 (ja) | 通信制御装置、通信制御システム、及び通信制御方法 | |
| CN113573418A (zh) | 用在eps或5gs中的mn或sn中的装置 | |
| CN116264747A (zh) | 用在管理数据分析管理服务消费方和生产方的装置 | |
| JPWO2019193879A1 (ja) | ユーザ装置、ネットワーク装置及び無線通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20200707 |