CN113382410B - 通信方法和相关装置及计算机可读存储介质 - Google Patents
通信方法和相关装置及计算机可读存储介质 Download PDFInfo
- Publication number
- CN113382410B CN113382410B CN202010109122.XA CN202010109122A CN113382410B CN 113382410 B CN113382410 B CN 113382410B CN 202010109122 A CN202010109122 A CN 202010109122A CN 113382410 B CN113382410 B CN 113382410B
- Authority
- CN
- China
- Prior art keywords
- ipx
- message
- sepp
- public key
- signed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 146
- 230000006854 communication Effects 0.000 title claims abstract description 100
- 238000004891 communication Methods 0.000 title claims abstract description 98
- 238000012795 verification Methods 0.000 claims abstract description 87
- 101000684181 Homo sapiens Selenoprotein P Proteins 0.000 claims abstract description 58
- 102100023843 Selenoprotein P Human genes 0.000 claims abstract description 58
- 229940119265 sepp Drugs 0.000 claims abstract description 53
- 230000004044 response Effects 0.000 claims description 46
- 238000004590 computer program Methods 0.000 claims description 19
- 238000012546 transfer Methods 0.000 claims description 15
- 230000009286 beneficial effect Effects 0.000 abstract description 14
- 230000008569 process Effects 0.000 description 34
- 230000006870 function Effects 0.000 description 31
- 230000002349 favourable effect Effects 0.000 description 17
- 238000010586 diagram Methods 0.000 description 12
- 230000005540 biological transmission Effects 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 7
- 238000007726 management method Methods 0.000 description 7
- 238000004904 shortening Methods 0.000 description 7
- 230000007246 mechanism Effects 0.000 description 6
- 230000011664 signaling Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000008878 coupling Effects 0.000 description 3
- 238000010168 coupling process Methods 0.000 description 3
- 238000005859 coupling reaction Methods 0.000 description 3
- 230000001360 synchronised effect Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000002452 interceptive effect Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/10—Integrity
- H04W12/106—Packet or message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W76/00—Connection management
- H04W76/10—Connection setup
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请实施例提供通信方法和相关装置及存储介质。一种通信方法包括:第一SEPP设备接收来自第一IPX设备的包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥;所述第一SEPP设备接收来自所述第一IPX的第一N32f消息,所述第一N32f消息包含第一签名内容,所述第一签名内容使用所述第一IPX的私钥进行签名;所述第一SEPP设备使用所述第一公钥对所述第一N32f消息进行签名校验。本申请实施例方案有利于提高SEPP和IPX之间的通信安全性。
Description
技术领域
本申请涉及通信技术领域,尤其涉及通信方法和相关的通信装置及相关的计算机可读存储介质。
背景技术
目前,第三代合作伙伴计划(3GPP,3rd Generation Partner Project)定义了安全和边界保护代理(SEPP,Security and Edge Protection Proxy)设备作为5G核心网(5GC,5G Core)的一种边界安全网关。SEPP作为不同运营商网络之间对接的一种代理设备,5G核心网内部的网络功能(NF,Network Function)设备与漫游网络之间的信令交互通过SEPP设备转发。
网际互连协议(IP,Internet Protocol)交换服务(IPX,IP Exchange Service)网络通常可用作各运营商网络之间漫游业务的互联互通,例如将A运营商网络产生的信令或业务数据转发到B运营商网络等。
现有技术还没有提供IPX网络(如IPX网络中的路由设备等)与SEPP设备之间实现安全通信的方案,这种情况下,可能导致SEPP设备和IPX网络的设备之间传递的信令或业务数据被非法获取。
发明内容
本申请实施例提供了通信方法和相关装置及计算机可读存储介质。
本申请实施例第一方面提供一种通信方法,包括:当第一IPX设备向第一SEPP设备(第一IPX设备可为第一SEPP设备直连的IPX设备)发送包含有第一公钥的第一消息,第一SEPP设备可接收来自第一IPX设备的包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥(第一SEPP设备可缓存第一消息包含的第一公钥)。当第一IPX设备接收例如来自第二IPX设备或第二SEPP设备的第一N32f消息,第一IPX设备可向第一SEPP设备转发第一N32f消息。所述第一SEPP设备接收来自所述第一IPX的第一N32f消息,所述第一N32f消息包含第一签名内容,所述第一签名内容使用所述第一IPX的私钥进行签名(所述第一签名内容例如由第一IPX设备使用所述第一IPX的私钥进行签名而得到);所述第一SEPP设备使用所述第一公钥对所述第一N32f消息进行签名校验(具体的,所述第一SEPP设备可使用所述第一公钥对所述第一N32f消息中的第一签名内容进行签名校验)。
可以看出,上述举例方案中,SEPP可直接从直连的IPX获取到IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP则可使用获取到到的IPX的公钥对第一签名内容进行签名校验,从而实现完整性校验等,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。并且,上述方案有利于实现IPX公钥的自动分发,无需人工干预,进而有利于减少IPX公钥(证书)分发过程中的人因差错及传输过程中被攻击的风险。并且IPX公钥分发流程较简化,有利于节约沟通成本,减短IPX公钥分发时长,有利于提高特定场景下的风险处置能力(比如IPX私钥泄露等)。
在一个可能的实施方式中,第一SEPP设备也可以使用所述第一IPX设备的证书对所述第一N32f消息进行签名校验。
其中,所述第一消息可为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息。例如所述第一消息可为服务端问候(Server_Hello)消息或客户端问候(Client_Hello)消息或或客户端秘钥交换(Client_Key_exchange)消息或者服务端秘钥交换(Server_Key_exchange)消息或者证书(Certificate)消息等。
或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间用于建立其它底层安全连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间建立安全连接之后所交互的消息。
可以看出,当所述第一消息为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息,相当于第一IPX设备利用第一SEPP设备与第一IPX设备之间建立TLS连接或建立IPsec连接的流程,来分发第一IPX设备的公钥,这样可无需额外的公钥分发流程,有利于简化实现复杂度。
在一些可能实施方式中,在所述第一SEPP设备接收来自第一IPX设备的包含有第一公钥的第一消息之前,方法还可包括:所述第一SEPP设备向所述第一IPX设备发送用于查询第一IPX设备的公钥的超文本传输协议(HTTP,Hyper Text Transfer Protocol)消息,所述第一消息为所述HTTP消息的响应消息。
例如,在所述第一SEPP设备向所述第一IPX设备发送用于查询第一IPX设备的公钥的HTTP消息之前,所述方法还包括:所述第一SEPP设备与所述第一IPX设备之间建立传输层安全TLS连接或互联网安全协议IPsec连接。
又例如在第一SEPP设备接收来自第一IPX设备的包含有第一公钥的第一消息之前,所述方法还可包括:所述第一SEPP设备向所述第一IPX设备发送用于订阅第一IPX设备的公钥的订阅消息,其中,所述第一消息为所述订阅消息的响应消息。
又例如在第一SEPP设备接收来自第一IPX设备的包含有第一公钥的第一消息之后,所述方法还可包括:所述第一SEPP设备向所述第一IPX设备发送用于订阅第一IPX设备的公钥的订阅消息。
其中,当第一IPX设备接收到用于订阅第一IPX设备的公钥的订阅消息,那么第一IPX设备可以在第一IPX设备的公钥发生更新时,通过订阅消息的响应消息来向第一SEPP设备分发更新的第一IPX设备的公钥。
可以看出,当第一消息为用于查询或订阅第一IPX设备的公钥的消息的响应消息,这就可看作是第一SEPP设备主动请求第一IPX设备分发其公钥,这种机制使得第一SEPP设备可按需来请求第一IPX设备分发其公钥,有利于提高第一SEPP设备获取第一IPX设备的公钥的自主灵活性,进而有利于满足多种差异化的场景需求。
在一些可能实施方式中,所述方法还包括:所述第一SEPP设备接收来自第二SEPP设备的包含有第二公钥的第二消息(第二消息可以是所述第一SEPP设备与第二SEPP设备进行互认证过程中交互的消息),所述第二公钥为所述第二IPX设备的公钥;所述第一N32f消息还包含第二签名内容,且所述第二签名内容使用所述第二IPX设备的私钥进行签名。所述第一SEPP使用所述第二公钥对所述第一N32f消息进行签名校验(具体的,所述第一SEPP设备可使用所述第二公钥对所述第一N32f消息中的第二签名内容进行签名校验)。即,当第一N32f消息包含多个签名内容,所述第一SEPP设备可使用对应公钥对第一N32f消息中的多个签名内容分别进行签名校验,当然各个签名内容的签名校验顺序是不限定的。
在一个可能的实施方式中,第一SEPP设备也可以使用所述第二IPX设备的证书对所述第一N32f消息进行签名校验。
在一些可能实施方式中,所述方法还包括:所述第一SEPP设备接收来自第二SEPP设备的包含有第二公钥的第二消息,所述第二公钥为所述第二IPX设备的公钥;所述第一SEPP设备接收到来自所述第一IPX设备的第二N32f消息,且所述第二N32f消息包含第二签名内容,且所述第二签名内容使用所述第二公钥对应的私钥(第二IPX设备的私钥)进行签名(所述第二N32f消息例如不包含使用第一IPX设备的私钥进行签名的签名内容),所述第一SEPP设备使用所述第二公钥对第二N32f消息进行签名校验(具体的,所述第一SEPP设备可使用所述第二公钥对所述第二N32f消息中的第二签名内容进行签名校验)。
在一个可能的实施方式中,第一SEPP设备也可以使用所述第二IPX设备的证书对所述第二N32f消息进行签名校验。
本申请实施例第二方面提供一种第一SEPP设备,包括:
通信单元,用于接收来自第一IPX设备的包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥。接收来自所述第一IPX的第一N32f消息,所述第一N32f消息包含第一签名内容,所述第一签名内容使用所述第一IPX的私钥进行签名(所述第一签名内容例如由第一IPX设备使用所述第一IPX的私钥进行签名而得到)。
签名校验单元,用于使用第一公钥对所述第一N32f消息进行签名校验(具体的,可使用所述第一公钥对所述第一N32f消息中的第一签名内容进行签名校验)。
其中,所述第一消息可为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间用于建立其它底层安全连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间建立安全连接之后所交互的消息。
在一些可能实施方式中,通信单元还用于,在接收来自第一IPX设备的包含有第一公钥的第一消息之前,向所述第一IPX设备发送用于查询第一IPX设备的公钥的HTTP消息,所述第一消息为所述HTTP消息的响应消息。
例如,第一SEPP设备还包括连接单元,用于在通信单元还用于向所述第一IPX设备发送用于查询第一IPX设备的公钥的HTTP消息之前,与所述第一IPX设备之间建立传输层安全TLS连接或互联网安全协议IPsec连接。
又例如,通信单元还可以用于,在接收来自第一IPX设备的包含有第一公钥的第一消息之前,向所述第一IPX设备发送用于订阅第一IPX设备的公钥的订阅消息,所述第一消息为所述订阅消息的响应消息。
又例如,通信单元还可以用于,在接收来自第一IPX设备的包含有第一公钥的第一消息之后,向所述第一IPX设备发送用于订阅第一IPX设备的公钥的订阅消息。
其中,当第一IPX设备接收到用于订阅第一IPX设备的公钥的订阅消息,那么第一IPX设备可以在第一IPX设备的公钥发生更新时,通过订阅消息的响应消息来向第一SEPP设备分发更新的第一IPX设备的公钥。
在一些可能实施方式中,通信单元还可以用于,接收来自第二SEPP设备的包含有第二公钥的第二消息(第二消息可以是所述第一SEPP设备与第二SEPP设备进行互认证过程中交互的消息),所述第二公钥为所述第二IPX设备的公钥;其中,所述第一N32f消息还包含第二签名内容,且所述第二签名内容使用所述第二IPX设备的私钥进行签名。
签名校验单元还用于,使用第二公钥对所述第一N32f消息进行签名校验(具体可使用所述第二公钥对所述第一N32f消息中的第二签名内容进行签名校验)。即,当第一N32f消息包含多个签名内容,签名校验单元可使用对应公钥对第一N32f消息中的多个签名内容分别进行签名校验,当然各个签名内容的签名校验顺序是不限定的。
在一些可能实施方式中,通信单元还可以用于,接收来自第二SEPP设备的包含有第二公钥的第二消息,所述第二公钥为所述第二IPX设备的公钥;接收到来自所述第一IPX设备的第二N32f消息,且所述第二N32f消息包含第二签名内容,且所述第二签名内容使用所述第二公钥对应的私钥(第二IPX设备的私钥)进行签名(所述第二N32f消息例如不包含使用第一IPX设备的私钥进行签名的签名内容)。
签名校验单元还用于,使用第二公钥对第二N32f消息进行签名校验(具体的,可使用所述第二公钥对所述第二N32f消息中的第二签名内容进行签名校验)。
第二方面提供的SEPP设备的各功能单元的功能实现细节,可参考第一方面所提供方法的相关细节描述,此处不再赘述。
本申请实施例第三方面提供一种通信方法,包括:第一IPX设备向第一SEPP设备发送包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥;所述第一IPX设备接收来自第二IPX设备或第二SEPP设备的第一N32f消息,使用所述第一IPX设备的私钥对所述第一N32f消息进行签名以得到第一签名内容;所述第一IPX设备向所述第一SEPP设备转发所述第一N32f消息,所述第一N32f消息包含所述第一签名内容。
可以看出,上述举例方案中,IPX设备可向直连的SEPP设备发送包含有第一公钥的第一消息,即SEPP可直接从直连的IPX获取到IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP则可使用获取到到的IPX的公钥对第一签名内容进行签名校验,从而实现完整性校验等,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。并且上述方案有利于实现IPX公钥的自动分发,无需人工干预,进而有利于减少IPX公钥(证书)分发过程中的人因差错及传输过程中被攻击的风险。并且IPX公钥分发流程较简化,有利于节约沟通成本,减短IPX公钥分发时长,有利于提高特定场景下的风险处置能力(比如IPX私钥泄露等)。
其中,所述第一消息可为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间用于建立其它底层安全连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间建立安全连接之后所交互的消息。
可以看出,当所述第一消息为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息,相当于第一IPX设备利用第一SEPP设备与第一IPX设备之间建立TLS连接或建立IPsec连接的流程,来分发第一IPX设备的公钥,这样可无需额外的公钥分发流程,有利于简化实现复杂度。
在一些可能实施方式中,在所述第一IPX设备向第一SEPP设备发送包含有第一公钥的第一消息之前,所述方法还可包括:所述第一IPX设备接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息,所述第一消息为所述HTTP消息的响应消息。
例如,在所述第一IPX设备接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息之前,所述方法还包括:所述第一IPX设备与所述第一SEPP设备之间建立传输层安全TLS连接或互联网安全协议IPsec连接。
在另一些可能实施方式中,在所述第一IPX设备向第一SEPP设备发送包含有第一公钥的第一消息之前,所述方法还包括:所述第一IPX设备接收来自所述第一SEPP设备的用于订阅第一IPX设备的公钥的订阅消息,其中,所述第一消息为所述订阅消息的响应消息。
可以看出,当第一消息为用于查询或订阅第一IPX设备的公钥的消息的响应消息,这就可看作是第一SEPP设备主动请求第一IPX设备分发其公钥,这种机制使得第一SEPP设备可按需来请求第一IPX设备分发其公钥,有利于提高第一SEPP设备获取第一IPX设备的公钥的自主灵活性,进而有利于满足多种差异化的场景需求。
在一些可能实施方式中,所述第一N32f消息还包含第二签名内容,所述第二签名内容使用第二IPX设备的私钥进行签名。
在一些可能实施方式中,所述方法还包括:所述第一IPX设备接收到来自所述第二IPX设备的第二N32f消息,所述第二N32f消息包含第二签名内容,所述第二签名内容使用第二IPX设备的私钥进行签名;向所述第一SEPP设备转发所述第二N32f消息。
其中,当第一N32f消息包含多个签名内容,那么所述第一SEPP设备可使用对应公钥对第一N32f消息中的多个签名内容分别进行签名校验,当然各个签名内容的签名校验顺序是不限定的。
本申请实施例第四方面提供一种第一IPX设备,包括:
通信单元,用于向第一SEPP设备发送包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥;接收来自第二IPX设备或第二SEPP设备的第一N32f消息;
签名单元,用于使用所述第一IPX设备的私钥对所述第一N32f消息进行签名以得到第一签名内容。
所述通信单元还用于,向所述第一SEPP设备转发所述第一N32f消息,所述第一N32f消息包含所述第一签名内容。
可以看出,上述举例方案中,IPX设备可向直连的SEPP设备发送包含有第一公钥的第一消息,即SEPP可直接从直连的IPX获取到IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP则可使用获取到到的IPX的公钥对第一签名内容进行签名校验,从而实现完整性校验等,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。并且上述方案有利于实现IPX公钥的自动分发,无需人工干预,进而有利于减少IPX公钥(证书)分发过程中的人因差错及传输过程中被攻击的风险。并且IPX公钥分发流程较简化,有利于节约沟通成本,减短IPX公钥分发时长,有利于提高特定场景下的风险处置能力(比如IPX私钥泄露等)。
其中,所述第一消息可为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间用于建立其它底层安全连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间建立安全连接之后所交互的消息。
可以看出,当所述第一消息为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息,相当于第一IPX设备利用第一SEPP设备与第一IPX设备之间建立TLS连接或建立IPsec连接的流程,来分发第一IPX设备的公钥,这样可无需额外的公钥分发流程,有利于简化实现复杂度。
在一些可能实施方式中,所述通信单元还用于,在向第一SEPP设备发送包含有第一公钥的第一消息之前,接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息,所述第一消息为所述HTTP消息的响应消息。
例如第一IPX设备还包括连接单元,用于在所述通信单元接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息之前,与所述第一SEPP设备之间建立传输层安全TLS连接或互联网安全协议IPsec连接。
在另一可能实施方式中,通信单元还用于,在向第一SEPP设备发送包含有第一公钥的第一消息之前,接收来自所述第一SEPP设备的用于订阅第一IPX设备的公钥的订阅消息,所述第一消息为所述订阅消息的响应消息。
在一些可能实施方式中,所述第一N32f消息还包含第二签名内容,所述第二签名内容使用第二IPX设备的私钥进行签名。
在一些可能实施方式中,所述通信单元还用于,接收到来自所述第二IPX设备的第二N32f消息,所述第二N32f消息包含第二签名内容,所述第二签名内容使用第二IPX设备的私钥进行签名;向所述第一SEPP设备转发所述第二N32f消息。
其中,当第一N32f消息包含多个签名内容,那么所述第一SEPP设备可使用对应公钥对第一N32f消息中的多个签名内容分别进行签名校验,当然各个签名内容的签名校验顺序是不限定的。
第四方面提供的IPX设备的各功能单元的功能实现细节,可参考第三方面所提供方法的相关细节描述,此处不再赘述。
本申请实施例第五方面提供一种SEPP设备,包括:相互耦合的处理器和存储器;所述处理器用于调用所述存储器中存储的计算机程序,以执行本申请实施例中由SEPP设备执行的任意一种方法的部分或全部步骤。
本申请实施例第六方面提供一种IPX设备,包括:相互耦合的处理器和存储器;其中,所述处理器用于调用所述存储器中存储的计算机程序,以执行本申请实施例中由IPX设备执行的任意一种方法的部分或全部步骤。
本申请实施例第七方面提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时能够完成本申请实施例中由SEPP设备或IPX设备执行的任意一种方法的部分或全部步骤。
本申请实施例第八方面提供一种通信装置,包括:至少一个输入端、信号处理器和至少一个输出端;其中,所述信号处理器,用于执行本申请实施例中由SEPP设备或IPX设备执行的任意一种方法的部分或全部步骤。
本申请实施例第九方面提供一种通信装置,包括:输入接口电路,逻辑电路和输出接口电路,所述逻辑电路用于执行执行本申请实施例中由SEPP设备或IPX设备执行的任意一种方法的部分或全部步骤。
本申请实施例第十方面提供一种包括指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述这个计算机设备执行可由SEPP或IPX执行的任意一种方法的部分或者全部步骤。
在以上任一方面提供的方案中,IPX设备可以为域名服务器或Diameter路由代理设备。
附图说明
下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍。
图1-A是本申请实施例举例的一种5G网络架构的示意图。
图1-B是本申请实施例举例的一种漫游场景下的网络架构的示意图。
图1-C是本申请实施例举例的另一种漫游场景下的网络架构的示意图。
图1-D是本申请实施例举例的另一种漫游场景下的网络架构的示意图。
图1-E是本申请实施例举例的另一种漫游场景下的网络架构的示意图。
图1-F是本申请实施例举例的一种漫游场景下的内容签名和签名校验的示意图。
图2是本申请实施例提供的一种通信方法的流程示意图。
图3是本申请实施例提供的另一种通信方法的流程示意图。
图4是本申请实施例提供的另一种通信方法的流程示意图。
图5是本申请实施例提供的另一种通信方法的流程示意图。
图6是本申请实施例提供的另一种通信方法的流程示意图。
图7是本申请实施例提供的另一种通信方法的流程示意图。
图8是本申请实施例提供的另一种通信方法的流程示意图。
图9是本申请实施例提供的另一种通信方法的流程示意图。
图10是本申请实施例提供的另一种通信方法的流程示意图。
图11是本申请实施例提供的一种SEPP设备的结构示意图。
图12是本申请实施例提供的一种IPX设备的结构示意图。
图13是本申请实施例提供的一种通信装置的结构示意图。
图14是本申请实施例提供的另一种通信装置的结构示意图。
图15是本申请实施例提供的另一种通信装置的结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。
参见图1-A,图1-A是本申请实施例举例的一种5G网络架构的示意图。5G网络对4G网络的某些功能网元(例如移动性管理实体(MME,Mobility Management Entity)等等)进行了一定拆分,并定义了基于服务化架构的架构。在图1-A所示网络架构中,类似4G网络中的MME的功能,被拆分成了接入与移动性管理功能(AMF,Access and Mobility ManagementFunction)和会话管理功能(SMF,Session Management Function)等等。
下面对其他一些相关网元/实体进行介绍。
用户终端(UE,User Equipment)通过接入运营商网络来访问数据网络(DN,DataNetwork)等等,使用DN上的由运营商或第三方提供的业务。
为方便说明,本申请实施例中用户终端、用户设备、终端设备、移动终端或终端等可统称为UE。即,若无特别的说明,本申请实施例后文所描述的UE均可替换为用户终端、用户设备、终端设备、移动终端或终端,当然它们之间也可互换。
接入与移动性管理功能(AMF)是3GPP网络中的一种控制面功能,主要负责UE接入运营商网络的接入控制和移动性管理。其中,安全锚点功能(SEAF,Security AnchorFunction)可以部署于AMF之中,或SEAF也可能部署于不同于AMF的另一设备中,图1-A中以SEAF被部署于AMF中为例。当SEAF被部署于AMF中时,SEAF和AMF可合称AMF。
会话管理功能(SMF)是3GPP网络中的一种控制面功能,其中,SMF主要用于负责管理UE的数据包(PDU,Packet Data Unit)会话。PDU会话是一个用于传输PDU的通道,UE可以通过PDU会话与DN互相发送PDU。SMF负责PDU会话的建立、维护和删除等管理工作。
数据网络(DN,Data Network)也称为分组数据网络(PDN,Packet Data Network),它是位于3GPP网络之外的网络。其中,3GPP网络可接入多个DN,DN上可部署运营商或第三方提供的多种业务。例如,某个DN是一个智能工厂的私有网络,安装在智能工厂车间的传感器扮演UE的角色,DN中部署了传感器的控制服务器。UE与控制服务器通信,UE在获取控制服务器的指令之后,可根据这个指令将采集的数据传递给控制服务器。又例如,DN是一个公司的内部办公网络,该公司员工所使用的终端则可扮演UE的角色,这个UE可以访问公司内部的信息和其他资源。
其中,统一数据管理实体(UDM,Unified Data Management)也是3GPP网络中的一种控制面功能,UDM主要负责存储3GPP网络中签约用户(UE)的签约数据、信任状(credential)和持久身份标识(SUPI,Subscriber Permanent Identifier)等。这些数据可以被用于UE接入运营商3GPP网络的认证和授权。
认证服务器功能(AUSF,Authentication Server Function)也是3GPP网络中的一种控制面功能,AUSF主要用于第一级认证(即3GPP网络对其签约用户的认证)。
其中,网络开放功能(NEF,Network Exposure Function)也是3GPP网络之中的一种控制面功能。NEF主要负责以安全的方式对第三方开放3GPP网络的对外接口。其中,在SMF等功能需要与第三方网元通信时,可以以NEF为通信的中继。其中,中继时,NEF可以进行内外部标识的翻译。比如将UE的SUPI从3GPP网络发送到第三方时,NEF可将SUPI翻译成其对应的外部身份标识(ID,Identity)。反之,NEF可将外部身份ID在发送到3GPP网络时,将其翻译成对应的SUPI。
其中,网络存储功能(NRF,Network Repository Function)也是3GPP网络中的一种控制面功能,主要负责存储可被访问的网络功能(NF)的配置额服务资料(profile),为其他网元提供网络功能的发现服务。
用户面功能(UPF,User Plane Function)是3GPP网络与DN通信的网关。
策略控制功能(PCF,Policy Control Function)是3GPP网络中的一种控制面功能,用于向SMF提供PDU会话的策略。策略可包括计费、服务质量(QoS,Quality ofService)、授权相关策略等。
接入网(AN,Access Network)是3GPP网络的一个子网络,UE要接入3GPP网络,首先需要经过AN。在无线接入场景下AN也称无线接入网(RAN,Radio Access Network),因此RAN和AN这两个术语经常不做区分的混用。
3GPP网络是指符合3GPP标准的网络。其中,图1-A中除了UE和DN以外的部分可看作是3GPP网络。3GPP网络不只局限于3GPP定义的5G网络,还可包括2G、3G、4G网络。通常3GPP网络由运营商来运营。此外,在图1-A所示架构中的N1、N2、N3、N4、N6等分别代表相关实体/网络功能之间的参照点(Reference Point)。Nausf、Namf...等分别代表相关网络功能的服务化接口。
当然,3GPP网络和非3GPP网络可能共存,5G网络的中的一些网元也可能被运用到一些非5G网络中。
参见图1-B,SEPP设备(简称SEPP)作为5G核心网(5GC)的一种边界安全网关。在漫游场景下,SEPP作为运营商网络之间对接的代理,5G核心网的内部网络功能(NF)与漫游网络之间的信令交互通过SEPP转发。SEPP在支持对传输消息进行完整性和机密性保护的同时,支持IPX设备(简称IPX)识别并修改非敏感的传输消息内容。
本申请实施例中,将SEPP设备简称SEPP(例如第一SEPP设备简称第一SEPP,第二SEPP设备简称第二SEPP,以此类推),即SEPP设备和SEPP可混用。将IPX设备简称IPX(例如第一IPX设备简称第一IPX,第二IPX设备简称第二IPX,以此类推),即,IPX设备和IPX可混用。
参见图1-C和图1-D,不同运营商网络的SEPP之间,可能存在一个IPX(例如图1-D举例所示),也可能存在多个IPX(例如图1-C举例所示)。
其中,当UE在不同运营商网络之间漫游,SEPP可以分为拜访SEPP(vSEPP,visitSEPP)和归属SEPP(hSEPP,home SEPP)。
参见图1-E,如果按照提供服务和消费服务的角度来看,SEPP又可以分为服务消费者的SEPP(cSEPP,consumer's SEPP)和服务生产者的SEPP(pSEPP,producer's SEPP)。其中,vSEPP可能是pSEPP而hSEPP可能是cSEPP。或vSEPP也可能是cSEPP而hSEPP可能是pSEPP。
其中,当SEPP之间存在多个IPX网络,那么与pSEPP直连的IPX网络称为pIPX;与cSEPP直连的IPX网络称为cIPX。
其中,IPX网络中可包括Diameter路由代理(DRA,Diameter routing agent)设备和域名服务器(domain name server,DNS)。
参见图1-F,图1-F举例示出了IPX设备使用IPX的私钥签名,SEPP使用IPX的公钥校验签名的可能实施方式。SEPP在支持对传输消息进行完整性和机密性保护的同时,支持IPX识别并修改非敏感的传输消息内容。其中,IPX设备可为IPX网络中的DRA设备或DNS。
若SEPP需支持上述功能,进而实现IPX网络的设备(如IPX网络中的DRA设备或DNS备)与SEPP之间的安全通信,那么SEPP需获取IPX公钥。下面介绍SEPP获取和使用IPX公钥的一些举例实施方案,这些举例的实施方案可应用于漫游场景等。
参见图2,图2为本申请实施例提供的一种通信方法的流程示意图。本实施例的通信方法可以应用于漫游场景。其中,一种通信方法可包括:
201.第一IPX向第一SEPP发送包含有第一公钥的第一消息,其中,所述第一公钥为所述第一IPX的公钥。
其中,第一公钥例如可包含于第一IPX的证书中,即第一IPX向第一SEPP发送包含有第一IPX的证书的第一消息。
相应的,第一SEPP可接收来自第一IPX的包含有第一公钥的所述第一消息。第一SEPP可从所述第一消息中获取到第一公钥。
其中,第一消息可为第一SEPP与第一IPX之间用于建立安全连接(或安全隧道)的相关消息。或者,所述第一消息也可能是在第一SEPP与第一IPX之间建立安全连接之后所交互的消息。
本申请各实施例中提及的安全连接例如为传输层安全(TLS,Transport LayerSecurity)连接或者互联网安全协议(IPsec,Internet Protocol Security)连接或者其它的底层安全连接等。本申请各实施例中的连接也可能称为隧道或通道等,例如TLS连接也可能称为TLS隧道或TLS通道,IPsec连接也可能称为IPsec隧道或IPsec通道。
202.当所述第一IPX接收到来自第二IPX或第二SEPP的第一N32f消息,所述第一IPX使用所述第一IPX私钥(即第一公钥对应的私钥)对所述第一N32f消息进行签名以得到第一签名内容(具体例如可对第一N32f消息的修改内容进行签名以得到第一签名内容)。
203.所述第一IPX向所述第一SEPP转发所述第一N32f消息,所述第一N32f消息包含所述第一签名内容。
204.当所述第一SEPP接收到来自所述第一IPX的所述第一N32f消息,且所述第一N32f消息包含第一签名内容,且所述第一签名内容使用所述第一公钥对应的私钥进行签名,所述第一SEPP使用所述第一公钥对所述第一签名内容进行签名校验。
进一步的,在各签名校验通过之后,所述第一SEPP可向相应NF转发第一N32f消息所承载的业务请求或响应。
举例来说,本申请各实施例中的提及的签名(如第一签名内容),例如可为JavaScript对象表示法(JSON,JavaScript Object Notation)网页签名(JWS,JSON WebSignature)或其它形式的签名。
可以看出,上述举例方案中,SEPP可直接从直连的IPX获取到IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP则可使用获取到到的IPX的公钥对第一签名内容进行签名校验,从而实现完整性校验,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。并且,上述方案有利于实现IPX公钥的自动分发,无需人工干预,进而有利于减少IPX公钥(证书)分发过程中的人因差错及传输过程中被攻击的风险。并且IPX公钥分发流程较简化,有利于节约沟通成本,减短IPX公钥分发时长,有利于提高特定场景下的风险处置能力(比如IPX私钥泄露等)。
参见图3,图3为本申请实施例提供的另一种通信方法的流程示意图。本实施例举例方案中第一SEPP将对与其直连的IPX所做的相关签名进行校验,具体的,另一种通信方法可以包括:
301.第一IPX和第一SEPP建立安全连接(第一IPX利用安全连接建立的相关消息向第一SEPP发送第一公钥)。
302.第二IPX和第二SEPP进行安全连接建立(第二IPX利用安全连接建立的相关消息向第二SEPP发送第二公钥)。
其中,第一IPX与第一SEPP直连。其中,第二IPX与第二SEPP直连。例如第一IPX为cIPX且第一SEPP为cSEPP,第二IPX为pIPX且第二SEPP为pSEPP。或例如第二IPX为cIPX且第二SEPP为cSEPP,第一IPX为pIPX且第一SEPP为pSEPP。
其中,所述第一公钥为所述第一IPX的公钥。
其中,所述第二公钥为所述第二IPX的公钥。
可以理解,第一SEPP通过安全连接建立过程可从第一IPX获取第一IPX的公钥。第二SEPP通过安全连接建立过程可从第二IPX获取第二IPX的公钥。
其中,第一公钥例如可包含于第一IPX的证书中,即,第一SEPP通过安全连接建立过程可从第一IPX获取包含第一IPX的公钥的证书。
其中,第二公钥例如可包含于第二IPX的证书中,即,第二SEPP通过安全连接建立过程可从第二IPX获取包含第二IPX的公钥的证书。
可以理解,第一IPX和第一SEPP进行安全连接建立,可先于、晚于或同步于第二IPX和第二SEPP进行安全连接建立。
303.第二SEPP与第一SEPP进行互认证。
第二SEPP与第一SEPP在互认证过程中交换各自得到的IPX的公钥,即,在互认证过程第二SEPP从第一SEPP获取到所述第一IPX的公钥,类似的,在互认证过程第一SEPP从第二SEPP获取到所述第二IPX的公钥。
304.第二SEPP向第二IPX发送第一N32f消息。其中,第一N32f消息可能是N32f请求或N32f响应。第一N32f消息具体可以承载漫游信令消息或漫游数据包。
305.第二IPX接收来自第二SEPP的第一N32f消息,第二IPX向第一IPX转发第一N32f消息。
306.第一IPX接收来自第二IPX的第一N32f消息,所述第一IPX使用所述第一公钥对应的私钥(第一IPX的私钥)对所述第一N32f消息的内容进行签名以得到第一签名内容。
其中,第一IPX可以在接收到的N32f消息中增加内容,然后对增加内容进行签名或对增加内容后的整体消息内容进行签名。
307.所述第一IPX向所述第一SEPP转发签名后的第一N32f消息,所述第一N32f消息包含所述第一签名内容。
308.当所述第一SEPP接收到来自所述第一IPX的所述第一N32f消息,且所述第一N32f消息包含第一签名内容,且所述第一签名内容使用所述第一公钥对应的私钥进行签名,所述第一SEPP使用所述第一公钥对所述第一N32f消息进行签名校验(具体的,所述第一SEPP使用所述第一公钥对所述第一N32f消息中的所述第一签名内容进行签名校验)。
进一步的,在各签名校验通过之后,所述第一SEPP可向相关的NF转发第一N32f消息的所承载的业务请求或响应。
可以看出,上述举例方案中,SEPP可通过安全连接建立流程,直接从直连的IPX获取到IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP则可使用获取到到的IPX的公钥对第一签名内容进行签名校验,从而实现完整性校验,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。并且,上述方案有利于实现IPX公钥的自动分发,无需人工干预,进而有利于减少IPX公钥(证书)分发过程中的人因差错及传输过程中被攻击的风险。并且IPX公钥分发流程较简化,有利于节约沟通成本,减短IPX公钥分发时长,有利于提高特定场景下的风险处置能力(比如IPX私钥泄露等)。
参见图4,图4为本申请实施例提供的另一种通信方法的流程示意图。本实施例举例方案中第一SEPP将对与其直连和未直连的IPX所做的相关签名分别进行校验,具体的,另一种通信方法可以包括:
401.第一IPX和第一SEPP进行安全连接建立(第一IPX利用安全连接建立的相关消息向第一SEPP发送第一公钥)。
402.第二IPX和第二SEPP进行安全连接建立(第二IPX利用安全连接建立的相关消息向第二SEPP发送第二公钥)。
403.第二SEPP与第一SEPP进行互认证。
其中,步骤401-步骤403与步骤301-步骤303相同,相关技术细节可参考步骤301-步骤303的细节描述。
404.第二SEPP向第二IPX发送第一N32f消息。
405.第二IPX接收来自第二SEPP的第一N32f消息,所述第二IPX使用所述第二公钥对应的私钥(第二IPX的私钥)对所述第一N32f消息的内容进行签名以得到第二签名内容。
其中,第二IPX可以在接收到的N32f消息中增加内容,然后对增加内容进行签名或对增加内容后的整体消息内容进行签名。
406.所述第二IPX向所述第一IPX转发签名后的第一N32f消息,所述第一N32f消息包含所述第二签名内容。
407.第一IPX接收来自第二IPX的包含所述第二签名内容的第一N32f消息,所述第一IPX使用所述第一公钥对应的私钥(第一IPX的私钥)对所述第一N32f消息的内容进行签名以得到第一签名内容。
其中,第一IPX可以在接收到的N32f消息中增加内容,然后对增加内容进行签名或对增加内容后的整体消息内容进行签名。
408.所述第一IPX向所述第一SEPP转发所述第一N32f消息,所述第一N32f消息包含所述第一签名内容和所述第二签名内容。
409.当所述第一SEPP接收到来自所述第一IPX的所述第一N32f消息,并且所述第一N32f消息包含第一签名内容和所述第二签名内容,并且所述第一签名内容使用所述第一公钥对应的私钥进行签名,并且所述第二签名内容使用所述第二公钥对应的私钥进行签名,第一SEPP使用所述第一公钥和第二公钥分别对所述第一N32f消息进行签名校验(具体例如,所述第一SEPP使用所述第一公钥对所述第一N32f消息中的第一签名内容进行签名校验,所述第一SEPP使用所述第二公钥对所述第一N32f消息中的第二签名内容进行签名校验)。
进一步的,在各签名校验通过之后,所述第一SEPP可向相关的NF转发第一N32f消息所承载的业务请求或响应。
可以看出,上述举例方案中,SEPP可通过安全连接建立流程,直接从直连的IPX获取到IPX的公钥,并可通过SEPP互认证过程获得其他IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP则可使用获取到到的IPX的公钥对第一签名内容和第二签名内容进行签名校验,从而实现完整性校验,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。其中,相对于图3中举例的方案,第一IPX设备和第二IPX设备分别对N32f消息进行了签名,第一SEPP对接收到的N32f消息进行了两次完整性校验(两次签名校验),进一步提高了通信过程的安全性。
参见图5,图5为本申请实施例提供的另一种通信方法的流程示意图。本实施例举例方案中第一SEPP将对未与其直连的IPX所做的相关签名进行校验,具体的,另一种通信方法可包括:
501.第一IPX和第一SEPP进行安全连接建立(第一IPX利用安全连接建立的相关消息向第一SEPP发送第一公钥)。
502.第二IPX和第二SEPP进行安全连接建立(第二IPX利用安全连接建立的相关消息向第二SEPP发送第二公钥)。
503.第二SEPP与第一SEPP进行互认证。
其中,步骤501-步骤503与步骤301-步骤303相同,相关技术细节可参考步骤301-步骤303的细节描述。
504.第二SEPP向第二IPX发送第一N32f消息。
505.第二IPX接收来自第二SEPP的第一N32f消息,所述第二IPX使用所述第二公钥对应的私钥(第二IPX的私钥)对所述第一N32f消息的内容进行签名以得到第二签名内容。
其中,第二IPX可以在接收到的N32f消息中增加内容,然后对增加内容进行签名或对增加内容后的整体消息内容进行签名。
506.所述第二IPX向所述第一IPX转发签名后的第一N32f消息,所述第一N32f消息包含所述第二签名内容。
507.第一IPX接收来自第二IPX的包含所述第二签名内容的第一N32f消息,所述第一IPX向所述第一SEPP转发包含所述第二签名内容的所述第一N32f消息。
508.当第一SEPP接收到来自所述第一IPX的所述第一N32f消息,并且第一N32f消息包含所述第二签名内容,并且第二签名内容使用所述第二公钥对应的私钥进行签名,所述第一SEPP使用所述第二公钥对第一N32f消息进行签名校验(具体例如,所述第一SEPP使用所述第二公钥对第一N32f消息中的所述第二签名内容进行签名校验)。
进一步的,在各签名校验通过之后,所述第一SEPP可向相关的NF转发第一N32f消息所承载的业务请求或响应。
可以看出,上述举例方案中,SEPP可通过安全连接建立流程,直接从直连的IPX获取到IPX的公钥,并通过SEPP互认证过程获得其他IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP可使用获取到到的IPX的公钥对第二签名内容进行签名校验,从而实现完整性校验,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。
参见图6,图6为本申请实施例提供的另一种通信方法的流程示意图。本实施例主要介绍SEPP和IPX之间建立TLS连接的一种举例流程,其中,IPX在建立TLS连接过程中可发布其公钥。具体的,另一种通信方法可包括:
601.SEEP向IPX发送客户端问候(Client_Hello)消息。
602.IPX在接收到SEEP发送的所述Client_Hello消息之后,IPX可向SEEP发送服务端问候(Server_Hello)消息。
603.IPX向SEEP发送包含IPX的公钥的证书(Certificate)消息。
604.IPX向SEEP发送服务端秘钥交换(Server_Key_exchange)消息。
605.IPX向SEEP发送请求客户端证书(Request_Client_Certificate)消息。
606.IPX向SEEP发送服务端问候确认(Server_Hello_done)消息。
607.SEEP向IPX发送证书(Certificate)消息。
608.SEEP向IPX发送客户端证书核实(Client_Certificate_verify)消息。
609.SEEP向IPX发送客户端秘钥交换(Client_Key_exchange)消息。
610.SEEP向IPX发送Change_cipher_spec消息。
611.SEEP向IPX发送完成(Finish)消息。
612.IPX向SEEP发送Change_cipher_spec消息。
613.IPX向SEEP发送完成(Finish)消息。
可以看出,上述举例中IPX通过Certificate消息向SEEP发布IPX的公钥,当然IPX也可通过其他用于建立TLS隧道的消息向SEEP发布IPX的公钥。
参见图7,图7为本申请实施例提供的另一种通信方法的流程示意图。本实施例主要介绍SEPP和IPX之间建立TLS连接的一种举例流程,其中,IPX在建立TLS连接过程中可发布其公钥。具体的,另一种通信方法可包括:
701.IPX向SEEP发送客户端问候(Client_Hello)消息。
702.SEEP在接收到IPX发送的Client_Hello消息之后,SEEP向IPX发送Server_Hello消息。
703.SEEP向IPX发送证书(Certificate)消息。
704.SEEP向IPX发送服务端密钥交换(Server_Key_exchange)消息。
705.SEEP向IPX发送请求客户端证书(Request_Client_Certificate)消息。
706.SEEP向IPX发送服务端问候确认(Server_Hello_done)消息。
707.IPX向SEEP发送包含IPX的公钥的证书(Certificate)消息。
708.IPX向SEEP发送客户端证书核实(Client_Certificate_verify)消息。
709.IPX向SEEP发送客户端密钥交换(Client_Key_exchange)消息。
710.IPX向SEEP发送Change_cipher_spec消息。
711.IPX向SEEP发送完成(Finish)消息。
712.SEEP向IPX发送Change_cipher_spec消息。
713.SEEP向IPX发送完成(Finish)消息。
可以看出,上述举例中IPX通过Certificate消息向SEEP发布IPX的公钥,当然IPX也可通过其他用于建立TLS隧道的消息向SEEP发布IPX的公钥。
参见图8,图8为本申请实施例提供的另一种通信方法的流程示意图。本实施例举例方案中第一SEPP将对与其直连的IPX所做的相关签名进行校验,具体的,另一种通信方法可以包括:
801.第一IPX和第一SEPP之间进行安全连接建立。
802.第二IPX和第二SEPP之间进行安全连接建立。
其中,第一IPX与第一SEPP直连,第二IPX与第二SEPP直连。例如第一IPX为cIPX且第一SEPP为cSEPP,第二IPX为pIPX且第二SEPP为pSEPP。或例如第二IPX为cIPX且第二SEPP为cSEPP,第一IPX为pIPX且第一SEPP为pSEPP。
可以理解,第一IPX和第一SEPP进行安全连接建立,可先于、晚于或同步于第二IPX和第二SEPP进行安全连接建立。
803.第一SEPP向第一IPX发送用于查询第一IPX公钥的第一HTTP消息。
804.第一IPX向第一SEPP发送第一HTTP消息的响应消息(如200 OK消息,200 OK消息的格式例如可为JSON),第一HTTP消息的响应消息包含第一公钥。其中,所述第一公钥为所述第一IPX的公钥。
其中,第一公钥例如可包含于第一IPX的证书中,即,第一HTTP消息的响应消息可包含第一IPX的证书。
805.第一SEPP向第一IPX发送用于订阅第一IPX公钥的第一订阅消息。第一IPX在接收到第一订阅消息之后,若第一IPX公钥更新了,那么第一IPX可向第一SEPP发送包含更新的第一IPX公钥的订阅响应(如200 OK消息,200 OK消息的格式例如可为JSON)。当然若第一HTTP消息也具有第一IPX公钥的订阅功能,那么第一订阅消息也可不发送。
806.第二SEPP向第二IPX发送用于查询第二IPX公钥的第二HTTP消息,
807.第二IPX向第二SEPP发送第二HTTP消息的响应消息(如200OK),第二HTTP消息的响应消息包含第二公钥。其中,所述第二公钥为所述第二IPX的公钥。
其中,第二公钥例如可包含于第二IPX的证书中,即,第二HTTP消息的响应消息可包含第二IPX的证书。
808.第二SEPP向第二IPX发送用于订阅第二IPX公钥的第二订阅消息。第二IPX在接收到第二订阅消息之后,若第二IPX公钥更新了,那么第二IPX可向第二SEPP发送包含更新的第二IPX公钥的订阅响应。当然,若第二HTTP消息也具有第二IPX公钥的订阅功能,那么第二订阅消息也可不发送。
可以理解,步骤803-805可先于、晚于或同步于步骤806-808。
809.第二SEPP与第一SEPP进行互认证。
810.第二SEPP向第二IPX发送第一N32f消息。
811.第二IPX接收来自第二SEPP的第一N32f消息,第二IPX向第一IPX转发第一N32f消息。
812.第一IPX接收来自第二IPX的第一N32f消息,所述第一IPX使用所述第一公钥对应的私钥对所述第一N32f消息的内容进行签名以得到第一签名内容。
813.所述第一IPX向所述第一SEPP转发签名后的第一N32f消息,所述第一N32f消息包含所述第一签名内容。
814.当第一SEPP接收到来自所述第一IPX的所述第一N32f消息,所述第一SEPP使用所述第一公钥对所述第一N32f消息进行签名校验(具体例如,所述第一SEPP使用所述第一公钥对所述第一N32f消息中的所述第一签名内容进行签名校验)。
其中,步骤809-步骤814与步骤303-步骤308相同,相关技术细节可参考步骤303-步骤308的细节描述。
进一步的,在各签名校验通过之后,所述第一SEPP可向相关的NF转发第一N32f消息所承载的业务请求或响应。
可以看出,上述举例方案中,在直连的SEPP和IPX之间的安全连接建立之后,SEPP可通过主动请求流程,直接从直连的IPX获取到IPX的公钥,并通过SEPP互认证过程获得其他IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP可使用获取到到的IPX的公钥对第一签名内容进行签名校验,从而实现完整性校验,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。并且,上述方案有利于实现IPX公钥的自动分发,无需人工干预,进而有利于减少IPX公钥(证书)分发过程中的人因差错及传输过程中被攻击的风险。并且IPX公钥分发流程较简化,有利于节约沟通成本,减短IPX公钥分发时长,进而有利于提高特定场景下的风险处置能力(比如IPX私钥泄露等)。
参见图9,图9为本申请实施例提供的另一种通信方法的流程示意图。本实施例举例方案中第一SEPP将对与其直连和未直连的IPX所做的相关签名分别进行校验,具体的,另一种通信方法可包括:
901.第一IPX和第一SEPP之间进行安全连接建立。
902.第二IPX和第二SEPP之间进行安全连接建立。
903.第一SEPP向第一IPX发送用于查询第一IPX公钥的第一HTTP消息。
904.第一IPX向第一SEPP发送第一HTTP消息的响应消息,第一HTTP消息的响应消息包含第一公钥。其中,所述第一公钥为所述第一IPX的公钥。
905.第一SEPP向第一IPX发送用于订阅第一IPX公钥的第一订阅消息。
906.第二SEPP向第二IPX发送用于查询第二IPX公钥的第二HTTP消息。
907.第二IPX向第二SEPP发送第二HTTP消息的响应消息,第二HTTP消息的响应消息包含第二公钥。其中,所述第二公钥为所述第二IPX的公钥。
908.第二SEPP向第二IPX发送用于订阅第二IPX公钥的第二订阅消息。
可以理解,步骤903-905可先于、晚于或同步于步骤906-908。
其中,步骤901-步骤908与步骤801-步骤808相同,相关技术细节可参考步骤801-步骤808的细节描述。
909.第二SEPP与第一SEPP进行互认证。
910.第二SEPP向第二IPX发送第一N32f消息。
911.第二IPX接收来自第二SEPP的第一N32f消息,所述第二IPX使用所述第二公钥对应的私钥对所述第一N32f消息的内容进行签名以得到第二签名内容。
912.所述第二IPX向所述第一IPX转发签名后的所述第一N32f消息,所述第一N32f消息包含所述第二签名内容。
913.第一IPX接收来自第二IPX的包含所述第二签名内容的第一N32f消息,所述第一IPX使用所述第一公钥对应的私钥(第一IPX的私钥)对所述第一N32f消息的内容进行签名以得到第一签名内容。
914.所述第一IPX向所述第一SEPP转发所述第一N32f消息,所述第一N32f消息包含所述第一签名内容和所述第二签名内容。
915.当所述第一SEPP接收到来自所述第一IPX的所述第一N32f消息,并且所述第一N32f消息包含第一签名内容和所述第二签名内容,并且所述第一签名内容使用所述第一公钥对应的私钥进行签名,并且所述第二签名内容使用所述第二公钥对应的私钥进行签名,所述第一SEPP使用所述第一公钥和第二公钥分别对第一N32f消息进行签名校验(具体的,所述第一SEPP使用所述第一公钥对第一N32f消息中的所述第一签名内容进行签名校验,所述第一SEPP使用所述第二公钥对对第一N32f消息中的所述第二签名内容进行签名校验)。
其中,步骤909-步骤915与步骤503-步骤509相同,相关技术细节可参考步骤503-步骤509的细节描述。
进一步的,在各签名校验通过之后,所述第一SEPP可向相关的NF转发第一N32f消息所承载的业务请求或响应。
可以看出,上述举例方案中,在直连的SEPP和IPX之间的安全连接建立之后,SEPP可通过主动请求流程,直接从直连的IPX获取到IPX的公钥,并通过SEPP互认证过程获得其他IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP可使用获取到到的IPX的公钥对第一签名内容和第二签名内容进行签名校验,从而实现完整性校验,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。其中,相对于图8中举例的方案,第一IPX设备和第二IPX设备分别对N32f消息进行了签名,第一SEPP对接收到的N32f消息进行了两次完整性校验(两次签名校验),进一步提高了通信过程的安全性。
参见图10,图10为本申请实施例提供的另一种通信方法的流程示意图。本实施例举例方案中第一SEPP将对未与其直连的IPX所做的相关签名进行校验,具体的,另一种通信方法可包括:
1001.第一IPX和第一SEPP之间进行安全连接建立。
1002.第二IPX和第二SEPP之间进行安全连接建立。
1003.第一SEPP向第一IPX发送用于查询第一IPX公钥的第一HTTP消息。
1004.第一IPX向第一SEPP发送第一HTTP消息的响应消息,第一HTTP消息的响应消息包含第一公钥。其中,所述第一公钥为所述第一IPX的公钥。
1005.第一SEPP向第一IPX发送用于订阅第一IPX公钥的第一订阅消息。
1006.第二SEPP向第二IPX发送用于查询第二IPX公钥的第二HTTP消息。
1007.第二IPX向第二SEPP发送第二HTTP消息的响应消息,第二HTTP消息的响应消息包含第二公钥。其中,所述第二公钥为所述第二IPX的公钥。
1008.第二SEPP向第二IPX发送用于订阅第二IPX公钥的第二订阅消息。
可以理解,步骤1003-1005可先于、晚于或同步于步骤1006-1008。
其中,步骤1001-步骤1008与步骤801-步骤808相同,相关技术细节可参考步骤801-步骤808的细节描述。
1009.第二SEPP与第一SEPP进行互认证。
1010.第二SEPP向第二IPX发送第一N32f消息。
1011.第二IPX接收来自第二SEPP的第一N32f消息,所述第二IPX使用所述第二公钥对应的私钥对所述第一N32f消息的内容进行签名以得到第二签名内容。
1012.第二IPX向所述第一IPX转发签名后的所述第一N32f消息,所述第一N32f消息包含所述第二签名内容。
1013.第一IPX接收来自第二IPX的包含第二签名内容的第一N32f消息,所述第一IPX向所述第一SEPP转发包含所述第二签名内容的所述第一N32f消息。
1014.当第一SEPP接收到来自所述第一IPX的所述第一N32f消息,且所述第一N32f消息包含所述第二签名内容,且所述第二签名内容使用第二公钥对应的私钥进行签名,所述第一SEPP使用所述第二公钥对第一N32f消息进行签名校验(具体的,所述第一SEPP使用所述第二公钥对第一N32f消息中的所述第二签名内容进行签名校验)。
其中,步骤1009-步骤1014与步骤403-步骤408相同,相关技术细节可参考步骤403-步骤408的细节描述。
进一步的,在各签名校验通过之后,所述第一SEPP可向相关的NF转发第一N32f消息所承载的业务请求或响应。
可以看出,上述举例方案中,在直连的SEPP和IPX之间的安全连接建立之后,SEPP可通过主动请求流程,直接从直连的IPX获取到IPX的公钥,并通过SEPP互认证过程获得其他IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP可使用获取到到的IPX的公钥对第二签名内容进行签名校验,从而实现完整性校验,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。
下面介绍一些装置实施例。
参见图11,本申请实施例提供一种第一SEPP设备1100,包括:
通信单元1110,用于接收来自第一IPX设备的包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥。接收来自所述第一IPX的第一N32f消息,所述第一N32f消息包含第一签名内容,所述第一签名内容使用所述第一IPX的私钥进行签名(所述第一签名内容例如由第一IPX设备使用所述第一IPX的私钥进行签名而得到)。
签名校验单元1120,用于使用第一公钥对所述第一N32f消息进行签名校验(具体的,可使用所述第一公钥对所述第一N32f消息中的第一签名内容进行签名校验)。
其中,所述第一消息可为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间用于建立其它底层安全连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间建立安全连接之后所交互的消息。
在一些可能实施方式中,通信单元1110还用于,在接收来自第一IPX设备的包含有第一公钥的第一消息之前,向所述第一IPX设备发送用于查询第一IPX设备的公钥的HTTP消息,所述第一消息为所述HTTP消息的响应消息。
例如,第一SEPP设备还包括连接单元1130,用于在通信单元还用于向所述第一IPX设备发送用于查询第一IPX设备的公钥的HTTP消息之前,与所述第一IPX设备之间建立传输层安全TLS连接或互联网安全协议IPsec连接。
又例如,通信单元1110还可以用于,在接收来自第一IPX设备的包含有第一公钥的第一消息之前,向所述第一IPX设备发送用于订阅第一IPX设备的公钥的订阅消息,所述第一消息为所述订阅消息的响应消息。
又例如,通信单元1110还可以用于,在接收来自第一IPX设备的包含有第一公钥的第一消息之后,向所述第一IPX设备发送用于订阅第一IPX设备的公钥的订阅消息。
其中,当第一IPX设备接收到用于订阅第一IPX设备的公钥的订阅消息,那么第一IPX设备可以在第一IPX设备的公钥发生更新时,通过订阅消息的响应消息来向第一SEPP设备分发更新的第一IPX设备的公钥。
在一些可能实施方式中,通信单元1110还可以用于,接收来自第二SEPP设备的包含有第二公钥的第二消息(第二消息可以是所述第一SEPP设备与第二SEPP设备进行互认证过程中交互的消息),所述第二公钥为所述第二IPX设备的公钥;其中,所述第一N32f消息还包含第二签名内容,且所述第二签名内容使用所述第二IPX设备的私钥进行签名。
签名校验单元1120还用于,使用第二公钥对所述第一N32f消息进行签名校验(具体可使用所述第二公钥对所述第一N32f消息中的第二签名内容进行签名校验)。即,当第一N32f消息包含多个签名内容,签名校验单元可使用对应公钥对第一N32f消息中的多个签名内容分别进行签名校验,当然各个签名内容的签名校验顺序是不限定的。
在一些可能实施方式中,通信单元1110还可以用于,接收来自第二SEPP设备的包含有第二公钥的第二消息,所述第二公钥为所述第二IPX设备的公钥;接收到来自所述第一IPX设备的第二N32f消息,且所述第二N32f消息包含第二签名内容,且所述第二签名内容使用所述第二公钥对应的私钥(第二IPX设备的私钥)进行签名(所述第二N32f消息例如不包含使用第一IPX设备的私钥进行签名的签名内容)。
签名校验单元1120还用于,使用所述第二公钥对所述第二签名内容进行签名校验。
本实施例提供的SEPP设备的各功能单元的功能实现细节,可参考上述方法实施例所提供方法的相关细节描述,此处不再赘述。
参见图12,本申请实施例提供一种第一IPX设备1200,包括:
通信单元1210,用于向第一SEPP设备发送包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥;接收来自第二IPX设备或第二SEPP设备的第一N32f消息;
签名单元1220,用于使用所述第一IPX设备的私钥对所述第一N32f消息进行签名以得到第一签名内容。
所述通信单元1210还用于,向所述第一SEPP设备转发所述第一N32f消息,所述第一N32f消息包含所述第一签名内容。
可以看出,上述举例方案中,IPX设备可向直连的SEPP设备发送包含有第一公钥的第一消息,即SEPP可直接从直连的IPX获取到IPX的公钥,进而可在当SEPP接收到来自IPX的第一N32f消息,SEPP则可使用获取到到的IPX的公钥对第一签名内容进行签名校验,从而实现完整性校验等,这种签名校验机制有利于提高SEPP和IPX之间的通信安全性。并且上述方案有利于实现IPX公钥的自动分发,无需人工干预,进而有利于减少IPX公钥(证书)分发过程中的人因差错及传输过程中被攻击的风险。并且IPX公钥分发流程较简化,有利于节约沟通成本,减短IPX公钥分发时长,有利于提高特定场景下的风险处置能力(比如IPX私钥泄露等)。
其中,所述第一消息可为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间用于建立其它底层安全连接的消息。或所述第一消息也可为所述第一SEPP设备与所述第一IPX设备之间建立安全连接之后所交互的消息。
可以看出,当所述第一消息为所述第一SEPP设备与所述第一IPX设备之间用于建立TLS连接或建立IPsec连接的消息,相当于第一IPX设备利用第一SEPP设备与第一IPX设备之间建立TLS连接或建立IPsec连接的流程,来分发第一IPX设备的公钥,这样可无需额外的公钥分发流程,有利于简化实现复杂度。
在一些可能实施方式中,所述通信单元1210还用于,在向第一SEPP设备发送包含有第一公钥的第一消息之前,接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息,所述第一消息为所述HTTP消息的响应消息。
例如第一IPX设备还包括连接单元1230,用于在所述通信单元接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息之前,与所述第一SEPP设备之间建立传输层安全TLS连接或互联网安全协议IPsec连接。
在另一可能实施方式中,通信单元1210还用于,在向第一SEPP设备发送包含有第一公钥的第一消息之前,接收来自所述第一SEPP设备的用于订阅第一IPX设备的公钥的订阅消息,所述第一消息为所述订阅消息的响应消息。
在一些可能实施方式中,所述第一N32f消息还包含第二签名内容,所述第二签名内容使用第二IPX设备的私钥进行签名。
在一些可能实施方式中,所述通信单元1210还用于,接收到来自所述第二IPX设备的第二N32f消息,所述第二N32f消息包含第二签名内容,所述第二签名内容使用第二IPX设备的私钥进行签名;向所述第一SEPP设备转发所述第二N32f消息。
其中,当第一N32f消息包含多个签名内容,那么所述第一SEPP设备可使用对应公钥对第一N32f消息中的多个签名内容分别进行签名校验,当然各个签名内容的签名校验顺序是不限定的。
本实施例提供的IPX设备的各功能单元的功能实现细节,可参考上述方法实施例所提供方法的相关细节描述,此处不再赘述。
参见图13,本申请实施例提供一种通信装置1300,包括:
至少一个输入端1310、信号处理器1320和至少一个输出端1330;
其中,所述信号处理器1320,用于执行本申请实施例中可由SEPP或IPX执行的任意一种方法的部分或全部步骤。
参见图14,本申请实施例提供一种通信装置1400,包括:输入接口电路1410,逻辑电路1420和输出接口电路1430。所述逻辑电路1420用于执行本申请实施例中可由SEPP或IPX执行的任意一种方法的部分或全部步骤。
参见图15,本申请实施例提供一种通信装置1300,可包括:
相互耦合的处理器1510和存储器1520。其中,所述处理器1510用于调用所述存储器1520中存储的计算机程序,以执行本申请实施例中可由SEPP或IPX执行的任意一种方法的部分或全部步骤。
其中,图13-图15提供的通信装置具体执行通信方法的步骤可以参考上述方法实施例的描述。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被硬件(如处理器)执行时能够完成本申请实施例中可由SEPP或IPX执行的任意一种方法的部分或全部步骤。
本申请实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有计算机程序,所述计算机程序被硬件(例如处理器等)执行,以实现本申请实施例中由任意设备执行的任意一种方法的部分或全部步骤。
本申请实施例还提供了一种包括指令的计算机程序产品,当所述计算机程序产品在计算机设备上运行时,使得所述这个计算机设备执行可由SEPP或IPX执行的任意一种方法的部分或者全部步骤。
在上述实施例中,可全部或部分地通过软件、硬件、固件、或其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线)或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如软盘、硬盘、磁带)、光介质(例如光盘)、或者半导体介质(例如固态硬盘)等。在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在上述实施例中,对各个实施例的描述都各有侧重,某个实施例中没有详述的部分,可以参见其他实施例的相关描述。
在本申请所提供的几个实施例中,应该理解到,所揭露的装置,也可以通过其它的方式实现。例如以上所描述的装置实施例仅仅是示意性的,例如所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可结合或者可以集成到另一个***,或一些特征可以忽略或不执行。另一点,所显示或讨论的相互之间的间接耦合或者直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者,也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例的方案的目的。
另外,在本申请各实施例中的各功能单元可集成在一个处理单元中,也可以是各单元单独物理存在,也可两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,或者也可以采用软件功能单元的形式实现。
所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本申请技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可为个人计算机、服务器或者网络设备等)执行本申请各个实施例所述方法的全部或部分步骤。而前述的存储介质例如可包括:U盘、移动硬盘、只读存储器(ROM,Read-OnlyMemory)、随机存取存储器(RAM,Random Access Memory)、磁碟或光盘等各种可存储程序代码的介质。
Claims (19)
1.一种通信方法,其特征在于,包括:
第一安全和边界保护代理SEPP设备接收来自第一IP交换服务IPX设备的包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥;
所述第一SEPP设备接收来自所述第一IPX的第一N32f消息,所述第一N32f消息包含第一签名内容,所述第一签名内容使用所述第一IPX的私钥进行签名;
所述第一SEPP设备使用所述第一公钥对所述第一N32f消息进行签名校验;
其中,所述方法还包括:
所述第一SEPP设备接收来自第二SEPP设备的包含有第二公钥的第二消息,所述第二公钥为第二IPX设备的公钥;所述第一N32f消息还包含第二签名内容,且所述第二签名内容使用所述第二IPX设备的私钥进行签名;
所述第一SEPP使用所述第二公钥对所述第一N32f消息进行签名校验。
2.根据权利要求1所述的方法,其特征在于,所述第一消息为所述第一SEPP设备与所述第一IPX设备之间用于建立传输层安全TLS连接或互联网安全协议IPsec连接的消息。
3.根据权利要求1所述的方法,其特征在于,在所述第一SEPP设备接收来自第一IPX设备的包含有第一公钥的第一消息之前,所述方法还包括:所述第一SEPP设备向所述第一IPX设备发送用于查询第一IPX设备的公钥的超文本传输协议HTTP消息,所述第一消息为所述HTTP消息的响应消息。
4.根据权利要求3所述的方法,其特征在于,在所述第一SEPP设备向所述第一IPX设备发送用于查询第一IPX设备的公钥的超文本传输协议HTTP消息之前,所述方法还包括:所述第一SEPP设备与所述第一IPX设备之间建立传输层安全TLS连接或者建立互联网安全协议IPsec连接。
5.根据权利要求1所述的方法,其特征在于,在第一SEPP设备接收来自第一IPX设备的包含有第一公钥的第一消息之前,所述方法还包括:所述第一SEPP设备向所述第一IPX设备发送用于订阅第一IPX设备的公钥的订阅消息,其中,所述第一消息为所述订阅消息的响应消息。
6.一种通信方法,其特征在于,包括:
第一安全和边界保护代理SEPP设备接收来自第一IP交换服务IPX设备的包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥;
所述第一SEPP设备接收来自所述第一IPX的第一N32f消息,所述第一N32f消息包含第一签名内容,所述第一签名内容使用所述第一IPX的私钥进行签名;
所述第一SEPP设备使用所述第一公钥对所述第一N32f消息进行签名校验;
其中,所述方法还包括:
所述第一SEPP设备接收来自第二SEPP设备的包含有第二公钥的第二消息,所述第二公钥为第二IPX设备的公钥;
所述第一SEPP设备接收到来自所述第一IPX设备的第二N32f消息,且所述第二N32f消息包含第二签名内容,且所述第二签名内容使用所述第二IPX设备的私钥进行签名,所述第一SEPP设备使用所述第二公钥对所述第二N32f消息进行签名校验。
7.一种通信方法,其特征在于,包括:
第一安全和边界保护代理SEPP设备接收来自第一IP交换服务IPX设备的包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥;
所述第一SEPP设备接收来自所述第一IPX的第一N32f消息,所述第一N32f消息包含第一签名内容,所述第一签名内容使用所述第一IPX的私钥进行签名;
所述第一SEPP设备使用所述第一公钥对所述第一N32f消息进行签名校验;
其中,
在所述第一SEPP设备接收来自第一IPX设备的包含有第一公钥的第一消息之前,所述方法还包括:所述第一SEPP设备向所述第一IPX设备发送用于查询第一IPX设备的公钥的超文本传输协议HTTP消息,所述第一消息为所述HTTP消息的响应消息;
在所述第一SEPP设备向所述第一IPX设备发送用于查询第一IPX设备的公钥的超文本传输协议HTTP消息之前,所述方法还包括:所述第一SEPP设备与所述第一IPX设备之间建立传输层安全TLS连接或者建立互联网安全协议IPsec连接。
8.一种通信方法,其特征在于,包括:
第一IP交换服务IPX设备向第一安全和边界保护代理SEPP设备发送包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥;
所述第一IPX设备接收来自第二IPX设备或第二SEPP设备的第一N32f消息,使用所述第一IPX设备的私钥对所述第一N32f消息进行签名以得到第一签名内容;
所述第一IPX设备向所述第一SEPP设备转发所述第一N32f消息,所述第一N32f消息包含所述第一签名内容;
其中,所述方法还包括:
所述第一IPX设备接收到来自第二IPX设备的第二N32f消息,所述第二N32f消息包含第二签名内容,所述第二签名内容使用第二IPX设备的私钥进行签名;向所述第一SEPP设备转发所述第二N32f消息。
9.根据权利要求8所述的方法,其特征在于,所述第一消息为所述第一SEPP设备与所述第一IPX设备之间用于建立传输层安全TLS连接或互联网安全协议IPsec连接的消息。
10.根据权利要求8所述的方法,其特征在于,在所述第一IPX设备向第一SEPP设备发送包含有第一公钥的第一消息之前,所述方法还包括:所述第一IPX设备接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息,所述第一消息为所述HTTP消息的响应消息。
11.根据权利要求10所述的方法,其特征在于,在所述第一IPX设备接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息之前,所述方法还包括:所述第一IPX设备与所述第一SEPP设备之间建立传输层安全TLS连接或互联网安全协议IPsec连接。
12.根据权利要求8所述的方法,其特征在于,在所述第一IPX设备向第一SEPP设备发送包含有第一公钥的第一消息之前,所述方法还包括:所述第一IPX设备接收来自所述第一SEPP设备的用于订阅第一IPX设备的公钥的订阅消息,其中,所述第一消息为所述订阅消息的响应消息。
13.根据权利要求8至12任意一项所述的方法,其特征在于,所述第一N32f消息还包含第二签名内容,所述第二签名内容使用第二IPX设备的私钥进行签名。
14.一种通信方法,其特征在于,包括:
第一IP交换服务IPX设备向第一安全和边界保护代理SEPP设备发送包含有第一公钥的第一消息,所述第一公钥为所述第一IPX设备的公钥;
所述第一IPX设备接收来自第二IPX设备或第二SEPP设备的第一N32f消息,使用所述第一IPX设备的私钥对所述第一N32f消息进行签名以得到第一签名内容;
所述第一IPX设备向所述第一SEPP设备转发所述第一N32f消息,所述第一N32f消息包含所述第一签名内容;
其中,在所述第一IPX设备向第一SEPP设备发送包含有第一公钥的第一消息之前,所述方法还包括:所述第一IPX设备接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息,所述第一消息为所述HTTP消息的响应消息;
在所述第一IPX设备接收来自向所述第一SEPP设备的用于查询第一IPX设备的公钥的超文本传输协议HTTP消息之前,所述方法还包括:所述第一IPX设备与所述第一SEPP设备之间建立传输层安全TLS连接或互联网安全协议IPsec连接。
15.一种安全和边界保护代理SEPP设备,其特征在于,包括:
相互耦合的处理器和存储器;
其中,所述处理器用于调用并执行所述存储器中存储的计算机程序,以执行权利要求1至7任意一项所述的方法。
16.一种IP交换服务IPX设备,其特征在于,包括:
相互耦合的处理器和存储器;
其中,所述处理器用于调用并执行所述存储器中存储的计算机程序,以执行权利要求8至14任意一项所述的方法。
17.一种计算机可读存储介质,其特征在于,
所述计算机可读存储介质存储有计算机程序,所述计算机程序被处理器执行时能够完成权利要求1至14任意一项所述的方法。
18.一种通信装置,其特征在于,包括:
至少一个输入端、信号处理器和至少一个输出端;
其中,所述信号处理器,用于执行权利要求1-14任意一项所述的方法。
19.一种通信装置,包括:输入接口电路,逻辑电路和输出接口电路,所述逻辑电路用于执行如权利要求1-14中任一项所述的方法。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010109122.XA CN113382410B (zh) | 2020-02-21 | 2020-02-21 | 通信方法和相关装置及计算机可读存储介质 |
PCT/CN2021/070915 WO2021164458A1 (zh) | 2020-02-21 | 2021-01-08 | 通信方法和相关装置及计算机可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010109122.XA CN113382410B (zh) | 2020-02-21 | 2020-02-21 | 通信方法和相关装置及计算机可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113382410A CN113382410A (zh) | 2021-09-10 |
CN113382410B true CN113382410B (zh) | 2022-12-06 |
Family
ID=77390399
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010109122.XA Active CN113382410B (zh) | 2020-02-21 | 2020-02-21 | 通信方法和相关装置及计算机可读存储介质 |
Country Status (2)
Country | Link |
---|---|
CN (1) | CN113382410B (zh) |
WO (1) | WO2021164458A1 (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115022032A (zh) * | 2022-05-31 | 2022-09-06 | 中国电信股份有限公司 | 通信方法、安全边缘保护代理和通信*** |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108880813A (zh) * | 2017-05-08 | 2018-11-23 | ***通信有限公司研究院 | 一种附着流程的实现方法及装置 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10447467B2 (en) * | 2016-05-04 | 2019-10-15 | International Business Machines Corporation | Revocable PKI signatures |
CN109699031B (zh) * | 2018-01-11 | 2020-03-20 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
CN110035433B (zh) * | 2018-01-11 | 2024-03-19 | 华为技术有限公司 | 采用共享密钥、公钥和私钥的验证方法及装置 |
CN110167013B (zh) * | 2018-02-13 | 2020-10-27 | 华为技术有限公司 | 一种通信方法及装置 |
WO2020012065A1 (en) * | 2018-07-12 | 2020-01-16 | Nokia Technologies Oy | Security management for unauthorized requests in communication system with service-based architecture |
US11050788B2 (en) * | 2018-07-30 | 2021-06-29 | Cisco Technology, Inc. | SEPP registration, discovery and inter-PLMN connectivity policies |
US20210234706A1 (en) * | 2018-08-10 | 2021-07-29 | Nokia Technologies Oy | Network function authentication based on public key binding in access token in a communication system |
-
2020
- 2020-02-21 CN CN202010109122.XA patent/CN113382410B/zh active Active
-
2021
- 2021-01-08 WO PCT/CN2021/070915 patent/WO2021164458A1/zh active Application Filing
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108880813A (zh) * | 2017-05-08 | 2018-11-23 | ***通信有限公司研究院 | 一种附着流程的实现方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
WO2021164458A1 (zh) | 2021-08-26 |
CN113382410A (zh) | 2021-09-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11477242B2 (en) | Network security management method, and apparatus | |
CN111447675B (zh) | 通信方法和相关产品 | |
CN111865597B (zh) | 通信方法和通信设备 | |
US11659621B2 (en) | Selection of IP version | |
WO2017147772A1 (zh) | 一种消息传输方法及核心网接口设备 | |
CN113727341B (zh) | 安全通信方法、相关装置及*** | |
US20210219137A1 (en) | Security management between edge proxy and internetwork exchange node in a communication system | |
CN112867097A (zh) | 一种接入网络的方法及通信装置 | |
WO2021094349A1 (en) | Multi-step service authorization for indirect communication in a communication system | |
CN113676904B (zh) | 切片认证方法及装置 | |
US20230156468A1 (en) | Secure Communication Method, Related Apparatus, and System | |
WO2020253408A1 (zh) | 二级认证的方法和装置 | |
WO2022222745A1 (zh) | 一种通信方法及装置 | |
CN113938911A (zh) | 一种通信方法、设备及*** | |
US10721621B2 (en) | Updating policy for a video flow during transitions | |
CN113382410B (zh) | 通信方法和相关装置及计算机可读存储介质 | |
WO2020012065A1 (en) | Security management for unauthorized requests in communication system with service-based architecture | |
WO2022067736A1 (zh) | 一种通信方法及装置 | |
CN108377570B (zh) | 业务数据路由方法和***以及相关设备 | |
KR20200044592A (ko) | 다중 경로 전송 시스템, 그리고 이의 다중 경로 전송 방법 | |
WO2024032226A1 (zh) | 通信方法和通信装置 | |
CN114024664B (zh) | 安全通信方法、相关装置及*** | |
CN118200891A (zh) | Amf重定向下ue策略优化方法、装置、电子设备及介质 | |
CN118158748A (zh) | Amf重定向下ue策略管理方法、装置、电子设备及介质 | |
CN116889004A (zh) | 用于边缘数据网络重定位的认证指示 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |