本文中描述的主題涉及電信網(wǎng)絡(luò)中的安全性。更特別地，本文中描述的主題涉及用于檢測被盜(stolen)訪問令牌的方法、系統(tǒng)和計算機可讀介質(zhì)。

背景技術(shù)：

1、在第五代(5g)電信網(wǎng)絡(luò)中，提供服務(wù)的網(wǎng)絡(luò)功能被稱為生產(chǎn)者網(wǎng)絡(luò)功能(nf)或nf服務(wù)生產(chǎn)者。消費服務(wù)的網(wǎng)絡(luò)功能被稱為消費者nf或nf服務(wù)消費者。網(wǎng)絡(luò)功能可以是生產(chǎn)者nf、消費者nf或兩者，這取決于網(wǎng)絡(luò)功能是在消費、生產(chǎn)還是消費和生產(chǎn)服務(wù)。術(shù)語“生產(chǎn)者nf”和“nf服務(wù)生產(chǎn)者”在本文中可互換使用。類似地，術(shù)語“消費者nf”和“nf服務(wù)消費者”在本文中可互換使用。

2、給定的生產(chǎn)者nf可以具有許多服務(wù)端點，其中服務(wù)端點是用于由生產(chǎn)者nf托管的一個或多個nf實例的聯(lián)系點。服務(wù)端點通過互聯(lián)網(wǎng)協(xié)議(ip)地址和端口號的組合或者解析為托管生產(chǎn)者nf的網(wǎng)絡(luò)節(jié)點上的ip地址和端口號的完全限定域名來識別。nf實例是提供服務(wù)的生產(chǎn)者nf的實例。給定的生產(chǎn)者nf可以包括不止一個nf實例。還應(yīng)該注意的是，多個nf實例可以共享相同的服務(wù)端點。

3、生產(chǎn)者nf向nf儲存庫功能(nrf)注冊。nrf維護識別由每個nf實例支持的服務(wù)的可用nf實例的服務(wù)簡檔。術(shù)語“服務(wù)簡檔”和“nf簡檔”在本文中可互換使用。消費者nf可以訂閱以接收關(guān)于已向nrf注冊的生產(chǎn)者nf實例的信息。

4、除了消費者nf之外，可以訂閱以接收關(guān)于nf服務(wù)實例的信息的另一種類型的網(wǎng)絡(luò)節(jié)點是服務(wù)通信代理(scp)。scp向nrf訂閱并獲得關(guān)于生產(chǎn)者nf服務(wù)實例的可達性和服務(wù)簡檔信息。消費者nf連接到scp，并且scp對提供所需服務(wù)的生產(chǎn)者nf服務(wù)實例之間的流量進行負載平衡或直接將流量路由到目的地生產(chǎn)者nf實例。

5、除了scp之外，在生產(chǎn)者和消費者nf之間路由流量的中間代理節(jié)點的另一個示例是安全邊緣保護代理(sepp)。sepp是用于保護在不同5g公共陸地移動網(wǎng)絡(luò)(plmn)之間交換的控制平面流量的網(wǎng)絡(luò)節(jié)點。由此，sepp對在plmn之間傳輸?shù)乃袘?yīng)用編程接口(api)消息執(zhí)行消息過濾、監(jiān)管和拓撲隱藏。

6、在3gpp?ts?33.501中定義的用于訪問基于服務(wù)的架構(gòu)(sba)接口的當(dāng)前安全過程被稱為服務(wù)訪問授權(quán)。用于訪問sba接口的消息被稱為基于服務(wù)的接口(sbi)消息，并且接口上提供的服務(wù)被稱為sbi服務(wù)。根據(jù)服務(wù)訪問授權(quán)過程，尋求訪問由生產(chǎn)者nf提供的sbi服務(wù)的消費者nf必須從nrf獲得oauth?2.0訪問令牌。為了從nrf獲得oauth?2.0訪問令牌，消費者nf向nrf發(fā)送訪問令牌請求。nrf驗證該請求，生成訪問令牌，并且將訪問令牌返回給消費者nf。當(dāng)消費者nf尋求訪問服務(wù)時，消費者nf向生產(chǎn)者nf發(fā)送sbi服務(wù)請求消息。sbi服務(wù)請求消息包括從nrf獲得的訪問令牌。生產(chǎn)者nf核實(verify)訪問令牌中聲明(例如，屬性)的完整性，并且如果聲明有效，那么生產(chǎn)者nf提供對所請求服務(wù)的訪問。

7、這種架構(gòu)的一個問題是，訪問令牌可能被黑客盜取并用于未經(jīng)授權(quán)從生產(chǎn)者nf獲得服務(wù)和/或執(zhí)行攻擊。即使訪問令牌具有到期時間，但由于訪問令牌可以被重復(fù)使用，因此盜取訪問令牌的黑客可能在到期時間之前惡意使用訪問令牌來訪問sbi服務(wù)和/或執(zhí)行拒絕服務(wù)攻擊(例如，通過向一個或多個生產(chǎn)者nf發(fā)送具有高優(yōu)先級的大量服務(wù)請求)。

技術(shù)實現(xiàn)思路

1、公開了用于檢測被盜訪問令牌的方法、系統(tǒng)和計算機可讀介質(zhì)。一種用于檢測被盜訪問令牌的示例方法包括：在包括至少一個處理器的網(wǎng)絡(luò)功能(nf)處：經(jīng)由傳輸層安全(tls)連接從發(fā)送方(sender)接收包括訪問令牌的服務(wù)請求，其中訪問令牌包括指示用于核實訪問令牌的所有者的tls參數(shù)的所有權(quán)信息；使用訪問令牌的所有權(quán)信息和從發(fā)送方獲得的tls證書中的tls信息確定所有權(quán)信息和tls信息是否匹配；以及響應(yīng)于確定所有權(quán)信息和tls信息不匹配，拒絕服務(wù)請求。

2、一種用于檢測被盜訪問令牌的示例系統(tǒng)包括至少一個處理器、存儲器以及使用至少一個處理器和存儲器的nf。該nf被配置用于：經(jīng)由tls連接從發(fā)送方接收包括訪問令牌的服務(wù)請求，其中訪問令牌包括指示用于核實訪問令牌的所有者的tls參數(shù)的所有權(quán)信息；使用訪問令牌的所有權(quán)信息和從發(fā)送方獲得的tls證書中的tls信息確定所有權(quán)信息和tls信息是否匹配；以及響應(yīng)于確定所有權(quán)信息和tls信息不匹配，拒絕服務(wù)請求。

3、一種示例非暫態(tài)計算機可讀介質(zhì)包括實施在非暫態(tài)計算機可讀介質(zhì)中的計算機可執(zhí)行指令，該計算機可執(zhí)行指令在由nf的至少一個處理器執(zhí)行時，使得nf執(zhí)行包括以下的步驟：經(jīng)由tls連接從發(fā)送方接收包括訪問令牌的服務(wù)請求，其中訪問令牌包括指示用于核實訪問令牌的所有者的tls參數(shù)的所有權(quán)信息；使用訪問令牌的所有權(quán)信息和從發(fā)送方獲得的tls證書中的tls信息，確定所有權(quán)信息和tls信息是否匹配；以及響應(yīng)于確定所有權(quán)信息和tls信息不匹配，拒絕服務(wù)請求。

4、本文中描述的主題可以用硬件、軟件、固件或其任何組合來實現(xiàn)。由此，如本文中所使用的術(shù)語“功能”、“節(jié)點”或“模塊”是指用于實現(xiàn)所描述特征的硬件，其還可以包括軟件和/或固件組件。在一個示例實現(xiàn)方案中，本文中描述的主題可以使用計算機可讀介質(zhì)來實現(xiàn)，在該計算機可讀介質(zhì)上存儲有計算機可執(zhí)行指令，該計算機可執(zhí)行指令在由計算機的處理器執(zhí)行時，控制計算機執(zhí)行步驟。適合于實現(xiàn)本文中描述的主題的示例計算機可讀介質(zhì)包括非暫態(tài)計算機可讀介質(zhì)，諸如盤存儲器設(shè)備、芯片存儲器設(shè)備、可編程邏輯設(shè)備和專用集成電路。此外，實現(xiàn)本文中描述的主題的計算機可讀介質(zhì)可以位于單個設(shè)備或計算平臺上，或者可以跨多個設(shè)備或計算平臺分布。

技術(shù)特征：

1.一種用于檢測被盜訪問令牌的方法，所述方法包括：

2.如權(quán)利要求1所述的方法，包括：

3.如權(quán)利要求2所述的方法，包括：

4.如權(quán)利要求3所述的方法，包括：

5.如權(quán)利要求1所述的方法，包括：

6.如任何前述權(quán)利要求所述的方法，其中訪問令牌包括oauth2.0訪問令牌，并且所有權(quán)信息作為oauth?2.0訪問令牌的一個或多個屬性被存儲，并且其中tls證書是在用于在發(fā)送方和所述nf之間建立tls連接的tls握手協(xié)議期間從發(fā)送方獲得的。

7.如權(quán)利要求6所述的方法，其中所有權(quán)信息作為訪問令牌的一個或多個自定義屬性或私有聲明被存儲。

8.如任何前述權(quán)利要求所述的方法，包括：

9.如任何前述權(quán)利要求所述的方法，其中所述nf包括服務(wù)通信代理(scp)、安全邊緣保護代理(sepp)、代理nf、中間nf或生產(chǎn)者nf。

10.一種用于檢測被盜訪問令牌的系統(tǒng)，所述系統(tǒng)包括：

11.如權(quán)利要求10所述的系統(tǒng)，其中所述nf是發(fā)送方和能夠準予服務(wù)請求的生產(chǎn)者nf之間的中間nf，所述nf被配置用于：

12.如權(quán)利要求11所述的系統(tǒng)，包括：

13.如權(quán)利要求12所述的系統(tǒng)，包括：

14.如權(quán)利要求10所述的系統(tǒng)，其中所述nf是能夠準予服務(wù)請求的生產(chǎn)者nf，并且被配置用于：

15.如權(quán)利要求10-14所述的系統(tǒng)，其中訪問令牌包括oauth?2.0訪問令牌，并且所有權(quán)信息作為oauth?2.0訪問令牌的一個或多個屬性被存儲，并且其中tls證書是在用于在發(fā)送方和所述nf之間建立tls連接的tls握手協(xié)議期間從發(fā)送方獲得的。

16.如權(quán)利要求15所述的系統(tǒng)，其中所有權(quán)信息作為訪問令牌的一個或多個自定義屬性或私有聲明被存儲。

17.如權(quán)利要求16所述的系統(tǒng)，其中tls參數(shù)包括或指示主體備用名稱擴展參數(shù)、互聯(lián)網(wǎng)協(xié)議(ip)地址、域名系統(tǒng)(dns)名稱、統(tǒng)一資源標識符(uri)、nf實例標識符或電子郵件地址。

18.如權(quán)利要求10-17所述的系統(tǒng)，包括：

19.如權(quán)利要求10-18所述的系統(tǒng)，其中所述nf包括服務(wù)通信代理(scp)、安全邊緣保護代理(sepp)、代理nf、中間nf或生產(chǎn)者nf。

20.一種在其上存儲有可執(zhí)行指令的非暫態(tài)計算機可讀介質(zhì)，所述可執(zhí)行指令在由網(wǎng)絡(luò)功能(nf)的至少一個處理器執(zhí)行時，使得所述nf執(zhí)行包括以下的步驟：

技術(shù)總結(jié)
公開了用于檢測被盜訪問令牌的方法、系統(tǒng)和計算機可讀介質(zhì)。用于檢測被盜訪問令牌的一個示例方法包括：在包括至少一個處理器的網(wǎng)絡(luò)功能(NF)處：經(jīng)由傳輸層安全(TLS)連接從發(fā)送方接收包括訪問令牌的服務(wù)請求，其中訪問令牌包括指示用于核實訪問令牌的所有者的TLS參數(shù)的所有權(quán)信息；使用訪問令牌的所有權(quán)信息和從發(fā)送方獲得的TLS證書中的TLS信息確定所有權(quán)信息和TLS信息是否匹配；以及響應(yīng)于確定所有權(quán)信息和TLS信息不匹配，拒絕服務(wù)請求。

技術(shù)研發(fā)人員：R·克里山
受保護的技術(shù)使用者：甲骨文國際公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/5/15