本文所述主題涉及保護(hù)通信網(wǎng)絡(luò)中的數(shù)據(jù)。更特別地，本文所述主題涉及用于保護(hù)要在5g和后續(xù)代網(wǎng)絡(luò)中傳輸?shù)拿舾袛?shù)據(jù)的方法、系統(tǒng)和計算機(jī)可讀介質(zhì)。

背景技術(shù)：

1、在5g電信網(wǎng)絡(luò)中，提供服務(wù)的網(wǎng)絡(luò)功能被稱為生產(chǎn)者nf或nf服務(wù)生產(chǎn)者。消費(fèi)服務(wù)的網(wǎng)絡(luò)功能被稱為消費(fèi)者nf或nf服務(wù)消費(fèi)者。網(wǎng)絡(luò)功能可以是生產(chǎn)者nf、消費(fèi)者nf或兩者，這取決于網(wǎng)絡(luò)功能是消費(fèi)、生產(chǎn)還是消費(fèi)和生產(chǎn)服務(wù)。術(shù)語“生產(chǎn)者nf”和“nf服務(wù)生產(chǎn)者”在本文中可互換使用。類似地，術(shù)語“消費(fèi)者nf”和“nf服務(wù)消費(fèi)者”在本文中可互換使用。

2、給定的生產(chǎn)者nf可能有許多服務(wù)端點，其中服務(wù)端點是生產(chǎn)者nf托管的一個或多個nf實例的聯(lián)系點。服務(wù)端點由互聯(lián)網(wǎng)協(xié)議(ip)地址和端口號的組合或解析為托管生產(chǎn)者nf的網(wǎng)絡(luò)節(jié)點上的ip地址和端口號的完全限定域名(fqdn)來識別。nf實例是提供服務(wù)的生產(chǎn)者nf的實例。給定的生產(chǎn)者nf可以包括多于一個nf實例。還應(yīng)該注意的是，多個nf實例可以共享同一個服務(wù)端點。

3、nf向網(wǎng)絡(luò)功能儲存庫功能(nrf)注冊。nrf維護(hù)可用nf實例的識別由每個nf實例支持的服務(wù)的簡檔。nf實例的簡檔在3gpp?ts29.510中被稱為nf簡檔。nf實例可以通過nf發(fā)現(xiàn)服務(wù)操作獲得關(guān)于已向nrf注冊的其它nf實例的信息。根據(jù)nf發(fā)現(xiàn)服務(wù)操作，消費(fèi)者nf向nrf發(fā)送nf發(fā)現(xiàn)請求。nf發(fā)現(xiàn)請求包括查詢參數(shù)，nrf使用這些查詢參數(shù)來定位能夠提供由查詢參數(shù)識別的服務(wù)的生產(chǎn)者nf的nf簡檔。nf簡檔是定義由nf實例提供的服務(wù)類型以及關(guān)于nf實例的聯(lián)系和容量信息的數(shù)據(jù)結(jié)構(gòu)。

4、服務(wù)通信代理(scp)也可以調(diào)用nf發(fā)現(xiàn)服務(wù)操作來獲知關(guān)于可用的生產(chǎn)者nf實例。scp使用nf發(fā)現(xiàn)服務(wù)操作代表消費(fèi)者nf獲得關(guān)于生產(chǎn)者nf實例的信息的情況被稱為委托發(fā)現(xiàn)。消費(fèi)者nf連接到scp，并且scp在提供所需服務(wù)的生產(chǎn)者nf服務(wù)實例之間平衡流量負(fù)載或直接將流量路由到目的地生產(chǎn)者nf實例。

5、除了scp之外，在生產(chǎn)者和消費(fèi)者nf之間轉(zhuǎn)發(fā)流量的中間代理的另一個示例是安全邊緣保護(hù)代理(sepp)。sepp是用于保護(hù)在不同5g公共陸地移動網(wǎng)絡(luò)(plmn)之間交換的控制平面流量的網(wǎng)絡(luò)功能。由此，sepp對在plmn之間傳輸?shù)乃袘?yīng)用編程接口(api)消息執(zhí)行消息過濾、管制和拓?fù)潆[藏。

6、5g和其它類型網(wǎng)絡(luò)中的一個問題是保護(hù)通過網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)。5g網(wǎng)絡(luò)中的nf之間交換的敏感數(shù)據(jù)有許多類型，包括訂戶和訂閱識別數(shù)據(jù)，諸如訂閱永久標(biāo)識符(supi)、通用公共訂閱標(biāo)識符(gpsi)、永久裝備標(biāo)識符(pei)、其它訂戶相關(guān)數(shù)據(jù)或策略數(shù)據(jù)。此類信息可以用于偽裝成合法訂戶并獲取對其它訂戶數(shù)據(jù)的訪問。

7、保護(hù)這些和其它類型數(shù)據(jù)的一種方法是使用安全超文本傳送協(xié)議(https)加密數(shù)據(jù)的傳送。https依靠傳輸層安全性(tls)來保護(hù)通信端點之間的數(shù)據(jù)傳送。雖然https在使用時提供了足夠的數(shù)據(jù)保護(hù)，但https并不用于網(wǎng)絡(luò)中的所有數(shù)據(jù)傳送。例如，消費(fèi)者nf在向同一網(wǎng)絡(luò)中的生產(chǎn)者nf或負(fù)載平衡器傳遞請求時可能使用http而不是https。服務(wù)提供商的網(wǎng)絡(luò)內(nèi)的日志和跟蹤數(shù)據(jù)的傳輸可能同樣不安全。此外，tls級別的加密要求對整個傳輸層有效負(fù)載進(jìn)行加密，這比加密被視為具有敏感數(shù)據(jù)的所選擇的消息參數(shù)效率更低。另外，tls加密是點對點的，這意味著在通過多個網(wǎng)絡(luò)跳發(fā)送數(shù)據(jù)時必須解密加密數(shù)據(jù)然后重新加密，并且如果單個跳不執(zhí)行tls加密，那么無法保證端到端安全性。

8、由于https并非普遍用于5g數(shù)據(jù)傳輸，因此需要一種機(jī)制來保護(hù)在5g和后續(xù)代網(wǎng)絡(luò)中傳輸?shù)拿舾袛?shù)據(jù)。保護(hù)敏感數(shù)據(jù)包括確定哪些nf支持加密以及哪些不支持、指示消息何時包含加密的敏感數(shù)據(jù)、指示哪些消息參數(shù)或?qū)傩灾当患用?、以及在發(fā)送nf和接收nf之間傳遞密碼參數(shù)。

9、相應(yīng)地，鑒于這些和其它困難，需要用于保護(hù)在5g和后續(xù)代網(wǎng)絡(luò)中傳輸?shù)拿舾袛?shù)據(jù)的方法、系統(tǒng)和計算機(jī)可讀介質(zhì)。

技術(shù)實現(xiàn)思路

1、一種用于保護(hù)要在5g和后續(xù)代網(wǎng)絡(luò)中傳輸?shù)拿舾袛?shù)據(jù)的方法包括接收或生成基于服務(wù)的接口(sbi)請求消息。該方法還包括識別sbi請求消息的下一跳網(wǎng)絡(luò)功能(nf)。該方法還包括從下一跳nf的已注冊簡檔確定下一跳nf是否支持處置加密的sbi請求消息參數(shù)。該方法還包括響應(yīng)于確定下一跳nf支持處置加密的sbi請求消息參數(shù)：加密所選擇的sbi請求消息參數(shù)；向sbi請求消息添加一個或多個報頭或更新sbi請求消息中的一個或多個報頭以促進(jìn)對加密的sbi請求消息參數(shù)的識別和解密；以及將sbi請求消息傳輸?shù)较乱惶鴑f。

2、根據(jù)本文所述主題的另一方面，接收或生成sbi請求消息包括在消費(fèi)者nf處生成sbi請求消息。

3、根據(jù)本文所述主題的另一方面，接收或生成sbi請求消息包括在服務(wù)通信代理(scp)或安全邊緣保護(hù)代理(sepp)處接收或生成sbi請求消息。

4、根據(jù)本文所述主題的另一方面，已注冊簡檔包括向nf儲存庫功能(nrf)注冊的下一跳nf的簡檔。

5、根據(jù)本文所述主題的另一方面，確定下一跳nf是否支持處置加密的sbi請求消息參數(shù)包括確定下一跳nf支持處置加密的sbi請求消息參數(shù)，并且加密所選擇的sbi請求消息參數(shù)包括對網(wǎng)絡(luò)運(yùn)營商認(rèn)為包含敏感數(shù)據(jù)的sbi請求消息參數(shù)進(jìn)行加密。

6、根據(jù)本文所述主題的另一方面，向sbi請求消息添加一個或多個報頭或者更新sbi請求消息中的一個或多個報頭包括添加或更新識別加密的sbi請求消息參數(shù)的第一報頭和包括用于促進(jìn)對加密的sbi請求消息參數(shù)的解密的至少一個參數(shù)的至少一個第二報頭。

7、根據(jù)本文所述主題的另一方面，接收或生成sbi請求包括接收sbi請求，其中sbi請求包括加密的sbi請求消息參數(shù)和用于促進(jìn)對加密的sbi請求消息參數(shù)的識別和解密的一個或多個報頭，確定下一跳nf是否支持處置加密的sbi請求消息參數(shù)包括確定下一跳nf支持處置加密的sbi請求消息參數(shù)，并且該方法還包括解密加密的sbi請求消息參數(shù)，并且加密所選擇的sbi請求消息參數(shù)包括使用與下一跳nf共享的秘密密鑰重新加密解密的sbi請求消息參數(shù)；并且向sbi請求消息添加一個或多個報頭或更新sbi請求消息中的一個或多個報頭包括更新所述一個或多個報頭以識別重新加密的sbi請求消息參數(shù)和促進(jìn)下一跳nf解密重新加密的sbi請求消息參數(shù)。

8、根據(jù)本文所述主題的另一方面，接收或生成sbi請求消息包括接收sbi請求消息，其中sbi請求消息包括加密的sbi請求消息參數(shù)和用于促進(jìn)對加密的sbi請求消息參數(shù)的識別和解密的一個或多個報頭，并且確定下一跳nf是否支持處置加密的sbi請求消息參數(shù)包括確定下一跳nf不支持處置加密的sbi請求消息參數(shù)，并且作為響應(yīng)：解密加密的sbi請求消息參數(shù)以產(chǎn)生明文sbi請求消息參數(shù)；在sbi請求消息中用明文sbi請求消息參數(shù)替換加密的sbi請求消息參數(shù)；以及將帶有明文sbi請求消息參數(shù)的sbi請求消息傳輸?shù)较乱惶鴑f。

9、根據(jù)本文所述主題的另一方面，用于保護(hù)要在5g或后續(xù)代網(wǎng)絡(luò)中傳輸?shù)拿舾袛?shù)據(jù)的方法包括使用一個或多個報頭檢測加密的sbi請求消息參數(shù)的存在。

10、根據(jù)本文所述主題的另一方面，所選擇的sbi請求消息參數(shù)包括sbi請求消息級別而不是傳輸層消息級別的第三代合作伙伴計劃(3gpp)定義的訂戶或訂閱識別參數(shù)。

11、根據(jù)本文所述主題的另一方面，提供了一種用于保護(hù)要在5g或后續(xù)代網(wǎng)絡(luò)中傳輸?shù)拿舾袛?shù)據(jù)的系統(tǒng)。該系統(tǒng)包括網(wǎng)絡(luò)功能(nf)，該網(wǎng)絡(luò)功能包括至少一個處理器。該系統(tǒng)還包括由所述至少一個處理器實現(xiàn)的基于服務(wù)的接口(sbi)請求消息數(shù)據(jù)保護(hù)器，用于：接收或生成sbi請求消息，識別sbi請求消息的下一跳nf，從下一跳nf的已注冊簡檔確定下一跳nf是否支持處置加密的sbi請求消息參數(shù)，以及響應(yīng)于確定下一跳nf支持處置加密的sbi請求消息參數(shù)：加密所選擇的sbi請求消息參數(shù)；向sbi請求消息添加一個或多個報頭或更新sbi請求消息中的一個或多個報頭以促進(jìn)對加密的sbi請求消息參數(shù)的識別和解密；以及將sbi請求消息傳輸?shù)较乱惶鴑f。

12、根據(jù)本文所述主題的另一方面，nf包括消費(fèi)者nf。

13、根據(jù)本文所述主題的另一方面，nf包括服務(wù)通信代理(scp)或安全邊緣保護(hù)代理(sepp)。

14、根據(jù)本文所述主題的另一方面，已注冊簡檔包括向nf儲存庫功能(nrf)注冊的下一跳nf的簡檔。

15、根據(jù)本文所述主題的另一方面，sbi請求消息數(shù)據(jù)保護(hù)器被配置為確定下一跳nf支持處置加密的sbi請求消息參數(shù)，并且對網(wǎng)絡(luò)運(yùn)營商認(rèn)為包含敏感數(shù)據(jù)的sbi請求消息參數(shù)進(jìn)行加密。

16、根據(jù)本文所述主題的另一方面，sbi請求消息數(shù)據(jù)保護(hù)器被配置為添加或更新識別加密的sbi請求消息參數(shù)的第一報頭和包括用于促進(jìn)對加密的sbi請求消息參數(shù)的解密的至少一個參數(shù)的至少一個第二報頭。

17、根據(jù)本文所述主題的另一方面，sbi請求消息數(shù)據(jù)保護(hù)器被配置為：接收sbi請求，其中sbi請求包括加密的sbi請求消息參數(shù)和包括用于促進(jìn)對加密的sbi請求消息參數(shù)的識別和解密的數(shù)據(jù)的一個或多個報頭；確定下一跳nf支持處置加密的sbi請求消息參數(shù)；解密加密的sbi請求消息參數(shù)；通過使用與下一跳nf共享的秘密密鑰重新加密解密的sbi請求消息參數(shù)來加密所選擇的sbi請求消息參數(shù)；以及更新一個或多個報頭以識別重新加密的sbi請求消息參數(shù)和促進(jìn)下一跳nf解密重新加密的sbi請求消息參數(shù)。

18、根據(jù)本文所述主題的另一方面，sbi請求消息數(shù)據(jù)保護(hù)器被配置為接收sbi請求消息，其中sbi請求消息包括加密的sbi請求消息參數(shù)和用于促進(jìn)對加密的sbi請求消息參數(shù)的識別和解密的一個或多個報頭；并且sbi請求消息數(shù)據(jù)保護(hù)器被配置為確定下一跳nf不支持處置加密的sbi請求消息參數(shù)，并且作為響應(yīng)：解密加密的sbi請求消息參數(shù)以產(chǎn)生明文sbi請求消息參數(shù)；在sbi請求消息中用明文sbi請求消息參數(shù)替換加密的sbi請求消息參數(shù)；以及將帶有明文sbi請求消息參數(shù)的sbi請求消息傳輸?shù)较乱惶鴑f。

19、根據(jù)本文所述主題的另一方面，sbi請求消息數(shù)據(jù)保護(hù)器被配置為使用一個或多個報頭檢測加密的sbi請求消息參數(shù)的存在。

20、根據(jù)本文所述主題的另一方面，提供了一種其上存儲有可執(zhí)行指令的非暫態(tài)計算機(jī)可讀介質(zhì)，所述可執(zhí)行指令在由計算機(jī)的處理器執(zhí)行時控制計算機(jī)執(zhí)行步驟。這些步驟包括接收或生成基于服務(wù)的接口(sbi)請求消息。這些步驟還包括識別sbi請求消息的下一跳網(wǎng)絡(luò)功能(nf)。這些步驟還包括根據(jù)下一跳nf的已注冊簡檔確定下一跳nf是否支持處置加密的sbi請求消息參數(shù)。這些步驟還包括，響應(yīng)于確定下一跳nf支持處置加密的sbi請求消息參數(shù)，加密所選擇的sbi請求消息參數(shù)，向sbi請求消息添加一個或多個報頭或更新sbi請求消息中的一個或多個報頭以促進(jìn)對加密的sbi請求消息參數(shù)的識別和解密、以及將sbi請求消息傳輸?shù)较乱惶鴑f。

21、本文所述主題可以結(jié)合硬件和/或固件用軟件來實現(xiàn)。例如，本文所述主題可以以由處理器執(zhí)行的軟件來實現(xiàn)。在一個示例性實施方式中，本文所述主題可以使用其上存儲有計算機(jī)可執(zhí)行指令的非暫態(tài)計算機(jī)可讀介質(zhì)來實現(xiàn)，所述計算機(jī)可執(zhí)行指令在由計算機(jī)的處理器執(zhí)行時控制計算機(jī)執(zhí)行步驟。適合于實現(xiàn)本文所述主題的示例性計算機(jī)可讀介質(zhì)包括非暫態(tài)計算機(jī)可讀介質(zhì)，諸如盤存儲器設(shè)備、芯片存儲器設(shè)備、可編程邏輯設(shè)備和專用集成電路。此外，實現(xiàn)本文所述主題的計算機(jī)可讀介質(zhì)可以位于單個設(shè)備或計算平臺上，或者可以跨多個設(shè)備或計算平臺分布。