对5G核心(5GC)授权的网络功能(NF)储存库功能(NRF)访问令牌公钥进行自动密钥管理以减轻安全攻击的方法、系统和计算机可读介质与流程

本文中描述的主题涉及增强5g通信网络中的安全性。更具体地，本文中描述的主题涉及用于对5gc授权的nrf访问令牌公钥进行自动密钥管理以减轻安全攻击的方法、系统和计算机可读介质。

背景技术：

1、在5g电信网络中，提供服务的网络功能被称为生产者网络功能(nf)或nf服务生产者。消费服务的网络功能被称为消费者nf或nf服务消费者。网络功能可以是生产者nf、消费者nf或者两者兼有，取决于网络功能是在消费服务、生产服务、还是既在消费服务又在生产服务。术语“生产者nf”和“nf服务生产者”在本文中可互换使用。类似地，术语“消费者nf”和“nf服务消费者”在本文中可互换使用。

2、给定的生产者nf可能具有许多服务端点，其中服务端点是由生产者nf托管的一个或多个nf实例的联系点。服务端点由网际协议(ip)地址和端口号的组合或完全限定域名来识别，完全限定域名解析为托管生产者nf的网络节点上的ip地址和端口号。nf实例是提供服务的生产者nf的实例。给定的生产者nf可以包括不止一个nf实例。还应注意的是，多个nf实例可以共享同一个服务端点。

3、生产者nf向网络功能储存库功能(nrf)注册。nrf维护可用nf实例的服务简档，服务简档识别每个nf实例支持的服务。消费者nf可以订阅接收关于已经向nrf注册的生产者nf实例的信息。

4、除了消费者nf之外，可以订阅接收关于nf服务实例的信息的另一种类型的网络节点是服务通信代理(scp)。scp向nrf订阅并获得关于生产者nf服务实例的可达性和服务简档信息。消费者nf连接到服务通信代理，并且服务通信代理对提供所需服务的生产者nf服务实例之间的流量进行负载平衡，或者直接将流量路由到目的生产者nf实例。

5、除了scp之外，在生产者nf和消费者nf之间路由流量的中间代理节点或网络节点组的其他例子包括安全边缘保护代理(sepp)、服务网关和5g服务网格中的节点。sepp是用于保护在不同的5g公共陆地移动网络(plmn)之间交换的控制平面流量的网络节点。因此，sepp对所有应用编程接口(api)消息进行消息过滤、监管和拓扑隐藏。

6、3gpp ts 33.501定义了用于在5g网络中访问服务的安全架构和过程。3gpp ts33.501的13.4节描述了使用oauth 2.0作为消费者nf访问5g网络中由生产者nf提供的服务的授权过程。oauth 2.0在因特网工程任务组(ietf)请求评议(rfc)6749中定义。oauth 2.0是一种认证模型，用于客户端通过使用资源所有者的凭证与服务器进行认证来获得对服务器上的受保护资源的访问权。oauth 2.0定义了四个角色。第一个角色是资源所有者，它是能够授予对受保护资源的访问权的实体。第二个角色是资源服务器，它是托管受保护资源的服务器，能够接受受保护资源请求和对其进行响应，并使用访问令牌来认证该请求。客户端是请求访问受保护资源的实体。oauth 2.0中定义的第四个角色是授权服务器，它在成功认证资源所有者并获得授权后向客户端颁发访问令牌。3gpp ts 33.501的13.4.1节定义了5g网络元件在oauth 2.0框架中的角色，规定nrf是oauth 2.0授权服务器，nf服务消费者是oauth 2.0客户端，nf服务生产者是oauth 2.0资源服务器。

7、虽然rfc 6749定义了用于认证的框架，但是rfc 6749没有定义用于进行这种认证的加密密钥的密钥管理过程。该框架为资源服务器、授权服务器和资源客户端定义了上述角色，但没有指定授权服务器的密钥管理，该密钥管理用于分发和更新被分发到资源服务器的公钥的状态以认证来自资源客户端的服务请求。

8、oauth 2.0认证是使用由nrf颁发的访问令牌进行的，并且由消费者nf用于访问生产者nf所提供的服务。在一种可能的基于非对称加密算法的认证方法中，使用nrf的私钥对访问令牌的一部分进行签名。nrf的公钥被分发给网络中的生产者nf，并用于验证从消费者nf接收的访问令牌。具体地，3gpp ts 33.501指示访问令牌应当是如rfc 7519中所述的json web令牌，并且利用如rfc 7515中所述的基于json web签名(jws)的消息认证码(mac)或数字签名来保护访问令牌。

9、这种认证机制的一个问题是，3gpp没有定义由nrf维护的用于在生产者nf进行访问令牌完整性检查的公钥的密钥管理过程。例如，当密钥因安全攻击而泄露时，没有撤销oauth 2.0nrf颁发的公钥的过程，而是需要在生产者nf手动重新提供密钥。进行手动重新提供可能会中断生产者nf提供的服务。

10、另一个相关问题是，3gpp没有定义过程来管理与不同的服务访问级别(比如公共陆地移动网络(plmn)级别、网络切片级别、网络功能级别、服务级别等)关联的nrf访问令牌公钥。nrf部署通常可以包括用于给定nrf的单一访问令牌公钥。无法在不同的服务访问级别上指定和管理访问令牌公钥，限制了5g网络部署中服务访问控制和威胁缓解的灵活性。

11、鉴于这些困难，需要用于访问令牌密钥管理的改进的方法、系统和计算机可读介质。

技术实现思路

1、一种用于对5g核心(5gc)授权的网络访问令牌公钥进行自动密钥管理以减轻安全攻击的方法，包括在包含至少一个处理器和存储器的网络功能(nf)储存库功能(nrf)处进行的步骤。所述步骤包括在所述存储器中维护网络访问令牌公钥数据库，所述网络访问令牌公钥数据库包括供生产者nf用于对在来自消费者nf的服务请求中呈现的网络访问令牌进行验证的至少一个公钥。所述步骤还包括向生产者nf提供网络访问令牌公钥状态通知订阅接口，用于允许生产者nf订阅接收所述至少一个公钥的状态更新的通知。所述步骤还包括经由所述网络访问令牌公钥状态通知订阅接口接收来自生产者nf的要被通知所述至少一个公钥的状态更新的请求，并且作为响应，为生产者nf创建订阅。所述步骤还包括判定需要所述至少一个公钥的状态更新。所述步骤还包括响应于判定需要所述至少一个公钥的状态更新：更新所述至少一个公钥的状态；从所述订阅识别出生产者nf订阅接收所述至少一个公钥的状态更新的通知；以及向生产者nf通知所述至少一个公钥的状态更新。

2、按照本文中描述的主题的另一个方面，维护所述网络访问令牌公钥数据库包括在所述网络访问令牌公钥数据库中维护多个公钥，其中的至少一些公钥与不同的服务访问级别关联。

3、按照本文中描述的主题的另一个方面，不同的服务访问级别包括公共陆地移动网络(plmn)服务级别、网络切片级别、nf类型级别以及服务级别。

4、按照本文中描述的主题的另一个方面，所述至少一个公钥与所述服务访问级别中的一个服务访问级别关联，并且更新所述至少一个公钥的状态包括在所述一个服务访问级别撤销所述公钥。

5、按照本文中描述的主题的另一个方面，提供所述公钥状态通知订阅接口包括提供用于从生产者nf接收订阅请求的接口，其中所述订阅请求可以包括服务访问级别标识信息和对即时密钥的请求。

6、按照本文中描述的主题的另一个方面，所述订阅请求包括对即时密钥的请求，并且还包括响应于所述订阅请求将公钥传送到生产者nf。

7、按照本文中描述的主题的另一个方面，创建订阅包括在数据库中创建或更新记录，以将nf识别为所述至少一个公钥的状态更新的订阅者。

8、按照本文中描述的主题的另一个方面，判定需要所述至少一个公钥的状态更新包括：判定使用与所述至少一个公钥对应的至少一个私钥签名的至少一个网络访问令牌已被泄露，并且更新所述至少一个公钥的状态包括撤销所述至少一个公钥。

9、按照本文中描述的主题的另一个方面，判定需要所述至少一个公钥的状态的变更包括：响应于可配置时间段的到期，判定需要所述至少一个公钥的撤销，并且更新所述至少一个公钥的状态包括撤销所述至少一个公钥。

10、按照本文中描述的主题的另一个方面，用于自动密钥管理以减轻安全攻击的方法包括在生产者nf：接收所述至少一个公钥的状态更新的通知，其中所述状态更新的通知包括所述至少一个公钥的至少一个替换公钥；从消费者nf接收服务请求，所述服务请求包括网络访问令牌；尝试使用所述至少一个替换公钥来验证所述服务请求；判定所述验证失败；以及阻止消费者nf访问在所述服务请求中识别的服务。

11、按照本文中描述的主题的另一个方面，提供一种用于对5g核心(5gc)的网络访问令牌公钥进行自动密钥管理以减轻安全攻击的系统。所述系统包括网络功能(nf)储存库功能(nrf)，所述nrf功能包括至少一个处理器和存储器。所述系统还包括位于所述存储器中的网络访问令牌公钥数据库，所述网络访问令牌公钥数据库包括供生产者nf用于对在来自消费者nf的服务请求中呈现的网络访问令牌进行验证的至少一个公钥。所述系统还包括由所述至少一个处理器实现的自动访问令牌密钥管理器，用于维护所述网络访问令牌公钥数据库。所述自动访问令牌密钥管理器被配置为：向生产者nf提供网络访问令牌公钥状态通知订阅接口，用于允许生产者nf订阅接收所述至少一个公钥的状态更新的通知，经由所述网络访问令牌公钥状态通知订阅接口接收来自生产者nf的要被通知所述至少一个公钥的状态更新的请求，并且作为响应，为生产者nf创建订阅，判定需要所述至少一个公钥的状态更新，并且响应于判定需要所述至少一个公钥的状态更新：响应于判定需要所述至少一个公钥的状态更新：更新所述至少一个公钥的状态；从所述订阅识别出生产者nf订阅接收所述至少一个公钥的状态更新的通知；以及向生产者nf通知所述至少一个公钥的状态更新。

12、按照本文中描述的主题的另一个方面，所述自动访问令牌密钥管理器被配置为在所述网络访问令牌公钥数据库中维护多个公钥，其中的至少一些公钥与不同的服务访问级别关联。

13、按照本文中描述的主题的另一个方面，不同的服务访问级别包括公共陆地移动网络(plmn)级别、网络切片级别、nf类型级别和服务级别。

14、按照本文中描述的主题的另一个方面，所述至少一个公钥与所述服务访问级别中的一个服务访问级别关联，并且所述自动访问令牌密钥管理器被配置为通过在所述一个服务访问级别撤销所述公钥来更新所述至少一个公钥的状态。

15、按照本文中描述的主题的另一个方面，所述网络访问令牌公钥状态通知订阅接口被配置为从生产者nf接收订阅请求，其中所述订阅请求可以包括服务访问级别标识信息和对即时密钥的请求。

16、按照本文中描述的主题的另一个方面，所述订阅请求包括对即时密钥的请求，并且作为响应，所述自动访问令牌密钥管理器被配置为响应于所述订阅请求将公钥传送到生产者nf。

17、按照本文中描述的主题的另一个方面，在创建订阅时，所述自动访问令牌密钥管理器被配置为在数据库中创建或更新记录，以将nf识别为所述至少一个公钥的状态更新的订阅者。

18、按照本文中描述的主题的另一个方面，所述自动访问令牌密钥管理器被配置为：响应于判定使用与所述至少一个公钥对应的至少一个私钥来签名的至少一个访问令牌已被泄露，判定需要所述至少一个公钥的状态更新，并且通过撤销所述至少一公钥来更新所述至少一个公钥的状态。

19、按照本文中描述的主题的另一个方面，所述自动访问令牌密钥管理器被配置为：响应于可配置时间段的到期，判定需要所述至少一个公钥的状态更新，并且通过撤销所述至少一个公钥来更新所述至少一个公钥的状态。

20、按照本文中描述的主题的另一个方面，提供一种非临时性计算机可读介质，其上存储有可执行指令，所述可执行指令在由计算机的处理器执行时控制所述计算机进行步骤。所述步骤包括在所述非临时性计算机可读介质中维护网络访问令牌公钥数据库，所述网络访问令牌公钥数据库包括供生产者网络功能(nf)用于对在来自消费者nf的服务请求中呈现的网络访问令牌进行验证的至少一个公钥。所述步骤还包括向生产者nf提供网络访问令牌公钥状态通知订阅接口，用于允许生产者nf订阅接收所述至少一个公钥的状态更新的通知。所述步骤还包括经由所述网络访问令牌公钥状态通知订阅接口接收来自生产者nf的要被通知所述至少一个公钥的状态更新的请求，并且作为响应，为生产者nf创建订阅。所述步骤还包括判定需要所述至少一个公钥的状态更新。所述步骤还包括响应于判定需要所述至少一个公钥的状态更新：更新所述至少一个公钥的状态；从所述订阅识别出生产者nf订阅接收所述至少一个公钥的状态更新的通知；以及向生产者nf通知所述至少一个公钥的状态更新。

21、本文中描述的主题可以用硬件、软件、固件或它们的任意组合来实现。因此，本文中使用的术语“功能”、“节点”或“模块”指的是用于实现所描述特征的硬件，其也可以包括软件和/或固件组件。在一个示例性实现中，本文中描述的主题可以使用上面存储有计算机可执行指令的计算机可读介质来实现，所述计算机可执行指令当由计算机的处理器执行时，控制计算机进行步骤。适合于实现本文中描述的主题的示例性计算机可读介质包括非临时性计算机可读介质，比如磁盘存储器设备、芯片存储器设备、可编程逻辑器件和专用集成电路。另外，实现本文中描述的主题的计算机可读介质可以位于单个设备或计算平台上，或者可以跨多个设备或计算平台分布。本文中描述的主题也可以被实现为基于云的服务，其中非临时性计算机可读介质和执行包含在计算机可读介质中的指令的处理器各自驻留在云网络中。