本公開描述了輔助歸屬地和VPLMN之間的數據通信的加密以及在數據通信的每一端對加密消息的內容和來源的查證的技術。在一個非限制性示例中，通過在HPLMN和VPLMN之間交換網絡公鑰，部分地輔助了查證加密消息的內容和來源的過程。在另一個示例中，網絡證書聚合器(NCA)可以通過查證交互的歸屬地和VPLMN的身份來充當證書頒發機構(CA)。NCA可以輔助歸屬地和VPLMN之間的公鑰并在其之間交換公鑰，由此HPLMN和VPLMN僅需要信任并查證NCA的身份。替代地，NCA可以充當HPLMN和VPLMN之間的數據通信的管道。

背景技術

從歷史上看，第7號信令系統(SS7)協議用于交換與電信網絡上語音、文本和數據通信的建立和釋放相關聯的控制信息。SS7協議是國際電信標準，它定義了公共交換電話網絡(PSTN)中的元件如何交換信息。SS7協議允許在固定線路網絡(即固定電話)與移動電信網絡之間進行語音、文本和數據通信，從而允許一個網絡上的移動設備在另一網絡上漫游，例如在國外旅行時。

但是，最近，安全專家發現了SS7協議的安全漏洞，可以利用這些漏洞來實現數據盜竊、竊聽、文本攔截和未經授權的位置跟蹤。這些安全漏洞實質上代表了語音、文本和數據通信的每一端之間的中間人攻擊。

附圖說明

參照附圖闡述詳細描述。在附圖中，附圖標記的最左邊的數字標識該附圖標記首次出現的附圖。在不同附圖中使用相同的附圖標記表示相似或相同的條目或特征。

圖1A和圖1B示出了用于為HPLMN和VPLMN之間的數據通信生成端對端安全性的計算環境。

圖2A和圖2B示出了當用戶設備在VPLMN中漫游時，經由VPLMN控制器或HPLMN控制器之一將用戶平面流量路由到數據網絡的過程的框圖。

圖3A，圖3B和圖3C示出了用于網絡證書聚合器(NCA)以輔助與在VPLMN中漫游的用戶設備相關聯的路由用戶平面流量的過程的框圖。

圖4示出了網絡證書控制器的各個組件的框圖。

圖5示出了網絡證書聚合器的各個組件的框圖。

圖6示出了用于當用戶設備在VPLMN中漫游時經由VPLMN將用戶平面流量路由到數據網絡的過程。

圖7示出了用于HPLMN控制器至少部分地基于網絡公鑰的交換來查證VPLMN身份的過程。

圖8示出了用于網絡證書聚合器(NCA)來輔助與在VPLMN中漫游的用戶設備相關聯的路由用戶平面流量的過程。

具體實施方式

本公開描述了輔助建立用于在5G-新型無線電(5G-NR)電信網絡之間漫游通信的端到端安全性的技術。更具體地，描述了一種系統，從而在受訪公共陸地移動網絡(VPLMN)上發起的數據通信可以被加密，然后再傳輸到用戶設備的歸屬地公共陸地移動網絡(HPLMN)。這樣，可以保護數據通信免受在發起和接收網絡(例如HPLMN和VPLMN，反之亦然)之間傳輸期間SS7協議固有的安全漏洞。

為了輔助HPLMN和VPLMN之間的數據通信和相關消息傳遞的端到端加密，HPLMN和VPLMN可以彼此交換不對稱密鑰對的公鑰，使得每個電信網絡(即HPLMN和VPLMN)可以解密其對應方發送的加密消息。例如，VPLMN可以從HPLMN接收與HPLMN相關聯的公鑰，VPLMN可以使用該公鑰來解密由HPLMN發送的加密消息。類似地，HPLMN可以從VPLMN接收與VPLMN相關聯的公鑰，HPLMN可以使用該公鑰來解密由VPLMN發送的加密消息。