• <tr id="yyy80"></tr>
  • <sup id="yyy80"></sup>
  • <tfoot id="yyy80"><noscript id="yyy80"></noscript></tfoot>
  • 99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

    RESTful API在5G應(yīng)用場(chǎng)景中的安全威脅研究

    2023-03-15 08:47:14張奕鳴劉彩霞劉樹(shù)新
    關(guān)鍵詞:令牌核心網(wǎng)生產(chǎn)者

    張奕鳴 劉彩霞 劉樹(shù)新

    (中國(guó)人民解放軍戰(zhàn)略支援部隊(duì)信息工程大學(xué) 河南 鄭州 450002)

    0 引 言

    5G網(wǎng)絡(luò)為了滿足增強(qiáng)移動(dòng)寬帶、超高可靠超低延遲通信和大規(guī)模機(jī)器類通信[1]等應(yīng)用場(chǎng)景的業(yè)務(wù)需求,引入了毫米波、超密集組網(wǎng)、大規(guī)模多輸入多輸出、軟件定義網(wǎng)絡(luò)、網(wǎng)絡(luò)功能虛擬化、基于服務(wù)化架構(gòu)(SBA)等新技術(shù)和新機(jī)制[2-3]。同時(shí),互聯(lián)網(wǎng)開(kāi)放和共享的一些優(yōu)勢(shì)技術(shù)也被5G技術(shù)標(biāo)準(zhǔn)采用,其中RESTful API作為5G SBA架構(gòu)實(shí)現(xiàn)的一種關(guān)鍵技術(shù)被3GPP納入5G標(biāo)準(zhǔn)[4-5]。

    REST(Representational State Transfer)是互聯(lián)網(wǎng)絡(luò)應(yīng)用程序的一種設(shè)計(jì)理念與開(kāi)發(fā)方式,其概念是Roy Thomas Fielding在2000年所發(fā)表的論文中提出的[6],F(xiàn)ielding在論文第6節(jié)中詳細(xì)描述了如何在互聯(lián)網(wǎng)中使用統(tǒng)一資源標(biāo)識(shí)符(URI)、超文本傳輸協(xié)議(HTTP)和不同數(shù)據(jù)表示格式實(shí)現(xiàn)REST,滿足REST開(kāi)發(fā)方式的API則被稱為RESTful API。當(dāng)前,RESTful API已經(jīng)在Web服務(wù)和物聯(lián)網(wǎng)等場(chǎng)景得到成熟應(yīng)用。

    RESTful API在Web服務(wù)和物聯(lián)網(wǎng)應(yīng)用場(chǎng)景中已經(jīng)發(fā)現(xiàn)面臨諸多安全問(wèn)題,如:(1) 由于Web服務(wù)的大連接特性和物聯(lián)網(wǎng)終端處理能力受限特性使得RESTful API在這兩種場(chǎng)景中面臨DDoS攻擊威脅;(2) RESTful API的身份驗(yàn)證機(jī)制導(dǎo)致其面臨中間人攻擊威脅;(3) 針對(duì)RESTful API輸入?yún)?shù)的注入攻擊威脅;(4) 由于RESTful API使用XML、JSON等序列化方法傳輸請(qǐng)求和響應(yīng)數(shù)據(jù),使得攻擊者利用XML和JSON自身漏洞對(duì)RESTful API發(fā)起攻擊等。

    針對(duì)RESTful API在Web服務(wù)與物聯(lián)網(wǎng)應(yīng)用場(chǎng)景中的安全威脅,業(yè)界也開(kāi)展了一些安全增強(qiáng)機(jī)制研究。文獻(xiàn)[7]提出基于ID的身份驗(yàn)證算法,利用URI實(shí)現(xiàn)客戶端與服務(wù)器的輕量身份驗(yàn)證,解決REST的無(wú)狀態(tài)特性帶來(lái)的復(fù)雜身份驗(yàn)證問(wèn)題。文獻(xiàn)[8]提出一種REST安全協(xié)議,采用數(shù)字證書(shū)、消息簽名、消息對(duì)稱加密方法為RESTful API消息提供機(jī)密性、完整性和不可抵賴性保護(hù)。文獻(xiàn)[9]提出一種一次性令牌機(jī)制,每個(gè)REST Web請(qǐng)求都攜帶唯一的不易偽造的一次性令牌,令牌中包含時(shí)間戳,并限制合法訪問(wèn)的時(shí)間窗口,降低REST Web服務(wù)遭受中間人攻擊與劫持攻擊的風(fēng)險(xiǎn)。文獻(xiàn)[10]引入了RE-CHECKER框架分析軟件定義網(wǎng)絡(luò)控制器中的RESTful服務(wù)的漏洞。文獻(xiàn)[11]提出了一種基于RESTful API的體系結(jié)構(gòu)保護(hù)物聯(lián)網(wǎng)設(shè)備安全,物聯(lián)網(wǎng)中間件使用RESTful API對(duì)終端進(jìn)行身份驗(yàn)證后下發(fā)令牌,并將持有令牌的終端生成的數(shù)據(jù)上傳至云服務(wù)器等。

    由于5G網(wǎng)絡(luò)面向海量連接和大規(guī)模通信應(yīng)用場(chǎng)景,網(wǎng)絡(luò)功能(NF)間存在身份驗(yàn)證機(jī)制,控制平面NF間數(shù)據(jù)傳輸使用JSON編碼,故RESTful API在5G場(chǎng)景中也可能面臨相似的安全威脅。此外,RESTful API在5G網(wǎng)絡(luò)應(yīng)用場(chǎng)景的特殊應(yīng)用需求,也會(huì)引入新的安全威脅。

    本文首先介紹5G核心網(wǎng)SBA架構(gòu),在此基礎(chǔ)上,介紹了REST的特點(diǎn)和SBA架構(gòu)中應(yīng)用RESTful API的具體流程,從DDoS攻擊、JSON安全威脅、中間人攻擊、注入攻擊四個(gè)角度分析了RESTful API在5G SBA架構(gòu)中可能存在的安全威脅,最后,分別基于RESTful API請(qǐng)求頻率控制、JSON防護(hù)、令牌改進(jìn)、參數(shù)檢查四個(gè)方面給出了在5G應(yīng)用場(chǎng)景針對(duì)四類威脅的安全防護(hù)方案,為增強(qiáng)RESTful API在5G核心網(wǎng)的應(yīng)用安全提供參考。

    1 5G核心網(wǎng)SBA架構(gòu)與RESTful API

    3GPP定義了5G網(wǎng)絡(luò)的架構(gòu),如圖1所示[12],定義了NF之間交互的兩種表示方法,分別是基于服務(wù)表示和參考點(diǎn)表示。圖1中5G網(wǎng)絡(luò)架構(gòu)可以分為兩部分,分別是用戶平面與控制平面,虛線下方為用戶平面,虛線上方為控制平面。5G網(wǎng)絡(luò)中控制平面NF之間通過(guò)基于服務(wù)的表示進(jìn)行交互,例如接入管理功能(AMF)通過(guò)Namf為其他控制平面的NF提供服務(wù),參考點(diǎn)表示應(yīng)用于用戶平面NF之間的交互,例如接入網(wǎng)((R)AN)通過(guò)參考點(diǎn)N3與用戶平面功能(UPF)進(jìn)行交互,控制平面與用戶平面之間的交互同樣使用參考點(diǎn)表示,參考點(diǎn)分別是N1、N2、N4。

    圖1 5G網(wǎng)絡(luò)架構(gòu)

    3GPP定義的基于服務(wù)表示方法以基于服務(wù)接口(SBI)作為實(shí)現(xiàn),3GPP對(duì)SBI的協(xié)議棧進(jìn)行了定義[13]。SBI協(xié)議棧自底向上在網(wǎng)絡(luò)層協(xié)議采用IP,傳輸層協(xié)議采用TCP,應(yīng)用層協(xié)議采用HTTP/2.0,采用JSON作為序列化方法,采用OpenAPI3.0作為接口描述語(yǔ)言,采用REST作為API開(kāi)發(fā)方式[14]。RESTful API有以下幾個(gè)主要特點(diǎn):(1) RESTful API的開(kāi)發(fā)采用客戶端-服務(wù)器的設(shè)計(jì)架構(gòu);(2) RESTful API的無(wú)狀態(tài)性,即服務(wù)器不保存客戶端的信息,客戶端發(fā)送的每一個(gè)請(qǐng)求都需要包含所有必需的狀態(tài)信息;(3) 服務(wù)器中的所有資源采用URI進(jìn)行標(biāo)識(shí),資源可以是文字、圖片、音頻、視頻、服務(wù)等;(4) 資源的表示形式根據(jù)客戶端的需要進(jìn)行轉(zhuǎn)換,例如服務(wù)器可向客戶端發(fā)送XML、JSON、TXT等類型的數(shù)據(jù);(5) 客戶端對(duì)資源所進(jìn)行的操作使用HTTP方法實(shí)現(xiàn),查詢操作采用GET方法,新增操作采用POST方法,修改更新操作采用PUT或PATCH方法,刪除操作采用DELETE方法。

    RESTful API設(shè)計(jì)方案減少了5G網(wǎng)絡(luò)控制平面NF之間的耦合度和依賴性,符合5G網(wǎng)絡(luò)服務(wù)化的理念,此外,電信運(yùn)營(yíng)商可以使用RESTful API將不同地理位置和不同類型的NF組合到網(wǎng)絡(luò)切片中,實(shí)現(xiàn)5G網(wǎng)絡(luò)的云化、虛擬化和按需部署。

    以AMF通過(guò)服務(wù)發(fā)現(xiàn)請(qǐng)求訪問(wèn)NRF并使用SMF服務(wù)為例,闡述RESTful API應(yīng)用流程,為了便于說(shuō)明,例中應(yīng)用場(chǎng)景為非漫游。在此場(chǎng)景中,AMF為NF服務(wù)消費(fèi)者,SMF為NF服務(wù)生產(chǎn)者,NRF為授權(quán)服務(wù)器。NF之間交互如圖2所示。

    圖2 AMF-NRF-SMF交互

    5G核心網(wǎng)NF服務(wù)訪問(wèn)授權(quán)采用OAuth2.0框架,5G核心網(wǎng)控制平面中的NF服務(wù)消費(fèi)者通過(guò)RESTful API請(qǐng)求使用NF服務(wù)生產(chǎn)者的服務(wù)須經(jīng)過(guò)NRF授權(quán)且NF服務(wù)消費(fèi)者與NRF之間授權(quán)的方式是OAuth2.0框架的Client Credentials,即NF服務(wù)消費(fèi)者和NF服務(wù)生產(chǎn)者首先須要在NRF中注冊(cè),注冊(cè)完成后NF服務(wù)消費(fèi)者使用Nnrf_NFDiscovery_Request請(qǐng)求獲取NRF中已注冊(cè)的NF服務(wù)生產(chǎn)者信息,然后NF服務(wù)消費(fèi)者使用Nnrf_AccessToken_GET_Request向NRF請(qǐng)求訪問(wèn)令牌,NRF對(duì)NF服務(wù)消費(fèi)者進(jìn)行鑒權(quán),若通過(guò)鑒權(quán),則向NF服務(wù)消費(fèi)者下發(fā)訪問(wèn)令牌,NF服務(wù)消費(fèi)者需要將訪問(wèn)令牌與服務(wù)請(qǐng)求一同發(fā)送至NF服務(wù)生產(chǎn)者,NF服務(wù)生產(chǎn)者驗(yàn)證令牌完整性后執(zhí)行服務(wù)。根據(jù)RFC 6749[15]和3GPP的定義[16],5G核心網(wǎng)控制平面的NF在OAuth2.0框架中的角色如下:(1) NRF為Authorization server;(2) NF服務(wù)消費(fèi)者為Client;(3) NF服務(wù)生產(chǎn)者為Resource server。

    2 5G核心網(wǎng)Restful API安全威脅

    RESTful API的無(wú)狀態(tài)特性提高了服務(wù)器可擴(kuò)展性,服務(wù)器可以以此為基礎(chǔ)實(shí)現(xiàn)負(fù)載均衡,減輕流量壓力;RESTful API使用URI標(biāo)識(shí)服務(wù)器資源,簡(jiǎn)化了資源的發(fā)現(xiàn)過(guò)程;客戶端使用已有HTTP協(xié)議的方法對(duì)資源進(jìn)行操作,提高了RESTful API的兼容性,這些優(yōu)勢(shì)使RESTful API在現(xiàn)代軟件架構(gòu)設(shè)計(jì)中越來(lái)越重要。但與此同時(shí)引入了因RESTful API設(shè)計(jì)漏洞而產(chǎn)生的安全威脅。分布式拒絕服務(wù)(DDoS)攻擊尤為普遍和顯著,其本質(zhì)是攻擊者利用與受害主機(jī)的資源不對(duì)稱特性,控制5G網(wǎng)絡(luò)中不同位置的多臺(tái)假冒NF同時(shí)對(duì)受害NF發(fā)起惡意請(qǐng)求,導(dǎo)致受害NF資源耗盡,無(wú)法為合法NF提供正常服務(wù)[17]。JSON是5G核心網(wǎng)SBI協(xié)議棧中的序列化方法,即通過(guò)RESTful API發(fā)送請(qǐng)求和響應(yīng)數(shù)據(jù)的編碼方式是JSON,故其安全漏洞會(huì)成為攻擊者通過(guò)RESTful API攻擊5G網(wǎng)絡(luò)的途徑。中間人攻擊是5G網(wǎng)絡(luò)安全威脅中一個(gè)重要部分,攻擊者可以建立中間人監(jiān)聽(tīng)訪問(wèn)令牌從而非法請(qǐng)求服務(wù)。RESTful API的輸入?yún)?shù)會(huì)受到注入攻擊的威脅,注入攻擊的根本原因是系統(tǒng)對(duì)用戶的輸入驗(yàn)證不足,可以根據(jù)輸入內(nèi)容分類為以SQL語(yǔ)句作為輸入的SQL注入[18]、以系統(tǒng)無(wú)法處理的錯(cuò)誤數(shù)據(jù)作為輸入的錯(cuò)誤數(shù)據(jù)注入[19]、以惡意可執(zhí)行代碼作為輸入的惡意代碼注入等。5G核心網(wǎng)RESTful API安全威脅如圖3所示,以下對(duì)安全威脅進(jìn)行詳細(xì)說(shuō)明。

    圖3 5G核心網(wǎng)RESTful API安全威脅

    2.1 DDoS攻擊威脅

    在5G核心網(wǎng)中,假設(shè)攻擊者控制多臺(tái)假冒NF在多個(gè)PLMN中的NRF中進(jìn)行注冊(cè),注冊(cè)完成后同時(shí)請(qǐng)求同一個(gè)PLMN中NRF的同一個(gè)服務(wù)RESTful API,如圖4所示,若該受害NRF的RESTful API運(yùn)行需要消耗較多資源,例如服務(wù)發(fā)現(xiàn)RESTful API,則受害NRF可能會(huì)由于本身資源的耗盡而無(wú)法為合法NF提供正常服務(wù)。

    圖4 DDoS攻擊

    2.2 JSON安全威脅

    利用當(dāng)前最新發(fā)現(xiàn)的JSON漏洞CVE-2020-10663,攻擊者可以在5G網(wǎng)絡(luò)NF的JSON解析器中創(chuàng)建惡意對(duì)象。3GPP規(guī)定了當(dāng)前5G核心網(wǎng)控制面中PLMN之間JSON消息數(shù)據(jù)傳輸由SEPP和IPX進(jìn)行保護(hù)[16],SEPP使用JWE[21]對(duì)JSON數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù),IPX使用JWS[22]對(duì)修改后JSON數(shù)據(jù)進(jìn)行數(shù)字簽名,如圖5所示。但在同一個(gè)PLMN核心網(wǎng)內(nèi)控制平面NF之間JSON數(shù)據(jù)傳輸并沒(méi)有受到保護(hù),在SBI協(xié)議棧中是否采用TLS仍在討論中[23]。如果不使用TLS機(jī)制,攻擊者可以通過(guò)監(jiān)聽(tīng)和嗅探等方式獲取JSON數(shù)據(jù),若JSON數(shù)據(jù)中包含地理位置、身份標(biāo)識(shí)等用戶敏感信息,則會(huì)危害用戶隱私。即使使用TLS機(jī)制,攻擊者可以將偽造的TLS證書(shū)安裝在PLMN的核心網(wǎng)中,從而使用攻擊者的公鑰對(duì)所有數(shù)據(jù)包進(jìn)行加密,并使用攻擊者的私鑰(由偽造的TLS證書(shū)提供)對(duì)其進(jìn)行解密[24]。因此,攻擊者可以讀取所有加密的JSON數(shù)據(jù)。

    圖5 PLMN間JSON消息保護(hù)

    2.3 中間人攻擊威脅

    上文舉例說(shuō)明了5G核心網(wǎng)中AMF使用RESTful API在NRF中注冊(cè)并獲取訪問(wèn)令牌進(jìn)而請(qǐng)求SMF服務(wù)。如果攻擊者在AMF和NRF之間插入非法的監(jiān)聽(tīng)設(shè)備,如圖6所示,NRF對(duì)AMF鑒權(quán)成功后,會(huì)將訪問(wèn)令牌通過(guò)Nnrf_AccessToken_Get_Response消息發(fā)送至AMF,此時(shí)若攻擊者通過(guò)監(jiān)聽(tīng)設(shè)備獲取到了AMF的訪問(wèn)令牌,則攻擊者可以控制假冒AMF攜帶訪問(wèn)令牌使用SMF的服務(wù)而不被檢測(cè)到,若NRF下發(fā)的是敏感服務(wù)的訪問(wèn)令牌,例如AMF的獲取用戶地理位置的服務(wù),則攻擊者可以獲取到用戶的地理位置進(jìn)而追蹤用戶。

    圖6 中間人攻擊

    2.4 注入攻擊威脅

    在5G核心網(wǎng)中攻擊者可以利用某些NF沒(méi)有對(duì)RESTful API的輸入?yún)?shù)進(jìn)行嚴(yán)格檢查的漏洞,在RESTful API的輸入?yún)?shù)中注入惡意數(shù)據(jù)從而獲取敏感信息。試想,攻擊者通過(guò)中間人攻擊獲取到特定NF服務(wù)(例如AMF的Namf_MT服務(wù))訪問(wèn)令牌后,使用訪問(wèn)令牌所規(guī)定權(quán)限范圍之外的NF服務(wù)(例如AMF的Namf_Location服務(wù))構(gòu)造惡意請(qǐng)求,攻擊者將惡意請(qǐng)求與訪問(wèn)令牌一同發(fā)送至NF服務(wù)生產(chǎn)者端,由于訪問(wèn)令牌是合法的,若NF服務(wù)生產(chǎn)者沒(méi)有嚴(yán)格檢查令牌中權(quán)限范圍參數(shù)與請(qǐng)求服務(wù)是否匹配,則NF服務(wù)生產(chǎn)者會(huì)執(zhí)行攻擊者的惡意請(qǐng)求,這可能導(dǎo)致用戶的敏感信息被竊取,若攻擊者構(gòu)造的惡意請(qǐng)求包含NF服務(wù)生產(chǎn)者無(wú)法處理的越界參數(shù),則可能導(dǎo)致其崩潰,如圖7所示。

    圖7 注入攻擊

    3 5G核心網(wǎng)RESTful API安全防護(hù)機(jī)制

    針對(duì)上文分析的RESTful API在5G核心網(wǎng)存在的安全威脅,基于業(yè)界對(duì)RESTful API在Web與物聯(lián)網(wǎng)安全研究方法,本文結(jié)合5G網(wǎng)絡(luò)SBA架構(gòu)特點(diǎn),對(duì)四類安全威脅提出了對(duì)應(yīng)的安全防護(hù)機(jī)制。

    3.1 DDoS攻擊威脅防護(hù)機(jī)制

    針對(duì)上文分析的DDoS攻擊威脅,NF服務(wù)生產(chǎn)者應(yīng)對(duì)來(lái)自同一個(gè)令牌的RESTful API請(qǐng)求頻率做出相應(yīng)的限制,可以根據(jù)RESTful API所占用資源的不同進(jìn)行等級(jí)劃分,對(duì)占用資源高的RESTful API請(qǐng)求頻率設(shè)定更嚴(yán)格的閾值,對(duì)資源占用低的RESTful API請(qǐng)求頻率設(shè)定較為寬松的閾值。若單位時(shí)間內(nèi)來(lái)自同一個(gè)令牌的請(qǐng)求超過(guò)RESTful API請(qǐng)求頻率閾值,則NF服務(wù)生產(chǎn)者使用HTTP狀態(tài)碼“429 Too Many Requests”作為響應(yīng)且拒絕執(zhí)行服務(wù),如圖8所示。此外,NRF可加入防火墻機(jī)制,依據(jù)NF服務(wù)請(qǐng)求內(nèi)容(例如惡意源IP地址、惡意NF ID、未知PLMN ID等)劃分出惡意NF服務(wù)消費(fèi)者,過(guò)濾惡意NF服務(wù)消費(fèi)者的請(qǐng)求,降低NF服務(wù)生產(chǎn)者RESTful API濫用風(fēng)險(xiǎn)。

    圖8 RESTful API請(qǐng)求頻率限制

    3.2 JSON安全威脅防護(hù)機(jī)制

    針對(duì)上文分析的JSON安全威脅,5G核心網(wǎng)NF應(yīng)具備對(duì)第三方功能進(jìn)行細(xì)粒度快速升級(jí)的能力,若有JSON漏洞被挖掘,則5G核心網(wǎng)應(yīng)能夠?qū)λ惺褂肑SON功能的NF進(jìn)行快速升級(jí),安裝JSON漏洞補(bǔ)丁。此外,同一PLMN核心網(wǎng)內(nèi)NF間JSON數(shù)據(jù)傳輸應(yīng)使用JWE[21]進(jìn)行保護(hù),JWE可以同時(shí)保護(hù)JSON數(shù)據(jù)的機(jī)密性和完整性,防止攻擊者獲取到用戶的敏感數(shù)據(jù),如圖9所示。

    圖9 JSON防護(hù)

    3.3 中間人攻擊威脅防護(hù)機(jī)制

    針對(duì)上文分析的中間人攻擊威脅,即攻擊者獲取到NRF發(fā)送至NF服務(wù)消費(fèi)者的訪問(wèn)令牌,從而攜帶訪問(wèn)令牌使用NF服務(wù)生產(chǎn)者的服務(wù)。提出一種改進(jìn)訪問(wèn)令牌的安全機(jī)制,如圖10所示。NF服務(wù)消費(fèi)者請(qǐng)求訪問(wèn)令牌之前,生成隨機(jī)數(shù)R并使用散列算法計(jì)算隨機(jī)數(shù)的散列值H,將H與散列算法名稱Hashname連同訪問(wèn)令牌請(qǐng)求一同發(fā)送至NRF。NRF對(duì)NF服務(wù)消費(fèi)者鑒權(quán)成功后,將散列值H與散列算法名稱Hashname放入訪問(wèn)令牌中發(fā)送至NF服務(wù)消費(fèi)者,當(dāng)NF服務(wù)消費(fèi)者向NF服務(wù)生產(chǎn)者請(qǐng)求服務(wù)時(shí),將隨機(jī)數(shù)R與訪問(wèn)令牌一同發(fā)送至NF生產(chǎn)者,NF服務(wù)生產(chǎn)者成功驗(yàn)證訪問(wèn)令牌完整性后,將散列值H與散列算法名稱Hashname取出,使用相同散列算法計(jì)算R的散列值H′,若散列值H′與H相同,則允許NF服務(wù)消費(fèi)者使用服務(wù),并將服務(wù)響應(yīng)返回至NF服務(wù)消費(fèi)者,否則拒絕提供服務(wù)。

    圖10 改進(jìn)訪問(wèn)令牌

    通過(guò)改進(jìn)令牌的安全機(jī)制,攻擊者即使獲取到NRF向NF服務(wù)消費(fèi)者下發(fā)的訪問(wèn)令牌,由于無(wú)法獲知NF服務(wù)消費(fèi)者生成的隨機(jī)數(shù)R,故無(wú)法使用NF服務(wù)生產(chǎn)者的服務(wù)。

    3.4 注入攻擊威脅防護(hù)機(jī)制

    針對(duì)上文分析的注入攻擊威脅,NF服務(wù)生產(chǎn)者驗(yàn)證NF服務(wù)消費(fèi)者訪問(wèn)令牌完整性的同時(shí),應(yīng)嚴(yán)格檢查NF服務(wù)消費(fèi)者請(qǐng)求RESTful API中輸入?yún)?shù)是否與令牌保持一致或者是否存在安全威脅。例如檢查NF服務(wù)消費(fèi)者請(qǐng)求RESTful API訪問(wèn)資源的權(quán)限是否在令牌所規(guī)定權(quán)限之內(nèi),驗(yàn)證RESTful API輸入的參數(shù)數(shù)量、類型、長(zhǎng)度、數(shù)值是否在NF服務(wù)生產(chǎn)者所允許范圍之內(nèi)。若NF服務(wù)消費(fèi)者請(qǐng)求的訪問(wèn)權(quán)限超過(guò)了訪問(wèn)令牌權(quán)限范圍或NF服務(wù)消費(fèi)者輸入?yún)?shù)越界,則NF服務(wù)生產(chǎn)者應(yīng)拒絕NF服務(wù)消費(fèi)者的服務(wù)請(qǐng)求并返回錯(cuò)誤消息,如圖11所示。

    圖11 RESTful API檢查機(jī)制

    4 結(jié) 語(yǔ)

    5G網(wǎng)絡(luò)將內(nèi)生安全作為重要的設(shè)計(jì)理念之一,因此5G網(wǎng)絡(luò)在設(shè)計(jì)之初必須全面考慮可能存在的安全威脅。針對(duì)RESTful API在5G應(yīng)用場(chǎng)景中相關(guān)安全研究較少的不足,本文在梳理5G網(wǎng)絡(luò)服務(wù)化架構(gòu)與RESTful API應(yīng)用方法的基礎(chǔ)上,分析了5G網(wǎng)絡(luò)RESTful API 的4種主要安全威脅,包括DDOS攻擊威脅、JSON安全威脅、中間人攻擊威脅和注入攻擊威脅,并提出了相應(yīng)的安全防護(hù)機(jī)制,為5G網(wǎng)絡(luò)的發(fā)展完善提供了參考。未來(lái)將會(huì)針對(duì)5G服務(wù)化架構(gòu)相關(guān)協(xié)議和應(yīng)用場(chǎng)景安全做進(jìn)一步研究。

    猜你喜歡
    令牌核心網(wǎng)生產(chǎn)者
    稱金塊
    1月巴西生產(chǎn)者價(jià)格指數(shù)上漲3.92%
    基于路由和QoS令牌桶的集中式限速網(wǎng)關(guān)
    GSM-R核心網(wǎng)升級(jí)改造方案
    2019德國(guó)IF設(shè)計(jì)大獎(jiǎng)
    動(dòng)態(tài)令牌分配的TCSN多級(jí)令牌桶流量監(jiān)管算法
    5G移動(dòng)通信核心網(wǎng)關(guān)鍵技術(shù)
    通信核心網(wǎng)技術(shù)的應(yīng)用探討
    家禽福利的未來(lái):生產(chǎn)者能期待什么?
    一場(chǎng)大風(fēng)帶給生產(chǎn)者的思考
    呼图壁县| 湘西| 台湾省| 湖南省| 蒙山县| 桑植县| 新昌县| 彰化县| 徐闻县| 民权县| 永丰县| 新巴尔虎右旗| 晋城| 社旗县| 彰化县| 徐闻县| 宜川县| 白水县| 华容县| 弥勒县| 临江市| 岳普湖县| 衢州市| 九寨沟县| 于田县| 湾仔区| 泰宁县| 台江县| 黔江区| 宁阳县| 五大连池市| 前郭尔| 曲水县| 威信县| 恩平市| 砀山县| 客服| 新平| 阳江市| 东莞市| 辛集市|