CN112367666B - 一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统 - Google Patents
一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统 Download PDFInfo
- Publication number
- CN112367666B CN112367666B CN202011227165.4A CN202011227165A CN112367666B CN 112367666 B CN112367666 B CN 112367666B CN 202011227165 A CN202011227165 A CN 202011227165A CN 112367666 B CN112367666 B CN 112367666B
- Authority
- CN
- China
- Prior art keywords
- cnf
- pnf
- pnrf
- data
- cnrf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W60/00—Affiliation to network, e.g. registration; Terminating affiliation with the network, e.g. de-registration
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统,本装置和系统用于实现本方法,本方法为cNF注册在cNRF的网络中,pNF注册在pNRF的网络中,包括:当cNF向pNF发出获取pNF服务的请求,则pNF向pNRF请求查询该cNF数据;若pNRF查询不到cNF数据,则中间转发和/或中间重定向转发pNRF发现请求,以寻找有该cNF注册的cNRF;pNF根据pNRF发现请求的反馈情况,判断是否允许cNF访问其服务。本发明通过cNF、pNF、cNRF和pNRF之间的信息验证cNF的身份,增强了5G核心网中网络功能NFs之间互相服务访问的安全性。
Description
技术领域
本发明涉及移动通信技术领域,特别涉及一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统。
背景技术
根据5G安全架构和流程协议TS 3GPP 33501-g30规定,在5G核心网中拥有大量的网络功能NF(NF,Network Function,各个NF独立自治,无论新增、升级还是改造都不会妨碍到其他NF),NF之间大量使用http2协议通信,并使用TLS作为数据传输层加密协议(TLS协议仅在传输层面对cNF进行TLS协商验证,并不会在应用层面以cNF身份和配置数据进行验证)。所以服务消费者cNF(cNF,consumer Network Function,为访问和调用服务的NF即为NF服务使用者)连接服务提供者pNF(pNF,provider Network Function,为提供服务的NF即为NF服务提供者)只需TLS协议协商通过。且cNF请求pNF提供的服务时,只需cNF发送的消息数据符合3GPP的http2协议数据格式,即可连接上了pNF,获得pNF提供的服务,cNF与pNF之间可进行具体的消息交互。但是这样,难以避免非法程序伪装的cNF以非法手段获取pNF所提供服务的安全隐患。
现有技术中也有在pNF上配置限制cNF接入的IP地址等静态配置参数,但是能够验证的参数过少,也没有在应用层对cNF进行验证,安全性仍然不高。
专利号WOIB19050078基于5G服务的核心网中的灵活授权,该专利讲述的内容是向授权服务器发送涉及到多个NF服务的过程授权请求,以及从授权服务器接收用于该过程的授权响应,该授权响应包括授权访问多个NF服务的信息。本专利通过增设授权服务器,接收多个NF服务的过程授权请求并向其反馈授权响应来获取5G网络安全。
专利号CN 109688586 A的一种网络功能认证方法、装置及计算机可读介质,该专利方法是接收来自发送端的网络功能NF请求,对所述NF请求进行访问令牌认证,得到认证结果,根据所述认证结果对所述NF请求进行响应,并向所述发送端返回响应结果,以及所述的接收端为NRF。本专利通过对所述NF请求进行访问令牌认证,得到认证结果,再根据认证结果向发送端反馈响应结果。
发明内容
本发明的主要目的是提出一种5G核心网中pNF通过NRF认证cNF的方法,旨在增强5G核心网中网络功能NFs(Network Function)之间互相服务访问的安全性。
为实现上述目的,本发明提出的一种5G核心网中pNF通过NRF认证cNF的方法,cNF注册在cNRF的网络中,pNF注册在pNRF的网络中,包括如下步骤:
S10当cNF向pNF发出获取pNF服务的请求,则pNF向pNRF请求查询该cNF数据;
S20若pNRF查询不到cNF数据,则中间转发和/或中间重定向转发pNRF发现请求,以寻找有该cNF注册的cNRF;
S30 pNF根据pNRF发现请求的反馈情况,判断是否允许cNF访问其服务。
优选地,访问过所述pNF服务的cNF数据会缓存入pNF的cNF数据表,所述S10包括:
S101若cNF向pNF发出获取pNF服务的请求,则pNF在缓存的cNF数据表中查询是否有该cNF数据;
S102若pNF在缓存中查询到访问过其服务的该cNF数据,则pNF将cNF向pNF发出获取pNF服务的请求消息中携带的cNF数据和pNF缓存入cNF数据表中数据进行匹配;
S103若完全匹配,则pNF允许cNF获取pNF服务;若不完全匹配,则pNF重新向pNRF请求查询该cNF数据。
优选地,当所述cNRF和pNRF不在同一5G核心网内时,所述S20为:
若pNRF查询不到cNF数据,则中间转发和/或中间重定向的方式通过安全边缘代理网关SEPP转发pNRF发现请求,以寻找有该cNF注册的cNRF。
优选地,所述S30包括:
S301若pNRF找不到cNF注册的cNRF,则pNRF认证cNF为非法cNF,且向pNF返回查询失败消息,pNF判断不允许cNF访问其服务;
S302若pNRF找到cNF注册的cNRF,则从cNRF获得cNF数据,并将cNF数据应答给pNF,pNF根据pNRF应答中的cNF数据与其允许接入的cNF配置数据匹配验证,以判断是否允许cNF访问其服务。
优选地,所述允许接入的cNF配置数据至少包括:cNF的共用陆地移动网络识别码PLMN ID、所属网络切片集NSSAI、网元类型NF Type、cNF IP,所述S302中pNF将pNRF应答的cNF数据与上述允许接入的cNF配置数据匹配验证判断是否被允许访问其服务。
优选地,所述S302包括:
S3021若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据相匹配,则pNF允许cNF获取pNF服务;
S3022若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据不匹配,则pNF向cNF返回请求失败。
优选地,所述缓存入cNF数据表的cNF数据包括cNF ID、cNF类型、cNF IP。
优选地,若所述pNF中允许接入的cNF配置数据有更改,则缓存入pNF的cNF数据表中的cNF数据全部清空。
本发明还提出一种5G核心网中pNF通过NRF认证cNF的装置,本装置用于实现本发明,其包括:
查询模块,用于当cNF向pNF发出获取pNF服务的请求,则pNF向pNRF请求查询该cNF数据,其中包括:第一查询子模块101,若cNF向pNF发出获取pNF服务的请求,则pNF在缓存的cNF数据表中查询是否有该cNF数据;匹配子模块,用于若pNF在缓存中查询到访问过其服务的该cNF数据,则pNF允许cNF获取pNF服务;执行子模块,若pNF在缓存中没有查询到访问过其服务的该cNF数据,则pNF向pNRF请求查询该cNF数据;
发现模块,用于若pNRF查询不到cNF数据,则中间转发和/或中间重定向转发pNRF发现请求,以寻找有该cNF注册的cNRF;
判断模块,用于pNF根据pNRF发现请求的反馈情况,判断是否允许cNF访问其服务,其中包括:第一判断子模块301,用于若pNRF找不到cNF注册的cNRF,则pNRF认证cNF为非法cNF,且向pNF返回查询失败消息,pNF判断不允许cNF访问其服务;第二判断子模块302,用于若pNRF找到cNF注册的cNRF,则从cNRF获得cNF数据,并将cNF数据应答给pNF,pNF根据pNRF应答中的cNF数据与其允许接入的cNF配置数据匹配验证,以判断是否允许cNF访问其服务,其中包括:匹配单元3021,用于若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据相匹配,则pNF允许cNF获取pNF服务;不匹配单元3022,用于若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据不匹配,则pNF向cNF返回请求失败。
本发明还提出一种5G核心网中pNF通过NRF认证cNF的系统,包括cNF、pNF、cNRF、pNRF和如上所述的装置,所述cNF注册在cNRF的网络中,pNF注册在pNRF的网络中,所述cNF与pNF之间连接采用http2协议,使用TLS作为数据传输层加密协议;所述cNRF和pNRF根据5G流程协议TS 3GPP规定负责维护5G核心网中每个cNF和pNF的配置数据,cNF注册并提交自身参数到cNRF,并定时向cNRF发送自身参数的更新请求,cNRF若一定时间内收不到cNF的更新请求即删除该cNF数据;pNF注册并提交自身参数到pNRF,并定时向pNRF发送自身参数的更新请求,pNRF若一定时间内收不到pNF的更新请求即删除该pNF数据,如上所述的装置用于cNF、pNF、cNRF、pNRF之间服务访问的安全验证。
为了防止非法程序伪装成cNF非法获得pNF服务,特别针对cNF与pNF没有注册在同一NRF网络中的情况,本发明通过cNF、pNF、cNRF和pNRF四个网元之间信息的匹配认证,先向pNRF发出请求查询,若查询不到cNF数据,则中间转发和/或中间重定向转发pNRF发现请求以寻找有该cNF注册的cNRF,pNF根据pNRF发现请求的反馈情况,判断是否允许cNF访问其服务。通过本发明技术方案增强了5G核心网中网络功能NFs(Network Function)之间互相服务访问的安全性。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本发明所述方法一实施例的方法流程图;
图2为所述S10一实施例的方法流程图;
图3为本发明所述S30一实施例的方法流程图;
图4为本发明所述S302一实施例的方法流程图;
图5为本发明所述S302另一实施例的流程示意图;
图6为本发明所述装置一实施例的功能模块图;
图7为本发明所述系统一实施例的网络拓扑图;
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明,若本发明实施例中有涉及方向性指示(诸如上、下、左、右、前、后……),则该方向性指示仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
另外,若本发明实施例中有涉及“第一”、“第二”等的描述,则该“第一”、“第二”等的描述仅用于描述目的,而不能理解为指示或暗示其相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。另外,各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本发明要求的保护范围之内。
根据5G安全架构和流程协议TS 3GPP 33501-g30规定,在5G核心网中拥有大量的网络功能NF,NF之间大量使用http2协议通信,只要cNF在http2协议层面上或者TLS协商上,即可连接上了pNF,就能获得pNF提供的服务,这样会存在非法程序伪装的cNF非法获得pNF提供的服务隐患。
为了防止非法程序伪装成cNF非法获得pNF服务,本发明提出的一种5G核心网中pNF通过NRF认证cNF的方法,cNF注册在cNRF的网络中,pNF注册在pNRF的网络中,包括如下步骤:
S10当cNF向pNF发出获取pNF服务的请求,则pNF向pNRF请求查询该cNF数据;
S20若pNRF查询不到cNF数据,则中间转发和/或中间重定向转发pNRF发现请求,以寻找有该cNF注册的cNRF;
S30 pNF根据pNRF发现请求的反馈情况,判断是否允许cNF访问其服务。
在本发明实施例中,如图1所示,在5G核心网中有多个NRF,每个NRF的网络中会有许多网络实体NF注册其名下,cNF和pNF是根据服务请求来确定。本发明主要针对cNF注册在cNRF的网络中,pNF注册在pNRF的网络中,cNF为服务消费者cNF(cNF,consumer NetworkFunction,为访问和调用服务的NF即为NF服务使用者),pNF为服务提供者pNF(pNF,provider Network Function,为提供服务的NF即为NF服务提供者),在NFs(大量网络功能NF,各个NF独立自治,无论新增、升级还是改造都不会妨碍到其他NF))中,同一NF根据服务的需求确定为cNF和pNF。通过cNF、pNF、cNRF和pNRF四个网元之间信息的匹配认证来判断是否允许cNF访问其服务。根据当前的5G协议TS 3GPP 23501-g30 23502-g30 29510-g20规定,网络存储库功能NRF(Network Repository Function)负责维护的5G核心网中每个NF的NF配置Profile数据。当一个NF加入到5G核心网中时,都需要注册到NRF上,并把自身的参数提交到NRF上,并定时更新自身的参数,如果在一定时间内NRF收不到NF的更新数据请求消息,即把NF数据删除。其他NF可以通过NRF发现5G核心网中的其他NF或者获得其他NF提交到NRF上的配置参数。通过NRF验证的目的是,NRF上面存储着当前5G核心网中所有存活的NFs,并保存着NFs大量参数(当NF因为去注册、关机和故障等原因退出核心网时,NRF会删除NF的数据)。本发明通过先向pNRF发出请求查询,若查询不到cNF数据,则中间转发和/或中间重定向转发pNRF发现请求以寻找有该cNF注册的cNRF,pNF根据pNRF发现请求的反馈情况,判断是否允许cNF访问其服务。通过本发明技术方案增强了5G核心网中网络功能NFs(Network Function)之间互相服务访问的安全性。而且其验证请求服务的NF能够访问被请求服务的NF过程中并不需要授权服务器,被请求服务的NRF只需向NRF请求获得请求服务的NF数据,其余验证过程在被请求的NF中结合从NRF中获得的数据和网络管理员配置的访问服务策略直接判断是否提供服务,以及不需要授权请求和授权响应过程,提高了网络通信效率;而且本发明不采用令牌认证方式,不需要每次请求令牌,以及不需要依赖分配令牌的NRF服务器,提高了网络处理效率。
优选地,访问过所述pNF服务的cNF数据会缓存入pNF的cNF数据表,所述S10包括:
S101若cNF向pNF发出获取pNF服务的请求,则pNF在缓存的cNF数据表中查询是否有该cNF数据;
S102若pNF在缓存中查询到访问过其服务的该cNF数据,则pNF将cNF向pNF发出获取pNF服务的请求消息中携带的cNF数据和pNF缓存入cNF数据表中数据进行匹配;
S103若完全匹配,则pNF允许cNF获取pNF服务;若不完全匹配,则pNF重新向pNRF请求查询该cNF数据。
在本发明实施例中,如图2所示,为了进一步提高网络通信效率和处理效率,本发明所述访问过pNF服务的cNF数据指通过判断允可访问的cNF数据,将该cNF数据写入pNF服务的cNF数据表(缓存表),并启动定时器计算该cNF数据从加入缓存时间,一旦定时器到了设定的过期时间,则会删除该cNF数据。那么,当该cNF向pNF发出获取pNF服务的请求,则pNF先在缓存的cNF数据表中查询是否有该cNF数据;若pNF在缓存中查询到访问过其服务的该cNF数据,则表明该cNF是已通过匹配认证,为受信任的cNF,故允许cNF获取pNF服务;若在缓存中没有查询到,不确定cNF是否为受信任的cNF,则pNF向pNRF请求查询该cNF数据。
优选地,当所述cNRF和pNRF不在同一5G核心网内时,所述S20为:
若pNRF查询不到cNF数据,则中间转发和/或中间重定向的方式通过安全边缘代理网关SEPP转发pNRF发现请求,以寻找有该cNF注册的cNRF。
在本发明实施例中,本发明考虑到另一种场景,cNRF和pNRF不在同一5G核心网内,即为不同5G网络供应商提供的不同的5G核心网。那么不同的5G核心网之间通过安全边缘代理网关SEPP转发通信。
优选地,所述S30包括:
S301若pNRF找不到cNF注册的cNRF,则pNRF认证cNF为非法cNF,且向pNF返回查询失败消息,pNF判断不允许cNF访问其服务;
S302若pNRF找到cNF注册的cNRF,则从cNRF获得cNF数据,并将cNF数据应答给pNF,pNF根据pNRF应答中的cNF数据与其允许接入的cNF配置数据匹配验证,以判断是否允许cNF访问其服务。
在本发明实施例中,如图3所示,应该理解地是,pNRF通过中间转发在5G核心网中找不到cNF注册的cNRF,则认证cNF为非法cNF。
优选地,所述允许接入的cNF配置数据至少包括:cNF的共用陆地移动网络识别码PLMN ID、所属网络切片集NSSAI、网元类型NF Type、cNF IP,所述S302中pNF将pNRF应答的cNF数据与上述允许接入的cNF配置数据匹配验证判断是否被允许访问其服务。
优选地,所述S302包括:
S3021若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据相匹配,则pNF允许cNF获取pNF服务;
S3022若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据不匹配,则pNF向cNF返回请求失败。
优选地,所述缓存入cNF数据表的cNF数据包括cNF ID、cNF类型、cNF IP。
在本发明实施例中,在pNF的cNF数据表表中只需保存获得的cNF数据的cNF ID、cNF类型、cNF ID,因为网络中的NF ID为网络中的唯一ID,以及在cNF访问pNF消息中也能够携带自身的NF ID,并且pNF也能根据cNF请求的服务类型知道cNF的类型和在通信消息中能够获得cNF的IP地址信息,这三个数据的获得不需要通过NRF即可直接根据cNF消息进行匹配。
优选地,若所述pNF中允许接入的cNF配置数据有更改,则缓存入pNF的cNF数据表中的cNF数据全部清空。
本发明还提出一种5G核心网中pNF通过NRF认证cNF的装置,本装置用于实现本发明的方法,其具体结构与本方法一一对应,由于本装置采用了本发明方法的所有实施例的全部技术方案,因此至少具有上述实施例的技术方案所带来的所有有益效果,在此不再一一赘述。其中,本装置包括:
查询模块10,用于当cNF向pNF发出获取pNF服务的请求,则pNF向pNRF请求查询该cNF数据,其中包括:第一查询子模块101,若cNF向pNF发出获取pNF服务的请求,则pNF在缓存的cNF数据表中查询是否有该cNF数据;匹配子模块102,用于若pNF在缓存中查询到访问过其服务的该cNF数据,则pNF将cNF向pNF发出获取pNF服务的请求消息中携带的cNF数据和pNF缓存入cNF数据表中数据进行匹配;执行子模块103,若pNF在缓存中没有查询到访问过其服务的该cNF数据,则pNF向pNRF请求查询该cNF数据;
发现模块20,用于当所述cNRF和pNRF不在同一5G核心网内时,若pNRF查询不到cNF数据,则中间转发和/或中间重定向转发pNRF发现请求,以寻找有该cNF注册的cNRF;
判断模块30,用于pNF根据pNRF发现请求的反馈情况,判断是否允许cNF访问其服务,其中包括:第一判断子模块301,用于若pNRF找不到cNF注册的cNRF,则pNRF认证cNF为非法cNF,且向pNF返回查询失败消息,pNF判断不允许cNF访问其服务;第二判断子模块302,用于若pNRF找到cNF注册的cNRF,则从cNRF获得cNF数据,并将cNF数据应答给pNF,pNF根据pNRF应答中的cNF数据与其允许接入的cNF配置数据匹配验证,以判断是否允许cNF访问其服务,其中包括:匹配单元3021,用于若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据相匹配,则pNF允许cNF获取pNF服务;不匹配单元3022,用于若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据不匹配,则pNF向cNF返回请求失败。
本发明还提出一种5G核心网中pNF通过NRF认证cNF的系统,包括cNF、pNF、cNRF、pNRF和如上所述的装置,所述cNF注册在cNRF的网络中,pNF注册在pNRF的网络中,所述cNF与pNF之间连接采用http2协议,使用TLS作为数据传输层加密协议;所述cNRF和pNRF根据5G流程协议TS 3GPP规定负责维护5G核心网中每个cNF和pNF的配置数据,cNF注册并提交自身参数到cNRF,并定时向cNRF发送自身参数的更新请求,cNRF若一定时间内收不到cNF的更新请求即删除该cNF数据;pNF注册并提交自身参数到pNRF,并定时向pNRF发送自身参数的更新请求,pNRF若一定时间内收不到pNF的更新请求即删除该pNF数据,如上所述的装置用于cNF、pNF、cNRF、pNRF之间服务访问的安全验证。
在本发明中,根据当前的5G协议TS 3GPP 23501-g30 23502-g30 29510-g20规定,网络存储库功能NRF(Network Repository Function)负责维护的5G核心网中每个NF的NFProfile数据。当一个NF加入到5G核心网时,都需要注册到NRF上,并把自身的参数提交到NRF上,并定时更新自身的参数,如果在一定时间内NRF收不到NF的更新数据请求消息,即把NF数据删除。其他NF可以通过NRF发现5G核心网中的其他NF或者获得其他NF提交到NRF上的配置参数。
通过NRF验证的目的是,NRF上面存储着当前5G核心网中所有存活的NFs(NetworkFile system网络文件系统),并保存着NFs大量参数(当NF因为去注册、关机和故障等原因退出核心网时,NRF会删除NF的数据)。所有可以通过pNF向NRF请求cNF参数即可知道当前的cNF是否存活在当前的核心网中,以及pNF可以向NRF获得更多的cNF数据进行对比验证是否能为cNF提供服务。
以上所述仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是在本发明的发明构思下,利用本发明说明书及附图内容所作的等效结构变换,或直接/间接运用在其他相关的技术领域均包括在本发明的专利保护范围内。
Claims (8)
1.一种5G核心网中pNF通过NRF认证cNF的方法,cNF注册在cNRF的网络中,pNF注册在pNRF的网络中,其特征在于,包括如下步骤:
S10当cNF向pNF发出获取pNF服务的请求,则pNF向pNRF请求查询所述cNF注册的cNF数据;
S20若pNRF查询不到cNF数据,则pNRF中间转发和/或中间重定向转发pNRF发现请求,以寻找有该cNF注册的cNRF;
S30 pNF根据pNRF发现请求的反馈情况,判断是否允许cNF访问其服务;
所述S30包括:
S301若pNRF找不到cNF注册的cNRF,则pNRF认证cNF为非法cNF,且向pNF返回查询失败消息,pNF判断不允许cNF访问其服务;
S302若pNRF找到cNF注册的cNRF,则从cNRF对pNRF请求的应答中获得cNF数据,并将cNF数据应答给pNF,pNF根据pNRF应答中的cNF数据与其允许接入的cNF配置数据匹配验证,以判断是否允许cNF访问其服务;
所述S302包括:
S3021若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据相匹配,则pNF允许cNF获取pNF服务;
S3022若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据不匹配,则pNF向cNF返回请求失败。
2.如权利要求1所述的5G核心网中pNF通过NRF认证cNF的方法,其特征在于,访问过所述pNF服务的cNF数据会缓存入pNF的cNF数据表,所述S10包括:
S101若cNF向pNF发出获取pNF服务的请求,则pNF在缓存的cNF数据表中查询是否有该cNF数据;
S102若pNF在缓存中查询到访问过其服务的该cNF数据,则pNF将cNF向pNF发出获取pNF服务的请求消息中携带的cNF数据和pNF缓存入cNF数据表中数据进行匹配;
S103若完全匹配,则pNF允许cNF获取pNF服务;若不完全匹配,则pNF重新向pNRF请求查询该cNF数据。
3.如权利要求1所述的5G核心网中pNF通过NRF认证cNF的方法,其特征在于,当所述cNRF和pNRF不在同一5G核心网内时,所述S20为:
若pNRF查询不到cNF数据,则采用中间转发和/或中间重定向的方式通过安全边缘代理网关SEPP转发pNRF发现请求,以寻找有该cNF注册的cNRF。
4.如权利要求1所述的5G核心网中pNF通过NRF认证cNF的方法,其特征在于,所述允许接入的cNF配置数据至少包括:cNF的共用陆地移动网络识别码PLMN ID、所属网络切片集NSSAI、网元类型NF Type和cNF IP,所述S302中pNF将pNRF应答的cNF数据与上述允许接入的cNF配置数据匹配验证判断是否被允许访问其服务。
5.如权利要求2所述的5G核心网中pNF通过NRF认证cNF的方法,其特征在于,所述缓存入cNF数据表的cNF数据包括cNFID、cNF类型和cNFIP。
6.如权利要求1所述的5G核心网中pNF通过NRF认证cNF的方法,其特征在于,若所述pNF中允许接入的cNF配置数据有更改,则缓存入pNF的cNF数据表中的cNF数据全部清空。
7.一种5G核心网中pNF通过NRF认证cNF的装置,cNF注册在cNRF的网络中,pNF注册在pNRF的网络中,其特征在于,包括:
查询模块10,用于当cNF向pNF发出获取pNF服务的请求,则pNF向pNRF请求查询所述cNF注册的cNF数据,其中包括:第一查询子模块101,若cNF向pNF发出获取pNF服务的请求,则pNF在缓存的cNF数据表中查询是否有该cNF数据;匹配子模块102,用于若pNF在缓存中查询到访问过其服务的该cNF数据,则pNF将cNF向pNF发出获取pNF服务的请求消息中携带的cNF数据和pNF缓存入cNF数据表中数据进行匹配;执行子模块103,若pNF在缓存中没有查询到访问过其服务的该cNF数据,则pNF向pNRF请求查询该cNF数据;
发现模块20,用于当所述cNRF和pNRF不在同一5G核心网内时,若pNRF查询不到cNF数据,则中间转发和/或中间重定向转发pNRF发现请求,以寻找有该cNF注册的cNRF;
判断模块30,用于pNF根据pNRF发现请求的反馈情况,判断是否允许cNF访问其服务,其中包括:第一判断子模块301,用于若pNRF找不到cNF注册的cNRF,则pNRF认证cNF为非法cNF,且向pNF返回查询失败消息,pNF判断不允许cNF访问其服务;第二判断子模块302,用于若pNRF找到cNF注册的cNRF,则从cNRF获得cNF数据,并将cNF数据应答给pNF,pNF根据pNRF应答中的cNF数据与其允许接入的cNF配置数据匹配验证,以判断是否允许cNF访问其服务,其中包括:匹配单元3021,用于若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据相匹配,则pNF允许cNF获取pNF服务;不匹配单元3022,用于若pNF将pNRF应答的cNF数据与允许接入的cNF配置数据不匹配,则pNF向cNF返回请求失败。
8.一种5G核心网中pNF通过NRF认证cNF的系统,其特征在于,包括cNF、pNF、cNRF、pNRF和如权利要求7所述的装置,所述cNF注册在cNRF的网络中,pNF注册在pNRF的网络中,所述cNF与pNF之间连接采用http2协议,使用TLS作为数据传输层加密协议;所述cNRF和pNRF根据5G流程协议TS 3GPP规定负责维护5G核心网中每个cNF和pNF的配置数据,cNF注册并提交自身参数到cNRF,并定时向cNRF发送自身参数的更新请求,cNRF若一定时间内收不到cNF的更新请求即删除所述cNF注册的cNF数据;pNF注册并提交自身参数到pNRF,并定时向pNRF发送自身参数的更新请求,pNRF若一定时间内收不到pNF的更新请求即删除所述pNF注册的pNF数据,如权利要求7所述的装置用于cNF、pNF、cNRF和pNRF之间服务访问的安全验证。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011227165.4A CN112367666B (zh) | 2020-11-05 | 2020-11-05 | 一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011227165.4A CN112367666B (zh) | 2020-11-05 | 2020-11-05 | 一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112367666A CN112367666A (zh) | 2021-02-12 |
CN112367666B true CN112367666B (zh) | 2021-08-17 |
Family
ID=74509616
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011227165.4A Active CN112367666B (zh) | 2020-11-05 | 2020-11-05 | 一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112367666B (zh) |
Families Citing this family (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115915137A (zh) * | 2021-08-09 | 2023-04-04 | 华为技术有限公司 | 一种网络功能服务授权方法及装置 |
CN114173347B (zh) * | 2021-12-16 | 2024-03-12 | 中国电信股份有限公司 | 5g网络中的通信方法、装置及存储介质 |
CN114945173B (zh) * | 2022-03-29 | 2023-05-05 | 广州爱浦路网络技术有限公司 | 跨plmn信令转发方法、电子设备及存储介质 |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109391592A (zh) * | 2017-08-08 | 2019-02-26 | 华为技术有限公司 | 网络功能服务的发现方法及设备 |
CN109906636A (zh) * | 2018-02-06 | 2019-06-18 | 瑞典爱立信有限公司 | 用于网络功能的方法和装置 |
WO2019210675A1 (en) * | 2018-11-14 | 2019-11-07 | Telefonaktiebolaget Lm Ericsson (Publ) | NF SERVICE CONSUMER RESTART DETECTION USING DIRECT SIGNALING BETWEEN NFs |
CN111147436A (zh) * | 2018-11-05 | 2020-05-12 | 华为技术有限公司 | 一种网络切片授权的方法及通信装置 |
CN111164945A (zh) * | 2017-10-13 | 2020-05-15 | 瑞典爱立信有限公司 | 用于不同架构之间的代理的方法和装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11050788B2 (en) * | 2018-07-30 | 2021-06-29 | Cisco Technology, Inc. | SEPP registration, discovery and inter-PLMN connectivity policies |
CN110876154B (zh) * | 2018-09-04 | 2023-04-25 | 中兴通讯股份有限公司 | 实现nf就近选择的方法、设备和存储介质 |
US11271846B2 (en) * | 2018-10-22 | 2022-03-08 | Oracle International Corporation | Methods, systems, and computer readable media for locality-based selection and routing of traffic to producer network functions (NFs) |
-
2020
- 2020-11-05 CN CN202011227165.4A patent/CN112367666B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109391592A (zh) * | 2017-08-08 | 2019-02-26 | 华为技术有限公司 | 网络功能服务的发现方法及设备 |
CN111164945A (zh) * | 2017-10-13 | 2020-05-15 | 瑞典爱立信有限公司 | 用于不同架构之间的代理的方法和装置 |
CN109906636A (zh) * | 2018-02-06 | 2019-06-18 | 瑞典爱立信有限公司 | 用于网络功能的方法和装置 |
CN111147436A (zh) * | 2018-11-05 | 2020-05-12 | 华为技术有限公司 | 一种网络切片授权的方法及通信装置 |
WO2019210675A1 (en) * | 2018-11-14 | 2019-11-07 | Telefonaktiebolaget Lm Ericsson (Publ) | NF SERVICE CONSUMER RESTART DETECTION USING DIRECT SIGNALING BETWEEN NFs |
Non-Patent Citations (2)
Title |
---|
Security architecture and procedures for 5G system;3GPP;《3GPP TS 33.501 V16.4.0 》;20200930;全文 * |
Study on security aspects of the 5G Service Based Architecture (SBA);3GPP;《3GPP TR 33.855 V16.1.0》;20200930;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN112367666A (zh) | 2021-02-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10785037B2 (en) | Managing secure content in a content delivery network | |
CN112367666B (zh) | 一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统 | |
KR101475983B1 (ko) | 통합 인증을 위한 시스템, 방법 및 프로그램 제품 | |
US9590946B2 (en) | Managing content delivery network service providers | |
JP6494149B2 (ja) | 認可処理方法およびデバイス | |
US9356928B2 (en) | Mechanisms to use network session identifiers for software-as-a-service authentication | |
US8881248B2 (en) | Service provider access | |
US9973590B2 (en) | User identity differentiated DNS resolution | |
JP2011076425A (ja) | 中継装置、異なる端末装置間のサービス継続方法、及び中継プログラム | |
US9270771B2 (en) | System and method for performing a delegation operation | |
CN114221959A (zh) | 服务共享方法、装置和系统 | |
CN101567879A (zh) | 处理终端请求的方法、服务器、设备和系统 | |
CN112367665B (zh) | 一种5G核心网中pNF通过NRF认证cNF的方法、装置及系统 | |
JP2004302869A (ja) | アクセス管理サーバ、ネットワーク装置、ネットワークシステム、アクセス管理方法 | |
JP2014153917A (ja) | 通信サービス認証・接続システム及びその方法 | |
CN116996316A (zh) | 一种即联即用的服务认证系统及方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |