CN113596823A - 切片网络保护方法及装置 - Google Patents
切片网络保护方法及装置 Download PDFInfo
- Publication number
- CN113596823A CN113596823A CN202110850108.XA CN202110850108A CN113596823A CN 113596823 A CN113596823 A CN 113596823A CN 202110850108 A CN202110850108 A CN 202110850108A CN 113596823 A CN113596823 A CN 113596823A
- Authority
- CN
- China
- Prior art keywords
- identifier
- verification
- network element
- slice
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种切片网络保护方法及装置,其中方法包括:当验证发起网元接收到服务请求方发来的服务请求消息,从服务请求消息中解析得到第一加密标识和用户标识,并将携带第一加密标识和用户标识验证请求发送给验证网元,验证网元、进行标识验证,当验证通过,验证网元则将携带明文切片标识的验证应答发送给验证发起网元。在核心网内部,验证发起网元使用明文切片标识与各个网元进行通信;而在核心网的外部,验证发起网元则利用第一加密表示与外部的用户设备、外部网元等进行通信。通过本申请实施例提供的切片网络保护方法,不法分子无法获取到切片网络信息,从而能够有效保护切片网络的安全。
Description
技术领域
本申请涉及通信领域,尤其涉及一种切片识别符保护方法及装置。
背景技术
在5G系统系统中,引入了切片网络的概念,不同的切片网络具有不同的性能标准,可以分别为不同的行业的服务,从而组成对应的行业专网,方便行业管理和行业内的信息交互。但是,在用户使用切片网络的过程中,切片网络的信息可能通过核心网与外部的通信消息、外部网元、用户设备等渠道泄露,切片网络的安全将受到威胁。
发明内容
本申请旨在至少在一定程度上解决相关技术中的技术问题之一。为此,本申请提出一种切片识别符保护方法及装置,能够有效保护切片网络的安全。
第一方面,本申请实施例提供了一种切片网络保护方法,包括:接收来自服务请求方的服务请求消息;其中,所述服务请求消息包括第一加密标识和用户标识;根据所述服务请求消息,向验证网元发送验证请求;其中,所述验证请求包括所述第一加密标识和所述用户标识;接收来自所述验证网元的验证应答;其中,所述验证应答包括与所述第一加密标识对应的明文切片标识;根据所述明文切片标识与核心网内部网元进行通信;根据所述第一加密标识与核心网外部设备或核心网外部网元进行通信。
可选地,所述保护方法还包括:经过第一时长,当接收到所述服务请求消息,重新向所述验证网元发送所述验证请求。
第二方面,本申请实施例提供了一种切片网络保护方法,包括:接收来自验证发起网元的验证请求;其中,所述验证请求包括所述第一加密标识和所述用户标识;根据所述第一加密标识和所述用户标识,进行标识验证;当所述标识验证通过,向所述验证发起网元发送验证应答;其中,所述验证应答包括与所述第一加密标识对应的所述明文切片标识。
可选地,所述根据所述第一加密标识和所述用户标识,进行标识验证,包括:
根据所述用户标识和绑定结果,确定加密算法、加密值和所述明文切片标识;其中,所述绑定结果表征所述用户标识、所述明文切片标识、所述加密值以及所述加密算法之间的对应关系;根据所述用户标识、所述加密算法、所述加密值和所述明文切片标识,确定第二加密标识;若所述第一加密标识与所述第二加密标识匹配,所述标识验证通过。
可选地,所述标识验证的具体步骤还包括:若所述第一加密标识与所述第二加密标识不匹配,向所述验证发起网元发送访问失败消息,以使所述验证发起网元拒绝所述服务请求方的服务请求。
第三方面,本申请实施例提供了一种切片网络保护方法,包括:所述服务请求方向所述验证发起网元发送所述服务请求消息;其中,所述服务请求消息包括所述第一加密标识和所述用户标识;响应于所述服务请求消息,所述验证发起网元向所述验证网元发送所述验证请求;其中,所述验证请求包括所述第一加密标识和所述用户标识;响应于所述验证请求,所述验证网元进行所述标识验证;当所述标识验证通过,所述验证网元向所述验证发起网元发送验证应答;其中,所述验证应答包括与所述第一加密标识对应的所述明文切片标识。
可选地,其特征在于:所述验证网元为身份验证和授权功能网元;当所述服务请求方为用户设备,对应的所述验证发起网元为接入与移动性管理网元;当所述服务请求方为漫游地的安全边缘保护代理网元,对应的所述验证发起网元为归属地的安全边缘保护代理网元;当所述服务请求方为所述核心网外部网元,对应的所述验证发起网元为网络曝光功能网元。
可选地,所述保护方法还包括生成所述第一加密标识的步骤,该步骤具体包括:获取所述用户设备的用户标识;获取所述明文切片标识;根据所述用户标识、所述明文切片标识、预设的所述加密值以及预设的所述加密算法,确定所述第一加密标识。
可选地,所述保护方法还包括:将所述用户标识、所述明文切片标识、所述加密值以及所述加密算法进行绑定,确定所述绑定结果;所述绑定结果表征所述用户标识、所述明文切片标识、所述加密值以及所述加密算法之间的对应关系;将所述绑定结果存储于所述验证网元中;将所述第一加密标识存储于所述用户设备及所述核心网外部网元中。
第四方面,本申请实施例提供了一种装置,包括:至少一个处理器;至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现第一方面、第二方面或第三方面中任一方面所述的切片保护方法。
本申请实施例的有益效果如下:当验证发起网元接收到服务请求方发来的服务请求消息,从服务请求消息中解析得到第一加密标识和用户标识,并将携带第一加密标识和用户标识验证请求发送给验证网元,验证网元根据第一加密标识和用户标识进行标识验证,当验证通过,验证网元则将携带与该第一加密表示对应的明文切片标识的验证应答发送给验证发起网元。在核心网内部,验证发起网元使用明文切片标识与各个网元进行通信;而在核心网的外部,验证发起网元则利用第一加密表示与外部的用户设备、外部网元等进行通信。通过本申请实施例提供的切片网络保护方法,切片网络所对应的明文切片标识只能在核心网内部进行传播,则不法分子无法从外部的用户设备或者网元中获取到切片网络信息,也无法从核心网与外部的来往消息中获取到切片网络信息,从而能够有效保护切片网络的安全。
附图说明
附图用来提供对本申请技术方案的进一步理解,并且构成说明书的一部分,与本申请的实施例一起用于解释本申请的技术方案,并不构成对本申请技术方案的限制。
图1是本申请实施例提供的切片网络保护系统的第一示意图;
图2为本申请实施例提供的切片网络保护系统的第二示意图;
图3为本申请实施例提供的切片网络保护方法的第一步骤流程图;
图4为本申请实施例提供的生成第一加密标识的步骤流程图;
图5为本申请实施例提供的切片网络保护方法的第二步骤流程图;
图6为本申请实施例提供的标识验证的步骤流程图;
图7为本申请实施例提供的装置示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,以下结合附图及实施例,对本申请进行进一步详细说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。
需要说明的是,虽然在系统示意图中进行了功能模块划分,在流程图中示出了逻辑顺序,但是在某些情况下,可以以不同于系统中的模块划分,或流程图中的顺序执行所示出或描述的步骤。说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
在用户使用切片网络的过程中,切片网络的信息可能通过核心网与外部的通信消息、外部网元、用户设备等渠道泄露。为了保护切片网络的信息,相关技术中提出了一些解决方案,例如在最新的TS 3GPP的23501协议、23502协议和33501协议中,有一个NSSAAF网元负责对切片接入的鉴权认证。但是,不法分子依然可以从用户设备终端或者是核心网外部网元中截获到具体的网络标识,也就是能够得知用户传输特定数据所使用的具体切片网络,从而对该切片网络进行攻击破坏,存在安全隐患。
基于此,本申请实施例提供了一种切片网络保护方法及装置:当验证发起网元接收到服务请求方发来的服务请求消息,从服务请求消息中解析得到第一加密标识和用户标识,并将携带第一加密标识和用户标识验证请求发送给验证网元,验证网元根据第一加密标识和用户标识进行标识验证,当验证通过,验证网元则将携带与该第一加密表示对应的明文切片标识的验证应答发送给验证发起网元。在核心网内部,验证发起网元使用明文切片标识与各个网元进行通信;而在核心网的外部,验证发起网元则利用第一加密表示与外部的用户设备、外部网元等进行通信。通过本申请实施例提供的切片网络保护方法,切片网络所对应的明文切片标识只能在核心网内部进行传播,则不法分子无法从外部的用户设备或者网元中获取到切片网络信息,也无法从核心网与外部的来往消息中获取到切片网络信息,从而能够有效保护切片网络的安全。
下面结合附图,对本申请实施例作进一步阐述。
参考图1,图1是本申请实施例提供的切片网络保护系统的第一示意图,该系统可以应用本申请实施例提供的切片网络保护方法,该切片网络保护系统100包括:服务请求方110、验证发起网元120以及验证网元130。
如图1所示,服务请求方是需要利用切片标识符来访问切片网络系统的设备或者是外部网元的总称。在本申请实施例中,服务请求方包括但不限于UE(User Equipment,用户设备)以及核心网外部的网元AF(Application Function,应用功能)。当UE处于漫游的情况下,UE需要通过漫游地核心网去间接访问归属地的核心网,则UE的服务请求是通过漫游地的安全边缘保护代理网元来直接发送到归属地核心网,因此,本申请实施例中的服务请求方也包括漫游地的安全边缘保护代理网元。
而当服务请求方发起服务请求,核心网内部对应的网元会接受到服务请求消息,并发起验证请求,因此,这些接收服务请求消息、发起验证请求的核心网内部网元统称为验证发起网元。
可以理解的是,对应于不同的服务请求方,验证发起网元也有所不同,具体的对应方式可以参照图2,图2为本申请实施例提供的切片网络保护系统的第二示意图,由于图2与图1表示的是同一个系统,因此图2沿用图1中的标号来表示相同的部分。在图2中,用标号210表示归属地核心网、用标号220表示漫游地核心网,该系统100包括用户设备(UE)230、基站240、第一接入与移动性管理网元(AMF1)250、外部网元(AF)260、网络曝光功能网元(NEF)270、第二接入与移动性管理网元(AMF2)280、第二安全边缘保护代理网元(SEPP2)290、第一安全边缘保护代理网元(SEPP1)2100以及验证网元(NSSCF)2110。
如图2所示,当服务请求方为UE,该UE需要注册本地的归属地核心网,则UE通过基站向归属地核心网发送服务请求消息,此时归属地核心网内部接收该服务请求消息的验证发起网元为第一接入与移动性管理网元,也就是AMF1(Access and Mobility ManagementFunction,接入与移动性管理功能);而当服务请求方为核心网外部的AF,则AF想要访问本地的归属地核心网,需要将服务请求消息发送给网络曝光功能网元,也就是NEF(NetworkExposure Function NE,网络曝光功能),此时验证发起网元网元则为NEF网元。另外,若用户设备处于漫游状态,需要访问本地的切片网络,用户设备首先会通过基站接入到漫游地核心网的AMF2网元,由AMF2网元将该服务请求消息发送给漫游地核心网内的第二安全边缘保护代理网元(SEPP2),再由SEPP2向归属地核心网内的第一安全边缘保护代理网元(SEPP1)发送服务请求消息,因此,在这种情况下的验证发起网元为漫游地的安全边缘保护代理网元,也就是SEPP2。
当验证发起网元接收到服务请求方发送的服务请求消息,则向验证网元发起验证请求。在本申请实施例中,为了完成对第一加密标识的验证,在核心网内部设置一个验证网元NSSCF(Network Slice Security Configuration Function,网络切片安全配置功能),NSSCF负责切片网络对应用户切片标识的配置和加密算法的配置。在本申请实施例中,验证网元根据验证请求,进行标识验证,从而决定服务请求方能否正常访问核心网。
相关技术中,服务请求方向核心网中的指定网元发送服务请求,该服务请求携带明文切片标识符,核心网根据该明文标识符找到对应的切片网络,则服务请求方可以正常访问该切片网络。但是,由于无论是服务请求方本身存储的切片标识符,还是服务请求方与核心网之间通信消息中携带的切片标识符,均为明文,也就是该切片标识符一旦被截获,不法分子就可以根据该标识符锁定需要攻击的切片网络,对核心网造成威胁。
基于此,本申请实施例提出了一种切片网络保护方法,能够对切片标识符进行加密,令不法分子无法从截获的加密标识符中确定具体的切片网络,无法发起准确攻击,从而能够有效保护切片网络的安全。图1中也展示了本申请提出的切片网络保护方法,图1中示出的切片网络保护方法将在下文中展开阐述。
参照图3,图3为本申请实施例提供的切片网络保护方法的第一步骤流程图,该方法应用于验证发起网元,该方法包括但不限于步骤S300-S340:
S300、接收来自服务请求方的服务请求消息;
具体地,位于核心网内的验证发起网元可以接收到来自服务请求方的服务请求消息,不同的服务请求方会将服务请求消息发送到不同的验证发起网元中,服务请求方和验证发起网元的具体对应关系已经在上文中结合图2进行了详细展开,在此不再赘述。
在本步骤中,验证发起网元接收服务请求消息,该服务请求消息包括第一加密标识和用户标识。用户标识是指访问核心网的企业用户所对应的SUPI(SubscriptionPermanent Identifier,用户永久标识),而第一加密标识是用户用于访问不同切片网络的标识,该第一加密标识的具体生成过程将结合图4中的方法步骤进行说明。
参照图4,图4为本申请实施例提供的生成第一加密标识的步骤流程图,该方法包括但不限于步骤S400-S420:
S400、获取用户设备的用户标识;
具体地,该用户标识即为上文中提到的核心网的企业用户所对应的SUPI,不同用户设备的SUPI不同,根据该用户标识可以生成区别于其他用户的加密切片标识。
S410、获取明文切片标识;
具体地,明文切片标识S-NSSAI(Single Network Slice Selection AssistanceInformation,单个网络切片选择协助信息)为用户需要访问的切片网络的标识,明文切片标识一般携带在通信消息中,核心网能够通过该明文切片标识识别一个具体地切片网络。
S420、根据用户标识、明文切片标识、预设的加密值以及预设的加密算法,确定第一加密标识;
具体地,明文切片标识是指每个切片网络所对应的切片标识符,通过该标识符可以确定用户传输特定数据所使用的具体切片网络。加密算法是指根据明文切片标识、用户标识以及加密值,生成加密切片标识的算法,在本申请实施例中的第一加密标识和第二加密标识均为加密切片标识,由于该加密算法可以由核心网内部自定义,因此即使有不法分子能够获取到该加密切片标识,也无法进行解密,不能得到明文切片标识,也就无法确定需要进行攻击的切片网络,从而提高核心网的安全性。加密值是由每个切片网络的用户自定义的加密参数,为了区分访问的不同切片网络,同一用户对于不同的切片网络可以设置不同的加密值。
因此,将用户标识、明文切片标识和预设的加密值作为参数,通过预设加密算法计算可以得到第一加密标识。
可以理解的是,当第一加密标识计算完成,需要将第一加密标识存储于用户设备及核心网外部网元中,当外部设备或者是网元访问核心网时,则携带该第一加密标识来表示需要访问哪个切片网络。而在核心网的内部,需要将用户标识、明文切片标识、加密值以及加密算法进行绑定,确定绑定结果;绑定结果表征用户标识、明文切片标识、加密值以及加密算法之间的对应关系。将该将绑定结果存储于验证网元中,则验证网元则可以根据接收到的验证请求进行标识验证。
可以理解的是,本申请实施例中提到绑定结果表征用户标识、明文切片标识、加密值以及加密算法之间的对应关系,而在实际使用的过程中,可能还有其他参数参与到切片标识符的加密过程中,则这些参数也可以加入到绑定结果中。
通过步骤S400-S420,本申请实施例提供了一种生成第一加密标识的方法,至此步骤S300已经阐述清楚,下面开始阐述步骤S310。
S310、根据服务请求消息,向验证网元发送验证请求;
具体地,验证发起网元将接收到的服务请求消息进行解析,可以得到第一加密标识和用户标识,为了能让服务发起方正常访问核心网,验证发起网元需要向验证网元发起验证请求,验证请求中携带有第一加密标识和用户标识,该验证请求用于请求验证网元对该服务请求方进行验证,从而确定是否能让该服务请求方访问切片网络。
S320、接收来自验证网元的验证应答;
具体地,验证发起网元收到来自验证网元的验证应答,该验证应答表示验证网元认为可以让该服务请求方访问核心网,且该验证应答中会携带有与该第一加密标识对应的明文切片标识,通过该明文切片标识,核心网内部的网元可以知道具体需要访问核心网中哪个切片网络。
S330、根据明文切片标识与核心网内部网元进行通信;
具体地,验证发起网元接收到明文切片标识后,可以根据该明文切片标识在核心网内部网元之间进行通信,核心网内部的网元无需多次进行验证,就可以知道应该访问哪个切片网络,从而能够完成服务请求方正常访问核心网的过程。
S340、根据第一加密标识与核心网外部设备或核心网外部网元进行通信。
具体地,验证发起网元接收到验证应答后,则可以为服务请求方提供正常访问核心网的服务流程,当验证发起网元需要与核心网外部的用户设备、基站或者是AF进行通信,均使用第一加密标识。
通过步骤S330-S340,本申请实施例将包含验证发起网元和验证网元的核心网内部列为可信区域,将包含外部设备、AF以及其他核心网列为不可信区域,在可信区域内的服务流程均使用明文切片标识,在不可信区域内的服务流程均使用第一加密标识。
例如,当服务发起方为UE,当UE需要注册本地的核心网,当验证发起网元接收到验证应答,则在包含UE的接入网一侧为不可信区域,在接入网一侧均使用第一加密标识,在核心网内部均使用明文切片标识。又例如,当服务发起方为漫游地的SEPP,也就是当UE处于漫游状态,通过漫游地的核心网间接访问归属地核心网的状态下,则漫游地核心网则认为是不可信区域,在漫游地核心网一侧均使用第一加密标识,在核心网内部均使用明文切片标识。再例如,当服务发起方为AF,则AF一侧为不可信区域,当NEF与AF通信时,均使用第一加密标识,在核心网内部均使用明文切片标识。
经过第一时长,当接收到服务请求消息,重新向验证网元发送验证请求。
在一些实施例中,当验证发起网元接收到明文切片标识后,可以将该明文切片标识暂时存储起来,在一段时间内无需再次向验证网元发送验证请求,这段时间称为第一时长。第一时长的设置主要方便服务请求方在第一时长内可以直接访问核心网,减少冗余的服务请求和验证请求。而经过第一时长后,需要重新对该服务请求方的服务请求进行验证,因此验证发起网元再次接收到服务请求消息后,会重新向验证网元发送验证请求。
通过步骤S300-S340,本申请实施例中的验证发起网元接收到服务请求方发来的服务请求消息,从服务请求消息中解析得到第一加密标识和用户标识,并将携带第一加密标识和用户标识验证请求发送给验证网元。当验证网元接收到验证应答,则在核心网内部,验证发起网元使用明文切片标识与各个网元进行通信;而在核心网的外部,验证发起网元则利用第一加密表示与外部的用户设备、外部网元等进行通信。通过本申请实施例提供的切片网络保护方法,切片网络所对应的明文切片标识只能在核心网内部进行传播,则不法分子无法从外部的用户设备或者网元中获取到切片网络信息,也无法从核心网与外部的来往消息中获取到切片网络信息,从而能够有效保护切片网络的安全。
参照图5,图5为本申请实施例提供的切片网络保护方法的第二步骤流程图,图5中的步骤流程可以应用于图1中的验证网元,该方法包括但不限于步骤S500-S520:
S500、接收来自验证发起网元的验证请求;
具体地,参照前述步骤S310,即位于核心网内的验证网元接收来自验证发起网元的验证请求,由于验证请求包括第一加密标识和用户标识,因此当验证网元对该验证请求进行解析,可以得到第一加密标识和用户标识。验证网元根据验证请求对该服务请求方进行验证,从而确定是否能让该服务请求方访问切片网络。
S510、根据第一加密标识和用户标识,进行标识验证;
具体地,根据验证请求中的第一加密标识和用户标识,对服务请求方进行标识验证,标识验证的过程可参照图6中的方法步骤,图6为本申请实施例提供的标识验证的步骤流程图,该方法包括但不限于步骤S600-S620:
S600、根据用户标识和绑定结果,确定加密算法、加密值和明文切片标识;
具体地,绑定结果表征用户标识、明文切片标识、加密值以及加密算法之间的对应关系,在对明文切片标识加密完毕后,该绑定结果将存储于验证网元中,因此通过用户标识,验证网元可以根据绑定结果,确定该用户标识对应的加密算法,加密值和明文切片标识。
S610、根据用户标识、加密算法、加密值和明文切片标识,确定第二加密标识;
具体地,根据步骤S600确定了与用户标识对应的加密算法、加密值和明文切片标识,上述内容中还提到,加密切片标识是根据用户标识、加密值和明文切片标识通过预设的加密算法生成,因此,在本步骤中将重新生成与该用户标识对应的加密切片标识,也就是生成第二加密标识。
S620、若第一加密标识与第二加密标识匹配,标识验证通过。
具体地,根据步骤S610生成了第二加密标识,将该第二加密标识与获取到的第一加密标识进行匹配,若第一加密标识与第二加密标识相同,则说明该服务请求方发送的第一加密标识是正确的,则标识验证通过。
可以理解的是,若第一加密标识与第二加密标识不匹配,则说明该服务请求方发送的第一加密标识是错误的,其原因可能是服务请求方访问了错误的切片网络,或者是用户设备中存储了错误的第一加密标识,则标识验证不能通过。
通过步骤S600-S620,本申请实施例提供了标识验证的具体步骤,步骤S510的内容已经阐述完毕,下面开始阐述步骤S520。
S520、当标识验证通过,向验证发起网元发送验证应答;
具体地,参考前述步骤S320,即验证网元向验证发起网元发送验证应答,该验证应答表示验证网元认为可以让该服务请求方访问核心网,且该验证应答中会携带有与该第一加密标识对应的明文切片标识,通过该明文切片标识,核心网内部的网元可以知道具体需要访问核心网中哪个切片网络。
可以理解的是,若步骤S510中的标识验证没有通过,则说明验证网元认为不能让该服务请求方访问核心网,因此,验证网元会向验证发起网元发送访问失败消息,以使验证发起网元拒绝服务请求方的服务请求,从而避免服务请求方访问错误的切片网络。
通过步骤S500-S520,本申请实施例当验证网元接收到验证网元发来的验证请求,从验证请求中解析得到第一加密标识和用户标识,并根据第一加密标识和用户标识进行标识验证,当验证通过,验证网元则将携带与该第一加密表示对应的明文切片标识的验证应答发送给验证发起网元,令服务请求方能够正常访问对应的切片网络。
通过以上实施例,分别从验证网元和验证发起网元的角度对本申请实施例提出的切片网络保护方法进行了阐述,下面结合图1中的切片网络保护系统,对本申请实施例提出的切片网络保护方法进行总述。参照图1,图1中示出了切片网络保护方法的实施步骤,该方法包括但不限于S100-S140:
S100、服务请求方向验证发起网元发送服务请求消息;
具体地,当服务请求方需要访问切片网络,则向对应的验证网元发送服务请求消息,该服务请求消息中包含第一加密标识和用户标识,通过该第一加密标识和用户标识,服务请求方表明本次请求想要访问的具体切片网络。
S110、响应于服务请求消息,验证发起网元向验证网元发送验证请求;
具体地,响应于服务请求消息,验证发起网元将接收到的服务请求消息进行解析,获取到第一加密标识和用户标识,并将第一加密标识和用户标识存入验证请求,将该验证请求发送给验证网元。
S120、响应于验证请求,验证网元进行标识验证;
具体地,响应于验证请求,验证网元将接收到的验证请求进行解析,获取到第一加密标识和用户标识,并根据存储的绑定结果和用户标识,重新生成第二加密标识,将第一加密标识和第二加密标识进行比较,若二者相同则标识验证通过。
S130、当标识验证通过,验证网元向验证发起网元发送验证应答;
具体地,当标识验证通过,验证网元将存储的明文切片标识存入验证应答中,并将该验证应答发送给验证发起网元。
S140、验证发起网元根据明文切片标识与核心网内部网元进行通信;根据第一加密标识与核心网外部设备或核心网外部网元进行通信;
具体地,接收到的明文切片标识后,验证发起网元可以为服务发起方提供正常访问切片网络的服务,在核心网内部网元中的服务流程使用明文切片标识,在核心网外部的服务流程则使用第一加密标识。
通过S100-S140,本申请实施例实现如下流程:当验证发起网元接收到服务请求方发来的服务请求消息,从服务请求消息中解析得到第一加密标识和用户标识,并将携带第一加密标识和用户标识验证请求发送给验证网元,验证网元根据第一加密标识和用户标识进行标识验证,当验证通过,验证网元则将携带与该第一加密表示对应的明文切片标识的验证应答发送给验证发起网元。在核心网内部,验证发起网元使用明文切片标识与各个网元进行通信;而在核心网的外部,验证发起网元则利用第一加密表示与外部的用户设备、外部网元等进行通信。通过本申请实施例提供的切片网络保护方法,切片网络所对应的明文切片标识只能在核心网内部进行传播,则不法分子无法从外部的用户设备或者网元中获取到切片网络信息,也无法从核心网与外部的来往消息中获取到切片网络信息,从而能够有效保护切片网络的安全。
参考图7,图7为本申请实施例提供的装置示意图,该装置700包括至少一个处理器710,还包括至少一个存储器720,用于存储至少一个程序;图7中以一个处理器及一个存储器为例。
处理器和存储器可以通过总线或者其他方式连接,图7中以通过总线连接为例。
存储器作为一种非暂态计算机可读存储介质,可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外,存储器可以包括高速随机存取存储器,还可以包括非暂态存储器,例如至少一个磁盘存储器件、闪存器件或其他非暂态固态存储器件。在一些实施方式中,存储器可选包括相对于处理器远程设置的存储器,这些远程存储器可以通过网络连接至该装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。
本申请的另一个实施例还提供了一种装置,该装置可用于执行如上任意实施例中的控制方法,例如,执行以上描述的图1中的方法步骤。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。
以上是对本申请的较佳实施进行了具体说明,但本申请并不局限于上述实施方式,熟悉本领域的技术人员在不违背本申请精神的前提下还可作出种种的等同变形或替换,这些等同的变形或替换均包含在本申请权利要求所限定的范围内。
Claims (10)
1.一种切片网络保护方法,其特征在于,包括:
接收来自服务请求方的服务请求消息;其中,所述服务请求消息包括第一加密标识和用户标识;
根据所述服务请求消息,向验证网元发送验证请求;其中,所述验证请求包括所述第一加密标识和所述用户标识;
接收来自所述验证网元的验证应答;其中,所述验证应答包括与所述第一加密标识对应的明文切片标识;
根据所述明文切片标识与核心网内部网元进行通信;
根据所述第一加密标识与核心网外部设备或核心网外部网元进行通信。
2.根据权利要求1提供的切片网络保护方法,其特征在于,所述保护方法还包括:
经过第一时长,当接收到所述服务请求消息,重新向所述验证网元发送所述验证请求。
3.一种切片网络保护方法,其特征在于,包括:
接收来自验证发起网元的验证请求;其中,所述验证请求包括所述第一加密标识和所述用户标识;
根据所述第一加密标识和所述用户标识,进行标识验证;
当所述标识验证通过,向所述验证发起网元发送验证应答;其中,所述验证应答包括与所述第一加密标识对应的所述明文切片标识。
4.根据权利要求3提供的切片网络保护方法,其特征在于,所述根据所述第一加密标识和所述用户标识,进行标识验证,包括:
根据所述用户标识和绑定结果,确定加密算法、加密值和所述明文切片标识;其中,所述绑定结果表征所述用户标识、所述明文切片标识、所述加密值以及所述加密算法之间的对应关系;
根据所述用户标识、所述加密算法、所述加密值和所述明文切片标识,确定第二加密标识;
若所述第一加密标识与所述第二加密标识匹配,所述标识验证通过。
5.根据权利要求3提供的切片网络保护方法,其特征在于,所述标识验证的具体步骤还包括:
若所述第一加密标识与所述第二加密标识不匹配,向所述验证发起网元发送访问失败消息,以使所述验证发起网元拒绝所述服务请求方的服务请求。
6.一种切片网络保护方法,其特征在于,包括:
所述服务请求方向所述验证发起网元发送所述服务请求消息;其中,所述服务请求消息包括所述第一加密标识和所述用户标识;
响应于所述服务请求消息,所述验证发起网元向所述验证网元发送所述验证请求;其中,所述验证请求包括所述第一加密标识和所述用户标识;
响应于所述验证请求,所述验证网元进行所述标识验证;
当所述标识验证通过,所述验证网元向所述验证发起网元发送验证应答;其中,所述验证应答包括与所述第一加密标识对应的所述明文切片标识。
7.根据权利要求6所述的切片保护方法,其特征在于:
所述验证网元为身份验证和授权功能网元;
当所述服务请求方为用户设备,对应的所述验证发起网元为接入与移动性管理网元;
当所述服务请求方为漫游地的安全边缘保护代理网元,对应的所述验证发起网元为归属地的安全边缘保护代理网元;
当所述服务请求方为所述核心网外部网元,对应的所述验证发起网元为网络曝光功能网元。
8.根据权利要求7所述的切片保护方法,其特征在于,所述保护方法还包括生成所述第一加密标识的步骤,该步骤具体包括:
获取所述用户设备的用户标识;
获取所述明文切片标识;
根据所述用户标识、所述明文切片标识、预设的所述加密值以及预设的所述加密算法,确定所述第一加密标识。
9.根据权利要求8所述的切片保护方法,其特征在于,所述保护方法还包括:
将所述用户标识、所述明文切片标识、所述加密值以及所述加密算法进行绑定,确定所述绑定结果;所述绑定结果表征所述用户标识、所述明文切片标识、所述加密值以及所述加密算法之间的对应关系;
将所述绑定结果存储于所述验证网元中;
将所述第一加密标识存储于所述用户设备及所述核心网外部网元中。
10.一种装置,其特征在于,包括:
至少一个处理器;
至少一个存储器,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现如权利要求1-9所述的切片保护方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110850108.XA CN113596823B (zh) | 2021-07-27 | 2021-07-27 | 切片网络保护方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110850108.XA CN113596823B (zh) | 2021-07-27 | 2021-07-27 | 切片网络保护方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113596823A true CN113596823A (zh) | 2021-11-02 |
| CN113596823B CN113596823B (zh) | 2022-10-11 |
Family
ID=78250644
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110850108.XA Active CN113596823B (zh) | 2021-07-27 | 2021-07-27 | 切片网络保护方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113596823B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500283A (zh) * | 2022-01-05 | 2022-05-13 | 阿里巴巴(中国)有限公司 | 核心网的切片处理方法和系统 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104967591A (zh) * | 2014-09-26 | 2015-10-07 | 浙江大华技术股份有限公司 | 云存储数据读写方法、设备及读写控制方法、设备 |
| CN107846275A (zh) * | 2016-09-20 | 2018-03-27 | 中兴通讯股份有限公司 | 切片网络安全隔离的方法及装置 |
| WO2019004929A2 (zh) * | 2017-06-29 | 2019-01-03 | 华为国际有限公司 | 网络切片分配方法、设备及系统 |
| US20200145818A1 (en) * | 2018-11-01 | 2020-05-07 | Qualcomm Incorporated | Encrypting network slice selection assistance information |
| US20200252862A1 (en) * | 2017-10-02 | 2020-08-06 | Lg Electronics Inc. | Method and device for transmitting or receiving information in wireless communication system supporting network slicing |
| CN111787533A (zh) * | 2020-06-30 | 2020-10-16 | 中国联合网络通信集团有限公司 | 加密方法、切片管理方法、终端及接入和移动性管理实体 |
| WO2020254301A1 (en) * | 2019-06-17 | 2020-12-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Serving network controlled network slice privacy |
| CN112738800A (zh) * | 2020-12-25 | 2021-04-30 | 中盈优创资讯科技有限公司 | 一种网络切片的数据安全传输实现方法 |
-
2021
- 2021-07-27 CN CN202110850108.XA patent/CN113596823B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104967591A (zh) * | 2014-09-26 | 2015-10-07 | 浙江大华技术股份有限公司 | 云存储数据读写方法、设备及读写控制方法、设备 |
| CN107846275A (zh) * | 2016-09-20 | 2018-03-27 | 中兴通讯股份有限公司 | 切片网络安全隔离的方法及装置 |
| WO2019004929A2 (zh) * | 2017-06-29 | 2019-01-03 | 华为国际有限公司 | 网络切片分配方法、设备及系统 |
| US20200137576A1 (en) * | 2017-06-29 | 2020-04-30 | Huawei International Pte. Ltd. | Network slice allocation method, device, and system |
| US20200252862A1 (en) * | 2017-10-02 | 2020-08-06 | Lg Electronics Inc. | Method and device for transmitting or receiving information in wireless communication system supporting network slicing |
| US20200145818A1 (en) * | 2018-11-01 | 2020-05-07 | Qualcomm Incorporated | Encrypting network slice selection assistance information |
| WO2020254301A1 (en) * | 2019-06-17 | 2020-12-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Serving network controlled network slice privacy |
| CN111787533A (zh) * | 2020-06-30 | 2020-10-16 | 中国联合网络通信集团有限公司 | 加密方法、切片管理方法、终端及接入和移动性管理实体 |
| CN112738800A (zh) * | 2020-12-25 | 2021-04-30 | 中盈优创资讯科技有限公司 | 一种网络切片的数据安全传输实现方法 |
Non-Patent Citations (3)
| Title |
|---|
| ERICSSON: "S3-192023 "Discussion paper on NSSAI in AS layer protection"", 《3GPP TSG_SA\WG3_SECURITY》 * |
| INTERDIGITAL等: "S3-191816 "Discussion on S-NSSAI privacy protection"", 《3GPP TSG_SA\WG3_SECURITY》 * |
| QUALCOMM INCORPORATED: "S3-192373 "Adding some details to solution #10 on protecting S-NSSAI at AS layer"", 《3GPP TSG_SA\WG3_SECURITY》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114500283A (zh) * | 2022-01-05 | 2022-05-13 | 阿里巴巴(中国)有限公司 | 核心网的切片处理方法和系统 |
| CN114500283B (zh) * | 2022-01-05 | 2023-07-21 | 阿里巴巴(中国)有限公司 | 核心网的切片处理方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113596823B (zh) | 2022-10-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN111901355B (zh) | 一种认证方法及装置 | |
| CN111556025A (zh) | 基于加密、解密操作的数据传输方法、系统和计算机设备 | |
| TW201706900A (zh) | 終端的認證處理、認證方法及裝置、系統 | |
| CN105188055A (zh) | 无线网络接入方法、无线接入点以及服务器 | |
| CN109167802B (zh) | 防止会话劫持的方法、服务器以及终端 | |
| CN102638468A (zh) | 保护信息传输安全的方法、发送端、接收端及系统 | |
| CN111246474B (zh) | 一种基站认证方法及装置 | |
| CN115473655B (zh) | 接入网络的终端认证方法、装置及存储介质 | |
| CN111935123B (zh) | 一种检测dns欺骗攻击的方法、设备、存储介质 | |
| CN116015928A (zh) | 单包认证方法、装置和计算机可读存储介质 | |
| CN113676898A (zh) | 确定安全保护方法、系统及装置 | |
| CN115022850A (zh) | 一种d2d通信的认证方法、装置、系统、电子设备及介质 | |
| CN113596823B (zh) | 切片网络保护方法及装置 | |
| CN112261103A (zh) | 一种节点接入方法及相关设备 | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN112995140B (zh) | 安全管理系统及方法 | |
| CN113079506B (zh) | 网络安全认证方法、装置及设备 | |
| CN113992387A (zh) | 资源管理方法、装置、系统、电子设备和可读存储介质 | |
| CN113886802A (zh) | 安全认证方法、装置、电子设备和存储介质 | |
| CN110830465A (zh) | 一种访问UKey的安全防护方法、服务器和客户端 | |
| EP2442519A1 (en) | Method and system for authenticating network device | |
| CN113206817B (zh) | 一种设备连接确认方法和区块链网络 | |
| CN111711628B (zh) | 网络通信身份认证方法、装置、系统、设备及存储介质 | |
| CN116506221B (zh) | 工业交换机准入的控制方法、装置、计算机设备及介质 | |
| CN114065179B (zh) | 认证方法、装置、服务器、客户端及可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |