CN114268945B - 一种通信网络接入方法、装置及系统 - Google Patents
一种通信网络接入方法、装置及系统 Download PDFInfo
- Publication number
- CN114268945B CN114268945B CN202111494289.3A CN202111494289A CN114268945B CN 114268945 B CN114268945 B CN 114268945B CN 202111494289 A CN202111494289 A CN 202111494289A CN 114268945 B CN114268945 B CN 114268945B
- Authority
- CN
- China
- Prior art keywords
- core network
- base station
- access request
- network control
- control plane
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 84
- 238000004891 communication Methods 0.000 title claims abstract description 44
- 230000003993 interaction Effects 0.000 claims abstract description 71
- 238000010295 mobile communication Methods 0.000 claims abstract description 54
- 230000006870 function Effects 0.000 claims description 131
- 238000012545 processing Methods 0.000 claims description 79
- 238000004590 computer program Methods 0.000 claims description 10
- 238000004806 packaging method and process Methods 0.000 claims description 6
- 238000010276 construction Methods 0.000 abstract description 11
- 206010033799 Paralysis Diseases 0.000 abstract description 6
- 230000008569 process Effects 0.000 description 18
- 238000010586 diagram Methods 0.000 description 7
- 230000002776 aggregation Effects 0.000 description 4
- 238000004220 aggregation Methods 0.000 description 4
- 230000009467 reduction Effects 0.000 description 4
- 230000000903 blocking effect Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000007613 environmental effect Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 239000013598 vector Substances 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000010668 complexation reaction Methods 0.000 description 1
- 238000012790 confirmation Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000008439 repair process Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Classifications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种通信网络接入方法、装置及系统,该方法包括:接收用户设备发送的当前接入请求;基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务。本发明能够有效降低网络建设成本,且在遭受DDOS等网络攻击,以及如断电、火灾或自然灾害等外界环境的影响时,有效降低移动通信网络全域瘫痪的风险。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及一种通信网络接入方法、装置及系统。
背景技术
在移动通信系统中,核心网扮演着控制枢纽的角色,主要负责对用户接入时的移动性和注册、鉴权进行管理并提供数据业务连接服务。为了满足第5代移动通信系统(5G)的相关需求,3GPP在TS 23.501中定义了基于服务的核心网网络架构(Service BasedArchitecture,SBA)。SBA的控制面主要包含AMF(Access and Mobility ManagementFunction,接入和移动性管理功能)、AUSF(Authentication Server Function,鉴权服务功能)、UDM(Unified Data Management,统一数据管理)、SMF(Session ManagementFunction,会话管理功能)和PCF(Policy Control Function,策略控制功能)等网络功能(Network Function,NF),不同NF之间通过承载在HTTP/2协议的服务化接口(ServiceBased Interface,SBI)进行交互通信。目前,主流的云端核心网大多采用集中部署在数据中心(Data Center,DC)的方式,其存在诸多问题和隐患:首先,核心网需要对所有用户的接入请求进行处理,因此业务压力较大,对硬件基础设施要求较高,增加了网络建设成本;其次,核心网集群容易遭受DDOS(Distributed Denial of Service,分布式拒绝服务)等网络攻击,以及如断电、火灾或自然灾害等外界环境的影响,核心网DC的失效可能导致移动通信网络全域瘫痪的严重后果。
发明内容
本发明提供一种通信网络接入方法、装置及系统,用以解决现有技术中网络建设成本高、受环境影响大的缺陷,实现网络建设成本的有效降低,且避免环境影响造成的移动通信网络全域瘫痪。
本发明提供一种通信网络接入方法,包括:
接收用户设备发送的当前接入请求;
基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务。
根据本发明提供的一种通信网络接入方法,所述核心网控制面包含预先构建的不同接入请求对应的处理函数和用于调用所述处理函数的调用链,所述处理函数用于实现响应所述接入请求所需要的至少一个网络功能;
所述响应所述当前接入请求,包括:
获取所述当前接入请求对应的所述调用链;
通过所述调用链调用所述当前接入请求对应的所述处理函数;
基于调用的所述处理函数,响应所述当前接入请求。
根据本发明提供的一种通信网络接入方法,所述处理函数的构建方法包括:
从预设的至少一个网络功能中选择响应所述接入请求所需要的至少一个网络功能,将选择的所述至少一个网络功能封装成所述处理函数。
根据本发明提供的一种通信网络接入方法,所述将选择的所述至少一个网络功能封装成所述处理函数,包括:
按照响应所述接入请求的处理过程,将选择的所述至少一个网络功能封装成所述处理函数。
根据本发明提供的一种通信网络接入方法,所述当前接入请求包括鉴权服务请求;
所述响应所述当前接入请求,包括:
采用非对称鉴权方法,响应所述鉴权服务请求。
根据本发明提供的一种通信网络接入方法,所述用户设备和所述核心网控制面均预先分配有非对称密钥对,所述用户设备的非对称密钥对包括存储在所述用户设备中的用户私钥以及存储在所述区块链或所述本地数据库中的用户公钥,所述核心网控制面的非对称密钥对包括存储在所述核心网控制面中的核心网私钥以及存储在所述区块链或所述本地数据库中的核心网公钥;
所述基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,包括:
基于移动通信网络中基站端部署的核心网控制面,从所述区块链或所述本地数据库中获取所述用户设备的用户公钥;其中,所述核心网控制面基于所述用户设备发送的永久标识符,从所述区块链或所述本地数据库中获取所述用户设备的用户公钥;
所述采用非对称鉴权方法,响应所述鉴权服务请求,包括:
通过获取的所述用户设备的用户公钥和所述核心网控制面中预先存储的所述核心网私钥,生成第一对称密钥;
接收所述用户设备发送的第二对称密钥;其中,所述第一对称密钥和所述第二对称密钥相同;所述第二对称密钥是所述用户设备根据所述用户设备中预先存储的用户私钥,以及从所述区块链或所述本地数据库中获取的所述核心网控制面的核心网公钥得到的;
根据所述第一对称密钥和所述第二对称密钥执行鉴权。
本发明还提供一种通信网络接入装置,包括:
数据接收单元,用于接收用户设备发送的当前接入请求;
接入处理单元,基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务。
本发明还提供一种通信网络接入系统,包括:区块链、多个基站端和所述基站端对应的本地数据库服务器;所述多个基站端中的至少两个所述基站端部署有核心网控制面;
部署有所述核心网控制面的所述基站端用于与所述区块链和/或所述基站端对应的所述本地数据库服务器进行数据交互,以及基于所述数据交互的结果,响应用户设备发送的当前接入请求;
所述区块链用于为部署有所述核心网控制面的所述基站端提供数据交互服务;
所述本地数据库服务器用于为对应的部署有所述核心网控制面的所述基站端提供数据交互服务。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述通信网络接入方法的步骤。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述通信网络接入方法的步骤。
本发明提供的通信网络接入方法、装置及系统,通过移动通信网络中基站端部署的核心网控制面,与区块链和/或基站端对应的本地数据库进行数据交互,并基于数据交互的结果,响应用户设备发送的当前接入请求,有效实现了核心网控制面的分布式部署,降低了核心网控制面的业务压力,进而降低了对硬件基础设施的要求,实现了网络建设成本的降低;同时,通过设置区块链和本地数据库,构成了全局-局部网络视图的分级存储结构,在遭受DDOS等网络攻击,以及如断电、火灾或自然灾害等外界环境的影响时,有效降低移动通信网络全域瘫痪的风险。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的通信网络接入方法的流程示意图之一;
图2是传统方法与本发明方法响应用户接入请求的实现过程对比示意图;
图3是本发明核心网控制面网络功能聚合的流程示意图;
图4是本发明提供的第一对称密钥获取方法示意图;
图5是本发明提供的第二对称密钥获取方法示意图;
图6是本发明提供的通信网络接入方法的流程示意图之二;
图7是本发明提供的通信网络接入装置的结构示意图;
图8是本发明提供的通信网络接入系统的结构示意图;
图9是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图6描述本发明的通信网络接入方法,该方法由基站端或者其中的软件和/或硬件的组合执行,例如,可以是基站端连接的服务器,也可以是基站端内设的服务器;如图1所示,包括如下步骤:
S100、接收用户设备发送的当前接入请求。
具体地,用户设备发送的当前接入请求即通过用户设备向核心网发送的交互信令得到,交互信令如NGAP(NG Application Protocol,NG应用协议)消息。
S200、基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务。
具体地,将核心网控制面部署到移动通信网络中的基站端,每个核心网控制面可以只服务该基站对应的扇区的用户,相对于传统将核心网部署在数据中心的方式,有效降低了核心网控制面的业务压力,进而降低了对硬件基础设施的要求,实现了网络建设成本的降低。可以理解的是,核心网控制面可以部署到移动通信网络中的部分基站端,也可以部署到移动通信网络中的所有基站端,可以根据实际需求进行设定,对于没有部署核心网控制面的基站,可以将其与相邻基站所部署的核心网控制面进行连接。
将核心网控制面部署到基站端的方式可以根据实际情况进行设定,例如,可以采用外挂的方式,即在基站端连接一个服务器,在该服务器上部署核心网控制面;也可以采用内生的方式,即在基站端内设的服务器上部署核心网控制面。
核心网控制面与区块链和/或基站端对应的本地数据库进行数据交互,以从区块链和/或基站端对应的本地数据库获取响应当前接入请求所需要的数据,并将响应当前接入请求的过程中产生的中间状态数据存储到区块链和/或基站端对应的本地数据库,以进行当前接入请求的响应。核心网控制面与区块链的交互方式可以根据实际需求进行设定,例如,可以通过负载均衡网关进行路由规则的更新和维护。
其中,区块链用于为移动通信网络中所部署的各核心网控制面提供数据交互服务,即区块链用于提供分布式核心网控制面的全局网络视图,存储隐私与时延非敏、生命周期长以及静态多读少写型的数据,例如合法用户、用户设备以及基站的公钥白名单。本地数据库用于为对应的基站端所部署的核心网控制面提供数据交互服务,即本地数据库用于提供分布式核心网控制面的局部网络视图,存储隐私与时延敏感、生命周期短以及动态多写少读型的数据,例如用户认证过程中的鉴权向量。因此,通过设置区块链和本地数据库,构成了全局-局部网络视图的分级存储结构,实现了数据的全面化存储,在保证数据安全性的前提下,有效提高了数据交互的便捷性,能够满足不同数据的交互需求。
同时,区块链作为一种公开、透明、可追溯、不可篡改的去中心多方协作维护的分布式数据库,适合保存长期、稳定并且数量庞大的全局可见、开放共享数据,因此,通过区块链能够将移动通信网络中的用户设备的状态数据分散在多个地方,区块链全局强一致的特性能够保证各地区块链节点共同构建一个大规模共享池,当遭受DDOS等网络攻击,以及如断电、火灾或自然灾害等外界环境的影响时,部分节点的毁损并不会导致全域网络瘫痪,得益于区块链开放的特性,新的区块链节点还可以快速替换毁损节点并完成数据同步以修复网络基础设施。而且,通过区块链为移动通信网络中所部署的各核心网控制面提供数据交互服务,使得移动通信网络具备向所有经过合法性验证的人(如垂直行业业主或用户)开放自身数据和接口并赋予其进行相关应用开发的能力,从而能更加便捷地进行移动网络容量和功能上的拓展。
另外,基于区块链中可自定义和自执行的智能合约技术,运营商甚至用户本身可根据需求实时、动态地调用、添加或者调整作为基础设施的区块链上的智能合约,从而能够实现以用户为中心的定制化服务,为定制化服务的便捷开发与部署提供了帮助,使得移动通信网络能够支撑多种异构设备和网络的融合共存,以满足日渐多样的场景需求。
由此可见,本发明实施例通过移动通信网络中基站端部署的核心网控制面,与区块链和/或基站端对应的本地数据库进行数据交互,并基于数据交互的结果,响应用户设备发送的当前接入请求,有效实现了核心网控制面的分布式部署,降低了核心网控制面的业务压力,进而降低了对硬件基础设施的要求,实现了网络建设成本的降低;同时,通过设置区块链和本地数据库,构成了全局-局部网络视图的分级存储结构,在遭受DDOS等网络攻击,以及如断电、火灾或自然灾害等外界环境的影响时,有效降低移动通信网络全域瘫痪的风险。
基于上述实施例,所述核心网控制面包含预先构建的不同接入请求对应的处理函数和用于调用所述处理函数的调用链,所述处理函数用于实现响应所述接入请求所需要的至少一个网络功能;
所述响应所述当前接入请求,包括:
获取所述当前接入请求对应的所述调用链;
通过所述调用链调用所述当前接入请求对应的所述处理函数;
基于调用的所述处理函数,响应所述当前接入请求。
具体地,传统核心网控制面包含AMF、AUSF、UDM和SMF等多种网络功能,即传统的核心网控制面是以网络功能为中心进行用户接入请求的响应,即使在没有服务的情况下,核心网控制面中的每个网络功能仍需要不停地运行,等待用户设备的接入请求,造成计算资源的使用效率极大降低。
考虑到移动通信网络中不同用户设备间的服务状态数据的“正交”特性,例如,用户设备接入的注册请求、鉴权认证向量以及服务质量(QoS,Quality of Service)等互不影响,本发明实施例在核心网控制面中预先构建不同接入请求对应的处理函数和用于调用该处理函数的调用链,另外,还可以在核心网控制面的主函数中添加触发入口,通过触发入口接收用户设备发送的接入请求,核心网控制面在接收到用户设备发送的接入请求后,触发相应的调用链来调用接入请求所对应的处理函数,通过该处理函数来响应接入请求,实现以用户请求为中心的方式进行用户接入请求的响应,从而在接收到用户设备发送的接入请求后能够直接触发调用链调用相应的处理函数来响应用户设备发送的接入请求,在没有服务的情况下,无需运行处理函数,极大提高了计算资源的使用效率。传统以网络功能为中心响应用户接入请求与本发明实施例以用户请求为中心响应用户接入请求的实现过程对比如图2所示。图2中,UPF(User Plane Function,用户面功能)为核心网用户面的网络功能。
基于上述任一实施例,所述处理函数的构建方法包括:
从预设的至少一个网络功能中选择响应所述接入请求所需要的至少一个网络功能,将选择的所述至少一个网络功能封装成所述处理函数。
具体地,传统核心网控制面中的网络功能的数量较多,且传统核心网控制面在响应用户设备发送的接入请求的过程中,需要一个或多个网络功能共同完成,导致核心网控制面的部署和运维较为复杂,难以快速、灵活地进行网络功能的迁移和扩展。而本发明实施例根据接入请求将传统核心网控制面中响应该接入请求的网络功能封装成一个处理函数,即,每一种接入请求对应一个处理函数,无需多个网络功能交互通信,相较于传统方式,核心网控制面的部署和运维较为简单,在有新类别的接入请求后,仅需要增加相应的处理函数和调用链,能够快速、灵活地对核心网控制面进行功能的迁移和扩展,便于垂直行业专用网络的开发和部署。
基于上述任一实施例,所述将选择的所述至少一个网络功能封装成所述处理函数,包括:
按照响应所述接入请求的处理过程,将选择的所述至少一个网络功能封装成所述处理函数。
具体地,在将选择的至少一个网络功能封装成处理函数的过程中,按照传统核心网控制面中的一个或多个网络功能对该接入请求进行处理的过程,对选择的网络功能进行封装,形成该接入请求对应的处理函数。例如,确认用户设备与核心网控制面交互的NGAP消息;在选择的网络功能的数量为一个的情况下,将该网络功能对NGAP消息的处理过程封装成一个处理函数;在选择的网络功能的数量大于一个的情况下,由于传统方式多个网络功能共同完成接入请求的处理的过程中,不同网络功能之间需要交互SBI消息,因此,将选择的多个网络功能对NGAP消息以及不同网络功能之间交互的SBI消息的处理过程封装成一个处理函数,即完成核心网控制面网络功能的聚合;通过核心网控制面网络功能的聚合,实现了对网络功能实体和SBI接口的拆解与消除。其中,将处理过程封装成处理函数的具体方法可以根据实际情况进行设定,例如,可以通过函数式编程的方式,将该处理过程封装成处理函数。作为一种可选的方式,进行核心网控制面网络功能聚合的具体方法如图3所示,包括:
S301、确认用户设备与核心网控制面交互的NGAP消息;
S302、将网络功能对NGAP和SBI消息的处理过程封装成处理函数;
S303、构建针对每条NGAP消息的处理函数调用链;
S304、在核心网控制面主函数中添加NGAP消息触发的相应方法入口。
传统方式通过多个网络功能共同完成接入请求的处理的过程中,由于不同网络功能之间需要交互SBI消息,因此,在丢包率较高的弱网条件下(如丢包率高于10%),不同网络功能用于交互的HTTP/2协议容易产生队头阻塞(Head of Line Blocking,HOLBlocking)问题,导致核心网控制面响应用户设备接入请求的性能发生较为严重的恶化,影响用户体验。而本发明实施例,按照响应该接入请求的处理过程,将选择的至少一个网络功能封装成处理函数,无需网络功能之间的数据交互,也就不存在HTTP/2协议产生队头阻塞问题,有效提高了用户体验。
基于上述任一实施例,所述当前接入请求包括鉴权服务请求;
所述响应所述当前接入请求,包括:
采用非对称鉴权方法,响应所述鉴权服务请求。
具体地,鉴权服务即验证用户是否拥有接入移动通信网络的权利,对移动通信网络的安全性起着至关重要的作用。传统鉴权过程中通常在用户设备侧和核心网控制面侧存储一个相同的对称密钥K,通过该对称密钥K执行鉴权,而且该对称密钥K为固定值,在不同用户的鉴权过程中不会发生变化,无法保证移动通信网络的安全性。而本发明实施例引入非对称鉴权方法来响应鉴权服务请求,即在鉴权过程中,通过非对称密钥对来计算用户设备侧和核心网控制面侧的K,从而当用户设备和/或核心网控制面发生变化的情况下,其对称密钥K也会随之发生变化,极大提高了通信网络的安全性。
基于上述任一实施例,所述用户设备和所述核心网控制面均预先分配有非对称密钥对,所述用户设备的非对称密钥对包括存储在所述用户设备中的用户私钥以及存储在所述区块链或所述本地数据库中的用户公钥,所述核心网控制面的非对称密钥对包括存储在所述核心网控制面中的核心网私钥以及存储在所述区块链或所述本地数据库中的核心网公钥;
所述基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,包括:
基于移动通信网络中基站端部署的核心网控制面,从所述区块链或所述本地数据库中获取所述用户设备的用户公钥;其中,所述核心网控制面基于所述用户设备发送的永久标识符(Subscription Permanent Identifier,SUPI),从所述区块链或所述本地数据库中获取所述用户设备的用户公钥;
所述采用非对称鉴权方法,响应所述鉴权服务请求,包括:
通过获取的所述用户设备的用户公钥和所述核心网控制面中预先存储的所述核心网私钥,生成第一对称密钥;
接收所述用户设备发送的第二对称密钥;其中,所述第一对称密钥和所述第二对称密钥相同;所述第二对称密钥是所述用户设备根据所述用户设备中预先存储的用户私钥,以及从所述区块链或所述本地数据库中获取的所述核心网控制面的核心网公钥得到的;
根据所述第一对称密钥和所述第二对称密钥执行鉴权。
具体地,用户设备和各核心网控制面预先分配的非对称密钥对是非对称加密算法下的公私钥对,非对称加密算法可以是椭圆函数加密算法。用户公钥和核心网公钥均为需要公开的长周期数据,通常可以存放在区块链中;另外,也可以提前把这些数据从区块链中缓存到本地数据库,鉴权过程中从本地数据库进行调取,具体可以根据实际情况进行设定。例如,用户公钥和核心网公钥均存储在区块链上,在鉴权过程中,首先,核心网控制面根据用户设备的SUPI(即标识用户设备身份的ID)从区块链中获取该用户设备的用户公钥,并为合法的用户设备创建访问区块链的临时通道;用户设备通过该临时通道从区块链中获取经过运营商私钥签名的核心网公钥,以确保该核心网控制面是经过运营商认证的;其中用户设备的SUPI是用户设备通过接入请求发送给核心网控制面的,核心网控制面利用用户设备的SUPI作为索引,在区块链或本地数据库中进行用户公钥的检索确认。其次,根据用户公钥和核心网控制面中预先存储的核心网私钥,生成第一对称密钥,即核心网控制面侧的对称密钥,并根据核心网公钥和用户设备中预先存储的用户私钥,生成第二对称密钥,即用户设备侧的对称密钥,其中,第一对称密钥与第二对称密钥相同;例如,在非对称加密算法为椭圆函数加密算法的情况下,利用椭圆函数加密算法的性质,SKUE×PKCN=SKCN×PKUE,将用户公钥PKUE与核心网私钥SKCN进行乘积运算,并将得到的结果与随机数进行乘积运算后进行哈希运算,即可得到第一对称密钥,如图4所示;将核心网公钥PKCN与用户私钥SKUE进行乘积运算,并将得到的结果与随机数进行乘积运算后进行哈希运算,即可得到第二对称密钥,如图5所示。再次,根据第一对称密钥和第二对称密钥执行鉴权;其中执行鉴权的具体方法可以根据实际需求来确定,例如,可以为5G AKA鉴权。
由此可见,本发明实施例通过用户设备的SUPI获取用户公钥,并在该用户设备合法的情况下,为其创建访问区块链的临时通道,从而获取核心网公钥,根据用户公钥和核心网私钥生成核心网控制面侧的第一对称密钥,并根据核心网公钥和用户私钥生成用户设备侧的第二对称密钥,能够有效保证所生成的第一对称密钥和第二对称密钥的有效性,进而保证了鉴权的有效性,提高了移动通信网络的安全性;同时,能够根据用户设备或响应用户接入请求的核心网控制面的变化,而生成不同的对称密钥进行鉴权,进一步保证了移动通信网络的安全性。
以下以会话建立请求为例,对本发明方法进行详细说明,如图6所示,包括:
S401、用户设备发起接入请求;
S402、通过该接入请求触发核心网控制面通过调用链调用相应的处理函数;
S403、核心网控制面与区块链网络交互,查询用户设备及基站;
S404、判断该用户设备是否合法,是,则执行步骤S406,否,则执行步骤S405;
S405、拒绝接入请求;
S406、核心网控制面从区块链中获取用户设备信息至本地数据库,并发起非对称鉴权;
S407、判断是否认证成功,是,则执行步骤S408,否,则执行步骤S405;其中,鉴权过程中产生的临时状态数据存储在本地数据库;
S408、核心网控制面与用户设备进行交互,建立会话。
下面对本发明提供的通信网络接入装置进行描述,下文描述的通信网络接入装置与上文描述的通信网络接入方法可相互对应参照。如图7所示,该装置包括:
数据接收单元710,用于接收用户设备发送的当前接入请求;
接入处理单元720,基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务。
基于上述实施例,所述核心网控制面包含预先构建的不同接入请求对应的处理函数和用于调用所述处理函数的调用链,所述处理函数用于实现响应所述接入请求所需要的至少一个网络功能;
所述接入处理单元720响应所述当前接入请求,包括:
获取所述当前接入请求对应的所述调用链;
通过所述调用链调用所述当前接入请求对应的所述处理函数;
基于调用的所述处理函数,响应所述当前接入请求。
基于上述任一实施例,还包括处理函数构建单元,用于构建所述处理函数;所述处理函数的构建方法包括:
从预设的至少一个网络功能中选择响应所述接入请求所需要的至少一个网络功能,将选择的所述至少一个网络功能封装成所述处理函数。
基于上述任一实施例,处理函数构建单元将选择的所述至少一个网络功能封装成所述处理函数,包括:
按照响应所述接入请求的处理过程,将选择的所述至少一个网络功能封装成所述处理函数。
基于上述任一实施例,数据接收单元710接收的当前接入请求包括鉴权服务请求;
接入处理单元720响应所述当前接入请求,包括:
采用非对称鉴权方法,响应所述鉴权服务请求。
基于上述任一实施例,所述用户设备和所述核心网控制面均预先分配有非对称密钥对,所述用户设备的非对称密钥对包括存储在所述用户设备中的用户私钥以及存储在所述区块链或所述本地数据库中的用户公钥,所述核心网控制面的非对称密钥对包括存储在所述核心网控制面中的核心网私钥以及存储在所述区块链或所述本地数据库中的核心网公钥;
所述基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,包括:
基于移动通信网络中基站端部署的核心网控制面,从所述区块链或所述本地数据库中获取所述用户设备的用户公钥;其中,所述核心网控制面基于所述用户设备发送的永久标识符,从所述区块链或所述本地数据库中获取所述用户设备的用户公钥;
所述采用非对称鉴权方法,响应所述鉴权服务请求,包括:
通过获取的所述用户设备的用户公钥和所述核心网控制面中预先存储的所述核心网私钥,生成第一对称密钥;
接收所述用户设备发送的第二对称密钥;其中,所述第一对称密钥和所述第二对称密钥相同;所述第二对称密钥是所述用户设备根据所述用户设备中预先存储的用户私钥,以及从所述区块链或所述本地数据库中获取的所述核心网控制面的核心网公钥得到的;
根据所述第一对称密钥和所述第二对称密钥执行鉴权。
基于上述任一实施例,本发明还提供一种通信网络接入系统,如图8所示,包括:区块链、多个基站端和所述基站端对应的本地数据库服务器;所述多个基站端中的至少两个所述基站端部署有核心网控制面;
部署有所述核心网控制面的所述基站端用于与所述区块链和/或所述基站端对应的所述本地数据库服务器进行数据交互,以及基于所述数据交互的结果,响应用户设备发送的当前接入请求;
所述区块链用于为部署有所述核心网控制面的所述基站端提供数据交互服务;
所述本地数据库服务器用于为对应的部署有所述核心网控制面的所述基站端提供数据交互服务。
另外,还包括负载均衡网关,用于基站端与区块链的交互。
图9示例了一种电子设备的实体结构示意图,如图9所示,该电子设备可以包括:处理器(processor)910、通信接口(Communications Interface)920、存储器(memory)930和通信总线940,其中,处理器910,通信接口920,存储器930通过通信总线940完成相互间的通信。处理器910可以调用存储器930中的逻辑指令,以执行通信网络接入方法,该方法包括:接收用户设备发送的当前接入请求;
基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务。
此外,上述的存储器930中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的通信网络接入方法,该方法包括:接收用户设备发送的当前接入请求;
基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的通信网络接入方法,该方法包括:接收用户设备发送的当前接入请求;
基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (9)
1.一种通信网络接入方法,其特征在于,包括:
接收用户设备发送的当前接入请求;
基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务;
所述核心网控制面包含预先构建的不同接入请求对应的处理函数和用于调用所述处理函数的调用链,所述处理函数用于实现响应所述接入请求所需要的至少一个网络功能;
所述响应所述当前接入请求,包括:
获取所述当前接入请求对应的所述调用链;
通过所述调用链调用所述当前接入请求对应的所述处理函数;
基于调用的所述处理函数,响应所述当前接入请求。
2.根据权利要求1所述的一种通信网络接入方法,其特征在于,所述处理函数的构建方法包括:
从预设的至少一个网络功能中选择响应所述接入请求所需要的至少一个网络功能,将选择的所述至少一个网络功能封装成所述处理函数。
3.根据权利要求2所述的一种通信网络接入方法,其特征在于,所述将选择的所述至少一个网络功能封装成所述处理函数,包括:
按照响应所述接入请求的处理过程,将选择的所述至少一个网络功能封装成所述处理函数。
4.根据权利要求1所述的一种通信网络接入方法,其特征在于,所述当前接入请求包括鉴权服务请求;
所述响应所述当前接入请求,包括:
采用非对称鉴权方法,响应所述鉴权服务请求。
5.根据权利要求4所述的一种通信网络接入方法,其特征在于,所述用户设备和所述核心网控制面均预先分配有非对称密钥对,所述用户设备的非对称密钥对包括存储在所述用户设备中的用户私钥以及存储在所述区块链或所述本地数据库中的用户公钥,所述核心网控制面的非对称密钥对包括存储在所述核心网控制面中的核心网私钥以及存储在所述区块链或所述本地数据库中的核心网公钥;
所述基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,包括:
基于移动通信网络中基站端部署的核心网控制面,从所述区块链或所述本地数据库中获取所述用户设备的用户公钥;其中,所述核心网控制面基于所述用户设备发送的永久标识符,从所述区块链或所述本地数据库中获取所述用户设备的用户公钥;
所述采用非对称鉴权方法,响应所述鉴权服务请求,包括:
通过获取的所述用户设备的用户公钥和所述核心网控制面中预先存储的所述核心网私钥,生成第一对称密钥;
接收所述用户设备发送的第二对称密钥;其中,所述第一对称密钥和所述第二对称密钥相同;所述第二对称密钥是所述用户设备根据所述用户设备中预先存储的用户私钥,以及从所述区块链或所述本地数据库中获取的所述核心网控制面的核心网公钥得到的;
根据所述第一对称密钥和所述第二对称密钥执行鉴权。
6.一种通信网络接入装置,其特征在于,包括:
数据接收单元,用于接收用户设备发送的当前接入请求;
接入处理单元,基于移动通信网络中基站端部署的核心网控制面,与区块链和/或所述基站端对应的本地数据库进行数据交互,以及基于所述数据交互的结果,响应所述当前接入请求;其中,所述区块链用于为所述移动通信网络中所部署的各所述核心网控制面提供数据交互服务;所述本地数据库用于为对应的所述基站端部署的所述核心网控制面提供数据交互服务;
所述核心网控制面包含预先构建的不同接入请求对应的处理函数和用于调用所述处理函数的调用链,所述处理函数用于实现响应所述接入请求所需要的至少一个网络功能;
所述响应所述当前接入请求,包括:
获取所述当前接入请求对应的所述调用链;
通过所述调用链调用所述当前接入请求对应的所述处理函数;
基于调用的所述处理函数,响应所述当前接入请求。
7.一种通信网络接入系统,其特征在于,包括:区块链、多个基站端和所述基站端对应的本地数据库服务器;所述多个基站端中的至少两个所述基站端部署有核心网控制面;
部署有所述核心网控制面的所述基站端用于与所述区块链和/或所述基站端对应的所述本地数据库服务器进行数据交互,以及基于所述数据交互的结果,响应用户设备发送的当前接入请求;
所述区块链用于为部署有所述核心网控制面的所述基站端提供数据交互服务;
所述本地数据库服务器用于为对应的部署有所述核心网控制面的所述基站端提供数据交互服务;
所述核心网控制面包含预先构建的不同接入请求对应的处理函数和用于调用所述处理函数的调用链,所述处理函数用于实现响应所述接入请求所需要的至少一个网络功能;
所述响应所述当前接入请求,包括:
获取所述当前接入请求对应的所述调用链;
通过所述调用链调用所述当前接入请求对应的所述处理函数;
基于调用的所述处理函数,响应所述当前接入请求。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述通信网络接入方法的步骤。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述通信网络接入方法的步骤。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111494289.3A CN114268945B (zh) | 2021-12-08 | 2021-12-08 | 一种通信网络接入方法、装置及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111494289.3A CN114268945B (zh) | 2021-12-08 | 2021-12-08 | 一种通信网络接入方法、装置及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114268945A CN114268945A (zh) | 2022-04-01 |
CN114268945B true CN114268945B (zh) | 2024-04-02 |
Family
ID=80826569
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111494289.3A Active CN114268945B (zh) | 2021-12-08 | 2021-12-08 | 一种通信网络接入方法、装置及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114268945B (zh) |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108650125A (zh) * | 2018-05-09 | 2018-10-12 | 清华大学 | 一种面向b5g的基于非栈式协议的核心网系统 |
CN110536300A (zh) * | 2019-09-06 | 2019-12-03 | 中国联合网络通信集团有限公司 | 一种通信控制方法、网络控制实体及系统 |
WO2021063067A1 (zh) * | 2019-09-30 | 2021-04-08 | 大唐移动通信设备有限公司 | 确定终端nas连接属性的方法、装置、amf、终端及基站 |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11076330B2 (en) * | 2019-05-02 | 2021-07-27 | Apple Inc. | Intelligent core network selection |
-
2021
- 2021-12-08 CN CN202111494289.3A patent/CN114268945B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108650125A (zh) * | 2018-05-09 | 2018-10-12 | 清华大学 | 一种面向b5g的基于非栈式协议的核心网系统 |
CN110536300A (zh) * | 2019-09-06 | 2019-12-03 | 中国联合网络通信集团有限公司 | 一种通信控制方法、网络控制实体及系统 |
WO2021063067A1 (zh) * | 2019-09-30 | 2021-04-08 | 大唐移动通信设备有限公司 | 确定终端nas连接属性的方法、装置、amf、终端及基站 |
Non-Patent Citations (1)
Title |
---|
性能感知的核心网控制面资源分配算法;陈俊杰等;浙江大学学报(工学版);20210930;第55卷(第9期);1782-1786 * |
Also Published As
Publication number | Publication date |
---|---|
CN114268945A (zh) | 2022-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10505718B1 (en) | Systems, devices, and techniques for registering user equipment (UE) in wireless networks using a native blockchain platform | |
US11463874B2 (en) | User profile, policy, and PMIP key distribution in a wireless communication network | |
EP3657894B1 (en) | Network security management method and apparatus | |
WO2020048512A1 (zh) | 通信方法和装置 | |
EP2530963B1 (en) | Authentication method for machine type communication device, machine type communication gateway and related devices | |
WO2021037175A1 (zh) | 一种网络切片的管理方法及相关装置 | |
JP2022502908A (ja) | Nasメッセージのセキュリティ保護のためのシステム及び方法 | |
CN109560929A (zh) | 密钥配置及安全策略确定方法、装置 | |
US8611859B2 (en) | System and method for providing secure network access in fixed mobile converged telecommunications networks | |
US8914867B2 (en) | Method and apparatus for redirecting data traffic | |
CN114726523B (zh) | 密码应用服务系统和量子安全能力开放平台 | |
WO2020094914A1 (en) | Secure inter-mobile network communication | |
CN111741468B (zh) | 基于mec的amf及其身份认证方法、构建方法和装置 | |
WO2021063298A1 (zh) | 实现外部认证的方法、通信装置及通信系统 | |
US20230396602A1 (en) | Service authorization method and system, and communication apparatus | |
Ali et al. | Federated 3GPP Mobile Edge Computing systems: a transparent proxy for third party authentication with application mobility support | |
TW202142011A (zh) | 一種防止加密用戶識別符被重播攻擊的方法 | |
WO2023246942A1 (zh) | 通信方法及装置 | |
CN114268945B (zh) | 一种通信网络接入方法、装置及系统 | |
WO2022222745A1 (zh) | 一种通信方法及装置 | |
US20240137366A1 (en) | Systems and methods for providing prioritization for data transport services | |
WO2021249325A1 (zh) | 切片服务验证方法及其装置 | |
US20220174488A1 (en) | Communication method and related device | |
WO2023142102A1 (en) | Security configuration update in communication networks | |
WO2022183427A1 (en) | Method, device, and system for protecting sequence number in wireless network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |