CN114339752A - 安全边缘保护代理的消息发送方法、装置及相关设备 - Google Patents
安全边缘保护代理的消息发送方法、装置及相关设备 Download PDFInfo
- Publication number
- CN114339752A CN114339752A CN202111652499.0A CN202111652499A CN114339752A CN 114339752 A CN114339752 A CN 114339752A CN 202111652499 A CN202111652499 A CN 202111652499A CN 114339752 A CN114339752 A CN 114339752A
- Authority
- CN
- China
- Prior art keywords
- message
- request message
- information
- vnf
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 67
- 239000011814 protection agent Substances 0.000 title abstract description 17
- 238000012795 verification Methods 0.000 claims description 44
- 238000012790 confirmation Methods 0.000 claims description 40
- 230000005540 biological transmission Effects 0.000 claims description 8
- 230000032683 aging Effects 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims description 3
- 238000005242 forging Methods 0.000 abstract description 7
- 230000006870 function Effects 0.000 description 11
- 238000010586 diagram Methods 0.000 description 10
- 238000012545 processing Methods 0.000 description 9
- 230000008569 process Effects 0.000 description 8
- 230000003287 optical effect Effects 0.000 description 4
- 230000003993 interaction Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 238000004891 communication Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000003252 repetitive effect Effects 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 238000012550 audit Methods 0.000 description 1
- 238000013523 data management Methods 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开实施例提供一种安全边缘保护代理的消息发送方法、装置、电子设备及计算机可读介质,应用于拜访网络的vSEPP,方法包括:接收拜访网络的vNF发送的请求消息,请求消息为向归属网络漫游的漫游消息;根据请求消息中的消息类型和vNF的信息在本地的时限缓存表中查询,获得查询结果;若查询结果为查询成功,则将请求消息发送至归属网络的hSEPP;其中,时限缓存表中存储了在当前时刻前的预设时长内vNF成功发送至归属网络的hSEPP的请求消息。本公开实施例提供的安全边缘保护代理的消息发送方法、装置、电子设备及可读介质,能够基于NF的实体和该请求消息的真实性对该请求消息进行验证,避免伪造NF和虚假消息的攻击威胁,从而保证5G核心网的安全性。
Description
技术领域
本公开涉及移动通信安全领域,尤其涉及一种安全边缘保护代理的消息发送方法、装置、电子设备及计算机可读介质。
背景技术
5G网络为了保护公用陆地移动网络(PLMN)之间的安全,在两个PLMN之间加入了安全边缘保护代理(SEPP),SEPP是5G漫游安全架构的重要组成部分,用于用户漫游,与其他PLMN的通信互通,负责PLMN之间控制平面接口上的消息过滤、拓扑隐藏和策略管理,主要作为PLMN核心网控制面之间的边界网关。目前在标准TS 3GPP 33.501中,对于NF的识别限于NF消息的源地址、目标地址和标识符的验证,并没有对NF实体和消息真实性的验证。因此存在伪造NF和虚假消息的攻击威胁,从而破坏5G核心网的安全。
因此,需要一种新的安全边缘保护代理的消息发送方法、装置、电子设备及计算机可读介质。
在所述背景技术部分公开的上述信息仅用于加强对本公开的背景的理解。
发明内容
有鉴于此,本公开实施例提供一种安全边缘保护代理的消息发送方法、装置、电子设备及计算机可读介质,能够基于NF的实体和该请求消息的真实性对该请求消息进行验证,避免伪造NF和虚假消息的攻击威胁,从而保证5G核心网的安全性。
本公开的其他特性和优点将通过下面的详细描述变得显然,或部分地通过本公开的实践而习得。
根据本公开实施例的第一方面,提出一种安全边缘保护代理的消息发送方法,应用于拜访网络的vSEPP,该方法包括:接收拜访网络的vNF发送的请求消息,所述请求消息为向归属网络漫游的漫游消息;根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果;若所述查询结果为查询成功,则将所述请求消息发送至所述归属网络的hSEPP;其中,所述时限缓存表中存储了在当前时刻前的预设时长内所述vNF成功发送至所述归属网络的hSEPP的请求消息。
在本公开的一种示例性实施例中,所述方法还包括:若所述查询结果为查找失败,则生成所述请求消息的令牌信息;根据所述请求消息、所述请求消息的时间戳信息和所述请求消息的令牌信息生成请求确认消息,并发送至所述vNF;根据所述vNF的信息、所述请求消息的时间戳信息和所述请求消息的令牌信息生成所述vNF的实体查询消息,并发送至所述vNRF;接收所述vNF根据所述请求确认消息返回的确认结果消息,和所述vNRF根据所述实体查询消息返回的查询结果消息;若根据所述确认结果消息和所述查询结果消息对所述请求消息验证成功时,则将所述请求消息发送至归属网络的hSEPP。
在本公开的一种示例性实施例中,若根据所述确认结果消息和所述查询结果消息对所述请求消息验证成功时,所述方法还包括:将所述vNF的信息、所述请求消息的消息类型、所述请求消息的令牌信息和所述请求消息的时间戳信息存储至所述时限缓存表中。
在本公开的一种示例性实施例中,根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果包括:根据所述请求消息中的源地址、目的地址、标识符进行验证,获得初始验证结果;若所述初始验证结果为通过,则根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果。
在本公开的一种示例性实施例中,所述查询结果消息是所述vNRF根据所述vNF的信息和所述请求消息的时间戳信息对所述vNF进行实体信息真实性验证后,根据实体信息真实性验证结果和所述请求消息的令牌信息生成的。
在本公开的一种示例性实施例中,所述确认结果消息是所述vNF在根据所述请求消息和所述请求消息的时间戳信息对所述请求消息进行发送记录查询后,根据发送记录查询结果和所述请求消息的令牌信息生成的。
在本公开的一种示例性实施例中,根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果包括:根据所述请求消息中的消息类型和所述vNF的信息在所述时限缓存表进行匹配,获得匹配成功的历史消息、所述历史消息的时间戳信息和所述历史消息的令牌信息;根据所述历史消息的令牌信息和所述vSEPP的已发送消息进行令牌验证;根据所述历史消息的时间戳信息对所述历史消息进行时效验证;若令牌验证和时效验证的结果均为通过,则确定所述请求消息的查询结果为查询成功。
根据本公开实施例的第二方面,提出一种安全边缘保护代理的消息发送装置,应用于拜访网络的vSEPP,该装置包括:消息接收模块,用于接收拜访网络的vNF发送的请求消息,所述请求消息为向归属网络漫游的漫游消息;消息查询模块,用于根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果;消息发送模块,用于若所述查询结果为查询成功,则将所述请求消息发送至所述归属网络的hSEPP;其中,所述时限缓存表中存储了在当前时刻前的预设时长内所述vNF成功发送至所述归属网络的hSEPP的请求消息。
根据本公开实施例的第三方面,提出一种电子设备,该电子设备包括:一个或多个处理器;存储装置,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现上述任一项所述的安全边缘保护代理的消息发送方法。
根据本公开实施例的第四方面,提出一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如上述任一项所述的安全边缘保护代理的消息发送方法。
根据本公开某些实施例提供的安全边缘保护代理的消息发送方法、装置、电子设备及计算机可读介质,预先在本地存储在当前时刻前的预设时长内不同的vNF成功发送至归属网络的hSEPP的请求消息,并在接收到拜访网络的vNF发送向归属网络漫游的请求消息时,根据请求消息中的消息类型和该vNF的信息在本地的时限缓存表中查询,能够基于NF的实体和该请求消息的真实性对该请求消息进行验证,并在查询结果为查询成功时将请求消息发送至归属网络的hSEPP,避免伪造NF和虚假消息的攻击威胁,从而保证5G核心网的安全性。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性的,并不能限制本公开。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本公开的实施例,并与说明书一起用于解释本公开的原理。下面描述的附图仅仅是本公开的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是根据一示例性实施例示出的一种安全边缘保护代理的消息发送方法及装置的系统框图。
图2是根据一示例性实施例示出的一种安全边缘保护代理的消息发送方法的流程图。
图3是根据另一示例性实施例示出的一种安全边缘保护代理的消息发送方法的流程图。
图4是根据一示例性实施例示出的时限缓存表的示意图。
图5是根据又一示例性实施例示出的一种安全边缘保护代理的消息发送方法的流程图。
图6是根据再一示例性实施例示出的一种安全边缘保护代理的消息发送方法的流程图。
图7是根据再一示例性实施例示出的一种安全边缘保护代理的消息发送方法的交互流程图。
图8是根据一示例性实施例示出的一种安全边缘保护代理的消息发送装置的框图。
图9示意性示出本公开一个示例性实施例中一种电子设备的方框图。
具体实施方式
现在将参考附图更全面地描述示例实施例。然而,示例实施例能够以多种形式实施,且不应被理解为限于在此阐述的实施例;相反,提供这些实施例使得本发明将全面和完整,并将示例实施例的构思全面地传达给本领域的技术人员。在图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。
所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。在下面的描述中,提供许多具体细节从而给出对本发明的实施方式的充分理解。然而,本领域技术人员将意识到,可以实践本发明的技术方案而省略特定细节中的一个或更多,或者可以采用其它的方法、组元、装置、步骤等。在其它情况下,不详细示出或描述公知方法、装置、实现或者操作以避免模糊本发明的各方面。
附图仅为本发明的示意性图解,图中相同的附图标记表示相同或类似的部分,因而将省略对它们的重复描述。附图中所示的一些方框图不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体,或在一个或多个硬件模块或集成电路中实现这些功能实体,或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。
附图中所示的流程图仅是示例性说明,不是必须包括所有的内容和步骤,也不是必须按所描述的顺序执行。例如,有的步骤还可以分解,而有的步骤可以合并或部分合并,因此实际执行的顺序有可能根据实际情况改变。
下面结合附图对本发明示例实施方式进行详细说明。
图1是根据一示例性实施例示出的一种安全边缘保护代理的消息发送方法及装置的系统框图。
安全边缘保护代理的消息发送方法及装置的系统可包括拜访网络110和归属网络120。拜访网络110可包括拜访网络110的安全边缘保护代理vSEPP(附图标记111)、网络功能vNF(附图标记112)和网络仓储功能vNRF(附图标记113)。归属网络120可包括归属网络120的安全边缘保护代理vSEPP(附图标记121)和网络功能vNF(附图标记122)。其中,在拜访网络110或归属网络120中,其网络功能可例如但不限于为接入与移动性管理(Core Accessand Mobility Management Function,AMF)、会话管理(Session Management Function,SMF)、用户平面功能(User plane Function,UPF)、统一数据管理(Unified DataManagement,UDM)、策略控制功能(Policy Control function,PCF)、认证服务器功能(Authentication Server Function,AUSF)、网络能力开放(Network Exposure Function,NEF)、网络切片选择功能(Network Slice Selection Function,NSSF)等。
拜访网络110的安全边缘保护代理vSEPP111可用于接收拜访网络的vNF发送的请求消息,所述请求消息为向归属网络漫游的漫游消息;根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果;若所述查询结果为查询成功,则将所述请求消息发送至所述归属网络的hSEPP;其中,所述时限缓存表中存储了在当前时刻前的预设时长内所述vNF成功发送至所述归属网络的hSEPP的请求消息。
图2是根据一示例性实施例示出的一种安全边缘保护代理的消息发送方法的流程图。本公开实施例提供的安全边缘保护代理的消息发送方法可以由图1中拜访网络110的安全边缘保护代理vSEPP111执行。本公开实施例提供的安全边缘保护代理的消息发送方法可以包括步骤S202至S206。
如图2所示,在步骤S202中,接收拜访网络的vNF发送的请求消息,所述请求消息为向归属网络漫游的漫游消息。
本公开实施例中,拜访网络的vNF例如为vPCF,其发送的请求消息例如向归属网络的hPCF请求策略的请求策略消息。
在步骤S204中,根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果。
接前述举例,消息类型例如为策略请求消息。vNF的信息例如为vPCF的信息。时限缓存表中存储了在当前时刻前的预设时长内所述vNF成功发送至所述归属网络的hSEPP的请求消息。例如,时限缓存表中可存储。例如,可将在当前时刻前的预设时长内所述vNF成功发送至所述归属网络的hSEPP的请求消息的vNF的信息、消息类型进行存储。其中,在本地的时限缓存表中查询时,可根据消息类型和vNF的信息在时限缓存表中进行匹配,若匹配到消息类型和vNF的信息均相同的消息,则查询成功,否则查询失败。
在步骤S206中,若所述查询结果为查询成功,则将所述请求消息发送至所述归属网络的hSEPP。
根据本公开实施例提供的安全边缘保护代理的消息发送方法,预先在本地存储在当前时刻前的预设时长内不同的vNF成功发送至归属网络的hSEPP的请求消息,并在接收到拜访网络的vNF发送向归属网络漫游的请求消息时,根据请求消息中的消息类型和该vNF的信息在本地的时限缓存表中查询,能够基于NF的实体和该请求消息的真实性对该请求消息进行验证,并在查询结果为查询成功时将请求消息发送至归属网络的hSEPP,避免伪造NF和虚假消息的攻击威胁,从而保证5G核心网的安全性。
图3是根据另一示例性实施例示出的一种安全边缘保护代理的消息发送方法的流程图。本公开实施例提供安全边缘保护代理的消息发送方法可以包括步骤S302至S314。
如图3所示,在步骤S302中,接收拜访网络的vNF发送的请求消息,所述请求消息为向归属网络漫游的漫游消息。
本公开实施例中,可采取与步骤S202类似的步骤,此处不再赘述。
在步骤S304中,根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果。
其中,若查询结果为查询成功,则将所述请求消息发送至所述归属网络的hSEPP。
进一步地,可根据所述请求消息中的源地址、目的地址、标识符进行验证,获得初始验证结果;若所述初始验证结果为通过,则根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果。
在步骤S306中,若所述查询结果为查找失败,则生成所述请求消息的令牌信息。
其中,可例如通过随机数生成一个消息标识码,作为该请求消息的令牌信息。
在步骤S308中,根据所述请求消息、所述请求消息的时间戳信息和所述请求消息的令牌信息生成请求确认消息,并发送至所述vNF。
请求确认消息可用于请求vNF查询是否发送过该请求消息。
在步骤S310中,根据所述vNF的信息、所述请求消息的时间戳信息和所述请求消息的令牌信息生成所述vNF的实体查询消息,并发送至所述vNRF。
实体查询消息可用于请求vNRF查询该vNF的实体信息真实性。
在步骤S312中,接收所述vNF根据所述请求确认消息返回的确认结果消息,和所述vNRF根据所述实体查询消息返回的查询结果消息。
确认结果消息可以是所述vNF在根据所述请求消息和所述请求消息的时间戳信息对所述请求消息进行发送记录查询后,根据发送记录查询结果和所述请求消息的令牌信息生成的。例如,确认结果消息可包括但不限于消息真实值(真实为1,虚假为0)和令牌信息。确认结果消息中的令牌信息用于vSEPP对本地的待发送的请求消息的匹配。
查询结果消息可以是所述vNRF根据所述vNF的信息和所述请求消息的时间戳信息对所述vNF进行实体信息真实性验证后,根据实体信息真实性验证结果和所述请求消息的令牌信息生成的。例如,查询结果消息可包括但不限于vNF信息真实值(真实为1,虚假为0)和令牌信息。查询结果消息中的令牌信息用于vSEPP对本地的待发送的请求消息的匹配。
在步骤S314中,若根据所述确认结果消息和所述查询结果消息对所述请求消息验证成功时,则将所述请求消息发送至归属网络的hSEPP。
其中,可在包括该请求消息的令牌消息的确认结果消息和所述查询结果消息中,确认消息真实值为1,且vNF信息真实值为1时,则确认该请求消息验证成功。
根据本公开实施例提供的安全边缘保护代理的消息发送方法,在vSEPP接收到请求消息时,向vNRF发送vNF查询消息,vNRF返回查询结果消息给vSEPP确认vNF实体真实性。并在vSEPP接收到请求消息时,向vNF发送请求确认消息,vNF返回确认结果消息给vSEPP确认请求消息真实性,能够基于NF的实体和该请求消息的真实性对该请求消息进行验证,并在验证成功时请求消息发送至归属网络的hSEPP,避免伪造NF和虚假消息的攻击威胁,从而保证5G核心网的安全性。
进一步地,若根据所述确认结果消息和所述查询结果消息对所述请求消息验证成功时,还可将所述vNF的信息、所述请求消息的消息类型、所述请求消息的令牌信息和所述请求消息的时间戳信息存储至所述时限缓存表中。
时限缓存表的形式可例如图4所示,图4中每一行的数据表示一条请求消息。例如,vNF的信息可为图4中NF信息1、…、NF信息n。请求消息的消息类型例如图4中的消息类型1、…、消息类型n。请求消息的令牌信息例如图4中的令牌。请求消息的时间戳信息例如图4中的计时器。具体地,可根据请求消息的时间戳信息和预设时长生成该请求消息的计时器,该计时器用于从时间戳信息所代表时间进行计时,计时长度为预设时长,因此,可在计时器计时结束后将实现缓存表中的该条请求消息删除,实现时限缓存表中存储的为在当前时刻前的预设时长内所述vNF成功发送至所述归属网络的hSEPP的请求消息。
图5是根据又一示例性实施例示出的一种安全边缘保护代理的消息发送方法的流程图。图3实施例的步骤S304可以进一步包括步骤S502至S508。
如图5所示,在步骤S502中,根据所述请求消息中的消息类型和所述vNF的信息在所述时限缓存表进行匹配,获得匹配成功的历史消息、所述历史消息的时间戳信息和所述历史消息的令牌信息。
例如,vNF是vPCF,其需要向hPCF请求策略。则vPCF将发送请求策略消息到vSEPP。在时限缓存表里查找NF的信息为vPCF的缓存表,并在vPCF的缓存表中找消息类型为策略请求消息的历史消息,将其确定为匹配成功的历史消息,并从时限缓存表中获得该历史消息的时间戳信息和所述历史消息的令牌信息。
进一步地,vSEPP可首先根据请求消息的源地址、目的地址、标识符进行验证,获得初始验证结果,并在初始验证结果为通过时,再在时限缓存表里查找NF的信息为vPCF的缓存表。
在步骤S504中,根据所述历史消息的令牌信息和所述vSEPP的已发送消息进行令牌验证。
接前述举例,若NF的信息为vPCF,且消息类型为策略请求消息的历史消息为历史消息A,则可对该历史消息A的令牌信息在vSEPP的已发送消息中查找,若查找成功,则认为令牌验证的结果为通过,否则为失败。
在步骤S506中,根据所述历史消息的时间戳信息对所述历史消息进行时效验证。
接前述举例,可对该历史消息A的时间戳信息和当前时刻计算时间差值,若时间差值小于预设时长,则认为失效验证的结果为通过。
在步骤S508中,若令牌验证和时效验证的结果均为通过,则确定所述请求消息的查询结果为查询成功。
图6是根据再一示例性实施例示出的一种安全边缘保护代理的消息发送方法的流程图。本公开实施例提供安全边缘保护代理的消息发送方法可以包括步骤S602至S614。本实施例中安全边缘保护代理的消息发送方法的交互流程图可如图7所示。在图7所示的交互流程可包括拜访网络的vNF、vNRF、vSEPP和归属网络的hSEPP。
如图6所示,在步骤S602中,拜访网络的vNF发送请求消息给拜访网络的vSEPP。
在步骤S604中,vSEPP根据请求消息中的源地址、目的地址、标识符进行验证,获得初始验证结果。若初始验证结果为通过,则执行步骤S606,否则vSEPP丢弃该请求消息。
在步骤S606中,vSEPP查询本地的时限缓存表,是否存在该vNF的该类请求消息,若存在则将该请求消息转发给归属网络的hSEPP,若不存在则执行S608。
在步骤S608中,vSEPP向vNRF发送该vNF的实体查询消息,向vNF发送该请求消息的请求确认消息。
请求确认消息中包括但不限于请求消息的信息、时间戳信息和令牌信息。
在步骤S610中,vNRF查询该vNF实体信息真实性,向vSEPP发送该vNF的查询结果消息,vNF查询是否发送过该请求消息,向vSEPP发送确认结果消息。实体查询消息中包括但不限于vNF的信息、时间戳、令牌
在步骤S612中,vSEPP接收vNF查询结果消息和确认结果消息,当根据所述确认结果消息和所述查询结果消息对所述请求消息验证成功时,判定该请求消息是合法消息,转发给归属网络的hSEPP。若根据所述确认结果消息和所述查询结果消息对所述请求消息验证失败时,则vSEPP丢弃该请求消息。
在步骤S614中,拜访网络的vSEPP将该vNF的信息、该请求消息的的消息类型、该请求消息的令牌信息和该请求消息的时间戳信息存储至时限缓存表中,在预设时长内对该vNF的相同类别消息免审核。
根据本公开实施例提供的安全边缘保护代理的消息发送方法,用于拜访网络的vSEPP验证请求消息和发送消息vNF的真实性。在vSEPP接收到请求消息时,向vNRF发送vNF查询消息,确认vNF实体真实性。在vSEPP接收到请求消息时,向vNF发送请求确认消息,确认请求消息真实性。在vSEPP中建立时限缓存表,保存vNF消息信息,在设置时间内该vNF的相同类别消息免审核,能够避免伪造NF和虚假消息的攻击威胁,从而保证5G核心网的安全性。
应清楚地理解,本公开描述了如何形成和使用特定示例,但本公开的原理不限于这些示例的任何细节。相反,基于本公开公开的内容的教导,这些原理能够应用于许多其它实施例。
本领域技术人员可以理解实现上述实施例的全部或部分步骤被实现为由中央处理器(Central Processing Unit,CPU)执行的计算机程序。在该计算机程序被中央处理器CPU执行时,执行本公开提供的上述方法所限定的上述功能。该程序可以存储于一种计算机可读存储介质中,该存储介质可以是只读存储器、磁盘或光盘等。
此外,需要注意的是,上述附图仅是根据本公开示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
下述为本公开装置实施例,可以用于执行本公开方法实施例。对于本公开装置实施例中未披露的细节,请参照本公开方法实施例。
图8是根据一示例性实施例示出的一种安全边缘保护代理的消息发送装置的框图。参照图8,本公开实施例提供的安全边缘保护代理的消息发送装置80可以包括:消息接收模块802、消息查询模块804和消息发送模块806。
在安全边缘保护代理的消息发送装置80中,消息接收模块802可用于接收拜访网络的vNF发送的请求消息,所述请求消息为向归属网络漫游的漫游消息。
消息查询模块804可用于根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果;
消息发送模块806可用于若所述查询结果为查询成功,则将所述请求消息发送至所述归属网络的hSEPP;其中,所述时限缓存表中存储了在当前时刻前的预设时长内所述vNF成功发送至所述归属网络的hSEPP的请求消息。
根据本公开实施例提供的安全边缘保护代理的消息发送装置,预先在本地存储在当前时刻前的预设时长内不同的vNF成功发送至归属网络的hSEPP的请求消息,并在接收到拜访网络的vNF发送向归属网络漫游的请求消息时,根据请求消息中的消息类型和该vNF的信息在本地的时限缓存表中查询,能够基于NF的实体和该请求消息的真实性对该请求消息进行验证,并在查询结果为查询成功时将请求消息发送至归属网络的hSEPP,避免伪造NF和虚假消息的攻击威胁,从而保证5G核心网的安全性。
在示例性实施例中,安全边缘保护代理的消息发送装置还可包括:令牌生成模块,可用于若所述查询结果为查找失败,则生成所述请求消息的令牌信息;请求确认消息发送模块,可用于根据所述请求消息、所述请求消息的时间戳信息和所述请求消息的令牌信息生成请求确认消息,并发送至所述vNF;实体查询消息发送模块,可用于根据所述vNF的信息、所述请求消息的时间戳信息和所述请求消息的令牌信息生成所述vNF的实体查询消息,并发送至所述vNRF;反馈消息接收模块,可用于接收所述vNF根据所述请求确认消息返回的确认结果消息,和所述vNRF根据所述实体查询消息返回的查询结果消息;请求消息验证模块,可用于若根据所述确认结果消息和所述查询结果消息对所述请求消息验证成功时,则将所述请求消息发送至归属网络的hSEPP。
在示例性实施例中,安全边缘保护代理的消息发送装置还可包括:消息缓存模块,可用于在若根据所述确认结果消息和所述查询结果消息对所述请求消息验证成功时,则将所述vNF的信息、所述请求消息的消息类型、所述请求消息的令牌信息和所述请求消息的时间戳信息存储至所述时限缓存表中。
在示例性实施例中,消息查询模块804可包括:初始验证单元,可用于根据所述请求消息中的源地址、目的地址、标识符进行验证,获得初始验证结果;消息查询单元,可用于若所述初始验证结果为通过,则根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果。
在示例性实施例中,所述查询结果消息是所述vNRF根据所述vNF的信息和所述请求消息的时间戳信息对所述vNF进行实体信息真实性验证后,根据实体信息真实性验证结果和所述请求消息的令牌信息生成的。
在示例性实施例中,所述确认结果消息是所述vNF在根据所述请求消息和所述请求消息的时间戳信息对所述请求消息进行发送记录查询后,根据发送记录查询结果和所述请求消息的令牌信息生成的。
在示例性实施例中,消息查询模块804可包括:缓存表匹配单元,可用于根据所述请求消息中的消息类型和所述vNF的信息在所述时限缓存表进行匹配,获得匹配成功的历史消息、所述历史消息的时间戳信息和所述历史消息的令牌信息;令牌验证单元,可用于根据所述历史消息的令牌信息和所述vSEPP的已发送消息进行令牌验证;失效验证单元,可用于根据所述历史消息的时间戳信息对所述历史消息进行时效验证;查询结果确认单元,可用于若令牌验证和时效验证的结果均为通过,则确定所述请求消息的查询结果为查询成功。
下面参照图9来描述根据本发明的这种实施方式的电子设备900。图9显示的电子设备900仅仅是一个示例,不应对本发明实施例的功能和使用范围带来任何限制。
如图9所示,电子设备900以通用计算设备的形式表现。电子设备900的组件可以包括但不限于:上述至少一个处理单元910、上述至少一个存储单元920、连接不同系统组件(包括存储单元920和处理单元910)的总线930。
其中,所述存储单元存储有程序代码,所述程序代码可以被所述处理单元910执行,使得所述处理单元910执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如,所述处理单元910可以执行如图2或图3或图5或图6或图7所示的步骤。
存储单元920可以包括易失性存储单元形式的可读介质,例如随机存取存储单元(RAM)9201和/或高速缓存存储单元9202,还可以进一步包括只读存储单元(ROM)9203。
存储单元920还可以包括具有一组(至少一个)程序模块9205的程序/实用工具9204,这样的程序模块9205包括但不限于:操作系统、一个或者多个应用程序、其它程序模块以及程序数据,这些示例中的每一个或某种组合中可能包括网络环境的实现。
总线930可以为表示几类总线结构中的一种或多种,包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。
电子设备900也可以与一个或多个外部设备1000(例如键盘、指向设备、蓝牙设备等)通信,还可与一个或者多个使得用户能与该电子设备900交互的设备通信,和/或与使得该电子设备900能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口950进行。并且,电子设备900还可以通过网络适配器960与一个或者多个网络(例如局域网(LAN),广域网(WAN)和/或公共网络,例如因特网)通信。如图所示,网络适配器960通过总线930与电子设备900的其它模块通信。应当明白,尽管图中未示出,可以结合电子设备900使用其它硬件和/或软件模块,包括但不限于:微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。
通过以上的实施方式的描述,本领域的技术人员易于理解,这里描述的示例实施方式可以通过软件实现,也可以通过软件结合必要的硬件的方式来实现。因此,根据本公开实施方式的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM,U盘,移动硬盘等)中或网络上,包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。
在本公开的示例性实施例中,还提供了一种计算机可读存储介质,其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中,本发明的各个方面还可以实现为一种程序产品的形式,其包括程序代码,当所述程序产品在终端设备上运行时,所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。
所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。
计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号,其中承载了可读程序代码。这种传播的数据信号可以采用多种形式,包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质,该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
可读介质上包含的程序代码可以用任何适当的介质传输,包括但不限于无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中,远程计算设备可以通过任意种类的网络,包括局域网(LAN)或广域网(WAN),连接到用户计算设备,或者,可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。
此外,上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明,而不是限制目的。易于理解,上述附图所示的处理并不表明或限制这些处理的时间顺序。另外,也易于理解,这些处理可以是例如在多个模块中同步或异步执行的。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本公开的其它实施方案。本申请旨在涵盖本公开的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本公开的真正范围和构思由权利要求指出。
Claims (10)
1.一种安全边缘保护代理的消息发送方法,其特征在于,应用于拜访网络的vSEPP,包括:
接收拜访网络的vNF发送的请求消息,所述请求消息为向归属网络漫游的漫游消息;
根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果;
若所述查询结果为查询成功,则将所述请求消息发送至所述归属网络的hSEPP;
其中,所述时限缓存表中存储了在当前时刻前的预设时长内所述vNF成功发送至所述归属网络的hSEPP的请求消息。
2.如权利要求1所述的方法,其特征在于,还包括:
若所述查询结果为查找失败,则生成所述请求消息的令牌信息;
根据所述请求消息、所述请求消息的时间戳信息和所述请求消息的令牌信息生成请求确认消息,并发送至所述vNF;
根据所述vNF的信息、所述请求消息的时间戳信息和所述请求消息的令牌信息生成所述vNF的实体查询消息,并发送至所述vNRF;
接收所述vNF根据所述请求确认消息返回的确认结果消息,和所述vNRF根据所述实体查询消息返回的查询结果消息;
若根据所述确认结果消息和所述查询结果消息对所述请求消息验证成功时,则将所述请求消息发送至归属网络的hSEPP。
3.如权利要求2所述的方法,其特征在于,若根据所述确认结果消息和所述查询结果消息对所述请求消息验证成功时,所述方法还包括:
将所述vNF的信息、所述请求消息的消息类型、所述请求消息的令牌信息和所述请求消息的时间戳信息存储至所述时限缓存表中。
4.如权利要求2所述的方法,其特征在于,根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果包括:
根据所述请求消息中的源地址、目的地址、标识符进行验证,获得初始验证结果;
若所述初始验证结果为通过,则根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果。
5.如权利要求2所述的方法,其特征在于,所述查询结果消息是所述vNRF根据所述vNF的信息和所述请求消息的时间戳信息对所述vNF进行实体信息真实性验证后,根据实体信息真实性验证结果和所述请求消息的令牌信息生成的。
6.如权利要求2所述的方法,其特征在于,所述确认结果消息是所述vNF在根据所述请求消息和所述请求消息的时间戳信息对所述请求消息进行发送记录查询后,根据发送记录查询结果和所述请求消息的令牌信息生成的。
7.如权利要求3所述的方法,其特征在于,根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果包括:
根据所述请求消息中的消息类型和所述vNF的信息在所述时限缓存表进行匹配,获得匹配成功的历史消息、所述历史消息的时间戳信息和所述历史消息的令牌信息;
根据所述历史消息的令牌信息和所述vSEPP的已发送消息进行令牌验证;
根据所述历史消息的时间戳信息对所述历史消息进行时效验证;
若令牌验证和时效验证的结果均为通过,则确定所述请求消息的查询结果为查询成功。
8.一种安全边缘保护代理的消息发送装置,其特征在于,应用于拜访网络的vSEPP,所述装置包括:
消息接收模块,用于接收拜访网络的vNF发送的请求消息,所述请求消息为向归属网络漫游的漫游消息;
消息查询模块,用于根据所述请求消息中的消息类型和所述vNF的信息在本地的时限缓存表中查询,获得查询结果;
消息发送模块,用于若所述查询结果为查询成功,则将所述请求消息发送至所述归属网络的hSEPP;
其中,所述时限缓存表中存储了在当前时刻前的预设时长内所述vNF成功发送至所述归属网络的hSEPP的请求消息。
9.一种电子设备,其特征在于,包括:
至少一个处理器;
存储装置,用于存储至少一个程序;
当所述至少一个程序被所述至少一个处理器执行,使得所述至少一个处理器实现如权利要求1-7中任一项所述的方法。
10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求1-7中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111652499.0A CN114339752A (zh) | 2021-12-30 | 2021-12-30 | 安全边缘保护代理的消息发送方法、装置及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111652499.0A CN114339752A (zh) | 2021-12-30 | 2021-12-30 | 安全边缘保护代理的消息发送方法、装置及相关设备 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114339752A true CN114339752A (zh) | 2022-04-12 |
Family
ID=81019197
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111652499.0A Pending CN114339752A (zh) | 2021-12-30 | 2021-12-30 | 安全边缘保护代理的消息发送方法、装置及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114339752A (zh) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110366159A (zh) * | 2018-04-09 | 2019-10-22 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
US20200036754A1 (en) * | 2018-07-30 | 2020-01-30 | Cisco Technology, Inc. | Sepp registration, discovery and inter-plmn connectivity policies |
CN112003912A (zh) * | 2020-08-13 | 2020-11-27 | 广州爱浦路网络技术有限公司 | 5g核心网中sepp认证nf的方法 |
CN112584371A (zh) * | 2019-09-30 | 2021-03-30 | 华为技术有限公司 | 漫游信令消息发送的方法、相关设备和通信系统 |
CN113748699A (zh) * | 2019-04-27 | 2021-12-03 | 诺基亚技术有限公司 | 用于通信系统中的间接通信的服务授权 |
-
2021
- 2021-12-30 CN CN202111652499.0A patent/CN114339752A/zh active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110366159A (zh) * | 2018-04-09 | 2019-10-22 | 华为技术有限公司 | 一种获取安全策略的方法及设备 |
US20200036754A1 (en) * | 2018-07-30 | 2020-01-30 | Cisco Technology, Inc. | Sepp registration, discovery and inter-plmn connectivity policies |
CN113748699A (zh) * | 2019-04-27 | 2021-12-03 | 诺基亚技术有限公司 | 用于通信系统中的间接通信的服务授权 |
CN112584371A (zh) * | 2019-09-30 | 2021-03-30 | 华为技术有限公司 | 漫游信令消息发送的方法、相关设备和通信系统 |
CN112003912A (zh) * | 2020-08-13 | 2020-11-27 | 广州爱浦路网络技术有限公司 | 5g核心网中sepp认证nf的方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109194673B (zh) | 基于用户授权信息的认证方法、系统、设备及存储介质 | |
CN108462758B (zh) | 银企直联通信方法、装置、设备及计算机可读存储介质 | |
KR20180091708A (ko) | 패킷 기반 데이터 통신의 디바이스 식별자 의존적 오퍼레이션 프로세싱 | |
CN109951546B (zh) | 基于智能合约的事务请求处理方法、装置、设备和介质 | |
JP2022502692A (ja) | 音声処理方法、装置、デバイス、プログラム及びコンピュータ記憶媒体 | |
EP2410771B1 (en) | Method and system for implementing location service | |
CN103841111A (zh) | 一种防止数据重复提交的方法和服务器 | |
CN109800557B (zh) | 基于区块链的集成处理方法、装置、服务器、设备及介质 | |
CN112838951B (zh) | 一种终端设备的运维方法、装置、系统及存储介质 | |
JP7052168B2 (ja) | 音声処理方法、装置、デバイス、プログラム及びコンピュータ記憶媒体 | |
CN112953962A (zh) | 域名访问方法及装置 | |
CN114866258A (zh) | 一种访问关系的建立方法、装置、电子设备及存储介质 | |
CN113239308B (zh) | 一种页面访问方法、装置、设备及存储介质 | |
CN109088872B (zh) | 带使用期限的云平台的使用方法、装置、电子设备及介质 | |
CN110177096B (zh) | 客户端认证方法、装置、介质和计算设备 | |
CN103559430A (zh) | 基于安卓系统的应用账号管理方法和装置 | |
US20090006563A1 (en) | Dynamic peer network extension bridge | |
CN114339752A (zh) | 安全边缘保护代理的消息发送方法、装置及相关设备 | |
CN114867003A (zh) | 跨网请求方法、系统、装置、设备及存储介质 | |
CN113014664B (zh) | 网关适配方法、装置、电子设备和存储介质 | |
CN113852474A (zh) | 任务处理方法及网关、计算机可读存储介质、电子设备 | |
CN108449367B (zh) | 管理用户登录安全性的方法、装置、电子设备及可读介质 | |
CN112583816A (zh) | 登录验证方法、装置、电子设备和存储介质 | |
CN113596053B (zh) | 通信业务处理方法、系统、装置、介质与设备 | |
CN115860745B (zh) | 免密支付签约方法、网关设备和存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |