CN115412925B - 网络安全防护方法、装置及安全防护功能网元 - Google Patents

网络安全防护方法、装置及安全防护功能网元 Download PDF

Info

Publication number
CN115412925B
CN115412925B CN202211072153.8A CN202211072153A CN115412925B CN 115412925 B CN115412925 B CN 115412925B CN 202211072153 A CN202211072153 A CN 202211072153A CN 115412925 B CN115412925 B CN 115412925B
Authority
CN
China
Prior art keywords
security protection
data packet
network
sending
receiving end
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202211072153.8A
Other languages
English (en)
Other versions
CN115412925A (zh
Inventor
祝有霖
苏国章
桂青海
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guangzhou Aipu Road Network Technology Co Ltd
Original Assignee
Guangzhou Aipu Road Network Technology Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guangzhou Aipu Road Network Technology Co Ltd filed Critical Guangzhou Aipu Road Network Technology Co Ltd
Priority to CN202211072153.8A priority Critical patent/CN115412925B/zh
Publication of CN115412925A publication Critical patent/CN115412925A/zh
Application granted granted Critical
Publication of CN115412925B publication Critical patent/CN115412925B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/61Time-dependent

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本申请提供一种网络安全防护方法、装置及安全防护功能网元,涉及网络安全防护技术领域。该方法包括:接收会话管理功能SMF网元发送的网络安全需求方发起的安全防护策略,其中,安全防护策略至少包括:至少一个设备标识和网络通信条件;接收发送端设备发送的数据包,其中,数据包中至少包括:数据传输参数;根据至少一个设备标识,判断安全防护策略是否对发送端设备生效;若安全防护策略对发送端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端服务器。本申请可以实现对物联网设备的网络安全防护,保障网络安全。

Description

网络安全防护方法、装置及安全防护功能网元
技术领域
本发明涉及网络安全防护技术领域,具体而言,涉及一种网络安全防护方法、装置及安全防护功能网元。
背景技术
随着第五代移动通信技术(5th generation mobile networks,5G)的发展,万物互联的场景得以实现,在万物互联的场景中,物与物、物与人之间通过5G核心网连接,实现对用户设备的智能化感知、识别及管理。
在现有的物联网系统中,物联网设备通常是自动运行的,由于设备联网,其运行过程不受人为控制,使得物联网设备的安全性不能得到良好的保证,当物理网设备受到非法攻击和破解时,物理网设备可能作为载体传播病毒或者造成网络安全问题。
发明内容
本发明的目的在于,针对上述现有技术中的不足,提供一种网络安全防护方法、装置及安全防护功能网元,以便对物联网设备实现网络安全防护,保障网络安全。
为实现上述目的,本申请实施例采用的技术方案如下:
第一方面,本申请实施例提供了一种网络安全防护方法,所述方法包括:
接收会话管理功能SMF网元发送的安全防护策略,其中,所述安全防护策略至少包括:至少一个设备标识和网络通信条件;
接收发送端设备发送的数据包,其中,所述数据包中至少包括:数据传输参数;
根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效;
若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器。
可选的,所述根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效,包括:
若所述至少一个设备标识中包含所述发送端设备的标识,确定所述安全防护策略对所述发送端设备生效。
可选的,若所述安全防护策略还包括:所述安全防护策略的生效时间范围;所述根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效,包括:
在所述生效时间范围内,根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效。
可选的,所述网络通信条件包括:至少一个网络通信地址,所述数据传输参数包括:所述接收端服务器的地址;所述若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器,包括:
若所述安全防护策略对所述发送端设备生效,且所述至少一个网络通信地址中包含所述接收端服务器的地址,将所述数据包发送给所述接收端服务器。
可选的,所述网络通信条件还包括:传输层协议类型,所述数据传输参数包括:数据传输协议类型;所述若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器,包括:
若所述安全防护策略对所述发送端设备生效,且所述传输层协议类型与所述数据传输协议类型相匹配,将所述数据包发送给所述接收端服务器。
可选的,所述网络通信条件还包括:传输层协议端口,所述数据传输参数包括:数据包传输端口;所述若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器,包括:
若所述安全防护策略对所述发送端设备生效,且所述传输层协议端口与所述数据包传输端口相匹配,将所述数据包发送给所述接收端服务器。
可选的,所述方法还包括:
若所述至少一个设备标识中不包含所述发送端设备的标识,确定所述发送端设备为安全设备,直接将所述数据包发送给所述接收端服务器。
第二方面,本申请实施例还提供另一种网络安全防护方法,所述方法包括:
接收会话管理功能SMF网元发送的安全防护策略,其中,所述安全防护策略至少包括:至少一个设备标识和网络通信条件;
接收发送端服务器发送的数据包,其中,所述数据包中至少包括:数据传输参数;
根据所述数据传输参数中的接收端设备的地址,确定所述接收端设备的标识;
根据所述至少一个设备标识,判断所述安全防护策略是否对所述接收端设备生效;
若所述安全防护策略对所述接收端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端设备。
第三方面,本申请实施例还提供一种网络安全防护装置,所述装置包括:
第一策略接收模块,用于接收会话管理功能SMF网元发送的安全防护策略,其中,所述安全防护策略至少包括:至少一个设备标识和网络通信条件;
第一数据包接收模块,用于接收发送端设备发送的数据包,其中,所述数据包中至少包括:数据传输参数;
第一判断模块,用于根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效;
第一数据包发送模块,用于若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器。
可选的,所述判断模块,具体用于若所述至少一个设备标识中包含所述发送端设备的标识,确定所述安全防护策略对所述发送端设备生效。
可选的,若所述安全防护策略还包括:所述安全防护策略的生效时间范围;所述判断模块,具体用于在所述生效时间范围内,根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效。
可选的,所述网络通信条件包括:至少一个网络通信地址,所述数据传输参数包括:所述接收端服务器的地址;所述数据包发送模块,具体用于若所述安全防护策略对所述发送端设备生效,且所述至少一个网络通信地址中包含所述接收端服务器的地址,将所述数据包发送给所述接收端服务器。
可选的,所述网络通信条件还包括:传输层协议类型,所述数据传输参数包括:数据传输协议类型;所述数据包发送模块,具体用于若所述安全防护策略对所述发送端设备生效,且所述传输层协议类型与所述数据传输协议类型相匹配,将所述数据包发送给所述接收端服务器。
可选的,所述网络通信条件还包括:传输层协议端口,所述数据传输参数包括:数据包传输端口;所述数据包发送模块,具体用于若所述安全防护策略对所述发送端设备生效,且所述传输层协议端口与所述数据包传输端口相匹配,将所述数据包发送给所述接收端服务器。
可选的,所述数据包发送模块,还用于若所述至少一个设备标识中不包含所述发送端设备的标识,确定所述发送端设备为安全设备,直接将所述数据包发送给所述接收端服务器。
第四方面,本申请实施例还提供另一种网络安全防护装置,所述装置包括:
第二策略接收模块,用于接收会话管理功能SMF网元发送的安全防护策略,其中,所述安全防护策略至少包括:至少一个设备标识和网络通信条件;
第二数据包接收模块,用于接收发送端服务器发送的数据包,其中,所述数据包中至少包括:数据传输参数;
设备标识确定模块,用于根据所述数据传输参数中的接收端设备的地址,确定所述接收端设备的标识;
第二判断模块,用于根据所述至少一个设备标识,判断所述安全防护策略是否对所述接收端设备生效;
第二数据包发送模块,用于若所述安全防护策略对所述接收端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端设备。
第五方面,本申请实施例还提供一种安全防护功能网元,包括:收发器、处理器和存储介质;
所述收发器用于接收和发送数据;
所述存储介质存储有所述处理器可执行的程序指令;
所述处理器用于调用存储于所述存储介质中的所述程序指令,以执行如第一方面任一项所述的网络安全防护方法的步骤,或者执行如第二方面任一项所述的网络安全防护方法的步骤。
第六方面,本申请实施例还提供一种计算机可读存储介质,所述存储介质上存储有计算机程序,所述计算机程序被处理器运行时执行如第一方面任一项所述的网络安全防护方法的步骤,或者执行如第二方面任一项所述的网络安全防护方法的步骤。
本申请的有益效果是:
本申请提供一种网络安全防护方法、装置及安全防护功能网元,通过设置安全防护策略,对发送数据包的发送端设备进行判断,以在安全防护策略对发送端设备生效,且数据包的数据传输参数满足安全防护策略中的网络通信条件时,将数据包发送给接收端服务器,不需要为每个物联网设备单独设置网络安全防护功能,通过安全防护功能网元中的安全防护策略即可实现对物联网设备的安全防护,且安全防护策略易于维护,定制能力强,保障物联网系统的网络安全,可以有效推动物联网系统的发展。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本发明的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的物联网系统的网络架构图;
图2为本申请实施例提供的一种网络安全防护方法的流程示意图;
图3为本申请实施例提供的一种会话建立流程的交互示意图;
图4为本申请实施例提供的另一种网络安全防护方法的流程示意图;
图5为本申请实施例提供的一种网络安全防护装置的结构示意图;
图6为本申请实施例提供的另一种网络安全防护装置的结构示意图;
图7为本申请实施例的提供一种安全防护功能网元的结构示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。
因此,以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围,而是仅仅表示本申请的选定实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
此外,本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
需要说明的是,在不冲突的情况下,本申请的实施例中的特征可以相互结合。
物联网是指通过各种信息传感器、射频识别技术、全球定位系统、红外感应器、激光扫描器等各种装置与技术,实时采集任何需要监控、连接、互动的物体或过程,采集其声、光、热、电、力学、化学、生物、位置等各种需要的信息,通过各类可能的网络接入,实现物与物、物与人的泛在连接,实现对物品和过程的智能化感知、识别和管理。物联网是一个基于互联网、传统电信网等的信息承载体,它让所有能够被独立寻址的普通物理对象形成互联互通的网络。
在现有物联网系统中,物联网设备通常是自动运行的,在大部分时间内按照既定的设置运行,其自动收集和生成数据等。由于设备联网,自动运行且不受人的实时控制,这使得物联网设备的安全性不能得到良好保障,物联网设备有可能被人为通过网络实施攻击和破解,导致这些物联网设备被不当利用。
基于此,本申请拟提供一种网络安全防护方法、装置及安全防护功能网元,通过在安全防护功能网元中设置安全防护策略,对通过安全防护功能网元发送数据包的发送端设备进行判断,以在数据包的数据传输参数满足安全防护策略中的网络通信条件时,将数据包发送给接收端服务器,不需要为每个物联网设备单独设置网络安全防护功能,通过安全防护功能网元中的安全防护策略即可实现对物联网设备的安全防护,且安全防护策略易于维护,定制能力强,保障物联网系统的网络安全,可以有效推动物联网系统的发展。
在对本申请所提供的网络安全防护方法、装置及安全防护功能网元进行介绍之前,为了便于理解,先对本申请所涉及的物联网系统进行介绍。
请参考图1,为本申请实施例提供的物联网系统的网络架构图,如图1 所示,该物联网系统中包括:
1、终端设备(User Equipment,UE):也可以称用户设备、终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。本申请中的发送端设备或者接收端设备特指物联网设备。
2、下一代无线接入网(Next Generation Radio Access Network, NG-RAN),为5G接入网,通过地面无线接入设备提供的无线接入网,为特定区域的5G终端设备提供入网服务,使得5G终端设备接入至5G核心网(5G Core,5GC)。
3、接入与移动管理功能(access and mobility management function,AMF) 网元:主要用于移动性管理和接入管理等,可以用于实现移动性管理实体 (mobilitymanagement entity,MME)功能中除会话管理之外的其它功能,例如,合法监听、或接入授权(或鉴权)等功能。
4、会话管理功能(Session Management Function,SMF)网元:主要用于 NAS(Non-Access Stratum,非接入层)消息的SM(会话管理)消息终结点,会话(session)的建立、修改、释放;用户设备IP的分配管理,为一个会话选择和控制UPF,计费数据是收集以及支持计费接口,下行数据指示等等。
5、通用数据管理(Unified Data Management,UDM)网元,UDM中包括了UE的注册信息,UDM从统一数据仓库(Unified Data Repository,UDR) 中查询用户签约信息,UDM和UDR分别为5G通信网络中的前端和后端。当UDM上的UE相关的签约信息发生改变时,可以通知到SMF发起PDU(Protocol Data Unit,协议数据单元)会话修改,SMF也可以将UE连接至这个SMF上的信息注册到UDM上。通过UE的标识可以在UDM查询到UE当前在哪个SMF上。
6、用户面功能(User Plane Function,UPF)网元:即,数据面网关。可用于分组路由和转发、或用户面数据的服务质量(quality of service,QoS)处理等。用户数据可通过该网元接入到数据网络(data network,DN)。
7、策略控制功能(policy control function,PCF)网元:用于指导网络行为的统一策略框架,为控制平面功能网元(例如AMF,SMF网元等)提供策略规则信息等。
8、网络开放功能(Network Exposure Function,NEF)网元:将5G核心网(5GC)的部分功能对外开放,以供使用者调用。本实施例中,网络安全防护需求方作为网络安全防护策略的生成者,按照自身所属的物联网系统的具体情况,制定安全防护策略,并通过NEF网元将安全防护策略存储在 UDM网元或者PCF网元中。
9、数据网络(Data Network,DN):用于接收UE通过UPF网元传输的用户数据,本实施例中的数据网络为物联网服务器,物联网服务器在本实施例中作为接收端服务器或者发送端服务器。
基于上述物联网系统,本申请实施例提供一种网络安全防护方法,本实施例中,物联网设备作为发送端设备,物联网服务器作为接收端服务器。请参考图2,为本申请实施例提供的一种网络安全防护方法的流程示意图,如图2所示,该方法包括:
S11:接收SMF网元发送的安全防护策略,其中,安全防护策略至少包括:至少一个设备标识和网络通信条件。
本实施例中,如图1所示,网络安全防护需求方通过NEF网元将安全防护策略发送至UDM网元或者PCF网元,SMF网元在向UDM网元和PCF 网元请求会话数据的过程中,从UDM网元或者PCF网元中获取安全防护策略,并将安全防护策略发送给本实施例中的安全防护功能网元中。
本实施例通过网络安全防护需求方在安全防护功能网元中设置安全防护策略,无需为每个发送端设备单独制定安全防护策略,使得安全防护策略易于维护,定制能力强,可以有效保障物联网系统的网络安全,可以有效推动物联网系统的发展。
安全防护策略中的至少一个设备标识用于限制安全防护策略所针对的发送端设备,设备标识可以为核心网用户的唯一永久身份标识(Subscription PermanentIdentifier,SUPI),其中,当发送端设备接收5G核心网时,即成为核心网用户,拥有唯一永久身份标识,安全防护策略中的至少一个设备标识可以为预设范围的唯一永久身份标识。
网络通信条件用于限制发送端设备发送的数据包所需要满足的安全通信条件,当数据包满足该网络通信条件时,即可向接收端服务器发送数据包。
S12:接收发送端设备发送的数据包,其中,数据包中至少包括:数据传输参数。
本实施例中,安全防护功能网元通过5G接入网接收发送端设备发送的数据包,该数据包为发送端设备需要发送给接收端服务器的业务数据,该业务数据可以为IPv4数据或者IPv6数据。
S13:根据至少一个设备标识,判断安全防护策略是否对发送端设备生效。
本实施例中,根据发送端设备的设备标识,判断安全防护策略中的至少一个设备标识中是否包含发送端设备的标识,以判断安全防护策略是否对发送端设备生效。
在一种可能的实现方式中,若至少一个设备标识中包含发送端设备的标识,确定安全防护策略对发送端设备生效。
本实施例中,当至少一个设备标识中包含发送端设备的标识时,表明网络安全需求方认为该发送端设备存在网络安全隐患,需要对该发送端设备进行安全防护,即安全防护策略需要对该发送端设备生效。
在另一种可能的实现方式中,若至少一个设备标识中不包含发送端设备的标识,确定发送端设备为安全设备,直接将数据包发送给接收端服务器。
本实施例中,当至少一个设备标识中不包含发送端设备的标识时,表明网络安全需求方认为该发送端设备不存在网络安全隐患,该发送端设备为安全设备,不需要对该发送端设备进行安全防护,可以直接将该数据包发送给接收端服务器。
S14:若安全防护策略对发送端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端服务器。
本实施例中,在安全防护策略对发送端设备生效的情况下,判断数据包中的数据传输参数是否满足安全防护策略中的网络通信条件,并在数据传输参数满足网络通信条件的情况下,确定数据包中的数据安全,将数据包发送给接收端服务器。
在一些实施例中,网络安全需求方可以设置一发送端设备白名单,白名单中包含多个发送端设备的标识,白名单中的发送端设备为安全设备,网络安全需求方将该发送端设备白名单通过NEF网元发送给UDM网元或 PCF网元,使得SMF网元通过UDM网元或PCF网元将该白名单发送给本实施例中的安全防护功能网元,由安全防护功能网元在接收到数据包时,判断该发送端设备是否在该白名单中,若在,则直接将数据包发送给接收端服务器,否则,判断数据包是否满足网络通信条件,并在数据包中的数据参数参数满足网络通信条件时,将数据包发送给接收端服务器。
在一种可能的实现方式中,直接为UPF网元定义网络安全防护功能,使UPF网元作为安全防护功能网元,由UPF网元基于该网络安全防护功能,执行上述S11-S14的步骤,实现对发送端设备的网络安全防护。
在另一种可能的实现方式中,根据定义的网络安全防护功能,在5G接入网和UPF网元直接新增一安全防护功能网元,由该安全防护功能网元基于该网络安全防护功能,执行上述S11-S14的步骤,在确定数据包的数据传输参数满足网络通信条件时,通过UPF网元向接收端服务器发送数据包,实现对发送端设备的网络安全防护。
在一种可能的实现方式中,在发送端设备与5G核心网建立PDU会话的过程中,SMF网元将安全防护策略发送给安全防护功能网元。请参考图 3,为本申请实施例提供的一种会话建立流程的交互示意图,如图3所示,该会话建立的流程包括:
S21:终端设备在5G核心网中注册完成后,发送向AMF网元发送会话建立请求。
S22:AMF网元将会话建立请求发送给SMF网元。
S23:SMF网元向UDM网元请求静态会话数据和/或安全防护策略,其中,静态会话数据包括:终端设备所建立的会话权限、是否为终端设备分配固定的IP地址。
S24:SMF网元向PCF网元请求动态会话数据和/或安全防护策略,其中,动态会话数据包括:终端设备使用网络的最大传输速率、终端设备使用网络的带宽保证速率、终端设备的流量上报规则等。
需要说明的是,在SMF网元向UDM网元请求静态会话数据,以及向 PCF网元请求动态会话数据时,若UDM网元或PCF网元其存储有终端设备的安全防护策略,则将安全防护策略一起发送至SMF网元。
S25:SMF网元向UPF网元发送用户面隧道建立请求,该用户面隧道建立请求中包含有:静态会话数据、动态会话数据和安全防护策略。
S26:UPF网元应用静态会话数据和动态会话数据作为网络控制参数建立用户面隧道。
S27:UPF网元向SMF网元发送用户面隧道建立成功的消息。
S28:SMF网元向终端设备发送会话建立成功的消息。
上述实施例提供的网络安全防护方法,通过在5G核心网的安全防护功能网元中设置安全防护策略,对通过安全防护功能网元发送数据包的发送端设备进行判断,以在安全防护策略对发送端设备生效,且数据包的数据传输参数满足安全防护策略中的网络通信条件时,将数据包发送给接收端服务器,不需要为每个物联网设备单独设置网络安全防护功能,通过安全防护功能网元中的安全防护策略即可实现对物联网设备的安全防护,且安全防护策略易于维护,定制能力强,保障物联网系统的网络安全,可以有效推动物联网系统的发展。
在一种可能的实现方式中,若安全防护策略中还包括:安全防护策略的生效时间范围,上述S13中根据至少一个设备标识,判断安全防护策略是否对发送端设备生效的过程,可以包括:
在生效时间范围内,根据至少一个设备标识,判断安全防护策略是否对发送端设备生效。
本实施例中,安全防护策略的生效时间范围为可选的设置项,若在安全防护策略中未设置生效时间范围,则安全防护策略为永久有效,需要在所有的时间,内根据至少一个设备标识,判断安全防护策略是否对发送端设备生效。
若在安全防护策略中设置有生效时间范围,则安全防护策略仅在生效时间范围内有效,则该生效时间范围内,根据至少一个设备标识,判断安全防护策略是否对发送端设备生效。若在生效时间范围外接收到发送端设备发送的数据包,确定该数据包为非法数据包,直接将数据包丢弃。
上述实施例提供的网络安全防护方法,通过设置安全防护策略的生效时间范围,可以灵活地决定安全防护策略何时有效何时无效,实现对设备灵活地进行安全防护。
在一种可能的实现方式中,网络通信条件包括:至少一个网络通信地址,数据传输参数包括:接收端服务器的地址;上述S14中若安全防护策略对发送端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端服务器的过程,可以包括:
若安全防护策略对发送端设备生效,且至少一个网络通信地址中包含接收端服务器的地址,将数据包发送给接收端服务器。
本实施例中,发送端设备在发送数据包时,会在数据包中封装接收端服务器的地址,以便UPF网元在转发数据包时可以通过数据包中封装的接收端服务器的地址,将数据包发送给接收端服务器。
在一些实施例中,安全防护策略的网络通信条件可以包括:至少一个网络通信地址,至少一个网络通信地址可以为IPv4类型的IP地址或者IPv6 类型的IP地址,至少一个网络通信地址用于限制发送端设备可以通信的接收端服务器的地址。
安全防护功能网元在接收到发送端设备发送的数据包后,根据数据包中携带的接收端服务器的地址,判断安全防护策略中的至少一个网络通信地址中是否包含接收端服务器的地址,若至少一个网络通信地址中包含接收端服务器的地址,确定发送端设备待通信的接收端服务器为安全设备,通过UPF网元将数据包发送给接收端服务器。若至少一个网络通信地址中不包含接收端服务器的地址,则确定接收端服务器的地址为非法地址,直接将数据包丢弃不发送。
上述实施例提供的网络安全防护方法,通过在安全防护策略中设置网络通信地址,以在至少一个网络通信地址中包含接收端服务器的地址的情况下,向接收端服务器发送数据包,保证与发送端设备通信的接收端服务器为安全设备,避免发送端设备被非法入侵后与非法的接收端服务器通信造成发送端设备的数据丢失、信息泄露等安全问题,提升发送端设备的网络安全,保障物联网系统的网络安全,可以有效推动物联网系统的发展。
在一种可能的实现方式中,网络通信条件还包括:传输层协议类型,数据传输参数包括:数据传输协议类型;上述S14中若安全防护策略对发送端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端服务器的过程,可以包括:
若安全防护策略对发送端设备生效,且传输层协议类型与数据传输协议类型相匹配,将数据包发送给接收端服务器。
本实施例中,发送端设备在发送数据包时,会在数据包中携带数据传输协议类型,数据传输协议类型定义了数据传输方式,以使得UPF网元基于该数据传输协议类型定义的数据传输方式向接收端服务器发送数据包。
在一些实施例中,安全防护策略的网络通信条件中还可以包括:传输层协议类型,传输层协议类型可以为TCP协议类型或者UDP协议类型,传输层写协议类型用于限制传输层进行数据传输的方式。
安全防护功能网元在接收到发送端设备发送的数据包后,根据数据包中携带的数据传输协议类型,判断安全防护策略中的传输层协议类型与数据传输协议类型是否一致,若传输层协议类型与数据传输协议类型一致,则确定数据包为安全数据包,通过UPF网元将数据包发送给接收端服务器。若传输层协议类型与数据传输协议类型不一致,则确定数据包为非法数据包,直接将数据包丢弃不发送。
上述实施例提供的网络安全防护方法,通过在安全防护策略中设置传输层协议类型,以在数据包的数据传输协议类型与传输层协议类型一致的情况下,向接收端服务器发送数据包,保证数据包为安全数据包,避免发送端设备被非法入侵后向接收端服务器发送非法数据包,提升发送端设备的网络安全,保障物联网系统的网络安全,可以有效推动物联网系统的发展。
在一种可能的实现方式中,网络通信条件还包括:传输层协议端口,数据传输参数包括:数据包传输端口;上述S14中若安全防护策略对发送端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端服务器的过程,可以包括:
若安全防护策略对发送端设备生效,且传输层协议端口与数据包传输端口相匹配,将数据包发送给接收端服务器。
本实施例中,发送端设备在发送数据包时,会在数据包中携带数据包传输端口,数据包传输端口用于限制UPF网元通过特定的传输端口向接收端服务器发送数据包。
在一些实施例中,安全防护策略的网络通信条件中还可以包括:传输层协议端口,传输层协议端口用于限制传输层进行数据传输时使用的传输端口。
安全防护功能网元在接收到发送端设备发送的数据包后,根据数据包中携带的数据包传输端口,判断安全防护策略中的传输层协议端口与数据包传输端口是否一致,若传输层协议端口与数据包传输端口一致,则确定数据包为安全数据包,通过UPF网元将数据包发送给接收端服务器。若传输层协议端口与数据包传输端口不一致,则确定数据包为非法数据包,直接将数据包丢弃不发送。
上述实施例提供的网络安全防护方法,通过在安全防护策略中设置传输层协议端口,以在数据包的数据包传输端口与传输层协议端口一致的情况下,向接收端服务器发送数据包,保证数据包为安全数据包,避免发送端设备被非法入侵后使用非法的传输端口向接收端服务器发送数据包造成发送端设备的数据丢失、信息泄露等安全问题,提升发送端设备的网络安全,保障物联网系统的网络安全,可以有效推动物联网系统的发展。
在一种可能的实现方式中,安全防护策略中的网络通信条件可以包括:至少一个网络通信地址、传输层协议类型和/或传输层协议端口,当任意一个网络通信条件未被设置时,表明该网络通信条件不做限制,安全防护策略的定制能力强,可以根据需要灵活设置,有效保障物联网系统的网络安全,可以有效推动物联网系统的发展。
基于上述物联网系统,本申请实施例提供另一种网络安全防护方法,本实施例中,物联网服务器作为发送端服务器,物联网设备作为接收端设备。请参考图4,为本申请实施例提供的另一种网络安全防护方法的流程示意图,如图4所示,该方法包括:
S31:接收SMF网元发送的安全防护策略,其中,安全防护策略至少包括:至少一个设备标识和网络通信条件。
S32:接收发送端服务器发送的数据包,其中,数据包中至少包括:数据传输参数。
S33:根据数据传输参数中的接收端设备的地址,确定接收端设备的标识。
S34:根据至少一个设备标识,判断安全防护策略是否对接收端设备生效。
S35:若安全防护策略对接收端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端设备。
本实施例中,安全防护功能网元接收发送端服务器发送的数据包,该数据包为发送端服务器需要发送给接收端设备的业务数据,该业务数据可以为IPv4数据或者IPv6设备;数据包的数据传输参数中携带有接收端设备的IP地址,根据前述S23可知,SMF网元从UDM网元获取的静态会话数据中包括为终端设备分配的IP地址,SMF网元向UPF网元发送静态会话数据后,UPF网元会记载终端设备的IP地址和终端设备的标识之间的对应关系,安全防护功能网元根据数据传输参数中携带的接收端设备的地址,从终端设备的IP地址和终端设备的标识之间的对应关系中确定接收端设备的标识,之后,安全防护功能网元根据接收端设备的标识,判断安全防护策略中的至少一个设备标识中是否包含接收端设备的标识,以判断安全防护策略是否对接收端设备生效。
在一种可能的实现方式中,若至少一个设备标识中包含接收端设备的标识,确定安全防护策略对接收端设备生效。
在安全防护策略对接收端设备生效的情况下,判断数据包中的数据传输参数是否满足安全防护策略中的网络通信条件,并在数据传输参数满足网络通信条件的情况下,确定数据包中的数据安全,将数据包通过用户面隧道发送给接收端设备。
在另一种可能的实现方式中,若至少一个设备标识中不包含接收端设备的标识,确定接收端设备为安全设备,直接将数据包通过用户面隧道发送给接收端设备。
在一种可能的实现方式中,网络通信条件包括:至少一个网络通信地址,数据传输参数包括:发送端服务器的地址;上述S35中若安全防护策略对接收端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端设备的过程,可以包括:
若安全防护策略对接收端设备生效,且至少一个网络通信地址中包含发送端服务器的地址,将数据包发送给接收端设备。
本实施例中,发送端服务器在发送数据包时,会在数据包中封装发送端服务器的地址,以便接收端设备在针对数据包做出应答时可以在应答数据包中封装发送端服务器的地址作为目的地址。安全防护功能网元在接收到发送端服务器发送的数据包后,根据数据包中携带的发送端服务器的地址,判断安全防护策略中的至少一个网络通信地址中是否包含发送端服务器的地址,若至少一个网络通信地址中包含发送端服务器的地址,确定发送端服务器为安全服务器,通过UPF网元将数据包发送给接收端设备。若至少一个网络通信地址中不包含发送端服务器的地址,则确定发送端服务器的地址为非法地址,直接将数据包丢弃不发送。
在另一种可能的实现方式中,网络通信条件还包括:传输层协议类型,数据传输参数包括:数据传输协议类型;上述S35中若安全防护策略对接收端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端设备的过程,可以包括:
若安全防护策略对接收端设备生效,且传输层协议类型与数据传输协议类型相匹配,将数据包发送给接收端设备。
本实施例中,发送端服务器在发送数据包时,会在数据包中携带数据传输协议类型,数据传输协议类型定义了数据传输方式,以基于该数据传输协议类型定义的数据传输方式向接收端设备发送数据包。安全防护功能网元在接收到发送端服务器发送的数据包后,根据数据包中携带的数据传输协议类型,判断安全防护策略中的传输层协议类型与数据传输协议类型是否一致,若传输层协议类型与数据传输协议类型一致,则确定数据包为安全数据包,通过用户面隧道将数据包发送给接收端设备。若传输层协议类型与数据传输协议类型不一致,则确定数据包为非法数据包,直接将数据包丢弃不发送。
在又一种可能的实现方式中,网络通信条件还包括:传输层协议端口,数据传输参数包括:数据包传输端口;上述S35中若安全防护策略对接收端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端设备的过程,可以包括:
若安全防护策略对接收端设备生效,且传输层协议端口与数据包传输端口相匹配,将数据包发送给接收端设备。
本实施例中,发送端服务器在发送数据包时,会在数据包中携带数据包传输端口,数据包传输端口用于限制通过特定的传输端口向接收端设备发送数据包。
安全防护功能网元在接收到发送端服务器发送的数据包后,根据数据包中携带的数据包传输端口,判断安全防护策略中的传输层协议端口与数据包传输端口是否一致,若传输层协议端口与数据包传输端口一致,则确定数据包为安全数据包,通过用户面隧道将数据包发送给接收端设备。若传输层协议端口与数据包传输端口不一致,则确定数据包为非法数据包,直接将数据包丢弃不发送。
上述实施例提供的网络安全防护方法,通过在5G核心网的安全防护功能网元中设置安全防护策略,对通过安全防护功能网元发送数据包的接收端设备进行判断,以在安全防护策略对接收端设备生效,且数据包的数据传输参数满足安全防护策略中的网络通信条件时,将数据包发送给接收端设备,避免发送端服务器向接收端设备发送不安全数据,不需要为每个物联网设备单独设置网络安全防护功能,通过安全防护功能网元中的安全防护策略即可实现对物联网设备的安全防护,且安全防护策略易于维护,定制能力强,保障物联网系统的网络安全,可以有效推动物联网系统的发展。
在上述实施例的基础上,本申请实施例还提供一种网络安全防护装置。请参考图5,为本申请实施例提供的一种网络安全防护装置的结构示意图,如图5所示,该装置包括:
第一策略接收模块11,用于接收会话管理功能SMF网元发送的安全防护策略,其中,安全防护策略至少包括:至少一个设备标识和网络通信条件;
第一数据包接收模块12,用于接收发送端设备发送的数据包,其中,数据包中至少包括:数据传输参数;
第一判断模块13,用于根据至少一个设备标识,判断安全防护策略是否对发送端设备生效;
第一数据包发送模块14,用于若安全防护策略对发送端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端服务器。
可选的,第一判断模块13,具体用于若至少一个设备标识中包含发送端设备的标识,确定安全防护策略对发送端设备生效。
可选的,若安全防护策略还包括:安全防护策略的生效时间范围;第一判断模块13,具体用于在生效时间范围内,根据至少一个设备标识,判断安全防护策略是否对发送端设备生效。
可选的,网络通信条件包括:至少一个网络通信地址,数据传输参数包括:接收端服务器的地址;第一数据包发送模块14,具体用于若安全防护策略对发送端设备生效,且至少一个网络通信地址中包含接收端服务器的地址,将数据包发送给接收端服务器。
可选的,网络通信条件还包括:传输层协议类型,数据传输参数包括:数据传输协议类型;第一数据包发送模块14,具体用于若安全防护策略对发送端设备生效,且传输层协议类型与数据传输协议类型相匹配,将数据包发送给接收端服务器。
可选的,网络通信条件还包括:传输层协议端口,数据传输参数包括:数据包传输端口;第一数据包发送模块14,具体用于若安全防护策略对发送端设备生效,且传输层协议端口与数据包传输端口相匹配,将数据包发送给接收端服务器。
可选的,第一数据包发送模块14,还用于若至少一个设备标识中不包含发送端设备的标识,确定发送端设备为安全设备,直接将数据包发送给接收端服务器。
在上述实施例的基础上,本申请实施例还提供另一种网络安全防护装置。请参考图6,为本申请实施例提供的另一种网络安全防护装置的结构示意图,如图6所示,该装置包括:
第二策略接收模块21,用于接收会话管理功能SMF网元发送的安全防护策略,其中,安全防护策略至少包括:至少一个设备标识和网络通信条件;
第二数据包接收模块22,用于接收发送端服务器发送的数据包,其中,数据包中至少包括:数据传输参数;
设备标识确定模块23,用于根据数据传输参数中的接收端设备的地址,确定接收端设备的标识;
第二判断模块24,用于根据至少一个设备标识,判断安全防护策略是否对接收端设备生效;
第二数据包发送模块25,用于若安全防护策略对接收端设备生效,且数据传输参数满足网络通信条件,将数据包发送给接收端设备。
上述装置用于执行前述实施例提供的方法,其实现原理和技术效果类似,在此不再赘述。
以上这些模块可以是被配置成实施以上方法的一个或多个集成电路,例如:一个或多个特定集成电路(Application Specific Integrated Circuit,简称ASIC),或,一个或多个微处理器,或,一个或者多个现场可编程门阵列 (Field Programmable GateArray,简称FPGA)等。再如,当以上某个模块通过处理元件调度程序代码的形式实现时,该处理元件可以是通用处理器,例如中央处理器(Central Processing Unit,简称CPU)或其它可以调用程序代码的处理器。再如,这些模块可以集成在一起,以片上系统(system-on-a-chip,简称SOC)的形式实现。
请参考图7,为本申请实施例的提供一种安全防护功能网元的结构示意图,如图7所示,该安全防护功能网元100包括:收发器101、处理器102、存储介质103和总线,收发器101用于接收和发送数据,存储介质存储有处理器102可执行的程序指令,当安全防护功能网元100运行时,处理器 102与存储介质103之间通过总线通信,处理器102执行程序指令,以执行上述任一实施例中的网络安全防护功能的步骤。具体实现方式和技术效果类似,这里不再赘述。
可选地,本发明还提供一种程序产品,例如计算机可读存储介质,包括程序,该程序在被处理器执行时用于执行上述方法实施例。
在本发明所提供的几个实施例中,应该理解到,所揭露的装置和方法,可以通过其它的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用硬件加软件功能单元的形式实现。
上述以软件功能单元的形式实现的集成的单元,可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)或处理器(英文:processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(英文:Read-Only Memory,简称:ROM)、随机存取存储器(英文:Random Access Memory,简称:RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
上仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种网络安全防护方法,其特征在于,应用于核心网中的安全防护功能网元,所述方法包括:
接收会话管理功能SMF网元发送的安全防护策略,其中,所述安全防护策略至少包括:至少一个设备标识和网络通信条件;
接收发送端设备发送的数据包,其中,所述数据包中至少包括:数据传输参数,所述发送端设备为物联网设备;
根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效;
若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器,所述接收端服务器为物联网服务器。
2.如权利要求1所述的方法,其特征在于,所述根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效,包括:
若所述至少一个设备标识中包含所述发送端设备的标识,确定所述安全防护策略对所述发送端设备生效;
若所述至少一个设备标识中不包含所述发送端设备的标识,确定所述发送端设备为安全设备,直接将所述数据包发送给所述接收端服务器。
3.如权利要求1所述的方法,其特征在于,若所述安全防护策略还包括:所述安全防护策略的生效时间范围;所述根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效,包括:
在所述生效时间范围内,根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效。
4.如权利要求1所述的方法,其特征在于,所述网络通信条件包括:至少一个网络通信地址,所述数据传输参数包括:所述接收端服务器的地址;所述若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器,包括:
若所述安全防护策略对所述发送端设备生效,且所述至少一个网络通信地址中包含所述接收端服务器的地址,将所述数据包发送给所述接收端服务器。
5.如权利要求1所述的方法,其特征在于,所述网络通信条件还包括:传输层协议类型,所述数据传输参数包括:数据传输协议类型;所述若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器,包括:
若所述安全防护策略对所述发送端设备生效,且所述传输层协议类型与所述数据传输协议类型相匹配,将所述数据包发送给所述接收端服务器。
6.如权利要求1所述的方法,其特征在于,所述网络通信条件还包括:传输层协议端口,所述数据传输参数包括:数据包传输端口;所述若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器,包括:
若所述安全防护策略对所述发送端设备生效,且所述传输层协议端口与所述数据包传输端口相匹配,将所述数据包发送给所述接收端服务器。
7.一种网络安全防护方法,其特征在于,应用于核心网中的安全防护功能网元,所述方法包括:
接收会话管理功能SMF网元发送的安全防护策略,其中,所述安全防护策略至少包括:至少一个设备标识和网络通信条件;
接收发送端服务器发送的数据包,其中,所述数据包中至少包括:数据传输参数,所述发送端服务器为物联网服务器;
根据所述数据传输参数中的接收端设备的地址,确定所述接收端设备的标识;
根据所述至少一个设备标识,判断所述安全防护策略是否对所述接收端设备生效;
若所述安全防护策略对所述接收端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端设备,所述接收端设备为物联网设备。
8.一种网络安全防护装置,其特征在于,应用于核心网中的安全防护功能网元,所述装置包括:
第一策略接收模块,用于接收会话管理功能SMF网元发送的安全防护策略,其中,所述安全防护策略至少包括:至少一个设备标识和网络通信条件;
第一数据包接收模块,用于接收发送端设备发送的数据包,其中,所述数据包中至少包括:数据传输参数,所述发送端设备为物联网设备;
第一判断模块,用于根据所述至少一个设备标识,判断所述安全防护策略是否对所述发送端设备生效;
第一数据包发送模块,用于若所述安全防护策略对所述发送端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端服务器,所述接收端服务器为物联网服务器。
9.一种网络安全防护装置,其特征在于,应用于核心网中的安全防护功能网元,所述装置包括:
第二策略接收模块,用于接收会话管理功能SMF网元发送的安全防护策略,其中,所述安全防护策略至少包括:至少一个设备标识和网络通信条件;
第二数据包接收模块,用于接收发送端服务器发送的数据包,其中,所述数据包中至少包括:数据传输参数,所述发送端服务器为物联网服务器;
设备标识确定模块,用于根据所述数据传输参数中的接收端设备的地址,确定所述接收端设备的标识;
第二判断模块,用于根据所述至少一个设备标识,判断所述安全防护策略是否对所述接收端设备生效;
第二数据包发送模块,用于若所述安全防护策略对所述接收端设备生效,且所述数据传输参数满足所述网络通信条件,将所述数据包发送给接收端设备,所述接收端设备为物联网设备。
10.一种安全防护功能网元,其特征在于,包括:收发器、处理器和存储介质;
所述收发器用于接收和发送数据;
所述存储介质存储有所述处理器可执行的程序指令;
所述处理器用于调用存储于所述存储介质中的所述程序指令,以执行如权利要求1-6任一项所述的网络安全防护方法的步骤,或者执行如权利要求7所述的网络安全防护方法的步骤。
CN202211072153.8A 2022-09-02 2022-09-02 网络安全防护方法、装置及安全防护功能网元 Active CN115412925B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211072153.8A CN115412925B (zh) 2022-09-02 2022-09-02 网络安全防护方法、装置及安全防护功能网元

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211072153.8A CN115412925B (zh) 2022-09-02 2022-09-02 网络安全防护方法、装置及安全防护功能网元

Publications (2)

Publication Number Publication Date
CN115412925A CN115412925A (zh) 2022-11-29
CN115412925B true CN115412925B (zh) 2023-06-06

Family

ID=84163541

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211072153.8A Active CN115412925B (zh) 2022-09-02 2022-09-02 网络安全防护方法、装置及安全防护功能网元

Country Status (1)

Country Link
CN (1) CN115412925B (zh)

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107395572B (zh) * 2017-06-29 2020-04-14 京信通信系统(中国)有限公司 一种数据处理方法及物联网网关
CN111600845A (zh) * 2020-04-21 2020-08-28 上海上实龙创智慧能源科技股份有限公司 一种物联网数据访问控制方法及系统
CN112616124B (zh) * 2020-12-03 2023-11-24 广东电力通信科技有限公司 一种基于5g网络切片的电力物联网安全管理方法及系统
CN114286339A (zh) * 2021-12-21 2022-04-05 中国电信股份有限公司 安全策略的确定方法及系统
CN114363029B (zh) * 2021-12-28 2024-04-12 中国电信股份有限公司 差异化网络接入认证方法、装置、设备及介质

Also Published As

Publication number Publication date
CN115412925A (zh) 2022-11-29

Similar Documents

Publication Publication Date Title
US11134543B2 (en) Interworking LPWAN end nodes in mobile operator network
CN109997334B (zh) 具有用于3gpp网络中物联网应用的间接连接的中继和收费的会话管理
US10334419B2 (en) Methods, systems, and computer readable media for optimizing machine type communication (MTC) device signaling
CN105828413B (zh) 一种d2d模式b发现的安全方法、终端和系统
CN102448064A (zh) 通过非3gpp接入网的接入
CN113395214B (zh) 工业设备联网方法、电子设备及存储介质
WO2020090764A1 (en) SECURITY PROCEDURE FOR UE's IN 5GLAN GROUP COMMUNICATION
US11895083B2 (en) Address obtaining method and an address obtaining apparatus
CN113873453B (zh) 通信方法、装置、系统及介质
US20200252998A1 (en) Devices and Methods for Transforming User Plane Signaling From a Remote Sidelink Control Server into Control Plane Signaling
CN113676904B (zh) 切片认证方法及装置
CN113595911B (zh) 数据转发方法、装置、电子设备及存储介质
KR20040092911A (ko) 사설 무선 고속 데이터 시스템의 데이터 호 처리 장치 및그 방법
CN113518475B (zh) 通信方法、装置及系统
CN106982427B (zh) 连接建立方法及装置
CN116210252A (zh) 接收用于边缘计算的用户同意的网络操作
CN115412925B (zh) 网络安全防护方法、装置及安全防护功能网元
WO2020232576A1 (zh) 单播连接建立方法、装置及存储介质
CN114126085B (zh) 工业现场总线通信方法、装置、电子设备及存储介质
US10492056B2 (en) Enhanced mobile subscriber privacy in telecommunications networks
CN115918113A (zh) 用户设备系连策略
CN114270881B (zh) 一种接入网络方法和装置
WO2021253859A1 (zh) 切片认证方法及系统
CN115665822A (zh) 流量异常处理方法、装置、用户面功能实体及存储介质
CN116471590A (zh) 终端接入方法、装置及鉴权服务功能网元

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant