CN115567942A - 5g网络内生的安全防护方法、装置、网元及存储介质 - Google Patents

5g网络内生的安全防护方法、装置、网元及存储介质 Download PDF

Info

Publication number
CN115567942A
CN115567942A CN202211201033.3A CN202211201033A CN115567942A CN 115567942 A CN115567942 A CN 115567942A CN 202211201033 A CN202211201033 A CN 202211201033A CN 115567942 A CN115567942 A CN 115567942A
Authority
CN
China
Prior art keywords
network element
network
data packet
target
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211201033.3A
Other languages
English (en)
Inventor
谢泽铖
徐雷
张曼君
陆勰
王姗姗
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China United Network Communications Group Co Ltd
Original Assignee
China United Network Communications Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China United Network Communications Group Co Ltd filed Critical China United Network Communications Group Co Ltd
Priority to CN202211201033.3A priority Critical patent/CN115567942A/zh
Publication of CN115567942A publication Critical patent/CN115567942A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供一种5G网络内生的安全防护方法、装置、网元及计算机可读存储介质,属于通信技术领域。所述方法包括:解析目标网元发送的目标用户的数据包,以得到所述数据包中的源IP地址和目标用户相关的ID;根据目标用户相关的ID获取预设的目标用户的用户信息表;判断所述用户信息表中目标网元的IP地址是否与所述数据包中的源IP地址一致;根据判断结果实施对所述数据包的安全防护措施。以至少解决相关技术中存在的无法有效识别仿冒网元或被劫持网元发送的攻击消息,导致5G网络面临安全风险的问题,适应于网络攻击防护、网元识别的场景。

Description

5G网络内生的安全防护方法、装置、网元及存储介质
技术领域
本发明涉及通信技术领域,尤其涉及一种5G网络内生的安全防护方法、装置、网元及计算机可读存储介质。
背景技术
5G网络面临着攻击者仿冒5G(5th Generation Mobile CommunicationTechnology,第五代移动通信技术)网元或者劫持5G网元,向5G网络发起攻击的风险,若这些被仿冒的网元或者被劫持的网元向用户或者其他网元发送攻击消息,将对5G网络造成严重后果。
目前,主要通过5G网元白名单的方式过滤攻击消息,这种方式对于识别仿冒5G核心网网元所发送的攻击消息有一定效果,但需人工配置时效性低,且无法识别被劫持的5G网元发送的攻击消息,从而导致5G网络面临安全风险。
发明内容
本发明所要解决的技术问题是针对现有技术的上述不足,提供一种5G网络内生的安全防护方法、装置、网元及计算机可读存储介质,以至少解决相关技术中存在的无法有效识别仿冒网元发送的攻击消息,以及无法识别被劫持网元发送的攻击消息,导致5G网络面临安全风险的问题。
第一方面,本发明提供一种5G网络内生的安全防护方法,包括:解析目标网元发送的目标用户的数据包,以得到所述数据包中的源IP地址和目标用户相关的ID(Identitydocument,身份标识);根据目标用户相关的ID获取预设的目标用户的用户信息表;判断所述用户信息表中目标网元的IP地址(Internet Protocol Address,互联网协议地址)是否与所述数据包中的源IP地址一致;根据判断结果实施对所述数据包的安全防护措施。
优选地,在所述解析目标网元发送的目标用户的数据包之前,所述方法还包括:向所接入的目标用户提供网络服务;为所服务的目标用户生成对应的用户信息表,以得到预设的目标用户的用户信息表,其中,所述用户信息表包括目标用户相关的ID、与自身交互且为目标用户提供网络服务的其他网元的IP地址。
优选地,目标用户相关的ID至少包括以下一种:分组数据单元PDU会话ID、用户永久标识符SUPI、用户隐藏标识符SUCI、全球唯一临时标识符5G-GUTI、接入和移动管理功能终端应用协议标识AMF UE NGAP ID、无线接入网终端应用协议标识RAN UE NGAP ID、全量会话端点标识F-SEID。
优选地,所述根据判断结果实施对所述数据包的安全防护措施,具体包括:响应于判断结果不一致,判定所述数据包为异常数据,实施对所述数据包的安全防护措施;响应于判断结果一致,判定所述数据包为正常数据,并根据网络服务流程相应处理所述数据包。
优选地,在所述实施对所述数据包的安全防护措施,具体包括:丢弃所述数据包,并向其他网元预警,以提示目标网元为风险网元,风险网元包括仿冒网元、被劫持网元。
优选地,在所述响应于判断结果一致,判定所述数据包为正常数据之后,所述方法还包括:接收目标网元在预设时长内发送的目标用户的数据包;判断所述目标用户的数据包的数量是否超过风险阈值;响应于所述目标用户的数据包的数量超过风险阈值,向其他网元预警,以提示目标网元为风险网元,且丢弃目标网元后续发送的数据包。
第二方面,本发明还提供一种5G网络内生的安全防护装置,包括:解析模块,用于解析目标网元发送的目标用户的数据包,以得到所述数据包中的源IP地址和目标用户相关的ID,获取模块,与解析模块连接,用于根据目标用户相关的ID获取预设的目标用户的用户信息表,判断模块,与解析模块和获取模块连接,用于判断所述用户信息表中目标网元的IP地址是否与所述数据包中的源IP地址一致,实施模块,与判断模块连接,用于根据判断结果实施对所述数据包的安全防护措施。
优选地,所述装置还包括服务模块和生成模块。服务模块,用于向所接入的目标用户提供网络服务,生成模块,与服务模块连接,用于为所服务的目标用户生成对应的用户信息表,以得到预设的目标用户的用户信息表,其中,所述用户信息表包括目标用户相关的ID、与自身交互且为目标用户提供网络服务的其他网元的IP地址。
优选地,实施模块包括安全防护单元。安全防护单元,用于丢弃数据包,并向其他网元预警,以提示目标网元为风险网元,风险网元包括仿冒网元、被劫持网元。
第三方面,本发明还提供一种网元,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如第一方面任一项所述的5G网络内生的安全防护方法。
第四方面,本发明还提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如第一方面中任一项所述的5G网络内生的安全防护方法。
本发明提供的5G网络内生的安全防护方法、装置、网元及计算机可读存储介质,通过在各网元内部为所其服务的用户生成预设的用户信息表,继而解析出目标网元发送的数据包中的源IP地址和用户相关的ID,根据用户相关的ID找到预设的用户信息表,再匹配数据包中的源IP地址是否与用户信息表中目标网元的IP地址一致,根据匹配结果确定数据包是否正常,并给出相应的安全防护措施,以避免被劫持网元或仿冒网元发送异常数据进行网络攻击,威胁5G网络安全。
附图说明
图1为实施例1的一种5G网络内生的安全防护方法的应用场景;
图2为本发明实施例1的一种5G网络内生的安全防护方法的流程示意图;
图3为5G基站gNB存储的用户信息表的示意图;
图4为接入和移动管理功能AMF存储的用户信息表的示意图;
图5为会话管理功能SMFSMF存储的用户信息表的示意图;
图6为用户面功能UPF存储的用户信息表的示意图;
图7为鉴权服务功能AUSF存储的用户信息表的示意图;
图8为统一数据管理功能UDM存储的用户信息表示意图;
图9为本发明实施例2的一种5G网络内生的安全防护装置的结构示意图;
图10为本发明实施例3的一种网元的结构示意图。
具体实施方式
为使本领域技术人员更好地理解本发明的技术方案,下面将结合附图对本发明实施方式作进一步地详细描述。
可以理解的是,此处描述的具体实施例和附图仅仅用于解释本发明,而非对本发明的限定。
可以理解的是,在不冲突的情况下,本发明中的各实施例及实施例中的各特征可相互组合。
可以理解的是,为便于描述,本发明的附图中仅示出了与本发明相关的部分,而与本发明无关的部分未在附图中示出。
可以理解的是,本发明的实施例中所涉及的每个单元、模块可仅对应一个实体结构,也可由多个实体结构组成,或者,多个单元、模块也可集成为一个实体结构。
可以理解的是,在不冲突的情况下,本发明的流程图和框图中所标注的功能、步骤可按照不同于附图中所标注的顺序发生。
可以理解的是,本发明的流程图和框图中,示出了按照本发明各实施例的系统、装置、设备、方法的可能实现的体系架构、功能和操作。其中,流程图或框图中的每个方框可代表一个单元、模块、程序段、代码,其包含用于实现规定的功能的可执行指令。而且,框图和流程图中的每个方框或方框的组合,可用实现规定的功能的基于硬件的系统实现,也可用硬件与计算机指令的组合来实现。
可以理解的是,本发明实施例中所涉及的单元、模块可通过软件的方式实现,也可通过硬件的方式来实现,例如单元、模块可位于处理器中。
实施例1:
如图1所示,给出了一种5G网络内生的安全防护方法的应用场景示意图。用户接入5G网络后,有基站、接入和移动管理功能AMF、会话管理功能SMF、用户面功能UPF等5G网元为其提供服务,他们之间有正常的数据交互;同时各网元之间也有正常的数据交互。但是基站、AMF、SMF、UPF等5G网元可能被攻击者恶意仿冒,或者被攻击者劫持,他们向正常用户发送的数据为异常数据,各网元分析出来后丢弃,并向网管系统上报安全风险,以提高5G网络的安全性。
如图2所示,本实施例提供一种5G网络内生的安全防护方法,应用于网元,网元可以是5G基站gNB、接入和移动管理功能AMF、会话管理功能SMF、用户面功能UPF、鉴权服务功能AUSF、统一数据管理功能UDM等中的任一5G网元,5G网络内生的安全防护方法包括:
步骤101,解析目标网元发送的目标用户的数据包,以得到所述数据包中的源IP地址和目标用户相关的ID。
本实施例中,5G用户接入5G网络后,会驻留在某个基站中,同时也会有相应的AMF、SMF、UPF、AUSF等5G网元与用户交互,为用户提供网络服务。例如,在5G的当前网元与其他网元交互的数据包中,会携带数据包的源IP地址、目的IP地址和用户相关的ID。若当前网元在接收到其他目标网元发来的数据包时,解析数据包中的源IP地址和目标用户相关的ID,其中,目标用户相关的ID是指用于标识用户身份的ID,ID的形式在不同的网元中可能有多种。
可选地,在所述解析目标网元发送的目标用户的数据包之前,5G网络内生的安全防护方法还包括:向所接入的目标用户提供网络服务;为所服务的目标用户生成对应的用户信息表,以得到预设的目标用户的用户信息表,其中,所述用户信息表包括目标用户相关的ID、与自身交互且为目标用户提供网络服务的其他网元的IP地址。
本实施例中,以用户为粒度,在目标用户接入5G网络后,由与目标用户交互的gNB、AMF、SMF、UPF、AUSF、UDM网元分别为每个目标用户生成并维护一张用户信息表,当某目标用户下线或者网元不再为某目标用户提供服务时,在网元的本地数据库中删除该目标用户对应的用户信息表。因此,在目标用户接入5G网络后,为目标用户提供网络服务的各网元将生成用户信息表。需要说明的是,由于不同网元的功能不同,不同网元生成的预设的用户信息表中用户相关的ID可能是不同的。例如,gNB存储的用户相关的ID字段为用户的SUPI、SUCI、5G GUTI、PDU session ID、AMF UE NGAP ID、RAN UE NGAP ID等;AMF存储的用户相关的ID字段为用户的SUPI、SUCI、5G GUTI、PDU session ID、AMF UE NGAP ID、RAN UE NGAP ID等;SMF存储的用户相关的ID字段为用户的PDU session ID、F-SEID等;UPF存储的用户相关的ID字段为PDU session ID、F-SEID等;AUSF存储的用户相关的ID字段为用户的SUPI、SUCI等;UDM存储的用户相关的ID字段为用户的SUPI、SUCI等。如图3所示,gNB存储的用户信息表的表头中第1、2、3列为用户相关的ID,第4、5列为与gNB交互的且为用户提供网络服务的其他网元AMF和UPF的IP地址。如图4所示,AMF存储的用户信息表的表头中第1、2、3列为用户相关的ID,第4-8列分别为基站、SMF、UDM、AUSF、NSSF对应的IP地址,第4-8列的网元分别是与AMF网元交互且为同一用户提供网络服务的网元。如图5所示,SMF存储的用户信息表的表头中第1、2列为用户相关的ID,第3-6列为与SMF网元交互且为此用户提供网络服务的其他网元的IP地址。如图6所示,UPF存储的用户信息表的表头中第1、2列为用户相关的ID,第3、4列为与UPF网元交互且为此用户提供网络服务的其他网元的IP地址。如图7所示,AUSF存储的用户信息表的表头中第1列为用户相关的ID,第2、3列为与AUSF网元交互且为此用户提供网络服务的其他网元的IP地址。如图8所示,UDM存储的用户信息表的表头中第1列为用户相关的ID,第2-4列为与UDM网元交互且为此用户提供网络服务的其他网元的IP地址。由于每个网元能看到的用户的身份信息ID不同,且每个网元与之连接交互的网元也不同,故每个网元生成并维护的用户信息表的内容不同。
可选地,目标用户相关的ID至少包括以下一种:分组数据单元PDU会话ID、用户永久标识符SUPI、用户隐藏标识符SUCI、全球唯一临时标识符5G-GUTI、接入和移动管理功能终端应用协议标识AMF UE NGAP ID、无线接入网终端应用协议标识RAN UE NGAP ID、全量会话端点标识F-SEID。
步骤102,根据目标用户相关的ID获取预设的目标用户的用户信息表。
本实施例中,以AMF与SMF两个网元之间的数据交互为例,二者之间主要交互PDU会话以建立或释放相关消息,包含的用户相关的ID主要是PDU Session ID。例如,当前网元AMF接收到目标网元SMF发送的目标用户的数据包,根据解析所述数据包得到所述数据包中的源IP地址(即目标网元SMF的IP地址)和目标用户的相关ID,此时目标用户的相关ID指PDUSession ID。当前网元AMF根据解析得到的PDU Session ID获取本地所存储的目标用户的用户信息表,因为当前网元AMF存储有该PDU Session ID对应的用户的用户信息表。
步骤103,判断所述用户信息表中目标网元的IP地址是否与所述数据包中的源IP地址一致。
本实施例中,判断解析得到的目标网元SMF的IP地址与所获取的用户信息表中SMF的IP地址是否一致。换言之,根据数据包中的源IP地址,与当前网元本地所存储的目标用户的用户信息表进行匹配分析。5G网络中有多个5G网元,特别是SMF、UPF、gNB等网元下沉到用户侧更易被攻击者劫持或被攻击者仿冒。若某个5G网元A被攻击者劫持后,有可能向用户发送异常数据包以发动攻击。以网元B为例,由于其存储的用户信息表里的各网元IP均是为某用户提供网络服务的、与网元B交互的其他网元的IP地址,若网元B收到的数据包中的源IP地址不在其存储的用户信息表里,说明此数据包为异常数据,可能是攻击者仿冒的网元向网元B发送的数据包,也可能是网元A被攻击者劫持后向网元B发送的数据包,故通过判断IP地址是否一致以判断目标网元是否为仿冒网元或被劫持网元,从而识别其发送的数据包是否为正常数据,该方式对攻击信息的识别简便、且识别准确性高。
步骤104,根据判断结果实施对所述数据包的安全防护措施。
具体地,响应于判断结果不一致,判定所述数据包为异常数据,实施对所述数据包的安全防护措施;响应于判断结果一致,判定所述数据包为正常数据,并根据网络服务流程相应处理所述数据包。
可选地,实施对所述数据包的安全防护措施,具体包括:丢弃所述数据包,并向其他网元预警,以提示目标网元为风险网元,风险网元包括仿冒网元、被劫持网元。
本实施例中,例如,网元A为某个目标用户提供服务时,正常只跟网元C、网元D通信,不与网元B通信。则网元B存储的目标用户的用户信息表里,没有网元A的IP地址。当网元A被劫持后,攻击者可能利用网元A给网元B发消息,那么网元B收到消息后发现数据包的源IP地址在所述用户信息表里不存在(即网元B发现数据包的源IP地址网元本不应该与网元B交互),则判断此数据包为异常数据。又如,若攻击者仿冒了某个网元,新仿冒的网元IP地址不在正常网元B存储的用户信息表里,若网元B发现收到的数据包的源IP地址在所述用户信息表中不存在,则判断此数据包为异常数据。若判定为正常数据,按照正常流程处理此数据包。若判定为异常数据,当前网元丢弃此数据包,不处理;同时向网管系统或控制中心上报安全风险,以提示目标网元可能为仿冒网元或被劫持网元,由网管中心或控制中心对有风险的目标网元进行验证和控制,或对本网络其他网元进行预警,以提示目标网元可能为仿冒网元或被劫持网元,由其他网元丢弃有风险的目标网元所发送的数据,从而提高网络安全性。
可选地,由于被劫持网元可能同时给原来通信的网元发送攻击数据,且原来通信的网元存储的用户信息表中有被劫持网元的IP地址,为更好地识别异常数据和被劫持的风险网元,在所述响应于判断结果一致,判定所述数据包为正常数据之后,所述方法还包括:接收目标网元在预设时长内发送的目标用户的数据包;判断所述目标用户的数据包的数量是否超过风险阈值;响应于所述目标用户的数据包的数量超过风险阈值,向其他网元预警,以提示目标网元为风险网元,且丢弃目标网元后续发送的数据包。
本实施例中,通过进一步根据目标网元所发送的数据包的频率是否超过风险阈值,以判断目标网元是否被劫持,以提高5G网络的安全性。
本实施例的5G网络内生的安全防护方法,通过在各网元的内部做增强,在网元的内部为其所服务的用户生成用户信息表,继而解析出目标网元发送的数据包中的源IP地址和用户相关的ID,根据用户相关的ID找到预设的用户信息表,再匹配数据包中的源IP地址是否与用户信息表中目标网元的IP地址一致,根据匹配结果确定数据包是否正常,并给出相应的安全防护措施,以避免被劫持网元或仿冒网元发送异常数据进行网络攻击,威胁5G网络安全。进一步地,通过判断IP地址是否一致以判断目标网元是否为仿冒网元或被劫持网元,从而识别其发送的数据包是否为正常数据,该方式对攻击信息的识别简便、且识别准确性高,不仅可以识别不在资产列表里的网元发送的异常数据、也可以识别在资产列表里却被攻击者劫持的网元发送的异常数据。且由5G网元自己发现并处理异常数据,而无需依赖外部的安全设备和安全系统。此外,向网管系统或控制中心上报安全风险,以提示目标网元可能为仿冒网元或被劫持网元,由网管中心或控制中心对有风险的目标网元进行验证和控制,或对本网络其他网元进行预警,由其他网元丢弃有风险的目标网元所发送的数据,从而提高5G网络安全性。
实施例2:
如图9所示,本实施例提供一种5G网络内生的安全防护装置,包括:
解析模块91,用于解析目标网元发送的目标用户的数据包,以得到所述数据包中的源IP地址和目标用户相关的ID。
获取模块92,与解析模块91连接,用于根据目标用户相关的ID获取预设的目标用户的用户信息表。
判断模块93,与解析模块91和获取模块92连接,用于判断所述用户信息表中目标网元的IP地址是否与所述数据包中的源IP地址一致。
实施模块94,与判断模块93连接,用于根据判断结果实施对所述数据包的安全防护措施。
可选地,5G网络内生的安全防护装置还包括服务模块和生成模块。
服务模块,用于向所接入的目标用户提供网络服务。
生成模块,与服务模块连接,用于为所服务的目标用户生成对应的用户信息表,以得到预设的目标用户的用户信息表,其中,所述用户信息表包括目标用户相关的ID、与自身交互且为目标用户提供网络服务的其他网元的IP地址。
可选地,目标用户相关的ID至少包括以下一种:分组数据单元PDU会话ID、用户永久标识符SUPI、用户隐藏标识符SUCI、全球唯一临时标识符5G-GUTI、接入和移动管理功能终端应用协议标识AMF UE NGAP ID、无线接入网终端应用协议标识RAN UE NGAP ID、全量会话端点标识F-SEID。
实施模块用于响应于判断结果不一致,判定所述数据包为异常数据,实施对所述数据包的安全防护措施。还用于响应于判断结果一致,判定所述数据包为正常数据,并根据网络服务流程相应处理所述数据包。
可选地,实施模块包括安全防护单元。
安全防护单元,用于丢弃数据包,并向其他网元预警,以提示目标网元为风险网元,风险网元包括仿冒网元、被劫持网元。
可选地,实施模块还包括接收组件、判断组件和处理组件。
接收组件,用于接收目标网元在预设时长内发送的目标用户的数据包。
判断组件,与接收组件连接,用于判断所述目标用户的数据包的数量是否超过风险阈值。
处理组件,与判断组件连接,用于响应于所述目标用户的数据包的数量超过风险阈值,预警目标网元为风险网元,且丢弃目标网元后续发送的数据包。
实施例3:
如图10所示,本实施例提供一种网元,包括存储器11和处理器12,所述存储器11中存储有计算机程序,所述处理器12被设置为运行所述计算机程序以实现如实施例1所述的5G网络内生的安全防护方法。
实施例4:
本实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,实现如实施例1所述的5G网络内生的安全防护方法。
实施例2的5G网络内生的安全防护装置、实施例3的网元和实施例4的计算机可读存储介质,用于在各网元内部做增强,为其所服务的用户生成用户信息表,用于解析出目标网元发送的数据包中的源IP地址和用户相关的ID,并根据用户相关的ID找到预设的用户信息表,还用于匹配数据包中的源IP地址是否与用户信息表中目标网元的IP地址一致,并根据匹配结果确定数据包是否正常,并给出相应的安全防护措施,以避免被劫持网元或仿冒网元发送异常数据进行网络攻击,威胁5G网络安全。进一步地,用于判断IP地址是否一致以判断目标网元是否为仿冒网元或被劫持网元,从而识别其发送的数据包是否为正常数据,该方式对攻击信息的识别简便、且识别准确性高,不仅可以识别不在资产列表里的网元发送的异常数据、也可以识别在资产列表里却被攻击者劫持的网元发送的异常数据。且由5G网元自己发现并处理异常数据,而无需依赖外部的安全设备和安全系统。此外,对网管中心或控制中心或本网络其他网元进行风险预警,以提示目标网元为仿冒网元或被劫持网元,从而提高5G网络安全性。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。

Claims (10)

1.一种5G网络内生的安全防护方法,其特征在于,应用于网元,包括:
解析目标网元发送的目标用户的数据包,以得到所述数据包中的源IP地址和目标用户相关的ID;
根据目标用户相关的ID获取预设的目标用户的用户信息表;
判断所述用户信息表中目标网元的IP地址是否与所述数据包中的源IP地址一致;
根据判断结果实施对所述数据包的安全防护措施。
2.根据权利要求1所述的5G网络内生的安全防护方法,其特征在于,在所述解析目标网元发送的目标用户的数据包之前,还包括:
向所接入的目标用户提供网络服务;
为所服务的目标用户生成对应的用户信息表,以得到预设的目标用户的用户信息表,其中,所述用户信息表包括目标用户相关的ID、与自身交互且为目标用户提供网络服务的其他网元的IP地址。
3.根据权利要求1或2任一项所述的5G网络内生的安全防护方法,其特征在于,目标用户相关的ID至少包括以下一种:分组数据单元PDU会话ID、用户永久标识符SUPI、用户隐藏标识符SUCI、全球唯一临时标识符5G-GUTI、接入和移动管理功能终端应用协议标识AMF UENGAP ID、无线接入网终端应用协议标识RAN UE NGAP ID、全量会话端点标识F-SEID,
所述根据判断结果实施对所述数据包的安全防护措施,具体包括:
响应于判断结果不一致,判定所述数据包为异常数据,实施对所述数据包的安全防护措施;
响应于判断结果一致,判定所述数据包为正常数据,并根据网络服务流程相应处理所述数据包。
4.根据权利要求3所述的5G网络内生的安全防护方法,其特征在于,实施对所述数据包的安全防护措施,具体包括:
丢弃所述数据包,并向其他网元预警,以提示目标网元为风险网元,风险网元包括仿冒网元、被劫持网元。
5.根据权利要求3所述的5G网络内生的安全防护方法,其特征在于,在所述响应于判断结果一致,判定所述数据包为正常数据之后,还包括:
接收目标网元在预设时长内发送的目标用户的数据包;
判断所述目标用户的数据包的数量是否超过风险阈值;
响应于所述目标用户的数据包的数量超过风险阈值,向其他网元预警,以提示目标网元为风险网元,且丢弃目标网元后续发送的数据包。
6.一种5G网络内生的安全防护装置,其特征在于,包括:
解析模块,用于解析目标网元发送的目标用户的数据包,以得到所述数据包中的源IP地址和目标用户相关的ID,
获取模块,与解析模块连接,用于根据目标用户相关的ID获取预设的目标用户的用户信息表,
判断模块,与解析模块和获取模块连接,用于判断所述用户信息表中目标网元的IP地址是否与所述数据包中的源IP地址一致,
实施模块,与判断模块连接,用于根据判断结果实施对所述数据包的安全防护措施。
7.根据权利要求6所述的5G网络内生的安全防护装置,其特征在于,还包括服务模块和生成模块,
服务模块,用于向所接入的目标用户提供网络服务,
生成模块,与服务模块连接,用于为所服务的目标用户生成对应的用户信息表,以得到预设的目标用户的用户信息表,其中,所述用户信息表包括目标用户相关的ID、与自身交互且为目标用户提供网络服务的其他网元的IP地址。
8.根据权利要求6所述的5G网络内生的安全防护装置,其特征在于,实施模块包括安全防护单元,
安全防护单元,用于丢弃数据包,并向其他网元预警,以提示目标网元为风险网元,风险网元包括仿冒网元、被劫持网元。
9.一种网元,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,所述处理器被设置为运行所述计算机程序以实现如权利要求1-5中任一项所述的5G网络内生的安全防护方法。
10.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,实现如权利要求1-5中任一项所述的5G网络内生的安全防护方法。
CN202211201033.3A 2022-09-28 2022-09-28 5g网络内生的安全防护方法、装置、网元及存储介质 Pending CN115567942A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211201033.3A CN115567942A (zh) 2022-09-28 2022-09-28 5g网络内生的安全防护方法、装置、网元及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211201033.3A CN115567942A (zh) 2022-09-28 2022-09-28 5g网络内生的安全防护方法、装置、网元及存储介质

Publications (1)

Publication Number Publication Date
CN115567942A true CN115567942A (zh) 2023-01-03

Family

ID=84742154

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211201033.3A Pending CN115567942A (zh) 2022-09-28 2022-09-28 5g网络内生的安全防护方法、装置、网元及存储介质

Country Status (1)

Country Link
CN (1) CN115567942A (zh)

Similar Documents

Publication Publication Date Title
US11425202B2 (en) Session processing method and device
EP3797500B1 (en) Message transmission between core network domains
US20200145432A1 (en) Multi-access distributed edge security in mobile networks
EP2346205B1 (en) A method and device for preventing network attack
AU2021277595B2 (en) Multi-access distributed edge security in mobile networks
CN108173812B (zh) 防止网络攻击的方法、装置、存储介质和设备
US11943616B2 (en) Methods, systems, and computer readable media for utilizing network function identifiers to implement ingress message rate limiting
CN111148105B (zh) 类别信息的确定方法及装置
CN111800412B (zh) 高级可持续威胁溯源方法、系统、计算机设备及存储介质
US20100095351A1 (en) Method, device for identifying service flows and method, system for protecting against deny of service attack
CN116438779A (zh) 用于利用网络功能标识符实现入口消息速率限制的方法、系统和计算机可读介质
CN110535808B (zh) 一种设备监控、去注册方法及装置
CN112369115A (zh) 用于实现业务管理的方法和节点
KR101064382B1 (ko) 통신 네트워크에서의 arp 공격 차단 시스템 및 방법
CN109561049B (zh) 一种基于监控业务的动态准入方法及装置
CN113114650A (zh) 网络攻击的解决方法、装置、设备及介质
Almaini et al. Delegation of authentication to the data plane in software-defined networks
CN112383559B (zh) 地址解析协议攻击的防护方法及装置
CN115567942A (zh) 5g网络内生的安全防护方法、装置、网元及存储介质
CN115633359A (zh) Pfcp会话安全检测方法、装置、电子设备和存储介质
CN114363083B (zh) 智能网关的安全防范方法、装置、设备
US20230141028A1 (en) Traffic control server and method
US11974134B2 (en) Methods, systems, and computer readable media for validating subscriber entities against spoofing attacks in a communications network
Barbhuiya et al. An active detection mechanism for detecting ICMP based attacks
US20220360990A1 (en) 4g / 5g core network deep packet inspection system

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination