CN115802351A - 终端访问控制方法、装置、设备及介质 - Google Patents
终端访问控制方法、装置、设备及介质 Download PDFInfo
- Publication number
- CN115802351A CN115802351A CN202211350751.7A CN202211350751A CN115802351A CN 115802351 A CN115802351 A CN 115802351A CN 202211350751 A CN202211350751 A CN 202211350751A CN 115802351 A CN115802351 A CN 115802351A
- Authority
- CN
- China
- Prior art keywords
- terminal
- network
- access control
- parameters
- authority
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供一种终端访问控制方法、装置、设备及介质,方法包括:基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,安全评估参数用于表征网络安全态势;基于安全评估参数,确定终端的授权等级;授权等级用于确定更新权限列表,权限列表中存储终端的业务允许与否权限,权限列表用于更新相应的网络功能中终端的相关控制策略,网络功能用于对终端进行访问控制。本发明用以解决现有技术中由于现有访问控制机制对终端进行静态认证授权,存在无法对访问过程中的违规和异常行为进行实时管控的缺陷,实现提升网络的安全性能。
Description
技术领域
本发明涉及移动通信技术领域,尤其涉及一种终端访问控制方法、装置、设备及介质。
背景技术
5G/5G-Advanced时代,虽然在用户身份信息的保护、数据的完整性方面较4G更安全,但服务化架构使网元间互访更容易,虚拟化增加了网元暴露面,使网元和内网安全风险增大、更易被攻击,带来了新的安全挑战。此外边缘计算正在成为助力5G赋能千行百业的关键使能技术,一方面,边缘计算可以靠近用户侧/数据源提供计算、存储等基础设施,并为边缘应用就近处理数据,具有低时延、流量本地卸载的特点;另一方面,由于边缘计算资源部署在靠近用户侧、较为开放的非可信域,安全风险大增。
终端是安全防护体系中相对薄弱的一环,终端设备的漏洞、后门等暴露在相对开放的5G/5G-Advanced网络中,容易被利用作为分布式拒绝服务(DDoS)攻击源,从而引入安全风险。终端的接入安全是网络安全的重要组成部分,现有方案通常对终端只进行一次认证授权(接入认证),可能还有应用或者切片对终端的二次认证。也就是说,在用户通过认证后,整个访问过程中都不再进行用户身份合规性检查。5G/5G-Advanced网络中,现有这种访问控制机制对终端进行静态认证授权,缺少后续的持续信任评估,存在无法对访问过程中的违规和异常行为进行实时管控的缺陷。
发明内容
本发明提供一种终端访问控制方法、装置、设备及介质,用以解决现有技术中由于现有这种访问控制机制对终端进行静态认证授权,存在无法对访问过程中的违规和异常行为进行实时管控的缺陷,实现提升网络的安全性能。
本发明提供一种终端访问控制方法,包括:
基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,所述安全评估参数用于表征所述网络安全态势;
基于所述安全评估参数,确定所述终端的授权等级;
所述授权等级用于确定更新权限列表,所述权限列表中存储所述终端的业务允许与否权限,所述权限列表用于更新相应的网络功能中所述终端的相关控制策略,所述网络功能用于对所述终端进行访问控制。
根据本发明提供的终端访问控制方法,采集所述网络性能参数以及所述终端传输参数、所述行为参数和所述状态信息,包括:
基于向所述5G网络中各网络功能(NF)订阅以事件ID标识的相关事件开放服务,获取事件上报通知;或者,
基于向所述5G网络的网络数据分析功能(NWDAF)订阅以分析ID标识的相关分析服务,获取所述NWDAF推导出的分析结果;
基于所述事件上报通知或者所述分析结果,确定所述网络性能参数以及所述终端传输参数、所述行为参数和所述状态信息。
根据本发明提供的终端访问控制方法,基于所述安全评估参数,确定更新所述终端的授权等级之后,包括:
将所述授权等级通知至统一数据管理(UDM);
其中,所述UDM根据所述授权等级和终端权限的映射关系,确定所述终端更新后的权限列表,向所述网络功能通知所述更新后的权限列表,以使所述网络功能进行与其功能相关的权限调整。
根据本发明提供的终端访问控制方法,所述权限列表包括接入和移动性管理权限信息,所述网络功能包括AMF和PCF;
所述UDM还用于将所述接入和移动性管理权限信息传输至所述AMF,所述AMF触发和所述PCF间的接入和移动性管理策略关联更新,在获取更新的策略后调整与所述接入和移动性管理权限信息相对应的权限。
根据本发明提供的终端访问控制方法,所述权限列表包括业务权限信息,所述网络功能还包括SMF、PCF和UPF;
所述UDM还用于将所述业务权限信息传输至所述SMF,所述SMF触发和所述PCF间的会话管理策略关联更新,在获取所述PCF发送的更新后的PCC策略规则后更新与所述UPF之间的N4会话,指示所述UPF更新数据包转发规则或QoS实施规则,以调整与所述业务权限信息相对应的权限,允许或阻止对应业务流量;
所述PCC策略规则中的服务数据流模板过滤器包含用于识别所述业务流量的信息。
根据本发明提供的终端访问控制方法,所述终端的权限列表包括默认权限列表和动态权限列表;
所述默认权限列表根据所述终端的业务签约情况确定,存储在统一数据存储库UDR中,在所述终端注册时执行对应访问控制;
所述动态权限列表根据网络安全态势的变化动态更新,存储在所述UDM中,不写入所述UDR,在所述终端的访问过程中执行对应访问控制的动态调整。
本发明还提供一种终端访问控制装置,包括:
态势评估模块,用于基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,所述安全评估参数用于表征所述网络安全态势;
授权等级确定模块,用于基于所述安全评估参数,确定所述终端的授权等级;
所述授权等级用于确定更新权限列表,所述权限列表中存储所述终端的业务允许与否权限,所述权限列表用于更新相应的网络功能中所述终端的相关控制策略,所述网络功能用于对所述终端进行访问控制。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述终端访问控制方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述终端访问控制方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述终端访问控制方法。
本发明提供的终端访问控制方法、装置、设备及介质,通过设计终端访问控制的权限列表,采集网络和终端相关的性能参数,根据网络安全态势调整终端当前的授权等级,再根据终端的授权等级来更新终端访问控制的权限列表,从而可以通知相关的网络功能对终端的访问权限进行调整来实现对终端的访问控制,实现根据网络安全态势对终端进行实时动态授权的访问控制机制,以提升网络的安全性能。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的终端访问控制方法的流程示意图之一;
图2是本发明提供的终端访问控制方法的流程示意图之二;
图3是本发明采集终端安全评估相关参数的一种示例性的流程示意图;
图4是本发明的动态调整权限的一种示例性的流程示意图;
图5是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
下面结合图1-图4描述本发明的终端访问控制方法。
请参照图1,本发明提出的终端访问控制方法,包括:
步骤10,基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,所述安全评估参数用于表征所述网络安全态势;
网络性能参数是指能够反映网络特性的参数,可以包括网络的流量、资源使用情况和负载等;终端传输参数可以包括终端的上下行速率和往返延时RTT等性能参数,终端行为参数可以包括终端的切换、唤醒、位置变化、IP地址变化、接入类型变化、无线链路故障、业务访问频率等行为,终端的状态信息可以包括终端的连接状态、会话状态、漫游状态等信息,本申请实施例中网络性能参数和终端传输参数、行为参数和状态信息用于安全评估。
采集5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息;通过5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定用于表征网络安全态势的安全评估参数。
步骤20,基于所述安全评估参数,确定所述终端的授权等级;
所述授权等级用于确定更新权限列表,所述权限列表中存储所述终端的业务允许与否权限,所述权限列表用于更新相应的网络功能中所述终端的相关控制策略,所述网络功能用于对所述终端进行访问控制。
安全评估参数用于表征网络安全态势,需要说明的是,安全评估参数发生变化时,网络安全态势发生变化,当安全评估参数发生变化时,说明当前的网络安全态势发生变化,如果变化大到需要对终端当前的授权等级进行调整,通知5G网络重新调整网络对于终端的访问权限。具体地,当安全评估参数发生变化时,根据安全评估参数调整终端当前的授权等级,再根据终端的授权等级来更新终端访问控制的权限列表,从而可以根据权限列表更新相应网络功能中终端的控制策略来实现对终端的访问控制,实现根据网络安全态势对终端进行实时动态授权的访问控制机制。通常来说,网络安全态势严峻,需要调整降低终端的授权等级,对应地,终端的访问控制趋严;网络安全态势减轻,终端的授权等级对应地可以调整提高,对应地,终端的访问控制可以放宽,从而实现对终端实时动态调整授权的访问控制机制。
进一步地,在网络态势发生变化时,可以根据安全评估模型对终端的授权等级的更新确定动态的终端的权限列表。
例如,当前终端的授权等级为7级,网络安全态势严峻,需要调整降低终端的授权等级降为4级,其对应的具有访问权限的业务数量减少。
本发明提供的终端访问控制方法、装置、设备及介质,通过设计终端访问控制的权限列表,采集网络和终端相关的性能参数,根据网络安全态势调整终端当前的授权等级,再根据终端的授权等级来更新终端访问控制的权限列表,从而可以通知相关的网络功能对终端的访问权限进行调整来实现对终端的访问控制,实现根据网络安全态势对终端进行实时动态授权的访问控制机制,以提升网络的安全性能。
在一种可能的实施例中,请参照图2,步骤10,采集所述网络性能参数以及所述终端传输参数、所述行为参数和所述状态信息,包括:
步骤101,基于向所述5G网络中各网络功能订阅以事件ID为标识的事件开放服务,获取事件上报通知;或者,
步骤102,基于向所述5G网络的网络数据分析功能(NWDAF)订阅以分析ID标识的相关分析服务,获取所述NWDAF推导出的分析结果;
步骤103,基于所述事件上报通知或者所述分析结果,确定所述网络性能参数以及所述终端传输参数、行为参数和状态信息。
网络性能参数和终端传输参数、行为参数和状态信息的采集可通过直接向5G网络中各网络功能订阅相关的事件开放服务实现,或者也可以通过向网络数据分析功能(NWDAF)订阅相关的分析ID实现,此时NWDAF通过向各网络功能订阅事件开放服务以及从OAM采集相关数据后,推导出分析结果。
如,通过UPF采集终端的上下行速率和往返延时RTT等性能参数,通过AMF、SMF等网络功能提供的事件开放服务采集终端的移动性、状态转换等事件。
为了便于理解,通过向网络中各网络功能订阅事件开放服务采集网络性能参数和终端传输参数、行为参数和状态信息以进行安全评估,请参照图3,一种示例性的采集的具体流程如下:
步骤1:安全评估服务器订阅由Event ID标识的事件,EventID可以是一个或多个,向NEF发送Nnef_EventExposure_Subscribe请求,携带事件标识、相关UE的标识和接收相关通知消息的端点信息;
步骤2:NEF订阅接收到的事件,并向UDM发送Nudm_EventExposure_Subscribe请求,将事件标识、UE标识和NEF接收相关通知消息的端点提供给UDM;
步骤3:如果相关事件订阅需要AMF、SMF、UPF等NF协助,UDM通过本地存储的UE相关上下文数据获知服务NF,向这些NF发送Nnf_EventExposure_Subscribe请求,携带订阅的事件标识,由于UDM自身不是接收事件通知的NF,请求消息中需要携带NEF接收通知消息的端点,NF返回Nnf_EventExposure_Notify响应确认订阅;
步骤4:UDM向NEF发送Nudm_EventExposure_Notify响应确认订阅;
步骤5:NEF向安全评估服务器发送Nnef_EventExposure_Notify响应,确认订阅。如果NEF在步骤4中接收到第一个事件上报通知,则NEF在确认消息中包含该事件上报通知;
步骤6:各NF(AMF、SMF、UPF等)在满足相关事件上报条件时直接向NEF发送事件上报通知Nnf_EventExposure_Notify消息;
步骤7:NEF向安全评估服务器发送Nnef_EventExposure_Notify,转发接收到的事件上报通知。
为了便于理解,如果网络中部署了网络数据分析功能,可以通过向网络数据分析功能订阅相关的分析ID实现进行采集网络性能参数和终端传输参数、行为参数和状态信息,请参照图3,一种示例性的采集的具体流程如下:
步骤1-2:安全评估服务器通过NEF、使用Nnwdaf_AnalyticsSubscription_Subscribe向NWDAF订阅相关分析,消息中携带分析ID和相关UE的标识,分析ID可以是UE通信行为分析、UE移动性分析和UE异常行为分析等;
步骤3:NWDAF向相关NF(如AMF、SMF,NWDAF通过UDM提供的Nudm_UECM服务获知UE的服务AMF、SMF)发送Nnf_EventExposure_Subscribe订阅相关事件,携带订阅的事件标识和相关UE的标识;NWDAF也可以从OAM和/或UPF中采集相关性能参数;各NF通过Nnf_EventExposure_Notify确认订阅,在满足事件上报条件时通过Nnf_EventExposure_Notify向NWDAF发送事件上报通知;
步骤4:NWDAF推导出所请求的分析结果;
步骤5:NWDAF通过NEF向安全评估服务器发送分析结果。
安全评估服务器根据接收到的各NF的事件上报通知或者NWDAF的分析结果,对网络安全态势进行实时评估,以判断是否需要动态调整UE的权限等级。
在一种实施例中,基于所述安全评估参数,确定所述终端的授权等级之后,包括:
将所述授权等级通知至统一数据管理(UDM);
其中,所述UDM用于根据所述授权等级和终端权限的映射关系,确定所述终端更新后的权限列表,向所述网络功能通知所述更新后的权限列表,以使所述网络功能进行与其功能相关的权限调整。
根据实时的网络安全态势确定需要动态调整UE的授权等级并通知统一数据管理单元UDM,统一数据管理UDM可根据授权等级和权限列表中对应比特位的映射确定更新后的权限列表,向网络功能AMF、SMF分别通知更新后与接入和移动性相关的权限、以及与业务相关的权限信息,网络功能AMF、SMF分别触发和PCF间的AM、SM策略控制更新过程。
为了便于理解,请参照图4,统一数据管理用于通知所述网络功能调整相应的权限,对应的一种示例性的权限调整步骤如下:
步骤1:安全评估服务器根据当前的网络安全态势判断需要调整授权等级,确定更新后的授权等级;
步骤2:安全评估服务器向NEF发送Nnef_ServiceParameter_Update request请求,请求更新5GS内UE的授权等级;
步骤3:安全评估服务器被NEF授权可以提供UE相关参数,NEF向UDM发送Nudm_ParameterProvision request请求,请求更新UE授权等级,UDM返回Nudm_ParameterProvision response响应;
步骤4:UDM向NEF返回Nnef_ServiceParameter_Update response响应;
步骤5:UDM根据授权等级和权限列表中对应比特位的映射确定更新后的UE权限列表;
需要说明的是,UE权限列表的更新仅在UDM中执行,不更新到UDR,UDR只存放默认的权限列表,在UE注册时和UDM交互。
在一种实施例中,所述权限列表包括接入和移动性管理权限信息,所述网络功能包括AMF和PCF;
所述统一数据管理UDM还用于将所述接入和移动性管理权限信息传输至所述AMF,所述AMF触发和所述PCF间的接入和移动性管理策略关联更新,在获取更新的策略后调整与所述接入和移动性管理权限信息相对应的权限。
其中,对于接入和移动性管理,由AMF和RAN执行策略更新。接入和移动性相关的权限调整过程如下(步骤6a-步骤8a):
步骤6a:UDM向AMF发送Nudm_SDM_Notification notify消息,通知AMF更新签约数据的权限列表中与接入和移动性相关的权限;
步骤7a:AMF触发和PCF间的AM策略关联更新过程,AMF向PCF发送Npcf_AMpolicyControl_Update request请求,向PCF提供接入和移动性限制触发条件,PCF向AMF返回Npcf_AMpolicyControl_Update response响应,提供更新的策略;
步骤8a:AMF和(R)AN、UE配合,应用接入和移动性管理相关的权限调整。
在一种实施例中,所述权限列表包括业务权限信息,所述网络功能还包括SMF、PCF和UPF;
所述UDM还用于将所述业务权限信息传输至所述SMF,所述SMF触发和所述PCF间的会话管理策略关联更新,在获取所述PCF发送的更新后的PCC策略规则后更新与所述UPF之间的N4会话,指示所述UPF更新数据包转发规则或QoS实施规则,以调整与所述业务权限信息相对应的权限,允许或阻止对应业务流量;
所述PCC策略规则中的服务数据流模板过滤器包含用于识别所述业务流量的信息。
对于业务相关的权限更新,根据数据包流描述(PFD)进行流量检测,PCF将业务流权限的变化转换为对应的PCC策略通知SMF,SMF指示UPF更新数据包转发规则(FAR)或QoS实施规则(QER)。UPF负责执行应用检测,并根据接收到的PCC规则执行相应的数据包转发/丢弃或门控动作,以允许或阻止对应流量的通过。
为了便于理解,一种示例性的业务相关权限调整过程(步骤6b-步骤10b)如下:
步骤6b:UDM向SMF发送Nudm_SDM_Notification notify消息,通知SMF更新签约数据的权限列表中与业务相关的权限;
步骤7b:SMF触发和PCF间的SM策略关联更新过程,SMF向PCF发送Npcf_SMpolicyControl_Update request请求,请求更新SM策略关联以接收PDU会话的更新策略信息;
步骤8b:PCF将业务权限的变化转换为PCC策略规则,其中的SDF模板的过滤器包含PFD和IP流描述,PFD由PFD ID标识,至少包括应用使用的协议、服务器端IP地址和端口号三元组信息;
步骤9b:PCF向SMF发送Npcf_SMpolicyControl_Update response响应,携带更新后的PCC策略信息;
步骤10b:SMF和UPF之间的N4会话更新过程,SMF将PCC规则中的SDF模板映射到UPF的数据包检测规则中,指示UPF更新数据包转发规则(FAR)或QoS实施规则(QER)。
UPF负责执行应用检测,并根据FAR或QER规则执行相应的数据包转发/丢弃或门控动作,以允许或阻止对应流量的通过。
对于接入和移动性管理,由AMF和RAN执行策略更新;对于业务相关的权限更新,根据数据包流描述(PFD)进行流量检测,PCF将业务流权限的变化转换为对应的PCC策略通知SMF,SMF指示UPF更新数据包转发规则(FAR)或QoS实施规则(QER);UPF负责执行应用检测,并根据FAR或QER规则执行相应的数据包转发/丢弃或门控动作,以允许或阻止对应流量的通过。
在一种实施例中,所述终端的权限列表包括默认权限列表和动态权限列表;
所述默认权限列表根据所述终端的业务签约情况确定,存储在统一数据存储库UDR中,在所述终端注册时执行对应访问控制;
所述动态权限列表根据网络安全态势的变化动态更新,存储在所述UDM中,不写入所述UDR,在所述终端的访问过程中执行对应访问控制的动态调整。
默认权限列表根据UE的业务签约情况确定,UE注册时UDM从UDR中获取包含默认权限列表的签约数据,并执行对应控制,对UE只执行和签约相关的权限限制,没有因网络安全原因带来的额外控制,对应权限的最大集。而本发明实施例中提到的权限列表均指动态权限列表,在UE访问过程中由UDM根据授权等级的变化动态更新。为了避免对UDR中默认权限列表的覆盖操作,动态权限列表存放在UDM,不更新至UDR,其有效期持续到接收到下次安全评估服务器发送的权限等级更新为止。
由此可见,UE注册时执行的是最大权限,后续随着网络安全态势的变化,某些业务的权限将从无限制变为限制执行。
下面对本发明提供的终端访问控制装置进行描述,下文描述的终端访问控制装置与上文描述的终端访问控制方法可相互对应参照。
本发明提供的一种终端访问控制装置,包括:
态势评估模块,用于基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,所述安全评估参数用于表征所述网络安全态势;
授权等级确定模块,用于基于所述安全评估参数,确定所述终端的授权等级;
所述授权等级用于确定更新权限列表,所述权限列表中存储所述终端的业务允许与否权限,所述权限列表用于更新相应的网络功能中所述终端的相关控制策略,所述网络功能用于对所述终端进行访问控制。
进一步地,所述终端访问控制装置还包括参数采集模块,用于:
基于向所述5G网络中各网络功能(NF)订阅以事件ID标识的相关事件开放服务,获取事件上报通知;或者,
基于向所述5G网络的网络数据分析功能(NWDAF)订阅以分析ID标识的相关分析服务,获取所述NWDAF推导出的分析结果;
基于所述事件上报通知或者所述分析结果,确定所述网络性能参数以及所述终端传输参数、所述行为参数和所述状态信息。
进一步地,所述终端访问控制装置还包括通知模块,用于:
将所述授权等级通知至统一数据管理(UDM);
其中,所述UDM根据所述授权等级和终端权限的映射关系,确定所述终端更新后的权限列表,向所述网络功能通知所述更新后的权限列表,以使所述网络功能进行与其功能相关的权限调整。
进一步地,所述权限列表包括接入和移动性管理权限信息,所述网络功能包括AMF和PCF;
所述UDM还用于将所述接入和移动性管理权限信息传输至所述AMF,所述AMF触发和所述PCF间的接入和移动性管理策略关联更新,在获取更新的策略后调整与所述接入和移动性管理权限信息相对应的权限。
进一步地,所述权限列表包括业务权限信息,所述网络功能还包括SMF、PCF和UPF;
所述UDM还用于将所述业务权限信息传输至所述SMF,所述SMF触发和所述PCF间的会话管理策略关联更新,在获取所述PCF发送的更新后的PCC策略规则后更新与所述UPF之间的N4会话,指示所述UPF更新数据包转发规则或QoS实施规则,以调整与所述业务权限信息相对应的权限,允许或阻止对应业务流量;
所述PCC策略规则中的服务数据流模板过滤器包含用于识别所述业务流量的信息。
进一步地,所述终端的权限列表包括默认权限列表和动态权限列表;
所述默认权限列表根据所述终端的业务签约情况确定,存储在统一数据存储库UDR中,在所述终端注册时执行对应访问控制;
所述动态权限列表根据网络安全态势的变化动态更新,存储在所述UDM中,不写入所述UDR,在所述终端的访问过程中执行对应访问控制的动态调整。
图5示例了一种电子设备的实体结构示意图,如图5所示,该电子设备可以包括:处理器(processor)510、通信接口(Communications Interface)520、存储器(memory)530和通信总线540,其中,处理器510,通信接口520,存储器530通过通信总线540完成相互间的通信。处理器510可以调用存储器530中的逻辑指令,以执行终端访问控制方法,该方法包括:基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,所述安全评估参数用于表征所述网络安全态势;基于所述安全评估参数,确定所述终端的授权等级;所述授权等级用于确定更新权限列表,所述权限列表中存储所述终端的业务允许与否权限,所述权限列表用于更新相应的网络功能中所述终端的相关控制策略,所述网络功能用于对所述终端进行访问控制。
此外,上述的存储器530中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的终端访问控制方法,该方法包括:基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,所述安全评估参数用于表征所述网络安全态势;基于所述安全评估参数,确定所述终端的授权等级;所述授权等级用于确定更新权限列表,所述权限列表中存储所述终端的业务允许与否权限,所述权限列表用于更新相应的网络功能中所述终端的相关控制策略,所述网络功能用于对所述终端进行访问控制。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的终端访问控制方法,该方法包括:基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,所述安全评估参数用于表征所述网络安全态势;基于所述安全评估参数,确定所述终端的授权等级;所述授权等级用于确定更新权限列表,所述权限列表中存储所述终端的业务允许与否权限,所述权限列表用于更新相应的网络功能中所述终端的相关控制策略,所述网络功能用于对所述终端进行访问控制。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种终端访问控制方法,其特征在于,包括:
基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,所述安全评估参数用于表征所述网络安全态势;
基于所述安全评估参数,确定所述终端的授权等级;
所述授权等级用于确定更新权限列表,所述权限列表中存储所述终端的业务允许与否权限,所述权限列表用于更新相应的网络功能中所述终端的相关控制策略,所述网络功能用于对所述终端进行访问控制。
2.根据权利要求1所述的终端访问控制方法,其特征在于,采集所述网络性能参数以及所述终端传输参数、所述行为参数和所述状态信息,包括:
基于向所述5G网络中各网络功能(NF)订阅以事件ID标识的相关事件开放服务,获取事件上报通知;或者,
基于向所述5G网络的网络数据分析功能(NWDAF)订阅以分析ID标识的相关分析服务,获取所述NWDAF推导出的分析结果;
基于所述事件上报通知或者所述分析结果,确定所述网络性能参数以及所述终端传输参数、所述行为参数和所述状态信息。
3.根据权利要求1所述的终端访问控制方法,其特征在于,基于所述安全评估参数,确定更新所述终端的授权等级之后,包括:
将所述授权等级通知至统一数据管理(UDM);
其中,所述UDM根据所述授权等级和终端权限的映射关系,确定所述终端更新后的权限列表,向所述网络功能通知所述更新后的权限列表,以使所述网络功能进行与其功能相关的权限调整。
4.根据权利要求3所述的终端访问控制方法,其特征在于,所述权限列表包括接入和移动性管理权限信息,所述网络功能包括AMF和PCF;
所述UDM还用于将所述接入和移动性管理权限信息传输至所述AMF,所述AMF触发和所述PCF间的接入和移动性管理策略关联更新,在获取更新的策略后调整与所述接入和移动性管理权限信息相对应的权限。
5.根据权利要求3所述的终端访问控制方法,其特征在于,所述权限列表包括业务权限信息,所述网络功能还包括SMF、PCF和UPF;
所述UDM还用于将所述业务权限信息传输至所述SMF,所述SMF触发和所述PCF间的会话管理策略关联更新,在获取所述PCF发送的更新后的PCC策略规则后更新与所述UPF之间的N4会话,指示所述UPF更新数据包转发规则或QoS实施规则,以调整与所述业务权限信息相对应的权限,允许或阻止对应业务流量;
所述PCC策略规则中的服务数据流模板过滤器包含用于识别所述业务流量的信息。
6.根据权利要求4-5所述的终端访问控制方法,其特征在于,所述终端的权限列表包括默认权限列表和动态权限列表;
所述默认权限列表根据所述终端的业务签约情况确定,存储在统一数据存储库UDR中,在所述终端注册时执行对应访问控制;
所述动态权限列表根据网络安全态势的变化动态更新,存储在所述UDM中,不写入所述UDR,在所述终端的访问过程中执行对应访问控制的动态调整。
7.一种终端访问控制装置,其特征在于,包括:
态势评估模块,用于基于5G网络的网络性能参数以及终端的终端传输参数、行为参数和状态信息,对网络安全态势进行实时评估,确定安全评估参数,所述安全评估参数用于表征所述网络安全态势;
授权等级确定模块,用于基于所述安全评估参数,确定所述终端的授权等级;
所述授权等级用于确定更新权限列表,所述权限列表中存储所述终端的业务允许与否权限,所述权限列表用于更新相应的网络功能中所述终端的相关控制策略,所述网络功能用于对所述终端进行访问控制。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至6任一项所述终端访问控制方法。
9.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述终端访问控制方法。
10.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一项所述终端访问控制方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211350751.7A CN115802351A (zh) | 2022-10-31 | 2022-10-31 | 终端访问控制方法、装置、设备及介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211350751.7A CN115802351A (zh) | 2022-10-31 | 2022-10-31 | 终端访问控制方法、装置、设备及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115802351A true CN115802351A (zh) | 2023-03-14 |
Family
ID=85434652
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211350751.7A Pending CN115802351A (zh) | 2022-10-31 | 2022-10-31 | 终端访问控制方法、装置、设备及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115802351A (zh) |
-
2022
- 2022-10-31 CN CN202211350751.7A patent/CN115802351A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20230300257A1 (en) | Policy information to policy control and confirmation to session management | |
| US11425202B2 (en) | Session processing method and device | |
| US11909907B2 (en) | Charging policy information for a home session management function | |
| JP2023553496A (ja) | 第5世代(5g)通信ネットワークにおいてメッセージ検証を実行するための方法、システムおよびコンピュータ可読媒体 | |
| CN110583034B (zh) | 在移动通信网络中接入与提供网络切片的方法、系统和装置 | |
| US7991387B2 (en) | Method for mobile telecommunication security in a mobile communication network and device therefor | |
| EP2209253A1 (en) | A method, system, server and terminal for processing an authentication | |
| CN116438779A (zh) | 用于利用网络功能标识符实现入口消息速率限制的方法、系统和计算机可读介质 | |
| CN115699840A (zh) | 用于使用安全边缘保护代理(sepp)来减轻5g漫游安全攻击的方法、系统和计算机可读介质 | |
| EP3863317A1 (en) | Method and device for determining category information | |
| JP2020520171A (ja) | QoS制御方法およびデバイス | |
| CN102396203A (zh) | 根据通信网络中的认证过程的紧急呼叫处理 | |
| CN113206814B (zh) | 一种网络事件处理方法、装置及可读存储介质 | |
| AU2020295588B2 (en) | Congestion control method and device | |
| WO2021095655A1 (en) | System and method to enable charging and policies for a ue with one or more user identities | |
| CN113114650A (zh) | 网络攻击的解决方法、装置、设备及介质 | |
| CN112202917A (zh) | 一种多接入边缘计算业务终止的方法及设备 | |
| CN106790134B (zh) | 一种视频监控系统的访问控制方法及安全策略服务器 | |
| Feng et al. | A dual-layer zero trust architecture for 5G industry MEC applications access control | |
| CN108353085B (zh) | 支持对wlan接入移动网络的分组核心进行imei检查 | |
| CN115802351A (zh) | 终端访问控制方法、装置、设备及介质 | |
| US11582258B2 (en) | Methods, systems, and computer readable media for mitigating denial of service (DoS) attacks at network functions (NFs) | |
| CN111698684B (zh) | 业务安全控制方法、装置及存储介质 | |
| CN114268945B (zh) | 一种通信网络接入方法、装置及系统 | |
| CN115567942A (zh) | 5g网络内生的安全防护方法、装置、网元及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |