CN116321165B - 安全访问控制方法和设备 - Google Patents

安全访问控制方法和设备 Download PDF

Info

Publication number
CN116321165B
CN116321165B CN202310554769.7A CN202310554769A CN116321165B CN 116321165 B CN116321165 B CN 116321165B CN 202310554769 A CN202310554769 A CN 202310554769A CN 116321165 B CN116321165 B CN 116321165B
Authority
CN
China
Prior art keywords
network element
port
request
service
information
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202310554769.7A
Other languages
English (en)
Other versions
CN116321165A (zh
Inventor
冯泽冰
韩文婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Academy of Information and Communications Technology CAICT
Original Assignee
China Academy of Information and Communications Technology CAICT
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Academy of Information and Communications Technology CAICT filed Critical China Academy of Information and Communications Technology CAICT
Priority to CN202310554769.7A priority Critical patent/CN116321165B/zh
Publication of CN116321165A publication Critical patent/CN116321165A/zh
Application granted granted Critical
Publication of CN116321165B publication Critical patent/CN116321165B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供一种安全访问控制方法和设备,应用于通信技术领域,该方法包括:向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP‑NF网元;接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP‑NF网元的第一敲门端口信息和令牌Token;基于所述第一敲门端口信息向所述SP‑NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP‑NF网元开放第一业务端口;在接收到所述SP‑NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP‑NF网元。

Description

安全访问控制方法和设备
技术领域
本发明涉及通信技术领域,尤其涉及一种安全访问控制方法和设备。
背景技术
第三代移动通信伙伴(3GPP)定义了5G网络的核心网网络架构采用了服务化架构(Service Based Architecture,SBA)方案,在SBA方案中,5G核心网(5G Core,5GC)控制面的所有网络功能(Network Function,NF)之间采用基于超文本传输协议(HyperTextTransfer Protocol,HTTP)2.0的服务化接口进行交互。在接口安全性方面,3GPP定义了NF之间支持传输层安全(Transport Layer Security,TLS)协议和开放授权(OpenAuthorization,Oauth)2.0鉴权机制。其中TLS协议用于实现NF之间的认证和数据机密性保护,Oauth2.0机制用于实现NF之间的访问授权,其中由网络存储功能(Network RepositoryFunction,NRF)为NF提供服务的注册、发现、授权等功能,实现NF和服务的按需配置及NF间的互连。
在5GC服务化架构中,网络功能NF分为服务请求NF(Service Consumer NF,SC-NF)和服务提供NF(Service Provider NF,SP-NF),SP-NF通过服务化接口,为SC-NF提供访问服务。当SC-NF向SP-NF访问时,需要向NRF进行服务发现,请求访问SP-NF的令牌(Token),该Token值唯一标识SC-NF被NRF授权访问SP-NF服务。如果Token值不正确,则SP-NF拒绝SC-NF的访问请求。在获得Token值之后,SC-NF向SP-NF发起HTTP/TLS的会话连接,连接建立后,SC-NF向SP-NF发起服务化HTTP请求,并在请求中携带Token值。上述方案中,SP-NF的业务端口暴露容易带来非法攻击的风险。
发明内容
本发明提供一种安全访问控制方法和设备,用以解决现有技术中SP-NF的业务端口暴露容易带来非法攻击的风险的缺陷,实现了一种安全性较高的安全访问控制方法。
本发明提供一种安全访问控制方法,应用于服务请求网络功能SC-NF网元,所述方法包括:
向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;
基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP-NF网元。包括:
根据本发明提供的一种安全访问控制方法,所述基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,包括:
基于所述第一敲门端口信息,向所述SP-NF网元的第一敲门端口发送携带所述端口敲门请求的第一单包授权SPA数据包;第一SPA数据包包括:所述SC-NF网元的IP地址、请求服务的协议信息和所述第一业务端口的信息。
根据本发明提供的一种安全访问控制方法,所述方法还包括:
在所述第一业务端口的有效时间到期,且所述第一敲门端口的有效时间未到期的情况下,向所述SP-NF网元的第一敲门端口发送第二SPA数据包;所述第二SPA数据包包括:所述SC-NF网元的IP地址、请求服务的协议信息和请求的第二业务端口的信息。
根据本发明提供的一种安全访问控制方法,该方法还包括:
在所述第一敲门端口的有效时间到期后,向所述NRF网元重新发送所述访问请求;
接收所述NRF网元基于所述访问请求发送的新的响应信息;所述新的响应信息包括所述SP-NF网元的新的第二敲门端口信息和令牌Token。
根据本发明提供的一种安全访问控制方法,所述Token包括以下至少一项:所述NRF的信息、所述SP-NF网元的标识ID、所述SP-NF网元的IP地址、所述SP-NF网元的敲门端口号、所述敲门端口号的有效时间、所述SC-NF网元的ID、请求服务类型、所述Token的有效时间。
根据本发明提供的一种安全访问控制方法,所述SPA数据包的负载信息为通过所述SP-NF网元的公钥加密,且通过所述SC-NF网元的私钥签名后的负载信息。
本发明还提供一种安全访问控制方法,应用于网络存储功能NRF网元,所述方法包括:
接收服务请求网络功能SC-NF网元发送的访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
基于所述访问请求向所述SC-NF网元发送响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;所述第一敲门端口信息和Token用于对所述SC-NF网元访问所述SP-NF网元进行安全控制。
根据本发明提供的一种安全访问控制方法,所述方法还包括:
在所述第一敲门端口的有效时间到期后,向服务提供网络功能SP-NF网元发送端口更新请求,所述端口更新请求用于与所述SP-NF网元协商更新后的第二敲门端口信息。
根据本发明提供的一种安全访问控制方法,该方法还包括:
生成第一随机数;
向所述SP-NF网元发送所述第一随机数,并获取所述SP-NF网元生成的第二随机数;
基于所述第一随机数和所述第二随机数生成所述更新后的第二敲门端口信息。
本发明还提供一种安全访问控制方法,应用于服务提供网络功能SP-NF网元,所述方法包括:
接收服务请求网络功能SC-NF网元基于所述第一敲门端口信息发送的端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
对所述端口敲门请求进行安全验证;
在对所述端口敲门请求验证通过后,开启所述第一业务端口,并向所述SC-NF网元发送验证通过的响应信息;所述响应信息用于指示所述SC-NF网元访问所述SP-NF网元。
根据本发明提供的一种安全访问控制方法,所述对所述端口敲门请求进行安全验证,包括:
利用SP-NF网元的私钥对所述端口敲门请求进行解密,并对解密后的数据利用SC-NF网元的公钥进行签名验证。
根据本发明提供的一种安全访问控制方法,所述方法还包括:
在所述第一业务端口的有效时间到期后,关闭所述第一业务端口。
根据本发明提供的一种安全访问控制方法,所述方法还包括:
接收所述NRF网元发送的端口更新请求,所述端口更新请求为在所述第一敲门端口的有效时间到期后发送的,所述端口更新请求用于与所述SP-NF网元协商更新后的第二敲门端口信息。
根据本发明提供的一种安全访问控制方法,所述方法还包括:
生成第二随机数;
向所述NRF网元发送所述第二随机数,并获取所述NRF网元生成的第一随机数;
基于所述第一随机数和所述第二随机数生成所述更新后的第二敲门端口信息。
本发明还提供一种安全访问控制装置,应用于服务请求网络功能SC-NF网元,所述装置包括:
发送模块,用于向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
接收模块,用于接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;
所述发送模块,还用于基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
处理模块,用于在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP-NF网元。
本发明还提供一种安全访问控制装置,应用于网络存储功能NRF网元,所述装置包括:
接收模块,用于接收服务请求网络功能SC-NF网元发送的访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
发送模块,用于基于所述访问请求向所述SC-NF网元发送响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;所述第一敲门端口信息和Token用于对所述SC-NF网元访问所述SP-NF网元进行安全控制。
本发明还提供一种安全访问控制装置,应用于服务提供网络功能SP-NF网元,所述装置包括:
接收模块,用于接收服务请求网络功能SC-NF网元基于所述第一敲门端口信息发送的端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
处理模块,用于对所述端口敲门请求进行安全验证;在对所述端口敲门请求验证通过后,开启所述第一业务端口;
发送模块,用于向所述SC-NF网元发送验证通过的响应信息;所述响应信息用于指示所述SC-NF网元访问所述SP-NF网元。
本发明还提供一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现如上述任一种所述安全访问控制方法。
本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现如上述任一种所述安全访问控制方法。
本发明还提供一种计算机程序产品,包括计算机程序,所述计算机程序被处理器执行时实现如上述任一种所述安全访问控制方法。
本发明提供的安全访问控制方法和设备,服务请求网络功能SC-NF网元向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;SC-NF网元接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;SC-NF网元基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,SC-NF网元基于所述Token访问所述SP-NF网元,上述方案中,通过向NRF网元请求第一敲门端口信息,并基于第一敲门端口信息请求开放业务端口,进而对SP-NF网元进行访问,能够提高业务端口的安全性,减少了业务端口暴露容易带来非法攻击的风险。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1是本发明提供的安全访问控制方法的流程示意图之一;
图2是本发明提供的安全访问控制方法的流程示意图之二;
图3是本发明提供的安全访问控制方法的流程示意图之三;
图4A是本发明提供的安全访问控制方法的交互流程示意图之一;
图4B是本发明提供的安全访问控制方法的交互流程示意图之二;
图5是本发明提供的安全访问控制装置的结构示意图之一;
图6是本发明提供的安全访问控制装置的结构示意图之二;
图7是本发明提供的安全访问控制装置的结构示意图之三;
图8是本发明提供的电子设备的结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
首先,对本发明实施例涉及的应用场景进行介绍:
本发明实施例的方法可以应用于服务化架构的核心网网络中,在5GC服务化架构中,网络功能NF分为服务请求网络功能SC-NF网元和服务提供网络功能SP-NF网元,SP-NF通过服务化接口,为SC-NF提供访问服务。
SC-NF是服务请求者,能够通过服务化接口向SP-NF发起服务请求。3GPP支持“请求-响应”和“订阅-通知”两种服务,前者用于SC-NF向SP-NF发起服务请求,SP-NF进行响应。后者用于SC-NF向SP-NF订阅某个事件,当SP-NF发现满足条件时,向SC-NF返回通知结果。
目前,当SC-NF向SP-NF访问时,需要向网络存储功能(Network RepositoryFunction,NRF)进行服务发现,请求访问SP-NF的令牌(Token),Token中包含发行方NRF信息、请求方SC-NF信息、服务提供方SP-NF信息、请求的服务类型、有效时间等,NRF会根据其存储的NF访问控制映射列表,判断SC-NF是否被授权访问SP-NF的相关服务。如果访问被授权,则NRF会向SC-NF反馈允许访问的SP-NF信息及Token。SC-NF获取Token后,向SP-NF访问时携带该Token参数,并对Token值进行签名,SP-NF对收的Token进行完整性验证,并对Token中的服务提供方信息以及请求的服务信息是否与自己匹配以及令牌是否超期,如果验证成功,SP-NF响应SC-NF令牌验证成功,SC-NF可在Token有效期内再次访问SP-NF。
在实现本发明的过程中,发明人研究发现目前5GC服务化NF访问过程存在以下安全风险:
(1)NF的业务端口暴露带来非法攻击的风险。NF为了提供服务化访问,需要开启业务端口。当攻击者渗透至5GC网络中,可以对NF的业务端口进行扫描发现,在NF之间不开启TLS机制的情况下,攻击者可以伪冒SC-NF向SP-NF的业务端口发起构造的非法服务化请求,即便开启了TLS认证,攻击者可以通过传输控制协议(Transmission Control Protocol,TCP)连接建立SYN、网络控制信息协议(Internet Control Message Protocol,ICMP)Flood等攻击向正常的NF业务端口发起网络攻击,耗费NF的资源,阻塞其他正常的服务化访问。
(2)NF的业务端口的静态特征降低了系统攻击难度。5GC中NF的业务端口配置都是采用静态的方式,通常业务端口确定了就不再变化,这种情况下,如果攻击者通过端口扫描等手段掌握了NF的端口,就具备了长期对网络指定网络地址和端口发起攻击的能力。而目前基于C/S服务模型的核心网访问过程,在不破坏NF之间通信连接的情况下,极难做到端口随机跳变以应对上述威胁问题。
零信任架构作为目前解决网络接入和访问信任的重要关键技术之一,在访问主体和客体之间构建以身份为基础的动态可信访问控制体系,结合身份认证、业务安全访问、持续信任评估和动态访问控制等关键能力,对默认不可信的所有访问请求进行动态授权,通过分析网络安全态势进行对用户和实体行为分析实现对身份进行持续画像,对用户访问行为进行持续分析,对用户信任进行持续评估,并根据信任动态变化情况对访问权限进行动态调整,基于信任和风险度量结果,实现动态的访问授权,使用户分配到与其身份相符的最小权限。其中,基于单包授权(Single Packet Authorization,SPA)的零信任机制,通过“先认证,后连接的”的方式来实现接入访问,能够实现被访问主体在端口关闭情况下的认证访问,降低被访问主体端口暴露带来的安全风险。
因此,在本发明实施例中,NF的业务端口默认关闭,SC-NF无法与SP-NF直接建立HTTP会话,需要首先向SP-NF发起端口敲门请求,SP-NF验证通过后,SP-NF才开启业务端口,从而SC-NF与SP-NF在该端口上建立会话连接,进而进行服务化请求,提高了访问的安全性。
下面结合图1-图8以具体的实施例对本发明实施例的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
图1是本发明提供的安全访问控制方法的流程示意图之一。如图1所示,本实施例的执行主体为SC-NF,本实施例提供的方法包括:
步骤101、向网络存储功能NRF网元发送访问请求,访问请求用于请求访问服务提供网络功能SP-NF网元;
具体的,SC-NF向NRF发起访问SP-NF的访问请求,用于请求访问服务提供网络功能SP-NF网元;NRF向SC-NF反馈SP-NF的信息,例如SP-NF网元的标识ID、IP地址信息等,以及SP-NF网元开放的第一敲门端口信息,例如包括第一敲门端口号P0和当前第一敲门端口的有效时间T0等。
步骤102、接收NRF网元基于访问请求发送的响应信息;响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;
具体的,NRF在其存储的网元信息中找到对应的SP-NF网元的标识ID、IP地址信息等,并发送响应信息,包括SP-NF网元开放的第一敲门端口信息,例如第一敲门端口号P0和有效时间T0。此外,NRF还返回Token值,可选地,Token包含SC-NF的ID,SP-NF的ID,请求服务类型以及Token的有效时间等。
可选地,Token值符合3GPP标准规定的要求,用于授权SC-NF访问SP-NF的服务。SC-NF在发起服务请求时,需要携带Token值,SP-NF会验证Token值中的发行方NRF信息、SC-NFID,SP-NF ID,请求的服务类型和Token的有效时间等,如果验证通过则响应SC-NF的服务请求。
Token值的申请是3GPP的标准流程,本方法在不改变3GPP标准流程的基础上,增加了SC-NF请求SP-NF的第一敲门端口信息,复用了已有的流程,实现复杂度较低,应用范围较广。
步骤103、基于第一敲门端口信息向SP-NF网元发送端口敲门请求,第一敲门端口信息用于请求SP-NF网元开放第一业务端口;
具体的,SP-NF网元的业务端口默认是关闭的,SC-NF获得第一敲门端口号P0后,向SP-NF的P0端口发起请求,例如通过SPA数据包携带,SPA数据包中包括请求的SC-NF的IP地址、请求服务的协议信息、请求开启的第一业务端口P1、第一业务端口的有效时间T1等信息。
SP-NF对收到的SPA数据包进行验证,验证通过后,向SC-NF开启第一业务端口P1
SP-NF对SPA数据包进行验证,验证通过后开启第一业务端口,确保数据包没有被篡改,提高访问安全性。
可选地,如果验证不通过,SP-NF不会向SC-NF响应任何信息,这样能够防范攻击者恶意对P0端口发起非法的敲门尝试。
步骤104、在接收到SP-NF网元发送的验证通过的响应信息后,基于Token访问SP-NF网元。
具体的,向SP-NF网元发送连接请求,用于请求与SP-NF网元建立连接,并在连接建立后发送服务请求,服务请求携带该Token。
例如,SC-NF向SP-NF的第一业务端口P1发起TCP连接请求,并在连接建立后携带Token值向SP-NF发起服务请求,SP-NF验证Token后,响应该服务请求。
可选地,Token包括以下至少一项:所述SP-NF网元的标识ID、所述SP-NF网元的IP地址、所述SP-NF网元的敲门端口号、所述敲门端口号的有效时间、所述SC-NF网元的ID、请求服务类型、所述Token的有效时间。
本实施例的方法,通过向NRF网元请求第一敲门端口信息,并基于第一敲门端口信息请求开放业务端口,进而对SP-NF网元进行访问,能够提高业务端口的安全性,减少了业务端口暴露容易带来非法攻击的风险。
本发明实施例的方法,在当前核心网的服务访问过程中引入了动态SPA机制,一方面通过端口敲门机制避免了恶意攻击者伪造核心网NF,即便是恶意攻击者伪造网元渗透进入了核心网,但是由于NF的服务端口是默认关闭的,攻击者也无法直接向核心网NF发起非法服务请求,提升了攻击者渗透入核心网向NF发起非法访问服务或者DDoS的攻击门槛。
可选地,SC-NF与SP-NF分别在NRF中完成注册,除了在3GPP标准中要求的注册信息之外,各NF向NRF提供其开启的敲门端口信息,以及端口的有效时间T。
可选地,NF也可以在NRF注册多个敲门端口,SC-NF可以随机向SP-NF开放的多个端口发起敲门请求。
有效时间T表示当前敲门端口P存活的时间,并随着时间递减。如果T的值越小,说明端口存活时间越短。当T归0后,当前的端口T无效,SP-NF关闭端口P,NRF需要更新SP-NF的敲门端口。
可选地,SP-NF根据SPA数据包的信息,设置防火墙策略,仅允许SC-NP的IP地址对第一业务端口P1进行访问,并且第一业务端口在有效时间T1到期后关闭。
可选地,请求的第一业务端口P1是可以随机动态变化的。对于SC-NF请求开放的第一业务端口P1,SP-NF可以根据P1的值(即端口号)进行服务端的服务重配置,实现服务在P1端口上的部署。即SC-NF发送的端口敲门请求中携带的业务端口号可以不是固定的,可以是变化的,例如多次的端口敲门请求中携带的业务端口号不同。该业务端口号可以是SC-NF确定的,SP-NF可以根据该业务端口号进行服务端的服务重配置。
可选地,该方法还包括:
在所述第一业务端口的有效时间到期,且所述第一敲门端口的有效时间未到期的情况下,向所述SP-NF网元的第一敲门端口发送第二SPA数据包;所述第二SPA数据包包括:所述SC-NF网元的IP地址、请求服务的协议信息和请求的第二业务端口的信息。
具体的,SP-NF在有效时间T1到期后,关闭第一业务端口P1
SC-NF在第一敲门端口的有效时间T0期间,继续向SP-NF的P0端口发起端口敲门请求,并执行后续服务请求,具体实现方式参见前述实施例。
上述实施方式中,实现了通过SPA机制下的端口随机跳变能力,避免了服务端口静态固定带来的攻击渗透安全风险,增大了恶意用户嗅探网络实施持续性攻击的难度。
可选地,该方法还包括:
在所述第一敲门端口的有效时间到期后,向所述NRF网元重新发送所述访问请求;
接收所述NRF网元基于所述访问请求发送的新的响应信息;所述新的响应信息包括所述SP-NF网元的新的第二敲门端口信息。
具体的,为了进一步提高访问的安全性,敲门端口也可以动态更新,在第一敲门端口的有效时间到期后,可以重新向NRF网元发送访问请求,NRF网元可以返回更新后的第二敲门端口信息,可选地,还可以一起返回Token。
Token也有有效时间,Token有效时间到期后也可以采用类似的方式进行更新。
上述实施方式中,通过动态更新敲门端口的机制,进一步防止了攻击者嗅探到NF的敲门端口,发起非法端口敲门尝试的攻击,提高了安全性。
可选地,所述SPA数据包的负载信息为通过所述SP-NF网元的公钥加密,且通过所述SC-NF网元的私钥签名后的负载信息。
具体的,SPA数据包通常是UDP数据包,其中负载信息(payload)被SP-NF的公钥加密,并且SC-NF用自己的私钥对payload进行签名。
SP-NF对收到的SPA数据包进行验证,验证通过后,向SC-NF开启第一业务端口P1
SP-NF用自己的私钥对SPA数据包进行解密,并用SC-NF的公钥对解密后的数据包信息进行签名验证,验证通过后开启第一业务端口,确保数据包没有被篡改,提高访问安全性。
可选地,也可以采用预置密钥的方式实现SPA数据包加密,即SC-NP与SP-NF预先配置相同的密钥进行对称数据加密。
图2是本发明提供的安全访问控制方法的流程示意图之二。如图2所示,本实施例提供的方法,应用于网络存储功能NRF网元,该方法包括:
步骤201、接收服务请求网络功能SC-NF网元发送的访问请求,访问请求用于请求访问服务提供网络功能SP-NF网元;
步骤202、基于访问请求向SC-NF网元发送响应信息;响应信息包括SP-NF网元的第一敲门端口信息和令牌Token;第一敲门端口信息和Token用于对SC-NF网元访问SP-NF网元进行安全控制。
可选地,该方法还包括:
在所述第一敲门端口的有效时间到期后,向服务提供网络功能SP-NF网元发送端口更新请求,所述端口更新请求用于与所述SP-NF网元协商更新后的第二敲门端口信息;
可选地,更新后的第二敲门端口信息为根据NRF网元生成的随机数以及SP-NF网元生成的随机数得到的。
可选地,NRF网元生成第一随机数;
向所述SP-NF网元发送所述第一随机数,并获取所述SP-NF网元生成的第二随机数;
基于所述第一随机数和所述第二随机数生成所述更新后的第二敲门端口信息。
具体的,NRF和SP-NF相互交换生成的随机数,交换过程为采用加密方式进行的,NRF和SP-NF分别利用NRF生成的随机数以及SP-NF生成的随机数,采用相同算法生成更新后的第二敲门端口。
例如,可以采用如下公式得到更新后的第二敲门端口:
P0*=(P0+R1+R2)%(Pmax-Pmin)+Pmin;其中,P0*表示更新后的第二敲门端口号,P0表示更新前的第一敲门端口号,R1表示NRF的随机数,R2表示SP-NF的随机数,Pmin表示敲门端口号的最小值,Pmax表示敲门端口号的最大值,其中,%表示是模除(a%b是a除以b后取余数)。
具体的,当第一敲门端口的有效时间T0到期后,NRF向SP-NF发起第一敲门端口的端口更新请求,SP-NF与NRF协商新的第二敲门端口P0*和有效时间T0*。
可选地,NRF与SP-NF的端口更新协商可以借鉴TLS协议的密钥生成过程,例如NRF生成随机数R1,并通过SP-NF的公钥加密R1发给SP-NF,同样SP-NF生成随机数R2,并通过NRF的公钥加密发给NRF,这样NRF和SP-NF均有随机数R1和R2,假设SP-NF的敲门端口范围为[Pmin,Pmax],则生成规则可以采用如下公式:P0*=(P0+R1+R2)%(Pmax-Pmin)+Pmin
可选地,第二端口的有效时间T0*可以与T0保持一致,也可以根据随机数R1和R2计算生成。
NRF更新SP-NF的敲门端口信息,例如包括第二敲门端口P0*和第二敲门端口的有效时间。
SC-NF检测到第一敲门端口的有效时间T0到期后,在向SP-NF发起服务请求之前,重新向NRF发起步骤101中的访问请求,获得SP-NF新的第二敲门端口P0*,并执行步骤103-104。
示例性地,如图4A所示,更新敲门端口例如可以通过如下步骤实现:
步骤1、NRF在检测到T0到期后,向SP-NF发起端口更新请求,携带生成随机数R1
例如,端口更新请求为利用SP-NF的公钥加密后的发送的;
步骤2、SP-NF响应,并返回生成的随机数R2
SP-NF利用SP-NF的私钥对端口更新请求进行解密,得到随机数R1
可选地,SP-NF向NRF发送利用NRF的公钥加密后的随机数R2
步骤3、通过P0和随机数R1、R2计算第二敲门端口P0*和有效时间T0*;
NRF利用NRF的私钥对接收到的信息进行解密得到随机数R2,并采用与SP-NF相同的计算方式计算得到第二敲门端口P0*和有效时间T0*;
步骤4、采用与NRF相同的计算方式,通过P0和随机数R1、R2计算第二敲门端口P0*和有效时间T0*。
其中,步骤3和步骤4不分先后顺序。
本实施例的方法,其实现原理和技术效果与SC-NF侧方法实施例类似,此次不再赘述。
图3是本发明提供的安全访问控制方法的流程示意图之三。如图3所示,本实施例提供的方法,包括:
步骤301、接收服务请求网络功能SC-NF网元基于第一敲门端口信息发送的端口敲门请求,端口敲门请求用于请求SP-NF网元开放第一业务端口;
步骤302、对端口敲门请求进行安全验证;
步骤303、在对端口敲门请求验证通过后,开启第一业务端口,并向SC-NF网元发送验证通过的响应信息;响应信息用于指示SC-NF网元访问SP-NF网元。
可选地,所述对所述端口敲门请求进行安全验证,包括:
利用SP-NF网元的私钥对所述端口敲门请求进行解密,并对解密后的数据利用SC-NF网元的公钥进行签名验证。
可选地,所述方法还包括:
在所述第一业务端口的有效时间到期后,关闭所述第一业务端口。
可选地,所述方法还包括:
接收所述NRF网元发送的端口更新请求,所述端口更新请求为在所述第一敲门端口的有效时间到期后发送的,所述端口更新请求用于与所述SP-NF网元协商更新后的第二敲门端口信息。
可选地,所述方法还包括:
生成第二随机数;
向所述NRF网元发送所述第二随机数,并获取所述NRF网元生成的第一随机数;
基于所述第一随机数和所述第二随机数生成所述更新后的第二敲门端口信息。
本实施例的方法,其实现原理和技术效果与SC-NF侧方法实施例类似,此次不再赘述。
示例性地,如图4B所示,该方法包括:
步骤1a、SP-NF向NRF注册;步骤1b、SC-NF向NRF注册;
其中,步骤1a和步骤1b不分先后顺序。
步骤2、SC-NF向NRF发起访问SP-NF的请求;
步骤3、NRF返回SP-NF的开放的第一敲门端口的信息,以及授权访问Token;第一敲门端口的信息例如包括第一敲门端口号P0和有效时间T0
步骤4、SC-NF向SP-NF的第一敲门端口P0发送SPA数据包,包含请求访问的业务端口P1
步骤5、SP-NF验证SPA数据表,开放请求的业务端口P1;即验证通过后开放请求的业务端口P1
步骤6、SP-NF向SC-NF发送响应信息,用于指示SC-NF已开放业务端口;
步骤7、SC-NF携带Token向SP-NF发起访问服务请求;
步骤8、SP-NF关闭业务端口P1;例如在业务端口P1的有效时间到期后业务端口P1
步骤9、SC-NF在T0有效期内向SP-NF发起访问服务请求;
步骤10、T0到期后,NRF向SP-NF发起端口更新请求,协商新的第二敲门端口P0*和有效时间T0*;
步骤11、NRF更新SP-NF的第二敲门端口信息;
步骤12、SC-NF检测到T0到期后,向NRF发起访问SP-NF的请求。
综上所述,本发明实施例中主要包括以下核心点:
(1)提出基于SPA的5G核心网网络功能安全访问的控制方法。本方法改进了当前3GPP标准定义的5G核心网服务化访问机制,默认NF的服务端口关闭,在NF访问服务之前,通过SPA端口敲门机制请求被访问的NF开启服务端口。本方法中,SPA数据包由SC-NF构造,并用SP-NF的公钥加密,SC-NF的私钥签名,从而确保SPA在传输过程中的机密性和完整性。
(2)提出SPA敲门端口的申请访问机制。本方法改进了当前3GPP标准中NRF的服务访问授权机制,在SC-NF向NRF进行服务发现的过程中,在申请访问Token的基础上,加入了对SP-NF敲门端口的请求,NRF维护着所有NF的开放的敲门端口信息,并告知SC-NF其访问的SP-NF的敲门端口信息。SC-NF获得敲门端口后,可以向该端口发起敲门请求。
(3)提出基于有效访问时间的动态端口更新机制。不同于传统SPA机制中敲门端口往往固定,本方法引入了敲门端口有效期机制,实现核心网NF的敲门端口是动态变化的。SC-NF在向NRF请求敲门端口时,同时获得敲门端口的有效时间信息。SC-NF和NRF同时维护开启的敲门端口信息和有效时间信息,在定时器之内,SC-NF可以向SP-NF的敲门端口发起SPA敲门,如果有效时间超时,SC-NF需要向NRF重新申请新的敲门端口信息。在这之前,NRF检测到有效时间超时,则会通知SP-NF更新敲门端口信息。这种敲门端口动态变化的机制可以有效防止外部攻击者对网络持续攻击发现端口,从而发起对开启敲门端口的(D)DoS攻击或者发起恶意SPA嗅探。
此外,本方法复用了当前3GPP核心网NF服务发现流程,在进行Token请求过程中叠加了敲门端口的信息请求,在已有Token机制对NF验证的基础上,通过SPA机制增加了对服务端口的访问保护,在不显著增加额外信令流程的基础上,达到了更高的核心网服务化接口保护效果,即提高了安全性。
下面对本发明提供的安全访问控制装置进行描述,下文描述的安全访问控制装置与上文描述的安全访问控制方法可相互对应参照。
图5是本发明提供的安全访问控制装置的结构示意图之一。如图5所示,本实施例提供的安全访问控制装置,包括:
发送模块110,用于向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
接收模块120,用于接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;
所述发送模块110,还用于基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
处理模块130,用于在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP-NF网元。
可选地,发送模块110具体用于:
基于所述第一敲门端口信息,向所述SP-NF网元的第一敲门端口发送携带所述端口敲门请求的第一单包授权SPA数据包;第一SPA数据包包括:所述SC-NF网元的IP地址、请求服务的协议信息和所述第一业务端口的信息。
可选地,发送模块110还用于:
在所述第一业务端口的有效时间到期,且所述第一敲门端口的有效时间未到期的情况下,向所述SP-NF网元的第一敲门端口发送第二SPA数据包;所述第二SPA数据包包括:所述SC-NF网元的IP地址、请求服务的协议信息和请求的第二业务端口的信息。
可选地,所述方法还包括:
在所述第一敲门端口的有效时间到期后,向所述NRF网元重新发送所述访问请求;
接收所述NRF网元基于所述访问请求发送的新的响应信息;所述新的响应信息包括所述SP-NF网元的新的第二敲门端口信息。
可选地,所述Token包括以下至少一项:NRF的信息、所述SP-NF网元的标识ID、所述SP-NF网元的IP地址、所述SP-NF网元的敲门端口号、所述敲门端口号的有效时间、所述SC-NF网元的ID、请求服务类型、所述Token的有效时间。
可选地,所述SPA数据包的负载信息为通过所述SP-NF网元的公钥加密,且通过所述SC-NF网元的私钥签名后的负载信息。
本发明实施例的装置,其用于执行前述SC-NF侧任一方法实施例中的方法,其实现原理和技术效果类似,此次不再赘述。
图6是本发明提供的安全访问控制装置的结构示意图之二。如图6所示,本实施例提供的安全访问控制装置,包括:
接收模块210,用于接收服务请求网络功能SC-NF网元发送的访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
发送模块220,用于基于所述访问请求向所述SC-NF网元发送响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;所述第一敲门端口信息和Token用于对所述SC-NF网元访问所述SP-NF网元进行安全控制。
可选地,所述发送模块220还用于:
在所述第一敲门端口的有效时间到期后,向服务提供网络功能SP-NF网元发送端口更新请求,所述端口更新请求用于与所述SP-NF网元协商更新后的第二敲门端口信息。
可选地,该装置还包括:
处理模块,用于生成第一随机数;
所述发送模块220,还用于向所述SP-NF网元发送所述第一随机数,接收模块210,还用于获取所述SP-NF网元生成的第二随机数;
所述处理模块,还用于基于所述第一随机数和所述第二随机数生成所述更新后的第二敲门端口信息。
本发明实施例的装置,其用于执行前述NRF侧任一方法实施例中的方法,其实现原理和技术效果类似,此次不再赘述。
图7是本发明提供的安全访问控制装置的结构示意图之三。如图7所示,本实施例提供的安全访问控制装置,包括:
接收模块310,用于接收服务请求网络功能SC-NF网元基于所述第一敲门端口信息发送的端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
处理模块320,用于对所述端口敲门请求进行安全验证;在对所述端口敲门请求验证通过后,开启所述第一业务端口;
发送模块330,用于向所述SC-NF网元发送验证通过的响应信息;所述响应信息用于指示所述SC-NF网元访问所述SP-NF网元。
可选地,所述处理模块320具体用于:
利用SP-NF网元的私钥对所述端口敲门请求进行解密,并对解密后的数据利用SC-NF网元的公钥进行签名验证。
可选地,所述处理模块320还用于:
在所述第一业务端口的有效时间到期后,关闭所述第一业务端口。
可选地,所述接收模块310,还用于:
接收所述NRF网元发送的端口更新请求,所述端口更新请求为在所述第一敲门端口的有效时间到期后发送的,所述端口更新请求用于与所述SP-NF网元协商更新后的第二敲门端口信息。
可选地,所述处理模块320还用于:
生成第二随机数;
发送模块330,还用于向所述NRF网元发送所述第二随机数,所述接收模块310,还用于获取所述NRF网元生成的第一随机数;
所述处理模块320还用于基于所述第一随机数和所述第二随机数生成所述更新后的第二敲门端口信息。
本发明实施例的装置,其用于执行前述SP-NF侧任一方法实施例中的方法,其实现原理和技术效果类似,此次不再赘述。
图8示例了一种电子设备的实体结构示意图,如图8所示,该电子设备可以包括:处理器(processor)810、通信接口(Communications Interface)820、存储器(memory)830和通信总线840,其中,处理器810,通信接口820,存储器830通过通信总线840完成相互间的通信。处理器810可以调用存储器830中的逻辑指令,以执行安全访问控制方法,该方法包括:
向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;
基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP-NF网元。或,
接收服务请求网络功能SC-NF网元发送的访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
基于所述访问请求向所述SC-NF网元发送响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;所述第一敲门端口信息和Token用于对所述SC-NF网元访问所述SP-NF网元进行安全控制。或,
接收服务请求网络功能SC-NF网元基于所述第一敲门端口信息发送的端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
对所述端口敲门请求进行安全验证;
在对所述端口敲门请求验证通过后,开启所述第一业务端口,并向所述SC-NF网元发送验证通过的响应信息;所述响应信息用于指示所述SC-NF网元访问所述SP-NF网元。
此外,上述的存储器830中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。
另一方面,本发明还提供一种计算机程序产品,所述计算机程序产品包括计算机程序,计算机程序可存储在非暂态计算机可读存储介质上,所述计算机程序被处理器执行时,计算机能够执行上述各方法所提供的安全访问控制方法,该方法包括:
向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;
基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP-NF网元。或,
接收服务请求网络功能SC-NF网元发送的访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
基于所述访问请求向所述SC-NF网元发送响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;所述第一敲门端口信息和Token用于对所述SC-NF网元访问所述SP-NF网元进行安全控制。或,
接收服务请求网络功能SC-NF网元基于所述第一敲门端口信息发送的端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
对所述端口敲门请求进行安全验证;
在对所述端口敲门请求验证通过后,开启所述第一业务端口,并向所述SC-NF网元发送验证通过的响应信息;所述响应信息用于指示所述SC-NF网元访问所述SP-NF网元。
又一方面,本发明还提供一种非暂态计算机可读存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现以执行上述各方法提供的安全访问控制方法,该方法包括:
向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;
基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP-NF网元。或,
接收服务请求网络功能SC-NF网元发送的访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
基于所述访问请求向所述SC-NF网元发送响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;所述第一敲门端口信息和Token用于对所述SC-NF网元访问所述SP-NF网元进行安全控制。或,
接收服务请求网络功能SC-NF网元基于所述第一敲门端口信息发送的端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
对所述端口敲门请求进行安全验证;
在对所述端口敲门请求验证通过后,开启所述第一业务端口,并向所述SC-NF网元发送验证通过的响应信息;所述响应信息用于指示所述SC-NF网元访问所述SP-NF网元。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (18)

1.一种安全访问控制方法,其特征在于,应用于服务请求网络功能SC-NF网元,所述方法包括:
向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;
基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP-NF网元。
2.根据权利要求1所述的安全访问控制方法,其特征在于,所述基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,包括:
基于所述第一敲门端口信息,向所述SP-NF网元的第一敲门端口发送携带所述端口敲门请求的第一单包授权SPA数据包;第一SPA数据包包括:所述SC-NF网元的IP地址、请求服务的协议信息和所述第一业务端口的信息。
3.根据权利要求2所述的安全访问控制方法,其特征在于,所述方法还包括:
在所述第一业务端口的有效时间到期,且所述第一敲门端口的有效时间未到期的情况下,向所述SP-NF网元的第一敲门端口发送第二SPA数据包;所述第二SPA数据包包括:所述SC-NF网元的IP地址、请求服务的协议信息和请求的第二业务端口的信息。
4.根据权利要求1-3任一项所述的安全访问控制方法,其特征在于,所述方法还包括:
在所述第一敲门端口的有效时间到期后,向所述NRF网元重新发送所述访问请求;
接收所述NRF网元基于所述访问请求发送的新的响应信息;所述新的响应信息包括所述SP-NF网元的新的第二敲门端口信息。
5.根据权利要求3所述的安全访问控制方法,其特征在于,所述第一SPA数据包或所述第二SPA数据包的负载信息为通过所述SP-NF网元的公钥加密,且通过所述SC-NF网元的私钥签名后的负载信息。
6.一种安全访问控制方法,其特征在于,应用于网络存储功能NRF网元,所述方法包括:
接收服务请求网络功能SC-NF网元发送的访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
基于所述访问请求向所述SC-NF网元发送响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;所述第一敲门端口信息用于所述SC-NF网元向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;所述Token用于在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,访问所述SP-NF网元。
7.根据权利要求6所述的安全访问控制方法,其特征在于,所述方法还包括:
在所述第一敲门端口的有效时间到期后,向服务提供网络功能SP-NF网元发送端口更新请求,所述端口更新请求用于与所述SP-NF网元协商更新后的第二敲门端口信息。
8.根据权利要求7所述的安全访问控制方法,其特征在于,所述方法还包括:
生成第一随机数;
向所述SP-NF网元发送所述第一随机数,并获取所述SP-NF网元生成的第二随机数;
基于所述第一随机数和所述第二随机数生成所述更新后的第二敲门端口信息。
9.一种安全访问控制方法,其特征在于,应用于服务提供网络功能SP-NF网元,所述方法包括:
接收服务请求网络功能SC-NF网元基于第一敲门端口信息发送的端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;所述端口敲门请求为接收到NRF网元基于访问请求发送的响应信息后,基于所述响应信息包括的SP-NF网元的第一敲门端口信息发送的,所述响应信息还包括令牌Token;所述访问请求用于请求访问所述SP-NF网元;所述Token用于访问所述SP-NF网元;
对所述端口敲门请求进行安全验证;
在对所述端口敲门请求验证通过后,开启所述第一业务端口,并向所述SC-NF网元发送验证通过的响应信息;所述响应信息用于指示所述SC-NF网元访问所述SP-NF网元。
10.根据权利要求9所述的安全访问控制方法,其特征在于,所述对所述端口敲门请求进行安全验证,包括:
利用SP-NF网元的私钥对所述端口敲门请求进行解密,并对解密后的数据利用SC-NF网元的公钥进行签名验证。
11.根据权利要求9或10所述的安全访问控制方法,其特征在于,所述方法还包括:
在所述第一业务端口的有效时间到期后,关闭所述第一业务端口。
12.根据权利要求9或10所述的安全访问控制方法,其特征在于,所述方法还包括:
接收NRF网元发送的端口更新请求,所述端口更新请求为在所述第一敲门端口的有效时间到期后发送的,所述端口更新请求用于与所述SP-NF网元协商更新后的第二敲门端口信息。
13.根据权利要求12所述的安全访问控制方法,其特征在于,所述方法还包括:
生成第二随机数;
向所述NRF网元发送所述第二随机数,并获取所述NRF网元生成的第一随机数;
基于所述第一随机数和所述第二随机数生成所述更新后的第二敲门端口信息。
14.一种安全访问控制装置,其特征在于,应用于服务请求网络功能SC-NF网元,所述装置包括:
发送模块,用于向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
接收模块,用于接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;
所述发送模块,还用于基于所述第一敲门端口信息向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;
处理模块,用于在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP-NF网元。
15.一种安全访问控制装置,其特征在于,应用于网络存储功能NRF网元,所述装置包括:
接收模块,用于接收服务请求网络功能SC-NF网元发送的访问请求,所述访问请求用于请求访问服务提供网络功能SP-NF网元;
发送模块,用于基于所述访问请求向所述SC-NF网元发送响应信息;所述响应信息包括所述SP-NF网元的第一敲门端口信息和令牌Token;所述第一敲门端口信息用于所述SC-NF网元向所述SP-NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;所述Token用于在接收到所述SP-NF网元发送的对所述端口敲门请求验证通过的响应信息后,访问所述SP-NF网元。
16.一种安全访问控制装置,其特征在于,应用于服务提供网络功能SP-NF网元,所述装置包括:
接收模块,用于接收服务请求网络功能SC-NF网元基于第一敲门端口信息发送的端口敲门请求,所述端口敲门请求用于请求所述SP-NF网元开放第一业务端口;所述端口敲门请求为接收到NRF网元基于访问请求发送的响应信息后,基于所述响应信息包括的SP-NF网元的第一敲门端口信息发送的,所述响应信息还包括令牌Token;所述访问请求用于请求访问所述SP-NF网元;所述Token用于访问所述SP-NF网元;
处理模块,用于对所述端口敲门请求进行安全验证;在对所述端口敲门请求验证通过后,开启所述第一业务端口;
发送模块,用于向所述SC-NF网元发送验证通过的响应信息;所述响应信息用于指示所述SC-NF网元访问所述SP-NF网元。
17.一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至5任一项所述安全访问控制方法,如权利要求6至8任一项所述安全访问控制方法,或如权利要求9至13任一项所述安全访问控制方法。
18.一种非暂态计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至5任一项所述安全访问控制方法,如权利要求6至8任一项所述安全访问控制方法,或如权利要求9至13任一项所述安全访问控制方法。
CN202310554769.7A 2023-05-17 2023-05-17 安全访问控制方法和设备 Active CN116321165B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310554769.7A CN116321165B (zh) 2023-05-17 2023-05-17 安全访问控制方法和设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310554769.7A CN116321165B (zh) 2023-05-17 2023-05-17 安全访问控制方法和设备

Publications (2)

Publication Number Publication Date
CN116321165A CN116321165A (zh) 2023-06-23
CN116321165B true CN116321165B (zh) 2023-08-15

Family

ID=86801710

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310554769.7A Active CN116321165B (zh) 2023-05-17 2023-05-17 安全访问控制方法和设备

Country Status (1)

Country Link
CN (1) CN116321165B (zh)

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2020240265A1 (en) * 2019-05-31 2020-12-03 Telefonaktiebolaget Lm Ericsson (Publ) Towards robust notification mechanism in 5g sba

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Ericsson.S3-194516 "Draft TR 33.855".3GPP tsg_sa\wg3_security.2019,(第tsgs3_97_reno期),正文6.10-6.35节. *

Also Published As

Publication number Publication date
CN116321165A (zh) 2023-06-23

Similar Documents

Publication Publication Date Title
US8074264B2 (en) Secure key distribution to internet clients
Aiello et al. Efficient, DoS-resistant, secure key exchange for internet protocols
US8418242B2 (en) Method, system, and device for negotiating SA on IPv6 network
US9699158B2 (en) Network user identification and authentication
CN114553568A (zh) 一种基于零信任单包认证与授权的资源访问控制方法
US20130312054A1 (en) Transport Layer Security Traffic Control Using Service Name Identification
US10609020B2 (en) Method and arrangements for intermediary node discovery during handshake
EP2277297B1 (en) Verifying a message in a communication network
CN111901355A (zh) 一种认证方法及装置
CN110493367B (zh) 无地址的IPv6非公开服务器、客户机与通信方法
WO2023174143A1 (zh) 数据传输方法、设备、介质及产品
Younes Securing ARP and DHCP for mitigating link layer attacks
CN113612790B (zh) 基于设备身份预认证的数据安全传输方法及装置
CN113645115B (zh) 虚拟专用网络接入方法和系统
CN116321165B (zh) 安全访问控制方法和设备
David et al. A dynamic-identity based multimedia server client authentication scheme for tele-care multimedia medical information system
EP1836559B1 (en) Apparatus and method for traversing gateway device using a plurality of batons
CN115801347A (zh) 一种基于单包授权技术增强网络安全的方法和系统
Khan et al. Employing public key infrastructure to encapsulate messages during transport layer security handshake procedure
CN114389813A (zh) 浏览器的访问授权方法、装置、设备和存储介质
Hussain et al. Boost Secure Sockets Layer against Man-in-the-Middle Sniffing Attack via SCPK
Srinivasan et al. VOUCH-AP: privacy preserving open-access 802.11 public hotspot AP authentication mechanism with co-located evil-twins
Maidine et al. Cloud Identity Management Mechanisms and Issues
CN116938603B (zh) 基于隐身网关的流量传输方法、装置、设备及存储介质
Belbachir et al. Involved Security Solution in Voice over IP Networks

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant