CN116489652A - 一种用于空地网络架构的管道安全性提升方法与装置 - Google Patents

Abstract

本发明公开了一种用于空地网络架构的管道安全性提升方法与装置。该方法将基站配置信息预先注册到5G核心网的网络仓库功能网元中；卫星在收到基站发起的中继管道连接建立请求后，通过网络暴露功能网元对网络仓库功能网元发送网络功能查找请求，在网络暴露功能网元收到该基站的网络功能发现请求响应后，根据是否存在基站注册信息设置该基站对应校验结果并响应网元校验请求，最后卫星检查收到的响应带的核验结果信元来判定当前接入基站的合法性。本方法提出的异构系统间网络功能共享可公开信息的数据管道架构及交互方法，降低部署成本并保证效率及普适性，有效补充了5G天地一体化架构下中继卫星对伪基站安全性甄别所需信令交互方法及信元设计。

Description

一种用于空地网络架构的管道安全性提升方法与装置

技术领域

本发明涉及计算机网络和通信技术领域，尤其涉及一种用于空地网络架构的管道安全性提升方法与装置。

背景技术

目前3GPP 5G技术仅提出星地一体组网无线侧技术讨论（NTN non-terrestrialnetworks）尚无核心网侧研究内容，同时CCSA TC12 工作组“天地一体5G网络总体技术要求（送审稿）”第11.3项 “天地一体5G网络安全方案”也对天地一体化架构和安全需求进行了概括性描述： 天地一体5G网络安全应从物理安全、数据安全和网络运行安全几个方面全面进行考虑，内容可以包括但不限于终端连接安全、天基接入网连接安全、天基核心网连接安全、地基接入网连接安全、地基核心网连接安全、网络功能安全、用户数据安全、网络物理隔离和逻辑隔离、网络管理安全、网络配置安全、天地一体业务安全等。可采用的技术手段包括但不限于抗毁技术、抗干扰技术、安全接入和安全路由技术、安全传输、安全存储及密钥管理技术等网络安全防护技术来构建天地一体网络安全架构，保障网络体系安全运行。

如图1所示，现有星地一体化组网架构下5G终端通过空口侧连接到5G地面基站（gNB），5G地面基站到5G核心网（5GC：5G Core Network）的回传网络（包括控制面消息和用户面消息）由卫星进行中继，5G终端最终通过由卫星中继的5G数据管道连接到数据网络服务器。需要注意的是，5G系统和作为5G回传网络中继节点的卫星系统是完全独立的，由各自的核心网（5G核心网及卫星核心网）进行控制，两套网络系统间目前没有网络功能互通及信令交互架构和方法。卫星核心网控制的中继卫星对5G地面基站与卫星间的中继管道建立成功与否取决于卫星核心网中5G地面基站的预配置文件，该配置信息属于网元（networkelement）节点（node）或实例（Instance）信息，目前只能由独立于5G系统的卫星核心网对5G地面基站配置文件进行手动更改。

5G核心网中基于服务的架构（eSBA, enhanced service based Architecture）下，网络功能（NF Network Function）的查找采用预先将网络功能的配置信息（Profile）及关联的发现参数注册到网络仓库功能（NRF Network Repository Function）上的形式。当某个网络功能需要被使用时，该网络功能此时为业务提供者（service producer），请求该服务的网元为业务消费者（service consumer）。 如图2所示，当业务消费者（NF_B）没有可用业务提供者（NF_A）信息时， NF_B携带NF_A的发现参数将查找请求发送到NRF，NRF根据NF_A的注册信息并返回匹配该查询参数的内容。具体步骤如下：

图2中的①所示，业务提供者NF_A把网络功能配置文件及用于配置文件搜索的关联发现（discovery）参数注册到NRF，NRF返回成功以确认NF_A成功注册。NRF本身具备注册信息防止修改功能，网元节点一旦成功注册后，NRF无法对该注册信息进行修改，保护网元节点信息安全。

图2中的②所示，业务消费者NF_B需要和NF_A通信进行功能交互，NF_B首先把NF_A关联的发现参数发送到NRF并请求其关联的NF_A预先注册的配置文件,该配置文件可包含一个或多个网元实例信息，NRF返回查询参数匹配的注册信息。

图2中的③所示，NF_B在接收到NRF返回的查询结果后，如果存在多个NF_A的网络功能实例，则根据一定算法（例如round-robin）选择并连接NF_A的一个实例。

如图3中的a）所示，目前5G核心网不支持将5G基站作为进行查找的网络功能网元形式注册到5G核心网NRF中，如图3中的b）所示，现有5G核心网仅支持外部应用功能（AFApplication Function）通过网络暴露功能节点（NEF Network Expose Function）的参数提供（Parameter Provision）服务提供部分终端（UE User Equipment）用户的关联业务信息。同时如图3中的c）所示， 5G核心网外部节点对5G核心网网元访问仅能通过网络暴露功能节点（NEF Network Expose Function），但现有5G核心网并不支持外部网元通过NEF查找/询问注册到NRF中的内部网元，无用于内部网元可公开信息查询的接口和信令流程。

此外NRF提供网元实例的连接令牌（Access Token）服务。如图4，通过令牌服务，服务消费方（NF_B）仅可在NRF提供授权令牌情况下和服务提供方（NF_A）进行连接，具体步骤如下：

NF_B从NRF拿到对应请求参数的服务提供方（NF_A）实例后，选择一个NF_A实例并通过连接令牌服务为对应选定的NF_A实例请求该实例授权的连接令牌。

NF_B从NRF获得对应NF_A实例标识（ID Identity）的连接令牌后，发送给NF_A的业务请求消息必须携带该连接令牌。如果连接令牌功能开启NF_B并未从NRF的连接令牌服务中拿到NF_A实例的连接令牌,NF_A拒绝此业务请求，此时连接非法。

如图5所示，现有与5G组网构成空地一体化的卫星系统存在以下几点问题：

卫星对5G地面基站中继管道请求甄别采用预配置方式，任意5G地面基站信息变动都需要通过独立卫星系统对该卫星配置文件进行独立更改，操作繁琐且无法融入基于5G基于服务架构eSBA的网元管理体系，在5G基站或小型站（包括5G基站及5G卫星网关，或具有接入点功能的5G系统设备）大量部署场景下，进一步增加了异构系统维护复杂性。

5G地面基站信息需要对独立于5G系统的卫星核心网开放，并通过三方管道进行配置文件更新，进一步增加了5G系统信息泄露从而引发5G系统安全性风险。

星地（异构）一体化网络架构中，由于地面站需要和卫星建立和核心网的中继管道，卫星作为异构系统网元仅有基站配置表，无法通过5G系统对5G内部网元节点可公开信息进行查找，卫星对地面基站配置表外基站中继请求连接合法性甄别无法采用5G已有安全体系. 同时由于卫星系统没有该部分配置表外（造成原因可能为配置更新操作不当或者滞后）基站合法性信息，这造成卫星无法建立5G地面站与5G核心网的中继管道连接。用户业务无法保障。

如上所述，为降低系统维护复杂度、提升异构系统数据管道安全性以及提高用户业务体验，现有空地一体架构下5G和与5G组网的异构系统间亟需一种新的数据共享架构及网络功能重用的方法。

发明内容

本发明的目的在于针对现有3GPP空地一体架构（NTN）上5G和与5G系统组网的异构网络系统间无法进行可公开数据及网络功能共享造成的异构系统间数据管道连接安全性、维护复杂性及用户业务体验连续性的问题，提供一种基于5G功能共享的信息共享架构和方法来提升天地一体化异构系统网元/网络设备间连接安全性、系统维护易操作性及提升用户业务体验的方法。

本发明的目的是通过以下技术方案来实现的：一种用于空地网络架构的管道安全性提升方法，该方法包括如下步骤：

S1：在合法基站与5G核心网有连接或网络仓库功能网元对网络功能网元配置信息基于手动配置更新时，将基站配置信息预先注册到5G核心网的网络仓库功能网元中；

S2：中继卫星在收到基站发起的中继管道连接建立请求后，基于连接建立请求中的基站配置信息，中继卫星发起携带该基站的配置信息的网元校验请求至网络暴露功能网元，通过网络暴露功能网元对网络仓库功能网元发送网络功能查找请求；

S3：网络仓库功能网元收到查找请求后，根据注册信息对网络暴露功能网元返回基站查询结果；若存在对应基站注册的配置信息，则网络暴露功能网元设置校验结果信元中的校验结果为“已注册”，否则设置为“不存在”，并响应中继卫星的网元校验请求；

S4：中继卫星根据收到的校验请求响应并检查携带的校验结果信元，

若信元中携带“已注册”校验结果，则接受该基站中继管道连接建立请求；

若信元中携带“不存在”校验结果，则拒绝该基站中继管道连接建立请求。

进一步地，S1中合法基站与5G核心网的连接为：

基站和核心网连接方式是将自身作为网络功能节点，通过5G核心网网络仓库功能网元的注册服务，将基站配置信息注册到5G核心网的网络仓库功能网元中；该注册流程中基站配置信息通过新增信元结构携带；

所述基站配置信息包含包括必选项参数和可选项参数，所述必选项参数为全球基站节点身份标识；所述可选项参数为：基站节点名字、支持的追踪区列表和该列表中支持的追踪区项以及该追踪区项下的追踪区域码。

进一步地，S1中将基站配置信息预先注册到5G核心网的网络仓库功能网元具体为：

将基站配置信息加入到网络仓库功能网元注册请求中携带的网络功能配置文件，并注册到网络仓库功能网元，注册成功则返回注册成功状态码及对应的网络功能配置文件，否则返回注册失败状态码或者重定位状态码；失败状态下需要基站重新选择网络仓库功能网元的实例，并对选定网络仓库功能网元实例再次执行基站注册流程。

进一步地，所述网络暴露功能网元发送的网络功能查找请求带有基站配置信息查询参数，网络仓库功能网元收到查找请求后，沿用现有的网络功能发现服务对该基站预先注册的配置信息进行查找。

进一步地，所述基站配置信息查询参数为与基站配置信息一致的必选项参数和可选项参数，所述必选项参数用于决定校验结果；所述可选项参数用于提供基站附属信息。

进一步地，所述网络仓库功能网元收到查找请求后，根据注册信息对网络暴露功能网元返回基站查询结果具体为：

网络仓库功能网元检查注册信息是否匹配该查询请求中携带的基站配置信息，返回匹配信息并将请求响应状态码置为查询成功；

如果无法处理该网络功能查找请求，则将请求响应状态码置为查询无效，需要重发该网络功能查找请求，或者将请求响应状态码置为重定位并在响应中携带资源重定位头，代表需要重新发送查找请求且发送到该资源重定位头指定的位置。

进一步地，所述网络暴露功能网元将网络功能查找请求响应返回给对应查询中继卫星；如果无法处理该网络仓库功能网元返回的网络功能查找请求响应，则将状态码置为请求无效；或者将状态码置为重定位并在响应中携带资源重定位头发送给该中继卫星。

进一步地， S4中，中继卫星在收到网络功能查找请求响应后，如果响应状态码为查询成功，则卫星根据携带的校验结果对该中继管道连接建立请求的发起基站进行准入或拒绝；如果响应状态码为查询无效，中继卫星需要重发该网元校验请求；如果响应状态码为重定位状态码并在响应中携带资源重定位头，代表中继卫星需要重新发送网元校验请求且发送到该资源重定位头指定的位置；如果卫星按预设次数尝试网元校验服务后无法获得有效校验结果，则卫星拒绝该基站的中继管道建立请求。

第二方面，本发明提供了一种用于空地网络架构的管道安全性提升装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述一个或多个处理器执行所述可执行代码时，用于实现所述的一种用于空地网络架构的管道安全性提升方法的步骤。

第三方面，本发明提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，实现所述的一种用于空地网络架构的管道安全性提升方法的步骤。

本发明的有益效果：提出了5G空地一体架构下通过异构系统间可公开数据共享及重用5G已有网络功能，从而实现降低异构组网架构下系统维护复杂性，保障异构系统内网络中继管道安全性以及提高用户业务体验的方法。通过5G地面基站注册到5G核心网NRF的形式，与5G异构组网的卫星系统仅需通过开放基于5G功能流程的NEF接口及NEF到NRF的5G核心网网络功能注册信息接口，从而确定该中继请求发起地面基站合法性。由于无需将5G基站信息开放给5G系统外部网元，5G基站安全及5G基站与5G系统外的卫星系统构建的空地一体中继管道的安全性得以保障。

此外对比目前卫星与5G组网传统方案，本发明有效减少5G天地一体化系统中配置文件操作复杂度，显著提高基站和卫星中继管道双向安全性，提升整体异构业务系统的稳定性和可靠性。

最后由于卫星系统可对5G系统基站配置表外（造成原因可能为配置更新操作不当或者滞后）基站合法性信息通过5G核心网进行校验并建立中继管道连接5G核心网，用户业务得到保障。

附图说明

图1为现有技术中5G天地一体化网络系统架构图；

图2为现有技术中5G核心网网元发现流程图；

图3为现有技术中5G核心网NRF及NEF网络功能现况概况图；

图4为现有技术中5G核心网网元间令牌通信流程图；

图5为现有技术中空地一体架构中异系统中继管道连接示意图；

图6为本发明实施例提供的一种用于空地网络架构的管道安全性提升方法流程图；

图7为本发明实施例提供的中继管道安全性提升系统架构图；

图8为本发明实施例提供的星地一体架构下中继管道安全性提升方法信令流程；

图9为本发明实施例提供的5G基站将基站配置信息及关联的发现参数注册到NRF消息流程图；

图10为本发明实施例提供的卫星对中继管道建立请求发起基站进行合法性校验方法流程图；

图11为本发明实施例提供的一种用于空地网络架构的管道安全性提升方法与装置结构示意图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

在本说明书一个或多个实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

为了便于对本发明实施例的理解，以下结合附图对本发明具体实施方式作进一步详细说明。

实施例1：本发明基于与5G组网异构系统间数据共享架构及重用5G架构已有网元功能的方法，如图6所示，包括以下步骤：

S1：如图7中的①所示，在合法基站与5G核心网有连接或网络仓库功能网元基于手动配置升级时，将基站配置信息预先注册到5G核心网的网络仓库功能网元中；

基站通过5G核心网NRF网元管理业务（NFManagement Service）中的网元注册服务（NFRegister）将基站配置信息中可被发现特征信息注册到5G核心网NRF中。

合法基站与5G核心网的连接为：基站在星地一体架构中将自身作为网络功能节点，通过5G核心网NRF网元管理业务（NFManagement Service）中的网元注册服务（NFRegister）把基站（gNB）配置信息注册到5G核心网的网络仓库功能网元中；该注册流程基于TS 29.510 已有网元注册流程，通过新增信元结构（RanInfo）携带基站特征信息。特征信息包含地理位置，基站身份（RAN ID 、RAN Name），基站追踪区标识（TAI： Tracking AreaIndication）和基站服务时间，具体包括必选项参数和可选项参数，所述必选项参数为：全球基站节点身份标识。

所述可选项参数为：基站节点名字、支持的追踪区列表和该列表中支持的追踪区项以及该追踪区项下的追踪区域码。

所述S1中将基站配置信息预先注册到5G核心网的网络仓库功能网元具体为：

将基站配置信息加入到网络仓库功能注册请求中携带的网络功能配置文件，并注册到网络仓库功能网元，注册成功则返回含义为注册成功的状态码及对应的网络功能配置文件，否则返回含义失败的状态码或者重定位状态码；失败状态下需要基站重新选择网络仓库功能网元的实例，并对该选定网络仓库功能网元实例再次执行基站注册流程。

图7中的②所示，卫星对基站进行合法性查询：

S2：卫星由于5G系统更新间隔或预配置文件错误，基站预配置表不一定及时更新。如卫星在收到某基站发起的中继管道连接建立请求后，基于连接建立请求中的基站配置信息，通过5G核心网的网络暴露功能网元对网络仓库功能网元发送网络功能（基站）查找请求；具体为通过5G系统网元校验服务发送3GPP第五代通信系统（5GS）网元校验请求至网元暴露功能网元，再通过网络暴露功能网元发送网络功能查找请求至网络仓库功能网元，该新增服务可选的包含在TS29.510中网元管理业务（NFManagement Service）中。

通过已有TS 29.510 NRF网络功能发现服务对NRF发送网络功能查找请求，该请求中携带从卫星收到的网元校验请求中的基站配置信息查询参数。所述基站配置信息查询参数包括必选项参数和可选项参数，所述必选项参数为：全球基站节点身份标识，用于决定校验结果。

所述可选项参数为：基站节点名字、支持的追踪区列表和该列表中支持的追踪区项以及该追踪区项下的追踪区域码，用于提供基站附属信息，未查询到可选项参数不影响校验结果。

该部分内容为新增内容，目前NRF的网元发现业务并不支持对基站进行发现。NEF也不支持接收5G核心网外部网元信息协助对5G核心网内信息进行查找与校验。

S3：网络仓库功能网元收到网络功能查找请求后，根据注册信息对网络暴露功能网元返回基站查询结果；若存在对应基站注册的配置信息，则网络暴露功能网元设置校验结果（VerificationResult）信元中的校验结果为“已注册（REGISTERED）”，否则设置为“内容不存在（NOT EXIST）”，并响应中继卫星网元的基站校验请求；

根据注册信息对网络暴露功能网元返回基站查询结果具体为：网络仓库功能网元检查注册信息是否匹配该查询请求中携带的基站配置信息，返回匹配信息并将请求响应状态码置为查询成功；如果无法处理该网络功能发现请求，则将请求响应状态码置为查询无效，需要重发该网络功能发现请求；或者将请求响应状态码置为重定位并在响应中携带资源重定位头，代表需要重新发送查询请求且发送到该资源重定位头指定的位置。

网络暴露功能将网元校验响应返回给对应查询中继卫星；如果无法处理该网络仓库请求返回的网络功能发现请求响应，则将状态码置为网元校验请求无效；或者将状态码置为重定位并在响应中携带资源重定位头发送给该中继卫星。

S4：如图7中的③所示，中继卫星根据收到的校验请求响应并检查携带的校验结果（VerificationResult）信元，若信元中携带“已注册”，则接受该基站中继管道建立请求并建立对应中继管道；若信元中携带“不存在”，则拒绝该基站中继管道建立请求。

该步骤中，中继卫星在收到网元校验请求响应，如果响应的状态码为查询成功，则卫星根据携带的“校验结果”对该中继管道建立请求基站进行准入或拒绝；如果收到响应状态码置为查询无效，中继卫星需要按照一定算法重发该网元校验请求；如果收到响应状态码为重定位状态码并携带重定位头在响应中，代表中继卫星需要重新发送校验请求且发送到该资源重定位头指定的位置。如果卫星按预设次数尝试网元校验服务后无法获得有效校验结果，则直接卫星拒绝该基站的中继管道建立请求。

实施例2：图8给出了本发明提出星地一体架构下中继管道安全性提升方法的信令流程。首先，5G地面基站在与5G核心网有连接时将自身作为网络功能节点把基站配置信息注册到5G核心网NRF中，该连接可为通过默认预配置的卫星进行中继的直接连接，也可经由运营商通过网管系统（例如BOSS,Business and operation supporting system）预配置在NRF中。

如图9所示，首先，5G合法基站作为服务消费者将携带基站配置信息的注册请求通过默认预配置卫星建立的中继连接，发送到5G核心网NRF进行注册。该注册流程基于TS29.510 NRF网络功能注册流程，通过将本发明新提出的基站配置信息（表1和表2给出了本发明新增的基站配置信息注册到NRF所需信元设计，该结构兼容现有TS29.510标准）加入到NRF网络功能管理服务（NFManagement）的注册请求（NFRegister Request）携带的网络功能配置文件（NFProfile）中并注册到NRF，注册成功则返回状态码“200”或“201”并根据状态码可选携带成功注册的网络功能配置文件，如图9中的2a所示；否则返回状态码“4xx”/“5xx”失败或者“3xx”重定位，如图9中的2b所示。失败状态下需要基站重新选择NRF的实例并对该选定NRF实例再次执行基站注册流程。

表1 网元配置（NFProfile）中新增信元结构

表2 新增的基站配置信息（RanInfo）信元结构

表1当中新增的基站配置信息信元包含表2中的必选（M）及可选信息（O）；

所述必选信息包含全球基站节点身份标识（Global RAN Node ID），可选信息包括基站节点名字（RAN Node Name）、支持的追踪区列表（Supported TA List）和该列表中支持的追踪区项（Supported TA Item）以及该追踪区项下的追踪区域码（TAC）。

此时需要注意的是，尽管伪基站通过一定手段窃取到合法基站的卫星预配置信息，该伪基站无法将自身连接到经由卫星中继的5G核心网并注册到5G核心网的NRF中。中继卫星在接收到合法基站配置表外（造成原因可能为配置更新操作不当或者滞后）新基站（合法或非法）的卫星中继连接建立请求后，仅需通过5G核心网的网络暴露功能网元NEF对NRF中已经成功注册和合法5G基站内容进行匹配查询，如图10所示，具体步骤如下：

中继卫星通过本发明新提出的5G系统网元信息校验服务发送5GS网元校验请求到NEF，该校验请求中包含接收到的中继请求发起基站的配置查询参数，参数包含表2中必要及可选参数（表2中“M”代表必选项，“O”代表可选项）。

NEF在收到该校验请求后，沿用现有TS 29.510 NRF网络功能发现服务（图10中Nnrf_NFDiscovery）对该基站预先注册的配置信息进行查找。NEF向NRF发送携带有表2中必要及可选参数的网络服务发现请求，如图10中的2所示。

如图10中的3a所示，NRF收到来自NEF的网络功能发现请求，NRF检查注册信息是否包含该基站配置信息，返回匹配信息并将请求响应状态码置为“200”或“201”并返回匹配结果；如果无法处理该网络功能发现请求，则将状态码置为“4xx”/“5xx”代表查询无效，在状态码为“400”和“504”情况下需重新选定可用NRF实例并重发该网络功能发现请求；或者“3xx”并携带“重定位”头在响应中，代表需要重新发送查询请求且发送到该资源重定位头指定的位置，（如图10中的3b所示）例如“307”和“308”。

NEF收到来自NRF的基站网络功能发现请求响应，如果正常处理该响应，则将校验请求响应状态码置为“200”或“201”，如图10中的4a所示，并根据NRF返回的网络功能发现请求响应中携带的网络功能查询结果设置并返回该基站对应的校验结果；

如表3所示，存在匹配基站信息，则设置为“注册过（Registered）”，不存在匹配基站信息，则设置为“不存在（Not Exist）”。

表3： 校验结果（VerificationResult）

NEF返回网元校验请求响应给对应查询中继卫星。如果无法处理该NRF返回的网络功能发现请求响应，则将状态码置为“4xx”/“5xx”代表网元校验请求无效；或者将状态码置为“3xx”并携带“重定位”头在响应并发送给该中继卫星，例如“307”和“308”。

中继卫星在收到网元校验请求响应，如果响应的状态码为“200”或“201”，则卫星根据携带的“校验结果”对该中继管道建立请求基站进行准入或拒绝。如果收到响应状态码置为“4xx”/“5xx”则代表查询无效，中继卫星需要在状态码为“400”和“504”情况下需重新选定可用NEF实例并重发该网元校验请求；如图10中的4b所示，如果收到响应状态码为“3xx”并携带“重定位”头在响应中，代表中继卫星需要重新发送校验请求且发送到该资源重定位头指定的位置，例如“307”和“308”。

本发明一种用于空地网络架构的管道安全性提升的装置实施例可以应用在任意具备数据处理能力的设备上，该任意具备数据处理能力的设备可以为诸如计算机等设备或装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在任意具备数据处理能力的设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图11所示，为本发明空地网络架构下一种用于空地网络架构的管道安全性提升装置所在任意具备数据处理能力的设备的一种硬件结构图，除了图11所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能，还可以包括其他硬件，对此不再赘述。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本发明实施例还提供一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，实现上述实施例中的一种用于空地网络架构的管道安全性提升方法。

所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元，例如硬盘或内存。所述计算机可读存储介质也可以是任意具备数据处理能力的设备的外部存储设备，例如所述设备上配备的插接式硬盘、智能存储卡（Smart Media Card，SMC）、SD卡、闪存卡（Flash Card）等。进一步的，所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据，还可以用于暂时地存储已经输出或者将要输出的数据。

以上所述仅为本说明书一个或多个实施例的较佳实施例而已，并不用以限制本说明书一个或多个实施例，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例保护的范围之内。

Claims (10)

1.一种用于空地网络架构的管道安全性提升方法，其特征在于，该方法包括如下步骤：

S1：在合法基站与5G核心网有连接或网络仓库功能网元对网络功能网元配置信息基于手动配置更新时，将基站配置信息预先注册到5G核心网的网络仓库功能网元中；

S2：中继卫星在收到基站发起的中继管道连接建立请求后，基于连接建立请求中的基站配置信息，中继卫星发起携带该基站的配置信息的网元校验请求至网络暴露功能网元，通过网络暴露功能网元对网络仓库功能网元发送网络功能查找请求；

S3：网络仓库功能网元收到查找请求后，根据注册信息对网络暴露功能网元返回基站查询结果；若存在对应基站注册的配置信息，则网络暴露功能网元设置校验结果信元中的校验结果为“已注册”，否则设置为“不存在”，并响应中继卫星的网元校验请求；

S4：中继卫星根据收到的校验请求响应并检查携带的校验结果信元，

若信元中携带“已注册”校验结果，则接受该基站中继管道连接建立请求；

若信元中携带“不存在”校验结果，则拒绝该基站中继管道连接建立请求。

2.根据权利要求1所述的一种用于空地网络架构的管道安全性提升方法，其特征在于，S1中合法基站与5G核心网的连接为：

基站和核心网连接方式是将自身作为网络功能节点，通过5G核心网网络仓库功能网元的注册服务，将基站配置信息注册到5G核心网的网络仓库功能网元中；该注册流程中基站配置信息通过新增信元结构携带；

所述基站配置信息包含包括必选项参数和可选项参数，所述必选项参数为全球基站节点身份标识；所述可选项参数为：基站节点名字、支持的追踪区列表和该列表中支持的追踪区项以及该追踪区项下的追踪区域码。

3.根据权利要求2所述的一种用于空地网络架构的管道安全性提升方法，其特征在于，S1中将基站配置信息预先注册到5G核心网的网络仓库功能网元具体为：

将基站配置信息加入到网络仓库功能网元注册请求中携带的网络功能配置文件，并注册到网络仓库功能网元，注册成功则返回注册成功状态码及对应的网络功能配置文件，否则返回注册失败状态码或者重定位状态码；失败状态下需要基站重新选择网络仓库功能网元的实例，并对选定网络仓库功能网元实例再次执行基站注册流程。

4.根据权利要求2所述的一种用于空地网络架构的管道安全性提升方法，其特征在于，所述网络暴露功能网元发送的网络功能查找请求带有基站配置信息查询参数，网络仓库功能网元收到查找请求后，沿用现有的网络功能发现服务对该基站预先注册的配置信息进行查找。

5.根据权利要求4所述的一种用于空地网络架构的管道安全性提升方法，其特征在于，所述基站配置信息查询参数为与基站配置信息一致的必选项参数和可选项参数，所述必选项参数用于决定校验结果；所述可选项参数用于提供基站附属信息。

6.根据权利要求1所述的一种用于空地网络架构的管道安全性提升方法，其特征在于，所述网络仓库功能网元收到查找请求后，根据注册信息对网络暴露功能网元返回基站查询结果具体为：

网络仓库功能网元检查注册信息是否匹配该查询请求中携带的基站配置信息，返回匹配信息并将请求响应状态码置为查询成功；

如果无法处理该网络功能查找请求，则将请求响应状态码置为查询无效，需要重发该网络功能查找请求，或者将请求响应状态码置为重定位并在响应中携带资源重定位头，代表需要重新发送查找请求且发送到该资源重定位头指定的位置。

7.根据权利要求1所述的一种用于空地网络架构的管道安全性提升方法，其特征在于，所述网络暴露功能网元将网络功能查找请求响应返回给对应查询中继卫星；如果无法处理该网络仓库功能网元返回的网络功能查找请求响应，则将状态码置为请求无效；或者将状态码置为重定位并在响应中携带资源重定位头发送给该中继卫星。

8.根据权利要求6所述的一种用于空地网络架构的管道安全性提升方法，其特征在于，S4中，中继卫星在收到网络功能查找请求响应后，如果响应状态码为查询成功，则卫星根据携带的校验结果对该中继管道连接建立请求的发起基站进行准入或拒绝；如果响应状态码为查询无效，中继卫星需要重发该网元校验请求；如果响应状态码为重定位状态码并在响应中携带资源重定位头，代表中继卫星需要重新发送网元校验请求且发送到该资源重定位头指定的位置；如果卫星按预设次数尝试网元校验服务后无法获得有效校验结果，则卫星拒绝该基站的中继管道建立请求。

9.一种用于空地网络架构的管道安全性提升装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，其特征在于，所述一个或多个处理器执行所述可执行代码时，用于实现权利要求1-8任一项所述的用于空地网络架构的管道安全性提升方法的步骤。

10.一种计算机可读存储介质，其上存储有程序，其特征在于，该程序被处理器执行时，实现权利要求1-8任一项所述的一种用于空地网络架构的管道安全性提升方法的步骤。