CN116806023B - 一种异构网络架构下业务合法性校验的方法和装置 - Google Patents

Abstract

本发明公开了一种异构网络架构下业务合法性校验的方法和装置，用于第五代通信系统。首先将控制面网元部署用户合法性校验功能；然后控制面对流检测及流控制规则中的上报触发条件中新增用户校验信息上报触发条件，下发流检测规则；用户面成功加载且在新增上报触发条件触发后，将用户校验信息插入PFCP会话上报请求中新增的用户校验信息中；控制面收到用户面的PFCP会话上报请求并检测报告类型是否为用户合法性检验信息报告并进行校验；校验结果成功则放行该用户会话业务，否则触发会话释放流程。本发明使数据网络端无需安全防护升级，有效提升对伪用户及非法业务攻击业务服务器的防范等级，并对星地一体化安全技术架构进行了有效技术补充。

Description

一种异构网络架构下业务合法性校验的方法和装置

技术领域

本发明涉及通信技术领域，尤其涉及一种异构网络架构下业务合法性校验的方法和装置。

背景技术

目前第三代合作伙伴计划(3GPP，3rd Generation Partnership Project)的第五代通信系统(5G)仅提出无线接入侧(RAN,Radio Access Network)非地面网络(NTN non-terrestrial networks)研究内容，尚无5G核心网侧标准讨论项(Study Item)及标准工作项(Work Item)议事日程(agenda)；目前天地一体网络安全需要考虑以下几点：应从物理安全、数据安全和网络运行安全几个方面全面进行考虑，内容可以包括但不限于终端连接安全、天基接入网连接安全、天基核心网连接安全、地基接入网连接安全、地基核心网连接安全、网络功能安全、用户数据安全、网络物理隔离和逻辑隔离、网络管理安全、网络配置安全、天地一体业务安全等。可采用的技术手段包括但不限于抗毁技术、抗干扰技术、安全接入和安全路由技术、安全传输、安全存储及密钥管理技术等网络安全防护技术来构建天地一体网络安全架构，保障网络体系安全运行。

现有技术中非法用户使用经过5G系统合法注册的终端发起非法业务对卫星核心网用于5G中继管道的用户面、5G核心网的控制面和用户面的有限硬件处理资源进行抢占，例如采用拒绝服务(DoS Deny of Service)攻击来降低用户面及控制面的业务处理能力。此外，非法用户也可通过星地一体网络中由卫星核心网用户面和5G核心网用户面构成的业务中继管道对数据网络端(DNN Data Network Name)发起攻击。

如图1所示，现有星地一体化架构基于5G现有非漫游(non-roaming)架构，5G终端通过空口连接到5G基站，5G基站的回传网络由卫星中继通过卫星核心网业务管道提供连接到远端5G核心网，用户最终通过由卫星中继的5G数据管道连接到数据网络(DN，DataNetwork)。卫星用户面仅提供5G基站和5G核心网间管道中继功能，对5G用户的控制面及用户面(UP，User Plane)消息无法解析。

目前5G核心网仅提供对终端的鉴权，无对使用合法注册5G终端的用户(盗用插入合法用户sim卡的经过5G核心网合法注册的手机)的合法性鉴权的方法，用户合法性的鉴权依赖于数据网络端服务器端自身的安全防护措施。如图2所示，本发明中5G核心网控制面网元包括接入移动性管理网元(AMF Access and Mobility Management Function)、会话管理功能网元、统一数据管理(UDM Unified Data Management)网元及策略控制网元(PCFPolicy Control Function)，5G核心网用户面网元包含用户面功能网元(UPF User PlaneFunction)。

现有5G用户发起的业务建立/修改/释放的方法如图2所示。

1、终端设备接入网络后通过控制面AMF进行5G核心网鉴权并注册成功。

2、用户使用成功注册核心网的终端发起业务流程，发送分组数据单元(PDUPacket Data Unit)会话建立修改删除请求(Session Establishment/Modification/Release Request)消息发送到5G核心网AMF。

3、AMF在收到会话建立，修改，删除请求后，向SMF发送对应会话管理上下文建立/修改请求(Nsmf_PDUSession_Create/UpdateSMContext Request)业务(分组数据单元会话建立请求触发会话管理上下文建立请求，分组会话单元会话修改和删除请求对应会话上下文修改请求)，并携带从终端收到的业务触发的会话建立，修改及删除请求。

4、SMF收到会话上下文建立/修改请求后与核心网网元包括UDM，UPF，PCF进行核心网网元间会话操作(建立/修改/删除)流程。

5、SMF执行核心网与终端间会话建立/修改/删除流程。

6、在SMF成功通过控制面网元间交互对用户数据管道进行建立/修改后，用户与DNN服务器端上下行业务数据通过UPF转发。注意当会话删除成功执行后核心网业务上下文及数据管道均被删除，忽略该步骤。

7、用户面会话管道在UPF建立后，用户使用该会话管道进行业务数据传输，对使用经过5G注册的合法终端的用户以及发起业务的合法性均依赖数据网络(DN)服务器自身安全防护措施。

现有5G系统控制面和用户面分离架构下控制面(SMF)对用户面(UPF)业务流的检测及控制采用包转发协议(PFCP，Packet Forwarding Control Protocol)(3GPPTS29.244)，图3给出具体步骤如下：

1、控制面会话管理功能(SMF，Session Management Function)通过PFCP会话建立/修改请求(PFCP Session Establishment/Modification Request)下发流量检测及流量控制规则到用户面功能UPF。

2、用户面UPF执行控制面下发的流检测及流量控制规则。

3、用户面UPF根据流量检测规则检测到业务流，根据流控规则进行流量控制，并触发PFCP会话上报请求(PFCP Session Report Request)对该检测到的业务流进行上报。

4、控制面SMF通过PFCP会话修改请求(PFCP Session Modification Request)下发更新用户面业务流检测及流量控制规则。

如图4所示，现有5G空地一体化架构下的安全方案存在以下几点问题：

非法用户使用经过5G系统合法注册的终端发起非法业务对卫星核心网用于5G中继管道的用户面、5G核心网的控制面和用户面的有限硬件处理资源进行抢占，例如采用拒绝服务攻击来降低用户面及控制面的业务处理能力。此外，非法用户也可通过星地一体网络中由卫星核心网用户面和5G核心网用户面构成的业务中继管道对数据网络端发起攻击。

3GPP 5G NTN研究内容尚未开始核心网侧技术讨论，尚无具体攻防场景及技术。

如上所述，现有与5G组网的星地一体系统亟需一种对使用合法终端的用户合法性进行鉴权从而提升网络管道安全性，同时提升数据网络(DN)服务器端安全性防护能力的方法。

发明内容

本发明的目的在于提供一种异构网络架构下业务合法性校验的方法和装置，以克服现有技术中的不足。

为实现上述目的，本发明提供如下技术方案：一种异构网络架构下业务合法性校验的方法，该方法具体如下：

S1：对5G网络系统核心网的控制面部署用户合法性校验功能；

S2：所述控制面对数据包转发控制协议新增用户校验信息上报触发条件，并下发给用户面，用户面加载接收到的用户校验信息上报触发条件；

S3：用户面对用户业务流数据包控制头进行监测，数据包控制头携带用户校验信息，用户校验信息上报触发条件触发后，将用户校验信息向控制面上报；上报过程为：

S3.1：用户面在数据包转发控制协议会话上报请求中新增用户校验信息信元结构，并将其报告类型设置为用户校验信息报告类型；

S3.2：用户面将检测到的用户校验信息插入到数据包转发控制协议会话上报请求中新增的用户校验信息信元结构中，该信元结构采用负载容器结构类型，并由标识位标出当前负载容器的负载类型为用户校验信息；

S4：控制面收到用户面的数据包转发控制协议会话上报请求并检测报告类型是否为用户检验信息报告；是则对用户校验信息进行校验，否则忽略该用户校验信息；

S5：控制面根据对数据包转发控制协议会话上报请求中用户校验信息的校验结果对用户会话进行操作，校验结果成功则放行该用户会话业务，否则触发该用户会话释放流程。

进一步地，所述部署用户合法性校验功能具体为：

所述5G网络系统核心网包括：5G核心网或者与5G系统组网的异构网络核心网；在5G核心网或与5G系统组网的异构网络核心网中对5G终端入网合法性鉴权沿用5G核心网已有注册流程，将使用成功注册到5G系统终端的用户合法性校验功能部署在5G网络系统核心网的控制面网元。

进一步地，所述S2中新增的用户校验信息上报触发条件位于数据包转发控制协议会话创建/修改请求所包含的创建/更新用量上报规则中。

进一步地，所述S2中，控制面新增用户校验信息上报触发条件具体为：在数据包转发控制协议的上报触发条件的信元结构中增加用户校验信息指示对应的比特位。

进一步地，所述S3中，采用仅在数据包控制头插入的方式携带用户合法性校验信息，从而避免对用户面数据中用户业务负载部分的信息泄露。

进一步地，所述S3中，报告类型设置为用户校验信息类型具体为：在用户校验信息信元结构中的报告类型中增加用户校验信息指示对应的比特位。

进一步地，所述S4中对用户校验信息进行校验，具体为：校验新增的信元结构是否为标注用户校验信息的负载容器。

进一步地，所述S4中，用户校验信息包括用户的接入方式、业务类型、接入时间、入网方式、入网时间、入网地点、持续时间以及三方机构签发的数字证书。

第二方面，本发明提供了一种异构网络架构下业务合法性校验的装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述一个或多个处理器执行所述可执行代码时，用于实现所述的异构网络架构下业务合法性校验的方法的步骤。

第三方面，本发明提供了一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，实现所述的异构网络架构下业务合法性校验的方法的步骤。

本发明的有益效果：

本发明对使用终端的用户及发起的业务合法性提出了基于卫星管道控制面网元部署校验功能并进行鉴权的方法，数据网络端在不进行安全防护升级的基础上有效提升对伪用户及非法业务攻击业务服务器的防范等级。此外新提出的流程及信令结构进一步完善了3GPP星地一体化场景及需求、同时对CCSA提出的星地一体化安全技术架构进行了有效技术补充。

附图说明

图1为一示例性实施例提供的现有星地一体化架构基于5G现有非漫游架构；

图2为一示例性实施例提供的现有5G用户发起的业务建立/修改/释放的方法流程图；

图3为一示例性实施例提供的现有5G系统控制面和用户面分离架构下控制面对用户面业务流的检测及控制采用包转发协议流程图；

图4为一示例性实施例提供的现有5G系统控制面和用户面分离架构下对用户面业务流的控制结构图；

图5为一示例性实施例提供的5G核心网用户面校验功能部署架构图；

图6为一示例性实施例提供的异构网络架构下业务合法性校验的方法流程图；

图7是基于本发明提出的异构网络架构下业务合法性校验的装置结构图。

具体实施方式

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图对本发明的具体实施方式做详细的说明。

还需要说明的是，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、商品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、商品或者设备所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括所述要素的过程、方法、商品或者设备中还存在另外的相同要素。

上述对本说明书特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

在本说明书一个或多个实施例使用的术语是仅仅出于描述特定实施例的目的，而非旨在限制本说明书一个或多个实施例。在本说明书一个或多个实施例和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式，除非上下文清楚地表示其他含义。还应当理解，本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。

应当理解，尽管在本说明书一个或多个实施例可能采用术语第一、第二、第三等来描述各种信息，但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如，在不脱离本说明书一个或多个实施例范围的情况下，第一信息也可以被称为第二信息，类似地，第二信息也可以被称为第一信息。取决于语境，如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。

在下面的描述中阐述了很多具体细节以便于充分理解本发明，但是本发明还可以采用其他不同于在此描述的其它方式来实施，本领域技术人员可以在不违背本发明内涵的情况下做类似推广，因此本发明不受下面公开的具体实施例的限制。

为了便于对本发明实施例的理解，对现有技术中5G组网的星地一体系统的一种异构网络架构下业务合法性校验的方法做出如下描述：

现有与5G组网的星地一体系统亟需一种对使用合法终端的用户合法性进行鉴权从而提升网络管道安全性，同时提升数据网络服务器端安全性防护能力的方法。

本发明涉及5G控制面和用户面分离架构下的会话相关信令解析及交互系统流程由3GPP TS29.244数据流控制协议定义，本发明涉及到的控制面网元为会话管理功能网元和用户面功能网元UPF。

本发明对5G终端UE(User Equipment，用户终端)的入网合法性鉴权沿用5G核心网已有注册流程(TS 23.502)。如图5，将用于使用成功注册到5G系统终端的用户合法性校验功能部署在5G星地一体架构的卫星核心网的控制面。卫星核心网中，控制面会话管理功能网元(S-SMF)及用户面网元(S-UPF)沿用现有5G会话管理功能网元SMF与用户面网元UPF间网络架构及协议(PFCP TS29.244)，并对PFCP协议进行增强，使得控制面S-SMF可将用户校验信息上报的触发条件下发到用户面S-UPF，并在用户校验信息触发条件满足后可将用户校验信息从用户面S-UPF上报到控制面S-SMF进行用户合法性校验。同时由于S-UPF对5G控制面和用户面消息采用不同转发管道(网络地址或/及端口号区分)，在用户面消息中携带的用于用户合法性校验的信息(包括用户时空特征信息，服务时间，接入地点，用户身份，接入网络类型，业务类型，移动速度，用户数字证书)采用仅在控制头(Header)部分插入的方式，从而避免对用户面消息中用户业务负载(Payload)部分的信息泄露。

如图6所示，本发明提供的一种异构网络架构下业务合法性校验的方法，通过卫星核心网控制面S-SMF部署的用户合法性校验功能，S-SMF下发到用户面新的用户校验信息上报触发条件，S-UPF可在用户及业务触发上报条件后，由增强型PFCP会话上报请求将用于用户及业务合法性校验的用户校验信息上报至控制面，所述用于用户及业务合法性校验的用户校验信息由在用户面上传输的用户业务流携带，并在上报后由控制面S-SMF部署的用户合法性校验功能进行校验，根据校验结果触发控制面的会话管理流程，从而实现了卫星中继管道对5G用户业务和用户合法性的鉴权，有效提升5G网络管道及数据网络端由于非法用户发起业务的安全防护。具体步骤如下：

S1：与5G系统组网的异构网络核心网(例如卫星网)或5G核心网的控制面网元部署用户合法性校验功能并启用用户面的用户合法性校验功能。5G核心网或与5G系统组网的异构网络中对5G终端入网合法性鉴权沿用5G核心网已有注册流程，将使用成功注册到5G系统终端的用户合法性校验功能部署在卫星核心网的控制面网元。

S2：卫星核心网或5G核心网控制面通过在“PFCP会话建立/更新请求新增用户校验信息上报触发条件。并下发给用户面，用户面成功加载从控制面接收到的上报触发条件；

该步骤为本发明核心步骤，具体流程为：

卫星核心网或5G核心网控制面通过在“PFCP会话建立/更新请求”的“创建/更新用量上报(Create/Update URR)”中“上报触发条件(Reporting Triggers)”新增“用户校验信息上报触发条件(“UAI”＝“1”)”，来启用用户面对用户业务流数据包控制头携带的用户校验信息的检测，以及对检测到的用户校验信息进行上报。

卫星核心网或5G核心网控制面网元对用户面网元发送“PFCP会话建立或修改请求”。

用户面接收到“PFCP会话建立/更新请求”的“创建/更新用量上报(Create/UpdateURR)”中“上报触发条件”新增的“用户校验信息上报触发条件UAI”被设置为“1”，用户面加载用户校验信息上报触发条件。

S3：用户面对用户业务流数据包控制头进行监测，数据包控制头携带用户校验信息，并在上报条件“用户校验信息上报触发条件”触发后对用户校验信息向控制面进行上报。

该步骤为本发明核心步骤，具体流程为：

S3.1：用户面将“PFCP会话上报请求”信元结构中新增的“用户校验信息(UserValidation Information)”中的“报告类型(Report Type)”设置为“用户校验信息报告”＝“1”，用于指示该“PFCP会话上报请求”的类型为“用户校验信息报告”。

S3.2：用户面将从用户业务流数据包控制头中检测到的用户校验信息放入PFCP会话上报请求中新增的用户校验信息信元结构中并将“负载容器类型”设置为“1101”。

S4：控制面接收到用户面PFCP会话上报请求后,检查“报告类型”是否设置为“用户校验信息报告”＝“1”，触发部署在控制面的用户合法性校验功能，校验新增的负载容器类型为“1101”的“用户校验信息”信元内容，且对校验用户业务管道进行管控。

S5：控制面根据对PFCP会话上报请求中“用户校验信息”的校验结果对用户会话进行操作，如果校验失败则“用户会话释放流程”；校验成功则用户面放行该用户会话业务。

本发明结合信元结构的实施例如下：

卫星核心网控制面S-SMF上部署对5G终端使用用户的合法性校验功能。如表格1和表格2所示，该校验功能通过增强控制面(S-SMF)下发的PFCP会话创建/修改请求(PFCPSession Establishment/Modification Request)中创建/更新用量上报规则(URR UsageReporting Rule)消息(Create/Update URR)中的上报触发条件(Reporting Triggers)的信元(IE Information Element)结构，实现用户面S-UPF将检测到的用户校验信息对控制面S-SMF进行上报，从而控制面S-SMF上部署的用户合法性校验功能可根据用户面上报的用户校验信息对用户合法性进行校验，并根据用户合法性校验的结果触发对用户会话管理。

表格1：PFCP会话创建修改请求中的创建/更新上报规则信元

表格2.上报触发条件的信元中新增触发条件

如表格2所示，通过对上报触发条件的信元新增触发条件“用户鉴权信息(UAI：User Authentication Information)”，当用户面S-UPF检测到业务流数据包控制头中携带用户校验信息时，触发对控制面的PFCP会话上报请求的流程。

表格2中上报触发条件的信元的第7个八位组(Octet)的第2个比特(Bit)的“UAI”被设置为“1”时，指示为启用用户面用户校验信息触发的上报，表格2中其他八位组和比特位与本实施无关。

当用户面收到“PFCP会话创建/修改请求”且“创建/更新上报规则(Create/UpdateURR)”信元中的“上报触发条件”的信元中第7个八位组(Octet)的第2个比特(Bit)的“UAI”被设置为“1”时(表格2)时，且当用户面S-UPF检测到对应用户业务流开始并携带用户校验信息时，触发将携带在用户业务流控制头(header)中的用户校验信息对控制面的上报。

如表格3所示，用户面S-UPF在PFCP会话上报请求消息中新增的“用户校验信息”用于携带用户业务流数据包控制头中携带的用户校验信息，以及表格4中新增的“用户校验信息报告(UVIR:User Validation Information Report)”类型用于指示当前的PFCP会话报告请求中携带的报告内容类型为用户校验信息。

当报告类型中新增的第5个八位组(Octet)的第8个比特(Bit)“UVIR”被设置为“1”时，新增的“用户校验信息”必须出现在PFCP会话上报请求中。

表格3.PFCP会话上报请求新增信元结构

表格4.新增上报类型

表格4中对“PFCP会话上报请求”中新增的“用户校验信息”的信元结构沿用现有TS24.501中的负载容器(payload container)信元结构，并新增表格5和表格6中负载容器类型“用户校验信息(User Validation Information)”用于表示当前负载容器携带的信息为用户校验信息：

表格5：负载容器类型信元结构

表格6：负载容器类型属性值

用户校验信息包括用户的接入方式、业务类型、接入时间、入网方式、入网时间、入网地点、持续时间以及三方机构签发的数字证书。

参见图7，本发明实施例提供的一种异构网络架构下业务合法性校验的装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，所述处理器执行所述可执行代码时，用于实现上述实施例中的基于零知识证明的区块链区块同步方法。

本发明异构网络架构下业务合法性校验的装置的实施例可以应用在任意具备数据处理能力的设备上，该任意具备数据处理能力的设备可以为诸如计算机等设备或装置。装置实施例可以通过软件实现，也可以通过硬件或者软硬件结合的方式实现。以软件实现为例，作为一个逻辑意义上的装置，是通过其所在任意具备数据处理能力的设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言，如图7所示，为本发明异构网络架构下业务合法性校验的装置所在任意具备数据处理能力的设备的一种硬件结构图，除了图7所示的处理器、内存、网络接口、以及非易失性存储器之外，实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能，还可以包括其他硬件，对此不再赘述。

上述装置中各个单元的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程，在此不再赘述。

对于装置实施例而言，由于其基本对应于方法实施例，所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本发明方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

本发明实施例还提供一种计算机可读存储介质，其上存储有程序，该程序被处理器执行时，实现上述实施例中的一种异构网络架构下业务合法性校验的方法。

所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元，例如硬盘或内存。所述计算机可读存储介质也可以是任意具备数据处理能力的设备的外部存储设备，例如所述设备上配备的插接式硬盘、智能存储卡(Smart Media Card，SMC)、SD卡、闪存卡(Flash Card)等。进一步的，所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据，还可以用于暂时地存储已经输出或者将要输出的数据。

以上所述仅为本说明书一个或多个实施例的较佳实施例而已，并不用以限制本说明书一个或多个实施例，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本说明书一个或多个实施例保护的范围之内。

Claims (9)

1.一种异构网络架构下业务合法性校验的方法，其特征在于，该方法的控制面和用户面分离，且会话及交互由3GPP TS29.244数据流控制协议定义，该方法具体如下：

S1：对5G网络系统核心网的控制面部署用户合法性校验功能；

S2：所述控制面对数据包转发控制协议新增用户校验信息上报触发条件，并下发给用户面，用户面加载接收到的用户校验信息上报触发条件；上报触发条件具体为：在数据包转发控制协议的上报触发条件的信元结构中增加用户校验信息指示对应的比特位；

S3：用户面对用户业务流数据包控制头进行监测，数据包控制头携带用户校验信息，用户校验信息上报触发条件触发后，将用户校验信息向控制面上报；上报过程为：

S3.1：用户面在数据包转发控制协议会话上报请求中新增用户校验信息信元结构，并将其报告类型设置为用户校验信息报告类型；

S3.2：用户面将检测到的用户校验信息插入到数据包转发控制协议会话上报请求中新增的用户校验信息信元结构中，该信元结构采用负载容器结构类型，并由标识位标出当前负载容器的负载类型为用户校验信息；

S4：控制面收到用户面的数据包转发控制协议会话上报请求并检测报告类型是否为用户检验信息报告；是则对用户校验信息进行校验，否则忽略该用户校验信息；

S5：控制面根据对数据包转发控制协议会话上报请求中用户校验信息的校验结果对用户会话进行操作，校验结果成功则放行该用户会话业务，否则触发该用户会话释放流程。

2.根据权利要求1所述的异构网络架构下业务合法性校验的方法，其特征在于，所述部署用户合法性校验功能具体为：

所述5G网络系统核心网包括：5G核心网或者与5G系统组网的异构网络核心网；在5G核心网或与5G系统组网的异构网络核心网中对5G终端入网合法性鉴权沿用5G核心网已有注册流程，将使用成功注册到5G系统终端的用户合法性校验功能部署在5G网络系统核心网的控制面网元。

3.根据权利要求1所述的异构网络架构下业务合法性校验的方法，其特征在于，所述S2中新增的用户校验信息上报触发条件位于数据包转发控制协议会话创建/修改请求所包含的创建/更新用量上报规则中。

4.根据权利要求1所述的异构网络架构下业务合法性校验的方法，其特征在于，所述S3中，采用仅在数据包控制头插入的方式携带用户合法性校验信息，从而避免对用户面数据中用户业务负载部分的信息泄露。

5.根据权利要求1所述的异构网络架构下业务合法性校验的方法，其特征在于，所述S3中，报告类型设置为用户校验信息类型具体为：在用户校验信息信元结构中的报告类型中增加用户校验信息指示对应的比特位。

6.根据权利要求1所述的异构网络架构下业务合法性校验的方法，其特征在于，所述S4中对用户校验信息进行校验，具体为：校验新增的信元结构是否为标注用户校验信息的负载容器。

7.根据权利要求1所述的异构网络架构下业务合法性校验的方法，其特征在于，所述S4中，用户校验信息包括用户的接入方式、业务类型、接入时间、入网方式、入网时间、入网地点、持续时间以及三方机构签发的数字证书。

8.一种异构网络架构下业务合法性校验的装置，包括存储器和一个或多个处理器，所述存储器中存储有可执行代码，其特征在于所述一个或多个处理器执行所述可执行代码时，用于实现权利要求1-7任一项所述的异构网络架构下业务合法性校验的方法的步骤。

9.一种计算机可读存储介质，其上存储有程序，其特征在于，该程序被处理器执行时，实现权利要求1-7任一项所述的异构网络架构下业务合法性校验的方法的步骤。