CN117499919A - 5g网络安全增强防护系统 - Google Patents
5g网络安全增强防护系统 Download PDFInfo
- Publication number
- CN117499919A CN117499919A CN202311443614.2A CN202311443614A CN117499919A CN 117499919 A CN117499919 A CN 117499919A CN 202311443614 A CN202311443614 A CN 202311443614A CN 117499919 A CN117499919 A CN 117499919A
- Authority
- CN
- China
- Prior art keywords
- security authentication
- authentication device
- security
- equipment
- upf
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 239000013256 coordination polymer Substances 0.000 claims abstract description 77
- 230000005540 biological transmission Effects 0.000 claims abstract description 28
- 238000004891 communication Methods 0.000 claims abstract description 28
- 230000002457 bidirectional effect Effects 0.000 claims abstract description 23
- 238000013507 mapping Methods 0.000 claims description 10
- 238000001914 filtration Methods 0.000 claims description 5
- 238000000034 method Methods 0.000 abstract description 8
- 238000010586 diagram Methods 0.000 description 12
- 230000011664 signaling Effects 0.000 description 10
- 238000012795 verification Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 3
- 230000006978 adaptation Effects 0.000 description 2
- 230000005641 tunneling Effects 0.000 description 2
- 238000010276 construction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种5G网络安全增强防护系统,该系统包括:5G基站、UPF设备和5G‑CP设备,其中,5G基站配置有第一安全认证装置,UPF设备配置有第二安全认证装置,5G‑CP设备配置有第三安全认证装置,UPF设备分别与5G基站和5G‑CP设备通信连接;其中,第一安全认证装置和第二安全认证装置用于通过5G基站和UPF设备进行双向鉴权,在鉴权通过后,5G基站和所述UPF设备可进行通信;第二安全认证装置和第三安全认证装置用于通过UPF设备和5G‑CP设备进行双向鉴权,在鉴权通过后,UPF设备与5G‑CP设备可进行网络通信。本申请实现了通过将不同在网设备配置安全认证装置进行双向鉴权,提高了在网设备的安全性,保证了数据传输安全。
Description
技术领域
本申请涉及通信技术,尤其涉及一种5G网络安全增强防护系统。
背景技术
5G行业虚拟专网在核心网控制面、承载网以及无线电接入网(Radio AccessNetwork,RAN)侧都是与公网设备共享,受公共安全监管需要,公网设备无法直接进行端口加密,这就需要行业专网5G安全增强方案要尽量少的对大网设备进行改动,实现5G虚拟专网安全增强。在5G网络中,N2、N4和N6接口是用于不同类型的通信和数据传输的接口,其中,N2接口是与5G基站与5G控制平台(5G-Control Plane,5G-CP)之间的联系,其中5G-CP中还包括接入和移动性管理功能(Access and Mobility Management Function,AMF)和会话管理功能(Session Management function,SMF),N4接口是与用户设备、用户面功能(UserPlane Function,UPF)和核心网络之间的联系,N6接口是与用户设备、边缘计算节点和核心网络之间的联系。
现有技术中,数据的明文传输易遭受恶意攻击,存在信息泄露问题;攻击者可通过更改设备接入UPF后,构造N4协议释放会话包,使用户设备(User Equipment,UE)下线;用户面互联网协议地址(Internet Protoco,IP)、介质访问控制(Media Access Control,MAC)地址、网关隧道协议(Gateway Tunneling Protocol,GTP)等明文数据存在信息泄露问题,大量数据重放或打流,导致切片流量过载,影响行业控制类业务正常传输。
发明内容
本申请提供一种5G网络安全增强防护系统,用以解决现有技术中不同在网设备易被篡改,且明文传输时存在信息泄露的问题。
本申请提供一种5G网络安全增强防护系统,所述系统包括:5G基站、UPF设备和5G-CP设备,其中,所述5G基站配置有第一安全认证装置,所述UPF设备配置有第二安全认证装置,所述5G-CP设备配置有第三安全认证装置,所述UPF设备分别与所述5G基站和所述5G-CP设备通信连接;
所述第一安全认证装置和所述第二安全认证装置通过所述5G基站和所述UPF设备进行双向鉴权,在鉴权通过后,所述5G基站和所述UPF设备可进行网络通信;
所述第二安全认证装置和所述第三安全认证装置通过所述UPF设备和所述5G-CP设备进行双向鉴权,在鉴权通过后,所述UPF设备与所述5G-CP设备可进行网络通信。
可选的,所述第一安全认证装置预设有所述第二安全认证装置和所述UPF设备的第二绑定关系;
所述第二安全认证装置中预设有所述第一安全认证装置和所述5G基站的第一绑定关系;
所述第一安全认证装置通过所述5G基站和所述UPF设备,并基于所述第二绑定关系与所述第二安全认证装置进行鉴权;
所述第二安全认证装置通过所述UPF设备和所述5G基站,并基于所述第一绑定关系与所述第一安全认证装置进行鉴权。
可选的,所述第一绑定关系为所述第一安全认证装置和所述5G基站的MAC地址和位置信息的绑定;
所述第二绑定关系为所述第二安全认证装置和所述UPF设备的绑定;
所述第一安全认证装置通过所述5G基站和所述UPF设备向所述第二安全认证装置发送包括所述5G基站的MAC地址和位置信息的鉴权请求,以使所述第二安全认证装置根据所述第一绑定关系进行鉴权;
所述第二安全认证装置通过所述UPF设备和所述5G基站向所述第一安全认证装置发送包括所述UPF设备的MAC地址和位置信息的鉴权设备,以使所述第一安全装置根据所述第二绑定关系进行鉴权。
可选的,所述第三安全认证装置预设有所述第二安全认证装置和所述UPF设备的第二绑定关系;
所述第二安全认证装置中预设有所述第三安全认证装置和所述5G-CP设备的第三绑定关系;
所述第三安全认证装置通过所述5G-CP设备和所述UPF设备,并基于所述第二绑定关系与所述第二安全认证装置进行鉴权;
所述第二安全认证装置通过所述UPF设备和所述5G-CP设备,并基于所述第三绑定关系与所述第三安全认证装置进行鉴权。
可选的,所述第三绑定关系为所述第三安全认证装置和所述5G-CP设备的MAC地址和位置信息的绑定;
所述第二绑定关系为所述第二安全认证装置和所述UPF设备的绑定;
所述第三安全认证装置通过所述5G-CP设备和所述UPF设备向所述第二安全认证装置发送包括所述5G-CP设备的MAC地址和位置信息的鉴权请求,以使所述第二安全认证装置根据所述第三绑定关系进行鉴权;
所述第二安全认证装置通过所述UPF设备和所述5G-CP设备向所述第三安全认证装置发送包括所述UPF设备的MAC地址和位置信息的鉴权设备,以使所述第三安全装置根据所述第二绑定关系进行鉴权。
可选的,在鉴权通过后,所述第一安全认证装置用于:
在UE向所述5G基站发送数据传输指令后,通过流量过滤功能获取所述数据传输指令携带的数据网络名称号和业务数据;
根据所述数据网络名称号与名称号与网络映射关系,获取用于传输所述业务数据的网络类型,其中,所述映射关系包括数据网络名称号和网络类型的映射关系;
若所述网络类型为行业专网,则对所述业务数据进行加密,并在加密后传输至UPF设备;
若所述网络类型为公网,则利用核心网对所述业务数据进行传输。
可选的,所述第二安全认证装置用于:
通过所述UPF设备获取所述加密的业务数据;
对加密的业务数据进行解密,获取解密后的业务数据;
通过所述UPF设备将所述解密后的业务数据传输至防火墙,并通过所述防火墙传输至行业客户应用系统。
可选的,所述第一安全认证装置和所述第二安全认证装置各自内嵌有国密安全芯片,第一安全认证装置通过本地内嵌的国密安全芯片对业务数据进行加密,所述第二安全认证装置通过本地内嵌的国密安全芯片对业务数据进行解密。
可选的,所述系统还包括专网安全认证管理平台,所述专网安全认证管理平台分别与所述第一安全认证装置、所述第二安全认证装置和所述第三安全认证装置;
所述专网安全认证管理平台用于获取所述第一安全认证装置、所述第二安全认证装置和所述第三安全认证装置按照预设周期上报的位置信息;
若根据所述位置信息确定所述第一安全认证装置、所述第二安全认证装置或所述第三安全认证装置中的至少一个出现位置移动时,发出告警信息。
可选的,若所述第一安全认证装置、所述第二安全认证装置或所述第三安全认证装置鉴权失败,则向所述专网安全认证管理平台发送鉴权失败信息,以使所述专网安全认证管理平台发出告警信息。
本申请提供的一种5G网络安全增强防护系统,该系统包括:5G基站、UPF设备和5G-CP设备,其中,5G基站配置有第一安全认证装置,UPF设备配置有第二安全认证装置,5G-CP设备配置有第三安全认证装置,UPF设备分别与5G基站和5G-CP设备通信连接;所述第一安全认证装置和所述第二安全认证装置通过所述5G基站和所述UPF设备进行双向鉴权,在鉴权通过后,所述5G基站和所述UPF设备可进行网络通信;所述第二安全认证装置和所述第三安全认证装置通过所述UPF设备和所述5G-CP设备进行双向鉴权,在鉴权通过后,所述UPF设备与所述5G-CP设备可进行网络通信。实现了通过对不同在网设备配置安全认证装置,并进行双向鉴权操作,增强了各在网设备的安全性,减少了在网设备被篡改的可能性,保证了信息传输的安全。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请实施例提供的一种5G网络安全增强防护系统的结构示意图;
图2为本申请实施例提供的一种5G网络安全增强防护系统的信令图一;
图3为本申请实施例提供的一种5G网络安全增强防护系统的信令图二;
图4为本申请实施例提供的一种5G网络安全增强防护系统的信令图三;
图5为本申请实施例提供的一种5G网络安全增强防护系统的信令图四;
图6为本申请实施例提供的一种5G网络安全增强防护系统的信令图五。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
5G行业虚拟专网的安全性的意义在于确保网络的稳定性、数据的隐私性、业务的连续性以及关键基础设施的可用性。它有助于满足行业的需求,同时确保网络在面临不断演化的网络威胁时能够保持安全。维护5G网络的安全性对于保护业务和数据资产以及维护公共安全至关重要。
现有技术中,数据的明文传输易遭受恶意攻击,存在信息泄露问题;攻击者可通过更改设备接入UPF后,构造N4协议释放会话包,使UE下线;用户面IP、GTP隧道等明文数据存在信息泄露问题,大量数据重放或打流,导致切片流量过载,影响行业控制类业务正常传输。
基于此,本申请提出一种5G网络安全增强防护系统,该系统包括:5G基站、UPF设备和5G-CP设备,其中,5G基站配置有第一安全认证装置,UPF设备配置有第二安全认证装置,5G-CP设备配置有第三安全认证装置,UPF设备分别与5G基站和5G-CP设备通信连接;第一安全认证装置和第二安全认证装置通过5G基站和UPF设备进行双向鉴权,在鉴权通过后,5G基站和UPF设备可进行网络通信;第二安全认证装置和第三安全认证装置通过UPF设备和5G-CP设备进行双向鉴权,在鉴权通过后,UPF设备与5G-CP设备可进行网络通信。实现了通过对不同在网设备配置安全认证装置,并进行双向鉴权操作,增强了各在网设备的安全性,减少了在网设备被篡改的可能性,保证了信息传输的安全。
下面以具体地实施例对本申请的技术方案以及本申请的技术方案如何解决上述技术问题进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。下面将结合附图,对本申请的实施例进行描述。
图1为本申请实施例提供的一种5G网络安全增强防护系统的结构示意图,如图1所示,该5G网络安全增强防护系统包括:
5G基站、UPF设备和5G-CP设备,其中,5G基站配置有第一安全认证装置,UPF设备配置有第二安全认证装置,5G-CP设备配置有第三安全认证装置,UPF设备分别与5G基站和5G-CP设备通信连接;
5G基站是指用于为设备通信提供高速的数据传输;UPF设备是指用于处理用户面数据流量,可以为特定行业客户提供了网络连接和数据传输支持;5G-CP设备用于建立、修改和终止移动设备与网络之间的连接,以确保设备能够正常通信;安全认证装置是指用于验证5G基站、UPF设备和5G-CP设备身份的装置,可执行数据的加密、解密、位置定位及锁定,并且通过物理布线的方式与在网设备相连接。
本实施例中,5G网络安全增强防护系统包含了5G基站、UPF设备和5G-CP设备,UPF设备分别与5G基站和5G-CP设备通信连接,并且5G基站配置有第一安全认证装置,UPF设备配置有第二安全认证装置,5G-CP设备配置有第三安全认证装置,
第一安全认证装置和第二安全认证装置通过5G基站和UPF设备进行双向鉴权,在鉴权通过后,5G基站和UPF设备可进行网络通信;
双向鉴权是指第一安全认证装置和第二安全认证装置通过5G基站和UPF设备互相发送身份验证信息,并通过第一安全认证装置和第二安全认证装置对发送来的身份验证信息进行验证。
本实施例中,第一安全认证装置和第二安全认证装置通过5G基站和UPF设备进行双向鉴权,具体的,利用第一安全认证装置通过5G基站和UPF设备向第二安全认证装置发送包括5G基站的MAC地址和位置信息的鉴权请求,以使第二安全认证装置根据第一绑定关系进行鉴权,第二安全认证装置通过5G基站的MAC地址和位置信息与第一绑定关系进行匹配鉴权。相同的,第二安全认证装置通过UPF设备和5G基站向第一安全认证装置发送UPF设备的MAC地址和位置信息的鉴权设备,以使第一安全装置根据第二绑定关系进行鉴权,第一安全认证装置通过UPF设备的MAC地址和位置信息与第一绑定关系进行匹配鉴权。在鉴权通过后,5G基站和UPF设备可进行网络通信
第二安全认证装置和第三安全认证装置通过UPF设备和5G-CP设备进行双向鉴权,在鉴权通过后,UPF设备与5G-CP设备可进行网络通信。
本实施例中,第二安全认证装置和第三安全认证装置通过UPF设备和5G-CP设备进行双向鉴权,具体的,第二安全认证装置通过UPF设备和5G-CP设备向第三安全认证装置发送包括UPF设备的MAC地址和位置信息的鉴权设备,以使第三安全装置根据第二绑定关系进行鉴权,第三安全认证装置通过UPF设备的MAC地址和位置信息与第一绑定关系进行匹配验证,相同的,第三安全认证装置通过5G-CP设备和UPF设备向第二安全认证装置发送包括5G-CP设备的MAC地址和位置信息的鉴权请求,以使第二安全认证装置根据第三绑定关系进行鉴权,第二安全认证装置通过5G-CP设备的MAC地址和位置信息与第三绑定关系进行匹配验证,在鉴权通过后,UPF设备与5G-CP设备可进行网络通信。
本申请提供的一种5G网络安全增强防护系统,该系统包括:5G基站、UPF设备和5G-CP设备,其中,5G基站配置有第一安全认证装置,UPF设备配置有第二安全认证装置,5G-CP设备配置有第三安全认证装置,UPF设备分别与5G基站和5G-CP设备通信连接;第一安全认证装置和第二安全认证装置通过5G基站和UPF设备进行双向鉴权,在鉴权通过后,5G基站和UPF设备可进行网络通信;第二安全认证装置和第三安全认证装置通过UPF设备和5G-CP设备进行双向鉴权,在鉴权通过后,UPF设备与5G-CP设备可进行网络通信。实现了通过对不同在网设备配置安全认证装置,并进行双向鉴权操作,增强了各在网设备的安全性,减少了在网设备被篡改的可能性,保证了信息传输的安全。
图2为本申请实施例提供的一种5G网络安全增强防护系统的信令图一。如图2所示,该系统包括:
S201、第一安全认证装置通过5G基站和UPF设备向第二安全认证装置发送包括5G基站的MAC地址和位置信息的鉴权请求,以使第二安全认证装置根据第一绑定关系进行鉴权;
第二安全认证装置中预设有第一安全认证装置和5G基站的第一绑定关系;
鉴权请求是指通过安全认证装置生成的要求其他在网设备发送带有MAC地址和位置信息的验证指令。绑定关系是指将各个在网设备与所配置的安全认证装置的MAC地址和位置信息进行绑定。
本实施例中,第一安全认证装置生成包括5G基站的MAC地址和位置信息的鉴权请求后通过5G基站和UPF设备向第二安全认证装置进行发送后,第二安全认证装置利用预设的第一安全认证装置和5G基站的第一绑定关系进行鉴权。
S202、若第二安全认证装置通过5G基站的MAC地址和位置信息与第一绑定关系匹配,则鉴权通过,第一绑定关系为第一安全认证装置和5G基站的MAC地址和位置信息的绑定;
第二安全认证装置通过UPF设备和5G基站,并基于第一绑定关系与第二安全认证装置进行鉴权;
本实施例中,如果第二安全认证装置收到的5G基站的MAC地址和位置信息与自身预设的第一安全认证装置和5G基站的第一绑定关系相匹配,则鉴权通过。其中,第一绑定关系为第一安全认证装置和5G基站的MAC地址和位置信息的绑定。
S203、第二安全认证装置通过UPF设备和5G基站向第一安全认证装置发送UPF设备的MAC地址和位置信息的鉴权请求,以使第一安全装置根据第二绑定关系进行鉴权;
第一安全认证装置预设有第二安全认证装置和UPF设备的第二绑定关系;
本实施例中,第二安全认证装置生成包括UPF设备的MAC地址和位置信息的鉴权请求后通过UPF设备和5G基站向第一安全认证装置进行发送后,第一安全认证装置利用预设的第二安全认证装置和UPF设备的第二绑定关系进行鉴权。
S204、若第一安全认证装置通过UPF设备的MAC地址和位置信息与第一绑定关系匹配,则鉴权通过,第二绑定关系为第二安全认证装置和UPF设备的MAC地址和位置信息绑定;
第一安全认证装置通过5G基站和UPF设备,并基于第二绑定关系与第二安全认证装置进行鉴权;
本实施例中,如果第一安全认证装置收到的UPF设备的MAC地址和位置信息与自身预设的第二安全认证装置和UPF设备的第二绑定关系相匹配,则鉴权通过。其中,第二绑定关系为第二安全认证装置和UPF设备的MAC地址和位置信息的绑定。
本申请提供的一种5G网络安全增强防护系统,实现了利用系统中的第一安全认证装置通过5G基站和UPF设备与第二安全认证装置进行鉴权。确保通信的两端都经过了合法的身份验证,增加了额外的安全层次,以确保设备的身份和位置都是合法的。这可以减少欺骗攻击的可能性。
图3为本申请实施例提供的一种5G网络安全增强防护系统的信令图二。如图3所示,该系统包括:
S301、第二安全认证装置通过UPF设备和5G-CP设备向第三安全认证装置发送包括UPF设备的MAC地址和位置信息的鉴权设备,以使第三安全装置根据第二绑定关系进行鉴权;
第三安全认证装置预设有第二安全认证装置和UPF设备的第二绑定关系;
本实施例中,第二安全认证装置生成包括UPF设备的MAC地址和位置信息的鉴权请求后通过UPF设备和5G-CP设备向第三安全认证装置进行发送后,第三安全认证装置利用预设的第二安全认证装置和UPF设备的第二绑定关系进行鉴权。
S302、若第三安全认证装置通过UPF设备的MAC地址和位置信息与第一绑定关系匹配,则鉴权通过,第三绑定关系为第三安全认证装置和5G-CP设备的MAC地址和位置信息的绑定;
第三安全认证装置通过5G-CP设备和UPF设备,并基于第二绑定关系与第二安全认证装置进行鉴权;
本实施例中,如果第三安全认证装置收到的UPF设备的MAC地址和位置信息与自身预设的第二安全认证装置和UPF设备的第二绑定关系相匹配,则鉴权通过。其中,第二绑定关系为第二安全认证装置和UPF设备的MAC地址和位置信息的绑定。
S303、第三安全认证装置通过5G-CP设备和UPF设备向第二安全认证装置发送包括5G-CP设备的MAC地址和位置信息的鉴权请求,以使第二安全认证装置根据第三绑定关系进行鉴权;
第二安全认证装置中预设有第三安全认证装置和5G-CP设备的第三绑定关系;
本实施例中,第三安全认证装置生成包括5G-CP设备的MAC地址和位置信息的鉴权请求后通过5G-CP设备和UPF设备向第二安全认证装置进行发送后,第二安全认证装置利用预设的第三安全认证装置和UPF设备的第三绑定关系进行鉴权。
S304、若第二安全认证装置通过5G-CP设备的MAC地址和位置信息与第三绑定关系匹配,则鉴权通过,第三绑定关系为第三安全认证装置和5G-CP设备的MAC地址和位置信息的绑定;
第二安全认证装置通过UPF设备和5G-CP设备,并基于第三绑定关系与第三安全认证装置进行鉴权。
本实施例中,如果第二安全认证装置收到的5G-CP设备的MAC地址和位置信息与自身预设的第三安全认证装置和5G-CP设备的第三绑定关系相匹配,则鉴权通过。其中,第三绑定关系为第三安全认证装置和5G-CP设备的MAC地址和位置信息的绑定。
本申请提供的一种5G网络安全增强防护系统,实现了利用系统中的第三安全认证装置通过5G-CP设备和UPF设备与第二安全认证装置进行鉴权。确保通信的两端都经过了合法的身份验证,加强了通信链路的安全性的保护,降低未经授权设备的访问概率,减少网络攻击的问题。
图4为本申请实施例提供的一种5G网络安全增强防护系统的信令图三。如图4所示,该系统包括:
S401、5G基站发送UE的数据传输指令;
数据传输指令是指通过数据传输以执行业务需求的指令。
本实施例中,UE向5G基站传输数据传输指令后,发送给第一安全认证装置。
S402、第一安全认证装置通过流量过滤功能获取数据传输指令携带的数据网络名称号和业务数据;
流量过滤功能是指安全认证装置能够检查和分析通过网络传输的数据传输指令。网络名称号是指用于识别和区分不同的数据网络的字符串。
本实施例中,第一安全认证装置通过流量过滤功能分析并获取5G基站发送的数据传输指令携带的数据网络名称号和业务数据。
S403、第一安全认证装置根据数据网络名称号与名称号与网络映射关系,获取用于传输业务数据的网络类型,其中,映射关系包括数据网络名称号和网络类型的映射关系;
本实施例中,第一安全认证装置通过获取到的网络名称号,根据数据网络名称号和网络类型的映射关系,获取用于传输业务数据的网络类型。
S404、若第一安全认证装置获取该网络类型为行业专网,则对业务数据进行加密,并在加密后传输至UPF设备;
第一安全认证装置内嵌有国密安全芯片,第一安全认证装置通过本地内嵌的国密安全芯片对业务数据进行加密。
行业专网是指根据特定行业或特定应用领域而设计的专用网络。
本实施例中,如果第一安全认证装置通过数据网络名称号获取到该业务传输指令的网络类型为行业专网,则利用对自身装置内的国密算法对该业务数据进行加密,并在加密后传输至UPF设备;
S405、若第一安全认证装置获取该网络类型为公网,则利用核心网对业务数据进行传输。
公网是指公共网络,可供公众或广泛用户群体使用,不受特定行业、组织或地理区域的限制。
本实施例中,如果第一安全认证装置通过数据网络名称号获取到该业务传输指令的网络类型为公网,则利用核心网对业务数据进行传输。
S406、UPF设备获取加密的业务数据;
本实施例中,UPF设备获取通过第一安全认证装置加密后的业务数据。
S407、第二安全认证装置对加密的业务数据进行解密,获取解密后的业务数据;
第二安全认证装置内嵌有国密安全芯片,第二安全认证装置通过本地内嵌的国密安全芯片对业务数据进行解密。
本实施例中,第二安全认证装置利用自身国密算法对UPF设备发送的加密后业务数据进行解密,得到解密后的业务数据。
S408、第二安全认证装置通过UPF设备将解密后的业务数据传输至防火墙,并通过防火墙传输至行业客户应用系统。
行业客户应用系统是指特定行业或行业领域中使用的应用程序和软件系统。
本实施例中,第二安全认证装置将解密后业务数据传输的通过UPF设备传输至防火墙,并通过防火墙传输至行业客户应用系统。
本申请提供的一种5G网络安全增强防护系统,实现了利用各个在网设备配置的安全认证装置对业务传输指令进行解析,并将行业专网业务数据进行加密后传输,加强了数据传输的安全性与准确性。
图5为本申请实施例提供的一种5G网络安全增强防护系统的信令图四。如图5所示,该系统包括:
S501、第一安全认证装置、第二安全认证装置和第三安全认证装置向专网安全认证管理平台按照预设周期上报的位置信息;
系统还包括专网安全认证管理平台,专网安全认证管理平台分别与第一安全认证装置、第二安全认证装置和第三安全认证装置连接;
专网安全认证管理平台是指用于管理和维护各安全认证装置;
预设周期是指预先设定的周期或时间段。
本实施例中,第一安全认证装置、第二安全认证装置和第三安全认证装置通过自身带有的定位芯片实时获取位置信息并按照预设周期向专网安全认证管理平台上报的位置信息。
S502、若专网安全认证管理平台根据位置信息确定第一安全认证装置、第二安全认证装置或第三安全认证装置中的至少一个出现位置移动时,发出告警信息。
告警信息是指专网安全认证管理平台向用户发送系统存在的危险信息。
本实施例中,如果第一安全认证装置、第二安全认证装置或第三安全认证装置中至少有一个向专网安全认证管理平台发送的位置信息与该管理平台记录的位置信息不匹配,则向用户发出告警信息。
本申请提供的一种5G网络安全增强防护系统,实现了利用专网安全认证管理平台对在网认证设备的位置的监控与反馈,提高了在网设备的身份安全性,强化了在网设备的位置信息的监控,从而降低了潜在的安全威胁。
图6为本申请实施例提供的一种5G网络安全增强防护系统的信令图五。如图6所示,该系统包括:
S601、若第一安全认证装置、第二安全认证装置或第三安全认证装置鉴权失败;
本实施例中,如果第一安全认证装置、第二安全认证装置或第三安全认证装置在进行双向鉴权过程中,任意一个安全认证装置没有匹配到对方发送的身份验证信息,则表示鉴权失败。
S602、第一安全认证装置、第二安全认证装置或第三安全认证装置向专网安全认证管理平台发送鉴权失败信息;
本实施例中,在鉴权失败后,第一安全认证装置、第二安全认证装置或第三安全认证装置向专网安全认证管理平台发送鉴权失败信息。
S603、专网安全认证管理平台发出告警信息。
本实施例中,当专网安全认证管理平台收到任意一安全认证装置发送的鉴权失败信息,则立即向用户或管理员发出告警信息,以提醒用户或管理员可能存在的安全问题。
本申请提供的一种5G网络安全增强防护系统,实现了利用专网安全认证管理平台对在网认证设备的双向鉴权结果的监控与反馈,提高了网络的身份验证和安全性,通过当设备鉴权失败后发出告警信息,提醒用户及时采取安全措施,降低了潜在的威胁和攻击问题,有助于保护网络资源和数据的安全。
最后应说明的是:本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本发明的其它实施方案。本发明旨在涵盖本发明的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本发明的一般性原理并包括本发明未公开的本技术领域中的公知常识或惯用技术手段,并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本发明的范围仅由所附的权利要求书来限制。
Claims (10)
1.一种5G网络安全增强防护系统,其特征在于,所述系统包括:5G基站、UPF设备和5G-CP设备,其中,所述5G基站配置有第一安全认证装置,所述UPF设备配置有第二安全认证装置,所述5G-CP设备配置有第三安全认证装置,所述UPF设备分别与所述5G基站和所述5G-CP设备通信连接;
所述第一安全认证装置和所述第二安全认证装置通过所述5G基站和所述UPF设备进行双向鉴权,在鉴权通过后,所述5G基站和所述UPF设备可进行网络通信;
所述第二安全认证装置和所述第三安全认证装置通过所述UPF设备和所述5G-CP设备进行双向鉴权,在鉴权通过后,所述UPF设备与所述5G-CP设备可进行网络通信。
2.根据权利要求1所述的系统,其特征在于,所述第一安全认证装置预设有所述第二安全认证装置和所述UPF设备的第二绑定关系;
所述第二安全认证装置中预设有所述第一安全认证装置和所述5G基站的第一绑定关系;
所述第一安全认证装置通过所述5G基站和所述UPF设备,并基于所述第二绑定关系与所述第二安全认证装置进行鉴权;
所述第二安全认证装置通过所述UPF设备和所述5G基站,并基于所述第一绑定关系与所述第一安全认证装置进行鉴权。
3.根据权利要求2所述的系统,其特征在于,所述第一绑定关系为所述第一安全认证装置和所述5G基站的MAC地址和位置信息的绑定;
所述第二绑定关系为所述第二安全认证装置和所述UPF设备的MAC地址和位置信息绑定;
所述第一安全认证装置通过所述5G基站和所述UPF设备向所述第二安全认证装置发送包括所述5G基站的MAC地址和位置信息的鉴权请求,以使所述第二安全认证装置根据所述第一绑定关系进行鉴权;
所述第二安全认证装置通过所述UPF设备和所述5G基站向所述第一安全认证装置发送包括所述UPF设备的MAC地址和位置信息的鉴权设备,以使所述第一安全装置根据所述第二绑定关系进行鉴权。
4.根据权利要求1所述的系统,其特征在于,所述第三安全认证装置预设有所述第二安全认证装置和所述UPF设备的第二绑定关系;
所述第二安全认证装置中预设有所述第三安全认证装置和所述5G-CP设备的第三绑定关系;
所述第三安全认证装置通过所述5G-CP设备和所述UPF设备,并基于所述第二绑定关系与所述第二安全认证装置进行鉴权;
所述第二安全认证装置通过所述UPF设备和所述5G-CP设备,并基于所述第三绑定关系与所述第三安全认证装置进行鉴权。
5.根据权利要求4所述的系统,其特征在于,所述第三绑定关系为所述第三安全认证装置和所述5G-CP设备的MAC地址和位置信息的绑定;
所述第二绑定关系为所述第二安全认证装置和所述UPF设备的绑定;
所述第三安全认证装置通过所述5G-CP设备和所述UPF设备向所述第二安全认证装置发送包括所述5G-CP设备的MAC地址和位置信息的鉴权请求,以使所述第二安全认证装置根据所述第三绑定关系进行鉴权;
所述第二安全认证装置通过所述UPF设备和所述5G-CP设备向所述第三安全认证装置发送包括所述UPF设备的MAC地址和位置信息的鉴权设备,以使所述第三安全装置根据所述第二绑定关系进行鉴权。
6.根据权利要求1所述的系统,其特征在于,在鉴权通过后,所述第一安全认证装置用于:
在UE向所述5G基站发送数据传输指令后,通过流量过滤功能获取所述数据传输指令携带的数据网络名称号和业务数据;
根据所述数据网络名称号与名称号与网络映射关系,获取用于传输所述业务数据的网络类型,其中,所述映射关系包括数据网络名称号和网络类型的映射关系;
若所述网络类型为行业专网,则对所述业务数据进行加密,并在加密后传输至UPF设备;
若所述网络类型为公网,则利用核心网对所述业务数据进行传输。
7.根据权利要求6所述的系统,其特征在于,所述第二安全认证装置用于:
通过所述UPF设备获取所述加密的业务数据;
对加密的业务数据进行解密,获取解密后的业务数据;
通过所述UPF设备将所述解密后的业务数据传输至防火墙,并通过所述防火墙传输至行业客户应用系统。
8.根据权利要求7所述的系统,其特征在于,所述第一安全认证装置和所述第二安全认证装置各自内嵌有国密安全芯片,所述第一安全认证装置通过本地内嵌的国密安全芯片对业务数据进行加密,所述第二安全认证装置通过本地内嵌的国密安全芯片对业务数据进行解密。
9.根据权利要求1所述的系统,其特征在于,所述系统还包括专网安全认证管理平台,所述专网安全认证管理平台分别与所述第一安全认证装置、所述第二安全认证装置和所述第三安全认证装置连接;
所述专网安全认证管理平台用于获取所述第一安全认证装置、所述第二安全认证装置和所述第三安全认证装置按照预设周期上报的位置信息;
若根据所述位置信息确定所述第一安全认证装置、所述第二安全认证装置或所述第三安全认证装置中的至少一个出现位置移动时,发出告警信息。
10.根据权利要求9所述的系统,其特征在于,若所述第一安全认证装置、所述第二安全认证装置或所述第三安全认证装置鉴权失败,则向所述专网安全认证管理平台发送鉴权失败信息,以使所述专网安全认证管理平台发出告警信息。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311443614.2A CN117499919A (zh) | 2023-11-01 | 2023-11-01 | 5g网络安全增强防护系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311443614.2A CN117499919A (zh) | 2023-11-01 | 2023-11-01 | 5g网络安全增强防护系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN117499919A true CN117499919A (zh) | 2024-02-02 |
Family
ID=89679381
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311443614.2A Pending CN117499919A (zh) | 2023-11-01 | 2023-11-01 | 5g网络安全增强防护系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117499919A (zh) |
-
2023
- 2023-11-01 CN CN202311443614.2A patent/CN117499919A/zh active Pending
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP3816337B2 (ja) | テレコミュニケーションネットワークの送信に対するセキュリティ方法 | |
CN103339911B (zh) | 允许被授权方访问从移动设备发送的被加密的消息 | |
US20200162434A1 (en) | Secure and encrypted heartbeat protocol | |
CN101094394A (zh) | 一种保证视频数据安全传输的方法及视频监控系统 | |
CN1592193A (zh) | 用于安全远程访问的系统和方法 | |
CN110933078B (zh) | 一种h5未登录用户会话跟踪方法 | |
CN111918284B (zh) | 一种基于安全通信模组的安全通信方法及系统 | |
CN102348210A (zh) | 一种安全性移动办公的方法和移动安全设备 | |
CN108353279A (zh) | 一种认证方法和认证系统 | |
CN107094156A (zh) | 一种基于p2p模式的安全通信方法及系统 | |
CN112911588A (zh) | 一种轻量级的窄带物联网安全传输方法和系统 | |
CN102223356B (zh) | 基于密钥管理服务器的ims媒体安全的合法监听系统 | |
WO2019084524A1 (en) | NETWORK DEFINED BY SOFTWARE TO CREATE A TRUSTED NETWORK SYSTEM | |
CN109600745B (zh) | 一种新型的5g蜂窝网信道安全系统及安全实现方法 | |
CN108400967B (zh) | 一种鉴权方法及鉴权系统 | |
KR20110043371A (ko) | 보안 기능을 제공하는 안전한 에스아이피 프로토콜을 이용한 공격 탐지 방법 및 시스템 | |
CN117499919A (zh) | 5g网络安全增强防护系统 | |
CN104852902A (zh) | 基于改进Diameter/EAP-TLS协议的民航SWIM用户认证方法 | |
KR102419057B1 (ko) | 철도 통신네트워크의 메시지 보안 시스템 및 방법 | |
Khan et al. | An HTTPS approach to resist man in the middle attack in secure SMS using ECC and RSA | |
CN103312671A (zh) | 校验服务器的方法和系统 | |
US9137264B2 (en) | Method for optimizing the transfer of a stream of secure data via an autonomic network | |
CN115428402A (zh) | 用于数据传输的方法和通信系统 | |
JP4608245B2 (ja) | 匿名通信方法 | |
CN112135278A (zh) | 一种面向5g的d2d通信隐私保护方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |