CN116033429A - 切片路由规则防篡改方法、网元及介质 - Google Patents
切片路由规则防篡改方法、网元及介质 Download PDFInfo
- Publication number
- CN116033429A CN116033429A CN202211605268.9A CN202211605268A CN116033429A CN 116033429 A CN116033429 A CN 116033429A CN 202211605268 A CN202211605268 A CN 202211605268A CN 116033429 A CN116033429 A CN 116033429A
- Authority
- CN
- China
- Prior art keywords
- slice
- random code
- application program
- network element
- terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
本公开提供一种切片路由规则防篡改方法、网元及介质,所述方法包括:网络切片选择功能网元分别为各网络切片对应的每个应用程序分配其各自的第一随机码以形成第一随机码序列;以及,将所述第一随机码序列分别下发至用户面功能网元及终端,以使所述终端在向核心网发起切片会话建立请求后,所述用户面功能网元验证所述终端发送的能够使用所述切片的第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中,若不在,则阻止所述切片会话的进行。本公开实施例至少可以有效提高URSP规则的安全性,防止非授权应用程序非法使用切片服务。
Description
本申请是2021年3月9日提交、发明名称为“切片路由规则防篡改方法、终端、网元及介质”、申请号为“202110257234.4”的发明专利申请的分案申请。
技术领域
本公开涉及通信技术领域,尤其涉及一种切片路由规则防篡改方法、一种网络切片管理功能网元、一种用户面功能网元以及一种计算机可读存储介质。
背景技术
网络切片技术是5G(5th generation mobile networks,第五代移动通信技术)的关键技术之一,它能够通过对网络进行配置,使得用户按需获得最合适的网络服务,增加网络资源的灵活度。
第三代合作伙伴计划(the 3rd generation partnership project,3GPP)R15阶段,5G核心网已经具备部分针对用户及业务的策略配置方案,并定义了用户设备路由选择策略(user equipment routing selectionpolicy,URSP)规则,重点定义了业务级别的配置和管理策略,为5G核心网定义的网络切片、业务和会话的连续性等功能提供了灵活的配置和管理手段。目前的URSP规则的安全性不强,一旦URSP规则被篡改,非授权应用程序即可非法使用切片服务,例如,5G切片注册的过程中,终端侧会向网络上报切片策略信息,其中包括需要使用切片服务的应用程序ID以及其对应的流量路由策略,非授权应用程序可能存在盗用授权应用程序的ID,使用切片服务的情况。
发明内容
本公开提供了一种切片路由规则防篡改方法、终端、网络切片管理功能网元及计算机可读存储介质,以至少解决上述问题。
根据本公开实施例的一方面,提供一种切片路由规则防篡改方法,应用于终端,包括:
定义用于描述切片路由规则中的应用标识的描述标识;
建立关于各个应用程序的描述标识和其各自的应用标识之间的关系映射表;
在向核心网发起切片会话的注册请求后,接收核心网返回的路由规则和切片标识规则,所述路由规则中携带能够使用所述切片的第一应用程序的第一应用标识;
判断所述关系映射表中是否存在所述第一应用标识及其映射的物描述标识;
若存在所述第一应用标识及其映射的描述标识,则基于所述第一应用标识及其映射的描述标识将所述第一应用标识对应的第一应用程序与所述路由规则和切片标识规则进行匹配。
根据本公开实施例的第二方面,提供另一种切片路由规则防篡改方法,应用于网络切片选择功能网元,包括:
分别为各网络切片对应的每个应用程序分配其各自的第一随机码以形成第一随机码序列;以及,
将所述第一随机码序列分别下发至用户面功能网元及终端,以使所述终端在向核心网发起切片会话建立请求后,所述用户面功能网元验证所述终端发送的能够使用所述切片的第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中,若不在,则阻止所述切片会话的进行。
根据本公开实施例的第三方面,提供又一种切片路由规则防篡改方法,应用于用户面功能网元,包括:
接收网络切片选择功能网元发送的第一随机码序列,其中所述第一随机码序列是由所述网络切片选择功能网元分别为各网络切片对应的每个应用程序分配的各自的第一随机码形成的;
在终端在向核心网发起切片会话建立请求后,接收终端发送的能够使用所述切片的第一应用程序的第一随机码;
验证所述终端发送的能够使用所述切片的第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中;
若不在所述第一随机码序列中,则阻止所述切片会话的进行。
根据本公开实施例的第四方面,提出一种终端,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行所述的一种切片路由规则防篡改方法。
根据本公开实施例的第五方面,提供一种网络切片选择功能网元,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行所述另一种的切片路由规则防篡改方法。
根据本公开实施例的第六方面,提供一种用户面功能网元,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行所述的又一种切片路由规则防篡改方法。
根据本公开实施例的第七方面,提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时,所述处理器执行所述的一种切片路由规则防篡改方法、所述的另一种切片路由规则防篡改方法,或者所述的又一种切片路由规则防篡改方法。
本公开的实施例提供的技术方案可以包括以下有益效果:
本公开实施例通过建立应用程序描述标识和应用标识之间的映射关系表,使用应用程序在终端的描述标识作为路由规则中APP ID的标识,避免在切片策略URSP中直接使用APP-ID明文,可以有效避免其他应用程序在使用切片服务时盗用、篡改终端侧URSP中的APPID,至少可以有效提高URSP规则的安全性,防止非授权应用程序非法使用切片服务。
本公开的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本公开而了解。本公开的目的和其他优点可通过在说明书、权利要求书以及附图中所特别指出的结构来实现和获得。
附图说明
附图用来提供对本公开技术方案的进一步理解,并且构成说明书的一部分,与本公开的实施例一起用于解释本公开的技术方案,并不构成对本公开技术方案的限制。
图1为本公开实施例提供的一种切片路由规则防篡改方法的流程示意图;
图2为本公开实施例提供的另一种切片路由规则防篡改方法的流程示意图;
图3为本公开实施例提供的又一种切片路由规则防篡改方法的流程示意图;
图4为本公开实施例提供的再一种切片路由规则防篡改方法的流程示意图;
图5为本公开实施例提供的一种终端的结构示意图;
图6为本公开实施例提供的一种网络切片选择功能网元的结构示意图;
图7为本公开实施例提供的一种用户面功能网元的结构示意图。
具体实施方式
为使本公开实施例的目的、技术方案和优点更加清楚,以下结合附图对本公开的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本公开,并不用于限制本公开。
需要说明的是,本公开的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序;并且,在不冲突的情况下,本公开中的实施例及实施例中的特征可以相互任意组合。
在后续的描述中,使用用于表示元件的诸如“模块”、“部件”或“单元”的后缀仅为了有利于本公开的说明,其本身没有特定的意义。因此,“模块”、“部件”或“单元”可以混合地使用。
为解决上述问题,本公开实施例从终端侧、网络侧两方面对应用程序进行的漏洞监控。具体地,本实施例中终端侧不会直接采用APP ID明文作为URSP切片路由规则,而采用该应用程序的描述标识,例如应用程序所在的物理储存位置作为标识,由于储存位置是唯一的因此降低被篡改的风险,同时可采用分布式存储的方式,由所有应用程序对储存位置的信息进行保存管理,避免了篡改单个应用程序标识的风险。并且,网络侧的网络切片选择的功能网元(Network SliceSelection Function,简称NSSF)对区域内的用户面功能网元(User plane Function,简称UPF)下发标识,用于区别每种应用程序的数据包,UPF验证数据包的路由是否指向特定的DN(Domain Name,域名)服务器集合,从而根据数据包的路由指向进一步判定是否存在盗用某个切片服务,进而确保路由规则不被篡改,防止非法使用切片服务。
请参照图1,图1为本公开实施例提供的一种切片路由规则防篡改方法的流程示意图,应用于终端的新增管理单元,所述方法包括步骤S101-S105。
在步骤S101中,定义用于描述切片路由规则中应用标识的描述标识。
本实施例中,定义一种新的标识---描述标识,用于描述切片路由规则URSP中的应用标识,可以有效避免在切片策略URSP中直接使用APP-ID明文,进而其他应用程序在使用切片服务时盗用、篡改终端侧URSP中的APP ID等情况。
具体地,根据所有应用程序的属性定义描述标识,该描述标识为所有应用程序共同拥有的、且各自相区别可以代表应用程序身份的标识信息,本实施例中,将描述标识定义为应用程序的物理存储区位置信息,应用程序APK/APP的储存物理位置不会重复,因此使用应用程序在终端的物理ROM储存区位置作为URSP中APP ID的标识。
在步骤S102中,建立关于各个应用程序的描述标识和其各自的应用标识之间的关系映射表。
为了保证切片策略URSP的应用标识APP ID与应用程序、网络切片的兼容性,在网络侧PCF\NSSF中URSP的APP ID都是统一固定的,例如微信APP ID固定为010101,相关技术是终端直接采用010101作为APP ID。为了避免其他应用程序在使用切片服务时盗用、篡改终端侧URSP中的APP ID,终端侧通过建立APP-ID与应用程序的物理存储区位置信息的关系映射表,避免在切片策略URSP中直接使用APP-ID明文,由于应用程序APK/APP的储存物理位置不会重复,因此使用应用程序在终端的物理ROM储存区位置作为URSP中APP ID的标识,例如微信在终端的ROM区域储存地址是H012F0023,那么每当调用URSP时就将H012F0023与010101建立映射关系列表,采用H012F0023而不直接使用010101。
在步骤S103中,在向核心网发起切片会话的注册请求后,接收核心网返回的路由规则和切片标识规则,所述路由规则中携带能够使用所述切片的第一应用程序的第一应用标识。
具体地,终端首先向核心网发起切片注册请求,核心网收到切片注册请求后向终端返回合适的URSP(UE路由选择策略)、NSSAI(切片标识)规则,终端获得切片URSP中“traffic descriptor”的APP ID(假设为000111)。
在一些实施例中,为了进一步提高对应用程序描述表里例如存储地址安全性的管理,可以对映射关系列表进行分布式管理,具体地,步骤S103,包括以下步骤:
在每个应用程序中都建立一个关于各个应用程序的描述标识和其各自的应用标识之间的关系映射表,得到若干关系映射表;
在判断所述关系映射表中是否存在所述第一应用标识及其映射的描述标识之后,以及基于所述第一应用标识及其映射的描述标识将所述第一应用标识对应的第一应用程序与所述路由规则和切片标识规则进行匹配之前,还包括:
若存在所述第一应用标识及其映射的描述标识,则判断所述若干关系映射表中的所述第一应用标识及其映射的描述标识是否均一致,若均一致,则执行基于所述第一应用标识及其映射的描述标识将所述第一应用标识对应的第一应用程序与所述路由规则和切片标识规则进行匹配的步骤。
具体地,每当终端新下载了应用程序后,新的应用程序都将其ROM区储存地址发送给其他所有的应用程序,如果有应用程序出现卸载也将通知其他应用程序:把即将卸载的应用程序的物理储存地址清除。于是,每个应用程序都将记录其他所有应用程序的物理储存地址,避免有恶意程序将自己的APP ID或者物理储存地址。
在步骤S104中,判断所述关系映射表中是否存在所述第一应用标识及其映射的描述标识,若是,则执行步骤S104,否则,结束流程。
终端获得切片URSP中“traffic descriptor”的APP ID 000111,由新增管理单元向终端的应用程序调取上述映射关系列表,判断映射关系列表中的物理地址以及APP ID是否一致,且不存在两个物理地址或者APP ID相同的情况。
在一些实施例中,如果关系映射表采用分布式存储,则终端新增管理单元判断物理地址和APP ID的对应情况,会通过随机性或依据特定规则选定N个应用程序,由这N个应用程序向终端上报它们储存的映射关系列表,判断N个映射关系列表中的物理地址以及APPID是否一致。
在步骤S105中,基于所述第一应用标识及其映射的描述标识将所述第一应用标识对应的第一应用程序与所述路由规则和切片标识规则进行匹配。
具体地,在该终端中的固定物理储存地址(假设为FF0110A78)的应用程序才符合网络侧下发的URSP规则,才可以使用本次编号为NSSAI的网络切片,由此从终端侧对应用程序进行验证,避免仅仅通过APP ID就将应用程序与URSP\NSSAI进行匹配的风险漏洞。可以理解的是,只有第一应用标识对应的第一应用程序与所述路由规则和切片标识规则进行匹配之后才能进入切片注册的下一步,进而注册切片,不匹配则不能使用该切片。
在一种实施方式中,为进一步提高切片路由规则的防篡改强度,通过网络切片选择功能网元为网络切片的每个应用程序分配随机码,并在建立切片会话时验证该随机码的一致性,以保证应用程序的合法性,具体地,所述方法还包括以下步骤:
在切片会话注册成功后,向所述核心网发起切片会话建立请求,以使所述核心网基于所述切片会话建立请求建立所述切片会话;
接收网络切片选择功能网元下发的第一随机码序列,其中所述网络切片选择功能网元分别为各网络切片对应的每个应用程序分配其各自的第一随机码以形成第一随机码序列,并将所述第一随机码序列分别下发至用户面功能网元及所述终端;
从所述第一随机码序列中调取所述第一应用程序的第一随机码;以及将所述第一应用程序的第一随机码发送给所述用户面功能网元,以使所述用户面功能网元验证所述终端发送的所述第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中,若不在,则阻止所述切片会话的进行。具体地,在核心网NSSF网元中,为切片标识为NSSAI-1网络切片对应的每个应用程序各分配一串随机码;为NSSAI-2对应的每个应用程序各分配一串随机码;依次类推。即在同一个PLMN(Public Land MobileNetwork,公共陆地移动网络)下,每个切片服务的应用程序都有一串随机码,会存在同一个应用程序分配得到多个随机码,不同用户的同一应用程序的随机码都相同,并将这些随机码分别发送给终端和用户面功能网元。
在切片会话注册成功后,终端向核心网发起基于该切片的PDU(Protocol DataUnit,协议数据单元)会话建立请求,终端的新增管理单元调取上述流程中核心网网元NSSF为000111应用程序分配的随机码。
在一种实施方式中,为进一步提高随机码的安全性,提出了对于随机码设置的更新原则:NSSF按照地理位置以及时间两类因素进行随机码的刷新,例如片区一的NSSF以及片区二的NSSF为同一切片承载的同一应用程序分配的随机码不同,每个片区的刷新时间周期可以不同。为区域一、二等的NSSF进行UPF的逻辑分区管理(由于是逻辑分区即使NSSF与UPF不属于一个逻辑区域也可以进行正常的信令通信,而不是物理分区),确保NSSF与UPF分区规则符合以下对应关系,一个NSSF可以对应至少一个或多个UPF,而每个UPF只能隶属一个NSSF。
因此可以给UPF的编号后新增数据位,该数据位代表了UPF所属于的NSSF逻辑片区。当NSSF对应用程序分配的随机码更新后,由NSSF向逻辑区域的UPF下发随机码,UPF上的储存单元或者配套MEC完成随机码的更新。其中,终端向网络发起切片会话请求,SMF将根据会话类型选择PDU。SMF(Session Management Function,进程管理功能)在向AMF(Accessand Mobility Management Function,接入及移动性管理功能)发送<Namf_Communication_N1N2MessageTransfer>的时候同时将选择的PDU编号告诉AMF,AMF再将这些消息转发给gNB以及终端。
在一种实施方式中,在接收网络切片选择功能网元下发的第一随机码序列之后,还包括以下步骤:判断所述切片会话所分配的用户面功能网元是否一直属于所述网络切片选择功能网元管理的逻辑片区,其中不同区域的网络切片选择功能网元分别进行关于用户面功能网元的逻辑片区分区,各区域的网络切片选择功能网元向其管理下的逻辑片区的用户面功能网元下发第一随机码序列若所述切片会话所分配的用户面功能网元不再属于所述网络切片选择功能网元管理的逻辑片区,则向所述网络切片选择功能网元发送获取第二随机码序列的请求,以使所述网络切片选择功能网元与新逻辑片区下的网络切片选择功能网元交互,并使新逻辑片区下的网络切片选择功能网元分别为各网络切片对应的每个应用程序分配其各自的第二随机码以形成第二随机码序列,然后将所述第二随机码序列分别下发至所述用户面功能网元及所述终端;
接收新逻辑片区下的网络切片选择功能网元下发的第二随机码序列;
从所述第二随机码序列中调取所述第一应用程序的第二随机码;以及,
将所述第一应用程序的第二随机码发送给所述用户面功能网元,以使所述用户面功能网元验证所述终端发送的所述第一应用程序的第二随机码是否在所述网络切片选择功能网元发送的所述第二随机码序列中,若不在,则阻止所述切片会话的进行。
具体地,终端的新增管理单元对其接入PDU的逻辑区域进行监测:该PDU所在的逻辑区域是否归属于旧NSSF区域,即判断PDU编号新增的数据位是否发生变化,如果发生变化即终端本次切片承载的会话PDU逻辑归属于新的NSSF,那么终端向AMF、NSSF上报,请求为终端下发广播消息,将新逻辑区域NSSF分配的随机码发送给终端,如果PDU编号新增的数据位没有变化说明终端本次切片承载的会话PDU逻辑归属没有改变,那么NSSF无需给终端再次重复下发分配的随机码。
进一步地,如果终端已经连接了一个切片(最多同时连接8个),那么以上流程中,还需要判断新切片连接的PDU与现有切片的PDU是否归属于同一个NSSF逻辑片区,如果是那么无需再次下发NSSF分配的随机码,如果否那么还是向NSSF请求下发随机码。
其中,该随机码在下发给终端的过程中采取加密模式,终端对接收到的随机码储存于新增管理单元,只有该管理单元才有解密的权限,其他应用程序不可以通过新增管理单元直接调取该随机码或者进行解密,以保证随机码不会被盗用或篡改。
在一种实施方式中,为了避免被其他应用程序在传输过程中盗取该随机码,终端的新增管理单元并不会直接将随机码发送给应用程序。而是在PDU会话建立成功后,即终端收到核心网向终端下发IP地址configuration之后,新增管理单元通过在物理储存地址为FF0110A78的应用程序的uplink data链路上(上行链路)数据包的包头位置或者其它特定位置,***该应用程序对应的随机码,以进一步加强随机码的安全性。具体地,所述将所述第一应用程序的第一随机码发送给所述用户面功能网元,包括以下步骤:
将所述第一应用程序的第一随机码***至第一应用程序的上行数据链路数据包的预设位置;以及,
基于所述第一应用程序的上行链路数据包将所述第一应用程序的第一随机码发送给所述用户面功能网元,以使所述用户面功能网元从所述第一应用程序的上行链路数据包中获取所述第一应用程序的第一随机码,并基于所述第一随机码验证所述网络切片选择功能网元发送的所述第一应用程序的随机码与所述终端发送的所述第一应用程序的随机码是否一致,若不一致,则阻止所述切片会话的进行。
进一步地,为了减少信令开销、避免资源浪费,***随机码的上行数据包不需全部覆盖,同时为了使UPF可以快速定位是哪个数据包***了随机码,可以在***随机码的同时再增加一个标识位,例如标识位为1则代表该上行数据包有添加随机码,如果为0就是表示该数据包没有添加随机码。
具体地,UPF收到会话上行数据包后,对标识位为1的数据包进行随机码验证:如果随机码不一致,则说明可能存在应用程序盗用等情况此时UPF阻止会话的进行,具体地,UPF发起拦截流程,提示提示SMF该会话无法正常进行。在一些实施例中,如果随机码一致,则:a.获取数据包包头或特定位置的随机码。以及该数据包指向的DN服务器地址。b.由于UPF储存在随机码以及终端上行数据包携带的随机码是配套一致的,UPF可以对比历史记录中相同随机码所在的数据包指向的DN服务器地址的集合包含的DN服务器地址,如果不包含那么UPF继续查找该NSSF逻辑区域内其他UPF节点中相同随机码所在的数据包指向的DN服务器地址所属的集合是否包括该DN服务器地址。同一NSSF逻辑区域的UPF查找方式可以参照上述内容。
简而言之,如果UPF验证相同随机码所在的数据包指向的DN服务器属于相同的地址集合,那么该会话可以继续进行,切片服务可以继续承载该应用程序。如果UPF验证该随机码所属的数据包不属于其他数据包指向的DN服务器集合,那么UPF将发起拦截流程,提示SMF该会话无法正常进行。
相关技术中,没有对切片业务的应用程序ID进行安全保护。由于每个应用程序在终端上初次安装时的签名、APP-ID都是公开的,相关技术通常是是给应用程序ID以及切片选择策略进行加密,但是非法应用程序如果盗取合法应用程序的APP ID,仍然可以按照既定的加密流程对APP ID进行加密,或者直接盗用加密后的信息。网络侧对加密的消息解密后,由于不知道实际的应用程序到底是不是合法的签约程序,仍然会同意该程序使用网络切片。因此仅仅通过加密APP ID是不能解决篡改、盗用APP ID的漏洞。
本公开实施例从终端侧、网络侧两方面对应用程序进行的漏洞监控。首先终端侧不会直接采用APP ID明文作为URSP切片路由规则,而采用该应用程序所在的物理储存位置作为标识,由于储存位置是唯一的因此降低被篡改的风险,同时可采用分布式存储的方式,由所有应用程序对储存位置的信息进行保存管理,避免了篡改单个应用程序标识的风险。其次,网络侧切片管理网元对区域内的UPF下发标识,用于区别每种应用程序的数据包,UPF验证数据包的路由是否指向特定的DN服务器集合,从而根据数据包的路由指向进一步判定是否存在盗用某个切片服务。
请参照图2,图2为本公开实施例提供的一种切片路由规则防篡改方法的流程示意图,应用于网络切片选择功能网元,所述方法包括步骤S201和步骤S202。
在步骤S201中,分别为各网络切片对应的每个应用程序分配其各自的第一随机码以形成第一随机码序列;以及,
在步骤S202中,将所述第一随机码序列分别下发至用户面功能网元及终端,以使所述终端在向核心网发起切片会话建立请求后,所述用户面功能网元验证所述终端发送的能够使用所述切片的第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中,若不在,则阻止所述切片会话的进行。
具体地,在核心网NSSF网元中,为切片标识为NSSAI-1网络切片对应的每个应用程序各分配一串随机码;为NSSAI-2对应的每个应用程序各分配一串随机码;依次类推。即在同一个PLMN网络下,每个切片服务的应用程序都有一串随机码,会存在同一个应用程序分配得到多个随机码,不同用户的同一应用程序的随机码都相同。
在一种实施方式中,所述方法还包括以下步骤:
不同区域的网络切片选择功能网元分别进行关于用户面功能网元的逻辑片区分区;
所述将所述第一随机码序列下发至用户功能网元,包括以下步骤:
各区域的网络切片选择功能网元将所述第一随机码序列下发至各自管理下的逻辑片区的用户面功能网元。
例如,为区域一、二等的NSSF进行UPF的逻辑分区管理(由于是逻辑分区即使NSSF与UPF不属于一个逻辑区域也可以进行正常的信令通信,而不是物理分区),确保NSSF与UPF分区规则符合以下对应关系,一个NSSF可以对应至少一个或多个UPF,而每个UPF只能隶属一个NSSF。因此可以给UPF的编号后新增数据位,该数据位代表了UPF所属于的NSSF逻辑片区。
当NSSF对应用程序分配的随机码更新后,由NSSF向逻辑区域的UPF下发随机码,UPF上的储存单元或者配套MEC完成随机码的更新。
其中,终端向网络发起切片会话请求,SMF将根据会话类型选择PDU。SMF在向AMF发送<Namf_Communication_N1N2MessageTransfer>的时候同时将选择的PDU编号告诉AMF。AMF再将这些消息转发给gNB以及终端。终端新增管理单元对其接入PDU的逻辑区域进行监测:该PDU所在的逻辑区域是否归属于旧NSSF区域,即判断PDU编号新增的数据位是否发生变化,如果发生变化即终端本次切片承载的会话PDU逻辑归属于新的NSSF,那么终端向AMF、NSSF上报,请求为终端下发广播消息,将新逻辑区域NSSF分配的随机码发送给终端,如果PDU编号新增的数据位没有变化说明终端本次切片承载的会话PDU逻辑归属没有改变,那么NSSF无需给终端再次重复下发分配的随机码。
在一种实施方式中,所述方法还包括以下步骤:
基于自身网元的位置信息及预设时间周期对所述第一随机码序列进行更新。
为了进一步提高随机码的安全性,本实施例中随机码设置更新原则:NSSF按照地理位置以及时间两类因素进行随机码的刷新,例如片区一的NSSF以及片区二的NSSF为同一切片承载的同一应用程序分配的随机码不同,每个片区的刷新时间周期可以不同。
请参照图3,图3为本公开实施例提供的一种切片路由规则防篡改方法的流程示意图,应用于用户面功能网元,所述方法包括步骤S301-S304。
在步骤S301中,接收网络切片选择功能网元发送的第一随机码序列,其中所述第一随机码序列是由所述网络切片选择功能网元分别为各网络切片对应的每个应用程序分配的各自的第一随机码形成的;
在步骤S302中,在终端在向核心网发起切片会话建立请求后,接收终端发送的能够使用所述切片的第一应用程序的第一随机码;
在步骤S303中,验证所述终端发送的能够使用所述切片的第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中,若不在所述第一随机码序列中,说明用户面功能网元接收的所述网络切片选择功能网元发送的第一随机码和所述终端发送的第一随机码验证为不一致,则执行步骤S304,若在所述第一随机码序列中,则结束流程,切片会话正常进行。
在步骤S304中,阻止所述切片会话的进行。
在一种实施方式中,所述接收终端发送的能够使用所述切片的第一应用程序的第一随机码,,包括以下步骤:
接收所述终端发送的所述第一应用程序的上行链路数据包,其中所述终端将所述第一应用程序的第一随机码***至所述第一应用程序的上行数据链路数据包的预设位置;以及,
从所述第一应用程序的上行数据链路数据包中获取所述第一应用程序的第一随机码。
在一种实施方式中,在验证所述终端发送的能够使用所述切片的第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中之后,还包括:
若在所述第一随机码序列中,则获取所述第一应用程序的上行链路数据包指向的DN服务器地址;
获取历史记录中与所述第一应用程序的第一随机码相同的随机码所在的数据包指向的DN服务器地址集合;
判断所述DN服务器地址集合中是否存在所述DN服务器地址,若不存在,则阻止所述切片会话的进行。
其中,所述DN服务器地址集合,不仅可以包括本UPF中随机码所在的数据包指向的DN服务器地址所属的集合,还可以包括NSSF逻辑区域内其他UPF节点中相同随机码所在的数据包指向的DN服务器地址所属的集合。
需要说明的是,本实施例的上述流程在前述其它实施例相应部分已做详述,此处不再赘述。
为进一步理解,请参照图4,图4为本公开实施例提供过的再一种切片路由规则防篡改方法,包括以下步骤:
一、切片承载会话建立前,对终端进行配置:
S401、在核心网NSSF网元中,为切片标识为NSSAI-1网络切片对应的每个应用程序各分配一串随机码;为NSSAI-2对应的每个应用程序各分配一串随机码;依次类推。即在同一个PLMN网络下,每个切片服务的应用程序都有一串随机码,会存在同一个应用程序分配得到多个随机码,不同用户的同一应用程序的随机码都相同。
其中,为了提高随机码的安全性,需要对于步骤1中的随机码设置更新原则:NSSF按照地理位置以及时间两类因素进行随机码的刷新,例如片区一的NSSF以及片区二的NSSF为同一切片承载的同一应用程序分配的随机码不同,每个片区的刷新时间周期可以不同。
S402、为区域一、二等的NSSF进行UPF的逻辑分区管理(由于是逻辑分区即使NSSF与UPF不属于一个逻辑区域也可以进行正常的信令通信,而不是物理分区),确保NSSF与UPF分区规则符合以下对应关系,一个NSSF可以对应至少一个或多个UPF,而每个UPF只能隶属一个NSSF。因此可以给UPF的编号后新增数据位,该数据位代表了UPF所属于的NSSF逻辑片区。
S403、当NSSF对应用程序分配的随机码更新后,由NSSF向逻辑区域的UPF下发随机码,UPF上的储存单元或者配套MEC完成随机码的更新。同时,S404、NSSF将随机码下发给终端。
S405、终端向网络发起切片会话请求;S406、SMF将根据会话类型选择UPF。
S407、SMF向AMF传递UPF选择信息。SMF在向AMF发送<Namf_Communication_N1N2MessageTransfer>的时候同时将选择的UPF编号告诉AMF。S408、AMF再将这些消息转发给gNB以及终端。
S409、终端新增管理单元对其接入UPF的逻辑区域进行监测:该PDU所在的逻辑区域是否归属于旧NSSF区域,即判断UPF编号新增的数据位是否发生变化,如果发生变化则执行步骤S410,如果UPF编号新增的数据位没有变化说明终端本次切片承载的会话UPF逻辑归属没有改变,那么NSSF无需给终端再次重复下发分配的随机码。
S410、终端本次切片承载的会话UPF逻辑归属于新的NSSF,那么终端向AMF、NSSF上报。
S411、NSSF请求为终端下发广播消息,将新逻辑区域NSSF分配的随机码发送给终端。
可扩展的,如果终端已经连接了一个切片(最多同时连接8个),那么以上步骤还需要判断新切片连接的PDU与现有切片的PDU是否归属于同一个NSSF逻辑片区,如果是那么无需再次下发NSSF分配的随机码,如果否那么还是向NSSF请求下发随机码。该随机码在下发给终端的过程中采取加密模式,终端对接收到的随机码储存于新增管理单元,只有该管理单元才有解密的权限,其他应用程序不可以通过新增管理单元直接调取该随机码或者进行解密。
S412、为了保证切片策略URSP的APP ID与应用程序、网络切片的兼容性,在网络侧PCF\NSSF中URSP的APP ID都是统一固定的,例如微信APP ID固定为010101,相关技术是终端直接采用010101作为APP ID。为了避免其他应用程序在使用切片服务时盗用、篡改终端侧URSP中的APP ID,终端侧还将建立APP-ID的关系映射表,避免在切片策略URSP中直接使用APP-ID明文,由于APK/APP的储存物理位置不会重复,因此使用应用程序在终端的物理ROM储存区位置作为URSP中APP ID的标识,例如微信在终端的ROM区域储存地址是H012F0023,那么每当调用URSP时就将H012F0023与010101建立映射关系列表,采用H012F0023而不直接使用010101。
S413、为了进一步提高对应用程序储存地址安全性的管理,可以对映射关系列表进行分布式管理:每当终端新下载了应用程序后,新的应用程序都将其ROM区储存地址发送给其他所有的应用程序,如果有应用程序出现卸载也将通知其他应用程序:把即将卸载的应用程序的物理储存地址清除。于是,每个应用程序都将记录其他所有应用程序的物理储存地址,避免有恶意程序将自己的APP ID或者物理储存地址。
二、切片承载会话建立时,验证应用程序是否存在篡改APP ID盗用某个切片服务的风险:
S414、终端在向核心网发起切片注册请求后,核心网收到切片注册请求后,PCF向终端返回合适的URSP(UE路由选择策略)、NSSAI(切片标识)规则。
S415、终端获得切片URSP中“traffic descriptor”的APP ID(假设为000111)后,由新增管理单元向终端的应用程序调取的映射关系表。
S416、验证映射关系表中N个映射表关系列表中的物理地址以及APP ID是否一致:
a.终端新增管理单元会随机性或依据特定规则选定N个应用程序,由这N个应用程序向新增管理单元上报它们储存的映射关系列表。
b.新增管理单元判断N个映射关系列表中的物理地址以及APP ID是否一致,且不存在两个物理地址或者APP ID相同的情况。
c.通过以上步骤新增管理单元可以判定:在该终端中的固定物理储存地址(假设为FF0110A78)的应用程序才符合网络下发的URSP规则,才可以使用本次编号为NSSAI的网络切片。由此从终端侧对应用程序进行验证,避免仅仅通过APP ID就将应用程序与URSP\NSSAI进行匹配的风险漏洞。
S417、切片注册成功后,终端向核心网发起基于该切片的PDU会话建立请求,终端的新增管理单元调取核心网网元NSSF为000111应用程序分配的随机码,为了避免被其他应用程序在传输过程中盗取该随机码,终端的新增管理单元并不会直接将随机码发送给应用程序。而是在PDU会话建立成功后,即终端收到核心网向终端下发IP地址configuration之后,新增管理单元会在物理储存地址为FF0110A78的应用程序的uplink data链路上(上行链路)数据包的包头位置或者特定位置,***该应用程序对应的随机码。为了减少信令开销、避免资源浪费,***随机码的上行数据包不需全部覆盖,同时为了使下一步骤中UPF可以快速定位是哪个数据包***了随机码,可以在***随机码的同时再增加一个标识位,例如标识位为1则代表该上行数据包有添加随机码,如果为0就是表示该数据包没有添加随机码。
S418、向核心网发送应用程序的上行数据包。
S419、UPF收到会话上行数据包后,对标识位为1的数据包进行随机码验证:
a.获取数据包包头或特定位置的随机码,以及该数据包指向的DN服务器地址。
b.由于UPF储存在随机码以及终端上行数据包携带的随机码是配套一致的,UPF可以对比历史记录中相同随机码所在的数据包指向的DN服务器地址的集合包含所述的DN服务器地址,如果不包含那么UPF继续查找该NSSF逻辑区域内其他UPF节点中相同随机码所在的数据包指向的DN服务器地址所属的集合是否包括该DN服务器地址。同一NSSF逻辑区域的UPF查找方式此处不再赘述。
如果UPF验证相同验证码所在的数据包指向的DN服务器属于相同的地址集合,那么该会话可以继续进行,切片服务可以继续承载该应用程序。如果UPF验证该验证码所属的数据包不属于其他数据包指向的DN服务器集合,那么UPF将发起拦截流程,提示SMF该会话无法正常进行。
基于相同的技术构思,本公开实施例相应还提供一种终端,如图5所示,所述终端50包括存储器51和处理器52,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行所述的一种切片路由规则防篡改方法。
基于相同的技术构思,本公开实施例相应还提供一种网络切片选择功能网元,如图6所示,所述网络切片选择功能网元60包括存储器61和处理器62,所述存储器61中存储有计算机程序,当所述处理器62运行所述存储器存储的计算机程序时,所述处理器62执行所述的另一种切片路由规则防篡改方法。
基于相同的技术构思,本公开实施例相应还提供一种用户面功能网元,如图7所示,所述用户面功能网元包括存储器71和处理器72,所述存储器71中存储有计算机程序,当所述处理器72运行所述存储器71存储的计算机程序时,所述处理器72执行所述的又一种切片路由规则防篡改方法。
基于相同的技术构思,本公开实施例相应还一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行所述的一种切片路由规则防篡改方法、所述的另一种切片路由规则防篡改方法,或者所述的又一种切片路由规则防篡改方法。
综上所述,本公开实施例至少包括以下有益效果:1)终端采用APK/APP的固定物理储存地址(唯一性)作为URSP中的APP ID的标识,同时分布式储存这些标识,所有应用程序都储存其他应用程序的储存位置,篡改标识难度加大,避免某个应用程序篡改标识;2)对NSSF管理的UPF区域进行逻辑分区,为进去该逻辑区域的终端以及UPF下发同一套随机码,每个随机码服务于某个切片的某个应用程序。终端为该应用程序的数据包添加随机码,UPF对本次切片承载的应用程序数据包进行路由指向的判断,如果属于历史记录中相同随机码得路由指向DN地址集合,那么证明该应用程序没有盗用切片服务。
本领域普通技术人员可以理解,上文中所公开方法中的全部或某些步骤、***、装置中的功能模块/单元可以被实施为软件、固件、硬件及其适当的组合。在硬件实施方式中,在以上描述中提及的功能模块/单元之间的划分不一定对应于物理组件的划分;例如,一个物理组件可以具有多个功能,或者一个功能或步骤可以由若干物理组件合作执行。某些物理组件或所有物理组件可以被实施为由处理器,如中央处理器、数字信号处理器或微处理器执行的软件,或者被实施为硬件,或者被实施为集成电路,如专用集成电路。这样的软件可以分布在计算机可读介质上,计算机可读介质可以包括计算机存储介质(或非暂时性介质)和通信介质(或暂时性介质)。如本领域普通技术人员公知的,术语计算机存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术中实施的易失性和非易失性、可移除和不可移除介质。计算机存储介质包括但不限于RAM、ROM、EEPROM、闪存或其他存储器技术、CD-ROM、数字多功能盘(DVD)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。此外,本领域普通技术人员公知的是,通信介质通常包含计算机可读指令、数据结构、程序模块或者诸如载波或其他传输机制之类的调制数据信号中的其他数据,并且可包括任何信息递送介质。
最后应说明的是:以上各实施例仅用以说明本公开的技术方案,而非对其限制;尽管参照前述各实施例对本公开进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本公开各实施例技术方案的范围。
Claims (9)
1.一种切片路由规则防篡改方法,其特征在于,应用于网络切片选择功能网元,包括:
分别为各网络切片对应的每个应用程序分配其各自的第一随机码以形成第一随机码序列;以及,
将所述第一随机码序列分别下发至用户面功能网元及终端,以使所述终端在向核心网发起切片会话建立请求后,所述用户面功能网元验证所述终端发送的能够使用所述切片的第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中,若不在,则阻止所述切片会话的进行。
2.根据权利要求1所述的方法,其特征在于,还包括:
不同区域的网络切片选择功能网元分别进行关于用户面功能网元的逻辑片区分区;
所述将所述第一随机码序列下发至用户功能网元,包括:
各区域的网络切片选择功能网元将所述第一随机码序列下发至各自管理下的逻辑片区的用户面功能网元。
3.根据权利要求1所述的方法,其特征在于,还包括:
基于自身网元的位置信息及预设时间周期对所述第一随机码序列进行更新。
4.一种切片路由规则防篡改方法,其特征在于,应用于用户面功能网元,包括:
接收网络切片选择功能网元发送的第一随机码序列,其中所述第一随机码序列是由所述网络切片选择功能网元分别为各网络切片对应的每个应用程序分配的各自的第一随机码形成的;
在终端在向核心网发起切片会话建立请求后,接收终端发送的能够使用所述切片的第一应用程序的第一随机码;
验证所述终端发送的能够使用所述切片的第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中;
若不在所述第一随机码序列中,则阻止所述切片会话的进行。
5.根据权利要求4所述的方法,其特征在于,所述接收终端发送的能够使用所述切片的第一应用程序的第一随机码,包括:
接收所述终端发送的所述第一应用程序的上行链路数据包,其中所述终端将所述第一应用程序的第一随机码***至所述第一应用程序的上行数据链路数据包的预设位置;以及,
从所述第一应用程序的上行数据链路数据包中获取所述第一应用程序的第一随机码。
6.根据权利要求5所述的方法,其特征在于,在验证所述终端发送的能够使用所述切片的第一应用程序的第一随机码是否在所述网络切片选择功能网元发送的所述第一随机码序列中之后,还包括:
若在所述第一随机码序列中,则获取所述第一应用程序的上行链路数据包指向的DN服务器地址;
获取历史记录中与所述第一应用程序的第一随机码相同的随机码所在的数据包指向的DN服务器地址集合;
判断所述DN服务器地址集合中是否存在所述DN服务器地址,若不存在,则阻止所述切片会话的进行。
7.一种网络切片选择功能网元,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求1至3中任一项所述的切片路由规则防篡改方法。
8.一种用户面功能网元,其特征在于,包括存储器和处理器,所述存储器中存储有计算机程序,当所述处理器运行所述存储器存储的计算机程序时,所述处理器执行根据权利要求4至6中任一项所述的切片路由规则防篡改方法。
9.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时,所述处理器执行根据权利要求1至3中任一项所述的切片路由规则防篡改方法,或者根据权利要求4至6中任一项所述的切片路由规则防篡改方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211605268.9A CN116033429A (zh) | 2021-03-09 | 2021-03-09 | 切片路由规则防篡改方法、网元及介质 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211605268.9A CN116033429A (zh) | 2021-03-09 | 2021-03-09 | 切片路由规则防篡改方法、网元及介质 |
| CN202110257234.4A CN113038477B (zh) | 2021-03-09 | 2021-03-09 | 切片路由规则防篡改方法、终端及介质 |
Related Parent Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110257234.4A Division CN113038477B (zh) | 2021-03-09 | 2021-03-09 | 切片路由规则防篡改方法、终端及介质 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116033429A true CN116033429A (zh) | 2023-04-28 |
Family
ID=76467472
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211605268.9A Pending CN116033429A (zh) | 2021-03-09 | 2021-03-09 | 切片路由规则防篡改方法、网元及介质 |
| CN202110257234.4A Active CN113038477B (zh) | 2021-03-09 | 2021-03-09 | 切片路由规则防篡改方法、终端及介质 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110257234.4A Active CN113038477B (zh) | 2021-03-09 | 2021-03-09 | 切片路由规则防篡改方法、终端及介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (2) | CN116033429A (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113993129B (zh) * | 2021-10-27 | 2023-07-14 | 中国联合网络通信集团有限公司 | 一种pdu会话建立方法、终端及计算机可读存储介质 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2017197273A1 (en) * | 2016-05-12 | 2017-11-16 | Convida Wireless, Llc | Connecting to virtualized mobile core networks |
| WO2019127038A1 (zh) * | 2017-12-26 | 2019-07-04 | Oppo广东移动通信有限公司 | 用于数据传输的方法、终端设备和网络设备 |
| CN112087815B (zh) * | 2019-06-13 | 2023-03-10 | 华为技术有限公司 | 通信方法、装置及*** |
| CN110430590B (zh) * | 2019-08-15 | 2022-04-19 | 广东工业大学 | 网络切片匹配方法及装置 |
| CN111314475B (zh) * | 2020-02-21 | 2021-05-04 | 北京紫光展锐通信技术有限公司 | 会话创建方法及相关设备 |
| CN114338406A (zh) * | 2020-05-13 | 2022-04-12 | 北京紫光展锐通信技术有限公司 | 路由访问方法、装置、电子设备及存储介质 |
| CN111641989B (zh) * | 2020-06-01 | 2021-04-09 | 展讯通信(天津)有限公司 | 协议数据单元会话建立方法及相关装置 |
| CN111787533B (zh) * | 2020-06-30 | 2022-08-26 | 中国联合网络通信集团有限公司 | 加密方法、切片管理方法、终端及接入和移动性管理实体 |
| CN111885590B (zh) * | 2020-07-29 | 2022-04-08 | 中国联合网络通信集团有限公司 | 一种关联方法及*** |
| CN112073979B (zh) * | 2020-08-13 | 2022-02-22 | 展讯通信(天津)有限公司 | 通路描述符传输方法及相关装置 |
-
2021
- 2021-03-09 CN CN202211605268.9A patent/CN116033429A/zh active Pending
- 2021-03-09 CN CN202110257234.4A patent/CN113038477B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN113038477B (zh) | 2023-01-10 |
| CN113038477A (zh) | 2021-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109511115B (zh) | 一种授权方法和网元 | |
| CN108848502B (zh) | 一种利用5g-aka对supi进行保护的方法 | |
| US9706512B2 (en) | Security method and system for supporting re-subscription or additional subscription restriction policy in mobile communications | |
| JP6231054B2 (ja) | 無線装置のプラットフォームの検証と管理 | |
| US8046583B2 (en) | Wireless terminal | |
| CN111246471B (zh) | 终端接入方法及装置 | |
| CN110830990B (zh) | 一种身份信息的处理方法、装置及存储介质 | |
| CN108683690B (zh) | 鉴权方法、用户设备、鉴权装置、鉴权服务器和存储介质 | |
| JP2009509463A (ja) | 状態転送のためにモバイルノードを利用するための方法および装置 | |
| JP2007511122A (ja) | セキュリティモジュールによるアプリケーションのセキュリティの管理方法 | |
| EP2137875A1 (en) | Vehicle segment certificate management using shared certificate schemes | |
| CN111246474B (zh) | 一种基站认证方法及装置 | |
| CN109792443B (zh) | 基于ibc的分布式认证框架的黑名单管理方法 | |
| WO2019206286A1 (zh) | 一种网络切片接入的方法、装置和*** | |
| CN111787533A (zh) | 加密方法、切片管理方法、终端及接入和移动性管理实体 | |
| US20100095003A1 (en) | Policy Control Architecture Comprising an Independent Identity Provider | |
| CN112512044A (zh) | 签约数据更新方法、装置、节点和存储介质 | |
| CN113038477B (zh) | 切片路由规则防篡改方法、终端及介质 | |
| CN112243224B (zh) | 一种边缘计算网络实现方法及装置 | |
| EP3518491A1 (en) | Registering or authenticating user equipment to a visited public land mobile network | |
| CN112118549B (zh) | 认证方法、smf、chf、计算机设备及存储介质 | |
| CN114978741B (zh) | 一种***间认证方法及*** | |
| CN113347627B (zh) | 无线网络接入方法、装置和移动终端 | |
| CN111918291B (zh) | 一种接入方法及装置 | |
| CN112333784B (zh) | 安全上下文的处理方法、第一网元、终端设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |