网元安全认证方法、装置、电子设备及存储介质制造方法及图纸

本公开提供了一种网元安全认证方法、装置、电子设备及存储介质，涉及网络安全技术领域。其中，网络安全认证方法包括：接收待认证网元发起的单包认证请求；根据待认证网元的单包认证请求，对待认证网元进行单包认证；在待认证网元通过单包认证后，接收待认证网元发起的传输层安全TLS隧道连接请求；根据TLS隧道连接请求，对待认证网元进行身份验证。本公开通过对下沉网元进行单包认证和多重身份标识合法性校验，当确定下沉网元通过身份验证后，允许该下沉网元通过TLS隧道访问5G SA核心网，降低了下沉网元对5G核心网的安全交互风险，解决了5G定制网下沉引发公网专网威胁的问题。5G定制网下沉引发公网专网威胁的问题。5G定制网下沉引发公网专网威胁的问题。

【技术实现步骤摘要】
网元安全认证方法、装置、电子设备及存储介质


[0001]本公开涉及网络安全
，尤其涉及一种网元安全认证方法、装置、电子设备及存储介质。

技术介绍

[0002]第五代移动通信独立组网(5th generation mobile networks Stand alone，5G SA)是最新一代的组网模式，其完全的软件定义化和网络功能虚拟化，适合分布式部署和核心网功能下沉。在5G SA网络中将用户面功能(User Plane Function，UPF)网元下沉到专网覆盖区域，专网通过专线将专网入口与UPF网元进行联通，通过UPF网元接入到5G核心网，同时为接入专网的UE(User Equipment，用户设备)分配专网的网际协议(IP Address，IP)地址，基于该IP地址通过专网接入到5G核心网。
[0003]然而现有电信5G网络中，5G下沉的边缘网元接入网络，可直接访问电信5G核心网，未对其进行准入认证、安全纳管和隐身保护，当网络攻击来临会给5G网络带来巨大的安全风险，影响电信5G网络服务。
[0004]基于此，如何对下沉网元进行安全认证以降低安全风险成为了亟需解决的技术问题。
[0005]需要说明的是，在上述
技术介绍
部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现思路

[0006]本公开提供一种网元安全认证方法、装置、电子设备及存储介质，至少在一定程度上克服相关技术中未经过安全认证的下沉网元可以直接访问核心网引起的安全问题。
[0007]本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。
[0008]根据本公开的一个方面，提供一种网元安全认证方法，包括：接收待认证网元发起的单包认证请求；根据所述待认证网元的单包认证请求，对所述待认证网元进行单包认证；在所述待认证网元通过所述单包认证后，接收所述待认证网元发起的TLS(Transport Layer Security Protocol，传输层安全协议)隧道连接请求；根据TLS隧道连接请求，对所述待认证网元进行身份验证。
[0009]在本公开的一个实施例中，所述待认证网元包括用户面功能UPF网元、接入移动性管理功能AMF网元和会话管理功能SMF网元。
[0010]在本公开的一个实施例中，所述根据所述待认证网元的单包认证请求，对所述待认证网元进行单包认证，包括：逐一验证所述单包认证请求中包含的信息，其中，所述单包认证请求包含所述待认证网元的UICC(Universal Integrated Circuit Card，通用集成电路卡)的IMSI(International Mobile Subscriber Identity，国际移动用户标识)、卡内证书信息和设备ID(Identity document，身份标识)；当所述待认证网元的UICC的IMSI、卡内
证书信息和设备ID均通过验证时，确定所述待认证网元通过所述单包认证；当所述待认证网元的UICC的IMSI、卡内证书信息和设备ID中的任意一个未通过验证时，确定所述待认证网元未通过所述单包认证。
[0011]在本公开的一个实施例中，当所述待认证网元通过所述单包认证时，所述方法还包括：返回单包认证通过消息至接入网元设备，以便所述接入网元设备转发单包认证通过消息至所述待认证网元，所述待认证网元在接收到所述单包认证通过消息后，向所述网元接入管理网关发起TLS隧道连接请求。
[0012]在本公开的一个实施例中，在所述接收待认证网元发起的单包认证请求之前，所述方法还包括：拒绝响应除所述单包认证请求之外的其他请求。
[0013]在本公开的一个实施例中，所述根据所述TLS隧道连接请求，对所述待认证网元进行身份验证，包括：逐一验证所述TLS隧道连接请求中包含的信息，其中，所述TLS隧道连接请求包含：所述待认证网元的UICC的IMSI、卡内证书信息和设备ID；当所述待认证网元的UICC的IMSI、卡内证书信息和设备ID均通过验证时，通知接入网元设备建立所述待认证网元与5G独立组网SA核心网之间的TLS隧道连接，其中，所述TLS隧道用于所述待认证网元与5G SA核心网之间进行信息交互。
[0014]根据本公开的另一个方面，提供另一种网元安全认证方法，包括：向网元接入管理网关转发待认证网元的单包认证请求；接收所述网元接入管理网关根据所述单包认证请求返回的单包认证通过消息，其中，所述单包认证通过消息用于所述网元接入管理网关将所述待认证网元已通过单包认证的消息通知给所述接入网元设备；向所述网元接入管理网关转发所述待认证网元的TLS隧道连接请求。
[0015]在本公开的一个实施例中，在接到所述网元接入管理网关通知的建立所述待认证网元与5G SA核心网之间的TLS隧道连接的消息后，建立TLS隧道。
[0016]根据本公开的再一个方面，提供了一种网元安全认证装置，包括：第一接收模块，用于接收待认证网元发起的单包认证请求；第一认证模块，用于根据所述待认证网元的单包认证请求，对所述待认证网元进行单包认证；第二接收模块，用于在所述待认证网元通过所述单包认证后，接收所述待认证网元发起的TLS隧道连接请求；第二认证模块，用于根据所述TLS隧道连接请求，对所述待认证网元进行身份验证。
[0017]根据本公开的再一个方面，提供了另一种网元安全认证装置，包括：第一转发模块，用于向网元接入管理网关转发待认证网元的单包认证请求；第三接收模块，用于接收所述网元接入管理网关根据所述单包认证请求返回的单包认证通过消息，其中，所述单包认证通过消息用于所述网元接入管理网关将所述待认证网元已通过单包认证的消息通知给接入网元设备；第二转发模块，用于向所述网元接入管理网关转发所述待认证网元的TLS隧道连接请求。
[0018]根据本公开的再一个方面，提供一种电子设备，包括：处理器；以及存储器，用于存储所述处理器的可执行指令；其中，所述处理器配置为经由执行所述可执行指令来执行上述的网元安全认证方法。
[0019]根据本公开的又一个方面，提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时实现上述的网元安全认证方法。
[0020]本公开提供了一种网元安全认证方法、装置、电子设备及存储介质，其中，网络安
全认证方法包括：网元接入管理网关接收待认证网元发起的单包认证请求，并根据该单包认证请求对待认证网元进行单包认证；网元接入管理网关在确定待认证网元通过单包认证后，向网元接入设备反馈单包认证通过消息，网元接入设备转发该单包认证通过消息至待认证网元，待认证网元通过网元接入设备向网元接入管理网关发起TLS隧道连接请求，网元接入管理网关根据该TLS隧道连接请求再次对待认证网元进行身份验证。本公开通过对下沉网元进行单包认证和多重身份标识合法性校验，当确定下沉网元通过身份验证后，允许该下沉网元通过TLS隧道访问5G SA核心网，降低了下沉网元本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种网元安全认证方法，其特征在于，应用于网元接入管理网关，包括：接收待认证网元发起的单包认证请求；根据所述待认证网元的单包认证请求，对所述待认证网元进行单包认证；在所述待认证网元通过所述单包认证后，接收所述待认证网元发起的传输层安全TLS隧道连接请求；根据TLS隧道连接请求，对所述待认证网元进行身份验证。2.根据权利要求1所述的网元安全认证方法，其特征在于，所述待认证网元包括用户面功能UPF网元、接入移动性管理功能AMF网元和会话管理功能SMF网元。3.根据权利要求1所述的网元安全认证方法，其特征在于，所述根据所述待认证网元的单包认证请求，对所述待认证网元进行单包认证，包括：逐一验证所述单包认证请求中包含的信息，其中，所述单包认证请求包含所述待认证网元的通用集成电路卡UICC的国际移动用户标识IMSI、卡内证书信息和设备ID；当所述待认证网元的UICC的IMSI、卡内证书信息和设备ID均通过验证时，确定所述待认证网元通过所述单包认证；当所述待认证网元的UICC的IMSI、卡内证书信息和设备ID中的任意一个未通过验证时，确定所述待认证网元未通过所述单包认证。4.根据权利要求3所述的网元安全认证方法，其特征在于，当所述待认证网元通过所述单包认证时，所述方法还包括：返回单包认证通过消息至接入网元设备，以便所述接入网元设备转发单包认证通过消息至所述待认证网元，所述待认证网元在接收到所述单包认证通过消息后，向所述网元接入管理网关发起TLS隧道连接请求。5.根据权利要求1所述的网元安全认证方法，其特征在于，在所述接收待认证网元发起的单包认证请求之前，所述方法还包括：拒绝响应除所述单包认证请求之外的其他请求。6.根据权利要求1所述的网元安全认证方法，其特征在于，所述根据所述TLS隧道连接请求，对所述待认证网元进行身份验证，包括：逐一验证所述TLS隧道连接请求中包含的信息，其中，所述TLS隧道连接请求包含：所述待认证网元的UICC的IMSI、卡内证书信息和设备I...

【专利技术属性】
技术研发人员：贾聿庸，何峣，欧亮，彭宁，段勇，
申请(专利权)人：中国电信股份有限公司，
类型：发明
国别省市：