【技术实现步骤摘要】
安全访问控制方法和设备
[0001]本专利技术涉及通信
,尤其涉及一种安全访问控制方法和设备。
技术介绍
[0002]第三代移动通信伙伴(3GPP)定义了5G网络的核心网网络架构采用了服务化架构(Service Based Architecture,SBA)方案,在SBA方案中,5G核心网(5G Core,5GC)控制面的所有网络功能(Network Function,NF)之间采用基于超文本传输协议(HyperText Transfer Protocol,HTTP)2.0的服务化接口进行交互。在接口安全性方面,3GPP定义了NF之间支持传输层安全(Transport Layer Security,TLS)协议和开放授权(Open Authorization,Oauth)2.0鉴权机制。其中TLS协议用于实现NF之间的认证和数据机密性保护,Oauth2.0机制用于实现NF之间的访问授权,其中由网络存储功能(Network Repository Function,NRF)为NF提供服务的注册、发现、授权等功能,实现NF和...
【技术保护点】
【技术特征摘要】
1.一种安全访问控制方法,其特征在于,应用于服务请求网络功能SC
‑
NF网元,所述方法包括:向网络存储功能NRF网元发送访问请求,所述访问请求用于请求访问服务提供网络功能SP
‑
NF网元;接收所述NRF网元基于所述访问请求发送的响应信息;所述响应信息包括所述SP
‑
NF网元的第一敲门端口信息和令牌Token;基于所述第一敲门端口信息向所述SP
‑
NF网元发送端口敲门请求,所述端口敲门请求用于请求所述SP
‑
NF网元开放第一业务端口;在接收到所述SP
‑
NF网元发送的对所述端口敲门请求验证通过的响应信息后,基于所述Token访问所述SP
‑
NF网元。2.根据权利要求1所述的安全访问控制方法,其特征在于,所述基于所述第一敲门端口信息向所述SP
‑
NF网元发送端口敲门请求,包括:基于所述第一敲门端口信息,向所述SP
‑
NF网元的第一敲门端口发送携带所述端口敲门请求的第一单包授权SPA数据包;第一SPA数据包包括:所述SC
‑
NF网元的IP地址、请求服务的协议信息和所述第一业务端口的信息。3.根据权利要求2所述的安全访问控制方法,其特征在于,所述方法还包括:在所述第一业务端口的有效时间到期,且所述第一敲门端口的有效时间未到期的情况下,向所述SP
‑
NF网元的第一敲门端口发送第二SPA数据包;所述第二SPA数据包包括:所述SC
‑
NF网元的IP地址、请求服务的协议信息和请求的第二业务端口的信息。4.根据权利要求1
‑
3任一项所述的安全访问控制方法,其特征在于,所述方法还包括:在所述第一敲门端口的有效时间到期后,向所述NRF网元重新发送所述访问请求;接收所述NRF网元基于所述访问请求发送的新的响应信息;所述新的响应信息包括所述SP
‑
NF网元的新的第二敲门端口信息。5.根据权利要求3所述的安全访问控制方法,其特征在于,所述第一SPA数据包或所述第二SPA数据包的负载信息为通过所述SP
‑
NF网元的公钥加密,且通过所述SC
‑
NF网元的私钥签名后的负载信息。6.一种安全访问控制方法,其特征在于,应用于网络存储功能NRF网元,所述方法包括:接收服务请求网络功能SC
‑
NF网元发送的访问请求,所述访问请求用于请求访问服务提供网络功能SP
‑
NF网元;基于所述访问请求向所述SC
‑
NF网元发送响应信息;所述响应信息包括所述SP
‑
NF网元的第一敲门端口信息和令牌Token;所述第一敲门端口信息和Token用于对所述SC
‑
NF网元访问所述SP
‑
NF网元进行安全控制。7.根据权利要求6所述的安全访问控制方法,其特征在于,所述方法还包括:在所述第一敲门端口的有效时间到期后,向服务提供网络功能SP
‑
NF网元发送端口更新请求,所述端口更新请求用于与所述SP
‑
NF网元协商更新后的第二敲门端口信息。8.根据权利要求7所述的安全访问控制方法,其特征在于,所述方法还包括:生成第一随机数;向所述SP
‑
NF网元发送所述第一随机数,并获取所述SP
‑
NF网元生成的第二随机数;基于所述第一随机数和所述第二随机数生成所述更新后的第二敲门端口信息。
9.一种安全访问控制方法,其特征在于,应用于服务提供网络功能SP
‑
NF网元,所述方法包括:接收服务请求网络功能SC
‑
NF网元基于第一敲门端口信息发送的端口敲门请求,所述端口敲门请求用于请求所述SP
‑
NF网元开放第一业务端口;对所述端口敲门请求进行安全验证;在对所述端口敲门请求验证通过后,开启所述第一业务端口,并向所...
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。