[发明专利]一种增强跨网络访问安全的方法、设备及系统

说明书

本申请实施例提供增强跨网络访问安全的方法、设备及系统，在UE通过第一网络接入第二网络的场景下，本申请实施例通过在第二网络对UE的安全事件(例如认证情况)进行记录并为UE的后续行为确定决策结果，并将所述决策结果通知第一网络，以便于第一网络对UE针对第二网络的后续行为进行安全处理，实现第一网络和第二网络的安全联动。在第一网络近源管理恶意UE，降低第一网络和第二网络的通信负载，也保障了第二网络的网络安全。

技术领域

本申请涉及通信技术领域，尤其涉及增强跨网络访问安全的方法、设备及系统。

背景技术

为满足垂直行业通信需求，5G通信技术支持非公共网络（Non-Public Networks,NPN）。非公共网络只有授权用户可以接入，经授权的用户既可以接入NPN网络，也可以接入公用陆地移动网（public land mobile network, PLMN）网络。5G通信技术支持UE在NPN和PLMN网络之间的漫游、移动性和业务连续性等特性，例如，UE可以通过PLMN网络接入非公共网络，或者通过非公共网络接入PLMN网络。

在现有机制中，NPN网络基于5G系统架构进行部署。针对授权用户既可以接入NPN网络，也可以接入PLMN网络的场景，在UE配置上有NPN网络和PLMN网络的凭证（credential）。UE在第一网络（PLMN网络/NPN网络）中注册完成后，发现并选择第二网络（NPN网络/PLMN网络）的非3GPP互通功能（non-3GPP interworking function，N3IWF）网元，并通过第二网络的N3IWF网元进行身份认证和注册流程并接入第二网络，实现UE通过第一网络对第二网络的访问。恶意UE在无法通过第二网络认证的情况下，如果依然持续通过第一网络向第二网络发起认证请求，将会对第一网络和第二网络的网络造成很大的负担。如果大量UE被俘获，且同时向第二网络频繁发起认证请求，容易造成分布式拒绝服务（distributed denial of service，DDoS）攻击。

发明内容

本申请实施例提供增强跨网络访问安全的方法、设备及系统，在UE通过第一网络接入第二网络的场景下，本申请实施例通过在第二网络对UE的安全事件（例如认证情况）进行记录并为UE的后续行为确定决策结果，并将所述决策结果通知第一网络，以便于第一网络对UE针对第二网络的后续行为进行安全处理，实现第一网络和第二网络的安全联动。在第一网络近源管理恶意UE，降低第一网络和第二网络的通信负载，也保障了第二网络的网络安全。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，提供了一种增强跨网络访问安全的方法，所述方法用于终端通过在第一网络中建立的分组数据单元PDU会话访问第二网络，所述方法包括：第一网络中的会话管理网元接收针对所述PDU会话第一请求消息，所述第一请求消息包括所述终端的地址信息、所述第二网络的标识以及禁止所述终端访问所述第二网络的指示信息；根据所述第一请求消息，存储禁止所述终端访问第二网络的信息；阻断所述终端对所述第二网络的访问。基于该方案，第一网络中的会话功能网元可以根据第二网络的指示，存储禁止所述终端访问第二网络的信息，并且阻断终端对第二网络的访问，使得第二网络可以控制终端通过第一网络对自身的访问，避免了对第二网络可能的DDOS攻击。

在一种可能的设计中，所述禁止所述终端访问第二网络的信息包括所述终端在第一网络中的标识和所述第二网络的标识；所述会话管理网元根据所述终端的地址信息、所述第二网络的标识以及禁止所述终端访问第二网络的指示信息，存储禁止所述终端访问第二网络的信息，具体为：

根据所述终端的地址信息，确定所述终端在所述第一网络中的标识；

关联存储所述终端在所述第一网络中的标识和所述第二网络的标识。