[发明专利]一种基于5G网络切片的IoT安全验证框架及其服务方法

权利要求书

1.一种基于5G网络切片的IoT安全验证框架，其特征在于，包括用户设备，接入网络，核心网络和物联网服务器，所述用户设备按所需服务类型不同被分成不同的网络切片，再通过接入网络接入核心网络，与数据网络连接并与物联网服务器通信，其中，所述接入网络被配置为：为每个网络切片维护一个加密保护的配置NSSAI(PS_i,ACF_i)，用于在选择服务包网络切片时使用，其中PS_i为切片/服务类型SSTs的加密值，ACF_i为网络切片特征值SAI_S的加密值；以及，生成会话协商密钥，用于在物联网服务器和用户设备之间进行会话协商；

所述核心网络被配置为：接收用户设备的注册请求和服务请求，对切片/服务类型及其配置的网络切片的特征值进行加密，与用户设备进行服务认证并向用户设备发送单个网络服务切片选择关联信息S-NSSAI_S；

所述物联网服务器被配置为：基于用户设备的请求生成服务依据，用于用户设备获取S-NSSAI_S；以及根据用户设备的密钥验证消息为用户设备提供物联网服务。

2.根据权利要求1所述的基于5G网络切片的IoT安全验证框架，其特征在于，所述核心网络控制平面功能包括：

访问和移动管理功能AMF，用于管理用户注册，连接，可达性和移动性，访问认证和授权；

会话管理功能SMF，用于完成会话管理和漫游功能；

策略控制功能PCF，支持统一的政策框架来管理网络行为；

网络片选择功能NSSF，选择为用户服务的网络切片实例集，并确定与适用的网络切片实例对应的网络切片选择关联信息；

统一数据管理UDM，负责身份验证凭据生成和订阅管理；以及

认证服务器功能AUSF，提供对服务器的认证功能。

3.根据权利要求1所述的基于5G网络切片的IoT安全验证框架，其特征在于，所述核心网络用户平面功能包括：数据转发，流量使用报告，上行链路和下行链路中的传输级别分组标记，所述分组处理经由所述控制平面功能通过在会话中提供一组规则来控制。

4.根据权利要求3所述的基于5G网络切片的IoT安全验证框架，其特征在于，所述一组规则包括：用于分组处理的转发动作规则，用于分组的分组检测规则检查；以及QoS实施规则，用于对数据包实施QoS策略。

5.一种根据权利要求1-4中任一项所述的IoT安全验证框架的服务方法，其特征在于，包括以下阶段：

接入5G网络阶段：用户设备向核心网络发送用户注册信息，核心网络和用户设备之间进行服务认证并向用户设备发送订阅的S-NSSAI_S信息；

服务授权阶段：用户设备提出服务请求，把核心网络生成的部分服务依据发送给物联网服务器，物联网服务器把生成的服务依据发送给用户设备，用户设备由此获得允许的S-NSSAI_S；

服务验证阶段：用户设备生成受保护的S-NSSAI_S和密钥验证消息，分别发送给接入网络和物联网服务器，物理网服务器根据验证消息并给用户设备提供物联网服务；

密钥协商阶段：接入网络生成会话协商密钥，在物联网服务器和用户设备之间进行会话协商，以保证用户和服务器之间的安全通信。

6.根据权利要求5所述的IoT安全验证框架的服务方法，其特征在于，所述接入5G网络阶段包括：用户设备向运营商获取网络访问凭据和订阅信息，并通过密钥提取算法生成自己的秘密-公共密钥对(usk_i,upk_i)，通过使用其网络访问凭据和(usk_i,upk_i)与核心网络的认证服务器功能AUSF执行主要身份验证，在认证成功的情况下接入5G网络并建立NAS安全上下文。