[发明专利]网络切片的访问控制方法、装置及存储介质

说明书

本申请实施例提供一种网络切片的访问控制方法、装置及存储介质，该方法包括：第一网元根据网络切片请求消息中所携带的终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；进一步地，该第一网元根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片请求消息中所请求访问的该网络切片。本申请实施例中该第一网元需要根据该终端对应的第一访问子密钥以及CN对应的第二访问子密钥进行访问验证,由于在获取到这两个访问子密钥才能进行通过验证，从而提高了访问验证的安全性。

技术领域

本申请涉及网络技术领域，尤其涉及一种网络切片的访问控制方法、装置及存储介质。

背景技术

网络切片是第五代移动通信技术(5th generation mobile networks，5G)系统的重要资源，不能被随意访问，否则，会造成网络切片资源的滥用，从而影响用户业务的正常运行。例如，在车联网场景中，联网的车辆需要通过低时延高可靠的网络切片进行通信，但如果通信的网络切片被篡改成大链接型的网络切片，则将直接影响联网车辆的行驶安全，甚至会酿成交通事故。

相关技术中，当终端的身份鉴权通过后，终端通过向核心网中的接入移动管理功能(access and mobility management function，AMF)网元发送网络切片请求消息，其中，网络切片请求消息中包括：终端的用户永久标识(subscription permanent identifier，SUPI)和网络切片的标识。AMF在接收到网络切片请求消息后，根据SUPI和网络切片的标识判断访问控制列表中是否包含有对应的密文校验字段。若访问控制列表中包含有与SUPI和网络切片的标识对应的密文校验字段，则AMF根据核心网的完整性加密密钥对SUPI、网络切片的标识和该密文校验字段进行加密，得到加密字段，并判断加密字段与访问控制列表中的该密文校验字段是否一致；若加密字段与访问控制列表中的该密文校验字段一致，则AMF确定终端有权访问网络切片；若加密字段与访问控制列表中的该密文校验字段不一致，则AMF确定终端无权访问网络切片。另外，若上述访问控制列表中不包含与SUPI和网络切片的标识对应的密文校验字段，则AMF也确定终端无权访问网络切片。

相关技术中，如果核心网的完整性加密密钥一旦被窃取，则攻击者可以任意地篡改每个终端的访问权限，从而会影响网络安全。

发明内容

本申请实施例提供一种网络切片的访问控制方法、装置及存储介质，解决了相关技术中如果核心网的完整性加密密钥一旦被窃取，则攻击者可以任意地篡改每个终端的访问权限而影响网络安全的技术问题。

第一方面，本申请实施例提供一种网络切片的访问控制方法，包括：

第一网元接收网络切片请求消息，其中，该网络切片请求消息中携带有终端的标识和网络切片的标识；

该第一网元根据该终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；

该第一网元根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片。

本申请实施例中，该第一网元根据网络切片请求消息中所携带的终端的标识获取该终端对应的第一访问子密钥，并获取核心网CN对应的第二访问子密钥；进一步地，该第一网元根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片请求消息中所请求访问的该网络切片。可见，相对于相关技术中AMF根据核心网的完整性加密密钥进行访问验证的方式，本申请实施例中该第一网元需要根据该终端对应的第一访问子密钥以及CN对应的第二访问子密钥进行访问验证，即只有同时获取到这两个访问子密钥才能进行验证，提高了访问验证的安全性。

在一种可能的实现方式中，该第一网元根据该第一访问子密钥和该第二访问子密钥，验证该终端是否有权访问该网络切片，包括：

该第一网元根据该第一访问子密钥和该第二访问子密钥，生成完整性访问密钥；