[发明专利]一种5G核心网中SEPP认证NF的方法

说明书

本发明公开了一种5G核心网中SEPP认证NF的方法：当服务供应端的安全边缘保护代理pSEPP接收到服务请求消息时，对发送该服务请求消息的服务消费者端的网络功能cNF进行合法性认证；如果合法性认证通过，则服务供应端的安全边缘保护代理pSEPP转发服务请求消息给对应的服务供应端的网络功能pNF进行服务请求处理；否则，丢弃服务请求消息。本发明通过对发送服务请求消息的服务消费者端的cNF的合法性认证，有效地防止了恶意应用非法伪装成服务消费者端的cNF进而对服务供应端pPLMN中的网络功能pNF传输控制面消息，保护了服务供应端pPLMN内部的NF数据，增强了5G核心网中PLMN的安全性。

技术领域

本发明涉及移动通信技术领域，特别涉及5G核心网中SEPP认证NF的方法。

背景技术

在5G的3GPP标准中，为了加强每个公用陆地移动网络(以下简称PLMN) 内部安全，增加了一个安全边缘保护代理(以下简称SEPP)。SEPP是保证跨PLMN 间的5G网络功能(以下简称NF)之间的控制面消息的安全性，从而保护SEPP 所在的PLMN网络安全免受外部攻击。

在TS 3GPP 33501-g30协议规范中对SEPP的功能和要求做了详细的规定，但是其中SEPP和NF之间的认证和授权，仅仅停留在PLMN ID和应用层之下的网络层与物理层等数据识别，并没有对NF主体的是否存在在对应的PLMN网络中进行认证。如图1所示，为现有技术中SEPP通信架构拓扑图。在图中的cSEPP、 cNF和cPLMN分别代表服务消费者端的SEPP、NF、PLMN。pSEPP、pNF和pPLMN 分别代表服务供应端的SEPP、NF、PLMN。N32为两端SEPP之间通信的接口。当 cPLMN中的cNF要获得pPLMN中pNF提供的服务，cNF先把服务请求消息提交给cSEPP，然后cSEPP再把服务请求消息发送给对端的pSEPP。pSEPP会对消息的 PLMN ID和IP等进行认证授权，认证授权通过则把消息发送给内部的pNF，然后pNF再通过反向过程为cNF提供所请求的服务。在这个过程中，SEPP会对NF 进行认证授权，但是该认证和授权只通过传输层的TLS安全协商对PLMN ID识别和IP地址等进行识别，并不能对NF是否在PLMN中合法存活的情况进行认证。这容易让伪装成NF的应用非法使用控制消息通过SEPP访问到PLMN内部的NF，从而造成该PLMN内部NF数据泄露或者被非法操控。

发明内容

本发明的目的是提供一种5G核心网中SEPP认证NF的方法，可以解决现有技术中非法NF访问到PLMN内部，造成PLMN内部NF数据泄露或者被非法操控的问题。

本发明的目的是通过以下技术方案实现的：

5G核心网中SEPP认证NF的方法，包括以下步骤：

步骤S1、当服务供应端的安全边缘保护代理pSEPP接收到服务请求消息时，对发送该服务请求消息的服务消费者端的网络功能cNF进行合法性认证；

步骤S2、如果合法性认证通过，则服务供应端的安全边缘保护代理pSEPP 转发所述服务请求消息给对应的服务供应端的网络功能pNF进行服务请求处理；否则，丢弃所述服务请求消息。

进一步的，所述的对发送该服务请求消息的服务消费者端的网络功能cNF 进行合法性认证的步骤包括：

步骤S101、服务供应端的安全边缘保护代理pSEPP发出发现请求消息到服务消费者端的网络存储库功能cNRF；

步骤S102、服务消费者端的网络存储库功能cNRF查找所述服务消费者端的网络功能cNF是否存在，如果存在，则认为所述服务消费者端的网络功能cNF 合法，发送发现成功消息给服务供应端的安全边缘保护代理pSEPP；否则认为所述服务消费者端的网络功能cNF不合法，发送发现失败消息给服务供应端的安全边缘保护代理pSEPP；