[发明专利]基于5G边缘防护代理的服务动态分配及信令防护方法

说明书

本发明公开了一种基于5G边缘防护代理的服务动态分配及信令防护方法，包括以下步骤：S1、将用户请求分为服务发现请求和一般服务请求；S2、通过安全边缘防护设备对服务发现请求和一般服务请求分别进行处理。本发明大幅提升了内部网络服务部署的灵活性、安全性、可维护性，保证内部网络的安全性和高可用性要求，适用于安全5G通信需求场景，具有重要应用前景。

技术领域

本发明涉及5G边缘防护技术领域，具体涉及一种基于5G边缘防护代理的服务动态分配及信令防护方法。

背景技术

在安全的5G移动通信网络中，5G核心网络将用户平面(UP)功能与控制平面(CP)功能分开，控制平面网络功能之间基于服务的接口进行交互。安全核心网以网络切片方式与5G核心网进一步融合，面对不可信的5G移动通信核心网，通过在核心网之间增加物理实体形态的边界防护设备，采用基于安全边缘保护代理(SEPP)的方式实现安全5G网络的控制平面信令防护。SEPP需要提供单点接入、内网拓扑隐藏、负载均衡、消息识别过滤和监管保护、阻挡外部攻击、流量管理和限速、保障服务的连续性等功能。目前与以上要求相近的解决方案主要有传统的边缘防护设备和反向代理服务方案。

传统的边缘防护设备方案主要增加网络安全防护措施，能够阻挡攻击蔓延至内部网络，控制网络行为和应用流量，但是对外仍然呈现内部网络拓扑及服务设备信息、无法解决仅使用基于服务的接口进行交互的问题。

反向代理服务方案虽然能够有效地实现内部网络拓扑隐藏、负载均衡和实施速率限制功能，但其服务器配置相对固定，不能适应服务类型的增减，即使对原有的服务类型，当服务设备调整后，需要更改代理服务器配置甚至重启代理服务，无法适应服务设备动态调整，不能保障核心网服务的连续性；反向代理服务器虽然能够根据请求地址、参数等信息对用户请求进行分类拦截，但不能进行消息识别过滤和监管。

因此，现有的解决方案无论是采用传统的边缘防护设备，还是反向代理服务方案都不能完全满足5G移动通信核心网的防护需求。

发明内容

针对现有技术中的上述不足，本发明提供的一种基于5G边缘防护代理的服务动态分配及信令防护方法解决了外部设备直接访问内网服务网元，对外呈现了内网服务网元地址，内网服务网元分布情况，存在内部网络拓扑结构暴露的风险；内部服务网元维护困难，修改服务网元配置乃至重启服务，可能造成服务中断的问题。

为了达到上述发明目的，本发明采用的技术方案为：一种基于5G边缘防护代理的服务动态分配及信令防护方法，其特征在于，包括以下步骤：

S1、将用户请求分为服务发现请求和一般服务请求；

S2、通过安全边缘防护设备对服务发现请求和一般服务请求分别进行处理。

进一步地：所述服务发现请求为网元向网络仓库功能网元(NRF)发起的请求，以发现具有特定服务类型的服务设备，所述一般服务请求为网元向内网服务设备发起的，以获取特定类型服务的请求。

进一步地：所述安全边缘防护设备包括硬件平台和软件模块。

进一步地：所述硬件平台包括通用服务系统和IP防护设备。