本發(fā)明涉及網(wǎng)絡(luò)通信，具體地說是5g下沉upf安全防護方法、安全網(wǎng)關(guān)以及5g系統(tǒng)。

背景技術(shù)：

1、目前對于行業(yè)專網(wǎng)下沉upf的安全策略主要從網(wǎng)絡(luò)層面來進行安全防護，對于信令和業(yè)務(wù)的風險缺乏有效的防護。

2、如何提升對于行業(yè)專網(wǎng)下沉upf的安全防護，是需要解決的技術(shù)問題。

技術(shù)實現(xiàn)思路

1、本發(fā)明的技術(shù)任務(wù)是針對以上不足，提供5g下沉upf安全防護方法、安全網(wǎng)關(guān)以及5g系統(tǒng)，來解決如何提升對于行業(yè)專網(wǎng)下沉upf的安全防護的技術(shù)問題。

2、第一方面，本發(fā)明一種5g下沉upf安全防護方法，用于結(jié)合n4接口口令和n6接口用戶業(yè)務(wù)流量對upf進行安全防護，包括如下步驟：

3、在5g系統(tǒng)中增加一個安全網(wǎng)關(guān)，通過安全網(wǎng)關(guān)檢測n4接口的口令信息和n6接口的用戶業(yè)務(wù)流量；

4、通過安全網(wǎng)關(guān)對n4接口的口令信息進行解析，并對解析得到的報文進行安全檢測，判斷是否存在異常報文，如果存在，對異常報文進行阻斷和告警上報；

5、基于n4接口的口令信息以及n6接口的用戶業(yè)務(wù)流量進行安全檢測和評估，判斷通過n6接口轉(zhuǎn)發(fā)的用戶業(yè)務(wù)流量是否符合口令信息中指定的執(zhí)行情況，以判斷upf是否正常工作，如果upf工作異常，進行告警上報。

6、作為優(yōu)選，通過安全網(wǎng)關(guān)對解析得到的報文進行安全檢測，識別n4接口是否攜帶異常非法ie的pfcp報文和過度頻繁的信令報文。

7、作為優(yōu)選，基于n4接口的口令信息以及n6接口的用戶業(yè)務(wù)流量進行安全檢測和評估時，檢測n6接口用戶業(yè)務(wù)流量的實際轉(zhuǎn)發(fā)行為是否符合n4接口信令信息中far攜帶的action，以判斷upf是否正常工作，如果不符合，判定upf工作異常；

8、其中，n4接口信令信息中far攜帶的action用于標識用戶業(yè)務(wù)流量的執(zhí)行情況，執(zhí)行情況包括轉(zhuǎn)發(fā)、丟棄、復制和緩存報文。

9、第二方面，本發(fā)明一種安全網(wǎng)關(guān)，用于通過如第一方面任一項所述的一種5g下沉upf安全防護方法對upf提供安全防護，所述安全網(wǎng)關(guān)包括接口檢測服務(wù)模塊、安全保護服務(wù)模塊以及流量行為執(zhí)行感知服務(wù)模塊；

10、接口檢測服務(wù)模塊用于執(zhí)行如下：檢測n4接口的口令信息和n6接口的用戶業(yè)務(wù)流量；

11、安全保護服務(wù)模塊用于執(zhí)行如下：對n4接口的口令信息進行解析，并對解析得到的報文進行安全檢測，判斷是否存在異常報文，如果存在，對異常報文進行阻斷和告警上報；

12、流量行為執(zhí)行感知服務(wù)模塊用于執(zhí)行如下：基于n4接口的口令信息以及n6接口的用戶業(yè)務(wù)流量進行安全檢測和評估，判斷通過n6接口轉(zhuǎn)發(fā)的用戶業(yè)務(wù)流量是否符合口令信息中指定的執(zhí)行情況，以判斷upf是否正常工作，如果upf工作異常，進行告警上報。

13、作為優(yōu)選，對解析得到的報文進行安全檢測時，安全保護服務(wù)模塊用于識別n4接口是否攜帶異常非法ie的pfcp報文和過度頻繁的信令報文。

14、作為優(yōu)選，基于n4接口的口令信息以及n6接口的用戶業(yè)務(wù)流量進行安全檢測和評估時，流量行為執(zhí)行感知服務(wù)模塊用于執(zhí)行如下操作：檢測n6接口用戶業(yè)務(wù)流量的實際轉(zhuǎn)發(fā)行為是否符合n4接口信令信息中far攜帶的action，以判斷upf是否正常工作，如果不符合，判定upf工作異常；

15、其中，n4接口信令信息中far攜帶的action用于標識用戶業(yè)務(wù)流量的執(zhí)行情況，執(zhí)行情況包括轉(zhuǎn)發(fā)、丟棄、復制和緩存報文。

16、第三方面，本發(fā)明一種計算機可讀介質(zhì)，所述計算機可讀介質(zhì)上存儲有計算機指令，所述計算機指令在被處理器執(zhí)行時，使所述處理器執(zhí)行第一方面任一所述的方法。

17、第四方面，本發(fā)明一種5g系統(tǒng)，所述5g系統(tǒng)中配置有如第一方面任一項所述的安全網(wǎng)關(guān)。

18、本發(fā)明的5g下沉upf安全防護方法、安全網(wǎng)關(guān)以及5g系統(tǒng)具有以下優(yōu)點：通過安全網(wǎng)關(guān)檢測n4接口的口令信息和n6接口的用戶業(yè)務(wù)流量，對n4接口的口令信息進行解析，并對解析得到的報文進行安全檢測，判斷是否存在異常報文，基于n4接口的口令信息以及n6接口的用戶業(yè)務(wù)流量進行安全檢測和評估，判斷通過n6接口轉(zhuǎn)發(fā)的用戶業(yè)務(wù)流量是否符合口令信息中指定的執(zhí)行情況，能夠從業(yè)務(wù)層面更加有效地對下沉upf的5g系統(tǒng)進行防護。

技術(shù)特征：

1.一種5g下沉upf安全防護方法，其特征在于，用于結(jié)合n4接口口令和n6接口用戶業(yè)務(wù)流量對upf進行安全防護，包括如下步驟：

2.根據(jù)權(quán)利要求1所述的5g下沉upf安全防護方法，其特征在于，通過安全網(wǎng)關(guān)對解析得到的報文進行安全檢測，識別n4接口是否攜帶異常非法ie的pfcp報文和過度頻繁的信令報文。

3.根據(jù)權(quán)利要求1所述的5g下沉upf安全防護方法，其特征在于，基于n4接口的口令信息以及n6接口的用戶業(yè)務(wù)流量進行安全檢測和評估時，檢測n6接口用戶業(yè)務(wù)流量的實際轉(zhuǎn)發(fā)行為是否符合n4接口信令信息中far攜帶的action，以判斷upf是否正常工作，如果不符合，判定upf工作異常；

4.一種安全網(wǎng)關(guān)，其特征在于，用于通過如權(quán)利要求1-3任一項所述的一種5g下沉upf安全防護方法對upf提供安全防護，所述安全網(wǎng)關(guān)包括接口檢測服務(wù)模塊、安全保護服務(wù)模塊以及流量行為執(zhí)行感知服務(wù)模塊；

5.根據(jù)權(quán)利要求4所述的安全網(wǎng)關(guān)，其特征在于，對解析得到的報文進行安全檢測時，安全保護服務(wù)模塊用于識別n4接口是否攜帶異常非法ie的pfcp報文和過度頻繁的信令報文。

6.根據(jù)權(quán)利要求4所述的安全網(wǎng)關(guān)，其特征在于，基于n4接口的口令信息以及n6接口的用戶業(yè)務(wù)流量進行安全檢測和評估時，流量行為執(zhí)行感知服務(wù)模塊用于執(zhí)行如下操作：檢測n6接口用戶業(yè)務(wù)流量的實際轉(zhuǎn)發(fā)行為是否符合n4接口信令信息中far攜帶的action，以判斷upf是否正常工作，如果不符合，判定upf工作異常；

7.一種計算機可讀介質(zhì)，其特征在于，所述計算機可讀介質(zhì)上存儲有計算機指令，所述計算機指令在被處理器執(zhí)行時，使所述處理器執(zhí)行權(quán)利要求1至3任一所述的方法。

8.一種5g系統(tǒng)，其特征在于，所述5g系統(tǒng)中配置有如權(quán)利要求4-6任一項所述的安全網(wǎng)關(guān)。

技術(shù)總結(jié)
本發(fā)明公開了5G下沉UPF安全防護方法、安全網(wǎng)關(guān)以及5G系統(tǒng)，屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，要解決的技術(shù)問題為如何提升對于行業(yè)專網(wǎng)下沉UPF的安全防護。包括：在5G系統(tǒng)中增加一個安全網(wǎng)關(guān)，通過安全網(wǎng)關(guān)檢測N4接口的口令信息和N6接口的用戶業(yè)務(wù)流量；通過安全網(wǎng)關(guān)對N4接口的口令信息進行解析，并對解析得到的報文進行安全檢測，判斷是否存在異常報文，如果存在，對異常報文進行阻斷和告警上報；基于N4接口的口令信息以及N6接口的用戶業(yè)務(wù)流量進行安全檢測和評估，判斷通過N6接口轉(zhuǎn)發(fā)的用戶業(yè)務(wù)流量是否符合口令信息中指定的執(zhí)行情況，以判斷UPF是否正常工作，如果UPF工作異常，進行告警上報。

技術(shù)研發(fā)人員：胡青陽
受保護的技術(shù)使用者：浪潮通信技術(shù)有限公司
技術(shù)研發(fā)日：
技術(shù)公布日：2025/1/6