一种终端UE管控方法及装置与流程
本发明涉及通信技术领域,特别涉及一种终端ue管控方法及装置。
背景技术:
第五代移动通信网络(thefifithgenerationmobilenetwork,5g)中引入了网络数据分析功能(networkdataanalyticsfunction,nwdaf)实体,该功能实体能够对网络数据进行分析,然后向5g网络提供分析结果,进而进行网络优化。
在现有技术中,nwdaf可以根据静态配置收集网络切片的负载数据进行分析,并向策略控制功能(policycontrolfunction,pcf)等网络功能提供切片负载相关的网络数据分析结果,使得pcf等网络功能可以根据nwdaf的分析结果对于属于该切片的终端制定相应的网络控制策略或者执行相应的网络行为。但由于nwdaf仅可以进行切片级别的网络数据分析,因此,nwdaf无法感知当前使用切片的用户。
也就是说,现有5g网络无法感知针对终端的恶意行为,更不用说针对恶意行为进行有效的防御了。
举个具体的例子来说,大用户量的物联网iot设备,例如路灯、共享单车等一旦被恶意使用或者劫持,由于现有5g网络无法感知针对这类终端的恶意行为,不仅带来安全问题,而且还将造成严重的紧急损失。例如,2016年,被“mirai”感染的890,000个摄像头和路由器对dyndns服务器发起了ddos攻击,造成美国东海岸断网6小时,经济损失达数十亿。
可见,现有移动通信网络系统缺乏对终端面临的或潜在的安全风险进行有效检测和防御。
技术实现要素:
本发明实施例提供一种终端ue管控方法及装置,用于解决现有移动通信网络系统缺乏对终端面临的或潜在的安全风险进行有效检测和防御的问题,增强了移动通信网络系统对终端的管控,降低了系统风险。
一方面,本发明实施例提供了一种终端ue管控方法,应用于网络数据分析功能nwdaf实体,所述方法包括:
获得所述ue的特征信息;
对所述特征信息进行分析,确定所述ue存在安全风险;
向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或者参数调整,其中,所述第一指示用于提示所述ue面临的安全风险的类型,或者,指示针对所述ue安全风险的策略或参数;和/或,
向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。
可选地,针对所述ue安全风险的策略或参数包括:所述ue的移动性管理参数和/或会话管理参数。
可选地,所述特征信息包括所述ue的终端类型、终端位置、终端移动性信息、应用信息、目的访问地址中的一个或多个。
可选地,所述对所述特征信息进行分析,确定所述ue存在安全风险,包括:
在所述终端类型表明所述ue为物联网iot设备,且所述ue移出预设固定区域,确定所述ue存在被盗的安全风险;或者,
在所述终端类型表明所述ue为物联网iot设备,且所述ue进入禁止区域,确定所述ue存在被非法使用的安全风险;或者,
在所述终端类型表明所述ue为物联网iot设备,且所述ue流量使用异常,确定所述ue存在被黑客劫持的安全风险;或者,
在所述终端类型表明所述ue为物联网iot设备,且所述ue访问非法目的地址,确定所述ue存在被黑客劫持的安全风险。
可选地,所述向网络中的至少一个网络功能实体发送第一指示,包括:
向策略控制功能pcf发送所述第一指示,以使所述pcf更新接入和移动性管理策略,和/或,协议数据单元pdu会话管理策略。
可选地,所述方法还包括:
若所述pcf根据所述第一指示确定需要拒绝所述ue的服务请求,触发所述pcf在所述接入和移动性管理策略中将所有的跟踪区ta配置为所述ue的禁止区域;或,
若所述pcf根据所述第一指示确定需要对所述ue指定的pdu会话进行限速,触发所述pcf在所述会话管理策略中调整会话的聚合最大比特率ambr;或,
若所述pcf根据所述第一指示确定需要对所述ue进行位置监控或跟踪,触发所述pcf生成位置监控请求;或,
若所述pcf根据所述第一指示确定需要删除所述ue指定的pdu会话,触发所述pcf发起pdu会话终止过程。
可选地,所述向网络中的至少一个网络功能实体发送第一指示,包括:
向接入与移动性管理功能amf发送所述第一指示,触发所述amf执行如下操作中之一或组合:
去注册所述ue;
对所述ue再次进行安全认证;
对所述ue进行位置监控或追踪;
限制所述ue获取网络服务。
可选地,所述向网络中的至少一个网络功能实体发送第一指示,包括:
向会话管理功能smf发送所述第一指示,触发所述smf执行如下操作之一或组合:
对所述ue指定的pdu会话进行限速;
删除所述ue指定的pdu会话。
可选地,所述移动性管理参数包括移动性限制参数或周期性更新定时器值;所述会话管理参数包括服务质量qos参数。
可选地,在所述确定所述ue存在安全风险之后,所述方法还包括:
向应用服务器发送用于提示所述ue存在所述安全风险的报警信息。
另一方面,本发明实施例还提供了一种针对终端ue存在安全风险的处理方法,应用于所述ue,所述方法包括:
接收网络确定所述ue存在安全风险而发送的第一指示,其中,所述第一指示用于提示所述ue面临的所述安全风险的类型,或者,指示针对所述ue的所述安全风险的策略或参数;
根据所述第一指示,触发所述ue针对所述安全风险进行报警和/或风险防御。
可选地,所述第一指示为网络数据分析功能nwdaf实体针对所述ue的特征信息进行分析,并确定所述ue存在安全风险后,直接发送的,或者,策略控制功能pcf或接入与移动性管理功能amf或会话管理功能smf接收到网络数据分析功能nwdaf实体针对所述ue的安全风险分析结果后发送的。
可选地,所述根据所述第一指示,触发所述ue针对所述安全风险进行报警和/或风险防御,包括:
根据所述第一指示,向所述ue的应用层发送告警信息,触发所述应用层向应用服务器发送报警信息;
发出光/声/电警告,和/或,锁定设备,和/或,周期性位置上报。
另一方面,本发明实施例还提供了一种终端ue管控装置,应用于网络数据分析功能nwdaf实体,所述装置包括:
获得单元,用于获得所述ue的特征信息;
确定单元,用于对所述特征信息进行分析,确定所述ue存在安全风险;
处理单元,用于向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或者参数调整,其中,所述第一指示用于提示所述ue面临的安全风险的类型,或者,指示针对所述ue的安全风险的策略或参数;和/或,
用于向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。
可选地,在所述第一指示用于指示针对所述ue安全风险的策略或参数时,所述处理单元还用于:
确定所述ue安全风险的策略或参数包括所述ue的移动性管理参数和/或会话管理参数。
可选地,所述特征信息包括所述ue的终端类型、终端位置、终端移动性信息、应用信息、目的访问地址中的一个或多个。
在本发明实施例中,所述确定单元用于:
在所述终端类型表明所述ue为物联网iot设备,且所述终端位置表明所述ue移出预设固定区域,确定所述ue存在被盗的安全风险;或者,
在所述终端类型表明所述ue为物联网iot设备,且所述ue位于禁止区域,确定所述ue存在被非法使用的安全风险;或者,
在所述终端类型表明所述ue为物联网iot设备,且所述ue流量使用异常,确定所述ue存在被黑客劫持的安全风险;或者,
在所述终端类型表明所述ue为物联网iot设备,且所述ue访问非法目的地址,确定所述ue存在被黑客劫持的安全风险。
可选地,所述处理单元还用于:
向策略控制功能pcf发送所述第一指示,以使所述pcf更新接入和移动性管理策略,和/或,协议数据单元pdu会话管理策略。
可选地,所述处理单元还用于:
若所述pcf根据所述第一指示确定需要拒绝所述ue的服务请求,触发所述pcf在所述接入和移动性管理策略中将所有的跟踪区ta配置为所述ue的禁止区域;或,
若所述pcf根据所述第一指示确定需要对所述ue指定的pdu会话进行限速,触发所述pcf在所述会话管理策略中调整会话的聚合最大比特率ambr;或,
若所述pcf根据所述第一指示确定需要对所述ue进行位置监控或跟踪,触发所述pcf生成位置监控请求;或,
若所述pcf根据所述第一指示确定需要删除所述ue指定的pdu会话,触发所述pcf发起pdu会话终止过程。
可选地,所述处理单元还用于:
向接入与移动性管理功能amf发送所述第一指示,触发所述amf执行如下操作中之一或组合:
去注册所述ue;
对所述ue再次进行安全认证;
对所述ue进行位置监控或追踪;
限制所述ue获取网络服务。
可选地,所述处理单元还用于:
向会话管理功能smf发送所述第一指示,触发所述smf执行如下操作之一或组合:
对所述ue指定的pdu会话进行限速;
删除所述ue指定的pdu会话。
在本发明实施例中,所述移动性管理参数包括移动性限制参数或周期性更新定时器值;所述会话管理参数包括服务质量qos参数。
可选地,在所述确定所述ue存在安全风险之后,所述装置还包括:
发送单元,用于向应用服务器发送用于提示所述ue存在所述安全风险的报警信息。
另一方面,本发明实施例还提供了一种针对终端ue存在安全风险的处理装置,应用于所述ue,所述装置包括:
接收单元,用于接收网络确定所述ue存在安全风险而发送的第一指示,其中,所述第一指示用于提示所述ue面临的所述安全风险的类型,或者,指示针对所述ue的所述安全风险的策略或参数;
触发单元,根据所述第一指示,触发所述ue针对所述安全风险进行报警和/或风险防御。
可选地,所述接收单元用于接收在网络数据分析功能nwdaf实体针对所述ue的特征信息进行分析,并确定所述ue存在安全风险后,直接发送的所述第一指示,或者,用于接收策略控制功能pcf或接入与移动性管理功能amf或会话管理功能smf接收到网络数据分析功能nwdaf实体针对所述ue的安全风险分析结果后所发送的所述第一指示。
可选地,所述触发单元用于:
根据所述第一指示,向所述ue的应用层发送告警信息,触发所述应用层向应用服务器发送报警信息;
发出光/声/电警告,和/或,锁定设备,和/或,周期性位置上报。
另一方面,本发明实施例提供了一种计算机装置,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述计算机程序时实现如上所述终端ue管控方法的步骤。
另一方面,本发明实施例提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如上所述终端ue管控方法的步骤。
本发明实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
在本发明实施例的技术方案中,通过网络数据分析功能nwdaf实体获得所述ue的特征信息;对所述特征信息进行分析,确定所述ue存在安全风险;向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或者参数调整,其中,所述第一指示用于提示所述ue面临的安全风险的类型,或者,指示针对所述ue安全风险的策略或参数;和/或,向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。也就是说,通过nwdaf实体对终端特征信息进行分析,进而确定终端的安全风险,并加以防御性管理,从而增强了移动通信网络系统对终端的管控,降低了系统风险。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例。
图1为本发明实施例中网络功能架构的结构示意图;
图2为本发明实施例一中提供的一种终端ue管控方法的其中一种方法流程图;
图3为本发明实施例一中提供的一种终端ue管控方法中pcf根据所述第一指示调整针对终端的网络策略的示意图;
图4为本发明实施例一中提供的一种终端ue管控方法中nwdaf直接向网络中的各网络功能和/或终端发送指示,相应地网络中的各网络功能和/或终端直接进行风险防御操作的示意图;
图5为本发明实施例二提供的一种针对终端ue存在安全风险的处理方法的方法流程图;
图6为本发明实施例二提供的一种针对终端ue存在安全风险的处理方法中步骤s302的方法流程示意图;
图7为本发明实施例三提供的一种终端ue管控装置的结构示意图;
图8为本发明实施例四提供的一种针对终端ue存在安全风险的处理装置的结构示意图;
图9为本发明实施例五提供的一种计算机装置的结构示意图。
具体实施方式
本发明实施例提供一种终端ue管控方法及装置,用于解决现有移动通信网络系统缺乏对终端面临的或潜在的安全风险进行有效检测和防御的问题,增强了移动通信网络系统对终端的管控,降低了系统风险。
本发明实施例中的技术方案为解决上述的技术问题,总体思路如下:
一种终端ue管控方法,应用于网络数据分析功能nwdaf实体,所述方法包括:
获得所述ue的特征信息;
对所述特征信息进行分析,确定所述ue存在安全风险;
向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或者参数调整,其中,所述第一指示用于提示所述ue面临的安全风险的类型,或者,指示针对所述ue安全风险的策略或参数;和/或,
向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。
在本发明实施例的技术方案中,通过网络数据分析功能nwdaf实体获得所述ue的特征信息;对所述特征信息进行分析,确定所述ue存在安全风险;向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或者参数调整,其中,所述第一指示用于提示所述ue面临的安全风险的类型,或者,指示针对所述ue的安全风险的策略或参数;和/或,向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。也就是说,通过nwdaf实体对终端特征信息进行分析,进而确定终端的安全风险,并加以防御性管理,从而增强了移动通信网络系统对终端的管控,降低了系统风险。本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,a和/或b,可以表示:单独存在a,同时存在a和b,单独存在b这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。
本发明的说明书和权利要求书及上述附图中的“第一”、“第二”等是用于区别不同对象,而不是用于描述特定顺序。此外,术语“包括”以及它们的任何变形,意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元,而是可选地还包括没有列出的步骤或单元,或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。
在本人中提及“实施例”意味着,结合实施例描述的特定特征、结构或特性可以包含在本发明的至少一个实施例中。在说明书中的各个位置出现该短语并不一定均是指相同的实施例,也不是与其它实施例互斥的独立的或备选的实施例。本领域技术人员显式地和隐式地理解的是,本文所描述的实施例可以与其它实施例相结合。
为了更好的理解上述技术方案,下面通过附图以及具体实施例对本发明技术方案做详细的说明,应当理解本发明实施例以及实施例中的具体特征是对本发明技术方案的详细的说明,而不是对本发明技术方案的限定,在不冲突的情况下,本发明实施例以及实施例中的技术特征可以相互结合。
本文中所描述的技术方案可用于移动网络系统,如5g网络。
如图1所示,为本文中的技术方案应用的网络功能架构,该架构包括网络层和用户面层。其中,网络层可以包括nwdaf、数据管理功能(unifieddatamanagement,udm)、网络开放功能实体(networkexposurefunction,nef)、af(applicationfunction,应用功能单元)和策略控制功能(policycontrolfunction,pcf)等网络功能;其中,udm包括与用户数据仓库(unifieddatamanagement,udr),udr是一个用户订阅数据存储服务器,它可以提供用户订阅数据,包括订阅标识,安全信用,接入/移动管理设计用户订阅信息以及会话管理设计用户订阅信息,同时也可以向pcf提供策略数据,也就是说,udr提供订阅数据存储服务。用户面层可以包括用户面功能(userplanefunction,upf)、移动性管理功能(accessandmobilitymanagementfunction,amf)、会话管理(sessionmanagementfunction,smf)等,用户面层的功能实体可以通过基站等与用户终端(userequipment,ue)相连。移动网络中各功能实体之间通过相应的网络接口连接。
在实际应用中,ue的数据可以通过upf与外部数据网络进行交互,amf可用于负责移动性管理,amf与用户终端和接入网相连,smf可用于负责会话管理,smf与upf相连。pcf用于进行策略控制,nef用于与第三方应用的交互和网络能力开放,udm用于负责用户数据的存储和管理,nwdaf是运营商管理的网络分析功能,nwdaf提供切片相关的网络数据分析给pcf。
下面结合说明书附图介绍本发明实施例提供的技术方案。在下面的介绍过程中,以本发明实施例提供的技术方案应用在图1所示的网络功能架构为例。
实施例一
本发明实施例一提供了一种终端ue管控方法,应用于网络数据分析功能nwdaf实体,具体的,该方法可以应用于移动网络系统中,例如图1所示的网络系统中,通过网络系统中相应的网络功能可以执行该方法,该方法的流程描述如下:
s101:获得所述ue的特征信息;
s102:对所述特征信息进行分析,确定所述ue存在安全风险;
s103:向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或者参数调整,其中,所述第一指示用于提示所述ue面临的安全风险的类型,或者,指示针对所述ue安全风险的策略或参数;和/或,
s104:向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。
在具体实施过程中,既可以是依次执行步骤s101、s102、s103的方案,还可以是依次执行步骤s101、s102、s104的方案,还可以是依次执行步骤s101、s102、s103、s104的方案。当然,本领域的技术人员还可以根据用户的实际使用习惯来设计步骤s103和步骤s104间执行先后顺序,在此就不一一举例说明了。如图2所示为同时执行步骤s103和步骤s104的方法流程图。
在具体实施过程中,首先,所述nwdaf获得所述ue的特征信息,其中,所述特征信息包括所述ue的终端类型、终端位置、终端移动性信息、应用信息、目的访问地址中的一个或多个,当然,本领域的技术人员还可以根据实际需要来设计所述nwdaf所获得的所述ue的特征信息,在此就不一一举例说明了。
然后,所述nwdaf对所述特征信息进行分析,确定所述ue存在安全风险。比如,所述nwdaf通过对终端类型和/或应用信息等进行分析,进而确定所述ue理应位于一固定位置,因此,在检测到所述ue发生位置移动后,便可以确定所述ue被盗。比如,安装在诸如路灯、atm机、监控设备上的终端设备。再比如,所述nwdaf通过对所述ue的终端位置和移动性限制信息进行分析,从而确定出所述ue在非允许区域(或者禁止区域)驻足较长时间,便可以确定出所述ue被非法使用,共享单车进入居民区。再比如,所述nwdaf通过对所述ue的终端类型、应用信息等进行分析,当检测到所述ue的流量异常时,则确定所述ue被黑客劫持,例如视频监控设备的数据流被发送到非法地址。
在所述nwdaf确定所述ue存在安全风险之后,所述方法还包括:向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或参数调整,其中,所述第一指示用于提示所述ue面临的安全风险的类型,或者,指示针对所述ue安全风险的策略或参数。其中,所述至少一个网络功能实体具体可以是pcf、amf、smf中的一种或几种。在所述至少一个网络功能实体为pcf时,即所述nwdaf向pcf发送所述第一指示,所述pcf根据所述第一指示调整针对所述ue的网络策略。再比如,所述nwdaf先根据所述安全风险确定出对所述ue各种参数的修改,例如移动性限制参数、服务质量qos参数、周期性更新定时器值等。然后所述nwdaf直接将这些生成的参数发送给相应的网络功能,例如,将移动性限制参数发送给amf,将qos参数发送给smf。
在具体实施过程中,还可以是所述nwdaf直接向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。也就是说,若所述ue收到所述第二指示,则所述ue根据安全风险类型能够确定相应的行为,比如,通过应用层发送诸如“当前终端存在被盗用的安全风险,请及时处理!”告警信息,当然,本领域的技术人员还可以根据用户的实际使用习惯来设计触发所述ue进行报警和/或风险防御的具体实现过程,在此就不一一举例说明了。
在本发明实施例中,所述nwdaf不仅可以向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或者参数调整,还可以向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,由于具体实现过程已在上面的过程中进行了相应的叙述,在此就不一一举例说明了。
在本发明实施例中,针对所述ue安全风险的策略或参数包括:所述ue的移动性管理参数和/或会话管理参数;
在具体实施过程中,首先所述nwdaf确定所述ue的移动性管理参数和/或会话管理参数。其中,所述移动性管理参数可以是移动性限制参数,所述会话管理参数为qos参数。然后,向所述至少一个网络功能实体发送所述移动性管理参数和/或会话管理参数,以使所述至少一个网络功能实体针对所述ue进行参数调整。其中,所述移动性管理参数包括移动性限制参数或周期性更新定时器值;所述会话管理参数包括服务质量qos参数。也就是说,所述nwdaf可以向5g网络直接发送针对所述ue修改的参数。具体来讲,所述nwdaf先根据所述安全风险确定出对所述ue各种参数的修改,例如移动性限制参数、服务质量qos参数、周期性更新定时器值等。然后所述nwdaf直接将这些生成的参数发送给相应的网络功能,例如,将移动性限制参数发送给amf,进一步地,所述amf针对所述ue进行参数调整,比如,配置更短的周期性定时器来跟踪终端位置。再比如,将qos参数发送给smf,比如,调整pdu会话的qos参数。
在本发明实施例中,所述nwdaf可以执行安全风险分析,具体来讲,所述nwdaf对所述ue的特征信息进行分析,从而判断所述ue是否存在安全风险,在确定所述ue存在安全风险时,还可以进一步地确定所述ue所存在的安全风险的具体类别。安全风险的类别有设备被盗,设备被非法使用,设备被黑客劫持,等等。
在具体实施过程中,所述ue的特征信息包括所述ue的终端类型、终端位置、终端移动性信息、应用信息、目的访问地址中的一个或多个。比如,所述nwdaf对所述终端类型和所述终端位置进行分析,确定出所述ue为iot设备。具体来讲,终端类型可以是普通智能终端,还可以是手持终端,还以是iot终端,等等。所述应用信息可以表明终端上某一特定应用的应用类型,比如,监控类、照明类、金融类。还可以表明该应用使用数据流量的情况,在此就不一一举例说明了。
在本发明实施例中,步骤s102:对所述特征信息进行分析,确定所述ue存在安全风险,可以是以下四种情况,但又不仅限于以下四种情况。
第一种情况
第一种情况为:在所述终端类型表明所述ue为物联网iot设备,且所述终端位置表明所述ue移出预设固定区域,确定所述ue存在被盗的安全风险;具体来讲,在所述终端类型表明所述ue为物联网iot设备,且所述nwdaf检测到所述终端位置不在预设固定区域内,则确定所述ue存在被盗的安全风险,其中,所述预设固定区域可以由所述nwdaf根据从5g网络中获取配置给ue的允许区域信息或者从应用服务器获取的终端允许活动的地理范围信息来确定。比如,通过所述nwdaf确定出所述ue为iot设备,且为安装在路灯上的终端设备,通常这类终端需安装在某一预设固定区域,一旦检测到该终端移出该预设固定区域,则确定所述ue存在被盗的安全风险。
第二种情况
第二种情况为:在所述终端类型表明所述ue为物联网iot设备,且所述ue位于禁止区域,确定所述ue存在被非法使用的安全风险;具体来讲,在所述终端类型表明所述ue为物联网iot设备,且所述nwdaf检测到所述ue位于禁止区域,则确定所述ue存在被非法使用的安全风险,其中,所述禁止区域可以由nwdaf根据从5g网络中获取配置给ue的禁止区域信息或者从应用服务器获取的终端禁止进入的地理范围信息来确定。比如,通过所述nwdaf确定出所述ue为iot设备,且为具有允许区域和禁止区域的交通工具,比如,共享单车、共享汽车,一旦进入禁止区域,比如居民小区、学校,则确定所述ue存在被非法使用的安全风险。
第三种情况
第三种情况为:在所述终端类型表明所述ue为物联网iot设备,且所述ue流量使用异常,确定所述ue存在被黑客劫持的安全风险;比如,所述nwdaf检测到ue上某应用的业务流与所述nwdaf学习到的该应用的流量模型、qos需求等方面存在较大差异,则确定所述ue存在被黑客劫持的安全风险。再比如,通过所述nwdaf确定出所述ue为iot设备,且为包括指纹检测的应用终端,一旦确定出所述ue流量使用异常,比如,周期性地发送检测,则确定所述ue存在被黑客劫持的安全风险。
第四种情况
第四种情况为:在所述终端类型表明所述ue为物联网iot设备,且所述ue访问非法目的地址,确定所述ue存在被黑客劫持的安全风险。比如,所述nwdaf通过数据分析和机器学习确定所述ue所访问的合法目的地址特征,具体可包括目的网段信息,目的地址归属信息,目的地址的地理位置属性,访问时间、访问频度等,一旦当所述nwdaf检测到所述ue当前访问的地址不符合合法目的地址特征时,则确定所述ue存在被黑客劫持的安全风险。再比如,通过所述nwdaf确定出所述ue为iot设备,且为视频监控的终端,当检测该视频监控的终端的数据流被发送到非法目的地址,则确定所述ue存在被黑客劫持的安全风险。
当然,对于本领域的技术人员来说,除了上述提及的四种情况来对所述特征信息进行分析,进而确定所述ue存在安全风险外,还可以根据实际需要来设计其它的用来确定所述ue存在安全风险的方法,在此就不一一举例说明了。
在本发明实施例中,所述向网络中的至少一个网络功能实体发送第一指示,包括:向策略控制功能pcf发送所述第一指示,以使所述pcf更新接入和移动性管理策略,和/或,协议数据单元pdu会话管理策略。在具体实施过程中,如果仅pcf能够从所述nwdaf接收针对所述ue的特征信息的分析结果,则所述pcf能够根据所述第一指示生成相应的网络防御策略,并向核心网的相关网络功能(比如,amf、smf)进行策略更新。
如图3所示,所述pcf根据所述第一指示调整针对所述ue的网络策略。具体来讲,所述pcf可以从所述nwdaf收到所述第一指示(比如,风险提示或者告警指示),确定5g网络的应对行为,具体包括:
若风险提示或者告警指示显示所述ue被盗用,则对所述ue进行位置监控或追踪,并拒绝所述ue的服务请求;
若风险提示或者告警指示显示所述ue被非法使用,则对所述ue进行位置监控或追踪,并限制所述ue获取网络服务;
若风险提示或者告警指示显示所述ue被黑客劫持,则可能去注册所述以ue,触发所述ue重新注册重新认证,对所述ue启动新的安全认证过程,对所述ue指定的pdu会话进行限速,和/或,删除指定的pdu会话等。
在具体实施过程中,所述pcf也可能通过rx接口消息从af收到风险提示或者告警指示,具体为所述af从所述nwdaf收到风险提示或者告警指示后进一步对终端行为进行分析确认得出。此外,当所述af确定所述ue不存在安全风险,此时,所述pcf将从rx接口消息中收到无安全风险的提示。
在具体实施过程中,所述pcf在接收到所述第一指示后,所述pcf向所述amf和/或smf发送相应的指令或策略更新请求,包括以下四种情况,但又不仅限于以下四种情况:
第一种情况
第一种情况为:若所述pcf根据所述第一指示确定需要拒绝所述ue的服务请求,触发所述pcf在所述接入和移动性管理策略中将所有的跟踪区ta配置为所述ue的禁止区域;也就是说,若所述pcf根据所述第一指示确定需要拒绝所述ue的服务请求,则在接入和移动性管理策略将所有ta配置为所述ue的禁止区域或非允许区域。
第二种情况
第二种情况为:若所述pcf根据所述第一指示确定需要对所述ue指定的pdu会话进行限速,触发所述pcf在所述会话管理策略中调整会话的聚合最大比特率ambr;也就是说,若所述pcf根据所述第一指示确定需要对指定pdu会话进行限速,则在所述pdu会话的相关策略中调整会话的聚合最大比特率ambr。
第三种情况
第三种情况为:若所述pcf根据所述第一指示确定需要对所述ue进行位置监控或跟踪,触发所述pcf生成位置监控请求;也就是说,若所述pcf根据所述第一指示确定需要对所述ue进行位置监控或追踪,则生成位置监控请求,以使所述ue周期性位置上报。
第四种情况
第四种情况为:若所述pcf根据所述第一指示确定需要删除所述ue指定的pdu会话,触发所述pcf发起pdu会话终止过程。具体来讲,若所述pcf根据所述第一指示确定需要删除指定pdu会话,则发起pdu会话终止过程。
当然,对于本领域的技术人员来讲,在所述pcf在接收到所述第一指示后,所述pcf向所述amf和/或smf发送相应的指令或策略更新请求,除了上述提及的四种情况外,本领域的技术人员还可以根据用户的实际使用习惯来设计所述pcf向所述amf和/或所述smf发送其它的指令或策略更新请求,在此就不一一举例说明了。
在具体实施过程中,若所述amf收到接入和移动性管理策略,则触发相应的移动性管理过程,并执行相应动作,例如进行移动性限制更新;再比如,若所述amf收到所述pcf的请求指令,例如位置监控请求,则执行所述pcf的请求指令。
在具体实施过程中,若所述smf收到pdu会话相关策略,则触发针对pdu会话的操作,并执行相应动作,例如调整pdu会话的会话聚合最大比特率ambr;若所述smf收到所述pcf的请求指令,则执行所述pcf的请求指令,例如删除pdu会话。
此外,为了进一步提高针对所述ue的管控效率,在所述nwdaf确定所述ue存在安全风险之后,进一步地根据安全风险的类型确定向对应的网络功能发送所述第一指示,比如,若所述第一指示显示所述ue被盗用,则向所述amf和/或所述pcf发送所述第一指示;再比如,若所述第一指示显示所述ue被非法使用,则向所述amf发送所述第一指示;再比如,若所述第一指示显示所述ue被黑客劫持,则向所述amf、所述smf、所述pcf中的任意一个或多个发送所述第一指示。
在具体实施过程中,当所述nwdaf直接向5g网络中的所述amf发送所述第一指示时,所述amf可以直接进行风险防御操作,执行如下操作中之一或组合:
去注册所述ue;
对所述ue再次进行安全认证;
对所述ue进行位置监控或追踪;
限制所述ue获取网络服务。
在具体实施过程中,若所述amf订阅了针对所述ue的所述第一指示,则所述amf根据风险类型确定相应的移动性管理操作,例如,配置更短的周期性定时器来追踪终端位置
在具体实施过程中,当所述nwdaf直接向5g网络中的所述smf发送所述第一指示时,所述smf可以直接进行风险防御操作,执行如下操作中之一或组合:
对所述ue指定的pdu会话进行限速;
删除所述ue指定的pdu会话。
在具体实施过程中,若所述smf订阅了针对指定pdu会话的指示,则所述smf根据风险类型确定相应的会话管理操作,例如删除pdu会话。
在本发明实施例中,若所述nwdaf向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。具体来讲,若所述ue收到所述第二指示,向应用服务器发送用于提示所述ue存在所述安全风险的报警信息。在具体实施过程中,所述第二指示可以是和所述第一指示相同,也可以是不相同,具体地,本领域技术人员根据实际需要来设计,在此就不一一赘述了。
在本发明实施例中,所述nwdaf直接向5g网络中的各网络功能和/或所述ue发送指示,相应的5g网络中的各网络功能和/或所述ue可以直接进行相关风险防御操作,整个处理过程的示意图如图4所示,由于具体的处理过程在上述已经进行了详细的叙述,在此就不一一举例说明了。
实施例二
基于与本发明实施例一同样的发明构思,请参考图5,本发明实施例二还提供了一种针对终端ue存在安全风险的处理方法,应用于所述ue,所述方法包括:
s201:接收网络确定所述ue存在安全风险而发送的第一指示,其中,所述第一指示用于提示所述ue面临的所述安全风险的类型,或者,指示针对所述ue的所述安全风险的策略或参数;
s202:根据所述第一指示,触发所述ue针对所述安全风险进行报警和/或风险防御。
在本发明实施例中,步骤s201至步骤s202的具体实现过程在实施例一中已经详述,在此就不一一赘述了。
在本发明实施例中,所述第一指示为网络数据分析功能nwdaf实体针对所述ue的特征信息进行分析,并确定所述ue存在安全风险后,直接发送的,或者,策略控制功能pcf或接入与移动性管理功能amf或会话管理功能smf接收到网络数据分析功能nwdaf实体针对所述ue的安全风险分析结果后发送的。
在本发明实施例中,如图6所示,步骤s202:根据所述第一指示,触发所述ue针对所述安全风险进行报警和/或风险防御,包括:
s301:根据所述第一指示,向所述ue的应用层发送告警信息,触发所述应用层向应用服务器发送报警信息;
s302:发出光/声/电警告,和/或,锁定设备,和/或,周期性位置上报。
在具体实施过程中,步骤s301至步骤s302的具体实现过程如下所示:
首先,根据所述第一指示,向所述ue的应用层发送告警信息,触发所述应用层向应用服务器发送报警信息。比如,在所述第一指示表明编号为“00100”的智能设备存在被盗的安全风险,则向该智能设备的应用层发送告警信息,触发所述应用层向应用服务器发送诸如“编号00100的智能设备存在被盗”的报警信息。然后,进行相应的报警和/或风险防御,比如,“编号为00100”的智能设备的闪光灯以一定频率发光警告用户,再比如,“编号为00100”的智能设备以一定频率振动来警告用户。再比如,直接将“编号为00100”的智能设备进行锁定,比如,锁定共享单车,任何使用者将无法使用。此外,还可以控制所述ue进行周期性的位置上报,以便监控者实时确定所述ue的位置,从而最大限度地避免所述ue被盗。当然,本领域的技术人员,还可以根据用户的实际使用习惯来设计所述ue针对所述安全风险进行报警和/或风险防御,在此就不一一举例说明了。
实施例三
基于与实施例一同样的发明构思,请参考图7所示,本发明实施例还提供了一种终端ue管控装置,应用于网络数据分析功能nwdaf实体,所述装置包括:
获得单元10,用于获得所述ue的特征信息;
确定单元20,用于对所述特征信息进行分析,确定所述ue存在安全风险;
处理单元30,用于向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或者参数调整,其中,所述第一指示用于提示所述ue面临的安全风险的类型,或者,指示针对所述ue的安全风险的策略或参数;和/或,
用于向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。
在本发明实施例中,在所述第一指示用于指示针对所述ue安全风险的策略或参数时,处理单元30还用于:
确定所述ue安全风险的策略或参数包括所述ue的移动性管理参数和/或会话管理参数。
在本发明实施例中,所述特征信息包括所述ue的终端类型、终端位置、终端移动性信息、应用信息、目的访问地址中的一个或多个。
在本发明实施例中,确定单元20用于:
在所述终端类型表明所述ue为物联网iot设备,且所述ue移出预设固定区域,确定所述ue存在被盗的安全风险;或者,
在所述终端类型表明所述ue为物联网iot设备,且所述ue位于禁止区域,确定所述ue存在被非法使用的安全风险;或者,
在所述终端类型表明所述ue为物联网iot设备,且所述ue流量使用异常,确定所述ue存在被黑客劫持的安全风险;或者,
在所述终端类型表明所述ue为物联网iot设备,且所述ue访问非法地址,确定所述ue存在被黑客劫持的安全风险。
本发明实施例中,处理单元30在还用于:
向策略控制功能pcf发送所述第一指示,以使所述pcf更新接入和移动性管理策略,和/或,协议数据单元pdu会话管理策略。
本发明实施例中,处理单元30还用于:
若所述pcf根据所述第一指示确定需要拒绝所述ue的服务请求,触发所述pcf在所述接入和移动性管理策略中将所有的跟踪区ta配置为所述ue的禁止区域;或,
若所述pcf根据所述第一指示确定需要对所述ue指定的pdu会话进行限速,触发所述pcf在所述会话管理策略中调整会话的聚合最大比特率ambr;或,
若所述pcf根据所述第一指示确定需要对所述ue进行位置监控或跟踪,触发所述pcf生成位置监控请求;或,
若所述pcf根据所述第一指示确定需要删除所述ue指定的pdu会话,触发所述pcf发起pdu会话终止过程。
本发明实施例中,处理单元30还用于:
向接入与移动性管理功能amf发送所述第一指示,触发所述amf执行如下操作中之一或组合:
去注册所述ue;
对所述ue再次进行安全认证;
对所述ue进行位置监控或追踪;
限制所述ue获取网络服务。
本发明实施例中,处理单元30还用于:
向会话管理功能smf发送所述第一指示,触发所述smf执行如下操作之一或组合:
对所述ue指定的pdu会话进行限速;
删除所述ue指定的pdu会话。
在本发明实施例中,所述移动性管理参数包括移动性限制参数或周期性更新定时器值;所述会话管理参数包括服务质量qos参数。
在本发明实施例中,在所述确定所述ue存在安全风险之后,所述装置还包括:
发送单元,用于向应用服务器发送用于提示所述ue存在所述安全风险的报警信息。
实施例四
基于与实施例一同样的发明构思,请参考图8所示,本发明实施例还提供了一种针对终端ue存在安全风险的处理装置,应用于所述ue,所述装置包括:
接收单元40,用于接收网络确定所述ue存在安全风险而发送的第一指示,其中,所述第一指示用于提示所述ue面临的所述安全风险的类型,或者,指示针对所述ue的所述安全风险的策略或参数;
触发单元50,根据所述第一指示,触发所述ue针对所述安全风险进行报警和/或风险防御。
在本发明实施例中,接收单元40用于接收在网络数据分析功能nwdaf实体针对所述ue的特征信息进行分析,并确定所述ue存在安全风险后,直接发送的所述第一指示,或者,用于接收策略控制功能pcf或接入与移动性管理功能amf或会话管理功能smf接收到网络数据分析功能nwdaf实体针对所述ue的安全风险分析结果后所发送的所述第一指示。
在本发明实施例中,触发单元50用于:
根据所述第一指示,向所述ue的应用层发送告警信息,触发所述应用层向应用服务器发送报警信息;
发出光/声/电警告,和/或,锁定设备,和/或,周期性位置上报。
实施例五
本发明实施例还提供了一种计算机装置,其结构如图9所示,在具体实施过程中,所述计算机装置包括存储器60、处理器70及存储在存储器60上并可在处理器70上运行的计算机程序,处理器70执行所述计算机程序时实现本发明实施例一中提供的方法的步骤。
在本发明实施例中,处理器70具体可以是中央处理器、特定应用集成电路(applicationspecificintegratedcircuit,asic),可以是一个或多个用于控制程序执行的集成电路,可以是使用现场可编程门阵列(fieldprogrammablegatearray,fpga)开发的硬件电路,可以是基带处理器。
在本发明实施例中,处理器70可以包括至少一个处理核。
在本发明实施例中,电子设备还包括存储器60,存储器60可以包括只读存储器(readonlymemory,rom)、随机存取存储器(randomaccessmemory,ram)和磁盘存储器。存储器60用于存储处理器70运行时所需的数据。存储器60的数量为一个或多个。
实施例六
本发明实施例还提供了一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现如本发明实施例一提供的方法的步骤。
在本发明实施例中,应该理解到,所揭露方法及装置,可以通过其它的方式实现。例如,以上所描述的设备实施例仅仅是示意性的,例如,单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,设备或单元的间接耦合或通信连接,可以是电性或其它的形式。
在本发明实施例中的各功能单元可以集成在一个处理单元中,或者各个单元也可以均是独立的物理模块。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备,例如可以是个人计算机,服务器,或者网络设备等,或处理器(processor)执行本发明各个实施例的方法的全部或部分步骤。而前述的存储介质包括:通用串行总线闪存盘(universalserialbusflashdrive,usb)、移动硬盘、只读存储器(read-onlymemory,rom)、随机存取存储器(randomaccessmemory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
本发明实施例中的上述一个或多个技术方案,至少具有如下一种或多种技术效果:
在本发明实施例的技术方案中,通过网络数据分析功能nwdaf实体获得所述ue的特征信息;对所述特征信息进行分析,确定所述ue存在安全风险;向网络中的至少一个网络功能实体发送第一指示,触发所述至少一个网络功能实体针对所述ue进行策略更新或者参数调整,其中,所述第一指示用于提示所述ue面临的安全风险的类型,或者,指示针对所述ue安全风险的策略或参数;和/或,向所述ue发送第二指示,触发所述ue进行报警和/或风险防御,其中,所述第二指示用于提示所述ue面临的安全风险的类型。也就是说,通过nwdaf实体对终端特征信息进行分析,进而确定终端的安全风险,并加以防御性管理,从而增强了移动通信网络系统对终端的管控,降低了系统风险。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
- 还没有人留言评论。精彩留言会获得点赞!