移动网络边缘应用访问授权方法、系统以及介质与流程

1.本公开总体上涉及移动网络边缘应用访问授权方法、系统以及介质。


背景技术：

2.当5g网络为特定园区应用提供接入服务时，通过5g边缘计算等方式可提升应用体验。但在某些场景下，部署在网络边缘的企业园区应用对安全性要求较高，同时对不同的应用及资源有不同的访问授权需求，且要求进入园区的流量都为授权流量。现有技术中的机制暂不能很好的满足上述需求。


技术实现要素：

3.在下文中给出了关于本公开的简要概述，以便提供关于本公开的一些方面的基本理解。但是，应当理解，这个概述并不是关于本公开的穷举性概述。它并不是意图用来确定本公开的关键性部分或重要部分，也不是意图用来限定本公开的范围。其目的仅仅是以简化的形式给出关于本公开的某些概念，以此作为稍后给出的更详细描述的前序。
4.根据本公开的一个方面，提供一种移动网络边缘应用访问授权方法，包括：由终端建立到中心用户面功能或到边缘用户面功能的会话，其中会话管理功能将中心dns解析功能或边缘dns解析功能的地址作为dns服务器地址发送给终端；由终端在访问边缘应用时，将dns请求直接发送到中心dns解析功能，或经由边缘dns解析功能转发给中心dns解析功能；由中心dns解析功能选择dn-dns服务器，并将dns请求转发给选择的dn-dns服务器；由dn-dns服务器在收到dns请求后，在dns请求与边缘应用相关联的情况下，向对应的dn安全控制器发送业务授权请求；由dn安全控制器在收到业务授权请求后，向dn安全策略引擎请求最新安全策略，根据最新安全策略确定是否授权所述dns请求，并且在授权所述dns请求的情况下，向dn-dns服务器发送授权信息；由dn-dns服务器发送dns响应消息；以及由终端在接收到dns响应消息之后，经由dn边缘节点中的安全策略执行网关访问边缘应用。
5.根据本公开的另一个方面，提供一种移动网络边缘应用访问授权装置，包括：存储器，其上存储有指令；以及处理器，被配置为执行存储在所述存储器上的指令，以执行上述的方法。
6.根据本公开的又一个方面，提供一种计算机可读存储介质，其包括计算机可执行指令，所述计算机可执行指令在由一个或多个处理器执行时，使得所述一个或多个处理器执行根据本公开的上述方面所述的方法。
7.根据本公开的又一个方面，提供一种移动网络边缘应用访问授权系统，包括：dn边缘节点，包括安全策略执行网关和边缘dns解析功能；边缘用户面功能；以及核心网，包括中心用户面功能、会话管理功能、中心dns解析功能、dn-dns服务器、dn安全控制器以及dn安全策略引擎，其中，会话管理功能被配置成在终端建立到中心用户面功能或到边缘用户面功能的会话时，将中心dns解析功能或边缘dns解析功能的地址作为dns服务器地址发送给终端，dn-dns服务器被配置成在收到来自终端的dns请求后，在dns请求与边缘应用相关联的
情况下，向对应的dn安全控制器发送业务授权请求，以及在收到来自dn安全控制器的授权信息的情况下，发送dns响应消息，dn安全控制器被配置成在收到业务授权请求后，向dn安全策略引擎请求最新安全策略，根据最新安全策略确定是否授权所述dns请求，并且在授权所述dns请求的情况下，向dn-dns服务器发送授权信息，并且终端在接收到dns响应消息之后，经由安全策略执行网关访问边缘应用。
附图说明
8.构成说明书的一部分的附图描述了本公开的实施例，并且连同说明书一起用于解释本公开的原理。
9.参照附图，根据下面的详细描述，可以更清楚地理解本公开，其中：
10.图1是示出本技术的移动网络边缘应用访问授权系统的框图；
11.图2是用于描述本技术的移动网络边缘应用访问授权方法的系统框图，该框图与图1基本上对应；
12.图3是本技术的移动网络边缘应用访问授权方法在5g网络中实施时的信令流程图。
13.图4示出了可以实现根据本公开的实施例的计算设备的示例性配置。
具体实施方式
14.参考附图进行以下详细描述，并且提供以下详细描述以帮助全面理解本公开的各种示例实施例。以下描述包括各种细节以帮助理解，但是这些细节仅被认为是示例，而不是为了限制本公开，本公开是由随附权利要求及其等同内容限定的。在以下描述中使用的词语和短语仅用于能够清楚一致地理解本公开。另外，为了清楚和简洁起见，可能省略了对公知的结构、功能和配置的描述。本领域普通技术人员将认识到，在不脱离本公开的精神和范围的情况下，可以对本文描述的示例进行各种改变和修改。
15.首先，描述现有技术的方案。现有方案采用pdu(协议数据单元)会话建立的dn二次认证流程(3gpp ts33.501-g20)：
16.认证采用ietf rfc 3748中定义的eap框架，ue作为eap客户端，smf作为认证方，新增dn-aaa(authentication、authorization、accounting(认证、授权、计费))(运营商提供或第三方提供)作为eap服务器：
17.首先，ue发起pdu会话建立请求，smf根据触发条件触发二次认证流程；
18.然后，如果dn-aaa认证通过，smf继续后续的会话建立过程；如果认证失败，smf通知终端pdu会话建立失败。
19.现有技术中，还存在mec系统架构(etsi mec)：
20.mec系统由mec主机级以及mec系统级两部分组成。
21.在mec系统级功能中，客户服务门户(cfs portal)是运营商面向第三方客户订阅并监控边缘应用的入口。用户应用生命周期管理代理(user app lcm proxy)接收应用在用户设备发起的操作。mec编排器(multi-access edge orchestrator)负责应用编排部署，决定应用部署哪些边缘主机上(mec host)上。操作支撑系统(operations support system)可向mec编排器发起应用编排管理。
22.在mec主机级功能中，包含mec主机(mec host)及相关管理单元。其中mec主机包括mec平台(mec platform)、mec应用(mec app)以及虚拟化基础设施(virtualization infrastructure)。mec主机级管理单元包括vim和mec平台管理器(mec platformmanager)，mec平台管理器负责应用生命周期管理、边缘服务(mec service)配置以及边缘平台基本运维。
23.本技术提出的技术方案在网络中引入dn(数据网络，data network)相关安全功能，通过网络配合，在dns请求过程中完成访问的认证和授权，实现颗粒度灵活的业务授权，并阻止所有未经授权的流量流向边缘app(即，应用)，提升访问安全，降低攻击风险。
24.本技术提出一种移动网络边缘应用访问授权系统及方法。在网络中引入dn管理中心相关安全功能，通过其他网络功能配合，在用户发起dns请求的过程中，实现基于应用或应用中的某个特定资源的访问认证及授权功能。
25.图1是示出本技术的移动网络边缘应用访问授权系统的框图。如图1所示，该系统包括：dn边缘节点，包括安全策略执行网关和边缘dns解析功能；边缘用户面功能；以及核心网，包括中心用户面功能、会话管理功能、中心dns解析功能、dn-dns服务器、dn安全控制器以及dn安全策略引擎。在一个实施例中，dn边缘节点还可以包括边缘应用服务器(eas)，例如eas-1和eas-2。此外，边缘用户面功能可以被包括在dn边缘节点中，也可以在dn边缘节点之外。
26.在一个实施例中，dn-dns服务器、dn安全控制器以及dn安全策略引擎可以组成dn管理中心。
27.图1中的系统还可以包括终端和基站，终端可以通过基站访问中心用户面功能或边缘用户面功能。
28.终端可以建立到中心用户面功能或到边缘用户面功能的会话。会话管理功能可以被配置成在终端建立到中心用户面功能或到边缘用户面功能的会话时，将中心dns解析功能或边缘dns解析功能的地址作为dns服务器地址发送给终端。dn-dns服务器可以被配置成在收到来自终端的dns请求后，在dns请求与边缘应用相关联的情况下，向对应的dn安全控制器发送业务授权请求，以及在收到来自dn安全控制器的授权信息的情况下，例如向中心dns解析功能发送dns响应消息。
29.dn安全控制器可以被配置成在收到业务授权请求后，向dn安全策略引擎请求最新安全策略，根据最新安全策略确定是否授权dns请求，并且在授权dns请求的情况下，向dn-dns服务器发送授权信息。
30.终端在接收到dns响应消息之后，可以经由安全策略执行网关访问边缘应用。
31.以下，描述根据本公开的移动网络边缘应用访问授权方法。该方法包括以下步骤。首先，由终端建立到中心用户面功能或到边缘用户面功能的会话，在此过程中，会话管理功能将中心dns解析功能或边缘dns解析功能(或本地dns解析功能)的地址作为dns服务器地址发送给终端。
32.可选地，在上述步骤中，会话管理功能可以与中心dns解析功能和边缘dns解析功能中的一个或多个同步终端(用户)的当前会话信息。
33.可选地，会话管理功能可以根据dns解析功能的服务范围，选择对应的dns解析功能。可选地，例如，当终端建立到边缘用户面功能的会话时，会话管理功能可以选择与该边
缘dns解析功能对应的中心dns解析功能。可选地，会话信息例如可以包含用户标识、ipv4地址和/或ipv6前缀、网络接入位置信息等。
34.然后，上述方法可以包括：由终端在访问边缘应用时，将dns请求直接发送到中心dns解析功能，或经由边缘dns解析功能转发给中心dns解析功能。
35.然后，上述方法可以包括：由中心dns解析功能选择dn-dns服务器，并将dns请求转发给选择的dn-dns服务器。可选地，中心dns解析功能可以根据预先配置的策略、接入位置、dn信息或网络切片信息中的一个或多个选择dn-dns服务器(在特殊情况下，中心dns解析功能可以与dn-dns服务器存在一一对应的关系)。可选地，dns请求可以携带应用访问授权所必须的信息(例如，终端用户id、ip地址、位置信息、dn信息、网络切片信息等中的一个或多个)。具体消息的封装可通过edns(dns扩展机制(extension mechanisms for dns))实现。
36.然后，上述方法可以包括：由dn-dns服务器在收到dns请求后，在dns请求与边缘应用相关联的情况下，向对应的dn安全控制器发送业务授权请求。可选地，业务授权请求可以包含当前用户会话及应用的必要信息(如用户id、用户ip地址、应用域名及ip地址等中的一个或多个)。可选地，在dns请求不与边缘应用相关联的情况下，如果dn-dns服务器当前没有对应的域名解析信息缓存，则将dns请求转发给上一级dns服务器，并且在收到响应消息后，将响应消息发送给中心dns解析功能。上一级dns服务器即为核心网中的在现有技术中向移动网用户提供服务时所使用的dns。
37.然后，上述方法可以包括：由dn安全控制器在收到业务授权请求后，向dn安全策略引擎请求最新安全策略，根据最新安全策略确定是否授权所述dns请求，并且在授权所述dns请求的情况下，向dn-dns服务器发送授权信息。可选地，在一个实施例中，在授权所述dns请求的情况下，dn安全控制器还可以向dn边缘节点中的安全策略执行网关发送策略指示。
38.然后，上述方法可以包括：由dn-dns服务器发送dns响应消息。可选地，在一个实施例中，dn-dns服务器可以在收到授权信息后，向中心dns解析功能发送dns响应消息。可选地，中心dns解析功能可以直接向终端发送dns响应，或者可以经由边缘dns解析功能向终端发送dns响应。
39.然后，上述方法可以包括：由终端在接收到dns响应消息之后，经由安全策略执行网关访问边缘应用。此时，安全策略执行网关可以执行对应的安全策略，并且终端访问边缘应用的流量可以流经安全策略执行网关。
40.在一个实施例中，可选地，由dn安全控制器根据最新安全策略确定是否授权所述dns请求的步骤可以包括：dn安全控制器基于边缘应用或边缘应用所涉及的资源来确定是否授权所述dns请求。
41.在一个实施例中，可选地，在终端建立到中心用户面功能的会话的情况下，可以由中心dns解析功能向会话管理功能请求进行上行分类器(ulcl)插入，从而建立终端与边缘用户面功能之间的本地分流连接(即，在路径中插入边缘用户面功能)。
42.在一个实施例中，可选地，在dn安全策略引擎中的策略发生改变的情况下，dn安全策略引擎可以向dn安全控制器发送更新通知，并且dn安全控制器可以向安全策略执行网关发送策略更新指示以改变在安全策略执行网关中执行的策略。
43.通过本技术的技术，可以通过5g网络与dn管理中心相关功能以及部署在dn边缘节
点处的安全策略执行网关配合，实现对用户访问边缘应用的认证授权及策略控制。主要的控制逻辑由5g网络和部署在更高层节点处的dn管理中心以及dn安全策略执行网关完成，无需边缘mec平台和mec应用执行应用授权，减少了对边缘节点的要求。
44.通过本技术的技术，未授权的访问流量可以直接被dn安全策略执行网关拦截，从而无需到达边缘app并由app进行认证授权。这进一步提升了app部署的安全性，避免被大量未授权访问流量冲击。
45.通过本技术的技术，可通过5g网络与dn功能配合，直接在用户的dns请求过程中实现对用户的认证授权，且支持根据需求基于应用或应用内的资源等多个维度开展访问授权。
46.通过本技术的技术，可以通过dn管理中心的应用访问授权机制，将策略控制直接发送给网关，对业务访问数据流进行控制，直接拦截未授权的访问数据，从而无需边缘应用进行认证授权处理。通过本技术的技术，可以支持应用、合作方灵活的访问策略配置。
47.以下，更详细地描述本技术的移动网络边缘应用访问授权方法。图2是用于描述本技术的移动网络边缘应用访问授权方法的系统框图，该框图与图1基本上对应。图3是本技术的移动网络边缘应用访问授权方法在5g网络中实施时的信令流程图。
48.上述方法的详细流程如下。注意，以下详细流程中的一些步骤并不是必要的，而是可选的步骤。
49.0a.ue建立到中心用户面功能(psa1)的连接，过程中会话管理功能(smf)将中心dns解析功能(以下，也可称为ldnsr)的地址作为该会话的dns服务器地址通过nas消息发给ue。
50.0b.ue建立到psa1的连接，并完成ulcl插入(ulcl配置好包含dns消息在内的分流规则)，建立到psa2的本地分流连接。过程中smf将边缘dns解析功能(以下，也可称为l-dns)的地址作为该会话的dns服务器地址通过nas消息发送给ue。
51.注意，上述步骤0a和0b分别对应不同的场景，可以执行这两个步骤中的任何一个。
52.smf根据既定策略(比如根据预先配置的策略，或根据用户当前接入位置、dnn(数据网络名称)、s-nssai(single network slice selection assistance information，单个网络切片选择辅助信息)等信息中的一个或组合)，选择ldnsr，并确定与ldnsr同步该用户的当前会话信息。(当smf与ldnsr合设时，不需要ldnsr选择；位置信息可以是一组或一个tai(跟踪区标识)、cellid)。
53.1a(该步骤1a对应于0a场景)。ue发起边缘应用访问，发送dns请求消息到ldnsr。
54.1b(该步骤1a对应于0b场景)。ue发起边缘应用访问，发送dns请求消息到l-dns服务器。
55.1c(步骤1b的后续步骤)。l-dns服务器将dns请求转发给ldnsr(具体部署时，根据dn、切片等划分情况，以及l-dns服务器及ldnsr的服务地理范围，某个ldnsr可对接多个l-dns服务器，一个l-dns服务器只对接一个ldnsr)。
56.2.ldnsr根据预先配置的策略或用户接入位置、dnn、s-nssai等信息选择dn-dns服务器(特殊情况下ldnsr只对接一个dn-dns服务器)，并将dns请求转发给该dn-dns服务器。dns请求消息中可以同时携带ue的id(如gpsi、supi)、ip地址、接入位置等必要信息，如果该dn-dns服务器为运营商统一部署的可信平台，则可同时携带dnn、s-nssai等信息。(具体消
息的封装可通过edns(dns扩展机制，extension mechanisms for dns)实现)。
57.3.dn-dns服务器收到dns请求后，首先判断该dns请求是否与边缘应用(或本地应用)相关，如果不是边缘应用，且当前没有对应的域名解析信息缓存，则将dns请求消息转发给上一级dns服务器。收到响应后，将响应消息发送给ldnsr。如果是边缘或本地应用，则向对应的dn安全控制器发送业务授权请求，请求中携带当前用户会话的必要信息(如用户id、用户ip地址、应用域名及ip地址等)。在一种部署场景下，如果dn-dns服务器为运营商统一部署的，dn安全控制器/策略引擎为第三方部署的，则dn-dns服务器应根据策略(如用户id、dnn、s-nssai、用户接入位置等)选择对应的dn安全控制器)。
58.3a/4/5.dn安全控制器收到请求后，向dn安全策略引擎请求最新安全策略(并订阅后续与该用户/会话相关的安全策略更新通知)，根据策略确定是否授权该业务访问。如果确定可授权该业务访问，则向网关发送针对该会话的最新策略指示，并向dn-dns服务器发送授权信息。(此处具体的策略授权的颗粒度可以基于应用，或者基于应用中的具体某项特定资源。dn安全策略引擎可支持通过提供对外的接口或web界面，由该边缘节点的客户或边缘应用提供方进行授权策略的写入、更新或删除等操作)。
59.6.dn-dns服务器收到授权信息后，向ldnsr发送dns响应消息。
60.7.在0a场景下，ldnsr发起ulcl插入请求，完成步骤7a、7b、7c(注：在0b场景下，不需要执行步骤7)。
61.注意，在0a场景下，终端直接建立ue-基站-psa1-internet的连接；在0a场景下，通过进行ulcl插入，中间插入了ulcl功能，实现了internet连接和本地分流连接，从而实现ue-基站-ulcl-psa1-internet和ue-基站-ulcl-psa2-dn边缘网络这两种连接方式。通过插入ulcl，ulcl功能能根据分类策略，对需要访问本地边缘节点的应用(比如eas-1)的流量进行本地分流。
62.通过实现0a和0b这两种场景，本技术的方案可以同时支持未作ulcl插入和已经做了ulcl插入的场景。
63.8a.在0a场景下，ldnsr通过psa1向ue发送dns响应。
64.8b/c.在0b场景下，ldnsr通过l-dns服务器、psa2向ue发送dns响应
65.9-10.ue访问边缘应用的流量流经dn安全策略执行网关，该网关执行对应的安全策略。注：网关放通授权流量，阻止未授权流量(如根据源ip及目标ip匹配关系)。
66.11-13.在dn安全策略引擎中的相关策略发生改变(比如管理人员、第三方通过接口、门户对相关策略进行更新操作)时，dn安全策略引擎向dn安全控制器发送通知，dn安全控制器向对应的安全策略执行网关下发策略更新指示，由此安全策略执行网关执行相关策略，阻止未授权流量。
67.在一个实施例中，dn安全控制器在步骤3a中从策略引擎获取的授权策略是有时效性的(比如只授权在工作时间段访问)，授权时间结束后，dn安全控制器向安全策略执行网关发送策略更新指示，取消之前的流量访问授权。
68.图4示出了能够实现根据本公开的实施例的计算设备1200的示例性配置。
69.计算设备1200是能够应用本公开的上述方面的硬件设备的实例。计算设备1200可以是被配置为执行处理和/或计算的任何机器。计算设备1200可以是但不限制于工作站、服务器、台式计算机、膝上型计算机、平板计算机、个人数据助手(pda)、智能电话、车载计算机
或以上组合。
70.如图4所示，计算设备1200可以包括可以经由一个或多个接口与总线1202连接或通信的一个或多个元件。总线1202可以包括但不限于，工业标准架构(industry standard architecture，isa)总线、微通道架构(micro channel architecture，mca)总线、增强isa(eisa)总线、视频电子标准协会(vesa)局部总线、以及外设组件互连(pci)总线等。计算设备1200可以包括例如一个或多个处理器1204、一个或多个输入设备1206以及一个或多个输出设备1208。一个或多个处理器1204可以是任何种类的处理器，并且可以包括但不限于一个或多个通用处理器或专用处理器(诸如专用处理芯片)。处理器1204例如可以被配置为实现如上所述的移动网络边缘应用访问授权方法。输入设备1206可以是能够向计算设备输入信息的任何类型的输入设备，并且可以包括但不限于鼠标、键盘、触摸屏、麦克风和/或远程控制器。输出设备1208可以是能够呈现信息的任何类型的设备，并且可以包括但不限于显示器、扬声器、视频/音频输出终端、振动器和/或打印机。
71.计算设备1200还可以包括或被连接至非暂态存储设备1214，该非暂态存储设备1214可以是任何非暂态的并且可以实现数据存储的存储设备，并且可以包括但不限于盘驱动器、光存储设备、固态存储器、软盘、柔性盘、硬盘、磁带或任何其他磁性介质、压缩盘或任何其他光学介质、缓存存储器和/或任何其他存储芯片或模块、和/或计算机可以从其中读取数据、指令和/或代码的其他任何介质。计算设备1200还可以包括随机存取存储器(ram)1210和只读存储器(rom)1212。rom 1212可以以非易失性方式存储待执行的程序、实用程序或进程。ram 1210可提供易失性数据存储，并存储与计算设备1200的操作相关的指令。计算设备1200还可包括耦接至数据链路1218的网络/总线接口1216。网络/总线接口1216可以是能够启用与外部装置和/或网络通信的任何种类的设备或系统，并且可以包括但不限于调制解调器、网络卡、红外线通信设备、无线通信设备和/或芯片集(诸如蓝牙
tm
设备、802.11设备、wifi设备、wimax设备、蜂窝通信设施等)。
72.本公开可以被实现为装置、系统、集成电路和非瞬时性计算机可读介质上的计算机程序的任何组合。可以将一个或多个处理器实现为执行本公开中描述的部分或全部功能的集成电路(ic)、专用集成电路(asic)或大规模集成电路(lsi)、系统lsi，超级lsi或超lsi组件。
73.本公开包括软件、应用程序、计算机程序或算法的使用。可以将软件、应用程序、计算机程序或算法存储在非瞬时性计算机可读介质上，以使诸如一个或多个处理器的计算机执行上述步骤和附图中描述的步骤。例如，一个或多个存储器以可执行指令存储软件或算法，并且一个或多个处理器可以关联执行该软件或算法的一组指令，以根据本公开中描述的实施例提供各种功能。
74.软件和计算机程序(也可以称为程序、软件应用程序、应用程序、组件或代码)包括用于可编程处理器的机器指令，并且可以以高级过程性语言、面向对象编程语言、功能性编程语言、逻辑编程语言或汇编语言或机器语言来实现。术语“计算机可读介质”是指用于向可编程数据处理器提供机器指令或数据的任何计算机程序产品、装置或设备，例如磁盘、光盘、固态存储设备、存储器和可编程逻辑设备(pld)，包括将机器指令作为计算机可读信号来接收的计算机可读介质。
75.举例来说，计算机可读介质可以包括动态随机存取存储器(dram)、随机存取存储
器(ram)、只读存储器(rom)、电可擦只读存储器(eeprom)、紧凑盘只读存储器(cd-rom)或其他光盘存储设备、磁盘存储设备或其他磁性存储设备，或可以用于以指令或数据结构的形式携带或存储所需的计算机可读程序代码以及能够被通用或专用计算机或通用或专用处理器访问的任何其它介质。如本文中所使用的，磁盘或盘包括紧凑盘(cd)、激光盘、光盘、数字多功能盘(dvd)、软盘和蓝光盘，其中磁盘通常以磁性方式复制数据，而盘则通过激光以光学方式复制数据。上述的组合也包括在计算机可读介质的范围内。
76.提供本公开的主题作为用于执行本公开中描述的特征的装置、系统、方法和程序的示例。但是，除了上述特征之外，还可以预期其他特征或变型。可以预期的是，可以用可能代替任何上述实现的技术的任何新出现的技术来完成本公开的部件和功能的实现。
77.另外，以上描述提供了示例，而不限制权利要求中阐述的范围、适用性或配置。在不脱离本公开的精神和范围的情况下，可以对所讨论的元件的功能和布置进行改变。各种实施例可以适当地省略、替代或添加各种过程或部件。例如，关于某些实施例描述的特征可以在其他实施例中被结合。
78.另外，在本公开的描述中，术语“第一”、“第二”、“第三”等仅用于描述目的，而不能理解为指示或暗示相对重要性和顺序。
79.类似地，虽然在附图中以特定次序描绘了操作，但是这不应该被理解为要求以所示的特定次序或者以顺序次序执行这样的操作，或者要求执行所有图示的操作以实现所希望的结果。在某些情况下，多任务处理和并行处理可以是有利的。