网元的安全认证方法、系统和相关设备与流程

本发明涉及网络安全领域，特别涉及一种网元的安全认证方法、系统和相关设备。

背景技术：

1、在运营商5g网络中，5g下沉的边缘网元接入网络，可直接访问电信5g核心网。目前，未对这类网元进行准入认证和安全纳管。当网络攻击来临，会给5g网络带来巨大的安全风险，影响电信5g网络服务。

技术实现思路

1、本发明实施例所要解决的一个技术问题是：如何提高网络的安全性。

2、根据本发明一些实施例的第一个方面，提供一种网元的安全认证方法，包括：接入管理网关接收具有嵌入式芯片卡的网元发送的用户签约数据集下载请求，其中，用户签约数据集下载请求包括嵌入式芯片卡的卡标识和卡证书信息、以及网元的设备标识；接入管理网关对卡证书信息进行合法性校验；接入管理网关在合法性校验通过的情况下，记录卡标识和设备标识之间的绑定关系；接入管理网关指示网元下载用户签约数据集到嵌入式芯片卡中；接入管理网关接收网元发起的核心网访问请求，其中，核心网访问请求包括卡标识、设备标识和用户签约数据集的证书信息；接入管理网关在卡标识和设备标识的绑定关系正确的情况下，基于用户签约数据集的证书信息进行认证；在对证书信息的认证通过的情况下，接入管理网关允许网元接入核心网。

3、在一些实施例中，接入管理网关指示网元设备下载用户签约数据集到嵌入式芯片卡中包括：接入管理网关向网元发送安全通道建立请求，安全通道建立请求中包括用户签约数据集的启用指示和下载通知，以便网元与接入管理网关建立安全通道、并通过安全通道下载和启用用户签约数据集。

4、在一些实施例中，安全认证方法还包括：接入管理网关判断网元是否已加载用户签约数据集、以及网元加载的用户签约数据集是否有效，以便在网元未加载用户签约数据集、或者网元加载的用户签约数据集过期的情况下，指示网元设备下载用户签约数据集到嵌入式芯片卡中。

5、在一些实施例中，核心网为5g sa核心网。

6、根据本发明一些实施例的第二个方面，提供一种网元的安全认证方法，包括：具有嵌入式芯片卡的网元向接入管理网关发送用户签约数据集下载请求，其中，用户签约数据集下载请求包括嵌入式芯片卡的卡标识和卡证书信息、以及网元的设备标识，以便接入管理网关对卡证书信息进行合法性校验，并在合法性校验通过的情况下，记录卡标识和设备标识之间的绑定关系；网元从接入管理网关下载用户签约数据集，存储到嵌入式芯片卡中；网元向接入管理网关发起核心网访问请求，其中，核心网访问请求包括卡标识、设备标识和用户签约数据集的证书信息，以便接入管理网关在卡标识和设备标识的绑定关系正确的情况下，基于用户签约数据集的证书信息进行认证，并在对证书信息的认证通过的情况下，允许网元接入核心网。

7、在一些实施例中，网元从接入管理网关下载用户签约数据集，存储到嵌入式芯片卡中包括：网元接收接入管理网关发送的安全通道建立请求，其中，安全通道建立请求中包括用户签约数据集的启用指示和下载通知；网元与接入管理网关建立安全通道；网元通过安全通道下载用户签约数据集到嵌入式芯片卡中、并启用下载的用户签约数据集。

8、在一些实施例中，安全认证方法还包括：在网元中存在过期的用户签约数据集的情况下，网元删除过期的用户签约数据集，以启用下载的用户签约数据集。

9、在一些实施例中，网元为5g下沉边缘接入网元。

10、在一些实施例中，网元为upf、amf、smf、pcf或udm。

11、根据本发明一些实施例的第三个方面，提供一种接入管理网关，包括：下载请求接收模块，被配置为接收具有嵌入式芯片卡的网元发送的用户签约数据集下载请求，其中，用户签约数据集下载请求包括嵌入式芯片卡的卡标识和卡证书信息、以及网元的设备标识；卡证书校验模块，被配置为对卡证书信息进行合法性校验；绑定关系记录模块，被配置为在合法性校验通过的情况下，记录卡标识和设备标识之间的绑定关系；下载指示模块，被配置为指示网元下载用户签约数据集到嵌入式芯片卡中；访问请求接收模块，被配置为接收网元发起的核心网访问请求，其中，核心网访问请求包括卡标识、设备标识和用户签约数据集的证书信息；用户签约数据集认证模块，被配置为在卡标识和设备标识的绑定关系正确的情况下，基于用户签约数据集的证书信息进行认证；接入允许模块，被配置为在对证书信息的认证通过的情况下，允许网元接入核心网。

12、在一些实施例中，下载指示模块进一步被配置为向网元发送安全通道建立请求，安全通道建立请求中包括用户签约数据集的启用指示和下载通知，以便网元与接入管理网关建立安全通道、并通过安全通道下载和启用用户签约数据集。

13、在一些实施例中，接入管理网关还包括：判断模块，被配置为判断网元是否已加载用户签约数据集、以及网元加载的用户签约数据集是否有效，以便下载指示模块在网元未加载用户签约数据集、或者网元加载的用户签约数据集过期的情况下，指示网元设备下载用户签约数据集到嵌入式芯片卡中。

14、根据本发明一些实施例的第四个方面，提供一种接入管理网关，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器中的指令，执行前述安全认证方法。

15、根据本发明一些实施例的第五个方面，提供一种网元，具有嵌入式芯片卡，包括：下载请求发送模块，被配置为向接入管理网关发送用户签约数据集下载请求，其中，用户签约数据集下载请求包括嵌入式芯片卡的卡标识和卡证书信息、以及网元的设备标识，以便接入管理网关对卡证书信息进行合法性校验，并在合法性校验通过的情况下，记录卡标识和设备标识之间的绑定关系；下载模块，被配置为从接入管理网关下载用户签约数据集，存储到嵌入式芯片卡中；访问请求发起模块，被配置为向接入管理网关发起核心网访问请求，其中，核心网访问请求包括卡标识、设备标识和用户签约数据集的证书信息，以便接入管理网关在卡标识和设备标识的绑定关系正确的情况下，基于用户签约数据集的证书信息进行认证，并在对证书信息的认证通过的情况下，允许网元接入核心网。

16、在一些实施例中，下载模块进一步被配置为接收接入管理网关发送的安全通道建立请求，其中，安全通道建立请求中包括用户签约数据集的启用指示和下载通知；与接入管理网关建立安全通道；通过安全通道下载用户签约数据集到嵌入式芯片卡中、并启用下载的用户签约数据集。

17、在一些实施例中，网元还包括：用户签约数据集管理模块，被配置为在网元中存在过期的用户签约数据集的情况下，删除过期的用户签约数据集，以启用下载的用户签约数据集。

18、在一些实施例中，网元为5g下沉边缘接入网元。

19、在一些实施例中，网元为upf、amf、smf、pcf或udm。

20、在一些实施例中，网元上的嵌入式芯片卡为uicc卡。

21、根据本发明一些实施例的第六个方面，提供一种网元，包括：存储器；以及耦接至存储器的处理器，处理器被配置为基于存储在存储器中的指令，执行前述安全认证方法。

22、根据本发明一些实施例的第七个方面，提供一种安全认证系统，包括：前述任意一种接入管理网关；以及前述任意一种网元。

23、根据本发明一些实施例的第八个方面，提供一种计算机可读存储介质，其上存储有计算机程序，该程序被处理器执行时实现前述任意一种安全认证方法。

24、上述发明中的一些实施例具有如下优点或有益效果。本发明的实施例通过引入接入管理网关，利用嵌入式uicc远程配置管理技术，网元设备接入核心网进行安全认证和纳管。从而在通过安全认证后，网元设备可以通过网关透传信令数据给核心网，有效降低了网元对核心网的安全交互风险，提高系统及整体网络的安全性。

25、通过以下参照附图对本发明的示例性实施例的详细描述，本发明的其它特征及其优点将会变得清楚。