一种安全防护方法、装置、设备及介质与流程

本发明涉及移动通信安全领域，特别涉及一种安全防护方法、装置、设备及介质。

背景技术：

1、当前，5g(5th generation mobile communication technology，第五代移动通信技术)中终端的ipv6地址由核心网给其分配，具体是由会话管理网元先给终端分配接口标识，终端根据该接口标识结合自身mac((media access control，媒体访问控制)地址共同生成一个新的64bit接口标识，同时终端获取到由核心网分配的64bit前缀，前缀和接口标识相结合组成终端的ipv6地址，终端可使用该地址通过核心网访问网络设备的互联网数据网络；核心网中用户平面功能网元是核心网数据平面与外部互联网的接口，用户平面功能网元会对终端发起的数据包在解封装后进行报文检测(也即校验64bit前缀)，通过报文检测匹配出来的规则去进行路由转发、qos(quality of service，服务质量)服务、计费等。

2、运营商现有的处理流程在针对ipv6用户时，主要是校验用户源地址的前64bitipv6前缀，因此当终端的64bit前缀被伪造者截获得到时，伪造者可以根据ipv6前缀随意伪造终端的ipv6地址，然后使用该终端的ipv6地址去访问互联网数据，可以偷取数据流量，也会使原终端用户产生额外的计费；进一步的，伪造者如果利用64bit前缀伪造大量的虚假用户去访问互联网数据，会造成占用核心网用户面带宽，以及对互联网服务器形成ddos(distributed denial of service，分布式阻断服务)攻击的严重影响。

3、综上所述，如何防止伪造者伪造大量虚假用户是当前亟待解决的问题。

技术实现思路

1、有鉴于此，本发明的目的在于提供一种安全防护方法、装置、设备及介质，能够防止伪造者伪造大量虚假用户，其具体方案如下：

2、第一方面，本技术公开了一种安全防护方法，应用于用户平面功能网元，包括：

3、获取发送至本地的用于访问目标网络设备的各数据包；

4、校验所述各数据包中首数据包对应的首ipv6地址中的首ipv6前缀和对应的首基站地址，与会话管理网元下发的目标基站地址和目标ipv6前缀是否一致；ipv6地址包括ipv6前缀和接口标识；一个用户对应一个ipv6前缀；一个接口标识对应一个终端；

5、若一致，则校验所述目标基站地址和所述首ipv6地址，与所述各数据包中后续数据包对应的后续基站地址和后续ipv6地址是否一致，若一致，则将所述后续数据包发送至所述目标网络设备，若不一致，则丢弃所述后续数据包，以确保发送至所述目标网络设备的所述后续数据包都是由发送所述首数据包的用户通过发送所述首数据包的终端基于所述目标基站发送的；

6、若不一致，则将所述各数据包中下一数据包作为所述首数据包，并跳转至所述校验所述各数据包中首数据包对应的首ipv6地址中的首ipv6前缀和对应的首基站地址，与会话管理网元下发的目标基站地址和目标ipv6前缀是否一致的步骤，直至所述各数据包校验完成。

7、可选的，所述获取发送至本地的用于访问目标网络设备的各数据包之前，还包括：

8、在目标用户通过目标终端基于所述目标基站接入会话管理网元并发起会话请求后，获取会话管理网元发送的所述目标基站的所述目标基站地址和所述目标ipv6前缀；

9、将所述目标ipv6前缀发送至所述目标终端，以便所述目标终端为所述目标用户分配所述目标ipv6前缀，并将所述目标终端提供的目标接口标识和所述目标ipv6前缀结合得到目标ipv6地址，然后所述目标终端基于所述目标ipv6地址构建初始数据包，并将所述初始数据包通过所述目标基站发送至所述用户平面功能网元；其中，所述目标基站获取所述初始数据包后，将所述目标基站地址作为源地址添加至所述初始数据包中得到目标数据包，并将所述目标数据包发送至所述用户平面功能网元；所述目标接口标识为所述目标终端根据终端媒体访问控制地址和所述会话管理网元为所述目标终端分配的初始接口标识生成的接口标识。

10、可选的，所述获取会话管理网元发送的所述目标基站地址和所述目标ipv6前缀之后，还包括：

11、基于所述目标基站地址确定目标基站，并建立所述目标基站与所述用户平面功能网元之间的目标隧道，以便所述目标基站通过目标隧道将所述目标数据包发送至所述用户平面功能网元。

12、可选的，所述将所述目标ipv6前缀发送至所述目标终端，包括：

13、获取所述目标终端发送路由器请求，并基于所述路由器请求返回路由器通告至所述目标终端；所述路由器通告包括所述目标ipv6前缀。

14、可选的，所述获取会话管理网元发送的所述目标基站的所述目标基站地址和所述目标ipv6前缀，包括：

15、获取会话管理网元发送的会话建立消息，并获取所述会话建立消息的第一字段携带的所述目标基站的目标基站地址和所述会话建立消息的第二字段携带的目标ipv6前缀。

16、可选的，所述获取发送至本地的用于访问目标网络设备的各数据包之前，还包括：

17、获取所述会话管理网元下发的携带所述目标基站地址的目标字段，并基于所述目标字段获取所述目标基站地址；所述目标字段为复用的所述会话管理网元和所述用户平面功能网元之间的原有字段。

18、第二方面，本技术公开了一种安全防护装置，应用于用户平面功能网元，包括：

19、数据包获取模块，用于获取发送至本地的用于访问目标网络设备的各数据包；

20、第一校验模块，用于校验所述各数据包中首数据包对应的首ipv6地址中的首ipv6前缀和对应的首基站地址，与会话管理网元下发的目标基站地址和目标ipv6前缀是否一致；ipv6地址包括ipv6前缀和接口标识；一个用户对应一个ipv6前缀；一个接口标识对应一个终端；

21、第二校验模块，用于若一致，则校验所述目标基站地址和所述首ipv6地址，与所述各数据包中后续数据包对应的后续基站地址和后续ipv6地址是否一致，若一致，则将所述后续数据包发送至所述目标网络设备，若不一致，则丢弃所述后续数据包，以确保发送至所述目标网络设备的所述后续数据包都是由发送所述首数据包的用户通过发送所述首数据包的终端基于所述目标基站发送的；

22、首数据包确定模块，用于将所述各数据包中下一数据包作为所述首数据包，并跳转至所述校验所述各数据包中首数据包对应的首ipv6地址中的首ipv6前缀和对应的首基站地址，与会话管理网元下发的目标基站地址和目标ipv6前缀是否一致的步骤，直至所述各数据包校验完成。

23、可选的，所述安全防护装置，还包括：

24、信息获取模块，用于在目标用户通过目标终端基于所述目标基站接入会话管理网元并发起会话请求后，获取会话管理网元发送的所述目标基站的所述目标基站地址和所述目标ipv6前缀；

25、信息发送模块，用于将所述目标ipv6前缀发送至所述目标终端，以便所述目标终端为所述目标用户分配所述目标ipv6前缀，并将所述目标终端提供的目标接口标识和所述目标ipv6前缀结合得到目标ipv6地址，然后所述目标终端基于所述目标ipv6地址构建初始数据包，并将所述初始数据包通过所述目标基站发送至所述用户平面功能网元；其中，所述目标基站获取所述初始数据包后，将所述目标基站地址作为源地址添加至所述初始数据包中得到目标数据包，并将所述目标数据包发送至所述用户平面功能网元。

26、第三方面，本技术公开了一种电子设备，包括：

27、存储器，用于保存计算机程序；

28、处理器，用于执行所述计算机程序，以实现前述公开的安全防护方法。

29、第四方面，本技术公开了一种计算机可读存储介质，用于保存计算机程序；其中，所述计算机程序被处理器执行时实现前述公开的安全防护方法。

30、可见，本技术获取发送至本地的用于访问目标网络设备的各数据包；校验所述各数据包中首数据包对应的首ipv6地址中的首ipv6前缀和对应的首基站地址，与会话管理网元下发的目标基站地址和目标ipv6前缀是否一致；ipv6地址包括ipv6前缀和接口标识；一个用户对应一个ipv6前缀；一个接口标识对应一个终端；若一致，则校验所述目标基站地址和所述首ipv6地址，与所述各数据包中后续数据包对应的后续基站地址和后续ipv6地址是否一致，若一致，则将所述后续数据包发送至所述目标网络设备，若不一致，则丢弃所述后续数据包，以确保发送至所述目标网络设备的所述后续数据包都是由发送所述首数据包的用户终端基于所述目标基站发送的；若不一致，则将所述各数据包中下一数据包作为所述首数据包，并跳转至所述校验所述各数据包中首数据包对应的首ipv6地址中的首ipv6前缀和对应的首基站地址，与会话管理网元下发的目标基站地址和目标ipv6前缀是否一致的步骤，直至所述各数据包校验完成。由此可见，将ipv6前缀校验通过的首数据包的首ipv6地址(包括首ipv6前缀和首接口标识)用于后续数据包的校验，使得发送至所述目标网络设备的所述后续数据包都是由发送所述首数据包的用户终端基于所述目标基站发送的，此时只会获取一个用户通过一个终端基于所述目标基站发送的数据包，因此不会获取其它用户通过其它终端基于所述目标基站发送的数据包，所以不会存在大量虚假用户，只会有一个用户存在。