本發明專利技術提出了一種基于5G網絡切片的IoT安全驗證框架及其服務方法。在此框架下,物聯網架構包括用戶設備,接入網絡,核心網絡和物聯網服務器,所述用戶設備按所需服務類型不同被分成不同的網絡切片,再通過接入網絡接入核心網絡,與數據網絡連接并與物聯網服務器通信,本發明專利技術通過引入隱私保護切片選擇機制,允許霧節點選擇適當的網絡切片進行數據轉發,并隱藏用戶的訪問服務類型。此外還實現了面向服務的匿名認證和密鑰協商,確保用戶的匿名性和真實性以及服務數據的保密性。基于此框架,用戶可以基于5G核心網絡和物聯網服務器的授權,對物聯網服務器進行匿名認證,并構建安全數據通道,以訪問緩存在本地霧上并在遠程物聯網服務器上維護的服務數據。
An IOT security verification framework and its service method based on 5g network slice
【技術實現步驟摘要】
一種基于5G網絡切片的IoT安全驗證框架及其服務方法
本專利技術涉及一種支持驗證的基于5G網絡切片的物聯網架構及其服務方法,屬于無線通信
技術介紹
5G通信技術引入網絡切片和霧計算,為物聯網中的定制服務帶來了各種獨特的優勢,但它們在安全性和隱私保護方面也會引發相當多的問題。首先,物聯網服務和5G基礎設施(特定霧節點)都面臨著對隱私、完整性、可用性和身份驗證的嚴重威脅,例如竊聽攻擊、冒充攻擊、追蹤攻擊和篡改攻擊。其次,很難保證用戶以真實信息訪問5G網絡和物聯網服務。例如,某些用戶會假裝合法的用戶訪問核心網絡并享受物聯網服務而無需收費。此外,物聯網服務提供商或霧節點會竊取用戶的隱私信息。簡而言之,在為單個服務構建邏輯網絡切片和霧計算之后,支持5G的物聯網缺乏足夠的安全性和隱私保障。已有的基于5G網絡切片架構的5G網絡安全驗證機制,普遍著重于切片選擇的策略,而忽略了使用網絡切片的面向服務的身份驗證在5G網絡中用戶設備和IoT服務器之間建立安全通信。另外,現有的安全通信協議是基于4G/LTE網絡架構中的機器類型通信(MTC)安全網絡認證,無法滿足5G-IoT大規模機器類通信對帶寬、QoS和安全性等方面的要求,還需要基于網絡切片架構考慮網絡切片選擇的安全保護問題。根據當前署名專利技術人的工作,現有技術中在基于網絡切片的物聯網服務安全驗證方面尚存在以下任務尚未解決:(1)保護用戶切片選擇隱私,避免用戶服務偏好隱私的被霧節點和外來攻竊聽;(2)面向服務的匿名身份驗證,使用戶能夠安全地訪問委托的物聯網服務;(3)面向服務的密鑰協議,為信息交換建立安全通道。
技術實現思路
專利技術目的:為了解決現有技術中提出的問題,本專利技術提出一種有效且安全的面向服務的驗證框架(EfficientandSecurenetwork-SlicedandService-orientedAuthenticationframework,ES3A)及其服務方法,支持基于5G網絡切片的物聯網服務和霧計算。技術方案:根據本專利技術的第一方面,提供一種基于5G網絡切片的IoT安全驗證框架,包括用戶設備,接入網絡,核心網絡和物聯網服務器,所述用戶設備按所需服務類型不同被分成不同的網絡切片,再通過接入網絡接入核心網絡,與數據網絡連接并與物聯網服務器通信,其中,所述接入網絡被配置為:為每個網絡切片維護一個加密保護的配置NSSAI(PSi,ACFi),用于在選擇服務包網絡切片時使用,其中PSi為切片/服務類型SSTs的加密值,ACFi為網絡切片特征值SAIS的加密值;以及,生成會話協商密鑰,用于在物聯網服務器和用戶設備之間進行會話協商;所述核心網絡被配置為:接收用戶設備的注冊請求和服務請求,對切片/服務類型及其配置的網絡切片的特征值進行加密,與用戶設備進行服務認證并向用戶設備發送單個網絡服務切片選擇關聯信息S-NSSAIS;所述物聯網服務器被配置為:基于用戶設備的請求生成服務依據,用于用戶設備獲取S-NSSAIS;以及根據用戶設備的密鑰驗證消息為用戶設備提供物聯網服務。根據本專利技術的第二方面,提供一種基于5G網絡切片的IoT安全驗證框架的服務方法,包括以下階段:接入5G網絡階段:用戶設備向核心網絡發送用戶注冊信息,核心網絡和用戶設備之間進行服務認證并向用戶設備發送訂閱的S-NSSAIS信息;服務授權階段:用戶設備提出服務請求,把核心網絡生成的部分服務依據發送給物聯網服務器,物聯網服務器把生成的服務依據發送給用戶設備,用戶設備由此獲得允許的S-NSSAIS;服務驗證階段:用戶設備生成受保護的S-NSSAIS和密鑰驗證消息,分別發送給接入網絡和物聯網服務器,物理網服務器根據驗證消息并給用戶設備提供物聯網服務;密鑰協商階段:接入網絡生成會話協商密鑰,在物聯網服務器和用戶設備之間進行會話協商,以保證用戶和服務器之間的安全通信。有益效果:本專利技術基于5G網絡切片為物聯網架構提出了一種有效且安全的面向服務的認證框架及其服務方法。在此框架下,引入了隱私保護切片選擇機制,允許霧節點選擇適當的網絡切片進行數據轉發,并隱藏用戶的訪問服務類型。此外,實現了面向服務的匿名認證和密鑰協商,以確保用戶的匿名性和真實性以及服務數據的保密性。基于此框架,用戶可以基于5G核心網絡和物聯網服務器的授權,對物聯網服務器進行匿名認證,并構建安全數據通道,以訪問緩存在本地霧上并在遠程物聯網服務器上維護的服務數據。附圖說明圖1為本專利技術的基于5G網絡切片的物聯網架構;圖2為本專利技術的ES3A框架信息流程圖;圖3為本專利技術的IoT安全驗證框架服務方法流程圖。具體實施方式下面結合附圖對本專利技術的技術方案作進一步說明。應當了解,以下提供的實施例僅是為了詳盡地且完全地公開本專利技術,并且向所屬
的技術人員充分傳達本專利技術的技術構思,本專利技術還可以用許多不同的形式來實施,并且不局限于此處描述的實施例。對于表示在附圖中的示例性實施方式中的術語并不是對本專利技術的限定。為了支持5G網絡中的不同物聯網服務,本專利技術引入網絡切片架構,實現了公共基礎設施上資源的分離和優先級劃分,包括網絡功能,計算資源,虛擬網絡功能和無線接入技術設置。5G通信設備根據其所需的服務類型被分成不同的網絡切片,以支持各種類型的物聯網服務。參照圖1,本專利技術的物聯網架構由四個部分組成:用戶設備,接入網絡,核心網絡和物聯網服務器,所述網絡架構根據用戶設備UE所需服務類型不同,如機器類通信、移動服務、車輛通信服務等,把它們分成不同的網絡切片,再通過接入網絡接入核心網絡,如圖1所示。大規模用戶設備通過核心網絡和接入網絡與數據網絡連接(例如,E-UTRAN,WLAN,WiMAX或其他非3GPP接入網絡),并與IoT服務器通信。所述核心網絡中的控制平面功能(ControlPlaneFunction,CPF)與用戶平面功能(UserPlaneFunction,UPF)分離,以允許獨立的可擴展性和靈活部署。UPF負責包括數據轉發,流量使用報告,上行鏈路和下行鏈路中的傳輸級別分組標記等。CPF通過在會話中提供一組規則來控制UPF中的分組處理,即,用于分組處理的轉發動作規則,用于分組的分組檢測規則檢查,QoS實施規則,以對數據包實施QoS策略。所述CPF包括多種功能,包括訪問和移動管理功能(AccessandMobilityManagementFunction,AMF),會話管理功能(SessionManagementFunction,SMF),策略控制功能(PolicyControlFunction,PCF),網絡片選擇功能(NetworkSliceSelectionFunction,NSSF),統一數據管理(UnifiedDataManager,UDM),認證服務器功能(AuthenticationServerFunction,AUSF)等,具有各自的功能。具體而言,AMF管理用戶注冊,連接,可達性和移動性,訪問認證和授權;SMF包括會話管理和漫游功能;PCF支持統一的本文檔來自技高網...
【技術保護點】
1.一種基于5G網絡切片的IoT安全驗證框架,其特征在于,包括用戶設備,接入網絡,核心網絡和物聯網服務器,所述用戶設備按所需服務類型不同被分成不同的網絡切片,再通過接入網絡接入核心網絡,與數據網絡連接并與物聯網服務器通信,其中,所述接入網絡被配置為:為每個網絡切片維護一個加密保護的配置NSSAI(PS
【技術特征摘要】
1.一種基于5G網絡切片的IoT安全驗證框架,其特征在于,包括用戶設備,接入網絡,核心網絡和物聯網服務器,所述用戶設備按所需服務類型不同被分成不同的網絡切片,再通過接入網絡接入核心網絡,與數據網絡連接并與物聯網服務器通信,其中,所述接入網絡被配置為:為每個網絡切片維護一個加密保護的配置NSSAI(PSi,ACFi),用于在選擇服務包網絡切片時使用,其中PSi為切片/服務類型SSTs的加密值,ACFi為網絡切片特征值SAIS的加密值;以及,生成會話協商密鑰,用于在物聯網服務器和用戶設備之間進行會話協商;
所述核心網絡被配置為:接收用戶設備的注冊請求和服務請求,對切片/服務類型及其配置的網絡切片的特征值進行加密,與用戶設備進行服務認證并向用戶設備發送單個網絡服務切片選擇關聯信息S-NSSAIS;
所述物聯網服務器被配置為:基于用戶設備的請求生成服務依據,用于用戶設備獲取S-NSSAIS;以及根據用戶設備的密鑰驗證消息為用戶設備提供物聯網服務。
2.根據權利要求1所述的基于5G網絡切片的IoT安全驗證框架,其特征在于,所述核心網絡控制平面功能包括:
訪問和移動管理功能AMF,用于管理用戶注冊,連接,可達性和移動性,訪問認證和授權;
會話管理功能SMF,用于完成會話管理和漫游功能;
策略控制功能PCF,支持統一的政策框架來管理網絡行為;
網絡片選擇功能NSSF,選擇為用戶服務的網絡切片實例集,并確定與適用的網絡切片實例對應的網絡切片選擇關聯信息;
統一數據管理UDM,負責身份驗證憑據生成和訂閱管理;以及
認證服務器功能AUSF,提供對服務器的認證功能。
3.根據權利要求1所述的基于5G網絡切片的IoT安全驗證框架,其特征在于,所述核心網絡用戶平面功能包括:數據轉發,流量使用報告,上行鏈路和下行鏈路中的傳輸級別分組標記,所述分組處理經由所述控制平面功能通過在會話中提供一組規則來控制。
4.根據權利要求3所述的基于5G網絡切片的IoT安全驗證框架,其特征在于,所述一組規則包括:用于分組處理的轉發動作規則,用于分組的分組檢測規則檢查;以及QoS實施規則,用于對數據包實施QoS策略。
5.一種根據權利要求1-4中任一項所述的IoT安全驗證框架的服務方法,其特征在于,包括以下階...
【專利技術屬性】
技術研發人員:郭永安,鐘耀慧,喬露雨,張天宇,朱洪波,楊龍祥,
申請(專利權)人:邊緣智能研究院南京有限公司,南京郵電大學,
類型:發明
國別省市:江蘇;32
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。