本發明提供一種基于NRF權限等級的5G核心網數據防護方法，通過網絡管理員給連接上NRF的不同公用陸地移動網和切片網絡下的NF配置不同的權限等級，來限制NF的可查詢范圍，當NF查詢其他NF數據時候，只返回允許查詢部分數據，對不允許查詢的數據返回錯誤信息，并給出錯誤提示。這樣既保證了NRF在5GC中的正常工作，方便網絡管理員對NF的管理，又保證了5GC中NF的數據安全。

技術領域

本發明涉及通信技術領域，特別涉及一種基于NRF權限等級的5G核心網數據防護方法。

背景技術

在基于服務架構SBA和切片的5G核心網(簡稱5GC)中，新增了很多NF(網絡功能實體)，每個NF可能屬于不同切片，因此網絡管理變得復雜。在5GC中，所有NF在初始加入5GC時候都會向網絡資源管理功能實體(簡稱NRF)注冊和上報自身NF的地址信息和數據，并在一定的時間間隔里，定時上報更新NRF中的數據。NF之間互相發現和選擇過程，也需要向NRF獲取需要通信的對端NF地址信息和數據。根據每個NF通信的需要，會通過NRF發現合適的NF或者一個NF集合，然后選擇一個合適的對端NF進行通信。在NRF中存儲了5GC中大量NF的數據信息，一旦NRF數據泄露，將會危及到整個5GC網絡的安全。

在3GPP協議的TS 29510-g20協議中，定義了NF向NRF查詢數據的消息，比如NFDiscover、NFListRetrieval、NFProfileRetrieval等。在協議中允許NF消費者通過NRF發現5GC中其他NF數據。雖然在TS 29510-g20和TS 33501-g00中定義了NRF安全相關內容，但僅限于網絡通信鏈接層面安全，因此一個5GC中任何一個NF(也可能是偽裝的NF)，通過了NRF的初始安全驗證后，將獲得查詢5GC中其他NF數據權限，這將會危及其他NF和5GC的安全。3GPP協議中NRF現有的安全規范是基于通信鏈路層面加密和身份驗證，一旦惡意攻擊人員利用NF或偽裝的NF通過了通信鏈路層面的安全驗證，將能通過NRF查詢獲得5GC中大量NF的數據信息，將嚴重威脅到5GC安全。

在目前公開的各種5GC網絡NRF網元相關的專利方案中，例如：中國專利申請公開號為CN109413667A的“一種5G網元任務處理方法及系統、NRF、存儲介質”、中國專利申請公開號為CN110086652A的“一種針對5G核心網中服務網元的管理系統及其方法”、中國專利申請公開號為CN110505318A的“統一資源定位符尋址方法及裝置、網絡系統”，均為提出了NRF網元的管理和NF發現的實現方法，均未提及NRF發現所需的權限級別防護方法。

發明內容

有鑒于此，本發明的目的是提供一種基于NRF權限等級的5G核心網數據防護方法，通過對5GC中NF在NRF中擁有的查詢范圍進行權限限定，有效地解決了5GC中NRF數據泄露問題。

本發明的目的是通過以下技術方案實現的：

一種基于NRF權限等級的5G核心網數據防護方法，包括以下步驟：

步驟S1、NRF網元接收到NF的請求消息，對請求消息進行解碼，獲得NF的相關數據；

步驟S2、NRF網元進入權限查詢模塊，查詢該NF所屬PLMN切片子網NF類型的權限等級；

步驟S3、判斷該NF是否具有特定權限等級，如果擁有，覆蓋步驟S2獲得的權限等級；NRF網元判斷NF的權限等級是否有權限查詢目的數據，如果擁有查詢權限，轉至步驟S4；否則，轉至步驟S5；

步驟S4、NRF網元將查詢結果返回給NF；

步驟S5、NRF網元將查詢錯誤應答消息返回給NF，并帶上對應的錯誤信息。

進一步的，所述的請求消息是查詢請求消息或者訂閱請求消息。