基于多模态网元代理的信令接入实现方法及系统与流程

1.本发明属于网络安全防护技术领域，特别涉及一种基于多模态网元代理的信令接入实现方法及系统。


背景技术：

2.随着移动通信相关技术的快速发展，网络融合趋势日渐明显，5g网络应运而生，为随时随地的“万物互联”提供了可能。5g的三大应用场景为未来生活提供了多样化的应用，但同样面临着更大的安全威胁，信令防护设备成为防护核心网络安全的重要措施。
3.传统核心网的信令防护中，以串接或其他信令接入方式在网元设备前进行信令转接，然后进行信令检测与防护，进而保护核心网络安全。然而，5g核心网基础设施云化后，虚拟化的网元功能可能运行在多个物理实体上(服务器)，传统的信令接入方式已经难以进行有效部署和防护。


技术实现要素：

4.为此，本发明提供一种基于多模态网元代理的信令接入实现方法及系统，针对5g特定网域和网元检测、处理与防护场景，为虚拟化防护功能提供多模态网元代理的部署和信令接入，并可实现网间和网元间的信令防护引流接入，以保护5g核心网络。
5.按照本发明所提供的设计方案，提供一种基于多模态网元代理的信令接入实现方法，包含如下内容：
6.根据业务交互动态部署多模态网元代理模块，将其部署于网间和/或网元间，并生成用于信令流处理的多模态代理匹配数据库，其中，多模态网元代理模块至少包含网络仓储代理、服务发现代理、服务请求代理和服务响应代理；
7.利用网间和/或网元间的多模态网元代理模块对相应类型网元进行代理来实时获取并处理待处理信令流，以用于网间和/或网元间信令检测防护的信令引流接入。
8.作为本发明基于多模态网元代理的信令接入实现方法，进一步地，多模态网元代理模块部署于网间时，首先为当前网络的网络仓储代理hnrf，然后根据业务交互动态代理对应功能类型网元来获取并处理网间信令流；多模网络代理模块部署于网元间时，首先为网内网络仓储代理vnrf，然后根据接入网元或业务交互动态代理对应功能类型网元来获取并处理网元间信令流。
9.作为本发明基于多模态网元代理的信令接入实现方法，进一步地，实时处理并获取待处理信令流，依据信令服务类型在服务发现和/或服务请求和/或服务响应阶段对相应功能类型网元进行代理，通过修改相应地址端口号获取接入设备地址，以将信令流发送至对应网元实体。
10.作为本发明基于多模态网元代理的信令接入实现方法，进一步地，待处理信令流服务类型为服务过程时，根据信令流中服务标识查询服务ip/port和请求ip/port，通过判断当前信令流源地址是否与服务ip/port或请求ip/port一致来设置多模态网元代理模块
模态并修改当前信令流目的地址，将当前信令流的tcp/ip层的源地址修改为接入设备地址，将信令流发送至目的地址所在虚拟化网元实体。
11.作为本发明基于多模态网元代理的信令接入实现，进一步地，若当前信令流源地址与服务ip/port一致，则多模态网元代理模块设置模态为服务响应代理，并修改当前信令流目的地址为请求ip/port；若当前信令流源地址是否与请求ip/port一致，则多模态网元代理模块模态设置为服务请求代理，修改当前信令流目的地址为服务ip/port。
12.作为本发明基于多模态网元代理的信令接入实现，进一步地，待处理信令流服务类型为服务发现过程时，则多模态网元代理模块设置模态为服务发现代理，并依据当前服务发现信令消息的请求或响应类型进行处理。
13.作为本发明基于多模态网元代理的信令接入实现，进一步地，若当前服务发现信令消息为请求类型时，将源ip和端口号及请求uri存储在多模态代理匹配数据库的请求ip、请求port和请求uri中；然后，修改tcp/ip层源地址端口为信令接入装置地址端口号，目的地址端口为网络仓储代理vnrf，并在uri中修改相关地址为接入装置地址端口号，保存到转发uri中；若为响应类型时，则提取消息内容中服务标识、地址和端口号，记录到与请求uri相对应列中，修改服务地址和端口号为信令接入地址端口号，tcp/ip层源地址端口修改为信令接入地址端口号，目的地址和端口修改为对应请求ip和请求port，将当前uri修改为请求uri，并转发至请求网元。
14.进一步地，本发明还提供一种基于多模态网元代理的信令接入实现系统，包含：部署模块和引流模块，其中，
15.部署模块，用于根据业务交互动态部署多模态网元代理模块，将其部署于网间和/或网元间，并生成用于信令流处理的多模态代理匹配数据库，其中，多模态网元代理模块至少包含网络仓储代理、服务发现代理、服务请求代理和服务响应代理；
16.引流模块，用于利用网间和/或网元间的多模态网元代理模块对相应类型网元进行代理来实时获取并处理待处理信令流，以用于网间和/或网元间信令检测防护的信令引流接入。
17.本发明的有益效果：
18.本发明通过在服务发现、服务请求和服务响应各个阶段，以基于多模态网元代理对多类网元进行代理，涵盖发现代理、请求代理、响应代理等多模态代理的方式，可以虚拟功能等方式部署在5g核心网络中，也可以以设备形态等方式部署于两个5g核心网络边界，实现对网间和网元间信令进行引流接入，进而支撑各类网元设备进行信令层的信令检测、防护，提升5g核心挽留过安全，具有较好的应用前景。
附图说明：
19.图1为实施例中基于多模态网元代理的信令接入部署示意；
20.图2为实施例中多模态代理模块整体接入场景示意；
21.图3为实施例中多模态代理模块处理流程示意；
22.图4为实施例中多模态代理匹配数据库示意。
具体实施方式：
23.为使本发明的目的、技术方案和优点更加清楚、明白，下面结合附图和技术方案对本发明作进一步详细的说明。
24.5g核心网之网元nrf，network repository function，网络仓储功能，支持以下功能：支持服务发现功能，从nf实例接收nf发现请求，并将发现的nf实例(被发现)的信息提供给nf实例；维护可用nf实例及其支持的服务的nf配置文件。5g核心网基础设施云化后，虚拟化的网元功能可能运行在多个物理实体上(服务器)，传统的信令接入方式已经难以进行有效部署和防护。为此，本发明实施例，提供一种基于多模态网元代理的信令接入实现方法，包含如下内容：根据业务交互动态部署多模态网元代理模块，将其部署于网间和/或网元间，并生成用于信令流处理的多模态代理匹配数据库，其中，多模态网元代理模块至少包含网络仓储代理、服务发现代理、服务请求代理和服务响应代理；利用网间和/或网元间的多模态网元代理模块对相应类型网元进行代理来实时获取并处理待处理信令流，以用于网间和/或网元间信令检测防护的信令引流接入。
25.通过在服务发现、服务请求和服务响应各个阶段，以基于多模态网元代理对多类网元进行代理，涵盖发现代理、请求代理、响应代理等多模态代理的方式，可以虚拟功能等方式部署在5g核心网络中，也可以以设备形态等方式部署于两个5g核心网络边界，实现对网间和网元间信令进行引流接入，进而支撑各类网元设备进行信令层的信令检测、防护，提升5g核心挽留过安全。
26.通过对多模态网元代理的方法，实现信令的虚拟化接入，具体部署可参见图1所示，其可以支持两类部署方式，一类是部署于网间，通过多模态代理方式，接入装置首先为当前网络的hnrf代理，然后根据业务交互动态代理amf、smf等网元，实现5g核心网网间信令的接入，可参见图2(b)所示，上面浅色箭头线表示服务发现的接入流程路径，下面深色箭头线表示服务请求和响应的接入处理流程路径；另一类是部署于网元间，通过多模态网元代理方式，接入装置首先为网内vnrf代理，然后根据接入网元或业务交互动态代理amf、smf等网元，实现核心网内网元间的信令接入，可参见图2(a)所示，上面浅色箭头线表示服务发现的接入流程路径，下面深色箭头线表示服务请求和响应的接入处理流程路径。
27.通过上述方案，可以为虚拟化信令检测、防护提供有效接入。具体上，在按照上述两类中的任一种部署和起始配置后(hnrf/vnrf代理配置)。依据信令服务类型不同进行相应的配置处理。其信令接入对于实时进入的信令流处理过程可如图3所示，具体步骤可设计如下：
28.实施步骤(一)：信令进入多模态代理信令接入装置后，首先判断当前信令消息的信令服务类型，若为服务过程，跳转至步骤(四)，若为服务发现过程，则接入装置的模态是服务发现代理，则继续步骤(二)
29.实施步骤(二)：判断当前服务发现消息是请求还是响应，若为请求，则将源ip和端口号及请求uri存储在多模态代理匹配数据库的请求ip、请求port和请求uri中；然后，修改tcp/ip层源地址端口为信令接入装置地址端口号，目的地址端口为vnrf，uri中修改相关地址为接入装置地址端口号，并保存到转发uri中，然后跳转至步骤(七)，若为响应，则进入步骤(三)；
30.实施步骤(三)：若当前服务发现消息是为响应，则首先提取消息内容中的服务标
识(nf
‑
instance)、地址和端口号，记录到与请求uri相对应的列中，然后修改内容中服务地址和端口号为信令接入装置地址端口号；修改tcp/ip层源地址端口为信令接入装置地址端口号，目的地址和端口为对应的请求ip和请求port，并将当前uri改回为请求uri，并转发至请求网元，然后跳转至步骤(七)；
31.实施步骤(四)：若当前信令服务类型的服务过程，则根据信令消息中的服务标识到多模态代理匹配数据库中查询对应的服务ip/port、请求ip/port，然后判断当前信令消息的源地址(ip和端口号)，若等于服务ip和端口号，此时接入装置的模态是服务响应代理,则修改当前信令消息的目的地址为请求ip/port，跳转至步骤(六)；否则继续步骤(五)；
32.实施步骤(五)：若前信令消息的源地址(ip和端口号)等于请求ip和端口号，此时接入装置的模态是服务请求代理，则修改该信令消息的目的地址为服务ip/port；
33.实施步骤(六)：将信令消息的tcp/ip层的源地址改为接入设备地址，然后将信令消息发送至目的ip所在虚拟化网元实体。
34.实施步骤(七)：处理结束，进行下一条信令消息的处理过程。
35.进一步地，基于上述的方法，本发明实施例还提供一种基于多模态网元代理的信令接入实现系统，包含：部署模块和引流模块，其中，
36.部署模块，用于根据业务交互动态部署多模态网元代理模块，将其部署于网间和/或网元间，并生成用于信令流处理的多模态代理匹配数据库，其中，多模态网元代理模块至少包含网络仓储代理、服务发现代理、服务请求代理和服务响应代理；
37.引流模块，用于利用网间和/或网元间的多模态网元代理模块对相应类型网元进行代理来实时获取并处理待处理信令流，以用于网间和/或网元间信令检测防护的信令引流接入。
38.针对5g特定网域和网元检测、处理与防护场景，基于多模态网元代理实现5g信令引流接入，以通过信令转接进行信令检测防护来保护核心网络安全。
39.除非另外具体说明，否则在这些实施例中阐述的部件和步骤的相对步骤、数字表达式和数值并不限制本发明的范围。
40.基于上述的系统，本发明实施例还提供一种服务器，包括：一个或多个处理器；存储装置，用于存储一个或多个程序，当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现上述的方法。
41.基于上述的系统，本发明实施例还提供一种计算机可读介质，其上存储有计算机程序，其中，该程序被处理器执行时实现上述的方法。
42.本发明实施例所提供的装置，其实现原理及产生的技术效果和前述系统实施例相同，为简要描述，装置实施例部分未提及之处，可参考前述系统实施例中相应内容。
43.所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，上述描述的系统和装置的具体工作过程，可以参考前述系统实施例中的对应过程，在此不再赘述。
44.在这里示出和描述的所有示例中，任何具体值应被解释为仅仅是示例性的，而不是作为限制，因此，示例性实施例的其他示例可以具有不同的值。
45.应注意到：相似的标号和字母在下面的附图中表示类似项，因此，一旦某一项在一个附图中被定义，则在随后的附图中不需要对其进行进一步定义和解释。
46.附图中的流程图和框图显示了根据本发明的多个实施例的系统、系统和计算机程
序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段或代码的一部分，所述模块、程序段或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个连续的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或动作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
47.在本技术所提供的几个实施例中，应该理解到，所揭露的系统、装置和系统，可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，又例如，多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。
48.另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。
49.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个处理器可执行的非易失的计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述系统的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，read
‑
only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
50.最后应说明的是：以上所述实施例，仅为本发明的具体实施方式，用以说明本发明的技术方案，而非对其限制，本发明的保护范围并不局限于此，尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，其依然可以对前述实施例所记载的技术方案进行修改或可轻易想到变化，或者对其中部分技术特征进行等同替换；而这些修改、变化或者替换，并不使相应技术方案的本质脱离本发明实施例技术方案的精神和范围，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应所述以权利要求的保护范围为准。