本申请涉及网络安全,尤其涉及一种服务授权方法、相关设备、存储介质及计算机程序产品。
背景技术:
1、相关技术中,第五代移动通信技术(5th generation mobile communicationtechnology,5g)核心网采用服务化架构后,在同一核心网内的网元两两互通,网元之间可以直接通信,扩大了网元的暴露面,增加了网络攻击路径。服务化的5g核心网虽然引入了开放授权(open authorization,oauth)2.0授权机制,控制网元之间的访问权限,但由于核心网中的网元之间ip可以直接访问,即在未经过oauth授权的情况下,仍可通过网络扫描方式探测各个网元的基础信息以及暴露出来的服务或存在的漏洞,增加了网元被攻击的风险。
技术实现思路
1、有鉴于此,本申请实施例期望提供一种服务授权方法、相关设备、存储介质及计算机程序产品,能够以提高网元之间访问的安全性。
2、本申请实施例的技术方案是这样实现的:
3、第一方面,本申请实施例提供一种服务授权方法,应用于第一网络功能,第一网络功能上设置授权白名单,所述方法包括:
4、接收第二网络功能发送的访问第三网络功能所提供的服务的第一请求,第一请求携带第一参数;
5、根据第一参数和授权白名单,确定第二网络功能是否具备访问所述服务的权限;并根据授权白名单确定第二网络功能针对第三网络功能的可信度;
6、在第二网络功能具备访问服务的权限,且可信度大于预设阈值的情况下,基于授权白名单确定服务的执行策略,并向第二网络功能对应的第一通信代理和第三网络功能对应的第二通信代理发送授权访问服务的执行策略。
7、第二方面,本申请实施例提供一种服务授权方法,应用于第一通信代理,所述方法包括:
8、接收第一网络功能发送的执行策略;
9、基于执行策略,开启第二网络功能访问的服务对应的第一服务信息。
10、第三方面,本申请实施例提供一种服务授权方法,应用于第二通信代理,所述方法包括:
11、接收第一网络功能发送的执行策略;
12、基于执行策略,开启第二网络功能访问服务对应的第二服务信息。
13、第四方面,本申请实施例提供一种第一网络功能,第一网络功能上设置授权白名单,所述第一网络功能包括:
14、第一接收单元,用于接收第二网络功能发送的访问第三网络功能所提供的服务的第一请求,第一请求携带第一参数;
15、确定单元,用于根据第一参数和授权白名单,确定第二网络功能是否具备访问服务的权限;并根据授权白名单确定第二网络功能针对第三网络功能的可信度;
16、授权单元,用于在第二网络功能具备访问服务的权限,且可信度大于预设阈值的情况下,基于授权白名单确定服务的执行策略,并向第二网络功能对应的第一通信代理和第三网络功能对应的第二通信代理发送授权访问服务的执行策略。
17、第五方面,本申请实施例提供一种第一通信代理,所述第一通信代理包括:
18、第二接收单元,用于接收第一网络功能发送的执行策略;
19、第一访问单元,用于基于执行策略,开启第二网络功能访问的服务对应的第一服务信息。
20、第六方面,本申请实施例提供一种第二通信代理,所述第二通信代理包括:
21、第三接收单元,用于接收第一网络功能发送的执行策略;
22、第二访问单元,用于基于执行策略,开启第二网络功能访问的服务对应的第二服务信息。
23、第七方面,本申请实施例提供一种第一网络功能,所述第一网络功能包括:第一处理器和第一存储器;所述第一处理器执行所述第一存储器存储的运行程序时实现上述第一网络功能侧的服务授权方法。
24、第八方面,本申请实施例提供一种第一通信代理,所述第一通信代理包括:第二处理器和第二存储器;所述第二处理器执行所述第二存储器存储的运行程序时实现上述第一通信代理侧的服务授权方法。
25、第九方面,本申请实施例提供一种第二通信代理,所述第二通信代理包括:第三处理器和第三存储器;所述第三处理器执行所述第三存储器存储的运行程序时实现上述第二通信代理侧的服务授权方法。
26、第十方面,本申请实施例提供一种存储介质,其上存储有计算机程序,该计算机程序被处理器执行时实现上述第一网络功能侧的服务授权方法,或者,该计算机程序被处理器执行时实现上述第一通信代理侧的服务授权方法,或者,该计算机程序被处理器执行时实现上述第二通信代理侧的服务授权方法。
27、第十一方面,本申请实施例提供一种计算机程序产品,包括计算机程序,所述计算机程序在被处理器执行时实现上述第一网络功能侧的服务授权方法,或者,该计算机程序被处理器执行时实现上述第一通信代理侧的服务授权方法,或者,该计算机程序被处理器执行时实现上述第二通信代理侧的服务授权方法。
28、本申请实施例提供一种服务授权方法、相关设备、存储介质及计算机程序产品,该方法包括:第一网络功能接收第二网络功能发送的访问第三网络功能所提供的服务的第一请求,第一请求携带第一参数;根据第一参数和授权白名单,确定第二网络功能是否具备访问服务的权限;并根据授权白名单确定第二网络功能针对第三网络功能的可信度;在第二网络功能具备访问服务的权限,且可信度大于预设阈值的情况下,基于授权白名单确定服务的执行策略,并向第二网络功能对应的第一通信代理和第三网络功能对应的第二通信代理发送授权访问服务的执行策略;而第一通信代理接收第一网络功能发送的执行策略;基于执行策略,开启第二网络功能访问的服务对应的第一服务信息;且第二通信代理接收第一网络功能发送的执行策略;基于执行策略,开启第二网络功能访问服务对应的第二服务信息。采用上述实现方案,通过在第一网络功能中设置授权白名单,利用授权白名单能够确定第二网络功能是否允许访问第三网络功能对应的服务,除此之外,还增加了对第二网络功能对第三网络功能的可信度的判断,从而,在保证第二网络功能允许访问第三网络功能的前提下,还应该保证第二网络功能对第三网络功能可信时,才向第二网络功能授权访问第三网络功能的服务,同时,在授权成功时,还会向第一通信代理和第二通信代理发送执行策略,因执行策略与该服务对应,因而在执行策略被执行时,第二网络功能才能够对该服务进行访问,如此,能够减少核心网内的攻击路径,降低网元暴露面,增加对网元的安全访问控制,提高网元之间访问的安全性。
1.一种服务授权方法,其特征在于,应用于第一网络功能,所述第一网络功能上设置授权白名单,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述根据所述授权白名单确定所述第二网络功能针对所述第三网络功能的可信度之后,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述第一网络功能上还设置管理通信代理,所述向所述第二网络功能对应的第一通信代理和所述第三网络功能对应的第二通信代理发送授权访问所述服务的所述执行策略,包括:
4.根据权利要求1所述的方法,其特征在于,所述方法还包括:
5.一种服务授权方法,其特征在于,应用于第一通信代理,所述方法包括:
6.根据权利要求5所述的方法,其特征在于,所述开启第二网络功能访问的服务对应的第一服务信息之后,所述方法还包括:
7.根据权利要求6所述的方法,其特征在于,所述基于所述可信度,确定所述第二网络功能针对所述第三网络功能的可信状态之后,所述方法还包括:
8.一种服务授权方法,其特征在于,应用于第二通信代理,所述方法包括:
9.根据权利要求8所述的方法,其特征在于,所述开启第二网络功能访问所述服务对应的第二服务信息之后,所述方法还包括:
10.一种第一网络功能,其特征在于,所述第一网络功能上设置授权白名单,所述第一网络功能包括:
11.一种第一通信代理,其特征在于,所述第一通信代理包括:
12.一种第二通信代理,其特征在于,所述第二通信代理包括:
13.一种第一网络功能,其特征在于,所述第一网络功能包括:第一处理器和第一存储器;所述第一处理器执行所述第一存储器存储的运行程序时实现如权利要求1至4任一项所述的方法。
14.一种第一通信代理,其特征在于,所述第一通信代理包括:第二处理器和第二存储器;所述第二处理器执行所述第二存储器存储的运行程序时实现如权利要求5至7任一项所述的方法。
15.一种第二通信代理,其特征在于,所述第二通信代理包括:第三处理器和第三存储器;所述第三处理器执行所述第三存储器存储的运行程序时实现如权利要求8至9任一项所述的方法。
16.一种存储介质,其上存储有计算机程序,其特征在于,该计算机程序被处理器执行时实现如权利要求1至4任一项所述的方法,或者,该计算机程序被处理器执行时实现如权利要求5至7任一项所述的方法,或者,该计算机程序被处理器执行时实现如权利要求8至9任一项所述的方法。
17.一种计算机程序产品,包括计算机程序,其特征在于,所述计算机程序在被处理器执行时实现如权利要求1至4任一项所述的方法,或者,该计算机程序被处理器执行时实现如权利要求5至7任一项所述的方法,或者,该计算机程序被处理器执行时实现如权利要求8至9任一项所述的方法。
