CN118283619A

CN118283619A - 网络安全控制方法及电子设备

Info

Publication number: CN118283619A
Application number: CN202410559795.3A
Authority: CN
Inventors: 邱权冠; 苏国章; 吕东
Original assignee: Guangzhou Aipu Road Network Technology Co Ltd
Current assignee: Guangzhou Aipu Road Network Technology Co Ltd
Priority date: 2024-05-08
Filing date: 2024-05-08
Publication date: 2024-07-02

Abstract

本申请提供一种网络安全控制方法及电子设备，涉及通信技术领域。该方法包括：接收应用服务器通过开放功能网元发送的第一接入请求，第一接入请求包括：应用服务器的目标设备信息和应用服务器对应的管理用户的目标用户信息；根据目标设备信息和目标用户信息，判断应用服务器和应用服务器对应的管理用户是否合法；若确定应用服务器和应用服务器对应的管理用户合法，向应用服务器发送第一接入响应，第一接入响应包括：应用服务器的访问权限，以使得应用服务器根据访问权限访问网络开放服务。本申请可以实现对外部应用服务器及其用户进行安全认证及访问限制，保证网络的安全性。

Description

网络安全控制方法及电子设备

技术领域

本发明涉及通信技术领域，具体而言，涉及一种网络安全控制方法及电子设备。

背景技术

在移动网络中网络开放服务具有及其重要的意义，移动网络中的开放功能网元作为网络能力开放的关键“接头人”，它的开放使得移动网络的核心功能能够被外部应用访问和使用，这极大地拓宽了移动网络的应用场景，为各行各业提供了更广阔的创新空间。

但是，移动网络中的开放功能网元对外提供网络开放服务的功能时，没有对外部应用服务器的设备或者设备上的用户进行安全认证以及访问限制，存在极大的安全漏洞。

发明内容

本发明的目的在于，针对上述现有技术中的不足，提供一种网络安全控制方法及电子设备，以便实现对外部应用服务器及其用户进行安全认证及访问限制，保证网络的安全性。

为实现上述目的，本申请实施例采用的技术方案如下：

第一方面，本申请实施例提供了一种网络安全控制方法，应用于接入安全控制功能NECF网元，所述方法包括：

接收应用服务器通过开放功能网元发送的第一接入请求，所述第一接入请求包括：所述应用服务器的目标设备信息和所述应用服务器对应的管理用户的目标用户信息；

根据所述目标设备信息和所述目标用户信息，判断所述应用服务器和所述应用服务器对应的管理用户是否合法；

若确定所述应用服务器和所述应用服务器对应的管理用户合法，向所述应用服务器发送第一接入响应，所述第一接入响应包括：所述应用服务器的访问权限，以使得所述应用服务器根据所述访问权限访问网络开放服务。

可选地，所述根据所述目标设备信息和所述目标的用户信息，判断所述应用服务器和所述应用服务器对应的管理用户是否合法，包括：

确定预先配置的多个设备信息和多个用户信息中是否存在所述目标设备信息和所述目标用户信息；

若所述多个设备信息和所述多个用户信息中存在所述目标设备信息和所述目标用户信息，根据第一随机数以及所述目标设备信息和/或所述目标用户信息，生成第一网络鉴权参数；

向所述应用服务器发送所述第一随机数和所述第一网络鉴权参数，以使得所述应用服务器根据所述第一随机数以及所述目标设备信息和/或所述目标用户信息，生成第二网络鉴权参数，并在确定所述第一网络鉴权参数和所述第二网络鉴权参数一致时，确认网络鉴权通过；

若网络鉴权通过，确定所述应用服务器和所述应用服务器对应的管理用户合法。

可选地，若网络鉴权通过，所述根据所述目标设备信息和所述目标的用户信息，判断所述应用服务器和所述应用服务器对应的管理用户是否合法，还包括：

接收所述应用服务器发送的第二随机数和第一服务器鉴权参数，所述第一服务器鉴权参数为：所述应用服务器根据所述第二随机数以及所述目标设备信息和/或所述目标用户信息生成的鉴权参数；

根据所述第二随机数以及所述目标设备信息和/或所述目标用户信息，生成第二服务器鉴权参数；

若所述第一服务器鉴权参数和所述第二服务器鉴权参数一致，确定所述应用服务器和所述应用服务器对应的管理用户合法。

可选地，所述接收应用服务器通过开放功能网元发送的第一接入请求之前，所述方法还包括：

接收所述开放功能网元发送的第二接入请求，所述第二接入请求包括：所述开放功能网元的目标网元信息；

根据所述目标网元信息，判断所述开放功能网元是否合法；

若所述开放功能网元合法，则接入所述开放功能网元，并向所述开放功能网元发送第二接入响应。

可选地，所述第一接入响应还包括：临时标识和所述临时标识的有效期，以使得所述应用服务器根据所述访问权限和所述临时标识，在所述临时标识的有效期内访问所述网络开放服务。

第二方面，本申请实施例还提供一种网络安全控制方法，应用于应用服务器，所述方法包括：

通过开放功能网元向接入安全控制功能NECF网元发送第一接入请求，所述第一接入请求包括：所述应用服务器的目标设备信息和所述应用服务器对应的管理用户的目标用户信息，所述NECF网元用于根据所述目标设备信息和所述目标的用户信息，判断所述应用服务器和所述应用服务器对应的管理用户是否合法；

接收所述NECF网元在确定所述应用服务器和所述应用服务器对应的管理用户合法的情况下发送的第一接入响应，所述第一接入响应包括：所述应用服务器的访问权限；

根据所述访问权限访问网络开放服务。

可选地，所述接收所述NECF网元在确定所述应用服务器和所述应用服务器对应的管理用户合法的情况下发送的第一接入响应之前，所述方法还包括：

接收所述NECF网元发送的第一随机数和第一网络鉴权参数，其中，所述NECF网元用于根据所述第一随机数以及所述目标设备信息和/或所述目标用户信息，生成所述第一网络鉴权参数；

根据所述第一随机数以及所述目标设备信息和/或所述目标用户信息，生成第二网络鉴权参数，并在确定所述第一网络鉴权参数和所述第二网络鉴权参数一致时，确认网络鉴权通过；

通知所述NECF网元网络鉴权通过，以使得所述NECF网元确定所述应用服务器和所述应用服务器对应的管理用户合法。

可选地，若网络鉴权通过，所述方法还包括：

根据第二随机数以及所述目标设备信息和/或所述目标用户信息生成第一服务器鉴权参数；

向所述NECF网元发送所述第二随机数和所述第一服务器鉴权参数，所述NECF网元用于根据所述第二随机数以及所述目标设备信息和/或所述目标用户信息，生成第二服务器鉴权参数；若所述第一服务器鉴权参数和所述第二服务器鉴权参数一致，确定所述应用服务器和所述应用服务器对应的管理用户合法。

可选地，所述第一接入响应还包括：临时标识和所述临时标识的有效期，所述开放功能网元存储所述访问权限、所述临时标识和所述临时标识的有效期，所述根据所述访问权限访问网络开放服务，包括：

向所述开放功能网元发送网络访问请求，所述网络访问请求包括：所述临时标识和待访问网络开放服务，以使得所述开放功能网元根据所述临时标识和所述待访问网络开放服务，确定所述待访问网络开放服务是否在所述访问权限内，以及所述临时标识是否过期；

在所述开放功能网元确定所述待访问网络开放服务在所述访问权限内，以及所述临时标识未过期的情况下，确定访问所述待访问网络开放服务。

第三方面，本申请实施例提供了一种网络安全控制装置，应用于接入安全控制功能NECF网元，所述装置包括：

请求接收模块，用于接收应用服务器通过开放功能网元发送的第一接入请求，所述第一接入请求包括：所述应用服务器的目标设备信息和所述应用服务器对应的管理用户的目标用户信息；

信息判断模块，用于根据所述目标设备信息和所述目标用户信息，判断所述应用服务器和所述应用服务器对应的管理用户是否合法；

响应发送模块，用于若确定所述应用服务器和所述应用服务器对应的管理用户合法，向所述应用服务器发送第一接入响应，所述第一接入响应包括：所述应用服务器的访问权限，以使得所述应用服务器根据所述访问权限访问网络开放服务。

可选地，所述信息判断模块，具体用于确定预先配置的多个设备信息和多个用户信息中是否存在所述目标设备信息和所述目标用户信息；若所述多个设备信息和所述多个用户信息中存在所述目标设备信息和所述目标用户信息，根据第一随机数以及所述目标设备信息和/或所述目标用户信息，生成第一网络鉴权参数；向所述应用服务器发送所述第一随机数和所述第一网络鉴权参数，以使得所述应用服务器根据所述第一随机数以及所述目标设备信息和/或所述目标用户信息，生成第二网络鉴权参数，并在确定所述第一网络鉴权参数和所述第二网络鉴权参数一致时，确认网络鉴权通过；若网络鉴权通过，确定所述应用服务器和所述应用服务器对应的管理用户合法。

可选地，若网络鉴权通过，所述信息判断模块，还用于接收所述应用服务器发送的第二随机数和第一服务器鉴权参数，所述第一服务器鉴权参数为：所述应用服务器根据所述第二随机数以及所述目标设备信息和/或所述目标用户信息生成的鉴权参数；根据所述第二随机数以及所述目标设备信息和/或所述目标用户信息，生成第二服务器鉴权参数；若所述第一服务器鉴权参数和所述第二服务器鉴权参数一致，确定所述应用服务器和所述应用服务器对应的管理用户合法。

可选地，所述请求接收模块，还用于接收所述开放功能网元发送的第二接入请求，所述第二接入请求包括：所述开放功能网元的目标网元信息；

所述信息判断模块，还用于根据所述目标网元信息，判断所述开放功能网元是否合法；

所述响应发送模块，还用于若所述开放功能网元合法，则接入所述开放功能网元，并向所述开放功能网元发送第二接入响应。

第四方面，本申请实施例还提供一种网络安全控制装置，应用于应用服务器，所述装置包括：

请求发送模块，用于通过开放功能网元向接入安全控制功能NECF网元发送第一接入请求，所述第一接入请求包括：所述应用服务器的目标设备信息和所述应用服务器对应的管理用户的目标用户信息，所述NECF网元用于根据所述目标设备信息和所述目标的用户信息，判断所述应用服务器和所述应用服务器对应的管理用户是否合法；

响应接收模块，用于接收所述NECF网元在确定所述应用服务器和所述应用服务器对应的管理用户合法的情况下发送的第一接入响应，所述第一接入响应包括：所述应用服务器的访问权限；

网络访问模块，用于根据所述访问权限访问网络开放服务。

可选地，所述响应接收模块之前，所述装置还包括：

网络鉴权模块，用于接收所述NECF网元发送的第一随机数和第一网络鉴权参数，其中，所述NECF网元用于根据所述第一随机数以及所述目标设备信息和/或所述目标用户信息，生成所述第一网络鉴权参数；根据所述第一随机数以及所述目标设备信息和/或所述目标用户信息，生成第二网络鉴权参数，并在确定所述第一网络鉴权参数和所述第二网络鉴权参数一致时，确认网络鉴权通过；通知所述NECF网元网络鉴权通过，以使得所述NECF网元确定所述应用服务器和所述应用服务器对应的管理用户合法。

可选地，若网络鉴权通过，所述装置还包括：

服务器鉴权模块，用于根据第二随机数以及所述目标设备信息和/或所述目标用户信息生成第一服务器鉴权参数，向所述NECF网元发送所述第二随机数和所述第一服务器鉴权参数，所述NECF网元用于根据所述第二随机数以及所述目标设备信息和/或所述目标用户信息，生成第二服务器鉴权参数；若所述第一服务器鉴权参数和所述第二服务器鉴权参数一致，确定所述应用服务器和所述应用服务器对应的管理用户合法。

可选地，所述第一接入响应还包括：临时标识和所述临时标识的有效期，所述开放功能网元存储所述访问权限、所述临时标识和所述临时标识的有效期，所述网络访问模块，具体用于向所述开放功能网元发送网络访问请求，所述网络访问请求包括：所述临时标识和待访问网络开放服务，以使得所述开放功能网元根据所述临时标识和所述待访问网络开放服务，确定所述待访问网络开放服务是否在所述访问权限内，以及所述临时标识是否过期；在所述开放功能网元确定所述待访问网络开放服务在所述访问权限内，以及所述临时标识未过期的情况下，确定访问所述待访问网络开放服务。

第五方面，本申请实施例还提供一种电子设备，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的程序指令，当电子设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述程序指令，以执行如第一方面任一项所述的网络安全控制方法的步骤，或者，如第二方面任一项所述的网络安全控制方法的步骤。

第六方面，本申请实施例还提供一种计算机可读存储介质，所述存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行如第一方面任一项所述的网络安全控制方法的步骤，或者，如第二方面任一项所述的网络安全控制方法的步骤。

本申请的有益效果是：

本申请提供的网络安全控制方法及电子设备，通过增加NECF网元对请求接入网络的应用服务器及其对应的管理用户的合法性进行安全认证，保证网络的安全性。另外，通过在一个企业移动专网对应的多个区域移动专网中设置一个NECF网元，可以保证在对应用服务器及其对应的管理用户的合法性验证通过后，应用服务器可以通过多个区域移动专网的开放功能网元进行接入，提高了网络用户移动的灵活性。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1为现有的5G网络服务架构示意图；

图2为网络开放接口架构图；

图3为本申请实施例提供的应用场景架构图；

图4为本申请实施例提供的接入安全控制的网络架构图；

图5为本申请实施例提供的网络安全控制方法的流程示意图一；

图6为本申请实施例提供的网络安全控制方法的流程示意图二；

图7为本申请实施例提供的网络安全控制方法的流程示意图三；

图8为本申请实施例提供的网络安全控制方法的流程示意图四；

图9为本申请实施例提供的网络安全控制方法的流程示意图五；

图10为本申请实施例提供的网络安全控制方法的流程示意图六；

图11为本申请实施例提供的开放功能网元接入流程的交互示意图；

图12为本申请实施例提供的接入安全认证流程的交互示意图；

图13为本申请实施例提供的网络安全控制装置的结构示意图一；

图14为本申请实施例提供的网络安全控制装置的结构示意图二；

图15为本申请实施例提供的电子设备的示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

因此，以下对在附图中提供的本申请的实施例的详细描述并非旨在限制要求保护的本申请的范围，而是仅仅表示本申请的选定实施例。基于本申请中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

此外，本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，在不冲突的情况下，本申请的实施例中的特征可以相互结合。

图1为现有的5G网络服务架构示意图，如图1所示，该网络服务架构具体可以包括：

1、终端设备(User Equipment，UE)，也可以称用户设备、终端、接入终端、用户单元、用户站、移动站、移动台、远方站、远程终端、移动设备、用户终端、无线通信设备、用户代理或用户装置。

2、接入网(Access Network，AN)，为特定区域的授权用户提供入网功能，并能够根据用户的级别，业务的需求等使用不同质量的传输隧道。基于无线通信技术实现接入网络开放服务的接入网可以称为无线接入网(Radio Access Network，RAN)。无线接入网能够管理无线资源，为终端提供接入服务，进而完成控制信号和用户数据在终端和核心网之间的转发，一般通过基站提供无线接入网。

3、用户面功能(User Plane Function，UPF)网元，即，数据面网关。可用于分组路由和转发、或用户面数据的服务质量(quality of service，QoS)处理等。用户数据可通过该网元接入到数据网络(data network，DN)。

4、会话管理功能(Session Management Function，SMF)网元，主要用于会话管理、UE的网际协议(Internet Protocol，IP)地址分配和管理、选择可管理用户面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。

5、接入与移动管理功能(access and mobility management function，AMF)网元，主要用于移动性管理和接入管理等，可以用于实现移动性管理实体(mobilitymanagement entity，MME)功能中除会话管理之外的其它功能，例如，合法监听、或接入授权(或鉴权)等功能。

6、鉴权服务功能(Authentication Server Function，AUSF)网元，用于为请求者网络开放服务(Network Function，NF)验证UE，向请求者NF提供密钥材料，保护请求者NF的“指导信息列表”。

7、网关移动定位中心(Gateway Mobile Location Center，GMLC)网元，作为定位网元与5G核心网进行交互，使得业务提供商可以通过GMLC网元获取目标终端的位置信息，协助外部的LCS Client或者AF网元查找终端设备接入的AMF网元和管理周期性或者触发性定位信息。

8、位置管理功能(Location Management Function，LMF)网元，该网元用于提供根据定位精度要求、时延要求等选择相应的定位方法、以及选择相应的通信协议来完成定位所需信息的交互，该LMF还用于为定位服务提供所需的其他信息，或者定位策略。

9、网络开放服务(Network Exposure Function，NEF)网元，以API接口的方式向第三方开放网络服务。

10、网络仓储功能(Network Repository Function，NRF)网元，支持服务发现功能，从NF实例接收NF发现请求，并将发现的NF实例(被发现)的信息提供给NF实例。

11、策略控制功能(policy control function，PCF)网元，下发控制策略的执行、UPF的选择、UE IP地址分配等功能，主要管理5G核心网中各个业务数据流的服务质量(Quality of Service，QoS)。

12、统一数据管理(Unified Data Management，UDM)，存储用户的静态签约信息和注册的动态信息，比如用户当前接入的AMF、用户的鉴权状态或者注册状态等。

13、应用功能(Application Function，AF)，类似于一个应用服务器，其与5G核心网中的控制面网络开放服务网元交互，并提供业务服务，AF可以针对不同应用服务而存在，可以由运营商或可信的第三方拥有。

应理解，上述应用于本申请实施例的网络架构仅是举例说明的从传统点到点的架构和服务化架构的角度描述的网络架构，适用本申请实施例的网络架构并不局限于此，任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。应理解，上述网元之间可以通过预设接口进行通信，在此不再赘述。还应理解，上述网元可以理解为核心网中用于实现不同功能的网元，例如可以按需组合成网络切片。这些核心网网元可以各自独立的设备，也可以集成于同一设备中实现不同的功能，本申请对此不做限定。

如图1所示，在5G网络服务架构中，NEF网元作为5G网络中的开放功能网元负责提供对外开放服务，AF为外部访问网络服务的应用服务器或者应用功能设备，AF可以通过NEF网元来访问整个网络的数据和网络中的用户数据，以及对网络以及网络中的用户进行监控。

与5G网络服务架构相对应的，在4G网络服务架构中，由服务能力开放功能(Service Capability Exposure Function，SCEF)网元作为4G网络中的开放功能网元负责提供对外开放服务，应用服务器(Application Server，AS)可以通过SCEF网元来访问整个网络的数据和网络中的用户数据，以及对网络以及网络中的用户进行监控。

其中，NEF网元等同于SCEF网元，AF等同于AS。

图2为网络开放接口架构图，如图2所示，分组核心网(Evolved Packet Core，EPC)即4G核心网与5G核心网分别通过SCEF网元或者NEF网元提供对外接口API，AS或者AF可以通过SCEF网元或者NEF网元访问EFP或者5GC的网络开放服务与用户数据。

图3为本申请实施例提供的应用场景架构图，如图3所示，一个企业移动专网可以包括多个区域移动专网，图3以三个区域移动专网为例，这三个区域移动专网可以分别对应分公司、分工厂或者其他场地，区域移动专网之间通过公网或者私网的数据通道连接以实现多地专网互通。

对于区域移动专网的各自需求，分别有各自的网络开放服务，各个区域移动专网上可能连接有众多对外开放的NEF网元/SCEF网元和外部的AF/AS。

为了对整个企业移动专网中的NEF网元/SCEF网元的接入和权限进行统一控制，以及AF/AS上访问服务的用户的接入和权限进行统一控制，本申请新增加了一个接入安全控制功能(Network Exposure Control Function)网元，通过该NECF网元对整个企业移动专网中的NEF网元/SCEF网元、AF/AS上访问服务的用户的接入和权限进行统一控制，在实现统一控制后，访问对外开放服务的用户可以灵活的在整个企业移动专网的不同NEF网元/SCEF网元之间移动。

图4为本申请实施例提供的接入安全控制的网络架构图，如图4所示，AF/AS会通过NEF网元/SCEF网元来访问移动网络中的开放服务，然后NECF网元对AF和AS设备在初次发出服务访问时进行鉴权，并在鉴权通过之后向AF/AS和其上访问服务的用户分配对应的访问权限，在一些实施例中，为了进一步加强安全，也会周期性地对用户设备进行重新鉴权和分配访问权限。

其中，图4所示的NEF+SCEF代表是结合了NEF网元和SCEF网元功能的设备，AF+AS是结合了AF和AS功能的设备。

以下结合实施例对应用于上述NECF网元的网络安全控制方法的具体实现方式进行说明。

图5为本申请实施例提供的网络安全控制方法的流程示意图一，如图5所示，该方法可以包括：

S101：接收应用服务器通过开放功能网元发送的第一接入请求，第一接入请求包括：应用服务器的目标设备信息和应用服务器对应的管理用户的目标用户信息。

在本实施例中，开放功能网元可以为预设企业移动专网内多个区域移动专网中任意一个区域移动专网所对应的开放功能网元，在4G区域移动专网中，开放功能网元为SCEF网元，在5G区域移动专网中，开放功能功能网元为NEF网元。

应用服务器为需要通过开放功能网元访问核心网以获取网络开放服务的第三方服务器，应用服务器上的管理用户为需要通过开放功能网元访问核心网以获取网络开放服务的第三方用户，管理用户需要应用服务器上输入自身的目标用户信息，或者直接在应用服务器中配置目标用户信息，或者采用可插拔的卡片记录管理用户的目标用户信息，应用服务器与可插拔的卡片对应的可插拔式设备，将可插拔的卡片插入应用服务器即可读取卡片中的目标用户信息，在4G区域移动专网中，应用服务器为AS，在5G区域移动专网中，应用服务器为AF。

第一接入请求可以为应用服务器AF/AS第一次请求访问网络开放服务时发起的接入请求，也可以是应用服务器AF/AS在之前获取的访问网络开放服务的权限过期的情况下重新发起的接入请求。

在一些实施例中，应用服务器AF/AS在通过开放功能网元NEF/SCEF向NECF网元发送第一接入请求之前，NECF网元也先要验证开放功能网元NEF/SCEF的合法性，在保证开放功能网元NEF/SCEF合法的情况下，再接收应用服务器AF/AS通过开放功能网元NEF/SCEF向NECF网元发送的第一接入请求。

S102：根据目标设备信息和目标用户信息，判断应用服务器和应用服务器对应的管理用户是否合法。

在本实施例中，网络管理员预先通过网络管理系统(Network ManagementSystem，NMS)向NECF网元配置了合法设备信息和合法用户信息，NECF网元在接收到应用服务器AF/AS发送的第一接入请求后，会判断目标设备信息和目标用户信息是否包括在预先配置的合法设备信息和合法用户信息中，以确定应用服务器AF/AS和应用服务器AF/AS对应的管理用户是否合法。

S103：若确定应用服务器和应用服务器对应的管理用户合法，向应用服务器发送第一接入响应，第一接入响应包括：应用服务器的访问权限，以使得应用服务器根据访问权限访问网络开放服务。

在本实施例中，若目标设备信息和目标用户信息包括在预先配置的合法设备信息和合法用户信息中，确定应用服务器AF/AS和应用服务器AF/AS对应的管理用户合法，在此情况下，NECF网元为应用服务器AF/AS以及应用服务器AF/AS对应的管理用户分配访问网络开放服务的访问权限，将访问权限通过第一接入响应发送给开放功能网元NEF/SCEF，开放功能网元NEF/SCEF保存第一接入响应中应用服务器AF/AS的访问权限，并将该第一接入响应转发至应用服务器AF/AS。

应用服务器AF/AS接收到第一接入响应之后，向开放功能网元NEF/SCEF发送访问网络开放服务的访问请求，访问请求中包括所要访问的网络开放服务，开放功能网元NEF/SCEF接收到访问请求后，判断应用服务器AF/AS所要访问的网络开放服务是否在访问权限内，若应用服务器AF/AS所要访问的网络开放服务在访问权限内，则将应用服务器AF/AS接入网络中获取对应的网络开放服务；若应用服务器AF/AS所要访问的网络开放服务不在访问权限内，则拒绝应用服务器AF/AS的访问请求。

在一些实施例中，访问权限包括：应用服务器AF/AS及其管理用户可以访问的网络、网络开放服务以及终端用户范围权限，其中，终端用户范围为接入到该网络中的终端设备的用户，应用服务器AF/AS的目的在于从网络中获取终端设备的用户数据，并借助网络的网络开放服务根据获取的用户数据提供相应的功能或者服务。

上述实施例提供的网络安全控制方法，通过增加NECF网元对请求接入网络的应用服务器及其对应的管理用户的合法性进行安全认证，保证网络的安全性。另外，通过在一个企业移动专网对应的多个区域移动专网中设置一个NECF网元，可以保证在对应用服务器及其对应的管理用户的合法性验证通过后，应用服务器可以通过多个区域移动专网的开放功能网元进行接入，提高了网络用户移动的灵活性。

在一种可能的实现方式中，图6为本申请实施例提供的网络安全控制方法的流程示意图二，如图6所示，上述S102根据目标设备信息和目标用户信息，判断应用服务器和应用服务器对应的管理用户是否合法的过程，可以包括：

S201：确定预先配置的多个设备信息和多个用户信息中是否存在目标设备信息和目标用户信息。

在本实施例中，网络管理员预先通过NMS向NECF网元配置合法的多个设备信息和多个用户信息，NECF网元在接收到应用服务器AF/AS发送的第一接入请求后，会判断目标设备信息和目标用户信息是否包括在预先配置的多个设备信息和多个用户信息中，以确定应用服务器AF/AS和应用服务器AF/AS对应的管理用户是否合法。

S202：若多个设备信息和多个用户信息中存在目标设备信息和目标用户信息，根据第一随机数以及目标设备信息和/或目标用户信息，生成第一网络鉴权参数。

在本实施例中，若目标设备信息和目标用户信息包括在预先配置的多个设备信息和多个用户信息中，确定应用服务器AF/AS和应用服务器AF/AS对应的管理用户合法，在此情况下，对于NECF网元而言，应用服务AF/AS器及其管理用户为合法的，但是，对于应用服务器AF/AS而言，并不知道其所请求的NECF网元是否合法。

为了避免应用服务器AF/AS所请求的NECF网元为虚假的NECF网元，需要应用服务器AF/AS对所请求的NECF网元也进行合法性验证。

具体的，NECF网元在确定应用服务器AF/AS及其管理用户合法后，采用预设随机算法生成第一随机数，并根据第一随机数以及目标设备信息和/或目标用户信息采用预设加密算法生成第一网络鉴权参数。

在一些实施例中，若多个设备信息和多个用户信息中不包括目标设备信息和/或目标用户信息，则确定应用服务器AF/AS及其管理用户不合法。

S203：向应用服务器发送第一随机数和第一网络鉴权参数，以使得应用服务器根据第一随机数以及目标设备信息和/或目标用户信息，生成第二网络鉴权参数，并在确定第一网络鉴权参数和第二网络鉴权参数一致时，确认网络鉴权通过。

在本实施例中，NECF网元将第一随机数和第一网络鉴权参数发送给开放功能网元NEF/SCEF，通过开放功能网元NEF/SCEF将第一随机数和第一网络鉴权参数转发给应用服务器AF/AS，应用服务器AF/AS在接收到第一随机数和第一网络鉴权参数后，根据第一随机数以及目标设备信息和/或目标用户信息采用预设加密算法生成第二网络鉴权参数，应用服务器AF/AS对NECF网元发送的第一网络鉴权参数和自身生成第二网络鉴权参数进行比较，若第一网络鉴权参数和第二网络鉴权参数一致，则应用服务器AF/AS对网络鉴权通过，确定所访问的NECF网元为合法网络中的NECF网元。

S204：若网络鉴权通过，确定应用服务器和应用服务器对应的管理用户合法。

在本实施例中，应用服务器AF/AS在确定对NECF网元的网络鉴权通过后，向NECF网元网络鉴权通过的通知，在此情况下NECF网元确定应用服务器AF/AS及其管理用户合法，通过开放功能网元NEF/SCEF向应用服务器AF/AS发送第一接入响应。

在一些实施例中，NECF网元还可以根据第一随机数和NECF网元的秘钥采用预设加密算法生成第一网络鉴权参数，应用服务器AF/AS还可以根据第一随机数和应用服务器AF/AS的秘钥采用预设加密算法生成第二网络鉴权参数。

需要说明的是，对于合法的NECF网元和合法的应用服务器AF/AS，其预先约定了所采用的加密算法，以及计算网络鉴权参数所需要的数据，以保证二者计算得到的网络鉴权参数一致，若NECF网元或者应用服务器AF/AS不合法，至少存在一方不清楚所预定的加密算法以及所需要的数据，所计算的网络鉴权参数也就不可能一致。

上述实施例提供的网络安全控制方法，NECF网元通过生成第一随机数以及第一网络鉴权参数发送给应用服务器，由应用服务器根据第一随机数计算第二网络鉴权参数，并在第一网络鉴权参数和第二网络鉴权参数一致的情况下，确定网络鉴权通过，在NECF网元确保应用服务器及其管理用户合法的情况下，应用服务器也确保NECF网元合法，避免应用服务器访问非法网络，提高网络安全性。

进一步地，通过第一随机数进行网络鉴权，可以保证每次生成的网络鉴权参数不同，保证每次鉴权的唯一性，避免数据被截取破译，进一步提高网络安全性。

在一种可能的实现方式中，图7为本申请实施例提供的网络安全控制方法的流程示意图三，如图7所示，若网络鉴权通过，上述S102根据目标设备信息和目标用户信息，判断应用服务器和应用服务器对应的管理用户是否合法的过程，还可以包括：

S301：接收应用服务器发送的第二随机数和第一服务器鉴权参数，第一服务器鉴权参数为：应用服务器根据第二随机数以及目标设备信息和/或目标用户信息生成的鉴权参数。

S302：根据第二随机数以及目标设备信息和/或目标用户信息，生成第二服务器鉴权参数。

S303：若第一服务器鉴权参数和第二服务器鉴权参数一致，确定应用服务器和应用服务器对应的管理用户合法。

在本实施例中，在上述确定预先配置的多个设备信息和多个用户信息中包括目标设备信息和目标用户信息，以及应用服务器AF/AS对NECF网元的网络鉴权通过的情况下，为了避免将真实的设备信息和用户信息非法拷贝至非法应用服务器AF/AS伪造目标设备信息和目标用户信息，应用NECF网元还需要进一步对应用服务器进行服务器鉴权。

具体的，服务器鉴权过程和上述S201-S204的网络鉴权过程类似，由应用服务器AF/AS生成第二随机数，并根据第二随机数以及目标设备信息和/或目标用户信息，采用预设加密算法生成第一服务器鉴权参数，并将第二随机数以及第一服务器鉴权参数通过开放功能网元NEF/SCEF发送至NECF网元，由NECF网元根据第二随机数以及目标设备信息和/或目标用户信息，采用预设加密算法生成第二服务器鉴权参数，NECF网元判断第一服务器鉴权参数和第二服务器鉴权参数是否一致，在第一服务器鉴权参数和第二服务器鉴权参数一致的情况下，确定应用服务器AF/AS及其管理用户合法。

其中，生成服务器鉴权参数的加密算法与生成网络鉴权参数的加密算法可以相同，也可以不同，本实施例在此不做限制。

上述实施例提供的网络安全控制方法，应用服务器通过生成第二随机数以及第一服务器鉴权参数发送给NECF网元，由NECF网元根据第二随机数计算第二服务器鉴权参数，并在第一服务器鉴权参数和第二服务器鉴权参数一致的情况下，确定服务器鉴权通过，避免非法伪造的应用服务器访问网络，提高网络安全性。

在一种可能的实现方式中，图8为本申请实施例提供的网络安全控制方法的流程示意图四，如图8所示，在上述S101接收应用服务器通过开放功能网元发送的第一接入请求之前，该方法还可以包括：

S401：接收开放功能网元发送的第二接入请求，第二接入请求包括：开放功能网元的目标网元信息。

S402：根据目标网元信息，判断开放功能网元是否合法。

S403：若开放功能网元合法，则接入开放功能网元，并向开放功能网元发送第二接入响应。

在本实施例中，开放功能网元NEF/SCEF在向NECF网元转发应用服务器AF/AS的第一接入请求之前，开放功能网元NEF/SCEF需要先接入NECF网元。

具体的，网络管理员预先通过NMS向NECF网元配置合法的多个网元信息，开放功能网元NEF/SCEF向NECF网元发送第二接入请求，携带开放功能网元NEF/SCEF的目标网元信息，NECF网元在接收到开放功能网元NEF/SCEF发送的第二接入请求后，会判断目标网元信息是否包括在预先配置的多个网元信息中，以确定开放功能网元NEF/SCEF是否合法。其中，网元信息可以包括：网元类型、网元的唯一标识、网元地址等。

若目标网元信息包括在预先配置的多个网元信息中，确定开放功能网元NEF/SCEF合法，允许开放功能网元NEF/SCEF接入NECF网元，若目标网元信息不包括在预先配置的多个网元信息中，确定开放功能网元NEF/SCEF不合法，不允许开放功能网元NEF/SCEF接入NECF网元。

上述实施例提供的网络安全控制方法，在接收应用服务器通过开放功能网元发送的第一接入请求之前，还根据开放功能网元的第二接入请求判断开放功能网元是否合法，在确定开放功能网元合法的情况下接入开放功能网元，保证网络的安全性。

在一种可能的实现方式中，第一接入响应还包括：临时标识和临时标识的有效期，以使得应用服务器根据访问权限和临时标识，在临时标识的有效期内访问网络开放服务。

在本实施例中，临时标识为每个应用服务器AF/AS访问网络开放服务的唯一标识，临时标识的有效期用于指示应用服务器AF/AS在有效期内访问网络开放服务，NECF网元通过开放功能网元NEF/SCEF向应用服务器AF/AS发送第一接入响应时，开放功能网元NEF/SCEF会保存应用服务器AF/AS的访问权限、临时标识和临时标识的有效期。

当应用服务器AF/AS需要访问网络开放服务时，应用服务器AF/AS向开放功能网元NEF/SCEF发送访问请求，访问请求中携带所需要访问的网络开放服务以及临时标识，开放功能网元NEF/SCEF判断所需要访问的网络开放服务是否在访问权限内，以及当前是否在临时标识的有效期内，若所需要访问的网络开放服务在访问权限内，且当前在临时标识的有效期内，则将应用服务器AF/AS接入网络获取对应的网络开放服务；若所需要访问的网络开放服务不在访问权限内，或者当前不在临时标识的有效期内，则拒绝应用服务器AF/AS访问网络。

在一些实施例中，当临时标识过期后，应用服务器AF/AS需要重新向NECF网元发送第一接入请求，以重新获取临时标识。

在一些实施例中，对于同一个应用服务器AF/AS上的不同管理用户，NECF会生成不同的临时标识，即每个管理用户具有唯一的临时标识。

上述实施例提供的网络安全控制方法，NECF网元通过为应用服务器及其管理用户分配临时标识以及临时标识的有效期，使得应用服务器在临时标识的有效期访问权限内访问网络开放服务，在临时标识的有效期过期后重新申请临时标识，进一步地保证网络的安全性。

以下结合实施例对应用于上述应用服务器AF/AS的网络安全控制方法的具体实现方式进行说明。

图9为本申请实施例提供的网络安全控制方法的流程示意图五，如图9所示，该方法可以包括：

S501：通过开放功能网元向NECF网元发送第一接入请求，第一接入请求包括：应用服务器的目标设备信息和应用服务器对应的管理用户的目标用户信息，NECF网元用于根据目标设备信息和目标的用户信息，判断应用服务器和应用服务器对应的管理用户是否合法。

S502：接收NECF网元在确定应用服务器和应用服务器对应的管理用户合法的情况下发送的第一接入响应，第一接入响应包括：应用服务器的访问权限。

S503：根据访问权限访问网络开放服务。

在本实施例中，当应用服务器需要访问区域移动专网中的网络开放服务时，通过开放功能网元NEF/SCEF向NECF网元发送第一接入请求，第一接入请求可以为应用服务器AF/AS第一次请求访问网络开放服务时发起的接入请求，也可以是应用服务器AF/AS在之前获取的访问网络开放服务的权限过期的情况下重新发起的接入请求。

NECF网元在接收到应用服务器AF/AS发送的第一接入请求后，会判断目标设备信息和目标用户信息是否包括在预先配置的合法设备信息和合法用户信息中，以确定应用服务器AF/AS和应用服务器AF/AS对应的管理用户是否合法。

若目标设备信息和目标用户信息包括在预先配置的合法设备信息和合法用户信息中，确定应用服务器AF/AS和应用服务器AF/AS对应的管理用户合法，在此情况下，NECF网元为应用服务器AF/AS以及应用服务器AF/AS对应的管理用户分配访问网络开放服务的访问权限，将访问权限通过第一接入响应发送给开放功能网元NEF/SCEF，开放功能网元NEF/SCEF保存第一接入响应中应用服务器AF/AS的访问权限，并将该第一接入响应转发至应用服务器AF/AS。

在一种可能的实现方式中，在上述S502接收NECF网元在确定应用服务器和应用服务器对应的管理用户合法的情况下发送的第一接入响应之前，该方法还可以包括：

接收NECF网元发送的第一随机数和第一网络鉴权参数，其中，NECF网元用于根据第一随机数以及目标设备信息和/或目标用户信息，生成第一网络鉴权参数；根据第一随机数以及目标设备信息和/或目标用户信息，生成第二网络鉴权参数，并在确定第一网络鉴权参数和第二网络鉴权参数一致时，确认网络鉴权通过；通知NECF网元网络鉴权通过，以使得NECF网元确定应用服务器和应用服务器对应的管理用户合法。

在本实施例中，NECF网元在确定应用服务器AF/AS及其管理用户合法后，采用预设随机算法生成第一随机数，并根据第一随机数以及目标设备信息和/或目标用户信息采用预设加密算法生成第一网络鉴权参数。

NECF网元将第一随机数和第一网络鉴权参数发送给开放功能网元NEF/SCEF，通过开放功能网元NEF/SCEF将第一随机数和第一网络鉴权参数转发给应用服务器AF/AS，应用服务器AF/AS在接收到第一随机数和第一网络鉴权参数后，根据第一随机数以及目标设备信息和/或目标用户信息采用预设加密算法生成第二网络鉴权参数，应用服务器AF/AS对NECF网元发送的第一网络鉴权参数和自身生成第二网络鉴权参数进行比较，若第一网络鉴权参数和第二网络鉴权参数一致，则应用服务器AF/AS对网络鉴权通过，确定所访问的NECF网元为合法网络中的NECF网元。

应用服务器AF/AS在确定对NECF网元的网络鉴权通过后，向NECF网元网络鉴权通过的通知，在此情况下NECF网元确定应用服务器AF/AS及其管理用户合法，通过开放功能网元NEF/SCEF向应用服务器AF/AS发送第一接入响应。

在一种可能的实现方式中，若网络鉴权通过，该方法还可以包括：

根据第二随机数以及目标设备信息和/或目标用户信息生成第一服务器鉴权参数；向NECF网元发送第二随机数和第一服务器鉴权参数，NECF网元用于根据第二随机数以及目标设备信息和/或目标用户信息，生成第二服务器鉴权参数；若第一服务器鉴权参数和第二服务器鉴权参数一致，确定应用服务器和应用服务器对应的管理用户合法。

在本实施例中，服务器鉴权过程和上述网络鉴权过程类似，由应用服务器AF/AS生成第二随机数，并根据第二随机数以及目标设备信息和/或目标用户信息，采用预设加密算法生成第一服务器鉴权参数，并将第二随机数以及第一服务器鉴权参数通过开放功能网元NEF/SCEF发送至NECF网元，由NECF网元根据第二随机数以及目标设备信息和/或目标用户信息，采用预设加密算法生成第二服务器鉴权参数，NECF网元判断第一服务器鉴权参数和第二服务器鉴权参数是否一致，在第一服务器鉴权参数和第二服务器鉴权参数一致的情况下，确定应用服务器AF/AS及其管理用户合法。

在一种可能的实现方式中，第一接入响应还包括：临时标识和临时标识的有效期，开放功能网元存储访问权限、临时标识和临时标识的有效期，图10为本申请实施例提供的网络安全控制方法的流程示意图六，如图10所示，该方法还可以包括：

S601：向开放功能网元发送网络访问请求，网络访问请求包括：临时标识和待访问网络开放服务，以使得开放功能网元根据临时标识和待访问网络开放服务，确定待访问网络开放服务是否在访问权限内，以及临时标识是否过期。

S602：在开放功能网元确定待访问网络开放服务在访问权限内，以及临时标识未过期的情况下，确定访问待访问网络开放服务。

在本实施例中，NECF网元通过开放功能网元NEF/SCEF向应用服务器AF/AS发送第一接入响应时，开放功能网元NEF/SCEF会保存应用服务器AF/AS的访问权限、临时标识和临时标识的有效期。

示例的，图11为本申请实施例提供的开放功能网元接入流程的交互示意图，如图11所示，开放功能网元NEF/SCEF接入NECF网元的过程可以包括：

网络管理员预先通过NMS向NECF网元配置合法的多个开放功能网元NEF/SCEF的网元信息，当接收到开放功能网元NEF/SCEF发送的接入请求后，NECF网元对开放功能网元NEF/SCEF的网元信息进行匹配认证，认证通过后，允许开放功能网元NEF/SCEF接入NECF网元，并向开放功能网元NEF/SCEF发送接入成功的通知。

图12为本申请实施例提供的接入安全认证流程的交互示意图，如图12所示，应用服务器AF/AS通过开放功能网元NEF/SCEF向NECF网元发送接入请求，携带目标设备信息和目标用户信息，NECF网元对应用服务器AF/AS及其管理用户进行匹配认证，认证通过后，生成随机数和网络鉴权参数，将随机数和网络鉴权参数通过开放功能网元NEF/SCEF发送给应用服务器AF/AS，应用服务器AF/AS对网络鉴权参数进行认证，确定接入的网络合法后，生成新的随机数和服务器鉴权参数。

应用服务器AF/AS将新的随机数和服务器鉴权参数通过开放功能网元NEF/SCEF发送给NECF网元，NECF网元对服务器鉴权参数认证通过后，向开放功能网元NEF/SCEF发送访问权限、临时标识和临时标识的有效期，开放功能网元NEF/SCEF将访问权限、临时标识和临时标识的有效期发送给应用服务器AF/AS。

应用服务器AF/AS向开放功能网元NEF/SCEF发送针对特定网络开放服务的访问请求，并携带临时标识，开放功能网元NEF/SCEF判断所需要访问的网络开放服务是否在访问权限内，以及当前是否在临时标识的有效期内，若所需要访问的网络开放服务在访问权限内，且当前在临时标识的有效期内，则将应用服务器AF/AS接入网络获取对应的网络开放服务。

在上述方法实施例的机场，本申请实施例提供了一种网络安全控制装置，应用于NECF网元。图13为本申请实施例提供的网络安全控制装置的结构示意图一，如图13所示，该装置可以包括：

请求接收模块701，用于接收应用服务器通过开放功能网元发送的第一接入请求，第一接入请求包括：应用服务器的目标设备信息和应用服务器对应的管理用户的目标用户信息；

信息判断模块702，用于根据目标设备信息和目标用户信息，判断应用服务器和应用服务器对应的管理用户是否合法；

响应发送模块703，用于若确定应用服务器和应用服务器对应的管理用户合法，向应用服务器发送第一接入响应，第一接入响应包括：应用服务器的访问权限，以使得应用服务器根据访问权限访问网络开放服务。

可选地，信息判断模块702，具体用于确定预先配置的多个设备信息和多个用户信息中是否存在目标设备信息和目标用户信息；若多个设备信息和多个用户信息中存在目标设备信息和目标用户信息，根据第一随机数以及目标设备信息和/或目标用户信息，生成第一网络鉴权参数；向应用服务器发送第一随机数和第一网络鉴权参数，以使得应用服务器根据第一随机数以及目标设备信息和/或目标用户信息，生成第二网络鉴权参数，并在确定第一网络鉴权参数和第二网络鉴权参数一致时，确认网络鉴权通过；若网络鉴权通过，确定应用服务器和应用服务器对应的管理用户合法。

可选地，若网络鉴权通过，信息判断模块702，还用于接收应用服务器发送的第二随机数和第一服务器鉴权参数，第一服务器鉴权参数为：应用服务器根据第二随机数以及目标设备信息和/或目标用户信息生成的鉴权参数；根据第二随机数以及目标设备信息和/或目标用户信息，生成第二服务器鉴权参数；若第一服务器鉴权参数和第二服务器鉴权参数一致，确定应用服务器和应用服务器对应的管理用户合法。

可选地，请求接收模块701，还用于接收开放功能网元发送的第二接入请求，第二接入请求包括：开放功能网元的目标网元信息；

信息判断模块702，还用于根据目标网元信息，判断开放功能网元是否合法；

响应发送模块703，还用于若开放功能网元合法，则接入开放功能网元，并向开放功能网元发送第二接入响应。

可选地，第一接入响应还包括：临时标识和临时标识的有效期，以使得应用服务器根据访问权限和临时标识，在临时标识的有效期内访问网络开放服务。

在上述方法实施例的基础上，本申请实施例还提供一种网络安全控制装置，应用于应用服务器。图14为本申请实施例提供的网络安全控制装置的结构示意图二，如图14所示，该装置可以包括：

请求发送模块801，用于通过开放功能网元向接入安全控制功能NECF网元发送第一接入请求，第一接入请求包括：应用服务器的目标设备信息和应用服务器对应的管理用户的目标用户信息，NECF网元用于根据目标设备信息和目标的用户信息，判断应用服务器和应用服务器对应的管理用户是否合法；

响应接收模块802，用于接收NECF网元在确定应用服务器和应用服务器对应的管理用户合法的情况下发送的第一接入响应，第一接入响应包括：应用服务器的访问权限；

网络访问模块803，用于根据访问权限访问网络开放服务。

可选地，响应接收模块802之前，该装置还可以包括：

网络鉴权模块，用于接收NECF网元发送的第一随机数和第一网络鉴权参数，其中，NECF网元用于根据第一随机数以及目标设备信息和/或目标用户信息，生成第一网络鉴权参数；根据第一随机数以及目标设备信息和/或目标用户信息，生成第二网络鉴权参数，并在确定第一网络鉴权参数和第二网络鉴权参数一致时，确认网络鉴权通过；通知NECF网元网络鉴权通过，以使得NECF网元确定应用服务器和应用服务器对应的管理用户合法。

可选地，若网络鉴权通过，该装置还可以包括：

服务器鉴权模块，用于根据第二随机数以及目标设备信息和/或目标用户信息生成第一服务器鉴权参数，向NECF网元发送第二随机数和第一服务器鉴权参数，NECF网元用于根据第二随机数以及目标设备信息和/或目标用户信息，生成第二服务器鉴权参数；若第一服务器鉴权参数和第二服务器鉴权参数一致，确定应用服务器和应用服务器对应的管理用户合法。

可选地，第一接入响应还包括：临时标识和临时标识的有效期，开放功能网元存储访问权限、临时标识和临时标识的有效期，网络访问模块803，具体用于向开放功能网元发送网络访问请求，网络访问请求包括：临时标识和待访问网络开放服务，以使得开放功能网元根据临时标识和待访问网络开放服务，确定待访问网络开放服务是否在访问权限内，以及临时标识是否过期；在开放功能网元确定待访问网络开放服务在访问权限内，以及临时标识未过期的情况下，确定访问待访问网络开放服务。

上述装置用于执行前述实施例提供的方法，其实现原理和技术效果类似，在此不再赘述。

以上这些模块可以是被配置成实施以上方法的一个或多个集成电路，例如：一个或多个特定集成电路(Application Specific Integrated Circuit，简称ASIC)，或，一个或多个微处理器，或，一个或者多个现场可编程门阵列(Field Programmable Gate Array，简称FPGA)等。再如，当以上某个模块通过处理元件调度程序代码的形式实现时，该处理元件可以是通用处理器，例如中央处理器(Central Processing Unit，简称CPU)或其它可以调用程序代码的处理器。再如，这些模块可以集成在一起，以片上系统(system-on-a-chip，简称SOC)的形式实现。

图15为本申请实施例提供的电子设备的示意图，如图15所示，该电子设备900包括：处理器901、存储介质902和总线，所述存储介质902存储有所述处理器901可执行的程序指令，当电子设备900运行时，所述处理器901与所述存储介质902之间通过总线通信，所述处理器901执行所述程序指令，以执行上述应用于NECF网元的网络安全控制方法的实施例，或者，执行上述应用于应用服务器的网络安全控制方法的实施例。具体实现方式和技术效果类似，这里不再赘述。

可选地，本发明还提供一种程计算机可读存储介质，存储介质上存储有计算机程序，所述计算机程序被处理器运行时执行上述应用于NECF网元的网络安全控制方法的实施例，或者，执行上述应用于应用服务器的网络安全控制方法的实施例。具体实现方式和技术效果类似，这里不再赘述。

在本发明所提供的几个实施例中，应该理解到，所揭露的装置和方法，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述单元的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个单元或组件可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。另一点，所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口，装置或单元的间接耦合或通信连接，可以是电性，机械或其它的形式。

所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。

另外，在本发明各个实施例中的各功能单元可以集成在一个处理单元中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现，也可以采用硬件加软件功能单元的形式实现。

上述以软件功能单元的形式实现的集成的单元，可以存储在一个计算机可读取存储介质中。上述软件功能单元存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)或处理器(英文：processor)执行本发明各个实施例所述方法的部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(英文：Read-Only Memory，简称：ROM)、随机存取存储器(英文：Random Access Memory，简称：RAM)、磁碟或者光盘等各种可以存储程序代码的介质。

上仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以权利要求的保护范围为准。

Claims

1.一种网络安全控制方法，其特征在于，应用于接入安全控制功能NECF网元，所述方法包括：

2.如权利要求1所述的方法，其特征在于，所述根据所述目标设备信息和所述目标的用户信息，判断所述应用服务器和所述应用服务器对应的管理用户是否合法，包括：

3.根据权利要求2所述的方法，其特征在于，若网络鉴权通过，所述根据所述目标设备信息和所述目标的用户信息，判断所述应用服务器和所述应用服务器对应的管理用户是否合法，还包括：

4.根据权利要求1所述的方法，其特征在于，所述接收应用服务器通过开放功能网元发送的第一接入请求之前，所述方法还包括：

根据所述目标网元信息，判断所述开放功能网元是否合法；

5.根据权利要求1所述的方法，其特征在于，所述第一接入响应还包括：临时标识和所述临时标识的有效期，以使得所述应用服务器根据所述访问权限和所述临时标识，在所述临时标识的有效期内访问所述网络开放服务。

6.一种网络安全控制方法，其特征在于，应用于应用服务器，所述方法包括：

根据所述访问权限访问网络开放服务。

7.根据权利要求6所述的方法，其特征在于，所述接收所述NECF网元在确定所述应用服务器和所述应用服务器对应的管理用户合法的情况下发送的第一接入响应之前，所述方法还包括：

8.根据权利要求7所述的方法，其特征在于，若网络鉴权通过，所述方法还包括：

9.根据权利要求6所述的方法，其特征在于，所述第一接入响应还包括：临时标识和所述临时标识的有效期，所述开放功能网元存储所述访问权限、所述临时标识和所述临时标识的有效期，所述根据所述访问权限访问网络开放服务，包括：

10.一种电子设备，其特征在于，包括：处理器、存储介质和总线，所述存储介质存储有所述处理器可执行的程序指令，当电子设备运行时，所述处理器与所述存储介质之间通过总线通信，所述处理器执行所述程序指令，以执行如权利要求1至5任一项所述的网络安全控制方法的步骤，或者，如权利要求6至9任一项所述的网络安全控制方法的步骤。