CN114513829A - 网络接入方法、装置、核心网、服务器及终端 - Google Patents

网络接入方法、装置、核心网、服务器及终端 Download PDF

Info

Publication number
CN114513829A
CN114513829A CN202111659787.9A CN202111659787A CN114513829A CN 114513829 A CN114513829 A CN 114513829A CN 202111659787 A CN202111659787 A CN 202111659787A CN 114513829 A CN114513829 A CN 114513829A
Authority
CN
China
Prior art keywords
network
target
access
terminal
radius
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111659787.9A
Other languages
English (en)
Inventor
王旗
郑伟
杨骏泽
林文通
张孟康
宋依欣
徐良红
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Corp Ltd
Original Assignee
China Telecom Corp Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Corp Ltd filed Critical China Telecom Corp Ltd
Priority to CN202111659787.9A priority Critical patent/CN114513829A/zh
Publication of CN114513829A publication Critical patent/CN114513829A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/009Security arrangements; Authentication; Protecting privacy or anonymity specially adapted for networks, e.g. wireless sensor networks, ad-hoc networks, RFID networks or cloud networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/12Detection or prevention of fraud
    • H04W12/121Wireless intrusion detection systems [WIDS]; Wireless intrusion prevention systems [WIPS]
    • H04W12/122Counter-measures against attacks; Protection against rogue devices
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information

Abstract

本申请提供一种网络接入方法、装置、核心网、服务器及终端,应用于核心网的方法包括:接收终端发送的携带目标接入点信息的接入请求;在接入请求、终端接入核心网的合法性核验通过时,向Radius服务器发送Radius认证请求;在接收到Radius服务器反馈的允许接入目标定制网络的第一响应信息时,发起会话建立连接请求、为终端分配目标网络地址,向Radius服务器发送携带起始标识的在线接入消息;在接收到Radius服务器反馈的第一确认信息时,将目标网络地址发送至终端,以使终端接入目标定制网络。本申请由服务器对终端接入的合法性进行校验,达到灵活决策、准确接入控制的目的,可保证定制网络用户的安全有效接入。

Description

网络接入方法、装置、核心网、服务器及终端
技术领域
本申请涉及通信技术领域,尤其涉及一种网络接入方法、装置、核心网、服务器及终端。
背景技术
目前,随着第五代移动通信技术(5th Generation Mobile CommunicationTechnology,5G)时代的到来,5G结合多接入边缘计算(Multi-access Edge Computing,MEC)场景的广泛应用和发展,使得政企用户使用自己专属的5G定制网变成了现实。随着5G定制网在多场景的应用,也给互联网新兴信息安全带来了前所未有的挑战,因此保障定制网业务信息的安全,作为5G时代的基本要求,已成为发展趋势。
基于5G切片专网技术,利用网际互联协议(Internet Protocol,IP)网络的承载功能结合相应的认证和授权机制在运营商建立安全的5G定制网业务,成为5G+MEC场景下大部分政企定制网用户的选择。该业务也是发展移动互联网、云计算、大数据、人工智能、物联网等新兴技术,实现万物安全互联的条件之一。当前实现政企5G定制网的技术中,接入政企内网只需终端支持5G网络且客户识别模块(Subscriber Identity Module,SIM卡)签约定制网专属接入点信息即可,方便快捷。
具体而言,政企用户定制专属的智慧园区网络场景时,通常是利用边缘用户面功能(User Plane Function,UPF)打造的MEC边缘计算平台接入政企内部网络,来实现5G网络的大带宽和低时延特性,目前终端接入定制网的路线是:
1、定制网用户在终端设置定制网接入点数据网络名(Data Network Name,DNN)信息,以发起接入请求,接入和移动性管理功能(Access and Mobility ManagementFunction,AMF)网元接收终端上传的定制网DNN信息,并基于统一数据管理(Unified DataManagement,UDM)网元获取用户签约信息,进行核对,并对终端接入网络的合法性进行鉴权。
2、在核对一致且合法性鉴权通过的情况下,AMF网元接收携带定制网DNN信息的接入请求,向会话管理功能(Ession Management Function,SMF)网元发起建立承载会话连接请求。
3、SMF收到建立承载会话连接请求后,根据定制网DNN信息选择能为终端用户分配内网地址并可与政企内网互通的UPF,并向其发起会话建立连接请求。
4、UPF收到会话建立连接请求后,给终端分配定制网用户地址,终端获得地址后进入定制网网络,即可访问政企内部网络。
上述流程存在以下几个问题:1、在安全接入方面,若终端遗失或SIM卡被盗用使得他人获得定制网信息,政企侧无法及时控制SIM卡的接入权限。特别是特殊政企定制网用户(如保密企业),为实现终端插卡即用或防止因终端误操作而接入公网,特殊政企会要求运营商在UDM本地配置单一定制网签约数据,利用AMF纠错功能实现单一定制网接入功能,无需设置定制网接入点即可进入政企内网,此种情况下若他人获得定制网信息,容易造成信息泄露。2、无法实现SIM卡与终端绑定,容易造成SIM卡挪用等问题。3、定制网用户在受理完定制网业务后即可访问内网业务,但政企网络管理和维护者无法在接入侧实时灵活查看和管理终端的接入状态及在线信息。4、通常情况下政企内网不允许与运营商控制面网络直接互通,若政企内网与运营商控制面网络直接互通,会增加互联网暴露面,造成运营商核心网络安全隐患。
由此可见,现有技术中实现定制网的方案,存在安全性较低,灵活性差,无法实现定制网用户安全有效接入,以及无法保证用户的可控性的问题。
发明内容
本申请实施例提供一种网络接入方法、装置、核心网、服务器及终端,以解决现有技术中实现定制网的方案,存在的安全性较低,灵活性差,无法实现定制网用户安全有效接入以及无法保证用户的可控性的问题。
第一方面,本申请实施例提供一种网络接入方法,应用于核心网,包括:
接收终端发送的携带目标接入点信息的接入请求,所述目标接入点信息为目标定制网络对应的接入点信息;
在所述接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,向远程用户拨号认证Radius服务器发送Radius认证请求,所述Radius认证请求中携带所述目标接入点信息和所述终端对应的至少一个标识信息;
在接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息;
在接收到所述Radius服务器反馈的第一确认信息的情况下,将所述目标网络地址发送至所述终端,以使所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
第二方面,本申请实施例提供一种网络接入方法,应用于Radius服务器,包括:
接收核心网发送的远程用户拨号认证Radius认证请求,在终端的接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,所述核心网发送携带目标接入点信息以及所述终端对应的至少一个标识信息的所述Radius认证请求,所述接入请求中携带所述目标接入点信息;
根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件;
在所述终端符合所述接入条件的情况下,向所述核心网反馈允许接入所述目标定制网络的第一响应信息;
接收所述核心网发送的携带起始标识的在线接入消息,所述在线接入消息在所述核心网发起会话建立连接请求、为所述终端分配目标网络地址的情况下发送,所述会话建立连接请求包括所述在线接入消息;
对所述终端将要访问所述目标定制网络的状态进行记录,并向所述核心网反馈第一确认信息,以使所述核心网将所述目标网络地址发送至所述终端,所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
第三方面,本申请实施例提供一种网络接入方法,应用于终端,包括:
向核心网发送携带目标接入点信息的接入请求,由所述核心网向远程用户拨号认证Radius服务器发送携带所述目标接入点信息和所述终端对应的至少一个标识信息的Radius认证请求,所述Radius认证请求在所述接入请求和所述终端接入所述核心网的合法性核验通过的情况下发送;
接收所述核心网在接收到所述Radius服务器反馈的第一确认信息的情况下发送的目标网络地址,并基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络;
其中,在所述Radius服务器基于所述Radius认证请求反馈允许接入所述目标定制网络的第一响应信息的情况下,所述核心网发起会话建立连接请求、为所述终端分配目标网络地址,并向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息,所述Radius服务器接收所述在线接入消息后反馈所述第一确认信息。
第四方面,本申请实施例提供一种核心网,包括存储器,收发机,处理器;所述存储器,用于存储计算机程序;所述收发机,用于在所述处理器的控制下收发数据;所述处理器,用于读取所述存储器中的计算机程序并执行第一方面所述的网络接入方法。
第五方面,本申请实施例提供一种Radius服务器,包括存储器,收发机,处理器;所述存储器,用于存储计算机程序;所述收发机,用于在所述处理器的控制下收发数据;所述处理器,用于读取所述存储器中的计算机程序并执行第二方面所述的网络接入方法。
第六方面,本申请实施例提供一种终端,包括存储器,收发机,处理器;所述存储器,用于存储计算机程序;所述收发机,用于在所述处理器的控制下收发数据;所述处理器,用于读取所述存储器中的计算机程序并执行第三方面所述的网络接入方法。
第七方面,本申请实施例提供一种网络接入装置,应用于核心网,包括:
第一接收模块,用于接收终端发送的携带目标接入点信息的接入请求,所述目标接入点信息为目标定制网络对应的接入点信息;
第一发送模块,用于在所述接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,向远程用户拨号认证Radius服务器发送Radius认证请求,所述Radius认证请求中携带所述目标接入点信息和所述终端对应的至少一个标识信息;
第一处理模块,用于在接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息;
第二发送模块,用于在接收到所述Radius服务器反馈的第一确认信息的情况下,将所述目标网络地址发送至所述终端,以使所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
第八方面,本申请实施例提供一种网络接入装置,应用于Radius服务器,包括:
第二接收模块,用于接收核心网发送的远程用户拨号认证Radius认证请求,在终端的接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,所述核心网发送携带目标接入点信息以及所述终端对应的至少一个标识信息的所述Radius认证请求,所述接入请求中携带所述目标接入点信息;
检测模块,用于根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件;
第一反馈模块,用于在所述终端符合所述接入条件的情况下,向所述核心网反馈允许接入所述目标定制网络的第一响应信息;
第三接收模块,用于接收所述核心网发送的携带起始标识的在线接入消息,所述在线接入消息在所述核心网发起会话建立连接请求、为所述终端分配目标网络地址的情况下发送,所述会话建立连接请求包括所述在线接入消息;
第二处理模块,用于对所述终端将要访问所述目标定制网络的状态进行记录,并向所述核心网反馈第一确认信息,以使所述核心网将所述目标网络地址发送至所述终端,所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
第九方面,本申请实施例提供一种网络接入装置,应用于终端,包括:
第三发送模块,用于向核心网发送携带目标接入点信息的接入请求,由所述核心网向远程用户拨号认证Radius服务器发送携带所述目标接入点信息和所述终端对应的至少一个标识信息的Radius认证请求,所述Radius认证请求在所述接入请求和所述终端接入所述核心网的合法性核验通过的情况下发送;
第三处理模块,用于接收所述核心网在接收到所述Radius服务器反馈的第一确认信息的情况下发送的目标网络地址,并基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络;
其中,在所述Radius服务器基于所述Radius认证请求反馈允许接入所述目标定制网络的第一响应信息的情况下,所述核心网发起会话建立连接请求、为所述终端分配目标网络地址,并向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息,所述Radius服务器接收所述在线接入消息后反馈所述第一确认信息。
第十方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述第一方面、第二方面或者第三方面所述的方法。
本申请实施例的技术方案,在终端的接入请求核验通过且终端接入核心网的合法性核验通过的情况下,核心网向Radius服务器发送Radius认证请求,Radius服务器检测终端是否符合接入目标定制网络的接入条件,核心网基于Radius服务器反馈的允许接入的第一响应信息,发起会话建立连接请求、为终端分配目标网络地址,向Radius服务器发送携带起始标识的在线接入消息,在核心网接收到第一确认信息时将目标网络地址发送至终端,以使终端接入目标定制网络,可以实现由Radius服务器对终端接入的合法性进行校验,达到灵活决策、准确接入控制的目的,可有效防范伪终端,增强防御恶意伪装攻击能力,提高网络安全保障,保证定制网络用户的安全有效接入,且可以通过Radius服务器对接入终端和终端在线状态进行实时管理,大大提升定制网络运营效率。
附图说明
图1表示本申请实施例提供的应用于核心网的网络接入方法示意图;
图2表示本申请实施例提供的应用于服务器的网络接入方法示意图;
图3表示本申请实施例提供的应用于终端的网络接入方法示意图;
图4表示本申请实施例提供的网络接入方法的交互流程示意图;
图5表示本申请实施例提供的应用于核心网的网络接入装置示意图;
图6表示本申请实施例提供的应用于服务器的网络接入装置示意图;
图7表示本申请实施例提供的应用于终端的网络接入装置示意图;
图8表示本申请实施例提供的核心网的结构框图;
图9表示本申请实施例提供的服务器的结构框图;
图10表示本申请实施例提供的终端的结构框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
应理解,说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本申请的至少一个实施例中。因此,在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外,这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
在本申请的各种实施例中,应理解,下述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本申请实施例的实施过程构成任何限定。
本申请提供了一种独立组网(Standalone,SA)架构下实现定制网络用户接入的方案,可以提高网络安全保障,保证定制网络用户的安全有效接入。下面对本申请提供的方法进行介绍。
本申请实施例提供一种网络接入方法,应用于核心网,参见图1所示,包括:
步骤101、接收终端发送的携带目标接入点信息的接入请求,所述目标接入点信息为目标定制网络对应的接入点信息。
本申请实施例中,核心网接收终端发送的接入请求,接入请求中携带有目标接入点信息,目标接入点信息为目标定制网络对应的接入点信息,即,接入请求为请求接入目标定制网络的请求。目标定制网络可以为企业定制网络、政府部门定制网络,这里的定制网络即为专用网络,可以理解为企业、政府部门的内网。其中,目标接入点为目标DNN。
步骤102、在所述接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,向远程用户拨号认证Radius服务器发送Radius认证请求,所述Radius认证请求中携带所述目标接入点信息和所述终端对应的至少一个标识信息。
核心网在接收到终端发送的接入请求之后,基于统一数据管理(Unified DataManagement,UDM)网元获取终端对应的签约信息,基于签约信息对接入请求进行核验,其中UDM网元具有服务器的功能,可存储签约信息,签约信息中可存储目标定制网络对应的DNN信息,以实现基于签约信息对接入请求进行核验。且核心网需要对终端接入核心网的合法性进行核验,例如,伪终端模拟终端行为注册5G网络,5G网络对终端验证(通过五元组密钥),则核实不通过。其中,对终端接入核心网的合法性进行核验的过程,即为对终端和核心网进行双向鉴权。由上述分析可知,接入请求和签约信息与目标定制网络相关,终端接入核心网的合法性与终端和核心网相关。
在接入请求核验通过且终端接入核心网的合法性核验通过的情况下,核心网向远程用户拨号认证(Remote Authentication Dial In User Service,Radius)服务器发送Radius认证请求,所发送的Radius认证请求中可以携带目标接入点信息和终端对应的至少一个标识信息,其中核心网可以基于与终端的通信获取终端上报的至少一个标识信息。通过发送Radius认证请求(可以携带控制层面涉及终端接入的信息),可以避免出现目标定制网络(如企业内网)与运营商控制面网络直接互通的情况,保证核心网络安全。
步骤103、在接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息。
针对Radius服务器而言,在接收到Radius认证请求之后,可以基于所接收到的Radius认证请求检测终端是否符合接入目标定制网络的接入条件,若符合,则通过Radius协议向核心网反馈允许接入目标定制网络的第一响应信息。核心网在接收到Radius服务器反馈的第一响应信息的情况下,基于第一响应信息发起会话建立连接请求、为终端分配目标网络地址,其中,会话建立连接请求包括携带起始标识的在线接入消息,起始标识用于指示终端开始接入目标定制网络,且在线接入消息对应的类型为Radius协议对应的类型。核心网基于Radius协议向Radius服务器发送携带起始标识的在线接入消息。
步骤104、在接收到所述Radius服务器反馈的第一确认信息的情况下,将所述目标网络地址发送至所述终端,以使所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
针对Radius服务器而言,在接收到携带起始标识的在线接入消息之后,对终端将要访问目标定制网络的状态进行记录,然后通过Radius协议向核心网反馈第一确认信息。核心网接收Radius服务器反馈的第一确认信息,基于第一确认信息将为终端分配的目标网络地址发送至终端,使得终端基于目标网络地址访问目标服务器、接入目标服务器对应的目标定制网络。
其中,目标服务器用于存储内网数据,Radius服务器用于对终端进行认证,在终端认证通过的情况下,可以访问目标服务器,例如,目标服务器和Radius服务器为某企业旗下的服务器,基于Radius服务器对终端进行认证,在终端通过认证的情况下,可以访问企业服务器以接入企业内网。本申请实施例中Radius服务器为认证服务器,目标服务器为内网(定制网络)服务器,目标定制网络可以为5G网络,也可以为4G、长期演进(Long TermEvolution,LTE)等网络,即,本申请实施例提供的网络接入方法可以应用于5G场景,也可以应用于4G、LTE等场景。
本申请上述实施过程,在终端的接入请求核验通过且终端接入核心网的合法性核验通过的情况下,向Radius服务器发送Radius认证请求,由Radius服务器检测终端是否符合接入目标定制网络的接入条件,基于Radius服务器反馈的允许接入的第一响应信息,发起会话建立连接请求、为终端分配目标网络地址,向Radius服务器发送携带起始标识的在线接入消息,在接收到第一确认信息时将目标网络地址发送至终端,以使终端接入目标定制网络,可以实现由Radius服务器对终端接入的合法性进行校验,达到灵活决策、准确接入控制的目的,可有效防范伪终端,增强防御恶意伪装攻击能力,提高网络安全保障,保证定制网络用户的安全有效接入,且可以通过Radius服务器对接入终端和终端在线状态进行实时管理,大大提升定制网络运营效率。
其中,所述核心网包括:接入和移动性管理功能AMF网元、会话管理功能SMF网元以及用户面功能UPF网元;所述AMF网元用于接收所述接入请求并对所述接入请求以及所述终端接入所述核心网的合法性进行核验,所述SMF网元支持Radius协议透传至所述UPF网元,所述UPF网元与所述目标定制网络互通且支持转发Radius协议至所述Radius服务器。
核心网控制面包括AMF网元、SMF网元,核心网数据面包括UPF网元。其中AMF网元、SMF网元以及UPF网元的数量可以为一个或者多个。本实施例中的AMF网元、SMF网元以及UPF网元为终端接入的网元,且终端接入一个AMF网元、一个SMF网元以及一个UPF网元。其中,AMF网元用于与终端控制层通信,接收终端发送的接入请求,并对接入请求以及终端接入核心网的合法性进行核验,具体为:AMF网元接收到终端发送的接入请求之后,基于UDM网元获取终端对应的签约信息,基于签约信息对接入请求进行核验;AMF网元也需要对终端接入核心网的合法性进行核验,对终端接入核心网的合法性进行核验的过程,即为对终端和核心网进行双向鉴权。
SMF网元与AMF网元通信,用于接收AMF网元传输的信息,且SMF网元支持Radius协议透传至UPF网元,UPF网元支持Radius协议转发,SMF网元与UPF网元通信,UPF网元与目标定制网络互通,因此可以与Radius服务器通信、将Radius协议转发至Radius服务器,且UPF网元可以分配网络地址。
可选地,步骤102向远程用户拨号认证Radius服务器发送Radius认证请求,包括:
通过所述SMF网元向所述UPF网元透传所述Radius认证请求;
通过所述UPF网元将所述Radius认证请求转发至所述Radius服务器,以使所述Radius服务器基于所述目标接入点信息以及所述至少一个标识信息验证所述终端是否符合接入所述目标定制网络的接入条件;
其中,所述至少一个标识信息包括:移动台综合业务数字网号码MSISDN、国际移动用户识别码IMSI和国际移动设备识别码IMEI中的至少一个,所述Radius认证请求基于所述接入请求确定。
本实施例中,针对SMF网元而言,需要在现有SMF网元的基础上进行改造,以使得改造后的SMF网元支持Radius协议透传至UPF网元,相应的,UPF网元需要改造,以使得改造后的UPF网元支持Radius协议转发。
核心网在向Radius服务器发送Radius认证请求时,由于SMF网元支持Radius协议透传至UPF网元,可以由SMF网元基于接收到的接入请求生成Radius认证请求之后,向UPF网元透传Radius认证请求。其中,SMF网元接收AMF网元传输的接入请求,SMF网元基于接入请求中的目标接入点信息以及获取的终端对应的至少一个标识信息,生成携带目标接入点信息和终端对应的至少一个标识信息的Radius认证请求。UPF网元在接收到Radius认证请求之后,基于UPF网元所支持的Radius协议转发功能,将Radius认证请求转发至Radius服务器,以使Radius服务器基于目标接入点信息以及至少一个标识信息验证终端是否符合接入目标定制网络的接入条件。
其中,至少一个标识信息可以包括:移动台综合业务数字网号码(MobileSubscriber International ISDN/PSTN number,MSISDN)、国际移动用户识别码(International Mobile Subscriber Identification Number,IMSI)和国际移动设备识别码(International Mobile Equipment Identity,IMEI)中的至少一个。针对至少一个标识信息包括IMEI和MSISDN的情况、包括IMEI和IMSI的情况,可以实现机卡绑定。
本申请上述实施过程,通过对SMF网元和UPF网元进行改造,可以向Radius服务器发送Radius认证请求,由Radius服务器对终端接入的合法性进行校验,对定制网络接入流程进行改进,无需增加网元,充分考虑了对现网的兼容性。且通过UPF网元转发Radius认证请求,可以避免出现目标定制网络(如企业内网)与运营商控制面网络直接互通的情况,保证核心网络安全。
可选地,步骤103在接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,向所述Radius服务器发送携带起始标识的在线接入消息,包括:
在通过所述UPF网元接收所述Radius服务器反馈的所述第一响应信息之后,通过所述SMF网元发起所述会话建立连接请求,并向所述UPF网元发送所述会话建立连接请求;
通过所述UPF网元为所述终端分配所述目标网络地址、向所述Radius服务器发送携带所述起始标识的所述在线接入消息;
其中,所述UPF网元将所述第一响应信息转发至所述SMF网元。
核心网通过UPF网元向Radius服务器发送Radius认证请求之后,由Radius服务器基于目标接入点信息以及至少一个标识信息验证终端是否符合接入目标定制网络的接入条件。在核心网通过UPF网元接收Radius服务器通过Radius协议反馈的第一响应信息的情况下,在核心网内部进行信息交互,由UPF网元将第一响应信息传输至SMF网元,使得SMF网元获取允许终端接入目标定制网络的第一响应信息,其中UPF网元通过Radius协议将第一响应信息传输至SMF网元。
SMF网元获取第一响应信息之后,发起会话建立连接请求,并向UPF网元发送会话建立连接请求,UPF网元接收会话建立连接请求之后,为终端分配目标网络地址,然后向Radius服务器发送携带起始标识的在线接入消息,使得Radius服务器可以获取携带起始标识的在线接入消息,并根据在线接入消息对终端将要访问目标定制网络的状态进行记录。
其中,在接收到所述Radius服务器反馈的第一确认信息的情况下,将所述目标网络地址发送至所述终端,包括:
在通过所述UPF网元接收到所述第一确认信息并转发至所述SMF网元的情况下,通过所述UPF网元将所述目标网络地址经所述SMF网元、所述AMF网元发送至所述终端。
Radius服务器在接收到在线接入消息、根据在线接入消息对终端将要访问目标定制网络的状态进行记录之后,Radius服务器会反馈第一确认信息,核心网接收Radius服务器通过Radius协议反馈的第一确认信息。其中,核心网通过UPF网元接收第一确认信息,针对UPF网元而言,在接收到第一确认信息之后,将第一确认信息通过Radius协议转发至SMF网元,以使SMF网元收到请求确认反馈。然后UPF网元将预先为终端分配的目标网络地址发送至SMF网元、由SMF网元将目标网络地址发送至AMF网元,最终由AMF网元将目标网络地址发送至终端,以使得终端基于目标网络地址访问目标服务器、接入目标服务器对应的目标定制网络。
本申请上述实施过程,在接收到Radius服务器反馈的允许终端接入的第一响应信息的情况下,由SMF网元发起会话建立连接请求,并向UPF网元发送携带起始标识的会话建立连接请求,UPF网元基于会话建立连接请求为终端分配目标网络地址、向Radius服务器发送携带起始标识的在线接入消息,在接收到Radius服务器发送的第一确认信息的情况下,通过UPF网元将目标网络地址经SMF网元、AMF网元发送至终端,使得终端基于目标网络地址接入目标定制网络,可以在Radius服务器对终端接入的合法性进行校验之后,基于会话建立连接请求,建立终端与目标服务器之间的连接,实现终端访问目标定制网络。
且通过对SMF网元和UPF网元进行改造,可以对定制网络接入流程进行改进,无需增加网元,充分考虑了对现网的兼容性。
在本申请一可选实施例中,在所述终端接入所述目标服务器对应的目标定制网络之后,还包括:
接收所述终端发送的下线请求;
向所述Radius服务器发送携带终止标识的Radius下线请求;
接收所述Radius服务器反馈的第二确认信息,基于所述第二确认信息解除所述目标网络地址的占用、向所述终端发送所述目标网络地址解除占用的第一通知信息;
其中,所述核心网通过所述AMF网元接收所述下线请求,所述AMF网元将所述下线请求传输至所述SMF网元,所述SMF网元向所述UPF网元透传携带终止标识的Radius下线请求、由所述UPF网元转发至所述Radius服务器,所述Radius下线请求基于所述下线请求确定;
所述核心网通过所述UPF网元接收所述第二确认信息并转发至所述SMF网元,所述UPF网元解除所述目标网络地址的占用,并经所述SMF网元、所述AMF网元向所述终端发送所述目标网络地址解除占用的第一通知信息。
在终端接入目标定制网络之后,若核心网接收到终端发送的下线请求,则生成携带终止标识的Radius下线请求,将Radius下线请求发送至Radius服务器,使得Radius服务器基于Radius下线请求记录终端的下线时间,然后反馈第二确认信息,核心网基于第二确认信息,解除目标网络地址的占用,实现目标网络地址的回收,以便于为其他终端分配该地址。
其中,核心网通过AMF网元接收终端发送的下线请求,由AMF网元将下线请求发送至SMF网元,SMF网元基于下线请求生成携带终止标识的Radius下线请求、通过Radius协议将Radius下线请求发送至UPF网元,由UPF网元基于与Radius服务器之间的通信,通过Radius协议将Radius下线请求转发至Radius服务器。其中,终止标识用于指示终端当前下线。
Radius服务器在基于Radius下线请求记录终端的下线时间后,通过Radius协议向UPF网元反馈第二确认信息。UPF网元接收到第二确认信息之后,通过Radius协议转发至SMF网元,使得SMF网元收到请求确认反馈(下线请求的确认反馈)。由于UPF网元为终端分配目标网络地址,在接收到第二确认信息之后,可以解除目标网络地址的占用,并向SMF网元发送目标网络地址解除占用的第一通知信息,由SMF网元将第一通知信息发送至AMF网元,由AMF网元向终端反馈第一通知信息。
本申请上述实施流程,在接收到下线请求之后,向Radius服务器发送携带终止标识的Radius下线请求,接收Radius服务器基于Radius下线请求反馈的第二确认信息,根据第二确认信息解除目标网络地址的占用,实现目标网络地址的回收、保证目标网络地址的再次利用。
在本申请一可选实施例中,在接收到所述Radius服务器反馈的不允许接入所述目标定制网络的第二响应信息的情况下,所述方法还包括:
向所述终端反馈不允许接入所述目标定制网络的第二通知信息。
在核心网接收到Radius服务器通过Radius协议反馈的不允许接入目标定制网络的第二响应信息的情况下,则向终端反馈不允许接入目标定制网络的第二通知信息,以使得终端可以基于第二通知信息确定无法接入目标定制网络。此时,终端无法获取目标网络地址,第二通知信息用于提示终端不可接入目标定制网络。第二响应信息以及第二通知信息中可以携带不允许接入的原因,以便于终端了解。
其中,核心网通过UPF网元接收Radius服务器反馈的第二响应信息,UPF网元基于所接收到的第二响应信息、通过Radius协议向SMF网元转发第二响应信息,使得SMF网元获取不允许终端接入目标定制网络的反馈。SMF网元基于第二响应信息向AMF网元发送第二通知信息,并由AMF网元将第二通知信息反馈至终端,第二通知信息用于指示不允许终端接入目标定制网络。
本申请上述实施流程,在经Radius服务器验证确定终端不满足接入条件时,接收Radius服务器发送的第二响应信息,基于第二响应信息向终端反馈不允许接入目标定制网络的第二通知信息,使得终端获取不可接入目标定制网络的提示。
以上为本申请实施例提供的应用于核心网侧的网络接入方法,在终端的接入请求核验通过且终端接入核心网的合法性核验通过的情况下,向Radius服务器发送Radius认证请求,由Radius服务器检测终端是否符合接入目标定制网络的接入条件,基于Radius服务器反馈的允许接入的第一响应信息,发起会话建立连接请求、为终端分配目标网络地址,向Radius服务器发送携带起始标识的在线接入消息,在接收到第一确认信息时将目标网络地址发送至终端,以使终端接入目标定制网络,可以实现由Radius服务器对终端接入的合法性进行校验,达到灵活决策、准确接入控制的目的,可有效防范伪终端,增强防御恶意伪装攻击能力,提高网络安全保障,保证定制网络用户的安全有效接入,且可以通过Radius服务器对接入终端和终端在线状态进行实时管理,大大提升定制网络运营效率,同时减少因终端误接入或限制某终端接入而带来的业务障碍投诉,有效降低了同类型客服投诉话务量。
进一步地,通过对SMF网元和UPF网元进行改造,由Radius服务器对终端接入的合法性进行校验,对定制网络接入流程进行改进,无需增加网元,充分考虑了对现网的兼容性;通过发送Radius认证请求,可以避免出现目标定制网络与运营商控制面网络直接互通的情况,保证核心网络安全。
在接收到下线请求之后,向Radius服务器发送携带终止标识的Radius下线请求,接收Radius服务器基于Radius下线请求反馈的第二确认信息,根据第二确认信息解除目标网络地址的占用,实现目标网络地址的回收、保证目标网络地址的再次利用;通过基于第二响应信息向终端反馈不允许接入目标定制网络的第二通知信息,使得终端获取不可接入目标定制网络的提示。
本申请实施例还提供一种网络接入方法,应用于Radius服务器,参见图2所示,包括:
步骤201、接收核心网发送的远程用户拨号认证Radius认证请求,在终端的接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,所述核心网发送携带目标接入点信息以及所述终端对应的至少一个标识信息的所述Radius认证请求,所述接入请求中携带所述目标接入点信息。
在本实施例中,Radius服务器接收核心网发送的携带目标接入点信息以及终端对应的至少一个标识信息的Radius认证请求。其中,核心网首先接收终端发送的携带目标接入点信息的接入请求,对接入请求进行核验、对终端接入核心网的合法性进行核验,在核验通过的情况下,生成Radius认证请求并通过Radius协议发送至Radius服务器。
核心网包括AMF网元、SMF网元以及UPF网元,AMF网元与终端控制面通信,接收终端发送的接入请求,并对接入请求以及终端接入核心网的合法性进行核验,在校验通过后通知SMF网元。SMF网元为改造后的网元、支持Radius协议透传至UPF网元,UPF网元为改造后的网元、支持Radius协议转发。SMF网元可以基于接入请求生成Radius认证请求,通过Radius协议向UPF网元透传Radius认证请求,Radius服务器接收UPF网元通过Radius协议转发的Radius认证请求。
步骤202、根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件。
Radius服务器在接收到Radius认证请求之后,可以基于所接收到的Radius认证请求检测终端是否符合接入目标定制网络的接入条件。在检测终端是否符合接入条件时,可以基于Radius认证请求中携带的目标接入点信息以及终端对应的至少一个标识信息进行检测。
步骤203、在所述终端符合所述接入条件的情况下,向所述核心网反馈允许接入所述目标定制网络的第一响应信息。
Radius服务器在经过检测确定终端符合接入条件的情况下,通过Radius协议向核心网反馈允许接入目标定制网络的第一响应信息,其中,第一响应信息传输至核心网的UPF网元,由UPF网元通过Radius协议将第一响应信息传输至SMF网元。
步骤204、接收所述核心网发送的携带起始标识的在线接入消息,所述在线接入消息在所述核心网发起会话建立连接请求、为所述终端分配目标网络地址的情况下发送,所述会话建立连接请求包括所述在线接入消息。
针对核心网而言,SMF网元获取第一响应信息之后,发起会话建立连接请求,并向UPF网元发送会话建立连接请求,其中会话建立连接请求包括在线接入消息(携带起始标识)以及其他内容(如指示为终端分配地址的指示信息),在线接入消息通过Radius协议发送。UPF网元接收会话建立连接请求之后,为终端分配目标网络地址,然后向Radius服务器发送携带起始标识的在线接入消息,Radius服务器接收携带起始标识的在线接入消息。
步骤205、对所述终端将要访问所述目标定制网络的状态进行记录,并向所述核心网反馈第一确认信息,以使所述核心网将所述目标网络地址发送至所述终端,所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
Radius服务器接收携带起始标识的在线接入消息之后,对终端将要访问目标定制网络的状态进行记录,并通过Radius协议向核心网反馈第一确认信息。其中,核心网通过UPF网元接收第一确认信息,UPF网元在接收到第一确认信息之后转发至SMF网元,UPF网元转发第一确认信息之后,可以将预先为终端分配的目标网络地址发送至SMF网元、由SMF网元将目标网络地址发送至AMF网元,最终由AMF网元将目标网络地址发送至终端,以使得终端基于目标网络地址访问目标服务器、接入目标服务器对应的目标定制网络。
本申请上述实施过程,通过接收核心网发送Radius认证请求,基于Radius认证请求,检测终端是否符合接入目标定制网络的接入条件,在终端符合接入条件的情况下,向核心网反馈第一响应信息,接收核心网在分配目标网络地址后发送的在线接入消息,向核心网反馈第一确认信息,使得核心网将目标网络地址发送至终端,终端接入目标定制网络,可以实现由Radius服务器对终端接入的合法性进行校验,达到灵活决策、准确接入控制的目的,可有效防范伪终端,增强防御恶意伪装攻击能力,提高网络安全保障,保证定制网络用户的安全有效接入,且可以通过Radius服务器对接入终端和终端在线状态进行实时管理,大大提升定制网络运营效率。
其中,步骤202根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件,包括:
根据在线信息库,检测所述目标接入点信息是否准确,以及,检测所述至少一个标识信息是否准确;
在所述目标接入点信息准确且所述至少一个标识信息准确的情况下,确定所述终端符合接入所述目标定制网络的接入条件;
其中,所述至少一个标识信息包括:移动台综合业务数字网号码MSISDN、国际移动用户识别码IMSI和国际移动设备识别码IMEI中的至少一个。
在检测终端是否符合接入目标定制网络的接入条件时,基于在线信息库检测目标接入点信息是否准确,并基于在线信息库,对终端的至少一个标识信息进行检测。其中,在线信息库中包括终端(允许接入目标定制网络的终端)匹配的接入点信息(即目标定制网络对应的接入点信息),以及各终端对应的至少一个标识信息。
在终端的目标接入点信息准确,且终端的至少一个标识信息准确的情况下,确定终端符合接入目标定制网络的接入条件。其中,至少一个标识信息包括MSISDN、IMSI和IMEI中的至少一个,在至少一个标识信息包括MSISDN、IMSI或者IMEI的情况下,在MSISDN、IMSI或者IMEI准确时确定标识信息准确;在至少一个标识信息包括MSISDN以及IMSI的情况下,在MSISDN以及IMSI准确时确定标识信息准确;在至少一个标识信息包括IMSI和IMEI的情况下,在IMSI和IMEI准确时确定标识信息准确;在至少一个标识信息包括MSISDN和IMEI的情况下,在MSISDN和IMEI准确时确定标识信息准确;在至少一个标识信息包括MSISDN、IMSI和IMEI的情况下,在MSISDN、IMSI和IMEI准确时确定标识信息准确。
针对至少一个标识信息包括IMEI和MSISDN的情况、包括IMEI和IMSI的情况,可以实现机卡绑定,在校验时,可以检测机卡是否绑定一致。其中,在终端遗失的情况下,用户可以进行上报,以将在线信息库中的相关信息删除,在将SIM卡更换到其他终端时,由于IMEI不准确,标识信息校验不通过。
本申请上述实施流程,可以根据在线信息库,检测终端的目标接入点信息以及至少一个标识信息,在检测通过的情况下,确定终端符合接入条件,实现由Radius服务器对终端接入的合法性进行校验。
在本申请一可选实施例中,在所述终端不符合所述接入条件的情况下,还包括:
向所述核心网反馈不允许接入所述目标定制网络的第二响应信息。
在Radius服务器确定终端不符合接入目标定制网络的接入条件时,通过Radius协议向核心网反馈不允许接入目标定制网络的第二响应信息,由核心网向终端反馈不允许接入目标定制网络的第二通知信息,以使得终端可以基于第二通知信息确定无法接入目标定制网络。第二响应信息以及第二通知信息中可以携带不允许接入的原因,以便于终端了解。
其中,Radius服务器通过Radius协议向核心网的UPF网元反馈第二响应信息,UPF网元接收到第二响应信息后,通过Radius协议向SMF网元转发第二响应信息,使得SMF网元获取不允许终端接入目标定制网络的反馈。SMF网元基于第二响应信息向AMF网元发送第二通知信息,并由AMF网元将第二通知信息反馈至终端,第二通知信息用于指示不允许终端接入目标定制网络。
本申请上述实施流程,Radius服务器在确定终端不满足接入条件时,向核心网发送第二响应信息,使得核心网基于第二响应信息向终端反馈不允许接入的第二通知信息,保证终端获取不可接入目标定制网络的提示。
在本申请一可选实施例中,该方法还包括:
接收所述核心网发送的携带终止标识的Radius下线请求,所述核心网在接收到所述终端发送的下线请求后发送所述Radius下线请求;
根据所述Radius下线请求记录所述终端的下线时间后,向所述核心网反馈第二确认信息,以使所述核心网基于所述第二确认信息解除所述目标网络地址的占用、向所述终端发送所述目标网络地址解除占用的第一通知信息。
在终端接入目标定制网络之后,可以向核心网发送下线请求,由核心网基于下线请求生成携带终止标识的Radius下线请求,Radius服务器接收核心网通过Radius协议发送的Radius下线请求,基于Radius下线请求记录终端的下线时间,然后通过Radius协议反馈第二确认信息,使得核心网基于第二确认信息,解除目标网络地址的占用,实现目标网络地址的回收,以便于为其他终端分配该地址,核心网在解除目标网络地址的占用后,可以向终端发送目标网络地址解除占用的第一通知信息。
其中,核心网通过AMF网元接收终端发送的下线请求,由AMF网元将下线请求发送至SMF网元,SMF网元基于下线请求生成携带终止标识的Radius下线请求、通过Radius协议将Radius下线请求发送至UPF网元,Radius服务器接收UPF网元通过Radius协议发送的Radius下线请求。Radius服务器通过Radius协议向UPF网元反馈第二确认信息,UPF网元接收到第二确认信息之后,通过Radius协议转发至SMF网元,使得SMF网元收到请求确认反馈(下线请求的确认反馈)。UPF网元基于第二确认信息解除目标网络地址的占用,并向SMF网元发送第一通知信息,由SMF网元将第一通知信息发送至AMF网元,由AMF网元向终端反馈第一通知信息。
本申请上述实施流程,在接收到核心网发送的Radius下线请求之后,记录终端的下线时间,向核心网反馈第二确认信息,以使核心网基于第二确认信息解除目标网络地址的占用,实现目标网络地址的回收、保证目标网络地址的再次利用。
以上为本申请实施例提供的应用于Radius服务器侧的网络接入方法,通过接收核心网发送Radius认证请求,基于Radius认证请求,检测终端是否符合接入目标定制网络的接入条件,在终端符合接入条件的情况下,向核心网反馈第一响应信息,接收核心网在分配目标网络地址后发送的在线接入消息,向核心网反馈第一确认信息,使得核心网将目标网络地址发送至终端,终端接入目标定制网络,可以实现由Radius服务器对终端接入的合法性进行校验,达到灵活决策、准确接入控制的目的,可有效防范伪终端,增强防御恶意伪装攻击能力,提高网络安全保障,保证定制网络用户的安全有效接入,且可以通过Radius服务器对接入终端和终端在线状态进行实时管理,大大提升定制网络运营效率,同时减少因终端误接入或限制某终端接入而带来的业务障碍投诉,有效降低了同类型客服投诉话务量。
本申请实施例还提供一种网络接入方法,应用于终端,参见图3所示,包括:
步骤301、向核心网发送携带目标接入点信息的接入请求,由所述核心网向远程用户拨号认证Radius服务器发送携带所述目标接入点信息和所述终端对应的至少一个标识信息的Radius认证请求,所述Radius认证请求在所述接入请求和所述终端接入所述核心网的合法性核验通过的情况下发送。
终端向核心网发送接入请求,接入请求中携带有目标接入点信息,目标接入点信息为目标定制网络对应的接入点信息,即,接入请求为请求接入目标定制网络的请求。核心网基于接入请求对接入请求以及终端接入核心网的合法性进行核验,在核验通过的情况下,向Radius服务器发送携带目标接入点信息和终端对应的至少一个标识信息的Radius认证请求。
步骤302、接收所述核心网在接收到所述Radius服务器反馈的第一确认信息的情况下发送的目标网络地址,并基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络;其中,在所述Radius服务器基于所述Radius认证请求反馈允许接入所述目标定制网络的第一响应信息的情况下,所述核心网发起会话建立连接请求、为所述终端分配目标网络地址,并向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息,所述Radius服务器接收所述在线接入消息后反馈所述第一确认信息。
针对Radius服务器而言,在接收到Radius认证请求之后,检测终端是否符合接入目标定制网络的接入条件,若符合则向核心网反馈允许接入目标定制网络的第一响应信息。核心网在接收到第一响应信息的情况下,发起会话建立连接请求、为终端分配目标网络地址,并向Radius服务器发送携带起始标识的在线接入消息,Radius服务器对终端将要访问目标定制网络的状态进行记录,然后向核心网反馈第一确认信息。
终端接收核心网基于第一确认信息反馈的目标网络地址,并基于目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
其中,核心网包括AMF网元、SMF网元以及UPF网元,终端向AMF网元发送接入请求,由AMF网元对接入请求以及终端接入核心网的合法性进行校验,在校验通过后通知SMF网元。SMF网元为改造后的网元、支持Radius协议透传至UPF网元,UPF网元为改造后的网元、支持Radius协议转发。SMF网元可以基于接入请求生成Radius认证请求,向UPF网元透传Radius认证请求,Radius服务器接收UPF网元转发的Radius认证请求。
第一响应信息传输至核心网的UPF网元,由UPF网元将第一响应信息传输至SMF网元,SMF网元获取第一响应信息之后,发起会话建立连接请求,并向UPF网元发送会话建立连接请求,UPF网元接收会话建立连接请求之后,为终端分配目标网络地址,然后向Radius服务器发送携带起始标识的在线接入消息。
核心网通过UPF网元接收第一确认信息,UPF网元将第一确认信息转发至SMF网元,UPF网元基于第一确认信息将预先为终端分配的目标网络地址发送至SMF网元、由SMF网元将目标网络地址发送至AMF网元,最终由AMF网元将目标网络地址发送至终端,终端基于目标网络地址访问目标服务器、接入目标服务器对应的目标定制网络。
本申请上述实施过程,通过向核心网发送接入请求,由核心网向Radius服务器发送Radius认证请求,使得Radius服务器检测终端是否符合接入目标定制网络的接入条件,在终端符合接入条件、核心网分配目标网络地址且Radius服务器反馈第一确认信息的情况下,接收核心网反馈的目标网络地址,终端基于目标网络地址接入目标定制网络,可以实现由Radius服务器对终端接入的合法性进行校验,达到灵活决策、准确接入控制的目的,可有效防范伪终端,增强防御恶意伪装攻击能力,提高网络安全保障,保证定制网络用户的安全有效接入。
在本申请一可选实施中,该方法还包括:
向所述核心网发送下线请求,由所述核心网向所述Radius服务器发送携带终止标识的Radius下线请求,并在接收所述Radius服务器反馈的第二确认信息后,解除所述目标网络地址的占用;接收所述核心网在解除所述目标网络地址的占用后发送的第一通知信息。
在终端接入目标定制网络之后,可以向核心网发送下线请求,由核心网基于下线请求生成携带终止标识的Radius下线请求、通过Radius协议发送至Radius服务器,在核心网接收Radius服务器通过Radius协议反馈的第二确认信息的情况下,接收核心网在解除目标网络地址的占用后发送的第一通知信息,基于第一通知信息确定目标网络地址已回收。
其中,核心网基于AMF网元与终端通信、基于UPF网元与Radius服务器通信,核心网与终端、核心网与服务器、核心网各网元之间的通信过程可参见服务器以及核心网侧的描述,这里不再进一步阐述。
本申请上述实施流程,通过向核心网发送下线请求,由核心网与Radius服务器进行交互,在核心网解除目标网络地址的占用之后,接收第一通知信息,基于第一通知信息确定目标网络地址已回收。
在本申请一可选实施例中,在所述Radius服务器基于所述Radius认证请求向所述核心网反馈不允许接入所述目标定制网络的第二响应信息的情况下,还包括:接收所述核心网反馈的不允许接入所述目标定制网络的第二通知信息。
在Radius服务器确定终端不符合接入目标定制网络的接入条件时,通过Radius协议向核心网反馈不允许接入目标定制网络的第二响应信息,终端接收核心网反馈的不允许接入目标定制网络的第二通知信息,基于第二通知信息确定无法接入目标定制网络。第二响应信息以及第二通知信息中可以携带不允许接入的原因,以便于终端了解。
其中,核心网基于AMF网元与终端通信、基于UPF网元与Radius服务器通信,核心网与终端、核心网与服务器、核心网各网元之间的通信过程可参见服务器以及核心网侧的描述,这里不再进一步阐述。
本申请上述实施流程,Radius服务器在确定终端不满足接入条件时,向核心网发送第二响应信息,终端接收核心网反馈的第二通知信息,基于第二通知信息确定无法接入目标定制网络,实现获取不可接入目标定制网络的提示。
以上为本申请实施例提供的应用于终端侧的网络接入方法,通过向核心网发送接入请求,由核心网向Radius服务器发送Radius认证请求,使得Radius服务器检测终端是否符合接入目标定制网络的接入条件,在终端符合接入条件、核心网分配目标网络地址且Radius服务器反馈第一确认信息的情况下,接收核心网反馈的目标网络地址,终端基于目标网络地址接入目标定制网络,可以实现由Radius服务器对终端接入的合法性进行校验,达到灵活决策、准确接入控制的目的,可有效防范伪终端,增强防御恶意伪装攻击能力,提高网络安全保障,保证定制网络用户的安全有效接入。
下面通过一交互流程对网络接入的过程进行介绍,参见图4所示:
终端:终端向AMF网元发送接入请求。
AMF网元:对接入请求以及终端接入核心网的合法性进行核验。
SMF网元:在核验通过的情况下,SMF网元生成Radius认证请求,Radius认证请求基于接入请求中的目标接入点信息以及终端对应的至少一个标识信息生成。
UPF网元:UPF网元接收Radius认证请求,将Radius认证请求转发至Radius服务器。
Radius服务器:Radius服务器验证终端是否符合接入目标定制网络的接入条件,在符合时,向UPF网元反馈第一响应信息。
UPF网元:UPF网元传输第一响应信息传输至SMF网元。
SMF网元:SMF网元发起会话建立连接请求,向UPF网元发送会话建立连接请求。
UPF网元:UPF网元接收会话建立连接请求后,为终端分配目标网络地址、向Radius服务器发送携带起始标识的在线接入消息。
Radius服务器:Radius服务器向UPF网元反馈第一确认信息。
UPF网元:UPF网元将目标网络地址经SMF网元、AMF网元发送至终端。
终端:终端基于目标网络地址接入目标定制网络。
上述过程对网络接入的流程进行了介绍,可以实现由Radius服务器对终端接入的合法性进行校验,无需增加网元,仅需对SMF网元和UPF网元进行改造,充分考虑了对现网的兼容性。
本申请实施例提供一种网络接入装置,应用于核心网,如图5所示,包括:
第一接收模块501,用于接收终端发送的携带目标接入点信息的接入请求,所述目标接入点信息为目标定制网络对应的接入点信息;
第一发送模块502,用于在所述接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,向远程用户拨号认证Radius服务器发送Radius认证请求,所述Radius认证请求中携带所述目标接入点信息和所述终端对应的至少一个标识信息;
第一处理模块503,用于在接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息;
第二发送模块504,用于在接收到所述Radius服务器反馈的第一确认信息的情况下,将所述目标网络地址发送至所述终端,以使所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
可选地,所述核心网包括:接入和移动性管理功能AMF网元、会话管理功能SMF网元以及用户面功能UPF网元;
其中,所述AMF网元用于接收所述接入请求并对所述接入请求以及所述终端接入所述核心网的合法性进行核验,所述SMF网元支持Radius协议透传至所述UPF网元,所述UPF网元与所述目标定制网络互通且支持转发Radius协议至所述Radius服务器。
可选地,所述第一发送模块进一步用于:
通过所述SMF网元向所述UPF网元透传所述Radius认证请求;
通过所述UPF网元将所述Radius认证请求转发至所述Radius服务器,以使所述Radius服务器基于所述目标接入点信息以及所述至少一个标识信息验证所述终端是否符合接入所述目标定制网络的接入条件;
其中,所述至少一个标识信息包括:移动台综合业务数字网号码MSISDN、国际移动用户识别码IMSI和国际移动设备识别码IMEI中的至少一个,所述Radius认证请求基于所述接入请求确定。
可选地,所述第一处理模块包括:
第一处理子模块,用于在通过所述UPF网元接收所述Radius服务器反馈的所述第一响应信息之后,通过所述SMF网元发起所述会话建立连接请求,并向所述UPF网元发送所述会话建立连接请求;
第二处理子模块,用于通过所述UPF网元为所述终端分配所述目标网络地址、向所述Radius服务器发送携带所述起始标识的所述在线接入消息;
其中,所述UPF网元将所述第一响应信息转发至所述SMF网元。
可选地,所述第二发送模块进一步用于:
在通过所述UPF网元接收到所述第一确认信息并转发至所述SMF网元的情况下,通过所述UPF网元将所述目标网络地址经所述SMF网元、所述AMF网元发送至所述终端。
可选地,该装置还包括:
第四接收模块,用于在所述终端接入所述目标服务器对应的目标定制网络之后,接收所述终端发送的下线请求;
第四发送模块,用于向所述Radius服务器发送携带终止标识的Radius下线请求;
第四处理模块,用于接收所述Radius服务器反馈的第二确认信息,基于所述第二确认信息解除所述目标网络地址的占用、向所述终端发送所述目标网络地址解除占用的第一通知信息;
其中,所述核心网通过所述AMF网元接收所述下线请求,所述AMF网元将所述下线请求传输至所述SMF网元,所述SMF网元向所述UPF网元透传携带终止标识的Radius下线请求、由所述UPF网元转发至所述Radius服务器,所述Radius下线请求基于所述下线请求确定;
所述核心网通过所述UPF网元接收所述第二确认信息并转发至所述SMF网元,所述UPF网元解除所述目标网络地址的占用,并经所述SMF网元、所述AMF网元向所述终端发送所述目标网络地址解除占用的第一通知信息。
可选地,所述装置还包括:
第二反馈模块,用于在接收到所述Radius服务器反馈的不允许接入所述目标定制网络的第二响应信息的情况下,向所述终端反馈不允许接入所述目标定制网络的第二通知信息。
本申请实施例还提供一种网络接入装置,应用于Radius服务器,参见图6所示,包括:
第二接收模块601,用于接收核心网发送的远程用户拨号认证Radius认证请求,在终端的接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,所述核心网发送携带目标接入点信息以及所述终端对应的至少一个标识信息的所述Radius认证请求,所述接入请求中携带所述目标接入点信息;
检测模块602,用于根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件;
第一反馈模块603,用于在所述终端符合所述接入条件的情况下,向所述核心网反馈允许接入所述目标定制网络的第一响应信息;
第三接收模块604,用于接收所述核心网发送的携带起始标识的在线接入消息,所述在线接入消息在所述核心网发起会话建立连接请求、为所述终端分配目标网络地址的情况下发送,所述会话建立连接请求包括所述在线接入消息;
第二处理模块605,用于对所述终端将要访问所述目标定制网络的状态进行记录,并向所述核心网反馈第一确认信息,以使所述核心网将所述目标网络地址发送至所述终端,所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
可选地,所述检测模块包括:
检测子模块,用于根据在线信息库,检测所述目标接入点信息是否准确,以及,检测所述至少一个标识信息是否准确;
确定子模块,用于在所述目标接入点信息准确且所述至少一个标识信息准确的情况下,确定所述终端符合接入所述目标定制网络的接入条件;
其中,所述至少一个标识信息包括:移动台综合业务数字网号码MSISDN、国际移动用户识别码IMSI和国际移动设备识别码IMEI中的至少一个。
可选地,所述装置还包括:
第五接收模块,用于接收所述核心网发送的携带终止标识的Radius下线请求,所述核心网在接收到所述终端发送的下线请求后发送所述Radius下线请求;
记录反馈模块,用于根据所述Radius下线请求记录所述终端的下线时间后,向所述核心网反馈第二确认信息,以使所述核心网基于所述第二确认信息解除所述目标网络地址的占用、向所述终端发送所述目标网络地址解除占用的第一通知信息。
可选地,所述装置还包括:
第三反馈模块,用于在所述终端不符合所述接入条件的情况下,向所述核心网反馈不允许接入所述目标定制网络的第二响应信息。
本申请实施例还提供一种网络接入装置,应用于终端,参见图7所示,包括:
第三发送模块701,用于向核心网发送携带目标接入点信息的接入请求,由所述核心网向远程用户拨号认证Radius服务器发送携带所述目标接入点信息和所述终端对应的至少一个标识信息的Radius认证请求,所述Radius认证请求在所述接入请求和所述终端接入所述核心网的合法性核验通过的情况下发送;
第三处理模块702,用于接收所述核心网在接收到所述Radius服务器反馈的第一确认信息的情况下发送的目标网络地址,并基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络;
其中,在所述Radius服务器基于所述Radius认证请求反馈允许接入所述目标定制网络的第一响应信息的情况下,所述核心网发起会话建立连接请求、为所述终端分配目标网络地址,并向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息,所述Radius服务器接收所述在线接入消息后反馈所述第一确认信息。
可选地,所述装置还包括:
第五发送模块,用于向所述核心网发送下线请求,由所述核心网向所述Radius服务器发送携带终止标识的Radius下线请求,并在接收所述Radius服务器反馈的第二确认信息后,解除所述目标网络地址的占用;
第六接收模块,用于接收所述核心网在解除所述目标网络地址的占用后发送的第一通知信息。
可选地,在所述Radius服务器基于所述Radius认证请求向所述核心网反馈不允许接入所述目标定制网络的第二响应信息的情况下,所述装置还包括:
第七接收模块,用于接收所述核心网反馈的不允许接入所述目标定制网络的第二通知信息。
本申请实施例提供的上述装置,能够实现上述方法实施例所实现的所有方法步骤,且能够达到相同的技术效果,在此不再对本实施例中与方法实施例相同的部分及有益效果进行具体赘述。
本申请实施例还提供一种核心网,如图8所示,核心网包括存储器801、收发机802、处理器803;存储器801,用于存储计算机程序;收发机802,用于在处理器803的控制下接收和发送数据;处理器803,用于读取所述存储器801中的计算机程序并执行以下操作:
控制收发机802接收终端发送的携带目标接入点信息的接入请求,所述目标接入点信息为目标定制网络对应的接入点信息;
在所述接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,控制收发机802向远程用户拨号认证Radius服务器发送Radius认证请求,所述Radius认证请求中携带所述目标接入点信息和所述终端对应的至少一个标识信息;
在收发机802接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,控制收发机802向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息;
在收发机802接收到所述Radius服务器反馈的第一确认信息的情况下,控制收发机802将所述目标网络地址发送至所述终端,以使所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
可选地,所述核心网包括:接入和移动性管理功能AMF网元、会话管理功能SMF网元以及用户面功能UPF网元;
其中,所述AMF网元用于接收所述接入请求并对所述接入请求以及所述终端接入所述核心网的合法性进行核验,所述SMF网元支持Radius协议透传至所述UPF网元,所述UPF网元与所述目标定制网络互通且支持转发Radius协议至所述Radius服务器。
可选地,在向远程用户拨号认证Radius服务器发送Radius认证请求时,收发机802还用于:通过所述SMF网元向所述UPF网元透传所述Radius认证请求;通过所述UPF网元将所述Radius认证请求转发至所述Radius服务器,以使所述Radius服务器基于所述目标接入点信息以及所述至少一个标识信息验证所述终端是否符合接入所述目标定制网络的接入条件;
其中,所述至少一个标识信息包括:移动台综合业务数字网号码MSISDN、国际移动用户识别码IMSI和国际移动设备识别码IMEI中的至少一个,所述Radius认证请求基于所述接入请求确定。
可选地,在接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,向所述Radius服务器发送携带起始标识的在线接入消息时,处理器803还用于:在通过所述UPF网元接收所述Radius服务器反馈的所述第一响应信息之后,通过所述SMF网元发起所述会话建立连接请求,并向所述UPF网元发送所述会话建立连接请求;通过所述UPF网元为所述终端分配所述目标网络地址、向所述Radius服务器发送携带所述起始标识的所述在线接入消息;其中,所述UPF网元将所述第一响应信息转发至所述SMF网元。
可选地,在接收到所述Radius服务器反馈的第一确认信息的情况下,将所述目标网络地址发送至所述终端时,收发机802还用于:在通过所述UPF网元接收到所述第一确认信息的情况下,通过所述UPF网元将所述目标网络地址经所述SMF网元、所述AMF网元发送至所述终端。
可选地,在所述终端接入所述目标服务器对应的目标定制网络之后,处理器803还用于:控制收发机802接收所述终端发送的下线请求;向所述Radius服务器发送携带终止标识的Radius下线请求;接收所述Radius服务器反馈的第二确认信息,所述处理器803还用于:基于所述第二确认信息解除所述目标网络地址的占用、控制收发机802向所述终端发送所述目标网络地址解除占用的第一通知信息;
其中,收发机802用于:通过所述AMF网元接收所述下线请求,所述AMF网元将所述下线请求传输至所述SMF网元,所述SMF网元向所述UPF网元透传携带终止标识的Radius下线请求、由所述UPF网元转发至所述Radius服务器,所述Radius下线请求基于所述下线请求确定;
收发机802用于:通过所述UPF网元接收所述第二确认信息,所述UPF网元解除所述目标网络地址的占用,并经所述SMF网元、所述AMF网元向所述终端发送所述目标网络地址解除占用的第一通知信息。
可选地,在接收到所述Radius服务器反馈的不允许接入所述目标定制网络的第二响应信息的情况下,处理器803还用于:控制收发机802向所述终端反馈不允许接入所述目标定制网络的第二通知信息。
其中,在图8中,总线架构可以包括任意数量的互联的总线和桥,具体由处理器803代表的一个或多个处理器和存储器801代表的存储器的各种电路链接在一起。总线架构还可以将诸如外围设备、稳压器和功率管理电路等之类的各种其他电路链接在一起,这些都是本领域所公知的,因此,本文不再对其进行进一步描述。总线接口提供接口。收发机802可以是多个元件,即包括发送机和接收机,提供用于在传输介质上与各种其他装置通信的单元,这些传输介质包括无线信道、有线信道、光缆等传输介质。处理器803负责管理总线架构和通常的处理,存储器801可以存储处理器803在执行操作时所使用的数据。
处理器803可以是中央处埋器(CPU)、专用集成电路(Application SpecificIntegrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或复杂可编程逻辑器件(Complex Programmable Logic Device,CPLD),处理器也可以采用多核架构。处理器803通过调用存储器801存储的计算机程序,用于按照获得的可执行指令执行本申请实施例提供的任一所述方法。处理器803与存储器801也可以物理上分开布置。
本申请实施例还提供一种服务器,如图9所示,服务器为Radius服务器,包括存储器901、收发机902、处理器903;存储器901,用于存储计算机程序;收发机902,用于在处理器903的控制下接收和发送数据;处理器903,用于读取所述存储器901中的计算机程序并执行以下操作:
控制收发机902接收核心网发送的远程用户拨号认证Radius认证请求,在终端的接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,所述核心网发送携带目标接入点信息以及所述终端对应的至少一个标识信息的所述Radius认证请求,所述接入请求中携带所述目标接入点信息;
根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件;
在所述终端符合所述接入条件的情况下,控制收发机902向所述核心网反馈允许接入所述目标定制网络的第一响应信息;
控制收发机902接收所述核心网发送的携带起始标识的在线接入消息,所述在线接入消息在所述核心网发起会话建立连接请求、为所述终端分配目标网络地址的情况下发送,所述会话建立连接请求包括所述在线接入消息;
对所述终端将要访问所述目标定制网络的状态进行记录,控制收发机902向所述核心网反馈第一确认信息,以使所述核心网将所述目标网络地址发送至所述终端,所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
可选地,在根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件时,处理器903还用于:
根据在线信息库,检测所述目标接入点信息是否准确,以及,检测所述至少一个标识信息是否准确;在所述目标接入点信息准确且所述至少一个标识信息准确的情况下,确定所述终端符合接入所述目标定制网络的接入条件;其中,所述至少一个标识信息包括:移动台综合业务数字网号码MSISDN、国际移动用户识别码IMSI和国际移动设备识别码IMEI中的至少一个。
可选地,收发机902还用于:接收所述核心网发送的携带终止标识的Radius下线请求,所述核心网在接收到所述终端发送的下线请求后发送所述Radius下线请求;处理器903还用于:根据所述Radius下线请求记录所述终端的下线时间后,控制收发机902向所述核心网反馈第二确认信息,以使所述核心网基于所述第二确认信息解除所述目标网络地址的占用、向所述终端发送所述目标网络地址解除占用的第一通知信息。
可选地,在所述终端不符合所述接入条件的情况下,收发机902还用于:向所述核心网反馈不允许接入所述目标定制网络的第二响应信息。
其中,关于总线架构、收发机以及处理器的相关信息可参见核心网侧的介绍,这里不再阐述。
本申请实施例还提供一种终端,如图10所示,包括存储器1001、收发机1002、处理器1003;存储器1001,用于存储计算机程序;收发机1002,用于在处理器1003的控制下接收和发送数据;处理器1003,用于读取所述存储器1001中的计算机程序并执行以下操作:
控制收发机1002向核心网发送携带目标接入点信息的接入请求,由所述核心网向远程用户拨号认证Radius服务器发送携带所述目标接入点信息和所述终端对应的至少一个标识信息的Radius认证请求,所述Radius认证请求在所述接入请求和所述终端接入所述核心网的合法性核验通过的情况下发送;
控制收发机1002接收所述核心网在接收到所述Radius服务器反馈的第一确认信息的情况下发送的目标网络地址,并基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络;
其中,在所述Radius服务器基于所述Radius认证请求反馈允许接入所述目标定制网络的第一响应信息的情况下,所述核心网发起会话建立连接请求、为所述终端分配目标网络地址,并向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息,所述Radius服务器接收所述在线接入消息后反馈所述第一确认信息。
可选地,收发机1002还用于:向所述核心网发送下线请求,由所述核心网向所述Radius服务器发送携带终止标识的Radius下线请求,并在接收所述Radius服务器反馈的第二确认信息后,解除所述目标网络地址的占用;接收所述核心网在解除所述目标网络地址的占用后发送的第一通知信息。
可选地,在所述Radius服务器基于所述Radius认证请求向所述核心网反馈不允许接入所述目标定制网络的第二响应信息的情况下,收发机1002还用于:接收所述核心网反馈的不允许接入所述目标定制网络的第二通知信息。
其中,关于总线架构、收发机以及处理器的相关信息可参见核心网侧的介绍,这里不再阐述。针对不同的终端,用户接口1004可以是能够外接内接需要设备的接口,连接的设备包括但不限于小键盘、显示器、扬声器、麦克风、操纵杆等。
本申请的实施例还提供了一种计算机可读存储介质,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现上述的网络接入方法。
所述处理器可读存储介质可以是处理器能够存取的任何可用介质或数据存储设备,包括但不限于磁性存储器(例如软盘、硬盘、磁带、磁光盘(MO)等)、光学存储器(例如CD、DVD、BD、HVD等)、以及半导体存储器(例如ROM、EPROM、EEPROM、非易失性存储器(NANDFLASH)、固态硬盘(SSD))等。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机可执行指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机可执行指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些处理器可执行指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的处理器可读存储器中,使得存储在该处理器可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些处理器可执行指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
显然,本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样,倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内,则本申请也意图包含这些改动和变型在内。

Claims (21)

1.一种网络接入方法,应用于核心网,其特征在于,包括:
接收终端发送的携带目标接入点信息的接入请求,所述目标接入点信息为目标定制网络对应的接入点信息;
在所述接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,向远程用户拨号认证Radius服务器发送Radius认证请求,所述Radius认证请求中携带所述目标接入点信息和所述终端对应的至少一个标识信息;
在接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息;
在接收到所述Radius服务器反馈的第一确认信息的情况下,将所述目标网络地址发送至所述终端,以使所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
2.根据权利要求1所述的网络接入方法,其特征在于,所述核心网包括:接入和移动性管理功能AMF网元、会话管理功能SMF网元以及用户面功能UPF网元;
其中,所述AMF网元用于接收所述接入请求并对所述接入请求以及所述终端接入所述核心网的合法性进行核验,所述SMF网元支持Radius协议透传至所述UPF网元,所述UPF网元与所述目标定制网络互通且支持转发Radius协议至所述Radius服务器。
3.根据权利要求2所述的网络接入方法,其特征在于,所述向远程用户拨号认证Radius服务器发送Radius认证请求,包括:
通过所述SMF网元向所述UPF网元透传所述Radius认证请求;
通过所述UPF网元将所述Radius认证请求转发至所述Radius服务器,以使所述Radius服务器基于所述目标接入点信息以及所述至少一个标识信息验证所述终端是否符合接入所述目标定制网络的接入条件;
其中,所述至少一个标识信息包括:移动台综合业务数字网号码MSISDN、国际移动用户识别码IMSI和国际移动设备识别码IMEI中的至少一个,所述Radius认证请求基于所述接入请求确定。
4.根据权利要求2所述的网络接入方法,其特征在于,所述在接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,向所述Radius服务器发送携带起始标识的在线接入消息,包括:
在通过所述UPF网元接收所述Radius服务器反馈的所述第一响应信息之后,通过所述SMF网元发起所述会话建立连接请求,并向所述UPF网元发送所述会话建立连接请求;
通过所述UPF网元为所述终端分配所述目标网络地址、向所述Radius服务器发送携带所述起始标识的所述在线接入消息;
其中,所述UPF网元将所述第一响应信息转发至所述SMF网元。
5.根据权利要求4所述的网络接入方法,其特征在于,所述在接收到所述Radius服务器反馈的第一确认信息的情况下,将所述目标网络地址发送至所述终端,包括:
在通过所述UPF网元接收到所述第一确认信息并转发至所述SMF网元的情况下,通过所述UPF网元将所述目标网络地址经所述SMF网元、所述AMF网元发送至所述终端。
6.根据权利要求2所述的网络接入方法,其特征在于,在所述终端接入所述目标服务器对应的目标定制网络之后,还包括:
接收所述终端发送的下线请求;
向所述Radius服务器发送携带终止标识的Radius下线请求;
接收所述Radius服务器反馈的第二确认信息,基于所述第二确认信息解除所述目标网络地址的占用、向所述终端发送所述目标网络地址解除占用的第一通知信息;
其中,所述核心网通过所述AMF网元接收所述下线请求,所述AMF网元将所述下线请求传输至所述SMF网元,所述SMF网元向所述UPF网元透传携带终止标识的Radius下线请求、由所述UPF网元转发至所述Radius服务器,所述Radius下线请求基于所述下线请求确定;
所述核心网通过所述UPF网元接收所述第二确认信息并转发至所述SMF网元,所述UPF网元解除所述目标网络地址的占用,并经所述SMF网元、所述AMF网元向所述终端发送所述目标网络地址解除占用的第一通知信息。
7.根据权利要求1所述的网络接入方法,其特征在于,在接收到所述Radius服务器反馈的不允许接入所述目标定制网络的第二响应信息的情况下,所述方法还包括:
向所述终端反馈不允许接入所述目标定制网络的第二通知信息。
8.一种网络接入方法,应用于Radius服务器,其特征在于,包括:
接收核心网发送的远程用户拨号认证Radius认证请求,在终端的接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,所述核心网发送携带目标接入点信息以及所述终端对应的至少一个标识信息的所述Radius认证请求,所述接入请求中携带所述目标接入点信息;
根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件;
在所述终端符合所述接入条件的情况下,向所述核心网反馈允许接入所述目标定制网络的第一响应信息;
接收所述核心网发送的携带起始标识的在线接入消息,所述在线接入消息在所述核心网发起会话建立连接请求、为所述终端分配目标网络地址的情况下发送,所述会话建立连接请求包括所述在线接入消息;
对所述终端将要访问所述目标定制网络的状态进行记录,并向所述核心网反馈第一确认信息,以使所述核心网将所述目标网络地址发送至所述终端,所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
9.根据权利要求8所述的网络接入方法,其特征在于,所述根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件,包括:
根据在线信息库,检测所述目标接入点信息是否准确,以及,检测所述至少一个标识信息是否准确;
在所述目标接入点信息准确且所述至少一个标识信息准确的情况下,确定所述终端符合接入所述目标定制网络的接入条件;
其中,所述至少一个标识信息包括:移动台综合业务数字网号码MSISDN、国际移动用户识别码IMSI和国际移动设备识别码IMEI中的至少一个。
10.根据权利要求8所述的网络接入方法,其特征在于,还包括:
接收所述核心网发送的携带终止标识的Radius下线请求,所述核心网在接收到所述终端发送的下线请求后发送所述Radius下线请求;
根据所述Radius下线请求记录所述终端的下线时间后,向所述核心网反馈第二确认信息,以使所述核心网基于所述第二确认信息解除所述目标网络地址的占用、向所述终端发送所述目标网络地址解除占用的第一通知信息。
11.根据权利要求8所述的网络接入方法,其特征在于,在所述终端不符合所述接入条件的情况下,还包括:
向所述核心网反馈不允许接入所述目标定制网络的第二响应信息。
12.一种网络接入方法,应用于终端,其特征在于,包括:
向核心网发送携带目标接入点信息的接入请求,由所述核心网向远程用户拨号认证Radius服务器发送携带所述目标接入点信息和所述终端对应的至少一个标识信息的Radius认证请求,所述Radius认证请求在所述接入请求和所述终端接入所述核心网的合法性核验通过的情况下发送;
接收所述核心网在接收到所述Radius服务器反馈的第一确认信息的情况下发送的目标网络地址,并基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络;
其中,在所述Radius服务器基于所述Radius认证请求反馈允许接入所述目标定制网络的第一响应信息的情况下,所述核心网发起会话建立连接请求、为所述终端分配目标网络地址,并向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息,所述Radius服务器接收所述在线接入消息后反馈所述第一确认信息。
13.根据权利要求12所述的网络接入方法,其特征在于,还包括:
向所述核心网发送下线请求,由所述核心网向所述Radius服务器发送携带终止标识的Radius下线请求,并在接收所述Radius服务器反馈的第二确认信息后,解除所述目标网络地址的占用;
接收所述核心网在解除所述目标网络地址的占用后发送的第一通知信息。
14.根据权利要求12所述的网络接入方法,其特征在于,在所述Radius服务器基于所述Radius认证请求向所述核心网反馈不允许接入所述目标定制网络的第二响应信息的情况下,还包括:
接收所述核心网反馈的不允许接入所述目标定制网络的第二通知信息。
15.一种核心网,其特征在于,包括存储器,收发机,处理器;
所述存储器,用于存储计算机程序;所述收发机,用于在所述处理器的控制下收发数据;所述处理器,用于读取所述存储器中的计算机程序并执行权利要求1至7任一项所述的网络接入方法。
16.一种Radius服务器,其特征在于,包括存储器,收发机,处理器;
所述存储器,用于存储计算机程序;所述收发机,用于在所述处理器的控制下收发数据;所述处理器,用于读取所述存储器中的计算机程序并执行权利要求8至11任一项所述的网络接入方法。
17.一种终端,其特征在于,包括存储器,收发机,处理器;
所述存储器,用于存储计算机程序;所述收发机,用于在所述处理器的控制下收发数据;所述处理器,用于读取所述存储器中的计算机程序并执行权利要求12至14任一项所述的网络接入方法。
18.一种网络接入装置,应用于核心网,其特征在于,包括:
第一接收模块,用于接收终端发送的携带目标接入点信息的接入请求,所述目标接入点信息为目标定制网络对应的接入点信息;
第一发送模块,用于在所述接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,向远程用户拨号认证Radius服务器发送Radius认证请求,所述Radius认证请求中携带所述目标接入点信息和所述终端对应的至少一个标识信息;
第一处理模块,用于在接收到所述Radius服务器反馈的允许接入所述目标定制网络的第一响应信息的情况下,发起会话建立连接请求、为所述终端分配目标网络地址,向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息;
第二发送模块,用于在接收到所述Radius服务器反馈的第一确认信息的情况下,将所述目标网络地址发送至所述终端,以使所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
19.一种网络接入装置,应用于Radius服务器,其特征在于,包括:
第二接收模块,用于接收核心网发送的远程用户拨号认证Radius认证请求,在终端的接入请求核验通过且所述终端接入所述核心网的合法性核验通过的情况下,所述核心网发送携带目标接入点信息以及所述终端对应的至少一个标识信息的所述Radius认证请求,所述接入请求中携带所述目标接入点信息;
检测模块,用于根据所述Radius认证请求,检测所述终端是否符合接入目标定制网络的接入条件;
第一反馈模块,用于在所述终端符合所述接入条件的情况下,向所述核心网反馈允许接入所述目标定制网络的第一响应信息;
第三接收模块,用于接收所述核心网发送的携带起始标识的在线接入消息,所述在线接入消息在所述核心网发起会话建立连接请求、为所述终端分配目标网络地址的情况下发送,所述会话建立连接请求包括所述在线接入消息;
第二处理模块,用于对所述终端将要访问所述目标定制网络的状态进行记录,并向所述核心网反馈第一确认信息,以使所述核心网将所述目标网络地址发送至所述终端,所述终端基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络。
20.一种网络接入装置,应用于终端,其特征在于,包括:
第三发送模块,用于向核心网发送携带目标接入点信息的接入请求,由所述核心网向远程用户拨号认证Radius服务器发送携带所述目标接入点信息和所述终端对应的至少一个标识信息的Radius认证请求,所述Radius认证请求在所述接入请求和所述终端接入所述核心网的合法性核验通过的情况下发送;
第三处理模块,用于接收所述核心网在接收到所述Radius服务器反馈的第一确认信息的情况下发送的目标网络地址,并基于所述目标网络地址访问目标服务器、接入所述目标服务器对应的目标定制网络;
其中,在所述Radius服务器基于所述Radius认证请求反馈允许接入所述目标定制网络的第一响应信息的情况下,所述核心网发起会话建立连接请求、为所述终端分配目标网络地址,并向所述Radius服务器发送携带起始标识的在线接入消息,所述会话建立连接请求包括所述在线接入消息,所述Radius服务器接收所述在线接入消息后反馈所述第一确认信息。
21.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7、8至11或者12至14任一项所述的网络接入方法。
CN202111659787.9A 2021-12-30 2021-12-30 网络接入方法、装置、核心网、服务器及终端 Pending CN114513829A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111659787.9A CN114513829A (zh) 2021-12-30 2021-12-30 网络接入方法、装置、核心网、服务器及终端

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111659787.9A CN114513829A (zh) 2021-12-30 2021-12-30 网络接入方法、装置、核心网、服务器及终端

Publications (1)

Publication Number Publication Date
CN114513829A true CN114513829A (zh) 2022-05-17

Family

ID=81548028

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111659787.9A Pending CN114513829A (zh) 2021-12-30 2021-12-30 网络接入方法、装置、核心网、服务器及终端

Country Status (1)

Country Link
CN (1) CN114513829A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114925059A (zh) * 2022-07-20 2022-08-19 阿里巴巴达摩院(杭州)科技有限公司 脏数据处理方法、核心网、设备和存储介质
CN115665684A (zh) * 2022-12-26 2023-01-31 中电信数字城市科技有限公司 针对海量物联网终端的组网架构和控制系统

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114925059A (zh) * 2022-07-20 2022-08-19 阿里巴巴达摩院(杭州)科技有限公司 脏数据处理方法、核心网、设备和存储介质
CN114925059B (zh) * 2022-07-20 2023-01-24 阿里巴巴达摩院(杭州)科技有限公司 脏数据处理方法、核心网、设备和存储介质
CN115665684A (zh) * 2022-12-26 2023-01-31 中电信数字城市科技有限公司 针对海量物联网终端的组网架构和控制系统
CN115665684B (zh) * 2022-12-26 2023-03-10 中电信数字城市科技有限公司 针对海量物联网终端的组网架构和控制系统

Similar Documents

Publication Publication Date Title
CN110798833B (zh) 一种鉴权过程中验证用户设备标识的方法及装置
CN102378170B (zh) 一种鉴权及业务调用方法、装置和系统
US10348721B2 (en) User authentication
WO2019062235A1 (zh) 用于调用网络功能服务的方法、装置和系统
CN108848496B (zh) 基于TEE的虚拟eSIM卡的认证方法、TEE终端和管理平台
US9380038B2 (en) Bootstrap authentication framework
CN104052775B (zh) 一种云平台服务的权限管理方法、装置和系统
CN110569638B (zh) 一种api认证的方法、装置、存储介质及计算设备
US9288674B2 (en) Convenient WiFi network access using unique identifier value
CN114513829A (zh) 网络接入方法、装置、核心网、服务器及终端
CN106790251B (zh) 用户接入方法和用户接入系统
CN111132305B (zh) 5g用户终端接入5g网络的方法、用户终端设备及介质
US20080235185A1 (en) Communication system and method of accessing therefor
WO2013071836A1 (zh) 客户端应用访问鉴权处理方法和装置
CN111093196B (zh) 5g用户终端接入5g网络的方法、用户终端设备及介质
US9723436B2 (en) Mobile device location
WO2015096483A1 (zh) 一种终端应用的注册方法、装置和系统
CN114786170B (zh) 上链数据安全处理实体切换方法、终端、usim及系统
CN114697945B (zh) 发现响应消息的生成方法及装置、发现消息的处理方法
CN115348643A (zh) 一种Wi-Fi网络的接入方法、装置及计算机可读存储介质
CN105530687B (zh) 一种无线网络接入控制方法及接入设备
EA032424B1 (ru) Способ и система для определения присутствия sim-карты и клиента протокола sip в одном и том же мобильном устройстве
EP2374227B1 (en) Method of providing wireless data communication service using ip and apparatus thereof
CN114301967A (zh) 窄带物联网控制方法、装置及设备
CN114499981A (zh) 一种视频访问方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination