CN114938508A - 5g专网网络控制方法、装置、电子设备及存储介质 - Google Patents
5g专网网络控制方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114938508A CN114938508A CN202210614694.2A CN202210614694A CN114938508A CN 114938508 A CN114938508 A CN 114938508A CN 202210614694 A CN202210614694 A CN 202210614694A CN 114938508 A CN114938508 A CN 114938508A
- Authority
- CN
- China
- Prior art keywords
- private network
- user
- network access
- data packet
- access user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/08—Load balancing or load distribution
- H04W28/09—Management thereof
- H04W28/0925—Management thereof using policies
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种5G专网网络控制方法、装置、电子设备及存储介质。方法包括:接收会话管理功能转发的专网访问用户的专网入网消息,专网入网消息包括所述专网访问用户的用户标识。根据专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对专网访问用户的专网数据包进行拦截处理或者分流处理。本申请中,5G专网访问用户入网时,根据企业用户下发的专网控制策略,对专网访问用户的专网数据包处理,实现了企业客户对专网访问用户的灵活管控。
Description
技术领域
本申请涉及通信技术,尤其涉及一种5G专网网络控制方法、装置、电子设备及存储介质。
背景技术
移动通信技术的发展催生了相关产业的涌现和持续的繁荣,全球移动通信正在经历4G向5G的迭代,相比4G及以前的企业专网,5G专网支持丰富的企业定制化网络行业属性,包括高带宽、低延迟、海量接入、独享网络资源、安全性等。
同时,企业客户对5G专网访问用户安全管控提出了更高的要求,企业客户希望可以自主控制5G专网访问用户的的专网数据包,当前5G专网访问用户级别的策略控制方法涉及核心网网元较多,流程过于复杂且时延较高,增加了5G核心网的负荷。如何满足企业客户对专网访问用户的灵活管控成为当前亟待解决的问题。
发明内容
本申请提供5G专网网络控制方法、装置、电子设备及存储介质,用以实现对5G专网访问用户的灵活管控。
一方面,本申请提供一种5G专网网络控制方法,应用于用户面功能模块,包括:接收会话管理功能转发的专网访问用户的专网入网消息,所述专网入网消息包括所述专网访问用户的用户标识;根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理;其中,所述专网控制策略由企业用户下发,所述专网控制策略通过以下至少一种方式获取:通过在用户面功能模块的本地控制台获取或者通过连接至用户面功能模块的北向接口获取。
在一些实施方式中,所述方法还包括:通过连接至用户面功能模块的北向接口,接收所述企业用户下发的所述专网控制策略;其中,所述北向接口支持所述企业用户的调用;或接收所述企业用户通过所述用户面功能模块的本地控制台输入的所述专网控制策略,其中,所述本地控制台具备人机交互界面。
在一些实施方式中,所述接收会话管理功能转发的专网访问用户的专网入网消息之后,还包括:根据所述专网入网消息,为所述专网访问用户分配终端IP地址;建立并记录所述专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系。
在一些实施方式中,所述根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理,包括:根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对流经所述专网访问用户的用户标识对应的终端IP地址的专网数据包进行拦截处理或者分流处理。
在一些实施方式中,所述专网控制策略包括访问白名单和访问黑名单,所述访问白名单和所述访问黑名单分别包括多个用户的用户标识;所述根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理,包括:若所述访问白名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行分流处理;若所述访问黑名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行拦截处理。
在一些实施方式中,所述访问白名单还包括多个用户对应的分流限制条件;所述对所述专网访问用户的专网数据包进行分流处理,包括:根据所述专网访问用户的当前专网数据包的类型和/或数据量,检测所述专网数据包是否满足所述专网访问用户对应的分流限制条件;其中,所述分流限制条件包括可分流数据包的类型和/或数据量上限值;若所述专网数据包满足所述分流限制条件,则对所述专网访问用户的专网数据包进行分流处理,否则,对所述专网数据包进行拦截处理。
另一方面,本申请提供一种5G专网网络控制装置,设置于用户面功能模块,包括:接收模块,用于接收会话管理功能转发的专网访问用户的专网入网消息,所述专网入网消息包括所述专网访问用户的用户标识;处理模块,用于根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理;其中,所述专网控制策略由企业用户下发,所述专网控制策略通过以下至少一种方式获取:通过在用户面功能模块的本地控制台获取或者通过连接至用户面功能模块的北向接口获取。
在一些实施方式中,所述接收模块还用于:通过连接至用户面功能模块的北向接口,接收所述企业用户下发的所述专网控制策略;其中,所述北向接口支持所述企业用户的调用;或接收所述企业用户通过所述用户面功能模块的本地控制台输入的所述专网控制策略,其中,所述本地控制台具备人机交互界面。
在一些实施方式中,所述装置还包括:配置模块,用于在所述接收模块接收会话管理功能转发的专网访问用户的专网入网消息之后,根据所述专网入网消息,为所述专网访问用户分配终端IP地址;所述配置模块,还用于建立并记录所述专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系。
在一些实施方式中,所述处理模块,具体用于:根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对流经所述专网访问用户的用户标识对应的终端IP地址的专网数据包进行拦截处理或者分流处理。
在一些实施方式中,所述专网控制策略包括访问白名单和访问黑名单,所述访问白名单和所述访问黑名单分别包括多个用户的用户标识;所述处理模块,具体用于:若所述访问白名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行分流处理;若所述访问黑名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行拦截处理。
在一些实施方式中,所述访问白名单还包括多个用户对应的分流限制条件;所述处理模块,具体用于:根据所述专网访问用户的当前专网数据包的类型和/或数据量,检测所述专网数据包是否满足所述专网访问用户对应的分流限制条件;其中,所述分流限制条件包括可分流数据包的类型和/或数据量上限值;若所述专网数据包满足所述分流限制条件,则对所述专网访问用户的专网数据包进行分流处理,否则,对所述专网数据包进行拦截处理。
又一方面,本申请提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;所述存储器存储计算机执行指令;所述处理器执行所述存储器存储的计算机执行指令,以实现如前所述的方法。
又一方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如前所述的方法。
本申请提供的5G专网网络控制方法、装置、电子设备及存储介质中,接收会话管理功能转发的专网访问用户的专网入网消息,专网入网消息中包括专网访问用户的用户标识;根据专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对5G专网访问用户的专网数据包进行拦截或者分流处理。本申请的方案,在5G专网访问用户入网时,根据专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对5G专网访问用户的专网数据包进行拦截处理或者分流处理,可以实现企业客户对专网访问用户的灵活管控。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1中示例性示出了5G专网网络控制场景示意图;
图2中示例性示出了本申请实施例一提供的5G专网网络控制方法的流程示意图;
图3中示例性示出了本申请实施例二提供的5G专网网络控制方法的流程示意图;
图4中示例性示出了本申请实施例三提供的5G专网网络控制方法的流程示意图;
图5中示例出了本申请实施例四提供的5G专网网络控制方法的流程示意图;
图6中示例性示出了本申请5G专网网络控制方法的场景示意图;
图7示例性示出了本申请实施例五提供的5G专网网络控制装置的结构示意图;
图8示例性示出了本申请实施例六提供的5G专网网络控制装置的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
需要说明的是,本申请中对于术语的简要说明,仅是为了方便理解接下来描述的实施方式,而不是意图限定本申请的实施方式。除非另有说明,这些术语应当按照其普通和通常的含义理解。
本申请中说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似或同类的对象或实体,而不必然意味着限定特定的顺序或先后次序,除非另外注明(Unless otherwise indicated)。应该理解这样使用的用语在适当情况下可以互换,例如能够根据本申请实施例图示或描述中给出那些以外的顺序实施。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖但不排他的包含,例如,包含了一系列组件的产品或设备不必限于清楚地列出的那些组件,而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。本申请中使用的术语“模块”,是指任何已知或后来开发的硬件、软件、固件、人工智能、模糊逻辑或硬件或/和软件代码的组合,能够执行与该元件相关的功能。
本申请各实施例中使用的术语“5G专网(Private 5G Network)”,是指使用5G技术创建具有统一连接性、优化服务和特定区域内安全通信方式的专用网络,为特定企业用户提供通信服务,是一种局域网(LAN,Local Area Network)。相对其他网络传输速度更快,性能更稳定,框架简易,并且是封闭性。局域网自身可以包括计算机设备、网络连接设备、网络传输介质等,其中,计算机设备又可以包括服务器与工作站,网络连接设备则可以包括网卡、集线器、交换机等,网络传输介质可以是网线。
本申请各实施例中使用的术语“核心网”,是指5G网络架构中的组成部分,主要提供用户连接、对用户数据的管理以及对用户业务的管理等。5G核心网元包括:用户面功能(User Plane Function,UPF)、认证服务器功能(Authentication Server Function,AUSF)、统一数据管理(The Unified Data Management,UDM)、接入和移动性管理功能(Access And Mobility Management Function,AMF)、会话管理功能(Session ManagementFunction,SMF)、策略管理功能(Policy Control Function,PCF)、网络切片选择(NetworkSlice Selection Function,NSSF)、网络调节功能(Network Repository Function,NRF)、网络开放功能(Network Exposure Function,NEF)等。其中,UPF负责分组路由转发、策略实施、流量报告等。
图1中示例性示出了5G专网网络控制场景的示意图。如图1所示,用户设备(UserEquip,UE)、无线接入网(Radio Access Network,RAN)与AMF两两之间存在信息交互,UPF通过AMF和核心网元之间进行信息交互,RAN应用UPF和企业服务器构建联系。5G专网访问用户应用用户设备,通过AMF和SMF向UPF发送5G专网访问请求信息,用户面功能获取当前5G专网访问用户的访问请求信息,为用户设备分配终端IP地址,并依据企业用户下发的网络控制策略,对流经终端IP地址的数据包进行处理。
其中,用户设备可以是智能设备,如移动终端、平板电脑、计算机、笔记本电脑、智能手表等。5G专网访问用户在5G专网所在的区域,通过用户设备访问企业用户的5G专网。用户首次访问企业用户的5G专网需要注册,可以访问5G专网的用户已完成在企业用户的注册。用户完成注册后,企业用户针对注册的用户下发网络控制策略。用户访问企业用户的5G专网时,UPF依据用户对应的网络控制策略对5G专网访问用户的数据包进行处理。企业服务器为企业用户专用的服务器,用于对UPF分流的5G专网访问用户的数据包进行处理。
当前企业用户下发5G专网访问用户级别的策略控制的方法,是通过企业服务器发送策略下发请求到NEF网元,由NEF网元调用PCF写入终端访问管控规则,并由PCF推送管控规则到SMF,SMF再下发管控规则到UPF,最终由UPF执行终端访问管控的规则。当前企业用户下发用户级别的网络控制策略涉及核心网网元较多,流程过于复杂且时延较高,增加了5G核心网的负荷。不足以满足企业客户便捷高效地对专网访问用户的的专网数据包进行灵活管控。因此,企业用户可以直接利用用户面功能网元下发用户级别的网络控制策略,该构思可以减少核心网元的应用,可以增加企业用户对5G专网访问用户管理的有效性和灵活性。
下面以具体的实施例对本申请的技术方案以及本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。在本申请的描述中,除非另有明确的规定和限定,各术语应在本领域内做广义理解。下面将结合附图,对本申请的实施例进行描述。
图2中示例性示出了本申请实施例一提供的5G专网网络控制方法的流程示意图,本实施例的执行主体可以为5G专网网络控制装置,应用于用户面功能模块,如图2所示,该方法包括:
S201、接收会话管理功能转发的专网访问用户的专网入网消息,所述专网入网消息包括所述专网访问用户的用户标识;
S202、根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理;其中,所述专网控制策略由企业用户下发,所述专网控制策略通过以下至少一种方式获取:通过在用户面功能模块的本地控制台获取或者通过连接至用户面功能模块的北向接口获取。
其中,用户标识为专网访问用户的标识,其包括但不限于:国际移动用户识别码(International Mobile Subscriber Identity,IMSI)、移动用户号码(MobileSubscriber International ISDN/PSTN Number,MSISDN)、临时移动用户识别(TemporaryMobile Subscriber Identity,TMSI)。实际应用中,用户标识只能唯一表示一个用户,企业用户可以根据用户标识,识别用户标识对应的专网访问用户。
实际应用中,该控制方法的执行主体可以为5G专网网络控制装置,所述5G专网网络控制装置的实现方式由多种,比如,可以通过计算机程序实现,例如,应用软件等;或者,也可以实现为存储有相关计算机程序的介质,例如,U盘、云盘等;再或者,还可以通过集成或安装有相关计算机程序的实体装置实现,例如,芯片等。
实际应用中,专网控制策略,与专网访问用户标识对应,是企业用户对专网访问用户的专网数据包处理的依据,举例来说,对于专网访问用户A,企业用户下发的专网控制策略为对用户A的专网数据包进行拦截,当用户A访问专网时,依据专网控制策略对用户A的专网数据包进行拦截。再举例来说,对于专网访问用户B,企业用户下发的专网控制策略为对用户B的专网数据包分流到企业服务器1进行处理。
具体的,S202中根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理。举例来说,当前访问专网用户为用户A,用户标识为用户A的移动用户号码,企业用户对于用户A,在用户面功能模块本地配置的专网控制策略为对用户A的专网数据包进行拦截。依据用户A的移动用户码识别当前专网访问用户为用户A,根据用户A对应的专网控制策略,对用户A的专网数据包进行拦截。
本实施例提供的5G专网网络控制方法中,接收会话管理功能转发的专网访问用户的专网入网消息,专网入网消息包括所述专网访问用户的用户标识。根据专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对专网访问用户的专网数据包进行拦截处理或者分流处理;其中,所述专网控制策略由企业用户下发,所述专网控制策略通过以下至少一种方式获取:通过在用户面功能模块的本地控制台获取或者通过连接至用户面功能模块的北向接口获取。本实施例在5G专网访问用户入网时,根据专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对专网访问用户的专网数据包进行拦截处理或者分流处理,可以实现企业客户对专网访问用户的灵活管控。
图3中示例性示出了本申请实施例二提供的5G专网网络控制方法的流程示意图,如图3所示,在任一示例的基础上,所述方法还包括:
S301、通过连接至用户面功能模块的北向接口,接收所述企业用户下发的所述专网控制策略;其中,所述北向接口支持所述企业用户的调用;
S302、或接收所述企业用户通过所述用户面功能模块的本地控制台输入的所述专网控制策略,其中,所述本地控制台具备人机交互界面。
其中,北向接口是为企业用户进行接入和管理网络的接口,企业用户可以使用北向接口来开发应用层中的网络管理应用程序。例如,北向接口可以是北向应用程序接口(Application Programming Interface,API),若北向API接口支持企业用户的调用,企业用户通过将API接口集成到企业用户自有的平台,实现对API接口对应的控制策略增删改查等操作。比如,企业用户可以查看北向API接口当前是否处于空闲状态,和/或当前API接口对应的控制策略。
实际应用中,企业用户下发专网控制策略的方式可以根据用户面功能模块的具体情况动态调整。举例来说,用户面功能模块的北向接口支持企业用户的调用,企业用户通过调用用户面功能模块的北向接口,下发专网控制策略。相对的,用户面功能模块的北向接口不支持企业用户的调用,企业用户可以通过用户功能模块的本地控制台,下发网络控制策略。企业用户下发专网控制策略的两种方式,实现了直接对用户面功能模块下发专网控制策略,减少了5G专网核心网元的应用,简化了专网控制策略下发步骤,降低了专网控制策略实现的复杂性和时延性。
需要说明的是,企业用户通过调用用户面功能模块的北向接口,和企业用户通过用户面功能模块的本地控制台,两种方式下发专网控制策略,两种方式可以单独实施也可以结合实施。例如,用户面功能模块的北向接口支持企业用户的调用,用户面功能模块的北向接口处于饱和状态。此时企业用户可以将某个北向接口对应的控制策略删除,并增加新的控制策略;企业用户也可以直接应用用户面功能模块的本地控制台直接下发控制策略。
本实施例提供的5G专网网络控制方法中,通过连接至用户面功能模块的北向接口,接收企业用户下发的专网控制策略;或接收企业用户通过用户面功能模块的本地控制台输入的专网控制策略。两种接收专网控制策略的方式,接收企业用户直接对用户面功能模块下发专网控制策略,减少了5G专网核心网元的应用,简化了专网控制策略下发步骤,降低了专网控制策略实现的复杂性和时延性。
图4中示例性示出了本申请实施例三提供的5G专网网络控制方法的流程示意图,如图4所示,在S201之后,所述方法还包括:
S401、根据所述专网入网消息,为所述专网访问用户分配终端IP地址;
S402、建立并记录所述专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系。
其中,终端IP地址为本次专网访问用户所用用户设备的IP地址,终端IP地址是随机分配的,专网访问用户每次访问专网时,均需要为用户设备分配终端IP地址。具体的,S401中,根据所述专网入网消息,为所述专网访问用户分配终端IP地址。每次接收到专网入网消息,就随机为本次专网访问用户所用设备动态分配IP地址。
实际应用中,专网访问用户可以应用不同的用户设备访问专网,不同的专网用户可以应用同一个用户设备访问专网。由于专网访问用户每次访问专网时,均需要为用户设备分配终端IP地址,所以专网访问用户访问专网时均需要更新专网访问用户的用户标识和当前为专网访问用户分配的终端IP地址的映射关系。
本实施例中,专网访问用户分配终端IP地址,并建立并记录专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系,动态实现了专网访问用户和终端IP之间对应关系。
在一种实施方式中,S202具体包括:
根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对流经所述专网访问用户的用户标识对应的终端IP地址的专网数据包进行拦截处理或者分流处理。
实际应用中,每次专网访问用户访问专网时,都更新专网访问用户的用户标识和用户标识对应的终端IP地址之间的映射关系,由于专网控制策略与专网访问用户标识对应的,并且用户标识和用户标识对应的终端IP地址之间存在映射关系,所以专网控制策略为用户标识对应的终端IP地址对应的专网控制策略。
本实施方式中,依据专网访问用户的用户标识和用户标识对应的终端IP地址之间的映射关系,根据专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对流经专网访问用户的用户标识对应的终端IP地址的专网数据包进行拦截处理或者分流处理,实现了对专网访问用户的专网数据包进行拦截处理或者分流处理。
本实施例提供的5G专网网络控制方法中,专网访问用户分配终端IP地址,并建立并记录专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系,动态实现了专网访问用户和终端IP之间对应关系。
图5中示例出了本申请实施例四提供的5G专网网络控制方法的流程示意图,如图5所示,在任一示例的基础上,所述专网数据控制策略包括访问白名单和访问黑名单,所述访问白名单和所述访问黑名单分别包括多个用户的用户标识,S202具体包括:
S501、若所述访问白名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行分流处理;
S502、若所述访问黑名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行拦截处理。
其中,访问白名单是企业用户提前确定的,包括多个用户的用户标识。对于白名单中的专网访问用户进行分流处理。其中分流处理是指将专网访问用户的专网数据包分流至服务器处理。举例来说,访问专网用户为用户B对应的用户标识在访问白名单中,对专网访问用户B的专网数据包进行分流处理。相对的,访问黑名单也是企业用户提前确定的,包括多个用户的用户标识。对于黑名单中的专网访问用户进行拦截处理。其中拦截是指将专网访问用户的专网数据包进行拦截即分流至服务器处理。举例来说,专网访问用户为用户A对应的用户标识在访问黑名单中,对专网访问用户A的专网数据包进行拦截处理。
结合上述示例,每次专网访问用户入网时,都为专网访问用户分配终端IP地址,并更新专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系。举例来说,专网访问用户A访问专网,为专网访问用户A分配的终端IP地址为IP-1,由于专网访问用户A的用户标识在访问黑名单,对流经终端IP-1地址的专网数据包进行拦截处理。再举例来说,专网访问用户B访问专网,为专网访问用户B分配的终端IP地址为IP-2,由于专网访问用户B的用户标识在访问黑名单,对流经终端IP-2地址的专网数据包分流至企业服务器1处理。
需要说明的是,黑白名单中的用户标识可以根据企业用户需求及时变更,比如,专网访问用户A的用户标识在黑名单中,专网访问用户A与企业用户建立合作关系,企业用户可以将专网访问用户A的用户标识放到白名单中,专网访问用户A再次访问专网时,专网访问用户A的数据包可以分流至企业服务器处理。相对的,专网访问用户B的用户标识在白名单中,专网访问用户B与企业用户终止合作关系,企业用户可以将专网访问用户B加入黑名单中,专网访问用户B再次访问专网时,专网访问用户的数据包进行拦截处理。
本实施例中,企业用户通过设定黑白名单,可以实现简化专网访问用户入网时,通过查看专网访问用户的用户标识所在名单,可以直接采取对应的专网控制策略对专网访问用户数据包处理,简化了专网访问用户数据包处理流程。
在一种实施方式中,所述访问白名单还包括多个用户对应的分流限制条件,S501具体包括:
根据所述专网访问用户的当前专网数据包的类型和/或数据量,检测所述专网数据包是否满足所述专网访问用户对应的分流限制条件;其中,所述分流限制条件包括可分流数据包的类型和/或数据量上限值;
若所述专网数据包满足所述分流限制条件,则对所述专网访问用户的专网数据包进行分流处理,否则,对所述专网数据包进行拦截处理。
实际应用中,可以根据专网数据包的类型对访问白名单中的访问专网用户的专网数据包分流处理进行进一步限定。举例来说,对于访问白名单中专网访问用户C,企业用户限定访问用户C分流处理的专网数据包的类型为音乐流量,当专网访问用户C访问专网时,只将专网访问用户C的音乐流量分流给企业服务器处理;相对的,当专网访问用户C访问专网时,专网访问用户C的浏览网页的流量进行拦截处理。
实际应用中,可以根据专网数据包的数据量对访问白名单中的访问专网用户的专网数据包分流处理进行进一步限定。举例来说,对于访问白名单中专网访问用户D,企业用户限定访问用户D每月分流处理的专网数据包的数据量为2000字节,当专网访问用户D访问专网时,专网访问用户C当月的专网数据包的数据量未超过2000字节时,可以将专网数据包分流至企业服务器处理;相对的,专网访问用户C当月的专网数据包的数据量超过2000字节时,对专网数据包进行拦截处理。
本实施方式中,根据可以分流专网数据包的类型和/或数据量对访问白名单中专网访问用户的专网数据包处理进一步限定,企业用户可以更加灵活限定专网访问用户的网络控制策略。
图6中示例性示出了本申请5G专网网络控制方法的场景示意图,如图6所示,企业用户通过UPF的控制台或者UPF的北向API接口,直接下发5G专网访问用户的用户标识对应的5G专网网络控制规则。例如,针对5G专网访问用户的IMSI-1码的流量进行拦截,针对5G专网访问用户的IMSI-2码的流量分流至企业服务器1进行处理。5G专网访问用户通过AMF和SMF向UPF发送5G专网访问请求信息,5G专网访问请求信息中新增5G专网访问用户的用户标识。UPF通过当前5G专网访问用户的5G专网访问请求信息,获取当前5G专网访问用户的用户标识,并为5G专网访问用户分配终端IP地址。例如,当前5G专网访问请求信息中包含IMSI-1字段信息,UPF根据当前5G专网访问请求信息,获取当前5G专网访问用户的IMSI-1字段信息,为IMSI-1表示的5G专网访问用户分配终端IP地址为IP-1;当前5G专网访问请求信息中包含IMSI-2字段信息,UPF根据当前5G专网访问请求信息,获取当前5G专网访问用户的IMSI-2字段信息,为IMSI-2表示的5G专网访问用户分配终端IP地址为IP-2。UPF建立并存储,5G专网访问用户的用户标识和为5G专网访问用户分配终端IP地址之间的映射关系,进而确定为5G专网访问用户分配终端IP地址对应的5G专网网络控制规则。例如,IMSI-1对应IP-1,IP-1对应的5G专网网络控制规则为对流经IP-1的流量进行拦截;IMSI-2对应IP-2,IP-2对应的5G专网网络控制规则对流经IP-2的流量分流至企业服务器1进行处理。UPF是被到流量是否与企业用户下发的网络控制策略匹配,若匹配,UPF依据企业用户下发的网络控制策略,对流经终端IP地址的数据包进行处理;若不匹配,UPF根据流量的类型将流量转发至与UPF相邻的网元中。例如,流量类型为会话内容,UPF将流量转发至SMF网元。
图7示例性示出了本申请实施例五提供的5G专网网络控制装置的结构示意图,设置于用户面功能模块,如图7示,该装置包括:
接收模块71,用于接收会话管理功能转发的专网访问用户的专网入网消息,所述专网入网消息包括所述专网访问用户的用户标识;
处理模块72,用于根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理;其中,所述专网控制策略由企业用户下发,所述专网控制策略通过以下至少一种方式获取:通过在用户面功能模块的本地控制台获取或者通过连接至用户面功能模块的北向接口获取。
其中,用户标识为专网访问用户的标识。实际应用中,用户标识只能唯一表示一个用户,企业用户可以根据用户标识,识别用户标识对应的专网访问用户。
实际应用中,专网控制策略,与专网访问用户标识对应,是企业用户对专网访问用户的专网数据包处理的依据。
本实施例提供的用户面功能模块中,接收会话管理功能转发的专网访问用户的专网入网消息,专网入网消息包括所述专网访问用户的用户标识。根据专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对专网访问用户的专网数据包进行拦截处理或者分流处理;其中,所述专网控制策略由企业用户下发,所述专网控制策略通过以下至少一种方式获取:通过在用户面功能模块的本地控制台获取或者通过连接至用户面功能模块的北向接口获取。本实施例在5G专网访问用户入网时,根据专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对专网访问用户的专网数据包进行拦截处理或者分流处理,可以实现企业客户对专网访问用户的灵活管控。
在一些实施例中,接收模块71,还用于:
通过连接至用户面功能模块的北向接口,接收所述企业用户下发的所述专网控制策略;其中,所述北向接口支持所述企业用户的调用;
或接收所述企业用户通过所述用户面功能模块的本地控制台输入的所述专网控制策略,其中,所述本地控制台具备人机交互界面。
其中,北向接口是为企业用户进行接入和管理网络的接口,企业用户可以使用北向接口来开发应用层中的网络管理应用程序。
实际应用中,企业用户下发专网控制策略的方式可以根据用户面功能模块的具体情况动态调整。举例来说,用户面功能模块的北向接口支持企业用户的调用,企业用户通过调用用户面功能模块的北向接口,下发专网控制策略。相对的,用户面功能模块的北向接口不支持企业用户的调用,企业用户可以通过用户功能模块的本地控制台,下发网络控制策略。企业用户下发专网控制策略的两种方式,实现了直接对用户面功能模块下发专网控制策略,减少了5G专网核心网元的应用,简化了专网控制策略下发步骤,降低了专网控制策略实现的复杂性和时延性。
需要说明的是,企业用户通过调用用户面功能模块的北向接口,和企业用户通过用户面功能模块的本地控制台,两种方式下发专网控制策略,两种方式可以单独实施也可以结合实施。
本实施例提供的用户面功能模块中,通过连接至用户面功能模块的北向接口,接收企业用户下发的专网控制策略;和\或接收企业用户通过用户面功能模块的本地控制台输入的专网控制策略。两种接收专网控制策略的方式,接收企业用户直接对用户面功能模块下发专网控制策略,减少了5G专网核心网元的应用,简化了专网控制策略下发步骤,降低了专网控制策略实现的复杂性和时延性。
在一些实施例中,所述装置还包括配置模块,具体用于:在所述接收模块接收会话管理功能转发的专网访问用户的专网入网消息之后,根据所述专网入网消息,为所述专网访问用户分配终端IP地址;建立并记录所述专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系。
其中,终端IP地址为本次专网访问用户所用用户设备的IP地址,终端IP地址是随机分配的,专网访问用户每次访问专网时,均需要为用户设备分配终端IP地址。具体的,配置模块,根据所述专网入网消息,为所述专网访问用户分配终端IP地址。每次接收到专网入网消息,就随机为本次专网访问用户所用设备动态分配IP地址。
实际应用中,专网访问用户可以应用不同的用户设备访问专网,不同的专网用户可以应用同一个用户设备访问专网。由于专网访问用户每次访问专网时,均需要为用户设备分配终端IP地址,所以专网访问用户访问专网时均需要更新专网访问用户的用户标识和当前为专网访问用户分配的终端IP地址的映射关系。
本实施例中,专网访问用户分配终端IP地址,并建立并记录专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系,动态实现了专网访问用户和终端IP之间对应关系。
在一些实施例中,所述处理模块72,具体用于:根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对流经所述专网访问用户的用户标识对应的终端IP地址的专网数据包进行拦截处理或者分流处理。
实际应用中,每次专网访问用户访问专网时,都更新专网访问用户的用户标识和用户标识对应的终端IP地址之间的映射关系,由于专网控制策略与专网访问用户标识对应的,并且用户标识和用户标识对应的终端IP地址之间存在映射关系,所以专网控制策略为用户标识对应的终端IP地址对应的专网控制策略。
本实施方式中,依据专网访问用户的用户标识和用户标识对应的终端IP地址之间的映射关系,根据专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对流经专网访问用户的用户标识对应的终端IP地址的专网数据包进行拦截处理或者分流处理,实现了对专网访问用户的专网数据包进行拦截处理或者分流处理。
本实施例提供的用户面功能模块中,专网访问用户分配终端IP地址,并建立并记录专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系,动态实现了专网访问用户和终端IP之间对应关系。
在一些实施例中,所述专网控制策略包括访问白名单和访问黑名单,所述访问白名单和所述访问黑名单分别包括多个用户的用户标识;所述处理模块62,具体用于:若所述访问白名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行分流处理;若所述访问黑名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行拦截处理。
其中,访问白名单是企业用户提前确定的,包括多个用户的用户标识。对于白名单中的专网访问用户进行分流处理。其中分流处理是指将专网访问用户的专网数据包分流至服务器处理。相对的,访问黑名单也是企业用户提前确定的,包括多个用户的用户标识。对于黑名单中的专网访问用户进行拦截处理。其中拦截是指将专网访问用户的专网数据包进行拦截即分流至服务器处理。
结合上述示例,每次专网访问用户入网时,都为专网访问用户分配终端IP地址,并更新专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系,依据用户标识所在名单,确定当前终端IP地址对应的专网数据包的专网控制策略。
需要说明的是,黑白名单中的用户标识可以根据企业用户需求及时变更。
本实施例中,企业用户通过设定黑白名单,可以实现简化专网访问用户入网时,通过查看专网访问用户的用户标识所在名单,可以直接采取对应的专网控制策略对专网访问用户数据包处理,简化了专网访问用户数据包处理流程。
在一些实施例中,所述访问白名单还包括多个用户对应的分流限制条件;所述处理模块72,具体用于:根据所述专网访问用户的当前专网数据包的类型和/或数据量,检测所述专网数据包是否满足所述专网访问用户对应的分流限制条件;其中,所述分流限制条件包括可分流数据包的类型和/或数据量上限值;若所述专网数据包满足所述分流限制条件,则对所述专网访问用户的专网数据包进行分流处理,否则,对所述专网数据包进行拦截处理。
实际应用中,可以根据专网数据包的类型对访问白名单中的访问专网用户的专网数据包分流处理进行进一步限定。
实际应用中,可以根据专网数据包的数据量对访问白名单中的访问专网用户的专网数据包分流处理进行进一步限定。
本实施方式中,根据可以分流专网数据包的类型和/或数据量对访问白名单中专网访问用户的专网数据包处理进一步限定,企业用户可以更加灵活限定专网访问用户的网络控制策略。
图8示例性示出了本申请实施例六提供的电子设备的结构示意图,如图8示,该电子设备包括:
处理器(processor)81,主控装置还包括了存储器(memory)82;还可以包括通信接口(Communication Interface)83和总线84。其中,处理器81、存储器82、通信接口83、可以通过总线84完成相互间的通信。通信接口83可以用于信息传输。处理器81可以调用存储器82中的逻辑指令,以执行上述实施例的方法。
此外,上述的存储器82中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。
存储器82作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序,如本申请实施例中的方法对应的程序指令/模块。处理器81通过运行存储在存储器82中的软件程序、指令以及模块,从而执行功能应用以及数据处理,即实现上述方法实施例中的方法。
存储器82可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端设备的使用所创建的数据等。此外,存储器82可以包括高速随机存取存储器,还可以包括非易失性存储器。
在示例性实施例中,还提供了一种存储有计算机执行指令的计算机可读存储介质,所述计算机执行指令被处理器执行时用于实现上述方法。例如,所述计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供了一种计算机程序产品,包括计算机程序,该计算机程序被处理器执行时实现上述方法。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。
Claims (14)
1.一种5G专网网络控制方法,其特征在于,应用于用户面功能模块,所述方法包括:
接收会话管理功能转发的专网访问用户的专网入网消息,所述专网入网消息包括所述专网访问用户的用户标识;
根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理;其中,所述专网控制策略由企业用户下发,所述专网控制策略通过以下至少一种方式获取:通过在用户面功能模块的本地控制台获取或者通过连接至用户面功能模块的北向接口获取。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
通过连接至用户面功能模块的北向接口,接收所述企业用户下发的所述专网控制策略;其中,所述北向接口支持所述企业用户的调用;
或接收所述企业用户通过所述用户面功能模块的本地控制台输入的所述专网控制策略,其中,所述本地控制台具备人机交互界面。
3.根据权利要求1所述的方法,其特征在于,所述接收会话管理功能转发的专网访问用户的专网入网消息之后,还包括:
根据所述专网入网消息,为所述专网访问用户分配终端IP地址;
建立并记录所述专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系。
4.根据权利要求3所述的方法,其特征在于,所述根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理,包括:
根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对流经所述专网访问用户的用户标识对应的终端IP地址的专网数据包进行拦截处理或者分流处理。
5.根据权利要求1-4任一项所述的方法,其特征在于,所述专网控制策略包括访问白名单和访问黑名单,所述访问白名单和所述访问黑名单分别包括多个用户的用户标识;所述根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理,包括:
若所述访问白名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行分流处理;
若所述访问黑名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行拦截处理。
6.根据权利要求5所述的方法,其特征在于,所述访问白名单还包括多个用户对应的分流限制条件;所述对所述专网访问用户的专网数据包进行分流处理,包括:
根据所述专网访问用户的当前专网数据包的类型和/或数据量,检测所述专网数据包是否满足所述专网访问用户对应的分流限制条件;其中,所述分流限制条件包括可分流数据包的类型和/或数据量上限值;
若所述专网数据包满足所述分流限制条件,则对所述专网访问用户的专网数据包进行分流处理,否则,对所述专网数据包进行拦截处理。
7.一种5G专网网络控制装置,其特征在于,设置于用户面功能模块,所述装置包括:
接收模块,用于接收会话管理功能转发的专网访问用户的专网入网消息,所述专网入网消息包括所述专网访问用户的用户标识;
处理模块,用于根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对所述专网访问用户的专网数据包进行拦截处理或者分流处理;其中,所述专网控制策略由企业用户下发,所述专网控制策略通过以下至少一种方式获取:通过在用户面功能模块的本地控制台获取或者通过连接至用户面功能模块的北向接口获取。
8.根据权利要求7所述的装置,其特征在于,所述接收模块还用于:
通过连接至用户面功能模块的北向接口,接收所述企业用户下发的所述专网控制策略;其中,所述北向接口支持所述企业用户的调用;
或接收所述企业用户通过所述用户面功能模块的本地控制台输入的所述专网控制策略,其中,所述本地控制台具备人机交互界面。
9.根据权利要求7所述的装置,其特征在于,所述装置还包括:
配置模块,用于在所述接收模块接收会话管理功能转发的专网访问用户的专网入网消息之后,根据所述专网入网消息,为所述专网访问用户分配终端IP地址;
所述配置模块,还用于建立并记录所述专网访问用户的用户标识和分配的所述终端IP地址之间的映射关系。
10.根据权利要求9所述的装置,其特征在于,所述处理模块,具体用于:
根据所述专网访问用户的用户标识和在用户面功能模块本地配置的专网控制策略,对流经所述专网访问用户的用户标识对应的终端IP地址的专网数据包进行拦截处理或者分流处理。
11.根据权利要求7-10任一项所述的装置,其特征在于,所述专网控制策略包括访问白名单和访问黑名单,所述访问白名单和所述访问黑名单分别包括多个用户的用户标识;所述处理模块,具体用于:
若所述访问白名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行分流处理;
若所述访问黑名单包括所述专网访问用户的用户标识,则对所述专网访问用户的专网数据包进行拦截处理。
12.根据权利要求11所述的装置,其特征在于,所述访问白名单还包括多个用户对应的分流限制条件;所述处理模块,具体用于:
根据所述专网访问用户的当前专网数据包的类型和/或数据量,检测所述专网数据包是否满足所述专网访问用户对应的分流限制条件;其中,所述分流限制条件包括可分流数据包的类型和/或数据量上限值;
若所述专网数据包满足所述分流限制条件,则对所述专网访问用户的专网数据包进行分流处理,否则,对所述专网数据包进行拦截处理。
13.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-6中任一项所述的方法。
14.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-6中任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210614694.2A CN114938508A (zh) | 2022-05-31 | 2022-05-31 | 5g专网网络控制方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210614694.2A CN114938508A (zh) | 2022-05-31 | 2022-05-31 | 5g专网网络控制方法、装置、电子设备及存储介质 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114938508A true CN114938508A (zh) | 2022-08-23 |
Family
ID=82865939
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210614694.2A Pending CN114938508A (zh) | 2022-05-31 | 2022-05-31 | 5g专网网络控制方法、装置、电子设备及存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114938508A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115866654A (zh) * | 2023-02-07 | 2023-03-28 | 阿里巴巴(中国)有限公司 | 数据处理方法、存储介质、电子设备和系统 |
-
2022
- 2022-05-31 CN CN202210614694.2A patent/CN114938508A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115866654A (zh) * | 2023-02-07 | 2023-03-28 | 阿里巴巴(中国)有限公司 | 数据处理方法、存储介质、电子设备和系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109842906B (zh) | 一种通信的方法、装置及系统 | |
US7139559B2 (en) | System and method for handshaking between wireless devices and servers | |
CN107615732B (zh) | 将会话接纳至虚拟网络中的方法和移动性管理功能实体 | |
US10178238B2 (en) | Method and system for dynamic cellular networking activation for virtual SIM service | |
US11877177B2 (en) | Systems and methods for providing edge-based quality of service orchestration for multi-access edge computing (MEC) in a network | |
US20090137227A1 (en) | Federated Virtual Network of Communications Services | |
US20190261351A1 (en) | Function scheduling method, device, and system | |
WO2022033346A1 (zh) | 网络切片管理系统、应用服务器和终端设备 | |
US20240031928A1 (en) | Network slice connection method and apparatus, storage medium, and electronic apparatus | |
TWI640214B (zh) | 一種網路接入方法、相關設備和系統 | |
CN114080054A (zh) | 一种pdu会话建立方法、终端设备和芯片系统 | |
WO2021072970A1 (zh) | 一种限制用户终端接入upf的方法 | |
CN110870256B (zh) | 用于操作电信网络的方法、系统和计算机可读介质 | |
CN110289971B (zh) | 共享业务管理方法及系统 | |
CN114938508A (zh) | 5g专网网络控制方法、装置、电子设备及存储介质 | |
CN114285900A (zh) | 调度系统、认证方法、调度方法、装置、服务器及介质 | |
CN107426109B (zh) | 一种流量调度方法、vnf模块及流量调度服务器 | |
US20200267625A1 (en) | Operator-id based restriction for a cellular network | |
CN112616143B (zh) | 一种分配通信号码的方法、装置、电子设备及存储介质 | |
CN110839219A (zh) | 终端接入蜂窝网络的方法以及蜂窝网络系统 | |
KR20190135298A (ko) | 네트워크장치 및 네트워크장치의 동작 방법 | |
US11218550B2 (en) | Setup of communication session | |
CN113438641B (zh) | 群组的处理方法、设备及存储介质 | |
KR20180017936A (ko) | 데이터 서비스 제어 방법 및 그 장치 | |
CN117880824A (zh) | 边缘应用访问方法、装置、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |