CN115529631B - 通信系统、方法、装置、第一设备及存储介质 - Google Patents
通信系统、方法、装置、第一设备及存储介质 Download PDFInfo
- Publication number
- CN115529631B CN115529631B CN202110703927.1A CN202110703927A CN115529631B CN 115529631 B CN115529631 B CN 115529631B CN 202110703927 A CN202110703927 A CN 202110703927A CN 115529631 B CN115529631 B CN 115529631B
- Authority
- CN
- China
- Prior art keywords
- network
- access
- information
- capability
- party
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 99
- 238000004891 communication Methods 0.000 title claims abstract description 83
- 230000006870 function Effects 0.000 claims description 165
- 230000004044 response Effects 0.000 claims description 103
- 238000012544 monitoring process Methods 0.000 claims description 40
- 230000005540 biological transmission Effects 0.000 claims description 33
- 238000012545 processing Methods 0.000 claims description 22
- 230000007246 mechanism Effects 0.000 claims description 10
- 238000004590 computer program Methods 0.000 claims description 8
- 239000000523 sample Substances 0.000 claims 1
- 238000005516 engineering process Methods 0.000 description 31
- 238000011217 control strategy Methods 0.000 description 18
- 230000008569 process Effects 0.000 description 12
- 239000008186 active pharmaceutical agent Substances 0.000 description 10
- 230000001360 synchronised effect Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 7
- 238000012423 maintenance Methods 0.000 description 6
- 238000005192 partition Methods 0.000 description 6
- 230000003068 static effect Effects 0.000 description 5
- 230000005291 magnetic effect Effects 0.000 description 4
- 230000003287 optical effect Effects 0.000 description 4
- 230000010354 integration Effects 0.000 description 3
- 230000003993 interaction Effects 0.000 description 3
- 230000011664 signaling Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 235000019800 disodium phosphate Nutrition 0.000 description 2
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 230000006978 adaptation Effects 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 239000003814 drug Substances 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 230000005294 ferromagnetic effect Effects 0.000 description 1
- 210000001503 joint Anatomy 0.000 description 1
- 238000013486 operation strategy Methods 0.000 description 1
- 238000004549 pulsed laser deposition Methods 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 230000005641 tunneling Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/08—Load balancing or load distribution
- H04W28/09—Management thereof
- H04W28/0925—Management thereof using policies
- H04W28/0933—Management thereof using policies based on load-splitting ratios
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/10—Flow control between communication endpoints
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W28/00—Network traffic management; Network resource management
- H04W28/02—Traffic management, e.g. flow control or congestion control
- H04W28/08—Load balancing or load distribution
- H04W28/084—Load balancing or load distribution among network function virtualisation [NFV] entities; among edge computing entities, e.g. multi-access edge computing
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种通信系统、方法、装置、第一设备及存储介质。其中,通信系统包括:至少一个第一设备、至少一个第二设备、至少一个用户面功能(UPF);每个第一设备连接至少一个第二设备;每个第一设备连接至少一个UPF;所述第一设备,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。
Description
技术领域
本申请涉及通信领域,尤其涉及一种通信系统、方法、装置、第一设备及存储介质。
背景技术
第五代移动通信技术(5G)作为新一代通信技术,具有大带宽、低时延、高可靠、高连接、泛在网等诸多优势,从而推动垂直行业的快速发展与更迭,比如智慧医疗、智慧教育、智慧农业等方向的崛起。
多接入边缘计算(MEC)技术作为5G演进的关键技术之一,是具备无线网络信息应用程序接口(API)交互能力,以及计算、存储、分析功能的信息技术(IT)通用平台;依托MEC技术,可将传统外部应用拉入运营商内部,为用户提供本地化的应用服务,更贴近用户,从而提升用户体验,发挥边缘网络的更多价值。
将5G和MEC技术结合,可以面向不同的行业需求场景,引入不同的技术组合,比如服务质量(QoS)、端到端网络切片、网络能力开放、边缘云等,从而提供定制化的解决方案。
相关技术中,如图1所示,5G与MEC技术结合的方案主要包括:
1)为了使能垂直行业低时延、高带宽、高可靠边缘应用,用户面功能(UPF)下沉到行业客户园区,靠近MEC边缘服务器(也可以称为MEC平台(MEP)),通过UPF的本地分流技术(即上行过滤器/IPv6分支点(UL-CL/IPv6 BP,Uplink Classifier/IPv6 BranchingPoint))将数据转发到MEP;
2)核心网中的应用功能(AF,Application Function)下沉到MEP侧,为部署于MEP上的应用提供更好的数据流控制策略(比如编码策略、QoS策略、路由策略等)。
然而,上述5G与MEC技术结合的方案存在安全风险。
发明内容
为解决相关技术问题,本申请实施例提供一种通信系统、方法、装置、第一设备及存储介质。
本申请实施例的技术方案是这样实现的:
本申请实施例提供了一种通信系统,包括:至少一个第一设备、至少一个第二设备、至少一个UPF;其中,
每个第一设备连接至少一个第二设备;每个第一设备连接至少一个UPF;
所述第一设备,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。
上述方案中,所述第一设备,还用于对连接的第二设备进行接入认证。
上述方案中,所述系统还包括:第三设备;其中,
所述第二设备,用于向所述第一设备发送接入认证信息;接收所述第一设备返回的认证响应信息;
所述第一设备,用于接收所述第二设备发送的接入认证信息,将所述接入认证信息发送给所述第三设备,接收所述第三设备返回的认证响应信息,以及向所述第二设备返回认证响应信息;
所述第三设备,用于接收所述第一设备发送的接入认证信息,利用所述接入认证信息对所述第二设备进行接入认证,并向所述第一设备返回认证响应信息。
上述方案中,所述接入认证信息包含所述第二设备的特征。
上述方案中,所述特征包含以下至少之一:
IP地址段;
承载的应用;
业务优先级。
上述方案中,所述第一设备,还用于控制第二设备对网络能力的访问。
上述方案中,
所述第三设备,还用于向所述第一设备发送第一策略;
所述第一设备,还用于接收所述第三设备发送的第一策略,基于所述第一策略为第二设备提供的应用提供安全访问控制功能,和/或,基于所述第一策略控制第二设备对网络能力的访问。
上述方案中,所述系统还包括:至少一个第三方网络;其中,
所述第三方网络,用于为终端提供网络接入;
所述第一设备,还用于为所述终端选择对应的第二设备,并将对应第二设备提供的应用通过所述第三方网络提供给所述终端。
上述方案中,所述第一设备,还用于对第三方网络进行接入认证。
上述方案中,所述系统还包括:第三设备;其中,
所述第三方网络,用于向所述第一设备发送接入认证信息;并接收所述第一设备返回的认证响应信息;
所述第一设备,用于接收所述第三方网络发送的接入认证信息,将所述接入认证信息发送给所述第三设备,接收所述第三设备返回的认证响应信息,以及向所述第三方网络返回认证响应信息;
所述第三设备,用于接收所述第一设备发送的接入认证信息,利用所述接入认证信息对所述第三方网络进行接入认证,并向所述第一设备返回认证响应信息。
上述方案中,所述接入认证信息包含第三方网络的特征。
上述方案中,所述特征包含以下至少之一:
最大带宽;
带宽控制粒度;
IP地址段;
业务优先级;
承载的应用。
上述方案中,所述第一设备,用于接入认证通过后,基于安全机制与所述第三方网络进行数据传输。
上述方案中,所述第一设备,还用于控制所述第三方网络的接入能力。
上述方案中,
所述第三设备,还用于向所述第一设备发送第二策略;
所述第一设备,还用于接收所述第三设备发送的第二策略,基于所述第二策略控制所述第三方网络的接入能力。
上述方案中,所述第二策略包含以下之一:
第一接入控制策略;所述第一接入控制策略针对单个第三方网络;
第二接入控制策略;所述第二接入控制策略针对一种类型的第三方网络;
第三接入控制策略;所述第三接入控制策略针对所有第三方网络。
上述方案中,所述第一设备,用于向所述第三方网络发送第一信息,所述第一信息用于指示所述第三方网络的接入能力;
所述第三方网络,用于接收所述第一设备发送的第一信息,利用所述第一信息调整自身的接入能力。
上述方案中,所述系统还包括:至少一个第四设备;其中,
所述第四设备,用于为所述第一设备提供网络能力信息。
上述方案中,所述第一设备,还用于对第四设备进行接入认证。
上述方案中,所述系统还包括:第三设备;其中,
所述第四设备,还用于向所述第一设备发送接入认证信息;接收所述第一设备返回的认证响应信息;
所述第一设备,用于接收所述第四设备发送的接入认证信息,将所述接入认证信息发送给所述第三设备,接收所述第三设备返回的认证响应信息,以及向所述第四设备返回认证响应信息;
所述第三设备,用于利用所述接入认证信息对所述第四设备进行接入认证,并向所述第一设备返回认证响应信息。
上述方案中,
所述第一设备,还用于控制所述第四设备的接入能力。
上述方案中,所述第一设备,用于向所述第四设备发送第二信息,所述第二信息用于指示所述第四设备的接入能力;
所述第四设备,用于接收所述第一设备发送的第二信息,利用所述第二信息调整自身的接入能力。
上述方案中,
所述第三设备,还用于向所述第一设备发送第三策略;
所述第一设备,还用于接收所述第三设备发送的第三策略,并基于所述第三策略控制所述第四设备的接入能力。
上述方案中,所述第一设备,用于通过至少一个其他第一设备,将终端的业务流进行路由转发,以实现所述终端获取至少一个其他第一设备连接的第二设备提供的应用。
上述方案中,所述系统还包括:第三设备,用于控制所述至少一个第一设备。
上述方案中,所述第三设备,还用于对所述至少一个第一设备进行认证。
上述方案中,
所述第一设备,用于向所述第三设备发送认证信息;并接收所述第三设备返回的认证响应信息;
所述第三设备,用于接收所述第一设备发送的认证信息,并利用所述认证信息对所述第一设备进行认证,并向所述第一设备返回认证响应信息。
上述方案中,所述第一设备,还用于监控网络的流量和/或网络状态;并向所述第三设备上报以下信息至少之一:
网络的流量;
计费信息;
网络状态的监控信息;
网络能力的使用信息;
第二设备状态的监控信息。
本申请实施例还提供了一种通信方法,应用于第一设备,包括:
为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。
上述方案中,所述方法还包括:
对连接的第二设备进行接入认证;
和/或,
控制第二设备对网络能力的访问。
上述方案中,所述对连接的第二设备进行接入认证,包括:
接收所述第二设备发送的接入认证信息;
将所述接入认证信息发送给第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第二设备返回认证响应信息。
上述方案中,所述接入认证信息包含所述第二设备的特征。
上述方案中,所述特征包含以下至少之一:
IP地址段;
承载的应用;
业务优先级。
上述方案中,所述方法还包括:
接收第三设备发送的第一策略;
基于所述第一策略为第二设备提供的应用提供安全访问控制功能,和/或,基于所述第一策略控制第二设备对网络能力的访问。
上述方案中,所述方法还包括:
为接入第三方网络的终端选择对应的第二设备,将对应第二设备提供的应用通过所述第三方网络提供给所述终端。
上述方案中,所述方法还包括:
对所述第三方网络进行接入认证。
上述方案中,所述对所述第三方网络进行接入认证,包括:
接收所述第三方网络发送的接入认证信息;
将所述接入认证信息发送给所述第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第三方网络返回认证响应信息。
上述方案中,所述接入认证信息包含第三方网络的特征。
上述方案中,所述特征包含以下至少之一:
最大带宽;
带宽控制粒度;
IP地址段;
业务优先级;
承载的应用。
上述方案中,
接入认证通过后,基于安全机制与所述第三方网络进行数据传输。
上述方案中,所述方法还包括:
控制所述第三方网络的接入能力。
上述方案中,所述方法还包括:
接收第三设备发送的第二策略;
基于所述第二策略控制所述第三方网络的接入能力。
上述方案中,所述第二策略包含以下之一:
第一接入控制策略;所述第一接入控制策略针对单个第三方网络;
第二接入控制策略;所述第二接入控制策略针对一种类型的第三方网络;
第三接入控制策略;所述第三接入控制策略针对所有第三方网络。
上述方案中,所述控制所述第三方网络的接入能力,包括:
向所述第三方网络发送第一信息,所述第一信息用于指示所述第三方网络的接入能力。
上述方案中,所述方法还包括:
接收第四设备发送的网络能力信息。
上述方案中,所述方法还包括:
控制所述第四设备的接入能力;
和/或,
对第四设备进行接入认证。
上述方案中,所述控制所述第四设备的接入能力,包括:
向所述第四设备发送第二信息,所述第二信息用于指示所述第四设备的接入能力。
上述方案中,所述方法还包括:
接收所述第三设备发送的第三策略;
基于所述第三策略控制所述第四设备的接入能力。
上述方案中,所述对第四设备进行接入认证,包括:
接收所述第四设备发送的接入认证信息;
将所述接入认证信息发送给第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第四设备返回认证响应信息。
上述方案中,所述方法还包括:
通过至少一个其他第一设备,将终端的业务流进行路由转发,以实现所述终端获取至少一个其他第一设备连接的第二设备提供的应用。
上述方案中,所述方法还包括:
监控网络的流量和/或网络状态;并向第三设备上报以下信息至少之一:
网络的流量;
计费信息;
网络状态的监控信息;
网络能力的使用信息;
第二设备状态的监控信息。
本申请实施例还提供了一种通信装置,设置在第一设备上,包括:
处理单元,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。
本申请实施例还提供了一种第一设备,包括:处理器及通信接口;其中,
所述处理器,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。
本申请实施例还提供了一种第一设备,包括:处理器及和用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行上述任一方法的步骤。
本申请实施例还提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法的步骤。
本申请实施例提供的通信系统、方法、装置、第一设备及存储介质,所述通信系统包括:至少一个第一设备、至少一个第二设备、至少一个UPF;其中,每个第一设备连接至少一个第二设备;每个第一设备连接至少一个UPF;所述第一设备,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。本申请实施例的方案,通过第一设备,实现UPF与第二设备(比如MEP)之间的网络能力开放的业务代理;如此,能够保障通信系统的数据安全,提高通信系统的网络安全能力,从而提升用户体验。
附图说明
图1为相关技术中5G与MEC技术结合的系统结构示意图;
图2为本申请实施例通信系统的结构示意图;
图3为本申请实施例通信方法的流程示意图;
图4为本申请应用实施例5G行业云网融合的系统结构示意图;
图5为本申请应用实施例5G行业云网融合的网络能力开放架构示意图;
图6为本申请应用实施例接口形式的5G行业云网融合的系统结构示意图;
图7为本申请应用实施例实现行业网关对第三方网络的接入认证功能和接入控制功能的流程示意图;
图8为本申请应用实施例实现行业网关对第三方网络能力的接入认证功能和接入控制功能的流程示意图;
图9为本申请应用实施例实现行业网关对MEP的接入认证功能和接入控制功能的流程示意图;
图10为本申请应用实施例实现面向MEP的网络能力开放功能和自服务网络安全管控功能的流程示意图;
图11为本申请实施例通信装置的结构示意图;
图12为本申请实施例第一设备的结构示意图。
具体实施方式
下面结合附图及实施例对本申请再作进一步详细的描述。
相关技术中,图1所示的5G与MEC技术结合的方案具体存在以下安全风险:
第一,UPF与MEP的部署位置导致的安全风险。
具体地,UPF与MEP在功能逻辑上是分开的,但可以通过两种方式部署,分别是:合并部署与分离部署;其中,合并部署是指将UPF与MEP部署在同一机房甚至同一物理设备上;分离部署是指将UPF与MEP部署在不同机房。实际应用时,合并部署方式并不适用于垂直行业(比如智慧医疗、智慧教育、智慧农业等),这是因为:如果将UPF与MEP合并部署在运营商机房,则违背了行业客户对其应用数据不能出园区的安全要求;而如果将UPF与MEP合并部署在行业客户园区机房,则非常不利于运营商的运维,且会提升针对整个核心网的安全风险。因此,对于垂直行业应用,UPF与MEP应分离部署,具体地,可以将UPF部署于运营商机房,并将MEP部署于行业客户园区机房。然而,在UPF与MEP分离部署的场景下,无法保障UPF与MEP之间的数据安全,存在安全风险。
第二,泛在网络接入导致的安全风险。
具体地,图1所示的架构并未涉及非5G网络的接入和数据传输,换句话说,相关技术并未给出5G与MEC技术结合时非5G网络的接入方案。而垂直行业的终端的接入技术类型繁多,除5G外,还包括第四代移动通信技术(4G)、WiFi、蓝牙(Bluetooth)、紫蜂(Zigbee)、窄带物联网(NB-IoT)、有线网络(Wireline)等,这些非5G网络接入的终端数据可能无法通过5G网络传输到MEP,使MEP无法对各种接入技术类型的终端数据进行接入控制、流量管控和安全监控,无法保障MEP的网络与数据安全,存在安全风险。
第三,网络能力开放导致的安全风险。
具体地,如图1所示,相关技术中,通过MEP上的AF与5G核心网(5GC)的网络开放功能(NEF,Network Exposure Function)对接来实现MEP的网络能力开放功能(英文可以表示为Service Capability Exposure Function,缩写为SCEF)。然而,由于每个MEP上的安全等级不统一,当MEP向外开放网络能力时,可能因为某个MEP上的网络能力应用存在安全漏洞或是某个MEP本身的安全机制问题,导致核心网遭受攻击,存在安全风险。
另外,相关技术中,MEP只能从5GC获取网络能力,而5GC所能提供的网络能力不能完全满足及精准覆盖垂直行业的业务需求,比如不能提供非5G网络接入的终端的位置信息。同时,MEP网络能力获取数据源多样,包括5GC、无线接入网(RAN)以及第三方系统等,但相关技术中缺少对网络能力的统一认证、统一监管和统一结算的方案。
第四,本地分流导致的安全风险。
具体地,如图1所示,相关技术中,终端到本地MEP的数据转发依赖于UPF的UL-CL/IPv6 BP技术,该技术基于报文的IP五元组或前缀来实现本地分流。实际应用时,对于垂直行业,使用UL-CL/IPv6 BP技术进行本地分流,会在公网上暴露行业用户的MEP的IP地址信息,不仅有用户隐私数据泄露的风险,而且可能会导致针对MEP IP地址的网络攻击,存在网络安全风险。
其中,实际应用时,为了避免使用UL-CL/IPv6 BP技术进行本地分流导致的网络安全风险,还可以考虑采用为MEP设置专用数据网络名称(DNN,Data Network Name)的方式来实现本地分流。然而,这种方式需要为每个MEP都配置一个单独的DNN,需要在核心网进行大量的DNN配置。并且,针对一个终端访问多个MEP的场景,用户需要在终端上不断的切换DNN,严重影响用户体验。
另外,实际应用时,在垂直行业应用场景中,除本地分流的需求外,还存在MEP之间广域互联的需求,比如不同医院之间的数据共享、远程协同诊断等场景。然而,相关技术中,UPF只支持终端到数据网络(DN,Data Network)的协议数据单元(PDU,Protocol DataUnit)会话,不支持DN到DN的连接。换句话说,UPF只支持终端到MEP的数据连接,不支持MEP之间的互联。
基于此,在本申请的各种实施例中,设置第一设备(可以称为网关),通过第一设备,实现UPF与第二设备(比如MEP)之间的网络能力开放的业务代理;如此,能够保障通信系统的数据安全,提高通信系统的网络安全能力,从而提升用户体验。
本申请实施例提供一种通信系统,如图2所示,该系统包括:至少一个第一设备201、至少一个第二设备202、至少一个UPF 203;其中,
每个第一设备201连接至少一个第二设备202;每个第一设备201连接至少一个UPF203;
所述第一设备201,用于为UPF 203发送的边缘网络的业务流量分配对应的第二设备202,以将边缘网络的业务流量分流至对应的第二设备202,并为第二设备202提供的应用提供安全访问控制功能。
其中,实际应用时,所述第一设备201设置在UPF 203与第二设备202之间,所述第一设备201可以称为网关,也可以称为行业网关,本申请实施例对所述第一设备201的名称不作限定,只要能实现所述第一设备201的功能即可。
所述第二设备202可以是MEC网络中的设备,比如MEP,也就是说,所述第二设备202可以称为MEP,也可以称为MEC服务器,本申请实施例对所述第二设备202的名称不作限定,只要能实现所述第二设备202的功能即可。
实际应用时,所述第二设备202提供的应用可以理解为应用服务或应用程序。
实际应用时,针对同一DNN内包含多个MEP的本地分流,由第一设备201为UPF 203发送的边缘网络的业务流量分配对应的第二设备202,与上述的依赖UPF的UL-CL/IPv6 BP技术相比,能够避免使用UL-CL/IPv6 BP技术进行本地分流导致的第二设备202的IP地址信息在公网上的暴露,从而提高通信系统的网络安全能力;另一方面,与采用为MEP设置专用DNN的方案相比,无需在核心网进行大量的DNN配置;并且,针对一个终端访问多个MEP的场景,也无需用户在终端上不断的切换DNN,从而能够提升用户体验。
实际应用时,所述第一设备201需要对所述第二设备202进行接入认证,以确定所述第二设备202的身份。
基于此,在一实施例中,所述第一设备201,还可以用于:
对连接的第二设备202进行接入认证。
实际应用时,可以由所述第二设备202主动或被动地触发接入认证流程,所述接入认证流程可以利用远程用户拨号认证服务(RADIUS,Remote Authentication Dial InUser Service)实现。
实际应用时,所述第二设备202可以通过所述第一设备201与运营商的管理系统进行交互,以实现接入认证。
基于此,在一实施例中,所述系统还可以包括:第三设备;其中,
所述第二设备202,可以用于向所述第一设备201发送接入认证信息;接收所述第一设备201返回的认证响应信息;
所述第一设备201,可以用于接收所述第二设备202发送的接入认证信息,将所述接入认证信息发送给所述第三设备,接收所述第三设备返回的认证响应信息,以及向所述第二设备202返回认证响应信息;
相应地,所述第三设备,可以用于接收所述第一设备201发送的接入认证信息,利用所述接入认证信息对所述第二设备202进行接入认证,并向所述第一设备返回认证响应信息。
这里,所述第三设备可以称为运营商的管理系统,比如具体可以是业务支撑系统(BSS,Business Support System)或运营支撑系统(OSS,Operation Support System)。本申请实施例对所述第三设备的名称不作限定,只要实现所述第三设备的功能即可。
在一实施例中,所述接入认证信息可以包含所述第二设备202的特征。
其中,所述特征可以包含以下至少之一:
IP地址段;
承载的应用;
业务优先级。
实际应用时,每个第一设备201可能连接多个第二设备202,所述多个第二设备202可以通过对应的第一设备201进行网络数据的接收与发送;相应地,所述第一设备201可以根据连接的多个第二设备202中每个第二设备202的业务优先级,对所述多个第二设备202进行资源调度,比如,为业务优先级高的第二设备202提供更高的带宽,再比如,在网络拥塞时优先转发源设备或目的设备为业务优先级高第二设备202的数据。
实际应用时,第二设备202的业务优先级可以利用字段“高”、“中”或“低”来表示;或者,所述业务优先级也可以用数字表示,数字越大,业务优先级越高。
实际应用时,第二设备202的接入认证信息还可以包含第二设备202对应的用户名(即具有第二设备202注册权限的用户名)、用户名对应的密钥等内容。第二设备202的认证响应信息可以包含认证结果;在所述认证结果表征认证成功的情况下,所述认证响应信息还可以包含相应第二设备202的身份标识;在所述认证结果表征认证失败的情况下,所述认证响应信息还可以包含认证失败原因。
在一实施例中,所述第一设备201,还用于控制第二设备202对网络能力的访问。
实际应用时,所述第一设备201可以基于本地预设的策略为第二设备202提供的应用提供安全访问控制功能,和/或基于本地预设的策略控制第二设备202对网络能力的访问;或者,所述第一设备201也可以从所述第三设备获取用于为第二设备202提供的应用提供安全访问控制功能和/或控制第二设备202对网络能力的访问的策略。
基于此,在一实施例中,所述第三设备,还可以用于向所述第一设备201发送第一策略;
相应地,所述第一设备201,还可以用于接收所述第三设备发送的第一策略,基于所述第一策略为第二设备202提供的应用提供安全访问控制功能,和/或,基于所述第一策略控制第二设备202对网络能力的访问。
实际应用时,为了满足垂直行业的业务需求,所述通信系统还可以包括第三方网络;所述第一设备201还可以实现第三方网络与第二设备202之间的网络能力开放的业务代理。
基于此,在一实施例中,所述系统还可以包括:至少一个第三方网络;其中,
所述第三方网络,可以用于为终端提供网络接入;
所述第一设备201,还可以用于为所述终端选择对应的第二设备202,并将对应第二设备202提供的应用通过所述第三方网络提供给所述终端。
实际应用时,所述第三方网络可以理解为非5G网络,比如4G、WiFi、Bluetooth、Zigbee、NB-IoT、Wireline等。
实际应用时,所述终端可以称为用户设备(UE,User Equipment),也可以称为用户。
实际应用时,所述第一设备201具体可以基于所述第一策略为第二设备202提供的应用提供核心网和所述第三方网络的安全访问控制功能,和/或,基于所述第一策略控制第二设备202对所述核心网和所述第三方网络的网络能力的访问。
实际应用时,所述第一策略可以包含所述第一设备201的身份标识、对应的第二设备202的身份标识、第一设备201与第二设备202之间的传输通道的加密策略、对应的第二设备202允许访问的网络能力类型列表、对应的第二设备202允许访问的网络能力API列表、对应的第二设备202对网络能力API的最大调用次数、对应的第二设备202允许访问的自服务网络安全管控API列表、对应的第二设备202连接第一设备201的开启或关闭指示、第一设备201与第二设备202之间的传输通道的最大带宽、第一设备201与第二设备202之间的传输通道的最大流量等信息。
实际应用时,所述加密策略可以包括:采用互联网协议安全(IPSec,InternetProtocol Security)协议实现远程接入的虚拟专用网络(VPN,Virtual Private Network)技术。具体地,所述第一设备201可以通过第一隧道与所述第二设备202进行数据传输,所述第一隧道可以是采用IPSec协议实现远程接入的VPN技术实现的加密隧道。
实际应用时,所述第一设备201基于所述第一策略控制第二设备202对网络能力的访问时,具体可以基于所述第一策略,向对应的所述第二设备202发送第三信息,所述第三信息用于指示相应第二设备202对网络能力的访问;相应地,所述第二设备202,可以用于接收所述第一设备201发送的第三信息,利用所述第三信息调整自身对网络能力的访问。
实际应用时,所述第三信息可以包含相应第二设备202的身份标识、相应第二设备202允许访问的网络能力API列表、相应第二设备202允许访问的自服务网络安全管控API列表、相应第二设备202连接第一设备201的开启或关闭指示等内容。可以理解,所述第二设备202接收到所述第三信息后,可以根据所述第三信息包含的连接第一设备201的开启或关闭指示,开启或关闭与对应的第一设备201的连接。
实际应用时,所述网络能力API列表和所述自服务网络安全管控API列表中的API是开放的API(Open API),所述第一设备201可以通过这些Open API与连接的至少一个第二设备202进行交互,在为各第二设备202中的不同用户类别提供资源域权限控制与安全访问功能(即为第二设备202提供的应用提供安全访问功能)的同时,实现用户对网络、计算等资源的自服务管理等层面的操作。
具体地,所述第二设备202可以通过Open API操作连接的第一设备201的自服务管理功能,比如网络分区权限管理、网络性能要求、业务路由策略、网络切片模板、定位区域大小及位置、接入用户标识等方面的功能。这里,所述第二设备202可以向所述第一设备201发送对应的管理功能信息,来实现自服务管理功能。其中,网络分区权限管理是指为不同的第二设备202选择不同的网络接入方式(比如4G、5G、WiFi、Bluetooth、Zigbee、NB-IoT、Wireline等),比如,优先级高的第二设备202只允许Wireline的网络接入方式,优先级低的第二设备202可以允许WiFi、Bluetooth等网络接入方式。实际应用时,网络性能要求可以理解为第二设备202对带宽的要求;网络切片模板的功能是指对网络切片模板的代理;定位区域大小及位置的功能用于供第二设备202确定允许接入哪些区域内的终端;所述接入用户标识可以包括手机号码、用户名或应用身份标识(ID)。
实际应用时,所述第二设备202可以通过所述网络能力API列表中的网络能力API,从连接的第一设备201获取网络能力开放数据,获取的网络能力开放数据符合相应网络能力API的定义;所述网络能力开放数据可以包括:定位能力标签(比如5G、WiFi、Bluetooth或全球定位系统(GPS)等)、定位数据、接入用户信息、第三方网络接入列表、网络切片能力数据、QoS能力数据等。
实际应用时,所述第二设备202还可以通过所述自服务网络安全管控API列表中的自服务网络安全管控API,从连接的第一设备201获取网络能力开放数据,并基于网络能力开放数据向连接的第一设备201发送第一指令;所述第一指令用于指示自服务网络安全管控,即所述第一指令指示对应的管理功能信息;所述第一指令符合相应自服务网络安全管控API的定义,所述第一指令可以包含网络分区权限管理、网络性能要求、业务路由策略、网络切片模板配置、定位区域大小及位置配置、接入用户ID配置(手机号码、用户名或者应用ID)等内容。
实际应用时,所述第一设备201可以通过自身的第一接口,与连接的第二设备202进行数据传输;比如,所述第一设备201可以通过所述第一接口接收所述第二设备202发送的接入认证信息,并通过所述第一接口向所述第二设备202返回认证响应信息;再比如,所述第一接口可以承载所述第二设备202为用户提供的服务。
实际应用时,所述第一设备201需要对所述第三方网络进行接入认证。
基于此,在一实施例中,所述第一设备201,还可以用于对第三方网络进行接入认证。
实际应用时,所述第三方网络可以通过所述第一设备201与运营商的管理系统进行交互,以实现接入认证。
基于此,在一实施例中,所述第三方网络,可以用于向所述第一设备201发送接入认证信息;并接收所述第一设备201返回的认证响应信息;
所述第一设备201,可以用于接收所述第三方网络发送的接入认证信息,将所述接入认证信息发送给所述第三设备,接收所述第三设备返回的认证响应信息,以及向所述第三方网络返回认证响应信息;
相应地,所述第三设备,可以用于接收所述第一设备201发送的接入认证信息,利用所述接入认证信息对所述第三方网络进行接入认证,并向所述第一设备201返回认证响应信息。
这里,在一实施例中,所述接入认证信息可以包含第三方网络的特征。
其中,所述特征可以包含以下至少之一:
最大带宽;
带宽控制粒度;
IP地址段;
业务优先级;
承载的应用。
实际应用时,每个第一设备201可以连接多个第三方网络,所述多个第三方网络可以通过相应的第一设备201与对应的第二设备202进行网络数据的接收和发送;相应地,所述第一设备201可以根据连接的多个第三方网络中每个第三方网络的业务优先级,对所述多个第三方网络进行资源调度,比如,为业务优先级高的第三方网络提供更高的带宽,再比如,在网络拥塞时优先转发业务优先级高的第三方网络的数据。
实际应用时,第三方网络的业务优先级可以利用字段“高”、“中”或“低”来表示;或者,所述业务优先级也可以用数字表示,数字越大,业务优先级越高。
实际应用时,第三方网络的接入认证信息还可以包含第三方网络对应的用户名(即具有第三方网络注册权限的用户名)、用户名对应的密钥、用于表征网络类型(比如4G、WiFi、Bluetooth、Zigbee、NB-IoT、Wireline等)的网络标识等内容。第三方网络的认证响应信息可以包含认证结果;在所述认证结果表征认证成功的情况下,所述认证响应信息还可以包含相应第三方网络对应的身份标识;在所述认证结果表征认证失败的情况下,所述认证响应信息还可以包含认证失败原因。
这里,第三方网络的接入认证通过后,所述第一设备201可以基于安全机制与所述第三方网络进行数据传输。
基于此,在一实施例中,所述第一设备201,可以用于接入认证通过后,基于安全机制与所述第三方网络进行数据传输。
实际应用时,第三方网络的接入认证通过后,所述第一设备201还可以基于连接的各个第三方网络的网络标识,实现对不同网络的接入管理、控制、运营与运维等功能。
基于此,在一实施例中,所述第一设备201,还可以用于控制所述第三方网络的接入能力。
实际应用时,所述第一设备201可以基于本地预设的策略控制所述第三方网络的接入能力;或者,所述第一设备201也可以从所述第三设备获取用于控制所述第三方网络的接入能力的策略。
基于此,在一实施例中,所述第三设备,还可以用于向所述第一设备201发送第二策略;
所述第一设备201,还可以用于接收所述第三设备发送的第二策略,基于所述第二策略控制所述第三方网络的接入能力。
其中,所述第二策略可以包含以下之一:
第一接入控制策略;所述第一接入控制策略针对单个第三方网络;
第二接入控制策略;所述第二接入控制策略针对一种类型的第三方网络;
第三接入控制策略;所述第三接入控制策略针对所有第三方网络。
实际应用时,所述第一设备201可以基于所述第一接入控制策略控制相应第三方网络的能力;所述第一接入控制策略可以包含相应第三方网络对应的身份标识、相应第一设备201的身份标识、相应第三方网络的最大接入带宽、相应第三方网络的最大网络流量、相应第三方网络的最长接入时长、相应第三方网络的最大接入用户数、相应第三方网络的计费策略、以及相应第三方网络接入的开启或关闭指示等信息。
实际应用时,所述第一设备201可以基于所述第二接入控制策略控制相应类型的第三方网络的能力;所述第二接入控制策略可以包含相应类型的第三方网络的网络标识、相应第一设备201的身份标识、相应类型的第三方网络的最大接入带宽、相应类型的第三方网络的最大网络流量、相应类型的第三方网络的最长接入时长、相应类型的第三方网络的最大接入用户数、相应类型的第三方网络的计费策略、以及相应类型的第三方网络接入的开启或关闭指示等信息。
实际应用时,所述第一设备201可以基于所述第三接入控制策略控制所有第三方网络的能力;所述第三接入控制策略可以包含相应第一设备201的身份标识、相应第一设备201连接的所有第三方网络的最大接入带宽、相应第一设备201连接的所有第三方网络的最大网络流量、相应第一设备201连接的所有第三方网络的最长接入时长、相应第一设备201连接的所有第三方网络的最大接入用户数、相应第一设备201连接的所有第三方网络的计费策略、以及相应第一设备201连接的所有第三方网络接入的开启或关闭指示等信息。
其中,所述第三方网络的计费策略,可以包含以下至少之一:
基于第三方网络的宽带(即最大带宽值)计费;比如按带宽包年包月计费、按带宽使用时长计费等计费模式;
基于第三方网络的流量(即第三方网络实际传输的数据总量)计费;
基于第三方网络的网络切片的类型和数量计费;
基于第三方网络的QoS计费;所述第三方网络的QoS可以包含数据传输的速率、时延、抖动、可靠性等;
基于第三方网络接入的用户数计费;比如按最大接入用户数包月包年计费、按实际接入用户数计费等计费模式。
实际应用时,所述第一设备201需要指示所述第三方网络的接入能力,以便能够控制第三方网络的接入能力。
基于此,在一实施例中,所述第一设备201,可以用于向所述第三方网络发送第一信息,所述第一信息用于指示所述第三方网络的接入能力;
相应地,所述第三方网络,可以用于接收所述第一设备201发送的第一信息,利用所述第一信息调整自身的接入能力。
实际应用时,所述第一信息可以包含相应第三方网络对应的身份标识以及相应第三方网络接入的开启或关闭指示、第三方网络接入开启时网络能力列表等内容。这里,所述第三方网络接入开启时网络能力列表可以包含带宽、带宽控制粒度、接入用户数等。
实际应用时,所述第一设备201可以通过自身的第二接口,与连接的第三方网络进行数据传输;比如,所述第一设备201可以通过所述第二接口接收所述第三方网络发送的接入认证信息,并通过所述第二接口向所述第三方网络返回认证响应信息;再比如,所述第一设备201可以通过所述第二接口向所述第三方网络发送所述第一信息。
实际应用时,所述第一设备201可以通过第二隧道与所述第三方网络进行数据传输,所述第二隧道可以实现对接入网络数据的二次封装以保障数据安全、统一协议解析与适配等功能。
实际应用时,所述第一设备201还可以获取各种网络(比如包含5G网络和/或第三方网络)的网络信息,以提供给需要的设备,比如发送给MEC编排器(MEO,MECOrchestrator)(也可以称为MEC应用编排器(MEAO,MEC Application Orchestrator),使得MEO至少可以利用所述至少一个网络的网络信息编排所述第二设备202上的应用和可用资源。示例性地,所述第一设备201可以从第三方网络的管理设备获得第三方网络的网络信息,可以从5G的管理设备获得5G网络的网络信息。
实际应用时,所述第一设备需要获取各种网络(比如包含5G网络和/或第三方网络)的网络能力信息。
基于此,在一实施例中,所述系统还包括:至少一个第四设备;其中,
所述第四设备,用于为所述第一设备201提供网络能力信息。
实际应用时,所述第四设备可以称为网络能力平台,针对除5G网络外的第三方网络,所述第四设备也可以称为第三方网络能力平台,本申请实施例对所述第四设备的名称不作限定,只要能实现所述第四设备的功能即可。
实际应用时,在需要获取5G网络的网络能力的情况下,所述第四设备可以包含核心网的网元,比如AF等;在需要获取第三方网络的网络能力的情况下,所述第四设备可以包含第三方网络的管理设备。当然,所述第四设备也可以从核心网的网络设备或网元获取5G网络的网络能力信息,和/或,从第三方网络的管理设备获取第三方网络的网络能力信息,并将获取的至少一个网络的网络能力信息发送至所述第一设备201。
实际应用时,所述第一设备201需要对所述第四设备进行接入认证。
基于此,在一实施例中,所述第一设备201,还可以用于对第四设备进行接入认证。
实际应用时,所述第四设备可以通过所述第一设备201与运营商的管理系统进行交互,以实现接入认证。
基于此,在一实施例中,所述第四设备,还可以用于向所述第一设备201发送接入认证信息;接收所述第一设备201返回的认证响应信息;
所述第一设备201,可以用于接收所述第四设备发送的接入认证信息,将所述接入认证信息发送给所述第三设备,接收所述第三设备返回的认证响应信息,以及向所述第四设备返回认证响应信息;
相应地,所述第三设备,可以用于利用所述接入认证信息对所述第四设备进行接入认证,并向所述第一设备201返回认证响应信息。
实际应用时,所述第四设备的接入认证信息可以包含所述第四设备对应的用户名(即具有第三方网络能力注册权限的用户名)、用户名对应的密钥、用于表征所述第四设备可提供的网络能力列表的类型(比如NEF/策略与计费规则功能(PCRF,Policy andCharging Rules Function)/网络能力开放功能、定位能力、通信服务管理功能(CSMF,Communication Service Management Function)、网络切片能力等)的网络能力标识、所述第四设备可提供的网络能力API列表等内容。
实际应用时,所述第四设备的认证响应信息可以包含认证结果;在所述认证结果表征认证成功的情况下,所述认证响应信息还可以包含所述第四设备的身份标识;在所述认证结果表征认证失败的情况下,所述认证响应信息还可以包含认证失败原因。
实际应用时,所述第四设备的接入认证通过后,所述第一设备201可以控制所述第四设备的接入能力。
基于此,在一实施例中,所述第一设备201,还可以用于控制所述第四设备的接入能力。
实际应用时,所述第一设备201可以通过向所述第四设备发送指示信息来指示所述第三方网络设备调整自身的接入能力。
基于此,在一实施例中,所述第一设备201,可以用于向所述第四设备发送第二信息,所述第二信息用于指示所述第四设备的接入能力;
相应地,所述第四设备,可以用于接收所述第一设备201发送的第二信息,利用所述第二信息调整自身的接入能力。
实际应用时,所述第二信息可以包含所述第四设备的身份标识以及所述第四设备接入的开启或关闭指示。换句话说,所述第二信息可以用于指示开启或关闭所述第四设备与所述第一设备201的连接。
实际应用时,所述第一设备201可以通过自身的第三接口,与所述第四设备进行数据传输;比如,所述第一设备201可以通过所述第三接口接收所述第四设备发送的接入认证信息,并通过所述第三接口向所述第四设备返回认证响应信息;再比如,所述第一设备201可以通过所述第三接口向所述第四设备发送所述第二信息。当然,所述第一设备201还可以通过所述第三接口,从所述第四设备获取网络能力信息(比如最大带宽、带宽控制粒度、接入用户数等),以实现面向第二设备202的网络能力开放。
实际应用时,所述第一设备201可以基于本地预设的策略控制所述第四设备的接入能力;或者,所述第一设备201也可以从所述第三设备获取用于控制所述第四设备的接入能力的策略。
基于此,在一实施例中,所述第三设备,还可以用于向所述第一设备发送第三策略;
相应地,所述第一设备,还可以用于接收所述第三设备发送的第三策略,并基于所述第三策略控制所述第四设备的接入能力。
其中,所述第三策略可以包含以下之一:
第四接入控制策略;所述第四接入控制策略针对单个第四设备;
第五接入控制策略;所述第五接入控制策略针对一种类型的第四设备;
第六接入控制策略;所述第六接入控制策略针对所有第四设备。
实际应用时,所述第一设备201可以基于所述第四接入控制策略控制相应第四设备的接入能力;所述第四接入控制策略可以包含相应第四设备的身份标识、相应第一设备201的身份标识、相应第四设备提供的网络能力API的最大调用次数、相应第四设备的最长接入时长、相应第四设备的计费策略、以及相应第四设备接入的开启或关闭指示等信息。
实际应用时,所述第一设备201可以基于所述第五接入控制策略控制相应类型的第四设备的接入能力;所述第五控制策略可以包含相应类型的第四设备的网络能力标识、相应第一设备201的身份标识、相应类型的第四设备提供的网络能力API的最大调用次数、相应类型的第四设备的最长接入时长、相应类型的第四设备的计费策略、以及相应类型的第四设备接入的开启或关闭指示等信息。
实际应用时,所述第一设备201可以基于所述第六接入控制策略控制相应第一设备201连接的所有第四设备的接入能力;所述第六接入控制策略可以包含相应第一设备201的身份标识、相应第一设备201连接的所有第四设备提供的网络能力API的最大调用次数、相应第一设备201连接的所有第四设备的最长接入时长、相应第一设备201连接的所有第四设备的计费策略、以及相应第一设备201连接的所有第四设备接入的开启或关闭指示等信息。
其中,所述第四设备的计费策略,可以包含以下至少之一:
基于第四设备提供的网络能力API的实际调用次数计费;
基于第四设备的流量(即第四设备提供的网络能力实际传输的数据总量)计费;
基于第四设备可提供的网络能力列表的类型计费;即针对不同的网络能力列表的类型指定不同计费模式及价格;
基于第四设备提供的网络能力的数据来源计费;即针对不同的网络能力的数据来源指定不同计费模式及价格。
实际应用时,在所述通信系统包括至少两个第一设备201的情况下,所述至少两个第一设备201之间需要建立连接,以使每个第一设备201可以通过其他第一设备201将终端的业务流进行路由转发。
基于此,在一实施例中,所述第一设备201,可以用于通过至少一个其他第一设备201,将终端的业务流进行路由转发,以实现所述终端获取至少一个其他第一设备201连接的第二设备202提供的应用。
实际应用时,所述至少两个第一设备201可以组成广域传输网络,实现各园区/组织之间的网络互联互通,以承载多个第二设备202之间的业务协同。
实际应用时,所述第一设备201可以通过自身的第四接口,与至少一个其他第一设备201进行数据传输;所述第四接口可以基于软件定义广域网(SD-WAN,Software DefinedWide Area Network)功能实现。
实际应用时,需要对至少一个第一设备201进行管理和控制。
基于此,在一实施例中,所述第三设备,还可以用于控制所述至少一个第一设备201。
实际应用时,所述第三设备需要对所述第一设备201进行认证。
基于此,在一实施例中,所述第三设备,还可以用于对所述至少一个第一设备201进行认证。
具体地,在一实施例中,所述第一设备201,可以用于向所述第三设备发送认证信息;并接收所述第三设备返回的认证响应信息;
相应地,所述第三设备,用于接收所述第一设备201发送的认证信息,并利用所述认证信息对所述第一设备201进行认证,并向所述第一设备201返回认证响应信息。
实际应用时,所述第一设备201的认证信息可以包含所述第一设备201对应的用户名(即具有第一设备201的注册权限的用户名)、用户名对应的密钥、所述第一设备201支持接入的网络类型列表、所述第一设备201支持接入的网络能力类型列表、所述第一设备201支持的最大带宽容量、所述第一设备201支持的带宽控制粒度等内容。
实际应用时,所述第一设备201的认证响应信息可以包含认证结果;在所述认证结果表征认证成功的情况下,所述认证响应信息还可以包含所述第一设备201的身份标识;在所述认证结果表征认证失败的情况下,所述认证响应信息还可以包含认证失败原因。
实际应用时,为了使所述第三设备实现所述通信系统的计费和运营,所述第一设备201需要监控网络的流量和/或网络状态,并将监控到的信息上报给所述第三设备。
基于此,在一实施例中,所述第一设备201,还可以用于监控网络的流量和/或网络状态;并向所述第三设备上报以下信息至少之一:
网络的流量;
计费信息;
网络状态的监控信息;
网络能力的使用信息;
第二设备状态的监控信息。
实际应用时,所述网络状态的监控信息可以包含所述第一设备201的身份标识、本次网络状态监控对应的统计时间周期、第三方网络状态的统计信息、第四设备状态的统计信息、第二设备202状态的统计信息、以及计费明细等内容。
其中,所述第三方网络状态的统计信息,可以理解为所述第一设备201连接的所有第三方网络中每个第三方网络的状态的监控统计信息;所述第三方网络状态的统计信息可以包含第三方网络的身份标识、第三方网络的网络标识、第三方网络的吞吐率、第三方网络的流量、第三方网络的接入时长等内容。
所述第四设备状态的统计信息,可以理解为所述第一设备201连接的所有第四设备中每个第四设备的状态的监控统计信息;所述第四设备状态的统计信息可以包含第四设备的身份标识、第四设备的网络能力标识、第四设备提供的网络能力API的调用次数、第四设备的流量、第四设备的接入时长等内容。
所述第二设备202状态的统计信息,可以理解为所述第一设备201连接的所有第二设备202中每个第二设备202的状态的监控统计信息;所述第二设备202状态的统计信息可以包含第二设备202的身份标识、第二设备202的吞吐率、第二设备202的流量、第二设备202对网络能力API的调用次数、第二设备202的接入时长等内容。
实际应用时,所述计费明细,可以根据第三方网络的计费策略及第四设备的计费策略计算生成。
实际应用时,所述第一设备201可以通过自身的第五接口,与所述第三设备进行数据传输;比如,所述第一设备201可以通过所述第五接口向所述第三设备发送认证信息,并通过所述第五接口接收所述第三设备返回的认证响应信息;再比如,所述第一设备201可以通过所述第五接口接收所述第三设备发送的策略(即所述第一策略、所述第二策略和所述第三策略)。当然,所述第一设备201还可以通过所述第五接口向所述第三设备上报信息(即网络的流量、计费信息、网络状态的监控信息、网络能力的使用信息、第二设备状态的监控信息等)。
实际应用时,所述系统还可以包括第五设备,用于编排所述第二设备202上的应用和可用资源;相应地,所述第一设备201可以从连接的至少一个第三方网络获取每个第三方网络的网络信息,并从核心网的网络设备或网元(比如AF、UPF等)获取5G网络的网络信息,向所述第五设备发送得到的5G网络或第三方网络的网络信息;所述第五设备接收所述第一设备201发送的至少一个网络(可以包含5G网络和/或第三方网络)的网络信息,至少可以利用所述至少一个网络的网络信息编排所述第二设备202上的应用和可用资源。
实际应用时,所述第五设备可以称为MEO或MEAO,本申请实施例对所述第五设备的名称不作限定,只要能实现所述第五设备的功能即可。
实际应用时,所述第一设备201可以通过所述第二接口获取第三方网络的网络信息,通过自身的第六接口从核心网的网络设备或网元获取5G网络的网络信息,并可以通过自身的第七接口向所述第五设备发送得到的5G网络和/或第三方网络的网络信息;所述第五设备接收到至少一个网络的网络信息后,至少可以利用所述至少一个网络的网络信息,对所述第二设备202上的应用和可用资源进行合理、有效地编排;所述合理、有效地编排可以理解为:所述第五设备可以基于所述至少一个网络的网络信息,在编排第二设备202上的应用和可用资源时实现网络的负载均衡,比如,当WiFi网络的运行状态较差时,所述第五设备可以自动将运行在WiFi网络中的应用切换到运行良好的5G网络中运行。
实际应用时,所述网络信息可以包含网络类型(即网络标识)、网络运行状态、网络资费信息、网络的运营维护信息等内容;所述网络资费信息,可以包含网络的计费规则、网络的计费明细、网络的共享配额策略、网络的终端绑定策略、网络的限速策略、网络的限量策略等内容;所述网络的运营维护信息可以包含网络的带宽限制信息、网络的带宽利用率、网络的上行和/或下行流量的使用情况、流量余额等内容。
基于上述系统架构,本申请实施例还提供了一种通信方法,应用于第一设备,如图3所示,该方法包括:
步骤301:为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。
其中,在一实施例中,如图3所示,所述方法还可以包括:
步骤302:对连接的第二设备进行接入认证。
在一实施例中,所述方法还可以包括:
控制第二设备对网络能力的访问。
在一实施例中,所述对连接的第二设备进行接入认证,可以包括:
接收所述第二设备发送的接入认证信息;
将所述接入认证信息发送给第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第二设备返回认证响应信息。
在一实施例中,所述接入认证信息可以包含所述第二设备的特征。
其中,所述特征可以包含以下至少之一:
IP地址段;
承载的应用;
业务优先级。
在一实施例中,所述方法还可以包括:
接收第三设备发送的第一策略;
基于所述第一策略为第二设备提供的应用提供安全访问控制功能,和/或,基于所述第一策略控制第二设备对网络能力的访问。
在一实施例中,所述方法还可以包括:
为接入第三方网络的终端选择对应的第二设备,将对应第二设备提供的应用通过所述第三方网络提供给所述终端。
在一实施例中,所述方法还可以包括:
对所述第三方网络进行接入认证。
在一实施例中,所述对所述第三方网络进行接入认证,可以包括:
接收所述第三方网络发送的接入认证信息;
将所述接入认证信息发送给所述第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第三方网络返回认证响应信息。
在一实施例中,所述接入认证信息可以包含第三方网络的特征。
其中,所述特征可以包含以下至少之一:
最大带宽;
带宽控制粒度;
IP地址段;
业务优先级;
承载的应用。
在一实施例中,接入认证通过后,所述第一设备可以基于安全机制与所述第三方网络进行数据传输。
在一实施例中,所述方法还可以包括:
控制所述第三方网络的接入能力。
在一实施例中,所述方法还可以包括:
接收第三设备发送的第二策略;
基于所述第二策略控制所述第三方网络的接入能力。
其中,所述第二策略可以包含以下之一:
第一接入控制策略;所述第一接入控制策略针对单个第三方网络;
第二接入控制策略;所述第二接入控制策略针对一种类型的第三方网络;
第三接入控制策略;所述第三接入控制策略针对所有第三方网络。
在一实施例中,所述控制所述第三方网络的接入能力,可以包括:
向所述第三方网络发送第一信息,所述第一信息用于指示所述第三方网络的接入能力。
在一实施例中,所述方法还可以包括:
接收第四设备发送的网络能力信息。
在一实施例中,所述方法还可以包括:
控制所述第四设备的接入能力;
和/或,
对第四设备进行接入认证。
在一实施例中,所述控制所述第四设备的接入能力,可以包括:
向所述第四设备发送第二信息,所述第二信息用于指示所述第四设备的接入能力。
在一实施例中,所述方法还可以包括:
接收所述第三设备发送的第三策略;
基于所述第三策略控制所述第四设备的接入能力。
在一实施例中,所述对第四设备进行接入认证,可以包括:
接收所述第四设备发送的接入认证信息;
将所述接入认证信息发送给第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第四设备返回认证响应信息。
在一实施例中,所述方法还可以包括:
通过至少一个其他第一设备,将终端的业务流进行路由转发,以实现所述终端获取至少一个其他第一设备连接的第二设备提供的应用。
在一实施例中,所述方法还可以包括:
监控网络的流量和/或网络状态;并向第三设备上报以下信息至少之一:
网络的流量;
计费信息;
网络状态的监控信息;
网络能力的使用信息;
第二设备状态的监控信息。
本申请实施例提供的通信系统和通信方法,第一设备为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。本申请实施例的方案,通过第一设备,实现UPF与第二设备(比如MEP)之间的网络能力开放的业务代理;如此,能够保障通信系统的数据安全,提高通信系统的网络安全能力,从而提升用户体验。
下面结合应用实施例对本申请再作进一步详细的描述。
在本应用实施例中,第一设备称为行业网关(英文可以表示为iGW);第二设备为MEP;第三设备称为BSS或OSS系统,简称为BSS/OSS;第四设备称为第三方网络能力。
在本应用实施例中,如图4所示,通过引入行业网关,解决相关技术中5G与MEC技术结合的方案中存在的技术问题。所述行业网关部署在UPF与MEP之间,具备以下五个功能中的至少一种功能:
第一,多制式网络接入控制功能。
具体地,通过所述行业网关,可以实现第三代合作伙伴计划(3GPP)移动网络(比如4G、5G、NB-IoT等)、非3GPP(non-3GPP)移动网络(比如WiFi、Bluetooth、Zigbee等)以及固定网络(比如Wireline、光纤、切片分组网(SPN,Slicing Packet Network)、光传送网(OTN,Optical Transport Network)等)等网络的统一接入与管理。
该功能具有以下关键特性:
1)多制式网络接入能力;即所述行业网关支持3GPP移动网络、non-3GPP移动网络以及固定网络等不同制式的网络的接入能力。
2)多制式网络接入识别与标签功能;即所述行业网关可以对不同制式的网络进行接入认证,并在完成接入认证后,为不同制式的网络添加网络标签(即上述网络标识),以识别不同制式的网络对应的网络类型(比如3GPP移动网络、non-3GPP移动网络以及固定网络等)。所述行业网关还可以基于所述网络标签,实现对不同制式的网络的接入管理、控制、运营及运维等功能。
3)多制式网络的连接建立与释放功能;即所述行业网关可以在相关技术中的IP协议的基础上,融合网络标签、统一认证、网络能力(比如带宽、带宽控制粒度、接入用户数等)列表、网络接入状态(开启状态(On)/关闭状态(Off))等信息,建立与不同制式的网络的连接,并具备不同制式的网络连接的释放功能。
第二,网络广域互联功能。
具体地,多个行业网关可以组成广域传输网络,实现各园区/组织之间的网络互联互通,以承载多个MEP之间的业务协同。
该功能具有以下关键特性:
1)智能路由功能;即在SD-WAN、网络功能虚拟化基础设施解决方案(NFVI,NetworkFunction Virtualization Infrastructure)等技术的基础上,增加所述行业网关与UE之间的信息交互,交互的信息包括业务路由地址、业务传输QoS要求等内容,以实现从UE到不同MEC边缘云的智能业务访问。其中,所述业务路由地址可以包含DNN和目的MEC的IP地址等内容。
2)MEC实体功能类似UE化;即通过行业网关MEC可以通过有线网络与5GC的接入及移动性管理功能(AMF,Access and Mobility Management Function)、进程管理功能(SMF,Session Management Function)、PCRF等网元直接连接,使得MEC的功能类似于UE,从而通过行业网关,实现了将UE与固定MEC之间的通信、MEC与MEC之间的通信均统一到5GC的接入与管理流程中。
第三,多类型网络能力接入与开放功能。
具体地,所述行业网关可以对接5GC、RAN、第三方网络(即非5G网络,比如4G、WiFi、Bluetooth、Zigbee、NB-IoT、Wireline等)的网络能力,通过统一的API(即Open API)开放给MEP使用,并对网络能力使用情况进行统一监控与结算,实现泛在网络能力的接入与开放功能。
该功能具有以下关键特性:
1)多类型网络能力接入;即所述行业网关可以支持NEF、PCRF、网络能力开放功能(SCEF)、定位能力、CSMF、网络切片等能力的接入。
2)多类型网络能力开放;即所述行业网关可以通过Open API向MEP开放定位能力、接入用户信息、多制式网络接入列表、网络切片能力、QoS等能力。
第四,多制式网络流量监控与计费功能。
具体地,所述行业网关可以作为泛在全连接网络的综合接入设备,实时监控不同制式的网络(即不同类型的网络,比如5G、4G、WiFi、Bluetooth、Zigbee、NB-IoT、Wireline等)的流量与网络使用情况,实现计费功能并实时上报给BSS/OSS,从而实现基于不同量纲的计费与运营策略。
该功能具有以下关键特性:
1)多维度流量与网络监控;即所述行业网关可以支持对不同制式的网络的单独流量统计与网络监控,并通过融合了网络标签、流量数据、网络状态的信令上报给OSS;
2)多维度计费量纲;即所述行业网关可以支持基于不同种类的网络流量、多类型网络能力调用次数或者调度时长、MEP能力等信息进行计费,并通过融合了计费量纲标签和具体的计费数值的信令上报给BSS/OSS。
第五,自服务资源管理功能。
具体地,所述行业网关可以通过Open API与MEP进行交互,在为MEP中的不同用户类别提供资源域权限控制与安全访问控制功能的同时,实现用户对网络、计算等资源的自服务管理等层面的操作;即MEP可以通过Open API操作所述行业网关的网络分区权限管理、网络性能要求(比如带宽)、业务路由策略、网络切片模板(即网络切片模板的代理功能)、定位区域大小及位置、接入用户ID(手机号码、用户名或者应用ID)等方面的功能。
其中,网络分区权限管理是指不同的MEP具有不同的网络接入权限,比如优先级高的MEP只允许有线网络接入,优先级低的MEP可以允许WiFi、Bluetooth等网络接入;定位区域大小及位置是指每个MEP可以配置允许哪些区域内的终端接入。
在本应用实施例中,如图5所示,所述行业网关实际上充当了MEP与RAN之间、MEP与5GC之间、以及MEP与第三方系统(可以包括第三方网络和第三方网络能力)之间的网络能力开放的代理角色,在所述行业网关通过代理方式进行网络能力开放的基础上,所述行业网关还可以将网络能力经过处理后,以报告的形式间接开放给MEP。
在本应用实施例中,对所述行业网关与其他功能实体之间的接口进行了全新定义,如图6所示,所述行业网关通过接口I1至I5实现上述功能。
首先,对接口I1(即上述第二接口)的功能进行详细说明。
接口I1是所述行业网关与第三方网络的通信接口,用于实现第三方网络的接入认证功能,并用于承载所述行业网关与所述第三方网络之间的数据传输。
具体地,接口I1支持的关键功能包括:
1)第三方网络的接入认证。这里,第三方网络可以主动或被动地触发接入认证流程,以实现第三方网络的安全接入、接入网络的标识区分(即上述网络标签和网络标识)等功能。
2)第三方网络的接入控制。这里,所述行业网关可以控制是否允许第三方网络接入,并可以主动切断与第三方网络的数据传输等功能。
3)第三方网络的数据传输。这里,所述行业网关可以通过专用的隧道(即上述第二隧道)实现与第三方网络的数据传输功能,该隧道实现对接入网络数据的二次封装以保障数据安全、统一协议解析与适配等功能。
其次,对接口I2(即上述第三接口)的功能进行详细说明。
接口I2是所述行业网关与第三方网络能力的通信接口,用于实现第三方网络能力的接入与认证功能,并用于承载所述行业网关与所述第三方网络能力之间的数据传输,比如从第三方网络能力获取网络能力数据。
具体地,接口I2支持的关键功能包括:
1)第三方网络能力的接入认证。这里,第三方网络能力可以主动或被动地触发接入认证流程,以实现第三方网络能力的安全接入、接入的网络能力的标识区分(即上述的网络能力标识,可以表征NEF/PCRF/CSMF、定位能力、CSMF、网络切片等能力)等功能。
2)第三方网络能力的接入规则与控制。这里,所述行业网关可以通过网络能力接入状态指示(On/Off)控制是否允许第三方网络能力接入,并可以获取第三方网络能力的网络能力列表(可以包含带宽、带宽控制粒度、接入用户数等信息)。
3)第三方网络能力数据获取。这里,所述行业网关可以根据第三方网络能力提供的网络能力数据获取网络能力API,实现第三方网络能力数据的获取功能。
第三,对接口I3(即上述第五接口)的功能进行详细说明。
接口I3是所述行业网关与BSS/OSS的通信接口,用于支持策略配置功能与运行状态监控功能。
具体地,接口I3支持的关键功能包括:
1)行业网关的接入认证。这里,行业网关可以主动或被动地触发接入认证流程;行业网关与BSS/OSS交互的信息可以包括:行业网关设备ID(即上述第一设备201的身份标识)、行业网关支持的接入网络能力列表、是否允许行业网关接入等内容。
2)第三方网络的接入控制。这里,BSS/OSS可以向行业网关下发第三方网络的接入策略;行业网关与BSS/OSS交互的信息可以包括:网络类型标签(即上述网络标签和网络标识)、网络认证信息、带宽、流量、计费控制、网络接入状态指示(On/Off)等内容。
3)第三方网络能力的接入控制。这里,BSS/OSS可以向行业网关下发第三方网络能力的接入策略;行业网关与BSS/OSS交互的信息可以包括:网络能力类型标签(即上述网络能力标识)、网络能力认证信息、网络接入状态指示(On/Off)等内容。
4)MEP的接入控制。这里,行业网关与BSS/OSS交互的信息可以包括:MEP接入加密策略、允许开放的网络能力列表等内容,从而实现行业网关接入MEP的功能。
5)网络状态监控功能。这里,行业网关可以实时监控当前的网络状态;行业网关与BSS/OSS交互的信息可以包括:融合了网络标签、流量数据、网络状态的运维监控信息,以及融合了计费量纲标签和具体计费数值的计费数据信息。
第四,对接口I4(即上述第一接口)的功能进行详细说明。
接口I4是行业网关与MEP的通信接口,用于承载行业网关与MEP之间的数据传输,并实现面向MEP的网络能力开放以及自服务网络安全管控功能。
具体地,接口I4支持的关键功能包括:
1)MEP的接入认证。这里,MEP可以主动或被动地触发接入认证流程;所述接入认证流程可以基于RADIUS等技术实现。
2)行业网关与MEP之间的数据传输。这里,行业网关可以通过IPSec/VPN(即采用IPSec协议实现远程接入的VPN技术)加密隧道(即上述第一隧道)等方式实现与MEP之间的数据传输功能。
3)面向MEP的网络能力开放功能。这里,行业网关与MEP交互的信令可以包括定位能力标签(比如5G、WiFi、Bluetooth、GPS等)、定位数据、接入用户信息、多制式网络接入列表、网络切片能力、QoS能力等信息。
4)面向MEP的自服务网络安全管控功能。这里,MEP可以通过Open API操作行业网关的网络分区权限管理、网络性能要求、业务路由策略、网络切片模板、定位区域大小及位置、接入用户ID(手机号码、用户名或者应用ID)等方面的功能。
第五,对接口I5(即上述第四接口)的功能进行详细说明。
接口I5是行业网关与其他行业网关之间的通信接口,用于实现行业网关之间的广域互联功能。实际应用时,接口I5可以基于SD-WAN功能实现,也可通过使能边缘计算MEP类UE化,通过通用无线分组业务(GPRS)隧道传输协议(GTP)用户平面(GTP-U)隧道实现MEP与MEP之间的通信并统一到5GC的接入与管理流程中。
在本应用实施例中,接口I1至I5在支持上述功能时承载了所述行业网关与其他功能实体之间交互的信息,下面对接口I1至I5承载的信息进行详细说明。
首先,对接口I1承载的信息进行详细说明。
1)基于接口I1实现第三方网络的接入认证功能时,第三方网络可以通过接口I1向行业网关上报接入认证信息;所述接入认证信息包含的内容如表1所示;其中,如表2所示,网络类型标识(即上述网络标识)可以通过多种不同的数据类型表示。行业网关完成第三方网络的接入认证后,可以通过接口I1向第三方网络返回认证响应信息;所述认证响应信息包含的内容如表3所示;其中,如表4所示,网络身份标识可以通过多种不同的数据类型表示。
表1
表2
表3
表4
2)基于接口I1实现第三方网络的接入控制功能时,行业网关可以通过接口I1向第三方网络发送网络接入控制信息(即上述第一信息),以实现对第三方网络的接入控制功能;所述网络接入控制信息包含的内容如表5所示。
表5
3)行业网关还可以通过接口I1向第三方网络发送自服务网络安全管控指令(即上述第一指令),以实现面向MEP的自服务网络安全管控功能。
其次,对接口I2承载的信息进行详细说明。
1)基于接口I2实现第三方网络能力的接入认证功能时,第三方网络能力可以通过接口I1向行业网关上报接入认证信息;所述接入认证信息包含的内容如表6所示;其中,如表7所示,网络能力类型标识(即上述网络能力标识)可以通过多种不同的数据类型表示;如表8所示,网络能力API列表也可以通过多种不同的数据类型表示。行业网关完成第三方网络能力的接入认证后,可以通过接口I1向第三方网络能力返回认证响应信息;所述认证响应信息包含的内容如表9所示;其中,如表10所示,网络能力身份标识可以通过多种不同的数据类型表示。
表6
表7
表8
表9
表10
实际应用时,列表(即List of String和List of Number)可以理解为一维数组,用于存储同种类型的一系列数据。在不同编程语言中,列表可以是静态的,也可以是动态变化的。
2)基于接口I2实现第三方网络能力的接入控制功能时,行业网关可以通过接口I2向第三方网络能力发送接入控制信息(即上述第二信息),以实现对第三方网络能力的接入控制功能;所述接入控制信息包含的内容如表11所示。
表11
3)行业网关还可以通过接口I2从第三方网络能力获取网络能力数据,以实现面向MEP的网络能力开放。
第三,对接口I3承载的信息进行详细说明。
1)基于接口I3实现行业网关的接入认证功能时,行业网关可以通过接口I3向BSS/OSS发送身份认证信息;所述身份认证信息包含的内容如表12所示;其中,如表13所示,网络类型列表可以通过多种不同的数据类型表示;如表14所示,网络能力类型列表也可以通过多种不同的数据类型表示。BSS/OSS完成行业网关的接入认证后,可以通过接口I3向行业网关返回认证响应信息;所述认证响应信息包含的内容如表15所示;其中,如表16所示,行业网关身份标识可以通过多种不同的数据类型表示。
表12
表13
表14
表15
表16
2)基于接口I3实现第三方网络的接入控制功能时,BSS/OSS可以通过接口I3向行业网关发送单个第三方网络接入控制策略(即上述第一接入控制策略),以实现对行业网关连接的单个第三方网络的接入控制功能;所述单个第三方网络接入控制策略包含的内容如表17所示。
表17
实际应用时,BSS/OSS也可以通过接口I3向行业网关发送单类型第三方网络接入控制策略(即上述第二接入控制策略),以实现对行业网关上单类型的第三方网络的接入控制功能;所述单类型第三方网络接入控制策略包含的内容如表18所示。
表18
实际应用时,BSS/OSS还可以通过接口I3向行业网关发送整体第三方网络接入控制策略(即上述第三接入控制策略),以实现对行业网关上所有第三方网络的接入控制功能;所述整体第三方网络接入控制策略包含的内容如表19所示。
表19
在本应用实施例中,所述第三方网络的计费策略可以包含以下至少之一:
按带宽计费;即按照第三方网络的最大带宽值计费,比如按带宽包年包月计费、按带宽使用时长计费等计费模式;
按流量计费;即按照第三方网络实际传输的数据总量计费;
按网络切片计费;即按照所使用的第三方网络切片的类型和数量计费;
按QoS计费;即按照第三方网络提供的QoS计费,比如数据传输速率、时延、抖动、可靠性等;
按接入用户数计费;即按照第三方网络接入的用户数计费,比如按最大接入用户数包月包年计费、按实际接入用户数计费等计费模式。
3)基于接口I3实现第三方网络能力的接入控制功能时,BSS/OSS可以通过接口I3向行业网关发送单个第三方网络能力接入控制策略(即上述第四接入控制策略),以实现对行业网关上单个第三方网络能力的接入控制功能;所述单个第三方网络能力接入控制策略包含的内容如表20所示。
表20
实际应用时,BSS/OSS也可以通过接口I3向行业网关发送单类型第三方网络能力接入控制策略(即上述第五接入控制策略),以实现对行业网关上单类型的第三方网络能力的接入控制功能;所述单类型第三方网络能力接入控制策略包含的内容如表21所示。
表21
实际应用时,BSS/OSS还可以通过接口I3向行业网关发送整体第三方网络能力接入控制策略(即上述第六接入控制策略),以实现对行业网关上所有第三方网络能力的接入控制功能;所述整体第三方网络能力接入控制策略包含的内容如表22所示。
表22
在本应用实施例中,所述第三方网络能力的计费策略可以包含以下至少之一:
按第三方网络能力的API的实际调用次数计费;
按第三方网络能力的数据流量计费;即按照实际传输的网络能力数据总量计费;
按第三方网络能力的类型计费;即针对不同的第三方网络能力的类型,指定不同的计费模式及价格;
按第三方网络能力的数据来源计费;即针对不同的第三方网络能力的数据来源,指定不同的计费模式及价格;
4)基于接口I3实现MEP的接入控制功能时,BSS/OSS可以通过接口I3向行业网关发送MEP接入控制策略(即上述第一策略),以实现对MEP的接入控制功能;所述MEP接入控制策略包含的内容如表23所示;其中,如表24所示,MEP身份标识可以通过多种不同的数据类型表示;如表25所示,自服务网络安全管控API列表也可以通过多种不同的数据类型表示。
/>
表23
表24
表25
5)基于接口I3实现网络状态监控功能时,行业网关可以通过接口I3向BSS/OSS发送网络状态监控信息,以实现网络状态监控功能;所述网络状态监控信息包含的内容如表26所示;其中,如表27所示,第三方网络状态统计信息、第三方网络能力状态统计信息和MEP状态统计信息可以通过多种不同的数据类型表示。
表26
表27
第四,对接口I4承载的信息进行详细说明。
1)基于接口I4实现MEP的接入认证功能时,MEP可以通过接口I4向行业网关发送MEP接入认证信息;所述MEP接入认证信息包含的内容如表28所示。行业网关完成对MEP的认证后,可以通过接口I4返回MEP接入认证响应信息;所述MEP接入认证响应信息包含的内容如表29所示。
表28
表29
2)基于接口I4实现MEP的接入控制功能时,行业网关可以通过接口I4向MEP发送MEP接入控制信息(即上述第三信息),以实现对MEP的接入控制功能;所述MEP接入控制信息包含的内容如表30所示。
表30
4)基于接口I4实现面向MEP的网络能力开放功能时,MEP可以通过行业网关开放的网络能力API,获取网络能力开放数据;此时,MEP与行业网关交互的信息所包含的内容如表31所示。
表31
5)基于接口I4实现面向MEP的自服务网络安全管控功能时,MEP可以通过行业网关开放的自服务网络安全管控API,获取网络能力开放数据;此时,MEP与行业网关交互的信息所包含的内容如表32所示。
表32
第五,对接口I5承载的信息进行详细说明。
基于接口I5实现行业网关之间的广域互联功能时,不同行业网关之间可以通过SD-WAN、互联网、企业专线、无线网络等方式建立互联通道,实现广域互联功能。
在本应用实施例中,行业网关支持的功能接受BSS/OSS的统一管控,该管控通过接口I3与其他接口的联动(即结合)来实现。下面结合图7至图10描述接口I3与其他接口联动实现相应功能的流程。
首先,基于接口I3与接口I1的联动,可以实现行业网关对第三方网络的接入认证功能和接入控制功能,如图7所示,实现行业网关对第三方网络的接入认证功能的过程具体可以包括以下步骤:
步骤7101:第三方网络通过接口I1向行业网关发送第三方网络接入认证信息;之后执行步骤7102;
步骤7102:行业网关通过接口I3将第三方网络接入认证信息发送到BSS/OSS;之后执行步骤7103;
步骤7103:BSS/OSS实施对第三方网络的接入认证;之后执行步骤7104;
步骤7104:BSS/OSS通过接口I3向行业网关发送包含认证结果的第三方网络接入认证响应信息;之后执行步骤7105;
步骤7105:行业网关通过接口I1向第三方网络发送第三方网络接入认证响应信息。
实现行业网关对第三方网络的接入控制功能的过程具体可以包括以下步骤:
步骤7201:BSS/OSS通过接口I3向行业网关发送第三方网络接入控制策略;之后执行步骤7202;
步骤7202:行业网关根据第三方网络接入控制策略(即上述第二策略),实施对第三方网络的接入控制;之后执行步骤7203;
这里,行业网关实施的对第三方网络的接入控制,可以包括带宽限制、接入用户数限制、第三方网络接入的开启或关闭、计费等;
步骤7203:行业网关通过接口I1向第三方网络发送第三方网络接入控制信息(即上述第一信息)。
其次,基于接口I3与接口I2的联动,可以实现行业网关对第三方网络能力的接入认证功能和接入控制功能,如图8所示,实现行业网关对第三方网络能力的接入认证功能的过程具体可以包括以下步骤:
步骤8101:第三方网络能力通过接口I2向行业网关发送第三方网络能力接入认证信息;之后执行步骤8102;
步骤8102:行业网关将第三方网络能力接入认证信息通过接口I3发送到BSS/OSS;之后执行步骤8103;
步骤8103:BSS/OSS实施对第三方网络能力的接入认证;之后执行步骤8104;
步骤8104:BSS/OSS通过接口I3向行业网关发送包含认证结果的第三方网络能力接入认证响应信息;之后执行步骤8105;
步骤8105:行业网关通过接口I2向第三方网络能力发送第三方网络能力接入认证响应信息。
实现行业网关对第三方网络能力的接入控制功能的过程具体可以包括以下步骤:
步骤8201:BSS/OSS通过接口I3向行业网关发送第三方网络能力接入控制策略(即上述第三策略);之后执行步骤8202;
步骤8202:行业网关根据第三方网络能力接入控制策略,实施对第三方网络能力的接入控制;之后执行步骤8203;
这里,行业网关实施的对第三方网络能力的接入控制可以包括网络能力API调用次数限制、第三方网络能力接入的开启或关闭、计费等;
步骤8203:行业网关通过接口I2向第三方网络能力发送第三方网络能力接入控制信息(即上述第二信息)。
第三,基于接口I3与接口I4的联动,可以实现行业网关对MEP的接入认证功能和接入控制功能,如图9所示,实现行业网关对MEP的接入认证功能的过程具体可以包括以下步骤:
步骤9101:MEP通过接口I4向行业网关发送MEP接入认证信息;之后执行步骤9102;
步骤9102:行业网关将MEP接入认证信息通过接口I3发送到BSS/OSS;之后执行步骤9103;
步骤9103:BSS/OSS实施对MEP的接入认证;之后执行步骤9104;
步骤9104:BSS/OSS通过接口I3向行业网关发送包含认证结果的MEP接入认证响应信息;之后执行步骤9105;
步骤9105:行业网关通过接口I4向MEP发送MEP接入认证响应信息。
实现行业网关对MEP的接入控制功能的过程具体可以包括以下步骤:
步骤9201:BSS/OSS通过接口I3向行业网关发送MEP接入控制策略(即上述第一策略);之后执行步骤9202;
步骤9202:行业网关根据MEP接入控制策略,实施对MEP的接入控制;之后执行步骤9203;
这里,行业网关实施的对MEP的接入控制可以包括允许访问的网络能力限制、带宽限制、计费等;
步骤9103:行业网关通过接口I4向MEP发送MEP接入控制信息(即上述第三信息)。
第四,基于接口I3、接口I4、接口I1和接口I2的联动,可以实现面向MEP的网络能力开放功能和自服务网络安全管控功能,如图10所示,实现面向MEP的网络能力开放功能的过程具体可以包括以下步骤:
步骤1011:BSS/OSS通过接口I3向行业网关下发MEP接入控制策略(即上述第一策略);之后执行步骤1012;
这里,所述MEP接入控制策略包含面向MEP的网络能力开放相关的控制策略;
步骤1012:MEP通过接口I4调用行业网关的网络能力开放API;之后执行步骤1013;
步骤1013:行业网关根据MEP接入控制策略对MEP的请求进行校验,校验通过后,行业网关通过接口I2向第三方网络能力发送获取网络能力数据的请求;之后执行步骤1014;
这里,行业网关可以校验MEP的请求是否不属于相应MEP允许访问的网络能力;或者,可以校验MEP的请求是否超出了相应MEP允许调用的网络能力开放API次数等;
步骤1014:第三方网络能力通过接口I2向行业网关发送网络能力数据;之后执行步骤1015;
步骤1015:行业网关通过接口I4将网络能力数据发送给MEP。
实现面向MEP的自服务网络安全管控功能的过程具体可以包括以下步骤:
步骤1011:BSS/OSS通过接口I3向行业网关下发MEP接入控制策略;之后执行步骤1021;
这里,所述MEP接入控制策略包含面向MEP的自服务网络安全管控相关的控制策略;
步骤1021:MEP通过接口I4调用行业网关的自服务网络安全管控API;之后执行步骤1022;
步骤1022:行业网关根据MEP接入控制策略对MEP的请求进行校验,校验通过后,行业网关通过接口I1向第三方网络发送自服务网络管控指令(即上述第一指令);之后执行步骤1023;
这里,行业网关可以校验MEP的请求是否不属于MEP允许访问的自服务网络安全管控API;所述自服务网络管控指令可以是网络安全管控指令;
步骤1023:第三方网络通过接口I1向行业网关发送自服务网络管控结果;之后执行步骤1024;
这里,在所述自服务网络管控指令是网络安全管控指令的情况下,所述自服务网络管控结果为网络安全管控结果;
步骤1024:行业网关通过接口I4将自服务网络管控响应信息发送给MEP。
本应用实施例提供的方案,具有以下优点:
本应用实施例提供的方案,在相关技术的基础上,将行业网关(可以是网络设备或网元)引入通信系统,部署在UPF与MEP之间,并接受BSS/OSS的管理与控制;行业网关至少具备多制式网络接入控制、网络智能广域互联、多类型网络能力接入与开放、多制式网络监控与计费、自服务资源管理等方面的功能;同时,基于全新定义的5个接口(接口I1至I5)实现了上述功能;其中,接口I1对接多制式接入网络(即第三方网络);接口I2对接多类型网络能力的接入(即第三方网络能力);接口I3对接BSS/OSS;接口I4对接MEP;接口I5对接其他的行业网关。
基于所述行业网关的应用,本应用实施例提供的通信系统(即5G行业云网融合的系统)可运营、更安全、可落地、可演进,更加贴合垂直行业客户需求。具体地,通过本应用实施例提供的方案,一方面,能够解决相关技术(即图1所示的5G与MEC技术结合方案)在行业落地中存在的UPF与MEC分离部署带来的网络和计算资源安全问题、不支持多制式网络(比如4G、5G、WiFi、Bluetooth、Zigbee、NB-IoT、光纤、Wireline等)的接入与统一管理问题、本地分流的缺陷问题和MEP之间的互联互通等问题;另一方面,能够满足用户对多样化的网络能力开放和自服务资源管理能力等方面的需求。
为了实现本申请实施例的方法,本申请实施例还提供了一种通信装置,如图11所示,该装置包括:
处理单元1101,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。
其中,在一实施例中,所述处理单元1101,还用于对连接的第二设备进行接入认证。
在一实施例中,如图11所示,该装置还包括控制单元1102,用于控制第二设备对网络能力的访问。
在一实施例中,所述处理单元1101,具体用于:
接收所述第二设备发送的接入认证信息;
将所述接入认证信息发送给第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第二设备返回认证响应信息。
在一实施例中,所述处理单元1101,还用于:
接收第三设备发送的第一策略;
基于所述第一策略为第二设备提供的应用提供安全访问控制功能,和/或,基于所述第一策略控制第二设备对网络能力的访问。
在一实施例中,所述处理单元1101,还用于为接入第三方网络的终端选择对应的第二设备,将对应第二设备提供的应用通过所述第三方网络提供给所述终端。
在一实施例中,所述处理单元1101,还用于对所述第三方网络进行接入认证。
在一实施例中,所述处理单元1101,具体用于:
接收所述第三方网络发送的接入认证信息;
将所述接入认证信息发送给所述第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第三方网络返回认证响应信息。
在一实施例中,所述处理单元1101,还用于在接入认证通过后,基于安全机制与所述第三方网络进行数据传输。
在一实施例中,所述控制单元1102,还用于控制所述第三方网络的接入能力。
在一实施例中,所述控制单元1102,具体用于:
接收第三设备发送的第二策略;
基于所述第二策略控制所述第三方网络的接入能力。
在一实施例中,所述处理单元1101,具体用于向所述第三方网络发送第一信息,所述第一信息用于指示所述第三方网络的接入能力。
在一实施例中,所述处理单元1101,还用于接收第四设备发送的网络能力信息。
在一实施例中,所述控制单元1102,还用于控制所述第四设备的接入能力。
在一实施例中,所述处理单元1101,还用于对第四设备进行接入认证。
在一实施例中,所述处理单元1101,具体用于向所述第四设备发送第二信息,所述第二信息用于指示所述第四设备的接入能力。
在一实施例中,所述控制单元1102,具体用于:
接收所述第三设备发送的第三策略;
基于所述第三策略控制所述第四设备的接入能力。
在一实施例中,所述处理单元1101,具体用于:
接收所述第四设备发送的接入认证信息;
将所述接入认证信息发送给第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第四设备返回认证响应信息。
在一实施例中,所述处理单元1101,还用于通过至少一个其他第一设备,将终端的业务流进行路由转发,以实现所述终端获取至少一个其他第一设备连接的第二设备提供的应用。
在一实施例中,所述处理单元1101,还用于监控网络的流量和/或网络状态;并向第三设备上报以下信息至少之一:
网络的流量;
计费信息;
网络状态的监控信息;
网络能力的使用信息;
第二设备状态的监控信息。
在一实施例中,该装置还包括获取单元,用于获取至少一个网络(包含5G网络和/或第三方网络)的网络信息,以提供给需要的设备(比如MEAO)。
在一实施例中,所述获取单元,具体用于从第三方网络的管理设备获得第三方网络的网络信息,和/或,从5G的管理设备获得5G网络的网络信息。
实际应用时,所述处理单元1101、所述控制单元1102及所述获取单元可由通信装置中的处理器结合通信接口实现。
需要说明的是:上述实施例提供的通信装置在进行通信时,仅以上述各程序模块的划分进行举例说明,实际应用中,可以根据需要而将上述处理分配由不同的程序模块完成,即将装置的内部结构划分成不同的程序模块,以完成以上描述的全部或者部分处理。另外,上述实施例提供的通信装置与通信方法实施例属于同一构思,其具体实现过程详见方法实施例,这里不再赘述。
基于上述程序模块的硬件实现,且为了实现本申请实施例的方法,本申请实施例还提供了一种第一设备,如图12所示,该第一设备1200包括:处理器1202及通信接口1201;其中,
所述处理器1202,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能。
其中,在一实施例中,所述处理器1202,还用于:
对连接的第二设备进行接入认证;
和/或,
控制第二设备对网络能力的访问。
在一实施例中,所述处理器1202,具体用于:
通过所述通信接口1201接收所述第二设备发送的接入认证信息;
通过所述通信接口1201将所述接入认证信息发送给第三设备;
通过所述通信接口1201接收到所述第三设备返回的认证响应信息后,通过所述通信接口1201向所述第二设备返回认证响应信息。
在一实施例中,所述处理器1202,还用于:
通过所述通信接口1201接收第三设备发送的第一策略;
基于所述第一策略为第二设备提供的应用提供安全访问控制功能,和/或,基于所述第一策略控制第二设备对网络能力的访问。
在一实施例中,所述处理器1202,还用于为接入第三方网络的终端选择对应的第二设备,将对应第二设备提供的应用通过所述第三方网络提供给所述终端。
在一实施例中,所述处理器1202,还用于对所述第三方网络进行接入认证。
在一实施例中,所述处理器1202,具体用于:
通过所述通信接口1201接收所述第三方网络发送的接入认证信息;
通过所述通信接口1201将所述接入认证信息发送给所述第三设备;
通过所述通信接口1201接收到所述第三设备返回的认证响应信息后,通过所述通信接口1201向所述第三方网络返回认证响应信息。
在一实施例中,所述处理器1202,还用于在接入认证通过后,基于安全机制与所述第三方网络进行数据传输。
在一实施例中,所述处理器1202,还用于控制所述第三方网络的接入能力。
在一实施例中,所述处理器1202,还用于:
通过所述通信接口1201接收第三设备发送的第二策略;
基于所述第二策略控制所述第三方网络的接入能力。
在一实施例中,所述处理器1202,具体用于通过所述通信接口1201向所述第三方网络发送第一信息,所述第一信息用于指示所述第三方网络的接入能力。
在一实施例中,所述处理器1202,还用于通过所述通信接口1201接收第四设备发送的网络能力信息。
在一实施例中,所述处理器1202,还用于:
控制所述第四设备的接入能力;
和/或,
对第四设备进行接入认证。
在一实施例中,所述处理器1202,具体用于通过所述通信接口1201向所述第四设备发送第二信息,所述第二信息用于指示所述第四设备的接入能力。
在一实施例中,所述处理器1202,还用于:
通过所述通信接口1201接收所述第三设备发送的第三策略;
基于所述第三策略控制所述第四设备的接入能力。
在一实施例中,所述处理器1202,具体用于:
通过所述通信接口1201接收所述第四设备发送的接入认证信息;
通过所述通信接口1201将所述接入认证信息发送给第三设备;
通过所述通信接口1201接收到所述第三设备返回的认证响应信息后,通过所述通信接口1201向所述第四设备返回认证响应信息。
在一实施例中,所述处理器1202,还用于通过至少一个其他第一设备,将终端的业务流进行路由转发,以实现所述终端获取至少一个其他第一设备连接的第二设备提供的应用。
在一实施例中,所述处理器1202,还用于监控网络的流量和/或网络状态;并通过所述通信接口1201向第三设备上报以下信息至少之一:
网络的流量;
计费信息;
网络状态的监控信息;
网络能力的使用信息;
第二设备状态的监控信息。
在一实施例中,所述处理器1202,还用于通过所述通信接口1201获取至少一个网络(包含5G网络和/或第三方网络)的网络信息,以提供给需要的设备(比如MEAO)。
在一实施例中,所述处理器1202,具体用于通过所述通信接口1201从第三方网络的管理设备获得第三方网络的网络信息,和/或,通过所述通信接口1201从5G的管理设备获得5G网络的网络信息。
需要说明的是:所述通信接口1201和所述处理器1202的具体处理过程可参照上述方法理解。
当然,实际应用时,第一设备1200中的各个组件通过总线系统1204耦合在一起。可理解,总线系统1204用于实现这些组件之间的连接通信。总线系统1204除包括数据总线之外,还包括电源总线、控制总线和状态信号总线。但是为了清楚说明起见,在图12中将各种总线都标为总线系统1204。
本申请实施例中的存储器1203用于存储各种类型的数据以支持第一设备1200的操作。这些数据的示例包括:用于在第一设备1200上操作的任何计算机程序。
上述本申请实施例揭示的方法可以应用于所述处理器1202中,或者由所述处理器1202实现。所述处理器1202可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过所述处理器1202中的硬件的集成逻辑电路或者软件形式的指令完成。上述的所述处理器1202可以是通用处理器、数字信号处理器(DSP,DigitalSignal Processor),或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。所述处理器1202可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者任何常规的处理器等。结合本申请实施例所公开的方法的步骤,可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于存储介质中,该存储介质位于存储器1203,所述处理器1202读取存储器1203中的信息,结合其硬件完成前述方法的步骤。
在示例性实施例中,第一设备1200可以被一个或多个应用专用集成电路(ASIC,Application Specific Integrated Circuit)、DSP、可编程逻辑器件(PLD,ProgrammableLogic Device)、复杂可编程逻辑器件(CPLD,Complex Programmable Logic Device)、现场可编程门阵列(FPGA,Field-Programmable Gate Array)、通用处理器、控制器、微控制器(MCU,Micro Controller Unit)、微处理器(Microprocessor)、或者其他电子元件实现,用于执行前述方法。
可以理解,本申请实施例中的存储器1203可以是易失性存储器或者非易失性存储器,也可包括易失性和非易失性存储器两者。其中,非易失性存储器可以是只读存储器(ROM,Read Only Memory)、可编程只读存储器(PROM,Programmable Read-Only Memory)、可擦除可编程只读存储器(EPROM,Erasable Programmable Read-Only Memory)、电可擦除可编程只读存储器(EEPROM,Electrically Erasable Programmable Read-Only Memory)、磁性随机存取存储器(FRAM,ferromagnetic random access memory)、快闪存储器(FlashMemory)、磁表面存储器、光盘、或只读光盘(CD-ROM,Compact Disc Read-Only Memory);磁表面存储器可以是磁盘存储器或磁带存储器。易失性存储器可以是随机存取存储器(RAM,Random Access Memory),其用作外部高速缓存。通过示例性但不是限制性说明,许多形式的RAM可用,例如静态随机存取存储器(SRAM,Static Random Access Memory)、同步静态随机存取存储器(SSRAM,Synchronous Static Random Access Memory)、动态随机存取存储器(DRAM,Dynamic Random Access Memory)、同步动态随机存取存储器(SDRAM,Synchronous Dynamic Random Access Memory)、双倍数据速率同步动态随机存取存储器(DDRSDRAM,Double Data Rate Synchronous Dynamic Random Access Memory)、增强型同步动态随机存取存储器(ESDRAM,Enhanced Synchronous Dynamic Random AccessMemory)、同步连接动态随机存取存储器(SLDRAM,SyncLink Dynamic Random AccessMemory)、直接内存总线随机存取存储器(DRRAM,Direct Rambus Random Access Memory)。本申请实施例描述的存储器旨在包括但不限于这些和任意其它适合类型的存储器。
在示例性实施例中,本申请实施例还提供了一种存储介质,即计算机存储介质,具体为计算机可读存储介质,例如包括存储计算机程序的存储器1203,上述计算机程序可由第一设备1200的处理器1202执行,以完成前述方法所述步骤。计算机可读存储介质可以是FRAM、ROM、PROM、EPROM、EEPROM、Flash Memory、磁表面存储器、光盘、或CD-ROM等存储器。
需要说明的是:“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。
另外,本申请实施例所记载的技术方案之间,在不冲突的情况下,可以任意组合。
以上所述,仅为本申请的较佳实施例而已,并非用于限定本申请的保护范围。
Claims (51)
1.一种通信系统,其特征在于,包括:至少一个第一设备、至少一个第二设备、至少一个用户面功能UPF;其中,
每个第一设备连接至少一个第二设备;每个第一设备连接至少一个UPF;
所述第一设备,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能,所述第二设备为多接入边缘计算服务器MEP;
所述系统还包括:至少一个第三方网络、至少一个第四设备;其中,
所述第三方网络,用于为终端提供网络接入;
所述第一设备,还用于为所述终端选择对应的第二设备,并将对应第二设备提供的应用通过所述第三方网络提供给所述终端;
所述第四设备,用于为所述第一设备提供网络能力信息,以实现所述第一设备面向所述第二设备的网络能力开放。
2.根据权利要求1所述的系统,其特征在于,所述第一设备,还用于对连接的第二设备进行接入认证。
3.根据权利要求2所述的系统,其特征在于,所述系统还包括:第三设备;其中,
所述第二设备,用于向所述第一设备发送接入认证信息;接收所述第一设备返回的认证响应信息;
所述第一设备,用于接收所述第二设备发送的接入认证信息,将所述接入认证信息发送给所述第三设备,接收所述第三设备返回的认证响应信息,以及向所述第二设备返回认证响应信息;
所述第三设备,用于接收所述第一设备发送的接入认证信息,利用所述接入认证信息对所述第二设备进行接入认证,并向所述第一设备返回认证响应信息。
4.根据权利要求3所述的系统,其特征在于,所述接入认证信息包含所述第二设备的特征。
5.根据权利要求4所述的系统,其特征在于,所述特征包含以下至少之一:
IP地址段;
承载的应用;
业务优先级。
6.根据权利要求3所述的系统,其特征在于,所述第一设备,还用于控制第二设备对网络能力的访问。
7.根据权利要求6所述的系统,其特征在于,
所述第三设备,还用于向所述第一设备发送第一策略;
所述第一设备,还用于接收所述第三设备发送的第一策略,基于所述第一策略为第二设备提供的应用提供安全访问控制功能,和/或,基于所述第一策略控制第二设备对网络能力的访问。
8.根据权利要求1所述的系统,其特征在于,所述第一设备,还用于对第三方网络进行接入认证。
9.根据权利要求8所述的系统,其特征在于,所述系统还包括:第三设备;其中,
所述第三方网络,用于向所述第一设备发送接入认证信息;并接收所述第一设备返回的认证响应信息;
所述第一设备,用于接收所述第三方网络发送的接入认证信息,将所述接入认证信息发送给所述第三设备,接收所述第三设备返回的认证响应信息,以及向所述第三方网络返回认证响应信息;
所述第三设备,用于接收所述第一设备发送的接入认证信息,利用所述接入认证信息对所述第三方网络进行接入认证,并向所述第一设备返回认证响应信息。
10.根据权利要求9所述的系统,其特征在于,所述接入认证信息包含第三方网络的特征。
11.根据权利要求10所述的系统,其特征在于,所述特征包含以下至少之一:
最大带宽;
带宽控制粒度;
IP地址段;
业务优先级;
承载的应用。
12.根据权利要求8所述的系统,其特征在于,所述第一设备,用于接入认证通过后,基于安全机制与所述第三方网络进行数据传输。
13.根据权利要求9所述的系统,其特征在于,所述第一设备,还用于控制所述第三方网络的接入能力。
14.根据权利要求13所述的系统,其特征在于,
所述第三设备,还用于向所述第一设备发送第二策略;
所述第一设备,还用于接收所述第三设备发送的第二策略,基于所述第二策略控制所述第三方网络的接入能力。
15.根据权利要求14所述的系统,其特征在于,所述第二策略包含以下之一:
第一接入控制策略;所述第一接入控制策略针对单个第三方网络;
第二接入控制策略;所述第二接入控制策略针对一种类型的第三方网络;
第三接入控制策略;所述第三接入控制策略针对所有第三方网络。
16.根据权利要求13所述的系统,其特征在于,所述第一设备,用于向所述第三方网络发送第一信息,所述第一信息用于指示所述第三方网络的接入能力;
所述第三方网络,用于接收所述第一设备发送的第一信息,利用所述第一信息调整自身的接入能力。
17.根据权利要求1所述的系统,其特征在于,所述第一设备,还用于对第四设备进行接入认证。
18.根据权利要求17所述的系统,其特征在于,所述系统还包括:第三设备;其中,
所述第四设备,还用于向所述第一设备发送接入认证信息;接收所述第一设备返回的认证响应信息;
所述第一设备,用于接收所述第四设备发送的接入认证信息,将所述接入认证信息发送给所述第三设备,接收所述第三设备返回的认证响应信息,以及向所述第四设备返回认证响应信息;
所述第三设备,用于利用所述接入认证信息对所述第四设备进行接入认证,并向所述第一设备返回认证响应信息。
19.根据权利要求18所述的系统,其特征在于,
所述第一设备,还用于控制所述第四设备的接入能力。
20.根据权利要求19所述的系统,其特征在于,所述第一设备,用于向所述第四设备发送第二信息,所述第二信息用于指示所述第四设备的接入能力;
所述第四设备,用于接收所述第一设备发送的第二信息,利用所述第二信息调整自身的接入能力。
21.根据权利要求18所述的系统,其特征在于,
所述第三设备,还用于向所述第一设备发送第三策略;
所述第一设备,还用于接收所述第三设备发送的第三策略,并基于所述第三策略控制所述第四设备的接入能力。
22.根据权利要求1所述的系统,其特征在于,所述第一设备,用于通过至少一个其他第一设备,将终端的业务流进行路由转发,以实现所述终端获取至少一个其他第一设备连接的第二设备提供的应用。
23.根据权利要求1至22任一项所述的系统,其特征在于,所述系统还包括:第三设备,用于控制所述至少一个第一设备。
24.根据权利要求23所述的系统,其特征在于,所述第三设备,还用于对所述至少一个第一设备进行认证。
25.根据权利要求24所述的系统,其特征在于,
所述第一设备,用于向所述第三设备发送认证信息;并接收所述第三设备返回的认证响应信息;
所述第三设备,用于接收所述第一设备发送的认证信息,并利用所述认证信息对所述第一设备进行认证,并向所述第一设备返回认证响应信息。
26.根据权利要求23所述的系统,其特征在于,所述第一设备,还用于监控网络的流量和/或网络状态;并向所述第三设备上报以下信息至少之一:
网络的流量;
计费信息;
网络状态的监控信息;
网络能力的使用信息;
第二设备状态的监控信息。
27.一种通信方法,其特征在于,应用于第一设备,所述第一设备连接至少一个第二设备,且所述第一设备连接至少一个UPF,包括:
为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能,所述第二设备为MEP;其中,
所述方法还包括:
为接入第三方网络的终端选择对应的第二设备,将对应第二设备提供的应用通过所述第三方网络提供给所述终端,所述第三方网络,用于为终端提供网络接入;
接收第四设备发送的网络能力信息,所述第四设备用于为所述第一设备提供网络能力信息,以实现所述第一设备面向所述第二设备的网络能力开放。
28.根据权利要求27所述的方法,其特征在于,所述方法还包括:
对连接的第二设备进行接入认证;
和/或,
控制第二设备对网络能力的访问。
29.根据权利要求28所述的方法,其特征在于,所述对连接的第二设备进行接入认证,包括:
接收所述第二设备发送的接入认证信息;
将所述接入认证信息发送给第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第二设备返回认证响应信息。
30.根据权利要求29所述的方法,其特征在于,所述接入认证信息包含所述第二设备的特征。
31.根据权利要求30所述的方法,其特征在于,所述特征包含以下至少之一:
IP地址段;
承载的应用;
业务优先级。
32.根据权利要求28所述的方法,其特征在于,所述方法还包括:
接收第三设备发送的第一策略;
基于所述第一策略为第二设备提供的应用提供安全访问控制功能,和/或,基于所述第一策略控制第二设备对网络能力的访问。
33.根据权利要求27所述的方法,其特征在于,所述方法还包括:
对所述第三方网络进行接入认证。
34.根据权利要求33所述的方法,其特征在于,所述对所述第三方网络进行接入认证,包括:
接收所述第三方网络发送的接入认证信息;
将所述接入认证信息发送给第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第三方网络返回认证响应信息。
35.根据权利要求34所述的方法,其特征在于,所述接入认证信息包含第三方网络的特征。
36.根据权利要求35所述的方法,其特征在于,所述特征包含以下至少之一:
最大带宽;
带宽控制粒度;
IP地址段;
业务优先级;
承载的应用。
37.根据权利要求34所述的方法,其特征在于,
接入认证通过后,基于安全机制与所述第三方网络进行数据传输。
38.根据权利要求27所述的方法,其特征在于,所述方法还包括:
控制所述第三方网络的接入能力。
39.根据权利要求38所述的方法,其特征在于,所述方法还包括:
接收第三设备发送的第二策略;
基于所述第二策略控制所述第三方网络的接入能力。
40.根据权利要求39所述的方法,其特征在于,所述第二策略包含以下之一:
第一接入控制策略;所述第一接入控制策略针对单个第三方网络;
第二接入控制策略;所述第二接入控制策略针对一种类型的第三方网络;
第三接入控制策略;所述第三接入控制策略针对所有第三方网络。
41.根据权利要求38所述的方法,其特征在于,所述控制所述第三方网络的接入能力,包括:
向所述第三方网络发送第一信息,所述第一信息用于指示所述第三方网络的接入能力。
42.根据权利要求27所述的方法,其特征在于,所述方法还包括:
控制所述第四设备的接入能力;
和/或,
对第四设备进行接入认证。
43.根据权利要求42所述的方法,其特征在于,所述控制所述第四设备的接入能力,包括:
向所述第四设备发送第二信息,所述第二信息用于指示所述第四设备的接入能力。
44.根据权利要求42所述的方法,其特征在于,所述方法还包括:
接收第三设备发送的第三策略;
基于所述第三策略控制所述第四设备的接入能力。
45.根据权利要求42所述的方法,其特征在于,所述对第四设备进行接入认证,包括:
接收所述第四设备发送的接入认证信息;
将所述接入认证信息发送给第三设备;
接收到所述第三设备返回的认证响应信息后,向所述第四设备返回认证响应信息。
46.根据权利要求27所述的方法,其特征在于,所述方法还包括:
通过至少一个其他第一设备,将终端的业务流进行路由转发,以实现所述终端获取至少一个其他第一设备连接的第二设备提供的应用。
47.根据权利要求27至46任一项所述的方法,其特征在于,所述方法还包括:
监控网络的流量和/或网络状态;并向第三设备上报以下信息至少之一:
网络的流量;
计费信息;
网络状态的监控信息;
网络能力的使用信息;
第二设备状态的监控信息。
48.一种通信装置,其特征在于,设置在第一设备上,所述第一设备连接至少一个第二设备,且所述第一设备连接至少一个UPF,包括:
处理单元,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能,所述第二设备为MEP;其中,
所述处理单元,还用于为接入第三方网络的终端选择对应的第二设备,将对应第二设备提供的应用通过所述第三方网络提供给所述终端,所述第三方网络,用于为终端提供网络接入;接收第四设备发送的网络能力信息,所述第四设备用于为所述第一设备提供网络能力信息,以实现所述第一设备面向所述第二设备的网络能力开放。
49.一种第一设备,所述第一设备连接至少一个第二设备,且所述第一设备连接至少一个UPF,其特征在于,包括:处理器及通信接口;其中,
所述处理器,用于为UPF发送的边缘网络的业务流量分配对应的第二设备,以将边缘网络的业务流量分流至对应的第二设备,并为第二设备提供的应用提供安全访问控制功能,所述第二设备为MEP;其中,
所述处理器,还用于为接入第三方网络的终端选择对应的第二设备,将对应第二设备提供的应用通过所述第三方网络提供给所述终端,所述第三方网络,用于为终端提供网络接入;通过所述通信接口接收第四设备发送的网络能力信息,所述第四设备用于为所述第一设备提供网络能力信息,以实现所述第一设备面向所述第二设备的网络能力开放。
50.一种第一设备,其特征在于,包括:处理器及用于存储能够在处理器上运行的计算机程序的存储器,
其中,所述处理器用于运行所述计算机程序时,执行权利要求27至47任一项所述方法的步骤。
51.一种存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现权利要求27至47任一项所述方法的步骤。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110703927.1A CN115529631B (zh) | 2021-06-24 | 2021-06-24 | 通信系统、方法、装置、第一设备及存储介质 |
| PCT/CN2022/100809 WO2022268166A1 (zh) | 2021-06-24 | 2022-06-23 | 通信系统、方法、装置、第一设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110703927.1A CN115529631B (zh) | 2021-06-24 | 2021-06-24 | 通信系统、方法、装置、第一设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115529631A CN115529631A (zh) | 2022-12-27 |
| CN115529631B true CN115529631B (zh) | 2024-05-28 |
Family
ID=84544124
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110703927.1A Active CN115529631B (zh) | 2021-06-24 | 2021-06-24 | 通信系统、方法、装置、第一设备及存储介质 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN115529631B (zh) |
| WO (1) | WO2022268166A1 (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116017454A (zh) * | 2022-12-30 | 2023-04-25 | 中国联合网络通信集团有限公司 | 基于业务访问的认证方法、装置、设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100109A (zh) * | 2015-08-19 | 2015-11-25 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
| CN110198363A (zh) * | 2019-05-10 | 2019-09-03 | 深圳市腾讯计算机系统有限公司 | 一种移动边缘计算节点的选择方法、装置及系统 |
| CN110896553A (zh) * | 2018-09-12 | 2020-03-20 | 中国电信股份有限公司 | 多接入边缘计算方法和平台、通信系统 |
| CN111565404A (zh) * | 2020-04-15 | 2020-08-21 | 中国联合网络通信集团有限公司 | 一种数据分流方法和装置 |
| CN112671571A (zh) * | 2020-12-16 | 2021-04-16 | 腾讯科技(深圳)有限公司 | 网络切片的选择方法、装置、设备及存储介质 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10708716B2 (en) * | 2018-10-16 | 2020-07-07 | Cisco Technology, Inc. | Methods and apparatus for selecting network resources for UE sessions based on locations of multi-access edge computing (MEC) resources and applications |
| CN111083737B (zh) * | 2018-10-19 | 2021-04-16 | 大唐移动通信设备有限公司 | 一种边缘mec中数据的分流方法和装置 |
| CN109889586B (zh) * | 2019-02-02 | 2021-05-11 | 腾讯科技(深圳)有限公司 | 通信处理方法、装置、计算机可读介质及电子设备 |
| CN111787069A (zh) * | 2020-06-09 | 2020-10-16 | 中移雄安信息通信科技有限公司 | 业务接入请求的处理方法、装置、设备及计算机存储介质 |
-
2021
- 2021-06-24 CN CN202110703927.1A patent/CN115529631B/zh active Active
-
2022
- 2022-06-23 WO PCT/CN2022/100809 patent/WO2022268166A1/zh active Application Filing
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105100109A (zh) * | 2015-08-19 | 2015-11-25 | 华为技术有限公司 | 一种部署安全访问控制策略的方法及装置 |
| CN110896553A (zh) * | 2018-09-12 | 2020-03-20 | 中国电信股份有限公司 | 多接入边缘计算方法和平台、通信系统 |
| CN110198363A (zh) * | 2019-05-10 | 2019-09-03 | 深圳市腾讯计算机系统有限公司 | 一种移动边缘计算节点的选择方法、装置及系统 |
| CN111565404A (zh) * | 2020-04-15 | 2020-08-21 | 中国联合网络通信集团有限公司 | 一种数据分流方法和装置 |
| CN112671571A (zh) * | 2020-12-16 | 2021-04-16 | 腾讯科技(深圳)有限公司 | 网络切片的选择方法、装置、设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115529631A (zh) | 2022-12-27 |
| WO2022268166A1 (zh) | 2022-12-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10129108B2 (en) | System and methods for network management and orchestration for network slicing | |
| US11765686B2 (en) | Packet transmission method and apparatus for communicating between terminals of a same 5G LAN group | |
| RU2725625C2 (ru) | Эксплуатация сетей с фрагментацией | |
| CN110972208B (zh) | 一种切片信息处理方法及装置 | |
| KR102469191B1 (ko) | 정보 전송방법 및 장치, 컴퓨터 판독가능 저장 매체 | |
| CN104412621B (zh) | 方法和设备 | |
| CN111356207A (zh) | 一种业务的切片选择方法和装置 | |
| CN113765874B (zh) | 一种基于5g移动通信技术的专网及双模式组网方法 | |
| CN112202930B (zh) | 一种移动设备接入sd-wan网络方法、pop和系统 | |
| EP3510728A1 (en) | System and method for programmable native analytics in 5g mobile networks | |
| CN112566164B (zh) | 一种通信系统及服务质量控制方法 | |
| US11558813B2 (en) | Apparatus and method for network automation in wireless communication system | |
| CN113079541B (zh) | 一种报告信息的发送方法、装置及系统 | |
| EP4088434A1 (en) | Tsc-5g qos mapping with consideration of assistance traffic information and pcc rules for tsc traffic mapping and 5g qos flows binding | |
| CN113747469A (zh) | 网络信息开放方法及相关设备 | |
| CN110138685B (zh) | 一种通信方法及装置 | |
| CN115529631B (zh) | 通信系统、方法、装置、第一设备及存储介质 | |
| CN114365454B (zh) | 无状态安全功能的分布 | |
| CN116195352A (zh) | 接入流量管理 | |
| CN116346294A (zh) | 通信方法、装置、相关设备及存储介质 | |
| Ungureanu et al. | Leveraging the cloud-native approach for the design of 5G NextGen Core Functions | |
| US10623279B2 (en) | Method and network entity for control of value added service (VAS) | |
| WO2023116356A1 (zh) | 信息配置方法、装置、相关设备及存储介质 | |
| WO2024032178A1 (zh) | 一种通信方法及装置 | |
| WO2022252186A1 (en) | Support for localized multimedia broadcast/multicast service in edge computing system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |