CN115767542A - 一种接入控制方法和装置 - Google Patents

一种接入控制方法和装置 Download PDF

Info

Publication number
CN115767542A
CN115767542A CN202111033732.7A CN202111033732A CN115767542A CN 115767542 A CN115767542 A CN 115767542A CN 202111033732 A CN202111033732 A CN 202111033732A CN 115767542 A CN115767542 A CN 115767542A
Authority
CN
China
Prior art keywords
user
information
data
network element
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202111033732.7A
Other languages
English (en)
Inventor
吴义壮
崔洋
雷骜
孙陶然
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Priority to CN202111033732.7A priority Critical patent/CN115767542A/zh
Priority to PCT/CN2022/116661 priority patent/WO2023030473A1/zh
Publication of CN115767542A publication Critical patent/CN115767542A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/69Identity-dependent
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/08Access restriction or access information delivery, e.g. discovery data delivery
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W48/00Access restriction; Network selection; Access point selection
    • H04W48/16Discovering, processing access restriction or access information

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供了一种接入控制方法和装置,使能用户接入企业数据网络并对接入数据网络的终端设备进行实时的访问控制,所述方法包括:数据分析网元根据用户的标识获取用户的数据信息;所述数据分析网元根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息,所述接入控制信息用于控制所述用户访问数据网络。

Description

一种接入控制方法和装置
技术领域
本申请涉及通信领域,并且更具体地,涉及一种接入控制方法和装置。
背景技术
随着行业数据化进程的推进,信息与通信技术(information andcommunications technology,ICT)、金融、零售、汽车、工业、农业等各行业正在不断地进行转型。在第五代(5th generation,5G)网络的支撑下,各行业得以进行了快速数字化转型和业务创新。这使得复杂的现代企业网络基础设施已经不存在单一的、易识别的、明确的安全边界,或者说,企业的安全边界正在逐渐瓦解,传统的基于边界的网络安全架构和解决方案难以适应现代企业网络基础设施。在该场景下如何提升企业网络的安全性成为亟待解决的问题。
发明内容
本申请提供了一种接入控制方法和装置,使能用户接入企业数据网络并对接入数据网络的终端设备进行实时的访问控制。
第一方面,提供了一种接入控制方法,所述方法包括:数据分析网元根据用户的标识获取用户的数据信息;所述数据分析网元根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息,所述接入控制信息用于控制所述用户访问数据网络。
应理解,该用户为具有权限访问该数据网络的用户,该用户通过该终端设备访问该数据网络。该用户的标识用于标识数据网络中的用户的身份,该用户的标识可以为数据网络为用户分配的标识该用户身份的标识,或者为通信网络为数据网络中的用户分配的标识该用户身份的标识,或者标识分配网元分配的用于标识用户身份的标识。该用户的标识用于在通信网络中标识用户身份和/或用于获取用户的数据和/或存储用户的数据和/或生成用户的数据。同一个用户使用不同的终端设备接入数据网络时,该用户的标识相同。其中,是否允许或授权用户使用不同的终端设备接入数据网络由数据网络的具体策略决策。
示例性地,该数据分析网元可以是5G系统中的网络数据分析功能NWDAF网元。
采用上述方式,数据分析网元根据用户的标识获取用户的数据信息,并根据获取的用户数据信息和终端设备的标识信息确定用户的接入控制信息,数据分析网元将接入控制信息提供给其他设备,以实现对该用户使用该终端设备接入数据网络的控制。进一步地,因为数据分析网元可以为第三代合作伙伴计划(3rd generation partnership project,3GPP)网络的设备,采用3GPP网络的设备实现对用户接入数据网络的控制,节约了企业的因控制用户访问数据网络所付出的建网成本。
在一种可能的实施方式中,所述数据分析网元根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息包括:所述数据分析网元根据所述用户对应的终端设备的标识信息获取所述用户的设备信息;所述数据分析网元根据所述用户的数据信息和所述用户的设备信息,发送所述接入控制信息。
在一种可能的实施方式中,所述用户的设备信息包括以下信息的至少一种:所述用户当前访问所述数据网络时产生的数据、所述数据分析网元为所述用户当前访问所述数据网络时生成的分析数据、所述用户当前访问所述数据网络所使用的设备信息、所述用户当前访问所述数据网络的时间信息、所述用户当前访问所述数据网络的位置信息。
需要说明的是,上述信息可以被称为用户的设备信息,是因为,该用户是通过当前所使用的终端设备访问数据网络,这些数据是以该设备为粒度的,数据分析网元可以该设备为粒度从网络侧获取以上信息。
应理解,从时间上看,用户的设备信息也可以称之为用户当前访问数据网络的信息。
示例性地,所述数据分析网元根据所述用户对应的终端设备的标识信息向其他的网元请求获取所述用户的设备信息,以实时掌握当前用户访问数据网络的行为,从而对用户进行实时控制。
在一种可能的实施方式中,所述数据分析网元根据所述用户的数据信息和所述用户的设备信息,发送所述接入控制信息包括:所述数据分析网元根据所述用户的数据信息和所述用户的设备信息确定所述用户的可信度;所述数据分析网元发送表征所述用户的可信度的信息,其中,表征所述用户的可信度的信息为所述接入控制信息。
采用上述方式,能够使得数据分析网元以“所述用户的可信度”的方式来表征对当前用户接入数据网络的分析结果,从而使能其他网络设备能够根据该分析结果制定接入控制策略。
例如,用户的可信度可以通过对该用户进行信任等级的划分来体现,例如对该用户的访问行为进行分析后的信任情况较好(即可信度高),则信任等级高,对该用户进行分析后的信任情况较差(即可信度低),则信任等级低。
需要说明的是,上述“所述数据分析网元根据所述用户的数据信息和所述用户的设备信息确定所述用户的可信度;所述数据分析网元发送表征所述用户的可信度的信息,其中,表征所述用户的可信度的信息为所述接入控制信息”也可替换为,“所述数据分析网元根据所述用户的数据信息和所述用户的设备信息确定所述用户的数据信息和所述用户的设备信息的匹配度;所述数据分析网元发送表征所述匹配度的信息,其中,表征所述匹配度的信息为所述接入控制信息”,应理解,上述匹配度即确定用户当前的接入情况是否符合该用户历史的接入情况。
例如,当匹配度较低时,则网络侧认为该用户访问行为不可信,不允许该用户接入该数据网络,当匹配度较高时,则网络侧认为该用户访问行为可信,允许该用户接入该数据网络。
需要说明的是,所述匹配度的信息可以包含不同的信息的匹配度,例如,可以包含使用的终端设备的匹配度,或者用户的移动行为的匹配度,或者用户的访问数据的匹配度等。
在一种可能的实施方式中,所述数据分析网元根据用户的标识获取用户的数据信息包括:所述数据分析网元向用户数据库发送用户的标识以请求所述用户的数据信息;所述数据分析网元接收来自所述用户数据库的所述用户的数据信息。
示例性地,所述数据分析网元根据用户的标识获取用户的数据信息包括:所述数据分析网元向用户数据库发送用户数据请求消息,所述用户数据请求消息包括所述用户的标识,所述用户数据请求消息用于请求获取所述用户的数据信息;所述数据分析网元接收用户数据请求响应消息,所述用户数据请求响应消息包括所述用户的数据信息。需要说明是,所述用户数据请求消息还用于指示用户数据库在所述用户数据发生更新时,所述用户数据库向所述分析网元发送更新的用户数据。
示例性地,所述数据分析网元根据用户的标识获取用户的数据信息包括:所述数据分析网元向用户数据库发送用户数据订阅消息,所述用户数据订阅消息包括所述用户的标识,所述用户数据订阅请求消息用于订阅获取所述用户的数据信息;所述数据分析网元接收用户数据通知消息,所述用户数据通知消息包括所述用户的数据信息。
在一种可能的实施方式中,在所述数据分析网元根据用户的标识获取用户的数据信息之前,所述方法还包括:所述数据分析网元接收所述用户的标识以用于对所述用户访问所述数据网络进行分析。
示例性地,在所述数据分析网元根据用户的标识获取用户的数据信息之前,所述方法还包括:所述数据分析网元接收用户分析请求消息,所述用户分析请求消息用于请求对所述用户访问所述数据网络进行分析,所述用户分析请求消息包括所述用户的标识。
在一种可能的实施方式中,所述数据分析网元接收所述用户的标识包括:所述数据分析网元接收来自第一功能网元的所述用户的标识,所述第一功能网元是网络开放功能网元、策略控制功能网元、应用功能网元或者会话管理功能网元。
在一种可能的实施方式中,所述方法还包括:所述数据分析网元接收以下信息中的至少一种:所述用户的会话地址、所述数据网络的数据网络名称、所述数据网络的切片信息。
其中,所述数据网络的数据网络名称和/或所述数据网络的切片信息可用于网络侧为所述用户确定为其服务的网元。
示例性地,所述用户的会话地址和/或所述数据网络的数据网络名称和/或所述数据网络的切片信息包含于用于分析请求消息中。
在一种可能的实施方式中,在所述数据分析网元根据用户的标识获取用户的数据信息之前,所述方法还包括:所述数据分析网元向应用功能网元发送所述用户的会话地址以请求所述用户的标识;所述数据分析网元接收来自所述应用功能网元的所述用户的标识。
示例性地,所述用户的会话地址包含于用户信息请求消息中。
在一种可能的实施方式中,在所述数据分析网元根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息之前,所述方法包括:所述数据分析网元根据所述用户的会话地址向绑定支持功能网元请求策略控制功能网元的地址;所述数据分析网元接收来自所述绑定支持功能网元的策略控制功能网元的地址;所述数据分析网元根据所述策略控制功能网元的地址向所述策略控制功能网元请求所述终端设备的标识;所述数据分析网元接收来自所述策略控制功能网元的所述终端设备的标识。
示例性地,所述用户的会话地址包含于绑定支持功能网元管理发现请求消息中。
示例性地,所述策略控制功能网元的地址包含于绑定支持功能网元管理发现响应消息中。
在一种可能的实施方式中,在所述数据分析网元根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息之前,所述方法包括:所述数据分析网元向绑定支持功能网元发送所述用户的会话地址以请求所述终端设备的标识;所述数据分析网元接收来自所述绑定支持功能网元的所述终端设备的标识。
在一种可能的实施方式中,所述接入控制信息包括所述用户的信任等级或者匹配度,所述匹配度为所述用户的数据信息与所述用户的设备信息之间的匹配度。
在一种可能的实施方式中,所述接入控制信息还用于指示对所述用户进行认证。
采用上述方式,当数据分析网元分析的当前用户的信任等级较低或者当前接入数据网络的行为与历史行为不匹配,则数据分析网元指示对所述用户再一次进行认证,例如人脸识别或者指纹识别等,能够进一步提升网络侧的安全防护。
在一种可能的实施方式中,所述数据分析网元发送接入控制信息包括:所述数据分析网元向第二功能网元发送所述接入控制信息,所述第二功能网元是策略控制功能网元、应用功能网元、会话管理功能网元或所述数据网络的策略决策网元。
在一种可能的实施方式中,所述用户的数据信息包括以下信息的至少一种:所述数据网络为所述用户预配置的信息、所述用户访问所述数据网络已经产生的访问数据、所述数据分析网元为所述用户访问所述数据网络已经生成的分析数据、所述用户访问所述数据网络所使用过的设备信息、所述用户访问过所述数据网络的时间信息、所述用户访问过所述数据网络的位置信息。
需要说明的是,上述各种数据或信息可以称之为用户的数据信息,是因为这些数据是以用户为粒度进行保存的,数据分析网元可以用户为粒度从网络侧获取。
应理解,从时间上看,用户的数据信息也可以称之为用户以前访问数据网络的信息或用户访问数据网络的历史信息或者用户访问数据网络之前存储在通信网络中的用户的数据。
第二方面,提供了一种接入控制方法,所述方法包括:策略决策网元获取接入控制信息,所述接入控制信息用于控制用户访问数据网络,其中,所述接入控制信息是根据所述用户的数据信息和/或所述用户对应的终端设备的标识信息确定的,所述用户的数据信息是根据所述用户的标识确定的;所述策略决策网元根据所述接入控制信息确定所述用户的接入控制策略。
应理解,该用户为具有权限访问该数据网络的用户,该用户通过该终端设备访问该数据网络。该用户的标识用于标识数据网络中的用户的身份,该用户的标识可以为数据网络为用户分配的标识该用户身份的标识,或者为通信网络为数据网络中的用户分配的标识该用户身份的标识,或者标识分配网元分配的用于标识用户身份的标识。该用户的标识用于在通信网络中标识用户身份和/或用于获取用户的数据和/或存储用户的数据和/或生成用户的数据。同一个用户使用不同的终端设备接入数据网络时,该用户的标识相同。其中,是否允许或授权用户使用不同的终端设备接入数据网络由数据网络的具体策略决策。
采用上述方式,策略决策网元能够根据接入控制信息实现对该用户使用该终端设备接入数据网络的控制。进一步地,因为策略决策网元可以为3GPP网络的设备,采用3GPP网络的设备实现对用户接入数据网络的控制,节约了企业的因控制用户访问数据网络所付出的建网成本。
在一种可能的实施方式中,所述接入控制策略包括:允许所述用户访问所述数据网络,或者,不允许所述用户访问所述数据网络,或者,对所述用户进行认证。
采用上述方式,使得策略决策网元根据接入控制信息判断接入数据网络的当前用户是否合法/被信任,或者判断是否授权当前用户访问数据网络的资源,例如,当数据分析网元分析的当前用户的信任等级较低或者当前接入数据网络的行为与历史行为不匹配,则数据分析网元指示对所述用户再一次进行认证,例如人脸识别或者指纹识别等,能够进一步提升网络侧的安全防护。
在一种可能的实施方式中,所述接入控制信息是根据所述用户的数据信息和所述用户对应的终端设备的标识信息确定的包括:所述接入控制信息是根据所述用户的数据信息和所述用户的设备信息确定的,所述用户的设备信息是根据所述用户对应的终端设备的标识信息确定的。
在一种可能的实施方式中,所述接入控制信息包含所述用户的数据信息,所述方法包括:所述策略决策网元接收来自应用功能网元或会话管理功能网元的所述用户的标识;所述策略决策网元根据所述用户的标识获取所述用户的数据信息。
示例性地,所述用户的标识包含于用户信息请求响应消息中。
在一种可能的实施方式中,所述接入控制信息包含所述用户的设备信息,所述方法包括:所述策略决策网元向数据分析网元发送所述用户对应的终端设备的标识信息;所述策略决策网元接收来自所述数据分析网元的所述用户的设备信息。
示例性地,所述用户对应的终端设备的标识信息包含于用户分析请求消息中。
在一种可能的实施方式中,所述方法还包括:所述策略决策网元获取所述用户的会话地址;所述策略决策网元根据所述用户的会话地址获取所述用户对应的终端设备的标识信息。
示例性地,所述用户的会话地址包含于用户分析请求消息中。
采用上述方式,数据分析网元对用户当前接入数据网络的行为产生当前分析数据,策略决策网元可结合已获取的用户的数据信息以及当前分析数据,来确定针对用户的接入控制策略。
在一种可能的实施方式中,所述用户的设备信息包括以下信息的至少一种:所述用户当前访问所述数据网络时产生的数据、所述数据分析网元为所述用户当前访问所述数据网络时生成的分析数据、所述用户当前访问所述数据网络所使用的设备信息、所述用户当前访问所述数据网络的时间信息、所述用户当前访问所述数据网络的位置信息。
需要说明的是,上述信息可以被称为用户的设备信息,是因为,该用户是通过当前所使用的终端设备访问数据网络,这些数据是以该设备为粒度的,可以该设备为粒度从网络侧被获取。
应理解,从时间上看,用户的设备信息也可以称之为用户当前访问数据网络的信息。
在一种可能的实施方式中,所述获取接入控制信息包括:向数据分析网元发送所述用户的标识和/或所述用户的会话地址以请求所述数据分析网元对所述用户访问所述数据网络进行分析;接收来自所述数据分析网元的所述接入控制信息。
采用上述方式,使能数据分析网元对所述用户问所述数据网络进行分析后,将分析结果(即接入控制信息)上报给策略决策网元,由策略决策网元制定接入控制策略。
在一种可能的实施方式中,所述策略决策网元获取接入控制信息包括:所述策略决策网元根据指示信息向数据分析网元发送用户分析请求信息,其中,所述指示信息用于指示控制所述用户访问所述数据网络,所述用户分析请求信息用于请求对所述用户访问所述数据网络进行分析;所述策略决策网元接收来自所述数据分析网元的所述接入控制信息。
示例性地,用户分析请求信息包含于用户分析请求消息中。
采用上述方式,使能策略决策网元对数据网络(企业网络)进行定制服务,即对该企业网络访问的用户需要进行接入控制,策略决策网元可根据该指示信息确定是否对该用户进行接入控制。
在一种可能的实施方式中,所述策略决策网元为会话管理功能网元或者策略控制功能网元。
在一种可能的实施方式中,所述用户分析请求信息包括所述用户的标识、所述用户的会话地址、所述用户的设备标识、所述数据网络的数据网络名称或切片信息中的至少一种。
其中,所述数据网络的数据网络名称或切片信息可用于网络侧为用户选择网元。
在一种可能的实施方式中,所述方法还包括:所述策略决策网元接收来自数据库网元的所述指示信息。
示例性地,当所述策略决策网元为会话管理功能网元时,所述数据库网元为统一数据管理网元;当所述策略决策网元为策略控制功能网元时,所述数据库网元为统一数据存储库网元。
在一种可能的实施方式中,所述指示信息包含于所述用户的签约信息中。
在一种可能的实施方式中,所述接入控制信息包括所述用户的信任等级或者匹配度,所述匹配度为所述用户的数据信息与所述用户的设备信息之间的匹配度。
在一种可能的实施方式中,所述用户的数据信息包括以下信息的至少一种:所述数据网络为所述用户预配置的信息、所述用户访问所述数据网络已经产生的访问数据、所述数据分析网元为所述用户访问所述数据网络已经生成的分析数据、所述用户访问所述数据网络所使用过的设备信息、所述用户访问过所述数据网络的时间信息、所述用户访问过所述数据网络的位置信息。
需要说明的是,上述各种数据或信息可以称之为用户的数据信息,是因为这些数据是以用户为粒度进行保存的,可以用户为粒度从网络侧被获取。
应理解,从时间上看,用户的数据信息也可以称之为用户以前访问数据网络的信息或用户访问数据网络的历史信息或者用户访问数据网络之前存储在通信网络中的用户的数据。
第三方面,提供了一种接入控制方法,其特征在于,所述方法包括:会话管理功能网元根据指示信息向数据分析网元请求对用户访问数据网络进行分析;所述会话管理功能网元接收来自所述数据分析网元的接入控制信息;所述会话管理功能网元根据所述接入控制信息确定所述用户的接入控制策略,其中,所述指示信息用于指示控制所述用户访问数据网络。
采用上述方式,使能会话管理功能网元对数据网络(企业网络)进行定制服务,即对该企业网络访问的用户需要进行接入控制,会话管理功能网元可根据该指示信息确定是否对该用户进行接入控制。另外,数据分析网元将接入控制信息提供给会话管理功能网元,能够实现对该用户使用该终端设备接入数据网络的控制。并且进一步地,因为数据分析网元和会话管理功能网元可以为3GPP网络的设备,采用3GPP网络的设备实现对用户接入数据网络的控制,节约了企业的因控制用户访问数据网络所付出的建网成本。
在一种可能的实施方式中,所述方法还包括:所述会话管理功能网元向所述数据分析网元发送所述用户的会话地址、所述用户对应的终端设备的标识、所述数据网络的数据网络名称、所述数据网络的切片信息中的至少一种。
示例性地,所述用户的会话地址、所述用户对应的终端设备的标识、所述数据网络的数据网络名称、所述数据网络的切片信息中的一种或多种包含于用户分析请求消息中。
应理解,该用户为具有权限访问该数据网络的用户,该用户通过该终端设备访问该数据网络。该用户的标识用于标识数据网络中的用户的身份。该用户的标识可以为数据网络为用户分配的标识该用户身份的标识,或者为通信网络为数据网络中的用户分配的标识该用户身份的标识,或者标识分配网元分配的用于标识用户身份的标识。该用户的标识用于在通信网络中标识用户身份和/或用于获取用户的数据和/或存储用户的数据和/或生成用户的数据。同一个用户使用不同的终端设备接入数据网络时,该用户的标识相同。其中,是否允许或授权用户使用不同的终端设备接入数据网络由数据网络的具体策略决策。
在一种可能的实施方式中,所述方法还包括:所述会话管理功能网元接收来自统一数据管理网元的所述指示信息。
在一种可能的实施方式中,所述指示信息包含于用户的签约信息中。
第四方面,提供了一种接入控制装置,所述装置包括:收发模块,所述收发模块用于根据用户的标识获取用户的数据信息;所述收发模块用于根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息,所述接入控制信息用于控制所述用户访问数据网络。
应理解,该用户为具有权限访问该数据网络的用户,该用户通过该终端设备访问该数据网络。该用户的标识用于标识数据网络中的用户的身份。该用户的标识可以为数据网络为用户分配的标识该用户身份的标识,或者为通信网络为数据网络中的用户分配的标识该用户身份的标识,或者标识分配网元分配的用于标识用户身份的标识。该用户的标识用于在通信网络中标识用户身份和/或用于获取用户的数据和/或存储用户的数据和/或生成用户的数据。同一个用户使用不同的终端设备接入数据网络时,该用户的标识相同。其中,是否允许或授权用户使用不同的终端设备接入数据网络由数据网络的具体策略决策。
示例性地,该收发模块属于数据分析网元,该数据分析网元可以是5G系统中的网络数据分析功能NWDAF网元。
采用上述方式,数据分析网元根据用户的标识获取用户的数据信息,并根据获取的用户数据信息和终端设备的标识信息确定用户的接入控制信息,数据分析网元将接入控制信息提供给其他设备,以实现对该用户使用该终端设备接入数据网络的控制。进一步地,因为数据分析网元可以为第三代合作伙伴计划(3rd generation partnership project,3GPP)网络的设备,采用3GPP网络的设备实现对用户接入数据网络的控制,节约了企业的因控制用户访问数据网络所付出的建网成本。
在一种可能的实施方式中,所述收发模块用于根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息包括:所述收发模块用于根据所述用户对应的终端设备的标识信息获取所述用户的设备信息;所述收发模块用于根据所述用户的数据信息和所述用户的设备信息,发送所述接入控制信息。
在一种可能的实施方式中,所述用户的设备信息包括以下信息的至少一种:所述用户当前访问所述数据网络时产生的数据、所述数据分析网元为所述用户当前访问所述数据网络时生成的分析数据、所述用户当前访问所述数据网络所使用的设备信息、所述用户当前访问所述数据网络的时间信息、所述用户当前访问所述数据网络的位置信息。
需要说明的是,上述信息可以被称为用户的设备信息,是因为,该用户是通过当前所使用的终端设备访问数据网络,这些数据是以该设备为粒度的,数据分析网元可以该设备为粒度从网络侧获取以上信息。
应理解,从时间上看,用户的设备信息也可以称之为用户当前访问数据网络的信息。
在一种可能的实施方式中,所述收发模块用于根据所述用户的数据信息和所述用户的设备信息,发送所述接入控制信息包括:所述装置还包括处理模块,所述处理模块用于根据所述用户的数据信息和所述用户的设备信息确定所述用户的可信度;所述收发模块用于发送表征所述用户的可信度的信息,其中,表征所述用户的可信度的信息为所述接入控制信息。
采用上述方式,能够以“所述用户的可信度”的方式来表征对当前用户接入数据网络的分析结果,从而使能其他网络设备能够根据该分析结果制定接入控制策略。
例如,用户的可信度可以通过对该用户进行信任等级的划分来体现,例如对该用户的访问行为进行分析后的信任情况较好(即可信度高),则信任等级高,对该用户的访问行为进行分析后的信任情况较差(即可信度低),则信任等级低。
需要说明的是,上述“所述处理模块用于根据所述用户的数据信息和所述用户的设备信息确定所述用户的可信度;所述收发模块用于发送表征所述用户的可信度的信息,其中,表征所述用户的可信度的信息为所述接入控制信息”也可替换为,“所述处理模块用于根据所述用户的数据信息和所述用户的设备信息确定所述用户的数据信息和所述用户的设备信息的匹配度;所述收发模块用于发送表征所述匹配度的信息,其中,表征所述匹配度的信息为所述接入控制信息”,应理解,上述匹配度即确定用户当前的接入情况是否符合该用户历史的接入情况。
例如,当匹配度较低时,则网络侧认为该用户访问行为不可信,不允许该用户接入该数据网络,当匹配度较高时,则网络侧认为该用户访问行为可信,允许该用户接入该数据网络。
需要说明的是,所述匹配度的信息可以包含不同的信息的匹配度,例如,可以包含使用的终端设备的匹配度,或者用户的移动行为的匹配度,或者用户的访问数据的匹配度等。
在一种可能的实施方式中,所述收发模块用于根据用户的标识获取用户的数据信息包括:所述收发模块用于向用户数据库发送用户的标识以请求所述用户的数据信息;所述收发模块用于接收来自所述用户数据库的所述用户的数据信息。
示例性地,所述收发模块用于根据用户的标识获取用户的数据信息包括:所述收发模块用于向用户数据库发送用户数据请求消息,所述用户数据请求消息包括所述用户的标识,所述用户数据请求消息用于请求获取所述用户的数据信息;所述收发模块用于接收用户数据请求响应消息,所述用户数据请求响应消息包括所述用户的数据信息。需要说明是,所述用户数据请求消息还用于指示用户数据库在所述用户数据发生更新时,所述用户数据库向所述分析网元发送更新的用户数据。
示例性地,所述数据分析网元根据用户的标识获取用户的数据信息包括:所述数据分析网元向用户数据库发送用户数据订阅消息,所述用户数据订阅消息包括所述用户的标识,所述用户数据订阅请求消息用于订阅获取所述用户的数据信息;所述数据分析网元接收用户数据通知消息,所述用户数据通知消息包括所述用户的数据信息。
在一种可能的实施方式中,在所述收发模块用于根据用户的标识获取用户的数据信息之前,所述装置还包括:所述收发模块用于接收所述用户的标识以用于对所述用户访问所述数据网络进行分析。
示例性地,在所述收发模块用于根据用户的标识获取用户的数据信息之前,所述方法还包括:所述收发模块用于接收用户分析请求消息,所述用户分析请求消息用于请求对所述用户访问所述数据网络进行分析,所述用户分析请求消息包括所述用户的标识。
在一种可能的实施方式中,所述收发模块用于接收所述用户的标识包括:所述收发模块用于接收来自第一功能网元的所述用户的标识,所述第一功能网元是网络开放功能网元、策略控制功能网元、应用功能网元或者会话管理功能网元。
在一种可能的实施方式中,所述装置还包括:所述收发模块用于接收以下信息中的至少一种:所述用户的会话地址、所述数据网络的数据网络名称、所述数据网络的切片信息。
其中,所述数据网络的数据网络名称和/或所述数据网络的切片信息可用于网络侧为所述用户确定为其服务的网元。
示例性地,所述用户的会话地址和/或所述数据网络的数据网络名称和/或所述数据网络的切片信息包含于用于分析请求消息中。
在一种可能的实施方式中,在所述收发模块用于根据用户的标识获取用户的数据信息之前,所述装置还包括:所述收发模块用于向应用功能网元发送所述用户的会话地址以请求所述用户的标识;所述收发模块用于接收来自所述应用功能网元的所述用户的标识。
示例性地,所述用户的会话地址包含于用户信息请求消息中。
在一种可能的实施方式中,在所述收发模块用于根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息之前,所述装置包括:所述收发模块用于根据所述用户的会话地址向绑定支持功能网元请求策略控制功能网元的地址;所述收发模块用于接收来自所述绑定支持功能网元的策略控制功能网元的地址;所述收发模块用于根据所述策略控制功能网元的地址向所述策略控制功能网元请求所述终端设备的标识;所述收发模块用于接收来自所述策略控制功能网元的所述终端设备的标识。
示例性地,所述用户的会话地址包含于绑定支持功能网元管理发现请求消息中。
示例性地,所述策略控制功能网元的地址包含于绑定支持功能网元管理发现响应消息中。
在一种可能的实施方式中,在所述收发模块用于根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息之前,所述装置包括:所述收发模块用于向绑定支持功能网元发送所述用户的会话地址以请求所述终端设备的标识;所述收发模块用于接收来自所述绑定支持功能网元的所述终端设备的标识。
在一种可能的实施方式中,所述接入控制信息包括所述用户的信任等级或者匹配度,所述匹配度为所述用户的数据信息与所述用户的设备信息之间的匹配度。
在一种可能的实施方式中,所述接入控制信息还用于指示对所述用户进行认证。
采用上述方式,当前用户的信任等级较低或者当前接入数据网络的行为与历史行为不匹配,则接入控制信息还用于指示对所述用户再一次进行认证,例如人脸识别或者指纹识别等,能够进一步提升网络侧的安全防护。
在一种可能的实施方式中,所述收发模块用于发送接入控制信息包括:所述收发模块用于向第二功能网元发送所述接入控制信息,所述第二功能网元是策略控制功能网元、应用功能网元、会话管理功能网元或所述数据网络的策略决策网元。
在一种可能的实施方式中,所述用户的数据信息包括以下信息的至少一种:所述数据网络为所述用户预配置的信息、所述用户访问所述数据网络已经产生的访问数据、数据分析网元为所述用户访问所述数据网络已经生成的分析数据、所述用户访问所述数据网络所使用过的设备信息、所述用户访问过所述数据网络的时间信息、所述用户访问过所述数据网络的位置信息。
需要说明的是,上述各种数据或信息可以称之为用户的数据信息,是因为这些数据是以用户为粒度进行保存的,数据分析网元可以用户为粒度从网络侧获取。
应理解,从时间上看,用户的数据信息也可以称之为用户以前访问数据网络的信息或用户访问数据网络的历史信息或者用户访问数据网络之前存储在通信网络中的用户的数据。
第五方面,提供了一种接入控制装置,所述装置包括:收发模块,所述收发模块用于获取接入控制信息,所述接入控制信息用于控制用户访问数据网络,其中,所述接入控制信息是根据所述用户的数据信息和/或所述用户对应的终端设备的标识信息确定的,所述用户的数据信息是根据所述用户的标识确定的;处理模块,所述处理模块用于根据所述接入控制信息确定所述用户的接入控制策略。
应理解,该用户为具有权限访问该数据网络的用户,该用户通过该终端设备访问该数据网络。该用户的标识用于标识数据网络中的用户的身份,该用户的标识可以为数据网络为用户分配的标识该用户身份的标识,或者为通信网络为数据网络中的用户分配的标识该用户身份的标识,或者标识分配网元分配的用于标识用户身份的标识。该用户的标识用于在通信网络中标识用户身份和/或用于获取用户的数据和/或存储用户的数据和/或生成用户的数据。同一个用户使用不同的终端设备接入数据网络时,该用户的标识相同。其中,是否允许或授权用户使用不同的终端设备接入数据网络由数据网络的具体策略决策。
采用上述方式,策略决策网元能够根据接入控制信息实现对该用户使用该终端设备接入数据网络的控制。进一步地,因为策略决策网元可以为3GPP网络的设备,采用3GPP网络的设备实现对用户接入数据网络的控制,节约了企业的因控制用户访问数据网络所付出的建网成本。
在一种可能的实施方式中,所述接入控制策略包括:允许所述用户访问所述数据网络,或者,不允许所述用户访问所述数据网络,或者,对所述用户进行认证。
采用上述方式,使得策略决策网元根据接入控制信息判断接入数据网络的当前用户是否合法/被信任,或者判断是否授权当前用户访问数据网络的资源,例如,当数据分析网元分析的当前用户的信任等级较低或者当前接入数据网络的行为与历史行为不匹配,则数据分析网元指示对所述用户再一次进行认证,例如人脸识别或者指纹识别等,能够进一步提升网络侧的安全防护。
在一种可能的实施方式中,所述接入控制信息是根据所述用户的数据信息和所述用户对应的终端设备的标识信息确定的包括:所述接入控制信息是根据所述用户的数据信息和所述用户的设备信息确定的,所述用户的设备信息是根据所述用户对应的终端设备的标识信息确定的。
在一种可能的实施方式中,所述接入控制信息包含所述用户的数据信息,所述装置包括:所述收发模块用于接收来自应用功能网元或会话管理功能网元的所述用户的标识;所述收发模块用于根据所述用户的标识获取所述用户的数据信息。
示例性地,所述用户的标识包含于用户信息请求响应消息中。
在一种可能的实施方式中,所述接入控制信息包含所述用户的设备信息,所述装置包括:所述收发模块用于向数据分析网元发送所述用户对应的终端设备的标识信息;所述收发模块用于接收来自所述数据分析网元的所述用户的设备信息。
示例性地,所述用户对应的终端设备的标识信息包含于用户分析请求消息中。
在一种可能的实施方式中,所述装置还包括:所述收发模块用于获取所述用户的会话地址;所述收发模块用于根据所述用户的会话地址获取所述用户对应的终端设备的标识信息。
示例性地,所述用户的会话地址包含于用户分析请求消息中。
示例性地,所述用户对应的终端设备的标识信息包含于用户分析请求消息中。
采用上述方式,数据分析网元对用户当前接入数据网络的行为产生当前分析数据,策略决策网元可结合已获取的用户的数据信息以及当前分析数据,来确定针对用户的接入控制策略。
在一种可能的实施方式中,所述用户的设备信息包括以下信息的至少一种:所述用户当前访问所述数据网络时产生的数据、所述数据分析网元为所述用户当前访问所述数据网络时生成的分析数据、所述用户当前访问所述数据网络所使用的设备信息、所述用户当前访问所述数据网络的时间信息、所述用户当前访问所述数据网络的位置信息。
需要说明的是,上述信息可以被称为用户的设备信息,是因为,该用户是通过当前所使用的终端设备访问数据网络,这些数据是以该设备为粒度的,可以该设备为粒度从网络侧被获取。
应理解,从时间上看,用户的设备信息也可以称之为用户当前访问数据网络的信息。
在一种可能的实施方式中,所述获取接入控制信息包括:向数据分析网元发送所述用户的标识和/或所述用户的会话地址以请求所述数据分析网元对所述用户访问所述数据网络进行分析;接收来自所述数据分析网元的所述接入控制信息。
采用上述方式,使能数据分析网元对所述用户问所述数据网络进行分析后,将分析结果(即接入控制信息)上报给策略决策网元,由策略决策网元制定接入控制策略。
在一种可能的实施方式中,所述收发模块用于获取接入控制信息包括:所述收发模块用于根据指示信息向数据分析网元发送用户分析请求信息,其中,所述指示信息用于指示控制所述用户访问所述数据网络,所述用户分析请求信息用于请求对所述用户访问所述数据网络进行分析;所述收发模块用于接收来自所述数据分析网元的所述接入控制信息。
示例性地,用户分析请求信息包含于用户分析请求消息中。
采用上述方式,使能网络侧对数据网络(企业网络)进行定制服务,即对该企业网络访问的用户需要进行接入控制,网络侧可根据该指示信息确定是否对该用户进行接入控制。
在一种可能的实施方式中,所述收发模块属于会话管理功能网元或者策略控制功能网元。
在一种可能的实施方式中,所述用户分析请求信息包括所述用户的标识、所述用户的会话地址、所述用户的设备标识、所述数据网络的数据网络名称或切片信息中的至少一种。
其中,所述数据网络的数据网络名称或切片信息可用于网络侧为用户选择网元。
在一种可能的实施方式中,所述装置还包括:所述收发模块用于接收来自数据库网元的所述指示信息。
示例性地,当所述策略决策网元是会话管理功能网元时,所述数据库网元为统一数据管理网元;当所述策略决策网元是策略控制功能网元时,所述数据库网元为统一数据存储库网元。
在一种可能的实施方式中,所述指示信息包含于所述用户的签约信息中。
在一种可能的实施方式中,所述接入控制信息包括所述用户的信任等级或者匹配度,所述匹配度为所述用户的数据信息与所述用户的设备信息之间的匹配度。
在一种可能的实施方式中,所述用户的数据信息包括以下信息的至少一种:所述数据网络为所述用户预配置的信息、所述用户访问所述数据网络已经产生的访问数据、所述数据分析网元为所述用户访问所述数据网络已经生成的分析数据、所述用户访问所述数据网络所使用过的设备信息、所述用户访问过所述数据网络的时间信息、所述用户访问过所述数据网络的位置信息。
需要说明的是,上述各种数据或信息可以称之为用户的数据信息,是因为这些数据是以用户为粒度进行保存的,可以用户为粒度从网络侧被获取。
应理解,从时间上看,用户的数据信息也可以称之为用户以前访问数据网络的信息或用户访问数据网络的历史信息或者用户访问数据网络之前存储在通信网络中的用户的数据。
第六方面,提供了一种接入控制装置,所述装置包括:收发模块,所述收发模块用于根据指示信息向数据分析网元请求对用户访问数据网络进行分析;所述收发模块用于接收来自所述数据分析网元的接入控制信息;处理模块,所述处理模块用于根据所述接入控制信息确定所述用户的接入控制策略,其中,所述指示信息用于指示控制所述用户访问数据网络。
采用上述方式,能够对数据网络(企业网络)进行定制服务,即对该企业网络访问的用户需要进行接入控制,处理模块(可属于会话管理功能网元)可根据该指示信息确定是否对该用户进行接入控制。另外,数据分析网元将接入控制信息提供给会话管理功能网元,能够实现对该用户使用该终端设备接入数据网络的控制。并且进一步地,因为数据分析网元和会话管理功能网元可以为3GPP网络的设备,采用3GPP网络的设备实现对用户接入数据网络的控制,节约了企业的因控制用户访问数据网络所付出的建网成本。
在一种可能的实施方式中,所述装置还包括:所述收发模块用于向所述数据分析网元发送所述用户的会话地址、所述用户对应的终端设备的标识、所述数据网络的数据网络名称、所述数据网络的切片信息中的至少一种。
示例性地,所述用户的会话地址、所述用户对应的终端设备的标识、所述数据网络的数据网络名称、所述数据网络的切片信息中的一种或多种包含于用户分析请求消息中。
应理解,该用户为具有权限访问该数据网络的用户,该用户通过该终端设备访问该数据网络。该用户的标识用于标识数据网络中的用户的身份。该用户的标识可以为数据网络为用户分配的标识该用户身份的标识,或者为通信网络为数据网络中的用户分配的标识该用户身份的标识,或者标识分配网元分配的用于标识用户身份的标识。该用户的标识用于在通信网络中标识用户身份和/或用于获取用户的数据和/或存储用户的数据和/或生成用户的数据。同一个用户使用不同的终端设备接入数据网络时,该用户的标识相同。其中,是否允许或授权用户使用不同的终端设备接入数据网络由数据网络的具体策略决策。
在一种可能的实施方式中,所述装置还包括:所述收发模块用于接收来自统一数据管理网元的所述指示信息。
在一种可能的实施方式中,所述指示信息包含于用户的签约信息中。
第七方面,提供了一种通信装置,该通信装置可以为上述方法实施例中的通信装置,或者为设置在通信装置中的芯片。该通信装置包括通信接口以及处理器,可选的,还包括存储器。其中,该存储器用于存储计算机程序或指令,处理器与存储器、通信接口耦合,当处理器执行所述计算机程序或指令时,使通信装置执行上述方法实施例中由通信装置所执行的方法。
示例性地,存储器和处理器可以集成在一起,也可以为独立的器件。
第八方面,提供了一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码被运行时,使得上述各方面中由上述通信装置执行的方法被执行。
第九方面,本申请提供了一种芯片系统,该芯片系统包括处理器,用于实现上述各方面的方法中通信装置的功能。在一种可能的设计中,所述芯片系统还包括存储器,用于保存程序指令和/或数据。该芯片系统,可以由芯片构成,也可以包括芯片和其他分立器件。
第十方面,本申请提供了一种计算机可读存储介质,该计算机可读存储介质存储有计算机程序,当该计算机程序被运行时,实现上述各方面中由上述通信装置执行的方法。
第十一方面,本申请提供了一种通信系统,包括第四方面或第四方面任一种可能的实施方式中的通信装置以及与该通信装置交互的其他设备;或者包括第五方面或第五方面任一种可能的实施方式中的通信装置以及与该通信装置交互的其他设备;或者包括第六方面或第六方面任一种可能的实施方式中的通信装置以及与该通信装置交互的其他设备。
在一种可能的实施方式中,该通信系统包括第四方面或第四方面任一种可能的实施方式中的通信装置以及第五方面或第五方面任一种可能的实施方式中的通信装置。
附图说明
图1是适用于本申请实施例的一例应用场景图。
图2是本申请实施例的一例示意性流程图。
图3是本申请实施例的再一例示意性流程图。
图4是本申请实施例的又一例示意性流程图。
图5是本申请实施例的又一例示意性流程图。
图6是本申请实施例的又一例示意性流程图。
图7是本申请实施例的又一例示意性流程图。
图8是本申请实施例的又一例示意性流程图。
图9是本申请实施例的又一例示意性流程图。
图10是本申请的实施例提供的可能的通信装置的结构示意图。
图11是本申请的实施例提供的又一例可能的通信装置的结构示意图。
具体实施方式
下面将结合附图,对本申请中的技术方案进行描述。显然,所描述的实施例是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请实施例的技术方案可以应用于各种通信系统,例如:窄带物联网系统(narrow band-internet of things,NB-IoT)、全球移动通讯(global system of mobilecommunication,GSM)系统、码分多址(code division multiple access,CDMA)系统、宽带码分多址(wideband code division multiple access,WCDMA)系统、通用分组无线业务(general packet radio service,GPRS)、长期演进(long term evolution,LTE)系统、LTE频分双工(frequency division duplex,FDD)系统、LTE时分双工(time division duplex,TDD)、通用移动通信系统(universal mobile telecommunication system,UMTS)、全球互联微波接入(worldwide interoperability for microwave access,WiMAX)通信系统、第五代(5th generation,5G)系统或新无线(new radio,NR)、卫星通信系统、未来的第六代(6th generation,6G)系统等。
本申请实施例中的终端设备,也可以称为用户设备(user equipment,UE)、接入终端、终端设备单元(subscriber unit)、终端设备站、移动站、移动台(mobile station,MS)、远方站、远程终端、移动设备、用户终端、终端(terminal)、无线通信设备、终端设备代理或终端设备装置。终端设备可以包括各种具有无线通信功能的手持设备、车载设备、物联网(internet of things,IoT)设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备。还可以包括用户单元、蜂窝电话(cellular phone)、智能手机(smart phone)、无线数据卡、个人数字助理(personal digital assistant,PDA)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handset)、膝上型电脑(laptop computer)、机器类型通信(machine type communication,MTC)终端、无线局域网(wireless local area networks,WLAN)中的站点(station,ST)。可以是蜂窝电话、无绳电话、会话启动协议(sessioninitiation protocol,SIP)电话、无线本地环路(wireless local loop,WLL)站以及下一代通信系统,例如,5G网络中的终端设备或者未来演进的PLMN网络中的终端设备等。
本申请实施例中的网络设备可以是用于与终端设备通信的设备,网络设备可以是全球移动通讯(global system of mobile communication,GSM)系统或码分多址(codedivision multiple access,CDMA)中的基站(base transceiver station,BTS),也可以是宽带码分多址(wideband code division multiple access,WCDMA)系统中的基站(nodeB,NB),还可以是LTE系统中的演进型基站(evolutional nodeB,eNB或eNodeB),还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,还可以是卫星通信系统中的卫星基站,或者网络设备可以为中继站、接入点、车载设备、可穿戴设备以及5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等,本申请实施例并不限定。
需要说明的是,本申请实施例的技术方案可以适用于集中单元(central unit,CU)和分布式单元(distributed unit,DU)架构,也可以适用于控制面(control plane,CP)和(user plane,UP)分离的架构,本申请对此不做限定。
为了便于理解本申请,下面对一些技术概念进行简单介绍:
用户的标识:还可以称用户标识,用于标识数据网络中的用户的身份。该用户的标识可以为数据网络为用户分配的标识该用户身份的标识,或者为通信网络为数据网络中的用户分配的标识该用户身份的标识,或者标识分配网元分配的用于标识用户身份的标识。该用户的标识用于在通信网络中标识用户身份和/或用于获取用户的数据和/或存储用户的数据和/或生成用户的数据。同一个用户使用不同的终端设备接入数据网络时,该用户的标识相同。其中,是否允许或授权用户使用不同的终端设备接入数据网络由数据网络的具体策略决策。
终端设备的标识:可以包括用户设备的标识、或移动设备的标识等。终端设备的标识可以为国际移动用户识别码(international mobile subscriber identificationnumber,IMSI)、用户永久标识(subscription permanent identifier,SUPI)、移动台国际综合业务数字网(integrated service digital network,ISDN)号码(mobile subscriberinternational ISDN/PSTN number,MSISDN)、通用公共用户标识(generic publicsubscription identifier,GPSI)、永久设备标识(permanent equipment identifier,PEI)、国际移动设备标识(international mobile equipment identity)、或国际移动设备标识和软件版本号(international mobile station equipment identity and softwareversion number,IMEISV)等。
下面对本申请实施例可以应用的系统架构或者场景进行说明,如图1所示,其中,图1是适用于本申请实施例的一例应用场景图。下面对图1所示的网络架构中可能涉及的各个网元分别进行说明。
1、UE:参见上述说明,在此不再赘述。
2、接入网(access network,AN):为特定区域的授权用户设备提供入网功能,并能够根据用户设备的级别,业务的需求等使用不同质量的传输隧道。接入网络可以为采用不同接入技术的接入网络。目前的无线接入技术有两种类型:3GPP接入技术(例如3G、4G或5G系统中采用的无线接入技术)和非第三代合作伙伴计划(non-3GPP)接入技术。3GPP接入技术是指符合3GPP标准规范的接入技术,采用3GPP接入技术的接入网络称为无线接入网络(radio access network,RAN),其中,5G系统中的接入网设备称为下一代基站节点(nextgeneration Node Base station,gNB)。非3GPP接入技术是指3GPP标准规范之外的接入技术,例如,以无线保真(wireless fidelity,WiFi)中的接入点(access point,AP)为代表的空口技术。
基于无线通信技术实现接入网络功能的接入网可以称为无线接入网(radioaccess network,RAN)。无线接入网能够管理无线资源,为终端提供接入服务,进而完成控制信号和用户数据在终端和核心网之间的转发。
无线接入网例如可以是基站(NodeB)、演进型基站(evolved NodeB,eNB或eNodeB)、5G移动通信系统中的基站(gNB)、未来移动通信系统中的基站或WiFi系统中的AP等,还可以是云无线接入网络(cloud radio access network,CRAN)场景下的无线控制器,或者该接入网设备可以为中继站、接入点、车载设备、可穿戴设备以及未来5G网络中的网络设备或者未来演进的PLMN网络中的网络设备等。本申请的实施例对无线接入网设备所采用的具体技术和具体设备形态不做限定。
3、接入和移动管理功能(access and mobility management function,AMF)实体:主要用于移动性管理和接入管理等,可以用于实现移动性管理实体(mobilitymanagement entity,MME)功能中除会话管理之外的其它功能,例如,合法监听、或接入授权(或鉴权)等功能。在未来通信系统中,接入管理网元仍可以是AMF网元,或者,还可以有其它的名称,本申请不做限定。
4、会话管理功能(session management function,SMF)实体:主要用于会话管理、UE的网络互连协议(Internet Protocol,IP)地址分配和管理、选择可管理用户平面功能、策略控制、或收费功能接口的终结点以及下行数据通知等。
5、用户平面功能(user plane function,UPF)实体:即,数据面网关。可用于分组路由和转发、或用户面数据的服务质量(quality of service,QoS)处理等。用户数据可通过该网元接入到数据网络(data network,DN)。在本申请实施例中,可用于实现用户面网关的功能。
6、数据网络(DN):用于提供传输数据的网络。例如,运营商业务的网络、因特(Internet)网、第三方的业务网络等。
7、认证服务功能(authentication server function,AUSF)实体:主要用于用户鉴权等。
8、网络开放功能(network exposure function,NEF)实体:用于安全地开放由3GPP网络功能提供的业务和能力,从应用功能获取应用信息等。
9、网络存储功能(network repository function,NRF)实体:用于保存网络功能实体以及其提供服务的描述信息,以及支持服务注册、发现和授权等。
10、策略控制功能(policy control function,PCF)实体:用于指导网络行为的统一策略框架,为控制平面功能网元(例如AMF,SMF网元等)提供策略规则信息等。
11、统一数据管理(unified data management,UDM)实体:用于处理用户标识、接入鉴权、注册、或移动性管理等。
12、应用功能(application function,AF)实体:用于进行应用影响的数据路由,接入网络开放功能网元,或,与策略框架交互进行策略控制等。例如可以是V2X应用服务器,V2X应用使能服务器,还可以是无人机服务器(可以包括无人机监管服务器,或无人机应用业务服务器)。
13、统一数据存储库(Unified data repository,UDR)实体:用于存储和提供策略数据、存储和提供签约数据、存储和提供用于开放的结构化数据等。
14、网络数据分析功能(network data analysis function,NWDAF)实体:用于从网络功能网元收集数据,向网络功能网提供分析信息,支持机器学习模型训练等功能。
在图1所示的网络架构中,N1接口为终端与AMF实体之间的参考点,用于非接入层(non-access stratum,NAS)消息的交互;N2接口为AN和AMF实体的参考点;N3接口为(R)AN和UPF实体之间的参考点,用于传输用户面的数据等;N4接口为SMF实体和UPF实体之间的参考点,用于传输例如N3连接的隧道标识信息,数据缓存指示信息,以及下行数据通知消息等信息;N6接口为UPF实体和DN之间的参考点,用于传输用户面的数据等。
应理解,上述图1所示的网络架构可以应用于本申请实施例,此外,适用本申请实施例的网络架构并不局限于此,任何能够实现上述各个网元的功能的网络架构都适用于本申请实施例。
还应理解,图1中所示的AMF实体、SMF实体、UPF实体、NEF实体、AUSF实体、NRF实体、PCF实体、UDM实体可以理解为核心网中用于实现不同功能的网元,例如可以按需服务不同网络切片。这些核心网网元可以各自独立的设备,也可以集成于同一设备中实现不同的功能,本申请对此不做限定。需要说明的是,上述“网元”也可以称为实体、设备、装置或模块等,本申请并未特别限定。
还应理解,上述命名仅为用于区分不同的功能,并不代表这些网元分别为独立的物理设备,本申请对于上述网元的具体形态不作限定,例如,可以集成在同一个物理设备中,也可以分别是不同的物理设备。此外,上述命名仅为便于区分不同的功能,而不应对本申请构成任何限定,本申请并不排除在5G网络以及未来其它的网络中采用其他命名的可能。例如,在6G网络中,上述各个网元中的部分或全部可以沿用5G中的术语,也可能采用其他名称等。在此进行统一说明,以下不再赘述。
还应理解,图1中的各个网元之间的接口名称只是一个示例,具体实现中接口的名称可能为其他的名称,本申请对此不作具体限定。此外,上述各个网元之间的所传输的消息(或信令)的名称也仅仅是一个示例,对消息本身的功能不构成任何限定。
3GPP系统架构中还引入了绑定支持功能网元:用于查找会话所关联的PCF。
在5G通信系统中,该绑定支持功能网元可以是绑定支持功能(binding supportfunction,BSF)网元(图1中未示出)。在未来通信系统中,绑定支持功能网元仍可以是BSF网元,或者,还可以有其它的名称,本申请不做限定。
目前,由于企业网络在5G网络的支撑下逐步无线化,用户访问企业网络不再局限于固定的网络或者固定的设备,例如只需账号和密码通过运营商网络即可访问。但如果账号和密码被盗用或者被滥用,会使得企业网络的安全受到严重威胁。目前的方案通过增加单独的实体来支持安全防护对用户接入进行控制,会造成企业网的建网成本。针对该问题,本申请设计了以下方案。
需要说明的是,本申请中的消息名称仅为示例性说明,具体的消息名称不限制,可以为其他的名称。例如,在服务化的架构下使用服务化的消息名称。
如图2中的方法100所示,图2是本申请实施例的一例示意性流程图。
S110,数据分析网元根据用户的标识获取用户的数据信息。
该数据分析网元可以是独立部署的功能网元,也可以与其他网元共部署,还可以增强现有的功能网元执行数据分析网络的功能。示例性地,该数据分析网元可以是5G系统中的网络数据分析功能NWDAF网元。
在一个示例中,数据分析网元接收来自第一功能网元的用户的标识,该第一功能网元是网络开放功能网元、策略控制功能网元、应用功能网元或者会话管理功能网元,该用户的标识可以包含于网络开放功能网元、策略控制功能网元、策略决策网元、应用功能网元或者会话管理功能网元发送给数据分析网元的用户分析请求消息中,该用户分析请求消息可以用于该数据分析网元对该用户访问该数据网络进行分析。进而,该数据分析网元向用户数据库发送该用户的标识以请求用户的数据信息,并接收来自用户数据库的该用户的数据信息。
可选地,数据分析网元可以向用户数据库发送用户数据请求消息,该消息用于请求该用户的标识对应的用户的数据信息,该消息包括用户的标识。从而,该数据分析网元接收来自用户数据库的用户数据请求响应消息,该用户数据请求响应消息包括该用户的数据信息。
其中,该用户为具有权限访问该数据网络的用户,该用户通过该终端设备访问该数据网络,该用户的标识用于标识该用户。该用户的标识可以为该用户在该数据网络中的标识,或者为该数据网络为该用户分配的用于在移动通信网络中标识该用户身份的标识,或者为通信网络为数据网络中的用户分配的标识用户身份的标识。具体地,该用户的标识例如是数据网络中使用的用户标识(user ID),或者是移动通信网络中使用的用户标识。
用户的数据信息包括以下信息的至少一种:该数据网络为该用户预配置的信息、该用户访问该数据网络已经产生的访问数据、该数据分析网元为该用户访问该数据网络已经生成的分析数据、该用户访问该数据网络所使用过的设备信息、该用户访问过该数据网络的时间信息、该用户访问过该数据网络的位置信息。
需要说明的是,上述各种数据或信息可以称之为用户的数据信息,是因为这些数据是以用户为粒度进行保存的,数据分析网元可以用户为粒度从网络侧获取。
应理解,从时间上看,用户的数据信息也可以称之为用户以前访问数据网络的信息或用户访问数据网络的历史信息或者用户访问数据网络之前存储在通信网络中的用户的数据。
在一个示例中,该数据分析网元获取用户的标识的方式为:该数据分析网元向应用功能网元发送该用户的会话地址以请求该用户的标识,从而该数据分析网元接收来自该应用功能网元的该用户的标识。
或者,还可表述为:该数据分析网元向应用功能网元发送用户信息请求消息,该用户信息请求消息包括该用户的会话地址,该用户信息请求消息用于该应用功能网元提供该用户的标识,从而该数据分析网元接收来自该应用功能网元的用户信息请求响应消息,该用户信息请求响应消息包括该用户的标识。
其中,用户的会话地址可以是网络侧在建立或者修改协议数据单元(protocoldata unit,PDU)会话的过程中为用户设备分配的地址,该PDU会话用于传输用户设备与数据网络之间交互的数据。其中,该用户的会话的地址可以称为PDU会话地址。会话地址可以为例如互联网协议(internet protocol,IP)地址或者IP前缀(prefix)或者媒体接入控制(media access control,MAC)地址。
该数据分析网元获取该用户的会话地址的方式可以是:该数据分析网元接收来自第三功能网元的该用户的会话地址,第三功能网元是网络开放功能网元、策略决策网元、策略控制功能网元、应用功能网元或者会话管理功能网元,可选地,该用户的会话地址包含于用户分析请求消息中。进一步可选地,该用户分析请求消息还包括该用户的标识。
S120,该数据分析网元根据该用户的数据信息和该用户对应的终端设备的标识信息,发送接入控制信息,该接入控制信息用于控制该用户访问数据网络。
其中,该终端设备的标识信息可以用于标识该用户所对应的终端设备,例如可以是国际移动用户识别码(international mobile subscriber identification number,IMSI)、用户永久标识(subscription permanent identifier,SUPI)、移动台国际综合业务数字网(integrated service digital network,ISDN)号码(mobile subscriberinternational ISDN/PSTN number,MSISDN)、通用公共用户标识(generic publicsubscription identifier,GPSI)等。
在一个示例中,该数据分析网元获取该用户对应的终端设备的标识信息,并根据该用户的数据信息和该用户对应的终端设备的标识信息,发送接入控制信息,该接入控制信息用于控制该用户访问数据网络。
在一个示例中,该数据分析网元获取该用户对应的终端设备的标识信息的方式有以下几种:
方式一
该数据分析网元接收来自策略控制功能网元的该用户对应的终端设备的标识信息。
具体地,该数据分析网元向策略控制功能网元发送UE标识发现请求消息,该UE标识发现请求消息包含该用户的会话地址,该UE标识发现请求消息用于该策略控制功能网元提供该用户对应的终端设备的标识信息。该数据分析网元接收来自策略控制功能网元的UE标识发现请求响应消息中,该UE标识发现请求响应消息包含该用户对应的终端设备的标识信息。
在一种可能的实施方式中,该数据分析网元接收来自绑定支持功能网元的策略控制功能网元地址,该数据分析网元根据该策略控制功能网元地址向该策略控制功能网元发送UE标识发现请求消息。
具体地,该数据分析网元向绑定支持功能网元发送管理发现请求消息,该管理发现请求消息包括该用户的会话地址,该管理发现请求消息用于该绑定支持功能网元提供该用户的会话地址所对应的策略控制功能网元的地址。从而,该数据分析网元接收来自绑定支持功能网元的管理发现请求响应消息,该管理发现请求响应消息包含策略控制功能网元的地址。
方式二
该数据分析网元接收来自绑定支持功能网元的该用户对应的终端设备的标识信息。
具体地,该数据分析网元向绑定支持功能网元发送管理发现请求消息,该UE标识发现请求消息包含该用户的会话地址和指示信息,该指示信息用于指示提供该用户的会话地址对应的终端设备的标识信息,该管理发现请求消息用于该绑定支持功能网元提供该用户的会话地址所对应的策略控制功能网元的地址。该绑定支持功能网元若存储有该用户的会话地址对应的终端设备的标识信息,则向数据分析网元发送管理发现请求响应消息,该管理发现请求响应消息包含该用户对应的终端设备的标识信息;该绑定支持功能网元若未存储该用户的会话地址对应的终端设备的标识信息,则向数据分析网元发送管理发现请求响应消息,该管理发现请求响应消息包含该用户的会话地址对应的策略控制功能网元的地址。
方式三
该数据分析网元接收来自会话管理功能网元的该用户对应的终端设备的标识信息。
具体地,该数据分析网元接收来自会话管理功能网元的用户分析请求消息,该用户分析请求消息用于该数据分析网元对该用户访问该数据网络进行分析,该用户分析请求消息包括该用户对应的终端设备的标识信息。
在一个示例中,该数据分析网元根据该用户的数据信息和该用户的设备信息发送接入控制信息,该接入控制信息用于控制该用户访问数据网络,该用户的设备信息是根据该用户对应的终端设备的标识信息获取的。
示例性地,该数据分析网元向服务该用户的功能网元发送用户设备数据请求消息,该用户设备数据请求消息用于服务该用户的功能网元提供该用户的设备信息,该用户设备数据请求消息包括该用户对应的终端设备的标识信息。从而,该数据分析网元接收来自服务该用户的功能网元的用户设备数据请求响应消息,该用户设备数据请求响应消息包括该用户的设备信息。
在一种可能的实施方式中,该用户的设备信息包括以下信息的至少一种:该用户当前访问该数据网络时产生的数据、该数据分析网元为该用户当前访问该数据网络时生成的分析数据、该用户当前访问该数据网络所使用的设备信息、该用户当前访问该数据网络的时间信息、该用户当前访问该数据网络的位置信息。
需要说明的是,上述信息可以被称为用户的设备信息,是因为,该用户是通过当前所使用的终端设备访问数据网络,这些数据是以该设备为粒度的,数据分析网元可以该设备为粒度从网络侧获取以上信息。
应理解,从时间上看,用户的设备信息也可以称之为用户当前访问数据网络的信息。
示例性地,所述数据分析网元根据所述用户对应的终端设备的标识信息从为该用户提供服务的功能网元获取所述用户的设备信息,以实时掌握当前用户访问数据网络的行为,从而对用户进行实时控制。
在一个示例中,该数据分析网元根据该用户的数据信息和该用户的设备信息确定该用户的可信度,该数据分析网元发送表征该用户的可信度的信息,其中,表征该用户的可信度的信息为该接入控制信息。
采用上述方式,能够使得数据分析网元以“该用户的可信度”的方式来表征对当前用户接入数据网络的分析结果,从而使能其他网络设备能够根据该分析结果制定接入控制策略。
例如,用户的可信度可以通过对该用户进行信任等级的划分来体现,例如对该用户进行分析后的信任情况较好或者说可信度高,则信任等级高,对该用户进行分析后的信任情况较差或者说可信度低,则信任等级低。
需要说明的是,上述“该数据分析网元根据该用户的数据信息和该用户的设备信息确定该用户的可信度;该数据分析网元发送表征该用户的可信度的信息,其中,表征该用户的可信度的信息为该接入控制信息”也可替换为,“该数据分析网元根据该用户的数据信息和该用户的设备信息确定该用户的数据信息和该用户的设备信息的匹配度;该数据分析网元发送表征该匹配度的信息,其中,表征该匹配度的信息为该接入控制信息”,应理解,上述匹配度即确定用户当前的接入情况是否符合该用户历史的接入情况。
例如,当匹配度较低时,则网络侧不允许该用户接入该数据网络,当匹配度较高时,则网络侧允许该用户接入该数据网络。
在一个示例中,该数据分析网元还接收该数据网络的数据网络名称和/或该数据网络的切片信息。可选地,该数据网络的数据网络名称和/或该数据网络的切片信息包含于上述用户分析请求消息中。
其中,该数据网络的数据网络名称和/或该数据网络的切片信息可用于网络侧为该用户确定为其服务的网元。
在一种可能的实施方式中,该接入控制信息包括该用户的信任等级或者匹配度,该匹配度为该用户的数据信息与该用户的设备信息之间的匹配度。
在一种可能的实施方式中,该接入控制信息还用于指示对该用户进行认证。认证的方式例如,人脸识别或者指纹识别等。
采用上述方式,当数据分析网元分析的当前用户的信任等级较低或者当前接入数据网络的行为与历史行为不匹配,则数据分析网元指示对该用户再一次进行认证,能够进一步提升网络侧的安全防护。
在一种可能的实施方式中,该数据分析网元向第二功能网元发送该接入控制信息,该第二功能网元是策略控制功能网元、应用功能网元、会话管理功能网元或该数据网络的策略决策网元,以使策略控制网元或应用网元或会话管理网元或该数据网络的策略决策网元对该用户确定接入控制策略。
S130:策略决策网元接收接入控制信息,并根据该接入控制信息确定用户的接入控制策略。
其中,该策略决策网元可以用于制定接入控制策略,例如可以是策略控制功能网元或应用功能网元或会话管理功能网元或该数据网络中的策略决策网元。
接入控制策略可以为允许用户访问该数据网络,或者不允许该用户访问该数据网络,或者对该用户进行认证。具体地,对用户进行认证可以包括人脸识别、指纹识别、短信认证等。
具体地,策略决策网元根据接入控制信息确定用户的接入控制策略可以为:当接入控制信息指示用户的可信度低时,策略决策网元可以拒绝该用户接入该数据网络或者对该用户进行认证。当接入控制信息指示用户的可信度高时,策略决策网元可以允许该用户接入该数据网络。
采用方法100,数据分析网元根据用户的标识获取用户的数据信息,并根据获取的用户数据信息和终端设备的标识信息确定用户的接入控制信息,数据分析网元将接入控制信息提供给策略决策网元,以实现对该用户使用该终端设备接入数据网络的控制。进一步地,因为数据分析网元可以为第三代合作伙伴计划(3rd generation partnershipproject,3GPP)网络的设备,采用3GPP网络的设备实现对用户接入数据网络的控制,节约了企业的因控制用户访问数据网络所付出的建网成本。
如图3中的方法200所示,图3是本申请实施例的再一例示意性流程图。
S210,策略决策网元获取接入控制信息,
其中,该接入控制信息用于控制用户访问数据网络。
该策略决策网元可以用于制定接入控制策略,该策略决策网元例如可以是策略控制功能网元或应用功能网元或会话管理功能网元或该数据网络中的策略决策网元。
应理解,该用户为具有权限访问该数据网络的用户,该用户通过该终端设备访问该数据网络。该用户的标识用于标识数据网络中的用户的身份。该用户的标识可以为数据网络为用户分配的标识该用户身份的标识,或者为通信网络为数据网络中的用户分配的标识该用户身份的标识,或者标识分配网元分配的用于标识用户身份的标识。该用户的标识用于在通信网络中标识用户身份和/或用于获取用户的数据和/或存储用户的数据和/或生成用户的数据。同一个用户使用不同的终端设备接入数据网络时,该用户的标识相同。其中,是否允许或授权用户使用不同的终端设备接入数据网络由数据网络的具体策略决策。
在一个示例中,策略决策网元获取来自数据分析网元的接入控制信息,该接入控制信息是该数据分析网元根据该用户的数据信息和/或该用户对应的终端设备的标识信息确定的,该用户的数据信息是根据该用户的标识确定的。进一步可选地,该策略决策网元向数据分析网元发送该用户的标识和/或该用户的会话地址以请求该数据分析网元对该用户访问该数据网络进行分析;该策略决策网元接收来自该数据分析网元的该接入控制信息。该数据分析网元根据该用户的数据信息和/或该用户对应的终端设备的标识信息确定该接入控制信息的具体方式参见方法100,在此不再赘述。
其中,该用户的数据信息可以包括以下信息的至少一种:该数据网络为该用户预配置的信息、该用户访问该数据网络已经产生的访问数据、该数据分析网元为该用户访问该数据网络已经生成的分析数据、该用户访问该数据网络所使用过的设备信息、该用户访问过该数据网络的时间信息、该用户访问过该数据网络的位置信息。
需要说明的是,上述各种数据或信息可以称之为用户的数据信息,是因为这些数据是以用户为粒度进行保存的,可以用户为粒度从网络侧被获取。
应理解,从时间上看,用户的数据信息也可以称之为用户以前访问数据网络的信息或用户访问数据网络的历史信息或者用户访问数据网络之前存储在通信网络中的用户的数据。
在另一个示例中,该策略决策网元接收来自用户数据库的用户的数据信息,和来自数据分析网元的该用户的设备信息,来确定该接入控制信息。
可选地,该策略决策网元向该用户数据库发送用户数据请求消息,该用户数据请求消息包括该用户的标识,该用户数据请求消息用于该用户数据库提供该用户的数据信息。从而,该策略决策网元接收来自该用户数据库的用户数据请求响应消息,该用户数据请求响应消息包括该用户的数据信息。其中,该策略决策网元接收来自应用功能网元或会话管理功能网元的该用户的标识,可选地,该用户的标识包含于用户信息请求响应消息中,该用户信息请求响应消息用于响应该策略决策网元向应用功能网元或会话管理功能网元发送的用户信息请求消息,该用户信息请求消息包括该用户的会话地址。
进一步可选地,该策略决策网元接收来自网络开放功能网元的该用户的会话地址,可选地,该用户的会话地址包含于用户控制请求消息中,该用户控制请求消息用于该策略决策网元对该用户进行接入控制。
该策略决策网元接收来自数据分析网元的该用户的设备信息的方式可以是:该策略决策网元向该数据分析网元发送该用户对应的终端设备的标识信息,该策略决策网元接收来自该数据分析网元的该用户的设备信息。可选地,该用户对应的终端设备的标识信息包含于用户分析请求消息中,该用户分析请求消息用于该数据分析网元对该用户进行分析,该用户的设备信息包含于用户分析请求响应消息中。
相应地,该数据分析网元根据该用户对应的终端设备的标识信息,从为该用户服务的功能网元获取当前用户信息,该数据分析网元基于该当前用户信息进行分析,生成该用户的设备信息并向该策略决策网元发送。
应理解,此时,该用户的设备信息和/或该用户的数据信息即为该接入控制信息。
在一种可能的实施方式中,该用户的设备信息包括以下信息的至少一种:该用户当前访问该数据网络时产生的数据、该数据分析网元为该用户当前访问该数据网络时生成的分析数据、该用户当前访问该数据网络所使用的设备信息、该用户当前访问该数据网络的时间信息、该用户当前访问该数据网络的位置信息。
需要说明的是,上述信息可以被称为用户的设备信息,是因为,该用户是通过当前所使用的终端设备访问数据网络,这些数据是以该设备为粒度的,可以该设备为粒度从网络侧被获取。
应理解,从时间上看,用户的设备信息也可以称之为用户当前访问数据网络的信息。
在一种可能的实施方式中,该策略决策网元接收来自数据库网元的指示信息,该策略决策网元根据该指示信息向数据分析网元发送用户分析请求信息,其中,该指示信息用于指示控制该用户访问该数据网络,该用户分析请求信息用于该数据分析网元对该用户访问该数据网络进行分析。从而,该策略决策网元接收来自该数据分析网元的该接入控制信息。
在一种可能的实施方式中,该用户分析请求信息包括该用户的标识、该用户的会话地址、该用户的设备标识、该数据网络的数据网络名称或切片信息中的至少一种。
其中,该数据网络的数据网络名称或切片信息可用于网络侧为用户选择网元。
可选地,用户分析请求信息包含于用户分析请求消息中。
在一种可能的实施方式中,该策略决策网元为会话管理功能网元或者策略控制功能网元。当该策略决策网元是会话管理功能网元时,所述数据库网元为统一数据管理网元;当该策略决策网元是策略控制功能网元时,所述数据库网元为统一数据存储库网元。
示例性地,在一种可能的实施方式中,该指示信息包含于该用户的签约信息中。
在一种可能的实施方式中,该接入控制信息包括该用户的信任等级或者匹配度,该匹配度为该用户的数据信息与该用户的设备信息之间的匹配度。
S220,该策略决策网元根据该接入控制信息确定该用户的接入控制策略。
在一种可能的实施方式中,该策略决策网元获取用户的配置数据,策略决策网元根据该接入控制信息和用户的配置数据确定该用户的接入控制策略。示例性地,用户的配置数据包括:信任等级或匹配度对应的接入控制策略信息。
在一种可能的实施方式中,该接入控制策略包括:允许该用户访问该数据网络,或者,不允许该用户访问该数据网络,或者,对该用户进行认证。具体地,对用户进行认证可以包括人脸识别、指纹识别、短信认证等。
具体地,该策略决策网元根据接入控制信息确定用户的接入控制策略可以为:当接入控制信息指示用户的可信度低时,策略决策网元可以拒绝该用户接入该数据网络或者对该用户进行认证。当接入控制信息指示用户的可信度高时,策略决策网元可以允许该用户接入该数据网络。
采用方法200,策略决策网元能够根据接入控制信息实现对该用户使用该终端设备接入数据网络的控制,实时为该用户指定接入控制策略。进一步地,因为策略决策网元可以为3GPP网络的设备,采用3GPP网络的设备实现对用户接入数据网络的控制,节约了企业的因控制用户访问数据网络所付出的建网成本。
下面,对方法100和方法200进行具体举例说明。
如图4中的方法300所示,图4是本申请实施例的又一例示意性流程图。
S310,UE#1注册到网络,并发起协议数据单元(protocol data unit,PDU)会话建立请求,并与网络侧建立PDU会话#1。
该UE#1为用户#1接入数据网络#1使用的设备。
S320,UE#1通过建立的PDU会话#1接入数据网络#1。
S330,AF#1发送信息#1,NEF#1接收信息#1。
其中,信息#1用于指示请求对用户#1进行分析,以对用户#1进行接入控制。
需要说明的是,AF#1与UE#1接入的应用功能网元可以相同也可以不同。
示例性地,信息#1包括用户#1的用户标识(或称为数据网络用户标识,为用户的标识的一个示例)和UE#1的会话地址,用户#1使用UE#1接入数据网络#1。其中,用户#1为具有权限访问数据网络的用户,用户标识用于标识用户#1。用户标识可以为用户在数据网络#1中的标识,或者为数据网络为用户分配的用于在移动通信网络中标识用户身份的标识(此时,数据网络中可以存储两个用户标识,一种是数据网络中使用的,一种是移动通信网络中使用的,且两个用户标识之间存在关联关系),或者为通信网络为数据网络中的用户分配的标识用户身份的标识(此时,可以有上述两个用户标识,也可以只有一个数据网络中使用的用户标识)。该用户标识用于移动通信网络获取用户的数据,UE#1的会话地址(为用户的会话地址的一个示例)可以是网络侧在PDU会话#1建立或者修改的过程中分配给UE#1(或者用户#1)的地址,例如互联网协议(internet protocol,IP)地址或者IP前缀(prefix)或者媒体接入控制(media access control,MAC)地址。
在一种可能的实施方式中,信息#1包含于用户分析请求消息中。
可选地,S340,NEF#1发送信息#2,AF#1接收信息#2。
具体地,信息#2用于指示NEF#1成功接收了信息#1并对用户#1进行分析。
在一种可能的实施方式中,NEF#1在发送信息#2之前,判断AF#1是否被授权请求对UE#1进行分析,如果AF#1被授权,那么发送信息#2,如果AF#1没有被授权,那么不发送信息#2,或者向AF#1发送拒绝信息,用于拒绝AF#1的请求。
在一种可能的实施方式中,信息#2包含于用户分析响应消息中。
S350,NEF#1发送信息#1a,数据分析网元#1接收信息#1a。
其中,信息#1a的内容参见信息#1,在此不再赘述。
在一种可能的实施方式中,在NEF#1发送信息#1a之前,NEF#1基于信息#1从多个NWDAF中选择一个NWDAF,例如,选择的NWDAF为数据分析网元#1,然后向数据分析网元#1发送信息#1a。
可选地,S360,数据分析网元#1发送信息#2a,NEF#1接收信息#2a。
其中,信息#2a的内容参见信息#2,在此不再赘述。
S370,数据分析网元#1获取BSF#1的地址。
具体地,数据分析网元#1可以根据本地的配置信息获取BSF#1的地址,也可以通过与用户数据存储网元#1的交互来获取BSF#1的地址。
S380,数据分析网元#1通过BSF#1获取用户#1的终端设备的标识信息,该终端设备的标识信息用于标识UE#1。
示例性地,该终端设备的标识信息可以是用户永久标识(subscriber permanentidentity,SUPI),下面以获取UE#1的SUPI为例进行说明。
具体地,数据分析网元#1通过BSF#1获取UE#1的SUPI有两种方式:
方式一
数据分析网元#1通过BSF#1获取PCF#1的地址,再通过PCF#1获取UE#1的SUPI。其中,PCF#1是为UE#1建立PDU会话#1提供服务的PCF。
应理解,PCF#1在UE#1建立PDU会话#1的过程中会存储有UE#1的会话地址、用户#1的终端设备的标识信息等信息。因此数据分析网元#1可以从PCF#1获取UE#1的SUPI。
示例性地,可分为以下步骤:
步骤a:数据分析网元#1发送信息#3,BSF#1接收信息#3。
其中,信息#3用于指示请求获取为UE#1建立PDU会话#1服务的PCF的地址。信息#3包括UE#1的IP地址或IP前缀或MAC地址。
在一种可能的实施方式中,信息#3包含于管理发现(Nbsf_Management_Discovery)请求消息中。
步骤b:BSF#1发送信息#4,数据分析网元#1接收信息#4。
其中,信息#4用于指示成功接收了信息#3,信息#4包括PCF#1的地址。
在一种可能的实施方式中,信息#4还可以包括PCF#1的实例(instance)标识(identity,ID)和/或PCF#1的集合(set)ID。
在一种可能的实施方式中,信息#4包含于管理发现响应消息中。
步骤c:数据分析网元#1发送信息#5,PCF#1接收信息#5。
其中,信息#5用于指示请求获取UE#1的SUPI。信息#5包含UE#1的IP地址或IP前缀或MAC地址。
在一种可能的实施方式中,信息#5包含于UE标识发现(Npcf_UEId_Discovery)请求消息中。
步骤d:PCF#1发送信息#6,数据分析网元#1接收信息#6。
其中,信息#6用于指示成功接收了信息#5。信息#6包含UE#1的SUPI。
在一种可能的实施方式中,信息#6包含于UE标识发现响应消息中。
方式二
如果BSF#1存储有UE#1的SUPI,那么数据分析网元#1可通过BSF#1直接获取UE#1的SUPI,如果BSF#1没有存储UE#1的SUPI,那么数据分析网元#1可通过BSF#1获取PCF#1的地址,再通过PCF#1获取UE#1的SUPI。其中,PCF#1是为UE#1建立PDU会话#1提供服务的PCF,示例性地,可分为以下步骤:
步骤a:数据分析网元#1发送信息#3a,BSF#1接收信息#3a。
其中,信息#3a用于指示获取UE#1的SUPI,信息#3a包括UE#1的IP地址或IP前缀或MAC地址。
在一种可能的实施方式中,信息#3a包含于管理发现请求消息中。
步骤b:BSF#1发送信息#4a,数据分析网元#1接收信息#4a。
其中,信息#4a用于指示成功接收了信息#3a。如果BSF#1本地存储有UE#1的会话地址以及对应的SUPI,那么信息#4a包含UE#1的SUPI;反之,则信息#4a包含PCF#1的地址。
在一种可能的实施方式中,信息#4a包含于管理发现响应消息中。
当信息#4a包含PCF#1的地址时后续步骤参见上述方式一的步骤c和步骤d,在此不再赘述。
S390,数据分析网元#1发送信息#5,用户数据存储网元#1(用户数据库的一个示例)接收信息#5。
其中,信息#5用于请求获取用户#1的用户的数据信息,信息#5包括用户#1的用户标识。
用户的数据信息为用户#1此次接入数据网络#1之前存储在数据存储网元中的信息,用户的数据信息包括以下信息的至少一种:
数据网络为用户预配置的信息:例如数据网络#1预先配置用户#1访问数据网络#1允许的时间、地点、是否允许多个设备同时使用一个用户标识访问数据网络的资源、是否允许使用不同的设备访问数据网元资源、允许使用的设备数量、允许访问的资源、接入数据网络允许使用的DNN、切片信息等,其中切片信息可以是单网络切片选择支撑信息(singlenetwork slice selection assistance information,S-NSSAI),该数据网络为用户预配置的信息还可以用于确定接入控制策略;
用户历史访问数据网络时产生的访问数据:例如,用户#1历史访问数据网络#1时访问过的资源等;
网络数据分析网元为用户历史访问数据网络时生成的分析数据:即网络数据分析网元对该用户历史接入数据网络#1产生的数据进行分析而生成的数据,例如,为用户生成的行为模型,如接入时间模型、移动轨迹模型、访问资源模型等;
用户历史接入数据网络#1使用的设备信息:例如用户历史接入数据网络#1使用的设备的SUPI、设备的永久设备标识、软件版本号等;
用户的历史接入数据网络#1时的移动轨迹(或称为用户的历史位置):即用户历史访问数据网络#1的位置信息;
用户历史接入数据网络#1的时间信息。
需要说明的是以上信息可以称之为用户的数据信息,是因为这些数据是以用户为粒度进行保存的。
需要说明的是,用户数据存储网元#1仅为存储用户相关数据的一种网元示例,本申请并不限定于此,例如还可以是企业网的用户数据库或运营商部署的用于存储数据网元用户的相关数据的网元。
S3100,用户数据存储网元#1发送信息#6,数据分析网元#1接收信息#6。
具体地,用户数据存储网元#1根据信息#5中用户#1的用户标识确定信息#6,信息#6包括用户#1的用户的数据信息。
在一种可能的实施方式中,信息#6包括其它用户设备的信息,以便于数据分析网元#1能够根据访问该数据网络#1的其它用户设备的数据来判断用户#1的信任等级。例如,其它用户设备访问该数据网络#1(企业网络)的时间都是白天,所使用的设备是公司的办公设备,而用户#1访问的时间是晚上,并且所使用的设备不是公司的办公设备,这可能会导致该用户并不被信任或认为用户不安全或认为用户处于不安全的环境或者认为用户的信息被攻击者获取等。
S3110,数据分析网元#1发送信息#7,网元功能#1(NF#1)接收信息#7。
其中,信息#7用于请求获取UE#1的当前用户信息,该当前用户信息为当前用户#1使用UE#1请求访问或者访问数据网络#1时的相关数据(“当前”可理解为UE#1在本次请求接入数据网络#1到退出数据网络#1的这段时间内,当前用户信息,即用户本次接入数据网络使用的终端设备接入5GC或核心网产生的数据),信息#7包括UE#1的SUPI。网元功能#1为服务UE#1的网元功能。网元功能#1可以是SMF、AMF等。
应理解,数据分析网元#1也可以向多个网元功能发送信息#7来收集当前用户信息(当前用户信息为用户的设备信息的一个示例)。
当前用户信息包括以下信息的至少一种:
用户当前访问数据网络时产生的访问数据:例如,UE#1当前访问数据网络#1时访问的内容等;
网络数据分析网元为用户当前访问数据网络时生成的分析数据:即网络数据分析网元对该用户当前接入数据网络#1产生的数据进行分析而生成的数据,例如,为用户生成的行为模型,如接入时间模型、移动轨迹模型、访问资源模型等;
用户当前接入数据网络#1使用的设备的信息:例如UE#1的SUPI、UE#1的设备的永久设备标识等;
用户当前接入数据网络#1的移动轨迹(或称为用户的历史位置):即用户当前访问数据网络#1的位置信息;
用户当前接入数据网络#1的时间。
用户当前接入数据网元#1的会话信息:例如会话的DNN、S-NSSAI、用户面安全激活状态等。
需要说明的是以上信息可以称之为用户的设备信息,是因为,该用户是通过当前所使用的设备访问数据网络,这些数据是以该设备为粒度的。
以上仅作为当前用户信息的举例说明,不作为对其的限定。
S3120,网元功能#1发送信息#8,数据分析网元#1接收信息#8。
其中,信息#8用于指示成功接收了信息#7,信息#8包括UE#1的当前用户信息。
S3130,数据分析网元#1对用户#1接入数据网络#1的行为进行分析。
具体地,数据分析网元#1根据用户#1的用户的数据信息和UE#1的当前用户信息,对用户#1接入数据网络#1的行为进行分析。其中,分析的结果用于发送给AF#1,以使AF#1确定是否允许用户#1接入数据网络#1。分析的结果可以有多种类型,例如,用户#1当前的接入行为与其历史接入行为是否有偏差(是否符合规律)或者用户#1当前接入网络的相关数据(用户#1对应的当前用户信息)与其历史接入网络的相关数据是否有偏差(是否符合规律)、偏差的程度(与规律的匹配度)、根据匹配度评估的UE#1的信任等级等。又例如,分析的结果可以分别针对不同的行为信息分别给出分析的结果,例如移动轨迹分析结果、访问时间分析结果或者访问频次分析结果等。
需要说明的是,数据分析网元#1可以根据用户#1的正常的(或称为合法的、被信任的)用户的数据信息和UE#1的当前用户信息,对用户#1接入数据网络#1的行为进行分析,也可以根据用户#1的异常的(或称为非法的、不被信任)的用户的数据信息和UE#1的当前用户信息,对用户#1接入数据网络#1的行为进行分析。例如,当数据分析网元#1根据用户#1的正常的(或称为合法的、被信任的)用户的数据信息和UE#1的当前用户信息,对用户#1接入数据网络#1的行为进行分析时,如果两者的匹配度高,那么UE#1的当前用户信息的信任等级也会高;当根据用户#1的异常的(或称为非法的、不被信任)的用户的数据信息和UE#1的当前用户信息,对用户#1接入数据网络#1的行为进行分析时,如果两者的匹配度高,那么相反地,UE#1的当前用户信息的信任等级会低。
下面以数据分析网元#1根据用户#1的正常的(或称为合法的、被信任的)用户的数据信息和UE#1的当前用户信息,对用户#1接入数据网络#1的行为进行分析为例,举例说明数据分析网元#1如何对UE#1进行分析并确定分析结果。
示例性地,数据分析网元#1根据用户#1的用户的数据信息中的历史SUPI以及UE#1的当前用户信息中当前的SUPI确定当前用户#1接入数据网络#1的行为是否符合规律,从而确定信任等级。例如,假设信任等级分为三级,一级为不信任,二级为一般信任,三级为非常信任,用户#1历史接入数据网络的SUPI为SUPI#1,当前接入数据网络的SUPI也为SUPI#1,符合规律,则确定用户#1的信任等级为三级。或者,用户#1当前接入数据网络的SUPI为SUPI#2,不符合规律,但是SUPI#1与SUPI#2绑定的手机号相同,则确定用户#1的信任等级为二级。又或者,用户#1当前接入数据网络的SUPI#2与SUPI#1绑定的手机号不同,则确定用户#1的信任等级为一级。
同理,数据分析网元#1还可以根据用户#1历史接入数据网络#1产生的数据、数据分析网元历史为用户#1生成的数据、用户#1历史接入数据网络#1的位置、用户#1关于数据网络#1的历史访问行为中的至少一种数据,对应地与当前的用户#1接入数据网络#1产生的数据、当前数据分析网元为用户#1生成的数据、用户#1当前的位置、用户#1关于数据网络#1当前的访问行为中的至少一种数据确定当前用户#1接入数据网络的行为是否符合规律,从而确定用户#1的信任等级。
示例性地,数据分析网元#1根据用户#1的用户的数据信息以及当前的对应UE#1的当前用户信息确定当前用户#1接入数据网络#1的行为或数据与历史接入数据网络#1的行为或数据的匹配度,进一步地,还可以确定信任等级。例如,假设信任等级分为三级,一级为不信任,二级为一般信任,三级为非常信任,用户#1使用的设备为企业员工工作日期间接入企业网络的电脑,接入时间为白天的工作时间,地点为企业地址。当前用户#1接入该企业网络的使用的UE#1为手机,接入时间为白天,地点为企业地址,那么匹配度为66.6%,确定信任等级为二级。或者,当前用户#1接入该企业网络使用的UE#1为手机,接入时间为夜晚,地点为企业地址,那么匹配度为33.4%,确定信任等级为一级,以此类推,不再赘述。
S3140,数据分析网元#1发送信息#9,AF#1接收信息#9。
其中,信息#9包括NWDAF#1对用户#1的分析结果(该分析结果为接入控制信息的一个示例),用于指示用户#1的信任等级或者是否需要额外的接入控制(或称为额外的安全验证)。额外的接入控制指的是辅助决策是否允许用户#1接入数据网络#1的方式,例如,对用户#1执行手机短信验证码验证,或者面部验证等验证方式。当用户#1的信任等级较低时可以进行额外的接入控制。
具体地,数据分析网元#1发送信息#9有以下两种方式:
方式一
数据分析网元#1向NEF#1发送信息#9,NEF#1接收信息#9后向AF#1发送信息#9,AF#1接收信息#9。或者,数据分析网元#1直接向AF#1发送信息#9,AF#1接收信息#9。其中,信息#9包含于用户态势感知通知消息中,其中,用户态势感知通知消息用于数据分析网元#1上报对用户#1的分析结果。
方式二
S340和S360在此处执行,即此时数据分析网元#1向NEF#1发送用户分析响应消息的同时,还携带了信息#9,NEF#1向AF#1发送用户分析响应消息的同时,还携带了信息#9。
在一种可能的实施方式中,数据分析网元#1在发送信息#7后持续收集UE#1的当前用户信息,分析用户#1的信任等级(持续执行S3110-S3140),当确定用户#1的信任等级发生变化时,生成并向AF#1发送新的信息#9,直到PDU会话#1被释放或数据分析网元#1请求停止上报。
S3150,AF#1确定用户#1对应的接入控制策略并触发接入控制流程。
具体地,AF#1根据信息#9确定用户#1对应的接入控制策略,并根据接入控制策略触发接入控制流程。
示例性地,信息#9指示用户#1的信任等级较低或者指示用户#1当前的接入行为与历史接入行为有较大偏差(匹配度低),AF#1根据信息#9确定接入控制策略为对用户#1进行额外的接入控制(或称为触发多因子认证),或者,AF#1确定接入控制策略为拒绝用户#1接入数据网络#1。AF#1根据接入控制策略来触发接入控制流程。
示例性地,信息#9指示用户#1的信任等级较高或者指示用户#1当前的接入行为与历史接入行为没有偏差(匹配度高),AF#1根据信息#9确定接入控制策略为允许用户#1接入数据网络#1。AF#1根据接入控制策略来触发接入控制流程。进一步可选的,AF#1根据信息#9和数据网络预配置的控制信息确定接入当前的控制策略。
S3160,AF#1发送信息#10,数据分析网元#1接收信息#10。
具体地,当用户#1从数据网络#1退出时,AF#1发送信息#10,信息#10用于指示停止对用户#1的分析。
S3170,数据分析网元#1停止对用户#1的分析,将用户#1最新的访问数据网络#1产生的数据存储到用户数据存储网元#1中。
通过方法300,使能在用户接入数据网络时,网络侧能够根据用户当前的相关数据以及历史接入该数据网络的相关数据确定该用户的信任等级以及针对该用户的接入控制策略,还能实时监控该用户的信任等级,动态控制该用户的接入。该方法不仅可以适应现代复杂的企业网络,应对目前企业网络不易识别的安全边界的形势,还能由于企业网络不需要增加单独的实体来支持防护从而节省建网成本。
本申请还考虑了为了减轻AF的负担,使能策略决策网元确定对用户的控制策略,如图5中的方法400所示,图5是本申请实施例的又一例示意性流程图。
S410,UE#1注册到网络,并发起PDU会话建立请求,并与网络侧建立PDU会话#1。
其中,UE#1为用户#1接入数据网络#1所使用的设备。
S420,UE#1通过建立的PDU会话#1接入数据网络#1。
S430,AF#1发送信息#1,NEF#1接收信息#1。
具体内容参见方法S330,在此不再赘述。
这种场景下,可选地,信息#1还可以包括数据网络#1的用户配置信息,用户配置信息用于确定用户的接入控制信息或用户的接入控制策略。用户配置信息可以包含用户#1访问数据网络#1允许的时间、地点、是否允许多个设备同时使用一个用户标识访问数据网络的资源、是否允许使用不同的设备访问数据网元资源、允许使用的设备数量、信息#1、允许访问的资源、接入数据网络允许使用的DNN、切片信息等,其中切片信息可以是单网络切片选择支撑信息(single network slice selection assistance information,S-NSSAI)。
S440,NEF#1发送信息#2,AF#1接收信息#2。
具体内容参见方法S340,在此不再赘述。
若信息#1中包含数据网络#1的用户配置信息,则信息#2包含用户配置信息。
S450,NEF#1确定策略决策网元#1。
具体地,NEF#1确定策略决策网元#1,策略决策网元#1用于确定用户#1对应的接入控制策略。
在一种可能的实施方式中,NEF#1确定策略决策网元#1的方式参见方法300,在此不再赘述。
S460,NEF#1发送信息#1a,策略决策网元#1接收信息#1a。
其中,信息#1a的内容参见信息#1,在此不再赘述。
若信息#1中包含数据网络#1的用户配置信息,则信息#1a包含用户配置信息。
S470,策略决策网元#1发送信息#2a,NEF#1接收信息#2a。
其中,信息#2a的内容参见信息#2,在此不再赘述。
S480,策略决策网元#1发送信息#1b,数据分析网元#1接收信息#1b。
其中,信息#1b的内容参见信息#1,在此不再赘述。
在一种可能的实施方式中,在策略决策网元#1发送信息#1b之前,策略决策网元#1基于信息#1从多个NWDAF中选择一个NWDAF,例如,选择的NWDAF为数据分析网元#1,然后向数据分析网元#1发送信息#1b。
S490,数据分析网元#1获取BSF#1的地址。
具体内容参见方法S370,在此不再赘述。
S4100,数据分析网元#1通过BSF#1获取用户#1的终端设备的标识信息。
具体内容参见方法S380,在此不再赘述。
S4110,数据分析网元#1发送信息#5,用户数据存储网元#1接收信息#5。
具体内容参见方法S390,在此不再赘述。
S4120,用户数据存储网元#1发送信息#6,数据分析网元#1接收信息#6。
具体内容参见方法S3100,在此不再赘述。
S4130,数据分析网元#1发送信息#7,网元功能#1(NF#1)接收信息#7。
具体内容参见方法S3110,在此不再赘述。
S4140,网元功能#1发送信息#8,数据分析网元#1接收信息#8。
S4150,数据分析网元#1对用户#1接入数据网络#1的行为进行分析。
具体内容参见方法S3130,在此不再赘述。
S4160,数据分析网元#1发送信息#9,策略决策网元#1接收信息#9。
其中,信息#9的内容参见S3140,在此不再赘述。
在一种可能的实施方式中,信息#9包含于用户分析响应消息中,用于对信息#1b作出响应。
S4170,策略决策网元#1确定用户#1对应的接入控制策略并触发接入控制流程。
具体地,策略决策网元#1根据信息#9确定用户#1对应的接入控制策略,并根据接入控制策略触发接入控制流程。
可选的,若信息#1a包含用户配置信息,则策略决策网元#1根据信息#9和用户配置信息中的部分或全部信息确定用户#1对应的接入控制策略,并根据接入控制策略触发接入控制流程。进一步,可选的策略决策网元向数据存储网元发送用户配置信息和用户标识,数据存储网元根据用户标识存储接收到的用户配置信息。
可选的,若信息#1a不包含用户配置信息,则策略决策网元向数据存储网元发送用户标识请求用户的预配置信息,则策略决策网元#1根据信息#9和用户的预配置信息确定用户#1对应的接入控制策略,并根据接入控制策略触发接入控制流程。该用户的预配置信息为不同的信任关系对应的预配置策略。
示例性地,信息#9指示用户#1的信任等级较低或者指示用户#1当前的接入行为与历史接入行为有较大偏差(匹配度低),策略决策网元#1根据信息#9确定接入控制策略为对用户#1进行额外的接入控制(或称为触发多因子认证),或者,策略决策网元#1确定接入控制策略为拒绝用户#1接入数据网络#1(或中断用户#1建立的PDU会话#1,通过通知为PDU会话#1服务的SMF#1来中断该会话)。
示例性地,信息#9指示用户#1的信任等级较高或者指示用户#1当前的接入行为与历史接入行为没有偏差(匹配度高),策略决策网元#1根据信息#9确定接入控制策略为允许用户#1接入数据网络#1(或不中断PDU会话#1)。
在一种可能的实施方式中,数据分析网元#1在发送信息#7后持续地收集UE#1的当前用户信息,分析用户#1的信任等级(持续执行S4130-S4160),当确定用户#1的信任等级发生变化时,向策略决策网元#1发送新的信息#9,直到PDU会话#1被释放或数据分析网元#1请求停止上报。
S4180,AF#1发送信息#10,数据分析网元#1接收信息#10。
具体地,当用户#1从数据网络#1退出时,AF#1发送信息#10,信息#10用于指示停止对用户#1的分析。
S4190,数据分析网元#1停止对用户#1的分析,将用户#1最新的访问数据网络#1产生的数据存储到用户数据存储网元#1中。
通过方法400,使能在用户接入数据网络时,网络侧能够根据用户当前的相关数据以及历史接入该数据网络的相关数据确定该用户的信任等级以及针对该用户的接入控制策略,还能实时监控该用户的信任等级,动态控制该用户的接入。该方法不仅可以适应现代复杂的企业网络,应对目前企业网络不易识别的安全边界的形势,还能由于企业网络不需要增加单独的实体来支持防护从而节省建网成本。
在方法400的基础上,本申请还考虑了策略决策网元根据数据分析网元的实时数据分析模型和历史用户数据(用户的数据信息)来确定接入控制策略的方案,如图6中的方法500所示,图6是本申请实施例的又一例示意性流程图。
S510,UE#1注册到网络,并发起PDU会话建立请求,并与网络侧建立PDU会话#1。
其中,UE#1为用户#1接入数据网络#1所使用的设备。
S520,UE#1通过建立的PDU会话#1接入数据网络#1。
S530,AF#1发送信息#1,NEF#1接收信息#1。
具体内容参见方法S330,在此不再赘述。
S540,NEF#1发送信息#2,AF#1接收信息#2。
具体内容参见方法S340,在此不再赘述。
S550,NEF#1确定策略决策网元#1。
具体地,NEF#1确定策略决策网元#1,策略决策网元#1用于确定用户#1对应的接入控制策略。
在一种可能的实施方式中,NEF#1根据用户#1的会话地址确定策略决策网元#1。
S560,NEF#1发送信息#1a,策略决策网元#1接收信息#1a。
其中,信息#1a的内容参见信息#1,在此不再赘述。
S570,策略决策网元#1发送信息#2a,NEF#1接收信息#2a。
其中,信息#2a的内容参见信息#2,在此不再赘述。
S580,策略决策网元#1获取BSF#1的地址。
具体内容参见方法S370,在此不再赘述。
S590,策略决策网元#1通过BSF#1获取用户#1的终端设备的标识信息。
具体内容参见方法S380,在此不再赘述。
S5100,策略决策网元#1发送信息#5,用户数据存储网元#1(数据库网元的一个示例)接收信息#5。
具体内容参见方法S390,在此不再赘述。
S5110,用户数据存储网元#1发送信息#6,策略决策网元#1接收信息#6。
具体内容参见方法S3100,在此不再赘述。
S5120,策略决策网元#1发送信息#1f,数据分析网元#1接收信息#1f。
其中,信息#1f包括用户#1的终端设备的标识信息,信息#1f用于请求对用户#1当前使用的UE#1进行分析。以使数据分析网元#1能够根据用户设备的标识向服务UE#1的NF请求设备的信息。
可选地,信息#1f还可以包含用户#1的用户标识。以使数据分析网元#1能够根据用户标识获取用户当前的数据。
示例性地,信息#1f包含于用户分析请求消息中。
在一种可能的实施方式中,策略决策网元#1向数据分析网元#1发送信息#1f,以不断更新用户#1的当前用户信息。
S5130,数据分析网元#1发送信息#7,NF#1接收信息#7。
具体内容参见方法S3110,在此不再赘述。
S5140,NF#1发送信息#8,数据分析网元#1接收信息#8。
S5150,数据分析网元#1对用户#1接入数据网络#1的行为进行分析。
具体地,数据分析网元#1根据信息#8对用户#1当前接入数据网络#1的行为进行分析,并生成当前用户行为分析数据。
示例性地,当前用户行为分析数据是数据分析网元#1生成的模型。
S5160,数据分析网元#1发送信息#15,策略决策网元#1接收信息#15。
其中,信息#15包括当前用户行为分析数据。
示例性地,信息#15包含于用户分析响应消息中。
S5170,策略决策网元#1确定用户#1对应的接入控制策略并触发接入控制流程。
具体地,策略决策网元#1根据用户#1的用户数据信息确定用户#1对应的接入控制策略并触发接入控制流程。
此时,在数据分析网元没有提供当前用户行为分析数据时,策略决策网元#1可根据UE#1刚接入数据网络#1时的设备信息,例如接入的时间、接入的地点等,结合用户#1的用户数据信息确定用户#1对应的接入控制策略并触发接入控制流程,具体内容参见S3130和S3150,在此不再赘述。
在一种可能的实施方式中,策略决策网元#1根据用户#1的用户数据信息和当前用户行为分析数据确定用户#1对应的接入控制策略并触发接入控制流程。具体内容参见S3130和S3150,在此不再赘述。
示例性地,当数据分析网元向策略决策网元#1发送更新后的当前用户行为分析数据时,策略决策网元#1根据用户#1的用户数据信息和更新后的当前用户行为分析数据确定最新的用户#1对应的接入控制策略并触发接入控制流程。具体内容参见S3130和S3150,在此不再赘述。
S5180,AF#1发送信息#10,数据分析网元#1接收信息#10。
具体内容参见S4180,在此不再赘述。
S5190,数据分析网元#1停止对用户#1的分析,将用户#1最新的访问数据网络#1产生的数据存储到用户数据存储网元#1中。
具体内容参见S4190,在此不再赘述。
通过方法500,使能在用户接入数据网络时,网络侧能够根据用户当前的相关数据以及历史接入该数据网络的相关数据确定该用户的信任等级以及针对该用户的接入控制策略,还能实时监控该用户的信任等级,动态控制该用户的接入。该方法不仅可以适应现代复杂的企业网络,应对目前企业网络不易识别的安全边界的形势,还能由于企业网络不需要增加单独的实体来支持防护从而节省建网成本。
在方法500的基础上,本申请还考虑了当策略决策网元#1是为用户#1建立PDU会话#1服务的PCF的方案,如图7中的方法600所示,图7是本申请实施例的又一例示意性流程图。
S610,UE#1注册到网络,并发起PDU会话建立请求,并与网络侧建立PDU会话#1。
S620,用户#1通过建立的PDU会话#1接入数据网络#1。
S630,AF#1发送信息#1,NEF#1接收信息#1。
具体内容参见方法S330,在此不再赘述。
S640,NEF#1发送信息#2,AF#1接收信息#2。
具体内容参见方法S340,在此不再赘述。
S650,NEF#1确定PCF#1。
具体地,NEF#1确定PCF#1,PCF#1用于对用户#1接入数据网络#1的行为进行分析并确定用户#1对应的接入控制策略,PCF#1是为PDU会话#1服务的PCF。
在一种可能的实施方式中,NEF#1根据用户#1的会话地址确定PCF#1。
应理解,由于PCF#1是为PDU会话#1服务的PCF,因此PCF#1中存储有用户#1的终端设备的标识信息。
S660,NEF#1发送信息#1a,PCF#1接收信息#1a。
其中,信息#1a的内容参见信息#1,在此不再赘述。
S670,PCF#1发送信息#2a,NEF#1接收信息#2a。
其中,信息#2a的内容参见信息#2,在此不再赘述。
S680,PCF#1发送信息#5,用户数据存储网元#1接收信息#5。
具体内容参见方法S390,在此不再赘述。
S690,用户数据存储网元#1发送信息#6,PCF#1接收信息#6。
具体内容参见方法S3100,在此不再赘述。
S6100,PCF#1发送信息#1f,数据分析网元#1接收信息#1f。
具体内容参见S5120,在此不再赘述。
S6110,数据分析网元#1发送信息#7,NF#1接收信息#7。
具体内容参见方法S3110,在此不再赘述。
S6120,NF#1发送信息#8,数据分析网元#1接收信息#8。
S6130,数据分析网元#1对用户#1接入数据网络#1的行为进行分析。
具体内容参见S5150,在此不再赘述。
S6140,数据分析网元#1发送信息#15,PCF#1接收信息#15。
具体内容参见S5160,在此不再赘述。
S6150,PCF#1确定用户#1对应的接入控制策略并触发接入控制流程。
具体内容参见S5170,在此不再赘述。
S6160,AF#1发送信息#10,数据分析网元#1接收信息#10。
具体内容参见S4180,在此不再赘述。
S6170,数据分析网元#1停止对用户#1的分析,将用户#1最新的访问数据网络#1产生的数据存储到用户数据存储网元#1中。
具体内容参见S4190,在此不再赘述。
通过方法600,使能在用户接入数据网络时,网络侧能够根据用户当前的相关数据以及历史接入该数据网络的相关数据确定该用户的信任等级以及针对该用户的接入控制策略,还能实时监控该用户的信任等级,动态控制该用户的接入。该方法不仅可以适应现代复杂的企业网络,应对目前企业网络不易识别的安全边界的形势,还能由于企业网络不需要增加单独的实体来支持防护从而节省建网成本。
本申请还考虑了当需要对某一区域网络下的用户进行接入控制时的场景,例如,一企业订购了对员工接入企业网络进行安全防护的服务,那么需要有指向性的对该企业网络进行接入控制,对此,本申请提出了方法700,如图8所示,图8是本申请实施例的又一例示意性流程图。需要说明的是,对某一区域网络下的用户进行接入控制的场景是方法700所适用的一个示例,不构成对方法700的限定。
S710,UDM#1获取指示信息#1。
其中,指示信息#1用于指示执行接入控制的数据网络#1,即对接入该数据网络#1的用户执行接入控制。
示例性地,指示信息#1包括数据网络#1的标识,例如DNN#1和/或S-NSSAI#1,用于指示对接入网络#1的用户执行接入控制。
在一种可能的实施方式中,指示信息#1包含于用户所对应的用户签约信息中。
在一种可能的实施方式中,UDM#1本地配置有指示信息#1。
下面以用户#1使用UE#1接入数据网络#1为例进行说明。
S720,UE#1注册到网络,并发起PDU会话#1建立请求。
具体地,UE#1发送PDU会话建立会话管理(session management,SM)上下文(Nsmf_PDUSessionCreateSMcontext)请求消息,用于为UE#1请求创建PDU会话#1,SMF#1接收该消息。
示例性地,该消息包括用户#1的终端设备的标识信息(例如SUPI)、用户#1对应的PDU会话标识等信息。
S730,SMF#1确定对用户#1进行接入控制。
具体地,SMF#1根据PDU会话#1对应的用户签约信息#1确定是否对用户#1进行接入控制,其中,SMF#1可以根据用户签约信息#1中的指示信息#1确定对用户#1接入数据网络#1进行接入控制。
示例性地,SMF#1可以根据本地存储的数据确定用户签约信息#1。
示例性地,若本地没有用户签约信息#1,则通过以下步骤确定用户签约信息#1:
步骤a:SMF#1发送信息#11,UDM#1接收信息#11。
信息#11用于请求用户签约信息#1,信息#11包括用户#1的终端设备的标识信息。
在一种可能的实施方式中,信息#11包含于服务数据管理(service datamanagement,SDM)获取(Nudm_SDM_Get)请求消息中。
步骤b:UDM#1发送指示信息#1,SMF#1接收指示信息#1。
指示信息#1用于指示是否对使用用户签约信息#1的PDU会话(PDU会话#1)的用户进行接入控制,即是否对用户#1进行接入控制。
在一种可能的实施方式中,指示信息#1包含于Nudm_SDM_Get响应消息中。
下面以SMF#1根据用户签约信息#1确定对用户#1进行接入控制为例进行说明。
可选地,S740,SMF#1确定对PDU会话#1执行PDU会话认证或授权,并触发相应流程。
S750,SMF#1与UE#1建立PDU会话#1。
可选地,在建立PDU会话#1之前,SMF#1还与PCF#1执行SM策略关联建立流程。
S760,SMF#1发送信息#1c,数据分析网元#1接收信息#1c。
其中,信息#1c的内容参见信息#1,在此不再赘述。
在一种可能的实施方式中,信息#1c包括目的地址#1,该目的地址#1为除了SMF#1以外的其它功能网元,例如AMF等,用于指示数据分析网元#1发送信息#1c的响应信息的目的地址。
可选地,S770,数据分析网元#1发送信息#2c,SMF#1接收信息#2c。
其中,信息#2c的内容参见信息#2,在此不再赘述。
S780,数据分析网元#1确定AF#1。
具体地,数据分析网元#1根据数据网络#1(例如,DNN#1和/或S-NSSAI#1)确定AF#1。
在一种可能的实施方式中,数据分析网元#1向用户数据存储网元#1发送AF获取请求信息,用于请求获取AF以及对应的网络,用户数据存储网元#1向数据分析网元#1发送AF获取响应信息,包括AF#1以及对应的数据网络#1的标识,数据分析网元#1根据该响应信息以及数据网络#1的标识确定AF#1。
S790,数据分析网元#1发送信息#13,AF#1接收信息#13。
具体地,信息#13用于请求用户#1的用户标识。
示例性地,信息#13包括用户#1的会话地址。
可选地,信息#13还包括数据分析网元#1的地址(或称为通知端点信息),用于AF#1在后续向数据分析网元#1提供用户#1的用户标识或者通知用户#1已经下线。
在一种可能的实施方式中,数据分析网元#1通过其他功能网元(例如NEF#1,图8中未示出)向AF#1发送信息#13。
S7100,AF#1发送信息#14,数据分析网元#1接收信息#14。
具体地,信息#14用于指示成功接收了信息#13。
若用户#1已经接入数据数据网络#1,信息#14包括用户#1的用户标识。
若用户#1未接入数据数据网络#1,信息#14不包括用户#1的用户标识,此时AF#1本地存储数据分析网元#1的地址以及用户#1的会话地址。当用户#1接入数据数据网络#1后,将用户#1的用户标识发送给数据分析网元#1。
在一种可能的实施方式中,AF#1通过其他功能网元(例如NEF#1,图8中未示出)向数据分析网元#1发送信息#14。
S7110,数据分析网元#1发送信息#5,用户数据存储网元#1接收信息#5。
具体内容参见方法S390,在此不再赘述。
在一种可能的实施方式中,数据分析网元#1获取用户#1的用户标识后执行S7110。
S7120,用户数据存储网元#1发送信息#6,数据分析网元#1接收信息#6。
具体内容参见方法S3100,在此不再赘述。
S7130,数据分析网元#1发送信息#7,网元功能#1(NF#1)接收信息#7。
具体内容参见方法S3110,在此不再赘述。
S7140,网元功能#1发送信息#8,数据分析网元#1接收信息#8。
具体内容参见方法S3120,在此不再赘述。
S7150,数据分析网元#1对用户#1接入数据网络#1的行为进行分析。
具体内容参见方法S3130,在此不再赘述。
S7160,数据分析网元#1发送信息#9,SMF#1接收信息#9。
在一种可能的实施方式中,当信息#1c包括目的地址#1时,数据分析网元#1还向目的地址#1对应的功能网元发送信息#9。
具体地,数据分析网元#1发送信息#9有以下两种方式:
方式一
数据分析网元#1通过用户态势感知通知消息发送信息#9。
方式二
S770的方法在此处被执行,信息#9包含于对信息#1c的响应消息中被数据分析网元#1发送给SMF#1。
此时,当信息#1c包括目的地址#1时,数据分析网元#1还向目的地址#1对应的功能网元通过用户态势感知通知消息发送信息#9。
在一种可能的实施方式中,数据分析网元#1在发送信息#7后持续地收集UE#1的当前用户信息,分析用户#1的信任等级(持续执行S5130-S5160),当确定用户#1的信任等级发生变化时,生成并向AF#1发送新的信息#9,直到PDU会话#1被释放或数据分析网元#1请求停止上报。
S7170,SMF#1确定用户#1对应的接入控制策略并触发接入控制流程。
具体地,SMF#1根据信息#9确定用户#1对应的接入控制策略,并根据接入控制策略触发接入控制流程。其它内容参见S3150,在此不再赘述。
需要说明的是,SMF#1根据接入控制策略触发接入控制流程可理解为,SMF#1根据接入控制策略确定PDU会话#1是否建立或者是否继续维持建立,从而触发用户#1的接入控制流程。例如,SMF#1根据接入控制策略确定PDU会话#1建立或者维持建立,则触发用户#1继续接入数据网络#1或者经过额外的接入控制后继续接入数据网络#1。又例如,SMF#1根据接入控制策略确定不建立PDU会话#1或者断开已经建立的PDU会话#1,则用户#1无法继续接入数据网络#1。
应理解,当信息#1c包括目的地址#1时,目的地址#1对应的功能网元也可执行上述方法。
S7180,SMF#1或者AF#1发送信息#10,数据分析网元#1接收信息#10。
具体内容参见方法S3160,在此不再赘述。
S7190,数据分析网元#1停止对用户#1的分析,将用户#1最新的访问数据网络#1产生的数据存储到用户数据存储网元#1中。
通过方法700,使能在用户接入数据网络时,网络侧能够根据用户当前的相关数据以及历史接入该数据网络的相关数据确定该用户的信任等级以及针对该用户的接入控制策略,还能实时监控该用户的信任等级,动态控制该用户的接入。该方法不仅可以适应现代复杂的企业网络,应对目前企业网络不易识别的安全边界的形势,还能由于企业网络不需要增加单独的实体来支持防护从而节省建网成本。
可扩展的,上述流程中的SMF可以替换为PCF,该PCF为服务该PDU会话的PCF。其中UDM可以替换为UDR。UE注册到网络建立PDU会话的过程中,PCF从UDR获取指示信息#1,指示信息#1用于指示对接入数据网络#1的用户执行接入控制。PCF向数据分析网元发送信息#1c,用于请求对用户#1进行分析。相应的,数据分析网元执行的内容参见S780至S7150。并向PCF发送信息#9,PCF确定用户#1对应的接入控制策略。并触发接入控制流程。
本申请还设计了一种方案,如图9中的方法800所示,图9是本申请实施例的又一例示意性流程图。
S810,UDM#1获取指示信息#1。
具体内容参见方法S710,在此不再赘述。
S820,UE#1注册到网络,并发起PDU会话#1建立请求。
具体内容参见方法S720,在此不再赘述。
S830,SMF#1确定对用户#1进行接入控制。
具体内容参见方法S730,在此不再赘述。
可选地S840,SMF#1确定对PDU会话#1执行PDU会话认证或授权,并触发相应流程。
S850,SMF#1与UE#1建立PDU会话#1。
具体内容参见方法S750,在此不再赘述。
S860,SMF#1确定AF#1。
具体地,SMF#1根据用户签约信息#1确定用户#1对应的数据网络#1,根据数据网络#1的标识(DNN#1和/或S-NSSAI)确定AF#1。
S870,SMF#1发送信息#13a,AF#1接收信息#13a。
具体地,信息#13a用于请求用户#1的用户标识。
示例性地,信息#13a包括用户#1的会话地址。
可选地,信息#13a还包括SMF#1的地址(或称为通知端点信息),用于AF#1在后续向SMF#1提供用户#1的用户标识或者通知用户#1已经下线。
S880,AF#1发送信息#14a,SMF#1接收信息#14a。
具体地,信息#14a用于指示成功接收了信息#13a。
若用户#1已经接入数据数据网络#1,信息#14a包括用户#1的用户标识。
若用户#1未接入数据数据网络#1,信息#14a不包括用户#1的用户标识,此时AF#1本地存储SMF#1的地址以及用户#1的会话地址。当用户#1接入数据数据网络#1后,将用户#1的用户标识发送给SMF#1。
S890,SMF#1发送信息#1d,数据分析网元#1接收信息#1d。
其中,信息#1d用于指示请求对用户#1进行分析,以对用户#1进行接入控制。
示例性地,信息#1d包括用户#1的用户标识和UE#1的SUPI。
可选地,信息#1d还可以包括数据网络#1对应的DNN和/或切片信息,其中切片信息可以是S-NSSAI,网络侧可根据数据网络#1对应的DNN和/或切片信息选择为用户#1服务的网元。
在一种可能的实施方式中,信息#1d包括目的地址#1,该目的地址#1为除了SMF#1以外的其它功能网元,例如AMF等,用于指示数据分析网元#1发送信息#1d的响应信息的目的地址。
在一种可能的实施方式中,信息#1d包含于用户分析请求消息中。
在一种可能的实施方式中,SMF#1获取用户#1的用户标识后执行S890。
由此可见,SMF#1向数据分析网元#1请求对用户#1进行分析时,同时告知了数据分析网元#1UE#1的SUPI和用户#1的用户标识,使能数据分析网元#1无需再去请求获取UE#1的SUPI和用户#1的用户标识。
可选地,S8100,数据分析网元#1发送信息#2d,SMF#1接收信息#2d。
其中,信息#2d的内容参见信息#2,在此不再赘述。
S8110,数据分析网元#1发送信息#5,用户数据存储网元#1接收信息#5。
具体内容参见方法S390,在此不再赘述。
S8120,用户数据存储网元#1发送信息#6,数据分析网元#1接收信息#6。
具体内容参见方法S3100,在此不再赘述。
S8130,数据分析网元#1发送信息#7,网元功能#1(NF#1)接收信息#7。
具体内容参见方法S3110,在此不再赘述。
S8140,网元功能#1发送信息#8,数据分析网元#1接收信息#8。
具体内容参见方法S3120,在此不再赘述。
S8150,数据分析网元#1对用户#1接入数据网络#1的行为进行分析。
具体内容参见方法S3130,在此不再赘述。
S8160,数据分析网元#1发送信息#9,SMF#1接收信息#9。
在一种可能的实施方式中,当信息#1d包括目的地址#1时,数据分析网元#1还向目的地址#1对应的功能网元发送信息#9。
具体地,数据分析网元#1发送信息#9有以下两种方式:
方式一
数据分析网元#1通过用户态势感知通知消息发送信息#9。
方式二
S8100的方法在此处被执行,信息#9包含于对信息#1d的响应消息中被数据分析网元#1发送给SMF#1。
此时,当信息#1d包括目的地址#1时,数据分析网元#1还向目的地址#1对应的功能网元通过用户态势感知通知消息发送信息#9。
在一种可能的实施方式中,数据分析网元#1在发送信息#7后持续地收集UE#1的当前用户信息,分析用户#1的信任等级(持续执行S8130-S8160),当确定用户#1的信任等级发生变化时,生成并向AF#1发送新的信息#9,直到PDU会话#1被释放或数据分析网元#1请求停止上报。
S8170,SMF#1确定用户#1对应的接入控制策略并触发接入控制流程。
具体内容参见方法S7170,在此不再赘述。
S8180,SMF#1或者AF#1发送信息#10,数据分析网元#1接收信息#10。
具体内容参见方法S3160,在此不再赘述。
S8190,数据分析网元#1停止对用户#1的分析,将用户#1最新的访问数据网络#1产生的数据存储到用户数据存储网元#1中。
通过方法800,使能在用户接入数据网络时,网络侧能够根据用户当前的相关数据以及历史接入该数据网络的相关数据确定该用户的信任等级以及针对该用户的接入控制策略,还能实时监控该用户的信任等级,动态控制该用户的接入。该方法不仅可以适应现代复杂的企业网络,提升安全防护等级,应对目前企业网络不易识别的安全边界的形势,还能由于企业网络不需要增加单独的实体来支持防护从而节省建网成本。
可扩展的,上述流程中的SMF可以替换为PCF,该PCF为服务该PDU会话的PCF。其中UDM可以替换为UDR。UE注册到网络建立PDU会话的过程中,PCF从UDR获取指示信息#1,指示信息#1用于指示对接入数据网络#1的用户执行接入控制。PCF执行的内容与S870和S880类似,本申请不再赘述。相应的,数据分析网元执行步骤S8110至S8150。并向PCF发送信息#9,PCF确定用户#1对应的接入控制策略。并触发接入控制流程。PCF执行的内容与S8180类似,本申请不再赘述,PCF触发数据分析网元执行S8190。
本申请还设计了一种方案,在PDU会话建立过程中或建立后,PCF接收来自UDR的指示信息#1,指示信息#1用于指示对接入数据网络#1的用户执行接入控制。PCF执行的与S870和S880类似的内容(即把SMF替换为PCF即可),本申请不再赘述。随后,PCF执行与S680和S690类似的内容。进而,PCF执行与S6100类似的内容,相应地,数据分析网元执行与S6110,S6120,S6130和S6140类似的内容可。在此之后,PCF可以执行与S6150类似的内容。
图10和图11是本申请的实施例提供的可能的通信装置的结构示意图。这些通信装置可以实现上述方法实施例中终端设备或网络设备的功能,因此也能实现上述方法实施例所具备的有益效果。在本申请实施例中,该通信装置可以是方法100中的第一通信装置(对应数据分析网元),还可以是应用于第一通信装置的模块(如芯片)。该通信装置可以是方法200中的第二通信装置(对应策略决策网元),还可以是应用于第二通信装置的模块(如芯片)。
如图10所示,通信装置900包括收发模块901和处理模块902。通信装置900可用于实现上述图2所示的方法实施例中第一通信装置的功能。
当通信装置900用于实现图2所述方法实施例中第一通信装置的功能时:收发模块901,用于根据用户的标识获取用户的数据信息;所述收发模块901还用于根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息,所述接入控制信息用于控制所述用户访问数据网络。处理模块902,所述处理模块902用于根据所述用户的数据信息和所述用户对应的终端设备的标识信息确定所述接入控制信息。
当通信装置900用于实现图3所述方法实施例中第二通信装置的功能时:收发模块901,所述收发模块901用于获取接入控制信息,所述接入控制信息用于控制用户访问数据网络,其中,所述接入控制信息是根据所述用户的数据信息和/或所述用户对应的终端设备的标识信息确定的,所述用户的数据信息是根据所述用户的标识确定的;处理模块902,所述处理模块902用于根据所述接入控制信息确定所述用户的接入控制策略。
关于上述收发模块901和处理模块902更详细的描述,可参考上述方法实施例中的相关描述,在此不再说明。
如图11所示,通信装置1000包括处理器1010和接口电路1020。处理器1010和接口电路1020之间相互耦合。可以理解的是,接口电路1020可以为收发器或输入输出接口。可选的,通信装置1000还可以包括存储器1030,用于存储处理器1010执行的指令或存储处理器1010运行指令所需要的输入数据或存储处理器1010运行指令后产生的数据。
示例性地,存储器1030和处理器1010可以集成在一起,也可以为独立的器件。
当通信装置1000用于实现上述方法实施例中的方法时,处理器1010用于执行上述处理模块902的功能,接口电路1020用于执行上述收发模块901的功能。
当上述通信装置为应用于第一通信装置的芯片时,该第一通信装置芯片实现上述方法实施例中第一通信装置的功能。该第一通信装置芯片从第一通信装置中的其它模块(如射频模块或天线)接收信息;或者,该第一通信装置芯片向第一通信装置中的其它模块(如射频模块或天线)发送信息。
当上述通信装置为应用于第二通信装置的芯片时,该第二通信装置芯片实现上述方法实施例中第二通信装置的功能。该第二通信装置芯片从第二通信装置中的其它模块(如射频模块或天线)接收信息;或者,该第二通信装置芯片向第二通信装置中的其它模块(如射频模块或天线)发送信息。
可以理解的是,本申请的实施例中的处理器可以是中央处理单元(centralprocessing unit,CPU),还可以是其它通用处理器、数字信号处理器(digital signalprocessor,DSP)、专用集成电路(application specific integrated circuit,ASIC)、现场可编程门阵列(field programmable gate array,FPGA)或者其它可编程逻辑器件、晶体管逻辑器件,硬件部件或者其任意组合。通用处理器可以是微处理器,也可以是任何常规的处理器。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于系统或系统实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的系统及系统实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
还需要说明的是,在本文中,诸如第一、第二、“#1”、“#2”之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本申请的实施例中的方法步骤可以通过硬件的方式来实现,也可以由处理器执行软件指令的方式来实现。软件指令可以由相应的软件模块组成,软件模块可以被存放于随机存取存储器(random access memory,RAM)、闪存、只读存储器(read-only memory,ROM)、可编程只读存储器(programmable ROM,PROM)、可擦除可编程只读存储器(erasable PROM,EPROM)、电可擦除可编程只读存储器(electrically EPROM,EEPROM)、寄存器、硬盘、移动硬盘、CD-ROM或者本领域熟知的任何其它形式的存储介质中。一种示例性地存储介质耦合至处理器,从而使处理器能够从该存储介质读取信息,且可向该存储介质写入信息。当然,存储介质也可以是处理器的组成部分。处理器和存储介质可以位于ASIC中。另外,该ASIC可以位于接入网设备或终端设备中。当然,处理器和存储介质也可以作为分立组件存在于接入网设备或终端设备中。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。所述计算机程序产品包括一个或多个计算机程序或指令。在计算机上加载和执行所述计算机程序或指令时,全部或部分地执行本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其它可编程装置。所述计算机程序或指令可以存储在计算机可读存储介质中,或者通过所述计算机可读存储介质进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是集成一个或多个可用介质的服务器等数据存储设备。所述可用介质可以是磁性介质,例如,软盘、硬盘、磁带;也可以是光介质,例如,DVD;还可以是半导体介质,例如,固态硬盘(solid state disk,SSD)。
本申请中,“至少一个”是指一个或者多个,“多个”是指两个或两个以上。“和/或”,描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B的情况,其中A,B可以是单数或者复数。在本申请的文字描述中,字符“/”,一般表示前后关联对象是一种“或”的关系;在本申请的公式中,字符“/”,表示前后关联对象是一种“相除”的关系。
可以理解的是,在本申请的实施例中涉及的各种数字编号仅为描述方便进行的区分,并不用来限制本申请的实施例的范围。上述各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定。需要说明的是,本申请实施例中的步骤不一定全部都必须执行,有些是可省略的,并且也能达到类似的效果。

Claims (34)

1.一种接入控制方法,其特征在于,所述方法包括:
数据分析网元根据用户的标识获取用户的数据信息;
所述数据分析网元根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息,所述接入控制信息用于控制所述用户访问数据网络。
2.根据权利要求1所述的方法,其特征在于,所述数据分析网元根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息包括:
所述数据分析网元根据所述用户对应的终端设备的标识信息获取所述用户的设备信息;
所述数据分析网元根据所述用户的数据信息和所述用户的设备信息,发送所述接入控制信息。
3.根据权利要求2所述的方法,其特征在于,所述数据分析网元根据所述用户的数据信息和所述用户的设备信息,发送所述接入控制信息包括:
所述数据分析网元根据所述用户的数据信息和所述用户的设备信息确定所述用户的可信度;
所述数据分析网元发送表征所述用户的可信度的信息,其中,表征所述用户的可信度的信息为所述接入控制信息。
4.根据权利要求2或3所述的方法,其特征在于,所述用户的设备信息包括以下信息的至少一种:
所述用户当前访问所述数据网络时产生的数据、所述数据分析网元为所述用户当前访问所述数据网络时生成的分析数据、所述用户当前访问所述数据网络所使用的设备信息、所述用户当前访问所述数据网络的时间信息、所述用户当前访问所述数据网络的位置信息。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述数据分析网元根据用户的标识获取用户的数据信息包括:
所述数据分析网元向用户数据库发送用户的标识以请求所述用户的数据信息;
所述数据分析网元接收来自所述用户数据库的所述用户的数据信息。
6.根据权利要求1-5中任一项所述的方法,其特征在于,在所述数据分析网元根据用户的标识获取用户的数据信息之前,所述方法还包括:
所述数据分析网元接收所述用户的标识以用于对所述用户访问所述数据网络进行分析。
7.根据权利要求6所述的方法,其特征在于,所述数据分析网元接收所述用户的标识包括:
所述数据分析网元接收来自第一功能网元的所述用户的标识,所述第一功能网元是网络开放功能网元、策略控制功能网元、应用功能网元或者会话管理功能网元。
8.根据权利要求6或7所述的方法,其特征在于,所述方法还包括:
所述数据分析网元接收以下信息中的至少一种:
所述用户的会话地址、所述数据网络的数据网络名称、所述数据网络的切片信息。
9.根据权利要求8所述的方法,其特征在于,在所述数据分析网元根据用户的标识获取用户的数据信息之前,所述方法还包括:
所述数据分析网元向应用功能网元发送所述用户的会话地址以请求所述用户的标识;
所述数据分析网元接收来自所述应用功能网元的所述用户的标识。
10.根据权利要求1-9中任一项所述的方法,其特征在于,在所述数据分析网元根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息之前,所述方法包括:
所述数据分析网元根据所述用户的会话地址向绑定支持功能网元请求策略控制功能网元的地址;
所述数据分析网元接收来自所述绑定支持功能网元的策略控制功能网元的地址;
所述数据分析网元根据所述策略控制功能网元的地址向所述策略控制功能网元请求所述终端设备的标识;
所述数据分析网元接收来自所述策略控制功能网元的所述终端设备的标识。
11.根据权利要求1-10中任一项所述的方法,其特征在于,在所述数据分析网元根据所述用户的数据信息和所述用户对应的终端设备的标识信息,发送接入控制信息之前,所述方法包括:
所述数据分析网元向绑定支持功能网元发送所述用户的会话地址以请求所述终端设备的标识;
所述数据分析网元接收来自所述绑定支持功能网元的所述终端设备的标识。
12.根据权利要求2-11中任一项所述的方法,其特征在于,所述接入控制信息包括所述用户的信任等级或者匹配度,所述匹配度为所述用户的数据信息与所述用户的设备信息之间的匹配度。
13.根据权利要求1-12中任一项所述的方法,其特征在于,所述接入控制信息还用于指示对所述用户进行认证。
14.根据权利要求1-13中任一项所述的方法,其特征在于,所述数据分析网元发送接入控制信息包括:
所述数据分析网元向第二功能网元发送所述接入控制信息,所述第二功能网元是策略控制功能网元、应用功能网元、会话管理功能网元或所述数据网络的策略决策网元。
15.根据权利要求1-14中任一项所述的方法,其特征在于,所述用户的数据信息包括以下信息的至少一种:
所述数据网络为所述用户预配置的信息、所述用户访问所述数据网络已经产生的访问数据、所述数据分析网元为所述用户访问所述数据网络已经生成的分析数据、所述用户访问所述数据网络所使用过的设备信息、所述用户访问过所述数据网络的时间信息、所述用户访问过所述数据网络的位置信息。
16.一种接入控制方法,其特征在于,所述方法包括:
策略决策网元获取接入控制信息,所述接入控制信息用于控制用户访问数据网络,其中,所述接入控制信息是根据所述用户的数据信息和/或所述用户对应的终端设备的标识信息确定的,所述用户的数据信息是根据所述用户的标识确定的;
所述策略决策网元根据所述接入控制信息确定所述用户的接入控制策略。
17.根据权利要求16所述的方法,其特征在于,所述接入控制策略包括:
允许所述用户访问所述数据网络,或者,
不允许所述用户访问所述数据网络,或者,
对所述用户进行认证。
18.根据权利要求16或17所述的方法,其特征在于,所述接入控制信息是根据所述用户的数据信息和所述用户对应的终端设备的标识信息确定的包括:
所述接入控制信息是根据所述用户的数据信息和所述用户的设备信息确定的,所述用户的设备信息是根据所述用户对应的终端设备的标识信息确定的。
19.根据权利要求16-18中任一项所述的方法,其特征在于,所述接入控制信息包含所述用户的数据信息,所述方法包括:
所述策略决策网元接收来自应用功能网元或会话管理功能网元的所述用户的标识;
所述策略决策网元根据所述用户的标识获取所述用户的数据信息。
20.根据权利要求16-19中任一项所述的方法,其特征在于,所述接入控制信息包含所述用户的设备信息,所述方法包括:
所述策略决策网元向数据分析网元发送所述用户对应的终端设备的标识信息;
所述策略决策网元接收来自所述数据分析网元的所述用户的设备信息。
21.根据权利要求20所述的方法,其特征在于,所述方法还包括:
所述策略决策网元获取所述用户的会话地址;
所述策略决策网元根据所述用户的会话地址获取所述用户对应的终端设备的标识信息。
22.根据权利要求20或21所述的方法,其特征在于,所述用户的设备信息包括以下信息的至少一种:
所述用户当前访问所述数据网络时产生的数据、所述数据分析网元为所述用户当前访问所述数据网络时生成的分析数据、所述用户当前访问所述数据网络所使用的设备信息、所述用户当前访问所述数据网络的时间信息、所述用户当前访问所述数据网络的位置信息。
23.根据权利要求16或17所述的方法,其特征在于,所述获取接入控制信息包括:
向数据分析网元发送所述用户的标识和/或所述用户的会话地址以请求所述数据分析网元对所述用户访问所述数据网络进行分析;
接收来自所述数据分析网元的所述接入控制信息。
24.根据权利要求16或17所述的方法,其特征在于,所述策略决策网元获取接入控制信息包括:
所述策略决策网元根据指示信息向数据分析网元发送用户分析请求信息,其中,所述指示信息用于指示控制所述用户访问所述数据网络,所述用户分析请求信息用于请求对所述用户访问所述数据网络进行分析;
所述策略决策网元接收来自所述数据分析网元的所述接入控制信息。
25.根据权利要求24所述的方法,其特征在于,所述策略决策网元为会话管理功能网元或者策略控制功能网元。
26.根据权利要求24或25所述的方法,其特征在于,所述用户分析请求信息包括所述用户的标识、所述用户的会话地址、所述用户的设备标识、所述数据网络的数据网络名称或切片信息中的至少一种。
27.根据权利要求24-26中任一项所述的方法,其特征在于,所述方法还包括:
所述策略决策网元接收来自数据库网元的所述指示信息。
28.根据权利要求24-27中任一项所述的方法,其特征在于,所述指示信息包含于所述用户的签约信息中。
29.根据权利要求16-28中任一项所述的方法,其特征在于,所述接入控制信息包括所述用户的信任等级或者匹配度,所述匹配度为所述用户的数据信息与所述用户的设备信息之间的匹配度。
30.根据权利要求16-29中任一项所述的方法,其特征在于,所述用户的数据信息包括以下信息的至少一种:
所述数据网络为所述用户预配置的信息、所述用户访问所述数据网络已经产生的访问数据、所述数据分析网元为所述用户访问所述数据网络已经生成的分析数据、所述用户访问所述数据网络所使用过的设备信息、所述用户访问过所述数据网络的时间信息、所述用户访问过所述数据网络的位置信息。
31.一种用于接入控制的通信装置,其特征在于,包括处理器和通信接口,所述通信接口用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号传输给所述通信装置之外的其它通信装置,所述处理器用于实现如权利要求1至15中任一项所述的方法。
32.一种用于接入控制的通信装置,其特征在于,包括处理器和通信接口,所述通信接口用于接收来自所述通信装置之外的其它通信装置的信号并传输至所述处理器或将来自所述处理器的信号传输给所述通信装置之外的其它通信装置,所述处理器用于实现如权利要求16至30中任一项所述的方法。
33.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有计算机程序,当所述计算机程序被运行时,实现如权利要求1至15或16至30中任一项所述的方法。
34.一种计算机程序产品,所述计算机程序产品包括:计算机程序代码,当所述计算机程序代码被通信装置运行时,使得所述通信装置执行如权利要求1至15或16至30中任一项所述的方法。
CN202111033732.7A 2021-09-03 2021-09-03 一种接入控制方法和装置 Pending CN115767542A (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN202111033732.7A CN115767542A (zh) 2021-09-03 2021-09-03 一种接入控制方法和装置
PCT/CN2022/116661 WO2023030473A1 (zh) 2021-09-03 2022-09-02 一种接入控制方法和装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111033732.7A CN115767542A (zh) 2021-09-03 2021-09-03 一种接入控制方法和装置

Publications (1)

Publication Number Publication Date
CN115767542A true CN115767542A (zh) 2023-03-07

Family

ID=85332635

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111033732.7A Pending CN115767542A (zh) 2021-09-03 2021-09-03 一种接入控制方法和装置

Country Status (2)

Country Link
CN (1) CN115767542A (zh)
WO (1) WO2023030473A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116321164A (zh) * 2023-05-17 2023-06-23 广东电网有限责任公司珠海供电局 一种无线局域网传输监控方法、系统、设备和介质

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110620678A (zh) * 2018-06-20 2019-12-27 华为技术有限公司 一种资源管理方法及装置
CN110650034B (zh) * 2018-06-26 2021-08-31 华为技术有限公司 一种信息处理方法及装置
US10904739B2 (en) * 2019-04-02 2021-01-26 Electronics And Telecommunications Research Institute Network data collection method from network function device for network data analytic function
CN111770587B (zh) * 2019-04-02 2023-11-28 华为技术有限公司 一种数据处理方法、装置及系统
CN113068173B (zh) * 2020-01-02 2023-01-17 中国移动通信有限公司研究院 数据漫游的方法及设备

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116321164A (zh) * 2023-05-17 2023-06-23 广东电网有限责任公司珠海供电局 一种无线局域网传输监控方法、系统、设备和介质
CN116321164B (zh) * 2023-05-17 2023-08-18 广东电网有限责任公司珠海供电局 一种无线局域网传输监控方法、系统、设备和介质

Also Published As

Publication number Publication date
WO2023030473A1 (zh) 2023-03-09

Similar Documents

Publication Publication Date Title
US11064422B2 (en) System and method for enabling subscriber-based policy decisions
US11310151B2 (en) System and method for managing lookups for network repository functions
US11316855B2 (en) Systems and methods for private network authentication and management services
US9247489B2 (en) System and method for ANDSF enhancement with ANQP server capability
US12058139B2 (en) Method for implementing user plane security policy, apparatus, and system
WO2020224622A1 (zh) 一种信息配置方法及装置
US20180192264A1 (en) Open Access Points for Emergency Calls
CN109756951B (zh) 用于网络选择的方法和用户设备
US20230422280A1 (en) Efficient Discovery of Edge Computing Servers
US12022576B2 (en) Cloud-based interworking gateway service
US12034621B2 (en) Communication method, and communication apparatus and system
CN116210253A (zh) 一种通信方法、设备及系统
US11910475B2 (en) Systems and methods for enabling efficient establishment of policy control associations
CN111328019B (zh) 识别终端的方法、装置
WO2023030473A1 (zh) 一种接入控制方法和装置
CN115412911A (zh) 一种鉴权方法、通信装置和系统
US20180115935A1 (en) Cellular network assisted wlan discovery and selection
CN115996378A (zh) 鉴权方法及装置
US20230354028A1 (en) Method, system, and apparatus for generating key for inter-device communication
CN117478431B (zh) 一种基于可信网络的工业物联网控制方法
AU2022388446A1 (en) Method for obtaining security classification result and communication apparatus

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination