CN116074924B - 一种移动终端上网区域管控的方法和设备 - Google Patents

Abstract

本发明公开了一种移动终端上网区域管控的方法和设备，终端将入网请求消息发送至第一网元；第一网元接收入网请求消息，将与入网请求消息对应的认证消息发送至区域管控系统；区域管控系统接收所述认证消息，并基于所述认证消息判断所述终端是否开启了区域管控策略，如果终端开启了区域管控策略，则解析出第一寻呼区域信息，并对终端进行接入认证；当终端成功完成接入认证并上线之后，区域管控系统接收计费消息，并判断终端是否开启了区域管控策略，如果终端开启了区域管控策略，则解析计费消息中携带的第二寻呼区域信息，根据第二寻呼区域信息，对终端进行上网区域管控。本发明能实现高效且自动完成移动终端的区域管控配置管理的目的。

Description

一种移动终端上网区域管控的方法和设备

技术领域

本申请属于通信技术领域，特别涉及一种移动终端上网区域管控的方法和设备。

背景技术

网络安全（例如，5G网络安全）是通信网络高质量发展的重要基础和坚实保障。行业用户在引入5G专网构建企业数字化的网络底座时，除了考虑网络性能指标外，对5G专网的安全性也提出了更高要求。

在一些应用区域相对固定的场景中，比如工业园区、港口码头、仓储中心，行业用户基于数据安全考虑，对移动网终端提出区域管控的安全需求，即要求终端只能在指定的区域范围内接入企业内网，移出此区域自动断网。

但是，现有技术中并没有很好地能够支持多种级别的移动网区域管控的方法，并且也较难实现对多种类型的终端（例如，4G/5G终端）的区域管控配置管理。

因此，本发明提出一种移动终端上网区域管控的方法和设备。

发明内容

为了解决所述现有技术的不足，本申请提供了一种移动终端上网区域管控的方法，通过限制移动网终端只能在指定区域范围内接入和使用移动网络，移出指定区域范围时便自动断网，能够解决移动网络（例如，4G、5G网络）中移动终端限定区域上网的问题，实现高效且自动完成移动终端的区域管控配置管理的技术效果，且满足行业用户限制移动网终端使用区域的业务需求。

本申请所要达到的技术效果通过以下方案实现：

第一方面，本发明实施例提供一种移动终端上网区域管控的方法，方法包括：

终端将入网请求消息发送至第一网元 ；

所述第一网元接收所述入网请求消息，将与所述入网请求消息对应的认证消息发送至区域管控系统 ；

所述区域管控系统接收所述认证消息，并基于所述认证消息判断所述终端是否开启了区域管控策略，如果所述终端开启了所述区域管控策略，则解析所述认证消息中携带的第一寻呼区域信息，根据所述第一寻呼区域信息，对所述终端进行接入认证 ；

当所述终端成功完成接入认证并上线之后，所述第一网元基于第一触发规则，向所述区域管控系统发送计费消息；

所述区域管控系统接收所述计费消息，并基于所述计费消息判断所述终端是否开启了所述区域管控策略，如果所述终端开启了所述区域管控策略，则解析所述计费消息中携带的第二寻呼区域信息，根据所述第二寻呼区域信息，对所述终端进行上网区域管控。

在一个实施例中，所述如果所述终端开启了所述区域管控策略，则解析所述认证消息中携带的第一寻呼区域信息，根据所述第一寻呼区域信息，对所述终端进行接入认证，包括：

所述认证消息中携带的第一寻呼区域信息对应寻呼区级别的区域管控信息，和/或，对应基站小区级别的区域管控信息；

在所述第一寻呼区域信息对应寻呼区级别的区域管控信息的情况下，则从所述认证消息中解析出第一寻呼区ID，并确认所述第一寻呼区ID是否在所述终端关联的区域寻呼区列表内，如果是，则区域管控验证通过，允许所述终端接入，如果不是，则拒绝所述终端接入；

在所述第一寻呼区域信息对应基站小区级别的区域管控信息的情况下，则从所述认证消息中解析出第一寻呼区ID和第一基站小区ID，并确认所述第一寻呼区ID和所述第一基站小区ID是否在所述终端关联的区域寻呼区列表内，如果是，则区域管控验证通过，允许所述终端接入，如果不是，则拒绝所述终端接入。

在一个实施例中，所述如果所述终端开启了所述区域管控策略，则解析所述计费消息中携带的第二寻呼区域信息，根据所述第二寻呼区域信息，对所述终端进行上网区域管控，包括：

所述计费消息中携带的第二寻呼区域信息对应寻呼区级别的区域管控信息，和/或，对应基站小区级别的区域管控信息；

在所述第二寻呼区域信息对应寻呼区级别的区域管控信息的情况下，则从所述计费消息中解析出第二寻呼区ID ，并确认所述第二寻呼区ID是否在所述终端关联的区域寻呼区列表内，如果是，则不进行操作，如果不是，则生成断线请求消息并发送至所述第一网元，所述第一网元将所述终端断网；

在所述第二寻呼区域信息对应基站小区级别的区域管控信息的情况下，则从所述计费消息中解析出第二寻呼区ID 和第二基站小区ID，并确认所述第二寻呼区ID和所述第二基站小区ID是否在所述终端关联的区域寻呼区列表内，如果是，则不进行操作，如果不是，则生成断线请求消息并发送至所述第一网元，所述第一网元将所述终端断网。

在一个实施例中，其特征在于，所述第一网元包括会话管理功能网元，所述区域管控系统包括认证、授权和计费服务器，所述终端包括4G终端和5G终端。

在一个实施例中，所述方法还包括：

基于区域自学习方法自动获取区域位置信息；

设定进行区域管控的第一范围和多个测试点位；

依次在各个测试点位进行所述测试终端的上下线操作；

所述区域管控系统根据所述上下线操作对应的相关消息，生成对应的日志，基于所述区域自学习方法依次扫描所述日志，以完成所述测试终端对应的区域位置信息的获取和更新。

在一个实施例中，所述区域管控系统包括：消息解析模块，区域自学习模块，区域管控模块，数据存储模块和维护管理模块。

在一个实施例中，所述消息解析模块用于信令消息解析和日志记录；所述区域自学习模块用于实现区域自学习能力。

在一个实施例中，所述区域管控模块用于实现所述终端接入时的区域管控逻辑判断，以及在所述终端上网过程中，持续监控所述终端是否移出管控区域，并切断移出所述管控区域的所述终端；所述数据存储模块用于用户开户数据，区域数据，绑定关系以及日志数据的存储。

第二方面，本发明实施例提供一种电子设备，所述电子设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现前述任意一项所述的方法。

第三方面，本发明实施例提供一种计算机可读存储介质，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述任一项所述的方法。

通过本发明实施例提供的移动终端上网区域管控的方法，通过限制移动网终端只能在指定区域范围内接入和使用移动网络，移出指定区域范围时便自动断网，实现更加精确的完成移动终端的区域管控配置管理的技术效果。

附图说明

为了更清楚地说明本申请实施例或现有的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本申请一实施例中的组网结构的示意图；

图2为本申请一实施例中的移动终端上网区域管控的方法的流程图一；

图3为本申请一实施例中的移动终端上网区域管控的方法的流程图二；

图4为本申请一实施例中的区域自学习方法的流程图；

图5为本申请一实施例中的区域管控系统的示意图；

图6为本申请一实施例中的电子设备的示意框图。

具体实施方式

为使本申请的目的、技术方案和优点更加清楚，下面将结合具体实施例及相应的附图对本申请的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，除非另外定义，本公开一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

本发明所涉及到的相关技术术语的说明：

4G：4th Generation Mobile Communication Technology，即第4代移动通信；

5G：5th Generation Mobile Communication Technology，即第5代移动通信；

AAA：Authentication、Authorization、Accounting，即认证、授权和计费服务器；

AAA-P：AAA Proxy，即AAA代理转发系统；

SMF：Session Management Function，即会话管理功能；

UPF：User Plane Function，即用户面功能；

DNN：Data Network Name，即数据网络名称；

TAI：Tracking Area Identity，即寻呼区标识；

CGI：Cell Global Identifier，即小区全球标识；

ECGI ：EUTRA Cell Global Identifier，即4G小区全球标识；

NCGI ：NR Cell Global Identifier，即5G小区全球标识。

相关技术介绍：

通信技术（例如，4G/5G通信技术）为政府和企业数字化转型提供了新一代网络底座，随着5G专网与企业应用不断融合突破，5G专网应用数量呈现出快速增值的势头。

5G专网是基于5G网络技术为行业用户量身定制、业务相对隔离、质量有所保障、安全有所增强的专用网络通道，可根据建设方式分为虚拟专网、混合专网和独立专网三类。

行业用户对于移动网的区域管控安全需求，具体体现在以下几个方面：

1）区域范围需要可大可小，既可以支持城市级，也可以支持园区级。城市级区域范围设定需要精细到寻呼区ID（TAI）级别，设置更加方便；园区级区域范围设定需要精细到基站小区ID（CGI）级别，是网络可识别的最小粒度；

2）管控的终端包括4G和5G终端（本发明中的移动终端和终端表示相同的意思），即终端可以从4G网络接入，也可以从5G网络接入，需要考虑多网并存的场景；

3）不仅在终端接入时进行管控，还需要在终端使用过程中持续监控终端是否移出管控区域，若移出管控区则自动断网；

4）园区级行业用户需要一种便捷的操作方法能够自行对终端进行管控配置管理，并了解终端在线情况，从而高效且准确的实现园区内终端的管控。

因此，需要采用本发明提供的移动终端上网区域管控的方法和设备,来获得上述行业用户对于移动网的区域管控安全需求。

下面结合附图，详细说明本申请的各种非限制性实施方式。

首先，图1为本申请一实施例中的组网结构的示意图；参照图1对本发明的移动终端上网区域管控的方法适用的组网结构进行详细说明：

本发明针对4G网络和5G网络均适用，下面以5G网络为例进行描述。

本实施例中的组网结构如图1，该组网结构包括：多个移动终端，多个基站，UPF，SMF，AAA代理网关，区域管控AAA系统（本发明中区域管控AAA系统与区域管控系统表示相同的系统），企业内网；具体地：

移动网中的各个终端通过4G/5G基站接入，并且通过用户面功能（UPF）接入企业内网；

会话管理功能（SMF）作为信令流程客户端，区域管控AAA系统作为信令流程服务端，通过信令进行交互；示例性地，SMF也可以例如通过AAA代理转发系统，或者称为AAA代理网关（AAA-P）与区域管控AAA系统进行对接。

图2为本申请一实施例中的移动终端上网区域管控的方法的流程图一；参照图2，对本发明的移动终端上网区域管控的方法进行详细说明：

本实施例中的移动终端上网区域管控的方法包括如下几个步骤：

S101：终端将入网请求消息发送至第一网元；

示例性地，终端可以是4G终端或5G终端，上述第一网元可以包括但不限于是SMF；此处均为示例性地，本领域技术人员所熟知的其他能够实现本方案功能的其他现有或未来的终端或者网元均可以应用于此。

具体地，终端例如可以通过4G基站或5G基站进行网络接入，并通过UPF接入企业内部网络。

S102：所述第一网元接收所述入网请求消息，将与所述入网请求消息对应的认证消息发送至区域管控系统；

示例性地，区域管控系统可以是区域管控AAA系统，或者说是认证、授权和计费服务器。

S103：所述区域管控系统接收所述认证消息，并基于所述认证消息判断所述终端是否开启了区域管控策略，如果所述终端开启了所述区域管控策略，则解析所述认证消息中携带的第一寻呼区域信息，根据所述第一寻呼区域信息，对所述终端进行接入认证；

示例性地，所述认证消息中携带的第一寻呼区域信息对应寻呼区级别的区域管控信息，和/或，对应基站小区级别的区域管控信息；

在所述第一寻呼区域信息对应寻呼区级别的区域管控信息的情况下，则从所述认证消息中解析出第一寻呼区ID，并确认所述第一寻呼区ID是否在所述终端关联的区域寻呼区列表内，如果是，则区域管控验证通过，允许所述终端接入，如果不是，则拒绝所述终端接入；

在所述第一寻呼区域信息对应基站小区级别的区域管控信息的情况下，则从所述认证消息中解析出第一寻呼区ID和第一基站小区ID，并确认所述第一寻呼区ID和所述第一基站小区ID是否在所述终端关联的区域寻呼区列表内，如果是，则区域管控验证通过，允许所述终端接入，如果不是，则拒绝所述终端接入。

示例性地，在区域管控AAA系统中配置好区域管控策略，可以包括区域名称、区域精度（寻呼区级别/基站小区级别）、区域关联的寻呼区ID/基站小区ID、限制在本区域内使用的终端列表；

S104：当所述终端成功完成接入认证并上线之后，所述第一网元基于第一触发规则，向所述区域管控系统发送计费消息；

示例性地，第一触发规则包括：4G与5G切换、终端位置的改变或周期性规则。

S105：所述区域管控系统接收所述计费消息，并基于所述计费消息判断所述终端是否开启了所述区域管控策略，如果所述终端开启了所述区域管控策略，则解析所述计费消息中携带的第二寻呼区域信息，根据所述第二寻呼区域信息，对所述终端进行上网区域管控。

示例性地，所述计费消息中携带的第二寻呼区域信息对应寻呼区级别的区域管控信息，和/或，对应基站小区级别的区域管控信息；

在所述第二寻呼区域信息对应寻呼区级别的区域管控信息的情况下，则从所述计费消息中解析出第二寻呼区ID，并确认所述第二寻呼区ID是否在所述终端关联的区域寻呼区列表内，如果是，则不进行操作，如果不是，则生成断线请求消息并发送至所述第一网元，所述第一网元将所述终端断网；

在所述第二寻呼区域信息对应基站小区级别的区域管控信息的情况下，则从所述计费消息中解析出第二寻呼区ID和第二基站小区ID，并确认所述第二寻呼区ID和所述第二基站小区ID是否在所述终端关联的区域寻呼区列表内，如果是，则不进行操作，如果不是，则生成断线请求消息并发送至所述第一网元，所述第一网元将所述终端断网。

上述实施例通过限制移动网终端只能在指定区域范围内接入和使用移动网络，移出指定区域范围时便自动断网，能够解决移动网络（例如，4G、5G网络）中移动终端限定区域上网的问题，实现高效且自动完成移动终端的区域管控配置管理的技术效果，且满足行业用户限制移动网终端使用区域的业务需求。

图3为本申请一实施例中的移动终端上网区域管控的方法的流程图二；参照图3，对本实施例中的移动终端上网区域管控的方法进行详细描述：

在区域管控AAA系统中配置好区域管控策略，包括区域名称、区域精度（寻呼区级别/基站小区级别）、区域关联的寻呼区ID/基站小区ID、限制在本区域内使用的终端列表；

终端上网，区域管控AAA系统收到SMF发送的认证消息，判断该终端是否开启了区域管控策略。如果是，则执行以下处理逻辑，否则跳过以下处理逻辑。

A1) 如果是寻呼区级别的区域管控，则从认证消息中解析出寻呼区ID（例如：从Radius属性3GPP-User-Location-Info中解析出TAI），然后从数据存储模块查询该寻呼区ID是否在该终端关联的区域寻呼区列表内；如果是，则区域管控验证通过，允许终端接入；如果不是，则拒绝终端接入。

A2) 如果是基站小区级别的区域管控，则从认证消息中解析出寻呼区ID和基站小区ID（例如：从Radius属性3GPP-User-Location-Info中解析出TAI和ECGI，或，TAI和NCGI），然后从数据存储模块查询该寻呼区ID和基站小区ID是否在该终端关联的区域基站小区列表内；如果是，则区域管控验证通过，允许终端接入；如果不是，则拒绝终端接入。

区域管控终端在上线后的使用过程中，SMF基于触发规则（如4、5G切换、位置改变或周期性）向区域管控AAA系统发送计费消息；

区域管控AAA系统收到SMF发送的计费消息，判断该终端是否开启了区域管控策略。如果是，则执行以下处理逻辑，否则跳过以下处理逻辑。

B1) 如果是寻呼区级别的区域管控，则从计费消息中解析出寻呼区ID，然后从数据存储模块查询该寻呼区ID是否在该终端关联的区域寻呼区列表内。如果是，则不做处理；如果不是，则生成断线请求消息并发送给SMF，SMF将终端断网。

B2) 如果是基站小区级别的区域管控，则从认证消息中解析出寻呼区ID和基站小区ID，然后从数据存储模块查询该寻呼区ID和基站小区ID是否在该终端关联的区域基站小区列表内；如果是，则不做处理；如果不是，则生成断线请求消息并发送给SMF，SMF将终端断网。

通过本发明上述实施例提供的移动终端上网区域管控的方法，通过限制移动网终端只能在指定区域范围内接入和使用移动网络，移出指定区域范围时便自动断网，实现更加精确的完成移动终端的区域管控配置管理的技术效果。

在应用中，如果无法直接获得管控区域的基站信息，可以使用区域自学习方法实现区域位置信息自动获取，以提高区域管控方法的适用性，例如：

基于区域自学习方法自动获取区域位置信息；

设定进行区域管控的第一范围和多个测试点位；

依次在各个测试点位进行所述测试终端的上下线操作；

所述区域管控系统根据所述上下线操作对应的相关消息，生成对应的日志，基于所述区域自学习方法依次扫描所述日志，以完成所述测试终端对应的区域位置信息的获取和更新。

具体地，参照图4对本发明中的区域自学习方法进行详细描述：

1、在计划进行区域管控的范围内选择测试点位，规划测试起止时间；

2、准备好测试终端（多网并存环境需要准备不同制式的测试终端），在区域管控AAA系统中不对测试终端设置区域管控策略；

3、在测试时间内，依次在不同的测试点位进行终端上下线操作；

4、终端上下线时，区域管控AAA系统收到SMF发送的认证消息和计费消息，根据消息生成认证和计费日志；

5、在区域管控AAA系统中创建一个区域自学习任务，配置区域名称、区域精度、测试终端和测试起止时间等参数，然后启动执行；

6、区域自学习任务扫描一条日志，判断日志时间是否在测试时段内，如果是则执行下一步；如果日志时间早于测试开始时间，则扫描下一条日志；如果日志时间晚于测试结束时间，则任务结束（转到9）；

7、区域自学习任务判断接入终端是否为测试终端，如果是则执行下一步，否则扫描下一条日志（转到6）；

8、区域自学习任务从消息中解析出寻呼区ID和基站小区ID，与配置区域名称关联，更新到数据存储模块内，然后扫描下一条日志（转到6）。

9、任务结束。

图5为本申请一实施例中的区域管控系统的示意图；下面对本发明中的区域管控系统进行介绍：

区域管控AAA系统或者说区域管控系统，可以包括消息解析模块、区域自学习模块、区域管控模块、数据存储模块以及维护管理模块；

示例性地，消息解析模块用于信令消息解析和日志记录；

示例性地，区域自学习模块用于实现区域自学习能力；

示例性地，区域管控模块用于实现终端接入时的区域管控逻辑判断，以及在终端上网过程中，持续监控终端是否移出管控区域，并切断移出管控区域的终端。

示例性地，数据存储模块用于用户开户数据、区域数据、绑定关系及日志数据的存储；

示例性地，维护管理模块为行业客户管理员提供WEB维护管理界面，实现用户开销户、区域数据管理、绑定管理及日志查询等。

下面通过具体的示例来描述本申请中的移动终端上网区域管控的方法：

假定一个企业园区，同时存在4G和5G终端接入，按基站小区级进行区域管控，通过号码为17744444444的终端进行4G基站自学习，通过号码为17755555555的终端进行5G基站自学习。设定好区域管控策略后，对号码为17766666666的终端进行区域管控。

区域自学习方法具体实施步骤如下：

1、假定从2022年9月8日上午9点开始测试，下午17:00结束测试；

2、在测试点位，测试终端上线，区域管控AAA收到SMF发送的Radius Access-Request消息，记录认证日志并响应Access-Accept消息；

3、测试终端成功接入，区域管控AAA收到SMF发送的Radius Accounting-Request（Start）消息，记录计费开始日志并响应Accounting-Response消息；

4、测试终端下线，区域管控AAA收到SMF发送的Radius Accounting-Request（Stop）消息，记录计费结束日志并响应Accounting-Response消息；

5、在区域管控AAA系统中创建区域自学习任务，区域名称为“创新园A”，区域精度为“基站小区级”，测试终端为“17744444444”和“17755555555”，测试开始时间：2022-9-89:00，测试截止时间：2022-9-8 17:00，启动任务执行。

6、区域自学习任务扫描一条日志，查看消息时间戳。如果早于2022-9-8 9:00，则扫描下一条日志；如果晚于2022-9-8 17:00，则结束任务；如果在2022-9-8 9:00和2022-9-8 17:00之间，则执行下一步。

7、根据日志判断终端是否为17744444444或17755555555：

a) 如果是，则从日志中解析出3GPP-User-Location-Info属性。3GPP-User-Location-Info属性由3GPP Type、3GPP Length、Geographic Location Type和GeographicLocation四部分组成，区域自学习任务依据Geographic Location Type解析出Geographic Location值。例如4G基站接入时，Geographic Location Type取值为130，Geographic Location值为TAI（寻呼区ID）和ECGI（基站小区ID）；5G基站接入时，Geographic Location Type取值为137，Geographic Location值为5G TAI（寻呼区ID）和NCGI（基站小区ID）。区域自学习任务将解析出的GeographicLocation值更新到“创新园A”的寻呼区ID和基站小区ID列表内，格式为：

区域名称	区域精度	基站类型	寻呼区ID	基站小区ID
					创新园A	基站小区级	4G	0x4455	4878500
创新园A	基站小区级	5G	0x812011	0x810d30088

更新后扫描下一条日志。

b) 如果不是，则扫描一条日志。

区域管控方法具体实施步骤如下：

1、号码为17766666666的终端在“创新园A”区域范围外接入，比如从ID为0x810d30096的基站小区接入，区域管控AAA收到SMF发送的Radius Access-Request消息，判断该终端开启了区域管控策略，从Access-Request消息中解析3GPP-User-Location-Info属性，获得寻呼区ID为0x812011，基站小区ID为0x810d30096，查询数据存储模块内的“创新园A”基站小区列表，判断该基站小区不在“创新园A”基站列表内，则拒绝终端接入。

2、号码为17766666666的终端在“创新园A”区域范围内接入，比如从ID为0x810d30088的基站小区接入，区域管控AAA收到SMF发送的Radius Access-Request消息，判断该终端开启了区域管控策略，从Access-Request消息中解析3GPP-User-Location-Info属性，获得寻呼区ID为0x812011，基站小区ID为0x810d30088，查询数据存储模块内的“创新园A”基站小区列表，判断该基站小区在“创新园A”基站列表内，则允许终端接入。

3、号码为17766666666的终端在“创新园A”区域范围内成功上线，然后保持在线的情况下移动到“创新园A”区域外，比如从ID为0x810d30042的基站小区接入，区域管控AAA收到SMF发送的Radius Accounting-Request消息，判断该终端开启了区域管控策略，从Accounting-Request消息中解析3GPP-User-Location-Info属性，获得寻呼区ID为0x812011，基站小区ID为0x810d30042，查询数据存储模块内的“创新园A”基站小区列表，判断该基站小区不在“创新园A”基站列表内，则生成Radius Disconnect-Message消息并发送给SMF，SMF将终端会话拆除，终端自动断网。

本发明实现了一种移动网移动终端上网区域管控的方法与设备，包括技术要点如下：

1） 区域自学习方法

a) 通过测试终端在不同测试点位进行上下线操作，使得区域管控AAA系统可以采集到测试终端的认证消息和计费消息数据；

b) 通过设定区域自学习任务，扫描测试时段内由测试终端触发的认证消息和计费消息日志，并从日志中解析出寻呼区ID和基站小区ID，更新到数据存储模块内，完成区域自学习。

2） 区域管控方法

a) 终端上网时，区域管控AAA系统根据SMF发送的认证消息判断该终端是否开启区域管控。如果开启，区域管控AAA系统从认证消息中解析出终端接入的寻呼区ID和基站小区ID，并判断该寻呼区ID和基站小区ID是否属于本地存储的终端管控区域内。如果在，则允许终端接入；如果不在，则拒绝终端接入。如果终端没开启区域管控，则不做区域管控逻辑判断。

b) 在终端上网使用过程中，区域管控AAA系统根据SMF发送的计费消息判断该终端是否开启区域管控。如果开启，区域管控AAA系统从计费消息中解析出终端接入的寻呼区ID和基站小区ID，并判断该寻呼区ID和基站小区ID是否属于本地存储的终端管控区域内。如果在，则不做处理；如果不在，则发送断线请求将终端断网。

3） 区域管控AAA系统

a) 系统的组成及结构

通过上述方案和要点，可以实现如下技术效果：

1、虚拟专网、混合专网和独立专网都适用；

2、管控区域精度较高，尤其是采用小基站进行园区覆盖的场景；

3、规避频繁修改核心网网元配置而引入的业务风险；

4、可支持4G、5G基站并存的场景，进行统一的区域管控；

5、可以由行业客户自主配置管控策略，并且提供了一种区域自学习的方法，解决区域设定困难问题。

需要说明的是，本发明一个或多个实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本发明一个或多个实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本发明特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

基于同一发明构思，与上述任意实施例方法相对应的，本发明还公开一种电子设备。

具体地，图6示出了本实施例所提供的一种移动终端上网区域管控的方法的电子设备的硬件结构示意图，该设备可以包括：处理器410、存储器420、输入/输出接口430、通信接口440和总线 450。其中，处理器410、存储器420、输入/输出接口430和通信接口440通过总线450实现彼此之间在设备内部的通信连接。

处理器410可以采用通用的CPU（Central Processing Unit，中央处理器）、微处理器、应用专用集成电路（Application Specific Integrated Circuit，ASIC）、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本发明实施例所提供的技术方案。

存储器420可以采用ROM（Read Only Memory，只读存储器）、RAM（Random AccessMemory，随机存取存储器）、静态存储设备，动态存储设备等形式实现。存储器420可以存储操作系统和其他应用程序，在通过软件或者固件来实现本发明实施例所提供的技术方案时，相关的程序代码保存在存储器420中，并由处理器410来调用执行。

输入/输出接口430用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中（图中未示出），也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口440用于连接通信模块（图中未示出），以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式（例如，USB、网线等）实现通信，也可以通过无线方式（例如，移动网络、WIFI、蓝牙等）实现通信。

总线450包括一通路，在设备的各个组件（例如，处理器410、存储器420、输入/输出接口430和通信接口440）之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器410、存储器420、输入/输出接口430、通信接口440以及总线450，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本发明实施例方案所必需的组件，而不必包含图中所示的全部组件。

上述实施例的电子设备用于实现前述任一实施例中相应的移动终端上网区域管控的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本发明一个或多个实施例还提供了一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令用于使所述计算机执行如上任一实施例所述的移动终端上网区域管控的方法。

本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存（PRAM）、静态随机存取存储器（SRAM）、动态随机存取存储器（DRAM）、其他类型的随机存取存储器（RAM）、只读存储器（ROM）、电可擦除可编程只读存储器（EEPROM）、快闪记忆体或其他内存技术、只读光盘只读存储器（CD-ROM）、数字多功能光盘（DVD）或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的移动终端上网区域管控的方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本发明的范围（包括权利要求）被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本发明一个或多个实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路（IC）芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明一个或多个实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明一个或多个实施例的平台的（即，这些细节应当完全处于本领域技术人员的理解范围内）。在阐述了具体细节（例如，电路）以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明一个或多个实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构（例如，动态RAM（DRAM））可以使用所讨论的实施例。

本发明一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明一个或多个实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种移动终端上网区域管控的方法，其特征在于，所述方法包括：

终端将入网请求消息发送至第一网元；

所述第一网元接收所述入网请求消息，将与所述入网请求消息对应的认证消息发送至区域管控系统；

所述区域管控系统接收所述认证消息，并基于所述认证消息判断所述终端是否开启了区域管控策略，如果所述终端开启了所述区域管控策略，则解析所述认证消息中携带的第一寻呼区域信息，根据所述第一寻呼区域信息，对所述终端进行接入认证；

当所述终端成功完成接入认证并上线之后，所述第一网元基于第一触发规则，向所述区域管控系统发送计费消息；

所述区域管控系统接收所述计费消息，并基于所述计费消息判断所述终端是否开启了所述区域管控策略，如果所述终端开启了所述区域管控策略，则解析所述计费消息中携带的第二寻呼区域信息，根据所述第二寻呼区域信息，对所述终端进行上网区域管控。

2.如权利要求1所述的移动终端上网区域管控的方法，其特征在于，所述如果所述终端开启了所述区域管控策略，则解析所述认证消息中携带的第一寻呼区域信息，根据所述第一寻呼区域信息，对所述终端进行接入认证，包括：

所述认证消息中携带的第一寻呼区域信息对应寻呼区级别的区域管控信息，和/或，对应基站小区级别的区域管控信息；

在所述第一寻呼区域信息对应寻呼区级别的区域管控信息的情况下，则从所述认证消息中解析出第一寻呼区ID，并确认所述第一寻呼区ID是否在所述终端关联的区域寻呼区列表内，如果是，则区域管控验证通过，允许所述终端接入，如果不是，则拒绝所述终端接入；

在所述第一寻呼区域信息对应基站小区级别的区域管控信息的情况下，则从所述认证消息中解析出第一寻呼区ID和第一基站小区ID，并确认所述第一寻呼区ID和所述第一基站小区ID是否在所述终端关联的区域寻呼区列表内，如果是，则区域管控验证通过，允许所述终端接入，如果不是，则拒绝所述终端接入。

3.如权利要求1所述的移动终端上网区域管控的方法，其特征在于, 所述如果所述终端开启了所述区域管控策略，则解析所述计费消息中携带的第二寻呼区域信息，根据所述第二寻呼区域信息，对所述终端进行上网区域管控，包括：

所述计费消息中携带的第二寻呼区域信息对应寻呼区级别的区域管控信息，和/或，对应基站小区级别的区域管控信息；

在所述第二寻呼区域信息对应寻呼区级别的区域管控信息的情况下，则从所述计费消息中解析出第二寻呼区ID，并确认所述第二寻呼区ID是否在所述终端关联的区域寻呼区列表内，如果是，则不进行操作，如果不是，则生成断线请求消息并发送至所述第一网元，所述第一网元将所述终端断网；

在所述第二寻呼区域信息对应基站小区级别的区域管控信息的情况下，则从所述计费消息中解析出第二寻呼区ID和第二基站小区ID，并确认所述第二寻呼区ID和所述第二基站小区ID是否在所述终端关联的区域寻呼区列表内，如果是，则不进行操作，如果不是，则生成断线请求消息并发送至所述第一网元，所述第一网元将所述终端断网。

4.如权利要求2或3之一所述的移动终端上网区域管控的方法，其特征在于，所述第一网元包括会话管理功能网元，所述区域管控系统包括认证、授权和计费服务器，所述终端包括4G终端和5G终端。

5.如权利要求4所述的移动终端上网区域管控的方法，其特征在于，所述方法还包括：

基于区域自学习方法自动获取区域位置信息；

设定进行区域管控的第一范围和多个测试点位；

依次在各个测试点位进行测试终端的上下线操作；

所述区域管控系统根据所述上下线操作对应的相关消息，生成对应的日志，基于所述区域自学习方法依次扫描所述日志，以完成所述测试终端对应的区域位置信息的获取和更新。

6.如权利要求4所述的移动终端上网区域管控的方法，其特征在于，所述区域管控系统包括：消息解析模块，区域自学习模块，区域管控模块，数据存储模块和维护管理模块。

7.如权利要求6所述的移动终端上网区域管控的方法，其特征在于，所述消息解析模块用于信令消息解析和日志记录；所述区域自学习模块用于实现区域自学习能力。

8.如权利要求6所述的移动终端上网区域管控的方法，其特征在于，所述区域管控模块用于实现所述终端接入时的区域管控逻辑判断，以及在所述终端上网过程中，持续监控所述终端是否移出管控区域，并切断移出所述管控区域的所述终端；所述数据存储模块用于用户开户数据，区域数据，绑定关系以及日志数据的存储。

9.一种电子设备，其特征在于，所述电子设备包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，其特征在于，所述处理器执行所述计算机程序时实现如权利要求1至8中任意一项所述的方法。

10.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有一个或者多个程序，所述一个或者多个程序可被一个或者多个处理器执行，以实现前述权利要求1至8任一项所述的方法。

Images