CN117041969A - 5g双域专网的接入方法、系统及装置、电子设备 - Google Patents
5g双域专网的接入方法、系统及装置、电子设备 Download PDFInfo
- Publication number
- CN117041969A CN117041969A CN202311281410.3A CN202311281410A CN117041969A CN 117041969 A CN117041969 A CN 117041969A CN 202311281410 A CN202311281410 A CN 202311281410A CN 117041969 A CN117041969 A CN 117041969A
- Authority
- CN
- China
- Prior art keywords
- terminal
- secondary authentication
- campus
- park
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 55
- 230000006870 function Effects 0.000 claims description 54
- 230000009471 action Effects 0.000 claims description 21
- 230000008569 process Effects 0.000 claims description 21
- 238000001514 detection method Methods 0.000 claims description 20
- 238000013475 authorization Methods 0.000 claims description 15
- 238000004590 computer program Methods 0.000 claims description 10
- 238000012795 verification Methods 0.000 claims description 6
- 238000007726 management method Methods 0.000 description 18
- 238000010586 diagram Methods 0.000 description 8
- 238000012545 processing Methods 0.000 description 7
- 230000001960 triggered effect Effects 0.000 description 5
- 238000013523 data management Methods 0.000 description 4
- 238000013507 mapping Methods 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 230000002452 interceptive effect Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000000926 separation method Methods 0.000 description 2
- 230000008901 benefit Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000000758 substrate Substances 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/086—Access security using security domains
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/66—Trust-dependent, e.g. using trust scores or trust relationships
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/73—Access point logical identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W48/00—Access restriction; Network selection; Access point selection
- H04W48/18—Selecting a network or a communication service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请提供一种5G双域专网的接入方法、系统及装置、电子设备。该方法中,园区终端在PCF中以DNAI为粒度签约二次鉴权功能(记,PCF中存在园区终端已签约的DNAI所绑定的二次鉴权参数),这不仅实现了在确定园区终端具有访问园区内网需求时对该园区终端进行二次鉴权,以保证园区终端的可信接入,而且实现了采用通用DNN访问园区内网受二次鉴权约束,而采用通用DNN访问公网则可不受二次鉴权约束,即实现访问公网与二次鉴权解耦,并且通过IP地址替换,避免了潜在IP冲突问题。
Description
技术领域
本申请涉及通信技术领域,尤其涉及5G双域专网的接入方法、系统及装置、电子设备。
背景技术
为满足客户“不换卡、不换号、无感知切换”使用单一终端访问园区内网和公网Internet的诉求,业界提出了5G双域专网。一般对园区内网的访问有着较高的安全要求,需要有机制能确保可信的园区终端才能访问园区内网,因此,园区终端在一次鉴权之后还需要进行二次鉴权。
一次鉴权指的是园区终端接入网络时,接入移动管理网元(Access and MobilityManagement function,AMF)对移动终端进行的第一次鉴权。二次鉴权指的是在一次鉴权通过后,园区终端需要访问园区内网时,数据网络验证、授权和记账服务器(Data Network-Authentication, Authorization, and Accountability,DN-AAA)对园区终端再次进行的第二次鉴权。
现有技术中,二次鉴权是在数据管理功能网元(Unified Data Management,UDM)中以数据网络名称(Data Network Name,DNN)为粒度签约的,这导致了园区终端与公网之间的协议数据单元(Protocol Data Unit,PDU)会话的建立受二次鉴权的约束。比如,当园区终端以通用DNN发起PDU会话,而DNN中绑定了表示该园区终端需要进行二次鉴权的标识,则建立PDU会话的同时必须进行二次鉴权,如果二次鉴权失败,园区终端与公网之间的PDU会话将建立失败,用户将无法访问公网,也就是说,园区终端访问公网受到二次鉴权的约束。
发明内容
有鉴于此,本申请提供一种5G双域专网的接入方法、系统及装置、电子设备,以在保证园区终端的可信接入的前提下,使园区终端访问公网不受二次鉴权的约束。
本申请实施例提供一种5G双域专网的接入方法,应用于5G核心网中的公网会话管理功能网元SMF,方法包括:
在园区终端与接入移动管理网元AMF之间的一次鉴权通过的情况下,基于接收的园区终端发起的协议数据单元PDU会话创建请求中携带的通用数据网络名称DNN,选择与该通用DNN对应的公网用户面功能网元UPF建立用户面路径,以在用户面路径建立之后触发园区终端和公网之间的PDU会话的建立;并保存PDU会话创建请求中携带的二次鉴权信息;二次鉴权信息为二次鉴权过程中需要被验证的信息;
当确定园区终端需要访问园区内网时,则从策略控制功能网元PCF中获得园区终端已签约的数据网络接入标识符DNAI所绑定的二次鉴权参数;二次鉴权参数包括:二次鉴权标识、和数据网络验证、授权和记账服务器DN-AAA的IP地址;二次鉴权标识指示园区终端需要进行二次鉴权;
在依据二次鉴权标识确定园区终端需要进行二次鉴权时,依据DN-AAA的IP地址,向DN-AAA发送接入请求,接入请求中携带二次鉴权信息,以触发DN-AAA基于二次鉴权信息对园区终端进行二次鉴权;
在接收到DN-AAA在基于二次鉴权信息确定园区终端通过二次鉴权后发送的接入成功消息后,触发该DNAI对应的分流用户面功能网元ULCL UPF将园区终端的数据包向园区内网和公网进行分流。
本申请实施例还提供一种5G双域专网接入系统,该系统包括:5G核心网的公网会话管理功能网元SMF、园区内网被部署的DN-AAA、ULCL UPF和内网UPF;
公网SMF,用于执行上述方法中的步骤;
DN-AAA,用于在接收到公网SMF发送的接入请求时,依据接入请求中携带的二次鉴权信息对园区终端进行二次鉴权,或,依据接入请求中携带的二次鉴权信息和园区终端的GPSI对园区终端进行二次鉴权,并在确定园区终端通过二次鉴权后,向公网SMF发送接入成功消息;
ULCL UPF用于,在公网SMF接收到接入成功消息后,被触发将园区终端访问园区内网的数据包通过内网UPF转发至园区内网,以及将园区终端访问公网的数据包通过公网UPF转发至公网;
内网UPF,用于将ULCL UPF发送的园区终端访问园区内网的数据包转发至园区内网,或者,在接收公网SMF下发的报文检测规则和转发动作规则时,以依据报文检测规则和转发动作规则,在检测到园区终端访问园区内网的数据包中携带第一IP地址的字段时,将第一IP地址的字段替换为第二IP地址的字段,并将替换后的数据包转发至园区内网,以及,在检测到园区内网向园区终端发送的数据包中携带第二IP地址的字段时,将第二IP地址的字段替换为第一IP地址的字段,并将替换后的数据包转发至ULCL UPF,由ULCL UPF转发至园区终端。
本申请实施例还提供一种5G双域专网的接入装置,应用于5G核心网中的公网会话管理功能网元SMF,该装置包括:
会话建立模块,在园区终端与接入移动管理网元AMF之间的一次鉴权通过的情况下,基于接收的园区终端发起的协议数据单元PDU会话创建请求中携带的通用数据网络名称DNN,选择与该通用DNN对应的公网用户面功能网元UPF建立用户面路径,以在用户面路径建立之后触发园区终端和公网之间的PDU会话的建立;并保存PDU会话创建请求中携带的二次鉴权信息;二次鉴权信息为二次鉴权过程中需要被验证的信息;
获得模块,用于当确定园区终端需要访问园区内网时,则从策略控制功能网元PCF中获得园区终端已签约的数据网络接入标识符DNAI所绑定的二次鉴权参数;二次鉴权参数包括:二次鉴权标识、和数据网络验证、授权和记账服务器DN-AAA的IP地址;二次鉴权标识指示园区终端需要进行二次鉴权;
发送模块,用于在依据二次鉴权标识确定园区终端需要进行二次鉴权时,依据DN-AAA的IP地址,向DN-AAA发送接入请求,接入请求中携带二次鉴权信息,以触发DN-AAA基于二次鉴权信息对园区终端进行二次鉴权;
控制模块,用于在接收到DN-AAA在基于二次鉴权信息确定园区终端通过二次鉴权后发送的接入成功消息后,触发该DNAI对应的分流用户面功能网元ULCL UPF将园区终端的数据包向园区内网和公网进行分流。
本申请实施例还提供一种电子设备,包括:处理器和用于存储计算机程序指令的存储器,计算机程序指令在被处理器运行时使得处理器执行如上方法的步骤。
本申请实施例还提供一种机器可读存储介质,该存储介质存储有计算机程序指令,当该计算机程序指令被执行时,能够实现如上方法的步骤。
由以上技术方案可以看出,本申请实施例中,以园区终端在PCF中以DNAI为粒度签约二次鉴权功能(记,PCF中存在园区终端已签约的DNAI所绑定的二次鉴权参数)为前提,当确定园区终端需要访问园区内网时,则公网SMF从PCF中获得园区终端已签约的DNAI所绑定的二次鉴权参数,在依据该二次鉴权参数中包括的二次鉴权标识确定园区终端需要进行二次鉴权时,依据该二次鉴权参数中包括的DN-AAA的IP地址向DN-AAA发送携带二次鉴权信息的接入请求,以触发DN-AAA对园区终端进行二次鉴权,在接收到接入成功消息后,触发该DNAI对应的分流用户面功能网元ULCL UPF将园区终端访问园区内网的数据包通过内网UPF转发至园区内网,以及将园区终端访问公网的数据包通过公网UPF转发至公网,这实现了在确定园区终端具有访问园区内网需求时对该园区终端进行二次鉴权,以实现园区终端的可信接入的目的。
进一步地,由于园区终端在PCF中以DNAI为粒度签约二次鉴权功能,而非在UDM中以DNN为粒度签约二次鉴权功能,这使得公网SMF在接收到园区终端以通用DNN发起的PDU会话创建请求时,无须像现有技术中描述的如果UDM中该通用DNN绑定了表示该园区终端需要进行二次鉴权的标识,则必须在建立园区终端和公网之间的PDU会话的同时进行二次鉴权,只有在二次鉴权成功时PDU会话才能成功建立,园区终端才能访问公网,而是直接基于该PDU会话创建请求中携带的通用DNN,选择该通用DNN对应的公网UPF建立用户面通道,触发园区终端和公网之间的PDU会话的建立,无需进行二次鉴权就能实现园区终端访问公网,换言之,无论后续二次鉴权成功与否,园区终端和公网之间的PDU会话已经建立,不影响用户访问公网,园区终端访问公网不受二次鉴权的约束。
附图说明
图1为本申请一示例性实施例提供的5G双域专网的接入系统的组网架构图。
图2为本申请一示例性实施例提供的5G双域专网的接入方法的流程示意图。
图3为本申请一示例性实施例提供的IP地址替换的过程的流程示意图。
图4为本申请一示例性实施例提供的5G双域专网的接入方法的交互流程示意图。
图5为本申请一实施例提供的5G双域专网的接入装置所在设备的基础硬件结构示意图。
图6为本申请一实施例提供的5G双域专网的接入装置的结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例标识在附图中。下面的描述涉及附图时,除非另有标识,不同附图中的相同数字标识相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“”和“该”也旨在包括多数形式,除非上下文清楚地标识其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
为了更好地阐述本方案,现对以下术语作解释。
5G核心网是5G通信网络中的核心部分,负责对整个网络进行管理和控制。
接入移动管理网元(Access and Mobility Management function,AMF),5G核心网中负责移动用户的注册、连接和移动性以及接入安全管理等功能的网络设备。
会话管理功能网元(Session Management function,SMF),5G核心网中负责移动用户的协议数据单元(Protocol Data Unit,PDU)会话管理、网际互连协议(InternetProtocol,IP)地址分配和用户面功能网元(User Plane Function,UPF)选择和控制等功能的网络设备。
中间会话管理功能网元(Intermediate Session Management function,I-SMF),为当终端移动出SMF的服务区域时,AMF通过用户当前位置选择并插入的SMF。
用户面功能网元(User Plane Function,UPF),5G核心网中用于移动用户面数据传输、路由和服务质量(Quality of Service,QoS)处理的网络设备。
上行分类器(Uplink classifier,ULCL),为UPF的一种功能,其功能是SMF提供数据流过滤器(如IP五元组)给UPF,UPF将匹配到流量过滤器的数据报文转移或本地卸载。
策略控制功能网元(Policy Control Function,PCF),5G网络中用于QoS策略控制和计费等决策的网络设备。
数据管理功能网元(Unified Data Management,UDM)是用户的签约数据管理中心。
数据网络名称(Data Network Name,DNN),数据网络名称,同4G中的APN。
数据网络接入标识(DN Access Identifier,DNAI),用于标识移动用户访问特定应用程序的数据网络的本地接入点。
通用公共用户标识(Generic Public Subscription Identifier,GPSI),移动网络中一般对应于用户手机号。
协议数据单元PDU会话,是指一个园区终端(User Equipment,UE)与数据网络(Data Network,DN)之间进行通讯的过程。PDU会话建立后,也就是建立了一条UE和DN的数据传输通道。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,并使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
为便于理解本方法,在描述本方法之前,先对本申请实施例提供的系统进行描述:
图1为本申请一示例性实施例提供的5G双域专网系统的组网架构图。需要说明的是,本申请实施例提供的5G双域专网的接入方法的实施环境均为图1所示的组网架构。如图1所示,该系统包括:5G核心网,5G核心网下连园区内网,园区内网被部署了分流用户面功能网元ULCL UPF、内网UPF、内网服务器、和验证、授权和记账(Authentication、Authorization、Accounting,AAA)服务器。5G核心网包括AMF、公网SMF、公网UPF、PCF、UDM和BOSS。5G核心网中未明确阐明具体位置的网元与常用的设置位置相同,此处不再赘述。在图1示出的组网连接中,企业终端为5G终端。作为一个实施例ULCL UPF和内网UPF可以合设。作为一个实施例,该系统还包括可选的中间会话管理网元I-SMF和中间用户面功能网I-UPF(图1中未示出)。该5G双域专网系统中各个网元的具体工作流程会在下述实施例中详细阐述。
图2为本申请一示例性实施例提供的5G双域专网的接入方法的流程示意图。作为一个实施例,该方法可应用于公网SMF。
如图2所示,该流程可包括以下步骤:
S201,在园区终端与接入移动管理网元AMF之间的一次鉴权通过的情况下,基于接收的园区终端发起的协议数据单元PDU会话创建请求中携带的通用数据网络名称DNN,选择与该通用DNN对应的公网用户面功能网元UPF建立用户面路径,以在用户面路径建立之后触发园区终端和公网之间的PDU会话的建立;并保存PDU会话创建请求中携带的二次鉴权信息;二次鉴权信息为二次鉴权过程中需要被验证的信息。
在本实施例中,园区终端无论位于园区内还是位于园区外,园区终端在开机后会注册至网络(简称网络注册),当园区终端在进行网络注册时,园区终端通过基站向AMF发送PDU会话创建请求。
由于园区终端在开机注册之前在UDM中已经签约了上述通用DNN,并且该通用DNN与上述公网UPF(亦可以称之为toC UPF)绑定,AMF接收到该PDU会话创建请求后,依据通用DNN和园区终端的当前地理位置信息,选择向公网SMF发送该PDU会话创建请求,公网SMF依据上述通用DNN选择与作为主锚点的公网UPF建立用户面路径,并在公网SMF和公网UPF之间的用户面路径建立之后,向园区终端发送PDU会话创建接收(accept),以完成园区终端和公网之间的PDU会话的建立,此时,园区终端通过公网SMF和公网UPF形成的用户面路径访问公网。
园区终端向AMF发起PDU会话创建请求时,该PDU会话创建请求携带了园区终端的二次鉴权信息,比如,PAP鉴权相关的用户名和口令,EAP鉴权相关的用户标识,AMF转发该二次鉴权信息给公网SMF,公网SMF将该二次鉴权信息保存,以备后续调用。
需要说明的是,园区终端的一次鉴权过程为现有技术中园区终端和AMF之间的鉴权过程,此处不再赘述。并且在园区终端向AMF发起PDU会话创建请求之前,一次鉴权已经成功。
S202,当确定园区终端需要访问园区内网时,则从策略控制功能网元PCF中获得园区终端已签约的数据网络接入标识符DNAI所绑定的二次鉴权参数;二次鉴权参数包括:二次鉴权标识、和数据网络验证、授权和记账服务器DN-AAA的IP地址;二次鉴权标识指示园区终端需要进行二次鉴权。
作为一个实施例,公网SMF会与PCF交互创建会话策略控制偶联,公网SMF当园区终端位于园区内网的开放区域或园区终端访问园区内网的应用时,上报相关报告给PCF,PCF通过Npcf_SMPolicyControl_UpdateNotify下发园区终端已签约的数据网络接入标识符DNAI所绑定的二次鉴权参数;二次鉴权参数至少包括:二次鉴权标识、DN-AAA的IP地址。
在本实施例中,在园区终端进行网络注册前,需要在PCF中以DNAI为粒度签约二次鉴权功能。作为一个实施例,在PCF中以DNAI为粒度签约二次鉴权功能的具体实现方式可为,一般而言,一个PCF可以管理多个园区各自的园区终端,一个DNAI对应于一个园区,该园区的所有园区终端在签约时都与一个DNAI绑定,将二次鉴权参数也与该DNAI绑定。该二次鉴权参数至少包括:用于表明该园区终端需要进行二次鉴权的二次鉴权标识(后续简称secondaryAuth),用于对园区终端进行二次鉴权的DN-AAA的IP地址(后续简称dnAaaAddress),和需要DN-AAA分配IP地址的标识(后续简称dnAaaIpAddressAllocation)。
S203,在依据二次鉴权标识确定园区终端需要进行二次鉴权时,依据DN-AAA的IP地址,向DN-AAA发送接入请求,接入请求中携带二次鉴权信息,以触发DN-AAA基于二次鉴权信息对园区终端进行二次鉴权。
在本实施例中,当公网SMF获得PCF下发的园区终端已签约的DNAI所绑定的二次鉴权参数之后,公网SMF依据上述dnAaaAddress,携带之前保存的终端发送的二次鉴权信息向DN-AAA发送接入请求。可选的,如果SMF与DN-AAA的IP地址(记dnAaaAddress)无直达路由,则SMF会通过内网UPF(亦可以称之为toB UPF)建立到DN-AAA的数据通道,该数据通道用于公网SMF和DN-AAA之间的消息交互。进一步地,如果公网SMF服务区域未包含园区终端当前所在位置,公网SMF有可能会触发流程插入I-SMF和I-UPF,建立SMF-[I-SMF]-[I-UPF]-内网UPF-DN-AAA的数据通道,该数据通道用于公网SMF和DN-AAA之间的消息交互。
可选的,ULCL UPF和作为辅锚点的内网UPF以合设方式部署于园区。
在本实施例中,DN-AAA中已配置园区终端的二次鉴权信息,若SMF转发至DN-AAA的二次鉴权信息和DN-AAA侧已配置的鉴权信息匹配,则二次鉴权成功,DN-AAA向SMF发送接入成功(Access-Accept)的消息,否则,则二次鉴权失败,DN-AAA向SMF发送拒绝接入(Access-Reject)的消息。
考虑到上述二次鉴权信息一般为用户名和密码,用户名和密码有可能会被其它终端盗用,因此,DN-AAA中在配置园区终端的二次鉴权信息时,也配置了该园区终端的通用公共用户标识GPSI(比如,用户手机号),二次鉴权信息与GPSI具有对应关系,该GPSI为运营商提供,被认为是可信的。
作为一个实施例,公网SMF向DN-AAA发送的接入请求中还携带了园区终端的GPSI,相应地,上述步骤S203中触发DN-AAA依据二次鉴权信息对园区终端进行二次鉴权的具体实现方式为,触发DN-AAA依据二次鉴权信息和GPSI对园区终端进行二次鉴权。
在本实施例中,若SMF转发至DN-AAA的二次鉴权信息和DN-AAA侧已配置的二次鉴权信息匹配,且SMF转发至DN-AAA的园区终端的GPSI和DN-AAA侧已配置的二次鉴权信息对应的已配置的GPSI匹配,则二次鉴权成功,DN-AAA向SMF发送接入成功消息。若以下两方面中有任一方面不匹配:(1)SMF转发至DN-AAA的二次鉴权信息和DN-AAA侧已配置的二次鉴权信息不匹配,(2)SMF转发至DN-AAA的GPSI和DN-AAA侧已配置的二次鉴权信息对应的已配置的GPSI不匹配,则二次鉴权不成功,DN-AAA向SMF发送拒绝接入消息。举例来说,二次鉴权信息为用户名和密码,比如DN-AAA已配置用户名A、密码bbbbbb、以及用户名A和GPSI-139xxx11具有对应关系;但是SMF转发过来的是用户名A、密码bbbbbb、GPSI-139xxx12,此时意味着账号密码可能被GPSI-139xxx12盗用,二次鉴权失败。
S204,在接收到DN-AAA在基于二次鉴权信息确定园区终端通过二次鉴权后发送的接入成功消息后,触发该DNAI对应的分流用户面功能网元ULCL UPF将园区终端的数据包向园区内网和公网进行分流。
也就是说,触发该DNAI对应的分流用户面功能网元ULCL UPF将园区终端访问园区内网的数据包通过内网用户面功能网元UPF转发至园区内网,以及将园区终端访问公网的数据包通过公网UPF转发至公网。
至此,完成图2所示流程。
通过图2流程达到的效果,以园区终端在PCF中以DNAI为粒度签约二次鉴权功能(记,PCF中存在园区终端已签约的DNAI所绑定的二次鉴权参数)为前提,当确定园区终端需要访问园区内网时,则公网SMF从PCF中获得园区终端已签约的DNAI所绑定的二次鉴权参数,在依据该二次鉴权参数中包括的二次鉴权标识确定园区终端需要进行二次鉴权时,依据该二次鉴权参数中包括的DN-AAA的IP地址向DN-AAA发送携带二次鉴权信息的接入请求,以触发DN-AAA对园区终端进行二次鉴权,在接收到接入成功消息后,触发该DNAI对应的分流用户面功能网元ULCL UPF将园区终端访问园区内网的数据包通过内网UPF转发至园区内网,以及将园区终端访问公网的数据包通过公网UPF转发至公网,这实现了在确定园区终端具有访问园区内网需求时对该园区终端进行二次鉴权,以实现园区终端的可信接入的目的。
进一步地,由于园区终端在PCF中以DNAI为粒度签约二次鉴权功能,而非在UDM中以DNN为粒度签约二次鉴权功能,这使得公网SMF在接收到园区终端以通用DNN发起的PDU会话创建请求时,无须像现有技术中描述的如果UDM中该通用DNN绑定了表示该园区终端需要进行二次鉴权的标识,则必须在建立园区终端和公网之间的PDU会话的同时进行二次鉴权,只有在二次鉴权成功时PDU会话才能成功建立,园区终端才能访问公网,而是直接基于该PDU会话创建请求中携带的通用DNN,选择该通用DNN对应的公网UPF建立用户面通道,触发园区终端和公网之间的PDU会话的建立,无需进行二次鉴权就能实现园区终端访问公网,换言之,无论后续二次鉴权成功与否,园区终端和公网之间的PDU会话已经建立,不影响用户访问公网,园区终端访问公网不受二次鉴权的约束。
本申请的另一方面,考虑到现有技术中,当园区终端以通用DNN建立PDU会话时,当园区终端开机,则公网UPF或公网SMF为其分配IP地址,在二次鉴权成功后,仍旧以公网UPF或公网SMF分配的IP地址访问园区内网,则在园区内网中,该IP地址可能已经被分配给园区内网的其他设备,这就造成了IP地址冲突的可能。下面结合下述实施例,详细阐述如何解决上述存在潜在IP冲突的问题。
作为一个实施例,在上述步骤S201中公网SMF与公网UPF建立用户面路径的过程中,公网UPF或公网SMF为园区终端分配第一IP地址(记UE IP1),UE IP1被公网SMF转发给园区终端。在本实施例中,PCF下发给公网SMF的二次鉴权信息还包括IP地址分配标识时,IP地址分配标识用于指示园区终端需要DN-AAA给其分配IP地址,则公网SMF向DN-AAA发送的接入请求中还携带了3GPP-Allocate-IP-Type属性信息,属性信息用于请求所述DN-AAA给所述园区终端分配IP地址。相应地,在上述二次鉴权成功之后,DN-AAA会为园区终端分配第二IP地址(记UE IP2),并且向公网SMF发送的接入成功消息中携带了UE IP2,但公网SMF并不将UE IP2转发给园区终端。公网SMF依据第一IP地址和第二IP地址确定的报文检测规则和转发动作规则,并将上述报文检测规则和转发动作规则下发给内网UPF,内网UPF执行报文检测规则和转发动作规则,以实现二次鉴权成功后,园区终端以UE IP1访问公网,对于内网服务器而言,内网服务器以UE IP2下发数据包。下面结合图3对IP地址替换的过程进行详细描述:
图3为本申请一示例性实施例提供的IP地址替换的过程的流程示意图。如图3所示,该流程包括如下步骤。作为一个实施例,该方法可由内网UPF执行。
S301内网UPF在检测到园区终端访问园区内网的数据包中携带第一IP地址的字段时,将第一IP地址的字段替换为第二IP地址的字段,并将替换后的数据包转发至园区内网。
在本实施例中,公网SMF依据该UE IP1和UE IP2构造相应的报文检测规则和转发动作规则,并下发上述规则给内网UPF。具体而言,上行方向,公网SMF在园区内网访问流量对应的报文检测规则所绑定的转发动作规则中,增加IP地址替换字段,其中携带UE IP2。内网UPF依据公网SMF构造的上述规则,在检测到园区终端访问园区内网的数据包中携带UEIP1的字段时,将UE IP1的字段替换为UE IP2的字段,并将替换后的数据包转发至园区内网。
S302,内网UPF在检测到园区内网向园区终端发送的数据包中携带第二IP地址的字段时,将第二IP地址的字段替换为第一IP地址的字段,并由内网UPF将替换后的数据包转发至ULCL UPF,以由ULCL UPF转发至园区终端。
具体地,下行方向,公网SMF在园区内网访问流量对应的报文检测规则中UE IPaddress字段携带UE IP2,并在该报文检测规则所绑定的转发动作规则中增加用户IP地址替换字段,其中携带UE IP1。内网UPF依据公网SMF构造的上述规则,在检测到园区内网向园区终端发送的数据包中携带UE IP2的字段时,将UE IP2的字段替换为UE IP1的字段,并将替换后的数据包ULCL UPF,以由ULCL UPF转发至园区终端。
至此,完成图3所示流程。
通过图3流程达到的效果,通过上述方式,DN-AAA给园区终端分配第二IP地址之后,通过内网UPF进行IP地址替换,解决了上述IP地址冲突的问题。此外,园区终端的GPSI与DN-AAA分配的UE IP2在DN-AAA进行二次鉴权时还能建立映射,这有利于园区后续开展安全方面的溯源。
图4为本申请一示例性实施例提供的5G双域专网的接入方法的交互流程示意图。该5G双域专网的接入方法是在图1示出的组网架构的基础上实现的。如图4所示,该流程包括如下步骤。
S401,园区终端以通用DNN向AMF发送PDU会话创建请求,
在本实施例中,该PDU会话创建请求中携带园区终端的二次鉴权信息。上述二次鉴权信息包括PAP鉴权相关的用户名和口令,和/或,EAP鉴权相关的用户标识。
S402,AMF向公网SMF转发该PDU会话创建请求。
S403,公网SMF保存二次鉴权信息,并选择与公网UPF建立用户面路径,并在公网SMF和公网UPF之间的用户面路径建立之后,向园区终端发送PDU会话创建接受,以完成园区终端和公网之间的PDU会话的建立。
S404,在公网SMF与公网UPF建立用户面路径的过程中,公网SMF或公网UPF为园区终端分配UE IP1。
此时,园区终端可以访问公网,即园区终端和公网之间的PDU会话已经建立。PDU会话建立完成后,当园区终端位于园区内网的开放区域或园区终端访问园区内网的应用时,执行下述步骤S405。
S405,PCF下发园区终端已签约的DNAI以及该DNAI所绑定的二次鉴权参数给公网SMF。
在本实施例中,园区终端位于园区内网的开放区域或园区终端访问园区内网的应用时,公网SMF通过Npcf_SMPolicyControl_UpdateRequest上报相关报告给PCF,PCF通过Npcf_SMPolicyControl_UpdateResponse或Npcf_SMPolicyControl_UpdateNotify下发园区内网分流策略(含上述DNAI)以及与DNAI绑定的二次鉴权参数给公网SMF。其中,二次鉴权参数包括:二次鉴权标识secondaryAuth、DN-AAA的IP地址dnAaaAddress、和需要DN-AAA分配IP地址的标识dnAaaIpAddressAllocation。
S406,公网SMF依据secondaryAuth确定园区终端需要进行二次鉴权时,依据dnAaaAddress,发送接入请求给DN-AAA。
本实施例中,接入请求记为Access-Request,Access-Request中携带上述二次鉴权信息、3GPP-Allocate-IP-Type属性信息、以及园区终端的GPSI。
S407,DN-AAA对园区终端进行二次鉴权。上述二次鉴权不成功,则执行下述步骤S408,二次鉴权成功,则执行下述步骤S409。
在本实施例中,若SMF转发至DN-AAA的二次鉴权信息和DN-AAA侧已配置的鉴权信息匹配,且SMF转发至DN-AAA的GPSI和DN-AAA侧已配置的GPSI匹配,则二次鉴权成功。若SMF转发至DN-AAA的二次鉴权信息和DN-AAA侧已配置的鉴权信息不匹配,和/或,SMF转发至DN-AAA的GPSI和DN-AAA侧已配置的GPSI不匹配,则二次鉴权不成功。
S408,DN-AAA给公网SMF发送拒绝接入消息。
在本实施例中,拒绝接入消息记为Access-Reject,当DN-AAA给公网SMF发送Access-Reject时,结束流程。
S409,DN-AAA给公网SMF发送接入成功消息,并为园区终端分配UE IP2,并对UEIP2与园区终端的GPSI建立映射。
在本实施例中,接入成功消息记为Access-Accept。
S4010,公网SMF接收到接入成功消息之后,选择内网UPF作为辅锚点,插入ULCLUPF并更新用户面通路。
此时,更新的用户面通路为终端、基站、ULCL UPF、公网UPF和公网,以及终端、基站、ULCL UPF、内网UPF和园区内网。
S4011,公网SMF依据该UE IP1和UE IP2构造相应的报文检测规则和转发动作规则,并下发上述规则给内网UPF。
S4012,内网UPF检测到园区终端访问园区内网的数据包中携带第一IP地址的字段时,将第一IP地址的字段替换为第二IP地址的字段,并将替换后的数据包转发至园区内网。
S4013,内网UPF检测到园区内网向园区终端发送的数据包中携带第二IP地址的字段时,将第二IP地址的字段替换为第一IP地址的字段,并将替换后的数据包转发到ULCLUPF,由ULCL UPF转发至所述园区终端。
S4014,公网SMF在完成步骤S4011之后,发送计费开始请求给DN-AAA,通知DN-AAA园区终端已成功上线。
在本实施例中,计费开始请求记为Accounting-Request(START)。
S4015,园区终端关机时,触发PDU会话的删除,SMF会发送计费结束请求给DN-AAA。
在本实施例中,计费结束请求记为Accounting-Request(STOP)。
DN-AAA在收到计费结束请求时,DN-AAA回收给用户终端分配的UE IP2并清除UEIP2与用户GPSI的映射。
至此,完成图4所示流程。
通过图4流程达到的效果,通过上述方式,不仅实现了采用通用DNN访问园区内网受二次鉴权约束,而采用通用DNN访问公网则可不受二次鉴权约束,即实现访问公网与二次鉴权解耦,而且通过IP地址替换,避免了潜在IP冲突问题。此外,园区终端的GPSI与DN-AAA分配的UE IP2在DN-AAA进行二次鉴权时建立了映射,有利于园区后续开展安全方面的溯源。
与前述5G双域专网的接入方法的实施例相对应,本申请还提供了5G双域专网的接入装置的实施例。
本申请5G双域专网的接入装置的实施例可以应用在公网SMF上。装置实施例可以通过软件实现,也可以通过硬件或者软硬件结合的方式实现。以软件实现为例,作为一个逻辑意义上的装置,是通过其所在设备的处理器将非易失性存储器中对应的计算机程序指令读取到内存中运行形成的。从硬件层面而言,如图5所示,为本申请5G双域专网的接入装置所在设备的一种硬件结构图,除了图5所示的处理器、内存、网络接口、以及非易失性存储器之外,实施例中装置所在的设备通常根据该设备的实际功能,还可以包括其他硬件,对此不再赘述。
图6为本申请一实施例提供的5G双域专网的接入装置的结构示意图。本申请实施例提供的5G双域专网的接入装置600,作为一个实施例,该5G双域专网的接入装置600可应用于公网SMF。如图6所示,计算资源调度装置600包括:会话建立模块601、获得模块602、发送模块603和控制模块604。
会话建立模块601,用于在园区终端与接入移动管理网元AMF之间的一次鉴权通过的情况下,基于接收的园区终端发起的协议数据单元PDU会话创建请求中携带的通用数据网络名称DNN,选择与该通用DNN对应的公网用户面功能网元UPF建立用户面路径,以在用户面路径建立之后触发园区终端和公网之间的PDU会话的建立;并保存PDU会话创建请求中携带的二次鉴权信息;二次鉴权信息为二次鉴权过程中需要被验证的信息;
获得模块602,用于当确定园区终端需要访问园区内网时,则从策略控制功能网元PCF中获得园区终端已签约的数据网络接入标识符DNAI所绑定的二次鉴权参数;二次鉴权参数包括:二次鉴权标识、和数据网络验证、授权和记账服务器DN-AAA的IP地址;二次鉴权标识指示园区终端需要进行二次鉴权;
发送模块603,用于在依据二次鉴权标识确定园区终端需要进行二次鉴权时,依据DN-AAA的IP地址,向DN-AAA发送接入请求,接入请求中携带二次鉴权信息,以触发DN-AAA基于二次鉴权信息对园区终端进行二次鉴权;
控制模块604,用于在接收到DN-AAA在基于二次鉴权信息确定园区终端通过二次鉴权后发送的接入成功消息后,触发该DNAI对应的分流用户面功能网元ULCL UPF将园区终端的数据包向园区内网和公网进行分流。
作为一个实施例,在二次鉴权参数还包括IP地址分配标识时,IP地址分配标识用于指示园区终端需要DN-AAA给其分配IP地址,接入请求中还携带3GPP-Allocate-IP-Type属性信息,属性信息用于请求DN-AAA给园区终端分配IP地址;本公网SMF接收到的接入成功消息中还携带DN-AAA为园区终端分配的第二IP地址;
该装置还包括:
发送模块,进一步用于在本公网SMF与公网UPF建立用户面路径的过程中,本公网SMF为园区终端分配第一IP地址并向园区终端发送第一IP地址,或,接收公网UPF为园区终端分配的第一IP地址,并向园区终端转发第一IP地址;
发送模块,进一步用于向内网UPF下发依据第一IP地址和第二IP地址确定的报文检测规则和转发动作规则,以由内网UPF执行报文检测规则和转发动作规则;报文检测规则和转发动作规则用于指示内网UPF在检测到园区终端访问园区内网的数据包中携带第一IP地址的字段时,将第一IP地址的字段替换为第二IP地址的字段,并将替换后的数据包转发至园区内网,以及,用于指示内网UPF在检测到园区内网向园区终端发送的数据包中携带第二IP地址的字段时,将第二IP地址的字段替换为第一IP地址的字段,并将替换后的数据包转发至ULCL UPF,由ULCL UPF转发至园区终端。
作为一个实施例,接入请求中还携带园区终端的通用公共用户标识GPSI;
其中,触发DN-AAA基于二次鉴权信息对园区终端进行二次鉴权包括:
向DN-AAA发送GPSI,以触发DN-AAA依据二次鉴权信息和GPSI对园区终端进行二次鉴权。
作为一个实施例,确定园区终端需要访问园区内网包括如下步骤:
当园区终端位于园区内网的开放区域或园区终端访问园区内网的应用时,确定园区终端需要访问园区内网。
对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,既可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
本说明书中描述的主题及功能操作的实施例可以在以下中实现:数字电子电路、有形体现的计算机软件或固件、包括本说明书中公开的结构及其结构性等同物的计算机硬件、或者它们中的一个或多个的组合。本说明书中描述的主题的实施例可以实现为一个或多个计算机程序,即编码在有形非暂时性程序载体上以被数据处理装置执行或控制数据处理装置的操作的计算机程序指令中的一个或多个模块。可替代地或附加地,程序指令可以被编码在人工生成的传播信号上,例如机器生成的电、光或电磁信号,该信号被生成以将信息编码并传输到合适的接收机装置以由数据处理装置执行。计算机存储介质可以是机器可读存储设备、机器可读存储基板、随机或串行存取存储器设备、或它们中的一个或多个的组合。
本说明书中描述的处理及逻辑流程可以由执行一个或多个计算机程序的一个或多个可编程计算机执行,以通过根据输入数据进行操作并生成输出来执行相应的功能。处理及逻辑流程还可以由专用逻辑电路—例如FPGA(现场可编程门阵列)或ASIC(专用集成电路)来执行,并且装置也可以实现为专用逻辑电路。
适合用于执行计算机程序的计算机包括,例如通用和/或专用微处理器,或任何其他类型的中央处理单元。通常,中央处理单元将从只读存储器和/或随机存取存储器接收指令和数据。计算机的基本组件包括用于实施或执行指令的中央处理单元以及用于存储指令和数据的一个或多个存储器设备。通常,计算机还将包括用于存储数据的一个或多个大容量存储设备,例如磁盘、磁光盘或光盘等,或者计算机将可操作地与此大容量存储设备耦接以从其接收数据或向其传送数据,抑或两种情况兼而有之。然而,计算机不是必须具有这样的设备。此外,计算机可以嵌入在另一设备中,例如移动电话、个人数字助理(PDA)、移动音频或视频播放器、游戏操纵台、全球定位系统(GPS)接收机、或例如通用串行总线(USB)闪存驱动器的便携式存储设备,仅举几例。
适合于存储计算机程序指令和数据的计算机可读介质包括所有形式的非易失性存储器、媒介和存储器设备,例如包括半导体存储器设备(例如EPROM、EEPROM和闪存设备)、磁盘(例如内部硬盘或可移动盘)、磁光盘以及CD ROM和DVD-ROM盘。处理器和存储器可由专用逻辑电路补充或并入专用逻辑电路中。
虽然本说明书包含许多具体实施细节,但是这些不应被解释为限制任何发明的范围或所要求保护的范围,而是主要用于描述特定发明的具体实施例的特征。本说明书内在多个实施例中描述的某些特征也可以在单个实施例中被组合实施。另一方面,在单个实施例中描述的各种特征也可以在多个实施例中分开实施或以任何合适的子组合来实施。此外,虽然特征可以如上在某些组合中起作用并且甚至最初如此要求保护,但是来自所要求保护的组合中的一个或多个特征在一些情况下可以从该组合中去除,并且所要求保护的组合可以指向子组合或子组合的变型。
类似地,虽然在附图中以特定顺序描绘了操作,但是这不应被理解为要求这些操作以所示的特定顺序执行或顺次执行、或者要求所有例示的操作被执行,以实现期望的结果。在某些情况下,多任务和并行处理可能是有利的。此外,上述实施例中的各种系统模块和组件的分离不应被理解为在所有实施例中均需要这样的分离,并且应当理解,所描述的程序组件和系统通常可以一起集成在单个软件产品中,或者封装成多个软件产品。
由此,主题的特定实施例已被描述。其他实施例在所附权利要求书的范围以内。在某些情况下,权利要求书中记载的动作可以以不同的顺序执行并且仍实现期望的结果。此外,附图中描绘的处理并非必需所示的特定顺序或顺次顺序,以实现期望的结果。在某些实现中,多任务和并行处理可能是有利的。
以上仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (10)
1.一种5G双域专网的接入方法,其特征在于,应用于5G核心网中的公网会话管理功能网元SMF,所述方法包括:
在园区终端与接入移动管理网元AMF之间的一次鉴权通过的情况下,基于接收的园区终端发起的协议数据单元PDU会话创建请求中携带的通用数据网络名称DNN,选择与该通用DNN对应的公网用户面功能网元UPF建立用户面路径,以在所述用户面路径建立之后触发所述园区终端和公网之间的PDU会话的建立;并保存所述PDU会话创建请求中携带的二次鉴权信息;所述二次鉴权信息为二次鉴权过程中需要被验证的信息;
当确定所述园区终端需要访问园区内网时,则从策略控制功能网元PCF中获得所述园区终端已签约的数据网络接入标识符DNAI所绑定的二次鉴权参数;所述二次鉴权参数包括:二次鉴权标识、和数据网络验证、授权和记账服务器DN-AAA的IP地址;所述二次鉴权标识指示所述园区终端需要进行二次鉴权;
在依据所述二次鉴权标识确定所述园区终端需要进行二次鉴权时,依据所述DN-AAA的IP地址,向所述DN-AAA发送接入请求,所述接入请求中携带所述二次鉴权信息,以触发所述DN-AAA基于所述二次鉴权信息对所述园区终端进行二次鉴权;
在接收到所述DN-AAA在基于所述二次鉴权信息确定所述园区终端通过二次鉴权后发送的接入成功消息后,触发该DNAI对应的分流用户面功能网元ULCL UPF将所述园区终端的数据包向园区内网和公网进行分流。
2.根据权利要求1所述的方法,其特征在于,在所述二次鉴权参数还包括IP地址分配标识时,所述IP地址分配标识用于指示所述园区终端需要所述DN-AAA给其分配IP地址,所述接入请求中还携带3GPP-Allocate-IP-Type属性信息,所述属性信息用于请求所述DN-AAA给所述园区终端分配IP地址;本公网SMF接收到的所述接入成功消息中还携带所述DN-AAA为所述园区终端分配的第二IP地址;
所述方法还包括:
在本公网SMF与公网UPF建立用户面路径的过程中,本公网SMF为所述园区终端分配第一IP地址并向所述园区终端发送所述第一IP地址,或,接收所述公网UPF为所述园区终端分配的第一IP地址,并向所述园区终端转发所述第一IP地址;
向所述内网UPF下发依据所述第一IP地址和所述第二IP地址确定的报文检测规则和转发动作规则,以由所述内网UPF执行所述报文检测规则和转发动作规则;所述报文检测规则和转发动作规则用于指示所述内网UPF在检测到所述园区终端访问所述园区内网的数据包中携带第一IP地址的字段时,将所述第一IP地址的字段替换为所述第二IP地址的字段,并将替换后的数据包转发至所述园区内网,以及,用于指示所述内网UPF在检测到所述园区内网向所述园区终端发送的数据包中携带所述第二IP地址的字段时,将所述第二IP地址的字段替换为所述第一IP地址的字段,并将替换后的数据包转发至ULCL UPF,由所述ULCL UPF转发至所述园区终端。
3.根据权利要求1所述的方法,其特征在于,所述接入请求中还携带所述园区终端的通用公共用户标识GPSI;
其中,所述触发所述DN-AAA基于所述二次鉴权信息对所述园区终端进行二次鉴权包括:
向所述DN-AAA发送所述GPSI,以触发所述DN-AAA依据所述二次鉴权信息和所述GPSI对所述园区终端进行二次鉴权。
4.根据权利要求1所述的方法,其特征在于,所述确定所述园区终端需要访问园区内网包括如下步骤:
当所述园区终端位于园区内网的开放区域或所述园区终端访问园区内网的应用时,确定所述园区终端需要访问园区内网。
5.一种5G双域专网系统的接入系统,其特征在于,该系统包括:5G核心网的公网SMF、所述园区内网被部署的DN-AAA、ULCL UPF和内网UPF;
公网SMF,用于执行如权利要求1至4任一所述方法中的步骤;
所述DN-AAA,用于在接收到所述公网SMF发送的接入请求时,依据所述接入请求中携带的二次鉴权信息对园区终端进行二次鉴权,或,依据所述接入请求中携带的二次鉴权信息和所述园区终端的GPSI对所述园区终端进行二次鉴权,并在确定所述园区终端通过二次鉴权后,向所述公网SMF发送接入成功消息;
所述ULCL UPF,用于在公网SMF接收到所述接入成功消息后,被触发将所述园区终端访问所述园区内网的数据包通过所述内网UPF转发至园区内网,以及将所述园区终端访问公网的数据包通过所述公网UPF转发至公网;
所述内网UPF,用于将ULCL UPF发送的所述园区终端访问所述园区内网的数据包转发至园区内网,或者,在接收所述公网SMF下发的报文检测规则和转发动作规则时,以依据所述报文检测规则和转发动作规则,在检测到所述园区终端访问所述园区内网的数据包中携带第一IP地址的字段时,将所述第一IP地址的字段替换为第二IP地址的字段,并将替换后的数据包转发至所述园区内网,以及,在检测到所述园区内网向所述园区终端发送的数据包中携带所述第二IP地址的字段时,将所述第二IP地址的字段替换为所述第一IP地址的字段,并将替换后的数据包转发至所述ULCL UPF,由所述ULCL UPF转发至所述园区终端。
6.根据权利要求5所述的系统,其特征在于,所述依据所述接入请求中携带的二次鉴权信息对园区终端进行二次鉴权包括:
若所述二次鉴权信息和所述DN-AAA中已配置的二次鉴权信息匹配,则确定所述园区终端通过二次鉴权,若所述二次鉴权信息和所述DN-AAA中已配置的二次鉴权信息不匹配,则确定所述园区终端未通过二次鉴权;
和/或,
所述依据所述接入请求中携带的二次鉴权信息和所述园区终端的GPSI对所述园区终端进行二次鉴权,包括:
若所述二次鉴权信息和所述DN-AAA中已配置的二次鉴权信息匹配,且所述园区终端的GPSI和所述DN-AAA中已配置的二次鉴权信息对应的已配置的GPSI匹配,则确定所述园区终端通过二次鉴权,若所述二次鉴权信息和所述DN-AAA中已配置的二次鉴权信息不匹配,和/或,所述园区终端的GPSI和所述DN-AAA中已配置的二次鉴权信息对应的已配置的GPSI不匹配,则确定所述园区终端未通过二次鉴权。
7.一种5G双域专网的接入装置,其特征在于,应用于5G核心网中的公网会话管理功能网元SMF,所述装置包括:
会话建立模块,用于在园区终端与接入移动管理网元AMF之间的一次鉴权通过的情况下,基于接收的园区终端发起的协议数据单元PDU会话创建请求中携带的通用数据网络名称DNN,选择与该通用DNN对应的公网用户面功能网元UPF建立用户面路径,以在所述用户面路径建立之后触发所述园区终端和公网之间的PDU会话的建立;并保存所述PDU会话创建请求中携带的二次鉴权信息;所述二次鉴权信息为二次鉴权过程中需要被验证的信息;
获得模块,用于当确定所述园区终端需要访问园区内网时,则从策略控制功能网元PCF中获得所述园区终端已签约的数据网络接入标识符DNAI所绑定的二次鉴权参数;所述二次鉴权参数包括:二次鉴权标识、和数据网络验证、授权和记账服务器DN-AAA的IP地址;所述二次鉴权标识指示所述园区终端需要进行二次鉴权;
发送模块,用于在依据所述二次鉴权标识确定所述园区终端需要进行二次鉴权时,依据所述DN-AAA的IP地址,向所述DN-AAA发送接入请求,所述接入请求中携带所述二次鉴权信息,以触发所述DN-AAA基于所述二次鉴权信息对所述园区终端进行二次鉴权;
控制模块,用于在接收到所述DN-AAA在基于所述二次鉴权信息确定所述园区终端通过二次鉴权后发送的接入成功消息后,触发将所述园区终端的数据包向园区内网和公网进行分流。
8.根据权利要求7所述的装置,其特征在于,在所述二次鉴权参数还包括IP地址分配标识时,所述IP地址分配标识用于指示所述园区终端需要所述DN-AAA给其分配IP地址,所述接入请求中还携带3GPP-Allocate-IP-Type属性信息,所述属性信息用于请求所述DN-AAA给所述园区终端分配IP地址;本公网SMF接收到的所述接入成功消息中还携带所述DN-AAA为所述园区终端分配的第二IP地址;
所述装置还包括:
所述发送模块,进一步用于在本公网SMF与公网UPF建立用户面路径的过程中,本公网SMF为所述园区终端分配第一IP地址并向所述园区终端发送所述第一IP地址,或,接收所述公网UPF为所述园区终端分配的第一IP地址,并向所述园区终端转发所述第一IP地址;
所述发送模块,进一步用于向所述内网UPF下发依据所述第一IP地址和所述第二IP地址确定的报文检测规则和转发动作规则,以由所述内网UPF执行所述报文检测规则和转发动作规则;所述报文检测规则和转发动作规则用于指示所述内网UPF在检测到所述园区终端访问所述园区内网的数据包中携带第一IP地址的字段时,将所述第一IP地址的字段替换为所述第二IP地址的字段,并将替换后的数据包转发至所述园区内网,以及,用于指示所述内网UPF在检测到所述园区内网向所述园区终端发送的数据包中携带所述第二IP地址的字段时,将所述第二IP地址的字段替换为所述第一IP地址的字段,并将替换后的数据包转发至ULCL UPF,由所述ULCL UPF转发至所述园区终端;
和/或,
所述接入请求中还携带所述园区终端的通用公共用户标识GPSI;
其中,所述触发所述DN-AAA基于所述二次鉴权信息对所述园区终端进行二次鉴权包括:
向所述DN-AAA发送所述GPSI,以触发所述DN-AAA依据所述二次鉴权信息和所述GPSI对所述园区终端进行二次鉴权;
和/或,
所述确定所述园区终端需要访问园区内网包括如下步骤:
当所述园区终端位于园区内网的开放区域或所述园区终端访问园区内网的应用时,确定所述园区终端需要访问园区内网。
9.一种电子设备,其特征在于,包括:
处理器;以及
存储器,在所述存储器中存储有计算机程序指令,所述计算机程序指令在被所述处理器运行时使得所述处理器执行如权利要求1至4任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序指令,所述计算机程序指令在被处理器运行时使得所述处理器执行如权利要求1至4任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311281410.3A CN117041969B (zh) | 2023-09-28 | 2023-09-28 | 5g双域专网的接入方法、系统及装置、电子设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311281410.3A CN117041969B (zh) | 2023-09-28 | 2023-09-28 | 5g双域专网的接入方法、系统及装置、电子设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN117041969A true CN117041969A (zh) | 2023-11-10 |
| CN117041969B CN117041969B (zh) | 2024-01-02 |
Family
ID=88641384
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311281410.3A Active CN117041969B (zh) | 2023-09-28 | 2023-09-28 | 5g双域专网的接入方法、系统及装置、电子设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117041969B (zh) |
Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188679A (zh) * | 2011-12-30 | 2013-07-03 | 联芯科技有限公司 | 一种改进双域并发建链过程的方法和系统 |
| CN109391940A (zh) * | 2017-08-02 | 2019-02-26 | 华为技术有限公司 | 一种接入网络的方法、设备及系统 |
| CN113438647A (zh) * | 2020-03-05 | 2021-09-24 | 大唐移动通信设备有限公司 | 一种公网用户接入专网的方法、呼叫业务处理方法及设备 |
| US20210321466A1 (en) * | 2020-04-14 | 2021-10-14 | Deutsche Telekom Ag | Method for setting up and for application of expected communication behavior and in communication system |
| CN113938525A (zh) * | 2021-08-30 | 2022-01-14 | 武汉武钢绿色城市技术发展有限公司 | 5g泛终端接入管理和资源调度平台服务器、系统及方法 |
| EP4024922A1 (en) * | 2020-04-30 | 2022-07-06 | Tencent Technology (Shenzhen) Company Limited | Method for achieving service continuity and related devices |
| CN114745724A (zh) * | 2022-05-05 | 2022-07-12 | 中国电信股份有限公司 | 访问处理方法及装置、电子设备、计算机可读介质 |
| CN115119191A (zh) * | 2022-06-21 | 2022-09-27 | 中电信数智科技有限公司 | 一种基于5g ulcl分流的漫游场景下访问多数据中心的方法及系统 |
| CN115209395A (zh) * | 2021-04-02 | 2022-10-18 | 华为技术有限公司 | 一种网络接入方法及装置 |
| CN115412911A (zh) * | 2021-05-28 | 2022-11-29 | 华为技术有限公司 | 一种鉴权方法、通信装置和系统 |
| CN115835202A (zh) * | 2022-10-10 | 2023-03-21 | 中通服中睿科技有限公司 | 一种鉴权方法及系统 |
| CN115866598A (zh) * | 2023-02-27 | 2023-03-28 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信接入方法 |
| CN115996378A (zh) * | 2021-10-20 | 2023-04-21 | 华为技术有限公司 | 鉴权方法及装置 |
| CN115996381A (zh) * | 2023-03-22 | 2023-04-21 | 广州赛讯信息技术有限公司 | 一种无线专网的网络安全管控方法、系统、装置及介质 |
| CN116528151A (zh) * | 2023-06-29 | 2023-08-01 | 新华三技术有限公司 | 5g双域专网实现方法、系统、装置及电子设备 |
| CN116528397A (zh) * | 2023-06-29 | 2023-08-01 | 新华三技术有限公司 | 5g双域专网的实现方法及装置、5g双域专网系统 |
| CN116782345A (zh) * | 2023-07-25 | 2023-09-19 | 中国电信股份有限公司技术创新中心 | 通信方法、通信装置、存储介质与电子设备 |
| CN116801351A (zh) * | 2022-03-17 | 2023-09-22 | 华为技术有限公司 | 一种接入控制方法及装置 |
-
2023
- 2023-09-28 CN CN202311281410.3A patent/CN117041969B/zh active Active
Patent Citations (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103188679A (zh) * | 2011-12-30 | 2013-07-03 | 联芯科技有限公司 | 一种改进双域并发建链过程的方法和系统 |
| CN109391940A (zh) * | 2017-08-02 | 2019-02-26 | 华为技术有限公司 | 一种接入网络的方法、设备及系统 |
| CN113438647A (zh) * | 2020-03-05 | 2021-09-24 | 大唐移动通信设备有限公司 | 一种公网用户接入专网的方法、呼叫业务处理方法及设备 |
| US20210321466A1 (en) * | 2020-04-14 | 2021-10-14 | Deutsche Telekom Ag | Method for setting up and for application of expected communication behavior and in communication system |
| EP4024922A1 (en) * | 2020-04-30 | 2022-07-06 | Tencent Technology (Shenzhen) Company Limited | Method for achieving service continuity and related devices |
| CN115209395A (zh) * | 2021-04-02 | 2022-10-18 | 华为技术有限公司 | 一种网络接入方法及装置 |
| CN115412911A (zh) * | 2021-05-28 | 2022-11-29 | 华为技术有限公司 | 一种鉴权方法、通信装置和系统 |
| CN113938525A (zh) * | 2021-08-30 | 2022-01-14 | 武汉武钢绿色城市技术发展有限公司 | 5g泛终端接入管理和资源调度平台服务器、系统及方法 |
| CN115996378A (zh) * | 2021-10-20 | 2023-04-21 | 华为技术有限公司 | 鉴权方法及装置 |
| CN116801351A (zh) * | 2022-03-17 | 2023-09-22 | 华为技术有限公司 | 一种接入控制方法及装置 |
| CN114745724A (zh) * | 2022-05-05 | 2022-07-12 | 中国电信股份有限公司 | 访问处理方法及装置、电子设备、计算机可读介质 |
| CN115119191A (zh) * | 2022-06-21 | 2022-09-27 | 中电信数智科技有限公司 | 一种基于5g ulcl分流的漫游场景下访问多数据中心的方法及系统 |
| CN115835202A (zh) * | 2022-10-10 | 2023-03-21 | 中通服中睿科技有限公司 | 一种鉴权方法及系统 |
| CN115866598A (zh) * | 2023-02-27 | 2023-03-28 | 北京派网科技有限公司 | 一种5g双域专网的零信任安全可信接入方法 |
| CN115996381A (zh) * | 2023-03-22 | 2023-04-21 | 广州赛讯信息技术有限公司 | 一种无线专网的网络安全管控方法、系统、装置及介质 |
| CN116528151A (zh) * | 2023-06-29 | 2023-08-01 | 新华三技术有限公司 | 5g双域专网实现方法、系统、装置及电子设备 |
| CN116528397A (zh) * | 2023-06-29 | 2023-08-01 | 新华三技术有限公司 | 5g双域专网的实现方法及装置、5g双域专网系统 |
| CN116782345A (zh) * | 2023-07-25 | 2023-09-19 | 中国电信股份有限公司技术创新中心 | 通信方法、通信装置、存储介质与电子设备 |
Non-Patent Citations (3)
| Title |
|---|
| CHANGSHENG WAN; AIQUN HU: "A Dynamic Network Access Identifier Used for Location Privacy", 《FUTURE GENERATION COMMUNICATION AND NETWORKING (FGCN 2007)》 * |
| 刘艳;: "移动通信系统中Wi-Fi分流系统方法研究", 移动通信, no. 06 * |
| 陈云斌;王全;黄强;白云龙;: "5G MEC UPF选择及本地分流技术分析", 移动通信, no. 01 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN117041969B (zh) | 2024-01-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110166409B (zh) | 设备接入方法、相关平台及计算机存储介质 | |
| CN112312339B (zh) | 计费方法、计费系统和通信装置 | |
| US8184575B2 (en) | Packet communication network and subscriber-associated-information delivery controller | |
| CN110167025B (zh) | 一种通信方法及通信装置 | |
| US10911414B2 (en) | Method and apparatus for data connectivity sharing | |
| US9042343B2 (en) | Method, apparatus and system for redirecting data traffic | |
| CN107809776B (zh) | 信息处理方法、装置以及网络系统 | |
| CN116528397B (zh) | 5g双域专网的实现方法及装置、5g双域专网系统 | |
| JP2014514789A (ja) | 端末、制御装置、通信方法、通信システム、通信モジュール、プログラムおよび情報処理装置 | |
| CN114080054A (zh) | 一种pdu会话建立方法、终端设备和芯片系统 | |
| US20080155678A1 (en) | Computer system for controlling communication to/from terminal | |
| KR102043642B1 (ko) | 접속 네트워크 베어러 설정 동안 m2m 관련 아이덴티티들을 이주시키기 위한 방법 및 장치 | |
| US8983457B2 (en) | Policy control architecture comprising an independent identity provider | |
| CN108462683B (zh) | 认证方法和装置 | |
| CN116097886A (zh) | 用于冗余传输的策略控制 | |
| JP5451902B2 (ja) | 公共設備におけるネットワークアクセス方法及びシステム | |
| CN113543121A (zh) | 一种终端参数更新的保护方法和通信装置 | |
| CN114513829A (zh) | 网络接入方法、装置、核心网、服务器及终端 | |
| JP2003515293A (ja) | 無線通信ネットワークの、移動局に対する認証方法並びに無線通信ネットワークおよび移動局 | |
| JP5451903B2 (ja) | 公共設備においてネットワークにアクセスする方法及びシステム | |
| KR20220159455A (ko) | 단말 파라미터 업데이트를 보호하는 방법 및 통신 장치 | |
| CN117041969B (zh) | 5g双域专网的接入方法、系统及装置、电子设备 | |
| US20060104263A1 (en) | Method of setting up connections for access by roaming user terminals to data networks | |
| TWI435631B (zh) | 認證伺服器、通信系統、連接裝置分配方法及電腦程式產品 | |
| CN109391601A (zh) | 一种授予终端网络权限的方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |