一种匹配终端与UPF的方法及系统与流程

本发明涉及移动通信领域，尤其涉及一种匹配终端与upf的方法及系统。

背景技术：

在5g核心网的网络架构中，用户平面功能实体(upf)网元，可以下沉部署到用户网络侧，为行业用户提供专用网络出口，实现专网应用。

目前针对upf的选择方法有很多种，主要都是根据dnn(datanetworkname，数据网络名)、qos(qualityofservice，服务质量)以及固定绑定等方式实现upf的选择，而上述方式都不能实现upf侧对终端ue(用户终端)的限制策略，即在一定网络区域内的ue都能够访问该区域的upf，而在一些行业专网应用中，行业用户对特定区域网络安全及信息保密性有严格的要求，希望能够对区域内终端ue的网络访问做策略控制，实现即使在upf区域中，也只有拥有权限的ue能够访问专门的upf。

技术实现要素：

本发明所要解决的技术问题是：提供一种匹配终端与upf的方法及系统，实现对用户终端访问upf的鉴权。

为了解决上述技术问题，本发明采用的一种技术方案为：

一种匹配终端与upf的方法，包括步骤：

s1、专用upf向基站管理平台发送网络区域信息，并接收所述基站管理平台根据所述网络区域信息下发的基站信息；

s2、所述专用upf将所述基站信息转发至smf网元；

s3、所述smf网元绑定所述基站信息及所述专用upf；

s4、所述smf网元接收afm网元转发的终端访问请求，所述终端访问请求包括终端信息、终端位置及发送基站，并根据所述发送基站将所述终端访问请求转发至第一专用upf；

s5、所述第一专用upf验证所述终端信息及所述终端位置，若验证通过，则根据所述终端信息建立注册信息，并对终端提供网络服务。

为了解决上述技术问题，本发明采用的另一种技术方案为：

一种匹配终端与upf的系统，包括专用upf及smf网元，所述专用upf包括第一存储器、第一处理器及存储在所述第一存储器上并可在所述第一处理器上运行的第一计算机程序；所述smf网元包括第二存储器、第二处理器及存储在所述第二存储器上并可在所述第二处理器上运行的第二计算机程序，所述第一处理器执行所述第一计算机程序时实现以下步骤：

s1、向基站管理平台发送网络区域信息，并接收所述基站管理平台根据所述网络区域信息下发的基站信息；

s2、将所述基站信息转发至smf网元；

s5、验证所述终端信息及所述终端位置，若验证通过，则根据所述终端信息建立注册信息，并对终端提供网络服务；

所述第二处理器执行所述第二计算机程序时实现以下步骤：

s3、绑定所述基站信息及所述专用upf；

s4、接收afm网元转发的终端访问请求，所述终端访问请求包括终端信息、终端位置及发送基站，并根据所述发送基站将所述终端访问请求转发至第一专用upf。

本发明的有益效果在于：专用upf发送其提供服务的网络区域信息并获取基站管理平台为其匹配的基站信息，smf网元将基站信息和其对应的专用upf绑定得到绑定信息，当smf接收到终端访问请求时，根据发送该终端访问请求的基站及绑定信息将终端访问请求转发至对应的upf，upf接收到该终端访问请求后，根据其中的终端信息和终端位置进行验证，验证通过之后才建立注册信息实现对终端提供网络服务，即使终端通过upf对应的基站发送终端访问请求，也需要在upf上通过终端信息及终端位置的验证之后才能够访问专用upf，实现了对终端的鉴权，保证了专用upf所提供的网络的私密性。

附图说明

图1为本发明实施例的一种匹配终端与upf的方法的步骤流程图；

图2为本发明实施例的一种匹配终端与upf的系统的结构示意图；

图3为本发明实施例的一种专用upf的组网结构示意图；

图4为本发明实施例的专用upf与基站管理平台通信的时序图；

图5为本发明实施例的smf处理终端访问请求的流程图；

图6为本发明实施例的专用upf处理终端访问请求的流程图；

标号说明：

3、一种匹配终端与upf的系统；1、专用upf；11、第一处理器；12第一存储器；2、smf网元；21、第二处理器；22、第二存储器器。

具体实施方式

为详细说明本发明的技术内容、所实现目的及效果，以下结合实施方式并配合附图予以说明。

请参照图1，一种匹配终端与upf的方法，包括步骤：

s1、专用upf向基站管理平台发送网络区域信息，并接收所述基站管理平台根据所述网络区域信息下发的基站信息；

s2、所述专用upf将所述基站信息转发至smf网元；

s3、所述smf网元绑定所述基站信息及所述专用upf；

s4、所述smf网元接收afm网元转发的终端访问请求，所述终端访问请求包括终端信息、终端位置及发送基站，并根据所述发送基站将所述终端访问请求转发至第一专用upf；

s5、所述第一专用upf验证所述终端信息及所述终端位置，若验证通过，则根据所述终端信息建立注册信息，并对终端提供网络服务。

从上述描述可知，本发明的有益效果在于：专用upf发送其提供服务的网络区域信息并获取基站管理平台为其匹配的基站信息，smf网元将基站信息和其对应的专用upf绑定得到绑定信息，当smf接收到终端访问请求时，根据发送该终端访问请求的基站及绑定信息将终端访问请求转发至对应的upf，upf接收到该终端访问请求后，根据其中的终端信息和终端位置进行验证，验证通过之后才建立注册信息实现对终端提供网络服务，即使终端通过upf对应的基站发送终端访问请求，也需要在upf上通过终端信息及终端位置的验证之后才能够访问专用upf，实现了对终端的鉴权，保证了专用upf所提供的网络的私密性。

进一步地，所述s1具体为：

s11、专用upf向基站管理平台发送网络区域信息，所述网络区域信息为预先设置的地理位置范围；

s12、专用upf接收所述基站管理平台根据所述网络区域信息下发的基站id和基站ip。

由上述描述可知，根据基站ip和基站id作为基站标识，upf通过基站标识访问对应的基站实现网络连接，且根据upf所提供的网络区域信息进行基站的分发，就近设置基站提供服务，保证了网络连接的稳定性。

进一步地，所述s3具体为：所述smf网元绑定所述基站信息及所述专用upf得到绑定信息，所述基站信息包括基站ip信息；

所述s4具体为：

s41、所述smf网元接收afm网元转发的终端访问请求，所述终端访问请求包括终端信息、终端位置及发送基站的第一基站ip信息；

s42、所述smf网元根据所述绑定信息获取与所述第一基站ip信息对应的upf，标记该upf为第一专用upf，并将所述终端访问请求转发至所述第一专用upf。

由上述描述可知，smf网元中绑定了基站信息和专用upf的对应关系得到绑定信息，所发送的终端访问请求中带有发送基站的第一基站信息，通过寻找绑定信息中与第一基站信息相同的基站信息所对应的upf，对终端访问请求进行转发，实现专用upf在其网络区域信息中所对应的网路区域内提供服务。

进一步地，所述s5具体为：

s51、专用upf获取本地合法用户列表，对比所述合法用户列表中的合法用户信息及所述终端信息，若所述终端信息与所述合法用户信息匹配，则所述终端信息验证通过，根据所述终端信息建立注册信息；

s52、若所述终端信息不与所述合法用户信息匹配，则对比所述终端位置及所述网络区域信息，若所述终端位置位于所述网络区域信息中的网络区域内，则执行s53，否则，执行s54；

s53、将所述终端访问请求转发至告警服务器，并返回已进入网络限制区域提示至所述终端访问请求对应的终端；

s54、返回会话建立失败消息至所述smf网元。

由上述描述可知，upf在接收到smf网元转发的终端访问请求后，首先验证其中的终端信息是否在本地合法用户列表中，若是才提供网络连接服务，若不是则验证终端位置是否在该upf的网络区域信息中的网络区域内，若是才返回限制访问提示，因基站可能覆盖upf的网络区域及不属于该upf的网络区域，若终端位置不属于upf的网络区域，直接返回至smf网元重新处理，无需终端重复请求。

进一步地，所述s54之后，还包括：

所述smf网元转发所述终端访问请求至非专用upf。

由上述描述可知，由smf网元直接转发终端访问请求至非专用upf，处理过程多用户隐藏，用户侧能够实现无感，提升了用户的使用体验。

一种匹配终端与upf的系统，包括专用upf及smf网元，所述专用upf包括第一存储器、第一处理器及存储在所述第一存储器上并可在所述第一处理器上运行的第一计算机程序；所述smf网元包括第二存储器、第二处理器及存储在所述第二存储器上并可在所述第二处理器上运行的第二计算机程序，所述第一处理器执行所述第一计算机程序时实现以下步骤：

s1、向基站管理平台发送网络区域信息，并接收所述基站管理平台根据所述网络区域信息下发的基站信息；

s2、将所述基站信息转发至smf网元；

s5、验证所述终端信息及所述终端位置，若验证通过，则根据所述终端信息建立注册信息，并对终端提供网络服务；

所述第二处理器执行所述第二计算机程序时实现以下步骤：

s3、绑定所述基站信息及所述专用upf；

s4、接收afm网元转发的终端访问请求，所述终端访问请求包括终端信息、终端位置及发送基站，并根据所述发送基站将所述终端访问请求转发至第一专用upf。

本发明的有益效果在于：专用upf发送其提供服务的网络区域信息并获取基站管理平台为其匹配的基站信息，smf网元将基站信息和其对应的专用upf绑定得到绑定信息，当smf接收到终端访问请求时，根据发送该终端访问请求的基站及绑定信息将终端访问请求转发至对应的upf，upf接收到该终端访问请求后，根据其中的终端信息和终端位置进行验证，验证通过之后才建立注册信息实现对终端提供网络服务，即使终端通过upf对应的基站发送终端访问请求，也需要在upf上通过终端信息及终端位置的验证之后才能够访问专用upf，实现了对终端的鉴权，保证了专用upf所提供的网络的私密性。

进一步地，所述s1具体为：

s11、向基站管理平台发送网络区域信息，所述网络区域信息为预先设置的地理位置范围；

s12、接收所述基站管理平台根据所述网络区域信息下发的基站id和基站ip。

由上述描述可知，根据基站ip和基站id作为基站标识，upf通过基站标识访问对应的基站实现网络连接，且根据upf所提供的网络区域信息进行基站的分发，就近设置基站提供服务，保证了网络连接的稳定性。

进一步地，所述s3具体为：所述smf网元绑定所述基站信息及所述专用upf得到绑定信息，所述基站信息包括基站ip信息；

所述s4具体为：

s41、接收afm网元转发的终端访问请求，所述终端访问请求包括终端信息、终端位置及发送基站的第一基站ip信息；

s42、根据所述绑定信息获取与所述第一基站ip信息对应的upf，标记该upf为第一专用upf，并将所述终端访问请求转发至所述第一专用upf。

由上述描述可知，smf网元中绑定了基站信息和专用upf的对应关系得到绑定信息，所发送的终端访问请求中带有发送基站的第一基站信息，通过寻找绑定信息中与第一基站信息相同的基站信息所对应的upf，对终端访问请求进行转发，实现专用upf在其网络区域信息中所对应的网路区域内提供服务。

进一步地，所述s5具体为：

s51、获取本地合法用户列表，对比所述合法用户列表中的合法用户信息及所述终端信息，若所述终端信息与所述合法用户信息匹配，则所述终端信息验证通过，根据所述终端信息建立注册信息；

s52、若所述终端信息不与所述合法用户信息匹配，则对比所述终端位置及所述网络区域信息，若所述终端位置位于所述网络区域信息中的网络区域内，则执行s53，否则，执行s54；

s53、将所述终端访问请求转发至告警服务器，并返回已进入网络限制区域提示至所述终端访问请求对应的终端；

s54、返回会话建立失败消息至所述smf网元。

由上述描述可知，upf在接收到smf网元转发的终端访问请求后，首先验证其中的终端信息是否在本地合法用户列表中，若是才提供网络连接服务，若不是则验证终端位置是否在该upf的网络区域信息中的网络区域内，若是才返回限制访问提示，因基站可能覆盖upf的网络区域及不属于该upf的网络区域，若终端位置不属于upf的网络区域，直接返回至smf网元重新处理，无需终端重复请求。

进一步地，所述s54之后，还包括：

转发所述终端访问请求至非专用upf。

由上述描述可知，由smf网元直接转发终端访问请求至非专用upf，处理过程多用户隐藏，用户侧能够实现无感，提升了用户的使用体验。

请参照图1，本发明的实施例一为：

一种匹配终端与upf的方法，包括步骤：

s1、专用upf向基站管理平台发送网络区域信息，并接收所述基站管理平台根据所述网络区域信息下发的基站信息；

s1具体为：

s11、专用upf向基站管理平台发送网络区域信息，所述网络区域信息为预先设置的地理位置范围；

s12、专用upf接收所述基站管理平台根据所述网络区域信息下发的基站id和基站ip；

在一种可选的实施方式中，基站id为基站globalid(全球基站唯一标识)；

在一种可选的实施方式中，请参照图4，基站管理平台根据基站地理位置信息查询基站，若基站位置处于网络区域信息中的网络区域内，则将基站globalid和基站ip信息下发至网络区域信息对应的专用upf；若基站地址位置不在网络区域内，但在网络区域附近(与网络区域的距离在预设范围内)，则认为基站无线覆盖区在专有网络区域内，将该基站globalid和基站ip信息下发至网络区域信息对应的专用upf；若有专有upf的网络区域信息变更，则专用upf需要发送更新消息至基站管理平台，获取新的基站信息；若专有网络区域内，有基站信息变更，基站管理平台需要主动下发更新消息，更新专用upf侧的基站信息；

s2、所述专用upf在与smf网元建立连接时，将所述基站信息及自身的专用upf属性发送至smf网元；

s3、所述smf网元绑定所述基站信息及所述专用upf得到绑定信息，并使能专用upf处理标识，若基站信息变更，则专用upf通过更新消息将新的基站信息发送至smf网元；

使能专用upf处理标识标识smf网元侧用户是否需要进行专用upf处理；

s4、所述smf网元接收afm网元转发的终端访问请求，所述终端访问请求包括终端信息、终端位置及发送基站，并根据所述发送基站将所述终端访问请求转发至第一专用upf；

请参照图5，步骤s4具体为：

s41、所述smf网元接收afm网元转发的初始终端访问请求，所述初始终端访问请求包括终端信息及发送基站的第一基站ip信息；若所述初始终端访问请求被使能，则执行s42，若未被使能，则执行s43；

s42、所述smf网元根据所述绑定信息获取与所述第一基站ip信息对应的专用upf，若能获取到，则标记该upf为第一专用upf，并通过namf接口向amf网元申请获取该初始终端访问请求所对应的终端的终端位置，根据所述终端信息、终端位置及所述第一基站ip信息生成终端访问请求，并将所述终端访问请求转发至所述第一专用upf；

若不能在绑定信息中获取到与第一基站ip信息对应的专用upf，则通过其他选择方式选择核实的upf网元提供网路服务；

s43、按照正常处理流程，选择核实的upf网元提供网络服务；

在一种可选的实施方式中，正常处理流程即不做专用upf判断的流程，smf网元根据dnn等信息自动选择upf网元；

s5、所述第一专用upf验证所述终端信息及所述终端位置，若验证通过，则根据所述终端信息建立注册信息，并对终端提供网络服务，具体为：

具体为：

s51、专用upf获取本地合法用户列表，对比所述合法用户列表中的合法用户信息及所述终端信息，若所述终端信息与所述合法用户信息匹配，则所述终端信息验证通过，根据所述终端信息建立注册信息；

s52、若所述终端信息不与所述合法用户信息匹配，则对比所述终端位置及所述网络区域信息，若所述终端位置位于所述网络区域信息中的网络区域内，则执行s53，否则，执行s54；

s53、将所述终端访问请求转发至告警服务器，并返回已进入网络限制区域提示至所述终端访问请求对应的终端；

s54、返回会话建立失败消息至所述smf网元；

s55、所述smf网元转发所述终端访问请求至非专用upf。

本发明的实施例二为：

一种匹配终端与upf的方法，其与实施例一的不同之处在于：

s1之前还包括：

专用upf接收配置文件，根据配置文件配置其网络区域信息，具体的，网络区域信息以地理位置坐标的形式配置，得到一个或数个地理位置范围；

根据配置文件配置运营商基站管理平台的地址，根据该地址访问基站管理平台；

s5之前还包括：

专用upf根据配置信息配置合法用户列表和业务访问规则；

具体的，以用户组的方式配置业务访问规则，用户组可分为特权用户组、普通用户组及非法用户组，其中特权用户组及普通用户组即为合法用户列表；每个用户组的网络业务访问权限可根据需要配置，默认特权用户组可访问所有网络，不受限制；普通用户组仅能访问内部网络；非法用户组不能访问任何网络；专用upf网元以supi为标识添加配置合法用户，配置合法用户的时候为用户选择合适的用户组；

请参照图6，s5具体为：

专用upf获取本地合法用户列表，对比所述合法用户列表中的合法用户信息(supi)及所述终端信息(supi)，若所述终端信息与所述合法用户信息匹配，则所述终端信息验证通过，根据所述终端信息建立注册信息；

若终端信息与合法用户信息不匹配，且终端位置在专用upf的网络区域内，则将该终端位置对应的终端添加至非法用户组，建立会话并将终端所有网络访问引导至告警服务器，发送提示消息告知终端已经进入网络限制区域，暂禁止提供网络服务；

若终端信息与合法用户信息不匹配，但终端位置不在专有网络区域内，则专用upf网元返回会话建立失败消息给smf网元，返回消息为禁止提供服务，smf网元收到该失败消息后，为终端ue选择其它非专用upf网元供网络服务。

请参照图2，本发明的实施例三为：

一种匹配终端与upf的系统3，包括专用upf1及smf网元2，所述专用upf包括第一存储器12、第一处理器11及存储在所述第一存储器12上并可在所述第一处理器11上运行的第一计算机程序；所述smf网元2包括第二存储器22、第二处理器21及存储在所述第二存储器22上并可在所述第二处理器21上运行的第二计算机程序，所述第一处理器11执行所述第一计算机程序时实现实施例一或实施例二中专用upf实现的步骤；所述第二处理器21执行所述第二计算机程序时实现实施例一或实施例二中smf网元实现的步骤。

综上所述，本发明提供了一种匹配终端与upf的方法，专用upf设置其对应的网络区域，基站管理平台根据专用upf的网络区域为专用upf分配基站，专用upf接收基站信息之后转发至smf网元，smf网元保存基站信息和专用upf得到绑定信息，当smf网元通过afm网元接收到终端访问请求之后，判断发送该终端访问请求的基站的基站信息是否在绑定信息中，若是，则优先调用该基站信息对应的专用upf为终端提供网络连接服务，保证了用户在入网时能够优先接入专用网络，提升了终端访问的私密性，并且，upf在接收到smf转发的终端访问请求之后，根据自身预设设置的合法访问列表判断终端是否有权限接入专用网络，而不是对所有通过对应基站访问专用upf的终端访问请求都提供网络服务，进一步保证了专用网络的私密性和安全性，并且，还增加了终端位置的判断，若终端的位置不在专用upf的网络区域内，则直接将该终端访问请求转发至smf重新选择upf进行处理，无需用户重新发送请求，提升了用户的使用体验。

以上所述仅为本发明的实施例，并非因此限制本发明的专利范围，凡是利用本发明说明书及附图内容所作的等同变换，或直接或间接运用在相关的技术领域，均同理包括在本发明的专利保护范围内。