一种LTE边缘用户网络访问方法和装置与流程

本发明实施例涉及通信领域，尤其涉及一种lte边缘用户网络访问方法和装置。

背景技术：

长期演进(longtermevolution，lte)终端用户正常情况下在运营商的基站和核心网中注册成功后，通过运营商的核心网进行网络的访问。但是当某些边缘用户终端访问本地网络时，通常是在运营商的基站和核心网之间部署lte的边缘计算技术(mobileedgecomputing，mec)分流网关，根据ip或端口等过滤规则使得该边缘用户终端通过mec分流网关访问本地网络。

上述方式虽然可以使得lte边缘用户终端进行本地网络的访问，但是针对正常情况下的用户终端访问请求，也需要经过所部署的mec分流网关，从而增加访问延时，不适用于lte垂直行业或边缘计算的场景。

技术实现要素：

本发明实施例提供了一种lte边缘用户网络访问方法和装置，以降低lte边缘用户终端的本地网络访问时延。

本发明实施例提供了一种lte边缘用户网络访问方法，应用于lte边缘用户网络访问系统，系统包括：长期演进lte小基站设备、分组核心演进epc轻量化核心网设备和移动管理节点mme代理设备；

通过lte小基站设备接收lte边缘用户终端的注册请求，并将注册请求发送给epc轻量化核心网设备；

通过epc轻量化核心网设备根据注册请求生成鉴权参数获取请求，将鉴权参数获取请求通过mme代理设备发送给运营商归属签约用户服务器hss，并根据运营商hss通过mme代理设备反馈的鉴权参数对lte边缘用户终端进行注册；

通过lte小基站设备接收注册完成的lte边缘用户终端发送的本地网络访问请求，并将本地网络访问请求封装后发送给epc轻量化核心网设备；

通过epc轻量化核心网设备对封装后的网络访问请求进行解封获取本地网络访问请求，并将本地网络访问请求发送给本地网络服务器。

本发明的实施例还提供了一种lte边缘用户网络访问装置，包括：

注册请求传输模块，用于通过lte小基站设备接收lte边缘用户终端的注册请求，并将注册请求发送给epc轻量化核心网设备；

注册模块，用于通过epc轻量化核心网设备根据注册请求生成鉴权参数获取请求，将鉴权参数获取请求通过mme代理设备发送给运营商归属签约用户服务器hss，并根据运营商hss通过mme代理设备反馈的鉴权参数对lte边缘用户终端进行注册；

本地网络访问请求封装模块，用于通过lte小基站设备接收注册完成的lte边缘用户终端发送的本地网络访问请求，并将本地网络访问请求封装后发送给epc轻量化核心网设备；

本地网络访问请求解封模块，用于通过epc轻量化核心网设备对封装后的网络访问请求进行解封获取本地网络访问请求，并将本地网络访问请求发送给本地网络服务器。

本发明实施例的技术方案，通过将lte边缘用户终端在epc轻量化核心网设备上完成注册，并通过epc轻量化核心网设备的网口直接访问本地网络，而无需进过运营商的核心网，降低了访问延时，适用于lte垂直行业或边缘计算的场景。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，应当理解，以下附图仅示出了本发明的某些实施例，因此不应被看作是对范围的限定，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他相关的附图。

图1是本发明实施例一提供的lte边缘用户网络访问系统的组网结构图；

图2是本发明实施例一提供的lte边缘用户网络访问方法的流程图；

图3是本发明实施例二提供的lte边缘用户终端的注册时序图；

图4是本发明实施例三提供的lte边缘用户网络访问装置的结构示意图。

具体实施方式

下面结合附图和实施例对本发明作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释本发明，而非对本发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部结构。

另外还需要说明的是，为了便于描述，附图中仅示出了与本发明相关的部分而非全部内容。在更加详细地讨论示例性实施例之前应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤。所述处理可以对应于方法、软件实现、硬件实现等等。

实施例一

图2是本发明实施例提供的lte边缘用户网络访问方法的流程图，本实施例可以适用于lte边缘用户终端对本地网络服务器进行快速访问的情况，该方法应用于lte边缘用户网络访问系统，如图1所述，为该系统的组网结构图。

其中，本实施方式中的lte边缘用户网络访问系统，包括：长期演进(longtermevolution，lte)小基站设备、分组核心演进(evolvedpacketcore，epc)轻量化核心网设备和移动管理节点(mobilitymanagemententity，mme)代理设备，并且lte小基站设备与lte边缘用户终端通信连接，mme代理设备与运营商hss通信连接。

需要说明的是，本实施方式中的epc轻量化核心网设备既能够实现最基本的mme网元的控制面功能，例如，完成lte边缘用户终端的注册过程；同时还能实现服务网关(servinggateway，sgw)网元或公用数据网网关(publicdatanetworkgateway，pgw)网元的用户面功能，例如，完成lte边缘用户终端上下行用户面数据的转发过程。本实施方式的mme代理设备可以是一个linux系统的物理机，也可以是windows系统的物理机上安装的linux虚拟机，并且通常部署在运营商核心网机房侧，与运营商hss之间通过s6a接口进行通信。具体的本实施方式的lte边缘用户网络访问方法，包括：

步骤s101，通过lte小基站设备接收lte边缘用户终端的注册请求，并将注册请求发送给epc轻量化核心网设备。

其中，lte边缘用户终端能够通过epc轻量化核心网设备进行本地网络访问的前提是，lte边缘用户终端为epc轻量化核心网设备上的注册用户。因此lte边缘用户终端会向lte小基站设备发送注册请求，lte小基站设备会将注册请求封装后发送给epc轻量化核心网设备，以在epc轻量化核心网设备上对lte边缘用户终端进行注册。

需要说明的是，本实施方式中通过lte小基站设备所接收的lte边缘用户终端的注册请求中可以包括国际移动用户识别码(internationalmobilesubscriberidentity，imsi)，也可能不存在imsi，这需要根据lte边缘用户终端的实际状态所决定。当lte边缘用户终端处于关机重启状态或者飞行解除状态时，则注册请求中是包含imsi的；当lte边缘用户终端处于正常工作状态时，则注册请求中是不包含imsi的。

步骤s102，通过epc轻量化核心网设备根据注册请求生成鉴权参数获取请求，将鉴权参数获取请求通过mme代理设备发送给运营商归属签约用户服务器hss，并根据运营商hss通过mme代理设备反馈的鉴权参数对lte边缘用户终端进行注册。

可选的，通过epc轻量化核心网设备根据注册请求生成鉴权参数获取请求，可以包括：通过epc轻量化核心网设备判断注册请求中是否包含国际移动用户识别码imsi，若存在，则直接根据imsi生成鉴权参数获取请求；否则，epc轻量化核心网设备通过lte小基站设备向lte边缘用户终端发送imsi获取请求，接收lte边缘用户终端通过lte小基站设备反馈的imsi，根据imsi生成鉴权参数获取请求。

其中，由于根据lte边缘用户终端的不同状态，所发送的注册请求中会存在包含imsi和不包含imsi的两种情况，epc轻量化核心网设备会根据不同的情况执行不同的操作：在注册请求为lte边缘用户终端在关机重启状态或者飞行解除状态下所发送时，则注册请求中包含imsi，由于lte边缘用户终端是运营商侧的注册用户，因此会根据imsi直接生成鉴权参数获取请求，并将鉴权参数获取请求通过述mme代理设备发送给运营商归属签约用户服务器hss，以进行鉴权参数的查询；而在注册请求为lte边缘用户终端在正常工作状态下所发送时，注册请求不包含imsi，则epc轻量化核心网设备会通过lte小基站设备向lte边缘用户终端发送imsi获取请求，接收lte边缘用户终端通过lte小基站设备反馈的imsi，再根据lte边缘用户终端所反馈的imsi生成鉴权参数获取请求。因此根据注册请求中所包含内容的不同，epc轻量化核心网设备的与其它设备的交互过程会有所区别。

可选的，epc轻量化核心网设备根据运营商hss通过mme代理设备反馈的鉴权参数对lte边缘用户终端进行注册，可以包括：epc轻量化核心网设备根据运营商hss通过mme代理设备反馈的鉴权参数确定lte边缘用户终端为合法用户；为确定为合法用户的lte边缘用户终端建立加密完整性保护通道；基于完整性保护通道通过lte小基站设备向lte边缘用户终端发送用户上下文建立请求，其中，用户上下文建立请求中包含注册请求响应和隧道标识；接收lte边缘用户终端通过lte小基站所反馈的注册完成消息。

具体的说，运营商hss会根据imsi在运营商侧注册的用户信息数据库中进行查询，获取lte边缘用户终端的imsi所对应的鉴权参数，并将所查询的鉴权参数通过mme代理设备发送给epc轻量化核心网设备。其中，本实施方式的鉴权参数包括：用户随机数rand、鉴权令牌auth和密钥kasme。当然，本实施方式中仅是举例说明，而并不限定鉴权参数的具体类型，只要能够实现对lte边缘用户终端进行合法性检测，都是在本申请的保护范围内。

其中，epc轻量化核心网设备在通过鉴权确定lte边缘用户终端为合法用户时，会为lte边缘用户终端建立加密完整性保护通道。在建立加密完整性保护通道之后，lte边缘用户终端与epc轻量化核心网设备之间的交互信息都是通过加密完整性保护通道进行加密传输的，从而保证两者所交互信息的安全性。并且在鉴权及加密完整性保护通道建立完成的情况下，epc轻量化核心网设备会基于所建立的完整性保护通道通过lte小基站设备向lte边缘用户终端发送用户上下文建立请求，而在用户上下文建立请求中是包含注册请求响应和隧道标识的，lte边缘用户终端在确定接收到用户上下文建立请求后，会通过lte小基站设备向epc轻量化核心网设备反馈注册完成消息。

可选的，epc轻量化核心网设备根据运营商hss通过mme代理设备反馈的鉴权参数确定lte边缘用户终端为合法用户，可以包括：epc轻量化核心网设备根据运营商hss通过mme代理设备反馈的鉴权参数计算第一鉴权码；epc轻量化核心网设备将鉴权参数通过lte小基站发送给lte边缘用户终端，并接收lte边缘用户终端根据鉴权参数所计算的第二鉴权码；通过epc轻量化核心网设备识别第一鉴权码与第二鉴权码相同，则确定lte边缘用户终端为合法用户。

需要说明的是，上述epc轻量化核心网设备在进行用户合法性鉴权的过程中，具体是epc轻量化核心网设备自身根据所获取的鉴权参数通过计算获取第一鉴权码，同时会将鉴权参数通过lte小基站设备发送给lte边缘用户终端，而lte边缘用户终端自身也会根据所获取的鉴权参数通过计算获取第二鉴权码，并将第二鉴权码通过lte小基站设备发送给epc轻量化核心网设备，epc轻量化核心网设备通过将两者进行对比，确定对比结果相同的情况下，则确定lte边缘用户终端为合法用户，即鉴权通过；而在确定对比结果不相同的情况下，则确定lte边缘用户终端为非法用户，即鉴权不通过。由于关于根据鉴权参数获取鉴权码的具体计算过程并不是本申请的重点，因此本实施方式中不再进行赘述。

可选的，epc轻量化核心网设备将鉴权参数获取请求通过mme代理设备发送给运营商归属签约用户服务器hss，可以包括：epc轻量化核心网设备通过用户数据报协议套接字udpsocket通信方式或互联网安全协议ipsec通信方式将鉴权参数获取请求发送给mme代理设备，以使mme代理设备通过s6a接口将鉴权参数获取请求发送给运营商归属签约用户服务器hss。

步骤s103，通过lte小基站设备接收注册完成的lte边缘用户终端发送的本地网络访问请求，并将本地网络访问请求封装后发送给epc轻量化核心网设备。

可选的，本地网络访问请求包括ip报文，其中，ip报文包含ip头和本地网络请求数据；通过lte小基站设备将本地网络访问请求封装后发送给epc轻量化核心网设备，可以包括：通过lte小基站设备将隧道标识作为通用无线分组业务隧道协议gtp包头，将ip报文作为gtp包体；根据gtp包头和gtp包体生成gtp报文，并将gtp报文作为封装后的本地网络访问请求发送给epc轻量化核心网设备。

其中，本实施方式中lte边缘用户终端在epc轻量化核心网设备完成注册之后，可以基于lte小基站设备和epc轻量化核心网设备实现对本地网络服务器的访问。具体是通过lte小基站设备接收lte边缘用户终端所发送的本地网络访问请求。本实施方式中的本地网络访问请求具体可以是包含ip头和本地网络请求数据ip报文，在ip头中包含源ip和目的ip，在本地网络请求数据中可以包含访问内容。lte小基站在接收到lte边缘用户终端所发送的ip报文后，会将该lte边缘用户终端所对应的隧道标识作为通用无线分组业务隧道协议(generalpacketradioservicetunnelingprotocol，gtp)包头，将ip报文作为gtp包体；根据gtp包头和gtp包体生成gtp报文，并将gtp报文作为封装后的本地网络访问请求发送给epc轻量化核心网设备。

步骤s104，通过epc轻量化核心网设备对封装后的网络访问请求进行解封获取本地网络访问请求，并将本地网络访问请求发送给本地网络服务器。

可选的，epc轻量化核心网设备包括处理单元、点对点设备tun单元和网卡；通过epc轻量化核心网设备对封装后的网络访问请求进行解封获取本地网络访问请求，并将本地网络访问请求发送给本地网络服务器，可以包括：通过epc轻量化核心网设备的处理单元对封装后的网络访问请求进行解封获取ip报文；通过tun单元确定ip报文转发功能开启，并基于ip报文转发功能将本地网络访问请求通过网卡发送给本地网络服务器。

需要说明的是，epc轻量化核心网设备中包含处理单元、点对点设备tun单元和网卡，其中，处理单元和tun单元是运行在linux系统上的软件结构，而网卡则为硬件结构。本实施方式中具体是通过处理单元对封装后的网络访问请求进行解封获取ip报文，即对lte边缘用户终端所发送的原始信息内容进行还原，并通过tun单元确定ip报文转发功能开启，调用tun单元的write接口，基于使能的ip报文转发功能将ip报文通过网卡发送给本地网络服务器。

需要说明的是，本地网络服务器所对应的本地网络是一个为了跟运营商的ip网络区别的概念，它可以是内网，例如企业网、校园网等；也可以是外网，例如internet等。另外，epc轻量化核心网设备跟本地网络服务器直接可以直连，也可以经过交换机或网关等中间设备，本实施方式中仅是以直接连接进行的举例说明，并不限定epc轻量化核心网设备与本地网络服务器的具体连接方式。

可选的，将所述本地网络访问请求发送给本地网络服务器之后，还可以包括：通过所述mme代理设备接收所述本地网络服务器所反馈的本地网络信息，并将所述本地网络信息发送给所述epc轻量化核心网设备；所述epc轻量化核心网设备通过所述lte小基站设备将所述本地网络信息发送给所述lte边缘用户终端。

需要说明的是，上述所描述的具体是lte边缘用户终端访问本地网络的上行报文流程，而本地网络服务器在获取到上行ip报文之后，会根据用户访问请求向lte边缘用户反馈所访问的本地网络信息，本地网络信息会以下行报文的形式进行反馈，即epc轻量化核心网设备上的网卡接收到来自本地网络服务器的下行ip报文，对下行ip报文进行gtp包头封装获取gtp报文，并将封装后的gtp报文通过lte小基站发送给lte边缘用户终端。由于lte边缘用户终端访问本地网络的下行报文流程是上行报文传输的逆过程，报文处理原理大致相同，因此本实施方式中不再进行赘述。

本实施方式中，通过将lte边缘用户终端在epc轻量化核心网设备上完成注册，并通过epc轻量化核心网设备的网口直接访问本地网络，而无需经过运营商的核心网，降低了访问延时，适用于lte垂直行业或边缘计算的场景。

实施例二

图3是本发明实施例二提供的lte边缘用户终端的注册时序图，本实施方式中对lte边缘用户终端在epc轻量化核心网设备的注册过程进行说明，包括：

1.1用户注册请求。

其中，lte边缘用户终端向lte小基站设备发送用户注册请求，当lte边缘用户终端处于关机重启状态或者飞行解除状态，则注册请求中是包含imsi的；当lte边缘用户终端处于正常工作状态时，则注册请求中是不包含imsi的。

1.2封装后的用户注册请求。

lte小基站设备将用户注册请求封装后发送给epc轻量化核心网设备。

1.3封装后的imsi获取请求。

需要说明的是，如果在封装后的用户注册请求中包含imsi则不需要此步骤，直接跳转到步骤1.7，否则，执行后续的步骤1.4至1.6，以通过lte小基站设备向lte边缘用户终端请求获取imsi。

1.4imsi获取请求

lte小基站在获取到epc轻量化核心网设备发送的封装后的imsi获取请求之后，将从中提取imsi获取请求发送给lte边缘用户终端。

1.5imsi

lte边缘用户终端向lte小基站设备发送imsi。

1.6封装后的imsi

lte小基站设备对imsi进行封装，并将封装后的imsi发送给epc轻量化核心网设备。

1.7鉴权参数获取请求

epc轻量化核心网设备根据封装后的imsi生成鉴权参数获取请求，并将所生成的鉴权参数获取请求发送给mme代理设备。

1.8鉴权参数获取消息

mme代理设备根据鉴权参数获取请求生成运营商hss能识别的鉴权参数获取消息，并将鉴权参数获取消息发送给运营商hss。

1.9鉴权参数响应消息

运营商hss会根据imsi在运营商侧注册的用户信息数据库中进行查询，获取lte边缘用户终端的imsi所对应的鉴权参数，并根据所查询的鉴权参数生成鉴权参数响应消息发送给mme代理设备。其中，本实施方式的鉴权参数包括：用户随机数rand、鉴权令牌auth和密钥kasme。

2.0返回鉴权参数

mme代理设备将鉴权参数响应消息中所包含的鉴权参数发送给epc轻量化核心网设备。

2.1鉴权参数及加密完整性保护通道建立过程

epc轻量化核心网设备在通过鉴权确定lte边缘用户终端为合法用户时，会为lte边缘用户终端建立加密完整性保护通道，在建立加密完整性保护通道之后，lte边缘用户终端与epc轻量化核心网设备之间的交互信息都是通过加密完整性保护通道进行加密传输的，从而保证两者所交互信息的安全性。

2.2用户上下文建立请求(包含注册请求响应和隧道标识)

epc轻量化核心网设备会基于所建立的完整性保护通道通过lte小基站设备向lte边缘用户终端发送用户上下文建立请求，而在用户上下文建立请求中是包含注册请求响应和隧道标识的。

2.3注册请求响应

lte小基站设备向lte边缘用户终端发送注册请求响应。

2.4用户上下文建立响应

lte小基站设备向epc轻量化核心网设备发送用户上下文建立响应。

2.5注册完成

lte边缘用户终端在确定接收到注册请求响应后，会向lte小基站设备反馈注册完成消息。

2.6封装后的注册完成消息。

lte小基站设备向epc轻量化核心网设备发送封装后的注册完成消息。

实施例三

图4是本发明实施例提供的一种lte边缘用户网络访问装置的结构示意图，具体包括：注册请求传输模块410、注册模块420、本地网络访问请求封装模块430和本地网络访问请求封装模块440。

注册请求传输模块410，用于通过lte小基站设备接收lte边缘用户终端的注册请求，并将注册请求发送给epc轻量化核心网设备；

注册模块420，用于通过epc轻量化核心网设备根据注册请求生成鉴权参数获取请求，将鉴权参数获取请求通过mme代理设备发送给运营商归属签约用户服务器hss，并根据运营商hss通过mme代理设备反馈的鉴权参数对lte边缘用户终端进行注册；

本地网络访问请求封装模块430，用于通过lte小基站设备接收注册完成的lte边缘用户终端发送的本地网络访问请求，并将本地网络访问请求封装后发送给epc轻量化核心网设备；

本地网络访问请求解封模块440，用于通过epc轻量化核心网设备对封装后的网络访问请求进行解封获取本地网络访问请求，并将本地网络访问请求发送给本地网络服务器。

可选的，注册模块包括鉴权参数获取请求生成子模块，用于通过epc轻量化核心网设备判断注册请求中是否包含国际移动用户识别码imsi，若存在，则直接根据imsi生成鉴权参数获取请求；

否则，epc轻量化核心网设备通过lte小基站设备向lte边缘用户终端发送imsi获取请求，接收lte边缘用户终端通过lte小基站设备反馈的imsi，根据imsi生成鉴权参数获取请求。

可选的，注册模块包括注册子模块，用于epc轻量化核心网设备根据运营商hss通过mme代理设备反馈的鉴权参数确定lte边缘用户终端为合法用户；

为确定为合法用户的lte边缘用户终端建立加密完整性保护通道；

基于完整性保护通道通过lte小基站设备向lte边缘用户终端发送用户上下文建立请求，其中，用户上下文建立请求中包含注册请求响应和隧道标识；

接收lte边缘用户终端通过lte小基站所反馈的注册完成消息。

可选的，注册子模块包括合法用户确定子单元，用于epc轻量化核心网设备根据运营商hss通过mme代理设备反馈的鉴权参数计算第一鉴权码；

epc轻量化核心网设备将鉴权参数通过lte小基站发送给lte边缘用户终端，并接收lte边缘用户终端根据鉴权参数所计算的第二鉴权码；

通过epc轻量化核心网设备识别第一鉴权码与第二鉴权码相同，则确定lte边缘用户终端为合法用户。

可选的，鉴权参数包括：用户随机数、鉴权令牌和密钥。

可选的，本地网络访问请求包括ip报文，其中，ip报文包含ip头和本地网络请求数据；本地网络访问请求封装模块，用于通过lte小基站设备将隧道标识作为通用无线分组业务隧道协议gtp包头，将ip报文作为gtp包体；

根据gtp包头和gtp包体生成gtp报文，并将gtp报文作为封装后的本地网络访问请求发送给epc轻量化核心网设备。

可选的，epc轻量化核心网设备包括处理单元、点对点设备tun单元和网卡；

本地网络访问请求解封模块，用于通过epc轻量化核心网设备的处理单元对封装后的网络访问请求进行解封获取ip报文；

通过tun单元确定ip报文转发功能开启，并基于ip报文转发功能将本地网络访问请求通过网卡发送给本地网络服务器。

可选的，装置还包括本地网络信息传输模块，用于通过mme代理设备接收本地网络服务器所反馈的本地网络信息，并将本地网络信息发送给epc轻量化核心网设备；

epc轻量化核心网设备通过lte小基站设备将本地网络信息发送给lte边缘用户终端。

可选的，注册模块包括鉴权参数获取请求传输子模块，用于epc轻量化核心网设备通过用户数据报协议套接字udpsocket通信方式或互联网安全协议ipsec通信方式将鉴权参数获取请求发送给mme代理设备，以使mme代理设备通过s6a接口将鉴权参数获取请求发送给运营商归属签约用户服务器hss。

注意，上述仅为本发明的较佳实施例及所运用技术原理。本领域技术人员会理解，本发明不限于这里所述的特定实施例，对本领域技术人员来说能够进行各种明显的变化、重新调整和替代而不会脱离本发明的保护范围。因此，虽然通过以上实施例对本发明进行了较为详细的说明，但是本发明不仅仅限于以上实施例，在不脱离本发明构思的情况下，还可以包括更多其他等效实施例，而本发明的范围由所附的权利要求范围决定。