5G专网接入认证失败时保障终端公网访问的方法和系统与流程

5g专网接入认证失败时保障终端公网访问的方法和系统
技术领域
1.本发明属于通信研究领域，特别涉及5g专网接入认证失败时保障终端公网访问的方法和系统。


背景技术：

2.5g网络的大规模部署，为各行业数字化发展提供强大的网络底座。国家多次出台政策，鼓励5g应用创新，5g与行业相结合将进一步提升我国的科技创新水平、产业竞争力和社会治理效率，进一步激发社会活力，推动国内经济的高质量发展。
3.5g专网是使用5g技术为特定用户提供网络通信服务的专用网络，具有差异化本地服务、可定制化建网成本、灵活安全管控、个性化自服务等诸多特点，5g赋能千行百业应用广泛，推动数字社会建设发展。5g与垂直行业领域深度融合引发的安全风险备受瞩目，构建与5g应用发展相适应的安全保障体系成为迫切需要。
4.在5g校园网、5g远程办公、5g远程执法、5g家庭医疗等场景中，通过5g专网技术可以为用户提供无感知无边界同时访问行业内网与公网的服务，相比传统vpn技术，在保障网络安全和数据安全的基础上，用户接入专网无需输入账号密码、不受vpn网关带宽限制，用户感知体验更好，因此广受欢迎。
5.政企行业内网的应用和数据是政企行业客户的核心资产，终端通过5g专网访问行业数据内网时，5g专网方案需要提供高等级的安全保障能力，对终端身份进行安全认证和访问授权，5g专网安全接入方案可以在终端接入5g网络进行一次安全认证的基础上，对接入行业内网的终端，政企侧aaa服务器进行二次认证授权，验证接入行业数据网的终端身份安全。对于非授权的终端接入，政企aaa服务器直接响应认证失败消息，运营商核心网设备收到认证失败消息将无法建立数据通信连接通道，必然导致终端上线失败，终端也无法访问互联网。运营商需要有技术方案和设备解决这种应用场景下导致的终端不能正常访问互联网的问题。
6.针对上述问题，本发明提供了5g专网接入认证失败时保障终端公网访问的方法和系统。


技术实现要素：

7.为了解决所述现有技术的不足，本发明提供了5g专网接入认证失败时保障终端公网访问的方法和系统，以解决上述技术问题。
8.本发明第一方面公开了一种5g专网接入认证失败时保障终端公网访问的方法，所述方法包括：步骤s1、在5g网元的用户面功能upf上为5g专网终端配置多个ip地址池；步骤s2、在多个ip地址池中，配置政企防火墙的允许接入政企内网的白名单地址池和配置公网地址池；所述公网地址池内的ip地址只能访问公网；步骤s3、smf向aaa-p发送身份认证消息，所述aaa-p将身份认证消息转发给政企行
业侧aaa服务器处理；如果身份认证通过，为终端分配所述白名单地址池内的ip地址，所述终端同时访问政企内网和公网；步骤s4、如果身份认证失败，为终端分配所述公网地址池内的ip地址，所述终端只能访问公网。
9.根据本发明第一方面的方法，在所述步骤s3中，所述如果身份认证通过，为终端分配所述白名单地址池内的ip地址的方法包括：如果身份认证通过，则所述政企行业侧aaa服务器发送认证成功消息到所述aaa-p，所述aaa-p再将所述认证成功消息发送给所述smf，所述aaa-p转发白名单地址池，所述upf为终端分配所述白名单地址池内的ip地址，所述白名单地址池内的ip地址由政企行业侧aaa服务器发送认证成功消息中携带。
10.根据本发明第一方面的方法，在所述步骤s4中，所述如果身份认证失败，为终端分配所述公网地址池内的ip地址的方法包括：当所述aaa-p接收到政企行业侧aaa服务器的身份认证失败的消息时，所述aaa-p将所述身份认证失败的消息转变为身份认证成功的消息发送给所述smf，所述aaa-p下发公网地址池，所述upf为终端分配所述公网地址池内的ip地址。
11.根据本发明第一方面的方法，在所述步骤s4中，所述方法还包括：当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复消息时，所述aaa-p生成身份认证成功的消息发送给所述smf，所述aaa-p下发公网地址池，所述upf为终端分配所述公网地址池内的ip地址。
12.根据本发明第一方面的方法，在所述步骤s4中，所述方法还包括：当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复或者身份认证失败的终端在线的计费消息，所述aaa-p不再转发给所述政企行业侧aaa服务器。
13.本发明第二方面公开了一种5g专网接入认证失败时保障终端公网访问的系统，所述系统包括：第一处理模块，被配置为，在5g网元的用户面功能upf上为5g专网终端配置多个ip地址池；第二处理模块，被配置为，在多个ip地址池中，配置政企防火墙的允许接入政企内网的白名单地址池和配置公网地址池；所述公网地址池内的ip地址只能访问公网；第三处理模块，被配置为，所述smf向所述aaa-p发送身份认证消息，所述aaa-p将身份认证消息转发给所述政企行业侧aaa服务器处理；如果身份认证通过，为终端分配所述白名单地址池内的ip地址，所述终端同时访问政企内网和公网；第四处理模块，被配置为，如果身份认证失败，为终端分配所述公网地址池内的ip地址，所述终端只能访问公网。
14.根据本发明第二方面的系统，所述第三处理模块，被配置为，所述如果身份认证通过，为终端分配所述白名单地址池内的ip地址包括：如果身份认证通过，则所述政企行业侧aaa服务器发送认证成功消息到所述aaa-p，所述aaa-p再将所述认证成功消息发送给所述smf，所述aaa-p转发白名单地址池，所述upf为终端分配所述白名单地址池内的ip地址；所述白名单地址池内的ip地址由政企行业
侧aaa服务器发送认证成功消息中携带；所述第四处理模块，被配置为，所述如果身份认证失败，为终端分配所述公网地址池内的ip地址包括：当所述aaa-p接收到政企行业侧aaa服务器的身份认证失败的消息时，所述aaa-p将所述身份认证失败的消息转变为身份认证成功的消息发送给所述smf，所述aaa-p下发公网地址池，所述upf为终端分配所述公网地址池内的ip地址。
15.根据本发明第二方面的系统，所述第四处理模块，被配置为，还包括：当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复消息时，所述aaa-p生成身份认证成功的消息发送给所述smf，所述aaa-p下发公网地址池，所述upf为终端分配所述公网地址池内的ip地址；当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复或者身份认证失败的终端在线的计费消息，所述aaa-p不再转发给所述政企行业侧aaa服务器。
16.根据本发明第二方面的系统，所述第四处理模块，被配置为，当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复或者身份认证失败的终端在线的计费消息，所述aaa-p不再转发给所述政企行业侧aaa服务器。
17.本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本发明第一方面中任一项的一种5g专网接入认证失败时保障终端公网访问的方法中的步骤。
18.本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本发明第一方面中任一项的一种5g专网接入认证失败时保障终端公网访问的方法中的步骤。
19.本技术所要达到的技术效果通过以下方案实现：一种5g专网认证失败时保障公网访问的方法与系统不仅解决了这种应用场景的存在的问题，而且实现了终端无感知无边界同时访问内外网，相比传统vpdn、vpn安全技术，可以为终端用户提供更好的服务体验。同时，通过本发明的方法与系统的应用，政企和运营商的网络管理职责分工将更加明确。aaa-p对政企行业侧aaa认证失败或无响应时的处理机制，通过这个处理机制保障终端在接入行业专网被拒或无响应时仍可以访问公网，使政企和运营商的网络管理职责分工将更加明确；将大大促进5g专网技术的广泛应用，尤其是针对手持终端使用5g专网技术的应用场景，不仅为运营商带来经济效益，同时促进数字经济转型发展，提升社会生活的便利性；本发明解决了同时访问内外网，并且内网做自主认证时，如果认证失败或认证无响应时如何保障终端公网访问的技术问题。该方法及系统的应用将大大促进5g专网技术的广泛应用，尤其是针对手持终端使用5g专网技术的应用场景，不仅为运营商带来经济效益，同时促进数字经济转型发展，提升社会生活的便利性。
附图说明
20.为了更清楚地说明本技术实施例或现有的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可
以根据这些附图获得其他的附图。
21.图1为本发明一实施例中一种5g专网接入认证失败时保障终端公网访问的方法的流程图；图2为根据本发明实施例的aaa-p直接与smf对接互通；图3为根据本发明实施例的aaa-p通过upf与smf对接互通；图4为根据本发明实施例的aaa-p保障公网访问业务流程；图5为根据本发明实施例的aaa-p计费消息转发业务流程；图6为根据本发明实施例的一种5g专网接入认证失败时保障终端公网访问的系统的结构图；图7为根据本发明实施例的一种电子设备的结构图。
具体实施方式
22.为使本技术的目的、技术方案和优点更加清楚，下面将结合具体实施例及相应的附图对本技术的技术方案进行清楚、完整地描述。显然，所描述的实施例仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
23.下面结合附图，详细说明本技术的各种非限制性实施方式。
24.本发明提供一种5g专网接入认证失败时保障终端公网访问的方法，采用 aaa-p对政企行业侧aaa认证失败或无响应时的处理机制，通过这个处理机制保障终端在接入行业专网被拒或无响应时仍可以访问公网，可以为终端用户提供更好的服务体验，使政企和运营商的网络管理职责分工更加明确；将大大促进5g专网技术的广泛应用，尤其是针对手持终端使用5g专网技术的应用场景，不仅为运营商带来经济效益，同时促进数字经济转型发展，提升社会生活的便利性；本发明解决了同时访问内外网，并且内网做自主认证时，如果认证失败或认证无响应时如何保障终端公网访问的技术问题。
25.本发明第一方面公开了一种5g专网接入认证失败时保障终端公网访问的方法。图1为根据本发明实施例的一种5g专网接入认证失败时保障终端公网访问的方法的流程图，如图1所示，所述方法包括：引入aaa代理转发系统aaa-p，串联在5g核心网设备的会话管理功能smf和政企行业侧aaa服务器之间，实现所述5 g核心网设备的smf和政企行业侧aaa服务器之间认证和计费消息的双向代理转发；具体地，aaa-p对政企行业侧aaa认证失败或无响应时的处理机制，通过这个处理机制保障终端在接入行业专网被拒或无响应时仍可以访问公网，使政企和运营商的网络管理职责分工将更加明确；将大大促进5g专网技术的广泛应用，尤其是针对手持终端使用5g专网技术的应用场景，不仅为运营商带来经济效益，同时促进数字经济转型发展，提升社会生活的便利性；解决同时访问内外网，并且内网做自主认证时，如果认证失败或认证无响应时如何保障终端公网访问的技术问题。
26.具体对接方案包括如下两种方式：1）aaa-p串联在smf网元和政企aaa服务器之间，直接与smf对接互通，smf将认证、计费请求消息发送给aaa-p，如附图2所示。
27.2）aaa-p通过upf与smf对接互通，串联在upf网元和政企aaa服务器之间，smf通过n4接口将认证、计费请求消息发送给upf，upf再将认证、计费请求消息发送给aaa-p，如附图3所示。
28.在aaa-p上配置dnn与政企aaa的映射表及转发控制策略，格式如下：dnn1，透传模式，政企aaa ip；dnn2，公网保障模式，政企aaa ip；
…
所述方法包括：步骤s1、在5g网元的用户面功能upf上为5g专网终端配置多个ip地址池；步骤s2、在多个ip地址池中，配置政企防火墙的允许接入政企内网的白名单地址池和配置公网地址池；所述公网地址池内的ip地址只能访问公网；步骤s3、所述smf向所述aaa-p发送身份认证消息，所述aaa-p将身份认证消息转发给所述政企行业侧aaa服务器处理；如果身份认证通过，为终端分配所述白名单地址池内的ip地址，所述终端同时访问政企内网和公网；步骤s4、如果身份认证失败，为终端分配所述公网地址池内的ip地址，所述终端只能访问公网。
29.在步骤s1，在5g网元的用户面功能upf上为5g专网终端配置多个ip地址池。
30.在一些实施例中，在所述步骤s1中，在5g网元的用户面功能upf上为5g专网终端配置多个ip地址池，如ip地址池1和ip地址池2，配置upf与政企内网和互联网都互通。
31.具体地，在upf上为政企定制dnn配置地址池1和地址池2共两个地址池，并且配置upf与政企内网和互联网都互通，可通过5g ulcl机制或路由机制实现内外网的业务分流。
32.在步骤s2，在多个ip地址池中，配置政企防火墙的允许接入政企内网的白名单地址池和配置公网地址池；所述公网地址池内的ip地址只能访问公网。
33.在一些实施例中，在所述步骤s2中，在政企防火墙上配置基于源ip的接入控制策略，将白名单地址池ip地址池1配置为允许接入政企内网的白名单，只允许从ip地址池1内获取ip地址的终端接入，获取其他ip地址的终端禁止接入。
34.具体地，在政企防火墙上将地址池1配置为允许访问政企内网的白名单，其他地址不允许接入。这样终端如果获取到地址池1中的ip地址，就可以同时访问内外网；如果获取到地址池2中的ip地址，因为政企防火墙不允许地址池2中的ip地址访问，终端只能访问互联网。
35.在步骤s3，所述smf向所述aaa-p发送身份认证消息，所述aaa-p将身份认证消息转发给所述政企行业侧aaa服务器处理；如果身份认证通过，为终端分配所述白名单地址池内的ip地址，所述终端同时访问政企内网和公网。
36.在一些实施例中，在所述步骤s3中，所述如果身份认证通过，为终端分配所述白名单地址池内的ip地址的方法包括：如果身份认证通过，则所述政企行业侧aaa服务器发送认证成功消息到所述aaa-p，所述aaa-p再将所述认证成功消息发送给所述smf，所述aaa-p转发白名单地址池，所述upf为终端分配所述白名单地址池内的ip地址；所述白名单地址池内的ip地址由政企行业侧aaa服务器发送认证成功消息中携带。
37.具体地，终端接入时，smf基于dnn向aaa-p发送认证消息；aaa-p本地配置dnn与政企aaa （政企行业侧aaa服务器）ip映射表，当收到smf发送的认证消息时，从消息中解析出dnn，查询本地数据中的dnn与政企aaa ip映射表，获取到政企aaa ip，然后将消息转发给政企aaa，同时启动响应计时器，监听政企aaa响应情况，针对不同情况进行相应的业务逻辑操作，如图4所示。
38.情况一：政企aaa响应认证成功消息，此时由政企aaa为终端指定地址池1中的ip地址，因此在认证成功消息中通过framed-ip-address属性携带终端ipv4地址，通过framed-ipv6-prefix、framed-interface-id等属性携带终端ipv6地址，aaa-p直接将认证成功消息透传给smf，同时检查本地数据中该主叫号码是否已标记为“计费消息不转发”，如有则清除标记，如无则不做处理。终端成功接入并获得地址池1中的ip地址，可同时访问政企内网和互联网。
39.在步骤s4，如果身份认证失败，为终端分配所述公网地址池内的ip地址，所述终端只能访问公网。
40.在一些实施例中，在所述步骤s4中，所述如果身份认证失败，为终端分配所述公网地址池内的ip地址的方法包括：当所述aaa-p接收到政企行业侧aaa服务器的身份认证失败的消息时，所述aaa-p将所述身份认证失败的消息转变为身份认证成功的消息发送给所述smf，所述aaa-p下发公网地址池，所述upf为终端分配所述公网地址池内的ip地址。由于政企防火墙不允许源ip属于ip地址池2的终端接入，因此终端不能访问政企内网，但upf上配置ip地址池2与公网互通，因此终端可正常访问公网。
41.所述方法还包括：为了防止政企aaa服务器故障导致用户无法访问互联网，当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复消息时，所述aaa-p生成身份认证成功的消息发送给所述smf，所述aaa-p下发公网地址池，即ip地址池2名称，所述upf为终端分配所述公网地址池内的ip地址。由于政企防火墙不允许源ip属于ip地址池2的终端接入，因此终端不能访问政企内网，但upf上配置ip地址池2与公网互通，因此终端可正常访问公网。
42.所述方法还包括：当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复或者身份认证失败的终端在线的计费消息，所述aaa-p不再转发给所述政企行业侧aaa服务器。
43.具体地，政企aaa响应认证失败消息，消息中不携带终端ip地址，aaa-p收到后，从消息中解析出dnn，查询本地数据中的dnn转发控制策略。
44.情况二：政企aaa响应认证失败消息，消息中不携带终端ip地址，aaa-p收到后，从消息中解析出dnn，查询本地数据中的dnn转发控制策略。
45.i.如果dnn转发控制策略为“透传模式”，则aaa-p直接将认证失败消息透传给smf。终端接入失败，政企内网和互联网都不可访问。
46.ii. 如果dnn转发控制策略为“公网保障模式”，则aaa-p将认证失败消息丢弃，提取本地数据（如地址池2的名称）组成认证成功消息，发送给smf，同时将该主叫号码标记为“计费消息不转发”。终端成功接入并获得地址池2中的ip地址，只可以访问互联网。
47.情况三：政企aaa无消息回复，aaa-p响应计时器超过设定值，重发n次后政企aaa仍无消息响应，则aaa-p提取本地数据（如地址池2的名称）组成认证成功消息，发送给smf，同时将该主叫号码标记为“计费消息不转发”。终端成功接入并获得地址池2中的ip地址，只可以访问互联网。
48.终端上线后，smf基于dnn向aaa-p发送计费消息，aaa-p从消息中解析出主叫号码，查询本地数据中该主叫号码是否标记为“计费消息不转发”，如果是，则计费消息不进行转发；如果否，则计费消息按dnn转发到指定政企aaa，业务流程如附图5。
49.综上，本发明提出的方案能够实现终端无感知无边界同时访问内外网，相比传统vpdn、vpn安全技术，可以为终端用户提供更好的服务体验。同时，通过本发明的方法与系统的应用，政企和运营商的网络管理职责分工将更加明确。该方法及系统的应用将大大促进5g专网技术的广泛应用，尤其是针对手持终端使用5g专网技术的应用场景，不仅为运营商带来经济效益，同时促进数字经济转型发展，提升社会生活的便利性。尤其是aaa-p对政企行业侧aaa认证失败或无响应时的处理机制，通过这个处理机制保障终端在接入行业专网被拒或无响应时仍可以访问公网，使政企和运营商的网络管理职责分工将更加明确；将大大促进5g专网技术的广泛应用，尤其是针对手持终端使用5g专网技术的应用场景，不仅为运营商带来经济效益，同时促进数字经济转型发展，提升社会生活的便利性；本发明解决了同时访问内外网，并且内网做自主认证时，如果认证失败或认证无响应时如何保障终端公网访问的技术问题。
50.本发明第二方面公开了一种5g专网接入认证失败时保障终端公网访问的系统。图6为根据本发明实施例的一种5g专网接入认证失败时保障终端公网访问的系统的结构图；如图6所示，所述系统100包括：第一处理模块101，被配置为，在5g网元的用户面功能upf上为5g专网终端配置多个ip地址池；第二处理模块102，被配置为，在多个ip地址池中，配置政企防火墙的允许接入政企内网的白名单地址池和配置公网地址池；所述公网地址池内的ip地址只能访问公网；第三处理模块103，被配置为，所述smf向所述aaa-p发送身份认证消息，所述aaa-p将身份认证消息转发给所述政企行业侧aaa服务器处理；如果身份认证通过，为终端分配所述白名单地址池内的ip地址，所述终端同时访问政企内网和公网；第四处理模块104，被配置为，如果身份认证失败，为终端分配所述公网地址池内的ip地址，所述终端只能访问公网。
51.根据本发明第二方面的系统，所述第三处理模块103，被配置为，所述如果身份认证通过，为终端分配所述白名单地址池内的ip地址包括：如果身份认证通过，则所述政企行业侧aaa服务器发送认证成功消息到所述aaa-p，所述aaa-p再将所述认证成功消息发送给所述smf，所述aaa-p转发白名单地址池，所述upf为终端分配所述白名单地址池内的ip地址；所述白名单地址池内的ip地址由政企行业侧aaa服务器发送认证成功消息中携带；所述第四处理模块104，被配置为，所述如果身份认证失败，为终端分配所述公网地址池内的ip地址包括：当所述aaa-p接收到政企行业侧aaa服务器的身份认证失败的消息时，所述aaa-p
将所述身份认证失败的消息转变为身份认证成功的消息发送给所述smf，所述aaa-p下发公网地址池，所述upf为终端分配所述公网地址池内的ip地址。
52.根据本发明第二方面的系统，所述第四处理模块104，被配置为，还包括：当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复消息时，所述aaa-p生成身份认证成功的消息发送给所述smf，所述aaa-p下发公网地址池，所述upf为终端分配所述公网地址池内的ip地址；当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复或者身份认证失败的终端在线的计费消息，所述aaa-p不再转发给所述政企行业侧aaa服务器。
53.根据本发明第二方面的系统，所述第四处理模块104，被配置为，当所述aaa-p监测到发送给所述政企行业侧aaa服务器的身份认证的消息无回复或者身份认证失败的终端在线的计费消息，所述aaa-p不再转发给所述政企行业侧aaa服务器。
54.本发明第三方面公开了一种电子设备。电子设备包括存储器和处理器，存储器存储有计算机程序，处理器执行计算机程序时，实现本发明第一方面中任一项的一种5g专网接入认证失败时保障终端公网访问的方法中的步骤。
55.图7为根据本发明实施例的一种电子设备的结构图，如图7所示，电子设备包括通过系统总线连接的处理器、存储器、通信接口、显示屏和输入装置。其中，该电子设备的处理器用于提供计算和控制能力。该电子设备的存储器包括非易失性存储介质、内存储器。该非易失性存储介质存储有操作系统和计算机程序。该内存储器为非易失性存储介质中的操作系统和计算机程序的运行提供环境。该电子设备的通信接口用于与外部的终端进行有线或无线方式的通信，无线方式可通过wifi、运营商网络、近场通信（nfc）或其他技术实现。该电子设备的显示屏可以是液晶显示屏或者电子墨水显示屏，该电子设备的输入装置可以是显示屏上覆盖的触摸层，也可以是电子设备外壳上设置的按键、轨迹球或触控板，还可以是外接的键盘、触控板或鼠标等。
56.本领域技术人员可以理解，图7中示出的结构，仅仅是与本发明的技术方案相关的部分的结构图，并不构成对本技术方案所应用于其上的电子设备的限定，具体的电子设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。
57.本发明第四方面公开了一种计算机可读存储介质。计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时，实现本发明第一方面中任一项的一种5g专网接入认证失败时保障终端公网访问的方法中的步骤中的步骤。
58.请注意，以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。以上实施例仅表达了本技术的几种实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本技术构思的前提下，还可以做出若干变形和改进，这些都属于本技术的保护范围。因此，本技术专利的保护范围应以所附权利要求为准。