专网分流方法、装置、系统、电子设备及存储介质与流程
- 国知局
- 2024-08-22 14:23:24
本技术涉及网络技术与安全领域,尤其涉及专网分流方法、装置、系统、电子设备及存储介质。
背景技术:
1、5g(5th generation mobile communication technology,第五代移动通信技术)行业专网的需求多种多样,从网络层面来看,大部分需求集中于部署5g本地园区网络,企业的5g终端只允许在本地园区内的基站gnb(next generation node b)下接入企业内网,终端与企业数据中心交互的数据仅在本地园区内流转,不向外网发送。因此,在这些需求下,基于n3 lbo(local breakout,本地疏导)技术的5g专网分流系统是一种成本较低、易于部署且性能较优的专网分流方案。
2、基于n3lbo技术的5g专网分流系统部署于公网bbu(building base band unit,基带处理单元)与5g移动核心网中的stn(smart transport network,智能传送网)-a设备之间,对可进行本地分流、可接入本地局域网(local area network,lan)的专网终端的流量进行识别,将其流量分流至本地局域网,对非专网终端(公网终端)的流量不作处理,如图1所示,其为现有的5g专网分流架构图,通过在专网终端安装app(application,应用程序)对专网终端的流量进行标记,本地分流设备通过该标记进行流量识别,对识别出的专网终端的流量进行本地分流,以接入本地局域网,然而,由于依赖于终端app,开发实现成本较高,且无法保证识别出的专网终端的流量的安全性。
技术实现思路
1、为了解决现有的5g专网分流方式依赖于终端app,开发实现成本较高,且无法保证专网终端的流量的安全性的问题,本技术实施例提供了专网分流方法、装置、系统、电子设备及存储介质。
2、第一方面,本技术实施例提供了一种本地分流设备侧实施的专网分流方法,应用于专网分流系统,所述专网分流系统包括本地分流设备、与所述本地分流设备连接的基站、与所述本地分流设备连接的鉴权中心,所述鉴权中心设置于本地局域网中,所述方法,包括:
3、所述本地分流设备接收终端通过所述基站发送的业务数据请求,所述业务数据请求中携带有所述终端的网络协议ip地址信息和用户身份认证信息;
4、根据所述ip地址信息在本地查询所述终端对应的访问策略信息,其中,所述访问策略信息表征所述终端针对所述本地局域网的访问规则信息,所述访问策略信息是由所述鉴权中心基于所述用户身份认证信息对所述终端进行身份认证,并在认证通过后对所述终端设置的;
5、若确定查询到所述终端对应的访问策略信息,则基于所述终端对应的访问策略信息对所述业务数据请求进行本地分流处理,以将所述业务数据请求发送至所述本地局域网中的目标局域网设备,以及将所述目标局域网设备返回的响应信息发送至所述基站,以由所述基站转发至所述终端。
6、在一种实施方式中,所述方法,还包括:
7、若确定未查询到所述终端对应的访问策略信息,则向所述鉴权中心发送访问策略查询请求,所述访问策略查询请求中携带有所述终端的ip地址信息和所述用户身份认证信息,以使所述鉴权中心基于所述用户身份认证信息对所述终端进行身份认证,并在认证通过后设置所述终端对应的访问策略;
8、接收所述鉴权中心返回的认证结果信息,若确定认证结果为认证通过,则从所述认证结果信息中获取所述终端对应的访问策略信息,并存储所述终端的ip地址与所述访问策略信息的对应关系;
9、基于所述终端对应的访问策略信息对所述业务数据请求进行本地分流处理。
10、在一种实施方式中,所述方法,还包括:
11、接收所述鉴权中心发送的所述终端对应的访问策略更新信息;
12、基于所述访问策略更新信息对本地存储的所述终端对应的访问策略信息进行更新。
13、在一种实施方式中,所述终端对应的访问策略信息至少包括所述终端具有访问权限的本地局域网设备的ip地址信息。
14、第二方面,本技术实施例提供了一种本地分流设备侧实施的专网分流装置,应用于专网分流系统,所述专网分流系统包括本地分流设备、与所述本地分流设备连接的基站、与所述本地分流设备连接的鉴权中心,所述鉴权中心设置于本地局域网中,所述装置,包括:
15、第一接收单元,用于接收终端通过所述基站发送的业务数据请求,所述业务数据请求中携带有所述终端的网络协议ip地址信息和用户身份认证信息;
16、第一查询单元,用于根据所述ip地址信息在本地查询所述终端对应的访问策略信息,其中,所述访问策略信息表征所述终端针对所述本地局域网的访问规则信息,所述访问策略信息是由所述鉴权中心基于所述用户身份认证信息对所述终端进行身份认证,并在认证通过后对所述终端设置的;
17、第一处理单元,用于若确定查询到所述终端对应的访问策略信息,则基于所述终端对应的访问策略信息对所述业务数据请求进行本地分流处理,以将所述业务数据请求发送至所述本地局域网中的目标局域网设备,以及将所述目标局域网设备返回的响应信息发送至所述基站,以由所述基站转发至所述终端。
18、在一种实施方式中,所述装置,还包括:
19、第二查询单元,用于若确定未查询到所述终端对应的访问策略信息,则向所述鉴权中心发送访问策略查询请求,所述访问策略查询请求中携带有所述终端的ip地址信息和所述用户身份认证信息,以使所述鉴权中心基于所述用户身份认证信息对所述终端进行身份认证,并在认证通过后设置所述终端对应的访问策略;
20、第二接收单元,用于接收所述鉴权中心返回的认证结果信息,若确定认证结果为认证通过,则从所述认证结果信息中获取所述终端对应的访问策略信息,并存储所述终端的ip地址与所述访问策略信息的对应关系;
21、第二处理单元,用于基于所述终端对应的访问策略信息对所述业务数据请求进行本地分流处理。
22、在一种实施方式中,所述装置,还包括:
23、第三接收单元,用于接收所述鉴权中心发送的所述终端对应的访问策略更新信息;
24、更新单元,用于基于所述访问策略更新信息对本地存储的所述终端对应的访问策略信息进行更新。
25、在一种实施方式中,所述终端对应的访问策略信息至少包括所述终端具有访问权限的本地局域网设备的ip地址信息。
26、第三方面,本技术实施例提供了一种鉴权中心侧实施的专网分流方法,应用于专网分流系统,所述专网分流系统包括本地分流设备、与所述本地分流设备连接的基站、与所述本地分流设备连接的鉴权中心,所述鉴权中心设置于本地局域网中,所述方法,包括:
27、所述鉴权中心接收所述本地分流设备发送的访问策略查询请求,所述访问策略查询请求携带有终端的网络协议ip地址信息和用户身份认证信息;
28、基于所述用户身份认证信息对所述终端进行身份认证,并在认证通过后设置所述终端对应的访问策略;
29、将认证结果信息返回至所述本地分流设备,以使所述本地分流设备在所述确定认证结果为认证通过时,从所述认证结果信息中获取所述终端对应的访问策略信息,并存储所述终端的ip地址与所述访问策略信息的对应关系,基于所述终端对应的访问策略信息对所述业务数据请求进行本地分流处理,以由所述本地分流设备将终端发送的业务数据请求发送至所述本地局域网中的目标局域网设备,以及将所述目标局域网设备返回的响应信息发送至所述基站,以由所述基站转发至所述终端。
30、在一种实施方式中,所述方法,还包括:
31、若确定对所述终端的访问策略进行更新时,向所述本地分流设备发送所述终端对应的访问策略更新信息,以使所述本地分流设备基于所述访问策略更新信息对本地存储的所述终端对应的访问策略信息进行更新。
32、在一种实施方式中,所述终端对应的访问策略信息至少包括所述终端具有访问权限的本地局域网设备的ip地址信息。
33、第四方面,本技术实施例提供了一种鉴权中心侧实施的专网分流装置,应用于专网分流系统,所述专网分流系统包括本地分流设备、与所述本地分流设备连接的基站、与所述本地分流设备连接的鉴权中心,所述鉴权中心设置于本地局域网中,所述装置,包括:
34、接收单元,用于接收所述本地分流设备发送的访问策略查询请求,所述访问策略查询请求携带有终端的网络协议ip地址信息和用户身份认证信息;
35、认证单元,用于基于所述用户身份认证信息对所述终端进行身份认证,并在认证通过后设置所述终端对应的访问策略;
36、返回单元,用于将认证结果信息返回至所述本地分流设备,以使所述本地分流设备在所述确定认证结果为认证通过时,从所述认证结果信息中获取所述终端对应的访问策略信息,并存储所述终端的ip地址与所述访问策略信息的对应关系,基于所述终端对应的访问策略信息对所述业务数据请求进行本地分流处理,以由所述本地分流设备将终端发送的业务数据请求发送至所述本地局域网中的目标局域网设备,以及将所述目标局域网设备返回的响应信息发送至所述基站,以由所述基站转发至所述终端。
37、在一种实施方式中,所述装置,还包括:
38、发送单元,用于若确定对所述终端的访问策略进行更新时,向所述本地分流设备发送所述终端对应的访问策略更新信息,以使所述本地分流设备基于所述访问策略更新信息对本地存储的所述终端对应的访问策略信息进行更新。
39、在一种实施方式中,所述终端对应的访问策略信息至少包括所述终端具有访问权限的本地局域网设备的ip地址信息。
40、第五方面,本技术实施例提供了一种专网分流系统,包括:本地分流设备、与所述本地分流设备连接的基站、与所述本地分流设备连接的鉴权中心,所述鉴权中心设置于本地局域网中,其中:
41、所述本地分流设备,用于接收终端通过所述基站发送的业务数据请求,所述业务数据请求中携带有所述终端的网络协议ip地址信息和用户身份认证信息;根据所述ip地址信息在本地查询所述终端对应的访问策略信息,其中,所述访问策略信息表征所述终端针对所述本地局域网的访问规则信息,所述访问策略信息是由所述鉴权中心基于所述用户身份认证信息对所述终端进行身份认证,并在认证通过后对所述终端设置的;若确定查询到所述终端对应的访问策略信息,则基于所述终端对应的访问策略信息对所述业务数据请求进行本地分流处理,以将所述业务数据请求发送至所述本地局域网中的目标局域网设备,以及将所述目标局域网设备返回的响应信息发送至所述基站,以由所述基站转发至所述终端;
42、所述鉴权中心,用于接收所述本地分流设备发送的访问策略查询请求,所述访问策略查询请求中携带有所述终端的ip地址信息和所述用户身份认证信息;基于所述用户身份认证信息对所述终端进行身份认证,并在认证通过后设置所述终端对应的访问策略;并向所述本地分流设备返回认证结果信息。
43、第六方面,本技术实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序时实现本技术所述的专网分流方法。
44、第七方面,本技术实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现本技术所述的专网分流方法中的步骤。
45、本技术的有益效果如下:
46、本技术实施例提供的专网分流方法、装置、系统、电子设备及存储介质,专网分流系统包括本地分流设备、与所述本地分流设备连接的基站、与所述本地分流设备连接的鉴权中心,所述鉴权中心设置于本地局域网中。本地分流设备接收终端通过基站发送的业务数据请求,业务数据请求中携带有终端的ip(internet protocol,网络协议)地址信息和用户身份认证信息,本地分流设备根据ip地址信息在本地查询终端对应的访问策略信息,其中,访问策略信息表征终端针对本地局域网的访问规则信息,访问策略信息是由鉴权中心基于用户身份认证信息对终端进行身份认证,并在认证通过后对终端设置的,本地分流设备如果在本地查询到终端对应的访问策略信息,则基于终端对应的访问策略信息对业务数据请求进行本地分流处理,以将业务数据请求发送至本地局域网中的目标局域网设备,以及将目标局域网设备返回的响应信息发送至基站,以由基站转发至终端。本技术实施例中,在本地局域网侧设置鉴权中心,本地分流设备在本地存储由鉴权中心对终端进行身份认证通过后对终端设置的访问策略信息,访问策略信息即为终端针对本地局域网的访问规则信息,当终端通过基站发送业务数据请求时,本地分流设备根据终端的ip地址信息从本地查询终端对应的访问策略信息,基于终端对应的访问策略信息直接对终端发送的业务数据请求进行本地分流处理,从而,将终端发送的业务数据请求发送至本地局域网中的目标局域网设备,以及将目标局域网设备返回的响应信息发送至基站,由基站转发至终端,由于在本地局域网设置鉴权中心对终端进行身份认证以确定终端是否具有访问本地局域网的权限来识别是否为专网终端,并对具有访问权限的终端(也即专网终端)设置访问策略,并且,无需在终端安装app对专网终端发送的数据进行标记,从而,在保证接入局域网的终端发送的数据的安全性的同时,节约了开发实现成本。
47、本技术的其它特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者通过实施本技术而了解。本技术的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
本文地址:https://www.jishuxx.com/zhuanli/20240822/278501.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 YYfuon@163.com 举报,一经查实,本站将立刻删除。