【技术实现步骤摘要】
本专利技术涉及互联网数据流领域,尤其是一种实现5g cpe下挂终端二次认证方法及装置。
技术介绍
1、5g无线专网越来越成为现有企业级专网的优选网络,专网内aaa认证系统,通过与5g核心网配合反向路由模式,可以实现cpe下挂终端采用企业网全局ip方式,核心网访问日志可以直接定位到对应终端;同时在专网环境中客户要求对5g cpe设备进行二次aaa认证,另外还要求对通过5g cpe接入专网的下挂终端进行aaa认证。传统模式下对下挂的终端传统方式无法进行aaa认证动作,主要原因是5g网络下cpe下挂设备也无法实现ip地址专属分配,上层系统无法对cpe下挂设备进行精准管控。
2、5g专网逐渐由企业级客户接收,专网中有独立下沉的核心网组件-upf,同时和其他专网共用其他核心网组件-smf等;企业有了自己的5g专网,对专网中的用户设备(cpe)管控的需求也逐步显现出来;随之产生了网内二次aaa认证的系统,但是cpe下挂的设备不能进行认证,原因是cpe下挂终端设备的ip地址,是cpe自行分配的无法暴露在专网环境中。
3、cpe:customer premise equipment客户所属设备;
4、aaa认证:核心网认证之外,企业自行认证;
5、upf:user plane function,用户面功能,5g核心网网元;
6、smf:session management function会话管理功能,5g核心网网元。
技术实现思路
1、
2、本专利技术中radius交互数据包中的帧路由属性信息显示了已应用于核心网上特定静态ip客户的每用户路由;帧路由属性信息当前在access accept数据包中发送。如果在access accept数据包中提供并成功应用了帧路由属性信息,则帧路由属性信息也会在记帐请求数据包中发送。
3、为实现上述目的,本专利技术采用下述技术方案:
4、在本专利技术一实施例中,提出了一种实现5g cpe下挂终端二次认证方法,该方法包括:
5、s01、cpe获得aaa分配的静态地址;
6、s02、cpe通过dhcp路由模式给下挂终端分配指定地址;
7、s03、aaa系统配置指定地址段路由宣布至核心网;
8、s04、核心网通过后路由模式生效内部同步路由地址;
9、s05、企业内网通过aaa认证并宣布的路由地址对终端进行管控。
10、进一步地,所述s01包括:
11、s011、cpe开机,附着网络,请求pdn连接;
12、s012、核心网依据cpe apn设置,向aaa发起鉴权请求,携带imsi终端信息;
13、s013、aaa根据终端信息,依托系统中设定的身份认证规则进行静态ip地址分配;
14、s014、cpe认证通过收到静态ip地址,完成认证流程。
15、进一步地,所述静态ip分配:每次用户申请建立连接时,都会被分配一个指定的ip地址,而且每次都分配相同的。
16、静态分配:每次用户申请建立连接时,都会被分配一个指定的ip地址,而且每次都分配相同的。例如:如果设定用户1的对应地址属性的值为10.10.1.1,那么每次用户test连接到网络上时,它被分配的ip地址都是10.10.1.1。
17、进一步地,所述s02包括:
18、s021、cpe按照下挂终端地址规划进行配置,开放dhcp功能,并依据企业网ip地址规划,设置本地对应地址池;
19、s022、从本地对应地址池中选择一个未被使用ip地址分配给下挂终端请求用户;
20、s023、下挂终端通过cpe设备,至aaa系统进行二次认证。
21、进一步地,所述aaa系统进行二次认证的标准为:下挂终端携带cpe分配的信息。
22、cpe调整为路由模式,并依据企业网ip地址规划,设置本地对应地址段<ip addrsegment>;从客户端的ip地址池分配:每次用户连接时,客户端(nas)将从自己管理的ip地址池中选择一个未被使用ip地址分配给这个用户,例如:
23、某个客户端的名称为nas1,使用ip地址池a;
24、另一个名称为nas2客户端使用ip地址池b;
25、某个用户(test),它的framed-ip-address属性的值赋为跟客户端nas相关的地址池的名字。
26、在这种情况下,如果用户test通过客户端nas1上的某个端口连接到网络上,那么用户test被分配的地址将从ip地址池a中获得。在下次呼叫时,用户test可能通过客户端nas2连接到网络上,在这种情况下,其ip地址将从ip地址池b中分配。
27、进一步地,所述s03:aaa系统收到认证信息后,通过反向路由方式向smf设备广播上传段路由。
28、进一步地,所述s04:核心网内部smf将路由同步至upf系统。
29、进一步地,所述s05:路由在核心网系统中生效后,下挂终端通完成aaa认证流程,并过既定ip可以与企业内网进行报文交互。
30、在本专利技术一实施例中,还提出了一种实现5g cpe下挂终端二次认证装置,该装置包括:
31、静态地址分配模块、cpe获得aaa分配的静态地址;
32、指定地址模块、cpe通过dhcp路由模式给下挂终端分配指定地址;
33、aaa系统配置模块、aaa系统配置指定地址段路由宣布至核心网;
34、生效同步模块、核心网通过后路由模式生效内部同步路由地址;
35、管控模块、企业内网通过aaa认证并宣布的路由地址对终端进行管控。
36、在本专利技术一实施例中,还提出了一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,处理器执行计算机程序时实现前述实现5g cpe下挂终端二次认证方法。
37、在本专利技术一实施例中,还提出了一种计算机可读存储介质,计算机可读存储介质存储有执行实现5g cpe下挂终端二次认证方法的计算机程序。
38、有益效果:
39、1、通过本专利技术企业管理者对cpe及cpe下挂的智能终端进行统一地址管理,满足对企业内外网流量审计的需求;
40、2、企业管理者对cpe及下挂终端身份进行二次aaa鉴权,实现黑白名单管理;
41、3、cpe下挂终端采用企业网全局ip方式,核心网访问日志可以直接定位到对应终端;
42、4、方法实现简单,对网络条件不高;
43、5、5g环境下,对终端设备的管理和监控提供了高效的实现手段。
本文档来自技高网...【技术保护点】
1.一种实现5G CPE下挂终端二次认证方法,其特征在于,该方法包括:
2.根据权利要求1所述的实现5G CPE下挂终端二次认证方法,其特征在于,所述S01包括:
3.根据权利要求2所述的实现5G CPE下挂终端二次认证方法,其特征在于,所述静态IP分配:每次用户申请建立连接时,都会被分配一个指定的IP地址,而且每次都分配相同的。
4.根据权利要求1所述的实现5G CPE下挂终端二次认证方法,其特征在于,所述S02包括:
5.根据权利要求4所述的实现5G CPE下挂终端二次认证方法,其特征在于,所述AAA系统进行二次认证的标准为:下挂终端携带CPE分配的信息。
6.根据权利要求1所述的实现5G CPE下挂终端二次认证方法,其特征在于,所述S03:AAA系统收到认证信息后,通过反向路由方式向SMF设备广播上传段路由。
7.根据权利要求1所述的实现5G CPE下挂终端二次认证方法,其特征在于,所述S04:核心网内部SMF将路由同步至UPF系统。
8.根据权利要求1所述的实现5G CPE下挂终端二次认证
9.一种实现5G CPE下挂终端二次认证装置,其特征在于,该装置包括:
10.一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1-6任一项所述方法。
11.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1-6任一项所述方法的计算机程序。
...【技术特征摘要】
1.一种实现5g cpe下挂终端二次认证方法,其特征在于,该方法包括:
2.根据权利要求1所述的实现5g cpe下挂终端二次认证方法,其特征在于,所述s01包括:
3.根据权利要求2所述的实现5g cpe下挂终端二次认证方法,其特征在于,所述静态ip分配:每次用户申请建立连接时,都会被分配一个指定的ip地址,而且每次都分配相同的。
4.根据权利要求1所述的实现5g cpe下挂终端二次认证方法,其特征在于,所述s02包括:
5.根据权利要求4所述的实现5g cpe下挂终端二次认证方法,其特征在于,所述aaa系统进行二次认证的标准为:下挂终端携带cpe分配的信息。
6.根据权利要求1所述的实现5g cpe下挂终端二次认证方法,其特征在于,所述s03:aaa系统收到认证信息后,通过反向路由方式...
【专利技术属性】
技术研发人员:卢磊,
申请(专利权)人:中盈优创资讯科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。