基于5G通信技术的应用流量管控、安全排查系统和方法与流程

本发明涉及工业互联网技术领域，更具体地说，涉及基于5g通信技术的应用流量管控、安全排查系统和方法。

背景技术：

工业互联网应用均采用网络端口进行联网，由于网络端口的负载能力有限，为了保证维护网络端口的使用性能，避免因异常数据造成网络端口瘫痪或性能瓶颈，一般会对网络端口进行流量数据控制，而传统的方法是拒绝超过接口访问上限的流量数据，或拒绝明显异常的流量数据对接口的访问，缺少对流量数据的管控，以及对异常的流量数据的识别和分析，容易造成网络端口崩溃，不利于对网络端口的维护，导致网络端口的使用效率低。

5g网络是第五代移动通信网络，其峰值理论传输速度可达每8秒1gb，比4g网络的传输速度快10倍以上，5g网络通信技术是当前世界上最先进的一种网络通信技术。相比于现在被普遍应用的4g网络通信技术来讲，5g网络通信技术在传输速度上有着非常明显的优势，在传输速度上的提高在实际应用中十分具有优势，传输速度的提高是一个高度的体现，是一个进步的体现。5g网络通信技术应用在文件的传输过程中，传输速度的提高会大大缩短传输过程所需要的时间，对于工作效率的提高具有非常重要的作用。所以5g网络通信技术应用在当今的社会发展中会大大提高社会进步发展的速度，有助于人类社会的快速发展；5g网络通信技术不仅做到了在传输速度上的提高，在传输的稳定性上也有突出的进步。5g网络通信技术应用在不同的场景中都能进行很稳定的传输，能够适应多种复杂的场景。所以5g网络通信技术在实际的应用过程中非常实用，传输稳定性的提高使工作的难度降低，工作人员在使用5g网络通信技术进行工作时，由于5g网络通信技术的传输能力具有较高的稳定性，因此不会因为工作环境的场景复杂而造成传输时间过长或者传输不稳定的情况，会大大提高工作人员的工作效率；高频传输技术是5g网络通信技术的核心技术，高频传输技术正在被多个国家同时进行研究。目前，低频传输的资源越来越紧张，而5g网络通信技术的运行使用需要更大的频率带宽，低频传输技术已经满足不了5g网络通信技术的工作需求，所以要更加积极主动的去探索去开发。高频传输技术在5g网络通信技术的应用中起到了不可忽视的作用。

现有的流量管控技术存在以下一些问题：基于现有4g移动网络智能管道方案，前期部署周期长，需要对现有物联网专网联调，目前工业互联网专网暂未开启该功能，不适合客户快速开展业务需求，同时，原有的流控方案不能完全运用在需要多联接、低延时的工业互联网场景，因此尽管目前4g移动网络智能管道方案，具备qos能力，能够实现所需要的区分应用流量管控功能，但需在目前工业物联网启动该能力，并进行联调和与it系统对接，难于满足项目快速部署及大容量接入的要求。

技术实现要素：

1.要解决的技术问题

针对现有技术中存在的问题，本发明的目的在于提供基于5g通信技术的应用流量管控、安全排查系统和方法，它可以实现通过基于5g技术实现工业设备流量汇聚，vpdn二次认证并完成ip地址和通讯联接的映射关系，实现流量处理以满足工业互联设备应用流量需求，满足大范围部署，并具备实现业务运营所需要的流量管控功能，采用优先级排列和比例分配的相互配合的方式进行提速和降速等操作，一方面既可以避免带宽资源的浪费，对其进行最大程度上的合理化应用，另一方面可以避免带宽资源的争抢导致访问速度缓慢甚至是网络端口崩溃的现象，可以实现全面透视网络流量，快速发现与定位网络故障，保障关键应用的稳定运行，对无关或者低价值应用的限制，确保企业网络及应用的可用性，提高上网访问速度，减少服务器负载与管理复杂度，降低企业的带宽成本。

2.技术方案

为解决上述问题，本发明采用如下的技术方案。

基于5g通信技术的应用流量管控、安全排查系统，所述系统包括采集服务器，所述采集服务器连接有网络端口，所述网络端口连接有5g联网卡，所述5g联网卡包括至少一个互联网应用，所述采集服务器还连接有策略服务器，所述策略服务器连接有流控设备，所述流控设备与网络端口连接，所述策略服务器还连接有vpdn认证模块，所述vpdn认证模块连接有认证器，所述认证器连接有aaa服务器，所述aaa服务器连接有内网服务器。

进一步的，所述策略服务器包括流控策略制定模块、流控策略发送模块和网络地址映射模块。

进一步的，所述策略制定模块包括提速策略单元、降速策略单元、断网策略单元和换路策略单元。

进一步的，所述采集服务器包括应用信息采集模块、流量统计单元和优先级排列单元。

进一步的，所述vpdn认证模块包括一次认证单元和二次认证单元。

基于5g通信技术的应用流量管控、安全排查方法，包括以下步骤：

步骤一：所述策略服务器收到来自5g联网卡的访问请求后，预先向vpdn二次认证aaa服务器设置物联网卡和ip地址的映射关系；

步骤二：通过认证器的安全排查后，允许该5g联网卡的访问请求，并将该映射关系发送至流控设备；

步骤三：所述采集服务器通过网络端口实时获取含有应用信息的详细清单，并计算出每张5g联网卡每个互联网应用的流量统计，同时对互联网应用进行优先级排列；

步骤四：所述策略服务器将每张5g联网卡每个互联网应用的实时流量与设置好的流量阈值进行比对，制定相应的流控策略；

步骤五：所述策略服务器将流控策略需求下发至流控设备，流控设备根据流控策略对相应的网络端口的出口带宽进行分配，实现对互联网应用的流量管控。

进一步的，所述vpdn二次认证根据5g联网卡拨号的域名进行第一次认证，并引导建立l2tp隧道，同时通过用户名及密码进行第二次认证，认证通过后接入认证器。

进一步的，所述认证器通过动态验证码的形式进行动态验证。

进一步的，所述步骤四中的流控策略具体为将每张5g联网卡每个互联网应用的实时流量与设置好的流量阈值进行比对，若实时流量低于流量阈值，则根据互联网应用的优先级按照比例进行提速分配，若实时流量高于流量阈值，则根据互联网应用的优先级按照比例进行降速分配。

进一步的，所述网络端口包括常用端口和备份端口，所述备份端口用来在常用端口故障时进行紧急备份。

3.有益效果

相比于现有技术，本发明的优点在于：

(1)本方案可以实现通过基于5g技术实现工业设备流量汇聚，vpdn二次认证并完成ip地址和通讯联接的映射关系，实现流量处理以满足工业互联设备应用流量需求，满足大范围部署，并具备实现业务运营所需要的流量管控功能，采用优先级排列和比例分配的相互配合的方式进行提速和降速等操作，一方面既可以避免带宽资源的浪费，对其进行最大程度上的合理化应用，另一方面可以避免带宽资源的争抢导致访问速度缓慢甚至是网络端口崩溃的现象。

(2)本方案还可以实现全面透视网络流量，快速发现与定位网络故障，保障关键应用的稳定运行，对无关或者低价值应用的限制，确保企业网络及应用的可用性，提高上网访问速度，减少服务器负载与管理复杂度，降低企业的带宽成本。

附图说明

图1为本发明主要的系统示意图；

图2为本发明执行流控策略部分的流程示意图；

图3为本发明主要的流程示意图。

图中标号说明：

1采集服务器、2网络端口、35g联网卡、4互联网应用、5策略服务器、6流控设备、7vpdn认证模块、8认证器、9aaa服务器、10内网服务器。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述；显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要说明的是，术语“上”、“下”、“内”、“外”、“顶/底端”等指示的方位或位置关系为基于附图所示的方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此不能理解为对本发明的限制。此外，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性。

在本发明的描述中，需要说明的是，除非另有明确的规定和限定，术语“安装”、“设置有”、“套设/接”、“连接”等，应做广义理解，例如“连接”，可以是固定连接，也可以是可拆卸连接，或一体地连接，可以是机械连接，也可以是电连接，可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通，对于本领域的普通技术人员而言，可以具体情况理解上述术语在本发明中的具体含义。

实施例1：

请参阅图1，基于5g通信技术的应用流量管控、安全排查系统，系统包括采集服务器1，采集服务器1包括应用信息采集模块、流量统计单元和优先级排列单元，采集服务器1连接有网络端口2，网络端口2连接有5g联网卡3，5g联网卡3包括至少一个互联网应用4，采集服务器1还连接有策略服务器5，策略服务器5连接有流控设备6，用于直接对流量进行管控，流控设备6与网络端口2连接，策略服务器5还连接有vpdn认证模块7，vpdn认证模块7包括一次认证单元和二次认证单元，vpdn认证模块7连接有认证器8，认证器8连接有aaa服务器9，一个能够处理用户访问请求的服务器程序，提供验证授权以及帐户服务，主要目的是管理用户访问内网服务器10，aaa服务器9连接有内网服务器10。

策略服务器5包括流控策略制定模块、流控策略发送模块和网络地址映射模块，策略制定模块包括提速策略单元、降速策略单元、断网策略单元和换路策略单元。

基于5g通信技术的应用流量管控、安全排查方法，包括以下步骤：

步骤一：策略服务器5收到来自5g联网卡3的访问请求后，预先向vpdn二次认证aaa服务器9设置物联网卡和ip地址的映射关系；

步骤二：通过认证器8的安全排查后，允许该5g联网卡3的访问请求，并将该映射关系发送至流控设备6，因为流控设备6无物联网卡号信息，只有ip地址信息；

步骤三：采集服务器1通过网络端口2实时获取含有应用信息的详细清单，并计算出每张5g联网卡3每个互联网应用4的流量统计，同时对互联网应用4进行优先级排列；

步骤四：策略服务器5将每张5g联网卡3每个互联网应用4的实时流量与设置好的流量阈值进行比对，流量阈值根据每个互联网应用4的实际情况进行设置，值得注意的是，若该互联网应用4为运营商套餐内的免流量应用，则无需设置流量阈值，为免流量应用以外的互联网应用4制定相应的流控策略；

步骤五：策略服务器5将流控策略需求下发至流控设备6，流控设备6根据流控策略对相应的网络端口2的出口带宽进行分配，实现对互联网应用4的流量管控。

vpdn二次认证根据5g联网卡3拨号的域名进行第一次认证，并引导建立l2tp隧道，同时通过用户名及密码进行第二次认证，认证通过后接入认证器8。

认证器8通过动态验证码的形式进行动态验证，通过动态验证的方式进一步提高访问内网服务器10的安全性。

步骤四中的流控策略具体为将每张5g联网卡3每个互联网应用4的实时流量与设置好的流量阈值进行比对，若实时流量低于流量阈值，则根据互联网应用4的优先级按照比例进行提速分配，若实时流量高于流量阈值，则根据互联网应用4的优先级按照比例进行降速分配。

具体为根据采集服务器1对互联网应用4进行优先级排列，在中值以上的互联网应用4优先级高，在中值以下的互联网应用4优先级低，例如优先级排列时对互联网应用4进行自然数顺序编号1-10,编号5以上的互联网应用4优先级高，编号5以下的互联网应用4优先级低，无论是提速还是降速时的带宽分配均按照比例来进行分配，即提速的该互联网应用4编号占提速的所有互联网应用4编号总和为提速比例，降速的该互联网应用4编号占降速的所有互联网应用4编号总和为降速比例，总的来说在满足网络端口2流量饱和的前提下优先级高的互联网应用4提速，优先级低的互联网应用4减速甚至断网，通过对带宽资源的按用户需求即优先级的合理分配，实现最大化利用价值。

网络端口2包括常用端口和备份端口，备份端口用来在常用端口故障时进行紧急备份，可以保证网络的正常通信,同时可以执行换路策略单元，当常用网络端口2流量饱和时仍无法满足所有高优先级的互联网应用4同时高速访问时，按优先级顺序，将最高优先级的互联网应用4对应的5g联网卡3ip地址添加到备份端口的访问列表内，实现全速访问，访问完成后由下一优先级的互联网应用4替代，直至常用端口的流量饱和状态解除。

本发明可以实现通过基于5g技术实现工业设备流量汇聚，vpdn二次认证并完成ip地址和通讯联接的映射关系，实现流量处理以满足工业互联设备应用流量需求，满足大范围部署，并具备实现业务运营所需要的流量管控功能，采用优先级排列和比例分配的相互配合的方式进行提速和降速等操作，一方面既可以避免带宽资源的浪费，对其进行最大程度上的合理化应用，另一方面可以避免带宽资源的争抢导致访问速度缓慢甚至是网络端口2崩溃的现象，可以实现全面透视网络流量，快速发现与定位网络故障，保障关键应用的稳定运行，对无关或者低价值应用的限制，确保企业网络及应用的可用性，提高上网访问速度，减少服务器负载与管理复杂度，降低企业的带宽成本。

以上，仅为本发明较佳的具体实施方式；但本发明的保护范围并不局限于此。任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，根据本发明的技术方案及其改进构思加以等同替换或改变，都应涵盖在本发明的保护范围内。