重定向分配方法、装置和系统与流程
本发明涉及通信技术领域,具体涉及一种重定向分配方法、装置和系统。
背景技术:
在通信网络系统中,接入和移动性管理功能网元(accessandmobilitymanagementfunction,amf)可以负责终端核心网的移动性管理和接入管理。
由于网络切片的之间的安全隔离度要求,当终端设备需要同时连接两个网络切片,或者想从一个网络切片转换到另外一个网络切片时,由于网络切片业务的安全隔离度不同,当终端希望同时接入两个不同隔离度的切片业务时,可能造成amf重定向的失败,即无法快速从当前切片对应的amf快速跳转到新切片对应的目标amf。
技术实现要素:
为此,本发明提供一种重定向分配方法、装置和系统,以解决现有技术中由于网络切片业务的安全隔离度而导致的终端设备amf重定向失败的问题。
为了实现上述目的,本发明第一方面提供一种重定向分配方法,应用于网络切片管理网元,该方法包括:响应于终端当前连接的接入和移动性管理功能网元amf的重定向请求,从重定向请求中获取当前amf的标识信息和目标amf的标识信息;
其中,当前amf属于预设的第一amf集合,目标amf属于预设的第二amf集合,第一amf集合和第二amf集合用于服务不同类型且安全隔离度大于预定阈值的网络切片;
将终端从当前amf重定向到第一amf集合中的接口amf,并将终端从第一amf集合中的接口amf跳转到第二amf集合中的接口amf;
其中,第一amf集合中的接口amf用于与第一amf集合中的其他amf相连接,第二amf集合中的接口amf用于与第二amf集合中的其他amf相连接;
将终端从第二amf集合中的接口amf重定向到目标amf,得到终端重定向到目标amf的重定向路径。
本发明第二方面提供一种重定向分配装置,包括:信息获取模块,用于响应于终端当前连接的接入和移动性管理功能网元amf的重定向请求,从重定向请求中获取当前amf的标识信息和目标amf的标识信息;
其中,当前amf属于预设的第一amf集合,目标amf属于预设的第二amf集合,第一amf集合和第二amf集合用于服务不同类型且安全隔离度大于预定阈值的网络切片;
重定向处理模块,用于将终端从当前amf重定向到第一amf集合中的接口amf,并将终端从第一amf集合中的接口amf跳转到第二amf集合中的接口amf;
其中,第一amf集合中的接口amf用于与第一amf集合中的其他amf相连接,第二amf集合中的接口amf用于与第二amf集合中的其他amf相连接;
重定向处理模块,还用于将终端从第二amf集合中的接口amf重定向到目标amf,得到终端重定向到目标amf的重定向路径。
本发明第三方面提供一种网络系统,包括:网络切片管理网元和至少两个接入和移动性管理功能网元amf集合;其中,
每个amf集合中包括接口amf,接口amf与所属的amf集合中的其他amf相连接,且每个amf集合中的接口amf之间环状连接;并且其中,
网络切片管理网元,用于管理不同类型的网络切片和至少两个amf集合,不同的amf集合用于服务不同类型的网络切片,并且,用于根据接收到的终端当前连接的接入和移动性管理功能网元amf的重定向请求,执行权利要求1-7中任一项的方法。
本发明第四方面提供一种重定向分配处理系统,包括:一个或多个处理器;存储器,其上存储有一个或多个程序,当一个或多个程序被一个或多个处理器执行,使得一个或多个处理器实现本发明实施例中的任意一种方法。
本发明具有如下优点:根据本发明实施例中的重定向分配方法、装置和系统,在对终端在进行安全隔离度大于预定阈值的多网络切片的连接或者切片业务切换时,可以先重定向到当前amf所在amf集合中的接口amf,然后跳转到目标amf所在amf集合中的接口,再由目标amf所在amf集合中的接口重定向到目标amf。根据该方法,既可以实现切片amf集合安全隔离度,又可以兼顾高隔离度amf集合之间进行重定向,从而解决现有技术中由于网络切片业务的安全隔离度而导致的终端设备amf重定向失败的问题。
附图说明
附图是用来提供对本发明的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本发明,但并不构成对本发明的限制。
图1示出一种实施例的amf重定向的流程示意图;
图2是示出根据本发明实施例的重定向分配方法的流程图;
图3示出本发明示例性实施例的接口amf的连接结构示意图;
图4示出现有高隔离度切片之间和高隔离度amf集之间重定向的失败的示意图;
图5示出本发明实施例中amf的重定向路径以及安全上下文传输流程示意图;
图6示出本发明实施例的重定向分配装置的结构示意图;
图7示出本发明实施例的网络系统的结构示意图;
图8是示出能够实现根据本发明实施例的重定向分配方法和装置的计算设备的示例性硬件架构的结构图。
具体实施方式
以下结合附图对本发明的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本发明,并不用于限制本发明。对于本领域技术人员来说,本发明可以在不需要这些具体细节中的一些细节的情况下实施。下面对实施例的描述仅仅是为了通过示出本发明的示例来提供对本发明更好的理解。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括……”限定的要素,并不排除在包括要素的过程、方法、物品或者设备中还存在另外的相同要素。
在本发明实施例中,由于服务的amf集合不同、两个切片的安全隔离度较高,可能造成amf重定向的失败,即无法快速从当前切片对应的amf快速跳转到新切片对应的目标amf;如果不对amf进行区分隔离完全打通所有amf集合,又会影响切片的安全隔离性。
为了更好的理解本发明,下面将结合附图,详细描述根据本发明实施例的重定向分配方法、装置和系统,应注意,这些实施例并不是用来限制本发明公开的范围。
本发明实施例中的通信网络系统可以是第五代移动通信技术(5thgenerationwirelesssystems,5g)移动通信系统,或支持5g移动通信的通信网络系统。
图1示出一种实施例的amf重定向的流程示意图。如图1所示,amf的重定向流程可以包括如下步骤。
s01,终端发起附着请求(requested-nssai)。
其中,单一网络切片选择辅助信息(singlenetworksliceselectionassistanceinformation,nssai),用于唯一标识一个网络分片。
在该步骤中,终端未携带切片信息。如果终端支持携带切片信息,则跳过s02-s05,无线接入网(radioaccessnetwork,ran)直接按照终端上报s-nssai-ddd选择专网amf,由专网amf查询统一数据管理功能网元(unifieddatamanagement,udm),取签约鉴权,通过后附着成功。
s02,ran选择一个默认amf(defaultamf)。
在该步骤中,ran也可以直接选择默认amf。
s03,defaultamf通过查询udm获取终端签约nssai(subscribed-nssai)。
s04,defaultamf无法为终端服务,携带终端签约nssai向网络切片管理网元(networksliceselectionfunction,nssf)进行查询,nssf返回可服务于该终端的目标amf信息。
在该步骤中,该信息可以包括指示ue在当前注册域可以使用的s-nssais值(allowednssai)和目标amf(targetamf)。
s05,defaultamf将终端的附着请求重定向到目标amf,即重新路由到目标amf(targetamf)。
s06,目标amf通过查询策略控制功能网元(pcf)获取用户签约和策略信息。
在该步骤中,该用户签约和策略信息可以是网络切片选择策略(networksliceselectionpolicy,nssp)。
s07,目标amf下发附着成功消息,终端完成附着。
在图1中,nssf会下发allow-nssai以及targetamf给当前amf,告知当前amf所有重定向的目标amf的信息,然后断开与目前amf的连接再重定向到目标amf。
在本发明实施例中,隔离度高的切片表示安全隔离度大于预定阈值的网络切片。当终端想要同时连接两个网络切片(如下可以简称为切片),或者想从一个切片转换到另外一个切片,由于服务的amf集合不同且隔离度高、两个切片的安全隔离度高,可能造成amf重定向的失败,即无法快速从当前切片对应的amf快速跳转到新切片对应的目标amf;如果不对amf进行区分隔离完全打通所有amf集合,又会影响切片的安全隔离性。
在实际应用场景中,通常会依据5g切片业务类型对amf集合进行分类,不同的amf集合服务不同的切片。由于切片业务的安全隔离度不同,当终端希望同时接入两个高隔离度的切片业务时,可能会出现无法快速实现amf重定向的问题。
图2是示出根据本发明实施例的重定向分配方法的流程图。如图2所示,本发明实施例中的重定向分配方法可以应用于网络切片管理网元nssf,并可以包括以下步骤:
s210,响应于终端当前连接的接入和移动性管理功能网元amf的重定向请求,从重定向请求中获取当前amf的标识信息和目标amf的标识信息。
其中,当前amf属于预设的第一amf集合,目标amf属于预设的第二amf集合,第一amf集合和第二amf集合用于服务不同类型且安全隔离度大于预定阈值的网络切片。
s220,将终端从当前amf重定向到第一amf集合中的接口amf,并将终端从第一amf集合中的接口amf跳转到第二amf集合中的接口amf。
其中,第一amf集合中的接口amf用于与第一amf集合中的其他amf相连接,第二amf集合中的接口amf用于与第二amf集合中的其他amf相连接。
s230,将终端从第二amf集合中的接口amf重定向到目标amf,得到终端重定向到目标amf的重定向路径。
根据本发明实施例的重定向分配方法,通过对每个amf集合设定接口amf,终端在进行多切片连接或者切片业务切换时,可以重定向到当前amf所在amf集合中的接口amf,记为amf1,然后由amf1跳转到目标amf所在amf集合中的接口,记为amf2,再由amf2进行重定向到目标amf。根据本发明实施例的重定向分配方法,既可以实现切片amf集合安全隔离度,又可以兼顾高隔离度amf集合之间进行重定向。
为了更好的理解本发明,下面结合图3,详细描述本发明实施例的重定向分配方法。图3示出本发明示例性实施例的接口amf的连接结构示意图。在图3中包括终端310、无线接入网络320、nssf330,nssf330包括新增管理模块331和新增密钥派生模块332。
应理解,本发明实施例中的网络切片管理网元,可以是网络切片选择功能网元nssf。通过nssf或nssf中新增的管理模块执行本发明实施例的重定向分配方法。以nssf中新增的管理模块为例,在下述实施例的描述中,该模块可以简称为新增管理模块331。
在一些实施例中,上述步骤s210中的第一amf集合和第二amf集合为预设的多个amf集合中的任意两个;步骤s210中,在响应于终端当前连接的amf的重定向请求之前,方法还包括如下步骤。
s11,将安全隔离度大于预定阈值的网络切片作为高隔离度网络切片,按照预设分类规则对服务高隔离度网络切片的amf分类,得到多个不同分类的amf集合。
在该步骤中,可以将被隔离区分的amf集合进行分类,例如:按照amf的服务能力进行分类。示例性地,在图3中,服务能力需要保证网络时延10ms,可靠性99.5%的amf集合(第一集合)例如可以包括:amf11,amf12和amf17;服务能力需要保证网络时延50ms,可靠性80%的amf集合(第二集合)例如可以包括:amf2,amf8,和amf10;服务能力保证网络带宽5m,速率1g的amf集合(第三集合)例如可以包括:amf1,amf9等。
s12,将多个amf集合中的每个amf集合,与预设的多组不同类型的网络切片中的一组网络切片的标识信息建立对应关系,以通过每个amf集合服务不同类型的一组网络切片。
在该步骤中,上述不同分类的amf集合的信息,可以被存储在本发明实施例的网络切片管理网元nssf中,并与网络切片的标识信息(nssai-id)进行关系对应,例如nssai-id=1的车联网切片对应第一amf集合,nssai-id=2的视频切片对应第二amf集合,nssai-id=3的工业场景切片对应第三amf集合。
s13,分别从每个amf集合中选定一个接口amf,选定的接口amf用于与所属amf集合中的其他amf相连接。
在该步骤中,从上述不同分类的amf集合的amf中选定一个amf,作为与其他amf连接的接口。例如:从第一集合选择amf11,第二集合选择amf8,第三集合选择amf1。每个amf集合中被选择作为接口的amf可以称为是接口amf,且接口amf的负载均衡需要满足预定条件。
例如,需要设定这些接口amf的负载均衡需要保持在预设的负载均衡阈值以下,且终端都不优先接入该amf。在本发明实施例中,高隔离度amf集合之间进行重定向的过程中,终端在进行多切片连接或者切片业务切换时,可以重定向到接口amf1,再由接口amf1跳转到目标amf集合的接口amf2,当终端与网络之间的安全上下文传输成功后,再断开与该接口amf的连接。
s14,将选定的接口amf相连接,以使每个amf集合通过选定的接口amf建立连接关系。
在该步骤中,如图3所示,接口amf之间可以进行环形连接,保证每个amf集合可以通过接口amf形成连接,达到交叉互联的效果。
在一些实施例中,步骤s210中的在响应于终端当前连接的接入和移动性管理功能网元amf的重定向请求之前,方法还包括如下步骤。
s21,响应于终端的一个切片业务请求,获取终端上报的请求连接的切片信息,并在终端成功连接当前切片对应的当前amf后,接收终端上报的当前amf的标识信息。
s22,响应于终端的另一切片业务请求,发送终端请求连接的另一网络切片对应的目标amf的标识信息至当前amf;其中,目标amf的标识信息在当前amf中被用于判定是否与当前amf在同一amf集合中,若在同一amf集合中,则当前amf经重新路由后,将终端直接重定向到目标amf。
s23,接收重定向请求,重定向请求是当前amf在判定目标amf与当前amf未在同一amf集合的情况下,向nssf发送的请求,以用于请求重定向到另一网络切片对应的目标amf。
在本发明实施例中,当终端发起切片业务请求时,需要向网络切片管理网元(或网络切片管理网元中的新增管理模块)上报当前切片数量,终端成功接入当前的amf之后,也需要向网络切片管理网元(或网络切片管理网元中的新增管理模块)上报当前amf的id。
在该实施例中,当终端已经连接一个切片后,若再发起第二个切片业务请求,则当前amf会向nssf获取用户切片信息。
该获取用户信息的处理流程例如可以包括:nssf会向amf发送切片选择(nnssf_nsselection_get)的响应信息,下发第二切片对应allow-nssai以及targetamf给当前的amf,告知当前amf所有重定向的目标amf的信息。
当前amf判断第二个切片的targetamf是否与当前连接的amf在一个集合中,如果在同一个amf集合,则可以直接进行amf重连接,例如从当前amf17直接通过重新路由切换到amf12;如果不在同一个amf集合,当前终端所连接的amf由于无法直接跳转、重定向到其他amf集合,因此当前amf将向网络切片管理网元(或网络切片管理网元中的新增管理模块)上报需要重定向到安全隔离度高的其他amf集合,由网络切片管理网元(或网络切片管理网元中的新增管理模块)执行上述步骤s220-s230进行本发明实施例的重定向分配处理。
在一些实施例中,步骤s220中的将终端从当前amf重定向到第一amf集合中的接口amf,具体可以包括如下步骤。
s31,发送第一重定向指令至当前amf,第一重定向指令中包括:第一amf集合中的接口amf的标识信息和对应的amf路由地址。
其中,第一重定向指令,用于控制当前amf根据第一amf集合中的接口amf的标识信息和对应的amf路由地址,将终端重定向到第一amf集合中的接口amf。
第一重定向指令,还用于控制当前amf在将终端重定向到第一amf集合中的接口amf的过程中,发送第一安全上下文消息至第一amf集合中的接口amf,第一安全上下文消息中包括第一密钥推演指示,且第一密钥推演指示中的临时性密钥由当前amf派生得到。
s32,接收第一amf集合中的接口amf的第一成功连接确认消息,确定终端已成功跳转到第一amf集合中的接口amf,其中,第一成功连接确认消息,是第一amf集合中的接口amf由第一密钥推演指示中的临时性密钥,派生得到第一网络附属存储nas密钥并建立新的安全上下文后,生成的连接确认消息。
示例性地,首先网络切片管理网元(或网络切片管理网元中的新增管理模块)可以向当前切片1连接的当前amf发送amf重定向指令,指令中可以包括当前amf集合对应的接口amf的id编号、amf路由地址。
参考图3,在此过程中,当前amf可以向当前集合(第一集合)的接口amf传递安全上下文,具体依据通信协议流程,即当前amf向目标amf发送namf_communication_n1messagenotify服务操作消息,该消息中包含返回用户的永久标识(subscriptionpermanentidentifier,supi)、移动管理(mobilitymanagement,mm)上下文、smf信息、密钥推演指示(keyamfhderivationind),keyamfhderivationind中包括生成amf的临时性密钥kamf(例如kamf1),kamf1由当前amf17派生得到。在此步骤中,由于需要重定向的目标amf为接口amf11,amf11与当前amf在一个集合,因此网络切片管理网元不会派发临时性密钥kamf1,kamf1由当前amf直接派生。
作为示例,如图3所示,当前终端所在的第一切片连接amf17,第二切片由nssf下发的allownssai需要连接amf9。
由于安全隔离度的考虑amf17不能将全套安全上下文直接传递给amf9,于是网络切片管理网元(或网络切片管理网元中的新增管理模块)发送重定向指令,命令amf17先重定向到amf11。
在此重定向过程中可以直接将安全上下文(namf_communication_n1messagenotify消息)从amf17传递到amf11。
通过上述步骤s31-s32,网络切片管理网元可以将终端从当前连接的amf重定向到当前所在amf集合的接口amf上。
在一些实施例中,步骤s220中的将终端从第一amf集合中的接口amf跳转到第二amf集合中的接口amf,具体可以包括如下步骤。
s41,响应于第一amf集合中的接口amf的第一成功连接确认消息,向第一amf集合中的接口amf发送第二重定向指令,第二重定向指令中包括:第二amf集合中的接口amf的标识信息和对应的amf路由地址。
示例性地,参考图3,终端重定向到amf11之后,amf11由kamf1(当前amf17派生)派生得出knasint和knasenc密钥并建立新的nas安全上下文。建立新的nas安全上下文后,amf11向网络切片管理网元(或网络切片管理网元中的新增管理模块)发送成功连接的确认消息。
网络切片管理网元(或网络切片管理网元中的新增管理模块)收到该确认消息后,向amf11继续派发重定向的指令:指令中包括目标amf集合(第三集合)对应的接口amf的id编号、amf路由地址。
s42,生成新的临时性密钥作为第一临时性密钥,发送第一临时性密钥至第一amf集合中的接口amf,以及,生成新的临时性密钥作为第二临时性密钥,发送第二临时性密钥至第二amf集合中的接口amf。
其中,第二重定向指令,用于控制第一amf集合中的接口amf,根据第二amf集合中的接口amf的标识信息和对应的amf路由地址,将终端跳转到第二amf集合中的接口amf。
第二重定向指令,还用于控制第一amf集合中的接口amf,在将终端跳转到第二amf集合中的接口amf的过程中,发送第二安全上下文消息至第二amf集合中的接口amf,第二安全上下文消息中包括第二密钥推演指示,且第二密钥推演指示中的临时性密钥,被第一amf集合中的接口amf更新为第一临时性密钥。
第一临时性密钥和第二临时性密钥,在第二amf集合中的接口amf中被用于合并且派生得到合并后的数据所对应的第三临时性密钥。
在该步骤中,若网络切片管理网元判定当前amf与目标amf不在同一集合,则可以由新增密钥派生模块332,生成并发送新的临时性密钥(记为第一临时性密钥kamf-a,网络切片管理网元派发)至amf11,以及,生成并发送新的临时性密钥(记为第二临时性密钥kamf-b,网络切片管理网元派发)至amf1。
为了安全隔离性考虑,可以由新增管理模块中的密钥派生模块来派发临时性地、不断更新的一对密钥,而不是直接把已有amf的kamf直接发送给另外一个amf集合的接口amf,由于是发给两个指定的接口amf,这样就增加了环路接口amf安全上下文传递的安全可靠性。
在该实施例中,在重定位到amf11后,当前amf11会向目标集合(第三集合)的接口amf1传递安全上下文,即当前amf11向目标amf发送namf_communication_n1messagenotify消息,并在该消息中用《kamf-管理模块派发a》来代替《kamf-amf11派生》,因此该消息中包含supi(返回用户的永久标识)、mm(移动管理)上下文、smf信息、keyamfhderivationind(包括kamf-新增管理模块派发a)。实现将终端从当前连接的第一集合的接口amf11重定向到目标amf集合(第三集合)的接口amf1上。
s43,接收第二amf集合中的接口amf的第二成功连接确认消息,确定终端已成功跳转到第二amf集合中的接口amf,其中,第二成功连接确认消息,是第二amf集合中的接口amf根据第三临时性密钥推导出第二nas密钥并建立新的安全上下文后,生成的连接确认消息。
通过上述步骤s41-s43,实现将终端从第一amf集合中的接口amf跳转到第二amf集合中的接口amf。
在一些实施例中,步骤s230中的将终端从第二amf集合中的接口amf重定向到目标amf,可以包括如下步骤。
s51,响应于第二amf集合中的接口amf的第二成功连接确认消息,向第二amf集合中的接口amf发送第三重定向指令,第三重定向指令中包括:第二amf集合中的目标amf的标识信息和对应的amf路由地址。
第三重定向指令,用于控制第二amf集合中的接口amf根据目标amf的标识信息和对应的amf路由地址,将终端重定向到目标amf。
第三重定向指令,还用于控制第二amf集合中的接口amf在将终端重定向到目标amf的过程中,发送第三安全上下文消息至目标amf,第三安全上下文消息中包括第三密钥推演指示,且第三密钥推演指示中的临时性密钥,由第二amf集合中的接口amf派生得到。
作为示例,amf1接收到amf11发送的n1messagenotify消息之后,由上述第一临时性密钥kamf-a(nssf派发或nssf中的新增管理模块派发)以及第二临时性密钥kamf-b(nssf派发或nssf中的新增管理模块派发),按照一定的算法共同合并,从而派生得出kamf-c(记为第三临时性密钥),再由kamf-c推导出nasint和knasenc密钥并建立新的nas安全上下文。当前amf变成了amf1,amf1继续向新增管理模块发送成功连接的确认消息。
s52,接收目标amf的第三成功连接确认消息,以确定终端已成功跳转到目标amf,其中,第三成功连接确认消息,是目标amf由第三密钥推演指示中的临时性密钥,派生得到第三nas密钥并建立新的安全上下文后,生成的连接确认消息。
示例性地,参考图3,在该步骤中,网络切片管理网元(或网络切片管理网元中的新增管理模块)接收到来自amf1的确认消息后,向amf1继续派发重定向的指令,指令中可以包括目标amf(例如amf9)的id编号、amf路由地址。
由于当前amf与目标amf在一个集合中,所以网络切片管理网元(或网络切片管理网元中的新增管理模块),不会再新增数据位向amf派发临时性密钥。因此当前amf(amf1)会向目标amf9直接传递全套的安全上下文,即amf1向amf9发送namf_communication_n1messagenotify消息,该消息中包含返回用户的永久标识supi、移动管理mm上下文、smf信息、keyamfhderivationind(包括当前amf1派发的kamf),将终端从当前连接接口amf1重定向到最终的目标amf9。
终端完成向amf9的重定向后,amf9由当前amf1的派发kamf,派生得出knasint和knasenc密钥并建立新的nas安全上下文。当前amf变成了amf9,amf9继续向网络切片管理网元(或网络切片管理网元中的新增管理模块)发送成功连接的确认消息。网络切片管理网元(或网络切片管理网元中的新增管理模块)在判断amf9已经是切片2的最终目标amf,即终端重定向已完成,因此网络切片管理网元(或网络切片管理网元中的新增管理模块)将本次重定向分配的终结点固定为amf9。终端不再需要向其他amf进行重定向。
通过上述步骤s51-s52,实现将终端从第二amf集合中的接口amf重定向到目标amf,得到终端重定向到目标amf的重定向路径。
在一些实施例中,第一amf集合中的接口amf的负载均衡值和第二amf集合中的接口amf的负载均衡值,均小于或等于预定均衡负载阈值;若第一amf集合和第二amf集合中的任一amf集合的接口amf的负载均衡值大于预定均衡负载阈值,则得到第一amf集合和第二amf集合中的负载均衡超标的amf。
在该实施例中,本发明实施例的重定向分配方法还可以包括:s61,从负载均衡超标的amf所属amf集合中,选定负载均衡值小于或等于预定均衡负载阈值的一个amf作为辅助接口amf,作为负载均衡超标的amf所属amf集合中的新的接口amf。
在该实施例中,如果负载均衡超标会出现终端无法重定向到该amf,因此,预先设置的接口amf的负载均衡不能超过阈值,就是为了保证接口amf是通畅、负载用户数量不过超标。因此,每个集合中的amf数量可以大于或等于1个,例如当主接口amf负载均衡超过预设负载均衡阈值,那么从该集合中选另一个amf作为辅助接口amf,来对接其他集合amf的重定向需求,并执行本发明实施例的重定向分配方法。
根据本发明实施例的重定向分配方法,通过对每个amf集合设定接口amf,终端在进行多切片连接或者切片业务切换时,可以重定向到当前amf所在amf集合中的接口amf,记为amf1,然后由amf1跳转到目标amf所在amf集合中的接口,记为amf2,再由amf2进行重定向到目标amf。该方案既可以实现切片amf集合安全隔离度,又可以兼顾高隔离度amf集合之间进行重定向。
并且,在两个amf集合中的接口amf之间的安全上下文传递过程中,由网络切片管理网元(或网络切片管理网元中的新增管理模块)派发向当前amf接口以及目标amf集合接口派发一对kamf密钥,而不是由当前amf自我派生,可以保证两个不同集合之间的nas上下文、用户身份不进行直接传输,同时也保障了amf重定向的业务完整性。
下面通过图4和图5,描述本发明实施例的重定向分配方法中的重定向路径以及安全上下文传输流程不同处理方法的处理流程示意图。
图4示出现有高隔离度切片之间和高隔离度amf集之间重定向的失败的示意图;图5示出本发明实施例中amf的重定向路径以及安全上下文传输流程示意图。
如图4所示,现有技术中,由于网络切片的之间的安全隔离度要求,当终端设备需要同时连接两个网络切片amf17和amf9,或者想从一个网络切片amf17转换到另外一个网络切片amf9时,由于网络切片业务的安全隔离度不同,当终端希望同时接入两个不同隔离度的切片业务时,可能造成amf重定向的失败,即无法快速从当前切片对应的amf快速跳转到新切片对应的目标amf。
如图5所示,根据本发明实施例的重定向分配方法,该安全上下文传输流程具体可以包括如下步骤。
s501,当前amf为amf17时,网络切片管理网元(或网络切片管理网元中的新增管理模块)控制当前amf17在将终端重定向到第一amf集合中的接口amf11的过程中,发送全套安全上下文(第一安全上下文消息)至第一amf集合中的接口amf11,第一安全上下文消息中包括第一密钥推演指示,且第一密钥推演指示中的临时性密钥由当前amf17派生得到。
该步骤中,第一amf集合中的接口amf11,由第一密钥推演指示中的临时性密钥,派生得到第一网络附属存储nas密钥并建立新的安全上下文后,生成并发送连接确认消息至网络切片管理网元。
该步骤中,网络切片管理网元(或网络切片管理网元中的新增管理模块)接收第一amf集合中的接口amf11的第一成功连接确认消息,确定终端已成功跳转到第一amf集合中的接口amf11,此时当前amf为amf11。
s502,网络切片管理网元(或网络切片管理网元中的新增管理模块)判定当前amf11与目标amf9不在同一集合。因此,生成新的临时性密钥作为第一临时性密钥,发送第一临时性密钥至第一amf集合中的接口amf11,以及,生成新的临时性密钥作为第二临时性密钥,发送第二临时性密钥至第二amf集合中的接口amf1。
在该步骤中,终端标识可以是全球唯一临时终端标识(globallyuniquetemporaryueidentity,guti)。
当前amf11向接口amf1传递安全上下文,并用第一临时性密钥来代替当前amf11派生的kamf,实现将终端从当前连接的第一集合的接口amf11重定向到目标amf集合(第三集合)的接口amf1上。
在该步骤中,amf1接收到amf11发送的安全上下文消息,由第一临时性密钥和第二临时性密钥按照一定的算法共同合并而派生得出第三临时密钥,再由第三临时密钥推导出nasint和knasenc密钥并建立新的nas安全上下文。当前amf变成了amf1,并由amf1继续向网络切片管理网元(或网络切片管理网元中的新增管理模块)发送成功连接的确认消息。
s503,amf9由amf1派发的kamf派生得出knasint和knasenc密钥并建立新的nas安全上下文。当前amf变成了amf9,amf9继续向新增管理模块发送成功连接的确认消息。
通过上述步骤s501-s503,完成高隔离度切片amf17到amf9的重定向,既可以实现切片amf集合安全隔离度,又可以兼顾高隔离度amf集合之间进行重定向。
下面结合附图,详细介绍根据本发明实施例的重定向分配装置。
图6示出本发明实施例的重定向分配装置的结构示意图。图6所示,该重定向分配装置可以包括如下模块。
信息获取模块610,用于响应于终端当前连接的接入和移动性管理功能网元amf的重定向请求,从重定向请求中获取当前amf的标识信息和目标amf的标识信息。
其中,当前amf属于预设的第一amf集合,目标amf属于预设的第二amf集合,第一amf集合和第二amf集合用于服务不同类型且安全隔离度大于预定阈值的网络切片。
重定向处理模块620,用于将终端从当前amf重定向到第一amf集合中的接口amf,并将终端从第一amf集合中的接口amf跳转到第二amf集合中的接口amf。
其中,第一amf集合中的接口amf用于与第一amf集合中的其他amf相连接,第二amf集合中的接口amf用于与第二amf集合中的其他amf相连接;
重定向处理模块620,还用于将终端从第二amf集合中的接口amf重定向到目标amf,得到终端重定向到目标amf的重定向路径。
在一些实施例中,第一amf集合和第二amf集合为多个amf集合中的任意两个;重定向分配装置还包括:amf分类模块,用于在响应于终端当前连接的amf的重定向请求之前,将安全隔离度大于预定阈值的网络切片作为高隔离度网络切片,按照预设分类规则对服务高隔离度网络切片的amf分类,得到多个不同分类的amf集合;对应关系建立模块,用于将多个amf集合中的每个amf集合,与预设的多组不同类型的网络切片中的一组网络切片的标识信息建立对应关系,以通过每个amf集合服务不同类型的一组网络切片;接口amf选定模块,用于分别从每个amf集合中选定一个接口amf,选定的接口amf用于与所属amf集合中的其他amf相连接;接口amf连接建立模块,用于将选定的接口amf相连接,以使每个amf集合通过选定的接口amf建立连接关系。
在一些实施例中,重定向分配装置还包括:切片业务请求模块,用于在响应于终端当前连接的接入和移动性管理功能网元amf的重定向请求之前,响应于终端的一个切片业务请求,获取终端上报的请求连接的切片信息,并在终端成功连接当前切片对应的当前amf后,接收终端上报的当前amf的标识信息;以及,用于响应于终端的另一切片业务请求,发送终端请求连接的另一网络切片对应的目标amf的标识信息至当前amf;其中,目标amf的标识信息在当前amf中被用于判定是否与当前amf在同一amf集合中,若在同一amf集合中,则当前amf经重新路由后,将终端直接重定向到目标amf;重定向请求接收模块,用于接收重定向请求,重定向请求是当前amf在判定目标amf与当前amf未在同一amf集合的情况下,向本网元发送的请求,以用于请求重定向到另一网络切片对应的目标amf。
在一些实施例中,重定向处理模块620包括如下单元。
第一重定向指令发送单元,用于发送第一重定向指令至当前amf,第一重定向指令中包括:第一amf集合中的接口amf的标识信息和对应的amf路由地址。
其中,第一重定向指令,用于控制当前amf根据第一amf集合中的接口amf的标识信息和对应的amf路由地址,将终端重定向到第一amf集合中的接口amf。
其中,第一重定向指令,还用于控制当前amf在将终端重定向到第一amf集合中的接口amf的过程中,发送第一安全上下文消息至第一amf集合中的接口amf,第一安全上下文消息中包括第一密钥推演指示,且第一密钥推演指示中的临时性密钥由当前amf派生得到。
第一确认消息接收单元,用于接收第一amf集合中的接口amf的第一成功连接确认消息,确定终端已成功跳转到第一amf集合中的接口amf,其中,第一成功连接确认消息,是第一amf集合中的接口amf由第一密钥推演指示中的临时性密钥,派生得到第一网络附属存储nas密钥并建立新的安全上下文后,生成的连接确认消息。
在一些实施例中,重定向处理模块620包括如下单元。
第二重定向指令发送单元,用于响应于第一amf集合中的接口amf的第一成功连接确认消息,向第一amf集合中的接口amf发送第二重定向指令,第二重定向指令中包括:第二amf集合中的接口amf的标识信息和对应的amf路由地址。
临时性密钥生成单元,用于生成新的临时性密钥作为第一临时性密钥,发送第一临时性密钥至第一amf集合中的接口amf,以及,生成新的临时性密钥作为第二临时性密钥,发送第二临时性密钥至第二amf集合中的接口amf。
其中,第二重定向指令,用于控制第一amf集合中的接口amf,根据第二amf集合中的接口amf的标识信息和对应的amf路由地址,将终端跳转到第二amf集合中的接口amf。
其中,第二重定向指令,还用于控制第一amf集合中的接口amf,在将终端跳转到第二amf集合中的接口amf的过程中,发送第二安全上下文消息至第二amf集合中的接口amf,第二安全上下文消息中包括第二密钥推演指示,且第二密钥推演指示中的临时性密钥,被第一amf集合中的接口amf更新为第一临时性密钥;第一临时性密钥和第二临时性密钥,在第二amf集合中的接口amf中被用于合并且派生得到合并后的数据所对应的第三临时性密钥。
第二确认消息接收单元,用于接收第二amf集合中的接口amf的第二成功连接确认消息,确定终端已成功跳转到第二amf集合中的接口amf,其中,第二成功连接确认消息,是第二amf集合中的接口amf根据第三临时性密钥推导出第二nas密钥并建立新的安全上下文后,生成的连接确认消息。
在一些实施例中,重定向处理模块620包括如下单元。
第三重定向指令发送单元,用于响应于第二amf集合中的接口amf的第二成功连接确认消息,向第二amf集合中的接口amf发送第三重定向指令,第三重定向指令中包括:第二amf集合中的目标amf的标识信息和对应的amf路由地址。
第三重定向指令,用于控制第二amf集合中的接口amf根据目标amf的标识信息和对应的amf路由地址,将终端重定向到目标amf。
第三重定向指令,还用于控制第二amf集合中的接口amf在将终端重定向到目标amf的过程中,发送第三安全上下文消息至目标amf,第三安全上下文消息中包括第三密钥推演指示,且第三密钥推演指示中的临时性密钥,由第二amf集合中的接口amf派生得到。
第三确认消息接收单元,用于接收目标amf的第三成功连接确认消息,以确定终端已成功跳转到目标amf,其中,第三成功连接确认消息,是目标amf由第三密钥推演指示中的临时性密钥,派生得到第三nas密钥并建立新的安全上下文后,生成的连接确认消息。
在一些实施例中,第一amf集合中的接口amf的负载均衡值和第二amf集合中的接口amf的负载均衡值,均小于或等于预定均衡负载阈值;若第一amf集合和第二amf集合中的任一amf集合的接口amf的负载均衡值大于预定均衡负载阈值,则得到第一amf集合和第二amf集合中的负载均衡超标的amf。
重定向分配装置还包括:接口amf选定模块,还用于从负载均衡超标的amf所属amf集合中,选定负载均衡值小于或等于预定均衡负载阈值的一个amf作为辅助接口amf,作为负载均衡超标的amf所属amf集合中的新的接口amf。
根据本发明实施例的重定向分配装置,通过对每个amf集合设定接口amf,终端在进行多切片连接或者切片业务切换时,可以重定向到当前amf所在amf集合中的接口amf,记为amf1,然后由amf1跳转到目标amf所在amf集合中的接口,记为amf2,再由amf2进行重定向到目标amf。该方案既可以实现切片amf集合安全隔离度,又可以兼顾高隔离度amf集合之间进行重定向。
并且,在两个amf集合中的接口amf之间的安全上下文传递过程中,由网络切片管理网元(或网络切片管理网元中的新增管理模块)派发向当前amf接口以及目标amf集合接口派发一对kamf密钥,而不是由当前amf自我派生,可以保证两个不同集合之间的nas上下文、用户身份不进行直接传输,同时也保障了amf重定向的业务完整性。
图7示出本发明实施例的网络系统的结构示意图。如图7所示,该网络系统可以包括:网络切片管理网元710和至少两个接入和移动性管理功能网元amf集合,例如:amf集合721、amf集合722和amf集合723。在图7中,每个amf集合中包括接口amf,接口amf与所属的amf集合中的其他amf相连接,且每个amf集合中的接口amf之间环状连接。
作为示例,amf集合721中包括接口amf721-01,其他amf例如:amf721-02和amf721-03;amf集合722中包括接口amf722-01,其他amf例如:amf721-02;amf集合723中包括接口amf723-01,其他amf例如:amf723-02和amf723-03;并且,接口amf722-01、接口amf722-01和接口amf723-01环状连接。
应理解,amf集合的数量以及amf集合中所包含的amf的数量仅仅是示意性的,在实际应用场景总,可以根据实际应用需要进行灵活调整。
继续参考图7,网络切片管理网元710,用于管理不同类型的网络切片和至少两个amf集合,不同的amf集合可以用于服务不同类型的网络切片,并且,用于根据接收到的终端当前连接的接入和移动性管理功能网元amf的重定向请求,执行本发明上述实施例的任一种重定向分配方法。
需要明确的是,本发明并不局限于上文实施例中所描述并在图中示出的特定配置和处理。为了描述的方便和简洁,这里省略了对已知方法的详细描述,并且上述描述的系统、模块和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
图8是示出能够实现根据本发明实施例的重定向分配方法和装置的计算设备的示例性硬件架构的结构图。
如图8所示,计算设备800包括输入设备801、输入接口802、中央处理器803、存储器804、输出接口805、以及输出设备806。其中,输入接口802、中央处理器803、存储器804、以及输出接口805通过总线810相互连接,输入设备801和输出设备806分别通过输入接口802和输出接口805与总线810连接,进而与计算设备800的其他组件连接。
具体地,输入设备801接收来自外部的输入信息,并通过输入接口802将输入信息传送到中央处理器803;中央处理器803基于存储器804中存储的计算机可执行指令对输入信息进行处理以生成输出信息,将输出信息临时或者永久地存储在存储器804中,然后通过输出接口805将输出信息传送到输出设备806;输出设备806将输出信息输出到计算设备800的外部供用户使用。
在一个实施例中,图8所示的计算设备800可以被实现为一种重定向分配处理系统,该重定向分配处理系统可以包括:存储器,被配置为存储程序;处理器,被配置为运行存储器中存储的程序,以执行上述实施例描述的重定向分配处理方法。
根据本发明的实施例,上文参考流程图描述的过程可以被实现为计算机软件程序。例如,本发明的实施例包括一种计算机程序产品,其包括有形地包含在机器可读介质上的计算机程序,计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中,该计算机程序可以从网络上被下载和安装,和/或从可拆卸存储介质被安装。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。计算机程序产品包括一个或多个计算机指令,当其在计算机上运行时,使得计算机执行上述各个实施例中描述的方法。在计算机上加载和执行计算机程序指令时,全部或部分地产生按照本发明实施例的流程或功能。计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一个计算机可读存储介质传输,例如,计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,dvd)、或者半导体介质(例如固态硬盘)等。
以上所描述的装置实施例仅仅是示意性的,其中作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
可以理解的是,以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式,然而本发明并不局限于此。对于本领域内的普通技术人员而言,在不脱离本发明的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!