5G双域专网的接入方法、系统及装置、电子设备与流程

本技术涉及通信，尤其涉及5g双域专网的接入方法、系统及装置、电子设备。

背景技术：

1、为满足客户“不换卡、不换号、无感知切换”使用单一终端访问园区内网和公网internet的诉求，业界提出了5g双域专网。一般对园区内网的访问有着较高的安全要求，需要有机制能确保可信的园区终端才能访问园区内网，因此，园区终端在一次鉴权之后还需要进行二次鉴权。

2、一次鉴权指的是园区终端接入网络时，接入移动管理网元（access and mobilitymanagement function，amf）对移动终端进行的第一次鉴权。二次鉴权指的是在一次鉴权通过后，园区终端需要访问园区内网时，数据网络验证、授权和记账服务器（data network-authentication, authorization, and accountability，dn-aaa）对园区终端再次进行的第二次鉴权。

3、现有技术中，二次鉴权是在数据管理功能网元（unified data management，udm）中以数据网络名称（data network name，dnn）为粒度签约的，这导致了园区终端与公网之间的协议数据单元（protocol data unit，pdu）会话的建立受二次鉴权的约束。比如，当园区终端以通用dnn发起pdu会话，而dnn中绑定了表示该园区终端需要进行二次鉴权的标识，则建立pdu会话的同时必须进行二次鉴权，如果二次鉴权失败，园区终端与公网之间的pdu会话将建立失败，用户将无法访问公网，也就是说，园区终端访问公网受到二次鉴权的约束。

技术实现思路

1、有鉴于此，本技术提供一种5g双域专网的接入方法、系统及装置、电子设备，以在保证园区终端的可信接入的前提下，使园区终端访问公网不受二次鉴权的约束。

2、本技术实施例提供一种5g双域专网的接入方法，应用于5g核心网中的公网会话管理功能网元smf，方法包括：

3、在园区终端与接入移动管理网元amf之间的一次鉴权通过的情况下，基于接收的园区终端发起的协议数据单元pdu会话创建请求中携带的通用数据网络名称dnn，选择与该通用dnn对应的公网用户面功能网元upf建立用户面路径，以在用户面路径建立之后触发园区终端和公网之间的pdu会话的建立；并保存pdu会话创建请求中携带的二次鉴权信息；二次鉴权信息为二次鉴权过程中需要被验证的信息；

4、当确定园区终端需要访问园区内网时，则从策略控制功能网元pcf中获得园区终端已签约的数据网络接入标识符dnai所绑定的二次鉴权参数；二次鉴权参数包括：二次鉴权标识、和数据网络验证、授权和记账服务器dn-aaa的ip地址；二次鉴权标识指示园区终端需要进行二次鉴权；

5、在依据二次鉴权标识确定园区终端需要进行二次鉴权时，依据dn-aaa的ip地址，向dn-aaa发送接入请求，接入请求中携带二次鉴权信息，以触发dn-aaa基于二次鉴权信息对园区终端进行二次鉴权；

6、在接收到dn-aaa在基于二次鉴权信息确定园区终端通过二次鉴权后发送的接入成功消息后，触发该dnai对应的分流用户面功能网元ulcl upf将园区终端的数据包向园区内网和公网进行分流。

7、本技术实施例还提供一种5g双域专网接入系统，该系统包括：5g核心网的公网会话管理功能网元smf、园区内网被部署的dn-aaa、ulcl upf和内网upf；

8、公网smf，用于执行上述方法中的步骤；

9、dn-aaa，用于在接收到公网smf发送的接入请求时，依据接入请求中携带的二次鉴权信息对园区终端进行二次鉴权，或，依据接入请求中携带的二次鉴权信息和园区终端的gpsi对园区终端进行二次鉴权，并在确定园区终端通过二次鉴权后，向公网smf发送接入成功消息；

10、ulcl upf用于，在公网smf接收到接入成功消息后，被触发将园区终端访问园区内网的数据包通过内网upf转发至园区内网，以及将园区终端访问公网的数据包通过公网upf转发至公网；

11、内网upf，用于将ulcl upf发送的园区终端访问园区内网的数据包转发至园区内网，或者，在接收公网smf下发的报文检测规则和转发动作规则时，以依据报文检测规则和转发动作规则，在检测到园区终端访问园区内网的数据包中携带第一ip地址的字段时，将第一ip地址的字段替换为第二ip地址的字段，并将替换后的数据包转发至园区内网，以及，在检测到园区内网向园区终端发送的数据包中携带第二ip地址的字段时，将第二ip地址的字段替换为第一ip地址的字段，并将替换后的数据包转发至ulcl upf，由ulcl upf转发至园区终端。

12、本技术实施例还提供一种5g双域专网的接入装置，应用于5g核心网中的公网会话管理功能网元smf，该装置包括：

13、会话建立模块，在园区终端与接入移动管理网元amf之间的一次鉴权通过的情况下，基于接收的园区终端发起的协议数据单元pdu会话创建请求中携带的通用数据网络名称dnn，选择与该通用dnn对应的公网用户面功能网元upf建立用户面路径，以在用户面路径建立之后触发园区终端和公网之间的pdu会话的建立；并保存pdu会话创建请求中携带的二次鉴权信息；二次鉴权信息为二次鉴权过程中需要被验证的信息；

14、获得模块，用于当确定园区终端需要访问园区内网时，则从策略控制功能网元pcf中获得园区终端已签约的数据网络接入标识符dnai所绑定的二次鉴权参数；二次鉴权参数包括：二次鉴权标识、和数据网络验证、授权和记账服务器dn-aaa的ip地址；二次鉴权标识指示园区终端需要进行二次鉴权；

15、发送模块，用于在依据二次鉴权标识确定园区终端需要进行二次鉴权时，依据dn-aaa的ip地址，向dn-aaa发送接入请求，接入请求中携带二次鉴权信息，以触发dn-aaa基于二次鉴权信息对园区终端进行二次鉴权；

16、控制模块，用于在接收到dn-aaa在基于二次鉴权信息确定园区终端通过二次鉴权后发送的接入成功消息后，触发该dnai对应的分流用户面功能网元ulcl upf将园区终端的数据包向园区内网和公网进行分流。

17、本技术实施例还提供一种电子设备，包括：处理器和用于存储计算机程序指令的存储器，计算机程序指令在被处理器运行时使得处理器执行如上方法的步骤。

18、本技术实施例还提供一种机器可读存储介质，该存储介质存储有计算机程序指令，当该计算机程序指令被执行时，能够实现如上方法的步骤。

19、由以上技术方案可以看出，本技术实施例中，以园区终端在pcf中以dnai为粒度签约二次鉴权功能（记，pcf中存在园区终端已签约的dnai所绑定的二次鉴权参数）为前提，当确定园区终端需要访问园区内网时，则公网smf从pcf中获得园区终端已签约的dnai所绑定的二次鉴权参数，在依据该二次鉴权参数中包括的二次鉴权标识确定园区终端需要进行二次鉴权时，依据该二次鉴权参数中包括的dn-aaa的ip地址向dn-aaa发送携带二次鉴权信息的接入请求，以触发dn-aaa对园区终端进行二次鉴权，在接收到接入成功消息后，触发该dnai对应的分流用户面功能网元ulcl upf将园区终端访问园区内网的数据包通过内网upf转发至园区内网，以及将园区终端访问公网的数据包通过公网upf转发至公网，这实现了在确定园区终端具有访问园区内网需求时对该园区终端进行二次鉴权，以实现园区终端的可信接入的目的。

20、进一步地，由于园区终端在pcf中以dnai为粒度签约二次鉴权功能，而非在udm中以dnn为粒度签约二次鉴权功能，这使得公网smf在接收到园区终端以通用dnn发起的pdu会话创建请求时，无须像现有技术中描述的如果udm中该通用dnn绑定了表示该园区终端需要进行二次鉴权的标识，则必须在建立园区终端和公网之间的pdu会话的同时进行二次鉴权，只有在二次鉴权成功时pdu会话才能成功建立，园区终端才能访问公网，而是直接基于该pdu会话创建请求中携带的通用dnn，选择该通用dnn对应的公网upf建立用户面通道，触发园区终端和公网之间的pdu会话的建立，无需进行二次鉴权就能实现园区终端访问公网，换言之，无论后续二次鉴权成功与否，园区终端和公网之间的pdu会话已经建立，不影响用户访问公网，园区终端访问公网不受二次鉴权的约束。