一种5GUPF违规业务阻断方法及相关设备与流程

一种5g upf违规业务阻断方法及相关设备
技术领域
1.本发明涉及5g通信技术领域，尤其涉及一种5g upf违规业务阻断方法、系统、终端及计算机可读存储介质。


背景技术：

2.5g移动网络控制面的n4接口(n4接口是控制面upf和用户面smf之间的桥梁)是基于udp/ip协议的，应用层采用了报文转发控制协议pfcp(packet forwarding control protocol)，报文转发控制协议，在3gpp ts 29.244中定义。n4接口传递smf和upf间的pfcp请求和响应消息，包括pfcp会话的建立、修改、释放和上报。
3.upf通过接收smf网元的pfcp消息来创建用户会话信息，upf作为5g数据转发的重要网元，用户所有的上网数据都会通过upf向外转发，而某些用户如果访问违法网站或者进行违法信息传递，upf需要及时检测到该用户的违法行为，并且需要阻断该用户的所有通讯，否则用户还会继续进行违法信息传递。
4.如图1所示，用户通过基站在5g upf，进行数据传递上网，一般情况下，一个手机用户在注册到5g核心网之后，会创建2个会话(pdu会话protocol data unit)信息，一个用于volte语音通话，一个用于用户的数据上网(如果是5g cpe的话，会创建2个都用于pdu上网的会话)，而这两个会话在upf上属于两个独立的个体，如果upf检测到用户上网行为出现违规，需要阻断用户的正常上网，也需要阻断用户的正常通话(cpe需要阻断另一个pdu上网行为)。
5.而upf不同会话属于不同的个体，所以upf无法把2个会话进行管理，从而导致无法进行行为阻断，导致违规用户能够继续进行通讯。
6.因此，现有技术还有待于改进和发展。


技术实现要素：

7.本发明的主要目的在于提供一种5g upf违规业务阻断方法、系统、终端及计算机可读存储介质，旨在解决现有技术中无法有效阻断用户违法通讯的问题。
8.为实现上述目的，本发明提供一种5g upf违规业务阻断方法，所述5g upf违规业务阻断方法包括如下步骤：
9.upf中的dpu接收ue侧发送的数据报文；
10.根据所述数据报文的源ip地址，定位用户信息；
11.根据所述用户信息判断当前用户是否为阻断；
12.如果当前用户是被阻断的，则将所述用户信息进行丢弃；
13.如果用户不是阻断的，将所述用户信息与违规阻断规则进行匹配，判断是否匹配成功；
14.若匹配成功，则认定当前用户发送了非法内容数据，对当前用户所有的上网数据进行阻断，将当前用户的ip用户属性改为阻断，并上报给scu。
15.可选地，所述的5g upf违规业务阻断方法，其中，upf包括dpu和scu；
16.dpu用于数据转发和数据检测处理；
17.scu用于与5g核心网进行交互，并提供控制策略。
18.可选地，所述的5g upf违规业务阻断方法，其中，所述如果用户不是阻断的，将所述用户信息与违规阻断规则进行匹配，判断是否匹配成功，之前还包括：
19.预先配置好违规阻断规则，所述违规阻断规则包括目的ip地址和报文内容。
20.可选地，所述的5g upf违规业务阻断方法，其中，所述如果用户不是阻断的，将所述用户信息与违规阻断规则进行匹配，判断是否匹配成功，之后还包括：
21.若匹配失败，则业务继续，阻断匹配不成功，并进行流转发。
22.可选地，所述的5g upf违规业务阻断方法，其中，所述5g upf违规业务阻断方法还包括：
23.若scu收到ue ip1的违规阻断消息，则说明ue ip1进行了违规阻断访问。
24.可选地，所述的5g upf违规业务阻断方法，其中，所述若scu收到ue ip1的违规阻断消息，则说明ue ip1进行了违规阻断访问，之后还包括：
25.scu收到ue ip1的违规阻断消息，根据ue ip1获取到imsi、msisdn和imei，根据imsi、msisdn和imei查询到ue ip2，对ue ip2下发阻断操作；
26.ue ip2收到阻断信息后，upf的dpu则收到ue ip2的所有数据报文都进行丢弃。
27.可选地，所述的5g upf违规业务阻断方法，其中，upf对改ue侧所有的ip均进行访问限制，以阻断用户访问数据的行为。
28.此外，为实现上述目的，本发明还提供一种5g upf违规业务阻断系统，其中，所述5g upf违规业务阻断系统包括：
29.报文接收模块，用于upf中的dpu接收ue侧发送的数据报文；
30.信息定位模块，用于根据所述数据报文的源ip地址，定位用户信息；
31.阻断判断模块，用于根据所述用户信息判断当前用户是否为阻断；
32.信息丢弃模块，用于如果当前用户是被阻断的，则将所述用户信息进行丢弃；
33.规则匹配模块，用于如果用户不是阻断的，将所述用户信息与违规阻断规则进行匹配，判断是否匹配成功；
34.阻断上报模块，用于若匹配成功，则认定当前用户发送了非法内容数据，对当前用户所有的上网数据进行阻断，将当前用户的ip用户属性改为阻断，并上报给scu。
35.此外，为实现上述目的，本发明还提供一种终端，其中，所述终端包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的5g upf违规业务阻断程序，所述5g upf违规业务阻断程序被所述处理器执行时实现如上所述的5g upf违规业务阻断方法的步骤。
36.此外，为实现上述目的，本发明还提供一种计算机可读存储介质，其中，所述计算机可读存储介质存储有5g upf违规业务阻断程序，所述5g upf违规业务阻断程序被处理器执行时实现如上所述的5gupf违规业务阻断方法的步骤。
37.本发明中，在工具界面点击制作excel文件，在页面输入需要的列，生成一个只有表头的excel文件；根据基础数据的格式类型，使用对应的填充方式将基础数据填充到excel文件中；读取并扫描excel文件，根据预设规则判断excel文件中的内容是否满足要
求；若判断excel文件中的内容不满足要求，则将不满足要求的数据打印到日志中，并将不满足要求的数据在弹出框中进行输出提示；将确认无误的excel文件转换为json文件；在工具界面上将json文件的元数据导入到应用系统，应用系统将json文件进行程序处理后存储到数据库中。本发明实现了快速将基础数据导入到应用系统，大大提高了基础数据的导入效率。
附图说明
38.图1是现有技术中用户通过基站在5g upf进行数据传递上网的原理示意图；
39.图2是本发明5g upf违规业务阻断方法的较佳实施例的流程图；
40.图3是本发明5g upf违规业务阻断方法的较佳实施例中upf组成的示意图；
41.图4是本发明5g upf违规业务阻断方法的较佳实施例中smf和upf进行交互的示意图；
42.图5是本发明5g upf违规业务阻断方法的较佳实施例中upf的数据转发单元dpu处理过程的示意图；
43.图6是本发明5g upf违规业务阻断方法的较佳实施例中scu进行控制策略处理过程的示意图；
44.图7是本发明5g upf违规业务阻断系统的较佳实施例的原理示意图；
45.图8为本发明终端的较佳实施例的运行环境示意图。
具体实施方式
46.为使本发明的目的、技术方案及优点更加清楚、明确，以下参照附图并举实施例对本发明进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。
47.本发明较佳实施例所述的5g upf违规业务阻断方法，如图2和图5所示，所述5g upf违规业务阻断方法包括以下步骤：
48.步骤s10、upf中的dpu接收ue侧发送的数据报文；
49.步骤s20、根据所述数据报文的源ip地址，定位用户信息；
50.步骤s30、根据所述用户信息判断当前用户是否为阻断；
51.步骤s40、如果当前用户是被阻断的，则将所述用户信息进行丢弃；
52.步骤s50、如果用户不是阻断的，将所述用户信息与违规阻断规则进行匹配，判断是否匹配成功；
53.步骤s60、若匹配成功，则认定当前用户发送了非法内容数据，对当前用户所有的上网数据进行阻断，将当前用户的ip用户属性改为阻断，并上报给scu。
54.具体地，如图3所示，upf内部分为2个单元，分别是scu和dpu，一个用来做和5g核心网交互的scu(session control unit)会话控制单元，主要用来做一些控制策略，而dpu(data processing unit)数据处理单元，主要用来做数据转发和数据检测处理。upf支持无感知方式的违规外联检测机制，存在违规外联行为的终端，通讯会被阻断。
55.如图4所示，用户在核心网上注册成功后，核心网的smf会下发2个pdu会话创建信息，upf这边会创建2个用户上网信息；创建会话的时候需要携带imsi、msisdn、imei等任意
表示用户标识的信息(通过标准格式下带即可user id)，upf收到用户下发的pdu信息，根据相同的用户标识，把2个pdu进行相应的关联。
56.如图5所示，表示upf的数据转发单元dpu处理过程，一旦dpu检测到用户出现上网违规信息，就会阻断本次上网，并且上报给scu模块进行关联处理。具体过程如下：
57.upf收到ue侧(例如手机)的数据报文，首先，根据数据报文的源ip地址，定位到是哪个手机上网的报文(定位到用户信息)：如果该用户是被阻断的，则需要把用户报文进行丢弃，如果用户不是阻断，则进行阻断规则的判断；提前配置好该用户的违规阻断规则(例如配置目的ip地址为某个详细地址或者报文内容是非法网站例如www.xxxx.com)的配置；upf收到用户报文后，跟前面配置的阻断规则进行匹配，使用ndpi和haperscan等开源代码进行匹配或者其他算法进行匹配，只要报文的包含的数据内容包含了配置的报文内容，则匹配成功；匹配成功后，则认为该用户发送了非法内容数据，则需要对该用户所有的上网数据进行阻断，设置改ip用户属性为阻断，并且上报给scu；若匹配失败，则业务继续，阻断匹配不成功，并进行流转发。
58.进一步地，如图6所示，scu收到第一个ip地址的阻断检测策略，通过用户标识查询到ip2，并且下发对ip2进行上网阻断。scu(session control unit)会话控制单元，收到ue ip1的违规阻断消息，则说明ue ip1进行了违规阻断访问。由于1个手机可以同时分配多个ip地址，对于upf来说，每个ue ip地址都是独立分开的，upf获取同个手机不同ip的关联关系，但是同一个手机会有相同的imsi、msisdn、imei等，只要核心网在创建用户ue ip会话信息的时候携带下来imsi、msisdn、imei等信息，upf就可以根据相同的imsi、msisdn、imei等，把不同的ue ip进行关联，从而得到了imsi和ue ip的绑定关系。scu收到ue ip1的违规阻断消息，根据ue ip1获取到imsi、msisdn、imei等,然后在根据imsi、msisdn、imei等查询到ue ip2，对ue ip2下发阻断操作；ue ip2收到阻断信息后，upf的dpu数据处理模块则收到ue ip2的所有数据报文都进行丢弃；从而达到只要手机访问了非法网站，upf可以对改手机下所有的ip都能够进行访问限制，从而达到阻断用户访问数据的行为。
59.本发明针对5g upf检测到用户违法行为后，对该用户下的所有通讯进行阻断，防止该用户继续进行违法通讯传递。
60.进一步地，如图7所示，基于上述5g upf违规业务阻断方法，本发明还相应提供了一种5g upf违规业务阻断系统，其中，所述5gupf违规业务阻断系统包括：
61.报文接收模块51，用于upf中的dpu接收ue侧发送的数据报文；
62.信息定位模块52，用于根据所述数据报文的源ip地址，定位用户信息；
63.阻断判断模块53，用于根据所述用户信息判断当前用户是否为阻断；
64.信息丢弃模块54，用于如果当前用户是被阻断的，则将所述用户信息进行丢弃；
65.规则匹配模块55，用于如果用户不是阻断的，将所述用户信息与违规阻断规则进行匹配，判断是否匹配成功；
66.阻断上报模块56，用于若匹配成功，则认定当前用户发送了非法内容数据，对当前用户所有的上网数据进行阻断，将当前用户的ip用户属性改为阻断，并上报给scu。
67.进一步地，如图8所示，基于上述5g upf违规业务阻断方法和系统，本发明还相应提供了一种终端，所述终端包括处理器10、存储器20及显示器30。图8仅示出了终端的部分组件，但是应理解的是，并不要求实施所有示出的组件，可以替代的实施更多或者更少的组
件。
68.所述存储器20在一些实施例中可以是所述终端的内部存储单元，例如终端的硬盘或内存。所述存储器20在另一些实施例中也可以是所述终端的外部存储设备，例如所述终端上配备的插接式硬盘，智能存储卡(smart media card,smc)，安全数字(secure digital,sd)卡，闪存卡(flash card)等。进一步地，所述存储器20还可以既包括所述终端的内部存储单元也包括外部存储设备。所述存储器20用于存储安装于所述终端的应用软件及各类数据，例如所述安装终端的程序代码等。所述存储器20还可以用于暂时地存储已经输出或者将要输出的数据。在一实施例中，存储器20上存储有5g upf违规业务阻断程序40，该5g upf违规业务阻断程序40可被处理器10所执行，从而实现本技术中5g upf违规业务阻断方法。
69.所述处理器10在一些实施例中可以是一中央处理器(central processing unit,cpu)，微处理器或其他数据处理芯片，用于运行所述存储器20中存储的程序代码或处理数据，例如执行所述5g upf违规业务阻断方法等。
70.所述显示器30在一些实施例中可以是led显示器、液晶显示器、触控式液晶显示器以及oled(organic light-emitting diode，有机发光二极管)触摸器等。所述显示器30用于显示在所述终端的信息以及用于显示可视化的用户界面。所述终端的部件10-30通过系统总线相互通信。
71.在一实施例中，当处理器10执行所述存储器20中5g upf违规业务阻断程序40时实现以下步骤：
72.upf中的dpu接收ue侧发送的数据报文；
73.根据所述数据报文的源ip地址，定位用户信息；
74.根据所述用户信息判断当前用户是否为阻断；
75.如果当前用户是被阻断的，则将所述用户信息进行丢弃；
76.如果用户不是阻断的，将所述用户信息与违规阻断规则进行匹配，判断是否匹配成功；
77.若匹配成功，则认定当前用户发送了非法内容数据，对当前用户所有的上网数据进行阻断，将当前用户的ip用户属性改为阻断，并上报给scu。
78.其中，upf包括dpu和scu；
79.dpu用于数据转发和数据检测处理；
80.scu用于与5g核心网进行交互，并提供控制策略。
81.其中，所述如果用户不是阻断的，将所述用户信息与违规阻断规则进行匹配，判断是否匹配成功，之前还包括：
82.预先配置好违规阻断规则，所述违规阻断规则包括目的ip地址和报文内容。
83.其中，所述如果用户不是阻断的，将所述用户信息与违规阻断规则进行匹配，判断是否匹配成功，之后还包括：
84.若匹配失败，则业务继续，阻断匹配不成功，并进行流转发。
85.其中，所述5g upf违规业务阻断方法还包括：
86.若scu收到ue ip1的违规阻断消息，则说明ue ip1进行了违规阻断访问。
87.其中，所述若scu收到ue ip1的违规阻断消息，则说明ue ip1进行了违规阻断访
问，之后还包括：
88.scu收到ue ip1的违规阻断消息，根据ue ip1获取到imsi、msisdn和imei，根据imsi、msisdn和imei查询到ue ip2，对ue ip2下发阻断操作；
89.ue ip2收到阻断信息后，upf的dpu则收到ue ip2的所有数据报文都进行丢弃。
90.其中，upf对改ue侧所有的ip均进行访问限制，以阻断用户访问数据的行为。
91.本发明还提供一种计算机可读存储介质，其中，所述计算机可读存储介质存储有5g upf违规业务阻断程序，所述5g upf违规业务阻断程序被处理器执行时实现如上所述的5g upf违规业务阻断方法的步骤。
92.综上所述，本发明提供一种5g upf违规业务阻断方法及相关设备，所述方法包括：在工具界面点击制作excel文件，在页面输入需要的列，生成一个只有表头的excel文件；根据基础数据的格式类型，使用对应的填充方式将基础数据填充到excel文件中；读取并扫描excel文件，根据预设规则判断excel文件中的内容是否满足要求；若判断excel文件中的内容不满足要求，则将不满足要求的数据打印到日志中，并将不满足要求的数据在弹出框中进行输出提示；将确认无误的excel文件转换为json文件；在工具界面上将json文件的元数据导入到应用系统，应用系统将json文件进行程序处理后存储到数据库中。本发明实现了快速将基础数据导入到应用系统，大大提高了基础数据的导入效率。
93.需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者终端不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者终端所固有的要素。在没有更多限制的情况下，由语句“包括一个
……”
限定的要素，并不排除在包括该要素的过程、方法、物品或者终端中还存在另外的相同要素。
94.当然，本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关硬件(如处理器，控制器等)来完成，所述的程序可存储于一计算机可读取的计算机可读存储介质中，所述程序在执行时可包括如上述各方法实施例的流程。其中所述的计算机可读存储介质可为存储器、磁碟、光盘等。
95.应当理解的是，本发明的应用不限于上述的举例，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，所有这些改进和变换都应属于本发明所附权利要求的保护范围。