一种5G虚拟专网服务系统、业务开通方法及其装置

技术领域

本发明涉及数据通信技术领域，尤其是一种5G虚拟专网服务系统、业务开通方法及其装置。

背景技术

近年来，金融行业应用对网络接入的移动性、施工周期、费用及安全性等需求不断提高。传统的4G(the 4th-Generation Mobile Communication Technology第四代移动通信技术)和5G(the 5th-Generation Mobile Communication Technology第五代移动通信技术)公网无法满足安全要求；同时物理专线不具备移动性、施工周期长和费用高，从而导致金融行业业务的开展受限，其中，采用专线的技术方案，目前骨干网专线都是物理专线，通过增加专线提高灾备能力的方案存在线路同质化、施工周期长、费用高等问题。

在互联网时代，金融行业各网点之间的互联互通十分重要。根据网点层级的高低，各级之间点对点进行有线连接，使得整个网络最终形成了一个树状结构。相比无线网络，固网的稳定性和安全性更强，但点对点的连接方式，也导致网络的灵活性不足相比无线网络，固网的稳定性和安全性更强，但点对点的连接方式，也导致网络的灵活性不足。

发明内容

有鉴于此，本发明实施例提供一种5G虚拟专网服务系统、业务开通方法及其装置，旨在至少在一定程度上解决相关技术中的技术问题之一，能够实现跨层级直联银行总行的5G接入区以保证银行下级机构的业务连续性，并且能够实现局域内网扁平化访问，从而减少数据传输的延迟，提高访问速度。

本发明实施例的另一方面提供了一种5G虚拟专网服务系统，所述5G虚拟专网服务系统的系统架构包括运营商机房、银行总机房和若干个银行分支机房，其中，所述运营商机房部署有核心网控制管理面，所述银行总机房部署有用户面平台和验证服务器，所述银行分支机房部署有5G路由器和用户终端设备，所述5G路由器与所述用户终端设备连接，其中：

所述验证服务器，用于为各个所述银行分支机房中部署的各个所述5G路由器配置后路由，并为所述5G路由器配置通信IP地址；其中，所述后路由对应的后路由信息由所述验证服务器下发至所述用户面平台，以使所述用户面平台下发至所述5G路由器；

所述用户面平台，用于接入各个所述银行分支机房中用户终端设备请求的5G业务；其中，所述用户面平台设置有防火墙，所述防火墙用于控制各个所述银行分支机房之间的通信互通；

所述核心网控制管理面，用于提供与所述用户终端设备请求的5G业务对应的服务。

可选地，所述银行总机房还部署有总行业务服务器，所述总行业务服务器用于接收各个所述银行分支机房中用户终端设备的5G业务请求，并将所述5G业务请求对应的5G业务接入至所述用户面平台，以根据所述核心网控制管理面提供的服务处理所述用户面平台接入的5G业务。

可选地，所述5G虚拟专网服务系统还部署有5G基站，所述5G基站用于连接所述用户面平台和所述5G路由器。

可选地，所述5G路由器和所述用户终端设备的连接方式包括以下至少之一：

所述5G路由器直接与所述银行分支机房中的用户终端设备连接；

或者，

所述5G路由器通过交换机与所述银行分支机房中的用户终端设备连接。

本发明实施例的另一方面提供了一种5G业务开通方法，应用于如上述所述的5G虚拟专网服务系统，所述方法包括：

接收所述用户终端设备的5G业务请求；

通过所述验证服务器配置各个所述银行分支机房对应的各个5G路由器的后路由和配置各个所述5G路由器的通信IP地址；其中，各个所述后路由之间的互通由所述防火墙进行配置，以控制各个所述银行分支机房之间的互相通信；

通过所述验证服务器将各个所述银行分支机房的后路由对应的后路由信息下发至所述用户面平台；

通过所述用户面平台将各个所述后路由信息发布至所述5G路由器，以根据所述5G路由器的后路由信息和所述5G路由器的通信IP地址开通所述5G业务请求相应的5G业务。

可选地，所述通过所述验证服务器配置各个所述银行分支机房对应的各个5G路由器的后路由和配置各个所述5G路由器的通信IP地址，包括：

通过各个所述银行分支机房对应的5G路由器向所述验证服务器发起鉴权请求；

若所述验证服务器鉴权认证成功，则从所述验证服务器中获取各个所述5G路由器的后路由信息，并激活各个所述5G路由器的通信IP地址。

可选地，在所述通过所述验证服务器配置各个所述银行分支机房对应的各个5G路由器的后路由和配置各个所述5G路由器的通信IP地址之后，所述方法还包括：

根据各个所述5G路由器的后路由信息和各个所述5G路由器的通信IP地址，生成各个所述5G路由器对应的后路由转发表项；

当所述用户终端设备发起5G业务请求时，根据所述后路由转发表项确定所述用户终端设备所请求通信的目标终端设备，以访问所述目标终端设备。

可选地，所述方法还包括：

若所述验证服务器鉴权认证失败，则向所述5G路由器返回所述5G路由器认证失败的信息。

可选地，所述方法还包括：

当所述银行分支机房中的各个用户终端设备之间进行数据通信时，各个所述用户终端设备通过所述银行分支机房部署的5G路由器直接进行数据通信；

当各个所述银行分支机房之间的用户终端设备进行数据通信时，在各个所述银行分支机房对应的5G路由器经过所述验证服务器验证后，通过所述用户面平台接收所述验证服务器下发的后路由信息，并将所述后路由信息发布至各个所述银行分支机房对应的5G路由器，以根据所述后路由信息进行数据通信；

当所述银行分支机房的用户终端设备和所述银行总机房的总行业务服务器之间进行数据通信时，在所述银行分支机房对应的5G路由器经过所述验证服务器验证后，所述银行分支机房的用户终端设备通过所述5G路由器的通信IP地址与所述银行总机房的总行业务服务器进行数据通信。

本发明实施例的还提供了一种5G业务开通装置，应用于如上述所述的5G虚拟专网服务系统，所述装置包括：

业务请求接收模块，用于接收所述用户终端设备的5G业务请求；

路由器配置模块，用于通过所述验证服务器配置各个所述银行分支机房对应的各个5G路由器的后路由和配置各个所述5G路由器的通信IP地址；其中，各个所述后路由之间的互通由所述防火墙进行配置，以控制各个所述银行分支机房之间的互相通信；

后路由信息下发模块，用于通过所述验证服务器将各个所述银行分支机房的后路由对应的后路由信息下发至所述用户面平台；

业务开通模块，用于通过所述用户面平台将各个所述后路由信息发布至所述5G路由器，以根据所述5G路由器的后路由信息和所述5G路由器的通信IP地址开通所述5G业务请求相应的5G业务。

在本发明实施例中，提供了一种5G虚拟专网服务系统，5G虚拟专网服务系统的系统架构包括运营商机房、银行总机房和若干个银行分支机房，其中，运营商机房部署有核心网控制管理面，银行总机房部署有用户面平台和验证服务器，银行分支机房部署有5G路由器和用户终端设备，5G路由器与所述用户终端设备连接，其中：验证服务器，用于为各个银行分支机房中部署的各个5G路由器配置后路由，并为5G路由器配置通信IP地址；其中，后路由对应的后路由信息由验证服务器下发至用户面平台，以使用户面平台下发至5G路由器；用户面平台，用于接入各个银行分支机房中用户终端设备请求的5G业务；其中，用户面平台设置有防火墙，防火墙用于控制各个银行分支机房之间的通信互通；核心网控制管理面，用于提供与用户终端设备请求的5G业务对应的服务。本发明实施例通过利用5G网络扁平化的特征，在银行总机房部署有用户面平台用于接入各个银行分支机房中用户终端设备请求的5G业务，能够实现整体架构的灾备逃生通道建设，即银行总行的下级机构可以通过5G虚拟专网服务系统实现跨层级直联银行总行的5G接入区，保证了银行下级机构的业务连续性，并且，在银行总机房部署有验证服务器，用于为各个银行分支机房中部署的各个5G路由器配置后路由和为5G路由器配置通信IP地址，其中，后路由对应的后路由信息由验证服务器下发至用户面平台，以使用户面平台下发至5G路由器，并根据用户面平台设置的防火墙控制各个银行分支机房之间的通信互通，即通过采用后路由技术使5G网络能够端到端直接承载用户侧内网路由，能够实现银行总部数据中心与省行、支行以及普通网点等下级机构的局域内网扁平化访问，因此可以减少网络层级，从而减少了数据传输的延迟，提高了访问速度，还有的是，通过设置防火墙在一定程度上保证了数据的安全性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1是本发明实施例提供的一种5G虚拟专网服务系统的结构框图；

图2是本发明实施例提供的一种基于总行的5G虚拟专网服务系统的结构示意图；

图3是本发明实施例提供的一种基于省行的5G虚拟专网服务系统的结构示意图；

图4是本发明实施例提供的一种基于5G虚拟专网服务系统的跨省漫游的网络架构示意图；

图5是本发明实施例提供的一种基于5G虚拟专网服务系统的跨省漫游的结构示意图；

图6是本发明实施例提供的一种5G业务开通方法的步骤流程图；

图7是本发明实施例提供的一种后路由配置的流程示意图；

图8是本发明实施例提供的一种5G业务开通装置的结构框图；

图9是本发明实施例提供的一种电子设备的结构示意图；

图10是本发明实施例提供的适于用来实现本发明实施例的电子设备的计算机系统结构框图。

具体实施方式

为了使本申请的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本申请进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本申请，并不用于限定本申请。

作为一种示例，近年来，金融行业应用对网络接入的移动性、施工周期、费用及安全性等需求不断提高。传统的4G和5G公网无法满足安全要求；同时物理专线不具备移动性、施工周期长和费用高，从而导致金融行业业务的开展受限，其中，采用专线的技术方案，目前骨干网专线都是物理专线，通过增加专线提高灾备能力的方案存在线路同质化、施工周期长、费用高等问题。在互联网时代，金融行业各网点之间的互联互通十分重要。根据网点层级的高低，各级之间点对点进行有线连接，使得整个网络最终形成了一个树状结构。相比无线网络，固网的稳定性和安全性更强，但点对点的连接方式，也导致网络的灵活性不足相比无线网络，固网的稳定性和安全性更强，但点对点的连接方式，也导致网络的灵活性不足。

对此，在本发明实施例中，提供了一种5G虚拟专网服务系统，5G虚拟专网服务系统的系统架构包括运营商机房、银行总机房和若干个银行分支机房，其中，运营商机房部署有核心网控制管理面，银行总机房部署有用户面平台和验证服务器，银行分支机房部署有5G路由器和用户终端设备，5G路由器与所述用户终端设备连接，其中：验证服务器，用于为各个银行分支机房中部署的各个5G路由器配置后路由，并为5G路由器配置通信IP地址；其中，后路由对应的后路由信息由验证服务器下发至用户面平台，以使用户面平台下发至5G路由器；用户面平台，用于接入各个银行分支机房中用户终端设备请求的5G业务；其中，用户面平台设置有防火墙，防火墙用于控制各个银行分支机房之间的通信互通；核心网控制管理面，用于提供与用户终端设备请求的5G业务对应的服务。本发明实施例通过利用5G网络扁平化的特征，在银行总机房部署有用户面平台用于接入各个银行分支机房中用户终端设备请求的5G业务，能够实现整体架构的灾备逃生通道建设，即银行总行的下级机构可以通过5G虚拟专网服务系统实现跨层级直联银行总行的5G接入区，保证了银行下级机构的业务连续性，并且，在银行总机房部署有验证服务器，用于为各个银行分支机房中部署的各个5G路由器配置后路由和为5G路由器配置通信IP地址，其中，后路由对应的后路由信息由验证服务器下发至用户面平台，以使用户面平台下发至5G路由器，并根据用户面平台设置的防火墙控制各个银行分支机房之间的通信互通，即通过采用后路由技术使5G网络能够端到端直接承载用户侧内网路由，能够实现银行总部数据中心与省行、支行以及普通网点等下级机构的局域内网扁平化访问，因此可以减少网络层级，从而减少了数据传输的延迟，提高了访问速度，还有的是，通过设置防火墙在一定程度上保证了数据的安全性。

参照图1，示出了本发明实施例提供的一种5G虚拟专网服务系统的结构框图；如图1所示，所述5G虚拟专网服务系统的系统架构包括运营商机房、银行总机房和若干个银行分支机房，其中，所述运营商机房部署有核心网控制管理面，所述银行总机房部署有用户面平台和验证服务器，所述银行分支机房部署有5G路由器和用户终端设备，所述5G路由器与所述用户终端设备连接，其中：

所述验证服务器，用于为各个所述银行分支机房中部署的各个所述5G路由器配置后路由，并为所述5G路由器配置通信IP地址；其中，所述后路由对应的后路由信息由所述验证服务器下发至所述用户面平台，以使所述用户面平台下发至所述5G路由器；

所述用户面平台，用于接入各个所述银行分支机房中用户终端设备请求的5G业务；其中，所述用户面平台设置有防火墙，所述防火墙用于控制各个所述银行分支机房之间的通信互通；

所述核心网控制管理面，用于提供与所述用户终端设备请求的5G业务对应的服务。

目前，根据银行网点层级的高低，银行系统网络架构一般被分为总行、省分行和普通网点三级，各级之间点对点进行有线连接，整个网络最终形成了一个树状结构，树的顶端是总行，往下延伸是各省分行和直属分行，以及分行的下级机构支行，最小一级的普通网点则形成树的末梢，和上级分行相连。需要说明的是，目前银行的组织结构的层级从大到小依次为总行、省行、支行和网点，但在银行系统的网络架构中，可以将分行和支行作为一个网络等级，可以理解的是，在实际的应用中，可以将系统的网络层级划分为总行、省分行和普通网点三级更便于管理，也可以根据实际情况将系统的网络层级划分为总行、省行、支行和网点四级等，对于银行系统网络架构中各个网络等级的划分以及划分的层级数可以根据实际情况进行调整以适应各银行的需求，本发明实施例对此不作限制。

在本发明实施例中，5G虚拟专网服务系统是基于5G网络实现的，其中，5G网络整体架构通常分为无线接入网、承载网和核心网三部分。其中，无线接入网主要负责将终端设备接入通信网络；核心网主要起运营支撑作用，负责处理用户终端设备的移动管理、会话管理以及服务管理等；承载网主要负责数据传输，介于无线接入网和核心网之间，是为无线接入网和核心网提供数据传输服务的。并且，5G网络具备扁平化的特征，适合用以实现“灾害逃生”功能，在本发明实施例中，“灾害逃生”可以理解为假设一方出现故障，还可以使用另一方对故障一方的数据或业务进行控制，以实现数据的连续性或可行性。

其中，5G虚拟专网服务系统的系统架构包括运营商机房、银行总机房和若干个银行分支机房，如图1所示，图1中的序号1为运营商机房、序号2为银行总机房、序号3为银行分支机房。

其中，运营商机房部署有核心网控制管理面，核心网控制管理面用于提供与用户终端设备请求的5G业务对应的服务，可选地，5G虚拟专网服务系统还部署有5G基站，参照图2，示出了本发明实施例提供的一种基于总行的5G虚拟专网服务系统的结构示意图；图2中的序号4表示为5G基站，5G基站用于连接用户面平台和5G路由器。

在具体实现中，在运营商部分需要对5G核心网、5G基站以及5G承载网进行部署，具体地，首先，5G核心网控制管理面复用大网(公网)设备，提供开户、网络配置和业务开通等服务；其次，5G基站可以按需优化，或者提供专用室内，再或者提供专用小站，可以理解的是，在一些特定的情况下，例如在大型建筑物、地下空间或者密集的城区，普通的5G基站可能无法满足信号覆盖和容量的需求，这时，可以部署专用的室内或小型基站来提供更强的信号覆盖和更高的网络容量，室内或小型基站可以根据实际需求进行定制和优化，以满足特定场景下的网络需求。通过按需优化和提供专用室内/小站，可以更好地满足不同场景下的网络需求，提高5G网络的质量和性能，需要说明的是，对于5G基站的优化，本领域技术人员可以根据实际情况进行选取，本发明实施例对此不作限制；还有的是，5G承载网可以复用2C(Consumer)大网(面向公众客户)或者2B(Business)专用承载网(面向企业)，可以理解的是，5G承载网可以直接使用大网的承载网，或者使用2B面向企业的专用承载网，代表专线接入时可以采用运营商2C大网承载网直接承载，或者2B企业客户专用的承载网进行承载，需要说明的是，二者没有使用上的区别，主要是面向客户使用场景不同，若需要快速开通、简便使用则可以采用2C大网，专属监控运维管理可以采用2B专用承载网，需要说明的是，对于5G承载网复用的网络，本领域技术人员可以根据实际情况进行选取，本发明实施例对此不作限制。

其中，银行总机房部署有用户面平台，如图2所示，用户面平台为独享UPF(UserPlane Function用户面平台功能)，为了便于查看和区分，在后面的内容将用户面平台以独享UPF进行说明，其中，独享UPF用于接入各个银行分支机房中用户终端设备请求的5G业务，并且，独享UPF设置有防火墙，防火墙可以用于控制各个所述银行分支机房之间的通信互通，示例性地，在银行总行部署一对独享UPF(含防火墙和相关数通设备)，用于接入各支行/分行的5G业务，防火墙用于控制各支行和分行的互通。

需要说明的是，在本发明实施例中，如图2所示，主要是以在银行总行部署独享UPF以及防火墙，以便银行总行能够接入各支行/分行的5G业务，防火墙用于控制各支行和分行的互通；但若是在银行省行部署独享UPF以及防火墙，参照图3，示出了本发明实施例提供的一种基于省行的5G虚拟专网服务系统的结构示意图,如图3所示，则银行省行可以接入省行的下级机构即对应的各支行/网点的5G业务，防火墙此时可以用于控制各支行和网点的互通。可以理解的是，本发明实施例虽以总行部署为主要说明，但同时可以实现其他层级之间的部署设计，本领域技术人员可以根据实际情况进行调整，本发明实施例对此不作限制。

在具体实现中，银行总机房还部署有验证服务器，如图2所示，验证服务器为AAA(Authentication、Authorization、Accounting认证、授权和计费)服务器，可以提供用户安全功能，并通过Radius消息实现认证请求服务，其中Radius为远程用户拨号认证系统中应用的消息协议。为了便于查看和区分，在后面的内容将验证服务器以AAA服务器进行说明，AAA服务器可以用于为各个银行分支机房中部署的各个5G路由器配置后路由，并为5G路由器配置通信IP(Internet Protocol网际互连协议)地址；其中，后路由对应的后路由信息由验证服务器下发至独享UPF，以使独享UPF下发至5G路由器，示例性地，在总行部署一对AAA服务器，用于下发各个分行和支行的后路由和5G路由器通信IP地址配置。需要说明的是，为防止网络信息外泄，该服务器由银行自行维护。

在具体实现中，银行分支机房部署有5G路由器和用户终端设备，5G路由器与用户终端设备连接，如图1、图2或图3所示，PC(Personal Computer个人电脑)1和PC2表示为用户终端设备，需要说明的是，在实际应用中，用户终端设备的数量远不止所列举的数量，本发明实施例中PC的数量仅为简单的示例，对于PC的数量，本领域技术人员可以根据实际情况进行调整，本发明实施例对此不作限制。其中，5G路由器和用户终端设备的连接方式包括以下至少之一：5G路由器直接与银行分支机房中的用户终端设备连接；或者，5G路由器通过交换机与银行分支机房中的用户终端设备连接。其中，用户终端设备可以用CPE(CustomerPremises Equipment用户端设备)表示，CPE工作在桥接模式。并且，分行或支行的行内PC地址由本地配置，5G路由器对外通信IP地址(CPE地址)由网络分配。

可选地，如图2所示，银行总机房还部署有总行业务服务器，总行业务服务器用于接收各个银行分支机房中用户终端设备的5G业务请求，并将5G业务请求对应的5G业务接入至独享UPF，以根据核心网控制管理面提供的服务处理独享UPF接入的5G业务。

基于金融行业对5G虚机专网的要求，本发明实施例中，拟采用5G SA(Standalone独立组网)网络提供无线接入，通过优化基于5G切片的无线网络和承载网以提供更高级别的QoS保障。另外，结合AAA服务器的安全认证服务请求，在网络和接入路由器启用终端后路由特性，终端在AAA服务器认证通过后，同时返回framed-route属性(后路由信息)给核心网，以实现各分行/支行IP网络互通要求。其中，在AAA服务器的安全认证服务中，认证是AAA服务器的鉴权流程为第一步，用于验证用户的身份，用户通过提供凭证来进行身份验证，通常是用户名和密码，在认证过程中，用户输入凭证后，系统会将其发送到认证服务器进行验证，认证服务器会比对用户提供的凭证和系统中保存的凭证是否一致。如果一致，则认证成功，否则认证失败，在后路由场景下，认证通过的同时，返回后路由信息给核心网。

在本发明实施例中，每个架构之间(如图1和图2中所示的分行和支行，和图3中所示的支行和网点)不具有层级关系，网络中任意两个点都能做到互联互通，免去了固网改造产生的线路成本，同时也让“灾难逃生”成为可能。在灾难场景下，下级机构及网点可以通过5G虚拟专网跨层级直联总行5G接入区，通过部署在总行的分行异地灾备区接入总行，保证网点的业务连续性。其中，一个5G终端对应一个IP地址，但在银行系统中，一个终端背后往往需要承接整个内网，要求5G终端不仅要实现端到端的连接，更要完成网到网的互联，在本发明实施例中，结合5G专网能力，采用后路由技术使5G网络能够端到端直接承载用户侧内网路由，去掉了接入终端侧原本复杂的隧道技术，实现总部数据中心与省行、支行局域内网扁平化访问。

另外，在本发明实施例中，还提供了跨省漫游服务，参照图4，示出了本发明实施例提供的一种基于5G虚拟专网服务系统的跨省漫游的网络架构示意图，如图4所示，当支行/分行所在省与总行所在省不同时，且支行/分行需要实现跨省访问总行服务时，采用运营商VPN(Virtual Private Network虚拟专用网络)漫游方案，通过各省的iUPF(IntermediateUser Plane Function中间用户平面)/iSMF(Intermediate Session ManagementFunction中间会话管理面)回到银行总行的SMF(Session Management Function会话管理功能面)最后回到独享UPF。参照图5，示出了本发明实施例提供的一种基于5G虚拟专网服务系统的跨省漫游的结构示意图；在5G网络接入VPN漫游的场景下，漫游省(其他需要漫游的省、拜访省)的AMF(Access and Mobility Management Function接入管理功能面)携带PLMN(Public Land Mobile Network公共陆地移动网，此处指运营商系统)标识、切片、TA(Tracking Area跟踪区)、VPDN(Virtual Private Dialup Networks虚拟私有拨号网络)DNN(Data Network Name数据网络名称)向归属省(本省)的LNRF(Local-NF RepositoryFunction本地网络功能资源库)进行SMF网元发现时，跨省漫游的具体流程为：

(1)归属省的LNRF向漫游省AMF返回本省具备对应TA下VPDN DNN接入能力的SMF；

(2)本省无对应VPDN DNN的接入能力，LNRF上根据默认转发规则，将查询请求转发到HNRF进行查询，通过HNRF转接的模式到该VPDN DNN的归属省LNRF查询之后，给拜访地AMF返回归属地SMF的信息，同时在返回的消息中携带preferredTaiMatchind＝false指示该SMF不满足TAI(Tracking Area Identity跟踪区标识)的位置条件；

(3)AMF开启DNN多次查询的功能，在首次携带TA信息查询DNN网元收到preferredTaiMatchInd＝false指示后，携带PLMN3切片、TAC(Tracking Area Code公共陆地移动网内跟踪区域的标识)向LNRF发起锚定插入SMF(iSMF)发现查询；LNRF上根据SMF的注册信息，给AMF返回具备插入功能的拜访省SMF信息；

(4)拜访省通过iSMF、iUPF的方式与归属省的SMF、UPF互通，从而将用户的业务路由到归属省份，保障正常的业务使用。

通过利用运营商VPN漫游方案，通过各省的iUPF/iSMF回到银行总行UPF的漫游过程。实现了跨省的总部数据中心与省行、支行局域内网扁平化访问。

在本发明实施例中，提供了一种5G虚拟专网服务系统，5G虚拟专网服务系统的系统架构包括运营商机房、银行总机房和若干个银行分支机房，其中，运营商机房部署有核心网控制管理面，银行总机房部署有用户面平台和验证服务器，银行分支机房部署有5G路由器和用户终端设备，5G路由器与所述用户终端设备连接，其中：验证服务器，用于为各个银行分支机房中部署的各个5G路由器配置后路由，并为5G路由器配置通信IP地址；其中，后路由对应的后路由信息由验证服务器下发至用户面平台，以使用户面平台下发至5G路由器；用户面平台，用于接入各个银行分支机房中用户终端设备请求的5G业务；其中，用户面平台设置有防火墙，防火墙用于控制各个银行分支机房之间的通信互通；核心网控制管理面，用于提供与用户终端设备请求的5G业务对应的服务。本发明实施例通过利用5G网络扁平化的特征，在银行总机房部署有用户面平台用于接入各个银行分支机房中用户终端设备请求的5G业务，能够实现整体架构的灾备逃生通道建设，即银行总行的下级机构可以通过5G虚拟专网服务系统实现跨层级直联银行总行的5G接入区，保证了银行下级机构的业务连续性，并且，在银行总机房部署有验证服务器，用于为各个银行分支机房中部署的各个5G路由器配置后路由和为5G路由器配置通信IP地址，其中，后路由对应的后路由信息由验证服务器下发至用户面平台，以使用户面平台下发至5G路由器，并根据用户面平台设置的防火墙控制各个银行分支机房之间的通信互通，即通过采用后路由技术使5G网络能够端到端直接承载用户侧内网路由，能够实现银行总部数据中心与省行、支行以及普通网点等下级机构的局域内网扁平化访问，因此可以减少网络层级，从而减少了数据传输的延迟，提高了访问速度，还有的是，通过设置防火墙在一定程度上保证了数据的安全性。

可以理解的是，在本发明实施例中，利用5G网络扁平化的特征，实现整体架构的灾备逃生通道建设，下级机构和网点可以通过5G虚拟专网跨层级直联总行5G接入区，通过部署在总行的分行异地灾备区接入总行，保证网点的业务连续性；采用后路由技术使5G网络能够端到端直接承载用户侧内网路由，去掉了接入终端侧原本复杂的隧道技术，实现跨省的总部数据中心与省行、支行局域内网扁平化访问。对比专线，5G网络具备差异化组网能力，且施工周期短，可以按使用量付费，能很好的契合金融行业的业务数据线路灾备的建设需求，同时，通过5G定制安全服务能力，能够基于终端后路由技术实现专网下多设备间的双向数据业务访问服务。

参照图6，示出了本发明实施例提供的一种5G业务开通方法的步骤流程图；应用于上述图1的5G虚拟专网服务系统，如图5所示，该方法包括以下步骤：

S601、接收所述用户终端设备的5G业务请求；

其中，5G业务请求通常指的是用户终端设备的业务请求，即用户侧的业务请求。

S602、通过所述验证服务器配置各个所述银行分支机房对应的各个5G路由器的后路由和配置各个所述5G路由器的通信IP地址；其中，各个所述后路由之间的互通由所述防火墙进行配置，以控制各个所述银行分支机房之间的互相通信；

在具体实现中，通过验证服务器配置各个银行分支机房对应的各个5G路由器的后路由和配置各个5G路由器的通信IP地址；其中，各个后路由之间的互通由防火墙进行配置，以控制各个银行分支机房之间的互相通信。

在一种可选实施例中，步骤602可以包括：通过各个银行分支机房对应的5G路由器向验证服务器发起鉴权请求；若验证服务器鉴权认证成功，则从验证服务器中获取各个5G路由器的后路由信息，并激活各个5G路由器的通信IP地址。

可选地，若验证服务器鉴权认证失败，则向5G路由器返回所述5G路由器认证失败的信息。

在一种可选实施例中，在步骤602之后还可以包括：根据各个5G路由器的后路由信息和各个5G路由器的通信IP地址，生成各个5G路由器对应的后路由转发表项；当用户终端设备发起5G业务请求时，根据后路由转发表项确定用户终端设备所请求通信的目标终端设备，以访问所述目标终端设备。

其中，后路由(Routing Behind MS)应用于移动VPN网络，是一种通过一台无线设备(Mobile Station/User Equipment简称MS/UE)将多台终端设备接入网络并与网络侧设备进行双向数据业务的技术方案。在具体实现中，参照图7，示出了本发明实施例提供的一种后路由配置的流程示意图；如图7所示，采用CPE/AR(Customer Premise Equipment/Access Router)终端设备作为5G路由器，向AAA服务器发起鉴权，通过鉴权后从AAA服务器中获取CPE/AR终端设备下挂终端设备(用户终端设备)的网段，同时在EPC/5GC(EvolvedPacket Core/5th Generation Core Network演进分组核心网/第五代核心网络)网络中激活获取CPE/AR终端设备的通信IP地址，发送给EPC/5GC用户面生成终端设备后路由的转发表项，在对应CPE/AR终端设备下挂的多台用户终端设备在请求访问业务时，EPC/5GC用户面根据后路由的转发表项，找到对应的目标终端设备，以进行数据转发，实现点对点，或网对网的数据访问服务。

S603、通过所述验证服务器将各个所述银行分支机房的后路由对应的后路由信息下发至所述用户面平台；

在具体实现中，各支行/分行后路由由AAA服务器分配，通过AAA服务器到独享UPF/SMF的Radius接口Framed-Route信元下发到独享UPF。

S604、通过所述用户面平台将各个所述后路由信息发布至所述5G路由器，以根据所述5G路由器的后路由信息和所述5G路由器的通信IP地址开通所述5G业务请求相应的5G业务。

在具体实现中，UPF通过动态路由(External Border Gateway Protocol简称eBGP)协议将该UPF下的后路由信息发布到银行网络，也就是5G网络每接入一个CPE/AR路由器，立即将该CPE/AR路由器所带的路由发布出去。

具体地，业务开通的流程为：

1、新建银行专用定制DNN(Data Network Name数据网络名称)，运营商根据银行需求按物联网用户开户；

2、CPE/AR路由器通信IP地址由AAA分配；

3、各支行/分行后路由由AAA分配，通过AAA到UPF/SMF的Radius接口Framed-Route信元下发到UPF；

4、后路由的互通在防火墙上配置；

5、UPF通过动态路由(eBGP)协议将该UPF下的后路由信息发布到银行网络，也就是5G网络每接入一个CPE/AR路由器，立即将该CPE/AR路由器所带的路由发布出去。

具体地，在终端完成本地DNN初始设置后(包括DNN名称、用户名、密码等)，向网络发起请求。网络根据定制DNN的标识通过AAA服务器的安全认证服务进行认证鉴权，AAA认证通过后返回后路由信息给网络。其中，向AAA服务器发起请求和返回报文样例代码如下：

(1)请求：

User-Name＝test@test.iot

User-Password＝testpassword

NAS-IP-Address＝172.0.0.1

Calling-Station-Id＝8614900000001

3GPP-IMEISV＝868170000000001

3GPP-IMSI＝460111000000001

NAS-Port-Id＝111000

3GPP-User-Location-Info＝11

(2)返回：

User-Name＝"test@test.iot"

User-Password＝"testpassword"

NAS-IP-Address＝172.0.0.1

Calling-Station-Id＝"8614900000001"

3GPP-IMEISV＝"868170000000001"

3GPP-IMSI＝"460111000000001"

NAS-Port-Id＝"111000"

3GPP-User-Location-Info＝"202d360 21？9d360 21 06v223 34"

1rad_recv:Access-Accept packet from host 172.0.0.1port 1000,id＝123,length＝36

Framed-Route＝"192.168.0.1/2"

通过AAA服务器的认证服务，银行客户可以在平台上自行维护设备挂载的后路由信息，同时可以方便地设置NAS(Network Attached Storage网络附加存储技术)设备管理(生效时间)、DNN接入管理(包括DNN区域限制)、用户属性(包括用户状态、生效时间、机卡绑定)配置等信息，极大地提高维护的自主能力。并且，对于用户使用而言，采用5G终端设备，无需进行VPN配置部署，可以实现即插即用，整体架构上摒弃了固网开通周期长、容灾能力差的缺点。

在一种可选实施例中，还可以包括：当银行分支机房中的各个用户终端设备之间进行数据通信时，各个用户终端设备通过银行分支机房部署的5G路由器直接进行数据通信；当各个银行分支机房之间的用户终端设备进行数据通信时，在各个银行分支机房对应的5G路由器经过验证服务器验证后，通过用户面平台接收验证服务器下发的后路由信息，并将后路由信息发布至各个银行分支机房对应的5G路由器，以根据后路由信息进行数据通信；当银行分支机房的用户终端设备和银行总机房的总行业务服务器之间进行数据通信时，在银行分支机房对应的5G路由器经过验证服务器验证后，银行分支机房的用户终端设备通过5G路由器的通信IP地址与银行总机房的总行业务服务器进行数据通信。

在具体实现中，用户数据通信路径可以包括多种，如图2所示，示例如下：

路径1：分行/支行内通信路径；分行/支行内5G路由器下挂的终端设备，数据不需要传输出分行/支行，可以通过5G路由器功能直接实现行内设备的互访，如图2所示的分支行n中的PC1和PC2之间的数据通信。

路径2：分行和支行之间的通信路径；分行和支行间两个5G路由器通过AAA服务器认证后将后路由信息下发给独享UPF，独享UPF将该后路由信息发布到分行和支行对应的5G路由器，以实现跨分行/支行的5G路由器下挂设备的终端互访，如图2所示的分行的PC2和支行1的PC2进行数据通信。

由于在银行系统网络架构上支行和分行配置为同一等级，所以分行和支行之间的通信路径与支行和支行之间的通信路径的配置和实现方式相同。

路径3：分行/支行和总行的通信路径。分行/支行的5G路由在通过AAA服务器认证后，5G路由器下挂的终端设备即可通过预设的网段地址向总行业务服务器发起业务申请，如图2所示的分行的PC1和总行业务服务器进行数据通信。

需要说明的是，上述示例仅为一种简单的示例，在实际的应用过程中，在列举出的三种用户数据通信路径的场景下，可以有多种用户终端设备之间的互通路径，本领域技术人员可以根据实际情况对需要进行互相通信的设备进行调整和设置，本发明实施例对此不作限制。

在具体实现中，银行数据面的用户报文不需要经过运营商核心网，只会穿越运营商的5G基站和5G承载网，即运营商对这些业务报文不可见，保证了数据的安全性。

在本发明实施例中，对于用户使用而言，采用5G终端设备，无需进行VPN配置部署，即，在用户侧无需进行复杂的VPN的配置部署，提前在运营商网络侧完成业务开通准备，而用户在实际使用时，在5G路由器中插入卡(银行专用定制DNN)，在路由器配置中设置相应的APN(Access Point Name接入点)通道，即可完成客户面的设置，实现即插即用、简单高效，整体架构上摒弃了固网开通周期长、容灾能力差的缺点，提供了广域环境下跨省节点扁平化访问的的网络接入能力；同时基于AAA服务器的后路由能力，实现终端下挂设备的端到端、网对网的访问，极大地提高了网络访问的便捷性；并且对客户也提供了较强的自主维修能力，可以通过AAA服务部署的管理界面进行终端用户AAA认证服务的自主运维。

综上，在本发明实施例中，可以基于5G切片、后路由等新型技术，实现总行、分行/支行和网点三级的信息系统扁平化，实现跨节点网络灾备能力的建设，并帮助银行加快推进数字化转型、建设安全泛在的新型金融基础设施；并且，通过核心网与AAA服务器的后路由能力，基于5G网络能够实现端到端直接承载用户侧内网路由，达到跨域间网内设备和业务服务互访的要求。

另外，金融行业5G定制专网的应用并不仅仅局限于金融行业，还可以快速复制到泛政务行业，这些行业普遍具有全国范围内的广域网服务范围、区县—省市—总部型层级架构、数据敏感高安全要求的特点，在行业发展中也都遇到了传统物理专线灵活性低、施工周期长、费用成本高的问题，因此适用于本发明实施例所提供的5G定制专网安全服务的解决方案。

本发明实施例还提供了一种5G业务开通装置，参照图8，示出了本发明实施例提供了一种5G业务开通装置的结构框图，应用于上述图1的5G虚拟专网服务系统，该装置包括以下模块：

业务请求接收模块801，用于接收所述用户终端设备的5G业务请求；

路由器配置模块802，用于通过所述验证服务器配置各个所述银行分支机房对应的各个5G路由器的后路由和配置各个所述5G路由器的通信IP地址；其中，各个所述后路由之间的互通由所述防火墙进行配置，以控制各个所述银行分支机房之间的互相通信；

后路由信息下发模块803，用于通过所述验证服务器将各个所述银行分支机房的后路由对应的后路由信息下发至所述用户面平台；

业务开通模块804，用于通过所述用户面平台将各个所述后路由信息发布至所述5G路由器，以根据所述5G路由器的后路由信息和所述5G路由器的通信IP地址开通所述5G业务请求相应的5G业务。

本发明方法实施例的内容均适用于本装置实施例，本装置实施例所具体实现的功能与上述方法实施例相同，并且达到的有益效果与上述方法达到的有益效果也相同。

另一方面，如图9所示，本发明实施例还提供了一种电子设备900，该电子设备包括至少一个处理器910，还包括至少一个存储器920，用于存储至少一个程序；以一个处理器910及一个存储器920为例。

处理器910和存储器920可以通过总线或者其他方式连接。

存储器920作为一种非暂态计算机可读存储介质，可用于存储非暂态软件程序以及非暂态性计算机可执行程序。此外，存储器920可以包括高速随机存取存储器，还可以包括非暂态存储器，例如至少一个磁盘存储器件、闪存器件或其他非暂态固态存储器件。在一些实施方式中，存储器920可选包括相对于处理器远程设置的存储器，这些远程存储器可以通过网络连接至该装置。上述网络的实例包括但不限于互联网、企业内部网、局域网、移动通信网及其组合。

以上所描述的电子设备实施例仅仅是示意性的，其中作为分离部件说明的单元可以是或者也可以不是物理上分开的，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。

具体地，图10示意性地示出了用于实现本发明实施例的电子设备的计算机系统结构框图。

需要说明的是，图10示出的电子设备的计算机系统1000仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图10所示，计算机系统1000包括中央处理器1001(Central Processing Unit，CPU)，其可以根据存储在只读存储器1002(Read-Only Memory，ROM)中的程序或者从存储部分1008加载到随机访问存储器1003(Random Access Memory，RAM)中的程序而执行各种适当的动作和处理。在随机访问存储器1003中，还存储有系统操作所需的各种程序和数据。中央处理器1001、在只读存储器1002以及随机访问存储器1003通过总线1004彼此相连。输入/输出接口1005(Input/Output接口，即I/O接口)也连接至总线1004。

以下部件连接至输入/输出接口1005：包括键盘、鼠标等的输入部分1006；包括诸如阴极射线管(Cathode Ray Tube，CRT)、液晶显示器(Liquid Crystal Display，LCD)等以及扬声器等的输出部分1007；包括硬盘等的存储部分1008；以及包括诸如局域网卡、调制解调器等的网络接口卡的通信部分1009。通信部分1009经由诸如因特网的网络执行通信处理。驱动器1010也根据需要连接至输入/输出接口1005。可拆卸介质1011，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器1010上，以便于从其上读出的计算机程序根据需要被安装入存储部分1008。

特别地，根据本发明的实施例，各个方法流程图中所描述的过程可以被实现为计算机软件程序。例如，本发明的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分1009从网络上被下载和安装，和/或从可拆卸介质1011被安装。在该计算机程序被中央处理器1001执行时，执行本发明的系统中限定的各种功能。

需要说明的是，本发明实施例所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、闪存、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本发明中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本发明中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、有线等等，或者上述的任意合适的组合。

本发明方法实施例的内容均适用于本系统实施例，本系统实施例所具体实现的功能与上述方法实施例相同，并且达到的有益效果与上述方法达到的有益效果也相同。

本发明实施例的另一方面还提供了一种计算机可读存储介质，存储介质存储有程序，程序被处理器执行实现前面的方法。

本发明方法实施例的内容均适用于本计算机可读存储介质实施例，本计算机可读存储介质实施例所具体实现的功能与上述方法实施例相同，并且达到的有益效果与上述方法达到的有益效果也相同。

本发明实施例还公开了一种计算机程序产品或计算机程序，该计算机程序产品或计算机程序包括计算机指令，该计算机指令存储在计算机可读存储介质中。计算机设备的处理器可以从计算机可读存储介质读取该计算机指令，处理器执行该计算机指令，使得该计算机设备执行前面的方法。

附图中的流程图和框图，图示了按照本发明各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块，但是这种划分并非强制性的。实际上，根据本发明的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本发明实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、触控终端、或者网络设备等)执行根据本发明实施方式的方法。

在一些可选择的实施例中，在方框图中提到的功能/操作可以不按照操作示图提到的顺序发生。例如，取决于所涉及的功能/操作，连续示出的两个方框实际上可以被大体上同时地执行或所述方框有时能以相反顺序被执行。此外，在本发明的流程图中所呈现和描述的实施例以示例的方式被提供，目的在于提供对技术更全面的理解。所公开的方法不限于本文所呈现的操作和逻辑流程。可选择的实施例是可预期的，其中各种操作的顺序被改变以及其中被描述为较大操作的一部分的子操作被独立地执行。

此外，虽然在功能性模块的背景下描述了本发明，但应当理解的是，除非另有相反说明，所述的功能和/或特征中的一个或多个可以被集成在单个物理装置和/或软件模块中，或者一个或多个功能和/或特征可以在单独的物理装置或软件模块中被实现。还可以理解的是，有关每个模块的实际实现的详细讨论对于理解本发明是不必要的。更确切地说，考虑到在本文中公开的装置中各种功能模块的属性、功能和内部关系的情况下，在工程师的常规技术内将会了解该模块的实际实现。因此，本领域技术人员运用普通技术就能够在无需过度试验的情况下实现在权利要求书中所阐明的本发明。还可以理解的是，所公开的特定概念仅仅是说明性的，并不意在限制本发明的范围，本发明的范围由所附权利要求书及其等同方案的全部范围来决定。

所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：U盘、移动硬盘、只读存储器(ROM，Read-Only Memory)、随机存取存储器(RAM，Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。

计算机可读介质的更具体的示例(非穷尽性列表)包括以下：具有一个或多个布线的电连接部(电子装置)、便携式计算机盘盒(磁装置)、随机存取存储器(RAM)、只读存储器(ROM)、可擦除可编辑只读存储器(EPROM或闪速存储器)、光纤装置以及便携式光盘只读存储器(CDROM)。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列(PGA)，现场可编程门阵列(FPGA)等。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不一定指的是相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，本领域的普通技术人员可以理解：在不脱离本发明的原理和宗旨的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由权利要求及其等同物限定。

以上是对本发明的较佳实施进行了具体说明，但本发明并不限于所述实施例，熟悉本领域的技术人员在不违背本发明精神的前提下还可做出种种的等同变形或替换，这些等同的变形或替换均包含在本申请权利要求所限定的范围内。