CN113630779A - 网络连接管理方法及装置、终端 - Google Patents
网络连接管理方法及装置、终端 Download PDFInfo
- Publication number
- CN113630779A CN113630779A CN202110942837.8A CN202110942837A CN113630779A CN 113630779 A CN113630779 A CN 113630779A CN 202110942837 A CN202110942837 A CN 202110942837A CN 113630779 A CN113630779 A CN 113630779A
- Authority
- CN
- China
- Prior art keywords
- application
- identifier
- network
- connection
- public network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/30—Security of mobile devices; Security of mobile applications
- H04W12/37—Managing security policies for mobile devices or for controlling mobile applications
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y02—TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
- Y02D—CLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
- Y02D30/00—Reducing energy consumption in communication networks
- Y02D30/70—Reducing energy consumption in communication networks in wireless communication networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开一种网络连接管理方法及装置,涉及通信技术领域。方法包括:响应设置于终端的应用对非公众网络的连接请求,获取应用的历史网络标识;根据终端标识、应用标识、文件路径非公众网络标识和应用的历史网络标识,生成并发送第一访问控制策略查询请求至策略控制功能实体;接收策略控制功能实体返回的第一连接指示信息;根据第一连接指示信息确定是否允许应用连接非公众网络。通过该方法可以使终端的应用在接入非公众网络之前,首先确定应用连接的历史网络与非公众网络的访问权限是否存在冲突,并在存在冲突的情况下,拒绝将应用接入非公众网络,从而避免历史网络对非公众网络的影响,提高了非公众网络的安全性。
Description
技术领域
本申请涉及通信技术领域,具体涉及一种网络连接管理方法及装置、终端。
背景技术
非公众网络(Non-public networks,NPN)是一种区别于公共网络(Public LandMobile Network,PLMN)的网络,它可以为特定用户组或组织提供服务,且非公众网络对网络质量和网络安全的要求通常较公众网络更高。当前的通信规范中,用户设备既可以接入公众网络,也可以接入非公众网络,并没有考虑用户设备接入的历史网络对该用户设备接入的非公众网络的安全性带来的影响。
发明内容
为此,本申请提供一种网络连接管理方法及装置、终端,以解决用户设备接入的历史网络可能对该用户设备接入的非公众网络的安全性带来影响的问题。
为了实现上述目的,本申请第一方面提供一种网络连接管理方法,应用于非公众网络会话管理功能实体,该方法包括:
响应设置于终端的应用对非公众网络的连接请求,获取所述应用的历史网络标识,其中,所述连接请求包括终端标识、应用标识、文件路径和非公众网络标识,所述历史网络标识为所述应用连接的历史网络的标识;
根据所述终端标识、所述应用标识、所述文件路径、所述非公众网络标识和所述应用的历史网络标识,生成并发送第一访问控制策略查询请求至策略控制功能实体;
接收所述策略控制功能实体返回的第一连接指示信息,其中,所述第一连接指示信息为所述策略控制实体根据所述终端标识、所述应用标识和所述文件路径确定第一访问控制策略,并根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识确定所述非公众网络与所述历史网络的访问权限是否存在冲突,获得第一权限冲突结果,并根据所述第一权限冲突结果生成的信息;
根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络。
进一步地,所述连接请求是在所述终端根据预存的历史网络连接信息确定所述应用具备访问所述非公众网络的权限的情况下,由所述终端转发至会话管理功能实体的请求,其中,所述历史网络连接信息为所述终端根据所述应用的历史网络连接记录生成的信息,且所述历史网络连接信息包括应用标识、文件路径、网络标识和连接指示信息,所述连接指示信息用于表征所述应用是否具有访问所述非公众网络的权限。
进一步地,所述响应设置于终端的应用对非公众网络的连接请求,获取所述应用的历史网络标识,包括:
接收所述应用发送的所述连接请求;
根据所述应用标识和所述非公众网络标识,生成历史网络查询请求;
根据所述终端标识,将所述历史网络查询请求发送至所述终端;
接收所述终端返回的所述应用的历史网络标识。
进一步地,所述第一连接指示信息包括允许连接指示或禁止连接指示;
所述根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络,包括:
在所述第一连接指示信息包括所述允许连接指示的情况下,允许所述应用接入所述非公众网络;
在所述第一连接指示信息包括所述禁止连接指示的情况下,禁止所述应用接入所述非公众网络。
为了实现上述目的,本申请第二方面提供一种网络连接管理方法,应用于公众网络会话管理功能实体,该方法包括:
响应设置于终端的应用对公众网络发起的连接请求,获取所述应用的调用历史网络标识,其中,所述应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,所述调用历史网络标识包括所述应用调用的被调用方对应的历史网络标识,以及调用所述应用的调用方对应的历史网络标识;
根据所述调用历史网络标识生成并发送第二访问控制策略查询请求至策略控制功能实体;
接收所述策略控制功能实体返回的第二连接指示信息,其中,所述第二连接指示信息为所述策略控制功能实体依据所述调用历史网络标识确定所述应用的调用历史网络是否包括非公众网络,获得第二权限冲突结果,并根据所述第二权限冲突结果生成的信息;
根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
为了实现上述目的,本申请第三方面提供一种网络连接管理方法,应用于非公众网络策略控制功能实体,该方法包括:
接收会话管理功能实体发送的第一访问控制策略查询请求,其中,所述第一访问控制策略查询请求是所述会话管理功能实体根据终端标识、应用标识、文件路径、非公众网络标识和历史网络标识生成的请求,所述历史网络标识为设置于终端的应用连接的历史网络的标识,且所述历史网络标识为所述会话管理功能实体响应所述应用对非公众网络的连接请求获取的信息;
根据所述终端标识、所述应用标识和所述文件路径,确定第一访问控制策略;
根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识,确定所述非公众网络与所述历史网络的访问权限是否存在冲突,获得第一权限冲突结果;
根据所述第一权限冲突结果生成第一连接指示信息;
将所述第一连接指示信息发送至所述会话管理功能实体,以供所述会话管理功能实体根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络。
进一步地,所述第一连接指示信息包括允许连接指示或禁止连接指示;
所述根据所述第一权限冲突结果生成第一连接指示信息,包括:
在所述第一权限冲突结果为存在冲突的情况下,生成包括允许连接指示的所述第一连接指示信息;
在所述第一权限冲突结果为不存在冲突的情况下,生成包括禁止连接指示的所述第一连接指示信息。
为了实现上述目的,本申请第四方面提供一种网络连接管理方法,应用于公众网络策略控制功能实体,该方法包括:
接收会话管理功能实体发送的第二访问控制策略查询请求,其中,所述第二访问控制策略查询请求包括应用的调用历史网络标识,所述应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,所述调用历史网络标识为所述会话管理功能实体响应所述应用对公众网络的连接请求获取的信息,所述调用历史网络标识包括所述应用调用的被调用方对应的历史网络标识,以及调用所述应用的调用方对应的历史网络标识;
根据所述调用历史网络标识,确定所述应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果;
根据所述第二权限冲突结果生成第二连接指示信息;
将所述第二连接指示信息发送至所述会话管理功能实体,以供所述会话管理功能实体根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
为了实现上述目的,本申请第五方面提供一种网络连接管理方法,应用于终端,该方法包括:
接收应用发送的连接请求;
在所述连接请求为所述应用对非公众网络的连接请求的情况下,根据预存的历史网络连接信息确定所述应用是否具备访问所述非公众网络的权限,并在确定所述应用具备访问所述非公众网络的权限的情况下,将所述连接请求转发至第一会话管理功能实体,以供所述第一会话管理功能实体获取所述应用的历史网络标识,并根据终端标识、应用标识、文件路径、所述非公众网络标识和所述应用的历史网络标识生成并发送第一访问控制策略查询请求至第一策略控制功能实体,以使所述第一策略控制功能实体依据所述终端标识、所述应用标识和所述文件路径确定第一访问控制策略,并根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识获得第一连接指示信息,将所述第一连接指示信息发送至所述第一会话管理功能实体,使得所述第一会话管理功能实体根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络,其中,所述第一会话管理功能实体和所述第一策略控制功能实体是位于所述非公众网络的功能实体;
在所述连接请求为所述应用对公众网络的连接请求的情况下,将所述连接请求转发至第二会话管理功能实体,以供所述第二会话管理功能实体获取所述应用的调用历史网络标识,根据所述调用历史网络标识生成并发送第二访问控制策略查询请求至第二策略控制功能实体,以使所述第二策略控制功能实体根据所述调用历史网络标识,确定所述应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果,根据所述第二权限冲突结果生成第二连接指示信息,并将所述第二连接指示信息发送至所述第二会话管理功能实体,使得所述第二会话管理功能实体根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
为了实现上述目的,本申请第六方面提供一种网络连接管理装置,应用于非公众网络会话管理功能实体,该装置包括:
第一获取模块,被配置为响应设置于终端的应用对非公众网络的连接请求,获取所述应用的历史网络标识,其中,所述连接请求包括终端标识、应用标识、文件路径和非公众网络标识,所述历史网络标识为所述应用连接的历史网络的标识;
第一生成模块,被配置为根据所述终端标识、所述应用标识、所述文件路径、所述非公众网络标识和所述应用的历史网络标识,生成第一访问控制策略查询请求;
第一发送模块,被配置为将所述第一访问控制策略查询请求发送至策略控制功能实体;
第一接收模块,被配置为接收所述策略控制功能实体返回的第一连接指示信息,其中,所述第一连接指示信息为所述策略控制实体根据所述终端标识、所述应用标识和所述文件路径确定第一访问控制策略,并根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识确定所述非公众网络与所述历史网络的访问权限是否存在冲突,获得第一权限冲突结果,并根据所述第一权限冲突结果生成的信息;
第一连接确定模块,被配置为根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络。
为了实现上述目的,本申请第七方面提供一种网络连接管理装置,应用于公众网络会话管理功能实体,该装置包括:
第二获取模块,被配置为响应设置于终端的应用对公众网络发起的连接请求,获取所述应用的调用历史网络标识,其中,所述应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,所述调用历史网络标识包括所述应用调用的被调用方对应的历史网络标识,以及调用所述应用的调用方对应的历史网络标识;
第二生成模块,被配置为根据所述调用历史网络标识生成第二访问控制策略查询请求;
第二发送模块,被配置为将所述第二访问控制策略查询请求发送至策略控制功能实体;
第二接收模块,被配置为接收所述策略控制功能实体返回的第二连接指示信息,其中,所述第二连接指示信息为所述策略控制功能实体依据所述调用历史网络标识确定所述应用的调用历史网络是否包括非公众网络,获得第二权限冲突结果,并根据所述第二权限冲突结果生成的信息;
第二连接确定模块,被配置为根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
为了实现上述目的,本申请第八方面提供一种网络连接管理装置,应用于非公众网络策略控制功能实体,该装置包括:
第三接收模块,被配置为接收会话管理功能实体发送的第一访问控制策略查询请求,其中,所述第一访问控制策略查询请求是所述会话管理功能实体根据终端标识、应用标识、文件路径、非公众网络标识和历史网络标识生成的请求,所述历史网络标识为设置于终端的应用连接的历史网络的标识,且所述历史网络标识为所述会话管理功能实体响应所述应用对非公众网络的连接请求获取的信息;
策略确定模块,被配置为根据所述终端标识、所述应用标识和所述文件路径,确定第一访问控制策略;
第一权限确定模块,被配置为根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识,确定所述非公众网络与所述历史网络的访问权限是否存在冲突,获得第一权限冲突结果;
第三生成模块,被配置为根据所述第一权限冲突结果生成第一连接指示信息;
第三发送模块,被配置为将所述第一连接指示信息发送至所述会话管理功能实体,以供所述会话管理功能实体根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络。
为了实现上述目的,本申请第九方面提供一种网络连接管理装置,应用于公众网络策略控制功能实体,该装置包括:
第四接收模块,被配置为接收会话管理功能实体发送的第二访问控制策略查询请求,其中,所述第二访问控制策略查询请求包括应用的调用历史网络标识,所述应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,所述调用历史网络标识为所述会话管理功能实体响应所述应用对公众网络的连接请求获取的信息,所述调用历史网络标识包括所述应用调用的被调用方对应的历史网络标识,以及调用所述应用的调用方对应的历史网络标识;
第二权限确定模块,被配置为根据所述调用历史网络标识,确定所述应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果;
第四生成模块,被配置为根据所述第二权限冲突结果生成第二连接指示信息;
第四发送模块,被配置为将所述第二连接指示信息发送至所述会话管理功能实体,以供所述会话管理功能实体根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
为了实现上述目的,本申请第十方面提供一种终端,该终端包括:
第五接收模块,被配置为接收应用发送的连接请求;
第三权限确定模块,被配置为在所述连接请求为所述应用对非公众网络的连接请求的情况下,根据预存的历史网络连接信息确定所述应用是否具备访问所述非公众网络的权限
第五发送模块,被配置为在确定所述应用具备访问所述非公众网络的权限的情况下,将所述连接请求转发至第一会话管理功能实体,以供所述第一会话管理功能实体获取所述应用的历史网络标识,并根据终端标识、应用标识、文件路径、所述非公众网络标识和所述应用的历史网络标识生成并发送第一访问控制策略查询请求至第一策略控制功能实体,以使所述第一策略控制功能实体依据所述终端标识、所述应用标识和所述文件路径确定第一访问控制策略,并根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识获得第一连接指示信息,将所述第一连接指示信息发送至所述第一会话管理功能实体,使得所述第一会话管理功能实体根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络,其中,所述第一会话管理功能实体和所述第一策略控制功能实体是位于所述非公众网络的功能实体;
所述第五发送模块,还被配置为在所述连接请求为所述应用对公众网络的连接请求的情况下,将所述连接请求转发至第二会话管理功能实体,以供所述第二会话管理功能实体获取所述应用的调用历史网络标识,根据所述调用历史网络标识生成并发送第二访问控制策略查询请求至第二策略控制功能实体,以使所述第二策略控制功能实体根据所述调用历史网络标识,确定所述应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果,根据所述第二权限冲突结果生成第二连接指示信息,并将所述第二连接指示信息发送至所述第二会话管理功能实体,使得所述第二会话管理功能实体根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
本申请具有如下优点:
本申请提供的网络连接管理方法,响应设置于终端的应用对非公众网络的连接请求,获取应用的历史网络标识,其中,连接请求包括终端标识、应用标识、文件路径和非公众网络标识,历史网络标识为应用连接的历史网络的标识;根据终端标识、应用标识、非公众网络标识和应用的历史网络标识,生成并发送第一访问控制策略查询请求至策略控制功能实体;接收策略控制功能实体返回的第一连接指示信息,其中,第一连接指示信息为策略控制实体根据终端标识、应用标识和文件路径确定第一访问控制策略,并根据第一访问控制策略、非公众网络标识和历史网络标识确定非公众网络与历史网络的访问权限是否存在冲突,获得第一权限冲突结果,并根据第一权限冲突结果生成的信息;根据第一连接指示信息确定是否允许应用连接非公众网络,使得终端的应用在接入非公众网络之前,首先确定应用连接的历史网络与非公众网络的访问权限是否存在冲突,并在存在冲突的情况下,拒绝将应用接入非公众网络,从而避免历史网络对非公众网络的影响,提高了非公众网络的安全性。
附图说明
附图是用来提供对本申请的进一步理解,并且构成说明书的一部分,与下面的具体实施方式一起用于解释本申请,但并不构成对本申请的限制。
图1为本申请实施例一提供的一种网络连接管理方法的流程图;
图2为本申请实施例二提供的一种网络连接管理方法的流程图;
图3为本申请实施例三提供的一种网络连接管理方法的流程图;
图4为本申请实施例四提供的一种网络连接管理方法的流程图;
图5为本申请实施例五提供的一种网络连接管理方法的流程图;
图6为本申请实施例六提供的一种网络连接管理装置的组成方框图;
图7为本申请实施例七提供的一种网络连接管理装置的组成方框图;
图8为本申请实施例八提供的一种网络连接管理装置的组成方框图;
图9为本申请实施例九提供的一种网络连接管理装置的组成方框图;
图10为本申请实施例十提供的一种终端的组成方框图;
图11为本申请实施例提供的一种网络连接管理系统的组成方框图;
图12为本申请实施例提供的一种网络连接管理系统的信令交互示意图。
具体实施方式
以下结合附图对本申请的具体实施方式进行详细说明。应当理解的是,此处所描述的具体实施方式仅用于说明和解释本申请,并不用于限制本申请。
本申请第一方面提供一种网络连接管理方法。图1是本申请实施例一提供的一种网络连接管理方法的流程图,该网络连接管理方法可应用于非公众网络的会话管理功能实体。如图1所示,该网络连接管理方法包括如下步骤:
步骤S101,响应设置于终端的应用对非公众网络的连接请求,获取应用的历史网络标识。
其中,连接请求包括终端标识、应用标识、文件路径和非公众网络标识,历史网络标识为应用连接的历史网络的标识。在一些实施例中,存在某些应用可以安装在同一终端的不同路径下,并在不同的路径分别启动运行。针对这种情况,仅仅依据应用标识已经无法区别应用。因此,可以同时使用应用标识和文件路径作为识别应用的依据,其中,文件路径为应用的安装路径。
在一些实施例中,会话管理功能实体接收并响应设置于终端的应用对非公众网络的连接请求,根据应用标识、文件路径和非公众网络标识,生成历史网络查询请求,并根据终端标识,将历史网络查询请求发送至终端。终端接收历史网络查询请求之后,根据预存的应用的历史网络连接信息,筛选与该应用标识、文件路径、网络标识一致的历史网络连接记录,从而获得该应用的历史网络标识,并将该应用的历史网络标识反馈给会话功能实体。会话管理功能实体接收终端返回的应用的历史网络标识。其中,会话管理功能实体是处于该非公众网络中的功能实体。在一些具体实现中,终端向会话管理功能实体反馈的信息不仅包括应用的历史网络标识,还包括历史访问结果,其中,历史访问结果用于表征应用是否具有网络访问历史。例如,在终端存在历史网络标识的情况下,终端向会话管理功能实体反馈历史访问结果“是”和应用的历史网络标识列表,其中,“是”表示应用曾经访问过其他网络;在终端不存在历史网络标识的情况下,终端向会话管理功能实体反馈历史访问结果“否”,“否”表示应用没有访问过任何网络。
需要说明的是,当应用未访问过任何网络时,不再存在非公众网络与历史网络的访问权限存在冲突的情况,因此,会话管理功能实体直接建立应用与非公众网络的连接即可。
还需要说明的是,连接请求是在终端根据预存的历史网络连接信息确定应用具备访问非公众网络的权限的情况下,由终端转发至会话管理功能实体的请求。其中,历史网络连接信息为终端根据应用的历史网络连接记录生成的信息,且历史网络连接信息包括应用标识、文件路径、网络标识和连接指示信息,连接指示信息用于表征应用是否具有访问非公众网络的权限。
在一些实施例中,历史网络连接信息采用四元组(应用标识,文件路径,连接指示,网络标识)进行描述。针对应用的每个会话连接过程,会话管理功能实体均向终端发送对应的四元组(一个四元组就相当于一条历史网络连接记录),终端保存四元组,从而形成了应用的历史网络连接信息。在一些具体实现中,当应用发起非公众网络的连接请求时,终端首先从四元组中筛选与该应用的应用标识、文件路径以及与该非公众网络的网络标识一致的四元组,并根据该四元组中的连接指示确定是否将该连接请求进一步转发至会话管理功能实体。具体地,如果连接指示为“允许”,则终端将连接请求转发至会话管理功能实体,由会话管理功能实体根据本申请实施例提供的网络连接管理方法进一步确定是否允许该应用连接非公众网络。如果连接指示为“禁止”,则说明该应用不具备访问该非公众网络的权限,终端不再将连接请求转发给会话管理功能实体,并阻止本次会话连接。
可以理解的是,终端虽然无法主动为应用建立会话连接,但是终端可以阻止会话连接。原因在于,应用安装在终端的操作系统之上,终端对操作系统具有最高操作权限,因此,终端可以阻止或允许应用与会话管理功能实体建立连接。
需要说明的是,如果连接指示为“允许”,并不表征应用一定能与非公众网络建立会话连接;类似的,如果连接指示为“禁止”,也不表征应用一定无法与非公众网络建立会话连接。这是因为终端的应用对应的访问控制策略存在变更的可能性。而且,当访问控制策略变更时,非公众网络可以主动向终端下发新的四元组,以更新终端本地保存的四元组,从而更新应用与非公众网络的连接权限。
步骤S102,根据终端标识、应用标识、文件路径、非公众网络标识和应用的历史网络标识,生成并发送第一访问控制策略查询请求至策略控制功能实体。
在实际应用中,设置于不同终端的相同应用所对应的第一访问控制策略可能不同,设置于同一终端的不同应用所对应的第一访问控制策略也可能不同。因此,在确定第一访问控制策略时,策略控制功能实体需同时依据应用标识和终端标识,因而会话管理功能实体根据终端标识、应用标识、文件路径、非公众网络标识和应用的历史网络标识生成第一访问控制策略查询请求。
在一些实施例中,会话管理功能实体根据终端标识、应用标识、文件路径、非公众网络标识和应用的历史网络标识生成第一访问控制策略查询请求,并将该请求发送至策略控制功能实体。其中,策略控制功能实体也是处于该非公众网络中的功能实体。
步骤S103,接收策略控制功能实体返回的第一连接指示信息。
其中,第一连接指示信息为策略控制实体根据终端标识和应用标识确定第一访问控制策略,并根据第一访问控制策略、非公众网络标识和历史网络标识确定非公众网络与历史网络的访问权限是否存在冲突,获得第一权限冲突结果,并根据第一权限冲突结果生成的信息。
在一些实施例中,策略控制功能实体接收第一访问控制策略查询请求,根据终端标识、应用标识和文件路径确定第一访问控制策略,进而根据第一访问控制策略、非公众网络标识和历史网络标识确定非公众网络与历史网络的访问权限是否存在冲突,获得第一权限冲突结果,并根据第一权限冲突结果生成第一连接指示信息,将第一连接指示信息发送至会话管理功能实体。具体地,如果非公众网络与历史网络的访问权限不存在冲突,则生成包含“允许连接指示”的第一连接指示信息;如果非公众网络与历史网络的访问权限存在冲突,则生成包含“禁止连接指示”的第一连接指示信息。
步骤S104,根据第一连接指示信息确定是否允许应用连接非公众网络。
在一些实施例中,在第一连接指示信息包括允许连接指示的情况下,会话管理功能实体允许应用接入非公众网络;在第一连接指示信息包括禁止连接指示的情况下,会话管理功能实体禁止应用接入非公众网络。
本实施例提供的网络连接管理方法,响应设置于终端的应用对非公众网络的连接请求,获取应用的历史网络标识,其中,连接请求包括终端标识、应用标识、文件路径和非公众网络标识,历史网络标识为应用连接的历史网络的标识;根据终端标识、应用标识、文件路径、非公众网络标识和应用的历史网络标识,生成并发送第一访问控制策略查询请求至策略控制功能实体;接收策略控制功能实体返回的第一连接指示信息,其中,第一连接指示信息为策略控制实体根据终端标识、应用标识和文件路径确定第一访问控制策略,并根据第一访问控制策略、非公众网络标识和历史网络标识确定非公众网络与历史网络的访问权限是否存在冲突,获得第一权限冲突结果,并根据第一权限冲突结果生成的信息;根据第一连接指示信息确定是否允许应用连接非公众网络,使得终端的应用在接入非公众网络之前,首先确定应用连接的历史网络与非公众网络的访问权限是否存在冲突,并在存在冲突的情况下,拒绝将应用接入非公众网络,从而避免历史网络对非公众网络的影响,提高了非公众网络的安全性。
图2是本申请实施例二提供的一种网络连接管理方法的流程图,该网络连接管理方法可应用于公众网络的会话管理功能实体。如图2所示,该网络连接管理方法包括如下步骤:
步骤S201,响应设置于终端的应用对公众网络发起的连接请求,获取应用的调用历史网络标识。
其中,应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,调用历史网络标识包括应用调用的被调用方对应的历史网络标识,以及调用应用的调用方对应的历史网络标识。
步骤S202,根据调用历史网络标识生成并发送第二访问控制策略查询请求至策略控制功能实体。
步骤S203,接收策略控制功能实体返回的第二连接指示信息。
其中,第二连接指示信息为策略控制功能实体依据调用历史网络标识确定应用的调用历史网络是否包括非公众网络,获得第二权限冲突结果,并根据第二权限冲突结果生成的信息。
步骤S204,根据第二连接指示信息确定是否允许应用连接公众网络。
在一些实施例中,只能访问公众网络的应用在被访问过非工作网络的应用调用之后,或者调用访问过非工作网络的应用之后,该应用无法再访问公众网络,避免了公众网络对非公众网络的影响,从而提升了非公众网络的安全性。
例如,应用A只具备直接访问公众网络的权限,而不具备直接访问非公众网络的权限,应用B具备访问非公众网络的权限,且应用B的历史网络访问标识包括NPN1和NPN2,NPN1和NPN2均为非公众网络的网络标识;应用A存在对应用B的调用历史。当应用A发起对公众网络的连接请求时,公众网络中的会话管理功能实体向终端发送查询请求,获取应用A的调用历史网络标识,且调用历史网络标识包括NPN1和NPN2。会话管理功能实体根据NPN1和NPN2生成第二访问控制策略查询请求,并将第二访问控制策略查询请求发送给公众网络中的策略控制功能实体。该策略控制功能实体接收第二访问控制策略查询请求,并根据NPN1和NPN2确定其均属于非公众网络的网络标识,从而判断出应用A的调用历史网络包括非公众网络,因此,会话管理功能拒绝建立应用A与公众网络的连接。
又如,应用A只具备直接访问公众网络的权限,而不具备直接访问非公众网络的权限,应用C具备访问非公众网络的权限,且应用C的历史网络访问标识包括NPN3,NPN3为非公众网络的网络标识;应用A存在被应用C调用的调用历史。当应用A发起对公众网络的连接请求时,公众网络的会话管理功能实体向终端发送查询请求,获取应用A的调用历史网络标识,且调用历史网络标识包括NPN3。会话管理功能实体根据NPN3生成第二访问控制策略查询请求,并将第二访问控制策略查询请求发送给公众网络中的策略控制功能实体。该策略控制功能实体接收第二访问控制策略查询请求,并根据NPN3确定其属于非公众网络的网络标识,从而判断出应用A的调用历史网络包括非公众网络,因此,会话管理功能拒绝建立应用A与公众网络的连接。
需要说明的是,应用B和应用C仍然可以正常访问非公众网络。
图3是本申请实施例二提供的一种网络连接管理方法的流程图,该网络连接管理方法可应用于非公众网络的策略控制功能实体。如图3所示,该网络连接管理方法包括如下步骤:
步骤S301,接收会话管理功能实体发送的第一访问控制策略查询请求。
其中,第一访问控制策略查询请求是会话管理功能实体根据终端标识、应用标识、文件路径、非公众网络标识和历史网络标识生成的请求,历史网络标识为设置于终端的应用连接的历史网络的标识,且历史网络标识为会话管理功能实体响应应用对非公众网络的连接请求获取的信息。
在一些实施例中,会话管理功能实体接收并响应设置于终端的应用对非公众网络的连接请求,根据应用标识、文件路径和非公众网络标识,生成历史网络查询请求,并根据终端标识,将历史网络查询请求发送至终端。终端接收历史网络查询请求之后,根据预存的应用的历史网络连接信息,筛选与该应用标识、文件路径、网络标识一致的历史网络连接记录,从而获得该应用的历史网络标识,并将该应用的历史网络标识反馈给会话功能实体。会话管理功能实体接收终端返回的应用的历史网络标识。其中,会话管理功能实体是处于该非公众网络中的功能实体。在一些具体实现中,终端向会话管理功能实体反馈的信息不仅包括历史网络标识,还包括历史访问结果,其中,历史访问结果用于表征应用是否具有网络访问历史。例如,在终端存在历史网络标识的情况下,终端向会话管理功能实体反馈历史访问结果“是”和应用的历史网络标识列表,其中,“是”表示应用曾经访问过其他网络;在终端不存在历史网络标识的情况下,终端向会话管理功能实体反馈历史访问结果“否”,“否”表示应用没有访问过任何网络。
步骤S302,根据终端标识、应用标识和文件路径,确定第一访问控制策略。
在实际应用中,设置于不同终端的相同应用所对应的第一访问控制策略可能不同,设置于同一终端的不同应用所对应的第一访问控制策略也可能不同。因此,在确定第一访问控制策略时,策略控制功能实体需同时依据应用标识和终端标识。
需要说明的是,第一访问控制策略可以根据实际需求进行变更。当第一访问控制策略变更之后,意味着应用对非公众网络的访问权限也发生了变化,在这种情况下,非公众网络可以主动向终端下发新的四元组,以更新终端本地保存的四元组,从而更新应用与非公众网络的连接权限。
步骤S303,根据第一访问控制策略、非公众网络标识和历史网络标识,确定非公众网络与历史网络的访问权限是否存在冲突,获得第一权限冲突结果。
其中,第一访问控制策略用于确定不同网络之间是否可以同时进行访问。
在一些实施例中,第一权限冲突结果包括两种情况,第一种情况为非公众网络与历史网络的访问权限不存在冲突,第二种情况为非公众网络与历史网络的访问权限存在冲突。其中,非公众网络与历史网络的访问权限不存在冲突是指非公众网络与历史网络可以同时被终端访问,非公众网络与历史网络的访问权限存在冲突是指非公众网络与历史网络不能同时被终端访问。
步骤S304,根据第一权限冲突结果生成第一连接指示信息。
在一些实施例中,如果第一权限冲突结果为非公众网络与历史网络的访问权限不存在冲突,则生成包含“允许连接指示”的第一连接指示信息;如果第一权限冲突结果为非公众网络与历史网络的访问权限存在冲突,则生成包含“禁止连接指示”的第一连接指示信息。
步骤S305,将第一连接指示信息发送至会话管理功能实体,以供会话管理功能实体根据第一连接指示信息确定是否允许应用连接非公众网络。
在一些实施例中,策略控制功能实体将第一连接指示信息发送至会话管理功能实体。会话管理功能实体接收第一连接指示信息,并且在第一连接指示信息包括允许连接指示的情况下,会话管理功能实体允许应用接入非公众网络;在第一连接指示信息包括禁止连接指示的情况下,会话管理功能实体禁止应用接入非公众网络。
本实施例提供的网络连接管理方法,接收会话管理功能实体发送的第一访问控制策略查询请求,其中,第一访问控制策略查询请求是会话管理功能实体根据终端标识、应用标识、文件路径、非公众网络标识和历史网络标识生成的请求,历史网络标识为设置于终端的应用连接的历史网络的标识,且历史网络标识为会话管理功能实体响应应用对非公众网络的连接请求获取的信息;根据终端标识、应用标识和文件路径,确定第一访问控制策略;根据第一访问控制策略、非公众网络标识和历史网络标识,确定非公众网络与历史网络的访问权限是否存在冲突,获得第一权限冲突结果;根据第一权限冲突结果生成第一连接指示信息;将第一连接指示信息发送至会话管理功能实体,以供会话管理功能实体根据第一连接指示信息确定是否允许应用连接非公众网络,使得终端的应用在接入非公众网络之前,首先确定应用连接的历史网络与非公众网络的访问权限是否存在冲突,并在存在冲突的情况下,拒绝将应用接入非公众网络,从而避免历史网络对非公众网络的影响,提高了非公众网络的安全性。
图4是本申请实施例四提供的一种网络连接管理方法的流程图,该网络连接管理方法可应用于公众网络的策略控制功能实体。如图4所示,该网络连接管理方法包括如下步骤:
步骤S401,接收会话管理功能实体发送的第二访问控制策略查询请求。
其中,第二访问控制策略查询请求包括应用的调用历史网络标识,应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,调用历史网络标识为会话管理功能实体响应应用对公众网络的连接请求获取的信息,调用历史网络标识包括应用调用的被调用方对应的历史网络标识,以及调用应用的调用方对应的历史网络标识。
步骤S402,根据调用历史网络标识,确定应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果。
步骤S403,根据第二权限冲突结果生成第二连接指示信息。
步骤S404,将第二连接指示信息发送至会话管理功能实体,以供会话管理功能实体根据第二连接指示信息确定是否允许应用连接公众网络。
在一些实施例中,只能访问公众网络的应用在被访问过非工作网络的应用调用之后,或者调用访问过非工作网络的应用之后,该应用无法再访问公众网络,避免了公众网络对非公众网络的影响,从而提升了非公众网络的安全性。
例如,应用A只具备直接访问公众网络的权限,而不具备直接访问非公众网络的权限,应用B具备访问非公众网络的权限,且应用B的历史网络访问标识包括NPN1和NPN2,NPN1和NPN2均为非公众网络的网络标识;应用A存在对应用B的调用历史。当应用A发起对公众网络的连接请求时,公众网络中的会话管理功能实体向终端发送查询请求,获取应用A的调用历史网络标识,且调用历史网络标识包括NPN1和NPN2。会话管理功能实体根据NPN1和NPN2生成第二访问控制策略查询请求,并将第二访问控制策略查询请求发送给公众网络中的策略控制功能实体。该策略控制功能实体接收第二访问控制策略查询请求,并根据NPN1和NPN2确定其均属于非公众网络的网络标识,从而判断出应用A的调用历史网络包括非公众网络,因此,会话管理功能拒绝建立应用A与公众网络的连接。
又如,应用A只具备直接访问公众网络的权限,而不具备直接访问非公众网络的权限,应用C具备访问非公众网络的权限,且应用C的历史网络访问标识包括NPN3,NPN3为非公众网络的网络标识;应用A存在被应用C调用的调用历史。当应用A发起对公众网络的连接请求时,公众网络的会话管理功能实体向终端发送查询请求,获取应用A的调用历史网络标识,且调用历史网络标识包括NPN3。会话管理功能实体根据NPN3生成第二访问控制策略查询请求,并将第二访问控制策略查询请求发送给公众网络中的策略控制功能实体。该策略控制功能实体接收第二访问控制策略查询请求,并根据NPN3确定其属于非公众网络的网络标识,从而判断出应用A的调用历史网络包括非公众网络,因此,会话管理功能拒绝建立应用A与公众网络的连接。
需要说明的是,应用B和应用C仍然可以正常访问非公众网络。
图5是本申请实施例五提供的一种网络连接管理方法的流程图,该网络连接管理方法可应用于终端。如图5所示,该网络连接管理方法包括如下步骤:
步骤S501,接收应用发送的连接请求。
步骤S502,在连接请求为应用对非公众网络的连接请求的情况下,根据预存的历史网络连接信息确定应用是否具备访问非公众网络的权限,并在确定应用具备访问非公众网络的权限的情况下,将连接请求转发至第一会话管理功能实体,以供第一会话管理功能实体获取应用的历史网络标识,并根据终端标识、应用标识、文件路径、非公众网络标识和应用的历史网络标识生成并发送第一访问控制策略查询请求至第一策略控制功能实体,以使第一策略控制功能实体依据终端标识、应用标识和文件路径确定第一访问控制策略,并根据第一访问控制策略、非公众网络标识和历史网络标识获得第一连接指示信息,将第一连接指示信息发送至第一会话管理功能实体,使得第一会话管理功能实体根据第一连接指示信息确定是否允许应用连接非公众网络,其中,第一会话管理功能实体和第一策略控制功能实体是位于非公众网络的功能实体。
步骤S503,在连接请求为应用对公众网络的连接请求的情况下,将连接请求转发至第二会话管理功能实体,以供第二会话管理功能实体获取应用的调用历史网络标识,根据调用历史网络标识生成并发送第二访问控制策略查询请求至第二策略控制功能实体,以使第二策略控制功能实体根据调用历史网络标识,确定应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果,根据第二权限冲突结果生成第二连接指示信息,并将第二连接指示信息发送至第二会话管理功能实体,使得第二会话管理功能实体根据第二连接指示信息确定是否允许应用连接公众网络。
上面各种方法的步骤划分,只是为了描述清楚,实现时可以合并为一个步骤或者对某些步骤进行拆分,分解为多个步骤,只要包括相同的逻辑关系,都在本专利的保护范围内;对算法中或者流程中添加无关紧要的修改或者引入无关紧要的设计,但不改变其算法和流程的核心设计都在该专利的保护范围内。
本申请第二方面提供一种网络连接管理装置。图6是本申请实施例6提供的一种网络连接管理装置的组成方框图,该网络连接管理装置可应用于非公众网络的会话管理功能实体。如图6所示,该网络连接管理装置600包括:
获取模块601,被配置为响应设置于终端的应用对非公众网络的连接请求,获取应用的历史网络标识。
其中,连接请求包括终端标识、应用标识、文件路径和非公众网络标识,历史网络标识为应用连接的历史网络的标识。
第一生成模块602,被配置为根据终端标识、应用标识、文件路径、非公众网络标识和应用的历史网络标识,生成第一访问控制策略查询请求。
第一发送模块603,被配置为将第一访问控制策略查询请求发送至策略控制功能实体。
第一接收模块604,被配置为接收策略控制功能实体返回的第一连接指示信息。
其中,第一连接指示信息为策略控制实体根据终端标识、应用标识和文件路径确定第一访问控制策略,并根据第一访问控制策略、非公众网络标识和历史网络标识确定非公众网络与历史网络的访问权限是否存在冲突,获得第一权限冲突结果,并根据第一权限冲突结果生成的信息。
连接确定模块605,被配置为根据第一连接指示信息确定是否允许应用连接非公众网络。
图7是本申请实施例七提供的一种网络连接管理装置的组成方框图,该网络连接管理装置可应用于公众网络的会话管理功能实体。如图7所示,该网络连接管理装置700包括:
第二获取模块701,被配置为响应设置于终端的应用对公众网络发起的连接请求,获取应用的调用历史网络标识。
其中,应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,调用历史网络标识包括应用调用的被调用方对应的历史网络标识,以及调用应用的调用方对应的历史网络标识。
第二生成模块702,被配置为根据调用历史网络标识生成第二访问控制策略查询请求。
第二发送模块703,被配置为将第二访问控制策略查询请求发送至策略控制功能实体。
第二接收模块704,被配置为接收策略控制功能实体返回的第二连接指示信息。
其中,第二连接指示信息为策略控制功能实体依据调用历史网络标识确定应用的调用历史网络是否包括非公众网络,获得第二权限冲突结果,并根据第二权限冲突结果生成的信息。
第二连接确定模块705,被配置为根据第二连接指示信息确定是否允许应用连接公众网络。
图8是本申请实施例八提供的一种网络连接管理装置的组成方框图,该网络连接管理装置可应用于非公众网络的策略控制功能实体。如图8所示,该网络连接管理装置800包括:
第三接收模块801,被配置为接收会话管理功能实体发送的第一访问控制策略查询请求。
其中,第一访问控制策略查询请求是会话管理功能实体根据终端标识、应用标识、文件路径、非公众网络标识和历史网络标识生成的请求,历史网络标识为设置于终端的应用连接的历史网络的标识,且历史网络标识为会话管理功能实体响应应用对非公众网络的连接请求获取的信息。
策略确定模块802,被配置为根据终端标识、应用标识和文件路径,确定第一访问控制策略。
第一权限确定模块803,被配置为根据第一访问控制策略、非公众网络标识和历史网络标识,确定非公众网络与历史网络的访问权限是否存在冲突,获得第一权限冲突结果。
第三生成模块804,被配置为根据第一权限冲突结果生成第一连接指示信息。
第三发送模块805,被配置为将第一连接指示信息发送至会话管理功能实体,以供会话管理功能实体根据第一连接指示信息确定是否允许应用连接非公众网络。
图9是本申请实施例九提供的一种网络连接管理装置的组成方框图,该网络连接管理装置可应用于公众网络的策略控制功能实体。
如图9所示,该网络连接管理装置900包括:
第四接收模块901,被配置为接收会话管理功能实体发送的第二访问控制策略查询请求。
其中,第二访问控制策略查询请求包括应用的调用历史网络标识,应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,调用历史网络标识为会话管理功能实体响应应用对公众网络的连接请求获取的信息,调用历史网络标识包括应用调用的被调用方对应的历史网络标识,以及调用应用的调用方对应的历史网络标识。
第二权限确定模块902,被配置为根据调用历史网络标识,确定应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果。
第四生成模块903,被配置为根据第二权限冲突结果生成第二连接指示信息。
第四发送模块904,被配置为将第二连接指示信息发送至会话管理功能实体,以供会话管理功能实体根据第二连接指示信息确定是否允许应用连接公众网络。
图10是本申请实施例十提供的一种终端的组成方框图。如图10所示,该终端1000包括:
第五接收模块1001,被配置为接收应用发送的连接请求;
第三权限确定模块1002,被配置为在连接请求为应用对非公众网络的连接请求的情况下,根据预存的历史网络连接信息确定应用是否具备访问非公众网络的权限。
第五发送模块1003,被配置为在确定应用具备访问非公众网络的权限的情况下,将连接请求转发至第一会话管理功能实体,以供第一会话管理功能实体获取应用的历史网络标识,并根据终端标识、应用标识、文件路径、非公众网络标识和应用的历史网络标识生成并发送第一访问控制策略查询请求至第一策略控制功能实体,以使第一策略控制功能实体依据终端标识、应用标识和文件路径确定第一访问控制策略,并根据第一访问控制策略、非公众网络标识和历史网络标识获得第一连接指示信息,将第一连接指示信息发送至第一会话管理功能实体,使得第一会话管理功能实体根据第一连接指示信息确定是否允许应用连接非公众网络。
其中,第一会话管理功能实体和第一策略控制功能实体是位于非公众网络的功能实体。
第五发送模块1004,还被配置为在连接请求为应用对公众网络的连接请求的情况下,将连接请求转发至第二会话管理功能实体,以供第二会话管理功能实体获取应用的调用历史网络标识,根据调用历史网络标识生成并发送第二访问控制策略查询请求至第二策略控制功能实体,以使第二策略控制功能实体根据调用历史网络标识,确定应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果,根据第二权限冲突结果生成第二连接指示信息,并将第二连接指示信息发送至第二会话管理功能实体,使得第二会话管理功能实体根据第二连接指示信息确定是否允许应用连接公众网络。
本申请第三方面提供一种网络连接管理系统。图11是本申请实施例提供的一种网络连接管理系统的组成方框图。如图11所示,网络连接管理系统1100包括:终端1110、设置于终端1110的第一应用1111和第二应用1112、第一会话管理功能实体1121、第一策略控制功能实体1131、非公众网络1141、第二会话管理功能实体1122、第二策略控制功能实体1132和公众网络1142。
其中,终端1110通过第一会话管理功能实体1121接入非公众网络1141,通过第二会话管理功能实体1121接入公众网络1142,且与第一会话管理功能实体1121连接的第一策略控制功能实体1131为处于非公众网络1141中的功能实体,与第二会话管理功能实体1121连接的第二策略控制功能实体1132为处于公众网络1142中的功能实体。
在一些实施例中,第一会话管理功能实体1121可从第一策略控制功能实体1131获取第一连接指示信息,进而根据第一连接指示信息确定是否允许第一应用1111/第二应用1112接入非公众网络1141。
在另外一些实施例中,第二会话功能实体1121可从第二策略控制功能实体1132获取第二连接指示信息,进而根据第二连接指示信息确定是否允许第一应用1111/第二应用1112接入公众网络1142。
需要说明的是,以上对于终端内设置的应用的数量仅是举例说明。在实际应用中,设置于终端的应用的数量可以是两个以上,而且,终端内还可存储文件,应用可以对其他应用的调用,也可以发起对这些文件的调用。
图12是本申请实施例提供的一种网络连接管理系统的信令交互示意图。如图12所示,该信令交互过程包括:
步骤S1201,应用发起对非公众网络的连接请求,终端接收该连接请求。
步骤S1202,终端根据预存的历史网络连接信息确定该应用是否具备访问该非公众网络的权限。
步骤S1203,在确定具有权限的情况下,终端将该连接请求转发至会话管理功能实体。
步骤S1204,会话管理功能实体接收并响应该连接请求,向终端发送历史网络查询请求。
其中,历史网络查询请求时根据应用标识和非公众网络标识生成的请求。
步骤S1205,终端接收历史网络查询请求,查询该应用的历史网络标识,并将该应用的历史网络标识发送至会话管理功能实体。
步骤S1206,会话管理功能实体接收该应用的历史网络标识,并根据终端标识、应用标识、非公众网络标识和应用的历史网络标识,生成并发送第一访问控制策略查询请求至策略控制功能实体。
步骤S1207,策略控制功能实体接收会话管理功能实体发送的第一访问控制策略查询请求,根据终端标识和应用标识,确定第一访问控制策略。
步骤S1208,策略控制功能实体根据第一访问控制策略、非公众网络标识和历史网络标识,确定非公众网络与历史网络的访问权限是否存在冲突,获得第一权限冲突结果。
步骤S1209,策略控制功能实体根据第一权限冲突结果生成第一连接指示信息,并将第一连接指示信息发送至会话管理功能实体。
步骤S1210,会话管理功能实体接收第一连接指示信息,并根据第一连接指示信息确定是否允许应用连接非公众网络。
步骤S1211,在确定允许应用连接非公众网络的情况下,会话管理功能实体建立应用与非公众网络的会话连接。
值得一提的是,本实施方式中所涉及到的各模块均为逻辑模块,在实际应用中,一个逻辑单元可以是一个物理单元,也可以是一个物理单元的一部分,还可以以多个物理单元的组合实现。此外,为了突出本申请的创新部分,本实施方式中并没有将与解决本申请所提出的技术问题关系不太密切的单元引入,但这并不表明本实施方式中不存在其它的单元。
可以理解的是,以上实施方式仅仅是为了说明本申请的原理而采用的示例性实施方式,然而本申请并不局限于此。对于本领域内的普通技术人员而言,在不脱离本申请的精神和实质的情况下,可以做出各种变型和改进,这些变型和改进也视为本申请的保护范围。
Claims (14)
1.一种网络连接管理方法,其特征在于,包括:
响应设置于终端的应用对非公众网络的连接请求,获取所述应用的历史网络标识,其中,所述连接请求包括终端标识、应用标识、文件路径和非公众网络标识,所述历史网络标识为所述应用连接的历史网络的标识;
根据所述终端标识、所述应用标识、所述文件路径、所述非公众网络标识和所述应用的历史网络标识,生成并发送第一访问控制策略查询请求至策略控制功能实体;
接收所述策略控制功能实体返回的第一连接指示信息,其中,所述第一连接指示信息为所述策略控制实体根据所述终端标识、所述应用标识和所述文件路径确定第一访问控制策略,并根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识确定所述非公众网络与所述历史网络的访问权限是否存在冲突,获得第一权限冲突结果,并根据所述第一权限冲突结果生成的信息;
根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络。
2.根据权利要求1所述的网络连接管理方法,其特征在于,所述连接请求是在所述终端根据预存的历史网络连接信息确定所述应用具备访问所述非公众网络的权限的情况下,由所述终端转发至会话管理功能实体的请求,其中,所述历史网络连接信息为所述终端根据所述应用的历史网络连接记录生成的信息,且所述历史网络连接信息包括应用标识、文件路径、网络标识和连接指示信息,所述连接指示信息用于表征所述应用是否具有访问所述非公众网络的权限。
3.根据权利要求1所述的网络连接管理方法,其特征在于,所述响应设置于终端的应用对非公众网络的连接请求,获取所述应用的历史网络标识,包括:
接收所述应用发送的所述连接请求;
根据所述应用标识和所述非公众网络标识,生成历史网络查询请求;
根据所述终端标识,将所述历史网络查询请求发送至所述终端;
接收所述终端返回的所述应用的历史网络标识。
4.根据权利要求1所述的网络连接管理方法,其特征在于,所述第一连接指示信息包括允许连接指示或禁止连接指示;
所述根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络,包括:
在所述第一连接指示信息包括所述允许连接指示的情况下,允许所述应用接入所述非公众网络;
在所述第一连接指示信息包括所述禁止连接指示的情况下,禁止所述应用接入所述非公众网络。
5.一种网络连接管理方法,其特征在于,包括:
响应设置于终端的应用对公众网络发起的连接请求,获取所述应用的调用历史网络标识,其中,所述应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,所述调用历史网络标识包括所述应用调用的被调用方对应的历史网络标识,以及调用所述应用的调用方对应的历史网络标识;
根据所述调用历史网络标识生成并发送第二访问控制策略查询请求至策略控制功能实体;
接收所述策略控制功能实体返回的第二连接指示信息,其中,所述第二连接指示信息为所述策略控制功能实体依据所述调用历史网络标识确定所述应用的调用历史网络是否包括非公众网络,获得第二权限冲突结果,并根据所述第二权限冲突结果生成的信息;
根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
6.一种网络连接管理方法,其特征在于,包括:
接收会话管理功能实体发送的第一访问控制策略查询请求,其中,所述第一访问控制策略查询请求是所述会话管理功能实体根据终端标识、应用标识、文件路径、非公众网络标识和历史网络标识生成的请求,所述历史网络标识为设置于终端的应用连接的历史网络的标识,且所述历史网络标识为所述会话管理功能实体响应所述应用对非公众网络的连接请求获取的信息;
根据所述终端标识、所述应用标识和所述文件路径,确定第一访问控制策略;
根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识,确定所述非公众网络与所述历史网络的访问权限是否存在冲突,获得第一权限冲突结果;
根据所述第一权限冲突结果生成第一连接指示信息;
将所述第一连接指示信息发送至所述会话管理功能实体,以供所述会话管理功能实体根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络。
7.根据权利要求6所述的网络连接管理方法,其特征在于,所述第一连接指示信息包括允许连接指示或禁止连接指示;
所述根据所述第一权限冲突结果生成第一连接指示信息,包括:
在所述第一权限冲突结果为存在冲突的情况下,生成包括允许连接指示的所述第一连接指示信息;
在所述第一权限冲突结果为不存在冲突的情况下,生成包括禁止连接指示的所述第一连接指示信息。
8.一种网络连接管理方法,其特征在于,包括:
接收会话管理功能实体发送的第二访问控制策略查询请求,其中,所述第二访问控制策略查询请求包括应用的调用历史网络标识,所述应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,所述调用历史网络标识为所述会话管理功能实体响应所述应用对公众网络的连接请求获取的信息,所述调用历史网络标识包括所述应用调用的被调用方对应的历史网络标识,以及调用所述应用的调用方对应的历史网络标识;
根据所述调用历史网络标识,确定所述应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果;
根据所述第二权限冲突结果生成第二连接指示信息;
将所述第二连接指示信息发送至所述会话管理功能实体,以供所述会话管理功能实体根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
9.一种网络连接管理方法,其特征在于,包括:
接收应用发送的连接请求;
在所述连接请求为所述应用对非公众网络的连接请求的情况下,根据预存的历史网络连接信息确定所述应用是否具备访问所述非公众网络的权限,并在确定所述应用具备访问所述非公众网络的权限的情况下,将所述连接请求转发至第一会话管理功能实体,以供所述第一会话管理功能实体获取所述应用的历史网络标识,并根据终端标识、应用标识、文件路径、所述非公众网络标识和所述应用的历史网络标识生成并发送第一访问控制策略查询请求至第一策略控制功能实体,以使所述第一策略控制功能实体依据所述终端标识、所述应用标识和所述文件路径确定第一访问控制策略,并根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识获得第一连接指示信息,将所述第一连接指示信息发送至所述第一会话管理功能实体,使得所述第一会话管理功能实体根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络,其中,所述第一会话管理功能实体和所述第一策略控制功能实体是位于所述非公众网络的功能实体;
在所述连接请求为所述应用对公众网络的连接请求的情况下,将所述连接请求转发至第二会话管理功能实体,以供所述第二会话管理功能实体获取所述应用的调用历史网络标识,根据所述调用历史网络标识生成并发送第二访问控制策略查询请求至第二策略控制功能实体,以使所述第二策略控制功能实体根据所述调用历史网络标识,确定所述应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果,根据所述第二权限冲突结果生成第二连接指示信息,并将所述第二连接指示信息发送至所述第二会话管理功能实体,使得所述第二会话管理功能实体根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
10.一种网络连接管理装置,其特征在于,包括:
第一获取模块,被配置为响应设置于终端的应用对非公众网络的连接请求,获取所述应用的历史网络标识,其中,所述连接请求包括终端标识、应用标识、文件路径和非公众网络标识,所述历史网络标识为所述应用连接的历史网络的标识;
第一生成模块,被配置为根据所述终端标识、所述应用标识、所述文件路径、所述非公众网络标识和所述应用的历史网络标识,生成第一访问控制策略查询请求;
第一发送模块,被配置为将所述第一访问控制策略查询请求发送至策略控制功能实体;
第一接收模块,被配置为接收所述策略控制功能实体返回的第一连接指示信息,其中,所述第一连接指示信息为所述策略控制实体根据所述终端标识、所述应用标识和所述文件路径确定第一访问控制策略,并根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识确定所述非公众网络与所述历史网络的访问权限是否存在冲突,获得第一权限冲突结果,并根据所述第一权限冲突结果生成的信息;
第一连接确定模块,被配置为根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络。
11.一种网络连接管理装置,其特征在于,包括:
第二获取模块,被配置为响应设置于终端的应用对公众网络发起的连接请求,获取所述应用的调用历史网络标识,其中,所述应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,所述调用历史网络标识包括所述应用调用的被调用方对应的历史网络标识,以及调用所述应用的调用方对应的历史网络标识;
第二生成模块,被配置为根据所述调用历史网络标识生成第二访问控制策略查询请求;
第二发送模块,被配置为将所述第二访问控制策略查询请求发送至策略控制功能实体;
第二接收模块,被配置为接收所述策略控制功能实体返回的第二连接指示信息,其中,所述第二连接指示信息为所述策略控制功能实体依据所述调用历史网络标识确定所述应用的调用历史网络是否包括非公众网络,获得第二权限冲突结果,并根据所述第二权限冲突结果生成的信息;
第二连接确定模块,被配置为根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
12.一种网络连接管理装置,其特征在于,包括:
第三接收模块,被配置为接收会话管理功能实体发送的第一访问控制策略查询请求,其中,所述第一访问控制策略查询请求是所述会话管理功能实体根据终端标识、应用标识、文件路径、非公众网络标识和历史网络标识生成的请求,所述历史网络标识为设置于终端的应用连接的历史网络的标识,且所述历史网络标识为所述会话管理功能实体响应所述应用对非公众网络的连接请求获取的信息;
策略确定模块,被配置为根据所述终端标识、所述应用标识和所述文件路径,确定第一访问控制策略;
第一权限确定模块,被配置为根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识,确定所述非公众网络与所述历史网络的访问权限是否存在冲突,获得第一权限冲突结果;
第三生成模块,被配置为根据所述第一权限冲突结果生成第一连接指示信息;
第三发送模块,被配置为将所述第一连接指示信息发送至所述会话管理功能实体,以供所述会话管理功能实体根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络。
13.一种网络连接管理装置,其特征在于,包括:
第四接收模块,被配置为接收会话管理功能实体发送的第二访问控制策略查询请求,其中,所述第二访问控制策略查询请求包括应用的调用历史网络标识,所述应用为只具备直接访问公众网络权限,而不具备直接访问非公众网络权限的应用,所述调用历史网络标识为所述会话管理功能实体响应所述应用对公众网络的连接请求获取的信息,所述调用历史网络标识包括所述应用调用的被调用方对应的历史网络标识,以及调用所述应用的调用方对应的历史网络标识;
第二权限确定模块,被配置为根据所述调用历史网络标识,确定所述应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果;
第四生成模块,被配置为根据所述第二权限冲突结果生成第二连接指示信息;
第四发送模块,被配置为将所述第二连接指示信息发送至所述会话管理功能实体,以供所述会话管理功能实体根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
14.一种终端,其特征在于,包括:
第五接收模块,被配置为接收应用发送的连接请求;
第三权限确定模块,被配置为在所述连接请求为所述应用对非公众网络的连接请求的情况下,根据预存的历史网络连接信息确定所述应用是否具备访问所述非公众网络的权限
第五发送模块,被配置为在确定所述应用具备访问所述非公众网络的权限的情况下,将所述连接请求转发至第一会话管理功能实体,以供所述第一会话管理功能实体获取所述应用的历史网络标识,并根据终端标识、应用标识、文件路径、所述非公众网络标识和所述应用的历史网络标识生成并发送第一访问控制策略查询请求至第一策略控制功能实体,以使所述第一策略控制功能实体依据所述终端标识、所述应用标识和所述文件路径确定第一访问控制策略,并根据所述第一访问控制策略、所述非公众网络标识和所述历史网络标识获得第一连接指示信息,将所述第一连接指示信息发送至所述第一会话管理功能实体,使得所述第一会话管理功能实体根据所述第一连接指示信息确定是否允许所述应用连接所述非公众网络,其中,所述第一会话管理功能实体和所述第一策略控制功能实体是位于所述非公众网络的功能实体;
所述第五发送模块,还被配置为在所述连接请求为所述应用对公众网络的连接请求的情况下,将所述连接请求转发至第二会话管理功能实体,以供所述第二会话管理功能实体获取所述应用的调用历史网络标识,根据所述调用历史网络标识生成并发送第二访问控制策略查询请求至第二策略控制功能实体,以使所述第二策略控制功能实体根据所述调用历史网络标识,确定所述应用的调用历史网络中是否包括非公众网络,获得第二权限冲突结果,根据所述第二权限冲突结果生成第二连接指示信息,并将所述第二连接指示信息发送至所述第二会话管理功能实体,使得所述第二会话管理功能实体根据所述第二连接指示信息确定是否允许所述应用连接所述公众网络。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110942837.8A CN113630779B (zh) | 2021-08-17 | 2021-08-17 | 网络连接管理方法及装置、终端 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110942837.8A CN113630779B (zh) | 2021-08-17 | 2021-08-17 | 网络连接管理方法及装置、终端 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113630779A true CN113630779A (zh) | 2021-11-09 |
CN113630779B CN113630779B (zh) | 2023-06-02 |
Family
ID=78386036
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110942837.8A Active CN113630779B (zh) | 2021-08-17 | 2021-08-17 | 网络连接管理方法及装置、终端 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113630779B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023241502A1 (zh) * | 2022-06-16 | 2023-12-21 | 中国移动通信有限公司研究院 | 接入控制方法、计费方法、装置、通信设备及存储介质 |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102326429A (zh) * | 2009-01-23 | 2012-01-18 | 瑞典爱立信有限公司 | 通信网络中的方法和设备 |
US20130143542A1 (en) * | 2011-07-21 | 2013-06-06 | Movik Networks | Content And RAN Aware Network Selection In Multiple Wireless Access And Small-Cell Overlay Wireless Access Networks |
CN103516681A (zh) * | 2012-06-26 | 2014-01-15 | 华为技术有限公司 | 网络访问控制方法以及装置 |
CN105307241A (zh) * | 2015-11-06 | 2016-02-03 | 小米科技有限责任公司 | 网络连接方法及装置 |
CN111490961A (zh) * | 2019-01-25 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 通信连接的阻断系统、方法、装置和设备 |
CN111901147A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 一种网络访问的控制方法和装置 |
CN112219379A (zh) * | 2018-08-14 | 2021-01-12 | Oppo广东移动通信有限公司 | 一种网络接入方法、终端设备及网络设备 |
CN112470524A (zh) * | 2018-08-14 | 2021-03-09 | Oppo广东移动通信有限公司 | 无线通信方法和终端设备 |
-
2021
- 2021-08-17 CN CN202110942837.8A patent/CN113630779B/zh active Active
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102326429A (zh) * | 2009-01-23 | 2012-01-18 | 瑞典爱立信有限公司 | 通信网络中的方法和设备 |
US20130143542A1 (en) * | 2011-07-21 | 2013-06-06 | Movik Networks | Content And RAN Aware Network Selection In Multiple Wireless Access And Small-Cell Overlay Wireless Access Networks |
CN103516681A (zh) * | 2012-06-26 | 2014-01-15 | 华为技术有限公司 | 网络访问控制方法以及装置 |
CN105307241A (zh) * | 2015-11-06 | 2016-02-03 | 小米科技有限责任公司 | 网络连接方法及装置 |
CN112219379A (zh) * | 2018-08-14 | 2021-01-12 | Oppo广东移动通信有限公司 | 一种网络接入方法、终端设备及网络设备 |
CN112470524A (zh) * | 2018-08-14 | 2021-03-09 | Oppo广东移动通信有限公司 | 无线通信方法和终端设备 |
CN113015230A (zh) * | 2018-08-14 | 2021-06-22 | Oppo广东移动通信有限公司 | 无线通信方法和终端设备 |
CN111490961A (zh) * | 2019-01-25 | 2020-08-04 | 阿里巴巴集团控股有限公司 | 通信连接的阻断系统、方法、装置和设备 |
CN111901147A (zh) * | 2020-06-28 | 2020-11-06 | 北京可信华泰信息技术有限公司 | 一种网络访问的控制方法和装置 |
Non-Patent Citations (1)
Title |
---|
杨钧;: "公共网络入侵检测系统的设计", 网络安全技术与应用, no. 06 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023241502A1 (zh) * | 2022-06-16 | 2023-12-21 | 中国移动通信有限公司研究院 | 接入控制方法、计费方法、装置、通信设备及存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN113630779B (zh) | 2023-06-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7050797B2 (en) | Remote control system in mobile communication terminal and method thereof | |
US8079064B2 (en) | Service verifying system, authentication requesting terminal, service utilizing terminal, and service providing method | |
EP2248362B1 (en) | Methods, systems, and computer readable media for controlling access to voice resources in mobile networks using mobility management signaling messages | |
CN112235798B (zh) | 空闲状态下重定向到amf的方法、终端及新增网元 | |
KR100228021B1 (ko) | 스마트 카드를 구비한 이동통신 단말기 및 그를 이용한 가입자 인증방법과 공유 비밀테이터 갱신방법 | |
JP4323089B2 (ja) | データ通信システムにおけるサービスへのアクセス手順およびデータ通信システム | |
US8761763B2 (en) | Implementing method and system for terminal communications, and implementing method for terminal location update | |
CN110049031B (zh) | 一种接口安全认证方法及服务器、认证中心服务器 | |
CN113630779B (zh) | 网络连接管理方法及装置、终端 | |
CN113596262A (zh) | 基于物流行业增加效率全覆盖保障通话的方法及服务平台 | |
CN110166948B (zh) | 一种副卡终端监控方法、管理服务器和区块链网络系统 | |
CN111885586A (zh) | 基于区块链的漫游管理方法及网络接入节点 | |
US6044269A (en) | Method for enhanced control of mobile call delivery | |
CN113489747B (zh) | 会话连接方法、装置及终端 | |
CN113163472B (zh) | Amf选择方法及装置 | |
US9521230B2 (en) | System and method for displaying an identifier of a source on a recipient device | |
CN113038477B (zh) | 切片路由规则防篡改方法、终端及介质 | |
CN114938508A (zh) | 5g专网网络控制方法、装置、电子设备及存储介质 | |
CN110661922B (zh) | 一种通话控制方法、网络设备及系统 | |
CN113630761B (zh) | 会话管理方法及装置、终端 | |
CN116528351A (zh) | 网元注册方法、装置、设备及存储介质 | |
CN115065969A (zh) | 专网通信方法及系统 | |
CN116405955A (zh) | 终端通信服务方法、装置及系统 | |
CN114547664A (zh) | 一种数据处理方法及装置 | |
CN115758315A (zh) | 系统账户切换方法、装置、电子设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |