CN115150829B - 一种网络访问权限管理方法及装置 - Google Patents
一种网络访问权限管理方法及装置 Download PDFInfo
- Publication number
- CN115150829B CN115150829B CN202211067968.7A CN202211067968A CN115150829B CN 115150829 B CN115150829 B CN 115150829B CN 202211067968 A CN202211067968 A CN 202211067968A CN 115150829 B CN115150829 B CN 115150829B
- Authority
- CN
- China
- Prior art keywords
- message
- radius
- smf
- authentication
- request message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种网络访问权限管理方法,属于通信技术领域,包括:接收第一消息并将第一消息发送至SMF,其中第一消息是RADIUS响应消息,RADIUS响应消息包括认证成功并授权IP的第一RADIUS响应消息或者认证失败的第二RADIUS响应消息;将接收到的失败的第二RADIUS响应消息转换成成功的消息转发至SMF,其中成功的消息中不包括授权IP;还包括,根据RADIUS响应消息的缓存结果判断当前计费消息的处理方式,对当前计费消息进行转发或者直接丢弃,避免数据越权访问。本发明能够实现行业专网接入管控统一管理,有助于在5G专网的建设中降低成本。
Description
技术领域
本发明属于通信技术领域,特别涉及一种网络访问权限管理方法及装置。
背景技术
随着移动通信技术的发展,远程办公、移动接入等应用场景的需求越来越普遍。该场景下要求网络设备连通互联网(简称:外网)和企业内网(简称:内网),确保用户终端设备(简称:终端)对于内外网资源的便捷访问,特别强调,要求确保对于内网接入的安全管控。
为满足上述需求,相关的技术方案一直处于迭代演进的状态:传统的技术方案如VPDN等,主要借助企业侧自建的AAA设备(下文简称:自建AAA)实现接入管控。该方案具有配置简单、管控灵活的特点,但是由于数据交互过程中使用隧道加密技术,例如L2TP(第二层隧道协议,Layer 2 Tunneling Protocol)隧道等,导致数据传输效率较低,网速局限性较大。
近年来随着5G(第5代移动通信,5th Generation Mobile CommunicationTechnology)技术的普及,运营商提出了全新的5G专网概念,即利用网络功能虚拟化NFV(Network Functions Virtualization)、软件定义网络SDN(Software Defined Network)、网络切片、数据网络名称DNN(Data Network Name)、多接入边缘计算MEC(Multi-accessEdge Computing)等技术,结合企业客户需求建设量身定制的5G行业专网。相比传统的VPDN方案,该方案承袭了5G网络高速率、低时延的技术特点,使用时用户只需配置指定DNN、无需输入账号密码,用户感知体验更好。但是由于5G行业专网针对接入管控采用了新的上行链路分类器ULCL(Uplink Classifier)模式技术,与传统的VPDN技术不完全兼容,导致企业原先为VPDN接入管理建设的自建AAA(认证、授权和计费服务器,Authentication、Authorization、Accounting)不能复用,存在一定的资源浪费,也使得5G行业专网的整体的建设成本较高。
基于上述问题,提出本发明的网络访问权限管理方法及装置以便支持复用自建AAA,实现VPDN和5G行业专网接入管控的统一管理,并支撑内外网管控的新业务,有助于在5G行业专网的建设中能极大降低成本。
发明内容
为了解决所述现有技术的不足,本发明提供了一种网络访问权限管理方法,接收第一消息并将所述第一消息发送至SMF,其中所述第一消息是RADIUS响应消息,所述RADIUS响应消息包括认证成功并授权IP的第一RADIUS响应消息或者认证失败的第二RADIUS响应消息;发送所述第一消息的方式包括将所述第一消息透传至SMF;其中所述第一消息还包括用户认证结果,存储所述用户认证结果,能够支持复用自建AAA,实现VPDN和5G行业专网接入管控的统一管理,并支撑内外网管控的新业务,有助于在5G行业专网的建设中能极大降低成本。
本发明所要达到的技术效果通过以下方案实现:
第一方面,本发明实施例提供一种网络访问权限管理方法,包括:
接收第一消息并将所述第一消息发送至SMF,其中所述第一消息是RADIUS响应消息,所述RADIUS响应消息包括认证成功并授权IP的第一RADIUS响应消息或者认证失败的第二RADIUS响应消息;发送所述第一消息的方式包括将所述第一消息透传至SMF;
其中所述第一消息还包括用户认证结果,所述用户认证结果包括用户认证成功或者用户认证失败,当用户认证结果为用户认证失败时,将认证失败的第二RADIUS响应消息转换为认证成功响应消息并发送至SMF,且不携带任何IP属性;
存储所述用户认证结果,存储所述用户认证结果包括:
采用关键字和值相对应的方式进行用户认证结果的存储,将终端标识作为关键字,用户认证结果和认证时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录;
当前设备无需预置全量终端数据,只考虑哪些是经过DN-AAA转发的终端认证结果数据,并予以写入缓存。
进一步地,所述方法还包括:
接收RADIUS计费请求消息,所述RADIUS计费请求消息是由SMF发送的,其中所述RADIUS计费请求消息包括RADIUS计费上线请求、RADIUS计费更新请求、RADIUS计费下线请求;
将终端标识作为索引进行检索,获得检索结果;
若所述检索结果所对应的所述用户认证结果为成功,则转发所述RADIUS计费请求消息;
若所述检索结果所对应的所述用户认证结果为失败或者未检索到相关数据记录,则不转发所述RADIUS计费请求消息。
进一步地,所述方法还包括:
接收计费上线请求消息,所述计费上线请求消息是由SMF发送的;
采用关键字和值相对应的方式进行所述计费上线请求消息的存储,将终端标识作为关键字,SMF地址和上线时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录;当前设备无需预置全量终端数据,只考虑哪些是经过DN-AAA转发的终端认证结果数据,并予以写入缓存。
进一步地,所述方法还包括:
接收计费下线请求消息,所述计费下线请求消息是由SMF发送的;
将终端标识作为索引进行检索,若检索到对应的数据记录,则将所述数据记录删除。
进一步地,所述方法还包括:
接收DM请求消息;
将终端标识作为索引进行检索,获得第二检索结果;
若所述第二检索结果包括对应的SMF地址,则转发所述DM请求消息;
若所述第二检索结果不包括对应的SMF地址或者未检索到相关数据记录,则不转发所述DM请求消息。
第二方面,本发明实施例提供一种网络访问权限管理方法装置,包括:
接收模块,用于接收第一消息并将所述第一消息发送至SMF,其中所述第一消息是RADIUS响应消息,所述RADIUS响应消息包括认证成功并授权IP的第一RADIUS响应消息或者认证失败的第二RADIUS响应消息;发送所述第一消息的方式包括将所述第一消息透传至SMF;其中所述第一消息还包括用户认证结果,所述用户认证结果包括用户认证成功或者用户认证失败,当用户认证结果为用户认证失败时,将认证失败的第二RADIUS响应消息转换为认证成功响应消息并发送至SMF,且不携带任何IP属性;存储模块,用于存储所述用户认证结果,采用关键字和值相对应的方式进行用户认证结果的存储,将终端标识作为关键字,用户认证结果和认证时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录;
当前设备无需预置全量终端数据,只考虑哪些是经过DN-AAA转发的终端认证结果数据,并予以写入缓存。
进一步地,还包括检索模块,所述检索模块执行如下操作:
接收RADIUS计费请求消息,所述RADIUS计费请求消息是由SMF发送的;其中所述RADIUS计费请求消息包括RADIUS计费上线请求、RADIUS计费更新请求、RADIUS计费下线请求;
将终端标识作为索引进行检索,获得检索结果;
若所述检索结果所对应的所述用户认证结果为成功,则转发所述RADIUS计费请求消息;
若所述检索结果所对应的所述用户认证结果为失败或者未检索到相关数据记录,则不转发所述RADIUS计费请求消息。
进一步地,还包括检索模块,所述检索模块执行如下操作:
接收RADIU所述存储模块还执行如下操作:
接收计费上线请求消息,所述计费上线请求消息是由SMF发送的;
采用关键字和值相对应的方式进行所述计费上线请求消息的存储,将终端标识作为关键字,SMF地址和上线时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录;
当前设备无需预置全量终端数据,只考虑哪些是经过DN-AAA转发的终端认证结果数据,并予以写入缓存。
进一步地,还包括检索模块,所述检索模块执行如下操作:
接收RADIU所述检索模块还执行如下操作:
接收计费下线请求消息,所述计费下线请求消息是由SMF发送的;
将终端标识作为索引进行检索,若检索到对应的数据记录,则将所述数据记录删除。
进一步地,还包括检索模块,所述检索模块执行如下操作:
接收RADIU所述检索模块还执行如下操作:
接收DM请求消息;
将终端标识作为索引进行检索,获得第二检索结果;
若所述第二检索结果包括对应的SMF地址,则转发所述DM请求消息;
若所述第二检索结果不包括对应的SMF地址或者未检索到相关数据记录,则不转发所述DM请求消息。
通过本发明实施例提供的网络访问权限管理方法,能够实现支持复用自建AAA,实现VPDN和5G行业专网接入管控的统一管理,并支撑内外网管控的新业务,有助于在5G行业专网的建设中能极大降低成本的技术效果。
附图说明
为了更清楚地说明本发明实施例或现有的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一实施例中的网络访问权限管理方法的网络拓扑示意图;
图2为本发明一实施例中的网络访问权限管理方法的流程图一;
图3为本发明一实施例中的网络访问权限管理方法的结构图;
图4为本发明一实施例中的网络访问权限管理方法的时序图一;
图5为本发明一实施例中的网络访问权限管理方法的流程图二;
图6为本发明一实施例中的网络访问权限管理方法的流程图三;
图7为本发明一实施例中的网络访问权限管理方法的时序图二;
图8为本发明一实施例中的网络访问权限管理方法的流程图五;
图9为本发明一实施例中的网络访问权限管理方法的流程图六;
图10为本发明一实施例中的网络访问权限管理装置的示意图;
图11为本发明一实施例中的电子设备的示意框图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合具体实施例及相应的附图对本发明的技术方案进行清楚、完整地描述。显然,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
需要说明的是,除非另外定义,本公开一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开一个或多个实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性,而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接,而是可以包括电性的连接,不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系,当被描述对象的绝对位置改变后,则该相对位置关系也可能相应地改变。
考虑在5G专网基础上,融合VPDN的技术特点,充分复用自建AAA,通过增设网元设备同时合理规划管控策略的方式实现新的内外网管控技术方案,即本发明的网络访问权限管理方法,本发明的基本思路为:
1.在运营商网络中增设数据网络AAA ,即DN-AAA设备(Data Network AAA,本文简称:DN-AAA),该设备在5G核心网会话管理功能SMF设备(Session Management Function,本文简称:SMF)与自建AAA之间使用企业数据网络名称DNN(Data Network Name)作为识别标识转发RADIUS认证、计费、中断报文(本文简称:DM)消息;
2.对于自建AAA认证成功并授权IP的RADIUS响应消息,DN-AAA直接透传SMF,确保终端可以同时访问内外网;对于自建AAA认证失败的RADIUS响应消息,DN-AAA将其转换为认证成功响应消息并回复SMF,同时不携带任何IP属性,确保终端虽然不能访问内网,但是依然可以访问外网,从而实现5G专网中对于内外网访问权限的管控;
3.同时,DN-AAA通过缓存的方式记录自建AAA认证失败的RADIUS响应消息,针对当前终端的计费请求消息不再做转发,避免数据越权的风险;
4.DN-AAA通过缓存的方式记录自建AAA计费上线的RADIUS响应消息中的SMF地址属性,确保后续自建AAA发起的DM消息能准确转发至管控当前终端上线的SMF,确保终端下线成功。
本发明的网络访问权限管理装置可以部署在运营商侧,一端与企业侧自建的AAA设备连接,另一端与运营商网络中的GGSN、P-GW、SMF等网元连接,支持复用自建AAA,实现VPDN和5G行业专网接入管控的统一管理,并支撑内外网管控的新业务,有助于在5G行业专网的建设中能极大降低成本。
因此,需要采用本发明提供的网络访问权限管理方法及装置。
下面结合附图,详细说明本发明的各种非限制性实施方式。
首先,参照图1,对本发明的网络访问权限管理方法进行详细说明:
如图1所示,本技术方案从网络拓扑角度可以划分为三个组成部分:自建AAA、核心网以及DN-AAA;
下面对这三个部分进行详细描述:
自建AAA
其主要完成终端内网接入权限的管控(允许接入内网或拒绝接入内网),对于允许访问的终端,根据事先规划的内网IP地址池,选择空闲的内网IP授权下发,该IP用于终端访问内网时使用;特别的,自建AAA需要事先与运营商打通开户流程,完成终端数据的同步;
上述功能属于自建AAA原有功能,无需新增实现;
核心网
核心网主要以SMF与用户面功能UPF(User Plane Function)为主。
其中,SMF经由DN-AAA转发与自建AAA完成控制信令(RADIUS消息)交互,将信令结果通告UPF;
UPF主要根据SMF信令结果(允许访问内外网或只允许访问外网),启动路由功能完成网络链路的搭建:
允许访问内外网时,根据自建AAA授权下发的内网IP完成网络映射,确保终端可以正常访问外网的同时,还可以从外网访问内网;
只允许访问外网时,从事先配置的外网IP地址池中选取空闲IP供终端配置使用,确保终端可以正常访问外网;
上述功能属于核心网原有功能,无需新增实现;
DN-AAA
1.使用企业DNN作为识别标识转发远程访问拨号用户服务协议RADIUS(远程访问拨号用户服务协议,Remote Authentication Dial In User Service)认证、计费、DM消息(中断报文,Disconnect Message);
之所以需要经由DN-AAA转发,而非SMF直连自建AAA完成信令交互,主要是为避免核心网设备直接暴露给企业侧网络,保障信息安全的考虑;
2.自建AAA认证成功时,DN-AAA将认证成功并授权IP的RADIUS响应消息直接透传SMF,确保终端可以同时访问内外网;
3.自建AAA认证失败时(说明当前终端没有访问内网的权限,但是不能限制该终端访问外网),DN-AAA将认证失败的RADIUS响应消息转换为认证成功响应消息并回复SMF,同时不携带任何IP属性,确保终端虽然不能访问内网,但是依然可以访问外网;
4.DN-AAA通过缓存的方式记录自建AAA认证失败的RADIUS响应消息,针对当前终端的计费请求消息不再做转发,避免数据越权的风险;
5.DN-AAA通过缓存的方式记录自建AAA计费上线的RADIUS响应消息中的SMF地址属性,确保后续自建AAA发起的DM消息能准确转发至管控当前终端上线的SMF,确保终端下线成功;
之所以需要增加当前的操作,主要有两方面的考虑:
其一:DN-AAA可能同时连接多个SMF,终端之前发起的计费上线消息会随机从其中某一台SMF转发至DN-AAA。后续DN-AAA转发DM消息时,必须要转发给终端上线时的SMF才能确保后续下线操作顺利执行;
其二:DN-AAA需要兼容不同厂商的自建AAA,部分厂商的自建AAA无法在DM消息包中直接追加目标SMF地址属性;DN-AAA无法通过改造后的消息包获取相关数据;
上述功能由新增设备DN-AAA实现。
下面根据图2来对本发明的另一实施例进行详细描述:
如图2所示,本发明的网络访问控制权限管理方法包括:
S101:接收第一消息并将所述第一消息发送至SMF,其中所述第一消息是RADIUS响应消息,所述RADIUS响应消息包括认证成功并授权IP的第一RADIUS响应消息或者认证失败的第二RADIUS响应消息;发送所述第一消息的方式包括将所述第一消息透传至SMF;
其中所述第一消息还包括用户认证结果,所述用户认证结果包括用户认证成功或者用户认证失败,当用户认证结果为用户认证失败时,将认证失败的第二RADIUS响应消息转换为认证成功响应消息并发送至SMF,且不携带任何IP属性;
存储所述用户认证结果;
示例性地,存储所述用户认证结果包括:
采用关键字和值相对应的方式进行用户认证结果的存储,将终端标识作为关键字,用户认证结果和认证时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录;
例如可以采用下表的方式:
| 存储目录 | 终端标识 | 认证结果和时间戳 |
| 1 | 终端100 | 成功和时间A |
| 2 | 终端200 | 失败和时间B |
示例性地,所述方法还包括:
接收RADIUS计费请求消息,所述RADIUS计费请求消息是由SMF发送的,其中所述RADIUS计费请求消息包括RADIUS计费上线请求、RADIUS计费更新请求、RADIUS计费下线请求;
将终端标识作为索引进行检索,获得检索结果;
若所述检索结果所对应的所述用户认证结果为成功,则转发所述RADIUS计费请求消息;
若所述检索结果所对应的所述用户认证结果为失败或者未检索到相关数据记录,则不转发所述RADIUS计费请求消息。
可选地,例如终端所对应的标识为终端100,则以终端100作为索引在数据库中进行检索,检索到的结果为“成功和时间A”,用户认证结果为成功,则转发RADIUS计费请求消息;
示例性地,所述方法还包括:
接收计费上线请求消息,所述计费上线请求消息是由SMF发送的;
采用关键字和值相对应的方式进行所述计费上线请求消息的存储,将终端标识作为关键字,SMF地址和上线时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录;
当前设备无需预置全量终端数据,只考虑哪些是经过DN-AAA转发的终端认证结果数据,并予以写入缓存。
示例性地,所述方法还包括:
接收计费下线请求消息,所述计费下线请求消息是由SMF发送的;
将终端标识作为索引进行检索,若检索到对应的数据记录,则将所述数据记录删除。
可选地,例如终端所对应的标识为终端200,则以终端200作为索引在数据库中进行检索,检索到的结果为“失败和时间B”,说明有与该终端对应的数据记录,则将该检索到的数据删除。
示例性地,所述方法还包括:
接收DM请求消息;
将终端标识作为索引进行检索,获得第二检索结果;
若所述第二检索结果包括对应的SMF地址,则转发所述DM请求消息;
若所述第二检索结果不包括对应的SMF地址或者未检索到相关数据记录,则不转发所述DM请求消息。
示例性地存储记录为如下方式:
| 存储目录 | 终端标识 | 认证结果和时间戳 | SMF地址 |
| 1 | 终端100 | 成功和时间A | Address1 |
| 2 | 终端200 | 失败和时间B |
可选地,例如终端所对应的标识为终端100,则以终端100作为索引在数据库中进行检索,检索到的结果为SMF地址位“Address1”,则转发所述DM请求消息;
可选地,例如终端所对应的标识为终端200,则以终端200作为索引在数据库中进行检索,检索到的结果为SMF地址位为空,则不转发所述DM请求消息。
可选地,例如终端所对应的标识为终端300,则以终端300作为索引在数据库中进行检索,未检索到的数据记录结果,则不转发所述DM请求消息。
参照图3,下面对本发明的另一实施例所公开的网络访问权限管理方法的结构图进行详细描述;
如图3所示,5G核心网与企业内网之间设置有DN-AAA,该设备在5G核心网SMF设备(本文简称:SMF)与自建AAA之间使用企业DNN作为识别标识转发RADIUS认证、计费、中断报文(本文简称:DM)消息。
参照图4,下面对本发明的一实施例所公开的网络访问权限管理方法的时序图一进行详细描述;
1.内外网访问权限管控
(1)同时访问内外网的情况如图4中时序消息①->②->⑤->⑥所示;
SMF向DN-AAA发送认证请求消息,携带企业DNN,然后DN-AAA根据DNN转发认证请求消息至指定的自建AAA;自建AAA进行用户鉴权后,认证成功并授权企业内网IP。
(2)只允许访问外网的情况如图4中时序消息①->②->③->④所示;
SMF向DN-AAA发送认证请求消息,携带企业DNN,然后DN-AAA根据DNN转发认证请求消息至指定的自建AAA;自建AAA进行用户鉴权后,认证失败并不授权任何IP。
2. 计费消息转发管控
(1)如图4时序消息③和⑤所示,DN-AAA接收到自建AAA回复的认证响应消息时,在缓存中以key-value方式存储当前终端最近一次认证结果。其中:
以终端标识(MSISDN-移动台国际ISDN号码“Mobile Station internationalISDN number”,即手机号码)作为key、认证结果(成功、失败)+认证时间戳(具体到秒)作为value予以记录;同时设定数据失效时间,一旦超期,自动删除。
具体流程图如图5所示;
(2)之后DN-AAA接收到SMF发起的RADIUS计费请求消息时,首先使用终端标识作为检索项从缓存中进行查询:
如果最近一次终端认证结果为成功,则向自建AAA正常转发当前计费请求消息;(如附图4中的时序消息⑦->⑧->⑨->⑩所示)如果是其它结果(最近一次终端认证结果为失败,或者未查询到记录),则不予转发,避免数据越权访问(当前终端既然不具备访问当前企业内网的权限,其对应的计费消息也不应该透传给当前自建AAA);(如附图4中的⑪->⑫所示);
具体流程图如图6所示;
(3)特别的,DN-AAA中无需预置全量终端数据,只考虑哪些是经过DN-AAA转发的终端认证结果数据,即予以写入缓存。
3. DM消息转发管控
(1) DM消息时序图如图7所示①->②->③->④->⑤->⑥。
DN-AAA接收自建AAA的DM请求消息,将该消息转发至SMF,SMF执行终端下线,之后会接收UPF反馈的执行完毕消息,然后SMF将通过DN-AAA将DM响应消息转发给自建AAA。
(2) DN-AAA接收到SMF发起的计费上线请求消息时,在缓存中以key-value方式存储该上线请求消息。其中:
以终端标识(MSISDN)作为key、SMF地址+上线时间戳(具体到秒)作为value予以记录;同时设定数据失效时间,一旦超期,自动删除记录;
DN-AAA接收到SMF发起的计费下线请求消息时,在缓存中删除当前终端记录;
具体流程图如图8所示;
(3) DN-AAA接收到自建AAA发起的DM请求消息时,首先使用终端标识作为检索项从缓存中进行查询:
如果查询到该终端上线记录中的SMF地址,则向对应SMF正常转发当前DM消息;
如果是其它结果(上线记录中未包括SMF地址,或者未查询到记录),则不予转发;
具体流程图如图9所示;
(4)特别的,DN-AAA中无需预置全量终端数据,只考虑哪些是经过DN-AAA转发的终端计费请求数据,即予以更新缓存。
本发明的网络访问权限管理方法的技术方案优点如下:
1. 简单快捷
只需要在运营商一侧网络中新增DN-AAA设备,结合之前核心网与自建AAA原有功能即可以快捷实现内外网访问权限管控操作;相比传统VPDN技术方案,可支持高速率访问;相比标准的5G专网技术方案,管控更灵活;
2. 造价低廉
DN-AAA属于纯软件设备,对硬件条件没有特殊要求,同时可以最大限度重用原有的自建AAA无需推倒重建,成本可控;
3. 安全可控
代理转发的功能定位以及无需预置全量终端数据的业务特点,可以确保当前技术方案尽最大可能保证了运营商核心网数据以及企业侧用户数据的安全。
本发明还提供了一种网络访问权限管理装置,图10为本发明一实施例中的网络访问权限管理装置的示意图;
如图10所示,网络访问权限管理装置包括:接收模块、存储模块以及检索模块。具体地:
接收模块,用于接收第一消息并将所述第一消息发送至SMF,其中所述第一消息是RADIUS响应消息,所述RADIUS响应消息包括认证成功并授权IP的第一RADIUS响应消息或者认证失败的第二RADIUS响应消息;发送所述第一消息的方式包括将所述第一消息透传至SMF;其中所述第一消息还包括用户认证结果,所述用户认证结果包括用户认证成功或者用户认证失败,当用户认证结果为用户认证失败时,将认证失败的第二RADIUS响应消息转换为认证成功响应消息并发送至SMF,且不携带任何IP属性;
存储模块,用于存储所述用户认证结果,采用关键字和值相对应的方式进行用户认证结果的存储,将终端标识作为关键字,用户认证结果和认证时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录;
检索模块,用于接收RADIUS计费请求消息,所述RADIUS计费请求消息是由SMF发送的;将终端标识作为索引进行检索,获得检索结果;若所述检索结果所对应的所述用户认证结果为成功,则转发所述RADIUS计费请求消息;若所述检索结果所对应的所述用户认证结果为失败或者未检索到相关数据记录,则不转发所述RADIUS计费请求消息。
示例性地,所述存储模块还执行如下操作:
接收计费上线请求消息,所述计费上线请求消息是由SMF发送的;
采用关键字和值相对应的方式进行所述计费上线请求消息的存储,将终端标识作为关键字,SMF地址和上线时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录。
示例性地,所述检索模块还执行如下操作:
接收计费下线请求消息,所述计费下线请求消息是由SMF发送的;
将终端标识作为索引进行检索,若检索到对应的数据记录,则将所述数据记录删除。
示例性地,所述检索模块还执行如下操作:
接收DM请求消息;
将终端标识作为索引进行检索,获得第二检索结果;
若所述第二检索结果包括对应的SMF地址,则转发所述DM请求消息;
若所述第二检索结果不包括对应的SMF地址或者未检索到相关数据记录,则不转发所述DM请求消息。
本发明的网络访问权限管理装置能够实现和本发明的网络访问权限管理方法同样的技术效果,此处不再赘述。
需要说明的是,本发明一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本发明一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
需要说明的是,上述对本发明特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本发明还公开了一种电子设备;
具体地,图11示出了本实施例所提供的一种网络访问权限管理方法的电子设备的硬件结构示意图,该设备可以包括:处理器410、存储器420、输入/输出接口430、通信接口440和总线 450。其中,处理器410、存储器420、输入/输出接口430和通信接口440通过总线450实现彼此之间在设备内部的通信连接。
处理器410可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本发明实施例所提供的技术方案。
存储器420可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器420可以存储操作系统和其他应用程序,在通过软件或者固件来实现本发明实施例所提供的技术方案时,相关的程序代码保存在存储器420中,并由处理器410来调用执行。
输入/输出接口430用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口440用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如,USB、网线等)实现通信,也可以通过无线方式(例如,移动网络、WIFI、蓝牙等)实现通信。
总线450包括一通路,在设备的各个组件(例如,处理器410、存储器420、输入/输出接口430和通信接口440)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器410、存储器420、输入/输出接口430、通信接口440以及总线450,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本发明实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的网络访问权限管理方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本发明一个或多个实施例还提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使所述计算机执行如上任一实施例所述的网络访问权限管理方法。
本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带,磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质,可用于存储可以被计算设备访问的信息。
上述实施例的存储介质存储的计算机指令用于使所述计算机执行如上任一实施例所述的网络访问权限管理方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本发明的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本发明一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外,可以以框图的形式示出装置,以便避免使本发明一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本发明的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本发明的具体实施例对本发明进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本发明一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本发明一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种网络访问权限管理方法,其特征在于,所述方法应用于数据网络-认证、授权和计费服务器DN-AAA设备,其中所述数据网络-认证、授权和计费服务器DN-AAA设备在5G核心网会话管理功能SMF设备与自建认证、授权和计费服务器AAA之间使用企业数据网络名称DNN作为识别标识转发远程访问拨号用户服务协议RADIUS认证、计费、中断报文,所述方法包括:
接收第一消息并将所述第一消息发送至会话管理功能SMF,其中所述第一消息是远程访问拨号用户服务协议RADIUS响应消息,所述远程访问拨号用户服务协议RADIUS响应消息包括认证成功并授权IP的第一远程访问拨号用户服务协议RADIUS响应消息或者认证失败的第二远程访问拨号用户服务协议RADIUS响应消息;发送所述第一消息的方式包括将所述第一消息透传至会话管理功能SMF;
其中所述第一消息还包括用户认证结果,所述用户认证结果包括用户认证成功或者用户认证失败,当用户认证结果为用户认证失败时,将认证失败的第二远程访问拨号用户服务协议RADIUS响应消息转换为认证成功响应消息并发送至会话管理功能SMF,且不携带任何IP属性;
存储所述用户认证结果,存储所述用户认证结果包括:
采用关键字和值相对应的方式进行用户认证结果的存储,将终端标识作为关键字,用户认证结果和认证时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录。
2.如权利要求1所述的网络访问权限管理方法,其特征在于,所述方法还包括:
接收远程访问拨号用户服务协议RADIUS计费请求消息,所述远程访问拨号用户服务协议RADIUS计费请求消息是由会话管理功能SMF发送的,其中所述远程访问拨号用户服务协议RADIUS计费请求消息包括远程访问拨号用户服务协议RADIUS计费上线请求、远程访问拨号用户服务协议RADIUS计费更新请求、远程访问拨号用户服务协议RADIUS计费下线请求;
将终端标识作为索引进行检索,获得检索结果;
若所述检索结果所对应的所述用户认证结果为成功,则转发所述远程访问拨号用户服务协议RADIUS计费请求消息;
若所述检索结果所对应的所述用户认证结果为失败或者未检索到相关数据记录,则不转发所述远程访问拨号用户服务协议RADIUS计费请求消息。
3.如权利要求2所述的网络访问权限管理方法,其特征在于,所述方法还包括:
接收计费上线请求消息,所述计费上线请求消息是由会话管理功能SMF发送的;
采用关键字和值相对应的方式进行所述计费上线请求消息的存储,将终端标识作为关键字,会话管理功能SMF地址和上线时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录。
4.如权利要求2所述的网络访问权限管理方法,其特征在于,所述方法还包括:
接收计费下线请求消息,所述计费下线请求消息是由会话管理功能SMF发送的;
将终端标识作为索引进行检索,若检索到对应的数据记录,则将所述数据记录删除。
5.如权利要求1所述的网络访问权限管理方法,其特征在于,所述方法还包括:
接收中断报文DM请求消息;
将终端标识作为索引进行检索,获得第二检索结果;
若所述第二检索结果包括对应的会话管理功能SMF地址,则转发所述中断报文DM请求消息;
若所述第二检索结果不包括对应的会话管理功能SMF地址或者未检索到相关数据记录,则不转发所述中断报文DM请求消息。
6.一种网络访问权限管理装置,其特征在于,所述装置应用于数据网络-认证、授权和计费服务器DN-AAA设备,其中所述数据网络-认证、授权和计费服务器DN-AAA设备在5G核心网会话管理功能SMF设备与自建认证、授权和计费服务器AAA之间使用企业数据网络名称DNN作为识别标识转发远程访问拨号用户服务协议RADIUS认证、计费、中断报文,所述装置包括:
接收模块,用于接收第一消息并将所述第一消息发送至会话管理功能SMF,其中所述第一消息是远程访问拨号用户服务协议RADIUS响应消息,所述远程访问拨号用户服务协议RADIUS响应消息包括认证成功并授权IP的第一远程访问拨号用户服务协议RADIUS响应消息或者认证失败的第二远程访问拨号用户服务协议RADIUS响应消息;发送所述第一消息的方式包括将所述第一消息透传至会话管理功能SMF;其中所述第一消息还包括用户认证结果,所述用户认证结果包括用户认证成功或者用户认证失败,当用户认证结果为用户认证失败时,将认证失败的第二远程访问拨号用户服务协议RADIUS响应消息转换为认证成功响应消息并发送至会话管理功能SMF,且不携带任何IP属性;
存储模块,用于存储所述用户认证结果,采用关键字和值相对应的方式进行用户认证结果的存储,将终端标识作为关键字,用户认证结果和认证时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录。
7.如权利要求6所述的网络访问权限管理装置,其特征在于,还包括检索模块,所述检索模块执行如下操作:
接收远程访问拨号用户服务协议RADIUS计费请求消息,所述远程访问拨号用户服务协议RADIUS计费请求消息是由会话管理功能SMF发送的,其中所述远程访问拨号用户服务协议RADIUS计费请求消息包括远程访问拨号用户服务协议RADIUS计费上线请求、远程访问拨号用户服务协议RADIUS计费更新请求、远程访问拨号用户服务协议RADIUS计费下线请求;
将终端标识作为索引进行检索,获得检索结果;
若所述检索结果所对应的所述用户认证结果为成功,则转发所述远程访问拨号用户服务协议RADIUS计费请求消息;
若所述检索结果所对应的所述用户认证结果为失败或者未检索到相关数据记录,则不转发所述远程访问拨号用户服务协议RADIUS计费请求消息。
8.如权利要求7所述的网络访问权限管理装置,其特征在于,所述存储模块还执行如下操作:
接收计费上线请求消息,所述计费上线请求消息是由会话管理功能SMF发送的;
采用关键字和值相对应的方式进行所述计费上线请求消息的存储,将终端标识作为关键字,会话管理功能SMF地址和上线时间戳作为值,进行存储记录,设定时效时间,当设定的时效时间大于设定阈值则删除相关记录。
9.如权利要求7所述的网络访问权限管理装置,其特征在于,所述检索模块还执行如下操作:
接收计费下线请求消息,所述计费下线请求消息是由会话管理功能SMF发送的;
将终端标识作为索引进行检索,若检索到对应的数据记录,则将所述数据记录删除。
10.如权利要求7所述的网络访问权限管理装置,其特征在于,所述检索模块还执行如下操作:
接收中断报文DM请求消息;
将终端标识作为索引进行检索,获得第二检索结果;
若所述第二检索结果包括对应的会话管理功能SMF地址,则转发所述中断报文DM请求消息;
若所述第二检索结果不包括对应的会话管理功能SMF地址或者未检索到相关数据记录,则不转发所述中断报文DM请求消息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211067968.7A CN115150829B (zh) | 2022-09-02 | 2022-09-02 | 一种网络访问权限管理方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211067968.7A CN115150829B (zh) | 2022-09-02 | 2022-09-02 | 一种网络访问权限管理方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN115150829A CN115150829A (zh) | 2022-10-04 |
| CN115150829B true CN115150829B (zh) | 2022-11-08 |
Family
ID=83416038
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211067968.7A Active CN115150829B (zh) | 2022-09-02 | 2022-09-02 | 一种网络访问权限管理方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115150829B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115996380B (zh) * | 2023-03-22 | 2023-06-20 | 北京首信科技股份有限公司 | 一种网络柔性管控的方法和设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252788A (zh) * | 2008-04-11 | 2008-08-27 | 北京首信科技有限公司 | 支持RADIUS协议的Diameter-AAA服务器及其工作方法 |
| WO2019017836A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 一种会话处理方法及设备 |
| CN114173335A (zh) * | 2020-08-20 | 2022-03-11 | 维沃移动通信有限公司 | 会话处理方法、装置、终端及网络侧设备 |
| CN114629627A (zh) * | 2020-12-09 | 2022-06-14 | 华为技术有限公司 | 一种认证方法及装置 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1310476C (zh) * | 2004-07-05 | 2007-04-11 | 华为技术有限公司 | 无线局域网用户建立会话连接的方法 |
| US11425263B2 (en) * | 2019-05-03 | 2022-08-23 | Lenovo (Singapore) Pte. Ltd. | Validity information conditions for a protocol data unit session for background data transfer |
-
2022
- 2022-09-02 CN CN202211067968.7A patent/CN115150829B/zh active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101252788A (zh) * | 2008-04-11 | 2008-08-27 | 北京首信科技有限公司 | 支持RADIUS协议的Diameter-AAA服务器及其工作方法 |
| WO2019017836A1 (zh) * | 2017-07-20 | 2019-01-24 | 华为国际有限公司 | 一种会话处理方法及设备 |
| CN110199513A (zh) * | 2017-07-20 | 2019-09-03 | 华为国际有限公司 | 一种会话处理方法及设备 |
| CN114173335A (zh) * | 2020-08-20 | 2022-03-11 | 维沃移动通信有限公司 | 会话处理方法、装置、终端及网络侧设备 |
| CN114629627A (zh) * | 2020-12-09 | 2022-06-14 | 华为技术有限公司 | 一种认证方法及装置 |
Non-Patent Citations (3)
| Title |
|---|
| "5G核心网演进需求及关键技术";王卫斌 等;《中兴通讯技术》;20200131(第01期);全文 * |
| S3-171807 "Secondary authentication for multiple PDU sessions";Huawei amp等;《3GPP tsg_sa\WG3_Security》;20170731;全文 * |
| S3-212404 "Meeting notes from SA3 leadership";SA WG3 Chair;《3GPP tsg_sa\wg3_security》;20210816;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN115150829A (zh) | 2022-10-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8914856B1 (en) | Synchronization of networked storage systems and third party systems | |
| CN107911249B (zh) | 一种网络设备的命令行发送方法、装置和设备 | |
| CN104106241A (zh) | 生成安全名称记录的系统和方法 | |
| CN103401902A (zh) | 一种便携式云存储系统及方法 | |
| CN111064804B (zh) | 网络访问方法和装置 | |
| CN107580032B (zh) | 数据处理方法、装置及设备 | |
| JP2012527670A (ja) | データバックアップシステム | |
| US20130024917A1 (en) | Memo synchronization system, mobile system, and method for synchronizing memo data | |
| CN110673941A (zh) | 多机房中微服务的迁移方法、电子设备及存储介质 | |
| EP3796616A1 (en) | Container management method, apparatus, and device | |
| CN115150829B (zh) | 一种网络访问权限管理方法及装置 | |
| CN105450585A (zh) | 一种信息传输方法及装置 | |
| CN106878052B (zh) | 一种用户迁移方法和装置 | |
| CN103327133A (zh) | 一种地理位置信息更新方法及装置 | |
| CN109587205B (zh) | 共享目录的创建挂载方法及相关设备 | |
| CN109560954B (zh) | 设备配置方法及装置 | |
| CN110096543A (zh) | 应用程序的数据操作方法、装置、服务器和介质 | |
| CN103067365A (zh) | 一种用于虚拟桌面接入的机顶盒、客户端、系统及方法 | |
| US11057489B2 (en) | Content deployment method and delivery controller | |
| US20130174217A1 (en) | Access control information generating system | |
| CN109800229B (zh) | 数据访问方法及相关设备 | |
| CN115706727A (zh) | 云桌面数据的迁移方法、节点和服务器 | |
| CN107959584B (zh) | 信息配置方法及装置 | |
| CN108848156B (zh) | 接入网关处理方法、装置及存储介质 | |
| CN116095681B (zh) | 一种网络融合认证的方法和设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |