CN117278275A - 访问权限调整方法、装置及存储介质 - Google Patents

Abstract

本申请提供一种访问权限调整方法、装置及存储介质，涉及通信技术领域，能够提高资源的安全性。该方法包括：获取终端设备的当前访问权限和终端设备访问目标资源的行为信息；在行为信息超出终端设备的当前访问权限的情况下，将当前访问权限调整为预设权限；预设权限对应的访问范围小于终端设备的当前访问权限对应的访问范围。

Description

访问权限调整方法、装置及存储介质

技术领域

本申请涉及通信技术领域，尤其涉及一种访问权限调整方法、装置及存储介质。

背景技术

随着第五代移动通信技术(5th generation mobile communicationtechnology，5G)的发展，终端设备可以接入企业内网，并访问企业内网资源，以促进企业的信息化发展。目前，终端设备在接入企业内网的过程中，可以完成5G专网对终端设备的主认证鉴权，并将认证授权计费(authentication authorization accounting，AAA)服务器作为二次认证服务器，完成企业内网对终端设备的二次认证，使得终端设备能够接入企业内网，保障了企业内网的安全。

但是，上述方法在终端设备接入企业内网之后，可能出现终端设备在企业内网中进行恶意访问行为的情况，而上述恶意访问行为可能会造成对企业内网资源的攻击，导致资源可能会被泄露，进而导致资源的安全性较低。

发明内容

本申请提供一种访问权限调整方法、装置及存储介质，能够提高资源的安全性。

为达到上述目的，本申请采用如下技术方案：

第一方面，本申请提供一种访问权限调整方法，该方法包括：获取终端设备的当前访问权限和终端设备访问目标资源的行为信息；在行为信息超出终端设备的当前访问权限的情况下，将当前访问权限调整为预设权限；预设权限对应的访问范围小于终端设备的当前访问权限对应的访问范围。

在一种可能的实现方式中，当前访问权限包括以下至少之一：支持终端设备访问的至少一个资源的标识、支持终端设备访问的至少一个服务端口的标识、或者至少一个资源中每个资源支持的协议类型；行为信息包括以下至少之一：目标资源的标识、目标资源的服务端口的标识、或者目标资源支持的协议类型。

在一种可能的实现方式中，在行为信息超出终端设备的当前访问权限的情况下，将当前访问权限调整为预设权限，包括：

在至少一个资源中不包括目标资源，和/或，至少一个服务端口中不包括目标资源的服务端口，和/或，至少一个资源中每个资源支持的协议类型中不包括目标资源支持的协议类型的情况下，将当前访问权限调整为预设权限。

在一种可能的实现方式中，获取终端设备的当前访问权限，包括：获取终端设备的用户标识和设备标识；在用户标识和设备标识的对应关系与预设关系相同的情况下，将用户标识对应的访问权限确定为终端设备的当前访问权限。

在一种可能的实现方式中，方法还包括：将目标流量的特征与异常流量的预设特征进行匹配，并在预设特征包括目标流量的特征的情况下，丢弃目标流量传输的数据包；目标流量为终端设备访问目标资源产生的流量。

在一种可能的实现方式中，方法还包括：获取离线终端设备的信息；关闭离线终端设备的访问权限。

第二方面，本申请提供一种访问权限调整装置，该装置包括：通信单元和处理单元；通信单元，用于获取终端设备的当前访问权限和终端设备访问目标资源的行为信息；处理单元，用于在行为信息超出终端设备的当前访问权限的情况下，将当前访问权限调整为预设权限；预设权限对应的访问范围小于终端设备的当前访问权限对应的访问范围。

在一种可能的实现方式中，当前访问权限包括以下至少之一：支持终端设备访问的至少一个资源的标识、支持终端设备访问的至少一个服务端口的标识、或者至少一个资源中每个资源支持的协议类型；行为信息包括以下至少之一：目标资源的标识、目标资源的服务端口的标识、或者目标资源支持的协议类型。

在一种可能的实现方式中，处理单元，还用于在至少一个资源中不包括目标资源，和/或，至少一个服务端口中不包括目标资源的服务端口，和/或，至少一个资源中每个资源支持的协议类型中不包括目标资源支持的协议类型的情况下，将当前访问权限调整为预设权限。

在一种可能的实现方式中，通信单元，还用于获取终端设备的用户标识和设备标识；处理单元，还用于在用户标识和设备标识的对应关系与预设关系相同的情况下，将用户标识对应的访问权限确定为终端设备的当前访问权限。

在一种可能的实现方式中，处理单元，还用于将目标流量的特征与异常流量的预设特征进行匹配，并在预设特征包括目标流量的特征的情况下，丢弃目标流量传输的数据包；目标流量为终端设备访问目标资源产生的流量。

在一种可能的实现方式中，通信单元，还用于获取离线终端设备的信息；处理单元，还用于关闭离线终端设备的访问权限。

第三方面，本申请提供了一种访问权限调整装置，该装置包括：处理器和通信接口；通信接口和处理器耦合，处理器用于运行计算机程序或指令，以实现如第一方面和第一方面的任一种可能的实现方式中所描述的访问权限调整方法。

第四方面，本申请提供了一种计算机可读存储介质，计算机可读存储介质中存储有指令，当指令在终端上运行时，使得终端执行如第一方面和第一方面的任一种可能的实现方式中描述的访问权限调整方法。

第五方面，本申请提供一种包含指令的计算机程序产品，当计算机程序产品在访问权限调整装置上运行时，使得访问权限调整装置执行如第一方面和第一方面的任一种可能的实现方式中所描述的访问权限调整方法。

第六方面，本申请提供一种芯片，芯片包括处理器和通信接口，通信接口和处理器耦合，处理器用于运行计算机程序或指令，以实现如第一方面和第一方面的任一种可能的实现方式中所描述的访问权限调整方法。

具体的，本申请中提供的芯片还包括存储器，用于存储计算机程序或指令。

本申请实施例提供的访问权限调整方法中，基于终端设备的访问权限和终端设备访问目标资源的行为信息，可以确定终端设备访问目标资源的行为信息是否超出了终端设备的访问权限，并上述行为信息超出访问权限的情况下，将终端设备的访问权限调整为预设权限，而预设权限对应的访问范围是小于终端设备的当前访问权限对应的访问范围的，也就是说，在终端设备的行为信息超出终端设备的当前访问权限的情况下，可以将终端设备的当前访问权限对应的访问范围进行缩小。由于在终端设备的行为信息超出终端设备的当前访问权限的情况下，终端设备处于恶意访问状态的概率较高，因此将终端设备的当前访问权限对应的访问范围进行缩小，可以避免终端设备对较多的资源进行访问，这样减少了资源被泄露的情况，进而提高了资源的安全性。

附图说明

图1为本申请实施例提供的一种访问权限调整系统的结构示意图；

图2为本申请实施例提供的一种访问权限调整系统的组网网络架构图；

图3为本申请实施例提供的一种访问权限调整设备的结构示意图；

图4为本申请实施例提供的一种访问权限调整装置的结构示意图；

图5为本申请实施例提供的一种访问权限调整方法的流程图；

图6为本申请实施例提供的另一种访问权限调整方法的流程图；

图7为本申请实施例提供的另一种访问权限调整装置的结构示意图。

具体实施方式

下面结合附图对本申请实施例提供的访问权限调整方法、装置及存储介质进行详细地描述。

本文中术语“和/或”，仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。

本申请的说明书以及附图中的术语“第一”和“第二”等是用于区别不同的对象，或者用于区别对同一对象的不同处理，而不是用于描述对象的特定顺序。

此外，本申请的描述中所提到的术语“包括”和“具有”以及它们的任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括其他没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其它步骤或单元。

需要说明的是，本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

随着5G技术的发展与应用，5G专网通过增强型移动宽带(enhanced mobilebroadband，eMBB)、超高可靠和超低时延通信(ultra-reliable and low-latencycommunications、uRLLC)、以及海量机器类通信(massive machine-type communications)三大应用场景促进信息技术与运营技术的结合，以提高行业生产力和运营效率，促进了企业信息化、数字化、以及智能化的转型。

由于5G专网是采用5G技术创建的企业或行业无线专网，可以为特定的用户提供网络通信服务，且可以基于使用场所、业务类型、以及隐私要求等为垂直行业用户提供定制化的网络服务，因此，企业内网可以为基于5G技术和企业需求定制的企业专网，以使得终端设备可以接入上述企业内网访问企业内网的资源，促进企业的信息化发展。

在终端设备接入5G专网的过程中，可以进行统一数据管理(unified datamanagement，UDM)鉴权认证，以保证访问5G专网的终端设备具备访问权限，进而保障5G专网的安全。而对于对安全性要求较高的特定网络(例如，企业内网)，若终端设备对上述特定网络进行访问，则可以在终端设备接入5G专网后进行二次认证，进一步保障特定网络的安全。

目前，终端设备在接入企业内网的过程中，可以完成5G专网对终端设备的主认证鉴权，并将AAA服务器作为二次认证服务器，完成企业内网对终端设备的二次认证，使得终端设备能够接入企业内网，保障了企业内网的安全。

但是，上述方法在终端设备接入企业内网之后，可能出现终端设备在企业内网中进行恶意访问行为的情况，而上述恶意访问行为可能会造成对目标资源(例如，企业内网资源)的攻击，导致目标资源可能会被泄露，进而导致目标资源的安全性较低。

而在面向移动办公的应用场景中，5G专网基于上行分类器(Uplink Classifier，UL-CL)分流技术，使得终端设备同时具备访问互联网和企业内网的能力，但是终端设备访问互联网可能会带来安全风险，因此，通用技术中需要基于“零信任”理念的代理网关类产品，对终端设备和企业内网进行安全防护，以保证目标资源的安全。

但是，这样在终端设备没有安装客户端软件或者无法安装客户端软件的情况下，无法保证对终端设备和企业内网的安全防护，进而难以保证目标资源的安全。并且，代理网关无法将终端设备的真实网络之间互连的协议(internet protocol，IP)发送给企业内网侧，导致无法获取实际访问目标资源的终端设备，进而难以保证目标资源的安全。

综上，在终端设备接入企业内网之后，通用技术难以实现对终端设备的访问行为进行管理和控制，导致目标资源的安全性较低。

鉴于此，本申请实施例提供了一种访问权限调整方法，访问权限调整设备基于终端设备的访问权限和终端设备访问目标资源的行为信息，可以确定终端设备访问目标资源的行为信息是否超出了终端设备的访问权限，并上述行为信息超出访问权限的情况下，将终端设备的访问权限调整为预设权限，而预设权限对应的访问范围是小于终端设备的当前访问权限对应的访问范围的，也就是说，在终端设备的行为信息超出终端设备的当前访问权限的情况下，访问权限调整设备可以将终端设备的当前访问权限对应的访问范围进行缩小。由于在终端设备的行为信息超出终端设备的当前访问权限的情况下，终端设备处于恶意访问状态的概率较高，因此访问权限调整设备将终端设备的当前访问权限对应的访问范围进行缩小，可以避免终端设备对较多的资源进行访问，这样减少了资源被泄露的情况，进而提高了资源的安全性。

本申请实施例提供的技术方案可以应用于各种通信系统，例如，采用5G的新空口(New Radio，NR)通信系统，未来演进系统或者多种通信融合系统等。

示例性地，如图1所示，图1示出了本申请实施例提供的一种访问权限调整系统的结构示意图。该访问权限调整系统包括：访问权限调整设备101和终端设备102。图1以访问权限调整系统包括访问权限调整设备101和一个终端设备102为例进行说明。

访问权限调整设备101，用于获取终端设备102的当前访问权限和终端设备102访问目标资源的行为信息，并在行为信息超出终端设备102的当前访问权限的情况下，将当前访问权限调整为预设权限。

终端设备102，用于向访问权限调整设备101提供终端设备102的当前访问权限和终端设备102访问目标资源的行为信息。

其中，预设权限对应的访问范围小于终端设备102的当前访问权限对应的访问范围。

在一种示例中，访问权限调整设备101可以为服务器。其中，服务器可以是单独的一个服务器，或者，也可以是由多个服务器构成的服务器集群。部分实施方式中，服务器集群还可以是分布式集群。

在另一种示例中，访问权限调整设备101还可以为小型基站、无线接入点、收发点(transmission receive point，TRP)、传输点(transmission point，TP)、微型运营服务(micro operator)、以及某种其它接入节点中的任一节点。

在另一种示例中，访问权限调整设备101还可以为终端(terminal equipment)或者UE或者移动台(mobile station，MS)或者移动终端(mobile terminal，MT)等。具体的，访问权限调整设备101可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑，还可以是虚拟现实(virtual reality，VR)终端、增强现实(augmented reality，AR)终端、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智能家居、车载终端等。本申请实施例中，用于实现访问权限调整设备101的功能的装置可以是访问权限调整设备101，也可以是能够支持访问权限调整设备101实现该功能的装置，例如芯片或芯片系统。

在一种示例中，终端设备102可以是手机(mobile phone)、平板电脑或带无线收发功能的电脑，还可以是虚拟现实(virtual reality，VR)终端、增强现实(augmentedreality，AR)终端、工业控制中的无线终端、无人驾驶中的无线终端、远程医疗中的无线终端、智能电网中的无线终端、智慧城市(smart city)中的无线终端、智能家居、车载终端等。本申请实施例中，用于实现终端设备102的功能的装置可以是终端设备102，也可以是能够支持终端设备102实现该功能的装置，例如芯片或芯片系统。

作为一种可能的实现方式，上述访问权限调整系统还可以包括服务器。上述服务器可以为二次认证服务器。二次认证服务器可以用于在终端设备完成注册入网的主认证之后，确定终端设备102是否可以接入企业内网，并在终端设备发送协议数据单元(protocoldata unit，PDU)会话建立请求的情况下，由SMF触发二次认证，以实现对终端设备的认证授权。例如，上述二次认证服务器可以为AAA服务器。上述仅为二次认证服务器的一种示例性说明，上述二次认证服务器还可以为其他服务器，本申请对此不做任何限制。

具体的，访问权限调整系统还可以包括其他设备。如图2所示，图2示出了一种访问权限调整系统的组网网络架构图。在该架构图中，访问权限调整系统的组网网络架构包括如下网元功能实体：终端设备(user equipment，UE)、无线接入网(wireless accessnetwork，RAN)、用户面功能(user plane function，UPF)、接入和移动性管理功能(accessand mobility management function，AMF)、会话管理功能(session managementfunction，SMF)、鉴权服务功能(authentication server function，AUSF)、UDM、AAA、访问权限调整设备、以及企业内网。

上述网元功能实体的具体功能如下：UPF用于负责用户面处理；AMF用于负责用户的接入和移动性管理；SMF用于负责隧道维护、IP地址分配和管理；AUSF用于接收AMF对UE进行身份验证的请求，并通过向UDM请求密钥，将UDM下发的密钥转发给AMF进行鉴权处理；UDM用于负责用户的签约数据管理；AAA用于管理用户访问网络服务器，并对具有访问权限的用户提供服务。

上述网元功能实体的连接关系如下：

UE与AMF之间通过N1接口连接。

RAN与AMF之间通过N2接口连接。

RAN与UPF之间通过N3接口连接。

UPF与SMF之间通过N4接口连接。

AMF与SMF之间通过N11接口连接。

AMF与AUSF之间通过N12接口连接。

AMF与UDM之间通过N8接口连接。

SMF与UDM之间通过N10接口连接。

UPF与AAA之间通过N6接口连接。

UPF与访问权限调整设备之间通过N6接口连接。

UE、AMF、AUSF、以及UDM实现终端设备的主认证鉴权。

UE、AMF、SMF、UPF、以及AAA实现终端设备的二次认证鉴权。

以上，对本申请中访问权限调整系统的组网网络架构进行了简单介绍。

需要说明的是，在该架构图中，访问权限调整设备部署在UPF与企业内网之间，可以接收终端设备访问企业内网资源的行为信息，并通过网络接收AAA发送的通过二次认证的终端设备的用户标识和设备标识。AAA可以部署在企业侧或运营商侧。在AAA部署在企业侧的情况下，AAA与UPF之间通过N6接口连接，可以接收SMF发送的终端设备的入网认证请求，并将通过认证的终端设备的用户标识和设备标识通过网络向访问权限调整设备发送。相应的，访问权限调整设备通过API接口接收终端设备的用户标识和设备标识。在AAA服务器部署在运营商侧的情况下，AAA可以直接与SMF连接。终端设备访问企业内网的流量需要通过访问权限调整设备的转发，这样可以实现对终端设备的访问权限的控制和对企业内网的保护。

在一种可能的实现方式中，如图3所示，图3示出了本申请实施例提供的一种访问权限调整设备的结构示意图。访问权限调整设备可以包括业务管理模块、审计模块、以及动态策略管理模块。

业务管理模块，可以用于获取终端设备的当前访问权限。

可选的，业务管理模块还可以用于接收来自业务服务模块的终端设备的用户标识和设备标识，并根据终端设备的用户标识和设备标识自动查询终端设备的当前访问权限。业务管理模块，还可以用于为管理员提供业务的配置管理操作接口，使得管理员还可以通过访问权限调整设备手动查询终端设备的当前访问权限。

审计模块，可以用于获取终端设备访问目标资源的行为信息。

可选的，审计模块，还可以用于记录管理员的操作行为信息和终端设备的访问控制策略信息，并且可以用于向第三方发送上述终端设备访问目标资源的行为信息、管理员的操作行为信息、以及终端设备的访问控制策略信息。审计模块，还可以用于对访问权限调整设备和访问目标资源的行为信息进行审计，并确定上述行为信息是否超出当前访问权限。其中，访问控制策略信息中可以包括访问权限调整设备基于终端设备的访问权限设置的访问控制策略。

动态策略管理模块，可以用于在行为信息超出终端设备的当前访问权限的情况下，将当前访问权限调整为预设权限。其中，预设权限对应的访问范围小于终端设备的当前访问权限对应的访问范围。

可选的，动态策略管理模块，还可以用于提供开放的应用程序接口(applicationprogramming interface，API)接口，并通过API接口实现与第三方安全组件的连接，使得更精准的识别威胁并调整终端设备的访问控制策略。

在一种可能的实现方式中，访问权限调整设备还可以包括业务服务模块、访问控制模块、入侵防御模块、以及数据转发模块。

业务服务模块，可以用于将终端设备的用户标识和设备标识按照指定格式发送给业务管理模块，以便于业务管理模块根据终端设备的用户标识和设备标识查询终端设备的访问权限。业务服务模块，还可以用于通过API接口，接收来自二次认证服务器的终端设备的用户标识和设备标识。

需要说明的是，API接口具有接口访问认证能力。二次认证服务器通过API接口可以实现基于密码技术的强身份鉴别，并且可以通过API接口发送信息。

访问控制模块，可以用于接收来自其他模块的控制指令，并可以用于负责访问控制策略的生成、生效、或者撤销等。

入侵防御模块，可以用于将目标流量的特征与预设异常流量的特征进行匹配，并在预设异常流量的特征包括目标流量的特征的情况下，丢弃目标流量传输的数据包，以保证目标资源不受攻击。入侵防御模块，还可以用于实时检测通过的流量，并拦截异常流量，以保证访问权限调整设备不受攻击。其中，目标流量为终端设备访问目标资源产生的流量。

数据转发模块，可以用于负责数据包的处理和基于路由的转发，还可以用于路由控制与管理、网络地址转换、流控制等，以便于对数据包进行处理和转发。

此外，本申请实施例描述的访问权限调整系统是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新通信系统的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

具体实现时，图1中的设备均可以采用图4所示的组成结构，或者包括图4所示的部件。图4为本申请实施例提供的一种访问权限调整装置400的结构示意图，该访问权限调整装置400可以为访问权限调整设备101或访问权限调整设备101中的芯片或者片上系统。或者，该访问权限调整装置400可以为终端设备102或者终端设备102中的芯片或者片上系统。如图4所示，该访问权限调整装置400可以包括处理器401和通信线路402。

进一步的，该访问权限调整装置400还可以包括通信接口403和存储器404。其中，处理器401，存储器404以及通信接口403之间可以通过通信线路402连接。

其中，处理器401是CPU、通用处理器、网络处理器(network processor，NP)、数字信号处理器(digital signal processing，DSP)、微处理器、微控制器、可编程逻辑器件(programmable logic device，PLD)或它们的任意组合。处理器401还可以是其它具有处理功能的装置，例如电路、器件或软件模块，不予限制。

通信线路402，用于在访问权限调整装置400所包括的各部件之间传送信息。

通信接口403，用于与其他设备或其它通信网络进行通信。该其它通信网络可以为以太网，无线接入网(radio access network，RAN)，无线局域网(wireless local areanetworks，WLAN)等。通信接口403可以是模块、电路、通信接口或者任何能够实现通信的装置。

存储器404，用于存储指令。其中，指令可以是计算机程序。

其中，存储器404可以是只读存储器(read-only memory，ROM)或可存储静态信息和/或指令的其他类型的静态存储设备，也可以是随机存取存储器(random accessmemory，RAM)或可存储信息和/或指令的其他类型的动态存储设备，还可以是电可擦可编程只读存储器(electrically erasable programmable read-only memory，EEPROM)、只读光盘(compact disc read-only memory，CD-ROM)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或其他磁存储设备等，不予限制。

需要指出的是，存储器404可以独立于处理器401存在，也可以和处理器401集成在一起。存储器404可以用于存储指令或者程序代码或者一些数据等。存储器404可以位于访问权限调整装置400内，也可以位于访问权限调整装置400外，不予限制。处理器401，用于执行存储器404中存储的指令，以实现本申请下述实施例提供的访问权限调整方法。

在一种示例中，处理器401可以包括一个或多个CPU，例如，CPU0和CPU1。

作为一种可选的实现方式，访问权限调整装置400包括多个处理器。

作为一种可选的实现方式，访问权限调整装置400还包括输出设备和输入设备。示例性地，输出设备是显示屏、扬声器(speaker)等设备，输入设备是键盘、鼠标、麦克风或操作杆等设备。

需要指出的是，访问权限调整装置400可以是台式机、便携式电脑、网络服务器、移动手机、平板电脑、无线终端、嵌入式设备、芯片系统或有图4中类似结构的设备。此外，图4中示出的组成结构并不构成对该图1以及图4中的各个设备的限定，除图4所示部件之外，图1以及图4在的各个设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置。

本申请实施例中，芯片系统可以由芯片构成，也可以包括芯片和其他分立器件。

此外，本申请的各实施例之间涉及的动作、术语等均可以相互参考，不予限制。本申请的实施例中各个设备之间交互的消息名称或消息中的参数名称等只是一个示例，具体实现中也可以采用其他的名称，不予限制。

下面结合图1所示访问权限调整系统，对本申请实施例提供的访问权限调整方法进行描述。其中，本申请各实施例之间涉及的动作，术语等均可以相互参考，不予限制。本申请的实施例中各个设备之间交互的消息名称或消息中的参数名称等只是一个示例，具体实现中也可以采用其他的名称，不予限制。本申请各实施例涉及的动作只是一个示例，具体实现中也可以采用其他的名称，如：本申请实施例的“包括在”还可以替换为“承载于”或者“携带在”等。

为了解决上述现有技术中存在的问题，本申请实施例提出了一种访问权限调整方法，能够提高资源的安全性。如图5所示，该方法包括：

S501、访问权限调整设备获取终端设备的当前访问权限和终端设备访问目标资源的行为信息。

在一种可能的实施例中，当前访问权限包括以下至少之一：支持终端设备访问的至少一个资源的标识、支持终端设备访问的至少一个服务端口的标识、或者至少一个资源中每个资源支持的协议类型；行为信息包括以下至少之一：目标资源的标识、目标资源的服务端口的标识、或者目标资源支持的协议类型。

需要说明的是，上述终端设备可以为通过5G通信网络接入的具备5G通信模组的各类终端设备。

示例性的，上述支持终端设备访问的至少一个资源可以包括企业内网的资源。上述至少一个资源的标识可以为资源的IP。支持终端设备访问的至少一个服务端口的标识可以为终端设备访问上述至少一个资源的端口标识(例如，53端口)。上述仅为至少一个资源的标识和至少一个服务端口的标识的一种示例性说明，上述至少一个资源的标识中还可以包括其他资源的标识，至少一个服务端口的标识中还可以包括其他端口标识，本申请对此不做任何限制。

作为一种示例，上述资源支持的协议类型可以包括以下至少之一：超文本传输协议(hypertext transfer protocol，HTTP)、超文本传输安全协议(hypertext transferprotocol secure，HTTPS)、或者文件传输协议(file transfer protocol，FTP)。上述仅为资源支持的协议类型的一种示例性说明，上述资源支持的协议类型还可以包括其他协议类型(例如，本地文件传输协议(file protocol，file))，本申请对此不做任何限制。

在一种可能的实施例中，访问权限调整设备获取终端设备的当前访问权限的实现过程可以为：访问权限调整设备获取终端设备的用户标识和设备标识，并在用户标识和设备标识的对应关系与预设关系相同的情况下，将用户标识对应的访问权限确定为终端设备的当前访问权限。

可以理解的是，在用户标识和设备标识的对应关系与预设关系相同的情况下，访问权限调整设备可以确定终端设备具备预设访问权限，即访问权限调整设备可以确定终端设备可能具备对资源进行访问的权限，进而可以进一步地确定终端设备的访问权限，以判断终端设备是否可以对目标资源进行访问。

作为一种可能的实现方式，在用户标识和设备标识的对应关系与预设关系不相同的情况下，访问权限调整设备可以确定终端设备不具备预设访问权限，即访问权限调整设备可以确定终端设备不具备对资源进行访问的权限，进而访问权限调整设备可以不对终端设备的访问权限进行查询，且可以直接将该终端设备的访问请求进行拦截，节省了对终端设备的访问权限的查询，进而节省运行资源。

在一种示例中，上述终端设备的用户标识可以为终端设备的移动用户号码(mobile subscriber international ISDN/PSTN number，MSISDN)，上述终端设备的设备标识可以为国际移动设备识别码(international mobile equipment identity，IMEI)。上述仅为终端设备的用户标识和设备标识的一种示例性说明，上述终端设备的用户标识和设备标识还可以为其他标识，本申请对此不做任何限制。

结合上述示例，访问权限调整设备获取终端设备的当前访问权限的实现过程可以为：访问权限调整设备可以获取终端设备的初始MSISDN、当前MSISDN、以及IMEI，并在上述初始MSISDN与当前MSISDN相同的情况下，确定终端设备的当前MSISDN和IMEI的对应关系与预设关系相同。访问权限调整设备可以查询预先设置好的终端设备的MSISDN对应的访问权限，并将上述MSISDN对应的访问权限确定为终端设备的当前访问权限。其中，预设关系可以为终端设备的初始MSISDN与IMEI的对应关系。

可以理解的是，在上述初始MSISDN与当前MSISDN不相同的情况下，终端设备的用户标识出现了变化，而访问权限调整设备仅在预设关系的情况下确定终端设备具备预设访问权限，因此访问权限调整设备可以确定用户标识出现变化的终端设备当前不具备对目标资源进行访问的权限，这样可以避免不具备访问权限的用户或者不具备访问权限的终端设备对目标资源进行访问，造成目标资源被恶意访问的情况，提高了目标资源的安全性。

在一种可能的实现方式中，在访问权限调整设备获取终端设备的当前访问权限之前，访问权限调整设备可以获取终端设备的认证通过信息，并基于终端设备的认证通过信息，确定终端设备的用户标识和设备标识，为后续确定终端设备的当前访问权限提供了数据基础。

作为一种可能的实现方式，访问权限调整设备获取终端设备的认证通过消息的实现过程可以通过以下步骤1至步骤5实现：

步骤1、SMF向AAA服务器发送认证开始信息。

可以理解的是，在步骤1之前，终端设备完成注册网络和UDM主认证鉴权，并通过发起PDU会话，使得SMF发起认证流程。在步骤1中，SMF建立了终端设备与AAA之间的认证通道，使得AAA可以对终端设备进行二次认证。

需要说明的是，在SMF发起认证流程之前，SMF可以根据终端设备注册网络的签约信息决定是否发起认证流程。

步骤2、AAA服务器接收来自SMF发送的认证开始信息，并向终端设备发送可扩展认证协议请求信息(extensible authentication protocol request，EAP-Request)。

其中，EAP-Request可以用于请求终端设备的信息。

示例性的，上述终端设备的信息可以包括以下至少之一：用户标识、设备标识、以及IP。上述终端设备的信息仅为一种示例性说明，上述终端设备的信息还可以包括其他信息，本申请对此不做任何限制。

步骤3、终端设备接收来自AAA服务器的EAP-Request，并向AAA服务器发送可扩展认证协议响应信息(extensible authentication protocol response，EAP-Response)。

其中，EAP-Response中携带EAP-Request请求的终端设备的信息。

步骤4、AAA服务器接收上述EAP-Response，并基于EAP-Response携带的信息对终端设备进行二次认证鉴权。

可选的，在终端设备的二次认证通过的情况下，AAA服务器为终端设备分配IP地址，并向终端设备发送可扩展认证协议成功信息(extensible authentication protocolsuccess，EAP-Success)。在终端设备的二次认证未通过的情况下，AAA服务器向终端设备发送可扩展认证协议失败信息(extensible authentication protocol failure，EAP-Failure)。

步骤5、在终端设备的二次认证通过的情况下，AAA服务器向访问权限调整设备发送认证通过信息。相应的，访问权限调整设备接收来自AAA服务器的认证通过信息。

其中，认证通过信息中可以包括以下至少之一：终端设备的用户标识、设备标识、以及IP。上述仅为认证通过信息的一种示例性说明，上述认证通过信息还可以包括其他信息，本申请对此不做任何限制。

需要说明的是，在AAA服务器对终端设备进行二次认证的过程中，AAA服务器遵循可扩展认证协议(extensible authentication protocol，EAP)。认证消息(例如，认证开始信息、EAP-Request、以及EAP-Response等)可以承载于网络附属存储(network attachedstorage，NAS)信令中。终端设备为被认证端，SMF为认证端，AAA服务器为认证服务器。

需要说明的是，在UPF与企业内网之间部署访问权限调整设备，可以在终端设备通过二次认证之后，实现对终端设备的访问权限的管理和控制，这样终端设备不需要安装客户端、且不需要进行登录，就可以接入企业内网访问目标资源。

在一种可能的实现方式中，访问权限调整设备作为终端设备访问企业内网的网关，可以默认禁用所有到企业内网访问的流量，这样可以避免企业内网被恶意访问的情况，进而保证了企业内网的资源的安全。

在另一种可能的实现方式中，在访问权限调整设备确定终端设备的当前访问权限之后，访问权限调整设备可以基于最小化放通网络策略(即确定最小的访问控制规则，仅允许必要的网络流量通过的策略)，确定终端设备的访问控制策略，即访问权限调整设备仅允许终端设备的访问控制策略中包括的流量类型通过，这样可以减少在终端设备对资源进行访问的过程中其他流量类型的通过，以避免资源被恶意流量访问的情况，进而在实现企业信息化的同时，降低资源被泄露的风险，进而提高了资源的安全性。

S502、在行为信息超出终端设备的当前访问权限的情况下，访问权限调整设备将当前访问权限调整为预设权限。

其中，预设权限对应的访问范围小于终端设备的当前访问权限对应的访问范围。

在一种可能的实施例中，上述S502的实现过程可以为：在至少一个资源中不包括目标资源，和/或，至少一个服务端口中不包括目标资源的服务端口，和/或，至少一个资源中每个资源支持的协议类型中不包括目标资源支持的协议类型的情况下，访问权限调整设备将当前访问权限调整为预设权限。

作为一种示例，在上述至少一个的资源标识为资源的IP的情况下，上述S502的实现过程可以为：访问权限调整设备可以确定终端设备访问的目标资源的IP和支持终端设备访问的至少一个资源中每个资源的IP，并将目标资源的IP与上述至少一个资源中每个资源的IP进行匹配。在上述每个资源的IP与目标资源的IP均不相同的情况下，访问权限调整设备可以确定终端设备的访问目标资源的行为信息超出了终端设备的当前访问权限，并将终端设备的当前访问权限调整为预设权限。

可以理解的是，在终端设备访问目标资源的行为信息超出终端设备的当前访问权限的情况下，访问权限调整设备可以确定上述行为信息疑似恶意访问行为信息，并将终端设备的访问权限进行缩小，使得终端设备无法对目标资源进行访问，以保证目标资源的安全性。

示例性的，上述预设权限可以为空，在该情况下，终端设备不具备对上述资源的访问权限，也就是说，终端设备无法访问企业内网中的任何资源，这样访问权限调整设备可以将终端设备所有的访问请求进行拦截，使得终端设备无法对上述资源进行访问，进而能够更好地保证目标资源的安全性。

可以理解的是，访问权限调整设备关闭存在恶意访问行为的终端设备的访问权限，能够有效避免终端设备的恶意访问行为，防止终端设备随意查看、使用资源，进而可以保证资源的安全。

作为一种可能的实现方式，在终端设备访问目标资源的行为信息未超出终端设备的当前访问权限的情况下，访问权限调整设备可以确定终端设备具备对目标资源进行访问的权限，并且允许终端设备访问目标资源，这样在保证目标资源的安全性的同时，可以促进企业的信息化发展。

在一种可能的实施例中，访问权限调整设备获取离线终端设备的信息，并关闭离线终端设备的访问权限。

在一种可能的实现方式中，访问权限调整设备获取离线终端设备的信息的实现过程可以为：AAA服务器接收来自SMF的离线终端设备的信息，并向访问权限调整设备发送离线终端设备的信息。相应的，访问权限调整设备接收来自AAA服务器的离线终端设备的信息。

在另一种可能的实现方式中，访问权限调整设备获取离线终端设备的信息的实现过程还可以为：SMF可以直接向访问权限调整设备发离线终端设备的信息。相应的，访问权限调整设备接收来自SMF的离线终端设备的信息。

可以理解的是，访问权限调整设备关闭离线终端设备的访问权限，可以避免其他不具备访问权限的终端设备假冒该离线终端设备对目标资源进行访问，进而可以降低目标资源被攻击和入侵的风险，保障了目标资源的安全性。

在一种可能的实现方式中，访问权限调整设备可以撤销离线终端设备的访问控制策略，以拦截离线终端设备访问目标资源产生的流量，进一步降低目标资源被攻击和入侵的风险，进而进一步保障了目标资源的安全性。

本申请实施例提供的访问权限调整方法中，访问权限调整设备基于终端设备的访问权限和终端设备访问目标资源的行为信息，可以确定终端设备访问目标资源的行为信息是否超出了终端设备的访问权限，并上述行为信息超出访问权限的情况下，将终端设备的访问权限调整为预设权限，而预设权限对应的访问范围是小于终端设备的当前访问权限对应的访问范围的，也就是说，在终端设备的行为信息超出终端设备的当前访问权限的情况下，访问权限调整设备可以将终端设备的当前访问权限对应的访问范围进行缩小。由于在终端设备的行为信息超出终端设备的当前访问权限的情况下，终端设备处于恶意访问状态的概率较高，因此访问权限调整设备将终端设备的当前访问权限对应的访问范围进行缩小，可以避免终端设备对较多的资源进行访问，这样减少了资源被泄露的情况，进而提高了资源的安全性。

在一种可能的实施例中，访问权限调整设备可以对终端设备访问目标资源产生的流量进行分析，确定终端设备访问目标资源产生的流量是否为异常流量，并确定是否对终端设备的访问行为进行拦截，以实现对目标资源的保护，在图5示出的方法实施例的基础上，本实施例提供一种可能的实现方式，结合图5，如图6所示，访问权限调整设备对终端设备访问目标资源的流量进行判断的实现过程可以通过以下S601确定。

S601、访问权限调整设备将目标流量的特征与异常流量的预设特征进行匹配，并在预设特征中包括目标流量的特征的情况下，丢弃目标流量传输的数据包。

其中，目标流量为终端设备访问目标资源产生的流量。

在一种可能的实现方式中，上述S601的实现过程可以为：访问权限调整设备可以确定终端设备访问目标资源产生的流量(即目标流量)的大小，并在异常流量的大小与上述目标流量的大小相同的情况下，将目标流量确定为异常流量。访问权限调整设备可以丢弃上述异常流量传输的数据包。

需要说明的是，上述仅为访问权限调整设备基于目标流量的特征(即目标流量的大小)与异常流量的预设特征进行匹配，确定是否丢弃目标流量传输的数据包的一种示例性说明。访问权限调整设备还可以基于目标流量的其他特征(例如，网络连接状态)与异常流量的预设特征进行匹配，确定是否丢弃目标流量传输的数据包，本申请对此不做任何限制。

可以理解的是，访问权限调整设备将目标流量的特征与异常流量的预设特征进行匹配，可以确定终端设备访问目标资源产生的流量是否为异常流量。访问权限调整设备将异常流量传输的数据包进行丢弃，可以阻止终端设备异常的访问行为，进而能够避免目标资源被恶意访问，保障了目标资源的安全。

在一种可能的实现方式中，访问权限调整设备还可以对目标流量传输的数据包进行检测，并在目标流量传输的数据包中存在异常数据的情况下，将目标流量传输的数据包进行丢弃，以避免出现目标资源被恶意访问的情况。

本申请实施例提供的访问权限调整方法中，在异常流量的预设特征中包括目标流量的特征的情况下，访问权限调整设备丢弃目标流量传输的数据包，可以阻止出现异常的数据包继续传输，进而可以在终端设备访问目标资源过程中出现异常的情况下，及时阻止终端设备访问目标资源，保障了目标资源的安全性。

可以理解的是，上述访问权限调整方法可以由访问权限调整装置实现。访问权限调整装置为了实现上述功能，其包含了执行各个功能相应的硬件结构和/或软件模块。本领域技术人员应该很容易意识到，结合本文中所公开的实施例描述的各示例的模块及算法步骤，本申请公开实施例能够以硬件或硬件和计算机软件的结合形式来实现。某个功能究竟以硬件还是计算机软件驱动硬件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本申请公开实施例的范围。

本申请公开实施例可以根据上述方法示例生成的访问权限调整装置进行功能模块的划分，例如，可以对应各个功能划分各个功能模块，也可以将两个或两个以上的功能集成在一个处理模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。需要说明的是，本申请公开实施例中对模块的划分是示意性的，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式。

图7为本发明实施例提供的一种访问权限调整装置的结构示意图。如图7所示，访问权限调整装置70可以用于执行图5-图6所示的访问权限调整方法。该访问权限调整装置70包括：通信单元701和处理单元702。

通信单元701，用于获取终端设备的当前访问权限和终端设备访问目标资源的行为信息；处理单元702，用于在行为信息超出终端设备的当前访问权限的情况下，将当前访问权限调整为预设权限；预设权限对应的访问范围小于终端设备的当前访问权限对应的访问范围。

在一种可能的实现方式中，当前访问权限包括以下至少之一：支持终端设备访问的至少一个资源的标识、支持终端设备访问的至少一个服务端口的标识、或者至少一个资源中每个资源支持的协议类型；行为信息包括以下至少之一：目标资源的标识、目标资源的服务端口的标识、或者目标资源支持的协议类型。

在一种可能的实现方式中，处理单元702，还用于在至少一个资源中不包括目标资源，和/或，至少一个服务端口中不包括目标资源的服务端口，和/或，至少一个资源中每个资源支持的协议类型中不包括目标资源支持的协议类型的情况下，将当前访问权限调整为预设权限。

在一种可能的实现方式中，通信单元701，还用于获取终端设备的用户标识和设备标识；处理单元702，还用于在用户标识和设备标识的对应关系与预设关系相同的情况下，将用户标识对应的访问权限确定为终端设备的当前访问权限。

在一种可能的实现方式中，处理单元702，还用于将目标流量的特征与异常流量的预设特征进行匹配，并在预设特征包括目标流量的特征的情况下，丢弃目标流量传输的数据包；目标流量为终端设备访问目标资源产生的流量。

在一种可能的实现方式中，通信单元701，还用于获取离线终端设备的信息；处理单元702，还用于关闭离线终端设备的访问权限。

通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到，为描述的方便和简洁，仅以上述各功能模块的划分进行举例说明，实际应用中，可以根据需要而将上述功能分配由不同的功能模块完成，即将装置的内部结构划分成不同的功能模块，以完成以上描述的全部或者部分功能。上述描述的系统，装置和单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本公开还提供了一种计算机可读存储介质，计算机可读存储介质上存储有指令，当存储介质中的指令由电子设备的处理器执行时，使得电子设备能够执行上述本公开实施例提供的访问权限调整方法。

本公开实施例还提供了一种包含指令的计算机程序产品，当其在电子设备上运行时，使得电子设备执行上述本公开实施例提供的访问权限调整方法。

其中，计算机可读存储介质，例如可以是但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机存取存储器(Random Access Memory，RAM)、只读存储器(Read-Only Memory，ROM)、可擦式可编程只读存储器(Erasable Programmable Read Only Memory，EPROM)、寄存器、硬盘、光纤、便携式紧凑磁盘只读存储器(Compact Disc Read-Only Memory，CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合、或者本领域熟知的任何其它形式的计算机可读存储介质。一种示例性的存储介质耦合至处理器，从而使处理器能够从该存储介质读取信息，且可向该存储介质写入信息。当然，存储介质也可以是处理器的组成部分。处理器和存储介质可以位于特定用途集成电路(Application Specific Integrated Circuit，ASIC)中。在本申请实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims (14)

1.一种访问权限调整方法，其特征在于，所述方法包括：

获取终端设备的当前访问权限和所述终端设备访问目标资源的行为信息；

在所述行为信息超出所述终端设备的当前访问权限的情况下，将所述当前访问权限调整为预设权限；所述预设权限对应的访问范围小于所述终端设备的当前访问权限对应的访问范围。

2.根据权利要求1所述的方法，其特征在于，所述当前访问权限包括以下至少之一：支持所述终端设备访问的至少一个资源的标识、支持所述终端设备访问的至少一个服务端口的标识、或者所述至少一个资源中每个资源支持的协议类型；所述行为信息包括以下至少之一：所述目标资源的标识、所述目标资源的服务端口的标识、或者所述目标资源支持的协议类型。

3.根据权利要求2所述的方法，其特征在于，所述在所述行为信息超出所述终端设备的当前访问权限的情况下，将所述当前访问权限调整为预设权限，包括：

在所述至少一个资源中不包括所述目标资源，和/或，所述至少一个服务端口中不包括所述目标资源的服务端口，和/或，所述至少一个资源中每个资源支持的协议类型中不包括所述目标资源支持的协议类型的情况下，将所述当前访问权限调整为所述预设权限。

4.根据权利要求1-3任一项所述的方法，其特征在于，所述获取终端设备的当前访问权限，包括：

获取所述终端设备的用户标识和设备标识；

在所述用户标识和所述设备标识的对应关系与预设关系相同的情况下，将所述用户标识对应的访问权限确定为所述终端设备的当前访问权限。

5.根据权利要求4所述的方法，其特征在于，所述方法还包括：

将目标流量的特征与异常流量的预设特征进行匹配，并在所述预设特征包括所述目标流量的特征的情况下，丢弃所述目标流量传输的数据包；所述目标流量为所述终端设备访问所述目标资源产生的流量。

6.根据权利要求5所述的方法，其特征在于，所述方法还包括：

获取离线终端设备的信息；

关闭所述离线终端设备的访问权限。

7.一种访问权限调整装置，其特征在于，所述装置包括：通信单元和处理单元；

所述通信单元，用于获取终端设备的当前访问权限和所述终端设备访问目标资源的行为信息；

所述处理单元，用于在所述行为信息超出所述终端设备的当前访问权限的情况下，将所述当前访问权限调整为预设权限；所述预设权限对应的访问范围小于所述终端设备的当前访问权限对应的访问范围。

8.根据权利要求7所述的装置，其特征在于，所述当前访问权限包括以下至少之一：支持所述终端设备访问的至少一个资源的标识、支持所述终端设备访问的至少一个服务端口的标识、或者所述至少一个资源中每个资源支持的协议类型；所述行为信息包括以下至少之一：所述目标资源的标识、所述目标资源的服务端口的标识、或者所述目标资源支持的协议类型。

9.根据权利要求8所述的装置，其特征在于，

所述处理单元，还用于在所述至少一个资源中不包括所述目标资源，和/或，所述至少一个服务端口中不包括所述目标资源的服务端口，和/或，所述至少一个资源中每个资源支持的协议类型中不包括所述目标资源支持的协议类型的情况下，将所述当前访问权限调整为所述预设权限。

10.根据权利要求7-9任一项所述的装置，其特征在于，

所述通信单元，还用于获取所述终端设备的用户标识和设备标识；

所述处理单元，还用于在所述用户标识和所述设备标识的对应关系与预设关系相同的情况下，将所述用户标识对应的访问权限确定为所述终端设备的当前访问权限。

11.根据权利要求10所述的装置，其特征在于，

所述处理单元，还用于将目标流量的特征与异常流量的预设特征进行匹配，并在所述预设特征包括所述目标流量的特征的情况下，丢弃所述目标流量传输的数据包；所述目标流量为所述终端设备访问所述目标资源产生的流量。

12.根据权利要求11所述的装置，其特征在于，

所述通信单元，还用于获取离线终端设备的信息；

所述处理单元，还用于关闭所述离线终端设备的访问权限。

13.一种访问权限调整装置，其特征在于，包括：处理器和通信接口；所述通信接口和所述处理器耦合，所述处理器用于运行计算机程序或指令，以实现如权利要求1-6任一项中所述的访问权限调整方法。

14.一种计算机可读存储介质，所述计算机可读存储介质中存储有指令，其特征在于，当计算机执行该指令时，该计算机执行上述权利要求1-6任一项中所述的访问权限调整方法。