CN117715043A - 一种业务访问方法、装置、设备及存储介质 - Google Patents

Abstract

本申请提供一种业务访问方法、装置、设备及存储介质，涉及通信技术领域，该方法能够实现提高终端访问业务系统的安全性。该方法包括：获取终端对应的访问权限，访问权限用于指示业务系统中终端能够访问的区域以及能够使用的操作，接收终端的访问请求，在访问请求符合访问权限的情况下，转发访问请求至业务系统，在访问请求不符合访问权限的情况下，拦截访问请求。本申请可用于终端访问业务系统的过程中，用于解决相关技术中对访问业务系统的终端不加管控，导致业务系统安全性较低的问题。

Description

一种业务访问方法、装置、设备及存储介质

技术领域

本申请涉及通信技术领域，尤其涉及一种业务访问方法、装置、设备及存储介质。

背景技术

随着第五代移动通信技术(5th-generation mobile communicationtechnology，5G)网络的大规模部署，大量的企业或园区可以自行部署5G专网，并与5G公网共享5G基站。因此，企业的工作人员可以通过企业内已授权的终端访问企业5G专网。但是，针对办公地点不固定或出差人员，若要访问企业5G专网，则需对该人员的终端进行身份鉴别和身份认证，在认证通过的情况下，使得终端接入企业5G专网。相关技术中，企业5G专网通常仅作为管道，对于访问企业5G专网的终端不加管控、全部放通，使得企业5G专网的安全性较低。

发明内容

本申请提供一种业务访问方法、装置、设备及存储介质，实现了提高终端访问业务系统的安全性。

第一方面，本申请提供一种业务访问方法，应用于基站，基站分别与终端和业务系统连接，业务系统为终端需要进行业务访问的系统；该方法包括：获取终端对应的访问权限；访问权限用于指示业务系统中终端能够访问的区域以及能够使用的操作；接收终端的访问请求；在访问请求符合访问权限的情况下，转发访问请求至业务系统；在访问请求不符合访问权限的情况下，拦截访问请求。

本申请提供的业务访问方法，基站通过获取终端对应的访问权限，从而在接收到终端的访问请求后，在访问请求符合访问权限的情况下，转发访问请求至业务系统，以使得终端访问业务系统进行业务处理，在访问请求不符合访问权限的情况下，拦截访问请求。基站基于终端对应的访问权限对终端的访问请求进行筛选，仅允许终端访问其对应的访问权限内的区域或使用访问权限内的操作，从而提高了业务系统的安全性，避免了终端随意访问业务系统，导致业务系统信息泄露的问题。并且，本申请的业务访问方法通过基站在网络侧实现了对访问业务系统的终端的分权管控，降低了业务系统的复杂度和管理维护成本。

一种可能的实现方式，拦截访问请求，包括：采用如下至少一项拦截访问请求：访问控制列表(access control list，ACL)、防火墙、网络地址转换(network addresstranslation，NAT)。

另一种可能的实现方式，获取终端对应的访问权限，包括：向业务系统发送第一请求；第一请求用于请求访问权限；第一请求包括终端的身份信息；接收业务系统发送的访问权限。

又一种可能的实现方式，方法还包括：在终端访问业务系统的过程中，基于深度包检测(deep packet inspection，DPI)技术获取终端的访问行为并存储；访问行为包括以下至少一项：访问的区域、访问时长、通信内容。

又一种可能的实现方式，在接收终端的访问请求之前，方法还包括：接收终端的接入请求；接入请求用于请求接入业务系统；接入请求包括第一身份信息和第二身份信息；第一身份信息用于指示终端在核心网中的身份信息；第二身份信息用于指示终端在业务系统中的身份信息；分别验证第一身份信息以及第二身份信息；接收终端的访问请求，包括：在第一身份信息以及第二身份信息均验证通过的情况下，接收终端的访问请求。

又一种可能的实现方式，验证第一身份信息，包括：向接入和移动性管理功能(access and mobility management function，AMF)网元发送第二请求；第二请求用于请求验证第一身份信息；第二请求包括第一身份信息；接收会话管理功能(sessionmanagement function，SMF)网元通过用户面功能(user plane function，UPF)网元发送的终端对应的移动台国际综合业务数字网号码(mobile subscriber internationalintegrated services digital network number，MSISDN)字段；根据终端对应的MSISDN字段，验证终端的身份信息，得到第一验证结果；第一验证结果用于指示第一身份信息是否通过验证。

又一种可能的实现方式，方法还包括：在第一验证结果用于指示第一身份信息通过验证的情况下，向SMF网元发送业务系统的固定网络之间互连的协议(internetprotocol，IP)地址；接收SMF网元发送的终端的专用IP地址。

又一种可能的实现方式，验证第二身份信息，包括：向业务系统发送第三请求；第三请求用于请求验证第二身份信息；第三请求包括第二身份信息；接收业务系统发送的第二验证结果；第二验证结果用于指示第二身份信息是否通过验证。

第二方面，本申请提供一种业务访问方法，应用于业务系统，业务系统与基站连接；该方法包括：接收基站转发的访问请求；响应于访问请求，执行访问请求对应的操作。

一种可能的实现方式，方法还包括：接收基站发送的第一请求；第一请求用于请求访问权限；第一请求包括终端的身份信息；响应于第一请求，根据终端的身份信息查询终端对应的访问权限；向基站发送访问权限。

另一种可能的实现方式，方法还包括：接收基站发送的第三请求；第三请求用于请求验证第二身份信息；第三请求包括第二身份信息；第二身份信息包括：终端在业务系统的账号和密码；响应于第三请求，根据终端在业务系统的账号和密码，对终端进行身份验证，得到第二验证结果；第二验证结果用于指示第二身份信息是否通过验证；向基站发送第二验证结果。

第三方面，本申请提供一种业务访问方法，应用于核心网网元，核心网网元包括AMF网元、SMF网元以及UPF网元，该方法包括：AMF网元接收基站发送的第二请求；第二请求用请求验证第一身份信息；第二请求包括第一身份信息；第一身份信息包括终端的专用数据网络名称(data network name，DNN)关键字段；响应于第二请求，在第一身份信息指示终端通过AMF网元接入鉴权的情况下，AMF网元向SMF网元转发第二请求；在终端的专用DNN关键字段指示终端需要进行验证、授权和帐户(authentication authorization andaccounting，AAA)二次认证的情况下，SMF网元生成终端对应的MSISDN字段；SMF网元通过UPF网元向基站发送终端对应的MSISDN字段。

一种可能的实现方式，方法还包括：SMF网元接收基站发送的业务系统的固定IP地址，并基于业务系统的固定IP地址为终端分配专用IP地址；SMF网元向基站发送终端的专用IP地址。

第四方面，本申请提供一种业务访问装置，应用于基站，基站分别与终端和业务系统连接，业务系统为终端需要进行业务访问的系统，该装置包括：获取模块、接收模块、转发模块以及拦截模块。

获取模块用于，获取终端对应的访问权限；访问权限用于指示业务系统中终端能够访问的区域以及能够使用的操作；接收模块用于，接收终端的访问请求；转发模块用于，在访问请求符合访问权限的情况下，转发访问请求至业务系统；拦截模块用于，在访问请求不符合访问权限的情况下，拦截访问请求。

一种可能的实现方式，拦截模块具体用于，采用如下至少一项拦截访问请求：ACL、防火墙、NAT。

另一种可能的实现方式，获取模块具体用于，向业务系统发送第一请求；第一请求用于请求访问权限；第一请求包括终端的身份信息；接收业务系统发送的访问权限。

又一种可能的实现方式，获取模块还用于，在终端访问业务系统的过程中，基于DPI技术获取终端的访问行为并存储；访问行为包括以下至少一项：访问的区域、访问时长、通信内容。

又一种可能的实现方式，装置还包括：验证模块，接收模块还用于，接收终端的接入请求；接入请求用于请求接入业务系统；接入请求包括第一身份信息和第二身份信息；第一身份信息用于指示终端在核心网中的身份信息；第二身份信息用于指示终端在业务系统中的身份信息；验证模块用于，分别验证第一身份信息以及第二身份信息；接收模块具体用于，在第一身份信息以及第二身份信息均验证通过的情况下，接收终端的访问请求。

又一种可能的实现方式，验证模块具体用于，向AMF网元发送第二请求；第二请求用于请求验证第一身份信息；第二请求包括第一身份信息；接收SMF网元通过UPF网元发送的终端对应的MSISDN字段；根据终端对应的MSISDN字段，验证终端的身份信息，得到第一验证结果；第一验证结果用于指示第一身份信息是否通过验证。

又一种可能的实现方式，装置还包括：发送模块，发送模块用于，在第一验证结果用于指示第一身份信息通过验证的情况下，向SMF网元发送业务系统的固定IP地址；接收模块还用于，接收SMF网元发送的终端的专用IP地址。

又一种可能的实现方式，验证模块具体用于，向业务系统发送第三请求；第三请求用于请求验证第二身份信息；第三请求包括第二身份信息；接收业务系统发送的第二验证结果；第二验证结果用于指示第二身份信息是否通过验证。

第五方面，本申请提供一种业务访问装置，应用于业务系统，业务系统与基站连接，该装置包括：接收模块和执行模块。

接收模块用于，接收基站转发的访问请求；执行模块用于，响应于访问请求，执行访问请求对应的操作。

一种可能的实现方式，装置还包括：查询模块和发送模块，接收模块还用于，接收基站发送的第一请求；第一请求用于请求访问权限；第一请求包括终端的身份信息；查询模块用于，响应于第一请求，根据终端的身份信息查询终端对应的访问权限；发送模块用于，向基站发送访问权限。

另一种可能的实现方式，装置还包括：验证模块，接收模块还用于，接收基站发送的第三请求；第三请求用于请求验证第二身份信息；第三请求包括第二身份信息；第二身份信息包括：终端在业务系统的账号和密码；验证模块用于，响应于第三请求，根据终端在业务系统的账号和密码，对终端进行身份验证，得到第二验证结果；第二验证结果用于指示第二身份信息是否通过验证；发送模块还用于，向基站发送第二验证结果。

第六方面，本申请提供一种业务访问装置，应用于核心网网元，核心网网元包括AMF网元、SMF网元以及UPF网元，该装置包括：接收模块、转发模块、生成模块以及发送模块。

接收模块用于，AMF网元接收基站发送的第二请求；第二请求用请求验证第一身份信息；第二请求包括第一身份信息；第一身份信息包括终端的专用DNN关键字段；转发模块用于，响应于第二请求，在第一身份信息指示终端通过AMF网元接入鉴权的情况下，AMF网元向SMF网元转发第二请求；生成模块用于，在终端的专用DNN关键字段指示终端需要进行AAA二次认证的情况下，SMF网元生成终端对应的MSISDN字段；发送模块用于，SMF网元通过UPF网元向基站发送终端对应的MSISDN字段。

一种可能的实现方式，接收模块还用于，SMF网元接收基站发送的业务系统的固定IP地址，并基于业务系统的固定IP地址为终端分配专用IP地址；发送模块还用于，SMF网元向基站发送终端的专用IP地址。

第七方面，本申请提供一种电子设备，该电子设备包括：处理器和存储器；存储器存储有处理器可执行的指令；处理器被配置为执行指令时，使得电子设备实现上述第一方面至第三方面的方法。

第八方面，本申请提供一种计算机可读存储介质，该计算机可读存储介质包括：计算机软件指令；当计算机软件指令在电子设备中运行时，使得电子设备实现上述第一方面至第三方面的方法。

第九方面，本申请提供一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述第一方面至第三方面描述的相关方法的步骤，以实现上述第一方面至第三方面的方法。

上述第二方面至第九方面的有益效果参考第一方面的对应描述，不再赘述。

附图说明

图1为本申请提供的一种终端访问业务系统示意图；

图2为本申请提供的一种业务访问方法的应用环境示意图；

图3为本申请提供的一种业务访问方法的流程示意图；

图4为本申请提供的另一种业务访问方法的流程示意图；

图5为本申请提供的又一种业务访问方法的流程示意图；

图6为本申请提供的又一种业务访问方法的流程示意图；

图7为本申请提供的又一种业务访问方法的流程示意图；

图8为本申请提供的一种组网架构示意图；

图9为本申请提供的另一种组网架构示意图；

图10为本申请提供的一种系统架构示意图；

图11为本申请提供的一种业务访问装置的组成示意图；

图12为本申请提供的另一种业务访问装置的组成示意图；

图13为本申请提供的又一种业务访问装置的组成示意图；

图14为本申请提供的一种电子设备的组成示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

需要说明的是，本申请实施例中，“示例性地”或者“例如”等词用于表示作例子、例证或说明。本申请实施例中被描述为“示例性地”或者“例如”的任何实施例或设计方案不应被解释为比其它实施例或设计方案更优选或更具优势。确切而言，使用“示例性地”或者“例如”等词旨在以具体方式呈现相关概念。

为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分，本领域技术人员可以理解“第一”、“第二”等字样并不是在对数量和执行次序进行限定。

针对办公地点不固定或出差人员访问企业业务系统的问题，相关技术中首先提出的解决方案为通过虚拟专用网络(virtual private network，VPN)技术实现终端远程访问业务系统，但是这种方法成本较高，操作不方便，在数据量大、连接数量多的情况下，远程访问速度较慢、易断联，并且，该方法是在公网上建立虚拟隧道，使得业务系统的数据暴露在公网上，无法保障业务系统的安全性。因此，相关技术人员提出通过上行分类器(uplinkclassifier，ULCL)、DNN、UE路由选择策略(UEroute selection policy，URSP)等技术代替VPN技术实现无感分流。

但是，针对无感分流实现远程访问的方式，如果对所有访问业务系统的终端不加管控、全部放通，则会导致非企业的员工也可以访问企业的业务系统，或者企业的任意一个员工可以访问业务系统中所有的区域以及使用所有操作，使得业务存在较大的安全隐患。因此，需要对访问业务系统的终端进行详细的访问权限控制，例如：生产系统仅允许生产班组一线人员访问，财务系统仅允许财务科室人员访问，后勤系统仅允许后勤保障人员访问等。并且，终端仅仅依赖于在业务系统的账号和密码进行接入认证，安全度不高，极易遭到窃取或暴力破解。因此，需要从网络层加强对访问业务系统的终端的身份安全认证。

如图1中(a)图5G专网仅作管道所示，如果在终端访问业务系统的过程中，5G专网仅作为网络通道，由业务系统实现对终端的二次认证、分权分域和溯源审计，则会导致业务系统部署复杂、不灵活，且管理维护成本高。因此，相关技术人员提出在网络侧实现对终端的二次认证、分权分域和溯源审计，如图1中(b)图5G专网实现金细化业务管控所示，在终端访问业务系统的过程中，将对终端业务的精细化管控(即二次认证、分权分域和溯源审计)上移至网络层，降低了业务系统的复杂度和管理维护成本，使得业务系统简单易管理。

综上所述，目前亟需一种在网络侧实现终端访问业务系统业务访问的方式，基于此，本申请实施例提供一种业务访问方法，该方法中，基站通过获取终端对应的访问权限，从而在接收到终端的访问请求后，在访问请求符合访问权限的情况下，转发访问请求至业务系统，以使得终端访问业务系统进行业务处理，在访问请求不符合访问权限的情况下，拦截访问请求。基站基于终端对应的访问权限对终端的访问请求进行筛选，仅允许终端访问其对应的访问权限内的区域或使用访问权限内的操作，从而提高了业务系统的安全性，避免了终端随意访问业务系统，导致业务系统信息泄露的问题。并且，本申请的业务访问方法通过基站在网络侧实现了对访问业务系统的终端的分权管控，降低了业务系统的复杂度和管理维护成本。

本申请提供的业务访问方法，可应用于如图2所示的应用环境中。如图2所示，该应用环境包括：基站201、终端202、业务系统203以及核心网网元204。其中，基站201分别与终端202、业务系统203以及核心网网元204相互连接。

在一些实施例中，基站201可以是演进型基站(evolution nodeB，eNB)、下一代基站(generation nodeB，gNB)、收发点(transmission receive point，TRP)、传输点(transmission point，TP)以及某种其它接入节点。根据所提供的服务覆盖区域的大小，基站又可分为用于提供宏蜂窝(Macro cell)的宏基站、用于提供微蜂窝(Pico cell)的微基站和用于提供毫微微15蜂窝(Femto cell)的毫微微基站。随着无线通信技术的不断演进，未来的基站也可以采用其他的名称。

在一些实施例中，终端202可以是一种具有无线收发功能的设备，例如手机、平板电脑、可穿戴设备、车载设备、增强现实(augmented reality，AR)/虚拟现实(virtualreality，VR)设备、笔记本电脑、超级移动个人计算机(ultra-mobile personal computer，UMPC)、上网本、个人数字助理(personal digital assistant，PDA)等。本申请实施例对终端202的具体设备形态不作限制。图1中以终端202为手机终端为例示出。

在一些实施例中，业务系统203可以是多个服务器组成的服务器集群、或者单个服务器、又或者计算机、又或者服务器或计算机中的处理器或处理芯片等。本申请实施例对业务系统203的具体设备形态不作限制。图1中以业务系统203为单个服务器为例示出。

在一些实施例中，核心网网元204可以是多个服务器组成的服务器集群、或者单个服务器、又或者计算机、又或者服务器或计算机中的处理器或处理芯片等。本申请实施例对核心网网元204的具体设备形态不作限制。图1中以核心网网元204为服务器为例示出。

在一些实施例中，基站201接收终端202的请求接入业务系统203的接入请求，基于接入请求，分别在业务系统203和核心网网元204对终端202的身份信息进行验证，在验证均通过的情况下，允许终端202接入业务系统203。并且，在终端202访问业务系统203的过程中，基站201还可以获取终端202对应的访问权限，在终端202的访问请求满足访问权限的情况下，允许终端202访问业务系统203，如果访问请求不满足访问权限，则基站201拦截终端202的访问请求。

图3为本申请实施例提供的一种业务访问方法的流程示意图。如图3所示，本申请提供的业务访问方法，可以通过上述基站、业务系统和核心网网元实现，具体包括以下步骤：

S301、基站获取终端对应的访问权限。

其中，访问权限用于指示业务系统中终端能够访问的区域以及能够使用的操作。

在一些实施例中，在终端访问业务系统之前，基站可以从业务系统中获取终端对应的访问权限，以便基于访问权限对终端的访问请求进行筛选。具体的，如图4所示，S301具体可以实现为如下S3011-S3013。

S3011、基站向业务系统发送第一请求，相应的，业务系统接收基站发送的第一请求。

其中，第一请求用于请求访问权限，第一请求包括终端的身份信息。

在一些实施例中，基站可以向业务系统发送请求终端对应的访问权限的第一请求，业务系统可以接受基站发送的第一请求。

S3012、业务系统响应于第一请求，根据终端的身份信息查询终端对应的访问权限。

在一些实施例中，业务系统接收基站发送的第一请求后，可以根据第一请求中携带的终端的身份信息查询终端对应的访问权限。

示例性的，业务系统可以将企业内的所有员工按照部门、职位等信息划分为多个不同的员工集合，针对多个不同的员工集合中的每个员工集合，根据员工集合中员工工作所需访问的区域和使用的操作，确定每个员工集合对应的访问控制策略。例如：不同部门的员工可以访问的区域和使用的操作不同，财务部门仅能访问财务区域的内容，采购部门仅能访问采购区域的内容等，不同职位的员工可以访问的区域和使用的操作也不同，管理层的员工可以访问的区域或使用的操作比普通员工更大更多。业务系统将员工集合和对应的访问控制策略存储在数据库中，其中，员工集合中包括每个员工的工号，业务系统可以根据工号确定该员工对应的员工集合。在业务系统接收基站发送的第一请求后，业务系统可以从第一请求的终端的身份信息中获取使用该终端的员工的工号，从而基于工号确定该工号对应的员工集合，进而从数据库中查询对应的访问控制策略，进而基于访问控制策略确定该终端对应的访问权限。

S3013、业务系统向基站发送访问权限，相应的，基站接收业务系统发送的访问权限。

在一些实施例中，业务系统得到终端对应的访问权限后，可以向基站发送该访问权限，基站接收访问权限，并将该访问权限与终端的身份信息绑定并存储，以便对终端的访问请求进行筛选。

S302、基站接收终端的访问请求。

在一些实施例中，在企业员工需要访问业务系统或者使用业务系统中的操作的情况下，企业员工可以通过终端向基站发送访问请求，以申请访问业务系统，基站可以接收终端发送的访问请求，以便判断访问请求是否符合终端对应的访问权限。

S303、在访问请求符合访问权限的情况下，基站转发访问请求至业务系统，相应的，业务系统接收基站转发的访问请求。

在一些实施例中，基站可以根据访问请求确定终端需要访问的区域或者需要使用的操作，并判断终端需要访问的区域或者需要使用的操作是否符合终端对应的访问权限，在访问请求符合访问权限的情况下，基站可以向业务系统转发终端的访问请求，业务系统接收基站转发的访问请求。

示例性的，基站接收终端的访问请求后，将该访问请求申请访问的区域或申请使用的操作与该终端对应的访问权限中的区域或操作进行比对，确定该访问请求申请访问的区域在访问权限的区域内或申请使用的操作在访问权限的操作中，例如：终端的访问请求为采购部门的员工通过终端发送的查询某月采购清单的请求，该访问请求符合该员工对应的访问权限。基站向业务系统转发该访问请求，业务系统接收基站转发的访问请求，以便基于访问请求执行对应的操作。

S304、业务系统响应于访问请求，执行访问请求对应的操作。

在一些实施例中，业务系统接收基站转发的访问请求后，可以直接执行访问请求中操作，例如：查询访问请求申请的内容并返回结果、执行访问请求中申请的操作等。

S305、在访问请求不符合访问权限的情况下，基站拦截访问请求。

在一些实施例中，基站检测到终端的访问请求中申请的访问区域或者使用操作不在该终端对应的访问权限中，可以拦截该终端的访问请求，并向终端返回无法访问的消息。

示例性的，基站可以采用如下方式中的至少一项拦截终端的访问请求：ACL、防火墙、NAT。

应理解，基站还可以根据终端对应的访问权限确定终端对应的权限配置，根据权限配置设置基站的ACL、防火墙以及NAT，在基站接收终端的访问请求后，基站的ACL、防火墙以及NAT分别对终端的访问请求进行判断筛选，在终端的访问请求通过基站的ACL、防火墙以及NAT筛选的情况下，基站向业务系统转发该访问请求，在终端的访问请求未通过筛选的情况下，基站拦截该访问请求。或者，基站在确定终端的权限配置后，可以将权限配置转换为转发层面的操作命令，并将该操作指令下发给转发面网关，转发面网关可以基于操作指令配置终端访问业务系统的黑白名单，在基站通过转发面网关向业务系统转发访问请求时，转发面网关基于黑白名单筛选访问请求，仅允许转发符合访问权限的访问请求。其中，转发面网关支持的功能包括：根据二层/三层地址定义黑白名单转发限制，查询终端的访问行为并记录，热点防代理私接，配置和连接通用路由封装(general routingencapsulation，GRE)隧道等。

上述实施例提供的技术方案至少带来以下有益效果，本申请实施例提供的业务访问方法，基站通过获取终端对应的访问权限，从而在接收到终端的访问请求后，在访问请求符合访问权限的情况下，转发访问请求至业务系统，以使得终端访问业务系统进行业务处理，在访问请求不符合访问权限的情况下，拦截访问请求。基站基于终端对应的访问权限对终端的访问请求进行筛选，仅允许终端访问其对应的访问权限内的区域或使用访问权限内的操作，从而提高了业务系统的安全性，避免了终端随意访问业务系统，导致业务系统信息泄露的问题。并且，本申请的业务访问方法通过基站在网络侧实现了对访问业务系统的终端的分权管控，降低了业务系统的复杂度和管理维护成本。

以下结合具体实施例与说明书附图对本申请实施例提供的业务访问方法进行详细说明。

如图5所示，本申请提供的数据传输方法具体可以包括以下步骤：

S501、基站接收终端的接入请求。

其中，接入请求用于请求接入业务系统，接入请求包括第一身份信息和第二身份信息，第一身份信息用于指示终端在核心网中的身份信息，第二身份信息用于指示终端在业务系统中的身份信息。

在一些实施例中，终端在访问业务系统之前，需要申请接入业务系统，在通过身份验证成功接入业务系统的情况下，终端才可以访问业务系统，因此，终端可以向基站发送请求接入业务系统的接入请求，相应的，基站接收终端的接入请求。

示例性的，企业员工可以通过终端扫描二维码、输入用户名/手机号或短信验证等方式发起申请接入业务系统的接入请求，接入请求中携带有终端的身份信息，例如：终端的身份标识、终端所在地理位置、使用终端的企业员工在业务系统的工号和密码等，基站接收终端的接入请求后，可以绑定接入请求中的身份信息或者存储该身份信息，以便该终端下次申请接入业务系统时，基站基于绑定或者存储的终端的身份信息，直接允许该终端接入业务系统进行访问，避免进行重复验证，影响企业员工的体验感。

S502、基站分别验证第一身份信息以及第二身份信息。

在一些实施例中，基站接收终端的接入请求后，可以根据终端在核心网网元进行身份验证和在业务系统进行身份验证所需的身份信息将接入请求携带的身份信息划分为第一身份信息和第二身份信息，其中，第一身份信息用于指示终端在核心网网元中的身份信息，第二身份信息用于指示终端在业务系统中的身份信息。基站可以分别基于第一身份信息以及第二身份信息对终端进行身份验证。

在一种可能的实现方式中，核心网网元包括AMF网元、SMF网元以及UPF网元，如图6所示，基站验证第一身份信息具体可以实现为如下：S601-S604。

S601、基站向核心网网元中的AMF网元发送第二请求，相应的，AMF网元接收基站发送的第二请求。

其中，第二请求用于请求验证第一身份信息，第二请求包括第一身份信息，第一身份信息包括终端的专用数据网络名称DNN关键字段。

在一些实施例中，基站需要通过核心网网元验证终端的第一身份信息，因此，基站可以向核心网网元中的AMF网元发送请求验证第一身份信息的第二请求，相应的，AMF网元接收基站发送的第二请求。

S602、AMF网元响应于第二请求，在第一身份信息指示终端通过AMF网元接入鉴权的情况下，向SMF网元转发第二请求。

在一些实施例中，AMF网元接收基站发送的第二请求后，可以基于第二请求中的第一身份信息对终端进行接入鉴权，在接入鉴权通过的情况下，AMF网元可以根据第一身份信息选择对应的SMF网元，并向该SMF网元转发第二请求。在接入鉴权未通过的情况下，AMF网元向基站发送拒绝访问的消息，基站可以向终端转发拒绝访问的消息。其中，接入鉴权为验证终端是否可以接入核心网网元。

S603、在终端的专用DNN关键字段指示终端需要进行AAA二次认证的情况下，SMF网元生成终端对应的MSISDN字段。

在一些实施例中，SMF网元接收AMF网元转发的第二请求后，在第一身份信息中的终端专用DNN关键字段指示所述终端需要进行AAA二次认证的情况下，SMF网元可以基于第一身份信息，生成终端对应的MSISDN字段。其中，终端的专用DNN关键字段包括：AAA验证开关AUTHAAASWITCH、第二身份验证SECONDAUTH等。MSISDN字段对应主叫号码Calling-station-ID字段，用于指示终端所属的归属位置寄存器全局码地址。

S604、SMF网元通过UPF网元向基站发送终端对应的MSISDN字段，相应的，基站接收SMF网元通过UPF网元发送的终端对应的MSISDN字段。

在一些实施例中，SMF网元生成终端对应的MSISDN字段后，可以通过SMF Radius透明代理(即UPF网元)向基站发送终端对应的MSISDN字段，相应的，基站接收SMF网元发送终端对应的MSISDN字段。

S605、基站根据终端对应的MSISDN字段，验证终端的身份信息，得到第一验证结果。

其中，第一验证结果用于指示第一身份信息是否通过验证。

在一些实施例中，基站接收AMF网元发送的终端对应的MSISDN字段后，可以基于终端对应的MSISDN字段查询终端对应的本地账号，从而基于本地账号验证终端的身份信息(即校验终端是否为合法用户)，得到第一验证结果。

应理解，基站在得到第一验证结果后，在第一验证结果指示第一身份信息通过验证的情况下，基站还可以向SMF网元发送业务系统的固定IP地址，以请求SMF网元为终端分配专用IP地址。因此，如图6所示，在步骤S605之后，本申请实施例提供业务访问方法，还包括如下步骤S606-S607：

S606、在第一验证结果用于指示第一身份信息通过验证的情况下，基站向SMF网元发送业务系统的固定IP地址，相应的，SMF网元接收基站发送的业务系统的固定IP地址，并基于业务系统的固定IP地址为终端分配专用IP地址。

在一些实施例中，在第一身份信息通过验证的情况下，基站可以从业务系统或者数据库中获取业务系统对应的固定IP地址(或者地址段)，并向SMF网元发送业务系统的固定IP地址，以便为终端申请访问业务系统的专用IP地址。相应的，SMF网元接收基站发送的业务系统的固定IP地址，并基业务系统的固定IP地址为终端分配专用IP地址(或记录后路由)，同时，SMF网元还可以建立终端到核心网网元的分组数据单元(packet data unit，PDU)会话承载通道，以便终端访问核心网网元。其中，PDU会话承载通道可用于终端在下一次申请接入业务系统时，基站无需对终端进行核心网网元的身份验证，从而终端可以直接基于PDU会话承载通道接入业务系统。

S607、SMF网元向基站发送终端的专用IP地址，相应的，基站接收SMF网元发送的终端的专用IP地址。

在一些实施例中，SMF网元生成终端的专用IP地址后，可以向基站发送该专用IP地址，相应的，基站接收SMF网元发送的终端的专用IP地址，并将该专用IP地址与终端的身份信息绑定并存储，以便该终端下次通过基站访问业务系统，基站可以直接基于专用IP地址允许终端访问业务系统。

在另一种可能的实现方式中，如图7所示，基站验证第二身份信息具体可以实现为如下：S701-S703。

S701、基站向业务系统发送第三请求，相应的，业务系统接收基站发送的第三请求。

其中，第三请求用于请求验证第二身份信息，第三请求包括第二身份信息，第二身份信息包括：终端在业务系统的账号和密码。

在一些实施例中，由于第二身份信息包括终端在业务系统的账号和密码，基站需要通过业务系统验证终端的第二身份信息，因此，基站可以向业务系统发送请求验证第二身份信息的第三请求，相应的，业务系统接收基站发送的第三请求。

S702、业务系统响应于第三请求，根据终端在业务系统的账号和密码，对终端进行身份验证，得到第二验证结果。

其中，第二验证结果用于指示第二身份信息是否通过验证。

在一些实施例中，业务系统接收第三请求后，可以根据第二身份信息中的终端在业务系统的账号和密码，在业务系统的统一身份认证模块进行登录验证，校验终端对应的账号和密码是否可以登录业务系统，得到第二验证结果。

应理解，业务系统可以基于终端在业务系统的账号和密码，校验终端是否可以登陆业务系统后，还可以根据第二身份信息在业务系统的统一身份认证模块获取终端对应的身份源和上网权限数据，从而，业务系统可以基于身份源和上网权限数据判断使用该终端的员工是否处于在职状态且身份正常，在使用该终端的员工处于在职状态且身份正常的情况下，业务系统允许该终端开通访问业务系统的5G专网业务，并向运营商业务支撑(business support system，BOOS)系统申请开通终端的访问业务，终端签约业务系统的5G专网服务，从而终端可以订购业务系统对应的定向流量包，开通访问业务系统的5G专网业务。

S703、业务系统向基站发送第二验证结果，相应的，基站接收业务系统发送的第二验证结果。

在一些实施例中，业务系统得到第二验证结果后，可以向基站发送第二验证结果，以便基站根据第二验证结果处理终端申请访问业务系统的访问请求，相应的，基站接收业务系统发送的第二验证结果。

S503、基站获取终端对应的访问权限。

其中，访问权限用于指示业务系统中终端能够访问的区域以及能够使用的操作。

S504、在第一身份信息以及第二身份信息均验证通过的情况下，基站接收终端的访问请求。

S505、在访问请求符合访问权限的情况下，基站转发访问请求至业务系统，相应的，业务系统接收基站转发的访问请求。

S506、业务系统响应于访问请求，执行访问请求对应的操作。

S507、在访问请求不符合访问权限的情况下，基站拦截访问请求。

上述步骤S503-S507的相关描述可以参考前述步骤S301-S305的描述，在此不再赘述。

应理解，由于基站只有在终端的第一身份信息以及第二身份信息均验证通过的情况下，才可以接收终端的访问请求，因此，基站可以在接收终端的接入请求并验证第一身份信息以及第二身份信息之前，获取终端的访问权限，也可以在接收终端的接入请求并验证第一身份信息以及第二身份信息之后，再获取终端的访问权限。因此，本申请实施例对步骤S503与步骤S501和S502的先后顺序不做限定，上述实施例描述中以步骤S501和S502在步骤S503之前作为一种实例示出。

另外，基站在向业务系统转发终端的访问请求之后，还可以在终端访问业务系统的过程中，获取终端的访问行为并存储，以便基于终端的访问行为对终端进行监管和审计。因此，如图5所示，在步骤S507之后，本申请实施例提供业务访问方法，还包括如下步骤S508：

S508、在终端访问业务系统的过程中，基站基于DPI技术获取终端的访问行为并存储。

其中，访问行为包括以下至少一项：访问的区域、访问时长、通信内容。

在一些实施例中，在终端访问业务系统的过程中，基站可以在转发面网关进行DPI技术智能分析，以实现精确记录终端的访问行为，从而可以基于终端的访问行为确定终端的访问区域、访问时间、访问时长以及通信内容等，并将终端的身份信息与访问请问绑定，存储在数据库中，以便监管部门对终端的访问行为进行监管和审计，确保业务系统的安全性。

应理解，根据上述实施例对本申请的业务访问方法的描述，可知本申请的业务访问方法主要包括签约准入和权域管控两部分。其中，签约准入为基础功能，用于实现开通终端访问业务系统、终端身份二次认证、IP地址分配、客户前置设备(customer premiseequipment，CPE)后路由管理等。权域管控为增值功能，用于实现终端的分权分域、溯源审计、热点防私接等。另外，现有技术中根据5G专网的部署形态，可以将5G专网划分为：5G虚拟专网和5G混合专网。5G虚拟专网中SMF网元、UPF网元等均为省级大网节点，为本省所有客户(即上述终端)共享。5G混合专网中UPF网元下沉至客户侧机房部署，为该客户专享。将5G专网部署形态与本申请的业务访问方法进行结合，可以得到两种主流的组网架构：

图8为本申请提供的一种组网架构示意图，该组网架构为5G虚拟专网+基础功能。如图8所示，在各省运营商移动边缘计算(mobile edge computing，MEC)或云池上部署签约准入基础功能，省级共享节点包括：SMF网元节点、UPF网元节点(即Radius透明代理)以及签约准入基础功能。多个客户(例如：客户1、客户2…客户n)通过不同的专用DNN(例如：专用DNN1、专用DNN2…专用DNNn)进行逻辑隔离。签约准入基础功能只需旁挂在链路中，不对客户数据流量做任何操作。

图9为本申请提供的另一种组网架构示意图，该组网架构为5G混合专网+基础功能+增值功能。如图9所示，省级共享节点包括：SMF网元，下沉专享节点包括：签约准入基础功能、权域管控增值功能以及专享UPF网元节点(即Radius透明代理)，将签约准入基础功能、权域管控增值功能，与专享UPF网元一起下沉至客户本地MEC、服务器或私有云部署，多个客户(例如：客户1、客户2…客户n)之间实现物理隔离。专享UPF网元通过不同的专用DNN(例如：专用DNN1、专用DNN2…专用DNNn)与SMF网元连接。权域管控增值功能需串接在链路中，对客户数据流量做放通、切断等操作。

上述实施例提供的技术方案至少带来以下有益效果，本申请实施例提供的业务访问方法，基站通过获取终端对应的访问权限，从而在接收到终端的访问请求时，在访问请求符合访问权限的情况下，转发访问请求至业务系统，以使得终端访问业务系统进行业务处理，在访问请求不符合访问权限的情况下，拦截访问请求。基站基于终端对应的访问权限对终端的访问请求进行筛选，仅允许终端访问其对应的访问权限内的区域或使用访问权限内的操作，从而提高了业务系统的安全性，避免了终端随意访问业务系统，导致业务系统信息泄露的问题。并且，本申请的业务访问方法通过基站在网络侧实现了对访问业务系统的终端的分权管控，降低了业务系统的复杂度和管理维护成本。

进一步的，基站还可以基于终端的接入请求，分别验证终端的第一身份信息和第二身份信息，在第一身份信息和第二身份信息均通过身份验证的情况下，基站才可以接收终端的访问请求，使得每个访问业务系统的终端都需通过身份验证，从网络层侧加强了对访问业务系统的终端的安全认证，提高了业务系统的安全性。在终端访问业务系统的过程中，基站还可以基于DPI技术获取终端的访问行为并存储，以便基于访问行为对终端进行监管和审计。另外，本申请的业务访问方法还可以与5G专网部署形态结合，得到两种不同的组网架构，可以满足不同终端和业务系统的需求，具有实际应用价值，并且实现了对业务系统的精细化管控。

图10为本申请实施例提供的一种系统架构示意图，如图10所示，本申请的业务访问装置包括：服务层1001、业务层1002和接口层1003。

其中，服务层1001包括：前端显示10011和应用程序编程(applicationprogramming interface，API)接口开放10012。业务层1002包括：系统管理10021、签约模块10022、准入模块10023、权域模块10024以及转发模块10025。系统管理10021用于告警管理、日志管理、系统监控、业务运营以及用户管理，可应用于上述步骤S508。签约模块10022用于业务办理、业务申请、业务审批以及业务诊断，可应用于上述步骤S501-S502。准入模块10023用于认证管理、授权管理、计费管理、策略管理、授权用户数据管理以及Radius协议栈，可应用于上述步骤S501-S502。权域模块10024用于用户分析、流量分析、分权分域以及溯源审计，可应用于上述步骤S503-S507。转发模块10025用于转发设备管理、转发系统配置以及转发系统告警，可应用于上述业务访问方法中基站与业务系统交互的过程中。接口层1003包括：企业系统对接10031、运营商系统对接10032以及转发系统对接10033。其中，企业系统对接10031与周边系统中的企业统一身份认证系统(相当于上述业务系统)连接。运营商系统对接10032与周边系统中的运营商BOOS系统连接。转发系统对接10033与周边系统中的转发网关系统连接。

在示例性的实施例中，本申请还提供一种业务访问装置。该业务访问装置可以包括一个或多个功能模块，用于实现以上方法实施例的业务访问方法。

例如，图11为本申请实施例提供的一种业务访问装置的组成示意图。如图11所示，该业务访问装置包括：获取模块1101、接收模块1102、转发模块1103以及拦截模块1104。

获取模块1101用于，获取终端对应的访问权限，访问权限用于指示业务系统中终端能够访问的区域以及能够使用的操作。接收模块1102用于，接收终端的访问请求。转发模块1103用于，在访问请求符合访问权限的情况下，转发访问请求至业务系统。拦截模块1104用于，在访问请求不符合访问权限的情况下，拦截访问请求。

在一些实施例中，拦截模块1104具体用于，采用如下至少一项拦截访问请求：ACL、防火墙、NAT。

在另一些实施例中，获取模块1101具体用于，向业务系统发送第一请求，第一请求用于请求访问权限，第一请求包括终端的身份信息，接收业务系统发送的访问权限。

在又一些实施例中，获取模块1101还用于，在终端访问业务系统的过程中，基于DPI技术获取终端的访问行为并存储，访问行为包括以下至少一项：访问的区域、访问时长、通信内容。

在又一些实施例中，装置还包括：验证模块1105，接收模块1102还用于，接收终端的接入请求，接入请求用于请求接入业务系统，接入请求包括第一身份信息和第二身份信息，第一身份信息用于指示终端在核心网中的身份信息，第二身份信息用于指示终端在业务系统中的身份信息。验证模块1105用于，分别验证第一身份信息以及第二身份信息。接收模块1102具体用于，在第一身份信息以及第二身份信息均验证通过的情况下，接收终端的访问请求。

在又一些实施例中，验证模块1105具体用于，向AMF网元发送第二请求；第二请求用于请求验证第一身份信息；第二请求包括第一身份信息；接收SMF网元通过UPF网元发送的终端对应的MSISDN字段；根据终端对应的MSISDN字段，验证终端的身份信息，得到第一验证结果；第一验证结果用于指示第一身份信息是否通过验证。

又一种可能的实现方式，装置还包括：发送模块1106，发送模块1106用于，在第一验证结果用于指示第一身份信息通过验证的情况下，向SMF网元发送业务系统的固定IP地址。接收模块1102还用于，接收SMF网元发送的终端的专用IP地址。

在又一些实施例中，验证模块1105具体用于，向业务系统发送第三请求，第三请求用于请求验证第二身份信息，第三请求包括第二身份信息。接收业务系统发送的第二验证结果，第二验证结果用于指示第二身份信息是否通过验证。

例如，图12为本申请实施例提供的另一种业务访问装置的组成示意图。如图12所示，该业务访问装置包括：接收模块1201和执行模块1202。

接收模块1201用于，接收基站转发的访问请求。执行模块1202用于，响应于访问请求，执行访问请求对应的操作。

在一些实施例中，装置还包括：查询模块1203和发送模块1204，接收模块1201还用于，接收基站发送的第一请求，第一请求用于请求访问权限，第一请求包括终端的身份信息。查询模块1203用于，响应于第一请求，根据终端的身份信息查询终端对应的访问权限。发送模块1204用于，向基站发送访问权限。

在另一些实施例中，装置还包括：验证模块1205，接收模块1201还用于，接收基站发送的第三请求，第三请求用于请求验证第二身份信息，第三请求包括第二身份信息，第二身份信息包括：终端在业务系统的账号和密码。验证模块1205用于，响应于第三请求，根据终端在业务系统的账号和密码，对终端进行身份验证，得到第二验证结果，第二验证结果用于指示第二身份信息是否通过验证。发送模块1204还用于，向基站发送第二验证结果。

例如，图13为本申请实施例提供的又一种业务访问装置的组成示意图。如图13所示，该业务访问装置包括：接收模块1301、转发模块1302、生成模块1303以及发送模块1304。

接收模块1301用于，AMF网元接收基站发送的第二请求，第二请求用请求验证第一身份信息，第二请求包括第一身份信息，第一身份信息包括终端的专用DNN关键字段。转发模块1302用于，响应于第二请求，在第一身份信息指示终端通过AMF网元接入鉴权的情况下，AMF网元向SMF网元转发第二请求。生成模块1303用于，在终端的专用DNN关键字段指示终端需要进行AAA二次认证的情况下，SMF网元生成终端对应的MSISDN字段。发送模块1304用于，SMF网元通过UPF网元向基站发送终端对应的MSISDN字段。

在一些实施例中，接收模块1301还用于，SMF网元接收基站发送的业务系统的固定IP地址，并基于业务系统的固定IP地址为终端分配专用IP地址。发送模块1304还用于，SMF网元向基站发送终端的专用IP地址。

在示例性的实施例中，本申请实施例还提供了一种电子设备，该电子设备可以是上述方法实施例中的业务访问装置。图14为本申请实施例提供的一种电子设备的组成示意图。如图14所示，该电子设备可以包括：处理器1401和存储器1402；存储器1402存储有处理器1401可执行的指令；处理器1401被配置为执行指令时，使得电子设备或网络设备或管理器实现如前述方法实施例中描述的方法。

在示例性的实施例中，本申请实施例还提供一种计算机可读存储介质，其上存储有计算机程序指令；当计算机程序指令被计算机执行时，使得计算机实现如前述实施例中描述的方法。计算机可读存储介质可以是非临时性计算机可读存储介质，例如，非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。

在示例性的实施例中，本申请实施例还提供了一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述相关方法步骤，以实现上述实施例中的业务访问方法。

以上，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何在本申请揭露的技术范围内的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应该以权利要求的保护范围为准。

Claims (18)

1.一种业务访问方法，其特征在于，应用于基站，所述基站分别与终端和业务系统连接，所述业务系统为所述终端需要进行业务访问的系统；所述方法包括：

获取所述终端对应的访问权限；所述访问权限用于指示所述业务系统中所述终端能够访问的区域以及能够使用的操作；

接收所述终端的访问请求；

在所述访问请求符合所述访问权限的情况下，转发所述访问请求至所述业务系统；

在所述访问请求不符合所述访问权限的情况下，拦截所述访问请求。

2.根据权利要求1所述的方法，其特征在于，所述拦截所述访问请求，包括：

采用如下至少一项拦截所述访问请求：

访问控制列表ACL、防火墙、网络地址转换NAT。

3.根据权利要求1所述的方法，其特征在于，所述获取所述终端对应的访问权限，包括：

向所述业务系统发送第一请求；所述第一请求用于请求所述访问权限；所述第一请求包括所述终端的身份信息；

接收所述业务系统发送的所述访问权限。

4.根据权利要求1所述的方法，其特征在于，所述方法还包括：

在所述终端访问所述业务系统的过程中，基于深度包检测DPI技术获取所述终端的访问行为并存储；所述访问行为包括以下至少一项：访问的区域、访问时长、通信内容。

5.根据权利要求1所述的方法，其特征在于，在接收所述终端的访问请求之前，所述方法还包括：

接收所述终端的接入请求；所述接入请求用于请求接入所述业务系统；所述接入请求包括第一身份信息和第二身份信息；所述第一身份信息用于指示所述终端在核心网中的身份信息；所述第二身份信息用于指示所述终端在所述业务系统中的身份信息；

分别验证所述第一身份信息以及所述第二身份信息；

所述接收所述终端的访问请求，包括：

在所述第一身份信息以及所述第二身份信息均验证通过的情况下，接收所述终端的访问请求。

6.根据权利要求5所述的方法，其特征在于，所述验证所述第一身份信息，包括：

向接入和移动性管理功能AMF网元发送第二请求；所述第二请求用于请求验证所述第一身份信息；所述第二请求包括所述第一身份信息；

接收会话管理功能SMF网元通过用户面功能UPF网元发送的所述终端对应的移动台国际综合业务数字网号码MSISDN字段；

根据所述终端对应的MSISDN字段，验证所述终端的身份信息，得到第一验证结果；所述第一验证结果用于指示所述第一身份信息是否通过验证。

7.根据权利要求6所述的方法，其特征在于，所述方法还包括：

在所述第一验证结果用于指示所述第一身份信息通过验证的情况下，向所述SMF网元发送所述业务系统的固定网络之间互连的协议IP地址；

接收所述SMF网元发送的所述终端的专用IP地址。

8.根据权利要求5所述的方法，其特征在于，所述验证所述第二身份信息，包括：

向所述业务系统发送第三请求；所述第三请求用于请求验证所述第二身份信息；所述第三请求包括所述第二身份信息；

接收所述业务系统发送的第二验证结果；所述第二验证结果用于指示所述第二身份信息是否通过验证。

9.一种业务访问方法，其特征在于，应用于业务系统，所述业务系统与基站连接；所述方法包括：

接收所述基站转发的访问请求；

响应于所述访问请求，执行所述访问请求对应的操作。

10.根据权利要求9所述的方法，其特征在在于，所述方法还包括：

接收所述基站发送的第一请求；所述第一请求用于请求访问权限；所述第一请求包括终端的身份信息；

响应于所述第一请求，根据所述终端的身份信息查询所述终端对应的访问权限；

向所述基站发送所述访问权限。

11.根据权利要求9所述的方法，其特征在在于，所述方法还包括：

接收所述基站发送的第三请求；所述第三请求用于请求验证第二身份信息；所述第三请求包括所述第二身份信息；所述第二身份信息包括：所述终端在所述业务系统的账号和密码；

响应于所述第三请求，根据所述终端在所述业务系统的账号和密码，对所述终端进行身份验证，得到第二验证结果；所述第二验证结果用于指示所述第二身份信息是否通过验证；

向所述基站发送所述第二验证结果。

12.一种业务访问方法，其特征在于，应用于核心网网元，所述核心网网元包括AMF网元、SMF网元以及UPF网元，所述方法包括：

所述AMF网元接收基站发送的第二请求；所述第二请求用请求验证第一身份信息；所述第二请求包括第一身份信息；所述第一身份信息包括所述终端的专用数据网络名称DNN关键字段；

响应于所述第二请求，在所述第一身份信息指示所述终端通过所述AMF网元接入鉴权的情况下，所述AMF网元向所述SMF网元转发所述第二请求；

在所述终端的专用DNN关键字段指示所述终端需要进行验证、授权和帐户AAA二次认证的情况下，所述SMF网元生成所述终端对应的MSISDN字段；

所述SMF网元通过所述UPF网元向所述基站发送所述终端对应的MSISDN字段。

13.根据权利要求12所述的方法，其特征在于，所述方法还包括：

所述SMF网元接收所述基站发送的业务系统的固定IP地址，并基于所述业务系统的固定IP地址为所述终端分配专用IP地址；

所述SMF网元向所述基站发送所述终端的专用IP地址。

14.一种业务访问装置，其特征在于，应用于基站，所述基站分别与终端和业务系统连接，所述业务系统为所述终端需要进行业务访问的系统，所述装置包括：获取模块、接收模块、转发模块以及拦截模块；

所述获取模块用于，获取所述终端对应的访问权限；所述访问权限用于指示所述业务系统中所述终端能够访问的区域以及能够使用的操作；

所述接收模块用于，接收所述终端的访问请求；

所述转发模块用于，在所述访问请求符合所述访问权限的情况下，转发所述访问请求至所述业务系统；

所述拦截模块用于，在所述访问请求不符合所述访问权限的情况下，拦截所述访问请求。

15.一种业务访问装置，其特征在于，应用于业务系统，所述业务系统与基站连接，所述装置包括：接收模块和执行模块；

所述接收模块用于，接收所述基站转发的访问请求；

所述执行模块用于，响应于所述访问请求，执行所述访问请求对应的操作。

16.一种业务访问装置，其特征在于，应用于核心网网元，所述核心网网元包括AMF网元、SMF网元以及UPF网元，所述装置包括：接收模块、转发模块、生成模块以及发送模块；

所述接收模块用于，所述AMF网元接收基站发送的第二请求；所述第二请求用请求验证第一身份信息；所述第二请求包括第一身份信息；所述第一身份信息包括所述终端的专用DNN关键字段；

所述转发模块用于，响应于所述第二请求，在所述第一身份信息指示所述终端通过所述AMF网元接入鉴权的情况下，所述AMF网元向所述SMF网元转发所述第二请求；

所述生成模块用于，在所述终端的专用DNN关键字段指示所述终端需要进行AAA二次认证的情况下，所述SMF网元生成所述终端对应的MSISDN字段；

所述发送模块用于，所述SMF网元通过所述UPF网元向所述基站发送所述终端对应的MSISDN字段。

17.一种电子设备，其特征在于，所述电子设备包括：处理器和存储器；

所述存储器存储有所述处理器可执行的指令；

所述处理器被配置为执行所述指令时，使得所述电子设备实现如权利要求1-13任一项所述的方法。

18.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质包括：计算机软件指令；

当所述计算机软件指令的电子设备中运行时，使得所述电子设备实现如权利要求1-13任一项所述的方法。