CN116017454A - 基于业务访问的认证方法、装置、设备及存储介质 - Google Patents

Abstract

本申请实施例提供一种基于业务访问的认证方法、装置、设备及存储介质，应用于用户面功能网元，该方法包括：接收用户终端的业务访问请求，业务访问请求包括用户终端访问的内网服务器的目标地址；根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证；若需要发起访问控制授权认证，则将业务认证请求发送给边缘云上部署的业务访问控制网元，以使业务访问控制网元获取用户终端的认证信息，并基于认证信息向内网服务器对应的认证服务器进行认证；接收业务访问控制网元发送的认证结果，若认证结果指示认证通过，则解除用户终端对内网服务器的访问控制。这样可以实现对用户终端不同数据流量的访问控制权限管理。

Description

基于业务访问的认证方法、装置、设备及存储介质

技术领域

本申请实施例涉及通信技术领域，尤其涉及一种基于业务访问的认证方法、装置、设备及存储介质。

背景技术

在5G标准业务流程中，用户终端(user terminal，UE)在接入5G网络时，网络侧通过鉴权功能获取鉴权参数并对用户身份进行验证。用户终端在访问企业内网时，企业内网对用户终端的网络访问权限有二次认证需求，避免外来人员接入企业内网，核心数据泄密。

一些实现中，5G核心网采用控制面和用户面分离架构，主要采用5G核心网控制面的会话管理功能(session management function，SMF)网元与企业侧的认证服务器对接实现二次认证流程。

然而，通过核心网控制面的SMF网元来进行二次认证流程，无法适用5G网络中基于数据流量的访问控制。

发明内容

本申请实施例提供一种基于业务访问的认证方法、装置、设备及存储介质，以解决现有二次认证无法适用5G网络中基于数据流量的访问控制的问题。

第一方面，本申请实施例提供一种基于业务访问的认证方法，应用于用户面功能网元，方法包括：接收用户终端的业务访问请求，业务访问请求包括用户终端访问的内网服务器的目标地址；根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证，目标地址列表存储有需要访问控制的内网服务器的IP地址；若需要发起访问控制授权认证，则将业务认证请求发送给边缘云上部署的业务访问控制网元，以使业务访问控制网元获取用户终端的认证信息，并基于认证信息向内网服务器对应的认证服务器进行认证；接收业务访问控制网元发送的认证结果，若认证结果指示认证通过，则解除用户终端对目标地址对应的内网服务器的访问控制。

在一种可能的实现方式中，业务访问请求中还包括用户终端的标识，根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证之前，方法还包括：

判断用户终端的标识是否在访问控制用户列表中，访问控制用户列表中存储有解除访问限制的白名单和禁止访问的黑名单，白名单中存储有用户终端的标识和对应的允许访问的IP地址，黑名单中存储有用户终端的标识和对应的访问受限的IP地址；若否，则确定执行根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证的步骤。

在一种可能的实现方式中，方法还包括：若认证结果指示认证通过，则将用户终端的标识和目标地址加入至白名单中；若认证结果指示认证不通过，则将用户终端的标识和目标地址加入至黑名单中。

在一种可能的实现方式中，若不需要发起访问控制授权认证，方法还包括：确定业务访问请求为互联网访问请求，并将业务访问请求转发至其它用户面功能网元，以使其它用户面功能网元完成业务访问。

第二方面，本申请实施例提供一种基于业务访问的认证方法，应用于业务访问控制网元，业务访问控制网元部署在边缘云上，方法包括：接收用户面功能网元发送的业务认证请求，业务认证请求中包括用户终端的标识；根据用户终端的标识与用户终端进行交互，获取用户终端发送的认证信息，并根据认证信息确定认证服务器的IP地址；根据认证服务器的IP地址，将认证信息发送至认证服务器，以使认证服务器对认证信息进行认证；获取认证服务器发送的认证结果，并通过边缘云中的MP1接口调用移动边缘平台的MP2接口向用户面功能网元发送认证响应，认证响应用于指示认证结果。

在一种可能的实现方式中，在接收用户面功能网元发送的业务认证请求之前，方法还包括：获取认证服务器发送的内网信息，内网信息包括需要进行授权认证的内网服务器的IP地址；通过MP1接口调用移动边缘平台的MP2接口向用户面功能网元发送目标地址列表，目标地址列表包括内网服务器的IP地址。

第三方面，本申请实施例提供一种基于业务访问的认证装置，包括第一接收模块，确定模块，第一发送模块和第一处理模块，其中，

第一接收模块，用于接收用户终端的业务访问请求，业务访问请求包括用户终端访问的内网服务器的目标地址；

确定模块，用于根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证，目标地址列表存储有需要访问控制的内网服务器的IP地址；

第一发送模块，用于若需要发起访问控制授权认证，则将业务认证请求发送给边缘云上部署的业务访问控制网元，以使业务访问控制网元获取用户终端的认证信息，并基于认证信息向内网服务器对应的认证服务器进行认证；

第一处理模块，用于接收业务访问控制网元发送的认证结果，若认证结果指示认证通过，则解除用户终端对目标地址对应的内网服务器的访问控制。

在一种可能的实现方式中，业务访问请求中还包括用户终端的标识，确定模块502，具体用于：

判断用户终端的标识是否在访问控制用户列表中，访问控制用户列表中存储有解除访问限制的白名单和禁止访问的黑名单，白名单中存储有用户终端的标识和对应的允许访问的IP地址，黑名单中存储有用户终端的标识和对应的访问受限的IP地址；

若否，则确定执行根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证的步骤。

在一种可能的实现方式中，装置还包括：

添加模块，用于若认证结果指示认证通过，则将用户终端的标识和目标地址加入至白名单中；若认证结果指示认证不通过，则将用户终端的标识和目标地址加入至黑名单中。

在一种可能的实现方式中，若不需要发起访问控制授权认证，装置还包括：

转发模块，用于确定业务访问请求为互联网访问请求，并将业务访问请求转发至其它用户面功能网元，以使其它用户面功能网元完成业务访问。

第四方面，本申请实施例提供一种基于业务访问的认证装置，包括：第二接收模块，获取模块，第二发送模块和第二处理模块，其中，

第二接收模块，用于接收用户面功能网元发送的业务认证请求，业务认证请求中包括用户终端的标识；

获取模块，用于根据用户终端的标识与用户终端进行交互，获取用户终端发送的认证信息，并根据认证信息确定认证服务器的IP地址；

第二发送模块，用于根据认证服务器的IP地址，将认证信息发送至认证服务器，以使认证服务器对认证信息进行认证；

第二处理模块，用于获取认证服务器发送的认证响应，则通过边缘云中的MP1接口调用移动边缘平台的MP2接口向用户面功能网元发送认证响应，认证响应用于指示认证结果。

可选的，装置还包括：

第一获取模块，用于获取认证服务器发送的内网信息，内网信息包括需要进行授权认证的内网服务器的IP地址；

第三发送模块，用于通过MP1接口调用移动边缘平台的MP2接口向用户面功能网元发送目标地址列表，目标地址列表包括内网服务器的IP地址。

第五方面，本申请实施例提供一种基于业务访问的认证***，包括：用户面功能网元和部署在边缘云上的业务访问控制网元，其中，

用户面功能网元用于执行如第一方面或第一方面的任一种实现方式中描述的方法；

业务访问控制网元用于执行如第二方面或第二方面的任一种实现方式中描述的方法。

第六方面，本申请实施例提供一种电子设备，包括：至少一个处理器和存储器；

存储器存储计算机执行指令；

至少一个处理器执行存储器存储的计算机执行指令，使得至少一个处理器执行如第一方面或第一方面的任一种实现方式中描述的方法，或执行如第二方面或第二方面的任一种实现方式中描述的方法。

第七方面，本申请实施例提供一种计算机可读存储介质，计算机可读存储介质中存储有计算机执行指令，当处理器执行计算机执行指令时，实现如第一方面或第一方面的任一种实现方式中描述的方法，或执行如第二方面或第二方面的任一种实现方式中描述的方法。

第八方面，本申请实施例提供一种计算机程序产品，包括计算机程序，计算机程序被处理器执行时实现如第一方面或第一方面的任一种实现方式中描述的方法，或执行如第二方面或第二方面的任一种实现方式中描述的方法。

本申请实施例中，基于5G核心网+MEC边缘云的网络形态，通过UPF来判断用户终端的业务访问请求是否需要发起访问控制授权认证，并通过业务访问控制网元以及MP2接口实现终端数据业务访问控制授权认证，从而实现对用户终端不同目标地址的业务访问请求的访问控制权限管理，以保障内网服务器的业务数据安全接入。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本申请的实施例，并与说明书一起用于解释本申请实施例的原理。

图1为一种5G核心网二次认证网络架构示意图；

图2为本申请实施例提供的一种基于业务访问的认证***架构示意图；

图3为本申请实施例提供的一种基于业务访问的认证方法的流程示意图；

图4为本申请实施例提供的另一种基于业务访问的认证方法的流程示意图；

图5为本申请实施例提供的一种基于业务访问的认证装置一的结构示意图；

图6为本申请实施例提供的一种基于业务访问的认证装置二的结构示意图；

图7为本申请实施例提供的一种电子设备的结构示意图。

通过上述附图，已示出本申请明确的实施例，后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围，而是通过参考特定实施例为本领域技术人员说明本申请的概念。

具体实施方式

为了便于清楚描述本申请实施例的技术方案，以下，对本申请实施例中所涉及的部分术语和技术进行简单介绍：

在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。例如，第一芯片和第二芯片仅仅是为了区分不同的芯片，并不对其先后顺序进行限定。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

需要说明的是，本申请实施例中，“示例性的”或者“例如”等词用于表示作例子、例证或说明。本申请中被描述为“示例性的”或者“例如”的任何实施例或设计方案不应被解释为比其他实施例或设计方案更优选或更具优势。确切而言，使用“示例性的”或者“例如”等词旨在以具体方式呈现相关概念。

本申请实施例中，“至少一个”是指一个或者多个，“多个”是指两个或两个以上。“和/或”，描述关联对象的关联关系，表示可以存在三种关系，例如，A和/或B，可以表示：单独存在A，同时存在A和B，单独存在B的情况，其中A，B可以是单数或者复数。字符“/”一般表示前后关联对象是一种“或”的关系。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a--c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。

需要说明的是，本申请所涉及的用户信息(包括但不限于用户设备信息、用户个人信息等)和数据(包括但不限于用于分析的数据、存储的数据、展示的数据等)，均为经用户授权或者经过各方充分授权的信息和数据，并且相关数据的收集、使用和处理需要遵守相关国家和地区的相关法律法规和标准，并提供有相应的操作入口，供用户选择授权或者拒绝。

在5G标准业务流程中，用户终端(user terminal，UE)在接入5G网络时，网络侧通过鉴权功能获取鉴权参数并对用户身份进行验证。用户终端在访问企业内网时，企业内网对用户终端的网络访问权限有二次认证需求，避免外来人员接入企业内网，核心数据泄密。

一些实现中，5G核心网采用控制面和用户面分离架构，主要在协议数据单元(protocol data unit，PDU)会话建立过程中采用5G核心网控制面的会话管理功能(session management function，SMF)网元与企业侧的认证服务器对接实现二次认证流程。用户终端通过5GC***接入企业网络主要采用远程用户拨号认证服务(remoteauthentication dial in user service，Radius)鉴权接入，5G核心网***支持密码认证协议(password authentication protocol，PAP)和挑战握手验证协议(challengehandshake authentication protocol，CHAP)两种Radius鉴权方式。

示例性的，图1示出了一种5G核心网二次认证网络架构示意图。如图1所示，该架构包括：用户终端UE、运营商网络以及企业内网。其中，运营商网络包括无线接入网(radioaccess network，RAN)、接入和移动性管理功能(access and mobility managementfunction，AMF)网元、会话管理功能(session management function，SMF)网元、用户面功能(user plane function，UPF)网元；企业内网包括鉴权、授权与计费服务器(authentication authorization accounting server，AAA server)和数据网络(datanetwork，DN)。

UE发起PDU会话请求，PDU会话请求可以包括UE的认证信息和数据网络标识(datanetwork name，DNN)信息，认证信息可以包括用户名和密码。UE通过RAN以及AMF网元将PDU会话请求发送到SMF网元。其中，PDU会话可以是UE与DN之间进行通讯的过程，PDU会话建立后，也就是建立了一条UE和DN之间的数据传输通道。

SMF网元根据DNN信息判断UE是否需要二次认证，若需要，则SMF网元将UE的认证信息转发给AAA server，AAA server对UE的认证信息进行验证，并将认证和授权结果返回给SMF网元，SMF网元根据认证和授权结果，确定是否创建PDU会话。具体地，当认证和授权结果为通过时，更新UPF网元以建立UPF网元到RAN的隧道，UE的数据可以通过该隧道到达UPF以连接到DN，PDU会话建立成功；当认证和授权结果为不通过时，PDU会话建立失败。

基于上述介绍可以确定的是，上述认证方式是在PDU会话创建的过程中通过核心网控制面的SMF网元来进行二次认证流程，如果认证成功，则PDU会话创建成功，用户终端可以顺利进行数据访问；如果认证失败，则PDU会话创建失败，用户终端无法发起任何访问。可见，上述认证方式仅实现了对用户终端的准入控制，无法适用5G网络中基于数据流量的访问控制，在5G业务多样化发展的情况下，上述认证方式已经不能满足业务的需求。

有鉴于此，本申请实施例提供一种基于业务访问的认证方法，在PDU会话建立成功后，基于5G核心网+移动边缘计算(mobile edge computing，MEC)边缘云的网络形态，通过UPF与MP2接口实现终端数据业务访问控制授权认证，实现对用户终端不同数据流量的访问控制权限管理，保障企业网络的业务数据安全接入。

下面通过具体的实施例对本申请实施例的技术方案进行详细说明。下面的实施例可以相互结合或独立实施，对于相同或相似的概念或过程可能在某些实施例中不再赘述。

示例性的，图2示出了本申请实施例提供的一种基于业务访问的认证***架构示意图。如图2所示，该***架构可以包括用户终端UE、RAN、UPF1网元、UPF2网元、MEC边缘云和企业网服务器。其中，MEC边缘云中可以包括移动边缘平台(mobile edge platform，MEP)和业务访问控制网元；企业网服务器可以包括认证服务器和DN。

其中，用户终端UE又可称为终端设备、终端、移动台(mobile station，MS)、移动终端(mobile terminal，MT)等，是一种向用户提供语音或数据连通性的设备，也可以是物联网设备。例如，UE包括具有无线连接功能的手持式设备、车载设备等。目前，UE可以是：手机(mobile phone)、平板电脑、笔记本电脑、掌上电脑、移动互联网设备(mobile internetdevice，MID)、可穿戴设备(例如智能手表、智能手环、计步器等)，车辆、车载设备(例如，汽车、自行车、电动车、飞机、船舶、火车、高铁等)、虚拟现实(virtual reality，VR)设备、增强现实(augmented reality，AR)设备、工业控制(industrial control)中的无线终端、智能家居设备(例如，冰箱、电视、空调、电表等)、智能机器人、车间设备、无人驾驶(selfdriving)中的无线终端、远程手术(remote medical surgery)中的无线终端、智能电网(smart grid)中的无线终端、运输安全(transportation safety)中的无线终端、智慧城市(smart city)中的无线终端，或智慧家庭(smart home)中的无线终端、飞行设备(例如，智能机器人、热气球、无人机、飞机)等。

RAN是为UE提供无线接入的设备，包括但不限于演进型基站(evolved NodeB，eNodeB)、无线网(wifi)接入点(access point，AP)、全球微波接入互操作性(worldinteroperability for microwave access，WiMAX)、基站(base station，BS)等。

UPF1网元和UPF2网元主要负责对用户报文进行处理，如转发、计费等。在一种可能的实现中，UPF1网元还可以用于确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证，当确定不需要向内网服务器对应的认证服务器发起访问控制授权认证时，可以直接转发用户面报文，例如图2中，访问互联网的用户报文不需要发起访问控制授权认证，则此时UPF1网元可以将访问互联网的用户报文转发到UPF2网元，UPF2网元再转发访问互联网的用户报文到互联网。可选的，UPF1网元也可以直接将访问互联网的用户报文转发到互联网而不经过UPF2网元。可以理解的是，图2中的互联网也可以是其他不需要进行访问控制授权认证的网络、应用、服务器等，并不仅限于互联网。

MEC边缘云可以是基于5G演进架构，将无线网络和互联网深度融合的一种技术，通过在无线网络侧增加计算、存储、处理等功能，构建了开放式平台以植入应用，并通过无线应用编程接口(Application Programming Interface，API)实现无线网络与业务服务器之间的信息交互，对无线网络与业务进行融合。面向业务层面(物联网、视频、医疗、零售等)，MEC边缘云可向行业提供定制化、差异化服务，进而提升网络利用效率和增值价值。

业务访问控制网元部署在MEC边缘云中，业务访问控制网元可以用于与UE进行认证交互，得到UE的认证信息。业务访问控制网元还可以用于配置目标地址列表和访问控制用户列表，且将该目标地址列表和访问控制用户列表发送到UPF1网元。

认证服务器用于提供认证计算及协议的封装与解析，示例性的，认证服务器可以是AAA server。认证服务器可以部署在企业网服务器中。

在一种可能的实现中，认证服务器也可以部署在MEC边缘云中，以降低企业侧的投入成本。

DN可以是UE所要访问的业务网络，如运营商服务、互联网(internet)或第三方服务等。

上述网元通过服务化接口实现逻辑上的连接。如图2所示，RAN与UPF1网元之间通过N3接口实现互联，UPF1网元与UPF2网元之间通过N9接口实现互联，UPF1网元与业务访问控制网元之间可以通过N6接口实现互联，UPF1网元与DN之间通过N6接口实现互联。其中，业务访问控制网元还可以通过MP1接口调用MEP的MP2接口与UPF1网元实现交互。

本申请实施例中，基于5G核心网+MEC边缘云的网络形态，实现终端数据业务访问控制授权认证，从而实现对用户终端不同数据流量的访问控制权限管理，以保障企业网络的业务数据安全接入。

在上述实施例的基础上，为了更清楚地描述本申请实施例的技术方案，示例性的，请参见图3，图3示出了本申请实施例提供的一种基于业务访问的认证方法的流程示意图，该方法可以包括：

S301、UPF1网元接收用户终端的业务访问请求，业务访问请求包括用户终端访问的内网服务器的目标地址。

其中，目标地址可以是用户终端所要访问的服务器的IP地址、端口号或域名地址等。

示例性的，当5G网络的用户通过用户终端访问特定网络，例如访问企业内网时，发起访问5G网络数据的业务访问请求，该业务访问请求中包括用户终端请求访问的内网服务器的目标地址。RAN获取用户针对企业内网的业务访问请求后，RAN可以将业务访问请求封装成业务请求报文，并将业务请求报文转发送给UPF1网元，UPF1网元接收到业务请求报文后可以从业务请求报文中获取用户终端请求访问的内网服务器的目标地址。本申请实施例中的用户终端可以为移动手机、IPAD等移动终端。

S302、UPF1网元根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证，目标地址列表存储有需要访问控制的内网服务器的IP地址。

其中，目标地址列表预置在UPF1网元中，目标地址列表存储有需要访问控制的内网服务器的IP地址，目标地址列表也可以存储有需要访问控制的内网服务器的端口号或域名地址等。

UPF1网元接收到用户终端访问的目标地址后，将目标地址与目标地址列表中的IP地址进行匹配，以判断是否需要向内网服务器对应的认证服务器发起访问控制授权认证：若匹配成功，或者说该目标地址在目标地址列表中，且是第一次针对该内网服务器对应的认证服务器发起访问控制授权认证，则判断需要向该内网服务器对应的认证服务器发起访问控制授权认证；若匹配失败，则不需要向内网服务器对应的认证服务器发起访问控制授权认证，可以直接访问该目标地址对应的内网服务器。

S303、若需要发起访问控制授权认证，则UPF1网元将业务认证请求发送给边缘云上部署的业务访问控制网元，以使业务访问控制网元获取用户终端的认证信息，并基于认证信息向内网服务器对应的认证服务器进行认证。

UPF1网元接收到用户终端访问的目标地址后，UPF1网元可以根据用户终端的标识和目标地址生成业务认证请求。其中，用户终端的标识例如可以是用户终端的国际移动用户识别码(international mobile subscriber identity，IMSI)，移动台国际用户识别号码(mobile station international ISDN number，MSISDN)和IP地址等。

当UPF1网元判断需要向内网服务器对应的认证服务器发起访问控制授权认证，则UPF1网元通过N6接口将业务认证请求发送给边缘云上部署的业务访问控制网元，并更改用户终端访问的目标地址为业务访问控制网元的IP地址，以触发业务访问控制网元与用户终端进行交互，使得用户终端访问业务访问控制网元，用户可以基于用户终端在业务访问控制网元中输入认证信息，使得业务访问控制网元可以获取用户终端的认证信息，并基于认证信息向内网服务器对应的认证服务器进行认证。

S304、业务访问控制网元接收UPF1网元发送的业务认证请求，业务认证请求中包括用户终端的标识。

S305、业务访问控制网元根据用户终端的标识与用户终端进行交互，获取用户终端发送的认证信息，并根据认证信息确定认证服务器的IP地址。

其中，认证信息可以包括用户信息***、IMSI、5G DNN、以及认证用户名和密码等。

业务访问控制网元接收到UPF1网元发送的业务认证请求后，通过N6接口向UPF1网元返回请求响应，UPF1网元通过RAN将该请求响应发送给用户终端，该请求响应指示用户终端可以输入认证信息，使得业务访问控制网元可以获取用户终端的认证信息。

需要说明的是，认证服务器的IP地址信息预先存储在业务访问控制网元中。当业务访问控制网元获取到用户终端的认证信息后，业务访问控制网元在存储的信息中查询得到认证服务器的IP地址。

S306、业务访问控制网元根据认证服务器的IP地址，将认证信息发送至认证服务器，以使认证服务器对认证信息进行认证。

可能的实现中，业务访问控制网元根据认证服务器的IP地址查找对应的认证服务器，在查找到该认证服务器后，将认证信息发送到该认证服务器，以使认证服务器对认证信息进行认证。

可以理解的是，业务访问控制网元也可以根据认证服务器的VPN、端口号和认证密钥等信息查找认证服务器。

S307、业务访问控制网元获取认证服务器发送的认证结果，并通过边缘云中的MP1接口调用移动边缘平台的MP2接口向UPF1网元发送认证响应，认证响应用于指示认证结果。

认证服务器对认证信息进行认证后，向业务访问控制网元发送认证结果，业务访问控制网元根据认证结果向UPF1网元发送认证响应。

可能的实现中，业务访问控制网元可以通过登录UPF1网元直接访问UPF1网元，以基于认证响应对UPF1网元进行操作，但这样可能存在业务上的操作风险，例如业务访问控制网元可能对UPF1网元进行了基于认证响应的操作以外的其他操作，因此，为了提高UPF1网元和业务访问的安全性，业务访问控制网元通过MEC边缘云中的MP1接口调用移动边缘平台的MP2接口向UPF1网元发送认证响应，该认证响应中的认证结果可以指示UPF1网元执行对应的操作。

S308、UPF1网元接收业务访问控制网元发送的认证结果，若认证结果指示认证通过，则解除用户终端对目标地址对应的内网服务器的访问控制。

业务访问控制网元接收到认证结果后，以认证响应的形式向UPF1网元发送认证结果，当认证结果指示认证通过时，UPF1网元解除用户终端对目标地址对应的内网服务器的访问控制，UPF1网元可以将用户终端的业务请求报文转发到对应的DN，DN例如可以是内网服务器，内网服务器为用户终端提供相应的业务访问服务。

本申请实施例中，基于5G核心网+MEC边缘云的网络形态，通过UPF来判断用户终端的业务访问请求是否需要发起访问控制授权认证，并通过业务访问控制网元以及MP2接口实现终端数据业务访问控制授权认证，实现对用户终端不同目标地址的业务访问请求的访问控制权限管理，从而保障内网服务器的业务数据安全接入。

在上述实施例的基础上，为了更清楚地描述本申请实施例的技术方案，示例性的，请参见图4，图4示出了本申请实施例提供的另一种基于业务访问的认证方法的流程示意图，该方法可以包括：

S401、用户终端正常接入5G网络，PDU会话正常，发起业务访问请求。

PDU会话建立过程属于现有技术，在此不再赘述。在PDU会话建立成功后用户终端发起业务访问请求。

需要说明的是，本申请实施例中，在PDU会话建立过程中不发起访问控制授权认证，而是在PDU会话建立成功后，用户终端发起业务访问请求且需要发起访问控制授权认证时才进行访问控制授权认证。

S402、UPF1网元接收用户终端的业务访问请求，业务访问请求包括用户终端访问的内网服务器的目标地址。

S403、UPF1网元根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证，目标地址列表存储有需要访问控制的内网服务器的IP地址。

步骤S402～S403的内容与上述步骤S301～S302的内容相似或相同，在此不再赘述。

若需要发起访问控制授权认证，则进行步骤S404；若不需要发起访问控制授权认证，则进行步骤S412。

S404、UPF1网元将业务认证请求发送给边缘云上部署的业务访问控制网元，以使业务访问控制网元获取用户终端的认证信息，并基于认证信息向内网服务器对应的认证服务器进行认证。

S405、业务访问控制网元接收UPF1网元发送的业务认证请求，业务认证请求中包括用户终端的标识。

S406、业务访问控制网元根据用户终端的标识与用户终端进行交互，获取用户终端发送的认证信息，并根据认证信息确定认证服务器的IP地址。

S407、业务访问控制网元根据认证服务器的IP地址，将认证信息发送至认证服务器，以使认证服务器对认证信息进行认证。

S408、业务访问控制网元获取认证服务器发送的认证结果，并通过边缘云中的MP1接口调用移动边缘平台的MP2接口向UPF1网元发送认证响应，认证响应用于指示认证结果。

步骤S404～S408的内容与上述步骤S303～S307的内容相似或相同，在此不再赘述。

S409、若认证结果指示认证通过，则UPF1网元将用户终端的标识和目标地址加入至白名单中；若认证结果指示认证不通过，则UPF1网元将用户终端的标识和目标地址加入至黑名单中。

UPF1网元接收到用于指示认证结果的认证响应后，若认证结果指示认证服务器对用户终端的认证信息认证通过，则UPF1网元将用户终端的标识和目标地址加入至白名单中，也就是该用户终端可以正常访问该目标地址对应的内网服务器了，进行步骤S410；

或者，若认证结果指示认证服务器对用户终端的认证信息认证不通过，则UPF1网元将用户终端的标识和目标地址加入至黑名单中，也就是该用户终端不能访问该目标地址对应的内网服务器，进行步骤S411。

可以理解的是，认证结果指示认证服务器对用户终端的认证信息认证不通过可以是连续多次认证不通过才确定为认证不通过，例如，连续3次认证结果均指示不通过，则确认认证结果指示认证不通过。

可以理解的是，在UPF1网元将用户终端的标识和目标地址加入至白名单中后，当该用户终端再次访问该目标地址对应的内网服务器时，UPF1网元识别到该用户终端访问的是该目标地址对应的内网服务器，则UPF1网元可以直接转发该用户终端的业务请求报文，不需要再发起访问控制授权认证；在UPF1网元将用户终端的标识和目标地址加入至黑名单中后，当该用户终端再次访问该目标地址对应的内网服务器时，UPF1网元识别到该用户终端访问的是该目标地址对应的内网服务器，则UPF1网元可以直接将该用户终端的业务请求报文丢弃。

S410、UPF1网元转发业务请求报文。

若认证结果指示认证服务器对用户终端的认证信息认证通过，则UPF1网元可以将用户终端的业务请求报文转发到该目标地址对应的内网服务器，内网服务器为用户终端提供相应的业务访问服务。

S411、UPF1网元将用户终端的业务请求报文丢弃。

S412、UPF1网元确定业务访问请求为互联网访问请求，并将业务访问请求转发至其他用户面功能网元，以使其他用户面功能网元完成业务访问。

其中，其他用户面功能网元例如可以是通过N9接口与UPF1网元连接的UPF2网元，UPF2网元可以用于将业务访问请求转发到互联网访问请求对应的网络，完成业务访问。

其中，互联网访问请求可以是访问互联网的请求，也可以是访问其他不需要进行访问控制授权认证的网络的请求。

若不需要发起访问控制授权认证，则UPF1网元确定业务访问请求中的目标地址为不需要访问控制授权认证的IP地址，UPF1网元将业务访问请求转发至UPF1网元，以使UPF1网元将业务访问请求转发到目标地址对应的网络，完成业务访问。

本申请实施例中，基于5G核心网+MEC边缘云的网络形态，通过UPF来判断用户终端的业务访问请求是否需要发起访问控制授权认证，并通过业务访问控制网元以及MP2接口实现终端数据业务访问控制授权认证，实现对用户终端不同目标地址的业务访问请求的访问控制权限管理，从而保障内网服务器的业务数据安全接入。

在一种可能的实现方式中，在上述步骤S402之前，方法还可以包括：

业务访问控制网元获取认证服务器发送的内网信息，内网信息包括需要进行授权认证的内网服务器的IP地址；业务访问控制网元通过MP1接口调用移动边缘平台的MP2接口向用户面功能网元发送目标地址列表，目标地址列表包括内网服务器的IP地址。

可能的实现中，业务访问控制网元预先配置目标地址列表和访问控制用户列表，并通过MP1接口调用移动边缘平台的MP2接口发送给UPF1网元，在用户终端发起业务访问请求时，UPF1网元可以根据接收的目标地址列表和访问控制用户列表对用户终端的标识和目标地址进行判断，以实现对用户终端的业务访问请求的访问控制认证。

本申请实施例中，业务访问控制网元预先配置目标地址列表和访问控制用户列表并发送到UPF1网元中，从而便于UPF1网元对用户终端的标识和目标地址进行判断。

在一种可能的实现方式中，在上述步骤S403之前，方法还可以包括：UPF1网元判断用户终端的标识是否在访问控制用户列表中，访问控制用户列表中存储有解除访问限制的白名单和禁止访问的黑名单，白名单中存储有用户终端的标识和对应的允许访问的IP地址，黑名单中存储有用户终端的标识和对应的访问受限的IP地址。

其中，访问控制用户列表预置在UPF1网元中。

当用户终端的标识不在访问控制用户列表中时，则UPF1网元根据该用户终端的业务访问请求中的目标地址判断是否需要向内网服务器对应的认证服务器发起访问控制授权认证，若不需要，则UPF1网元直接转发业务请求报文，若需要，则进行认证，认证方式请参见图3对应的实施例或图4对应的实施例，在此不再赘述。在认证通过时，UPF1网元将该用户终端的标识和对应的认证通过的目标地址加入访问控制用户列表中解除访问限制的白名单；在认证不通过时，UPF1网元将该用户终端的标识和对应的认证不通过的目标地址加入访问控制用户列表中禁止访问的黑名单。

本申请实施例中，通过UPF1网元判断用户终端的标识是否在访问控制用户列表中，若否，则UPF1网元继续根据目标地址列表和用户终端的业务访问请求中的目标地址来判断是否发起访问控制授权认证，以实现对用户终端的业务访问请求的访问控制认证。

上述实施例介绍的是在当用户终端的标识不在访问控制用户列表中时的情况，下面对用户终端的标识在访问控制用户列表中时的情况进行介绍。

在一种可能的实现方式中，当UPF1网元判断用户终端的标识在访问控制用户列表的白名单中时：

若用户终端访问的目标地址不是该用户终端的标识在白名单中对应的允许访问的IP地址，则执行上述步骤S404～S408，得到认证结果。若认证结果指示认证通过，则UPF1网元将用户终端的标识和目标地址加入至白名单中；若认证结果指示认证不通过，则UPF1网元将用户终端的标识和目标地址加入至黑名单中。

可以理解的是，由于此时用户终端的标识在访问控制用户列表的白名单中，因此，本申请实施例中的将用户终端的标识和目标地址加入至白名单中，可以理解为是将目标地址标识为白名单中该用户终端的标识对应的允许访问的IP地址。

若用户终端访问的目标地址是该用户终端的标识在白名单中对应的允许访问的IP地址，则UPF1网元可以将该用户终端的业务请求报文转发到该目标地址对应的内网服务器，内网服务器为用户终端提供相应的业务访问服务。

在一种可能的实现方式中，当UPF1网元判断用户终端的标识在访问控制用户列表的黑名单中时：

若用户终端访问的目标地址是该用户终端的标识在黑名单中对应的禁止访问的IP地址，则UPF1网元将用户终端的业务请求报文丢弃；

若用户终端访问的目标地址不是该用户终端的标识在黑名单中对应的禁止访问的IP地址，则执行上述步骤S404～S408，得到认证结果。若认证结果指示认证通过，则UPF1网元将用户终端的标识和目标地址加入至白名单中；若认证结果指示认证不通过，则UPF1网元将用户终端的标识和目标地址加入至黑名单中。

可以理解的是，由于此时用户终端的标识在访问控制用户列表的黑名单中，因此，本申请实施例中的将用户终端的标识和目标地址加入至黑名单中，可以理解为是将目标地址标识为黑名单中该用户终端的标识对应的禁止访问的IP地址。

图5为本申请实施例提供的一种基于业务访问的认证装置一的结构示意图。图5所示的装置可以用于实现前述任意一个实施例中由UPF1网元执行的方法。如图5所示，该基于业务访问的认证装置一500包括：第一接收模块501、确定模块502、第一发送模块503、第一处理模块504。

第一接收模块501，用于接收用户终端的业务访问请求，业务访问请求包括用户终端访问的内网服务器的目标地址。

确定模块502，用于根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证，目标地址列表存储有需要访问控制的内网服务器的IP地址；

第一发送模块503，用于若需要发起访问控制授权认证，则将业务认证请求发送给边缘云上部署的业务访问控制网元，以使业务访问控制网元获取用户终端的认证信息，并基于认证信息向内网服务器对应的认证服务器进行认证；

第一处理模块504，用于接收业务访问控制网元发送的认证结果，若认证结果指示认证通过，则解除用户终端对目标地址对应的内网服务器的访问控制。

可选的，业务访问请求中还包括用户终端的标识，确定模块502，具体用于：

判断用户终端的标识是否在访问控制用户列表中，访问控制用户列表中存储有解除访问限制的白名单和禁止访问的黑名单，白名单中存储有用户终端的标识和对应的允许访问的IP地址，黑名单中存储有用户终端的标识和对应的访问受限的IP地址；

若否，则确定执行根据目标地址和目标地址列表确定是否需要向内网服务器对应的认证服务器发起访问控制授权认证的步骤。

可选的，该基于业务访问的认证装置一500还包括：

添加模块，用于若认证结果指示认证通过，则将用户终端的标识和目标地址加入至白名单中；若认证结果指示认证不通过，则将用户终端的标识和目标地址加入至黑名单中。

可选的，若不需要发起访问控制授权认证，该基于业务访问的认证装置一500还包括：

转发模块，用于确定业务访问请求为互联网访问请求，并将业务访问请求转发至其它用户面功能网元，以使其它用户面功能网元完成业务访问。

本申请实施例提供的基于业务访问的认证装置，可用于执行上述的方法实施例，其实现原理和技术效果类似，本申请实施例此处不再赘述。

图6为本申请实施例提供的一种基于业务访问的认证装置二的结构示意图。图6所示的装置可以用于实现前述任意一个实施例中由业务访问控制网元执行的方法。如图6所示，该基于业务访问的认证装置二600包括：第二接收模块601、获取模块602、第二发送模块603、第二处理模块604。

第二接收模块601，用于接收用户面功能网元发送的业务认证请求，业务认证请求中包括用户终端的标识；

获取模块602，用于根据用户终端的标识与用户终端进行交互，获取用户终端发送的认证信息，并根据认证信息确定认证服务器的IP地址；

第二发送模块603，用于根据认证服务器的IP地址，将认证信息发送至认证服务器，以使认证服务器对认证信息进行认证；

第二处理模块604，用于获取认证服务器发送的认证响应，则通过边缘云中的MP1接口调用移动边缘平台的MP2接口向用户面功能网元发送认证响应，认证响应用于指示认证结果。

可选的，该基于业务访问的认证装置二600还包括：

第一获取模块，用于获取认证服务器发送的内网信息，内网信息包括需要进行授权认证的内网服务器的IP地址；

第三发送模块，用于通过MP1接口调用移动边缘平台的MP2接口向用户面功能网元发送目标地址列表，目标地址列表包括内网服务器的IP地址。

本申请实施例提供的基于业务访问的认证装置，可用于执行上述的方法实施例，其实现原理和技术效果类似，本申请实施例此处不再赘述。

图7示出了本申请实施例提供的一种电子设备的结构示意图。图7所示的设备可以为UPF1网元，也可以为业务访问控制网元。

如图7所示，该电子设备700包括：存储器701、处理器702、通信部件703以及总线704。其中，存储器701、处理器702、通信部件703通过总线704实现彼此之间的通信连接。

存储器701可以是只读存储器(read only memory，ROM)，静态存储设备，动态存储设备或者随机存取存储器(random access memory，RAM)。存储器701可以存储计算机执行指令，当存储器701中存储的计算机执行指令被处理器702执行时，处理器702用于执行图3或图4所示的方法中由UPF1网元或业务访问控制网元执行的各个步骤。

处理器702可以采用通用的中央处理器(central processing unit，CPU)，微处理器，应用专用集成电路(application specific integrated circuit，ASIC)，或者一个或多个集成电路，用于执行相关计算机执行指令，以实现本申请实施例的基于业务访问的认证的方法。

处理器702还可以是一种集成电路芯片，具有信号的处理能力。在实现过程中，本申请实施例的基于业务访问的认证方法的各个步骤可以通过处理器702中的硬件的集成逻辑电路或者软件形式的指令完成。

上述处理器702还可以是通用处理器、数字信号处理器(digital signalprocessing，DSP)、专用集成电路(ASIC)、现成可编程门阵列(field programmable gatearray，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器701，处理器702读取存储器701中的信息，结合其硬件完成本申请电子设备包括的单元所需执行的功能，例如，可以执行图3或图4所示的方法中由UPF1网元或业务访问控制网元执行的各个步骤/功能。

通信部件703可以使用但不限于收发器一类的收发设备，来实现电子设备700与其他设备或通信网络之间的通信。

总线704可以包括在电子设备700各个部件(例如，存储器701、处理器702、通信部件703)之间传送信息的通路。

图7所示实施例所示的电子设备可以执行上述基于业务访问的认证方法实施例所示的技术方案，其实现原理以及有益效果类似，此处不再进行赘述。

本申请实施例提供一种芯片。芯片包括处理器，处理器用于调用存储器中的计算机程序，以执行上述实施例中的技术方案。其实现原理和技术效果与上述相关实施例类似，此处不再赘述。

本申请实施例还提供了一种计算机可读存储介质。计算机可读存储介质存储有计算机程序。计算机程序被处理器执行时实现上述方法。上述实施例中描述的方法可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。如果在软件中实现，则功能可以作为一个或多个指令或代码存储在计算机可读介质上或者在计算机可读介质上传输。计算机可读介质可以包括计算机存储介质和通信介质，还可以包括任何可以将计算机程序从一个地方传送到另一个地方的介质。存储介质可以是可由计算机访问的任何目标介质。

一种可能的实现方式中，计算机可读介质可以包括RAM，ROM，只读光盘(compactdisc read-only memory，CD-ROM)或其它光盘存储器，磁盘存储器或其它磁存储设备，或目标于承载的任何其它介质或以指令或数据结构的形式存储所需的程序代码，并且可由计算机访问。而且，任何连接被适当地称为计算机可读介质。例如，如果使用同轴电缆，光纤电缆，双绞线，数字用户线(Digital Subscriber Line，DSL)或无线技术(如红外，无线电和微波)从网站，服务器或其它远程源传输软件，则同轴电缆，光纤电缆，双绞线，DSL或诸如红外，无线电和微波之类的无线技术包括在介质的定义中。如本文所使用的磁盘和光盘包括光盘，激光盘，光盘，数字通用光盘(Digital Versatile Disc，DVD)，软盘和蓝光盘，其中磁盘通常以磁性方式再现数据，而光盘利用激光光学地再现数据。上述的组合也应包括在计算机可读介质的范围内。

本申请实施例提供一种计算机程序产品，计算机程序产品包括计算机程序，当计算机程序被运行时，使得计算机执行上述方法。

本申请实施例是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程设备的处理单元以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理单元执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

以上的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims (11)

1.一种基于业务访问的认证方法，其特征在于，应用于用户面功能网元，所述方法包括：

接收用户终端的业务访问请求，所述业务访问请求包括所述用户终端访问的内网服务器的目标地址；

根据所述目标地址和目标地址列表确定是否需要向所述内网服务器对应的认证服务器发起访问控制授权认证，所述目标地址列表存储有需要访问控制的内网服务器的IP地址；

若需要发起访问控制授权认证，则将业务认证请求发送给边缘云上部署的业务访问控制网元，以使所述业务访问控制网元获取所述用户终端的认证信息，并基于所述认证信息向所述内网服务器对应的认证服务器进行认证；

接收所述业务访问控制网元发送的认证结果，若所述认证结果指示认证通过，则解除所述用户终端对所述目标地址对应的内网服务器的访问控制。

2.根据权利要求1所述的方法，其特征在于，所述业务访问请求中还包括所述用户终端的标识，所述根据所述目标地址和目标地址列表确定是否需要向所述内网服务器对应的认证服务器发起访问控制授权认证之前，所述方法还包括：

判断所述用户终端的标识是否在访问控制用户列表中，所述访问控制用户列表中存储有解除访问限制的白名单和禁止访问的黑名单，所述白名单中存储有用户终端的标识和对应的允许访问的IP地址，所述黑名单中存储有用户终端的标识和对应的访问受限的IP地址；

若否，则确定执行所述根据所述目标地址和目标地址列表确定是否需要向所述内网服务器对应的认证服务器发起访问控制授权认证的步骤。

3.根据权利要求2所述的方法，其特征在于，所述方法还包括：

若所述认证结果指示认证通过，则将所述用户终端的标识和所述目标地址加入至所述白名单中；

若所述认证结果指示认证不通过，则将所述用户终端的标识和所述目标地址加入至所述黑名单中。

4.根据权利要求1所述的方法，其特征在于，若不需要发起访问控制授权认证，所述方法还包括：

确定所述业务访问请求为互联网访问请求，并将所述业务访问请求转发至其它用户面功能网元，以使所述其它用户面功能网元完成所述业务访问。

5.一种基于业务访问的认证方法，其特征在于，应用于业务访问控制网元，所述业务访问控制网元部署在边缘云上，所述方法包括：

接收用户面功能网元发送的业务认证请求，所述业务认证请求中包括用户终端的标识；

根据所述用户终端的标识与所述用户终端进行交互，获取所述用户终端发送的认证信息，并根据所述认证信息确定认证服务器的IP地址；

根据所述认证服务器的IP地址，将所述认证信息发送至所述认证服务器，以使所述认证服务器对所述认证信息进行认证；

获取所述认证服务器发送的认证结果，并通过所述边缘云中的MP1接口调用移动边缘平台的MP2接口向所述用户面功能网元发送认证响应，所述认证响应用于指示认证结果。

6.根据权利要求5所述的方法，其特征在于，在所述接收用户面功能网元发送的业务认证请求之前，所述方法还包括：

获取所述认证服务器发送的内网信息，所述内网信息包括需要进行授权认证的内网服务器的IP地址；

通过所述MP1接口调用所述移动边缘平台的MP2接口向所述用户面功能网元发送目标地址列表，所述目标地址列表包括所述内网服务器的IP地址。

7.一种基于业务访问的认证装置，其特征在于，应用于用户面功能网元，所述装置包括第一接收模块，确定模块，第一发送模块和第一处理模块，其中，

所述第一接收模块，用于接收用户终端的业务访问请求，所述业务访问请求包括所述用户终端访问的内网服务器的目标地址；

所述确定模块，用于根据所述目标地址和目标地址列表确定是否需要向所述内网服务器对应的认证服务器发起访问控制授权认证，所述目标地址列表存储有需要访问控制的内网服务器的IP地址；

所述第一发送模块，用于若需要发起访问控制授权认证，则将业务认证请求发送给边缘云上部署的业务访问控制网元，以使所述业务访问控制网元获取所述用户终端的认证信息，并基于所述认证信息向所述内网服务器对应的认证服务器进行认证；

所述第一处理模块，用于接收所述业务访问控制网元发送的认证结果，若所述认证结果指示认证通过，则解除所述用户终端对所述目标地址对应的内网服务器的访问控制。

8.一种基于业务访问的认证装置，其特征在于，应用于业务访问控制网元，所述业务访问控制网元部署在边缘云上，所述装置包括：第二接收模块，获取模块，第二发送模块和第二处理模块，其中，

所述第二接收模块，用于接收用户面功能网元发送的业务认证请求，所述业务认证请求中包括用户终端的标识；

所述获取模块，用于根据所述用户终端的标识与所述用户终端进行交互，获取所述用户终端发送的认证信息，并根据所述认证信息确定认证服务器的IP地址；

所述第二发送模块，用于根据所述认证服务器的IP地址，将所述认证信息发送至所述认证服务器，以使所述认证服务器对所述认证信息进行认证；

所述第二处理模块，用于获取所述认证服务器发送的认证响应，则通过所述边缘云中的MP1接口调用移动边缘平台的MP2接口向所述用户面功能网元发送所述认证响应，所述认证响应用于指示认证结果。

9.一种基于业务访问的认证***，其特征在于，包括：用户面功能网元和部署在边缘云上的业务访问控制网元，其中，

所述用户面功能网元用于执行如权利要求1至4任一项所述的方法；

所述业务访问控制网元用于执行如权利要求5或6所述的方法。

10.一种电子设备，其特征在于，包括：处理器、存储器；

所述存储器存储计算机执行指令；所述处理器执行所述存储器存储的计算机执行命令，使得所述处理器执行如权利要求1至4任一项所述的方法或权利要求5或6所述的方法。

11.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中存储有计算机执行指令，当所述计算机执行指令被处理器执行时用于实现权利要求1至4任一项所述的方法或权利要求5或6所述的方法。

Images