本技术涉及通信,尤其涉及一种访问控制方法、装置、相关设备及存储介质。
背景技术:
1、在移动通信网络中,用户面功能(upf,user plane function)作为核心网(corenetwork)的用户面网元(网元也称网络功能),虽然能对用户设备(ue,user equipment)的数据流量进行解析和分析,也能依据会话管理功能(smf,session management function)下发的策略对数据流量进行监测,但是,这些操作的目的主要用于数据的分组路由和转发,用户面数据流量可能存在网络安全隐患。
技术实现思路
1、为解决相关技术问题,本技术实施例提供一种访问控制方法、装置、相关设备及存储介质。
2、本技术实施例的技术方案是这样实现的:
3、本技术实施例提供了一种访问控制方法,包括:
4、接收终端发送的第一请求;其中,所述第一请求用于请求访问第一业务;
5、在所述终端不具备访问权限信息的情况下,基于所述第一请求向信任管理功能(tmf,trust management function)发送第二请求;所述第二请求用于请求查询所述终端的访问权限;
6、接收所述tmf返回的第一响应;其中,所述第一响应携带所述终端的授权信息。
7、上述方案中,在满足以下至少之一的情况下,所述终端不具备访问权限信息:
8、所述终端的访问权限信息已失效;
9、不存在所述终端的访问权限信息;
10、对所述终端授权的业务中不存在所述第一业务;
11、对所述终端授权的业务类型中不存在所述第一业务对应的业务类型。
12、上述方案中,所述方法还包括:
13、采集所述终端的数据流量;
14、向所述tmf发送采集的数据流量的第一信息;其中,
15、所述第一信息至少包括五元组信息,用于供所述tmf生成或更新所述终端的授权信息。
16、上述方案中,所述授权信息包括以下至少之一:
17、终端标识;
18、授权的业务;
19、授权的业务类型;
20、访问权限;
21、所述访问权限的有效时限。
22、上述方案中,所述第一请求至少携带终端标识,还携带所述第一业务的标识和/或业务类型。
23、上述方案中,所述方法还包括:
24、在满足以下至少之一的情况下,丢弃所述第一请求,或不向upf发送所述第一请求:
25、所述终端不具备访问权限信息;
26、所述授权信息指示所述终端不具备所述第一业务的访问权限。
27、上述方案中,所述方法还包括:
28、在满足以下至少之一的情况下,响应于所述第一请求,或向upf发送所述第一请求:
29、所述终端的访问权限信息有效;
30、对所述终端授权的业务中存在所述第一业务;
31、对所述终端授权的业务类型中存在所述第一业务对应的业务类型。
32、本技术实施例还提供了一种访问控制方法,应用于tmf,所述方法包括:
33、接收服务器或第一网络功能基于第一请求发送的第二请求;其中,所述第一请求由终端发出,用于请求访问第一业务;所述第二请求在所述终端不具备访问权限信息的情况下发送,用于请求查询所述终端的访问权限;所述第一网络功能包括upf或smf;
34、向所述服务器或所述第一网络功能返回第一响应;其中,所述第一响应携带所述终端的授权信息。
35、上述方案中,在满足以下至少之一的情况下,所述终端不具备访问权限信息:
36、所述终端的访问权限信息已失效;
37、不存在所述终端的访问权限信息;
38、对所述终端授权的业务中不存在所述第一业务;
39、对所述终端授权的业务类型中不存在所述第一业务对应的业务类型。
40、上述方案中,所述方法还包括:
41、接收所述服务器或所述upf发送的第一信息;其中,所述第一信息表征所述终端的数据流量的相关信息,至少包括五元组信息;
42、基于所述第一信息和/或第二信息和/或第三信息,生成或更新所述终端的授权信息;其中,所述第二信息和所述第三信息从核心网的网络功能获得,表征所述终端的相关信息。
43、上述方案中,所述第二信息从网络数据分析功能(nwdaf,network dataanalytics function)获得,包括信任度评估信息和/或风险评估信息。
44、上述方案中,所述第三信息包括注册信息、业务策略信息和认证信息中的至少之一;所述第三信息从以下至少之一获得:
45、统一数据管理(udm,unified data management);
46、鉴权服务功能(ausf,authentication server function);
47、smf;
48、策略控制功能(pcf,policy control function)。
49、上述方案中,所述生成或更新所述终端的授权信息,包括:
50、基于所述第一信息和/或所述第二信息,确定出所述终端的信任度;
51、基于所述终端的信任度和/或所述第三信息,生成或更新所述终端的授权信息。
52、上述方案中,更新所述终端的授权信息,包括:
53、在满足以下之一的情况下,更新所述终端的授权信息:
54、所述终端的信任度大于或等于第一设定阈值;
55、所述终端的信任度小于所述第一设定阈值;
56、所述终端的信任度小于第二设定阈值;其中,
57、所述第二设定阈值小于所述第一设定阈值。
58、上述方案中,所述生成或更新所述终端的授权信息,包括:
59、基于终端标识与业务类型之间的对应关系,生成或更新所述授权信息。
60、上述方案中,所述授权信息包括以下至少之一:
61、终端标识;
62、授权的业务;
63、授权的业务类型;
64、访问权限;
65、所述访问权限的有效时限。
66、本技术实施例还提供了一种访问控制装置,包括:
67、第一接收单元,用于接收终端发送的第一请求;其中,所述第一请求用于请求访问第一业务;
68、第一发送单元,用于在所述终端不具备访问权限信息的情况下,基于所述第一请求向tmf发送第二请求;所述第二请求用于请求查询所述终端的访问权限;
69、第二接收单元,用于接收所述tmf返回的第一响应;其中,所述第一响应携带所述终端的授权信息。
70、本技术实施例还提供了一种访问控制装置,包括:
71、第三接收单元,用于接收服务器或第一网络功能基于第一请求发送的第二请求;其中,所述第一请求由终端发出,用于请求访问第一业务;所述第二请求在所述终端不具备访问权限信息的情况下发送,用于请求查询所述终端的访问权限;所述第一网络功能包括upf或smf;
72、第二发送单元,用于向所述服务器或所述第一网络功能返回第一响应;其中,所述第一响应携带所述终端的授权信息。
73、本技术实施例还提供了一种第一设备,所述第一设备包括服务器或第一网络设备,所述第一设备包括第一处理器和第一通信接口,其中,
74、所述第一通信接口,用于:
75、接收终端发送的第一请求;其中,所述第一请求用于请求访问第一业务;
76、在所述终端不具备访问权限信息的情况下,基于所述第一请求向信任管理网元tmf发送第二请求;所述第二请求用于请求查询所述终端的访问权限,
77、接收所述tmf返回的第一响应;其中,所述第一响应携带所述终端的授权信息。
78、本技术实施例还提供了一种第二网络设备,包括第二处理器和第二通信接口,其中,
79、所述第二通信接口,用于:
80、接收服务器或第一网络功能基于第一请求发送的第二请求;其中,所述第一请求由终端发出,用于请求访问第一业务;所述第二请求在所述终端不具备访问权限信息的情况下发送,用于请求查询所述终端的访问权限;所述第一网络功能包括upf或smf;
81、向所述服务器或所述第一网络功能返回第一响应;其中,所述第一响应携带所述终端的授权信息。
82、本技术实施例还提供了一种第一设备,所述第一设备包括服务器或第一网络设备,所述第一设备包括第一处理器和用于存储能够在第一处理器上运行的计算机程序的第一存储器,
83、其中,所述第一处理器用于运行所述计算机程序时,执行上述任一方法的步骤。
84、本技术实施例还提供了一种第二网络设备,包括第二处理器和用于存储能够在第二处理器上运行的计算机程序的第二存储器,
85、其中,所述第二处理器用于运行所述计算机程序时,执行tmf侧任一方法的步骤。
86、本技术实施例提供了一种存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述任一方法的步骤。
87、在本技术实施例提供的访问控制方法、装置、相关设备及存储介质中,第一网络功能或位于upf前端的服务器接收终端发送的第一请求,第一网络功能包括upf或smf;在所述终端不具备访问权限信息的情况下,基于所述第一请求向tmf发送第二请求;其中,所述第一请求用于请求访问第一业务;所述第二请求用于请求查询所述终端的访问权限;tmf接收第一网络功能或服务器基于第一请求发送的第二请求,并返回第一响应;其中,所述第一响应携带所述终端的授权信息;第一网络功能或服务器接收所述tmf返回的第一响应。上述方案,服务器或第一网络功能可以根据终端发送的第一请求,对终端的访问权限进行动态管理和授权,可以识别越权访问和网络攻击,从而有效阻止网络中的越权访问以及网络攻击,提升了用户面数据流量的网络安全。