(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211067968.7 (22)申请日 2022.09.02 (65)同一申请的已公布的文献号 申请公布号 CN 115150829 A (43)申请公布日 2022.10.04 (73)专利权人 北京首信科技股份有限公司 地址 100015 北京市朝阳区将台路5号 (72)发明人 黄烨　林锋　陶振宇　李嘉嘉　 董芸　谭立彦　 (74)专利代理 机构 北京惟专知识产权代理事务 所(普通合伙) 16074 专利代理师 赵星 (51)Int.Cl. H04W 12/06(2021.01) H04W 12/08(2021.01) H04L 9/40(2022.01)(56)对比文件 CN 114173335 A,2022.03.11 CN 114629627 A,202 2.06.14 CN 110199513 A,2019.09.0 3 CN 10125278 8 A,2008.08.27 US 2008026724 A1,20 08.01.31 WO 201901783 6 A1,2019.01.24 US 2020351409 A1,2020.1 1.05 王卫斌 等."5G核心网演进需求及关键技 术". 《中兴通讯技 术》 .2020,(第01期), Huawei amp等.S3 -171807 "Seco ndary authenticati on for multiple P DU sessions". 《3GP P tsg_sa\WG3 _Security》 .2017, SA WG3 C hair.S3-212404 "Me eting notes from SA3 leadership". 《3GP P tsg_sa\wg3 _ security》 .2021, 审查员 黄剑芳 (54)发明名称 一种网络访问权限管理方法及装置 (57)摘要 本发明公开了一种网络访问权限管 理方法， 属于通信技术领域， 包括： 接收第一消息并将第 一消息发送至SMF， 其中第一消息是RADIUS响应 消息， RADIUS响应消息包括认 证成功并授权IP的 第一RADIUS响应消息或者认证失败的第二 RADIUS响应消息； 将接收到的失败的第二RADIUS 响应消息转换成成功的消息转发至SMF， 其中成 功的消息中不包括授权IP； 还包括， 根据RADIUS 响应消息的缓存结果判断当前计费消息的处理 方式， 对当前计费消息进行转发或者直接丢弃， 避免数据越权访问。 本发明能够实现行业专网接 入管控统一管理， 有助于在5G专网的建设中降低 成本。 权利要求书3页 说明书12页 附图8页 CN 115150829 B 2022.11.08 CN 115150829 B 1.一种网络访问权限管理方法， 其特征在于， 所述方法应用于数据网络 ‑认证、 授权和 计费服务器DN ‑AAA设备， 其中所述数据网络 ‑认证、 授权和计费服务器DN ‑AAA设备在5G核心 网会话管理功能SMF设备与自建认证、 授权和计费服务器AAA之间使用企业数据网络名称 DNN作为识别 标识转发远程访问拨号用户服务协议RADIUS认证、 计 费、 中断报文， 所述方法 包括： 接收第一消息并将所述第一消息发送至会话管理功能SMF， 其中所述第一消息是远程 访问拨号用户服务协议 RADIUS响应消息， 所述远程访问拨号用户服务协议RADIUS响应消息 包括认证成功并授权IP的第一远程访问拨号用户服务协议RADIUS响应消息或者认证失败 的第二远程访问拨号用户服务协 议RADIUS响应消息； 发送所述第一消息的方式包括将所述 第一消息 透传至会话管理功能SMF； 其中所述第 一消息还包括用户认证结果， 所述用户认证结果包括用户认证成功或者用 户认证失败， 当用户认证结果为用户认证失败时， 将认证失败的第二远程访问拨号用户服 务协议RADIUS响应消 息转换为认证成功响应消 息并发送至会话管理功能SMF， 且不携带任 何IP属性； 存储所述用户认证结果， 存 储所述用户认证结果包括： 采用关键字和值相对应的方式进行用户认证结果的存储， 将终端标识作为关键字， 用 户认证结果和认证时间戳作为值， 进 行存储记录， 设定时效时间， 当设定的时效时间大于设 定阈值则 删除相关记录 。 2.如权利要求1所述的网络访问权限管理方法， 其特 征在于， 所述方法还 包括： 接收远程访问拨号用户服务协议RADIUS计费请求消息， 所述远程访问拨号用户服务协 议RADIUS计费请求消 息是由会话管理功能SMF发送的， 其中所述远程访问拨号用户服务协 议RADIUS计费请求消息包括远程访问拨号用户服务协 议RADIUS计费上线请求、 远程访问拨 号用户服 务协议RADIUS计费更新请求、 远程访问拨号用户服 务协议RADIUS计费下线请求； 将终端标识作为索引进行检索， 获得检索结果； 若所述检索结果所对应的所述用户认证结果为成功， 则转发所述远程访问拨号用户服 务协议RADIUS计费请求消息； 若所述检索结果所对应的所述用户认证结果为失败或者未检索到相关数据记录， 则不 转发所述远程访问拨号用户服 务协议RADIUS计费请求消息 。 3.如权利要求2所述的网络访问权限管理方法， 其特 征在于， 所述方法还 包括： 接收计费上线请求消息， 所述计费上线请求消息是由会话管理功能SMF发送的； 采用关键字和值相对应的方式进行所述计费上线请求消息的存储， 将 终端标识作为关 键字， 会话管 理功能SMF地址和上线时间戳作为值， 进 行存储记录， 设定时效时间， 当设定的 时效时间大于设定阈值则 删除相关记录 。 4.如权利要求2所述的网络访问权限管理方法， 其特 征在于， 所述方法还 包括： 接收计费下线请求消息， 所述计费下线请求消息是由会话管理功能SMF发送的； 将终端标识作为索引进行检索， 若检索到对应的数据记录， 则将所述数据记录删除。 5.如权利要求1所述的网络访问权限管理方法， 其特 征在于， 所述方法还 包括： 接收中断报文DM请求消息； 将终端标识作为索引进行检索， 获得第二检索结果；权　利　要　求　书 1/3 页 2 CN 115150829 B 2若所述第二检索结果包括对应的会话管理功能SMF地址， 则转发所述中断报文DM请求 消息； 若所述第二检索结果不包括对应的会话管理功能SMF地址或者未检索到相关数据记 录， 则不转发所述中断报文DM请求消息 。 6.一种网络访问权限管理装置， 其特征在于， 所述装置应用于数据网络 ‑认证、 授权和 计费服务器DN ‑AAA设备， 其中所述数据网络 ‑认证、 授权和计费服务器DN ‑AAA设备在5G核心 网会话管理功能SMF设备与自建认证、 授权和计费服务器AAA之间使用企业数据网络名称 DNN作为识别 标识转发远程访问拨号用户服务协议RADIUS认证、 计 费、 中断报文， 所述装置 包括： 接收模块， 用于接收第一消息并将所述第一消息发送至会话管理功能SMF， 其中所述第 一消息是远程访问拨号用户服务协议RADIUS响应消息， 所述远程访问拨号用户服务协议 RADIUS响应消息包括认证成功并授权IP的第一远程访问拨号用户服务协议RADIUS响应消 息或者认证失败的第二远程访问拨号用户服务协 议RADIUS响应消息； 发送所述第一消息的 方式包括将所述第一消息透传至会话管理功能SMF； 其中所述第一消息还包括用户认证结 果， 所述用户认证结果包括用户认证成功或者用户认证失败， 当用户认证结果为用户认证 失败时， 将认证失败的第二远程访问拨号用户服务协 议RADIUS响应消息转换为认证成功响 应消息并发送至会话管理功能SMF， 且不携带任何IP属性； 存储模块， 用于存储所述用户认证结果， 采用关键字和值相对应的方式进行用户认证 结果的存储， 将终端标识作为关键字， 用户认证结果和认证时间戳作为值， 进行存储记录， 设定时效时间， 当 设定的时效时间大于设定阈值则 删除相关记录 。 7.如权利要求6所述的网络访 问权限管理装置， 其特征在于,还包括检索模块， 所述检 索模块执 行如下操作： 接收远程访问拨号用户服务协议RADIUS计费请求消息， 所述远程访问拨号用户服务协 议RADIUS计费请求消 息是由会话管理功能SMF发送的， 其中所述远程访问拨号用户服务协 议RADIUS计费请求消息包括远程访问拨号用户服务协 议RADIUS计费上线请求、 远程访问拨 号用户服 务协议RADIUS计费更新请求、 远程访问拨号用户服 务协议RADIUS计费下线请求； 将终端标识作为索引进行检索， 获得检索结果； 若所述检索结果所对应的所述用户认证结果为成功， 则转发所述远程访问拨号用户服 务协议RADIUS计费请求消息； 若所述检索结果所对应的所述用户认证结果为失败或者未检索到相关数据记录， 则不 转发所述远程访问拨号用户服 务协议RADIUS计费请求消息 。 8.如权利要求7所述的网络访问权限管理装置， 其特征在于， 所述存储模块还执行如下 操作： 接收计费上线请求消息， 所述计费上线请求消息是由会话管理功能SMF发送的； 采用关键字和值相对应的方式进行所述计费上线请求消息的存储， 将 终端标识作为关 键字， 会话管 理功能SMF地址和上线时间戳作为值， 进 行存储记录， 设定