(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202211068096.6 (22)申请日 2022.09.02 (65)同一申请的已公布的文献号 申请公布号 CN 115150830 A (43)申请公布日 2022.10.04 (73)专利权人 北京首信科技股份有限公司 地址 100015 北京市朝阳区将台路5号 (72)发明人 何余锋　董芸　王菲　王正兵　 赵小龙　 (74)专利代理 机构 北京惟专知识产权代理事务 所(普通合伙) 16074 专利代理师 赵星 (51)Int.Cl. H04W 12/06(2021.01) H04W 12/088(2021.01)H04L 9/40(2022.01) (56)对比文件 CN 113411286 A,2021.09.17 WO 2021136175 A1,2021.07.08 CN 114726829 A,2022.07.08 CN 107040495 A,2017.08.1 1 CN 108076164 A,2018.0 5.25 CN 114205815 A,202 2.03.18 CN 109561430 A,2019.04.02 CN 113949573 A,202 2.01.18 审查员 靳晶 (54)发明名称 5G专网接入认证失败时保障终端公网访问 的方法和系统 (57)摘要 本发明涉及5G专网接入认证失败时保障终 端公网访问的方法和系统， 属于通信技术领域。 在5G网元的用户面功能UPF上为5G专网终端配置 多个IP地址池； 在多个IP地址池中， 配置政企防 火墙的允许接入政企内网的白名单地址池和配 置公网地址池； SMF向AAA ‑P发送身份认证消息， AAA‑P将身份认证消息转发给政企行业侧AAA服 务器处理； 身份认证通过， 为终端分配白名单地 址池内的IP地址， 终端同时访问政企内网和公 网； 身份认证失败， 为终端分配公网地址池内的 IP地址， 终端只能访问公网。 本发明解决了同时 访问内外网并且内网做自主认证时， 如果认证失 败或认证无响应时如何保障终端公网访问的技 术问题。 权利要求书2页 说明书8页 附图6页 CN 115150830 B 2022.11.29 CN 115150830 B 1.一种5G专网接入认证失败时保障终端公网访问的方法， 其特 征在于， 所述方法包括： 步骤S1、 在5G网元的用户面功能UPF 上为5G专网终端配置多个IP地址池； 步骤S2、 在多个IP地址池中， 配置政企防火墙的允许接入政企内网的白名单地址池和 配置公网地址池； 所述公网地址池内的IP地址只能访问公网； 步骤S3、 SMF向AAA ‑P发送身份认证消息， 所述AAA ‑P将身份认证消息转发给政企行业侧 AAA服务器处理； 如果身份认证通过， 为终端分配所述白名单地址池内的IP地址， 所述终端 同时访问政企内网和公网， 其中所述A AA‑P表示AAA服务器代理转发系统； 步骤S4、 如果身份认证失败， 为终端分配所述公网地址池内的IP地址， 所述终端只能访 问公网； 在所述步骤S3中， 所述如果身份认证通过， 为终端分配所述白名单地址池内的IP地址 的方法包括： 如果身份认证通过， 则所述政企行业侧AAA服务器发送认证成功消息到所述AAA ‑P， 所 述AAA‑P再将所述认证成功消息发送给所述SMF， 所述AAA ‑P转发白名单地址池， 所述UPF为 终端分配所述白名单地址池内的IP地址， 所述白名单地址池内的IP地址由政企行业侧AAA 服务器发送 认证成功消息中携带； 在所述步骤S4中， 所述如果身份认证失败， 为终端分配所述公网地址池内的IP地址的 方法包括： 当所述AAA ‑P接收到政企行业侧AAA服务器的身份认证失败的消息时， 所述AAA ‑P将所 述身份认证失败的消息转变为身份认证成功的消息发送给所述S MF， 所述AAA ‑P下发公网地 址池， 所述UPF为终端分配所述公网地址池内的IP地址 。 2.根据权利要求1所述的一种5G专网接入认证失败时保障终端公网访 问的方法， 其特 征在于， 在所述 步骤S4中， 所述方法还 包括： 当所述AAA ‑P监测到发送给所述政企行业侧AAA服务器的身份认证的消息无回复消息 时， 所述AAA ‑P生成身份认证成功的消息发送给所述SMF， 所述AAA ‑P下发公网地址池， 所述 UPF为终端分配所述公网地址池内的IP地址 。 3.根据权利要求1所述的一种5G专网接入认证失败时保障终端公网访 问的方法， 其特 征在于， 在所述 步骤S4中， 所述方法还 包括： 当所述AAA ‑P监测到发送给所述政企行业侧AAA服务器的身份认证的消息无回复或者 身份认证失败的终端在线的计费消息， 所述A AA‑P不再转发给 所述政企行业侧A AA服务器。 4.一种5G专网接入认证失败时保障终端公网访问的系统， 其特 征在于， 所述系统包括： 第一处理模块， 被配置为， 在5G网元的用户面功能UPF上为5G专网终端配置多个IP地址 池； 第二处理模块， 被配置为， 在多个IP地址池中， 配置政企防火墙的允许接入政企内网的 白名单地址池和配置公网地址池； 所述公网地址池内的IP地址只能访问公网； 第三处理模块， 被配置为， SMF向AAA ‑P发送身份认证消息， 所述AAA ‑P将身份认证消息 转发给政企行业侧AAA 服务器处理； 如果身份认证通过， 为 终端分配所述白名单地址池内的 IP地址， 所述终端同时访问政企内网和公网， 其中所述A AA‑P表示AAA服务器代理转发系统； 第四处理模块， 被配置为， 如果身份认证失败， 为终端分配所述公网地址池内的IP地 址， 所述终端只能访问公网；权　利　要　求　书 1/2 页 2 CN 115150830 B 2所述第三处理模块， 被配置为， 所述如果身份认证通过， 为终端分配所述白名单地址池 内的IP地址包括： 如果身份认证通过， 则所述政企行业侧AAA服务器发送认证成功消息到所述AAA ‑P， 所 述AAA‑P再将所述认证成功消息发送给所述SMF， 所述AAA ‑P转发白名单地址池， 所述UPF为 终端分配所述白名单地址池内的IP地址； 所述白名单地址池内的IP地址由政企行业侧AAA 服务器发送 认证成功消息中携带； 所述第四处理模块， 被配置为， 所述如果身份认证失败， 为终端分配所述公网地址池内 的IP地址包括： 当所述AAA ‑P接收到政企行业侧AAA服务器的身份认证失败的消息时， 所述AAA ‑P将所 述身份认证失败的消息转变为身份认证成功的消息发送给所述S MF， 所述AAA ‑P下发公网地 址池， 所述UPF为终端分配所述公网地址池内的IP地址 。 5.根据权利要求4所述的一种5G专网接入认证失败时保障终端公网访 问的系统， 其特 征在于， 所述第四处 理模块， 被 配置为， 还 包括： 当所述AAA ‑P监测到发送给所述政企行业侧AAA服务器的身份认证的消息无回复消息 时， 所述AAA ‑P生成身份认证成功的消息发送给所述SMF， 所述AAA ‑P下发公网地址池， 所述 UPF为终端分配所述公网地址池内的IP地址； 当所述AAA ‑P监测到发送给所述政企行业侧AAA服务器的身份认证的消息无回复或者 身份认证失败的终端在线的计费消息， 所述A AA‑P不再转发给 所述政企行业侧A AA服务器。 6.一种电子设备， 其特征在于， 所述电子设备包括存储器和处理器， 所述存储器存储有 计算机程序， 所述处理器执行所述计算机程序时， 实现如权利要求1至3中任一项所述的一 种5G专网接入认证失败时保障终端公网访问的方法中的步骤。 7.一种计算机可读存储介质， 其特征在于， 所述计算机可读存储介质上存储有计算机 程序， 所述计算机程序被处理器执行时， 实现如权利要求1至3中任一项所述的一种5G专网 接入认证失败时保障终端公网访问的方法中的步骤。权　利　要　求　书 2/2 页 3 CN 115150830 B 3