多层次访问控制方法、模块、介质及系统与流程

1.本发明涉及通信技术领域，尤其涉及一种多层次访问控制方法、多层次访问控制模块、标准aaa模块、计算机可读存储介质及定制aaa系统。


背景技术：

2.目前标准的二次认证主要采用3gpp(3rd generationpartnership project，第三代合作伙伴计划)标准：在用户发起pdu(protocol data unit，协议数据单元)建立请求时，采用第三方dn(data network，数据网络)-aaa(authentication、authorization
3.accounting，验证、授权和记账)服务器对用户的pdu建立请求进行认证授权。
4.因此，现有技术只限于标准的aaa认证，随着企业数字化、智能化演进，对终端如何定制化安全接入企业园区，不能根据垂直行业所需进行定制开发，缺少由aaa系统调配且自主可控的访问控制策略。


技术实现要素：

5.本发明所要解决的技术问题是针对现有技术的上述不足，提供一种多层次访问控制方法、多层次访问控制模块、标准aaa模块、计算机可读存储介质及定制aaa系统，以解决现有技术中aaa认证缺少由aaa系统调配且自主可控的访问控制策略的问题。
6.第一方面，本发明提供一种多层次访问控制方法，应用于定制认证授权记账aaa系统的多层次访问控制模块，所述方法包括：
7.接收来自定制aaa系统的标准aaa模块的终端多层次访问认证信息；
8.根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；
9.根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；
10.控制终端根据访问授权并以审计记录模式访问数据网络。
11.可选地，终端登录方式认证具体为终端单点登录方式认证；
12.终端访问权限认证具体包括：终端标识访问权限认证、终端登录时间访问权限认证和/或终端登录地址访问权限认证。
13.可选地，终端多层次访问认证信息中包括可扩展认证协议响应eap-response数据包和终端标识；
14.根据终端多层次访问认证信息对终端进行多层次访问模式认证，具体包括：
15.获取终端所属的垂直行业；
16.根据eap-response数据包获取终端的单点登录方式，根据垂直行业定制的单点登录方式对终端的单点登录方式进行认证；
17.通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证。
18.可选地，通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证，具体包括：
19.根据eap-response数据包获取终端的登录时间和登录地址；
20.获取垂直行业制定的固定终端白名单、与登录时间对应的时段终端白名单和与登录地址对应的区域终端白名单；
21.如果终端标识在固定终端白名单、时段终端白名单和区域终端白名单中，则终端通过访问权限认证，否则终端没有通过访问权限认证。
22.可选地，根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，具体包括：
23.如果终端通过多层次访问模式认证，则根据终端访问模式为终端分配授权流量范围，并对终端进入审计记录模式以审计记录终端访问数据网络信息。
24.可选地，根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式之后，所述方法还包括：
25.向标准aaa模块发送终端可登录认证标识，以使标准aaa模块根据终端可登录认证标识允许终端接入数据网络。
26.第二方面，本发明提供一种多层次访问控制方法，应用于定制认证授权记账aaa系统的标准aaa模块，所述方法包括：
27.向定制aaa系统的多层次访问控制模块发送终端多层次访问认证信息，以使，多层次访问控制模块根据接收到的终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证，并根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，且控制终端根据访问授权并以审计记录模式访问数据网络。
28.可选地，向多层次访问控制模块发送终端多层次访问认证信息，具体包括：
29.接收来自会话管理功能smf网元的终端二次认证请求，终端二次认证请求由smf网元根据来自终端的访问数据网络请求发送，且其中携带终端标识；
30.根据终端二次认证请求，向终端发送可扩展认证协议请求eap-request数据包；
31.接收来自终端的可扩展认证协议响应eap-response数据包，eap-response数据包由终端根据eap-request数据包发送，且其中携带终端单点登录方式、终端登录时间和终端登录地址；
32.向多层次访问控制模块发送包括eap-response数据包和终端标识的终端多层次访问认证信息。
33.可选地，向多层次访问控制模块发送终端多层次访问认证信息之后，所述方法还包括：
34.接收来自多层次访问控制模块的终端可登录认证标识，并根据终端可登录认证标识允许终端接入数据网络。
35.第三方面，本发明提供一种定制认证授权记账aaa系统的多层次访问控制模块，包括：
36.第一接收单元，用于接收来自定制aaa系统的标准aaa模块的终端多层次访问认证信息；
37.多层次认证单元，与第一接收单元连接，用于根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；
38.授权审计单元，与多层次认证单元连接，用于根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；
39.控制单元，与授权审计单元连接，用于控制终端根据访问授权并以审计记录模式访问数据网络。
40.第四方面，本发明提供一种定制认证授权记账aaa系统的标准aaa模块，包括：
41.认证开启单元，用于向定制aaa系统的多层次访问控制模块发送终端多层次访问认证信息，以使，多层次访问控制模块根据接收到的终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证，并根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，且控制终端根据访问授权并以审计记录模式访问数据网络。
42.第五方面，本发明提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现如上所述的多层次访问控制方法。
43.第六方面，本发明提供一种定制认证授权记账aaa系统，包括：
44.多层次访问控制模块，用于执行如上所述的多层次访问控制方法；
45.标准aaa模块，与多层次访问控制模块连接，用于执行如上所述的多层次访问控制方法。
46.本发明提供一种多层次访问控制方法、多层次访问控制模块、标准aaa模块、计算机可读存储介质及定制aaa系统，通过定制aaa系统的多层次访问控制模块接收来自定制aaa系统的标准aaa模块的终端多层次访问认证信息，根据终端多层次访问认证信息对终端进行包括终端登录方式认证和终端访问权限认证的多层次访问模式认证，并根据多层次访问模式认证的结果制定包括访问授权和审计记录模式的访问控制策略，控制终端按照访问控制策略安全地访问数据网络，从而实现由aaa系统为终端访问数据网络制定自主可控的访问控制策略，以使终端按照访问控制策略安全地接入企业园区等场景。
附图说明
47.图1是本发明实施例中一种多层次访问控制方法的流程图；
48.图2是本发明实施例中一种多层次访问控制方法的交互图；
49.图3是本发明实施例中另一种多层次访问控制方法的流程图；
50.图4是本发明实施例中再一种多层次访问控制方法的流程图；
51.图5是本发明实施例中一种多层次访问控制模块的结构示意图；
52.图6是本发明实施例中一种标准aaa模块的结构示意图。
具体实施方式
53.为使本领域技术人员更好地理解本发明的技术方案，下面将结合附图对本发明实施方式作进一步地详细描述。
54.可以理解的是，此处描述的具体实施例和附图仅仅用于解释本发明，而非对本发明的限定。
55.可以理解的是，在不冲突的情况下，本发明中的各实施例及实施例中的各特征可相互组合。
56.可以理解的是，为便于描述，本发明的附图中仅示出了与本发明相关的部分，而与本发明无关的部分未在附图中示出。
57.可以理解的是，本发明的实施例中所涉及的每个单元、模块可仅对应一个实体结构，也可由多个实体结构组成，或者，多个单元、模块也可集成为一个实体结构。
58.可以理解的是，在不冲突的情况下，本发明的流程图和框图中所标注的功能、步骤可按照不同于附图中所标注的顺序发生。
59.可以理解的是，本发明的流程图和框图中，示出了按照本发明各实施例的系统、装置、设备、方法的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可代表一个单元、模块、程序段、代码，其包含用于实现规定的功能的可执行指令。而且，框图和流程图中的每个方框或方框的组合，可用实现规定的功能的基于硬件的系统实现，也可用硬件与计算机指令的组合来实现。
60.可以理解的是，本发明实施例中所涉及的单元、模块可通过软件的方式实现，也可通过硬件的方式来实现，例如单元、模块可位于处理器中。
61.实施例1：
62.如图1-3所示，本发明实施例1提供一种多层次访问控制方法，可应用于如图2所示的定制认证授权记账aaa系统的多层次访问控制模块，所述方法至少包括如图1所示的步骤：
63.s11、接收来自定制aaa系统的标准aaa模块的终端多层次访问认证信息；
64.s12、根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；
65.s13、根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；
66.s14、控制终端根据访问授权并以审计记录模式访问数据网络。
67.具体而言，在本实施例中，定制aaa系统在标准aaa模块的基础上，增加了多层次访问控制模块，可以实现由标准aaa模块先进行标准aaa认证，之后由多层次访问控制模块进行定制aaa认证，对于具有不同安全防护等级的终端，标准aaa模块根据终端标识将终端多层次访问认证信息转发给对应的多层次访问控制模块，以满足不同用户终端的安全需求，实现对终端接入数据业务网络的访问控制。其中，定制aaa认证是：通过定制aaa系统的多层次访问控制模块接收来自定制aaa系统的标准aaa模块的终端多层次访问认证信息，根据终端多层次访问认证信息对终端进行包括终端登录方式认证和终端访问权限认证的多层次访问模式认证，并根据多层次访问模式认证的结果制定包括访问授权和审计记录模式的访问控制策略，控制终端按照访问控制策略安全地访问数据网络，从而实现由aaa系统为终端访问数据网络制定自主可控的访问控制策略，以使终端按照访问控制策略安全地接入企业园区等场景。需要说明的是，标准aaa模块和多层次访问控制模块可以设置于同一服务器，也可以设置于不同的服务器上，可以是一个专用设备，也可以是一个多功能设备的功能模块，二者保持通信连接即可，为了实现二者之间的通信连接，需先执行图2所示的步骤1a-1d，即：1a.标准aaa模块向多层次访问控制模块发起接入请求，1b.多层次访问控制模块确认接入请求，1c.标准aaa模块向多层次访问控制模块发送认证授权请求，1d.多层次访问控制模块完成标准aaa模块的认证授权后向标准aaa模块发送认证授权信息，步骤1a-1d应该
在步骤3a之前完成，但与步骤2a-2d之间没有先后顺序的限制。
68.可选地，终端登录方式认证具体为终端单点登录方式认证；
69.终端访问权限认证具体包括：终端标识访问权限认证、终端登录时间访问权限认证和/或终端登录地址访问权限认证。
70.具体而言，在本实施例中，多层次访问模式认证具体包括如图3所示的步骤s004终端登录方式认证、s006终端标识认证、s007终端登录时间认证、s008终端登录地址认证，其中步骤s004具体为终端单点登录方式认证。
71.可选地，终端多层次访问认证信息中包括可扩展认证协议响应eap-response数据包和终端标识；
72.根据终端多层次访问认证信息对终端进行多层次访问模式认证，具体包括：
73.获取终端所属的垂直行业；
74.根据eap-response数据包获取终端的单点登录方式，根据垂直行业定制的单点登录方式对终端的单点登录方式进行认证；
75.通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证。
76.具体而言，在本实施例中，访问控制策略可以由垂直行业按照自身所需进行定制开发，多层次认证的过程可以包括如图3所示的如下步骤：
77.s001、标准aaa模块接收认证请求，具体由图2中步骤2a.ue(user equipment，用户设备/终端)向5g(5th generation mobile communication technology，第五代移动通信技术)核心网发送访问数据网络请求和2b.5g核心网的smf(session management function，会话管理功能)根据访问数据网络请求向标准aaa模块发送终端二次认证请求触发，smf在5g核心网完成对终端的主认证鉴权后，在为终端建立用户面数据通道时，将根据终端的签约信息决定是否向标准aaa模块发起二次身份认证，包括发送终端标识，终端标识具体可以是终端序列号；
78.s002、标准aaa模块发送认证请求，具体是标准aaa在接收到终端二次认证请求后，执行图2中步骤2c.标准aaa模块向ue发送eap(extensible authentication protocol，可扩展认证协议)-request(请求)数据包、2c.标准aaa模块接收ue根据eap-request数据包返回的eap-response(响应)数据包、和3a.标准aaa模块根据eap-response数据包向多层次访问控制模块发送终端多层次认证信息，标准aaa模块根据需要进行认证的访问模式参数定义eap-request数据包，从而在eap-response数据包中携带访问模式参数，并使得多层次访问控制模块在后续根据访问模式参数进行多层次访问模式认证，访问模式参数具体包括终端的单点登录方式、登录时间和登录地址，多层次访问模式认证具体包括终端单点登录方式认证、终端标识访问权限认证、终端登录时间访问权限认证和/或终端登录地址访问权限认证；
79.s003、多层次访问控制模块开启认证，多层次访问控制模块可以根据终端标识确认对终端的访问模式开启多层次认证，可以在多层次访问控制模块中预置垂直行业定制的多层次访问模式认证信息，多层次访问控制模块接收到来自标准aaa模块的终端多层次访问认证信息后，将终端多层次访问认证信息与垂直行业定制的多层次访问模式认证信息进行对比获得多层次访问模式认证结果，具体包括：
80.s004、终端登录方式认证，多层次访问控制模块对终端进行单点登录方式认证，终
端可根据不同的场景选择不同的单点登录方式，例如：同域下的单点登录，垂直行业只有一个域名，通过二级域名区分不同系统，利用二级域名写一级域名的cookie(小型文本文件)，可以将cookie设置为顶域，这样二级域名可以访问到顶域的cookie；不同域下的单点登录，可以部署一个sso(单点登录，single sign on)认证中心(例如开源项目cas，其中cas是central authentication service，即中央认证服务)，认证中心负责处理登录请求；多层次访问控制模块收到eap-response数据包获得终端的单点登录方式的信息，判断终端的单点登录方式是否符合垂直行业在对应场景定制的单点登录方式，在不同场景选择不同的单点登录方式可以减少用户在不同系统中登录耗费的时间，减少用户登录出错的可能性，实现安全的同时避免了处理和保存多套系统用户的认证信息；如果通过这一步认证，则进入终端访问权限认证，否则执行步骤s005、结束认证过程。
81.可选地，通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证，具体包括：
82.根据eap-response数据包获取终端的登录时间和登录地址；
83.获取垂直行业制定的固定终端白名单、与登录时间对应的时段终端白名单和与登录地址对应的区域终端白名单；
84.如果终端标识在固定终端白名单、时段终端白名单和区域终端白名单中，则终端通过访问权限认证，否则终端没有通过访问权限认证。
85.具体而言，在本实施例中，多层次访问控制模块可以在垂直行业定制aaa时，就已经设置好终端序列号白名单，规定时间段终端接入白名单、规定区域终端接入白名单，从而在接收到终端多层次访问认证信息后，完成这三个层次的终端访问权限认证，可以包括如图3所示的如下步骤：
86.s006、终端标识认证，多层次访问控制模块根据终端序列号对终端进行身份认证，因为在一些垂直行业中，需要固定的终端才可以访问网络，以加强垂直行业的安全认证，通过比对垂直行业终端序列号白名单，判断终端是否通过这一步认证，如果通过这一步认证，则进入下一步认证，否则执行步骤s005、结束认证过程；
87.s007、终端登录时间认证，多层次访问控制模块根据预先制定的规定时间段对终端进行身份认证，例如，某些终端可接入的时间段为上午8：00-18：00，某些终端的可接入时间为12：00-早8：00，因为根据垂直行业的工作需求，例如早晚班等，可能在特定时间段才可以访问公司网络，根据垂直行业所制定的接入时间段终端白名单判定终端是否通过这一步认证，如果通过这一步认证，则进入下一步认证，否则执行步骤s005、结束认证过程；
88.s008、终端登录地址认证，多层次访问控制模块根据预先制定的规定区域对终端进行身份认证，因为根据垂直行业的安全需求，一些终端只有在产业园区内部，或者总公司、子公司、分公司的内部才可以访问网络，超出区域范围则认证不成功，不能允许接入网络，如果通过这一步认证，则进入授权审计过程，否则执行步骤s005、结束认证过程。
89.可选地，根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，具体包括：
90.如果终端通过多层次访问模式认证，则根据终端访问模式为终端分配授权流量范围，并对终端进入审计记录模式以审计记录终端访问数据网络信息。
91.具体而言，在本实施例中，多层次访问控制模块对终端通过全部多层次访问模式
认证后，进入授权审计过程，可以包括如图3所示的如下步骤：
92.s009、多层次访问控制模块给终端授权，多层次访问控制模块对认证成功终端进行授权，以允许终端按照通过认证的访问模式访问数据网络；
93.s010、多层次访问控制模块分配终端流量范围，多层次访问控制模块根据终端的安全需求，为防止ddos(distributed denial of service，分布式阻断服务)攻击等目的，可预先设置不同的授权流量范围和对不同流量范围的授权规则，分配给认证成功的一个终端的流量范围是一定的；
94.s011、多层次访问控制模块审计记录终端访问，多层次访问控制模块会在终端访问数据网络过程中，验证终端信息并记录终端访问记录日志，对记录进行二次核查，以确保信息接入准确。
95.可选地，根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式之后，所述方法还包括：
96.向标准aaa模块发送终端可登录认证标识，以使标准aaa模块根据终端可登录认证标识允许终端接入数据网络。
97.具体而言，在本实施例中，多层次访问控制模块对终端完成多层次访问模式认证和授权审计后，终端按照授权访问数据网络，并由多层次访问控制模块进行审计记录，即如图3所示的步骤s012终端访问数据网络可以包括如图2所示的步骤3b.多层次访问控制模块向标准aaa模块发送终端可登录认证标识，3c.标准aaa模块允许终端接入数据网络，和3d.多层次访问控制模块对审计记录终端访问数据网络信息。
98.具体而言，在本实施例中，为保障多样终端的接入可控，防止非法终端接入专网，精准把控终端访问行为，设计了一种多层次访问控制方法，在标准aaa的基础上增加多层次访问控制模块，以负责终端接入数据业务网络的访问控制，可以根据不同的垂直行业的需求定制相应的多层次访问控制策略，针对不同垂直行业，标准aaa根据终端标识将认证信息转发给对应的多层次访问控制模块，以满足不同垂直用户的安全需求，既满足了二次认证增强功能需要，又最大限度地适应了现有产业链的发展现状，有利于二次认证多层次访问控制功能的落地推广，针对垂直行业的安全需求，更安全、便捷的控制终端接入，保证垂直行业的5g安全需求。
99.实施例2：
100.如图2-4所示，本发明实施例2提供一种多层次访问控制方法，可应用于如图2所示的定制认证授权记账aaa系统的标准aaa模块，所述方法至少包括如图4所示的步骤：
101.s21、向定制aaa系统的多层次访问控制模块发送终端多层次访问认证信息，以使，多层次访问控制模块根据接收到的终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证，并根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，且控制终端根据访问授权并以审计记录模式访问数据网络。
102.可选地，向多层次访问控制模块发送终端多层次访问认证信息，具体包括：
103.接收来自会话管理功能smf网元的终端二次认证请求，终端二次认证请求由smf网元根据来自终端的访问数据网络请求发送，且其中携带终端标识；
104.根据终端二次认证请求，向终端发送可扩展认证协议请求eap-request数据包；
105.接收来自终端的可扩展认证协议响应eap-response数据包，eap-response数据包由终端根据eap-request数据包发送，且其中携带终端单点登录方式、终端登录时间和终端登录地址；
106.向多层次访问控制模块发送包括eap-response数据包和终端标识的终端多层次访问认证信息。
107.可选地，向多层次访问控制模块发送终端多层次访问认证信息之后，所述方法还包括：
108.接收来自多层次访问控制模块的终端可登录认证标识，并根据终端可登录认证标识允许终端接入数据网络。
109.具体而言，在本实施例中，在标准aaa模块上执行的是与实施例1交互的对应方法，该方法可以结合实施例1进行理解。
110.实施例3：
111.如图5所示，本发明实施例3提供一种定制认证授权记账aaa系统的多层次访问控制模块，包括：
112.第一接收单元11，用于接收来自定制aaa系统的标准aaa模块的终端多层次访问认证信息；
113.多层次认证单元12，与第一接收单元11连接，用于根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；
114.授权审计单元13，与多层次认证单元12连接，用于根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；
115.控制单元14，与授权审计单元13连接，用于控制终端根据访问授权并以审计记录模式访问数据网络。
116.可选地，终端登录方式认证具体为终端单点登录方式认证；
117.终端访问权限认证具体包括：终端标识访问权限认证、终端登录时间访问权限认证和/或终端登录地址访问权限认证。
118.可选地，终端多层次访问认证信息中包括可扩展认证协议响应eap-response数据包和终端标识；
119.多层次认证单元12，具体包括：
120.获取子单元，用于获取终端所属的垂直行业；
121.第一认证子单元，与获取子单元连接，用于根据eap-response数据包获取终端的单点登录方式，根据垂直行业定制的单点登录方式对终端的单点登录方式进行认证；
122.第二认证子单元，与获取子单元连接，用于通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证。
123.可选地，第二认证子单元，具体用于：
124.根据eap-response数据包获取终端的登录时间和登录地址；
125.获取垂直行业制定的固定终端白名单、与登录时间对应的时段终端白名单和与登录地址对应的区域终端白名单；
126.如果终端标识在固定终端白名单、时段终端白名单和区域终端白名单中，则终端通过访问权限认证，否则终端没有通过访问权限认证。
127.可选地，授权审计单元13，具体用于：
128.如果终端通过多层次访问模式认证，则根据终端访问模式为终端分配授权流量范围，并对终端进入审计记录模式以审计记录终端访问数据网络信息。
129.可选地，多层次访问控制模块还包括：
130.第一发送单元，用于向标准aaa模块发送终端可登录认证标识，以使标准aaa模块根据终端可登录认证标识允许终端接入数据网络。
131.实施例4：
132.如图6所示，本发明实施例4提供一种定制认证授权记账aaa系统的标准aaa模块，包括：
133.认证开启单元21，用于向定制aaa系统的多层次访问控制模块发送终端多层次访问认证信息，以使，多层次访问控制模块根据接收到的终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证，并根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，且控制终端根据访问授权并以审计记录模式访问数据网络。
134.可选地，认证开启单元21，具体包括：
135.第二接收单元，用于接收来自会话管理功能smf网元的终端二次认证请求，终端二次认证请求由smf网元根据来自终端的访问数据网络请求发送，且其中携带终端标识；
136.第二发送单元，与第二接收单元连接，用于根据终端二次认证请求，向终端发送可扩展认证协议请求eap-request数据包；
137.第二接收单元，还用于接收来自终端的可扩展认证协议响应eap-response数据包，eap-response数据包由终端根据eap-request数据包发送，且其中携带终端单点登录方式、终端登录时间和终端登录地址；
138.第二发送单元，还用于向多层次访问控制模块发送包括eap-response数据包和终端标识的终端多层次访问认证信息。
139.可选地，
140.第二接收单元，还用于接收来自多层次访问控制模块的终端可登录认证标识，并根据终端可登录认证标识允许终端接入数据网络。
141.实施例5：
142.本发明实施例5提供一种计算机可读存储介质，其上存储有计算机程序，所述计算机程序被处理器执行时，实现如实施例1或2所述的多层次访问控制方法。
143.具体而言，在本实施例中，所述计算机可读存储介质中存储的计算程序可运行于包括多层次访问控制模块的设备或包括标准aaa模块的设备，用于实现对终端接入数据网络的二次认证信息进行多层次访问模式认证，并根据多层次访问模式认证的结果制定包括访问授权和审计记录模式的访问控制策略，控制终端按照访问控制策略安全地访问数据网络。所述计算机可读存储介质包括在用于存储信息(诸如计算机可读指令、数据结构、计算机程序模块或其他数据)的任何方法或技术中实施的易失性或非易失性、可移除或不可移除的介质。计算机可读存储介质包括但不限于ram(random access memory，随机存取存储器)，rom(read-only memory，只读存储器)，eeprom(electrically erasable programmable read only memory，带电可擦可编程只读存储器)、闪存或其他存储器技术、
cd-rom(compact disc read-only memory，光盘只读存储器)，数字多功能盘(dvd)或其他光盘存储、磁盒、磁带、磁盘存储或其他磁存储装置、或者可以用于存储期望的信息并且可以被计算机访问的任何其他的介质。
144.另外，本发明还可以提供一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，当所述处理器运行所述存储器存储的计算机程序时，所述处理器执行如实施例1或2所述的多层次访问控制方法。
145.其中，存储器与处理器连接，存储器可采用闪存或只读存储器或其他存储器，处理器可采用中央处理器或单片机。
146.实施例6：
147.本发明实施例6提供一种定制认证授权记账aaa系统，包括：
148.多层次访问控制模块，用于执行如实施例1所述的多层次访问控制方法；
149.标准aaa模块，与多层次访问控制模块连接，用于执行如实施例2所述的多层次访问控制方法。
150.具体而言，在本实施例中，定制aaa系统可以由如图2所示的多层次访问控制模块和标准aaa模块组成，二者可以分别位于不同的服务器中，也可以设置在同一个服务器中，可以是一个专用设备，也可以是一个多功能设备的功能模块，更详细的阐述参见实施例1。
151.本发明实施例1-6提供一种多层次访问控制方法、多层次访问控制模块、标准aaa模块、计算机可读存储介质及定制aaa系统，通过定制aaa系统的多层次访问控制模块接收来自定制aaa系统的标准aaa模块的终端多层次访问认证信息，根据终端多层次访问认证信息对终端进行包括终端登录方式认证和终端访问权限认证的多层次访问模式认证，并根据多层次访问模式认证的结果制定包括访问授权和审计记录模式的访问控制策略，控制终端按照访问控制策略安全地访问数据网络，从而实现由aaa系统为终端访问数据网络制定自主可控的访问控制策略，以使终端按照访问控制策略安全地接入企业园区等场景。
152.可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。

技术特征：
1.一种多层次访问控制方法，其特征在于，应用于定制认证授权记账aaa系统的多层次访问控制模块，所述方法包括：接收来自定制aaa系统的标准aaa模块的终端多层次访问认证信息；根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；控制终端根据访问授权并以审计记录模式访问数据网络。2.根据权利要求1所述的方法，其特征在于，终端登录方式认证具体为终端单点登录方式认证；终端访问权限认证具体包括：终端标识访问权限认证、终端登录时间访问权限认证和/或终端登录地址访问权限认证。3.根据权利要求2所述的方法，其特征在于，终端多层次访问认证信息中包括可扩展认证协议响应eap-response数据包和终端标识；根据终端多层次访问认证信息对终端进行多层次访问模式认证，具体包括：获取终端所属的垂直行业；根据eap-response数据包获取终端的单点登录方式，根据垂直行业定制的单点登录方式对终端的单点登录方式进行认证；通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证。4.根据权利要求3所述的方法，其特征在于，通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证，具体包括：根据eap-response数据包获取终端的登录时间和登录地址；获取垂直行业制定的固定终端白名单、与登录时间对应的时段终端白名单和与登录地址对应的区域终端白名单；如果终端标识在固定终端白名单、时段终端白名单和区域终端白名单中，则终端通过访问权限认证，否则终端没有通过访问权限认证。5.根据权利要求1-4任一项所述的方法，其特征在于，根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，具体包括：如果终端通过多层次访问模式认证，则根据终端访问模式为终端分配授权流量范围，并对终端进入审计记录模式以审计记录终端访问数据网络信息。6.根据权利要求1-4任一项所述的方法，其特征在于，根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式之后，所述方法还包括：向标准aaa模块发送终端可登录认证标识，以使标准aaa模块根据终端可登录认证标识允许终端接入数据网络。7.一种多层次访问控制方法，其特征在于，应用于定制认证授权记账aaa系统的标准aaa模块，所述方法包括：向定制aaa系统的多层次访问控制模块发送终端多层次访问认证信息，以使，多层次访问控制模块根据接收到的终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证，并根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，且控制终端根据访问授权并以审计记录模式访问数据网
络。8.根据权利要求7所述的方法，其特征在于，向多层次访问控制模块发送终端多层次访问认证信息，具体包括：接收来自会话管理功能smf网元的终端二次认证请求，终端二次认证请求由smf网元根据来自终端的访问数据网络请求发送，且其中携带终端标识；根据终端二次认证请求，向终端发送可扩展认证协议请求eap-request数据包；接收来自终端的可扩展认证协议响应eap-response数据包，eap-response数据包由终端根据eap-request数据包发送，且其中携带终端单点登录方式、终端登录时间和终端登录地址；向多层次访问控制模块发送包括eap-response数据包和终端标识的终端多层次访问认证信息。9.根据权利要求7所述的方法，其特征在于，向多层次访问控制模块发送终端多层次访问认证信息之后，所述方法还包括：接收来自多层次访问控制模块的终端可登录认证标识，并根据终端可登录认证标识允许终端接入数据网络。10.一种定制认证授权记账aaa系统的多层次访问控制模块，其特征在于，包括：第一接收单元，用于接收来自定制aaa系统的标准aaa模块的终端多层次访问认证信息；多层次认证单元，与第一接收单元连接，用于根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；授权审计单元，与多层次认证单元连接，用于根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；控制单元，与授权审计单元连接，用于控制终端根据访问授权并以审计记录模式访问数据网络。11.一种定制认证授权记账aaa系统的标准aaa模块，其特征在于，包括：认证开启单元，用于向定制aaa系统的多层次访问控制模块发送终端多层次访问认证信息，以使，多层次访问控制模块根据接收到的终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证，并根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，且控制终端根据访问授权并以审计记录模式访问数据网络。12.一种计算机可读存储介质，其特征在于，其上存储有计算机程序，所述计算机程序被处理器执行时，实现如权利要求1-6或7-9任一项所述的多层次访问控制方法。13.一种定制认证授权记账aaa系统，其特征在于，包括：多层次访问控制模块，用于执行如权利要求1-6任一项所述的多层次访问控制方法；标准aaa模块，与多层次访问控制模块连接，用于执行如权利要求7-9任一项所述的多层次访问控制方法。

技术总结
本发明提供一种多层次访问控制方法、模块、介质及系统，涉及通信技术领域，用于解决现有技术中AAA认证缺少由AAA系统调配且自主可控的访问控制策略的问题，所述方法包括：接收来自定制AAA系统的标准AAA模块的终端多层次访问认证信息；根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；控制终端根据访问授权并以审计记录模式访问数据网络。本发明可以实现由AAA系统为终端访问数据网络制定自主可控的访问控制策略，以使终端按照访问控制策略安全地接入数据网络。数据网络。数据网络。


技术研发人员：苏俐竹 徐雷 郭新海 丁攀 刘安 蓝鑫冲 谢泽铖
受保护的技术使用者：中国联合网络通信集团有限公司
技术研发日：2023.05.29
技术公布日：2023/8/9