[发明专利]一种增强跨网络访问安全的方法、设备及系统

权利要求书

1.一种增强跨网络访问安全的方法，其特征在于，所述方法用于终端通过在第一网络中建立的分组数据单元PDU会话访问第二网络，所述方法包括：

第一网络中的会话管理网元接收针对所述PDU会话的第一请求消息，所述第一请求消息为所述第二网络中的网元在所述终端鉴权失败时发送的，且包括所述终端的地址信息、所述第二网络的标识以及禁止所述终端访问所述第二网络的指示信息；

所述会话管理网元根据所述第一请求消息，存储禁止所述终端访问第二网络的信息；

所述会话管理网元阻断所述终端对所述第二网络的访问。

2.根据权利要求1所述的方法，其特征在于，所述禁止所述终端访问第二网络的信息包括所述终端在第一网络中的标识和所述第二网络的标识；所述会话管理网元根据所述终端的地址信息、所述第二网络的标识以及禁止所述终端访问第二网络的指示信息，存储禁止所述终端访问第二网络的信息，具体为：

根据所述终端的地址信息，确定所述终端在所述第一网络中的标识；

关联存储所述终端在所述第一网络中的标识和所述第二网络的标识。

3.根据权利要求1所述的方法，其特征在于，所述禁止所述终端访问第二网络的信息包括所述终端在第一网络中的标识和所述第二网络的标识；所述会话管理网元根据所述终端的地址信息、所述第二网络的标识以及禁止所述终端访问第二网络的指示信息，存储禁止所述终端访问第二网络的信息，具体为：

根据所述终端的地址信息，确定所述终端在所述第一网络中的标识；

将所述终端在所述第一网络中的标识和所述第二网络的标识关联存储到所述第一网络中UDM网元中所述终端的签约数据里或者存储到第一网络中安全网关中。

4.根据权利要求1-3任一所述的方法，其特征在于，所述阻断所述终端对所述第二网络的访问，包括：

所述会话管理网元向所述第一网络中为所述PDU会话服务的用户面功能网元发送阻断所述终端访问所述第二网络的第二请求消息；

所述用户面功能网元根据第二请求消息，阻断所述终端对所述第二网络的访问。

5.根据权利要求1-3任一所述的方法，其特征在于，所述阻断所述终端对所述第二网络的访问，包括：

所述会话管理网元释放所述PDU会话。

6.根据权利要求1-3任一所述的方法，其特征在于，所述方法还包括：

在所述终端再次发起用于访问第二网络的PDU会话建立请求的情况下，根据所述禁止所述终端访问第二网络的信息，阻断所述终端对所述第二网络的访问。

7.根据权利要求1-3任一所述的方法，其特征在于，第一请求消息还包括禁止所述终端访问所述第二网络的有效期；所述禁止所述终端访问所述第二网络的信息还包括所述有效期。

8.一种增强跨网络访问安全的方法，其特征在于，所述方法用于终端通过在第一网络中建立的分组数据单元PDU会话访问第二网络，所述方法包括：

第二网络中的网元在所述终端鉴权失败的情况下，记录所述鉴权失败的结果；

所述第二网络中的网元根据所述鉴权失败的结果，确定阻止所述终端访问所述第二网络；

所述第二网络中的网元向第一网络中的网元发送鉴权响应，所述鉴权响应包括所述终端的地址信息以及禁止所述终端访问所述第二网络的指示信息。

9.根据权利要求8所述的方法，其特征在于，所述鉴权响应还包括禁止所述终端访问所述第二网络的有效期。

10.根据权利要求8或9所述的方法，其特征在于，所述确定阻止所述终端访问所述第二网络，具体为：

所述第二网络中的网元确定所述终端鉴权失败的次数大于预设的阈值。

11.根据权利要求8或9所述的方法，其特征在于，所述第二网络中的网元为非3GPP互通功能N3IWF网元。