[发明专利]多层次访问控制方法、模块、介质及系统

权利要求书

1.一种多层次访问控制方法，其特征在于，应用于定制认证授权记账AAA系统的多层次访问控制模块，所述方法包括：

接收来自定制AAA系统的标准AAA模块的终端多层次访问认证信息；

根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；

根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；

控制终端根据访问授权并以审计记录模式访问数据网络。

2.根据权利要求1所述的方法，其特征在于，终端登录方式认证具体为终端单点登录方式认证；

终端访问权限认证具体包括：终端标识访问权限认证、终端登录时间访问权限认证和/或终端登录地址访问权限认证。

3.根据权利要求2所述的方法，其特征在于，终端多层次访问认证信息中包括可扩展认证协议响应EAP-Response数据包和终端标识；

根据终端多层次访问认证信息对终端进行多层次访问模式认证，具体包括：

获取终端所属的垂直行业；

根据EAP-Response数据包获取终端的单点登录方式，根据垂直行业定制的单点登录方式对终端的单点登录方式进行认证；

通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证。

4.根据权利要求3所述的方法，其特征在于，通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证，具体包括：

根据EAP-Response数据包获取终端的登录时间和登录地址；

获取垂直行业制定的固定终端白名单、与登录时间对应的时段终端白名单和与登录地址对应的区域终端白名单；

如果终端标识在固定终端白名单、时段终端白名单和区域终端白名单中，则终端通过访问权限认证，否则终端没有通过访问权限认证。

5.根据权利要求1-4任一项所述的方法，其特征在于，根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，具体包括：

如果终端通过多层次访问模式认证，则根据终端访问模式为终端分配授权流量范围，并对终端进入审计记录模式以审计记录终端访问数据网络信息。

6.根据权利要求1-4任一项所述的方法，其特征在于，根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式之后，所述方法还包括：

向标准AAA模块发送终端可登录认证标识，以使标准AAA模块根据终端可登录认证标识允许终端接入数据网络。

7.一种多层次访问控制方法，其特征在于，应用于定制认证授权记账AAA系统的标准AAA模块，所述方法包括：

向定制AAA系统的多层次访问控制模块发送终端多层次访问认证信息，以使，多层次访问控制模块根据接收到的终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证，并根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式，且控制终端根据访问授权并以审计记录模式访问数据网络。

8.根据权利要求7所述的方法，其特征在于，向多层次访问控制模块发送终端多层次访问认证信息，具体包括：

接收来自会话管理功能SMF网元的终端二次认证请求，终端二次认证请求由SMF网元根据来自终端的访问数据网络请求发送，且其中携带终端标识；

根据终端二次认证请求，向终端发送可扩展认证协议请求EAP-Request数据包；

接收来自终端的可扩展认证协议响应EAP-Response数据包，EAP-Response数据包由终端根据EAP-Request数据包发送，且其中携带终端单点登录方式、终端登录时间和终端登录地址；

向多层次访问控制模块发送包括EAP-Response数据包和终端标识的终端多层次访问认证信息。