[发明专利]多层次访问控制方法、模块、介质及系统

说明书

本发明提供一种多层次访问控制方法、模块、介质及系统，涉及通信技术领域，用于解决现有技术中AAA认证缺少由AAA系统调配且自主可控的访问控制策略的问题，所述方法包括：接收来自定制AAA系统的标准AAA模块的终端多层次访问认证信息；根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；控制终端根据访问授权并以审计记录模式访问数据网络。本发明可以实现由AAA系统为终端访问数据网络制定自主可控的访问控制策略，以使终端按照访问控制策略安全地接入数据网络。

技术领域

本发明涉及通信技术领域，尤其涉及一种多层次访问控制方法、多层次访问控制模块、标准AAA模块、计算机可读存储介质及定制AAA系统。

背景技术

目前标准的二次认证主要采用3GPP(3rd GenerationPartnership Project，第三代合作伙伴计划)标准：在用户发起PDU(Protocol Data Unit，协议数据单元)建立请求时，采用第三方DN(Data network，数据网络)-AAA(Authentication、Authorization

Accounting，验证、授权和记账)服务器对用户的PDU建立请求进行认证授权。

因此，现有技术只限于标准的AAA认证，随着企业数字化、智能化演进，对终端如何定制化安全接入企业园区，不能根据垂直行业所需进行定制开发，缺少由AAA系统调配且自主可控的访问控制策略。

发明内容

本发明所要解决的技术问题是针对现有技术的上述不足，提供一种多层次访问控制方法、多层次访问控制模块、标准AAA模块、计算机可读存储介质及定制AAA系统，以解决现有技术中AAA认证缺少由AAA系统调配且自主可控的访问控制策略的问题。

第一方面，本发明提供一种多层次访问控制方法，应用于定制认证授权记账AAA系统的多层次访问控制模块，所述方法包括：

接收来自定制AAA系统的标准AAA模块的终端多层次访问认证信息；

根据终端多层次访问认证信息对终端进行多层次访问模式认证，包括：终端登录方式认证和终端访问权限认证；

根据多层次访问模式认证的结果，对终端进行访问授权并进入审计记录模式；

控制终端根据访问授权并以审计记录模式访问数据网络。

可选地，终端登录方式认证具体为终端单点登录方式认证；

终端访问权限认证具体包括：终端标识访问权限认证、终端登录时间访问权限认证和/或终端登录地址访问权限认证。

可选地，终端多层次访问认证信息中包括可扩展认证协议响应EAP-Response数据包和终端标识；

根据终端多层次访问认证信息对终端进行多层次访问模式认证，具体包括：

获取终端所属的垂直行业；

根据EAP-Response数据包获取终端的单点登录方式，根据垂直行业定制的单点登录方式对终端的单点登录方式进行认证；

通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证。

可选地，通过比对终端标识与垂直行业制定的终端白名单，对终端的访问权限进行认证，具体包括：

根据EAP-Response数据包获取终端的登录时间和登录地址；

获取垂直行业制定的固定终端白名单、与登录时间对应的时段终端白名单和与登录地址对应的区域终端白名单；