一种访问控制方法、装置及系统与流程

1.本发明涉及一种访问控制方法、装置及系统。

背景技术：

2.企业的防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断。但是，企业的防火墙是基于ip地址进行策略控制的，无法对5g终端的终端识别码进行访问策略控制。

技术实现要素：

3.本发明所要解决的技术问题是针对现有技术的上述不足，提供一种访问控制方法、装置及系统，通过第一访问控制策略和终端设备的终端识别码生成基于网络地址ip的第二访问控制策略以对终端进行访问控制，避免直接通过网络地址ip对终端进行控制，以解决现有的相关技术中，无法对5g终端的终端识别码进行访问策略控制的问题。
4.第一方面，本发明提供一种访问控制方法，应用于验证、授权和记账aaa服务器，包括：
5.接收5g核心网网元发送的终端识别码以及网络地址ip信息，其中，所述终端识别码以及网络地址ip信息为5g核心网网元在接收终端设备上传的终端识别码以及网络地址ip信息后发送的；
6.根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略；
7.将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。
8.优选地，所述终端识别码包括：
9.国际移动用户识别码imsi、国际移动设备识别码imei、移动台国际号码msisdn以及用户位置信息uli中的至少一种。
10.优选地，所述第一访问控制策略与所述企业防火墙适配；
11.所述接收5g核心网网元发送的终端识别码以及网络地址ip信息之前，还包括：
12.配置根据所述终端设备识别码进行访问控制的第一访问控制策略。
13.优选地，所述根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略之前，还包括：
14.对所述终端设备进行二次访问认证。
15.优选地，所述接收5g核心网网元发送的终端识别码以及网络地址ip信息，包括：
16.通过加密或非加密隧道接收5g核心网网元发送的终端识别码以及网络地址ip信息。
17.第二方面，本发明还提供一种访问控制方法，应用于5g核心网网元，包括：
18.接收终端设备上传的终端识别码以及网络地址ip信息；
19.将接收的所述终端识别码以及网络地址ip信息发送至验证、授权和记账aaa服务器，以使所述验证、授权和记账aaa服务器根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略后将所述第二访问控制策略发送至企业防火墙，并使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。
20.优选地，所述接收终端设备上传的终端识别码以及网络地址ip信息之前，还包括：
21.对所述终端设备进行主访问认证。
22.第三方面，本发明还提供一种访问控制方法，应用于企业防火墙，包括：
23.接收验证、授权和记账aaa服务器发送的第二访问控制策略，其中，所述第二访问控制策略是所述aaa服务器在接收到5g核心网网元发送的终端识别码以及网络地址ip信息之后，根据预设的第一访问控制策略以及终端识别码生成后发送的；
24.根据所述第二访问控制策略对终端设备进行访问控制。
25.优选地，所述终端识别码包括：
26.国际移动用户识别码imsi、国际移动设备识别码imei、移动台国际号码msisdn以及用户位置信息uli中的至少一种。
27.第四方面，本发明还提供一种访问控制装置，设置于验证、授权和记账aaa服务器，包括：
28.第一接收模块，用于接收5g核心网网元发送的终端识别码以及网络地址ip信息，其中，所述终端识别码以及网络地址ip信息为5g核心网网元在接收终端设备上传的终端识别码以及网络地址ip信息后发送的；
29.生成模块，与所述第一接收模块连接，用于根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略；
30.第一发送模块，与所述生成模块连接，用于将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。
31.第五方面，本发明还提供一种访问控制装置，设置于5g核心网网元，包括：
32.第二接收模块，用于接收终端设备上传的终端识别码以及网络地址ip信息；
33.第二发送模块，与所述第二接收模块连接，用于将接收的所述终端识别码以及网络地址ip信息发送至验证、授权和记账aaa服务器，以使所述验证、授权和记账aaa服务器根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略后将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。
34.第六方面，本发明还提供一种访问控制装置，设置于企业防火墙，包括：
35.第三接收模块，用于接收验证、授权和记账aaa服务器发送的第二访问控制策略，其中，所述的第二访问控制策略是验证、授权和记账aaa服务器在接收5g核心网网元发送的终端识别码以及网络地址ip信息之后，根据预设的第一访问控制策略以及终端识别码生成后发送的；
36.控制模块，与所述第三接收模块连接，用于根据所述第二访问控制策略对终端设备进行访问控制。
37.第七方面，本发明还提供一种访问控制装置，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以实现如上述第一方面所述
的访问控制方法，或实现如上述第二方面所述的访问控制方法，或实现如上述第三方面所述的访问控制方法。
38.第八方面，本发明还提供一种访问控制系统，包括验证、授权和记账aaa服务器、5g核心网网元以及企业防火墙；
39.所述验证、授权和记账aaa服务器用于执行上述第一方面所述的访问控制方法；
40.所述5g核心网网元用于执行上述第一方面所述的访问控制方法；
41.所述企业防火墙用于执行上述第三方面所述的访问控制方法。
42.本发明提供的访问控制方法、装置及系统，
43.首先接收5g核心网网元发送的终端识别码以及网络地址ip信息，其中，所述终端识别码以及网络地址ip信息为5g核心网网元在接收终端设备上传的终端识别码以及网络地址ip信息后发送的；根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略；将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制，由于本发明通过第一访问控制策略和终端设备的终端识别码生成基于网络地址ip的第二访问控制策略以对终端进行访问控制，避免直接通过网络地址ip对终端进行控制，解决了现有的相关技术中，无法对5g终端的终端识别码进行访问策略控制的问题。
附图说明
44.图1为本发明实施例的一种访问控制方法的场景图；
45.图2为本发明实施例1的一种访问控制方法的流程图；
46.图3为本发明实施例2的一种访问控制方法的流程图；
47.图4为本发明实施例3的一种访问控制方法的流程图；
48.图5为本发明实施例4的一种访问控制装置的结构示意图；
49.图6为本发明实施例5的一种访问控制装置的结构示意图；
50.图7为本发明实施例6的一种访问控制装置的结构示意图；
51.图8为本发明实施例7的一种访问控制装置的结构示意图；
52.图9为本发明实施例8的一种访问控制系统的结构示意图。
具体实施方式
53.为使本领域技术人员更好地理解本发明的技术方案，下面将结合附图对本发明实施方式作进一步地详细描述。
54.可以理解的是，此处描述的具体实施例和附图仅仅用于解释本发明，而非对本发明的限定。
55.可以理解的是，在不冲突的情况下，本发明中的各实施例及实施例中的各特征可相互组合。
56.可以理解的是，为便于描述，本发明的附图中仅示出了与本发明相关的部分，而与本发明无关的部分未在附图中示出。
57.可以理解的是，本发明的实施例中所涉及的每个单元、模块可仅对应一个实体结构，也可由多个实体结构组成，或者，多个单元、模块也可集成为一个实体结构。
58.可以理解的是，在不冲突的情况下，本发明的流程图和框图中所标注的功能、步骤可按照不同于附图中所标注的顺序发生。
59.可以理解的是，本发明的流程图和框图中，示出了按照本发明各实施例的系统、装置、设备、方法的可能实现的体系架构、功能和操作。其中，流程图或框图中的每个方框可代表一个单元、模块、程序段、代码，其包含用于实现规定的功能的可执行指令。而且，框图和流程图中的每个方框或方框的组合，可用实现规定的功能的基于硬件的系统实现，也可用硬件与计算机指令的组合来实现。
60.可以理解的是，本发明实施例中所涉及的单元、模块可通过软件的方式实现，也可通过硬件的方式来实现，例如单元、模块可位于处理器中。
61.需要说明的是，本技术实施例描述的场景图是为了更加清楚的说明本技术实施例的技术方案，并不构成对于本技术实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本技术实施例提供的技术方案对于类似的技术问题，同样适用。
62.如图1所示，为本技术实施例提供的一种访问控制方法的场景图，其中，各部分说明如下：
63.(1)终端设备：终端设备包含终端识别码以及ip地址，能够在5g核心网网元完成主认证并在aaa服务器上完成二次认证后访问企业内部网络且不被防火墙阻断。
64.(2)5g核心网网元：包括的服务管理功能smf和用户平面功能upf，能够在对终端设备进行主认证之后，将终端设备发送的终端识别码以及ip地址发送至aaa服务器。
65.(3)aaa服务器：能够在对终端设备进行二次认证后，根据终端设备的终端识别码以及ip地址将基于终端识别码的第一访问控制策略转换成基于ip地址的第二访问控制策略，且第二访问控制策略与企业防火墙适配。
66.(4)企业防火墙：企业防火墙是借助硬件和软件的作用于企业内部和外部网络的环境间产生一种保护的屏障，能够在接收到第二访问控制策略后对终端设备对企业内部网络的访问进行控制。基于图1所示的场景图，下面介绍本技术涉及的访问控制方法的相关实施例。
67.实施例1：
68.本实施例提供一种访问控制方法，如图2所示，应用于验证、授权和记账aaa服务器，该方法包括：
69.步骤s101：接收5g核心网网元发送的终端识别码以及网络地址ip信息，其中，所述终端识别码以及网络地址ip信息为5g核心网网元在接收终端设备上传的终端识别码以及网络地址ip信息后发送的。
70.在本实施例中，终端设备可以是5g终端，企业工作人员或运营商可以对5g核心网网元中的服务管理功能smf和用户平面功能upf进行改造，使smf以及upf能够将收集到的终端识别码以及网络地址ip发送到aaa服务器。
71.需要说明的是，本实施例提供的访问控制方法不仅仅适用于5g终端通过动态ip接入5g网络的场景，对于5g终端通过静态ip接入5g网络的场景同样适用。
72.可选地，所述终端识别码包括：
73.国际移动用户识别码imsi、国际移动设备识别码imei、移动台国际号码msisdn以
及用户位置信息uli中的至少一种。
74.步骤s102：根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略；
75.在本实施例中，防火墙主要是借助硬件和软件的作用于内部和外部网络的环境间产生一种保护的屏障，从而实现对计算机不安全网络因素的阻断，由于防火墙是基于ip地址进行策略控制的，无法对5g终端的终端识别码进行策略控制，通过终端识别码对终端进行访问控制能够避免因ip地址的动态变化导致终端设备的访问失效，通过在aaa服务器上进行终端识别码策略配置，aaa认证服务器将自动将基于终端识别码策略配置转化为企业防火墙基于ip的策略并下发至企业防火墙，实现根据终端识别码对5g终端的网络访问进行策略控制而不需要对企业防火墙进行改动。
76.可选地，所述第一访问控制策略与所述企业防火墙适配；
77.所述接收5g核心网网元发送的终端识别码以及网络地址ip信息之前，还包括：
78.配置根据所述终端设备识别码进行访问控制的第一访问控制策略。
79.可选地，所述接收5g核心网网元发送的终端识别码以及网络地址ip信息，包括：
80.通过加密或非加密隧道接收5g核心网网元发送的终端识别码以及网络地址ip信息。
81.在本实施例中，隧道可以是pdu(protocol data unit，协议数据单元)隧道，aaa服务器可以采用imsi、imei、msisdn和uli组合校验的方式，对接入终端进行二次认证客户，企业可自主实现机卡绑定、终端接入位置控制、终端接入时间控制等功能。
82.步骤s103：将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。
83.在本实施例中，企业防火墙开放了策略下发的接口，aaa服务器通过此接口下发第二访问控制策略至企业防火墙。
84.可选地，所述根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略之前，还包括：
85.对所述终端设备进行二次访问认证。
86.在本实施例中，5g终端在5g核心网网元完成主认证之后，再在aaa服务器上进行二次认证，二次认证通过后，5g终端的用户侧流量就可以到达企业防火墙侧，需要终端先在aaa服务器上完成二次访问认证后，aaa服务器与防火墙再进行策略对接。
87.在一个具体的实施例中，以根据终端的imsi号进行访问控制为例，该访问控制方法可以包括以下步骤：
88.1)在aaa认证服务器上设置根据imsi号对5g终端的网络访问进行控制的第一访问控制策略；
89.2)5g终端接入5g核心网网元时，完成主认证；
90.3)5g核心网网元接收5g终端的imsi、imei、msisdn、uli、ip地址等信息并通过加密或者非加密隧道传输给aaa服务器；
91.4)aaa服务器根据第一访问控制策略，自动生成基于ip的符合企业防火墙策略规则的第二访问控制策略，并通过下发接口下发至企业防火墙侧；
92.例如，当imsi号为8613504500020，ip地址为10.39.2.3时，第一访问控制策略为：
rule permit tcp source imsi 8613504500020 destination 10.38.1.2 0.0.0.0；
93.第二访问控制策略为：rule permit tcp source 10.39.2.3 destination 10.38.1.2 0.0.0.0；
94.5)5g终端在aaa服务器上进行二次认证，二次认证通过后，5g终端的用户侧流量可以到达企业防火墙侧；
95.6)企业防火墙侧根据从aaa认证服务器收到的策略配置对5g终端的用户侧流量进行网络访问的控制。
96.本发明实施例提供的访问控制方法，首先接收5g核心网网元发送的终端识别码以及网络地址ip信息，其中，所述终端识别码以及网络地址ip信息为5g核心网网元在接收终端设备上传的终端识别码以及网络地址ip信息后发送的；根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略；将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制，由于本发明通过第一访问控制策略和终端设备的终端识别码生成基于网络地址ip的第二访问控制策略以对终端进行访问控制，避免直接通过网络地址ip对终端进行控制，解决了现有的相关技术中，无法对5g终端的终端识别码进行访问策略控制的问题。
97.实施例2：
98.本实施例提供一种访问控制方法，如图3所示，应用于5g核心网网元，该方法包括：
99.步骤s201：接收终端设备上传的终端识别码以及网络地址ip信息。
100.在本实施例中，终端设备可以是5g终端，终端识别码可以包括国际移动用户识别码imsi、国际移动设备识别码imei、移动台国际号码msisdn以及用户位置信息uli中的至少一种。
101.可选地，所述接收终端设备上传的终端识别码以及网络地址ip信息之前，还包括：
102.对所述终端设备进行主访问认证。
103.在本实施例中，5g终端在5g核心网网元完成主认证之后，再在aaa服务器上进行二次认证，二次认证通过后，5g终端的用户侧流量就可以到达企业防火墙侧。
104.5g核心网网元通过加密或非加密隧道发送终端识别码以及网络地址ip信息。
105.在本实施例中，隧道可以是pdu(protocol data unit，协议数据单元)隧道，aaa服务器可以采用imsi、imei、msisdn和uli组合校验的方式，对接入终端进行二次认证客户，企业可自主实现机卡绑定、终端接入位置控制、终端接入时间控制等功能。
106.步骤s202：将接收的所述终端识别码以及网络地址ip信息发送至验证、授权和记账aaa服务器，以使所述验证、授权和记账aaa服务器根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略后将所述第二访问控制策略发送至企业防火墙，并使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。
107.在本实施例中，第一访问控制策略与所述企业防火墙适配，企业防火墙开放了策略下发的接口，aaa服务器通过此接口下发第二访问控制策略至企业防火墙。
108.实施例3：
109.本实施例提供一种访问控制方法，如图4所示，应用于企业防火墙，该方法包括：
110.步骤s301：接收验证、授权和记账aaa服务器发送的第二访问控制策略，其中，所述
第二访问控制策略是所述aaa服务器在接收到5g核心网网元发送的终端识别码以及网络地址ip信息之后，根据预设的第一访问控制策略以及终端识别码生成后发送的。
111.在本实施例中，由于防火墙是基于ip地址进行策略控制的，无法对5g终端的动态ip地址进行策略控制，通过在aaa服务器上进行终端识别码策略配置，aaa认证服务器将自动将基于终端识别码策略配置转化为企业防火墙基于ip的策略并下发至企业防火墙，实现根据终端识别码对5g终端的网络访问进行策略控制而不需要对企业防火墙进行改动。
112.可选地，所述终端识别码包括：
113.国际移动用户识别码imsi、国际移动设备识别码imei、移动台国际号码msisdn以及用户位置信息uli中的至少一种。
114.步骤s302：根据所述第二访问控制策略对终端设备进行访问控制。
115.在本实施例中，5g终端在5g核心网网元完成主认证之后，再在aaa服务器上进行二次认证，二次认证通过后，5g终端的用户侧流量就可以到达企业防火墙侧，需要终端先在aaa服务器上完成二次访问认证后，aaa服务器与防火墙再进行策略对接。
116.实施例4：
117.如图5所示，本实施例提供一种访问控制装置，设置于验证、授权和记账aaa服务器，用于执行上述实施例1所述的访问控制方法，包括：
118.第一接收模块11，用于接收5g核心网网元发送的终端识别码以及网络地址ip信息，其中，所述终端识别码以及网络地址ip信息为5g核心网网元在接收终端设备上传的终端识别码以及网络地址ip信息后发送的；
119.生成模块12，与所述第一接收模块11连接，用于根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略；
120.第一发送模块13，与所述生成模块12连接，用于将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。
121.优选地，所述终端识别码包括：
122.国际移动用户识别码imsi、国际移动设备识别码imei、移动台国际号码msisdn以及用户位置信息uli中的至少一种。
123.优选地，所述第一访问控制策略与所述企业防火墙适配；
124.优选地，所述装置还包括：
125.配置模块，用于配置根据所述终端设备识别码进行访问控制的第一访问控制策略。
126.优选地，所述装置还包括：
127.二次认证模块，用于对所述终端设备进行二次访问认证。
128.优选地，所述第一接收模块11包括：
129.隧道单元，用于通过加密或非加密隧道接收5g核心网网元发送的终端识别码以及网络地址ip信息。
130.实施例5：
131.如图6所示，本实施例提供一种访问控制装置，设置于5g核心网网元，用于执行上述实施例2所述的访问控制方法，包括：
132.第二接收模块21，用于接收终端设备上传的终端识别码以及网络地址ip信息；
133.第二发送模块22，与所述第二接收模块21连接，用于将接收的所述终端识别码以及网络地址ip信息发送至验证、授权和记账aaa服务器，以使所述验证、授权和记账aaa服务器根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略后将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。
134.优选地，所述装置还包括：
135.主认证模块，用于对所述终端设备进行主访问认证。
136.实施例6：
137.如图7所示，本实施例提供一种访问控制装置，设置于企业防火墙，用于执行上述实施例3所述的访问控制方法，包括：
138.第三接收模块31，用于接收验证、授权和记账aaa服务器发送的第二访问控制策略，其中，所述的第二访问控制策略是验证、授权和记账aaa服务器在接收5g核心网网元发送的终端识别码以及网络地址ip信息之后，根据预设的第一访问控制策略以及终端识别码生成后发送的；
139.控制模块32，与所述第三接收模块31连接，用于根据所述第二访问控制策略对终端设备进行访问控制。
140.优选地，所述终端识别码包括：
141.国际移动用户识别码imsi、国际移动设备识别码imei、移动台国际号码msisdn以及用户位置信息uli中的至少一种。
142.实施例7：
143.如图8所示，本实施例提供一种访问控制装置，用于执行上述访问控制方法，包括存储器41和处理器42，存储器41中存储有计算机程序，处理器42被设置为运行所述计算机程序以执行实施例1中的访问控制方法，或实现如实施例2中所述的访问控制方法，或实现如实施例3中所述的访问控制方法。
144.其中，存储器41与处理器42连接，存储器41可采用闪存或只读存储器或其他存储器，处理器42可采用中央处理器或单片机。
145.实施例8：
146.如图9所示，本实施例提供一种访问控制系统，包括验证、授权和记账aaa服务器51、5g核心网网元52和企业防火墙53；
147.所述验证、授权和记账aaa服务器51用于执行实施例1所述的访问控制方法；
148.所述5g核心网网元52用于执行实施例2所述的访问控制方法；
149.所述企业防火墙53用于执行实施例3所述的访问控制方法。
150.实施例2至实施例8提供的访问控制方法、装置及系统，首先接收5g核心网网元发送的终端识别码以及网络地址ip信息，其中，所述终端识别码以及网络地址ip信息为5g核心网网元在接收终端设备上传的终端识别码以及网络地址ip信息后发送的；根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略；将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制，由于本发明通过第一访问控制策略和终端设备的终端识别码生成基
于网络地址ip的第二访问控制策略以对终端进行访问控制，避免直接通过网络地址ip对终端进行控制，解决了现有的相关技术中，无法对5g终端的终端识别码进行访问策略控制的问题。
151.可以理解的是，以上实施方式仅仅是为了说明本发明的原理而采用的示例性实施方式，然而本发明并不局限于此。对于本领域内的普通技术人员而言，在不脱离本发明的精神和实质的情况下，可以做出各种变型和改进，这些变型和改进也视为本发明的保护范围。

技术特征：

1.一种访问控制方法，其特征在于，应用于验证、授权和记账aaa服务器，所述方法包括：接收5g核心网网元发送的终端识别码以及网络地址ip信息，其中，所述终端识别码以及网络地址ip信息为5g核心网网元在接收终端设备上传的终端识别码以及网络地址ip信息后发送的；根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略；将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。2.根据权利要求1所述的访问控制方法，其特征在于，所述终端识别码包括：国际移动用户识别码imsi、国际移动设备识别码imei、移动台国际号码msisdn以及用户位置信息uli中的至少一种。3.根据权利要求1所述的访问控制方法，其特征在于，所述第一访问控制策略与所述企业防火墙适配；所述接收5g核心网网元发送的终端识别码以及网络地址ip信息之前，还包括：配置根据所述终端设备识别码进行访问控制的第一访问控制策略。4.根据权利要求1所述的访问控制方法，其特征在于，所述根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略之前，还包括：对所述终端设备进行二次访问认证。5.根据权利要求1所述的访问控制方法，其特征在于，所述接收5g核心网网元发送的终端识别码以及网络地址ip信息，包括：通过加密或非加密隧道接收5g核心网网元发送的终端识别码以及网络地址ip信息。6.一种访问控制方法，其特征在于，应用于5g核心网网元，所述方法包括：接收终端设备上传的终端识别码以及网络地址ip信息；将接收的所述终端识别码以及网络地址ip信息发送至验证、授权和记账aaa服务器，以使所述验证、授权和记账aaa服务器根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略后将所述第二访问控制策略发送至企业防火墙，并使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。7.根据权利要求6所述的访问控制方法，其特征在于，所述接收终端设备上传的终端识别码以及网络地址ip信息之前，还包括：对所述终端设备进行主访问认证。8.一种访问控制方法，其特征在于，应用于企业防火墙，包括：接收验证、授权和记账aaa服务器发送的第二访问控制策略，其中，所述第二访问控制策略是所述aaa服务器在接收到5g核心网网元发送的终端识别码以及网络地址ip信息之后，根据预设的第一访问控制策略以及终端识别码生成后发送的；根据所述第二访问控制策略对终端设备进行访问控制。9.根据权利要求1所述的访问控制方法，其特征在于，所述终端识别码包括：国际移动用户识别码imsi、国际移动设备识别码imei、移动台国际号码msisdn以及用户位置信息uli中的至少一种。
10.一种访问控制装置，其特征在于，设置于验证、授权和记账aaa服务器，包括：第一接收模块，用于接收5g核心网网元发送的终端识别码以及网络地址ip信息，其中，所述终端识别码以及网络地址ip信息为5g核心网网元在接收终端设备上传的终端识别码以及网络地址ip信息后发送的；生成模块，与所述第一接收模块连接，用于根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略；第一发送模块，与所述生成模块连接，用于将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。11.一种访问控制装置，其特征在于，设置于5g核心网网元，包括：第二接收模块，用于接收终端设备上传的终端识别码以及网络地址ip信息；第二发送模块，与所述第二接收模块连接，用于将接收的所述终端识别码以及网络地址ip信息发送至验证、授权和记账aaa服务器，以使所述验证、授权和记账aaa服务器根据预设的第一访问控制策略以及终端识别码生成基于网络地址ip的第二访问控制策略后将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。12.一种访问控制装置，其特征在于，设置于企业防火墙，包括：第三接收模块，用于接收验证、授权和记账aaa服务器发送的第二访问控制策略，其中，所述的第二访问控制策略是验证、授权和记账aaa服务器在接收5g核心网网元发送的终端识别码以及网络地址ip信息之后，根据预设的第一访问控制策略以及终端识别码生成后发送的；控制模块，与所述第三接收模块连接，用于根据所述第二访问控制策略对终端设备进行访问控制。13.一种访问控制装置，其特征在于，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器被设置为运行所述计算机程序以实现如权利要求1-5中任一项所述的访问控制方法，或实现如权利要求6-7中任一项所述的访问控制方法或实现如权利要求8-9中任一项所述的访问控制方法。14.一种访问控制系统，其特征在于，包括验证、授权和记账aaa服务器、5g核心网网元以及企业防火墙；所述验证、授权和记账aaa服务器用于执行权利要求1-5中任一项所述的访问控制方法；所述5g核心网网元用于执行权利要求6-7中任一项所述的访问控制方法；所述企业防火墙用于执行权利要求8-9中任一项所述的访问控制方法。

技术总结

本发明提供一种访问控制方法、装置及系统，包括：接收5G核心网网元发送的终端识别码以及网络地址IP信息，其中，所述终端识别码以及网络地址IP信息为5G核心网网元在接收终端设备上传的终端识别码以及网络地址IP信息后发送的；根据预设的第一访问控制策略以及终端识别码生成基于网络地址IP的第二访问控制策略；将所述第二访问控制策略发送至企业防火墙，以使所述企业防火墙根据所述第二访问控制策略对所述终端设备进行访问控制。该方法、装置及系统能够解决现有的相关技术中，无法对5G终端的动态IP地址进行访问策略控制的问题。终端的动态IP地址进行访问策略控制的问题。终端的动态IP地址进行访问策略控制的问题。