一种增强跨网络访问安全的方法、设备及系统与流程

本申请涉及通信技术领域，尤其涉及增强跨网络访问安全的方法、设备及系统。

背景技术：

为满足垂直行业通信需求，5g通信技术支持非公共网络(non-publicnetworks,npn)。非公共网络只有授权用户可以接入，经授权的用户既可以接入npn网络，也可以接入公用陆地移动网(publiclandmobilenetwork,plmn)网络。5g通信技术支持ue在npn和plmn网络之间的漫游、移动性和业务连续性等特性，例如，ue可以通过plmn网络接入非公共网络，或者通过非公共网络接入plmn网络。

在现有机制中，npn网络基于5g系统架构进行部署。针对授权用户既可以接入npn网络，也可以接入plmn网络的场景，在ue配置上有npn网络和plmn网络的凭证(credential)。ue在第一网络(plmn网络/npn网络)中注册完成后，发现并选择第二网络(npn网络/plmn网络)的非3gpp互通功能(non-3gppinterworkingfunction，n3iwf)网元，并通过第二网络的n3iwf网元进行身份认证和注册流程并接入第二网络，实现ue通过第一网络对第二网络的访问。恶意ue在无法通过第二网络认证的情况下，如果依然持续通过第一网络向第二网络发起认证请求，将会对第一网络和第二网络的网络造成很大的负担。如果大量ue被俘获，且同时向第二网络频繁发起认证请求，容易造成分布式拒绝服务(distributeddenialofservice，ddos)攻击。

技术实现要素：

本申请实施例提供增强跨网络访问安全的方法、设备及系统，在ue通过第一网络接入第二网络的场景下，本申请实施例通过在第二网络对ue的安全事件(例如认证情况)进行记录并为ue的后续行为确定决策结果，并将所述决策结果通知第一网络，以便于第一网络对ue针对第二网络的后续行为进行安全处理，实现第一网络和第二网络的安全联动。在第一网络近源管理恶意ue，降低第一网络和第二网络的通信负载，也保障了第二网络的网络安全。

为达到上述目的，本申请的实施例采用如下技术方案：

第一方面，提供了一种增强跨网络访问安全的方法，所述方法用于终端通过在第一网络中建立的分组数据单元pdu会话访问第二网络，所述方法包括：第一网络中的会话管理网元接收针对所述pdu会话第一请求消息，所述第一请求消息包括所述终端的地址信息、所述第二网络的标识以及禁止所述终端访问所述第二网络的指示信息；根据所述第一请求消息，存储禁止所述终端访问第二网络的信息；阻断所述终端对所述第二网络的访问。基于该方案，第一网络中的会话功能网元可以根据第二网络的指示，存储禁止所述终端访问第二网络的信息，并且阻断终端对第二网络的访问，使得第二网络可以控制终端通过第一网络对自身的访问，避免了对第二网络可能的ddos攻击。

在一种可能的设计中，所述禁止所述终端访问第二网络的信息包括所述终端在第一网络中的标识和所述第二网络的标识；所述会话管理网元根据所述终端的地址信息、所述第二网络的标识以及禁止所述终端访问第二网络的指示信息，存储禁止所述终端访问第二网络的信息，具体为：

根据所述终端的地址信息，确定所述终端在所述第一网络中的标识；

关联存储所述终端在所述第一网络中的标识和所述第二网络的标识。

基于该方案，第一网络中的会话管理网元可以将禁止所述终端访问第二网络的信息存储在本地，这样后续再次收到终端发起的访问第二网络的pdu会话建立请求时，就可以直接根据本地存储的禁止所述终端访问第二网络的信息，确定需要阻断所述终端通过pdu会话访问第二网络。

在一种可能的设计中，所述禁止所述终端访问第二网络的信息包括所述终端在第一网络中的标识和所述第二网络的标识；所述会话管理网元根据所述终端的地址信息、所述第二网络的标识以及禁止所述终端访问第二网络的指示信息，存储禁止所述终端访问第二网络的信息，具体为：

根据所述终端的地址信息，确定所述终端在所述第一网络中的标识；

将所述禁止所述终端访问第二网络的信息存储到所述第一网络中udm网元中所述终端的签约数据里或者存储到第一网络中安全网关中。

也就是说，第一网络中的会话管理网元可以将禁止所述终端访问第二网络的信息存储到第一网络中的其他网元上，例如，udm网元或者第一网络中的安全网关上。所述第一网络中的安全网关例如可以是安全边界保护代理(securityedgeprotectionproxy，sepp)。将禁止所述终端访问第二网络的信息存储到第一网络中的其他网元上，特别是一些全局性的网元上(该网元同时为第一网络中的多个会话管理网元服务)，可以使得当终端的位置发生变化时，第一网络依然能够准确的获知所述禁止所述终端访问第二网络的信息，进而准确的阻断所述终端对第二网络的访问。

在一种可能的设计中，所述阻断所述终端对所述第二网络的访问，包括：所述会话管理网元向所述第一网络中为所述pdu会话服务的用户面功能网元发送阻断所述终端访问所述第二网络的第二请求消息；所述用户面功能网元根据第二请求消息，阻断所述终端对所述第二网络的访问。一个pdu会话中可以承载很多的数据/信息，在这种情况下，第一网络只需要阻断终端pdu会话中访问第二网络的数据/消息即可，而不需要释放整个pdu会话，保持了pdu会话管理的灵活性。

在一种可能的设计中，所述阻断所述终端对所述第二网络的访问，包括：释放所述pdu会话。在一些情况下，终端创建的pdu会话为专门用于访问第二网络的，这种情况下，及时的释放所述pdu会话，可以及时释放第一网络中相关网元(例如amf网元或者smf网元)上的资源。。

在一种可能的设计中，在所述终端再次发起用于访问第二网络的pdu会话建立请求的情况下，第一网络中的会话管理网元可以根据所述禁止所述终端访问第二网络的信息，阻断所述终端对所述第二网络的访问。如果会话管理网元将禁止所述终端访问第二网络的信息存储在本地，则会话管理网元直接根据本地存储的禁止所述终端访问第二网络的信息，确定需要阻断所述终端通过pdu会话访问第二网络；如果会话管理网元将禁止所述终端访问第二网络的信息存储在第一网络中的其他网元中，则需要先从其他网元中获取禁止所述终端访问第二网络的信息。

在一种可能的设计中，所述禁止所述终端访问第二网络的信息还包括禁止所述终端访问所述第二网络的有效期。所述第一网络中的会话管理网元在所述有效期内，阻断所述终端通过所述第一网络对所述第二网络的访问。具体可以是拒绝所述终端的pdu会话建立请求，其中，终端请求建立的pdu会话为用于访问所述第二网络的pdu会话。或者是阻断终端建立的pdu会话中用于访问所述第二网络的数据/消息。

第二方面，提供了一种增强跨网络访问安全的方法，所述方法用于终端通过在第一网络中建立的分组数据单元pdu会话访问第二网络，所述方法包括：第二网络中的网元在所述ue鉴权失败的情况下，记录所述鉴权失败的结果；根据所述鉴权失败的结果，确定阻止所述终端访问所述第二网络；向第一网络中的网元发送鉴权响应，所述鉴权响应包括所述终端的地址信息以及禁止所述终端访问所述第二网络的指示信息。

基于该方案，第二网络中的网元在终端鉴权失败的情况下，可以通知第一网络阻断所述终端对第二网络的访问，避免了对第二网络可能的ddos攻击。

在一种可能的设计中，所述鉴权响应还包括禁止所述终端访问所述第二网络的有效期。在有效期内阻断终端通过第一网络对第二网络的访问，防止恶意攻击者挟持终端通过故意使得终端鉴权失败，从而导致终端永久无法通过第一网络访问第二网络。

在一种可能的设计中，所述第二网络中的网元为非3gpp互通功能n3iwf网元。。

第三方面，提供了增强跨网络访问安全的装置，该装置具有实现上述第一方面所述的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第四方面，提供了一种增强跨网络访问安全的装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该装置执行如上述第一方面中任一项所述的增强跨网络访问安全的方法。

第五方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第一方面中任一项所述的增强跨网络访问安全的方法。

第六方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第一方面中任一项所述的增强跨网络访问安全的方法。

第七方面，提供了一种装置(例如，该装置可以是芯片系统)，该装置包括处理器，用于支持装置实现上述第一方面中所涉及的功能。在一种可能的设计中，该装置还包括存储器，该存储器，用于保存所述装置必要的程序指令和数据。该装置是芯片系统时，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第三方面至第七方面中任一种设计方式所带来的技术效果可参见第一方面中不同设计方式所带来的技术效果，此处不再赘述。

第八方面，提供了一种增强跨网络访问安全的装置，该装置具有实现上述第二方面所述的方法的功能。该功能可以通过硬件实现，也可以通过硬件执行相应的软件实现。该硬件或软件包括一个或多个与上述功能相对应的模块。

第九方面，提供了一种增强跨网络访问安全的装置，包括：处理器和存储器；该存储器用于存储计算机执行指令，当该装置运行时，该处理器执行该存储器存储的该计算机执行指令，以使该装置执行如上述第二方面中任一项所述的增强跨网络访问安全的方法。

第十方面，提供了一种计算机可读存储介质，该计算机可读存储介质中存储有指令，当其在计算机上运行时，使得计算机可以执行上述第二方面中任一项所述的增强跨网络访问安全的方法。

第十一方面，提供了一种包含指令的计算机程序产品，当其在计算机上运行时，使得计算机可以执行上述第二方面中任一项所述的增强跨网络访问安全的方法。

第十二方面，提供了一种装置(例如，该装置可以是芯片系统)，该装置包括处理器，用于支持第二会话管理网元实现上述第二方面中所涉及的功能。在一种可能的设计中，该装置还包括存储器，该存储器，用于保存所述装置必要的程序指令和数据。该装置是芯片系统时，可以由芯片构成，也可以包含芯片和其他分立器件。

其中，第八方面至第十二方面中任一种设计方式所带来的技术效果可参见第二方面中不同设计方式所带来的技术效果，此处不再赘述。

第十三方面，提供了增强跨网络访问安全的系统，该系统用于终端通过在第一网络中建立的分组数据单元pdu会话访问第二网络，其中，所述第二网络，用于在所述ue鉴权失败的情况下，记录所述鉴权失败的结果；根据所述鉴权失败的结果，确定阻止所述终端访问所述第二网络；向所述第一网络发送鉴权响应，所述鉴权响应包括所述终端的地址信息以及禁止所述终端访问所述第二网络的指示信息；所述第一网络，用于接收所述第二网络中发送的鉴权响应；存储禁止所述终端访问第二网络的信息；阻断所述终端对所述第二网络的访问。

在一种可能的设计中，所述第二网络，还用于确定所述终端鉴权失败的次数大于预设的阈值。

在一种可能的设计中，所述第一网络，还用于释放所述pdu会话。

在一种可能的设计中，所述第一网络，还用于阻断所述pdu会话中用于访问所述第二网络的数据/消息。

在一种可能的设计中，所述第一网络，还用于在所述终端再次发起用于访问第二网络的pdu会话建立请求的情况下，根据所述禁止所述终端访问第二网络的信息，阻断所述终端对所述第二网络的访问。

在一种可能的设计中，所述鉴权响应还包括禁止所述终端访问所述第二网络的有效期；所述禁止所述终端访问所述第二网络的信息还包括所述有效期。所述第一网元，用于在所述有效期内，阻断所述终端通过所述第一网络对第二网络的访问。

其中，第十三方面中任一种设计方式所带来的技术效果可参见上述第一方面或第二方面中不同设计方式所带来的技术效果，此处不再赘述。

本申请的这些方面或其他方面在以下实施例的描述中会更加简明易懂。

附图说明

图1为现有技术中终端通过plmn访问npn的流程示意图；

图2为现有技术中终端通过npn访问plmn的流程示意图；

图3为本申请实施例提供的一种增强跨网络访问安全的系统示意图；

图4为本申请实施例提供的又一种增强跨网络访问安全的系统示意图；

图5为申请实施例提供的又一种增强跨网络访问安全的系统示意图；

图6为本申请实施例提供的一种增强跨网络访问安全的方法流程示意图；

图7为本申请实施例提供的又一种增强跨网络访问安全的方法流程示意图；

图8为本申请实施例提供的又一种增强跨网络访问安全的方法流程示意图；

图9为本申请实施例提供的一种增强跨网络访问安全的装置的结构示意图；

图10为本申请实施例提供的又一种增强跨网络访问安全的装置的结构示意图；

图11为本申请实施例提供的又一种增强跨网络访问安全的装置的结构示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行描述。其中，在本申请的描述中，除非另有说明，“/”表示前后关联的对象是一种“或”的关系，例如，a/b可以表示a或b；本申请中的“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况，其中a,b可以是单数或者复数。并且，在本申请的描述中，除非另有说明，“多个”是指两个或多于两个。“以下至少一项(个)”或其类似表达，是指的这些项中的任意组合，包括单项(个)或复数项(个)的任意组合。例如，a，b，或c中的至少一项(个)，可以表示：a，b，c，a-b，a-c，b-c，或a-b-c，其中a，b，c可以是单个，也可以是多个。另外，为了便于清楚描述本申请实施例的技术方案，在本申请的实施例中，采用了“第一”、“第二”等字样对功能和作用基本相同的相同项或相似项进行区分。本领域技术人员可以理解“第一”、“第二”等字样并不对数量和执行次序进行限定，并且“第一”、“第二”等字样也并不限定一定不同。

此外，本申请实施例描述的网络架构以及业务场景是为了更加清楚的说明本申请实施例的技术方案，并不构成对于本申请实施例提供的技术方案的限定，本领域普通技术人员可知，随着网络架构的演变和新业务场景的出现，本申请实施例提供的技术方案对于类似的技术问题，同样适用。

在本申请实施例中第一网络和第二网络为不同的两个网络，例如，第一网络可以是第一运营商的网络，第二网络可以是第二运营商的网络；也可以是，第一网络为plmn网络，第二网络为一个npn网络；本申请实施例对第一网络和第二网络的类型不做限定。

在3gpptr23.734中，提出标准需要支持公共陆地移动网络(plmn)和非公共网络(npn)之间通过类似非3gpp互通功能(n3iwf)网元的网关进行业务连接。图1为ue通过plmn网络接入npn网络的流程图。在该场景下，可选的，ue在plmn网络中建立的pdu会话接入的数据网络与npn网络对应的n3iwf建立有ip连接。

ue通过注册到plmn网络获得ip地址并发现npn网络的n3iwf，然后通过n3iwf建立和npn网络的连接，具体流程如图1所示：

步骤101、ue连接到plmn网络；

可选的，在ue上配置有接入到plmn网络的安全凭证(credential)。ue使用plmn网络的安全凭证发现、选择并连接到plmn网络中；ue通过plmn网络获取ip地址。例如ue可以在plmn网络中请求建立到数据网络的pdu会话，并且在pdu会话建立过程中，由plmn网络中的网元(例如upf或者smf)分配ip地址。

步骤202、ue确定npn网络中的n3iwf；

可选的，在ue上预先配置有npn网络对应的n3iwf的ip地址或者全量域名。

步骤203、ue通过n3iwf注册到npn网络；

可选的，在ue上预先配置有接入到npn网络的安全凭证。ue使用npn网络的安全凭证接入到npn网络，并通过n3iwf完成注册到npn网络的流程；

步骤204、ue和npn网络建立pdu会话连接。

在步骤203中，ue通过n3iwf注册到npn网络的过程中，npn网络会对ue进行鉴权，只有鉴权成功的情况下，ue才可以通过plmn网络建立到npn网络的pdu会话。

图2为ue通过npn网络接入plmn网络的流程图。ue通过注册到npn网络获得ip地址并发现plmn网络的n3iwf，然后通过n3iwf建立和plmn网络的连接，具体流程如图2所示：

步骤201、ue连接到npn网络；

可选的，在ue上配置有接入到npn网络的安全凭证(credential)。ue使用npn网络的安全凭证发现、选择并连接到npn网络中；ue通过npn网络获取ip地址。例如ue可以在npn网络中请求建立到数据网络的pdu会话，并且在pdu会话建立过程中，由npn网络中的网元(例如upf或者smf)分配ip地址。

步骤202、ue确定plmn网络中的n3iwf；

可选的，ue根据plmn网络中选择n3iwf的策略，确定plmn网络中的n3iwf。或者，在ue上预先配置有plmn网络对应的n3iwf的ip地址或者全量域名。

步骤203、ue通过n3iwf注册到plmn网络；

可选的，在ue上预先配置有接入到plmn网络的安全凭证。ue使用plmn网络的安全凭证接入到plmn网络，并通过n3iwf完成注册到plmn网络的流程；

步骤204、ue和plmn网络建立pdu会话连接。

在步骤203中，ue通过n3iwf注册到plmn网络的过程中，plmn网络会对ue进行鉴权，只有鉴权成功的情况下，ue才可以通过npn网络建立到plmn网络的pdu会话。

结合图1和图2的实施例可知，第一网络中(plmn网络或者npn网络)的ue通过第一网络接入到第二网络(npn网络或者plmn网络)的过程中，第二网络需要先对ue进行鉴权，只有鉴权通过的情况下，ue才可以通过第一网络建立到第二网络的pdu会话。如果恶意ue在未通过鉴权/认证的情况下，依然持续通过第一网络向第二网络发起鉴权/认证请求，那么这种持续的鉴权/认证过程，将会对第二网络的网元造成影响。例如，大量ue被俘获同时向第二网络频繁发起认证/鉴权请求，容易造成ddos攻击。

图3是本申请实施例的一种系统示意图，包括第一网络的网元和第二网络的网元，ue通过第一网络连接到第二网络。在本申请实施例中，为了降低第一网络中的ue对第二网络潜在的攻击，本申请实施例中，第二网络中的网元在终端鉴权失败的情况下，记录鉴权失败的结果；根据所述鉴权失败的结果，确定阻止所述终端访问所述第二网络；向所述第一网络发送鉴权响应，所述鉴权响应包括所述终端的地址信息以及禁止所述终端访问所述第二网络的指示信息。所述第一网络中的网元，用于接收所述第二网络中发送的鉴权响应；存储禁止所述终端访问第二网络的信息；阻断所述终端对所述第二网络的访问。

后续ue再通过第一网络接入第二网络时，第一网络中的网元可以阻挡ue对第二网络的访问，这样就可以避免而已ue通过第一网络发起对第二网络的恶意攻击。

第一网络和第二网络可以基于目前的5g网络或者未来的其他网络架构布局。一种可能的实施方式中，第一网络和第二网络可以都是基于5g系统的机制布局，如图4和图5所述，分别是ue通过plmn网络接入npn网络以及通过npn网络接入plmn网络的架构图。

可选的，本申请实施例中图4或图5中所涉及到的终端(terminal)可以包括各种具有无线通信功能的手持设备、车载设备、可穿戴设备、计算设备或连接到无线调制解调器的其它处理设备；还可以包括用户单元(subscriberunit)、蜂窝电话(cellularphone)、智能电话(smartphone)、无线数据卡、个人数字助理(personaldigitalassistant，pda)电脑、平板型电脑、无线调制解调器(modem)、手持设备(handheld)、膝上型电脑(laptopcomputer)、无绳电话(cordlessphone)或者无线本地环路(wirelesslocalloop，wll)台、机器类型通信(machinetypecommunication，mtc)终端、用户设备(userequipment，ue)，移动台(mobilestation，ms)，终端设备(terminaldevice)或者中继用户设备等。其中，中继用户设备例如可以是5g家庭网关(residentialgateway，rg)。为方便描述，本申请中，上面提到的设备统称为终端。

图4或图5中所涉及的接入设备(无线/有线接入网络)指的是接入核心网的设备，例如可以是基站，宽带网络业务网关(broadbandnetworkgateway，bng)，汇聚交换机，非第三代合作伙伴计划(3rdgenerationpartnershipproject，3gpp)接入设备等。基站可以包括各种形式的基站，例如：宏基站，微基站(也称为小站)，中继站，接入点等。

图4或图5中所涉及的用户面功能(userplanfunction，upf)网元是用户面的功能网元，主要负责连接外部网络，其包括了长期演进(longtermevolution，lte)的服务网关(servinggateway，sgw)和分组数据网网关(packetdatanetworkgateway，pdn-gw)的相关功能。具体地，upf可以根据smf的路由规则执行用户数据包转发，如上行数据发送到dn或其他upf；下行数据转发到其他upf或者ran；也可以实现对特定数据流的控制，例如阻断某些特征(例如，使用ip五元组表征)的数据包。在本申请实施例中，upf可以接收smf下发的包过滤器(packetfilter)，用于阻断ue访问第二网络。

图4或图5中接入与移动性管理功能(accessandmobilitymanagementfunction网元负责ue的接入管理和移动性管理，例如负责ue的状态维护、ue的可达性管理、非接入层(non-access-stratum，nas)消息的转发、会话管理(sessionmanagement，sm)n2消息的转发。在实际应用中，amf网元可实现lte网络框架中mme里的移动性管理功能，还可实现接入管理功能。

图4或图5中会话管理功能(sessionmanagementfunction，smf)网元负责会话管理，为ue的会话分配资源、释放资源；其中资源包括会话服务质量(qualityofservice，qos)、会话路径、转发规则等。smf或者upf网元还用于为ue分配互联网协议(internetprotocol，ip)地址。

图4或图5中ausf网元用于执行ue的安全认证，如鉴权/认证。

图4或图5中af网元可以是第三方的应用控制平台，也可以是运营商自己的设备，af网元可以为多个应用服务器提供服务。

图4或图5中udm网元可存储ue的签约信息。

图4或图5中pcf网元用于进行用户策略管理，类似于lte中的策略与计费规则功能(policyandchargingrulesfunction，pcrf)网元，主要负责策略授权、服务质量以及计费规则的生成，并将相应规则通过smf网元下发至upf网元，完成相应策略及规则的安装。

需要说明的是，本申请实施例将amf、smf和udm等称为网元仅为一种示意。实际中，网元也可以称为实例或者网络功能实体。例如，udm网元也可以称为udm实例、udm网络功能实体；amf网元也可以称为amf实例、amf网络功能实体。

同样需要说明的是，本申请实施例中所述的udm网元在实现其功能时可以通过和同一数据仓储(unifieddatarepository，udr)网元交互实现，udr网元用于存储udm网元执行其操作时所需的数据，udm网元用于与其他网元进行交互。实际实现时，udr网元和udm网元可以是两个独立的物理实体，udr网元也可集成在udm网元中，本申请实施例对比不做具体限定。

可以理解的是，上述功能网元既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

示例性的，为了便于描述，后续实施例中，以第一网络和第二网络都是基于5g系统的机制布局为例进行描述。

下面将结合附图对本申请实施例提供的增强跨网络访问安全的方法进行具体阐述。

需要说明的是，本申请下述实施例中各个网元之间的消息名字或消息中各参数的名字等只是一个示例，具体实现中也可以是其他的名字，本申请实施例对此不作具体限定。

如图6所示，为本申请实施例提供的一种增强跨网络访问安全的方法，该方法包括如下步骤：

步骤601、ue连接到第一网络；

可选的，ue需要注册到第一网络中以获得通过第一网络获取相关服务的权限。在ue注册流程中，第一网络会对ue进行认证/鉴权。可选的，在ue上配置有接入到第一网络的安全凭证。ue使用第一网络的安全凭证发现、选择并连接到第一网络。

步骤602、ue在第一网络中建立pdu会话。

ue可以在第一网络中请求建立到数据网络(datanetwork，dn)的pdu会话，并且在pdu会话建立过程中，由第一网络中的网元(例如upf或者smf)为ue分配ip地址。

步骤603、ue确定第二网络的n3iwf；

可选的，在ue上预先配置有第二网络对应的n3iwf的ip地址或者全量域名(fullyqualifieddomainname，fqdn)。

步骤604、ue通过第二网络的n3iwf，请求注册到第二网络，并触发鉴权流程；

一种可能的实现方式中，ue通过第二网络的n3iwf，向第二网络中的网元发送注册请求，并且在注册过程中触发ue和第一网络之间的互相鉴权。具体实现可以参考现有技术，如ts23.502v15.2.0第4.2.2.2.2节generalregistration相关描述以及ts33.501v15.2.0第6.1.3节authenticationprocedures相关描述，这里不再赘述。

步骤605、第二网络中的网元确定对ue的鉴权失败，记录鉴权结果并做出相应的决策。

一种可能的实现方式是，第二网络中的ausf网元、amf网元或者n3iwf判断对ue的鉴权失败，现有技术中第二网络中的ausf网元、amf网元或者n3iwf网元会向ue返回一个错误指示，用于通知ue鉴权失败。本申请实施例中，在确定对ue的鉴权失败之后，n3iwf网元或者第二网络中的其他网元(例如，第二网络中的ausf网元或者amf网元等)记录ue鉴权失败的结果，并由n3iwf网元或者第二网络中的其他网元根据ue之前的鉴权结果，决策是否需要禁止ue对第二网络的访问，可选的，可以为ue禁止访问第二网络设置一个有效期。

一种可能的实现方式中，在由第二网络中的其他网元(例如，第二网络中的ausf网元或者amf网元等)来判断ue的鉴权是否失败的情况下，第二网络中的其他网元通知n3iwf网元，从而使得n3iwf网元确定第二网络对ue的鉴权失败。

可选的，n3iwf网元或者第二网络中的其他网元记录任一ue认证/鉴权失败的日志，记录的日志内容可以包括ue的ip地址和ue在第二网络中的标识等。如果同一个ip地址的ue在预设时长内认证/鉴权失败的次数达到预设阈值，则n3iwf网元或者第二网络中的其他网元可以做出禁止该ip地址对应的ue对第二网络进行访问的决策。

步骤606、第二网络中的网元向第一网络中的upf网元发送认证/鉴权响应；

在一种可能的实现方式中，第二网络中的n3iwf向第一网络中的upf发送鉴权响应；另一种可能的实现方式中，第二网络中的n3iwf通过第二网络中的smf网元向第一网络中的upf网元发送鉴权响应。

所述鉴权响应包括所述ip地址以及原因值cause。所述cause用于指示禁止该ip地址访问第二网络，可选的，还用于指示禁止该ip地址访问第二网络的原因，例如认证/鉴权失败。可选的，该鉴权响应中还包括有效期，该有效期用于指示禁止该ip地址访问第二网络的时间信息，例如，某一时间段内或者某一时刻之前禁止该ip地址访问第二网络。

步骤607、第一网络中的upf网元向ue发送认证/鉴权响应；

可选的，第一网络中的upf网元向ue发送的认证/鉴权响应中包括ue鉴权失败的指示信息。

步骤608、第一网络中的upf网元向第一网络中为ue的pdu会话服务的smf网元发送pdu会话控制请求；

具体的，该pdu会话控制请求包括所述ip地址、cause和所述第二网络的标识(sn_id)等信息；可选的，该pdu会话控制请求还包括所述有效期。

需要说明书的是，步骤606中可能并不携带所述ip地址以及原因值cause，而只是用于指示第二网络对所述ue认证/鉴权失败。这种情况下，步骤608中的pdu会话控制请求可以是由第二网络中的smf网元发送所给所述第一网络中的smf网元。进一步的，步骤605中，第二网络中的n3iwf网元或者第二网络中的其他网元根据ue之前的鉴权结果，决策需要禁止ue对第二网络的访问之后，将禁止ue对第二网络进行访问的决策结果发送给所述第二网络中的smf网元。所述第二网络中的smf网元根据禁止ue访问第二网络的决策结果，向所述第一网络中的smf网元发送pdu会话控制请求。

步骤609、第一网络中为ue的pdu会话服务的smf网元接收第一网络中upf网元发送的pdu会话控制请求；保存禁止所述ue访问第二网络的信息。

可选的，所述禁止所述ue访问第二网络的信息包括所述ue的标识和所述第二网络的标识；可选的，还包括上述有效期。

具体的，第一网络中为ue的pdu会话服务的smf网元根据所述pdu会话控制请求中的cause，确定第二网络禁止所述ue访问第二网络；根据pdu会话控制请求中的ip地址，确定所述ue的pdu会话标识(可选的)以及ue在第一网络中的标识；关联存储所述ue在第一网络中的标识和所述第二网络的标识。ue在第一网络中的标识具体可以是用户永久标识(subscriptionpermanentidentifier，supi)。

一种可能的实现方式是，smf网元维护一个黑名单，黑名单中每一个条目用于记录哪个ue禁止访问哪个网络。可选的，黑名单中每一个条目还包括该条目的有效期。

可选的，第一网络中为ue的pdu会话服务的smf网元还判断所述ue的pdu会话的类型。当所述ue的pdu会话为专门用于访问所述第二网络的，例如所述ue的pdu会话对应的数据网络名称(datanetworkname，dnn)携带有所述第二网络的信息，则执行步骤610，释放所述ue的pdu会话，并且跳过步骤611-614；当所述ue的pdu会话不是为专门用于访问所述第二网络的，例如所述ue的pdu会话对应的数据网络名称(datanetworkname，dnn)为公共的数据网络(如因特网)，则跳过步骤610，转而执行步骤611-614。需要说明的是，当所述ue的pdu会话不是为专门用于访问所述第二网络的时候，说明该pdu会话除了被ue用于访问第二网络之外，还可以用于被ue获取对应的数据网络中的业务/服务数据。此时，如果直接释放该pdu会话，将会导致ue的其他业务/服务受到影响。因此，需要保留该pdu会话，但是需要阻断该pdu会话中访问第二网络的数据/消息。一种可能的实现方式中，ue不管该pdu会话是否专门用于访问所述第二网络，均跳过步骤610，转而执行步骤611-614。

步骤610、释放所述ue的pdu会话。

pdu会话的释放流程可以参考现有技术，这里不再赘述。例如，可以参考ts23.502v15.2.0第4.3.4节pdusessionrelease相关描述。

步骤611、smf网元发起pdu会话管理策略修改流程。

具体的，smf网元确定需要阻止ue访问第二网络之后，决定修改ue的pdu会话。可选的，smf网元向第一网络中的pcf网元发送会话管理策略更新请求(例如，npcf_smpolicycontrol_updaterequest)，该会话管理策略更新请求用于请求pcf网元生成阻止ue访问第二网络的会话管理策略。

pcf网元根据接收到的会话管理策略更新请求，生成新的会话管理策略，并将生成的会话管理策略发送给smf网元；可选的，新的会话管理策略包括一个包过滤器，该包过滤器用于阻断ue访问第二网络的数据/请求。例如，该包过滤器包括ue的ip地址和目的地址。可选的，还包括目的端口、传输层协议等信息。其中目的地址可以是第二网络中网元的地址，例如可以是第二网络中n3iwf的ip地址。

步骤612、smf网元发起upf网元的n4会话更新流程。

具体的，smf网元向upf网元发送n4sessionmodificationrequestmessage，该n4sessionmodificationrequestmessage包括所述包过滤器，upf网元接收smf网元发送的n4sessionmodificationrequestmessage，并安装所述包过滤器。

步骤613、smf网元向upf网元发送pdu会话控制响应。

具体的，pdu会话控制响应具体可以是一个确认消息，用于指示smf网元已经成功接收到步骤608中的pdu会话控制请求。可选的，还可以用于指示pdu会话修改成功。

步骤614、upf网元根据所述包过滤器阻断ue对第二网络的访问。

具体的，upf网元可以根据包过滤器过滤数据包，例如，可以根据数据包的源地址和目的地址，进行阻断，从而阻止ue到所述第二网络的访问。

步骤615、ue后续再次发起pdu会话建立请求。

步骤616、第一网络中的网元拒绝ue访问第二网络。

具体的，smf网元根据所述黑名单确定所述ue不允许访问第二网络，且ue请求建立的pdu会话专门用于访问第二网络，则所述smf网元拒绝步骤615中pdu会话的建立；如果ue请求建立的pdu会话不是专门用于访问第二网络，则执行步骤611-614，在upf网元上限值ue到第二网络的数据/消息。

步骤617、pdu会话建立的后续流程。

可选的，如果步骤616中，smf网元拒绝pdu会话的建立，则smf网元向ue发送pdu会话拒绝消息，可选的，可以包括拒绝pdu会话建立的原因值。具体的，smf网元通过nassm信令通知ue拒绝pdu会话建立，该nassm信令可以包括拒绝的原因值，例如拒绝访问第二网络。

可选的，如果步骤616中，smf网元确定ue请求建立的pdu会话不是专门用于访问第二网络，且执行步骤611-614，则pdu会话建立的后续流程可以包括向ue发送pdu会话建立成功的响应消息。

本申请实施例中第二网络的网元在ue鉴权失败之后，记录ue的鉴权结果，并且在确定ue多次请求认证/鉴权的情况下，向第一网络中的网元发送阻止ue继续访问第二网络的指示。第一网络中的网元释放pdu会话或者pdu会话修改，能够有效防止恶意ue对第一网络和第二网络的资源占用，提高网络效率，防止第二网络遭受ddos攻击。

在图6所述的实施例中，第一网络中的smf网元保存禁止ue访问第二网络的信息(即黑名单)，并且也是由smf根据黑名单，确定一个ue是否允许访问第二网络。如图7所示，在本申请实施例提供的另一种增强跨网络访问安全的方法中，可以由第一网络中的udm保存禁止ue访问第二网络的信息(即黑名单)，然后由smf网元根据黑名单，确定一个ue是否允许访问第二网络，该方法包括如下步骤：

步骤701-步骤708分别同图6实施例中的步骤601-608，相关内容可以参考上述实施例，这里不再赘述。

步骤709、第一网络中为ue的pdu会话服务的smf网元接收第一网络中upf网元发送的pdu会话控制请求。

具体的，第一网络中为ue的pdu会话服务的smf网元根据所述pdu会话控制请求中的cause，确定第二网络禁止所述ue访问第二网络；根据pdu会话控制请求中的ip地址，确定所述ue的pdu会话标识以及ue在第一网络中的标识；

将所述ue在第一网络中的标识和所述第二网络的标识发送给udm网元。可选的，smf网元还将所述有效期发送给udm网元。

可选的，第一网络中为ue的pdu会话服务的smf网元还判断所述ue的pdu会话的类型。当所述ue的pdu会话为专门用于访问所述第二网络的，例如所述ue的pdu会话对应的数据网络名称(datanetworkname，dnn)携带有所述第二网络的信息，则执行步骤711，释放所述ue的pdu会话，并且跳过步骤712-715；当所述ue的pdu会话不是为专门用于访问所述第二网络的，例如所述ue的pdu会话对应的数据网络名称(datanetworkname，dnn)为公共的数据网络(如因特网)，则跳过步骤711，转而执行步骤712-715。需要说明的是，当所述ue的pdu会话不是为专门用于访问所述第二网络的时候，说明该pdu会话除了被ue用于访问第二网络之外，还可以用于被ue获取对应的数据网络中的业务/服务数据。此时，如果直接释放该pdu会话，将会导致ue的其他业务/服务受到影响。因此，需要保留该pdu会话，但是需要阻断该pdu会话中访问第二网络的数据/消息。一种可能的实现方式中，ue不管该pdu会话是否专门用于访问所述第二网络，均跳过步骤711，转而执行步骤712-715。

步骤710、第一网络中为ue的pdu会话服务的smf网元将禁止所述ue访问第二网络的信息存储到udm网元。

可选的，smf网元将禁止所述ue访问第二网络的信息存储到udm网元中所述ue的签约数据中。具体的，所述udm网元在每个ue的签约数据中保存一个黑名单，黑名单中每一个条目用于记录ue禁止访问哪个网络。可选的，黑名单中每一个条目还包括该条目的有效期。

步骤711-步骤716分别同图6实施例中的步骤610-615，相关内容可以参考上述实施例，这里不再赘述。

步骤717、smf网元从udm网元获取阻止ue访问第二网络的信息。

具体的，smf网元可以在pdu会话建立过程中从udm网元获取ue的签约数据，并从所述ue的签约数据中获取阻止ue访问第二网络的信息。

步骤718-步骤719分别同图6实施例中的步骤616-617，相关内容可以参考上述实施例，这里不再赘述。

在图6所述的实施例中，第一网络中的smf网元保存禁止ue访问第二网络的信息(即黑名单)，并且也是由smf根据黑名单，确定一个ue是否允许访问第二网络。如图7所示，可以由第一网络中的udm保存禁止ue访问第二网络的信息(即黑名单)，然后由smf网元根据黑名单，确定一个ue是否允许访问第二网络。在图8所述的另有一种增强跨网络访问安全的方法中，第一网络和第二网络中分别部署了一个安全网关，例如可以是安全边界保护代理(securityedgeprotectionproxy，sepp)，该安全网关可以是单独的网元，其功能也可以集成到已有的网元中。该方法包括如下步骤：

步骤801-步骤805分别同图7实施例中的步骤701-705，相关内容可以参考上述实施例，这里不再赘述。

步骤806-步骤809分别同图7实施例中的步骤706-709，不同的是，步骤806的执行主体由图7中步骤706第二网络中的n3iwf替换为图8中第二安全网关，步骤807和步骤808的执行主体由图7中相关步骤的upf替换为图8中第一安全网关相关内容可以参考上述实施例，这里不再赘述。

步骤810、第一网络中为ue的pdu会话服务的smf网元将禁止所述ue访问第二网络的信息存储到第一安全网关。

具体描述参考图7实施例中步骤710，只要将步骤710中的udm替换为第一安全网关即可，这里步骤赘述。

步骤811同图7实施例中的步骤711.

步骤812、smf网元向第一安全网关发送阻止ue访问第二网络的信息。

可选的，smf网元向第一安全网关发送pdu会话控制响应，pdu会话控制响应中携带阻止ue访问第二网络的信息。所述阻止ue访问第二网络的信息例如可以包括ue在第一网络中的标识/ue的ip地址、目的ip地址等信息。可选的，还包括目的端口、传输层协议等信息。其中目的地址可以是第二网络中网元的地址，例如可以是第二网络中n3iwf的ip地址或者第二安全网关的地址。

步骤813、第一安全网关阻断ue对第二网络的访问。

步骤815同图7实施例中的步骤716.

步骤816、smf网元从第一安全网关获取阻止ue访问第二网络的信息。

步骤817-步骤818分别同图7实施例中的步骤718-719，相关内容可以参考上述实施例，这里不再赘述。

上述详细阐述了本申请实施例的方法，下面提供了本申请实施例的装置。

请参见图9，是本申请实施例提供的增强跨网络访问安全的装置的逻辑结构示意图，所述装置90用于终端通过在第一网络中建立的分组数据单元pdu会话访问第二网络，该装置90可以包括接收模块901和处理模块902。

接收模块901，用于接收针对所述pdu会话第一请求消息，所述第一请求消息包括所述终端的地址信息、所述第二网络的标识以及禁止所述终端访问所述第二网络的指示信息；

处理模块902，用于根据所述第一请求消息，存储禁止所述终端访问第二网络的信息；

所述处理模块901，还用于阻断所述终端对所述第二网络的访问。

所述禁止所述终端访问第二网络的信息包括所述终端在第一网络中的标识和所述第二网络的标识；所述处理单元902，用于存储禁止所述终端访问第二网络的信息，具体为：

根据所述终端的地址信息，确定所述终端在所述第一网络中的标识；

关联存储所述终端在所述第一网络中的标识和所述第二网络的标识。

或者，所述处理单元902，用于存储禁止所述终端访问第二网络的信息，具体为：

根据所述终端的地址信息，确定所述终端在所述第一网络中的标识；

将所述禁止所述终端访问第二网络的信息存储到所述第一网络中udm网元中所述终端的签约数据里或者存储到第一网络中安全网关中。

一种可能的实现方式中，所述处理模块902，用于阻断所述终端对所述第二网络的访问，包括：向所述第一网络中为所述pdu会话服务的用户面功能网元发送阻断所述终端访问所述第二网络的第二请求消息，所述第二请求消息指示所述用户面功能网元阻断所述终端对所述第二网络的访问。

另一种可能的实现方式中，所述处理模块902，用于阻断所述终端对所述第二网络的访问，包括：释放所述pdu会话。

所述处理模块902，还用于在所述终端再次发起用于访问第二网络的pdu会话建立请求的情况下，根据所述禁止所述终端访问第二网络的信息，阻断所述终端对所述第二网络的访问。

可选的，第一请求消息还包括禁止所述终端访问所述第二网络的有效期；所述禁止所述终端访问所述第二网络的信息还包括所述有效期。

该装置90可以实现图6-8所示实施例中smf网元的功能，该装置90中各个模块执行详细过程可以参见图6-8所示实施例smf网元的执行步骤，此处不再赘述。

请参见图10，是本申请实施例提供的增强跨网络访问安全的装置的逻辑结构示意图，所述装置100用于终端通过在第一网络中建立的分组数据单元pdu会话访问第二网络，该装置100可以包括处理模块1001和发送模块1002。

处理模块1001，用于在所述ue鉴权失败的情况下，记录所述鉴权失败的结果；

所述处理模块1001，还用于根据所述鉴权失败的结果，确定阻止所述终端访问所述第二网络；

发送模块1002，用于向第一网络中的网元发送鉴权响应，所述鉴权响应包括所述终端的地址信息以及禁止所述终端访问所述第二网络的指示信息。

可选的，所述鉴权响应还包括禁止所述终端访问所述第二网络的有效期。

所述处理模块1001，用于确定阻止所述终端访问所述第二网络，具体为：确定所述终端鉴权失败的次数大于预设的阈值。

可选的，所述装置为非3gpp互通功能n3iwf网元。

该装置100可以实现图6-8所示实施例中n3iwf网元的功能，该装置100中各个模块执行详细过程可以参见图6-8所示实施例n3iwf网元的执行步骤，此处不再赘述。

本申请实施例图4-5所述的任一功能网元既可以是硬件设备中的网络元件，也可以是在专用硬件上运行的软件功能，或者是平台(例如，云平台)上实例化的虚拟化功能。

例如，本申请实施4-5所述的任一功能网元可以通过图11中的通信设备来实现。图11所示为本申请实施例提供的通信设备的硬件结构示意图。该通信设备1100包括处理器1101，通信线路1102，存储器1103以及至少一个通信接口(图11中仅是示例性的以包括通信接口1104为例进行说明)。

处理器1101可以是一个通用中央处理器(centralprocessingunit，cpu)，微处理器，特定应用集成电路(application-specificintegratedcircuit，asic)，或一个或多个用于控制本申请方案程序执行的集成电路。

通信线路1102可包括一通路，在上述组件之间传送信息。

通信接口1104，使用任何收发器一类的装置，用于与其他设备或通信网络通信，如以太网，无线接入网(radioaccessnetwork，ran)，无线局域网(wirelesslocalareanetworks，wlan)等。

存储器1103可以是只读存储器(read-onlymemory，rom)或可存储静态信息和指令的其他类型的静态存储设备，随机存取存储器(randomaccessmemory，ram)或者可存储信息和指令的其他类型的动态存储设备，也可以是电可擦可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、只读光盘(compactdiscread-onlymemory，cd-rom)或其他光盘存储、光碟存储(包括压缩光碟、激光碟、光碟、数字通用光碟、蓝光光碟等)、磁盘存储介质或者其他磁存储设备、或者能够用于携带或存储具有指令或数据结构形式的期望的程序代码并能够由计算机存取的任何其他介质，但不限于此。存储器可以是独立存在，通过通信线路1102与处理器相连接。存储器也可以和处理器集成在一起。

其中，存储器1103用于存储执行本申请方案的计算机执行指令，并由处理器1101来控制执行。处理器1101用于执行存储器1103中存储的计算机执行指令，从而实现本申请上述实施例6-8提供的增强跨网络访问安全的方法。

可选的，本申请实施例中的计算机执行指令也可以称之为应用程序代码，本申请实施例对此不作具体限定。

在具体实现中，作为一种实施例，处理器1101可以包括一个或多个cpu，例如图11中的cpu0和cpu1。

在具体实现中，作为一种实施例，通信设备1100可以包括多个处理器，例如图11中的处理器1101和处理器1108。这些处理器中的每一个可以是一个单核(single-cpu)处理器，也可以是一个多核(multi-cpu)处理器。这里的处理器可以指一个或多个设备、电路、和/或用于处理数据(例如计算机程序指令)的处理核。

在具体实现中，作为一种实施例，通信设备1100还可以包括输出设备1105和输入设备1106。输出设备1105和处理器1101通信，可以以多种方式来显示信息。例如，输出设备405可以是液晶显示器(liquidcrystaldisplay，lcd)，发光二级管(lightemittingdiode，led)显示设备，阴极射线管(cathoderaytube，crt)显示设备，或投影仪(projector)等。输入设备1106和处理器1101通信，可以以多种方式接收用户的输入。例如，输入设备1106可以是鼠标、键盘、触摸屏设备或传感设备等。

上述的通信设备1100可以是一个通用设备或者是一个专用设备。在具体实现中，通信设备1100可以是台式机、便携式电脑、网络服务器、掌上电脑(personaldigitalassistant，pda)、移动手机、平板电脑、无线终端设备、嵌入式设备或有图11中类似结构的设备。本申请实施例不限定通信设备1100的类型。

可选的，本申请实施例还提供了一种装置(例如，该装置可以是芯片系统)，该装置包括处理器，用于支持上述图6-8所述的增强跨网络访问安全的方法。在一种可能的设计中，该装置还包括存储器。该存储器，用于保存第一会话管理网元必要的程序指令和数据。当然，存储器也可以不在该装置中。该装置是芯片系统时，可以由芯片构成，也可以包含芯片和其他分立器件，本申请实施例对此不作具体限定。

在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件程序实现时，可以全部或部分地以计算机程序产品的形式来实现。该计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行计算机程序指令时，全部或部分地产生按照本申请实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一个计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、服务器或者数据中心通过有线(例如同轴电缆、光纤、数字用户线(digitalsubscriberline，dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可以用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质(例如，软盘、硬盘、磁带)，光介质(例如，dvd)、或者半导体介质(例如固态硬盘(solidstatedisk，ssd))等。

尽管在此结合各实施例对本申请进行了描述，然而，在实施所要求保护的本申请过程中，本领域技术人员通过查看所述附图、公开内容、以及所附权利要求书，可理解并实现所述公开实施例的其他变化。在权利要求中，“包括”(comprising)一词不排除其他组成部分或步骤，“一”或“一个”不排除多个的情况。单个处理器或其他单元可以实现权利要求中列举的若干项功能。相互不同的从属权利要求中记载了某些措施，但这并不表示这些措施不能组合起来产生良好的效果。

尽管结合具体特征及其实施例对本申请进行了描述，显而易见的，在不脱离本申请的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本申请的示例性说明，且视为已覆盖本申请范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。