一种网络接入方法、装置、设备及存储介质与流程

本技术涉及通信，尤其涉及一种网络接入方法、装置、设备及存储介质。

背景技术：

1、随着企业信息化改革的不断推进和移动化办公的兴起，一部分企业将业务系统的数据中心迁移至公有云，其域名暴露在公网上，企业的员工通过终端发起的访问业务经过联通云、华为云、阿里云等多个公有云的负载均衡后，被就近调度到公网入网点(point ofpresence，pop)，再通过互联网专线到达数据中心。

2、但是，这种业务访问方法中，终端在核心网签约的是通用数据网络名称(datanetwork name，dnn)(例如：3gnet)，公有云入口无法根据通用dnn区分终端的访问业务是访问互联网的公网业务还是访问业务系统的数据中心的专网业务，使得非企业员工也可以通过浏览器打开企业的业务系统所在网址，业务系统容易遭受分布式拒绝服务(distributeddenial of service，ddos)攻击、弱口令攻破等，安全性和保密性较低。

技术实现思路

1、本技术提供一种网络接入方法、装置、设备及存储介质，实现了避免非企业员工访问业务系统，提高了业务系统的安全性。

2、第一方面，本技术提供一种网络接入方法，应用于管控装置，管控装置分别通过多个专用用户面功能(user plane function，upf)与业务系统连接，该方法包括：接收核心网网元转发的终端的访问请求；访问请求用于请求访问业务系统；访问请求包括第一身份信息和第二身份信息；第一身份信息用于指示终端在核心网网元中的身份信息；第二身份信息用于指示终端在业务系统中的身份信息；分别验证第一身份信息以及第二身份信息；在第一身份信息以及第二身份信息均验证通过的情况下，根据第一身份信息以及终端的位置，从多个专用upf中确定目标专用upf；通过目标专用upf向业务系统转发访问请求。

3、本技术提供的网络接入方法，管控装置通过接收核心网网元转发的终端的访问请求，从而分别验证访问请求中的第一身份信息和第二身份信息，进而，在第一身份信息和第二身份信息验证均通过的情况下，根据第一身份信息以及终端的位置，从多个专用upf中确定目标专用upf，并通过目标专用upf向业务系统转发终端的访问请求。管控装置验证终端在核心网网元内的第一身份信息和在业务系统的第二身份信息，这样可以剔除非法用户和非企业员工的访问请求，从而使得仅本企业的员工可以访问业务系统，提高了业务系统的安全性和保密性。并且，在第一身份信息和第二身份信息验证均通过的情况下，管控装置还可以根据第一身份信息和终端的位置，选择距离最近的专用upf作为目标专用upf，这样终端可以基于最近的目标专用upf访问业务系统，避免了终端的访问请求迂回归属地，使得终端的访问请求最快地到达业务系统进行访问，提高终端的访问效率。

4、一种可能的实现方式，管控装置与会话管理功能(session managementfunction，smf)网元连接；验证第一身份信息，包括：向smf网元发送第一请求；第一请求用于请求验证第一身份信息；第一请求包括第一身份信息；接收smf网元发送的终端对应的移动台国际综合业务数字网号码(mobile subscriber international integratedservices digital network number，msisdn)字段；根据终端对应的msisdn字段，验证第一身份信息，得到第一验证结果；第一验证结果用于指示第一身份信息是否通过验证。

5、另一种可能的实现方式，验证第二身份信息，包括：向业务系统发送第二请求；第二请求用于请求验证第二身份信息；第二请求包括第二身份信息；接收业务系统发送的第二验证结果；第二验证结果用于指示第二身份信息是否通过验证。

6、又一种可能的实现方式，根据第一身份信息以及终端的位置，从多个专用upf中确定目标专用upf，包括：查询第一身份信息对应的第一优先级；第一优先级用于指示终端通过多个专用upf访问业务系统的优先级大小；在第一优先级中最高优先级的专用upf与终端的位置相匹配的情况下，根据第一优先级确定目标专用upf；在第一优先级中最高优先级的专用upf与终端的位置不匹配的情况下，根据终端的位置将第一优先级调整为第二优先级，并根据第二优先级确定目标专用upf。

7、又一种可能的实现方式，业务系统的管辖范围被划分为多个区域；多个区域分别与多个专用upf一一对应；第一优先级为终端在业务系统进行注册时，业务系统根据终端的注册位置与多个区域的距离关系设置。

8、第二方面，本技术提供一种网络接入方法，应用于核心网网元，核心网网元与管控装置连接，该方法包括：接收终端的访问请求；在域名解析系统(domain name system，dns)白名单指示访问请求用于访问业务系统的情况下，向管控装置转发终端的访问请求。

9、一种可能的实现方式，核心网网元包括smf网元，方法还包括：smf网元接收管控装置发送的第一请求；第一请求用于请求验证第一身份信息；第一请求包括第一身份信息；响应于第一请求，smf网元基于第一身份信息，生成终端对应的msisdn字段；smf网元向管控装置发送终端对应的msisdn字段。

10、第三方面，本技术提供一种网络接入装置，该装置包括：接收模块、验证模块、确定模块以及转发模块。

11、接收模块用于，接收核心网网元转发的终端的访问请求；访问请求用于请求访问业务系统；访问请求包括第一身份信息和第二身份信息；第一身份信息用于指示终端在核心网网元中的身份信息；第二身份信息用于指示终端在业务系统中的身份信息；验证模块用于，分别验证第一身份信息以及第二身份信息；确定模块用于，在第一身份信息以及第二身份信息均验证通过的情况下，根据第一身份信息以及终端的位置，从多个专用upf中确定目标专用upf；转发模块用于，通过目标专用upf向业务系统转发访问请求。

12、一种可能的实现方式，管控装置与smf网元连接；验证模块具体用于，向smf网元发送第一请求；第一请求用于请求验证第一身份信息；第一请求包括第一身份信息；接收smf网元发送的终端对应的移动台国际综合业务数字网号码msisdn字段；根据终端对应的msisdn字段，验证第一身份信息，得到第一验证结果；第一验证结果用于指示第一身份信息是否通过验证。

13、另一种可能的实现方式，验证模块具体用于，向业务系统发送第二请求；第二请求用于请求验证第二身份信息；第二请求包括第二身份信息；接收业务系统发送的第二验证结果；第二验证结果用于指示第二身份信息是否通过验证。

14、又一种可能的实现方式，确定模块具体用于，查询第一身份信息对应的第一优先级；第一优先级用于指示终端通过多个专用upf访问业务系统的优先级大小；在第一优先级中最高优先级的专用upf与终端的位置相匹配的情况下，根据第一优先级确定目标专用upf；在第一优先级中最高优先级的专用upf与终端的位置不匹配的情况下，根据终端的位置将第一优先级调整为第二优先级，并根据第二优先级确定目标专用upf。

15、又一种可能的实现方式，业务系统的管辖范围被划分为多个区域；多个区域分别与多个专用upf一一对应；第一优先级为终端在业务系统进行注册时，业务系统根据终端的注册位置与多个区域的距离关系设置。

16、第四方面，本技术提供一种网络接入装置，该装置包括：接收模块和发送模块。

17、接收模块用于，接收终端的访问请求；发送模块用于，在dns白名单指示访问请求用于访问业务系统的情况下，向管控装置转发终端的访问请求。

18、一种可能的实现方式，核心网网元包括smf网元，装置还包括：生成模块。

19、接收模块还用于，smf网元接收管控装置发送的第一请求；第一请求用于请求验证第一身份信息；第一请求包括第一身份信息；生成模块用于，响应于第一请求，smf网元基于第一身份信息，生成终端对应的msisdn字段；发送模块还用于，smf网元向管控装置发送终端对应的msisdn字段。

20、第五方面，本技术提供一种电子设备，该电子设备包括：处理器和存储器；存储器存储有处理器可执行的指令；处理器被配置为执行指令时，使得电子设备实现上述第一方面和第二方面的方法。

21、第六方面，本技术提供一种计算机可读存储介质，该计算机可读存储介质包括：计算机软件指令；当计算机软件指令在电子设备中运行时，使得电子设备实现上述第一方面和第二方面的方法。

22、第七方面，本技术提供一种计算机程序产品，当该计算机程序产品在计算机上运行时，使得计算机执行上述第一方面和第二方面描述的相关方法的步骤，以实现上述第一方面和第二方面的方法。

23、上述第二方面至第七方面的有益效果参考第一方面的对应描述，不再赘述。