(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221097525 3.5 (22)申请日 2022.08.15 (66)本国优先权数据 202111375766.4 2021.1 1.19 CN (71)申请人 华为技术有限公司 地址 518129 广东省深圳市龙岗区坂田华 为总部办公楼 (72)发明人 潘巍　易平平　杨海　沈懿华　 范昱　 (74)专利代理 机构 北京同达信恒知识产权代理 有限公司 1 1291 专利代理师 田小倩 (51)Int.Cl. H04L 9/40(2022.01) H04W 12/02(2009.01)H04W 12/06(2021.01) (54)发明名称 一种基于SIM卡信息的访问控制方法及通信 装置 (57)摘要 本申请提供一种基于SIM卡信息的访问控制 方法及通信装置， 其中方法包括： 企业专网中的 防火墙接收来自终端设备的访问请求， 该访问请 求中包括终端设备的IP地址； 防火墙确定 所述IP 地址对应的SIM卡信息， 然后根据该SIM卡信息关 联的访问控制策略， 对所述访问请求进行访问控 制。 由于SIM卡信息与每台终端设备绑定， 因此， 基于SIM卡信息， 可以对企业专网内的终端设备 实现区别化、 精细化的访问控制。 权利要求书3页 说明书11页 附图3页 CN 115426139 A 2022.12.02 CN 115426139 A 1.一种基于SIM卡信息的访问控制方法， 其特 征在于， 所述方法包括： 企业专网中的防火墙接收来自终端设备的访问请求， 所述访问请求中包括所述终端设 备的网际互连协议 IP地址； 所述防火墙确定所述 IP地址对应的用户身份识别SIM卡信息； 所述防火墙根据所述SIM卡信息关联的访问控制策略， 对所述访问请求进行访问控制。 2.根据权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 所述防火墙接收来自所述企业专网中的计费转发装置或者会话管理功能网元的所述 终端设备的SIM卡信息和所述 IP地址； 所述防火墙建立所述SIM卡信息与所述 IP地址之间的映射关系； 所述防火墙确定所述 IP地址对应的SIM卡信息， 包括： 所述防火墙根据所述映射关系， 确定所述 IP地址对应的SIM卡信息 。 3.根据权利要求1或2所述的方法， 其特征在于， 所述访 问请求中包括请求访 问的应用 服务； 所述访问控制策略中包括允许所述SIM卡信 息对应的终端设备访问的所述企业专网内 的应用服务， 和/或， 不允许所述SIM卡信息对应的终端设备访问的所述企业专网内的应用 服务； 所述防火墙根据所述SIM卡信息关联的访问控制策略， 对所述访问请求进行访问控制， 包括： 若所述请求访问的应用服务为允许所述SIM卡信息对应的终端设备访问的所述企业专 网内的应用服 务， 所述防火墙允许 所述访问请求， 否则阻断所述访问请求。 4.根据权利要求1至 3中任一项所述的方法， 其特 征在于， 所述方法还 包括： 所述防火墙中存储有关联配置信息， 所述关联配置信息包括所述企业专网内的每个 SIM卡信息关联的访问控制策略。 5.一种SIM卡信息的访问控制方法， 其特 征在于， 所述方法包括： 企业专网中的计费转发装置在终端设备通过运营商认证后， 接收来自会话管理功能网 元的计费信息； 所述企业专网中的计费转发装置向企业专网中的多台防火墙发送终端设备的用户身 份识别SIM卡信息和网际互连协 议IP地址， 所述SIM卡信息和所述IP地址根据所述计费信息 得到。 6.根据权利要求5所述的方法， 其特征在于， 所述企业专网中的计费转发装置接收来自 会话管理功能网元的计费信息， 包括： 所述企业专网中的计费转发装置通过计费协议接收来自会话管理功能网元的计费信 息， 所述计费协议 为远程用户拨号认证服 务RADIUS协议或直径DIAM ETER协议。 7.一种通信装置， 其特 征在于， 所述 通信装置 部署在企业专网中， 所述 通信装置包括： 收发模块， 用于接收来自终端设备的访 问请求， 所述访 问请求中包括所述终端设备的 网际互连协议 IP地址； 处理模块， 用于确定所述 IP地址对应的用户身份识别SIM卡信息； 所述处理模块， 还用于根据 所述SIM卡信 息关联的访问控制策略， 对所述访问请求进行 访问控制。权　利　要　求　书 1/3 页 2 CN 115426139 A 28.根据权利要求7 所述的装置， 其特 征在于， 所述收发模块还用于： 接收来自所述企业专网中的计费转发装置或者会话管理功能网元的所述终端设备的 SIM卡信息和所述 IP地址； 所述处理模块还用于： 建立所述SIM卡信息与所述IP地址之间的映射关系， 以及根据所 述映射关系， 确定所述 IP地址对应的SIM卡信息 。 9.根据权利要求7或8所述的装置， 其特征在于， 所述访 问请求中包括请求访 问的应用 服务； 所述访问控制策略中包括允许所述SIM卡信 息对应的终端设备访问的所述企业专网内 的应用服务， 和/或， 不允许所述SIM卡信息对应的终端设备访问的所述企业专网内的应用 服务； 所述处理模块具体用于： 若所述请求访问的应用服务为允许所述SIM卡信息对应的终端设备访问的所述企业专 网内的应用服 务， 则允许 所述访问请求， 否则阻断所述访问请求。 10.根据权利要求7至9中任一项所述的装置， 其特征在于， 所述通信装置 中存储有关联 配置信息， 所述关联配置信息包括所述企业专网内的每 个SIM卡信息关联的访问控制策略。 11.一种通信装置， 其特 征在于， 所述 通信装置 部署在企业专网中， 所述 通信装置包括： 收发模块， 用于在终端设备通过运营商认证后， 接收来自会话管理功能网元的计费信 息； 处理模块， 用于通过所述收发模块向所述企业专网中的防火墙发送所述终端设备的用 户身份识别SIM卡信息和IP地址， 所述SIM卡信息和所述 IP地址根据所述计费信息得到 。 12.根据权利要求1 1所述的装置， 其特 征在于， 所述收发模块具体用于： 通过计费协议接收来自会话管理功能网元的计费信 息， 所述计费协议为远程用户拨号 认证服务RADIUS协议或直径DIAM ETER协议。 13.一种通信装置， 其特征在于， 包括处理器和存储器， 所述处理器和所述存储器耦合， 所述存储器存储有计算机程序指令， 所述处理器通过运行所述计算机程序指令实现如权利 要求1至4中任一项所述的方法。 14.一种通信装置， 其特征在于， 包括处理器和存储器， 所述处理器和所述存储器耦合， 所述存储器存储有计算机程序指令， 所述处理器通过运行所述计算机程序指令实现如权利 要求5至6中任一项所述的方法。 15.一种通信系统， 其特征在于， 所述通信系统包括企业专网中的防火墙和计费转发装 置； 其中， 所述计费转发装置， 用于在终端设备通过运营商认证后， 接收来自会话管理功能网元 的计费信息， 以及向所述防火墙发送所述 终端设备的用户身份识别SIM卡信息和IP地址， 所 述SIM卡信息和所述 IP地址根据所述计费信息得到； 所述防火墙， 用于接收来自所述计费转发装置的所述终端设备的SIM卡信息和所述IP 地址， 并建立所述SIM卡信息与所述 IP地址之间的映射关系； 所述防火墙， 还用于接收来自所述终端设备的访 问请求， 所述访 问请求中包括所述终 端设备的IP地址， 以及根据所述映射关系， 确定所述IP地址对应的SIM卡信息， 根据所述SIM 卡信息关联的访问控制策略， 对所述访问请求进行访问控制。权　利　要　求　书 2/3 页 3 CN 115426139 A 3