动作授权的方法及其装置与流程

1.本技术涉及通信技术领域，具体涉及一种动作授权的方法及其装置。


背景技术：

2.随着信息化的发展，不同的企业用户或运营商的业务存在多种多样的业务需求，例如，国际漫游业务、未漫游访问全网或本地业务、运营商自有门户业务、对用户进行临时或特殊授权业务等。
3.然而，传统的认证授权计费(authentication、authorization、accounting，aaa)系统仅能实现对单一的业务进行处理，或者需要对aaa系统进行频繁的改动和升级才能满足不同的业务需求，从而使得aaa系统对不同业务处理的灵活性差。


技术实现要素：

4.本技术实施例提供一种动作授权的方法及其装置，从而有效提高aaa系统对不同业务处理的灵活性。
5.在本技术实施例的第一方面，本技术实施例提供了一种动作授权的方法，包括：根据第一消息获取动作授权列表，动作授权列表包括针对不同业务预先设定的多个过滤条件组和与多个过滤条件组对应的多个动作组，第一消息包括至少一个属性；将至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配；当至少一个属性与第一过滤条件组完全匹配时，执行与第一过滤条件组对应的第一动作组。
6.在本技术一实施例中，上述根据第一消息获取动作授权列表包括：在接收第一消息时获取动作授权列表；和/或对第一消息进行认证授权过程中获取动作授权列表；和/或在发出第一消息前获取动作授权列表。
7.在本技术一实施例中，当在接收第一消息时获取动作授权列表，和/或，在发出第一消息前获取动作授权列表时，第一动作组包括添加属性动作、删除属性动作和替换属性动作中的一个或多个。
8.在本技术一实施例中，当对第一消息进行认证授权过程中获取动作授权列表时，第一动作组包括转发属性动作、复制属性动作、授权属性动作和记录属性动作中的一个或多个。
9.在本技术一实施例中，动作授权的方法还包括：当至少一个属性与多个过滤条件组中的第一过滤条件组不完全匹配时，将至少一个属性与多个过滤条件组中的其他过滤条件组依次进行匹配；当至少一个属性与其他过滤条件组中的第二过滤条件组完全匹配时，执行与第二过滤条件组对应的第二动作组。
10.在本技术一实施例中，动作授权的方法还包括：当至少一个属性与其他过滤条件组均不完全匹配时，结束匹配过程。
11.在本技术一实施例中，第一过滤条件组和第一动作组均包括动作授权名称，上述执行与第一过滤条件组对应的第一动作组之前，动作授权的方法还包括：根据动作授权名
称获取第一过滤条件组对应的第一动作组。
12.在本技术一实施例中，第一过滤条件组包括第一过滤条件，第一过滤条件包括第一属性名称、第一属性值和关联第一属性名称和第一属性值的第一运算符号，上述将至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配，包括：判断至少一个属性中是否存在第一属性名称；当判断结果为至少一个属性中存在第一属性名称时，将至少一个属性中的第二属性值与第一过滤条件中的第一运算符号和第一属性值进行匹配；其中，上述当至少一个属性与第一过滤条件组完全匹配时，执行与第一过滤条件组对应的第一动作组，包括：当至少一个属性中的第二属性值与第一过滤条件中的第一运算符号和第一属性值完全匹配时，执行与第一过滤条件组对应的第一动作组。
13.在本技术实施例的第二方面，本技术实施例提供了一种动作授权的装置。该动作授权的装置包括：获取模块，用于根据第一消息获取动作授权列表，动作授权列表包括针对不同业务预先设定的多个过滤条件组和与多个过滤条件组对应的多个动作组，第一消息包括至少一个属性；匹配模块，用于将至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配；执行模块，用于当至少一个属性与第一过滤条件组完全匹配时，执行与第一过滤条件组对应的第一动作组。
14.在本技术实施例的第三方面，本技术实施例提供一种计算机可读存储介质，其上存储有计算机可执行指令，计算机可执行指令被处理器执行时实现本技术实施例的第一方面中任一项提供的一种动作授权的方法。
15.根据本技术实施例提供的技术方案，通过根据第一消息获取动作授权列表，动作授权列表包括针对不同业务预先设定的多个过滤条件组和与多个过滤条件组对应的多个动作组，第一消息包括至少一个属性；将至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配；当至少一个属性与第一过滤条件组完全匹配时，执行与第一过滤条件组对应的第一动作组，从而有效提高aaa系统对不同业务处理的灵活性。
附图说明
16.图1所示为本技术一实施例提供的一种aaa系统。
17.图2是本技术一实施例提供的一种动作授权的方法的流程示意图。
18.图3是本技术另一实施例提供的一种动作授权的方法的流程示意图。
19.图4是本技术一实施例提供的一种动作授权的装置的结构示意图。
20.图5是本技术一实施例提供的一种动作授权的系统的框图。
具体实施方式
21.下面将结合本技术实施例中所需要使用的附图，对本技术实施例中的技术方案进行清楚、完整地描述，显而易见地，下面描述的附图仅是本技术一部分实施例，而不是全部的实施例。
22.需要说明的是，基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有相关实施例，都属于本技术保护的范围。
23.还需要说明的是，本技术实施例中的“第一”、“第二”等仅仅是为了彼此之间相互区分，并不用于限定具有固定的顺序，也不用于限定具有固定的数量。
24.本技术实施例中提供了一种动作授权的方法及其装置，以下分别进行详细说明。
25.图1所示为本技术一实施例提供的一种aaa系统。如图1所示，该aaa系统100包括：通信连接的接入服务器110和aaa服务器120。
26.应当理解，aaa系统100可以是基于radius(remote authentication dial in user service，远程认证拨入用户服务)协议的系统，也可以是基于其他协议如sip(session initiation protocol，会话初始化协议)等的系统，本技术对此不做具体限定。aaa系统100还可以包括其他设备如互联网域名服务器、互联网出口防火墙等，本技术对此不做具体限定。接入服务器110可以采用nas(network access server，网络接入服务器)，还可以采用其他接入服务器如bras(broadband remote access server，宽带远程接入服务器)，本技术对此不做具体限定。
27.图2所示为本技术一实施例提供的一种动作授权的方法的流程示意图。该动作授权的方法可以由基于radius协议的aaa系统中aaa服务器为执行主体。如图2所示，该动作授权的方法包括如下步骤。
28.s210：根据第一消息获取动作授权列表，动作授权列表包括针对不同业务预先设定的多个过滤条件组和与多个过滤条件组对应的多个动作组，第一消息包括至少一个属性。
29.应当理解，第一消息可以为接入请求消息、认证请求消息、计费开始消息或计费请求消息等；第一消息可以是接入服务器生成的，也可以是aaa服务器生成的，本技术对此不做具体限定。第一消息中除包括至少一个属性外，还可以包括其他信息，本技术对此不做具体限定。至少一个属性可以是aaa服务器对第一消息进行解析后获取的，也可以是直接从第一消息中获取的，本技术对此不做具体限定。至少一个属性可以为用户名(user-name)、请求类型(request-type)、地址池(framed-pool)等，第一消息不同时，至少一个属性也会不同，本技术对此不做具体限定。动作授权列表可以由不同的企业用户或者运营商等根据各自的业务需求预先设定，本技术对此不做具体限定。多个过滤条件组和多个动作组可以直接建立映射关系，也可以通过某一共同属性如动作授权名称建立映射关系，本技术对此不做具体限定。多个过滤条件组可以基于radius属性字典进行设定以满足不同业务对应的过滤条件组，radius属性字典可以是aaa服务器启动后将不同的运营商或企业等的radius字典加载到内存中构建的，radius属性字典中可以包括radius标准属性、各厂商属性以及内部扩展属性等，本技术对此不做具体限定。不同业务可以指不同运营商或企业用户等所需求的个性化业务，可以包括国际漫游业务、未漫游访问全网或本地业务、运营商自有门户业务和对用户进行临时或特殊授权业务等，本技术对此不做具体限定。
30.s220：将至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配。
31.具体而言，aaa服务器将至少一个属性与第一过滤条件组中的每个过滤条件进行对比。
32.应当理解，多个过滤条件组可以按顺序排列的，该顺序可以由企业用户或运营商等进行调整，多个过滤条件组也可以是无序排列的，本技术对此不做具体限定。第一过滤条件组可以为多个过滤条件组中的任何一个过滤条件组，第一过滤条件组也可以为多个过滤条件组中排在第一位的过滤条件组，本技术对此不做具体限定。
33.s230：当至少一个属性与第一过滤条件组完全匹配时，执行与第一过滤条件组对
应的第一动作组。
34.具体而言，当aaa服务器将至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配后的匹配结果为完全匹配时，aaa服务器执行与第一过滤条件组对应的第一动作组中的所有动作。
35.根据本技术实施例提供的技术方案，通过设置动作授权列表包括针对不同业务预先设定的多个过滤条件组和与多个过滤条件组对应的多个动作组，从而可以根据多个过滤条件组区分不同的业务。不管第一消息中包括哪些属性，通过将第一消息中的至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配且匹配结果为完全匹配时，aaa服务器可以确定业务的类型，并且aaa服务器执行与第一过滤条件组对应的第一动作组，从而可以完成针对该业务的动作授权。本技术实施例可以利用动作授权列表实现同一aaa系统灵活处理多个业务，且减少了对aaa系统的改动和升级次数，进而满足运营商或企业等应用中的个性化业务需求，提高了用户体验感。
36.图3所示为本技术另一实施例提供的一种动作授权的方法的流程示意图。图3所示实施例为图2所示实施例的一变型例。如图3所示，与图2所示实施例的不同之处在于，步骤s211可以对应于图2所示实施例中的步骤s210，步骤s221-s222可以对应于图2所示实施例中的步骤s220，步骤231可以对应于图2所示实施例中的步骤s230。
37.s211：在接收第一消息时获取动作授权列表，和/或，对第一消息进行认证授权过程中获取动作授权列表，和/或，在发出第一消息前获取动作授权列表。
38.具体而言，当aaa服务器接收第一消息时可以触发aaa服务器获取动作授权列表，该过程可以称为入口匹配；和/或，当aaa服务器对第一消息进行认证授权过程中可以触发aaa服务器获取动作授权列表，该过程可以称为过程匹配；和/或，当aaa服务器在发出第一消息前可以触发aaa服务器获取动作授权列表，该过程可以称为出口匹配，本技术对此不做具体限定。
39.应当理解，在动作授权列表中的多个过滤条件组可以是针对多个入口匹配、多个过程匹配或多个出口匹配对应的业务进行设定，也可以是针对一个或多个入口匹配、过程匹配或出口匹配中任一组合形式对应的业务进行设定，本技术对此不做具体限定。
40.s221：判断至少一个属性中是否存在第一过滤条件中的第一属性名称，其中，第一过滤条件组包括第一过滤条件，第一过滤条件包括第一属性名称、第一属性值和关联第一属性名称和第一属性值的第一运算符号。
41.应当理解，第一运算符号可以为完全匹配(等于)、完全不匹配(不等于)、模糊匹配(部分匹配)、大于(针对数值型属性)和小于(针对数值型属性)等方式，本技术对此不做具体限定。
42.s222：当判断结果为至少一个属性中存在第一属性名称时，将至少一个属性中的第二属性值与第一过滤条件中的第一运算符号和第一属性值进行匹配。
43.具体而言，aaa服务器可以先判断至少一个属性中是否存在第一过滤条件中的第一属性名，如果存在，则根据第一运算符号和第一属性值判断至少一个属性中的第二属性值是否与第一过滤条件匹配。
44.应当理解，当第一过滤条件组中还包括第二过滤条件，第二过滤条件包括第二属性名称、第二属性值和关联第二属性名称和第二属性值的第二运算符号时，aaa服务器可以
先判断至少一个属性中是否存在第一过滤条件中的第一属性名，如果存在，则根据第一运算符号和第一属性值判断至少一个属性中的第二属性值是否与第一过滤条件匹配，再判断至少一个属性中是否存在第二过滤条件中的第二属性名称，如果存在，则根据第二运算符号和第二属性值判断至少一个属性中的第三属性值是否与第二过滤条件匹配；aaa服务器也可以先分别判断至少一个属性中是否存在第一过滤条件中的第一属性名称和第二过滤条件中的第二属性名称，如果存在，则根据第一运算符号和第一属性值判断至少一个属性中的第二属性值是否与第一过滤条件匹配，并根据第二运算符号和第二属性值判断至少一个属性中的第三属性值是否与第二过滤条件匹配，本技术对此不做具体限定。
45.s231：当判断结果为至少一个属性中的第二属性值与第一过滤条件中的第一运算符号和第一属性值完全匹配时，执行与第一过滤条件组对应的第一动作组。
46.应当理解，当第二过滤条件组还包括其他过滤条件时，步骤s221-s222可以重复多次进行，直至当判断结果为至少一个属性与第一过滤条件组中的所有过滤条件完全匹配时，执行与第一过滤条件组对应的第一动作组，在此不再赘述。
47.根据本技术实施例提供的技术方案，通过在接收第一消息时获取动作授权列表，和/或对第一消息进行认证授权过程中获取动作授权列表，和/或在发出第一消息前获取动作授权列表，从而使得aaa服务器可以利用动作授权列表实现针对不同业务进行匹配并执行该业务对应的动作，实现同一aaa系统灵活处理多个业务，且减少了对aaa系统的改动和升级次数，进而满足运营商或企业等应用中的个性化业务需求，提高了用户体验感。另外，通过判断至少一个属性中是否存在第一过滤条件中的第一属性名称，当判断结果为至少一个属性中不存在第一属性名称时，即可进入下一个过滤条件组的匹配过程，节约了匹配的时间，提高了匹配的效率，而当判断结果为至少一个属性中存在第一属性名称时，将至少一个属性中的第二属性值与第一过滤条件中的第一运算符号和第一属性值进行匹配，由于第一运算符号可以为完全匹配、完全不匹配等多种方式，从而使得匹配的方式多样化，更有利于查找到与业务对应的条件，使得过滤条件组的设定更加精准，提高利用动作授权列表区分不同业务的能力。
48.在本技术一实施例中，当在接收第一消息时获取动作授权列表，和/或，在发出第一消息前获取动作授权列表时，第一动作组包括添加属性动作、删除属性动作和替换属性动作中的一个或多个。
49.举例来说，动作授权列表中存储有c2g业务(即将gsm(global system for mobile communications，全球移动通讯系统)网转换为cdma(code division multiple access，码多分址)网的业务)对应的过滤条件组1和动作组1。其中，过滤条件组1中包括过滤条件1：user-name＝ctnet和过滤条件2：request-type＝accessrequest，其中，“user-name(用户名)”和“request-type(请求类型)”为属性名称，“＝”代表运算符号中的完全匹配方式，“ctnet(接入网络的属性值)”和“accessrequest(认证请求)”为属性值，动作组1包括动作1和动作2，其中，动作1：chgattr 3gpp-imsi:＝*》calling-station-id:＝*(将gsm网中的3gpp-imis(3rd generation partnership project-international mobile subscriber identity，3代合作项目-国际移动用户标识码)属性转换为cdma网中的calling-station-id(用户标识))，动作2：addattr 3gpp2-correlation-id:＝1o7huiyo(添加cdma网中使用的属性)，其中，“chgattr”代表替换属性动作，“addattr”代表添加属性动作。
50.第一消息为认证请求消息，认证请求消息中包括属性1和属性2，属性1包括属性名称1(user-name)和属性值1(ctnet)，属性2包括属性名称2(request-type)和属性值2(accessrequest)。
51.当在aaa服务器接收认证请求消息时，aaa服务器获取动作授权列表(对应于步骤s211)，aaa服务器判断认证请求消息中是否存在过滤条件1中的属性名称如user-name(对应于步骤s221)，当判断结果为属性名称1存在user-name时，将属性值1(ctnet)与过滤条件1中的运算符号(＝)和属性值(ctnet)进行匹配(对应于步骤s222)，即判断属性值1是否满足过滤条件1(user-name＝ctnet)，当判断结果为属性值1(ctnet)与过滤条件1中的运算符号(＝)和属性值(ctnet)完全匹配时，对过滤条件2进行匹配，同样进行与步骤s221和s222相同的匹配过程，当判断结果为属性值2(accessrequest)与过滤条件2中的运算符号(＝)和属性值(accessrequest)完全匹配时，则完成过滤条件组1的全部匹配过程，并执行动作1和动作2，从而完成c2g业务的动作授权过程。
52.再举例来说，动作授权列表中存储有为不同业务匹配不同地址池对应的过滤条件组2和动作组2。其中，过滤条件组2中包括过滤条件3：framed-pool＝public，其中，“framed-pool(地址池)”为属性名称，“＝”为运算符号中的完全匹配方式，“public(公用地址池)”为属性值，动作组2包括动作3，其中，动作3：addattr zte-virtual-vr:＝1(添加中兴设备商属性zte-virtual-vr，并设置动作值为1)，其中，“addattr”代表添加属性动作。
53.第一消息为网络使用授权消息，网络使用授权消息中包括属性3，属性3包括属性名称3(framed-pool)和属性值3(public)。
54.当在aaa服务器在发出网络使用授权消息前，aaa服务器获取动作授权列表(对应于步骤s211)，aaa服务器判断网络使用授权消息中是否存在过滤条件组2中的属性名称framed-pool(对应于步骤s221)，当判断结果为属性3存在framed-pool时，将属性值3(public)与过滤条件3中的运算符号(＝)和属性值(public)进行匹配(对应于步骤s222)，即判断属性值3是否满足过滤条件3(framed-pool＝public)，当判断结果为属性值3(public)与过滤条件3中的运算符号(＝)和属性值(public)进行完全匹配时，则完成过滤条件组2的全部匹配过程，并执行动作3，从而实现对不同业务匹配不同地址池的动作授权过程。
55.应当理解，动作授权列表中还存储有其他业务对应的过滤条件组和动作组，aaa服务器可以在第一次匹配时，实现将认证请求消息中的属性与某一过滤条件组完全匹配，也可以是经过多次匹配后，实现将认证请求消息中的属性与某一过滤条件组完全匹配，本技术对此不做具体限定。第一动作组包括但不限于添加属性动作、删除属性动作和替换属性动作中的一个或多个，可以根据实际的业务需求进行设定，本技术对此不做具体限定。
56.本技术实施例中，通过设置第一动作组包括添加属性动作、删除属性动作和替换属性动作中的一个或多个，从而实现对第一过滤条件组对应的业务进行动作授权过程，使得aaa服务器能够对不同的业务需求进行相应的动作授权过程，提高aaa服务器处理不同的业务需求的灵活性。
57.在本技术一实施例中，当对第一消息进行认证授权过程中获取动作授权列表时，第一动作组包括转发属性动作、复制属性动作、授权属性动作和记录属性动作中的一个或多个。
58.举例来说，动作授权列表中存储有将计费请求消息转发到ctwap.com域的业务对应的过滤条件组4和动作组4。其中，过滤条件组4中包括过滤条件4：user-name＝*ctwap，其中，“user-name(用户名)”为属性名称，“＝*”代表运算符号中的模糊匹配方式，运算符号中的不同方式也可以采用其他方式标识，“ctwap(接入网络的属性值)”为属性值，动作组4包括动作4，其中，动作4：proxygateway＝ctwap.com(转发网络使用授权消息至ctwap.com域)，其中，“proxygateway”代表转发属性动作。
59.第一消息为计费请求消息，网站查询消息中包括属性4，属性4包括属性名称4(user-name)和属性值4(ctwap1)。
60.当在aaa服务器在对计费请求消息进行认证授权过程中，aaa服务器获取动作授权列表(对应于步骤s211)，aaa服务器判断计费请求消息中是否存在过滤条件组4中的属性名称user-name(对应于步骤s221)，当判断结果为属性4存在属性名称user-name时，将属性值4(ctwap1)与过滤条件4中的运算符号(＝*)和属性值(ctwap)进行匹配(对应于步骤s222)，即判断属性值4是否满足过滤条件4(user-name＝*ctwap)，当判断结果为属性值4(ctwap1)与过滤条件4中的运算符号(＝*)和属性值(ctwap)完全匹配时，则完成过滤条件组4的全部匹配过程，并执行动作4，从而实现将计费请求消息转发到ctwap.com域的动作授权过程。
61.应当理解，第一动作组包括但不限于转发属性动作、复制属性动作、授权属性动作和记录属性动作中的一个或多个，还可以包括其他属性动作如忽略属性动作等，具体可以根据实际的业务需求进行设定，本技术对此不做具体限定。
62.本技术实施例中，通过设置第一动作组包括转发属性动作、复制属性动作、授权属性动作和记录属性动作中的一个或多个，从而使得aaa服务器能够对不同的业务需求进行相应的动作授权过程，提高aaa服务器处理不同的业务需求的灵活性。
63.在本技术一实施例中，第一过滤条件组和第一动作组均包括动作授权名称，步骤s230之前，动作授权的方法还包括步骤s240。
64.s240：根据动作授权名称获取第一过滤条件组对应的第一动作组。
65.举例来说，第一过滤条件组和第一动作组均以动作授权名称为1作为标识，第一过滤条件组与第一动作组通过动作授权名称1关联，则aaa服务器先从第一过滤条件组中获取动作授权名称1，由于第一动作组中同样包括动作授权名称1，则aaa服务器可以根据动作授权名称1获取到第一过滤条件组对应的第一动作组。
66.应当理解，动作授权名称是一种标识，可以以数字形式呈现，如1、2等，也可以以文字形式呈现，还可以以其他形式呈现，本技术对此不做具体限定。
67.本技术实施例中，通过采用动作授权名称将第一过滤条件组与第一动作组关联，从而使得aaa服务器可以根据动作授权名称获取到第一过滤条件组对应的第一动作组，进而有利于针对第一过滤条件组所对应的业务正确执行相应的动作。
68.在本技术一实施例中，动作授权的方法还包括如下步骤s250-s260。
69.s250：当至少一个属性与多个过滤条件组中的第一过滤条件组不完全匹配时，将至少一个属性与多个过滤条件组中的其他过滤条件组依次进行匹配。
70.举例来说，多个过滤条件组按顺序排列，且依次包括第一过滤条件组、第三过滤条件组和第二过滤条件组，当至少一个属性与多个过滤条件组中的第一过滤条件组不完全匹配时，aaa服务器先将至少一个属性与多个过滤条件组中的第三过滤条件组进行匹配，当至
少一个属性与第三过滤条件组也不完全匹配时，aaa服务器再将至少一个属性与多个过滤条件组中的第二过滤条件组进行匹配。
71.应当理解，多个过滤条件组的数量可以为2个、3个甚至更多个，本技术对此不做具体限定。
72.s260：当至少一个属性与其他过滤条件组中的第二过滤条件组完全匹配时，执行与第二过滤条件组对应的第二动作组。
73.应当理解，第二过滤条件组可以为多个过滤条件组中除第一过滤条件组外的任何一个过滤条件组，本技术对第二过滤条件组在多个过滤条件组中的顺序不做具体限定。
74.本技术实施例中，通过将至少一个属性与多个过滤条件组中的其他过滤条件组依次进行匹配，使得匹配过程有序，从而避免多个过滤条件组中相同过滤条件组的重复匹配，也避免了遗漏某一过滤条件组。另外，通过当至少一个属性与其他过滤条件组中的第二过滤条件组完全匹配时，执行与第二过滤条件组对应的第二动作组，从而匹配到至少一个属性相匹配的过滤条件组，进而有利于执行与该至少一个属性对应的业务的授权动作。
75.在本技术一实施例中，动作授权的方法还可以包括步骤s270。
76.s270：当至少一个属性与其他过滤条件组均不完全匹配时，结束匹配过程。
77.应当理解，结束匹配过程后，aaa服务器可以继续执行其匹配之前的动作，也可以直接发送拒绝请求消息等，本技术对此不做具体限定。
78.本技术实施例中，当至少一个属性与其他过滤条件组均不完全匹配时，结束匹配过程，从而当动作授权列表中未包括至少一个属性对应的业务时，实现终止对用户进行该业务的动作授权。
79.图4所示为本技术一实施例提供的一种动作授权的装置的结构示意图。该动作授权的装置400包括：获取模块410，用于根据第一消息获取动作授权列表，动作授权列表包括针对不同业务预先设定的多个过滤条件组和与多个过滤条件组对应的多个动作组，第一消息包括至少一个属性；匹配模块420，用于将至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配；执行模块430，用于当至少一个属性与第一过滤条件组完全匹配时，执行与第一过滤条件组对应的第一动作组。
80.根据本技术实施例提供的技术方案，通过设置动作授权列表包括针对不同业务预先设定的多个过滤条件组和与多个过滤条件组对应的多个动作组，从而可以根据多个过滤条件组区分不同的业务。不管第一消息中包括哪些属性，通过将第一消息中的至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配且匹配结果为完全匹配时，aaa服务器可以确定业务的类型，并且aaa服务器执行与第一过滤条件组对应的第一动作组，从而可以完成针对该业务的动作授权。本技术实施例可以利用动作授权列表实现同一aaa系统灵活处理多个业务，且减少了对aaa系统的改动和升级次数，进而满足运营商或企业等应用中的个性化业务需求，提高了用户体验感。
81.在本技术一实施例中，获取模块410还用于在接收第一消息时获取动作授权列表；和/或对第一消息进行认证授权过程中获取动作授权列表；和/或在发出第一消息前获取动作授权列表。
82.在本技术一实施例中，当在接收第一消息时获取动作授权列表，和/或，在发出第一消息前获取动作授权列表时，第一动作组包括添加属性动作、删除属性动作和替换属性
动作中的一个或多个。
83.在本技术一实施例中，当对第一消息进行认证授权过程中获取动作授权列表时，第一动作组包括转发属性动作、复制属性动作、授权属性动作和记录属性动作中的一个或多个。
84.在本技术一实施例中，匹配模块420还用于当至少一个属性与多个过滤条件组中的第一过滤条件组不完全匹配时，将至少一个属性与多个过滤条件组中的其他过滤条件组依次进行匹配；执行模块430还用于当至少一个属性与其他过滤条件组中的第二过滤条件组完全匹配时，执行与第二过滤条件组对应的第二动作组。
85.在本技术一实施例中，动作授权的装置还包括结束模块440，用于当至少一个属性与其他过滤条件组均不完全匹配时，结束匹配过程。
86.在本技术一实施例中，第一过滤条件组和第一动作组均包括动作授权名称，上述执行与第一过滤条件组对应的第一动作组之前，获取模块410还用于根据动作授权名称获取第一过滤条件组对应的第一动作组。
87.在本技术一实施例中，第一过滤条件组包括第一过滤条件，第一过滤条件包括第一属性名称、第一属性值和关联第一属性名称和第一属性值的第一运算符号，匹配模块420包括：判断模块421，用于判断至少一个属性中是否存在第一属性名称；第一匹配模块422，用于当判断结果为至少一个属性中存在第一属性名称时，将至少一个属性中的第二属性值与第一过滤条件中的第一运算符号和第一属性值进行匹配；执行模块430还用于当至少一个属性中的第二属性值与第一过滤条件中的第一运算符号和第一属性值完全匹配时，执行与第一过滤条件组对应的第一动作组。
88.图5是本技术一实施例提供的一种动作授权的系统的框图。
89.参照图5，系统500包括处理组件510，其进一步包括一个或多个处理器，以及由存储器520所代表的存储器资源，用于存储可由处理组件510的执行的指令，例如应用程序。存储器520中存储的应用程序可以包括一个或一个以上的每一个对应于一组指令的模块。此外，处理组件510被配置为执行指令，以执行上述动作授权的方法。
90.系统500还可以包括一个电源组件被配置为执行系统500的电源管理，一个有线或无线网络接口被配置为将系统500连接到网络，和一个输入输出(i/o)接口。系统500可以操作基于存储在存储器520的操作系统，例如windows server
tm
，mac os x
tm
，unix
tm
，linux
tm
，freebsd
tm
或类似。
91.一种非临时性计算机可读存储介质，当存储介质中的指令由上述系统500的处理器执行时，使得上述系统500能够执行一种动作授权的方法，该方法由代理程序执行，该方法包括：根据第一消息获取动作授权列表，动作授权列表包括针对不同业务预先设定的多个过滤条件组和与多个过滤条件组对应的多个动作组，第一消息包括至少一个属性；将至少一个属性与多个过滤条件组中的第一过滤条件组进行匹配；当至少一个属性与第一过滤条件组完全匹配时，执行与第一过滤条件组对应的第一动作组。
92.本领域普通技术人员可以意识到，结合本文中所公开的实施例描述的各示例的算法步骤，能够以电子硬件、或者计算机软件和电子硬件的结合来实现。这些功能究竟以硬件还是软件方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应认为超出本技术
的范围。
93.在本技术所提供的几个实施例中，应该理解到，所揭露的方法、装置和系统，可以通过其它的方式实现。例如，以上所描述的装置实施例仅仅是示意性的，例如，所述模块的划分，仅仅为一种逻辑功能划分，实际实现时可以有另外的划分方式，例如多个模块可以结合或者可以集成到另一个系统，或一些特征可以忽略，或不执行。
94.所述功能如果以软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本技术各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(read-only memory，rom)、随机存取存储器(random access memory，ram)、磁碟或者光盘等各种可以存储程序校验码的介质。
95.本领域的技术人员可以清楚的了解到，为了描述的方便和简洁，上述描述的装置、系统的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。
96.还需要说明的是，本技术实施例中各技术特征的组合方式并不限本技术实施例中所记载的组合方式或是具体实施例所记载的组合方式，本案所记载的所有技术特征可以以任何方式进行自由组合或结合，除非相互之间产生矛盾。
97.以上所述仅为本技术的较佳实施例而已，并不用以限制本技术，凡在本技术的精神和原则之内，所作的任何修改、等同替换等，均应包含在本技术的保护范围之内。