一種通信網絡中對用戶的接入訪問進行控制的方法

2023-06-09 08:26:26 1

專利名稱：一種通信網絡中對用戶的接入訪問進行控制的方法
技術領域：
本發明涉及移動通信網絡，特別涉及在通信網絡中引入接入控制列表(ACLAccess Control List)機制，是針對每一個用戶終端粒度的ACL機制，使得通信網絡對用戶的接入訪問進行控制的方法。
背景技術：
以下以WiMAX網絡為例來說明服務質量框架。
如圖1所示，為WiMAX NWG(Network Work Group；網絡工作組)標準最新定義的服務質量(QoSService of Quality)框架。其中，SS(Subscriber Station)，為用戶終端，如支持WiMAX功能的筆記本電腦或者手機；SFM(Service Flow Management)，為業務流管理器，負責建立用戶業務流及為此業務流分配無線資源等，在實際網絡中，其對應的物理實體就是基站，執行網絡服務提供商(NSPNetwork Service Provider)下發的Qos策略，如為某用戶預流多少帶寬等，此功能體存在於接入服務網絡(ASNAccessService Network)中；SFA(Service Flow Authorization)，為業務流授權者，負責給相應的業務流授權，在實際網絡中，其對應的物理實體就是接入網網關(GWGateway)、基站控制器，執行NsP下發的Qos策略，如為某用戶預留多少帶寬等，並且將此策略再下發給SFM，此功能體存在於ASN中；PF(policy function)，為策略決定功能體，制定各種詳細的Qos策略，此功能體存在於NSP中，在漫遊場景中，將會存在拜訪PF(Visited PF)和歸屬PF(Home PF)；
AF(Application functions)，為應用服務功能體，此功能體主要為PF提供詳細的業務信息，以供PF制定具體的Qos策略之用，用戶終端SS直接通過應用層協議連接訪問AF，AF將會通知PF主動為用戶創建業務流，此功能體存在於NSP中；認證、授權、計費(AAAAuthentication、Authorization、Accounting)資料庫用於存放用戶籤約數據及一些用於認證、授權、計費信息的資料庫；公共策略資料庫，就是根據用戶的籤約信息和一系列策略制定規則，制定相應的Qos、計費等策略的資料庫。
但是，在上述現有WiMAX標準的Qos體系中，缺乏這樣一種機制，即根據用戶終端標識，對此終端的接入訪問範圍進行控制。因此，現有WiMAX標準的Qos系中不能針對不同用戶，提供不同的訪問權限。
目前，訪問控制列表ACL是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪能些數據包可以收、哪能數據包需要拒絕。至於數據包是被接收還是拒絕，可以由類似於源地址、目的地址、埠號等的特定指示條件來決定。
訪問控制是網絡安全防範和保護的主要策略，它的主要任務是保證網絡資源不被非法使用和訪問；保證網絡安全最重要的核心策略之一。訪問控制涉及的技術也比較廣，包括入網訪問控制、網絡權限控制、目錄級控制以及屬性控制等多種手段。
但是，不論是WiMax網絡還是WLAN網絡或者是GSM等網絡，都缺乏針對用戶終端粒度的ACL機制，使得這些網絡不能提供針對不同用戶級別的接入訪問進行控制的業務，不利於綠色上網等業務的開展；不利於提升運營商提供多種業務的能力。

發明內容
鑑於現有技術中存在的不足，本發明提供一種通信網絡中對用戶的接入訪問進行控制的方法，通過在通信網絡引入ACL機制，而且是針對每一個用戶終端粒度的ACL機制，使得通信網絡能夠提供針對用戶級別的接入訪問控制的業務。
本發明提供一種通信網絡中對用戶的接入訪問進行控制的方法，其中，於所述通信網絡中設置一訪問控制列表(ACLAccess Control List)，使得該通信網絡根據所述訪問控制列表ACL對用戶終端的接入訪問進行控制。
所述訪問控制列表ACL設置於AAA伺服器的內置或外置的策略資料庫中。
對用戶終端的接入訪問進行控制，包括步驟在用戶終端認證成功後，AAA伺服器將所述用戶終端的訪問控制列表ACL下發給接入服務網關；所述接入服務網關根據所述訪問控制列表ACL對用戶終端的接入進行控制。
所述AAA伺服器利用認證過程最後的成功接入消息將所述用戶終端的訪問控制列表ACL下發給接入服務網關。
所述認證過程消息使用Radius(Remote Authentication Dial In UserService；撥號用戶遠程鑑權業務)或Diameter協議承載。
所述認證過程最後的成功接入消息為Radius Access Accept(Radius認證成功)消息。
利用所述Radius Access Accept消息中的廠商自定義(VSAVendorSpecial Attribute)屬性承載所述訪問控制列表ACL內容。
所述訪問控制列表ACL設置於網絡服務提供商的公共的策略資料庫中。
所述公共的策略資料庫中每個用戶終端的策略數據中包含訪問控制列表信息。
對用戶終端的接入訪問進行控制，包括步驟當用戶終端認證成功後，由所述策略決定功能體將所述訪問控制列表信息下發給接入服務網關；
所述接入服務網關根據所述訪問控制列表信息對用戶終端的接入進行控制。
所述策略決定功能體將訪問控制列表信息下發給接入服務網關，包括步驟接入服務網關向策略決定功能體發起接入服務網關位置登記請求消息；所述策略決定功能體從公共的策略資料庫中取得該用戶終端的訪問控制列表信息；所述策略決定功能體向接入服務網關回復響應消息，其中，該響應消息中攜帶所述訪問控制列表信息。
本發明的有益效果在於，在通信網絡中引入ACL機制，而且是針對每一個用戶終端粒度的ACL機制，使得通信網絡能夠針對不同用戶，提供不同的訪問權限；利於綠色上網等業務的開展，提升運營商提供多種業務的能力。


圖1為WiMAX網絡的服務質量QoS框架示意圖；圖2為本發明實施例1的流程圖；圖3為本發明實施例2的流程圖。
具體實施例方式
以下參照附圖對本發明進行詳細說明。
本發明提供一種通信網絡中對用戶的接入訪問進行控制的方法，其中於所述通信網絡中設置一訪問控制列表ACL，使得該通信網絡根據所述訪問控制列表ACL對用戶終端的接入訪問進行控制。
該方法適用於WiMAX、WLAN、GSM、GPRS、WCDMA、CDMA2000網絡。
實施例一其中，所述訪問控制列表設置於鑑權、授權、計費(AAAAuthentication、Authorization、Accounting)伺服器的內置策略資料庫或外置的策略資料庫(Policy Data Base)中。
當對用戶終端的接入訪問進行控制時，包括步驟在用戶終端認證成功後，AAA伺服器將所述用戶終端的訪問控制列表ACL下發給接入服務網關NAS；所述NAS根據所述ACL對用戶終端的接入進行控制。
其中，本實施例中，所述AAA伺服器利用認證過程最後的成功接入消息將所述用戶終端的訪問控制列表ACL下發給接入服務網關NAS；所述認證過程消息使用Radius或Diameter協議承載；所述認證過程最後的成功接入消息為Radius Access Accept消息。
AAA伺服器還可利用所述Radius Access Accept消息中的(VSAVendorSpecial Attribute)屬性承載所述訪問控制列表內容。
如圖2所示為本發明實施例一的流程圖，其中NAS(Network accessservice)為接入服務網關，在WiMax網絡中，為SFA；在WLAN網絡中是網關GW，在GPRs網絡是服務GPRS支持節點(SGSN)等，圖2所示的流程圖具有普遍意義，能夠表達當前所有電信網絡應用ACL機制的基本流程。
此外，還可採用其它的方法實現將訪問控制列表(ACL)從AAA伺服器下發給NAS，並不限於上述下發的方法，也不限於採用Radius Access Accept消息，還可採用其它的消息，此處不再贅述。
實施例二如圖3所示為本發明實施例二的流程圖。其中，以WiMax網絡為例進行說明。所述訪問控制列表ACL設置於網絡服務提供商NSP的公共的策略資料庫中。所述公共的策略資料庫中每個用戶終端的策略數據中包含訪問控制列表信息。
當對用戶終端的接入訪問進行控制時，包括步驟當用戶終端認證成功後，由所述策略決定功能體PF將所述訪問控制列表信息下發給SFA；所述SFA根據所述訪問控制列表信息對用戶終端的接入進行控制。
其中，所述策略決定功能體PF將訪問控制列表信息下發給SFA；包括步驟SFA向策略決定功能體PF發起SFA位置登記請求(AFA-LU-Request)消息；所述策略決定功能體PF從公共的策略資料庫中取得該用戶終端的訪問控制列表信息；所述策略決定功能體PF向SFA回復響應(AFA-LU-Response)消息，其中，該響應消息中攜帶所述ACL信息。
本實施例中，根據目前WiMax標準當中的SFA位置登記流程中，PF可以利用SFA-LU-Response消息給SFA下發訪問控制列表(ACL)信息；但並不限於使用該SFA-LU-Response消息給SFA下發訪問控制列表(ACL)信息，也可使用其它消息實現。
採用此方案時，需要修改當前WiMax標準對SFA-LU-Response消息的定義，在消息內容中增加ACL信息。然後SFA根據取得的ACL對此用戶的接入訪問進行控制。
雖然以WiMax網絡對上述實施例進行說明，但該方法不僅僅限定於WiMax網絡，還可適用於WLAN、GSM、GPRS、WCDMA、CDMA2000網絡。由於採用的流程類似，此處不再贅述。
上述實施例僅用於說明本發明，而非用於限定本發明。
權利要求
1.一種通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，於所述通信網絡中設置一訪問控制列表，使得該通信網絡根據所述訪問控制列表對用戶終端的接入訪問進行控制。
2.根據權利要求1所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，所述訪問控制列表設置於鑑權、授權、計費伺服器的內置或外置的策略資料庫中。
3.根據權利要求2所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，對用戶終端的接入訪問進行控制，包括步驟在用戶終端認證成功後，鑑權、授權、計費伺服器將所述用戶終端的訪問控制列表下發給接入服務網關；所述接入服務網關根據所述訪問控制列表對用戶終端的接入進行控制。
4.根據權利要求3所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，所述鑑權、授權、計費伺服器利用認證過程最後的成功接入消息將所述用戶終端的訪問控制列表下發給接入服務網關。
5.根據權利要求4所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，所述認證過程消息使用Radius或Diameter協議承載。
6.根據權利要求5所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，所述認證過程最後的成功接入消息為Radius Access Accept消息。
7.根據權利要求6所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，利用所述Radius Access Accept消息中的廠商自定義屬性承載所述訪問控制列表內容。
8.根據權利要求1所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，所述訪問控制列表設置於網絡服務提供商的公共的策略資料庫中。
9.根據權利要求8所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，所述公共的策略資料庫中每個用戶終端的策略數據中包含訪問控制列表信息。
10.根據權利要求9所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，對用戶終端的接入訪問進行控制，包括步驟當用戶終端認證成功後，由所述策略決定功能體將所述訪問控制列表信息下發給接入服務網關；所述接入服務網關根據所述訪問控制列表信息對用戶終端的接入進行控制。
11.根據權利要求10所述的通信網絡中對用戶的接入訪問進行控制的方法，其特徵在於，所述策略決定功能體將訪問控制列表信息下發給接入服務網關，包括步驟接入服務網關向策略決定功能體發起接入服務網關位置登記請求消息；所述策略決定功能體從公共的策略資料庫中取得該用戶終端的訪問控制列表信息；所述策略決定功能體向接入服務網關回復響應消息，其中，該響應消息中攜帶所述訪問控制列表信息。
全文摘要
本發明提供一種通信網絡中對用戶的接入訪問進行控制的方法。該方法為於所述通信網絡中設置一訪問控制列表，使得該通信網絡根據所述訪問控制列表對用戶終端的接入訪問進行控制。通過本發明，在通信網絡中引入ACL機制，而且是針對每一個用戶終端粒度的訪問控制列表機制，使得通信網絡能夠針對不同用戶，提供不同的訪問權限；有利於綠色上網等業務的開展，提升運營商提供多種業務的能力。
文檔編號H04L12/24GK101039213SQ200610064848
公開日2007年9月19日 申請日期2006年3月14日 優先權日2006年3月14日
發明者陳衛民, 莫君賢 申請人:華為技術有限公司