專利名稱：一種通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法
技術(shù)領(lǐng)域：
本發(fā)明涉及移動(dòng)通信網(wǎng)絡(luò)，特別涉及在通信網(wǎng)絡(luò)中引入接入控制列表(ACLAccess Control List)機(jī)制，是針對每一個(gè)用戶終端粒度的ACL機(jī)制，使得通信網(wǎng)絡(luò)對用戶的接入訪問進(jìn)行控制的方法。
背景技術(shù)：
以下以WiMAX網(wǎng)絡(luò)為例來說明服務(wù)質(zhì)量框架。
如圖1所示，為WiMAX NWG(Network Work Group；網(wǎng)絡(luò)工作組)標(biāo)準(zhǔn)最新定義的服務(wù)質(zhì)量(QoSService of Quality)框架。其中，SS(Subscriber Station)，為用戶終端，如支持WiMAX功能的筆記本電腦或者手機(jī)；SFM(Service Flow Management)，為業(yè)務(wù)流管理器，負(fù)責(zé)建立用戶業(yè)務(wù)流及為此業(yè)務(wù)流分配無線資源等，在實(shí)際網(wǎng)絡(luò)中，其對應(yīng)的物理實(shí)體就是基站，執(zhí)行網(wǎng)絡(luò)服務(wù)提供商(NSPNetwork Service Provider)下發(fā)的Qos策略，如為某用戶預(yù)流多少帶寬等，此功能體存在于接入服務(wù)網(wǎng)絡(luò)(ASNAccessService Network)中；SFA(Service Flow Authorization)，為業(yè)務(wù)流授權(quán)者，負(fù)責(zé)給相應(yīng)的業(yè)務(wù)流授權(quán)，在實(shí)際網(wǎng)絡(luò)中，其對應(yīng)的物理實(shí)體就是接入網(wǎng)網(wǎng)關(guān)(GWGateway)、基站控制器，執(zhí)行NsP下發(fā)的Qos策略，如為某用戶預(yù)留多少帶寬等，并且將此策略再下發(fā)給SFM，此功能體存在于ASN中；PF(policy function)，為策略決定功能體，制定各種詳細(xì)的Qos策略，此功能體存在于NSP中，在漫游場景中，將會(huì)存在拜訪PF(Visited PF)和歸屬PF(Home PF)；
AF(Application functions)，為應(yīng)用服務(wù)功能體，此功能體主要為PF提供詳細(xì)的業(yè)務(wù)信息，以供PF制定具體的Qos策略之用，用戶終端SS直接通過應(yīng)用層協(xié)議連接訪問AF，AF將會(huì)通知PF主動(dòng)為用戶創(chuàng)建業(yè)務(wù)流，此功能體存在于NSP中；認(rèn)證、授權(quán)、計(jì)費(fèi)(AAAAuthentication、Authorization、Accounting)數(shù)據(jù)庫用于存放用戶簽約數(shù)據(jù)及一些用于認(rèn)證、授權(quán)、計(jì)費(fèi)信息的數(shù)據(jù)庫；公共策略數(shù)據(jù)庫，就是根據(jù)用戶的簽約信息和一系列策略制定規(guī)則，制定相應(yīng)的Qos、計(jì)費(fèi)等策略的數(shù)據(jù)庫。
但是，在上述現(xiàn)有WiMAX標(biāo)準(zhǔn)的Qos體系中，缺乏這樣一種機(jī)制，即根據(jù)用戶終端標(biāo)識，對此終端的接入訪問范圍進(jìn)行控制。因此，現(xiàn)有WiMAX標(biāo)準(zhǔn)的Qos系中不能針對不同用戶，提供不同的訪問權(quán)限。
目前，訪問控制列表ACL是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪能些數(shù)據(jù)包可以收、哪能數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。
訪問控制是網(wǎng)絡(luò)安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)資源不被非法使用和訪問；保證網(wǎng)絡(luò)安全最重要的核心策略之一。訪問控制涉及的技術(shù)也比較廣，包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、目錄級控制以及屬性控制等多種手段。
但是，不論是WiMax網(wǎng)絡(luò)還是WLAN網(wǎng)絡(luò)或者是GSM等網(wǎng)絡(luò)，都缺乏針對用戶終端粒度的ACL機(jī)制，使得這些網(wǎng)絡(luò)不能提供針對不同用戶級別的接入訪問進(jìn)行控制的業(yè)務(wù)，不利于綠色上網(wǎng)等業(yè)務(wù)的開展；不利于提升運(yùn)營商提供多種業(yè)務(wù)的能力。

發(fā)明內(nèi)容
鑒于現(xiàn)有技術(shù)中存在的不足，本發(fā)明提供一種通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，通過在通信網(wǎng)絡(luò)引入ACL機(jī)制，而且是針對每一個(gè)用戶終端粒度的ACL機(jī)制，使得通信網(wǎng)絡(luò)能夠提供針對用戶級別的接入訪問控制的業(yè)務(wù)。
本發(fā)明提供一種通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其中，于所述通信網(wǎng)絡(luò)中設(shè)置一訪問控制列表(ACLAccess Control List)，使得該通信網(wǎng)絡(luò)根據(jù)所述訪問控制列表ACL對用戶終端的接入訪問進(jìn)行控制。
所述訪問控制列表ACL設(shè)置于AAA服務(wù)器的內(nèi)置或外置的策略數(shù)據(jù)庫中。
對用戶終端的接入訪問進(jìn)行控制，包括步驟在用戶終端認(rèn)證成功后，AAA服務(wù)器將所述用戶終端的訪問控制列表ACL下發(fā)給接入服務(wù)網(wǎng)關(guān)；所述接入服務(wù)網(wǎng)關(guān)根據(jù)所述訪問控制列表ACL對用戶終端的接入進(jìn)行控制。
所述AAA服務(wù)器利用認(rèn)證過程最后的成功接入消息將所述用戶終端的訪問控制列表ACL下發(fā)給接入服務(wù)網(wǎng)關(guān)。
所述認(rèn)證過程消息使用Radius(Remote Authentication Dial In UserService；撥號用戶遠(yuǎn)程鑒權(quán)業(yè)務(wù))或Diameter協(xié)議承載。
所述認(rèn)證過程最后的成功接入消息為Radius Access Accept(Radius認(rèn)證成功)消息。
利用所述Radius Access Accept消息中的廠商自定義(VSAVendorSpecial Attribute)屬性承載所述訪問控制列表ACL內(nèi)容。
所述訪問控制列表ACL設(shè)置于網(wǎng)絡(luò)服務(wù)提供商的公共的策略數(shù)據(jù)庫中。
所述公共的策略數(shù)據(jù)庫中每個(gè)用戶終端的策略數(shù)據(jù)中包含訪問控制列表信息。
對用戶終端的接入訪問進(jìn)行控制，包括步驟當(dāng)用戶終端認(rèn)證成功后，由所述策略決定功能體將所述訪問控制列表信息下發(fā)給接入服務(wù)網(wǎng)關(guān)；
所述接入服務(wù)網(wǎng)關(guān)根據(jù)所述訪問控制列表信息對用戶終端的接入進(jìn)行控制。
所述策略決定功能體將訪問控制列表信息下發(fā)給接入服務(wù)網(wǎng)關(guān)，包括步驟接入服務(wù)網(wǎng)關(guān)向策略決定功能體發(fā)起接入服務(wù)網(wǎng)關(guān)位置登記請求消息；所述策略決定功能體從公共的策略數(shù)據(jù)庫中取得該用戶終端的訪問控制列表信息；所述策略決定功能體向接入服務(wù)網(wǎng)關(guān)回復(fù)響應(yīng)消息，其中，該響應(yīng)消息中攜帶所述訪問控制列表信息。
本發(fā)明的有益效果在于，在通信網(wǎng)絡(luò)中引入ACL機(jī)制，而且是針對每一個(gè)用戶終端粒度的ACL機(jī)制，使得通信網(wǎng)絡(luò)能夠針對不同用戶，提供不同的訪問權(quán)限；利于綠色上網(wǎng)等業(yè)務(wù)的開展，提升運(yùn)營商提供多種業(yè)務(wù)的能力。


圖1為WiMAX網(wǎng)絡(luò)的服務(wù)質(zhì)量QoS框架示意圖；圖2為本發(fā)明實(shí)施例1的流程圖；圖3為本發(fā)明實(shí)施例2的流程圖。
具體實(shí)施例方式
以下參照附圖對本發(fā)明進(jìn)行詳細(xì)說明。
本發(fā)明提供一種通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其中于所述通信網(wǎng)絡(luò)中設(shè)置一訪問控制列表ACL，使得該通信網(wǎng)絡(luò)根據(jù)所述訪問控制列表ACL對用戶終端的接入訪問進(jìn)行控制。
該方法適用于WiMAX、WLAN、GSM、GPRS、WCDMA、CDMA2000網(wǎng)絡(luò)。
實(shí)施例一其中，所述訪問控制列表設(shè)置于鑒權(quán)、授權(quán)、計(jì)費(fèi)(AAAAuthentication、Authorization、Accounting)服務(wù)器的內(nèi)置策略數(shù)據(jù)庫或外置的策略數(shù)據(jù)庫(Policy Data Base)中。
當(dāng)對用戶終端的接入訪問進(jìn)行控制時(shí)，包括步驟在用戶終端認(rèn)證成功后，AAA服務(wù)器將所述用戶終端的訪問控制列表ACL下發(fā)給接入服務(wù)網(wǎng)關(guān)NAS；所述NAS根據(jù)所述ACL對用戶終端的接入進(jìn)行控制。
其中，本實(shí)施例中，所述AAA服務(wù)器利用認(rèn)證過程最后的成功接入消息將所述用戶終端的訪問控制列表ACL下發(fā)給接入服務(wù)網(wǎng)關(guān)NAS；所述認(rèn)證過程消息使用Radius或Diameter協(xié)議承載；所述認(rèn)證過程最后的成功接入消息為Radius Access Accept消息。
AAA服務(wù)器還可利用所述Radius Access Accept消息中的(VSAVendorSpecial Attribute)屬性承載所述訪問控制列表內(nèi)容。
如圖2所示為本發(fā)明實(shí)施例一的流程圖，其中NAS(Network accessservice)為接入服務(wù)網(wǎng)關(guān)，在WiMax網(wǎng)絡(luò)中，為SFA；在WLAN網(wǎng)絡(luò)中是網(wǎng)關(guān)GW，在GPRs網(wǎng)絡(luò)是服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)等，圖2所示的流程圖具有普遍意義，能夠表達(dá)當(dāng)前所有電信網(wǎng)絡(luò)應(yīng)用ACL機(jī)制的基本流程。
此外，還可采用其它的方法實(shí)現(xiàn)將訪問控制列表(ACL)從AAA服務(wù)器下發(fā)給NAS，并不限于上述下發(fā)的方法，也不限于采用Radius Access Accept消息，還可采用其它的消息，此處不再贅述。
實(shí)施例二如圖3所示為本發(fā)明實(shí)施例二的流程圖。其中，以WiMax網(wǎng)絡(luò)為例進(jìn)行說明。所述訪問控制列表ACL設(shè)置于網(wǎng)絡(luò)服務(wù)提供商N(yùn)SP的公共的策略數(shù)據(jù)庫中。所述公共的策略數(shù)據(jù)庫中每個(gè)用戶終端的策略數(shù)據(jù)中包含訪問控制列表信息。
當(dāng)對用戶終端的接入訪問進(jìn)行控制時(shí)，包括步驟當(dāng)用戶終端認(rèn)證成功后，由所述策略決定功能體PF將所述訪問控制列表信息下發(fā)給SFA；所述SFA根據(jù)所述訪問控制列表信息對用戶終端的接入進(jìn)行控制。
其中，所述策略決定功能體PF將訪問控制列表信息下發(fā)給SFA；包括步驟SFA向策略決定功能體PF發(fā)起SFA位置登記請求(AFA-LU-Request)消息；所述策略決定功能體PF從公共的策略數(shù)據(jù)庫中取得該用戶終端的訪問控制列表信息；所述策略決定功能體PF向SFA回復(fù)響應(yīng)(AFA-LU-Response)消息，其中，該響應(yīng)消息中攜帶所述ACL信息。
本實(shí)施例中，根據(jù)目前WiMax標(biāo)準(zhǔn)當(dāng)中的SFA位置登記流程中，PF可以利用SFA-LU-Response消息給SFA下發(fā)訪問控制列表(ACL)信息；但并不限于使用該SFA-LU-Response消息給SFA下發(fā)訪問控制列表(ACL)信息，也可使用其它消息實(shí)現(xiàn)。
采用此方案時(shí)，需要修改當(dāng)前WiMax標(biāo)準(zhǔn)對SFA-LU-Response消息的定義，在消息內(nèi)容中增加ACL信息。然后SFA根據(jù)取得的ACL對此用戶的接入訪問進(jìn)行控制。
雖然以WiMax網(wǎng)絡(luò)對上述實(shí)施例進(jìn)行說明，但該方法不僅僅限定于WiMax網(wǎng)絡(luò)，還可適用于WLAN、GSM、GPRS、WCDMA、CDMA2000網(wǎng)絡(luò)。由于采用的流程類似，此處不再贅述。
上述實(shí)施例僅用于說明本發(fā)明，而非用于限定本發(fā)明。
權(quán)利要求
1.一種通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，于所述通信網(wǎng)絡(luò)中設(shè)置一訪問控制列表，使得該通信網(wǎng)絡(luò)根據(jù)所述訪問控制列表對用戶終端的接入訪問進(jìn)行控制。
2.根據(jù)權(quán)利要求1所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，所述訪問控制列表設(shè)置于鑒權(quán)、授權(quán)、計(jì)費(fèi)服務(wù)器的內(nèi)置或外置的策略數(shù)據(jù)庫中。
3.根據(jù)權(quán)利要求2所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，對用戶終端的接入訪問進(jìn)行控制，包括步驟在用戶終端認(rèn)證成功后，鑒權(quán)、授權(quán)、計(jì)費(fèi)服務(wù)器將所述用戶終端的訪問控制列表下發(fā)給接入服務(wù)網(wǎng)關(guān)；所述接入服務(wù)網(wǎng)關(guān)根據(jù)所述訪問控制列表對用戶終端的接入進(jìn)行控制。
4.根據(jù)權(quán)利要求3所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，所述鑒權(quán)、授權(quán)、計(jì)費(fèi)服務(wù)器利用認(rèn)證過程最后的成功接入消息將所述用戶終端的訪問控制列表下發(fā)給接入服務(wù)網(wǎng)關(guān)。
5.根據(jù)權(quán)利要求4所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，所述認(rèn)證過程消息使用Radius或Diameter協(xié)議承載。
6.根據(jù)權(quán)利要求5所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，所述認(rèn)證過程最后的成功接入消息為Radius Access Accept消息。
7.根據(jù)權(quán)利要求6所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，利用所述Radius Access Accept消息中的廠商自定義屬性承載所述訪問控制列表內(nèi)容。
8.根據(jù)權(quán)利要求1所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，所述訪問控制列表設(shè)置于網(wǎng)絡(luò)服務(wù)提供商的公共的策略數(shù)據(jù)庫中。
9.根據(jù)權(quán)利要求8所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，所述公共的策略數(shù)據(jù)庫中每個(gè)用戶終端的策略數(shù)據(jù)中包含訪問控制列表信息。
10.根據(jù)權(quán)利要求9所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，對用戶終端的接入訪問進(jìn)行控制，包括步驟當(dāng)用戶終端認(rèn)證成功后，由所述策略決定功能體將所述訪問控制列表信息下發(fā)給接入服務(wù)網(wǎng)關(guān)；所述接入服務(wù)網(wǎng)關(guān)根據(jù)所述訪問控制列表信息對用戶終端的接入進(jìn)行控制。
11.根據(jù)權(quán)利要求10所述的通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法，其特征在于，所述策略決定功能體將訪問控制列表信息下發(fā)給接入服務(wù)網(wǎng)關(guān)，包括步驟接入服務(wù)網(wǎng)關(guān)向策略決定功能體發(fā)起接入服務(wù)網(wǎng)關(guān)位置登記請求消息；所述策略決定功能體從公共的策略數(shù)據(jù)庫中取得該用戶終端的訪問控制列表信息；所述策略決定功能體向接入服務(wù)網(wǎng)關(guān)回復(fù)響應(yīng)消息，其中，該響應(yīng)消息中攜帶所述訪問控制列表信息。
全文摘要
本發(fā)明提供一種通信網(wǎng)絡(luò)中對用戶的接入訪問進(jìn)行控制的方法。該方法為于所述通信網(wǎng)絡(luò)中設(shè)置一訪問控制列表，使得該通信網(wǎng)絡(luò)根據(jù)所述訪問控制列表對用戶終端的接入訪問進(jìn)行控制。通過本發(fā)明，在通信網(wǎng)絡(luò)中引入ACL機(jī)制，而且是針對每一個(gè)用戶終端粒度的訪問控制列表機(jī)制，使得通信網(wǎng)絡(luò)能夠針對不同用戶，提供不同的訪問權(quán)限；有利于綠色上網(wǎng)等業(yè)務(wù)的開展，提升運(yùn)營商提供多種業(yè)務(wù)的能力。
文檔編號H04L12/24GK101039213SQ200610064848
公開日2007年9月19日 申請日期2006年3月14日 優(yōu)先權(quán)日2006年3月14日
發(fā)明者陳衛(wèi)民, 莫君賢 申請人:華為技術(shù)有限公司