專利名稱:一種用戶接入安全控制的方法、系統(tǒng)和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信領(lǐng)域,特別涉及一種用戶接入安全控制的方法、系統(tǒng)和設(shè)備。
背景技術(shù):
隨著寬帶接入技術(shù)的發(fā)展,網(wǎng)絡(luò)的接入方式和接入技術(shù)已經(jīng)發(fā)生了很大的變化。網(wǎng)絡(luò)也 由傳統(tǒng)的只提供Internet接入業(yè)務(wù)的網(wǎng)絡(luò),發(fā)展為多業(yè)務(wù)承載的網(wǎng)絡(luò)。參見圖1,為現(xiàn)有技 術(shù)提供的寬帶接入技術(shù)的組網(wǎng)示意圖,其中,電視機頂盒、VoIP (Voice over Internet Protocol,網(wǎng)絡(luò)電話)終端、連接Internet的PC、以及移動電話終端、手持多媒體終端等 用戶通過RG (Residential Gateway,家庭網(wǎng)關(guān)設(shè)備)完成統(tǒng)一地接入,RG通過電話雙絞線 或通過ADSL (Asymmetric Digital Subscriber Line, 異步數(shù)字用戶線路)/VDSL
(Very-high-data-rate Digital Subscriber Line,高速數(shù)字用戶線路)等技術(shù)接入到 DSLAM (Digital Subscriber Line Access Multiplexer,數(shù)字用戶線路接入設(shè)備),其中DSLAM 是一個二層設(shè)備,用于完成對用戶接入鏈路的匯聚,實現(xiàn)xDSL (ADSL/VDSL)和上行的以太 鏈路的轉(zhuǎn)換;然后DSLAM通過接入網(wǎng)接入到BNG (Broadband Network Gateway,寬帶網(wǎng)絡(luò)網(wǎng) 關(guān)),其中BNG可以是BRAS (Broadband Remote Access Server,寬帶遠程接入服務(wù)設(shè)備), 也可以是專門提供業(yè)務(wù)的路由器,在網(wǎng)絡(luò)中BNG用于實現(xiàn)PPPoE (PPP over Ethernet,承載 在Ethernet上的PPP協(xié)議)的接入,通常是實現(xiàn)PC接入Internet的業(yè)務(wù);用于實現(xiàn)DHCP
(Dynamic Host Configuration Protocol,動態(tài)主機分配協(xié)議)接入,通常是實現(xiàn)電視機頂 盒、VoIP終端等的接入管理;BNG還用于將由ASP (Application Service Provider,應(yīng)用 服務(wù)提供商)/ISP (Internet Service Provider, Internet接入服務(wù)提供商)提供不同的 業(yè)務(wù)數(shù)據(jù)流量分發(fā)到對應(yīng)的用戶,其中ASP/ISP提供的業(yè)務(wù)包括IPTV、 Internet接入、VoIP 等。網(wǎng)絡(luò)中還包括通過向網(wǎng)絡(luò)中的各個網(wǎng)關(guān)設(shè)備下發(fā)控制策略實現(xiàn)對用戶/業(yè)務(wù)管理的策略服 務(wù)器,網(wǎng)關(guān)服務(wù)器等。
由此可見,BNG在網(wǎng)絡(luò)中是處于處理用戶接入管理、業(yè)務(wù)分發(fā)、業(yè)務(wù)策略實施等功能的 核心節(jié)點。
參見圖2,為現(xiàn)有技術(shù)提供的用戶業(yè)務(wù)接入映射示意圖。不同的用戶業(yè)務(wù)通過RG接入后,
通過不同的VC(Virtual Circuit,虛擬電路)接入到DSLAM,其中,電視機頂盒業(yè)務(wù)通過VC1 接入、VoIP業(yè)務(wù)通過VC2接入、PC業(yè)務(wù)通過VC3接入。DSLAM完成VC到VL緒的映射時,現(xiàn)
有技術(shù)提供了兩種映射模型
1) N:l模型相同的業(yè)務(wù)類型,映射到同一個S-VLAN,即一臺DSLAM上,所有的用戶 的相同業(yè)務(wù)類型的流量,到達BNG的時候,BNG是通過相同的S-VLAN來識別的。
2) 1:1模型DSLAM為每個業(yè)務(wù)類型,分配唯一的S-VLAN+OVLAN的組合, 一般S-VLAN 來識別業(yè)務(wù),C-VLAN來識別用戶,即一臺DSLAM上,用戶的每種業(yè)務(wù)類型的數(shù)據(jù)報文到達BNG 的時候,BNG是通過S-VLAN+C-VLAN的組合進行唯一確定的。
發(fā)明人在實現(xiàn)本發(fā)明的過程中發(fā)現(xiàn),現(xiàn)有技術(shù)至少存在以下缺點和不足
BNG識別接入的用戶鏈路是通過VLAN/QinQ實現(xiàn),安全控制也是以VLAN/QinQ為粒度進
行的,在多業(yè)務(wù)的模式下,BNG無法通過VLAN/QinQ唯一地識別出用戶鏈路,進而也就無法
對單個用戶鏈路實施安全控制。
發(fā)明內(nèi)容
為了能夠使BNG對單個用戶鏈路實施安全控制,本發(fā)明實施例提供了一種用戶接入安全 控制的方法、系統(tǒng)和設(shè)備。所述技術(shù)方案如下
本發(fā)明實施例提供了一種用戶接入安全控制的方法,所述方法包括 接收接入請求報文,所述接入請求報文攜帶用戶鏈路標識; 解析所述接入請求報文得到所述用戶鏈路標識;
根據(jù)所述用戶鏈路標識判斷所述接入請求報文是否滿足預(yù)設(shè)接入條件; 如果是,允許所述用戶鏈路標識對應(yīng)的用戶接入。
本發(fā)明實施例還提供了一種用戶接入安全控制的系統(tǒng),所述系統(tǒng)包括 用戶節(jié)點,用于發(fā)送接入請求報文;
接入設(shè)備,用于接收所述用戶節(jié)點發(fā)送的接入請求報文,在所述用戶節(jié)點發(fā)送的接入請 求報文中插入用戶鏈路標識,發(fā)送插入用戶鏈路標識的接入請求報文;
控制設(shè)備,用于接收到所述接入設(shè)備發(fā)送的插入用戶鏈路標識的接入請求報文后,進行 解析得到所述用戶鏈路標識;根據(jù)所述用戶鏈路標識判斷所述接入請求報文是否滿足預(yù)設(shè)接 入條件,如果是,允許所述用戶鏈路標識對應(yīng)的所述用戶節(jié)點接入。
本發(fā)明實施例還提供了一種接入設(shè)備,所述設(shè)備包括
接收模塊,用于接收用戶節(jié)點發(fā)送的接入請求報文;
標識插入模塊,用于在所述接收模塊接收的接入請求報文中插入用戶鏈路標識; 發(fā)送模塊,用于發(fā)送所述標識插入模塊插入用戶鏈路標識后的接入請求報文。 本發(fā)明實施例還提供了一種控制設(shè)備,所述設(shè)備包括
接收模塊,用于接收接入設(shè)備發(fā)送的接入請求報文,所述接入請求報文中攜帶用戶鏈路 標識;
解析模塊,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識; 處理模塊,用于根據(jù)所述解析模塊解析得到的用戶鏈路標識判斷所述接入請求報文是否 滿足預(yù)設(shè)接入條件,如果是,允許所述用戶鏈路標識對應(yīng)的用戶接入。 本發(fā)明實施例提供的技術(shù)方案的有益效果是-
通過在BNG設(shè)備上配置邏輯接口,在多業(yè)務(wù)的模式下能夠唯一識別出用戶鏈路,從而實 現(xiàn)在預(yù)先配置好的邏輯接口上根據(jù)用戶鏈路標識信息對單個用戶鏈路實施安全控制。
圖1是現(xiàn)有技術(shù)提供的寬帶接入技術(shù)的組網(wǎng)示意圖2是現(xiàn)有技術(shù)提供的用戶業(yè)務(wù)接入映射示意圖3是本發(fā)明實施例1提供的用戶接入安全控制的方法流程圖4是本發(fā)明實施例2提供的用戶接入安全控制的方法流程圖5是本發(fā)明實施例3提供的用戶接入安全控制的方法流程圖6是本發(fā)明實施例4提供的用戶接入安全控制的系統(tǒng)示意圖; 圖7是本發(fā)明實施例5提供的接入設(shè)備的示意圖; 圖8是本發(fā)明實施例6提供的控制設(shè)備的示意圖。
具體實施例方式
為使本發(fā)明的目的、技術(shù)方案和優(yōu)點更加清楚,下面將結(jié)合附圖對本發(fā)明實施方式作進 一步地詳細描述。
本發(fā)明實施例提供的技術(shù)方案,BNG能夠在多業(yè)務(wù)的模式下唯一地識別出用戶鏈路標識 信息,進而對單個用戶鏈路實施安全控制。其中,方法包括接收接入請求報文,接入請求報 文攜帶用戶鏈路標識;解析接入請求報文得到用戶鏈路標識;根據(jù)用戶鏈路標識判斷接入請 求報文是否滿足預(yù)設(shè)接入條件;如果是,允許用戶鏈路標識對應(yīng)的用戶接入。
下面根據(jù)配置的具體的安全控制策略對本發(fā)明實施例提供的技術(shù)方案做詳細的闡述
實施例1
參見圖3,本發(fā)明實施例提供了一種用戶接入安全控制的方法,步驟如下 步驟101: BNG獲取用戶鏈路標識。
BNG獲取用戶鏈路標識信息時可以采用如下兩種方式實現(xiàn)
1) 利用管理員在BNG上通過命令行的方式手工配置出DSLAM的設(shè)備信息實現(xiàn)。DSLAM的 設(shè)備信息具體包括設(shè)備的框號、槽號和端口號,其中,DSLAM能夠通過框號+槽號+端口號 可以唯一確定接入DSLAM的一條用戶鏈路。參考命令行格式如下
access-loop_circuit_identifier dslaml_atm-frame-slot/port:[vpi. vci]。 其中,access-loop-circuit - identifier是命令字,表示BNG上需要配置一個用戶鏈 路標識,接著是各標識對應(yīng)的字符串,其中,dslaml標識表示某個DSLAM節(jié)點名稱,atm表 示RG和DSLAM鏈路層是ATM, frame是DSLAM的框號,slot是DSLAM中的槽號,port是DSLAM 的端口號,vpi. vci是可選的PVC (Permanent Virtual Circuit,永久虛電路)信息。
2) 利用ANCP協(xié)議提供的鏈路信息上報功能實現(xiàn)。ANCP協(xié)議是通過TCP作為傳輸層協(xié)議, 提供了 BNG和DSLAM之間控制信息傳遞的通道,當用戶啟動RG,激活用戶鏈路時,DSLAM就 會通過ANCP協(xié)議將該用戶的用戶鏈路信息上報給BNG,其中,用戶鏈路信息包括用戶鏈路狀 態(tài)、用戶鏈路標識以及相關(guān)的用戶鏈路參數(shù)等。ANCP協(xié)議定義如下
Type (Access-Loop-Circuit-ID = 0x01),長度最大為64,協(xié)議默認的格式為 access-Node-Identifier atm slot/port[:vlan-id]
步驟102: BNG根據(jù)獲取的用戶鏈路標識,為用戶鏈路標識創(chuàng)建對應(yīng)的邏輯鏈路標識。 其中,該邏輯鏈路標識具體可以為用戶鏈路標識,也可以是根據(jù)用戶鏈路標識所創(chuàng)建的 邏輯接口,本發(fā)明實施例以邏輯鏈路標識為邏輯接口為例進行說明。BNG創(chuàng)建的邏輯接口與 用戶鏈路標識唯一對應(yīng)。創(chuàng)建接口時參考命令行如下
interface user-line dslaml- atm-frame-slot/port:[vpi. vci] 當BNG創(chuàng)建好邏輯接口后,就可以在創(chuàng)建的邏輯接口是實施安全控制策略了。 步驟103:用戶X通過DHCP發(fā)起接入請求,即發(fā)送DHCP接入請求報文。 其中,用戶針對自身的業(yè)務(wù)類型的不同,通常會通過DHCP協(xié)議或PPPoE協(xié)議發(fā)起接入請 求,例如,如果是PC用戶請求接入Internet的業(yè)務(wù)時,會通過PPPoE協(xié)議發(fā)起接入請求; 如果電視機頂盒用戶請求接入IPTV業(yè)務(wù)或VoIP電話終端用戶請求接入VoIP業(yè)務(wù)時,則會通 .過DHCP協(xié)議發(fā)起接入請求。本實施例以用戶X通過DHCP發(fā)起接入請求為例進行說明,但是 不限制接入請求的類型。
步驟104: DSLAM接收用戶X發(fā)送的DHCP接入請求報文,在接收到的DHCP接入請求報文 中插入用戶鏈路標識,并將插入用戶鏈路標識后的DHCP接入請求報文轉(zhuǎn)發(fā)到BNG。
其中,由于DHCP協(xié)議自身的特點,在報文中存在一個Agent-Circuit-ID選項,用來表 示用戶接入的線路的標識。當接收到用戶X發(fā)送的DHCP接入請求報文時,DSLAM知道該接入 請求報文是通過自身的哪個框口、槽口和端口接收的,相應(yīng)地,插入對應(yīng)的用戶鏈路標識, 其用戶鏈路標識的格式必須和BNG預(yù)設(shè)的用戶鏈路標識的格式一致。
歩驟105: BNG接收由DSLAM發(fā)送的攜帶用戶鏈路標識的DHCP接入請求報文,根據(jù)DHCP 接入請求報文中攜帶的用戶鏈路標識,判斷是否能查找到對應(yīng)的邏輯接口,如果是執(zhí)行步驟 106,否則,執(zhí)行步驟107。
歩驟106: BNG創(chuàng)建綁定在邏輯接口的用戶接入表項,保存用戶X的信息,并執(zhí)行步驟
亂
其中,可以將用戶X的信息和對應(yīng)的邏輯接口標識保存在用戶接入表中,用戶X的信息 包括用戶X的MAC (Media Access Control,媒體訪問控制)地址、IP地址、認證、計費等信 息。
步驟107: BNG丟棄收到接入請求報文,禁止用戶X接入,結(jié)束。
步驟108: BNG向DSLAM返回DHCP響應(yīng)報文,該DHCP響應(yīng)報文中攜帶用戶鏈路標識信息。 步驟109: DSLAM收到BNG返回的DHCP響應(yīng)報文,刪除DHCP響應(yīng)報文中攜帶的用戶鏈路 標識信息,將刪除了用戶鏈路標識信息的DHCP響應(yīng)報文轉(zhuǎn)發(fā)到用戶X。 步驟110: DCHP協(xié)商完成后,用戶X成功接入BNG,結(jié)束。 當用戶接入BNG設(shè)備后,還可以進一步地對用戶進行安全控制。例如
1) 當需要對用戶X實施帶寬控制時,BNG還可以為創(chuàng)建的邏輯接口配置帶寬參數(shù),其中 帶寬參數(shù)具體包括上行方向帶寬參數(shù)和下行方向帶寬參數(shù)。
當用戶X成功接入BNG后,用戶X發(fā)送數(shù)據(jù)報文,該數(shù)據(jù)報文中攜帶用戶MAC地址和IP 地址等信息,BNG根據(jù)接收到的數(shù)據(jù)報文中攜帶的用戶MAC地址和IP地址查找用戶接入表表, 找到對應(yīng)的邏輯接口,根據(jù)該邏輯接口配置的上行方向帶寬參數(shù),對該數(shù)據(jù)報文進行帶寬控 制;當網(wǎng)絡(luò)中提供服務(wù)的設(shè)備(如ASP)通過BNG向用戶X發(fā)送數(shù)據(jù)報文時,根據(jù)該數(shù)據(jù)報 文中攜帶的用戶MAC地址,查找用戶接入表,找到對應(yīng)的邏輯接口上,根據(jù)該邏輯接口上配 置的下行方向帶寬參數(shù),對向用戶X發(fā)送的數(shù)據(jù)報文進行帶寬控制。
2) 當需要對用戶X實施訪問控制控制時,即進行流量控制,還可以利用traffic-policy 命令在BNG邏輯接口上配置訪問控制策略。
當用戶X成功接入BNG后,用戶X發(fā)送數(shù)據(jù)報文,該數(shù)據(jù)報文中攜帶用戶MAC地址和IP 地址等信息,BNG根據(jù)接收到的數(shù)據(jù)報文中攜帶的用戶MAC地址和IP地址查找用戶接入表, 找到用戶X對應(yīng)的邏輯接口,根據(jù)該邏輯接口配置的訪問控制策略,對該用戶X發(fā)送的數(shù)據(jù) 報文進行流量控制;當網(wǎng)絡(luò)中提供服務(wù)的設(shè)備(如ASP)通過BNG向用戶X發(fā)送數(shù)據(jù)報文時, 根據(jù)該數(shù)據(jù)報文中攜帶的用戶X的MAC地址査找用戶接入表,找到用戶X對應(yīng)的邏輯接口 , 該數(shù)據(jù)報文的下一跳地址為BNG設(shè)備上用戶X對應(yīng)的邏輯接口 ,根據(jù)該邏輯接口配置的訪問 控制策略,對通過BNG向用戶X發(fā)送的數(shù)據(jù)報文進行流量控制。
3)當用戶X請求IGMP (Internet Group Management Protocol,網(wǎng)絡(luò)組管理協(xié)議)點 播希望加入組播組時,進一步,BNG還可以在邏輯接口配置組播控制策略,即配置組播控制 列表。
當用戶X成功接入BNG后,用戶X發(fā)送IGMP報文請求,該報文請求中攜帶用戶MAC地址; BNG收到用戶X發(fā)送的IGMP報文請求后,根據(jù)MAC地址査找用戶接入表,找到用戶X對應(yīng)的 邏輯接口,根據(jù)該邏輯接口配置的組播控制列表判斷是否允許用戶X加入組播組,如果是, 則BNG允許用戶X加入組播組,處理用戶X發(fā)送IGMP報文請求,下發(fā)組播數(shù)據(jù)流量;否則, 丟棄用戶X發(fā)送IGMP報文請求。
本發(fā)明實施例提供的方法通過在BNG設(shè)備上配置邏輯接口,在多業(yè)務(wù)的模式下能夠唯一 識別出用戶鏈路,從而實現(xiàn)通過在邏輯接口上配置的安全控制策略,根據(jù)用戶鏈路標識信息 對單個用戶鏈路實施接入控制、帶寬控制、流量控制以及組播控制等安全控制。
實施例2
參見圖4,本發(fā)明實施例提供了一種用戶接入安全控制的方法,步驟如下 步驟201: BNG獲取用戶鏈路標識。
步驟202: BNG根據(jù)獲取的用戶鏈路標識,為用戶鏈路標識信息創(chuàng)建對應(yīng)的邏輯鏈路標識。 其中,本發(fā)明實施例以邏輯鏈路標識為邏輯接口為例進行說明。
步驟203: BNG限制邏輯接口上用戶的IP Session個數(shù),即預(yù)設(shè)用戶的IP Session的上限。
步驟204:用戶X通過DHCP發(fā)起接入請求,即發(fā)送DHCP接入請求報文。 步驟205: DSLAM接收用戶X發(fā)送的DHCP接入請求報文,在接收的DHCP接入請求報文中 插入用戶鏈路標識,并將插入用戶鏈路標識后的DHCP接入請求報文轉(zhuǎn)發(fā)到BNG。
步驟206: BNG接收由DSLAM發(fā)送的攜帶用戶鏈路標識的DHCP接入請求報文,根據(jù)接入
請求報文中攜帶的用戶鏈路標識,判斷是否能査找到對應(yīng)的邏輯接口,如果是執(zhí)行步驟207, 否則,執(zhí)行步驟208。
步驟207:判斷用戶X的IP Session個數(shù)是否小于查找到邏輯接口上預(yù)設(shè)用戶的IP Session的上限,如果是,則執(zhí)行步驟209,否則執(zhí)行歩驟208。
步驟208: BNG丟棄收到接入請求報文,禁止用戶X接入,結(jié)束。
歩驟209: BNG創(chuàng)建綁定在邏輯接口的用戶接入表項,保存用戶X的信息;并向DSLAM返 回響應(yīng)報文,該響應(yīng)報文中攜帶用戶鏈路標識。
步驟210: DSLAM收到BNG返回的DHCP響應(yīng)報文,刪除報文中攜帶的用戶鏈路標識,將 刪除了用戶鏈路標識的DHCP響應(yīng)報文轉(zhuǎn)發(fā)到用戶X。
步驟211: DHCP協(xié)商完成后,用戶X成功接入BNG; BNG設(shè)備將記錄的該用戶IP Session 個數(shù)加l,結(jié)束。
當用戶接入BNG設(shè)備后,還可以進一步地對接入的用戶進行安全控制。例如
1) 當需要對用戶X實施帶寬控制時,BNG還可以為創(chuàng)建的邏輯接口配置帶寬參數(shù),其中 帶寬參數(shù)具體包括上行方向帶寬參數(shù)和下行方向帶寬參數(shù)。
當用戶X成功接入BNG后,用戶X發(fā)送數(shù)據(jù)報文,該數(shù)據(jù)報文中攜帶用戶MAC地址和IP 地址等信息,BNG根據(jù)接收到的數(shù)據(jù)報文中攜帶的用戶MAC地址和IP地址查找用戶接入表表, 找到對應(yīng)的邏輯接口,根據(jù)該邏輯接口配置的上行方向帶寬參數(shù),對該數(shù)據(jù)報文進行帶寬控 制;當網(wǎng)絡(luò)中提供服務(wù)的設(shè)備(如ASP)通過BNG向用戶X發(fā)送數(shù)據(jù)報文時,根據(jù)該數(shù)據(jù)報 文中攜帶的用戶MAC地址,査找用戶接入表,找到對應(yīng)的邏輯接口上,根據(jù)該邏輯接口上配 置的下行方向帶寬參數(shù),對向用戶X發(fā)送的數(shù)據(jù)報文進行帶寬控制。
2) 當需要對用戶X實施訪問控制控制時,即進行流量控制,還可以利用traffic-policy 等命令在BNG邏輯接口上配置訪問控制策略。
當用戶X成功接入BNG后,用戶X發(fā)送數(shù)據(jù)報文,該數(shù)據(jù)報文中攜帶用戶MAC地址和IP 地址等信息,BNG根據(jù)接收到的數(shù)據(jù)報文中攜帶的用戶MAC地址和IP地址查找用戶接入表, 找到用戶X對應(yīng)的邏輯接口,根據(jù)該邏輯接口配置的訪問控制策略,對該用戶X發(fā)送的數(shù)據(jù) 報文進行流量控制;當網(wǎng)絡(luò)中提供服務(wù)的設(shè)備(如ASP)通過BNG向用戶X發(fā)送數(shù)據(jù)報文時, 根據(jù)該數(shù)據(jù)報文中攜帶的用戶X的MAC地址査找用戶接入表,找到用戶X對應(yīng)的邏輯接口, 該數(shù)據(jù)報文的下一跳地址為BNG設(shè)備上用戶X對應(yīng)的邏輯接口 ,根據(jù)該邏輯接口配置的訪問 控制策略,對通過BNG向用戶X發(fā)送的數(shù)據(jù)報文進行流量控制。
3) 當用戶X請求IGMP (Internet Group Management Protocol,網(wǎng)絡(luò)組管理協(xié)議)點
播希望加入組播組時,進一步,BNG還可以在邏輯接口配置組播控制策略,即配置組播控制 列表。
當用戶X成功接入BNG后,用戶X發(fā)送IGMP報文請求,該報文請求中攜帶用戶MAC地址; BNG收到用戶X發(fā)送的IGMP報文請求后,根據(jù)MAC地址查找用戶接入表,找到用戶X對應(yīng)的 邏輯接口,根據(jù)該邏輯接口配置的組播控制列表判斷是否允許用戶X加入組播組,如果是, 則BNG允許用戶X加入組播組,處理用戶X發(fā)送IGMP報文請求,下發(fā)組播數(shù)據(jù)流量;否則, 丟棄用戶X發(fā)送IGMP報文請求。
本發(fā)明實施例提供的方法通過在BNG設(shè)備上配置邏輯接口,在多業(yè)務(wù)的模式下能夠唯一 識別出用戶鏈路,從而實現(xiàn)通過在邏輯接口上配置的安全控制策略,根據(jù)用戶鏈路標識信息 對單個用戶鏈路實施接入控制、帶寬控制、流量控制以及組播控制等安全控制。
實施例3
參見圖5,本發(fā)明實施例提供了一種用戶接入安全控制的方法,步驟如下 步驟301: BNG獲取用戶鏈路標識。
步驟302: BNG根據(jù)獲取的用戶鏈路標識,為用戶鏈路標識創(chuàng)建對應(yīng)的邏輯鏈路標識。
其中,本發(fā)明實施例以邏輯鏈路標識為邏輯接口為例進行說明。
步驟303: BNG通過不同的關(guān)鍵字配置邏輯接口上不同的用戶類型。參考命令行如下 terminal-type voip dhcp-option-60 include VoIP
步驟304:用戶X通過DHCP發(fā)起接入請求,即發(fā)送DHCP接入請求報文。
其中,用戶X通過DHCP發(fā)起接入請求,例如,該DHCP接入請求中攜帶關(guān)鍵字為
VoIP-ISP-1,表明用戶X是ISP-1的VoIP終端。
通過步驟302和步驟303實現(xiàn)了用戶和BNG同時定義不同類型用戶的關(guān)鍵字。
步驟305: DSLAM接收用戶X發(fā)送的DHCP接入請求報文,在接收到DHCP接入請求報文中
插入用戶鏈路標識,并將插入用戶鏈路標識后的DHCP接入請求報文轉(zhuǎn)發(fā)到BNG。
步驟306: BNG接收由DSLAM發(fā)送的攜帶用戶鏈路標識信息的DHCP接入請求報文,根據(jù)
DHCP接入請求報文中攜帶的用戶鏈路標識,判斷是否能査找到對應(yīng)的邏輯接口,如果是執(zhí)行
步驟307,否則,執(zhí)行步驟308.
步驟307: BNG判斷用戶X的DHCP接入請求報文中攜帶的關(guān)鍵字是否和該邏輯接口上配
置的關(guān)鍵字匹配,如果是,執(zhí)行步驟309,否則執(zhí)行步驟308。
步驟308: BNG丟棄收到接入請求報文,禁止用戶X接入,結(jié)束。
步驟309: BNG創(chuàng)建綁定在邏輯接口的用戶接入表項,保存用戶X的信息;并向DSLAM返 回DHCP響應(yīng)報文,該DHCP響應(yīng)報文中攜帶用戶鏈路標識。
步驟310: DSLAM收到BNG返回的DHCP響應(yīng)報文,刪除報文中攜帶的用戶鏈路標識,將 刪除了用戶鏈路標識的響應(yīng)報文轉(zhuǎn)發(fā)到用戶X。
步驟311: DHCP協(xié)商完成后,用戶X成功接入BNG,結(jié)束。
當用戶接入BNG設(shè)備后,還可以進一步地對接入的用戶進行安全控制。例如
1) 當需要對用戶X實施帶寬控制時,BNG還可以為創(chuàng)建的邏輯接口配置帶寬參數(shù),其中
帶寬參數(shù)具體包括上行方向帶寬參數(shù)和下行方向帶寬參數(shù)。
當用戶X成功接入BNG后,用戶X發(fā)送數(shù)據(jù)報文,該數(shù)據(jù)報文中攜帶用戶MAC地址和IP 地址等信息,BNG根據(jù)接收到的數(shù)據(jù)報文中攜帶的用戶MAC地址和IP地址査找用戶接入表表, 找到對應(yīng)的邏輯接口,根據(jù)該邏輯接口配置的上行方向帶寬參數(shù),對該數(shù)據(jù)報文進行帶寬控 制;當網(wǎng)絡(luò)中提供服務(wù)的設(shè)備(如ASP)通過BNG向用戶X發(fā)送數(shù)據(jù)報文時,根據(jù)該數(shù)據(jù)報 文中攜帶的用戶MAC地址,査找用戶接入表,找到對應(yīng)的邏輯接口上,根據(jù)該邏輯接口上配 置的下行方向帶寬參數(shù),對向用戶X發(fā)送的數(shù)據(jù)報文進行帶寬控制。
2) 當需要對用戶X實施訪問控制控制時,即進行流量控制,還可以利用traffic-policy 等命令在BNG邏輯接口上配置訪問控制策略。
當用戶X成功接入BNG后,用戶X發(fā)送數(shù)據(jù)報文,該數(shù)據(jù)報文中攜帶用戶MAC地址和IP 地址等信息,BNG根據(jù)接收到的數(shù)據(jù)報文中攜帶的用戶MAC地址和IP地址查找用戶接入表, 找到用戶X對應(yīng)的邏輯接口,根據(jù)該邏輯接口配置的訪問控制策略,對該用戶X發(fā)送的數(shù)據(jù) 報文進行流量控制;當網(wǎng)絡(luò)中提供服務(wù)的設(shè)備(如ASP)通過BNG向用戶X發(fā)送數(shù)據(jù)報文時, 根據(jù)該數(shù)據(jù)報文中攜帶的用戶X的MAC地址査找用戶接入表,找到用戶X對應(yīng)的邏輯接口 , 該數(shù)據(jù)報文的下一跳地址為BNG設(shè)備上用戶X對應(yīng)的邏輯接口,根據(jù)該邏輯接口配置的訪問 控制策略,對通過BNG向用戶X發(fā)送的數(shù)據(jù)報文進行流量控制。
3) 當用戶X請求IGMP (Internet Group Management Protocol,網(wǎng)絡(luò)組管理協(xié)議)點 播希望加入組播組時,進一步,BNG還可以在邏輯接口配置組播控制策略,即配置組播控制 列表。
當用戶X成功接入BNG后,用戶X發(fā)送IGMP報文請求,該報文請求中攜帶用戶MAC地址; BNG收到用戶X發(fā)送的IGMP報文請求后,根據(jù)MAC地址査找用戶接入表,找到用戶X對應(yīng)的 邏輯接口,根據(jù)該邏輯接口配置的組播控制列表判斷是否允許用戶X加入組播組,如果是, 則BNG允許用戶X加入組播組,處理用戶X發(fā)送IGMP報文請求,下發(fā)組播數(shù)據(jù)流量;否則,
丟棄用戶X發(fā)送IGMP報文請求。
本發(fā)明實施例提供的方法通過在BNG設(shè)備上配置邏輯接口,在多業(yè)務(wù)的模式下能夠唯一 識別出用戶鏈路,從而實現(xiàn)通過在邏輯接口上配置的安全控制策略,根據(jù)用戶鏈路標識信息 對單個用戶鏈路實施接入控制、帶寬控制、流量控制以及組播控制等安全控制。
上述本發(fā)明實施例中創(chuàng)建邏輯接口只是實現(xiàn)的一種方式,任何在BNG等類似的設(shè)備上基 于邏輯鏈路標識所實現(xiàn)的接入控制、流量控制、帶寬控制、組播控制等安全控制,都在本發(fā) 明的保護范圍之內(nèi)。
實施例4
參見圖6,本發(fā)明實施例提供了一種用戶接入安全控制的系統(tǒng),系統(tǒng)包括 用戶節(jié)點,用于發(fā)送接入請求報文;
接入設(shè)備,用于接收用戶節(jié)點發(fā)送的接入請求報文,在用戶節(jié)點發(fā)送的接入請求報文中 插入用戶鏈路標識,發(fā)送插入用戶鏈路標識的接入請求報文;
控制設(shè)備,用于接收到接入設(shè)備發(fā)送的插入用戶鏈路標識的接入請求報文后,進行解析 得到用戶鏈路標識;根據(jù)用戶鏈路標識判斷接入請求報文是否滿足預(yù)設(shè)接入條件,如果是, 允許用戶鏈路標識對應(yīng)的用戶節(jié)點接入。
其中,控制設(shè)備包括
接收模塊,用于接收接入設(shè)備發(fā)送的接入請求報文;
解析模塊,用于解析接收模塊接收的接入請求報文得到用戶鏈路標識;
判斷模塊,用于根據(jù)解析模塊解析得到的用戶鏈路標識判斷是否能夠査找到用戶鏈路標
識對應(yīng)的邏輯鏈路標識;
處理模塊,當判斷模塊判斷的結(jié)果是能夠查找到用戶鏈路標識對應(yīng)的邏輯鏈路標識時,
允許用戶鏈路標識對應(yīng)的用戶節(jié)點接入。 其中,控制設(shè)備包括
接收模塊,用于接收接入設(shè)備發(fā)送的接入請求報文; 解析模塊,用于解析接收模塊接收的接入請求報文得到用戶鏈路標識; 查找模塊,用于根據(jù)解析模塊解析得到用戶鏈路標識査找用戶鏈路標識對應(yīng)的邏輯鏈路 標識;
判斷模塊,用于判斷査找模塊査找到的邏輯鏈路標識已接入的用戶會話個數(shù)是否達到預(yù) 設(shè)門限;
處理模塊,用于當判斷模塊判斷的結(jié)果是已接入的用戶會話個數(shù)沒有達到預(yù)設(shè)門限時, 允許用戶鏈路標識對應(yīng)的用戶節(jié)點接入,并將已接入的用戶會話個數(shù)加1。 其中,控制設(shè)備包括
接收模塊,用于接收接入設(shè)備發(fā)送的接入請求報文;
解析模塊,用于解析接收模塊接收的接入請求報文得到用戶鏈路標識; 查找模塊,用于根據(jù)解析模塊解析得到用戶鏈路標識查找用戶鏈路標識對應(yīng)的邏輯鏈路 標識;
判斷模塊,用于判斷接入請求報文中攜帶的用戶類型是否和查找模塊查找到的邏輯鏈路 標識上預(yù)設(shè)的用戶類型一致;
處理模塊,用于當判斷模塊判斷的結(jié)果是接入請求報文中攜帶的用戶類型和查找模塊査 找到的邏輯鏈路標識上預(yù)設(shè)的用戶類型一致時,允許用戶鏈路標識對應(yīng)的用戶節(jié)點接入。
本發(fā)明實施例提供的系統(tǒng)通過在控制設(shè)備上配置邏輯鏈路標識,在多業(yè)務(wù)的模式下能夠 唯一識別出用戶鏈路,從而實現(xiàn)通過預(yù)先配置好的邏輯鏈路標識對應(yīng)的安全控制策略,根據(jù) 用戶鏈路標識信息對單個用戶鏈路實施接入控制、帶寬控制、流量控制以及組播控制等安全 控制策略。
實施例5
參見圖7,本發(fā)明實施例提供了一種接入設(shè)備,設(shè)備包括 接收模塊,用于接收用戶節(jié)點發(fā)送的接入請求報文;
標識插入模塊,用于在接收模塊接收的接入請求報文中插入用戶鏈路標識; 發(fā)送模塊,用于發(fā)送標識插入模塊插入用戶鏈路標識后的接入請求報文。 本發(fā)明實施例提供的接入設(shè)備能夠接收用戶接點發(fā)送的接入請求報文,并在接收到的接
入請求報文中插入用戶鏈路標識,并發(fā)送插入了用戶鏈路標識后的接入請求報文。其中,該
設(shè)備對接收到的接入請求報文還可以插入其他的信息如用戶類型等。
實施例6
參見圖8,本發(fā)明實施例提供了一種控制設(shè)備,設(shè)備包括
接收模塊,用于接收接入設(shè)備發(fā)送的接入請求報文,接入請求報文中攜帶用戶鏈路標識;
解析模塊,用于解析接收模塊接收的接入請求報文得到用戶鏈路標識;
處理模塊,用于根據(jù)解析模塊解析得到的用戶鏈路標識判斷接入請求報文是否滿足預(yù)設(shè)
接入條件,如果是,允許用戶鏈路標識對應(yīng)的用戶接入。 其中,處理模塊包括
判斷單元,用于根據(jù)解析模塊解析得到的用戶鏈路標識判斷是否能夠查找到用戶鏈路標 識對應(yīng)的邏輯鏈路標識;
處理單元,用于當判斷單元判斷的結(jié)果是能夠査找到用戶鏈路標識對應(yīng)的邏輯鏈路標識 時,允許用戶鏈路標識對應(yīng)的用戶接入。
其中,處理模塊包括
査找單元,用于根據(jù)解析模塊解析得到用戶鏈路標識查找用戶鏈路標識對應(yīng)的邏輯鏈路 標識;
判斷單元,用于判斷查找單元查找到的邏輯鏈路標識巳接入的用戶會話個數(shù)是否達到預(yù) 設(shè)門限;
處理單元,用于當判斷單元判斷的結(jié)果是已接入的用戶會話個數(shù)沒有達到預(yù)設(shè)門限時, 允許用戶鏈路標識對應(yīng)的用戶接入,并將已接入的用戶會話個數(shù)加1。 其中,處理模塊包括
查找單元,用于根據(jù)解析模塊解析得到用戶鏈路標識査找用戶鏈路標識對應(yīng)的邏輯鏈路 標識;
判斷單元,用于判斷接入請求報文中攜帶的用戶類型是否和查找單元查找到的邏輯鏈路 標識上的預(yù)設(shè)的用戶類型一致;
處理單元,用于當判斷單元判斷的結(jié)果是接入請求報文中攜帶的用戶類型和查找單元查 找到的邏輯鏈路標識上預(yù)設(shè)的用戶類型一致時,允許用戶鏈路標識對應(yīng)的用戶接入。
當用戶接入控制設(shè)備后,還可以進一步地對接入的用戶進行安全控制,此時,控制設(shè)備 還包括
記錄模塊,用于當處理模塊允許用戶鏈路標識對應(yīng)的用戶接入時,根據(jù)接入請求報文將 用戶的媒體訪問控制地址、IP地址、用戶鏈路標識以及邏輯鏈路標識記錄在用戶接入表中;
配置模塊,用于根據(jù)記錄模塊在用戶接入表中記錄的邏輯鏈路標識為邏輯鏈路標識配置 控制策略。
第一控制模塊,用于當接收到用戶發(fā)送的數(shù)據(jù)報文時,根據(jù)數(shù)據(jù)報文中攜帶的媒體訪問 控制地址和IP地址在記錄模塊的用戶接入表中查找對應(yīng)的邏輯鏈路標識,根據(jù)查找到的邏輯 鏈路標識對應(yīng)的控制策略,對數(shù)據(jù)報文進行控制;
第二控制模塊,用于當接收到發(fā)往用戶的數(shù)據(jù)報文時,根據(jù)向發(fā)往用戶的數(shù)據(jù)報文中攜
帶的媒體訪問控制地址在記錄模塊中査找對應(yīng)的邏輯鏈路標識,根據(jù)查找到的邏輯鏈路標識 對應(yīng)的控制策略,對發(fā)往用戶的數(shù)據(jù)報文進行控制。
上述配置模塊配置的控制策略可以為訪問控制策略或/和帶寬控制策略,相應(yīng)地,可以進 行數(shù)據(jù)報文的流量控制或/帶寬控制。本發(fā)明實施例不限制配置模塊配置的控制策略類型。
當用戶X請求IGMP點播希望加入組播組時,控制設(shè)備還包括-
記錄模塊,用于當處理模塊允許用戶鏈路標識對應(yīng)的用戶接入時,根據(jù)接入請求報文將 用戶的媒體訪問控制地址、IP地址、用戶鏈路標識以及邏輯鏈路標識記錄在用戶接入表中;
配置模塊,用于根據(jù)記錄模塊記錄的邏輯鏈路標識為邏輯鏈路標識配置組播控制策略。
組播控制模塊,用于當接收到用戶發(fā)送的請求加入組播組的網(wǎng)絡(luò)組管理協(xié)議報文時,根 據(jù)網(wǎng)絡(luò)組管理協(xié)議報文中攜帶的媒體訪問控制地址在記錄模塊的用戶接入表中查找對應(yīng)的邏 輯鏈路標識,根據(jù)查找到的邏輯鏈路標識對應(yīng)的組播控制策略,判斷是否允許用戶加入組播 組,如果是,允許用戶加入組播組。
本發(fā)明實施例提供的通過在控制設(shè)備上配置邏輯鏈路標識,在多業(yè)務(wù)的模式下能夠唯一 識別出用戶鏈路,從而實現(xiàn)通過預(yù)先配置好的邏輯鏈路標識的對應(yīng)安全控制策略,根據(jù)用戶 鏈路標識信息對單個用戶鏈路實施接入控制、帶寬控制、流量控制以及組播控制等安全控制 策略。
上述本發(fā)明實施例提供的技術(shù)方案通過在BNG等類似控制設(shè)備上配置邏輯鏈路標識,在 多業(yè)務(wù)的模式下能夠唯一識別出用戶鏈路,從而實現(xiàn)通過預(yù)先配置好的邏輯鏈路標識對應(yīng)的 安全控制策略,根據(jù)用戶鏈路標識信息對單個用戶鏈路實施接入控制、帶寬控制、流量控制 以及組播控制等安全控制策略。
本發(fā)明實施例中的部分步驟,可以利用軟件實現(xiàn),相應(yīng)的軟件程序可以存儲在可讀取的 存儲介質(zhì)中,如光盤或硬盤等。
上所述僅為本發(fā)明的較佳實施例,并不用以限制本發(fā)明,凡在本發(fā)明的精神和原則之內(nèi), 所作的任何修改、等同替換、改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)。
權(quán)利要求
1.一種用戶接入安全控制的方法,其特征在于,所述方法包括接收接入請求報文,所述接入請求報文攜帶用戶鏈路標識;解析所述接入請求報文得到所述用戶鏈路標識;根據(jù)所述用戶鏈路標識判斷所述接入請求報文是否滿足預(yù)設(shè)接入條件;如果是,允許所述用戶鏈路標識對應(yīng)的用戶接入。
2. 如權(quán)利要求l所述的用戶接入安全控制的方法,其特征在于,所述根據(jù)所述用戶鏈路 標識判斷所述接入請求報文是否滿足預(yù)設(shè)接入條件的步驟包括判斷是否能夠查找到所述用戶鏈路標識對應(yīng)的邏輯鏈路標識; 如果是,滿足預(yù)設(shè)接入條件。
3. 如權(quán)利要求l所述的用戶接入安全控制的方法,其特征在于,所述根據(jù)所述用戶鏈路 標識判斷所述接入請求報文是否滿足預(yù)設(shè)接入條件的步驟包括查找所述用戶鏈路標識對應(yīng)的邏輯鏈路標識;檢査所述邏輯鏈路標識已接入的用戶會話個數(shù)是否達到預(yù)設(shè)門限,如果沒有達到所述預(yù) 設(shè)門限,則滿足預(yù)設(shè)接入條件;相應(yīng)地,所述允許所述用戶鏈路標識對應(yīng)的用戶接入的步驟后還包括 將所述已接入的用戶會話個數(shù)加l。 ^ .
4. 如權(quán)利要求1所述的用戶接入安全控制的方法,其特征在于,所述接入請求報文中還 攜帶用戶類型;相應(yīng)地,所述根據(jù)所述用戶鏈路標識判斷所述接入請求報文是否滿足預(yù)設(shè)接入條件的步驟包括查找所述用戶鏈路標識對應(yīng)的邏輯鏈路標識;判斷所述接入請求報文中攜帶的用戶類型是否和所述邏輯鏈路標識預(yù)設(shè)的用戶類型一 致,如果是,滿足預(yù)設(shè)接入條件。
5. 如權(quán)利要求l所述的用戶接入安全控制的方法,其特征在于,所述允許所述用戶鏈路標識對應(yīng)的用戶接入的步驟之后還包括根據(jù)所述接入請求報文將用戶的媒體訪問控制地址、IP地址、用戶鏈路標識以及邏輯鏈 路標識記錄在用戶接入表中,為所述邏輯鏈路標識對應(yīng)的用戶配置控制策略;當接收到用戶發(fā)送的數(shù)據(jù)報文時,根據(jù)所述數(shù)據(jù)報文中攜帶的媒體訪問控制地址和IP地 址在所述用戶接入表中查找對應(yīng)的邏輯鏈路標識,根據(jù)査找到的邏輯鏈路標識對應(yīng)的控制策 略,對所述數(shù)據(jù)報文進行控制;當接收向到發(fā)往所述用戶的數(shù)據(jù)報文時,根據(jù)所述發(fā)往所述用戶的數(shù)據(jù)報文中攜帶的媒 體訪問控制地址在所述用戶接入表中查找對應(yīng)的邏輯鏈路標識,根據(jù)查找到的邏輯鏈路標識 對應(yīng)的控制策略,對所述發(fā)往所述用戶的數(shù)據(jù)報文進行控制。
6. 如權(quán)利要求5所述的用戶接入安全控制的方法,其特征在于,所述控制策略具體為 訪問控制策略或/和帶寬控制策略。
7. 如權(quán)利要求l所述的用戶接入安全控制的方法,其特征在于,所述允許所述用戶鏈路 標識對應(yīng)的用戶接入的步驟之后還包括根據(jù)所述接入請求報文將用戶的媒體訪問控制地址、IP地址、用戶鏈路標識以及邏輯鏈 路標識記錄在用戶接入表中,為所述邏輯鏈路標識對應(yīng)的用戶配置組播控制策略;當接收到用戶發(fā)送的請求加入組播組的網(wǎng)絡(luò)組管理協(xié)議報文時,根據(jù)所述網(wǎng)絡(luò)組管理協(xié) 議報文中攜帶的媒體訪問控制地址在所述用戶接入表中査找對應(yīng)的邏輯鏈路標識,根據(jù)查找 到的邏輯鏈路標識對應(yīng)的組播控制策略,判斷是否允許所述用戶加入組播組,如果是,允許 所述用戶加入組播組。
8. —種用戶接入安全控制的系統(tǒng),其特征在于,所述系統(tǒng)包括 用戶節(jié)點,用于發(fā)送接入請求報文;接入設(shè)備,用于接收所述用戶節(jié)點發(fā)送的接入請求報文,在所述用戶節(jié)點發(fā)送的接入請 求報文中插入用戶鏈路標識,發(fā)送插入用戶鏈路標識的接入請求報文;控制設(shè)備,用于接收到所述接入設(shè)備發(fā)送的插入用戶鏈路標識的接入請求報文后,進行 解析得到所述用戶鏈路標識;根據(jù)所述用戶鏈路標識判斷所述接入請求報文是否滿足預(yù)設(shè)接 入條件,如果是,允許所述用戶鏈路標識對應(yīng)的所述用戶節(jié)點接入。
9. 如權(quán)利要求8所述的用戶接入安全控制的系統(tǒng),其特征在于,所述控制設(shè)備包括 接收模塊,用于接收所述接入設(shè)備發(fā)送的接入請求報文;解析模塊,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識;判斷模塊,用于根據(jù)所述解析模塊解析得到的用戶鏈路標識判斷是否能夠査找到所述用 戶鏈路標識對應(yīng)的邏輯鏈路標識;處理模塊,當所述判斷模塊判斷的結(jié)果是能夠査找到所述用戶鏈路標識對應(yīng)的邏輯鏈路 標識時,允許所述用戶鏈路標識對應(yīng)的用戶節(jié)點接入。
10. 如權(quán)利要求8所述的用戶接入安全控制的系統(tǒng),其特征在于,所述控制設(shè)備包括接收模塊,用于接收所述接入設(shè)備發(fā)送的接入請求報文;解析模塊,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識; 查找模塊,用于根據(jù)所述解析模塊解析得到用戶鏈路標識査找所述用戶鏈路標識對應(yīng)的 邏輯鏈路標識;判斷模塊,用于判斷所述查找模塊查找到的邏輯鏈路標識已接入的用戶會話個數(shù)是否達 到預(yù)設(shè)門限;處理模塊,用于當所述判斷模塊判斷的結(jié)果是所述已接入的用戶會話個數(shù)沒有達到所述 預(yù)設(shè)門限時,允許所述用戶鏈路標識對應(yīng)的所述用戶節(jié)點接入,并將所述已接入的用戶會話 個數(shù)加1。
11. 如權(quán)利要求8所述的用戶接入安全控制的系統(tǒng),其特征在于,所述控制設(shè)備包括接收模塊,用于接收所述接入設(shè)備發(fā)送的接入請求報文;解析模塊,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識; 查找模塊,用于根據(jù)所述解析模塊解析得到用戶鏈路標識査找所述用戶鏈路標識對應(yīng)的 邏輯鏈路標識;判斷模塊,用于判斷所述接入請求報文中攜帶的用戶類型是否和所述查找模塊查找到的 邏輯鏈路標識上預(yù)設(shè)的用戶類型一致;處理模塊,用于當所述判斷模塊判斷的結(jié)果是所述接入請求報文中攜帶的用戶類型和所述查找模塊查找到的邏輯鏈路標識上預(yù)設(shè)的用戶類型一致時,允許所述用戶鏈路標識對應(yīng)的 所述用戶節(jié)點接入。
12. —種接入設(shè)備,其特征在于,所述設(shè)備包括 接收模塊,用于接收用戶節(jié)點發(fā)送的接入請求報文;標識插入模塊,用于在所述接收模塊接收的接入請求報文中插入用戶鏈路標識; 發(fā)送模塊,用于發(fā)送所述標識插入模塊插入用戶鏈路標識后的接入請求報文。
13. —種控制設(shè)備,其特征在于,所述設(shè)備包括接收模塊,用于接收接入設(shè)備發(fā)送的接入請求報文,所述接入請求報文中攜帶用戶鏈路 標識;解析模塊,用于解析所述接收模塊接收的接入請求報文得到所述用戶鏈路標識; 處理模塊,用于根據(jù)所述解析模塊解析得到的用戶鏈路標識判斷所述接入請求報文是否 滿足預(yù)設(shè)接入條件,如果是,允許所述用戶鏈路標識對應(yīng)的用戶接入。
14. 如權(quán)利要求13所述的控制設(shè)備,其特征在于,所述處理模塊包括判斷單元,用于根據(jù)所述解析模塊解析得到的用戶鏈路標識判斷是否能夠查找到所述用 戶鏈路標識對應(yīng)的邏輯鏈路標識;處理單元,用于當所述判斷單元判斷的結(jié)果是能夠查找到所述用戶鏈路標識對應(yīng)的邏輯鏈路標識時,允許所述用戶鏈路標識對應(yīng)的用戶接入。
15. 如權(quán)利要求13所述的控制設(shè)備,其特征在于,所述處理模塊包括查找單元,用于根據(jù)所述解析模塊解析得到用戶鏈路標識査找所述用戶鏈路標識對應(yīng)的 邏輯鏈路標識;判斷單元,用于判斷所述査找單元査找到的邏輯鏈路標識已接入的用戶會話個數(shù)是否達 到預(yù)設(shè)門限;處理單元,用于當所述判斷單元判斷的結(jié)果是所述已接入的用戶會話個數(shù)沒有達到所述 預(yù)設(shè)門限時,允許所述用戶鏈路標識對應(yīng)的用戶接入,并將所述已接入的用戶會話個數(shù)加1。
16. 如權(quán)利要求13所述的控制設(shè)備,其特征在于,所述處理模塊包括査找單元,用于根據(jù)所述解析模塊解析得到用戶鏈路標識查找所述用戶鏈路標識對應(yīng)的 邏輯鏈路標識;判斷單元,用于判斷所述接入請求報文中攜帶的用戶類型是否和所述查找單元查找到的邏輯鏈路標識上的預(yù)設(shè)的用戶類型一致;處理單元,用于當所述判斷單元判斷的結(jié)果是所述接入請求報文中攜帶的用戶類型和所述查找單元査找到的邏輯鏈路標識上預(yù)設(shè)的用戶類型一致時,允許所述用戶鏈路標識對應(yīng)的 用戶接入。
17. 如權(quán)利要求13所述的控制設(shè)備,其特征在于,所述設(shè)備還包括記錄模塊,用于當所述處理模塊允許所述用戶鏈路標識對應(yīng)的用戶接入時,根據(jù)所述接 入請求報文將用戶的媒體訪問控制地址、IP地址、用戶鏈路標識以及邏輯鏈路標識記錄在用 戶接入表中;配置模塊,用于根據(jù)所述記錄模塊在所述用戶接入表中記錄的邏輯鏈路標識為所述邏輯 鏈路標識配置控制策略。第一控制模塊,用于當接收到用戶發(fā)送的數(shù)據(jù)報文時,根據(jù)所述數(shù)據(jù)報文中攜帶的媒體 訪問控制地址和IP地址在所述記錄模塊的用戶接入表中査找對應(yīng)的邏輯鏈路標識,根據(jù)查找 到的邏輯鏈路標識對應(yīng)的控制策略,對所述數(shù)據(jù)報文進行控制;第二控制模塊,用于當接收到發(fā)往所述用戶的數(shù)據(jù)報文時,根據(jù)向所述發(fā)往所述用戶的 數(shù)據(jù)報文中攜帶的媒體訪問控制地址在所述記錄模塊中査找對應(yīng)的邏輯鏈路標識,根據(jù)查找 到的邏輯鏈路標識對應(yīng)的控制策略,對所述發(fā)往所述用戶的數(shù)據(jù)報文進行控制。
18. 如權(quán)利要求13所述的控制設(shè)備,其特征在于,所述設(shè)備還包括記錄模塊,用于當所述處理模塊允許所述用戶鏈路標識對應(yīng)的用戶接入時,根據(jù)所述接 入請求報文將用戶的媒體訪問控制地址、IP地址、用戶鏈路標識以及邏輯鏈路標識記錄在用 戶接入表中;配置模塊,用于根據(jù)所述記錄模塊記錄的邏輯鏈路標識為所述邏輯鏈路標識配置組播控 制策略。組播控制模塊,用于當接收到用戶發(fā)送的請求加入組播組的網(wǎng)絡(luò)組管理協(xié)議報文時,根 據(jù)所述網(wǎng)絡(luò)組管理協(xié)議報文中攜帶的媒體訪問控制地址在所述記錄模塊的用戶接入表中査找 對應(yīng)的邏輯鏈路標識,根據(jù)查找到的邏輯鏈路標識對應(yīng)的組播控制策略,判斷是否允許所述 用戶加入組播組,如果是,允許所述用戶加入組播組。
全文摘要
本發(fā)明公開了一種用戶接入安全控制的方法、系統(tǒng)和設(shè)備,屬于通信領(lǐng)域。方法包括接收接入請求報文,接入請求報文攜帶用戶鏈路標識;解析接入請求報文得到用戶鏈路標識;根據(jù)用戶鏈路標識判斷接入請求報文是否滿足預(yù)設(shè)接入條件;如果是,允許用戶鏈路標識對應(yīng)的用戶接入。系統(tǒng)包括用戶節(jié)點、接入設(shè)備和控制設(shè)備。接入設(shè)備包括接收模塊,標識插入模塊,發(fā)送模塊;控制設(shè)備包括接收模塊,解析模塊,處理模塊。本發(fā)明通過在BNG設(shè)備上配置邏輯接口,在多業(yè)務(wù)的模式下能夠唯一識別出用戶鏈路,從而根據(jù)預(yù)先配置好的邏輯接口的安全控制策略,通過用戶鏈路標識信息實現(xiàn)對單個用戶鏈路實施接入控制、帶寬控制以及組播控制等安全控制策略。
文檔編號H04L29/06GK101188614SQ20071019510
公開日2008年5月28日 申請日期2007年11月28日 優(yōu)先權(quán)日2007年11月28日
發(fā)明者李教峰, 顧勤豐 申請人:華為技術(shù)有限公司