专利名称:一种通信网络中对用户的接入访问进行控制的方法
技术领域:
本发明涉及移动通信网络,特别涉及在通信网络中引入接入控制列表(ACLAccess Control List)机制,是针对每一个用户终端粒度的ACL机制,使得通信网络对用户的接入访问进行控制的方法。
背景技术:
以下以WiMAX网络为例来说明服务质量框架。
如图1所示,为WiMAX NWG(Network Work Group;网络工作组)标准最新定义的服务质量(QoSService of Quality)框架。其中,SS(Subscriber Station),为用户终端,如支持WiMAX功能的笔记本电脑或者手机;SFM(Service Flow Management),为业务流管理器,负责建立用户业务流及为此业务流分配无线资源等,在实际网络中,其对应的物理实体就是基站,执行网络服务提供商(NSPNetwork Service Provider)下发的Qos策略,如为某用户预流多少带宽等,此功能体存在于接入服务网络(ASNAccessService Network)中;SFA(Service Flow Authorization),为业务流授权者,负责给相应的业务流授权,在实际网络中,其对应的物理实体就是接入网网关(GWGateway)、基站控制器,执行NsP下发的Qos策略,如为某用户预留多少带宽等,并且将此策略再下发给SFM,此功能体存在于ASN中;PF(policy function),为策略决定功能体,制定各种详细的Qos策略,此功能体存在于NSP中,在漫游场景中,将会存在拜访PF(Visited PF)和归属PF(Home PF);
AF(Application functions),为应用服务功能体,此功能体主要为PF提供详细的业务信息,以供PF制定具体的Qos策略之用,用户终端SS直接通过应用层协议连接访问AF,AF将会通知PF主动为用户创建业务流,此功能体存在于NSP中;认证、授权、计费(AAAAuthentication、Authorization、Accounting)数据库用于存放用户签约数据及一些用于认证、授权、计费信息的数据库;公共策略数据库,就是根据用户的签约信息和一系列策略制定规则,制定相应的Qos、计费等策略的数据库。
但是,在上述现有WiMAX标准的Qos体系中,缺乏这样一种机制,即根据用户终端标识,对此终端的接入访问范围进行控制。因此,现有WiMAX标准的Qos系中不能针对不同用户,提供不同的访问权限。
目前,访问控制列表ACL是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问;保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
但是,不论是WiMax网络还是WLAN网络或者是GSM等网络,都缺乏针对用户终端粒度的ACL机制,使得这些网络不能提供针对不同用户级别的接入访问进行控制的业务,不利于绿色上网等业务的开展;不利于提升运营商提供多种业务的能力。
发明内容
鉴于现有技术中存在的不足,本发明提供一种通信网络中对用户的接入访问进行控制的方法,通过在通信网络引入ACL机制,而且是针对每一个用户终端粒度的ACL机制,使得通信网络能够提供针对用户级别的接入访问控制的业务。
本发明提供一种通信网络中对用户的接入访问进行控制的方法,其中,于所述通信网络中设置一访问控制列表(ACLAccess Control List),使得该通信网络根据所述访问控制列表ACL对用户终端的接入访问进行控制。
所述访问控制列表ACL设置于AAA服务器的内置或外置的策略数据库中。
对用户终端的接入访问进行控制,包括步骤在用户终端认证成功后,AAA服务器将所述用户终端的访问控制列表ACL下发给接入服务网关;所述接入服务网关根据所述访问控制列表ACL对用户终端的接入进行控制。
所述AAA服务器利用认证过程最后的成功接入消息将所述用户终端的访问控制列表ACL下发给接入服务网关。
所述认证过程消息使用Radius(Remote Authentication Dial In UserService;拨号用户远程鉴权业务)或Diameter协议承载。
所述认证过程最后的成功接入消息为Radius Access Accept(Radius认证成功)消息。
利用所述Radius Access Accept消息中的厂商自定义(VSAVendorSpecial Attribute)属性承载所述访问控制列表ACL内容。
所述访问控制列表ACL设置于网络服务提供商的公共的策略数据库中。
所述公共的策略数据库中每个用户终端的策略数据中包含访问控制列表信息。
对用户终端的接入访问进行控制,包括步骤当用户终端认证成功后,由所述策略决定功能体将所述访问控制列表信息下发给接入服务网关;
所述接入服务网关根据所述访问控制列表信息对用户终端的接入进行控制。
所述策略决定功能体将访问控制列表信息下发给接入服务网关,包括步骤接入服务网关向策略决定功能体发起接入服务网关位置登记请求消息;所述策略决定功能体从公共的策略数据库中取得该用户终端的访问控制列表信息;所述策略决定功能体向接入服务网关回复响应消息,其中,该响应消息中携带所述访问控制列表信息。
本发明的有益效果在于,在通信网络中引入ACL机制,而且是针对每一个用户终端粒度的ACL机制,使得通信网络能够针对不同用户,提供不同的访问权限;利于绿色上网等业务的开展,提升运营商提供多种业务的能力。
图1为WiMAX网络的服务质量QoS框架示意图;图2为本发明实施例1的流程图;图3为本发明实施例2的流程图。
具体实施例方式
以下参照附图对本发明进行详细说明。
本发明提供一种通信网络中对用户的接入访问进行控制的方法,其中于所述通信网络中设置一访问控制列表ACL,使得该通信网络根据所述访问控制列表ACL对用户终端的接入访问进行控制。
该方法适用于WiMAX、WLAN、GSM、GPRS、WCDMA、CDMA2000网络。
实施例一其中,所述访问控制列表设置于鉴权、授权、计费(AAAAuthentication、Authorization、Accounting)服务器的内置策略数据库或外置的策略数据库(Policy Data Base)中。
当对用户终端的接入访问进行控制时,包括步骤在用户终端认证成功后,AAA服务器将所述用户终端的访问控制列表ACL下发给接入服务网关NAS;所述NAS根据所述ACL对用户终端的接入进行控制。
其中,本实施例中,所述AAA服务器利用认证过程最后的成功接入消息将所述用户终端的访问控制列表ACL下发给接入服务网关NAS;所述认证过程消息使用Radius或Diameter协议承载;所述认证过程最后的成功接入消息为Radius Access Accept消息。
AAA服务器还可利用所述Radius Access Accept消息中的(VSAVendorSpecial Attribute)属性承载所述访问控制列表内容。
如图2所示为本发明实施例一的流程图,其中NAS(Network accessservice)为接入服务网关,在WiMax网络中,为SFA;在WLAN网络中是网关GW,在GPRs网络是服务GPRS支持节点(SGSN)等,图2所示的流程图具有普遍意义,能够表达当前所有电信网络应用ACL机制的基本流程。
此外,还可采用其它的方法实现将访问控制列表(ACL)从AAA服务器下发给NAS,并不限于上述下发的方法,也不限于采用Radius Access Accept消息,还可采用其它的消息,此处不再赘述。
实施例二如图3所示为本发明实施例二的流程图。其中,以WiMax网络为例进行说明。所述访问控制列表ACL设置于网络服务提供商NSP的公共的策略数据库中。所述公共的策略数据库中每个用户终端的策略数据中包含访问控制列表信息。
当对用户终端的接入访问进行控制时,包括步骤当用户终端认证成功后,由所述策略决定功能体PF将所述访问控制列表信息下发给SFA;所述SFA根据所述访问控制列表信息对用户终端的接入进行控制。
其中,所述策略决定功能体PF将访问控制列表信息下发给SFA;包括步骤SFA向策略决定功能体PF发起SFA位置登记请求(AFA-LU-Request)消息;所述策略决定功能体PF从公共的策略数据库中取得该用户终端的访问控制列表信息;所述策略决定功能体PF向SFA回复响应(AFA-LU-Response)消息,其中,该响应消息中携带所述ACL信息。
本实施例中,根据目前WiMax标准当中的SFA位置登记流程中,PF可以利用SFA-LU-Response消息给SFA下发访问控制列表(ACL)信息;但并不限于使用该SFA-LU-Response消息给SFA下发访问控制列表(ACL)信息,也可使用其它消息实现。
采用此方案时,需要修改当前WiMax标准对SFA-LU-Response消息的定义,在消息内容中增加ACL信息。然后SFA根据取得的ACL对此用户的接入访问进行控制。
虽然以WiMax网络对上述实施例进行说明,但该方法不仅仅限定于WiMax网络,还可适用于WLAN、GSM、GPRS、WCDMA、CDMA2000网络。由于采用的流程类似,此处不再赘述。
上述实施例仅用于说明本发明,而非用于限定本发明。
权利要求
1.一种通信网络中对用户的接入访问进行控制的方法,其特征在于,于所述通信网络中设置一访问控制列表,使得该通信网络根据所述访问控制列表对用户终端的接入访问进行控制。
2.根据权利要求1所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述访问控制列表设置于鉴权、授权、计费服务器的内置或外置的策略数据库中。
3.根据权利要求2所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,对用户终端的接入访问进行控制,包括步骤在用户终端认证成功后,鉴权、授权、计费服务器将所述用户终端的访问控制列表下发给接入服务网关;所述接入服务网关根据所述访问控制列表对用户终端的接入进行控制。
4.根据权利要求3所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述鉴权、授权、计费服务器利用认证过程最后的成功接入消息将所述用户终端的访问控制列表下发给接入服务网关。
5.根据权利要求4所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述认证过程消息使用Radius或Diameter协议承载。
6.根据权利要求5所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述认证过程最后的成功接入消息为Radius Access Accept消息。
7.根据权利要求6所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,利用所述Radius Access Accept消息中的厂商自定义属性承载所述访问控制列表内容。
8.根据权利要求1所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述访问控制列表设置于网络服务提供商的公共的策略数据库中。
9.根据权利要求8所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述公共的策略数据库中每个用户终端的策略数据中包含访问控制列表信息。
10.根据权利要求9所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,对用户终端的接入访问进行控制,包括步骤当用户终端认证成功后,由所述策略决定功能体将所述访问控制列表信息下发给接入服务网关;所述接入服务网关根据所述访问控制列表信息对用户终端的接入进行控制。
11.根据权利要求10所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述策略决定功能体将访问控制列表信息下发给接入服务网关,包括步骤接入服务网关向策略决定功能体发起接入服务网关位置登记请求消息;所述策略决定功能体从公共的策略数据库中取得该用户终端的访问控制列表信息;所述策略决定功能体向接入服务网关回复响应消息,其中,该响应消息中携带所述访问控制列表信息。
全文摘要
本发明提供一种通信网络中对用户的接入访问进行控制的方法。该方法为于所述通信网络中设置一访问控制列表,使得该通信网络根据所述访问控制列表对用户终端的接入访问进行控制。通过本发明,在通信网络中引入ACL机制,而且是针对每一个用户终端粒度的访问控制列表机制,使得通信网络能够针对不同用户,提供不同的访问权限;有利于绿色上网等业务的开展,提升运营商提供多种业务的能力。
文档编号H04L12/24GK101039213SQ200610064848
公开日2007年9月19日 申请日期2006年3月14日 优先权日2006年3月14日
发明者陈卫民, 莫君贤 申请人:华为技术有限公司