专利名称:网络接入控制的方法、服务器、用户网络设备和通信系统的制作方法
技术领域:
本发明涉及通信技术领域,具体涉及网络接入控制的方法、服务器、用户网络设备
和通信系统。
背景技术:
随着家庭网关的日益普及和它所提供的业务越来越多样化,运营商对怎样有效地 控制家庭网关开展业务提出了更高要求,即用户只能使用运营商授权开放的功能和业务, 而不允许用户通过私自修改家庭网关的关键配置参数达到非法使用运营商未授权的功能 和业务,甚至脱离运营商控制此设备的目的。 家庭网关一般提供多种配置管理方式,如,远程管理、页面(Web)管理、命令行等
方式。目前运营商主要是通过远程管理方式实现对家庭网关的配置管理和业务发放。运营
商要实现对家庭网关的有效控制,其配置参数或配置文件的安全保护是关键。而现有的通
过管理员用户/密码权限控制或加密配置文件等方式,也并不能确保其配置文件或关键配
置参数不被用户非法修改。如果用户私自修改了家庭网关的相关网管参数,则此设备就完
全脱离了运营商的管理和控制,对后续运营商的业务开展造成很大影响。 在对现有技术的研究和实践过程中,本发明的发明人发现,正常情况下,对登陆家
庭网关实行用户/密码权限控制,即只有管理员用户才能更新配置文件或修改关键配置参
数,但是管理员用户名和密码一旦被泄露或被攻破,用户就可以任意修改其配置,达到非法
使用家庭网关中运营商未授权使用的功能和业务的目的,或者由于修改导致用户设备故障。
发明内容
本发明实施例提供网络接入控制的方法、服务器、用户网络设备和通信系统,可以
防止配置信息被擅自修改的用户网络设备的接入。 本发明实施例提供的一种网络接入控制的方法,包括 接收用户网络设备的业务验证请求;所述业务验证请求中包含所述用户网络设备 根据自身的配置信息计算的摘要值; 根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行 验证; 根据所述验证的结果控制所述用户网络设备的接入。
本发明实施例提供的一种网络接入控制的方法,包括 用户网络设备向网络服务器发送验证请求,所述业务验证请求中包含根据本地配 置信息计算的摘要值;使得所述网络服务器根据所述摘要值对所述用户网络设备进行接入 验证。 本发明实施例提供的一种网络服务器,包括 验证请求接收单元,用于接收用户网络设备的业务验证请求;所述业务验证请求中包含所述用户网络设备根据自身的配置信息计算的摘要值; 验证单元,用于根据保存的摘要值对所述用户网络设备根据自身的配置信息计算 的摘要值进行验证; 接入控制单元,用于根据所述验证单元的验证的结果控制所述用户网络设备的接 入。 本发明实施例提供的一种通信系统,其特征在,包括 用户网络设备,用于请求网络接入,并向网络服务器发送验证请求,所述业务验证 请求中包含根据本地配置信息计算的摘要值; 网络服务器,用于根据保存的摘要值对所述用户网络设备根据自身的配置信息计 算的摘要值进行验证;并根据所述验证的结果控制所述用户网络设备的接入。
本发明实施例提供的一种用户网络设备,包括摘要计算单元,用于根据自身的配 置信息计算的摘要值; 验证请求发送单元,用于向网络服务器发送业务验证请求,所述业务验证请求中 包含所述摘要计算单元计算得到的摘要值,使得所述网络服务器根据所述摘要值对所述用 户网络设备进行接入验证。 本发明实施例采用接收用户网络设备的业务验证请求;所述业务验证请求中包含 所述用户网络设备根据自身的配置信息计算的摘要值;根据保存的摘要值对所述用户网络 设备根据自身的配置信息计算的摘要值进行验证;根据所述验证的结果控制所述用户网 络设备的接入。通过验证用户网络设备根据配置信息计算的摘要值,即使用户设备的管理 员用户/密码被泄露或被攻破,也能够有效防止配置信息被擅自修改的用户网络设备的接 入。
图1是本发明实施例二一种网络接入控制的方法的流程图;
图2是本发明实施例三一种网络接入控制的方法的流程图;
图3是本发明实施例五网络服务器的结构示意图;
图4是本发明实施例六通信系统的结构示意图;
图5是本发明实施例七用户网络设备的结构示意图。
具体实施例方式
本发明实施例提供一种网络接入控制的方法、服务器、用户网络设备和通信系统 以下分别进行详细说明。
实施例一、网络接入控制的方法,包括 接收用户网络设备的业务验证请求;所述业务验证请求中包含所述用户网络设备 根据自身的配置信息计算的摘要值; 根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行 验证; 摘要值的算法可以采取现有的多种常规算法实现,例如信息-摘要算法 5 (Message-Digest Algorithm 5, MD5)、第一代安全散列算法(Secure HashAlgorithm-0,SHA-0)、第二代安全散列算法(SHA-1)、第三代安全散列算法(SHA-2)以及循环冗余检验算 法(CRC)等。 根据所述验证的结果控制所述用户网络设备的接入。 本发明实施例一中,采用接收用户网络设备的业务验证请求;所述业务验证请求 中包含所述用户网络设备根据自身的配置信息计算的摘要值;根据保存的摘要值对所述用 户网络设备根据自身的配置信息计算的摘要值进行验证;根据所述验证的结果控制所述用 户网络设备的接入。通过验证用户网络设备根据配置信息计算的摘要值,即使用户设备的 管理员用户/密码被泄露或被攻破,也能够有效防止配置信息被擅自修改的用户网络设备 的接入。 可以理解,本发明实施例中当运营商初始发放家庭网关业务时或当运营商通过终 端管理系统或其它授权方式修改了家庭网关的配置文件或关键配置参数或设备关键标识 信息时,运营商都需要计算该家庭网关的网关摘要值,并将其记录到业务接入验证系统中。
实施例二、网络接入控制的方法,本发明实施例中,网络侧需要预先保存针对网络 设备的摘要值,摘要值可以在网络设备发放给用户之前预先计算得到,并保存到网络侧,具 体流程图如图2所示,包括 Bl,接收用户网络设备的业务验证请求;所述业务验证请求中包含所述用户网络 设备根据自身的配置信息计算的摘要值; 本发明实施例中的网络设备可以是家庭网关、路由器等用户侧的网络接入设备。
B2,根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进 行验证; 所述所保存的摘要值为根据业务发放时所用的用户网络设备的配置信息计算得 到的摘要值。 具体的验证方式可以为 判断保存的所述用户网络设备的摘要值与所述网络设备发送的摘要值是否一 致; 若一致,则验证通过;若不一致,则验证失败。 可以理解的是,所述摘要值还可以根据设备关键标识信息(如,设备MAC地址,设
备序列号等)和/或用户标识计算生成。即将设备关键标识信息和/或用户标识也可以作 为计算摘要值的参数。 B3,根据所述验证的结果控制所述用户网络设备的接入。 可以理解,若验证不通过,则不下允许所述网络设备的接入。若验证通过,可能还
需要等待对其他验证的结果来决策是否允许所述用户的网络设备接入。 本实施例流程可以在网络设备进行网络接入时触发,如以太网点到点协议(Point
to Point Protocol over Ethernet, PPPoE)拨号或PPP0E代理拨号接入,动态主机配置协
议(Dynamic Host Configuration Protocol, DHCP)地址分配方式接入等。 本发明实施例中,若网络管理设备通过网络修改了用户网络设备的配置信息;则
重新计算所述用户网络设备的新的摘要值;并使用新的摘要值更新对所述保存的摘要值进
行更新。 这里的网络管理设备可以是终端管理系统或者其他可以修改用户网络设备配置
6信息的网络设备,可以理解,当运营商需要修改用户网络设备的配置文件的各种信息时,则
在修改后,需要重新计算该家庭网关的网关摘要值,并将其更新到当前的业务接入验证系
统中覆盖旧的摘要值,以使得接入验证系统可以正常运行。
实施例三,一种网络接入控制的方法,流程图如图2所示,包括 Cl,用户网络设备进行网络接入时,向网络服务器发送验证请求,所述业务验证请
求中包含根据本地配置信息计算的摘要值; C2,网络服务器根据保存的摘要值对所述用户网络设备根据自身的配置信息计算 的摘要值进行验证;并根据所述验证的结果控制所述用户网络设备的接入。
根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行 验证包括 判断保存的所述用户网络设备的摘要值与所述网络设备发送的摘要值是否一 致; 若一致,则验证通过;若不一致,则验证失败。 本发明实施例中,所述所保存的摘要值为根据业务发放时所用的用户网络设备的 配置信息计算得到的摘要值。
可以理解,本发明用户设备发送的验证请求还可以包括常规验证信息; 本实施例方法还可以包括网络服务器对所述常规验证信息进行验证; 所述并根据所述验证的结果控制所述用户网络设备的接入的过程可以包括 若所有验证信息均通过验证,则允许所述用户网络设备接入网络。 本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可
以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储
介质可以包括R0M、RAM、磁盘或光盘等。
实施例四、一种网络接入控制的方法,包括 用户网络设备向网络服务器发送验证请求,所述业务验证请求中包含根据本地配 置信息计算的摘要值;使得所述网络服务器根据所述摘要值对所述用户网络设备进行接入 验证。 本实施例中还可以包括 接收网络服务器根据保存的摘要值对所述用户网络设备发送的摘要值进行验证 的验证结果。 本实施例中,用户网络设备根据本地配置信息计算摘要值,并且发送给网络服务
器针对摘要值进行验证, 一旦用户网络设备的配置信息被擅自修改,则计算出的摘要值将
不能通过验证,防止被修改配置信息的用户网络设备接入网络,给网络资源造成的不必要
的损失,网络侧对用户网络设备的接入控制更加安全有效。 实施例五,一种网络服务器300,结构示意图如图3所示,包括 验证请求接收单元310,用于接收用户网络设备的业务验证请求;所述业务验证
请求中包含所述用户网络设备根据自身的配置信息计算的摘要值; 验证单元320,用于根据保存的摘要值对所述用户网络设备根据自身的配置信息 计算的摘要值进行验证; 接入控制单元330,用于根据所述验证单元的验证的结果控制所述用户网络设备的接入。 本发明实施例四可以运行实施例一至二所述的方法,但不限于运行实施例一至二 的方法。 本实施例五提供的网络服务器可以根据网络设备配置信息计算得到的摘要值对 用户网络设备进行验证,可以防止被修改配置信息的用户网络设备接入网络,给网络资源 造成的不必要的损失,使得网络侧对用户网络设备的接入控制更加安全有效。
实施例六,一种通信系统,结构示意图如图4所示,包括 用户网络设备410,用于请求网络接入,并向网络服务器发送验证请求,所述业务 验证请求中包含根据本地配置信息计算的摘要值; 网络服务器420,用于根据保存的摘要值对所述用户网络设备根据自身的配置信 息计算的摘要值进行验证;并根据所述验证的结果控制所述用户网络设备的接入。
可以理解,本实施例中,所述通信系统还可以包括配置管理服务器,用于根据用 户网络设备的配置信息或和设备关键信息计算生成摘要值,并提供给网络服务器。用于网 络服务器对用户网络设备进行接入验证。 本发明实施例五可以运行实施例一至三所述的方法,但不限于运行实施例一至三 的方法。 本实施例通的通信系统,可以根据网络设备配置信息计算得到的摘要值对用户网 络设备进行验证,可以防止被修改配置信息的用户网络设备接入网络,给网络资源造成的 不必要的损失,使得网络侧对用户网络设备的接入控制更加安全有效。 实施例七, 一种用户网络设备500,包括,摘要计算单元510和验证请求发送单元 520 ; 摘要计算单元510,用于根据自身的配置信息计算的摘要值; 验证请求发送单元520,用于向网络服务器发送业务验证请求,所述业务验证请求 中包含所述摘要计算单元510计算得到的摘要值,使得所述网络服务器根据所述摘要值对 所述用户网络设备进行接入验证。 本实施例提供的用户网络设备可以根据自身的配置信息计算摘要值,并将摘要值 发送到网络侧设备,为网络侧设备通过摘要值对所述用户网络设备进行接入验证提供了支 持,可以防止被修改配置信息的用户网络设备接入网络,给网络资源造成的不必要的损失, 使得网络侧对用户网络设备的接入控制更加安全有效。 以上对本发明实施例所提供的网络接入控制的方法、服务器、用户网络设备和通 信系统进行了详细介绍,其中 本发明一实施例中,采用接收用户网络设备的业务验证请求;所述业务验证请求 中包含所述用户网络设备根据自身的配置信息计算的摘要值;根据保存的摘要值对所述用 户网络设备根据自身的配置信息计算的摘要值进行验证;根据所述验证的结果控制所述用 户网络设备的接入。通过验证用户网络设备根据配置信息计算的摘要值,即使用户设备的 管理员用户/密码被泄露或被攻破,也能够有效防止配置信息被擅自修改的用户网络设备 的接入。 —般情况下,家庭网关初始的管理员用户和密码通常是相同的,不会因为设备而 改变,这些因素都增大了管理员用户/密码被泄露的可能性。
对家庭网关的配置文件或关键配置参数或设备关键标识信息的修改能够被运营 商完全控制,从而保证了运营商对该设备的维护管理和业务发放。实现家庭网关设备与运 营商的绑定。若将家庭网关的设备关键标识信息也纳入生成家庭网关的网关摘要值,则可 以实现家庭网关设备与运营商的绑定,只有该运营商认可的家庭网关设备才能在此运营商 的网络上使用。实现用户与家庭网关设备的绑定。若将家庭网关业务接入验证的用户信息 和设备关键标识信息同时纳入生成家庭网关的网关摘要值,则可以实现用户与家庭网关设 备的绑定,防止其它用户使用该家庭网关设备。 本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说 明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据 本发明的思想,在具体实施方式
及应用范围上均会有改变之处,综上所述,本说明书内容不 应理解为对本发明的限制。
权利要求
一种网络接入控制的方法,其特征在于,包括接收用户网络设备的业务验证请求,所述业务验证请求中包含所述用户网络设备根据自身的配置信息计算的摘要值;根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行验证;根据所述验证的结果控制所述用户网络设备的接入。
2. 如权利要求1所述的方法,其特征在于,所述所保存的摘要值为根据业务发放时所述的用户网络设备的配置信息计算得到的摘要值。
3. 如权利要求1所述的方法,其特征在于,根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行验证包括判断保存的所述用户网络设备的摘要值与所述网络设备发送的摘要值是否一致;若一致,则验证通过;若不一致,则验证失败。
4. 如权利要求1所述的方法,其特征在于,若网络管理设备通过网络修改了用户网络设备的配置信息;则重新计算所述用户网络设备的新的摘要值;并使用新的摘要值更新对所述保存的摘要值进行更新。
5. 如权利要求1至4任意一项所述的方法,其特征在于,所述摘要值还根据设备关键标识信息和/或用户标识计算生成。
6. —种网络接入控制的方法,其特征在于,包括用户网络设备向网络服务器发送验证请求,所述业务验证请求中包含根据本地配置信息计算的摘要值;使得所述网络服务器根据所述摘要值对所述用户网络设备进行接入验证。
7. 如权利要求6所述的方法,其特征在于,还包括接收网络服务器根据保存的摘要值对所述用户网络设备发送的摘要值进行验证的验证结果。
8. —种网络服务器,其特征在于,包括验证请求接收单元,用于接收用户网络设备的业务验证请求,所述业务验证请求中包含所述用户网络设备根据自身的配置信息计算的摘要值;验证单元,用于根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行验证;接入控制单元,用于根据所述验证单元的验证的结果控制所述用户网络设备的接入。
9. 一种通信系统,其特征在于,包括用户网络设备,用于向网络服务器发送验证请求,所述业务验证请求中包含根据本地配置信息计算的摘要值;网络服务器,用于根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行验证;并根据所述验证的结果控制所述用户网络设备的接入。
10. 如权利要求9所述的通信系统,其特征在于,还包括配置管理服务器,用于根据用户网络设备的配置信息或和设备关键信息计算生成摘要值,并提供给网络服务器。
11. 一种用户网络设备,其特征在于,包括摘要计算单元,用于根据自身的配置信息计算的摘要值;验证请求发送单元,用于向网络服务器发送业务验证请求,所述业务验证请求中包含所述摘要计算单元计算得到的摘要值,使得所述网络服务器根据所述摘要值对所述用户网络设备进行接入验证。
全文摘要
本发明公开了网络接入控制的方法、服务器、用户网络设备和通信系统。本发明方法采用接收用户网络设备的业务验证请求;所述业务验证请求中包含所述用户网络设备根据自身的配置信息计算的摘要值;根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行验证;根据所述验证的结果控制所述用户网络设备的接入。通过验证用户网络设备根据配置信息计算的摘要值,即使用户设备的管理员用户/密码被泄露或被攻破,也能够有效防止配置信息被擅自修改的用户网络设备的接入。
文档编号H04L9/32GK101741554SQ20081017709
公开日2010年6月16日 申请日期2008年11月21日 优先权日2008年11月21日
发明者赵世武 申请人:华为终端有限公司