CN101039213A - 一种通信网络中对用户的接入访问进行控制的方法 - Google Patents
一种通信网络中对用户的接入访问进行控制的方法 Download PDFInfo
- Publication number
- CN101039213A CN101039213A CN 200610064848 CN200610064848A CN101039213A CN 101039213 A CN101039213 A CN 101039213A CN 200610064848 CN200610064848 CN 200610064848 CN 200610064848 A CN200610064848 A CN 200610064848A CN 101039213 A CN101039213 A CN 101039213A
- Authority
- CN
- China
- Prior art keywords
- access
- control list
- access control
- user terminal
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 35
- 238000004891 communication Methods 0.000 title claims abstract description 25
- 238000013475 authorization Methods 0.000 claims description 7
- 230000008569 process Effects 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 abstract description 10
- 230000001737 promoting effect Effects 0.000 abstract 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000009472 formulation Methods 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明提供一种通信网络中对用户的接入访问进行控制的方法。该方法为:于所述通信网络中设置一访问控制列表,使得该通信网络根据所述访问控制列表对用户终端的接入访问进行控制。通过本发明,在通信网络中引入ACL机制,而且是针对每一个用户终端粒度的访问控制列表机制,使得通信网络能够针对不同用户,提供不同的访问权限;有利于绿色上网等业务的开展,提升运营商提供多种业务的能力。
Description
技术领域
本发明涉及移动通信网络,特别涉及在通信网络中引入接入控制列表(ACL:Access Control List)机制,是针对每一个用户终端粒度的ACL机制,使得通信网络对用户的接入访问进行控制的方法。
背景技术
以下以WiMAX网络为例来说明服务质量框架。
如图1所示,为WiMAX NWG(Network Work Group;网络工作组)标准最新定义的服务质量(QoS:Service of Quality)框架。其中,
SS(Subscriber Station),为用户终端,如支持WiMAX功能的笔记本电脑或者手机;
SFM(Service Flow Management),为业务流管理器,负责建立用户业务流及为此业务流分配无线资源等,在实际网络中,其对应的物理实体就是基站,执行网络服务提供商(NSP:Network Service Provider)下发的Qos策略,如为某用户预流多少带宽等,此功能体存在于接入服务网络(ASN:AccessService Network)中;
SFA(Service Flow Authorization),为业务流授权者,负责给相应的业务流授权,在实际网络中,其对应的物理实体就是接入网网关(GW:Gateway)、基站控制器,执行NsP下发的Qos策略,如为某用户预留多少带宽等,并且将此策略再下发给SFM,此功能体存在于ASN中;
PF(policy function),为策略决定功能体,制定各种详细的Qos策略,此功能体存在于NSP中,在漫游场景中,将会存在拜访PF(Visited PF)和归属PF(Home PF);
AF(Application functions),为应用服务功能体,此功能体主要为PF提供详细的业务信息,以供PF制定具体的Qos策略之用,用户终端SS直接通过应用层协议连接访问AF,AF将会通知PF主动为用户创建业务流,此功能体存在于NSP中;
认证、授权、计费(AAA:Authentication、Authorization、Accounting)数据库用于存放用户签约数据及一些用于认证、授权、计费信息的数据库;
公共策略数据库,就是根据用户的签约信息和一系列策略制定规则,制定相应的Qos、计费等策略的数据库。
但是,在上述现有WiMAX标准的Qos体系中,缺乏这样一种机制,即根据用户终端标识,对此终端的接入访问范围进行控制。因此,现有WiMAX标准的Qos系中不能针对不同用户,提供不同的访问权限。
目前,访问控制列表ACL是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪能些数据包可以收、哪能数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。
访问控制是网络安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法使用和访问;保证网络安全最重要的核心策略之一。访问控制涉及的技术也比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
但是,不论是WiMax网络还是WLAN网络或者是GSM等网络,都缺乏针对用户终端粒度的ACL机制,使得这些网络不能提供针对不同用户级别的接入访问进行控制的业务,不利于绿色上网等业务的开展;不利于提升运营商提供多种业务的能力。
发明内容
鉴于现有技术中存在的不足,本发明提供一种通信网络中对用户的接入访问进行控制的方法,通过在通信网络引入ACL机制,而且是针对每一个用户终端粒度的ACL机制,使得通信网络能够提供针对用户级别的接入访问控制的业务。
本发明提供一种通信网络中对用户的接入访问进行控制的方法,其中,于所述通信网络中设置一访问控制列表(ACL:Access Control List),使得该通信网络根据所述访问控制列表ACL对用户终端的接入访问进行控制。
所述访问控制列表ACL设置于AAA服务器的内置或外置的策略数据库中。
对用户终端的接入访问进行控制,包括步骤:
在用户终端认证成功后,AAA服务器将所述用户终端的访问控制列表ACL下发给接入服务网关;
所述接入服务网关根据所述访问控制列表ACL对用户终端的接入进行控制。
所述AAA服务器利用认证过程最后的成功接入消息将所述用户终端的访问控制列表ACL下发给接入服务网关。
所述认证过程消息使用Radius(Remote Authentication Dial In UserService;拨号用户远程鉴权业务)或Diameter协议承载。
所述认证过程最后的成功接入消息为Radius Access Accept(Radius认证成功)消息。
利用所述Radius Access Accept消息中的厂商自定义(VSA:VendorSpecial Attribute)属性承载所述访问控制列表ACL内容。
所述访问控制列表ACL设置于网络服务提供商的公共的策略数据库中。
所述公共的策略数据库中每个用户终端的策略数据中包含访问控制列表信息。
对用户终端的接入访问进行控制,包括步骤:
当用户终端认证成功后,由所述策略决定功能体将所述访问控制列表信息下发给接入服务网关;
所述接入服务网关根据所述访问控制列表信息对用户终端的接入进行控制。
所述策略决定功能体将访问控制列表信息下发给接入服务网关,包括步骤:
接入服务网关向策略决定功能体发起接入服务网关位置登记请求消息;
所述策略决定功能体从公共的策略数据库中取得该用户终端的访问控制列表信息;
所述策略决定功能体向接入服务网关回复响应消息,其中,该响应消息中携带所述访问控制列表信息。
本发明的有益效果在于,在通信网络中引入ACL机制,而且是针对每一个用户终端粒度的ACL机制,使得通信网络能够针对不同用户,提供不同的访问权限;利于绿色上网等业务的开展,提升运营商提供多种业务的能力。
附图说明
图1为WiMAX网络的服务质量QoS框架示意图;
图2为本发明实施例1的流程图;
图3为本发明实施例2的流程图。
具体实施方式
以下参照附图对本发明进行详细说明。
本发明提供一种通信网络中对用户的接入访问进行控制的方法,其中于所述通信网络中设置一访问控制列表ACL,使得该通信网络根据所述访问控制列表ACL对用户终端的接入访问进行控制。
该方法适用于WiMAX、WLAN、GSM、GPRS、WCDMA、CDMA2000网络。
实施例一
其中,所述访问控制列表设置于鉴权、授权、计费(AAA:Authentication、Authorization、Accounting)服务器的内置策略数据库或外置的策略数据库(Policy Data Base)中。
当对用户终端的接入访问进行控制时,包括步骤:
在用户终端认证成功后,AAA服务器将所述用户终端的访问控制列表ACL下发给接入服务网关NAS;所述NAS根据所述ACL对用户终端的接入进行控制。
其中,本实施例中,所述AAA服务器利用认证过程最后的成功接入消息将所述用户终端的访问控制列表ACL下发给接入服务网关NAS;所述认证过程消息使用Radius或Diameter协议承载;所述认证过程最后的成功接入消息为Radius Access Accept消息。
AAA服务器还可利用所述Radius Access Accept消息中的(VSA:VendorSpecial Attribute)属性承载所述访问控制列表内容。
如图2所示为本发明实施例一的流程图,其中NAS(Network accessservice)为接入服务网关,在WiMax网络中,为SFA;在WLAN网络中是网关GW,在GPRs网络是服务GPRS支持节点(SGSN)等,图2所示的流程图具有普遍意义,能够表达当前所有电信网络应用ACL机制的基本流程。
此外,还可采用其它的方法实现将访问控制列表(ACL)从AAA服务器下发给NAS,并不限于上述下发的方法,也不限于采用Radius Access Accept消息,还可采用其它的消息,此处不再赘述。
实施例二
如图3所示为本发明实施例二的流程图。其中,以WiMax网络为例进行说明。所述访问控制列表ACL设置于网络服务提供商NSP的公共的策略数据库中。所述公共的策略数据库中每个用户终端的策略数据中包含访问控制列表信息。
当对用户终端的接入访问进行控制时,包括步骤:
当用户终端认证成功后,由所述策略决定功能体PF将所述访问控制列表信息下发给SFA;所述SFA根据所述访问控制列表信息对用户终端的接入进行控制。
其中,所述策略决定功能体PF将访问控制列表信息下发给SFA;包括步骤:
SFA向策略决定功能体PF发起SFA位置登记请求(AFA-LU-Request)消息;
所述策略决定功能体PF从公共的策略数据库中取得该用户终端的访问控制列表信息;所述策略决定功能体PF向SFA回复响应(AFA-LU-Response)消息,其中,该响应消息中携带所述ACL信息。
本实施例中,根据目前WiMax标准当中的SFA位置登记流程中,PF可以利用SFA-LU-Response消息给SFA下发访问控制列表(ACL)信息;但并不限于使用该SFA-LU-Response消息给SFA下发访问控制列表(ACL)信息,也可使用其它消息实现。
采用此方案时,需要修改当前WiMax标准对SFA-LU-Response消息的定义,在消息内容中增加ACL信息。然后SFA根据取得的ACL对此用户的接入访问进行控制。
虽然以WiMax网络对上述实施例进行说明,但该方法不仅仅限定于WiMax网络,还可适用于WLAN、GSM、GPRS、WCDMA、CDMA2000网络。由于采用的流程类似,此处不再赘述。
上述实施例仅用于说明本发明,而非用于限定本发明。
Claims (11)
1.一种通信网络中对用户的接入访问进行控制的方法,其特征在于,于所述通信网络中设置一访问控制列表,使得该通信网络根据所述访问控制列表对用户终端的接入访问进行控制。
2.根据权利要求1所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述访问控制列表设置于鉴权、授权、计费服务器的内置或外置的策略数据库中。
3.根据权利要求2所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,对用户终端的接入访问进行控制,包括步骤:
在用户终端认证成功后,鉴权、授权、计费服务器将所述用户终端的访问控制列表下发给接入服务网关;
所述接入服务网关根据所述访问控制列表对用户终端的接入进行控制。
4.根据权利要求3所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述鉴权、授权、计费服务器利用认证过程最后的成功接入消息将所述用户终端的访问控制列表下发给接入服务网关。
5.根据权利要求4所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述认证过程消息使用Radius或Diameter协议承载。
6.根据权利要求5所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述认证过程最后的成功接入消息为Radius Access Accept消息。
7.根据权利要求6所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,利用所述Radius Access Accept消息中的厂商自定义属性承载所述访问控制列表内容。
8.根据权利要求1所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述访问控制列表设置于网络服务提供商的公共的策略数据库中。
9.根据权利要求8所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述公共的策略数据库中每个用户终端的策略数据中包含访问控制列表信息。
10.根据权利要求9所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,对用户终端的接入访问进行控制,包括步骤:
当用户终端认证成功后,由所述策略决定功能体将所述访问控制列表信息下发给接入服务网关;
所述接入服务网关根据所述访问控制列表信息对用户终端的接入进行控制。
11.根据权利要求10所述的通信网络中对用户的接入访问进行控制的方法,其特征在于,所述策略决定功能体将访问控制列表信息下发给接入服务网关,包括步骤:
接入服务网关向策略决定功能体发起接入服务网关位置登记请求消息;
所述策略决定功能体从公共的策略数据库中取得该用户终端的访问控制列表信息;
所述策略决定功能体向接入服务网关回复响应消息,其中,该响应消息中携带所述访问控制列表信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610064848 CN101039213A (zh) | 2006-03-14 | 2006-03-14 | 一种通信网络中对用户的接入访问进行控制的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN 200610064848 CN101039213A (zh) | 2006-03-14 | 2006-03-14 | 一种通信网络中对用户的接入访问进行控制的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101039213A true CN101039213A (zh) | 2007-09-19 |
Family
ID=38889870
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN 200610064848 Pending CN101039213A (zh) | 2006-03-14 | 2006-03-14 | 一种通信网络中对用户的接入访问进行控制的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101039213A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009114982A1 (zh) * | 2008-03-18 | 2009-09-24 | 中兴通讯股份有限公司 | 一种下一代网络架构下组播业务接入控制的方法 |
| CN101938733A (zh) * | 2009-06-30 | 2011-01-05 | 大唐移动通信设备有限公司 | 一种acl的获取方法和设备 |
| CN102473229A (zh) * | 2009-08-28 | 2012-05-23 | 国际商业机器公司 | 访问控制列表的修改 |
| CN102868553A (zh) * | 2012-08-28 | 2013-01-09 | 华为技术有限公司 | 故障定位方法及相关设备 |
| CN101764742B (zh) * | 2009-12-30 | 2015-09-23 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
| CN106685955A (zh) * | 2016-12-28 | 2017-05-17 | 武汉微创光电股份有限公司 | 一种基于Radius的视频监控平台安全认证方法 |
| CN102802169B (zh) * | 2011-05-25 | 2018-01-02 | 中兴通讯股份有限公司 | 一种业务访问控制方法和系统 |
| CN107770119A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种网络准入指定域的控制方法 |
| CN112395586A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 文件访问的控制方法及装置、系统、存储介质、电子装置 |
| CN116049860A (zh) * | 2023-03-06 | 2023-05-02 | 深圳前海环融联易信息科技服务有限公司 | 访问控制方法、装置、计算机设备及存储介质 |
-
2006
- 2006-03-14 CN CN 200610064848 patent/CN101039213A/zh active Pending
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009114982A1 (zh) * | 2008-03-18 | 2009-09-24 | 中兴通讯股份有限公司 | 一种下一代网络架构下组播业务接入控制的方法 |
| CN101938733A (zh) * | 2009-06-30 | 2011-01-05 | 大唐移动通信设备有限公司 | 一种acl的获取方法和设备 |
| CN101938733B (zh) * | 2009-06-30 | 2013-07-31 | 电信科学技术研究院 | 一种acl的获取方法和设备 |
| CN102473229A (zh) * | 2009-08-28 | 2012-05-23 | 国际商业机器公司 | 访问控制列表的修改 |
| CN102473229B (zh) * | 2009-08-28 | 2015-04-01 | 国际商业机器公司 | 访问控制列表的修改 |
| CN101764742B (zh) * | 2009-12-30 | 2015-09-23 | 福建星网锐捷网络有限公司 | 一种网络资源访问控制系统及方法 |
| CN102802169B (zh) * | 2011-05-25 | 2018-01-02 | 中兴通讯股份有限公司 | 一种业务访问控制方法和系统 |
| CN102868553B (zh) * | 2012-08-28 | 2016-03-30 | 华为技术有限公司 | 故障定位方法及相关设备 |
| CN102868553A (zh) * | 2012-08-28 | 2013-01-09 | 华为技术有限公司 | 故障定位方法及相关设备 |
| CN107770119A (zh) * | 2016-08-15 | 2018-03-06 | 台山市金讯互联网络科技有限公司 | 一种网络准入指定域的控制方法 |
| CN106685955A (zh) * | 2016-12-28 | 2017-05-17 | 武汉微创光电股份有限公司 | 一种基于Radius的视频监控平台安全认证方法 |
| CN106685955B (zh) * | 2016-12-28 | 2020-08-25 | 武汉微创光电股份有限公司 | 一种基于Radius的视频监控平台安全认证方法 |
| CN112395586A (zh) * | 2019-08-15 | 2021-02-23 | 奇安信安全技术(珠海)有限公司 | 文件访问的控制方法及装置、系统、存储介质、电子装置 |
| CN116049860A (zh) * | 2023-03-06 | 2023-05-02 | 深圳前海环融联易信息科技服务有限公司 | 访问控制方法、装置、计算机设备及存储介质 |
| CN116049860B (zh) * | 2023-03-06 | 2023-06-02 | 深圳前海环融联易信息科技服务有限公司 | 访问控制方法、装置、计算机设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101039213A (zh) | 一种通信网络中对用户的接入访问进行控制的方法 | |
| CN112437456B (zh) | 一种非公共网络中的通信方法及设备 | |
| CN1186906C (zh) | 无线局域网安全接入控制方法 | |
| CN1266891C (zh) | 无线局域网中用户接入授权的方法 | |
| RU2536374C2 (ru) | Способ, устройство и система для обеспечения доступа к услуге мобильной станцией | |
| US20100041372A1 (en) | System and method for authorizing access to a uma network based on access point identifier | |
| CN101060413A (zh) | 漫游时的策略和计费控制方法及系统 | |
| CN1889499A (zh) | 实现在不同网络之间协商策略信息的方法和系统 | |
| CA2660821A1 (en) | Quality of service provisioning for wireless networks | |
| US8750867B2 (en) | Managing subscriber information | |
| US8151325B1 (en) | Optimizing device authentication by discovering internet protocol version authorizations | |
| WO2008128459A1 (fr) | Procédé pour établir des supports par défaut de réseau sans fil et système pour celui-ci | |
| US8521161B2 (en) | System and method for communications device and network component operation | |
| CN1578487A (zh) | 一种移动终端接入分组网络的方法 | |
| CN100337414C (zh) | 一种宽带码分多址系统中的服务质量协商方法 | |
| WO2018058365A1 (zh) | 一种网络接入授权方法、相关设备及系统 | |
| CN1795656A (zh) | 移动通信系统中的安全通信改向 | |
| CN101043414A (zh) | 一种保证无线局域网和封包数据网关的服务质量配置一致性的方法 | |
| CN101043440A (zh) | 一种WiMAX网络中支持多业务流操作的方法 | |
| CN1870554A (zh) | 一种基站选择接入服务网络网关的方法 | |
| CN101043699A (zh) | 一种支持锚业务流授权功能实体分配业务流标识的方法 | |
| US8315390B2 (en) | Method for admission control of multiple service flows paging in mobile packet domain | |
| CN1604555A (zh) | 实现无线局域网与gsm/gprs系统互通的方法 | |
| CN101031133A (zh) | 一种确定移动节点归属的家乡代理的方法及装置 | |
| CN101043521A (zh) | 一种QoS配置下载的协商方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20070919 |