CN101155055A - 一种下一代网络的用户管理方法和系统 - Google Patents
一种下一代网络的用户管理方法和系统 Download PDFInfo
- Publication number
- CN101155055A CN101155055A CNA2006100629305A CN200610062930A CN101155055A CN 101155055 A CN101155055 A CN 101155055A CN A2006100629305 A CNA2006100629305 A CN A2006100629305A CN 200610062930 A CN200610062930 A CN 200610062930A CN 101155055 A CN101155055 A CN 101155055A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- acting server
- proxy
- next generation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种涉及电通信技术的下一代网络的用户管理方法和系统,其方法为:A.在下一代网络NGN的网络配属子系统NASS中,设立代理服务器的代理管理数据库,根据所述的代理管理数据库确定代理服务器的服务设置,B.用户通过代理服务器实现相应业务使用,该系统包括网络配属子系统NASS,网络配属子系统NASS中具有认证服务器、代理服务器和用户管理数据库,其特征在于:还包括代理管理数据库,代理管理数据库和用户管理数据库分别为代理服务器和用户的网络设置数据,认证服务器根据所述的代理管理数据确定代理服务器的服务设置,代理服务器完成用户接入网络业务的实施,本发明认证服务器对代理服务器具有多方面的管理功能,可靠性高,实用性强。
Description
技术领域
本发明涉及电通信技术,尤其涉及一种下一代网络的用户管理方法和系统。
背景技术
下一代网络(NGN:Next Generation Network)为用户提供了比以前的网络更丰富灵活的业务,对于用户的管理是必须解决的关键技术。在NGN中,网络配属子系统(NASS:Network Attachment Subsystem)用于对所有用户提供统一的管理,在用户管理中,用户的可靠性和安全性是用户管理中的重要组成部分。
现有的NASS基本结构如图1所示,它包括认证服务器1、代理服务器2和用户管理数据库4,NASS中用户认证是通过认证服务器1从用户管理(User Profile)数据库4中取得用户3的数据,根据用户管理(UserProfile)数据库4的数据得到该用户3的相关信息,对用户3进行质量服务和安全限制方面的授权。
代理服务器2把用户3的各种请求转发给认证服务器1,同时把认证服务器1的应答也转发给相应的用户3,用户3通过代理服务器2与认证服务器1进行联系,获得认证。认证通过的用户3,代理服务器2会通过认证服务器1从用户管理(User Profile)数据库4中取得用户3数据,即获得用户3的User Profile,然后根据其中的信息对该用户3进行质量服务和安全限制方等面的管理和控制。现有的用户管理数据库4所包括的数据如表1所示:
| 现有用户管理(User Profile)数据库 | |
| 注册标识号Subscriber ID | 请求IP连接的用户的标识The identity of the subscriber requestingIP connectivity. |
| 全球唯一地址Globally Unique Address | |
| ---指定的IP地址Assigned IP Address | 绑定的用户设备IP地址The IP address of the attached userequipment. |
| ---地址域Address Realm | 有效的IP地址地址区间The addressing domain in which the IPaddress is significant. |
| 逻辑访问标识号Logical Access ID | 由绑定的终端设备所使用的逻辑访问的标识The identity of the logical access used bythe attached terminal equipment. |
| QoS信息(可选)QoS Profile Information(optional) | |
| ---传输服务类别Transport Service Class | 绑定用户申请的传输服务类别The transport service class subscribed bythe attached user. |
| ---上行链路带宽UL Subscribed Bandwidth | 绑定用户申请的往上行方向的最大带宽The maximum amount of bandwi dth subscribedby the attached user in the uplinkdirection. |
| ---下行链路带宽DL Subscribed Bandwidth | 绑定用户申请的往下行方向的最大带宽The maximum amount of bandwidth subscribedby the attached user in the downlinkdirection. |
| ---最高优先级Maximum priority | 为任何保留请求所允许的最高优先级The maximum priority allowed for anyreservation request |
| ---应用类别标识号Application class ID | 允许QoS的应用类别标识Identifies the application class(-es)thatare allowed for the QoS profile. |
| ---服务分区(可选)Service Partition(optional) | 定义传输服务类别的分区Defines the partition of the transportservice class |
| 现有用户管理(User Profile)数据库 | |
| 初始网关设置(可选)Initial Gate Setting(optional) | |
| ---被允许的目的地列表List of allowedDestinations | 可发送通行的默认目的IP地址、端口、前缀和端口区间的列表The list of default destination IPaddresses,ports,prefixes and port rangesto which traffic can be sent. |
| ---上行链路默认带宽UL Default Bandwidth | 对于上行链路缺乏明确授权时的最大可用带宽The maximum amount of bandwidth that can beused without explicit authorization in theuplink direction. |
| ---下行链路默认带宽DL Default Bandwidth | 对于下行链路缺乏明确授权时的最大可用带宽The maximum amount of bandwidth that can beused without explicit authorization in thedownlink direction. |
| ---应用捆绑Applications bundling | 明确NASS服务有权使用的应用列表The list of applications that thesubscription to the NASS services givesimplicit access to. |
表1
现有技术的基本控制流程如下:
(1)认证服务器1和代理服务器2之间通过认证、授权和计费(AAA:Authentication,Authorization and Accounting)、远程认(验)证拔号用户服务(RADIUS:Remote Authentication Dial-In UserService)或下一代AAA协议(Diameter)等协议,建立二者的信任关系。
(2)用户3发出申请接入网络的请求,代理服务器2负责把请求转发到认证服务器1。
(3)认证服务器1对用户3进行认证,如果用户3通过认证,认证服务器1则从用户轮廓数据库4中得到用户策略,下发给代理服务器2;否则,向用户3反馈拒绝消息。
(4)用户3通过代理服务器2连至相应的业务网络。
在现有技术中,代理服务器2和认证服务器1之间仅通过已有的(AAA、RADIUS或Diameter)协议来保证认证,认证服务器1对代理服务器2缺乏全面的管理。
发明内容
本发明的目的在于提供一种下一代网络的用户管理方法和系统,以解决现有技术中认证服务器对代理服务器缺乏全面管理的问题。
本发明所采用的下一代网络的用户管理方法,其特征在于:它采用如下步骤:
A、在下一代网络NGN的网络配属子系统NASS中,设立代理服务器的代理管理数据库,根据所述的代理管理数据库确定代理服务器的服务设置;
B、用户通过代理服务器实现相应业务使用。
所述的步骤A包括如下步骤:
A1、代理服务器和认证服务器之间通过通讯协议,建立信任关系,认证服务器对代理服务器进行认证,并从代理管理数据库取得代理管理数据,其中,
所述的代理管理数据库至少包括代理服务器标识号ProxyID和QoS信息,其中,
所述的代理服务器标识号ProxyID反映该代理服务器接入认证服务器的相应唯一号;
所述的QoS信息反映该代理服务器的所有用户可以被施行的质量服务;
A2、认证服务器把认证通过后的代理管理数据,从代理管理数据库中取出,发给代理服务器本地保存。
所述的步骤A1中,所述的代理管理数据库中还包括安全信息,所述的安全信息包括基于五元组和虚拟网识别号VLAN ID的访问控制列表(ACL:Access Control List)。
所述的步骤A1中,所述的代理管理数据库中还包括该代理服务器允许代理的最大用户数量。
所述的步骤A1中,所述的QoS信息中包括流量工程参数,所述的步骤A2中,对代理服务器提供QoS保证时,通过流量工程来确保认证服务器和代理服务器之间数据的QoS。
所述的步骤B包括如下步骤:
B1、用户通过代理服务器向认证服务器发出申请接入网络的请求;
B2、认证服务器根据用户管理数据库对所述的用户进行认证,将用户管理数据库中的用户策略下发给代理服务器;
B3、代理服务器根据得到的用户策略,对用户接入网络的业务实施相应的控制;
B4、用户根据该用户策略使用相应的业务。
所述的步骤B2中,所述的用户管理数据库中增设计费类型、流量工程参数、安全信息,所述的安全信息包括访问控制列表ACL和最大连接数量。
所述的步骤B2包括如下步骤:
B21、认证服务器对所述用户进行认证,进行如下操作:
B211、若用户通过认证,继续如下步骤B22;
B212、否则,认证服务器通过代理服务器向用户反馈拒绝消息。
B22、认证服务器从用户管理数据库中得到用户策略,下发给用户代理,所述的用户策略包括用户计费方式、用户电信级可靠性服务、用户安全策略。
所述的步骤B21中,所述的认证服务器对用户进行认证前,还包括代理服务器检查的接入用户总数,若超过最大用户数量时,代理服务器拒绝该用户的认证。
所述的步骤B2中,还包括认证服务器将代理管理数据库中的代理策略下发给代理服务器。
本发明所采用的下一代网络的用户管理系统,包括网络配属子系统NASS,网络配属子系统NASS中具有认证服务器、代理服务器和用户管理数据库,所述的认证服务器对用户进行认证,所述的代理服务器将用户的请求转发给认证服务器,同时将认证服务器的应答转发给相应的用户,其特征在于:
还包括代理管理数据库,所述的代理管理数据库和用户管理数据库分别为代理服务器和用户的网络设置数据;
所述的认证服务器根据所述的代理管理数据库确定代理服务器的服务设置;
所述的代理服务器完成用户接入网络业务的实施。
所述的认证服务器对代理服务器进行认证,认证服务器和代理服务器根据代理管理数据中的QOS策略提供相应的QoS保证。
所述的代理服务器根据代理策略对接入的用户数量进行管理,当超过代理服务器允许接入的最大用户数量时,拒绝新的用户接入。
所述的认证服务器将用户管理数据库中的用户策略下发给代理服务器,所述的用户策略包括用户计费方式、用户电信级可靠性服务、用户安全策略。
所述的代理服务器根据用户计费方式,采集QoS流量信息;根据用户的可靠性策略,对用户的带宽和主线路进行保护;根据用户所定制的安全策略实施访问;根据从认证服务器取得的代理策略,对该代理服务器下的所有用户实施相应策略。
本发明的有益效果为:在本发明中,在下一代网络NGN的网络配属子系统NASS中,设立代理服务器的代理管理数据库,根据代理管理数据库确定代理服务器的服务设置,通过代理管理数据库,认证服务器可对所有代理服务器的功能进行管理和限定,例如,通过对代理服务器进行认证、加密、QOS、备份、负载分担等,更好的管理认证代理,提供NGN网络的安全性和可靠性,根据其中的安全信息和QoS信息,行使对应的QoS、安全等功能,在QoS轮廓信息中设置流量工程参数,对代理服务器提供QoS保证时,就可以通过流量工程(TE:Traffic Engineering)来确保认证服务器和代理服务器之间数据的QoS,使本发明中认证服务器对代理服务器具有多方面的管理功能,且采用流量工程的QoS保证提高了本发明的可靠性。
在本发明中,通过建立并保存代理管理数据库,利用其中的安全信息,对于系统的安全性保障则不仅仅局限于初始网管设置(目的IP地址、网段和端口范围、用户可以访问的范围),本发明可以根据基于五元组、VLAN ID等各种信息的访问控制列表(ACL:Access Control List)来进行安全管理,进一步提高了本发明的安全性。
在本发明中,用户管理数据库包括计费类型,通过计费类型可以进行计费的定义,这样代理服务器可以确定是否为该用户提供QOS计数,提高本发明的实用性。
具体地说,本发明具有如下优点:
1)本发明通过提供针对代理服务器的QoS,为代理服务器和认证服务器之间的信息提供QoS保证,从而提高用户认证的服务质量,通过提供TE带宽保护,自动部署电信级可靠性的接入服务,为用户提供更高质量的服务。
2)本发明通过提供更精细的安全策略,保护网络安全,同时对于“受限用户”,比如儿童帐号,可以提供更好的安全措施。
3)本发明通过用户计费模式,使网络接入设备能清楚用户的计费方式,并对相应的计费方式提供相应的处理,比如对于基于QoS流量或业务流量计费的用户,接入设备将提供基于用户的QoS流量或者业务流量的统计,使计费功能得到自动的部署,对不需要该功能的用户不比做相应处理,节省设备的资源,并能更精细的控制用户的计费管理;
4)本发明通过提供代理服务器的最大用户数量,可以防止非法用户的攻击,保证网络安全。
附图说明
图1为现有技术NASS基本结构示意图;
图2为本发明NASS基本结构示意图;
图3为本发明基本控制流程示意图;
图4为本发明具体控制流程示意图。
具体实施方式
下面根据附图和实施例对本发明作进一步详细说明:
根据图2,本发明包括网络配属子系统NASS,网络配属子系统NASS中具有认证服务器1、代理服务器2、用户管理数据库4和代理管理数据库5,代理管理(Proxy Profile)数据库5和用户管理(User Profile)数据库4分别为代理服务器2和用户3的网络设置数据。
在本发明中,如下表2所示,代理管理数据库5包括代理服务器标识号、物理访问标识号、逻辑访问标识号、访问网络类型、全球唯一IP地址、用户管理信息、QoS信息、安全信息和初始网关设置,其中:
代理服务器标识号ProxyID反映该代理服务器接入认证服务器的相应唯一标志。
安全信息包括基于五元组和虚拟网识别号VLAN ID的访问控制列表ACL和最大连接数量。
QoS信息反映该代理服务器的所有用户可以被施行的分层质量服务,还包括上行链路带宽和下行注册带宽。
| 本发明代理管理(Proxy Profile)数据库 | |
| 代理服务器标识号ProxyID | 请求IP连接的代理的标识The identity of the proxyer requesting IPconnectivity. |
| 物理访问标识号(可选)Physical Access ID(optional) | 连接于用户设备的物理访问的标识The identity of the physical access to whichthe user equipment is connected |
| 逻辑访问标识号Logical Access ID | 连接于用户设备的逻辑访问的标识The identity of the logical access to whichthe user equipment is connected. |
| 本发明代理管理(Proxy Profile)数据库 | |
| 访问网络类型Access Network Type | 提供给代理设备用于IP连接的访问网络的类型The type of access network over which IPconnectivity is provided to the proxyequipment. |
| 全球唯一IP地址Globally Unique IP Address | |
| ---指定的IP地址AssignedIP Address | 绑定的用户设备IP地址The IP address of the attached proxyequipment. |
| ---地址域Address Realm | 有效IP地址区间The addressing domain in which the IP addressis significant. |
| 用户管理信息User Management ProfileInformation | |
| ---最大用户数量Max user number | 该代理服务器所支持的最大用户的数量The maximum amount of users supported by thisproxy |
| QoS信息(可选)QoS Profile Information(optional) | 对于该代理服务器的所有用户可以被施行的分层质量服务For all users of this proxy,can beimplemented by Hqos(Hierarchy Quality ofService) |
| ---传输服务类别Transport Service Class | 绑定代理注册的传输服务类别The transport service class subscribed by theattached proxyer. |
| ---上行链路注册带宽UL Subscribed Bandwidth | 绑定代理注册的往上行方向的最大带宽The maximum amount of bandwidth subscribed bythe attached proxyer in the uplink direction. |
| ---下行链路注册带宽DL Subscribed Bandwidth | 绑定代理注册的往下行方向的最大带宽The maximum amount of bandwidth subscribed bythe attached proxyer in the downlinkdirection. |
| ---流量工程注册参数TE Subscribed Parameter | 流量工程参数包括备份通道的数量,每个通道的带宽、优先级等The TE parameter include the number of backuptunnel,every tunnel’s band width,priorityetc. |
| 本发明代理管理(Proxy Profile)数据库 | |
| ---最高优先级Maximum priority | 为任何保留请求所允许的最高优先级The maximum priority allowed for anyreservation request |
| ---应用类别标识号Application classID | 允许QoS的应用类别标识Identifies the application class(-es)thatare allowed for the QoS profile. |
| ---服务分区(可选)Service Partition(optional) | 定义传输服务类别的分区Defines the partition of the transportservice class |
| 安全信息(可选)Security Profile Information(optional) | |
| ---ACL列表List of ACL | 采用ACL,包括五元组和虚拟网等控制与保护用户Control and protect user by ACL,include 5dimension,vlan etc. |
| ---最大会话数量Max session number | 网络间最大会话数量The maximum of session with others throughnetwork, |
| 初始网关设置(可选)Initial Gate Setting(optional) | |
| ---被允许的目的地列表List of allowedDestinations | 可发送通行的默认目的IP地址、端口、前缀和端口区间的列表The list of default destination IP addresses,ports,prefixes and port ranges to whichtraffic can be sent. |
| ---上行链路默认带宽UL Default Bandwidth | 对于上行链路缺乏明确授权时的最大可用带宽The maximum amount of bandwidth that can beused without explicit authorization in theuplink direction. |
| ---下行链路默认带宽DL Default Bandwidth | 对于下行链路缺乏明确授权时的最大可用带宽The maximum amount of bandwidth that can beused without explicit authorization in thedownlink direction. |
表2
如下表3所示,本发明的用户(User Profile)数据库4增设了计费类型、流量工程参数、安全信息,安全信息包括访问控制列表ACL和最大会话数量。
| 本发明用户(User Profile)数据库 | |
| 用户标识号Subscriber ID | 请求IP连接的用户的标识The identity of the subscriber requestingIPconnectivity. |
| 物理访问标识号(可选)Physical Access ID(optional) | 连接于用户设备的物理访问的标识The identity of the physical access to whichthe user equipment is connected |
| 逻辑访问标识号Logical Access ID | 连接于用户设备的逻辑访问的标识The identity of the logical access to whichthe user equipment is connected. |
| 访问网络类型Access Network Type | 提供给用户设备用于IP连接的访问网络的类型The type of access network over which IPconnectivity is provided to the userequipment. |
| 全球唯一IP地址Globally UniqueIP Address | |
| ---指定的IP地址Assigned IP Address | 绑定的用户设备IP地址The IP address of the attached user equipment. |
| ---地址域Address Realm | 有效的IP地址区间The addressing domain in which the IP addressis significant. |
| 计费类型Accounting Type | 对于用户的计费方式,例:按月、按流量、按QoS流量、按业务等For user accounting example:by month,byflow,by QoS flow,by business etc. |
| QoS信息(可选)QoS Profile Information(optional) | |
| ---传输服务类别Transport Service Class | 绑定用户注册的传输服务类别The transport service class subscribed by theattached user. |
| 本发明用户(User Profile)数据库 | |
| ---上行链路注册带宽UL Subscribed Bandwidth | 绑定用户申请的往上行方向的最大带宽The maximum amount of bandwidth subscribed bythe attached user in the uplink direction. |
| ---下行链路注册带宽DL Subscribed Bandwidth | 绑定用户申请的往下行方向的最大带宽The maximum amount of bandwidth subscribed bythe attached user in the downlink direction. |
| ---流量工程参数TE Subscribed Parameter | 流量工程参数包括备份通道的数量,每个通道的带宽、优先级等The TE parameter include the number of backuptunnel,every tunnel’s band width,priorityetc. |
| ---最高优先级Maximum priority | 为任何保留请求所允许的最高优先级The maximum priority allowed for anyreservation request |
| ---应用类别标识号Application class ID | 允许QoS的应用类别标识Identifies the application class(-es)thatare allowed for the QoS profile. |
| ---服务分区(可选)Service Partition(optional) | 定义传输服务类别的分区Defines the partition of the transportservice class |
| 安全信息(可选)Security Profile Information(optional) | |
| ---带动作的ACL列表List of ACL with Action | 采用ACL,包括五元组和虚拟网等控制与保护用户,动作为拒绝或允许等Control and protect user by ACL,include 5dimension,vlan etc.Act ion is refuse orpermit etc. |
| ---最大会话数量Max session number | 网络间最大会话数量The maximum of session with others throughnetwork, |
| 初始网关设置(可选)Initial Gate Setting(optional) | |
| ---被允许的目的地列表List of allowedDestinations | 可发送通行的默认目的IP地址、端口、前缀和端口区间的列表The list of default destinationIP addresses,ports,prefixes and port ranges to whichtraffic can be sent. |
| 本发明用户(User Profile)数据库 | |
| ---上行链路默认带宽UL Default Bandwidth | 对于上行链路缺乏明确授权时的最大可用带宽The maximum amount of bandwidth that can beused without explicit authorization in theuplink direction. |
| ---下行链路默认带宽DL Default Bandwidth | 对于下行链路缺乏明确授权时的最大可用带宽The maximum amount of bandwidth that can beused without explicit authorization in thedownlink direction. |
表3
如图2所示,认证服务器1对用户3进行认证,代理服务器2将用户3的请求转发给认证服务器1,同时将认证服务器1的应答转发给相应的用户,认证服务器1对代理服务器2进行认证,并根据代理轮廓数据库5对代理服务器2提供相应的QoS保证,认证服务器1根据代理管理数据库5确定代理服务器2的服务设置,代理服务器2完成用户3接入网络业务的实施。
如图2所示,认证服务器1还通过对代理服务器2的接入数量的检查,根据代理服务器2的最大用户数量(Max user number)决定用户3的认证合法性。
如图2所示,认证服务器1将用户管理数据库4中的用户策略和代理轮廓数据库5中的代理策略下发给代理服务器2,用户策略包括用户计费方式、用户电信级可靠性服务、用户安全策略等,具体地,代理服务器2根据用户3计费方式,采集QoS的流量信息;根据用户3的可靠性策略,对用户3的带宽和主线路进行保护;根据用户3所定制的安全策略实施访问控制;根据从认证服务器1取得的代理策略,对该代理服务器2下的所有用户3实施相应策略。
如图3所示,本发明的基本控制流程如下:
I.代理服务器2和认证服务器1之间通过通讯协议进行认证,建立信任关系,认证服务器1对代理服务器2进行认证,建立并保存代理管理数据库5。
II.认证服务器1根据代理管理数据库5,对代理服务器2提供相应的QoS保证,并向代理服务器2发出相应通知。
III.用户3通过代理服务器2实现相应业务使用。
如图4所示,本发明的具体控制流程如下:
1.代理服务器2和认证服务器1之间通过IP传输网络进行交换,建立信任关系,认证服务器1对代理服务器2进行认证,建立并保存代理管理数据库5,代理管理数据库5包括代理服务器标识号、物理访问标识号、逻辑访问标识号、访问网络类型、全球唯一IP地址、用户管理信息、QoS信息、安全信息和初始网关设置等,。
2.认证服务器1根据代理数据库5,通过流量工程TE来确保认证服务器1和代理服务器2之间数据的QoS,并向代理服务器2发出相应通知。
3.用户3通过代理服务器2向认证服务器1发出申请接入网络的请求,该请求包括用户3的注册标识号、密码等信息,请求允许自己使用申请的业务,代理服务器2将该请求转发到认证服务器1。
4.认证服务器1收到请求后,检查代理服务器2的接入数量,根据代理管理数据库5中的最大用户数量(Max user number),决定用户3的认证合法性,进行如下操作:
41.若代理服务器2所接入的数量超过最大用户数量时,则表示对用户3的认证不合法,认证服务器1拒绝用户3的认证通过,认证服务器1通过代理服务器2向用户3反馈拒绝消息。
42.否则,表示对用户3的认证合法,继续如下步骤5。
5.认证服务器1对用户3进行认证,认证可以采用AAA/RADIUS等,进行如下操作:
51.若认证未通过,认证服务器1通过代理服务器2向用户3反馈拒绝消息。
52.若认证通过,继续如下步骤6。
6.认证服务器1将用户轮管理据库4中的用户策略和代理管理数据库5中的代理策略下发给代理服务器2。
7.代理服务器2根据得到的用户策略和代理策略,对用户3接入网络的业务实施相应的控制,具体的控制可包括:
代理服务器2根据用户3计费方式,采集QoS的流量信息。
代理服务器2根据用户3的可靠性策略,对用户3的带宽和主线路进行保护。
代理服务器2根据用户3所定制的安全策略实施访问控制,例如,用户3是儿童,其父母为其申请的帐户中定义好了可以访问的WEB站点(通过用户管理数据库4中的安全轮廓信息体现),这样,该儿童就不能访问一些不该访问的站点了。
代理服务器2根据从认证服务器1取得的代理策略,对该代理服务器2下的所有用户3实施相应策略。
8.用户3根据用户策略实现对业务的使用,通过代理服务器2连接至相应的业务网络。
Claims (15)
1.一种下一代网络的用户管理方法,其特征在于:它采用如下步骤:
A、在下一代网络NGN的网络配属子系统NASS中,设立代理服务器
的代理管理数据库,根据所述的代理管理数据确定代理服务器的服务设置和执行的功能;
B、用户通过代理服务器实现相应业务使用。
2.根据权利要求1所述的下一代网络的用户管理方法,其特征在于:
所述的步骤A包括如下步骤:
A1、代理服务器和认证服务器之间通过通讯协议,建立信任关系,认证服务器对代理服务器进行认证,并从代理管理数据库取得代理管理数据;
所述的代理管理数据库至少包括代理服务器标识号ProxyID和QoS信息,其中,
所述的代理服务器标识号反映该代理服务器接入认证服务器的相应唯一标志;
所述的QoS信息反映该代理服务器的所有用户可以被施行的质量服务;
A2、认证服务器把认证通过后的代理管理数据,从代理管理数据库中取出,发给代理服务器本地保存。
3.根据权利要求2所述的下一代网络的用户管理方法,其特征在于:
所述的步骤A1中,所述的代理管理数据库中还包括安全信息,所述的安全信息包括基于五元组和虚拟网识别号的访问控制列表。
4.根据权利要求2所述的下一代网络的用户管理方法,其特征在于:
所述的步骤A1中,所述的代理管理数据库中还包括该代理服务器允许代理的最大用户数量。
5.根据权利要求2所述的下一代网络的用户管理方法,其特征在于:
所述的步骤A1中,所述的QoS信息中包括流量工程参数,所述的步骤A2中,对代理服务器提供QoS保证时,通过流量工程来确保认证服务器和代理服务器之间数据的QoS。
6.根据权利要求1-5中任意一项所述的下一代网络的用户管理方法,其特征在于:所述的步骤B包括如下步骤:
B1、用户通过代理服务器向认证服务器发出申请接入网络的请求;
B2、认证服务器根据用户管理数据库对所述的用户进行认证,将用户管理数据库中的用户策略下发给代理服务器;
B3、代理服务器根据得到的用户策略,对用户接入网络的业务实施相应的控制;
B4、用户根据该用户策略使用相应的业务。
7.根据权利要求6所述的下一代网络的用户管理方法,其特征在于:
所述的步骤B2中,所述的用户管理数据库中增设计费类型、流量工程参数、安全信息,所述的安全信息包括访问控制列表ACL和最大连接数量。
8.根据权利要求7所述的下一代网络的用户管理方法,其特征在于:所述的步骤B2包括如下步骤:
B21、认证服务器对所述用户进行认证,进行如下操作:
B211、若用户通过认证,继续如下步骤B22;
B212、否则,认证服务器通过代理服务器向用户反馈拒绝消息;
B22、认证服务器从用户管理数据库中得到用户策略,下发给用户代理,所述的用户策略包括用户计费方式、用户电信级可靠性服务、用户安全策略。
9.根据权利要求8所述的下一代网络的用户管理方法,其特征在于:所述的步骤B21中,所述的认证服务器对用户进行认证前,还包括代理服务器检查的接入用户总数,若超过最大用户数量时,代理服务器拒绝该用户的认证。
10.根据权利要求6所述的下一代网络的用户管理方法,其特征在于:所述的步骤B2中,还包括认证服务器将代理管理数据库中的代理策略下发给代理服务器。
11.一种下一代网络的用户管理系统,包括网络配属子系统NASS,网络配属子系统NASS中具有认证服务器、代理服务器和用户管理数据库,所述的认证服务器对用户进行认证,所述的代理服务器将用户的请求转发给认证服务器,同时将认证服务器的应答转发给相应的用户,其特征在于:
还包括代理管理数据库,所述的代理管理数据库和用户管理数据库分别为代理服务器和用户的网络设置数据;
所述的认证服务器根据所述的代理管理数据库确定代理服务器的服务设置;
所述的代理服务器完成用户接入网络业务的实施。
12.根据权利要求11所述的下一代网络的用户管理系统,其特征在于:
所述的认证服务器对代理服务器进行认证,认证服务器和代理服务器根据代理管理数据中的QOS策略提供相应的QoS保证。
13.根据权利要求11或12所述的下一代网络的用户管理系统,其特征在于:代理服务器根据代理策略对接入的用户数量进行管理,当超过代理服务器允许接入的最大用户数量时,拒绝新的用户接入。
14.根据权利要求11或12所述的下一代网络的用户管理系统,其特征在于:所述的认证服务器将用户管理数据库中的用户策略下发给代理服务器,所述的用户策略包括用户计费方式、用户电信级可靠性服务、用户安全策略。
15.根据权利要求14所述的下一代网络的用户管理系统,其特征在于:
所述的代理服务器根据用户计费方式,采集QoS流量信息;根据用户的可靠性策略,对用户的带宽和主线路进行保护;根据用户所定制的安全策略实施访问;根据从认证服务器取得的代理策略,对该代理服务器下的所有用户实施相应策略。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100629305A CN101155055B (zh) | 2006-09-28 | 2006-09-28 | 一种下一代网络的用户管理方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2006100629305A CN101155055B (zh) | 2006-09-28 | 2006-09-28 | 一种下一代网络的用户管理方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101155055A true CN101155055A (zh) | 2008-04-02 |
| CN101155055B CN101155055B (zh) | 2011-04-27 |
Family
ID=39256513
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006100629305A Expired - Fee Related CN101155055B (zh) | 2006-09-28 | 2006-09-28 | 一种下一代网络的用户管理方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101155055B (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010145445A1 (zh) * | 2009-06-19 | 2010-12-23 | 中兴通讯股份有限公司 | 一种实现分层服务质量业务的装置及方法 |
| CN102215597A (zh) * | 2011-05-30 | 2011-10-12 | 杭州华三通信技术有限公司 | 一种接入策略管理方法和设备 |
| CN102571937A (zh) * | 2010-12-30 | 2012-07-11 | 卡巴斯基实验室封闭式股份公司 | 用于远程管理计算机网络的系统及方法 |
| CN104166812A (zh) * | 2014-06-25 | 2014-11-26 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
| CN104580261A (zh) * | 2015-02-10 | 2015-04-29 | 成都英力拓信息技术有限公司 | 一种适用于物联网的安全方法 |
| CN109076379A (zh) * | 2016-05-13 | 2018-12-21 | 英特尔Ip公司 | 用于避免无线电接口上的显式服务质量信令的机制 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100359900C (zh) * | 2003-07-07 | 2008-01-02 | 中兴通讯股份有限公司 | 实现媒体网关控制协议事务标志分配的系统及方法 |
| CN100531194C (zh) * | 2004-09-07 | 2009-08-19 | 华为技术有限公司 | 分组域业务信号处理系统及其方法 |
| CN100358291C (zh) * | 2004-09-08 | 2007-12-26 | 华为技术有限公司 | 下一代网络中动态协商服务质量的系统及其实现方法 |
| CN100488179C (zh) * | 2005-02-01 | 2009-05-13 | 中兴通讯股份有限公司 | 一种在软交换网络中保证通信服务质量的方法 |
| CN100358321C (zh) * | 2005-03-08 | 2007-12-26 | 华为技术有限公司 | 下一代网络中实现用户请求模式资源预留的方法 |
-
2006
- 2006-09-28 CN CN2006100629305A patent/CN101155055B/zh not_active Expired - Fee Related
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2010145445A1 (zh) * | 2009-06-19 | 2010-12-23 | 中兴通讯股份有限公司 | 一种实现分层服务质量业务的装置及方法 |
| CN102571937A (zh) * | 2010-12-30 | 2012-07-11 | 卡巴斯基实验室封闭式股份公司 | 用于远程管理计算机网络的系统及方法 |
| CN102571937B (zh) * | 2010-12-30 | 2014-10-15 | 卡巴斯基实验室封闭式股份公司 | 用于远程管理计算机网络的系统及方法 |
| CN102215597A (zh) * | 2011-05-30 | 2011-10-12 | 杭州华三通信技术有限公司 | 一种接入策略管理方法和设备 |
| CN102215597B (zh) * | 2011-05-30 | 2016-01-20 | 杭州华三通信技术有限公司 | 一种接入策略管理方法和设备 |
| CN104166812A (zh) * | 2014-06-25 | 2014-11-26 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
| CN104166812B (zh) * | 2014-06-25 | 2017-05-24 | 中国航天科工集团第二研究院七〇六所 | 一种基于独立授权的数据库安全访问控制方法 |
| CN104580261A (zh) * | 2015-02-10 | 2015-04-29 | 成都英力拓信息技术有限公司 | 一种适用于物联网的安全方法 |
| CN104580261B (zh) * | 2015-02-10 | 2018-01-05 | 成都英力拓信息技术有限公司 | 一种适用于物联网的安全方法 |
| CN109076379A (zh) * | 2016-05-13 | 2018-12-21 | 英特尔Ip公司 | 用于避免无线电接口上的显式服务质量信令的机制 |
| CN109076379B (zh) * | 2016-05-13 | 2022-06-10 | 苹果公司 | 用于避免无线电接口上的显式服务质量信令的机制 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101155055B (zh) | 2011-04-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2296213C (en) | Distributed subscriber management | |
| US8108916B2 (en) | User fraud detection and prevention of access to a distributed network communication system | |
| US7389534B1 (en) | Method and apparatus for establishing virtual private network tunnels in a wireless network | |
| US7325058B1 (en) | Method and system for controlling subscriber access in a network capable of establishing connections with a plurality of domain sites | |
| US20070204333A1 (en) | Method and apparatus for selectively enforcing network security policies using group identifiers | |
| WO2008019615A1 (fr) | Procédé, dispositif et système pour authentification d'accès | |
| US8621582B2 (en) | Authentication system | |
| JP3987539B2 (ja) | セッション情報管理方法およびセッション情報管理装置 | |
| CN104009972B (zh) | 网络安全接入的认证系统及其认证方法 | |
| CN101155055A (zh) | 一种下一代网络的用户管理方法和系统 | |
| EP1284558B1 (en) | Method and apparatus for protecting electronic commerce sites from distributed denial-of-service attacks | |
| CN108234677A (zh) | 一种面向多区块链平台的区块链网络节点服务装置 | |
| US20080155678A1 (en) | Computer system for controlling communication to/from terminal | |
| Giuliari et al. | Colibri: a cooperative lightweight inter-domain bandwidth-reservation infrastructure | |
| WO2005067208A1 (en) | Multiple services with policy enforcement over a common network | |
| KR20080037075A (ko) | Ip-기반 통신 네트워크에서 피어-투-피어 서비스를제어하고 그에 대한 요금을 청구하는 방법 및 장치 | |
| EP1721235B1 (de) | Kommunikationssystem und verfahren zur bereitstellung eines mobilen kommunikationsdienstes | |
| Estrin et al. | VISA scheme for inter-organization network security | |
| WO2024107378A1 (en) | Methods, systems, and computer readable media for detecting stolen access tokens | |
| US7409704B1 (en) | System and method for local policy enforcement for internet service providers | |
| CN106454823A (zh) | 网络安全接入的认证方法及其实现该方法的认证系统 | |
| JP3668648B2 (ja) | セッション情報管理方法およびセッション情報管理装置 | |
| CN100477609C (zh) | 实现网络专线接入的方法 | |
| Carpenter et al. | Connecting IPv6 Routing Domains Over the IPv4 Internet | |
| WO2021068685A1 (zh) | 一种通讯电路管理方法、网络设备及存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110427 Termination date: 20190928 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |