CN101272395B

CN101272395B - 一种通信网络的层次接入控制方法

Info

Publication number: CN101272395B
Application number: CN2008101120039A
Authority: CN
Inventors: 梁满贵; 赵阿群; 张金鑫; 王雪芬
Original assignee: Beijing Jiaotong University
Current assignee: Beijing Jiaotong University
Priority date: 2008-05-20
Filing date: 2008-05-20
Publication date: 2012-07-11
Anticipated expiration: 2028-05-20
Also published as: CN101272395A

Abstract

本发明提供了一种通信网络的层次接入控制方法，属于通信网络领域。所述方法把整个通信网络划分成层次的网域，每个网域设置一个网域服务器，每个网域的每个端口设置一个边境控制器，通过呼叫过程实现身份认证，通过寻由过程实现接纳控制。本发明提供的技术，为通信网络，特别是向量网中的服务计费、QoS机制、网络移动和网络安全等提供了基础性支持。

Description

一种通信网络的层次接入控制方法

技术领域

本发明涉及网络通信领域，特别涉及一种通信网络的接入控制方法。

背景技术

接入控制的目的是区别正在使用网络的用户类型、区别用户当前的访问类型(QoS要求和目的地)、阻止非法用户使用网络、阻止用户超授权使用网络，从而为服务计费、QoS机制、网络移动和网络安全等提供基础性支持。

目前网络中常用的接入控制技术包括PPPoE、Web和802.1x等3种。PPPoE协议是在以太网上传输PPP的一种协议，它通过把PPP的帧再次封装到以太网帧内，在以太网上建立点到点的链路。使用PPPoE协议可以对一条物理链路的每个用户执行单独的链路控制和管理。因此，即使是从同一接口接入的用户，对不同用户可以应用不同的管理策略。PPPoE的不足之处主要有无法穿透3层网络、不适合多播业务以及由于多了一层PPP的封装增加了网络开销。

Web认证是一种基于IP的认证技术，整个认证流程的每一个步骤都需要IP的参与。IP地址提供了对用户的唯一标识，同一条线路的不同用户可以应用不同的管理策略。认证过程可以跨越3层网络。目前Web认证最大的问题在于对浏览器的依赖，由于没有客户端软件，认证过程的很多交互是通过Web页面来完成的，这样就需要浏览器的支持。但由于浏览器经常受到各种攻击，安全性一直以来都没有办法得到保证，使得Web认证的可靠性大大降低。

802.1x是一种以太网的认证技术，是基于端口的接入控制。在认证过程中没有PPP的打包过程，没有IP地址的参与，无法跨越3层网络进行认证。通常情况下，在最接近用户的设备上启用802.1x认证，同一端口不能对不同的用户进行分别控制。802.1x的缺点是用户认证开始时发送的多播数据包在不确定的网络中可能会造成数据大量堆积，影响网络的正常运行，另外由于用于认证的设备一般是成本较低的交换机，其可靠性和安全性都不是很好，抗攻击能力相对来说比较差。

综上现有网络中的接入控制技术存在如下问题：首先，现有的接入控制方法都存在某些方面的不足，而且采用单一技术手段通常不能很好地解决网络用户接入管理的问题；其次，不存在全网统一的接入控制方法，也不存在能够全面支持服务计费、QoS机制、网络移动和网络安全的接入控制方法，在不同的管理域，为了达到不同的目的，往往采用不同的接入控制方法和接入控制系统。

向量网是在总结NGI与NGN理论和实践基础上，集电信网、ATM网、IP网、帧中继、MPLS等技术的优点而提出的一种通信网络。向量网继承了电信网控制面和传送面相分离体制，同IP网、ATM网一样，可用于构建全球网，并能延伸到用户终端。

通信网与网络地址总是联系在一起，常用的网络地址有IP地址、ATM终端地址、ATM交换地址(即VPI/VCI地址)，甚至电话号码、因特网的域名等都是网络地址。各种网络地址的用途和属性不同，有的标识网络对象，有的用于交换路由；有的人使用，便于记忆，有的机器使用，便于存储和处理。

向量网采用一种三加一标识体系：包括名称地址、交换地址、对话口令三个主要标识，外加一个路由地址，共四种标识。名称地址是向量网的标识地址，路由地址是名称地址的别名，名称地址和路由地址在控制面使用；交换地址在传送面使用，必须方便高速简单地交换转发数据，采用向量地址；对话口令是一种呼叫连接标识，接入控制用，是进入领界，占用信道资源的密码口令，动态分配得到。

公开号CN1866972A，发明名称《一种向量网络地址编码方法》给出一种向量地址，是一种不同于IP地址和ATM路径信道地址的交换地址。

在向量网中，转发设备的输入输出端口从1开始用数字编号，称为端口号。向量地址以端口号为编码基础，描述了从信源设备到信宿设备传送数据的通信路径。通信路径信息是端口号组成的序列，路径上的每个转发设备都对应序列中的一个端口号，是通信路径通过该电子设备的输出端口号。以上端口号序列就象一步一步的方向标，引导数据包传送到达信宿设备，所以被称为向量地址，其中的端口号被称为分量地址。

当转发设备从某输入端口收到一个数据包后，检查第一个分量地址，根据检查结果把该数据包发送到第一个分量地址所指定的输出端口，传送出去的数据包不包含第一个分量地址，即第一个分量地址使用以后就从数据包删去，传送出去的数据包的向量地址少了一个分量地址。这就是向量传送网的转发设备的数据交换过程，在此称其为向量交换过程，完成向量交换的转发设备被称为向量交换机。

向量网采用类似“源路由”的数据传送方法，所以在数据通信之前，需要呼叫建立一条通信路径，即建立通信连接，这种通信连接被称为向量连接。

公开号CN101052055A，发明名称《一种向量数据通信网上建立向量连接的方法》，给出了一种向量网上建立向量连接的方法，是向量网的控制面功能的基本部分。

向量连接是向量网的一种通信连接方法，与向量连接有关的信息，特别是记录通信路径的信息，记录在数据包和两端的通信连接控制数据块中，交换机不记录关于每个通信连接的信息，建立向量连接的过程分为两个子过程：

(1)呼叫过程，主叫以被叫的名称地址作为被叫地址，向网络发出呼叫请求，网络根据“网络的树状组织结构”确定主叫通向被叫的呼叫路径，通过这一呼叫路径，双方协商确定通信格式，交换必要的通信连接信息，更新各自的连接信息。

(2)寻由过程，在协商好的通信格式条件下，主叫以被叫路由地址作为目的地址，向网络发出寻由请求，根据可达性评价开始进行分支探索，确定指定数量的P条合理路径，作为寻由结果。

向量网是一种新型的通信网络，没有现成的接入控制技术。本发明的目的主要针对向量网的特点，即根据其控制面功能呼叫和寻由相分离的特点，以及没有类似ICMP反馈控制信息的能力的特点，设计了跨越多个网络，支持信道聚合能力的层次接入控制方法，属于第三层网络的管理技术(层管理)。该层次接入控制方法也可以应用到其他类型的通信网络中。

发明内容

本发明的目的是提供一种通信网络的层次接入控制方法，为通信网络，特别是向量网中的服务计费、QoS机制、网络移动和网络安全等提供了基础性支持。

本发明提供的层次接入控制方法，是在中国发明专利申请公开说明书《一种向量数据通信网上建立向量连接的方法》中给出的向量网上建立向量连接方法的基础上设计的，扩展了其中的呼叫和寻由过程以及相应的数据包格式，其目的是实现身份认证和接纳控制。

在介绍发明的技术方案之前，先定义通信网络、信源、信宿、主叫、被叫、主动寻由端、被寻由端、网域、网域服务器、边境控制器、虚信道和关联网域等概念。

电子设备为了完成或更好地完成它们的任务，常常需要用线缆或通信线路连成一个通信网络，建立网络通信关系，相互交换信息，以便相互协作。在这种电子设备连成的网络中，只有两种实体：节点和链路，每个节点对应一台电子设备，每条链路对应一条通信线路。在此，节点和链路都是实物性的，所以更准确地讲是物理节点和物理链路。

从功能上把物理节点分成两种角色：端站设备和转发设备。端站设备是发送和接收信息的设备，作为发送信息角色时称其为信源，作为接收信息角色时称其为信宿。另一方面，端站设备也是发出呼叫和接受呼叫的设备，主动发起通信请求的端站设备被称为主叫，被动接受通信的端站设备被称为被叫。主动发起寻由请求的端站设备称为主动寻由端，被动接受寻由的端站设备称为被寻由端，主叫可以是主动寻由端，被叫也可以是主动寻由端。转发设备是信息传输的中间设备，在信源设备向信宿设备发送信息的过程中，起信息中转传递的作用，比如IP网的路由器、ATM网的交换机等都是转发设备。实际的一个物理节点在不同的时候，可能扮演不同的角色，比如，一个物理节点它是转发设备，但有时也作为信宿设备接收数据不转发出去。

网域是独立建立和运营管理的网络，是一个完整的第三层服务网，不仅包括网络本身，而且包括接入控制边境和网域服务器，网域服务器主要包括认证服务器、计费服务器和QoS服务器。网域是提供服务和接受服务的基本网络单位，是运营的基本网络单位，它可以是一个很大的网络，也可以只由一台设备构成，比如一台计算机终端。

对于向量网，转发设备就是向量交换机，端站设备就是用户终端或某种服务器，网域所覆盖的网络可以被看作一个等效交换机。这样从网域外部看，一个网域可以被看成“等效交换机+接入控制边境+网域服务器”，接入控制边境由等效交换机的各个端口的边境控制器(记为Q)组成。

虚信道是指具有一定通信能力的一段有向路径。信道端点是终结虚信道的节点，相对于虚信道有信源点和信宿点之分，分别发出和接收数据。一条虚信道穿过的网域被称为该虚信道的关联网域。

本发明的技术方案如下：

一种通信网络的层次接入控制方法，所述方法把整个通信网络划分成层次的网域，每个网域设置一个网域服务器，每个网域的每个端口设置一个边境控制器，通过呼叫过程实现身份认证，通过寻由过程实现接纳控制。所述通信网络主要是指向量网，但也包括其他类型的通信网络。

所述层次的网域，其组织结构的顶层是一片森林，由若干棵树组成，每棵树对应一个网域，树的每个子树也对应一个较小的网域，树的每一片树叶对应一个基本网域，基本网域是不再包含其它网域的网域，一个节点也是一个网域。

所述网域服务器维护User-PW表、Group-Policy表和DialogID-User表三个信息表。所述User-PW表是相对静态的，其记录格式为“User，PW，Group”，其中User为用户名，PW为密码，Group为用户所属的组。所述Group-Policy表也是相对静态的，其记录格式为“Group，Group下的通信资源分配策略和计费策略”，其中通信资源分配策略用来判断通信服务QoS要求是否允许，计费策略影响计费积数折扣计算。所述DialogID-User表是动态的，其记录格式为“DialogID，User，routing，TargetRA，QoSPara”，其中DialogID为用户每次呼叫时生成的对话口令，必须用密码方法分配，无人能造出相同的DialogID，DialogID＝0表示尽力而为通信呼叫，无条件被认证；routing为寻由方向，0表示被叫寻由，1表示主叫寻由；TargetRA为寻由目标的路由地址，当routing为0时TargetRA为主叫路由地址，当routing为1时TargetRA为被叫路由地址；QoSPara为通信服务QoS要求。这些记录项中，DialogID，User和routing由cINVITE提供；当routing为0时TargetRA由cACK进入网域时边界控制器提交得到，当routing为1时TargetRA由c200进入网域时边界控制器提交得到；QoSPara从cACK中获得。

所述边境控制器在需要时维护一个边境记录表，表的记录格式为“DestVaDetailO，BLen，DialogID，CSeq，QoSPara”，其中DestVaDetailO为本Q到信宿点的向量地址，BLen为DestVaDetailO地址长度，CSeq为虚信道编号。这些记录项中，DestVaDetailO，BLen，DialogID和QoSPara均由rINVITE提供，CSeq从rACK得到，或rINVITE一开始就包括。

通过呼叫过程实现身份认证，所述身份认证过程包括以下步骤：

步骤101：主叫生成DialogID，创建一个本地向量连接对象，并向被叫发出呼叫包cINVITE，其格式为“User，PW，DialogID，CommCapabilityReq，CalleeTA，routing”。所述本地向量连接对象是存储在端站设备(即主叫和被叫)的一种控制数据块，记录通信连接有关的信息。cINVITE中的CommCapabilityReq为主叫要求的通信格式和通信服务QoS要求集合，CalleeTA为被叫的名称地址。

步骤102：呼叫路径上的每个网域对cINVITE进行认证，如果认证不成功，向所述主叫回应失败原因，如果认证成功，在当前认证的网域之网域服务器注册DialogID，在DialogID-User表中增加一条记录，然后以新的User和PW继续向被叫传递cINVITE，即继续随后网域的呼叫和认证过程，直至到达所述被叫。认证时根据DialogID或User/PW进行认证，新的User和PW为该网域在下一网域注册的用户名和密码。

步骤103：所述被叫收到cINVITE后，创建一个本地向量连接对象，向所述主叫返回响应包c200。

步骤104：所述主叫收到c200后，在主叫创建的本地向量连接对象中填写主叫记录“CalleeRA，CalleeVA，CommPara，routing，CalleeKeyCode，DialogID，通信路径参数”，并向所述被叫发送确认包cACK。所述主叫记录中，CalleeRA为被叫的路由地址，CalleeVA为呼叫路径的向量地址，CalleeKeyCode为被叫的加密密钥；DialogID由主叫自主生成，routing由主叫设置，CalleeRA，CalleeVA，和CalleeKeyCode由c200返回，CommPara在主叫收到c200后返回cACK前选定设置，通信路径参数由寻由过程给出。另外还包括主叫点有关的参数“CallerKeyCode，CallerRA，CallerTA”。

步骤105：所述被叫收到cACK后，在被叫创建的本地向量连接对象中填写被叫记录“CallerRA，CallerVA，CommPara，routing，CallerKeyCode，DialogID，通信路径参数”，完成呼叫过程，同时实现了身份认证。所述被叫记录中，CallerRA为主叫的路由地址，CallerVA为呼叫路径的反向向量地址，CallerKeyCode为主叫的加密密钥；DialogID，CallerVA，CallerKeyCode和routing由cINVITE提供，CallerRA和CommPara由cACK带来，通信路径参数由寻由过程给出。另外还包括被叫点有关的参数“CalleeKeyCode，CalleeRA，CalleeTA”。

通过寻由过程实现接纳控制，所述实现接纳控制过程包括以下步骤：

步骤201：在主动寻由端，本地向量连接对象中添加一个虚信道记录对象，并向被寻由端发出寻由包rINVITE，其格式为“DialogID，CSeq，TargetRA，QoSPara，DirectionQoS”。所述虚信道记录对象是指存储在本地向量连接对象中有关虚信道的信息。rINVITE中的TargetRA为寻由目标的路由地址；QoSPara为通信服务QoS要求，DialogID＝0时QoSPara无效；DirectionQoS为分配QoS的方向，0表示寻由反方向为数据传送方向，1表示寻由方向为数据传送方向，在数据传送方向预留资源。

步骤202：通信路径上的每个网域对rINVITE进行接纳控制，并核实TargetRA是否在DialogID-User表的有关记录中，如果拒绝接纳，向所述主动寻由端回应失败原因，如果接纳，继续向被寻由端传递rINVITE，即继续随后网域的寻由和接纳控制，对于承担流量整形的入边境控制器还要生成边境记录。接纳控制时根据DialogID和QoSPara进行，DialogID＝0时无条件被接纳，但不能分配带宽，只能是尽力而为的连接。入边境控制器是指载荷数据包进入该网域时遇到的边境控制器，生成边境记录是指向边境记录表中添加一条记录。若该网域对该网域用户完全信任，则不需要生成边境记录，否则需要生成边境记录。

步骤203：所述被寻由端收到rINVITE后，本地向量连接对象中添加一个虚信道记录对象，并向所述主动寻由端返回寻由回应包r200，回应包参数CSeq按照预先规定的方式被选定，同时在对应虚信道记录对象中填写信源记录“CSeq，DestVA”。所述信源记录中，DestVA为信宿向量地址，由rINVITE带来；CSeq从rACK得到，或rINVITE一开始就包括。

步骤204：所述主动寻由端收到r200后，在对应虚信道记录对象中填写信宿记录“CSeq，SourceVA”，并向所述被寻由端发送寻由确认包rACK。所述信宿记录中，SourceVA为信源向量地址，由rINVITE记录在信源点，由r200返给信宿点，CSeq在主动寻由端发出rINVITE或rACK前选定设置。

步骤205：所述被寻由端收到rACK后，确认信源记录有效，至此完成寻由过程，同时实现了接纳控制。

本发明的有益效果：

向量网是新型的通信网络，没有现成的接入控制技术，本发明提供了一种通信网络的层次接入控制方法，解决了向量网中的接入控制问题。本发明提供的接入控制方法是向量网的控制面功能的基本部分，为建立完善向量网的控制网技术，使向量网可以代替ATM网和IP网成为互连网的新一代通信网络技术打下基础。

本发明提出的层次接入控制方法也可以应用到其他类型的通信网络中。该层次接入控制方法与现有网络中的接入控制方法相比具有如下几点优势：首先，该方法将整个通信网络划分成一个个独立建立和运营管理的分层次的网域，网域与网域之间采用相同的接入控制方法，因此该方法有能力成为全球网络统一的接入控制方法；其次，该接入控制方法可以为通信网络中的服务计费、QoS机制、网络移动和网络安全等提供全面性支持，其中，服务计费所需数据可从网域服务器获得，QoS机制可在边境控制器执行，网络移动功能由多径连接支持，网络安全功能由认证过程支持；最后，该方法克服了现有接入控制方法中无法穿透3层网络、不适合多播业务、网络开销大和可靠性低等缺陷。

附图说明

图1是本发明提供的网域概念示意图；

图2是本发明提供的多个网域组成全球网示意图；

图3是本发明提供的通过呼叫过程实现身份认证的流程图；

图4是本发明提供的通过寻由过程实现接纳控制的流程图；

图5是本发明提供的向量网的树状组织结构示意图；

图6是本发明提供的网域划分示意图。

具体实施方式

下面结合附图对本发明做进一步说明，但不作为对本发明的限定。说明时以向量网为例，但该方法也可以应用到其他类型的通信网络中。

向量网是一种新型通信网络，它继承了电信网传送面和控制面相分离体制。在向量网中，实现传送面功能的转发设备被称为向量交换机，简称交换机。依据控制面的树形层次结构，可以把每个子树对应的子网当作一个对象来设计，对外定义明确的逻辑结构，由外部的其它网络使用，对内根据需要设计具体的实现结构。从外部看到的一个逻辑上的子网，可以是一台计算机用软件实现(软件网络)，可以是多个节点组成的复杂网络，可以是一经过封装的异构的其它网络，比如一个私有的ATM网或IP内网，只要有合适的网关，来抽象子网的逻辑结构，建立向量网与异构子网的通信即可。这样的子网称为等效交换机，交换机是等效交换机的一个特例，或者说交换机和等效交换机从外部看都是相同特性的网络对象，二者的外部属性相同。

对于向量网，转发设备就是向量交换机，端站设备就是用户终端或某种服务器。向量网中网域概念示意图如图1所示，图中整个粗实线圆圈内表示一个网域，细实线圆圈内表示网域所覆盖的网络，虚线和细实线之间表示网域的接入控制边境，实线箭头表示网域的输入输出端口，网域端口上的黑点表示边境控制器。网域所覆盖的网络可以被看作一个等效交换机。这样从网域外部看，一个网域可以被看成“等效交换机+接入控制边境+网域服务器”，接入控制边境由等效交换机的各个端口的边境控制器组成。

从向量网的概念来看，全球网络由一个个独立建立和运营管理的网域相互连接而形成。多个网域组成全球网示意图如图2网所示，图中每个粗实线圆圈表示一个网域，如网域1、网域2、网域3、网域4、网域5和其他网域，所有网域组成全球网；每个细实线圆圈表示一个子网，如子网1和子网2；每个方框表示一台连接在子网上的端站设备，如C、D、E和F。从图中可以看出，一个网域可以是一个子网，也可以是一台连接在子网上的端站设备。图中网域间的关系是平面关系，但也可以是层次关系。

本发明提供了一种通信网络的层次接入控制方法，这种层次接入控制方法把整个通信网络划分成层次的网域，每个网域设置一个网域服务器，每个网域的每个端口设置一个边境控制器，通过呼叫过程实现身份认证，通过寻由过程实现接纳控制。

参见图3，通过呼叫过程实现身份认证的具体步骤如下：

步骤101：主叫生成DialogID，创建一个本地向量连接对象，并向被叫发出呼叫消息，这里的呼叫消息以呼叫包cINVITE的形式表示，呼叫包中指明被叫的名称地址CalleeTA以及主叫要求的通信格式和通信服务QoS要求集合CommCapabilityReq，并包含用户在所连接网域注册的用户名User，密码PW、动态生成的对话口令DialogID以及表示寻由方向的参数routing；User和PW用于网域对cINVITE进行认证，DialogID作为进入领界，占用资源的密码口令。

步骤102：呼叫路径上的每个网域对cINVITE进行认证，如果认证不成功，向主叫回应失败原因，如果认证成功，在当前认证的网域之网域服务器注册DialogID，然后以新的User和PW继续向被叫传递cINVITE，即继续随后网域的呼叫和认证过程，直至到达所述被叫。认证时先由Q根据DialogID进行认证，如果Q认证不成功，再由认证中心根据User/PW进行认证。注册DialogID是指向DialogID-User表中添加一条记录，记录中包含DialogID，User，routing，寻由目标路由地址TargetRA以及通信服务QoS要求QoSPara。新的User和PW为该网域在下一网域注册的用户名和密码，用于下一网域对cINVITE进行认证。

步骤103：被叫收到cINVITE后，创建一个本地向量连接对象，向主叫返回响应消息，该响应消息以响应包c200的形式表示，其中包含DialogID，被叫路由地址CalleeRA，被叫向量地址CalleeVA，被叫的加密密钥CalleeKeyCode，以及根据CommCapabilityReq和被叫本地通信能力所确定的通信格式和通信服务QoS要求集合CommCapability。

步骤104：主叫收到c200后，在主叫创建的本地向量连接对象中填写主叫记录，并向被叫发送确认消息，该确认消息以确认包cACK的形式表示。主叫记录中包含DialogID，routing，被叫的路由地址CalleeRA，被叫的向量地址CalleeVA，被叫的加密密钥CalleeKeyCode，双方协商的通信格式和通信服务QoS要求CommPara以及通信路径参数，其中DialogID由主叫自主生成，routing由主叫设置，而CalleeRA，CalleeVA和CalleeKeyCode由c200返回，CommPara在主叫收到c200后返回cACK前选定设置，通信路径参数由寻由过程给出。

步骤105：被叫收到cACK后，在被叫创建的本地向量连接对象中填写被叫记录，完成呼叫过程，同时实现了身份认证。被叫记录中包含DialogID，routing，主叫的路由地址CallerRA，主叫的向量地址CallerVA，主叫的加密密钥CallerKeyCode，CommPara以及通信路径参数，其中DialogID，CallerVA，CallerKeyCode和routing由cINVITE提供，CallerRA和CommPara由cACK带来，通信路径参数由寻由过程给出。

如果主叫或被叫想撤销此次呼叫，可以通过向对方发送撤消呼叫包cBYE实现，其中包含对话口令DialogID和呼叫路径或反向呼叫路径的向量地址。呼叫路径上的每个网域收到cBYE后，根据DialogID的值查找网域服务器DialogID-User表中的相应记录并删除该记录，同时主叫和被叫在发出cBYE前或收到cBYE后也根据DialogID的值删除相应的主叫记录和被叫记录，这样就完成了主叫与被叫之间向量连接的撤销。

另外，为了解决端站设备由于故障等原因未发送cBYE或者cBYE在传输过程中发生丢失的问题，可以为DialogID-User表的每条记录设置一个定时器，在定时器超时前如果其状态未被刷新，则自动删除该记录。

上面提到的四种数据包及相应符号介绍如下，数据包中“[]”内的字段表示可选项，“{}”内的字段表示加密项，“|”两边的字段表示二选一。

(1)呼叫包cINVITE

Head Cmd User PW DialogID CalleeTA CommCapabilityReq[routing DirectionQoSCallerKeyCode]VectorAddr2

其中，

Head：数据包头的固定部分，包括的信息有数据包格式的版本号、传输优先级、拥塞控制、检错、数据包类型5个字段。字段“数据包类型”是一个比特，记为T，0表示用户数据包，1表示呼叫控制信令包，cINVITE是呼叫控制信令包，所以T＝1。

Cmd：命令代码，取值为cINVITE。

User：身份认证的用户名。

PW：身份认证的密码。

DialogID：对话口令。

CalleeTA：被叫的名称地址，类似因特网域名的字符串，形式为Nfinal……N3.N2.N1，比如“MyComputer.bjtu.edu.cn”和“办公室.高教司.教育部”等。

CommCapabilityReq：主叫要求的通信格式和通信服务QoS要求集合，在此，通信格式包括CommType和CommFormat两部分，CommType是通信类型，指明建立的通信连接用于何种类型的通信，比如话音通信，视频广播等类型，CommFormat是具体通信格式，比如话音通信的G.711或G.729A等。CommCapabilityReq只有CommType，没有CommFormat是比较典型的情况，限定一种通信类型的所有通信格式。CommType也可以没有。

routing：寻由方向，0表示被叫寻由，1表示主叫寻由。

DirectionQoS：分配QoS的方向，0表示寻由反方向为数据传送方向，1表示寻由方向为数据传送方向，在数据传送方向预留资源。寻由方向为主动寻由端到被寻由端方向。

CallerKeyCode：主叫的加密密钥。

VectorAddr2：cINVITE包被传播过程中收集得到的所经路径的双向向量地址。

设被叫的名称地址为Nfinal.N3.N2.N1，cINVITE包传输过程是：沿树状组织结构，从主叫端站设备向树的上级节点遍历，匹配N1，如果直到树根都没有匹配成功，则回送失败信息，如果匹配成功，则从匹配节点开始沿树状组织结构向下遍历，分别进一步精确匹配N2、N3等，直到Nfinal，如果Nfinal与一端站设备匹配成功，说明呼叫成功，该端站设备就是被叫，被叫将回送成功信息“c200包”，否则失败。

(2)响应包c200

Head Cmd CallerVA DialoglD CalleeRAI{CalleeRA) {CommCapability CalleeVA[CalleeKeyCode]}

其中，

Head：类似cINVITE包的Head。

Cmd：命令代码，取值为c200。

CallerVA：沿呼叫路径的主叫向量地址，指明沿树状组织结构行走的一条通信路径，即呼叫路径，被叫通过分析VectorAddr2得到CallerVA。

DialogID：对话口令。

CalleeRA：被叫的路由地址，当routing为0时需要加密，当routing为1时不能加密，并由网域的入Q负责把CalleeRA报告给网域服务器。

CommCapability：同CommCapabilityReq一样，是一个集合，CommCapability＝(CommCapabilityReq∩CommCapabilityOwned)，其中，∩是集合的与运算符，CommCapabilityOwned是被叫支持的所有通信格式集合。如果以上交集为空，或cINVITE中没有CommCapabilityReq，则CommCapability＝CommCapabilityOwned。

CalleeVA：沿呼叫路径的被叫向量地址。

CalleeKeyCode：被叫的加密密钥。

当呼叫出错，用错误报告信息代替c200包。主叫收到c200包后，将发送确认包cACK。

(3)确认包cACK

Head Cmd CalleeVA DialogID CallerRA|{CallerRA}{CommPara CallerTA}

其中，

Head：类似cINVITE包的Head。

Cmd：命令代码，取值为cACK。

CalleeVA：沿呼叫路径的被叫向量地址。

DialogID：对话口令。

CallerRA：主叫的路由地址，当routing为0时不能加密，并由网域的入Q负责把CallerRA报告给网域服务器，当routing为1时需要加密。

CommPara：通信格式和通信服务QoS要求的协商结果，是主叫从c200返回的CommCapability中选出的一个通信格式。网域的Q负责把CommPara中的通信服务QoS要求报告给网域服务器。

CallerTA：主叫的名称地址。

当主叫打算断开通信连接，会用撤消呼叫包cBYE代替cACK包。

(4)撤消呼叫包cBYE

Head Cmd DialogID VA。

其中，

Head：类似cINVITE包的Head。

Cmd：命令代码，取值为cBYE。

DialogID：对话口令。

VA：对方向量地址。

cBYE包也用来撤消呼叫。

通过呼叫过程，把被叫的名称地址映射成被叫的路由地址，交给主叫使用，并且双方通过协商确定通信格式，也可以互相交换加密密钥。一次呼叫请求只进行一次呼叫过程即可。

上面提到的五种记录格式及相应符号介绍如下：

(1)主叫记录

CalleeRA，CalleeVA，CommPara，routing，CalleeKeyCode，DialogID，通信路径参数

其中，

CalleeRA：被叫路由地址。

CalleeVA：被叫向量地址。

CommPara：双方协商的通信格式和通信服务QoS要求。

routing：寻由方向，0表示被叫寻由，1表示主叫寻由。

CalleeKeyCode：被叫的加密密钥。

DialogID：对话口令。

(2)被叫记录

CallerRA，CallerVA，CommPara，routing，CallerKeyCode，DialogID，通信路径参数

其中，

CallerRA：主叫路由地址。

CallerVA：主叫向量地址。

CommPara：双方协商的通信格式和通信服务QoS要求。

routing：寻由方向。

CallerKeyCode：主叫的加密密钥。

DialogID：对话口令。

(3)认证服务器DialogID-User表记录

DialogID，User，routing，TargetRA，QoSPara

其中，

DialogID：对话口令。

User：身份认证的用户名。

routing：寻由方向。

TargetRA：寻由目标的路由地址，当routing为0时为主叫路由地址，当routing为1时为被叫路由地址。

QoSPara：通信服务QoS要求。

(4)认证服务器User-PW表记录

User，PW，Group

其中，

User：身份认证的用户名。

PW：身份认证的密码。

Group：用户所属的组。

(5)认证服务器Group-Policy表记录

Group，Group下的通信资源分配策略和计费策略

其中：

Group：用户所属的组。

通信资源分配策略：用来判断通信服务QoS要求是否允许。

计费策略：影响计费积数折扣计算。

参见图4，通过寻由过程实现接纳控制的具体步骤如下：

步骤201：在主动寻由端，本地向量连接对象中添加一个虚信道记录对象，并向被寻由端发出寻由消息，这里的寻由消息以寻由包rINVITE的形式表示，其中包含对话口令DialogID，虚信道编号CSeq，寻由目标路由地址TargetRA，通信服务QoS要求QoSPara和分配QoS的方向DirectionQoS。

步骤202：通信路径上的每个网域对rINVITE进行接纳控制，并核实TargetRA是否在DialogID-User表的有关记录中，如果拒绝接纳，向主动寻由端回应失败原因，如果接纳，继续向被寻由端传递rINVITE，即继续随后网域的寻由和接纳控制，对于承担流量整形的入边境控制器还要生成边境记录。接纳控制时先由Q根据DialogID进行接纳，如果Q中没有相应DialogID，Q向认证中心请求确认DialogID。生成边境记录是指向边境记录表中添加一条记录，记录中包含本Q到信宿点的向量地址DestVaDetailO，地址长度BLen，DialogID，虚信道编号CSeq和通信服务QoS要求QoSPara。

步骤203：被寻由端收到rINVITE后，本地向量连接对象中添加一个虚信道记录对象，并向主动寻由端返回寻由回应消息，同时在对应虚信道记录对象中填写信源记录。这里的寻由回应消息以寻由回应包r200的形式表示。信源记录中包含信宿向量地址DestVA和虚信道编号CSeq，其中DestVA由rINVITE带来，CSeq从rACK得到，或rINVITE一开始就包括。

步骤204：主动寻由端收到r200后，在对应虚信道记录对象中填写信宿记录，并向被寻由端发送寻由确认消息。这里的寻由确认消息以寻由确认包rACK的形式表示。信宿记录中包含信源向量地址SourceVA和虚信道编号CSeq，其中SourceVA由rINVITE记录在信源点，由r200返给信宿点，CSeq在主动寻由端发出rINVITE或rACK前选定设置。

步骤205：被寻由端收到rACK后，确认信源记录有效，至此完成寻由过程，同时实现了接纳控制。

如果主动寻由端或被寻由端想撤消某条虚通道，可以通过向对方发送撤销通信包rBYE实现，其中包含对话口令DialogID、虚通道编号CSeq和虚通道的向量地址。虚通道上的每个关联网域收到rBYE后，根据DialogID和CSeq的值撤销相应的资源预留，如果该网域边境控制器的边境记录表中有对应该DialogID和CSeq的边境记录则删除该记录，同时主动寻由端和被寻由端在发出rBYE前或收到rBYE后也根据DialogID和CSeq的值删除相应的信宿记录和信源记录，这样就完成了虚信道的撤销。

同样，为了解决端站设备由于故障等原因未发送rBYE或者rBYE在传输过程中发生丢失的问题，可以为边境记录表的每条记录设置一个定时器，在定时器超时前如果其状态未被刷新，则自动删除该记录。

上面提到的四种数据包及相应符号介绍如下：

(1)寻由包rINVITE

Head Cmd DialogID CSeq TargetRA QoSPara DirectionQoS CostList RouteAddr2

其中，

Head：类似cINVITE包的Head。

Cmd：命令代码，取值为rINVITE。

DialogID：对话口令。

CSeq：虚信道编号。

TargetRA：寻由目标路由地址。

QoSPara：通信服务QoS要求。DialogID＝0时，QoSPara无效。

DirectionQoS：分配QoS的方向，0表示寻由反方向为数据传送方向，1表示寻由方向为数据传送方向，在数据传送方向预留资源。

CostList：当前侯选路径的估计代价，如果本路径的估计代价大于该值，要考虑剪掉本路径。

RouteAddr2：寻由包在传播过程中收集得到所经路径的双向向量地址。

(2)寻由回应包r200

被寻由端将用r200回应每个从不同途径到达的寻由包，格式如下：

Head Cmd DialogID CSeq RouterVA{Cost RouteeVA}{SourceVA}

其中，

Head：类似cINVITE包的Head。

Cmd：命令代码，取值为r200。

DialogID：对话口令。

CSeq：虚信道编号。

RouterVA：主动寻由端向量地址。

Cost：本路径的代价。

RouteeVA：被寻由端向量地址。

SourceVA：信源向量地址。

(3)寻由确认包rACK

主动寻由端用rACK确认寻由得到的路径，格式如下：

Head Cmd DialogID CSeq RouteeVA

其中，

Head：类似cINVITE包的Head。

Cmd：命令代码，取值为rACK。

DialogID：对话口令。

CSeq：虚信道编号。

RouteeVA：被寻由端向量地址。

(4)撤销通信包rBYE

用rBYE撤消虚信道，格式如下：

Head Cmd DialogID CSeq VA

其中，

Head：类似cINVITE包的Head。

Cmd：命令代码，取值为rBYE。

DialogID：对话口令。

CSeq：虚信道编号。

VA：对方向量地址。

上面提到的三种记录格式及相应符号介绍如下：

(1)边境记录

DestVaDetailO，BLen，DialogID，CSeq，QoSPara

其中，

DestVaDetailO：本Q到信宿点的向量地址。

BLen：DestVaDetailO地址长度。

DialogID：对话口令。

CSeq：虚信道编号。

QoSPara：通信服务QoS要求。

(2)信宿记录

CSeq，SourceVA

其中，

CSeq：虚信道编号。

SourceVA：信源向量地址。

(3)信源记录

CSeq，DestVA

其中，

CSeq：虚信道编号。

DestVA：信宿向量地址。

一个端点同时拥有N个信宿记录对象和M信源记录对象，它们附加在呼叫记录之后，格式如下：

N，{CSeqd1，SourceVAd1；CSeqd2，SourceVAd2；...；CSeqdN，SourceVAdN}

M，{CSeqs1，DestVAs1；CSeqs2，DestVAs2；...；CSeqsN，DestVAsM}

该端点的对端同时拥有M个信宿记录对象和N个信源记录对象，格式如下：

M，{CSeqx1，SourceVAx1；CSeqx2，SourceVAx2；...；CSeqxN，SourceVAxM}

N，{CSeqy1，DestVAy1；CSeqy2，DestVAy2；...；CSeqyN，DestVAyN}

其中，CSeqd1＝CSeqy1，CSeqdi＝CSeqyi；CSeqs1＝CSeqx1，CSeqsi＝CSeqxi。

如果有必要，每个虚信道记录对象都可以增加参数CommPara，表示这个虚信道的特殊通信格式和QoS参数要求。

下文采用修改的PNNI的树状组织结构作为向量网的树状组织结构为例，说明层次接入控制方法。

PNNI是异种ATM网络接口标准，图5是PNNI树结构的示意图，PNNI的内容如下：

物理节点(Lowest-Level Node，简记LLN)，对应一台物理设备，比如“办公室”、“电子工程系”、“普教司”等物理设备。

对等组(Peer Group，简记PG)，逻辑节点组成的节点组，比如“信息学院组”、“清华大学组”等。

逻辑组节点(Logical Group Node，简记LGN)，代表一个对等组的逻辑节点，比如“信息学院”就是一个LGN，它代表“信息学院组”。

逻辑节点(Logical Node，简记LN)，物理节点和逻辑组节点都是逻辑节点。

首领节点(Peer Group Leader，简记PGL)，通过首领竞选过程，在一个对等组中竞选出的逻辑节点。

竞选权值(Leadership Priority，简记LP)，一个PG中的LN竞选首领节点时的“资本”。

物理链路(Physical Link，简记PL)，一条物理链路，在其上，可以建立一条或多条逻辑链路，比如“电子工程系-集成电路研究所”和“控制工程系-桥梁工程系”之间的细实直线。

逻辑链路(Logical Link，简记LL)，在两个逻辑节点之间建立的通信连接，是一种虚连接。

边界节点(Border Node，简记BN)，与本对等组之外的物理节点有物理链路的物理节点，比如LN“控制工程系”是“信息学院组”的BN，因为它与其它PG的LN“桥梁工程系”有PL，LN“理学院”是“清华大学组”的BN，因为它与其它PG的LN“医学部”之间存在PL。

Hello Packet(Hello Packet)，逻辑节点间相互发现协议使用的数据包。

图5中的点代表转发设备，方框代表端站设备，二者都是逻辑节点(LN)，大圆圈包括的LN全体组成一个对等组(PG)，各PG之间组成树状组织结构关系，较高层次PG中的LN代表较低层次的一个PG，这种LN称为逻辑组节点(LGN)，在图5中用两条细虚直线组成的扇形来指示较高层次LN与较低层次PG的对应关系。最低一级LN是物理节点(LLN)，LLN和LGN统称LN。一个PG中的LN之间的连线代表逻辑链路(LL)，但是，与LLN连接的连线代表物理链路(PL)，对应实际的通信线路，PL是一种特殊的LL。

图5中，实心的点是首领节点(PGL)，PGL是通过实时在线的方式竞选产生，具有最大竞选权值(LP)的LN为PGL。

根据向量网的需要，对PNNI树结构进行了修改，修改内容如下：

(1)端站设备也是PNNI中的物理节点之一，是一种“不转发信息”的、可以只有一个端口的、特殊的转发设备。

(2)增加名称地址；

在图5所示的PNNI树结构中，根据网络的实际运营管理情况把整个通信网络划分成层次的网域。图6是对应于该PNNI树的网域划分示意图，图中网域的组织结构的顶层是一片森林，由清华大学网域、北京大学网域和教育部网域3个顶层网域组成；每个顶层网域又包含若干较小的子网域，如清华大学网域包含信息学院网域、计算机学院网域、土建学院网域和理学院网域，北京大学网域包含医学部网域和本部网域，这里信息学院网域、计算机学院网域、土建学院网域、理学院网域、医学部网域和本部网域都属于基本网域，教育部网域由于不再包含子网域，也属于基本网域。

在介绍层次接入控制方法之前，首先介绍一下网域间的用户注册过程。用户注册包括两种情况：一是子网域向其父网域的注册，二是具有相邻关系的同级网域之间的相互注册。在图6所示的网域划分示意图中，信息学院网域、计算机学院网域、土建学院网域和理学院网域必须向清华大学网域注册；医学部网域和本部网域必须向北京大学网域注册；清华大学网域、北京大学网域和教育部网域之间相互注册；另外信息学院网域、计算机学院网域、土建学院网域和理学院网域之间如果具有相邻关系也可以相互注册。一个网域向另一个网域注册时，要在后者网域服务器的User-PW表中添加一条记录，如信息学院网域向清华大学网域注册时，在清华大学网域网域服务器的User-PW表中添加一条记录“信息学院用户，密码1，Group1”，其中信息学院用户是用户名，密码1是密码，Group1是用户所属的组。同样，清华大学网域向北京大学网域注册时，在北京大学网域网域服务器的User-PW表中添加一条记录“清华大学用户，密码2，Group2”，北京大学网域向教育部网域注册时，在教育部网域网域服务器的User-PW表中添加一条记录“北京大学用户，密码3，Group3”。

参见图5和图6，做三个假设：

(1)节点“办公室.信息学院.清华大学”是一台客户机，属于信息学院网域，其名字为“办公室”，它的网络角色是一台端站设备，记为A，“办公室.信息学院.清华大学”是A的名称地址。

(2)节点“办公厅.教育部”是一台客户机，属于教育部网域，记为B，“办公厅.教育部”是B的名称地址。

(3)A欲与B建立通信连接。

在以上假设条件下，向量网的层次接入控制过程说明如下。

首先通过呼叫过程实现身份认证，其过程如下：

A生成对话口令DialogID，设为DialogID1，并向B发出呼叫包cINVITE“信息学院用户，密码1，DialogID1，CommCapabilityReq，BTA，routing＝1”，其中BTA为B的名称地址，routing＝1表示主叫寻由。

A与B之间的呼叫路径如图5中粗虚线所示，经过的LN依次是“办公室-信息学院-清华大学-教育部-普教司-办公厅”，呼叫路径上经过的网域包括清华大学网域、北京大学网域和教育部网域(参见图6)，这些网域要依次对A发出的cINVITE进行认证。

A发出的cINVITE首先经过清华大学网域，清华大学网域根据网域服务器的User-PW表中存储的信息对cINVITE进行认证，认证成功，在DialogID-User表中添加一条记录“DialogID1，信息学院用户，routing＝1，BRA，QoSPara”，其中BRA为B的路由地址，然后修改cINVITE为“清华大学用户，密码2，DialogID1，CommCapabilityReq，BTA，routing＝1”，发往下一网域。

收到cINVITE的下一网域为北京大学网域，同样，北京大学网域根据网域服务器的User-PW表中存储的信息对cINVITE进行认证，认证成功，在DialogID-User表中添加一条记录“DialogID1，清华大学用户，routing＝1，BRA，QoSPara”，并修改cINVITE为“北京大学用户，密码3，DialogID1，CommCapabilityReq，BTA，routing＝1”，发往下一网域。

最后收到cINVITE的网域为教育部网域，教育部网域也根据网域服务器的User-PW表中存储的信息对cINVITE进行认证，认证成功，在DialogID-User表中添加一条记录“DialogID1，北京大学用户，routing＝1，BRA，QoSPara”，将cINVITE送达B。

A和B呼叫连通后，通过呼叫路径，双方交换通信连接信息，完成呼叫过程，同时实现了身份认证。

呼叫过程完成后，启动寻由过程实现接纳控制，具体过程如下：

A向B发出寻由包rINVITE“DialogID1，CSeq，BRA，QoSPara，DirectionQoS”，rINVITE通过多条通信路径到达B，假设其中一条通信路径经过的LN依次是“办公室-电子工程系-计算机系-数学系-西医学院-文学学院-普教司-办公厅”(如图5点划线所示)，它完全由LLN组成。通信路径上经过的关联网域包括计算机学院网域、理学院网域、医学部网域、本部网域和教育部网域(参见图6)，这些网域要依次对A发出的rINVITE进行接纳控制。

A发出的rINVITE首先经过计算机学院网域，由于计算机学院网域网域服务器的DialogID-User表中没有对应DialogID1的记录，所以它向其父网域清华大学网域发出请求；清华大学网域根据网域服务器的DialogID-User表中存储的信息对rINVITE进行接纳控制，假设能够接纳，清华大学网域将结果发送给计算机学院网域；假设清华大学网域对其子网域用户完全信任，所以不需要生成边境记录，直接将rINVITE发往下一网域。

收到rINVITE的下一网域为理学院网域，理学院网域执行与计算机学院网域类似的动作对rINVITE进行接纳控制，然后将rINVITE发往下一网域。

接下来收到rINVITE的下一网域为医学部网域，由于医学部网域网域服务器的DialogID-User表中没有对应DialogID1的记录，所以它向其父网域北京大学网域发出请求；北京大学网域根据网域服务器的DialogID-User表中存储的信息对rINVITE进行接纳控制，假设能够接纳，北京大学网域将结果发送给医学部网域；假设北京大学网域对清华大学网域用户不完全信任，所以需要在医学部网域相应的入边境控制器生成边境记录，然后将rINVITE发往下一网域。

后续网域按照类似的方式对rINVITE进行接纳控制，直到rINVITE送达B。B再与A交互完成寻由过程，同时实现了接纳控制。

以上所述只是本发明的一种较优选的具体实施方式，本领域的技术人员在本发明技术方案范围内进行的通常变化和替换都应包含在本发明的保护范围内。

Claims

1.一种通信网络的层次接入控制方法，其特征在于，所述方法把整个通信网络划分成层次的网域，每个网域设置一个网域服务器，每个网域的每个端口设置一个边境控制器，通过呼叫过程实现身份认证，通过寻由过程实现接纳控制；

所述身份认证过程包括以下步骤：

步骤101：主叫生成DialogID，创建一个本地向量连接对象，并向被叫发出呼叫包cINVITE，其格式为“User，PW，DialogID，CommCapabilityReq，CalleeTA，routing”；User为身份认证的用户名，PW为身份认证的密码，DialogID为对话口令，CommCapabilityReq为主叫要求的通信格式和通信服务QoS要求集合，CalleeTA为被叫的名称地址，routing为寻由方向；

步骤102：呼叫路径上的每个网域对cINVITE进行认证，如果认证不成功，向所述主叫回应失败原因，如果认证成功，在当前认证的网域之网域服务器注册DialogID，在DialogID-User表中增加一条记录，然后以新的User和PW继续向被叫传递cINVITE，即继续随后网域的呼叫和认证过程，直至到达所述被叫；

步骤103：所述被叫收到cINVITE后，创建一个本地向量连接对象，向所述主叫返回响应包c200；

步骤104：所述主叫收到c200后，在主叫创建的本地向量连接对象中填写主叫记录“CalleeRA，CalleeVA，CommPara，routing，CalleeKeyCode，DialogID，通信路径参数”，并向所述被叫发送确认包cACK；CalleeRA为被叫的路由地址，CalleeVA为被叫向量地址，CommPara为双方协商的通信格式和通信服务QoS要求，routing为寻由方向，CalleeKeyCode为被叫的加密密钥，DialogID为对话口令；

步骤105：所述被叫收到cACK后，在被叫创建的本地向量连接对象中填写被叫记录“CallerRA，CallerVA，CommPara，routing，CallerKeyCode，DialogID，通信路径参数”，完成呼叫过程，同时实现了身份认证；CallerRA为主叫路由地址，CallerVA为主叫向量地址，CommPara为双方协商的通信格式和通信服务QoS要求，routing为寻由方向，CallerKeyCode为主叫的加密密钥，DialogID为对话口令；

步骤201：在主动寻由端，本地向量连接对象中添加一个虚信道记录对象，并向被寻由端发出寻由包rINVITE，其格式为“DialogID，CSeq，TargetRA，QoSPara，DirectionQoS”；DialogID为对话口令，CSeq为虚信道编号，TargetRA为寻由目标路由地址，QoSPara为通信服务QoS要求，DirectionQoS为分配QoS的方向；

步骤202：通信路径上的每个网域对rINVITE进行接纳控制，并核实TargetRA是否在DialogID-User表的有关记录中，如果拒绝接纳，向所述主动寻由端回应失败原因，如果接纳，继续向被寻由端传递rINVITE，即继续随后网域的寻由和接纳控制，对于承担流量整形的入边境控制器还要生成边境记录；

步骤203：所述被寻由端收到rINVITE后，本地向量连接对象中添加一个虚信道记录对象，并向所述主动寻由端返回寻由回应包r200，回应包参数CSeq按照预先规定的方式被选定，同时在对应虚信道记录对象中填写信源记录“CSeq，DestVA”；CSeq为虚信道编号，DestVA为信宿向量地址；

步骤204：所述主动寻由端收到r200后，在对应虚信道记录对象中填写信宿记录“CSeq，SourceVA”，并向所述被寻由端发送寻由确认包rACK；CSeq为虚信道编号，SourceVA为信源向量地址；

2.如权利要求1所述的一种通信网络的层次接入控制方法，其特征在于，所述层次的网域，其组织结构的顶层是一片森林，由若干棵树组成，每棵树对应一个网域，树的每个子树也对应一个较小的网域，树的每一片树叶对应一个基本网域，基本网域是不再包含其它网域的网域，一个节点也是一个网域。

3.如权利要求1所述的一种通信网络的层次接入控制方法，其特征在于，所述网域服务器，其内部维护User-PW表、Group-Policy表和DialogID-User表三个信息表；所述User-PW表是相对静态的，其记录格式为“User，PW，Group”，User为身份认证的用户名，PW为身份认证的密码，Group为用户所属的组；所述Group-Policy表也是相对静态的，其记录格式为“Group，Group下的通信资源分配策略和计费策略”，Group为用户所属的组，通信资源分配策略用来判断通信服务QoS要求是否允许，计费策略影响计费积数折扣计算；所述DialogID-User表是动态的，其记录格式为“DialogID，User，routing，TargetRA，QoSPara”，DialogID为对话口令，User为身份认证的用户名，routing为寻由方向，TargetRA为寻由目标的路由地址，QoSPara为通信服务QoS要求。

4.如权利要求1所述的一种通信网络的层次接入控制方法，其特征在于，所述边境控制器，其内部维护一个边境记录表，表的记录格式为“DestVaDetailO，BLen，DialogID，CSeq，QoSPara”，DestVaDetailO为本Q到信宿点的向量地址，BLen为DestVaDetailO地址长度，DialogID为对话口令，CSeq为虚信道编号，QoSPara为通信服务QoS要求。