CN101436954A - 业务策略请求验证系统、业务策略申请和撤销方法 - Google Patents
业务策略请求验证系统、业务策略申请和撤销方法 Download PDFInfo
- Publication number
- CN101436954A CN101436954A CNA2007101661938A CN200710166193A CN101436954A CN 101436954 A CN101436954 A CN 101436954A CN A2007101661938 A CNA2007101661938 A CN A2007101661938A CN 200710166193 A CN200710166193 A CN 200710166193A CN 101436954 A CN101436954 A CN 101436954A
- Authority
- CN
- China
- Prior art keywords
- policy
- request
- user
- equipment
- user account
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
本发明涉及一种业务策略请求验证系统,包括:策略代理设备、策略控制服务器和承载设备。本发明还涉及了一种业务策略申请方法,包括:策略代理设备接收业务策略的申请请求,检查用户账号是否合法以及用户账号是否处于使用状态,满足则向分配的IP地址发出一个用户认证挑战,若回复正确,则检查业务策略是否满足策略权限条件,满足则向策略控制服务器发送代理策略申请请求;策略控制服务器判断网络资源是否满足策略约束条件,满足则向承载设备下发与策略约束条件相对应的执行指令。本发明还提供了一种业务策略撤销方法和一种异常情况下业务策略撤销方法。本发明实现用户的业务策略请求的检验,通过与策略控制服务器的协作完成用户的合法策略请求。
Description
技术领域
本发明涉及宽带接入业务的运营领域,尤其是一种对宽带用户发出的业务策略请求进行验证的系统,以及业务策略申请和撤销的方法。
背景技术
随着宽带接入业务的发展,越来越多的用户开始使用并享受宽带所带来的方便,但一些不法分子通过盗用合法用户的账号进行非法牟利,给用户正常使用进行干扰,给合法用户造成了财产损失,甚至精神伤害。
为了防止用户账号被盗用,运营商已经普遍的采用了将用户宽带账号和媒体接入控制(Medium Access Control,简称MAC)地址绑定的方法,这种方法是通过锁定用户上网的以太网卡的物理地址来实现用户身份的绑定。由于每个以太网卡都具有用于区分不同的以太网用户的唯一的MAC地址,因此运营商在远程认证拨号用户服务(Remote Authentication Dial In User Service,简称RADIUS)服务器上将用户上网计算机的MAC地址与用户宽带账号进行唯一性绑定,从而限制宽带账号的唯一使用性。用户在进行PPPoE拨号连接的时候,宽带远程接入服务器(Broadband Remote Access Server,简称BRAS)设备获取用户的宽带账号以及上网计算机的MAC地址,然后通过标准RADIUS协议将用户的宽带账号和MAC地址上报给RADIUS服务器,由RADIUS服务器完成宽带账号和MAC地址一一对应的判别工作。由于MAC地址具有唯一性,该宽带账号无法实现非法共享或漫游,也无法正常使用,从而就避免了非法使用合法用户的宽带账号而带来的损害。
在现有的运营商网络中,采用这种MAC地址绑定方案能够对用户接入进行一次性的合法性验证,但不能进一步的对用户端每次发起的业务策略请求进行验证,而用户发起的业务策略请求可能存在着宽带账号公用和盗用的问题,这必然带来一定的安全问题,并且对于多用户共用VLAN上行的组网模式,也缺乏二层接入网络的用户安全隔离和广播报文控制的措施。除此之外,这种MAC地址绑定方案还具有一些难以克服的缺点,例如RADIUS服务器端的维护工作量很大,需要经常维护庞大的用户MAC地址表;一旦用户更换电脑或者更换网卡,都必须在RADIUS服务器上进行重新绑定,给运营商带来额外的工作量和可能的用户投诉。
发明内容
本发明的第一目的是提出一种业务策略请求验证系统,能够对用户端发出的业务策略请求进行验证,从而防止宽带账号公用和被盗用而导致的安全问题。
本发明的第二目的是提出一种业务策略申请方法,能够在对业务策略请求进行验证的基础上,根据用户发出的业务策略的申请请求在网络侧部署策略。
本发明的第三目的是提出一种业务策略撤销方法,能够在对业务策略请求进行验证的基础上,根据用户发出的业务策略的撤销请求在网络侧撤销策略。
本发明的第四目的是提出一种异常情况下业务策略撤销方法,能够在检测到业务异常时自动在网络侧撤销策略。
为实现上述第一目的,本发明提供了一种业务策略请求验证系统,包括:
策略代理设备,具有分别与用户侧设备和网络侧设备连接的接口,用于接收用户侧设备的业务策略请求,并验证该业务策略请求的合法性,以及发出代理策略请求;
策略控制服务器,用于接收所述策略代理设备发出的代理策略请求,并根据该代理策略请求判断网络资源是否满足策略约束条件,如果满足所述策略约束条件,则下发与所述策略约束条件相对应的执行指令;
承载设备,用于接收下发的执行指令,并实现相应的策略执行功能。
为实现上述第二目的,本发明提供了一种业务策略申请方法,包括以下步骤:
策略代理设备接收用户侧设备发出的业务策略的申请请求,该申请请求至少包括用户账号、密码和要求申请的业务策略;
策略代理设备检查用户账号是否合法以及用户账号是否处于使用状态,如果都满足,则向为所述用户账号分配的IP地址发出一个用户认证挑战,并接收所述分配的IP地址返回的用户认证回复;
如果所述用户认证回复正确,则所述策略代理设备检查所述请求的业务策略是否满足策略权限条件,如果满足,则向策略控制服务器发送代理策略申请请求,该代理策略申请请求至少包括策略代理设备的地址和策略申请请求;
所述策略控制服务器根据所述策略申请请求判断网络资源是否满足策略约束条件,如果满足,则向承载设备下发与所述策略约束条件相对应的执行指令。
为实现上述第三目的,本发明提供了一种业务策略撤销方法,包括以下步骤:
策略代理设备接收用户侧设备发出的业务策略的撤销请求,该撤销请求至少包括用户账号、密码和要求撤销的业务策略;
策略代理设备检查用户账号是否合法,如果合法,则向为所述用户账号分配的IP地址发出一个用户认证挑战,并接收所述分配的IP地址返回的用户认证回复;
如果所述用户认证回复正确,则所述策略代理设备检查所述请求的业务策略是否满足策略权限条件,如果满足,则向策略控制服务器发送代理策略撤销请求,该代理策略请求至少包括策略代理设备的地址和策略撤销请求;
所述策略控制服务器根据所述策略撤销请求判断网络资源是否满足策略约束条件,如果满足,则向承载设备下发与所述策略约束条件相对应的执行指令。
为实现上述第四目的,本发明提供了一种异常情况下业务策略撤销方法,包括以下步骤:
当策略代理设备检测到业务异常时,向策略控制服务器发出业务策略的撤销请求;
所述策略控制服务器根据所述撤销请求判断网络资源是否满足策略约束条件,如果满足,则向承载设备下发与所述策略约束条件相对应的执行指令。
基于上述技术方案,本发明在网络侧设置了策略代理设备,对外接收用户侧的策略请求,对内为网络侧提供安全可信任的连接,并实现用户的业务策略请求的检验,通过与策略控制服务器的协作完成用户的合法策略请求。本发明在业务策略请求验证系统基础上,提供了业务策略申请和撤销的流程,以及故障时的业务策略撤销流程,来实现该系统的策略部署、撤销以及故障处理的功能。
附图说明
图1为本发明业务策略请求验证系统的实施例一的结构示意图。
图2为本发明业务策略请求验证系统的实施例二的结构示意图。
图3为本发明业务策略请求验证系统的实施例三的结构示意图。
图4为本发明业务策略请求验证系统的实施例四的结构示意图。
图5为本发明业务策略请求验证系统的实施例五的结构示意图。
图6为本发明业务策略请求验证系统的实施例六的结构示意图。
图7为本发明业务策略申请方法的实施例的流程示意图。
图8为图7实施例的一个具体实例的信令示意图。
图9为本发明业务策略撤销方法的实施例的流程示意图。
图10为图9实施例的一个具体实例的信令示意图。
图11为本发明异常情况下业务策略撤销方法的实施例的流程示意图。
图12为图11实施例的一个具体实例的信令示意图。
具体实施方式
下面通过附图和实施例,对本发明的技术方案做进一步的详细描述。
本发明在网络侧使用策略代理设备和策略控制服务器来为用户直接申请和撤销业务策略的请求提供合法性验证,使运营商可以根据从用户侧设备直接发起的业务策略请求为用户提供差异化的网络服务质量。
实施例一
如图1所示,为本发明业务策略请求验证系统的实施例一的结构示意图。在本实施例中,业务策略请求验证系统包括以下几个部分:策略代理设备1、策略控制服务器2和承载设备3。其中承载设备3可以包括数字用户线接入复用器(Digital Subscriber Line AccessMultiplexer,简称DSLAM)、路由器、家庭网关、BRAS设备和/或数据交换机等,主要负责接收策略控制服务器2发出的执行指令。策略控制服务器2主要负责接收策略代理设备1发出的代理策略请求,并根据该代理策略请求判断网络资源是否满足策略约束条件,如果满足策略约束条件,则向承载设备3下发与策略约束条件相对应的执行指令。策略控制服务器2和承载设备3分别作为策略决策点(Policy Decision Point,简称PDP)和策略执行点(PolicyEnforcement Point,简称PEP)组成了策略控制框架,PDP和PEP之间通常采用通用开发策略服务(Common Open Policy Service,简称COPS)协议交互策略信息。
策略代理设备1具有对外与用户侧设备的接口,对内具有网络侧设备,尤其是策略控制服务器2可信任的接口,主要负责接收用户侧设备的业务策略请求,并验证该业务策略请求的合法性,以及发出代理策略请求。
这里的用户侧设备可以是宽带用户的终端,也可以指安装在终端上的客户端应用。
实施例二
如图2所示,为本发明业务策略请求验证系统的实施例二的结构示意图。在本实施例中,策略代理模块1可以具体包括以下模块:策略请求接收模块11、合法性验证模块12和代理策略请求模块13。其中策略请求接收模块11负责接收用户侧设备发出的业务策略请求,这里所说的业务策略请求通常为用户对某个业务策略的申请请求或撤销请求。合法性验证模块12可以对接收到的业务策略请求进行合法性验证,只执行符合合法性要求的业务策略请求,拒绝不符合要求的业务策略请求。代理策略请求模块13在符合合法性要求的时候,向策略控制服务器2发出代理策略请求。
策略控制服务器2可以包括以下模块:代理策略请求接收模块21、策略约束判断模块22和执行指令下发模块23。其中代理策略请求接收模块21可以接收策略代理设备1发出的代理策略请求,然后策略约束判断模块22根据代理策略请求判断网络资源是否满足策略约束条件,当满足策略约束条件时,执行指令下发模块23下发与策略约束条件相对应的执行指令。
实施例三
如图3所示,为本发明业务策略请求验证系统的实施例三的结构示意图,与上一实施例相比,本实施例还可以增加RADIUS设备4,该RADIUS设备4存储有宽带用户的用户账号和密码,以及与用户账号对应的物理端口信息,可以根据策略代理设备1发出的用户认证请求,检查用户账号是否合法,如果合法则查询与用户账号对应的物理端口信息,并向策略代理设备1返回所述物理端口信息;如果不合法则向策略代理设备1返回拒绝信息。
策略代理设备1中的合法性验证模块12在接收到业务策略请求时,通过其所包括的用户认证请求单元121向RADIUS设备4发出用户认证请求,并根据RADIUS设备4返回的物理端口信息或者拒绝信息来判断发出策略请求的用户是否合法,如果用户不合法,则拒绝该用户的业务策略请求。
实施例四
如图4所示,为本发明业务策略请求验证系统的实施例四的结构示意图。与实施例三相比,本实施例增加了BRAS设备5,该BRAS设备5存储有用户账号对应的物理端口的当前状态,以及为用户账号分配的IP地址。当策略代理设备1中的端口状态查询请求单元122向BRAS设备5发出端口状态查询请求时,判断物理端口的当前状态是否为活跃状态,如果处于活跃状态则判断BRAS设备5为用户账号分配的IP地址与用户侧设备的实际IP地址是否一致,如果一致,则向策略代理设备1返回用户账号处于使用状态的信息。
如果该物理端口处于非活跃状态,则表示发出业务策略请求的物理端口并非该用户所对应的物理端口,可以判断该请求为非法请求,并向策略代理设备1返回拒绝信息。如果BRAS设备5为用户账号分配的IP地址与用户侧设备的实际IP地址不一致,则表示发出业务策略请求的IP地址并非该用户所对应的IP地址,可以判断该请求为非法请求,并向策略代理设备1返回拒绝信息。
实施例五
如图5所示,为本发明业务策略请求验证系统的实施例五的结构示意图。与实施例三相比,本实施例增加了用户认证挑战模块14和策略权限检查模块15,用户认证挑战模块14负责向为用户账号分配的IP地址发出一个用户认证挑战,并接收分配的IP地址根据本地密钥计算后返回的用户认证回复。策略权限检查模块15判断用户认证回复正确时,检查请求的业务策略是否满足策略权限条件,也就是说判断用户是否有权使用该业务策略。如果满足策略权限条件,则通过代理策略请求模块13向策略控制服务器2发送代理策略请求。
实施例六
如图6所示,为本发明业务策略请求验证系统的实施例六的结构示意图。与实施例四相比,本实施例中增加了用户认证挑战模块14和策略权限检查模块15,用户认证挑战模块14负责向为用户账号分配的IP地址发出一个用户认证挑战,并接收分配的IP地址根据本地密钥计算后返回的用户认证回复。策略权限检查模块15判断用户认证回复正确时,检查请求的业务策略是否满足策略权限条件,也就是说判断用户是否有权使用该业务策略。如果满足策略权限条件,则通过代理策略请求模块13向策略控制服务器2发送代理策略请求。
在上述各个实施例中,策略控制服务器2当网络资源满足策略约束条件,可以许可用户使用业务策略时,通过设置在策略控制服务器2中的策略执行许可模块向策略代理设备1发出策略执行许可消息,再由策略代理设备1中的策略通知模块根据该策略执行许可消息,向用户发出用于通知网络侧所提供的业务策略的消息。
随着业务策略的使用或者撤销,计费策略常常也需要进行更改,策略控制服务器2可以通过其所包含的计费策略更改请求模块向业务运营支撑系统(Business Operation Support System,简称BOSS)设备发出更改用户账户的计费策略的请求,BOSS设备判断该请求是否满足条件,满足则执行修改计费策略的操作。
实施例七
基于上述的业务策略请求验证系统的实施例,本发明还提供了业务策略申请、撤销以及故障时撤销的实施例,如图7所示,为本发明业务策略申请方法的实施例的流程示意图,该申请流程包括以下步骤:
步骤101、策略代理设备接收用户侧设备发出的业务策略的申请请求,该申请请求至少包括用户账号、密码和要求申请的业务策略;
步骤102、策略代理设备检查用户账号是否合法以及用户账号是否处于使用状态,如果都满足,则向为用户账号分配的IP地址发出一个用户认证挑战,并接收分配的IP地址返回的用户认证回复;
步骤103、如果用户认证回复正确,则策略代理设备检查请求的业务策略是否满足策略权限条件,如果满足,则向策略控制服务器发送代理策略申请请求,该代理策略申请请求至少包括策略代理设备的地址和策略申请请求;
步骤104、策略控制服务器根据策略申请请求判断网络资源是否满足策略约束条件,如果满足,则向承载设备下发与所述策略约束条件相对应的执行指令。
接下来根据本实施例提供了一个具体实例,参见图8所示,为图7实施例的一个具体实例的信令示意图,包括了从发出业务策略申请请求到策略部署整个过程,如下:
步骤201、用户侧设备6向策略代理设备1发送业务策略的申请请求,该申请请求至少包括了用户账号、密码和要求申请的业务策略;
步骤202、策略代理设备1接收该申请请求,并向RADIUS服务器4发出用户认证请求,该用户认证请求至少包括用户账号、密码和查询与用户账号对应的物理端口信息的查询请求;
步骤203、RADIUS服务器4根据自身存储的用户账号和密码,以及接收到的用户账号和密码检查该用户账号是否合法,如果合法则查询与用户账号对应的物理端口信息,并向策略代理设备1返回物理端口信息;
步骤204、策略代理设备1向用户账号所属的BRAS设备5查询用户账号对应的物理端口是否处于活跃状态;
步骤205、BRAS设备5判断该用户账号对应的物理端口是否处于活跃状态,是则判断BRAS设备5为用户账号分配的IP地址与用户侧设备6的IP地址是否一致,如果一致,则向策略代理设备1返回用户账号处于使用状态的信息;
步骤206、策略代理设备1向分配的IP地址发出一个用户认证挑战;
步骤207、使用分配的IP地址的用户侧设备6根据本地密钥计算该用户认证挑战,得出用户认证回复并向策略代理设备1返回;
步骤208、如果用户认证回复正确,则策略代理设备1检查所请求的业务策略是否满足策略权限条件,如果满足,则向策略控制服务器2发送代理策略申请请求,该代理策略申请请求至少包括策略代理设备的地址和策略申请请求;
步骤209、策略控制服务器根据策略申请请求判断网络资源是否满足策略约束条件,如果满足,则向策略代理模块1发出策略执行许可消息;
步骤210、策略代理模块1根据该策略执行许可消息,向用户发出用于通知网络侧所提供的业务策略的消息;
步骤211、当策略控制服务器2判断网络资源满足策略约束条件时,向承载设备3下发与策略约束条件相对应的执行指令。
如果需要调整计费策略,策略控制服务器2还可以在执行步骤211时向BOSS设备发出更改用户账户的计费策略的请求。
在本实例中当判断用户的业务策略请求是否合法时,需要查询物理端口信息,这里的物理端口信息通常在RADIUS设备上与用户账号进行绑定,对于PPPoE+、DHCPoption82等技术,可以由IP-DSLAM设备在PPPoE或DHCP报文中插入宽带用户在IP-DSLAM设备的唯一的物理端口信息,并上报给BRAS设备,再由BRAS设备通过RADIUS协议上报给RADIUS设备,再由RADIUS设备对用户账号和该物理端口信息进行绑定。
如果宽带网络将用户划分为单独的虚拟局域网络(Virtual LocalArea Network,简称VLAN)或永久虚电路(Permanent VirtualCircuit,简称PVC)时,则可以利用BRAS设备的每个IP接入端口为每个接入的宽带用户分配唯一的VLAN或PVC标志,完成用户账号和VLAN或PVC标志的唯一性绑定。
采用这种绑定的物理端口信息可以有效地避免账号公用和盗用问题,用户间通过VLAN或PVC隔离也可以有效的解决二层接入网络广播风暴的问题。
实施例八
如图9所示,为本发明业务策略撤销方法的实施例的流程示意图,本实施例中的撤销流程包括以下步骤:
步骤301、策略代理设备接收用户侧设备发出的业务策略的撤销请求,该撤销请求至少包括用户账号、密码和要求撤销的业务策略;
步骤302、策略代理设备检查用户账号是否合法,如果合法,则向为用户账号分配的IP地址发出一个用户认证挑战,并接收分配的IP地址返回的用户认证回复;
步骤303、如果用户认证回复正确,则策略代理设备检查所请求的业务策略是否满足策略权限条件,如果满足,则向策略控制服务器发送代理策略撤销请求,该代理策略请求至少包括策略代理设备的地址和策略撤销请求;
步骤304、策略控制服务器根据策略撤销请求判断网络资源是否满足策略约束条件,如果满足,则向承载设备下发与策略约束条件相对应的执行指令。
接下来根据本实施例提供了一个具体实例,参见图10所示,为图9实施例的一个具体实例的信令示意图,包括了从发出业务策略撤销请求到撤销前期部署的策略的整个过程,如下:
步骤401、用户侧设备6向策略代理设备1发送对前期部署的业务策略进行撤销的撤销请求,该撤销请求至少包括了用户账号、密码和要求撤销的业务策略;
步骤402、策略代理设备1接收该撤销请求,并向RADIUS服务器4发出用户认证请求,该用户认证请求至少包括用户账号、密码和查询与用户账号对应的物理端口信息的查询请求;
步骤403、RADIUS服务器4根据自身存储的用户账号和密码,以及接收到的用户账号和密码检查该用户账号是否合法,如果合法则查询与用户账号对应的物理端口信息,并向策略代理设备1返回物理端口信息;
步骤404、策略代理设备1向BRAS设备为该用户分配的IP地址发出一个用户认证挑战;
步骤405、使用分配的IP地址的用户侧设备6根据本地密钥计算该用户认证挑战,得出用户认证回复并向策略代理设备1返回;
步骤406、如果用户认证回复正确,则策略代理设备1检查所请求撤销的业务策略是否满足策略权限条件,如果满足,则向策略控制服务器2发送代理策略撤销请求,该代理策略撤销请求至少包括策略代理设备的地址和策略撤销请求;
步骤407、策略控制服务器根据该策略撤销请求判断网络资源是否满足策略约束条件,如果满足,则向策略代理模块1发出策略执行许可消息;
步骤408、策略代理模块1根据该策略执行许可消息,向用户发出用于通知网络侧将撤销的业务策略的消息;
步骤409、当策略控制服务器2判断网络资源满足策略约束条件时,向承载设备3下发与策略约束条件相对应的执行指令,对部署在各个承载设备上的业务策略进行撤销。
如果业务策略的撤销还需相应的调整计费策略,策略控制服务器2还可以在执行步骤409时向BOSS设备发出更改用户账户的计费策略的请求。
实施例九
如图11所示,为本发明异常情况下业务策略撤销方法的实施例的流程示意图,本实施例包括以下步骤:
步骤501、当策略代理设备检测到业务异常时,向策略控制服务器发出业务策略的撤销请求;
步骤502、策略控制服务器根据该撤销请求判断网络资源是否满足策略约束条件,如果满足,则向承载设备下发与策略约束条件相对应的执行指令。
接下来根据本实施例提供了一个具体实例,参见图12所示,为图11实施例的一个具体实例的信令示意图,包括了从检测到业务异常到撤销前期部署的策略的整个过程,如下:
步骤601、策略代理设备1检测到业务异常时,例如BOD/QOD业务长时间保持时,用户的不在线策略却未撤销,这时就需要向策略控制服务器2发出对该不在线策略的撤销请求;
步骤602、策略控制服务器2根据该撤销请求判断网络资源是否满足策略约束条件,如果满足则向策略代理设备1回复策略执行许可的消息;
步骤603、当策略控制服务器2判断网络资源满足策略约束条件时,向承载设备3下发与策略约束条件相对应的执行指令。
如果业务策略的撤销还需相应的调整计费策略,策略控制服务器2还可以在执行步骤603时向BOSS设备发出更改用户账户的计费策略的请求。
策略代理设备1可以通过很多现有方式来对异常情况进行检测,例如前面所举的不在线策略的例子,因此这里就不一一列举检测方法了。
本领域普通技术人员可以理解:实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成,前述的程序可以存储于一计算机可读取存储介质中,该程序在执行时,执行包括上述方法实施例的步骤;而前述的存储介质包括:ROM、RAM、磁碟或者光盘等各种可以存储程序代码的介质。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制;尽管参照较佳实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者对部分技术特征进行等同替换;而不脱离本发明技术方案的精神,其均应涵盖在本发明请求保护的技术方案范围当中。
Claims (24)
1、一种业务策略请求验证系统,其特征在于,包括:
策略代理设备,具有分别与用户侧设备和网络侧设备连接的接口,用于接收用户侧设备的业务策略请求,并验证该业务策略请求的合法性,以及发出代理策略请求;
策略控制服务器,用于接收所述策略代理设备发出的代理策略请求,并根据该代理策略请求判断网络资源是否满足策略约束条件,如果满足所述策略约束条件,则下发与所述策略约束条件相对应的执行指令;
承载设备,用于接收下发的执行指令,并实现相应的策略执行功能。
2、根据权利要求1所述的业务策略请求验证系统,其特征在于,所述策略代理设备具体包括:
策略请求接收模块,用于接收用户侧设备的业务策略请求,所述业务策略请求为业务策略的申请请求或撤销请求;
合法性验证模块,用于验证所述业务策略请求的合法性;
代理策略请求模块,用于向所述策略控制服务器发出代理策略请求。
3、根据权利要求2所述的业务策略请求验证系统,其特征在于,所述策略控制服务器具体包括:
代理策略请求接收模块,用于接收所述策略代理设备发出的代理策略请求;
策略约束判断模块,用于根据代理策略请求判断网络资源是否满足策略约束条件;
执行指令下发模块,用于当满足所述策略约束条件时,则下发与所述策略约束条件相对应的执行指令。
4、根据权利要求3所述的业务策略请求验证系统,其特征在于,还包括:
远程认证拨号用户服务设备,存有用户账号和密码,以及与用户账号对应的物理端口信息,用于根据所述策略代理设备发出的用户认证请求,检查所述用户账号是否合法,如果合法则查询与所述用户账号对应的物理端口信息,并向所述策略代理设备返回所述物理端口信息。
5、根据权利要求4所述的业务策略请求验证系统,其特征在于,还包括:
宽带远程接入服务器设备,存有用户账号对应的物理端口的当前状态,以及为用户账号分配的IP地址,用于根据策略代理设备的查询请求判断所述物理端口的当前状态是否为活跃状态,如果处于活跃状态则判断所述为用户账号分配的IP地址与所述用户侧设备的IP地址是否一致,如果一致,则向所述策略代理设备返回所述用户账号处于使用状态的信息。
6、根据权利要求4所述的业务策略请求验证系统,其特征在于,所述合法性验证模块具体包括:
用户认证请求单元,用于根据所述业务策略请求向所述远程认证拨号用户服务设备发出用户认证请求。
7、根据权利要求5所述的业务策略请求验证系统,其特征在于,所述合法性验证模块具体包括:
用户认证请求单元,用于根据所述业务策略请求向所述远程认证拨号用户服务设备发出用户认证请求;
端口状态查询请求单元,用于向所述宽带远程接入服务器设备发出查询所述物理端口是否处于活跃状态的请求。
8、根据权利要求2-7任一所述的业务策略请求验证系统,其特征在于,所述策略代理设备还包括:
用户认证挑战模块,用于向所述为用户账号分配的IP地址发出一个用户认证挑战,并接收所述分配的IP地址返回的用户认证回复;
策略权限检查模块,用于在所述用户认证回复正确时,检查所述请求的业务策略是否满足策略权限条件,如果满足,则通过所述代理策略请求模块向所述策略控制服务器发送代理策略请求。
9、根据权利要求8所述的业务策略请求验证系统,其特征在于,所述策略控制服务器还包括:
策略执行许可模块,用于当网络资源满足所述策略约束条件时,向策略代理模块发出策略执行许可消息;
所述策略代理设备还包括:
策略通知模块,用于根据所述策略服务器发出的策略执行许可消息,向用户发出用于通知网络侧所提供的业务策略的消息。
10、根据权利要求3所述的业务策略请求验证系统,其特征在于,所述策略控制服务器还包括:
计费策略更改请求模块,用于向业务运营支撑系统设备发出更改所述用户账户的计费策略的请求。
11、一种业务策略申请方法,其特征在于,包括以下步骤:
策略代理设备接收用户侧设备发出的业务策略的申请请求,该申请请求至少包括用户账号、密码和要求申请的业务策略;
策略代理设备检查用户账号是否合法以及用户账号是否处于使用状态,如果都满足,则向为所述用户账号分配的IP地址发出一个用户认证挑战,并接收所述分配的IP地址返回的用户认证回复;
如果所述用户认证回复正确,则所述策略代理设备检查所述请求的业务策略是否满足策略权限条件,如果满足,则向策略控制服务器发送代理策略申请请求,该代理策略申请请求至少包括策略代理设备的地址和策略申请请求;
所述策略控制服务器根据所述策略申请请求判断网络资源是否满足策略约束条件,如果满足,则向承载设备下发与所述策略约束条件相对应的执行指令。
12、根据权利要求11所述的业务策略申请方法,其特征在于,所述策略代理设备检查用户账号是否合法的操作具体为:
所述策略代理设备向远程认证拨号用户服务设备发出用户认证请求,所述用户认证请求至少包括所述用户账号、密码和查询与所述用户账号对应的物理端口信息的查询请求;
所述远程认证拨号用户服务设备根据自身存储的用户账号和密码,以及接收到的所述用户账号和密码检查所述用户账号是否合法,如果合法则查询与所述用户账号对应的物理端口信息,并向所述策略代理设备返回所述物理端口信息。
13、根据权利要求12所述的业务策略申请方法,其特征在于,所述策略代理设备检查用户账号处于使用状态时,还包括以下步骤:
判断所述宽带远程接入服务器为用户账号分配的IP地址与所述用户侧设备的IP地址是否一致,如果一致,则向所述策略代理设备返回所述用户账号处于使用状态的信息。
14、根据权利要求12或13所述的业务策略申请方法,其特征在于,所述与用户账号对应的物理端口信息采用永久虚电路或虚拟局域网络。
15、根据权利要求11所述的业务策略申请方法,其特征在于,所述策略控制服务器根据所述策略请求判断网络资源满足策略约束条件时,还包括以下步骤:
所述策略控制服务器向策略代理模块发出策略执行许可消息;
所述策略代理模块根据所述策略执行许可消息,向用户发出用于通知网络侧所提供的业务策略的消息。
16、根据权利要求11所述的业务策略申请方法,其特征在于,在所述策略控制服务器向承载设备下发与所述策略约束条件相对应的执行指令时,还包括以下步骤:
所述策略控制服务器向业务运营支撑系统设备发出更改所述用户账户的计费策略的请求。
17、一种业务策略撤销方法,其特征在于,包括以下步骤:
策略代理设备接收用户侧设备发出的业务策略的撤销请求,该撤销请求至少包括用户账号、密码和要求撤销的业务策略;
策略代理设备检查用户账号是否合法,如果合法,则向为所述用户账号分配的IP地址发出一个用户认证挑战,并接收所述分配的IP地址返回的用户认证回复;
如果所述用户认证回复正确,则所述策略代理设备检查所述请求的业务策略是否满足策略权限条件,如果满足,则向策略控制服务器发送代理策略撤销请求,该代理策略请求至少包括策略代理设备的地址和策略撤销请求;
所述策略控制服务器根据所述策略撤销请求判断网络资源是否满足策略约束条件,如果满足,则向承载设备下发与所述策略约束条件相对应的执行指令。
18、根据权利要求17所述的业务策略撤销方法,其特征在于,所述策略代理设备检查用户账号是否合法的操作具体为:
所述策略代理设备向远程认证拨号用户服务设备发出用户认证请求,所述用户认证请求至少包括所述用户账号、密码和查询与所述用户账号对应的物理端口信息的查询请求;
所述远程认证拨号用户服务设备根据自身存储的用户账号和密码,以及接收到的所述用户账号和密码检查所述用户账号是否合法,如果合法则查询与所述用户账号对应的物理端口信息,并向所述策略代理设备返回所述物理端口信息。
19、根据权利要求18所述的业务策略撤销方法,其特征在于,所述与用户账号对应的物理端口信息采用永久虚电路或虚拟局域网络。
20、根据权利要求17所述的业务策略申请方法,其特征在于,所述策略控制服务器根据所述策略撤销请求判断网络资源满足策略约束条件时,还包括以下步骤:
所述策略控制服务器向策略代理模块发出策略执行许可消息;
所述策略代理模块根据所述策略执行许可消息,向用户发出用于通知网络侧所提供的业务策略的消息。
21、根据权利要求17所述的业务策略撤销方法,其特征在于,在所述策略控制服务器向承载设备下发与所述策略约束条件相对应的执行指令时,还包括以下步骤:
所述策略控制服务器向业务运营支撑系统设备发出更改所述用户账户的计费策略的请求。
22、一种异常情况下业务策略撤销方法,其特征在于,包括以下步骤:
当策略代理设备检测到业务异常时,向策略控制服务器发出业务策略的撤销请求;
所述策略控制服务器根据所述撤销请求判断网络资源是否满足策略约束条件,如果满足,则向承载设备下发与所述策略约束条件相对应的执行指令。
23、根据权利要求22所述的业务策略撤销方法,其特征在于,所述策略控制服务器根据所述策略撤销请求判断网络资源满足策略约束条件时,还包括以下步骤:
所述策略控制服务器向策略代理模块发出策略执行许可消息;
所述策略代理模块根据所述策略执行许可消息,向用户发出用于通知网络侧所提供的业务策略的消息。
24、根据权利要求23所述的业务策略撤销方法,其特征在于,在所述策略控制服务器向承载设备下发与所述策略约束条件相对应的执行指令时,还包括以下步骤:
所述策略控制服务器向业务运营支撑系统设备发出更改所述用户账户的计费策略的请求。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101661938A CN101436954B (zh) | 2007-11-13 | 2007-11-13 | 业务策略请求验证系统、业务策略申请和撤销方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007101661938A CN101436954B (zh) | 2007-11-13 | 2007-11-13 | 业务策略请求验证系统、业务策略申请和撤销方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101436954A true CN101436954A (zh) | 2009-05-20 |
| CN101436954B CN101436954B (zh) | 2012-01-25 |
Family
ID=40711187
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007101661938A Active CN101436954B (zh) | 2007-11-13 | 2007-11-13 | 业务策略请求验证系统、业务策略申请和撤销方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101436954B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011063562A1 (zh) * | 2009-11-26 | 2011-06-03 | 华为技术有限公司 | 用户拨号认证方法、系统和设备 |
| CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
| WO2015063677A1 (en) * | 2013-10-28 | 2015-05-07 | Lau Tak Wai | Information bearing devices and authentication devices including same |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1595887A (zh) * | 2003-09-08 | 2005-03-16 | 华为技术有限公司 | 一种下一代网络系统及资源管理方法 |
| US8141125B2 (en) * | 2005-11-30 | 2012-03-20 | Oracle International Corporation | Orchestration of policy engines and format technologies |
| CN100370733C (zh) * | 2006-02-21 | 2008-02-20 | 华为技术有限公司 | 一种实现nsp和isp同时计费的系统及方法 |
-
2007
- 2007-11-13 CN CN2007101661938A patent/CN101436954B/zh active Active
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2011063562A1 (zh) * | 2009-11-26 | 2011-06-03 | 华为技术有限公司 | 用户拨号认证方法、系统和设备 |
| CN102257790B (zh) * | 2009-11-26 | 2014-12-10 | 华为技术有限公司 | 用户拨号认证方法、系统和设备 |
| CN102227115A (zh) * | 2011-06-13 | 2011-10-26 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
| CN102227115B (zh) * | 2011-06-13 | 2014-04-02 | 北京星网锐捷网络技术有限公司 | 一种限制用户访问的方法和装置 |
| WO2015063677A1 (en) * | 2013-10-28 | 2015-05-07 | Lau Tak Wai | Information bearing devices and authentication devices including same |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101436954B (zh) | 2012-01-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US5577209A (en) | Apparatus and method for providing multi-level security for communication among computers and terminals on a network | |
| CN101436934B (zh) | 一种控制用户上网的方法、系统及设备 | |
| EP0606401B1 (en) | Apparatus and method for providing network security | |
| CN101345743B (zh) | 防止利用地址解析协议进行网络攻击的方法及其系统 | |
| CN101247396B (zh) | 一种分配ip地址的方法、装置及系统 | |
| CN104935572B (zh) | 多层级权限管理方法及装置 | |
| EP1502463B1 (en) | Method , apparatus and computer program product for checking the secure use of routing address information of a wireless terminal device in a wireless local area network | |
| CN101540755B (zh) | 一种修复数据的方法、系统和装置 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN201479143U (zh) | 内网安全管理系统 | |
| CN101277308A (zh) | 一种隔离内外网络的方法、认证服务器及接入交换机 | |
| CN101488976B (zh) | 一种ip地址分配方法、网络设备和认证服务器 | |
| CN101267339A (zh) | 用户管理方法和装置 | |
| WO2006095438A1 (ja) | アクセス制御方法、アクセス制御システムおよびパケット通信装置 | |
| CN101127631A (zh) | 针对网络中设备实现配置管理的方法及系统 | |
| CN106792684B (zh) | 一种多重防护的无线网络安全防护系统及防护方法 | |
| CN101227481A (zh) | 一种基于dhcp协议的ip接入的方法及其装置 | |
| EP1845662B1 (en) | Information communication system, transmitting apparatus, transmitting method, and computer program | |
| CN101436954B (zh) | 业务策略请求验证系统、业务策略申请和撤销方法 | |
| CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
| JP5204054B2 (ja) | ネットワーク管理システムおよび通信管理サーバ | |
| JP2007208759A (ja) | Macアドレスとユーザ認証を組み合わせた認証セキュリティシステム | |
| CN113992406A (zh) | 一种用于联盟链跨链的权限访问控制方法 | |
| CN100477609C (zh) | 实现网络专线接入的方法 | |
| EP1280315B1 (en) | Apparatus and method for providing network security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |