CN103026687A - 限制被拒绝订户端站所消耗的资源 - Google Patents
限制被拒绝订户端站所消耗的资源 Download PDFInfo
- Publication number
- CN103026687A CN103026687A CN2011800390825A CN201180039082A CN103026687A CN 103026687 A CN103026687 A CN 103026687A CN 2011800390825 A CN2011800390825 A CN 2011800390825A CN 201180039082 A CN201180039082 A CN 201180039082A CN 103026687 A CN103026687 A CN 103026687A
- Authority
- CN
- China
- Prior art keywords
- subscriber
- aaa
- station
- access
- network element
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Power Engineering (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种在耦合于订户端站与AAA服务器之间的网络单元中执行的用于通过至少暂时抑制被拒绝订户端站的AAA接入请求消息来避免AAA处理的方法。网络单元接收来自订户端站的订户会话请求消息。订户会话请求消息包括网络单元传送给AAA服务器作为AAA接入请求消息的用于检验身份的信息。网络单元接收与AAA接入请求消息对应的AAA接入响应消息。响应AAA接入响应消息,网络单元确定对于该订户端站应当至少暂时抑制附加AAA接入请求消息。响应确定,网络单元抑制任何附加AAA接入请求消息被传送给AAA服务器。AAA接入请求消息的抑制保存网络单元和AAA服务器中的执行资源。
Description
技术领域
一般来说,本发明的实施例涉及连网领域;以及更具体来说,涉及限制网络处理期间的被拒绝订户端站所消耗的资源。
背景技术
在消费者电信领域,网络接入提供商跨各种通信介质并且通过各种通信协议将网络接入作为基于预订的服务提供给订户。许多网络接入提供商采用因特网与订户端站之间的边缘网络单元。当订户端站涉及与网络的通信时,边缘网络单元将网络业务从订户端站转发到因特网以及从因特网转发到订户端站。
例如,在DSL服务的情况下,订户端站可利用通过电话线耦合到数字订户线路接入复用器(DSLAM)的DSL调制解调器。DSLAM还可通过T1、T3、OC3、OC12、OC48或OC128经由诸如ATM或ETHERNET协议之类的各种广域网(WAN)服务来耦合到边缘网络单元。如通常的情况那样,服务提供商可实现安全措施以确保订户端站经授权利用网络。这些安全措施可认证订户端站和对应订户的身份,授权订户端站使用某些端站信息资源,并且考虑订户端站对网络资源的使用情况;这些安全措施分别共同称作认证、授权和记帐(AAA)。
每次订户端站没有通过服务提供商的安全措施来认证时,订户端站随后可尝试再次认证。在许多情况下,边缘网络单元必须将认证请求一直转发到AAA服务器,AAA服务器作为客户端/服务器系统的一部分将安全措施提供给边缘网络单元。
图1(现有技术)示出订户端站会话请求和AAA接入请求消息连同对应响应消息的数据流程图。沿图1的顶部,订户端站‘A’100、网络单元105和AAA服务器110各以指示时间推移的垂直线示出。各种请求和响应的传送按时间顺序向下示为垂直线之间的水平箭头。
图1中,订户端站‘A’100尝试发起与网络单元105的会话。为了完全发起会话,网络单元105必须向AAA服务器110检验信息。完全理解,多个订户端站可耦合到网络单元105,并且订户端站‘A’的指定用于集中于示范订户端站。
图1中,订户端站‘A’100向网络单元105传送订户端站‘A’会话请求消息120A。响应会话请求消息120A,网络单元105向AAA服务器110传送AAA接入请求消息130A。响应AAA接入请求消息130A,AAA服务器向网络单元105传送AAA接入拒绝消息135A。网络单元105响应AAA接入拒绝消息135A而向订户端站‘A’100传送订户端站‘A’会话拒绝消息125A。
在至少一些情况下,订户端站‘A’100在各会话拒绝消息125A-125N之后向网络单元105尝试另一个订户‘A’会话请求消息120B-120N。在现有技术中,网络单元105响应各订户端站‘A’会话请求消息120A-120N而传送AAA接入请求消息130A-130N。AAA服务器110又响应各AAA接入请求消息130A-130N而传送AAA接入拒绝消息135A-135N,并且网络单元105响应各AAA接入拒绝消息135A-135N而传送订户端站‘A’会话拒绝消息125A-125N。
发明内容
本发明的实施例包括一种在耦合于订户端站与AAA服务器之间的网络单元中执行的用于通过抑制被拒绝订户端站的附加AAA接入请求消息来避免AAA处理的方法。网络单元从订户端站接收一个或多个订户会话请求消息。各订户会话请求消息包括网络单元传送给AAA服务器作为AAA接入请求消息的用于检验身份的信息。网络单元从AAA服务器接收与AAA接入请求消息对应的AAA接入响应消息。响应AAA接入响应消息,网络单元确定对于该订户端站应当至少暂时抑制附加AAA接入请求消息。响应确定应当抑制附加接入请求消息,网络单元抑制任何附加AAA接入请求消息被传送给AAA服务器。AAA接入请求消息的抑制保存网络单元和AAA服务器中的执行资源。
本发明的实施例包括耦合在多个订户端站与AAA服务器之间以避免AAA处理的网络单元。网络单元包括耦合到多个订户端站的一组一个或多个端口、耦合到AAA服务器的AAA通信模块以及耦合到AAA通信模块的抑制模块。AAA通信模块配置成接收从多个订户端站所发送的预订会话请求消息。AAA通信还配置成向AAA服务器传送AAA接入请求消息,并且接收不同类型的对应AAA接入响应消息。至少一种类型的AAA接入响应消息是AAA接入拒绝消息。抑制模块包括确定模块,确定模块配置成确定激活与多个订户端站中的任何订户端站关联的AAA接入请求消息的抑制的时间。抑制模块还包括触发模块,触发模块耦合到确定模块,配置成在激活抑制时引起AAA接入请求消息的抑制。AAA接入请求消息的抑制保存网络单元和AAA服务器中的执行资源。
本发明的实施例包括一种在耦合到订户端站和边缘网络单元的AAA服务器中执行的用于避免AAA服务器中和边缘网络单元中的AAA处理的方法。AAA服务器从边缘网络单元接收包括用于检验身份的信息的AAA接入请求消息。AAA服务器基于用于检验身份的信息来访问与订户端站对应的订户记录。订户记录包括有关与订户端站关联的订户帐户的信息。AAA服务器响应AAA接入请求消息而传送AAA接入拒绝消息。AAA接入拒绝消息包括建议至少暂时抑制与订户端站关联的任何附加AAA接入请求消息的基于订户帐户的状态。AAA接入请求消息的抑制保存网络单元和AAA服务器中的执行资源。
本发明的实施例包括一种耦合到边缘网络单元以用于避免AAA服务器中和边缘网络单元中的AAA处理的AAA服务器。边缘网络单元还耦合到多个订户端站。AAA服务器包括通信模块,通信模块配置成从边缘网络单元接收多个订户端站的不同订户端站的AAA接入请求消息。通信模块还配置成向边缘网络单元传送对应AAA接入响应消息。AAA服务器还包括耦合到通信模块的订户记录管理模块。订户记录管理模块配置成存储多个订户记录。订户记录管理模块还配置成响应每个AAA接入请求消息而访问包含与对应订户相关的订户记录。AAA服务器还包括AAA接入响应生成模块,AAA接入响应生成模块耦合到订户记录管理模块和通信模块。AAA接入响应生成模块配置成基于当前访问的订户记录来生成AAA接入响应消息,其中至少一个AAA接入响应消息是AAA接入拒绝消息。AAA接入拒绝消息指示至少暂时抑制与那个订户记录关联的任何附加AAA接入请求消息。AAA接入请求消息的抑制保存网络单元和AAA服务器中的执行资源。
附图说明
在附图的图中作为示例而不是限制来说明本发明,附图中,相似的参考标号表示相似的单元。应当注意,本公开中,“一”、“一个”实施例的不同说法不一定表示同一个实施例,并且这类说法意味着至少一个。此外,在结合一实施例来描述特定特征、结构或特性时,认为结合无论是否明确描述的其它实施例来实现这种特征、结构或特性是在本领域的技术人员的知识范围之内的。
通过参照用于示出本发明的实施例的附图和以下描述,可以最好地理解本发明。附图中:
图1(现有技术)示出订户端站会话请求和AAA接入请求消息连同对应响应消息的数据流程图。
图2说明示出按照本发明的实施例、至少暂时抑制被拒绝订户端站的附加AAA接入请求消息的概览的数据流程图。
图3A示出基于具有指示暂时抑制的状态的接入拒绝消息来至少暂时抑制被拒绝订户端站的附加AAA接入请求消息的本发明的第一实施例的数据流程图。
图3B示出基于AAA接入尝试的次数来暂时抑制被拒绝订户端站的附加AAA接入请求消息的本发明的第二实施例的数据流程图。
图4A示出在网络单元至少暂时抑制被拒绝订户端站的附加AAA接入请求消息的本发明的第三实施例的数据流程图。
图4B示出在接入网内至少暂时抑制被拒绝订户端站的附加会话请求消息的本发明的第四实施例的数据流程图。
图5是示出按照本发明的实施例、其中至少暂时抑制被拒绝订户端站的AAA接入拒绝消息的包括网络单元、AAA服务器和接入网的系统的框图。
图6示出按照本发明的实施例、用于至少暂时抑制被拒绝订户端站的附加AAA接入请求消息的本发明的方法的流程图。
具体实施方式
以下描述描述用于避免被拒绝订户端站的AAA处理的方法和设备。在以下描述中,提出了诸如逻辑实现、操作码、指定操作数的部件、资源划分/共享/重复实现、系统组件的类型和相互关系以及逻辑划分/综合选择之类的许多具体细节,以便提供对本发明的更透彻理解。然而,本领域的技术人员将会理解,即使没有这类具体细节,也可实施本发明。在其它情况下,没有详细示出控制结构、门级电路和完整软件指令序列,以免影响对本发明的理解。通过所包括的描述,本领域的技术人员将能够实现适当的功能性而无需过分实验。
说明书中提到“一个实施例”、“一实施例”、“一示例实施例”等表示所述的实施例可包括特定特征、结构或特性,但可能不一定每一个实施例都包括该特定特征、结构或特性。此外,这类词语不一定指同一个实施例。此外,在结合一实施例来描述特定特征、结构或特性时,认为结合无论是否明确描述的其它实施例来实现这种特征、结构或特性是在本领域的技术人员的知识范围之内的。
在以下描述和权利要求书中,可使用术语“耦合”和“连接”及其派生。应当理解,这些术语不是要作为彼此的同义词。“耦合”用于表示彼此可以有或者可以没有直接物理或电接触的两个或更多单元相互配合或交互。“连接”用于表示相互耦合的两个或更多单元之间的通信的建立。
本文所使用的“网络单元”(例如路由器、交换机、桥接器)是包括硬件和软件的一个连网设备,它在通信上互连网络上的其它设备(例如其它网络单元、端站)。一些网络单元是“多服务网络单元”,它们提供对多个连网功能(例如路由选择、桥接、交换、第2层聚合、会话边界控制、服务质量和/或订户管理)的支持,和/或提供对多个应用服务(例如数据、语音和视频)的支持。订户端站(例如服务器、工作站、膝上型计算机、上网本、掌上型计算机、移动电话、智能电话、多媒体电话、基于因特网协议的语音(VOIP)电话、用户设备、终端、便携媒体播放器、GPS单元、游戏系统、机顶盒)访问通过因特网所提供的内容/服务和/或覆盖于因特网的虚拟专用网络(VPN)上(例如通过其中隧道传递)提供的内容/服务。内容和/或服务通常由属于服务或内容提供商的一个或多个端站(例如服务器端站)或者参与对等服务的端站来提供,并且可包括例如公开网页(例如免费内容、店面、搜索服务)、私人网页(例如提供电子邮件服务的用户名/密码访问网页)和/或基于VPN的公司网络。通常,订户端站(例如通过与接入网(有线或无线)耦合的客户驻地设备)耦合到边缘网络单元,边缘网络单元(例如通过一个或多个核心网络单元)耦合到与其它端站(例如服务器端站)耦合的其它边缘网络单元。
一些网络单元包括AAA(认证、授权和记帐)协议的功能性(例如RADIUS(远程认证拨号用户服务)、Diameter和/或TACACS+(终端接入控制器接入控制系统)。AAA能够通过客户端/服务器模型来提供,其中AAA客户端在网络单元上实现,以及AAA服务器能够在网络单元上本地实现或者在与网络单元耦合的远程端站(例如服务器端站)上来实现。认证是识别和检验订户的过程。例如,订户可能通过用户名和密码的组合或者经由独特密钥来识别。授权确定订户在被认证之后能够做什么,例如获得对某些端站信息资源的访问权(例如通过使用接入控制策略)。记帐记录用户活动。作为一个概括示例,订户端站可通过边缘网络单元(支持AAA处理)来耦合(例如通过接入网),边缘网络单元耦合到核心网络单元,核心网络单元与服务/内容提供商的服务器端站耦合。执行AAA处理以识别订户的订户记录。订户记录包括在那个订户的业务的处理期间所使用的属性集合(例如订户名、密码、认证信息、接入控制信息、速率限制信息、管制信息)。
图2是示出按照本发明的实施例、至少暂时抑制被拒绝订户端站的附加AAA接入请求消息的概览的数据流程图。沿图2的顶部,订户端站‘A’200、接入网250、网络单元205和AAA服务器210各以指示时间推移的垂直线示出。各种消息的传送按时间顺序向下示为垂直线之间的水平箭头,并且基于特定实现是可选的消息以短划线箭头示出。
图2中,订户端站‘A’200通过接入网250耦合到网络单元205。订户端站‘A’200不时地可尝试发起与网络单元205的会话。接入网例如可包括使用ATM或ETHERNET协议耦合到诸如T1、T3、OC3、OC12、OC48和OC128之类的各种广域网(WAN)服务的DSLAM和/或电缆调制解调器端接系统。在本发明的一个实施例中,网络单元205是包括一个或多个AAA(认证、授权和记帐)协议的功能性(例如AAA客户端)的边缘网络单元。
为了便于发起会话,订户端站‘A’200朝网络单元205传送订户端站‘A’会话请求消息220A。这个消息通过接入网250发送,并且作为订户端站‘A’会话请求消息221A由网络单元205接收。例如,订户端站‘A’会话请求消息220A可由DSLAM(未示出)接收,并且作为订户端站‘A’会话请求消息221A转发到网络单元205。响应订户端站‘A’会话请求消息221A,网络单元205将向AAA服务器210传送AAA接入请求消息230A。AAA接入请求消息230A包括认证请求。
在至少一些情况下,AAA服务器210将拒绝AAA接入请求消息230A的认证。AAA服务器210可由于多个原因的任一个而拒绝该接入请求。例如,可能是AAA接入请求消息230A中包含的标识信息不知何故而无效或不足,例如不正确的用户名/密码组合或者无效密钥。在其它情况下,可能是标识信息正确但是存在某一其它原因而没有认证订户端站‘A’200。例如,可能是与订户端站‘A’200关联的订户已经使网络接入被撤消。撤消网络接入的原因可能包括但不限于不充分支付、可接受使用规则的违反以及损害的订户端站。
AAA服务器210响应AAA接入请求消息230A而向网络单元205传送AAA接入拒绝消息235A。虽然在本发明的一些实施例中,AAA接入拒绝消息235A将包含指示应当抑制与订户端站‘A’关联的附加AAA接入请求消息的状态信息,但是备选实施例可以没有包含这种信息。
AAA安全措施的一些实现可符合请求评论(RFC)2865“Remote Authentication Dial In User Service (RADIUS)”(2000年6月)中所述的RADIUS协议;而其它实现可符合RFC 3588“Diameter Base Protocol”(2003年9月)。
在一个实施例中,AAA接入拒绝消息235A符合如RFC 2865中所述的标准RADIUS协议。RADIUS协议允许每个AAA消息包括可专用于网络单元205或AAA服务器210的设计人员所提出的可配置目的的通用字段。这个通用字段称作厂商特定属性(VSA)。在这个实施例中,AAA接入拒绝消息235A包括VSA,并且指示应当抑制附加AAA接入请求消息的状态信息包括在VSA中。符合RFC 3588中的Diameter协议的另一个实施例可使用属性值对AVP来传送状态信息。
在一些实施例中,网络单元205通过接入网250朝订户端站‘A’200传送订户端站‘A’会话拒绝消息223A,并且这个消息作为订户端站会话拒绝消息222A传递到订户端站‘A’。但是,在其它实施例中,订户端站‘A’会话拒绝消息223A和222A没有传送给接入网250或订户端站‘A’200。订户端站‘A’会话拒绝消息223A和222A如短划线示为从网络单元205传播到接入网250以及从接入网250传播到订户端站‘A’200。
响应接收到具有状态或者没有状态的AAA接入拒绝消息235A,网络单元205将进行抑制判定238;也就是说,它将确定是否应当存在与订户端站‘A’关联的AAA接入请求消息的抑制。抑制判定238示为通过从网络单元205的垂直线转到抑制判定238的弯曲带箭头线条以及从抑制判定238回转到网络单元205的垂直线的第二弯曲带箭头线条与网络单元205关联的椭圆。设想抑制判定238的各种实施例,并且将参照图3A和图3B来描述这些实施例中的一些实施例。
在确定抑制应当发生的情况下,网络单元205将引起与订户端站‘A’关联的AAA接入拒绝消息的抑制。抑制可按照各种方式发生,并且设想多个实施例。
如沿从网络单元205向下延伸的垂直线从抑制判定238向下延伸的垂直矩形所表示,网络单元205响应附加订户端站‘A’会话请求消息220G-220M而引起送往AAA服务器210的任何附加AAA接入请求消息的暂时抑制240。在抑制240是活动的时,网络单元205将不向AAA服务器210传送任何附加AAA接入请求消息以响应附加订户端站‘A’会话请求消息220G-220M。在一些实施例中,在接入网250中阻塞任何附加订户端站‘A’会话请求消息220G-220M,并且因而网络单元将没有接收到附加订户端站‘A’会话请求消息221G-221M(因此,附加订户端站‘A’会话请求消息221G-221M以从接入网250延伸到网络单元205的短划线示出)。在其它实施例中,任何附加订户端站‘A’会话请求消息220G-220M经过接入网250并且作为订户端站‘A’会话请求消息221G-221M由网络单元205接收。参照图4A和图4B来描述抑制方式240的实施例。
在终止抑制240时,网络单元205将按照与网络单元205处理订户端站‘A’会话请求消息221A相同的方式来处理订户端站‘A’会话请求消息221N。虽然这里稍后将参照图3A-3B和图4A-4B来描述抑制判定238和暂时抑制方式240的示范实施例,但是将会理解,本发明可在其它实施例中实施。
抑制240可限制到某个时间段。在备选实施例中,抑制240没有限制到某个时间段,而是响应某个外部事件而结束;例如,网络单元205可接收指示应当终止抑制240的消息。在又一个实施例中,抑制240可限制到某个时间段,但是也可响应某个外部事件而结束,例如网络单元205接收到应当结束抑制240的消息。在抑制240限制到某个时间段的实施例中,抑制240被说成是暂时的。在抑制240没有限制到某个时间段的实施例中,抑制不一定是暂时的,因为它仅响应外部事件而结束。在这个意义上,抑制240至少是暂时的,因为它可持续某个固定时间段,可持续未确定时间段,或者根本不结束。
例如,在一个实施例中,暂时抑制与接入复位定时器关联。响应暂时抑制被激活,启动对应接入复位定时器。响应接入复位定时器经过可结合对应订户端站来指定或者可针对所有订户端站来设置的某个时间段,将停用暂时抑制;抑制240被说成是暂时的。在另一个实施例中,响应指示应当停用抑制的授权变更消息而停用抑制;抑制240不一定是暂时的,而是可结束的。又一个实施例利用接入复位定时器和授权变更消息的组合,使得抑制240可响应对应接入复位定时器的完成而结束,而且还可响应授权变更消息而结束;抑制240是暂时的,并且可在时间段结束之前结束。
抑制AAA接入请求消息的优点是节省网络单元205和AAA服务器210中的执行资源,例如网络带宽、中央处理器(CPU)资源和/或存储资源。网络单元250和AAA服务器210通过限制响应订户端站‘A’会话请求消息220G-220M所需的处理量,来保存执行资源。
限制被拒绝订户端站所消耗的执行资源的其它方法可引入安全弱点,和/或允许被拒绝订户端站消耗比所需的更多的执行资源。例如,一种方法是接受认证请求,而是仅授权订户端站访问网络的隔离部分。通过对订户端站授权网络的隔离部分,订户端站具有对可用服务的有限访问权或者没有访问权,而是将不再进行重复的认证请求,因为订户端站的认证请求未被拒绝。但是,甚至准予对网络的有限访问权也具有潜在安全隐患。此外,订户端站甚至在被隔离到网络的受限部分时也可消耗网络单元上以及接入网上的资源。因此,抑制附加AAA接入请求消息是有利的,因为它保存更大的执行资源而没有显现安全弱点。
图3A示出基于具有指示抑制的状态的接入拒绝消息来至少暂时抑制被拒绝订户端站的附加AAA接入请求消息的本发明的第一实施例的数据流程图。图3A与图2相同,除了采用具有状态的AAA接入拒绝消息335A来替代AAA接入拒绝消息235A,以及采用基于具有状态的接入拒绝消息的抑制判定338来替代抑制判定238。图3A中,AAA服务器310已配置成采用具有状态的AAA接入拒绝消息335A来响应AAA接入请求消息230A。具有状态的AAA接入拒绝消息335A包含指示批准AAA接入请求消息的抑制的信息。响应接收到具有状态的AAA接入拒绝消息335A,网络单元205基于具有状态的接入拒绝消息335A内包含的信息来进行抑制判定338。在一些实施例中,接入拒绝消息内包含的信息是订户端站‘A’200被AAA服务器310拒绝的原因。在其它实施例中,信息只是指示批准抑制的标志。
图3B示出基于AAA接入尝试的次数至少暂时抑制被拒绝订户端站的附加AAA接入请求消息的本发明的第二实施例的数据流程图。图3B与图2相同,除了:1) 订户端站‘A’会话请求消息220B-F/221B-F导致网络单元205向AAA服务器210发送AAA接入请求消息230B-F并且从其中接收响应AAA接入拒绝消息[具有/没有状态]235B-F—这是因为没有发起抑制,直到AAA接入拒绝消息235F之后;以及2) 采用基于尝试的抑制判定368来替代抑制判定238。
具体来说,订户端站‘A’200按照与参照图2所述相似的方式来尝试发起与网络单元205的会话。订户端站‘A’会话请求消息220A由网络单元205和AAA服务器210按照与参照图2所述相似的方式来发送和处理。但是,在这种情况下,网络单元205跟踪订户端站‘A’不成功进行的重复订户端站‘A’会话请求消息221A-221F的数量。响应达到某个阈值尝试次数(图3B中示为6,但是本发明中并不局限于任何特定数量),网络单元205基于尝试次数来进行抑制判定368。网络单元205随后按照与参照图2所述相似的方式来引起与订户端站‘A’240关联的AAA接入请求消息的抑制。虽然在一个实施例中,抑制判定368基于尝试次数,但是备选实施例可使用其它准则(例如时间的滚动窗口内的尝试次数)。
图4A示出在网络单元至少暂时抑制被拒绝订户端站的附加AAA接入请求消息的本发明的第三实施例的数据流程图。与图2中相似,沿图4A的顶部,订户端站‘A’200、接入网250、网络单元205和AAA服务器210各以指示时间推移的垂直线示出。各种消息的传送按时间顺序向下示为垂直线之间的水平箭头,并且基于特定实现是可选的消息以短划线箭头示出。
图4A开始于自图2的抑制判定238而不是消息220A、221A、230A和235A。另外,图4A中,订户端站‘A’会话请求消息221G-M是实线(与图2中的短划线相反),以便指示那些消息由网络单元205接收。此外,采用在网络单元205引起与订户端站‘A’关联的AAA接入请求消息的至少暂时抑制440来替代图2的抑制240。因此,图4A中的焦点在于,附加AAA接入请求消息的抑制在网络单元205发生。
某些网络单元(例如某些边缘网络单元)在内部使用订户电路(subscriber circuit)来表示订户端站(或者有时为客户驻地设备(CPE),例如住宅网关(例如路由器、调制解调器))。订户电路在网络单元内独特地标识订户会话,并且通常对于会话的存在期存在。因此,网络单元通常在订户连接到那个网络单元时分配订户电路,并且对应地在那个订户断开连接时取消分配那个订户电路。各订户会话表示在网络单元与订户端站(或者有时为CPE,例如住宅网关或调制解调器)之间使用诸如基于另一个协议的点对点协议(PPPoX)(例如其中X是以太网或异步传输模式(ATM))、以太网、802.1Q虚拟LAN(VLAN)、因特网协议或ATM)之类的协议所传递的可区分分组流。订户会话能够使用各种机制(例如人工提供动态主机配置协议(DHCP)、DHCP/无客户端因特网协议服务(CLIP)或媒体接入控制(MAC)地址跟踪)来发起。例如,点对点协议(PPP)常用于DSL服务,并且要求安装使订户能够输入用户名和密码的PPP客户端,其又可用于选择订户记录。当使用DHCP(例如用于线缆调制解调器服务)时,通常不提供用户名;但是在这类情况下,提供订户端站(或CPE)中的硬件的MAC地址。网络单元上的DHCP和CLIPS的使用捕获MAC地址,并且使用这些地址来区分订户并且访问其订户记录。
参照图4A,一旦抑制判定238发生—如参照图2所述—网络单元205就引起在网络单元205抑制440与订户端站‘A’关联的附加AAA接入请求消息。在这里,网络单元205继续接收附加订户端站‘A’会话请求消息221G-M,但是没有向AAA服务器210传送对应AAA接入请求消息。虽然在本发明的一个实施例中,网络单元205基于会话请求消息内包含的与订户端站‘A’200关联的标识符、基于与订户端站‘A’200关联的MAC地址或者基于与订户端站‘A’200关联的电路标识符来过滤会话请求消息,但是备选实施例可使用更多、更少或者不同的标识符。在终止抑制时,网络单元205将停止过滤订户端站‘A’会话请求消息,并且将再次向AAA服务器210传送与订户端站‘A’200关联的对应AAA接入请求消息。
图4B示出在接入网内至少暂时抑制被拒绝订户端站的附加会话请求消息的本发明的第四实施例的数据流程图。图4B与图4A相同,除了:1) 采用在接入网250内引起与订户端站‘A’关联的AAA接入请求消息的至少暂时抑制445来替代引起抑制440;2) 从网络单元205到接入网250的抑制消息455已经添加到抑制445的开始;3) 去除了订户端站‘A’会话请求消息221G-221M;以及4) 从网络单元205到接入网250的非抑制消息460已经添加到抑制445的结束。图4B中的焦点在于,附加AAA接入请求消息的抑制包括抑制附加会话请求消息到达网络单元205。
一旦抑制判定238发生—如参照图2所述—网络单元205就引起在接入网250抑制445与订户端站‘A’200关联的附加AAA会话请求消息。在这种情况下,网络单元205向通过某个独特值来识别订户端站‘A’200的接入网250传送抑制消息455。
在本发明的一个实施例中,网络单元205基于MAC地址或者基于电路标识符来识别订户端站‘A’200。抑制消息455输送接入网能够防止附加订户端站‘A’会话请求消息220G-220M到达网络单元205的足够信息。因此,在网络单元205的执行资源进一步保存,因为在网络单元205中不要求对附加订户端站‘A’会话请求消息221G-221M的处理。在终止抑制时,网络单元205将向接入网250传送标识应当不再抑制订户端站‘A’的非抑制消息460。虽然在一个实施例中,抑制消息和非抑制消息是分别指示电路关(circuit down)和电路开(circuit up)的操作、管理、维护和提供(OAMP)消息,但是备选实施例可使用其它类型的消息,例如故障、配置、记帐、性能、安全(FCAPS)消息。
在接入网250接收到非抑制消息460之后,接入网250将响应接收到订户端站‘A’会话请求消息220N而向网络单元205传送订户端站‘A’会话请求消息221N。网络单元205将向AAA服务器210传送对应的AAA接入请求消息230N。应当注意,图3A和图3B所示的实施例可与图4A和图4B所示的实施例的任一个配合使用。
图5是示出按照本发明的实施例、其中至少暂时抑制被拒绝订户端站的AAA接入拒绝消息的包括网络单元、AAA服务器和接入网的系统的框图。所示的系统按照如先前图2-4B中所述的方式进行操作。这个图包括根据特定实现是可选的消息、模块和耦合。因此,是可选的模块通过短划线框示出,并且以短划线箭头耦合到其它模块。可选消息通过点划线箭头示出,而必要消息通过虚线箭头示出。此外,数据记录中的可选字段通过括号示出,而必要字段不加括号示出。
图5中,订户端站200A-200N通过接入网250耦合到网络单元205中的端口515A。网络单元205还通过端口515N耦合到内容/服务570以及耦合到AAA服务器210。
网络单元205至少包括与抑制模块530耦合的AAA通信模块525。AAA通信模块525与AAA服务器210进行通信。AAA通信模块525至少分别传送和接收AAA接入请求消息560和AAA接入响应消息565。在本发明的一些实施例中,AAA通信模块525还接收指示关联订户端站的非抑制的AAA授权变更消息568。
抑制模块530进行抑制判定238,并且引起与订户端站‘A’的附加AAA接入请求消息的抑制240。具体来说,抑制模块包括确定模块531,确定模块531能够如参照图2所述进行抑制判定(例如按照图3A和/或图3B中所述的方式)以及抑制模块还包括触发模块532,触发模块532如参照图2所述引起抑制(例如按照图4A和图4B中所述的方式)。
在利用接入复位时间的那些实施例中,抑制模块还包括与确定模块531和触发模块532耦合的定时器模块536。定时器模块536保持多个接入复位时间536#1-536#N。每个定时器对应于一个或多个当前抑制的订户端站。当确定模块531进行抑制判定238时,在定时器模块536中启动对应的接入复位定时器。虽然在本发明的一个实施例中,这个定时器设置成运行基于全局值或者基于关联订户的某个时间段(这个值可存储在被阻塞订户记录526A中),但是它在备选实施例中可按照更多、更少或者不同的方式来设置(例如,配置用于各端口的值、配置用于各虚拟路由器的值等)。在接入复位定时器运行所分配时间段之后,触发模块将停用暂时抑制。
在至少一些实施例中,抑制模块保持被阻塞标识符535的列表。被阻塞标识符535的列表包括各与对其激活AAA接入请求消息的抑制的订户或者订户端站关联的标识符的列表。虽然在本发明的一个实施例中,被阻塞标识符535的列表可包括电路句柄(CCT句柄(handle))的列表和MAC地址的列表,但是备选实施例可使用更多、更少或者不同的标识符(例如ATM VPI/VCI、VLAN ID的列表和/或订户标识符的列表)。触发模块532响应订户端站的抑制的激活而会将与那个订户端站关联的标识符添加到被阻塞标识符535的列表。响应抑制的停用,触发模块会从被阻塞标识符535的列表中去除标识符;该标识符关联对其停用抑制的订户或者订户端站。
有可能使触发模块532按照多种方式来激活/停用AAA接入请求消息的抑制。参照图4A和图4B来描述这些方式中的一些方式。
例如,在网络单元实现抑制的实施例中,如图4A所示,网络单元可包括分组处理模块580。触发模块532响应抑制判定238而会向分组处理模块580传递与所抑制订户端站关联的标识符。分组处理模块580会能够识别与被阻塞订户端站或订户关联的入局会话请求消息,并且丢弃会话请求,使得不会发送AAA接入请求消息。
在参照图4A的另一个实施例中,触发模块532可向AAA通信模块525指示针对与被阻塞订户端站或订户关联的会话请求消息不应当传送附加AAA接入请求消息。在这种情况下,AAA通信模块不会向AAA服务器210发送任何AAA接入请求消息以响应接收来自被阻塞订户端站或订户的会话请求消息。
引起附加AAA接入请求消息的抑制的另一种方式如图4B所述在接入网250中执行。在这个实施例中,触发模块532与OAMP模块581进行通信,以便指示激活/停用附加AAA接入请求消息的抑制。OAMP模块581向接入网250传送对应抑制/非抑制消息。响应抑制/非抑制消息,接入网将阻塞或转发来自关联订户端站的会话请求消息。在这种情况下,抑制不仅抑制AAA接入请求消息,而且还抑制会话请求消息到达网络单元205。在至少一些实施例中,抑制/非抑制消息是信道关/信道开(channel down/channel up)OAMP消息,指示接入网250应当关闭/调出与订户端站关联的网络电路。这种方法的优点在于,网络单元205没有使用执行资源来应答将因抑制而没有对应AAA接入请求消息的附加会话请求消息。
图5中,AAA服务器210用于响应AAA接入请求消息而认证各订户。AAA服务器210包括通信模块50、AAA接入响应生成模块555和订户记录管理模块540。订户记录管理模块540保持订户记录545的列表。
通信模块550负责传送和接收送往和来自网络单元205中的AAA通信模块525的消息。AAA接入响应生成模块555构建对AAA接入请求消息560的适当AAA接入响应消息565。在至少一些情况下,这个消息将是具有或没有状态信息的AAA接入拒绝消息,状态信息建议与对应订户端站或订户关联的附加AAA接入请求消息的抑制。
订户记录545A包括与各订户关联的信息。订户记录545A至少包括独特地标识对应订户的订户标识符;例如用户名。虽然在本发明的一个实施例中,订户标识符是与订户关联的独特整数,但是在备选实施例中,订户标识符可以是不同的(例如与对应订户端站关联的MAC地址)。在本发明的一个实施例中,订户记录545A还包括密码、封帧IP地址(framed IP address)、服务类型、识别接入复位定时器的信息和/或拒绝消息原因(各在图5中以括号示出)。
在本发明的一些实施例中,来自订户记录545A的信息在AAA接入响应消息565中传送给AAA通信模块525。在那些实施例中,AAA接入响应生成模块构建包括来自订户记录545A的信息的适当AAA接入响应消息565。订户记录545A中包含的信息由抑制模块用于如图2所述引起AAA接入请求消息的抑制240(例如按照图4A和图4B中所述的方式)。在一个实施例中,AAA通信模块525还包括填充有AAA接入响应消息内接收的订户信息的被阻塞订户记录526的列表。在备选实施例中,将订户信息填充到抑制模块530中的被阻塞标识符535的列表中。
在利用上述接入复位定时器的实施例中,订户记录545还能够包括识别特定接入复位定时器或者响应暂时抑制而对各订户运行接入复位定时器的时间长度的信息。这个信息会用于在定时器模块536中选择正确定时器或者设置正确定时器值。
此外,在本发明的一个实施例中,触发模块532支持抑制的多种方式,例如参照图4A和图4B所述。在这个实施例中,触发模块532能够使用服务类型字段来确定抑制的可用方式的哪一种应当用于特定订户端站200A-200N。例如,服务类型可能指示订户端站200A-200N经由广播信道耦合到网络单元205,并且因此触发模块532会使用参照图4A所述的方式。备选地,服务类型可能指示订户端站200A-200N经由基于电路的信道耦合到网络单元205,并且因此触发模块532会使用参照图4B所述的方式来引起抑制445。
参照图4A和图4B,抑制模块引起抑制440或445,并且使用从订户记录545A所填充的信息来识别对其应当抑制AAA接入请求消息的订户端站会话请求消息。在本发明的一个实施例中,抑制模块利用订户标识符来确定用于抑制订户端站的被阻塞标识符,而另一个实施例利用封帧IP地址。在一个实施例中,被阻塞标识符是CCT句柄,而在备选实施例中,被阻塞标识符能够是另一个标识符(例如MAC地址、ATM VPI/VCI、VLAN ID、订户id)。
在一个实施例中,订户记录545包括指示为什么应当抑制订户的拒绝原因。例如,拒绝原因可指示不充分支付、可接受使用规则的违反和/或损害的订户端站。所有这些原因可建议,应当抑制关联订户端站或订户的附加接入请求消息。在本发明的一个实施例中,拒绝原因在AAA接入响应消息565中传送给AAA通信模块。参照图3A,拒绝原因包括在具有状态的AAA接入拒绝消息335A中,并且由确定模块531用于进行抑制判定338。
在一些实施例中,通信模块550配置成响应订户记录545A被订户记录管理模块540更新而发送AAA授权变更消息568。具体来说,在订户记录545A具有指示不充分支付的拒绝原因的情况下,订户记录管理模块540可在接收关于进行了充分支付的指示之后清除拒绝原因。在那种情况下,通信模块550可向AAA通信模块525发送指示不再批准对应订户端站的抑制的授权变更消息568。
图6示出用于至少暂时抑制被拒绝订户端站的附加AAA接入请求消息的本发明的方法的流程图。该方法中的许多步骤根据本发明的实现是可选的,并且那些步骤以短划记号示出。
在处理中的某个点,网络单元205接收与订户端站‘A’关联的具有或没有指示拒绝原因的状态信息的AAA接入拒绝消息620。作为响应,网络单元205进行是否引起附加AAA接入请求消息的抑制的判定(625)。如果网络单元205判定不引起抑制,则网络单元继续进行到处理630。
在网络单元205判定引起附加AAA接入请求消息的抑制的情况下,网络单元随后引起订户端站‘A’的抑制640(这如参照图4A所述可在网络单元205内,或者如参照图4B所述可在接入网内—并且因而也引起抑制附加会话请求消息被网络单元205接收)。在包括接入复位定时器的那些实施例中,网络单元将响应判定抑制判定而开始订户端站‘A’的接入复位时间650。
在后来的某个点,网络单元205将引起结束订户端站‘A’的附加AAA接入请求消息的抑制660。在还引起会话请求消息的接收的抑制的情况下,网络单元205还将结束附加会话请求消息的抑制665。在利用接入复位定时器的那些实施例中,引起抑制结束660可响应与订户端站‘A’关联的接入复位定时器运行650的完成而执行。
此外,可能网络单元205接收指示订户端站‘A’的非抑制的AAA授权变更消息670。响应AAA授权变更消息,网络单元205必须判定是否应当结束抑制675。如果因为不存在抑制或者因为其它因素指示抑制应当代替消息继续进行,所以抑制不需要结束,则网络单元205将继续进行处理630。如果抑制应当结束,则网络单元205将如上所述引起抑制的结束660。在利用接入复位定时器的实施例中,网络单元205还可响应判定结束抑制675而清除与订户端站‘A’关联的接入复位定时器680。
网络单元通常分为控制平面和数据平面(有时称作转发平面或媒体平面)。在网络单元是路由器(或者实现路由选择功能性)的情况下,控制平面通常确定如何路由选择数据(例如分组)(例如,数据的下一跳以及那个数据的出局端口),而数据平面负责转发那个数据。例如,控制平面通常包括与其它网络单元进行通信以便交换路由并且基于一个或多个路由选择量度来选择那些路由的一个或多个路由选择协议(例如边界网关协议(BGP)、内部网关协议(IGP)(例如开放最短路径优先(OSPF)、路由选择信息协议(RIP)、中间系统到中间系统协议(IS-IS))、标签分布协议(LDP)、资源保存协议(RSVP))。
路由和相邻性存储在控制平面上的一个或多个路由选择结构(例如路由选择信息库(RIB)、标签信息库(LIB)、一个或多个相邻性结构)中。控制平面基于路由选择结构采用信息(例如相邻性和路由信息)来对数据平面进行编程。例如,控制平面将相邻性和路由信息编程到数据平面上的一个或多个转发结构(例如转发信息库(FIB)、标签转发信息库(LFIB)以及一个或多个相邻性结构)中。数据平面在转发业务时使用这些转发和相邻性结构。
每个路由选择协议基于某些路由量度(量度对于不同路由选择协议能够是不同的)将路由条目下载到主RIB。每个路由选择协议能够在本地RIB(例如OSPF本地RIB)中存储路由条目,其中包括没有下载到主RIB的路由条目。管理主RIB的RIB模块从路由选择协议所下载的路由中选择路由(基于量度集合),并且将那些所选择路由(有时称作活动路由条目)下载到数据平面。RIB模块还能够使路由在路由选择协议之间重新分布。
对于第2层转发,网络单元能够存储用于基于这个数据中的第2层信息来转发数据的一个或多个桥接表。
通常,网络单元包括一个或多个线路卡的集合、一个或多个控制卡的集合以及可选的一个或多个服务卡(有时称作资源卡)的集合。这些卡通过一个或多个机构(例如耦合线路卡的第一全网格以及耦合全部卡的第二全网格)耦合在一起。线路卡集合组成数据平面,而控制卡集合提供控制平面并且通过线路卡与外部网络单元交换分组。服务卡集合能够提供专用处理(例如第4至第7层服务(例如防火墙、IPsec、IDS、P2P)、VoIP会话边界控制器、移动无线网关(GGSN、演进分组系统(EPS)网关))。作为举例,服务卡可用于端接IPsec隧道,并且运行伴随认证和加密算法。
如本文所述,指令可表示诸如配置成执行某些操作或具有预定功能性的专用集成电路(ASIC)之类的硬件的特定配置或者非临时计算机可读介质中包含的存储器中存储的软件指令。因此,附图所示的技术能够使用在一个或多个电子装置(例如端站、网络单元)上存储和运行的代码及数据来实现。这类电子装置使用诸如非临时计算机可读存储媒体(例如磁盘、光盘、随机存取存储器、只读存储器、闪速存储器装置、相变存储器)和临时计算机可读通信媒体(例如电、光、声或其它形式的传播信号—如载波、红外信号、数字信号)之类的计算机可读媒体来存储和(内部地和/或通过网络与其它计算装置)传递代码和数据。另外,这类电子装置通常包括一组一个或多个处理器,处理器耦合到诸如一个或多个存储装置(非临时机器可读存储媒体)、用户输入/输出装置(例如键盘、触摸屏和/或显示器)和网络连接之类的一个或多个其它组件。该组处理器和其它组件的耦合通常通过一个或多个总线和桥接器(又称作控制器)进行。因此,给定电子装置的存储装置通常存储供那个电子装置的该组一个或多个处理器上执行的代码和/或数据。当然,本发明的一实施例的一个或多个部分可使用软件、固件和/或硬件的不同组合来实现。
虽然根据若干实施例描述了本发明,但是本领域的技术人员将会认识到,本发明并不限于所述的实施例。在所附权利要求书的精神和范围之内,能够通过修改和变更来实现本发明的方法和设备。因此,本描述将被视作对本发明的说明而不是限制。
Claims (22)
1. 一种在网络单元中执行的用于避免认证、授权和记帐(AAA)处理的方法,其中所述网络单元耦合在订户端站与AAA服务器之间,所述方法包括下列步骤:
从所述订户端站接收至少包括用于检验身份的信息的一个或多个订户会话请求消息;
向所述AAA服务器传送与所述一个或多个订户会话请求消息对应的一个或多个AAA接入请求消息;
从所述AAA服务器接收与所述一个或多个AAA接入请求消息对应的一个或多个AAA接入响应消息;
响应所述一个或多个AAA接入响应消息而确定引起与所述订户端站关联的任何附加AAA接入请求消息的至少暂时抑制;以及
响应所述确定步骤而引起至少暂时抑制任何附加AAA接入请求消息响应从所述订户端站所接收的订户会话请求消息而发送给所述AAA服务器,由此在所述网络单元和所述AAA服务器保存执行资源。
2. 如权利要求1所述的方法,其中,所述对应一个或多个AAA接入响应消息是单个AAA接入拒绝消息,并且所述确定步骤包括下列步骤:
确定所述AAA接入拒绝消息包括建议所述至少暂时抑制的状态。
3. 如权利要求2所述的方法,其中,所述引起步骤包括下列步骤:
基于与所述订户端站关联的媒体接入控制地址来使与所述订户端站关联的任何附加AAA接入请求消息被丢弃。
4. 如权利要求1所述的方法,还包括下列步骤:
响应所述确定步骤而启动接入复位定时器,其中所述接入复位定时器与所述订户端站关联,并且所述接入复位测量时间间隔;以及
响应所述时间间隔的完成而引起所述至少暂时抑制的结束。
5. 如权利要求1所述的方法,还包括下列步骤:
从所述AAA服务器接收与所述订户端站关联的AAA授权变更消息,所述AAA授权变更消息指示建议所述至少暂时抑制应当结束的状态;
响应所述AAA授权变更消息而引起所述至少暂时抑制的结束。
6. 如权利要求1所述的方法,还包括下列步骤:
接收与所述订户端站关联的一个或多个附加会话请求消息;
按照所述暂时抑制来丢弃所述一个或多个附加会话请求消息而没有传送任何对应AAA接入请求消息,其中基于与所述订户端站关联的媒体接入控制地址进行丢弃。
7. 如权利要求1所述的方法,其中,所述引起步骤包括朝所述订户端站传送指示与所述订户端站关联的电路应当关闭的操作、管理、维护和提供消息。
8. 如权利要求1所述的方法,其中,响应接收到所述对应一个或多个AAA接入响应消息中是具有建议所述至少暂时抑制的状态的AAA接入拒绝消息的单个消息而确定引起所述至少暂时抑制的步骤还包括下列步骤:
朝所述订户端站传送指示与所述订户端站关联的电路应当关闭的操作、管理、维护和提供消息。
9. 一种耦合在多个订户端站与认证、授权和记帐(AAA)服务器之间用于避免AAA处理的网络单元,所述网络单元包括:
一组一个或多个端口,耦合到所述多个订户端站;
AAA通信模块,耦合到所述AAA服务器,配置成接收从所述多个订户端站所发送的订户会话请求消息,向所述AAA服务器传送对应AAA接入请求消息,并且接收不同类型的对应AAA接入响应消息,其中所述不同类型的AAA响应消息包括AAA接入拒绝消息;以及
抑制模块,耦合到所述AAA通信模块,包括:
确定模块,配置成确定激活与所述多个订户端站中的任何订户端站关联的AAA接入请求消息的抑制的时间,以及
触发模块,耦合到所述确定模块,配置成在激活所述抑制时引起所述抑制,由此在所述网络单元和所述AAA服务器保存执行资源。
10. 如权利要求9所述的网络单元,其中,所述抑制模块包括:
定时器模块,耦合到所述确定模块,配置成:
保持一组一个或多个接入复位定时器,以便测量所述抑制中的至少一些抑制的时间间隔;以及
响应对应时间间隔的完成而引起所述抑制的停用。
11. 如权利要求9所述的网络单元,其中,所述AAA通信模块还配置成:
接收各指示建议应当停用对应抑制的状态的AAA授权变更消息,所述AAA授权变更消息中的每个AAA授权变更消息与所述多个订户端站中的对应订户端站关联;以及
引起所述对应抑制的停用。
12. 如权利要求9所述的网络单元,其中,所述触发模块还通过与所述多个订户端站的所识别订户端站关联的订户会话请求消息的抑制来引起所述多个订户端站的那些所识别订户端站的所述抑制。
13. 如权利要求12所述的网络单元,还包括:
分组处理模块,耦合到所述触发模块,按照所述触发模块来丢弃来自所述多个订户端站的所述所识别订户端站的附加会话请求消息,使得所述AAA通信模块没有传送任何对应AAA接入请求消息,各附加会话请求消息将通过与所述多个订户端站的所述所识别订户端站之一对应的媒体接入控制地址来确定。
14. 如权利要求12所述的网络单元,还包括:
操作、管理、维护和提供模块,耦合到所述触发模块,按照所述触发模块向耦合在所述多个订户端站与所述网络单元之间的接入网传送抑制消息,所述抑制消息指示与所述多个订户端站的所述所识别订户端站之一关联的电路应当关闭。
15. 一种在认证、授权和记帐(AAA)服务器中执行的用于避免所述AAA服务器中和边缘网络单元中的AAA处理的方法,其中订户端站和所述AAA服务器耦合到所述边缘网络单元,所述方法包括下列步骤:
从所述边缘网络单元接收至少包括用于检验身份的信息的AAA接入请求消息;
基于用于检验身份的所述信息来访问与所述订户端站对应的订户记录,其中所述订户记录包括有关与所述订户端站关联的订户帐户的信息;以及
响应所述AAA接入请求消息而传送AAA接入响应消息,所述AAA接入响应消息是包括基于所述订户帐户的状态的AAA接入拒绝消息,所述状态建议至少暂时抑制至少与所述订户端站关联的任何附加AAA接入请求消息,由此在所述网络单元和所述AAA服务器保存执行资源。
16. 如权利要求15所述的方法,还包括下列步骤:
更新所述订户记录,以便修改拒绝原因字段中包含的值;
响应所述更新而传送指示状态的AAA授权变更消息,所述状态建议所述至少暂时抑制的结束。
17. 如权利要求15所述的方法,其中,所述订户记录包括指示所述订户帐户未支付的信息。
18. 如权利要求15所述的方法,其中,所述AAA接入拒绝消息包括用于传送所述状态的字段。
19. 一种认证、授权和记帐(AAA)服务器,耦合到边缘网络单元,用于避免所述AAA服务器和所述边缘网络单元中的AAA处理,其中所述边缘网络单元耦合到多个订户端站,所述AAA服务器包括:
通信模块,从所述边缘网络单元接收所述多个订户端站的不同订户端站的AAA接入请求消息,并且向所述边缘网络单元传送对应AAA接入响应消息,
订户记录管理模块,耦合到所述通信模块,配置成存储多个订户记录,并且响应所述AAA接入请求消息中的每个AAA接入请求消息而访问所述订户记录中的对应订户记录,其中所述订户记录中的每个订户记录包括与对应订户相关的帐户信息;
AAA接入响应生成模块,耦合到所述订户记录管理模块和所述通信模块,配置成生成基于所述订户记录的当前访问的订户记录并且向所述网络单元指示与那个订户记录关联的任何附加AAA接入请求消息的至少暂时抑制的AAA接入拒绝类型的AAA接入响应消息,由此在所述网络单元和所述AAA服务器保存执行资源。
20. 如权利要求19所述的AAA服务器,其中,所述帐户信息包括从包含下列项的一群拒绝原因中选择的拒绝原因:没有原因以及所述对应订户尚未支付帐单。
21. 如权利要求19所述的AAA服务器,其中,所述帐户信息包括从包含下列项的一群拒绝原因中选择的拒绝原因:没有拒绝原因、所述对应订户尚未支付帐单、所述对应订户的访问受到限制以及所述对应订户取消了服务。
22. 如权利要求19所述的AAA服务器,包括:
所述订户记录管理模块还配置成更新所述多个订户记录的任何订户记录的帐户信息;以及
所述通信模块还配置成响应所述更新的每个更新而向所述边缘网络单元传送基于所更新订户记录并且建议对应的至少暂时抑制的结束的AAA授权变更消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/854084 | 2010-08-10 | ||
| US12/854,084 US8352603B2 (en) | 2010-08-10 | 2010-08-10 | Limiting resources consumed by rejected subscriber end stations |
| PCT/IB2011/052871 WO2012020333A1 (en) | 2010-08-10 | 2011-06-30 | Limiting resources consumed by rejected subscriber end stations |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103026687A true CN103026687A (zh) | 2013-04-03 |
Family
ID=44514857
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011800390825A Pending CN103026687A (zh) | 2010-08-10 | 2011-06-30 | 限制被拒绝订户端站所消耗的资源 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US8352603B2 (zh) |
| EP (1) | EP2604018A1 (zh) |
| JP (1) | JP5941465B2 (zh) |
| CN (1) | CN103026687A (zh) |
| AU (1) | AU2011288210B2 (zh) |
| BR (1) | BR112013001255A2 (zh) |
| SG (1) | SG187539A1 (zh) |
| WO (1) | WO2012020333A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113039825A (zh) * | 2018-11-16 | 2021-06-25 | 联想(新加坡)私人有限公司 | 接入被拒绝的网络资源 |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2014056528A1 (en) * | 2012-10-10 | 2014-04-17 | Nokia Solutions And Networks Oy | Peer revival detection |
| SE541247C2 (en) | 2016-04-04 | 2019-05-14 | Telesteps Ab | A ladder tube for a collapsible ladder and ladders including such tubes |
| US10154371B1 (en) * | 2018-02-06 | 2018-12-11 | T-Mobile Usa, Inc. | Response at network terminal to initialization failure |
| WO2019155477A1 (en) * | 2018-02-08 | 2019-08-15 | Telefonaktiebolaget Lm Ericsson (Publ) | A method for seamless migration of session authentication to a different stateful diameter authenticating peer |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050243717A1 (en) * | 2004-04-29 | 2005-11-03 | Jeremy Stieglitz | Controlling access message flow |
| CN101632282A (zh) * | 2007-03-09 | 2010-01-20 | 思科技术公司 | 经由aaa策略数据库将非准许移动接入(uma)用户列入黑名单 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7010727B1 (en) * | 2001-06-15 | 2006-03-07 | Nortel Networks Limited | Method and system for negotiating compression techniques to be utilized in packet data communications |
| JP2005323409A (ja) * | 2002-01-11 | 2005-11-17 | Nippon Telegr & Teleph Corp <Ntt> | マルチキャスト通信システム |
| JP2003283738A (ja) * | 2002-03-22 | 2003-10-03 | Ricoh Co Ltd | 画像形成装置遠隔管理用データ通信装置および画像形成装置遠隔管理システム |
| EP1514394B1 (en) * | 2002-06-20 | 2007-08-15 | Nokia Corporation | Method, system and devices for transferring accounting information |
| CN101505275A (zh) * | 2002-09-20 | 2009-08-12 | 松下电器产业株式会社 | 连接多个数据通信网络的中间网络元件 |
| CA2527501A1 (en) * | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Multilayer access control security system |
| US20060130140A1 (en) * | 2004-12-14 | 2006-06-15 | International Business Machines Corporation | System and method for protecting a server against denial of service attacks |
| JP2006185389A (ja) * | 2004-12-28 | 2006-07-13 | Sony Corp | 通信装置および方法、並びにプログラム |
| US20060146825A1 (en) * | 2004-12-30 | 2006-07-06 | Padcom, Inc. | Network based quality of service |
| CN101321382B (zh) * | 2007-06-05 | 2011-09-21 | 中兴通讯股份有限公司 | 高速分组数据会话释放方法 |
| US8036636B1 (en) * | 2008-04-25 | 2011-10-11 | Sprint Communications Company L.P. | Access gateway record suppression |
| US8255994B2 (en) * | 2008-08-20 | 2012-08-28 | Sprint Communications Company L.P. | Detection and suppression of short message service denial of service attacks |
| JP2010061192A (ja) * | 2008-09-01 | 2010-03-18 | Yamaha Corp | 中継装置、およびプログラム |
| US7869364B2 (en) * | 2008-10-27 | 2011-01-11 | Broadsoft, Inc. | SIP server overload detection and control |
| KR20100102026A (ko) * | 2009-03-10 | 2010-09-20 | 주식회사 케이티 | 사용자 단말 인증 방법과 그 인증 서버 및 사용자 단말 |
| US20100274893A1 (en) * | 2009-04-27 | 2010-10-28 | Sonus Networks, Inc. | Methods and apparatus for detecting and limiting focused server overload in a network |
-
2010
- 2010-08-10 US US12/854,084 patent/US8352603B2/en not_active Expired - Fee Related
-
2011
- 2011-06-30 SG SG2013002258A patent/SG187539A1/en unknown
- 2011-06-30 CN CN2011800390825A patent/CN103026687A/zh active Pending
- 2011-06-30 EP EP11749235.5A patent/EP2604018A1/en not_active Withdrawn
- 2011-06-30 JP JP2013523677A patent/JP5941465B2/ja not_active Expired - Fee Related
- 2011-06-30 BR BR112013001255A patent/BR112013001255A2/pt not_active IP Right Cessation
- 2011-06-30 WO PCT/IB2011/052871 patent/WO2012020333A1/en active Application Filing
- 2011-06-30 AU AU2011288210A patent/AU2011288210B2/en not_active Ceased
-
2012
- 2012-12-18 US US13/719,202 patent/US8688836B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050243717A1 (en) * | 2004-04-29 | 2005-11-03 | Jeremy Stieglitz | Controlling access message flow |
| CN101632282A (zh) * | 2007-03-09 | 2010-01-20 | 思科技术公司 | 经由aaa策略数据库将非准许移动接入(uma)用户列入黑名单 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113039825A (zh) * | 2018-11-16 | 2021-06-25 | 联想(新加坡)私人有限公司 | 接入被拒绝的网络资源 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2012020333A1 (en) | 2012-02-16 |
| JP5941465B2 (ja) | 2016-06-29 |
| AU2011288210A1 (en) | 2013-03-28 |
| AU2011288210B2 (en) | 2014-09-11 |
| EP2604018A1 (en) | 2013-06-19 |
| US8352603B2 (en) | 2013-01-08 |
| US20120042071A1 (en) | 2012-02-16 |
| BR112013001255A2 (pt) | 2016-05-17 |
| US20130111568A1 (en) | 2013-05-02 |
| JP2013542623A (ja) | 2013-11-21 |
| SG187539A1 (en) | 2013-03-28 |
| US8688836B2 (en) | 2014-04-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101527655B (zh) | 用于资源访问控制的动态简档系统 | |
| US7653933B2 (en) | System and method of network authentication, authorization and accounting | |
| CN101123498B (zh) | 一种实现接入认证的方法、设备及系统 | |
| JP4892008B2 (ja) | 証明書認証方法、証明書発行装置及び認証装置 | |
| US20100188976A1 (en) | Dynamic Management of Network Flows | |
| JP2002111870A (ja) | 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法 | |
| US9055073B2 (en) | Cross access login controller | |
| CN102143136B (zh) | 接入业务批发网络的方法、设备、服务器和系统 | |
| CN103619020A (zh) | 无线数据专网物理隔离互联网的移动支付安全系统 | |
| CN103026687A (zh) | 限制被拒绝订户端站所消耗的资源 | |
| CN104954508B (zh) | 一种用于dhcp协议辅助计费的系统及其辅助计费方法 | |
| CN106685847A (zh) | 一种报文处理方法、装置及设备 | |
| US8769623B2 (en) | Grouping multiple network addresses of a subscriber into a single communication session | |
| CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
| CN100438446C (zh) | 接入控制设备、接入控制系统和接入控制方法 | |
| CN104066086B (zh) | 语音通信的方法及装置 | |
| CN100477609C (zh) | 实现网络专线接入的方法 | |
| CN100546305C (zh) | 一种点到点协议强制认证方法和装置 | |
| CN104995901B (zh) | 动态IPoE CLIPS订户方法和设备 | |
| CN106332040A (zh) | 一种账户资源共享的方法和装置 | |
| CN100550727C (zh) | 一种宽带网络中认证处理的方法 | |
| US20220053328A1 (en) | Communication method, communication system, relay device, and relay program | |
| CN110581858B (zh) | 基于mac验证和ip授权的宽带接入认证方法及系统 | |
| CN106453408A (zh) | 一种防仿冒下线攻击的方法和装置 | |
| WO2022026961A1 (en) | Prevention of unauthorized migration of wireless access points across service providers |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130403 |
|
| RJ01 | Rejection of invention patent application after publication |