WO2010057428A1 - 网络接入控制的方法、服务器、用户网络设备和通信系统 - Google Patents

Abstract

本发明公开了网络接入控制的方法、服务器、用户网络设备和通信系统。本发明方法采用接收用户网络设备的业务验证请求;所述业务验证请求中包含所述用户网络设备根据自身的配置信息计算的摘要值;根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行验证;根据所述验证的结果控制所述用户网络设备的接入。通过验证用户网络设备根据配置信息计算的摘要值,即使用户设备的管理员用户/密码被泄露或被攻破,也能够有效防止配置信息被擅自修改的用户网络设备的接入。

Description

Title of Invention:网络接入控制的方法、 服务器、 用户网络设备和

[1] 本申请要求于 2008年 11月 21日提交中国专利局、 申请号为 200810177093.X、 发 明名称为"网络接入控制的方法、 服务器、 用户网络设备和通信系统"的中国专利 申请的优先权， 其全部内容通过引用结合在本申请中。

[2] 技术领域

[3] 本发明涉及通信技术领域， 具体涉及网络接入控制的方法、 服务器、 用户网络 设备和通信系统。

[4] 发明背景

[5] 随着家庭网关的日益普及和它所提供的业务越来越多样化， 运营商对怎样有效 地控制家庭网关开展业务提出了更高要求， 即用户只能使用运营商授权开放的 功能和业务， 而不允许用户通过私自修改家庭网关的关键配置参数达到非法使 用运营商未授权的功能和业务， 甚至脱离运营商控制此设备的目的。

[6] 家庭网关一般提供多种配置管理方式， 如， 远程管理、 页面 （Web) 管理、 命 令行等方式。 目前运营商主要是通过远程管理方式实现对家庭网关的配置管理 和业务发放。 运营商要实现对家庭网关的有效控制， 其配置参数或配置文件的 安全保护是关键。 而现有的通过管理员用户 /密码权限控制或加密配置文件等方 式， 也并不能确保其配置文件或关键配置参数不被用户非法修改。 如果用户私 自修改了家庭网关的相关网管参数， 则此设备就完全脱离了运营商的管理和控 制， 对后续运营商的业务开展造成很大影响。

[7] 在对现有技术的研究和实践过程中发现， 正常情况下， 对登陆家庭网关实行用 户 /密码权限控制， 即只有管理员用户才能更新配置文件或修改关键配置参数， 但是管理员用户名和密码一旦被泄露或被攻破， 用户就可以任意修改其配置， 达到脱离运营商的网管控制非法使用家庭网关中运营商未授权使用的功能和业 务的目的， 或者由于修改导致用户设备故障。

[8] 发明内容 本发明实施例提供网络接入控制的方法、 服务器、 用户网络设备和通信系统， 可以防止配置信息被擅自修改的用户网络设备的接入。

本发明实施例提供的一种网络接入控制的方法， 包括：

接收用户网络设备的业务验证请求； 所述业务验证请求中包含所述用户网络设 备根据自身的配置信息计算的摘要值；

根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行 验证；

根据所述验证的结果控制所述用户网络设备的接入。

本发明实施例提供的一种网络接入控制的方法， 包括：

用户网络设备向网络服务器发送验证请求， 所述业务验证请求中包含根据本地 配置信息计算的摘要值； 使得所述网络服务器根据自身保存的摘要值对所述用 户网络设备计算的摘要值进行验证， 并根据所述验证的结果控制所述用户网络 设备的接入。

本发明实施例提供的一种网络服务器， 包括：

验证请求接收单元， 用于接收用户网络设备的业务验证请求； 所述业务验证请 求中包含所述用户网络设备根据自身的配置信息计算的摘要值；

验证单元， 用于根据保存的摘要值对所述用户网络设备根据自身的配置信息计 算的摘要值进行验证；

接入控制单元， 用于根据所述验证单元验证的结果控制所述用户网络设备的接 入。

本发明实施例提供的一种用户网络设备， 包括：

摘要计算单元， 用于根据自身的配置信息计算得到摘要值；

验证请求发送单元， 用于向网络服务器发送业务验证请求， 所述业务验证请求 中包含所述摘要计算单元计算得到的摘要值； 使得所述网络服务器根据自身保 存的摘要值对所述用户网络设备计算的摘要值进行验证， 并根据所述验证的结 果控制所述用户网络设备的接入。

本发明实施例提供的一种通信系统， 包括：

用户网络设备， 用于请求网络接入， 并向网络服务器发送业务验证请求， 所述 业务验证请求中包含根据本地配置信息计算的摘要值；

[25] 网络服务器， 用于根据保存的摘要值对所述用户网络设备根据自身的配置信息 计算的摘要值进行验证； 并根据所述验证的结果控制所述用户网络设备的接入

[26] 本发明实施例釆用接收用户网络设备的业务验证请求； 所述业务验证请求中包 含所述用户网络设备根据自身的配置信息计算的摘要值； 根据保存的摘要值对 所述用户网络设备根据自身的配置信息计算的摘要值进行验证； 根据所述验证 的结果控制所述用户网络设备的接入。 通过验证用户网络设备根据配置信息计 算的摘要值， 即使用户设备的管理员用户名 /密码被泄露或被攻破， 也能够有效 防止配置信息被擅自修改的用户网络设备的接入。

[27] 附图简要说明

[28] 图 1是本发明实施例二提供的一种网络接入控制的方法的流程图；

[29] 图 2是本发明实施例三提供的一种网络接入控制的方法的流程图；

[30] 图 3是本发明实施例五提供的网络服务器的结构示意图；

[31] 图 4是本发明实施例六提供的通信系统的结构示意图；

[32] 图 5是本发明实施例七提供的用户网络设备的结构示意图。

[33] 实施本发明的方式

[34] 本发明实施例提供一种网络接入控制的方法、 服务器、 用户网络设备和通信系 统， 以下分别进行详细说明。

[35] 实施例一、 网络接入控制的方法， 包括：

[36] 接收用户网络设备的业务验证请求； 所述业务验证请求中包含所述用户网络设 备根据自身的配置信息计算的摘要值；

[37] 根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行 验证；

[38] 摘要值的算法可以釆取现有的多种常规算法实现， 例如： 信息-摘要算法 5 (Me ssage-Digest Algorithm 5 , MD5) 、 第一代安全散列算法 (Secure Hash

Algorithm-0,SHA-0) 、 第二代安全散列算法 （SHA-1) 、 第三代安全散列算法 （ SHA-2) 以及循环冗余检验算法 (CRC)等。 [39] 根据所述验证的结果控制所述用户网络设备的接入。

[40] 本发明实施例一中， 釆用接收用户网络设备的业务验证请求； 所述业务验证请 求中包含所述用户网络设备根据自身的配置信息计算的摘要值； 根据保存的摘 要值对所述用户网络设备根据自身的配置信息计算的摘要值进行验证； 根据所 述验证的结果控制所述用户网络设备的接入。 通过验证用户网络设备根据配置 信息计算的摘要值， 即使用户设备的管理员用户 /密码被泄露或被攻破， 也能够 有效防止配置信息被擅自修改的用户网络设备的接入。

[41] 可以理解， 本发明实施例中， 当运营商初始发放家庭网关业务吋或当运营商通 过终端管理系统或其它授权方式修改了家庭网关的配置文件或关键配置参数或 设备关键标识信息吋， 运营商都需要计算该家庭网关的网关摘要值， 并将其记 录到业务接入验证系统中。

[42] 实施例二、 网络接入控制的方法， 本发明实施例中， 网络侧需要预先保存针对 网络设备的摘要值， 摘要值可以在网络设备发放给用户之前预先计算得到， 并 保存到网络侧， 具体流程图如图 1所示， 包括：

[43] B1 , 接收用户网络设备的业务验证请求； 所述业务验证请求中包含所述用户网 络设备根据自身的配置信息计算的摘要值；

[44] 本发明实施例中的网络设备可以是家庭网关、 路由器等用户侧的网络接入设备

[45] B2, 根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值 进行验证；

[46] 所述保存的摘要值为根据业务发放吋所用的用户网络设备的配置信息计算得到 的摘要值。

[47] 具体的验证方式可以为：

[48] 判断保存的所述用户网络设备的摘要值与所述网络设备发送的摘要值是否一致 [49] 若一致， 则验证通过； 若不一致， 则验证失败。

[50] 可以理解的是， 所述摘要值还可以根据设备关键标识信息 （如， 设备 MAC地 址， 设备序列号等） 和 /或用户标识计算生成。 即也可以将设备关键标识信息和 / 或用户标识作为计算摘要值的参数。

[51] B3 , 根据所述验证的结果控制所述用户网络设备的接入。

[52] 可以理解， 若验证不通过， 则不允许所述网络设备的接入。 若验证通过， 可能 还需要等待对其他验证的结果来决策是否允许所述用户的网络设备接入。

[53] 本实施例流程可以在网络设备进行网络接入吋触发， 如以太网点到点协议 （Po int to Point Protocol over Ethernet, PPPoE) 拨号或 PPPOE代理拨号接入， 动态主 机配置协议 (Dynamic Host Configuration Protocol, DHCP) 地址分配方式接入等

[54] 本发明实施例中， 若网络管理设备通过网络修改了用户网络设备的配置信息； 则重新计算所述用户网络设备的新的摘要值； 并使用新的摘要值对所述保存的 摘要值进行更新。

[55] 这里的网络管理设备可以是终端管理系统或者其他可以修改用户网络设备配置 信息的网络设备， 可以理解， 当运营商需要修改用户网络设备的配置文件的各 种信息吋， 则在修改后， 需要重新计算该家庭网关的网关摘要值， 并将其更新 到当前的业务接入验证系统中覆盖旧的摘要值， 以使得接入验证系统可以正常 运行。

[56] 实施例三， 一种网络接入控制的方法， 流程图如图 2所示， 包括：

[57] C1 , 用户网络设备进行网络接入吋， 向网络服务器发送验证请求， 所述业务验 证请求中包含根据本地配置信息计算的摘要值；

[58] C2, 网络服务器根据保存的摘要值对所述用户网络设备根据自身的配置信息计 算的摘要值进行验证； 并根据所述验证的结果控制所述用户网络设备的接入。

[59] 根据保存的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值进行 验证包括：

[60] 判断保存的所述用户网络设备的摘要值与所述网络设备发送的摘要值是否一致 [61] 若一致， 则验证通过； 若不一致， 则验证失败。

[62] 本发明实施例中， 所述所保存的摘要值为根据业务发放吋所用的用户网络设备 的配置信息计算得到的摘要值。 [63] 可以理解， 本发明用户网络设备发送的验证请求还可以包括： 常规验证信息；

[64] 本实施例方法还可以包括： 网络服务器对所述常规验证信息进行验证；

[65] 上述方法中根据所述验证的结果控制所述用户网络设备的接入的过程可以包括

[66] 若所有验证信息均通过验证， 则允许所述用户网络设备接入网络。

[67] 本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可 以通过程序来指令相关的硬件来完成， 该程序可以存储于一计算机可读存储介 质中， 存储介质可以包括： ROM、 RAM、 磁盘或光盘等。

[68] 实施例四、 一种网络接入控制的方法， 包括：

[69] 用户网络设备向网络服务器发送验证请求， 所述业务验证请求中包含根据本地 配置信息计算的摘要值； 使得所述网络服务器根据自身保存的摘要值对所述用 户网络设备计算的摘要值进行验证， 并根据所述验证的结果控制所述用户网络 设备的接入。

[70] 本实施例中还可以包括：

[71] 接收网络服务器根据保存的摘要值对所述用户网络设备发送的摘要值进行验证 的验证结果。

[72] 本实施例中， 用户网络设备根据本地配置信息计算摘要值， 并且发送给网络服 务器针对摘要值进行验证， 一旦用户网络设备的配置信息被擅自修改， 则计算 出的摘要值将不能通过验证， 防止被修改配置信息的用户网络设备接入网络， 给网络资源造成的不必要的损失， 网络侧对用户网络设备的接入控制更加安全 有效。

[73] 实施例五， 一种网络服务器 300， 结构示意图如图 3所示， 包括：

[74] 验证请求接收单元 310， 用于接收用户网络设备的业务验证请求； 所述业务验 证请求中包含所述用户网络设备根据自身的配置信息计算的摘要值；

[75] 验证单元 320， 用于根据保存的摘要值对所述用户网络设备根据自身的配置信 息计算的摘要值进行验证；

[76] 接入控制单元 330， 用于根据所述验证单元 320验证的结果控制所述用户网络设 备的接入。 [77] 本发明实施例五可以运行实施例一至二所述的方法， 但不限于运行实施例一至 二的方法。

[78] 本实施例五提供的网络服务器可以根据网络设备配置信息计算得到的摘要值对 用户网络设备进行验证， 可以防止被修改配置信息的用户网络设备接入网络， 给网络资源造成的不必要的损失， 使得网络侧对用户网络设备的接入控制更加 安全有效。

[79] 实施例六， 一种通信系统， 结构示意图如图 4所示， 包括：

[80] 用户网络设备 410， 用于请求网络接入， 并向网络服务器发送业务验证请求， 所述业务验证请求中包含根据本地配置信息计算的摘要值；

[81] 网络服务器 420， 用于根据保存的摘要值对所述用户网络设备根据自身的配置 信息计算的摘要值进行验证； 并根据所述验证的结果控制所述用户网络设备的 接入。

[82] 可以理解， 本实施例中， 所述通信系统还可以包括： 配置管理服务器， 用于根 据用户网络设备的配置信息或 /和设备关键信息计算生成摘要值， 并提供给网络 服务器，用于网络服务器对用户网络设备进行接入验证。

[83] 本发明实施例六可以运行实施例一至三所述的方法， 但不限于运行实施例一至 三的方法。

[84] 本实施例六的通信系统， 可以根据网络设备配置信息计算得到的摘要值对用户 网络设备进行验证， 可以防止被修改配置信息的用户网络设备接入网络， 给网 络资源造成不必要的损失， 使得网络侧对用户网络设备的接入控制更加安全有 效。

[85] 实施例七， 一种用户网络设备 500， 包括，

[86] 摘要计算单元 510和验证请求发送单元 520;

[87] 摘要计算单元 510， 用于根据自身的配置信息计算得到摘要值；

[88] 验证请求发送单元 520， 用于向网络服务器发送业务验证请求， 所述业务验证 请求中包含所述摘要计算单元 510计算得到的摘要值， 使得所述网络服务器根据 自身保存的摘要值对该用户网络设备计算的摘要值进行验证， 并根据所述验证 的结果控制所述用户网络设备的接入。 [89] 本实施例提供的用户网络设备可以根据自身的配置信息计算摘要值， 并将摘要 值发送到网络侧设备， 为网络侧设备通过摘要值对所述用户网络设备进行接入 验证提供了支持， 可以防止被修改配置信息的用户网络设备接入网络， 给网络 资源造成不必要的损失， 使得网络侧对用户网络设备的接入控制更加安全有效

[90] 以上对本发明实施例所提供的网络接入控制的方法、 服务器、 用户网络设备和 通信系统进行了详细介绍， 其中：

[91] 本发明实施例中， 釆用接收用户网络设备的业务验证请求； 所述业务验证请求 中包含所述用户网络设备根据自身的配置信息计算的摘要值； 根据保存的摘要 值对所述用户网络设备根据自身的配置信息计算的摘要值进行验证； 根据所述 验证的结果控制所述用户网络设备的接入。 通过验证用户网络设备根据配置信 息计算的摘要值， 即使用户设备的管理员用户名 /密码被泄露或被攻破， 也能够 有效防止配置信息被擅自修改的用户网络设备的接入。

[92] 一般情况下， 家庭网关初始的管理员用户和密码通常是相同的， 不会因为设备 而改变， 这些因素都增大了管理员用户 /密码被泄露的可能性。

[93] 对家庭网关的配置文件或关键配置参数或设备关键标识信息的修改能够被运营 商完全控制， 从而保证了运营商对该设备的维护管理和业务发放。 实现家庭网 关设备与运营商的绑定。 若将家庭网关的设备关键标识信息也纳入生成家庭网 关的网关摘要值， 则可以实现家庭网关设备与运营商的绑定， 只有该运营商认 可的家庭网关设备才能在此运营商的网络上使用。 实现用户与家庭网关设备的 绑定。 若将家庭网关业务接入验证的用户信息和设备关键标识信息同吋纳入生 成家庭网关的网关摘要值， 则可以实现用户与家庭网关设备的绑定， 防止其它 用户使用该家庭网关设备。

[94] 本文中应用了具体个例对本发明的原理及实施方式进行了阐述， 以上实施例的 说明只是用于帮助理解本发明的方法及其核心思想； 同吋， 对于本领域的一般 技术人员， 依据本发明的思想， 在具体实施方式及应用范围上均会有改变之处 ， 综上所述， 本说明书内容不应理解为对本发明的限制。

Claims

权利要求书

一种网络接入控制的方法， 其特征在于， 包括：

接收用户网络设备的业务验证请求， 所述业务验证请求中包含所 述用户网络设备根据自身的配置信息计算的摘要值；

根据保存的摘要值对所述用户网络设备根据自身的配置信息计算 的摘要值进行验证；

根据所述验证的结果控制所述用户网络设备的接入。

如权利要求 1所述的网络接入控制的方法， 其特征在于， 所述保存 的摘要值为根据业务发放吋所述的用户网络设备的配置信息计算 得到的摘要值。

如权利要求 1所述的网络接入控制的方法， 其特征在于， 根据保存 的摘要值对所述用户网络设备根据自身的配置信息计算的摘要值 进行验证包括：

判断保存的所述用户网络设备的摘要值与所述网络设备发送的摘 要值是否一致；

若一致， 则验证通过； 若不一致， 则验证失败。

如权利要求 1所述的网络接入控制的方法， 其特征在于， 所述方法 还包括：

当网络管理设备修改所述用户网络设备的配置信息后， 重新计算 所述用户网络设备的摘要值； 并使用计算获得的摘要值替换所述 保存的摘要值。

如权利要求 1至 4任意一项所述的网络接入控制的方法， 其特征在 于， 所述摘要值还根据设备关键标识信息和 /或用户标识计算生成 一种网络接入控制的方法， 其特征在于， 包括：

用户网络设备向网络服务器发送业务验证请求， 所述业务验证请 求中包含根据本地配置信息计算的摘要值； 使得所述网络服务器 根据自身保存的摘要值对所述用户网络设备计算的摘要值进行验 证， 并根据所述验证的结果控制所述用户网络设备的接入。

如权利要求 6所述的网络接入控制的方法， 其特征在于， 还包括： 接收网络服务器根据保存的摘要值对所述用户网络设备发送的摘 要值进行验证的验证结果。

一种网络服务器， 其特征在于， 包括：

验证请求接收单元， 用于接收用户网络设备的业务验证请求， 所 述业务验证请求中包含所述用户网络设备根据自身的配置信息计 算的摘要值；

验证单元， 用于根据保存的摘要值对所述用户网络设备根据自身 的配置信息计算的摘要值进行验证；

接入控制单元， 用于根据所述验证单元验证的结果控制所述用户 网络设备的接入。

一种用户网络设备， 其特征在于， 包括：

摘要计算单元， 用于根据自身的配置信息计算得到摘要值； 验证请求发送单元， 用于向网络服务器发送业务验证请求， 所述 业务验证请求中包含所述摘要计算单元计算得到的摘要值； 使得 所述网络服务器根据自身保存的摘要值对所述用户网络设备计算 的摘要值进行验证， 并根据所述验证的结果控制所述用户网络设 备的接入。

一种通信系统， 其特征在于， 包括：

用户网络设备， 用于向网络服务器发送业务验证请求， 所述业务 验证请求中包含根据本地配置信息计算的摘要值；

网络服务器， 用于根据保存的摘要值对所述用户网络设备根据自 身的配置信息计算的摘要值进行验证； 并根据所述验证的结果控 制所述用户网络设备的接入。

如权利要求 10所述的通信系统， 其特征在于， 还包括： 配置管理 服务器， 用于根据用户网络设备的配置信息或 /和设备关键信息计 算生成摘要值， 并提供给网络服务器。