WO2013087002A1 - 用户端接入控制的方法和系统 - Google Patents

Abstract

本发明公开了一种用户端接入控制的方法和系统，所述方法包括：用户端上电启动后，预置服务器向触发服务器发送包含用户端信息的触发请求；触发服务器确定所述用户端合法后，向所述用户端发送连接指令；所述用户端根据所述连接指令向所述管理服务器发起连接请求，建立与管理服务器的连接，实现所述用户端与管理服务器的交互。本发明通过触发服务器根据预置服务器发送的触发请求，在确认所述用户端合法后，向用户端发送连接指令，用户端在收到连接指令后，向管理服务器发送连接请求，建立与管理服务器的连接，可防止某些非法用户端接入管理服务器，从而提高了系统运行安全防护性能。

Description

用户端接入控制的方法和系统 技术领域

本发明涉及嵌入式通信系统技术领域， 尤其涉及一种用户端接入控制 的方法和系统。 背景技术

在现有的嵌入式通信系统中， 终端系统已实现远程管理。 基于 TR069 协议的终端远程管理是业内普遍接受的一种终端管理方式。 管理服务器 ( ACS )采用远程过程调用 （RPC )方法， 以实现对支持 TR069协议的用 户端的设备进行管理。 所述管理操作包括： 参数的配置、 参数属性的设置、 业务的管理、 文件的上传和下载、 系统的重启和恢复默认配置。

要实现管理服务器对用户端的管理， 用户端首先需要接入管理服务器， 但现有技术中， 用户端接入管理服务器过程中， 并没有考虑到用户端是否 合法， 安全认证机制不够完善， 系统安全防护性低。 发明内容

有鉴于此， 本发明的主要目的在于提供一种用户端接入控制的方法和 系统， 可提高系统运行安全防护性能。

本发明提出一种用户端接入控制的方法， 包括：

用户端上电启动后， 预置服务器向触发服务器发送包含用户端信息的 触发请求；

触发服务器确定所述用户端合法后， 向所述用户端发送连接指令； 所述用户端根据所述连接指令向所述管理服务器发起连接请求， 建立 与管理服务器的连接， 实现所述用户端与管理服务器的交互。 优选地， 所述触发服务器向所述用户端发送连接指令， 为： 触发服务器采用超文本传输协议 GET 方法向所述用户端发送连接指 令。

优选地， 所述用户端根据所述连接指令， 向所述管理服务器发起连接 请求， 建立与管理服务器的连接之前， 该方法还包括：

用户端向预置服务器获取管理服务器连接请求用户名和密码， 以实现 用户端与管理服务器连接建立时， 用户端对管理服务器的认证；

用户端向预置服务器获取管理服务器的统一资源定位符、 用户名和密 码， 以实现用户端与管理服务器连接建立时， 管理服务器对用户端的认证。

优选地， 所述用户端与管理服务器交互完成后， 用户端与管理服务器 连接断开；

所述用户端与管理服务器交互完成后， 该方法还包括：

管理服务器根据日志获取指令向触发服务器发送包含用户端 IP地址的 第一触发请求；

触发服务器根据所述第一触发请求向所述 IP地址对应的用户端发送第 一连接指令；

所述 IP地址对应的用户端根据第一连接指令向管理服务器发起第一连 接请求， 建立与管理服务器的连接；

管理服务器根据日志获取指令， 向所述 IP地址对应的用户端获取日志 信息。

优选地， 所述日志信息包括系统日志和应用日志。

本发明另提出一种用户端接入控制的系统， 包括用户端、 预置服务器、 管理服务器， 触发服务器；

所述预置服务器， 用于在用户端上电启动后， 向触发服务器发送包含 用户端信息的触发请求； 所述触发服务器， 用于在确定所述用户端合法后， 向所述用户端发送 连接指令；

所述用户端， 用于根据所述连接指令向所述管理服务器发起连接请求， 建立与管理服务器的连接， 实现用户端与管理服务器的交互。

优选地， 所述触发服务器， 还用于采用超文本传输协议 GET方法向所 述用户端发送连接指令。

优选地， 所述用户端， 还用于向预置服务器获取管理服务器连接请求 用户名和密码， 以实现用户端与管理服务器连接建立时， 用户端对管理服 务器的认证； 以及向预置服务器获取管理服务器的统一资源定位符、 用户 名和密码， 以实现用户端与管理服务器连接建立时， 管理服务器对用户端 的认证。

优选地， 所述用户端与管理服务器交互完成后， 用户端与管理服务器 的连接断开；

所述用户端与管理服务器交互完成后还包括：

所述管理服务器， 还用于在与所述用户端交互完成后， 根据日志获取 指令向触发服务器发送包含用户端 IP地址的第一触发请求； 以及根据日志 获取指令， 向所述 IP地址对应的用户端获取日志信息。

所述触发服务器， 还用于根据所述第一触发请求向所述 IP地址对应的 用户端发送第一连接指令；

所述 IP地址对应的用户端， 用于根据第一连接指令向管理服务器发起 第一连接请求， 建立与管理服务器的连接。

优选地， 所述日志信息包括系统日志和应用日志。

本发明所提供的用户端接入控制的方法和系统， 触发服务器根据预置 服务器发送的触发请求， 在确认所述用户端合法后， 向用户端发送连接指 令； 用户端在接收到连接指令后， 向管理服务器发送连接请求， 建立与管 理服务器的连接， 因此， 本发明可防止非法用户端接入管理服务器， 从而 提高系统运行安全防护性能。 附图说明

图 1是本发明用户端接入控制的方法实施例的实现流程图；

图 2是本发明用户端接入控制的方法另一实施例的实现流程图； 图 3是本发明用户端接入控制的系统实施例的结构示意图；

图 4是本发明用户端接入控制方法具体实例的实现流程图。

本发明目的的实现、 功能特点及优点将结合实施例， 参照附图做进一 步说明。 具体实施方式

应当理解， 此处所描述的具体实施例仅仅用以解释本发明， 并不用于 限定本发明。

参见图 1 , 提出本发明的用户端接入控制的方法一实施例， 包括： 步驟 S101、 用户端上电启动后， 预置服务器向触发服务器发送包含用 户端信息的触发请求；

步驟 S102、 触发服务器确定所述用户端合法后， 向所述用户端发送连 接指令；

步驟 S103、 所述用户端根据所述连接指令向所述管理服务器发起连接 请求， 并建立与管理服务器的连接， 实现所述用户端与管理服务器的交互。

本实施例中， 用户端上电启动后， 预置服务器则会生成一个包含该用 户端信息的触发请求， 并将该触发请求发送给触发服务器。 触发服务器接 收到所述触发请求， 会对所述用户端进行合法性判断， 在确定用户端合法 后， 才向该用户端发送连接指令。 用户端收到连接指令之后， 才能向管理 服务器发送连接请求， 以建立与管理服务器的连接。 因此， 本实施例可以 防止某些非法用户端接入管理服务器， 从而提高了系统运行安全防护性能。 进一步地， 上述用户端接入控制的方法实施例中， 所述触发服务器向 所述用户端发送连接指令具体为： 触发服务器采用超文本传输协议中的

GET方法向所述用户端发送连接指令。

进一步地，上述用户端接入控制的方法实施例中，所述步驟 S103之前， 该方法还包括：

用户端向预置服务器获取管理服务器连接请求用户名和密码， 以实现 用户端与管理服务器连接建立时， 用户端对管理服务器的认证； 以及， 向 预置服务器获取的统一资源定位符、 用户名和密码， 以实现用户端与管理 服务器建立连接时， 管理服务器对用户端的认证。

进一步地， 参见图 2, 上述用户端接入控制的方法实施例中， 所述用户 端与管理服务器交互完成后， 用户端与管理服务器连接断开。 所述用户端 与管理服务器交互完成后， 该方法还包括：

步驟 S201、 管理服务器根据日志获取指令， 向触发服务器发送包含用 户端 IP地址的第一触发请求；

步驟 S202、触发服务器根据所述第一触发请求， 向所述 IP地址对应的 用户端发送第一连接指令；

步驟 S203、 所述 IP地址对应的用户端， 根据第一连接指令向管理服务 器发起第一连接请求， 建立与管理服务器的连接；

步驟 S204、 管理服务器根据日志获取指令， 向所述 IP地址对应的用户 端获取日志信息。

进一步地， 上述用户端接入控制的方法实施例中， 所述日志信息包括： 系统日志和应用日志。

本实施例中， 所述日志获取指令， 可以是预先设置的获取指令， 也可 以是工作人员实时输入的获取指令。 其中， 管理服务器可以向用户端获取 Namel Type Write Description ObjectDefault

This object

contains system

InternetGatewayDevice.DeviceLog. object - - application

log-level.

Comma- separated

list of supported

CurrentApp String current application

in use for the

system.

Enables and

SysLogEnable boolean W disables the system True

log-level.

Specifies the

system log-level

type.

Enumeration of:

"Emergency"

"Alert"

SysLoggingLevel string(32) W "Error"

"Critical"

"Error"

"Warning"

"Notice"

"Informational"

"Debugging"

Specifies the

system display

log-level type.

SysDisplayLevel String(32) w Enumeration of: "Critical"

"Emergency"

"Alert"

"Critical" "Error"

"Warning"

"Notice"

"Informational"

"Debugging"

Specifies the log

format supported

currently for the

"Date/Time system.

AppName

SysLogFormat String(128) - For example, The

Severity log format is like

Message" "Date/Time

AppName Severity

Message".

Each entry in this

table corresponds to

a distinct

InternetGatewayDevice.DeviceLog.

object - application log, and - App.{i}.

contains parameters

associated with the

application log file.

Application

AppName string(32) - - name.

User-readable

AppDescription String(256) - description of this - application.

Enables and

disables the

AppLogEnable boolean W True

application

log-level.

Specifies the

AppLoggingLevel string(32) W application "Error" log-level type. Enumeration of:

"Emergency"

"Alert"

"Critical"

"Error"

"Warning"

"Notice"

"Informational"

"Debugging"

Specifies the

application display

log-level type.

Enumeration of:

"Emergency"

"Alert"

AppDisplayLevel String(32) W "Critical"

"Critical"

"Error"

"Warning"

"Notice"

"Informational"

"Debugging" 表 1

参见图 3 ,本发明另提出用户端接入控制的系统 100—实施例，其包括： 若干个用户端 110、 预置服务器 120、 管理服务器 130和触发服务器 140。

所述预置服务器 120, 用于在用户端 110上电启动后， 向触发服务器 140发送包含用户端信息的触发请求；

所述触发服务器 140, 用于在确定所述用户端合法后， 向所述用户端 110发送连接指令；

所述用户端 110,用于根据所述连接指令向所述管理服务器 130发起连 接请求， 建立与管理服务器 130的连接， 实现用户端 110与管理服务器 130 的交互。

本实施例中， 用户端上电启动后， 预置服务器则会触发生成一个包含 该用户端信息的触发请求， 并将该触发请求发送给触发服务器。 触发服务 器接收到所述触发请求， 会对所述用户端进行合法性判断， 在确定用户端 合法后， 才向该用户端发送连接指令。 用户端接收到连接指令之后， 才能 向管理服务器发送连接请求， 以建立与管理服务器的连接。 因此通本实施 例可以防止某些非法用户端接入管理服务器， 从而提高系统运行安全防护 性能。

进一步地， 上述用户端接入控制的系统 100 实施例中， 所述触发服务 器 140, 具体还用于根据采用超文本传输协议中的 GET方法向所述用户端 110发送连接指令。

进一步地，上述用户端接入控制的系统 100实施例中，所述用户端 110, 还用于向预置服务器 120获取管理服务器 130连接请求用户名和密码， 以 实现用户端 110与管理服务器 130连接建立时， 用户端 110对管理服务器 130的认证；以及向预置服务器 120获取管理服务器 130的统一资源定位符、 用户名和密码， 以实现用户端 110与管理服务器 130连接建立时， 管理服 务器 130对用户端 110的认证。

进一步地， 上述用户端接入控制的系统 100实施例中， 所述用户端 110 与管理服务器 130交互完成后， 所述用户端 110与管理服务器 130的连接 断开。 所述管理服务器 130, 用于在与用户端 110交互完成后， 根据日志获 取指令向触发服务器 140发送包含用户端 IP地址的第一触发请求； 以及根 据日志获取指令， 向所述 IP地址对应的用户端 110获取日志信息。

所述触发服务器 140, 还用于根据所述第一触发请求向所述 IP地址对 应的用户端 110发送第一连接指令；

所述 IP地址对应的用户端 110, 用于根据第一连接指令向管理服务器 130发起第一连接请求， 建立与管理服务器 130的连接。

进一步地， 上述用户端接入控制的系统 100 实施例中， 所述日志信息 包括： 系统日志和应用日志。

本实施例中， 所述日志获取指令， 可以是预先设置的获取指令， 也可 以是工作人员实时输入的获取指令。 其中， 管理服务器可以向用户端获取 的日志信息具体参见表 1。

以下通过一个具体的实例对本发明的用户端接入控制的方法和系统进 行详细的描述。其中，用户端接入控制的系统包括：若干个用户端、 DSLAM ( Digital Subscriber Line Access Multiplexer, 数字用户线路接入复用器）、 BRAS ( Broadband Remote Access Server, 宽带远程接入服务器）、 预置服务 器、 触发服务器和管理服务器。 其中， 将 DSLAM与 BRAS看成一个整体。 参见图 4, 用户端接入控制的具体流程如下：

步驟 S301、 用户端配置阶段

a、 在每个用户端预先配置预置服务器的统一资源定位符， 以及访问预 置服务器时的用户名和密码。

b、 配置用户端和预置服务器的 IP地址信息、 以太网点对点协议信息、 以及以太网因特网协议信息或其它管理通道信息。

c、配置用户端向管理服务器上报功能开启，以及周期性上报时间间隔。 步驟 S302、 用户端上才艮 PPPoE ( Point-to-Point Protocol over Ethernet, 以太网上点对点协议 ) /IPoE ( IP over Ethernet, 以太网上因特网协议 )信息， 经过 DSLAM至 BRAS;

步驟 S303、 BRAS向用户端反馈 WAN ( Wide Area Network, 广域网） IP地址、 DNS ( Domain Name System, 域名系统）地址和 Gateway (网关）。

步驟 S304、 用户端上报 Inform (通知）报文至预置服务器；

步驟 S305、预置服务器根据所述 Inform报文向该用户端反馈管理服务 器连接请求用户名和密码。

步驟 S306、 预置服务器生成包含该用户端信息的触发请求， 并发送至 触发服务器。

步驟 S307、 触发服务器根据所述触发请求， 对所述用户端进行合法性 判断， 当确定用户端合法后， 通过 HTTP ( HyperText Transfer Protocol , 超 文本传输协议 ) 中的 GET的方法向所述用户端发送连接指令。

步驟 S308、 用户端向预置服务器发送配置信息获取请求；

步驟 S309、 预置服务器根据获取请求反馈管理服务器的配置信息， 该 配置信息包括： 管理服务器的统一资源定位符、 用户名和密码。

步驟 S310、 用户端根据连接指令 HTTP协议向管理服务器发送连接请 求。

步驟 S311、 管理服务器根据所述连接请求向用户端发送认证请求。 步驟 S312、 用户端和管理服务器依据 HTTP协议完成相互认证确认； 其中， 用户端根据预置服务器反馈的管理服务器连接请求用户名和密码对 管理服务器进行认证， 管理服务器根据管理服务器的统一资源定位符、 用 户名和密码对用户端进行认证。

步驟 S313、 当用户端和管理服务器相互认证通过后， 用户端和管理服 务器可实现交互， 即管理服务器通过 RPC方法对用户端进行管理。

步驟 S314、 用户端和管理服务器交互完成后连接断开。 当用户端需要 与管理服务器再一次进行交互， 则返回执行步驟 S305。

步驟 S315、 在管理服务器与用户端交互完成后， 当管理服务器接收到 日志获取指令， 则生成包含用户端 IP地址的第一触发请求。

步驟 S316、 管理服务器根据日志获取指令向触发服务器发送包含用户 端 IP地址的第一触发请求；

步驟 S317、触发服务器根据所述第一触发请求向所述 IP地址对应的用 户端发送第一连接指令；

步驟 S318、所述 IP地址对应的用户端根据第一连接指令向管理服务器 发起第一连接请求。

步驟 S319、 管理服务器根据所述第一连接请求向所述用户端发送第一 认证请求。

步驟 S320、 所述用户端和管理服务器依据 HTTP协议完成相互认证确 认， 建立用户端与管理服务器的连接；

步驟 S321、 管理服务器根据日志获取指令， 向所述 IP地址对应的用户 端获取对应的日志信息； 其中， 所述日志信息包括： 系统日志和应用日志。

其中， 管理服务器可以向用户端获取的日志信息具体参见表 1。

由上述实例可以看出： 本发明的用户端接入控制的方法和系统， 能够 防止某些非法用户端接入管理服务器， 从而可提高系统运行安全防护性能。 同时， 本发明的管理服务器还可以按要求向各个用户端获取对应的日志信 应当理解的是， 以上仅为本发明的优选实施例， 不能因此限制本发明 的专利范围， 凡是利用本发明说明书及附图内容所作的等效结构或等效流 程变换， 或直接或间接运用在其他相关的技术领域， 均同理包括在本发明 的专利保护范围内。

Claims

权利要求书

1、 一种用户端接入控制的方法， 其特征在于， 该方法包括： 用户端上电启动后， 预置服务器向触发服务器发送包含用户端信息的 触发请求；

触发服务器确定所述用户端合法后， 向所述用户端发送连接指令； 所述用户端根据所述连接指令向所述管理服务器发起连接请求， 建立 与管理服务器的连接， 实现所述用户端与管理服务器间的交互。

2、 根据权利要求 1所述的用户端接入控制的方法， 其特征在于， 所述 触发服务器向所述用户端发送连接指令， 为：

触发服务器采用超文本传输协议的 GET方法向所述用户端发送连接指 令。

3、 根据权利要求 1所述的用户端接入控制的方法， 其特征在于， 所述 用户端向所述管理服务器发起连接请求， 建立与管理服务器的连接之前， 该方法还包括：

用户端向预置服务器获取管理服务器连接请求用户名和密码， 以实现 用户端与管理服务器连接建立时， 用户端对管理服务器的认证；

向预置服务器获取的统一资源定位符、 用户名和密码， 以实现用户端 与管理服务器连接建立时， 管理服务器对用户端的认证。

4、 根据权利要求 1至 3任一项所述的用户端接入控制的方法， 其特征 在于， 所述用户端与管理服务器交互完成后， 用户端与管理服务器的连接 断开；

所述用户端与管理服务器交互完成后， 该方法还包括：

管理服务器根据日志获取指令向触发服务器发送包含用户端 IP地址的 第一触发请求；

触发服务器根据所述第一触发请求向所述 IP地址对应的用户端发送第 一连接指令；

所述 IP地址对应的用户端根据所述第一连接指令向管理服务器发起第 一连接请求， 建立与管理服务器的连接；

管理服务器根据所述日志获取指令， 向所述 IP地址对应的用户端获取 日志信息。

5、 根据权利要求 4所述的用户端接入控制的方法， 其特征在于， 所述 曰志信息包括： 系统日志和应用日志。

6、 一种用户端接入控制的系统， 包括用户端、 预置服务器、 管理服务 器， 其特征在于， 该系统还包括触发服务器；

所述预置服务器， 用于在用户端上电启动后， 向触发服务器发送包含 用户端信息的触发请求；

所述触发服务器， 用于在确定所述用户端合法后， 向所述用户端发送 连接指令；

所述用户端， 用于根据所述连接指令向所述管理服务器发起连接请求， 建立与管理服务器的连接， 实现用户端与管理服务器间的交互。

7、 根据权利要求 6所述的用户端接入控制的系统， 其特征在于， 所述触发服务器， 还用于采用超文本传输协议的 GET方法向所述用户 端发送连接指令。

8、 根据权利要求 6所述的用户端接入控制的系统， 其特征在于， 所述用户端， 还用于向预置服务器获取管理服务器连接请求用户名和 密码， 以实现用户端与管理服务器连接建立时， 用户端对管理服务器的认 证； 以及，

向预置服务器获取管理服务器的统一资源定位符、 用户名和密码， 以 实现用户端与管理服务器连接建立时， 管理服务器对用户端的认证。

9、 根据权利要求 6至 8任一项所述的用户端接入控制的系统， 其特征 在于， 所述用户端与管理服务器交互完成后， 用户端与管理服务器的连接 断开；

所述管理服务器， 还用于在与所述用户端交互完成后， 根据日志获取 指令向触发服务器发送包含用户端 IP地址的第一触发请求； 以及， 根据日 志获取指令， 向所述 IP地址对应的用户端获取日志信息；

所述触发服务器， 还用于根据所述第一触发请求向所述 IP地址对应的 用户端发送第一连接指令；

所述 IP地址对应的用户端， 用于根据第一连接指令向管理服务器发起 第一连接请求， 建立与管理服务器的连接。

10、 根据权利要求 9所述的用户端接入控制的系统， 其特征在于， 所 述日志信息包括： 系统日志和应用日志。