基于端口和用户信息来控制用户设备接入的方法及装置的制作方法

文档序号:7953932阅读:148来源:国知局
专利名称:基于端口和用户信息来控制用户设备接入的方法及装置的制作方法
技术领域
本发明涉及通信网络,尤其涉及在通信网络中用于控制用户设备接入的方法及相应接入设备。
背景技术
随着网络技术的不断发展和网络应用的不断丰富,对用户使用网络服务的精细化控制和认证越来越成为网络运营商、服务提供商及网络设备供应商所共同关注的问题。
以下如无特别说明,“用户”应为一个家庭或一个办公室内使用接入设备处同一个接入端口进行通信的所有用户的统称;“用户设备”为由“用户相关信息”唯一标识的用户端设备,如PC(个人电脑)等。
现有技术中,尤其在使用Ethernet(以太网)技术实现接入的网络中,对用户设备的身份认证主要采用基于端口或基于MAC(媒体接入控制)地址的认证(例如802.1x)。但是,基于端口的认证方式对认证通过后的用户如何使用网络业务(即通过多少用户设备同时使用网络服务)无法做到有效控制,如,一个家庭用户利用一台合法用户设备基于端口进行认证并通过后,该接入端口被打开,这时,理论上任意多台用户设备都可以通过该接入端口进行接入,从而享受网络服务,这会导致运营商利润的流失。而采用基于MAC地址的认证方式时,可能发生未通过认证的数据包到服务器处才被丢弃的情况,另外,由于服务器仅对MAC地址进行识别,认证过程中并无接入设备(如DSLAM)的相应接入端口的相关信息参与,从而使得与接入设备其它接入端口相对应的用户设备只要仿冒该通过认证的用户设备的MAC地址,便可以实现接入。
因此,需要一种更优的认证方式,解决网络规模化发展过程中的这些问题。

发明内容
本发明的目的是提供一种基于端口和用户信息来控制用户设备接入的技术方案。具体的,先在接入设备的一个接入端口处对到达的认证信息进行认证,在认证通过后将该接入端口打开,然后基于用户相关信息(例如MAC地址)来限制有限数量的特定用户设备通过该接入设备进行会话,从而解决现有技术中的上述问题。
根据本发明的第一个方面,提供了一种在通信网络的接入设备中基于端口和用户信息来控制用户设备接入的方法,包括步骤对在一个接入端口处接收到的认证信息进行认证;当认证通过后,在所述接入端口处接收来自一个用户设备的数据包;由所述数据包中获取该用户设备的用户相关信息;基于该接入端口所特定的一个用户相关信息列表,来控制所述数据包的通过。
其中,“该接入端口所特定的一个用户相关信息列表”的内容可以在用户定制网络服务时即预先设定(采用这种方式可以在很大程度上提高安全性),同样,也可以不预先设定,而通过在实际接入服务中由接入设备自动进行设置和更新。
根据本发明的第二个方面,提供了一种在通信网络中用于进行用户设备接入控制的接入设备,包括一个认证装置,用于对在一个接入端口处接收到的认证信息进行认证;一个接收装置,用于当认证通过后,在所述接入端口处接收来自一个用户设备的数据包;一个获取装置,用于由所述数据包中获取该用户设备的用户相关信息;一个存储装置,用于存储所述接入端口所特定的一个用户相关信息列表;一个控制装置,用于基于该接入端口所特定的一个用户相关信息列表,来控制所述数据包的通过。
采用本发明提供的方法和接入设备,解决了单独基于端口或单独基于MAC地址的认证方式的种种问题,实现了运行商对用户使用网络服务的精细化控制和认证,以适应网络规模化发展的要求。


下面结合附图对本发明作进一步描述图1为根据本发明的一个具体实施方的基于端口和用户信息来控制用户设备接入的网络拓扑图;图2为根据本发明的一个具体实施方式
的在通信网络的接入设备中用于基于端口和用户信息来控制用户设备接入的方法流程图;图3为根据本发明的一个具体实施方式
的在通信网络中用于基于端口和用户信息来控制用户设备接入的接入设备的框图。
具体实施例方式
下面结合附图对本发明进行详述。
图1为根据本发明的一个具体实施方式
的基于端口和用户信息来控制用户设备接入的网络拓扑图。
如图1所示,其中包括一个接入设备1、用户A、用户B及与用户A对应的用户设备2至N。接入设备1的接入端口a通过一条物理链路与用户A的用户端端口相对应,接入端口b通过另一条物理链路与用户B的用户端端口相对应。
在用户A与运营商约定接受网络服务时,运营商会对接入设备端的接入端口a进行配置,限定该接入端口只能被1-M个用户设备同时使用(当然,也可以将这个上限设定为0)。可选地,运营商还可以相应地将用户A将用于使用接入端口a进行通信的特定用户设备的用户相关信息(例如用户设备的MAC地址)与接入端口a相对应地记录下来(例如,记录用户设备2、用户设备3的用户相关信息),这样,用户A将不能使用用户设备2、3以外的用户设备来经由接入端口a使用网络服务,如,当用户A在接入端口a打开后,使用用户设备N发送数据包到接入端口a时,该数据包就会因其携带的用户设备N的用户相关信息未包含在接入设备1处与接入端口a相对应地记录的用户相关信息列表中而被丢弃。
初始状态下,假设接入端口a尚未打开,用户A须利用一台用户设备(如用户设备2)向接入端口a发送认证信息,接入设备1接收到所述认证信息后对其进行认证,如果所述认证通过,则将接入端口a打开,准备接收来自用户A使用的一台用户设备的数据包;如果所述认证并未通过,则保持端口的关闭状态,不为用户A传输业务,直至下一个认证信息到达,进行再次认证。
优选地,可以在用户设备2的认证信息通过认证后,在接入设备1处与接入端口a相对应地存储用户设备2的用户相关信息。
图2为根据本发明的一个具体实施方式
的在通信网络的接入设备中用于基于端口和用户信息来控制用户设备接入的方法流程图。
下面参照图2并结合图1对根据本发明的一个具体实施方式
的基于端口和用户信息控制用户设备的方法进行详述。
如图2所示,上述方法起始于步骤S101。在步骤S101中,接入设备对在接入端口a处接收到的认证信息进行认证,该认证信息为用户A使用一台用户设备(如用户设备2)所发。在本发明的一个具体实施方式
中,该认证可以采用现有技术中基于端口的802.1x认证的方案,为了良好的用户体验,在用户A看来,该认证过程体现为输入相应的“用户名-密码”对,该认证根据不同的网络环境,可以基于不同的协议或标准来实现。当认证通过后,接入端口a将被打开,准备接收来自用户A的一台用户设备的数据包。该数据包可能来自用户A用于发送认证信息进行认证的用户设备2,也可以是用户A的其它用户设备,如图1中所示。
当来自用户设备2的认证信息通过认证后,优选地,接入设备1可以将用户设备2的用户相关信息与接入端口a相对应地保存,方便对之后来自用户设备2的数据包的通过控制。其实现方式详见步骤S104的有关描述。
接着,当所述认证通过后,接入端口a将被打开,进到步骤S102。
在步骤S102中,接入设备1在接入端口a处接收来自一个用户设备(用户设备2-用户设备N中的任一个)的数据包,前已述及,接入端口a已经被配置为只允许预定数目的用户设备使用,该预定数目通常保存在接入设备1处。而与接入端口a相对应地存于接入设备1处的用户相关信息(譬如MAC地址)列表的内容如果未预先设定,则该表项可能为空,也可能已经记录了一个或多个已经实现接入的用户设备的用户相关信息(例如,已经记录了发送过认证信息的用户设备2的用户相关信息,或者已经记录了其后发送数据包并被允许通过的其他用户设备的用户相关信息)。接着,进到步骤S103。
在步骤S103中,由所述数据包中获取该用户设备的用户相关信息并进到步骤S104。
在步骤S104中,接入设备1判断所述用户设备的用户相关信息是否已经包含在与接入端口a相对应的用户相关信息列表中。因为已经实现接入并正在通过接入端口a使用网络服务的用户设备的用户相关信息已经记录在该列表中,接入设备1应允许其经由接入设备来发送和接收业务数据,因此,经过上述判断,如果该用户设备的MAC地址已经包含在所述列表中,则进到步骤S106,允许该数据包通过。
而当由所述数据包中获取出的MAC地址未包含在所述列表中时,说明这是该用户设备在接入端口a此次打开后,第一次经由该端口发送数据包,或者,该用户设备曾经在端口此次打开后发送过数据包,但已经结束了前次通信,这个数据包属于一次新的通信的第一个数据包(如果发送认证信息的用户设备2的用户相关信息在认证通过后并未保存,则所述数据包也可能为用户设备2所发)。既然所述用户相关信息列表所存储的用户相关信息的条数是有限制的(通常由用户与运营商就网络服务达成协议时由运营商在局端进行配置),需要进到步骤S105。
在步骤S105中,接入设备1进一步判断与接入端口a相对应的用户相关信息列表中包含的用户相关信息的个数是否小于一个预定数值(即该用户与运营商约定的可以同时用于通过接入端口a发送数据包的用户设备数目上限);很明显,当与接入端口a相对应的用户相关信息列表中包含的用户相关信息的个数小于该预定数值时,说明用户A用于经由接入端口a发送数据包的用户设备数目尚未达到与运营商约定的上限,于是,在步骤S106中,接入设备1允许该数据包通过,并将该用户设备的用户相关信息存储在该用户相关信息列表中。
反之,如果该表项中存储的用户相关信息的个数已经达到(一般不会超过)了所述预定数值,则说明用户A已经在运营商承诺的范围内最大限度地使用了网络资源,如果再允许这个用户设备接入,则必然会对运营商的利润造成不利影响,因此,在步骤S106’中,接入设备1禁止所述数据包通过。
优选地,当已经成功接入并使用接入端口a使用网络服务的用户设备结束其经由该接入端口的通信时,接入设备1可以将已在与接入端口a相对应的用户相关信息列表中存储的该用户设备的用户相关信息删除,以便其他合法的用户设备能够使用接入端口a进行通信。
可选地,当一个用户设备经由接入端口a的通信结束时,接入设备1也可以选择不删除已存储在与该接入端口a相对应的用户相关信息列表中的该用户设备的用户相关信息,这样,接入端口a将只允许曾经经由其进行通信的用户设备使用。
在本发明的另一个具体实施方式
中,当用户A与运营商确定网络服务时,可以事先约定其将通过哪些用户设备使用与其对应的接入端口a进行通信,这样,运营商在对接入设备1处的接入端口a进行配置时,只需要将初始的用户相关信息列表内容设置为用户A提供的用户相关信息,并将所述预定数值设置为与用户A提供的用户相关信息个数对应的数目。这样,在用户A通过一台用户设备(用户设备2-N中的任一个)向接入端口a发送数据包时,接入设备1只需要从该数据包中获取该用户设备的用户相关信息,并判断该用户设备的用户相关信息是否包含在与接入端口a相对应的用户相关信息列表中,如果是,则允许该数据包通过,否则,禁止该数据包通过。采用这种方式进行接入控制的优点是安全系数较高,但缺点也很明显,即缺乏灵活性。运营商可以根据实际需要选择不同的具体方案来实现用户接入控制。
根据本发明的另外一个具体实施方式
,对于一些比较特殊的用户,运营商还可以在为其开通网络服务后,就将与之对应的接入端口一直打开(即省略对认证信息进行认证的步骤),之后基于用户相关信息控制所述用户的用户设备发来的数据包的通过。
图3为根据本发明的一个具体实施方式
的在通信网络中用于基于端口和用户信息来控制用户设备接入的接入设备的框图。
下面参照图3并结合图1,对根据本发明的一个具体实施例的基于端口和用户信息控制用户设备接入的接入设备进行描述。如图3所示,所述接入设备1包括一个认证装置101、一个接收装置102、一个获取装置103、一个控制装置104和一个存储装置105,所述控制装置104进一步包括一个判断装置1041、一个通过控制装置1042。优选地,该接入设备还包括一个删除装置106。
认证装置101用于对到达接入端口a处的认证信息进行认证,该认证信息为用户A使用一台用户设备(如用户设备2)所发。在本发明的一个具体实施方式
中,该认证可以采用现有技术中基于端口的802.1x认证的方案,为了良好的用户体验,在用户A看来,该认证过程体现为输入相应的“用户名-密码”对,该认证根据不同的网络环境,可以基于不同的协议或标准来实现。当认证通过后,接入端口a将被打开,准备接收来自用户A的一台用户设备的数据包。该数据包可能来自用户A用于发送认证信息进行认证的用户设备2,也可以是用户A的其它用户设备,如图1中所示。
当来自用户设备2的认证信息通过认证后,优选地,接入设备1可以将用户设备2的用户相关信息与接入端口a相对应地保存在存储装置105中,方便对之后来自用户设备2的数据包的通过控制。其实现方式详见对判断装置1041的有关描述。
接着,当所述认证通过后,接入端口a将被打开,由接收装置101接收来自一个用户设备(用户设备2-用户设备N中的任一个)的数据包,前已述及,接入端口a已经被配置为只允许预定数目的用户设备使用,该预订数目通常保存在接入设备1处。而与接入端口a相对应地存于接入设备1中的存储装置105的用户相关信息(譬如MAC地址)列表的内容如果未预先设定,则该列表可能为空,也可能已经记录了一个或多个已经实现接入的用户设备的用户相关信息(例如,已经记录了发送认证信息的用户设备2的用户相关信息,或者已经记录了其后发送数据包并被允许通过的用户设备的用户相关信息)。
于是,由一个获取装置103从接收到的数据包中获取能够标识该用户设备身份的用户相关信息,并将其提供给控制装置104中的判断装置1041用于后续操作;判断装置1041接收到由获取装置103获取的该用户设备的用户相关信息后,通过查询存储装置105来判断该用户相关信息是否已经包含在与接入端口a相对应地保存于存储装置105中的用户相关信息列表中。因为已经实现接入并正在通过接入端口a使用网络服务的用户设备的用户相关信息(如MAC地址)已经记录在该列表中,接入设备1应允许其经由接入设备来发送和接收业务数据,因此,经过上述判断,如果该用户设备的MAC地址已经包含在所述列表中,则由通过控制装置1042经过控制,允许该数据包通过。
而当判断装置1041的判断结果为,由所述数据包中获取的MAC地址未包含在所述列表中时,说明这是该用户设备在接入端口a此次打开后,第一次经由其发送数据包,或者,该用户设备曾经在端口此次打开后发送过数据包,但已经结束了前次通信,这个数据包属于一次新的通信的第一个数据包(如果发送认证信息的用户设备2的用户相关信息在认证通过后并未保存,则所述数据包也可能为用户设备2所发)。
既然所述用户相关信息列表所存储的用户相关信息的条数是有限制的(通常由用户与运营商就网络服务达成协议时由运营商在局端进行配置),判断装置1041需要进一步判断与接入端口a相对应的用户相关信息列表中包含的用户相关信息的个数是否小于一个预定数值(即该用户与运营商约定的可以同时用于通过接入端口a发送数据包的用户设备数目上限);很明显,当与接入端口a相对应的用户相关信息列表中包含的用户相关信息的个数小于该预定数值时,说明用户A用于经由接入端口a发送数据包的用户设备数目尚未达到与运营商所约定的上限,于是,由通过控制装置1042经过控制,允许该数据包通过,并将该用户设备的用户相关信息存储保存在存储装置105中的该用户相关信息列表中。
反之,如果判断装置1041的判断结果为,该表项中存储的用户相关信息的个数已经达到(一般不会超过)了所述预定数值,则说明用户A已经在运营商所承诺的范围内充分地使用了网络资源,如果再允许这个用户设备接入,则必然会对运营商的经营利润造成不利影响,因此,由通过控制装置1042经过控制,禁止所述数据包通过。
优选地,在已经成功接入并使用所述接入端口a使用网络服务的用户设备结束其经由该入端口a的通信时,由接入设备1中的一个删除装置106将已存储在存储装置105中与接入端口a相对应的用户相关信息列表中的该用户设备的用户相关信息删除,以便其他合法的用户设备能够使用接入端口a进行通信。
可选地,当一个用户设备经由接入端口a的通信结束时,接入设备1可以选择不删除已存储在与该接入端口a相对应的用户相关信息列表中的该用户设备的用户相关信息,这样,接入端口a将只允许曾经经由其进行通信的用户设备使用。
在本发明的另一个具体实施方式
中,用户A与运营商确定网络服务时,可以事先约定其将通过哪些用户设备使用与其对应的接入端口a进行通信,这样,运营商在对接入设备1处的接入端口a进行配置时,只需要将初始的用户相关信息列表内容设置为用户A提供的用户相关信息,并将所述预定数值设置为与用户A提供的用户相关信息个数对应的数目。这样,在用户A通过一台用户设备(用户设备2-N中的任一个)向接入端口a发送数据包时,接入设备1只需要从该数据包中获取该用户设备的用户相关信息,并判断该用户设备的用户相关信息是否包含在与接入端口a相对应的用户相关信息列表中,如果是,则允许该数据包通过,否则,禁止该数据包通过。采用这种方式进行接入控制的优点是安全系数较高,但缺点也很明显,灵活性有所欠缺。运营商可以根据实际需要选择不同的具体方案来实现用户接入控制。
根据本发明的另外一个具体实施方式
,对于一些比较特殊的用户,运营商也可以在为其开通网络服务后,就将与之对应的接入端口一直打开(即省略对认证信息进行认证的步骤),之后基于用户相关信息控制所述用户的用户设备发来的数据包的通过。
所述用户相关信息不应理解为仅限于具体实实施方式中所述的用户设备的MAC地址,任何可以用于标识用户设备身份的信息均可以作为该用户相关信息而应用于本发明的方案之中。
以上对本发明的具体实施例进行了描述。需要理解的是,本发明并不局限于上述特定实施方式,本领域技术人员可以在所附权利要求的范围内做出各种变形或修改。
权利要求
1.一种在通信网络的接入设备中用于基于端口和用户信息来控制用户设备接入的方法,该方法包括以下步骤a)对在一个接入端口处接收到的认证信息进行认证;b)当认证通过后,在所述接入端口处接收来自一个用户设备的数据包;c)由所述数据包中获取该用户设备的用户相关信息;d)基于该接入端口所特定的一个用户相关信息列表,来控制所述数据包的通过。
2.根据权利要求1所述的方法,其特征在于,所述步骤d)包括以下步骤e)判断由所述数据包中获取的用户相关信息是否包含在所述列表中;f)如果由所述数据包中获取的用户相关信息包含在所述列表中,则允许该数据包通过。
3.根据权利要求2所述的方法,其特征在于,所述步骤d)还包括以下步骤-如果由所述数据包中获取的用户相关信息未包含在所述用户相关信息列表中,则判断所述用户相关信息列表中包含的用户相关信息个数是否小于一个预定值;-如果所述列表中的用户相关信息的数目小于所述预定值,则允许该数据包通过,并将由所述数据包中获取的用户相关信息保存在所述列表中。
4.根据权利要求1-3中任一项所述的方法,其特征在于,还包括当所述用户设备结束其经由该接入端口的通信时,由所述用户相关信息列表中删除该用户设备的用户相关信息。
5.根据权利要求1-4中任一项所述的方法,其特征在于,所述用户相关信息为用户设备的MAC地址。
6.一种在通信网络中用于基于端口和用户信息来控制用户设备接入的接入设备,包括一个认证装置,用于对在一个接入端口处接收到的认证信息进行认证;一个接收装置,用于当认证通过后,在所述接入端口处接收来自一个用户设备的数据包;一个获取装置,用于由所述数据包中获取该用户设备的用户相关信息;一个存储装置,用于存储所述接入端口所特定的一个用户相关信息列表一个控制装置,用于基于该接入端口所特定的一个用户相关信息列表,来控制所述数据包的通过。
7.根据权利要求6所述的接入设备,其特征在于,所述控制装置包括一个判断装置,还用于,判断由所述数据包中获取的用户相关信息是否包含在所述列表中;一个通过控制装置,用于当由所述数据包中获取的用户相关信息包含在所述列表中时,通过控制,允许该数据包通过。
8.根据权利要求7所述的接入设备,其特征在于,所述判断装置还用于,当由所述数据包中获取的用户相关信息未包含在所述用户相关信息列表中时,判断所述用户相关信息列表中包含的用户相关信息个数是否小于一个预定值;所述通过控制装置还用于,当所述列表中的用户相关信息的数目小于所述预定值时,通过控制,允许该数据包通过;所述存储装置还用于,当所述列表中的用户相关信息的数目小于所述预定值时,将由所述数据包中获取的用户相关信息保存在所述列表中。
9.根据权利要求6-8中任一项所述的接入设备,其特征在于,一个删除装置,用于当所述用户设备结束其经由该接入端口的通信时,由所述用户相关信息列表中删除该用户设备的用户相关信息。
10.根据权利要求6-9中任一项所述的接入设备,其特征在于,所述用户相关信息为用户设备的MAC地址。
全文摘要
本发明提供了一种基于端口和用户信息来控制用户设备接入的装置及方法。本发明是为了解决单独基于端口或单独基于MAC地址的用户认证方式的种种问题而提出的,根据本发明的方法和设备的特征在于,基于一个端口所特定的一个用户相关信息列表,来控制数据包的通过。这样,可以帮助运行商实现对用户的精细化控制和认证,适应网络规模化发展的需要。
文档编号H04L9/00GK101064666SQ20061002614
公开日2007年10月31日 申请日期2006年4月27日 优先权日2006年4月27日
发明者鲁林丽, 张刚, 缪应忠, 张静 申请人:上海贝尔阿尔卡特股份有限公司
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1