專利名稱::一種下一代網(wǎng)絡(luò)的用戶管理方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
:本發(fā)明涉及電通信技術(shù),尤其涉及一種下一代網(wǎng)絡(luò)的用戶管理方法和系統(tǒng)。
背景技術(shù):
:下一代網(wǎng)絡(luò)(NGN:NextGenerationNetwork)為用戶提供了比以前的網(wǎng)絡(luò)更豐富靈活的業(yè)務(wù),對于用戶的管理是必須解決的關(guān)鍵技術(shù)。在NGN中,網(wǎng)絡(luò)配屬子系統(tǒng)(NASS:NetworkAttachmentSubsystem)用于對所有用戶提供統(tǒng)一的管理,在用戶管理中,用戶的可靠性和安全性是用戶管理中的重要組成部分。現(xiàn)有的NASS基本結(jié)構(gòu)如圖1所示,它包括認(rèn)證服務(wù)器1、代理服務(wù)器2和用戶管理數(shù)據(jù)庫4,NASS中用戶認(rèn)證是通過認(rèn)證服務(wù)器1從用戶管理(UserProfile)數(shù)據(jù)庫4中取得用戶3的數(shù)據(jù),根據(jù)用戶管理(UserProfile)數(shù)據(jù)庫4的數(shù)據(jù)得到該用戶3的相關(guān)信息,對用戶3進(jìn)行質(zhì)量服務(wù)和安全限制方面的授權(quán)。代理服務(wù)器2把用戶3的各種請求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器1,同時把認(rèn)證服務(wù)器1的應(yīng)答也轉(zhuǎn)發(fā)給相應(yīng)的用戶3,用戶3通過代理服務(wù)器2與認(rèn)證服務(wù)器l進(jìn)行聯(lián)系,獲得認(rèn)證。認(rèn)證通過的用戶3,代理服務(wù)器2會通過認(rèn)證服務(wù)器1從用戶管理(UserProfile)數(shù)據(jù)庫4中取得用戶3數(shù)據(jù),即獲得用戶3的UserProfile,然后根據(jù)其中的信息對該用戶3進(jìn)行質(zhì)量服務(wù)和安全限制方等面的管理和控制。現(xiàn)有的用戶管理數(shù)據(jù)庫4所包括的數(shù)據(jù)如表1所示:<table>tableseeoriginaldocumentpage7</column></row><table>現(xiàn)有用戶管理(UserProfile)數(shù)據(jù)庫初始網(wǎng)關(guān)設(shè)置(可選)InitialGateSetting(optional)---被允許的目的地列表ListofallowedDestinations可發(fā)送通行的默認(rèn)目的IP地址、端口、前綴和端口區(qū)間的列表ThelistofdefaultdestinationIPaddresses,ports,prefixesandportrangestowhichtrafficcanbesent,---上行鏈路默認(rèn)帶寬ULDefaultB如dwidth對于上行鏈路缺乏明確授權(quán)時的最大可用帶寬Themaximumamountofbandwidththatcanbeusedwithoutexplicitauthorizationintheuplinkdirection.---下行鏈路默認(rèn)帶寬DefaultBandwidth對于下行鏈路缺乏明確授權(quán)時的最大可用帶寬Themaximumamountofbandwidththatcanbeusedwithoutexplicitauthorizationinthedownlinkdirection.---應(yīng)用捆綁Applicationsbundling明確NASS服務(wù)有權(quán)使用的應(yīng)用列表ThelistofapplicationsthatthesubscriptiontotheNASSservicesgivesimplicitaccessto.表l現(xiàn)有技術(shù)的基本控制流程如下(1)認(rèn)證服務(wù)器1和代理服務(wù)器2之間通過認(rèn)證、授權(quán)和計(jì)費(fèi)(AAA:Authentication,AuthorizationandAccounting)、遠(yuǎn)程認(rèn)(驗(yàn))i正拔號用戶月艮務(wù)(RADIUS:RemoteAuthenticationDial—InUserService)或下一代AAA協(xié)議(Diameter)等協(xié)議,建立二者的信任關(guān)系。(2)用戶3發(fā)出申請接入網(wǎng)絡(luò)的請求,代理服務(wù)器2負(fù)責(zé)把請求轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器l。(3)認(rèn)證服務(wù)器1對用戶3進(jìn)行認(rèn)證,如果用戶3通過認(rèn)證,認(rèn)證服務(wù)器1則從用戶輪廓數(shù)據(jù)庫4中得到用戶策略,下發(fā)給代理服務(wù)器2;否則,向用戶3反饋拒絕消息。(4)用戶3通過代理服務(wù)器2連至相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)。在現(xiàn)有技術(shù)中,代理服務(wù)器2和認(rèn)證服務(wù)器1之間僅通過已有的(AAA、RADIUS或Diameter)協(xié)議來保證認(rèn)證,認(rèn)證服務(wù)器1對代理服務(wù)器2缺乏全面的管理。
發(fā)明內(nèi)容本發(fā)明的目的在于提供一種下一代網(wǎng)絡(luò)的用戶管理方法和系統(tǒng),以解決現(xiàn)有技術(shù)中認(rèn)證服務(wù)器對代理服務(wù)器缺乏全面管理的問題。本發(fā)明所采用的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于它釆用如下步驟A、在下一代網(wǎng)絡(luò)NGN的網(wǎng)絡(luò)配屬子系統(tǒng)NASS中,設(shè)立代理服務(wù)器的代理管理數(shù)據(jù)庫,根據(jù)所述的代理管理數(shù)據(jù)庫確定代理服務(wù)器的服務(wù)設(shè)置;B、用戶通過代理服務(wù)器實(shí)現(xiàn)相應(yīng)業(yè)務(wù)使用。所述的步驟A包括如下步驟Al、代理服務(wù)器和認(rèn)證服務(wù)器之間通過通訊協(xié)議,建立信任關(guān)系,認(rèn)證服務(wù)器對代理服務(wù)器進(jìn)行認(rèn)證,并從代理管理數(shù)據(jù)庫取得代理管理數(shù)據(jù),其中,所述的代理管理數(shù)據(jù)庫至少包括代理服務(wù)器標(biāo)識號ProxyID和QoS信息,其中,所述的代理服務(wù)器標(biāo)識號ProxyID反映該代理服務(wù)器接入認(rèn)證服務(wù)器的相應(yīng)唯一號;所述的QoS信息反映該代理服務(wù)器的所有用戶可以被施行的質(zhì)量服務(wù);A2、認(rèn)證服務(wù)器把認(rèn)證通過后的代理管理數(shù)據(jù),從代理管理數(shù)據(jù)庫中取出,發(fā)給代理服務(wù)器本地保存。所述的步驟A1中,所述的代理管理數(shù)據(jù)庫中還包括安全信息,所述的安全信息包括基于五元組和虛擬網(wǎng)識別號VLANID的訪問控制列表(ACL:AccessControlList)。所述的步驟A1中,所述的代理管理數(shù)據(jù)庫中還包括該代理服務(wù)器允許代理的最大用戶數(shù)量。所述的步驟A1中,所述的QoS信息中包括流量工程參數(shù),所述的步驟A2中,對代理服務(wù)器提供QoS保證時,通過流量工程來確保認(rèn)證服務(wù)器和代理服務(wù)器之間數(shù)據(jù)的QoS。所述的步驟B包括如下步驟Bl、用戶通過代理服務(wù)器向認(rèn)證服務(wù)器發(fā)出申請接入網(wǎng)絡(luò)的請求;B2、認(rèn)證服務(wù)器根據(jù)用戶管理數(shù)據(jù)庫對所述的用戶進(jìn)行認(rèn)證,將用戶管理數(shù)據(jù)庫中的用戶策略下發(fā)給代理服務(wù)器;B3、代理服務(wù)器根據(jù)得到的用戶策略,對用戶接入網(wǎng)絡(luò)的業(yè)務(wù)實(shí)施相應(yīng)的控制;B4、用戶根據(jù)該用戶策略使用相應(yīng)的業(yè)務(wù)。所述的步驟B2中,所述的用戶管理數(shù)據(jù)庫中增設(shè)計(jì)費(fèi)類型、流量工程參數(shù)、安全信息,所述的安全信息包括訪問控制列表ACL和最大連接數(shù)量。所述的步驟B2包括如下步驟B21、認(rèn)證服務(wù)器對所述用戶進(jìn)行認(rèn)證,進(jìn)行如下操作B211、若用戶通過認(rèn)證,繼續(xù)如下步驟B22;B212、否則,認(rèn)證服務(wù)器通過代理服務(wù)器向用戶反饋拒絕消息。B22、認(rèn)證服務(wù)器從用戶管理數(shù)據(jù)庫中得到用戶策略,下發(fā)給用戶代理,所述的用戶策略包括用戶計(jì)費(fèi)方式、用戶電信級可靠性服務(wù)、用戶安全策略。所述的步驟B21中,所述的認(rèn)證服務(wù)器對用戶進(jìn)行認(rèn)證前,還包括代理服務(wù)器檢查的接入用戶總數(shù),若超過最大用戶數(shù)量時,代理服務(wù)器拒絕該用戶的認(rèn)證。所述的步驟B2中,還包括認(rèn)證服務(wù)器將代理管理數(shù)據(jù)庫中的代理策略下發(fā)給代理服務(wù)器。本發(fā)明所采用的下一代網(wǎng)絡(luò)的用戶管理系統(tǒng),包括網(wǎng)絡(luò)配屬子系統(tǒng)NASS,網(wǎng)絡(luò)配屬子系統(tǒng)NASS中具有認(rèn)證服務(wù)器、代理服務(wù)器和用戶管理數(shù)據(jù)庫,所述的認(rèn)證服務(wù)器對用戶進(jìn)行認(rèn)證,所述的代理服務(wù)器將用戶的請求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器,同時將認(rèn)證服務(wù)器的應(yīng)答轉(zhuǎn)發(fā)給相應(yīng)的用戶,其特征在于還包括代理管理數(shù)據(jù)庫,所述的代理管理數(shù)據(jù)庫和用戶管理數(shù)據(jù)庫分別為代理服務(wù)器和用戶的網(wǎng)絡(luò)設(shè)置數(shù)據(jù);所述的認(rèn)證服務(wù)器根據(jù)所述的代理管理數(shù)據(jù)庫確定代理服務(wù)器的服務(wù)設(shè)置;所述的代理服務(wù)器完成用戶接入網(wǎng)絡(luò)業(yè)務(wù)的實(shí)施。所述的認(rèn)證服務(wù)器對代理服務(wù)器進(jìn)行認(rèn)證,認(rèn)證服務(wù)器和代理服務(wù)器根據(jù)代理管理數(shù)據(jù)中的Q0S策略提供相應(yīng)的QoS保證。所述的代理服務(wù)器根據(jù)代理策略對接入的用戶數(shù)量進(jìn)行管理,當(dāng)超過代理服務(wù)器允許接入的最大用戶數(shù)量時,拒絕新的用戶接入。所述的認(rèn)證服務(wù)器將用戶管理數(shù)據(jù)庫中的用戶策略下發(fā)給代理服務(wù)器,所述的用戶策略包括用戶計(jì)費(fèi)方式、用戶電信級可靠性服務(wù)、用戶安全策略。所述的代理服務(wù)器根據(jù)用戶計(jì)費(fèi)方式,采集QOS流量信息;根據(jù)用戶的可靠性策略,對用戶的帶寬和主線路進(jìn)行保護(hù);根據(jù)用戶所定制的安全策略實(shí)施訪問;根據(jù)從認(rèn)證服務(wù)器取得的代理策略,對該代理服務(wù)器下的所有用戶實(shí)施相應(yīng)策略。本發(fā)明的有益效果為在本發(fā)明中,在下一代網(wǎng)絡(luò)NGN的網(wǎng)絡(luò)配屬子系統(tǒng)NASS中,設(shè)立代理服務(wù)器的代理管理數(shù)據(jù)庫,根據(jù)代理管理數(shù)據(jù)庫確定代理服務(wù)器的服務(wù)設(shè)置,通過代理管理數(shù)據(jù)庫,認(rèn)證服務(wù)器可對所有代理服務(wù)器的功能進(jìn)行管理和限定,例如,通過對代理服務(wù)器進(jìn)行認(rèn)證、加密、Q0S、備份、負(fù)載分擔(dān)等,更好的管理認(rèn)證代理,提供NGN網(wǎng)絡(luò)的安全性和可靠性,根據(jù)其中的安全信息和QoS信息,行使對應(yīng)的QoS、安全等功能,在QoS輪廓信息中設(shè)置流量工程參數(shù),對代理服務(wù)器提供QoS保證時,就可以通過流量工程(TE:TrafficEngineering)來確保認(rèn)證服務(wù)器和代理服務(wù)器之間數(shù)據(jù)的QoS,使本發(fā)明中認(rèn)證服務(wù)器對代理服務(wù)器具有多方面的管理功能,且采用流量工程的QoS保證提高了本發(fā)明的可靠性。在本發(fā)明中,通過建立并保存代理管理數(shù)據(jù)庫,利用其中的安全信息,對于系統(tǒng)的安全性保障則不僅僅局限于初始網(wǎng)管設(shè)置(目的IP地址、網(wǎng)段和端口范圍、用戶可以訪問的范圍),本發(fā)明可以根據(jù)基于五元組、VLANID等各種信息的訪問控制列表(ACL:AccessControlList)來進(jìn)行安全管理,進(jìn)一步提高了本發(fā)明的安全性。在本發(fā)明中,用戶管理數(shù)據(jù)庫包括計(jì)費(fèi)類型,通過計(jì)費(fèi)類型可以進(jìn)行計(jì)費(fèi)的定義,這樣代理服務(wù)器可以確定是否為該用戶提供QOS計(jì)數(shù),提高本發(fā)明的實(shí)用性。具體地說,本發(fā)明具有如下優(yōu)點(diǎn)1)本發(fā)明通過提供針對代理服務(wù)器的QoS,為代理服務(wù)器和認(rèn)證服務(wù)器之間的信息提供QoS保證,從而提高用戶認(rèn)證的服務(wù)質(zhì)量,通過提供TE帶寬保護(hù),自動部署電信級可靠性的接入服務(wù),為用戶提供更高質(zhì)量的服務(wù)。2)本發(fā)明通過提供更精細(xì)的安全策略,保護(hù)網(wǎng)絡(luò)安全,同時對于"受限用戶",比如兒童帳號,可以提供更好的安全措施。3)本發(fā)明通過用戶計(jì)費(fèi)模式,使網(wǎng)絡(luò)接入設(shè)備能清楚用戶的計(jì)費(fèi)方式,并對相應(yīng)的計(jì)費(fèi)方式提供相應(yīng)的處理,比如對于基于QoS流量或業(yè)務(wù)流量計(jì)費(fèi)的用戶,接入設(shè)備將提供基于用戶的QoS流量或者業(yè)務(wù)流量的統(tǒng)計(jì),使計(jì)費(fèi)功能得到自動的部署,對不需要該功能的用戶不比做相應(yīng)處理,節(jié)省設(shè)備的資源,并能更精細(xì)的控制用戶的計(jì)費(fèi)管理;4)本發(fā)明通過提供代理服務(wù)器的最大用戶數(shù)量,可以防止非法用戶的攻擊,保證網(wǎng)絡(luò)安全。圖1為現(xiàn)有技術(shù)NASS基本結(jié)構(gòu)示意圖;圖2為本發(fā)明NASS基本結(jié)構(gòu)示意圖;圖3為本發(fā)明基本控制流程示意圖4為本發(fā)明具體控制流程示意圖。具體實(shí)施方式下面根據(jù)附圖和實(shí)施例對本發(fā)明作進(jìn)一步詳細(xì)說明根據(jù)圖2,本發(fā)明包括網(wǎng)絡(luò)配屬子系統(tǒng)NASS,網(wǎng)絡(luò)配屬子系統(tǒng)NASS中具有認(rèn)證服務(wù)器l、代理服務(wù)器2、用戶管理數(shù)據(jù)庫4和代理管理數(shù)據(jù)庫5,代理管理(ProxyProfile)數(shù)據(jù)庫5和用戶管理(UserProfile)數(shù)據(jù)庫4分別為代理服務(wù)器2和用戶3的網(wǎng)絡(luò)設(shè)置數(shù)據(jù)。在本發(fā)明中,如下表2所示,代理管理數(shù)據(jù)庫5包括代理服務(wù)器標(biāo)識號、物理訪問標(biāo)識號、邏輯訪問標(biāo)識號、訪問網(wǎng)絡(luò)類型、全球唯一IP地址、用戶管理信息、QoS信息、安全信息和初始網(wǎng)關(guān)設(shè)置,其中代理服務(wù)器標(biāo)識號P;roxyID反映該代理服務(wù)器接入認(rèn)證服務(wù)器的相應(yīng)唯一t示志。安全信息包括基于五元組和虛擬網(wǎng)識別號VLANID的訪問控制列表ACL和最大連接數(shù)量。QoS信息反映該代理服務(wù)器的所有用戶可以被施行的分層質(zhì)量服務(wù),還包括上行鏈路帶寬和下行注冊帶寬。本發(fā)明代理管理(ProxyProfile)數(shù)據(jù)庫代理服務(wù)器標(biāo)識號ProxyID請求IP連接的代理的標(biāo)識TheidentityoftheproxyerrequestingIPconnectivity.物理訪問標(biāo)識號(可選)PhysicalAccessID(optional)連接于用戶設(shè)備的物理訪問的標(biāo)識Theidentityofthephysicalaccesstowhichtheuserequipmentisconnected邏輯訪問標(biāo)識號LogicalAccessID連接于用戶設(shè)備的邏輯訪問的標(biāo)識Theidentityofthelogicalaccesstowhichtheuserequipmentisconnected.<table>tableseeoriginaldocumentpage15</column></row><table><table>tableseeoriginaldocumentpage16</column></row><table>表2如下表3所示,本發(fā)明的用戶(UserProfile)數(shù)據(jù)庫4增設(shè)了計(jì)費(fèi)類型、流量工程參數(shù)、安全信息,安全信息包括訪問控制列表ACL和最大會話數(shù)量。本發(fā)明用戶(UserProfile)數(shù)據(jù)庫用戶標(biāo)識號SubscriberID請求IP連接的用戶的標(biāo)識TheidentityofthesubscriberrequestingIPconnectivity.物理訪問標(biāo)識號(可選)PhysicalAccessID(optional)連接于用戶設(shè)備的物理訪問的標(biāo)識Theidentityofthephysicalaccesstowhichtheuserequipmentisconnected邏輯訪問標(biāo)識號LogicalAccessID連接于用戶設(shè)備的邏輯訪問的標(biāo)識Theidentityofthelogicalaccesstowhichtheuserequipmentisconnected.訪問網(wǎng)絡(luò)類型AccessNetworkType提供給用戶設(shè)備用于IP連接的訪問網(wǎng)絡(luò)的類型ThetypeofaccessnetworkoverwhichIPconnectivityisprovidedtotheuserequipment.全球唯一IP地址GloballyUniqueIPAddress-一指定的IP地址AssignedIPAddress綁定的用戶設(shè)備IP地址TheIPaddressoftheattacheduserequipment.一-地址域AddressRealm有效的IP地址區(qū)間TheaddressingdomaininwhichtheIPaddressissignificant.計(jì)費(fèi)類型AccountingType對于用戶的計(jì)費(fèi)方式,例按月、按流量、按QoS流量、按業(yè)務(wù)等Foruseraccountingexample:bymonth,byflow,byQoSflow,bybusinessetc.QoS信息(可選)QoSProfileInformation(optional)---傳輸服務(wù)類別TransportServiceClass綁定用戶注冊的傳輸服務(wù)類別Thetransportserviceclasssubscribedbytheattacheduser.17<table>tableseeoriginaldocumentpage18</column></row><table>本發(fā)明用戶(UserProfile)數(shù)據(jù)庫---上行鏈路默認(rèn)帶寬DefaultBandwidth對于上行鏈路缺乏明確授權(quán)時的最大可用帶寬Themaximumamountofbandwidththatcanbeusedwithoutexplicitauthorizationinthe叩linkdirection.-一下行鏈路默認(rèn)帶寬DLDefaultBandwidth對于下行鏈路缺乏明確授權(quán)時的最大可用帶寬Themaximumamountofbandwidththatcanbeusedwithoutexplicitauthorizationinthedownlinkdirection.表3如圖2所示,認(rèn)證服務(wù)器1對用戶3進(jìn)行認(rèn)證,代理服務(wù)器2將用戶3的請求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器1,同時將認(rèn)證服務(wù)器1的應(yīng)答轉(zhuǎn)發(fā)給相應(yīng)的用戶,認(rèn)證服務(wù)器1對代理服務(wù)器2進(jìn)行認(rèn)證,并根據(jù)代理輪廓數(shù)據(jù)庫5對代理服務(wù)器2提供相應(yīng)的QoS保證,認(rèn)證服務(wù)器1根據(jù)代理管理數(shù)據(jù)庫5確定代理服務(wù)器2的服務(wù)設(shè)置,代理服務(wù)器2完成用戶3接入網(wǎng)絡(luò)業(yè)務(wù)的實(shí)施。如圖2所示,認(rèn)證服務(wù)器1還通過對代理服務(wù)器2的接入數(shù)量的檢査,根據(jù)代理服務(wù)器2的最大用戶數(shù)量(Maxusernumber)決定用戶3的認(rèn)證合法性。如圖2所示,認(rèn)證服務(wù)器1將用戶管理數(shù)據(jù)庫4中的用戶策略和代理輪廓數(shù)據(jù)庫5中的代理策略下發(fā)給代理服務(wù)器2,用戶策略包括用戶計(jì)費(fèi)方式、用戶電信級可靠性服務(wù)、用戶安全策略等,具體地,代理服務(wù)器2根據(jù)用戶3計(jì)費(fèi)方式,采集QoS的流量信息;根據(jù)用戶3的可靠性策略,對用戶3的帶寬和主線路進(jìn)行保護(hù);根據(jù)用戶3所定制的安全策略實(shí)施訪問控制;根據(jù)從認(rèn)證服務(wù)器1取得的代理策略,對該代理服務(wù)器2下的所有用戶3實(shí)施相應(yīng)策略。如圖3所示,本發(fā)明的基本控制流程如下I.代理服務(wù)器2和認(rèn)證服務(wù)器1之間通過通訊協(xié)議進(jìn)行認(rèn)證,建立信任關(guān)系,認(rèn)證服務(wù)器1對代理服務(wù)器2進(jìn)行認(rèn)證,建立并保存代理管理數(shù)據(jù)庫5。II.認(rèn)證服務(wù)器1根據(jù)代理管理數(shù)據(jù)庫5,對代理服務(wù)器2提供相應(yīng)的QoS保證,并向代理服務(wù)器2發(fā)出相應(yīng)通知。III.用戶3通過代理服務(wù)器2實(shí)現(xiàn)相應(yīng)業(yè)務(wù)使用。如圖4所示,本發(fā)明的具體控制流程如下1.代理服務(wù)器2和認(rèn)證服務(wù)器1之間通過IP傳輸網(wǎng)絡(luò)進(jìn)行交換,建立信任關(guān)系,認(rèn)證服務(wù)器1對代理服務(wù)器2進(jìn)行認(rèn)證,建立并保存代理管理數(shù)據(jù)庫5,代理管理數(shù)據(jù)庫5包括代理服務(wù)器標(biāo)識號、物理訪問標(biāo)識號、邏輯訪問標(biāo)識號、訪問網(wǎng)絡(luò)類型、全球唯一IP地址、用戶管理信息、QoS信息、安全信息和初始網(wǎng)關(guān)設(shè)置等,。2.認(rèn)證服務(wù)器1根據(jù)代理數(shù)據(jù)庫5,通過流量工程TE來確保認(rèn)證服務(wù)器1和代理服務(wù)器2之間數(shù)據(jù)的QoS,并向代理服務(wù)器2發(fā)出相應(yīng)通知。3.用戶3通過代理服務(wù)器2向認(rèn)證服務(wù)器1發(fā)出申請接入網(wǎng)絡(luò)的請求,該請求包括用戶3的注冊標(biāo)識號、密碼等信息,請求允許自己使用申請的業(yè)務(wù),代理服務(wù)器2將該請求轉(zhuǎn)發(fā)到認(rèn)證服務(wù)器1。4.認(rèn)證服務(wù)器1收到請求后,檢查代理服務(wù)器2的接入數(shù)量,根據(jù)代理管理數(shù)據(jù)庫5中的最大用戶數(shù)量(Maxusermimber),決定用戶3的認(rèn)證合法性,進(jìn)行如下操作-41.若代理服務(wù)器2所接入的數(shù)量超過最大用戶數(shù)量時,則表示對用戶3的認(rèn)證不合法,認(rèn)證服務(wù)器1拒絕用戶3的認(rèn)證通過,認(rèn)證服務(wù)器1通過代理服務(wù)器2向用戶3反饋拒絕消息。42.否則,表示對用戶3的認(rèn)證合法,繼續(xù)如下步驟5。5.認(rèn)證服務(wù)器1對用戶3進(jìn)行認(rèn)證,認(rèn)證可以釆用AM/RADIUS等,進(jìn)行如下操作51.若認(rèn)證未通過,認(rèn)證服務(wù)器1通過代理服務(wù)器2向用戶3反饋拒絕消息。52.若認(rèn)證通過,繼續(xù)如下步驟6。6.認(rèn)證服務(wù)器1將用戶輪管理據(jù)庫4中的用戶策略和代理管理數(shù)據(jù)庫5中的代理策略下發(fā)給代理服務(wù)器2。7.代理服務(wù)器2根據(jù)得到的用戶策略和代理策略,對用戶3接入網(wǎng)絡(luò)的業(yè)務(wù)實(shí)施相應(yīng)的控制,具體的控制可包括-代理服務(wù)器2根據(jù)用戶3計(jì)費(fèi)方式,采集QoS的流量信息。代理服務(wù)器2根據(jù)用戶3的可靠性策略,對用戶3的帶寬和主線路進(jìn)行保護(hù)。代理服務(wù)器2根據(jù)用戶3所定制的安全策略實(shí)施訪問控制,例如,用戶3是兒童,其父母為其申請的帳戶中定義好了可以訪問的WEB站點(diǎn)(通過用戶管理數(shù)據(jù)庫4中的安全輪廓信息體現(xiàn)),這樣,該兒童就不能訪問一些不該訪問的站點(diǎn)了。代理服務(wù)器2根據(jù)從認(rèn)證服務(wù)器1取得的代理策略,對該代理服務(wù)器2下的所有用戶3實(shí)施相應(yīng)策略。8.用戶3根據(jù)用戶策略實(shí)現(xiàn)對業(yè)務(wù)的使用,通過代理服務(wù)器2連接至相應(yīng)的業(yè)務(wù)網(wǎng)絡(luò)。權(quán)利要求1、一種下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于它采用如下步驟A、在下一代網(wǎng)絡(luò)NGN的網(wǎng)絡(luò)配屬子系統(tǒng)NASS中,設(shè)立代理服務(wù)器的代理管理數(shù)據(jù)庫,根據(jù)所述的代理管理數(shù)據(jù)確定代理服務(wù)器的服務(wù)設(shè)置和執(zhí)行的功能;B、用戶通過代理服務(wù)器實(shí)現(xiàn)相應(yīng)業(yè)務(wù)使用。2、根據(jù)權(quán)利要求l所述的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于所述的步驟A包括如下步驟Al、代理服務(wù)器和認(rèn)證服務(wù)器之間通過通訊協(xié)議,建立信任關(guān)系,認(rèn)證服務(wù)器對代理服務(wù)器進(jìn)行認(rèn)證,并從代理管理數(shù)據(jù)庫取得代理管理數(shù)據(jù);所述的代理管理數(shù)據(jù)庫至少包括代理服務(wù)器標(biāo)識號ProxyID和QoS信息,其中,所述的代理服務(wù)器標(biāo)識號反映該代理服務(wù)器接入認(rèn)證服務(wù)器的相應(yīng)唯一標(biāo)志;所述的QoS信息反映該代理服務(wù)器的所有用戶可以被施行的質(zhì)量服務(wù);A2、認(rèn)證服務(wù)器把認(rèn)證通過后的代理管理數(shù)據(jù),從代理管理數(shù)據(jù)庫中取出,發(fā)給代理服務(wù)器本地保存。3、根據(jù)權(quán)利要求2所述的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于-所述的步驟A1中,所述的代理管理數(shù)據(jù)庫中還包括安全信息,所述的安全信息包括基于五元組和虛擬網(wǎng)識別號的訪問控制列表。4、根據(jù)權(quán)利要求2所述的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于所述的步驟A1中,所述的代理管理數(shù)據(jù)庫中還包括該代理服務(wù)器允許代理的最大用戶數(shù)量。5、根據(jù)權(quán)利要求2所述的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于所述的步驟A1中,所述的QoS信息中包括流量工程參數(shù),所述的步驟A2中,對代理服務(wù)器提供QoS保證時,通過流量工程來確保認(rèn)證服務(wù)器和代理服務(wù)器之間數(shù)據(jù)的QoS。6、根據(jù)權(quán)利要求1-5中任意一項(xiàng)所述的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于所述的步驟B包括如下步驟B1、用戶通過代理服務(wù)器向認(rèn)證服務(wù)器發(fā)出申請接入網(wǎng)絡(luò)的請求;B2、認(rèn)證服務(wù)器根據(jù)用戶管理數(shù)據(jù)庫對所述的用戶進(jìn)行認(rèn)證,將用戶管理數(shù)據(jù)庫中的用戶策略下發(fā)給代理服務(wù)器;B3、代理服務(wù)器根據(jù)得到的用戶策略,對用戶接入網(wǎng)絡(luò)的業(yè)務(wù)實(shí)施相應(yīng)的控制;B4、用戶根據(jù)該用戶策略使用相應(yīng)的業(yè)務(wù)。7、根據(jù)權(quán)利要求6所述的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于所述的步驟B2中,所述的用戶管理數(shù)據(jù)庫中增設(shè)計(jì)費(fèi)類型、流量工程參數(shù)、安全信息,所述的安全信息包括訪問控制列表ACL和最大連接數(shù)量。8、根據(jù)權(quán)利要求7所述的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于所述的步驟B2包括如下步驟B21、認(rèn)證服務(wù)器對所述用戶進(jìn)行認(rèn)證,進(jìn)行如下操作B211、若用戶通過認(rèn)證,繼續(xù)如下步驟B22;B212、否則,認(rèn)證服務(wù)器通過代理服務(wù)器向用戶反饋拒絕消息;B22、認(rèn)證服務(wù)器從用戶管理數(shù)據(jù)庫中得到用戶策略,下發(fā)給用戶代理,所述的用戶策略包括用戶計(jì)費(fèi)方式、用戶電信級可靠性服務(wù)、用戶安全策略。9、根據(jù)權(quán)利要求8所述的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于-所述的步驟B21中,所述的認(rèn)證服務(wù)器對用戶進(jìn)行認(rèn)證前,還包括代理服務(wù)器檢査的接入用戶總數(shù),若超過最大用戶數(shù)量時,代理服務(wù)器拒絕該用戶的認(rèn)證。10、根據(jù)權(quán)利要求6所述的下一代網(wǎng)絡(luò)的用戶管理方法,其特征在于所述的步驟B2中,還包括認(rèn)證服務(wù)器將代理管理數(shù)據(jù)庫中的代理策略下發(fā)給代理服務(wù)器。11、一種下一代網(wǎng)絡(luò)的用戶管理系統(tǒng),包括網(wǎng)絡(luò)配屬子系統(tǒng)NASS,網(wǎng)絡(luò)配屬子系統(tǒng)NASS中具有認(rèn)證服務(wù)器、代理服務(wù)器和用戶管理數(shù)據(jù)庫,所述的認(rèn)證服務(wù)器對用戶進(jìn)行認(rèn)證,所述的代理服務(wù)器將用戶的請求轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器,同時將認(rèn)證服務(wù)器的應(yīng)答轉(zhuǎn)發(fā)給相應(yīng)的用戶,其特征在于還包括代理管理數(shù)據(jù)庫,所述的代理管理數(shù)據(jù)庫和用戶管理數(shù)據(jù)庫分別為代理服務(wù)器和用戶的網(wǎng)絡(luò)設(shè)置數(shù)據(jù);所述的認(rèn)證服務(wù)器根據(jù)所述的代理管理數(shù)據(jù)庫確定代理服務(wù)器的服務(wù)設(shè)置;所述的代理服務(wù)器完成用戶接入網(wǎng)絡(luò)業(yè)務(wù)的實(shí)施。12、根據(jù)權(quán)利要求ll所述的下一代網(wǎng)絡(luò)的用戶管理系統(tǒng),其特征在于所述的認(rèn)證服務(wù)器對代理服務(wù)器進(jìn)行認(rèn)證,認(rèn)證服務(wù)器和代理服務(wù)器根據(jù)代理管理數(shù)據(jù)中的QOS策略提供相應(yīng)的QoS保證。13、根據(jù)權(quán)利要求11或12所述的下一代網(wǎng)絡(luò)的用戶管理系統(tǒng),其特征在于代理服務(wù)器根據(jù)代理策略對接入的用戶數(shù)量進(jìn)行管理,當(dāng)超過代理服務(wù)器允許接入的最大用戶數(shù)量時,拒絕新的用戶接入。14、根據(jù)權(quán)利要求11或12所述的下一代網(wǎng)絡(luò)的用戶管理系統(tǒng),其特征在于所述的認(rèn)證服務(wù)器將用戶管理數(shù)據(jù)庫中的用戶策略下發(fā)給代理服務(wù)器,所述的用戶策略包括用戶計(jì)費(fèi)方式、用戶電信級可靠性服務(wù)、用戶安全策略。l5、根據(jù)權(quán)利要求M所述的下一代網(wǎng)絡(luò)的用戶管理系統(tǒng),其特征在于所述的代理服務(wù)器根據(jù)用戶計(jì)費(fèi)方式,采集QoS流量信息;根據(jù)用戶的可靠性策略,對用戶的帶寬和主線路進(jìn)行保護(hù);根據(jù)用戶所定制的安全策略實(shí)施訪問;根據(jù)從認(rèn)證服務(wù)器取得的代理策略,對該代理服務(wù)器下的所有用戶實(shí)施相應(yīng)策略。全文摘要一種涉及電通信技術(shù)的下一代網(wǎng)絡(luò)的用戶管理方法和系統(tǒng),其方法為A.在下一代網(wǎng)絡(luò)NGN的網(wǎng)絡(luò)配屬子系統(tǒng)NASS中,設(shè)立代理服務(wù)器的代理管理數(shù)據(jù)庫,根據(jù)所述的代理管理數(shù)據(jù)庫確定代理服務(wù)器的服務(wù)設(shè)置,B.用戶通過代理服務(wù)器實(shí)現(xiàn)相應(yīng)業(yè)務(wù)使用,該系統(tǒng)包括網(wǎng)絡(luò)配屬子系統(tǒng)NASS,網(wǎng)絡(luò)配屬子系統(tǒng)NASS中具有認(rèn)證服務(wù)器、代理服務(wù)器和用戶管理數(shù)據(jù)庫,其特征在于還包括代理管理數(shù)據(jù)庫,代理管理數(shù)據(jù)庫和用戶管理數(shù)據(jù)庫分別為代理服務(wù)器和用戶的網(wǎng)絡(luò)設(shè)置數(shù)據(jù),認(rèn)證服務(wù)器根據(jù)所述的代理管理數(shù)據(jù)確定代理服務(wù)器的服務(wù)設(shè)置,代理服務(wù)器完成用戶接入網(wǎng)絡(luò)業(yè)務(wù)的實(shí)施,本發(fā)明認(rèn)證服務(wù)器對代理服務(wù)器具有多方面的管理功能,可靠性高,實(shí)用性強(qiáng)。文檔編號H04L12/24GK101155055SQ200610062930公開日2008年4月2日申請日期2006年9月28日優(yōu)先權(quán)日2006年9月28日發(fā)明者克帥申請人:華為技術(shù)有限公司