專利名稱：寬帶接入網(wǎng)絡(luò)的安全管理方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明屬于網(wǎng)絡(luò)通信技術(shù)領(lǐng)域，尤其涉及一種寬帶接入網(wǎng)絡(luò)的安全管理方法及系統(tǒng)。
背景技術(shù)：
目前，寬帶接入網(wǎng)絡(luò)的構(gòu)架包括以下幾個部分以家庭網(wǎng)關(guān)為核心的用戶網(wǎng)絡(luò)、接入節(jié)點(Access Node，AN)、匯聚網(wǎng)絡(luò)和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(BroadbandNetwork Gateway，BNG)。其中，家庭網(wǎng)關(guān)也可以稱為用戶端設(shè)備(CustomerPremises Equipment，CPE)。接入節(jié)點完成用戶多形式的接入，如數(shù)字用戶線路接入復(fù)用器(Digital Subscriber Line Access Multiplexer，DSLAM)和局端系統(tǒng)的光線路終端(Optical Line Terminal，OLT)等。匯聚網(wǎng)絡(luò)完成數(shù)據(jù)匯聚和交換的功能；寬帶網(wǎng)絡(luò)網(wǎng)關(guān)是指可應(yīng)用寬帶和服務(wù)質(zhì)量(Quality of Service，QoS)策略的因特網(wǎng)協(xié)議(Internet Protocol，IP)邊緣路由器，如寬帶遠(yuǎn)程接入服務(wù)器(Broadband Remote Access Server，BRAS)和業(yè)務(wù)路由器等。
寬帶接入網(wǎng)絡(luò)在全球蓬勃發(fā)展，越來越多的個人用戶和企業(yè)用戶通過寬帶接入到Internet網(wǎng)絡(luò)。同時，用戶對網(wǎng)絡(luò)性能的要求也越來越高，他們不再滿足于暢通無阻的高帶寬接入能力，逐漸對服務(wù)的質(zhì)量提出了更高的要求。在QoS中，一個重要的不能忽視的指標(biāo)就是安全保證。
然而，當(dāng)前Internet網(wǎng)絡(luò)上很多黑客利用一些黑客工具監(jiān)聽他人信息、盜取業(yè)務(wù)、發(fā)起拒絕服務(wù)攻擊(Denial of Service，DOS)，造成網(wǎng)絡(luò)設(shè)備癱瘓。Internet網(wǎng)絡(luò)上的業(yè)務(wù)大都通過智能終端來完成，處于運營商控制范圍內(nèi)的中間設(shè)備的主要功能就是交換，運營商對業(yè)務(wù)很難控制，這就為惡意用戶提供了開展破壞活動的空間。為用戶提供安全的接入服務(wù)，保證網(wǎng)絡(luò)設(shè)備的正常運行是設(shè)備提供商和電信運營商共同關(guān)注的問題?，F(xiàn)在，對于網(wǎng)絡(luò)安全問題的解決方案，一般都是每個設(shè)備單獨實現(xiàn)自身的安全管理，導(dǎo)致不能整網(wǎng)合作，提供整網(wǎng)的解決方案，致使不能全面地解決安全問題，為用戶提供的寬帶接入網(wǎng)絡(luò)服務(wù)的安全性低。
綜上可知，現(xiàn)有技術(shù)中寬帶接入網(wǎng)絡(luò)的安全管理技術(shù)在實際使用上，顯然存在不便與缺陷，所以有必要加以改進(jìn)。

發(fā)明內(nèi)容
針對上述的缺陷，本發(fā)明的目的在于提供一種寬帶接入網(wǎng)絡(luò)的安全管理方法和系統(tǒng)，以整網(wǎng)實現(xiàn)寬帶接入網(wǎng)絡(luò)的安全管理，提高寬帶接入網(wǎng)絡(luò)服務(wù)的安全性。
為了實現(xiàn)上述目的，本發(fā)明提供一種寬帶接入網(wǎng)絡(luò)的安全管理方法，包括A.寬帶網(wǎng)絡(luò)網(wǎng)關(guān)確定其所服務(wù)的接入節(jié)點；B.寬帶網(wǎng)絡(luò)網(wǎng)關(guān)向所述接入節(jié)點發(fā)送安全策略信息；C.接入節(jié)點根據(jù)所接收的安全策略信息，來配置安全策略。
根據(jù)本發(fā)明的方法，所述步驟A中寬帶網(wǎng)絡(luò)網(wǎng)關(guān)所服務(wù)的接入節(jié)點主動向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)報告其信息，該寬帶網(wǎng)絡(luò)網(wǎng)關(guān)以此確定其所服務(wù)的接入節(jié)點。
根據(jù)本發(fā)明的方法，所述接入節(jié)點通過接入?yún)f(xié)議、管理協(xié)議或者動態(tài)管理協(xié)議的方式，主動向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)報告其信息。
根據(jù)本發(fā)明的方法，所述接入?yún)f(xié)議包括有以太網(wǎng)上點到點中間代理協(xié)議或者動態(tài)主機(jī)配置協(xié)議；所述管理協(xié)議包括有簡單網(wǎng)絡(luò)管理協(xié)議；所述動態(tài)管理協(xié)議包括有二層控制機(jī)制協(xié)議、接入節(jié)點控制協(xié)議或者公共開放策略服務(wù)協(xié)議。
根據(jù)本發(fā)明的方法，所述步驟A中在寬帶網(wǎng)絡(luò)網(wǎng)關(guān)上配置其所服務(wù)的接入節(jié)點信息，該寬帶網(wǎng)絡(luò)網(wǎng)關(guān)以此確定其所服務(wù)的接入節(jié)點。
根據(jù)本發(fā)明的方法，所述步驟A中寬帶網(wǎng)絡(luò)網(wǎng)關(guān)主動發(fā)現(xiàn)其所服務(wù)的接入節(jié)點，該寬帶網(wǎng)絡(luò)網(wǎng)關(guān)以此確定其所服務(wù)的接入節(jié)點。
根據(jù)本發(fā)明的方法，所述步驟B中所述寬帶網(wǎng)絡(luò)網(wǎng)關(guān)通過管理協(xié)議或者動態(tài)管理協(xié)議的方式，向該接入節(jié)點發(fā)送安全策略信息。
根據(jù)本發(fā)明的方法，所述管理協(xié)議包括有簡單網(wǎng)絡(luò)管理協(xié)議；所述動態(tài)管理協(xié)議包括有二層控制機(jī)制協(xié)議、接入節(jié)點控制協(xié)議或者公共開放策略服務(wù)協(xié)議。
根據(jù)本發(fā)明的方法，所述步驟C之后進(jìn)一步包括有步驟D.所述接入節(jié)點執(zhí)行所配置的安全策略。
為了實現(xiàn)本發(fā)明的另一發(fā)明目的，本發(fā)明提供一種寬帶接入網(wǎng)絡(luò)的安全管理系統(tǒng)，至少包括寬帶網(wǎng)絡(luò)網(wǎng)關(guān)，用于確定其所服務(wù)的接入節(jié)點，并向所述接入節(jié)點發(fā)送安全策略信息；接入節(jié)點，用于根據(jù)所接收的安全策略信息，來配置安全策略。
本發(fā)明通過寬帶網(wǎng)絡(luò)網(wǎng)關(guān)對其服務(wù)的接入節(jié)點發(fā)送安全策略信息，接入節(jié)點根據(jù)所述安全策略信息，配置并執(zhí)行安全策略，整網(wǎng)實現(xiàn)了寬帶接入網(wǎng)絡(luò)的安全管理，以及全面地解決寬帶接入網(wǎng)絡(luò)的安全問題，提高了寬帶接入網(wǎng)絡(luò)服務(wù)的安全性。


圖1是本發(fā)明所提供的寬帶接入網(wǎng)絡(luò)的安全管理系統(tǒng)的結(jié)構(gòu)示意圖；圖2是本發(fā)明所提供的寬帶接入網(wǎng)絡(luò)的安全管理的方法流程圖。
具體實施例方式
為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點更加清楚明白，以下結(jié)合附圖及實施例，對本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。
本發(fā)明的基本思想是寬帶網(wǎng)絡(luò)網(wǎng)關(guān)對其服務(wù)的接入節(jié)點發(fā)送安全策略信息，接入節(jié)點根據(jù)所述安全策略信息，配置并執(zhí)行安全策略。通過寬帶網(wǎng)絡(luò)網(wǎng)關(guān)控制寬帶接入網(wǎng)絡(luò)的安全管理，全面地解決寬帶接入網(wǎng)絡(luò)的安全問題，提高了寬帶接入網(wǎng)絡(luò)服務(wù)的安全性。
圖1是本發(fā)明所提供的寬帶接入網(wǎng)絡(luò)的安全管理系統(tǒng)的結(jié)構(gòu)示意圖，描述如下；該寬帶接入網(wǎng)絡(luò)的安全管理系統(tǒng)至少包括接入節(jié)點102和寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103。用戶端設(shè)備101通過鏈路10接入到接入節(jié)點102，而接入節(jié)點102通過鏈路20接入到寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103。用戶端設(shè)備101可以是家庭網(wǎng)關(guān)等設(shè)備；接入節(jié)點102可以是數(shù)字用戶線路接入復(fù)用器，或者局端系統(tǒng)的光線路終端等設(shè)備；而寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103可以是邊緣路由器、遠(yuǎn)程接入服務(wù)器或者業(yè)務(wù)路由器等。在本發(fā)明的實施中，接入節(jié)點102以數(shù)字用戶線路接入復(fù)用器為例，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103以寬帶接入服務(wù)器為例。
接入節(jié)點102是完成用戶端設(shè)備101線纜的物理終結(jié)，或者無線信道的終結(jié)，實現(xiàn)用戶數(shù)據(jù)的匯聚，滿足高密度、多形式的接入。接入節(jié)點102最靠近用戶端設(shè)備101，是運營商網(wǎng)絡(luò)的邊緣，是安全防護(hù)的第一道門檻。在寬帶接入網(wǎng)絡(luò)安全問題中，接入節(jié)點102處于重要的地位。因此，確保以及整體掌控接入節(jié)點102的安全性猶為重要。
圖2是本發(fā)明所提供的寬帶接入網(wǎng)絡(luò)的安全管理的方法流程圖，下面結(jié)合圖1對本發(fā)明進(jìn)行說明，內(nèi)容如下；步驟S201中，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)確定其所服務(wù)的接入節(jié)點。
在本發(fā)明的一個實施例中，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103所服務(wù)的接入節(jié)點102主動向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)103報告其信息，該寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103以此確定其所服務(wù)的接入節(jié)點102。寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103可以根據(jù)接入節(jié)點102的報告信息，確定其所服務(wù)的接入節(jié)點102的信息。接入節(jié)點102向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)103報告其信息的方式有多種，例如，所述接入節(jié)點102通過接入?yún)f(xié)議、管理協(xié)議或者動態(tài)管理協(xié)議的方式，主動向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)103報告其信息。
其中，接入節(jié)點102通過接入?yún)f(xié)議向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)103報告其信息，所述接入?yún)f(xié)議包括有以太網(wǎng)上點到點中間代理協(xié)議(Point-to-Point Protocol overEthernet Intermediate Agent Protocol，PPPoE Intermediate Agent Protocol)，或者動態(tài)主機(jī)配置協(xié)議(Dynamic Host Configuration Protocol，DHCP)。
接入節(jié)點102通過管理協(xié)議的方式向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)103報告其信息，所述管理協(xié)議包括有簡單網(wǎng)絡(luò)管理協(xié)議(Simple Network Management Protocol，SNMP)。
接入節(jié)點102通過動態(tài)管理協(xié)議的方式向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)103報告其信息，所述動態(tài)管理協(xié)議包括有數(shù)字用戶線(Digital Subscriber Line，DSL)論壇的二層控制機(jī)制(Layer 2 Control Mechanism，L2CM)協(xié)議、接入節(jié)點控制協(xié)議(Access Node Control Protocol，ANCP)和公共開放策略服務(wù)(Common OpenPolicy Service，COPS)協(xié)議。
在本發(fā)明的另一個實施例中，在寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103上配置其所服務(wù)的接入節(jié)點102信息，該寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103以此確定其所服務(wù)的接入節(jié)點102。對于寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103來說，其服務(wù)的接入節(jié)點102的信息可以在接入節(jié)點102還沒有接入到寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103之前預(yù)先設(shè)置，將接入節(jié)點102的信息記錄在寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103中，以便寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103在后續(xù)的接入服務(wù)中為接入節(jié)點102提供服務(wù)，發(fā)送安全策略信息。
在本發(fā)明的又一個實施例中，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103主動發(fā)現(xiàn)寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103服務(wù)的接入節(jié)點102，該寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103以此確定其所服務(wù)的接入節(jié)點102。在該實施例中，接入節(jié)點102已經(jīng)接入到寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103主動搜索需要其提供服務(wù)的接入節(jié)點102，并相應(yīng)記錄該接入節(jié)點102的信息。
步驟S202中，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)向所述接入節(jié)點發(fā)送安全策略信息。
在本發(fā)明的一個實施例中，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103通過管理協(xié)議或者動態(tài)管理協(xié)議的方式，向該接入節(jié)點102發(fā)送安全策略信息。
其中，寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103通過管理協(xié)議的方式通知接入節(jié)點102，所述管理協(xié)議包括有SNMP協(xié)議。
寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103通過動態(tài)管理協(xié)議的方式通知接入節(jié)點102，所述動態(tài)管理協(xié)議包括有DSL論壇的L2CM協(xié)議、ANCP協(xié)議和COPS協(xié)議。
步驟S203中，接入節(jié)點根據(jù)所接收的安全策略信息，來配置安全策略。
當(dāng)接入節(jié)點102接收到寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103發(fā)送的安全策略信息后，根據(jù)該信息，配置本接入節(jié)點102的安全策略。
在本發(fā)明的一個優(yōu)選實施例中，在步驟S203之后進(jìn)一步包括步驟S204中，所述接入節(jié)點執(zhí)行所配置的安全策略。
當(dāng)接入節(jié)點102配置本接入節(jié)點102的安全策略后，執(zhí)行所配置的安全策略。這樣就能夠起到維護(hù)本接入節(jié)點安全性的作用。
為了更好的實現(xiàn)本發(fā)明，本發(fā)明進(jìn)一步提供了一種實施本發(fā)明的方法的系統(tǒng)，所述系統(tǒng)至少包括寬帶網(wǎng)絡(luò)網(wǎng)關(guān)103，用于確定其所服務(wù)的接入節(jié)點102，并向所述接入節(jié)點102發(fā)送安全策略信息；接入節(jié)點102，用于根據(jù)所接收的安全策略信息，來配置安全策略。
綜上所述，本發(fā)明通過寬帶網(wǎng)絡(luò)網(wǎng)關(guān)對其服務(wù)的接入節(jié)點發(fā)送安全策略信息，接入節(jié)點根據(jù)所述安全策略信息，配置并執(zhí)行安全策略，整網(wǎng)實現(xiàn)了寬帶接入網(wǎng)絡(luò)的安全管理，以及全面地解決寬帶接入網(wǎng)絡(luò)的安全問題，提高了寬帶接入網(wǎng)絡(luò)服務(wù)的安全性。
當(dāng)然，本發(fā)明還可有其它多種實施例，在不背離本發(fā)明精神及其實質(zhì)的情況下，熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形，但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1.一種寬帶接入網(wǎng)絡(luò)的安全管理方法，其特征在于，包括A.寬帶網(wǎng)絡(luò)網(wǎng)關(guān)確定其所服務(wù)的接入節(jié)點；B.寬帶網(wǎng)絡(luò)網(wǎng)關(guān)向所述接入節(jié)點發(fā)送安全策略信息；C.接入節(jié)點根據(jù)所接收的安全策略信息，來配置安全策略。
2.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟A中寬帶網(wǎng)絡(luò)網(wǎng)關(guān)所服務(wù)的接入節(jié)點主動向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)報告其信息，該寬帶網(wǎng)絡(luò)網(wǎng)關(guān)以此確定其所服務(wù)的接入節(jié)點。
3.根據(jù)權(quán)利要求2所述的方法，其特征在于，所述接入節(jié)點通過接入?yún)f(xié)議、管理協(xié)議或者動態(tài)管理協(xié)議的方式，主動向?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)報告其信息。
4.根據(jù)權(quán)利要求3所述的方法，其特征在于，所述接入?yún)f(xié)議包括有以太網(wǎng)上點到點中間代理協(xié)議或者動態(tài)主機(jī)配置協(xié)議；所述管理協(xié)議包括有簡單網(wǎng)絡(luò)管理協(xié)議；所述動態(tài)管理協(xié)議包括有二層控制機(jī)制協(xié)議、接入節(jié)點控制協(xié)議或者公共開放策略服務(wù)協(xié)議。
5.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟A中在寬帶網(wǎng)絡(luò)網(wǎng)關(guān)上配置其所服務(wù)的接入節(jié)點信息，該寬帶網(wǎng)絡(luò)網(wǎng)關(guān)以此確定其所服務(wù)的接入節(jié)點。
6.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟A中寬帶網(wǎng)絡(luò)網(wǎng)關(guān)主動發(fā)現(xiàn)其所服務(wù)的接入節(jié)點，該寬帶網(wǎng)絡(luò)網(wǎng)關(guān)以此確定其所服務(wù)的接入節(jié)點。
7.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟B中所述寬帶網(wǎng)絡(luò)網(wǎng)關(guān)通過管理協(xié)議或者動態(tài)管理協(xié)議的方式，向該接入節(jié)點發(fā)送安全策略信息。
8.根據(jù)權(quán)利要求7所述的方法，其特征在于，所述管理協(xié)議包括有簡單網(wǎng)絡(luò)管理協(xié)議；所述動態(tài)管理協(xié)議包括有二層控制機(jī)制協(xié)議、接入節(jié)點控制協(xié)議或者公共開放策略服務(wù)協(xié)議。
9.根據(jù)權(quán)利要求1所述的方法，其特征在于，所述步驟C之后進(jìn)一步包括有步驟D.所述接入節(jié)點執(zhí)行所配置的安全策略。
10.一種用于實施所述權(quán)利要求1～9任一項方法的系統(tǒng)，其特征在于，所述系統(tǒng)至少包括寬帶網(wǎng)絡(luò)網(wǎng)關(guān)，用于確定其所服務(wù)的接入節(jié)點，并向所述接入節(jié)點發(fā)送安全策略信息；接入節(jié)點，用于根據(jù)所接收的安全策略信息，來配置安全策略。
全文摘要
本發(fā)明公開了一種寬帶接入網(wǎng)絡(luò)的安全管理方法，包括步驟A.寬帶網(wǎng)絡(luò)網(wǎng)關(guān)確定其所服務(wù)的接入節(jié)點；步驟B.寬帶網(wǎng)絡(luò)網(wǎng)關(guān)向所述接入節(jié)點發(fā)送安全策略信息；步驟C.接入節(jié)點根據(jù)所接收的安全策略信息，來配置安全策略。相應(yīng)地，本發(fā)明還提供一種寬帶接入網(wǎng)絡(luò)的安全管理系統(tǒng)。本發(fā)明通過寬帶網(wǎng)絡(luò)網(wǎng)關(guān)對其服務(wù)的接入節(jié)點發(fā)送安全策略信息，接入節(jié)點根據(jù)所述安全策略信息，配置并執(zhí)行安全策略，整網(wǎng)實現(xiàn)了寬帶接入網(wǎng)絡(luò)的安全管理，以及全面地解決寬帶接入網(wǎng)絡(luò)的安全問題，提高了寬帶接入網(wǎng)絡(luò)服務(wù)的安全性。
文檔編號H04L12/66GK101051979SQ200710099519
公開日2007年10月10日 申請日期2007年5月23日 優(yōu)先權(quán)日2007年5月23日
發(fā)明者曹文利 申請人:中興通訊股份有限公司