[发明专利]业务策略请求验证系统、业务策略申请和撤销方法

说明书

技术领域

本发明涉及宽带接入业务的运营领域，尤其是一种对宽带用户发 出的业务策略请求进行验证的系统，以及业务策略申请和撤销的方 法。

背景技术

随着宽带接入业务的发展，越来越多的用户开始使用并享受宽带 所带来的方便，但一些不法分子通过盗用合法用户的账号进行非法牟 利，给用户正常使用进行干扰，给合法用户造成了财产损失，甚至精 神伤害。

为了防止用户账号被盗用，运营商已经普遍的采用了将用户宽带 账号和媒体接入控制(Medium Access Control，简称MAC)地址绑 定的方法，这种方法是通过锁定用户上网的以太网卡的物理地址来实 现用户身份的绑定。由于每个以太网卡都具有用于区分不同的以太网 用户的唯一的MAC地址，因此运营商在远程认证拨号用户服务 (Remote Authentication Dial In User Service，简称RADIUS)服务 器上将用户上网计算机的MAC地址与用户宽带账号进行唯一性绑 定，从而限制宽带账号的唯一使用性。用户在进行PPPoE拨号连接 的时候，宽带远程接入服务器(Broadband Remote Access Server， 简称BRAS)设备获取用户的宽带账号以及上网计算机的MAC地址， 然后通过标准RADIUS协议将用户的宽带账号和MAC地址上报给 RADIUS服务器，由RADIUS服务器完成宽带账号和MAC地址一一 对应的判别工作。由于MAC地址具有唯一性，该宽带账号无法实现 非法共享或漫游，也无法正常使用，从而就避免了非法使用合法用户 的宽带账号而带来的损害。

在现有的运营商网络中，采用这种MAC地址绑定方案能够对用 户接入进行一次性的合法性验证，但不能进一步的对用户端每次发起 的业务策略请求进行验证，而用户发起的业务策略请求可能存在着宽 带账号公用和盗用的问题，这必然带来一定的安全问题，并且对于多 用户共用VLAN上行的组网模式，也缺乏二层接入网络的用户安全 隔离和广播报文控制的措施。除此之外，这种MAC地址绑定方案还 具有一些难以克服的缺点，例如RADIUS服务器端的维护工作量很 大，需要经常维护庞大的用户MAC地址表；一旦用户更换电脑或者 更换网卡，都必须在RADIUS服务器上进行重新绑定，给运营商带 来额外的工作量和可能的用户投诉。

发明内容

本发明的第一目的是提出一种业务策略请求验证系统，能够对用 户端发出的业务策略请求进行验证，从而防止宽带账号公用和被盗用 而导致的安全问题。

本发明的第二目的是提出一种业务策略申请方法，能够在对业务 策略请求进行验证的基础上，根据用户发出的业务策略的申请请求在 网络侧部署策略。

本发明的第三目的是提出一种业务策略撤销方法，能够在对业务 策略请求进行验证的基础上，根据用户发出的业务策略的撤销请求在 网络侧撤销策略。

本发明的第四目的是提出一种异常情况下业务策略撤销方法，能 够在检测到业务异常时自动在网络侧撤销策略。

为实现上述第一目的，本发明提供了一种业务策略请求验证系 统，包括：

策略代理设备，具有分别与用户侧设备和网络侧设备连接的接 口，用于接收用户侧设备的业务策略请求，并验证该业务策略请求的 合法性，以及发出代理策略请求；

策略控制服务器，用于接收所述策略代理设备发出的代理策略请 求，并根据该代理策略请求判断网络资源是否满足策略约束条件，如 果满足所述策略约束条件，则下发与所述策略约束条件相对应的执行 指令；

承载设备，用于接收下发的执行指令，并实现相应的策略执行功 能。

为实现上述第二目的，本发明提供了一种业务策略申请方法，包 括以下步骤：

策略代理设备接收用户侧设备发出的业务策略的申请请求，该申 请请求至少包括用户账号、密码和要求申请的业务策略；

策略代理设备检查用户账号是否合法以及用户账号是否处于使 用状态，如果都满足，则向为所述用户账号分配的IP地址发出一个 用户认证挑战，并接收所述分配的IP地址返回的用户认证回复；

如果所述用户认证回复正确，则所述策略代理设备检查所述请求 的业务策略是否满足策略权限条件，如果满足，则向策略控制服务器 发送代理策略申请请求，该代理策略申请请求至少包括策略代理设备 的地址和策略申请请求；