[发明专利]一种通信网络的层次接入控制方法

说明书

技术领域

本发明涉及网络通信领域，特别涉及一种通信网络的接入控制方法。

背景技术

接入控制的目的是区别正在使用网络的用户类型、区别用户当前的访问类型(QoS要求和目的地)、阻止非法用户使用网络、阻止用户超授权使用网络，从而为服务计费、QoS机制、网络移动和网络安全等提供基础性支持。

目前网络中常用的接入控制技术包括PPPoE、Web和802.1x等3种。PPPoE协议是在以太网上传输PPP的一种协议，它通过把PPP的帧再次封装到以太网帧内，在以太网上建立点到点的链路。使用PPPoE协议可以对一条物理链路的每个用户执行单独的链路控制和管理。因此，即使是从同一接口接入的用户，对不同用户可以应用不同的管理策略。PPPoE的不足之处主要有无法穿透3层网络、不适合多播业务以及由于多了一层PPP的封装增加了网络开销。

Web认证是一种基于IP的认证技术，整个认证流程的每一个步骤都需要IP的参与。IP地址提供了对用户的唯一标识，同一条线路的不同用户可以应用不同的管理策略。认证过程可以跨越3层网络。目前Web认证最大的问题在于对浏览器的依赖，由于没有客户端软件，认证过程的很多交互是通过Web页面来完成的，这样就需要浏览器的支持。但由于浏览器经常受到各种攻击，安全性一直以来都没有办法得到保证，使得Web认证的可靠性大大降低。

802.1x是一种以太网的认证技术，是基于端口的接入控制。在认证过程中没有PPP的打包过程，没有IP地址的参与，无法跨越3层网络进行认证。通常情况下，在最接近用户的设备上启用802.1x认证，同一端口不能对不同的用户进行分别控制。802.1x的缺点是用户认证开始时发送的多播数据包在不确定的网络中可能会造成数据大量堆积，影响网络的正常运行，另外由于用于认证的设备一般是成本较低的交换机，其可靠性和安全性都不是很好，抗攻击能力相对来说比较差。

综上现有网络中的接入控制技术存在如下问题：首先，现有的接入控制方法都存在某些方面的不足，而且采用单一技术手段通常不能很好地解决网络用户接入管理的问题；其次，不存在全网统一的接入控制方法，也不存在能够全面支持服务计费、QoS机制、网络移动和网络安全的接入控制方法，在不同的管理域，为了达到不同的目的，往往采用不同的接入控制方法和接入控制系统。

向量网是在总结NGI与NGN理论和实践基础上，集电信网、ATM网、IP网、帧中继、MPLS等技术的优点而提出的一种通信网络。向量网继承了电信网控制面和传送面相分离体制，同IP网、ATM网一样，可用于构建全球网，并能延伸到用户终端。

通信网与网络地址总是联系在一起，常用的网络地址有IP地址、ATM终端地址、ATM交换地址(即VPI/VCI地址)，甚至电话号码、因特网的域名等都是网络地址。各种网络地址的用途和属性不同，有的标识网络对象，有的用于交换路由；有的人使用，便于记忆，有的机器使用，便于存储和处理。

向量网采用一种三加一标识体系：包括名称地址、交换地址、对话口令三个主要标识，外加一个路由地址，共四种标识。名称地址是向量网的标识地址，路由地址是名称地址的别名，名称地址和路由地址在控制面使用；交换地址在传送面使用，必须方便高速简单地交换转发数据，采用向量地址；对话口令是一种呼叫连接标识，接入控制用，是进入领界，占用信道资源的密码口令，动态分配得到。

公开号CN1866972A，发明名称《一种向量网络地址编码方法》给出一种向量地址，是一种不同于IP地址和ATM路径信道地址的交换地址。

在向量网中，转发设备的输入输出端口从1开始用数字编号，称为端口号。向量地址以端口号为编码基础，描述了从信源设备到信宿设备传送数据的通信路径。通信路径信息是端口号组成的序列，路径上的每个转发设备都对应序列中的一个端口号，是通信路径通过该电子设备的输出端口号。以上端口号序列就象一步一步的方向标，引导数据包传送到达信宿设备，所以被称为向量地址，其中的端口号被称为分量地址。

当转发设备从某输入端口收到一个数据包后，检查第一个分量地址，根据检查结果把该数据包发送到第一个分量地址所指定的输出端口，传送出去的数据包不包含第一个分量地址，即第一个分量地址使用以后就从数据包删去，传送出去的数据包的向量地址少了一个分量地址。这就是向量传送网的转发设备的数据交换过程，在此称其为向量交换过程，完成向量交换的转发设备被称为向量交换机。

向量网采用类似“源路由”的数据传送方法，所以在数据通信之前，需要呼叫建立一条通信路径，即建立通信连接，这种通信连接被称为向量连接。