[发明专利]一种控制用户访问身份标识和位置分离网络的方法和系统

权利要求书

1.一种控制用户访问身份标识和位置分离网络的方法，其特征在于，包括：

用于访问控制的节点接收用户访问身份标识和位置分离网络中网络节点的数据包；

获取所述数据包的目的地址和目的端口，如果目的地址和目的端口属于需进行访问控制的目的网元的地址和端口，再获取所述数据包的源地址和源端口；

用于访问控制的节点根据所述获取的所述数据包的源地址和源端口以及记录的源地址、源端口与访问所述网络节点权限的对应关系信息，查找所述源地址和源端口对应的访问权限；

如果查找到所述源地址和源端口对应的访问权限，所述访问控制的节点根据所述权限控制所述用户对所述网络节点的通信。

2.根据权利要求1所述的方法，其特征在于：

所述需进行访问控制的地址和端口是指：配置的一个或多个核心网管理节点(CNMP)节点的地址和端口，和/或，配置的身份标识和位置分离网络中网络节点的地址和端口。

3.根据权利要求1所述的方法，其特征在于，还包括：

如果在所述开放状态表中没有查找到所述数据包的源地址和源端口，所述用于访问控制的节点再判断所述数据包是否为预先规定的网络管理请求数据包；

如果符合，验证所述用户是否为网络管理员；

如果是网络管理员，允许所述用户与所述网络节点进行通信。

4.根据权利要求3所述的方法，其特征在于，还包括，所述用于访问控制的节点在以下任一情况下丢弃所述数据包：

所述用于访问控制的节点如果在记录的对应关系信息中查找到所述数据包的源地址和源端口且所述源地址和源端口对应的访问权限不为开放；

所述用于访问控制的节点判断所述数据包非预先规定的网络管理请求数据包；

所述用于访问控制的节点判断所述数据包是预先规定的网络管理请求数据包，但验证确定所述用户非网络管理员。

5.根据权利要求1所述的方法，其特征在于，

如果在所述开放状态表中没有查找到所述数据包的源地址和源端口，所述用于访问控制的节点再判断所述数据包是否为预先规定的网络管理请求数据包；

如果符合，验证所述用户是否为网络管理员，当验证确定所述用户为网络管理员时，所述用于访问控制的节点再根据配置的该网络管理员可访问的网络节点信息判断所述用户是否具有访问所述网络节点的权限；

如果具有访问所述网络节点的权限，允许所述用户与所述网络节点进行通信，否则丢弃所述数据包。

6.根据权利要求1所述的方法，其特征在于：

所述访问控制的节点根据所述权限，控制所述用户与所述网络节点的通信时，在所述权限为开放时，允许所述用户与所述网络节点进行通信，否则，丢弃所述数据包。

7.根据权利要求4或5所述的方法，其特征在于：

当所述用于访问控制的节点丢弃具有同一源地址和源端口的数据包的总次数超过预先设置的次数阈值时，将所述数据包的源地址和源端口添加到开放状态表，并配置所述源地址和源端口对应的访问权限为屏蔽；

所述用于访问控制的节点收到具有对应访问权限为屏蔽的源地址和源端口的数据包后直接丢弃。

8.根据权利要求3或5所述的方法，其特征在于，所述验证所述用户的身份是否为网络管理员通过以下方式实现：

所述用于访问控制的节点向身份位置寄存器发送管理员身份识别请求，携带所述用户的用户身份标识；

接收管理员身份认证识别响应，所述管理员身份认证识别响应中包括所述身份位置寄存器根据配置的网络管理员的身份标识对所述用户身份标识进行认证的结果；

根据所述管理员身份认证识别响应中的认证结果，确定所述用户是否为网络管理员。

9.根据权利要求8所述的方法，其特征在于，还包括：

所述网络管理请求数据包中包含有管理员标识符，所述用于访问控制的节点是从所述网络管理请求数据包提取出其中的管理员标识符，发送到所述身份位置寄存器，所述身份位置寄存器根据配置的管理员标识符与收到的管理员标识符来判断所述用户是否是网络管理员。

10.根据权利要求5所述的方法，其特征在于：

在确定所述数据包符合预先规定的网络管理请求数据包时，所述用于访问控制的节点还将所述数据包的源地址和源端口添加到所述开放状态表，并配置所述源地址和源端口对应的访问权限为冻结。