ip授权方式有哪些-Ip电信网络系统的业务授权方法

专利名称：IP电信网络系统的服务授权方法

技术领域：

本发明涉及一种电信用户业务授权的方法,尤其涉及一种在IP电信网络系统中由用户终端设备、业务演示中心和边缘网关设备配合实现的业务演示及授权方法,属于电信技术领域。

背景技术：

IP电信网络系统是发明人在专利号为ZL 2.0的发明专利中提出的新概念，采用独特的内外双层结构和双地址寻址方式，由位于内层的至少一个复制无连接数据网络(简称PTDN网络)和位于外层的多个IP网络组成，还包括多个边缘网关设备。IP网络通过边缘网关设备与复制无连接数据网络连接。每个复制无连接数据网络还包括至少一个地址映射设备；边缘网关设备通过地址映射设备完成双地址之间的映射。复制无连接数据网络和边缘网关设备中的所有设备均被分配一个复制无连接数据网络地址，IP网络和上述边缘网关设备中的所有设备均被分配一个IP地址，IP地址与复制无连接数据网络地址的映射关系存储在地址映射设备中的地址映射表中。边缘网关设备经过认证后与地址映射设备建立连接。 复制无连接数据网络内部还存在网管设备，网管设备同时管理复制无连接数据网络中的接入层设备、汇聚层设备和核心层设备。

上述IP电信网络技术方案是针对传统电信网络向基于分组交换技术的下一代电信网络转型而专门提出的一种全新的技术体系。在不断开发该技术体系的过程中，发明人已经对IP电信网络系统的基本架构及实现通信的方法、基于IP电信网络系统实现虚拟专用网及组播功能的方法、在IP电信网络系统中进行资源管理的方法、在其中传输的数据包的报头压缩方法、在IP电信网络系统中传输的具体数据包格式及其实现机制等一系列问题做出了详细的描述，在此不再赘述。

基于IP电信网络技术体系的新型IP承载网可以承载多种业务网络，并保证业务网络所需的承载网资源，以保证业务网络能够提供用户所期望的业务质量，同时可以有效限制非授权用户非法使用业务。为此，在用户使用业务之前，需要对用户使用业务的资格进行验证，通过资格验证的用户可以获得使用业务的授权，在用户获得业务使用权后，用户就可以使用业务。然而，现有技术中并没有针对IP电信网络技术体系下如何对电信用户进行业务授权的具体技术方案。

公开号为CN101132403的中国发明专利申请公开了一种业务授权方法及服务器，使用户能够更加便捷地开通业务，降低运营商的投资成本。该技术方案接收用户终端使用业务的请求，若用户终端尚未注册所请求的业务，则自动注册，若注册成功，则允许用户终端使用所请求的业务。在注册用户终端的过程中，进行权限控制。但该技术方案在IP电信网络技术体系下无法使用。

发明内容

本发明的目的在于提供一种IP电信网络系统的业务授权方法，该方法由用户终端设备、业务演示中心和边缘网关设备三者配合实现。为实现上述发明目的，本发明采用如下技术方案：一种IP电信网络系统的业务授权方法，该方法由用户终端设备、业务演示中心和边缘网关设备三者配合实现。

核心和边缘网关设备相互配合实现，其特征在于包括以下步骤

（1）用户向业务论证中心发送针对特定电信服务的业务论证请求；

（2）服务演示中心收到服务演示请求后，如果确认用户有权使用电信服务，则向用户发送确认响应；否则ip授权方式有哪些，拒绝向用户发送确认响应；

(3)用户收到确认响应后，与服务ED设备建立业务控制链路连接，并向服务ED设备发送用户授权书；

(4)若业务ED设备有足够的资源支撑该业务，则在接入端口上配置资源，并将用户设备与业务ED设备之间的链路层连接与该业务相关的数据平面ID关联起来。

(5)当用户开始使用合法的电信服务时，首先与服务ED设备建立连接，服务ED设备识别到用户为合法用户后，与用户建立服务连接，用户开始使用电信服务。

其中，在步骤（1）之前，为用户设备分配一个唯一的IP地址；在步骤（2）中，确认响应中包含用户授权以及支持该特定电信业务的服务ED设备的信息。

用户授权书及业务ED设备信息采用双重加密技术，双重加密技术是指在业务演示中心与用户设备之间采用第一次加密。

用户可以解密读取用户必须使用的信息；用户授权形式采用第二种

已加密，用户无法打开用户授权书。

用户必须使用的信息是可用的ED设备及其IP地址列表。在步骤(4)中，根据服务授权确定要使用的具体数据平面ID。在步骤(1)中，电信服务不包括互联网服务。本发明提供的服务授权方法可以确保服务授权方法在特定电信服务的设计框架内实施。

在此情况下，用户可以获得可靠、可预测的服务质量服务，同时可以有效限制未经授权的

用户非法使用该特定电信服务，为IP电信网络技术的商业应用奠定了基础。

技术基础。

下面结合附图对本发明的实施例进行详细的说明。

本发明进一步描述如下：图1为IP电信网络系统中边缘网关设备的组成结构示意图；图2为IP电信网络业务授权方法的流程示意图。

具体实施方式

本发明提供的IP电信网络业务授权方法，是由IP电信网络系统中的用户终端设备(以下简称用户设备)、业务验证中心和边缘网关设备三者配合实现的，下面介绍该方法的具体实现过程。

在实施IP电信网络服务授权方法之前，首先要为用户的终端设备分配一个地址。由于在IP电信网络系统的技术体系中，用户设备都是分布在作为外部网络的IP网络中，因此上述分配的地址是用于IP网络的IP地址。用户设备可以配置为以静态或动态的方式(例如通过DHCP)获取IP地址。为了方便用户管理，通常在一个通信过程中吉祥物，不管用户要使用多少个服务，都只使用一个IP地址。当然，也不排除允许用户对不同的服务使用不同的IP地址。

图1给出了IP电信网络系统中边缘网关设备的基本结构。边缘网关设备简称ED设备，由中央处理模块、通信资源配置模块、通信资源管理与控制模块、数据包收发模块、数据包头处理模块、网管接口模块、电源模块、数据库模块等组成。中央处理模块是管理和控制整个ED设备的关键功能模块。中央处理模块分别与其他ED设备相连，构成ED设备管理平台。

通信资源配置模块、通信资源管理与控制模块、数据包收发模块、数据包头处理模块、网管接口模块、电源模块和数据库模块连接。数据包收发模块是与外部电信网络的接口，负责数据包的收发。数据包头处理模块与数据包收发模块连接，用于对数据包头进行处理。通信资源管理与控制模块是实现资源管理和控制的功能模块，该模块与数据包收发模块连接，通过控制数据包的收发来实现对通信资源的管理。通信资源配置模块与通信资源管理与控制模块连接，实现网络通信资源的预配置。

ED设备是IP电信网络中的核心设备之一，放置在IP电信网络系统的内网（即复用无连接数据网络）的边缘，用于处理输入/输出数据包，并将IP地址与复用无连接数据网络地址的映射关系上传至ADT（地址映射设备）。在ED设备中，数据包由外网地址转换为内网地址，在输入端对数据包进行外层包头封装，在输出端去除外层包头封装，还原数据包。通过对数据包进行处理ip授权方式有哪些，可以根据业务授权进一步配置数据平面，并对所管辖的IP网络地址进行聚类。关于ED设备的进一步描述，请参见本申请人关于IP电信网络技术系统的一系列专利申请中的相关内容，在此不再详细介绍。

ED设备在本IP电信网络业务授权方法中发挥的作用主要体现在两个方面。首先，在基于IP电信网络系统实现的IP承载网中，数据面ID作为唯一标识，用于标识、管理和控制特定的数据面资源。ED设备会将用户获得的使用该业务的授权与已经为该业务预定的数据面ID进行关联，从而保证在业务的设计框架内，用户能够获得具有可预期安全可信度和可预期服务质量的服务。另一方面，用户获得的授权是用户无法更改的，即用户获得的授权书是采用加密技术加密的，用户无法更改。用户将授权书提交给ED设备，ED设备解密后，根据授权书中的授权确定用户使用相应业务的权限，并将用户与为该业务预定的数据面ID进行关联。

在实施本发明的过程中，业务演示中心也是一个不可缺少的环节。业务演示中心的作用类似于现有电信技术中的认证系统。当用户要使用IP承载网提供的一项新业务时，需要通过业务演示中心进行业务演示和授权。只有获得业务授权的用户才能使用该业务，否则无权使用该业务。在具体实施过程中，业务演示中心可以是一个数据库，其中存储了用户个人信息与用户有权使用的服务的对应关系。

2、下面介绍本发明提供的针对IP电信网用户的业务演示及授权方法的具体实现过程。

在一次通讯过程中，用户可以同时使用多种服务，当用户通过用户界面等接口选择需要使用的服务时，首先向服务演示中心发送针对具体电信服务的服务演示请求，服务演示请求中包含必要的用户个人信息、预先设定的服务代码以及用户设备的IP地址。

业务授权中心收到用户针对特定电信业务的业务授权请求后，如果授权后确认用户有权使用该业务，则中心将向用户发送用户授权的确认响应；否则，中心拒绝向用户发送确认响应。确认响应中包含用户授权书和支持该特定电信业务的ED设备（简称业务ED设备）的对应信息。其中，用户授权书和业务ED设备的对应信息是经过加密的。这里的加密过程可以采用非对称密钥加密，可以采用双重加密技术。双重加密技术是指业务授权中心与用户之间采用第一次加密，用户可以解密读取用户必须使用的信息，如可用的ED设备列表及其IP地址；用户授权书采用第二次加密，用户无法打开用户授权书，确保用户无法更改用户授权书的内容。

用户收到业务验证中心发来的用户验证的确认响应，解密并读取用户所必须用到的信息，如业务ED设备列表及其IP地址等，根据所提供的业务ED设备的IP地址与支持特定电信业务的业务ED设备建立该业务的控制链路连接，并将用户授权书和自身的IP地址发送给业务ED设备。

业务ED设备在收到用户发送的用户授权书后，解密该授权书，并根据用户授权书提供的信息检查ED设备相应端口是否具有足够的网络传输资源用于该业务。如果没有足够的网络传输资源，业务ED设备可以拒绝该业务连接，即业务建立失败；如果业务ED设备具有足够的资源支持该业务，则会为该业务建立多个链路层连接。ED设备在接入端口配置资源，并将用户设备与业务ED设备之间的链路层连接与该业务相关的数据平面ID（包括控制、管理、实时和非实时数据平面）关联起来，具体使用哪个数据平面ID则根据业务授权确定。

当用户开始使用经过认证授权的业务时，首先与服务ED设备建立连接，服务ED设备根据用户设备的IP地址等信息识别用户。

是否是特定业务的合法用户，若是，则将用户设备作为链路层连接的终端，与其建立业务连接。

服务连接建立后，用户即可启动该服务的通讯过程。

ED设备之间的链路层连接在通信过程中始终保持，对于不需要资源保障的业务或者非实时业务，可以使用非实时数据平面，对于需要资源保障的业务或者非实时业务，可以使用实时数据平面。每个具体业务所需的通信资源，业务ED设备可以从该业务的用户授权表中提供的信息中获取。

需要注意的是，为了实现与现有互联网服务的平滑过渡和兼容，可以将现有互联网服务视为默认服务，用户无需进行业务论证和授权即可使用互联网服务，但如果要引入具有独特商业模式的新一代互联网服务，则需要进行业务论证和授权。

以上是对本发明的IP电信网络系统的业务授权方法的详细描述，对于本领域技术人员而言，在不脱离本发明的本质的情况下对本发明所做的任何显而易见的改动都将构成对本发明专利权的侵犯，并将承担相应的法律责任。

权利请求

1.一种IP电信网络系统的业务授权方法，由用户设备、业务演示中心和边缘网关设备配合实现，其特征在于，包括以下步骤：(1)用户向业务演示中心发送针对特定电信业务的业务演示请求；(2)业务演示中心接收到业务演示请求后，若演示后确认用户有权使用该电信业务吉祥物，则向用户发送确认响应，否则拒绝向用户发送确认响应；(3)用户接收到确认响应后，与支持该电信业务的边缘网关设备建立该业务的控制链路连接，并向边缘网关设备发送用户授权书；(4)当边缘网关设备具有足够的资源支持该电信业务时，在接入端口配置资源，将用户设备与边缘网关设备之间的链路层连接与该业务相关的数据面ID关联；(5)当用户开始使用已被授权的电信业务时，用户首先与边缘网关设备建立连接。 边缘网关设备识别用户为合法用户后，与用户建立业务连接，用户开始使用电信业务。

2.根据权利要求1所述的IP电信网络系统的业务授权方法，其特征在于，在步骤a)之前，为用户设备分配唯一的IP地址。

3.根据权利要求1所述的IP电信网络系统的业务授权方法，其特征在于 – 在步骤(2)中，确认响应包括用户授权书和支持该特定电信业务的边缘网关设备的信息。

4.根据权利要求3所述的IP电信网络系统的业务授权方法，其特征在于：用户授权表和边缘网关设备信息采用双重加密技术进行加密。

5.根据权利要求4所述的IP电信网络系统的业务授权方法，其特征在于：双重加密技术是指业务论证中心与用户设备之间采用第一次加密，用户能够解密读取用户必须使用的信息；用户授权书采用第二次加密，用户无法打开用户授权书。

6.根据权利要求5所述的IP电信网络系统的服务授权方法，其中用户必须使用的信息是可用的边缘网关设备及其IP地址的列表。

7.根据权利要求1所述的IP电信网络系统的业务授权方法，其特征在于：在步骤(4)中，根据业务授权确定使用的具体数据平面ID。

8.根据权利要求1所述的IP电信网络系统的业务授权方法，其特征在于：所述步骤(1)中，所述电信业务不包括互联网业务。

全文摘要

本发明公开了一种IP电信网络系统的业务授权方法，由用户设备、业务演示中心和边缘网关设备配合实现。用户向业务演示中心发送针对特定电信业务的业务演示请求，业务演示中心演示后确认用户有权使用该电信业务，并向用户发送确认响应；用户收到确认响应后，与支持该电信业务的边缘网关设备建立控制链路连接，并向边缘网关设备发送用户授权函；当边缘网关设备具有足够的资源时，在接入端口配置资源，并将用户设备与边缘网关设备之间的链路层连接与该业务相关的数据面ID关联。当用户开始使用电信业务时，首先与边缘网关设备建立连接，边缘网关设备识别用户为合法用户后，与用户建立业务连接，用户开始使用电信业务。

文件编号 H04L12/28GK101594276SQ20081011316

公开日期 2009 年 12 月 2 日 申请日期 2008 年 5 月 28 日 优先权日期 2008 年 5 月 28 日

发明人：刘文红、张杰、胡竹华、姜林涛、赵庆林、马玉发 申请人：原信通电信技术（北京）有限公司；信息产业部电信研究院