[发明专利]一种用户接入安全控制的方法、系统和设备

说明书

技术领域

本发明涉及通信领域，特别涉及一种用户接入安全控制的方法、系统和设备。

背景技术

随着宽带接入技术的发展，网络的接入方式和接入技术已经发生了很大的变化。网络也由传统的只提供Internet接入业务的网络，发展为多业务承载的网络。参见图1，为现有技术提供的宽带接入技术的组网示意图，其中，电视机顶盒、VoIP(Voice over InternetProtocol，网络电话)终端、连接Internet的PC、以及移动电话终端、手持多媒体终端等用户通过RG(Residential Gateway，家庭网关设备)完成统一地接入，RG通过电话双绞线或通过ADSL(Asymmetric Digital Subscriber Line，异步数字用户线路)/VDSL(Very-high-data-rate Digital Subscriber Line，高速数字用户线路)等技术接入到DSLAM(Digital Subscriber Line Access Multiplexer，数字用户线路接入设备)，其中DSLAM是一个二层设备，用于完成对用户接入链路的汇聚，实现xDSL(ADSL/VDSL)和上行的以太链路的转换；然后DSLAM通过接入网接入到BNG(Broadband Network Gateway，宽带网络网关)，其中BNG可以是BRAS(Broadband Remote Access Server，宽带远程接入服务设备)，也可以是专门提供业务的路由器，在网络中BNG用于实现PPPoE(PPP over Ethernet，承载在Ethernet上的PPP协议)的接入，通常是实现PC接入Internet的业务；用于实现DHCP(Dynamic Host Configuration Protocol，动态主机分配协议)接入，通常是实现电视机顶盒、VoIP终端等的接入管理；BNG还用于将由ASP(Application Service Provider，应用服务提供商)/ISP(Internet Service Provider，Internet接入服务提供商)提供不同的业务数据流量分发到对应的用户，其中ASP/ISP提供的业务包括IPTV、Internet接入、VoIP等。网络中还包括通过向网络中的各个网关设备下发控制策略实现对用户/业务管理的策略服务器，网关服务器等。

由此可见，BNG在网络中是处于处理用户接入管理、业务分发、业务策略实施等功能的核心节点。

参见图2，为现有技术提供的用户业务接入映射示意图。不同的用户业务通过RG接入后，通过不同的VC(Virtual Circuit，虚拟电路)接入到DSLAM，其中，电视机顶盒业务通过VC1接入、VoIP业务通过VC2接入、PC业务通过VC3接入。DSLAM完成VC到VLAN的映射时，现有技术提供了两种映射模型：

1)N∶1模型：相同的业务类型，映射到同一个S-VLAN，即一台DSLAM上，所有的用户的相同业务类型的流量，到达BNG的时候，BNG是通过相同的S-VLAN来识别的。

2)1∶1模型：DSLAM为每个业务类型，分配唯一的S-VLAN+C-VLAN的组合，一般S-VLAN来识别业务，C-VLAN来识别用户，即一台DSLAM上，用户的每种业务类型的数据报文到达BNG的时候，BNG是通过S-VLAN+C-VLAN的组合进行唯一确定的。

发明人在实现本发明的过程中发现，现有技术至少存在以下缺点和不足：

BNG识别接入的用户链路是通过VLAN/QinQ实现，安全控制也是以VLAN/QinQ为粒度进行的，在多业务的模式下，BNG无法通过VLAN/QinQ唯一地识别出用户链路，进而也就无法对单个用户链路实施安全控制。

发明内容

为了能够使BNG对单个用户链路实施安全控制，本发明实施例提供了一种用户接入安全控制的方法、系统和设备。所述技术方案如下：

本发明实施例提供了一种用户接入安全控制的方法，所述方法包括：

接收接入请求报文，所述接入请求报文携带用户链路标识；

解析所述接入请求报文得到所述用户链路标识；

根据所述用户链路标识判断所述接入请求报文是否满足预设接入条件；

如果是，允许所述用户链路标识对应的用户接入。

本发明实施例还提供了一种用户接入安全控制的系统，所述系统包括：

用户节点，用于发送接入请求报文；