技術(shù)領(lǐng)域

本發(fā)明涉及網(wǎng)絡(luò)接入控制技術(shù)，尤其涉及一種網(wǎng)絡(luò)接入控制方法和系統(tǒng)。背景技術(shù)

在有線和無(wú)線網(wǎng)絡(luò)進(jìn)一步融合的情形下，無(wú)線基站尤其在第四代（4G，F(xiàn)ourth?Generation）長(zhǎng)期演進(jìn)（LTE，Long?Term?Evolution）的時(shí)代，為了提高覆蓋率會(huì)大規(guī)模部署眾多小基站（Small?Cell），Small?Cell到達(dá)核心網(wǎng)的回傳網(wǎng)絡(luò)（Backhaul）大部分部署在企業(yè)和用戶家中，不再經(jīng)過(guò)運(yùn)營(yíng)商專有承載網(wǎng)，而是選擇公共傳輸網(wǎng)絡(luò)連接到運(yùn)營(yíng)商的核心網(wǎng)，這樣，運(yùn)營(yíng)商對(duì)接入的Small?Cell的接入安全性要求就非常高，不允許未經(jīng)授權(quán)的基站接入到自己的核心網(wǎng)。

對(duì)于設(shè)備的安全認(rèn)證，第三代合作伙伴計(jì)劃（3GPP，The3rd?Generation?Partnership?Project）推薦使用IPSec（IP?Security）技術(shù)保護(hù)基站到核心網(wǎng)之間的通信安全，而基站和安全網(wǎng)關(guān)（SeGW，Security?Gateway）之間身份認(rèn)證技術(shù)一般基于數(shù)字證書的認(rèn)證。IPSec協(xié)議雖然能夠解決通信雙方認(rèn)證加密的需求，但不能解決數(shù)字證書被盜用，再偽裝為合法用戶接入的場(chǎng)景，這樣，如果有人盜用數(shù)字證書，則可以繞過(guò)安全網(wǎng)關(guān)訪問(wèn)核心網(wǎng)，進(jìn)行未經(jīng)授權(quán)的訪問(wèn)或者攻擊。

發(fā)明內(nèi)容

有鑒于此，本發(fā)明實(shí)施例的主要目的在于提供一種網(wǎng)絡(luò)接入控制方法和系統(tǒng)，能提高終端接入網(wǎng)絡(luò)的安全性和合法性，還能兼容更多的密鑰協(xié)議。

為達(dá)到上述目的，本發(fā)明的技術(shù)方案是這樣實(shí)現(xiàn)的：

本發(fā)明提供了一種網(wǎng)絡(luò)接入控制方法，所述方法包括：

終端設(shè)備將自身的唯一標(biāo)識(shí)信息發(fā)送給安全認(rèn)證設(shè)備；安全認(rèn)證設(shè)備對(duì)終端設(shè)備進(jìn)行數(shù)字證書的認(rèn)證；數(shù)字證書認(rèn)證通過(guò)后，對(duì)終端設(shè)備的唯一標(biāo)識(shí)信息進(jìn)行認(rèn)證，確定所述終端的接入權(quán)限。

上述方案中，所述終端設(shè)備將自身的唯一標(biāo)識(shí)信息發(fā)送給安全認(rèn)證設(shè)備之前，所述方法還包括：所述網(wǎng)管設(shè)備批量存儲(chǔ)各個(gè)合法終端設(shè)備的唯一標(biāo)識(shí)信息，建立唯一標(biāo)識(shí)信息數(shù)據(jù)庫(kù)。

上述方案中，所述終端設(shè)備將自身的唯一標(biāo)識(shí)信息發(fā)送給安全認(rèn)證設(shè)備為：所述終端設(shè)備將自身的唯一標(biāo)識(shí)信息放置在IKE報(bào)文中發(fā)送給安全認(rèn)證設(shè)備。

上述方案中，所述對(duì)終端設(shè)備的唯一標(biāo)識(shí)信息進(jìn)行認(rèn)證，確定所述終端的接入權(quán)限，包括：

所述安全認(rèn)證設(shè)備解析收到的IKE報(bào)文，獲取IKE報(bào)文中終端設(shè)備的唯一標(biāo)識(shí)信息，并將獲得的唯一標(biāo)識(shí)信息發(fā)送給網(wǎng)管設(shè)備；網(wǎng)管設(shè)備將收到的唯一標(biāo)識(shí)信息與自身預(yù)先存儲(chǔ)的各個(gè)合法終端設(shè)備的唯一標(biāo)識(shí)信息進(jìn)行匹配，匹配成功后，確認(rèn)允許所述終端設(shè)備接入網(wǎng)絡(luò)。

上述方案中，所述唯一標(biāo)識(shí)信息為設(shè)備唯一標(biāo)識(shí)符（Device?ID）和/或源IP地址。

本發(fā)明還提供了一種網(wǎng)絡(luò)接入控制系統(tǒng)，所述系統(tǒng)包括：終端設(shè)備、安全認(rèn)證設(shè)備和網(wǎng)管設(shè)備；其中，

終端設(shè)備，用于將自身的唯一標(biāo)識(shí)信息發(fā)送給安全認(rèn)證設(shè)備；

安全認(rèn)證設(shè)備，用于對(duì)終端設(shè)備進(jìn)行數(shù)字證書的認(rèn)證；

網(wǎng)管設(shè)備，用于對(duì)終端設(shè)備的唯一標(biāo)識(shí)信息進(jìn)行認(rèn)證，確定終端設(shè)備的接入權(quán)限。

上述方案中，所述安全認(rèn)證設(shè)備，還用于接收并解析終端設(shè)備的唯一標(biāo)識(shí)信息，并在確認(rèn)數(shù)字證書認(rèn)證通過(guò)后將解析出的唯一標(biāo)識(shí)信息發(fā)送給網(wǎng)管設(shè)備。

上述方案中，所述網(wǎng)管設(shè)備，還用于批量存儲(chǔ)各個(gè)合法終端設(shè)備的唯一標(biāo)識(shí)信息，建立唯一標(biāo)識(shí)信息數(shù)據(jù)庫(kù)。

上述方案中，所述網(wǎng)管設(shè)備，還用于根據(jù)收到的唯一標(biāo)識(shí)信息檢索唯一標(biāo)識(shí)信息數(shù)據(jù)庫(kù)，并將收到的唯一標(biāo)識(shí)信息與唯一標(biāo)識(shí)信息數(shù)據(jù)庫(kù)中存儲(chǔ)的唯一標(biāo)識(shí)信息進(jìn)行匹配，如果匹配成功，則確定允許所述終端設(shè)備接入網(wǎng)絡(luò)；否則，確定拒絕所述終端設(shè)備接入網(wǎng)絡(luò)。

本發(fā)明實(shí)施例所提供的網(wǎng)絡(luò)接入控制方法和系統(tǒng)，終端設(shè)備將自身的唯一標(biāo)識(shí)信息發(fā)送給安全認(rèn)證設(shè)備，安全認(rèn)證設(shè)備對(duì)終端設(shè)備進(jìn)行數(shù)字證書的認(rèn)證；數(shù)字證書認(rèn)證通過(guò)后，對(duì)終端設(shè)備的唯一標(biāo)識(shí)信息進(jìn)行認(rèn)證，確定所述終端的接入權(quán)限。如此，能保證接入網(wǎng)絡(luò)的終端有有效身份，從而提高終端接入網(wǎng)絡(luò)的安全性和合法性；并且，本發(fā)明實(shí)施例所涉及的IKE技術(shù)，既可以兼容網(wǎng)際密鑰交換協(xié)議版本2（IKEv2，Internet?key?exchange?version2），又可以兼容網(wǎng)際密鑰交換協(xié)議版本1（IKEv1，Internet?key?exchange?version1）。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例網(wǎng)絡(luò)接入控制方法的基本實(shí)現(xiàn)流程示意圖；

圖2為本發(fā)明一實(shí)施例網(wǎng)絡(luò)接入控制方法的實(shí)現(xiàn)流程示意圖；