專利名稱:一種通信網絡的層次接入控制方法
技術領域:
本發(fā)明涉及網絡通信領域����,特別涉及一種通信網絡的接入控制方法���。
技術背景接入控制的目的是區(qū)別正在使用網絡的用戶類型、區(qū)別用戶當前的訪問類型(QoS要求 和目的地)����、阻止非法用戶使用網絡、阻止用戶超授權使用網絡�,從而為服務計費、QoS機制�、 網絡移動和網絡安全等提供基礎性支持。目前網絡中常用的接入控制技術包括PPPoE��、 Web和802.1x等3種��。PPPoE協議是在以 太網上傳輸PPP的一種協議�����,它通過把PPP的幀再次封裝到以太網幀內����,在以太網上建立點 到點的鏈路。使用PPPoE協議可以對一條物理鏈路的每個用戶執(zhí)行單獨的鏈路控制和管理。 因此��,即使是從同一接口接入的用戶����,對不同用戶可以應用不同的管理策略。PPPoE的不足 之處主要有無法穿透3層網絡��、不適合多播業(yè)務以及由于多了一層PPP的封裝增加了網絡開 銷�。Web認證是一種基于IP的認證技術,整個認證流程的每一個步驟都需要IP的參與��。IP 地址提供了對用戶的唯一標識�,同一條線路的不同用戶可以應用不同的管理策略����。認證過程 可以跨越3層網絡。目前Web認證最大的問題在于對瀏覽器的依賴�,由于沒有客戶端軟件, 認證過程的很多交互是通過Web頁面來完成的����,這樣就需要瀏覽器的支持。但由于瀏覽器經 常受到各種攻擊��,安全性一直以來都沒有辦法得到保證,使得Web認證的可靠性大大降低����。802.1x是一種以太網的認證技術,是基于端口的接入控制��。在認證過程中沒有PPP的打 包過程���,沒有IP地址的參與���,無法跨越3層網絡進行認證。通常情況下����,在最接近用戶的設 備上啟用802.1x認證,同一端口不能對不同的用戶進行分別控制��。802.1x的缺點是用戶認證 開始時發(fā)送的多播數據包在不確定的網絡中可能會造成數據大量堆積����,影響網絡的正常運行, 另外由于用于認證的設備一般是成本較低的交換機�,其可靠性和安全性都不是很好,抗攻擊 能力相對來說比較差���。綜上現有網絡中的接入控制技術存在如下問題首先���,現有的接入控制方法都存在某些 方面的不足���,而且采用單一技術手段通常不能很好地解決網絡用戶接入管理的問題;其次���, 不存在全網統一的接入控制方法��,也不存在能夠全面支持服務計費�����、QoS機制�、網絡移動和 網絡安全的接入控制方法�����,在不同的管理域��,為了達到不同的目的�,往往采用不同的接入控 制方法和接入控制系統��。向量網是在總結NGI與NGN理論和實踐基礎上,集電信網��、ATM網�、IP網、幀中繼���、 MPLS等技術的優(yōu)點而提出的一種通信網絡����。向量網繼承了電信網控制面和傳送面相分離體 制�,同IP網、ATM網一樣���,可用于構建全球網�,并能延伸到用戶終端����。通信網與網絡地址總是聯系在一起,常用的網絡地址有IP地址�����、ATM終端地址�����、ATM 交換地址(即VPI/VCI地址),甚至電話號碼���、因特網的域名等都是網絡地址�。各種網絡地址 的用途和屬性不同��,有的標識網絡對象�,有的用于交換路由;有的人使用��,便于記憶��,有的 機器使用�,便于存儲和處理。向量網采用一種三加一標識體系包括名稱地址�、交換地址、對話口令三個主要標識��, 外加一個路由地址���,共四種標識。名稱地址是向量網的標識地址����,路由地址是名稱地址的別 名�,名稱地址和路由地址在控制面使用�;交換地址在傳送面使用,必須方便高速簡單地交換 轉發(fā)數據��,采用向量地址��;對話口令是一種呼叫連接標識���,接入控制用�,是進入領界�,占用 信道資源的密碼口令,動態(tài)分配得到����。公開號CN1866972A,發(fā)明名稱《一種向量網絡地址編碼方法》給出一種向量地址,是 一種不同于IP地址和ATM路徑信道地址的交換地址�。在向量網中,轉發(fā)設備的輸入輸出端口從1開始用數字編號�����,稱為端口號�。向量地址以 端口號為編碼基礎����,描述了從信源設備到信宿設備傳送數據的通信路徑����。通信路徑信息是端 口號組成的序列,路徑上的每個轉發(fā)設備都對應序列中的一個端口號�,是通信路徑通過該電 子設備的輸出端口號。以上端口號序列就象一步一步的方向標����,引導數據包傳送到達信宿設 備,所以被稱為向量地址�,其中的端口號被稱為分量地址。當轉發(fā)設備從某輸入端口收到一個數據包后����,檢查第一個分量地址,根據檢査結果把該 數據包發(fā)送到第一個分量地址所指定的輸出端口��,傳送出去的數據包不包含第一個分量地址����, 即第一個分量地址使用以后就從數據包刪去,傳送出去的數據包的向量地址少了一個分量地 址�����。這就是向量傳送網的轉發(fā)設備的數據交換過程����,在此稱其為向量交換過程,完成向量交 換的轉發(fā)設備被稱為向量交換機�。向量網采用類似"源路由"的數據傳送方法,所以在數據通信之前��,需要呼叫建立一條 通信路徑�,即建立通信連接,這種通信連接被稱為向量連接���。公開號CN101052055A�,發(fā)明名稱《一種向量數據通信網上建立向量連接的方法》��,給出 了一種向量網上建立向量連接的方法���,是向量網的控制面功能的基本部分�。向量連接是向量網的一種通信連接方法�,與向量連接有關的信息,特別是記錄通信路徑 的信息����,記錄在數據包和兩端的通信連接控制數據塊中���,交換機不記錄關于每個通信連接的信息,建立向量連接的過程分為兩個子過程-(1) 呼叫過程�����,主叫以被叫的名稱地址作為被叫地址����,向網絡發(fā)出呼叫請求,網絡根據 "網絡的樹狀組織結構"確定主叫通向被叫的呼叫路徑��,通過這一呼叫路徑�����,雙方協商確定通信格式�,交換必要的通信連接信息,更新各自的連接信息���。(2) 尋由過程�����,在協商好的通信格式條件下���,主叫以被叫路由地址作為目的地址,向網 絡發(fā)出尋由請求��,根據可達性評價開始進行分支探索�����,確定指定數量的P條合理路徑����,作為 尋由結果。向量網是一種新型的通信網絡���,沒有現成的接入控制技術����。本發(fā)明的目的主要針對向量 網的特點����,即根據其控制面功能呼叫和尋由相分離的特點,以及沒有類似ICMP反饋控制信 息的能力的特點,設計了跨越多個網絡�,支持信道聚合能力的層次接入控制方法,屬于第三 層網絡的管理技術(層管理)���。該層次接入控制方法也可以應用到其他類型的通信網絡中�。發(fā)明內容本發(fā)明的目的是提供一種通信網絡的層次接入控制方法�,為通信網絡,特別是向量網中 的服務計費�、QoS機制、網絡移動和網絡安全等提供了基礎性支持�����。本發(fā)明提供的層次接入控制方法����,是在中國發(fā)明專利申請公開說明書《一種向量數據通 信網上建立向量連接的方法》中給出的向量網上建立向量連接方法的基礎上設計的,擴展了 其中的呼叫和尋由過程以及相應的數據包格式���,其目的是實現身份認證和接納控制����。在介紹發(fā)明的技術方案之前���,先定義通信網絡����、信源、信宿��、主叫����、被叫�、主動尋由端、 被尋由端����、網域、網域服務器�����、邊境控制器��、虛信道和關聯網域等概念��。電子設備為了完成或更好地完成它們的任務���,常常需要用線纜或通信線路連成一個通信 網絡��,建立網絡通信關系���,相互交換信息�,以便相互協作����。在這種電子設備連成的網絡中,只有兩種實體節(jié)點和鏈路���,每個節(jié)點對應一臺電子設備����,每條鏈路對應一條通信線路����。在此,節(jié)點和鏈路都是實物性的����,所以更準確地講是物理節(jié)點和物理鏈路。從功能上把物理節(jié)點分成兩種角色端站設備和轉發(fā)設備�。端站設備是發(fā)送和接收信息的設備��,作為發(fā)送信息角色時稱其為信源�����,作為接收信息角色時稱其為信宿���。另一方面,端站設備也是發(fā)出呼叫和接受呼叫的設備����,主動發(fā)起通信請求的端站設備被稱為主叫,被動接受通信的端站設備被稱為被叫��。主動發(fā)起尋由請求的端站設備稱為主動尋由端����,被動接受尋由的端站設備稱為被尋由端���,主叫可以是主動尋由端�,被叫也可以是主動尋由端�。轉發(fā)設備是信息傳輸的中間設備,在信源設備向信宿設備發(fā)送信息的過程中����,起信息中轉傳遞的作用�,比如IP網的路由器�����、ATM網的交換機等都是轉發(fā)設備���。實際的一個物理節(jié)點在不同的時候�,可能扮演不同的角色����,比如, 一個物理節(jié)點它是轉發(fā)設備�����,但有時也作為信宿設備接收數據 不轉發(fā)出去���。網域是獨立建立和運營管理的網絡����,是一個完整的第三層服務網��,不僅包括網絡本身,而且包括接入控制邊境和網域服務器���,網域服務器主要包括認證服務器�����、計費服務器和QoS 服務器����。網域是提供服務和接受服務的基本網絡單位�����,是運營的基本網絡單位�,它可以是一 個很大的網絡,也可以只由一臺設備構成�����,比如一臺計算機終端���。對于向量網,轉發(fā)設備就是向量交換機����,端站設備就是用戶終端或某種服務器�,網域所 覆蓋的網絡可以被看作一個等效交換機��。這樣從網域外部看�, 一個網域可以被看成"等效交 換機+接入控制邊境+網域服務器",接入控制邊境由等效交換機的各個端口的邊境控制器(記 為Q)組成����。虛信道是指具有一定通信能力的一段有向路徑。信道端點是終結虛信道的節(jié)點���,相對于 虛信道有信源點和信宿點之分��,分別發(fā)出和接收數據�����。 一條虛信道穿過的網域被稱為該虛信 道的關聯網域��。本發(fā)明的技術方案如下一種通信網絡的層次接入控制方法�,所述方法把整個通信網絡劃分成層次的網域�����,每個 網域設置一個網域服務器,每個網域的每個端口設置一個邊境控制器�����,通過呼叫過程實現身 份認證�����,通過尋由過程實現接納控制��。所述通信網絡主要是指向量網�����,但也包括其他類型的 通信網絡���。所述層次的網域�����,其組織結構的頂層是一片森林,由若干棵樹組成���,每棵樹對應一個網 域���,樹的每個子樹也對應一個較小的網域�����,樹的每一片樹葉對應一個基本網域�,基本網域是 不再包含其它網域的網域�, 一個節(jié)點也是一個網域。所述網域服務器維護User-PW表����、Group-Policy表和DialogID-User表三個信息表。所述 User-PW表是相對靜態(tài)的��,其記錄格式為"User, PW�����, Group",其中User為用戶名�����,PW為 密碼��,Group為用戶所屬的組。所述Group-Policy表也是相對靜態(tài)的���,其記錄格式為"Group, Group下的通信資源分配策略和計費策略"�,其中通信資源分配策略用來判斷通信服務QoS 要求是否允許��,計費策略影響計費積數折扣計算��。所述DialogID-User表是動態(tài)的�����,其記錄格 式為"DialogID�����, User, routing, TargetRA��, QoSPara"��,其中DialogID為用戶每次呼叫時生 成的對話口令�����,必須用密碼方法分配�����,無人能造出相同的DialogID, DialogID = 0表示盡力 而為通信呼叫,無條件被認證�;routing為尋由方向,0表示被叫尋由����,1表示主叫尋由����;TargetRA 為尋由目標的路由地址,當routing為0時TargetRA為主叫路由地址�����,當routing為1時TargetRA為被叫路由地址���;QoSPara為通信服務QoS要求���。這些記錄項中,DialogID��, User和routing 由cINVITE提供���;當routing為0時TargetRA由cACK進入網域時邊界控制器提交得到�����,當 routing為1時TargetRA由c200進入網域時邊界控制器提交得到�����;QoSPara從cACK中獲得�。所述邊境控制器在需要時維護一個邊境記錄表,表的記錄格式為"DestVaDetailO, BLen���, DialogID, CSeq�����, QoSPara",其中DestVaDetailO為本Q到信宿點的向量地址�,BLen為 DestVaDetailO地址長度�,CSeq為虛信道編號。這些記錄項中�,DestVaDetailO, BLen, DialogID 和QoSPara均由rINVITE提供���,CSeq從rACK得到���,或rINVITE —開始就包括����。通過呼叫過程實現身份認證���,所述身份認證過程包括以下步驟步驟101:主叫生成DialogID,創(chuàng)建一個本地向量連接對象,并向被叫發(fā)出呼叫包 cINVITE��,其格式為"User, PW�, DialogID, CommCapabilityReq, CalleeTA���, routing"�����。所述 本地向量連接對象是存儲在端站設備(即主叫和被叫)的一種控制數據塊��,記錄通信連接有 關的信息�����。cINVITE中的CommCapabilityReq為主叫要求的通信格式和通信服務QoS要求集 合�����,CalleeTA為被叫的名稱地址����。步驟102:呼叫路徑上的每個網域對cINVITE進行認證,如果認證不成功����,向所述主叫 回應失敗原因,如果認證成功�����,在當前認證的網域之網域服務器注冊DialogID,在 DialogID-User表中增加一條記錄�,然后以新的User和PW繼續(xù)向被叫傳遞cINVITE,即繼 續(xù)隨后網域的呼叫和認證過程,直至到達所述被叫���。認證時根據DialogID或User/PW進行認 證��,新的User和PW為該網域在下一網域注冊的用戶名和密碼���。步驟103:所述被叫收到cINVITE后,創(chuàng)建一個本地向量連接對象���,向所述主叫返回響 應包c200�����。步驟104:所述主叫收到c200后��,在主叫創(chuàng)建的本地向量連接對象中填寫主叫記錄 "CalleeRA��, CalleeVA�����, CommPara�, routing, CalleeKeyCode, DialogID,通信路徑參數"����, 并向所述被叫發(fā)送確認包cACK。所述主叫記錄中�����,CalleeRA為被叫的路由地址���,CalleeVA 為呼叫路徑的向量地址��,CalleeKeyCode為被叫的加密密鑰����;DialogID由主叫自主生成,routing 由主叫設置�,CalleeRA, CalleeVA,和CalleeKeyCode由c200返回���,CommPara在主叫收到 c200后返回cACK前選定設置����,通信路徑參數由尋由過程給出���。另外還包括主叫點有關的參 數"CallerKeyCode���, CallerRA, CallerTA"。步驟105:所述被叫收到cACK后�����,在被叫創(chuàng)建的本地向量連接對象中填寫被叫記錄 "CallerRA�����, CallerVA, CommPara����, routing, CallerKeyCode, DialogID,通信路徑參數"�����,完成呼叫過程�,同時實現了身份認證。所述被叫記錄中�,CallerRA為主叫的路由地址,CallerVA為呼叫路徑的反向向量地址���,CallerKeyCode為主叫的加密密鑰;DialogID���, CallerVA, CallerKeyCode和routing由cINVITE提供���,CallerRA和CommPara由cACK帶來,通信路徑 參數由尋由過程給出����。另外還包括被叫點有關的參數"CalleeKeyCode����, CalleeRA��, CalleeTA"�。通過尋由過程實現接納控制,所述實現接納控制過程包括以下步驟步驟201:在主動尋由端�����,本地向量連接對象中添加一個虛信道記錄對象���,并向被尋由 端發(fā)出尋由包rINVITE����,其格式為"DialogID��, CSeq��, TargetRA, QoSPara�����, DirectionQoS"。 所述虛信道記錄對象是指存儲在本地向量連接對象中有關虛信道的信息���。rINVITE中的 TargetRA為尋由目標的路由地址�����;QoSPara為通信服務QoS要求�,DialogID = 0時QoSPara 無效���;DirectionQoS為分配QoS的方向����,0表示尋由反方向為數據傳送方向����,1表示尋由方向 為數據傳送方向,在數據傳送方向預留資源�。步驟202:通信路徑上的每個網域對rINVITE進行接納控制����,并核實TargetRA是否在 DialogID-User表的有關記錄中,如果拒絕接納�����,向所述主動尋由端回應失敗原因,如果接納�����, 繼續(xù)向被尋由端傳遞rINVITE��,即繼續(xù)隨后網域的尋由和接納控制�,對于承擔流量整形的入 邊境控制器還要生成邊境記錄。接納控制時根據DialogID和QoSPara進行�,DialogID = 0時 無條件被接納,但不能分配帶寬��,只能是盡力而為的連接�。入邊境控制器是指載荷數據包進 入該網域時遇到的邊境控制器,生成邊境記錄是指向邊境記錄表中添加一條記錄�����。若該網域 對該網域用戶完全信任��,則不需要生成邊境記錄�,否則需要生成邊境記錄。步驟203:所述被尋由端收到rINVITE后��,本地向量連接對象中添加一個虛信道記錄對 象,并向所述主動尋由端返回尋由回應包r200���,回應包參數CSeq按照預先規(guī)定的方式被選 定����,同時在對應虛信道記錄對象中填寫信源記錄"CSeq���, DestVA"����。所述信源記錄中����,DestVA 為信宿向量地址,由rINVITE帶來�;CSeq從rACK得到,或rINVITE—開始就包括��。步驟204:所述主動尋由端收到r200后�,在對應虛信道記錄對象中填寫信宿記錄"CSeq, SourceVA"��,并向所述被尋由端發(fā)送尋由確認包rACK����。所述信宿記錄中,SourceVA為信源向 量地址�����,由rINVITE記錄在信源點����,由r200返給信宿點,CSeq在主動尋由端發(fā)出rINVITE 或rACK前選定設置����。步驟205:所述被尋由端收到rACK后,確認信源記錄有效���,至此完成尋由過程���,同時 實現了接納控制。本發(fā)明的有益效果向量網是新型的通信網絡�,沒有現成的接入控制技術,本發(fā)明提供了一種通信網絡的層次接入控制方法��,解決了向量網中的接入控制問題����。本發(fā)明提供的接入控制方法是向量網的控制面功能的基本部分�����,為建立完善向量網的控制網技術��,使向量網可以代替ATM網和IP 網成為互連網的新一代通信網絡技術打下基礎�。本發(fā)明提出的層次接入控制方法也可以應用到其他類型的通信網絡中����。該層次接入控制方法與現有網絡中的接入控制方法相比具有如下幾點優(yōu)勢首先,該方法將整個通信網絡劃分成一個個獨立建立和運營管理的分層次的網域�,網域與網域之間采用相同的接入控制方法,因此該方法有能力成為全球網絡統一的接入控制方法�����;其次��,該接入控制方法可以為通信網絡中的服務計費�、QoS機制、網絡移動和網絡安全等提供全面性支持���,其中�,服務計費所需 數據可從網域服務器獲得,QoS機制可在邊境控制器執(zhí)行��,網絡移動功能由多徑連接支持��, 網絡安全功能由認證過程支持�;最后����,該方法克服了現有接入控制方法中無法穿透3層網絡、不適合多播業(yè)務��、網絡開銷大和可靠性低等缺陷��。
圖1是本發(fā)明提供的網域概念示意圖��; 圖2是本發(fā)明提供的多個網域組成全球網示意圖����; 圖3是本發(fā)明提供的通過呼叫過程實現身份認證的流程圖; 圖4是本發(fā)明提供的通過尋由過程實現接納控制的流程圖��; 圖5是本發(fā)明提供的向量網的樹狀組織結構示意圖���; 圖6是本發(fā)明提供的網域劃分示意圖�����。
具體實施方式
下面結合附圖對本發(fā)明做進一步說明��,但不作為對本發(fā)明的限定���。說明時以向量網為例����, 但該方法也可以應用到其他類型的通信網絡中�����。向量網是一種新型通信網絡���,它繼承了電信網傳送面和控制面相分離體制��。在向量網中�����, 實現傳送面功能的轉發(fā)設備被稱為向量交換機���,簡稱交換機��。依據控制面的樹形層次結構���, 可以把每個子樹對應的子網當作一個對象來設計,對外定義明確的邏輯結構��,由外部的其它 網絡使用����,對內根據需要設計具體的實現結構�。從外部看到的一個邏輯上的子網,可以是一 臺計算機用軟件實現(軟件網絡)����,可以是多個節(jié)點組成的復雜網絡,可以是一經過封裝的異 構的其它網絡��,比如一個私有的ATM網或IP內網���,只要有合適的網關��,來抽象子網的邏輯 結構��,建立向量網與異構子網的通信即可���。這樣的子網稱為等效交換機�,交換機是等效交換 機的一個特例����,或者說交換機和等效交換機從外部看都是相同特性的網絡對象,二者的外部 屬性相同��。對于向量網�����,轉發(fā)設備就是向量交換機����,端站設備就是用戶終端或某種服務器。向量網中網域概念示意圖如圖1所示���,圖中整個粗實線圓圈內表示一個網域�,細實線圓圈內表示網 域所覆蓋的網絡��,虛線和細實線之間表示網域的接入控制邊境��,實線箭頭表示網域的輸入輸 出端口,網域端口上的黑點表示邊境控制器���。網域所覆蓋的網絡可以被看作一個等效交換機�。 這樣從網域外部看�, 一個網域可以被看成"等效交換機+接入控制邊境+網域服務器",接入控 制邊境由等效交換機的各個端口的邊境控制器組成�。從向量網的概念來看,全球網絡由一個個獨立建立和運營管理的網域相互連接而形成���。 多個網域組成全球網示意圖如圖2網所示����,圖中每個粗實線圓圈表示一個網域�,如網域l�����、 網域2����、網域3、網域4�����、網域5和其他網域,所有網域組成全球網�;每個細實線圓圈表示一 個子網,如子網1和子網2;每個方框表示一臺連接在子網上的端站設備�,如C、 D����、 E和F。 從圖中可以看出����, 一個網域可以是一個子網,也可以是一臺連接在子網上的端站設備����。圖中 網域間的關系是平面關系,但也可以是層次關系�����。本發(fā)明提供了一種通信網絡的層次接入控制方法��,這種層次接入控制方法把整個通信網 絡劃分成層次的網域�,每個網域設置一個網域服務器���,每個網域的每個端口設置一個邊境控 制器,通過呼叫過程實現身份認證����,通過尋由過程實現接納控制。參見圖3�����,通過呼叫過程實現身份認證的具體步驟如下步驟101:主叫生成DialogID���,.創(chuàng)建一個本地向量連接對象��,并向被叫發(fā)出呼叫消息�����, 這里的呼叫消息以呼叫包cINVITE的形式表示,呼叫包中指明被叫的名稱地址CaUeeTA以及 主叫要求的通信格式和通信服務QoS要求集合CommCapabilityReq�,并包含用戶在所連接網 域注冊的用戶名User,密碼PW、動態(tài)生成的對話口令DialogID以及表示尋由方向的參數 routing; User和PW用于網域對cINVITE進行認證�����,DialogID作為進入領界,占用資源的密 碼口令�����。步驟102:呼叫路徑上的每個網域對cINVITE進行認證����,如果認證不成功,向主叫回應 失敗原因�����,如果認證成功����,在當前認證的網域之網域服務器注冊DialogID,然后以新的User 和PW繼續(xù)向被叫傳遞cINVITE�,即繼續(xù)隨后網域的呼叫和認證過程,直至到達所述被叫���。 認證時先由Q根據DialogID進行認證��,如果Q認證不成功���,再由認證中心根據User/PW進 行認證�。注冊DialogID是指向DialogID-User表中添加一條記錄�,記錄中包含DialogID, User, routing,尋由目標路由地址TargetRA以及通信服務QoS要求QoSPara。新的User和PW為 該網域在下一網域注冊的用戶名和密碼�,用于下一網域對cINVITE進行認證。步驟103:被叫收到cINVITE后���,創(chuàng)建一個本地向量連接對象��,向主叫返回響應消息�����,該響應消息以響應包c200的形式表示��,其中包含DialogID,被叫路由地址CalleeRA�,被叫向量地址CalleeVA�����,被叫的加密密鑰CalleeKeyCode,以及根據CommCapabilityReq和被叫 本地通信能力所確定的通信格式和通信服務QoS要求集合CommCapability�。步驟104:主叫收到c200后���,在主叫創(chuàng)建的本地向量連接對象中填寫主叫記錄��,并向被 叫發(fā)送確認消息�,該確認消息以確認包cACK的形式表示。主叫記錄中包含DialogID�, routing, 被叫的路由地址CalleeRA,被叫的向量地址CaUeeVA,被叫的加密密鑰CalleeKeyCode,雙 方協商的通信格式和通信服務QoS要求CommPara以及通信路徑參數���,其中DialogID由主叫 自主生成��,routing由主叫設置���,而CalleeRA, CalleeVA禾卩CalleeKeyCode由c200返回, CommPara在主叫收到c200后返回cACK前選定設置��,通信路徑參數由尋由過程給出���。步驟105:被叫收到cACK后����,在被叫創(chuàng)建的本地向量連接對象中填寫被叫記錄���,完成 呼叫過程����,同時實現了身份認證。被叫記錄中包含DialogID, routing,主叫的路由地址 CallerRA���,主叫的向量地址CallerVA���,主叫的加密密鑰CallerKeyCode, CommPara以及通信 路徑參數,其中DialogID, CallerVA, CallerKeyCode和routing由cINVITE提供�,CallerRA 和CommPara由cACK帶來,通信路徑參數由尋由過程給出�����。如果主叫或被叫想撤銷此次呼叫��,可以通過向對方發(fā)送撤消呼叫包cBYE實現�,其中包 含對話口令DialogID和呼叫路徑或反向呼叫路徑的向量地址。呼叫路徑上的每個網域收到 cBYE后����,根據DialogID的值查找網域服務器DialogID-User表中的相應記錄并刪除該記錄, 同時主叫和被叫在發(fā)出cBYE前或收到cBYE后也根據DialogID的值刪除相應的主叫記錄和 被叫記錄�,這樣就完成了主叫與被叫之間向量連接的撤銷。另外��,為了解決端站設備由于故障等原因未發(fā)送cBYE或者cBYE在傳輸過程中發(fā)生丟 失的問題�����,可以為DialogID-User表的每條記錄設置一個定時器���,在定時器超時前如果其狀態(tài) 未被刷新���,則自動刪除該記錄。上面提到的四種數據包及相應符號介紹如下��,數據包中"[]"內的字段表示可選項���,"{}" 內的字段表示加密項����,"I"兩邊的字段表示二選一����。 (1)呼叫包cINVITEHead Cmd User PW DialogID CalleeTA CommCapabilityReq [routing DirectionQoS CallerKeyCode] VectorAddr2 其中,Head:數據包頭的固定部分�,包括的信息有數據包格式的版本號、傳輸優(yōu)先級��、擁塞控 制、檢錯�、數據包類型5個字段。字段"數據包類型"是一個比特��,記為T��, 0表示用戶數據包����,l表示呼叫控制信令包,cINVITE是呼叫控制信令包����,所以T-l。Cmd:命令代碼��,取值為cINVITE�。 User:身份認證的用戶名。 PW:身份認證的密碼�。 DialogID:對話口令。CalleeTA:被叫的名稱地址��,類似因特網域名的字符串����,形式為Nfinal……N3.N2.N1�, 比如"MyComputer.bjtu.edu.cn"和"辦公室.高教司.教育部"等��。CommCapabilityReq:主叫要求的通信格式和通信服務QoS要求集合���,在此,通信格式 包括CommType和CommFormat兩部分���,CommType是通信類型����,指明建立的通信連接用于 何種類型的通信���,比如話音通信��,視頻廣播等類型�����,CommFormat是具體通信格式��,比如話 音通信的G.711或G.729A等�����。CommCapabilityReq只有CommType,沒有CommFormat是比 較典型的情況���,限定一種通信類型的所有通信格式����。CommType也可以沒有���。routing:尋由方向���,0表示被叫尋由,1表示主叫尋由��。DirectionQoS:分配QoS的方向�����,0表示尋由反方向為數據傳送方向����,1表示尋由方向為 數據傳送方向,在數據傳送方向預留資源��。尋由方向為主動尋由端到被尋由端方向�。 CallerKeyCode:主叫的加密密鑰���。VectorAddr2: cINVITE包被傳播過程中收集得到的所經路徑的雙向向量地址。 設被叫的名稱地址為Nfinal.N3.N2.Nl���, cINVITE包傳輸過程是沿樹狀組織結構���,從主 叫端站設備向樹的上級節(jié)點遍歷,匹配N1�����,如果直到樹根都沒有匹配成功���,則回送失敗信息, 如果匹配成功����,則從匹配節(jié)點開始沿樹狀組織結構向下遍歷,分別進一步精確匹配N2�、 N3 等,直到Nfinal�,如果Nfinal與一端站設備匹配成功,說明呼叫成功���,該端站設備就是被叫�, 被叫將回送成功信息"c200包",否則失敗��。 (2)響應包c200Head Cmd CallerVA DialogID CalleeRA|{CalleeRA} {CommCapability CalleeVA [CalleeKeyCode]} 其中��,Head:類似cINVITE包的Head���。 Cmd:命令代碼����,取值為c200����。CallerVA:沿呼叫路徑的主叫向量地址,指明沿樹狀組織結構行走的一條通信路徑�,即 呼叫路徑,被叫通過分析VectorAddr2得到CallerVA�。 DialogID:對話口令。CalleeRA:被叫的路由地址�����,當routing為0時需要加密�,當routing為1時不能加密��, 并由網域的入Q負責把CalleeRA報告給網域服務器�����。CommCapability : 同 CommCapabilityReq —樣��,是 一 個集合�,CommCapability= (CommCapabilityReq n CommCapabilityOwned)�����, 其中����,n是集合的與運算符����, CommCapabilityOwned是被叫支持的所有通信格式集合。如果以上交集為空��,或cINVITE中 沒有CommCapabilityReq ��,貝(J CommCapability = CommCapabilityOwned �����。CalleeVA:沿呼叫路徑的被叫向量地址。CalleeKeyCode:被叫的加密密鑰�����。當呼叫出錯�,用錯誤報告信息代替c200包。主叫收到c200包后�����,將發(fā)送確認包cACK�����。(3) 確認包cACKHead Cmd CalleeVA DialogID CallerRA|{CallerRA} {CommPara CallerTA} 其中���,Head:類似cINVITE包的Head�����。 Cmd:命令代碼�,取值為cACK。 CalleeVA:沿呼叫路徑的被叫向量地址�����。 DialogID:對話口令���。CallerRA:主叫的路由地址��,當routing為0時不能加密���,并由網域的入Q負責把CallerRA 報告給網域服務器,當routing為1時需要加密�����。CommPara:通信格式和通信服務QoS要求的協商結果���,是主叫從c200返回的 CommCapability中選出的一個通信格式。網域的Q負責把CommPara中的通信服務QoS要求 報告給網域服務器����。CallerTA:主叫的名稱地址。當主叫打算斷開通信連接����,會用撤消呼叫包cBYE代替cACK包�。(4) 撤消呼叫包cBYE Head Cmd DialogID VA�����。 其中�,Head:類似cINVITE包的Head。 Cmd:命令代碼���,取值為cBYE��。 DialogID:對話口令��。VA:對方向量地址���。CBYE包也用來撤消呼叫。通過呼叫過程��,把被叫的名稱地址映射成被叫的路由地址���,交給主叫使用���,并且雙方通 過協商確定通信格式,也可以互相交換加密密鑰。 一次呼叫請求只進行一次呼叫過程即可���。 上面提到的五種記錄格式及相應符號介紹如下(1) 主叫記錄CalleeRA��, CalleeVA����, CommPara���, routing, CalleeKeyCode�, DialogID���,通信路徑參數 其中�����,CalleeRA:被叫路由地址�。 CalleeVA:被叫向量地址�����。CommPara:雙方協商的通信格式和通信服務QoS要求���。 routing:尋由方向��,0表示被叫尋由��,l表示主叫尋由��。 CalleeKeyCode:被叫的加密密鑰�����。 DialogID:對話口令���。(2) 被叫記錄CallerRA, CallerVA�, Co固Para, routing, CallerKeyCode���, DialogID,通信路徑參數 其中�����,CallerRA:主叫路由地址����。 CallerVA:主叫向量地址。CommPara:雙方協商的通信格式和通信服務QoS要求����。 routing:尋由方向。 CallerKeyCode:主叫的加密密鑰��。 DialogID:對話口令�����。(3) 認證服務器DialogID-User表記錄 DialogID, User, routing, TargetRA���, QoSPara 其中��,DialogID:對話口令����。 User:身份認證的用戶名��。 routing:尋由方向��。TargetRA:尋由目標的路由地址���,當routing為0時為主叫路由地址��,當routing為1時為被叫路由地址�。QoSPara:通信服務QoS要求����。(4) 認證服務器User-PW表記錄 User, PW, Group其中����,User:身份認證的用戶名。 PW:身份認證的密碼���。 Group:用戶所屬的組��。(5) 認證服務器Group-Policy表記錄Group, Group下的通信資源分配策略和計費策略 其中Group:用戶所屬的組���。通信資源分配策略用來判斷通信服務QoS要求是否允許。 計費策略影響計費積數折扣計算��。參見圖4����,通過尋由過程實現接納控制的具體步驟如下步驟201:在主動尋由端,本地向量連接對象中添加一個虛信道記錄對象���,并向被尋由 端發(fā)出尋由消息���,這里的尋由消息以尋由包rINVITE的形式表示����,其中包含對話口令 DialogID���,虛信道編號CSeq��,尋由目標路由地址TargetRA�����,通信服務QoS要求QoSPara和 分配QoS的方向DirectionQoS����。步驟202:通信路徑上的每個網域對rINVITE進行接納控制����,并核實TargetRA是否在 DialogID-User表的有關記錄中,如果拒絕接納�����,向主動尋由端回應失敗原因,如果接納�����,繼 續(xù)向被尋由端傳遞rINVITE�,即繼續(xù)隨后網域的尋由和接納控制����,對于承擔流量整形的入邊 境控制器還要生成邊境記錄。接納控制時先由Q根據DialogID進行接納��,如果Q中沒有相 應DialogID, Q向認證中心請求確認DialogID���。生成邊境記錄是指向邊境記錄表中添加一條 記錄��,記錄中包含本Q到信宿點的向量地址DestVaDetailO�,地址長度BLen��, DialogID,虛 信道編號CSeq和通信服務QoS要求QoSPara���。步驟203:被尋由端收到rINVITE后��,本地向量連接對象中添加一個虛信道記錄對象����, 并向主動尋由端返回尋由回應消息,同時在對應虛信道記錄對象中填寫信源記錄���。這里的尋 由回應消息以尋由回應包r200的形式表示���。信源記錄中包含信宿向量地址DestVA和虛信道 編號CSeq,其中DestVA由rINVITE帶來��,CSeq從rACK得到�,或rINVITE—開始就包括。步驟204:主動尋由端收到r200后��,在對應虛信道記錄對象中填寫信宿記錄��,并向被尋由端發(fā)送尋由確認消息����。這里的尋由確認消息以尋由確認包rACK的形式表示。信宿記錄中 包含信源向量地址SourceVA和虛信道編號CSeq�����,其中SourceVA由rINVITE記錄在信源點, 由r200返給信宿點����,CSeq在主動尋由端發(fā)出rINVITE或rACK前選定設置。步驟205:被尋由端收到rACK后�����,確認信源記錄有效���,至此完成尋由過程,同時實現 了接納控制��。如果主動尋由端或被尋由端想撤消某條虛通道�����,可以通過向對方發(fā)送撤銷通信包rBYE 實現�����,其中包含對話口令DialogID���、虛通道編號CSeq和虛通道的向量地址����。虛通道上的每 個關聯網域收到rBYE后,根據DialogID和CSeq的值撤銷相應的資源預留���,如果該網域邊 境控制器的邊境記錄表中有對應該DialogID和CSeq的邊境記錄則刪除該記錄�,同時主動尋 由端和被尋由端在發(fā)出rBYE前或收到rBYE后也根據DialogID和CSeq的值刪除相應的信宿 記錄和信源記錄��,這樣就完成了虛信道的撤銷���。同樣�����,為了解決端站設備由于故障等原因未發(fā)送rBYE或者rBYE在傳輸過程中發(fā)生丟 失的問題�����,可以為邊境記錄表的每條記錄設置一個定時器��,在定時器超時前如果其狀態(tài)未被 刷新�,則自動刪除該記錄���。上面提到的四種數據包及相應符號介紹如下(1) 尋由包rINVITEHead Cmd DialogID CSeq TargetRA QoSPara DirectionQoS CostList RouteAddr2 其中����,Head:類似cINVITE包的Head。 Cmd:命令代碼��,取值為rINVITE���。 DialogID:對話口令����。 CSeq:虛信道編號���。 TargetRA:尋由目標路由地址�。QoSPara:通信服務QoS要求���。DialogID = 0時,QoSPara無效����。DirectionQoS:分配QoS的方向,0表示尋由反方向為數據傳送方向�,1表示尋由方向為 數據傳送方向,在數據傳送方向預留資源���。CostList:當前侯選路徑的估計代價���,如果本路徑的估計代價大于該值����,要考慮剪掉本路徑���。RouteAddr2:尋由包在傳播過程中收集得到所經路徑的雙向向量地址�����。(2) 尋由回應包r200被尋由端將用r200回應每個從不同途徑到達的尋由包����,格式如下: Head Cmd DialogID CSeq RouterVA {Cost RouteeVA} {SourceVA} 其中���,Head:類似cINVITE包的Head�����。 Cmd:命令代碼�����,取值為r200��。 DialogID:對話口令��。 CSeq:虛信道編號��。 RouterVA:主動尋由端向量地址����。C0St:本路徑的代價。RouteeVA:被尋由端向量地址�。 SourceVA:信源向量地址。(3) 尋由確認包rACK 主動尋由端用rACK確認尋由得到的路徑�,格式如下 Head Cmd DialogID CSeq RouteeVA其中,Head:類似cINVITE包的Head�。 Cmd:命令代碼,取值為rACK��。 DialogID:對話口令����。 CSeq:虛信道編號���。 RouteeVA:被尋由端向量地址��。(4) 撤銷通信包rBYE 用rBYE撤消虛信道�,格式如下 Head Cmd DialogID CSeq VA 其中,Head:類似cINVITE包的Head��。 Cmd:命令代碼��,取值為rBYE�。 DialogID:對話口令。 CSeq:虛信道編號�。 VA:對方向量地址。上面提到的三種記錄格式及相應符號介紹如下-(1) 邊境記錄DestVaDetailO��, BLen�, DialogID, CSeq��, QoSPara 其中���,DestVaDetailO:本Q到信宿點的向量地址��。 BLen: DestVaDetailO地址長度����。 DialogID:對話口令��。 CSeq:虛信道編號。 QoSPara:通信服務QoS要求��。(2) 信宿記錄 CSeq�, SourceVA 其中,CSeq:虛信道編號���。 SourceVA:信源向量地址�����。(3) 信源記錄 CSeq���, DestVA 其中,CSeq:虛信道編號��。 DestVA:信宿向量地址���。一個端點同時擁有N個信宿記錄對象和M信源記錄對象���,它們附加在呼叫記錄之后,格 式如下N, { CSeqdl, So訓VAdl; CSeqd2, So畫VAd2; ... ; CSeqdN�, So畫VAdN } M, { CSeqsl�����, DestVAsl; CSeqs2, DestVAs2;…;CSeqsN, DestVAsM }該端點的對端同時擁有M個信宿記錄對象和N個信源記錄對象�,格式如下M, { CSeqxl, SourceVAxl; CSeqx2, SourceVAx2; ... ; CSeqxN, SourceVAxM }N, { CSeqyl�, DestVAyl; CSeqy2, DestVAy2;... ; CSeqyN, DestVAyN }其中�,CSeqdl = CSeqyl, CSeqdi= CSeqyi; CSeqsl= CSeqxl��, CSeqsi= CSeqxi�。如果有必要,每個虛信道記錄對象都可以增加參數CommPara��,表示這個虛信道的特殊通信格式和QoS參數要求�����。下文采用修改的PNNI的樹狀組織結構作為向量網的樹狀組織結構為例��,說明層次接入控制方法���。PNNI是異種ATM網絡接口標準��,圖5是PNNI樹結構的示意圖���,PNNI的內容如下 物理節(jié)點(Lowest-Level Node,簡記LLN)���,對應一臺物理設備,比如"辦公室"�、"電子工程系"、"普教司"等物理設備�����。對等組(Peer Group,簡記PG)�,邏輯節(jié)點組成的節(jié)點組,比如"信息學院組"����、"清華大學組"等。邏輯組節(jié)點(Logical Group Node���,簡記LGN)�,代表一個對等組的邏輯節(jié)點�,比如"信息學院"就是一個LGN,它代表"信息學院組"�����。邏輯節(jié)點(LogicalNode,簡記LN),物理節(jié)點和邏輯組節(jié)點都是邏輯節(jié)點��。首領節(jié)點(Peer Group Leader,簡記PGL)����,通過首領競選過程��,在一個對等組中競選出的邏輯節(jié)點��。競選權值(Leadership Priority,簡記LP)�����, 一個PG中的LN競選首領節(jié)點時的"資本"����。 物理鏈路(Physical Link,簡記PL), 一條物理鏈路�,在其上,可以建立一條或多條邏輯 鏈路����,比如"電子工程系-集成電路研究所"和"控制工程系-橋梁工程系"之間的細實直線。 邏輯鏈路(Logical Link,簡記LL),在兩個邏輯節(jié)點之間建立的通信連接����,是一種虛連接。邊界節(jié)點(BorderNode�,簡記BN),與本對等組之外的物理節(jié)點有物理鏈路的物理節(jié)點���, 比如LN "控制工程系"是"信息學院組"的BN�����,因為它與其它PG的LN "橋梁工程系"有 PL���, LN "理學院"是"清華大學組"的BN,因為它與其它PG的LN "醫(yī)學部"之間存在 PL���。Hello Packet (Hello Packet)��,邏輯節(jié)點間相互發(fā)現協議使用的數據包���。圖5中的點代表轉發(fā)設備,方框代表端站設備�����,二者都是邏輯節(jié)點(LN),大圓圈包括 的LN全體組成一個對等組(PG)�,各PG之間組成樹狀組織結構關系,較高層次PG中的LN 代表較低層次的一個PG����,這種LN稱為邏輯組節(jié)點(LGN)����,在圖5中用兩條細虛直線組成 的扇形來指示較高層次LN與較低層次PG的對應關系。最低一級LN是物理節(jié)點(LLN)�, LLN和LGN統稱LN。 一個PG中的LN之間的連線代表邏輯鏈路(LL)����,但是,與LLN連 接的連線代表物理鏈路(PL)�����,對應實際的通信線路�,PL是一種特殊的LL。圖5中��,實心的點是首領節(jié)點(PGL), PGL是通過實時在線的方式競選產生��,具有最大 競選權值(LP)的LN為PGL���。根據向量網的需要���,對PNNI樹結構進行了修改,修改內容如下 (1)端站設備也是PNNI中的物理節(jié)點之一��,是一種"不轉發(fā)信息"的�、可以只有一個端口的、特殊的轉發(fā)設備����。 (2)增加名稱地址;在圖5所示的PNNI樹結構中��,根據網絡的實際運營管理情況把整個通信網絡劃分成層 次的網域���。圖6是對應于該PNNI樹的網域劃分示意圖��,圖中網域的組織結構的頂層是一片 森林�����,由清華大學網域�����、北京大學網域和教育部網域3個頂層網域組成��;每個頂層網域又包含若干較小的子網域���,如清華大學網域包含信息學院網域����、計算機學院網域�����、土建學院網域 和理學院網域�����,北京大學網域包含醫(yī)學部網域和本部網域��,這里信息學院網域����、計算機學院 網域、土建學院網域���、理學院網域���、醫(yī)學部網域和本部網域都屬于基本網域,教育部網域由 于不再包含子網域���,也屬于基本網域��。在介紹層次接入控制方法之前�����,首先介紹一下網域間的用戶注冊過程���。用戶注冊包括兩種情況 一是子網域向其父網域的注冊,二是具有相鄰關系的同級網域之間的相互注冊����。在 圖6所示的網域劃分示意圖中,信息學院網域���、計算機學院網域�����、土建學院網域和理學院網 域必須向清華大學網域注冊�����;醫(yī)學部網域和本部網域必須向北京大學網域注冊�;清華大學網 域、北京大學網域和教育部網域之間相互注冊�����;另外信息學院網域���、計算機學院網域�����、土建 學院網域和理學院網域之間如果具有相鄰關系也可以相互注冊。 一個網域向另一個網域注冊 時�,要在后者網域服務器的User-PW表中添加一條記錄,如信息學院網域向清華大學網域注 冊時��,在清華大學網域網域服務器的User-PW表中添加一條記錄"信息學院用戶��,密碼l, Groupl"���,其中信息學院用戶是用戶名��,密碼1是密碼����,Groupl是用戶所屬的組��。同樣�,清 華大學網域向北京大學網域注冊時,在北京大學網域網域服務器的User-PW表中添加一條記 錄"清華大學用戶�,密碼2, Group2"�,北京大學網域向教育部網域注冊時,在教育部網域網 域服務器的User-PW表中添加一條記錄"北京大學用戶�,密碼3, Group3"�����。 參見圖5和圖6��,做三個假設(1) 節(jié)點"辦公室.信息學院.清華大學"是一臺客戶機,屬于信息學院網域�,其名字為 "辦公室",它的網絡角色是一臺端站設備����,記為A,"辦公室.信息學院.清華大學"是A的名稱地址�。(2) 節(jié)點"辦公廳.教育部"是一臺客戶機,屬于教育部網域�,記為B,"辦公廳.教育部" 是B的名稱地址�����。(3) A欲與B建立通信連接�。在以上假設條件下,向量網的層次接入控制過程說明如下��。 首先通過呼叫過程實現身份認證�,其過程如下A生成對話口令DialogID,設為DialogIDl��,并向B發(fā)出呼叫包cINVITE "信息學院用 戶���,密碼l, DialogIDl����, CommC叩abilityReq��, BTA�, routing=l"�����,其中BTA為B的名稱地址���, routing-l表示主叫尋由�����。A與B之間的呼叫路徑如圖5中粗虛線所示�,經過的LN依次是"辦公室-信息學院-清華 大學-教育部-普教司-辦公廳"�����,呼叫路徑上經過的網域包括清華大學網域��、北京大學網域和教 育部網域(參見圖6)��,這些網域要依次對A發(fā)出的cINVITE進行認證。A發(fā)出的cINVITE首先經過清華大學網域����,清華大學網域根據網域服務器的User-PW表 中存儲的信息對cINVITE進行認證,認證成功��,在DialogID-User表中添加一條記錄 "DialogIDl����,信息學院用戶,routing=l��, BRA�����, QoSPara"����,其中BRA為B的路由地址,然 后修改cINVITE為"清華大學用戶����,密碼2, DialogIDl , CommCapabilityReq�, BTA��, routing-l ", 發(fā)往下一網域���。收到cINVITE的下一網域為北京大學網域���,同樣,北京大學網域根據網域服務器的 User-PW表中存儲的信息對cINVITE進行認證���,認證成功���,在DialogID-User表中添加一條 記錄"DialogIDl,清華大學用戶����,routing=l, BRA���, QoSPara"�����,并修改cINVITE為"北京大 學用戶�,密碼3, DialogIDl�, CommCapabilityReq, BTA, routing=l",發(fā)往下一網域���。最后收到cINVITE的網域為教育部網域����,教育部網域也根據網域服務器的User-PW表中 存儲的信息對cINVITE進行認證��,認證成功�����,在DialogID-User表中添加一條記錄"DialogID 1, 北京大學用戶�,routing=l, BRA��, QoSPara"�����,將cINVITE送達B���。A和B呼叫連通后��,通過呼叫路徑���,雙方交換通信連接信息����,完成呼叫過程����,同時實現 了身份認證���。呼叫過程完成后����,啟動尋由過程實現接納控制���,具體過程如下A向B發(fā)出尋由包rINVITE"DialogIDl, CSeq, BRA����, QoSPara�, DirectionQoS", rINVITE通過多條通信路徑到達B����,假設其中一條通信路徑經過的LN依次是"辦公室-電子工程系-計算機系-數學系-西醫(yī)學院-文學學院-普教司-辦公廳"(如圖5點劃線所示)�����,它完全由LLN 組成���。通信路徑上經過的關聯網域包括計算機學院網域、理學院網域����、醫(yī)學部網域、本部網 域和教育部網域(參見圖6)�����,這些網域要依次對A發(fā)出的rINVITE進行接納控制���。A發(fā)出的rINVITE首先經過計算機學院網域�,由于計算機學院網域網域服務器的 DialogID-User表中沒有對應DialogIDl的記錄����,所以它向其父網域清華大學網域發(fā)出請求; 清華大學網域根據網域服務器的DialogID-User表中存儲的信息對rINVITE進行接納控制�,假設能夠接納��,清華大學網域將結果發(fā)送給計算機學院網域���;假設清華大學網域對其子網域用戶完全信任,所以不需要生成邊境記錄���,直接將rINVITE發(fā)往下一網域��。收到rINVITE的下一網域為理學院網域,理學院網域執(zhí)行與計算機學院網域類似的動作 對rINVITE進行接納控制����,然后將rINVITE發(fā)往下一網域。接下來收到rINVITE的下一網域為醫(yī)學部網域���,由于醫(yī)學部網域網域服務器的 DialogID-User表中沒有對應DialogIDl的記錄�,所以它向其父網域北京大學網域發(fā)出請求�; 北京大學網域根據網域服務器的DialogID-User表中存儲的信息對rINVITE進行接納控制, 假設能夠接納��,北京大學網域將結果發(fā)送給醫(yī)學部網域�����;假設北京大學網域對清華大學網域 用戶不完全信任,所以需要在醫(yī)學部網域相應的入邊境控制器生成邊境記錄�,然后將rINVITE 發(fā)往下一網域。后續(xù)網域按照類似的方式對rINVITE進行接納控制���,直到rINVITE送達B��。 B再與A交 互完成尋由過程�����,同時實現了接納控制�。以上所述只是本發(fā)明的一種較優(yōu)選的具體實施方式
��,本領域的技術人員在本發(fā)明技術方 案范圍內進行的通常變化和替換都應包含在本發(fā)明的保護范圍內�����。
權利要求
1. 一種通信網絡的層次接入控制方法����,其特征在于,所述方法把整個通信網絡劃分成層次的網域���,每個網域設置一個網域服務器����,每個網域的每個端口設置一個邊境控制器,通過呼叫過程實現身份認證���,通過尋由過程實現接納控制�����。
2. 如權利要求1所述的一種通信網絡的層次接入控制方法��,其特征在于��,所述層次的網 域,其組織結構的頂層是一片森林����,由若干棵樹組成,每棵樹對應一個網域�,樹的每個子樹 也對應一個較小的網域,樹的每一片樹葉對應一個基本網域���,基本網域是不再包含其它網域 的網域����, 一個節(jié)點也是一個網域。
3. 如權利要求1所述的一種通信網絡的層次接入控制方法����,其特征在于,所述網域服務 器����,其內部維護User-PW表、Group-Policy表和DialogID-User表三個信息表����;所述User-PW 表是相對靜態(tài)的,其記錄格式為"User����, PW, Group";所述Group-Policy表也是相對靜態(tài)的�����, 其記錄格式為"Group, Group下的通信資源分配策略和計費策略"����;所述DialogID-User表是 動態(tài)的����,其記錄格式為"DialogID���, User, routing, TargetRA�����, QoSPara"�����。
4. 如權利要求1所述的一種通信網絡的層次接入控制方法��,其特征在于����,所述邊境控制 器����,其內部維護一個邊境記錄表�����,表的記錄格式為"DestVaDetailO, BLen���, DialogID��, CSeq�����, QoSPara"����。
5. 如權利要求1所述的一種通信網絡的層次接入控制方法�����,其特征在于�,通過呼叫過程實現身份認證,所述身份認證過程包括以下步驟步驟101:主叫生成DialogID,創(chuàng)建一個本地向量連接對象����,并向被叫發(fā)出呼叫包 cINVITE,其格式為"User, PW�, DialogID, CommCapabilityReq, CalleeTA���, routing";步驟102:呼叫路徑上的每個網域對cINVITE進行認證���,如果認證不成功�,向所述主叫 回應失敗原因��,如果認證成功�����,在當前認證的網域之網域服務器注冊DialogID,在 DialogID-User表中增加一條記錄�,然后以新的User和PW繼續(xù)向被叫傳遞cINVITE,即繼 續(xù)隨后網域的呼叫和認證過程,直至到達所述被叫�����;步驟103:所述被叫收到cINVITE后�,創(chuàng)建一個本地向量連接對象,向所述主叫返回響 應包c200;步驟104:所述主叫收到c200后��,在主叫創(chuàng)建的本地向量連接對象中填寫主叫記錄 "CalleeRA�����, CalleeVA��, CommPara���, routing, CalleeKeyCode�����, DialogID,通信路徑參數"�, 并向所述被叫發(fā)送確認包cACK;步驟105:所述被叫收到cACK后����,在被叫創(chuàng)建的本地向量連接對象中填寫被叫記錄 "CallerRA, CallerVA�����, CommPara��, routing, CallerKeyCode�, DialogID,通信路徑參數",完成呼叫過程����,同時實現了身份認證。
6.如權利要求1所述的一種通信網絡的層次接入控制方法�,其特征在于����,通過尋由過程 實現接納控制�����,所述實現接納控制過程包括以下步驟步驟201:在主動尋由端��,本地向量連接對象中添加一個虛信道記錄對象�,并向被尋由 端發(fā)出尋由包rINVITE,其格式為"DialogID��, CSeq�����, TargetRA, QoSPara���, DirectionQoS";步驟202:通信路徑上的每個網域對rINVITE進行接納控制�����,并核實TargetRA是否在 DialogID-User表的有關記錄中��,如果拒絕接納���,向所述主動尋由端回應失敗原因,如果接納��, 繼續(xù)向被尋由端傳遞rINVITE�����,即繼續(xù)隨后網域的尋由和接納控制����,對于承擔流量整形的入 邊境控制器還要生成邊境記錄;步驟203:所述被尋由端收到rINVITE后����,本地向量連接對象中添加一個虛信道記錄對 象,并向所述主動尋由端返回尋由回應包r200����,回應包參數CSeq按照預先規(guī)定的方式被選 定,同時在對應虛信道記錄對象中填寫信源記錄"CSeq����, DestVA";步驟204:所述主動尋由端收到r200后,在對應虛信道記錄對象中填寫信宿記錄"CSeq�, SourceVA"����,并向所述被尋由端發(fā)送尋由確認包rACK;步驟205:所述被尋由端收到rACK后����,確認信源記錄有效,至此完成尋由過程�,同時 實現了接納控制。
全文摘要
本發(fā)明提供了一種通信網絡的層次接入控制方法��,屬于通信網絡領域��。所述方法把整個通信網絡劃分成層次的網域���,每個網域設置一個網域服務器���,每個網域的每個端口設置一個邊境控制器,通過呼叫過程實現身份認證����,通過尋由過程實現接納控制。本發(fā)明提供的技術�,為通信網絡,特別是向量網中的服務計費、QoS機制�、網絡移動和網絡安全等提供了基礎性支持。
文檔編號H04L1/16GK101272395SQ20081011200
公開日2008年9月24日 申請日期2008年5月20日 優(yōu)先權日2008年5月20日
發(fā)明者張金鑫, 梁滿貴, 王雪芬, 趙阿群 申請人:北京交通大學