对经由访问控制单元访问预付费服务的用户计费的方法.pdf

一种对访问预付费服务的用户进行计费的方法，所述预付费服务由服务供应商提供，所述通信设备经由访问控制单元与所述服务供应商连接，该方法包括：发送来自验证服务器的授权到所述访问控制单元以授权所述特定用户访问所述预付费服务；于是，允许所述通信设备对所述预付费服务的访问。该方法还包括：发送来自所述访问控制单元的通知到计费服务器以通知所述特定用户获得对所述服务供应商的访问；根据服务使用情况，减少分配给所述特定用户的配额；在所述配额被用尽后，发送来自所述计费服务器的请求到所述访问控制单元，以将所述特定用户从所述服务供应商断开；于是，锁定对所述服务供应商的所述访问。本发明还涉及访问控制单元。

1.  一种用于对来自通信设备(11)的访问预付费服务的特定用户(1)进行计费的方法，所述预付费服务由服务供应商(31)提供，所述通信设备经由访问控制单元(21)与所述服务供应商连接，所述方法包括如下步骤：
发送来自验证服务器(33)的授权(201)到所述访问控制单元，由此所述特定用户被授权访问所述服务供应商，
于是，在所述访问控制单元中允许所述通信设备对所述服务供应商的访问(106)，
其特征在于，所述方法还包括如下步骤：
发送来自所述访问控制单元的通知(204)到计费服务器(32)，由此所述访问控制单元通知所述计费服务器，所述特定用户获得对所述服务供应商的访问，
根据服务使用情况，减少分配给所述特定用户的配额(301，311)，
在所述配额被用尽后，发送来自所述计费服务器的第一请求(205)到所述访问控制单元，由此所述计费服务器请求所述访问控制单元将所述特定用户从所述服务供应商断开，
于是，锁定对所述服务供应商的所述访问，从而防止所述通信设备访问所述服务供应商。

2.  根据权利要求1的方法，其特征在于，所述方法进一步包括如下步骤，在接收到所述验证之后，发送来自所述访问控制单元的第二请求(202)到所述计费服务器，由此所述访问控制单元询问所述计费服务器，是否所述特定用户具有足够的配额来访问所述服务供应商，并且，其特征还在于如下步骤，只要所述特定用户具有足够配额来访问所述服务供应商，就允许进行所述访问。

3.  根据权利要求1的方法，其特征在于，所述配额基于时间。

4.  根据权利要求1的方法，其特征在于，所述配额基于通信量，
并且，所述方法进一步包括如下步骤：
在所述访问控制单元中测量在所述通信设备和所述服务供应商之间在基本规则的时间间隔上经单向或双向通信来交换的通信量；
发送来自所述访问控制单元的更新报告(206a，206b)到所述计费服务器，由此所述访问控制单元向所述计费服务器报告所述通信量。

5.  根据权利要求4的方法，其特征在于，在所述配额低于预定阈值的情况下，所述方法进一步包括如下步骤，发送来自所述计费服务器的第三请求(207)到所述访问控制单元，由此所述计费服务器请求所述访问控制单元缩短所述时间间隔。

6.  一种访问控制单元(21)，其适用于控制由特定用户(1)操作的通信设备(11)对提供预付费服务的服务供应商(31)的访问，并且包括适用于如下操作的访问控制装置(105)：
接收来自验证服务器(33)的授权(201)，由此所述特定用户被授权访问所述服务供应商，
于是，允许所述通信设备对所述服务供应商的访问(106)，
其特征在于，所述访问控制单元进一步包括与所述访问控制装置连接的本地计费装置(104)，并且适用于：
发送通知(204)到计费服务器(33)，由此所述访问控制单元通知所述计费服务器，所述特定用户获得对所述服务供应商的访问，
接收来自所述计费服务器的第一请求(205)，由此所述计费服务器请求所述访问控制单元将所述特定用户从所述服务供应商断开，并且，其特征在于，所述访问控制装置还适用于，在接收到所述第一请求后，锁定对所述服务供应商的所述访问，从而防止所述通信设备访问所述服务供应商。

对经由访问控制单元访问预付费服务的用户计费的方法
技术领域
本发明涉及一种用于对来自通信设备的访问预付费服务的特定用户进行计费的方法，所述预付费服务由服务供应商提供，所述通信设备经由访问控制单元与所述服务供应商连接，所述方法包括如下步骤：
-发送来自验证服务器的授权到所述访问控制单元，由此所述特定用户被授权访问所述服务供应商，
-于是，在所述访问控制单元中允许所述通信设备对所述服务供应商的访问。
背景技术
服务供应商使得用户访问特定网络资源，以由此运载用户通信量，或者向用户提供特定内容或应用。所述服务供应商并不意为商业组织，而是一组用于提供此类服务的技术装置。
服务供应商的例子为因特网服务供应商(ISP)，其向用户提供对因特网的访问，并提供诸如电子邮件、网络托管等的服务，内容供应商发布诸如视频电影、视频信道等内容，并且/或者提供诸如在线游戏、视频会议等应用。
访问控制单元向特定用户提供对服务供应商的访问。所述访问控制单元与验证服务器协作，来检查是否特定用户被允许访问服务供应商。
所述验证服务器通常对用户提供的证明进行验证，如口令、用户证书等，并在成功验证及策略控制之后，向所述访问控制单元返回验证，由此，所述用户被授权访问所指定的服务供应商。
从此时开始，数据交换装置在所述访问控制单元中被激活，以在所述特定用户和所指定的服务供应商之间运载通信量，由此允许特定服务被传送到特定用户。
这类访问控制方法的例子有802.1X基于端口的访问控制、基于PPP的访问控制、基于DHCP的访问控制等。
这类访问控制单元的例子有数字用户线接入复用器(DSLAM)、宽带远程接入服务器(BRAS)、网桥、路由器等。
这类验证服务器的例子有由因特网工程任务组(IETF)公布的请求评论(RFC)2865中定义的Radius服务器，以及在RFC 3588中定义的Diameter服务器。
这类授权的例子为Radius access accept消息。
IETF和第三代伙伴组织计划2(3GPP2)标准化组织具有使用所述验证服务器来提供预付费服务的解决方案。所述解决方案在draft-lior-radius-prepaid-extensions-02.txt文献(可在http：//www.ietf.org/internet-drafts/draft-lior-radius-prepaid-extensions-05.txt处下载)以及3GPP2 X.S0011-006-C文献(可在www.3gpp2.org/Public html/specs/X.S0011-006-C-v1.0.pdf处下载)中有所描述。
简单地说，当用户请求访问预付费服务时，所述验证服务器在验证消息中向所述访问控制单元返回所述用户可消费的一定配额(或信用额度)。所述配额为所述用户可与所述服务供应商保持连接的时间，或者为所述用户可以与所述服务供应商进行交换的通信量。
所述访问控制单元测量已消费的资源，并将它们与所述已授权的配额相比较。当接近达到所述配额时，所述访问控制单元向所述验证服务器请求更多的配额。所述验证服务器处理所述请求，或将其委托给预付费服务器。
关于计费和预付能力来扩展验证服务器，以及/或者在多于一个的服务器上复制计费资源是有问题的。
发明内容
本发明的目的即在于，在利用已有设备和协议提供很好的向后兼容性的同时，简化网络体系结构以及所述访问控制单元和所述验证服务器的实现。
根据本发明，所述目的可得以实现，这是因为所述方法进一步包括如下步骤：
-发送来自所述访问控制单元的通知到计费服务器，由此所述访问控制单元通知所述计费服务器，所述特定用户获得对所述服务供应商的访问，
-根据服务使用情况，减少分配给所述特定用户的配额，
-在所述配额被用尽后，发送来自所述计费服务器的请求到所述访问控制单元，由此所述计费服务器请求所述访问控制单元将所述特定用户从所述服务供应商断开，
-于是，锁定对所述服务供应商的所述访问，从而防止所述通信设备访问所述服务供应商。
只要特定用户被允许对提供某特定预付费服务的服务供应商进行访问，所述访问控制单元通知所述计费服务器。
于是，所述计费服务器开始基于服务使用情况减少分配给该特定用户的配额。
当所述配额被消费完，所述计费服务器请求所述访问控制单元将所述用户从所述服务供应商断开。于是，所述数据交换装置将被禁用，此装置在会话建立时被激活以在所述用户和所述服务供应商之间运载通信量。
根据本发明的方法，其优势在于，所述访问控制单元不再需要一再地请求更多的配额。而是，只要特定用户应该被从服务供应商断开，所述访问控制单元完全依赖将被通知的计费服务器，从而减少处理和网络负荷，并简化所述访问控制单元和验证服务器的实现。
本发明的另一个优势在于，所述计费可在单独的地方进行，从而提高数据完整性和机密性。
根据本发明的方法的实施例，其特征在于，其进一步包括如下步骤，在接收到所述验证之后，发送来自所述访问控制单元的第二请求到所述计费服务器，由此所述访问控制单元询问所述计费服务器，是否所述特定用户具有足够的配额来访问所述服务供应商，并且，其特征还在于如下步骤，只要所述特定用户具有足够配额来访问所述服务供应商，就允许进行所述访问。
在来自所述访问控制单元的触发后，所述计费服务器检查是否仍剩余了一些配额给所述用户来访问所述服务供应商，或者可选地，是否所述用户的配额高于某个预定阈值。如果为是，所述计费服务器向所述访问控制单元返回确认。在允许所述访问之前，所述访问控制单元等待所述确认，从而防止信用额度已用尽的用户访问所述服务供应商。
根据本发明的方法的另一种实施例，其特征在于，所述配额基于时间。
如果为是，所述计费服务器可自己确定所述已消费的时间，而无需与所述访问控制单元进行任何其它交互。当所允许的时间经过，所述计费服务器通知所述访问控制单元，所述用户会话将被终止。
根据本发明的方法的另一种实施例，其特征在于，所述配额基于通信量(volume-based)，并且，所述方法进一步包括如下步骤：
-在所述访问控制单元中测量在所述通信设备和所述服务供应商之间在基本规则的时间间隔上经单向或双向通信来交换的通信量(volume oftraffic)。
-发送来自所述访问控制单元的更新报告到所述计费服务器，由此所述访问控制单元向所述计费服务器报告所述通信量。
所述访问控制单元在基本规则的时间间隔，并在通信协议套中地预定服务访问点，测量在所述通信设备和所述服务供应商之间交换的通信量(或净荷)。
然后所述测量的净荷被报告给所述计费服务器，并从所允许的配额中减去，从而使得所述计费服务器记住已消费的资源。
根据本发明的方法的另一种实施例，其特征在于，在所述配额低于预定阈值的情况下，所述方法进一步包括如下步骤，发送来自所述计费服务器的第三请求到所述访问控制单元，由此所述计费服务器请求所述访问控制单元缩短所述时间间隔。
当所述配额低于预定阈值时，所述计费服务器请求所述访问控制单元以更快的步伐发送更新报告，从而提高所述计费粒度，并减小服务使用超出所允许的配额的可能性。
本发明还涉及一种访问控制单元，其适于控制由特定用户操作的通信设备对提供预付费服务的服务供应商的访问，并且包括适用于如下操作的访问控制装置：
-接收来自验证服务器的授权，由此所述特定用户被授权访问所述服务供应商，
-于是，允许所述通信设备对所述服务供应商的访问。
根据本发明的访问控制单元，其特征在于，其进一步包括与所述访问控制装置连接的本地计费装置，并且适用于：
-发送通知到计费服务器，由此所述访问控制单元通知所述计费服务器，所述特定用户可访问所述服务供应商，
-接收来自所述计费服务器的第一请求，由此所述计费服务器请求所述访问控制单元将所述特定用户从所述服务供应商断开，并且，其特征在于，所述访问控制装置还适用于，在接收到所述第一请求之后，锁定对所述服务供应商的所述访问，从而防止所述通信设备访问所述服务供应商。
根据本发明的访问控制单元实施例相当于根据本发明的方法的实施例。
需要注意的是，术语“包括”，也被用于权利要求中，不应该被解释为限于其后列出的装置。因此，表述“一种包括装置A和B的设备”的范围不应限于所述设备仅由组成部分A和B构成。其意味着，对于本发明，所述设备的相关组成部分是A和B。
类似地，需要注意的是，术语“连接到”，也被用于权利要求中，不应该被解释为仅限于直接连接。因此，表述“设备A连接到设备B”的范围并不限于这样的设备或系统，其中设备A的输出直接连接到设备B的输入，和/或反之亦然。其意味着，在A的输出和B的输入之间存在通路，和/或反之亦然，所述通路可为包括其它设备或装置的通路。
附图说明
通过参考附图对实施例进行以下描述，本发明的以上或其它目的和特点将更加明显，且本发明本身也可以得到更好的理解，其中，所述附图为：
图1示出了一种通信系统，其实现了根据本发明的基于时间的计费；
图2示出了一种通信系统，其实现了根据本发明的基于通信量的计费。
具体实施方式
图1所示的通信系统包括：
-通信设备11，如个人计算机、数字音频/视频终端、游戏控制台等，其由用户1操作，
-访问控制单元21，
-服务供应商31，
-计费服务器32，
-验证服务器33。
所述通信设备11，可能经由中间网络设备(未示出)，如调制解调器、网桥等，与所述访问控制单元21连接。所述访问控制单元21，可能经由中间网络设备(未示出)，如网桥、路由器、交换机等，与所述服务供应商31、所述计费服务器32及所述验证服务器33相连接。
所述服务供应商31适用于在来自特定用户(当前为用户1)的请求后，发送特定预付费内容，如视频信道。
所述计费服务器32适用于统计特定用户访问预付费服务的总时间。所述计费服务器32以每一用户为基础维护时间配额，并且如果相同计费服务器支持多于一个服务供应商，其还可能以每一服务供应商为基础维护时间配额。当前，所述计费服务器32维护时间配额301，其表示所述用户1还能享用由所述服务供应商31提供的服务的剩余时间。
所述计费服务器32还适用于在来自所述访问控制单元21的请求之后，检查是否特定用户仍有一些时间配额可用来访问特定的服务供应商。
所述验证服务器33适用于验证用户，并在成功验证及策略控制之后，向所述访问控制单元21返回授权。所述验证服务器33还适用于告知所述访问控制单元21是否采用预付费计费。
假设所述验证服务器33经由Radius接口与所述访问控制单元21连接。
所述访问控制单元21包括如下功能块：
-第一通信端口101，所述设备11与之连接，
-至少一个第二通信端口102，所述服务供应商31、所述计费服务器32及所述验证服务器33与之连接，
-转发装置103，
-本地计费装置104，
-访问控制装置105，
-接入网关106。
在本发明的优选实施例中，所述访问控制单元21为接入复用器，如DLSAM。
所述访问控制装置105与所述接入网关106、所述本地计费装置104、所述通信端口102及所述验证服务器33相连接。所述接入网关106还与所述转发装置103、所述通信端口101及所述设备11相连接。所述转发装置103还与所述通信端口102及所述服务供应商31相连接。所述本地计费装置104还与所述通信端口102及所述计费服务器32相连接。
在本发明的优选实施例中，所述访问控制装置105实现IEEE 802.1X基于端口的访问控制，并且，更具体地，承担802.1X的验证器的角色。
可利用通过其进行接收的进入端口的标识来识别与特定用户相关的通信量。还可利用源MAC地址来识别与特定用户相关的通信量。
所述网关106(见图2)初始为断开，即，经端口101接收的通信量不允许再流动。如果所述验证服务器33授权与所述端口连接的特定用户可以访问特定的服务供应商，此外，如果所述用户有足够的信用额度来访问所述服务供应商，则所述网关106闭合，并且，与所述用户相关的通信量被允许进入所述转发装置103，并进一步经过端口102流向所述服务供应商。
802.1X通信量并不从属于访问控制，而是被转发到所述访问控制装置105以进行进一步的处理。
所述转发装置103适用于在特定用户和特定服务供应商之间转发通信量。转发决定通常基于目标网络或硬件地址。然而，转发决定也可基于一些在会话建立时初始化的用户环境数据(user context data)，如特定虚拟局域网(VLAN)或者特定异步传输模式(ATM)虚连接(VC)，以映射通信量。
所述本地计费装置104适用于询问所述计费服务器32，所述特定用户是否有足够的信用额度来访问特定服务供应商。
所述本地计费装置104还适用于当所述特定用户的访问状态改变时，通知所述计费服务器32。
所述本地计费装置104还适用于当配额用尽时，接收来自所述计费服务器32的请求，断开所述特定用户的连接。
在本发明的优选实施例中，所述本地计费装置104利用已有的Radius消息与所述计费服务器32通信，由于在所述访问控制单元21和所述验证服务器33之间已支持所述接口，从而可以减少实现成本用。
以下为所述优选实施例的操作。
假设所述设备11承担802.1X的请求方的角色。所述请求方角色也可由中间网络设备承担。
所述设备11向所述访问控制单元21提供域名，其用于识别特定的服务供应商，当前为服务供应商31，以及，提供用户证书。所述访问控制单元21使用所述域名来识别特定的验证服务器，在此处为验证服务器33。所述用户证书被转发给所述已识别的验证服务器以用于验证目的。如果所述用户1被成功验证，则验证服务器33为所述特定用户返回Radiusaccess_accept消息201，以及所述预付费计费使用的指示。
因此，所述访问控制装置105请求所述本地计费装置104检查所述用户1是否有足够的信用额度来访问所述服务供应商31(见图1中的credit_check)。所述本地计费装置104向所述计费服务器32发送Radiusaccounting_req消息202(具有将被定义的新的属性)，以检查所述用户1是否有足够的信用额度来访问所述服务供应商31。
所述计费服务器32检查时间配额301是否高于预定阈值(如，高于0)，并将具有肯定或否定的确认的Radius accounting_resp消息203发送回所述访问控制单元21。所述本地计费装置104将所述信息转发给所述访问控制装置105(见图1中的credit_ack/nack)。
在接受到来自所述计费服务器32的肯定确认之后，所述访问控制装置105闭合所述网关106(见图1中的close)，从而允许特定内容被传送给所述用户1。作为例子，数据包211a、211b从所述设备11经过所述网关106和所述转发装置103，流向所述服务供应商31，而数据包212a、212b以相反的方向，从所述服务供应商31，经过所述转发装置103和所述网关106，流向所述设备11。
所述访问控制装置105通知所述本地计费装置104，所述网关106已被闭合(见图1中的gate_closed)。于是，所述本地计费装置104向所述计费服务器32发送具有accounting_start属性(进一步缩短为accounting_start消息)的Radius accounting_req消息204，以通知所述用户1已被许可访问所述服务供应商31。
此后，所述计费服务器32开始减少分配给所述用户1对所述服务供应商31进行访问的时间配额。
如果所述用户1在所述时间配额301用完之前断开与所述服务供应商31的连接，则所述访问控制装置105断开所述网关106(见图1中的open)，然后通知所述本地计费装置104(见图1的gate_open)。所述本地计费装置104向所述计费服务器32发送Radius accounting_stop消息(未示出)，以通知在所述用户1和所述服务供应商31之间的当前会话终止(或中断)。从而，所述计费服务器32停止减少所述时间配额301。
如果当时间配额301用完时，所述用户1仍然与所述服务供应商31连接，则所述计费服务器32向所述访问控制单元21发送Radiusdisconnect_request消息205，以将所述用户1从所述服务供应商31断开。所述本地计费装置104请求所述访问控制装置105将所述用户1从所述服务供应商31断开(见图1中open_gate和open)，从而防止用户1访问所述服务供应商31。
需要注意的是，尽管为清楚起见所述接入网关106被作为单独的功能块画出，其可以构成所述转发装置103的一部分。例如，可以利用过滤数据库中的过滤入口实现所述接入网关106，其被所述转发装置103在转发通信量时使用。
图2示出了用于基于通信量的计费的访问控制单元21的替代实施例。
所述转发装置103进一步与所述本地计费装置104连接，并适用于测量并且周期性地向所述本地计费装置104报告在所述用户1和所述服务供应商31之间交换的通信量(见图2中traffic_meas)。
例如，所述转发装置103可测量并报告向所述用户1发送的字节数(单向测量)。
所述本地计费装置104还适用于利用Radiusinterim_accounting_records消息206a、206a将这些数字转发给所述计费服务器32(可能需要经过一些数值转换，以适于已认可的访问控制单元/计费服务器接口)。
所述计费服务器32适用于维护以每一用户为基础的数据量配额，也可以每一服务供应商为基础来维护所述配额。在此，所述计费服务器32维护通信量配额311，其表示所述用户1仍然可与所述服务供应商31进行交换的通信余量。
当所述通信量配额低于预定阈值时，此阈值为绝对阈值(如，剩余1M字节通信量)或为相对阈值(如，为初始配额的5％)，所述计费服务器32向所述访问控制单元21发送Radius accounting_req消息207(具有将被定义的新属性)，以减少测量/报告间隔，并从而增加计费准确度。
在本发明的可选实施例中，所述访问控制单元21不向所述计费服务器32询问特定用户是否有足够的信用额度来访问特定的服务供应商。接收到授权201之后，所述访问控制装置105闭合所述网关106。如果所述用户1没有剩余信用额度，他将在来自所述计费服务器32的触发后，立即被从所述服务供应商31断开。
在本发明的可选实施例中，代替所述访问控制单元21，所述验证服务器33在返回授权之前，询问所述计费服务器32，特定用户是否有足够的信用额度来访问特定的服务供应商。如果为是，在接收到所述授权201之后，所述访问控制装置105闭合所述网关106，而无需进一步使用所述计费服务器32进行检查。
在本发明的可选实施例中，所述访问控制单元21测量，并周期性地向所述计费服务器32报告确切的已用时间。所述计费服务器32从所允许的配额中减去已用时间，直到配额被用尽。
所述计费服务器32可类似地请求所述访问控制单元21，在所述时间配额低于预定阈值时缩短报告间隔。
在本发明的可选实施例中，所述访问控制单元21为BRAS，其合计从多个用户到一个或多个服务供应商的通信量。所述BRAS实现基于点到点协议(PPP)的访问控制方法。
所述转发装置103可使用PPP会话标识符，替代所述进入端口标识，以识别来自特定用户的通信量。
在本发明的可选实施例中，使用另一种访问控制方法替代802.1X，如，其可基于动态主机配置协议(DHCP)或基于进行网络访问验证的协议(PANA)。
在本发明的再一种可选实施例中，在所述访问控制单元21和所述验证服务器33之间，并且/或者在所述访问控制单元21和所述计费服务器32之间，使用另一种协议，如Diameter。
最终意见是，以上依照功能块的方式描述了本发明的实施例。从以上给出的这些块的功能描述中，电子器件设计领域的技术人员将很清楚如何利用通过熟知的电子元件制造这些块的实施例。所述功能块的内容的具体构造没有在此处给出。
以上结合具体装置对本发明的原理进行了描述，可以理解，此描述仅作为例子，而并不在于限制发明的范围，本发明的范围由所附的权利要求来定义。