用于有效地管理电信网络以及该电信网络和客户驻地设备之间的连接的方法和系统

摘要

本发明涉及一种用于有效地连接电信网络和CPE的方法和电信网络，该方法包括如下步骤：建立电信网络的接入节点和CPE之间的物理通信信道，并且使用所述接入节点中的一个参数用于验证和授权；电信网络向CPE提供一个公共或私有网际协议地址，以供CPE用于与电信网络的一个网际协议边缘节点通信，网际协议地址与接入节点上的物理通信信道的至少一个参数关联；电信网络初始地将第一功能性水平指派至该公共或私有网际协议地址；在电信网络能够将物理通信信道的至少一个参数与有关合同的标识信息联合的情形中，电信网络将第二功能性水平指派至该公共或私有网际协议地址。

说明书

背景技术

本发明涉及一种有效地管理电信网络（telecommunication  network）以及该电信网络和客户驻地设备（customer premises  equipment）之间的连接的方法和系统。

从美国专利7,127,049得知：一种增强经由数字用户线链路来激 活客户调制解调器和中央局调制解调器之间的网络服务自动化的系 统。在根据所述现有技术的系统中，中央局调制解调器将客户调制解 调器耦合至用于提供网络服务的网络，该系统包括与中央局调制解调 器耦合的轮询系统。

此外，2010年6月16日的第三代合作伙伴计划（3GPP）TS33.203 中的基于IP服务的接入安全（版本10），公开了一种用于在电信网 络的接入节点和用户设备（User Equipment）之间建立连接的方法。

所述已知系统具有若干缺点。例如，轮询系统限定了其中没有网 络接入可用于客户调制解调器的某一时间段。此外，所述已知系统中 继提供一种经会话指派的网际协议地址（session assigned Internet  Protocol address），而所述经会话指派的网际协议地址不能被永久 使用，因此有必要重新连接客户调制解调器和通信网络之间的连接（可 能地通过另一网际协议地址），从而可能地必须进行一个断开步骤和/ 或新会话的发起和/或客户设备的重新启动操作。

此外，根据现有技术，为了建立网际协议边缘节点和诸如客户调 制解调器或CPE（客户驻地设备）之类的用户设备之间的网际协议连 接，总是有必要使用一种在不可信环境中使用或分配的作为验证信息 的信息。例如，以一种用户指定的方式来预配置CPE单元，并且将所 述CPE单元分配至多个客户或者客户主机，使得客户采用他从电信网 络的运营商获得的证书来配置该CPE。所述预配置的信息本身是不安 全或者不可信的，这是因为在根据现有技术建立网际协议会话之前所 发生的步骤导致电信网络运营商必须在不可信环境中分配所述证书或 预配置或其他（先前可信的）信息，或者将所述证书或预配置或其他 （先前可信的）信息分配至不可信环境（例如，客户家）。

这些限制具有的影响是，使得CPE和电信网络之间的连接相对耗 时，或者本身就不安全，或者至少涉及巨大的后勤努力，例如用于分 配和/或更新用户证书和/或预配置的CPE设备。此外，用户需要输入 证书来接入网络。不存在任何即插即用解决方案来接入网络，以及接 入提供给网络连接的服务。

此外，德国专利公开文本DE102007039516A1公开了一种以 用户指定的方式来配置通信端口的方法，该方法包括提供默认概要 （profile）的步骤，所述默认概要针对一个指定用户，该方法还包括 将用户指定的默认概要指派至一个用户指定配置的概要的步骤，所述 用户指定配置的概要被指派至一个指定用户。

发明内容

本发明的一个目的是提供一种用于借助于提供电信网络和客户驻 地设备（CPE）之间的通信信道并且通过提供一种对该电信网络的控制， 来有效地管理电信网络以及该电信网络和CPE之间的连接的系统和方 法，使得

-对于用户来说，灵活地使用电信服务是可能的；

-不需要配置该CPE本身，仅需要最小的时间延迟来配置电信服 务；以及

-相比于根据现有技术的方法，实现了高安全水平或更高安全水 平。

本发明的另一目的是提供一种系统，使得管理IP连接的授权是独立于 IP连接本身而连接至若干电信服务。

本发明的目的通过一种经由接入节点来有效地管理电信网络以及 该电信网络和CPE之间的连接的方法和系统来实现，该方法和系统尤 其用于有效地建立和/或配置网际协议边缘节点或电信网络的接入节 点与CPE之间的连接，该方法包括如下步骤：

-建立该电信网络的接入节点和该CPE之间的物理通信信道，该物 理通信信道被指派至与该接入节点有关的一个有关网络接入的标识信 息（network access related identification information）；

-该电信网络向CPE提供了一个公共或私有网际协议地址，以供 所述CPE用于与该电信网络的该网际协议边缘节点通信，该网际协议 地址与所述有关网络接入的标识信息相关联，以及实现了逻辑通信信 道的网际协议会话（IP会话）或连接在该电信网络的网际协议边缘节 点和该CPE之间被初始化；

-该电信网络初始地将第一功能性水平指派至该公共或私有网际 协议地址（或者，指派至该逻辑通信信道），例如，以围墙花园（walled  garden）的形式；

-在电信网络能够将所述有关网络接入的标识信息与有关合同的 标识信息（contract related identification information）联合 的情形中，电信网络将第二功能性水平指派至该网际协议地址（或者， 指派至该逻辑通信信道）；其中通过使用至少一个验证信息来建立该 逻辑通信信道，所述至少一个验证信息是存在于所述电信网络内的一 个可信的信息，其中优选地所述至少一个验证信息存在于所述电信网 络内，在所述CPE物理地连接至的接入节点端口上。

此外，本发明的目的通过有效地管理电信网络以及电信网络的接 入节点和CPE之间的连接的方法和系统来实现，该方法和系统尤其用 于有效地建立和/或配置电信网络的接入节点和CPE之间的连接，该方 法包括如下步骤：

-建立该电信网络的接入节点和该CPE之间的物理通信信道，该物 理通信信道被指派至一个有关网络接入的标识信息；

-该电信网络向该CPE提供一个公共或私有网际协议地址，以供该 CPE用于与该电信网络的IP网络通信，该网际协议地址与所述有关网 络接入的标识信息相关联；

-该电信网络将第一功能性水平初始地指派至所述公共或私有网 际协议地址（例如，以“围墙花园”形式）；

-在电信网络能够将所述有关网络接入的标识信息与有关合同的 标识信息联合的情形中，该电信网络将第二功能性水平指派至网际协 议地址。

所述电信网络的接入节点和所述CPE之间的物理通信链路可以是 任何有线通信链路。这样的有线通信链路，通常包括连接至所述CPE 的一端以及连接至所述电信网络的接入节点的一端。根据本发明，接 入节点被限定为端接接入网络（其是电信网络的一部分）和家庭网络 的任何装置。所述CPE应被理解成如下的客户驻地设备，即如同具有 路由器功能性的家庭网关，或者能够建立IP连接并诸如借助于被链接 （或者插入）至转接点或建筑物入口接口而连接至物理通信链路的任 何其他装置。接入节点和CPE之间的物理通信链路通常还称为“最后 一英里”（接入网络的网络部件和客户驻地设备之间）。应理解，术 语“电信网络的接入节点和CPE之间的物理通信链路”，不需要是CPE 和接入节点之间的单独的有线通信链路，但是如果使用诸如基于GPON 的光纤网络、电缆网络等之类的共享媒介，则也可借助于有源器件（例 如，ONU/ONT或者电缆调制解调器）来实现。甚至，电信网络的接入 节点和CPE之间的无线通信链路（诸如点对点无线电系统（或者定向 无线电链路））的（部分）使用应被理解为如下意义的“物理通信链 路”，即所述物理通信链路包括连接至CPE的一端和连接至电信网络 的接入节点的一端。

有线通信链路的实例包括：经由一对铜线的通信链路，或者经由 光纤链路的通信链路，或者经由电缆电视接入链路的通信链路。在使 用经由一对铜线的通信链路的情形中，CPE例如借助于所谓的TAE （Telecommunikations Anschluss Einheit）、APL（Abschlusspunkt  Linientechnik，接入点线路技术或转接点）被链接至电信网络，该对 铜线在TAE/APL（在用户家庭中）到用作电信网络的接入节点的数字 用户线路接入复用器（DSLAM）之间延伸。在使用经由光纤链路的通信 链路的情形中，CPE例如借助于所谓的ONU（光网络单元）或ONT（光 网络终端）被链接至电信网络，该光纤链路在ONU/ONT（在用户家庭 中）到用作电信网络的接入节点的OLT（光线路终端）之间延伸。在 使用经由电缆电视接入链路的通信链路中，CPE例如借助于所谓的CM （电缆调制解调器）被链接至所述电信网络，所述电缆电视接入链路 在CM（在用户家庭中）到用作电信网络的接入节点的CMTS（电缆调制 解调器终端系统）之间延伸。

根据本发明，在网际协议边缘节点和CPE之间建立逻辑通信信道。 逻辑通信信道对应于网际协议会话或连接。在接入节点和CPE之间建 立（在电信网络和CPE之间的）物理通信信道。根据本发明的所有实 施方案，可能且优选地，网际协议边缘节点的功能性至少部分地集成 到具有接入节点的功能性的网络节点中，或者反之（即，接入节点的 功能性至少部分地集成到具有网际协议边缘节点的功能性的网络节点 中）。

根据本发明，通过使用至少一个验证信息来建立网际协议边缘节 点和CPE之间的逻辑通信信道（网际协议连接），所述至少一个验证 信息是存在于所述电信网络内的可信的信息，尤其是在CPE物理连接 至的接入节点或者接入节点端口上的可信的信息。这意味着，在本发 明的背景下，为了建立完整功能的网际协议会话或连接（即，网际协 议边缘节点和CPE之间的逻辑通信信道），证书或个性化预配置的CPE 装置的分配是没有必要的。有必要的仅仅是，电信网络（即，控制单 元或控制功能）知晓接入节点的指定端口（和线路ID）的存在，以及 CPE（即，随机配置的CPE）物理连接至该接入节点的指定端口。基于 这些技术状况，可能地，为CPE建立网际协议会话或连接。根据本发 明，初始地，该网际协议连接或网际协议会话（即，逻辑通信信道） 优选地仅基于第一功能性水平起作用。一旦与有关该合同的信息进行 交换，则可启用第二功能性水平。

根据本发明的一个优选实施方案，所述至少一个验证信息独立于 CPE，所述至少一个验证信息仅仅与接入节点或者电信网络的其他部分 有关。

因而，有利地，可以减少用于将CPE装置分配给客户、用于预配 置CPE装置或者处理所述至少一个验证信息（即，尤其是多个证书或 单个证书信息）的后勤努力，所述将CPE装置分配给客户、用于预配 置CPE装置或者处理所述至少一个验证信息（即，尤其是多个证书或 单个证书信息）是作为网际协议会话或连接的先决条件 （prerequisite）。

根据本发明的一个优选实施方案，有关网络接入的标识信息对应 于线路ID或者是所谓的线路ID。有关网络接入的标识信息或者线路 ID表示物理通信信道。所述物理通信信道有必要被定位为，即，从一 个指定接入节点引至一个指定转接点（或者反之亦然），从而允许不 仅可将其身份（有关网络接入的标识信息）指派至物理通信信道，而 且可将其位置（例如，以邮政地址的形式，或者以指定公寓建筑物内 侧的一指定公寓的形式）指派至物理通信信道。物理通信信道的位置， 优选地主要与其远程端（即，CPE和接入节点之间的物理通信链路的 客户驻地或开始点）有关。所谓的网络端口标识信息（下文中还称为 端口ID），标识了连接至朝向CPE的物理连接的接入节点的端口。根 据本发明，可以将线路ID（即，有关网络接入的标识信息）与接入节 点的端口相关联，使得这两个标识符可在电信网络的技术协议中传输。

在CPE向接入节点初始请求以请求电信网络服务（即，用于建立 数据传输连接）之后，接入节点通过线路ID和端口ID的信息元素来 补充CPE的请求。这优选地经由DHCP协议（动态主机配置协议）来实 现，优选地使用DHCP选项82或者PPPoE（以太网的点对点协议）来 实现，优选地使用PPPoE中间代理来实现。

电信网络优选地包括一个所谓的网际协议边缘节点。该网际协议 边缘节点操控网际协议地址向CPE的分配，以及与CPE可寻址的不同 的网际协议地址相关联的不同功能性水平的分配。从而，网际协议边 缘节点可被理解成一个具有与不同虚拟接口上的不同网际协议地址相 关联的多个接入和许可规则的路由装置。给予CPE的网际协议地址具 有缩减的功能性水平，例如仅被许可为一个有限接入范围的目标网际 协议地址。具有增加的功能性水平的网际协议地址，例如，被许可为 一个增强的接入范围的目标网际协议地址，带有例如到该互联网的默 认路由。

根据本发明，存在可与给予CPE的网际协议地址相关联或者可指 派至给予CPE的网际协议地址的若干不同的功能性水平。缩减的功能 性水平，对于在电信网络的接入节点的任何端口和可通过这种接入节 点操作的任何相关联的CPE之间的任何功能性物理通信信道都是可用 的。根据本发明，所述缩减的功能性水平被用于提供与合同没有任何 关系的基本的连接，使得在该连接后面的用户能够使用一组默认的功 能性，例如可选择不同的接入模式和/或可以通过接入客户自助接口 （customer self care interface）来选择由服务运营商所提供的不 同服务。增强的功能性水平与任何以下的服务相关联，所述服务可尤 其借助于基于网际协议的网络连接通过物理通信信道来递送和可接 入。所述服务包括但不限于因特网接入服务、VoIP（网际协议语音） 服务、VoD（视频点播）服务、电视（TV）服务等。根据本发明，可能 且优选地存在多个增强的功能性水平，例如关于因特网接入服务的增 强的功能性水平可与关于多播服务（诸如电视服务（IPTV）或VoD） 的缩减的功能性水平同时提供。

根据本发明的一个实施方案，描述了基于网际协议的服务的初始 化过程，这意味着，“第一功能性水平”指的是缩减的功能性水平， 尤其是基本的连接水平，“第二功能性水平”指的是在对源自一个合 同的有关合同的标识信息（即，例如授权信息）做出参考之后或者至 少与一个可能的合同（在未来）建立关系之后，与由服务供应商递送 的某种服务相关联的增强的功能性水平。在本发明的背景下，该过程 称为“联合”。根据该实施方案，所指的基本连接水平意义上的缩减 的功能性水平的第一功能性水平，例如，仅允许接入网络的一个实体 连接至客户自助接口或者连接至旨在配置网络接入的另一服务或功能 性。在本发明的背景下，所述缩减的连接水平或者基本连接水平还称 为“围墙花园”。根据本发明的另一实施方案，描述了基于网际协议 的服务配置中的改变，这意味着“第一功能性水平”指的是在改变服 务配置之前的功能性水平，“第二功能性水平”指的是在改变服务配 置之后的功能性水平。例如，在改变服务配置之前的功能性水平可仅 仅包括VoIP或者实施先前由POTS系统所提供的服务的功能性，在改 变服务配置之后的功能性水平可能包括VoIP功能性或者POTS功能性 以及因特网接入功能性（或者，在改变服务配置之后的功能性水平可 包括，VoIP功能性或者POTS功能性，以及因特网接入功能性和TV或 VoD功能性）。根据另一实施例，在改变服务配置之前的功能性水平 可包括VoIP功能性或者POTS功能性以及接入“围墙花园”，在改变 服务配置之后的功能性水平可包括VoIP功能性或者POTS功能性以及 因特网接入功能性。

根据本发明的一个优选实施方案，该电信网络包括一个网际协议 边缘节点和一个控制功能，其中在通过联合过程将有关网络接入的标 识信息与有关合同的标识信息建立关系之后，将实现所述第二功能性 水平的有关合同的标识信息发送至控制功能。在该控制功能中，存储 了一组授权信息。初始地，“第一功能性水平”意义上的该组授权信 息是一组基本的并非源自一个合同的权利。在第二步骤中，“第二功 能性水平”意义上的授权信息被改变。这优选地在如下时刻完成：

-在将线路ID（即，有关网络接入的标识信息）与有关合同的标 识信息建立关系之后，例如，一个如持有源自一个合同（联合）的用 于服务的授权信息的用户的实体；或者

-在通过改变现有的合同而改变与该用户有关的授权信息之后， 或者由于其他原因（例如，由于滥用行为而停用服务）改变与该用户 有关的授权信息之后。

在本发明的背景下，术语“有关合同的标识信息”与如下信息有 关，所述信息即

-链接至用于服务（如互联网服务和/或VoD服务和/或电话（VoIP） 服务和/或电视IP服务和/或其他互联网供应商服务（如e-mail或邮 政服务））的一个授权信息，；

-或者，链接至一个源自预支付合同的授权信息，该预支付合同 与用户通过服务供应商所具有的指定服务有关；

-或者，链接至一个源自与服务供应商的另一合同或准合同关系 （诸如推广优惠价、优惠券等）的授权信息。

根据本发明的另一优选实施方案，从指派线路ID和该实体持有授 权信息开始，将第二功能性水平指派至公共或私有网际协议地址在100 秒内生效，优选地在30秒内生效，更优选地在10秒内生效，仍更优 选地在3秒内生效，最优选地在1秒内生效。

因而，有利地，几乎可以立即配置网络参数，使得可使用用户的 服务设置的修改。

根据本发明，优选地，通过限定由CPE以及其他过滤器（例如， 层4）潜在可用的不同范围的网际协议地址，由网际协议边缘节点来 实现不同功能性水平之间的区分。根据本发明，对于并非经由网际协 议边缘节点路由的内容信息，优选地，网际协议边缘节点控制相关联 的电信网络元素（诸如接入节点），从而允许或拒绝指定的CPE获取 所述内容信息，如启用或禁用多播的传输，或者甚至允许或拒绝特定 类型的以太网帧的传输。

根据本发明，优选地，经由DHCP（动态主机配置协议）或基于DHCP 的协议或者PPPoE（以太网的点对点）来实现对相关联的电信网络元 素（例如接入节点）的这样的控制。

根据本发明，优选地，网际协议边缘节点与电信网络的控制功能 通信，从而获得授权信息。所述网际协议边缘节点使用所述授权信息 来将指定的功能性水平关联至被提供给CPE的公共或私有网际协议地 址。对所述授权信息的请求优选地基于作为有关网络接入的标识信息 的线路ID。根据本发明，借助于集中验证、授权和记账（AAA）功能 或相关联的AAA节点来实现控制功能。与所述控制功能相关联的验证 和/或授权功能，例如借助于RADIUS（远程验证拨号用户服务 （RADIUS））服务器节点或者借助于DIAMETER服务器节点（或者借助 于实现RADIUS功能性的相应功能）来实现。该控制功能向网际协议边 缘节点提供与该网际协议地址的功能性水平有关的信息。这意味着， 存储器装置被指派至所述控制功能（或者控制节点包括所述存储器装 置），使得所述有关网络接入的标识信息（例如，线路ID）关联至与 指定的功能性水平有关的信息，所述指定的功能性水平与用户的某一 合同关系相关联或者与某一用户的个人相关联。与该功能性水平有关 的信息包括，例如，关于网际协议地址的潜在可寻址范围的信息，以 及关于被允许和/或可用的带宽的信息。所述与功能性水平有关的信息 可以所谓的策略的形式和/或专用单个信息的形式存储在与控制功能 相关联的存储器装置中，且用于对控制功能从网际协议边缘节点接收 的请求进行授权。

根据本发明，优选地，该控制功能能够迫使该网际协议边缘节点 实施功能性水平中的改变，甚至对于具有工作IP地址的工作连接。例 如，这可借助于授权请求的改变来实现。根据本发明，优选地，借助 于控制功能和网际协议边缘节点之间的通信来实现所述功能性水平中 的改变（与使用初始提供的网际协议地址的、CPE与电信网络的工作 连接相关联）。例如，网际协议边缘节点借助于朝向控制功能的“记 账停止”消息（在CPE和网际协议边缘之间已经存在网际协议连接的 情形中）和随后的“记账开始”消息来确认一个限制或扩展功能性水 平的命令。这优选地在不中断CPE的网际协议连接的情况下完成。

根据本发明，优选地，通过网际协议边缘节点或通过控制功能， 实现初始提供用于CPE向电信网络的连接（即，CPE和接入节点之间） 的网际协议地址。

根据本发明，还优选地，控制功能能够返回与工作网际协议连接 （或者工作网际协议会话）有关的下列各条信息：

-对于每种通信链路的线路ID和端口ID；

-CPE可寻址的网际协议地址范围；

-与网际协议会话有关的网络参数；

-与CPE和接入节点之间的物理附接有关的网络参数，例如DSL 用户线路的同步带宽。

替代地，根据本发明，可能且优选地，使用句柄引用（handle  reference）或指针引用（pointer reference）来代替线路ID。在线 路ID被联合至有关合同的标识信息的情形中，应用IDP（应用身份供 应商）参考句柄引用或指针引用。这增强了在网络和服务运营商（持 有针对IP服务的合同）是不同的法律实体（legal entity）时的数据 隐私性。尤其在网络和服务运营商（持有用于IP服务的合同）是不同 的法律实体的情形中，根据本发明优选地，与有关合同的标识信息相 关联的引用句柄是所谓的不透明句柄，即加密信息或掩模信息，使得 不易于从不透明句柄或加密信息或掩模信息导出线路ID的内容。

根据本发明，还优选地，即使没有提供用于验证的线路ID（例如， 在维护情形中等），所述控制功能能够建立IP连接。在这种情形中， 需要向IP边缘提供一个特别的授权概要，用于用户和电信网络的运营 商之间的基本通信。

此外，根据本发明，优选地，该电信网络包括一个操作支持系统 和一个数据检验功能，其中执行数据完整性检验包括下列步骤：

-CPE联系所述数据检验功能；

-所述数据检验功能从所述CPE检索下列各项完整性检验信息中 的至少一个完整性检验信息：所述CPE的序列号或相关联的装置的序 列号、所述CPE的MAC（介质访问控制）地址或相关联的装置的MAC （介质访问控制）地址；

-所述数据检验功能从所述控制功能检索有关网络接入的标识信 息和与所述网际协议会话（IP会话）或所述CPE连接至的连接有关的 网络端口标识信息；

-所述完整性检验信息被传送至所述操作支持系统，以与所述电 信网络内的已知变化进行检验。

从而，有利地，通过检测电信网络的利用方式中的至少主要变化 的可能性，可实现增强的优化的网络操作。

此外，根据本发明，优选地，有关合同的标识信息是有关用户的 标识信息，尤其是指定一个人且优选地借助于RFID读取器元件来生成 或检索该有关用户的标识信息，所述RFID读取器元件与所述CPE相关 联但是优选地在所述CPE内。

从而，根据本发明，有利地，能够通过使用实现RFID的标识文件 （例如电子密码），使用所述实现RFID的标识信息可生成有关合同的 标识信息，从而建立CRM系统内的客户关系。

根据本发明，还优选地，该电信网络包括一个操作支持系统和一 个网络身份供应商，该方法包括在接入节点和操作支持系统之间建立 管理通信信道，其中：

-在电信网络的接入节点和CPE之间建立物理通信信道，该物理通 信信道具有一个有关网络接入的标识信息；以及

-借助于如下方式实现将第一功能性水平初始地指派至逻辑通信 信道：

-建立所述接入节点和所述操作支持系统之间的管理通信信道；

-将对应的线路ID、端口ID以及其他的网络参数（诸如在对应 的网络端口处可能的最大物理带宽）传送至所述操作支持系统；

-通过所述操作支持系统确定对应的网络端口的技术状态和逻 辑状态；

-将对应的线路ID、技术状态和逻辑状态，以及与所述物理通信 信道有关的位置信息传送至网络IDP；

-在所述控制功能处生成一个网络端口条目，并传送授权信息， 所述授权信息为一个公共或私有网际协议地址指定第一功能性水平， 所述授权信息由网际协议边缘节点管理，并经由电信网络的接入节点 的网络端口可使用。

因而，有利地，可以容易且有效地提供多个接入节点，用于为若 干重要的用户提供网络连接能力。

本发明还涉及一种用于有效地初始化电信网络中的接入节点的方 法，所述电信网络包括一个操作支持系统和一个网络身份供应商，所 述接入节点提供多个网络端口，所述方法包括在所述接入节点和所述 操作支持系统之间建立管理通信信道，其中所述方法包括针对所述接 入节点的所述多个网络端口中的至少一个指定网络端口的下列步骤， 其中所述指定网络端口对应于一个端口ID：

-向所述操作支持系统传送所述对应的端口ID以及其他网络参 数，尤其是在对应的指定网络端口处的可能的最大物理带宽，以及如 果存在线路ID则传送该线路ID；

-通过所述操作支持系统确定所述对应的指定网络端口的技术状 态和逻辑状态；

-向所述网络IDP传送所述技术状态和逻辑状态，以及与物理通 信信道有关的位置信息，以及如果存在对应的线路ID则传送该对应的 线路ID，其中所述物理通信信道与对应的指定网络端口有关。

从而，有利地，能够容易且有效地将多个接入节点集成到电信网 络内。

根据本发明，还优选地，在向所述网络IDP传送所述技术状态和 逻辑状态以及与物理通信信道有关的位置信息期间，所述对应的端口 ID被传送作为线路ID，尤其是在线路ID信息缺失的情形中，其中所 述物理通信信道与所述对应的指定网络端口有关。

根据本发明，尤其有利地，对所述接入节点的初始化或者对所述 接入节点的端口的初始化，以及建立具有至少所述第一功能性水平的 网际协议会话的能力并不依赖于所谓的库存数据（inventory data）。 在本发明的背景中，库存数据是在电信网络的节点或实体建立或核查 期间由例如技术人员生成的，预想到网络或与有关合同的信息也可能 是错误的。所述库存数据可能是错误的（即，初始错误的）或者变成 错误的（即，在未考虑随之的改变的情况下，由于例如网络部件的更 新过程而成为过期的），使得网络配置过程被中断或被干扰。由于未 遵守时间限制（例如，对于建立网际协议连接的时间限制）等，这可 导致客户的强烈抱怨。

本发明还涉及一种包括多个网络节点的电信网络，所述电信网络 被提供用于经由一个接入节点来在所述电信网络和一个CPE之间进行 有效连接，其中所述电信网络包括所述电信网络的所述接入节点和所 述CPE之间的一个物理通信信道，所述物理通信链路关联至与所述接 入节点有关的一个有关网络接入的标识信息，其中所述电信网络向所 述CPE提供一个公共或私有网际协议地址，以供所述CPE用于与所述 网际协议边缘节点通信，所述网际协议地址与所述有关网络接入的标 识信息相关联，以及实现了逻辑通信信道的网际协议会话（IP会话） 或连接在所述电信网络的所述网际协议边缘节点和所述CPE之间被初 始化，其中所述电信网络初始地将第一功能性水平指派至所述公共或 私有网际协议地址，以及其中在所述电信网络能够将有关网络接入的 标识信息与有关合同的标识信息联合的情形中，所述电信网络将第二 功能性水平指派至所述公共或私有网际协议地址，其中通过使用至少 一个验证信息来建立根据所述第一功能性水平的、所述网际协议边缘 节点和所述CPE之间的逻辑通信信道，所述至少一个验证信息是存在 于所述电信网络内的一个可信的信息。

此外，本发明还涉及一种包括多个网络节点的电信网络，该电信 网络被提供用于经由一个网络节点来在所述电信网络和一个CPE之间 进行有效连接，其中所述电信网络包括该电信网络的接入节点和CPE 之间的物理通信信道，物理通信链路关联至与所述接入节点有关的有 关网络接入的标识信息，其中所述电信网络向CPE提供一个公共或私 有网际协议地址，供该CPE与所述网际协议边缘节点通信，所述网际 协议地址与所述有关网络接入的标识信息相关联，以及实现了逻辑通 信信道的网际协议会话（IP会话）或连接在所述电信网络的网际协议 边缘节点和所述CPE之间被初始化，其中所述电信网络初始地将第一 功能性水平指派至该公共或私有网际协议地址，其中在所述电信网络 能够将有关网络接入的标识信息与有关合同的标识信息联合的情形 中，所述电信网络将第二功能性水平指派至该公共或私有网际协议地 址。

此外，本发明涉及一种包括多个网络节点的电信网络，所述电信 网络被提供用于有效地初始化所述电信网络中的接入节点，所述电信 网络包括一个操作支持系统和一个网络身份供应商，所述接入节点提 供多个网络端口，所述方法包括在所述接入节点和所述操作支持系统 之间建立一个管理通信信道，其中对于所述接入节点的所述多个网络 端口的至少一个指定网络端口（该指定网络端口对应于一个端口ID）， 所述电信网络提供：

-向所述操作支持系统传送对应的端口ID，以及其他的网络参数， 尤其是在所述对应的指定网络端口处可能的最大物理带宽，以及如果 存在线路ID则传送该线路ID；

-通过所述操作支持系统确定所述对应的指定网络端口的技术状 态和逻辑状态；

-向所述网络IDP传送所述技术状态和逻辑状态，以及与物理通 信信道有关的位置信息，以及如果存在对应的线路ID则传送对应的线 路ID，其中所述物理通信信道与对应的指定网络端口有关。

根据本发明，对于包括多个网络节点的电信网络，此外还优选地， 在向网络IDP传送技术状态和逻辑状态以及与物理通信信道有关的位 置信息期间，所述对应的端口ID被传送作为线路ID，其中所述物理 通信信道与所述对应的指定网络端口有关。

此外，本发明还涉及一种包括多个网络节点的电信网络，所述电 信网络被提供用于有效地初始化所述电信网络内的接入节点，所述电 信网络包括一个操作支持系统和一个网络身份供应商，所述接入节点 提供多个网络端口，所述方法包括在所述接入节点和所述操作支持系 统之间建立一个管理通信信道，其中对于所述接入节点的网络端口中 的至少一部分网络端口，所述电信网络提供：

-向所述操作支持系统传送所述对应的线路ID、端口ID以及其 他的网络参数例如在所述对应的网络端口处可能的最大物理带宽；

-通过所述操作支持系统确定所述对应的网络端口的技术状态和 逻辑状态；

-向所述网络IDP传送所述对应的线路ID、技术状态和逻辑状态， 以及与所述物理通信信道有关的位置信息；

-在所述控制功能处生成一个网络端口条目，并且传送授权信息， 所述授权信息为一个公共或私有网际协议地址指定第一功能性水平， 所述授权信息可被该网络端口用于与电信网络的接入节点通信。

本发明还涉及与本发明的电信网络一起使用的客户驻地设备，其 中所述客户驻地设备包括一个RFID（射频识别）读取器元件或者连接 至一个RFID（射频识别）读取器元件的客户驻地设备，其中所述有关 合同的标识信息是有关用户的标识信息（尤其是指定一个人），其中 优选地通过所述RFID读取器元件检索所述有关用户的标识信息或者 使用所述RFID读取器元件生成所述有关用户的标识信息。

本发明的其他主题包括：一种程序，该程序包括一种用于控制接 入节点和/或控制功能从而执行本发明的方法的计算机可读程序代码； 以及，一种计算机程序产品，包括所述程序。

附图说明

图1示意性示出了具有已被连接的CPE的电信网络的一个实施例。

图2示意性示出了接入节点和多个家庭网关之间的物理通信信道 的更加详细的描绘的实施例。

图3示意性示出了与向CPE提供网际协议连接以及初始化通信服 务有关的通信图。

图4示意性示出了与如下初始化过程有关的通信图，该初始化过 程用于以如下一种方式初始化电信网络的多个接入节点中的一个接入 节点，使得可经由该接入节点提供CPE到电信网络的通信接入，尤其 是到电信网络的网际协议连接。

图5示意性示出了与执行数据完整性检验有关的通信图。

图6和图7分别借助于通信图示出了根据本发明的联合过程和去 联合（de-federation）过程。

具体实施方式

着眼于具体的实施方案并且参考一些附图来描述本发明，但是本 发明不限于此，而是仅由权利要求限制。所描述的附图仅仅是示意性 的，并非限制性的。在附图中，出于阐释目的，一些元件的尺寸可被 放大，且未必按比例绘制。

在提及单数名词时使用不定冠词或定冠词例如“一个”、“一”、 “该”的情况下，除非特别另有声明，否则这包括该名词的复数。

此外，说明书和权利要求书中的术语第一、第二、第三等用于在 类似元件之间进行区别，未必用于描述一个相继次序或时间次序。应 理解，在适当情况下，如此使用的术语是可互换的，以及本文描述的 本发明的实施方案能够以非本文阐释描述的顺序的其他顺序来操作。

在图1中，示意性地描绘了具有已被连接的客户的电信网络5的 一个实施例。使用能够建立IP连接的所谓的CPE或专用CPE（诸如PC、 机顶盒或任何其他装置10）来将客户连接至电信网络5。CPE10是诸 如被安装在用户家中的路由装置。另一客户驻地设备（CPE）可呈现为 连接至该CPE。

CPE10经由接入节点20连接至电信网络5。优选地，接入节点 20是安装在客户建筑物中或者安装在小于几千米的距离处（优选地小 于1000米，更优选地小于500米）的数字用户线路接入复用器（DSLAM）， 或者是用作电信网络的接入节点的OLT（光纤线路终端）。

接入节点20连接至电信网络5内的网际协议边缘节点30。网际 协议边缘节点30操控网际协议地址以及与不同网际协议地址相关联 的CPE可接入的不同功能层的分配。该网际协议边缘节点30可理解成 一个路由装置，该路由装置具有关于不同虚拟接口上的不同网际协议 地址的多个接入和许可规则。尤其地，网际协议边缘节点30控制OSI 模型的层3和层4上的哪些地址和功能可被CPE10使用。

电信网络5还包括一个控制功能40。根据本发明，控制功能40 借助于集中验证、授权和记账（AAA）功能或相关联的AAA节点来实现。 与控制功能40相关联的验证和/或授权功能，例如借助于RADIUS（远 程验证拨号用户服务（RADIUS））服务器节点或者借助于DIAMETER服 务器节点（或者借助于实现RADIUS功能性的相应功能）来实现。根据 本发明，可能且优选地，控制功能40替代网际协议边缘节点30来操 控网际协议地址以及与不同网际协议地址相关联的CPE可接入的不同 功能性水平的分配。

网际协议边缘节点30还控制针对控制功能40的会话记账 （session-accounting）。另外，网际协议边缘节点30能够使用从接 入节点20获得或接收的标识符信息或者证书信息，用于控制功能40 的验证目的。为了验证目的，即，将线路ID用作一个验证信息。此外， 网际协议边缘节点30传送来自接入节点20的端口ID。网际协议边缘 节点30还控制针对一个或多个定义数据类的上行数据流和下行数据 流的带宽（在网际协议水平上）。

根据本发明的一个优选实施方案，根据控制功能40所接收的（尤 其是，作为对控制功能40的接入请求消息的回复，由网际协议边缘节 点30所接收的）规则或者规则信息，网际协议边缘节点30管理或分 派CPE10的网际协议地址（IP地址）。

电信网络5还包括一个操作支持系统60。该操作支持系统60尤 其被用于管理接入网络的不同实体，即电信网络5的用于提供若干同 等重要的用户接入该电信网络5的部分。此外，电信网络5包括网络 身份供应商（下文还称为网络IDP）65。网络IDP65尤其用来处理对 电信网络5的多个接入节点20中的一个或多个接入节点20的不同端 口的验证和授权的管理。操作支持系统60被链接至接入节点20，从 而能够初始化接入节点20。操作支持系统60提供与接入节点20的管 理连接，优选地借助于网际协议（IP）连接。这例如通过使用管理地 址诸如网际协议（IP）地址来完成，所述管理地址被专门保留用于管 理或初始化指定接入节点20。

电信网络5还包括一个针对应用和/或IMS功能性的A&A功能（授 权和验证功能）70。A&A功能70，尤其被用于将电信网络5内的用户 和/或装置验证（即，验证实体的身份的过程，通常通过提供该实体持 有指定数字身份（诸如标识符和对应的证书）的证据）和授权（即， 一个具体的实体是否被授权来执行一个给定的动作）到一个应用和/ 或IMS。

此外，电信网络5包括一个应用身份供应商（下文还称为应用IDP） 75。该应用IDP75尤其用于处理电信网络5的不同用户和/或装置。 该应用IDP75和网络IDP65能够借助于联合接口（federation  interface）将有关合同的标识信息（下文还称为用户身份或用户ID） 与有关网络接入的标识信息联合，所述有关网络接入的标识信息即网 络终端位置或者网络端口（例如，接入节点的端口）的身份。

电信网络5还包括一个应用功能或应用实体50（尤其是电信网络 5的网际协议多媒体子系统（IMS）系统的一个应用）。

根据本发明，该电信网络5优选地包括一个客户关系管理功能80 或一个对应的单元。下文中，术语客户关系管理功能80，也被用于指 这样的一个单元。客户关系管理功能80，被提供作为一种建立客户身 份（用于处理新的客户）和相应合同的功能。客户关系管理功能80是 客户、产品和合同数据的控制者（master）。客户关系管理功能80包 括或者被指派至一个请求或指令管理组件（或者指令管理功能），如同 处理不同请求（例如，与新的客户数据元素的生成或履行过程有关） 并将对应的请求转发至电信网络5的其他部分的eTom模型（未明确示 出）中示出的“指令处理”和“服务配置和激活”的意思。

根据本发明，还优选地，电信网络5还包括客户自助接口85或客 户自助端口85。客户自助端口85提供了电信网络5的用户（或客户） 配置网络接入的可能性。

根据本发明，出于配置和/或安装目的，配置装置11可连接至接 入节点20。在正常操作使用电信网络5时，配置装置11未连接至（所 有）接入节点20。

优选地，客户自助端口85支持根据应用IDP的用户验证，并且作 为联合的先决条件，确定对应于在根据控制功能40的验证过程期间使 用的网际协议地址的线路ID。优选地，可能地，还通过如下方式初始 化用户ID和线路ID之间的联合过程：

-借助于将一个指令ID传送至该应用IDP，该指令ID与一个用 户ID有关；和/或

-借助于将一个指令ID传送至该网络IDP，该指令ID与一个线 路ID有关。

此外，优选地,提供从该应用IDP至该网络IDP的预备接口（provision  interface），使得可借助于线路ID或借助于至该线路ID的句柄（优 选地一个不透明句柄）来改变该线路ID可接入的服务（即，与例如指 派给网络端口或者CPE10或者与接入节点20连接的任何其他装置的 IP地址相关联的功能性水平）的更新。根据本发明，优选地，借助于 客户自助端口，用户ID和线路ID之间的（完全或者部分）去联合（这 导致，即去除了使用指定服务的权利，或者缩减了权利，或者缩减了 可使用的带宽）也是可能的。在下文中，仅明确提及了联合的情形， 但是根据本发明去联合的情形也是可能的。

执行联合过程需要用户ID或者任何其他有关合同的信息以及线 路ID。根据该联合过程的第一替代方案，通过客户自助端口进行明确 的用户验证（即，确定用户ID）。当通过客户自助端口进行这样一个 用户验证时，通过使用网络资源来联系客户自助端口，即通过使用接 入节点20的网络端口，线路ID也是可用的。根据该联合过程的第二 替代方案，经由位置搜索来确定线路ID。另一搜索还提供用户ID（例 如，在询问了客户其用户名或者指派给用户ID的诸如特别秘密的任何 其他已知信息之后）或者任何其他有关合同的信息。该联合过程的第 一替代方案和第二替代方案都导致可将用户ID或任何其他有关合同 的信息与线路ID联合。该联合过程以及与用户ID或者任何其他有关 合同的信息相关联的服务有关的每一随后改变，导致应用IDP75向网 络IDP65的请求。因而，该应用IDP75优选地使用与用户ID或任何 其他有关合同的信息联合的线路ID或对应的句柄。结果，网络IDP65 进行对控制功能40中所存储的（或者与控制功能40相关联的）数据 的更新，即：

-对与线路ID有关的持久性数据库中所存储的许可的更新；

-对会话数据库中所存储的与现有网际协议连接有关的许可的更 新，例如借助于对网际协议边缘节点30的授权改变请求。

作为联合过程的结果，线路ID与用户ID或任何其他有关合同的 信息被联合，网络IDP65和控制功能40包括针对每一个线路ID的与 所许可的网络服务有关的授权信息（例如，可寻址的网际协议地址范 围和可用带宽，包括接入多播复制点的可能性）。CPE10与网际协议 边缘节点30的可能存在的网际协议连接被重新参数化。根据本发明， 优选地，有利地可借助于1:1的关系以及借助于1:n的关系将用户ID 或任何其他有关合同的信息与线路ID联合。这意味着，同一个用户可 具有多个不同线路ID上的网络服务接入。

在图2中，示意性示出了接入节点20和多个家庭网关10之间的 物理通信信道的更加详细描绘的一个实施例。如从图2的描绘可以看 到的，接入节点20（优选地）被连接至例如位于不同的家庭中的多个 不同的家庭网关10。在图2的左手侧上，示意性描绘了多个单独的房 屋。在这些房屋的每一个中定位有一个家庭网关10，家庭网关10提 供了对电信网络5的单独接入。在图2的右手侧上，示意性描绘了具 有多个不同公寓的公寓建筑物，每一公寓具有一个提供对电信网络5 的单独接入的家庭网关10。不同的线路从接入节点20延伸至（房屋 的或公寓建筑物的）家庭网关10。

根据本发明，电信网络5优选地被设置为所谓的NGN（下一代网 络）。一般，NGN电信网络5包括四个不同的平面或网络层，即指派用 于接入的第一网络平面1（接入平面1）、指派用于数据的传输的第二 网络平面2（传输平面2）、指派用于控制的第三网络平面3（控制平 面3），以及指派用于应用的第四网络平面4（应用平面4）。

在图3中，借助于CPE10、接入节点20、网际协议边缘节点30 和控制功能40之间交换的多个不同的消息，示意性阐释了有关提供到 CPE10的网际协议连接和初始化通信服务的通信图。

在初始化提供到CPE10的网际协议连接的第一步骤中，CPE10 请求向接入节点20提供网际协议地址。这由第一消息101表示。

在第二步骤中，接入节点20向该请求增加其他的信息，以提供网 际协议地址。带有所增加的信息的请求被传送至网际协议边缘节点30。 对于有线物理通信信道的情形，所增加的其他信息尤其包括线路ID和 端口ID信息（根据本发明，这构成了可信的信息，因为电信网络5以 一种可信的方式知晓该信息（线路ID和端口ID））。除了有关网络接 入的标识信息（或线路ID）以外，可通过接入节点增加尤其是关于网 络参数的其他信息，例如上行和下行20的物理连接速度。这由第二消 息102表示。

在第三步骤中，网际协议边缘节点30尤其基于线路ID向控制功 能40发送一个授权请求。这由第三消息103表示。

在第四步骤中，控制功能40检索或确定与请求103中的线路ID 有关的授权信息。该授权信息尤其包括关于如下方面的信息：

-CPE10以及其他过滤器（例如，层4）应当可用的网际协议地 址的范围，包括对多播的可接入性；以及

-关于经允许或经授权的带宽（例如，关于上传带宽和/或关于下 载带宽）的带宽信息。

经检索或经确定的授权信息被控制功能40返回至网际协议边缘 节点30，它由第四消息104表示。在网际协议边缘节点完成指派给CPE 的网际协议地址的预备的情形中，第四消息104未包括关于指派给CPE 10的网际协议地址的指示。替代地，在网际协议边缘节点未完成指派 给CPE10的网际协议地址的预备的情形中，由控制功能提供对待被 CPE使用的网际协议地址的预备，第四消息104包括关于指派给CPE10 的网际协议地址的指示。

在第五步骤中，网际协议边缘节点根据由控制功能40所接收的信 息提供对于网际协议业务路由的实现。尤其是，网际协议边缘节点根 据第四消息104的信息，来设置可接入CPE以及其他过滤器（例如， 层4）的网际协议地址的范围以及对应的可用带宽。此外，借助于第 五消息105，网际协议边缘节点30向CPE10提供网际协议地址（所 述网际协议地址待被指派给CPE10或待被CPE10使用）。根据本发明 优选地，第五消息105还包括附加的网络信息，诸如默认网关和/或 DNS地址（域名系统DNS的地址）。

在第四消息104中包含的设置信息指示关于多播复制参数设置的 修改（通常在接入节点20处完成）是必要的情形中，网际协议边缘节 点30借助于第六消息106将所述信息提供给接入节点。

在第七步骤中，网际协议边缘节点30向控制功能40发送第七消 息107。第七消息107包括与网际协议地址有关的记账开始请求，以 开始在控制功能40处的会话。

在第八步骤中，控制功能40开始与网际协议地址有关的会话，并 且存储指派给CPE的网际协议地址、可由CPE以及其他过滤器（例如， 层4）接入的网际协议地址的范围或者其相关的授权信息、线路ID和 端口ID，以及描述接入节点端口能力的网络参数。

结果，在CPE10和电信网络之间建立网际协议连接：CPE10配 有网际协议地址，即IP地址（动态或静态），且所有强制性信息存在 于CPE10处，从而寻址随机网际协议地址（如果所购买的服务或功能 性水平允许），并且将主机名解析成网际协议地址。

根据本发明，有利地，可使用不包括针对个人的证书信息（即， 直接链接到指定用户或合同的信息）的CPE装置。

在图4中，示出了一个有关初始化过程的通信图，该初始化过程 以如下一种方式有效地初始化电信网络5的多个接入节点20中的一个 接入节点20，使得可经由接入节点20提供一个CPE10（优选地，多 个CPE10，例如10个或100个或1000个或10000个CPE10）到电信 网络5的通信接入以及尤其地到电信网络5的网际协议连接。该通信 图描绘出在接入节点20、控制功能40、操作支持系统60和网络IDP65 之间交换的多个不同的消息。

在初始设置电信网络以实现与连接至接入节点20的多个CPE10 中的一个的网际协议连接的初始化的情形中，借助于管理通信信道将 接入节点20连接至（在第十一步骤中）操作支持系统60。例如借助 于使用管理地址（诸如网际协议管理地址）来实现管理通信信道。对 于接入节点20（被所述管理通信信道初始化）能够提供的每一物理通 信信道（可能地至CPE10或另一装置），接入节点20能够将下列各个 信息传送至操作支持系统60：线路ID、端口ID、物理通信信道的状 态，以及其他的网络参数（诸如可能的最大物理带宽）。这由第十一消 息111表示。基于由接入节点20所接收的关于指定物理通信信道的信 息，操作支持系统60能够从接入节点的一个端口获得端口ID，或者 将端口ID配置到接入节点的一个端口，将线路ID配置到由端口ID表 示的端口，配置可用带宽的物理限制以及其他参数。此外，操作支持 系统60能够存储与线路ID有关的位置信息（与物理通信信道有关）。 在没有线路ID可用的情形中，操作支持系统60可提供一种配置，使 得线路ID等同于端口ID。除了实现该配置使得在没有线路ID可提供 的情形中将端口ID和线路ID设置为等同，还可能的是不指定线路ID。 在该情形中，如果控制功能40接收到关于没有指定的线路ID或具有 未知的线路ID的物理通信信道（或者网络端口）的请求，则控制功能 不拒绝所述请求，而是例如根据一种配置和安装功能性水平或者故障 策略，以一种受限制的方式批准网络接入，即仅允许维护功能性（即， 相对于先前提到的提供基本连接的功能性水平（与合同没有关系且与 能够使用客户自助能力没有关系）的一个大大缩减的功能性水平）—— 称为“第一功能性水平”。

初始化接入节点20的过程意味着操作支持系统60检测（或发现） 接入节点20的每一网络端口（或者物理通信信道）的技术状态以及逻 辑状态，或者意味着操作支持系统60检测（或发现）接入节点20的 至少大部分网络端口（或者物理通信信道）的技术状态以及逻辑状态。 由于可自动进行接入节点20的初始化过程，所以该过程还称为自动发 现接入节点20或者自动发现接入节点20的网络端口。

根据本发明，优选地，操作支持系统60知晓关于网络端口（或者 物理通信信道）的技术状态的至少下列可能性：

-网络端口是可用的（“OK”），即，未检测到与物理通信信道或网 络端口相关联的错误；

-网络端口是不可用的（“不OK”），即，检测到与物理通信信道 或网络端口相关联的错误；

-网络端口忙（“同步（Sync）”），即，在接入节点20的网络端口 和例如CPE10之间建立了连接。

根据本发明，优选地，操作支持系统60知晓关于网络端口（或者 物理通信信道）的逻辑状态的至少下列可能性：

-已预备了网络端口（“已预备（Provisioned）”），即，在操作支 持系统60处存在关于端口ID、位置和线路ID的信息；

-未预备网络端口（“未预备（unprovisioned）”），即，在操作支 持系统60处存在关于端口ID的信息，但不存在关于线路ID的信息（根 据本发明的一个实施方案但是并非必要的，这导致将线路ID设置为等 同于端口ID）。

在第十二步骤中，操作支持系统60将线路ID信息、位置信息以 及关于经初始化的接入节点20的不同网络端口的技术状态和逻辑状 态的信息传送至网络IDP65。这由第十二消息112表示。

在第十三步骤中，消息被发送至控制功能40，请求在控制功能40 的存储器单元中生成一个（新的）网络端口条目，或者消息被指派给 控制功能40。新的网络端口条目表示借助于接入节点20的初始化过 程，由电信网络5新发现的网络端口，或者新集成到电信网络5的管 理中的网络端口。第十三步骤由第十三消息113表示。第十三消息113 优选地由网络IDP65发送。在可选的第十四步骤中，控制功能40确 认网络端口条目的生成。这由第十四消息114表示。

结果，接入节点20被配置或初始化为使用新发现的网络端口，即 允许接入节点20和CPE10之间的新的物理通信信道。操作支持系统 60知晓接入节点20的网络端口的技术状态和逻辑状态，以及线路ID、 端口ID、位置和其他网络参数。网络IDP65知晓新初始化和配置的 接入节点20处的所有网络端口的技术状态和逻辑状态，以及线路ID 和与该线路ID有关的位置；此外，网络IDP65已检测到哪一个网络 端口潜在地可联合（即，可被联合），以及哪一个网络端口已被联合。 控制功能40知晓网络IDP65的所有线路ID（和网络端口），以及针 对CPE10和其他过滤器（例如，层4）可寻址的网络协议范围的相应 授权信息，和可能带宽。根据本发明，总可提供一个IP连接。在仅一 个端口ID可用的情形中，这样的IP连接仅可用于（电信网络的）内 部用途。在额外的一个线路ID可用的情形中，根据默认策略（第一功 能性水平），还可用从CPE10链接至接入节点20的IP连接，提供对 于“围墙花园”的接入。

在图5中，示意性描绘了与执行数据完整性检验有关的通信图。 关于图5中的描述，提及了第一至第九步骤，并且仅参考图5的描述 提及对应的第一至第九消息或处理（processing）119a至119i。

在图5中，借助于CPE10、A&A功能70、控制功能40、操作支持 系统60和数据检验功能61之间交换的多个不同消息，示意性示出与 执行数据完整性检验有关的通信图。优选地，借助于TR-069服务器或 TR-069单元来实现数据检验功能61。TR-069（技术报告069的简称） 是标题为CPE广域网管理协议（CWMP）的技术规范。它为终端用户装 置的远程管理定义了一个应用层协议。作为基于双向SOAP/HTTP的协 议，它提供了客户驻地设备（CPE）和自动配置服务器（ACS）之间的 通信。它包括安全自动配置和对集成框架中的其他CPE管理功能的控 制。在电信网络5的操作期间（即，通过CPE10请求电信服务，并且 通过电信网络5提供电信服务），根据本发明，优选地，CPE10常规 地连接至数据检验功能61，并且仅仅传送CPE10的序列号和/或MAC 地址，或者传送CPE10以及附加地作为“家庭指纹（home  fingerprint）”的连接设备（诸如计算机、路由器、硬盘装置）等的 序列号和/或MAC地址。数据检验功能61检验这些数据，并且能够检 测CPE10的配置中的变化，和/或能够检测CPE10以及相关联或所连 接的装置的配置中的变化。此外，数据检验功能61从控制功能（40） 检索与网际协议会话（IP会话）有关的或与CPE10所连接的连接有 关的线路ID信息（或者对应的句柄）和/或端口ID信息（或者对应的 句柄），并且检测所收集的信息的组合中的任何类型的变化。所述变化 被报告至操作支持系统60，从而与电信网络内的已知变化进行比较检 验。

在第一步骤中，涉及一个处理119a，CPE10检测或检索有关信息 （家庭网络的部件中的序列号、MAC地址等，优选地包括CPE自身的 序列号和MAC地址）。在第二步骤中，涉及第二消息119b，CPE10将 在第一步骤中所检测到的信息传送至数据检验功能61。在第三步骤中， 涉及第三消息119c，数据检验功能61在A&A功能70处请求线路ID 和端口ID。在第四步骤中，涉及第四消息119d，A&A功能70将请求 线路ID和端口ID的消息转发至控制功能40。在第五步骤中，涉及一 个处理119e，控制功能40检索对应于网际协议地址的线路ID和端口 ID。在第六步骤中，涉及第六消息119e，控制功能40将线路ID和端 口ID返回至A&A功能70。在第七步骤中，涉及第七消息119g，A&A 功能70将线路ID和端口ID返回至数据检验功能61。在第八步骤中， 涉及一个处理119h，数据检验功能61检测CPE10和/或家庭网络的 相关联的装置是否已发生了改变，并且更新关于这些信息的配置数据 库。在第九步骤中，涉及第九消息119i，在CPE10（或者相关联的装 置）的配置中已发生改变的情形中，或者在CPE10（或者相关联的装 置）的配置中已发生显著大的改变的情形中，数据检验功能61将一个 报告消息发送至操作支持系统60。

例如且根据本发明的一个优选实施方案，在仅仅CPE10或相关联 的装置的序列号变化但是MAC地址未发生改变的情形中（因为这样一 个事件被解释为仅是CPE10或相关联的装置的交换），没有报告消息 发送至操作支持系统60。在本发明的这样一个实施方案中，例如在CPE 10或相关联的装置的序列号以及CPE10或相关联的装置的MAC地址 都改变的情形中，会有报告消息发送至操作支持系统60。根据本发明 的另一优选实施方案，在仅CPE10或相关联的装置的序列号改变（但 是MAC地址未改变）的情形中，也有报告消息发送至操作支持系统60。 从而，可能地，通过电信网络5来合理化CPE10的交换。

结果，可辨认出在使用电信网络5时的改变，从而可使得其他的 改变或事件（例如，与用户的合同情况有关）生效。

根据本发明的一个优选实施方案，有关合同的标识信息是有关用 户的标识信息，尤其是指定一个人。借助于使用CPE10使得CPE10 包括一个RFID（射频识别）读取器元件或者使得CPE10连接至RFID （射频识别）读取器元件，可能地，生成或者检索有关合同的标识信 息，所述有关合同的标识信息是有关用户的标识信息的形式，指定一 个人或者被RFID读取器元件检索。从而，根据本发明有利地，可以在 完全没有任何证书信息的情况下实现CPE10的硬件，并且可以经由从 诸如电子护照或具有RFID功能的身份证中所包含的标识信息检索或 生成的有关合同的标识信息来排他地实现验证。所述功能性的一个实 施例在下文中给出：

在电信网络5和CPE10之间建立一个网际协议连接（具有第一功能性 水平）的情形中，CPE10或其用户可接入客户自助端口。经由RFID 读取器元件（集成在CPE10中或者集成在连接至CPE10的另一装置 中），用于控制RFID读取器元件的应用可被用于从安全的实现RFID 的文件（诸如官方文件，例如电子护照，或者诸如由网络运营商所提 供的实现RFID的文件（例如储值卡或优惠券等））中检索有关用户的 标识信息。借助于输入个人标识号（PIN）或者用户知晓的其他证书的 要求，例如可保护从安全文件中的有关用户的标识信息的检索。从安 全文件中所检索的信息被直接传送至电信网络5，或者先前被转换或 加密成有关合同的标识信息。

根据本发明，有利地，在没有任何先前的合同或操控步骤的情况 下，可能地，可以借助于具有较少证书的CPE10来将用户连接至电信 网络5，且用户5仅基于包含在安全文件中的个人证书来享有电信网 络5的增强的功能性水平（即，不同于第一初始的功能性水平或缩减 的功能性水平）或服务水平，安全文件能够例如经由RFID读取器元件 与CPE10直接或者间接地通信。

在图6和图7中借助于通信图来示意性示出了根据本发明的联合 过程以及去联合过程。

在图6中，借助于客户关系管理功能80、应用IDP75、网络IDP 65、控制功能40和网际协议边缘节点30之间交换的多个不同的消息， 示意性示出了与执行联合过程有关的通信图。客户关系管理功能80被 用于处理所有关于电信网络的其他部分的指令。

所述联合过程要求用户借助于用户ID在应用IDP75中进行注册， 要求当前授权状态（例如，第一功能性水平）被存储在电信网络中， 例如存储在操作支持系统中，该当前授权状态指示CPE10可接入哪些 服务（例如，（默认的）第一功能性水平下的围墙花园）。所述应用IDP 75和网络IDP65能够借助于如下方式将线路ID（或者至线路ID的句 柄）（在电信网络5中可用）链接（或联合）至用户ID：

-将线路ID（或者至线路ID的句柄）存储在应用IDP75中；以 及

-指派至用户ID的句柄，并且将该用户ID（或者至用户ID的句 柄）与线路ID建立关系。

在第一步骤中，涉及第一消息130a，客户关系管理功能80初始 化一个联合指令。在第二步骤中，涉及一个处理130b，客户关系管理 功能80搜索线路ID信息和用户ID信息。这可选地由客户自助功能来 实现。在第三步骤中，涉及一个处理130c，客户关系管理功能80生 成一个联合指令。在第四步骤中，涉及第四消息130d，客户关系管理 功能80将联合指令信息以及用户ID（或者至用户ID的句柄）传送至 应用IDP75。在第五步骤中，涉及第五消息130e，客户关系管理功能 80将联合指令信息以及线路ID（或者至线路ID的句柄）传送至网络 IDP65。在第六步骤中，涉及第六消息130f，应用IDP75将联合请 求信息以及指令ID和用户ID（或者至用户ID的句柄）传送至网络IDP 65。在第七步骤中，涉及一个处理130g，网络IDP65通过在第六消 息130f中由应用IDP75所提供的相同的指令ID从第五消息130e中 获得线路ID（或者至线路ID的句柄），并且将由第六消息130f所提 供的用户ID（或者至用户ID的句柄）存储至线路ID（或者至线路ID 的句柄）。在第八步骤中，涉及第八消息130h，网络IDP65借助于传 送命令ID和线路ID（或者至线路ID的句柄）来应答应用IDP75的 请求。在第九步骤中，涉及第九消息130i，网络IDP65借助于传送 对联合的确认来应答对客户关系管理功能80的请求。在第十步骤中， 涉及一个处理130j，应用IDP75通过在第八消息130h中由网络IDP65 所提供的相同的指令ID从第四消息130d中获得用户ID（或者至用户 ID的句柄），并且将由第八消息130h所提供的线路ID（或者至线路 ID的句柄）存储至用户ID（或者至用户ID的句柄）。在第十一步骤中， 涉及第十一消息130k，应用IDP75将关于与线路ID相关联的授权权 利（或者许可）的更新信息传送至网络IDP65。在第十二步骤中，涉 及一个处理130l，网络IDP65存储与线路ID相关联的授权权利（或 者许可）。在第十三步骤中，涉及第十三消息130m，网络IDP65将关 于与线路ID相关联的授权权利（或者许可）的更新信息传送至控制功 能40。在第十四步骤中，涉及第十四消息130n，控制功能40将关于 与线路ID相关联的授权权利（或者许可）的更新信息传送至网际协议 边缘节点30。在第十五步骤中，涉及第十五消息130o，控制功能40 确认对网络IDP65的授权状态的更新。在第十六步骤中，涉及第十六 消息130p，网际协议边缘节点30向控制功能传送针对现有的网际协 议会话（针对指定线路ID，并且具有旧的（即，在联合过程之前）的 授权概要（例如，根据第一功能性水平））的记账停止信息，以及针对 具有新的授权概要（例如，根据第二功能性水平）的新的网际协议会 话的记账开始信息。在第十七步骤中，涉及第十七消息130q，网络IDP 65确认对应用IDP75的授权状态的更新。在第十八步骤中，涉及第 十八消息130r，应用IDP75确认与客户关系管理功能80的联合。在 第十九步骤中，涉及一个处理130s，客户关系管理功能80关闭联合 指令。

根据本发明的另一优选实施方案，

-省略了包括第五步骤（第五消息130e）至第十步骤（处理130j） 的所有步骤，使用线路ID而非至线路ID的句柄；以及

-在第四步骤中，涉及第四消息130d，客户关系管理功能80将 线路ID和用户ID传送至应用IDP75，线路ID和用户ID作为对联合 而非联合指令消息以及用户ID（或者至用户ID的句柄）的触发器。 这指的是例如所谓的可信情形，其中对线路ID的传送（即，在不使用 句柄的情况下）可被认为是安全的，例如在一个网络运营商的控制下 来传送。

在图7中，借助于客户关系管理功能80、应用IDP75、网络IDP 65、控制功能40和网际协议边缘节点30之间交换的多个不同的消息， 示意性示出了与执行去联合过程有关的通信图。客户关系管理功能80 被用于处理关于电信网络的其他部分的所有指令。

去联合过程要求用户借助于用户ID在应用IDP75中注册，并且 要求当前授权状态（例如，第二功能性水平）被存储在电信网络5中， 例如被存储在操作支持系统中，所述当前授权状态指示CPE10可接入 哪些服务（例如，根据第二功能性水平的双网合一IP接入或者三网合 一IP接入）。应用IDP75和网络IDP65能够借助于移除指定用户ID 和指定线路ID之间的关系而将线路ID（或者至线路ID的句柄）（在 电信网络5中可用）与用户ID断开链接（或者去联合）。

在第一步骤中，涉及第一消息140a，客户关系管理功能80初始 化去联合指令。在第二步骤中，涉及一个处理140b，客户关系管理功 能80搜索线路ID信息和用户ID信息。这可选地由客户自助功能来完 成。在第三步骤中，涉及一个处理140c，客户关系管理功能80生成 一个去联合指令。在第四步骤中，涉及第四消息140d，客户关系管理 功能80将去联合指令信息以及用户ID（或者至用户ID的句柄）传送 至应用IDP75。在第五步骤中，涉及第五消息140e，客户关系管理功 能80将去联合指令信息以及线路ID（或者至线路ID的句柄）传送至 网络IDP65。在第六步骤中，涉及第六消息140f，应用IDP75将去 联合请求信息以及指令ID和用户ID（或者至用户ID的句柄）传送至 网络IDP65。在第七步骤中，涉及一个处理140g，网络IDP65通过 在第六消息140f中由应用IDP75所提供的相同的指令ID从第五消息 140e中获得线路ID（或者至线路ID的句柄），并且从线路ID（或者 从至线路ID的句柄）中删除由第六消息140f所提供的用户ID（或者 至用户ID的句柄）。在第八步骤中，涉及第八消息140h，网络IDP65 借助于传送指令ID和线路ID（或者至线路ID的句柄）来应答应用IDP 75的请求。在第九步骤中，涉及第九消息140i，网络IDP65借助于 传送对去联合的确认来应答客户关系管理功能80的请求。在第十步骤 中，涉及一个处理140j，应用IDP75通过在第八消息140h中由网络 IDP65所提供的相同的指令ID从第四消息140d中获得用户ID（或者 至用户ID的句柄），并且从用户ID（或者从至用户ID的句柄）中删 除由第八消息140h所提供的线路ID（或者至线路ID的句柄）。在第 十一步骤中，涉及第十一消息140k，应用IDP75将关于与线路ID相 关联的授权权利（或者许可）的更新信息传送至网络IDP65。所述授 权权利（或者许可）通常对应于默认概要，即第一功能性水平。在第 十二步骤中，涉及一个处理140l，网络IDP65存储与线路ID相关联 的授权权利（或者许可）。在第十三步骤中，涉及第十三消息140m， 网络IDP65将关于与线路ID相关联的授权权利（或者许可）的更新 信息传送至控制功能40。在第十四步骤中，涉及第十四消息140n，控 制功能将关于与线路ID相关联的授权权利（或者许可）传送至网际协 议边缘节点30。在第十五步骤中，涉及第十五消息140o，控制功能 40确认对网络IDP65的授权状态的更新。在第十六步骤中，涉及第 十六消息140p，网际协议边缘节点30向控制功能40传送针对现有的 网际协议会话（针对指定线路ID，并且具有旧的（即，在去联合过程 之前的）授权概要（例如，根据第二功能性水平））的记账停止信息， 以及针对具有新的授权概要（例如，根据第一功能性水平）的新的网 际协议会话的记账开始信息。在第十七步骤中，涉及第十七消息140q， 网络IDP65确认对应用IDP75的授权状态的更新。在第十八步骤中， 涉及第十八消息140r，应用IDP75确认对客户关系管理功能80的去 联合。在第十九步骤中，涉及一个处理140s，客户关系管理功能80 关闭所述去联合指令。

根据本发明的另一优选实施方案，

-省略了包括第五步骤（第五消息140e）至第十步骤（处理140j） 的所有步骤，使用线路ID而非至线路ID的句柄；并且

-在第四步骤中，涉及第四消息140d，客户关系管理功能80将 线路ID和用户ID传送至应用IDP75，线路ID和用户ID作为对去联 合而非去联合指令消息以及用户ID（或者至用户ID的句柄）的触发 器。

这指的是例如所谓的可信情形，其中对线路ID的传送（即，在不使用 句柄的情况下）可被认为是安全的，例如，如果在一个网络运营商的 控制下来传送。