CN100479441C - 无线局域网中无线局域网接入网关策略更新方法 - Google Patents
无线局域网中无线局域网接入网关策略更新方法 Download PDFInfo
- Publication number
- CN100479441C CN100479441C CNB2005100680237A CN200510068023A CN100479441C CN 100479441 C CN100479441 C CN 100479441C CN B2005100680237 A CNB2005100680237 A CN B2005100680237A CN 200510068023 A CN200510068023 A CN 200510068023A CN 100479441 C CN100479441 C CN 100479441C
- Authority
- CN
- China
- Prior art keywords
- wag
- aaa server
- wlan
- strategy
- policy information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明一种无线局域网中无线局域网接入网关策略部署和更新的方法。包括:A、WLAN用户向AAA服务器发起接入认证流程;B1、WLAN用户向分组数据网关发起隧道建立信息;B、WAG判断是否有针对WLAN用户的策略,如果没有,进入步骤C,如果有,保持该WAG现有策略,在WAG收到WLAN用户的数据包时,根据WLAN用户相关标识或WLAN用户数据包相关标识进行策略判断;C、WAG向AAA服务器发送策略信息请求;D、AAA服务器获取向WAG部署的策略信息;E、AAA服务器将策略信息部署至相应的WAG。通过本发明的方法,可以更新WAG策略,或者在WAG上没有部署策略的时候,WAG能够判断出来并得到策略。
Description
技术领域
本发明涉及通信领域,尤其涉及一种无线局域网(WLAN)中无线局域网接入网关(WAG)策略部署和更新方法。
背景技术
随着通信技术的发展,用户对无线接入速率的要求越来越高,无线局域网(WLAN,Wireless Local Area Network)应运而生,它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE 802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
尽管有多种不同的无线接入技术,大部分WLAN都用来传输因特网协议(IP)分组数据包。对于一个无线IP网络,其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP)完成用户终端的无线接入,通过网络控制和连接设备连接组成IP传输网络。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如:GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统、CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP)标准化组织中,用户终端可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络连接,具体地说就是,WLAN用户终端在本地接入时,经由WLAN接入网络与3GPP的归属网络相连;在漫游时,经由WLAN接入网络与3GPP的访问网络相连,3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连,比如:3GPP访问网络中的3GPP认证授权计费(AAA)代理和3GPP归属网络中的3GPP认证授权计费(AAA)服务器;3GPP访问网络中的无线局域网接入网关(WLAN Access Gateway,WAG)与3GPP归属网络中的分组数据网关(Packet Data Gateway,PDG)等等。
互通系统结构图如图1,2,3所示。图1是非漫游情况互通系统结构,图2是漫游情况互通系统结构的方案,图3是漫游情况互通系统结构的另外一种方案。图中无线局域网接入网关(WAG)具有的主要功能包括两个方面:1、数据包的路由转发;2、执行针对数据包的策略。本发明就是针对第2项功能而展开的。根据现有的3GPP相关方案,在完成了WLAN接入认证和授权,或者是完成了隧道建立过程后,3GPP AAA Server/Proxy需要将策略部署到WAG上,但是,目前的技术规范中,只提出了要部署策略到WAG上,但却没有解决如何将策略部署到WAG上的问题,即3GPP AAA Server/Proxy并不知道要向哪个WAG部署策略。
发明内容
本发明提供一种无线局域网(WLAN)中无线局域网接入网关(WAG)策略部署和更新的方法,用以解决现有技术中存在的在WLAN终端接入过程中,无法明确找到与WLAN接入网相关联的WAG上加载策略的问题。为此本发明采用如下技术方案:
一种无线局域网中无线局域网接入网关更新方法,包括以下步骤:
A、无线局域网WLAN用户向AAA服务器发起接入认证流程;
B1、WLAN用户向分组数据网关发起隧道建立信息;
B、无线局域网接入网关WAG判断是否有针对该WLAN用户的策略,如果没有,进入步骤C,如果有,则保持该WAG现有策略,所述判断是否有针对该WLAN用户的策略为,在WAG收到WLAN用户的数据包时,根据该WLAN用户的相关标识或该WLAN用户数据包的相关标识进行策略判断;
C、WAG向AAA服务器发送策略信息请求;
D、AAA服务器获取向WAG部署的策略信息,如果获取策略信息成功,则进入步骤E;
E、AAA服务器将所述的策略信息部署至相应的WAG。
所述的步骤B中,WAG对非隧道建立的数据进行判断。
所述的步骤B中,当下述状态之一或者组合出现时,判断为没有针对WLAN用户的策略:
收到的IP数据包的源IP地址是WAG不能识别的;
收到的IP数据包的源端口是WAG不能识别的;
收到的IP数据包的目的IP地址是WAG不能识别的;
收到的IP数据包的目的端口是WAG不能识别的;
用户的隧道标识是WAG不能识别的。
所述的步骤D,进一步包括:
AAA服务器向PDG获取向WAG部署的策略信息。
所述的步骤D,进一步包括:
AAA服务器启动第一定时器,并在设定时间内等待PDG对该WLAN用户的策略信息部署指示,如果设定时间内收到来自PDG的策略信息部署指示,则进入步骤E,否则,返回策略信息请求失败应答。
所述的步骤E中,所述的AAA服务器将所述的策略部署在所有的WAG上。
所述的方法,所述的步骤E中,所述的AAA服务器将所述的策略部署在部分WAG上。
所述的步骤E,还包括在WAG上启动第二定时器,如果在设定的时间内没有收到符合该策略的数据包通过时,则清除部署在该WAG上的策略。
所述的方法,如果WLAN用户处于漫游状态,则所述的AAA服务器,为代理AAA服务器。
本发明提供了WAG策略部署和更新的方法,使得在WLAN接入认证和授权过程中,或在隧道建立过程中,3GPP AAA Server/Proxy及其他相关的实体能够发现和用户当前相关的WAG,进而将策略部署到相应的WAG上,或对WAG上的策略进行更新。
附图说明
图1为现有技术中非漫游情况下的WLAN相关网络结果示意图;
图2为现有技术中漫游情况下的WLAN相关网络结果示意图;
图3为现有技术中非漫游情况下的另一种WLAN相关网络结果示意图;
图4为本发明方案的流程示意图;
图5为本发明方案的实施例1的流程示意图;
图6为本发明方案的实施例2的流程示意图。
具体实施方式
下面结合说明书附图来说明本发明的具体实施方式。
如图4所示,是本发明方案的一个流程示意图,本发明方案在现有技术的基础上,增加了WAG策略判断的步骤,从图中可见,主要包括以下步骤:
S11、WLAN UE、WLAN AN、AAA服务器、HSS/HLR之间进行无线局域网接入认证授权过程。在WLAN接入认证授权过程中,WLAN用户标识,WLAN AN的标识和访问网络的标识都会发送到AAA服务器,如果需要,代理AAA服务器也会存储这些信息。本方案中WLAN用户标识包括但不限于以下内容:
网络接入识别符(Network Access Identifier,NAI);
国际移动用户识别符(International Mobile Subscriber Identifier,IMSI);
移动台综合业务数据网号码(MSISDN);
会话初始协议统一资源识别符(SIP URI);
以及以上标识符的任意组合。
本方案中WLAN的标识包括但不限于以下内容:
服务集识别符(Service Set ID,SSID);
RADIUS Operator-Name属性;
运营商自定义的WLAN标识;
以及以上标识符的任意组合。
S12、WLAN UE向PDG发送隧道建立请求或者隧道建立请求完成,WAG的策略请求可以被触发。
S13、WAG根据步骤S12的结果,判断WAG是否需要触发策略请求,如果需要触发策略请求,则进行后续的步骤,向AAA服务器发送策略信息请求,如果不需要触发策略请求,则保持目前状态不变。
在本方案中,具体的触发策略请求的条件可以分为如下两种情况:
情况1:WAG收到用户的任何信息,都根据WLAN用户相关标识或该用户数据包相关标识(源IP地址/源端口/目的IP地址/目的端口/隧道标识等)进行判断和策略申请;
情况2:WAG对隧道建立的相关信令予以放行,只考虑对非隧道建立的相关数据进行判断和申请策略;
S14、如果WAG在情况1下收到任何没有部署过策略的数据包(包括隧道建立信令和用户封装在隧道中数据包),或在情况2下收到没有部署过策略的用户的数据流时(非隧道建立的相关信令),就向AAA服务器发送策略信息请求消息。
本方案中,WAG通过如下方法识别出没有部署针对该WLAN UE的策略:
收到的IP数据包的源IP地址是WAG不能识别的;
收到的IP数据包的源端口是WAG不能识别的;
收到的IP数据包的目的IP地址是WAG不能识别的;
收到的IP数据包的目的端口是WAG不能识别的;
用户的隧道标识是WAG不能识别的。用户隧道标识可以但不局限于:Internet密钥交换安全联盟(IKE SA),IPsec安全联盟(IPsec SA),安全参数索引(SPI),以及以上任意组合。
S15、AAA服务器根据WAG的策略请求,获取相关的策略信息。
在本方案中,AAA服务器获取向WAG部署策略信息的方案,有两种方式:
方式1:AAA服务器收到WAG的策略信息请求,就去向PDG获取策略信息,如果PDG返回了策略信息,AAA服务器就向WAG返回策略信息请求成功应答,将策略信息部署到WAG上;如果PDG没有返回策略信息,或返回了失败消息,或返回了拒绝部署策略信息,则AAA服务器不向WAG返回策略信息,并可能说明原因。
方式2:AAA服务器收到WAG的策略信息请求后,启动一个定时器开始等待。如果在定时器超时前,AAA服务器收到了来自PDG的策略信息部署指示,则AAA服务器将策略信息部署到WAG,同时将定时器置为失效;如果定时器超时,AAA服务器仍未收到来自PDG的策略信息部署指示,则AAA服务器向WAG返回策略信息请求失败应答,并可能说明原因。
S16、根据步骤S14的结果,AAA服务器向WAG返回策略信息请求成功应答,或策略信息请求失败应答。
在步骤S14中,如果采用了方式1,那么,如果WAG收到了来自AAA服务器的策略信息成功应答,WAG就启动一个定时器,如果定时器超时,则WAG就清除部署在自身的策略;如果在定时器超时前,WAG发现有符合该策略的数据包通过,则定时器清零,重新开始计时,策略继续有效。
如果用户是在漫游情况下,则策略的申请和部署还需要通过代理AAA服务器。
本方案通过WAG对是否加载策略进行判断,并触发相应的策略加载流程,可以完善WAG策略信息,增加系统安全性和灵活性。
如图5所示,是本发明方案的一个实施例示意图,从图中可见,该实施例包括以下步骤:
S111、WLAN UE、WLAN AN、AAA服务器、HSS/HLR之间进行WLAN接入认证授权过程。在WLAN接入认证授权过程中,WLAN用户标识,WLANAN的标识和VPLMN的标识都会发送到AAA服务器如果需要,AAA代理也会存储这些信息;
S112、WLAN UE向PDG发起隧道建立请求;
S113、如果WAG识别出没有针对该WLAN UE的策略,就向AAA服务器发送策略信息请求消息。WAG是通过如下方法识别出没有部署针对该WLAN UE的策略的:
a)收到的IP数据包的源IP地址是WAG不能识别的;
b)收到的IP数据包的源端口是WAG不能识别的;
c)收到的IP数据包的目的IP地址是WAG不能识别的;
d)收到的IP数据包的目的端口是WAG不能识别的;
e)以上任意组合。
S114、AAA服务器决定向WAG部署策略信息的方案。AAA服务器收到WAG的策略信息请求,就去向PDG获取策略信息,如果PDG返回了策略信息,AAA服务器就向WAG返回策略信息请求成功应答,将策略信息部署到WAG上;如果PDG没有返回策略信息,或返回了失败消息,或返回拒绝部署策略信息,则AAA服务器不向WAG返回策略信息,并可能说明原因;
S115、根据步骤S114的结果,AAA服务器向WAG关返回策略信息请求成功应答,或策略信息请求失败应答。如果WAG收到了来自AAA服务器的策略信息请求成功应答,WAG就启动一个定时器,如果定时器超时,则WAG就清除部署在自身的策略;如果在定时器超时前,WAG发现有符合该策略的数据包通过,则定时器清零,重新开始计时,策略继续有效。
如果用户是在漫游情况下,则策略的申请和部署还需要通过AAA Proxy。
如图6所示,是本发明方案的第二个实施例的流程示意图,该实施例中采用隧道建立请求触发相应的流程,从图中可见,该实施例包括如下步骤:
S121、WLAN UE、WLAN AN、AAA服务器、HSS/HLR之间进行WLAN接入认证授权过程。
在WLAN接入认证授权过程中,WLAN用户标识,WLAN AN的标识和VPLMN的标识都会发送到AAA服务器。如果需要,代理AAA服务器也会存储这些信息;
S122、WLAN UE向PDG发起隧道建立请求;
S123、如果WAG识别出没有针对该WLAN UE的策略,就向AAA服务器发送策略信息请求消息。
WAG识别是否有部署针对该WLAN UE的策略的方案与实施例1可以相同处理。
S124、AAA服务器决定向WAG部署策略信息的方案。AAA服务器收到WAG的策略信息请求后,启动一个定时器开始等待。
如果在定时器超时前,AAA服务器收到了来自PDG的策略信息部署指示,则认AAA服务器将策略信息部署到WAG,同时将定时器置为失效;如果定时器超时,AAA服务器仍未收到来自PDG的策略信息部署指示,则AAA服务器向WAG返回策略信息请求失败应答,并可能说明原因。
S125、根据步骤S124的结果,AAA服务器向WAG关返回策略信息请求成功应答,或策略信息请求失败应答。
如果用户在漫游情况下,则策略申请和部署还需要通过代理AAA服务器。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (9)
1、一种无线局域网中无线局域网接入网关更新方法,其特征在于包括以下步骤:
A、无线局域网WLAN用户向AAA服务器发起接入认证流程;
B1、WLAN用户向分组数据网关发起隧道建立信息;
B、无线局域网接入网关WAG判断是否有针对该WLAN用户的策略,如果没有,进入步骤C,如果有,则保持该WAG现有策略,所述判断是否有针对该WLAN用户的策略为,在WAG收到WLAN用户的数据包时,根据该WLAN用户的相关标识或该WLAN用户数据包的相关标识进行策略判断;
C、WAG向AAA服务器发送策略信息请求;
D、AAA服务器获取向WAG部署的策略信息,如果获取策略信息成功,则进入步骤E;
E、AAA服务器将所述的策略信息部署至相应的WAG。
2、如权利要求1所述的方法,其特征在于,所述的步骤B中,WAG对非隧道建立的数据进行判断。
3、如权利要求1所述的方法,其特征在于,所述的步骤B中,当下述状态之一或者组合出现时,判断为没有针对WLAN用户的策略:
收到的IP数据包的源IP地址是WAG不能识别的;
收到的IP数据包的源端口是WAG不能识别的;
收到的IP数据包的目的IP地址是WAG不能识别的;
收到的IP数据包的目的端口是WAG不能识别的;
用户的隧道标识是WAG不能识别的。
4、如权利要求1所述的方法,其特征在于所述的步骤D,进一步包括:
AAA服务器向PDG获取向WAG部署的策略信息。
5、如权利要求1所述的方法,其特征在于所述的步骤D,进一步包括:
AAA服务器启动第一定时器,并在设定时间内等待PDG对该WLAN用户的策略信息部署指示,如果设定时间内收到来自PDG的策略信息部署指示,则进入步骤E,否则,返回策略信息请求失败应答。
6、如权利要求4或5所述的方法,其特征在于所述的步骤E中,所述的AAA服务器将所述的策略部署在所有的WAG上。
7、如权利要求4或5所述的方法,其特征在于所述的步骤E中,所述的AAA服务器将所述的策略部署在部分WAG上。
8、如权利要求1所述的方法,其特征在于所述的步骤E,还包括在WAG上启动第二定时器,如果在设定的时间内没有收到符合该策略的数据包通过时,则清除部署在该WAG上的策略。
9、如权利要求1所述的方法,如果WLAN用户处于漫游状态,则所述的AAA服务器,为代理AAA服务器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100680237A CN100479441C (zh) | 2005-04-30 | 2005-04-30 | 无线局域网中无线局域网接入网关策略更新方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2005100680237A CN100479441C (zh) | 2005-04-30 | 2005-04-30 | 无线局域网中无线局域网接入网关策略更新方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1859336A CN1859336A (zh) | 2006-11-08 |
| CN100479441C true CN100479441C (zh) | 2009-04-15 |
Family
ID=37298199
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100680237A Active CN100479441C (zh) | 2005-04-30 | 2005-04-30 | 无线局域网中无线局域网接入网关策略更新方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100479441C (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2154842B1 (en) | 2007-09-13 | 2014-05-21 | Huawei Technologies Co., Ltd. | Method and network element device for acquiring the policy control information of ip access session |
| CN101483928B (zh) | 2008-01-11 | 2011-04-20 | 华为技术有限公司 | 移动网络的数据连接的建立方法、移动网络及策略控制实体 |
| CN102014361B (zh) * | 2009-09-07 | 2014-02-19 | 华为技术有限公司 | 一种认证授权计费会话更新方法、装置和系统 |
| CN103379512A (zh) * | 2012-04-20 | 2013-10-30 | 中兴通讯股份有限公司 | Wlan网络用户策略分发装置及方法 |
-
2005
- 2005-04-30 CN CNB2005100680237A patent/CN100479441C/zh active Active
Non-Patent Citations (2)
| Title |
|---|
| Policy control over Go interface. 3GPP TS 29.207 v6.2.0. 2004 |
| Policy control over Go interface. 3GPP TS 29.207 v6.2.0. 2004 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1859336A (zh) | 2006-11-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA3132854C (en) | Wireless device paging by a wireless network | |
| US20180206118A1 (en) | Access Through Non-3GPP Access Networks | |
| EP1693988B1 (en) | A method of the subscriber terminal selecting the packet data gateway in the wireless local network | |
| US8077688B2 (en) | Method of user access authorization in wireless local area network | |
| CN101019460B (zh) | 用于异构网络中互连的方法,分组数据网关和验证服务器 | |
| JP4335918B2 (ja) | 利用者端末が、wlanインターワーキングネットワークにおいてアクセスするべき移動通信ネットワークを高速に選択するための相互接続方法 | |
| US7950052B2 (en) | System, method, and interface for segregation of a session controller and a security gateway | |
| CN101141822B (zh) | 一种无线网络的网关选择方法 | |
| US20140273969A1 (en) | Method, system and apparatus for accessing a visited network | |
| US20080117884A1 (en) | Radio Network Controller, Wireless Access Gateway, Radio Communication System, and Communication Method for Radio Communication System | |
| CN100433742C (zh) | 无线局域网中无线局域网接入网关策略加载方法 | |
| CN1998260A (zh) | 在分组数据网络中在网络接入验证传送协议(pana)与点对点协议(ppp)之间提供反向兼容性的方法和系统 | |
| CA2764091A1 (en) | Method and device for re-using ipsec tunnel in customer premises equipment | |
| US20230109272A1 (en) | Network Slice | |
| WO2006103536A1 (en) | Authentication mechanism for unlicensed mobile access | |
| CN100479441C (zh) | 无线局域网中无线局域网接入网关策略更新方法 | |
| KR20090066137A (ko) | 이종 망에서 이동 단말기의 핸드오버 방법 | |
| CN116074803A (zh) | 用于用户装备网络切片管理的增强 | |
| WO2005071981A1 (fr) | Methode interactive de determination par un terminal d'abonne d'informations de selection d'un reseau local sans fil | |
| WO2006003630A1 (en) | Method and system for providing backward compatibility between protocol for carrying authentication for network access (pana) and point-to-point protocol (ppp) in a packet data network | |
| CN100508506C (zh) | 无线局域网中无线局域网接入网关策略更新方法 | |
| EP1379053A1 (en) | Method for transferring a user-ID password pair, and a wireless network | |
| CN100591032C (zh) | 通过ip网络传送信息的方法及其设备和终端 | |
| WO2006003629A1 (en) | Method and packet data serving node for providing network access to mobile terminals using protocol for carrying authentication for network access (pana) and point-to-point protocol (ppp) | |
| CN115412925B (zh) | 网络安全防护方法、装置及安全防护功能网元 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |