CN101197721B - 对用户终端进行网络配置的方法和装置 - Google Patents
对用户终端进行网络配置的方法和装置 Download PDFInfo
- Publication number
- CN101197721B CN101197721B CN2007103015846A CN200710301584A CN101197721B CN 101197721 B CN101197721 B CN 101197721B CN 2007103015846 A CN2007103015846 A CN 2007103015846A CN 200710301584 A CN200710301584 A CN 200710301584A CN 101197721 B CN101197721 B CN 101197721B
- Authority
- CN
- China
- Prior art keywords
- user terminal
- configuration
- server
- network
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0806—Configuration setting for initial configuration or provisioning, e.g. plug-and-play
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对用户终端进行网络配置的方法和装置,涉及通信领域,为解决现有技术有防火墙或者具有NAT功能的设备存在时,配置服务器不能对用户终端进行网络配置的问题而发明。本发明的技术方案为:对用户终端进行网络配置的方法,应用于全球微波接入互操作性网络中;包括如下步骤:获取配置服务器的IP地址,根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道;通过所建立的安全传输层协议隧道获取配置数据,并根据所述获取的配置数据配置用户终端的参数。本发明所提供的对用户终端进行网络配置的方法和装置能够应用在WiMAX网络中,通过OMA提供的框架对MS/SS进行网络配置。
Description
技术领域
本发明涉及通信领域,特别涉及一种在全球微波接入互操作性(WorldwideInteroperability for Microwave Access,简称:WiMAX)网络中对用户终端进行网络配置的方法和装置。
背景技术
WiMAX是一项无线城域网接入技术,其最大传输速度75兆比特/秒,信号传输半径达到50公里,基本上能覆盖到城郊。由于WiMAX技术具有远距离传输特性,所以其不仅能够作为无线网络接入的技术,而且能够作为有线网络接入(例如:Cable、DSL)的无线扩展技术。所述WiMAX技术通过无线的方式,能够方便地实现边远地区的网络连接,具有广阔的应用前景。
如图1所示,WiMAX网络体系主要包括:移动台(Mobile Station,简称:MS)/用户站(Subscribe Station,简称:SS)、接入服务网络(Access ServiceNetwork,简称:ASN)以及连接服务网络(Connectivity Service Network,简称:CSN)。
其中,所述ASN由网络接入提供商(Net Access Provider,简称:NAP)管理,用于为用户终端(MS/SS)提供无线接入服务。所述ASN与用户终端之间的无线相连通过IEEE802.16d/e标准提供的空中接口R1实现,所述ASN通过有线接口R3和R4分别与CSN以及其他ASN相连。如图2所示,所述ASN包括:基站(Base Station,简称:BS)和ASN网关(ASN GateWay,简称:ASN-GW)。
所述ASN中可以包括一个以上的BS,各个BS之间通过有线接口R8相连,所述BS通过空中接口R1与用户终端相连。ASN中的BS主要用于:提供BS和用户终端的第二层(数据链路层)连接、无线资源管理、测量与功率控制以及对所述空中接口参数的压缩和解密。
所述ASN-GW通过有线接口R6与BS相连,并通过有线接口R3和R4分别与CSN以及其他ASN相连。所述ASN-GW主要用于:为用户终端认证、授权和计费功能向网络服务提供商(Net Service Provider,简称:NSP)提供客户端功能;支持NSP的网络发现和选择;为用户终端提供第三层(网络层)信息的中继功能,例如:IP地址分配;提供无线资源管理功能。
所述CSN由NSP管理,用于为用户终端提供IP连接服务。所述CSN主要包括:验证、授权、计费协议(Authentication、Authorization、Account,简称:AAA)服务器、家乡代理(Home Agent,简称:HA)和动态主机配置协议(DynamicHost Configuration Protocol,简称:DHCP)服务器等设备。
其中,所述AAA服务器主要提供:用户终端的因特网接入、AAA服务、基于用户的授权控制、WiMAX网络用户的计费以及和运营商之间的结算等功能;所述HA为用户提供各种WiMAX服务,包括:基于位置的服务、多媒体多播和广播业务以及IP多媒体子系统业务等;所述DHCP服务器主要负责为用户终端分配IP地址。
在实际的网络运行过程中,用户终端不仅可以使用自己签约的CSN(图1所示的归属NSP),也可以通过漫游的形式使用不是自己签约的CSN(图1所示的拜访NSP)。
所述WiMAX网络为每个接入用户配置一个或者多个业务流,不同业务流有不同的服务质量(Quality of Service,简称:QoS),用户可以通过用户终端、BS或者ASN-GW中配置的分类器,将其所要发送的数据映射到对应的业务流中;运营商也可以通过所述分类器,将具有相似服务质量要求的服务放到同一个业务流中为用户提供服务,其中,所述分类器是一系列映射标准的集合。
所述ASN-GW为每条业务流创建一个话单记录,统计这个业务流上的数据流量,并将所述话单上报给AAA服务器,该AAA服务器收集话单记录后,将其上报给运营商的计费系统,运营商根据话单记录为用户生成最终的话单,其中,所述ASN-GW和AAA服务器中话单记录的粒度是业务流,运营商计费系统中话单的粒度是用户。
对每个用户终端而言,当其接入到WiMAX网络,为了保证所述用户终端能够在WiMAX网络中正常运行,必须对所述用户终端进行网络配置,所述用户终端进行网络配置的内容包括:用户终端的入网参数、运行参数,软件升级参数以及用户终端上每个用户的信息等。
目前,市场上大多采用开放移动终端联盟(OMA)提出的框架,对所述用户终端进行网络配置。所述OMA的框架主要包括:开放移动终端联盟数据管理(OMADM)客户端和开放移动终端联盟数据管理服务器,其中,所述OMA DM客户端存在于用户终端上。
利用所述OMA框架对用户终端进行网络配置分为两个过程:初始配置过程和再配置过程。其中,所述初始配置过程是对首次入网的用户终端进行配置过程;所述再配置过程是对已经入网的用户终端进行更新网络配置的过程,所述已经入网的用户终端包括:在线的用户终端和重新入网的用户终端。
在WiMAX网络中,通过OMA框架对用户终端进行网络配置时,所述WiMAX网络仅为用户终端(OMA DM客户端)和OMA DM服务器之间建立承载,并不关心两者间传递什么类型的数据,即:用户终端和OMA DM服务器之间传递的配置入网参数和运行参数对WiMAX网络都是相同,所述WiMAX网络不对其进行区分。
如图3所示,在WiMAX网络中,利用OMA框架对用户终端进行初始配置的过程,包括如下步骤:
步骤301,在用户终端入网时,所述用户终端与BS协商空中接口参数;
步骤302,用户终端向AAA服务器认证身份,所述用户终端和AAA服务器之间采用扩展认证协议-传输层安全(Extensible Authentication Protocol-Transport Layer Security,简称:EAP-TLS)协议,或者扩展认证协议-隧道传输层安全(Extensible Authentication Protocol-Tunneled TransportLayer Security,简称:EAP-TTLS)协议完成用户终端的认证过程;
步骤303,当AAA服务器认证所述用户终端合法时,所述AAA服务器确认需要对所述用户终端进行网络配置,并采用热线(hotline)功能启动对该用户终端进行网络配置的过程;
其中,所述hotline功能的作用是使ASN-GW禁止用户终端除了网络配置过程的其他业务数据通过。
步骤304,AAA服务器向ASN-GW发送用户终端认证成功消息,该认证成功消息携带了要求ASN-GW对用户终端采用hotline功能的指示;
步骤305,ASN-GW开启hotline功能,并为用户终端建立预配置业务流;
步骤306,用户终端通过预配置业务流,向DHCP服务器申请IP地址;
步骤307,ASN-GW将预配置业务流的计费话单上报给AAA服务器;
步骤308,AAA服务器接收到所述计费话单以后,通知OMA DM服务器有用户终端入网,需要其对所述用户终端进行网络配置;
在AAA服务器向OMA DM服务器发出的通知报文中,携带了BEK、用户终端的ID和IP地址。其中,所述BEK是由AAA服务器计算生成的加密密钥,用于为后续的用户终端和OMA DM服务器之间的交互数据加密。
步骤309,OMA DM服务器向用户终端发送启动配置文件,该启动配置文件包括:OMA DM服务器的地址和管理对象树。所述管理对象树包含OMA协议中定义的可管理的属性,采用树型结构管理。所述启动配置文件使用AAA服务器传送的BEK加密。
步骤310,用户终端接收到所述启动配置文件以后,向OMA DM服务器上报用户以及用户终端的身份信息,并采用BEK对数据进行加密;用户终端通过使用与AAA服务器相同的加密算法计算得到所述BEK。
步骤311,OMA DM服务器根据用户终端上报的身份信息判断用户终端合法,向用户终端下发自身的身份信息,并对所述用户终端进行网络配置,所述网络配置包括:指示用户终端进行读、写、替换或创建节点属性等操作;
步骤312,用户终端认证OMA DM服务器合法后,执行所述OMA DM服务器对其进行网络配置的指示,并向所述OMA DM服务器返回执行结果;
步骤313,OMA DM服务器接收到用户终端发送的执行结果后,向AAA服务器发出关闭网络配置过程的命令,即:通知AAA服务器对所述用户终端结束hotline功能,命令用户终端重新入网;
步骤314,AAA服务器通知ASN-GW结束hotline功能,并使用户终端重新入网;
步骤315,用户终端采用所述网络配置数据,发起重新入网的过程。
如图4所示,在WiMAX网络中,利用OMA框架对用户终端进行再配置的过程,包括如下步骤:
步骤401,OMA DM服务器需要更新用户终端的网络配置数据时,向AAA服务器发出配置请求;
步骤402,AAA服务器将其保存的用户终端信息发送给OMA DM服务器,所述AAA服务器保存的用户终端信息包括:BEK、用户终端ID和IP地址;
步骤403,OMA DM服务器向用户终端发送启动配置文件,该启动配置文件包括:OMA DM服务器的地址和管理对象树。所述管理对象树包含OMA协议中定义的可管理的属性,采用树型结构管理。所述启动配置文件采用AAA服务器向其发送的BEK加密。
步骤404,用户终端接收到所述启动配置文件以后,向OMA DM服务器上报用户以及用户终端的身份信息,并采用BEK对数据进行加密;用户终端通过使用与AAA服务器相同的加密算法计算得到所述BEK。
步骤405,OMA DM服务器根据用户终端上报的身份信息判断用户终端合法,向用户终端下发自身的身份信息,并对所述用户终端进行网络配置,所述网络配置包括:指示用户终端进行读、写、替换或创建节点属性等操作;
步骤4 06,用户终端认证OMA DM服务器合法后,执行所述OMA DM服务器对其进行网络配置的指示,并向所述OMA DM服务器返回执行结果。
在实现本发明的过程中,发明人发现,现有技术至少存在如下问题:
用户终端在进行初始配置的过程中,需要由AAA服务器通知OMA DM服务器有用户终端入网,从而启动OMA DM服务器对用户终端进行网络配置的过程;在用户终端进行再配置过程的过程中,也需要AAA服务器向OMA DM服务器提供用户终端的相关信息,从而使OMA DM服务器能够对所述用户终端进行网络配置,然而,在实际的网络构架中,所述AAA服务器和OMA DM服务器属于不同的子网(所述AAA服务器是业务处理域的设备;所述OMA DM服务器是操作维护域的设备),在组网的过程中,两个设备是分开组网的,在两个隔离的子网中,要使所述两台设备之间能够进行通信,就要考虑到设备的部署问题,使得所述AAA服务器和MA DM服务器部署困难。
并且,在商用组网时,出于安全性的考虑,所述ASN-GW需要连接防火墙或者具有网络地址转换(Network Address Translation,简称:NAT)功能的设备,所述AAA服务器与防火墙或者具有NAT功能的设备出接口相连。由于防火墙和具有NAT功能的设备只允许ASN-GW内侧(用户终端侧)设备主动发起的请求消息通过,并可以接收与所述请求消息匹配的ASN-GW外侧(OMA DM服务器侧)设备发送的相应消息,但是,其不允许外侧(OMA DM服务器侧)设备主动发起的请求消息通过。在实现上述对用户终端进行初始配置和再配置的过程中,步骤309和步骤403,由OMA DM服务器主动向用户终端发送的启动配置文件不能够通过防火墙或者具有NAT功能的设备,从而使OMA DM服务器对用户终端进行网络配置失败。
发明内容
本发明的实施例提供一种对用户终端进行网络配置的方法和装置,解决目前全球微波接入互操作性网络中有防火墙或者具有NAT功能的设备存在时,配置服务器无法对用户终端进行网络配置的问题。
本发明解决上述技术问题的一个实施例是:
一种对用户终端进行网络配置的方法,应用于全球微波接入互操作性网络中;包括如下步骤:
获取配置服务器的IP地址,根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道;通过所建立的安全传输层协议隧道获取配置数据,并根据所述获取的配置数据配置用户终端的参数。
本发明解决上述技术问题的另一个实施例是:
一种用户终端,所述用户终端接入到全球微波接入互操作性网络中,包括:
获取单元,用于获取配置服务器的IP地址;
隧道创建单元,用于根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道;
配置单元,用于通过所建立的安全传输层协议隧道获取配置数据,并根据所述获取的配置数据配置用户终端的参数。
本发明解决上述技术问题的再一个实施例是:
一种配置服务器,所述配置服务器连接到全球微波接入互操作性网络中,包括:
隧道创建单元,用于在用户终端与配置服务器之间建立安全传输层协议隧道;
配置数据发送单元,用于通过所述安全传输层协议隧道向用户终端发送配置数据。
本发明实施例所提供的对用户终端进行网络配置的方法和装置,由于采用了用户终端根据配置服务器的IP地址主动向所述配置服务器发起建立安全传输层协议隧道,所述用户终端通过所述安全传输层协议隧道获取配置数据的方法,克服了现有技术在有防火墙或者具有NAT功能的设备存在时,由配置服务器主动发送的配置数据不能通过防火墙或者具有NAT功能的设备,从而使配置服务器不能对用户终端进行网络配置的问题,保证了用户终端与配置设备之间的通信安全;由于所述安全传输层协议隧道是由用户终端主动向配置服务器发起建立的,所以,不需要再由AAA服务器通知配置服务器有用户终端入网,从而在组网的过程中不必考虑AAA服务器和配置服务器之间的网络布局问题,使组网更加灵活,降低了组网和维护网络所需的费用。
附图说明
图1为现有技术中WiMAX网络架构示意图;
图2为图1所示现有技术WiMAX网络中ASN的结构示意图;
图3为现有技术对用户终端进行初始配置的时序图;
图4为现有技术对用户终端进行再配置的时序图;
图5为本发明实施例提供的对用户终端进行网络配置的方法流程图;
图6为本发明实施例利用图5所示的对用户终端进行网络配置的方法,对用户终端进行初始配置的时序图;
图7为本发明实施例提供的对用户终端进行网络配置的方法,在MS/SS与OMADM服务器之间建立TLS隧道的时序图;
图8为图6所示的本发明实施例提供的对用户终端进行网络配置的方法,OMADM服务器对MS/SS进行网络配置的时序图;
图9为本发明实施例利用图5所示的对用户终端进行网络配置的方法,对用户终端进行再配置的时序图;
图10为本发明实施例提供的用户终端和配置服务器的结构示意图。
具体实施方式
为了解决现有技术在有防火墙或者具有NAT功能的设备存在时,由配置服务器发送的配置数据不能通过防火墙或者具有NAT功能的设备,从而使配置服务器不能对用户终端进行网络配置的问题,本发明的实施例提供一种对用户终端进行网络配置的方法。下面结合附图和实施例对本发明作详细说明:
在本实施例中,所述对用户终端进行网络配置的方法,应用于WiMAX网络中,所述用户终端为MS/SS,所述配置服务器为OMA DM服务器。如图5所示,所述方法包括如下步骤:
步骤501,获取OMA DM服务器的IP地址,根据所述IP地址建立MS/SS和OMA DM服务器之间的安全传输层协议(Transport Layer Security,简称:TLS)隧道;
步骤502,通过所建立的TLS隧道获取配置数据,并根据所述获取的配置数据配置MS/SS的参数。
在实际的网络中,步骤501中所述的为MS/SS进行网络配置的情况分为两种:一种是,MS/SS第一次入网时,对所述MS/SS进行初始配置;另一种是,MS/SS已经接入网络后,更新所述MS/SS的网络配置,即:对所述MS/SS进行再配置。下面分别对其进行介绍:
第一种情况,如图6所示,利用本发明实施例所提供的对用户终端进行网络配置的方法,对MS/SS进行初始配置的步骤包括:
步骤601,MS/SS与BS之间协商空中接口参数,通过协商空中接口参数,使所述MS/SS与BS能够进行正常的通信;
步骤602,AAA服务器对MS/SS进行身份认证;
AAA服务器对MS/SS进行身份认证的过程中,首先,由ASN-GW向MS/SS发送请求用户终端身份消息;为了能够使AAA服务器能够主动判断出MS/SS是否需要进行网络配置,所述MS/SS接收到请求用户终端身份消息后,向AAA服务器返回携带其身份标识的身份信息,其中,所述用户终端的身份标识包括:服务类型、用户名和用户终端所属的域,在本实施例中,所述用户终端的身份标识格式为:{服务类型}用户名@用户终端所属的域,在MS/SS第一次接入网络时,MS/SS发现自身缺少网络配置的数据,所以将其身份标识中的服务类型字段设置成需要进行网络配置,在MS/SS因为网络出现异常而丢失了其网络配置数据时,所述MS/SS也可以将其身份标识中的服务类型字段设置成需要进行网络配置;AAA服务器收到MS/SS身份信息以后,采用EAP-TLS或EAP-TTLS协议对所述MS/SS的身份进行认证。
步骤603,AAA服务器对MS/SS认证成功以后,AAA服务器可以根据所述MS/SS身份标识中的服务类型字段判断该MS/SS需要进行网络配置,当然,AAA服务器也可以自己决定所述MS/SS是否需要进行网络配置;所述AAA服务器对MS/SS发送认证成功消息时,在所述认证成功消息中携带了命令ASN-GW对MS/SS启动预配置的消息;
本实施例中,所述认证成功消息携带了命令ASN-GW对所述MS/SS开启hotline功能的消息,其中,所述hotline功能的作用是:使ASN-GW禁止用户终端除了网络配置过程的其他业务数据通过;
为了能够使MS/SS获取OMA DM服务器的IP地址,从而根据所述IP地址主动向OMA DM服务器发起建立TLS隧道的过程,AAA服务器可以将其上预先配置的OMA DM服务器的IP地址,通过认证成功消息发送给所述MS/SS;
为了能够使所述MS/SS能够在以后的网络运行过程中,定时更新其网络配置,所述AAA服务器也可以为MS/SS设置更新MS/SS网络配置的时间,该更新MS/SS网络配置的时间可以网络管理员手动设置,例如:2小时、1天或者1个月等,具体的更新MS/SS网络配置的时间可以根据实际网络运行需要而定,所述AAA服务器将该更新MS/SS网络配置的时间通过认证成功消息发送给MS/SS。
步骤604,AAA服务器向MS/SS发送的认证成功消息经过ASN-GW时,所述ASN-GW发现认证成功消息中携带了启动hotline功能的命令,ASN-GW对所述MS/SS启动hotline功能,同时,为所述MS/SS建立预配置业务流;
步骤605,MS/SS接收所述认证成功消息以后,通过ASN-GW为其建立的预配置业务流,向DHCP服务器申请IP地址;
在MS/SS向DHCP服务器申请IP地址的过程中,为了使MS/SS获取OMA DM服务器的IP地址,从而根据所述OMA DM服务器的IP地址主动向OMA DM服务器发起建立TLS隧道的过程,所述DHCP服务器可以将其上预先配置的OMA DM服务器的IP添加到DHCP报文的Option(选择)字段,通过所述DHCP报文传送给MS/SS;所述ASN-GW也可以在传输DHCP报文的过程中,在所述DHCP报文的Option字段添加预先保存的OMA DM服务器的IP地址信息,从而将所述OMA DM服务器的IP地址传送给MS/SS;
在MS/SS向DHCP服务器申请IP地址的过程中,DHCP服务器或者ASN-GW也可以为所述MS/SS设置更新MS/SS网络配置的时间,并将该更新MS/SS网络配置的时间添加在HCP报文的Option字段中,通过所述HCP报文传送给MS/SS。
步骤606,当MS/SS获取DHCP服务器为其IP地址以后,ASN-GW向AAA服务器上报所述预配置业务流的计费话单;
为了使所述计费话单的计费情况更合理,在本实施例中,所述计费话单将预配置数据流量和用户终端的数据流量进行单独记录。其中,所述预配置数据流量是MS/SS和OMA DM服务器之间传输的数据流量,ASN-GW可以根据传输数据的IP报文头部是否含有OMA DM服务器的IP地址,判断出所述数据是否为MS/SS和OMA DM服务器之间传输的数据流量;所述用户终端的数据流量为预配置数据流量以外的数据流量。所述预配置数据流量不是MS/SS本身上网产生的数据流量,所以ASN-GW所属的ASN网络运营商可以向AAA服务器所属的CSN网络运营商收费。
步骤607,MS/SS根据OMA DM服务器的IP地址,向所述OMA DM服务器发起建立TLS隧道的过程;
所述MS/SS与OMA DM服务器之间建立TLS隧道的步骤主要包括:
MS/SS和OMA DM服务器之间相互身份认证的过程。
如图7所示,其具体步骤包括:
步骤701,MS/SS主动向OMA DM服务器发送ClientHello(客户端协商)消息,指示TLS握手流程开始;所述ClientHello消息向OMA DM服务器请求协商TLS相关安全服务,该消息由版本号,随机数,会话ID,密码套件,压缩方法等字段组成
步骤702,OMA DM服务器接收到所述ClientHello消息后,向MS/SS发送ServerHello(服务器协商)消息,所述ServerHello消息的组成与ClientHello消息相同,通常是ClientHello消息给出各个字段建议值,OMA DM服务器将最终选择结果通过ServerHello消息发给MS/SS;
步骤703,OMA DM服务器通过Certificate(证书)消息将其自身的数字证书,连同一个可以信任的CA证书发送给MS/SS;
步骤704,如果RSA公钥比较长,不能放在步骤703的Certificate消息中,则OMA DM服务器再通过ServerKeyExchange(服务器公钥交换)消息,将RSA公钥分发给所述MS/SS;
步骤705,OMA DM服务器发送ServerRequest(服务器请求)消息,向MS/SS申请其数字证书;
步骤706,OMA DM服务器通过发送ServerHelloDone(服务器协商完成)消息,通知MS/SS所述OMA DM服务器已经完成了协商的过程;该ServerHelloDone消息本身并不携带任何信息,MS/SS只有成功接收到该消息后才进入后续消息的交互;
步骤707,MS/SS通过所述CA证书认证OMA DM服务器的数字证书是否合法,即:认证OMA DM服务器是否合法,对认证合法的OMA DM服务器,通过RSA算法计算TLS密钥;
步骤708,MS/SS通过Certificate(证书)消息将其自身的数字证书,连同一个可以信任的CA证书发送给OMA DM服务器;
步骤709,如果RSA公钥比较长,不能放在步骤708的Certificate消息中,则MS/SS再通过ClientKeyExchange(客户端公钥交换)消息,将RSA公钥分发给所述OMA DM服务器;
步骤710,MS/SS向OMA DM服务器发送ChangeCipherSpec(更改密码规则)消息,激活OMA DM服务器端的TLS协商选项,其中所述TLS协商选项包括:TLS会话密钥,密码套件的有效性等;
步骤711,MS/SS向OMA DM服务器发送Finished(完成)消息,检查在步骤710中激活的TLS协商选项是否有效;
步骤712,OMA DM服务器通过所述CA证书认证MS/SS的数字证书是否合法,即:认证MS/SS是否合法,对认证合法的MS/SS,通过RSA算法计算TLS密钥;
步骤713,OMA DM服务器通过发送ChangeCipherSpec消息,激活MS/SS端的TLS协商选项;
步骤714,OMA DM服务器向MS/SS发送Finished(完成)消息,检查在步骤713中激活的TLS协商选项是否有效。
通过上述步骤701-714可以在MS/SS和OMA DM服务器之间建立TLS隧道。
步骤608,OMA DM服务器通过所述步骤607中建立的TLS隧道向MS/SS传输网络配置数据;
如图8所示,步骤608具体包括:
步骤801,OMA DM服务器向MS/SS发送启动配置文件,该启动配置文件包括:OMA DM服务器的地址和管理对象树。所述管理对象树包含OMA协议中定义的可管理的属性,采用树型结构管理。
步骤802,MS/SS接收到所述启动配置文件以后,向OMA DM服务器上报MS/SS上运行用户以及MS/SS的身份信息;
步骤803,OMA DM服务器根据MS/SS上报的身份信息判断其合法,向所述MS/SS下发自身的身份信息,并对所述MS/SS进行网络配置,所述网络配置包括:指示MS/SS进行读、写、替换或创建节点属性等操作;
步骤804,MS/SS认证OMA DM服务器合法后,执行所述OMA DM服务器对其进行网络配置的指示,并向所述OMA DM服务器返回执行结果。
步骤609,在OMA DM服务器结束对MS/SS的网络配置以后,所述MS/SS采用OMA DM服务器对其发送的网络配置数据,发起重新入网的过程。
本实施例在对MS/SS进行初始配置时,由于所述MS/SS向AAA服务器认证身份的同时,发送了其身份标识,所以AAA服务器可以通过该身份标识判断出所述MS/SS是否需要进行网络配置,对需要进行网络配置的MS/SS自动启动预配置过程,与现有技术相比,WiMAX网络运行更加自主灵活;由于所述TLS隧道是由MS/SS根据OMA DM服务器的IP地址主动发起建立的,所以在WiMAX网络中有防火墙或者具有NAT功能的设备存在时,OMA DM服务器也可以通过所述TLS隧道对MS/SS进行网络配置,并且,OMA DM服务器通过TLS隧道与需要进行网络配置的MS/SS直接进行通信,在组网的过程中不必考虑AAA服务器和配置服务器之间的网络布局,使组网更加灵活,降低了组网所需的费用;由于MS/SS和OMA DM服务器之间的配置数据是通过所述TLS隧道传输的,所以保证了MS/SS和OMA DM服务器之间的通信安全;本实施例所使用的认证流程与现有技术中WiMAX网络原有的认证流程相同,降低了网络的维护配用,并且单独统计预配置数据流量,使WiMAX网络的计费方法更加合理。
第二种情况,如图9所示,利用本发明实施例所提供的对用户终端进行网络配置的方法,对MS/SS进行再配置的步骤包括:
步骤901,判断所述MS/SS是否需要更新网络配置;
在本实施例中,不仅可以由OMA DM服务器判断所述MS/SS是否需要更新网络配置,也可以由MS/SS根据AAA服务器、DHCP服务器或者ASN-GW向其发送的更新用户终端网络配置的时间来判断是否需要更新网络配置。
由于MS/SS可以根据更新用户终端网络配置的时间判断自身是否需要更新网络配置,所以MS/SS可以直接获得更新自身网络配置的时间(更新网络配置的时间到期时),与OMA DM服务器判断所述MS/SS是否需要更新网络配置相比,节省了OMA DM服务器向MS/SS发送请求更新网络配置消息的过程,从而节省了网络资源。
步骤902,在判断所述MS/SS需要更新网络配置时,MS/SS根据OMA DM服务器的IP地址主动向所述OMA DM服务器发起建立TLS隧道,所述TLS隧道的具体建立过程如图7所示,此处不再赘述;
步骤903,OMA DM服务器通过所述TLS隧道向MS/SS传递配置数据,所述OMA DM服务器通过TLS隧道更新MS/SS的网络配置过程如图8所示,此处不再赘述。
本发明实施例所提供的对用户终端进行网络配置的方法,在对用户终端进行网络配置时,由于用户终端根据配置服务器的IP地址主动向所述配置服务器发起建立安全传输层协议隧道,并且,所述配置服务器通过所述安全传输层协议隧道对用户终端进行网络配置,克服了现有技术在有防火墙或者具有NAT功能的设备存在时,由配置服务器发送的配置数据不能通过防火墙或者具有NAT功能的设备,从而使配置服务器不能对用户终端进行网络配置的问题,并且保证了用户终端与配置设备之间的通信安全;由于所述安全传输层协议隧道是由用户终端主动向配置服务器发起建立的,所以,不需要再由AAA服务器通知配置服务器有用户终端入网,从而在组网的过程中不必考虑AAA服务器和配置服务器之间的网络布局,使组网更加灵活,降低了组网和维护网络所需的费用。
为了解决现有技术在有防火墙或者具有NAT功能的设备存在时,由配置服务器发送的配置数据不能通过防火墙或者具有NAT功能的设备,从而使配置服务器不能对用户终端进行网络配置的问题,本发明的实施例提供一种用户终端以及一种配置服务器。下面结合附图和实施例对本发明作详细说明:
在本实施例中,所述用户终端为MS/SS,所述配置服务器为OMA DM服务器,所述配置服务器通过WiMAX网络对用户终端进行网络配置。
如图10所示,所述MS/SS包括:
获取单元,用于获取OMA DM服务器的IP地址,所述OMA DM服务器的IP地址可以通过AAA服务器发送的认证成功消息获得,也可以在MS/SS向DHCP服务器申请IP地址的时候,通过所述DHCP服务器或者ASN-GW在DHCP报文的Option字段添加的OMA DM服务器的IP地址信息获得。
为了能够在所述MS/SS入网以后能够定时进行网络配置的更新,即进行再配置,所述获取单元还用于获取更新用户终端网络配置的时间,该更新用户终端网络配置的时间可以通过AAA服务器发送的认证成功消息获得,也可以在MS/SS向DHCP服务器申请IP地址的时候,通过所述DHCP服务器或者ASN-GW在DHCP报文的Option字段添加的更新用户终端网络配置的时间地址信息获得。
通过所述计时单元,MS/SS可以检测出自身是否需要更新网络配置,从而及时发起更新网络配置的过程,与由OMA DM服务器向所述MS/SS发送请求更新网络配置消息,所述MS/SS接收到所述请求消息后再发起更新网络配置的过程相比,节省了网络资源,提高了对MS/SS更新网络配置的速度。
隧道创建单元,用于根据所述IP地址建立MS/SS和OMA DM服务器之间的TLS隧道;
在建立TLS隧道的过程中,所述隧道创建单元可以通过认证单元与OMA DM服务器之间身份认证,从而建立TLS隧道,其具体的建立过程可以参见如图7所示的方法,此处不再赘述;
在对所述MS/SS进行再配置的过程中,由计时单元对获取单元接收到的更新用户终端网络配置的时间进行计时,当计时超时时,所述隧道创建单元发起建立TLS隧道的过程。
配置单元,用于通过所建立的安全传输层协议隧道获取配置数据,并根据所述获取的配置数据配置用户终端的参数,其具体的配置过程如图8所示,此处不再赘述。
如图10所示,所述OMA DM服务器包括:
隧道创建单元,用于在MS/SS与OMA DM服务器之间建立TLS隧道,在建立TLS隧道的过程中,所述隧道创建单元可以通过认证单元与MS/SS之间身份认证,从而建立TLS隧道,其具体的建立过程可以参见如图7所示的方法,此处不再赘述;
配置数据发送单元,用于通过TLS隧道向MS/SS发送配置数据,其具体的配置过程如图8所示,此处不再赘述。
本发明实施例所提供的用户终端以及配置服务器,由于采用了用户终端根据配置服务器的IP地址向配置服务器主动发起建立安全传输层协议隧道,通过所述安全传输层协议隧道传输配置数据的方法,所以克服了现有技术在有防火墙或者具有NAT功能的设备存在时,由配置服务器发送的配置数据不能通过防火墙或者具有NAT功能的设备,从而使配置服务器不能对用户终端进行网络配置的问题,并且保证了用户终端与配置设备之间的通信安全;由于所述安全传输层协议隧道是由用户终端主动向配置服务器发起建立的,所以不需要再由AAA服务器通知配置服务器有用户终端入网,从而在组网的过程中不必考虑AAA服务器和配置服务器之间的网络布局,使组网更加灵活,降低了组网和维护网络所需的费用。
本发明所提供的对用户终端进行网络配置的方法和装置能够应用在WiMAX网络中,通过OMA提供的框架对MS/SS进行网络配置。
以上所述,仅为本发明实施例的具体实施方式,但本发明实施例的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明实施例的保护范围应该以权利要求的保护范围为准。
Claims (24)
1.一种对用户终端进行网络配置的方法,其特征在于,应用于全球微波接入互操作性网络中;包括如下步骤:
获取配置服务器的IP地址,根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道;
通过所建立的安全传输层协议隧道获取配置数据,并根据所述获取的配置数据配置用户终端的参数。
2.根据权利要求1所述的对用户终端进行网络配置的方法,其特征在于,所述获取配置服务器的IP地址具体为:
从验证、授权、计费协议服务器获取配置服务器的IP地址。
3.根据权利要求2所述的对用户终端进行网络配置的方法,其特征在于,所述从验证、授权、计费协议服务器获取配置服务器的IP地址具体为:
验证、授权、计费协议服务器将配置服务器的IP地址通过身份认证成功消息发送给用户终端。
4.根据权利要求1所述的对用户终端进行网络配置的方法,其特征在于,所述获取配置服务器的IP地址具体为:
从动态主机配置协议服务器获取配置服务器的IP地址,所述动态主机配置协议服务器预先配置有配置服务器的IP地址;或者
从接入服务网络网关获取配置服务器的IP地址,所述接入服务网络网关预先配置有配置服务器的IP地址。
5.根据权利要求4所述的对用户终端进行网络配置的方法,其特征在于,
所述从动态主机配置协议服务器获取配置服务器的IP地址具体为:用户终端向动态主机配置协议服务器发起获取IP地址的过程中,从动态主机配置协议服务器获取配置服务器的IP地址;
所述从接入服务网络网关获取配置服务器的IP地址具体为:用户终端向动态主机配置协议服务器发起获取IP地址的过程中,从接入服务网络网关获取配置服务器的IP地址。
6.根据权利要求5所述的对用户终端进行网络配置的方法,其特征在于,
所述从动态主机配置协议服务器获取配置服务器的IP地址具体为:用户终端从动态主机配置协议服务器发送的动态主机配置协议报文的Option字段中获取配置服务器的IP地址;
所述从接入服务网络网关获取配置服务器的IP地址具体为:用户终端从接入服务网络网关传送的动态主机配置协议报文的Option字段中获取配置服务器的IP地址。
7.根据权利要求1所述的对用户终端进行网络配置的方法,其特征在于,所述根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道之前还包括:判断是否对用户终端进行网络配置。
8.根据权利要求7所述的对用户终端进行网络配置的方法,其特征在于,所述判断是否对用户终端进行网络配置方法为:根据用户终端的身份标识判断是否对所述用户终端进行网络配置。
9.根据权利要求8所述的对用户终端进行网络配置的方法,其特征在于,所述用户终端的身份标识包括:服务类型、用户名和用户终端所属的域;
所述根据用户终端的身份标识判断是否对所述用户终端进行网络配置具体为:根据用户终端身份标识中的服务类型字段判断是否对所述用户终端进行网络配置。
10.根据权利要求1所述的对用户终端进行网络配置的方法,其特征在于,所述根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道之前还包括:
获取更新用户终端网络配置的时间。
11.根据权利要求10所述的对用户终端进行网络配置的方法,其特征在于,所述获取更新用户终端网络配置的时间具体为:
从验证、授权、计费协议服务器获取所述更新用户终端网络配置的时间。
12.根据权利要求11所述的对用户终端进行网络配置的方法,其特征在于,所述从验证、授权、计费协议服务器获取所述更新用户终端网络配置的时间具体为:
验证、授权、计费协议服务器将更新用户终端网络配置的时间通过身份认证成功消息发送给用户终端。
13.根据权利要求10所述的对用户终端进行网络配置的方法,其特征在于,所述获取更新用户终端网络配置的时间具体为:
从动态主机配置协议服务器获取更新用户终端网络配置的时间,所述动态主机配置协议服务器预先配置有更新用户终端网络配置的时间;或者
从接入服务网络网关获取更新用户终端网络配置的时间,所述接入服务网络网关预先配置有更新用户终端网络配置的时间。
14.根据权利要求13所述的对用户终端进行网络配置的方法,其特征在于,
所述从动态主机配置协议服务器获取更新用户终端网络配置的时间具体为:用户终端向动态主机配置协议服务器发起获取IP地址的过程中,从动态主机配置协议服务器获取更新用户终端网络配置的时间;
所述从接入服务网络网关获取更新用户终端网络配置的时间具体为:用户终端向动态主机配置协议服务器发起获取IP地址的过程中,从接入服务网络网关获取更新用户终端网络配置的时间。
15.根据权利要求14所述的对用户终端进行网络配置的方法,其特征在于,
所述从动态主机配置协议服务器获取更新用户终端网络配置的时间具体为:用户终端从动态主机配置协议服务器发送的动态主机配置协议报文的Option字段中获取更新用户终端网络配置的时间;
所述从接入服务网络网关获取更新用户终端网络配置的时间具体为:用户终端从接入服务网络网关传送的动态主机配置协议报文的Option字段中获取所述更新用户终端网络配置的时间。
16.根据权利要求10-15中任意一项所述的对用户终端进行网络配置的方法,其特征在于,所述用户终端根据更新用户终端网络配置的时间建立用户终端和配置服务器之间的安全传输层协议隧道。
17.根据权利要求1-15任意一项所述的对用户终端进行网络配置的方法,其特征在于,所述根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道具体包括:
用户终端和配置服务器之间相互身份认证。
18.根据权利要求1-15任意一项所述的对用户终端进行网络配置的方法,其特征在于,所述根据所述获取的配置数据配置用户终端的参数之前,还包括:
为该用户终端建立预配置业务流,将预配置业务流的计费话单上报给验证、授权、计费协议服务器,所述预配置业务流的流量中包括预配置数据流量,所述预配置数据流量是用户终端和配置服务器之间传输的数据流量。
19.一种用户终端,其特征在于,所述用户终端接入到全球微波接入互操作性网络中,包括:
获取单元,用于获取配置服务器的IP地址;
隧道创建单元,用于根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道;
配置单元,用于通过所建立的安全传输层协议隧道获取配置数据,并根据所述获取的配置数据配置用户终端的参数。
20.根据权利要19所述的用户终端,其特征在于,
所述获取单元还用于获取更新用户终端网络配置的时间;
所述隧道创建单元根据获取单元获取的更新用户终端网络配置的时间发起隧道创建。
21.根据权利要求19所述的用户终端,其特征在于,还包括:
计时单元,用于控制隧道创建单元建立用户终端和配置服务器之间的安全传输层协议隧道。
22.根据权利要求19所述的用户终端,其特征在于,隧道创建单元包括:
认证单元,用于与配置服务器之间身份认证。
23.一种配置服务器,其特征在于,所述配置服务器连接到全球微波接入互操作性网络中,包括:
隧道创建单元,用于在用户终端与配置服务器之间建立安全传输层协议隧道;
配置数据发送单元,用于通过所述安全传输层协议隧道向用户终端发送配置数据。
24.根据权利要求23所述的配置服务器,其特征在于,隧道创建单元包括:认证单元,用于与用户终端之间身份认证。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007103015846A CN101197721B (zh) | 2007-12-25 | 2007-12-25 | 对用户终端进行网络配置的方法和装置 |
| PCT/CN2008/073466 WO2009082910A1 (fr) | 2007-12-25 | 2008-12-11 | Procédé et dispositif de configuration de réseau pour un terminal d'utilisateur |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2007103015846A CN101197721B (zh) | 2007-12-25 | 2007-12-25 | 对用户终端进行网络配置的方法和装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101197721A CN101197721A (zh) | 2008-06-11 |
| CN101197721B true CN101197721B (zh) | 2010-07-07 |
Family
ID=39547885
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007103015846A Expired - Fee Related CN101197721B (zh) | 2007-12-25 | 2007-12-25 | 对用户终端进行网络配置的方法和装置 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101197721B (zh) |
| WO (1) | WO2009082910A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101197721B (zh) * | 2007-12-25 | 2010-07-07 | 华为技术有限公司 | 对用户终端进行网络配置的方法和装置 |
| CN101351046B (zh) * | 2008-08-29 | 2014-02-19 | 华为终端有限公司 | 终端设备软件组件激活方法、终端设备及设备管理服务器 |
| CN101631331B (zh) * | 2009-08-10 | 2012-11-21 | 华为技术有限公司 | 一种终端管理方法和设备 |
| CN101998378A (zh) * | 2009-08-24 | 2011-03-30 | 中兴通讯股份有限公司 | Wimax系统中提供多种网络服务的方法及系统 |
| CN101790155A (zh) * | 2009-12-30 | 2010-07-28 | 中兴通讯股份有限公司 | 一种更新移动终端安全算法的方法、装置及系统 |
| CN114222314A (zh) * | 2016-07-06 | 2022-03-22 | 华为技术有限公司 | 一种网络连接配置方法及装置 |
| DE102017214071A1 (de) * | 2017-08-11 | 2019-02-14 | Robert Bosch Gmbh | Verfahren und Vorrichtung zum Laden eines Elektrofahrzeuges |
| CN113507498A (zh) * | 2021-06-02 | 2021-10-15 | 浪潮软件股份有限公司 | 一种政务大厅设备数据交换方法和模型 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035359A (zh) * | 2006-03-08 | 2007-09-12 | 华为技术有限公司 | 告知目标网络地址绑定结果的方法及移动用户终端 |
| CN101043706A (zh) * | 2006-03-23 | 2007-09-26 | 华为技术有限公司 | 终端进入空闲模式、网络重入的方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7096273B1 (en) * | 2001-04-25 | 2006-08-22 | Cisco Technology, Inc. | DHCP over mobile IP |
| CN101197721B (zh) * | 2007-12-25 | 2010-07-07 | 华为技术有限公司 | 对用户终端进行网络配置的方法和装置 |
-
2007
- 2007-12-25 CN CN2007103015846A patent/CN101197721B/zh not_active Expired - Fee Related
-
2008
- 2008-12-11 WO PCT/CN2008/073466 patent/WO2009082910A1/zh active Application Filing
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101035359A (zh) * | 2006-03-08 | 2007-09-12 | 华为技术有限公司 | 告知目标网络地址绑定结果的方法及移动用户终端 |
| CN101043706A (zh) * | 2006-03-23 | 2007-09-26 | 华为技术有限公司 | 终端进入空闲模式、网络重入的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101197721A (zh) | 2008-06-11 |
| WO2009082910A1 (fr) | 2009-07-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101197721B (zh) | 对用户终端进行网络配置的方法和装置 | |
| US7200383B2 (en) | Subscriber authentication for unlicensed mobile access signaling | |
| US7450554B2 (en) | Method for establishment of a service tunnel in a WLAN | |
| EP1538779B1 (en) | Identification information protection method in wlan interconnection | |
| CN101371550B (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和系统 | |
| US8627064B2 (en) | Flexible system and method to manage digital certificates in a wireless network | |
| US7913080B2 (en) | Setting information distribution apparatus, method, program, and medium, authentication setting transfer apparatus, method, program, and medium, and setting information reception program | |
| US20100251330A1 (en) | Optimized relaying of secure network entry of small base stations and access points | |
| WO2009000206A1 (fr) | Procédé et système de commande d'accès de nœud initial b | |
| CN103155512A (zh) | 用于对服务提供安全访问的系统和方法 | |
| CN112640387B (zh) | 用于无线连接的非si设备、si设备、方法和计算机可读介质和/或微处理器可执行介质 | |
| WO2014176964A1 (zh) | 一种通信管理方法及通信系统 | |
| CN102223634A (zh) | 一种用户终端接入互联网方式的控制方法及装置 | |
| CN101765057A (zh) | 一种向WiFi访问终端提供组播业务的方法、设备及系统 | |
| CN102026192B (zh) | 一种移动回程网证书分发方法及系统 | |
| CN101568069B (zh) | 为外来移动终端提供组播业务的方法及装置 | |
| CN104518874A (zh) | 一种网络接入控制方法和系统 | |
| CN104272781A (zh) | 从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统 | |
| CN101399665B (zh) | 以基于身份的密码体制为基础的业务认证方法和系统 | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| CN102685742B (zh) | 一种wlan接入认证方法和装置 | |
| WO2005111826A1 (ja) | 通信システム | |
| Samhat et al. | Security and AAA architecture for WiFi-WiMAX mesh network | |
| US20140093080A1 (en) | Method and system to differentiate and assigning ip addresses to wireless femto cells h(e)nb (home (evolved) nodeb) and lgw (local gateway) by using ikev2 (internet key exchange version 2 protocol) procedure | |
| CN105516970B (zh) | 一种wifi认证方法及智能路由器、上网系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100707 Termination date: 20141225 |
|
| EXPY | Termination of patent right or utility model |