CN101309284B - 一种远程接入的通信方法、设备和系统 - Google Patents
一种远程接入的通信方法、设备和系统 Download PDFInfo
- Publication number
- CN101309284B CN101309284B CN200710074459A CN200710074459A CN101309284B CN 101309284 B CN101309284 B CN 101309284B CN 200710074459 A CN200710074459 A CN 200710074459A CN 200710074459 A CN200710074459 A CN 200710074459A CN 101309284 B CN101309284 B CN 101309284B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user
- session
- user conversation
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例涉及了一种远程接入的通信方法、设备和系统。用户发起用户会话呼叫后,获得用户会话所需的隧道信息,建立与远程服务设备的二层隧道和/或会话;获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置;建立所述二层地址信息到二层隧道和/或会话的映射关系,根据所述映射关系转发报文。采用上述方案,通过动态隧道建立机制无需对用户终端设备直接进行配置,从而简化管理和业务部署的工作而且用户在游牧状态也能有效接入目标网络。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种远程接入通信方法、设备和系统。
背景技术
随着网络互联通信的发展,传统主流的电信运营商为给不同用户提供不同的业务,建立了不同的网络来承载不同的业务,例如公共交换网(PSTN)承载电话业务、数字数据网(DDN)承载企业专线等。为了降低运营成本提高盈利能力,电信运营商试图将不同的网络融合到一张网络上以承载多种业务。其中网际互联协议(IP)承载网作为融合网络的承载技术,得到运营商的青睐。随着越多的业务不断在IP承载网上出现并不断提升性能,例如IP承载语音(Voice over IP,VolP)、IP承载视频(Video overIP)、IP承载电视(TV over IP,IPTV),电信运营商采用IP会话和点到点协议(PPP)会话这两种基本的用户会话方式接入所有IP业务。
另一方面,越来越多的公司不仅希望通过公共网络安全地将他们在各地的办事处、分公司与公司总部联系起来,并且希望办事处、分公司之间也可以互联,以便员工不在公司总部也可以很方便地接入到公司总部或分公司。过去,只能通过二层网络(Layer-2network)如ISDN或帧中继,将所有总部、分公司和办事处的网络互联起来,这种方式只能实现内部的网际协议(Internet protocol,IP)互通并且需要向电信运营商支付昂贵的线路费用(需要专门租用线路)。VPN(virtual Private Network)或VPDN(virtual Private Dial Network)技术让企业能够很容易地直接在互联网上直接实现公司总部、分公司和办事处网络的互联,而且能有效降低成本。下面是典型的采用点到点协议(Poin to Point Protocol,PPP)拨号接入虚拟专用网服务器的呼叫流程:
用户使用以太网点到点协议呼叫客户端(PPP over Ethernet Client,PPPoE Client)发起PPPoE呼叫,与网络接入服务器(Network AccessServer,NAS)协商并建立PPPoE会话;
在PPPoE会话建立成功后,PPPoE客户端发起点到点协议认证过程(PPP Authentication);
NAS从PPP认证报文中提取用户的帐号和密码等认证信息向认证服务器(Radius Server),代理用户发起认证请求;
Radius Server根据用户帐号和密码等信息确认用户是合法的并且是VPDN用户,在认证响应报文中携带用户策略以及二层隧穿协议(Layer2Tunneling Protocol,L2TP)的隧道参数(虚拟专用网服务器的IP地址、L2TP会话协商所需的参数等信息);
NAS确认用户是VPDN用户,根据认证响应报文的L2TP隧道参数,向虚拟专用网服务器协商并建立L2TP隧道以及会话;
NAS在确认L2TP会话建立成功后,转发用户的PPP报文到L2TP会话中;
用户和虚拟专用网服务器启动点到点链路配置协议/网络配置协议(PPPLCP/NCP)过程后,用户获得PPP链路参数和IP地址等信息,整个VPDN呼叫过程就结束了。
这种典型的远程接入(PPP拨号)方式,需要远程服务设备(VPDN服务器)对用户终端设备进行配置管理维护,管理维护复杂、成本高。
发明内容
本发明实施例提供了一种动态远程接入的方法,所述接入方法包括:用户发起用户会话呼叫后,获得用户会话所需的隧道信息,建立与远程服务设备的二层隧道和/或会话;获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置;建立所述二层地址信息到二层隧道和/或会话的映射关系,根据所述映射关系转发报文。
本发明实施例还提供了一种通信接入设备,所述设备包括:会话建立装置,用于在用户终端发起用户会话呼叫后,获得用户会话所需的隧道信息,根据所述用户会话所需的隧道信息建立IP边缘设备与远程服务设备的二层隧道和/或会话;关联装置,用于获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置,建立所述二层地址信息到所述二层隧道和/或会话的映射关系;转发装置,用于根据所述映射关系转发报文。
本发明实施例还提供了一种通信系统,所述系统包括:一个或多个远程服务设备和至少一个通信接入设备,所述至少一个通信接入设备,用于在用户发起用户会话呼叫后,获得用户会话所需的隧道信息,根据所述隧道信息建立与所述一个或多个远程服务设备的二层隧道和/或会话,获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置,建立所述二层地址信息到二层隧道和/或会话的映射关系,根据所述映射关系转发报文;所述一个或多个远程服务设备,用于通过所述二层隧道和/或会话与所述至少一个通信接入设备相连,接收来自所述通信接入设备的报文,为通过所述通信接入设备接入的用户提供远程接入服务;所述通信接入设备为IP边缘设备,所述远程服务设备为虚拟专用网服务器。
附图说明
图1为传统的PPPoE接入虚拟专用网服务器的呼叫流程;
图2为本发明实施例的隐式认证的IP Session动态接入VPN的建立流程;
图3为本发明实施例的PANA认证的IP会话动态接入VPN的建立流程;
图4为本发明实施例DHCP认证的IP会话动态接入VPN的建立流程;
图5为本发明实施例策略驱动的IP会话动态接入VPN的呼叫流程;
图6为本发明实施例策略驱动的PPP会话动态接入VPN的呼叫流程;
图7为本发明实施例协议栈示意图;
图8-A为本发明实施例通信接入设备结构框图;
图8-B为本发明实施例通信接入设备结构框图。
具体实施方式
本发明实施例提供了一种远程接入的方法,用户发起用户会话呼叫后,获得用户会话所需的隧道信息,建立与远程服务设备的二层隧道和/或会话;获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置;建立所述二层地址信息到二层隧道和/或会话的映射关系,根据所述映射关系转发报文。根据上述方案,用户某个用户终端登陆,由于接入通信设备绑定了用户接入的二层地址信息绑定所述二层地址信息和所述用户所在网络的位置,建立所述二层地址信息到二层隧道和/或会话的映射关系,远程服务设备不要配置管理维护用户终端。
为便于理解,下面结合附图描述本发明实施例提供的远程接入呼叫流程。
第一实施例
通过隐式认证方式接入虚拟专用网VPN的呼叫流程。我们以用户发起IP会话呼叫为例,参见图2所示为隐式认证的IP Session动态接入VPN的建立流程,具体如下:
S201:用户(User)打开计算机等网络终端设备,通过DHCP客户代理 发送动态主机配置协议的发现报文DHCP Discover,启动地址分配过程;
S202:接入点(Access Node,AN)捕获用户终端设备发送的DHCPDiscover报文,并将捕获到该报文的接收端口号或DSL端口号以Option82(82选项)的格式插入到该DHCP Discover报文中,然后转发修改后的报文;
这里的接入点能够实现二层DHCP中继(L2DHCP Relay)功能,如数字用户线接入汇聚设备(DSLAM);
另外,此后接入点可以不对DHCP的后续报文(如offer、request和Ack)进行修改,而是直接转发;
S203:IP边缘设备(IP Edge,如宽带远程接入服务器BRAS)收到用户终端设备发送的DHCP Discover报文,从中提取用户终端设备的端口号(Line Info)或构造用户帐号,代理用户发起认证请求;
S204:认证服务器(Radius Server)根据端口号或用户帐号进行认证,认证通过后,在向IP边缘设备的认证响应报文中携带用户策略,如果用户是虚拟专用网用户(VPN或VPDN用户),那么在用户策略中携带虚拟专用网的隧道的信息,如L2TP v3的会话参数、虚拟专用网服务器(VPDNServer)的IP地址等;
S205:IP边缘设备确认用户是否合法,确认用户是合法之后,获得用户的授权信息,并确认该IP session被授权了,然后将用户的策略应用到该IPSession上,如果用户是虚拟专用网用户,那么根据用户的虚拟专用网参数与虚拟专用网服务器协商并建立L2TP隧道或会话;
S206:IP边缘设备在确认L2TP隧道或会话建立成功后,从而确定用户终端设备发起的IP Session已经被授权了,于是将用户接入的二层信息如MAC和/或虚拟局域网(VLAN)地址信息等,与该IP Session用户在IP边缘 设备所感知的位置信息建立绑定关系,同时建立MAC和/或其他二层信息(如VLAN)与L2TP会话之间映射关系;
S207:IP边缘设备通过该用户的L2TP会话向位于虚拟专用网服务器后面的动态主机配置服务器(DHCP Server)中继或转发用户的DHCPDiscovery报文,如果需要,该DHCP Discovery报文可以携带步骤S204认证服务器回应的远端拨入用户认证服务(Remote Authentication Dial in UserService,Radius)属性;
S208:虚拟专用网服务器收到用户的DHCP Discover,在本地建立用户的MAC和L2TP会话的关联关系(或绑定关系和映射关系),如果需要可仍按照IP session的隐式认证根据DHCP报文中携带的Radius等属性进行认证,在确认用户认证通过或直接信任从IP Edge来的DHCP报文的Radius等属性确认用户是合法的,从而确定该IP session被授权了并应用用户的策略到该IPSession上;
S209:虚拟专用网服务器将DHCP报文转给DHCP服务器,流程与隐式认证的IP Session是一致的;
S210:DHCP服务器检查DHCP Discovery的参数,确认自己是用户的地址分配服务器后,向用户回应地址分配服务确认(DHCP Offer)报文,该报文经虚拟专用网服务器和IP边缘设备中继或转发给用户;
S211:用户收到服务器回应的DHCP Offer报文后,确认选择该服务器作为地址分配服务器后,(可以直接)发送地址分配请求(DHCPRequest)给DHCP服务器;
S212:DHCP服务器根据DHCP Request的参数为用户分配IP地址并向用户或IP边缘设备回应DHCP Ack;用户收到DHCP Ack后,动态接入虚拟专用网的IP Session的建立过程就结束了。
第二实施例
通过网络接入认证协议(Protocol for carrying Authentication forNetwork Access,PANA)的认证方式接入虚拟专用网VPN的呼叫流程。我们以用户发起IP会话呼叫为例,参见图3所示为PANA认证的IP Session动态接入VPN的建立流程,具体如下:
S301:用户打开计算机等网络终端,发送DHCP Discovery(动态主机配置协议的发现报文),启动地址分配过程(IP config),从而用户从DHCPServer1获得IP地址并完成地址配置过程(如PANA认证过程流程相同);
S302:用户在地址分配成功后,向IP边缘设备发起PANA认证过程;
S303:Radius Server(认证服务器)在PANA认证通过后,在向IP边缘设备的认证响应报文中携带用户策略Radius服务器在获得用户的策略信息,如果用户是VPDN,那么在用户策略中携带VPDN的隧道的信息,如L2TP v3的会话参数、虚拟专用网服务器的IP地址等;
S304:IP边缘设备确认用户是合法的之后,确认该IP session被授权了并应用用户的策略到该IP Session上,如果用户是VPDN用户,那么根据用户的VPDN参数与虚拟专用网服务器协商并建立L2TP隧道和会话;
S305:IP边缘设备在确认L2TP会话建立成功后,从而确定用户的IPSession已经被授权了,于是将用户的MAC和其他二层信息(如VLAN等)与该IP Session用户在IP边缘设备所感知的位置信息建立绑定关系,同时建立MAC或/和其他二层信息与L2TP会话之间映射关系;
S306:在PANA认证通过后,如果需要向DHCP Server2就发起重新地址分配过程(IP reconfig),用户向DHCP Server重新发起一个DHCPDiscover报文;
S307:AN按地址配置(IP config)的过程对DHCP报文进行处理并转发了;
S308:IP边缘设备收到DHCP报文根据用户的Radius信息更新DHCP报文,将DHCP经L2TP会话转发到虚拟专用网服务器;
S309:虚拟专用网服务器收到用户的DHCP Discover,在本地建立用户的MAC和L2TP会话的绑定关系和映射关系,如必要可选仍按照IP session的隐式认证根据DHCP报文中携带的Radius等属性进行认证,在确认用户认证通过或直接信任从IP Edge来的DHCP报文的Radius等属性确认用户是合法的,从而确定该IP session被授权了并应用用户的策略到该IP Session上,然后转发DHCP报文给DHCP服务器;
S310:DHCP服务器检查DHCP Discovery的参数,确认自己是用户的地址分配服务器后,向用户回应DHCP Offer(地址分配服务确认)报文,该报文经虚拟专用网服务器和IP边缘设备中继或转发给用户;
S311:用户收到服务器回应的DHCP Offer报文后,确认选择该服务器作为地址分配服务器后,(可以直接)发送DHCP Request(地址分配请求)给DHCP服务器;
S312:DHCP服务器根据DHCP Request的参数为用户分配IP地址并向用户或IP边缘设备回应DHCP Ack;
S313:如必要,可在用户收到DHCP Ack后,重新发起一起PANA认证过程,
S314:在PANA认证通过后,虚拟专用网服务器更新IP Session的用户策略,此时动态接入虚拟专用网的IP Session的建立过程就结束了。
第三实施例
通过动态主机配置协议(DHCP)认证方式接入虚拟专用网VPN的呼叫流程。我们以用户发起IP会话呼叫为例,参见图4所示为DHCP Auth认证的IPSession动态接入虚拟专用网的建立流程,具体如下:
S401:用户打开计算机等网络终端,发送DHCP Discovery(动态主机配置协议的发现报文),启动地址分配过程;
S402:接入节点(如DSLAM-数据用户线接入汇聚设备)捕获用户的DHCP Discover报文并将捕获到该报文的接收端口号或DSL端口号以Option82(82选项)的格式插入到该DHCP Discover报文中,然后转发修改后的报文;
另外,此后接入节点可以不对DHCP的后续报文(offer、request、和Ack)进行修改,而是直接转发。
S403:IP边缘设备(IP Edge,如BRAS-宽带远程接入服务器)收到用户的DHCP Discover报文,从中提取用户的端口号(Line Info)和DHCPAuth的选项,如果需要启动DHCP Auth,那么IP边缘设备根据draft-pruss-dhcp-auth-dsl-00与用户启动DHCP认证过程;
S404:IP根据认证协议(如draft-pruss-dhcp-auth-dsl-00)向RadiusServer发起认证请求,Radius Server确认用户认证通过后,在认证响应报文中通知IP Edge用户的策略,如果用户是VPDN,那么在用户策略中携带VPDN的隧道的信息,如L2TP v3的会话参数、VPDN服务器的IP地址等;
S405:IP边缘设备确认用户是合法的之后,确认该IP session被授权了并应用用户的策略到该IP Session上,如果用户是VPDN用户,那么根据用户的VPDN参数与VPDN服务器协商并建立L2TP隧道和会话;
S406:IP边缘设备在确认L2TP会话建立成功后,从而确定用户的IPSession已经被授权了,于是将用户的MAC和其他二层信息(如VLAN等)与 该IP Session用户在IP边缘设备所感知的位置信息建立绑定关系,同时建立MAC或/和其他二层信息与L2TP会话之间映射关系;
S407:IP边缘设备通过该用户的L2TP会话向位于VPDN服务器后面的DHCP Server(动态主机配置服务器)中继或转发用户的DHCP Discovery报文并可以携带认证服务器回应的必要的Radius属性;
S408:VPDN服务器收到用户的DHCP DISCOVER,在本地建立用户的MAC和L2TP会话的绑定关系和映射关系,如必要可选仍按照IP session的DHCP Auth认证过程或隐式认证方式对用户再次认证,在确认用户认证通过或直接信任从IP Edge来的DHCP报文的Radius等属性确认用户是合法的,从而确定该IP session被授权了并应用用户的策略到该IP Session上;
S409:VPDN服务器将DHCP报文转给DHCP服务器,流程与隐式认证的IP Session是一致的;
S410:DHCP服务器检查DHCP Discovery的参数,确认自己是用户的地址分配服务器后,向用户回应DHCP Offer(地址分配服务确认)报文,该报文经VPDN服务器和IP边缘设备中继或转发给用户;
S411:用户收到服务器回应的DHCP Offer报文后,确认选择该服务器作为地址分配服务器后,(可以直接)发送DHCP Request(地址分配请求)给DHCP服务器;
S412:DHCP服务器根据DHCP Request的参数为用户分配IP地址并向用户或IP边缘设备回应DHCP Ack;用户收到DHCP Ack后,动态接入VPN的IP Session的建立过程就结束了。
第四实施例
通过策略驱动方式接入虚拟专用网VPN的呼叫流程。我们以用户发起IP 会话呼叫为例,参见图5所示为策略驱动的IP Session动态接入VPN的建立流程,具体如下:
S501:用户仍按原有的IP Session认证过程配置IP地址;
S502:IP边缘设备确认用户是合法的之后,确定该IP session被授权了并应用用户的策略到该IP Session上;
S503:OSS、BSS或应用服务器需要用户动态接入到VPN服务器中,推动更新的用户策略到IP边缘设备,其中,用户策略中携带VPDN的隧道的信息(如L2TPv3的会话参数、VPDN服务器的IP地址等)以及过滤策略(如所有用户的报文、访问某个IP地址等);
S504:IP边缘设备确认策略服务器所要更新用户的IP Session仍然存在,根据用户的VPDN参数与VPDN服务器协商并建立L2TP隧道和会话;
S505:在确认用户的L2TP会话创建成功后,IP边缘设备更新用户的IP会话的策略并应用响应的过滤策略到该IP会话上,并将用户的MAC和其他二层信息(如VLAN等)与该IP Session用户在IP边缘设备所感知的位置信息建立绑定关系,同时建立MAC或/和其他二层信息与L2TP会话之间映射关系;
S506:IP边缘设备根据更新后的过滤策略,将所规定的用户的包含MAC地址的IP报文通过用户的L2TP会话转发给VPDN,由VPDN服务器进行后续的处理,此时,动态接入VPN的过程结束了。
本发明实施例提供的方法不仅支持网际互联协议会话(IP Session),而且可以支持点到点协议(PPP)会话。我们以策略驱动的PPP会话动态接入VPN的呼叫为例,参见图6所示为策略驱动的PPP会话动态接入VPN的建立流程,具体如下:
S601:用户按原有的PPP Session认证过程配置IP地址;
S602:IP边缘设备确认用户是合法的之后,确定该PPP session被授权了并应用用户的策略到该IP Session上;
S603:OSS、BSS或应用服务器需要用户动态接入到VPN服务器中,推动更新的用户策略到IP边缘设备,其中,用户策略中携带VPDN的隧道的信息(如L2TP v3的会话参数、VPDN服务器的IP地址等)以及过滤策略(如所有用户的报文、访问某个IP地址等);
S604:IP边缘设备确认策略服务器所要更新用户的PPP Session仍然存在,根据用户的VPDN参数与VPDN服务器协商并建立L2TP隧道和会话;
S605:在确认用户的L2TP会话创建成功后,IP边缘设备更新用户的PPP会话的策略并应用响应的过滤策略到该会话上,并将用户的MAC和/或其他二层信息(如VLAN等)与该用户在IP边缘设备所感知的位置信息建立绑定关系,同时将MAC和/或其他二层信息(如VLAN)等二层信息映射到L2TP会话中;
S606:IP边缘设备根据更新后的过滤策略,将所规定的用户的PPP报文包含MAC和IP报文构造MAC报文通过用户的L2TP会话转发给VPDN,由VPDN服务器进行后续的处理,此时,动态接入VPN的过程结束了。
上述几种方法实现了用户会话动态建立隧道或会话接入到VPN的完整的交互过程,采用这种方法可以保证用户会话的二层(如MAC层)以上的信息的可信度,从而建立从用户到IP边缘直到VPN服务器的可信连接。具体的协议栈处理参见图7所示。
采用本发明实施例提供的上述方案,用户发起用户会话呼叫后,远程服务设备(如虚拟专用网)通过动态隧道建立机制无需对用户终端设备直接进行配置(静态配置),从而简化管理和业务部署的工作;由于边缘设备绑定了二层地址信息和用户所在网络的位置,而不是用户标识和虚拟专用网的标 识,采用这种方式用户在游牧状态也能有效接入目标网络。
其中,在本发明实施例中,通信接入设备(如IP Edge)和远程服务设备(如虚拟专用网服务器)支持用户策略机制。获得用户会话对应的用户策略的方式包括:通过解析认证服务器返回的认证消息获得所述用户会话对应的用户策略;和/或通过解析策略服务器下发的消息获得所述用户会话对应的用户策略。其中,用户策略还包括过滤策略(如所有用户的报文,访问某个IP地址等),可以根据过滤策略转发报文。
其中,在本发明实施例中,将用户会话所需的隧道信息承载在用户策略中提供给通信接入设备和/或远程服务设备,采用这种方式可以方便管理且简化流程,当然也可以采用其它方式。
其中,在本发明实施例中从接入远程服务的安全角度出发,可以采用多种认证方式、多次分级方式或混合认证方式(即多种认证方式结合)对所述用户会话相关信息进行认证,可采用的认证方式包括但不仅限于如下方式:隐式认证、网络接入认证协议(PANA)认证、认证授权计费(AAA)认证、点到点协议(PPP)认证、动态主机配置协议(DHCP)认证,或者可以为其他认证方式。
根据上述方法的思想,本发明实施例提供的通信接入设备(如IPEdge)800需要有如下装置,参见图8-A和图8-B:
会话建立装置802,用于在用户终端发起用户会话呼叫后,获得用户会话所需的隧道信息,根据所述用户会话所需的隧道信息建立与远程服务设备的二层隧道和/或会话;
关联装置804,用于获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置,建立所述二层地址信息到所述二层隧道和/或会话的映射关系;
转发装置806,用于根据所述映射关系转发报文。
策略获得装置808,用于获得所述用户终端对应的用户策略;
策略应用装置810,用于安装和/或更新所述用户会话对应的用户策略,并将所述用户策略应用到所述二层隧道或会话中。
网络端认证装置812,用于与网络侧认证服务设备进行认证协商,所述网络端认证装置支持的认证方式包括:动态主机配置协议(DHCP)认证,网络接入认证协议(PANA)认证,认证授权计费(AAA)认证、点到点协议(PPP)认证和隐式认证;和/或
客户端认证装置814,用于与用户终端进行认证协商,所述客户端认证装置支持的认证方式包括:动态主机配置协议(DHCP)认证,用户会话(IP Session)认证,点到点协议(PPP)认证和网络接入认证协议(PANA)认证。
其中,策略获得装置包括第一策略获得装置和/或第二策略获得装置:
第一策略获得装置,用于通过解析所述网络端认证装置返回的认证响应消息得到所述用户策略;和/或
第二策略获得装置,用于通过解析用户会话参数提供设备(如策略服务器)下发的消息得到所述用户策略。
根据上述方法,本发明实施例提供一种通信系统,该系统包括:一个或多个远程服务设备和至少一个通信接入设备,
所述至少一个通信接入设备,用于在用户发起用户会话呼叫后,获得用户会话所需的隧道信息,根据所述隧道信息建立与所述一个或多个远程服务设备的二层隧道和/或会话,获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置,建立所述二层地址信息到二层隧道 和/或会话的映射关系,根据所述映射关系转发报文;
所述一个或多个远程服务设备,用于通过所述二层隧道和/或会话与所述至少一个通信接入设备相连,接收来自所述通信接入设备的报文,为通过所述通信接入设备接入的用户提供远程接入服务。
所述通信系统还包括一个或多个提供认证服务的通信设备,
所述一个或多个提供认证服务的通信设备,用于与所述通信接入设备和/或用户终端进行认证协商,所述提供的认证服务包括如下一种或多种组合:动态主机配置协议(DHCP)认证,网络接入认证协议(PANA)认证,认证授权计费(AAA)认证、点到点协议(PPP)认证和隐式认证。
所述一个或多个提供认证服务的通信设备包括:
认证装置,用于与所述通信接入设备进行认证协商,所述提供的认证服务包括如下一种或多种组合:动态主机配置协议(DHCP)认证,网络接入认证协议(PANA)认证,认证授权计费(AAA)认证、点到点协议(PPP)认证和隐式认证;
用户会话参数提供装置,用于为所述通信接入设备提供所述用户会话对应的用户策略和/或用户会话所需的隧道信息。
所述通信系统还包括用户会话参数提供设备,用于为所述通信接入设备提供所述用户会话对应的用户策略和/或用户会话所需的隧道信息。
其中,所述远程服务设备包括:
会话建立装置,用于建立与所述边缘设备的二层隧道或会话;
会话接入装置,用于在所述二层隧道或会话建立完成后,为用户终端提供虚拟专用网接入服务;
策略应用装置,用于安装和/或更新所述用户会话对应的用户策略,并将 所述用户策略应用到所述二层隧道和/或会话中。
其中,这里的策略可以为过滤策略,如所有用户的报文、访问某个IP地址等。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求的保护范围为准。
Claims (16)
1.一种动态远程接入的方法,其特征在于,用户发起用户会话呼叫后,所述接入方法包括:
获得用户会话所需的隧道信息,建立IP边缘设备与远程服务设备的二层隧道和/或会话;
获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置;
建立所述二层地址信息到二层隧道和/或会话的映射关系,根据所述映射关系转发报文。
2.根据权利要求1所述的方法,其特征在于,所述用户接入的二层地址信息包括:媒体接入控制和/或虚拟局域网地址信息。
3.根据权利要求1所述的方法,其特征在于,所述方法还包括:获得所述用户会话对应的用户策略,将所述用户策略应用到所述二层隧道和/或会话中。
4.根据权利要求1至3任意一项所述的方法,其特征在于,所述方法还包括:通过一个或多个认证方式对所述用户会话相关信息进行认证;
所述获得用户会话对应的用户策略和/或所述用户会话所需的隧道信息的方式包括:
通过解析认证响应消息获得所述用户会话对应的用户策略和/或所述用户会话所需的隧道信息。
5.根据权利要求4所述的方法,其特征在于,认证方式包括:隐式认证、网络接入认证协议认证、认证授权计费认证、点到点协议认证、动态主机配置协议认证。
6.根据权利要求1至3任意一项所述的方法,其特征在于,通过解析用户会话参数提供设备下发的消息获得所述用户会话对应的用户策略和/或所述用户会话所需的隧道信息。
7.根据权利要求1至3任意一项所述的方法,其特征在于,所述用户发起的用户会话包括:网际互联协议会话和点到点协议会话。
8.一种通信接入设备,其特征在于,所述设备包括:
会话建立装置,用于在用户终端发起用户会话呼叫后,获得用户会话所需的隧道信息,根据所述用户会话所需的隧道信息建立与远程服务设备的二层隧道和/或会话;
关联装置,用于获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置,建立所述二层地址信息到所述二层隧道和/或会话的映射关系;
转发装置,用于根据所述映射关系转发报文。
9.根据权利要求8所述的设备,其特征在于,所述设备还包括:
网络端认证装置,用于与网络侧认证服务设备进行认证协商,所述网络端认证装置支持的认证方式包括:动态主机配置协议认证,网络接入认证协议认证,认证授权计费认证、点到点协议认证和隐式认证;和/或
客户端认证装置,用于与用户终端进行认证协商,所述客户端认证装置支持的认证方式包括:动态主机配置协议认证,用户会话认证,点到点协议认证和网络接入认证协议认证。
10.根据权利要求7或8所述的设备,其特征在于,所述设备还包括:
策略获得装置,用于获得所述用户会话对应的用户策略;
策略应用装置,用于安装和/或更新获得的用户策略,并将所述用户策略应用到所述二层隧道或会话中。
11.根据权利要求10所述的设备,其特征在于,所述策略获得装置包括:
第一策略获得装置,用于通过解析所述认证响应消息得到所述用户策略;和/或
第二策略获得装置,用于通过解析用户会话参数提供设备下发的消息得到所述用户策略。
12.一种通信系统,其特征在于,所述系统包括:一个或多个远程服务设备和至少一个通信接入设备,
所述至少一个通信接入设备,用于在用户发起用户会话呼叫后,获得用户会话所需的隧道信息,根据所述隧道信息建立与所述一个或多个远程服务设备的二层隧道和/或会话,获得所述用户接入的二层地址信息,绑定所述二层地址信息和所述用户所在网络的位置,建立所述二层地址信息到二层隧道和/或会话的映射关系,根据所述映射关系转发报文;
所述一个或多个远程服务设备,用于通过所述二层隧道和/或会话与所述至少一个通信接入设备相连,接收来自所述通信接入设备的报文,为通过所述通信接入设备接入的用户提供远程接入服务;
所述通信接入设备为IP边缘设备,所述远程服务设备为虚拟专用网服务器。
13.根据权利要求12所述的通信系统,其特征在于,所述通信系统还包括一个或多个提供认证服务的通信设备,
所述一个或多个提供认证服务的通信设备,用于与所述通信接入设备和/或用户终端进行认证协商,所述提供的认证服务包括如下一种或多种组合:动态主机配置协议认证,网络接入认证协议认证,认证授权计费认证、点到点协议认证和隐式认证。
14.根据权利要求13所述的通信系统,其特征在于,所述一个或多个提供认证服务的通信设备包括:
认证装置,用于与所述通信接入设备进行认证协商,所述提供的认证服务包括如下一种或多种组合:动态主机配置协议认证,网络接入认证协议认证,认证授权计费认证、点到点协议认证和隐式认证;
用户会话参数提供装置,用于为所述通信接入设备提供所述用户会话对应的用户策略和/或用户会话所需的隧道信息。
15.根据权利要求12所述的通信系统,其特征在于,所述通信系统还包括用户会话参数提供设备,用于为所述通信接入设备提供所述用户会话对应的用户策略和/或用户会话所需的隧道信息。
16.根据权利要求12所述的通信系统,其特征在于,所述远程服务设备包括:
会话建立装置,用于建立与边缘设备的二层隧道或会话;
会话接入装置,用于在所述二层隧道或会话建立完成后,为用户终端提供虚拟专用网接入服务;
策略应用装置,用于安装和/或更新所述用户会话对应的用户策略,并将所述用户策略应用到所述二层隧道和/或会话中。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710074459A CN101309284B (zh) | 2007-05-14 | 2007-05-14 | 一种远程接入的通信方法、设备和系统 |
| PCT/CN2008/070963 WO2008138274A1 (fr) | 2007-05-14 | 2008-05-14 | Procédé et dispositif correspondant et système servant à accéder à un service distant |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200710074459A CN101309284B (zh) | 2007-05-14 | 2007-05-14 | 一种远程接入的通信方法、设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101309284A CN101309284A (zh) | 2008-11-19 |
| CN101309284B true CN101309284B (zh) | 2012-09-05 |
Family
ID=40001709
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200710074459A Active CN101309284B (zh) | 2007-05-14 | 2007-05-14 | 一种远程接入的通信方法、设备和系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101309284B (zh) |
| WO (1) | WO2008138274A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107666505B (zh) * | 2016-07-29 | 2020-09-15 | 京东方科技集团股份有限公司 | 对资源接入进行控制的方法和装置 |
| CN108617008B (zh) * | 2016-12-05 | 2019-09-17 | 大唐移动通信设备有限公司 | 一种业务数据处理的方法和装置 |
| CN107798843A (zh) * | 2017-11-14 | 2018-03-13 | 江苏领安智能桥梁防护有限公司 | 一种能够获得水文信息的防撞套箱智能系统 |
| CN109802920A (zh) * | 2017-11-16 | 2019-05-24 | 杭州中威电子股份有限公司 | 一种用于安防行业的设备接入混合认证系统 |
| CN110519171B (zh) | 2018-05-21 | 2021-02-12 | 华为技术有限公司 | 通信的方法和设备 |
| CN109819063A (zh) * | 2019-01-28 | 2019-05-28 | 上海市共进通信技术有限公司 | 实现自动更新下挂设备ip地址功能的方法及系统 |
| CN111262939B (zh) * | 2020-01-17 | 2023-03-28 | 珠海市横琴盈实科技研发有限公司 | 边缘计算节点通信方法、装置、计算机设备和存储介质 |
| CN113542395B (zh) * | 2021-07-13 | 2022-07-12 | 武汉绿色网络信息服务有限责任公司 | 报文处理方法和报文处理系统 |
| CN113595847B (zh) * | 2021-07-21 | 2023-04-07 | 上海淇玥信息技术有限公司 | 远程接入方法、系统、设备和介质 |
| CN114039795B (zh) * | 2021-11-26 | 2023-06-23 | 郑州信大信息技术研究院有限公司 | 软件定义路由器及基于该软件定义路由器的数据转发方法 |
| CN115834529B (zh) * | 2022-11-23 | 2023-08-08 | 浪潮智慧科技有限公司 | 一种边缘设备远程监测方法及系统 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6614809B1 (en) * | 2000-02-29 | 2003-09-02 | 3Com Corporation | Method and apparatus for tunneling across multiple network of different types |
| CN1612538A (zh) * | 2003-10-30 | 2005-05-04 | 华为技术有限公司 | 一种以太网二层交换设备绑定硬件地址和端口的方法 |
| CN1705307A (zh) * | 2004-06-03 | 2005-12-07 | 华为技术有限公司 | 基于虚拟局域网的二层虚拟专用网的实现方法 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20050116817A (ko) * | 2003-03-10 | 2005-12-13 | 톰슨 라이센싱 | 공중 인증 서버를 이용한 wlan 액세스 제어에서의아이덴티티 매핑 매커니즘 |
| CN1780294B (zh) * | 2004-11-26 | 2010-07-07 | 中兴通讯股份有限公司 | 基于以太网上的点到点协议实现虚拟专网的方法 |
| JP4401942B2 (ja) * | 2004-12-08 | 2010-01-20 | 株式会社日立コミュニケーションテクノロジー | パケット転送装置および通信ネットワーク |
| WO2007033519A1 (fr) * | 2005-09-20 | 2007-03-29 | Zte Corporation | Procede permettant la mise a jour d'un reseau de communication prive virtuel dynamiquement |
-
2007
- 2007-05-14 CN CN200710074459A patent/CN101309284B/zh active Active
-
2008
- 2008-05-14 WO PCT/CN2008/070963 patent/WO2008138274A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6614809B1 (en) * | 2000-02-29 | 2003-09-02 | 3Com Corporation | Method and apparatus for tunneling across multiple network of different types |
| CN1612538A (zh) * | 2003-10-30 | 2005-05-04 | 华为技术有限公司 | 一种以太网二层交换设备绑定硬件地址和端口的方法 |
| CN1705307A (zh) * | 2004-06-03 | 2005-12-07 | 华为技术有限公司 | 基于虚拟局域网的二层虚拟专用网的实现方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101309284A (zh) | 2008-11-19 |
| WO2008138274A1 (fr) | 2008-11-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101309284B (zh) | 一种远程接入的通信方法、设备和系统 | |
| CN109391940B (zh) | 一种接入网络的方法、设备及系统 | |
| EP1876754B1 (en) | Method system and server for implementing dhcp address security allocation | |
| US6657991B1 (en) | Method and system for provisioning network addresses in a data-over-cable system | |
| US6189102B1 (en) | Method for authentication of network devices in a data-over cable system | |
| EP1266489B1 (en) | Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management | |
| EP1266508B1 (en) | Method and apparatus for coordinating a change in service provider between a client and a server | |
| US6018767A (en) | Method and system for managing subscription services with a cable modem | |
| US6351773B1 (en) | Methods for restricting access of network devices to subscription services in a data-over-cable system | |
| US6775276B1 (en) | Method and system for seamless address allocation in a data-over-cable system | |
| US6185624B1 (en) | Method and system for cable modem management of a data-over-cable system | |
| US20070180142A1 (en) | Server, system and method for providing access to a public network through an internal network of a multi-system operator | |
| US20070242672A1 (en) | Unlicensed mobile access (UMA) communications using decentralized security gateway | |
| US8804562B2 (en) | Broadband network system and implementation method thereof | |
| JP5192047B2 (ja) | 通信制御システム、通信システム、及び通信制御方法 | |
| CN101478576A (zh) | 选择服务网络的方法、装置和系统 | |
| EP1898594A2 (en) | A method for providing broadband communication services | |
| KR20090016322A (ko) | 사설 네트워크를 포함하는 모바일 와이맥스 네트워크시스템 및 그 제어방법 | |
| KR101426721B1 (ko) | 가입자 단말을 인증하기 위한 방법 및 장비 | |
| EP2838242B9 (en) | Method and apparatus for preventing network-side media access control address from being counterfeited | |
| CN102695236A (zh) | 一种数据路由方法及系统 | |
| CA2458917C (en) | Providing end-user communication services over peer-to-peer internet protocol connections between service providers | |
| CN101160916A (zh) | Ppp接入终端实现自动业务发放的方法及系统 | |
| CN107733764A (zh) | 虚拟可扩展局域网隧道的建立方法、系统以及相关设备 | |
| US20040240441A1 (en) | Enabling packet switched calls to a wireless telephone user |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |