发明内容
本发明解决的技术问题是提供一种融合网络中隧道建立的方法及系统,提高终端在3G/WLAN融合网络中隧道建立的效率。
为解决上述技术问题,本发明提供了一种融合网络中隧道建立的方法,
用户终端通过无线局域网接入网络(WLAN AN)的接入认证流程接入移动通信网络和WLAN融合网络中后,在访问所述移动通信网络的分组交换(PS)域业务时,在向隧道服务器发起的隧道建立请求中包含WLAN认证指示信息;
所述隧道服务器收到隧道建立请求后,如果其中包含WLAN认证指示信息,则直接根据所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。
进一步地,如果所述隧道服务器收到的隧道建立请求中不包含WLAN认证指示信息,则所述隧道服务器向所述终端发起安全认证流程。
进一步地,所述隧道建立请求中还包含用户标识、请求访问的无线局域网接入点名(W-APN);
所述隧道服务器收到所述隧道建立请求后,根据所述用户标识查找所述用户的授权信息,并根据查找到的所述用户的授权信息中包含的授权的APN列表,判断所述用户请求访问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所述PS域业务已授权访问,并向所述终端返回隧道建立成功响应。
进一步地,如果所述终端请求访问的W-APN不在授权的APN列表中,则所述隧道服务器判断所述PS域业务未授权访问,则不允许所述用户建立隧道,并向所述终端返回隧道建立失败响应。
进一步地,所述隧道服务器收到所述隧道建立请求后,在根据所述用户标识查找所述用户的授权信息时,首先根据所述用户标识查找本地是否保存有所述用户的授权信息,如果本地没有保存,则向所述移动通信网络的认证、授权和计费(AAA)服务器获取所述用户的授权信息,并将获取到的所述用户的授权信息保存到本地。
本发明还提供了一种融合网络中隧道建立的系统,应用于终端,所述终端包括WLAN接入模块,用于通过WLAN AN的接入认证流程接入移动通信网络和WLAN融合网络;
所述终端还包括隧道建立请求模块,用于在所述WLAN接入模块通过WLAN AN的接入认证流程接入所述融合网络中后,访问移动通信网络的PS域业务时,向隧道服务器发起隧道建立请求,并在所述隧道建立请求中包含WLAN认证指示信息。
进一步地,所述隧道建立请求模块还用于,在所述隧道建立请求中包含用户标识、请求访问的W-APN。
本发明还提供了一种融合网络中隧道建立的系统,应用于隧道服务器,所述系统包括:
隧道服务器中的隧道建立请求处理模块,用于收到终端访问移动通信网络的PS域业务时发起的隧道建立请求时,如果其中包含WLAN认证指示信息,则获知所述终端已经通过LAN AN的接入认证流程,则直接根据所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。
进一步地,所述隧道建立请求处理模块还用于,如果收到的隧道建立请求中不包含WLAN认证指示信息,则向所述终端发起安全认证流程。
进一步地,所述隧道建立请求处理模块还用于,收到所述隧道建立请求后,根据所述隧道建立请求中包含的所述用户标识在本地查找或者向所述移动通信网络的AAA服务器获取所述用户的授权信息,并根据所述用户的授权信息中包含的授权的APN列表,判断所述用户请求访问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所述PS域业务已授权访问,并向所述终端返回隧道建立成功响应;如果不在授权的APN列表中,则不允许所述用户建立隧道,并向所述终端返回隧道建立失败响应。
本发明对3G/WLAN融合网络中原有隧道建立流程进行了简化和优化,不再向终端重复发起安全认证请求,提高了隧道建立的效率,降低了隧道建立的复杂度,同时也保证了隧道建立的安全性。
具体实施方式
本发明的核心思想在于,在终端需要访问PS域业务,向隧道服务器发起隧道建立请求时,通过在请求中增加特定的字段来通知隧道服务器该用户已通过了与WLAN AN的EAP认证流程;隧道服务器通过该字段即可判断是否需要向用户发起EAP认证流程。如果终端用户已经通过WLAN AN的接入认证流程,则不需要再发起新一轮的EAP认证流程,同时向3GPP AAA获取该用户的授权信息。隧道服务器将隧道建立请求中的W-APN与用户授权信息中允许访问的APN列表进行比较,如果请求的APN被授权访问,则隧道服务器同意建立隧道,向终端返回隧道建立响应,并将安全隧道参数以及IP等信息一起返回。
基于上述思想,本发明提出一种融合网络中隧道建立的方法,具体采用如下技术方案:
终端通过WLAN AN的接入认证流程接入移动通信网络和WLAN融合网络中后,访问3G网络的PS域业务时,向隧道服务器发起隧道建立请求,并在所述隧道建立请求中包含WLAN认证指示信息;
所述隧道服务器收到隧道建立请求后,如果其中包含WLAN认证指示信息,则直接根据所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。
其中,所述移动通信网络可以是2G/3G网络,也可以是其他移动通信网络。
进一步地,如果所述隧道服务器收到的隧道建立请求中不包含WLAN认证指示信息,则所述隧道服务器向所述终端发起安全认证流程。
其中,所述隧道建立请求中还包括用户标识、请求访问的W-APN;
所述隧道服务器收到所述隧道建立请求后,根据所述用户标识查找所述用户的授权信息,并根据查找到的所述用户的授权信息中包含的授权的APN列表,判断所述用户请求访问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所述PS域业务已授权访问,并向所述终端返回隧道建立成功响应。
进一步地,如果所述用户请求访问的W-APN不在授权的APN列表中,则不允许所述用户建立隧道,并向所述终端返回隧道建立失败响应。
进一步地,所述隧道服务器收到所述隧道建立请求后,首先根据所述用户标识查找本地是否保存有所述用户的授权信息,如果本地没有保存,则向所述移动通信网络的AAA Server获取所述用户的授权信息,并将获取的所述用户的授权信息保存到本地。
进一步地,所述隧道服务器在完成所述终端的隧道建立后,通知所述移动通信网络的AAA Server所述终端已接入PS域并且访问所述W-APN。
进一步地,所述隧道服务器在完成所述终端的隧道建立后,通知所述终端的HLR(Home Location Register,归属位置寄存器)对所述用户的信息进行更新。
为了便于阐述本发明,以下将结合附图及具体实施例对本发明技术方案的实施作进一步详细描述。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
图1示出了WLAN与3GPP融合网络下,终端以及各网络节点之间的连接示意图。其中,终端为具有WLAN和3G接入的双模终端,并且支持SIP协议栈。终端可以通过WLAN接入网络(WLAN AN)直接访问Internet,也可以由隧道服务器通过建立隧道访问3G业务。隧道服务器是用户通过WLAN接入到3G PS域的网关,主要功能为隧道建立、分组路由、地址解析以及IP地址绑定等。同时在本发明中,隧道服务器还需有支持SIP协议(Session Initiation Protocol,会话发起协议),以及保存用户授权信息的功能。3GPP AAA主要用于EAP认证,同时向隧道服务器提供用户的授权信息以及密钥套件。HLR则主要用于存储用户鉴权信息以及授权信息,并在AAA需要时提供给AAA。
图2示出了本发明实施例的建立隧道时各网元之间的交互流程图。如图2所示,以3G和WLAN的融合网络为例,该流程主要包括以下步骤:
步骤1,终端首先发起到WLAN AN的接入流程;
该流程中包含了EAP-AKA或EAP-SIM鉴权流程,具体流程可参照现有技术,本文中不再详细叙述该鉴权流程。
步骤2,终端成功接入WLAN AN后,如果要访问3GPS业务,则向隧道服务器发起隧道建立请求;
本发明中,隧道建立请求通过SIP Register(SIP注册)消息发送给隧道服务器,其中携带了用户标识、请求访问的W-APN,以及WLAN-Ind字段。其中,WLAN-Ind为用户自定义字段,用于通知隧道服务器该终端用户已经通过WLAN AN的安全认证。
步骤3, 隧道服务器在收到终端的隧道建立请求后,根据WLAN-Ind字段判断终端已完成WLAN AN的安全认证流程,则根据终端的用户标识查找该用户的授权信息,首先判断本地是否保存有该用户的授权信息,如果本地保存有,则直接执行步骤7,否则,可通过下述可选步骤4和步骤5向3GPP AAA获取该用户的授权信息;
该步骤中,如果请求消息中含有WLAN-Ind字段,则认为终端用户已经通过了WLAN AN的安全认证,隧道服务器不再向终端发起EAP认证;否则,隧道服务器将向终端发起EAP认证流程,同时还进行隧道建立的常见流程,此处对EAP流程及隧道建立的常见流程不再进行赘述。
步骤4,隧道服务器根据终端的用户标识,首先在本地查找该用户的授权信息,如果本地未存储该用户授权信息,则向3GPP AAA发起请求(如通过接入请求access request),获取用户授权信息。
步骤5,3GPP AAA返回该用户的授权信息(如通过接入接受access accept),主要包括MSISDN(Mobile Subscriber ISDN number,移动用户号码)、APN、QoS(Quality of Service,服务质量)等,以及终端接入WLAN AN时生成的密钥套件。
步骤6,隧道服务器将获取到用户的授权信息保存到本地。
步骤7,隧道服务器将终端隧道建立请求中携带的请求访问的W-APN与用户授权访问的APN进行比较,判断用户请求访问的W-APN是否已被授权访问,如果请求访问的W-APN存在于允许访问的APN列表中,则隧道服务器允许终端的隧道建立请求。
步骤8,隧道服务器在完成对终端用户的安全认证以及隧道建立后,通知3GPP AAA该终端已接入3G PS域并且访问W-APN,同时AAA还需通知HLR对该用户信息进行更新。
步骤9, 隧道服务器生成对应该APN的隧道参数,安全联盟参数,分配给终端用户远端IP地址,并与终端的本地IP绑定,同时将这些参数连同隧道建立结果一起,通过200 OK消息发送给终端。
步骤10、 终端在收到200 OK消息后,获取隧道参数、安全联盟参数以及隧道服务器分配的远端IP地址,用于终端的隧道建立。在隧道建立成功之后,终端就可以访问3G PS域业务了。终端和隧道服务器在终端访问3G业务的过程中,数据加密和完整性保护的密钥都沿用终端接入WLAN AN时产生的安全密钥套件。
图3示出了隧道服务器在收到终端的隧道建立请求后,对隧道建立请求进行处理的具体流程。参见图3,该流程具体描述如下:
步骤一,隧道服务器收到终端的隧道建立请求;
步骤二,从终端的请求中解析WLAN-Ind字段,如果终端接入WLAN-AN时已通过安全认证,则不再向终端发起安全认证请求;
步骤三,查看本地是否已保存该用户对应的授权信息,如果已保存,则直接执行步骤六,否则,执行下一步骤四;
步骤四,如果隧道服务器本地没有保存该用户对应的授权信息,则向3GPP AAA发起请求,要求获取该用户授权信息;
步骤五,隧道服务器收到3GPP AAA返回的用户授权信息后,在本地保存;
步骤六,隧道服务器根据用户的授权信息,判断用户请求访问的W-APN是否在授权的APN列表中;如果是,则执行下一步骤七,否则,向终端返回相应的授权处理结果;
步骤七,向终端返回隧道建立成功的响应。
此外,本发明实施例中还提供了一种融合网络中隧道建立的系统,应用于终端,包括WLAN接入模块,该WLAN接入模块用于通过WLAN AN的接入认证流程接入移动通信网络和WLAN融合网络;
所述终端还包括隧道建立请求模块,用于在所述WLAN接入模块通过WLAN AN的接入认证流程接入所述融合网络中后,访问移动通信网络的PS域业务时,向隧道服务器发起隧道建立请求,并在所述隧道建立请求中包含WLAN认证指示信息。
进一步地,所述隧道建立请求模块还用于,在所述隧道建立请求中包含用户标识、请求访问的W-APN。
此外,本发明还提供了一种融合网络中隧道建立的系统,应用于隧道服务器,所述系统包括:
隧道服务器中的隧道建立请求处理模块,用于收到终端访问移动通信网络的PS域业务时发起的隧道建立请求时,如果其中包含WLAN认证指示信息,则获知所述终端已经通过LAN AN的接入认证流程,则直接根据所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。
进一步地,所述隧道建立请求处理模块还用于,如果收到的隧道建立请求中不包含WLAN认证指示信息,则向所述终端发起安全认证流程。
进一步地,所述隧道建立请求处理模块还用于,收到所述隧道建立请求后,根据所述隧道建立请求中包含的所述用户标识在本地查找或者向所述移动通信网络的AAA服务器获取所述用户的授权信息,并根据所述用户的授权信息中包含的授权的APN列表,判断所述用户请求访问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所述PS域业务已授权访问,并向所述终端返回隧道建立成功响应;如果不在授权的APN列表中,则不允许所述用户建立隧道,并向所述终端返回隧道建立失败响应。
以上仅为本发明的优选实施案例而已,并不用于限制本发明,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。