CN102130887B - 一种在公共设备上接入网络的方法及系统 - Google Patents
一种在公共设备上接入网络的方法及系统 Download PDFInfo
- Publication number
- CN102130887B CN102130887B CN201010002849.4A CN201010002849A CN102130887B CN 102130887 B CN102130887 B CN 102130887B CN 201010002849 A CN201010002849 A CN 201010002849A CN 102130887 B CN102130887 B CN 102130887B
- Authority
- CN
- China
- Prior art keywords
- user
- aid
- asn
- common equipment
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
Abstract
本发明公开了一种在公共设备上接入网络的方法及系统,应用于身份标识和位置分离网络,能够对在公共设备上接入网络的用户进行有效的溯源和追踪,其中该方法包括:接入服务器(ASN)收到用户在公共设备上发送的接入网络请求消息后,发送到认证中心(AC),所述接入网络请求消息中至少包括所述用户的账号和密码;所述AC对所述账号和密码的有效性进行验证,如果验证通过,则将所述用户的接入身份标识(AID)发送给所述ASN;所述ASN收到所述用户的AID后,推送给所述公共设备,所述公共设备将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。
Description
技术领域
本发明涉及移动通讯领域和互联网领域,尤其涉及一种在公共设备上接入网络的方法及系统。
背景技术
在现有的IP网络中,人们在公共设备上接入网络时,直接使用公共设备的IP地址与其他用户进行通讯,网络监管机构无法对在公共设备上接入网络的用户进行追踪和溯源。例如,在现有的网络中,上网需要出示身份证件,但很多网吧仍然无法识别证件的真伪,甚至于没有合法证件也可以用网吧提供的某一个公用证件上网。这给网络监管机构的追踪和溯源带来了很大的困难。
而且,在现有网络中,由于传统的IP地址存在身份和位置的二义性,使得用户可以在公共设备上登录自己的业务账号,如邮件,网络银行等等,从而无法实现用户网络层IP与应用层业务绑定,一旦账号丢失,将给用户带来很大损失。如果在传统的IP技术上实现用户网络层IP与应用层业务绑定,用户在公共设备上接入网络时,由于网络层IP地址的不同,将不能访问自己的应用层业务。而对于网络监管机构来说,由于账号和用户IP不能绑定,对用户的监管力度也被削弱。
综上所述,目前的传统IP技术存在如下问题:
1、由于传统的IP地址存在身份和位置的二义性,使得监管机构无法对在公共设备上接入网络的用户进行有效的追踪和溯源,不仅存在安全隐患,也为打击违法犯罪活动带来了困难;
2、此外,传统的IP地址的身份和位置的二义性还使得用户无法用网络层IP与应用层业务绑定,从而无法更有效的保障应用层业务的安全性。
发明内容
本发明要解决的技术问题是提供一种在公共设备接入网络的方法及系统,能够在身份标识和位置分离网络中对在公共设备上接入网络的用户进行有效的溯源和追踪。
为了解决上述问题,本发明提供了一种在公共设备上接入网络的方法,应用于身份标识和位置分离网络,该方法包括:
接入服务器(ASN)收到用户在公共设备上发送的接入网络请求消息后,发送到认证中心(AC),所述接入网络请求消息中至少包括所述用户的账号和密码;
所述AC对所述账号和密码的有效性进行验证,如果验证通过,则将所述用户的接入身份标识(AID)发送给所述ASN;
所述ASN收到所述用户的AID后,推送给所述公共设备,所述公共设备将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。
进一步地,所述ASN收到所述用户的AID后,对所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的身份标识和位置登记寄存器(ILR)。
进一步地,所述ASN收到所述用户的AID后,建立所述用户的AID与所述公共设备的AID的映射表。
进一步地,所述ASN在建立所述用户的AID与所述公共设备的AID的映射表的同时,将所述用户的AID属性设置为虚拟AID,在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
进一步地,所述ASN禁止所管理的公共设备访问所述AC之外的用户或者设备。
进一步地,所述ASN采用如下方式禁止所述公共设备访问所述AC之外的用户或设备:
所述ASN对所管理的公共设备的AID进行备案;
在收到报文时,如果该报文的源地址为已备案的AID、且目的地址不是所述AC的AID,或者,该报文的目的地址为已备案的AID,且源地址不是所述AC的AID、则丢弃该报文。
进一步地,所述用户在所述公共设备上接入网络,在网络中处于在线状态后,当所述用户离线时,包括:
所述用户在所述公共设备上发送离线请求,所述ASN将该离线请求发送给所述AC;
所述AC删除所述用户在网络中的在线状态后,向所述ASN发送离线请求响应;
所述ASN解除所述用户的附着,并向所述ILR请求删除所述用户的AID与所述ASN的RID的映射关系;同时,删除所述用户的AID与所述与公共设备的AID的映射表,并将所述离线请求响应发送给所述公共设备;
所述公共设备收到所述离线请求响应后,删除所述用户的虚拟AID。
进一步地,所述用户的账号和密码是由网络管理者预先分配,或者通过在线提交个人身份信息申请得到;且在分配所述账号的同时,为所述用户分配绑定的AID。
进一步地,所述方法还包括:
所述ASN接收到接入网络请求后,判断其是否来自公共设备,如果不是,则所述ASN将所述接入网络请求发送给所述AC,并将所述AC的接入网络响应转发给所述接入网络请求的发起方。
本发明还提供了一种在公共设备上接入网络的系统,应用于身份标识和位置分离网络,该系统包括:接入服务器(ASN)、公共设备,认证中心(AC),其中
所述ASN用于,收到用户在公共设备上发送的接入网络请求消息后,发送到所述AC,所述接入网络请求消息中至少包括所述用户的账号和密码;且在收到所述AC发送的所述用户的AID后,推送给所述公共设备;
所述AC用于,接收到用户的接入网络请求消息后,对其中的所述账号和密码的有效性进行验证,如果验证通过,则将所述用户的接入身份标识(AID)发送给所述ASN;
所述公共设备用于,根据用户输入的账号和密码向所述ASN发送接入网络请求,并在收到所述ASN推送的所述用户的AID后,将所述用户的AID作为虚拟AID,使用所述虚拟AID进行所述用户的报文的收发。
进一步地,所述系统还包括身份标识和位置登记寄存器(ILR),
所述ASN还用于,收到所述用户的AID后,对所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的ILR;
所述ILR用于,保存所述用户的AID与所述ASN的RID的映射关系;以及,在接收到其他ASN根据用户的AID发起的映射关系查询请求后,将所述用户的AID所对应的RID返回给发起所述查询请求的ASN。
进一步地,所述ASN还用于,收到所述用户的AID后,建立所述用户的AID与所述公共设备的AID的映射表。
进一步地,所述ASN还用于,将所述用户的AID属性设置为虚拟AID,在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
进一步地,所述ASN还用于,禁止所管理的公共设备访问所述AC之外的用户或者设备。
进一步地,所述ASN还用于,接收到用户的离线请求后,发送给所述AC;以及,收到离线请求响应后,解除所述用户的附着,并向所述ILR请求删除所述用户的AID与所述ASN的RID的映射关系,同时,删除所述用户的AID与所述与公共设备的AID的映射表,并将所述离线请求响应发送给所述公共设备;
所述AC还用于,收到所述离线请求后,删除所述用户在网络中的在线状态后,向所述ASN发送离线请求响应;
所述公共设备还用于,收到所述离线请求响应后,删除所述用户的虚拟AID。
上述实施方案是基于身份标识和位置分离网络,利用用户AID的全网唯一性来实现用户在公共设备上接入网络。相较于目前的传统IP网络,采用上述实施方案,充分利用身份标识和位置标识分离网络的优越性,在全网AID唯一的基础上,可以对在公共设备上接入网络的用户进行有效的追踪和溯源。
附图说明
图1示出了本发明实施例的SILSN的架构示意图;
图2示出了本发明实施例的用户在公共设备上接入网络的流程示意图;
图3示出了本发明实施例的用户在公共设备上上网的报文转发流程示意图;
图4示出了本发明实施例的ASN处理来自公共设备的报文流程示意图;
图5示出了本发明实施例的ASN处理来自其他ASN的报文的流程示意图;
图6示出了本发明实施例的用户离线的流程示意图;
图7示出了本发明实施例的用户在公共设备上申请账号的流程示意图。
具体实施方式
为解决现有传统IP地址的身份和位置的二义性问题,本发明提出一种如图1所示的身份标识和位置分离网络(Subscriber Identifier & LocatorSeparation Network,简称为SILSN)系统架构,在图1中,此SILSN系统由接入服务器(Access Service Node,简称为ASN)、用户(User)、认证中心(Authentication Center,简称为AC)、身份信息中心(Identifier InformationCenter,简称为IIC)以及身份标识和位置登记寄存器(Identification & LocationRegister,简称为ILR)等组成。
其中,ASN主要负责用户的接入,并承担计费、切换等功能;ILR主要用于承担用户的位置注册和身份位置识别,以及位置查询功能;AC负责对用户的接入进行认证;IIC负责存放用户的身份信息。
上述SILSN架构网络中有两种标识类型:接入身份标识(AccessIdentifier,简称为AID)和路由标识(Routing Identifier,简称为RID)。其中,AID是用户的身份标识,此标识仅分配给该用户使用且全网唯一,且此身份标识在网络传输中可以唯一不变,并且用户在网络中进行移动时,该AID也不会改变,全网唯一。用户与用户之间使用各自所附着的ASN的RID进行通信报文的路由。应说明的是,身份标识和位置标识在不同的SILSN架构可以有不同的名称,但实质是一样的。
上述SILSN网络有如下特征:此网络内每个用户只有经过严格认证才能接入,用户在各种业务中所发送的数据包中都同时携带自己的AID,且用户发送的每个数据包都必须经过ASN验证,保证用户发出的数据包携带的是自己的接入身份标识,不会假冒其他用户AID接入网络,并且此接入身份标识在网络中传送时将一直保持不变,当用户发生移动或切换时,此标识也不会发生变化。
在图1的示例中,用户User1和User2分别存在唯一的接入身份标识AID1和AID2,User1和User2分别通过ASN1和ASN2接入网络。其中,User2正常接入网络,即使用自有用户设备(User Equipment,简称为UE)接入网络,其UE的AID便是User2用来与业务绑定的AID。而User1则是在公共设备上接入网络,由于公共设备的AID不是User1所拥有的AID,因此,无法与用户的应用业务绑定。
针对上述提出的SILSN网络,为解决该问题,本发明的基本实现思想如下:网络管理者将用户的账号、密码和AID存储在AC中,用户利用自己的账号和密码接入网络;AC对用户的账号和密码进行认证,当用户通过认证后,AC将用户的AID推送到ASN和公共设备上;然后将用户的与账号绑定的AID作为虚拟AID绑定在公共设备上。
这样,便可实现User1的AID与应用业务的绑定。需要说明的是,用户的账号可以是网络管理者直接分配,也可以是用户在公共网络当场提交个人信息申请账号。在该账号被分配的同时,会分配一个AID与之绑定。
更具体的,本发明采用如下方案来解决基于SILSN网络的在公共设备上接入网络的问题:
ASN收到用户在公共设备上发送的接入网络请求消息后,发送到AC,所述接入网络请求消息中至少包括所述用户的账号和密码;
所述AC对所述账号和密码的有效性进行验证,如果验证通过,则将所述用户的AID发送给所述ASN;
所述ASN将所述用户的AID推送给所述公共设备,所述公共设备将所述用户的AID作为虚拟AID,使用所述虚拟AID进行该用户的报文的收发。
进一步地,AC在对所述账号和密码的有效性进行验证后,发送接入网络响应消息给ASN,且如果验证通过,则在所述接入网络响应消息中携带所述用户的AID;
ASN收到包含AID的所述接入网络响应消息后,则对所述用户的AID进行附着,建立用户的AID与自身的RID映射关系,并汇报给所述用户的ILR;并且,建立所述用户与所述公共设备的AID映射表。
进一步地,如果验证通过,ASN还将所述用户的AID的属性设置为虚拟AID。
进一步地,用户通过在公共设备上输入账号和密码,向ASN发送接入网络请求消息,接入网络请求消息中至少包括所述用户的账号和密码;
所述ASN判断所述接入网络请求是否来自公共设备,如果是,则在收到验证通过的接入网络响应消息后,对所述用户的AID进行附着,并建立所述用户与所述公共设备的AID映射表;如果不是来自公共设备,则只需转发给AC进行验证,并将收到的接入网络响应消息转发给所述接入网络请求的发起方。
进一步地,ASN将禁止公共设备访问AC之外的用户。
下面将结合附图及具体实施例对本发明技术方案的实施作进一步详细描述。需要说明的是,本发明内容可以用以下实施例解释,但不限于以下的实施例。
图2示出了用户使用账号在公共设备上接入网络的流程。用户使用自己的账号在公共设备上输入,并输入密码,申请接入网络。申请信息被发送到AC处理,AC根据账号查询得账号的密码以及AID。然后,AC用查询到的账号信息验证用户提交的账号和密码的真实性,用以确认是否可以接受用户的接入网络请求。如果验证成功,AC将用户的AID推送到用户所在的公共设备上。该流程具体可包括如下步骤:
S200,User在公共设备上输入账号和密码,向ASN发送接入网络请求信息,该接入网络请求信息中包括User的账号和密码;
此时该报文的源AID为公共设备的AID,目的AID为AC的AID;
S210,ASN接收到来自公共设备的User的接入网络请求消息,将该消息转发至AC处理;
该步骤中,ASN需要判断接入网络请求消息是否来自公共设备,如果不是来自公共设备,例如,普通家庭用户通过PC(Personal Computer,个人计算机)或UE,则该接入网络请求中会携带自身的AID,ASN发送到AC进行验证,在接收到AC的接入网络请求响应后,如果通过验证,则ASN直接对该用户的AID进行附着。其与在公共设备上接入的区别在于,AC只需返回验证是否通过的响应消息,而无需再推送该用户的AID;而ASN也无需建立该用户的AID与公共设备的AID的映射表。
S220,AC接收到来自公共设备的User接入网络请求信息,对其中的账号和密码的有效性进行验证,例如提取请求信息中User的账号和密码,与AC中存储的对应的账号和密码进行比较,如果一致,则验证成功,否则验证失败;
S230,AC向ASN发送网络接入请求响应消息,消息中携带User的AID;
S240,ASN接收到来自AC的User接入网络认证响应消息后,如果认证通过,则对User的AID进行附着,与ASN自身的RID建立<AID,RID>映射关系,同时为User和公共设备建立形式为<AID,AID>的AID映射表,可选地,ASN将User的AID属性设置为User虚拟AID;如果认证未通过,则ASN将直接转发来自AC的接入网络认证响应消息;
S250,公共设备接收到接入网络认证响应消息后,如果认证通过,则公共设备将User的AID在自身的系统中作为一个虚拟的AID,User在公共设备上发生的网络行为都将以该虚拟AID作为源AID;
例如,User在访问FTP服务器时,发送的访问请求报文中源AID为虚拟AID。
S260,ASN向ILR汇报该User的<AID,RID>映射关系;
其中,用户User与ASN建立<AID,RID>映射关系,并汇报给ILR的目的是为了说明User附着在该ASN上,方便其他用户和ASN根据该用户的AID向ILR查询得到对应的RID信息,进而根据查询到的RID信息发送报文到该ASN。
S270,ILR记录或更新该User的<AID,RID>映射关系后,向ASN返回汇报映射关系响应信息。
此后,ILR在接收到其他ASN对该用户的映射关系查询请求后,将该用户的AID所对应的RID返回给查询方,即发起查询请求的ASN。
需要说明的是,上述步骤中,S260和S270也可以在S250之前实现,实现的前后顺序取决于ASN的内部实现方法。
图3所示为用户在公共设备上上网的报文转发流程。用户在公共设备上的上网行为与用户在自身设备上的上网行为基本一致,符合网络管理者和监管机构对用户的追踪和溯源需求,同时也解决了用户网络层AID和应用层业务之间的绑定问题。其不同之处在于ASN需要统计公共设备的流量,以实现对公共设备的管理。该流程具体包括如下步骤:
S300,User1在公共设备上向User2发送通信请求报文,报文中的源AID为虚拟AID(User1的AID);
其中,公共设备除了具有本身的AID之外,其系统还允许在公共设备上成功接入网络的用户将其AID附着在公共设备上。也就是说,当用户的AID附着在公共设备上时,公共设备收发报文所用的AID都是该用户的虚拟AID,而非公共设备的本身AID。当用户退出网络时,虚拟AID也将被删除,此后,公共设备收发报文所用的AID是本身的AID。
S310,ASN1接收到来自公共设备的报文,根据ASN设置的附着User的AID的属性检查得源AID为虚拟AID后,用所述AID查询User1与公共设备的AID映射表,查询得到公共设备的AID,并对公共设备进行流量统计;
S320,ASN1根据User1的通信请求报文中的目的AID,即User2的AID向ILR查询得到对应的RID(ASN2的RID),并可将ASN1的RID作为源RID,将ASN2的RID作为目的RID封装在报文中,路由转发到ASN2;
S330,ASN2收到上述报文后,解除封装的RID后转发User1的通信请求报文到User2;
S340,User2回复User1的通信请求,回复报文中的源地址为User2的AID,目的地址为User1的AID;
S350,ASN2在回复报文中封装源RID(ASN2的RID)和目的RID(ASN1的RID)后,转发到ASN1;
本示例是以User1向User2发起通信为例进行描述,如果是User2向User1发起通信,则ASN2根据User2的通信请求报文中的目的地址,即User1的AID查询ILR,得到对应的ASN1的RID后,封装在报文中,转发路由到ASN1,其通信流程与本示例相似,在此不再赘述。
S360,ASN1接收到来自ASN2的报文,检查得到目的AID为虚拟AID,然后用所述AID查询User1与公共设备的AID映射表,查询得到公共设备的AID,并对公共设备进行流量统计;
S370,ASN1解除报文中封装的RID后,将User2的回复报文转发给User1。
至此,用户在公共设备上的报文转发流程结束。
需要说明的是,ASN1利用User1与公共设备的AID映射表,查询得到公共设备的AID,进行流量统计只是其中功能之一。ASN1根据AID映射表可以实现的功能不限于流量统计,还包括记录User1接入网络的具体位置、对公共设备计费等功能。
图4所示为ASN处理来自公共设备的报文流程。在该示例中,ASN需要检查源AID是否公共设备的AID,如果是,需要禁止公共设备直接访问非AC的目的地。该流程具体包括如下步骤:
S400,ASN接收到来自公共设备(例如网吧PC)的报文;
S410,ASN提取报文中的源AID,判断是否公共设备的AID,如果是,跳转到S420步骤;如果不是,跳转到S430步骤;
其中,ASN可以根据其上所有的AID的列表查到所述源AID,再通过查看该源AID的属性,判断该源AID是否是公共设备。AID的属性可能有很多种,例如上述的公共设备的属性,以及,虚拟AID,需要重定向的AID,等等。
此外,AID还可以通过其他多种方式判断上述源AID是否是公共设备,例如,ASN可以对其上所有公共设备的AID进行备案,并单独保存为公共设备的AID列表;在收到报文时,根据备案的公共设备的AID列表判断该源AID是否是公共设备,等等。此处不再逐一列举。
S420,ASN判断该报文的目的地是否AC,如果是,跳转到S470步骤,正常转发报文;如果不是,跳转到S460步骤,丢弃报文;
S430,如果该AID不是公共设备的AID,ASN判断该AID属性是否虚拟用户,即是否用户在公共设备上接入网络的虚拟AID,如果是,跳转到S440步骤;如果不是,跳转到S470步骤,正常转发;
S440,根据用户在公共设备上接入网络的虚拟AID,查询是否有对应的与公共设备AID之间的AID映射表存在,如果有AID映射表,则跳转到S450步骤;如果没有,则跳转到S460步骤,丢弃报文;
S450,ASN根据查询到的AID映射表,对公共设备进行流量统计;
S460,丢弃报文;
S470,正常转发报文。需要说明的是,S470由步骤S420,S430或者S450跳转而来。
至此,ASN处理来自公共设备的报文流程结束。
图5所示为ASN处理来自其他ASN的报文的流程。在该示例中,ASN需要判断目的AID是否在公共设备上接入网络的用户虚拟AID。该流程具体包括如下步骤:
S500,ASN接收到其他ASN的报文;
S510,ASN提取报文的源AID和目的AID,判断目的AID是否为公共设备AID,如果是,跳转到S520步骤;如果不是,跳转到S530步骤;
S520,ASN判断该报文是否来自AC,如果是,跳转到S570步骤,正常转发报文;如果不是,跳转到S560步骤,丢弃报文;
S530,ASN判断该报文的目的AID是否在公共设备上接入网络的用户虚拟AID,如果是,则跳转到S540步骤;如果不是,则跳转到S570步骤,正常转发报文;
S540,若报文的目的AID是在公共设备上接入网络的用户虚拟AID,ASN根据该AID查询是否有与公共设备AID之间的AID映射表,如果有,跳转到S550步骤;如果没有,跳转到S560步骤,丢弃报文;
S550,ASN根据公共设备的AID统计公共设备的流量;
S560,ASN丢弃报文;
S570,ASN正常转发报文。需要说明的是所述步骤由步骤S520、S530和S550跳转而来。
至此,ASN处理来自其他ASN的报文流程结束。
图6所示为用户离线的流程。用户已经在公共设备上接入网络,处于在线状态后,当用户需要离线时,向AC发送离线请求,AC、ILR和ASN均需删除与该用户AID相关的记录。该流程具体包括如下步骤:
S600,在公共设备上接入网络的用户User1通过ASN向AC发送离线请求;
S610,ASN接收到User1的所述离线请求,转发到AC处理;
S620,AC接收到来自User1的离线请求,删除User1在网络中的在线状态;
S630,AC向ASN发送离线请求响应,通知ASN删除User1相关信息;
S640,ASN接收到来自AC的离线请求响应消息,解除User1的AID附着,同时删除User1的AID与公共设备的AID之间的AID映射表;
S650,ASN向ILR汇报User1的<AID,RID>映射关系更新,请求删除所述<AID,RID>映射关系;
S660,ILR删除User1的<AID,RID>映射关系,向ASN发送映射关系删除响应;
S670,ASN向公共设备发送离线成功的响应消息,删除附着在公共设备上的User1的虚拟AID。
至此,用户离线的流程结束。
图7所示为用户在公共设备上注册账号的流程。在网络管理者允许的情况下,用户可以在公共设备上填写个人真实信息,直接提交注册账号申请。用户的真实个人信息在IIC由网络管理者事先收集保存,用于验证用户在线提交账号申请的真实性。该流程具体包括如下步骤:
S700,User填写个人信息,如身份证号、家庭住址、工作单位、密码等信息,向AC发送账号注册申请消息;
S710,ASN向AC转发账号注册申请消息;
S720,AC接收到账号注册申请消息,根据此消息中的身份证向IIC查询User的真实个人信息;
S730,IIC向AC返回查询到的User的真实个人信息;
S740,AC用从IIC查询到的User的真实个人信息验证User提交的账号注册消息是否有效,如果有效(例如,用户在线提供的身份信息,如身份证号,姓名,密码等与IIC提供的相应信息一致,即为有效),则AC为User分配账号、密码和AID;
S750,AC向ASN发送注册请求响应消息;
S760,ASN为User的AID附着,同时创建与公共设备的AID映射表,并向ILR汇报映射关系;
S770,ASN向User发送注册响应消息,携带User的AID,如果注册成功,User的AID被虚拟化成公共设备的AID。此后,User的一切网络行为的AID就是此虚拟AID。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (15)
1.一种在公共设备上接入网络的方法,其特征在于,应用于身份标识和位置分离网络,该方法包括:
接入服务器ASN收到用户在公共设备上发送的接入网络请求消息后,发送到认证中心AC,所述接入网络请求消息中至少包括所述用户的账号和密码;
所述AC对所述账号和密码的有效性进行验证,如果验证通过,则将所述用户的接入身份标识AID发送给所述ASN;所述AID是用户的身份标识,仅分配给所述用户使用且全网唯一;
所述ASN收到所述用户的AID后,推送给所述公共设备,所述公共设备将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。
2.如权利要求1所述的方法,其特征在于,
所述ASN收到所述用户的AID后,对所述用户的AID进行附着,建立所述用户的AID与所述ASN的路由标识RID的映射关系,并汇报给所述用户的身份标识和位置登记寄存器ILR。
3.如权利要求2所述的方法,其特征在于,
所述ASN收到所述用户的AID后,建立所述用户的AID与所述公共设备的AID的映射表。
4.如权利要求3所述的方法,其特征在于,
所述ASN在建立所述用户的AID与所述公共设备的AID的映射表的同时,将所述用户的AID属性设置为虚拟AID,在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
5.如权利要求1至4之任一项所述的方法,其特征在于,
所述ASN禁止所管理的公共设备访问所述AC之外的用户或者设备。
6.如权利要求5所述的方法,其特征在于,
所述ASN采用如下方式禁止所述公共设备访问所述AC之外的用户或设备:
所述ASN对所管理的公共设备的AID进行备案;
在收到报文时,如果该报文的源地址为已备案的AID、且目的地址不是所述AC的AID,或者,该报文的目的地址为已备案的AID,且源地址不是所述AC的AID、则丢弃该报文。
7.如权利要求3所述的方法,其特征在于,所述用户在所述公共设备上接入网络,在网络中处于在线状态后,当所述用户离线时,包括:
所述用户在所述公共设备上发送离线请求,所述ASN将该离线请求发送给所述AC;
所述AC删除所述用户在网络中的在线状态后,向所述ASN发送离线请求响应;
所述ASN解除所述用户的附着,并向所述ILR请求删除所述用户的AID与所述ASN的RID的映射关系;同时,删除所述用户的AID与所述公共设备的AID的映射表,并将所述离线请求响应发送给所述公共设备;
所述公共设备收到所述离线请求响应后,删除所述用户的虚拟AID。
8.如权利要求1至4之任一项所述的方法,其特征在于,
所述用户的账号和密码是由网络管理者预先分配,或者通过在线提交个人身份信息申请得到;且在分配所述账号的同时,为所述用户分配绑定的AID。
9.如权利要求1所述的方法,其特征在于,所述方法还包括:
所述ASN接收到接入网络请求后,判断其是否来自公共设备,如果不是,则所述ASN将所述接入网络请求发送给所述AC,并将所述AC的接入网络响应转发给所述接入网络请求的发起方。
10.一种在公共设备上接入网络的系统,其特征在于,应用于身份标识和位置分离网络,该系统包括:接入服务器ASN、公共设备,认证中心AC,其中
所述ASN用于,收到用户在公共设备上发送的接入网络请求消息后,发送到所述AC,所述接入网络请求消息中至少包括所述用户的账号和密码;且在收到所述AC发送的所述用户的AID后,推送给所述公共设备;
所述AC用于,接收到用户的接入网络请求消息后,对其中的所述账号和密码的有效性进行验证,如果验证通过,则将所述用户的接入身份标识AID发送给所述ASN;所述AID是用户的身份标识,仅分配给所述用户使用且全网唯一;
所述公共设备用于,根据用户输入的账号和密码向所述ASN发送接入网络请求,并在收到所述ASN推送的所述用户的AID后,将所述用户的AID作为虚拟AID,使用所述虚拟AID进行所述用户的报文的收发。
11.如权利要求10所述的系统,其特征在于,所述系统还包括身份标识和位置登记寄存器ILR,
所述ASN还用于,收到所述用户的AID后,对所述用户的AID进行附着,建立所述用户的AID与所述ASN的路由标识RID的映射关系,并汇报给所述用户的ILR;
所述ILR用于,保存所述用户的AID与所述ASN的RID的映射关系;以及,在接收到其他ASN根据用户的AID发起的映射关系查询请求后,将所述用户的AID所对应的RID返回给发起所述查询请求的ASN。
12.如权利要求11所述的系统,其特征在于,
所述ASN还用于,收到所述用户的AID后,建立所述用户的AID与所述公共设备的AID的映射表。
13.如权利要求12所述的系统,其特征在于,
所述ASN还用于,将所述用户的AID属性设置为虚拟AID,在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
14.如权利要求10至13之任一项所述的系统,其特征在于,
所述ASN还用于,禁止所管理的公共设备访问所述AC之外的用户或者设备。
15.如权利要求13所述的系统,其特征在于,
所述ASN还用于,接收到用户的离线请求后,发送给所述AC;以及,收到离线请求响应后,解除所述用户的附着,并向所述ILR请求删除所述用户的AID与所述ASN的路由标识RID的映射关系,同时,删除所述用户的AID与所述公共设备的AID的映射表,并将所述离线请求响应发送给所述公共设备;
所述AC还用于,收到所述离线请求后,删除所述用户在网络中的在线状态后,向所述ASN发送离线请求响应;
所述公共设备还用于,收到所述离线请求响应后,删除所述用户的虚拟AID。
Priority Applications (7)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010002849.4A CN102130887B (zh) | 2010-01-20 | 2010-01-20 | 一种在公共设备上接入网络的方法及系统 |
| ES10843735T ES2776475T3 (es) | 2010-01-20 | 2010-10-19 | Método y sistema para acceder a una red a través de un equipo público |
| KR1020127018790A KR20120094958A (ko) | 2010-01-20 | 2010-10-19 | 공공설비에서 네트워크에 접속하는 방법 및 시스템 |
| PCT/CN2010/077882 WO2011088695A1 (zh) | 2010-01-20 | 2010-10-19 | 一种在公共设备上接入网络的方法及系统 |
| EP10843735.1A EP2512089B1 (en) | 2010-01-20 | 2010-10-19 | Method and system for accessing network through public equipment |
| JP2012549235A JP5451903B2 (ja) | 2010-01-20 | 2010-10-19 | 公共設備においてネットワークにアクセスする方法及びシステム |
| US13/520,609 US8661517B2 (en) | 2010-01-20 | 2010-10-19 | Method and system for accessing network through public equipment |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010002849.4A CN102130887B (zh) | 2010-01-20 | 2010-01-20 | 一种在公共设备上接入网络的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102130887A CN102130887A (zh) | 2011-07-20 |
| CN102130887B true CN102130887B (zh) | 2019-03-12 |
Family
ID=44268779
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010002849.4A Expired - Fee Related CN102130887B (zh) | 2010-01-20 | 2010-01-20 | 一种在公共设备上接入网络的方法及系统 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US8661517B2 (zh) |
| EP (1) | EP2512089B1 (zh) |
| JP (1) | JP5451903B2 (zh) |
| KR (1) | KR20120094958A (zh) |
| CN (1) | CN102130887B (zh) |
| ES (1) | ES2776475T3 (zh) |
| WO (1) | WO2011088695A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
| CN104579969B (zh) * | 2013-10-29 | 2019-04-23 | 中兴通讯股份有限公司 | 报文发送方法及装置 |
| CN105991785A (zh) * | 2015-02-09 | 2016-10-05 | 中兴通讯股份有限公司 | 网络接入用户的追踪方法及装置 |
| CN105610841B (zh) * | 2015-12-31 | 2020-10-23 | 国网智能电网研究院 | 一种基于可溯源的用户信息认证方法 |
| CN111970178B (zh) * | 2019-05-20 | 2022-06-14 | 青岛海尔电冰箱有限公司 | 家用电器的通信控制方法及系统 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6327037B1 (en) * | 1997-11-12 | 2001-12-04 | Chien Chou | Optical rotation angle polarimeter |
| CN1486029A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 基于远程认证的网络中实现eap认证的方法 |
| CN101119206A (zh) * | 2007-09-13 | 2008-02-06 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
| EP2051473A1 (en) * | 2007-10-19 | 2009-04-22 | Deutsche Telekom AG | Method and system to trace the IP traffic back to the sender or receiver of user data in public wireless networks |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2349244A (en) * | 1999-04-22 | 2000-10-25 | Visage Developments Limited | Providing network access to restricted resources |
| US7027432B2 (en) * | 2000-03-20 | 2006-04-11 | At&T Corp. | Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management |
| SG108326A1 (en) | 2002-10-16 | 2005-01-28 | Ntt Docomo Inc | Service verifying system, authentication requesting terminal, service utilizing terminal, and service providing method |
| KR100645512B1 (ko) | 2004-09-30 | 2006-11-15 | 삼성전자주식회사 | 통신 시스템에서 네트워크 접속에 대한 사용자 인증 장치및 그 방법 |
| US7778199B2 (en) * | 2005-02-19 | 2010-08-17 | Cisco Technology, Inc. | Techniques for customer self-provisioning of edge nodes for a virtual private network |
| CN1852094B (zh) * | 2005-12-13 | 2010-09-29 | 华为技术有限公司 | 网络业务应用账户的保护方法和系统 |
| CN100571125C (zh) * | 2005-12-30 | 2009-12-16 | 上海贝尔阿尔卡特股份有限公司 | 一种用于用户设备与内部网络间安全通信的方法及装置 |
| US8064357B2 (en) * | 2006-02-06 | 2011-11-22 | At&T Intellectual Property I, L.P. | Methods, DSL modems, and computer program products for provisioning DSL service using downloaded username/password |
| CN101175067A (zh) * | 2006-11-02 | 2008-05-07 | 华为技术有限公司 | 一种网络安全实现系统及方法 |
| US9003488B2 (en) * | 2007-06-06 | 2015-04-07 | Datavalet Technologies | System and method for remote device recognition at public hotspots |
| CN101127663B (zh) * | 2007-09-13 | 2010-11-03 | 北京交通大学 | 一种移动自组织网络接入一体化网络的系统及方法 |
| CN101123536B (zh) * | 2007-09-19 | 2010-12-15 | 北京交通大学 | 实现一体化网络位置管理的方法 |
| JP4993122B2 (ja) * | 2008-01-23 | 2012-08-08 | 大日本印刷株式会社 | プラットフォーム完全性検証システムおよび方法 |
| US20090258637A1 (en) * | 2008-04-11 | 2009-10-15 | Beijing Focus Wireless Media Technology Co., ltd. | Method for user identity tracking |
| US20100125891A1 (en) * | 2008-11-17 | 2010-05-20 | Prakash Baskaran | Activity Monitoring And Information Protection |
| CN102025589B (zh) * | 2009-09-18 | 2015-04-01 | 中兴通讯股份有限公司 | 虚拟专用网络的实现方法及系统 |
| CN102035813B (zh) * | 2009-09-30 | 2016-01-20 | 中兴通讯股份有限公司 | 端到端呼叫的实现方法、端到端呼叫终端及系统 |
| CN102131197B (zh) * | 2010-01-20 | 2015-09-16 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
-
2010
- 2010-01-20 CN CN201010002849.4A patent/CN102130887B/zh not_active Expired - Fee Related
- 2010-10-19 KR KR1020127018790A patent/KR20120094958A/ko not_active Application Discontinuation
- 2010-10-19 US US13/520,609 patent/US8661517B2/en not_active Expired - Fee Related
- 2010-10-19 EP EP10843735.1A patent/EP2512089B1/en active Active
- 2010-10-19 WO PCT/CN2010/077882 patent/WO2011088695A1/zh active Application Filing
- 2010-10-19 ES ES10843735T patent/ES2776475T3/es active Active
- 2010-10-19 JP JP2012549235A patent/JP5451903B2/ja not_active Expired - Fee Related
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6327037B1 (en) * | 1997-11-12 | 2001-12-04 | Chien Chou | Optical rotation angle polarimeter |
| CN1486029A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 基于远程认证的网络中实现eap认证的方法 |
| CN101119206A (zh) * | 2007-09-13 | 2008-02-06 | 北京交通大学 | 基于标识的一体化网络终端统一接入控制方法 |
| EP2051473A1 (en) * | 2007-10-19 | 2009-04-22 | Deutsche Telekom AG | Method and system to trace the IP traffic back to the sender or receiver of user data in public wireless networks |
Non-Patent Citations (1)
| Title |
|---|
| An Efficient Approach to Map Identity onto Locator;Ping Dong等;《Mobility "08 Proceedings of the International Conference on Mobile Technology, Applications, and Systems》;20080912;第2、3.3节 * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2512089A1 (en) | 2012-10-17 |
| CN102130887A (zh) | 2011-07-20 |
| EP2512089B1 (en) | 2019-12-18 |
| JP2013517718A (ja) | 2013-05-16 |
| WO2011088695A1 (zh) | 2011-07-28 |
| US8661517B2 (en) | 2014-02-25 |
| KR20120094958A (ko) | 2012-08-27 |
| ES2776475T3 (es) | 2020-07-30 |
| JP5451903B2 (ja) | 2014-03-26 |
| EP2512089A4 (en) | 2013-06-19 |
| US20120278874A1 (en) | 2012-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100632984B1 (ko) | 네트워크를 통해 이용자와 컴퓨터의 인증과 보증을수행하기 위한 방법 및 장치 | |
| CN101990183B (zh) | 保护用户信息的方法、装置及系统 | |
| JP5451901B2 (ja) | 公共設備でネットワークにアクセスする方法及びシステム | |
| CN103875211B (zh) | 一种互联网账号管理方法、管理器、服务器和系统 | |
| CN104158824B (zh) | 网络实名认证方法及系统 | |
| CN105187431B (zh) | 第三方应用的登录方法、服务器、客户端及通信系统 | |
| CN108234515A (zh) | 一种基于智能合约的自认证数字身份管理系统及其方法 | |
| CN108667612A (zh) | 一种基于区块链的信任服务架构及方法 | |
| US20070016484A1 (en) | Method for facilitating authorized online communication | |
| CN102130887B (zh) | 一种在公共设备上接入网络的方法及系统 | |
| CN107835176A (zh) | 一种基于eID的网络身份认证方法及平台 | |
| CN102025741B (zh) | 一种两层架构的可信身份服务平台及其构建方法 | |
| CN104883402A (zh) | 一种信息处理方法及云端服务平台 | |
| CN102131197B (zh) | 一种在公共设备上接入网络的方法及系统 | |
| CN102893579B (zh) | 用于在通信系统中发放票据的方法、节点和设备 | |
| CN103108316B (zh) | 空中写卡认证方法、装置和系统 | |
| CN107404479A (zh) | 一种在vpn网络中实现电子招投标加密的系统及方法 | |
| Bonhomme et al. | Dynamic carpooling mobility services based on secure multi-agent platform | |
| KR20130083060A (ko) | 통신망을 이용한 게시판 서비스 방법 | |
| CN108206825A (zh) | 在以内容传输为主的网络中平衡隐私保护与行为问责的方法和系统 | |
| WO2011054232A1 (zh) | 电子公告板管理方法、系统、终端和服务器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190312 Termination date: 20200120 |