CN102130975A - 一种用身份标识在公共设备上接入网络的方法及系统 - Google Patents
一种用身份标识在公共设备上接入网络的方法及系统 Download PDFInfo
- Publication number
- CN102130975A CN102130975A CN2010100028507A CN201010002850A CN102130975A CN 102130975 A CN102130975 A CN 102130975A CN 2010100028507 A CN2010100028507 A CN 2010100028507A CN 201010002850 A CN201010002850 A CN 201010002850A CN 102130975 A CN102130975 A CN 102130975A
- Authority
- CN
- China
- Prior art keywords
- aid
- user
- asn
- common equipment
- access network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
- H04M3/42229—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location
- H04M3/42263—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location where the same subscriber uses different terminals, i.e. nomadism
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
- H04M3/42229—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location
- H04M3/42263—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location where the same subscriber uses different terminals, i.e. nomadism
- H04M3/42272—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location where the same subscriber uses different terminals, i.e. nomadism whereby the subscriber registers to the terminals for personalised service provision
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2203/00—Aspects of automatic or semi-automatic exchanges
- H04M2203/60—Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
- H04M2203/6081—Service authorization mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2281—Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
Abstract
本发明公开了一种用身份标识在公共设备上接入网络的方法及系统,应用于身份标识和位置分离网络,该方法包括:用户在公共设备上输入接入身份标识(AID)和验证信息,发起接入网络请求;接入服务器(ASN)收到所述接入网络请求后,发送到认证中心(AC)对所述用户的AID信息的有效性进行验证,并将所述AC返回的接入网络响应转发给所述公共设备;所述公共设备收到所述接入网络响应后,如果验证通过,则将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。本发明能够在身份标识和位置分离网络中对在公共设备上接入网络的用户进行有效的溯源和追踪。
Description
技术领域
本发明涉及移动通讯领域和互联网领域,尤其涉及一种用身份标识在公共设备上接入网络的方法及系统。
背景技术
在现有的IP网络中,人们在公共设备上接入网络时,直接使用公共设备的IP地址与其他用户进行通讯,网络监管机构无法对在公共设备上接入网络的用户进行追踪和溯源。例如,在现有的网络中,上网需要出示身份证件,但很多网吧仍然无法识别证件的真伪,甚至于没有合法证件也可以用网吧提供的某一个公用证件上网。这给网络监管机构的追踪和溯源带来了很大的困难。
而且,在现有网络中,由于传统的IP地址存在身份和位置的二义性,使得用户可以在公共设备上登录自己的业务账号,如邮件,网络银行等等,从而无法实现用户网络层IP与应用层业务绑定,一旦账号丢失,将给用户带来很大损失。如果在传统的IP技术上实现用户网络层IP与应用层业务绑定,用户在公共设备上接入网络时,由于网络层IP地址的不同,将不能访问自己的应用层业务。而对于网络监管机构来说,由于账号和用户IP不能绑定,对用户的监管力度也被削弱。
综上所述,目前的传统IP技术存在如下问题:
1、由于传统的IP地址存在身份和位置的二义性,使得监管机构无法对在公共设备上接入网络的用户进行有效的追踪和溯源,不仅存在安全隐患,也为打击违法犯罪活动带来了困难;
2、此外,传统的IP地址的身份和位置的二义性还使得用户无法用网络层IP与应用层业务绑定,从而无法更有效的保障应用层业务的安全性。
发明内容
本发明要解决的技术问题是提供一种用身份标识在公共设备上接入网络的方法及系统,能够在身份标识和位置分离网络中对在公共设备上接入网络的用户进行有效的溯源和追踪。
为了解决上述问题,本发明提供了一种用身份标识在公共设备上接入网络的方法,应用于身份标识和位置分离网络,该方法包括:
用户在公共设备上输入接入身份标识(AID)和验证信息,发起接入网络请求;
接入服务器(ASN)收到所述接入网络请求后,发送到认证中心(AC)对所述用户的AID信息的有效性进行验证,并将所述AC返回的接入网络响应转发给所述公共设备;
所述公共设备收到所述接入网络响应后,如果验证通过,则将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。
进一步地,所述AC用于存储网络中用户的AID以及验证信息,并在收到用户的接入网络请求后,对所述用户的AID信息的有效性进行如下验证:根据所述接入网络请求中所述用户的AID在本地查询相应的验证信息,如果查询到的验证信息与所述接入网络请求中的验证信息一致,则判定所述用户通过验证;否则,判定所述用户未通过验证。
进一步地,如果所述AC判定所述用户通过验证,则在返回的所述接入网络响应中包含所述用户的AID。
进一步地,所述ASN收到所述接入网络响应后,如果验证通过,则对所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的身份标识和位置登记寄存器(ILR)。
进一步地,所述ASN收到所述接入网络响应后,如果验证通过,则建立所述用户的AID与所述公共设备的AID的映射表。
进一步地,所述ASN在建立所述用户的AID与所述公共设备的AID的映射表的同时,将所述用户的AID属性设置为虚拟AID,在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
进一步地,所述ASN禁止所管理的公共设备访问所述AC之外的用户或者设备。
进一步地,所述用户在所述公共设备上接入网络,在网络中处于在线状态后,当所述用户离线时,包括:
所述用户在所述公共设备上发送离线请求,所述ASN将该离线请求发送给所述AC;
所述AC删除所述用户在网络中的在线状态后,向所述ASN发送离线请求响应;
所述ASN解除所述用户的AID的附着,并向所述ILR请求删除所述用户的AID与所述ASN的RID的映射关系;同时,删除所述用户的AID与所述与公共设备的AID的映射表,并将所述离线请求响应发送给所述公共设备;
所述公共设备收到所述离线请求响应后,删除所述用户的虚拟AID。
本发明还提供了一种用身份标识在公共设备上接入网络的系统,应用于身份标识和位置分离网络,该系统包括接入服务器(ASN)、公共设备和认证中心(AC),其中
所述公共设备用于,根据用户输入的身份标识(AID)和验证信息,向所述ASN发起接入网络请求;在收到接入网络响应后,如果验证通过,则将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发;
所述ASN用于,收到所述接入网络请求后,发送到所述AC;并将所述AC返回的接入网络响应转发给所述公共设备;
所述AC用于,对所述用户的AID信息的有效性进行验证,并向所述ASN返回接入网络响应。
进一步地,所述系统还包括身份标识和位置登记寄存器(ILR),
所述ASN还用于,收到所述接入网络响应后,如果验证通过,则对所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的ILR;
所述ILR用于,保存所述用户的AID与所述ASN的RID的映射关系;以及,在接收到其他ASN根据用户的AID发起的映射关系查询请求后,将所述用户的AID所对应的RID返回给发起查询请求的所述ASN。
进一步地,所述ASN还用于:
收到所述接入网络响应后,如果验证通过,则建立所述用户的AID与所述公共设备的AID的映射表,并将所述用户的AID属性设置为虚拟AID;
在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
进一步地,所述ASN还用于,禁止所管理的公共设备访问所述AC之外的用户或者设备。
上述实施方案是基于身份标识和位置分离网络,利用用户AID的全网唯一性来实现用户在公共设备上接入网络。相较于目前的传统IP网络,采用上述实施方案,充分利用身份标识和位置标识分离网络的优越性,在全网AID唯一的基础上,可以对在公共设备上接入网络的用户进行有效的追踪和溯源。
附图说明
图1为本发明实施例的SILSN的架构示意图;
图2为本发明实施例的用户在公共设备上接入网络的流程示意图;
图3为本发明实施例的用户在公共设备上上网的报文转发的流程示意图;
图4为本发明实施例的ASN处理来自公共设备的报文的流程示意图;
图5为本发明实施例的ASN处理来自其他ASN的报文的流程示意图;
图6为本发明实施例的用户离线的流程示意图。
具体实施方式
为解决现有传统IP地址的身份和位置的二义性问题,本发明提出一种如图1所示的身份标识和位置分离网络(Subscriber Identifier & LocatorSeparation Network,简称为SILSN)系统架构,在图1中,此SILSN系统由接入服务器(Access Service Node,简称为ASN)、用户(User)、认证中心(Authentication Center,简称为AC)以及身份标识和位置登记寄存器(Identification & Location Register,简称为ILR)等组成。
其中,ASN主要负责用户的接入,并承担计费、切换等功能;ILR主要用于承担用户的位置注册和身份位置识别,以及位置查询功能;AC负责对用户的接入进行认证。
上述SILSN架构网络中有两种标识类型:接入身份标识(AccessIdentifier,简称为AID)和路由标识(Routing Identifier,简称为RID)。其中,AID是用户的身份标识,此标识仅分配给该用户使用且全网唯一,且此身份标识在网络传输中可以唯一不变,并且用户在网络中进行移动时,该AID也不会改变,全网唯一。用户与用户之间使用各自所附着的ASN的RID进行通信报文的路由。应说明的是,身份标识和位置标识在不同的SILSN架构可以有不同的名称,但实质是一样的。
上述SILSN网络有如下特征:此网络内每个用户只有经过严格认证才能接入,用户在各种业务中所发送的数据包中都同时携带自己的AID,且用户发送的每个数据包都必须经过ASN验证,保证用户发出的数据包携带的是自己的接入身份标识,不会假冒其他用户的AID接入网络,并且此接入身份标识在网络中传送时将一直保持不变,当用户发生移动或切换时,此标识也不会发生变化。
在图1的示例中,用户User1和User2分别存在唯一的接入身份标识AID1和AID2,User1和User2分别通过ASN1和ASN2接入网络。其中,User2正常接入网络,即使用自有用户设备(User Equipment,简称为UE)接入网络,其UE的AID便是User2用来与业务绑定的AID。而User1则是在公共设备上接入网络,由于公共设备的AID不是User1所拥有的AID,因此,无法与用户的应用业务绑定。
针对上述提出的SILSN网络,为解决该问题,本发明的基本实现思想如下:网络管理者将用户的AID和密码存储在AC中,用户利用自己的AID和密码接入网络;AC对用户的AID和密码进行认证,当用户通过认证后,将用户的AID作为虚拟AID绑定在公共设备上。
这样,便可实现用户的AID与应用业务的绑定:公共设备将用户的AID作为本机AID,设备上的应用程序在处理与网络有关的事件时,均使用该用户的AID。
更具体的,本发明采用如下方案来解决基于SILSN网络的在公共设备上接入网络的问题:
用户在公共设备上输入AID和验证信息,发起接入网络请求;
ASN收到所述接入网络请求后,发送到AC对所述用户的AID信息的有效性进行验证,并将AC返回的接入网络响应转发给所述公共设备;
公共设备收到所述接入网络响应后,如果验证通过,则将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。
其中,AC可在用户入网时在本地存储用户的AID以及验证信息,在收到用户的接入网络请求后,对所述用户的AID信息的有效性进行如下验证:根据所述接入网络请求中所述用户的AID在本地查询相应的验证信息,如果查询到的验证信息与所述接入网络请求中的验证信息一致,则判定所述用户通过验证;否则,判定所述用户未通过验证。
进一步地,如果验证通过,AC在返回的接入网络响应中携带所述用户的AID。
进一步地,如果验证通过,则ASN根据接入网络请求或接入网络响应中的用户的AID,对所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的身份标识和位置登记寄存器(ILR)。
进一步地,如果验证通过,则ASN建立所述用户的AID与所述公共设备的AID的映射表;同时将所述用户的AID属性设置为虚拟AID,在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计。
进一步地,ASN将禁止公共设备访问AC之外的用户。
下面将结合附图及具体实施例对本发明技术方案的实施作进一步详细描述。需要说明的是,本发明内容可以用以下实施例解释,但不限于以下的实施例。
图2所示为用户使用身份标识在公共设备上接入网络的流程。用户在公共设备上输入自己的AID和密码,请求接入网络,其接入请求被发送到AC处理,AC根据已经存储的User的AID和密码信息,验证来自公共设备的接入请求。该流程具体可包括如下步骤:
S200,用户在公共设备上输入AID,然后发送接入网络请求消息,该请求消息中包括用户的AID和验证信息,该验证信息可以是密码、验证码或其他信息,本示例中为密码;
该请求消息中的源AID是公共设备的AID,目的则为AC;
S210,ASN接收到来自公共设备的用户的接入网络请求消息,将该请求消息转发至AC处理;
S220,AC接收到来自公共设备的接入网络请求信息,提取请求消息中User的AID和密码,与AC中存储的对应的AID和密码进行比较,如果一致,验证成功,否则验证失败;
S230,AC通过ASN向User发送网络接入请求响应消息,可选的,如果验证成功,则在该响应消息中携带User的AID;
S240,ASN接收到来自AC的User接入网络认证响应消息,如果认证通过,则ASN根据收到的认证响应消息中的AID或根据步骤S210中收到的接入网络请求消息中的AID,对User的AID进行附着,与ASN自身的RID建立<AID,RID>映射关系,同时为User和公共设备建立形式为<AID,AID>的AID映射表,可选地,ASN将User的AID属性设置为User虚拟AID;如果认证未通过,则ASN将直接转发来自AC的接入网络认证响应消息;
S250,公共设备接收到身份信息认证请求响应消息后,如果认证通过,则公共设备根据收到的认证响应消息中的AID或根据步骤S200中用户输入的AID,将User的AID在自身的系统中作为一个虚拟的AID,User在公共设备上发生的网络行为都将以该虚拟AID作为源AID;
此后,公共设备将使用该User的AID进行数据报文的收发等,例如,User在访问FTP服务器时,发送的访问请求报文中源AID为虚拟AID。
S260,ASN向ILR汇报该User的<AID,RID>映射关系;
其中,ASN建立用户的<AID,RID>映射关系,并汇报给ILR的目的是为了说明User的AID附着在该ASN上,方便其他ASN根据该用户的AID向ILR查询得到对应的RID信息,进而根据查询到的RID信息发送报文到该ASN。
S270,ILR记录或更新该User的<AID,RID>映射关系后,向ASN返回汇报映射关系响应信息。
此后,ILR在接收到其他ASN对该用户的映射关系查询请求后,将该用户的AID所对应的RID返回给查询方。
需要说明的是,以上的步骤中,S260和S270也可以在S250之前实现。实现的前后顺序取决于ASN的内部实现方法。
图3所示为用户在公共设备上上网的报文转发流程。用户在公共设备上的上网行为与用户在自身设备上的上网行为基本一致,符合网络管理者和监管机构对用户的追踪和溯源需求,同时也解决了用户网络层AID和应用层业务之间的绑定问题。其不同之处在于ASN需要统计公共设备的流量,以实现对公共设备的管理。该流程具体可包括如下步骤:
S300,User1在公共设备上向User2发送通信请求报文,报文中的源AID为User1的AID,目的AID为User2的AID;
其中,公共设备除了具有本身的AID之外,其系统还允许在公共设备上成功接入网络的用户将其AID附着在公共设备上。也就是说,当用户的AID附着在公共设备上时,公共设备收发报文所用的AID都是该用户的虚拟AID,而非公共设备的本身AID。当用户退出网络时,虚拟AID也将被删除,此后,公共设备收发报文所用的AID是本身的AID。
S310,ASN1接收到来自公共设备的报文,检查得源AID为虚拟AID,然后用所述AID查询User1的AID与公共设备的AID映射表,查询得到公共设备的AID,并对公共设备进行流量统计;
S320,ASN1根据User1的通信请求报文中的目的AID,即User2的AID向ILR查询得到对应的RID(ASN2的RID),并可将ASN1的RID作为源RID,将ASN2的RID作为目的RID封装在报文中,路由转发到ASN2;
S330,ASN2收到上述报文后,解除封装的RID后转发User1的通信请求报文到User2;
S340,User2回复User1的通信请求,回复报文中的源地址为User2的AID,目的地址为User1的AID;
S350,ASN2在回复报文中封装源RID(ASN2的RID)和目的RID(ASN1的RID)后,转发到ASN1;
本示例是以User1向User2发起通信为例进行描述,如果是User2向User1发起通信,则ASN2根据User2的通信请求报文中的目的地址,即User1的AID查询ILR,得到对应的ASN1的RID后,封装在报文中,转发路由到ASN1,其通信流程与本示例相似,在此不再赘述。
S360,ASN1接收到来自ASN2的报文,检查得到目的AID为虚拟AID,然后用所述AID查询User1与公共设备的AID映射表,查询得到公共设备的AID,并对公共设备进行流量统计;
S370,ASN1解除报文中封装的RID后,将User2的回复报文转发给User1。
至此,用户在公共设备上的报文转发流程结束。
需要说明的是,ASN1利用User1的AID与公共设备的AID映射表,查询得到公共设备的AID进行流量统计只是ASN的其中功能之一。ASN1根据AID映射表可以拥有的功能不限于流量统计,还包括记录User1接入网络的具体位置、对公共设备计费等功能。
图4所示为ASN处理来自公共设备的报文流程。在该示例中,ASN需要检查源AID是否公共设备的AID。如果是,需要禁止公共设备直接访问非AC的目的地。该流程具体可包括如下步骤:
S400,ASN接收到来自公共设备(例如网吧PC)的报文;
S410,ASN提取报文中的源AID,判断是否公共设备的AID,如果是,跳转到S420步骤;否则,跳转到S430步骤;
该步骤中,ASN可以根据其上所有的AID的列表查到所述源AID,再通过查看该源AID的属性,判断该源AID是否是公共设备。AID的属性可能有很多种,例如上述的公共设备的属性,以及,虚拟AID,需要重定向的AID,等等。
此外,AID还可以通过其他多种方式判断上述源AID是否是公共设备,例如,ASN可以对其上所有公共设备的AID进行备案,并单独保存为公共设备的AID列表;在收到报文时,根据备案的公共设备的AID列表判断该源AID是否是公共设备,等等。此处不再逐一列举。
S420,ASN判断该报文的目的地是否AC,如果是,跳转到S470步骤,正常转发报文;否则,跳转到S460步骤,丢弃报文;
S430,如果该AID不是公共设备的AID,ASN判断该AID属性是否虚拟用户,即是否用户在公共设备上接入网络的虚拟AID,如果是,跳转到S440步骤;否则,跳转到S470步骤,正常转发;
S440,根据用户在公共设备上接入网络的虚拟AID,查询是否有对应的与公共设备AID之间的AID映射表存在,如果有AID映射表,则跳转到S450步骤;否则,跳转到S460步骤,丢弃报文;
S450,ASN根据查询到的AID映射表,对公共设备进行流量统计;
S460,丢弃报文;
S470,正常转发报文。需要说明的是,S470由步骤S420,S430或者S450跳转而来。
至此,ASN处理来自公共设备的报文流程结束。
图5所示为ASN处理来自其他ASN的报文的流程。在该示例中,ASN需要判断目的AID是否在公共设备上接入网络的用户虚拟AID。该流程具体可包括如下步骤:
S500,ASN提取报文的源AID和目的AID;
S510,ASN判断目的AID是否为公共设备AID,如果是,跳转到S520步骤;否则,跳转到S530步骤;
S520,ASN判断该报文是否来自AC,如果是,跳转到S570步骤,正常转发报文;否则,跳转到S560步骤,丢弃报文;
S530,ASN判断该报文的目的AID是否在公共设备上接入网络的用户虚拟AID,如果是,则跳转到S540步骤;否则,跳转到S570步骤,正常转发报文;
S540,报文的目的AID是在公共设备上接入网络的用户虚拟AID,ASN根据该AID查询是否有与公共设备AID之间的AID映射表,如果有,跳转到S550步骤;否则,跳转到S560步骤,丢弃报文;
S550,ASN根据公共设备的AID统计公共设备的流量;
S560,ASN丢弃报文;
S570,ASN正常转发报文,需要说明的是所述步骤由步骤S520、S530和S550跳转而来。
至此,ASN处理来自其它ASN的报文流程结束。
图6所示为用户离线的流程。用户已经在公共设备上接入网络,处于在线状态后,当用户需要离线时,向AC发送离线请求,AC、ILR和ASN均需删除与该用户AID相关的记录。该流程具体包括如下步骤:
S600,在公共设备上接入网络的用户User1通过ASN向AC发送离线请求;
S610,ASN接收到User1的所述离线请求,转发到AC处理;
S620,AC接收到User1的离线请求,删除User1在网络中的在线状态;
S630,AC向ASN发送离线请求响应,通知ASN删除User1相关信息;
S640,ASN接收到来自AC的离线请求响应消息,解除User1的AID附着,同时删除User1的AID与公共设备的AID之间的AID映射表;
S650,ASN向ILR汇报User1的<AID,RID>映射关系更新,请求删除User1的<AID,RID>映射关系;
S660,ILR删除User1的<AID,RID>映射关系,向ASN发送映射关系删除响应;
S670,ASN向公共设备发送离线成功的响应消息,删除附着在公共设备上的User1的虚拟AID。
至此,用户离线的流程结束。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (12)
1.一种用身份标识在公共设备上接入网络的方法,其特征在于,应用于身份标识和位置分离网络,该方法包括:
用户在公共设备上输入接入身份标识(AID)和验证信息,发起接入网络请求;
接入服务器(ASN)收到所述接入网络请求后,发送到认证中心(AC)对所述用户的AID信息的有效性进行验证,并将所述AC返回的接入网络响应转发给所述公共设备;
所述公共设备收到所述接入网络响应后,如果验证通过,则将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。
2.如权利要求1所述的方法,其特征在于,
所述AC用于存储网络中用户的AID以及验证信息,并在收到用户的接入网络请求后,对所述用户的AID信息的有效性进行如下验证:根据所述接入网络请求中所述用户的AID在本地查询相应的验证信息,如果查询到的验证信息与所述接入网络请求中的验证信息一致,则判定所述用户通过验证;否则,判定所述用户未通过验证。
3.如权利要求2所述的方法,其特征在于,
如果所述AC判定所述用户通过验证,则在返回的所述接入网络响应中包含所述用户的AID。
4.如权利要求1、2或3所述的方法,其特征在于,
所述ASN收到所述接入网络响应后,如果验证通过,则对所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的身份标识和位置登记寄存器(ILR)。
5.如权利要求4所述的方法,其特征在于,
所述ASN收到所述接入网络响应后,如果验证通过,则建立所述用户的AID与所述公共设备的AID的映射表。
6.如权利要求5所述的方法,其特征在于,
所述ASN在建立所述用户的AID与所述公共设备的AID的映射表的同时,将所述用户的AID属性设置为虚拟AID,在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
7.如权利要求4所述的方法,其特征在于,
所述ASN禁止所管理的公共设备访问所述AC之外的用户或者设备。
8.如权利要求5所述的方法,其特征在于,所述用户在所述公共设备上接入网络,在网络中处于在线状态后,当所述用户离线时,包括:
所述用户在所述公共设备上发送离线请求,所述ASN将该离线请求发送给所述AC;
所述AC删除所述用户在网络中的在线状态后,向所述ASN发送离线请求响应;
所述ASN解除所述用户的AID的附着,并向所述ILR请求删除所述用户的AID与所述ASN的RID的映射关系;同时,删除所述用户的AID与所述与公共设备的AID的映射表,并将所述离线请求响应发送给所述公共设备;
所述公共设备收到所述离线请求响应后,删除所述用户的虚拟AID。
9.一种用身份标识在公共设备上接入网络的系统,其特征在于,应用于身份标识和位置分离网络,该系统包括接入服务器(ASN)、公共设备和认证中心(AC),其中
所述公共设备用于,根据用户输入的身份标识(AID)和验证信息,向所述ASN发起接入网络请求;在收到接入网络响应后,如果验证通过,则将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发;
所述ASN用于,收到所述接入网络请求后,发送到所述AC;并将所述AC返回的接入网络响应转发给所述公共设备;
所述AC用于,对所述用户的AID信息的有效性进行验证,并向所述ASN返回接入网络响应。
10.如权利要求9所述的系统,其特征在于,所述系统还包括身份标识和位置登记寄存器(ILR),
所述ASN还用于,收到所述接入网络响应后,如果验证通过,则对所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的ILR;
所述ILR用于,保存所述用户的AID与所述ASN的RID的映射关系;以及,在接收到其他ASN根据用户的AID发起的映射关系查询请求后,将所述用户的AID所对应的RID返回给发起查询请求的所述ASN。
11.如权利要求10所述的系统,其特征在于,所述ASN还用于:
收到所述接入网络响应后,如果验证通过,则建立所述用户的AID与所述公共设备的AID的映射表,并将所述用户的AID属性设置为虚拟AID;
在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
12.如权利要求9、10或11所述的系统,其特征在于,
所述ASN还用于,禁止所管理的公共设备访问所述AC之外的用户或者设备。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100028507A CN102130975A (zh) | 2010-01-20 | 2010-01-20 | 一种用身份标识在公共设备上接入网络的方法及系统 |
| JP2012549233A JP5451901B2 (ja) | 2010-01-20 | 2010-10-18 | 公共設備でネットワークにアクセスする方法及びシステム |
| PCT/CN2010/077835 WO2011088693A1 (zh) | 2010-01-20 | 2010-10-18 | 一种在公共设备上接入网络的方法及系统 |
| KR1020127017881A KR20120102765A (ko) | 2010-01-20 | 2010-10-18 | 공공설비에서 네트워크에 접속하는 방법 및 시스템 |
| US13/520,236 US9686256B2 (en) | 2010-01-20 | 2010-10-18 | Method and system for accessing network through public device |
| EP10843733.6A EP2512087B1 (en) | 2010-01-20 | 2010-10-18 | Method and system for accessing network through public device |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2010100028507A CN102130975A (zh) | 2010-01-20 | 2010-01-20 | 一种用身份标识在公共设备上接入网络的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN102130975A true CN102130975A (zh) | 2011-07-20 |
Family
ID=44268863
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2010100028507A Pending CN102130975A (zh) | 2010-01-20 | 2010-01-20 | 一种用身份标识在公共设备上接入网络的方法及系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9686256B2 (zh) |
| EP (1) | EP2512087B1 (zh) |
| JP (1) | JP5451901B2 (zh) |
| KR (1) | KR20120102765A (zh) |
| CN (1) | CN102130975A (zh) |
| WO (1) | WO2011088693A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095657A (zh) * | 2011-11-03 | 2013-05-08 | 中兴通讯股份有限公司 | 一种用户接入方法、接入服务路由器及用户接入系统 |
| CN110868446A (zh) * | 2019-08-29 | 2020-03-06 | 北京大学深圳研究生院 | 一种后ip的主权网体系架构 |
| CN114143854A (zh) * | 2020-09-04 | 2022-03-04 | 华为技术有限公司 | 一种通信方法及设备 |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130887B (zh) * | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102131197B (zh) * | 2010-01-20 | 2015-09-16 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN103108299B (zh) * | 2011-11-10 | 2017-06-27 | 南京中兴软件有限责任公司 | 数据通信方法、接入服务路由器、身份位置寄存器及系统 |
| CN103108300B (zh) * | 2011-11-10 | 2018-01-30 | 中兴通讯股份有限公司 | 位置更新方法及移动路由器‑接入服务路由器 |
| CN104579969B (zh) * | 2013-10-29 | 2019-04-23 | 中兴通讯股份有限公司 | 报文发送方法及装置 |
| US10362150B2 (en) | 2015-09-09 | 2019-07-23 | Sony Corporation | Communication device and communication method |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1486029A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 基于远程认证的网络中实现eap认证的方法 |
| CN1571350A (zh) * | 2003-07-11 | 2005-01-26 | 华为技术有限公司 | 一种通过数据报文触发用户终端上线的方法 |
| CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
| CN101369893A (zh) * | 2008-10-06 | 2009-02-18 | 中国移动通信集团设计院有限公司 | 一种对临时用户进行局域网络接入认证的方法 |
Family Cites Families (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020007411A1 (en) * | 1998-08-10 | 2002-01-17 | Shvat Shaked | Automatic network user identification |
| US6728536B1 (en) * | 2000-05-02 | 2004-04-27 | Telefonaktiebolaget Lm Ericsson | Method and system for combined transmission of access specific access independent and application specific information over public IP networks between visiting and home networks |
| EP1502388B1 (en) * | 2002-05-01 | 2007-12-05 | Telefonaktiebolaget LM Ericsson (publ) | System, apparatus and method for SIM-based authentification and encryption in wireless local area network access |
| SG108326A1 (en) | 2002-10-16 | 2005-01-28 | Ntt Docomo Inc | Service verifying system, authentication requesting terminal, service utilizing terminal, and service providing method |
| US20040166874A1 (en) * | 2002-11-14 | 2004-08-26 | Nadarajah Asokan | Location related information in mobile communication system |
| US20050026596A1 (en) * | 2003-07-28 | 2005-02-03 | Oren Markovitz | Location-based AAA system and method in a wireless network |
| US20060072541A1 (en) * | 2004-09-28 | 2006-04-06 | Vivian Pecus | Network management system & method |
| KR100645512B1 (ko) | 2004-09-30 | 2006-11-15 | 삼성전자주식회사 | 통신 시스템에서 네트워크 접속에 대한 사용자 인증 장치및 그 방법 |
| US20080288658A1 (en) * | 2005-03-22 | 2008-11-20 | Feeva Technology Inc. | Systems and methods of network operation and information processing, including use of unique/anonymous identifiers throughout all stages of information processing and delivery |
| US8347063B2 (en) * | 2005-08-19 | 2013-01-01 | Intel Corporation | Method and system for device address translation for virtualization |
| US20070174429A1 (en) * | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
| US8151322B2 (en) * | 2006-05-16 | 2012-04-03 | A10 Networks, Inc. | Systems and methods for user access authentication based on network access point |
| US20080028445A1 (en) * | 2006-07-31 | 2008-01-31 | Fortinet, Inc. | Use of authentication information to make routing decisions |
| CN101127663B (zh) * | 2007-09-13 | 2010-11-03 | 北京交通大学 | 一种移动自组织网络接入一体化网络的系统及方法 |
| TWI348850B (en) * | 2007-12-18 | 2011-09-11 | Ind Tech Res Inst | Packet forwarding apparatus and method for virtualization switch |
| CN101217823A (zh) | 2008-01-18 | 2008-07-09 | 中兴通讯股份有限公司 | 一种实名制的通信方法 |
| JP4993122B2 (ja) | 2008-01-23 | 2012-08-08 | 大日本印刷株式会社 | プラットフォーム完全性検証システムおよび方法 |
| US8838488B1 (en) * | 2008-04-16 | 2014-09-16 | Sprint Communication Company L.P. | Maintaining a common identifier for a user session on a communication network |
| CN101355564A (zh) | 2008-09-19 | 2009-01-28 | 广东南方信息安全产业基地有限公司 | 一种实现可信局域网及互联网的方法 |
| KR101084769B1 (ko) * | 2008-12-23 | 2011-11-21 | 주식회사 케이티 | 위치자/식별자 분리 기반의 네트워크 이동성 지원 시스템 및 그 방법 |
| CN102130887B (zh) * | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN102131197B (zh) * | 2010-01-20 | 2015-09-16 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
-
2010
- 2010-01-20 CN CN2010100028507A patent/CN102130975A/zh active Pending
- 2010-10-18 WO PCT/CN2010/077835 patent/WO2011088693A1/zh active Application Filing
- 2010-10-18 KR KR1020127017881A patent/KR20120102765A/ko not_active Application Discontinuation
- 2010-10-18 JP JP2012549233A patent/JP5451901B2/ja not_active Expired - Fee Related
- 2010-10-18 EP EP10843733.6A patent/EP2512087B1/en not_active Not-in-force
- 2010-10-18 US US13/520,236 patent/US9686256B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1486029A (zh) * | 2002-09-23 | 2004-03-31 | 华为技术有限公司 | 基于远程认证的网络中实现eap认证的方法 |
| CN1571350A (zh) * | 2003-07-11 | 2005-01-26 | 华为技术有限公司 | 一种通过数据报文触发用户终端上线的方法 |
| CN1845491A (zh) * | 2006-02-20 | 2006-10-11 | 南京联创通信科技有限公司 | 802.1x的接入认证方法 |
| CN101369893A (zh) * | 2008-10-06 | 2009-02-18 | 中国移动通信集团设计院有限公司 | 一种对临时用户进行局域网络接入认证的方法 |
Non-Patent Citations (1)
| Title |
|---|
| PING DONG等: "An Efficient Approach to Map Identity onto Locator", 《MOBILITY "08 PROCEEDINGS OF THE INTERNATIONAL CONFERENCE ON MOBILE TECHNOLOGY, APPLICATIONS, AND SYSTEMS》 * |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103095657A (zh) * | 2011-11-03 | 2013-05-08 | 中兴通讯股份有限公司 | 一种用户接入方法、接入服务路由器及用户接入系统 |
| CN110868446A (zh) * | 2019-08-29 | 2020-03-06 | 北京大学深圳研究生院 | 一种后ip的主权网体系架构 |
| CN114143854A (zh) * | 2020-09-04 | 2022-03-04 | 华为技术有限公司 | 一种通信方法及设备 |
| CN114143854B (zh) * | 2020-09-04 | 2023-10-20 | 华为技术有限公司 | 一种通信方法及设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2512087A1 (en) | 2012-10-17 |
| US9686256B2 (en) | 2017-06-20 |
| US20120284407A1 (en) | 2012-11-08 |
| JP5451901B2 (ja) | 2014-03-26 |
| EP2512087B1 (en) | 2018-09-19 |
| JP2013517716A (ja) | 2013-05-16 |
| EP2512087A4 (en) | 2016-11-09 |
| KR20120102765A (ko) | 2012-09-18 |
| WO2011088693A1 (zh) | 2011-07-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102130975A (zh) | 一种用身份标识在公共设备上接入网络的方法及系统 | |
| KR101243713B1 (ko) | 무선랜 접속 장치 및 그 동작 방법 | |
| CN103401884A (zh) | 基于微信的公共无线环境上网认证方法及系统 | |
| CN102131197B (zh) | 一种在公共设备上接入网络的方法及系统 | |
| JP2002508121A (ja) | 通信システムに関する方法および装置 | |
| CN102916930B (zh) | 融合业务网络及其节点、资源请求的路由信息的获取方法 | |
| CN102130887A (zh) | 一种在公共设备上接入网络的方法及系统 | |
| CN102546523B (zh) | 一种互联网接入的安全认证方法、系统和设备 | |
| CN104253798A (zh) | 一种网络安全监控方法和系统 | |
| CN101697550A (zh) | 一种双栈网络访问权限控制方法和系统 | |
| CN1972225B (zh) | 下一代网络中不同子系统之间交互用户信息的方法 | |
| CN104168564B (zh) | 基于gprs网络和一体化标识网络的认证方法和装置 | |
| CN103108316B (zh) | 空中写卡认证方法、装置和系统 | |
| WO2017210914A1 (zh) | 传输信息的方法和装置 | |
| KR100687722B1 (ko) | 인증 서버 및 인증 서버를 이용한 사용자 인증 방법 | |
| KR20050077976A (ko) | 무선 데이터 서비스를 위한 사용자의 세션 정보 제공 방법및 시스템 | |
| Desai et al. | Modeling hierarchical mobile agent security protocol using CP nets | |
| CN102055680A (zh) | 电子公告板管理方法和系统 | |
| KR100413965B1 (ko) | 다이아미터 서버에서의 세션 복구 방법 | |
| CN102055681A (zh) | 电子公告板管理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20110720 |