CN102131197B - 一种在公共设备上接入网络的方法及系统 - Google Patents

一种在公共设备上接入网络的方法及系统 Download PDF

Info

Publication number
CN102131197B
CN102131197B CN201010002852.6A CN201010002852A CN102131197B CN 102131197 B CN102131197 B CN 102131197B CN 201010002852 A CN201010002852 A CN 201010002852A CN 102131197 B CN102131197 B CN 102131197B
Authority
CN
China
Prior art keywords
user
aid
described user
asn
common equipment
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201010002852.6A
Other languages
English (en)
Other versions
CN102131197A (zh
Inventor
颜正清
张世伟
符涛
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201010002852.6A priority Critical patent/CN102131197B/zh
Priority to EP10843734.4A priority patent/EP2512088A4/en
Priority to KR1020127018133A priority patent/KR20120094952A/ko
Priority to US13/520,818 priority patent/US20130125246A1/en
Priority to PCT/CN2010/077854 priority patent/WO2011088694A1/zh
Priority to JP2012549234A priority patent/JP5451902B2/ja
Publication of CN102131197A publication Critical patent/CN102131197A/zh
Application granted granted Critical
Publication of CN102131197B publication Critical patent/CN102131197B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42229Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location
    • H04M3/42263Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location where the same subscriber uses different terminals, i.e. nomadism
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/42Systems providing special services or facilities to subscribers
    • H04M3/42229Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location
    • H04M3/42263Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location where the same subscriber uses different terminals, i.e. nomadism
    • H04M3/42272Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location where the same subscriber uses different terminals, i.e. nomadism whereby the subscriber registers to the terminals for personalised service provision
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M2203/00Aspects of automatic or semi-automatic exchanges
    • H04M2203/60Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
    • H04M2203/6081Service authorization mechanisms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04MTELEPHONIC COMMUNICATION
    • H04M3/00Automatic or semi-automatic exchanges
    • H04M3/22Arrangements for supervision, monitoring or testing
    • H04M3/2281Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)
  • Telephonic Communication Services (AREA)

Abstract

一种在公共设备上接入网络的方法及系统,应用于身份标识和位置分离网络,能够对在公共设备上接入网络的用户进行有效的溯源和追踪,该方法包括:接入服务器(ASN)收到用户在公共设备上发送的接入网络请求消息后,发送到认证中心(AC),所述接入网络请求消息中包含所述用户的身份信息;所述AC根据所述用户的身份信息向身份信息中心(IIC)发起查询,并根据查询结果对所述用户的合法性进行验证,如果验证通过,则将所述用户的接入身份标识(AID)发送给所述ASN;所述ASN收到所述用户的AID后,推送给所述公共设备,所述公共设备将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。

Description

一种在公共设备上接入网络的方法及系统
技术领域
本发明涉及移动通讯领域和互联网领域,尤其涉及一种在公共设备上接入网络的方法及系统。
背景技术
在现有的IP网络中,人们在公共设备上接入网络时,直接使用公共设备的IP地址与其他用户进行通讯,网络监管机构无法对在公共设备上接入网络的用户进行追踪和溯源。例如,在现有的网络中,上网需要出示身份证件,但很多网吧仍然无法识别证件的真伪,甚至于没有合法证件也可以用网吧提供的某一个公用证件上网。这给网络监管机构的追踪和溯源带来了很大的困难。
而且,在现有网络中,由于传统的IP地址存在身份和位置的二义性,使得用户可以在公共设备上登录自己的业务账号,如邮件,网络银行等等,从而无法实现用户网络层IP与应用层业务绑定,一旦账号丢失,将给用户带来很大损失。如果在传统的IP技术上实现用户网络层IP与应用层业务绑定,用户在公共设备上接入网络时,由于网络层IP地址的不同,将不能访问自己的应用层业务。而对于网络监管机构来说,由于账号和用户IP不能绑定,对用户的监管力度也被削弱。
综上所述,目前的传统IP技术存在如下问题:
1、由于传统的IP地址存在身份和位置的二义性,使得监管机构无法对在公共设备上接入网络的用户进行有效的追踪和溯源,不仅存在安全隐患,也为打击违法犯罪活动带来了困难;
2、此外,传统的IP地址的身份和位置的二义性还使得用户无法用网络层IP与应用层业务绑定,从而无法更有效的保障应用层业务的安全性。
发明内容
本发明要解决的技术问题是提供一种在公共设备上接入网络的方法及系统,能够在身份标识和位置分离网络中对在公共设备上接入网络的用户进行有效的溯源和追踪。
为了解决上述问题,本发明提供了一种在公共设备上接入网络的方法,应用于身份标识和位置分离网络,该方法包括:
接入服务器(ASN)收到用户在公共设备上发送的接入网络请求消息后,发送到认证中心(AC),所述接入网络请求消息中包含所述用户的身份信息;
所述AC根据所述用户的身份信息向身份信息中心(IIC)发起查询,并根据查询结果对所述用户的合法性进行验证,如果验证通过,则将所述用户的接入身份标识(AID)发送给所述ASN;
所述ASN收到所述用户的AID后,推送给所述公共设备,所述公共设备将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。
进一步地,所述身份信息至少包括所述用户的身份证件号码或护照号码。
进一步地,所述接入网络请求中还包括所述IIC采集所述用户的身份信息时所设置的验证信息,所述验证信息包括密码、验证码或所述用户的指纹信息。
进一步地,所述IIC收到所述AC发起的查询请求后,将所述用户的验证信息作为查询结果返回给所述AC;
所述AC根据所述查询结果对所述用户的合法性进行验证,如果所述接入网络请求中的验证信息与所述查询结果一致,则所述用户验证通过,否则,所述用户验证未通过。
进一步地,所述IIC收到所述AC发起的查询请求后,将所述用户的身份证件有效期作为查询结果返回给所述AC;
所述AC根据所述身份证件有效期对所述用户的合法性进行验证,如果在有效期内,则所述用户验证通过,否则,所述用户验证未通过。
进一步地,所述ASN收到所述用户的AID后,对所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的身份标识和位置登记寄存器(ILR)。
进一步地,所述ASN收到所述用户的AID后,建立所述用户的AID与所述公共设备的AID的映射表,并将所述用户的AID属性设置为虚拟AID;
所述ASN在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
进一步地,所述ASN禁止所管理的公共设备访问所述AC之外的用户或者设备。
本发明还提供了一种在公共设备上接入网络的系统,应用于身份标识和位置分离网络,该系统包括:接入服务器(ASN)、公共设备,认证中心(AC),身份信息中心(IIC),其中
所述ASN用于,收到用户在公共设备上发送的包含所述用户的身份信息的接入网络请求消息后,发送到所述AC;以及,在收到所述用户的AID后,推送给所述公共设备;
所述AC用于,收到所述接入网络请求后,根据其中所述用户的身份信息向所述IIC发起查询,并根据查询结果对所述用户的合法性进行验证,如果验证通过,则将所述用户的接入身份标识(AID)发送给所述ASN;
所述公共设备用于,收到所述ASN推送的所述用户的AID后,将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发所述ASN。
进一步地,所述IIC用于,收到所述AC发起的查询请求后,将所述用户的身份证件有效期作为查询结果返回给所述AC;
所述AC用于,根据所述身份证件有效期对所述用户的合法性进行验证,如果在有效期内,则所述用户验证通过,否则,所述用户验证未通过。
进一步地,所述接入网络请求中还包括验证信息,
所述IIC用于,在采集用户的身份信息的同时设置所述用户的验证信息;在收到所述AC发起的所述用户的查询请求后,将所述用户的验证信息作为查询结果返回给所述AC;
所述AC用于,根据所述查询结果对所述用户的合法性进行验证,如果所述接入网络请求中的验证信息与所述查询结果一致,则所述用户验证通过,否则,所述用户验证未通过。
进一步地,所述系统还包括身份标识和位置登记寄存器(ILR),
所述ASN还用于,对收到的所述AC发送的所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的ILR;
所述ILR用于,保存所述用户的AID与所述ASN的RID的映射关系;以及,在接收到其他ASN根据用户的AID发起的映射关系查询请求后,将所述用户的AID所对应的RID返回给发起查询请求的所述ASN。
上述实施方案是基于身份标识和位置分离网络,利用用户AID的全网唯一性来实现用户在公共设备上接入网络。相较于目前的传统IP网络,采用上述实施方案,充分利用身份标识和位置标识分离网络的优越性,在全网AID唯一的基础上,可以对在公共设备上接入网络的用户进行有效的追踪和溯源。
附图说明
图1为本发明实施例的SILSN的架构示意图;
图2为本发明实施例的用户在公共设备上接入网络的流程示意图;
图3为本发明实施例的用户在公共设备上上网的报文转发的流程示意图;
图4为本发明实施例的ASN处理来自公共设备的报文的流程示意图;
图5为本发明实施例的ASN处理来自其他ASN的报文的流程示意图;
图6为本发明实施例的用户离线的流程示意图。
具体实施方式
为解决现有传统IP地址的身份和位置的二义性问题,本发明提出一种如图1所示的身份标识和位置分离网络(Subscriber Identifier & LocatorSeparation Network,简称为SILSN)系统架构,在图1中,此SILSN系统由接入服务器(Access Service Node,简称为ASN)、用户(User)、认证中心(Authentication Center,简称为AC)、身份信息中心(Identifier InformationCenter,简称为IIC)以及身份标识和位置登记寄存器(Identification & LocationRegister,简称为ILR)等组成。
其中,ASN主要负责用户的接入,并承担计费、切换等功能;ILR主要用于承担用户的位置注册和身份位置识别,以及位置查询功能;AC主要负责对用户的接入进行认证;IIC主要负责存放用户的身份信息。
上述SILSN架构网络中有两种标识类型:接入身份标识(AccessIdentifier,简称为AID)和路由标识(Routing Identifier,简称为RID)。其中,AID是用户的身份标识,此标识仅分配给该用户使用且全网唯一,且此身份标识在网络传输中可以唯一不变,并且用户在网络中进行移动时,该AID也不会改变,全网唯一。用户与用户之间使用各自所附着的ASN的RID进行通信报文的路由。应说明的是,身份标识和位置标识在不同的SILSN架构可以有不同的名称,但实质是一样的。
上述SILSN网络有如下特征:此网络内每个用户只有经过严格认证才能接入,用户在各种业务中所发送的数据包中都同时携带自己的AID,且用户发送的每个数据包都必须经过ASN验证,保证用户发出的数据包携带的是自己的接入身份标识,不会假冒其他用户AID接入网络,并且此接入身份标识在网络中传送时将一直保持不变,当用户发生移动或切换时,此标识也不会发生变化。
在图1的示例中,用户User1和User2分别存在唯一的接入身份标识AID1和AID2,User1和User2分别通过ASN1和ASN2接入网络。其中,User2正常接入网络,即使用自有用户设备(User Equipment,简称为UE)接入网络,其UE的AID便是User2用来与业务绑定的AID。而User1则是在公共设备上接入网络,由于公共设备的AID不是User1所拥有的AID,因此,无法与用户的应用业务绑定。
针对上述提出的SILSN网络,为解决该问题,本发明的基本实现思想如下:用户在公共设备上输入身份信息,请求接入网络;AC向IIC查询该用户的身份信息,对该用户的接入网络请求进行验证,如果验证成功,则将用户的AID推送到用户所在的公共设备上,然后将用户的AID作为虚拟AID绑定在公共设备上。
这样,便可实现用户的AID与应用业务的绑定:公共设备将用户的AID作为本机AID,设备上的应用程序在处理与网络有关的事件时,均使用该用户的AID。
更具体的,本发明采用如下方案来解决基于SILSN网络的在公共设备上接入网络的问题:
ASN收到用户在公共设备上发送的接入网络请求消息后,发送到AC,所述接入网络请求消息中包含该用户的身份信息;
AC根据该用户的身份信息向IIC发起查询,并根据查询结果对该用户的合法性进行验证,如果验证通过,则将该用户的AID发送给所述ASN;
所述ASN将所述用户的AID推送给所述公共设备,所述公共设备将所述用户的AID作为虚拟AID,使用所述虚拟AID进行该用户的报文的收发。
其中,所述的身份信息至少包括所述用户的身份证件号码或护照号码。
此外,所述接入网络请求中还可以包括IIC采集所述用户的身份信息时所设置的验证信息,所述验证信息可以是密码、验证码或用户的指纹信息。
进一步地,IIC收到AC发起的查询请求后,将所述用户的验证信息作为查询结果返回给AC;
AC根据所述查询结果对所述用户的合法性进行验证,如果接入网络请求中的验证信息与所述查询结果一致,则所述用户验证通过,否则,所述用户验证未通过。
此外,所述IIC收到所述AC发起的查询请求后,还可以将所述用户的身份证件有效期作为查询结果返回给所述AC;
所述AC根据所述身份证件有效期对所述用户的合法性进行验证,如果在有效期内,则所述用户验证通过,否则,所述用户验证未通过。
进一步地,如果用户的合法性验证通过,则ASN建立所述用户的AID与所述公共设备的AID的映射表;同时将所述用户的AID属性设置为虚拟AID,在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计。
进一步地,ASN将禁止公共设备访问AC之外的用户。
下面将结合附图及具体实施例对本发明技术方案的实施作进一步详细描述。需要说明的是,本发明内容可以用以下实施例解释,但不限于以下的实施例。
图2所示为用户使用身份证件在公共设备上接入网络的流程。该流程具体可包括如下步骤:
S200,用户在公共设备上输入身份信息,然后发送接入网络请求消息,该消息中的的源AID是公共设备的AID,目的则为AC;
所述的身份信息可以是身份证号和密码等,例如,用户使用自己的二代身份证在公共设备上读取身份信息,并输入密码,申请接入网络。
S210,ASN接收到来自公共设备的接入网络请求消息,将该请求消息转发至AC处理;
S220,AC接收到来自公共设备的用户接入网络请求消息,提取该请求信息中的身份信息(如用户身份证件号码和密码),并可根据身份证件号码向IIC发送用户身份信息查询请求;
S230,IIC根据AC提供的身份证件号码,查询该用户的详细信息,包括用户的身份证件有效期、AID、密码以及姓名性别等等,然后向AC发送查询响应消息,该查询响应消息中包括该用户的身份证件有效期、AID、密码以及姓名性别等信息;
S240,AC接收到来自IIC的用户身份信息查询响应消息,根据该响应消息中的密码等信息以及身份证件有效期验证用户是否可以合法接入网络,如果用户的身份信息真实,且身份证件在有效期内,则接受用户的接入网络请求;如果用户的身份证件有效期到期或者密码(或姓名性别)等信息不正确,则AC将拒绝用户接入网络;
S250,AC向公共设备发送认证响应信息;
S260,ASN接收到来自AC的用户接入网络认证响应信息后,如果认证通过,则ASN对用户的AID进行附着,与ASN自身的RID建立<AID,RID>映射关系,同时为用户和公共设备建立形式为<AID,AID>的AID映射表,可选地,ASN将用户的AID属性设置为用户虚拟AID;如果认证未通过,则ASN将直接转发来自AC的接入网络认证响应消息;
S270,公共设备接收到身份信息认证请求响应消息,如果认证通过,则公共设备将用户的AID在自身的系统中作为一个虚拟的AID,用户在公共设备上发生的网络行为都将以该虚拟AID作为源AID;
例如用户在访问FTP服务器时,发送的访问请求报文中源AID为虚拟AID;
S280,ASN向ILR汇报该用户的<AID,RID>映射关系;
其中,ASN建立用户的<AID,RID>映射关系,并汇报给ILR的目的是为了说明User的AID附着在该ASN上,方便其他用户和ASN根据该用户的AID向ILR查询得到对应的RID信息,进而根据查询到的RID信息发送报文到该ASN。
S290,ILR记录或更新该User的<AID,RID>映射关系后,向ASN返回汇报映射关系响应信息。
此后,ILR在接收到其他用户或ASN对该用户的映射关系查询请求后,将该用户的AID所对应的RID返回给查询方。
需要说明的是,以上的步骤中,S280和S290也可以在S270之前实现。实现的前后顺序取决于ASN的内部实现方法。
图3所示为用户在公共设备上上网的报文转发流程。用户在公共设备上的上网行为与用户在自身设备上的上网行为基本一致,符合网络管理者和监管机构对用户的追踪和溯源需求,同时也解决了用户网络层AID和应用层业务之间的绑定问题。其不同之处在于ASN需要统计公共设备的流量,以实现对公共设备的管理。该流程具体可包括如下步骤:
S300,User1在公共设备上向User2发送通信请求报文,报文中的源AID为User1的AID,目的AID为User2的AID;
其中,公共设备除了具有本身的AID之外,其系统还允许在公共设备上成功接入网络的用户将其AID附着在公共设备上。也就是说,当用户的AID附着在公共设备上时,公共设备收发报文所用的AID都是该用户的虚拟AID,而非公共设备的本身AID。当用户退出网络时,虚拟AID也将被删除,此后,公共设备收发报文所用的AID是本身的AID。
S310,ASN1接收到来自公共设备的报文,根据ASN设置的附着User的AID的属性检查得源AID为虚拟AID后,用所述AID查询User1与公共设备的AID映射表,查询得到公共设备的AID,并对公共设备进行流量统计;
S320,ASN1根据User1的通信请求报文中的目的AID,即User2的AID向ILR查询得到对应的RID(ASN2的RID),并可将ASN1的RID作为源RID,将ASN2的RID作为目的RID封装在报文中,路由转发到ASN2;
S330,ASN2收到上述报文后,解除封装的RID后转发User1的通信请求报文到User2;
S340,User2回复User1的通信请求,回复报文中的源地址为User2的AID,目的地址为User1的AID;
S350,ASN2在回复报文中封装源RID(ASN2的RID)和目的RID(ASN1的RID)后,转发到ASN1;
本示例是以User1向User2发起通信为例进行描述,如果是User2向User1发起通信,则ASN2根据User2的通信请求报文中的目的地址,即User1的AID查询ILR,得到对应的ASN1的RID后,封装在报文中,转发路由到ASN1,其通信流程与本示例相似,在此不再赘述。
S360,ASN1接收到来自ASN2的报文,检查得到目的AID为虚拟AID,然后用所述AID查询User1与公共设备的AID映射表,查询得到公共设备的AID,并对公共设备进行流量统计;
S370,ASN1解除报文中封装的RID后,将User2的回复报文转发给User1。
至此,用户在公共设备上的报文转发流程结束。
需要说明的是,ASN1利用User1的AID与公共设备的AID映射表,查询得到公共设备的AID进行流量统计只是ASN的其中功能之一。ASN1根据AID映射表可以拥有的功能不限于流量统计,还包括记录User1接入网络的具体位置、对公共设备计费等功能。
图4所示为ASN处理来自公共设备的报文流程。在该示例中,ASN需要检查源AID是否公共设备的AID。如果是,需要禁止公共设备直接访问非AC的目的地。该流程具体可包括如下步骤:
S400,ASN接收到来自公共设备的报文;
S410,ASN提取报文中的源AID,判断是否公共设备的AID,如果是,跳转到S420步骤;否则,跳转到S430步骤;
该步骤中,ASN可以根据其上所有的AID的列表查到所述源AID,再通过查看该源AID的属性,判断该源AID是否是公共设备。AID的属性可能有很多种,例如上述的公共设备的属性,以及,虚拟AID,需要重定向的AID,等等。
此外,AID还可以通过其他多种方式判断上述源AID是否是公共设备,例如,ASN可以对其上所有公共设备的AID进行备案,并单独保存为公共设备的AID列表;在收到报文时,根据备案的公共设备的AID列表判断该源AID是否是公共设备,等等。此处不再逐一列举。
S420,ASN判断该报文的目的地是否AC,如果是,跳转到S470步骤,正常转发报文;否则,跳转到S460步骤,丢弃报文;
S430,如果该AID不是公共设备的AID,ASN判断该AID属性是否虚拟用户,即是否用户在公共设备上接入网络的虚拟AID,如果是,跳转到S440步骤;否则,跳转到S470步骤,正常转发;
S440,根据用户在公共设备上接入网络的虚拟AID,查询是否有对应的与公共设备AID之间的AID映射表存在,如果有AID映射表,则跳转到S450步骤;否则,跳转到S460步骤,丢弃报文;
S450,ASN根据查询到的AID映射表,对公共设备进行流量统计;
S460,丢弃报文;
S470,正常转发报文。需要说明的是,S470由步骤S420,S430或者S450跳转而来。
至此,ASN处理来自公共设备的报文流程结束。
图5所示为ASN处理来自其他ASN的报文的流程。在该示例中,ASN需要判断目的AID是否在公共设备上接入网络的用户虚拟AID。该流程具体可包括如下步骤:
S500,ASN提取报文的源AID和目的AID;
S510,ASN判断目的AID是否为公共设备AID,如果是,跳转到S520步骤;否则,跳转到S530步骤;
S520,ASN判断该报文是否来自AC,如果是,跳转到S570步骤,正常转发报文;否则,跳转到S560步骤,丢弃报文;
S530,ASN判断该报文的目的AID是否在公共设备上接入网络的用户虚拟AID,如果是,则跳转到S540步骤;否则,跳转到S570步骤,正常转发报文;
S540,报文的目的AID是在公共设备上接入网络的用户虚拟AID,ASN根据该AID查询是否有与公共设备AID之间的AID映射表,如果有,跳转到S550步骤;否则,跳转到S560步骤,丢弃报文;
S550,ASN根据公共设备的AID统计公共设备的流量;
S560,ASN丢弃报文;
S570,ASN正常转发报文,需要说明的是所述步骤由步骤S520、S530和S550跳转而来。
至此,ASN处理来自其它ASN的报文流程结束。
图6所示为用户离线的流程。用户已经在公共设备上接入网络,处于在线状态后,当用户需要离线时,向AC发送离线请求,AC、ILR和ASN均需删除与该用户AID相关的记录。该流程具体包括如下步骤:
S600,在公共设备上接入网络的用户User1通过ASN向AC发送离线请求;
S610,ASN接收到User1的所述离线请求,转发到AC处理;
S620,AC接收到User1的离线请求,删除User1在网络中的在线状态;
S630,AC向ASN发送离线请求响应,通知ASN删除User1相关信息;
S640,ASN接收到来自AC的离线请求响应消息,解除User1的AID附着,同时删除User1的AID与公共设备的AID之间的AID映射表;
S650,ASN向ILR汇报User1的<AID,RID>映射关系更新,请求删除User1的<AID,RID>映射关系;
S660,ILR删除User1的<AID,RID>映射关系,向ASN发送映射关系删除响应;
S670,ASN向公共设备发送离线成功的响应消息,删除附着在公共设备上的User1的虚拟AID。
至此,用户离线的流程结束。
此外,本发明还提供了一种在公共设备上接入网络的系统(未图示),应用于身份标识和位置分离网络,该系统包括:接入服务器(ASN)、公共设备,认证中心(AC),身份信息中心(IIC),其中
所述ASN用于,收到用户在公共设备上发送的包含所述用户的身份信息的接入网络请求消息后,发送到所述AC;以及,在收到所述用户的AID后,推送给所述公共设备;
所述AC用于,收到所述接入网络请求后,根据其中所述用户的身份信息向所述IIC发起查询,并根据查询结果对所述用户的合法性进行验证,如果验证通过,则将所述用户的接入身份标识(AID)发送给所述ASN;
所述公共设备用于,收到所述ASN推送的所述用户的AID后,将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发所述ASN。
进一步地,所述IIC用于,收到所述AC发起的查询请求后,将所述用户的身份证件有效期作为查询结果返回给所述AC;
所述AC用于,根据所述身份证件有效期对所述用户的合法性进行验证,如果在有效期内,则所述用户验证通过,否则,所述用户验证未通过。
进一步地,所述接入网络请求中还包括验证信息,
所述IIC用于,在采集用户的身份信息的同时设置所述用户的验证信息;在收到所述AC发起的所述用户的查询请求后,将所述用户的验证信息作为查询结果返回给所述AC;
所述AC用于,根据所述查询结果对所述用户的合法性进行验证,如果所述接入网络请求中的验证信息与所述查询结果一致,则所述用户验证通过,否则,所述用户验证未通过。
进一步地,所述系统还包括身份标识和位置登记寄存器(ILR),
所述ASN还用于,对收到的所述AC发送的所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的ILR;
所述ILR用于,保存所述用户的AID与所述ASN的RID的映射关系;以及,在接收到其他ASN根据用户的AID发起的映射关系查询请求后,将所述用户的AID所对应的RID返回给发起查询请求的所述ASN。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明,对于本领域的技术人员来说,本发明可以有各种更改和变化。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。

Claims (12)

1.一种在公共设备上接入网络的方法,其特征在于,应用于身份标识和位置分离网络,该方法包括:
接入服务器(ASN)收到用户在公共设备上发送的接入网络请求消息后,发送到认证中心(AC),所述接入网络请求消息中包含所述用户的身份信息;
所述AC根据所述用户的身份信息向身份信息中心(IIC)发起查询,并根据查询结果对所述用户的合法性进行验证,如果验证通过,则将所述用户的接入身份标识(AID)发送给所述ASN;
所述ASN收到所述用户的AID后,推送给所述公共设备,所述公共设备将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。
2.如权利要求1所述的方法,其特征在于,
所述身份信息至少包括所述用户的身份证件号码或护照号码。
3.如权利要求2所述的方法,其特征在于,
所述接入网络请求中还包括所述IIC采集所述用户的身份信息时所设置的验证信息,所述验证信息包括密码、验证码或所述用户的指纹信息。
4.如权利要求3所述的方法,其特征在于,
所述IIC收到所述AC发起的查询请求后,将所述用户的验证信息作为查询结果返回给所述AC;
所述AC根据所述查询结果对所述用户的合法性进行验证,如果所述接入网络请求中的验证信息与所述查询结果一致,则所述用户验证通过,否则,所述用户验证未通过。
5.如权利要求1、2或4所述的方法,其特征在于,
所述IIC收到所述AC发起的查询请求后,将所述用户的身份证件有效期作为查询结果返回给所述AC;
所述AC根据所述身份证件有效期对所述用户的合法性进行验证,如果在有效期内,则所述用户验证通过,否则,所述用户验证未通过。
6.如权利要求1至4之任一项所述的方法,其特征在于,
所述ASN收到所述用户的AID后,对所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的身份标识和位置登记寄存器(ILR)。
7.如权利要求6所述的方法,其特征在于,
所述ASN收到所述用户的AID后,建立所述用户的AID与所述公共设备的AID的映射表,并将所述用户的AID属性设置为虚拟AID;
所述ASN在收到以所述虚拟AID为源地址或目的地址的报文时,查询所述映射表得到所述公共设备的AID并对所述公共设备进行流量统计或计费。
8.如权利要求1至4之任一项所述的方法,其特征在于,
所述ASN禁止所管理的公共设备访问所述AC之外的用户或者设备。
9.一种在公共设备上接入网络的系统,其特征在于,应用于身份标识和位置分离网络,该系统包括:接入服务器(ASN)、公共设备,认证中心(AC),身份信息中心(IIC),其中
所述ASN用于,收到用户在公共设备上发送的包含所述用户的身份信息的接入网络请求消息后,发送到所述AC;以及,在收到所述用户的AID后,推送给所述公共设备;
所述AC用于,收到所述接入网络请求后,根据其中所述用户的身份信息向所述IIC发起查询,并根据查询结果对所述用户的合法性进行验证,如果验证通过,则将所述用户的接入身份标识(AID)发送给所述ASN;
所述公共设备用于,收到所述ASN推送的所述用户的AID后,将所述用户的AID作为虚拟AID,并使用所述虚拟AID进行所述用户的报文的收发。
10.如权利要求9所述的系统,其特征在于,
所述IIC用于,收到所述AC发起的查询请求后,将所述用户的身份证件有效期作为查询结果返回给所述AC;
所述AC用于,根据所述身份证件有效期对所述用户的合法性进行验证,如果在有效期内,则所述用户验证通过,否则,所述用户验证未通过。
11.如权利要求10所述的系统,其特征在于,所述接入网络请求中还包括验证信息,
所述IIC用于,在采集用户的身份信息的同时设置所述用户的验证信息;在收到所述AC发起的所述用户的查询请求后,将所述用户的验证信息作为查询结果返回给所述AC;
所述AC用于,根据所述查询结果对所述用户的合法性进行验证,如果所述接入网络请求中的验证信息与所述查询结果一致,则所述用户验证通过,否则,所述用户验证未通过。
12.如权利要求9所述的系统,其特征在于,所述系统还包括身份标识和位置登记寄存器(ILR),
所述ASN还用于,对收到的所述AC发送的所述用户的AID进行附着,建立所述用户的AID与所述ASN的RID的映射关系,并汇报给所述用户的ILR;
所述ILR用于,保存所述用户的AID与所述ASN的RID的映射关系;以及,在接收到其他ASN根据用户的AID发起的映射关系查询请求后,将所述用户的AID所对应的RID返回给发起查询请求的所述ASN。
CN201010002852.6A 2010-01-20 2010-01-20 一种在公共设备上接入网络的方法及系统 Expired - Fee Related CN102131197B (zh)

Priority Applications (6)

Application Number Priority Date Filing Date Title
CN201010002852.6A CN102131197B (zh) 2010-01-20 2010-01-20 一种在公共设备上接入网络的方法及系统
EP10843734.4A EP2512088A4 (en) 2010-01-20 2010-10-19 METHOD AND SYSTEM FOR ACCESSING A NETWORK ON A PUBLIC DEVICE
KR1020127018133A KR20120094952A (ko) 2010-01-20 2010-10-19 공공설비에서 네트워크에 접속하는 방법 및 시스템
US13/520,818 US20130125246A1 (en) 2010-01-20 2010-10-19 Method and system for accessing network on public device
PCT/CN2010/077854 WO2011088694A1 (zh) 2010-01-20 2010-10-19 一种在公共设备上接入网络的方法及系统
JP2012549234A JP5451902B2 (ja) 2010-01-20 2010-10-19 公共設備におけるネットワークアクセス方法及びシステム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201010002852.6A CN102131197B (zh) 2010-01-20 2010-01-20 一种在公共设备上接入网络的方法及系统

Publications (2)

Publication Number Publication Date
CN102131197A CN102131197A (zh) 2011-07-20
CN102131197B true CN102131197B (zh) 2015-09-16

Family

ID=44269063

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201010002852.6A Expired - Fee Related CN102131197B (zh) 2010-01-20 2010-01-20 一种在公共设备上接入网络的方法及系统

Country Status (6)

Country Link
US (1) US20130125246A1 (zh)
EP (1) EP2512088A4 (zh)
JP (1) JP5451902B2 (zh)
KR (1) KR20120094952A (zh)
CN (1) CN102131197B (zh)
WO (1) WO2011088694A1 (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102130887B (zh) * 2010-01-20 2019-03-12 中兴通讯股份有限公司 一种在公共设备上接入网络的方法及系统
CN102130975A (zh) * 2010-01-20 2011-07-20 中兴通讯股份有限公司 一种用身份标识在公共设备上接入网络的方法及系统
CN103036758B (zh) * 2011-10-10 2017-02-15 中兴通讯股份有限公司 一种标识网与传统网络互联互通的方法、asr及isr
CN104579969B (zh) * 2013-10-29 2019-04-23 中兴通讯股份有限公司 报文发送方法及装置
CN107819959B (zh) * 2016-09-14 2019-12-31 中国电信股份有限公司 电话溯源方法和装置
CN107680294B (zh) * 2017-09-11 2020-03-06 平安科技(深圳)有限公司 房产信息查询方法、系统、终端设备及存储介质

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1486029A (zh) * 2002-09-23 2004-03-31 华为技术有限公司 基于远程认证的网络中实现eap认证的方法
CN101369893A (zh) * 2008-10-06 2009-02-18 中国移动通信集团设计院有限公司 一种对临时用户进行局域网络接入认证的方法

Family Cites Families (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2349244A (en) * 1999-04-22 2000-10-25 Visage Developments Limited Providing network access to restricted resources
US7027432B2 (en) * 2000-03-20 2006-04-11 At&T Corp. Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management
US7778199B2 (en) * 2005-02-19 2010-08-17 Cisco Technology, Inc. Techniques for customer self-provisioning of edge nodes for a virtual private network
EP1875653B1 (en) * 2005-04-29 2018-12-12 Oracle International Corporation System and method for fraud monitoring, detection, and tiered user authentication
CN100571125C (zh) * 2005-12-30 2009-12-16 上海贝尔阿尔卡特股份有限公司 一种用于用户设备与内部网络间安全通信的方法及装置
US9003488B2 (en) * 2007-06-06 2015-04-07 Datavalet Technologies System and method for remote device recognition at public hotspots
CN101127663B (zh) * 2007-09-13 2010-11-03 北京交通大学 一种移动自组织网络接入一体化网络的系统及方法
CN101217372B (zh) * 2008-01-02 2011-06-15 刘小鹏 一种结合网络地址的身份交互认证系统及方法
JP4993122B2 (ja) * 2008-01-23 2012-08-08 大日本印刷株式会社 プラットフォーム完全性検証システムおよび方法
CN101355564A (zh) * 2008-09-19 2009-01-28 广东南方信息安全产业基地有限公司 一种实现可信局域网及互联网的方法
US20100125891A1 (en) * 2008-11-17 2010-05-20 Prakash Baskaran Activity Monitoring And Information Protection
CN102025589B (zh) * 2009-09-18 2015-04-01 中兴通讯股份有限公司 虚拟专用网络的实现方法及系统
CN102035813B (zh) * 2009-09-30 2016-01-20 中兴通讯股份有限公司 端到端呼叫的实现方法、端到端呼叫终端及系统
CN102130975A (zh) * 2010-01-20 2011-07-20 中兴通讯股份有限公司 一种用身份标识在公共设备上接入网络的方法及系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1486029A (zh) * 2002-09-23 2004-03-31 华为技术有限公司 基于远程认证的网络中实现eap认证的方法
CN101369893A (zh) * 2008-10-06 2009-02-18 中国移动通信集团设计院有限公司 一种对临时用户进行局域网络接入认证的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
An Efficient Approach to Map Identity onto Locator;Ping Dong等;《Mobility "08 Proceedings of the International Conference on Mobile Technology, Applications, and Systems》;20080912;第2节和第3.3节 *

Also Published As

Publication number Publication date
CN102131197A (zh) 2011-07-20
JP2013517717A (ja) 2013-05-16
JP5451902B2 (ja) 2014-03-26
WO2011088694A1 (zh) 2011-07-28
EP2512088A4 (en) 2016-11-09
KR20120094952A (ko) 2012-08-27
EP2512088A1 (en) 2012-10-17
US20130125246A1 (en) 2013-05-16

Similar Documents

Publication Publication Date Title
EP2512087B1 (en) Method and system for accessing network through public device
CN102131197B (zh) 一种在公共设备上接入网络的方法及系统
CN102368764B (zh) 一种通过多点登录进行通信的方法、系统及客户端
CN102130887B (zh) 一种在公共设备上接入网络的方法及系统
CN101834864A (zh) 一种三层虚拟专用网中攻击防范的方法及装置
CN102546523B (zh) 一种互联网接入的安全认证方法、系统和设备
WO2011054231A1 (zh) 电子公告板管理方法、系统、服务器和bms
CN103108302A (zh) 一种安全策略下发方法及实现该方法的网元和系统
CN102238148B (zh) 身份管理方法及系统
CN105208022A (zh) 报警信息生成方法及装置
KR20140121036A (ko) 메시지 처리 방법 및 장치와 기록매체
CN106506495A (zh) 一种终端上线控制方法及装置
CN102984118A (zh) 验证ip多媒体子系统用户身份的方法及自动配置服务器
CN102104585B (zh) 全网屏蔽的管理方法和系统
KR100413965B1 (ko) 다이아미터 서버에서의 세션 복구 방법
CN103108325A (zh) 一种信息安全传输方法及系统及接入服务节点
CN102055680A (zh) 电子公告板管理方法和系统
Yu et al. A New Handover Management Scheme for User Mobility in NGN
CN102055681A (zh) 电子公告板管理方法和系统
KR20140121037A (ko) 메시지 처리 방법 및 장치와 기록매체
WO2011054234A1 (zh) 电子公告板管理方法、系统和服务器

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20150916

Termination date: 20200120

CF01 Termination of patent right due to non-payment of annual fee