CN104662873A - 减少由迁移引起的核心网络流量 - Google Patents
减少由迁移引起的核心网络流量 Download PDFInfo
- Publication number
- CN104662873A CN104662873A CN201280075984.9A CN201280075984A CN104662873A CN 104662873 A CN104662873 A CN 104662873A CN 201280075984 A CN201280075984 A CN 201280075984A CN 104662873 A CN104662873 A CN 104662873A
- Authority
- CN
- China
- Prior art keywords
- parts
- client device
- wireless client
- request
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 53
- 230000004044 response Effects 0.000 claims abstract description 47
- 238000013475 authorization Methods 0.000 claims abstract description 17
- 238000012546 transfer Methods 0.000 claims abstract description 13
- 230000005540 biological transmission Effects 0.000 claims description 28
- 230000008859 change Effects 0.000 claims description 4
- 230000008569 process Effects 0.000 description 21
- 230000005641 tunneling Effects 0.000 description 19
- 238000004891 communication Methods 0.000 description 7
- 238000012545 processing Methods 0.000 description 6
- 238000012360 testing method Methods 0.000 description 6
- 238000012795 verification Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000007796 conventional method Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000007599 discharging Methods 0.000 description 2
- 230000007704 transition Effects 0.000 description 2
- 230000009471 action Effects 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000013508 migration Methods 0.000 description 1
- 230000005012 migration Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/503—Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5038—Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/062—Pre-authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/622—Layer-2 addresses, e.g. medium access control [MAC] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5053—Lease time; Renewal aspects
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
描述减少由公共无线网络的迁移用户引起的核心网络流量的方法和装置,所述方法包括:从无线客户端设备接收DHCP发现请求;确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址;向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;确定是否发生租用超时;如果发生所述租用超时,则释放所分配的IP地址;从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求;从AAA服务器接收MAC预认证响应;以及经由无线客户端设备提供对因特网的访问。
Description
技术领域
本发明涉及公共无线网络,并且尤其涉及减少由公共WiFi网络的迁移用户(migrant user)引起的核心流量。
背景技术
在多播和广播应用中,通过有线和/或无线网络从服务器向多个接收器传送数据。本文使用的多播系统是其中服务器同时向多个接收器传送相同数据的系统,其中,接收器形成最多包括所有接收器的所有接收器的子集合。广播系统是其中服务器同时向所有接收器传送相同数据的系统。也就是,定义的多播系统可以包括广播系统。
本发明减少对订阅公共WiFi服务的认证服务器的需要。不期望来自多数潜在用户的活动,用于网络的接入点容易地发布IP地址,并且仅在用户企图访问核心网络之后开始认证过程。如果接入点被频繁地使用以使得其用尽IP地址,则接入点将绕过该服务,并且开始认证所有用户,以减少拒绝服务攻击的可能性。在常规方法中,允许迁移用户频繁地干扰核心网络,以引起大量核心流量。
因为IEEE802.11ac和IEEE802.11ad使用越来越广泛,所以本发明将变得日益重要。
发明内容
本发明提供一种减少由公共WiFi网络的“迁移用户”引起的核心流量的方式。公共热点工作为临时DHCP服务器,以向用户提供IP地址-直至用户开始试图核心网络的访问和访问核心网络为止。在本发明中,仅当用户努力访问核心网络时,认证过程实际上才开始。如果经过热点的用户不访问核心网络,则用户将只接收到来自接入点的IP地址,并且不触摸核心网络。如果用户试图连接到核心网络,则将发起认证过程。在过多用户的情况中,接入点(AP)将基于认证过程恢复核心网络,以防止拒绝服务攻击。
描述一种减少由公共无线网络的迁移用户引起的核心网络流量的方法和装置,该方法包括:从动态主机配置协议服务器接收多个因特网协议地址;存储所接收到的多个IP地址;从无线客户端设备接收DHCP发现请求;确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址;向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;确定是否发生租用超时;如果发生所述租用超时,则释放所分配的IP地址;从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求;从AAA服务器接收MAC预认证响应;以及经由无线客户端设备提供对因特网的访问。
还描述一种减少由公共无线网络的迁移用户引起的核心网络流量的方法和装置,该方法包括:从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址;存储所接收到的多个IP地址;从无线客户端设备接收DHCP发现请求;确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址;向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;确定是否发生租用超时;如果发生所述租用超时,则释放所分配的IP地址;从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求;从AAA服务器接收MAC预认证响应;以及经由无线客户端设备提供对因特网的访问。
附图说明
当结合附图阅读时,从下面的详细描述最好地理解本发明。附图包括下面主要描述的以下图:
图1是基于家庭热点架构的常规通用路由封装(GRE)。
图2示出常规家庭热点网关(HHG)中的第一次认证。
图3示出常规家庭热点网关(HHG)中的随后用户认证。
图4示出根据本发明的原理的具有完全GRE隧道系统的第一次用户认证。
图5示出根据本发明的原理的利用完全GRE隧道系统的随后(在先被认证的)用户认证。
图6示出根据本发明的原理的利用AP DHCP的第一次用户认证。
图7示出根据本发明的原理的利用AP DHCP的用于预授权用户的认证。
图8A和8B一起形成根据本发明的原理的核心网络WLAN GW的操作的流程图。
图9A、9B和9C一起形成根据本发明的原理的AP的操作的流程图。
图10是本发明的示例性核心网络WLAN GW的框图。
图11是本发明的示例性AP的框图。
具体实施方式
本发明的关键是允许核心网络的边缘处的接入点或者网关在它们由网络认证之前向用户发布IP地址。然后允许当所需服务器和网络路径指示用以执行认证的能力时或者当由客户端迫使试图访问核心网络时以从容的速率进行认证过程。迁移用户将由IP地址的发布满足,并且如果他们不需要访问网络,则他们将不对网络造成负担。这在有WiFi功能的蜂窝电话由订阅WiFi载波的服务区域承载的情况下特别有用。
指出以下是有用的:用户或者客户端设备是用户想要利用其访问因特网或者其他网络服务的设备并且可以是计算机、膝上型计算机、个人数字助理(PDA)、双模式智能电话、iPod、iPad、平板电脑或者具有输入、输出、显示器和存储并且能够与因特网和/或其他用户通信(交互)的任何其他处理设备。用户设备(客户端设备)可以包括打印能力或者可以不包括打印能力。用户或者客户端可以是有线或者无线的(手机)。
这在家庭热点网关(HHG)场景的上下文中例示。这里,家庭WiFi系统也启用为用于WiFi服务的公共热点。用于大量瞬时连接的可能性在该场景下是可能的,并且本发明将限制核心网络暴露于这些连接。
图1示出在HHG系统、WLAN网关位于GRE隧道的一端的情况下的架构。由作为WiFi客户端设备(CPE)的一部分的协议栈的CPE介质访问控制(MAC)层接收公共或者私有用户请求(来自用户的移动设备的请求)。使用协议栈的因特网协议(IP)层,私有请求被转发(传送)至有线调制解调终端系统,用于传送(转发)至因特网。CMTS是典型位于有线公司的头端或者集线器网站(hubsite)的一件设备。CMST(有线调制解调器终端系统)用以向有线订户提供高速数据服务,诸如有线因特网或者因特网协议语音(voice over internet protocol)。CMTS提供由数字订户线(DSL)系统中的数字订户线访问复用器(DSLAM)提供的很多相同功能。DSLAM是网络设备,通常位于电信操作员的电话交换中。其使用复用技术将多个客户DSL接口连接至高速数字通信信道。CMTS响应于私有用户请求。诸如通过xfinitywifi的公共用户请求通过CMTS被转发至隧道集中器。CMTS和隧道集中器之间的管道(信道、链路)是L2VPNoGRE,其是GRE上的层2虚拟私有网络。IMA是身份管理架构处理系统。IMA可以用于公司和跨网络身份管理。身份管理描述以增加安全性为目的的系统和公司边界内或者跨系统和公司边界的单个身份、它们的认证、授权、角色和特权的管理。IMA系统询问匿名订户信息(ASI)系统上的客户的记录,匿名订户信息(ASI)系统用以认证和授权用户(WiFi客户端、用户设备、客户端设备)。IMA和ASI相互通信。增强中介平台(EMP,Enhanced Mediation Platform)和计费系统也与认证、授权和计费(AAA)服务器和隧道集中器通信。AAA服务器也便于伙伴媒体服务操作器(media service operator)的服务。例如,NetNearU(NNU)、CableVision和Time Warner(CVC/TW)系统与AAA服务器通信,以提供MSO伙伴服务。CMTS、隧道集中器、IMA、ASI、AAA服务器、EMP和计费系统是聚集区域网络(CRAN,Converged Regional Area Network)的所有部分。
图2和图3图示常规HHG系统的认证流程。该方法的优点是在网络上仅向被认证的用户发布IP地址。
图2示出常规家庭热点网关(HHG)的第一次认证。通过HHG经由GRE隧道向WLAN网关(GW)传送(发送、转发)WiFi客户端(用户设备、客户端设备)动态主机配置协议(DHCP)发现请求(用户请求)。DHCP发现请求是移动用户设备的物理子网络上的消息广播,以定位可用DHCP服务器。DHCP请求可以包括诸如供应商类别识别符的可选信息,其允许DHCP服务器在硬件类型和可能需要的功能之间区分。这种信息也可以向DHCP服务器给出WiFi客户端可能需要DHCP响应的任何额外信息。WLAN GW充当AAA服务器的代理服务器,并且向AAA服务器转发(传送、发送)MAC预认证请求。AAA服务器向IMA可扩展标记语言(X)访问控制标记语言(XACML)转发(传送、发送)MAC认证请求。XACML是优化用于访问控制的标记语言。IMA系统用于使用XACML的访问控制。IMA XACML向ASI转发(传送、发送)请求,以检查客户记录。ASI响应于(回复)IMA XACML。IMAXACML通过强制门户向AAA服务器发送(传送、转发)MAC认证响应。AAA服务器通过强制门户向WLAN GW发送(传送、转发)MAC预认证响应。WLAN GW通过GRE隧道以DHCP ACK响应用户设备(客户端设备)。然后用户设备(客户端设备)经由GRE隧道向WLAN GW发送HTTP/HTTPS请求。WLAN GW以HTTP/HTTPS 302重定向响应。302重定向是临时重定向,以暗示将在不久的将来重新建立原始URL,以保持对其检查。用户设备(客户端设备)被重定向至强制门户URL(HTTPS)。使用强制门户迫使用户设备(客户端设备)在正常使用因特网之前看到用于认证目的的特殊网页。用户设备(客户端设备)被重定向至的网页是可配置的。用户设备(客户端设备)被重定向至IMA登录强制门户。登录页面被显示在用户设备(客户端设备)上。用户设备通过表单张贴(form post)响应IMA登录页面。表单张贴是经由HTTP(S)的信息(数据)的传送。表单张贴包括诸如用户身份(用户id)和密码之类的数据(信息)。这可以通过用户手动地或者通过用户设备(客户端设备、WiFi设备)自动地输入。IMA登录页面以302重定向(HTTPS)响应用户设备(客户端设备)。一旦认证用户设备(客户端设备),就向用户设备发送302重定向(HTTPS)。然后IMA登录页面向AAA服务器发起改变授权(CoA)。AAA服务器向WLAN GW发送(转发、传送)远程认证拨号用户服务(RADIUS)CoA请求。RADIUS是提供用于客户端设备(用户设备)的AAA管理以访问和使用网络服务的联网协议。WLAN GW以RADIUSCoA ACK响应AAA服务器。用户设备(客户端设备)经由GRE隧道向WLANGW发送(传送、转发)HTTP/HTTPS请求。WLAN GW向因特网转发(传送、发送)请求(消息)(因为已经认证用户设备)。此时,用户可以访问因特网,并且他/她可以使用标准因特网协议和应用,诸如HTTP、SMTP、POP3等。SMTP是简单邮件传输协议并且是用于跨IP网络的电子邮件传送的因特网标准。POP3是邮局协议3(POP3),其是由本地电子邮件客户端使用以通过TCP/IP连接获取来自远程服务器的电子邮件的应用层因特网标准协议。
图3示出常规家庭热点网关(HHG)的随后用户认证。已经先前被认证的WiFi客户端(用户设备、客户端设备)经由GRE隧道发送(传送、转发)DHCP发现请求至WLAN GW。WLAN GW向AAA服务器发送(传送、转发)MAC预认证请求。AAA服务器向IMA XACML转发(传送、发送)MAC认证请求。IMA XACML向ASI转发(传送、发送)请求,以检查客户记录。ASI响应于(回复)IMA XACML以指示具有该MAC的设备对于访问被授权。IMA XACML通过强制门户向AAA服务器发送(传送、转发)MAC认证响应。AAA服务器通过强制门户向WLAN GW发送(传送、转发)MAC预认证响应。WLAN GW通过GRE隧道以DHCP ACK响应用户设备(客户端设备)。然后用户设备(客户端设备)经由GRE隧道向WLAN GW发送HTTP/HTTPS请求。已经被授权访问网络,WLAN GW向因特网转发(发送、传送)HTTP/SMTP/POP3或者其他请求(消息)。可以看出,如果用户设备已经先前被认证,则省略用以认证图1的用户部分的重定向。
图4和图5示出由核心网络WLAN网关的DHCP发布IP地址的系统。这里,通过在不需要认证的情况下发布IP地址并且在客户端请求访问核心网络之后从认证开始,最小化对核心网络的更深入侵。可替代地,可以在由网关检测到的较低级活动时段期间或者在核心认证服务器的请求时,进行认证。如果限制可用IP地址的数目,则可以限制该特征(保留有限的地址池用于该未认证的分配),或者可以最小化DHCP租用时间,以允许迁移用户的租用的快速到期。被认证的用户可以给予更长的DHCP租用时间。租用时间是被分配的IP地址有效的时间的长度。一旦断开,被分配的IP地址返回至IP地址池,用于由另一用户设备(客户端设备)使用。由此,如果用户真的是迁移的,并且不请求访问核心网络,则被分配的IP地址在不由核心网络认证的情况下被快速释放,这降低网络的核心流量。IP地址可以以三种方式之一分配:动态地、静态地或者自动地。在本发明中,动态地分配来自池的IP地址。
图4示出根据本发明的原理的利用完全GRE隧道系统的第一次用户认证。WiFi客户端(用户设备、客户端设备)经由GRE隧道广播(传送、转发、发送)DHCP发现消息(请求)至核心网络WLAN GW。核心网络WLANGW以DHCP ACK和从IP地址池发布的IP地址响应。除了IP地址之外,核心网络WLAN GW还传送(发送、转发)租用时间并且可以也转发(传送、发送)其他IP配置参数。假设用户设备(客户端设备)尝试通过传送HTTP/HTTPS请求访问核心网络,则用户设备(客户端设备)在用户尝试访问用于服务的网络时被认证。向核心网络WLAN GW传送HTTP/HTTPS请求消息,该核心网络WLAN GW向AAA服务器传送(转发、发送)MAC预认证请求。AAA服务器向IMA XACML转发(传送、发送)MAC认证请求。IMA XACML向ASI转发(传送、发送)请求,以检查用户记录。ASI响应(回复)IMA XACML。IMA XACML通过强制门户向AAA服务器发送(传送、转发)MAC认证响应。AAA服务器通过强制门户向核心网络WLAN GW发送(传送、转发)MAC预认证响应。核心网络WLAN GW经由GRE隧道向用户设备(客户端设备)传送(转发、发送)HTTP/HTTPS 302重定向消息。用户设备(客户端设备)被重定向到强制门户URL(HTTPS)。使用强制门户迫使用户设备(客户端设备)在正常使用因特网之前看到用于认证目的的特殊网页。用户设备(客户端设备)重定向至的网页是可配置的。用户设备(客户端设备)重定向至IMA登录强制门户。在用户设备(客户端设备)上显示登录页面。用户设备通过表单张贴响应于IMA登录页面。表单张贴是经由HTTP(S)的信息(数据)的传送。表单张贴包括诸如用户身份(用户id)和密码之类的数据(信息)。这可以通过用户手动地或者通过用户设备(客户端设备、WiFi设备)自动地输入。IMA登录页面以302重定向(HTTPS)响应于用户设备(客户端设备)。一旦认证用户设备(客户端设备),就向用户设备发送302重定向(HTTPS)。然后IMA登录向AAA服务器发起改变授权(CoA)。AAA服务器向核心网络WLAN GW发送(转发、传送)远程认证拨号用户服务(RADIUS)CoA请求。RADIUS是提供用于客户端设备(用户设备)的AAA管理以访问和使用网络服务的联网协议。核心网络WLANGW以RADIUS CoA ACK响应于AAA服务器。用户设备(客户端设备)经由GRE隧道向核心网络WLAN GW发送(传送、转发)HTTP/HTTPS请求。核心网络WLAN GW向因特网转发(传送、发送)HTTP/SMTP/POP3请求(消息)(在用户设备已经被认证的情况下)。一旦用户被认证和授权,就通过核心网络WLAN网关直接提供对因特网的访问。
图5示出根据本发明的原理的利用完全GRE隧道系统的随后(在先被认证的)用户认证。WiFi客户端(用户设备、客户端设备)参与与核心网络WLAN GW的开放DHCP交换。其包括从WiFi客户端(用户设备、客户端设备)到以DHCP ACK响应的核心网络WLAN GW的DHCP发现请求消息。已经先前被认证的WiFi客户端(用户设备、客户端设备)经由GRE隧道向核心网络WLAN GW发送(传送、转发)HTTP/HTTPS请求。核心网络WLANGW向AAA服务器发送(传送、转发)MAC预认证请求。AAA服务器向IMAXACML转发(传送、发送)MAC认证请求。IMA XACML向ASI转发(传送、发送)请求,以检查客户记录。ASI响应于(回复)IMA XACML。IMAXACML向AAA服务器发送(传送、转发)MAC认证响应,以指示用户设备(客户端设备)被授权。AAA服务器向核心网络WLAN GW发送(传送、转发)MAC预认证响应,以指示用户设备(客户端设备)被授权。核心网络WLAN GW向因特网转发(发送、传送)HTTP/SMTP/POP3请求(消息)(在用户设备已经被认证的情况下)。可以看出,如果用户设备已经先前被认证,则省略用以认证图4的用户部分的重定向,并且随后的流量与核心网络WLAN GW交换到因特网。
图6和图7是本发明的替代实施例,并且图示AP发布IP地址。如果用户请求网络访问,则AP将仅访问WLAN网关核心网络。那时开始认证过程,并且AP将执行从其发布的IP地址(除非存在足够数目的对于AP的IP地址以预先控制从WLAN网关给出)到由WLAN网关给出的IP地址的地址转换。这增加对AP的负载和网络的延迟,但通过甚至不通知核心网络不请求网络服务的迁移用户,最小化对核心网络的负载。
图6示出根据本发明的原理利用AP DHCP的第一次用户认证。WiFi客户端(用户设备、客户端设备)广播DHCP发现请求(消息)以定位在区域(该区域作为用户订阅的网络或者用户的服务提供商与其有漫游协定的网络的一部分)中的任何AP。一个或者多个AP可以响应。基于最佳信号或者负载或者某一其他标准选择AP。所选AP以DHCP ACK回复(响应)。如果然后WiFi客户端(用户设备、客户端设备)企图通过传送HTTP/HTTPS请求访问核心网络,则用户设备(客户端设备)被认证。HTTP/HTTPS请求消息被传送至AP,该AP经由GRE隧道传送DHCP发现请求(消息)至核心网络WLAN GW。核心网络WLAN GW传送(转发、发送)MAC预认证请求至AAA服务器。AAA服务器转发(传送、发送)MAC认证请求至IMAXACML。IMA XACML转发(传送、发送)请求至ASI,以检查客户记录。ASI响应于(回复)IMA XACML。IMA XACML通过强制门户向AAA服务器发送(传送、转发)MAC验证响应。AAA服务器通过强制门户向核心网络WLAN GW发送(传送、转发)MAC预验证响应。核心网络WLAN GW向AP传送(转发、发送)DHCP ACK,AP通过GRE隧道向用户设备(客户端设备)传送(发送、转发)HTTP/HTTPS重定向消息。用户设备(客户端)重定向至强制门户URL(HTTPS)。使用强制门户迫使用户设备(客户端设备)在正常使用因特网之前看到用于认证目的的特殊网页。用户设备(客户端设备)被重定向至的网页是可配置的。用户端设备与AP通信,AP执行发布给WiFi客户端(用户设备、客户端设备)的IP地址的地址转换。也就是,AP接收向客户端/来自客户端的所有传送并且将该传送定向至核心网络WLAN GW/从核心网络WLAN GW定向,所有这些传送依次路由到IMA登录、AAA服务器、核心网络WLAN GW和因特网(如果被授权的话)。用户设备(客户端设备)由AP经由核心网络WLAN GW重定向至IMA登录强制门户。登录页面转发至AP,AP将登录页面转发至WiFi客户端(用户设备、客户端设备),以显示在用户设备(客户端设备)上。用户端设备经由AP和核心网络WLAN GW通过表单张贴响应于IMA登录页面。表单张贴包括诸如用户识别(用户id)和密码之类的数据(信息)。这可以通过用户手动地或者通过用户设备(客户端设备、WiFi设备)自动地输入。IMA登录页面以302重定向(HTTPS)经由AP和核心网络WLAN GW响应于用户设备(客户端设备)。一旦认证用户设备(客户端设备),就向用户设备发送302重定向(HTTPS)。然后IMA登录页面向AAA服务器发起改变授权(CoA)。AAA服务器向核心网络WLAN GW发送(转发、传送)远程认证拨号用户服务(RADIUS)CoA请求。RADIUS是提供用于客户端设备(用户设备)的AAA管理以访问和使用网络服务的联网协议。核心网络WLAN GW以RADIUSCoA ACK响应于AAA服务器。用户设备(客户端设备)向AP发送(传送、转发)HTTP/HTTPS请求,AP经由GRE隧道向核心网络WLAN GW转发HTTP/HTTPS请求。核心网络WLAN GW向因特网转发(传送、发送)HTTP/SMTP/POP3请求(消息)(如果已经认证用户设备)。通过向因特网以及从因特网横越到WiFi客户端、AP和核心网络WLAN GW的路径以及从WiFi客户端、AP和核心网络WLAN GW的路径,来执行随后的因特网访问。
图7示出根据本发明的原理的利用AP DHCP的用于预授权用户的认证。WiFi客户端(用户设备、客户端设备)参与与其相关联的AP的DHCP交换。这包括从WiFi客户端(用户设备、客户端设备)到AP的DHCP发现请求消息,AP以DHCK ACK响应。已经在先前被认证的WiFi客户端(用户设备、客户端设备)向AP发送(传送、转发)HTTP/SMTP/POP3请求(消息),AP向核心网络WLAN GW传送(发送、转发)DHCP发现请求(消息)。核心网络WLAN GW向AAA服务器发送(传送、转发)MAC预认证请求。AAA服务器向IMA XACML转发(传送、发送)MAC认证请求。IMA XAMCL向ASI转发(传送、发送)请求,以检查客户记录。ASI响应于(回复)IMAXACML。IMA XACML向AAA服务器发送(传送、转发)MAC认证响应,以指示用户设备(客户端设备)被授权。AAA服务器向核心网络WLAN GW发送(传送、转发)MAC预认证响应,以指示用户设备(客户端设备)被授权。核心网络WLAN GW向AP转发(发送、传送)DHCP ACK。此后,AP例如经由核心网络WLAN GW向因特网转发用户的因特网请求或者消息、HTTP/SMTP/POP3或者其他协议(如果用户设备已经被认证)。可以看出如果用户设备已经在先前被认证,则省略用以认证图6的用户部分的重定向。通过向因特网以及从因特网横越到WiFi客户端、AP和核心网络WLAN GW的路径以及从WiFi客户端、AP和核心网络WLAN GW的路径,来执行随后的因特网访问。
表1:方法之间的关键差异
设计考虑之一将是IP地址的可用性。原始方法通过仅向被认证的用户给出DHCP租用来保留这些地址。WLAN网关方法共享多个接入点之中的地址池。这里,地址比在AP方法中更宝贵,其中,每个接入点将提供地址,并且将它们映射至连接核心网络的有限数目的WLAN网关地址,
实现方式的考虑:
1)短初始DHCP租用时间:在认证之前,保持租用时间为最小值。这可能要求频繁的DHCP更新,但将不打扰核心网络。这样,如果认证对于客户端失败,则由该客户端(用户设备、客户端设备、WiFi客户端)占用的地址将快速释放(free up)。一旦被认证,就可以增加租用时间。
2)以AP整体实现AP方法。这对于AP供应商有益,因为AP将控制软件,但可能随着公共WiFi客户端的数目增加而对系统造成负担。
3)WLAN网关方法需要由网关供应商或者服务提供商实现。WLAN GW方法对于AP设计是透明的。
4)如果怀疑系统受到拒绝服务(DoS)攻击,则原始认证方法应该被重新使用。
5)如果DHCP池IP地址越来越稀缺,则恢复为原始认证方法是可取的。
从WiFi客户端(用户设备、客户端设备)观点,常规方法、核心网络WLAN GW方法和AP方法之间不存在可辨别的差异。发送和接收相同的消息。差异是向哪个实体传送消息/从哪个实体接收消息。也就是,例如,WiFi客户端(用户设备、客户端设备)仍发送DHCP请求并且仍接收DHCP ACK。在常规方法中,向WLAN GW发送DHCP请求/从WLAN GW发送DHCP响应。在核心网络WLAN GW方法中,向核心网络WLAN GW发送DHCP请求/从核心网络WLAN GW发送DHCP响应。在AP方法中,向AP发送DHCP请求/从AP发送DHCP响应。方法之间的差异对于WiFi客户端(用户设备、客户端设备)是透明的。
应当从上面的描述和对应附图清楚的是:起作用的实体(常规系统中的(WLAN GW(AAA代理服务器)、核心网络WLAN GW和AP)和与AAA服务器和IMA登录的交互的顺序是严格的。
图8A和图8B一起形成根据本发明的原理的核心网络WLAN GW的操作的流程图。在805,核心网络WLAN GW从因特网服务提供商(ISP)接收到多个IP地址并且将它们存储在地址池中用于发布。存储可以是任何形式的存储,并且不限于任何具体形式的存储。在810,核心网络WLAN GW从WiFi客户端(用户设备、客户端设备)接收到DHCP发现请求。在815,核心网络WLAN GW执行测试以确定核心网络WLAN GW是否在IP地址池中有可用的足够的IP地址,以向WiFi客户端发布IP地址。如果核心网络WLANGW在IP地址池中具有足够的IP地址以向WiFi客户端发布,则核心网络WLAN GW在820执行测试,以确定是否怀疑拒绝服务(DoS)攻击。如果不怀疑DoS攻击,则在825,核心网络WLAN GW向WiFi客户端传送包括IP地址和租用信息的DHCP ACK。在830,核心网络WLAN GW执行测试以确定对于IP地址的租用时间是否到期。如果对于IP地址的租用时间没有到期,则在835,核心网络WLAN GW从WiFi客户端接收到HTTP/HTTPS请求。在840,核心网络WLAN GW向AAA服务器传送MAC预认证请求。在845,核心网络WLAN GW从AAA服务器接收到MAC预认证响应。如果对于IP地址的租用时间到期,则在850,核心网络WLAN GW释放IP地址并且将其返回至IP地址池,并且处理进行至810。如果IP地址池中不存在足够的IP地址或者怀疑DoS攻击,则处理进行至841,其中,在接收到由WiFi客户端的因特网访问请求之前开始核心网络认证/授权处理。在836,当出现因特网访问请求时,在855重定向至强制门户。虽然在832等待命令,但是也检查租用超时,并且在超时的情况下,处理进行至850。
在855,核心网络WLAN GW向WiFi客户端传送HTTP/HTTPS重定向消息。在860,核心网络WLAN GW从AAA服务器接收到RADIUS改变授权(CoA)。在865,核心网络WLAN GW向AAA服务器传送RADIUS CoAACK。在870,核心网络WLAN GW从WiFi客户端接收到HTTP/HTTPS请求。在875,核心网络WLAN GW向因特网传送HTTP/SMTP/POP3消息,870和875例示用户与因特网的交互,其可以继续直至在880DHCP租用超时为止或者直至用户搬出当前接入点范围为止。如果DHCP租用超时,则处理进行至850,然后至810,在810中,核心网络WLAN网关等待来自WiFi客户端的DHCP发现。客户端可以在DHCP租用到期之前按IETF RFC 2131传送请求以更新DHCP租用,从而避免超时。
图9A、9B和9C一起形成根据本发明的原理的AP的操作的流程图。AP执行地址转换并且控制该方法中的处理。在905,AP从因特网服务提供商(ISP)接收多个IP地址,并且将它们存储在地址池中用于发布。存储可以是任何形式的存储,并且不限于任何具体形式的存储。可替代地,AP可以仅接收多个可能的WAN(广域网)连接,并且工作为网络中的二级路由器。在910,AP从WiFi客户端(用户设备、客户端设备)接收DHCP发现请求。在915,AP执行测试以确定AP是否在IP地址池中有可用的足够的IP地址,以向WiFi客户端发布IP地址。如果AP在IP地址池中具有足够的IP地址以向WiFi客户端发布,则AP在920执行测试,以确定是否怀疑拒绝服务(DoS)攻击。如果不怀疑DoS攻击,则在925,AP向WiFi客户端传送包括IP地址和租用信息的DHCP ACK。在930,AP执行测试以确定对于IP地址的租用时间是否到期。如果对于IP地址的租用时间没有到期,则在935,AP从WiFi客户端接收到HTTP/HTTPS请求。在940,AP向核心网络WLAN GW传送DHCP发现请求(消息)。在945,AP从核心网络WLAN GW接收到DHCPACK。如果对于IP地址的租用时间到期,则在950,核心网络WLAN GW释放IP地址并且将其返回至IP地址池,并且处理进行至910。如果IP地址池中不存在足够的IP地址或者怀疑DoS攻击,则处理进行至941,以在不需要等待来自WiFi客户端的访问请求(HTTP/HTTPS)的情况下请求核心网络DHCP地址。在接收到来自核心网络WLAN网关的DHCP ACK(946)之后,处理等待来自WiFi客户端的访问请求,同时检查DHCP租用的状态(931)。一旦接收访问请求(936),流程在955继续。在955,AP向WiFi客户端传送HTTP/HTTPS重定向。在960,AP从WiFi客户端接收到到IMA登录的重定向。在965,AP向IMA登录传送到强制门户的重定向。在970,AP从IMA登录接收到登录页面。在975,AP向WiFi客户端传送IMA登录页面。在980,AP从WiFi客户端接收到识别(用户Id)。表单张贴例如包括WiFi客户端的用户识别(用户Id)和密码。在985,AP向IMA登录传送表单张贴。在990,AP从IMA登录接收到302重定向。
在995,AP向WiFi客户端传送HTTP/HTTPS重定向消息。在907,AP从WiFi客户端接收到HTTP/HTTPS请求。在917,AP向因特网传送HTTP/SMTP/POP3消息。此时,WiFi客户端连接至因特网,并且可以继续操作,直至在927DHCP租用时间超时,此时处理进行至950,并且可以获得新租用。客户端可以按IETF RFC 2131传送请求以更新DHCP租用。
图10是核心网络WLAN GW的框图。核心网络WLAN GW与WiFi客户端(用户设备、客户端)、AAA服务器和因特网通信。通信可以是有线的或者无线的。WiFi客户端(用户设备、客户端设备)向核心网络WLAN GW发送请求(消息)并且从核心网络WLAN GW接收响应(消息)。核心网络WLAN GW也与AAA服务器通信以认证和授权WiFi客户端(用户设备、客户端设备)。核心网络WLAN GW也与因特网通信,以在WiFi客户端被认证和授权的情况下和/或当WiFi客户端被认证和授权时,转发WiFi客户端(用户设备、客户端设备)的请求(消息)。通过处理模块处理所有请求、响应(消息)的处理。处理模块也可以是与任何形式的存储接口连接。处理模块也可以是(包括)硬件、软件、固件、专用集成电路(ASIC)、精简指令集计算机(RISC)和/或现场可编程门阵列(FPGA)以及显示器和诸如打印机的附加输入/输出设备。无线接口经由一个或者多个天线通信。用于从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址的部件,依赖于DHCP服务器如何通信经由有线接口或者无线接口。用于存储接收到的多个IP地址的部件是由处理器存取的存储(未示出)。用于从无线客户端设备接收DHCP发现请求的部件经由无线接口。用于确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址的部件由处理器执行。用于向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认的部件经由无线接口。用于确定是否发生租用超时的部件由处理器执行。用于在如果发生所述租用超时则释放所分配的IP地址的部件由处理器执行。用于从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求的部件经由无线接口。用于从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求的部件,依赖于AAA服务器如何通信经由无线接口或者有线接口。用于从AAA服务器接收MAC预认证响应的部件依赖于AAA服务器如何通信经由无线接口或者有线接口。用于经由无线客户端设备提供对因特网的访问的部件经由无线接口。
图11是本发明的示例性AP的框图。AP与WiFi客户端(用户设备、客户端)、核心网络WLAN GW和IMA登录通信。通信可以是有线的或者无线的。WiFi客户端(用户设备、客户端设备)向AP发送请求(消息)并且从AP接收响应(消息)。AP也与IMA登录通信以认证和授权WiFi客户端(用户设备、客户端设备)。通过处理模块处理所有请求、响应(消息)的处理。处理模块也可以是与任何形式的存储接口连接。处理模块也可以是(包括)硬件、软件、固件、专用集成电路(ASIC)、精简指令集计算机(RISC)和/或现场可编程门阵列(FPGA)以及显示器和诸如打印机的附加输入/输出设备。无线接口经由一个或者多个天线通信。用于从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址的部件,依赖于DHCP服务器如何通信经由有线接口或者无线接口。用于存储接收到的多个IP地址的部件是由处理器存取的存储(未示出)。用于从无线客户端设备接收DHCP发现请求的部件经由无线接口。用于确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址的部件由处理器执行。用于向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认的部件经由无线接口。用于确定是否发生租用超时的部件由处理器执行。用于在如果发生所述租用超时则释放所分配的IP地址的部件由处理器执行。用于从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求的部件经由无线接口。用于从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求的部件,依赖于AAA服务器如何通信经由无线接口或者有线接口。用于从AAA服务器接收MAC预认证响应的部件依赖于AAA服务器如何通信经由无线接口或者有线接口。用于经由无线客户端设备提供对因特网的访问的部件经由无线接口。
要理解,可以以多种形式的硬件、软件、固件、特殊用途处理器或其组合来实施本发明。优选地,作为硬件和软件的组合来实施本发明。此外,优选地将该软件作为在程序存储设备上被实体地体现的应用程序来实施。该应用程序可以被上载至包括任何合适的架构的机器,并且由所述包括任何合适的架构的机器执行。优选地,在具有诸如一个或更多的中央处理单元(“CPU”)、随机存取存储器(“RAM”)和(多个)输入/输出(“I/O”)接口之类的硬件的计算机平台上实施该机器。该计算机平台还包括操作系统和微指令码。在这里所描述的多种过程和功能可以是经由操作系统执行的微指令码的一部分或应用程序的一部分(或其组合)。另外,诸如附加数据存储设备和打印设备之类的多种其他外围设备可以与该计算机平台连接。
要进一步理解,因为优选地以软件来实施在附图中所描绘的构成系统组件和方法步骤中的一些,所以取决于本发明被编程的方式,系统组件(或过程步骤)之间的实际连接可以不同。给定这里的教导,相关领域普通技术人员将能够想到本发明的这些和类似的实施方式或配置。
Claims (12)
1.一种减少由公共无线网络的迁移用户引起的核心网络流量的方法,所述方法包括:
从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址;
存储所接收到的多个IP地址;
从无线客户端设备接收DHCP发现请求;
确定是否存在可用于向所述无线客户端设备分配所述多个IP地址之一的足够的IP地址;
向所述无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;
确定是否发生租用超时;
如果发生所述租用超时,则释放所分配的IP地址;
从所述无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;
从所述无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求;
从所述AAA服务器接收MAC预认证响应;以及
经由无线客户端设备提供对因特网的访问。
2.如权利要求1所述的方法,还包括:
向所述无线客户端设备传送HTTP 302重定向或者HTTPS 302重定向;
从所述AAA服务器接收远程认证拨号用户服务(RADIUS)改变授权(CoA);以及
向所述AAA服务器传送RADIUS CoA确认。
3.如权利要求2所述的方法,还包括:
确定是否发生拒绝服务(DoS)攻击;
从所述无线客户端向认证、授权和计费(AAA)服务器传送MAC预认证请求;
从所述AAA服务器接收MAC预认证响应;
确定是否发生所述租用超时;
如果发生所述租用超时,则释放所分配的IP地址;
如果没有发生所述租用超时,则确定命令是否可用;以及
从所述无线客户端设备接收第三HTTP请求或者第三HTTPS请求。
4.一种用于减少由公共无线网络的迁移用户引起的核心网络流量的装置,所述装置包括:
用于从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址的部件;
用于存储所接收到的多个IP地址的部件;
用于从无线客户端设备接收DHCP发现请求的部件;
用于确定是否存在可用于向所述无线客户端设备分配所述多个IP地址之一的足够的IP地址的部件;
用于向所述无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认的部件;
用于确定是否发生租用超时的部件;
用于如果发生所述租用超时,则释放所分配的IP地址的部件;
用于从所述无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求的部件;
用于从所述无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求的部件;
用于从所述AAA服务器接收MAC预认证响应的部件;以及
用于经由无线客户端设备提供对因特网的访问的部件。
5.如权利要求4所述的装置,还包括:
用于向所述无线客户端设备传送HTTP 302重定向或者HTTPS 302重定向的部件;
用于从所述AAA服务器接收远程认证拨号用户服务(RADIUS)改变授权(CoA)的部件;以及
用于向所述AAA服务器传送RADIUS CoA确认的部件。
6.如权利要求5所述的装置,还包括:
用于确定是否发生拒绝服务(DoS)攻击的部件;
用于从所述无线客户端向认证、授权和计费(AAA)服务器传送MAC预认证请求的部件;
用于从所述AAA服务器接收MAC预认证响应的部件;
用于确定是否发生所述租用超时的部件;
用于如果发生所述租用超时,则释放所分配的IP地址的部件;
用于如果没有发生所述租用超时,则确定命令是否可用的部件;以及
用于从所述无线客户端设备接收第三HTTP请求或者第三HTTPS请求的部件。
7.一种减少由公共无线网络的迁移用户引起的核心网络流量的方法,所述方法包括:
从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址;
存储所接收到的多个IP地址;
从无线客户端设备接收DHCP发现请求;
确定是否存在可用于向所述无线客户端分配所述多个IP地址之一的足够的IP地址;
向所述无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;
确定是否发生租用超时;
如果发生所述租用超时,则释放所分配的IP地址;
从所述无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;
从所述无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求;
从所述AAA服务器接收MAC预认证响应;以及
经由无线客户端设备提供对因特网的访问。
8.如权利要求7所述的方法,还包括:
向所述无线客户端设备传送HTTP 302重定向消息或者HTTPS 302重定向消息;
从所述无线客户端设备接收HTTP重定向命令或者HTTPS重定向命令;
向强制门户身份管理架构(IMA)处理系统登录传送所述HTTP重定向命令或者所述HTTPS重定向命令;
从所述强制门户IMA处理系统登录接收登录页面;
向所述无线客户端设备传送IMA登录页面;
从所述无线客户端设备接收表单张贴;
向所述强制门户IMA处理系统登录传送所述表单张贴;
从所述强制门户IMA处理系统登录接收HTTP 302重定指示向或者HTTPS 302重定向指示;以及
向所述无线客户端设备传送所述HTTP 302重定向指示或者所述HTTPS302重定向指示。
9.如权利要求8所述的方法,还包括:
确定是否发生拒绝服务(DoS)攻击;
从所述无线客户端向认证、授权和计费(AAA)服务器传送MAC预认证请求;
从所述AAA服务器接收MAC预认证响应;
确定是否发生所述租用超时;
如果发生所述租用超时,则释放所分配的IP地址;
如果没有发生所述租用超时,则确定命令是否可用;以及
从所述无线客户端设备接收第三HTTP请求或者第三HTTPS请求。
10.一种用于减少由公共无线网络的迁移用户引起的核心网络流量的装置,所述装置包括:
用于从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址的部件;
用于存储所接收到的多个IP地址的部件;
用于从无线客户端设备接收DHCP发现请求的部件;
用于确定是否存在可用于向所述无线客户端设备分配所述多个IP地址之一的足够的IP地址的部件;
用于向所述无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认的部件;
用于确定是否发生租用超时的部件;
用于如果发生所述租用超时,则释放所分配的IP地址的部件;
用于从所述无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求的部件;
用于从所述无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求的部件;
用于从所述AAA服务器接收MAC预认证响应的部件;以及
用于经由无线客户端设备提供对因特网的访问的部件。
11.如权利要求10所述的装置,还包括:
用于向所述无线客户端设备传送HTTP 302重定向消息或者HTTPS 302重定向消息的部件;
用于从所述无线客户端设备接收HTTP重定向命令或者HTTPS重定向命令的部件;
用于向强制门户身份管理架构(IMA)处理系统登录传送所述HTTP重定向命令或者所述HTTPS重定向命令的部件;
用于从所述强制门户IMA处理系统登录接收登录页面的部件;
用于向所述无线客户端设备传送IMA登录页面的部件;
用于从所述无线客户端设备接收表单张贴的部件;
用于向所述强制门户IMA处理系统登录传送所述表单张贴的部件;
用于从所述强制门户IMA处理系统登录接收HTTP 302重定向指示或者HTTPS 302重定向指示的部件;以及
用于向所述无线客户端设备传送所述HTTP 302重定向指示或者所述HTTPS 302重定向指示的部件。
12.如权利要求11所述的装置,还包括:
用于确定是否发生拒绝服务(DoS)攻击的部件;
用于从所述无线客户端向认证、授权和计费(AAA)服务器传送MAC预认证请求的部件;
用于从所述AAA服务器接收MAC预认证响应的部件;
用于确定是否发生所述租用超时的部件;
用于如果发生所述租用超时,则释放所分配的IP地址的部件;
用于如果没有发生所述租用超时,则确定命令是否可用的部件;以及
用于从所述无线客户端设备接收第三HTTP请求或者第三HTTPS请求的部件。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2012/057008 WO2014051535A1 (en) | 2012-09-25 | 2012-09-25 | Reducing core network traffic caused by migrant |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104662873A true CN104662873A (zh) | 2015-05-27 |
| CN104662873B CN104662873B (zh) | 2018-06-26 |
Family
ID=47010771
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280075984.9A Active CN104662873B (zh) | 2012-09-25 | 2012-09-25 | 用于减少由迁移引起的核心网络流量的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US9313687B2 (zh) |
| EP (1) | EP2901664B1 (zh) |
| JP (1) | JP5957612B2 (zh) |
| KR (1) | KR101971167B1 (zh) |
| CN (1) | CN104662873B (zh) |
| WO (1) | WO2014051535A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112866405A (zh) * | 2017-03-30 | 2021-05-28 | 瞻博网络公司 | 经由aaa协议批量传送授权变化数据 |
Families Citing this family (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9736005B2 (en) * | 2011-12-22 | 2017-08-15 | International Business Machines Corporation | Duplicate IP address detection by a DHCP relay agent |
| CN103812958B (zh) * | 2012-11-14 | 2019-05-07 | 中兴通讯股份有限公司 | 网络地址转换技术的处理方法、nat设备及bng设备 |
| CN104283848B (zh) * | 2013-07-03 | 2018-02-09 | 新华三技术有限公司 | 终端接入方法和装置 |
| CN109921973A (zh) | 2013-07-10 | 2019-06-21 | 华为技术有限公司 | Gre隧道实现方法、接入点和网关 |
| EP3021528B1 (en) * | 2013-07-12 | 2019-09-25 | Huawei Technologies Co., Ltd. | Gre tunnel implementation method, access device and convergence gateway |
| US9521109B2 (en) * | 2014-10-01 | 2016-12-13 | The Boeing Company | Systems, methods, and computer-readable media for allocation and renewal of IP addresses |
| CN105591866A (zh) * | 2014-11-12 | 2016-05-18 | 中兴通讯股份有限公司 | 共享wifi的方法及系统、家庭网关和无线局域网关 |
| TWI566545B (zh) * | 2015-08-28 | 2017-01-11 | 鴻海精密工業股份有限公司 | 家庭基站及ip配置的方法 |
| CN106921636B (zh) * | 2015-12-28 | 2020-05-08 | 华为技术有限公司 | 身份认证方法及装置 |
| JP6184580B1 (ja) * | 2016-01-29 | 2017-08-23 | キヤノン株式会社 | 情報処理装置、制御方法およびプログラム |
| JP6619682B2 (ja) | 2016-03-31 | 2019-12-11 | キヤノン株式会社 | 情報処理装置、制御方法およびプログラム |
| CN107809496B (zh) * | 2016-09-09 | 2020-05-12 | 新华三技术有限公司 | 网络访问控制方法和装置 |
| US10542001B1 (en) * | 2016-12-19 | 2020-01-21 | Amazon Technologies, Inc. | Content item instance access control |
| US9743333B1 (en) * | 2017-04-01 | 2017-08-22 | Quantenna Communications, Inc. | Arbitration of distributed services for wireless home networks |
| CN106921529B (zh) * | 2017-05-12 | 2020-04-28 | 成都锐帆网智信息技术有限公司 | 基于旁路的上网行为分析方法 |
| US10750383B2 (en) * | 2017-07-07 | 2020-08-18 | Arris Enterprises Llc | Method of providing management and control of hotspots with reduced messaging |
| US11109232B2 (en) * | 2017-10-03 | 2021-08-31 | Single Digits Connection, Llc | Alerting systems and methods |
| US10856344B2 (en) * | 2019-03-15 | 2020-12-01 | Hong Kong Applied Science and Technology Research Institute Company Limited | Method and an apparatus for reducing connection set-up time in a communications network |
| US11363044B2 (en) | 2019-06-26 | 2022-06-14 | Radware, Ltd. | Method and system for detecting and mitigating HTTPS flood attacks |
| US10958560B2 (en) * | 2019-07-16 | 2021-03-23 | At&T Intellectual Property I, L.P. | Common abstraction for network traffic migration |
| US11503052B2 (en) | 2019-12-19 | 2022-11-15 | Radware, Ltd. | Baselining techniques for detecting anomalous HTTPS traffic behavior |
| US11924904B2 (en) * | 2020-08-31 | 2024-03-05 | Veniam, Inc. | Configuration protocol (DHCP) optimization for Wi-Fi connectivity in a network of moving things, for example, autonomous vehicles |
| US20230043668A1 (en) * | 2021-08-03 | 2023-02-09 | Celona, Inc. | Single Node Home Deployment with Local Breakout |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101006707A (zh) * | 2004-08-19 | 2007-07-25 | 西门子公司 | 通过接入网络在客户网络与ip供应商网络之间交换ip分组的方法 |
| US20070203999A1 (en) * | 2006-02-24 | 2007-08-30 | Townsley William M | Techniques for replacing point to point protocol with dynamic host configuration protocol |
| WO2012001364A2 (en) * | 2010-06-30 | 2012-01-05 | British Telecommunications | Wlan location services |
| EP2437557A1 (en) * | 2010-09-30 | 2012-04-04 | British Telecommunications Public Limited Company | System and method for determing device location in a communications system |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3538527B2 (ja) * | 1997-08-05 | 2004-06-14 | 株式会社東芝 | 無線通信システムおよび無線通信方法 |
| ATE345000T1 (de) | 2002-01-18 | 2006-11-15 | Nokia Corp | Verfahren und einrichtung zur zugriffskontrolle eines mobilen endgerätes in einem kommunikationsnetzwerk |
| ATE516640T1 (de) * | 2004-08-20 | 2011-07-15 | Ericsson Telefon Ab L M | Schneller netzwerkanschluss |
| US7821941B2 (en) * | 2006-11-03 | 2010-10-26 | Cisco Technology, Inc. | Automatically controlling operation of a BRAS device based on encapsulation information |
| US8032939B2 (en) * | 2007-11-06 | 2011-10-04 | Airtight Networks, Inc. | Method and system for providing wireless vulnerability management for local area computer networks |
| CN101692674B (zh) * | 2009-10-30 | 2012-10-17 | 杭州华三通信技术有限公司 | 双栈接入的方法和设备 |
| US8863248B2 (en) * | 2011-04-07 | 2014-10-14 | International Business Machines Corporation | Method and apparatus to auto-login to a browser application launched from an authenticated client application |
| KR101095447B1 (ko) * | 2011-06-27 | 2011-12-16 | 주식회사 안철수연구소 | 분산 서비스 거부 공격 차단 장치 및 방법 |
-
2012
- 2012-09-25 JP JP2015533031A patent/JP5957612B2/ja not_active Expired - Fee Related
- 2012-09-25 CN CN201280075984.9A patent/CN104662873B/zh active Active
- 2012-09-25 EP EP12770387.4A patent/EP2901664B1/en active Active
- 2012-09-25 US US14/424,548 patent/US9313687B2/en active Active
- 2012-09-25 KR KR1020157007158A patent/KR101971167B1/ko active IP Right Grant
- 2012-09-25 WO PCT/US2012/057008 patent/WO2014051535A1/en active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101006707A (zh) * | 2004-08-19 | 2007-07-25 | 西门子公司 | 通过接入网络在客户网络与ip供应商网络之间交换ip分组的方法 |
| US20070203999A1 (en) * | 2006-02-24 | 2007-08-30 | Townsley William M | Techniques for replacing point to point protocol with dynamic host configuration protocol |
| WO2012001364A2 (en) * | 2010-06-30 | 2012-01-05 | British Telecommunications | Wlan location services |
| EP2437557A1 (en) * | 2010-09-30 | 2012-04-04 | British Telecommunications Public Limited Company | System and method for determing device location in a communications system |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112866405A (zh) * | 2017-03-30 | 2021-05-28 | 瞻博网络公司 | 经由aaa协议批量传送授权变化数据 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2901664B1 (en) | 2018-02-14 |
| EP2901664A1 (en) | 2015-08-05 |
| US9313687B2 (en) | 2016-04-12 |
| CN104662873B (zh) | 2018-06-26 |
| JP2015536072A (ja) | 2015-12-17 |
| KR20150060709A (ko) | 2015-06-03 |
| JP5957612B2 (ja) | 2016-07-27 |
| US20150237527A1 (en) | 2015-08-20 |
| KR101971167B1 (ko) | 2019-08-13 |
| WO2014051535A1 (en) | 2014-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104662873A (zh) | 减少由迁移引起的核心网络流量 | |
| RU2564251C2 (ru) | Динамическое создание аккаунта в защищенной сети с беспроводной точкой доступа | |
| US9877147B2 (en) | Support for WISPr attributes in a TAL/CAR PWLAN environment | |
| CA2656919C (en) | Method and system for controlling access to networks | |
| US9237154B2 (en) | Secure and automatic connection to wireless network | |
| US9015855B2 (en) | Secure tunneling platform system and method | |
| JP4782139B2 (ja) | モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム | |
| RU2556468C2 (ru) | Способ аутентификации доступа терминала и оборудование, расположенное на территории абонента | |
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| EP3711274B1 (en) | Message queuing telemetry transport (mqtt) data transmission method, apparatus, and system | |
| CN105981345B (zh) | Wi-fi/分组核心网接入的合法侦听 | |
| CN105743670A (zh) | 访问控制方法、系统和接入点 | |
| WO2018045798A1 (zh) | 网络认证方法、相关装置 | |
| RU2304853C2 (ru) | Способ передачи служебных данных пользователям беспроводной локальной сети | |
| CN102474722B (zh) | 对用户终端进行认证的方法及装置 | |
| CN101447976A (zh) | 动态ip会话接入的方法、系统及装置 | |
| JP5982706B2 (ja) | セキュアトンネリング・プラットフォームシステムならびに方法 | |
| CN108243263A (zh) | 一种移动热点设备的接入方法及移动热点设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |