CN104662873B - 用于减少由迁移引起的核心网络流量的方法和装置 - Google Patents

用于减少由迁移引起的核心网络流量的方法和装置 Download PDF

Info

Publication number
CN104662873B
CN104662873B CN201280075984.9A CN201280075984A CN104662873B CN 104662873 B CN104662873 B CN 104662873B CN 201280075984 A CN201280075984 A CN 201280075984A CN 104662873 B CN104662873 B CN 104662873B
Authority
CN
China
Prior art keywords
client device
address
wireless client
wireless
https
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201280075984.9A
Other languages
English (en)
Other versions
CN104662873A (zh
Inventor
P.G.克努森
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Thomson Licensing SAS
Original Assignee
Thomson Licensing SAS
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Thomson Licensing SAS filed Critical Thomson Licensing SAS
Publication of CN104662873A publication Critical patent/CN104662873A/zh
Application granted granted Critical
Publication of CN104662873B publication Critical patent/CN104662873B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/5014Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5007Internet protocol [IP] addresses
    • H04L61/503Internet protocol [IP] addresses using an authentication, authorisation and accounting [AAA] protocol, e.g. remote authentication dial-in user service [RADIUS] or Diameter
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5038Address allocation for local use, e.g. in LAN or USB networks, or in a controller area network [CAN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/062Pre-authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • H04W12/068Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W28/00Network traffic management; Network resource management
    • H04W28/02Traffic management, e.g. flow control or congestion control
    • H04W28/0289Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2101/00Indexing scheme associated with group H04L61/00
    • H04L2101/60Types of network addresses
    • H04L2101/618Details of network addresses
    • H04L2101/622Layer-2 addresses, e.g. medium access control [MAC] addresses
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/50Address allocation
    • H04L61/5053Lease time; Renewal aspects

Abstract

描述减少由公共无线网络的迁移用户引起的核心网络流量的方法和装置,所述方法包括:从无线客户端设备接收DHCP发现请求;确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址;向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;确定是否发生租用超时;如果发生所述租用超时,则释放所分配的IP地址;从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求;从AAA服务器接收MAC预认证响应;以及经由无线客户端设备提供对因特网的访问。

Description

用于减少由迁移引起的核心网络流量的方法和装置
技术领域
本发明涉及公共无线网络,并且尤其涉及减少由公共WiFi网络的迁移用户(migrant user)引起的核心流量。
背景技术
在多播和广播应用中,通过有线和/或无线网络从服务器向多个接收器传送数据。本文使用的多播系统是其中服务器同时向多个接收器传送相同数据的系统,其中,接收器形成最多包括所有接收器的所有接收器的子集合。广播系统是其中服务器同时向所有接收器传送相同数据的系统。也就是,定义的多播系统可以包括广播系统。
本发明减少对订阅公共WiFi服务的认证服务器的需要。不期望来自多数潜在用户的活动,用于网络的接入点容易地发布IP地址,并且仅在用户企图访问核心网络之后开始认证过程。如果接入点被频繁地使用以使得其用尽IP地址,则接入点将绕过该服务,并且开始认证所有用户,以减少拒绝服务攻击的可能性。在常规方法中,允许迁移用户频繁地干扰核心网络,以引起大量核心流量。
因为IEEE802.11ac和IEEE802.11ad使用越来越广泛,所以本发明将变得日益重要。
发明内容
本发明提供一种减少由公共WiFi网络的“迁移用户”引起的核心流量的方式。公共热点工作为临时DHCP服务器,以向用户提供IP地址-直至用户开始试图核心网络的访问和访问核心网络为止。在本发明中,仅当用户努力访问核心网络时,认证过程实际上才开始。如果经过热点的用户不访问核心网络,则用户将只接收到来自接入点的IP地址,并且不触摸核心网络。如果用户试图连接到核心网络,则将发起认证过程。在过多用户的情况中,接入点(AP)将基于认证过程恢复核心网络,以防止拒绝服务攻击。
描述一种减少由公共无线网络的迁移用户引起的核心网络流量的方法和装置,该方法包括:从动态主机配置协议服务器接收多个因特网协议地址;存储所接收到的多个IP地址;从无线客户端设备接收DHCP发现请求;确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址;向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;确定是否发生租用超时;如果发生所述租用超时,则释放所分配的IP地址;从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求;从AAA服务器接收MAC预认证响应;以及经由无线客户端设备提供对因特网的访问。
还描述一种减少由公共无线网络的迁移用户引起的核心网络流量的方法和装置,该方法包括:从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址;存储所接收到的多个IP地址;从无线客户端设备接收DHCP发现请求;确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址;向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;确定是否发生租用超时;如果发生所述租用超时,则释放所分配的IP地址;从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求;从AAA服务器接收MAC预认证响应;以及经由无线客户端设备提供对因特网的访问。
附图说明
当结合附图阅读时,从下面的详细描述最好地理解本发明。附图包括下面主要描述的以下图:
图1是基于家庭热点架构的常规通用路由封装(GRE)。
图2示出常规家庭热点网关(HHG)中的第一次认证。
图3示出常规家庭热点网关(HHG)中的随后用户认证。
图4示出根据本发明的原理的具有完全GRE隧道系统的第一次用户认证。
图5示出根据本发明的原理的利用完全GRE隧道系统的随后(在先被认证的)用户认证。
图6示出根据本发明的原理的利用AP DHCP的第一次用户认证。
图7示出根据本发明的原理的利用AP DHCP的用于预授权用户的认证。
图8A和8B一起形成根据本发明的原理的核心网络WLAN GW的操作的流程图。
图9A、9B和9C一起形成根据本发明的原理的AP的操作的流程图。
图10是本发明的示例性核心网络WLAN GW的框图。
图11是本发明的示例性AP的框图。
具体实施方式
本发明的关键是允许核心网络的边缘处的接入点或者网关在它们由网络认证之前向用户发布IP地址。然后允许当所需服务器和网络路径指示用以执行认证的能力时或者当由客户端迫使试图访问核心网络时以从容的速率进行认证过程。迁移用户将由IP地址的发布满足,并且如果他们不需要访问网络,则他们将不对网络造成负担。这在有WiFi功能的蜂窝电话由订阅WiFi载波的服务区域承载的情况下特别有用。
指出以下是有用的:用户或者客户端设备是用户想要利用其访问因特网或者其他网络服务的设备并且可以是计算机、膝上型计算机、个人数字助理(PDA)、双模式智能电话、iPod、iPad、平板电脑或者具有输入、输出、显示器和存储并且能够与因特网和/或其他用户通信(交互)的任何其他处理设备。用户设备(客户端设备)可以包括打印能力或者可以不包括打印能力。用户或者客户端可以是有线或者无线的(手机)。
这在家庭热点网关(HHG)场景的上下文中例示。这里,家庭WiFi系统也启用为用于WiFi服务的公共热点。用于大量瞬时连接的可能性在该场景下是可能的,并且本发明将限制核心网络暴露于这些连接。
图1示出在HHG系统、WLAN网关位于GRE隧道的一端的情况下的架构。由作为WiFi客户端设备(CPE)的一部分的协议栈的CPE介质访问控制(MAC)层接收公共或者私有用户请求(来自用户的移动设备的请求)。使用协议栈的因特网协议(IP)层,私有请求被转发(传送)至有线调制解调终端系统,用于传送(转发)至因特网。CMTS是典型位于有线公司的头端或者集线器网站(hubsite)的一件设备。CMST(有线调制解调器终端系统)用以向有线订户提供高速数据服务,诸如有线因特网或者因特网协议语音(voice over internetprotocol)。CMTS提供由数字订户线(DSL)系统中的数字订户线访问复用器(DSLAM)提供的很多相同功能。DSLAM是网络设备,通常位于电信操作员的电话交换中。其使用复用技术将多个客户DSL接口连接至高速数字通信信道。CMTS响应于私有用户请求。诸如通过xfinitywifi的公共用户请求通过CMTS被转发至隧道集中器。CMTS和隧道集中器之间的管道(信道、链路)是L2VPNoGRE,其是GRE上的层2虚拟私有网络。IMA是身份管理架构处理系统。IMA可以用于公司和跨网络身份管理。身份管理描述以增加安全性为目的的系统和公司边界内或者跨系统和公司边界的单个身份、它们的认证、授权、角色和特权的管理。IMA系统询问匿名订户信息(ASI)系统上的客户的记录,匿名订户信息(ASI)系统用以认证和授权用户(WiFi客户端、用户设备、客户端设备)。IMA和ASI相互通信。增强中介平台(EMP,EnhancedMediation Platform)和计费系统也与认证、授权和计费(AAA)服务器和隧道集中器通信。AAA服务器也便于伙伴媒体服务操作器(media service operator)的服务。例如,NetNearU(NNU)、CableVision和Time Warner(CVC/TW)系统与AAA服务器通信,以提供MSO伙伴服务。CMTS、隧道集中器、IMA、ASI、AAA服务器、EMP和计费系统是聚集区域网络(CRAN,ConvergedRegional Area Network)的所有部分。
图2和图3图示常规HHG系统的认证流程。该方法的优点是在网络上仅向被认证的用户发布IP地址。
图2示出常规家庭热点网关(HHG)的第一次认证。通过HHG经由GRE隧道向WLAN网关(GW)传送(发送、转发)WiFi客户端(用户设备、客户端设备)动态主机配置协议(DHCP)发现请求(用户请求)。DHCP发现请求是移动用户设备的物理子网络上的消息广播,以定位可用DHCP服务器。DHCP请求可以包括诸如供应商类别识别符的可选信息,其允许DHCP服务器在硬件类型和可能需要的功能之间区分。这种信息也可以向DHCP服务器给出WiFi客户端可能需要DHCP响应的任何额外信息。WLAN GW充当AAA服务器的代理服务器,并且向AAA服务器转发(传送、发送)MAC预认证请求。AAA服务器向IMA可扩展标记语言(X)访问控制标记语言(XACML)转发(传送、发送)MAC认证请求。XACML是优化用于访问控制的标记语言。IMA系统用于使用XACML的访问控制。IMA XACML向ASI转发(传送、发送)请求,以检查客户记录。ASI响应于(回复)IMA XACML。IMA XACML通过强制门户向AAA服务器发送(传送、转发)MAC认证响应。AAA服务器通过强制门户向WLAN GW发送(传送、转发)MAC预认证响应。WLAN GW通过GRE隧道以DHCP ACK响应用户设备(客户端设备)。然后用户设备(客户端设备)经由GRE隧道向WLAN GW发送HTTP/HTTPS请求。WLAN GW以HTTP/HTTPS 302重定向响应。302重定向是临时重定向,以暗示将在不久的将来重新建立原始URL,以保持对其检查。用户设备(客户端设备)被重定向至强制门户URL(HTTPS)。使用强制门户迫使用户设备(客户端设备)在正常使用因特网之前看到用于认证目的的特殊网页。用户设备(客户端设备)被重定向至的网页是可配置的。用户设备(客户端设备)被重定向至IMA登录强制门户。登录页面被显示在用户设备(客户端设备)上。用户设备通过表单张贴(form post)响应IMA登录页面。表单张贴是经由HTTP(S)的信息(数据)的传送。表单张贴包括诸如用户身份(用户id)和密码之类的数据(信息)。这可以通过用户手动地或者通过用户设备(客户端设备、WiFi设备)自动地输入。IMA登录页面以302重定向(HTTPS)响应用户设备(客户端设备)。一旦认证用户设备(客户端设备),就向用户设备发送302重定向(HTTPS)。然后IMA登录页面向AAA服务器发起改变授权(CoA)。AAA服务器向WLAN GW发送(转发、传送)远程认证拨号用户服务(RADIUS)CoA请求。RADIUS是提供用于客户端设备(用户设备)的AAA管理以访问和使用网络服务的联网协议。WLAN GW以RADIUS CoA ACK响应AAA服务器。用户设备(客户端设备)经由GRE隧道向WLAN GW发送(传送、转发)HTTP/HTTPS请求。WLAN GW向因特网转发(传送、发送)请求(消息)(因为已经认证用户设备)。此时,用户可以访问因特网,并且他/她可以使用标准因特网协议和应用,诸如HTTP、SMTP、POP3等。SMTP是简单邮件传输协议并且是用于跨IP网络的电子邮件传送的因特网标准。POP3是邮局协议3(POP3),其是由本地电子邮件客户端使用以通过TCP/IP连接获取来自远程服务器的电子邮件的应用层因特网标准协议。
图3示出常规家庭热点网关(HHG)的随后用户认证。已经先前被认证的WiFi客户端(用户设备、客户端设备)经由GRE隧道发送(传送、转发)DHCP发现请求至WLAN GW。WLAN GW向AAA服务器发送(传送、转发)MAC预认证请求。AAA服务器向IMA XACML转发(传送、发送)MAC认证请求。IMA XACML向ASI转发(传送、发送)请求,以检查客户记录。ASI响应于(回复)IMA XACML以指示具有该MAC的设备对于访问被授权。IMA XACML通过强制门户向AAA服务器发送(传送、转发)MAC认证响应。AAA服务器通过强制门户向WLAN GW发送(传送、转发)MAC预认证响应。WLAN GW通过GRE隧道以DHCP ACK响应用户设备(客户端设备)。然后用户设备(客户端设备)经由GRE隧道向WLAN GW发送HTTP/HTTPS请求。已经被授权访问网络,WLAN GW向因特网转发(发送、传送)HTTP/SMTP/POP3或者其他请求(消息)。可以看出,如果用户设备已经先前被认证,则省略用以认证图1的用户部分的重定向。
图4和图5示出由核心网络WLAN网关的DHCP发布IP地址的系统。这里,通过在不需要认证的情况下发布IP地址并且在客户端请求访问核心网络之后从认证开始,最小化对核心网络的更深入侵。可替代地,可以在由网关检测到的较低级活动时段期间或者在核心认证服务器的请求时,进行认证。如果限制可用IP地址的数目,则可以限制该特征(保留有限的地址池用于该未认证的分配),或者可以最小化DHCP租用时间,以允许迁移用户的租用的快速到期。被认证的用户可以给予更长的DHCP租用时间。租用时间是被分配的IP地址有效的时间的长度。一旦断开,被分配的IP地址返回至IP地址池,用于由另一用户设备(客户端设备)使用。由此,如果用户真的是迁移的,并且不请求访问核心网络,则被分配的IP地址在不由核心网络认证的情况下被快速释放,这降低网络的核心流量。IP地址可以以三种方式之一分配:动态地、静态地或者自动地。在本发明中,动态地分配来自池的IP地址。
图4示出根据本发明的原理的利用完全GRE隧道系统的第一次用户认证。WiFi客户端(用户设备、客户端设备)经由GRE隧道广播(传送、转发、发送)DHCP发现消息(请求)至核心网络WLAN GW。核心网络WLAN GW以DHCP ACK和从IP地址池发布的IP地址响应。除了IP地址之外,核心网络WLAN GW还传送(发送、转发)租用时间并且可以也转发(传送、发送)其他IP配置参数。假设用户设备(客户端设备)尝试通过传送HTTP/HTTPS请求访问核心网络,则用户设备(客户端设备)在用户尝试访问用于服务的网络时被认证。向核心网络WLAN GW传送HTTP/HTTPS请求消息,该核心网络WLAN GW向AAA服务器传送(转发、发送)MAC预认证请求。AAA服务器向IMA XACML转发(传送、发送)MAC认证请求。IMA XACML向ASI转发(传送、发送)请求,以检查用户记录。ASI响应(回复)IMA XACML。IMA XACML通过强制门户向AAA服务器发送(传送、转发)MAC认证响应。AAA服务器通过强制门户向核心网络WLAN GW发送(传送、转发)MAC预认证响应。核心网络WLAN GW经由GRE隧道向用户设备(客户端设备)传送(转发、发送)HTTP/HTTPS 302重定向消息。用户设备(客户端设备)被重定向到强制门户URL(HTTPS)。使用强制门户迫使用户设备(客户端设备)在正常使用因特网之前看到用于认证目的的特殊网页。用户设备(客户端设备)重定向至的网页是可配置的。用户设备(客户端设备)重定向至IMA登录强制门户。在用户设备(客户端设备)上显示登录页面。用户设备通过表单张贴响应于IMA登录页面。表单张贴是经由HTTP(S)的信息(数据)的传送。表单张贴包括诸如用户身份(用户id)和密码之类的数据(信息)。这可以通过用户手动地或者通过用户设备(客户端设备、WiFi设备)自动地输入。IMA登录页面以302重定向(HTTPS)响应于用户设备(客户端设备)。一旦认证用户设备(客户端设备),就向用户设备发送302重定向(HTTPS)。然后IMA登录向AAA服务器发起改变授权(CoA)。AAA服务器向核心网络WLAN GW发送(转发、传送)远程认证拨号用户服务(RADIUS)CoA请求。RADIUS是提供用于客户端设备(用户设备)的AAA管理以访问和使用网络服务的联网协议。核心网络WLAN GW以RADIUS CoA ACK响应于AAA服务器。用户设备(客户端设备)经由GRE隧道向核心网络WLAN GW发送(传送、转发)HTTP/HTTPS请求。核心网络WLAN GW向因特网转发(传送、发送)HTTP/SMTP/POP3请求(消息)(在用户设备已经被认证的情况下)。一旦用户被认证和授权,就通过核心网络WLAN网关直接提供对因特网的访问。
图5示出根据本发明的原理的利用完全GRE隧道系统的随后(在先被认证的)用户认证。WiFi客户端(用户设备、客户端设备)参与与核心网络WLAN GW的开放DHCP交换。其包括从WiFi客户端(用户设备、客户端设备)到以DHCP ACK响应的核心网络WLAN GW的DHCP发现请求消息。已经先前被认证的WiFi客户端(用户设备、客户端设备)经由GRE隧道向核心网络WLAN GW发送(传送、转发)HTTP/HTTPS请求。核心网络WLAN GW向AAA服务器发送(传送、转发)MAC预认证请求。AAA服务器向IMA XACML转发(传送、发送)MAC认证请求。IMA XACML向ASI转发(传送、发送)请求,以检查客户记录。ASI响应于(回复)IMA XACML。IMA XACML向AAA服务器发送(传送、转发)MAC认证响应,以指示用户设备(客户端设备)被授权。AAA服务器向核心网络WLAN GW发送(传送、转发)MAC预认证响应,以指示用户设备(客户端设备)被授权。核心网络WLAN GW向因特网转发(发送、传送)HTTP/SMTP/POP3请求(消息)(在用户设备已经被认证的情况下)。可以看出,如果用户设备已经先前被认证,则省略用以认证图4的用户部分的重定向,并且随后的流量与核心网络WLAN GW交换到因特网。
图6和图7是本发明的替代实施例,并且图示AP发布IP地址。如果用户请求网络访问,则AP将仅访问WLAN网关核心网络。那时开始认证过程,并且AP将执行从其发布的IP地址(除非存在足够数目的对于AP的IP地址以预先控制从WLAN网关给出)到由WLAN网关给出的IP地址的地址转换。这增加对AP的负载和网络的延迟,但通过甚至不通知核心网络不请求网络服务的迁移用户,最小化对核心网络的负载。
图6示出根据本发明的原理利用AP DHCP的第一次用户认证。WiFi客户端(用户设备、客户端设备)广播DHCP发现请求(消息)以定位在区域(该区域作为用户订阅的网络或者用户的服务提供商与其有漫游协定的网络的一部分)中的任何AP。一个或者多个AP可以响应。基于最佳信号或者负载或者某一其他标准选择AP。所选AP以DHCP ACK回复(响应)。如果然后WiFi客户端(用户设备、客户端设备)企图通过传送HTTP/HTTPS请求访问核心网络,则用户设备(客户端设备)被认证。HTTP/HTTPS请求消息被传送至AP,该AP经由GRE隧道传送DHCP发现请求(消息)至核心网络WLAN GW。核心网络WLAN GW传送(转发、发送)MAC预认证请求至AAA服务器。AAA服务器转发(传送、发送)MAC认证请求至IMA XACML。IMA XACML转发(传送、发送)请求至ASI,以检查客户记录。ASI响应于(回复)IMA XACML。IMA XACML通过强制门户向AAA服务器发送(传送、转发)MAC验证响应。AAA服务器通过强制门户向核心网络WLANGW发送(传送、转发)MAC预验证响应。核心网络WLAN GW向AP传送(转发、发送)DHCP ACK,AP通过GRE隧道向用户设备(客户端设备)传送(发送、转发)HTTP/HTTPS重定向消息。用户设备(客户端)重定向至强制门户URL(HTTPS)。使用强制门户迫使用户设备(客户端设备)在正常使用因特网之前看到用于认证目的的特殊网页。用户设备(客户端设备)被重定向至的网页是可配置的。用户端设备与AP通信,AP执行发布给WiFi客户端(用户设备、客户端设备)的IP地址的地址转换。也就是,AP接收向客户端/来自客户端的所有传送并且将该传送定向至核心网络WLAN GW/从核心网络WLAN GW定向,所有这些传送依次路由到IMA登录、AAA服务器、核心网络WLAN GW和因特网(如果被授权的话)。用户设备(客户端设备)由AP经由核心网络WLAN GW重定向至IMA登录强制门户。登录页面转发至AP,AP将登录页面转发至WiFi客户端(用户设备、客户端设备),以显示在用户设备(客户端设备)上。用户端设备经由AP和核心网络WLAN GW通过表单张贴响应于IMA登录页面。表单张贴包括诸如用户识别(用户id)和密码之类的数据(信息)。这可以通过用户手动地或者通过用户设备(客户端设备、WiFi设备)自动地输入。IMA登录页面以302重定向(HTTPS)经由AP和核心网络WLAN GW响应于用户设备(客户端设备)。一旦认证用户设备(客户端设备),就向用户设备发送302重定向(HTTPS)。然后IMA登录页面向AAA服务器发起改变授权(CoA)。AAA服务器向核心网络WLAN GW发送(转发、传送)远程认证拨号用户服务(RADIUS)CoA请求。RADIUS是提供用于客户端设备(用户设备)的AAA管理以访问和使用网络服务的联网协议。核心网络WLAN GW以RADIUS CoA ACK响应于AAA服务器。用户设备(客户端设备)向AP发送(传送、转发)HTTP/HTTPS请求,AP经由GRE隧道向核心网络WLAN GW转发HTTP/HTTPS请求。核心网络WLAN GW向因特网转发(传送、发送)HTTP/SMTP/POP3请求(消息)(如果已经认证用户设备)。通过向因特网以及从因特网横越到WiFi客户端、AP和核心网络WLAN GW的路径以及从WiFi客户端、AP和核心网络WLAN GW的路径,来执行随后的因特网访问。
图7示出根据本发明的原理的利用AP DHCP的用于预授权用户的认证。WiFi客户端(用户设备、客户端设备)参与与其相关联的AP的DHCP交换。这包括从WiFi客户端(用户设备、客户端设备)到AP的DHCP发现请求消息,AP以DHCK ACK响应。已经在先前被认证的WiFi客户端(用户设备、客户端设备)向AP发送(传送、转发)HTTP/SMTP/POP3请求(消息),AP向核心网络WLAN GW传送(发送、转发)DHCP发现请求(消息)。核心网络WLAN GW向AAA服务器发送(传送、转发)MAC预认证请求。AAA服务器向IMA XACML转发(传送、发送)MAC认证请求。IMAXAMCL向ASI转发(传送、发送)请求,以检查客户记录。ASI响应于(回复)IMA XACML。IMAXACML向AAA服务器发送(传送、转发)MAC认证响应,以指示用户设备(客户端设备)被授权。AAA服务器向核心网络WLAN GW发送(传送、转发)MAC预认证响应,以指示用户设备(客户端设备)被授权。核心网络WLAN GW向AP转发(发送、传送)DHCP ACK。此后,AP例如经由核心网络WLAN GW向因特网转发用户的因特网请求或者消息、HTTP/SMTP/POP3或者其他协议(如果用户设备已经被认证)。可以看出如果用户设备已经在先前被认证,则省略用以认证图6的用户部分的重定向。通过向因特网以及从因特网横越到WiFi客户端、AP和核心网络WLAN GW的路径以及从WiFi客户端、AP和核心网络WLAN GW的路径,来执行随后的因特网访问。
表1:方法之间的关键差异
设计考虑之一将是IP地址的可用性。原始方法通过仅向被认证的用户给出DHCP租用来保留这些地址。WLAN网关方法共享多个接入点之中的地址池。这里,地址比在AP方法中更宝贵,其中,每个接入点将提供地址,并且将它们映射至连接核心网络的有限数目的WLAN网关地址,
实现方式的考虑:
1)短初始DHCP租用时间:在认证之前,保持租用时间为最小值。这可能要求频繁的DHCP更新,但将不打扰核心网络。这样,如果认证对于客户端失败,则由该客户端(用户设备、客户端设备、WiFi客户端)占用的地址将快速释放(free up)。一旦被认证,就可以增加租用时间。
2)以AP整体实现AP方法。这对于AP供应商有益,因为AP将控制软件,但可能随着公共WiFi客户端的数目增加而对系统造成负担。
3)WLAN网关方法需要由网关供应商或者服务提供商实现。WLAN GW方法对于AP设计是透明的。
4)如果怀疑系统受到拒绝服务(DoS)攻击,则原始认证方法应该被重新使用。
5)如果DHCP池IP地址越来越稀缺,则恢复为原始认证方法是可取的。
从WiFi客户端(用户设备、客户端设备)观点,常规方法、核心网络WLAN GW方法和AP方法之间不存在可辨别的差异。发送和接收相同的消息。差异是向哪个实体传送消息/从哪个实体接收消息。也就是,例如,WiFi客户端(用户设备、客户端设备)仍发送DHCP请求并且仍接收DHCP ACK。在常规方法中,向WLAN GW发送DHCP请求/从WLAN GW发送DHCP响应。在核心网络WLAN GW方法中,向核心网络WLAN GW发送DHCP请求/从核心网络WLAN GW发送DHCP响应。在AP方法中,向AP发送DHCP请求/从AP发送DHCP响应。方法之间的差异对于WiFi客户端(用户设备、客户端设备)是透明的。
应当从上面的描述和对应附图清楚的是:起作用的实体(常规系统中的(WLAN GW(AAA代理服务器)、核心网络WLAN GW和AP)和与AAA服务器和IMA登录的交互的顺序是严格的。
图8A和图8B一起形成根据本发明的原理的核心网络WLAN GW的操作的流程图。在805,核心网络WLAN GW从因特网服务提供商(ISP)接收到多个IP地址并且将它们存储在地址池中用于发布。存储可以是任何形式的存储,并且不限于任何具体形式的存储。在810,核心网络WLAN GW从WiFi客户端(用户设备、客户端设备)接收到DHCP发现请求。在815,核心网络WLAN GW执行测试以确定核心网络WLAN GW是否在IP地址池中有可用的足够的IP地址,以向WiFi客户端发布IP地址。如果核心网络WLAN GW在IP地址池中具有足够的IP地址以向WiFi客户端发布,则核心网络WLAN GW在820执行测试,以确定是否怀疑拒绝服务(DoS)攻击。如果不怀疑DoS攻击,则在825,核心网络WLAN GW向WiFi客户端传送包括IP地址和租用信息的DHCP ACK。在830,核心网络WLAN GW执行测试以确定对于IP地址的租用时间是否到期。如果对于IP地址的租用时间没有到期,则在835,核心网络WLAN GW从WiFi客户端接收到HTTP/HTTPS请求。在840,核心网络WLAN GW向AAA服务器传送MAC预认证请求。在845,核心网络WLAN GW从AAA服务器接收到MAC预认证响应。如果对于IP地址的租用时间到期,则在850,核心网络WLAN GW释放IP地址并且将其返回至IP地址池,并且处理进行至810。如果IP地址池中不存在足够的IP地址或者怀疑DoS攻击,则处理进行至841,其中,在接收到由WiFi客户端的因特网访问请求之前开始核心网络认证/授权处理。在836,当出现因特网访问请求时,在855重定向至强制门户。虽然在832等待命令,但是也检查租用超时,并且在超时的情况下,处理进行至850。
在855,核心网络WLAN GW向WiFi客户端传送HTTP/HTTPS重定向消息。在860,核心网络WLAN GW从AAA服务器接收到RADIUS改变授权(CoA)。在865,核心网络WLAN GW向AAA服务器传送RADIUS CoA ACK。在870,核心网络WLAN GW从WiFi客户端接收到HTTP/HTTPS请求。在875,核心网络WLAN GW向因特网传送HTTP/SMTP/POP3消息,870和875例示用户与因特网的交互,其可以继续直至在880 DHCP租用超时为止或者直至用户搬出当前接入点范围为止。如果DHCP租用超时,则处理进行至850,然后至810,在810中,核心网络WLAN网关等待来自WiFi客户端的DHCP发现。客户端可以在DHCP租用到期之前按IETF RFC 2131传送请求以更新DHCP租用,从而避免超时。
图9A、9B和9C一起形成根据本发明的原理的AP的操作的流程图。AP执行地址转换并且控制该方法中的处理。在905,AP从因特网服务提供商(ISP)接收多个IP地址,并且将它们存储在地址池中用于发布。存储可以是任何形式的存储,并且不限于任何具体形式的存储。可替代地,AP可以仅接收多个可能的WAN(广域网)连接,并且工作为网络中的二级路由器。在910,AP从WiFi客户端(用户设备、客户端设备)接收DHCP发现请求。在915,AP执行测试以确定AP是否在IP地址池中有可用的足够的IP地址,以向WiFi客户端发布IP地址。如果AP在IP地址池中具有足够的IP地址以向WiFi客户端发布,则AP在920执行测试,以确定是否怀疑拒绝服务(DoS)攻击。如果不怀疑DoS攻击,则在925,AP向WiFi客户端传送包括IP地址和租用信息的DHCP ACK。在930,AP执行测试以确定对于IP地址的租用时间是否到期。如果对于IP地址的租用时间没有到期,则在935,AP从WiFi客户端接收到HTTP/HTTPS请求。在940,AP向核心网络WLAN GW传送DHCP发现请求(消息)。在945,AP从核心网络WLAN GW接收到DHCPACK。如果对于IP地址的租用时间到期,则在950,核心网络WLAN GW释放IP地址并且将其返回至IP地址池,并且处理进行至910。如果IP地址池中不存在足够的IP地址或者怀疑DoS攻击,则处理进行至941,以在不需要等待来自WiFi客户端的访问请求(HTTP/HTTPS)的情况下请求核心网络DHCP地址。在接收到来自核心网络WLAN网关的DHCP ACK(946)之后,处理等待来自WiFi客户端的访问请求,同时检查DHCP租用的状态(931)。一旦接收访问请求(936),流程在955继续。在955,AP向WiFi客户端传送HTTP/HTTPS重定向。在960,AP从WiFi客户端接收到到IMA登录的重定向。在965,AP向IMA登录传送到强制门户的重定向。在970,AP从IMA登录接收到登录页面。在975,AP向WiFi客户端传送IMA登录页面。在980,AP从WiFi客户端接收到识别(用户Id)。表单张贴例如包括WiFi客户端的用户识别(用户Id)和密码。在985,AP向IMA登录传送表单张贴。在990,AP从IMA登录接收到302重定向。
在995,AP向WiFi客户端传送HTTP/HTTPS重定向消息。在907,AP从WiFi客户端接收到HTTP/HTTPS请求。在917,AP向因特网传送HTTP/SMTP/POP3消息。此时,WiFi客户端连接至因特网,并且可以继续操作,直至在927DHCP租用时间超时,此时处理进行至950,并且可以获得新租用。客户端可以按IETF RFC 2131传送请求以更新DHCP租用。
图10是核心网络WLAN GW的框图。核心网络WLAN GW与WiFi客户端(用户设备、客户端)、AAA服务器和因特网通信。通信可以是有线的或者无线的。WiFi客户端(用户设备、客户端设备)向核心网络WLAN GW发送请求(消息)并且从核心网络WLAN GW接收响应(消息)。核心网络WLAN GW也与AAA服务器通信以认证和授权WiFi客户端(用户设备、客户端设备)。核心网络WLAN GW也与因特网通信,以在WiFi客户端被认证和授权的情况下和/或当WiFi客户端被认证和授权时,转发WiFi客户端(用户设备、客户端设备)的请求(消息)。通过处理模块处理所有请求、响应(消息)的处理。处理模块也可以是与任何形式的存储接口连接。处理模块也可以是(包括)硬件、软件、固件、专用集成电路(ASIC)、精简指令集计算机(RISC)和/或现场可编程门阵列(FPGA)以及显示器和诸如打印机的附加输入/输出设备。无线接口经由一个或者多个天线通信。用于从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址的部件,依赖于DHCP服务器如何通信经由有线接口或者无线接口。用于存储接收到的多个IP地址的部件是由处理器存取的存储(未示出)。用于从无线客户端设备接收DHCP发现请求的部件经由无线接口。用于确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址的部件由处理器执行。用于向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认的部件经由无线接口。用于确定是否发生租用超时的部件由处理器执行。用于在如果发生所述租用超时则释放所分配的IP地址的部件由处理器执行。用于从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求的部件经由无线接口。用于从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求的部件,依赖于AAA服务器如何通信经由无线接口或者有线接口。用于从AAA服务器接收MAC预认证响应的部件依赖于AAA服务器如何通信经由无线接口或者有线接口。用于经由无线客户端设备提供对因特网的访问的部件经由无线接口。
图11是本发明的示例性AP的框图。AP与WiFi客户端(用户设备、客户端)、核心网络WLAN GW和IMA登录通信。通信可以是有线的或者无线的。WiFi客户端(用户设备、客户端设备)向AP发送请求(消息)并且从AP接收响应(消息)。AP也与IMA登录通信以认证和授权WiFi客户端(用户设备、客户端设备)。通过处理模块处理所有请求、响应(消息)的处理。处理模块也可以是与任何形式的存储接口连接。处理模块也可以是(包括)硬件、软件、固件、专用集成电路(ASIC)、精简指令集计算机(RISC)和/或现场可编程门阵列(FPGA)以及显示器和诸如打印机的附加输入/输出设备。无线接口经由一个或者多个天线通信。用于从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址的部件,依赖于DHCP服务器如何通信经由有线接口或者无线接口。用于存储接收到的多个IP地址的部件是由处理器存取的存储(未示出)。用于从无线客户端设备接收DHCP发现请求的部件经由无线接口。用于确定是否存在可用于向无线客户端设备分配多个IP地址之一的足够的IP地址的部件由处理器执行。用于向无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认的部件经由无线接口。用于确定是否发生租用超时的部件由处理器执行。用于在如果发生所述租用超时则释放所分配的IP地址的部件由处理器执行。用于从无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求的部件经由无线接口。用于从无线客户端向认证、授权和计费(AAA)服务器传送介质访问控制(MAC)预认证请求的部件,依赖于AAA服务器如何通信经由无线接口或者有线接口。用于从AAA服务器接收MAC预认证响应的部件依赖于AAA服务器如何通信经由无线接口或者有线接口。用于经由无线客户端设备提供对因特网的访问的部件经由无线接口。
要理解,可以以多种形式的硬件、软件、固件、特殊用途处理器或其组合来实施本发明。优选地,作为硬件和软件的组合来实施本发明。此外,优选地将该软件作为在程序存储设备上被实体地体现的应用程序来实施。该应用程序可以被上载至包括任何合适的架构的机器,并且由所述包括任何合适的架构的机器执行。优选地,在具有诸如一个或更多的中央处理单元(“CPU”)、随机存取存储器(“RAM”)和(多个)输入/输出(“I/O”)接口之类的硬件的计算机平台上实施该机器。该计算机平台还包括操作系统和微指令码。在这里所描述的多种过程和功能可以是经由操作系统执行的微指令码的一部分或应用程序的一部分(或其组合)。另外,诸如附加数据存储设备和打印设备之类的多种其他外围设备可以与该计算机平台连接。
要进一步理解,因为优选地以软件来实施在附图中所描绘的构成系统组件和方法步骤中的一些,所以取决于本发明被编程的方式,系统组件(或过程步骤)之间的实际连接可以不同。给定这里的教导,相关领域普通技术人员将能够想到本发明的这些和类似的实施方式或配置。

Claims (6)

1.一种减少由公共无线网络的迁移用户引起的核心网络流量的方法,所述方法包括:
从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址;
存储所接收到的多个IP地址;
从无线客户端设备接收DHCP发现请求;
当存在可用于分配的足够的IP地址时,确定是否存在可用于向所述无线客户端设备分配所述多个IP地址之一的足够的IP地址;
如果存在可用于向所述无线客户端设备分配所述多个IP地址之一的足够的IP地址,所述方法包括:
向所述无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;
确定是否发生第一租用超时;
如果发生所述第一租用超时,则释放所分配的IP地址;
从所述无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;
从所述无线客户端向认证、授权和计费(AAA)服务器中继介质访问控制(MAC)预认证请求;
从所述AAA服务器接收MAC预认证响应;
经由无线客户端设备提供对因特网的访问;
确定是否发生拒绝服务(DoS)攻击;
如果不存在可用于向所述无线客户端设备分配所述多个IP地址之一的足够的IP地址,所述方法包括:从所述无线客户端向认证、授权和计费(AAA)服务器中继MAC预认证请求;
从所述AAA服务器接收MAC预认证响应;
确定是否发生第二租用超时;
如果发生所述第二租用超时,则释放所分配的IP地址;
如果没有发生所述第二租用超时,则确定命令是否可用;以及
当没有发生所述第二租用超时并且所述命令可用时,从所述无线客户端设备接收HTTP请求或者HTTPS请求。
2.如权利要求1所述的方法,还包括:
向所述无线客户端设备传送HTTP重定向或者HTTPS重定向;
从所述AAA服务器接收远程认证拨号用户服务(RADIUS)改变授权(CoA);以及
向所述AAA服务器传送RADIUS CoA确认。
3.如权利要求1所述的方法,还包括:
向所述无线客户端设备传送HTTP重定向消息或者HTTPS重定向消息;
从所述无线客户端设备接收HTTP重定向命令或者HTTPS重定向命令;
向强制门户身份管理架构(IMA)处理系统登录传送所述HTTP重定向命令或者所述HTTPS重定向命令;
从所述强制门户IMA处理系统登录接收登录页面;
向所述无线客户端设备传送IMA登录页面;
从所述无线客户端设备接收表单张贴;
向所述强制门户IMA处理系统登录传送所述表单张贴;
从所述强制门户IMA处理系统登录接收HTTP重定向指示或者HTTPS重定向指示;以及
向所述无线客户端设备传送所述HTTP重定向指示或者所述HTTPS重定向指示。
4.一种用于减少由公共无线网络的迁移用户引起的核心网络流量的装置,所述装置包括:
通信接口,用于从动态主机配置协议(DHCP)服务器接收多个因特网协议(IP)地址,其中,所述通信接口包括有线接口和无线接口;
存储器,用于存储所接收到的多个IP地址;
所述无线接口,从无线客户端设备接收DHCP发现请求;
处理器,用于当存在可用于分配的足够的IP地址时,确定是否存在可用于向所述无线客户端设备分配所述多个IP地址之一的足够的IP地址,所述处理器与所述有线接口和所述无线接口双向通信;
如果存在可用于向所述无线客户端设备分配所述多个IP地址之一的足够的IP地址,
所述无线接口向所述无线客户端设备传送包括所分配的IP地址和租用持续时间的DHCP确认;
所述处理器确定是否发生第一租用超时;
如果发生所述第一租用超时,则所述处理器释放所分配的IP地址;
所述无线接口从所述无线客户端设备接收第一超文本传输协议(HTTP)请求或者第一安全超文本传输协议(HTTPS)请求;
所述通信接口从所述无线客户端向认证、授权和计费(AAA)服务器中继介质访问控制(MAC)预认证请求;
所述通信接口从所述AAA服务器接收MAC预认证响应;所述通信接口经由无线客户端设备提供对因特网的访问;
所述处理器确定是否发生拒绝服务(DoS)攻击;
如果不存在可用于向所述无线客户端设备分配所述多个IP地址之一的足够的IP地址,
所述通信接口从所述无线客户端向认证、授权和计费(AAA)服务器中继所述MAC预认证请求;
所述通信接口从所述AAA服务器接收所述MAC预认证响应;
所述处理器确定是否发生第二租用超时;
如果发生所述第二租用超时,则所述处理器释放所分配的IP地址;
如果没有发生所述第二租用超时,则所述处理器确定命令是否可用;以及
如果没有发生所述第二租用超时并且所述命令可用,则所述无线接口从所述无线客户端设备接收第三HTTP请求或者第三HTTPS请求。
5.如权利要求4所述的装置,还包括:
所述无线接口向所述无线客户端设备传送HTTP重定向或者HTTPS重定向;
所述通信接口从所述AAA服务器接收远程认证拨号用户服务(RADIUS)改变授权(CoA);以及
所述通信接口向所述AAA服务器传送RADIUS CoA确认。
6.如权利要求4所述的装置,还包括:
所述无线接口向所述无线客户端设备传送HTTP重定向消息或者HTTPS重定向消息;
所述无线接口从所述无线客户端设备接收HTTP重定向命令或者HTTPS重定向命令;
所述通信接口向强制门户身份管理架构(IMA)处理系统登录传送所述HTTP重定向命令或者所述HTTPS重定向命令;
所述通信接口从所述强制门户IMA处理系统登录接收登录页面;
所述无线接口向所述无线客户端设备传送IMA登录页面;
所述无线接口从所述无线客户端设备接收表单张贴;
所述通信接口向所述强制门户IMA处理系统登录传送所述表单张贴;
所述通信接口从所述强制门户IMA处理系统登录接收HTTP重定向指示或者HTTPS重定向指示;以及
所述无线接口用于向所述无线客户端设备传送所述HTTP重定向指示或者所述HTTPS重定向指示。
CN201280075984.9A 2012-09-25 2012-09-25 用于减少由迁移引起的核心网络流量的方法和装置 Active CN104662873B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2012/057008 WO2014051535A1 (en) 2012-09-25 2012-09-25 Reducing core network traffic caused by migrant

Publications (2)

Publication Number Publication Date
CN104662873A CN104662873A (zh) 2015-05-27
CN104662873B true CN104662873B (zh) 2018-06-26

Family

ID=47010771

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201280075984.9A Active CN104662873B (zh) 2012-09-25 2012-09-25 用于减少由迁移引起的核心网络流量的方法和装置

Country Status (6)

Country Link
US (1) US9313687B2 (zh)
EP (1) EP2901664B1 (zh)
JP (1) JP5957612B2 (zh)
KR (1) KR101971167B1 (zh)
CN (1) CN104662873B (zh)
WO (1) WO2014051535A1 (zh)

Families Citing this family (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9736005B2 (en) * 2011-12-22 2017-08-15 International Business Machines Corporation Duplicate IP address detection by a DHCP relay agent
CN103812958B (zh) * 2012-11-14 2019-05-07 中兴通讯股份有限公司 网络地址转换技术的处理方法、nat设备及bng设备
CN104283848B (zh) * 2013-07-03 2018-02-09 新华三技术有限公司 终端接入方法和装置
CN109921973A (zh) 2013-07-10 2019-06-21 华为技术有限公司 Gre隧道实现方法、接入点和网关
CN105264835B (zh) 2013-07-12 2016-12-28 华为技术有限公司 Gre隧道实现方法、接入设备和汇聚网关
US9521109B2 (en) * 2014-10-01 2016-12-13 The Boeing Company Systems, methods, and computer-readable media for allocation and renewal of IP addresses
CN105591866A (zh) * 2014-11-12 2016-05-18 中兴通讯股份有限公司 共享wifi的方法及系统、家庭网关和无线局域网关
TWI566545B (zh) * 2015-08-28 2017-01-11 鴻海精密工業股份有限公司 家庭基站及ip配置的方法
CN106921636B (zh) * 2015-12-28 2020-05-08 华为技术有限公司 身份认证方法及装置
JP6184580B1 (ja) * 2016-01-29 2017-08-23 キヤノン株式会社 情報処理装置、制御方法およびプログラム
JP6619682B2 (ja) 2016-03-31 2019-12-11 キヤノン株式会社 情報処理装置、制御方法およびプログラム
CN107809496B (zh) 2016-09-09 2020-05-12 新华三技术有限公司 网络访问控制方法和装置
US10542001B1 (en) * 2016-12-19 2020-01-21 Amazon Technologies, Inc. Content item instance access control
US10547614B2 (en) * 2017-03-30 2020-01-28 Juniper Networks, Inc. Bulk delivery of change of authorization data via AAA protocols
US9743333B1 (en) * 2017-04-01 2017-08-22 Quantenna Communications, Inc. Arbitration of distributed services for wireless home networks
CN106921529B (zh) * 2017-05-12 2020-04-28 成都锐帆网智信息技术有限公司 基于旁路的上网行为分析方法
EP3628117A4 (en) * 2017-07-07 2021-01-20 ARRIS Enterprises LLC PROCEDURE FOR PROVIDING MANAGEMENT AND CONTROL OF HOTSPOTS WITH REDUCED MESSAGE TRANSMISSION
US11109232B2 (en) * 2017-10-03 2021-08-31 Single Digits Connection, Llc Alerting systems and methods
US10856344B2 (en) * 2019-03-15 2020-12-01 Hong Kong Applied Science and Technology Research Institute Company Limited Method and an apparatus for reducing connection set-up time in a communications network
US11363044B2 (en) 2019-06-26 2022-06-14 Radware, Ltd. Method and system for detecting and mitigating HTTPS flood attacks
US10958560B2 (en) * 2019-07-16 2021-03-23 At&T Intellectual Property I, L.P. Common abstraction for network traffic migration
US11503052B2 (en) 2019-12-19 2022-11-15 Radware, Ltd. Baselining techniques for detecting anomalous HTTPS traffic behavior
US11924904B2 (en) 2020-08-31 2024-03-05 Veniam, Inc. Configuration protocol (DHCP) optimization for Wi-Fi connectivity in a network of moving things, for example, autonomous vehicles
US20230043668A1 (en) * 2021-08-03 2023-02-09 Celona, Inc. Single Node Home Deployment with Local Breakout

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101006707A (zh) * 2004-08-19 2007-07-25 西门子公司 通过接入网络在客户网络与ip供应商网络之间交换ip分组的方法
EP2437557A1 (en) * 2010-09-30 2012-04-04 British Telecommunications Public Limited Company System and method for determing device location in a communications system

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3538527B2 (ja) * 1997-08-05 2004-06-14 株式会社東芝 無線通信システムおよび無線通信方法
ATE345000T1 (de) * 2002-01-18 2006-11-15 Nokia Corp Verfahren und einrichtung zur zugriffskontrolle eines mobilen endgerätes in einem kommunikationsnetzwerk
US8000704B2 (en) * 2004-08-20 2011-08-16 Telefonaktiebolaget Lm Ericsson (Publ) Fast network attachment
US7853708B2 (en) * 2006-02-24 2010-12-14 Cisco Technology, Inc. Techniques for replacing point to point protocol with dynamic host configuration protocol
US7821941B2 (en) * 2006-11-03 2010-10-26 Cisco Technology, Inc. Automatically controlling operation of a BRAS device based on encapsulation information
US8032939B2 (en) * 2007-11-06 2011-10-04 Airtight Networks, Inc. Method and system for providing wireless vulnerability management for local area computer networks
CN101692674B (zh) * 2009-10-30 2012-10-17 杭州华三通信技术有限公司 双栈接入的方法和设备
WO2012001366A2 (en) * 2010-06-30 2012-01-05 British Telecommunications Public Limited Company Wlan location services
US8863248B2 (en) * 2011-04-07 2014-10-14 International Business Machines Corporation Method and apparatus to auto-login to a browser application launched from an authenticated client application
KR101095447B1 (ko) * 2011-06-27 2011-12-16 주식회사 안철수연구소 분산 서비스 거부 공격 차단 장치 및 방법

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101006707A (zh) * 2004-08-19 2007-07-25 西门子公司 通过接入网络在客户网络与ip供应商网络之间交换ip分组的方法
EP2437557A1 (en) * 2010-09-30 2012-04-04 British Telecommunications Public Limited Company System and method for determing device location in a communications system

Also Published As

Publication number Publication date
JP2015536072A (ja) 2015-12-17
KR20150060709A (ko) 2015-06-03
EP2901664A1 (en) 2015-08-05
EP2901664B1 (en) 2018-02-14
KR101971167B1 (ko) 2019-08-13
US20150237527A1 (en) 2015-08-20
JP5957612B2 (ja) 2016-07-27
WO2014051535A1 (en) 2014-04-03
CN104662873A (zh) 2015-05-27
US9313687B2 (en) 2016-04-12

Similar Documents

Publication Publication Date Title
CN104662873B (zh) 用于减少由迁移引起的核心网络流量的方法和装置
JP6629928B2 (ja) 制限されたローカルエリアネットワーク環境から一時的なインターネットアクセスを提供するためのシステム
US9877147B2 (en) Support for WISPr attributes in a TAL/CAR PWLAN environment
EP1743252B1 (en) Method and system for verifying and updating the configuration of an access device during authentication
CA2462691C (en) Method and system for allowing multiple service providers to serve users via a common access network
CA2656919C (en) Method and system for controlling access to networks
JP4754964B2 (ja) 無線網制御装置及び無線網制御システム
US7624429B2 (en) Method, a network access server, an authentication-authorization-and-accounting server, and a computer software product for proxying user authentication-authorization-and-accounting messages via a network access server
CN107534651A (zh) 服务认证期间会话标识符的安全传输
EP2355439A1 (en) Accessing restricted services
KR100590698B1 (ko) 동일 id를 이용한 다중 로그인을 방지하기 위한 인증 방법, 시스템 및 서버
JP2014036422A (ja) 複数網間でのフィルタリングシステム及び方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant