CN108712411B - 一种IPoE漫游会话控制方法 - Google Patents

一种IPoE漫游会话控制方法 Download PDF

Info

Publication number
CN108712411B
CN108712411B CN201810449907.4A CN201810449907A CN108712411B CN 108712411 B CN108712411 B CN 108712411B CN 201810449907 A CN201810449907 A CN 201810449907A CN 108712411 B CN108712411 B CN 108712411B
Authority
CN
China
Prior art keywords
user
roaming
session
migration
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810449907.4A
Other languages
English (en)
Other versions
CN108712411A (zh
Inventor
李永芳
潘芳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Institute of Railway Technology
Original Assignee
Nanjing Institute of Railway Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Institute of Railway Technology filed Critical Nanjing Institute of Railway Technology
Priority to CN201810449907.4A priority Critical patent/CN108712411B/zh
Publication of CN108712411A publication Critical patent/CN108712411A/zh
Application granted granted Critical
Publication of CN108712411B publication Critical patent/CN108712411B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W8/00Network data management
    • H04W8/02Processing of mobility data, e.g. registration information at HLR [Home Location Register] or VLR [Visitor Location Register]; Transfer of mobility data, e.g. between HLR, VLR or external networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种IPoE漫游会话控制方法,包括当BRAS某一侧收到了与已有会话IP相同的流量或上线触发请求时,则从漫游控制策略中匹配相应策略等步骤。本发明的有益效果是运营商可以根据用户需求灵活地定制漫游策略。

Description

一种IPoE漫游会话控制方法
技术领域
本发明属于漫游控制领域,具体地指一种IPoE漫游会话控制方法。
背景技术
IPoE(IP over Ethernet)是一种常见的IPoX接入方式,它直接基于用户的接入位置或报文特征信息进行认证,而无需用户安装客户端软件和拨号,认证成功后用户可以直接访问外网。
在当今的移动漫游时代,越来越多的手机终端可能从A地接入,移动到B地后继续上线。如果每次都需要重新拨号,将极大的增加运营商的成本和压力;而需要反复拨号认证,客户体验也不好;更有甚者,在两个省份的交接地带,两种信号相互覆盖,可能会存在多次反复的重新拨号,严重影响用户体验和运营商成本。
IPoE漫游功能,可以使得同一个用户从接口A上线,漫游至接口B,流量从接口B进入后,不需要重新认证,也可以访问外网,完成用户从一侧漫游迁移至另一侧的功能。
一般来说,当某一用户已经在BRAS的一侧上线建立会话后,如果另一侧同样收到来自该用户的报文(通过IP地址,MAC地址来判断是否是同一个用户),BRAS会硬性的相信该报文或者不相信该报文,从而机械地完成其他口同一用户的漫游或拒绝迁移该会话上线。目前,BRAS缺乏一种机制:当另一侧接口有漫游需求时,甄别该需求是用户的合理漫游需求,还是伪装成用户的攻击。
当用户从BRAS一侧接口上线,而在另一侧release租约的时候,会产生非法用户仿冒release报文从而导致原用户会话下线的隐患;或者在另一侧有同IP的未知源用户漫游请求时,同样会引发会话迁移,仍然会有非法仿冒报文引发合法用户被踢下线的隐患。
不同接口上的接入需求千差万别,然而用户漫游到其他上线接口时,本身又缺乏一种因地制宜的策略来指导是否应该对该用户的漫游合法性进行甄别或者指导漫游用户漫游到其他接入策略接口上时的计费信息是否应该有所变更。故而一种指导用户下线或迁移的策略呼之欲出。
当DHCP用户从BRAS的一侧上线时,另一侧收到与该用户同IP的release报文时,BRAS忽略该release报文。从而杜绝非法用户的攻击行为。该实现一方面,杜绝了潜在的非法攻击行为,同样也把用户的合理漫游需求关在了门外,例如:当DHCP用户漫游至BRAS的另一侧接口后会话发生迁移。之后,用户如果回到原位置,直接发送DHCP release报文释放租约后。客户端认为自己已经下线,但是IPoE会话未发生迁移,仍然在线,计费仍在继续没有停止,从而为客户带来损失。
类似的,当DHCP用户从BRAS的一侧上线时,在另一侧有客户以未知源方式触发上线,则会将原有的DHCP用户踢下线,同样增加了用户收到非法未知源触发而被踢下线的风险。例如:BRAS在一侧使能了IPoE的DHCP接入,另一侧使能了未知源接入。当用户获取A地址后,且在BRAS使能了未知源接入的另一侧上有以原A地址的非法报文触发上线时,BRAS会理解为用户漫游到了此处,从而将刚才的DHCP会话下线,这样,导致了DHCP接入侧有收到攻击下线的威胁。
而如果持有该IP的用户,在另一侧以接口、子网专线的方式接入,则不会将原DHCP用户踢下线,导致原用户的计费仍然继续。
发明内容
本发明的目的是为了克服上述不足而提供一种IPoE漫游会话控制方法。
为实现上述目的,本发明采用的技术方案是:
一种IPoE漫游会话控制方法,包括以下步骤:
步骤1:当BRAS某一侧收到了与已有会话IP相同的流量或上线触发请求时,则从漫游控制策略中匹配相应策略;
步骤2:若匹配上漫游策略,则执行相应的会话迁移、下线动作;
步骤3:若无匹配结果,则执行缺省的会话迁移、下线动作;
步骤4:上线用户根据运营商的上述漫游控制策略进行会话漫游。
进一步,所述步骤1中的BRAS新增了漫游策略和漫游策略控制使能的功能;使能后,BRAS判断出有用户达到漫游条件时,则向漫游策略进行匹配。
进一步,所述漫游策略包括漫游前用户类型,漫游后用户类型,以及会话控制动作。
进一步,所述用户类型包括WEB、DHCP、unclassified-ip(即未知源IP接入)、interface-leased(即接口专线接入)、subnet-leased(即子网专线接入)、DHCPv6、unclassified-ipv6(即未知源IPv6接入)或ndrs(IPv6静态用户)等;所述会话控制动作包括直接迁移、会话保持不变、原用户下线、触发ICMP Echo或匹配具体用户会话迁移控制列表等。
进一步,所述会话控制动作中的触发ICMP Echo,收到reply后原会话保持不变,未收到reply则会话迁移;漫游前的用户类型为type A,漫游后的用户类型为type B,两者可以相同,也可以不同;对于相同用户类型的用户,或者漫游后为不安全的用户类型,例如漫游前的用户类型为web,漫游后的用户类型为unclassified-ip,执行的会话控制动作为:先由原会话接口发送ICMP探测报文,如果收到reply,则判断原用户在线,原会话保持不变;如果没有接收到reply报文,则判断原用户已经完成漫游,会话进行迁移;如匹配的会话控制动作为具体用户会话迁移控制列表,则向列表中匹配用户信息。用户会话迁移控制列表包括两列,一列为具体用户信息,另一列是用户会话控制动作;最后一行为缺省动作,即无具体用户信息匹配时,所执行的会话控制动作;如无用户类型匹配时,则匹配用户会话控制列表中的最后一行的默认动作。
本发明的有益效果:
1)运营商可以根据用户需求灵活地定制漫游策略;
2)运营商可以根据不同用户类型的安全程度定制其可以漫游的策略;
3)用户漫游不仅仅局限于用户类型,可以具体根据用户信息判断是否支持该用户的漫游;
4)融合相对安全的上线区域和相对不安全的上线区域,使特殊的用户在相对不安全的区域仍然能够漫游,而其他用户则不能在该区域漫游;
5)保障用户在可以漫游情况下,最大的降低其因为支持漫游而遭受攻击的隐患。
具体实施方式
下面结合附图及实施例进一步说明本发明。
实施例:本发明是一种IPoE漫游会话控制方法包括以下步骤:
具体实现如下:
1)BRAS新增漫游策略和漫游策略控制使能的功能。使能后,BRAS判断出有用户达到漫游条件时,则向漫游策略进行匹配。
2)漫游策略有三列内容,分别是漫游前用户类型,漫游后用户类型,以及会话控制动作。例如,用户类型包括DHCP/unclassified-ip/interface-leased/subnet-leased/DHCPv6/unclassified-ipv6/ndrs等;会话控制动作包括:直接迁移(direct)/会话保持不变/原用户下线(Log Off)/触发ICMP Echo/匹配具体用户会话迁移控制列表等。例如下表1所示(不限于表1)
表1
漫游前用户类型 漫游后用户类型 会话控制动作
Web unclassified-ip ICMP Echo
DHCP DHCP direct
DHCP interface-leased Log Off
3)漫游前的用户类型为type A,漫游后的用户类型为type B,两者可以相同,也可以不同。对于相同用户类型的用户,或者漫游后为不安全的用户类型,例如漫游前的用户类型为web,漫游后的用户类型为unclassified - ip,则执行的会话控制动作为触发ICMPEcho,即:先由原会话接口发送ICMP探测报文,如果收到reply,则判断原用户在线,原会话保持不变;如果没有接收到reply报文,则判断原用户已经完成漫游,会话进行迁移。
4)如匹配的会话控制动作为匹配具体用户会话迁移控制列表,则向列表中匹配用户信息。用户会话迁移控制列表包括两列,一列为具体用户信息,另一列是用户会话控制动作,其中会话控制动作如前所述。最后一行为缺省动作,即无具体用户信息匹配时,所执行的会话控制动作。如表2所示。
漫游用户信息 会话控制动作
IP:172.16.1.1 Log off
MAC:00EA-FA00-0001 direct
…… ……
default ICMP Echo
5)如无用户类型匹配时,则匹配用户会话控制列表中的最后一行的默认动作。
6)补充举例
A) 假定漫游前用户类型为DHCP,IP地址为172.16.1.1,MAC地址为0000-0000-0001,漫游后的用户类型仍为DHCP,IP地址为172.16.1.1,MAC地址为0000-0000-0001。用户从A位置到达B位置进行release会话时,BRAS会收到来自172.16.1.1的release报文,从而准备触发会话下线。触发之前,匹配用户类型会话控制列表。如果存在如下表项:
漫游前用户类型 漫游后用户类型 会话控制动作
DHCP DHCP ICMP Echo
则BRAS会发送ICMP Echo报文查询漫游前的用户是否在线,如不在线,则将会话迁移至B位置,然后执行release动作。
B) 假定漫游前的用户类型为Web,IP地址为172.16.2.1,MAC为0000-0000-0002,漫游后的用户类型为unclassified-ip,IP地址为172.16.2.1,MAC为0000-0000-0002。用户从A位置到达B位置时,流量触发,匹配用户类型会话控制列表,如果存在如下表项:
漫游前用户类型 漫游后用户类型 会话控制动作
Web unclassified-ip User-list1
则BRAS继续匹配用户会话控制列表:
User-list1
漫游用户信息 会话控制动作
IP:172.16.2.1 ICMP Echo
default None
匹配中用户信息,执行ICMP echo探测漫游前用户是否在线,如果不在,则完成会话迁移。因为Web类型是一种较为安全的接入方式,而unclassified-ip是一种不够安全的接入方式,所以运营商可以将缺省动作设置为不迁移会话。即只允许个别特殊的用户进行漫游,而其他用户不进行漫游迁移会话。
以上所述仅为本发明的优选实施例而已,并不用于限制本发明。本说明书中未作详细描述的内容属于本领域专业技术人员公知的现有技术。

Claims (2)

1.一种IPoE漫游会话控制方法,其特征在于包括以下步骤:
步骤1:当BRAS某一侧收到了与已有会话IP相同的流量或上线触发请求时,则从漫游控制策略中匹配相应策略;
步骤2:若匹配上漫游策略,则执行相应的会话迁移、下线动作;
步骤3:若无匹配结果,则执行缺省的会话迁移、下线动作;
步骤4:上线用户根据运营商的上述漫游控制策略进行会话漫游;
所述步骤1中的BRAS新增了漫游策略和漫游策略控制使能的功能;使能后,BRAS判断出有用户达到漫游条件时,则向漫游策略进行匹配;
所述漫游策略包括漫游前用户类型,漫游后用户类型,以及会话控制动作;
漫游前的用户类型为type A,漫游后的用户类型为type B,两者可以相同,也可以不同;对于相同用户类型的用户,或者漫游后为不安全的用户类型,执行的会话控制动作为:先由原会话接口发送ICMP探测报文,如果收到reply,则判断原用户在线,原会话保持不变;如果没有接收到reply报文,则判断原用户已经完成漫游,会话进行迁移;
如果匹配的会话控制动作为匹配具体用户会话迁移控制列表,则向列表中匹配用户信息;
用户会话迁移控制列表包括两列,一列为具体用户信息,另一列是用户会话控制动作;最后一行为缺省动作,即无具体用户信息匹配时,所执行的会话控制动作;如果无用户类型匹配时,则匹配用户会话控制列表中的最后一行的默认动作;而针对不安全的接入方式,将所述缺省动作设置为不迁移会话,即只允许特殊用户进行漫游,而其他用户不进行漫游迁移会话。
2.根据权利要求1所述的IPoE漫游会话控制方法,其特征在于:所述用户类型包括DHCP、unclassified-ip、interface-leased、subnet-leased、DHCPv6、unclassified-ipv6或ndrs;所述会话控制动作包括直接迁移、会话保持不变、原用户下线、触发ICMP Echo或匹配具体用户会话迁移控制列表。
CN201810449907.4A 2018-05-11 2018-05-11 一种IPoE漫游会话控制方法 Active CN108712411B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810449907.4A CN108712411B (zh) 2018-05-11 2018-05-11 一种IPoE漫游会话控制方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810449907.4A CN108712411B (zh) 2018-05-11 2018-05-11 一种IPoE漫游会话控制方法

Publications (2)

Publication Number Publication Date
CN108712411A CN108712411A (zh) 2018-10-26
CN108712411B true CN108712411B (zh) 2021-02-02

Family

ID=63868005

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810449907.4A Active CN108712411B (zh) 2018-05-11 2018-05-11 一种IPoE漫游会话控制方法

Country Status (1)

Country Link
CN (1) CN108712411B (zh)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109861892A (zh) * 2019-03-28 2019-06-07 新华三技术有限公司 一种终端漫游方法及装置
CN109768906B (zh) * 2019-03-29 2021-04-27 新华三技术有限公司 一种子网专线配置方法及装置

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101640689A (zh) * 2009-08-27 2010-02-03 中兴通讯股份有限公司 一种静态用户的接入方法及其装置
CN101651682A (zh) * 2009-09-15 2010-02-17 杭州华三通信技术有限公司 一种安全认证的方法、系统和装置
CN101754311A (zh) * 2008-12-20 2010-06-23 华为技术有限公司 一种网络切换的资源处理方法及装置
EP2768180A1 (en) * 2013-02-14 2014-08-20 Telefonica S.A. Method and system for fixed broadband access zero touch, self-provisioning, auto-configuration and auto-activation
CN104639520A (zh) * 2013-11-15 2015-05-20 中国电信股份有限公司 上网地址类型自动控制方法、系统和radius 服务器
US9553861B1 (en) * 2014-03-28 2017-01-24 Juniper Networks, Inc. Systems and methods for managing access to services provided by wireline service providers
CN106357486A (zh) * 2016-08-18 2017-01-25 杭州迪普科技有限公司 一种网络用户接入方法和装置
CN106657330A (zh) * 2016-12-22 2017-05-10 北京华为数字技术有限公司 用户数据迁移方法和用户数据备份方法、装置及系统
CN106878270A (zh) * 2016-12-30 2017-06-20 深圳市风云实业有限公司 基于portal协议的增强型接入控制设备

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101242417A (zh) * 2008-03-03 2008-08-13 中兴通讯股份有限公司 一种接入用户的ip保活方法及接入服务器
CN101662415B (zh) * 2008-08-29 2012-11-07 华为技术有限公司 一种策略控制方法及通讯系统以及相关设备
CN103686652A (zh) * 2012-08-31 2014-03-26 阿尔卡特朗讯 在vplmn中为漫游用户设备进行独立漫游计费的方法与设备
CN104735644A (zh) * 2013-12-20 2015-06-24 中兴通讯股份有限公司 一种cdma网络国际漫游类型识别方法及装置
US9578069B1 (en) * 2015-01-30 2017-02-21 Sprint Communications Company L.P. Cooperative IMS access from a visited domain
CN107995070B (zh) * 2017-11-21 2020-12-08 新华三技术有限公司 基于ipoe的连网控制方法、装置和bras

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101754311A (zh) * 2008-12-20 2010-06-23 华为技术有限公司 一种网络切换的资源处理方法及装置
CN101640689A (zh) * 2009-08-27 2010-02-03 中兴通讯股份有限公司 一种静态用户的接入方法及其装置
CN101651682A (zh) * 2009-09-15 2010-02-17 杭州华三通信技术有限公司 一种安全认证的方法、系统和装置
EP2768180A1 (en) * 2013-02-14 2014-08-20 Telefonica S.A. Method and system for fixed broadband access zero touch, self-provisioning, auto-configuration and auto-activation
CN104639520A (zh) * 2013-11-15 2015-05-20 中国电信股份有限公司 上网地址类型自动控制方法、系统和radius 服务器
US9553861B1 (en) * 2014-03-28 2017-01-24 Juniper Networks, Inc. Systems and methods for managing access to services provided by wireline service providers
CN106357486A (zh) * 2016-08-18 2017-01-25 杭州迪普科技有限公司 一种网络用户接入方法和装置
CN106657330A (zh) * 2016-12-22 2017-05-10 北京华为数字技术有限公司 用户数据迁移方法和用户数据备份方法、装置及系统
CN106878270A (zh) * 2016-12-30 2017-06-20 深圳市风云实业有限公司 基于portal协议的增强型接入控制设备

Also Published As

Publication number Publication date
CN108712411A (zh) 2018-10-26

Similar Documents

Publication Publication Date Title
US8875233B2 (en) Isolation VLAN for layer two access networks
RU2556468C2 (ru) Способ аутентификации доступа терминала и оборудование, расположенное на территории абонента
US8144704B2 (en) IP communication apparatus and IP communication method of such apparatus
CN100586106C (zh) 报文处理方法、系统和设备
CN109413649B (zh) 一种接入认证方法及装置
EP2317690B1 (en) A method and device for distributed security control in communication network system
CN108712411B (zh) 一种IPoE漫游会话控制方法
CN102301763A (zh) 用于注册终端的方法和网络节点
EP2615788A1 (en) Method for dual stack user management and broadband access server
CN107078946B (zh) 业务流处理策略的处理方法、装置和系统
CN104601743A (zh) 基于以太的IP转发IPoE双栈用户接入控制方法和设备
EP3855695B1 (en) Access authentication
US20070199062A1 (en) Apparatus and method for performing dynamic security in internet protocol (IP) system
US20190297655A1 (en) Local break-out in mobile ip networks
CN102158562A (zh) 一种下发pcc策略信息的方法及系统
EP2456156B1 (en) Attachment method and system with identifier and location splitting in next generation network
US10027622B2 (en) Recovering lost device information in cable networks
CN102801685A (zh) 一种Web认证方法及系统
WO2009079896A1 (fr) Procédé d'authenfication d'accès utilisateur fondé sur un protocole de configuration d'hôte dynamique
US20080201477A1 (en) Client side replacement of DNS addresses
US8995441B2 (en) Communication apparatus, communication method, and non-transitory computer readable storage medium
CN115314895A (zh) 一种wapi用户的鉴别方法、系统及接入地as
CN101997904B (zh) 一种会话区分方法和装置
US20170289099A1 (en) Method and Device for Managing Internet Protocol Version 6 Address, and Terminal
CN114938347B (zh) 一种路由器和路由器ipv6自适应方法、装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant