CN1612539A - 无线局域网中业务连接建立的方法 - Google Patents
无线局域网中业务连接建立的方法 Download PDFInfo
- Publication number
- CN1612539A CN1612539A CN 200310103774 CN200310103774A CN1612539A CN 1612539 A CN1612539 A CN 1612539A CN 200310103774 CN200310103774 CN 200310103774 CN 200310103774 A CN200310103774 A CN 200310103774A CN 1612539 A CN1612539 A CN 1612539A
- Authority
- CN
- China
- Prior art keywords
- business
- user terminal
- wlan
- authentication
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种无线局域网中业务连接建立的方法,该方法在用户终端的业务建立请求由业务解析单元接收并送至业务认证授权单元进行认证授权处理后,业务认证授权单元将所授权的目的设备地址和建立隧道所使用的相关参数发送给业务解析单元,由业务解析单元向目的设备转发业务建立请求和建立隧道所使用的相关参数,目的设备进行相关业务连接准备后通知发起请求的用户终端,双方即可直接通讯;或是由业务认证授权单元直接将业务连接授权和建立隧道所使用的相关参数发送给目的设备,目的设备进行相关业务连接准备后通知发起请求的用户终端,双方直接进行通讯。该方法使隧道建立过程得到优化,并使优化后的隧道建立能与业务解析相互融合。
Description
技术领域
本发明涉及业务接入技术,特别是指一种无线局域网(WLAN)中对用户终端所选定的业务经过解析后进行业务连接建立的方法。
背景技术
由于用户对无线接入速率的要求越来越高,无线局域网(WLAN,WirelessLocal Area Network)应运而生,它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它新技术诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
尽管有多种不同的无线接入技术,大部分WLAN都用来传输因特网协议(IP)分组数据包。对于一个无线IP网络,其采用的具体WLAN接入技术对于上层的IP一般是透明的。其基本的结构都是利用接入点(AP)完成用户终端的无线接入,通过网络控制和连接设备连接组成IP传输网络。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如:GSM、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统、CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP)标准化组织中,用户终端可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络连接,具体地说就是,WLAN用户终端在本地接入时,经由WLAN接入网络与3GPP的归属网络相连,如图2所示;在漫游时,经由WLAN接入网络与3GPP的访问网络相连,3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连,比如:3GPP访问网络中的3GPP认证授权计费(AAA)代理和3GPP归属网络中的3GPP认证授权计费(AAA)服务器;3GPP访问网络中的无线局域网接入关口(WAG)与3GPP归属网络中的分组数据关口(PDG,Packet DataGateway)等等,如图1所示。其中,图1、图2分别为漫游情况下和非漫游情况下WLAN系统与3GPP系统互通的组网结构示意图。
参见图1、图2所示,在3GPP系统中,主要包括归属签约用户服务器(HSS)/归属位置寄存器(HLR)、3GPP AAA服务器、3GPP AAA代理、WAG、分组数据关口、计费关口(CGw)/计费信息收集系统(CCF)及在线计费系统(OCS)。用户终端、WLAN接入网络与3GPP系统的所有实体共同构成了3GPP-WLAN交互网络,此3GPP-WLAN交互网络可作为一种无线局域网服务系统。其中,3GPP AAA服务器负责对用户的鉴权、授权和计费,对WLAN接入网络送来的计费信息收集并传送给计费系统;分组数据关口负责将用户数据从WLAN接入网络到3GPP网络或其他分组网络的数据传输;计费系统主要接收和记录网络传来的用户计费信息,还包括OCS根据在线计费用户的费用情况指示网络周期性的传送在线费用信息,并进行统计和控制。
在非漫游情况下,当WLAN用户终端希望直接接入Internet/Intranet时,用户终端通过WLAN接入网与AAA服务器(AS)完成接入认证授权后,用户终端可通过WLAN接入网接入到Internet/Intranet。如果WLAN用户终端还希望接入3GPP分组交换(PS)域业务,则可进一步向3GPP归属网络申请互通场景3(Scenario3)的业务,即:WLAN用户终端向3GPP归属网络的AS发起互通场景3的业务授权请求,3GPP归属网络的AS对该业务授权请求进行业务鉴权和授权,如果成功,则AS给用户终端发送接入允许消息,且AS给用户终端分配相应的PDG,用户终端与所分配的PDG之间建立隧道后,即可接入3GPPPS域业务。同时,CGw/CCF和OCS根据用户终端的网络使用情况记录计费信息。在漫游情况下,当WLAN用户终端希望直接接入Internet/Intranet时,用户终端可通过3GPP访问网络向3GPP归属网络申请接入到Internet/Intranet。如果用户终端还希望申请互通场景3业务,接入到3GPP PS域业务,则用户终端需要通过3GPP访问网络向3GPP归属网络发起业务授权过程,该过程同样在用户终端和3GPP归属网络的AS之间进行,当授权成功后,AS给用户终端分配相应的归属PDG,用户终端通过3GPP访问网络中的WAG与分配的PDG之间建立隧道后,用户终端即可接入归属网络的3GPP PS域业务。
目前,用户选择业务名APN后,如何根据业务名经过AAA的认证授权,得到最终对应的业务提供单元的地址,提出了两种实现方案:
一种是,用户终端通过公共的域名解析服务器(DNS)直接解析得到最终业务提供单元--目标PDG的地址,该目标PDG一般处于当前用户终端的归属网络中。这种情况下,用户终端向目标PDG发送隧道建立请求,目标PDG收到后,到AAA对当前的用户终端进行认证,如果认证通过,则目标PDG直接建立UE与自身之间的隧道。该方案的缺点在于:访问网络难以判断和控制目的地址是否应该被用户访问,难以中止非法的数据在网络间传输。因为网间的流量一般都是长途,传输代价比较高,也需要网间结算,对于非认证的信息最好能够避免传送。另外,从安全角度考虑,电信运营商全网的PDG都暴露在公共DNS系统中,任何Internet用户都可以得到,对于网络安全存在很大的隐患。
另一种是,用户终端通过私有的DNS解析得到自身当前所属的WAG,由WAG与AAA进行交互完成业务认证授权,授权通过后,WAG从AAA获得最终业务提供单元--目标PDG的地址,然后当前用户终端再向目标PDG发送隧道建立请求,建立UE与目标PDG之间的隧道。但是,在该方案中由WAG直接处理用户的请求,需要WAG发现机制,如DNS、DHCP,进行WAG地址查询解析,需要新增协议来进行交互。另外,重复PDG与AAA交互对APN认证授权过程,会增加WAG实现的复杂程度,而且WAG在访问网络中远远大于PDG的数量,这些都增加了对访问网络中WAG的需求,访问网络必须能够提供这样的WAG才能使业务互通。并且,大量它网的WAG要与归属网络的核心设备AAA进行交互,使AAA的安全受到很大的威胁,如此,使业务的漫游变得困难。
可见,上述两种方案都存在着明显的缺陷,难以得到应用。主要问题在于:没有解决根据访问网络能力不同采用不同的解析策略,一种方案要求访问网络有强大的能力,导致网络实现复杂、网间安全隐患等问题,使漫游范围受到限制;另一种方案,由公共DNS解析比较简洁,但网间数据无法有效的控制,必须依靠公共DNS,如此就带来安全隐患的问题,进而也限制了该方案的应用。
发明内容
为解决现有技术中存在的问题,本申请人在另一专利申请中提出了一种在无线局域网中对用户选定业务进行解析接入的处理方法,该方法的核心思想是:预先设置一个或一个以上用于初始接入处理的业务解析单元;所述业务解析单元主要用于接受用户终端发送的业务建立请求,并到业务认证授权单元中对发请求的用户终端进行鉴权和授权;再将业务认证授权单元所授权的、处理选定业务的目的设备的地址返回给发起请求的用户终端;用户终端根据接收到的目的设备地址,再次向目的设备发送业务建立请求;之后,用户终端经过认证再与目的设备之间完成业务连接的建立。也就是说,用户终端发送业务接入请求时,只需统一发给业务解析单元,由该类业务解析单元控制后续的认证授权、地址返回等操作,以提高安全可靠性和效率。
其中,所述业务解析单元自身也可以提供一些简单的业务,该业务解析单元可设置于发起请求的用户终端的归属网络或访问网络,由访问网络的运营商根据预先制定的漫游协定来决定;该业务解析单元可以放置于WAG中,也可以放置于PDG中;如果预先设置多个业务解析单元,多个业务解析单元可以根据处理业务的不同来区分,所有业务解析单元均与业务认证授权单元相连。
在所述专利申请中,业务认证授权单元可以是AAA服务器,在3G中,可以是3GPP AAA服务器。授权处理选定业务的目的设备可以是PDG、GGSN、或其它业务连接关口设备。
但是,上面所述关于无线局域网中选定业务解析接入处理方法的专利申请,只解决了基本的业务解析问题,而没有对业务连接建立,如建立业务隧道进行优化,因此需要重复进行两次交互,如果实际实施时采用隧道建立信令,就会导致两次隧道建立请求过程。本发明对业务解析和隧道建立进行融合和并进行过程优化,得到一个优化的交互过程。
有鉴于此,本发明的主要目的在于提供一种无线局域网中业务连接建立的方法,使隧道建立过程得到优化,并使优化后的隧道建立能与业务解析相互融合。
为达到上述目的,本发明的技术方案是这样实现的:
一种无线局域网WLAN中业务连接建立的方法,该方法包括以下步骤:
a.WLAN用户终端向业务解析单元发起业务建立请求;
b.所述业务解析单元收到业务建立请求后,向业务认证授权单元发送含有从业务建立请求中提取出的用户签约信息的业务认证授权请求,业务认证授权单元根据发起请求WLAN用户终端的签约信息,对发起请求的WLAN用户终端进行业务鉴权和授权;
关键在于,该方法还包括:
c.业务认证授权单元判断鉴权和授权是否成功,如果是,则业务认证授权单元将含有建立隧道所需参数的业务连接授权发送给授权处理选定业务的目的设备,所述目的设备收到业务连接授权后,建立相关业务连接,然后将含有建立用户业务连接所需参数的业务建立响应发送给发起请求的WLAN用户终端,与该WLAN用户终端之间完成业务连接;否则,业务认证授权单元对该业务建立请求响应失败信息。
上述方案中,步骤c中如果业务认证授权单元鉴权和授权成功,所述步骤c进一步包括:业务认证授权单元将含有建立隧道所需参数的业务认证授权响应发送给业务解析单元,同时发送业务连接授权给授权处理选定业务的目的设备;业务解析单元再将含有建立隧道所需参数的业务建立请求发送给目的设备;所述目的设备收到业务连接授权和业务建立请求后,建立相关业务连接,然后将含有建立用户业务连接所需参数的业务建立响应发送给发起请求的WLAN用户终端,与该WLAN用户终端之间完成业务连接。
其中,所述建立隧道所需参数至少包括:发起请求的WLAN用户终端的用户标识、该WLAN用户终端请求接入的选定业务的业务名、业务连接建立使用的密钥。所述目的设备向发起请求的WLAN用户终端发送的建立用户业务连接所需参数至少包括:分配给WLAN用户终端的通道标识、隧道内的IP地址、对WLAN用户终端的认证信息、建立业务连接所使用的密钥。
上述方案中,目的设备将业务建立响应直接发送给发起请求的WLAN用户终端。或者,目的设备将业务建立响应发送给业务解析单元,由业务解析单元转发给发起请求的WLAN用户终端。
上述方案中,步骤c中业务认证授权单元鉴权和授权成功后,向业务解析单元发送携带有目的设备地址的业务认证授权响应,并且在发送给目的设备的业务连接授权中至少包括业务解析单元的地址或指示业务建立响应经由业务解析单元转发的信息。则业务解析单元收到目的设备发来的需要转发的业务建立响应后,进一步根据业务认证授权单元发送的目的设备地址判断当前发来业务建立响应的目的设备是否合法,如果是,则将业务建立响应转发给发起请求的WLAN用户终端;否则,拒绝转发。
上述方案中,步骤c中所述判断鉴权和授权是否成功进一步包括:判断当前授权的目的设备与发起请求WLAN用户终端所属的WLAN接入关口设备之间是否已开放路由给发起请求的WLAN用户终端,如果已开放,则业务的鉴权授权成功;如果未开放,业务认证授权单元向发起请求WLAN用户终端所属的WLAN接入关口设备发送开放路由通知,通知WLAN接入关口设备开放与所授权的目的设备之间的路由,判断是否成功开放路由,如果是,则业务的鉴权授权成功,否则业务的鉴权授权失败。则该方法还进一步包括:本次选定业务接入结束后,关闭WLAN接入关口设备与所授权目的设备之间提供给当前发起请求WLAN用户终端的路由。其中,所述WLAN接入关口设备为无线局域网接入关口WAG、或无线局域网接入控制设备AC。
上述方案中,所述业务解析单元为授权处理选定业务的目的设备。
上述方案中,所述业务建立请求包含于标准规定的隧道建立请求信令中。
上述方案中,所述业务解析单元设置于访问网络中,或设置于发起请求WLAN用户终端的归属网络中。所述业务认证授权单元为认证授权计费AAA服务器。在3G中,所述业务认证授权单元为3GPP AAA服务器。所述授权处理选定业务的目的设备为3GPP标准规定的PDG设备、或为通用分组无线业务网关支持节点GGSN。
本发明所提供的无线局域网中业务连接建立的方法,在采用专门用于初始接入解析处理的业务解析单元,使所有用户终端将业务接入请求统一发给业务解析单元,由该业务解析单元控制后续的认证授权、业务连接建立等流程的基础上,又对后续的隧道建立过程进行了优化,该方法具有以下的优点和特点:
1)本发明由业务解析单元向目的设备转发业务建立请求,或直接由目的设备完成相关业务连接准备后通知用户终端,省去了用户终端向目的设备发业务建立请求的第二次交互过程,使对选定业务进行解析、建立连接的整个过程得到了优化,大大提高了网络的安全可靠性和处理效率。
2)由于是根据实际网络能力和组网情况,因此可最大范围的解决WLAN选定业务的解析和接入过程。
3)使用公共DNS的情况下,只有少数作为业务解析单元的设备,如PDG,其地址可以在公共DNS上查到,其他提供服务的普通业务接入设备,如PDG,则不必在公共DNS上公开,从而保障了提供服务关口设备,如PDG的安全性,避免没有得到认证授权的用户直接对提供服务的关口设备,如PDG进行访问。至于在公共DNS上能查到的业务解析单元,可通过增加安全保护和处理能力等特性来提高其安全可靠性。
另外,由VPLMN/WLAN运营商决定采用私有或公有DNS的解析方法得到业务解析单元的地址,该地址可以在VPLMN或HPLMN,不必区别是PDG或WAG。
4)对于能力较强并被允许访问归属网络用户数据,或/和被允许与归属网络AAA服务器交互的访问网络,可采用访问网络设备进行解析和授权操作;对于能力较弱的访问网络,可通过限定的路由和目的地址,转发到归属网络进行解析和授权,以避免限制漫游范围。但对于用户终端而言,上述两种方式都是不可见的,交互方式是完全相同,如此可保障用户终端的简单一致。
5)发起请求的WLAN用户终端到目的设备都采用现有建立端到端(E2E,End-to-End)隧道的信令,避免增加新的交互协议,业务解析单元与AAA服务器交互,对用户终端进行认证和授权,授权结果得到真正处理业务的PDG。
附图说明
图1为漫游情况下WLAN系统与3GPP系统互通的网络结构示意图;
图2为非漫游情况下WLAN系统与3GPP系统互通的网络结构示意图;
图3为接入授权的处理流程图;
图4为本发明方法第一实施例的处理流程图;
图5为本发明方法第二实施例的处理流程图;
图6为本发明方法第三实施例的处理流程图;
图7为本发明方法第四实施例的处理流程图;
图8为本发明方法第五实施例的处理流程图;
图9为本发明方法第六实施例的处理流程图;
图10为本发明方法第七实施例的处理流程图;
图11为本发明方法第八实施例的处理流程图;
图12为本发明方法第九实施例的处理流程图。
具体实施方式
本发明的基本思想是:在用户终端的业务建立请求由业务解析单元接收并送至业务认证授权单元进行认证授权处理后,业务认证授权单元将所授权的目的设备地址和建立隧道所使用的相关参数发送给业务解析单元,由业务解析单元向目的设备转发业务建立请求和建立隧道所使用的相关参数,目的设备进行相关业务连接准备后通知发起请求的用户终端,双方即可直接通讯;或是由业务认证授权单元直接将业务连接授权和建立隧道所使用的相关参数发送给目的设备,目的设备进行相关业务连接准备后通知发起请求的用户终端,双方直接进行通讯。
这里,业务解析单元可设置一个或多个,如果设置多个,则可以根据处理业务的不同来区分,所有业务解析单元均与业务认证授权单元相连,并与授权处理选定业务的目的设备如PDG连接;业务解析单元可设置于发起请求的用户终端的归属网络或访问网络,由访问网络的运营商根据预先制定的漫游协定来决定;该业务解析单元可以放置于WAG中,也可以放置于PDG中。业务认证授权单元可以是AAA服务器,在3G中,可以是3GPP AAA服务器。授权处理选定业务的设备可以是PDG、GGSN、或其它业务连接关口设备。
图4为本发明方法第一实施例的处理流程图,如图4所示,本发明对于选定业务的接入处理方法主要包括以下步骤:
步骤401:当WLAN用户终端通过WLAN请求接入3GPP-WLAN互通网络时,由WLAN用户终端或网络发起接入认证过程,网络侧对该WLAN用户终端进行接入鉴权。具体说就是,由网络侧的接入鉴权授权单元通过接入控制单元完成用户终端与网络之间的合法性认证。这里,接入控制单元可以是WLAN接入网中的接入控制器(AC),或是运营网络的接入关口WAG,或是两者的组合;接入鉴权授权单元可以是3GPP AAA服务器。
WLAN用户终端与3GPP AAA服务器之间的接入认证和授权过程,如图3步骤301~步骤306所示:WLAN用户终端通过接入控制单元向接入鉴权授权单元发送鉴权所需的认证信息,接入鉴权授权单元得到用户终端的相关信息后,在自身完成接入鉴权判定,如果鉴权成功,则根据签约情况对用户的接入范围进行授权,继续后续操作,否则通知用户终端接入鉴权失败,结束当前接入授权流程。
其中,所述签约接入范围的情况是指:用户终端在初始接入WLAN时要进行接入授权,此时会授权用户数据是否可以通过WAG,接入授权后用户终端可以连接Internet、局域网,但还不能访问3GPP分组业务,也就是不能访问通过PDG提供的各种3G网络业务。
如果某用户终端有能力访问3G业务也签约了该业务,此时提供业务的PDG也可能是不会对该用户终端开放,会在WAG处禁止其数据路由到PDG,但为了使该用户终端的请求能通过,此时会在WAG授权允许该用户终端访问初始解析设备。当然也可以在接入授权时就把到这些PDG的路由都给用户开放,用户的请求信令可以通过,但最终的业务接入还是要和PDG交互进行业务授权。对于某些低端用户终端,没有签约交互3G网络的业务,只被允许从WLAN直接接入INTERNET,永远禁止通过WAG接入PDG等3G核心网络设备,则此时会在WAG禁止该类用户任何数据通过。
步骤402:WLAN用户终端接入鉴权通过后,根据用户选定业务的业务名,通过与公共或私有的DNS交互,获得业务解析单元的IP地址。
这里,WLAN用户终端获得业务解析单元的IP地址可以有多种途径:根据私有域名解析服务器(DNS)解析得到局部网络地址或公共IP地址;或者,根据公网DNS解析得到公共IP地址;或者,根据预先配置在终端的IP地址或地址列表中的任一地址得到;或者,根据前次访问解析得到的IP地址得到。
步骤403:发起请求的WLAN用户终端根据步骤402所获得的地址,向业务解析单元发起业务建立请求。本实施例中,可利用现有标准信令中的端到端隧道建立请求来承载业务建立请求,业务建立请求也可以采用单独设置的信令来实现。本实施例中,业务解析单元为独立的设备。
该请求中携带有当前WLAN用户终端的相关签约信息,主要包括:当前WLAN用户终端的用户标识、当前WLAN用户终端选定业务的业务名。其中,用户标识可以是网络接入标识(NAI)、或用户IP、或国际移动用户标识(IMSI)、或临时标识(TEMPID)、或起始会话协议统一资源定位器(SIP-URL)标识。本实施例中,选定业务可以是指:短消息业务、多媒体短消息业务、定位业务以及基于IP多媒体子系统(IMS)的业务等等。
步骤404~405:业务解析单元收到业务建立请求后,向业务认证授权单元发送业务认证授权请求,该请求中携带有用户签约信息;业务认证授权单元根据所收到的用户签约信息,对发起请求的WLAN用户终端进行鉴权和授权;然后,给业务解析单元回复业务认证授权响应,其中携带有认证授权结果。本实施例中,业务认证授权单元为3GPP AAA服务器。
如果鉴权和授权失败,则经由业务解析单元向发起请求的WLAN用户终端返回失败信息,并结束当前接入处理流程。在返回失败信息的同时,可以向WLAN用户终端提示相应的错误信息。
如果鉴权和授权成功,则业务认证授权单元将授权处理选定业务的目的设备的地址以及建立隧道所使用的相关参数返回给业务解析单元,该相关参数信息至少包括授权业务名、用户标识、授权业务名业务特征、建立用户业务连接所需的密钥等;并且,业务认证授权单元同时将业务连接授权信息发送给目的设备。以下步骤仅以鉴权和授权成功为例。
在所述业务认证授权单元对WLAN用户终端的鉴权过程中,3GPP AAA服务器对发起请求的WLAN用户终端的身份进行识别,如果识别成功,则进行所请求业务的业务签约信息匹配,如果匹配失败,可以直接返回失败信息,或是返回一个可能的替代业务信息,比如:用短消息业务替代多媒体短消息业务。这种情况下,如果用户终端接受新的替代业务,就进行后续操作,如果不接受,就结束。如果识别失败,则直接返回用户识别失败信息,发起重新进行用户标识同步或认证等过程。
步骤406~408:业务解析单元收到目的设备的地址以及相关参数后,将步骤403所收到的业务建立请求以及当前收到的建立隧道所要使用的相关参数全部转发给目的设备;目的设备收到后,进行自身业务连接的准备,产生相关的通道标识、IP地址以及进一步的密钥参数等等;然后,再将这些信息响应给发起请求的WLAN用户终端,发送给用户终端的信息包括:分配给WLAN用户终端的通道标识、隧道内IP地址、对WLAN用户终端发来的对目的设备的认证信息的响应等等。本实施例中,可利用现有标准信令中的端到端隧道建立转移信令,来发送目的设备的地址以及相关参数等信息,即:用户发送的解析和连接请求就是隧道建立请求。
目的设备向WLAN用户终端发送的响应可以是直接发送,也可以是通过业务解析单元转发。
步骤409:发起请求的WLAN用户终端收到目的设备地址和建立业务连接的相关参数后,根据参数分析目的设备合法,则完成业务连接建立,此时隧道已建立,与目的设备进行通讯。用户终端与目的设备之间建立了直接业务连接后,两者之间所传输的数据就不再经过业务解析单元了。
这里,建立业务隧道的交互过程可利用标准规定的端到端隧道建立交互过程来完成。
在业务认证授权单元完成认证授权、确定处理选定业务的目的设备后,业务认证授权单元也可以直接将建立隧道所要使用的相关参数发送给目的设备;目的设备收到后,进行自身业务连接的准备,产生相关的通道标识、IP地址以及进一步的密钥参数等等;然后,再将这些信息响应给发起请求的WLAN用户终端,发送给用户终端的信息包括:分配给WLAN用户终端的通道标识、隧道内IP地址、对WLAN用户终端发来的对目的设备的认证信息的响应等等,如图5中步骤505~507所示。发起请求的WLAN用户终端收到目的设备地址和建立业务连接的相关参数后,根据参数分析目的设备合法,则完成业务连接建立,此时隧道已建立,与目的设备进行通讯,如图5中步骤508所示。
在图5所示的实施例中,目的设备可以直接把隧道建立响应发送给WLAN用户终端;也可以经过业务解析单元将隧道建立响应发给WLAN用户终端,如果经过业务解析单元转发,就需要业务认证授权单元发送的参数中包含业务解析单元地址或预先配置好隧道响应必须经过业务解析单元的指示信息,业务解析单元收到后,将隧道建立响应转发给WLAN用户终端,这种情况下,业务认证授权单元给目的设备发送参数通知时也给业务解析单元发送目的设备地址,以便业务解析单元能够确认响应是从合法的目的设备发来的,才给WLAN用户终端进行转发。
通常,业务认证授权单元所授权的处理选定业务的目的设备与中间路由控制设备,如WAG设备之间会预先配置为允许通过,也就是说,目的设备的地址为被允许路由通过WAG的一个地址,即:WAG与目的设备之间会存在一条开放的路由,用于WAG与目的设备之间的交互,具体说就是,允许发起请求的用户终端的数据通过该WAG到达授权的目的设备。对于预先配置有两种实现方案:第一种,在接入授权时,将允许的地址范围下发给WAG等设备,比如:对归属运营商为CMCC的用户都开放某一个IP地址,允许访问;或对所有设备只允许访问本网的某个设备。第二种,在接入后,由AAA服务器给相关的访问网络下发指示,指示本网络允许开放访问的IP地址,或每个用户被允许访问的IP地址。
但是,也存在目的设备与中间路由控制设备之间预先未设置允许通过路由的情况,这种情况下,可在业务认证授权单元确定授权的目的设备之后,先查询一下自身的记录,判断发起请求的WLAN用户终端当前所属的WAG与目的设备之间是否存在授权允许路由,该判断是基于之前是否给WAG或AAA代理发送过路由开放或关闭的相关授权提出的,如果没有,则要通知相应的WAG,如图6所示,包括以下步骤:
步骤601~604:与步骤401~404完全相同。在本实施例中,中间路由控制设备为WAG,业务认证授权单元为3GPP AAA服务器。
步骤605~606:3GPP AAA服务器确定授权的目的设备后,向发起请求的WLAN用户终端当前所属的WAG发送开放路由通知,该通知中携带有目的设备的信息;WAG收到开放路由通知后,根据目的设备地址开放相应的路由,然后向3GPP AAA服务器返回开放路由通知响应。
当然,WAG收到开放路由通知后,也可以判断一下,是否允许开放相应的路由,如果不允许或由于其他原因开放路由失败,则返回的开放路由通知响应中会携带有失败信息,同时,本次对选定业务的接入处理流程也到此结束。
步骤607~611:与步骤405~409完全相同。
对于开放路由成功的情况,WAG可以在每次选定业务接入结束后,再关闭本次所开放的路由。
同样,基于图5所示的方案,也可以增加通知WAG开放路由的步骤,如图7所示。其中,步骤701~704与步骤501~504相同;步骤705~706与步骤605~606相同;步骤707~710与步骤505~508相同。
在本发明中,业务解析单元也可能直接作为目的设备,这种情况下,处理流程如图8所示,包括以下步骤:
步骤801~804:与步骤401~404完全相同。在本实施例中,中间路由控制设备为WAG,业务认证授权单元为3GPP AAA服务器。
步骤805~808:3GPP AAA服务器确定处理选定业务的目的设备后,向业务解析单元发送业务认证授权响应,说明已授权该业务解析单元作为目的设备来处理当前用户终端选定的业务,并在响应中携带有建立隧道所要使用的相关参数;业务解析单元收到后,进行自身业务连接的准备,产生相关的通道标识、IP地址以及进一步的密钥参数等等;然后,再将这些信息响应给发起请求的WLAN用户终端,发送给用户终端的信息包括:分配给WLAN用户终端的通道标识、隧道内IP地址、对WLAN用户终端发来的对目的设备的认证信息的响应、建立业务连接所使用的密钥等等。发起请求的WLAN用户终端收到目的设备地址和建立业务连接的相关参数后,根据参数分析目的设备合法,则完成业务连接建立,此时隧道已建立,与目的设备进行通讯。
业务解析单元的设置有两种情况:设置于访问网络中,或是设置于归属网络中。在访问网络中的业务解析单元实现解析的过程是这样:
图9为将业务解析单元设置于访问网络中的一实施例,如图9所示,本实施例中,以访问网络中的一个PDG作为业务解析单元,可称之为R-PDG。需要由访问网络分配IP地址,用户终端访问的业务解析单元的地址被放入私有的DNS解析系统,解析任何业务名都会得到一个访问网络的R-PDG地址,该地址在接入授权时就被允许通过WAG访问。
图10为将业务解析单元设置于访问网络中的另一实施例,如图10所示,本实施例中,将访问网络中的WAG作为业务解析单元。访问网络把WAG的地址作为用户任何业务名解析的初始结果,此时需要WAG具有和3GPP AAA交互进行业务认证授权的能力,当然信令可以通过AAA代理进行传输。此时对没有能力的WAG,可以把作为业务解析单元的WAG看作是R-PDG,实质和图9所示的组网方式一样,这样就形成图9、图10组网方案共同存在的融合应用情况。
在归属网络中的业务解析单元实现解析的过程是这样:
图11为将业务解析单元设置于归属网络中的一实施例,如图11所示,本实施例中,以归属网络中的一个PDG作为业务解析单元,称之为R-PDG。需要接入授权时,实施归属网络发送的接入规则,允许归属网络的用户路由到其指定可以作为业务解析单元R-PDG的地址或地址段。
图12为将业务解析单元设置于归属网络中的另一实施例,如图12所示,本实施例中,将归属网络中的WAG作为业务解析单元。需要WAG具有和3GPPAAA交互进行业务认证授权的能力。对于用户在本网,该情况和图10所示实施例相同,对于用户漫游的情况,这些WAG相当于图11所示实施例中的R-PDG,归属网络预先约定或动态的将这些地址通知给访问网络,访问网络在DNS解析用户终端的业务请求时,直接把这些R-PDG地址作为DNS解析结果通知给用户终端,这样就可以使用户终端得到归属网络的业务解析单元地址。
需要注意的是:业务解析单元设置在归属网络时,如果需要授权在访问网络中的PDG,则需要AAA服务器和归属网络的AAA服务器/代理进行交互,获得最终的目的设备PDG的地址,其他流程与上面所述方案都一样。
以上所述选定业务的解析和接入交互过程,可以在实际网络中任意组合应用,对于归属网络而言,用PDG非常容易提供该能力,采用WAG也可以,都能够达到集中管理的目的,但会比PDG要付出更多代价,因此对一般的漫游伙伴,则要求其能够通过DNS机制将初始解析请求路由返回归属网络允许的部分设备即可。
在上述几个不同的实施例中,对于成功接入的业务,发起请求的WLAN用户终端可以保存所选定业务的业务名以及所对应的目的设备的地址,以便在重新进行业务建立时使用。比如:重新进行业务建立时,如果业务名与以前成功接入的相同,并且存储的关联还有效,或根据特定规则判断所保存的关联可以尝试,则用户终端可以直接向所保存的、曾被授权的目的设备地址发起业务连接建立请求,进行E2E(end to end)隧道建立,以避免解析过程直接进行接入。当然,如果所保存的目的设备地址不可达或被拒绝接入,则需重新进行解析。
同样,对于成功接入的业务,表示业务解析单元也成功解析,所以发起请求的WLAN用户终端可以保存所选定业务的业务名以及所对应的业务解析单元的地址,以便在重新进行业务建立时使用。比如:重新进行业务建立时,如果业务名与以前成功接入的相同,并且存储的关联还有效,或根据特定规则判断所保存的关联可以尝试,则用户终端可以直接向所保存的业务解析单元对应的地址发送业务建立请求,以省去初始解析,即:对业务解析单元的发现流程,也就是由DNS解析获取业务解析单元地址的过程。当然,如果所保存的业务解析单元地址不可达或被拒绝,则需重新进行解析。
上述方案中,业务解析单元同时也可以作为业务认证授权单元,或者业务解析单元与业务认证授权单元由同一个设备实现,这种情况下,可由业务解析单元直接完成鉴权认证。具体是:业务解析单元收到隧道建立请求后,提取出其中WLAN用户终端的用户标识和该WLAN用户终端请求接入的选定业务的业务名;同时,业务解析单元根据用户标识从HSS/HLR中获取发起请求WLAN用户终端的签约信息,将所获取的签约信息与提取出的信息进行比较,如果一致,则鉴权认证通过;否则,鉴权认证失败。
以上所述,仅为本发明的较佳实施例而已,并非用来限定本发明的保护范围。
Claims (17)
1、一种无线局域网WLAN中业务连接建立的方法,该方法包括以下步骤:
a.WLAN用户终端向业务解析单元发起业务建立请求;
b.所述业务解析单元收到业务建立请求后,向业务认证授权单元发送含有从业务建立请求中提取出的用户签约信息的业务认证授权请求,业务认证授权单元根据发起请求WLAN用户终端的签约信息,对发起请求的WLAN用户终端进行业务鉴权和授权;
其特征在于,该方法还包括:
c.业务认证授权单元判断鉴权和授权是否成功,如果是,则业务认证授权单元将含有建立隧道所需参数的业务连接授权发送给授权处理选定业务的目的设备,所述目的设备收到业务连接授权后,建立相关业务连接,然后将含有建立用户业务连接所需参数的业务建立响应发送给发起请求的WLAN用户终端,与该WLAN用户终端之间完成业务连接;否则,业务认证授权单元对该业务建立请求响应失败信息。
2、根据权利要求1所述的方法,其特征在于,步骤c中如果业务认证授权单元鉴权和授权成功,所述步骤c进一步包括:
业务认证授权单元将含有建立隧道所需参数的业务认证授权响应发送给业务解析单元,同时发送业务连接授权给授权处理选定业务的目的设备;业务解析单元再将含有建立隧道所需参数的业务建立请求发送给目的设备;所述目的设备收到业务连接授权和业务建立请求后,建立相关业务连接,然后将含有建立用户业务连接所需参数的业务建立响应发送给发起请求的WLAN用户终端,与该WLAN用户终端之间完成业务连接。
3、根据权利要求1或2所述的方法,其特征在于,目的设备将业务建立响应直接发送给发起请求的WLAN用户终端。
4、根据权利要求1或2所述的方法,其特征在于,目的设备将业务建立响应发送给业务解析单元,由业务解析单元转发给发起请求的WLAN用户终端。
5、根据权利要求4所述的方法,其特征在于,步骤c中业务认证授权单元鉴权和授权成功后,向业务解析单元发送携带有目的设备地址的业务认证授权响应,并且在发送给目的设备的业务连接授权中至少包括业务解析单元的地址或指示业务建立响应经由业务解析单元转发的信息。
6、根据权利要求5所述的方法,其特征在于,业务解析单元收到目的设备发来的需要转发的业务建立响应后,进一步根据业务认证授权单元发送的目的设备地址判断当前发来业务建立响应的目的设备是否合法,如果是,则将业务建立响应转发给发起请求的WLAN用户终端;否则,拒绝转发。
7、根据权利要求1或2所述的方法,其特征在于,步骤c中所述判断鉴权和授权是否成功进一步包括:判断当前授权的目的设备与发起请求WLAN用户终端所属的WLAN接入关口设备之间是否已开放路由给发起请求的WLAN用户终端,如果已开放,则业务的鉴权授权成功;如果未开放,业务认证授权单元向发起请求WLAN用户终端所属的WLAN接入关口设备发送开放路由通知,通知WLAN接入关口设备开放与所授权的目的设备之间的路由,判断是否成功开放路由,如果是,则业务的鉴权授权成功,否则业务的鉴权授权失败。
8、根据权利要求7所述的方法,其特征在于,该方法进一步包括:本次选定业务接入结束后,关闭WLAN接入关口设备与所授权目的设备之间提供给当前发起请求WLAN用户终端的路由。
9、根据权利要求7所述的方法,其特征在于,所述WLAN接入关口设备为无线局域网接入关口WAG、或无线局域网接入控制设备AC。
10、根据权利要求1所述的方法,其特征在于,所述业务解析单元同时为授权处理选定业务的目的设备。
11、根据权利要求1或2所述的方法,其特征在于,所述建立隧道所需参数至少包括:发起请求的WLAN用户终端的用户标识、该WLAN用户终端请求接入的选定业务的业务名、业务连接建立使用的密钥。
12、根据权利要求1或2所述的方法,其特征在于,所述目的设备向发起请求的WLAN用户终端发送的建立用户业务连接所需参数至少包括:分配给WLAN用户终端的通道标识、隧道内的IP地址、对WLAN用户终端的认证信息、建立业务连接所使用的密钥。
13、根据权利要求1或2所述的方法,其特征在于,所述业务建立请求包含于标准规定的隧道建立请求信令中。
14、根据权利要求1或2所述的方法,其特征在于,所述业务解析单元设置于访问网络中,或设置于发起请求WLAN用户终端的归属网络中。
15、根据权利要求1或2所述的方法,其特征在于,所述业务认证授权单元为认证授权计费AAA服务器。
16、根据权利要求15所述的方法,其特征在于,所述业务认证授权单元为3GPP AAA服务器。
17、根据权利要求1或2所述的方法,其特征在于,所述授权处理选定业务的目的设备为3GPP标准规定的PDG设备、或为通用分组无线业务网关支持节点GGSN。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101037749A CN1323526C (zh) | 2003-10-29 | 2003-10-29 | 无线局域网中业务连接建立的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB2003101037749A CN1323526C (zh) | 2003-10-29 | 2003-10-29 | 无线局域网中业务连接建立的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1612539A true CN1612539A (zh) | 2005-05-04 |
| CN1323526C CN1323526C (zh) | 2007-06-27 |
Family
ID=34756787
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2003101037749A Expired - Fee Related CN1323526C (zh) | 2003-10-29 | 2003-10-29 | 无线局域网中业务连接建立的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN1323526C (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007082479A1 (fr) * | 2006-01-20 | 2007-07-26 | Huawei Technologies Co., Ltd. | Procédé et système destinés à établir un tunnel dans un wlan |
| CN100411340C (zh) * | 2005-07-27 | 2008-08-13 | 腾讯科技(深圳)有限公司 | 一种快速获取在线企业信息的方法及装置 |
| CN1992665B (zh) * | 2005-12-31 | 2010-10-13 | 华为技术有限公司 | 一种获取无线局域网接入网关信息的方法 |
| WO2011044810A1 (zh) * | 2009-10-15 | 2011-04-21 | 华为技术有限公司 | 实现多方通信的方法、装置及系统 |
| CN101316205B (zh) * | 2007-05-28 | 2011-08-10 | 华为技术有限公司 | 触发安全隧道建立方法及其装置 |
| WO2012016538A1 (en) * | 2010-08-04 | 2012-02-09 | Mediatek Inc. | Enhanced rach design for machine-type communications |
| CN104106303A (zh) * | 2012-01-09 | 2014-10-15 | 马维尔国际贸易有限公司 | 用于在无线网络中在设备之间建立隧道式直接链路设立(tdls)会话的方法和装置 |
| WO2017016473A1 (zh) * | 2015-07-30 | 2017-02-02 | 华为技术有限公司 | 用于进行隧道检测的方法、装置及系统 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110809270B (zh) * | 2019-09-23 | 2020-12-18 | 珠海格力电器股份有限公司 | 一种应用控制方法、系统以及可读介质 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100417075C (zh) * | 2001-09-10 | 2008-09-03 | 中兴通讯股份有限公司 | 接口测试方法 |
| US7453839B2 (en) * | 2001-12-21 | 2008-11-18 | Broadcom Corporation | Wireless local area network channel resource management |
| JP3771850B2 (ja) * | 2002-02-15 | 2006-04-26 | インターナショナル・ビジネス・マシーンズ・コーポレーション | サービス・ディスカバリを実行する方法、ネットワーク装置、及びコンピュータ・プログラム・エレメント |
-
2003
- 2003-10-29 CN CNB2003101037749A patent/CN1323526C/zh not_active Expired - Fee Related
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN100411340C (zh) * | 2005-07-27 | 2008-08-13 | 腾讯科技(深圳)有限公司 | 一种快速获取在线企业信息的方法及装置 |
| CN1992665B (zh) * | 2005-12-31 | 2010-10-13 | 华为技术有限公司 | 一种获取无线局域网接入网关信息的方法 |
| WO2007082479A1 (fr) * | 2006-01-20 | 2007-07-26 | Huawei Technologies Co., Ltd. | Procédé et système destinés à établir un tunnel dans un wlan |
| US8102828B2 (en) | 2006-01-20 | 2012-01-24 | Huawei Technologies Co., Ltd. | Method and system for establishing tunnel in WLAN |
| CN101316205B (zh) * | 2007-05-28 | 2011-08-10 | 华为技术有限公司 | 触发安全隧道建立方法及其装置 |
| WO2011044810A1 (zh) * | 2009-10-15 | 2011-04-21 | 华为技术有限公司 | 实现多方通信的方法、装置及系统 |
| CN102045317A (zh) * | 2009-10-15 | 2011-05-04 | 华为技术有限公司 | 实现多方通信的方法、装置及系统 |
| CN102045317B (zh) * | 2009-10-15 | 2016-06-08 | 华为技术有限公司 | 实现多方通信的方法、装置及系统 |
| WO2012016538A1 (en) * | 2010-08-04 | 2012-02-09 | Mediatek Inc. | Enhanced rach design for machine-type communications |
| CN102484765A (zh) * | 2010-08-04 | 2012-05-30 | 联发科技股份有限公司 | 机器类型通信的增强型随机接入信道设计 |
| CN104106303A (zh) * | 2012-01-09 | 2014-10-15 | 马维尔国际贸易有限公司 | 用于在无线网络中在设备之间建立隧道式直接链路设立(tdls)会话的方法和装置 |
| CN104106303B (zh) * | 2012-01-09 | 2018-07-06 | 马维尔国际贸易有限公司 | 用于在无线网络中在设备之间建立隧道式直接链路设立(tdls)会话的方法以及通信系统 |
| WO2017016473A1 (zh) * | 2015-07-30 | 2017-02-02 | 华为技术有限公司 | 用于进行隧道检测的方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1323526C (zh) | 2007-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100499536C (zh) | 无线局域网中选定业务的解析接入处理方法 | |
| RU2304856C2 (ru) | Способ и система, предназначенные для установления соединения через сеть доступа | |
| CN1266891C (zh) | 无线局域网中用户接入授权的方法 | |
| ES2432072T3 (es) | Un punto de acceso, un servidor y un sistema para distribuir un número ilimitado de redes inalámbricas IEEE 802.11 virtuales a través de una infraestructura heterogénea | |
| CN1310476C (zh) | 无线局域网用户建立会话连接的方法 | |
| CN1186906C (zh) | 无线局域网安全接入控制方法 | |
| US8776183B2 (en) | Networks | |
| EP2276281B1 (en) | Method, system and device for obtaining a trust type of a non-3gpp access system | |
| US20060195893A1 (en) | Apparatus and method for a single sign-on authentication through a non-trusted access network | |
| KR101613895B1 (ko) | 신뢰된 비 3gpp 액세스 네트워크를 통해 접속된 사용자 장비에 대하여 3gpp hplmn에서 서비스 전달 플랫폼에 의해 전달된 서비스들에 대한 액세스의 허용 | |
| CN1283062C (zh) | 无线局域网用户实现接入认证的方法 | |
| WO2015196396A1 (zh) | 建立网络连接的方法、网关及终端 | |
| CN1878103A (zh) | 全球微波接入互操作网接入互联网协议多媒体子域的方法 | |
| CN1271822C (zh) | 无线局域网中用户终端网络选择信息的交互处理方法 | |
| CN101064605A (zh) | 一种多主机网络的aaa架构及认证方法 | |
| CN101984724B (zh) | 一种融合网络中隧道建立的方法及系统 | |
| CN114070597B (zh) | 一种专网跨网认证方法及装置 | |
| CN1323526C (zh) | 无线局域网中业务连接建立的方法 | |
| CN1960300A (zh) | 一种互通无线局域网中接入注册的方法及系统 | |
| CN1274109C (zh) | 一种无线局域网用户终端重新选择运营网络的交互方法 | |
| Interworking | 1 Over All Description |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070627 Termination date: 20201029 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |