WO2004109980A1

WO2004109980A1 - Procede d'autorisation d'acces aux utilisateurs dans un reseau local sans fil (wlan)

Info

Publication number: WO2004109980A1
Application number: PCT/CN2004/000614
Authority: WO
Inventors: Wenlin Zhang
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2003-06-06
Filing date: 2004-06-07
Publication date: 2004-12-16
Also published as: EP1633083A4; US20090158442A1; RU2316903C2; CN1266891C; CN1553656A; US20060109826A1; JP2006526917A; US8077688B2; RU2005134506A; EP1633083A1; US7519036B2; CA2523416A1

Description

无线局域网中用户接入授权的方法技术领域

本发明涉及网絡中的授权认证技术，特别是指一种在无线局域网运营网络中对接入用户进行接入授权的方法。发明背景

由于用户对无线接入速率的要求越来越高，无线局域网（WLAN, Wireless Local Area Network )应运而生，它能在较小范围内提供高速的无线数据接入。无线局域网包括多种不同技术，目前应用较为广泛的一个技术标准是 IEEE 802.11b, 它采用 2.4GHz频段，最高数据传输速率可达 llMbps，使用该频段的还有 IEEE 802. llg和蓝牙（ Bluetooth )技术，其中， 802.11g最高数据传输速率可达 54M ps。其它新技术诸如 IEEE 802.11a和 ETSI BRAN Hiperlan2都使用 5GHz频段，最高传输速率也可达到 54Mbps。

尽管有多种不同的无线接入技术，大部分 WLAN都用来传输因特网协议 ( IP )分组数据包。对于一个无线 IP 网络，其采用的具体 WLAN 接入技术对于上层的 IP —般是透明的。其基本的结构都是利用接入点 ( AP )完成用户终端的无线接入，通过网络控制和连接设备连接组成 IP 传输网络。

随着 WLAN技术的兴起和发展， WLAN与各种无线移动通信网，诸如： GSM、码分多址（CDMA ) 系统、宽带码分多址（WCDMA ) 系统、时分双工-同步码分多址（TD-SCDMA ) 系统、 CDMA2000 系统的互通正成为当前研究的重点。在第三代合作伙伴计划（3GPP )标准化组织中，用户终端可以通过 WLAN的接入网络与因特网（ Internet )、企业内部互联网（Intranet )相连，还可以经由 WLAN接入网络与 3GPP系统的归属网络或 3GPP系统的访问网络连接，具体地说就是， WLAN用户终端在本地接入时，经由 WLAN接入网絡与 3GPP的归属网络相连；在漫游时，经由 WLAN接入网络与 3GPP的访问网络相连， 3GPP访问网絡中的部分实体分别与 3GPP归属网络中的相应实体互连，比如： 3GPP 访问网络中的 3GPP认证授权计费（AAA )代理和 3GPP归属网络中的 3GPP认证授权计费（AAA )服务器； 3GPP访问网络中的无线局域网接入关口（ WAG ) 与 3GPP 归属网络中的分组数据关口（ Packet Data Gateway )等等，如图 1所示。

参见图 1 所示，在 3GPP 系统中，主要包括归属签约用户服务器 ( !¾8 ) /归属位置寄存器（110 )、 3GPPAAA服务器、 3GPPAAA代理、 WAG, 分组数据关口、计费关口（CGw ) /计费信息收集系统（CCF )及在线计费系统（ OCS )。用户终端、 WLAN接入网络与 3GPP系统的所有实体共同构成了 3GPP-WLAN交互网络，此 3GPP-WLAN交互网络可作为一种无线局域网服务系统。其中， 3GPP AAA服务器负责对用户的鉴权、授权和计费，对 WLAN接入网络送来的计费信息收集并传送给计费系统；分组数据关口负责将用户数据从 WLAN接入网絡到 3GPP网络或其他分組网络的数据传输；计费系统主要接收和记录网络传来的用户计费信息，还包括 OCS根据在线计费用户的费用情况指示网络周期性的传送在线费用信息，并进行统计和控制。

一般情况下，当 WLAN用户终端接入 3GPP- WLAN网络时，该用户终端经由 WLAN接入网向 3GPP-WLAN网络中相应的接入鉴权单元发接入请求；接入鉴权单元收到请求后进行鉴权，如果鉴权通过，则简单的开放所有端口给该用户终端，这里的接入鉴权单元通常指 3GPP AAA服务器。但是，对于运营性盾的无线局域网来说，其组网结构要比图 1所示的筒化组网结构复杂的多。这里，所说的运营性无线局域网是指可运营、可管理的无线局域网，不仅能对用户进行认证授权和计费，还能为用户提供一种或一种以上的网络接入和基于网络的服务，比如：本地的酒店或机场内部的局域网、局域网络游戏等各种局域网络业务以及能够提供不同业务的局域网絡的接入； Internet接入；基于 3GPP分组网的业务。

由于运营性无线局域网能同时接入到不同的局域网，运营规则也比较复杂 , 可能根据用户的帐户情况、接入时刻情况进行不同的接入规则要求。如此，只采用传统的根据鉴权结果接入授权的方式对于运营来说是不可控、不便于运营的。发明内容

有鉴于此，本发明的主要目的在于提供一种无线局域网中用户接入授权的方法，能够控制不同的用户终端按不同的限制条件接入，进而增强无线局域网的接入控制能力，提高网络的运营效率。

为达到上述目的，本发明的技术方案是这样实现的：

一种无线局域网中用户接入授权的方法，该方法包括：

无线局域网（WLAN )用户终端接入 WLAN运营网络时，该 WLAN 运营网络在对该 WLAN用户终端鉴权的同时，根据影响该 WLAN用户终端接入的授权条件判断是否允许该 WLAN用户终端接入，如果允许，则才据所述的授权条件确定该 WLAN用户终端的接入规则；否则，通知 WLA 用户终端失败信息。

该方法进一步包括：将所确定的接入规则发送至一个或一个以上接入规则实施实体中，由各个接入规则实施实体对用户终端的接入进行制 P T/CN2004/000614 约。

上述方案中， WLAN用户终端的接入鉴权和授权过程是： WLAN用户终端向 WLAN运营网络发起接入请求后， WLAN运营网络先对当前接入的 WLAN用户终端进行合法性鉴权认证，如果鉴权通过，再根据授权条件判断是否允许该 WLAN用户终端接入；否则，向该 WLAN用户终端发送接入失败信息。

其中，所述影响 WLAN用户终端接入的授权条件包括：用户帐户情况、或用户签约信息、或运营规则，或三者的任意组合，这里，所述用户签约信息包含用户接入网络服务的名称列表。所述接入规则的确定由 WLAN运营网络中的认证授权计费（AAA )服务器完成。

所述接入规则为确定当前接入用户终端接入区域或路径的限制条件；或为确定当前接入用户终端接入时间的限制条件；或被确定为空，即对用户终端的接入没有任何限制条件。

所述接入规则实施实体为： AAA、充线局域网接入关口（WAG )、或接入控制器（AC )、或接入点（AP )、或用户终端。如果实施实体为用户终端，则该方法进一步包括：确定接入规则之后，网络将当前 WLAN 用户终端接入鉴权授权成功信息与需要通知用户终端的接入规则同时发送给用户终端。

上述方案中，所述 WLAN运营网络为 3GPP-WLAN交互网络，或为 3GPP2-WLAN交互网络，或其它具有用户签约的运营性 WLAN。

由上述方案可以看出，本发明的关键在于：当 WLAN用户终端接入无线局域网运营网络时，在网络对该用户终端进行接入、鉴权的同时，要根据该用户终端的授权条件判断是否允许该用户终端接入，并根据授权条件进一步对该用户终端定制相应的接入规则，然后在后续过程或后续服务申请中通过所确定的接入规则对用户可接入的范围、路径或时间 2004/000614 进行限制。

因此，本发明所提供的无线局域网中用户接入授权方法，对用户终端的接入控制除了合法性鉴权以外，还要判断其他授权条件以及根据授权条件制定的接入规则来进行接入的限制，以使不同 WLAN用户终端按照不同的授权条件接入 WLAN运营网络，且接入后受不同接入规则的制约，从而增强了无线局域网的接入授权能力；另外，在 WLAN用户终端向 WLAN运营网絡申请服务时， WLAN运营网络对相应用户终端按照接入规则限制进行处理，只允许在限定的范围、路径或时间内为当前接入用户终端提供服务，进而可提高网络的可运营能力、运营效率，能够为同一用户或不同用户提供不同接入范围、不同接入路径或不同接入时间的网絡接入，便于接入管理和提供差丹化服务。附图简要说明

图 1为 WLAN系统与 3GPP系统互通的网络结构示意图；

图 2为 WLAN运营网络的一种组网结构示意图；

图 3为本发明中 WLAN运营网络的接入鉴权授权流程示意图；图 4为本发明一实施例的 WLAN运营网絡组网结构示意图；图 5为图 4所示实施例的接入鉴权授权流程图。实施本发明的方式

为使本发明的目的、技术方案和优点表达得更加清楚明白，下面结合附图及具体实施例对本发明再作进一步详细的说明。

图 2为 WLAN运营网络的一种组网结构示意图，如图 2所示，图 2 中的 WLAN为运营性质的 WLAN, 在该 WLAN运营网络中， WLAN接入网不仅直接连接广域网，如 Internet、其它企业网、广域的专网等等；同时还可以直接或通过运营网接入关口接入到不同的网络，比如：本地酒店或机场内部的局域网、诸如 3GPP-PS的移动运营商网络等等，所述的移动运营商网络可以是广域网或局域网；运营网接入关口同时连接当前用户终端的归属网络、访问网络以及 WLAN的接入鉴权授权单元，如 3GPPAAA服务器。

对于 WL AN用户终端来说，当某个 WL AN用户终端需要通过 WL AN 运营网络获取某种服务时，根据差异化服务原则，该用户终端可能在签约时就已经被限制不能直接或通过关口接入某些网络，比如：不能接入 WLAN接入网所连接的机场内部局域网，只能接入 Internet;或者签约接入 Internet和某个专网；或者，动态地根据该用户终端的帐户信息、或运营商管理、或运营规则等条件，限定该 WLAN用户终端不能直接或通过接入关口，在某个时间范围或某些区域范围内接入某些特定网络。那么，在该用户终端接入 WLAN运营网络时，就应该根据影响授权的条件对该用户终端进行接入规则的限定，并把这些接入规则实施在网絡的相关交换或路由关口上，而不是仅仅依靠鉴权的结果就直接授权用户终端的接入。

在实际的应用过程中，本发明所述的接入授权并不是指移动网相关的业务授权，而是在业务授权之前进行的，用来决定用户终端是否被允许接入或在何种情况下允许接入某些网絡，至于当前接入的 WLAN用户终端是否能应用相关业务，还需要后续的业务授权过程进行判断处理。举个例子来说明接入授权与业务授权是不同的，比如：某个用户终端申请 Internet接入服务且当前网络中可提供两种 Internet接入服务，一个是通过 WLAN接入网直接接入 Internet, 另一个是通过 WLAN接入网，再通过 WAG接入 Internet,那么，如果对当前用户终端没有任何接入限制，该用户终端就可以任意选择或由业务授权来确定可采用哪种服务；但是， 04 000614 如果限制当前用户终端不能通过 WLAN接入网直接接入 Internet, 则该用户终端只能通过 WAG接入 Internet的方式，而该用户终端最终是否能被允许 Internet服务，还需要业务授权来决定。

本发明对用户终端的接入授权过程参见图 3所示，包括以下的步骤：步骤 301 302: 当 WLAN用户终端请求接入网络时，网络对该用户终端进行接入鉴权，具体说就是，网络中的接入鉴权授权单元通过接入控制单元开始用户终端与网络之间的合法性认证过程：用户终端通过接入控制单元向接入鉴权授权单元发送鉴权所需的认证信息，接入鉴权授权单元得到用户终端的相关信息后，在自身完成接入鉴权判定，如果鉴权成功，则进入下一步，否则通知用户终端接入鉴权失败，结束本接入授权流程。这里的接入控制单元可以是 WLAN接入网中的接入控制器 ( AC ), 或是运营网络的接入关口（WAG ), 或是两者的组合；接入鉴权授权单元可以是 3GPP AAA服务器。

步骤 303: 用户终端接入鉴权成功后，接入鉴权授权单元根据当前用户终端的授权条件判断是否允许该用户终端接入，如果不允许，则通知用户终端接入授权失败，结束本接入授权流程；否则，根据当前用户终端的授权条件进一步确定当前接入用户终端的接入规则 , 该接入规则是指授权用户终端接入时有哪些限制原则。所述的授权条件包括：用户帐户情况、或用户签约规则、或运营商运营规则、或前述三项的任意组合。所述的接入规则主要指接入网络范围或路径的限制，比如：可以接入的关口和网络连接区域，可以经由哪个网络设备接入；该规则还可以包括接入时间的限制。接入鉴权授权单元也可以直接确定接入规则为空，此种情况表示对该用户终端的接入不作任何特殊限制。

其中，所述的用户签约规则可以是用户签约的接入服务的名称列表，比如： Internet、本地游戏网络、星巴克连锁网络、 IPv6-Internet等等。 N2004/000614 步骤 304: 接入规则确定后，接入鉴权授权单元一方面通知用户终端和接入控制单元用户终端接入鉴权和授权成功，并在自身存储所确定的接入规则；另一方面则将所确定的接入规则通知到各个接入规则实施实体，这里的接入规则实施实体是指可以实施这些规则的一个或多个网络实体，比如： 3GPP-AAA、业务授权单元、 AC、 AP、 DHCP单元、运营网絡接入关口等等，接入鉴权授权单元还可以将所确定的部分或全部接入规则通知给用户终端，使用户了解或由用户终端能够辅助实施所述的接入规则。其中，向用户终端通知接入规则可与接入鉴权授权成功的通知一起发送。 - 步骤 305: 接入规则实施实体，比如图 3 中的业务授权单元，得到接入规则后存储该规则，并在用户终端经过自身申请 WLAN网络服务时实施该接入规则，如：业务授权单元可根据接入规则判断是否允许当前用户终端在该时段接入指定的网络范围并确定应该从哪儿接入。通常，业务授权单元和接入授权单元都在 AAA中。

具体接入规则的实施可通过过滤技术、 IP 分配方案、虚拟局域网 ( VLAN )、子网划分、虚拟私人网络（VPN )、用户层 2 隔离等现有方法实施。比如：接入控制单元可通过 VLAN技术或 IP分配方式，把当前请求服务的用户终端划分到一个符合接入规则的子网中；或给当前请求服务的用户终端分配一个独立子网的地址，使其只能在接入所在子网或 VLAN规定的范围。当由业务授权单元实施时，如果用户请求相关业务，则先根据该用户终端对应的接入规则判断其请求的业务是否符合要求，如果违反接入规则，则在业务授权判断之前就拒绝该请求。

本发明的接入授权过程是在用户接入 WLAN运营网络时进行的，一般在网络对当前接入用户终端完成身份合法性鉴权认证之后，如步骤 301-305 所描述的。当然也可以在用户鉴权认证过程之前，先判断当前接入用户终端的授权条件并确定接入规则 , 然后再做身份合法性鉴权认证，只是相对过程要复杂一些。通知用户终端时，一般在同一条消息中通知鉴权和授权结果，比如：通过 EAP协议的 EAP-success消息进行通知；也可以分别通知，比如：先通知鉴权结果再通知授权结果。本发明中所述的 WLAN运营网络是指 3GPP-WLA 交互网络,或 3GPP2-WLAN 交互网络，或其他有用户签约的运营性 WLAN网络。

图 4所示为本发明在实际应用中一实施例的组网结构图，如图 4所示，该 3GPP-WLAN交互运营网络中 , 3GPP-AAA为接入鉴权授权单元， WLAN接入部分主要由 AC和 AP构成， AC、或 WAG、或 AC和 WAG 为接入控制单元。 WLAN运营网絡可以通过 WLAN接入部分直接在一些热点地区，比如机场、宾馆等为 WLAN用户终端提供局域网服务 41、 Internet接入月艮务 42; WLAN运营网络还可以通过 WLAN接入部分和 WAG接入到 3GPP运营网中为 WLAN用户终端提供 3GPP网特定服务 43。该运营网络中还包括 HSS/HLR, 用于存储用户终端的各种信息，如签约信息。

再参见图 4, WLAN用户终端通过 WLAN运营网络能获取的 3GPP 网特定服务 43包括： 3GPP网络运营商通过 WAG提供的 Internet接入服务 431，该服务可提供比热点地区直接接入 Internet更宽的带宽，也就是说，在提供同样业务的情况下， Internet接入服务 431比 Internet接入服务 42速度更快，但收费可能更高。特色局域网服务 432，主要是指运营商自己的私有网络能为用户终端提供管理或游戏等内部交互的特色业务。基于移动网络分组域（PS )的移动业务，比如：漫游地网络 VPLMN 的各类业务 433; 归属地网络 HPLMN的各类业务 434, 这里所述的各类业务至少包括 IP多媒体子系统（ IMS-IP Multimedia Subsystem )、短消息 ( SMS )、多媒体短消息（MMS )、位置业务（LCS )等移动网络特色业 4 务。

实施例一：

基于图 4所示的组网结构，假定用户终端 A只签约了热点地区的本地 Internet服务，其用户签约信息的接入授权列表中只有 Internet服务，那么，如图 5所示，对用户终端 A的接入授权过程是：

步骤 501 502:用户终端 A请求接入图 4所示 3GPP-WLAN网络时，通过 AC发送接入请求和认证所需信息给 3GPP-AAA, 由 3GPP-AAA对用户终端 A的身份合法性进行鉴权，如果鉴权通过，继续对该用户终端 A的授权条件进行判断，执行步骤 503; 否则，向用户终端 A返回接入鉴权失败信息，结束。

步骤 503: 3GPP-AAA根据用户终端 A的所有授权条件，判断是否允许用户终端 A接入，如果不允许，贝 U 3GPP-AAA向用户终端 A返回接入授权失败信息，结束；如果允许，贝 3GPP-AAA根据用户终端 A的授权条件确定用户终端 A的接入规则，那么，根据用户终端 A的签约规则，用户终端 A的接入规则确定为 "仅接入热点本地的 Internet"。

步骤 504: 3GPP-AAA将接入鉴权和授权成功信息以及步驟 5( 确定的接入规则同时通知用户终端 A，并通知 WLAN接入网的 AC,由 AC 实施该接入规则。

步骤 505: AC收到所确定的接入规则后存储，当该用户终端 A请求 Internet服务时， AC根据预先存储的接入规则获知该用户终端只能在热点区域接入本地 Internet,再判断用户终端 A当前是否处于热点区域，如果是，直接通过 AC接入本地 Internet; 否则， AC通过 VLAN技术或 IP 分配方式把用户终端 A划分到一个只能接入热点本地 Internet的子网，或给用户终端 A 分配一个独立子网的地址，该子网只允许接入本地 internet, 从而使用户终端 A只能接入本地 Internets 实施例二：

基于图 4所示的组网结构，假定对用户终端 B只允许通过 WAG接入，不允许进行热点本地接入，如图 5所示，用户终端 B的接入授权过程与实施例一中用户终端 A的接入授权过程基本相同，只是在步骤 503 中，用户终端 B的接入规则确定为 "允许通过 WAG接入，不允许进行热点本地接入，，。这样，在步骤 505中， AC会控制并分配用户终端 B只接入 WAG, 而不允许用户终端 B 连接其它网络。当用户终端 B 申请 Internet服务时，就不能使用 Internet接入服务 42, 而只能使用 Internet 接入服务 431 , 即：只能通过 WAG接入 3GPP运营网，使用 3GPP运营网提供的 Internet接入月良务。实施例三：

基于图 4所示的组网结构，假定对用户终端 C不允许接入漫游地移动业务网络，如图 5所示，用户终端 C的接入授权过程与实施例一中用户终端 A的接入授权过程基本相同，只是在步骤 503中，用户终端 C的接入规则确定为 "漫游地业务网络不能接入，，。基于该接入规则，用户终端 C拥有较多地接入权利，根据其业务请求可以接入 LAN接入网连接的多种不同网络，只是漫游地移动网絡不允许接入。该接入规则可以在 WAG 中进行实施，使用户不能接入漫游地业务网络；也可以在 3GPP-AAA中直接实施。比如：当用户终端 C请求相关业务时，先根据用户终端 C对应的接入规则，判断其请求的业务接入是否符合接入规则，如果不符合，即用户终端 C当前处于漫游地网络中且请求的是该漫游网络中提供的业务，则在业务授权判断之前就拒绝该请求，否则，继续进行业务授权判断。

以上所述，仅为本发明的较佳实施例而已，并非用于限制本发明的保护范围。

Claims

权利要求书

1、一种无线局域网中用户接入授权的 ^法，其特征在于该方法包括：无线局域网（ WLAN )用户终端接入 WLAN运营网络时，该 WLAN 运营网络在对该 WLAN用户终端鉴权的同时，根据影响该 WLAN用户终端接入的授权条件判断是否允许该 WLAN用户终端接入，如果允许，则根据所述的授权条件确定该 WLAN用户终端的接入规则；否则，通知 WLAN用户终端失败信息。

2、据权利要求 1所述的方法，其特征在于，该方法进一步包括：将所确定的接入规则发送至一个或一个以上接入规则实施实体中实施对用户终端接入的制约。

3、才艮据权利要求 1或 2所述的方法，其特征在于，该方法进一步包括： WLAN用户终端向 WLAN运营网络发起接入请求后， WLAN运营网络先对当前接入的 WLAN用户终端进行合法性鉴权认证，如果鉴权通过，再根据授权条件判断是否允许该 WLAN用户终端接入；否则，向该 WLAN用户终端发送接入失败信息。

4、根据权利要求 1所述的方法，其特征在于，所述影响 WLAN用户终端接入的授权条件包括：用户帐户情况、或用户签约信息、或运营规则，或三者的任意组合。

5、根据权利要求 1所述的方法，其特征在于，所述接入规则的确定由 WLAN运营网络中的认证授权计费（AAA )服务器完成。

6、根据权利要求 1所述的方法，其特征在于，所述接入规则为确定当前接入用户终端接入区域或路径的限制条件。

7、根据权利要求 1所述的方法，其特征在于，所述接入规则为确定当前接入用户终端接入时间的限制条件。

8、根据权利要求 1所述的方法，其特征在于，所述接入规则被确定为空。

9、根据权利要求 2所述的方法，其特征在于，所述接入规则实施实体为： AAA、无线局域网接入关口（WAG )、或接入控制器（AC )、或接入点（AP )、或用户终端。

10、根据权利要求 9所述的方法，其特征在于，该方法进一步包括：确定接入规则之后，网络将当前 WLAN用户终端接入鉴权授权成功信息与需要通知用户终端的接入规则同时发送给 WLAN用户终端。

11、根据权利要求 1所述的方法，其特征在于，所述 WLAN运营网络为 3GPP-WLAN交互网络，或为 3GPP2-WLAN交互网络。

12、根据权利要求 4所述的方法，其特征在于，所述用户签约信息包含用户接入网络服务的名称列表。