WO2009074072A1

WO2009074072A1 - Procédé, système de réseau et équipement de réseau de conversion de stratégie dynamique

Info

Publication number: WO2009074072A1
Application number: PCT/CN2008/073234
Authority: WO
Inventors: Weilong Ouyang
Original assignee: Huawei Technologies Co., Ltd.
Priority date: 2007-11-30
Filing date: 2008-11-28
Publication date: 2009-06-18
Also published as: CN101453527A; CN101453527B

Description

一种动态策略转换的方法、网络系统及网络设备

本申请要求于 2008年 11月 30 日提交中国专利局、申请号为 200710077483.5、发明名称为"一种动态策略转换的方法、网络系统及网络设备"的中国专利申请的优先权，其全部内容通过引用结合在本申请中。

技术领域

本发明网络通信技术领域，尤其涉及一种提供动态策略转换的方法、网络系统及网络设备。

背景技术

为不同的用户提供不同的业务，传统主流的电信运营商建了不同的网络来承载不同的业务，例如公共交换电话网（PSTN )承载电话业务、数字数据网 ( DDN )承载企业专线等。随着电信竟争不断加大，电信运营商试图将不同网络融合到一张网络上承载多业务，从而降低运营成本提高盈利能力。越来越多的业务不断在互联网协议（Internet Protocol, IP )上出现并不断提升性能，例如 IP承载语音（ Voice over IP ), IP承载视频（ Video over IP ), IP承载电视 ( TV over IP ), 逐步具备电信业务所属的质量和性能，于是，电信运营商选择 IP承载网作为融合网络的承载技术，其中电信运营商关注用户认证和计费。在 DSL论坛正在讨论如何让业务运营商从点到点协议（Point to Point Protocol, PPP )拨号接入方式演进到一种通过统一的传送方式来承载签约用户的所有 IP 业务的接入方式，并将此种接入方式称为"用户会话 ( Subscriber Session ) ", 包含两种基本的会话， IP会话（session )和点到点协议会话（PPP Session )。

随着开放访问（Open Access )政策逐步被运营商所接受，越来越多的宽带网络运营商通过批发（Wholesale ) 方式开放给其他运营商，例如 BT OpenReach₀ 目前 wholesale有一种主要的方式是比特流模（ BitStream ), 典型组网如图 1所示。如图 2所示，流程步骤如下：

A1 , 用户使用以太网点到点协议呼叫客户端（ PPPoE Client )发起以太网点到点协议 ( Point to Point Protocol over Ethernet, PPPoE )呼叫，与网络访问服务器（Network Access Server, NAS )协商并建立 PPPoE会话；

A2 , 在 PPPoE会话建立成功后， PPPoE客户端发起点到点协议认证过程 ( PPP Authentication ); NAS从 PPP认证报文中提取用户的帐号和密码等认证信息向认证服务器（ Radius Server ), 代理用户发起认证请求；

A3 , Radius Server根据用户帐号和密码等信息确认用户是合法的并且是虚拟拨号专网用户（VIRTUAL PRIVATE DIAL NETWORK, VPDN ), 在认证响应报文中携带用户策略以及第二层隧道协议（Layer 2 Tunneling Protocol, L2TP ) 的隧道参数（VPDN服务器的 IP地址、 L2TP会话协商所需的参数等信息）；

A4 , NAS确认用户是 VPDN用户，根据认证响应报文的 L2TP隧道参数，向 VPDN服务器协商并建立 L2TP 隧道以及会话；在确认 L2TP会话建立成功后，转发发用户的 PPP报文到 L2TP会话中；

用户和 VPDN服务器启动 PPP LCP (链路配置协议 )/NCP (网络配置协议 ) 过程后，可选支持二次认证如图中 A5和 A6。

A7 , 用户获得 PPP链路参数和 IP地址等信息， PPP会话建立，也就是 BitStream会话建立成功。

同时，为了保证 IP业务的 QoS , 电信和互联网业务和协议的先进网络 ( TELECOMMUNICATIONS AND INTERNET CONVERGED SERVICES AND PROTOCOLS FOR ADVANCE NETWORKING , TISPAN )和下一代网络 (NGN)资源接纳控制子系统（ Resource Admission Control Subsystem, RACS ) 架构（简称 NGN架构）提供了一种端到端的 QoS保证机制，如图 3所示。在业务层（AF )和传送层之间加入了一个传送控制层，即 RACS , 由业务策略决策功能体（ SERVICE POLICY DECISION FUNCTION, SPDF )和接入-资源接纳控制功能体（ACCESS-RESOURCE ADMISSION CONTROL FUNCTION, A-RACF )组成，业务层通过接口 Gq，向 RACS请求用户使用业务的资源及控制策略， RACS将这些资源请求及控制策略下发到对应的 IP Edge和 Border Node 进行资源分配和策略执行。其中， Access Node是边缘接入节点； IP Edge是接入网的边缘节点，与 IP传送网相连； NASS是网络连接管理子系统，仅与 IP Edge 有数据和控制接口，负责对接入网的用户进行认证、授权和地址分配等处理，通过接口 e4通知 RACS的用户的属性和 IP地址。

NGN架构虽然解决端到端的 QOS问题，但是 NGN架构需要预先配置好批发运营商的 A-RACF和零售运营商的 A-RACF的拓朴和通信参数，批发运营商的 A-RACF和零售运营商的 A-RACF之间缺少动态的通信机制，使得工作量大，不够灵活，而且无法适应未来游牧的需求。

发明内容

鉴于上述现有技术所存在的问题，本发明实施例的目的是提供一种动态策略代理的方法、网络系统和网络设备，从而为批发运营商的 A-RACF和零售运营商的 A-RACF之间的通信提供动态的通信机制，减少工作量，进而以适应未来游牧的需求。

本发明实施例的目的是通过以下技术方案实现：

本发明实施例提供的一种动态策略转换的方法，应用于至少两个运营商系统之间，该方法包括：第一运营商系统与第二运营商系统进行认证以获得通信参数,所述通信参数包括第二运营商系统的策略控制器的通信接口参数和用户的隧道信息；第一运营商系统根据第二运营商系统的策略控制器的通信接口参数和用户的隧道信息与所述第二运营商系统协商第一运营商系统的策略控制器和第二运营商系统的策略控制器两者之间的通信关系；第一运营商系统将来自第二运营商系统的策略消息转换为第一运营商系统本地的策略消息，以进行用户会话，其中，所述将来自第二运营商系统的策略消息转换为第一运营商系统本地的策略的处理是基于协商确定的第一运营商系统的策略控制器和第二运营商系统的策略控制器之间的通信关系。

本发明实施例提供的一种网络设备，包括：通信参数协商单元，用于从认证服务器获得业务关联的运营商系统的通信参数，其中，所述认证服务器与业务关联的运营商系统进行认证获得所述通信参数，所述通信参数包括与业务关联的运营商系统的策略控制器的通信接口参数和用户的隧道信息；通信关系协商单元，用于根据所述策略控制器的通信接口参数和用户的隧道信息确定与所述业务关联的运营商系统的通信关系；策略转换单元，用于根据所述通信关系协商单元确定的通信关系，将来自于业务关联的运营商系统的策略消息转换为本地的策略消息。

本发明实施例提供的一种认证服务器，包括： AAA认证代理，用于通过 AAA代理协议与业务关联的运营商系统进行认证，以获得所述业务关联的运营商系统的通信参数，所述通信参数包括：用户的隧道信息和所述业务关联的运营商系统的策略控制器的通信接口参数；通信参数发送单元，用于将所述 AAA认证代理获得的认证通信参数下发给所述认证服务器所属运营商系统的策略控制器，以使所述认证服务器所属运营商系统的策略控制器基于所述通信参数与所述业务关联的运营商系统的策略控制器协商两策略控制之间的通信关系。

本发明实施例提供的一种网络系统，包括：第一协商单元、第二协商单元、第三协商单元、第四协商单元、第一策略转换单元和第二策略转换单元，其中，第一协商单元和第二协商单元协商接入网络与服务网络之间的通信参数，所述通信参数包括第二运营商系统的策略控制器的通信接口参数和用户的隧道信息；第三协商单元与第四协商单元根据所述通信参数协商接入网络与服务网络之间的通信关系；第一策略转换单元，用于根据所述通信关系，将来自服务网络的策略消息转换为本地网络内部的策略消息；第二策略转换单元，用于根据所述通信关系，将来自接入网络的策略消息转换为本地网络内部的策略。

由上述本发明实施例提供的技术方案可以看出，本发明实施例提供了一种动态策略代理的方法、网络系统和网络设备，可以自动地建立批发和零售运营商 A-RACF之间策略通信接口，从而为批发运营商的 A-RACF和零售运营商的 A-RACF之间的通信提供动态的通信机制，减少工作量，更加灵活，进而以适应未来的游牧需求。

附图说明

图 1为现有技术中比特流模式（BitStream ) 的组网示意图；

图 2为现有技术中比特流模式（BitStream ) 的信令流程示意图；

图 3为现有技术中 NGN架构下策略代理的模型示意图；

图 4为本发明实施例二的组网示意图；

图 5为本发明实施例二的流程示意图；

图 6为本发明实施例三的流程示意图；

图 7A为本发明实施例四的策略控制器组成示意图；

图 7B为本发明实施例四的另一策略控制器组成示意图；

图 8为本发明实施例六的网络系统架构示意图；

图 9为本发明实施例的认证服务器的组成示意图。具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合附图对本发明实施方式作进一步地详细描述。

下面结合附图对本发明实施例所述方法、设备及系统进行详细阐述。实施例一

本实施例提供的动态策略转换的方法，应用于接入网络和服务网络，本发明所指的 "接入网络"和"服务网络"可以是分别指批发运营商的网络和零售运营商的网络，本发明称接入网络和服务网络为业务互为关联的网络。本实施例的方法包括以下步骤：

接入网络与服务网络进行交互，协商确定通信参数；

接入网络获取请求会话用户的网络参数；

根据所述通信参数和用户的网络参数，接入网络与服务网络协商确定两者之间的通信关系；

接入网络与服务网络根据所述通信关系，将来自对方的策略消息转换为本地网络内部的策略消息，以进行会话。

"接入网络与服务网络协商确定两者之间的通信关系 "可以具体是：协商确定接入网络策略控制器与服务网络策略控制器的主从关系以及接口。

"接入网络与服务网络协商确定通信参数，，的步骤具体可以是：

接入网络通过认证协议向服务网络发送通信参数，通过认证协议接收来自服务网络的通信参数。

"接入网络获取请求会话的用户的网络参数"具体可以是：接入网络通过侦听或者其他手段获取请求会话的用户的网络参数；网络参数的类型可以是包括： IP地址和 /或 MAC地址等。

实施例二

本实施例提供了基于实施例一的场景具体化的实施例。

本实施例基于 PPP的会话模式。

用户釆用 PPP发起 BitStream会话，批发（ Wholesale )运营商系统和零售 ( Retail )运营商系统都釆用 TISPAN的 NGN架构管理网络 QOS的组网和流程如下，其中， AAA服务器内置 TISPAN架构下网络接入配置功能体（ Network Access Control Function, NACF )、 UACF和会话位置功能体 ( Connectionivity session Location and repository Function, CLF )。如图 4所示 , 本实施例提供的系统包括：批发运营商系统和零售运营商系统，其中，批发运营商系统包括： A-RACF、计费、鉴权、认证服务器（AAA服务器）、宽带接入服务器 ( BROADBAND REMOTE ACCESS SERVERBRAS, BRAS )、 L2TP接入集中器（L2TP ACCESS CONCENTRATOR, LAC )和接入节点（如 DSLAM )等实体；零售运营商系统包括： AAA, A-RACF, SPDF和宽带网络网关（ Broadband Network Gateway , BNG )等实体，其中， BNG也可以为 L2TP网络服务器（ L2TP Network Server, LNS )。可以是由批发运营商系统的 AAA^务器和零售运营商系统的 AAA服务器协商批发运营商系统和零售运营商系统的通信参数，包括批发运营商系统和零售运营商系统的 A-RACF的通信信息，以及用户的隧道信息等。可以是由批发运营商系统的 A-RACF与零售运营商系统的 A-RACF交互，根据批发运营商系统和零售运营商系统的通信参数，协商批发运营商系统和零售运营商系统之间的通信关系。通信关系协商好之后，批发运营商系统的 A-RACF与零售运营商系统的 A-RACF就可以互为策略代理，将来自对方的策略请求转化为本系统内部的策略请求。当然，也可以只应用单向的策略代理，可以视实际需求而定，比如批发运营商系统的 A-RACF作为零售运营商系统的 A-RACF的策略代理，将从零售运营商系统的 A-RACF的策略请求转化为批发运营商系统内部的策略请求。

如图 5所示，是对应本实施例系统的方法的流程示意图，包括如下步骤：

B 1、批发运营商系统的 BRAS检测到用户的 PPP呼叫，然后与批发运营商系统的 AAA服务器通信执行认证处理，其中，用户经由家庭网关或路由网关与批发运营商系统的 BRAS ( LAC )之间进行 PPP呼叫，家庭网关或路由网关可以包括 PPP客户端；

B2、批发运营商系统的 AAA服务器在认证过程中检查用户是属于零售运营商的，启动其上的 AAA代理（ AAA Proxy )以便远程接入到零售运营商系统的 AAA服务器进行认证；

B3、批发运营商系统的 AAA服务器通过其上的 AAA代理与零售运营商系统的 AAA服务器进行认证，如果认证通过，即零售运营商系统的 AAA服务器确认用户可接入，批发运营商系统的 AAA服务器可以通过 AAA代理协议（如 Radius或 Diameter )被告知用户认证通过、 4受权信息、用户的隧道信息（ VPN ID、 LNS IP地址、密码、转发模式等）以及零售运营商系统的 A-RACF的通信信息 ( IP地址、 FQDN、密码、运营商系统的签约协议等信息），其中，图 5中的 A-RACF的通信信息为 A-RACF的通信接口参数；

B4、批发运营商系统的 BRAS根据认证结果以及用户的隧道信息，与零售运营商系统的 BNG ( LNS ) 建立隧道并将用户 PPP报文通过隧道传到 BNG ( LNS ) ；

B5、零售运营商系统的 BNG ( LNS )可选对用户进行二次认证，如果成功，则完成与用户 PPP客户端协商和地址分配过程；

B6、 PPP客户端与零售运营商的 AAA^务器之间执行 PPP会话建立处理过程；

B7,在 PPP会话建立成功后，零售运营商系统的 AAA服务器向零售运营商系统的 A-RACF推送用户属性、批发运营商系统的 BRAS所属的 A-RACF的通信信息以及用户的隧道信息（ VPN ID , LAC IP地址等 ) ；

批发运营商系统的 BRAS 对通过隧道传送的 PPP会话进行侦听（如 PPPoE snooping, 侦听 PPP协议消息），确认会话建立成功后，根据侦听的 PPP会话的用户 IP地址和 PPPoE Session Id向等参数向批发运营商系统的 AAA服务器上报用户上线成功；

B8、批发运营商系统的 AAA服务器向批发运营商系统的 A-RACF推送用户属性、零售运营商系统的 BNG ( LNS )所属的 A-RACF的通信信息和用户的隧道信息（VPN ID、 LNS IP地址等）；

B9、批发运营商系统的 A-RACF根据通信信息和用户的隧道信息等通信参数向零售运营商系统的 A-RACF协商两者之间的通信关系，这样批发运营商系统的 A-RACF根据协商确定的通信关系，如作为零售运营商系统的 A-RACF的策略代理，将从零售运营商系统的 A-RACF的策略请求转化为批发运营商系统内部的策略请求。所述通信关系包括批发运营商系统的 A-RACF与零售运营商系统的 A-RACF之间的通信关系包括主从关系以及接口，该主从关系以及接口可以是下面任一方式或组合： (1) .批发运营商系统的 A-RACF作为零售运营商系统的 A-RACF的策略执行单元 (RCEF), 釆用 Re接口；

(2) .批发运营商系统的 A-RACF作为零售运营商系统的 A-RACF的级联接口，釆用 Rr接口；

(3).批发运营商系统的 A-RACF作为零售运营商系统的 A-RACF的从节点，釆用 Rq接口。

B10、当用户使用某个业务（如 VOD )触发批发运营商系统的 SPDF向零售运营商系统请求分配资源时，零售运营商系统的 A-RACF转发该资源分配请求消息给批发运营商系统的 A-RACF;

Bl 1、批发运营商系统的 A - RACF根据资源分配请求消息中的用户 IP地址和 VPN ID找到对应的用户属性、用户所属零售运营商系统与批发运营商系统所签约的协议及用户会话所在的 BRAS, 从而进行批发运营商系统本地的资源接纳控制，如果成功，向零售运营商系统的 A - RACF反馈资源分配成功消息；同时根据用户的 IP地址和 VPN ID以及 BRAS的 IP地址将用户会话的资源映射到 PPPoE session Id所标识的 PPP会话的资源；

B 12、零售运营商系统的 A-RACF在收到批发运营商系统的 A _ RACF的成功消息之后，进行零售运营商系统本地的资源接纳控制，如果成功则通知零售运营商系统的 SPDF ,这样零售运营商系统的 SPDF通知 VOD服务器可向用户推送节目数据了。

实施例三

本实施例提供了基于实施例一的场景具体化的又一实施例。本实施例基于 IP的会话模式。

本实施例提供的系统组网图同实施例一，如图 4所示。

如图 6所示，是对应本实施例系统的方法的流程示意图，所包括的步骤如下：

C1、批发运营商系统的 BRAS检测到用户发起 IP会话建立的动态主机配置协议 ( Dynamic Host Configuration Protocol, DHCP )呼叫，然后向批发运营商系统的 AAA服务器发起认证，其中用户经由家庭网关或路由网关与批发运营商系统的 BRAS ( LAC )之间进行 DHCP协议呼叫，家庭网关或路由网关上可以包含 DHCP客户端；

C2、批发运营商系统的 AAA服务器在认证过程中检查用户是属于零售运营商的，启动其上 AAA代理（AAA Proxy )以便远程接入到零售运营商的 AAA 服务器进行认证；

C3、批发运营商系统的 AAA服务器与零售运营商的 AAA服务器交互以进行认证，如果认证通过，那么零售运营商系统的 AAA服务器确认用户可接入，并通过 AAA代理协议（如 Radius或 Diameter )通知批发运营商系统的 AAA^务器，通知的内容包括如下一种或多种组合：用户认证通过以及授权信息、用户的隧道信息（VPN ID、 LNS IP地址、密码、转发模式等）以及零售运营商系统的 A-RACF的通信信息（IP地址、 FQDN、密码运营商系统的签约协议等信息），图 6中 A-RACF的通信信息为 A-RACF的通信接口参数；

C4、批发运营商系统的 BRAS根据认证结果以及用户的隧道信息，与零售运营商系统的 BNG ( LNS )建立隧道并将用户 DHCP报文通过隧道传送到 BNG ( LNS ) ；

C5、零售运营商系统的 BNG ( LNS )可选对用户进行二次认证，如果成功，则完成与用户 DHCP客户端协商和地址分配过程；

C6、 DHCP客户端与零售运营商系统的 AAA服务器之间进行基于 DHCP协议的 IP会话建立处理过程；

C7、在 IP会话建立成功后，零售运营商系统的 AAA服务器向零售运营商系统 A-RACF推送用户属性、批发运营商系统的 BRAS所属的 A-RACF的通信信息以及用户的隧道信息（VPN ID, LAC IP地址等）；

批发运营商系统的 BRAS 对通过隧道传送的 IP会话进行侦听（如 DHCP snooping, 侦听 DHCP协议消息和 ARP等 IP报文），确认会话建立成功后，根据侦听的 IP会话的用户 IP地址和 MAC地址向批发运营商系统的 AAA服务器上报用户上线成功；

C8、批发运营商系统的 AAA服务器向批发运营商系统的 A-RACF推送用户属性、零售运营商系统的 BNG ( LNS )所属的 A-RACF的通信信息和用户的隧道信息（VPN ID、 LNS IP地址等）；

C9、批发运营商系统的 A-RACF根据通信信息和用户的隧道信息等通信参数向零售运营商系统的 A-RACF协商两者之间的通信关系，这样批发运营商系统的 A-RACF就可以根据协商确定的通信关系，如作为零售运营商系统的 A-RACF的策略代理，将从零售运营商系统的 A-RACF的策略请求转化为批发运营商系统内部的策略请求。所述通信关系包括批发运营商系统的 A-RACF与零售运营商系统的 A-RACF之间的通信关系包括主从关系以及接口，该主从关系以及接口可以是下面任一方式或组合：

(1) .批发运营商系统的 A-RACF作为零售运营商系统的 A-RACF的 RCEF, 釆用 Re接口；

(3) .批发运营商系统的 A-RACF作为零售运营商系统的 A-RACF的从节点，釆用 Rq接口。

C10、当用户使用某个业务（如 VOD )触发 SPDF向零售运营商系统请求分配资源时，零售运营商系统的 A-RACF转发该请求给批发运营商系统的 A-RACF;

CI 1、批发运营商系统的 A - RACF根据请求消息中的用户 IP地址和 VPN ID找到对应的用户属性获得用户所属运营商系统与批发运营商系统所签约的协议及用户会话所在的 BRAS,从而进行批发运营商系统本地的资源接纳控制，如果成功，向零售运营商系统的 A - RACF反馈资源分配成功；同时根据用户的 IP地址和 VPN ID以及 BRAS的 IP地址将用户会话的资源映射到用户 MAC所标识的 IP会话的资源；

C 12、零售运营商系统的 A-RACF在收到批发运营商系统的 A _ RACF的成功消息之后，进行零售运营商系统本地的资源接纳控制，如果成功则通知零售运营商系统的 SPDF ,这样零售运营商系统的 SPDF通知 VOD服务器可向用户推送节目数据了.

当然，本发明实施例所应用的会话场景不仅限于实施例二的 PPP模式和实施例三 IP模式，还可以是其它方式的会话场景。

实施例四

如图 7A所示，本实施例提供一种网络设备，具体可以是具有策略控制功能的网络设备，本发明不妨将其命名为"策略控制器"。该策略控制器包括：通信参数协商单元 702 , 用于与业务关联的运营商系统进行交互，协商确定通信参数，所述通信参数包括与业务关联的运营商系统的策略控制器的通信接口参数和用户的隧道信息；

通信关系协商单元 704 , 用于根据通信参数协商单元确定的通信参数中的与业务关联的运营商系统的策略控制器的通信接口参数和用户的隧道信息与业务关联的运营商系统协商确定通信关系；

策略转换单元 706 , 用于根据通信关系协商单元确定的通信关系，将来自于业务关联的运营商系统的策略消息转换为本地运营商系统内部的策略消息，以进行会话。

具体地，通信参数协商单元可以是包括：

发送单元 702-1 , 用于通过认证协议向业务关联的运营商系统发送通信参数；

接收单元 702-3 , 用于通过认证协议接收来自所述业务关联的运营商系统的通信参数。

具体地，策略转换单元可以是包括：

网络参数获取单元 706-1 , 用于获取会话用户的网络参数；

确定单元 706-2 , 根据所述通信参数和会话用户的网络参数，协商确定接入网络的策略控制器与服务网络的策略控制器的主从关系以及接口。

更具体地，该策略控制器可以是实施例二中网络架构中的 A-RACF功能实体，或者是同 A-RACF功能实体集成的功能体，其实现可以是灵活釆用多种方式。

在本发明的另一策略控制器的实施例中，如图 7B所示，该策略控制器并不直接和业务关联的运营商系统进行交互，协商确定通信参数，即不具备图 7A 中的通信参数协商单元 702 , 相应的，在本实施例的策略控制器具有通信参数获取单元 708,通信参数获取单元 708和认证服务器交互，获得通信参数，其中，图 7A中的通信参数协商单元 702的功能由认证服务器完成，具体参见图 5、 6对应的方法。实施例五

本实施例提供一种网络设备，具体可以具有侦听功能的"宽带接入设备"。该宽带接入设备可以包括：侦听单元，用于侦听用户会话，获取用户网络参数，用以供接入网络与服务网络协商两者之间的通信关系。

所述网络参数的类型可以是包括： IP地址和 /或 MAC地址等。

实施例六

如图 8所示，本实施例基于实施例一和实施例二提供一种抽象层面的网络系统架构，可以是包括：

第一协商单元 802、第二协商单元 804、第三协商单元 806、第四协商单元 808、第一策略转换单元 810和第二策略转换单元 812, 其中，

第一协商单元 802和第二协商单元 804协商接入网络与服务网络之间的通信参数；

第三协商单元 806与第四协商单元 808根据所述通信参数协商接入网络与服务网络之间的通信关系；

第一策略转换单元 810 , 用于根据所述通信关系，将来自服务网络的策略消息转换为本地网络内部的策略；

第二策略转换单元 812 , 用于根据所述通信关系，将来自接入网络的策略消息转换为本地网络内部的策略。

该网络系统可以是：

第一协商单元、第三协商单元和第一策略转换单元部署在接入网络（对应批发运营商系统）；第二协商单元、第四协商单元和第二策略转换单元部署在服务网络（对应零售运营商系统）。

本发明实施例还提供了一种认证服务器，如图 9所示，包括：

AAA认证代理 902 ,用于通过 AAA代理协议与业务关联的运营商系统进行认证，以获得所述业务关联的运营商系统的通信参数，所述通信参数包括：用户的隧道信息和所述业务关联的运营商系统的策略控制器的通信接口参数；通信参数发送单元 904, 用于将所述 AAA认证代理获得的认证通信参数下发给所述认证服务器所属运营商系统的策略控制器，以使所述认证服务器所属运营商系统的策略控制器基于所述通信参数与所述业务关联的运营商系统的策略控制器协商两策略控制之间的通信关系。

其中，认证服务器还可以包括接入配置功能体 906、会话位置功能体 908 等功能模块，参考 TISPAN的 NGN架构。

通过实施本发明实施例，可以自动地建立批发运营商系统和零售运营商系统的 A-RACF之间策略通信接口，从而为批发运营商系统的 A-RACF和零售运营商系统的 A-RACF之间的通信提供动态的通信机制，减少工作量，更加灵活，进而以适应未来的游牧需求。

以上所述，仅为本发明实施例较佳的具体实施方式，但本发明实施例的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明实施例揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明实施例的保护范围之内。因此，本发明实施例的保护范围应该以权利要求的保护范围为准。

Claims

OP080416 WO 2009/074072 PCT/CN2008/073234 - 14- 权利要求

1、一种动态策略转换的方法，其特征在于，应用于至少两个运营商系统之间，该方法包括：

第一运营商系统与第二运营商系统进行认证以获得通信参数，所述通信参数包括第二运营商系统的策略控制器的通信接口参数和用户的隧道信息；

第一运营商系统根据第二运营商系统的策略控制器的通信接口参数和用户的隧道信息与所述第二运营商系统协商第一运营商系统的策略控制器和第二运营商系统的策略控制器两者之间的通信关系；

第一运营商系统将来自第二运营商系统的策略消息转换为第一运营商系统本地的策略消息，以进行用户会话，其中，所述将来自第二运营商系统的策略消息转换为第一运营商系统本地的策略的处理是基于协商确定的第一运营商系统的策略控制器和第二运营商系统的策略控制器之间的通信关系。

2、根据权利要求 1所述的方法，其特征在于，所述策略控制器为接入-资源接纳控制功能 A-RACF。

3、根据权利要求 2所述的方法，其特征在于，所述方法还包括：所述通信关系包括第一运营商系统和第二运营商系统之间的从属关系和接口，所述从属关系和接口包括如下一种或多种组合：

( 1 )第一运营商系统的 A-RACF作为第二运营商系统的 A-RACF的 RCEF, 釆用 Re接口；

( 2 )第一运营商系统的 A-RACF作为第二运营商系统的 A-RACF的级联接口，釆用 Rr接口；

( 3 ) 第一运营商系统的 A-RACF作为第二运营商系统的 A-RACF的从节点，釆用 Rq接口。

4、根据权利要求 1所述的方法，其特征在于，所述来自第二运营商系统的策略消息为资源分配请求消息，所述请求消息中包括用户 IP地址和虚拟专用网络标识 VPN ID;

所述第一运营商系统的策略控制器根据所述请求消息中的用户 IP地址和虚拟专用网络标识 VPN ID进行所述第一运营商系统本地的资源接纳控制，如果成功，向第二运营商系统反馈资源分配成功消息。 OP080416

WO 2009/074072 PCT/CN2008/073234

- 15 -

5、根据权利要求 2所述的方法，其特征在于，所述第一运营商系统对应与用户连接的接入网，所述第二运营商系统对应服务网络，所述服务网络通过接入网络为用户提供服务。

6、根据权利要求 1至 5任一项所述的方法，其特征在于，所述用户会话的类型包括：点到点协议会话或网际协议会话。

7、一种网络设备，其特征在于，包括：

通信参数协商单元，用于从认证服务器获得业务关联的运营商系统的通信参数, 其中，所述认证服务器与业务关联的运营商系统进行认证获得所述通信参数,所述通信参数包括与业务关联的运营商系统的策略控制器的通信接口参数和用户的隧道信息；

通信关系协商单元，用于根据所述策略控制器的通信接口参数和用户的隧道信息确定与所述业务关联的运营商系统的通信关系；

策略转换单元，用于根据所述通信关系协商单元确定的通信关系，将来自于业务关联的运营商系统的策略消息转换为本地的策略消息。

8、根据权利要求 7所述的设备，其特征在于，所述通信关系包括本运营商系统和业务关联的运营商系统之间的从属关系和接口，所述从属关系和接口包括如下一种或多种组合：

( 1 ) 本运营商系统的 A-RACF作为业务关联的运营商系统的 A-RACF的 RCEF, 釆用 Re接口；

( 2 )本运营商系统的 A-RACF作为业务关联的运营商系统的 A-RACF的级联接口，釆用 Rr接口；

( 3 )本运营商系统的 A-RACF作为业务关联的运营商系统的 A-RACF的从节点，釆用 Rq接口。

9、一种认证服务器，其特征在于，包括：

AAA认证代理，用于通过 AAA代理协议与业务关联的运营商系统进行认证，以获得所述业务关联的运营商系统的通信参数，所述通信参数包括：用户的隧道信息和所述业务关联的运营商系统的策略控制器的通信接口参数；通信参数发送单元，用于将所述 AAA认证代理获得的认证通信参数下发给所述认证服务器所属运营商系统的策略控制器 ,以使所述认证服务器所属运 OP080416

WO 2009/074072 PCT/CN2008/073234

- 16- 营商系统的策略控制器基于所述通信参数与所述业务关联的运营商系统的策略控制器协商两策略控制之间的通信关系。

10、一种网络系统，其特征在于，包括：

第一协商单元、第二协商单元、第三协商单元、第四协商单元、第一策略转换单元和第二策略转换单元，其中，

第一协商单元和第二协商单元协商接入网络与服务网络之间的通信参数，所述通信参数包括第二运营商系统的策略控制器的通信接口参数和用户的隧道信息；

第三协商单元与第四协商单元根据所述通信参数协商接入网络与服务网络之间的通信关系；

第一策略转换单元，用于根据所述通信关系，将来自服务网络的策略消息转换为本地网络内部的策略消息；

第二策略转换单元，用于根据所述通信关系，将来自接入网络的策略消息转换为本地网络内部的策略。

11、根据权利要求 10所述的系统，其特征在于，第一协商单元、第三协商单元和第一策略转换单元部署在接入网络；第二协商单元、第四协商单元和第二策略转换单元部署在服务网络。