WO2011088695A1

WO2011088695A1 - 一种在公共设备上接入网络的方法及系统

Info

Publication number: WO2011088695A1
Application number: PCT/CN2010/077882
Authority: WO
Inventors: 颜正清; 张世伟; 符涛
Original assignee: 中兴通讯股份有限公司
Priority date: 2010-01-20
Filing date: 2010-10-19
Publication date: 2011-07-28
Also published as: ES2776475T3; JP2013517718A; EP2512089A4; EP2512089A1; KR20120094958A; US8661517B2; JP5451903B2; US20120278874A1; CN102130887A; CN102130887B; EP2512089B1

Description

一种在公共设备上接入网络的方法及系统

技术领域

本发明涉及移动通讯领域和互联网领域，尤其涉及一种在公共设备上接入网络的方法及系统。

背景技术

在现有的互联网协议（ IP ) 网络中，人们在公共设备上接入网络时，直接使用公共设备的 IP地址与其他用户进行通讯，网络监管机构无法对在公共设备上接入网络的用户进行追踪和溯源。例如，在现有的网络中，上网需要出示身份证件，但艮多网吧仍然无法识别证件的真伪，甚至于没有合法证件也可以用网吧提供的某一个公用证件上网。这给网络监管机构的追踪和溯源带来了很大的困难。

而且，在现有网络中，由于传统的 IP地址存在身份和位置的二义性，使得用户可以在公共设备上登录自己的业务账号，如邮件，网络银行等等，却无法实现用户网络层 IP与应用层业务绑定，一旦账号丟失，将给用户带来很大损失。如果在传统的 IP技术上实现用户网络层 IP与应用层业务绑定，用户在公共设备上接入网络时，由于网络层 IP地址的不同，将不能访问自己的应用层业务。而对于网络监管机构来说，由于账号和用户 IP不能绑定，对用户的监管力度也被削弱。

综上所述，目前的传统 IP技术存在如下问题：

1、由于传统的 IP地址存在身份和位置的二义性，使得监管机构无法对在公共设备上接入网络的用户进行有效地追踪和溯源，不仅存在安全隐患，也为打击违法犯罪活动带来了困难；

2、此外，传统的 IP地址的身份和位置的二义性还使得用户无法用网络层 IP与应用层业务绑定，从而无法更有效地保障应用层业务的安全性。

发明内容本发明要解决的技术问题是提供一种在公共设备接入网络的方法及系统，能够在身份标识和位置分离网络中对在公共设备上接入网络的用户进行有效地溯源和追踪。

为了解决上述问题，本发明提供了一种在公共设备上接入网络的方法，应用于身份标识和位置分离网络，该方法包括：

接入服务器（ASN )收到用户在公共设备上发送的接入网络请求消息后，发送到认证中心（ AC ) , 所述接入网络请求消息中至少包括所述用户的账号和密码；

所述 AC对所述账号和密码的有效性进行验证，如果验证通过，则将所述用户的接入身份标识（AID )发送给所述 ASN; 以及

所述 ASN收到所述用户的 AID后，推送给所述公共设备，所述公共设备将所述用户的 AID作为虚拟 AID,并使用所述虚拟 AID进行所述用户的报文的收发。

优选地，所述 ASN收到所述用户的 AID后，对所述用户的 AID进行附着，建立所述用户的 AID与所述 ASN的路由标识（RID )的映射关系，并汇报给所述用户的身份标识和位置登记寄存器（ILR ) 。

优选地，所述 ASN收到所述用户的 AID后，建立所述用户的 AID与所述公共设备的 AID的映射表。

优选地，所述 ASN在建立所述用户的 AID与所述公共设备的 AID的映射表的同时，将所述用户的 AID属性设置为虚拟 AID ,在收到以所述虚拟 AID 为源地址或目的地址的报文时，查询所述映射表得到所述公共设备的 AID并对所述公共设备进行流量统计或计费。

优选地，所述 ASN ^

设备。

优选地，所述 ASN釆用如- 用户或设备：

所述 ASN对所管理的公共设备的 AID进行备案；

在收到报文时，如果该报文的源地址为已备案的 AID、且目的地址不是所述 AC的 AID, 或者，该报文的目的地址为已备案的 AID, 且源地址不是所述 AC的 AID, 则丟弃该报文。

优选地，所述用户在所述公共设备上接入网络，在网络中处于在线状态后，当所述用户离线时，

所述用户在所述公共设备上发送离线请求 ,所述 ASN将该离线请求发送给所述 AC;

所述 AC删除所述用户在网络中的在线状态后，向所述 ASN发送离线请求响应；

所述 ASN解除所述用户的附着，并向所述 ILR请求删除所述用户的 AID 与所述 ASN的 RID的映射关系；同时，删除所述用户的 AID与所述与公共设备的 AID的映射表，并将所述离线请求响应发送给所述公共设备；以及所述公共设备收到所述离线请求响应后，删除所述用户的虚拟 AID。优选地，所述用户的账号和密码是由网络管理者预先分配，或者通过在线提交个人身份信息申请得到；且在分配所述账号的同时，为所述用户分配绑定的 AID。

优选地，所述方法还包括：

所述 ASN接收到接入网络请求消息后，判断其是否来自公共设备，如果该接入网络请求消息不是来自公共设备，则所述 ASN将所述接入网络请求消息发送给所述 AC,并将所述 AC的接入网络响应转发给所述接入网络请求消息的发起方。

本发明还提供了一种在公共设备上接入网络的系统，应用于身份标识和位置分离网络，该系统包括：接入服务器（ASN )、公共设备和认证中心（AC ) , 其中，

所述 ASN设置为，收到用户在公共设备上发送的接入网络请求消息后，发送到所述 AC, 所述接入网络请求消息中至少包括所述用户的账号和密码；且在收到所述 AC发送的所述用户的接入身份标识 AID后，推送给所述公共设备；

所述 AC设置为，接收到用户的接入网络请求消息后，对其中的所述账号和密码的有效性进行验证，如果验证通过，则将所述用户的 AID发送给所述 ASN;

所述公共设备设置为，根据用户输入的账号和密码向所述 ASN发送接入网络请求消息，并在收到所述 ASN推送的所述用户的 AID后，将所述用户的 AID作为虚拟 AID , 使用所述虚拟 AID进行所述用户的 4艮文的收发。

优选地，所述系统还包括身份标识和位置登记寄存器（ILR ) ，所述 ASN还设置为，收到所述用户的 AID后，对所述用户的 AID进行附着，建立所述用户的 AID与所述 ASN的路由标识（RID )的映射关系，并汇报给所述用户的 ILR;

所述 ILR设置为，保存所述用户的 AID与所述 ASN的 RID的映射关系；以及，在接收到其他 ASN根据用户的 AID发起的映射关系查询请求后，将优选地，所述 ASN还设置为，收到所述用户的 AID后，建立所述用户的 AID与所述公共设备的 AID的映射表。

优选地，所述 ASN还设置为，将所述用户的 AID属性设置为虚拟 AID, 在收到以所述虚拟 AID为源地址或目的地址的报文时，查询所述映射表得到所述公共设备的 AID , 并对所述公共设备进行流量统计或计费。

优选地，所述 ASN还设置为，禁止所管理的公共设备访问所述 AC之外的用户或者设备。

优选地，所述 ASN还设置为，接收到用户的离线请求后，发送给所述

AC; 以及，收到离线请求响应后，解除所述用户的附着，并向所述 ILR请求删除所述用户的 AID与所述 ASN的 RID的映射关系，同时，删除所述用户的 AID与所述与公共设备的 AID的映射表，并将所述离线请求响应发送给所述公共设备；

所述 AC还设置为，收到所述离线请求后，删除所述用户在网络中的在线状态后，向所述 ASN发送离线请求响应；

所述公共设备还设置为，收到所述离线请求响应后，删除所述用户的虚拟 AID。上述实施方案是基于身份标识和位置分离网络，利用用户 AID的全网唯一性来实现用户在公共设备上接入网络。相较于目前的传统 IP网络，釆用上述实施方案，充分利用身份标识和位置标识分离网络的优越性，在全网 AID 唯一的基础上，可以对在公共设备上接入网络的用户进行有效地追踪和溯源。

附图概述

图 1示出了本发明实施例的 SILSN的架构示意图；

图 2示出了本发明实施例的用户在公共设备上接入网络的流程示意图；图；

图 4示出了本发明实施例的 ASN处理来自公共设备的报文流程示意图；图 5示出了本发明实施例的 ASN处理来自其他 ASN的报文的流程示意图；

图 6示出了本发明实施例的用户离线的流程示意图；

图 7示出了本发明实施例的用户在公共设备上申请账号的流程示意图。

本发明的较佳实施方式

为解决现有传统 IP地址的身份和位置的二义性问题，本发明提出一种如图 1 所示的身份标识和位置分离网络 ( Subscriber Identifier & Locator Separation Network, 简称为 SILSN ) 系统架构，在图 1中，此 SILSN系统由接入服务器 ( Access Service Node, 简称为 ASN )、用户（User ) 、认证中心 ( Authentication Center, 简称为 AC ) 11、身份信息中心（ Identifier Information Center, 简称为 IIC ) 12 以及身份标识和位置登记寄存器（Identification & Location Register, 简称为 ILR ) 13等组成。

其中， ASN主要负责用户的接入，并承担计费、切换等功能； ILR设置为，承担用户的位置注册和身份位置识别，以及位置查询功能； AC负责对用户的接入进行认证； IIC负责存放用户的身份信息。

上述 SILSN 架构网络中有两种标识类型：接入身份标识（Access Identifier, 简称为 AID )和路由标识（ Routing Identifier, 简称为 RID )。其中，

AID是用户的身份标识，此标识仅分配给该用户使用且全网唯一，且此身份标识在网络传输中可以唯一不变，并且用户在网络中进行移动时，该 AID也不会改变，全网唯一。用户与用户之间使用各自所附着的 ASN的 RID进行通信报文的路由。应说明的是，身份标识和位置标识在不同的 SILSN架构可以有不同的名称，但实质是一样的。

上述 SILSN网络有如下特征：此网络内每个用户只有经过严格认证才能接入，用户在各种业务中所发送的数据包中都同时携带自己的 AID, 且用户发送的每个数据包都必须经过 ASN验证，保证用户发出的数据包携带的是自己的接入身份标识，不会假冒其他用户 AID接入网络，并且此接入身份标识在网络中传送时将一直保持不变，当用户发生移动或切换时，此标识也不会发生变化。

在图 1的示例中，用户 Userl和 User2分别存在唯一的接入身份标识 AID1 和 AID2, Userl和 User2分别通过 ASN1和 ASN2接入网络。其中， User2 正常接入网络，即使用自有用户设备 ( User Equipment, 简称为 UE )接入网络，其 UE的 AID便是 User2用来与业务绑定的 AID。而 Userl则是在公共设备上接入网络，由于公共设备的 AID不是 Userl所拥有的 AID, 因此，无法与用户的应用业务绑定。

针对上述提出的 SILSN网络，为解决该问题，本发明的基本实现思想如下：网络管理者将用户的账号、密码和 AID存储在 AC中，用户利用自己的账号和密码接入网络； AC对用户的账号和密码进行认证，当用户通过认证后 , AC将用户的 AID推送到 ASN和公共设备上；然后将用户的与账号绑定的 AID作为虚拟 AID绑定在公共设备上。

这样，便可实现 Userl的 AID与应用业务的绑定。需要说明的是，用户的账号可以是网络管理者直接分配，也可以是用户在公共网络当场提交个人信息申请账号。在该账号被分配的同时，会分配一个 AID与之绑定。

更具体地，本发明釆用如下方案来解决基于 SILSN网络的在公共设备上接入网络的问题：

ASN收到用户在公共设备上发送的接入网络请求消息后，发送到 AC, 所述接入网络请求消息中至少包括所述用户的账号和密码；

所述 AC对所述账号和密码的有效性进行验证，如果验证通过，则将所述用户的 AID发送给所述 ASN;

所述 ASN将所述用户的 AID推送给所述公共设备，所述公共设备将所述用户的 AID作为虚拟 AID, 使用所述虚拟 AID进行该用户的报文的收发。

进一步地， AC在对所述账号和密码的有效性进行验证后，发送接入网络响应消息给 ASN, 且如果验证通过，则在所述接入网络响应消息中携带所述用户的 AID;

ASN收到包含 AID的所述接入网络响应消息后，则对所述用户的 AID 进行附着，建立用户的 AID与自身的 RID映射关系，并汇报给所述用户的 ILR; 并且，建立所述用户与所述公共设备的 AID映射表。

进一步地，如果验证通过， ASN还将所述用户的 AID的属性设置为虚拟

AID。

进一步地，用户通过在公共设备上输入账号和密码，向 ASN发送接入网络请求消息，接入网络请求消息中至少包括所述用户的账号和密码；

所述 ASN判断所述接入网络请求是否来自公共设备，如果是，则在收到验证通过的接入网络响应消息后，对所述用户的 AID进行附着，并建立所述用户与所述公共设备的 AID映射表；如果不是来自公共设备，则只需转发给 AC进行验证，并将收到的接入网络响应消息转发给所述接入网络请求的发起方。

进一步地， ASN将禁止公共设备访问 AC之外的用户。

下面将结合附图及具体实施例对本发明技术方案的实施作进一步详细描述。需要说明的是，本发明内容可以用以下实施例解释，但不限于以下的实施例。

图 2示出了用户使用账号在公共设备上接入网络的流程。用户使用自己的账号在公共设备上输入，并输入密码，申请接入网络。申请信息被发送到 AC处理， AC根据账号查询得账号的密码以及 AID。然后， AC用查询到的账号信息验证用户提交的账号和密码的真实性，用以确认是否可以接受用户的接入网络请求。如果验证成功， AC将用户的 AID推送到用户所在的公共设备上。该流程具体可包括如下步骤：

S200,User在公共设备上输入账号和密码，向 ASN发送接入网络请求信息，该接入网络请求信息中包括 User的账号和密码；

此时该艮文的源 AID为公共设备的 AID, 目的 AID为 AC的 AID;

S210,ASN接收到来自公共设备的 User的接入网络请求消息，将该消息转发至 AC处理；

该步骤中， ASN需要判断接入网络请求消息是否来自公共设备，如果不是来自公共设备，例如，普通家庭用户通过 PC ( Personal Computer, 个人计算机）或 UE , 则该接入网络请求中会携带自身的 AID , ASN发送到 AC进行验证，在接收到 AC的接入网络请求响应后，如果通过验证，则 ASN直接对该用户的 AID进行附着。其与在公共设备上接入的区别在于， AC只需返回验证是否通过的响应消息，而无需再推送该用户的 AID; 而 ASN也无需建立该用户的 AID与公共设备的 AID的映射表。

S220,AC接收到来自公共设备的 User接入网络请求信息，对其中的账号和密码的有效性进行验证，例如提取请求信息中 User的账号和密码，与 AC 中存储的对应的账号和密码进行比较，如果一致，则验证成功，否则验证失败；

S230, AC向 ASN发送网络接入请求响应消息，消息中携带 User的 AID;

S240,ASN接收到来自 AC的 User接入网络认证响应消息后，如果认证通过，则对 User的 AID进行附着，与 ASN自身的 RID建立 <AID, RID>映射关系，同时为 User和公共设备建立形式为<^0, AID 々 AID映射表，可选地， ASN将 User的 AID属性设置为 User虚拟 AID;如果认证未通过，则 ASN 将直接转发来自 AC的接入网络认证响应消息；

S250,公共设备接收到接入网络认证响应消息后，如果认证通过，则公共设备将 User的 AID在自身的系统中作为一个虚拟 AID, User在公共设备上发生的网络行为都将以该虚拟 AID作为源 AID；例如， User在访问文件传输协议（FTP )服务器时，发送的访问请求报文中源 AID为虚拟 AID。

S260,ASN向 ILR汇报该 User的<^©, RID>映射关系；

其中，用户 User与 ASN建立 <AID,RID>映射关系，并汇报给 ILR的目的是为了说明 User附着在该 ASN上，方便其他用户和 ASN根据该用户的 AID向 ILR查询得到对应的 RID信息，进而根据查询到的 RID信息发送 4艮文到该 ASN。

S270JLR记录或更新该 User的<^©, RID>映射关系后，向 ASN返回汇报映射关系响应信息。

此后， ILR在接收到其他 ASN对该用户的映射关系查询请求后，将该用户的 AID所对应的 RID返回给查询方，即发起查询请求的 ASN。

需要说明的是，上述步骤中， S260和 S270也可以在 S250之前实现，实现的前后顺序取决于 ASN的内部实现方法。

图 3所示为用户在公共设备上上网的报文转发流程。用户在公共设备上的上网行为与用户在自身设备上的上网行为基本一致，符合网络管理者和监管机构对用户的追踪和溯源需求，同时也解决了用户网络层 AID和应用层业务之间的绑定问题。其不同之处在于 ASN需要统计公共设备的流量，以实现对公共设备的管理。该流程具体包括如下步骤：

S300, Userl在公共设备上向 User2发送通信请求报文，报文中的源 AID 为虚拟 AID ( Userl的 AID ) ；

其中，公共设备除了具有本身的 AID之外，其系统还允许在公共设备上成功接入网络的用户将其 AID附着在公共设备上。也就是说，当用户的 AID 附着在公共设备上时，公共设备收发报文所用的 AID都是该用户的虚拟 AID, 而非公共设备的本身 AID。当用户退出网络时，虚拟 AID也将被删除，此后，公共设备收发报文所用的 AID是本身的 AID。

S310, ASN1接收到来自公共设备的报文，根据 ASN设置的附着 User 的 AID的属性检查得源 AID为虚拟 AID后，用所述 AID查询 Userl与公共设备的 AID映射表，查询得到公共设备的 AID,并对公共设备进行流量统计；

S320, ASN1根据 Userl的通信请求报文中的目的 AID, 即 User2的 AID 向 ILR查询得到对应的 RID ( ASN2的 RID ) , 并可将 ASN1的 RID作为源 RID, 将 ASN2的 RID作为目的 RID封装在报文中，路由转发到 ASN2;

S330, ASN2收到上述>¾文后，解除封装的 RID后转发 Userl的通信请求才艮文到 User2;

S340, User2 回复 Userl 的通信请求，回复 4艮文中的源地址为 User2 的 AID, 目的地址为 Userl的 AID;

S350, ASN2在回复报文中封装源 RID( ASN2的 RID )和目的 RID( ASN1 的 RID )后，转发到 ASN1；

本示例是以 Userl向 User2发起通信为例进行描述，如果是 User2向 Userl 发起通信，则 ASN2根据 User2的通信请求报文中的目的地址，即 Userl的 AID查询 ILR,得到对应的 ASN1的 RID后，封装在报文中，转发路由到 ASN1 , 其通信流程与本示例相似，在此不再赘述。

S360, ASN1接收到来自 ASN2的 4艮文，检查得到目的 AID为虚拟 AID, 然后用所述 AID查询 Userl与公共设备的 AID映射表，查询得到公共设备的 AID, 并对公共设备进行流量统计；

S370, ASN1 解除报文中封装的 RID后，将 User2 的回复报文转发给 Userl。

至此，用户在公共设备上的报文转发流程结束。

需要说明的是， ASN1利用 Userl与公共设备的 AID映射表，查询得到公共设备的 AID, 进行流量统计只是其中功能之一。 ASN1根据 AID映射表可以实现的功能不限于流量统计，还包括记录 Userl接入网络的具体位置、对公共设备计费等功能。

图 4所示为 ASN处理来自公共设备的报文流程。在该示例中， ASN需要检查源 AID是否是公共设备的 AID, 如果是，需要禁止公共设备直接访问非 AC的目的地。该流程具体包括如下步骤： S400,ASN接收到来自公共设备（例如网吧 PC ) 的报文；

S410,ASN提取报文中的源 AID, 判断是否是公共设备的 AID, 如果是，跳转到 S420步骤；如果不是，跳转到 S430步骤；

其中， ASN可以根据其上所有的 AID的列表查到所述源 AID, 再通过查看该源 AID的属性，判断该源 AID是否是公共设备。 AID的属性可能有很多种，例如上述的公共设备的属性，以及，虚拟 AID, 需要重定向的 AID, 等等。

此外， AID还可以通过其他多种方式判断上述源 AID是否是公共设备，例如， ASN可以对其上所有公共设备的 AID进行备案，并单独保存为公共设备的 AID列表；在收到报文时，根据备案的公共设备的 AID列表判断该源 AID是否是公共设备，等等。此处不再逐一列举。

S420,ASN判断该报文的目的地是否 AC, 如果是，跳转到 S470步骤，正常转发报文；如果不是，跳转到 S460步骤，丟弃报文；

S430,如果该 AID不是公共设备的 AID, ASN判断该 AID属性是否虚拟用户，即是否用户在公共设备上接入网络的虚拟 AID, 如果是，跳转到 S440 步骤；如果不是，跳转到 S470步骤，正常转发；

S440,根据用户在公共设备上接入网络的虚拟 AID, 查询是否有对应的与公共设备 AID之间的 AID映射表存在，如果有 AID映射表，则跳转到 S450 步骤；如果没有，则跳转到 S460步骤，丟弃文；

S450,ASN根据查询到的 AID映射表，对公共设备进行流量统计；转向步骤 470;

S460, 丟弃报文；结束；

S470,正常转发报文。需要说明的是， S470由步骤 S420,S430或者 S450 跳转而来。

至此， ASN处理来自公共设备的 ^艮文流程结束。

图 5所示为 ASN处理来自其他 ASN的报文的流程。在该示例中， ASN 需要判断目的 AID是否在公共设备上接入网络的用户虚拟 AID。该流程具体包括如下步骤：

S500, ASN接收到其他 ASN的报文；

S510, ASN提取文的源 AID和目的 AID, 判断目的 AID是否为公共设备 AID, 如果是，跳转到 S520步骤；如果不是，跳转到 S530步骤；

S520, ASN判断该报文是否来自 AC, 如果是，跳转到 S570步骤，正常转发报文；如果不是，跳转到 S560步骤，丟弃报文；

S530, ASN判断该报文的目的 AID是否在公共设备上接入网络的用户虚拟 AID, 如果是，则跳转到 S540步骤；如果不是，则跳转到 S570步骤，正常转发报文；

S540,若报文的目的 AID是在公共设备上接入网络的用户虚拟 AID, ASN 根据该 AID查询是否有与公共设备 AID之间的 AID映射表，如果有，跳转到 S550步骤；如果没有，跳转到 S560步骤，丟弃文；

S550, ASN根据公共设备的 AID统计公共设备的流量；转向步骤 570;

S560, ASN丟弃报文；结束；

S570, ASN正常转发报文。需要说明的是所述步骤由步骤 S520、 S530和

S550跳转而来。

至此， ASN处理来自其他 ASN的报文流程结束。

图 6所示为用户离线的流程。用户已经在公共设备上接入网络，处于在线状态后，当用户需要离线时，向 AC发送离线请求， AC、 ILR和 ASN均需删除与该用户 AID相关的记录。该流程具体包括如下步骤：

S600, 在公共设备上接入网络的用户 Userl通过 ASN向 AC发送离线请求；

S610, ASN接收到 Userl的所述离线请求，转发到 AC处理；

S620, AC接收到来自 Userl的离线请求，删除 Userl在网络中的在线状态；

S630, AC向 ASN发送离线请求响应，通知 ASN删除 Userl相关信息； S640, ASN接收到来自 AC的离线请求响应消息，解除 Userl的 AID附着，同时删除 Userl的 AID与公共设备的 AID之间的 AID映射表；

S650, ASN向 ILR汇才艮 Userl的<^10,1 10>映射关系更新，请求删除所 i^<AID,RID>映射关系；

S660, ILR删除 Userl的 <AID, RID>映射关系，向 ASN发送映射关系删除响应；

S670, ASN向公共设备发送离线成功的响应消息，删除附着在公共设备上的 Userl的虚拟 AID。

至此，用户离线的流程结束。

图 7所示为用户在公共设备上注册账号的流程。在网络管理者允许的情况下，用户可以在公共设备上填写个人真实信息，直接提交注册账号申请。用户的真实个人信息在 IIC 由网络管理者事先收集保存，用于验证用户在线提交账号申请的真实性。该流程具体包括如下步骤：

S700, User填写个人信息，如身份证号、家庭住址、工作单位、密码等信息，向 AC发送账号注册申请消息；

S710, ASN向 AC转发账号注册申请消息；

S720, AC接收到账号注册申请消息，根据此消息中的身份证向 IIC查询 User的真实个人信息；

S730, IIC向 AC返回查询到的 User的真实个人信息；

S740, AC用从 IIC查询到的 User的真实个人信息验证 User提交的账号注册消息是否有效，如果有效（例如，用户在线提供的身份信息，如身份证号，姓名，密码等与 IIC提供的相应信息一致，即为有效），则 AC为 User 分配账号、密码和 AID;

S750, AC向 ASN发送注册请求响应消息；

S760, ASN为 User的 AID附着，同时创建与公共设备的 AID映射表，并向 ILR汇 ^艮映射关系； S770, ASN向 User发送注册响应消息，携带 User的 AID ,如果注册成功， User的 AID被虚拟化成公共设备的 AID。此后， User的一切网络行为的 AID 就是此虚拟 AID。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成，所述程序可以存储于计算机可读存储介质中，如只读存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地，上述实施例中的各模块 /单元可以釆用硬件的形式实现，也可以釆用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

本发明提供的在公共设备上接入网络的方法及系统，利用用户 AID的全网唯一性来实现用户在公共设备上接入网络，且釆用上述实施方案，充分利用了身份标识和位置标识分离网络的优越性，在全网 AID唯一的基础上，可以对在公共设备上接入网络的用户进行有效地追踪和溯源。

Claims

权利要求书

1、一种在公共设备上接入网络的方法，应用于身份标识和位置分离网络，该方法包括：

2、如权利要求 1所述的方法，所述方法还包括：

所述 ASN收到所述用户的 AID后，对所述用户的 AID进行附着，建立所述用户的 AID与所述 ASN的路由标识 ( RID )的映射关系，并汇 4艮给所述用户的身份标识和位置登记寄存器（ILR ) 。

3、如权利要求 2所述的方法，所述方法还包括：

所述 ASN收到所述用户的 AID后，建立所述用户的 AID与所述公共设备的 AID的映射表。

4、如权利要求 3所述的方法，所述方法还包括：

所述 ASN在建立所述用户的 AID与所述公共设备的 AID的映射表的同时，将所述用户的 AID属性设置为虚拟 AID, 在收到以所述虚拟 AID为源地址或目的地址的报文时，查询所述映射表得到所述公共设备的 AID, 并对所述公共设备进行流量统计或计费。

5、如权利要求 1至 4任一权利要求所述的方法，所述方法还包括：

6、如权利要求 5所述的方法，其中，

所述 ASN釆用如 ^ 备：

所述 ASN对所管理的公共设备的 AID进行备案；

7、如权利要求 2或 3所述的方法，所述方法还包括：所述用户在所述公共设备上接入网络，在网络中处于在线状态后，当所述用户离线时，

所述 ASN解除所述用户的附着，并向所述 ILR请求删除所述用户的 AID 与所述 ASN的 RID的映射关系；同时，删除所述用户的 AID与所述与公共设备的 AID的映射表，并将所述离线请求响应发送给所述公共设备；以及所述公共设备收到所述离线请求响应后，删除所述用户的虚拟 AID。

8、如权利要求 1至 4任一权利要求所述的方法，其中，

所述用户的账号和密码是由网络管理者预先分配，或者通过在线提交个人身份信息申请得到；且在分配所述账号的同时，为所述用户分配绑定的 AID。

9、如权利要求 1所述的方法，所述方法还包括：

10、一种在公共设备上接入网络的系统，应用于身份标识和位置分离网络，该系统包括：接入服务器（ASN )、公共设备和认证中心（AC ) , 其中，所述 ASN设置为，收到用户在公共设备上发送的接入网络请求消息后，发送到所述 AC, 所述接入网络请求消息中至少包括所述用户的账号和密码；且在收到所述 AC发送的所述用户的接入身份标识（ AID )后，推送给所述公共设备；

11、如权利要求 10所述的系统，所述系统还包括身份标识和位置登记寄存器（ILR ) ,

所述 ASN还设置为，收到所述用户的 AID后，对所述用户的 AID进行附着，建立所述用户的 AID与所述 ASN的路由标识（RID )的映射关系，并汇报给所述用户的 ILR;

所述 ILR设置为，保存所述用户的 AID与所述 ASN的 RID的映射关系；以及，在接收到其他 ASN根据用户的 AID发起的映射关系查询请求后，将

12、如权利要求 10所述的系统，其中，

所述 ASN还设置为，收到所述用户的 AID后，建立所述用户的 AID与所述公共设备的 AID的映射表。

13、如权利要求 12所述的系统，其中，

所述 ASN还设置为，将所述用户的 AID属性设置为虚拟 AID, 在收到以所述虚拟 AID为源地址或目的地址的报文时，查询所述映射表得到所述公共设备的 AID , 并对所述公共设备进行流量统计或计费。

14、如权利要求 10至 13任一权利要求所述的系统，其中，者设备。

15、如权利要求 13所述的系统，其中，所述 ASN还设置为，接收到用户的离线请求后，发送给所述 AC; 以及，收到离线请求响应后，解除所述用户的附着，并向所述 ILR请求删除所述用户的 AID与所述 ASN的 RID的映射关系，同时，删除所述用户的 AID与所述与公共设备的 AID的映射表，并将所述离线请求响应发送给所述公共设备；所述 AC还设置为，收到所述离线请求后，删除所述用户在网络中的在线状态后，向所述 ASN发送离线请求响应；

所述公共设备还设置为，收到所述离线请求响应后，删除所述用户的虚拟 AID。