WO2014176964A1

WO2014176964A1 - 一种通信管理方法及通信系统

Info

Publication number: WO2014176964A1
Application number: PCT/CN2014/075159
Authority: WO
Inventors: 梁乾灯; 尤建洁; 王姝懿; 朱华兴
Original assignee: 中兴通讯股份有限公司
Priority date: 2013-04-28
Filing date: 2014-04-11
Publication date: 2014-11-06
Also published as: US20160065575A1; US9716719B2; EP2981130A1; AU2014261983A1; AU2014261983B2; EP2981130A4; CN104125569A

Abstract

一种通信管理方法及通信系统，用户终端认证通过后或用户终端的用户信息变更时，AAA服务器将包含有用户终端的授权信息的用户信息发送给该用户终端对应的业务控制服务器，业务控制服务器则根据该用户信息对该用户终端业务策略进行控制；实现过程简单，易于扩展，且可提高处理效率和降低业务控制服务器的压力；同时，上述方案中，AAA服务器可单独的向业务控制服务器下发用户消息，并不要求必须存在认证服务器，因此可提供更广泛的应用，为运营商提供更灵活的业务开展方式，能进一步提高处理效率。

Description

一种通信管理方法及通信系统

技术领域

本发明涉及通信领域，具体涉及一种通信管理方法及通信系统。背景技术

随着通信市场日益开放，电信业务正向数据化、宽带化、综合化、个性化飞速发展，各运营商之间的竟争日趋激烈。而竟争的基本点就在于接入资源的竟争，如何快速、有效、灵活、低成本提供客户所需要的各种业务成为运营商首要考虑的问题。 WLAN接入方式在一定程度上满足了运营商的需要， WLAN是英文 Wireless LAN的缩写，就是无线局域网的意思。无线以太网技术是一种基于无线传输的局域网技术，与有线网络技术相比，具有灵活、建网迅速、个人化等特点。将这一技术应用于电信网的接入网领域，能够方便、灵活地为用户提供网络接入，适合于用户流动性较大、有数据业务需求的公共场所、高端的企业及家庭用户、需要临时建网的场合以及难以釆用有线接入方式的环境等。

WLAN系统一般由 AC (接入控制器）和 AP (无线接入点）组成。 WLAN 系统按照组网方式可分为胖 AP组网与瘦 AP组网两种。胖 AP即 AP充当无线路由器，单独组网自身不需要 AC (无线控制器)就能使用。瘦 AP即无线网桥，它需要 AC控制才能使用，其实就是 AC的天线。在现网络中为了减少对 WLAN接入网络的改造，一般会釆用 AC和 BNG (用户接入网关服务器) 分离的接入方案，在 AC上直挂或旁挂 BNG设备。这种 AC和 BNG分离的部署场景中， AC作为认证服务器，负责接入用户的认证和接入通道的安全控制。 BNG作为业务控制点，负责统计用户流量和在线时长以用于计费，并控制用户签约带宽、服务质量和业务策略。认证点和业务控制点之间是运营商管理的网络，一般安全可行，而且网络拓朴稳定，所以认证点和业务控制点分离部署的方式是可行的，认证点和业务控制点分离的应用场景将越来越多。但这种 AC和 BNG分离的部署场景中，将 BNG充当 Radius Proxy, 需要对 BNG做较大的改动，且 BNG充当 Radius Proxy需要重新解包、封包，通信实现过程复杂，处理效率低，不利于扩展。

发明内容

本发明要解决的主要技术问题是，提供一种通信管理方法及通信系统，解决现有认证点和业务控制点分离部署时，通信实现过程复杂，效率低且不易扩展的问题。

为解决上述技术问题，本发明提供一种通信管理方法,所述通信管理方法包括：

用户终端认证通过后或用户终端的用户信息变更时， AAA服务器将所述用户终端的用户信息发送给所述用户终端对应的业务控制服务器，所述用户信息包括用户终端的授权信息；

所述业务控制服务器根据所述用户信息对所述用户终端的业务进行策略进行控制。

在本发明的一种实施例中，所述通信管理方法还包括：

所述用户终端下线时，所述 AAA服务器向所述业务控制服务器发送用户下线指令；

所述业务控制服务器接收到所述用户下线指令后，结束对所述用户终端的业务策略的控制。

在本发明的一种实施例中，所述用户终端的授权信息包括用户终端的地址信息、和 /或用户终端的标识信息、和 /或用户终端的业务策略信息。

在本发明的一种实施例中，所述业务控制服务器根据所述用户信息对所述用户终端的业务进行策略控制包括：

所述业务控制服务器根据所述用户信息向其对应的转发面下发所述用户终端的用户转发信息表；

所述业务控制服务器结束对所述用户终端的业务的策略控制包括：所述业务控制服务器删除其对应的转发面中所述用户终端的用户转发信息表。

在本发明的一种实施例中，所述方法还包括：所述业务控制服务器根据所述用户信息对所述用户终端的业务进行策略进行控制后，向所述 AAA服务器发送开始计费指令；所述业务控制服务器接收到所述用户下线指令后，向所述 AAA服务器发送停止计费指令。

在本发明的一种实施例中，所述用户终端的认证包括：

所述用户终端通过认证服务器与所述 AAA服务器完成认证；

或所述用户终端通过运营商与所述 AAA服务器完成认证。

在本发明的一种实施例中，所述用户终端通过认证服务器与所述 AAA 服务器完成认证包括：

认证服务器与业务控制服务器确定关联关系；

所述用户终端关联到所述认证服务器，所述认证服务器为所述用户终端确定对应的业务控制服务器；

所述用户终端通过所述认证服务器与所述 AAA服务器交互完成认证；在该认证过程中，所述认证服务器将为所述用户终端确定的业务控制服务器的信息发送给所述 AAA服务器。

在本发明的一种实施例中，所述用户终端通过运营商与所述 AAA服务器完成认证时，所述 AAA服务器从所述运营商获取与所述用户终端对应的业务控制服务器的信息。

在本发明的一种实施例中，所述管理方法还包括：

所述认证服务器检测到所述用户终端的用户信息变更时，向所述 AAA 服务器发送用户信息变更通告消息；

或所述 AAA服务器接收运营商发送的用户信息变更通告消息。

在本发明的一种实施例中，所述管理方法还包括：

所述认证服务器检测到所述用户终端下线时，向所述 AAA服务器发送用户下线通告消息。

为了解决上述问题，本发明还提供了一种通信系统,所述通信系统包括用户终端、业务控制服务器和 AAA服务器；

所述 AAA服务器设置为：在所述用户终端认证通过后或所述用户终端的用户信息变更时，所述用户终端的用户信息发送给所述用户终端对应的业务控制服务器 , 所述用户信息包括用户终端的授权信息；

所述业务控制服务器设置为：根据所述用户信息对所述用户终端的业务进行策略控制。

在本发明的一种实施例中，所述 AAA服务器还设置为：在所述用户终端下线时，向所述业务控制服务器发送用户下线指令；

所述业务控制服务器还设置为：接收到所述用户下线指令后，结束对所述用户终端的业务的策略控制。

在本发明的一种实施例中，所述业务控制服务器设置为：根据所述用户信息对所述用户终端的业务的进行策略控制包括：

在本发明的一种实施例中，所述业务控制服务器还设置为：根据所述用户信息对所述用户终端的业务进行策略控制后，向所述 AAA服务器发送开始计费指令；以及接收到所述用户下线指令后，向所述 AAA服务器发送停止计费指令。在本发明的一种实施例中，所述通信系统还包括认证服务器，所述用户终端设置为：通过所述认证服务器与所述 AAA服务器完成认证；或所述用户终端设置为：通过运营商与所述 AAA服务器完成认证。

在本发明的一种实施例中，所述用户终端设置为：通过认证服务器与所述 AAA服务器完成认证包括：

认证服务器与业务控制服务器确定关联关系；

在本发明的一种实施例中，所述 AAA服务器还设置为：在所述用户终端通过运营商与之完成认证时，从所述运营商获取与所述用户终端对应的业务控制服务器的信息。

在本发明的一种实施例中，所述认证服务器还设置为：检测到所述用户终端的用户信息变更时，向所述 AAA服务器发送用户信息变更通告消息；所述 AAA服务器还设置为：接收所述认证服务器发送的用户信息变更通告消息，或接收运营商发送的用户信息变更通告消息。

在本发明的一种实施例中，所述认证服务器还设置为：检测到所述用户终端下线时，向所述 AAA服务器发送用户下线通告消息。

本发明实施例的有益效果是：

本发明实施例提供的通信管理方法及通信系统，用户终端认证通过后或用户终端的用户信息变更时， AAA服务器将包含有用户终端的授权信息的用户信息发送给该用户终端对应的业务控制服务器，业务控制服务器则根据该用户信息对该用户终端的业务进行策略控制；利用本发明实施例提供的业务控制服务器实现对用户终端的业务进行策略控制的过程中，业务控制服务器不需要作为 AAA服务器的代理设备，对用户终端的认证报文重新解包、封包，实现过程简单，易于扩展，且可提高处理效率和降低业务控制服务器的压力；同时，本发明实施例提供的上述方案中， AAA服务器可单独的向业务控制服务器下发用户消息，并不要求必须存在认证服务器，因此可提供更广泛的应用，为运营商提供更灵活的业务开展方式，能进一步提高处理效率。

附图概述

图 1为本发明实施例一中通信方法的流程示意图一；

图 2为本发明实施例一中通信方法的流程示意图二；

图 3为图 4中用户终端与服务器完成认证的流程示意图；

图 4为本发明实施例二中网络拓朴结构示意图；

图 5为本发明实施例二中通信方法的流程示意图；

图 6为本发明实施例三中网络拓朴结构示意图；

图 7为本发明实施例三中通信方法的流程示意图；

图 8为本发明实施例四中实现用户终端漫游切换的流程示意图；图 9为本发明实施例五中通信方法的流程示意图。

本发明的较佳实施方式

本发明实施例用户终端认证通过后或用户终端的用户信息变更时， AAA 服务器将包含有用户终端的授权信息的用户信息发送给该用户终端对应的业务控制服务器（即业务控制点） , 业务控制服务器则根据该用户信息对该用户终端的业务进行策略控制；在该过程中，业务控制服务器不需要作为 AAA 服务器的代理设备，对用户终端的认证报文重新解包、封包，实现过程简单，易于扩展，且可提高处理效率和降低业务控制服务器的压力；同时，本发明中的 AAA服务器可单独的向业务控制服务器下发用户消息，因此可提供更广泛的应用，为运营商提供更灵活的业务开展方式，能进一步提高处理效率。下面结合具体的实施例对本发明做进一步的说明：实施例一：

首先对本实施例涉及到的英文简称进行说明如下：

WLAN, Wireless Local Area Network, 无线局 i或网

AC, Access Controller, 接入控制器

AP, Access Point, 接入点

BNG, Broadband Network Gateway, 宽带网络网关

AAA, Authentication Authorization Accounting, 认证、授权、计费

VLAN, Virtual Local Area Network, 虚拟局域网

CAP WAP, Control And Provisioning of Wireless Access Points Protocol, 无线接入点控制配置协议

SDN, Software Defined Network, 软件定义网络

NMS, Network Management System, 网络管理系统

DM, Disconnect Message, 断链消息

CoA, Change-of- Authorization Message, 4受权变化消息

EAP, Extensible Authentication Protocol , 扩展认证协议

ACL, Access Control List, 接入控制列表

CAR, Committed Access Rate, 承诺接入速率

VRF, Virtual Routing Forwarding, 虚拟转发实例

MAC, Medium Access Control, 媒体接入控制

IP, Internet Protocol, 因特网协议

NAS, Network Access Server, 网络接入服务器

PMK, pairwise master key, 成对主密钥

DHCP , Dynamic Host Configuration Protocol , 动态主机设置协议请参见图 1所示，本实施例中的通信方法包括以下步骤：

步骤 101 : 用户终端认证通过或用户终端的用户信息变更；本实施例中用户终端的认证可以是用户终端与 AAA服务器自动完成认证交互，也可以是手动对用户终端完成认证；且本实施例中用户终端的用户信息的变更可以是由认证服务器（即认证点）向 AAA服务器发送，也可以是相关的运营商向 AAA服务器发送，本实施例后续内容会针对上述各种情况进行具体说明。

本实施例中，当用户终端的认证通过手动完成时，则不需要认证服务器的参与，也即本实施例中并不要求必须存在认证服务器实现用户终端的认证，因此可提供更广泛的应用，为运营商提供更灵活的业务开展方式，例如通过本实施例提供的方案，用户可通过电话开通预付费网络权限，无需上网认证，也可提供用户体验的满意度；

步骤 102: AAA服务器将该用户终端的用户信息发送给该用户终端对应的业务控制服务器；

本实施例中的用户信息包括用户终端的授权信息，用户终端的授权信息包括用户终端的地址信息（例如 MAC地址、 IP地址等）、和 /或用户终端的标识信息（例如用户终端的唯一标识信息等 )、和 /或用户终端的业务策略信息 (例如 VRF等 ) ；

本实施例中 AAA服务器可动态下发用户信息给该用户终端对应的业务控制服务器，用户信息的下发不依赖于业务控制服务器是否有该用户终端的信息存在。

本实施例中， AAA服务器可在用户终端与其完成认证的过程中，获取该用户终端对应的业务控制服务器的信息；也可直接通过运营商获取到该用户终端对应的业务控制服务器的信息，本实施例的后续部分会对业务控制服务器信息的获取进行详细说明；

步骤 103: 业务控制服务器根据接收到的用户信息对该用户终端的业务进行策略控制。本实施例中业务控制服务器对用户终端的业务进行策略控制包括根据该用户信息向其转发面下发与该用户终端对应的用户表、路由表等用户转发信息表，应当理解的是，本实施例中的业务控制服务器除了可选用 BNG设备实现外，还可选用具备上述功能的其他任意通信设备，在此不再赘述。

本实施例中业务控制服务器在接收到的用户信息对该用户终端的业务进行策略控制后，还包括向 AAA服务器发送计费开始指令，通知 AAA服务器开始计费。

请参见图 2所示，在本实施例中，上述步骤 103之后，还包括以下步骤：步骤 104: 用户终端下线时， AAA服务器向业务控制服务器发送用户下线指令；

AAA服务器判断用户终端是否下线可根据该用户终端的业务的策略判断，也可接收认证服务器发送的相关信息判断；例如，当该用户终端是通过认证服务器该 AAA服务器完成认证的时（此时的认证服务器则充当 AAA客户端），当用户终端离线时，认证服务器如果先感知，为了避免使用计费停止 "^文影响现有业务流程，可以发送用户下线通告消息给服务器通知用户下线，为了保证可靠性，可设置强制要求该消息通告需要应答，当然，在实际应用中，也可根据具体应用的场景不要求针对该消息通告进行应答； AAA服务器收到该用户下线通告消息得知用户终端下线后，即可判定该用户终端下线，进而撤销该用户终端的业务策略，并发送 DM消息报文向业务控制服务器发送用户下线指令；在本实施例中，要求删除指定用户前，允许在一定时间或流量余量时提示用户续费，以便于更新服务器上的用户租约。且对于这种认证服务器和业务控制点分离场景的接入用户，服务器还可允许业务控制点继续上报计费停止报文，完成正常的用户计费。

步骤 105: 业务控制服务器接收到所述用户下线指令后，结束对该用户终端的业务的策略控制；具体的，业务控制服务器可删除该用户终端对应的转发面的用户转发信息表；此时，业务控制服务器还可发送计费停止报文给服务器。

基于上述分析可知，本实施例中的用户终端与 AAA服务器完成认证的方式至少包括两种，下面对这两种方式分别进行说明：

当用户终端是与 AAA服务器自动完成认证交互时，请参见图 3所示，该过程包括以下步骤：

步骤 301 : 认证服务器和业务控制服务器确认关联关系；

该步骤主要可通过配置（本地命令配置或者 NMS远程配置）来实现。例如 AC做认证服务器时，可在 AC上配置直接对应的 BNG设备 (即业务控制服务器）， AP做认证服务器时， AC可将 BNG设备信息通过 CAPWAP 控制消息下发给 AP。原则上要求一个认证服务器的业务只能关联一个有效的业务控制服务器（也即业务控制点），并有链路上的对应关系，业务控制服务器到认证服务器是点到多点的关系，认证服务器到业务控制服务器是点到点的关系。本实施例允许按域隔离（二层上体现为 VLAN隔离，无线侧通过 ESSID映射 VLAN,有线侧通过 L2网络配置的 VLAN来完整隔离用户终端或逻辑认证服务器实例，即 ESS到业务控制点的接入链路），将一个认证服务器服务设备虚拟成多个逻辑认证服务器实例，从而实现一个物理认证服务器和多个物理业务控制点的关联；

步骤 302: 用户终端关联到认证服务器，并通过认证服务器完成和服务器的认证交互；在该过程中认证服务器充当 AAA服务器的 AAA客户端，用户终端关联到认证服务器后，认证服务器为该用户终端确定对应的业务控制服务器，在该认证交互过程中，认证服务器将为该用户终端确定的业务控制服务器的信息发送给 AAA服务器。在用户终端通过认证服务器的认证后，认证服务器还可进一步为该用户终端分配 IP地址，且通过该认证服务器发送给 AAA服务器。在上述过程中，业务控制服务器的信息可包括该业务控制服务器的地址、和 /或身份标识等信息。本实施例中用户终端的业务策略可以是或者不是一种显式的过程数据，只要能产生的添加用户信息 (根本特征在于包括完整用户终端授权数据，相当于认证通过消息中包括的授权数据，能让业务控制服务器生成用户的转发信息表，执行转发和业务控制等功能)的实际动作即可；然后 AAA服务器可向其通过认证服务器间接关联的业务控制服务器动态下发用户信息，本实施例可釆用 AAA协议使用专门的消息类型来承载实现该功能的授权信息，以区别于现有 AAA协议的认证接收消息和动态授权消息。该动态下发的用户信息报文中携带用户终端的地址以及用户终端相关的各种授权信息等。业务控制服务器收到该用户信息后，即可生成该用户终端的用户表，甚至路由表等转发信息表，最终实现用户终端的业务的策略控制，例如对用户终端上网权限等业务的控制，本业务控制服务器还可执行用户终端上下行的流量计费和业务控制（例如 ACL、 CAR等）。

在图 3 所示应用场景下，当用户终端信息变更时，则可由认证服务器直接将用户信息变更通告消息发送到 AAA服务器；具体可通过计费更新消息携带这些变更信息发送到服务器，也可通过扩展 AAA协议，使用专门的信息通告消息来通告这些用户信息的变更； AAA服务器收到用户信息变更通告消息后，即可生成对应的更新后的用户信息发送给业务控制服务器，具体可通过 COA报文发送，以供业务控制服务器变更相应的授权信息。

当用户终端是通过手动与 AAA服务器完成认证时，也即上述认证服务器不体现在网络上时，此时业务控制服务器上则没有用户信息，用户可直接通知运营商开通相应的业务权限：例如，用户可通过电话等通信方式通知运营商开通上网权限，告知运营商用户终端的 MAC地址、 IP地址和开通时长等信息；运营商收到用户通知后，即可查询到该用户终端 IP地址对应的业务控制服务器的信息，进而将业务控制服务器信息发送给服务器，服务器根据该信息即可将相关用户信息发送到用户终端对应的业务控制服务器上。此时，当用户终端的用户信息变更时， AAA服务器也可通过运营商获得用户信息变更通告消息，进而生成对应的更新后的用户信息发送给业务控制服务器，具体可通过 COA报文发送，以供业务控制服务器变更相应的授权信息。

本实施例中，在各种异常场景下，认证服务器、业务控制服务器和服务器上的用户信息最终要求保持一致，当然在认证服务器不体现在宽带网络上时，则需保证业务控制点和服务器上的用户信息最终要一致。

在支持 WLAN漫游的场景下，服务器可能会收到针对已认证用户的欺骗性质通告，从而修改业务控制服务器上绑定的电路信息。本实施例可以通过在服务器发送给认证服务器的授权信息中添加会话密钥（例如 PMK )的方式来解决，此时用户漫游后，对于携带电路更新的计费停止报文需使用密钥签名，以防止出现上述欺骗的情况发生。

本实施例中，服务器和业务控制服务器之间动态下发用户信息的机制还包含如下特点：服务器和业务控制服务器可以通过开关控制服务器和业务控制服务器是否需要打开这种动态下发用户信息机制，以保证在现有协议基础上平滑升级支持该机制。另外，服务器发送给业务控制服务器的动态下发用户信息报文中，用户信息属性可以根据实际需要进行扩展。本实施例中扩展的 AAA协议适用于 Radius, Diameter, TACPLUS等 AAA协议。

可见，本实施例提供的方案可充分利用前端接入设备的控制面资源，在现 WLAN网络允许用户的认证服务器和业务控制点分离的场景下，降低业务控制点的业务压力，同时提高了 WLAN接入网络支持漫游、密钥协商功能的反应速度，减少时延和漫游切换时间间隔，并且可以单独作为一种根据 AAA服务器配置的策略下发用户的方案提供更灵活的业务开展方式和用户业务的精细化控制手段。为了更好的理解本发明，下面结合几种的几种应用场景分别对本发明进行详细的说明；在下面各实施例中，以实现对用户终端上网权限的控制、业务控制服务器称之为业务控制点、认证服务器称之为认证点为例进行说明；且下面各实施例中，以 AAA协议釆用 Radius协议作为示例进行说明。实施例二：

本实施例中，实现用户 802. IX客户端接入 +EAP认证， AC和 BNG分离的场景下，用户终端上线， AAA服务器动态下发用户信息给 BNG; 用户下线， AAA服务器通知 BNG用户下线。

请参见图 4所示，该图所示为本实施例中网络拓朴结构示意图，包括用户终端 STA, 瘦 AP, 交换机 SW, 认证服务器 AC, AAA服务器，业务控制点 BNG以及 L3Net; 基于图 4所示的网络拓朴结构，请参见图 5所示，实现上述通信过程的步骤如下：

步骤 501 :通过配置或专有接口将 BNG的 IP、 NASID等信息下发给 AC; 步骤 502:用户终端发现并关联到 AP;

步骤 503: AP上报用户终端信息给 AC;

步骤 504: 用户使用 802.1X终端发起认证，发送 EAPoL-Start (开始）报文给 AP;

步骤 505: AP转交 EAPoL-Start报文给认证服务器 AC;

步骤 506: AC发送 EAP-Request-Identity (请求认证）报文给用户终端，联通用户终端和 AAA服务器；

步骤 507: AC发送认证请求报文给 AAA服务器，携带 BNG的 IP和 NASID, 并通告该会话要求 AAA服务器提供认证服务器和业务控制分离服务；

步骤 508: 用户使用 802. IX终端经由 WLAN网络（即 AP+AC )和 AAA 服务器进行 EAP认证交互。步骤 509: AAA服务器发送认证结果报文给 AC, 成功时下发认证服务器需要的授权属性，例如 PMK、用户授权 IP等；

步骤 510: AC将认证结果用 EAP-Success/Failure (成功 /失败 )报文通告给用户终端；

步骤 511 : 用户终端和 AC (或 AP )之间进行密钥协商，用户终端通过

DHCP流程，从认证服务器获取地址，该地址可以间接从 BNG获取（例如 AC做 DHCP Proxy ) ；

步骤 512: AC通过信息通告报文通知 AAA服务器用户地址信息；步骤 513: AAA服务器通过动态下发信息报文向用户终端选定的 BNG (也即用户终端对应的 BNG )下发用户信息，下发的信息应包括认证结束时的静态授权信息；

步骤 514: BNG根据动态下发的信息报文获取用户信息，并生成用户表，发送计费开始报文给 AAA服务器；

步骤 515: 用户终端和 AP解关联，去认证或者使用 802. IX客户端主动下线；

步骤 516: AC发送信息通告报文给 AAA服务器通知用户下线，报文中携带该用户对应的 BNG的 IP、 NASID等信息；

步骤 517: AAA服务器发送 DM报文通知用户关联的 BNG用户下线；步骤 518: BNG发送计费停止报文给 AAA服务器，并删除用户表。实施例三：

本实施例中，基于图 6所示的网络拓朴结构实现用户终端 DHCP接入 +Web认证， AC和 BNG分离的场景下，用户终端 Web认证成功后， AAA 服务器动态下发用户信息给 BNG; 用户下线， AAA服务器通知 BNG用户下线。请参见图 7所示，该通信过程包括：

步骤 701：通过配置或者专有接口将 BNG的 IP、NASID信息下发给 AC; 步骤 702: 用户终端发现并关联到 AP;

步骤 703: AP将用户终端信息上报给 AC;

步骤 704: 用户终端通过 DHCP流程从认证服务器 AC获取地址，该地址可间接从 BNG获取（例如 AC做 DHCP Proxy ) ；

步骤 705: STA访问网页，发送 http报文给 AC进行 TCP建链；步骤 706: AC下发 Web用户表； AC收到用户的 http报文后回复重定向报文，将其引导到 Portal (门户）服务器所在的 Web服务器；

步骤 707: 用户终端和 Portal服务器建立 HTTP交互；

步骤 708: Portal服务器给用户终端推出认证页面；

步骤 709: 用户输入用户名和密码后向发 Portal服务器起认证；步骤 710: Portal服务器向 AC发起认证请求；

步骤 711 : AC和 AAA服务器进行认证交互， AC发送认证请求到 AAA 服务器时，携带 BNG的 IP和 NASID, 并通告该会话要求 AAA服务器提供认证服务器和业务控制分离服务；

步骤 712: AC向 Portal服务器反馈认证结果；

步骤 713: Portal服务器向用户终端推出认证结果对应的页面；步骤 714: 认证成功后， AAA服务器向用户终端选定的 BNG用动态下发信息报文，该信息报文中包括用户信息；

步骤 715: BNG根据动态下发信息报文获取用户信息，生成用户表，发送计费开始报文给 AAA服务器；

步骤 716: 用户终端和 AP解关联主动下线；

步骤 719: AP通知 AC用户终端下线；

步骤 718: AC发送信息通告报文给 AAA服务器通知用户下线，报文中携带该用户终端对应的 BNG的 IP等信息；

步骤 717: AAA服务器发送 DM 4艮文给用户终端关联的 BNG, 通知用户下线；

步骤 720: BNG发送计费停止报文给 AAA服务器，并删除用户表。实施例四：

本实施例中拓朴组网图和实施例二中的图 4相同，在 BNG上已经存在用户信息的情况下，用户终端在 ESS中漫游，用户终端 NAS-PORT-ID信息变更，此时， BNG上的用户授权信息更新过程请参见图 8所示，包括：

步骤 801：新 AP通告 AC新用户关联以获取用户的相关信息，包括 PMK; 步骤 802: 本实施例只中，为了进一步提高可靠性， AC参入 PMK的传递，将老 AP上保存的用户 PMK传递给新的 AP;

步骤 803：新 AP与 STA在 RSN配置 WPA/WPA2加密方式的情况下，进行密钥协商；

步骤 804: AC通过信息通告文通知 AAA服务器用户 NAS-PORT-ID 更新；

步骤 805: AAA服务器发送 COA报文给 BNG更新用户终端的授权信息。实施例五：

本实施例中，在用户终端不进行认证， BNG上没有用户信息的场景下，用户可直接通知运营商开通上网权限，从账户余额中扣除费用。本实施例适用于 BNG和 AAA服务器连接的无线接入和有线接入场景，这里以有线接入为例，用户可电话通知运营商开通上网权限，告知用户终端的 Mac地址、 IP地址和开通时长信息等，运营商收到用户通知后，即可查询到该用户终端 IP对应连接的 BNG信息，并发送给 AAA服务器，此时，请参见图 9所示，后续过程包括：

步骤 901 : AAA服务器通过动态下发信息报文把用户的信息下发到对应的 BNG上；步骤 902: BNG根据收到的动态下发信息报文，下发用户表，给该用户开通上网权限，并发送计费开始报文给 AAA服务器，开始计费；

步骤 903: AAA服务器收到用户申请延长上网时长请求；

在该步骤中，如果过了申请时间，用户没有再次申请延长时间， AAA 服务器将发送 DM报文给 BNG, 通知用户下线；

步骤 904: AAA服务器将发送 COA报文给 BNG, 通知更新用户在线时长；

步骤 905: 用户上网时长到期， AAA服务器发送 DM报文给业务控制点通知用户下线；

步骤 906: BNG发送计费停止报文给 AAA服务器，删除用户表。

以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发明的具体实施只局限于这些说明。对于本发明所属技术领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护范围。

工业实用性

可见，本发明实施例提供的方案可以很好地解决认证服务器和业务控制服务器分离的场景下用户管理的问题，降低了业务控制服务器的业务压力；且可提高 WLAN接入网络支持漫游、密钥协商功能的反应速度，减少了时延和漫游切换时间间隔，实现简单，易于扩展。同时本发明还釆用了信息通告的机制， AAA服务器可以实时地感知到用户信息的变更，灵活性较强；且本发明兼容当前 Radius协议的所有应用场景。

Claims

权利要求书

1. 一种通信管理方法，所述通信管理方法包括：

用户终端认证通过后或用户终端的用户信息变更时，认证授权计费 AAA 服务器将所述用户终端的用户信息发送给所述用户终端对应的业务控制服务器，所述用户信息包括用户终端的授权信息；

所述业务控制服务器根据所述用户信息对所述用户终端的业务进行策略控制。

2. 如权利要求 1所述的通信管理方法，其中，所述通信管理方法还包括：

所述业务控制服务器接收到所述用户下线指令后，结束对所述用户终端的业务的策略控制。

3. 如权利要求 1所述的通信管理方法，其中，所述用户终端的授权信息包括用户终端的地址信息、和 /或用户终端的标识信息、和 /或用户终端的业务策略信息。

4. 如权利要求 2所述的通信管理方法，其中，所述业务控制服务器根据所述用户信息对所述用户终端的业务进行策略控制包括：

5. 如权利要求 2所述的通信管理方法，其中，所述方法还包括：所述业务控制服务器根据所述用户信息对所述用户终端的业务进行策略控制后，向所述 AAA服务器发送开始计费指令；所述业务控制服务器接收到所述用户下线指令后，向所述 AAA服务器发送停止计费指令。

6. 如权利要求 2-5任一项所述的通信管理方法，其中，所述用户终端的认证包括：

所述用户终端通过认证服务器与所述 AAA服务器完成认证；

或所述用户终端通过运营商与所述 AAA服务器完成认证。

7. 如权利要求 6所述的通信管理方法，其中，所述用户终端通过认证服务器与所述 AAA服务器完成认证包括：

认证服务器与业务控制服务器确定关联关系；

8. 如权利要求 6所述的通信管理方法，其中，所述用户终端通过运营商与所述 AAA服务器完成认证时，所述 AAA服务器从所述运营商获取与所述用户终端对应的业务控制服务器的信息。

9. 如权利要求 7所述的通信管理方法，其中，所述管理方法还包括：所述认证服务器检测到所述用户终端的用户信息变更时，向所述 AAA 服务器发送用户信息变更通告消息；

或所述 AAA服务器接收运营商发送的用户信息变更通告消息。

10. 如权利要求 7所述的通信管理方法，其中，所述管理方法还包括：所述认证服务器检测到所述用户终端下线时，向所述 AAA服务器发送用户下线通告消息。

11. 一种通信系统，所述通信系统包括用户终端、业务控制服务器和认证授权计费 AAA服务器；

12. 如权利要求 11所述的通信系统，其中，所述 AAA服务器还设置为：在所述用户终端下线时，向所述业务控制服务器发送用户下线指令；所述业务控制服务器还设置为：接收到所述用户下线指令后，结束对所述用户终端的业务的策略控制。

13. 如权利要求 11所述的通信系统，其中，所述用户终端的授权信息包括用户终端的地址信息、和 /或用户终端的标识信息、和 /或用户终端的业务策略信息。

14. 如权利要求 12所述的通信系统，其中，所述业务控制服务器设置为：根据所述用户信息对所述用户终端的业务进行策略控制包括：

15. 如权利要求 12所述的通信系统，其中，所述业务控制服务器还设置为：根据所述用户信息对所述用户终端的业务进行策略控制后，向所述 AAA服务器发送开始计费指令；以及接收到所述用户下线指令后，向所述 AAA服务器发送停止计费指令。

16. 如权利要求 12-15任一项所述的通信系统，其中，所述通信系统还包括认证服务器，所述用户终端设置为：通过所述认证服务器与所述 AAA 服务器完成认证；或所述用户终端设置为：通过运营商与所述 AAA服务器成认证。

17. 如权利要求 16所述的通信系统，其中，所述用户终端设置为：通过认证服务器与所述 AAA服务器完成认证包括：

认证服务器与业务控制服务器确定关联关系；

18. 如权利要求 16所述的通信系统，其中，所述 AAA服务器还设置为：在所述用户终端通过运营商与之完成认证时，从所述运营商获取与所述用户终端对应的业务控制服务器的信息。

19. 如权利要求 17所述的通信系统，其设置为：，所述认证服务器还设置为：检测到所述用户终端的用户信息变更时，向所述 AAA服务器发送用户信息变更通告消息；

所述 AAA服务器还设置为：接收所述认证服务器发送的用户信息变更通告消息，或接收运营商发送的用户信息变更通告消息。

20. 如权利要求 17所述的通信系统，其中，所述认证服务器还设置为：检测到所述用户终端下线时，向所述 AAA服务器发送用户下线通告消息。