专利名称:一种融合网络中隧道建立的方法及系统的制作方法
技术领域:
本发明涉及通信技术领域,尤其涉及一种融合网络中隧道建立的方法及系统。
背景技术:
目前,随着 WCDMA (Wideband Code Division Multiple Access,宽带码分多址技 术)/CDMA2000,特别是 TD-SCDMA (Time Division-Synchronous Code Division Multiple Access,时分同步码分多址)产业链的不断成熟,以及3G (The 3rd Generation,第三代移 动通信技术)用户数量不断增长,3G移动通信应用业务日益丰富,移动网络的承载能力与大 流量、高带宽的业务需求之间的矛盾日益突出。移动用户的分布及业务使用特点往往在特 定的商业、交通及办公区域,移动用户非常集中,平均及瞬间流量大。3G技术难以支撑大量 的数据用户多媒体应用的需求。WLAN (Wireless Local Area Networks,无线局域网)与3G是互补性很强的两种 技术。3G作为一种移动通信技术,具有覆盖范围广、支持高速移动性的优点,但速率相对较 低;而WLAN相对速率高,但覆盖范围窄、支持有限的移动性。WLAN有较高的带宽,弥补了 3G 速率较低的不足;WLAN相对能够支持较多的数据用户,弥补3G用户容量的不足;具有WLAN 功能的终端设备普及,为3G卸载空口压力到WLAN提供了极大的方便;WLAN设备成本低,在 部署3G的同时在适当场所加以补充WLAN,则可以获得事半功倍的效果。因此,融合技术越 来越受到关注,就WLAN与3G融合来讲,3GPP、3GPP2等组织都有针对性的研究。如图1所示,终端在接入3G/WLAN融合网络时,首先选择一个WLAN AN (WLAN Access Network,WLAN 接入网络)进行关联,并根据终端的 IMSI (International Mobile Subscriber Identification Number,国际移动用户识别码)构造 NAI (Network Access Identifier,网络访问标识),然后发起接入融合网络的EAP (Extensible Authentication Protocol,扩展认证协议)认证与授权流程,终端与AAA Server (Authentication、 Authorization, Accounting Server,认证、授权和计费服务器)之间的鉴权方法一般使用 EAP-AKA (Authentication and Key Agreement,^ EAP-SIM (Subscriber Identity Modules,用户识别模块)算法。WLAN AN负责转发终端和3GPP (第三代合作伙 伴计划)AAA Server之间的鉴权和授权的消息。如果UE通过认证,则通过DHCP (Dynamic Host Configuration Protocol,动态主机配置协议)服务器获取WLAN网络分配的IP地址 以及DNS (Domain Name System,域名系统)服务器地址,UE可以使用该IP地址直接访问 Internet。UE在接入3G/WLAN融合网络后,当需要访问3G网络的PS域(Packet Switched Domain,分组交换域)业务时,则要发起PS接入流程。具体地,UE根据要访问的W-APN (WLAN-Access Point Name,WLAN接入点名)向DNS服务器查询获取隧道服务器的IP地址, 然后开始UE与隧道服务器之间的隧道建立流程。UE与隧道服务器之间的接入认证流程仍 然采用EAP认证流程,具体鉴权协议为EAP-AKA或EAP-SIM,该隧道接入认证流程与UE接入 WLAN AN的接入认证流程相同。
根据上述描述,现有技术中存在如下技术问题终端在3G/WLAN融合网络中通过 了与WLAN AN的EAP认证流程后,在访问PS域业务时,仍需要进行新一轮的EAP认证流程, 这样,使得隧道建立过程较为复杂,隧道建立的效率不高。
发明内容
本发明解决的技术问题是提供一种融合网络中隧道建立的方法及系统,提高终端 在3G/WLAN融合网络中隧道建立的效率。为解决上述技术问题,本发明提供了一种融合网络中隧道建立的方法,
用户终端通过无线局域网接入网络(WLAN AN)的接入认证流程接入移动通信网络和 WLAN融合网络中后,在访问所述移动通信网络的分组交换(PS)域业务时,在向隧道服务器 发起的隧道建立请求中包含WLAN认证指示信息;
所述隧道服务器收到隧道建立请求后,如果其中包含WLAN认证指示信息,则直接根据 所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。进一步地,如果所述隧道服务器收到的隧道建立请求中不包含WLAN认证指示信 息,则所述隧道服务器向所述终端发起安全认证流程。进一步地,所述隧道建立请求中还包含用户标识、请求访问的无线局域网接入点 名(W-APN);
所述隧道服务器收到所述隧道建立请求后,根据所述用户标识查找所述用户的授权信 息,并根据查找到的所述用户的授权信息中包含的授权的APN列表,判断所述用户请求访 问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所述PS域业务已 授权访问,并向所述终端返回隧道建立成功响应。 进一步地,如果所述终端请求访问的W-APN不在授权的APN列表中,则所述隧道服 务器判断所述PS域业务未授权访问,则不允许所述用户建立隧道,并向所述终端返回隧道 建立失败响应。进一步地,所述隧道服务器收到所述隧道建立请求后,在根据所述用户标识查找 所述用户的授权信息时,首先根据所述用户标识查找本地是否保存有所述用户的授权信 息,如果本地没有保存,则向所述移动通信网络的认证、授权和计费(AAA)服务器获取所述 用户的授权信息,并将获取到的所述用户的授权信息保存到本地。本发明还提供了一种融合网络中隧道建立的系统,应用于终端,所述终端包括 WLAN接入模块,用于通过WLAN AN的接入认证流程接入移动通信网络和WLAN融合网络;
所述终端还包括隧道建立请求模块,用于在所述WLAN接入模块通过WLAN AN的接入认 证流程接入所述融合网络中后,访问移动通信网络的PS域业务时,向隧道服务器发起隧道 建立请求,并在所述隧道建立请求中包含WLAN认证指示信息。进一步地,所述隧道建立请求模块还用于,在所述隧道建立请求中包含用户标识、 请求访问的W-APN。本发明还提供了一种融合网络中隧道建立的系统,应用于隧道服务器,所述系统 包括
隧道服务器中的隧道建立请求处理模块,用于收到终端访问移动通信网络的PS域业 务时发起的隧道建立请求时,如果其中包含WLAN认证指示信息,则获知所述终端已经通过LAN AN的接入认证流程,则直接根据所述PS域业务是否已授权访问判断是否允许所述用
户建立隧道。进一步地,所述隧道建立请求处理模块还用于,如果收到的隧道建立请求中不包 含WLAN认证指示信息,则向所述终端发起安全认证流程。进一步地,所述隧道建立请求处理模块还用于,收到所述隧道建立请求后,根据所 述隧道建立请求中包含的所述用户标识在本地查找或者向所述移动通信网络的AAA服务 器获取所述用户的授权信息,并根据所述用户的授权信息中包含的授权的APN列表,判断 所述用户请求访问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所 述PS域业务已授权访问,并向所述终端返回隧道建立成功响应;如果不在授权的APN列表 中,则不允许所述用户建立隧道,并向所述终端返回隧道建立失败响应。本发明对3G/WLAN融合网络中原有隧道建立流程进行了简化和优化,不再向终端 重复发起安全认证请求,提高了隧道建立的效率,降低了隧道建立的复杂度,同时也保证了 隧道建立的安全性。
此处所说明的附图用来提供对本发明的进一步理解,构成本申请的一部分,本发 明的示意性实施例及其说明用于解释本发明,并不构成对本发明的不当限定。在附图中
图1为WLAN与3G融合网络结构示意图2为依据本发明实施例的隧道建立的交互流程图3为依据本发明实施例的隧道服务器处理隧道建立请求的流程图。
具体实施例方式本发明的核心思想在于,在终端需要访问PS域业务,向隧道服务器发起隧道建立 请求时,通过在请求中增加特定的字段来通知隧道服务器该用户已通过了与WLAN AN的 EAP认证流程;隧道服务器通过该字段即可判断是否需要向用户发起EAP认证流程。如果 终端用户已经通过WLAN AN的接入认证流程,则不需要再发起新一轮的EAP认证流程,同时 向3GPP AAA获取该用户的授权信息。隧道服务器将隧道建立请求中的W-APN与用户授权 信息中允许访问的APN列表进行比较,如果请求的APN被授权访问,则隧道服务器同意建立 隧道,向终端返回隧道建立响应,并将安全隧道参数以及IP等信息一起返回。基于上述思想,本发明提出一种融合网络中隧道建立的方法,具体采用如下技术 方案
终端通过WLAN AN的接入认证流程接入移动通信网络和WLAN融合网络中后,访问3G 网络的PS域业务时,向隧道服务器发起隧道建立请求,并在所述隧道建立请求中包含WLAN 认证指示信息;
所述隧道服务器收到隧道建立请求后,如果其中包含WLAN认证指示信息,则直接根据 所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。其中,所述移动通信网络可以是2G/3G网络,也可以是其他移动通信网络。进一步地,如果所述隧道服务器收到的隧道建立请求中不包含WLAN认证指示信 息,则所述隧道服务器向所述终端发起安全认证流程。
其中,所述隧道建立请求中还包括用户标识、请求访问的W-APN ;
所述隧道服务器收到所述隧道建立请求后,根据所述用户标识查找所述用户的授权信 息,并根据查找到的所述用户的授权信息中包含的授权的APN列表,判断所述用户请求访 问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所述PS域业务已 授权访问,并向所述终端返回隧道建立成功响应。进一步地,如果所述用户请求访问的W-APN不在授权的APN列表中,则不允许所述 用户建立隧道,并向所述终端返回隧道建立失败响应。进一步地,所述隧道服务器收到所述隧道建立请求后,首先根据所述用户标识查 找本地是否保存有所述用户的授权信息,如果本地没有保存,则向所述移动通信网络的AAA Server获取所述用户的授权信息,并将获取的所述用户的授权信息保存到本地。进一步地,所述隧道服务器在完成所述终端的隧道建立后,通知所述移动通信网 络的AAA Server所述终端已接入PS域并且访问所述W-APN。进一步地,所述隧道服务器在完成所述终端的隧道建立后,通知所述终端的HLR (Home Location Register,归属位置寄存器)对所述用户的信息进行更新。为了便于阐述本发明,以下将结合附图及具体实施例对本发明技术方案的实施作 进一步详细描述。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征 可以相互任意组合。图1示出了 WLAN与3GPP融合网络下,终端以及各网络节点之间的连接示意 图。其中,终端为具有WLAN和3G接入的双模终端,并且支持SIP协议栈。终端可以通过 WLAN接入网络(WLAN AN)直接访问Internet,也可以由隧道服务器通过建立隧道访问3G业 务。隧道服务器是用户通过WLAN接入到3G PS域的网关,主要功能为隧道建立、分组路由、 地址解析以及IP地址绑定等。同时在本发明中,隧道服务器还需有支持SIP协议(Session Initiation Protocol,会话发起协议),以及保存用户授权信息的功能。3GPP AAA主要用于 EAP认证,同时向隧道服务器提供用户的授权信息以及密钥套件。HLR则主要用于存储用户 鉴权信息以及授权信息,并在AAA需要时提供给AAA。图2示出了本发明实施例的建立隧道时各网元之间的交互流程图。如图2所示, 以3G和WLAN的融合网络为例,该流程主要包括以下步骤
步骤1,终端首先发起到WLAN AN的接入流程;
该流程中包含了 EAP-AKA或EAP-SIM鉴权流程,具体流程可参照现有技术,本文中不再 详细叙述该鉴权流程。步骤2,终端成功接入WLAN AN后,如果要访问3GPS业务,则向隧道服务器发起隧 道建立请求;
本发明中,隧道建立请求通过SIP Register (SIP注册)消息发送给隧道服务器,其中 携带了用户标识、请求访问的W-APN,以及WLAN-Ind字段。其中,WLAN-Ind为用户自定义字 段,用于通知隧道服务器该终端用户已经通过WLAN AN的安全认证。步骤3,隧道服务器在收到终端的隧道建立请求后,根据WLAN-Ind字段判 断终端已完成WLAN AN的安全认证流程,则根据终端的用户标识查找该用户的授权信息,首 先判断本地是否保存有该用户的授权信息,如果本地保存有,则直接执行步骤7,否则,可通 过下述可选步骤4和步骤5向3GPP AAA获取该用户的授权信息;该步骤中,如果请求消息中含有WLAN-Ind字段,则认为终端用户已经通过了 WLAN AN 的安全认证,隧道服务器不再向终端发起EAP认证;否则,隧道服务器将向终端发起EAP认 证流程,同时还进行隧道建立的常见流程,此处对EAP流程及隧道建立的常见流程不再进 行赘述。步骤4,隧道服务器根据终端的用户标识,首先在本地查找该用户的授权信息, 如果本地未存储该用户授权信息,则向3GPP AAA发起请求(如通过接入请求access request),获取用户授权信息。步骤5,3GPP AAA返回该用户的授权信息(如通过接入接受access acc印t),主要 包括 MSISDN (Mobile Subscriber ISDN number,移动用户号码)、APN、QoS (Quality of Service,服务质量)等,以及终端接入WLAN AN时生成的密钥套件。步骤6,隧道服务器将获取到用户的授权信息保存到本地。步骤7,隧道服务器将终端隧道建立请求中携带的请求访问的W-APN与用户授 权访问的APN进行比较,判断用户请求访问的W-APN是否已被授权访问,如果请求访问的 W-APN存在于允许访问的APN列表中,则隧道服务器允许终端的隧道建立请求。步骤8,隧道服务器在完成对终端用户的安全认证以及隧道建立后,通知3GPP AAA 该终端已接入3G PS域并且访问W-APN,同时AAA还需通知HLR对该用户信息进行更新。步骤9,隧道服务器生成对应该APN的隧道参数,安全联盟参数,分配给终 端用户远端IP地址,并与终端的本地IP绑定,同时将这些参数连同隧道建立结果一起,通 过200 0K消息发送给终端。步骤10、 终端在收到200 0K消息后,获取隧道参数、安全联盟参数以及隧道 服务器分配的远端IP地址,用于终端的隧道建立。在隧道建立成功之后,终端就可以访问 3G PS域业务了。终端和隧道服务器在终端访问3G业务的过程中,数据加密和完整性保护 的密钥都沿用终端接入WLAN AN时产生的安全密钥套件。图3示出了隧道服务器在收到终端的隧道建立请求后,对隧道建立请求进行处理 的具体流程。参见图3,该流程具体描述如下
步骤一,隧道服务器收到终端的隧道建立请求;
步骤二,从终端的请求中解析WLAN-Ind字段,如果终端接入WLAN-AN时已通过安全认 证,则不再向终端发起安全认证请求;
步骤三,查看本地是否已保存该用户对应的授权信息,如果已保存,则直接执行步骤 六,否则,执行下一步骤四;
步骤四,如果隧道服务器本地没有保存该用户对应的授权信息,则向3GPP AAA发起请 求,要求获取该用户授权信息;
步骤五,隧道服务器收到3GPP AAA返回的用户授权信息后,在本地保存; 步骤六,隧道服务器根据用户的授权信息,判断用户请求访问的W-APN是否在授权的 APN列表中;如果是,则执行下一步骤七,否则,向终端返回相应的授权处理结果; 步骤七,向终端返回隧道建立成功的响应。此外,本发明实施例中还提供了一种融合网络中隧道建立的系统,应用于终端,包 括WLAN接入模块,该WLAN接入模块用于通过WLAN AN的接入认证流程接入移动通信网络 和WLAN融合网络;所述终端还包括隧道建立请求模块,用于在所述WLAN接入模块通过WLAN AN的接入认 证流程接入所述融合网络中后,访问移动通信网络的PS域业务时,向隧道服务器发起隧道 建立请求,并在所述隧道建立请求中包含WLAN认证指示信息。进一步地,所述隧道建立请求模块还用于,在所述隧道建立请求中包含用户标识、 请求访问的W-APN。此外,本发明还提供了一种融合网络中隧道建立的系统,应用于隧道服务器,所述 系统包括
隧道服务器中的隧道建立请求处理模块,用于收到终端访问移动通信网络的PS域业 务时发起的隧道建立请求时,如果其中包含WLAN认证指示信息,则获知所述终端已经通过 LAN AN的接入认证流程,则直接根据所述PS域业务是否已授权访问判断是否允许所述用
户建立隧道。进一步地,所述隧道建立请求处理模块还用于,如果收到的隧道建立请求中不包 含WLAN认证指示信息,则向所述终端发起安全认证流程。进一步地,所述隧道建立请求处理模块还用于,收到所述隧道建立请求后,根据所 述隧道建立请求中包含的所述用户标识在本地查找或者向所述移动通信网络的AAA服务 器获取所述用户的授权信息,并根据所述用户的授权信息中包含的授权的APN列表,判断 所述用户请求访问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所 述PS域业务已授权访问,并向所述终端返回隧道建立成功响应;如果不在授权的APN列表 中,则不允许所述用户建立隧道,并向所述终端返回隧道建立失败响应。以上仅为本发明的优选实施案例而已,并不用于限制本发明,本发明还可有其他 多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员可根据本发 明做出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求 的保护范围。显然,本领域的技术人员应该明白,上述的本发明的各模块或各步骤可以用通用 的计算装置来实现,它们可以集中在单个的计算装置上,或者分布在多个计算装置所组成 的网络上,可选地,它们可以用计算装置可执行的程序代码来实现,从而,可以将它们存储 在存储装置中由计算装置来执行,并且在某些情况下,可以以不同于此处的顺序执行所示 出或描述的步骤,或者将它们分别制作成各个集成电路模块,或者将它们中的多个模块或 步骤制作成单个集成电路模块来实现。这样,本发明不限制于任何特定的硬件和软件结合。
权利要求
一种融合网络中隧道建立的方法,其特征在于,用户终端通过无线局域网接入网络(WLAN AN)的接入认证流程接入移动通信网络和WLAN融合网络中后,在访问所述移动通信网络的分组交换(PS)域业务时,在向隧道服务器发起的隧道建立请求中包含WLAN认证指示信息;所述隧道服务器收到隧道建立请求后,如果其中包含WLAN认证指示信息,则直接根据所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。
2.如权利要求1所述的方法,其特征在于,如果所述隧道服务器收到的隧道建立请求中不包含WLAN认证指示信息,则所述隧道 服务器向所述终端发起安全认证流程。
3.如权利要求1或2所述的方法,其特征在于,所述隧道建立请求中还包含用户标识、请求访问的无线局域网接入点名(W-APN);所述隧道服务器收到所述隧道建立请求后,根据所述用户标识查找所述用户的授权信 息,并根据查找到的所述用户的授权信息中包含的授权的APN列表,判断所述用户请求访 问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所述PS域业务已 授权访问,并向所述终端返回隧道建立成功响应。
4.如权利要求3所述的方法,其特征在于,如果所述终端请求访问的W-APN不在授权的APN列表中,则所述隧道服务器判断所述 PS域业务未授权访问,则不允许所述用户建立隧道,并向所述终端返回隧道建立失败响应。
5.如权利要求3所述的方法,其特征在于,所述隧道服务器收到所述隧道建立请求后,在根据所述用户标识查找所述用户的授权 信息时,首先根据所述用户标识查找本地是否保存有所述用户的授权信息,如果本地没有 保存,则向所述移动通信网络的认证、授权和计费(AAA)服务器获取所述用户的授权信息, 并将获取到的所述用户的授权信息保存到本地。
6.一种融合网络中隧道建立的系统,其特征在于,应用于终端,所述终端包括WLAN接 入模块,用于通过WLAN AN的接入认证流程接入移动通信网络和WLAN融合网络;所述终端还包括隧道建立请求模块,用于在所述WLAN接入模块通过WLAN AN的接入认 证流程接入所述融合网络中后,访问移动通信网络的PS域业务时,向隧道服务器发起隧道 建立请求,并在所述隧道建立请求中包含WLAN认证指示信息。
7.如权利要求6所述的系统,其特征在于,所述隧道建立请求模块还用于,在所述隧道建立请求中包含用户标识、请求访问的 W-APN。
8.一种融合网络中隧道建立的系统,其特征在于,应用于隧道服务器,所述系统包括隧道服务器中的隧道建立请求处理模块,用于收到终端访问移动通信网络的PS域业务时发起的隧道建立请求时,如果其中包含WLAN认证指示信息,则获知所述终端已经通过 LAN AN的接入认证流程,则直接根据所述PS域业务是否已授权访问判断是否允许所述用 户建立隧道。
9.如权利要求8所述的系统,其特征在于,所述隧道建立请求处理模块还用于,如果收到的隧道建立请求中不包含WLAN认证指 示信息,则向所述终端发起安全认证流程。
10.如权利要求8或9所述的系统,其特征在于,所述隧道建立请求处理模块还用于,收到所述隧道建立请求后,根据所述隧道建立请 求中包含的所述用户标识在本地查找或者向所述移动通信网络的AAA服务器获取所述用 户的授权信息,并根据所述用户的授权信息中包含的授权的APN列表,判断所述用户请求 访问的W-APN是否在授权的APN列表中,如果在授权的APN列表中,则判断所述PS域业务 已授权访问,并向所述终端返回隧道建立成功响应;如果不在授权的APN列表中,则不允许 所述用户建立隧道,并向所述终端返回隧道建立失败响应。
全文摘要
本发明公开了一种融合网络中隧道建立的方法及系统,用户终端通过WLANAN的接入认证流程接入移动通信网络和WLAN融合网络中后,在访问移动通信网络的PS域业务时,在向隧道服务器发起的隧道建立请求中包含WLAN认证指示信息;隧道服务器收到隧道建立请求后,如果其中包含WLAN认证指示信息,则直接根据PS域业务是否已授权访问判断是否允许用户建立隧道。采用本发明,提高了隧道建立的效率,降低了隧道建立的复杂度,同时也保证了隧道建立的安全性。
文档编号H04W76/02GK101984724SQ20101055131
公开日2011年3月9日 申请日期2010年11月19日 优先权日2010年11月19日
发明者康望星, 施元庆 申请人:中兴通讯股份有限公司