专利名称:控制用户会话的方法、会话服务器、aaa服务器和系统的制作方法
技术领域:
本发明实施例涉及数据通信领域,并且更具体地,涉及一种用于在多个网络中控制用户会话的方法、会话月艮务器、AAA (Authentication,Authorization and Accounting, 认证、授权和计费)服务器和系统。
背景技术:
随着数据通信业务多年的发展,目前存在多种数据网络,例如固网宽带、 CDMA (Code Division Multiple Access,码分多址)、WCDMA (Wideband Code Division Multiple Access,宽带码分多址)禾口 WiMAX(Worldwide Interoperability for Microwave Access,全球微波互联接入)等。根据规范定义,每种网络都需要单独建设一套AAA服务器。尽管不同网络下的AAA服务器与NAS(Network Access System,网络接入设备)设备都是通过RADIUS (Remote Authentication Dial In User Service,远程用户拨号认证系统)协议通信的,但其所实现的功能不同,且AAA服务器之间也没有任何联系。当前,一套 AAA服务器可以控制本服务器下的用户会话数,但存在很多运营商或多或少拥有多张网络运营牌照并且在实际运营时都要求多网络统一账号接入的情况。另外,在某些运营场景下, 运营商还要求一个账号同时只能由一个用户接入一种网络,即存在多套AAA服务器之间的会话数控制管理。但是,由于目前运营商建设的AAA服务器相对比较独立,所以在多套AAA 服务器之间很难做到会话数控制。
发明内容
本发明实施例提供一种用于在多个网络中控制用户会话的方法、会话服务器、AAA 服务器和系统,能够集中管理多个网络的用户信息,从而使现在多套AAA服务器之间的会话数控制。根据本发明实施例的一个方面,提供了一种用于在多个网络中认证用户会话的方法,该方法包括根据从位于不同网络中的多个认证、授权和计费AAA服务器发送的会话信息通知的类型来管理会话信息;以及根据在会话服务器上管理的会话信息来认证用户会话。根据本发明实施例的另一个方面,提供了一种用于支持在多个网络中控制用户会话的方法,包括根据从位于不同网络中的多个认证、授权和计费AAA服务器发送的会话信息通知的类型来管理会话信息;以及根据从所述AAA服务器发送的请求消息来控制用户会话。根据本发明实施例的另一个方面,提供了一种用于支持在多个网络中控制用户会话的方法,包括根据从网络接入设备NAS接收到的计费消息的类型向会话服务器发送会话信息通知;当从所述NAS接收到接入请求时,向所述会话服务器发送请求消息并接收相应的响应消息;以及根据所述会话服务器发送的响应消息向所述NAS发送接入响应,以便认证会话。
根据本发明实施例的另一个方面,提供了一种用于支持在多个网络中控制用户会话的会话服务器,包括会话管理单元,用于根据从位于不同网络中的多个认证、授权和计费AAA服务器发送的会话信息通知的类型来管理会话信息;以及会话控制单元,用于根据从所述AAA服务器发送的请求消息来控制用户会话。根据本发明实施例的另一个方面,提供了一种用于支持在多个网络中控制用户会话的认证、授权和计费AAA服务器,包括会话信息通知单元,用于根据从网络接入设备NAS 接收到的计费消息的类型向会话服务器发送会话信息通知;以及第一会话控制单元,用于当从所述NAS接收到接入请求时,向所述会话服务器发送请求消息并接收相应的响应消息;以及第二会话控制单元,用于根据所述会话服务器发送的响应消息向所述NAS发送接入响应以便认证会话。根据本发明实施例的另一个方面,提供了一种通信系统,包括如上所述的会话服务器和认证、授权和计费AAA服务器。本发明实施例在会话服务器上集中管理来自多个网络的会话信息,并基于该会话信息来认证用户会话,使得可以跨网络来控制多个网络的用户会话,从而实现了在多套AAA 服务器之间的会话数控制。
为了更清楚地说明本发明实施例的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1是示出根据本发明实施例的一个示范性网络系统的示意图。图2是示出根据本发明实施例的用于在多个网络中认证用户会话的方法的示范性流程图。图3是示出根据本发明实施例的用于管理(即创建、更新和删除)会话信息的方法的示范性流程图。图4是示出根据本发明实施例的用于支持在多个网络中控制用户会话的方法的示范性流程图。图5是示出根据本发明实施例的用于支持在多个网络中控制用户会话的另一方法的示范性流程图。图6是示出根据本发明第一实施例的用于在多个网络中控制用户会话的过程的示范性信号流图。图7是示出根据本发明第二实施例的用于在多个网络中控制用户会话的过程的示范性信号流图。图8是示出根据本发明实施例的用于外部系统来查询会话信息的过程的示范性信号流图。图9是示出根据本发明实施例的用于外部系统来查询会话信息的另一过程的示范性信号流图。图10是示出根据本发明实施例的会话服务器的结构的示范性框图。
图11是示出根据本发明实施例的会话管理单元的具体结构的示范性框图。图12是示出根据本发明实施例的会话控制单元的具体结构的示范性框图。图13是示出根据本发明实施例的AAA服务器的结构的示范性框图。
具体实施例方式下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。本发明的技术方案,可以应用于各种通信系统,例如固网宽带、CDMA、WCDMA、 WiMAX等。但是,本发明不限于此,本领域技术人员可以根据需要而将本发明应用于任何合适的网络。针对相关技术中一套AAA服务器只能控制在其范围之内的会话数量,当多套AAA 同时存在并且共用用户账号时,因为当前各AAA服务器之间不存在任何联系以致无法实现多套AAA服务器之间的会话数量控制的问题,本发明实施例在网络中包括会话服务器,用于集中存储、管理和控制多个AAA服务器的用户会话信息。图1是示出根据本发明实施例的一个示范性网络系统的示意图。该网络系统包括会话服务器10,由该会话服务器10来对诸如固网宽带、CDMA、WCDMA、WiMAX等的多个网络的会话信息进行集中存储和管理。图1中的第一接口(Intl)用于各个AAA服务器通知会话服务器10创建/更新/删除用户会话信息,本发明实施例对第一接口的接口协议不做限制,在应用时可根据需要灵活定义,诸如RADIUS、SOAP (Simple Object Access Protocol, 简单对象访问协议)等。图1中的第二接口(InU)用于会话服务器10对各个AAA服务器认证会话以及各个AAA服务器或外部系统向会话服务器10查询会话信息,本发明实施例对第二接口的接口协议也不做限制,在应用时可根据需要灵活定义,诸如HTTP(Hyper Text Transfer Protocol,超文本传输协议)、SOAP等。下面,将参照附图详细描述本发明实施例。图2是示出根据本发明实施例的用于在多个网络中认证用户会话的方法20的示范性流程图。如图2中所示,在方法20的201,根据从位于不同网络中的多个AAA服务器发送的会话信息通知的类型来管理会话信息。在202,根据在会话服务器上管理的会话信息来认证用户会话。本发明实施例在会话服务器上集中管理来自多个网络的会话信息,并基于该会话信息来认证用户会话,使得可以跨网络来控制多个网络的用户会话,从而实现了在多套AAA 服务器之间的会话数控制。根据本发明实施例,当用户接入一种网络、诸如固网宽带、CDMA、WCDMA、WiMAX中的一个时,该网络内的AAA服务器向会话服务器发送会话信息通知,由会话服务器根据该会话信息通知来管理会话信息,具体而言是创建、更新和删除会话信息。图3是示出根据本发明实施例的用于管理(即创建、更新和删除)会话信息的方法30的示范性流程图。可以由会话服务器来执行方法30。
如图3所示,在方法30的301中,判断从AAA服务器接收到的会话信息通知的类型。当从AAA服务器接收到创建会话信息通知时,在302中,创建与该用户有关的会话信息并进行存储。当从AAA服务器接收到更新会话信息通知时,在303中,更新该会话信息。当从所述AAA服务器接收到删除会话信息通知时,在304中,删除该会话信息。需要注意的是,在一些情况下,例如会话被维持的时间很短的情况下,可能不会从 AAA服务器接收到更新会话信息通知,而是在接收到创建会话信息通知并创建了会话之后, 经过一段时间而直接接收到删除会话信息通知,从而不执行会话信息的更新,仅执行会话信息的创建和删除。因此,方法30中的303可以省略(如图3中虚线所示)。下面,将结合具体例子来更详细地描述本发明的不同实施例。在以下实施例的描述中,均由会话服务器、诸如图1中所示的会话服务器10来集中管理(创建、更新和删除) 多个网络中的会话信息,并且在进行会话信息的控制时由AAA服务器发送请求消息,然后会话服务器根据该请求消息来控制会话信息。在本发明的示范性实施例中,AAA服务器发送的请求消息可以包括会话认证请求和会话查询请求中的一个,并且相应地,可以由会话服务器或AAA服务器来执行会话认证功能。但是,本发明实施例不限于此。图4是示出根据本发明实施例的用于支持在多个网络中控制用户会话的方法40 的示范性流程图。可以由会话服务器(诸如图1中的会话服务器10)来执行方法40。如图4所示,在方法40的401中,根据从位于不同网络中的多个AAA服务器发送的会话信息通知的类型来管理会话信息,具体而言,可以按照如图3示出的方法来创建、更新和删除会话信息。在402中,根据从所述AAA服务器发送的请求消息来控制用户会话。本发明实施例通过在会话服务器上集中管理来自多个网络的会话信息,可以跨网络来控制多个网络内的用户会话,从而实现了当在多网络环境下用户使用同一个登录名来接入网络时,在多套AAA服务器之间的会话数控制。图5是示出根据本发明实施例的用于支持在多个网络中控制用户会话的另一方法50的示范性流程图。可以由AAA服务器(例如在图1中示出的固网AAA服务器、CDMAAAA 服务器、WCDMAAAA服务器和WiMAX AAA服务器中的任一个)来实现方法50。如图5所示,在方法50的501中,根据从网络接入设备NAS接收到的计费消息的类型向会话服务器发送会话信息通知。例如,具体而言,当接收到的计费消息是开始计费请求Accounting-Request (Mart)消息时,向会话服务器发送创建会话信息通知;当所述计费消息是中间计费请求Accounting-Request anterim)消息时,发送更新会话信息通知; 以及当所述计费消息是停止计费请求Accounting-Request (Mop)消息时,发送删除会话信息通知。但是,本发明不限于此,还可以根据其他计费消息来发送相应的会话信息通知。在502中,当从所述NAS接收到接入请求时,向所述会话服务器发送请求消息并接收相应的响应消息。本领域技术人员可以明白,如果发送的是会话认证请求,则接收到会话认证响应,并且如果发送的是会话查询请求,则接收到具有会话信息的会话查询响应,其中会话信息是具有与会话查询请求对应的会话的登录名相同的登录名的会话的会话信息。在503中,根据所述会话服务器发送的响应消息向所述NAS发送接入响应,以便认证会话。本发明实施例通过在会话服务器上集中管理来自多个网络的会话信息,可以跨网络来控制多个网络内的用户会话,从而实现了当在多网络环境下用户使用同一个登录名来接入网络时,在多套AAA服务器之间的会话数控制。此后,将参照附图来描述根据本发明的更详细的示范性实施例。图6是示出根据本发明第一实施例的用于在多个网络中控制(具体而言,是认证) 用户会话的过程60的示范性信号流图。在本发明的第一实施例中,由会话服务器(例如图 1中的会话服务器10)来认证用户会话。在图6中,用户A、AAA服务器㈧和NAS㈧属于网络A,且用户B、AAA服务器⑶和NAS⑶属于网络B。各AAA服务器与其相应的NAS之间的通信标准接口可以为RADIUS。如图6所示,在601中,位于网络A中的用户A使用例如zhangshan@domain的登录名发起接入网络A。在602中,NAS(A)在接收到接入请求之后向AAA服务器㈧发送接入请求 Access-Request 消息。在603中,AAA服务器(A)向会话服务器发送请求消息,这里是会话认证请求。在604中,会话服务器认证会话。例如,会话服务器确定具有登录名为zhangshanO domain的会话的当前会话数量是否达到预定最大会话数,其中当前会话是指已有的、具有与该会话认证请求对应的会话的登录名(例如zhangshanOdomain)相同的登录名的会话。 可以在会话服务器上灵活定义每个会话所允许的该预定最大会话数,例如1。在605中,会话服务器向AAA服务器(A)发送会话认证响应。当所述当前会话数量小于所述预定最大会话数时,会话服务器向AAA服务器(A)发送会话认证成功响应,否则, 当所述当前会话数量等于或大于所述预定最大会话数时,会话服务器向所述AAA服务器发送会话认证失败响应。在本发明的第一实施例中,假设登录名zhangshanOdomain是首次接入网络且预定最大会话数为1,所以当前会话数量为0,小于预定最大会话数,从而会话服务器向AAA服务器(A)发送会话认证成功响应。因此,在606,AAA服务器(A)向NAS(A)发送接入接受 Access-Accept 消息。之后,在607 中,NAS(A)向 AAA 服务器(A)发送 Accounting-Request Gtart)消肩、O在608中,AAA服务器(A)向会话服务器发送创建会话信息通知,并且在609中, 会话服务器创建与该登录名zhangshanOdomain有关的会话信息。在610中,AAA服务器(A)向NAS(A)返回开始计费响应 Accounting-Response (Start)消息。这里,虽然这里描述的是在608中AAA服务器㈧向会话服务器发送创建会话信息通知以及在610中AAA服务器(A)向NAS(A)返回开始计费响应 Accounting-Response (Start)消息,但是本领域技术人员应当明白,这两个过程在时间上无需按照所描述的时间顺序来依次执行,而是可以并行或以任何顺序来执行。经过一预定时间段(该预定时间段可以在NAS(A)上配置)之后,在611中,NAS㈧ 向 AAA 服务器(A)发送 Accounting-Requestanterim)消息。
在612中,AAA服务器(A)向会话服务器发送更新会话信息通知,并且在613中, 会话服务器根据该更新会话信息通知来更新会话信息。在614中,AAA服务器(A)向NAS(A)返回中间计费响应 Accounting-Response (Interim)消息。同样,虽然这里描述的是在612中AAA服务器㈧向会话服务器发送更新会话信息通知以及在614中AAA服务器(A)向NAS(A)返回中间计费响应 Accounting-Response (Interim)消息,但是本领域技术人员应当明白,这两个过程在时间上无需按照所描述的时间顺序来依次执行,而是可以并行或以任何顺序来执行。在用户A请求下线的情况下,在615中,NAS(A)向AAA服务器㈧发送 Accounting-Request (Stop)消息。在616中,AAA服务器(A)向会话服务器发送删除会话信息通知,并且在617中, 会话服务器删除与该登录名zhangshanOdomain有关的会话信息。在618中,AAA服务器(A)向NAS(A)返回停止计费响应 Accounting-Response (Stop)消息。类似地,虽然这里描述的是在616中AAA服务器㈧向会话服务器发送删除会话信息通知以及在618中AAA服务器(A)向NAS(A)返回停止计费响应 Accounting-Response (Stop)消息,但是本领域技术人员应当明白,这两个过程在时间上无需按照所描述的时间顺序来依次执行,而是可以并行或以任何顺序来执行。本领域技术人员应当注意的是,611-614中的步骤可以重复执行多次。此外,如果该会话持续的时间较短,则可能在还未经过所述预定时间段时AAA服务器(A)即接收到 Accounting-Request (Stop)消息,从而会话服务器可以在没有更新过会话信息的情况下删除会话信息。因而,611-614中的步骤也可以被省略。在619中,位于网络B中的用户B使用同样的登录名(zhangshan@domain)从B网络发起接入上网请求。在620 中,NAS(B)向 AAA 服务器(B)发送 Access-Request 消息。同样地,在621中,AAA服务器(B)向会话服务器发起会话认证请求。在622中,会话服务器认证会话。在用户A没有下线的情况下,会话服务器发现登录名为zhangshanOdomain的用户已经在线,并且由于预定最大会话数为1且当前会话数量为1,所以在623中,会话服务器向AAA服务器(B)返回会话认证失败响应。在624中,AAA服务器(B)向NAS(B)发送接入拒绝Access-Reject消息。在本发明的第一实施例中,为了满足运营商要求一个登录名同时只能由一位用户接入一种网络的需求,在会话服务器上将所允许的预定最大会话数设置为1,但是,本发明不限于此。本领域技术人员可以明白,可以在会话服务器上灵活定义该预定最大会话数, 可以将其设置为任意整数或不做任何限制。例如,在将该预定最大会话数设置为2的情况下,用户B的接入请求也可以被接受。但是,如果存在用户C(未示出)也使用同一登录名 zhangshanOdomain来发起网络接入,则用户C的接入请求将被拒绝。此外,AccountingGtart/lnterim/^top)消息是不同网络的AAA服务器支持的标准消息,不同网络的AAA服务器利用这三种标准消息来触发通知会话服务器创建/更新/ 删除会话信息。从而,无需使用额外的触发通知消息。
10
在本发明的第一实施例中,AAA服务器(AAA服务器㈧和AAA服务器⑶)通过会话服务器上的第一接口(如图6中所示的htl)向会话服务器发送会话信息通知,以创建/更新/删除会话信息。该第一接口的接口协议不做限制,应用时可根据需要灵活定义, 例如RADIUS、SOAP等。此外,通过会话服务器上的第二接口(如图6中所示的InU)来进行AAA服务器与会话服务器之间的认证消息的传送。该第二接口的接口协议不做限制,应用时可根据需要灵活定义,例如HTTP、SOAP等。图7是示出根据本发明第二实施例的用于在多个网络中控制(具体而言,是认证) 用户会话的过程70的示范性信号流图。在本发明的第二实施例中,由AAA服务器(例如在图1中示出的固网AAA服务器、CDMA AAA服务器、WCDMA AAA服务器和WiMAX AAA服务器中的任一个)来认证用户会话。与图6类似地,在图7中,用户A、AAA服务器㈧和NAS㈧ 属于网络A,且用户B、AAA服务器⑶和NAS(B)属于网络B。各AAA服务器与其相应的NAS 之间的通信标准接口可以为RADIUS。如图7所示,在701中,位于网络A中的用户A使用例如zhangshanOdomain的登录名发起接入网络A。在702中,NAS (A)向AAA服务器(A)发送接入请求Access-Request消息。与本发明的第一实施例不同的是,在703中,AAA服务器㈧向会话服务器发送会话查询请求而不是会话认证请求。在704中,会话服务器查询具有与该会话查询请求对应的会话的登录名 (zhangshanidomain)相同的登录名的会话的会话信息,也就是说,会话服务器查询与在会话查询请求中包括的要查阅的登录名有关的会话的会话信息。在705中,会话服务器向AAA服务器(A)发送会话查询响应,在该会话查询响应中包括所查询到的会话信息。在706中,AAA服务器(A)根据从会话服务器接收到的会话查询响应、具体而言是在该会话查询响应中包括的会话信息来认证会话。例如,AAA服务器(A)确定具有登录名为 zhangshanOdomain的会话的当前会话数量是否达到预定最大会话数,其中当前会话是指已有的、具有与该会话认证请求对应的会话的登录名(例如zhangshanOdomain)相同的登录名的会话。可以在每个AAA服务器上灵活定义每个会话所允许的该预定最大会话数,并且可以将其设置为任意整数或不做任何限制,例如1。在707中,AAA服务器(A)向NAS㈧发送接入响应消息。其中,当所述当前会话数量小于所述预定最大会话数时,该AAA服务器(A)向NAS发送接入接受消息,并且当所述当前会话数量等于或大于所述预定最大会话数时,向NAS发送接入拒绝消息。与第一实施例类似地,在本发明的第二实施例中,假设登录名zhangshanOdomain 是首次接入网络且预定最大会话数为1,所以当前会话数量为0,小于预定最大会话数,从而在707中,AAA服务器(A)向NAS(A)发送接入接受Access-Accept消息。之后,在708 中,NAS (A)向 AAA 服务器(A)发送 Accounting-Request (Start)消肩、ο在709中,AAA服务器(A)向会话服务器发送创建会话信息通知,并且在710中, 会话服务器创建与该登录名zhangshanOdomain有关的会话信息。在711中,AAA服务器(A)向NAS(A)返回开始计费响应Accounting-Response (Start)消息。经过一预定时间段(该预定时间段可以在NAS(A)上配置)之后,在712中,NAS㈧ 向 AAA 服务器(A)发送 Accounting-Requestanterim)消息。在713中,AAA服务器(A)向会话服务器发送更新会话信息通知,并且在714中, 会话服务器根据该更新会话信息通知来更新会话信息。在715中,AAA服务器(A)向NAS(A)返回中间计费响应 Accounting-Response (Interim)消息。在用户A请求下线的情况下,在716中,NAS(A)向AAA服务器㈧发送 Accounting-Request (Stop)消息。在717中,AAA服务器(A)向会话服务器发送删除会话信息通知,并且在718中, 会话服务器删除与该登录名zhangshanOdomain有关的会话信息。在719中,AAA服务器(A)向NAS(A)返回停止计费响应 Accounting-Response (Stop)消息。同样,712-715中的步骤可以重复执行多次,或者在某些情况下也可以被省略。并且,与图6中的过程类似地,可以不按照所描述的时间顺序,而是以并行或其他合适的词序来执行709与711、713与715以及717与719中的步骤。在720中,位于网络B中的用户B使用同样的登录名(zhangshan@domain)从B网络发起接入上网请求。在721 中,NAS(B)向 AAA 服务器(B)发送 Access-Request 消息。在722中,AAA服务器(B)向会话服务器发起会话查询请求。在723中,会话服务器查询会话,并且在724中向NAS(B)发送包括会话信息的会话查询响应。然后,在725中,AAA服务器⑶根据从会话服务器接收到的会话查询响应来认证会话。例如,在用户A没有下线的情况下,会话服务器发现登录名为zhangshanOdomain的用户已经在线,并且由于预定最大会话数为1且当前会话数量为1,所以在7 中,AAA服务器(B)向NAS (B)发送接入拒绝Access-Reject消息。可以看到,除了 703-706以及722-725中的步骤之外,图7中的信号流与图6中的
相应信号流相同。在本发明的第二实施例中,AAA服务器(AAA服务器㈧和AAA服务器(B))通过会话服务器上的第一接口(如图7中所示的htl)向会话服务器发送会话信息通知,以创建/更新/删除会话信息。该第一接口的接口协议不做限制,应用时可根据需要灵活定义, 例如RADIUS、SOAP等。此外,通过会话服务器上的第二接口(如图7中所示的InU)来进行AAA服务器与会话服务器之间的查询消息的传送。该第二接口的接口协议不做限制,应用时可根据需要灵活定义,例如HTTP、SOAP等。本发明的第二实施例与第一实施例的区别在于,第二实施例将会话控制(认证) 功能前移到AAA服务器上来实现,从而可以充分利用在现有网络中存在的AAA服务器基本都支持会话数控制的功能的特点来实现多网络的会话控制功能,而无需进行太大改动,从而在结构上较容易集成和实现。但是,如果存在修改认证过程的特殊需求,则运营商需要在每套AAA服务器上都进行修改,工作量较大,这时,本发明第一实施例的方案更容易实现,因为只要在会话服务器上修改一次即可完成。根据本发明实施例,通过在会话服务器上集中保存多个网络的会话信息,解决了在多网络AAA服务器场景下一个用户使用同一个登录名接入上网时对会话数的控制问题, 并且本发明实施例可以利用现有的计费消息(Accounting(MartAnterimAtop))来触发通知会话服务器创建/更新/删除会话信息,而无需额外的触发信令,节约了网络资源。此外,根据本发明实施例,所述第二接口除了可以用于会话服务器与AAA服务器之间的会话认证功能和会话查询功能外,还可以用于会话服务器与外部系统之间的会话查询。图8是示出根据本发明实施例的用于外部系统来查询会话信息的过程80的示范性信号流图。如图8所示,在801,用户使用登录名(例如zhangshanOdomain)发起网络接入请求,并被成功认证。这里,省略了关于会话认证过程的具体步骤,本领域技术人员可以根据需要采用本发明的第一实施例或第二实施例中的方法,或者还可以采用其他合适的方法来认证用户会话。在802 中,NAS 向 AAA 服务器发送 Accounting-Request (Mart)消息。在803中,AAA服务器通过第一接口 htl向会话服务器发送创建会话信息通知, 并且在804中,会话服务器创建与该用户的登录名有关的会话信息。在805中,AAA服务器向NAS返回开始计费响应Accounting-Response (Start)消肩、ο在806中,外部系统通过第二接口向会话服务器发送会话查询请求。在807中,会话服务器查询具有与所接收到的会话查询请求对应的会话的登录名相同的登录名的会话的会话信息。在808中,会话服务器通过第二接口向所述外部系统发送会话查询响应,该会话查询响应中包括查询到的会话信息。经过一预定时间段(该预定时间段可以在NAS上配置)之后,在809中,NAS向AAA 月艮务器发送 Accounting-Request (Interim)消息。在810中,AAA服务器通过第一接口 htl向会话服务器发送更新会话信息通知, 并且在811中,会话服务器更新会话信息。在812 中,AAA 服务器向 NAS 返回中间计费响应 Accounting-Response Qnterim) 消息。在813 中,NAS 向 AAA 服务器发送 Accounting-Request (Stop)消息。在814中,AAA服务器通过第一接口 htl向会话服务器发送删除会话信息通知, 并且在815中,会话服务器删除与该登录名zhangshanOdomain有关的会话信息。在816中,AAA服务器向NAS返回停止计费响应Accounting-Response (Mop)消息。并且,与图6和图7中的过程类似地,可以不按照所描述的时间顺序,而是以并行或其他合适的词序来执行803与805、810与812以及814与816中的步骤。同样,809-812中的步骤可以重复执行多次,或者在某些情况下也可以被省略。在图8中所示出的过程80中,外部系统在会话信息创建之后和更新之前发送会话查询请求,因而查询到的会话信息是创建的原始信息。本领域技术人员可以明白,外部系统可以在任何时候发送查询请求,例如在会话信息被更新之后。图9是示出根据本发明实施例的用于外部系统来查询会话信息的另一过程90的示范性信号流图,其中,外部系统在会话信息被更新之后发送查询请求,从而得到更新后的会话信息。除此以外,图9中的过程90与图8中的过程80基本类似,所以这里对其他内容不再赘述。此外,外部系统还可能在删除会话信息之后或创建会话信息之前发送会话查询请求,这时会话服务器可以向外部系统发送指示会话信息不存在的会话查询响应。根据本发明实施例,通过第二接口额外提供了会话服务器与外部系统之间的会话查询功能,以便外部系统在一些必要情况下查询用户的会话信息,诸如查询用户是否在线、 查询用户的位置信息、查询用户的接入方式、根据IPdnternet Protocol,因特网协议)地址反查用户的登录名或手机号码信息、等等。从而,外部系统通过仅向会话服务器发送会话查询请求,可以简单而方便地获得多个网络中的用户的会话信息。图10是示出根据本发明实施例的会话服务器10的结构的示范性框图。如图10所示,会话服务器10可以包括会话管理单元1001和会话控制单元1002。会话管理单元1001用于根据从位于不同网络中的多个认证、授权和计费AAA服务器发送的会话信息通知的类型来管理会话信息。会话控制单元1002用于根据从所述AAA 服务器发送的请求消息来控制用户会话。本发明实施例通过在会话服务器上集中管理来自多个网络的会话信息,可以跨网络来控制多个网络内的用户会话,从而实现了当在多网络环境下用户使用同一个登录名来接入网络时,在多套AAA服务器之间的会话数控制。图11是示出根据本发明实施例的会话管理单元1001的具体结构的示范性框图。如图11所示,会话管理单元1001可以包括会话创建器1101、会话更新器1102和会话删除器1103。会话创建器1101用于当从所述AAA服务器接收到创建会话信息通知时,创建会话信息并进行存储。会话更新器1102用于当从所述AAA服务器接收到更新会话信息通知时, 更新该会话信息。会话删除器1103用于当从所述AAA服务器接收到删除会话信息通知时, 删除该会话信息。会话管理单元1001的各部分可执行如图6-图9中的相关步骤,为了简便起见,这里不再赘述。图12是示出根据本发明实施例的会话控制单元1002的具体结构的示范性框图。如图12所示,会话控制单元1002可以包括会话认证模块1201和会话查询模块 1202。会话认证模块1201用于从所述AAA服务器接收会话认证请求;认证会话;以及向所述AAA服务器发送会话认证响应。会话查询模块1202用于从所述AAA服务器接收会话查询请求;查询具有与该会话查询请求对应的会话的登录名相同的登录名的会话的会话信息;以及向所述AAA服务器发送具有会话信息的会话查询响应。此外,会话查询模块1202 还可以用于从外部系统接收会话查询请求;查询具有与该会话查询请求对应的会话的登录名相同的登录名的会话的会话信息;以及向所述外部系统发送具有会话信息的会话查询响应。
会话认证模块1201可以按照参照图6所描述的认证方法来执行会话认证,且会话查询模块1202可以按照参照图7-图8所描述的查询方法来执行与AAA服务器或外部系统之间的会话查询。应当注意的是,当由AAA服务器来执行认证功能时,会话控制单元1002可以仅包括会话查询模块1202,即,在这种情况下,可以省略会话认证模块1201。此外,会话服务器10还可以包括第一接口和第二接口(未示出),其中,第一接口用于所述会话服务器的会话管理单元与所述多个AAA服务器之间的通信,并且第二接口用于所述会话服务器的会话控制单元与所述多个AAA服务器或外部系统之间的通信。所述第一接口和第二接口分别对应于图6-图10中的^itl和ht2。图13是示出根据本发明实施例的AAA服务器1300的结构的示范性框图。该AAA服务器1300的非限制性例子可以是图1中示出的固网AAA服务器、CDMAAAA服务器、WCDMAAAA 服务器和WiMAX AAA服务器中的任一个。如图13所示,AAA服务器1300可以包括会话信息通知单元1301、第一会话控制单元1302和第二会话控制单元1303。会话信息通知单元1301用于根据从网络接入设备NAS接收到的计费消息的类型向会话服务器发送会话信息通知。第一会话控制单元1302用于当从所述NAS接收到接入请求时,向所述会话服务器发送请求消息并接收相应的响应消息。第二会话控制单元1303 用于根据所述会话服务器发送的响应消息向所述NAS发送接入响应以便认证会话。本发明实施例通过在会话服务器上集中管理来自多个网络的会话信息,可以跨网络来控制多个网络内的用户会话,从而实现了当在多网络环境下用户使用同一个登录名来接入网络时,在多套AAA服务器之间的会话数控制。AAA服务器1300的各部分可以执行如参照图5所描述的有关过程,这里不再赘述。 例如,会话信息通知单元1301在从NAS接收到的计费消息是Accounting-Request (Mart) 消息时发送创建会话信息通知,在计费消息是Accounting-Request anterim)消息时发送更新会话信息通知,以及在计费消息是Accounting-Request (Mop)消息时发送删除会话信息通知。此外,当所述AAA服务器1300不执行会话认证时,在AAA服务器1300从NAS接收到接入请求时,所述第一会话控制单元1302向会话服务器(例如会话服务器10)发送会话认证请求并且从所述会话服务器接收会话认证响应,并且,当从所述会话服务器接收到的会话认证响应是会话认证成功响应时,由所述第二会话控制单元1303向所述NAS发送接入接受消息,以及当从所述会话服务器接收到的会话认证响应是会话认证失败响应时,所述第二会话控制单元1303向所述NAS发送接入拒绝消息。另一方面,当由所述AAA服务器1300来执行会话认证时,在从所述NAS接收到接入请求时,所述第一会话控制单元1302向所述会话服务器发送会话查询请求并从所述会话服务器接收具有会话信息的会话查询响应,并且,由所述第二会话控制单元1303根据在所述会话查询响应中包括的会话信息来认证会话。第二会话控制单元1303可以采用如参照图7所描述的方法来执行认证过程。另外,根据本发明实施例的通信系统可以包括上述会话服务器和AAA服务器。本领域普通技术人员可以意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、 装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。在本申请所提供的几个实施例中,应该理解到,所揭露的系统、装置和方法,可以通过其他的方式实现。例如,以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其他的形式。所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,既可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。另外,在本发明各个实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。所述集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。还需要指出的是,在本发明的装置和方法中,显然,各部件或各步骤是可以分解和 /或重新组合的。这些分解和/或重新组合应视为本发明的等效方案。并且,执行上述系列处理的步骤可以自然地按照说明的顺序按时间顺序执行,但是并不需要一定按照时间顺序执行。某些步骤可以并行或彼此独立地执行,例如,会话服务器和AAA服务器之间的会话认证过程可以与会话服务器和外部系统之间的会话查询过程顺序地、并行地或者以任何顺序独立地执行。以上所述,仅为本发明的具体实施方式
,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应所述以权利要求的保护范围为准。
权利要求
1.一种用于在多个网络中认证用户会话的方法,其特征在于,该方法包括根据从位于不同网络中的多个认证、授权和计费AAA服务器发送的会话信息通知的类型来管理会话信息;以及根据在会话服务器上管理的会话信息来认证用户会话。
2.根据权利要求1所述的方法,其特征在于,所述根据从AAA服务器发送的会话信息通知的类型来管理会话信息包括下列操作至少一种当从所述AAA服务器接收到创建会话信息通知时,创建会话信息并进行存储; 当从所述AAA服务器接收到更新会话信息通知时,更新该会话信息;以及当从所述AAA服务器接收到删除会话信息通知时,删除该会话信息。
3.根据权利要求1或2所述的方法,其特征在于,所述根据在会话服务器上管理的会话信息来认证用户会话包括向所述会话服务器发送会话认证请求; 由所述会话服务器认证会话;以及向所述AAA服务器发送会话认证响应。
4.根据权利要求1或2所述的方法,其特征在于,所述根据在会话服务器上管理的会话信息来认证用户会话包括向所述会话服务器发送会话查询请求;由所述会话服务器查询具有与该会话查询请求对应的会话的登录名相同的登录名的会话的会话信息;向所述AAA服务器发送具有会话信息的会话查询响应;以及根据在所述会话查询响应中包括的会话信息来认证会话。
5.根据权利要求3所述的方法,其特征在于,所述由所述会话服务器认证会话包括确定当前会话数量是否达到预定最大会话数,其中当前会话是已有的、具有与该会话认证请求对应的会话的登录名相同的登录名的会话,并且所述向所述AAA服务器发送会话认证响应包括当所述当前会话数量小于所述预定最大会话数时,向所述AAA服务器发送会话认证成功响应;以及当所述当前会话数量等于或大于所述预定最大会话数时,向所述AAA服务器发送会话认证失败响应。
6.根据权利要求1-5中的任一项所述的方法,其特征在于,还包括 从外部系统接收会话查询请求;查询具有与该会话查询请求对应的会话的登录名相同的登录名的会话的会话信息;以及向所述外部系统发送具有会话信息的会话查询响应。
7.一种用于支持在多个网络中控制用户会话的方法,其特征在于,包括根据从位于不同网络中的多个认证、授权和计费AAA服务器发送的会话信息通知的类型来管理会话信息;以及根据从所述AAA服务器发送的请求消息来控制用户会话。
8.一种用于支持在多个网络中控制用户会话的方法,其特征在于,包括根据从网络接入设备NAS接收到的计费消息的类型向会话服务器发送会话信息通知; 当从所述NAS接收到接入请求时,向所述会话服务器发送请求消息并接收相应的响应消息;以及根据所述会话服务器发送的响应消息向所述NAS发送接入响应,以便认证会话。
9.根据权利要求8所述的方法,其特征在于,所述向所述会话服务器发送请求消息并接收相应的响应消息包括向所述会话服务器发送会话认证请求;以及从所述会话服务器接收会话认证响应,并且,所述根据所述会话服务器发送的响应消息向所述NAS发送接入响应以便认证会话包括当从所述会话服务器接收到会话认证成功响应时,向所述NAS发送接入接受消息,以及当从所述会话服务器接收到会话认证失败响应时,向所述NAS发送接入拒绝消息。
10.根据权利要求8所述的方法,其特征在于,所述向所述会话服务器发送请求消息并接收相应的响应消息包括向所述会话服务器发送会话查询请求;由所述会话服务器查询具有与该会话查询请求对应的会话的登录名相同的登录名的会话的会话信息;以及从所述会话服务器接收具有会话信息的会话查询响应,并且所述根据所述会话服务器发送的响应消息向所述NAS发送接入响应以便认证会话包括根据在所述会话查询响应中包括的会话信息来认证会话。
11.根据权利要求10所述的方法,其特征在于,所述认证会话包括确定当前会话数量是否达到预定最大会话数,其中当前会话是已有的、具有与该会话认证请求对应的会话的登录名相同的登录名的会话,并且当所述当前会话数量小于所述预定最大会话数时,向NAS发送接入接受消息;以及当所述当前会话数量等于或大于所述预定最大会话数时,向NAS发送接入拒绝消息。
12.根据权利要求8至11中的任一项所述的方法,其特征在于,所述根据从网络接入设备NAS接收到的计费消息的类型向会话服务器发送会话信息通知包括当所述计费消息是开始计费请求Accounting-Request (Start)消息时,发送创建会话信息通知;当所述计费消息是中间计费请求Accounting-Request anterim)消息时,发送更新会话信息通知;以及当所述计费消息是停止计费请求Accounting-Request (Mop)消息时,发送删除会话信息通知。
13.一种用于支持在多个网络中控制用户会话的会话服务器,其特征在于,包括 会话管理单元,用于根据从位于不同网络中的多个认证、授权和计费AAA服务器发送的会话信息通知的类型来管理会话信息;以及会话控制单元,用于根据从所述AAA服务器发送的请求消息来控制用户会话。
14.一种用于支持在多个网络中控制用户会话的认证、授权和计费AAA服务器,其特征在于,包括会话信息通知单元,用于根据从网络接入设备NAS接收到的计费消息的类型向会话服务器发送会话信息通知;以及第一会话控制单元,用于当从所述NAS接收到接入请求时,向所述会话服务器发送请求消息并接收相应的响应消息;以及第二会话控制单元,用于根据所述会话服务器发送的响应消息向所述NAS发送接入响应以便认证会话。
15.一种通信系统,其特征在于,包括如权利要求13所述的会话服务器和如权利要求 14所述的认证、授权和计费AAA服务器。
全文摘要
本发明实施例提供一种用于在多个网络中控制用户会话的方法、会话服务器、认证、授权和计费AAA服务器和系统。用于在多个网络中认证用户会话的方法包括根据从位于不同网络中的多个认证、授权和计费AAA服务器发送的会话信息通知的类型来管理会话信息;以及根据在会话服务器上管理的会话信息来认证用户会话。本发明实施例在会话服务器上集中管理来自多个网络的会话信息,并基于该会话信息来认证用户会话,使得可以跨网络来控制多个网络的用户会话,从而实现了在多套AAA服务器之间的会话数控制。
文档编号H04W24/00GK102238547SQ20111020249
公开日2011年11月9日 申请日期2011年7月19日 优先权日2011年7月19日
发明者吉文飞 申请人:华为软件技术有限公司