专利名称:用户下线的处理系统、方法及认证服务器、接入控制器的制作方法
技术领域:
本发明涉及移动通信技术领域,尤其是涉及一种用户下线的处理系统、方法及认证服务器、接入控制器。
背景技术:
无线局域网(WLAN, Wireless Local Area Network)是一种非常便利的数据传输系统,相比于其他的无线网络接入方式、它具有单位流量成本最低的特点。现有运营商运营的WLAN,通常采用用户名/密码的Web/Portal认证方式,如图1所示,用户在终端上输入用户名和密码,终端通过无线信号将用户名和密码发送到WLAN用户接入认证点,WLAN认证服务器对WLAN用户接入认证点接收到的用户名和密码进行认证授权后,终端通过WLAN用户接入认证点和PORTAL服务器进行网络资源的访问。但是,在Web/Portal认证方式下,用户在手机终端上输入用户名、密码存在较多不便,容易造成认证页面与终端不适配、输入用户名/密码易出错等弊端。在此背景下,运营商开始着力研究各WLAN无感知认证方案,如扩展认证协议(EAP, Extensible Authentication Protocol),包括 EAP-SIM、EAP_AKA(EAP for UMTSAuthentication and Key Agreement)、及受保护的扩展认证协议(PEAP, Protected ΕΑΡ)认证等,如图2与图3所示。EAP-SM/AKA是EAP认证方法的一种实现方式,该方式通过用户(U) SM卡信息进行认证,与蜂窝认证方式相同,当用户使用SIM卡时,执行EAP-SIM认证流程,当用户使用USIM卡时,执行EAP-AKA认证流程,整个认证过程不需要用户介入任何手工操作,完全由终端自动完成。如图2所示,虚线表示信令流,实线表示数据流,终端与接入点(AP, AccessPoint)及接入控制器(AC, Access Controller)之间通过EAPoL协议通信,AC和AAA服务器(AAAServer)通过Radius协议转发EAP消息,AAA服务器使用MAP协议从归属位置寄存器/归属用户服务器(HLR/HSS)获取用户(U) SIM卡鉴权向量,并完成认证,AAA服务器是认证的执行点,认证成功后用户可直接进行网络资源访问,从而实现用户的“无感知”认证。而PEAP是EAP认证方法的另一种实现方式,如图3所示,终端通过AP、AC接入网络,PEAP认证服务器对终端进行认证授权。网络侧通过用户名/密码对终端进行认证,终端侧通过服务器证书对网络侧进行认证。用户终端首次使用PEAP认证时,需输入用户名和密码,后续接入认证无需用户任何手工操作,由终端自动完成。PEAP方式通过使用隧道在PEAP客户端和认证服务器之间进行安全认证。但是,在现有的技术方案里,当用户发起EAP-SIM/AKA或PEAP下线过程时,终端无法发起正常的下线操作,只能关闭终端系统的WLAN开关、并在关闭开关达到一定时间后才能完成下线操作,即接入设备WLAN AN通过检测固定时间内用户的数据流量小于一定阈值、或者通过Keep Alive机制检测发现用户已经不在线时,WLAN接入网(AN,Access Network)才能确认客户端下线,并向3GPP AAA Server发送计费停止请求的报文(Accounting Request (stop)), 3GPP AAA Server 再向 WLAN AN回复计费停止请求报文的响应(Accounting Response (stop)),从而实现用户的异常下线,如图4所示。从图4可知,用户终端侧发起下线操作后,若在接入设备监测用户下线的过程中,用户再次开启终端系统的WLAN开关、或者又触发了一些业务数据流量,这样网络侧的认证系统会误认为用户又重新开始使用WLAN业务,从而认为终端仍然在线、不发起异常下线过程,用户帐号也仍处于计费状态,如此会造成大量的额外计费、引发纠纷,极大地降低了用户的业务感知。可见,目前在相关技术中,在WLAN的无感认证方案中,由于终端无法发起正常下线操作、导致网络侧设备无法准确地确认终端是否下线、并因此而产生额外计费的问题。
发明内容
本发明实施例提供一种用户下线的处理系统,用以解决WLAN的无感认证方案中,由于终端无法发起正常下线操作、网络侧设备无法准确地确认终端是否下线、并因此而产生额外计费的问题。相应的,本发明实施例还提供了一种WLAN用户下线的处方法及认证服务器、接入控制器。本发明实施例技术方案如下:一种用户下线的处理系统,包括:接入控制器AC、认证服务器;认证服务器,用于在接收到来自终端的下线请求后,向AC发送对该终端的下线指示,以指示AC断开该终端的网络连接;并在接收到来自AC的对终端停止计费的请求后,停止对终端计费;AC,用于在接收到来自认证服务器的对终端的下线指示后,断开终端的网络连接,并向认证服务器发送对该终端停止计费的请求。一种用户下线的处理方法,包括:接收来自终端的下线请求;根据下线请求,向接入控制器AC发送对终端的下线指示,以指示AC断开终端的网络连接;接收来自AC的对终端的停止计费请求;根据停止计费请求,对终端停止计费。一种认证服务器,包括:第一接收单元,用于接收来自终端的下线请求;下线指示单元,用于根据第一接收单元接收到的下线请求,向接入控制器AC发送下线指示,以指示AC断开终端的网络连接;第二接收单元,用于接收来自AC的对终端的计费停止请求;计费终止单元,用于根据第二接收单元接收到的计费停止请求,对终端停止计费。一种用户下线的处理方法,包括:接收来自认证服务器的对终端的下线指示;根据下线指示,断开终端的网络连接;向认证服务器发送对该终端停止计费的请求。一种接入控制器,包括:接收单元,用于接收来自认证服务器的对终端的下线指示;网络操作单元,用于根据接收单元接收到的下线指示,断开终端的网络连接;发送单元,用于向认证服务器发送对终端停止计费的请求。本发明实施例通过使认证服务器直接接收来自终端的下线请求、并根据该下线请求指示AC断开终端的网络连接,在收到来自AC的对终端的停止计费请求后停止对终端的计费,能够使认证服务器更为准确地确认终端下线、更为准确地对终端进行计费,从而能够解决相关技术中网络侧设备无法准确地确认终端是否下线、并因此而产生额外计费的问题。
图1为现有技术中web/portal的WLAN认证方式示意图;图2为现有技术中WLAN无感认证的EAP-SM/AKA认证方式示意图;图3为现有技术中WLAN无感认证的PEAP认证方式示意图;图4为现有技术中WLAN无感认证的用户异常下线的处理流程图;图5为现有技术中用户主动下线的处理流程图;图6a为根据本发明实施例的用户下线的处理系统的结构示意图;图6b为根据本发明实施例的用户下线的处理系统的工作流程图;图7为根据本发明实施例的认证服务器的结构示意图;图8为根据本发明实施例的用户下线的处理方法的工作流程图;图9为根据本发明实施例的接入控制器的结构示意图;图10为根据本发明实施例的用户下线的处理方法的另一工作流程图;图11为本发明实施例具体应用的示意图;图12为本发明实施例具体应用的工作流程图。
具体实施例方式在WLAN的无感认证方案中,接入设备只能通过监测用户在固定时间内的数据流量小于一定阈值来确定用户下线、或者通过Keep Alive检测机制来确认用户下线,并以此来停止对终端的计费,这样会因为客户在监测时间内的一些误操作触发了网络连接、使得网络侧认为终端未下线、从而不执行下线操作、且计费仍然继续的问题。此外,在目前的相关技术中,如图5所示,即使安装了客户端软件,由于应用层服务无法调用终端底层EAP协议栈,因此,也无法通过普通应用客户端软件来向网络侧发起正常下线请求(EAP-LogofT)。系统对客户端的计费也如上所述,只能在系统检测到用户已下线后,由AP向认证服务器发送停止计费的请求(Accounting Request (stop)),并由认证服务器响应该请求(AccountingResponse (stop))来停止对该客户端的计费。鉴于相关技术中的上述问题,本发明实施例提出了一种用户下线的处理系统、方法及认证服务器、接入控制器。在本发明实施例中,使终端与认证服务器直接通信,认证服务器在确认终端下线后及时地停止对终端的计费,达到网络侧更为准确地确认终端下线、并停止对终端计费的目的。本发明实施例的方案包括:终端将下线请求直接发送给认证服务器,认证服务器根据该下线请求,指示AC断开终端的网络连接,并在AC断开该终端的网络连接后,认证服务器根据AC发送的对该终端停止计费的请求来停止对终端的计费。本发明实施例的方案使网络侧设备能够及时准确地确认终端下线、并在断开终端的网络连接后停止对终端的计费,从而能够解决相关技术中终端无法发起正常下线操作、导致网络侧设备无法准确地确认终端是否下线、并因此而产生额外计费的问题,进而能够提高客户的业务体验。图6a是根据本发明实施例的用户下线的处理系统的框架示意图,该系统包括:认证服务器1、AC 2。认证服务器1,用于在接收到来自终端的下线请求后,向AC 2发送对该终端的下线指示,指示AC 2断开该终端的网络连接;并在AC 2断开该终端的网络连接后,根据AC 2发送的对该终端的停止计费请求,停止对该终端的计费。AC 2,用于根据来自认证服务器I的下线指示,对终端执行强制下线流程、断开终端的网络连接,并向认证服务器I发送对终端停止计费的请求。图6b示出了图6a所示系统的工作流程,如图6b所示,该流程包括如下处理步骤:步骤61,终端在认证成功的状态下,向认证服务器I发送下线请求;一种优选的方式,终端将该终端的国际移动用户标识码(IMSI,InternationalMobile Subscriber Identity)加密后携带在下线请求中、与下线请求一起发生给认证服务器I,并且终端以HTTP的形式将下线请求发送给认证服务器I ;步骤62,认证服务器I根据终端发送的下线请求,向AC 2发送使终端下线的下线指示;一种优选的方式,认证服务器I对下线请求中加密的IMSI进行解密,根据解密后的MS1、向AC 2发送对该MSI对应的终端的下线指示;步骤63,根据来自认证服务器I的下线指示,AC 2断开终端的网络连接;步骤64,AC 2确认已断开终端的网络连接后,向认证服务器I发送对终端停止计费的请求;步骤65,认证服务器I根据来自AC 2的停止计费请求、停止对终端的计费。本发明实施例通过使认证服务器直接接收来自终端的下线请求、并根据该下线请求指示AC断开终端的网络连接,在收到来自AC的对终端的停止计费请求后,认证服务器能够确认终端已经下线、应当停止对终端的计费,此时根据该停止计费请求停止对终端的计费,能够使认证服务器更为准确地确认终端下线、从而更为准确地对终端进行计费,能够解决相关技术中网络侧设备无法准确地确认终端是否下线、并因此而产生额外计费的问题。本发明实施例进一步地提供了 一种认证服务器。图7示出了根据本发明实施例的认证服务器的结构示意图,如图7所示,该认证服务器包括:第一接收单元71、下线指示单元72、第二接收单元73、计费终止单元74。第一接收单元71,用于接收来自终端的下线请求。下线指示单元72,连接至第一接收单元71,用于根据第一接收单元71接收到的下线请求,向AC发送下线指示,以使AC根据该下线指示断开该终端的网络连接;第二接收单元73,用于接收来自AC的对终端的计费停止请求;计费终止单元74,连接至第二接收单元73,用于根据第二接收单元73接收到的计费停止请求,对终端停止计费。一种优选的方式,第一接收单元71可以是一种应用网络层协议的接口、也可以是硬件模块,用以接收来自终端以HTTP协议发送的下线请求,这样终端和网络侧的认证服务器就可以直接通信,为认证服务器更准确地确认终端的下线状态提供了可能。图8示出了图7所示认证服务器设备的工作流程,如图8所示,该流程包括如下处理过程:步骤81、第一接收单元71接收来自终端的下线请求;步骤82、根据该下线请求,下线指示单元72向AC发送下线指示,以使AC根据该下线指示断开终端的网络连接;一种优选的方式,第一接收单元71接收到终端以HTTP方式发送的下线请求,该下线请求中携带有加密的终端的IMSI,下线指示单元72对该下线请求中加密的IMSI进行解密,根据解密后的MS1、向AC发送对该IMSI对应的终端的下线指示;步骤83、第二接收单元73接收来自AC的对终端的计费停止请求;步骤84、计费终止单元74根据第二接收单元73接收到的该计费停止请求、对终端
停止计费。相比于相关技术,本发明实施例提供的认证服务器设备为终端提供了直接通信的接口,使得终端能够发起正常下线操作、网络侧设备能够更确切地获取用户下线的请求,通过指示AC断开终端的网络连接、能够减轻接入设备的负担,通过监控AC反馈的计费停止请求、能够及时地停止对终端的计费。 本发明实施例还提供了 一种接入控制器。图9示出了根据本发明实施例的AC的结构示意图,如图9所示,该AC包括:接收单元91,用于接收来自认证服务器的对终端的下线指示;网络操作单元92,用于根据接收单元91接收到的下线指示,断开终端的网络连接;发送单元93,用于向认证服务器发送对终端停止计费的请求。图10示出了图9所示AC的工作流程图,如图10所示,该流程包括如下处理过程。步骤1001,接收来自认证服务器的对终端的下线指示;步骤1002,根据接收到的下线指示,断开终端的网络连接;步骤1003,向认证服务器发送对该终端停止计费的请求。相比于相关技术,本发明实施例提供的AC,根据来自认证服务器的下线指示断开终端的网络连接,能够减轻AC设备的负担。本发明实施例提供的技术方案可以应用于EAP-SM、EAP-AKA、PEAP等WPA/WPA2企业级安全模式认证方式,本发明实施例提供的认证服务器可以是AAA服务器或radius服务器,但不限于上述方式。以下说明本发明实施例具体应用的情况。图11示出了本发明实施例提供的用户下线的处理系统的具体应用的场景,在该场景中客户端111通过AC设备112访问网络资源,AC设备112与AAA服务器113进行信令通信,AAA服务器113中包括一个下线接口 1131,该接口被设置为强制下线接口、用于接收来自客户端111的下线请求。图12示出了图11所示系统的工作流程,如图所示,该流程包括如下处理过程:步骤1201,客户端111已通过EAP-SM/AKA或PEAP认证方式,实现WLAN在线应用;步骤1202,客户端111通过http url通信方式访问AAA服务器113侧的下线接口1131,该http url中以加密方式携带用户的頂SI信息,例如,客户端111向接口 1131发送http://sh.10086.logoff;步骤1203,AAA服务器113侧的下线接口 1131接收到下线请求后,通知AAA服务器113 (该服务器具体还可以是3GPPAAA Server/RADIUS认证系统服务器)用户要下线;步骤1204,AAA服务器113解密用户MSI信息;步骤1205,AAA服务器113向AC设备112发送下线指示,要求AC设备112停止提供该IMSI用户的数据连接,即要求立即对客户端111执行强制下线操作;步骤1206,AC设备112接收到下线指示后,断开客户端111的网络连接;步骤1207,AC设备112向AAA服务器113发送计费停止请求;步骤1208,AAA服务器113接收到计费停止请求后,停止对客户端111的计费;步骤1209,AAA服务器113向AC设备112发送计费停止响应。综上所述,在本发明实施例提供的技术方案中,通过终端将下线请求直接发送给认证服务器,认证服务器根据该下线请求,指示接入AC断开终端的网络连接,并在AC断开该终端的网络连接后、根据AC发送的对该终端停止计费的请求来停止对终端的计费,使网络侧设备能够及时准确地确认终端下线、并在断开终端的网络连接后停止对终端的计费,从而能够解决相关技术中终端无法发起正常下线操作、导致系统无法准确地确认终端是否下线、并因此而产生额外计费的问题,进而能够提高客户的业务体验。相比于现有技术,本发明实施例提供的认证服务器为终端提供了直接通信的接口,使得终端能够发起正常的下线操作、网络侧设备能够更确切地获取用户下线的请求,通过指示AC断开终端的网络连接、能够减轻接入设备的负担,通过监控AC反馈的计费停止请求、能够及时地停止对终端的计费。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
权利要求
1.一种用户下线的处理系统,其特征在于,包括接入控制器AC、认证服务器; 所述认证服务器,用于在接收到来自终端的下线请求后,向所述AC发送对该终端的下线指示,以指示所述AC断开该终端的网络连接;并在接收到来自所述AC的对所述终端停止计费的请求后,停止对所述终端计费; 所述AC,用于在接收到来自所述认证服务器的对所述终端的下线指示后,断开所述终端的网络连接,并向所述认证服务器发送对该终端停止计费的请求。
2.根据权利要求1所述的系统,其特征在于,所述认证服务器,具体用于对接收到的来自终端的下线请求中携带的加密后的国际移动用户标识码MSI进行解密,并根据解密后的MS1、向所述AC发送对该MSI对应的终端的所述下线指示。
3.根据权利要求1所述的系统,其特征在于,所述认证服务器,具体用于以超文本传输协议的方式接收终端发送的下线请求。
4.一种用户下线的处理方法,其特征在于,包括: 接收来自终端的下线请求; 根据所述下线请求,向AC发送对所述终端的下线指示,以指示所述AC断开所述终端的网络连接; 接收来自所述AC的对所述终端的停止计费请求; 根据所述停止计费请求,对所述终端停止计费。
5.根据权利要求4所 述的方法,其特征在于,根据所述下线请求,向AC发送下线指示,包括: 对所述下线请求中携带的加密后的国际移动用户标识码进行解密; 根据解密后的MS1、向所述AC发送对该IMSI对应的终端的所述下线指示。
6.一种认证服务器,其特征在于,包括: 第一接收单元,用于接收来自终端的下线请求; 下线指示单元,用于根据所述第一接收单元接收到的下线请求,向接入控制器AC发送下线指示,以指示所述AC断开所述终端的网络连接; 第二接收单元,用于接收来自所述AC的对所述终端的计费停止请求; 计费终止单元,用于根据所述第二接收单元接收到的所述计费停止请求,对所述终端停止计费。
7.根据权利要求6所述的认证服务器,其特征在于,所述下线指示单元,具体用于对所述第一接收单元接收到的所述下线请求中携带的加密后的頂SI进行解密,并根据解密后的MSI,向所述AC发送对该MSI对应的终端的下线指示。
8.一种用户下线的处理方法,其特征在于,包括: 接收来自认证服务器的对终端的下线指示; 根据所述下线指示,断开所述终端的网络连接; 向所述认证服务器发送对该终端停止计费的请求。
9.一种接入控制器,其特征在于,包括: 接收单元,用于接收来自认证服务器的对终端的下线指示; 网络操作单元,用于根据所述接收单元接收到的所述下线指示,断开所述终端的网络连接;发送单元,用于向所 述认证服务器发送对所述终端停止计费的请求。
全文摘要
本发明公开了一种用户下线的处理系统、方法及认证服务器、接入控制器,其中,该方法包括接收来自终端的下线请求;根据下线请求,向接入控制器AC发送对终端的下线指示,以指示AC断开终端的网络连接;接收来自AC的对终端的停止计费请求;根据停止计费请求,对终端停止计费。本发明实施例的方案使网络侧设备能够及时准确地确认终端下线、并在断开终端的网络连接后停止对终端的计费,从而能够解决相关技术中终端无法发起正常下线操作、导致网络侧设备无法准确地确认终端是否下线、并因此而产生额外计费的问题,进而能够提高客户的业务体验。
文档编号H04W12/06GK103139750SQ201110397329
公开日2013年6月5日 申请日期2011年12月2日 优先权日2011年12月2日
发明者林良书, 费嘉亮 申请人:中国移动通信集团上海有限公司