一种签约信息的管理方法和设备的制作方法

专利名称：一种签约信息的管理方法和设备的制作方法
技术领域：
本发明涉及通信技术领域，尤其涉及一种签约信息的管理方法和设备。
背景技术：
随着WLAN (Wireless Local Area Networks,无线局域网)的快速发展，WLAN 成为 UE (User Equipment,用户设备)接入 EPS (Evolved Packet System,演进的分组系统) 系统的可用接入技术；且基于WLAN的I-WLAN (Interworking WLAN，交互无线局域网)架构是完整的接入系统，在I-WLAN中，AN (Access Network，接入网络)可以在鉴权过程中获得用户签约信息。如图I所不，为I-WLAN鉴权过程不意图,第6步中,AN在鉴权过程中获得用户签约信息；具体的，在鉴权成功之后，AAA (Authentication Authorization Accounting,认证授权计费)Server (服务器)应该向 UE 返回 EAP (Extensible Authentication Protocol, 扩展认证协议)/Success (成功)消息,但是为了向AN提供用户签约信息,AAA Server需要向AN返回Access (访问)Accept (接受)消息，其中包括EAP/Success消息以及用户签约信息；当AN接收到该Access Accept消息后，需要存储用户签约信息，并将EAP/Success消息转发给UE。在实现本发明的过程中，发明人发现现有技术中至少存在以下问题
在I-WLAN中，鉴权功能部署在AAA Server上，随着使用WLAN接入的UE数量的增加， AAA Server的信令负担越来越重,导致AAA Server成为通信瓶颈。此外，AN只有在鉴权成功的情况下才能收到Access Accept消息(封装有EAP/Success消息、用户签约信息),并向UE发送EAP/Success消息；基于此,攻击者可通过修改AN接收到Access Accept消息时的行为或通过部署假基站攻击系统，使得系统无法通过WLAN为UE提供服务；例如，攻击者通过攻击AN使AN接收到Access Accept消息时,直接丢弃Access Accept消息,或者将 Access Accept消息中的EAP/Success消息修改为EAP/Failure (失败)消息，当UE接收到被篡改的消息之后，UE将认为网络不会为其提供业务，而断开与网络之间的连接，因此当前处理方式存在安全隐患。

发明内容
本发明实施例提供一种签约信息的管理方法和设备，以避免管理服务器成为通信瓶颈，并避免安全隐患。为了达到上述目的，本发明实施例提供一种签约信息的管理方法，包括
鉴权设备从管理服务器上获得需要通知给接入设备的用户签约信息；
所述鉴权设备在鉴权过程成功结束后将所述用户签约信息发送给所述接入设备。本发明实施例提供一种签约信息的管理方法，包括
管理服务器接收来自鉴权设备的请求消息，所述请求消息中携带用户标识；
所述管理服务器通过所述用户标识查询得到需要通知给接入设备的用户签约信息；所述管理服务器向所述鉴权设备发送回复消息，所述回复消息中携带所述用户签约信
肩、O本发明实施例提供一种签约信息的管理方法，包括
接入设备在鉴权过程成功结束后接收来自鉴权设备的签约信息提供消息，所述签约信息提供消息中携带用户标识、以及需要通知给接入设备的用户签约信息；
所述接入设备在用户的上下文信息中存储所述用户签约信息。本发明实施例提供一种鉴权设备，包括
获取模块，用于从管理服务器上获得需要通知给接入设备的用户签约信息；
发送模块，用于在鉴权过程成功结束后将所述用户签约信息发送给所述接入设备。本发明实施例提供一种管理服务器，包括
接收模块，用于接收来自鉴权设备的请求消息，所述请求消息中携带用户标识；
获取模块，用于通过所述用户标识查询得到需要通知给接入设备的用户签约信息； 发送模块，用于向所述鉴权设备发送回复消息，所述回复消息中携带所述用户签约信
肩、O本发明实施例提供一种接入设备，包括
接收模块，用于在鉴权过程成功结束后接收来自鉴权设备的签约信息提供消息，所述签约信息提供消息中携带用户标识、以及需要通知给接入设备的用户签约信息；
维护模块，用于在用户的上下文信息中存储所述用户签约信息。与现有技术相比，本发明实施例至少具有以下优点本发明实施例中，通过将鉴权设备的功能从管理服务器上分离，便于在实际部署时将鉴权设备的功能部署在不同的实体上，从而避免了管理服务器成为通信瓶颈的可能；而且通过在鉴权过程成功结束之后向接入设备提供需要通知给接入设备的用户签约信息，而不是在鉴权过程中向接入设备提供用户签约信息，从而避免了接入设备参与鉴权过程而可能导致的安全隐患。


为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图I是现有技术中I-WLAN鉴权过程不意图2是本发明实施例一提供的一种签约信息的管理方法流程示意图3是本发明实施例二提供的一种签约信息的管理方法流程示意图4是本发明实施例三提供的一种签约信息的管理方法流程示意图5是本发明实施例四提供的一种签约信息的管理方法流程示意图6是本发明实施例五提供的一种签约信息的管理方法流程示意图7是本发明实施例六提供的一种鉴权设备的结构示意图8是本发明实施例七提供的一种管理服务器的结构示意图9是本发明实施例六提供的一种接入设备的结构示意图。
具体实施方式
下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明的一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。实施例一
本发明实施例一提供一种签约信息的管理方法，该方法应用于包括UE、接入设备、鉴权设备和管理服务器的系统中，该方法的应用场景包括但不限于I-WLAN网络，该场景下接入设备为AN,管理服务器为AAA Server。本发明实施例中，用户签约信息存储在系统的管理服务器中，在所有的用户签约信息中，有的用户签约信息需要通知给接入设备，有的用户签约信息不能被其他网元获知 (即不能通知给接入设备，如管理服务器中保存的与加密相关的用户签约信息不能被其他网元获知)，对于不能被其他网元获知的用户签约信息，本发明实施例中不再赘述，后续的用户签约信息均为需要通知给接入设备的用户签约信息。本发明实施例中，用户签约信息包括但不限于下述信息用户标识信息(如用户身份标识、设备标识等)、签约QoS (服务质量)信息；进一步的，该签约QoS信息包括但不限于下述信息调度优先级信息、最大签约速率信息、保证速率信息。其中，调度优先级信息用于表示接入设备对用户提供服务的优先顺序；最大签约速率信息用于控制用户可用的总的服务速率；保证速率信息用于保障用户基本的服务速率。优选的，本发明实施例中，该用户签约信息中还可以包括但不限于接入限制信息， 对此本发明实施例中不再赘述。如图2所示，该签约信息的管理方法包括以下步骤
步骤201，鉴权设备从管理服务器上获得需要通知给接入设备的用户签约信息。方式一、鉴权设备在鉴权过程成功结束之后，从管理服务器上获得用户签约信息。具体的，在鉴权过程成功结束之后，鉴权设备向管理服务器发送签约信息请求消息，该签约信息请求消息中携带用户标识；管理服务器在接收到签约信息请求消息后，利用其携带的用户标识查询得到用户签约信息；管理服务器向鉴权设备返回签约信息回复消息，该签约信息回复消息中携带管理服务器利用用户标识所得到的用户签约信息；鉴权设备接收管理服务器返回的签约信息回复消息，并从签约信息回复消息中获得用户签约信肩、O方式二、鉴权设备在鉴权过程中，从管理服务器上获得用户签约信息。具体的，在鉴权过程中，鉴权设备向管理服务器发送鉴权数据请求消息，该鉴权数据请求消息中携带用户标识；管理服务器在接收到鉴权数据请求消息后，利用其携带的用户标识查询得到用户签约信息，并执行鉴权过程的相关操作，得到鉴权信息；管理服务器向鉴权设备返回鉴权数据回复消息，该鉴权数据回复消息中携带管理服务器利用用户标识所得到的用户签约信息、以及鉴权过程中的鉴权信息(如鉴权向量)；鉴权设备接收管理服务器返回的鉴权数据回复消息，并从鉴权数据回复消息中获得用户签约信息。针对上述方式一和方式二，对于管理服务器侧的处理，管理服务器可以接收到来自鉴权设备的请求消息，该请求消息中携带有用户标识；且在鉴权过程成功结束之后，该请求消息为签约信息请求消息，在鉴权过程中，该请求消息为鉴权数据请求消息；之后,管理服务器可以通过用户标识查询得到用户签约信息；之后，管理服务器向鉴权设备发送回复消息，该回复消息中携带有用户签约信息；且在鉴权过程成功结束之后，该回复消息为签约信息回复消息，在鉴权过程中，该回复消息为鉴权数据回复消息。需要注意的是，上述获得的用户签约信息为需要通知给接入设备的用户签约信息，在实际应用中，鉴权设备并不局限于仅从管理服务器上获得需要通知给接入设备的用户签约信息，还可以从管理服务器上获得其他不需要通知给接入设备的用户签约信息，但鉴权设备在后续过程中只是将需要通知给接入设备的用户签约信息发送给接入设备，即发送给接入设备的用户签约信息可以是鉴权设备获得的用户签约信息的子集，且鉴权设备从管理服务器上获得的用户签约信息可以是管理服务器中的用户签约信息的子集。例如，鉴权设备从管理服务器上获得并存储的用户签约信息为用户标识、签约QoS信息，接入限制信息、计费方式等，而接入设备从鉴权设备上获得并存储的用户签约信息为用户标识、签约QoS信息，接入限制信息等。步骤202，鉴权设备在鉴权过程成功结束之后，将用户签约信息发送给接入设备。具体的，在鉴权过程成功结束之后，鉴权设备向接入设备发送签约信息提供消息， 该签约信息提供消息中携带用户标识、以及鉴权设备从管理服务器中获得的用户签约信
肩、O进一步的，接入设备在鉴权过程成功结束之后，可以接收到来自鉴权设备的签约信息提供消息，该签约信息提供消息中携带用户标识和用户签约信息；之后，接入设备可在用户的上下文信息中存储用户签约信息。本发明实施例中，一种优选的实施方式为鉴权设备在从管理服务器上获得用户签约信息之后，鉴权设备在用户的上下文信息中存储用户签约信息。基于该实施方式，当UE 在不同接入设备之间切换时，当鉴权设备向UE新接入的接入设备发送用户签约信息时，鉴权设备首先查询在用户的上下文信息中是否存储有用户签约信息，如果是，则直接将用户的上下文信息中所存储的用户签约信息通知给UE新接入的接入设备，可以不再从管理服务器上获得用户签约信息；如果否，则执行从管理服务器上获得用户签约信息的过程。进一步的，鉴权设备在用户的上下文信息中存储了用户签约信息之后，针对上述方式二的处理，当鉴权设备在鉴权过程中从管理服务器上获得了用户签约信息之后，如果鉴权过程失败，则鉴权设备还需要从用户的上下文信息中删除之前存储的用户签约信息。综上所述，本发明实施例中，通过将鉴权设备的功能从管理服务器上分离，便于在实际部署时将鉴权设备的功能部署在不同的实体上，从而避免了管理服务器成为通信瓶颈的可能；而且鉴权设备可在鉴权过程中或鉴权过程成功结束之后从管理服务器上获得用户签约信息，并在鉴权过程成功结束之后向接入设备提供用户签约信息，而不是在鉴权过程中向接入设备提供用户签约信息，使得鉴权过程对接入设备透明，从而避免了接入设备参与鉴权过程而可能导致的安全隐患。实施例二
本发明实施例二提供一种签约信息的管理方法，该方法应用于包括UE、接入设备、鉴权设备和管理服务器的系统中，且用户签约信息存储在系统的管理服务器中，后续的用户签约信息均为需要通知给接入设备的用户签约信息。本发明实施例中，用户签约信息包括但不限于下述信息用户标识信息、签约QoS信息；进一步的，该签约QoS信息包括但不限于
9下述信息调度优先级信息、最大签约速率信息、保证速率信息。其中，调度优先级信息用于表示接入设备对用户提供服务的优先顺序；最大签约速率信息用于控制用户可用的总的服务速率；保证速率信息用于保障用户基本的服务速率。优选的，该用户签约信息中还可以包括但不限于接入限制信息。本发明实施例中，不对鉴权过程作任何修改，通过定义新消息(签约信息请求消息、签约信息回复消息、签约信息提供消息)，由鉴权设备在鉴权过程成功结束之后从管理服务器上获得用户签约信息，并在鉴权过程成功结束之后向接入设备发送其从管理服务器获得的用户签约信息。如图3所示，该签约信息的管理方法包括以下步骤
步骤301，UE、接入设备、鉴权设备、管理服务器之间执行鉴权过程。具体的，当UE初始接入系统时，接入设备向鉴权设备发送鉴权请求，由接入设备、 鉴权设备、管理服务器执行对UE的鉴权过程，该过程不再详加说明，以UE鉴权成功为例。步骤302，在鉴权过程成功结束之后，鉴权设备向管理服务器发送签约信息请求消息，该签约信息请求消息中携带用户标识。步骤303，管理服务器在接收到签约信息请求消息之后，利用签约信息请求消息中携带的用户标识查询得到用户签约信息，并向鉴权设备返回签约信息回复消息，该签约信息回复消息中携带用户签约信息。步骤304，鉴权设备在接收到签约信息回复消息之后，在用户的上下文信息中存储用户签约信息。步骤305，鉴权设备向接入设备发送签约信息提供消息，该签约信息提供消息中携带用户标识以及其从管理服务器接收到的用户签约信息。需要注意的是，该用户标识可以是用户标识，也可以是用户临时标识；其原因为 在移动通信系统中，为了保证系统的安全性，接入设备只能获取到用户临时标识；在有些系统中，接入设备可以获得用户标识。步骤306，接入设备接收签约信息提供消息，并在用户的上下文信息中存储用户签约信息。实施例三
本发明实施例三提供一种签约信息的管理方法，该方法应用于包括UE、接入设备、鉴权设备和管理服务器的系统中，且用户签约信息存储在系统的管理服务器中，后续的用户签约信息均为需要通知给接入设备的用户签约信息。本发明实施例中，用户签约信息包括但不限于下述信息用户标识信息、签约QoS信息；进一步的，该签约QoS信息包括但不限于下述信息调度优先级信息、最大签约速率信息、保证速率信息。其中，调度优先级信息用于表示接入设备对用户提供服务的优先顺序；最大签约速率信息用于控制用户可用的总的服务速率；保证速率信息用于保障用户基本的服务速率。优选的，该用户签约信息中还可以包括但不限于接入限制信息。本发明实施例中，通过扩展鉴权过程中的鉴权数据请求消息和鉴权数据回复消息，使得鉴权设备在鉴权过程中获得用户签约信息，从而减少了鉴权设备与管理服务器之间传输签约信息所需要的信令数目。在鉴权成功之后(即鉴权过程成功结束之后)，通过定义新消息(签约信息提供消息)，使得鉴权设备将用户签约信息发送给接入设备。
如图4所示，该签约信息的管理方法包括以下步骤
步骤401，当UE初始接入系统时，接入设备向鉴权设备发送鉴权请求，由UE、接入设备、 鉴权设备之间执行发起鉴权的过程。步骤402，鉴权设备向管理服务器发送鉴权数据请求消息(为鉴权过程中的消息)， 该鉴权数据请求消息中携带用户标识。步骤403，管理服务器在接收到鉴权数据请求消息之后，利用鉴权数据请求消息中携带的用户标识查询得到用户签约信息，并计算出鉴权向量(为鉴权过程中的相关操作，其他操作在此不再赘述)，以及向鉴权设备返回鉴权数据回复消息，该鉴权数据回复消息中携带用户签约信息以及鉴权向量。步骤404，鉴权设备在接收到鉴权数据回复消息之后，在用户的上下文信息中存储用户签约信息。需要注意的是，鉴权设备在接收到鉴权数据回复消息之后，还需要与UE之间继续执行鉴权过程，该过程在此不再赘述。步骤405，在鉴权过程成功执行之后，鉴权设备向接入设备发送签约信息提供消息，该签约信息提供消息中携带用户标识以及用户签约信息。此外，如果鉴权过程失败，则鉴权设备还需要删除用户的上下文信息中所存储的用户签约信息。需要注意的是，该用户标识可以是用户标识，也可以是用户临时标识；其原因为 在移动通信系统中，为了保证系统的安全性，接入设备只能获取到用户临时标识；在有些系统中，接入设备可以获得用户标识。步骤406，接入设备接收签约信息提供消息，并在用户的上下文信息中存储用户签约信息。实施例四
本发明实施例四提供一种签约信息的管理方法，本实施例中，为了避免管理服务器(如 AAA Server)成为通信瓶颈，将鉴权设备的功能部署在接入系统中的GW (GateWay，网关) 上；为了避免网络被恶意者攻击，使整个鉴权过程对接入设备(如AP (接入点)等)透明，本实施例不对鉴权过程作任何改动，当鉴权成功之后，通过定义GW和AAA Server之间的交互过程，使GW获取用户签约信息，然后GW将该用户签约信息提供给AP。如图5所示，该签约信息的管理方法包括以下步骤
步骤501, UE发起附着过程,连接到AP上，AP建立RRC (Radio Resource Control,无线资源控制)连接的SRB (Signaling Radio Bearer,信令无线承载),传输鉴权消息。步骤502，AP发现UE附着，AP向GW发送EAP-Start消息。步骤503, Gff向UE发送EAP-Request/Identity消息，请求用户标识。步骤504,UE向GW返回EAP-Response (响应)/Identity消息，其中包含了用户标识。步骤505,为了获取 UE 的鉴权向量,GW 向 AAA Server 发送 Authentication data request (鉴权数据请求)消息，其中携带了用户标识。步骤506, AAA Server 接收到 Authentication data request 消息之后，利用其中携带的用户标识查找计算鉴权向量所需的参数，AAA Server将鉴权向量所需的参数作为加密算法的输入，计算出加密密钥，形成鉴权向量，然后AAA Server向GW返回 Authentication data response (鉴权数据回复)消息,其中携带鉴权向量。步骤507,当 GW 接收到 AAA Server 返回的 Authentication data response 消息之后，GW向UE发送EAP-Request/AKA-ChalIenge消息，其中携带鉴权向量中的AT_RAND， AT_AUTN 和 AT_MAC。步骤508, UE收到EAP-Request/AKA-Challenge消息后，执行AKA算法，计算出 AUTN值；如果计算的AUTN和收到的EAP-Request/AKA-ChalIenge消息中的AUTN相同， 则UE验证了网络的正确性；然后UE推导出RES和会话密钥，并向GW返回EAP-Response/ AKA-Challenge 消息，其中携带了 AT_RES 和 AT_MAC。步骤509, GW 接收到 EAP-Response/AKA-Challenge 消息之后，GW 验证 AT_ RES和AT_MAC的正确性，如果二者都正确，则UE通过了网络的鉴权过程，Gff向UE返回 EAP-Success 消息。需要注意的是，上述步骤501-步骤509为鉴权过程，在鉴权过程成功结束之后，该方法还可以包括以下步骤
步骤510，UE和网络之间的双向鉴权成功结束之后，GW向AAA Server发送签约信息请求消息，其中携带用户标识。步骤511, AAA Server接收到签约信息请求消息之后，AAA Server根据其中携带的用户标识查找得到用户签约信息，然后向GW返回签约信息回复消息，其中携带用户签约信息。步骤512，GW接收到AAA Server返回的签约信息回复消息后，GW将用户签约信息存储在用户的上下文信息中，然后向AP发送签约信息提供消息，其中携带用户标识(或用户临时标识)以及用户签约信息；当AP接收到该签约信息提供消息后，AP在用户的上下文中信息中存储用户签约信息。实施例五
本发明实施例五提供一种签约信息的管理方法，本实施例中，为了避免管理服务器(如 AAA Server)成为通信瓶颈，将鉴权设备的功能部署在接入系统中的GW上；为了避免网络被恶意者攻击，使整个鉴权过程对接入设备(如AP等)透明，Gff在鉴权过程中从AAA Server 获取用户签约信息，且当鉴权成功之后，Gff向AP提供用户签约信息。如图6所示，该签约信息的管理方法包括以下步骤
步骤601，UE发起附着过程，连接到AP上，AP建立RRC连接的SRB，传输鉴权消息。步骤602，AP发现UE附着，AP向GW发送ΕΑΡ-Start消息。步骤603, Gff向UE发送EAP-Request/Identity消息，请求用户标识。步骤604, UE向GW返回EAP-Response/Identity消息,其中包含了用户标识。步骤605，为了获取UE的鉴权向量以及用户签约信息，GW向AAA Server发送 Authentication data request消息，其中携带了用户标识。步骤606, AAA Server 接收到 Authentication data request 消息之后,利用其中携带的用户标识查找计算鉴权向量所需的参数以及用户签约信息，AAA Server将鉴权向量所需的参数作为加密算法的输入，计算出加密密钥，形成鉴权向量，然后AAA Server向GW 返回Authentication data response消息,其中携带鉴权向量以及用户签约信息。
步骤607,当 GW 接收到 AAA Server 返回的 Authentication data response 消息之后，Gff在用户的上下文信息中存储用户签约信息，然后向UE发送EAP-Request/ AKA-Chal Ienge消息，其中携带(即消息参数为)鉴权向量中的AT_RAND，AT_AUTN和AT_MAC。步骤608, UE收到EAP-Request/AKA-Challenge消息后，执行AKA算法，计算出 AUTN值；如果计算的AUTN和收到的EAP-Request/AKA-ChalIenge消息中的AUTN相同， 则UE验证了网络的正确性；然后UE推导出RES和会话密钥，并向GW返回EAP-Response/ AKA-Challenge 消息，其中携带了 AT_RES 和 AT_MAC。步骤609, GW 接收到 EAP-Response/AKA-Challenge 消息之后，Gff 验证 AT_ RES和AT_MAC的正确性，如果二者都正确，则UE通过了网络的鉴权过程，Gff向UE返回 EAP-Success 消息。需要注意的是，上述步骤501-步骤509为鉴权过程，且在鉴权过程中，GW在用户的上下文信息中存储了用户签约信息。步骤610，Gff向AP发送签约信息提供消息，其中携带用户标识(或用户临时标识) 以及用户签约信息；当AP接收到该签约信息提供消息后，AP在用户的上下文中信息中存储用户签约信息。实施例六
基于与上述方法同样的发明构思，本发明实施例中还提供了一种鉴权设备，如图7所示，该鉴权设备包括
获取模块11，用于从管理服务器上获得需要通知给接入设备的用户签约信息；
发送模块12，用于在鉴权过程成功结束后将所述用户签约信息发送给所述接入设备。所述获取模块11，具体用于在鉴权过程成功结束后从所述管理服务器上获得所述用户签约信息；或者，在鉴权过程中从所述管理服务器上获得所述用户签约信息。所述获取模块11，进一步用于在鉴权过程成功结束后，向所述管理服务器发送签约信息请求消息，所述签约信息请求消息中携带用户标识；
接收所述管理服务器返回的签约信息回复消息，所述签约信息回复消息中携带所述管理服务器利用所述用户标识所查找到的所述用户签约信息。所述获取模块11，进一步用于在鉴权过程中，向所述管理服务器发送鉴权数据请求消息，所述鉴权数据请求消息中携带用户标识；
接收所述管理服务器返回的鉴权数据回复消息，所述鉴权数据回复消息中携带所述管理服务器利用所述用户标识所查找到的所述用户签约信息、以及鉴权过程中的鉴权信息。所述发送模块12，具体用于在鉴权过程成功结束后，向所述接入设备发送签约信息提供消息，所述签约信息提供消息中携带用户标识、以及所述用户签约信息。本发明实施例中，该鉴权设备还包括维护模块13，用于在从管理服务器上获得用户签约信息之后，在用户的上下文信息中存储所述用户签约信息。所述维护模块13，进一步用于当在鉴权过程中从所述管理服务器上获得所述用户签约信息时，如果鉴权过程失败，则从所述用户的上下文信息中删除所述用户签约信息。本发明实施例中，所述用户签约信息包括用户标识信息和签约服务质量QoS信息；所述签约QoS信息包括调度优先级信息、最大签约速率信息、保证速率信息；其中，所述调度优先级信息用于表示接入设备对用户提供服务的优先顺序；所述最大签约速率信息用于控制用户可用的总的服务速率；所述保证速率信息用于保障用户基本的服务速率。其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。实施例七
基于与上述方法同样的发明构思，本发明实施例中还提供了一种管理服务器，如图8 所示，该管理服务器包括
接收模块21，用于接收来自鉴权设备的请求消息，所述请求消息中携带用户标识；
获取模块22，用于通过所述用户标识查询得到需要通知给接入设备的用户签约信息； 发送模块23，用于向所述鉴权设备发送回复消息，所述回复消息中携带所述用户签约信息。本发明实施例中，在鉴权过程成功结束后，所述请求消息包括签约信息请求消息， 所述回复消息包括签约信息回复消息；
在鉴权过程中，所述请求消息包括鉴权数据请求消息，所述回复消息包括鉴权数据回复消息，所述鉴权数据回复消息中携带鉴权过程中的鉴权信息。本发明实施例中，所述用户签约信息包括用户标识信息和签约服务质量QoS信息；所述签约QoS信息包括调度优先级信息、最大签约速率信息、保证速率信息；其中，所述调度优先级信息用于表示接入设备对用户提供服务的优先顺序；所述最大签约速率信息用于控制用户可用的总的服务速率；所述保证速率信息用于保障用户基本的服务速率。其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。实施例八
基于与上述方法同样的发明构思，本发明实施例中还提供了一种接入设备，如图9所示，该接入设备包括
接收模块31，用于在鉴权过程成功结束后接收来自鉴权设备的签约信息提供消息，所述签约信息提供消息中携带用户标识、以及需要通知给接入设备的用户签约信息；
维护模块32，用于在用户的上下文信息中存储所述用户签约信息。本发明实施例中，所述用户签约信息包括用户标识信息和签约服务质量QoS信息；所述签约QoS信息包括调度优先级信息、最大签约速率信息、保证速率信息；其中，所述调度优先级信息用于表示接入设备对用户提供服务的优先顺序；所述最大签约速率信息用于控制用户可用的总的服务速率；所述保证速率信息用于保障用户基本的服务速率。其中，本发明装置的各个模块可以集成于一体，也可以分离部署。上述模块可以合并为一个模块，也可以进一步拆分成多个子模块。通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述的方法。本领域技术人员可以理解附图只是一个优选实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。本领域技术人员可以理解实施例中的装置中的模块可以按照实施例描述进行分布于实施例的装置中，也可以进行相应变化位于不同于本实施例的一个或多个装置中。上述实施例的模块可以合并为一个模块，也可以进一步拆分成多个子模块。上述本发明实施例序号仅仅为了描述，不代表实施例的优劣。以上公开的仅为本发明的几个具体实施例，但是，本发明并非局限于此，任何本领域的技术人员能思之的变化都应落入本发明的保护范围。
权利要求
1.一种签约信息的管理方法，其特征在于，包括鉴权设备从管理服务器上获得需要通知给接入设备的用户签约信息；所述鉴权设备在鉴权过程成功结束后将所述用户签约信息发送给所述接入设备。
2.如权利要求I所述的方法，其特征在于，所述鉴权设备从管理服务器上获得需要通知给接入设备的用户签约信息，包括所述鉴权设备在鉴权过程成功结束后从所述管理服务器上获得所述用户签约信息；或者，所述鉴权设备在鉴权过程中从所述管理服务器上获得所述用户签约信息。
3.如权利要求2所述的方法，其特征在于，所述鉴权设备在鉴权过程成功结束后从所述管理服务器上获得所述用户签约信息，包括在鉴权过程成功结束后，所述鉴权设备向所述管理服务器发送签约信息请求消息，所述签约信息请求消息中携带用户标识；所述鉴权设备接收所述管理服务器返回的签约信息回复消息，所述签约信息回复消息中携带所述管理服务器利用所述用户标识所查找到的所述用户签约信息。
4.如权利要求2所述的方法，其特征在于，所述鉴权设备在鉴权过程中从所述管理服务器上获得所述用户签约信息，包括在鉴权过程中，所述鉴权设备向所述管理服务器发送鉴权数据请求消息，所述鉴权数据请求消息中携带用户标识；所述鉴权设备接收所述管理服务器返回的鉴权数据回复消息，所述鉴权数据回复消息中携带所述管理服务器利用所述用户标识所查找到的所述用户签约信息、以及鉴权过程中的鉴权信息。
5.如权利要求I所述的方法，其特征在于，所述鉴权设备在鉴权过程成功结束后将所述用户签约信息发送给所述接入设备，包括在鉴权过程成功结束后，所述鉴权设备向所述接入设备发送签约信息提供消息，所述签约信息提供消息中携带用户标识、以及所述用户签约信息。
6.如权利要求I所述的方法，其特征在于，所述鉴权设备从管理服务器上获得需要通知给接入设备的用户签约信息，之后还包括所述鉴权设备在用户的上下文信息中存储所述用户签约信息。
7.如权利要求6所述的方法，其特征在于，所述鉴权设备在用户的上下文信息中存储所述用户签约信息，之后还包括当所述鉴权设备在鉴权过程中从所述管理服务器上获得所述用户签约信息时，如果鉴权过程失败，则所述鉴权设备从所述用户的上下文信息中删除所述用户签约信息。
8.如权利要求1-7任一项所述的方法，其特征在于，所述用户签约信息包括用户标识信息和签约服务质量QoS信息；所述签约QoS信息包括调度优先级信息、最大签约速率信息、保证速率信息；其中， 所述调度优先级信息用于表示接入设备对用户提供服务的优先顺序；所述最大签约速率信息用于控制用户可用的总的服务速率；所述保证速率信息用于保障用户基本的服务速率。
9.一种签约信息的管理方法，其特征在于，包括管理服务器接收来自鉴权设备的请求消息，所述请求消息中携带用户标识；所述管理服务器通过所述用户标识查询得到需要通知给接入设备的用户签约信息； 所述管理服务器向所述鉴权设备发送回复消息，所述回复消息中携带所述用户签约信肩、O
10.如权利要求9所述的方法，其特征在于，所述方法进一步包括在鉴权过程成功结束后，所述请求消息包括签约信息请求消息，所述回复消息包括签约信息回复消息；在鉴权过程中，所述请求消息包括鉴权数据请求消息，所述回复消息包括鉴权数据回复消息，所述鉴权数据回复消息中携带鉴权过程中的鉴权信息。
11.如权利要求9所述的方法，其特征在于，所述用户签约信息包括用户标识信息和签约服务质量QoS信息；所述签约QoS信息包括调度优先级信息、最大签约速率信息、保证速率信息；其中， 所述调度优先级信息用于表示接入设备对用户提供服务的优先顺序；所述最大签约速率信息用于控制用户可用的总的服务速率；所述保证速率信息用于保障用户基本的服务速率。
12.—种签约信息的管理方法，其特征在于，包括接入设备在鉴权过程成功结束后接收来自鉴权设备的签约信息提供消息，所述签约信息提供消息中携带用户标识、以及需要通知给接入设备的用户签约信息；所述接入设备在用户的上下文信息中存储所述用户签约信息。
13.如权利要求12所述的方法，其特征在于，所述用户签约信息包括用户标识信息和签约服务质量QoS信息；所述签约QoS信息包括调度优先级信息、最大签约速率信息、保证速率信息；其中， 所述调度优先级信息用于表示接入设备对用户提供服务的优先顺序；所述最大签约速率信息用于控制用户可用的总的服务速率；所述保证速率信息用于保障用户基本的服务速率。
14.一种鉴权设备，其特征在于，包括获取模块，用于从管理服务器上获得需要通知给接入设备的用户签约信息；发送模块，用于在鉴权过程成功结束后将所述用户签约信息发送给所述接入设备。
15.如权利要求14所述的鉴权设备，其特征在于，所述获取模块，具体用于在鉴权过程成功结束后从所述管理服务器上获得所述用户签约信息；或者，在鉴权过程中从所述管理服务器上获得所述用户签约信息。
16.如权利要求15所述的鉴权设备，其特征在于，所述获取模块，进一步用于在鉴权过程成功结束后，向所述管理服务器发送签约信息请求消息，所述签约信息请求消息中携带用户标识；接收所述管理服务器返回的签约信息回复消息，所述签约信息回复消息中携带所述管理服务器利用所述用户标识所查找到的所述用户签约信息。
17.如权利要求15所述的鉴权设备，其特征在于，所述获取模块，进一步用于在鉴权过程中，向所述管理服务器发送鉴权数据请求消息，所述鉴权数据请求消息中携带用户标识；接收所述管理服务器返回的鉴权数据回复消息，所述鉴权数据回复消息中携带所述管理服务器利用所述用户标识所查找到的所述用户签约信息、以及鉴权过程中的鉴权信息。
18.如权利要求14所述的鉴权设备，其特征在于，所述发送模块，具体用于在鉴权过程成功结束后，向所述接入设备发送签约信息提供消息，所述签约信息提供消息中携带用户标识、以及所述用户签约信息。
19.如权利要求14所述的鉴权设备，其特征在于，还包括维护模块，用于在从管理服务器上获得用户签约信息之后，在用户的上下文信息中存储所述用户签约信息。
20.如权利要求19所述的鉴权设备，其特征在于，所述维护模块，进一步用于当在鉴权过程中从所述管理服务器上获得所述用户签约信息时，如果鉴权过程失败，则从所述用户的上下文信息中删除所述用户签约信息。
21.如权利要求14-20任一项所述的鉴权设备，其特征在于，所述用户签约信息包括用户标识信息和签约服务质量QoS信息；所述签约QoS信息包括调度优先级信息、最大签约速率信息、保证速率信息；其中， 所述调度优先级信息用于表示接入设备对用户提供服务的优先顺序；所述最大签约速率信息用于控制用户可用的总的服务速率；所述保证速率信息用于保障用户基本的服务速率。
22.—种管理服务器，其特征在于，包括接收模块，用于接收来自鉴权设备的请求消息，所述请求消息中携带用户标识；获取模块，用于通过所述用户标识查询得到需要通知给接入设备的用户签约信息； 发送模块，用于向所述鉴权设备发送回复消息，所述回复消息中携带所述用户签约信肩、O
23.如权利要求22所述的管理服务器，其特征在于，在鉴权过程成功结束后，所述请求消息包括签约信息请求消息，所述回复消息包括签约信息回复消息；在鉴权过程中，所述请求消息包括鉴权数据请求消息，所述回复消息包括鉴权数据回复消息，所述鉴权数据回复消息中携带鉴权过程中的鉴权信息。
24.如权利要求22所述的管理服务器，其特征在于，所述用户签约信息包括用户标识信息和签约服务质量QoS信息；所述签约QoS信息包括调度优先级信息、最大签约速率信息、保证速率信息；其中， 所述调度优先级信息用于表示接入设备对用户提供服务的优先顺序；所述最大签约速率信息用于控制用户可用的总的服务速率；所述保证速率信息用于保障用户基本的服务速率。
25.一种接入设备，其特征在于，包括接收模块，用于在鉴权过程成功结束后接收来自鉴权设备的签约信息提供消息，所述签约信息提供消息中携带用户标识、以及需要通知给接入设备的用户签约信息；维护模块，用于在用户的上下文信息中存储所述用户签约信息。
26.如权利要求25所述的接入设备，其特征在于，所述用户签约信息包括用户标识信息和签约服务质量QoS信息；所述签约QoS信息包括调度优先级信息、最大签约速率信息、保证速率信息；其中， 所述调度优先级信息用于表示接入设备对用户提供服务的优先顺序；所述最大签约速率信息用于控制用户可用的总的服务速率；所述保证速率信息用于保障用户基本的服务速率。
全文摘要
本发明公开了一种签约信息的管理方法和设备，该方法包括鉴权设备从管理服务器上获得需要通知给接入设备的用户签约信息；所述鉴权设备在鉴权过程成功结束后将所述用户签约信息发送给所述接入设备。本发明实施例中，通过将鉴权设备的功能从管理服务器上分离，便于在实际部署时将鉴权设备的功能部署在不同的实体上，从而避免了管理服务器成为通信瓶颈的可能；而且通过在鉴权过程成功结束之后向接入设备提供需要通知给接入设备的用户签约信息，而不是在鉴权过程中向接入设备提供用户签约信息，从而避免了接入设备参与鉴权过程而可能导致的安全隐患。
文档编号H04W12/06GK102595406SQ201210033629
公开日2012年7月18日 申请日期2012年2月15日 优先权日2012年2月15日
发明者何飞, 侯云静, 傅婧, 秦飞, 艾明, 谌丽 申请人:电信科学技术研究院