一种通信管理方法及通信系统的制作方法

一种通信管理方法及通信系统的制作方法
【专利摘要】本发明公开了一种通信管理方法及通信系统，用户终端认证通过后或用户终端的用户信息变更时，AAA服务器将包含有用户终端的授权信息的用户信息发送给该用户终端对应的业务控制服务器，业务控制服务器则根据该用户信息对该用户终端业务策略进行控制；实现过程简单，易于扩展，且可提高处理效率和降低业务控制服务器的压力；同时，本发明提供的上述方案中，AAA服务器可单独的向业务控制服务器下发用户消息，并不要求必须存在认证服务器，因此可提供更广泛的应用，为运营商提供更灵活的业务开展方式，能进一步提高处理效率。
【专利说明】一种通信管理方法及通信系统

【技术领域】
[0001] 本发明涉及通信领域，具体涉及一种通信管理方法及通信系统。

【背景技术】
[0002] 随着通信市场日益开放，电信业务正向数据化、宽带化、综合化、个性化飞速发展， 各运营商之间的竞争日趋激烈。而竞争的基本点就在于接入资源的竞争，如何快速、有效、 灵活、低成本提供客户所需要的各种业务成为运营商首要考虑的问题。WLAN接入方式在一 定程度上满足了运营商的需要，WLAN是英文Wireless LAN的缩写，就是无线局域网的意 思。无线以太网技术是一种基于无线传输的局域网技术，与有线网络技术相比，具有灵活、 建网迅速、个人化等特点。将这一技术应用于电信网的接入网领域，能够方便、灵活地为用 户提供网络接入，适合于用户流动性较大、有数据业务需求的公共场所、高端的企业及家庭 用户、需要临时建网的场合以及难以采用有线接入方式的环境等。
[0003] WLAN系统一般由AC (接入控制器)和AP (无线接入点）组成。WLAN系统按照组网 方式可分为胖AP组网与瘦AP组网两种。胖AP即AP充当无线路由器，单独组网自身不需 要AC (无线控制器）就能使用。瘦AP即无线网桥，它需要AC控制才能使用，其实就是AC 的天线。在现网络中为了减少对WLAN接入网络的改造，一般会采用AC和BNG (用户接入网 关服务器）分离的接入方案，在AC上直挂或旁挂BNG设备。这种AC和BNG分离的部署场 景中，AC作为认证服务器，负责接入用户的认证和接入通道的安全控制。BNG作为业务控 制点，负责统计用户流量和在线时长以用于计费，并控制用户签约带宽、服务质量和业务策 略。认证点和业务控制点之间是运营商管理的网络，一般安全可行，而且网络拓扑稳定，所 以认证点和业务控制点分离部署的方式是可行的，认证点和业务控制点分离的应用场景将 越来越多。但这种AC和BNG分离的部署场景中，将BNG充当Radius Proxy，需要对BNG做 较大的改动，且BNG充当Radius Proxy需要重新解包、封包，通信实现过程复杂，处理效率 低，不利于扩展。


【发明内容】

[0004] 本发明要解决的主要技术问题是，提供一种通信管理方法及通信系统，解决现有 认证点和业务控制点分离部署时，通信实现过程复杂，效率低且不易扩展的问题。
[0005] 为解决上述技术问题，本发明提供一种通信管理方法，所述通信管理方法包括：
[0006] 用户终端认证通过后或用户终端的用户信息变更时，AAA服务器将所述用户终端 的用户信息发送给所述用户终端对应的业务控制服务器，所述用户信息包括用户终端的授 权信息；
[0007] 所述业务控制服务器根据所述用户信息对所述用户终端的业务进行策略进行控 制。
[0008] 在本发明的一种实施例中，所述通信管理方法还包括：
[0009] 所述用户终端下线时，所述AAA服务器向所述业务控制服务器发送用户下线指 令；
[0010] 所述业务控制服务器接收到所述用户下线指令后，结束对所述用户终端的业务策 略的控制。
[0011] 在本发明的一种实施例中，所述用户终端的授权信息包括用户终端的地址信息、 和/或用户终端的标识信息、和/或用户终端的业务策略信息。
[0012] 在本发明的一种实施例中，所述业务控制服务器根据所述用户信息对所述用户终 端的业务进行策略控制包括：
[0013] 所述业务控制服务器根据所述用户信息向其对应的转发面下发所述用户终端的 用户转发信息表；
[0014] 所述业务控制服务器结束对所述用户终端的业务的策略控制包括：
[0015] 所述业务控制服务器删除其对应的转发面中所述用户终端的用户转发信息表。
[0016] 在本发明的一种实施例中，所述方法还包括：所述业务控制服务器根据所述用户 信息对所述用户终端的业务进行策略进行控制后，向所述AAA服务器发送开始计费指令； 所述业务控制服务器接收到所述用户下线指令后，向所述AAA服务器发送停止计费指令。 [0017] 在本发明的一种实施例中，所述用户终端的认证包括：
[0018] 所述用户终端通过认证服务器与所述AAA服务器完成认证；
[0019] 或所述用户终端通过运营商与所述AAA服务器完成认证。
[0020] 在本发明的一种实施例中，所述用户终端通过认证服务器与所述AAA服务器完成 认证包括：
[0021] 认证服务器与业务控制服务器确定关联关系；
[0022] 所述用户终端关联到所述认证服务器，所述认证服务器为所述用户终端确定对应 的业务控制服务器；
[0023] 所述用户终端通过所述认证服务器与所述AAA服务器交互完成认证；在该认证过 程中，所述认证服务器将为所述用户终端确定的业务控制服务器的信息发送给所述AAA服 务器。
[0024] 在本发明的一种实施例中，所述用户终端通过运营商与所述AAA服务器完成认证 时，所述AAA服务器从所述运营商获取与所述用户终端对应的业务控制服务器的信息。
[0025] 在本发明的一种实施例中，所述管理方法还包括：
[0026] 所述认证服务器检测到所述用户终端的用户信息变更时，向所述AAA服务器发送 用户信息变更通告消息；
[0027] 或所述AAA服务器接收运营商发送的用户信息变更通告消息。
[0028] 在本发明的一种实施例中，所述管理方法还包括：
[0029] 所述认证服务器检测到所述用户终端下线时，向所述AAA服务器发送用户下线通 告消息。
[0030] 为了解决上述问题，本发明还提供了一种通信系统，所述通信系统包括用户终 端、业务控制服务器和AAA服务器；
[0031] 所述AAA服务器用于在所述用户终端认证通过后或所述用户终端的用户信息变 更时，所述用户终端的用户信息发送给所述用户终端对应的业务控制服务器，所述用户信 息包括用户终端的授权信息；
[0032] 所述业务控制服务器用于根据所述用户信息对所述用户终端的业务进行策略控 制。
[0033] 在本发明的一种实施例中，所述AAA服务器还用于在所述用户终端下线时，向所 述业务控制服务器发送用户下线指令；
[0034] 所述业务控制服务器还用于接收到所述用户下线指令后，结束对所述用户终端的 业务的策略控制。
[0035] 在本发明的一种实施例中，所述用户终端的授权信息包括用户终端的地址信息、 和/或用户终端的标识信息、和/或用户终端的业务策略信息。
[0036] 在本发明的一种实施例中，所述业务控制服务器根据所述用户信息对所述用户终 端的业务的进行策略控制包括：
[0037] 所述业务控制服务器根据所述用户信息向其对应的转发面下发所述用户终端的 用户转发信息表；
[0038] 所述业务控制服务器结束对所述用户终端的业务的策略控制包括：
[0039] 所述业务控制服务器删除其对应的转发面中所述用户终端的用户转发信息表。
[0040] 在本发明的一种实施例中，所述业务控制服务器还用于根据所述用户信息对所述 用户终端的业务进行策略控制后，向所述AAA服务器发送开始计费指令；以及接收到所述 用户下线指令后，向所述AAA服务器发送停止计费指令。
[0041] 在本发明的一种实施例中，所述通信系统还包括认证服务器，所述用户终端通过 所述认证服务器与所述AAA服务器完成认证；或所述用户终端通过运营商与所述AAA服务 器完成认证。
[0042] 在本发明的一种实施例中，所述用户终端通过认证服务器与所述AAA服务器完成 认证包括：
[0043] 认证服务器与业务控制服务器确定关联关系；
[0044] 所述用户终端关联到所述认证服务器，所述认证服务器为所述用户终端确定对应 的业务控制服务器；
[0045] 所述用户终端通过所述认证服务器与所述AAA服务器交互完成认证；在该认证过 程中，所述认证服务器将为所述用户终端确定的业务控制服务器的信息发送给所述AAA服 务器。
[0046] 在本发明的一种实施例中，所述AAA服务器还用于在所述用户终端通过运营商与 之完成认证时，从所述运营商获取与所述用户终端对应的业务控制服务器的信息。
[0047] 在本发明的一种实施例中，所述认证服务器还用于检测到所述用户终端的用户信 息变更时，向所述AAA服务器发送用户信息变更通告消息；
[0048] 所述AAA服务器还用于接收所述认证服务器发送的用户信息变更通告消息，或接 收运营商发送的用户信息变更通告消息。
[0049] 在本发明的一种实施例中，所述认证服务器还用于检测到所述用户终端下线时， 向所述AAA服务器发送用户下线通告消息。
[0050] 本发明的有益效果是：
[0051] 本发明提供的通信管理方法及通信系统，用户终端认证通过后或用户终端的用户 信息变更时，AAA服务器将包含有用户终端的授权信息的用户信息发送给该用户终端对应 的业务控制服务器，业务控制服务器则根据该用户信息对该用户终端的业务进行策略控 制；利用本发明提供的业务控制服务器实现对用户终端的业务进行策略控制的过程中，业 务控制服务器不需要作为AAA服务器的代理设备，对用户终端的认证报文重新解包、封包， 实现过程简单，易于扩展，且可提高处理效率和降低业务控制服务器的压力；同时，本发明 提供的上述方案中，AAA服务器可单独的向业务控制服务器下发用户消息，并不要求必须存 在认证服务器，因此可提供更广泛的应用，为运营商提供更灵活的业务开展方式，能进一步 提高处理效率。

【专利附图】

【附图说明】
[0052] 图1为本发明实施例一中通信方法的流程示意图一；
[0053] 图2为本发明实施例一中通信方法的流程示意图二；
[0054] 图3为图4中用户终端与服务器完成认证的流程示意图；
[0055] 图4为本发明实施例二中网络拓扑结构示意图；
[0056] 图5为本发明实施例二中通信方法的流程示意图；
[0057] 图6为本发明实施例三中网络拓扑结构示意图；
[0058] 图7为本发明实施例三中通信方法的流程示意图；
[0059] 图8为本发明实施例四中实现用户终端漫游切换的流程示意图；
[0060] 图9为本发明实施例五中通信方法的流程示意图。

【具体实施方式】
[0061] 本发明用户终端认证通过后或用户终端的用户信息变更时，AAA服务器将包含有 用户终端的授权信息的用户信息发送给该用户终端对应的业务控制服务器（即业务控制 点)，业务控制服务器则根据该用户信息对该用户终端的业务进行策略控制；在该过程中， 业务控制服务器不需要作为AAA服务器的代理设备，对用户终端的认证报文重新解包、封 包，实现过程简单，易于扩展，且可提高处理效率和降低业务控制服务器的压力；同时，本发 明中的AAA服务器可单独的向业务控制服务器下发用户消息，因此可提供更广泛的应用， 为运营商提供更灵活的业务开展方式，能进一步提高处理效率。为了更好的理解本发明，下 面结合具体的实施例对本发明做进一步的说明：
[0062] 实施例一：
[0063] 为了便于理解本发明，首先对本实施例涉及到的英文简称进行说明如下：
[0064] WLAN，Wireless Local Area Network，无线局域网
[0065] AC，Access Controller，接入控制器
[0066] AP，Access Point，接入点
[0067] BNG，Broadband Network Gateway，宽带网络网关
[0068] AAA，Authentication Authorization Accounting，认证、授权、计费
[0069] VLAN，Virtual Local Area Network，虚拟局域网
[0070] CAPWAP， Control And Provisioning of Wireless Access Points Protocol，无 线接入点控制配置协议
[0071] SDN，Software Defined Network，软件定义网络
[0072] NMS，Network Management System，网络管理系统
[0073] DM，Disconnect Message，断链消息
[0074] CoA，Change-of-Authorization Message，授权变化消息
[0075] EAP，Extensible Authentication Protocol，扩展认证协议
[0076] ACL，Access Control List，接入控制列表
[0077] CAR，Committed Access Rate，承诺接入速率
[0078] VRF，Virtual Routing Forwarding，虚拟转发实例
[0079] MAC，Medium Access Control，媒体接入控制
[0080] IP，Internet Protocol，因特网协议
[0081] NAS，Network Access Server，网络接入服务器
[0082] PMK，pairwise master key，成对主密钥
[0083] DHCP，Dynamic Host Configuration Protocol，动态主机设置协议
[0084] 请参见图1所示，本实施例中的通信方法包括以下步骤：
[0085] 步骤101 :用户终端认证通过或用户终端的用户信息变更；
[0086] 本实施例中用户终端的认证可以是用户终端与AAA服务器自动完成认证交互，也 可以是手动对用户终端完成认证；且本实施例中用户终端的用户信息的变更可以是由认证 服务器（即认证点）向AAA服务器发送，也可以是相关的运营商向AAA服务器发送，本实施例 后续内容会针对上述各种情况进行具体说明。
[0087] 本实施例中，当用户终端的认证通过手动完成时，则不需要认证服务器的参与，也 即本实施例中并不要求必须存在认证服务器实现用户终端的认证，因此可提供更广泛的应 用，为运营商提供更灵活的业务开展方式，例如通过本实施例提供的方案，用户可通过电话 开通预付费网络权限，无需上网认证，也可提供用户体验的满意度；
[0088] 步骤102 :AAA服务器将该用户终端的用户信息发送给该用户终端对应的业务控 制服务器；
[0089] 本实施例中的用户信息包括用户终端的授权信息，用户终端的授权信息包括用户 终端的地址信息(例如MAC地址、IP地址等)、和/或用户终端的标识信息(例如用户终端的 唯一标识信息等)、和/或用户终端的业务策略信息(例如VRF等）；
[0090] 本实施例中AAA服务器可动态下发用户信息给该用户终端对应的业务控制服务 器，用户信息的下发不依赖于业务控制服务器是否有该用户终端的信息存在。
[0091] 本实施例中，AAA服务器可在用户终端与其完成认证的过程中，获取该用户终端对 应的业务控制服务器的信息；也可直接通过运营商获取到该用户终端对应的业务控制服务 器的信息，本实施例的后续部分会对业务控制服务器信息的获取进行详细说明；
[0092] 步骤103 :业务控制服务器根据接收到的用户信息对该用户终端的业务进行策略 控制。
[0093] 本实施例中业务控制服务器对用户终端的业务进行策略控制包括根据该用户信 息向其转发面下发与该用户终端对应的用户表、路由表等用户转发信息表，应当理解的是， 本实施例中的业务控制服务器除了可选用BNG设备实现外，还可选用具备上述功能的其他 任意通信设备，在此不再赘述。
[0094] 本实施例中业务控制服务器在接收到的用户信息对该用户终端的业务进行策略 控制后，还包括向AAA服务器发送计费开始指令，通知AAA服务器开始计费。
[0095] 请参见图2所示，在本实施例中，上述步骤103之后，还包括以下步骤：
[0096] 步骤104 :用户终端下线时，AAA服务器向业务控制服务器发送用户下线指令；
[0097] AAA服务器判断用户终端是否下线可根据该用户终端的业务的策略判断，也可接 收认证服务器发送的相关信息判断；例如，当该用户终端是通过认证服务器该AAA服务器 完成认证的时(此时的认证服务器则充当AAA客户端)，当用户终端离线时，认证服务器如果 先感知，为了避免使用计费停止报文影响现有业务流程，可以发送用户下线通告消息给服 务器通知用户下线，为了保证可靠性，可设置强制要求该消息通告需要应答，当然，在实际 应用中，也可根据具体应用的场景不要求针对该消息通告进行应答;AAA服务器收到该用 户下线通告消息得知用户终端下线后，即可判定该用户终端下线，进而撤销该用户终端的 业务策略，并发送DM消息报文向业务控制服务器发送用户下线指令；在本实施例中，要求 删除指定用户前，允许在一定时间或流量余量时提示用户续费，以便于更新服务器上的用 户租约。且对于这种认证服务器和业务控制点分离场景的接入用户，服务器还可允许业务 控制点继续上报计费停止报文，完成正常的用户计费。
[0098] 步骤105 :业务控制服务器接收到所述用户下线指令后，结束对该用户终端的业 务的策略控制；具体的，业务控制服务器可删除该用户终端对应的转发面的用户转发信息 表；此时，业务控制服务器还可发送计费停止报文给服务器。
[0099] 基于上述分析可知，本实施例中的用户终端与AAA服务器完成认证的方式至少包 括两种，下面对这两种方式分别进行说明：
[0100] 当用户终端是与AAA服务器自动完成认证交互时，请参见图3所示，该过程包括以 下步骤：
[0101] 步骤301 :认证服务器和业务控制服务器确认关联关系；
[0102] 该步骤主要可通过配置(本地命令配置或者NMS远程配置）来实现。例如AC做认 证服务器时，可在AC上配置直接对应的BNG设备（即业务控制服务器)，AP做认证服务器时， AC可将BNG设备信息通过CAPWAP控制消息下发给AP。原则上要求一个认证服务器的业 务只能关联一个有效的业务控制服务器(也即业务控制点），并有链路上的对应关系，业务 控制服务器到认证服务器是点到多点的关系，认证服务器到业务控制服务器是点到点的关 系。本实施例允许按域隔离(二层上体现为VLAN隔离，无线侧通过ESSID映射VLAN，有线侧 通过L2网络配置的VLAN来完整隔离用户终端或逻辑认证服务器实例，即ESS到业务控制 点的接入链路)，将一个认证服务器服务设备虚拟成多个逻辑认证服务器实例，从而实现一 个物理认证服务器和多个物理业务控制点的关联；
[0103] 步骤302 :用户终端关联到认证服务器，并通过认证服务器完成和服务器的认证 交互；在该过程中认证服务器充当AAA服务器的AAA客户端，用户终端关联到认证服务器 后，认证服务器为该用户终端确定对应的业务控制服务器，在该认证交互过程中，认证服务 器将为该用户终端确定的业务控制服务器的信息发送给AAA服务器。在用户终端通过认证 服务器的认证后，认证服务器还可进一步为该用户终端分配IP地址，且通过该认证服务器 发送给AAA服务器。
[0104] 在上述过程中，业务控制服务器的信息可包括该业务控制服务器的地址、和/或 身份标识等信息。本实施例中用户终端的业务策略可以是或者不是一种显式的过程数据， 只要能产生的添加用户信息（根本特征在于包括完整用户终端授权数据，相当于认证通过 消息中包括的授权数据，能让业务控制服务器生成用户的转发信息表，执行转发和业务控 制等功能）的实际动作即可；然后AAA服务器可向其通过认证服务器间接关联的业务控制 服务器动态下发用户信息，本实施例可采用AAA协议使用专门的消息类型来承载实现该功 能的授权信息，以区别于现有AAA协议的认证接收消息和动态授权消息。该动态下发的用 户信息报文中携带用户终端的地址以及用户终端相关的各种授权信息等。业务控制服务器 收到该用户信息后，即可生成该用户终端的用户表，甚至路由表等转发信息表，最终实现用 户终端的业务的策略控制，例如对用户终端上网权限等业务的控制，本业务控制服务器还 可执行用户终端上下行的流量计费和业务控制(例如ACL、CAR等)。
[0105] 在图3所示应用场景下，当用户终端信息变更时，则可由认证服务器直接将用户 信息变更通告消息发送到AAA服务器；具体可通过计费更新消息携带这些变更信息发送 到服务器，也可通过扩展AAA协议，使用专门的信息通告消息来通告这些用户信息的变更； AAA服务器收到用户信息变更通告消息后，即可生成对应的更新后的用户信息发送给业务 控制服务器，具体可通过C0A报文发送，以供业务控制服务器变更相应的授权信息。
[0106] 当用户终端是通过手动与AAA服务器完成认证时，也即上述认证服务器不体现在 网络上时，此时业务控制服务器上则没有用户信息，用户可直接通知运营商开通相应的业 务权限：例如，用户可通过电话等通信方式通知运营商开通上网权限，告知运营商用户终端 的MAC地址、IP地址和开通时长等信息；运营商收到用户通知后，即可查询到该用户终端IP 地址对应的业务控制服务器的信息，进而将业务控制服务器信息发送给服务器，服务器根 据该信息即可将相关用户信息发送到用户终端对应的业务控制服务器上。此时，当用户终 端的用户信息变更时，AAA服务器也可通过运营商获得用户信息变更通告消息，进而生成对 应的更新后的用户信息发送给业务控制服务器，具体可通过C0A报文发送，以供业务控制 服务器变更相应的授权信息。
[0107] 本实施例中，在各种异常场景下，认证服务器、业务控制服务器和服务器上的用户 信息最终要求保持一致，当然在认证服务器不体现在宽带网络上时，则需保证业务控制点 和服务器上的用户信息最终要一致。
[0108] 在支持WLAN漫游的场景下，服务器可能会收到针对已认证用户的欺骗性质通告， 从而修改业务控制服务器上绑定的电路信息。本实施例可以通过在服务器发送给认证服务 器的授权信息中添加会话密钥(例如PMK)的方式来解决，此时用户漫游后，对于携带电路更 新的计费停止报文需使用密钥签名，以防止出现上述欺骗的情况发生。
[0109] 本实施例中，服务器和业务控制服务器之间动态下发用户信息的机制还包含如下 特点：服务器和业务控制服务器可以通过开关控制服务器和业务控制服务器是否需要打开 这种动态下发用户信息机制，以保证在现有协议基础上平滑升级支持该机制。另外，服务器 发送给业务控制服务器的动态下发用户信息报文中，用户信息属性可以根据实际需要进行 扩展。本实施例中扩展的AAA协议适用于Radius、Diameter、TACPLUS等AAA协议。
[0110] 可见，本实施例提供的方案可充分利用前端接入设备的控制面资源，在现WLAN网 络允许用户的认证服务器和业务控制点分离的场景下，降低业务控制点的业务压力，同时 提高了 WLAN接入网络支持漫游、密钥协商功能的反应速度，减少时延和漫游切换时间间 隔，并且可以单独作为一种根据AAA服务器配置的策略下发用户的方案提供更灵活的业务 开展方式和用户业务的精细化控制手段。为了更好的理解本发明，下面结合几种的几种应 用场景分别对本发明进行详细的说明；在下面各实施例中，以实现对用户终端上网权限的 控制、业务控制服务器称之为业务控制点、认证服务器称之为认证点为例进行说明；且下面 各实施例中，以AAA协议采用Radius协议作为示例进行说明。
[0111] 实施例二：
[0112] 本实施例中，实现用户802. IX客户端接入+EAP认证，AC和BNG分离的场景下，用 户终端上线，AAA服务器动态下发用户信息给BNG ;用户下线，AAA服务器通知BNG用户下 线。
[0113] 请参见图4所示，该图所示为本实施例中网络拓扑结构示意图，包括用户终端 STA，瘦AP，交换机SW，认证服务器AC，AAA服务器，业务控制点BNG以及L3Net ;基于图4所 示的网络拓扑结构，请参见图5所示，实现上述通信过程的步骤如下：
[0114] 步骤501:通过配置或专有接口将BNG的IP、NASID等信息下发给AC ;
[0115] 步骤502:用户终端发现并关联到AP ;
[0116] 步骤503 :AP上报用户终端信息给AC ;
[0117] 步骤504:用户使用802. IX终端发起认证，发送EAPoL-Start报文给AP ;
[0118] 步骤505 :AP转交EAPoL-Start报文给认证服务器AC ;
[0119] 步骤506:AC发送EAP-Request-Identity报文给用户终端，联通用户终端和AAA 服务器；
[0120] 步骤507 :AC发送认证请求报文给AAA服务器，携带BNG的IP和NASID，并通告该 会话要求AAA服务器提供认证服务器和业务控制分离服务；
[0121] 步骤508 :用户使用802. IX终端经由WLAN网络（即AP+AC)和AAA服务器进行ΕΑΡ 认证交互。
[0122] 步骤509 :ΑΑΑ服务器发送认证结果报文给AC，成功时下发认证服务器需要的授权 属性，例如ΡΜΚ、用户授权IP等；
[0123] 步骤510 :AC将认证结果用EAP-Success/Failure报文通告给用户终端；
[0124] 步骤511 :用户终端和AC (或AP)之间进行密钥协商，用户终端通过DHCP流程，从 认证服务器获取地址，该地址可以间接从BNG获取(例如AC做DHCP Proxy);
[0125] 步骤512 :AC通过信息通告报文通知AAA服务器用户地址信息；
[0126] 步骤513 :AAA服务器通过动态下发信息报文向用户终端选定的BNG (也即用户终 端对应的BNG)下发用户信息，下发的信息应包括认证结束时的静态授权信息；
[0127] 步骤514 :BNG根据动态下发的信息报文获取用户信息，并生成用户表，发送计费 开始报文给AAA服务器；
[0128] 步骤515 :用户终端和AP解关联，去认证或者使用802. IX客户端主动下线；
[0129] 步骤516 :AC发送信息通告报文给AAA服务器通知用户下线，报文中携带该用户对 应的BNG的IP、NASID等信息；
[0130] 步骤517 :AAA服务器发送DM报文通知用户关联的BNG用户下线；
[0131] 步骤518 :BNG发送计费停止报文给AAA服务器，并删除用户表。
[0132] 实施例三：
[0133] 本实施例中，基于图6所示的网络拓扑结构实现用户终端DHCP接入+Web认证，AC 和BNG分离的场景下，用户终端Web认证成功后，AAA服务器动态下发用户信息给BNG ;用户 下线，AAA服务器通知BNG用户下线。请参见图7所示，该通信过程包括：
[0134] 步骤701 :通过配置或者专有接口将BNG的IP、NASID信息下发给AC ;
[0135] 步骤702 :用户终端发现并关联到AP ;
[0136] 步骤703 :AP将用户终端信息上报给AC ;
[0137] 步骤704 :用户终端通过DHCP流程从认证服务器AC获取地址，该地址可间接从 BNG 获取（例如 AC 做 DHCP Proxy);
[0138] 步骤705 : STA访问网页，发送http报文给AC进行TCP建链；
[0139] 步骤706 :AC下发Web用户表；AC收到用户的http报文后回复重定向报文，将其 引导到Portal服务器所在的Web服务器；
[0140] 步骤707 :用户终端和Portal服务器建立HTTP交互；
[0141] 步骤708 :Portal服务器给用户终端推出认证页面；
[0142] 步骤709 :用户输入用户名和密码后向发Portal服务器起认证；
[0143] 步骤710 :Portal服务器向AC发起认证请求；
[0144] 步骤711 :AC和AAA服务器进行认证交互，AC发送认证请求到AAA服务器时，携带 BNG的IP和NASID，并通告该会话要求AAA服务器提供认证服务器和业务控制分离服务；
[0145] 步骤712 :AC向Portal服务器反馈认证结果；
[0146] 步骤713 :Portal服务器向用户终端推出认证结果对应的页面；
[0147] 步骤714:认证成功后，AAA服务器向用户终端选定的BNG用动态下发信息报文，该 信息报文中包括用户信息；
[0148] 步骤715 :BNG根据动态下发信息报文获取用户信息，生成用户表，发送计费开始 报文给AAA服务器；
[0149] 步骤716 :用户终端和AP解关联主动下线；
[0150] 步骤719 :AP通知AC用户终端下线；
[0151] 步骤718 :AC发送信息通告报文给AAA服务器通知用户下线，报文中携带该用户终 端对应的BNG的IP等信息；
[0152] 步骤717 :AAA服务器发送DM报文给用户终端关联的BNG，通知用户下线；
[0153] 步骤720 :BNG发送计费停止报文给AAA服务器，并删除用户表。
[0154] 实施例四：
[0155] 本实施例中拓扑组网图和实施例二中的图4相同，在BNG上已经存在用户信息的 情况下，用户终端在ESS中漫游，用户终端NAS-P0RT-ID信息变更，此时，BNG上的用户授权 信息更新过程请参见图8所示，包括 ：
[0156] 步骤801 :新AP通告AC新用户关联以获取用户的相关信息，包括PMK ;
[0157] 步骤802 :本实施例只中，为了进一步提高可靠性，AC参入PMK的传递，将老AP上 保存的用户PMK传递给新的AP ;
[0158] 步骤803 :新AP与STA在RSN配置WPA/WPA2加密方式的情况下，进行密钥协商；
[0159] 步骤804 :AC通过信息通告报文通知AAA服务器用户NAS-P0RT-ID更新；
[0160] 步骤805 :AAA服务器发送C0A报文给BNG更新用户终端的授权信息。
[0161] 实施例五：
[0162] 本实施例中，在用户终端不进行认证，BNG上没有用户信息的场景下，用户可直接 通知运营商开通上网权限，从账户余额中扣除费用。本实施例适用于BNG和AAA服务器连接 的无线接入和有线接入场景，这里以有线接入为例，用户可电话通知运营商开通上网权限， 告知用户终端的Mac地址、IP地址和开通时长信息等，运营商收到用户通知后，即可查询到 该用户终端IP对应连接的BNG信息，并发送给AAA服务器，此时，请参见图9所示，后续过 程包括：
[0163] 步骤901 :AAA服务器通过动态下发信息报文把用户的信息下发到对应的BNG上；
[0164] 步骤902 :BNG根据收到的动态下发信息报文，下发用户表，给该用户开通上网权 限，并发送计费开始报文给AAA服务器，开始计费；
[0165] 步骤903 :AAA服务器收到用户申请延长上网时长请求；
[0166] 在该步骤中，如果过了申请时间，用户没有再次申请延长时间，AAA服务器将发送 DM报文给BNG，通知用户下线；
[0167] 步骤904 :AAA服务器将发送C0A报文给BNG，通知更新用户在线时长；
[0168] 步骤905 :用户上网时长到期，AAA服务器发送DM报文给业务控制点通知用户下 线.
[0169] 步骤906 :BNG发送计费停止报文给AAA服务器，删除用户表。
[0170] 可见，本发明提供的方案可以很好地解决认证服务器和业务控制服务器分离的场 景下用户管理的问题，降低了业务控制服务器的业务压力；且可提高WLAN接入网络支持漫 游、密钥协商功能的反应速度，减少了时延和漫游切换时间间隔，实现简单，易于扩展。同时 本发明还采用了信息通告的机制，AAA服务器可以实时地感知到用户信息的变更，灵活性较 强；且本发明兼容当前Radius协议的所有应用场景。
[0171] 以上内容是结合具体的实施方式对本发明所作的进一步详细说明，不能认定本发 明的具体实施只局限于这些说明。对于本发明所属【技术领域】的普通技术人员来说，在不脱 离本发明构思的前提下，还可以做出若干简单推演或替换，都应当视为属于本发明的保护 范围。
【权利要求】
1. 一种通信管理方法，其特征在于，所述通信管理方法包括： 用户终端认证通过后或用户终端的用户信息变更时，AAA服务器将所述用户终端的用 户信息发送给所述用户终端对应的业务控制服务器，所述用户信息包括用户终端的授权信 息； 所述业务控制服务器根据所述用户信息对所述用户终端的业务进行策略控制。
2. 如权利要求1所述的通信管理方法，其特征在于，所述通信管理方法还包括： 所述用户终端下线时，所述AAA服务器向所述业务控制服务器发送用户下线指令； 所述业务控制服务器接收到所述用户下线指令后，结束对所述用户终端的业务的策略 控制。
3. 如权利要求1所述的通信管理方法，其特征在于，所述用户终端的授权信息包括用 户终端的地址信息、和/或用户终端的标识信息、和/或用户终端的业务策略信息。
4. 如权利要求2所述的通信管理方法，其特征在于，所述业务控制服务器根据所述用 户信息对所述用户终端的业务进行策略控制包括： 所述业务控制服务器根据所述用户信息向其对应的转发面下发所述用户终端的用户 转发信息表； 所述业务控制服务器结束对所述用户终端的业务的策略控制包括： 所述业务控制服务器删除其对应的转发面中所述用户终端的用户转发信息表。
5. 如权利要求2所述的通信管理方法，其特征在于，所述方法还包括：所述业务控制服 务器根据所述用户信息对所述用户终端的业务进行策略控制后，向所述AAA服务器发送开 始计费指令；所述业务控制服务器接收到所述用户下线指令后，向所述AAA服务器发送停 止计费指令。
6. 如权利要求2-5任一项所述的通信管理方法，其特征在于，所述用户终端的认证包 括： 所述用户终端通过认证服务器与所述AAA服务器完成认证； 或所述用户终端通过运营商与所述AAA服务器完成认证。
7. 如权利要求6所述的通信管理方法，其特征在于，所述用户终端通过认证服务器与 所述AAA服务器完成认证包括： 认证服务器与业务控制服务器确定关联关系； 所述用户终端关联到所述认证服务器，所述认证服务器为所述用户终端确定对应的业 务控制服务器； 所述用户终端通过所述认证服务器与所述AAA服务器交互完成认证；在该认证过程 中，所述认证服务器将为所述用户终端确定的业务控制服务器的信息发送给所述AAA服务 器。
8. 如权利要求6所述的通信管理方法，其特征在于，所述用户终端通过运营商与所述 AAA服务器完成认证时，所述AAA服务器从所述运营商获取与所述用户终端对应的业务控 制服务器的信息。
9. 如权利要求7所述的通信管理方法，其特征在于，所述管理方法还包括： 所述认证服务器检测到所述用户终端的用户信息变更时，向所述AAA服务器发送用户 信息变更通告消息； 或所述AAA服务器接收运营商发送的用户信息变更通告消息。
10. 如权利要求7所述的通信管理方法，其特征在于，所述管理方法还包括： 所述认证服务器检测到所述用户终端下线时，向所述AAA服务器发送用户下线通告消 息。
11. 一种通信系统，其特征在于，所述通信系统包括用户终端、业务控制服务器和AAA 服务器； 所述AAA服务器用于在所述用户终端认证通过后或所述用户终端的用户信息变更时， 所述用户终端的用户信息发送给所述用户终端对应的业务控制服务器，所述用户信息包括 用户终端的授权信息； 所述业务控制服务器用于根据所述用户信息对所述用户终端的业务进行策略控制。
12. 如权利要求11所述的通信系统，其特征在于，所述AAA服务器还用于在所述用户终 端下线时，向所述业务控制服务器发送用户下线指令； 所述业务控制服务器还用于接收到所述用户下线指令后，结束对所述用户终端的业务 的策略控制。
13. 如权利要求11所述的通信系统，其特征在于，所述用户终端的授权信息包括用户 终端的地址信息、和/或用户终端的标识信息、和/或用户终端的业务策略信息。
14. 如权利要求12所述的通信系统，其特征在于，所述业务控制服务器根据所述用户 信息对所述用户终端的业务进行策略控制包括： 所述业务控制服务器根据所述用户信息向其对应的转发面下发所述用户终端的用户 转发信息表； 所述业务控制服务器结束对所述用户终端的业务的策略控制包括： 所述业务控制服务器删除其对应的转发面中所述用户终端的用户转发信息表。
15. 如权利要求12所述的通信系统，其特征在于，所述业务控制服务器还用于根据所 述用户信息对所述用户终端的业务进行策略控制后，向所述AAA服务器发送开始计费指 令；以及接收到所述用户下线指令后，向所述AAA服务器发送停止计费指令。
16. 如权利要求12-15任一项所述的通信系统，其特征在于，所述通信系统还包括认证 服务器，所述用户终端通过所述认证服务器与所述MA服务器完成认证；或所述用户终端 通过运营商与所述AAA服务器完成认证。
17. 如权利要求16所述的通信系统，其特征在于，所述用户终端通过认证服务器与所 述AAA服务器完成认证包括： 认证服务器与业务控制服务器确定关联关系； 所述用户终端关联到所述认证服务器，所述认证服务器为所述用户终端确定对应的业 务控制服务器； 所述用户终端通过所述认证服务器与所述AAA服务器交互完成认证；在该认证过程 中，所述认证服务器将为所述用户终端确定的业务控制服务器的信息发送给所述AAA服务 器。
18. 如权利要求16所述的通信系统，其特征在于，所述AAA服务器还用于在所述用户终 端通过运营商与之完成认证时，从所述运营商获取与所述用户终端对应的业务控制服务器 的信息。
19. 如权利要求17所述的通信系统，其特征在于，所述认证服务器还用于检测到所述 用户终端的用户信息变更时，向所述AAA服务器发送用户信息变更通告消息； 所述AAA服务器还用于接收所述认证服务器发送的用户信息变更通告消息，或接收运 营商发送的用户信息变更通告消息。
20. 如权利要求17所述的通信系统，其特征在于，所述认证服务器还用于检测到所述 用户终端下线时，向所述AAA服务器发送用户下线通告消息。
【文档编号】H04W84/12GK104125569SQ201310155598
【公开日】2014年10月29日 申请日期:2013年4月28日 优先权日:2013年4月28日
【发明者】梁乾灯, 王姝懿, 朱华兴, 尤建洁 申请人:中兴通讯股份有限公司