专利名称:一种无线局域网中分组数据关口获取用户身份标识的方法
技术领域:
本发明涉及无线接入技术领域,特别是指一种无线局域网中分组数据关口(PDG,Packet Data Gateway)获取用户身份标识的方法。
背景技术:
随着社会的发展,用户对无线接入速率的要求越来越高,由于无线局域网(WLAN,Wireless Local Area Network)能够在较小范围内提供高速的无线数据接入,因而其被广泛应用。无线局域网包括多种不同技术,目前应用较为广泛的一个技术标准是IEEE 802.11b,它采用2.4GHz频段,最高数据传输速率可达11Mbps,使用该频段的还有IEEE 802.11g和蓝牙(Bluetooth)技术,其中,802.11g最高数据传输速率可达54Mbps。其它无线局域网技术,诸如IEEE 802.11a和ETSI BRAN Hiperlan2都使用5GHz频段,最高传输速率也可达到54Mbps。
虽然有多种不同的WLAN无线接入技术,但大部分WLAN都采用因特网协议(IP)分组数据包进行数据传输。对于一个无线IP网络,其所采用的具体WLAN接入技术对于上层IP一般是透明的,其基本结构都是利用接入点(AP)完成用户终端的无线接入,并通过网络控制和连接设备组成的IP传输网络进行数据传输。
随着WLAN技术的兴起和发展,WLAN与各种无线移动通信网,诸如全球移动通信(GSM)系统、码分多址(CDMA)系统、宽带码分多址(WCDMA)系统、时分双工-同步码分多址(TD-SCDMA)系统、CDMA2000系统的互通正成为当前研究的重点。在第三代合作伙伴计划(3GPP)标准化组织中,用户终端既可以通过WLAN的接入网络与因特网(Internet)、企业内部互联网(Intranet)相连,还可以经由WLAN接入网络与3GPP系统的归属网络或3GPP系统的访问网络相连。
图1所示为漫游情况下WLAN系统与3GPP系统互通的组网结构示意图。WLAN用户终端在漫游接入时,经由WLAN接入网络与3GPP的访问网络相连,由于3GPP访问网络中的部分实体分别与3GPP归属网络中的相应实体互连,比如3GPP访问网络中的3GPP认证授权计费(AAA)代理和3GPP归属网络中的3GPP认证授权计费(AAA)服务器;3GPP访问网络中的无线局域网接入关口(WAG)与3GPP归属网络中的分组数据关口(PDG)等等,因此,实现了WLAN用户终端接入3GPP的归属网络。图中阴影部分为3GPP分组交换(PS)域业务,即3GPP网络中的互通场景3(Scenario3)业务。
图2所示为非漫游情况下WLAN系统与3GPP系统互通的组网结构示意图。WLAN用户终端在本地接入时,经由WLAN接入网络与3GPP的归属网络直接相连。图中阴影部分为3GPP分组交换(PS)域业务,即3GPP归属网络中的Scenario3业务。
参见图1、图2所示,在3GPP系统中,主要包括归属签约用户服务器(HSS)/归属位置寄存器(HLR)、3GPP AAA服务器、3GPP AAA代理、WAG、分组数据关口、计费关口(CGw)/计费信息收集系统(CCF)及在线计费系统(OCS)。用户终端、WLAN接入网络与3GPP系统的所有实体共同构成了3GPP-WLAN交互网络,该3GPP-WLAN交互网络可作为一种无线局域网服务系统。其中,3GPP AAA服务器负责对用户的鉴权、授权和计费,对WLAN接入网络送来的计费信息收集并传送给计费系统;分组数据关口(PDG)负责将用户数据从WLAN接入网络传输到3GPP网络或其他分组网络;计费系统主要接收和记录网络传来的用户计费信息,OCS根据在线计费用户的费用情况指示网络周期性的传送在线费用信息,并进行统计和控制。
如果WLAN用户终端希望接入Internet/Intranet,则必须通过WLAN接入网将包含自身永久用户身份标识信息,如国际移动用户识别码(IMSI)的接入请求消息发送到AAA服务器(AS),进行基本接入认证授权,通过AS的接入认证授权后,该WLAN用户终端才能通过WLAN接入网接入到Internet/Intranet。所述永久用户身份标识对每个用户是唯一的。
在基本接入认证授权过程中,AS给待申请接入的WLAN用户终端指定临时用户身份标识,通过认证授权的WLAN用户使用临时用户身份标识替代永久用户身份标识进行通信。或者,AS也可以在以后的再认证过程或业务认证过程中给用户指定临时用户身份标识,或者,在以后的再认证过程或业务认证过程来更新临时用户身份标识。
如果该通过基本接入认证授权的WLAN用户终端希望接入3GPP的PS域业务,则可进一步向3GPP归属网络申请互通场景3(Scenario3)的业务,即WLAN用户终端从域名解析服务器(DNS),获得3GPP分组网络中可以提供用户请求业务的PDG地址,并向该PDG发送包含临时用户身份标识信息的隧道建立请求消息,PDG将接收到的请求消息转发给AS进行认证处理。AS完成对该WLAN用户终的认证处理后,则授权该用户可以通过该PDG访问3GPP的PS域业务。此时,该接收请求的PDG负责分配隧道标识、建立隧道连接,并给发起申请的WLAN用户终端提供其所需的业务。
现有方案的缺陷在于PDG没有获取WLAN用户的永久用户身份标识的过程。因此,PDG在与WLAN终端进行通信的时候并不知道用户的真实身份,因而也就不能实现与用户永久身份标识有关的控制业务,如对用户进行计费,或对用户进行访问控制等。
发明内容
有鉴于此,本发明的目的在于提供一种无线局域网中PDG获取用户身份标识的方法,使PDG能够获取WLAN用户的永久用户身份标识信息。
为达到上述目的,本发明的技术方案是这样实现的一种无线局域网中分组数据关口获取用户身份标识的方法,该方法包括以下步骤a、AAA服务器给用户分配临时用户身份标识信息,同时保存该用户的永久用户身份标识与临时用户身份标识的对应关系;b、当AAA服务器接收到来自PDG的包含申请业务用户临时用户身份标识信息的请求对该用户进行身份认证的消息后,对该用户终端进行认证处理,如果认证成功,则根据步骤a所述对应关系获取该用户的永久用户身份标识信息,并向PDG发送包含永久用户身份标识信息的成功授权消息后,执行步骤c,如果认证不成功,则AAA服务器直接向PDG发送失败的消息;c、PDG接收到步骤b所述消息后,保存该用户的永久用户身份标识信息。
较佳地,步骤c所述PDG接收到步骤b所述消息后,进一步包括PDG给该通过认证的用户终端分配隧道标识信息,并保存该用户的永久用户身份标识信息与所述隧道标识信息的关联信息后,建立与用户终端进行通信的隧道。
较佳地,步骤c所述PDG接收到步骤b所述消息后,进一步包括PDG给该通过认证的用户终端分配隧道标识信息后,判断本地是否有该用户的永久用户身份标识信息,如果有,则直接保存该用户的永久用户身份标识信息与所述隧道标识信息的关联信息后,建立与用户终端进行通信的隧道,否则,先将该用户的永久用户身份标识信息进行保存,再保存该用户的永久用户身份标识信息与所述隧道标识信息的关联信息后,建立与用户终端进行通信的隧道。
较佳地,当所述与用户终端进行通信的隧道被拆除后,该方法进一步包括PDG删除永久用户身份标识信息与所述隧道标识信息的关联信息。
较佳地,该方法进一步包括PDG判断永久用户身份标识信息是否与一个或一个以上隧道标识信息之间有关联信息,如果是,则不做任何处理,否则删除该永久用户身份标识信息。
较佳地,该方法进一步包括PDG根据隧道标识信息获取用户的永久用户身份标识信息,实现对该用户终端的计费,或访问控制。
较佳地,所述永久用户身份标识信息为国际移动用户识别码IMSI。
在本发明中,AAA服务器根据PDG发来的包含临时用户身份标识信息的请求认证消息中,获取该用户的永久用户身份标识信息,并将包含永久用户身份标识信息的授权消息发送给PDG,从而使PDG获取了WLAN用户的永久用户身份标识信息。进而,PDG将获取的永久用户身份标识信息与该用户终端的隧道标识信息进行关联保存,使得PDG对WLAN用户终端实现了管理,如对该用户实现计费和或访问控制等。本发明实现简单,且与现有的相关流程具有很好的兼容性。
图1所示为漫游情况下WLAN系统与3GPP系统互通的组网结构示意图;图2所示为非漫游情况下WLAN系统与3GPP系统互通的组网结构示意图;图3所示为应用本发明的PDG获取永久用户身份标识信息的流程图;图4所示为永久用户标识信息与一个以上隧道标识信息相关联的示意图。
具体实施例方式
为使本发明的技术方案更加清楚,下面结合附图对本发明再做进一步详细说明。
本发明的思路是AAA服务器给用户分配临时用户身份标识信息,同时保存该用户的永久用户身份标识与临时用户身份标识的对应关系;当AAA服务器接收到来自PDG的包含申请业务用户临时用户身份标识信息的请求对该用户进行身份认证的消息后,对该用户终端进行认证处理,如果认证成功,则根据步骤a所述对应关系获取该用户的永久用户身份标识信息,并向PDG发送包含永久用户身份标识信息的成功授权消息后,由PDG保存该用户的永久用户身份标识信息,如果认证不成功,则AAA服务器直接向PDG发送失败的消息;图3所示为应用本发明的PDG获取永久用户身份标识信息的流程图。
步骤301,WLAN用户通过WLAN接入网将包含自身永久用户身份标识信息,如IMSI的接入请求消息发送到AAA服务器,进行基本接入认证,AS给通过基本接入认证的用户终端分配临时用户身份标识信息,同时保存该用户的永久用户身份标识与临时用户身份标识的对应关系;AS可以在基本接入认证的过程中给用户指定临时用户身份标识,或者,AS在以后的再认证过程或业务认证过程中给用户指定临时用户身份标识,或者,在以后的再认证过程或业务认证过程来更新临时用户身份标识。
步骤302,通过基本接入认证授权的WLAN用户从DNS获取提供请求业务PDG的地址后,向该PDG发送包含自身临时用户身份标识信息的隧道建立请求消息;步骤303,PDG向AAA服务器发送包含申请用户临时用户身份标识信息的请求认证消息,以请求AAA服务器对该用户终端进行认证授权;步骤304,AAA服务器对PDG指定的用户终端进行认证处理,如果认证成功,则执行步骤305,如果认证不成功,则AAA服务器直接向PDG发送失败的响应消息,并结束本流程;步骤305,AAA服务器根据步骤301所保存的对应关系,获取该用户的永久用户身份标识信息,并向PDG发送包含永久用户身份标识信息的成功授权消息,允许该申请用户终端通过其所申请的PDG访问业务;步骤306,PDG接收到来自AAA服务器的授权消息后,给该用户终端分配隧道标识等与建立隧道相关信息,并判断本地是否保存有该用户的永久用户身份标识信息,如果有,则直接保存该用户的永久用户身份标识信息与所述隧道标识信息的关联信息后,执行步骤307,否则,先将该用户的永久用户身份标识信息进行保存,再保存该用户的永久用户身份标识信息与所述隧道标识信息的关联信息后,执行步骤307;由于一个PDG可能支持多种业务,因此,某个WLAN用户终端可能与一个PDG存在多个隧道连接,即一个WLAN用户的永久用户身份标识可能同时与多个隧道标识相关联;如图4所示,一个用户的永久用户身份标识1与某个PDG的隧道标识为1、2、3的隧道同时关联,另一个用户的永久用户身份标识2与该PDG的隧道标识为4、5的隧道同时关联;步骤307,PDG建立其与该用户终端进行通信的隧道;步骤308,在业务通信过程中,PDG根据该用户终端业务信息内的隧道标识信息,获取该用户的永久用户身份标识信息,实现与该永久用户身份标识有关的业务,如对用户终端进行计费,和或访问控制等。
所谓实现计费是指,当某个用户终端使用了某个PDG的一个或一个以上业务,即一个或一个以上隧道时,PDG根据隧道标识和用户永久身份标识的对应关系,实现对该用户终端所有应用业务的计费。
所谓实现访问控制是指针对某一类业务,由PDG来实现更详细的控制。通常,运营商提供的AAA服务器仅限于检查用户终端是否定购了该业务,而不做更详细的检查,应用本发明,可使PDG对用户终端进行更详细信息的检查。比如,WLAN用户终端定购了某个游戏业务,AAA服务器在检查用户确实定购了游戏业务后就会授权该用户访问提供游戏业务的PDG,一个PDG通常提供多种游戏业务,而用户一般只定购其中的一个或几个,PDG通过用户的永久用户身份标识,即可判断该WLAN用户是否可以参加某个游戏,并实现控制。
另外,当用户使用某个隧道完毕并拆除后,PDG将删除该隧道标识和永久用户身份标识之间的关联信息,当PDG发现某个永久用户身份标识已经没有相关联的隧道标识信息时,PDG将删除该永久用户身份标识信息。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
权利要求
1.一种无线局域网中分组数据关口获取用户身份标识的方法,其特征在于,该方法包括以下步骤a、AAA服务器给用户分配临时用户身份标识信息,同时保存该用户终端的永久用户身份标识与临时用户身份标识的对应关系;b、当AAA服务器接收到来自PDG的包含申请业务用户临时用户身份标识信息的请求对该用户进行身份认证的消息后,对该用户终端进行认证处理,如果认证成功,则根据步骤a所述对应关系获取该用户的永久用户身份标识信息,并向PDG发送包含永久用户身份标识信息的成功授权消息后,执行步骤c,如果认证不成功,则AAA服务器直接向PDG发送失败的消息;c、PDG接收到步骤b所述消息后,保存该用户的永久用户身份标识信息。
2.根据权利要求1所述的方法,其特征在于,步骤c所述PDG接收到步骤b所述消息后,进一步包括PDG给该通过认证的用户终端分配隧道标识信息,并保存该用户的永久用户身份标识信息与所述隧道标识信息的关联信息后,建立与用户终端进行通信的隧道。
3.根据权利要求1所述的方法,其特征在于,步骤c所述PDG接收到步骤b所述消息后,进一步包括PDG给该通过认证的用户终端分配隧道标识信息后,判断本地是否有该用户的永久用户身份标识信息,如果有,则直接保存该用户的永久用户身份标识信息与所述隧道标识信息的关联信息后,建立与用户终端进行通信的隧道,否则,先将该用户的永久用户身份标识信息进行保存,再保存该用户的永久用户身份标识信息与所述隧道标识信息的关联信息后,建立与用户终端进行通信的隧道。
4.根据权利要求2或3所述的方法,其特征在于,当所述与用户终端进行通信的隧道被拆除后,该方法进一步包括PDG删除永久用户身份标识信息与所述隧道标识信息的关联信息。
5.根据权利要求4所述的方法,其特征在于,该方法进一步包括PDG判断永久用户身份标识信息是否与一个或一个以上隧道标识信息之间有关联信息,如果是,则不做任何处理,否则删除该永久用户身份标识信息。
6.根据权利要求2或3所述的方法,其特征在于,该方法进一步包括PDG根据隧道标识信息获取用户的永久用户身份标识信息,实现对该用户的计费,或访问控制。
7.根据权利要求1所述的方法,其特征在于,所述永久用户身份标识信息为国际移动用户识别码IMSI。
全文摘要
本发明提供了一种无线局域网中分组数据关口获取用户身份标识的方法,其关键是,AAA服务器根据PDG发来的包含临时用户身份标识信息的请求认证消息中,获取该用户的永久用户身份标识信息,并将包含永久用户身份标识信息的授权消息发送给PDG,从而使PDG获取了WLAN用户的永久用户身份标识信息。进而,PDG将获取的永久用户身份标识信息与该用户终端的隧道标识信息进行关联保存,使得PDG对WLAN用户终端实现了管理,如对该用户实现计费和或访问控制等。本发明实现简单,且与现有的相关流程具有很好的兼容性。
文档编号H04L29/06GK1642076SQ20041000058
公开日2005年7月20日 申请日期2004年1月14日 优先权日2004年1月14日
发明者黄迎新, 张文林 申请人:华为技术有限公司