专利名称::无线接入系统和无线接入方法
技术领域:
:本发明涉及经由无线接入点将无线终端连接到网络的无线接入系统和无线接入方法。
背景技术:
:图7示出了传统无线LAN(WLAN:无线局域网)和ISP(因特网服务提供商)网络之间的连接。参见图7,WLAN网络102和ISP网络(因特网)103(103-1和103-2)彼此相互连接。多个无线终端(WLAN终端)101(101-1至101-m)可以无线地连接到WLAN网络102。WLAN网络102包括无线接入点(WLAN-AP)104(104-1至104-n)和认证服务器(WLAN内认证服务器)105。ISP网络103(103-1和103-2)分别包括认证服务器(ISP内认证服务器)106(106-1和106-2)。在图7中,虚线箭头指示在ISP网络103(103-1和103-2)上执行认证时的消息交换。在该无线接入系统中,来自WLAN终端101的认证消息被经由WLAN-AP104发送到WLAN内认证服务器105。WLAN内认证服务器105检查在来自WLAN终端101的认证消息中包含的标识信息(SID(提供者ID))。如果该SID指示WLAN网络102中的已登记终端,则WLAN内认证服务器105使认证过程前进。如果SID指示不是WLAN网络102中的已登记终端而是ISP网络103中的已登记终端,则WLAN内认证服务器105将认证消息传送到相应的ISP网络103的认证服务器106(例如,日本专利早期公开No.2003-289331(对比文件l))。在3GPP(第三代合作伙伴计划)标准中,用于连接WLAN网络102和3GPP网络(移动通信网络)的规范当前正在被审查。现在,在WLAN网络102和3GPP网络之间的协作中,不需要WLAN网络102的特定条件。图8示出了WLAN网络和3GPP网络之间的连接的图像。参见图8,实线箭头指示在3GPP网络107上执行认证时的消息交换。在图8中,来自WLAN终端101的认证消息被通过WLAN内认证服务器105发送到3GPP网络107。当WLAN网络102被这样构造为用于连接到3GPP网络107的专用网络时,不会产生问题。
发明内容本发明所要解决的问题然而,当连接到提供现有WLAN服务的WLAN运营商的网络或连接到办公室网络时,如图9所示,不仅存在3GPP网络107,还存在连接到ISP网络103的WLAN终端101。注意到在图9中,实线箭头指示在3GPP网络107上执行认证时的消息交换,虚线箭头指示在ISP网络103上执行认证时的消息交换。参见图9,来自WLAN终端101的认证消息被通过WLAN内认证服务器105发送到3GPP网络107,而不管该认证消息是否是发给3GPP网络107的。就是说,当认证消息是EAP(PPP可扩展认证协议)消息时,该EAP消息被无条件地发送到3GPP网络107,而不管EAP类型(诸如EAP-AKA、EAP-MD5、EAP-TLS或EAP-SIM之类的认证方法)(例如日本专利早期公开No.2005-524341(对比文件2)和日本专利早期公开No.2005-531986(对比文件3))。这增加了3GPP网络107中的认证服务器(3GPP内认证服务器)108上的处理负荷。本发明致力于解决以上问题,并且其目的在于减小移动通信网络中的认证服务器上的处理负荷。解决问题的方法为了实现以上目的,本发明的无线接入系统包括传送目的地网络判定装置,用于基于从无线终端发送的认证消息的认证方法的类型,来判定是将认证消息传送到移动通信系统还是将认证消息传送到除移动通信网络之外的网络;以及认证消息传送装置,用于将认证消息传送到由传送目的地网络判定装置判定的传送目的地网络。另外,本发明的无线接入方法包括以下步骤使计算机基于从无线终端发送的认证消息的认证方法的类型,来判定是将认证消息传送到移动通信网络还是将认证消息传送到除移动通信网络之外的网络;以及将认证消息传送到所判定的传送目的地网络。发明效果本发明基于从无线终端发送的认证消息的认证方法的类型来判定是将认证消息传送到移动通信网络还是将认证消息传送到除移动通信网络之外的网络。例如,本发明可以通过只将EAP-AKA认证消息传送到移动通信网络来减少移动通信网络中的认证服务器上的处理负荷。图1是示出根据本发明示例性实施例的无线接入系统的连接的图像的视图2是示出在图1所示的无线接入系统中当WLAN终端连接到3GPP网络时的认证处理顺序的图像的视图3是示出在图1所示的无线接入系统中当WLAN终端1连接到ISP网络时的认证处理顺序的图像的视图4是示出在图1所示的无线接入系统中当WLAN终端连接到WLAN网络时的认证处理顺序的图像的视图5是用于说明其中图1所示的策略控制设备具有分离控制功能的示例的视图6是示出WLAN网络的功能的框图7是示出传统WLAN网络和ISP网络之间的连接的图像的视图;图8是示出WLAN网络和3GPP网络之间的连接的图像的示图;并且图9是示出WLAN网络、3GPP网络和ISP网络之间的连接的图像的视图。具体实施例方式将参考附图来详细说明本发明的示例性实施例。图1示出了根据本发明一个示例性实施例的无线接入系统的连接的图像。参见图1,WLAN网络2连接到ISP网络(因特网)3和3GPP网络(移动通信网络)7。多个无线终端(WLAN终端)1(1-1至l-m)可以无线地连接到WLAN网络2。WLAN网络2至少包括一个无线接入点(WLAN-AP)4(4-1至4-n)、认证服务器(WLAN内认证服务器)5,以及策略控制设备9。ISP网络3包括认证服务器(ISP内认证服务器)6。3GPP网络7包括认证服务器(3GPP内认证服务器)8。参见图1,实线箭头指示在3GPP网络7上执行认证时的消息交换,虚线箭头指示在ISP网络3上执行认证时的消息交换。在该示例性实施例中,作为通向3GPP网络7的网关的策略控制设备9被安装在WLAN网络2中的无线接入点4和认证服务器5之间。策略控制设备9是通过包括处理器和存储器的硬件以及用于与硬件合作实现各种功能的程序来实现的。作为该示例性实施例所特有的功能,策略控制设备9具有传送目的地判定功能,用于基于经由WLAN-AP4从WLAN终端1发送的认证消息的认证方法的类型,来判定是将认证消息传送到3GPP网络7还是传送到除3GPP网络7之外的网络(在该示例中为WLAN网络2或ISP网络3)。下面将参考在图2和图3中所示的序列来说明策略控制设备9的传送目的地网络判定功能。下面将参考图2来说明当WLAN终端1连接到3GPP网络7时的认证处理序列。WLAN终端1针对WLAN-AP4执行由IEEE定义的"802.11关联处理"(步骤SI),然后向WLAN-AP4发送认证处理开始消息(EAPOL-Start)(步骤S2)。为了开始认证处理,已经从WLAN终端1接收到认证处理开始消息的WLAN-AP4向WLAN终端1发送请求消息(EAP请求/标识)(步骤S3)。响应于来自WLAN-AP4的请求消息,WLAN终端1向WLAN-AP4返回作为认证消息的包含NAI(网络接入标识)和IMSI(国际移动用户标识)的EAP消息(EAP响应/标识(NAI和IMSI))(步骤S4)。WLAN-AP4将来自WLAN终端1的认证消息传送到策略控制设备9(步骤S5)。假定在该示例中,来自WLAN终端1的认证消息的认证方法的类型(EAP类型)是EAP-AKA。基于被传送的认证消息的认证方法的类型(EAP类型),策略控制设备9判定认证消息是否是对3GPP网络7的认证请求(步骤S6)。如果EAP类型是EAP-AKA,那么策略控制设备9判定认证消息是对3GPP网络7的认证请求。如果EAP类型不是EAP-AKA而是EAP-MD5、EAP-TLS、EAP-SIM等,那么策略控制设备9判定认证消息是对除3GPP网络7之外的网络的认证请求。在这种情况下,策略控制设备9判定认证消息的传送目的地网络是3GPP网络7,因为EAP类型是EAP-AKA。策略控制设备9基于在认证消息中包含的NAI(网络接入标识)将3GPP网络7的认证服务器8指定为传送目的地(即指定移动通信服务的运营商),然后将认证消息(EAP响应/NAI和IMSI)传送到运营商的认证服务器GGPP内认证服务器)8(步骤S7)。3GPP内认证服务器8接收从策略控制设备9传送的认证消息,并且对作为认证消息的发送源的WLAN终端1执行认证处理。注意到在此后的处理中,策略控制设备9仅仅传送消息。另外,3GPP内认证服务器8检查最新的认证信息(RAND(认证向量的随机数)、AUTN(认证令牌)、XRES(认证响应)、IK(完整性密钥)和CK(加密密钥(cipherkey)))。如果这是第一次,那么3GPP内认证服务器8向HSS(归属用户服务器)/HLR(归属位置寄存器)进行査询(步骤S8)。WLAN终端1接收来自3GPP认证服务器8的请求消息(EAP请求/Aka质询)(步骤S9)。该请求消息包含"RAND"、"AUTN"和"临时标识符"。WLAN终端1通过"AUTN"来执行认证,并且根据"RAND"计算"IK、CK和RES"(步骤S10)。WLAN终端1在到3GPP内认证服务器8的响应消息(EAP响应/Aka质询)中返回"RES"(步骤Sll)。3GPP内认证服务器8通过将从WLAN终端1发送的"RES"与"XRES"相比较来执行认证(步骤S12)。如果"RES"和"XRES"相匹配,那么3GPP内认证服务器8向WLAN终端1发送秘密密钥(confidentialkey)(密钥材料)(步骤S13),然后完成认证处理。下面将参考图3来说明当WLAN终端1连接到ISP网络3时的认证处理序列。WLAN终端1针对WLAN-AP4执行由IEEE定义的"802.11关联"处理(步骤S21),然后向WLAN-AP4发送认证处理开始消息(EAPOL-Start)(步骤S22)。为了开始认证处理,已经从WLAN终端1接收到认证处理开始消息的WLAN-AP4向WLAN终端1发送请求消息(EAP请求/标识)(步骤S23)。响应于来自WLAN-AP4的请求消息,WLAN终端1向WLAN-AP4返回作为认证消息的包含SID(提供者ID)的EAP消息(EAP响应/标识(提供者ID))(步骤S24)。WLAN-AP4将来自WLAN终端1的认证消息传送到策略控制设备9(步骤S25)。假定在该示例中,来自WLAN终端1的认证消息的认证方法的类型(EAP类型)不是EAP-AKA而是EAP画MD5、EAP-TLS、EAP-SIM等。基于被传送的认证消息的认证方法的类型(EAP类型),策略控制设备9判定认证消息是否是对3GPP网络7的认证请求(步骤S26)。如果EAP类型是EAP-AKA,那么策略控制设备9判定认证消息是对3GPP网络7的认证请求。如果EAP类型不是EAP-AKA而是EAP-MD5、EAP-TLS、EAP-SIM等,那么策略控制设备9判定认证消息是对除3GPP网络7之外的网络的认证请求。在这种情况下,策略控制设备9判定认证消息的传送目的地网络是3GPP网络7之外的网络,因为EAP类型不是EAP-AKA而是EAP-MD5、EAP-TLS、EAP-SIM等。策略控制设备9将认证消息传送到WLAN内认证服务器5(步骤S27)。WLAN内认证服务器5检查在来自策略控制设备9的认证消息中包含的SID。如果SID指示ISP网络3中的已登记终端,那么WLAN内认证服务器5将认证消息传送到相应的ISP网络3的认证服务器(ISP内认证服务器)6(步骤S28)。ISP内认证服务器6接收从WLAN内认证服务器5传送的认证消息,并且对作为认证消息的发送源的WLAN终端1执行认证处理(步骤S29)。如果认证成功,那么ISP内认证服务器6向WLAN终端l发送秘密密钥(密钥材料)(步骤S30)。注意到如果在来自策略控制设备9的认证消息中包含的SID指示WLAN网络2中的己登记终端,那么WLAN内认证服务器5执行如图4所示的认证处理(步骤S31)。如果认证成功,那么WLAN内认证服务器5向WLAN终端1发送秘密密钥(密钥材料)(步骤S32)。在如上所述的该示例性实施例中,基于经由WLAN-AP4从WLAN终端1发送的认证消息的认证方法的类型,策略控制设备9判定是将认证消息传送到3GPP网络7还是传送到除3GPP网络7之外的网络。因为只有EAP-AKA认证消息被发送到3GPP网络7,因此减少了3GPP内认证服务器8上的处理负荷。另外,在该示例性实施例中,如果策略控制设备9判定认证消息的传送目的地网络是3GPP网络7,策略控制设备9基于在认证消息中包含的NAI将3GPP网络7的认证服务器8指定为传送目的地。因此,认证消息立即被传送到适当3GPP网络中的认证服务器8。另外,在该示例性实施例中,策略控制设备9作为通向3GPP网络7的网关被安装在WLAN-AP4和WLAN内认证服务器5之间,并且被给予传送目的地网络判定功能。这使得可以与3GPP网络协作,而不向WLAN内认证服务器5提供任何考虑到与3GPP网络7的协作的功能。就是说,在不影响WLAN网络2或ISP网络3上的认证处理的情况下,可以利用现有的WLAN内认证服务器5实现与3GPP网络7的协作。图5示出了这样一个示例,其中策略控制设备9具有分离控制功能。参考图5,实线箭头指示在3GPP网络7上执行认证时的消息交换,虚线箭头指示在ISP网络3上执行认证时的消息交换。在该示例中,策略控制设备9具有管理表,该管理表为每个WLAN-AP4定义了可连接到3GPP网络7的WLAN终端1的数目(3GPP可连接终端的数目)、以及可连接到除3GPP网络7之外的网络的WLAN终端1的数目(ISP可连接终端的数目)。该管理表是由WLAN网络2的管理员可变地预设在策略控制设备9中的。表1示出了管理表的一个示例。<table>tableseeoriginaldocumentpage11</column></row><table>策略控制设备9判定已经请求认证的WLAN终端1是向3GPP网络7请求认证还是向除3GPP网络7之外的网络请求认证,并且根据管理表中的3GPP可连接终端的数目或ISP可连接终端的数目来允许或拒绝来自WLAN终端1的认证请求。例如,当经由WLAN-AP4-1从WLAN终端1-1发送的认证消息是去往3GPP网络7的认证请求,并且如果允许该认证请求则会超过WLAN-AP4-1的3GPP可连接终端的数目时,来自WLAN终端1-1的认证请求被拒绝。如果未超过WLAN-AP4-1的3GPP可连接终端的数目,那么来自WLAN终端1-1的认证请求被允许。如上所述,策略控制设备9为每个WLAN-AP4管理可连接到3GPP网络7的WLAN终端1的数目和可连接到除3GPP网络7之外的网络(在该示例中为WLAN网络2和ISP网络3)的WLAN终端1的数目。这使得可以执行针对将被连接到3GPP网络和除3GPP之外的网络的分离控制和呼叫接收控制。因此,可以考虑到连接到3GPP网络7的终端和连接到除3GPP网络7之外的终端而来实现流量控制,例如,可以限制针去往3GPP网络7的认证消息。按照WLAN网络2的设计者的意图,还可以避免无线信道被除3GPP网络之外的网络和3GPP网络7之一占用的可能性。另外,策略控制设备9总地管理WLAN网络2的无线资源。这使得可以执行高效的网络操作,例如按照与3GPP运营商的合同来控制WLAN网络2的活动率。下面将参考图6来总地说明WLAN网络2的主要功能。WLAN网络2包括传送目的地网络判定单元21、认证服务器指定单元22、认证消息传送单元23、可连接终端计数存储单元24,以及认证请求许可单元25。传送目的地网络判定单元21基于经由WLAN-AP4从WLAN终端1发送的认证消息的认证方法的类型,来判定是将认证消息传送到3GPP网络7还是将其传送到除3GPP网络之外的网络(在该示例中为WLAN网络2和ISP网络3)。更具体而言,传送目的地网络判定单元21执行图2的步骤S6中的处理和图3和图4中的步骤S26中的处理。如果传送目的地网络判定单元21判定认证消息的传送目的地网络是3GPP网络7,那么认证服务器指定单元22基于在认证消息中包含的NAI,将3GPP网络7中的认证服务器8指定为传送目的地。认证消息传送单元23将认证消息传送到由传送目的地网络判定单元21判定的传送目的地网络。具体而言,认证消息传送单元23将认证消息传送到由认证服务器指定单元22指定的认证服务器8。更具体而言,认证消息传送单元23执行图2的步骤S7和S8中的处理。可连接终端计数存储单元24存储如表1所示的管理表。在管理表中的GPP可连接终端的数目和ISP可连接终端的数目的范围内,认证请求许可单元25允许将认证消息传送到由传送目的地网络判定单元21判定的传送目的地网络。注意到在上面描述的示例性实施例中,策略控制设备9被安装在WLAN-AP4和WLAN内认证服务器5之间,并且被给予传送目的地网络判定功能。然而,传送目的地网络判定功能也可被给予WLAN内认证服务器5或WLAN-AP4。权利要求1.一种无线接入系统,特征在于包括传送目的地网络判定装置,用于基于从无线终端发送的认证消息的认证方法的类型,判定是将所述认证消息传送到移动通信网络还是除所述移动通信网络之外的网络;以及认证消息传送装置,用于将所述认证消息传送到由所述传送目的地网络判定装置判定的传送目的地网络。2.如权利要求1所述的无线接入系统,特征在于还包括认证服务器指定装置,用于如果所述传送目的地网络判定装置判定所述认证消息的传送目的地网络是所述移动通信网络则基于在所述认证消息中包含的网络接入标识符指定传送目的地移动通信网络中的认证服务器,其中,所述认证消息传送装置将所述认证消息传送到由所述认证服务器指定装置指定的所述认证服务器。3.如权利要求1所述的无线接入系统,特征在于还包括至少一个无线接入点,所述至少一个无线接入点把从所述无线终端发送的所述认证消息输出到所述传送目的地网络判定装置。4.如权利要求3所述的无线接入系统,特征在于还包括可连接终端计数存储装置,用于为所述无线接入点中的每一个存储可连接到所述移动通信网络的无线终端的数目和可连接到除所述移动通信网络之外的网络的无线终端的数目。5.如权利要求4所述的无线接入系统,特征在于还包括认证请求许可装置,用于在所述可连接终端计数存储装置中所存储的数目范围内允许将所述认证消息传送到由所述传送目的地网络判定装置判定的传送目的地网络。6.如权利要求1所述的无线接入系统,特征在于还包括无线LAN网络,该无线LAN网络包括所述传送目的地网络判定装置和无线接入点。7.—种无线接入方法,特征在于包括以下步骤使计算机基于从无线终端发送的认证消息的认证方法的类型,判定是将所述认证消息传送到移动通信网络还是除所述移动通信网络之外的网络;以及将所述认证消息传送到所判定的传送目的地网络。8.如权利要求7所述的无线接入方法,特征在于还包括如果判定所述认证消息的所述传送目的地网络是所述移动通信网络,则基于在所述认证消息中包含的网络接入标识符指定传送目的地移动通信网络中的认证服务器的步骤,其中,所述传送步骤包括将所述认证消息传送到所指定的认证服务器的步骤。9.如权利要求7所述的无线接入方法,特征在于还包括经由无线接入点将来自所述无线终端的所述认证消息输出到所述计算机的步骤。10.如权利要求9所述的无线接入方法,特征在于还包括为所述无线接入点中的每一个管理可连接到所述移动通信网络的无线终端的数目和可连接到除所述移动通信网络之外的网络的无线终端的数目。11.如权利要求9所述的无线接入方法,特征在于还包括通过下述表,在可连接无线终端的数目范围内允许将所述认证消息传送到由所述传送目的地网络判定装置判定的传送目的地网络,其中在所述表中为所述无线接入点中的每一个设置了可连接到所述移动通信网络的无线终端的数目和可连接到除所述移动通信网络之外的网络的无线终端的数目。全文摘要策略控制设备(9)作为通向3GPP网络(7)的网关而被布置在WLAN网络(2)中的WLAN-AP(4)和WLAN网络中的认证服务器(5)之间。根据从WLAN终端(1)发送的认证消息的认证方法的类型(EAP类型),策略控制设备(9)判定认证消息的传送目的地网络将是3GPP网络(7)还是WLAN网络(2)还是ISP网络(3),并且将认证消息传送到所判定的目的地。这使得只有EAP-AKA的认证消息被发送到3GPP网络(7),这减少了3GPP认证服务器(8)中的处理负荷。文档编号H04W84/12GK101379853SQ200680053155公开日2009年3月4日申请日期2006年12月14日优先权日2006年2月22日发明者小椋大辅申请人:日本电气株式会社