对用户终端进行网络配置的方法和装置的制作方法

专利名称：对用户终端进行网络配置的方法和装置的制作方法
技术领域：
本发明涉及通信领域，特别涉及一种在全球微波接入互操作性(Worldwide Interoperability for Microwave Access,筒称WiMAX)网络中对用户终端 进行网络配置的方法和装置。
背景技术：
WiMAX是一项无线城域网接入技术，其最大传输速度75兆比特/秒,信号传 输半径达到50公里，基本上能覆盖到城郊。由于WiMAX技术具有远距离传输特 性，所以其不仅能够作为无线网络接入的技术，而且能够作为有线网络接入(例 如Cable、 DSL)的无线扩展^支术。所述WiMAX纟支术通过无线的方式，能够方侵_ 地实现边远地区的网络连接，具有广阔的应用前景。
如图l所示，WiMAX网络体系主要包括移动台(Mobile Station,简称 MS)/用户站(SubscribeStation,筒称SS )、接入服务网络(Access Service Network,筒称ASN )以及连接服务网络(Connectivity Service Network, 简称CSN)。
其中，所述ASN由网络接入才是供商(Net Access Provider,简称NAP)管 理，用于为用户终端(MS/SS)提供无线接入服务。所述ASN与用户终端之间的 无线相连通过IEEE802. 16d/e标准提供的空中"t妄口 Rl实现，所述ASN通过有线 接口 R3和R4分别与CSN以及其他ASN相连。如图2所示，所述ASN包括基 站(Base Station,简称BS )和ASN网关(ASN GateWay，简称ASN-GW)。
所述ASN中可以包括一个以上的BS，各个BS之间通过有线^接口 R8相连， 所述BS通过空中接口 Rl与用户终端相连。ASN中的BS主要用于提供BS和用 户终端的第二层(数据链路层)连接、无线资源管理、测量与功率控制以及对 所述空中接口参数的压缩和解密。
所述ASN-GW通过有线^接口 R6与BS相连，并通过有线4妄口 R3和R4分别与 CSN以及其他ASN相连。所述ASN-GW主要用于为用户终端认证、授权和计费 功能向网络服务提供商(Net Service Provider,简称NSP )提供客户端功能； 支持NSP的网络发现和选择；为用户终端提供第三层(网络层)信息的中继功 能，例如IP地址分配；提供无线资源管理功能。
所述CSN由NSP管理，用于为用户终端提供IP连接服务。所述CSN主要包 括验证、授权、计费协议(Authentication、 Authorization、 Account, 简 称AAA )服务器、家乡代理(Home Agent ，简称HA )和动态主机配置协议(Dynamic Host Configuration Protocol,简称DHCP)服务器等设备。
其中，所述AAA服务器主要提供用户终端的因特网接入、AAA服务、基于 用户的授权控制、WiMAX网络用户的计费以及和运营商之间的结算等功能；所述 HA为用户提供各种WiMAX服务，包括基于位置的服务、多媒体多播和广播业 务以及IP多媒体子系统业务等；所述DHCP服务器主要负责为用户终端分配IP 地址。
在实际的网络运行过程中，用户终端不仅可以使用自己签约的CSN (图1 所示的归属NSP)，也可以通过漫游的形式使用不是自己签约的CSN (图1所示 的拜访NSP )。
所述WiMAX网络为每个接入用户配置一个或者多个业务流，不同业务流有 不同的l良务质量(Quality of Service,简称QoS )，用户可以通过用户终端、 BS或者ASN-GW中配置的分类器，将其所要发送的数据映射到对应的业务流中； 运营商也可以通过所述分类器，将具有相似服务质量要求的服务放到同一个业 务流中为用户提供服务，其中，所述分类器是一系列映射标准的集合。
所述ASN-GW为每条业务流创建一个话单记录，统计这个业务流上的数据流 量，并将所述话单上报给AAA服务器，该AAA服务器收集话单记录后，将其上 报给运营商的计费系统，运营商根据话单记录为用户生成最终的话单，其中，
所述ASN-GW和AAA服务器中话单记录的粒度是业务流，运营商计费系统中话单 的粒度是用户。
对每个用户终端而言，当其接入到WiMAX网络，为了保证所述用户终端能 够在WiMAX网络中正常运行，必须对所述用户终端进行网络配置，所述用户终 端进行网络配置的内容包括用户终端的入网参数、运行参数，软件升级参数 以及用户终端上每个用户的信息等。
目前，市场上大多采用开放移动终端联盟(OMA)提出的框架，对所述用户 终端进行网络配置。所述OMA的框架主要包括开放移动终端联盟数据管理(OMA DM)客户端和开放移动终端联盟数据管理服务器，其中，所述OMADM客户端存 在于用户终端上。
利用所述OMA框架对用户终端进行网络配置分为两个过程初始配置过程 和再配置过程。其中，所述初始配置过程是对首次入网的用户终端进行配置过 程；所述再配置过程是对已经入网的用户终端进行更新网络配置的过程，所述 已经入网的用户终端包括在线的用户终端和重新入网的用户终端。
在WiMAX网络中，通过OMA框架对用户终端进行网络配置时，所述WiMAX 网络仅为用户终端(OMADM客户端)和OMADM服务器之间建立承载，并不关心 两者间传递什么类型的数据，即用户终端和OMA DM服务器之间传递的配置入 网参数和运行参数对WiMAX网络都是相同，所述WiMAX网络不对其进行区分。
如图3所示，在WiMAX网络中，利用OMA框架对用户终端进行初始配置的 过程，包括如下步骤
步骤301,在用户终端入网时，所述用户终端与BS协商空中接口参数；
步骤302，用户终端向AAA服务器认证身份，所述用户终端和AAA服务器之 间采用扩展认证协议 - 传输层安全(Extensible Authentication Protocol -Transport Layer Security,简称EAP-TLS )协议，或者扩展认证协议-隧道 传输层安全(Extensible Authentication Protocol _ Tunneled Transport Layer Security,简称EAP-TTLS )协议完成用户终端的认证过程；
步骤303，当AAA服务器认证所述用户终端合法时，所述AAA服务器确认需 要对所述用户终端进行网络配置，并采用热线(hotline)功能启动对该用户终 端进行网络配置的过程；
其中，所述hotl ine功能的作用是4吏ASN-GW禁止用户终端除了网络配置过 程的其他业务凄t据通过。
步骤304, AAA力良务器向ASN-GW发送用户终端认证成功消息，该认i正成功 消息携带了要求ASN-GW对用户终端采用hoU ine功能的指示；
步骤305, ASN-GW开启hotline功能，并为用户终端建立预配置业务流；
步骤306,用户终端通过预配置业务流，向DHCP服务器申请IP地址；
步骤307, ASN-GW将预配置业务流的计费话单上报给AAA服务器；
步骤308, AAA服务器接收到所述计费话单以后，通知OMADM服务器有用 户终端入网，需要其对所述用户终端进行网络配置；
在AAA服务器向0MA DM服务器发出的通知报文中，携带了BEK、用户终端 的ID和IP地址。其中，所述BEK是由AAA服务器计算生成的加密密钥，用于 为后续的用户终端和OMA DM服务器之间的交互数据加密。
步骤309， OMA DM服务器向用户终端发送启动配置文件，该启动配置文件 包括OMA DM服务器的地址和管理对象树。所述管理对象树包含OMA协议中定 义的可管理的属性，采用树型结构管理。所述启动配置文件使用AAA服务器传 送的BEK加密。
步骤310，用户终端接收到所述启动配置文件以后，向OMADM服务器上报 用户以及用户终端的身份信息，并采用BEK对数据进行加密；用户终端通过使
用与AAA服务器相同的加密算法计算得到所述BEK。
步骤311, OMA DM服务器根据用户终端上报的身份信息判断用户终端合法， 向用户终端下发自身的身^f分信息，并对所述用户终端进行网络配置，所述网络 配置包括指示用户终端进行读、写、替换或创建节点属性等4喿作；
步骤3U，用户终端认证OMADM服务器合法后，执行所述OMA DM服务器对 其进行网络配置的指示，并向所述OMA DM服务器返回执行结果；
步骤313, OMA DM服务器接收到用户终端发送的执行结果后，向AAA服务 器发出关闭网络配置过程的命令，即通知AAA服务器对所述用户终端结束 hotline功能，命令用户乡冬端重新入网；
步骤314, AAA服务器通知ASN-GW结束hotline功能，并使用户终端重新 入网；
步骤315，用户终端采用所述网络配置数据，发起重新入网的过程。
如图4所示，在WiMAX网络中，利用OMA框架对用户终端进行再配置的过 程，包括如下步骤
步骤401, 0MA DM服务器需要更新用户终端的网络配置数据时，向AAA服 务器发出配置请求；
步骤402， AAA服务器将其保存的用户终端信息发送给OMA DM服务器，所 述AAA服务器保存的用户终端信息包括BEK、用户终端ID和IP地址；
步骤403, OMA DM服务器向用户终端发送启动配置文件，该启动配置文件 包括OMA DM服务器的地址和管理对象树。所述管理对象树包含OMA协议中定 义的可管理的属性，采用树型结构管理。所述启动配置文件采用AAA服务器向 其发送的BEK加密。
步骤4Q4，用户终端接收到所述启动配置文件以后，向OMADM服务器上报
用户以及用户终端的身份信息，并采用BEK对数据进行加密；用户终端通过使 用与AAA服务器相同的加密算法计算得到所述BEK。
步骤405， 0MA DM服务器根据用户终端上报的身份信息判断用户终端合法， 向用户终端下发自身的身份信息，并对所述用户终端进行网络配置，所述网络 配置包括指示用户终端进行读、写、替换或创建节点属性等才喿作；
步骤406,用户终端认证OMADM服务器合法后，执行所述OMA DM服务器对 其进行网络配置的指示，并向所述OMA DM服务器返回执行结果。
在实现本发明的过程中，发明人发现，现有技术至少存在如下问题
用户终端在进行初始配置的过程中，需要由AAA服务器通知OMA DM服务器 有用户终端入网，从而启动OMADM服务器对用户终端进行网络配置的过程；在 用户终端进行再配置过程的过程中，也需要AAA服务器向OMA DM服务器提供用 户终端的相关信息，从而使OMA DM服务器能够对所述用户终端进行网络配置， 然而，在实际的网络构架中，所述AAA服务器和OMA DM服务器属于不同的子网 (所述AAA服务器是业务处理域的设备；所述OMA DM服务器是操作维护域的设 备)，在组网的过程中，两个设备是分开组网的，在两个隔离的子网中，要使所 述两台设备之间能够进行通信，就要考虑到设备的部署问题，使得所述AAA服 务器和MA DM服务器部署困难。
并且，在商用组网时，出于安全性的考虑，所述ASN-GW需要连接防火墙或 者具有网络地址转换(Network Address Translation,简称NAT)功能的设 备，所述AAA服务器与防火墙或者具有MT功能的设备出接口相连。由于防火 墙和具有NAT功能的设备只允许ASN-GW内侧(用户终端侧)设备主动发起的请 求消息通过，并可以接收与所述请求消息匹配的ASN-GW外侧(OMA DM服务器侧) 设备发送的相应消息，但是，其不允许外侧(OMA DM服务器侧)设备主动发起 的请求消息通过。在实现上述对用户终端进行初始配置和再配置的过程中，步 骤309和步骤403，由OMA DM服务器主动向用户终端发送的启动配置文件不能
够通过防火墙或者具有NAT功能的设备，从而使0MA DM服务器对用户终端进行 网络配置失败。

发明内容
本发明的实施例提供一种对用户终端进行网络配置的方法和装置，解决目 前全球微波接入互操作性网络中有防火墙或者具有NAT功能的设备存在时，配置 服务器无法对用户终端进行网络配置的问题。
本发明解决上述技术问题的 一个实施例是
一种对用户终端进行网络配置的方法，应用于全球^b皮接入互操:作性网络 中；包括如下步骤
获取配置服务器的IP地址，根据所述IP地址建立用户终端和配置服务器之 间的安全传输层协议隧道；通过所建立的安全传输层协议隧道获取配置数据， 并根据所述获取的配置数据配置用户终端的参数。
本发明解决上述技术问题的另 一个实施例是
一种用户终端，所述用户终端接入到全球微波接入互操作性网络中，包括 获取单元，用于获取配置服务器的IP地址；
隧道创建单元，用于根据所述IP地址建立用户终端和配置服务器之间的安 全传输层协议隧道；
配置单元，用于通过所建立的安全传输层协议隧道获取配置数据，并#4居 所述获取的配置数据配置用户终端的参数。
本发明解决上述技术问题的再一个实施例是
一种配置服务器，所述配置服务器连接到全球微波接入互操作性网络中， 包括
隧道创建单元，用于在用户终端与配置服务器之间建立安全传输层协议隧
道；
配置数据发送单元，用于通过所述安全传输层协议隧道向用户终端发送配 置数据。
本发明实施例所提供的对用户终端进行网络配置的方法和装置，由于采用 了用户终端根据配置服务器的IP地址主动向所述配置服务器发起建立安全传输 层协议隧道，所述用户终端通过所述安全传输层协议隧道获取配置数据的方法， 克服了现有技术在有防火墙或者具有NAT功能的设备存在时，由配置服务器主动
发送的配置数据不能通过防火墙或者具有NAT功能的设备，从而使配置服务器不 能对用户终端进行网络配置的问题，保证了用户终端与配置设备之间的通信安 全；由于所述安全传输层协议隧道是由用户终端主动向配置服务器发起建立的， 所以，不需要再由AAA服务器通知配置服务器有用户终端入网，从而在组网的过 程中不必考虑AAA服务器和配置服务器之间的网络布局问题，使组网更加灵活， 降低了组网和维护网络所需的费用。


图1为现有技术中WiMAX网络架构示意图2为图l所示现有技术WiMAX网络中ASN的结构示意图3为现有技术对用户终端进行初始配置的时序图4为现有技术对用户终端进行再配置的时序图5为本发明实施例提供的对用户终端进行网络配置的方法流程图6为本发明实施例利用图5所示的对用户终端进行网络配置的方法，对用 户终端进行初始配置的时序图7为本发明实施例提供的对用户终端进行网络配置的方法，在MS/SS与0MA DM服务器之间建立TLS隧道的时序图8为图6所示的本发明实施例提供的对用户终端进行网络配置的方法，0MA DM服务器对MS/SS进行网络配置的时序图9为本发明实施例利用图5所示的对用户终端进行网络配置的方法，对用 户终端进行再配置的时序图IO为本发明实施例提供的用户终端和配置服务器的结构示意图。
具体实施例方式
为了解决现有技术在有防火墙或者具有NAT功能的设备存在时，由配置服务
器发送的配置数据不能通过防火墙或者具有MT功能的设备，从而使配置服务器
不能对用户终端进行网络配置的问题，本发明的实施例提供一种对用户终端进
行网络配置的方法。下面结合附图和实施例对本发明作详细说明
在本实施例中，所述对用户终端进行网络配置的方法，应用于WiMAX网络 中，所述用户终端为MS/SS,所述配置服务器为0MA DM服务器。如图5所示， 所述方法包括如下步骤
步骤501,获取0MA DM服务器的IP地址，才艮据所述IP地址建立MS/SS和 OMADM服务器之间的安全传输层协议(Transport Layer Security,简称TLS) 隧道；
步骤502，通过所建立的TLS隧道获取配置数据，并根据所述获取的配置数 据配置MS/SS的参数。
在实际的网络中，步骤501中所述的为MS/SS进行网络配置的情况分为两 种 一种是，MS/SS第一次入网时，对所述MS/SS进行初始配置；另一种是，MS/SS 已经接入网络后，更新所述MS/SS的网络配置，即对所述MS/SS进行再配置。 下面分别对其进行介绍
第一种情况，如图6所示，利用本发明实施例所提供的对用户终端进行网络配置的方法，对MS/SS进行初始配置的步骤包括
步骤601, MS/SS与BS之间协商空中接口参数，通过协商空中接口参数， 使所述MS/SS与BS能够进行正常的通信；
步骤602， AAA服务器对MS/SS进行身份认证；
AAA服务器对MS/SS进行身份认证的过程中，首先，由ASN-GW向MS/SS发 送请求用户终端身份消息；为了能够使AAA服务器能够主动判断出MS/SS是否 需要进行网络配置，所述MS/SS接收到请求用户终端身份消息后，向AAA服务 器返回携带其身份标识的身份信息，其中，所述用户终端的身份标识包括月良 务类型、用户名和用户终端所属的域，在本实施例中，所述用户终端的身份标 识格式为{服务类型}用户名@用户终端所属的域，在MS/SS第一次接入网络 时，MS/SS发现自身缺少网络配置的数据，所以将其身份标识中的服务类型字段 设置成需要进行网络配置，在MS/SS因为网络出现异常而丢失了其网络配置数 据时，所述MS/SS也可以将其身份标识中的服务类型字段设置成需要进行网络 配置；AAA服务器收到MS/SS身份信息以后，采用EAP-TLS或EAP-TTLS协议对 所述MS/SS的身份进行认证。
步骤603，AAA服务器对MS/SS认证成功以后，AAA服务器可以根据所述MS/SS 身份标识中的服务类型字段判断该MS/SS需要进行网络配置，当然，AAA服务器 也可以自己决定所述MS/SS是否需要进行网络配置；所述AAA服务器对MS/SS 发送认证成功消息时，在所述认证成功消息中携带了命令ASN-GW对MS/SS启动 预配置的消息；
本实施例中，所述认证成功消息携带了命令ASN-GW对所述MS/SS开启 hotline功能的消息，其中，所述hotline功能的作用是使ASN-GW禁止用户 终端除了网络配置过程的其他业务数据通过；
为了能够使MS/SS获取OMA DM服务器的IP地址，从而根据所述IP地址主
动向0MA DM服务器发起建立TLS隧道的过程，AAA服务器可以将其上预先配置 的OMA DM服务器的IP地址，通过认证成功消息发送给所述MS/SS;
为了能够使所述MS/SS能够在以后的网络运行过程中，定时更新其网络配 置，所述AAA服务器也可以为MS/SSi殳置更新MS/SS网络配置的时间，该更新 MS/SS网络配置的时间可以网络管理员手动设置，例如2小时、1天或者1个 月等，具体的更新MS/SS网络配置的时间可以根据实际网络运行需要而定，所 述AAA服务器将该更新MS/SS网络配置的时间通过认证成功消息发送给MS/SS。
步骤604, AAA服务器向MS/SS发送的认证成功消息经过ASN-GW时，所述 ASN-GW发现i人证成功消息中携带了启动hot 1 ine功能的命令，ASN-GW对所述 MS/SS启动hotline功能，同时，为所述MS/SS建立预配置业务流；
步骤605， MS/SS接收所述认证成功消息以后，通过ASN-GW为其建立的预 配置业务流，向DHCP服务器申请IP地址；
在MS/SS向DHCP服务器申请IP地址的过程中，为了使MS/SS获取0MA DM 服务器的IP地址，从而根据所述OMA DM服务器的IP地址主动向OMA DM服务 器发起建立TLS隧道的过程，所述DHCP服务器可以将其上预先配置的OMA DM 月l务器的IP添加到DHCP才艮文的Option (选择)字^殳，通过所述DHCP才艮文传送 给MS/SS;所述ASN-GW也可以在传输DHCP才艮文的过程中，在所述DHCP才艮文的 Option字段添加预先保存的OMA DM服务器的IP地址信息，从而将所述OMA DM 服务器的IP地址传送给MS/SS;
在MS/SS向DHCP服务器申请IP地址的过程中，DHCP服务器或者ASN-GW 也可以为所述MS/SS设置更新MS/SS网络配置的时间，并将该更新MS/SS网络 配置的时间添加在HCP报文的Option字段中，通过所述HCP报文传送给MS/SS。
步骤606,当MS/SS获取DHCP服务器为其IP地址以后，ASN-GW向AAA月良
务器上报所述预配置业务流的计费话单；
为了使所述计费话单的计费情况更合理，在本实施例中，所述计费话单将 预配置数据流量和用户终端的数据流量进^f亍单独记录。其中，所述预配置^t据
流量是MS/SS和0MA DM服务器之间传输的数据流量，ASN-GW可以根据传输数据 的IP报文头部是否含有OMADM服务器的IP地址，判断出所述数据是否为MS/SS 和0MA DM服务器之间传输的数据流量；所述用户终端的数据流量为预配置数据 流量以外的数据流量。所述预配置数据流量不是MS/SS本身上网产生的数据流 量，所以ASN-GW所属的ASN网络运营商可以向AAA月良务器所属的CSN网络运营 商收费。
步骤607, MS/SS根据0MA DM服务器的IP地址，向所述0MA DM服务器发 起建立TLS隧道的过程；
所述MS/SS与OMA DM月良务器之间建立TLS隧道的步骤主要包括
MS/SS和OMA DM服务器之间相互身份认证的过程。
如图7所示，其具体步骤包括
步骤701， MS/SS主动向OMA DM服务器发送ClientHello (客户端协商)消 息，指示TLS握手流程开始；所述ClientHello消息向OMA DM服务器请求协商 TLS相关安全服务，该消息由版本号，随机数，会话ID，密码套件，压缩方法等 字段组成
步骤702, OMA DM服务器接收到所述ClientHello消息后,向MS/SS发送 ServerHello(服务器协商)消息,所述ServerHel lo消息的组成与ClientHello 消息相同，通常是ClientHello消息给出各个字段建议值，OMA DM服务器将最 终选择结果通过ServerHel lo消息发症合MS/SS;
步骤703, OMA DM服务器通过Certificate (证书)消息将其自身的数字证
书，连同一个可以信任的CA证书发送给MS/SS;
步骤704,如果RSA公钥比较长，不能放在步骤703的Certificate消息中， 则OMA DM服务器再通过ServerKeyExchange (服务器公钥交换)消息，将RSA 公钥分发给所述MS/SS;
步骤705, OMADM服务器发送ServerRequest(服务器请求)消息,向MS/SS 申请其数字证书；
步骤706， OMA DM服务器通过发送ServerHelloDone (服务器协商完成)消 息，通知MS/SS所述OMA DM服务器已经完成了协商的过程；该ServerHel loDone 消息本身并不携带任何信息，MS/SS只有成功接收到该消息后才进入后续消息的 交互；
步骤707, MS/SS通过所述CA证书认证OMA DM服务器的数字证书是否合法， 即认证OMA DM服务器是否合法，对认证合法的OMA DM服务器，通过RSA算 法计算TLS密钥；
步骤708, MS/SS通过Certificate (证书)消息将其自身的数字证书，连 同 一个可以信任的CA证书发送给OMA DM服务器；
步骤709，如果RSA公钥比较长，不能放在步骤708的Certificate消息中， 则MS/SS再通过ClientKeyExchange (客户端公钥交换)消息，将RSA/仝钥分发 给所述OMA DM服务器；
步骤710， MS/SS向OMA DM服务器发送ChangeCipherSpec (更改密码规则) 消息，激活OMADM服务器端的TLS协商选项，其中所述TLS协商选项包括TLS 会话密钥，密码套件的有效性等；
步骤711, MS/SS向OMA DM服务器发送Finished (完成)消息，检查在步 骤710中激活的TLS协商选项是否有效；
步骤712， OMA DM服务器通过所述CA证书认证MS/SS的数字证书是否合法， 即认证MS/SS是否合法，对认证合法的MS/SS,通过RSA算法计算TLS密钥；
步骤713, OMA DM服务器通过发送ChangeCipherSpec消息，激活MS/SS端 的TLS协商选项；
步骤714， OMA DM服务器向MS/SS发送Finished (完成)消息，；险查在步 骤713中激活的TLS协商选项是否有效。
通过上述步骤701-714可以在MS/SS和OMA DM服务器之间建立TLS隧道。
步骤608， OMA DM服务器通过所述步骤607中建立的TLS隧道向MS/SS传 输网络配置数据；
如图8所示，步骤608具体包括
步骤801， OMA DM服务器向MS/SS发送启动配置文件，该启动配置文件包 括OMA DM服务器的地址和管理对象树。所述管理对象树包含OMA协议中定义 的可管理的属性，采用树型结构管理。
步骤802，MS/SS接收到所述启动配置文件以后，向OMA DM服务器上报MS/SS 上运行用户以及MS/SS的身份信息；
步骤803， OMA DM服务器根据MS/SS上报的身份信息判断其合法，向所述 MS/SS下发自身的身份信息，并对所述MS/SS进行网络配置，所述网络配置包括 指示MS/SS进行读、写、替换或创建节点属性等纟喿作；
步骤8Q4， MS/SS认证OMA DM服务器合法后，执行所述OMA DM服务器对其
进行网络配置的指示，并向所述OMA DM服务器返回执行结果。
步骤609，在OMA DM服务器结束对MS/SS的网络配置以后，所述MS/SS采 用OMA DM服务器对其发送的网络配置数据，发起重新入网的过程。
本实施例在对MS/SS进行初始配置时，由于所述MS/SS向AAA服务器iU正
身份的同时，发送了其身份标识，所以AAA服务器可以通过该身份标识判断出 所述MS/SS是否需要进行网络配置，对需要进行网络配置的MS/SS自动启动预 配置过程，与现有"t支术相比，WiMAX网络运行更加自主灵活；由于所述TLS隧道 是由MS/SS根据OMA DM服务器的IP地址主动发起建立的，所以在WiMAX网络 中有防火墙或者具有MT功能的设备存在时，OMA DM H务器也可以通过所述TLS 隧道对MS/SS进行网络配置，并且，OMA DM服务器通过TLS隧道与需要进行网 络配置的MS/SS直接进行通信，在组网的过程中不必考虑AAA服务器和配置服 务器之间的网络布局，使组网更加灵活，降低了组网所需的费用；由于MS/SS 和OMA DM服务器之间的配置数据是通过所述TLS隧道传输的，所以保证了 MS/SS 和OMA DM服务器之间的通信安全；本实施例所使用的认证流程与现有技术中 WiMAX网络原有的认证流程相同，降低了网络的维护配用，并且单独统计预配置 数据流量，使WiMAX网络的计费方法更力口合理。
第二种情况，如图9所示，利用本发明实施例所^是供的对用户终端进行网 络配置的方法，对MS/SS进行再配置的步骤包括
步骤9G1，判断所述MS/SS是否需要更新网络配置；
在本实施例中，不仅可以由OMA DM服务器判断所述MS/SS是否需要更新网 络配置，也可以由MS/SS根据AAA服务器、DHCP服务器或者ASN-GW向其发送的 更新用户终端网络配置的时间来判断是否需要更新网络配置。
由于MS/SS可以根据更新用户终端网络配置的时间判断自身是否需要更新 网络配置，所以MS/SS可以直接获得更新自身网络配置的时间(更新网络配置 的时间到期时)，与OMA DM服务器判断所述MS/SS是否需要更新网络配置相比， 节省了 OMA DM服务器向MS/SS发送请求更新网络配置消息的过程，从而节省了 网络资源。
步骤902,在判断所述MS/SS需要更新网络配置时，MS/SS根据OMA DM服 务器的IP地址主动向所述OMA DM服务器发起建立TLS隧道，所述TLS隧道的
具体建立过程如图7所示，此处不再赘述；
步骤903, 0MA DM服务器通过所述TLS隧道向MS/SS传递配置数据，所述 0MA DM服务器通过TLS隧道更新MS/SS的网络配置过程如图8所示，此处不再 赘述。
本发明实施例所提供的对用户终端进行网络配置的方法，在对用户终端进 行网络配置时，由于用户终端根据配置服务器的IP地址主动向所述配置服务器 发起建立安全传输层协议隧道，并且，所述配置服务器通过所述安全传输层协 议隧道对用户终端进行网络配置，克服了现有技术在有防火墙或者具有NAT功 能的设备存在时，由配置服务器发送的配置数据不能通过防火墙或者具有NAT 功能的设备，从而使配置服务器不能对用户终端进行网络配置的问题，并且保 证了用户终端与配置设备之间的通信安全；由于所述安全传输层协议隧道是由 用户终端主动向配置服务器发起建立的，所以，不需要再由AAA服务器通知配 置服务器有用户终端入网，从而在组网的过程中不必考虑AAA服务器和配置服 务器之间的网络布局，使组网更加灵活，降低了组网和维护网络所需的费用。
为了解决现有技术在有防火墙或者具有NAT功能的设备存在时，由配置服 务器发送的配置数据不能通过防火墙或者具有NAT功能的设备，从而使配置服 务器不能对用户终端进行网络配置的问题，本发明的实施例提供一种用户终端 以及一种配置服务器。下面结合附图和实施例对本发明作详细说明
在本实施例中，所述用户终端为MS/SS,所述配置服务器为OMADM服务器， 所述配置服务器通过WiMAX网络对用户终端进行网络配置。
如图IO所示，所述MS/SS包括
获取单元，用于获取0MA DM服务器的IP地址，所述0MA DM服务器的IP 地址可以通过AAA服务器发送的认证成功消息获得，也可以在MS/SS向DHCP服 务器申请IP地址的时候，通过所述DHCP服务器或者ASN-GW在DHCP报文的
Option字段添加的0MA DM^务器的IP地址信息获得。
为了能够在所述MS/SS入网以后能够定时进行网络配置的更新，即进行再 配置，所述获取单元还用于获取更新用户终端网络配置的时间，该更新用户终 端网络配置的时间可以通过AAA服务器发送的认证成功消息获得，也可以在 MS/SS向DHCP服务器申请IP地址的时候，通过所述DHCP服务器或者ASN-GW 在DHCP报文的Option字段添加的更新用户终端网络配置的时间地址信息获得。
通过所述计时单元，MS/SS可以检测出自身是否需要更新网络配置，从而及 时发起更新网络配置的过程，与由OMA DM服务器向所述MS/SS发送请求更新网 络配置消息，所述MS/SS接收到所述请求消息后再发起更新网络配置的过程相 比，节省了网络资源，提高了对MS/SS更新网络配置的速度。
隧道创建单元，用于根据所述IP地址建立MS/SS和OMA DM服务器之间的 TLS隧道；
在建立TLS隧道的过程中，所述隧道创建单元可以通过认证单元与OMA DM 服务器之间身份认证，从而建立TLS隧道，其具体的建立过程可以参见如图7 所示的方法，此处不再赘述；
在对所述MS/SS进行再配置的过程中，由计时单元对获取单元接收到的更 新用户终端网络配置的时间进行计时，当计时超时时，所述隧道创建单元发起 建立TLS隧道的过程。
配置单元，用于通过所建立的安全传输层协议隧道获取配置lt据，并才艮据 所述获取的配置数据配置用户终端的参数，其具体的配置过程如图8所示，此 处不再赘述。
如图IO所示，所述OMA DM服务器包括
隧道创建单元，用于在MS/SS与0MA DM服务器之间建立TLS隧道，在建立 TLS隧道的过程中，所述隧道创建单元可以通过认证单元与MS/SS之间身份认 证，从而建立TLS隧道，其具体的建立过程可以参见如图7所示的方法，此处 不再赘述；
配置数据发送单元，用于通过TLS隧道向MS/SS发送配置数据，其具体的 配置过程如图8所示，此处不再赘述。
本发明实施例所提供的用户终端以及配置服务器，由于采用了用户终端根 据配置服务器的IP地址向配置服务器主动发起建立安全传输层协议隧道，通过 所述安全传输层协议隧道传输配置数据的方法，所以克服了现有技术在有防火 墙或者具有NAT功能的设备存在时，由配置服务器发送的配置数据不能通过防 火墙或者具有NAT功能的设备，从而使配置服务器不能对用户终端进行网络配 置的问题，并且保证了用户终端与配置设备之间的通信安全；由于所述安全传 输层协议隧道是由用户终端主动向配置服务器发起建立的，所以不需要再由AAA 服务器通知配置服务器有用户终端入网，从而在组网的过程中不必考虑AAA服 务器和配置服务器之间的网络布局，使组网更加灵活，降低了组网和维护网络 所需的费用。
本发明所提供的对用户终端进行网络配置的方法和装置能够应用在WiMAX 网络中，通过0MA ^是供的框架对MS/SS进行网络配置。
以上所述，仅为本发明实施例的具体实施方式
，但本发明实施例的保护范 围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内， 可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明 实施例的保护范围应该以权利要求的保护范围为准。
权利要求
1、一种对用户终端进行网络配置的方法，其特征在于，应用于全球微波接入互操作性网络中；包括如下步骤获取配置服务器的IP地址，根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道；通过所建立的安全传输层协议隧道获取配置数据，并根据所述获取的配置数据配置用户终端的参数。
2、 根据权利要求1所述的对用户终端进行网络配置的方法，其特征在于， 所述获取配置服务器的IP地址具体为从验证、授权、计费协议服务器获取配置服务器的IP地址。
3、 根据权利要求2所述的对用户终端进行网络配置的方法，其特征在于， 所述从验证、授权、计费协议服务器获取配置服务器的IP地址具体为验证、授权、计费协议服务器将配置服务器的IP地址通过身份认证成功消 息发送给用户终端。
4、 根据权利要求1所述的对用户终端进行网络配置的方法，其特征在于， 所述获取配置服务器的IP地址具体为从动态主机配置协议服务器获取配置服务器的IP地址，所述动态主机配置 协议服务器预先配置有配置服务器的IP地址；或者从接入服务网络网关获取配置服务器的IP地址，所述接入服务网络网关预 先配置有配置服务器的IP地址。
5、 根据权利要求4所述的对用户终端进行网络配置的方法，其特征在于， 所述从动态主机配置协议服务器获:f又配置服务器的IP地址具体为用户终端向动态主机配置协议服务器发起获取IP地址的过程中，从动态主机配置协议 服务器获取配置服务器的IP地址；所述从接入服务网络网关获取配置服务器的IP地址具体为用户终端向动 态主机配置协议服务器发起获取IP地址的过程中，从接入服务网络网关获取配 置服务器的IP地址。
6、 根据权利要求5所述的对用户终端进行网络配置的方法，其特征在于， 所述从动态主机配置协议服务器获取配置服务器的IP地址具体为用户终端从动态主机配置协议服务器发送的动态主机配置协议报文的Option字段中获 取配置服务器的IP地址；所述从接入服务网络网关获取配置服务器的IP地址具体为用户终端从接 入服务网络网关传送的动态主机配置协议报文的Option字段中获取配置服务器 的IP地址。
7、 根据权利要求1所述的对用户终端进行网络配置的方法，其特征在于， 所述根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道之 前还包括判断是否对用户终端进行网络配置。
8、 根据权利要求7所述的对用户终端进行网络配置的方法，其特征在于， 所述判断是否对用户终端进行网络配置方法为根据用户终端的身份标识判断 是否对所述用户终端进行网络配置。
9、 根据权利要求8所述的对用户终端进行网络配置的方法，其特征在于， 所述用户终端的身份标识包括服务类型、用户名和用户终端所属的域；所述根据用户终端的身份标识判断是否对所述用户终端进行网络配置具体 为根据用户终端身份标识中的服务类型字段判断是否对所述用户终端进行网 络配置。
10、 根据权利要求l所述的对用户终端进行网络配置的方法，其特征在于， 所述根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道之前还包括获取更新用户终端网络配置的时间。
11、 根据权利要求10所述的对用户终端进行网络配置的方法，其特征在于， 所述获取更新用户终端网络配置的时间具体为从验证、授权、计费协议服务器获取所述更新用户终端网络配置的时间。
12、 根据权利要求11所述的对用户终端进行网络配置的方法，其特征在于， 所述从验证、授权、计费协议服务器获取所述更新用户终端网络配置的时间具 体为验证、授权、计费协议服务器将更新用户终端网络配置的时间通过身份认 证成功消息发送给用户终端。
13、 根据权利要求10所述的对用户终端进行网络配置的方法，其特征在于， 所述获取更新用户终端网络配置的时间具体为从动态主机配置协议服务器获取更新用户终端网络配置的时间，所述动态 主机配置协议服务器预先配置有更新用户终端网络配置的时间；或者从接入服务网络网关获取更新用户终端网络配置的时间，所述接入服务网 络网关预先配置有更新用户终端网络配置的时间。
14、 根据权利要求13所述的对用户终端进行网络配置的方法，其特征在于， 所述从动态主机配置协议服务器获取更新用户终端网络配置的时间具体为用户终端向动态主机配置协议服务器发起获取IP地址的过程中，从动态主 机配置协议服务器获取更新用户终端网络配置的时间；所述从接入服务网络网关获取更新用户终端网络配置的时间具体为用户 终端向动态主机配置协议服务器发起获取IP地址的过程中，从接入服务网络网关获取更新用户终端网络配置的时间。
15、 根据权利要求14所述的对用户终端进行网络配置的方法，其特征在于， 所述从动态主机配置协议服务器获取更新用户终端网络配置的时间具体为用户终端从动态主机配置协议服务器发送的动态主机配置协议报文的 Option字^殳中获耳又更新用户终端网络配置的时间；所述从接入服务网络网关获取更新用户终端网络配置的时间具体为用户 终端从接入服务网络网关传送的动态主机配置协议报文的0pt ion字段中获取所 述更新用户终端网络配置的时间。
16、 根据权利要求10-15中任意一项所述的对用户终端进行网络配置的方 法，其特征在于，所述用户终端根据更新用户终端网络配置的时间建立用户终 端和配置服务器之间的安全传输层协议隧道。
17、 根据权利要求1 - 15任意一项所述的对用户终端进行网络配置的方法， 其特征在于，所述根据所述IP地址建立用户终端和配置服务器之间的安全传输 层协议隧道具体包括用户终端和配置服务器之间相互身份认证。
18、 根据权利要求1 - 15任意一项所述的对用户终端进行网络配置的方法， 其特征在于，所述根据所述获取的配置数据配置用户终端的参数之前，还包括为该用户终端建立预配置业务流，将预配置业务流的计费话单上报给验证、 授权、计费协议服务器，所述预配置数据流量是用户终端和配置服务器之间传 输的数据流量。
19、 一种用户终端，其特征在于，所述用户终端接入到全球孩t波接入互操作性网络中，包括获取单元，用于获取配置服务器的IP地址；隧道创建单元，用于根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道；配置单元，用于通过所建立的安全传输层协议隧道获取配置数据，并根据 所述获取的配置数据配置用户终端的参数。
20、 根据权利要19所述的用户终端，其特征在于，所述获取单元还用于获取更新用户终端网络配置的时间；所述隧道创建单元根据获取单元获取的更新用户终端网络配置的时间发起 隧道创建。
21、 根据权利要求19所述的用户终端，其特征在于，还包括计时单元，用于控制隧道创建单元建立用户终端和配置服务器之间的安全 传输层协议隧道。
22、 根据权利要求19所述的用户终端，其特征在于，隧道创建单元包括 认证单元，用于与配置服务器之间身份认证。
23、 一种配置服务器，其特征在于，所述配置服务器连接到全球微波接入 互操作性网络中，包括隧道创建单元，用于在用户终端与配置服务器之间建立安全传输层协议隧道；配置数据发送单元，用于通过所述安全传输层协议隧道向用户终端发送配 置数据。
24、 根据权利要求23所述的配置服务器，其特征在于，隧道创建单元包括: 认证单元，用于与用户终端之间身份认证。
全文摘要
本发明公开了一种对用户终端进行网络配置的方法和装置，涉及通信领域，为解决现有技术有防火墙或者具有NAT功能的设备存在时，配置服务器不能对用户终端进行网络配置的问题而发明。本发明的技术方案为对用户终端进行网络配置的方法，应用于全球微波接入互操作性网络中；包括如下步骤获取配置服务器的IP地址，根据所述IP地址建立用户终端和配置服务器之间的安全传输层协议隧道；通过所建立的安全传输层协议隧道获取配置数据，并根据所述获取的配置数据配置用户终端的参数。本发明所提供的对用户终端进行网络配置的方法和装置能够应用在WiMAX网络中，通过OMA提供的框架对MS/SS进行网络配置。
文档编号H04L12/24GK101197721SQ20071030158
公开日2008年6月11日 申请日期2007年12月25日 优先权日2007年12月25日
发明者川 李 申请人:华为技术有限公司