专利名称:一种访问运营商自有业务的方法、设备及系统的制作方法
技术领域:
本发明涉及移动通信技术领域,尤其涉及一种访问运营商自有业务的方法、设备及系统。
背景技术:
现有技术中,终端可以通过网络门户(Web Portal)认证方式或扩展认证协议-客户识别模块/密匙协商机制(EAP-SM/AKA)认证方式来完成局域网的接入认证,进而可以访问英特网(Internet)的业务。以终端实现无线局域网(Wireless Local Area Networks, WLAN)的接入认证为例,图1所示的是EAP-SM/AKA认证网络架构图,终端与无线局域网接入控制点(WLANAccess Control, WLANAC)之间通过局域网可扩展认证协议(Extensible AuthenticationProtocol over LAN, EAP0L)通信,WLAN AC 和验证、授权和帐户(Authentication,Authorization and Accounting, AAA)服务器通过远程认证拨号用户服务(RemoteAuthentication Dial-1n User Service, RADIUS)协议转发扩展认证协议(ExtensibleAuthentication Protocol,ΕΑΡ)消息,AAA服务器使用移动应用部分(Mobile ApplicationPart, MAP)协议从归属位置寄存器/归属签约用户服务器(HLR/HSS)获取用户(U) SM卡鉴权向量,并完成认证,AAA服务器是认证的执行点。终端在局域网的认证接入过程中,不论是使用上述Web Portal认证方式还是使用基于EAP的认证方法,只能满足用户对Internet业务访问需求,对于运营商提供的自有业务来说,用户标识GnMSISDN)无法通过网络渠道传递到自有业务平台,且用户发送的运营商提供的自有业务请求往 往通过运营商网络定义的私有代理地址进行访问,,WLAN AC可能因为无法路由私有地址而丢弃该请求的数据包,上述两点导致用户无法实现对运营商自有业务的访问。针对上述问题,3GPP提出了一种标准的WLAN与蜂窝网互通方案即1-WLAN方案。如图2所示,在1-WLAN方案中,用户首先通过EAP-SM/AKA认证方式完成WLAN网络的接入认证,并可访问Internet业务,当用户需要访问自有业务时,具体流程如下1、终端根据配置的接入点名称(Access Point Name, APN)查询域名服务器(Domain Name Server,DNS)获取该APN所对应的WLAN隧道网关(如PDG或TTG)的地址。2、终端发送隧道建立请求。3、WLAN隧道网关收到请求后,对用户进行身份认证;认证通过后,为终端分配远端IP地址,并完成终端到WLAN隧道网关的Internet协议安全性(Internet Protocolsecurity, IPSec)隧道建立。4、用户使用所获得的远端IP地址,通过终端配置的自有业务APN和自有业务IP代理,进行自有业务的访问。5、当用户访问自有业务的数据包通过IPSec隧道到达WLAN隧道网关后,WLAN隧道网关去除IPSec隧道,如果隧道APN信息为自有业务APN,WLAN隧道网关将用户信息传递到自有业务认证服务器(例如Radius服务器),并将访问数据封装在通用路由封装协议(Generic outing Encapsulation, GRE)隧道中,送往运营商分组域业务网关或业务平台(比如WAP网关),实现业务访问。上述1-WLAN认证方案要求终端必须支持EAP-SM/AKA认证功能和IPSec隧道功能,IPSec功能对终端能力要求较高,目前可以支持的终端较少,使得1-WLAN认证方案在中短期内较难得以普遍应用。
发明内容
本发明实施例提供了一种可普遍适用于各种终端的访问访问运营商自有业务的方法、设备及系统,用以解决无法实现对运营商网络中自有业务访问的问题。基于上述问题,本发明实施例提供的一种访问运营商自有业务的方法,包括一种访问运营商自有业务的方法,其特征在于,包括当局域网内第一网络设备接收到终端发送的其他网络的访问请求时,根据预先配置的运营商自有业务的目的地址和/或端口号信息,确定是否为运营商自有业务的访问请求,若是,将所述访问请求发送至运营商网络中第二网络设备;第二网络设备根据负责对所述局域网进行接入认证的第一认证服务器的终端认证信息,确定发送所述访问请求的终端是否为合法用户;若确定是,则转发所述访问请求至对应的自有业务;否则,拒绝所述访问请求。本发明实施例提供的一种网络设备,包括接收单元,用于 接收终端发送的其他网络的访问请求;过滤单元,用于根据预先配置的运营商自有业务的目的地址和/或端口号信息,确定所述接收单元接收的所述访问请求是否为访问运营商自有业务的请求;发送单元,用于在所述过滤单元确定所述访问请求为访问运营商自有业务的请求时,将所述访问请求发送至运营商网络中第二网络设备。本发明实施例提供的一种网络设备,包括接收单元,用于接收局域网中的第一网络设备转发的运营商自有业务的访问请求;认证单元,用于根据负责对所述局域网进行接入认证的第一认证服务器的终端认证信息,确定发送所述请求的终端是否为合法用户;发送单元,用于在认证单元确定是时,转发所述请求至对应的自有业务;否则,拒绝所述访问请求。本发明实施例提供的一种网络系统,包括第一网络设备,位于局域网中,用于当接收到终端发送的其他网络的访问请求时,根据预先配置的运营商自有业务的目的地址和/或端口号信息,确定是否为运营商自有业务的访问请求,若是,将所述访问请求发送至第二网络设备;第二网络设备,位于运营商网络中,用于根据负责对所述局域网进行接入认证的第一认证服务器的终端认证信息,确定发送所述访问请求的终端是否为合法用户;若确定是,则转发所述访问请求至对应的自有业务;否则,拒绝所述访问请求;第一认证服务器,用于对终端进行局域网的接入认证。
本发明实施例的有益效果包括本发明实施例提供的访问运营商自有业务的方法、设备及系统,局域网中的第一网络设备根据自身配置的自有业务的目的地址和/或端口号信息,过滤出终端发送的对运营商自有业务的访问请求,将这些访问请求转发给运营商网络的第二网络设备,第二网络设备根据负责对局域网进行接入认证的第一认证服务器的终端认证信息,确定该终端是否是经过局域网认证的合法终端,并转发合法终端的访问请求给自有业务,可以实现局域网通过接入认证的合法终端对自有业务的自由访问,并且,由于该方案不涉及终端侧流程的改进,终端可以采用任何现有的接入方式完成局域网的接入以及对自有业务的访问,因此,可以普遍适用于现有任何存量终端。
图1为现有技术中EAP-SM/AKA认证网络架构图;图2为现有技术中·1-WLAN方案的架构图;图3为本发明实施例提供的访问运营商自有业务的方法的流程图;图4为本发明实施例提供的第一个实例的网络架构图;图5为本发明实施例提供的第二个实例的网络架构图;图6为本发明实施例提供的负责局域网接入认证的服务器同步终端认证信息给业务认证服务器的信令交互图;图7为本发明实施例提供的业务认证服务器向负责局域网接入认证的服务器查询终端的用户信息的信令交互图;图8为本发明实施例提供的第一种网络设备的结构图;图9为本发明实施例提供的第二种网络设备的结构图之一;图10为本发明实施例提供的第二种网络设备的结构图之二 ;图11为本发明实施例提供的网络系统的结构图。
具体实施例方式下面结合说明书附图,对本发明实施例提供的一种访问运营商自有业务的方法、设备及系统的具体实施方式
进行说明。首先对本发明实施例提供的访问运营商自有业务的方法的流程进行说明。本发明实施例提供的一种访问运营商自有业务的方法,如图3所示,具体包括以下步骤S301、局域网内第一网络设备接收到终端发送的其他网络的访问请求;S302、第一网络设备根据预先配置的运营商自有业务的目的地址和/或端口号信息,确定该访问请求是否为运营商自有业务的访问请求,若是,执行下述步骤S303,若否,执行下述步骤S307 ;S303、第一网络设备将该访问请求发送至运营商网络中第二网络设备;S304、第二网络设备根据负责对局域网进行接入认证的第一认证服务器的终端认证信息,确定发送该访问请求的终端是否为合法用户;若确定是合法用户,执行下述步骤S305,否则,执行下述步骤S306 ;
S305、转发该访问请求至对应的自有业务;S306、拒绝该访问请求。S307、结束本流程。本发明实施例提供的上述访问运营商自有业务的方法中,局域网可以是有线局域网,还可以是无线局域网;两种情况下,具体组网结构虽然不相同,但都可以使用上述方法来解决局域网中终端访问运营商自有业务的问题。在上述步骤S301中,第一网络设备是局域网内负责该局域网与其他网络(例如Internet或者运营商网络)互联转发的网络实体,例如,在局域网为有线局域网的情况下,该第一网络设备可以是宽带远程接入服务器(Broadband Remote Access Server, Bras)或者宽带网络网关(Broadband network gateway);在局域网为无线局域网的情况下,该第一网络设备可以为无线局域网接入控制器WLANAC或无线局域网接入点WLANAP。终端可以使用现有技术中已有的方法向运营商网络中的第一网络设备发起访问请求,例如终端需要访问运营商自有业务,通常会经过运营商设置在本地的业务代理(固定的IP代理或者Socket代理),向第一网络设备发起对运营商自有业务的访问请求,或者终端需要通过局域网访问Internet,会在完成局域网认证后,使用完成局域网认证过程中获取的用户标识和IP地址 ,向第一网络设备发起Internet的访问请求,对于第一网络设备来说,可能会收到终端发送的访问其他网络的请求,为了避免第一网络设备由于无法识别运营商自有业务的访问请求而丢弃该请求的数据包的问题,在上述步骤S301 S307的流程开始之前,在第一网络设备侧,预先设置了自有业务的目的IP地址和/或端口号,如果运营商网络拥有多个自有业务,那么预先配置的自有业务的目的IP地址和/或端口号,可以采用列表或其他数据形式按照不同的自有业务分别保存在第一网络设备中。这样,上述步骤S302中,当第一网络设备接收到终端发送的访问请求时,可以根据预先配置的自有业务的目的IP地址和/或端口号,与接收的访问请求进行比较,如果该访问请求中的目的地址、端口号与所保存的各自有业务目的IP地址和/或端口号进行匹配,如果能够匹配成功,则认为是运营商自有业务的访问请求,从而实现对运营商自有业务的访问请求的过滤。较佳地,上述步骤S303中,第一网络设备将访问运营商自有业务的请求,封装后经过网络隧道发送至运营商网络中的第二网络设备。较佳地,网络隧道可以采用现有的GRE隧道、承载网虚拟专用网络(VirtualPrivate Network, VPN)或其他网络隧道类型。本发明实施例中,第二网络设备是负责运营商网络与其他网络互联的网络设备,在具体实施时,可以是运营商网络中的业务网关或业务平台,例如无线应用协议(WirelessApplication Protocol, WAP)网关等,本发明实施例对此不做限定。 较佳地,上述步骤S304中,由于局域网内用户,如果是合法用户,通常需要完成局域网的认证,这样,第二网络设备就可以根据负责对所述局域网进行接入认证的第一认证服务器的终端认证信息,确定发送所述请求的终端是否为合法用户,继而确定是否要转发运营商自有业务的访问请求,这个过程具体可以采用下述两种方式实现第一种方式第二网络设备在接收第一网络设备发送的访问运营商自有业务的请求之后,在判断发送该访问请求的源地址未经验证时,由负责运营商自有业务访问认证的第二认证服务器向第一认证服务器发送携带有该访问请求的源地址的终端信息查询请求;第一认证服务器根据该查询请求,判断发送所述访问请求的终端是否为合法终端,如果是,则向第二认证服务器返回该终端的用户信息的查询结果,否则,向所述第二认证服务器返回该终端未通过认证的查询结果;第二网络设备根据第二认证服务器根据第二认证服务器返回的查询结果,确定该终端是否是合法用户。第二种方式在第二种方式中,在上述S301 S307执行之前或者同时,负责该局域网接入认证的第一认证服务器一旦在完成对终端的局域网接入认证之后,实时地将该完成终端接入认证的相关信息同步给负责运营商自有业务访问认证的第二认证服务器;第二认证服务器接收第一认证服务器实时同步过来的终端认证信息并保存,该终端认证信息为当前完成所述局域网的接入认证的终端的信息;这样,在上述步骤S304中,第二网络设备可以将该终端的相关信息与第二认证服务器保存的所有终端认证信息进行匹配,如果该终端为已完成局域网接入认证的终端,则确定该终端是否为合法用户,反之,则认为该终端属于未完成局域网接入认证的终端,是非法用户。第一认证服务器,可以是现有技术中能够为局域网完成接入认证的任何种类的服务器,例如Portal服务器、AAA服务器或者Radius服务器等,完成局域网接入认证的方法可以包括现有的Web Portal认证、EAP-SIM/AKA认证、受保护的可扩展的身份验证协议(TheProtected Extensible Authentication Protocol, PEAP)认证、以太网上的点对点协议(Point-to-Point Protocol over Ethernet,PPPoE)认证或其他常见的认证方法,在此,本发明实施例对第一认证服务器为何种认证服务器以及采用何种局域网接入认证方法并不作限定。为了更好地说明本发明实施例提供的上述访问运营商自有业务的方法,下面分别以WLAN中的移动终端访问运营商自有业务,以及有限局域网的终端访问运营商自有业务的实例来详细说明。第一个实例,如图4所示的网络架构图,该WLAN中包含AP和WLAN AC,其中WLANAC与Portal服务器或者AAA/Radius服务器相连。移动终端实现对运营商自有业务的访问的流程如下1、移动终端按照现有技术的各种认证方式,完成WLAN的接入认证;(如果是非法用户的移动终端,会在WLAN接入认证失败后或者不执行本步骤直接执行下述步骤2),认证方法可以采用基于Web Portal的认证、EAP-SM/AKA认证、PEAP认证、PPPoE认证或其它任何认证方法。认证完成后,WLAN认证服务器(Portal服务器或AAA/Radius服务器)获取终端用户标识(如移动台国际 ISDN 号码(Mobile Station international ISDN number,MSISDN))和用户IP地址,该移动终端可访问Internet业务。2、WLAN认证服务器将已完成 WLAN接入认证的终端的用户标识、用户IP地址发送到运营商网络的业务网关或业务平台(如WAP网关)的业务认证服务器(例如Radius服务器)上,业务认证服务器保存从WLAN认证服务器接收到的信息,并补充接入类型等其它相关信息。3、终端使用现有技术中的自有业务接入方式发起自有业务的访问请求;4、WLAN AC通过预配置的自有业务目的地址列表或端口号列表对IP数据进行过滤,将符合过滤条件的数据封装在隧道中并发往运营商网络的业务网关或业务平台。隧道形式可以为GRE隧道、承载网VPN或其它网络隧道类型。当存在不同类型的业务网关或业务平台,WLAN AC也可通过配置多个业务目的地址列表或端口号列表的方法,将不同类型的业务数据转发至不同的业务网关或业务平台。5、运营商网络的业务网关或业务平台,将访问请求中的终端标识和IP地址等用户信息,与业务认证服务器从WLAN认证服务器获取到的(或从WLAN认证服务器同步过来的)已完成WLAN接入认证的终端的用户标识、IP地址等用户信息进行匹配,如果匹配成功,则认为该终端为合法终端,将终端发送的请求数据包通过网络地址转换(Network AddressTranslation, NAT)网关进行地址转换(通常在自有业务无法识别局域网转发的数据包中地址的情况下,需要进行地址转换),然后转发至相应的自有业务,否则,拒绝该访问请求。第二个实例,如图5所示的网络架构图,终端通过ADSL、光纤等固网方式接入局域网,局域网中BRAS/BNG设备与AAA/Radius服务器相连。该终端实现对运营商自有业务的 访问的流程如下I'、终端完成局域网的接入认证(如果是非法用户使用的终端,会在局域网接入认证失败后或者不执行本步骤直接执行下述步骤2),认证方法可采用PPPoE、EAP认证或其它常见认证方法。认证完成后,负责局域网接入认证的固网认证服务器(AAA/Radius服务器)获取用户标识和用户IP地址,该用户可访问Internet业务;2'、固网认证服务器将已完成局域网接入认证的终端的用户标识、用户IP地址发送到运营商网络的业务网关或业务平台(如WAP网关)的业务认证服务器(例如Radius服务器)上,业务认证服务器保存从固网认证服务器接收到的信息,并补充接入类型等其它相关信息。3'、终端使用现有技术中的自有业务接入方式发起运营商自有业务的访问请求;4/、局域网中的BRAS/BNG通过预配置的自有业务目的地址列表或端口号列表对IP数据进行过滤,将符合过滤条件的数据封装在隧道中并发往运营商网的业务网关或业务平台。当存在不同类型的业务网关或业务平台,BRAS/BNG也可通过配置多个业务目的地址列表或端口号列表的方法,将不同类型的业务数据转发至不同的业务网关或业务平台。5'、运营商网络的业务网关或业务平台,将访问请求中的终端标识和IP地址等用户信息,与业务认证服务器从固网认证服务器获取到的(或从固网认证服务器同步过来的)已完成固网局域网接入认证的终端的用户标识、IP地址等用户信息进行匹配,如果匹配成功,则认为该终端为合法终端,将终端发送的请求数据包通过网络地址转换网关进行地址转换,然后转发至相应的自有业务,否则,拒绝该访问请求。在上述两个实例中,如果运营商网络中存在同一个类型自有业务对应的业务网关或者业务平台有多个的情况,在上述步骤2和2'中,在接入认证过程在,负责局域网接入认证的服务器(如AAA/Radius服务器)可以将业务网关或业务平台的地址发送到局域网中的接入控制器/接入服务器(如WLANAC、BRAS、BNG等),负责局域网接入认证的服务器可以根据负载平衡的原则为用户选择业务网关或者业务平台,例如,可轮转为不同用户选择不同的业务网关或业务平台地址发送给局域网中的接入控制器/接入服务器。接入认证服务器向业务网关或业务平台发送地址的方法见图6,当用户局域网接入认证成功后,负责局域网接入认证的服务器会向运营商网络的业务认证服务器同步认证成功消息,在该认证成功消息中携带所选择的运营商网络的业务网关或业务平台的IP地址。如果WLAN AC、BRAS/BNG与接入认证服务器间使用Radius协议,此消息可采用接入接受(Access Accept)消息。另外,在上述步骤2和2'中,也可以由运营商网络的业务网关或业务平台在收到终端发送的未知IP数据包(该数据包的源地址未经过认证)后,由运营商网络的业务认证服务器主动向负责局域网认证的服务器发送查询请求,以获取发送该数据包的终端的相关用户信息,负责局域网认证的服务器根据局域网认证结果,如果该源地址对应的终端经过认证,则向业务认证服务器返回该终端的用户信息(例如用户标识等),否则,向其返回终端未通过认证的查询结果,业务认证服务器根据查询结果以确认用户是否为合法用户,具体的流程详见图7。基于同一发明构思,本发明实施例还提供了对应的网络设备以及网络系统,由于这些网络设备和系统所解决问题的原理与前述访问运营商自有业务的方法相似,因此该网络设备和系统的实施可以参见前述方法的实施,重复之处不再赘述。
本发明实施例提供的第一种网络设备,位于局域网中,如图8所示,该网络设备,包括接收单元801,用于接收终端发送的其他网络的访问请求;过滤单元802,用于根据预先配置的运营商自有业务的目的地址和/或端口号信息,确定接收单元801接收的该访问请求是否为访问运营商自有业务的请求;发送单元803,用于在所述过滤单元802确定所述请求为访问运营商自有业务的请求时,将该访问请求发送至运营商网络中第二网络设备。进一步地,上述发送单元803,具体用于在所述过滤单元确定所述访问请求为访问运营商自有业务的请求时,将该访问请求封装后经过网络隧道发送至所述第二网络设备。本发明实施例提供的第二种网络设备,位于局域网中,如图9所示,包括接收单元901,用于接收局域网中的第一网络设备转发的运营商自有业务的访问请求;认证单元902,用于根据负责对所述局域网进行接入认证的第一认证服务器的终端认证信息,确定发送所述请求的终端是否为合法用户;发送单元903,用于在认证单元902确定是时,转发所述请求至对应的自有业务;否则,拒绝所述访问请求。进一步地,上述网络设备的认证单元902,具体用于根据第一认证服务器实时同步给第二认证服务器的终端认证信息,判断该终端是否为合法用户;所述终端认证信息包含已完成所述局域网的接入认证的所有终端的信息。或者进一步地,上述网络设备,如图10所示,还包括通知单元904,用于在所述接收单元901接收到所述第一网络设备发送的访问运营商自有业务的请求之后,在判断发送该访问请求的源地址未经验证时,通知负责运营商自有业务访问认证的第二认证服务器向所述第一认证服务器发送携带有所述访问请求的源地址的终端信息查询请求,以确认发送所述访问请求的终端是否为合法终端;对应地,认证单元902,具体用于根据所述第二认证服务器从第一认证服务器获取到的查询结果,确定该终端是否为合法用户。本发明实施例提供的网络系统,如图11所示,包括第一网络设备1101,位于局域网中,用于当接收到终端发送的其他网络的访问请求时,根据预先配置的运营商自有业务的目的地址和/或端口号信息,确定是否为运营商自有业务的访问请求,若是,将所述访问请求发送至第二网络设备1102 ;第二网络设备1102,位于运营商网络中,用于根据负责对所述局域网进行接入认证的第一认证服务器1103的终端认证信息,确定发送所述访问请求的终端是否为合法用户;若确定是,则转发所述访问请求至对应的自有业务;否则,拒绝所述访问请求;第一认证服务器1103,用于对终端进行局域网的接入认证。进一步地,本发明实施例提供的上述系统,如图11所示,还包括第二认证服务器1104,用于在第二网络设备1102接收到第一网络设备1101发送的访问运营商自有业务的请求之后,在判断发送该访问请求的源地址未经验证时,向所述第一认证服务器发送携带有所述访问请求的源地址的终端信息查询请求;并接收第二认证服务器根据所述查询请求返回的查询结果;相应地,上述第二网络设备1102,具体用于当接收到携带有该终端的用户信息的查询结果时,确定该终端为合 法用户,当接收到该终端未通过认证的查询结果,则确定该终端为非法用户。或者第二认证服务器1104,用于接收第一认证服务器在完成对终端进行局域网的接入认证后实时同步过来的终端认证信息并保存,所述终端认证信息为当前完成所述局域网的接入认证的终端的信息;相应地,第二网络设备1102,具体用于根据所述第二认证服务器保存的所有终端认证信息,判断该终端是否为合法用户。较佳地,上述第一网络设备1101为有线局域网中的宽带远程接入服务器(BRAS)或宽带网络网关(BNG),或者为WLAN中的无线局域网接入控制器(WLANAC)或无线局域网接入点;第二网络设备1102为业务网关或业务平台。第一认证服务器1103为门户(Portal)服务器、验证、授权和帐户(AAA)服务器或者远程认证拨号用户服务(Radius)服务器;第二认证服务器1104为Radius服务器。本发明实施例提供的上述网络系统中,第二认证服务器可以集成在运营商网络的业务平台或业务网关中,当然,第二网络设备和第二认证服务器也可以采用两个独立的网络实体实现,本发明实施例对此不做限定。本发明实施例提供的访问运营商自有业务的方法、设备及系统,局域网中的第一网络设备根据自身配置的自有业务的目的地址和/或端口号信息,过滤出终端发送的对运营商自有业务的访问请求,将这些访问请求转发给运营商网络的第二网络设备,第二网络设备根据负责对局域网进行接入认证的第一认证服务器的终端认证信息,确定该终端是否是经过局域网认证的合法终端,并转发合法终端的访问请求给自有业务,可以实现局域网通过接入认证的合法终端对自有业务的自由访问,并且,由于该方案不涉及终端侧流程的改进,终端可以采用任何现有的接入方式完成局域网的接入以及对自有业务的访问,因此,可以普遍适用于现有任何存量终端。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含 这些改动和变型在内。
权利要求
1.一种访问运营商自有业务的方法,其特征在于,包括 当局域网内第一网络设备接收到终端发送的其他网络的访问请求时,根据预先配置的运营商自有业务的目的地址和/或端口号信息,确定是否为运营商自有业务的访问请求,若是,将所述访问请求发送至运营商网络中第二网络设备; 第二网络设备根据负责对所述局域网进行接入认证的第一认证服务器的终端认证信息,确定发送所述访问请求的终端是否为合法用户; 若确定是,则转发所述访问请求至对应的自有业务;否则,拒绝所述访问请求。
2.如权利要求1所述的方法,其特征在于,第二网络设备根据第一认证服务器的终端认证信息,确定发送所述请求的终端是否为合法用户,包括 第二网络设备在接收所述第一网络设备发送的所述访问请求之后,在判断发送该访问请求的源地址未经验证时,由负责运营商自有业务访问认证的第二认证服务器向所述第一认证服务器发送携带有所述访问请求的源地址的终端信息查询请求; 所述第一认证服务器根据所述查询请求,判断发送所述访问请求的终端是否为合法终端,如果是,则向所述第二认证服务器返回该终端的用户信息的查询结果,否则,向所述第二认证服务器返回该终端未通过认证的查询结果; 所述第二网络设备根据第二认证服务器返回的查询结果,确定该终端是否为合法用户。
3.如权利要求1所述的方法,其特征在于,第二网络设备根据第一认证服务器的终端认证信息,确定发送所述请求的终端是否为合法用户,包括 负责运营商自有业务访问认证的第二认证服务器接收第一认证服务器在完成对终端进行局域网的接入认证后实时同步过来的终端认证信息并保存,所述终端认证信息为当前完成所述局域网的接入认证的终端的信息; 所述第二网络设备根据所述第二认证服务器保存的所有终端认证信息,判断该终端是否为合法用户。
4.如权利要求1-3任一项所述的方法,其特征在于,第一网络设备将所述运营商自有业务的访问请求发送至运营商网络中第二网络设备,包括 第一网络设备将所述运营商自有业务的访问请求,封装后经过网络隧道发送至所述第二网络设备。
5.如权利要求1-3任一项所述的方法,其特征在于,第二网络设备转发所述访问请求至对应的自有业务,具体包括 第二网络将所述访问请求进行地址转换后转发至对应的自有业务。
6.如权利要求1-3任一项所述的方法,其特征在于,第一网络设备为有线局域网中的宽带远程接入服务器BRAS或宽带网络网关BNG ;或者为无线局域网WLAN中的无线局域网接入控制器WLAN AC或无线局域网接入点WLANAP ; 所述第二网络设备为业务网关或业务平台。
7.如权利要求2或3所述的方法,其特征在于,所述第一认证服务器为门户Portal服务器、验证、授权和帐户AAA服务器或者远程认证拨号用户服务Radius服务器; 所述第二认证服务器为Radius服务器。
8.—种网络设备,其特征在于,包括接收单元,用于接收终端发送的其他网络的访问请求; 过滤单元,用于根据预先配置的运营商自有业务的目的地址和/或端口号信息,确定所述接收单元接收的所述访问请求是否为访问运营商自有业务的请求; 发送单元,用于在所述过滤单元确定所述访问请求为访问运营商自有业务的请求时,将所述访问请求发送至运营商网络中第二网络设备。
9.如权利要求8所述的设备,其特征在于,所述发送单元,具体用于在所述过滤单元确定所述访问请求为访问运营商自有业务的请求时,将所述访问请求封装后经过网络隧道发送至所述第二网络设备。
10.一种网络设备,其特征在于,包括 接收单元,用于接收局域网中的第一网络设备转发的运营商自有业务的访问请求; 认证单元,用于根据负责对所述局域网进行接入认证的第一认证服务器的终端认证信息,确定发送所述访问请求的终端是否为合法用户; 发送单元,用于在认证单元确定是时,转发所述访问请求至对应的自有业务;否则,拒绝所述访问请求。
11.如权利要求10所述的设备,其特征在于,还包括通知单元,用于在所述接收单元接收到所述第一网络设备发送的访问运营商自有业务的请求之后,在判断发送该访问请求的源地址未经验证时,通知负责运营商自有业务访问认证的第二认证服务器向所述第一认证服务器发送携带有所述访问请求的源地址的终端信息查询请求,以确认发送所述访问请求的终端是否为合法终端; 所述认证单元,具体用于根据所述第二认证服务器从第一认证服务器获取到的查询结果,确定该终端是否为合法用户。
12.如权利要求10所述的设备,其特征在于,所述认证单元,具体用于根据第一认证服务器实时同步给第二认证服务器的终端认证信息,判断该终端是否为合法用户;所述终端认证信息包含已完成所述局域网的接入认证的所有终端的信息。
13.一种网络系统,其特征在于,包括 第一网络设备,位于局域网中,用于当接收到终端发送的其他网络的访问请求时,根据预先配置的运营商自有业务的目的地址和/或端口号信息,确定是否为运营商自有业务的访问请求,若是,将所述访问请求发送至第二网络设备; 第二网络设备,位于运营商网络中,用于根据负责对所述局域网进行接入认证的第一认证服务器的终端认证信息,确定发送所述访问请求的终端是否为合法用户;若确定是,则转发所述访问请求至对应的自有业务;否则,拒绝所述访问请求; 第一认证服务器,用于对终端进行局域网的接入认证。
14.如权利要求13所述的系统,其特征在于,还包括第二认证服务器,用于在所述第二网络设备接收到所述第一网络设备发送的访问运营商自有业务的请求之后,在判断发送该访问请求的源地址未经验证时,向所述第一认证服务器发送携带有所述访问请求的源地址的终端信息查询请求;并接收第二认证服务器根据所述查询请求返回的查询结果; 所述第二网络设备,具体用于当接收到携带有该终端的用户信息的查询结果时,确定该终端为合法用户,当接收到该终端未通过认证的查询结果,则确定该终端为非法用户。
15.如权利要求13所述的系统,其特征在于,还包括第二认证服务器,用于接收第一认证服务器在完成对终端进行局域网的接入认证后实时同步过来的终端认证信息并保存,所述终端认证信息为当前完成所述局域网的接入认证的终端的信息; 所述第二网络设备,具体用于根据所述第二认证服务器保存的所有终端认证信息,判断该终端是否为合法用户。
16.如权利要求13-15任一项所述的系统,其特征在于,所述第一网络设备为有线局域网中的宽带远程接入服务器BRAS或宽带网络网关BNG,或者为无线局域网WLAN中的无线局域网接入控制器WLAN AC或无线局域网接入点WLAN AP ; 所述第二网络设备为业务网关或业务平台。
17.如权利要求13或15所述的系统,其特征在于,所述第一认证服务器为门户Portal服务器、验证、授权和帐户AAA服务器或者远程认证拨号用户服务Radius服务器; 第二认证服务器为Radius服务器。
全文摘要
本发明实施例提供了一种访问运营商自有业务的方法、设备及系统,局域网中的第一网络设备根据自身配置的自有业务的目的地址和/或端口号信息,过滤出终端发送的自有业务的访问请求,将这些访问请求转发给运营商网络的第二网络设备,第二网络设备根据负责对局域网进行接入认证的第一认证服务器的终端认证信息,确定该终端是否是经过局域网认证的合法终端,并转发合法终端的访问请求给自有业务,本发明可以实现局域网通过接入认证的合法终端对自有业务的自由访问,并且可以普遍适用于现有任何存量终端。
文档编号H04W84/12GK103052064SQ201110309988
公开日2013年4月17日 申请日期2011年10月13日 优先权日2011年10月13日
发明者段晓东, 侯志强, 房雅丁 申请人:中国移动通信集团公司