融合网络中隧道建立的方法及系统

IPC分类号 : H04W76/02,H04L29/06,H04L12/46

申请号

CN201010551317.6

可选规格: 数量

库存1件

确认取消

￥30000; 库存1件

首页

立即咨询

看了又看

专利摘要

本发明公开了一种融合网络中隧道建立的方法及系统，用户终端通过WLANAN的接入认证流程接入移动通信网络和WLAN融合网络中后，在访问移动通信网络的PS域业务时，在向隧道服务器发起的隧道建立请求中包含WLAN认证指示信息；隧道服务器收到隧道建立请求后，如果其中包含WLAN认证指示信息，则直接根据PS域业务是否已授权访问判断是否允许用户建立隧道。采用本发明，提高了隧道建立的效率，降低了隧道建立的复杂度，同时也保证了隧道建立的安全性。

说明书

技术领域

本发明涉及通信技术领域，尤其涉及一种融合网络中隧道建立的方法及系统。

技术背景

背景技术

目前，随着WCDMA（Wideband Code Division Multiple Access，宽带码分多址技术）/CDMA2000，特别是TD-SCDMA（Time Division-Synchronous Code Division Multiple Access，时分同步码分多址）产业链的不断成熟，以及3G（The 3rd Generation，第三代移动通信技术）用户数量不断增长，3G移动通信应用业务日益丰富，移动网络的承载能力与大流量、高带宽的业务需求之间的矛盾日益突出。移动用户的分布及业务使用特点往往在特定的商业、交通及办公区域，移动用户非常集中，平均及瞬间流量大。3G技术难以支撑大量的数据用户多媒体应用的需求。

WLAN（Wireless Local Area Networks，无线局域网）与3G是互补性很强的两种技术。3G作为一种移动通信技术，具有覆盖范围广、支持高速移动性的优点，但速率相对较低；而WLAN相对速率高，但覆盖范围窄、支持有限的移动性。WLAN有较高的带宽，弥补了3G速率较低的不足；WLAN相对能够支持较多的数据用户，弥补3G用户容量的不足；具有WLAN功能的终端设备普及，为3G卸载空口压力到WLAN提供了极大的方便；WLAN设备成本低，在部署3G的同时在适当场所加以补充WLAN，则可以获得事半功倍的效果。因此，融合技术越来越受到关注，就WLAN与3G融合来讲，3GPP、3GPP2等组织都有针对性的研究。

如图1所示，终端在接入3G/WLAN融合网络时，首先选择一个WLAN AN（WLAN Access Network，WLAN接入网络）进行关联，并根据终端的IMSI（International Mobile Subscriber Identification Number，国际移动用户识别码）构造NAI（Network Access Identifier，网络访问标识），然后发起接入融合网络的EAP（Extensible Authentication Protocol，扩展认证协议）认证与授权流程，终端与AAA Server（Authentication、Authorization、Accounting Server，认证、授权和计费服务器）之间的鉴权方法一般使用EAP-AKA（Authentication and Key Agreement，密钥协商协议）或EAP-SIM（Subscriber Identity Modules，用户识别模块）算法。WLAN AN负责转发终端和3GPP（第三代合作伙伴计划）AAA Server之间的鉴权和授权的消息。如果UE通过认证，则通过DHCP（Dynamic Host Configuration Protocol，动态主机配置协议）服务器获取WLAN网络分配的IP地址以及DNS（Domain Name System，域名系统）服务器地址，UE可以使用该IP地址直接访问Internet。

UE在接入3G/WLAN融合网络后，当需要访问3G网络的PS域（Packet Switched Domain，分组交换域）业务时，则要发起PS接入流程。具体地，UE根据要访问的W-APN（WLAN-Access Point Name，WLAN接入点名）向DNS服务器查询获取隧道服务器的IP地址，然后开始UE与隧道服务器之间的隧道建立流程。UE与隧道服务器之间的接入认证流程仍然采用EAP认证流程，具体鉴权协议为EAP-AKA或EAP-SIM，该隧道接入认证流程与UE接入WLAN AN的接入认证流程相同。

根据上述描述，现有技术中存在如下技术问题：终端在3G/WLAN融合网络中通过了与WLAN AN的EAP认证流程后，在访问PS域业务时，仍需要进行新一轮的EAP认证流程，这样，使得隧道建立过程较为复杂，隧道建立的效率不高。

发明内容

本发明解决的技术问题是提供一种融合网络中隧道建立的方法及系统，提高终端在3G/WLAN融合网络中隧道建立的效率。

为解决上述技术问题，本发明提供了一种融合网络中隧道建立的方法，

用户终端通过无线局域网接入网络（WLAN AN）的接入认证流程接入移动通信网络和WLAN融合网络中后，在访问所述移动通信网络的分组交换（PS）域业务时，在向隧道服务器发起的隧道建立请求中包含WLAN认证指示信息；

所述隧道服务器收到隧道建立请求后，如果其中包含WLAN认证指示信息，则直接根据所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。

进一步地，如果所述隧道服务器收到的隧道建立请求中不包含WLAN认证指示信息，则所述隧道服务器向所述终端发起安全认证流程。

进一步地，所述隧道建立请求中还包含用户标识、请求访问的无线局域网接入点名（W-APN）；

所述隧道服务器收到所述隧道建立请求后，根据所述用户标识查找所述用户的授权信息，并根据查找到的所述用户的授权信息中包含的授权的APN列表，判断所述用户请求访问的W-APN是否在授权的APN列表中，如果在授权的APN列表中，则判断所述PS域业务已授权访问，并向所述终端返回隧道建立成功响应。

进一步地，如果所述终端请求访问的W-APN不在授权的APN列表中，则所述隧道服务器判断所述PS域业务未授权访问，则不允许所述用户建立隧道，并向所述终端返回隧道建立失败响应。

进一步地，所述隧道服务器收到所述隧道建立请求后，在根据所述用户标识查找所述用户的授权信息时，首先根据所述用户标识查找本地是否保存有所述用户的授权信息，如果本地没有保存，则向所述移动通信网络的认证、授权和计费（AAA）服务器获取所述用户的授权信息，并将获取到的所述用户的授权信息保存到本地。

本发明还提供了一种融合网络中隧道建立的系统，应用于终端，所述终端包括WLAN接入模块，用于通过WLAN AN的接入认证流程接入移动通信网络和WLAN融合网络；

所述终端还包括隧道建立请求模块，用于在所述WLAN接入模块通过WLAN AN的接入认证流程接入所述融合网络中后，访问移动通信网络的PS域业务时，向隧道服务器发起隧道建立请求，并在所述隧道建立请求中包含WLAN认证指示信息。

进一步地，所述隧道建立请求模块还用于，在所述隧道建立请求中包含用户标识、请求访问的W-APN。

本发明还提供了一种融合网络中隧道建立的系统，应用于隧道服务器，所述系统包括：

隧道服务器中的隧道建立请求处理模块，用于收到终端访问移动通信网络的PS域业务时发起的隧道建立请求时，如果其中包含WLAN认证指示信息，则获知所述终端已经通过LAN AN的接入认证流程，则直接根据所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。

进一步地，所述隧道建立请求处理模块还用于，如果收到的隧道建立请求中不包含WLAN认证指示信息，则向所述终端发起安全认证流程。

进一步地，所述隧道建立请求处理模块还用于，收到所述隧道建立请求后，根据所述隧道建立请求中包含的所述用户标识在本地查找或者向所述移动通信网络的AAA服务器获取所述用户的授权信息，并根据所述用户的授权信息中包含的授权的APN列表，判断所述用户请求访问的W-APN是否在授权的APN列表中，如果在授权的APN列表中，则判断所述PS域业务已授权访问，并向所述终端返回隧道建立成功响应；如果不在授权的APN列表中，则不允许所述用户建立隧道，并向所述终端返回隧道建立失败响应。

本发明对3G/WLAN融合网络中原有隧道建立流程进行了简化和优化，不再向终端重复发起安全认证请求，提高了隧道建立的效率，降低了隧道建立的复杂度，同时也保证了隧道建立的安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为WLAN与3G融合网络结构示意图；

图2为依据本发明实施例的隧道建立的交互流程图；

图3为依据本发明实施例的隧道服务器处理隧道建立请求的流程图。

具体实施方式

本发明的核心思想在于，在终端需要访问PS域业务，向隧道服务器发起隧道建立请求时，通过在请求中增加特定的字段来通知隧道服务器该用户已通过了与WLAN AN的EAP认证流程；隧道服务器通过该字段即可判断是否需要向用户发起EAP认证流程。如果终端用户已经通过WLAN AN的接入认证流程，则不需要再发起新一轮的EAP认证流程，同时向3GPP AAA获取该用户的授权信息。隧道服务器将隧道建立请求中的W-APN与用户授权信息中允许访问的APN列表进行比较，如果请求的APN被授权访问，则隧道服务器同意建立隧道，向终端返回隧道建立响应，并将安全隧道参数以及IP等信息一起返回。

基于上述思想，本发明提出一种融合网络中隧道建立的方法，具体采用如下技术方案：

终端通过WLAN AN的接入认证流程接入移动通信网络和WLAN融合网络中后，访问3G网络的PS域业务时，向隧道服务器发起隧道建立请求，并在所述隧道建立请求中包含WLAN认证指示信息；

所述隧道服务器收到隧道建立请求后，如果其中包含WLAN认证指示信息，则直接根据所述PS域业务是否已授权访问判断是否允许所述用户建立隧道。

其中，所述移动通信网络可以是2G/3G网络，也可以是其他移动通信网络。

进一步地，如果所述隧道服务器收到的隧道建立请求中不包含WLAN认证指示信息，则所述隧道服务器向所述终端发起安全认证流程。

其中，所述隧道建立请求中还包括用户标识、请求访问的W-APN；

进一步地，如果所述用户请求访问的W-APN不在授权的APN列表中，则不允许所述用户建立隧道，并向所述终端返回隧道建立失败响应。

进一步地，所述隧道服务器收到所述隧道建立请求后，首先根据所述用户标识查找本地是否保存有所述用户的授权信息，如果本地没有保存，则向所述移动通信网络的AAA Server获取所述用户的授权信息，并将获取的所述用户的授权信息保存到本地。

进一步地，所述隧道服务器在完成所述终端的隧道建立后，通知所述移动通信网络的AAA Server所述终端已接入PS域并且访问所述W-APN。

进一步地，所述隧道服务器在完成所述终端的隧道建立后，通知所述终端的HLR（Home Location Register，归属位置寄存器）对所述用户的信息进行更新。

为了便于阐述本发明，以下将结合附图及具体实施例对本发明技术方案的实施作进一步详细描述。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。

图1示出了WLAN与3GPP融合网络下，终端以及各网络节点之间的连接示意图。其中，终端为具有WLAN和3G接入的双模终端，并且支持SIP协议栈。终端可以通过WLAN接入网络（WLAN AN）直接访问Internet，也可以由隧道服务器通过建立隧道访问3G业务。隧道服务器是用户通过WLAN接入到3G PS域的网关，主要功能为隧道建立、分组路由、地址解析以及IP地址绑定等。同时在本发明中，隧道服务器还需有支持SIP协议（Session Initiation Protocol，会话发起协议），以及保存用户授权信息的功能。3GPP AAA主要用于EAP认证，同时向隧道服务器提供用户的授权信息以及密钥套件。HLR则主要用于存储用户鉴权信息以及授权信息，并在AAA需要时提供给AAA。

图2示出了本发明实施例的建立隧道时各网元之间的交互流程图。如图2所示，以3G和WLAN的融合网络为例，该流程主要包括以下步骤：

步骤1，终端首先发起到WLAN AN的接入流程；

该流程中包含了EAP-AKA或EAP-SIM鉴权流程，具体流程可参照现有技术，本文中不再详细叙述该鉴权流程。

步骤2，终端成功接入WLAN AN后，如果要访问3GPS业务，则向隧道服务器发起隧道建立请求；

本发明中，隧道建立请求通过SIP Register（SIP注册）消息发送给隧道服务器，其中携带了用户标识、请求访问的W-APN，以及WLAN-Ind字段。其中，WLAN-Ind为用户自定义字段，用于通知隧道服务器该终端用户已经通过WLAN AN的安全认证。

步骤3，隧道服务器在收到终端的隧道建立请求后，根据WLAN-Ind字段判断终端已完成WLAN AN的安全认证流程，则根据终端的用户标识查找该用户的授权信息，首先判断本地是否保存有该用户的授权信息，如果本地保存有，则直接执行步骤7，否则，可通过下述可选步骤4和步骤5向3GPP AAA获取该用户的授权信息；

该步骤中，如果请求消息中含有WLAN-Ind字段，则认为终端用户已经通过了WLAN AN的安全认证，隧道服务器不再向终端发起EAP认证；否则，隧道服务器将向终端发起EAP认证流程，同时还进行隧道建立的常见流程，此处对EAP流程及隧道建立的常见流程不再进行赘述。

步骤4，隧道服务器根据终端的用户标识，首先在本地查找该用户的授权信息，如果本地未存储该用户授权信息，则向3GPP AAA发起请求（如通过接入请求access request），获取用户授权信息。

步骤5，3GPP AAA返回该用户的授权信息（如通过接入接受access accept），主要包括MSISDN（Mobile Subscriber ISDN number，移动用户号码）、APN、QoS（Quality of Service，服务质量）等，以及终端接入WLAN AN时生成的密钥套件。

步骤6，隧道服务器将获取到用户的授权信息保存到本地。

步骤7，隧道服务器将终端隧道建立请求中携带的请求访问的W-APN与用户授权访问的APN进行比较，判断用户请求访问的W-APN是否已被授权访问，如果请求访问的W-APN存在于允许访问的APN列表中，则隧道服务器允许终端的隧道建立请求。

步骤8，隧道服务器在完成对终端用户的安全认证以及隧道建立后，通知3GPP AAA该终端已接入3G PS域并且访问W-APN，同时AAA还需通知HLR对该用户信息进行更新。

步骤9，隧道服务器生成对应该APN的隧道参数，安全联盟参数，分配给终端用户远端IP地址，并与终端的本地IP绑定，同时将这些参数连同隧道建立结果一起，通过200 OK消息发送给终端。

步骤10、终端在收到200 OK消息后，获取隧道参数、安全联盟参数以及隧道服务器分配的远端IP地址，用于终端的隧道建立。在隧道建立成功之后，终端就可以访问3G PS域业务了。终端和隧道服务器在终端访问3G业务的过程中，数据加密和完整性保护的密钥都沿用终端接入WLAN AN时产生的安全密钥套件。

图3示出了隧道服务器在收到终端的隧道建立请求后，对隧道建立请求进行处理的具体流程。参见图3，该流程具体描述如下：

步骤一，隧道服务器收到终端的隧道建立请求；

步骤二，从终端的请求中解析WLAN-Ind字段，如果终端接入WLAN-AN时已通过安全认证，则不再向终端发起安全认证请求；

步骤三，查看本地是否已保存该用户对应的授权信息，如果已保存，则直接执行步骤六，否则，执行下一步骤四；

步骤四，如果隧道服务器本地没有保存该用户对应的授权信息，则向3GPP AAA发起请求，要求获取该用户授权信息；

步骤五，隧道服务器收到3GPP AAA返回的用户授权信息后，在本地保存；

步骤六，隧道服务器根据用户的授权信息，判断用户请求访问的W-APN是否在授权的APN列表中；如果是，则执行下一步骤七，否则，向终端返回相应的授权处理结果；

步骤七，向终端返回隧道建立成功的响应。

此外，本发明实施例中还提供了一种融合网络中隧道建立的系统，应用于终端，包括WLAN接入模块，该WLAN接入模块用于通过WLAN AN的接入认证流程接入移动通信网络和WLAN融合网络；

进一步地，所述隧道建立请求模块还用于，在所述隧道建立请求中包含用户标识、请求访问的W-APN。

此外，本发明还提供了一种融合网络中隧道建立的系统，应用于隧道服务器，所述系统包括：

进一步地，所述隧道建立请求处理模块还用于，如果收到的隧道建立请求中不包含WLAN认证指示信息，则向所述终端发起安全认证流程。

以上仅为本发明的优选实施案例而已，并不用于限制本发明，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

融合网络中隧道建立的方法及系统专利购买费用说明

Q：办理专利转让的流程及所需资料

A：专利权人变更需要办理著录项目变更手续，有代理机构的，变更手续应当由代理机构办理。

1：专利变更应当使用专利局统一制作的“著录项目变更申报书”提出。

2：按规定缴纳著录项目变更手续费。

3：同时提交相关证明文件原件。

4：专利权转移的，变更后的专利权人委托新专利代理机构的，应当提交变更后的全体专利申请人签字或者盖章的委托书。

Q:专利著录项目变更费用如何缴交

A：（1）直接到国家知识产权局受理大厅收费窗口缴纳,（2）通过代办处缴纳，（3）通过邮局或者银行汇款,更多缴纳方式

Q：专利转让变更，多久能出结果

A：著录项目变更请求书递交后，一般1-2个月左右就会收到通知，国家知识产权局会下达《转让手续合格通知书》。

动态评分

0.0

没有评分数据

没有评价数据