一種通信管理方法及通信系統的制作方法

文檔序號：7998742閱讀：310來源：國知局

一種通信管理方法及通信系統的制作方法
【專利摘要】本發明公開了一種通信管理方法及通信系統，用戶終端認證通過后或用戶終端的用戶信息變更時，AAA服務器將包含有用戶終端的授權信息的用戶信息發送給該用戶終端對應的業務控制服務器，業務控制服務器則根據該用戶信息對該用戶終端業務策略進行控制；實現過程簡單，易于擴展，且可提高處理效率和降低業務控制服務器的壓力；同時，本發明提供的上述方案中，AAA服務器可單獨的向業務控制服務器下發用戶消息，并不要求必須存在認證服務器，因此可提供更廣泛的應用，為運營商提供更靈活的業務開展方式，能進一步提高處理效率。
【專利說明】一種通信管理方法及通信系統

【技術領域】
[0001] 本發明涉及通信領域，具體涉及一種通信管理方法及通信系統。

【背景技術】
[0002] 隨著通信市場日益開放，電信業務正向數據化、寬帶化、綜合化、個性化飛速發展，各運營商之間的競爭日趨激烈。而競爭的基本點就在于接入資源的競爭，如何快速、有效、靈活、低成本提供客戶所需要的各種業務成為運營商首要考慮的問題。WLAN接入方式在一定程度上滿足了運營商的需要，WLAN是英文Wireless LAN的縮寫，就是無線局域網的意思。無線以太網技術是一種基于無線傳輸的局域網技術，與有線網絡技術相比，具有靈活、建網迅速、個人化等特點。將這一技術應用于電信網的接入網領域，能夠方便、靈活地為用戶提供網絡接入，適合于用戶流動性較大、有數據業務需求的公共場所、高端的企業及家庭用戶、需要臨時建網的場合以及難以采用有線接入方式的環境等。
[0003] WLAN系統一般由AC (接入控制器)和AP (無線接入點）組成。WLAN系統按照組網方式可分為胖AP組網與瘦AP組網兩種。胖AP即AP充當無線路由器，單獨組網自身不需要AC (無線控制器）就能使用。瘦AP即無線網橋，它需要AC控制才能使用，其實就是AC 的天線。在現網絡中為了減少對WLAN接入網絡的改造，一般會采用AC和BNG (用戶接入網關服務器）分離的接入方案，在AC上直掛或旁掛BNG設備。這種AC和BNG分離的部署場景中，AC作為認證服務器，負責接入用戶的認證和接入通道的安全控制。BNG作為業務控制點，負責統計用戶流量和在線時長以用于計費，并控制用戶簽約帶寬、服務質量和業務策略。認證點和業務控制點之間是運營商管理的網絡，一般安全可行，而且網絡拓撲穩定，所以認證點和業務控制點分離部署的方式是可行的，認證點和業務控制點分離的應用場景將越來越多。但這種AC和BNG分離的部署場景中，將BNG充當Radius Proxy，需要對BNG做較大的改動，且BNG充當Radius Proxy需要重新解包、封包，通信實現過程復雜，處理效率低，不利于擴展。

【發明內容】

[0004] 本發明要解決的主要技術問題是，提供一種通信管理方法及通信系統，解決現有認證點和業務控制點分離部署時，通信實現過程復雜，效率低且不易擴展的問題。
[0005] 為解決上述技術問題，本發明提供一種通信管理方法，所述通信管理方法包括：
[0006] 用戶終端認證通過后或用戶終端的用戶信息變更時，AAA服務器將所述用戶終端的用戶信息發送給所述用戶終端對應的業務控制服務器，所述用戶信息包括用戶終端的授權信息；
[0007] 所述業務控制服務器根據所述用戶信息對所述用戶終端的業務進行策略進行控制。
[0008] 在本發明的一種實施例中，所述通信管理方法還包括：
[0009] 所述用戶終端下線時，所述AAA服務器向所述業務控制服務器發送用戶下線指令；
[0010] 所述業務控制服務器接收到所述用戶下線指令后，結束對所述用戶終端的業務策略的控制。
[0011] 在本發明的一種實施例中，所述用戶終端的授權信息包括用戶終端的地址信息、和/或用戶終端的標識信息、和/或用戶終端的業務策略信息。
[0012] 在本發明的一種實施例中，所述業務控制服務器根據所述用戶信息對所述用戶終端的業務進行策略控制包括：
[0013] 所述業務控制服務器根據所述用戶信息向其對應的轉發面下發所述用戶終端的用戶轉發信息表；
[0014] 所述業務控制服務器結束對所述用戶終端的業務的策略控制包括：
[0015] 所述業務控制服務器刪除其對應的轉發面中所述用戶終端的用戶轉發信息表。
[0016] 在本發明的一種實施例中，所述方法還包括：所述業務控制服務器根據所述用戶信息對所述用戶終端的業務進行策略進行控制后，向所述AAA服務器發送開始計費指令；所述業務控制服務器接收到所述用戶下線指令后，向所述AAA服務器發送停止計費指令。 [0017] 在本發明的一種實施例中，所述用戶終端的認證包括：
[0018] 所述用戶終端通過認證服務器與所述AAA服務器完成認證；
[0019] 或所述用戶終端通過運營商與所述AAA服務器完成認證。
[0020] 在本發明的一種實施例中，所述用戶終端通過認證服務器與所述AAA服務器完成認證包括：
[0021] 認證服務器與業務控制服務器確定關聯關系；
[0022] 所述用戶終端關聯到所述認證服務器，所述認證服務器為所述用戶終端確定對應的業務控制服務器；
[0023] 所述用戶終端通過所述認證服務器與所述AAA服務器交互完成認證；在該認證過程中，所述認證服務器將為所述用戶終端確定的業務控制服務器的信息發送給所述AAA服務器。
[0024] 在本發明的一種實施例中，所述用戶終端通過運營商與所述AAA服務器完成認證時，所述AAA服務器從所述運營商獲取與所述用戶終端對應的業務控制服務器的信息。
[0025] 在本發明的一種實施例中，所述管理方法還包括：
[0026] 所述認證服務器檢測到所述用戶終端的用戶信息變更時，向所述AAA服務器發送用戶信息變更通告消息；
[0027] 或所述AAA服務器接收運營商發送的用戶信息變更通告消息。
[0028] 在本發明的一種實施例中，所述管理方法還包括：
[0029] 所述認證服務器檢測到所述用戶終端下線時，向所述AAA服務器發送用戶下線通告消息。
[0030] 為了解決上述問題，本發明還提供了一種通信系統，所述通信系統包括用戶終端、業務控制服務器和AAA服務器；
[0031] 所述AAA服務器用于在所述用戶終端認證通過后或所述用戶終端的用戶信息變更時，所述用戶終端的用戶信息發送給所述用戶終端對應的業務控制服務器，所述用戶信息包括用戶終端的授權信息；
[0032] 所述業務控制服務器用于根據所述用戶信息對所述用戶終端的業務進行策略控制。
[0033] 在本發明的一種實施例中，所述AAA服務器還用于在所述用戶終端下線時，向所述業務控制服務器發送用戶下線指令；
[0034] 所述業務控制服務器還用于接收到所述用戶下線指令后，結束對所述用戶終端的業務的策略控制。
[0035] 在本發明的一種實施例中，所述用戶終端的授權信息包括用戶終端的地址信息、和/或用戶終端的標識信息、和/或用戶終端的業務策略信息。
[0036] 在本發明的一種實施例中，所述業務控制服務器根據所述用戶信息對所述用戶終端的業務的進行策略控制包括：
[0037] 所述業務控制服務器根據所述用戶信息向其對應的轉發面下發所述用戶終端的用戶轉發信息表；
[0038] 所述業務控制服務器結束對所述用戶終端的業務的策略控制包括：
[0039] 所述業務控制服務器刪除其對應的轉發面中所述用戶終端的用戶轉發信息表。
[0040] 在本發明的一種實施例中，所述業務控制服務器還用于根據所述用戶信息對所述用戶終端的業務進行策略控制后，向所述AAA服務器發送開始計費指令；以及接收到所述用戶下線指令后，向所述AAA服務器發送停止計費指令。
[0041] 在本發明的一種實施例中，所述通信系統還包括認證服務器，所述用戶終端通過所述認證服務器與所述AAA服務器完成認證；或所述用戶終端通過運營商與所述AAA服務器完成認證。
[0042] 在本發明的一種實施例中，所述用戶終端通過認證服務器與所述AAA服務器完成認證包括：
[0043] 認證服務器與業務控制服務器確定關聯關系；
[0044] 所述用戶終端關聯到所述認證服務器，所述認證服務器為所述用戶終端確定對應的業務控制服務器；
[0045] 所述用戶終端通過所述認證服務器與所述AAA服務器交互完成認證；在該認證過程中，所述認證服務器將為所述用戶終端確定的業務控制服務器的信息發送給所述AAA服務器。
[0046] 在本發明的一種實施例中，所述AAA服務器還用于在所述用戶終端通過運營商與之完成認證時，從所述運營商獲取與所述用戶終端對應的業務控制服務器的信息。
[0047] 在本發明的一種實施例中，所述認證服務器還用于檢測到所述用戶終端的用戶信息變更時，向所述AAA服務器發送用戶信息變更通告消息；
[0048] 所述AAA服務器還用于接收所述認證服務器發送的用戶信息變更通告消息，或接收運營商發送的用戶信息變更通告消息。
[0049] 在本發明的一種實施例中，所述認證服務器還用于檢測到所述用戶終端下線時，向所述AAA服務器發送用戶下線通告消息。
[0050] 本發明的有益效果是：
[0051] 本發明提供的通信管理方法及通信系統，用戶終端認證通過后或用戶終端的用戶信息變更時，AAA服務器將包含有用戶終端的授權信息的用戶信息發送給該用戶終端對應的業務控制服務器，業務控制服務器則根據該用戶信息對該用戶終端的業務進行策略控制；利用本發明提供的業務控制服務器實現對用戶終端的業務進行策略控制的過程中，業務控制服務器不需要作為AAA服務器的代理設備，對用戶終端的認證報文重新解包、封包，實現過程簡單，易于擴展，且可提高處理效率和降低業務控制服務器的壓力；同時，本發明提供的上述方案中，AAA服務器可單獨的向業務控制服務器下發用戶消息，并不要求必須存在認證服務器，因此可提供更廣泛的應用，為運營商提供更靈活的業務開展方式，能進一步提高處理效率。

【專利附圖】

【附圖說明】
[0052] 圖1為本發明實施例一中通信方法的流程示意圖一；
[0053] 圖2為本發明實施例一中通信方法的流程示意圖二；
[0054] 圖3為圖4中用戶終端與服務器完成認證的流程示意圖；
[0055] 圖4為本發明實施例二中網絡拓撲結構示意圖；
[0056] 圖5為本發明實施例二中通信方法的流程示意圖；
[0057] 圖6為本發明實施例三中網絡拓撲結構示意圖；
[0058] 圖7為本發明實施例三中通信方法的流程示意圖；
[0059] 圖8為本發明實施例四中實現用戶終端漫游切換的流程示意圖；
[0060] 圖9為本發明實施例五中通信方法的流程示意圖。

【具體實施方式】
[0061] 本發明用戶終端認證通過后或用戶終端的用戶信息變更時，AAA服務器將包含有用戶終端的授權信息的用戶信息發送給該用戶終端對應的業務控制服務器（即業務控制點)，業務控制服務器則根據該用戶信息對該用戶終端的業務進行策略控制；在該過程中，業務控制服務器不需要作為AAA服務器的代理設備，對用戶終端的認證報文重新解包、封包，實現過程簡單，易于擴展，且可提高處理效率和降低業務控制服務器的壓力；同時，本發明中的AAA服務器可單獨的向業務控制服務器下發用戶消息，因此可提供更廣泛的應用，為運營商提供更靈活的業務開展方式，能進一步提高處理效率。為了更好的理解本發明，下面結合具體的實施例對本發明做進一步的說明：
[0062] 實施例一：
[0063] 為了便于理解本發明，首先對本實施例涉及到的英文簡稱進行說明如下：
[0064] WLAN，Wireless Local Area Network，無線局域網
[0065] AC，Access Controller，接入控制器
[0066] AP，Access Point，接入點
[0067] BNG，Broadband Network Gateway，寬帶網絡網關
[0068] AAA，Authentication Authorization Accounting，認證、授權、計費
[0069] VLAN，Virtual Local Area Network，虛擬局域網
[0070] CAPWAP， Control And Provisioning of Wireless Access Points Protocol，無線接入點控制配置協議
[0071] SDN，Software Defined Network，軟件定義網絡
[0072] NMS，Network Management System，網絡管理系統
[0073] DM，Disconnect Message，斷鏈消息
[0074] CoA，Change-of-Authorization Message，授權變化消息
[0075] EAP，Extensible Authentication Protocol，擴展認證協議
[0076] ACL，Access Control List，接入控制列表
[0077] CAR，Committed Access Rate，承諾接入速率
[0078] VRF，Virtual Routing Forwarding，虛擬轉發實例
[0079] MAC，Medium Access Control，媒體接入控制
[0080] IP，Internet Protocol，因特網協議
[0081] NAS，Network Access Server，網絡接入服務器
[0082] PMK，pairwise master key，成對主密鑰
[0083] DHCP，Dynamic Host Configuration Protocol，動態主機設置協議
[0084] 請參見圖1所示，本實施例中的通信方法包括以下步驟：
[0085] 步驟101 :用戶終端認證通過或用戶終端的用戶信息變更；
[0086] 本實施例中用戶終端的認證可以是用戶終端與AAA服務器自動完成認證交互，也可以是手動對用戶終端完成認證；且本實施例中用戶終端的用戶信息的變更可以是由認證服務器（即認證點）向AAA服務器發送，也可以是相關的運營商向AAA服務器發送，本實施例后續內容會針對上述各種情況進行具體說明。
[0087] 本實施例中，當用戶終端的認證通過手動完成時，則不需要認證服務器的參與，也即本實施例中并不要求必須存在認證服務器實現用戶終端的認證，因此可提供更廣泛的應用，為運營商提供更靈活的業務開展方式，例如通過本實施例提供的方案，用戶可通過電話開通預付費網絡權限，無需上網認證，也可提供用戶體驗的滿意度；
[0088] 步驟102 :AAA服務器將該用戶終端的用戶信息發送給該用戶終端對應的業務控制服務器；
[0089] 本實施例中的用戶信息包括用戶終端的授權信息，用戶終端的授權信息包括用戶終端的地址信息(例如MAC地址、IP地址等)、和/或用戶終端的標識信息(例如用戶終端的唯一標識信息等)、和/或用戶終端的業務策略信息(例如VRF等）；
[0090] 本實施例中AAA服務器可動態下發用戶信息給該用戶終端對應的業務控制服務器，用戶信息的下發不依賴于業務控制服務器是否有該用戶終端的信息存在。
[0091] 本實施例中，AAA服務器可在用戶終端與其完成認證的過程中，獲取該用戶終端對應的業務控制服務器的信息；也可直接通過運營商獲取到該用戶終端對應的業務控制服務器的信息，本實施例的后續部分會對業務控制服務器信息的獲取進行詳細說明；
[0092] 步驟103 :業務控制服務器根據接收到的用戶信息對該用戶終端的業務進行策略控制。
[0093] 本實施例中業務控制服務器對用戶終端的業務進行策略控制包括根據該用戶信息向其轉發面下發與該用戶終端對應的用戶表、路由表等用戶轉發信息表，應當理解的是，本實施例中的業務控制服務器除了可選用BNG設備實現外，還可選用具備上述功能的其他任意通信設備，在此不再贅述。
[0094] 本實施例中業務控制服務器在接收到的用戶信息對該用戶終端的業務進行策略控制后，還包括向AAA服務器發送計費開始指令，通知AAA服務器開始計費。
[0095] 請參見圖2所示，在本實施例中，上述步驟103之后，還包括以下步驟：
[0096] 步驟104 :用戶終端下線時，AAA服務器向業務控制服務器發送用戶下線指令；
[0097] AAA服務器判斷用戶終端是否下線可根據該用戶終端的業務的策略判斷，也可接收認證服務器發送的相關信息判斷；例如，當該用戶終端是通過認證服務器該AAA服務器完成認證的時(此時的認證服務器則充當AAA客戶端)，當用戶終端離線時，認證服務器如果先感知，為了避免使用計費停止報文影響現有業務流程，可以發送用戶下線通告消息給服務器通知用戶下線，為了保證可靠性，可設置強制要求該消息通告需要應答，當然，在實際應用中，也可根據具體應用的場景不要求針對該消息通告進行應答;AAA服務器收到該用戶下線通告消息得知用戶終端下線后，即可判定該用戶終端下線，進而撤銷該用戶終端的業務策略，并發送DM消息報文向業務控制服務器發送用戶下線指令；在本實施例中，要求刪除指定用戶前，允許在一定時間或流量余量時提示用戶續費，以便于更新服務器上的用戶租約。且對于這種認證服務器和業務控制點分離場景的接入用戶，服務器還可允許業務控制點繼續上報計費停止報文，完成正常的用戶計費。
[0098] 步驟105 :業務控制服務器接收到所述用戶下線指令后，結束對該用戶終端的業務的策略控制；具體的，業務控制服務器可刪除該用戶終端對應的轉發面的用戶轉發信息表；此時，業務控制服務器還可發送計費停止報文給服務器。
[0099] 基于上述分析可知，本實施例中的用戶終端與AAA服務器完成認證的方式至少包括兩種，下面對這兩種方式分別進行說明：
[0100] 當用戶終端是與AAA服務器自動完成認證交互時，請參見圖3所示，該過程包括以下步驟：
[0101] 步驟301 :認證服務器和業務控制服務器確認關聯關系；
[0102] 該步驟主要可通過配置(本地命令配置或者NMS遠程配置）來實現。例如AC做認證服務器時，可在AC上配置直接對應的BNG設備（即業務控制服務器)，AP做認證服務器時， AC可將BNG設備信息通過CAPWAP控制消息下發給AP。原則上要求一個認證服務器的業務只能關聯一個有效的業務控制服務器(也即業務控制點），并有鏈路上的對應關系，業務控制服務器到認證服務器是點到多點的關系，認證服務器到業務控制服務器是點到點的關系。本實施例允許按域隔離(二層上體現為VLAN隔離，無線側通過ESSID映射VLAN，有線側通過L2網絡配置的VLAN來完整隔離用戶終端或邏輯認證服務器實例，即ESS到業務控制點的接入鏈路)，將一個認證服務器服務設備虛擬成多個邏輯認證服務器實例，從而實現一個物理認證服務器和多個物理業務控制點的關聯；
[0103] 步驟302 :用戶終端關聯到認證服務器，并通過認證服務器完成和服務器的認證交互；在該過程中認證服務器充當AAA服務器的AAA客戶端，用戶終端關聯到認證服務器后，認證服務器為該用戶終端確定對應的業務控制服務器，在該認證交互過程中，認證服務器將為該用戶終端確定的業務控制服務器的信息發送給AAA服務器。在用戶終端通過認證服務器的認證后，認證服務器還可進一步為該用戶終端分配IP地址，且通過該認證服務器發送給AAA服務器。
[0104] 在上述過程中，業務控制服務器的信息可包括該業務控制服務器的地址、和/或身份標識等信息。本實施例中用戶終端的業務策略可以是或者不是一種顯式的過程數據，只要能產生的添加用戶信息（根本特征在于包括完整用戶終端授權數據，相當于認證通過消息中包括的授權數據，能讓業務控制服務器生成用戶的轉發信息表，執行轉發和業務控制等功能）的實際動作即可；然后AAA服務器可向其通過認證服務器間接關聯的業務控制服務器動態下發用戶信息，本實施例可采用AAA協議使用專門的消息類型來承載實現該功能的授權信息，以區別于現有AAA協議的認證接收消息和動態授權消息。該動態下發的用戶信息報文中攜帶用戶終端的地址以及用戶終端相關的各種授權信息等。業務控制服務器收到該用戶信息后，即可生成該用戶終端的用戶表，甚至路由表等轉發信息表，最終實現用戶終端的業務的策略控制，例如對用戶終端上網權限等業務的控制，本業務控制服務器還可執行用戶終端上下行的流量計費和業務控制(例如ACL、CAR等)。
[0105] 在圖3所示應用場景下，當用戶終端信息變更時，則可由認證服務器直接將用戶信息變更通告消息發送到AAA服務器；具體可通過計費更新消息攜帶這些變更信息發送到服務器，也可通過擴展AAA協議，使用專門的信息通告消息來通告這些用戶信息的變更； AAA服務器收到用戶信息變更通告消息后，即可生成對應的更新后的用戶信息發送給業務控制服務器，具體可通過C0A報文發送，以供業務控制服務器變更相應的授權信息。
[0106] 當用戶終端是通過手動與AAA服務器完成認證時，也即上述認證服務器不體現在網絡上時，此時業務控制服務器上則沒有用戶信息，用戶可直接通知運營商開通相應的業務權限：例如，用戶可通過電話等通信方式通知運營商開通上網權限，告知運營商用戶終端的MAC地址、IP地址和開通時長等信息；運營商收到用戶通知后，即可查詢到該用戶終端IP 地址對應的業務控制服務器的信息，進而將業務控制服務器信息發送給服務器，服務器根據該信息即可將相關用戶信息發送到用戶終端對應的業務控制服務器上。此時，當用戶終端的用戶信息變更時，AAA服務器也可通過運營商獲得用戶信息變更通告消息，進而生成對應的更新后的用戶信息發送給業務控制服務器，具體可通過C0A報文發送，以供業務控制服務器變更相應的授權信息。
[0107] 本實施例中，在各種異常場景下，認證服務器、業務控制服務器和服務器上的用戶信息最終要求保持一致，當然在認證服務器不體現在寬帶網絡上時，則需保證業務控制點和服務器上的用戶信息最終要一致。
[0108] 在支持WLAN漫游的場景下，服務器可能會收到針對已認證用戶的欺騙性質通告，從而修改業務控制服務器上綁定的電路信息。本實施例可以通過在服務器發送給認證服務器的授權信息中添加會話密鑰(例如PMK)的方式來解決，此時用戶漫游后，對于攜帶電路更新的計費停止報文需使用密鑰簽名，以防止出現上述欺騙的情況發生。
[0109] 本實施例中，服務器和業務控制服務器之間動態下發用戶信息的機制還包含如下特點：服務器和業務控制服務器可以通過開關控制服務器和業務控制服務器是否需要打開這種動態下發用戶信息機制，以保證在現有協議基礎上平滑升級支持該機制。另外，服務器發送給業務控制服務器的動態下發用戶信息報文中，用戶信息屬性可以根據實際需要進行擴展。本實施例中擴展的AAA協議適用于Radius、Diameter、TACPLUS等AAA協議。
[0110] 可見，本實施例提供的方案可充分利用前端接入設備的控制面資源，在現WLAN網絡允許用戶的認證服務器和業務控制點分離的場景下，降低業務控制點的業務壓力，同時提高了 WLAN接入網絡支持漫游、密鑰協商功能的反應速度，減少時延和漫游切換時間間隔，并且可以單獨作為一種根據AAA服務器配置的策略下發用戶的方案提供更靈活的業務開展方式和用戶業務的精細化控制手段。為了更好的理解本發明，下面結合幾種的幾種應用場景分別對本發明進行詳細的說明；在下面各實施例中，以實現對用戶終端上網權限的控制、業務控制服務器稱之為業務控制點、認證服務器稱之為認證點為例進行說明；且下面各實施例中，以AAA協議采用Radius協議作為示例進行說明。
[0111] 實施例二：
[0112] 本實施例中，實現用戶802. IX客戶端接入+EAP認證，AC和BNG分離的場景下，用戶終端上線，AAA服務器動態下發用戶信息給BNG ;用戶下線，AAA服務器通知BNG用戶下線。
[0113] 請參見圖4所示，該圖所示為本實施例中網絡拓撲結構示意圖，包括用戶終端 STA，瘦AP，交換機SW，認證服務器AC，AAA服務器，業務控制點BNG以及L3Net ;基于圖4所示的網絡拓撲結構，請參見圖5所示，實現上述通信過程的步驟如下：
[0114] 步驟501:通過配置或專有接口將BNG的IP、NASID等信息下發給AC ;
[0115] 步驟502:用戶終端發現并關聯到AP ;
[0116] 步驟503 :AP上報用戶終端信息給AC ;
[0117] 步驟504:用戶使用802. IX終端發起認證，發送EAPoL-Start報文給AP ;
[0118] 步驟505 :AP轉交EAPoL-Start報文給認證服務器AC ;
[0119] 步驟506:AC發送EAP-Request-Identity報文給用戶終端，聯通用戶終端和AAA 服務器；
[0120] 步驟507 :AC發送認證請求報文給AAA服務器，攜帶BNG的IP和NASID，并通告該會話要求AAA服務器提供認證服務器和業務控制分離服務；
[0121] 步驟508 :用戶使用802. IX終端經由WLAN網絡（即AP+AC)和AAA服務器進行ΕΑΡ 認證交互。
[0122] 步驟509 :ΑΑΑ服務器發送認證結果報文給AC，成功時下發認證服務器需要的授權屬性，例如ΡΜΚ、用戶授權IP等；
[0123] 步驟510 :AC將認證結果用EAP-Success/Failure報文通告給用戶終端；
[0124] 步驟511 :用戶終端和AC (或AP)之間進行密鑰協商，用戶終端通過DHCP流程，從認證服務器獲取地址，該地址可以間接從BNG獲取(例如AC做DHCP Proxy);
[0125] 步驟512 :AC通過信息通告報文通知AAA服務器用戶地址信息；
[0126] 步驟513 :AAA服務器通過動態下發信息報文向用戶終端選定的BNG (也即用戶終端對應的BNG)下發用戶信息，下發的信息應包括認證結束時的靜態授權信息；
[0127] 步驟514 :BNG根據動態下發的信息報文獲取用戶信息，并生成用戶表，發送計費開始報文給AAA服務器；
[0128] 步驟515 :用戶終端和AP解關聯，去認證或者使用802. IX客戶端主動下線；
[0129] 步驟516 :AC發送信息通告報文給AAA服務器通知用戶下線，報文中攜帶該用戶對應的BNG的IP、NASID等信息；
[0130] 步驟517 :AAA服務器發送DM報文通知用戶關聯的BNG用戶下線；
[0131] 步驟518 :BNG發送計費停止報文給AAA服務器，并刪除用戶表。
[0132] 實施例三：
[0133] 本實施例中，基于圖6所示的網絡拓撲結構實現用戶終端DHCP接入+Web認證，AC 和BNG分離的場景下，用戶終端Web認證成功后，AAA服務器動態下發用戶信息給BNG ;用戶下線，AAA服務器通知BNG用戶下線。請參見圖7所示，該通信過程包括：
[0134] 步驟701 :通過配置或者專有接口將BNG的IP、NASID信息下發給AC ;
[0135] 步驟702 :用戶終端發現并關聯到AP ;
[0136] 步驟703 :AP將用戶終端信息上報給AC ;
[0137] 步驟704 :用戶終端通過DHCP流程從認證服務器AC獲取地址，該地址可間接從 BNG 獲取（例如 AC 做 DHCP Proxy);
[0138] 步驟705 : STA訪問網頁，發送http報文給AC進行TCP建鏈；
[0139] 步驟706 :AC下發Web用戶表；AC收到用戶的http報文后回復重定向報文，將其引導到Portal服務器所在的Web服務器；
[0140] 步驟707 :用戶終端和Portal服務器建立HTTP交互；
[0141] 步驟708 :Portal服務器給用戶終端推出認證頁面；
[0142] 步驟709 :用戶輸入用戶名和密碼后向發Portal服務器起認證；
[0143] 步驟710 :Portal服務器向AC發起認證請求；
[0144] 步驟711 :AC和AAA服務器進行認證交互，AC發送認證請求到AAA服務器時，攜帶 BNG的IP和NASID，并通告該會話要求AAA服務器提供認證服務器和業務控制分離服務；
[0145] 步驟712 :AC向Portal服務器反饋認證結果；
[0146] 步驟713 :Portal服務器向用戶終端推出認證結果對應的頁面；
[0147] 步驟714:認證成功后，AAA服務器向用戶終端選定的BNG用動態下發信息報文，該信息報文中包括用戶信息；
[0148] 步驟715 :BNG根據動態下發信息報文獲取用戶信息，生成用戶表，發送計費開始報文給AAA服務器；
[0149] 步驟716 :用戶終端和AP解關聯主動下線；
[0150] 步驟719 :AP通知AC用戶終端下線；
[0151] 步驟718 :AC發送信息通告報文給AAA服務器通知用戶下線，報文中攜帶該用戶終端對應的BNG的IP等信息；
[0152] 步驟717 :AAA服務器發送DM報文給用戶終端關聯的BNG，通知用戶下線；
[0153] 步驟720 :BNG發送計費停止報文給AAA服務器，并刪除用戶表。
[0154] 實施例四：
[0155] 本實施例中拓撲組網圖和實施例二中的圖4相同，在BNG上已經存在用戶信息的情況下，用戶終端在ESS中漫游，用戶終端NAS-P0RT-ID信息變更，此時，BNG上的用戶授權信息更新過程請參見圖8所示，包括：
[0156] 步驟801 :新AP通告AC新用戶關聯以獲取用戶的相關信息，包括PMK ;
[0157] 步驟802 :本實施例只中，為了進一步提高可靠性，AC參入PMK的傳遞，將老AP上保存的用戶PMK傳遞給新的AP ;
[0158] 步驟803 :新AP與STA在RSN配置WPA/WPA2加密方式的情況下，進行密鑰協商；
[0159] 步驟804 :AC通過信息通告報文通知AAA服務器用戶NAS-P0RT-ID更新；
[0160] 步驟805 :AAA服務器發送C0A報文給BNG更新用戶終端的授權信息。
[0161] 實施例五：
[0162] 本實施例中，在用戶終端不進行認證，BNG上沒有用戶信息的場景下，用戶可直接通知運營商開通上網權限，從賬戶余額中扣除費用。本實施例適用于BNG和AAA服務器連接的無線接入和有線接入場景，這里以有線接入為例，用戶可電話通知運營商開通上網權限，告知用戶終端的Mac地址、IP地址和開通時長信息等，運營商收到用戶通知后，即可查詢到該用戶終端IP對應連接的BNG信息，并發送給AAA服務器，此時，請參見圖9所示，后續過程包括：
[0163] 步驟901 :AAA服務器通過動態下發信息報文把用戶的信息下發到對應的BNG上；
[0164] 步驟902 :BNG根據收到的動態下發信息報文，下發用戶表，給該用戶開通上網權限，并發送計費開始報文給AAA服務器，開始計費；
[0165] 步驟903 :AAA服務器收到用戶申請延長上網時長請求；
[0166] 在該步驟中，如果過了申請時間，用戶沒有再次申請延長時間，AAA服務器將發送 DM報文給BNG，通知用戶下線；
[0167] 步驟904 :AAA服務器將發送C0A報文給BNG，通知更新用戶在線時長；
[0168] 步驟905 :用戶上網時長到期，AAA服務器發送DM報文給業務控制點通知用戶下線.
[0169] 步驟906 :BNG發送計費停止報文給AAA服務器，刪除用戶表。
[0170] 可見，本發明提供的方案可以很好地解決認證服務器和業務控制服務器分離的場景下用戶管理的問題，降低了業務控制服務器的業務壓力；且可提高WLAN接入網絡支持漫游、密鑰協商功能的反應速度，減少了時延和漫游切換時間間隔，實現簡單，易于擴展。同時本發明還采用了信息通告的機制，AAA服務器可以實時地感知到用戶信息的變更，靈活性較強；且本發明兼容當前Radius協議的所有應用場景。
[0171] 以上內容是結合具體的實施方式對本發明所作的進一步詳細說明，不能認定本發明的具體實施只局限于這些說明。對于本發明所屬【技術領域】的普通技術人員來說，在不脫離本發明構思的前提下，還可以做出若干簡單推演或替換，都應當視為屬于本發明的保護范圍。
【權利要求】
1. 一種通信管理方法，其特征在于，所述通信管理方法包括：用戶終端認證通過后或用戶終端的用戶信息變更時，AAA服務器將所述用戶終端的用戶信息發送給所述用戶終端對應的業務控制服務器，所述用戶信息包括用戶終端的授權信息；所述業務控制服務器根據所述用戶信息對所述用戶終端的業務進行策略控制。
2. 如權利要求1所述的通信管理方法，其特征在于，所述通信管理方法還包括：所述用戶終端下線時，所述AAA服務器向所述業務控制服務器發送用戶下線指令；所述業務控制服務器接收到所述用戶下線指令后，結束對所述用戶終端的業務的策略控制。
3. 如權利要求1所述的通信管理方法，其特征在于，所述用戶終端的授權信息包括用戶終端的地址信息、和/或用戶終端的標識信息、和/或用戶終端的業務策略信息。
4. 如權利要求2所述的通信管理方法，其特征在于，所述業務控制服務器根據所述用戶信息對所述用戶終端的業務進行策略控制包括：所述業務控制服務器根據所述用戶信息向其對應的轉發面下發所述用戶終端的用戶轉發信息表；所述業務控制服務器結束對所述用戶終端的業務的策略控制包括：所述業務控制服務器刪除其對應的轉發面中所述用戶終端的用戶轉發信息表。
5. 如權利要求2所述的通信管理方法，其特征在于，所述方法還包括：所述業務控制服務器根據所述用戶信息對所述用戶終端的業務進行策略控制后，向所述AAA服務器發送開始計費指令；所述業務控制服務器接收到所述用戶下線指令后，向所述AAA服務器發送停止計費指令。
6. 如權利要求2-5任一項所述的通信管理方法，其特征在于，所述用戶終端的認證包括：所述用戶終端通過認證服務器與所述AAA服務器完成認證；或所述用戶終端通過運營商與所述AAA服務器完成認證。
7. 如權利要求6所述的通信管理方法，其特征在于，所述用戶終端通過認證服務器與所述AAA服務器完成認證包括：認證服務器與業務控制服務器確定關聯關系；所述用戶終端關聯到所述認證服務器，所述認證服務器為所述用戶終端確定對應的業務控制服務器；所述用戶終端通過所述認證服務器與所述AAA服務器交互完成認證；在該認證過程中，所述認證服務器將為所述用戶終端確定的業務控制服務器的信息發送給所述AAA服務器。
8. 如權利要求6所述的通信管理方法，其特征在于，所述用戶終端通過運營商與所述 AAA服務器完成認證時，所述AAA服務器從所述運營商獲取與所述用戶終端對應的業務控制服務器的信息。
9. 如權利要求7所述的通信管理方法，其特征在于，所述管理方法還包括：所述認證服務器檢測到所述用戶終端的用戶信息變更時，向所述AAA服務器發送用戶信息變更通告消息；或所述AAA服務器接收運營商發送的用戶信息變更通告消息。
10. 如權利要求7所述的通信管理方法，其特征在于，所述管理方法還包括：所述認證服務器檢測到所述用戶終端下線時，向所述AAA服務器發送用戶下線通告消息。
11. 一種通信系統，其特征在于，所述通信系統包括用戶終端、業務控制服務器和AAA 服務器；所述AAA服務器用于在所述用戶終端認證通過后或所述用戶終端的用戶信息變更時，所述用戶終端的用戶信息發送給所述用戶終端對應的業務控制服務器，所述用戶信息包括用戶終端的授權信息；所述業務控制服務器用于根據所述用戶信息對所述用戶終端的業務進行策略控制。
12. 如權利要求11所述的通信系統，其特征在于，所述AAA服務器還用于在所述用戶終端下線時，向所述業務控制服務器發送用戶下線指令；所述業務控制服務器還用于接收到所述用戶下線指令后，結束對所述用戶終端的業務的策略控制。
13. 如權利要求11所述的通信系統，其特征在于，所述用戶終端的授權信息包括用戶終端的地址信息、和/或用戶終端的標識信息、和/或用戶終端的業務策略信息。
14. 如權利要求12所述的通信系統，其特征在于，所述業務控制服務器根據所述用戶信息對所述用戶終端的業務進行策略控制包括：所述業務控制服務器根據所述用戶信息向其對應的轉發面下發所述用戶終端的用戶轉發信息表；所述業務控制服務器結束對所述用戶終端的業務的策略控制包括：所述業務控制服務器刪除其對應的轉發面中所述用戶終端的用戶轉發信息表。
15. 如權利要求12所述的通信系統，其特征在于，所述業務控制服務器還用于根據所述用戶信息對所述用戶終端的業務進行策略控制后，向所述AAA服務器發送開始計費指令；以及接收到所述用戶下線指令后，向所述AAA服務器發送停止計費指令。
16. 如權利要求12-15任一項所述的通信系統，其特征在于，所述通信系統還包括認證服務器，所述用戶終端通過所述認證服務器與所述MA服務器完成認證；或所述用戶終端通過運營商與所述AAA服務器完成認證。
17. 如權利要求16所述的通信系統，其特征在于，所述用戶終端通過認證服務器與所述AAA服務器完成認證包括：認證服務器與業務控制服務器確定關聯關系；所述用戶終端關聯到所述認證服務器，所述認證服務器為所述用戶終端確定對應的業務控制服務器；所述用戶終端通過所述認證服務器與所述AAA服務器交互完成認證；在該認證過程中，所述認證服務器將為所述用戶終端確定的業務控制服務器的信息發送給所述AAA服務器。
18. 如權利要求16所述的通信系統，其特征在于，所述AAA服務器還用于在所述用戶終端通過運營商與之完成認證時，從所述運營商獲取與所述用戶終端對應的業務控制服務器的信息。
19. 如權利要求17所述的通信系統，其特征在于，所述認證服務器還用于檢測到所述用戶終端的用戶信息變更時，向所述AAA服務器發送用戶信息變更通告消息；所述AAA服務器還用于接收所述認證服務器發送的用戶信息變更通告消息，或接收運營商發送的用戶信息變更通告消息。
20. 如權利要求17所述的通信系統，其特征在于，所述認證服務器還用于檢測到所述用戶終端下線時，向所述AAA服務器發送用戶下線通告消息。
【文檔編號】H04W84/12GK104125569SQ201310155598
【公開日】2014年10月29日申請日期:2013年4月28日優先權日:2013年4月28日
【發明者】梁乾燈, 王姝懿, 朱華興, 尤建潔申請人:中興通訊股份有限公司

完整全部詳細技術資料下載