一種融合網絡中隧道建立的方法及系統的製作方法

2023-06-28 22:50:36 2

專利名稱：一種融合網絡中隧道建立的方法及系統的製作方法
技術領域：
本發明涉及通信技術領域，尤其涉及一種融合網絡中隧道建立的方法及系統。
背景技術：
目前，隨著 WCDMA (Wideband Code Division Multiple Access，寬帶碼分多址技 術)/CDMA2000，特別是 TD-SCDMA (Time Division-Synchronous Code Division Multiple Access，時分同步碼分多址)產業鏈的不斷成熟，以及3G (The 3rd Generation，第三代移 動通信技術)用戶數量不斷增長，3G移動通信應用業務日益豐富，行動網路的承載能力與大 流量、高帶寬的業務需求之間的矛盾日益突出。移動用戶的分布及業務使用特點往往在特 定的商業、交通及辦公區域，移動用戶非常集中，平均及瞬間流量大。3G技術難以支撐大量 的數據用戶多媒體應用的需求。WLAN (Wireless Local Area Networks，無線區域網)與3G是互補性很強的兩種 技術。3G作為一種移動通信技術，具有覆蓋範圍廣、支持高速移動性的優點，但速率相對較 低；而WLAN相對速率高，但覆蓋範圍窄、支持有限的移動性。WLAN有較高的帶寬，彌補了 3G 速率較低的不足；WLAN相對能夠支持較多的數據用戶，彌補3G用戶容量的不足；具有WLAN 功能的終端設備普及，為3G卸載空口壓力到WLAN提供了極大的方便；WLAN設備成本低，在 部署3G的同時在適當場所加以補充WLAN，則可以獲得事半功倍的效果。因此，融合技術越 來越受到關注，就WLAN與3G融合來講，3GPP、3GPP2等組織都有針對性的研究。如圖1所示，終端在接入3G/WLAN融合網絡時，首先選擇一個WLAN AN (WLAN Access Network，WLAN 接入網絡)進行關聯，並根據終端的 IMSI (International Mobile Subscriber Identification Number，國際移動用戶識別碼)構造 NAI (Network Access Identifier,網絡訪問標識)，然後發起接入融合網絡的EAP (Extensible Authentication Protocol,擴展認證協議)認證與授權流程，終端與AAA Server (Authentication、 Authorization, Accounting Server，認證、授權和計費伺服器)之間的鑑權方法一般使用 EAP-AKA (Authentication and Key Agreement,^ EAP-SIM (Subscriber Identity Modules，用戶識別模塊)算法。WLAN AN負責轉發終端和3GPP (第三代合作夥 伴計劃)AAA Server之間的鑑權和授權的消息。如果UE通過認證，則通過DHCP (Dynamic Host Configuration Protocol，動態主機配置協議)伺服器獲取WLAN網絡分配的IP位址 以及DNS (Domain Name System，域名系統)伺服器地址，UE可以使用該IP位址直接訪問 Internet。UE在接入3G/WLAN融合網絡後，當需要訪問3G網絡的PS域(Packet Switched Domain，分組交換域)業務時，則要發起PS接入流程。具體地，UE根據要訪問的W-APN (WLAN-Access Point Name，WLAN接入點名)向DNS伺服器查詢獲取隧道伺服器的IP位址， 然後開始UE與隧道伺服器之間的隧道建立流程。UE與隧道伺服器之間的接入認證流程仍 然採用EAP認證流程，具體鑑權協議為EAP-AKA或EAP-SIM，該隧道接入認證流程與UE接入 WLAN AN的接入認證流程相同。
根據上述描述，現有技術中存在如下技術問題終端在3G/WLAN融合網絡中通過 了與WLAN AN的EAP認證流程後，在訪問PS域業務時，仍需要進行新一輪的EAP認證流程， 這樣，使得隧道建立過程較為複雜，隧道建立的效率不高。

發明內容
本發明解決的技術問題是提供一種融合網絡中隧道建立的方法及系統，提高終端 在3G/WLAN融合網絡中隧道建立的效率。為解決上述技術問題，本發明提供了一種融合網絡中隧道建立的方法，
用戶終端通過無線區域網接入網絡(WLAN AN)的接入認證流程接入移動通信網絡和 WLAN融合網絡中後，在訪問所述移動通信網絡的分組交換(PS)域業務時，在向隧道伺服器 發起的隧道建立請求中包含WLAN認證指示信息；
所述隧道伺服器收到隧道建立請求後，如果其中包含WLAN認證指示信息，則直接根據 所述PS域業務是否已授權訪問判斷是否允許所述用戶建立隧道。進一步地，如果所述隧道伺服器收到的隧道建立請求中不包含WLAN認證指示信 息，則所述隧道伺服器向所述終端發起安全認證流程。進一步地，所述隧道建立請求中還包含用戶標識、請求訪問的無線區域網接入點 名(W-APN)；
所述隧道伺服器收到所述隧道建立請求後，根據所述用戶標識查找所述用戶的授權信 息，並根據查找到的所述用戶的授權信息中包含的授權的APN列表，判斷所述用戶請求訪 問的W-APN是否在授權的APN列表中，如果在授權的APN列表中，則判斷所述PS域業務已 授權訪問，並向所述終端返回隧道建立成功響應。 進一步地，如果所述終端請求訪問的W-APN不在授權的APN列表中，則所述隧道服 務器判斷所述PS域業務未授權訪問，則不允許所述用戶建立隧道，並向所述終端返回隧道 建立失敗響應。進一步地，所述隧道伺服器收到所述隧道建立請求後，在根據所述用戶標識查找 所述用戶的授權信息時，首先根據所述用戶標識查找本地是否保存有所述用戶的授權信 息，如果本地沒有保存，則向所述移動通信網絡的認證、授權和計費(AAA)伺服器獲取所述 用戶的授權信息，並將獲取到的所述用戶的授權信息保存到本地。本發明還提供了一種融合網絡中隧道建立的系統，應用於終端，所述終端包括 WLAN接入模塊，用於通過WLAN AN的接入認證流程接入移動通信網絡和WLAN融合網絡；
所述終端還包括隧道建立請求模塊，用於在所述WLAN接入模塊通過WLAN AN的接入認 證流程接入所述融合網絡中後，訪問移動通信網絡的PS域業務時，向隧道伺服器發起隧道 建立請求，並在所述隧道建立請求中包含WLAN認證指示信息。進一步地，所述隧道建立請求模塊還用於，在所述隧道建立請求中包含用戶標識、 請求訪問的W-APN。本發明還提供了一種融合網絡中隧道建立的系統，應用於隧道伺服器，所述系統 包括
隧道伺服器中的隧道建立請求處理模塊，用於收到終端訪問移動通信網絡的PS域業 務時發起的隧道建立請求時，如果其中包含WLAN認證指示信息，則獲知所述終端已經通過LAN AN的接入認證流程，則直接根據所述PS域業務是否已授權訪問判斷是否允許所述用
戶建立隧道。進一步地，所述隧道建立請求處理模塊還用於，如果收到的隧道建立請求中不包 含WLAN認證指示信息，則向所述終端發起安全認證流程。進一步地，所述隧道建立請求處理模塊還用於，收到所述隧道建立請求後，根據所 述隧道建立請求中包含的所述用戶標識在本地查找或者向所述移動通信網絡的AAA服務 器獲取所述用戶的授權信息，並根據所述用戶的授權信息中包含的授權的APN列表，判斷 所述用戶請求訪問的W-APN是否在授權的APN列表中，如果在授權的APN列表中，則判斷所 述PS域業務已授權訪問，並向所述終端返回隧道建立成功響應；如果不在授權的APN列表 中，則不允許所述用戶建立隧道，並向所述終端返回隧道建立失敗響應。本發明對3G/WLAN融合網絡中原有隧道建立流程進行了簡化和優化，不再向終端 重複發起安全認證請求，提高了隧道建立的效率，降低了隧道建立的複雜度，同時也保證了 隧道建立的安全性。


此處所說明的附圖用來提供對本發明的進一步理解，構成本申請的一部分，本發 明的示意性實施例及其說明用於解釋本發明，並不構成對本發明的不當限定。在附圖中
圖1為WLAN與3G融合網絡結構示意圖2為依據本發明實施例的隧道建立的交互流程圖3為依據本發明實施例的隧道伺服器處理隧道建立請求的流程圖。
具體實施例方式本發明的核心思想在於，在終端需要訪問PS域業務，向隧道伺服器發起隧道建立 請求時，通過在請求中增加特定的欄位來通知隧道伺服器該用戶已通過了與WLAN AN的 EAP認證流程；隧道伺服器通過該欄位即可判斷是否需要向用戶發起EAP認證流程。如果 終端用戶已經通過WLAN AN的接入認證流程，則不需要再發起新一輪的EAP認證流程，同時 向3GPP AAA獲取該用戶的授權信息。隧道伺服器將隧道建立請求中的W-APN與用戶授權 信息中允許訪問的APN列表進行比較，如果請求的APN被授權訪問，則隧道伺服器同意建立 隧道，向終端返回隧道建立響應，並將安全隧道參數以及IP等信息一起返回。基於上述思想，本發明提出一種融合網絡中隧道建立的方法，具體採用如下技術 方案
終端通過WLAN AN的接入認證流程接入移動通信網絡和WLAN融合網絡中後，訪問3G 網絡的PS域業務時，向隧道伺服器發起隧道建立請求，並在所述隧道建立請求中包含WLAN 認證指示信息；
所述隧道伺服器收到隧道建立請求後，如果其中包含WLAN認證指示信息，則直接根據 所述PS域業務是否已授權訪問判斷是否允許所述用戶建立隧道。其中，所述移動通信網絡可以是2G/3G網絡，也可以是其他移動通信網絡。進一步地，如果所述隧道伺服器收到的隧道建立請求中不包含WLAN認證指示信 息，則所述隧道伺服器向所述終端發起安全認證流程。
其中，所述隧道建立請求中還包括用戶標識、請求訪問的W-APN ；
所述隧道伺服器收到所述隧道建立請求後，根據所述用戶標識查找所述用戶的授權信 息，並根據查找到的所述用戶的授權信息中包含的授權的APN列表，判斷所述用戶請求訪 問的W-APN是否在授權的APN列表中，如果在授權的APN列表中，則判斷所述PS域業務已 授權訪問，並向所述終端返回隧道建立成功響應。進一步地，如果所述用戶請求訪問的W-APN不在授權的APN列表中，則不允許所述 用戶建立隧道，並向所述終端返回隧道建立失敗響應。進一步地，所述隧道伺服器收到所述隧道建立請求後，首先根據所述用戶標識查 找本地是否保存有所述用戶的授權信息，如果本地沒有保存，則向所述移動通信網絡的AAA Server獲取所述用戶的授權信息，並將獲取的所述用戶的授權信息保存到本地。進一步地，所述隧道伺服器在完成所述終端的隧道建立後，通知所述移動通信網 絡的AAA Server所述終端已接入PS域並且訪問所述W-APN。進一步地，所述隧道伺服器在完成所述終端的隧道建立後，通知所述終端的HLR (Home Location Register，歸屬位置寄存器)對所述用戶的信息進行更新。為了便於闡述本發明，以下將結合附圖及具體實施例對本發明技術方案的實施作 進一步詳細描述。需要說明的是，在不衝突的情況下，本申請中的實施例及實施例中的特徵 可以相互任意組合。圖1示出了 WLAN與3GPP融合網絡下，終端以及各網絡節點之間的連接示意 圖。其中，終端為具有WLAN和3G接入的雙模終端，並且支持SIP協議棧。終端可以通過 WLAN接入網絡(WLAN AN)直接訪問Internet，也可以由隧道伺服器通過建立隧道訪問3G業 務。隧道伺服器是用戶通過WLAN接入到3G PS域的網關，主要功能為隧道建立、分組路由、 地址解析以及IP位址綁定等。同時在本發明中，隧道伺服器還需有支持SIP協議(Session Initiation Protocol，會話發起協議)，以及保存用戶授權信息的功能。3GPP AAA主要用於 EAP認證，同時向隧道伺服器提供用戶的授權信息以及密鑰套件。HLR則主要用於存儲用戶 鑑權信息以及授權信息，並在AAA需要時提供給AAA。圖2示出了本發明實施例的建立隧道時各網元之間的交互流程圖。如圖2所示， 以3G和WLAN的融合網絡為例，該流程主要包括以下步驟
步驟1，終端首先發起到WLAN AN的接入流程；
該流程中包含了 EAP-AKA或EAP-SIM鑑權流程，具體流程可參照現有技術，本文中不再 詳細敘述該鑑權流程。步驟2，終端成功接入WLAN AN後，如果要訪問3GPS業務，則向隧道伺服器發起隧 道建立請求；
本發明中，隧道建立請求通過SIP Register (SIP註冊)消息發送給隧道伺服器，其中 攜帶了用戶標識、請求訪問的W-APN，以及WLAN-Ind欄位。其中，WLAN-Ind為用戶自定義字 段，用於通知隧道伺服器該終端用戶已經通過WLAN AN的安全認證。步驟3，隧道伺服器在收到終端的隧道建立請求後，根據WLAN-Ind欄位判 斷終端已完成WLAN AN的安全認證流程，則根據終端的用戶標識查找該用戶的授權信息，首 先判斷本地是否保存有該用戶的授權信息，如果本地保存有，則直接執行步驟7，否則，可通 過下述可選步驟4和步驟5向3GPP AAA獲取該用戶的授權信息；該步驟中，如果請求消息中含有WLAN-Ind欄位，則認為終端用戶已經通過了 WLAN AN 的安全認證，隧道伺服器不再向終端發起EAP認證；否則，隧道伺服器將向終端發起EAP認 證流程，同時還進行隧道建立的常見流程，此處對EAP流程及隧道建立的常見流程不再進 行贅述。步驟4，隧道伺服器根據終端的用戶標識，首先在本地查找該用戶的授權信息， 如果本地未存儲該用戶授權信息，則向3GPP AAA發起請求(如通過接入請求access request)，獲取用戶授權信息。步驟5，3GPP AAA返回該用戶的授權信息(如通過接入接受access acc印t)，主要 包括 MSISDN (Mobile Subscriber ISDN number，移動用戶號碼)、APN、QoS (Quality of Service，服務質量)等，以及終端接入WLAN AN時生成的密鑰套件。步驟6，隧道伺服器將獲取到用戶的授權信息保存到本地。步驟7，隧道伺服器將終端隧道建立請求中攜帶的請求訪問的W-APN與用戶授 權訪問的APN進行比較，判斷用戶請求訪問的W-APN是否已被授權訪問，如果請求訪問的 W-APN存在於允許訪問的APN列表中，則隧道伺服器允許終端的隧道建立請求。步驟8，隧道伺服器在完成對終端用戶的安全認證以及隧道建立後，通知3GPP AAA 該終端已接入3G PS域並且訪問W-APN，同時AAA還需通知HLR對該用戶信息進行更新。步驟9，隧道伺服器生成對應該APN的隧道參數，安全聯盟參數，分配給終 端用戶遠端IP位址，並與終端的本地IP綁定，同時將這些參數連同隧道建立結果一起，通 過200 0K消息發送給終端。步驟10、 終端在收到200 0K消息後，獲取隧道參數、安全聯盟參數以及隧道 伺服器分配的遠端IP位址，用於終端的隧道建立。在隧道建立成功之後，終端就可以訪問 3G PS域業務了。終端和隧道伺服器在終端訪問3G業務的過程中，數據加密和完整性保護 的密鑰都沿用終端接入WLAN AN時產生的安全密鑰套件。圖3示出了隧道伺服器在收到終端的隧道建立請求後，對隧道建立請求進行處理 的具體流程。參見圖3，該流程具體描述如下
步驟一，隧道伺服器收到終端的隧道建立請求；
步驟二，從終端的請求中解析WLAN-Ind欄位，如果終端接入WLAN-AN時已通過安全認 證，則不再向終端發起安全認證請求；
步驟三，查看本地是否已保存該用戶對應的授權信息，如果已保存，則直接執行步驟 六，否則，執行下一步驟四；
步驟四，如果隧道伺服器本地沒有保存該用戶對應的授權信息，則向3GPP AAA發起請 求，要求獲取該用戶授權信息；
步驟五，隧道伺服器收到3GPP AAA返回的用戶授權信息後，在本地保存； 步驟六，隧道伺服器根據用戶的授權信息，判斷用戶請求訪問的W-APN是否在授權的 APN列表中；如果是，則執行下一步驟七，否則，向終端返回相應的授權處理結果； 步驟七，向終端返回隧道建立成功的響應。此外，本發明實施例中還提供了一種融合網絡中隧道建立的系統，應用於終端，包 括WLAN接入模塊，該WLAN接入模塊用於通過WLAN AN的接入認證流程接入移動通信網絡 和WLAN融合網絡；所述終端還包括隧道建立請求模塊，用於在所述WLAN接入模塊通過WLAN AN的接入認 證流程接入所述融合網絡中後，訪問移動通信網絡的PS域業務時，向隧道伺服器發起隧道 建立請求，並在所述隧道建立請求中包含WLAN認證指示信息。進一步地，所述隧道建立請求模塊還用於，在所述隧道建立請求中包含用戶標識、 請求訪問的W-APN。此外，本發明還提供了一種融合網絡中隧道建立的系統，應用於隧道伺服器，所述 系統包括
隧道伺服器中的隧道建立請求處理模塊，用於收到終端訪問移動通信網絡的PS域業 務時發起的隧道建立請求時，如果其中包含WLAN認證指示信息，則獲知所述終端已經通過 LAN AN的接入認證流程，則直接根據所述PS域業務是否已授權訪問判斷是否允許所述用
戶建立隧道。進一步地，所述隧道建立請求處理模塊還用於，如果收到的隧道建立請求中不包 含WLAN認證指示信息，則向所述終端發起安全認證流程。進一步地，所述隧道建立請求處理模塊還用於，收到所述隧道建立請求後，根據所 述隧道建立請求中包含的所述用戶標識在本地查找或者向所述移動通信網絡的AAA服務 器獲取所述用戶的授權信息，並根據所述用戶的授權信息中包含的授權的APN列表，判斷 所述用戶請求訪問的W-APN是否在授權的APN列表中，如果在授權的APN列表中，則判斷所 述PS域業務已授權訪問，並向所述終端返回隧道建立成功響應；如果不在授權的APN列表 中，則不允許所述用戶建立隧道，並向所述終端返回隧道建立失敗響應。以上僅為本發明的優選實施案例而已，並不用於限制本發明，本發明還可有其他 多種實施例，在不背離本發明精神及其實質的情況下，熟悉本領域的技術人員可根據本發 明做出各種相應的改變和變形，但這些相應的改變和變形都應屬於本發明所附的權利要求 的保護範圍。顯然，本領域的技術人員應該明白，上述的本發明的各模塊或各步驟可以用通用 的計算裝置來實現，它們可以集中在單個的計算裝置上，或者分布在多個計算裝置所組成 的網絡上，可選地，它們可以用計算裝置可執行的程序代碼來實現，從而，可以將它們存儲 在存儲裝置中由計算裝置來執行，並且在某些情況下，可以以不同於此處的順序執行所示 出或描述的步驟，或者將它們分別製作成各個集成電路模塊，或者將它們中的多個模塊或 步驟製作成單個集成電路模塊來實現。這樣，本發明不限制於任何特定的硬體和軟體結合。
權利要求
一種融合網絡中隧道建立的方法，其特徵在於，用戶終端通過無線區域網接入網絡(WLAN AN)的接入認證流程接入移動通信網絡和WLAN融合網絡中後，在訪問所述移動通信網絡的分組交換(PS)域業務時，在向隧道伺服器發起的隧道建立請求中包含WLAN認證指示信息；所述隧道伺服器收到隧道建立請求後，如果其中包含WLAN認證指示信息，則直接根據所述PS域業務是否已授權訪問判斷是否允許所述用戶建立隧道。
2.如權利要求1所述的方法，其特徵在於，如果所述隧道伺服器收到的隧道建立請求中不包含WLAN認證指示信息，則所述隧道 伺服器向所述終端發起安全認證流程。
3.如權利要求1或2所述的方法，其特徵在於，所述隧道建立請求中還包含用戶標識、請求訪問的無線區域網接入點名(W-APN)；所述隧道伺服器收到所述隧道建立請求後，根據所述用戶標識查找所述用戶的授權信 息，並根據查找到的所述用戶的授權信息中包含的授權的APN列表，判斷所述用戶請求訪 問的W-APN是否在授權的APN列表中，如果在授權的APN列表中，則判斷所述PS域業務已 授權訪問，並向所述終端返回隧道建立成功響應。
4.如權利要求3所述的方法，其特徵在於，如果所述終端請求訪問的W-APN不在授權的APN列表中，則所述隧道伺服器判斷所述 PS域業務未授權訪問，則不允許所述用戶建立隧道，並向所述終端返回隧道建立失敗響應。
5.如權利要求3所述的方法，其特徵在於，所述隧道伺服器收到所述隧道建立請求後，在根據所述用戶標識查找所述用戶的授權 信息時，首先根據所述用戶標識查找本地是否保存有所述用戶的授權信息，如果本地沒有 保存，則向所述移動通信網絡的認證、授權和計費(AAA)伺服器獲取所述用戶的授權信息， 並將獲取到的所述用戶的授權信息保存到本地。
6.一種融合網絡中隧道建立的系統，其特徵在於，應用於終端，所述終端包括WLAN接 入模塊，用於通過WLAN AN的接入認證流程接入移動通信網絡和WLAN融合網絡；所述終端還包括隧道建立請求模塊，用於在所述WLAN接入模塊通過WLAN AN的接入認 證流程接入所述融合網絡中後，訪問移動通信網絡的PS域業務時，向隧道伺服器發起隧道 建立請求，並在所述隧道建立請求中包含WLAN認證指示信息。
7.如權利要求6所述的系統，其特徵在於，所述隧道建立請求模塊還用於，在所述隧道建立請求中包含用戶標識、請求訪問的 W-APN。
8.一種融合網絡中隧道建立的系統，其特徵在於，應用於隧道伺服器，所述系統包括隧道伺服器中的隧道建立請求處理模塊，用於收到終端訪問移動通信網絡的PS域業務時發起的隧道建立請求時，如果其中包含WLAN認證指示信息，則獲知所述終端已經通過 LAN AN的接入認證流程，則直接根據所述PS域業務是否已授權訪問判斷是否允許所述用 戶建立隧道。
9.如權利要求8所述的系統，其特徵在於，所述隧道建立請求處理模塊還用於，如果收到的隧道建立請求中不包含WLAN認證指 示信息，則向所述終端發起安全認證流程。
10.如權利要求8或9所述的系統，其特徵在於，所述隧道建立請求處理模塊還用於，收到所述隧道建立請求後，根據所述隧道建立請 求中包含的所述用戶標識在本地查找或者向所述移動通信網絡的AAA伺服器獲取所述用 戶的授權信息，並根據所述用戶的授權信息中包含的授權的APN列表，判斷所述用戶請求 訪問的W-APN是否在授權的APN列表中，如果在授權的APN列表中，則判斷所述PS域業務 已授權訪問，並向所述終端返回隧道建立成功響應；如果不在授權的APN列表中，則不允許 所述用戶建立隧道，並向所述終端返回隧道建立失敗響應。
全文摘要
本發明公開了一種融合網絡中隧道建立的方法及系統，用戶終端通過WLANAN的接入認證流程接入移動通信網絡和WLAN融合網絡中後，在訪問移動通信網絡的PS域業務時，在向隧道伺服器發起的隧道建立請求中包含WLAN認證指示信息；隧道伺服器收到隧道建立請求後，如果其中包含WLAN認證指示信息，則直接根據PS域業務是否已授權訪問判斷是否允許用戶建立隧道。採用本發明，提高了隧道建立的效率，降低了隧道建立的複雜度，同時也保證了隧道建立的安全性。
文檔編號H04W76/02GK101984724SQ20101055131
公開日2011年3月9日 申請日期2010年11月19日 優先權日2010年11月19日
發明者康望星, 施元慶 申請人:中興通訊股份有限公司