專利名稱:一種訪問運營商自有業(yè)務的方法�����、設備及系統(tǒng)的制作方法
技術(shù)領域:
本發(fā)明涉及移動通信技術(shù)領域���,尤其涉及一種訪問運營商自有業(yè)務的方法����、設備及系統(tǒng)�����。
背景技術(shù):
現(xiàn)有技術(shù)中�����,終端可以通過網(wǎng)絡門戶(Web Portal)認證方式或擴展認證協(xié)議-客戶識別模塊/密匙協(xié)商機制(EAP-SM/AKA)認證方式來完成局域網(wǎng)的接入認證�,進而可以訪問英特網(wǎng)(Internet)的業(yè)務。以終端實現(xiàn)無線局域網(wǎng)(Wireless Local Area Networks, WLAN)的接入認證為例��,圖1所示的是EAP-SM/AKA認證網(wǎng)絡架構(gòu)圖�,終端與無線局域網(wǎng)接入控制點(WLANAccess Control, WLANAC)之間通過局域網(wǎng)可擴展認證協(xié)議(Extensible AuthenticationProtocol over LAN, EAP0L)通信,WLAN AC 和驗證���、授權(quán)和帳戶(Authentication,Authorization and Accounting, AAA)服務器通過遠程認證撥號用戶服務(RemoteAuthentication Dial-1n User Service, RADIUS)協(xié)議轉(zhuǎn)發(fā)擴展認證協(xié)議(ExtensibleAuthentication Protocol,ΕΑΡ)消息����,AAA服務器使用移動應用部分(Mobile ApplicationPart, MAP)協(xié)議從歸屬位置寄存器/歸屬簽約用戶服務器(HLR/HSS)獲取用戶(U) SM卡鑒權(quán)向量���,并完成認證����,AAA服務器是認證的執(zhí)行點。終端在局域網(wǎng)的認證接入過程中�����,不論是使用上述Web Portal認證方式還是使用基于EAP的認證方法���,只能滿足用戶對Internet業(yè)務訪問需求���,對于運營商提供的自有業(yè)務來說,用戶標識GnMSISDN)無法通過網(wǎng)絡渠道傳遞到自有業(yè)務平臺����,且用戶發(fā)送的運營商提供的自有業(yè)務請求往 往通過運營商網(wǎng)絡定義的私有代理地址進行訪問,��,WLAN AC可能因為無法路由私有地址而丟棄該請求的數(shù)據(jù)包�,上述兩點導致用戶無法實現(xiàn)對運營商自有業(yè)務的訪問。針對上述問題�����,3GPP提出了一種標準的WLAN與蜂窩網(wǎng)互通方案即1-WLAN方案。如圖2所示��,在1-WLAN方案中�,用戶首先通過EAP-SM/AKA認證方式完成WLAN網(wǎng)絡的接入認證���,并可訪問Internet業(yè)務�,當用戶需要訪問自有業(yè)務時,具體流程如下1��、終端根據(jù)配置的接入點名稱(Access Point Name, APN)查詢域名服務器(Domain Name Server,DNS)獲取該APN所對應的WLAN隧道網(wǎng)關(如PDG或TTG)的地址���。2�、終端發(fā)送隧道建立請求����。3、WLAN隧道網(wǎng)關收到請求后��,對用戶進行身份認證����;認證通過后,為終端分配遠端IP地址����,并完成終端到WLAN隧道網(wǎng)關的Internet協(xié)議安全性(Internet Protocolsecurity, IPSec)隧道建立����。4�、用戶使用所獲得的遠端IP地址,通過終端配置的自有業(yè)務APN和自有業(yè)務IP代理�,進行自有業(yè)務的訪問。5�、當用戶訪問自有業(yè)務的數(shù)據(jù)包通過IPSec隧道到達WLAN隧道網(wǎng)關后,WLAN隧道網(wǎng)關去除IPSec隧道��,如果隧道APN信息為自有業(yè)務APN����,WLAN隧道網(wǎng)關將用戶信息傳遞到自有業(yè)務認證服務器(例如Radius服務器),并將訪問數(shù)據(jù)封裝在通用路由封裝協(xié)議(Generic outing Encapsulation, GRE)隧道中��,送往運營商分組域業(yè)務網(wǎng)關或業(yè)務平臺(比如WAP網(wǎng)關)����,實現(xiàn)業(yè)務訪問。上述1-WLAN認證方案要求終端必須支持EAP-SM/AKA認證功能和IPSec隧道功能����,IPSec功能對終端能力要求較高�����,目前可以支持的終端較少��,使得1-WLAN認證方案在中短期內(nèi)較難得以普遍應用。
發(fā)明內(nèi)容
本發(fā)明實施例提供了一種可普遍適用于各種終端的訪問訪問運營商自有業(yè)務的方法�、設備及系統(tǒng),用以解決無法實現(xiàn)對運營商網(wǎng)絡中自有業(yè)務訪問的問題�。基于上述問題���,本發(fā)明實施例提供的一種訪問運營商自有業(yè)務的方法�,包括一種訪問運營商自有業(yè)務的方法��,其特征在于����,包括當局域網(wǎng)內(nèi)第一網(wǎng)絡設備接收到終端發(fā)送的其他網(wǎng)絡的訪問請求時,根據(jù)預先配置的運營商自有業(yè)務的目的地址和/或端口號信息�����,確定是否為運營商自有業(yè)務的訪問請求�,若是�����,將所述訪問請求發(fā)送至運營商網(wǎng)絡中第二網(wǎng)絡設備�;第二網(wǎng)絡設備根據(jù)負責對所述局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息����,確定發(fā)送所述訪問請求的終端是否為合法用戶;若確定是��,則轉(zhuǎn)發(fā)所述訪問請求至對應的自有業(yè)務�;否則,拒絕所述訪問請求���。本發(fā)明實施例提供的一種網(wǎng)絡設備���,包括接收單元,用于 接收終端發(fā)送的其他網(wǎng)絡的訪問請求��;過濾單元����,用于根據(jù)預先配置的運營商自有業(yè)務的目的地址和/或端口號信息,確定所述接收單元接收的所述訪問請求是否為訪問運營商自有業(yè)務的請求;發(fā)送單元����,用于在所述過濾單元確定所述訪問請求為訪問運營商自有業(yè)務的請求時,將所述訪問請求發(fā)送至運營商網(wǎng)絡中第二網(wǎng)絡設備�����。本發(fā)明實施例提供的一種網(wǎng)絡設備���,包括接收單元,用于接收局域網(wǎng)中的第一網(wǎng)絡設備轉(zhuǎn)發(fā)的運營商自有業(yè)務的訪問請求����;認證單元,用于根據(jù)負責對所述局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息���,確定發(fā)送所述請求的終端是否為合法用戶��;發(fā)送單元��,用于在認證單元確定是時�,轉(zhuǎn)發(fā)所述請求至對應的自有業(yè)務�����;否則,拒絕所述訪問請求����。本發(fā)明實施例提供的一種網(wǎng)絡系統(tǒng),包括第一網(wǎng)絡設備���,位于局域網(wǎng)中���,用于當接收到終端發(fā)送的其他網(wǎng)絡的訪問請求時,根據(jù)預先配置的運營商自有業(yè)務的目的地址和/或端口號信息�,確定是否為運營商自有業(yè)務的訪問請求,若是�,將所述訪問請求發(fā)送至第二網(wǎng)絡設備;第二網(wǎng)絡設備�����,位于運營商網(wǎng)絡中��,用于根據(jù)負責對所述局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息����,確定發(fā)送所述訪問請求的終端是否為合法用戶�;若確定是�,則轉(zhuǎn)發(fā)所述訪問請求至對應的自有業(yè)務;否則���,拒絕所述訪問請求��;第一認證服務器�����,用于對終端進行局域網(wǎng)的接入認證���。
本發(fā)明實施例的有益效果包括本發(fā)明實施例提供的訪問運營商自有業(yè)務的方法、設備及系統(tǒng)���,局域網(wǎng)中的第一網(wǎng)絡設備根據(jù)自身配置的自有業(yè)務的目的地址和/或端口號信息,過濾出終端發(fā)送的對運營商自有業(yè)務的訪問請求����,將這些訪問請求轉(zhuǎn)發(fā)給運營商網(wǎng)絡的第二網(wǎng)絡設備,第二網(wǎng)絡設備根據(jù)負責對局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息�,確定該終端是否是經(jīng)過局域網(wǎng)認證的合法終端,并轉(zhuǎn)發(fā)合法終端的訪問請求給自有業(yè)務�����,可以實現(xiàn)局域網(wǎng)通過接入認證的合法終端對自有業(yè)務的自由訪問,并且���,由于該方案不涉及終端側(cè)流程的改進��,終端可以采用任何現(xiàn)有的接入方式完成局域網(wǎng)的接入以及對自有業(yè)務的訪問���,因此,可以普遍適用于現(xiàn)有任何存量終端���。
圖1為現(xiàn)有技術(shù)中EAP-SM/AKA認證網(wǎng)絡架構(gòu)圖��;圖2為現(xiàn)有技術(shù)中·1-WLAN方案的架構(gòu)圖�;圖3為本發(fā)明實施例提供的訪問運營商自有業(yè)務的方法的流程圖�;圖4為本發(fā)明實施例提供的第一個實例的網(wǎng)絡架構(gòu)圖;圖5為本發(fā)明實施例提供的第二個實例的網(wǎng)絡架構(gòu)圖���;圖6為本發(fā)明實施例提供的負責局域網(wǎng)接入認證的服務器同步終端認證信息給業(yè)務認證服務器的信令交互圖�;圖7為本發(fā)明實施例提供的業(yè)務認證服務器向負責局域網(wǎng)接入認證的服務器查詢終端的用戶信息的信令交互圖���;圖8為本發(fā)明實施例提供的第一種網(wǎng)絡設備的結(jié)構(gòu)圖���;圖9為本發(fā)明實施例提供的第二種網(wǎng)絡設備的結(jié)構(gòu)圖之一����;圖10為本發(fā)明實施例提供的第二種網(wǎng)絡設備的結(jié)構(gòu)圖之二 �;圖11為本發(fā)明實施例提供的網(wǎng)絡系統(tǒng)的結(jié)構(gòu)圖。
具體實施例方式下面結(jié)合說明書附圖�,對本發(fā)明實施例提供的一種訪問運營商自有業(yè)務的方法、設備及系統(tǒng)的具體實施方式
進行說明�。首先對本發(fā)明實施例提供的訪問運營商自有業(yè)務的方法的流程進行說明。本發(fā)明實施例提供的一種訪問運營商自有業(yè)務的方法�����,如圖3所示�����,具體包括以下步驟S301���、局域網(wǎng)內(nèi)第一網(wǎng)絡設備接收到終端發(fā)送的其他網(wǎng)絡的訪問請求;S302�、第一網(wǎng)絡設備根據(jù)預先配置的運營商自有業(yè)務的目的地址和/或端口號信息,確定該訪問請求是否為運營商自有業(yè)務的訪問請求�,若是���,執(zhí)行下述步驟S303,若否�,執(zhí)行下述步驟S307 ;S303�����、第一網(wǎng)絡設備將該訪問請求發(fā)送至運營商網(wǎng)絡中第二網(wǎng)絡設備����;S304、第二網(wǎng)絡設備根據(jù)負責對局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息��,確定發(fā)送該訪問請求的終端是否為合法用戶����;若確定是合法用戶,執(zhí)行下述步驟S305����,否則,執(zhí)行下述步驟S306 ���;
S305���、轉(zhuǎn)發(fā)該訪問請求至對應的自有業(yè)務���;S306、拒絕該訪問請求���。S307��、結(jié)束本流程����。本發(fā)明實施例提供的上述訪問運營商自有業(yè)務的方法中����,局域網(wǎng)可以是有線局域網(wǎng),還可以是無線局域網(wǎng)����;兩種情況下,具體組網(wǎng)結(jié)構(gòu)雖然不相同�,但都可以使用上述方法來解決局域網(wǎng)中終端訪問運營商自有業(yè)務的問題。在上述步驟S301中�,第一網(wǎng)絡設備是局域網(wǎng)內(nèi)負責該局域網(wǎng)與其他網(wǎng)絡(例如Internet或者運營商網(wǎng)絡)互聯(lián)轉(zhuǎn)發(fā)的網(wǎng)絡實體�,例如����,在局域網(wǎng)為有線局域網(wǎng)的情況下���,該第一網(wǎng)絡設備可以是寬帶遠程接入服務器(Broadband Remote Access Server, Bras)或者寬帶網(wǎng)絡網(wǎng)關(Broadband network gateway);在局域網(wǎng)為無線局域網(wǎng)的情況下,該第一網(wǎng)絡設備可以為無線局域網(wǎng)接入控制器WLANAC或無線局域網(wǎng)接入點WLANAP��。終端可以使用現(xiàn)有技術(shù)中已有的方法向運營商網(wǎng)絡中的第一網(wǎng)絡設備發(fā)起訪問請求��,例如終端需要訪問運營商自有業(yè)務�����,通常會經(jīng)過運營商設置在本地的業(yè)務代理(固定的IP代理或者Socket代理)�����,向第一網(wǎng)絡設備發(fā)起對運營商自有業(yè)務的訪問請求�����,或者終端需要通過局域網(wǎng)訪問Internet���,會在完成局域網(wǎng)認證后,使用完成局域網(wǎng)認證過程中獲取的用戶標識和IP地址 ,向第一網(wǎng)絡設備發(fā)起Internet的訪問請求���,對于第一網(wǎng)絡設備來說��,可能會收到終端發(fā)送的訪問其他網(wǎng)絡的請求���,為了避免第一網(wǎng)絡設備由于無法識別運營商自有業(yè)務的訪問請求而丟棄該請求的數(shù)據(jù)包的問題,在上述步驟S301 S307的流程開始之前���,在第一網(wǎng)絡設備側(cè)����,預先設置了自有業(yè)務的目的IP地址和/或端口號�,如果運營商網(wǎng)絡擁有多個自有業(yè)務,那么預先配置的自有業(yè)務的目的IP地址和/或端口號���,可以采用列表或其他數(shù)據(jù)形式按照不同的自有業(yè)務分別保存在第一網(wǎng)絡設備中��。這樣�����,上述步驟S302中��,當?shù)谝痪W(wǎng)絡設備接收到終端發(fā)送的訪問請求時�,可以根據(jù)預先配置的自有業(yè)務的目的IP地址和/或端口號,與接收的訪問請求進行比較�����,如果該訪問請求中的目的地址��、端口號與所保存的各自有業(yè)務目的IP地址和/或端口號進行匹配��,如果能夠匹配成功���,則認為是運營商自有業(yè)務的訪問請求,從而實現(xiàn)對運營商自有業(yè)務的訪問請求的過濾���。較佳地�,上述步驟S303中���,第一網(wǎng)絡設備將訪問運營商自有業(yè)務的請求�����,封裝后經(jīng)過網(wǎng)絡隧道發(fā)送至運營商網(wǎng)絡中的第二網(wǎng)絡設備���。較佳地��,網(wǎng)絡隧道可以采用現(xiàn)有的GRE隧道��、承載網(wǎng)虛擬專用網(wǎng)絡(VirtualPrivate Network, VPN)或其他網(wǎng)絡隧道類型�。本發(fā)明實施例中����,第二網(wǎng)絡設備是負責運營商網(wǎng)絡與其他網(wǎng)絡互聯(lián)的網(wǎng)絡設備,在具體實施時�����,可以是運營商網(wǎng)絡中的業(yè)務網(wǎng)關或業(yè)務平臺�,例如無線應用協(xié)議(WirelessApplication Protocol, WAP)網(wǎng)關等,本發(fā)明實施例對此不做限定。 較佳地���,上述步驟S304中�����,由于局域網(wǎng)內(nèi)用戶�����,如果是合法用戶���,通常需要完成局域網(wǎng)的認證�����,這樣���,第二網(wǎng)絡設備就可以根據(jù)負責對所述局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息����,確定發(fā)送所述請求的終端是否為合法用戶,繼而確定是否要轉(zhuǎn)發(fā)運營商自有業(yè)務的訪問請求�,這個過程具體可以采用下述兩種方式實現(xiàn)第一種方式第二網(wǎng)絡設備在接收第一網(wǎng)絡設備發(fā)送的訪問運營商自有業(yè)務的請求之后,在判斷發(fā)送該訪問請求的源地址未經(jīng)驗證時����,由負責運營商自有業(yè)務訪問認證的第二認證服務器向第一認證服務器發(fā)送攜帶有該訪問請求的源地址的終端信息查詢請求;第一認證服務器根據(jù)該查詢請求���,判斷發(fā)送所述訪問請求的終端是否為合法終端����,如果是,則向第二認證服務器返回該終端的用戶信息的查詢結(jié)果�,否則,向所述第二認證服務器返回該終端未通過認證的查詢結(jié)果����;第二網(wǎng)絡設備根據(jù)第二認證服務器根據(jù)第二認證服務器返回的查詢結(jié)果,確定該終端是否是合法用戶��。第二種方式在第二種方式中�,在上述S301 S307執(zhí)行之前或者同時,負責該局域網(wǎng)接入認證的第一認證服務器一旦在完成對終端的局域網(wǎng)接入認證之后��,實時地將該完成終端接入認證的相關信息同步給負責運營商自有業(yè)務訪問認證的第二認證服務器��;第二認證服務器接收第一認證服務器實時同步過來的終端認證信息并保存�,該終端認證信息為當前完成所述局域網(wǎng)的接入認證的終端的信息;這樣�����,在上述步驟S304中����,第二網(wǎng)絡設備可以將該終端的相關信息與第二認證服務器保存的所有終端認證信息進行匹配,如果該終端為已完成局域網(wǎng)接入認證的終端�����,則確定該終端是否為合法用戶,反之��,則認為該終端屬于未完成局域網(wǎng)接入認證的終端�,是非法用戶。第一認證服務器��,可以是現(xiàn)有技術(shù)中能夠為局域網(wǎng)完成接入認證的任何種類的服務器�����,例如Portal服務器�、AAA服務器或者Radius服務器等����,完成局域網(wǎng)接入認證的方法可以包括現(xiàn)有的Web Portal認證、EAP-SIM/AKA認證����、受保護的可擴展的身份驗證協(xié)議(TheProtected Extensible Authentication Protocol, PEAP)認證、以太網(wǎng)上的點對點協(xié)議(Point-to-Point Protocol over Ethernet,PPPoE)認證或其他常見的認證方法����,在此�����,本發(fā)明實施例對第一認證服務器為何種認證服務器以及采用何種局域網(wǎng)接入認證方法并不作限定�。為了更好地說明本發(fā)明實施例提供的上述訪問運營商自有業(yè)務的方法�,下面分別以WLAN中的移動終端訪問運營商自有業(yè)務,以及有限局域網(wǎng)的終端訪問運營商自有業(yè)務的實例來詳細說明��。第一個實例�,如圖4所示的網(wǎng)絡架構(gòu)圖,該WLAN中包含AP和WLAN AC�,其中WLANAC與Portal服務器或者AAA/Radius服務器相連。移動終端實現(xiàn)對運營商自有業(yè)務的訪問的流程如下1����、移動終端按照現(xiàn)有技術(shù)的各種認證方式,完成WLAN的接入認證�����;(如果是非法用戶的移動終端����,會在WLAN接入認證失敗后或者不執(zhí)行本步驟直接執(zhí)行下述步驟2),認證方法可以采用基于Web Portal的認證�����、EAP-SM/AKA認證、PEAP認證���、PPPoE認證或其它任何認證方法���。認證完成后,WLAN認證服務器(Portal服務器或AAA/Radius服務器)獲取終端用戶標識(如移動臺國際 ISDN 號碼(Mobile Station international ISDN number,MSISDN))和用戶IP地址�,該移動終端可訪問Internet業(yè)務。2���、WLAN認證服務器將已完成 WLAN接入認證的終端的用戶標識��、用戶IP地址發(fā)送到運營商網(wǎng)絡的業(yè)務網(wǎng)關或業(yè)務平臺(如WAP網(wǎng)關)的業(yè)務認證服務器(例如Radius服務器)上�����,業(yè)務認證服務器保存從WLAN認證服務器接收到的信息,并補充接入類型等其它相關信息��。3�、終端使用現(xiàn)有技術(shù)中的自有業(yè)務接入方式發(fā)起自有業(yè)務的訪問請求;4���、WLAN AC通過預配置的自有業(yè)務目的地址列表或端口號列表對IP數(shù)據(jù)進行過濾���,將符合過濾條件的數(shù)據(jù)封裝在隧道中并發(fā)往運營商網(wǎng)絡的業(yè)務網(wǎng)關或業(yè)務平臺�。隧道形式可以為GRE隧道�����、承載網(wǎng)VPN或其它網(wǎng)絡隧道類型�。當存在不同類型的業(yè)務網(wǎng)關或業(yè)務平臺,WLAN AC也可通過配置多個業(yè)務目的地址列表或端口號列表的方法�,將不同類型的業(yè)務數(shù)據(jù)轉(zhuǎn)發(fā)至不同的業(yè)務網(wǎng)關或業(yè)務平臺。5�、運營商網(wǎng)絡的業(yè)務網(wǎng)關或業(yè)務平臺,將訪問請求中的終端標識和IP地址等用戶信息���,與業(yè)務認證服務器從WLAN認證服務器獲取到的(或從WLAN認證服務器同步過來的)已完成WLAN接入認證的終端的用戶標識�、IP地址等用戶信息進行匹配��,如果匹配成功�����,則認為該終端為合法終端,將終端發(fā)送的請求數(shù)據(jù)包通過網(wǎng)絡地址轉(zhuǎn)換(Network AddressTranslation, NAT)網(wǎng)關進行地址轉(zhuǎn)換(通常在自有業(yè)務無法識別局域網(wǎng)轉(zhuǎn)發(fā)的數(shù)據(jù)包中地址的情況下����,需要進行地址轉(zhuǎn)換),然后轉(zhuǎn)發(fā)至相應的自有業(yè)務��,否則�����,拒絕該訪問請求���。第二個實例���,如圖5所示的網(wǎng)絡架構(gòu)圖,終端通過ADSL�����、光纖等固網(wǎng)方式接入局域網(wǎng)��,局域網(wǎng)中BRAS/BNG設備與AAA/Radius服務器相連�。該終端實現(xiàn)對運營商自有業(yè)務的 訪問的流程如下I'��、終端完成局域網(wǎng)的接入認證(如果是非法用戶使用的終端,會在局域網(wǎng)接入認證失敗后或者不執(zhí)行本步驟直接執(zhí)行下述步驟2)����,認證方法可采用PPPoE、EAP認證或其它常見認證方法����。認證完成后,負責局域網(wǎng)接入認證的固網(wǎng)認證服務器(AAA/Radius服務器)獲取用戶標識和用戶IP地址�����,該用戶可訪問Internet業(yè)務����;2'、固網(wǎng)認證服務器將已完成局域網(wǎng)接入認證的終端的用戶標識����、用戶IP地址發(fā)送到運營商網(wǎng)絡的業(yè)務網(wǎng)關或業(yè)務平臺(如WAP網(wǎng)關)的業(yè)務認證服務器(例如Radius服務器)上,業(yè)務認證服務器保存從固網(wǎng)認證服務器接收到的信息�,并補充接入類型等其它相關信息。3'�����、終端使用現(xiàn)有技術(shù)中的自有業(yè)務接入方式發(fā)起運營商自有業(yè)務的訪問請求;4/���、局域網(wǎng)中的BRAS/BNG通過預配置的自有業(yè)務目的地址列表或端口號列表對IP數(shù)據(jù)進行過濾��,將符合過濾條件的數(shù)據(jù)封裝在隧道中并發(fā)往運營商網(wǎng)的業(yè)務網(wǎng)關或業(yè)務平臺���。當存在不同類型的業(yè)務網(wǎng)關或業(yè)務平臺,BRAS/BNG也可通過配置多個業(yè)務目的地址列表或端口號列表的方法��,將不同類型的業(yè)務數(shù)據(jù)轉(zhuǎn)發(fā)至不同的業(yè)務網(wǎng)關或業(yè)務平臺�����。5'����、運營商網(wǎng)絡的業(yè)務網(wǎng)關或業(yè)務平臺,將訪問請求中的終端標識和IP地址等用戶信息����,與業(yè)務認證服務器從固網(wǎng)認證服務器獲取到的(或從固網(wǎng)認證服務器同步過來的)已完成固網(wǎng)局域網(wǎng)接入認證的終端的用戶標識、IP地址等用戶信息進行匹配�����,如果匹配成功���,則認為該終端為合法終端���,將終端發(fā)送的請求數(shù)據(jù)包通過網(wǎng)絡地址轉(zhuǎn)換網(wǎng)關進行地址轉(zhuǎn)換,然后轉(zhuǎn)發(fā)至相應的自有業(yè)務��,否則����,拒絕該訪問請求。在上述兩個實例中����,如果運營商網(wǎng)絡中存在同一個類型自有業(yè)務對應的業(yè)務網(wǎng)關或者業(yè)務平臺有多個的情況,在上述步驟2和2'中��,在接入認證過程在�����,負責局域網(wǎng)接入認證的服務器(如AAA/Radius服務器)可以將業(yè)務網(wǎng)關或業(yè)務平臺的地址發(fā)送到局域網(wǎng)中的接入控制器/接入服務器(如WLANAC��、BRAS��、BNG等),負責局域網(wǎng)接入認證的服務器可以根據(jù)負載平衡的原則為用戶選擇業(yè)務網(wǎng)關或者業(yè)務平臺�����,例如�����,可輪轉(zhuǎn)為不同用戶選擇不同的業(yè)務網(wǎng)關或業(yè)務平臺地址發(fā)送給局域網(wǎng)中的接入控制器/接入服務器���。接入認證服務器向業(yè)務網(wǎng)關或業(yè)務平臺發(fā)送地址的方法見圖6����,當用戶局域網(wǎng)接入認證成功后��,負責局域網(wǎng)接入認證的服務器會向運營商網(wǎng)絡的業(yè)務認證服務器同步認證成功消息���,在該認證成功消息中攜帶所選擇的運營商網(wǎng)絡的業(yè)務網(wǎng)關或業(yè)務平臺的IP地址��。如果WLAN AC��、BRAS/BNG與接入認證服務器間使用Radius協(xié)議,此消息可采用接入接受(Access Accept)消息����。另外,在上述步驟2和2'中����,也可以由運營商網(wǎng)絡的業(yè)務網(wǎng)關或業(yè)務平臺在收到終端發(fā)送的未知IP數(shù)據(jù)包(該數(shù)據(jù)包的源地址未經(jīng)過認證)后�,由運營商網(wǎng)絡的業(yè)務認證服務器主動向負責局域網(wǎng)認證的服務器發(fā)送查詢請求,以獲取發(fā)送該數(shù)據(jù)包的終端的相關用戶信息����,負責局域網(wǎng)認證的服務器根據(jù)局域網(wǎng)認證結(jié)果,如果該源地址對應的終端經(jīng)過認證��,則向業(yè)務認證服務器返回該終端的用戶信息(例如用戶標識等)�����,否則���,向其返回終端未通過認證的查詢結(jié)果��,業(yè)務認證服務器根據(jù)查詢結(jié)果以確認用戶是否為合法用戶���,具體的流程詳見圖7?��;谕话l(fā)明構(gòu)思�,本發(fā)明實施例還提供了對應的網(wǎng)絡設備以及網(wǎng)絡系統(tǒng),由于這些網(wǎng)絡設備和系統(tǒng)所解決問題的原理與前述訪問運營商自有業(yè)務的方法相似�����,因此該網(wǎng)絡設備和系統(tǒng)的實施可以參見前述方法的實施�����,重復之處不再贅述����。
本發(fā)明實施例提供的第一種網(wǎng)絡設備,位于局域網(wǎng)中��,如圖8所示���,該網(wǎng)絡設備����,包括接收單元801���,用于接收終端發(fā)送的其他網(wǎng)絡的訪問請求����;過濾單元802,用于根據(jù)預先配置的運營商自有業(yè)務的目的地址和/或端口號信息�,確定接收單元801接收的該訪問請求是否為訪問運營商自有業(yè)務的請求;發(fā)送單元803��,用于在所述過濾單元802確定所述請求為訪問運營商自有業(yè)務的請求時��,將該訪問請求發(fā)送至運營商網(wǎng)絡中第二網(wǎng)絡設備��。進一步地,上述發(fā)送單元803,具體用于在所述過濾單元確定所述訪問請求為訪問運營商自有業(yè)務的請求時��,將該訪問請求封裝后經(jīng)過網(wǎng)絡隧道發(fā)送至所述第二網(wǎng)絡設備����。本發(fā)明實施例提供的第二種網(wǎng)絡設備�,位于局域網(wǎng)中,如圖9所示�,包括接收單元901,用于接收局域網(wǎng)中的第一網(wǎng)絡設備轉(zhuǎn)發(fā)的運營商自有業(yè)務的訪問請求��;認證單元902����,用于根據(jù)負責對所述局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息��,確定發(fā)送所述請求的終端是否為合法用戶���;發(fā)送單元903,用于在認證單元902確定是時����,轉(zhuǎn)發(fā)所述請求至對應的自有業(yè)務;否則�����,拒絕所述訪問請求����。進一步地,上述網(wǎng)絡設備的認證單元902�,具體用于根據(jù)第一認證服務器實時同步給第二認證服務器的終端認證信息,判斷該終端是否為合法用戶����;所述終端認證信息包含已完成所述局域網(wǎng)的接入認證的所有終端的信息?��;蛘哌M一步地�����,上述網(wǎng)絡設備���,如圖10所示�,還包括通知單元904���,用于在所述接收單元901接收到所述第一網(wǎng)絡設備發(fā)送的訪問運營商自有業(yè)務的請求之后��,在判斷發(fā)送該訪問請求的源地址未經(jīng)驗證時�,通知負責運營商自有業(yè)務訪問認證的第二認證服務器向所述第一認證服務器發(fā)送攜帶有所述訪問請求的源地址的終端信息查詢請求��,以確認發(fā)送所述訪問請求的終端是否為合法終端���;對應地,認證單元902�,具體用于根據(jù)所述第二認證服務器從第一認證服務器獲取到的查詢結(jié)果,確定該終端是否為合法用戶��。本發(fā)明實施例提供的網(wǎng)絡系統(tǒng)���,如圖11所示���,包括第一網(wǎng)絡設備1101�,位于局域網(wǎng)中�,用于當接收到終端發(fā)送的其他網(wǎng)絡的訪問請求時,根據(jù)預先配置的運營商自有業(yè)務的目的地址和/或端口號信息�����,確定是否為運營商自有業(yè)務的訪問請求����,若是,將所述訪問請求發(fā)送至第二網(wǎng)絡設備1102 ���;第二網(wǎng)絡設備1102����,位于運營商網(wǎng)絡中����,用于根據(jù)負責對所述局域網(wǎng)進行接入認證的第一認證服務器1103的終端認證信息,確定發(fā)送所述訪問請求的終端是否為合法用戶�;若確定是�����,則轉(zhuǎn)發(fā)所述訪問請求至對應的自有業(yè)務��;否則��,拒絕所述訪問請求����;第一認證服務器1103���,用于對終端進行局域網(wǎng)的接入認證�����。進一步地��,本發(fā)明實施例提供的上述系統(tǒng),如圖11所示���,還包括第二認證服務器1104�����,用于在第二網(wǎng)絡設備1102接收到第一網(wǎng)絡設備1101發(fā)送的訪問運營商自有業(yè)務的請求之后����,在判斷發(fā)送該訪問請求的源地址未經(jīng)驗證時,向所述第一認證服務器發(fā)送攜帶有所述訪問請求的源地址的終端信息查詢請求��;并接收第二認證服務器根據(jù)所述查詢請求返回的查詢結(jié)果����;相應地,上述第二網(wǎng)絡設備1102�,具體用于當接收到攜帶有該終端的用戶信息的查詢結(jié)果時,確定該終端為合 法用戶��,當接收到該終端未通過認證的查詢結(jié)果�����,則確定該終端為非法用戶���?��;蛘叩诙J證服務器1104,用于接收第一認證服務器在完成對終端進行局域網(wǎng)的接入認證后實時同步過來的終端認證信息并保存���,所述終端認證信息為當前完成所述局域網(wǎng)的接入認證的終端的信息�;相應地,第二網(wǎng)絡設備1102�,具體用于根據(jù)所述第二認證服務器保存的所有終端認證信息,判斷該終端是否為合法用戶�����。較佳地���,上述第一網(wǎng)絡設備1101為有線局域網(wǎng)中的寬帶遠程接入服務器(BRAS)或?qū)拵ЬW(wǎng)絡網(wǎng)關(BNG)�����,或者為WLAN中的無線局域網(wǎng)接入控制器(WLANAC)或無線局域網(wǎng)接入點��;第二網(wǎng)絡設備1102為業(yè)務網(wǎng)關或業(yè)務平臺�。第一認證服務器1103為門戶(Portal)服務器���、驗證����、授權(quán)和帳戶(AAA)服務器或者遠程認證撥號用戶服務(Radius)服務器�����;第二認證服務器1104為Radius服務器��。本發(fā)明實施例提供的上述網(wǎng)絡系統(tǒng)中����,第二認證服務器可以集成在運營商網(wǎng)絡的業(yè)務平臺或業(yè)務網(wǎng)關中,當然�����,第二網(wǎng)絡設備和第二認證服務器也可以采用兩個獨立的網(wǎng)絡實體實現(xiàn)��,本發(fā)明實施例對此不做限定����。本發(fā)明實施例提供的訪問運營商自有業(yè)務的方法、設備及系統(tǒng)����,局域網(wǎng)中的第一網(wǎng)絡設備根據(jù)自身配置的自有業(yè)務的目的地址和/或端口號信息,過濾出終端發(fā)送的對運營商自有業(yè)務的訪問請求�,將這些訪問請求轉(zhuǎn)發(fā)給運營商網(wǎng)絡的第二網(wǎng)絡設備,第二網(wǎng)絡設備根據(jù)負責對局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息���,確定該終端是否是經(jīng)過局域網(wǎng)認證的合法終端�����,并轉(zhuǎn)發(fā)合法終端的訪問請求給自有業(yè)務���,可以實現(xiàn)局域網(wǎng)通過接入認證的合法終端對自有業(yè)務的自由訪問���,并且,由于該方案不涉及終端側(cè)流程的改進���,終端可以采用任何現(xiàn)有的接入方式完成局域網(wǎng)的接入以及對自有業(yè)務的訪問��,因此��,可以普遍適用于現(xiàn)有任何存量終端��。顯然����,本領域的技術(shù)人員可以對本發(fā)明進行各種改動和變型而不脫離本發(fā)明的精神和范圍����。這樣����,倘若本發(fā)明的這些修改和變型屬于本發(fā)明權(quán)利要求及其等同技術(shù)的范圍之內(nèi)���,則本發(fā)明也意圖包含 這些改動和變型在內(nèi)。
權(quán)利要求
1.一種訪問運營商自有業(yè)務的方法,其特征在于,包括 當局域網(wǎng)內(nèi)第一網(wǎng)絡設備接收到終端發(fā)送的其他網(wǎng)絡的訪問請求時����,根據(jù)預先配置的運營商自有業(yè)務的目的地址和/或端口號信息,確定是否為運營商自有業(yè)務的訪問請求���,若是�����,將所述訪問請求發(fā)送至運營商網(wǎng)絡中第二網(wǎng)絡設備���; 第二網(wǎng)絡設備根據(jù)負責對所述局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息,確定發(fā)送所述訪問請求的終端是否為合法用戶����; 若確定是,則轉(zhuǎn)發(fā)所述訪問請求至對應的自有業(yè)務�����;否則,拒絕所述訪問請求�。
2.如權(quán)利要求1所述的方法,其特征在于��,第二網(wǎng)絡設備根據(jù)第一認證服務器的終端認證信息��,確定發(fā)送所述請求的終端是否為合法用戶�,包括 第二網(wǎng)絡設備在接收所述第一網(wǎng)絡設備發(fā)送的所述訪問請求之后,在判斷發(fā)送該訪問請求的源地址未經(jīng)驗證時����,由負責運營商自有業(yè)務訪問認證的第二認證服務器向所述第一認證服務器發(fā)送攜帶有所述訪問請求的源地址的終端信息查詢請求; 所述第一認證服務器根據(jù)所述查詢請求��,判斷發(fā)送所述訪問請求的終端是否為合法終端�,如果是,則向所述第二認證服務器返回該終端的用戶信息的查詢結(jié)果�,否則,向所述第二認證服務器返回該終端未通過認證的查詢結(jié)果���; 所述第二網(wǎng)絡設備根據(jù)第二認證服務器返回的查詢結(jié)果����,確定該終端是否為合法用戶。
3.如權(quán)利要求1所述的方法�����,其特征在于�,第二網(wǎng)絡設備根據(jù)第一認證服務器的終端認證信息���,確定發(fā)送所述請求的終端是否為合法用戶����,包括 負責運營商自有業(yè)務訪問認證的第二認證服務器接收第一認證服務器在完成對終端進行局域網(wǎng)的接入認證后實時同步過來的終端認證信息并保存����,所述終端認證信息為當前完成所述局域網(wǎng)的接入認證的終端的信息; 所述第二網(wǎng)絡設備根據(jù)所述第二認證服務器保存的所有終端認證信息���,判斷該終端是否為合法用戶�。
4.如權(quán)利要求1-3任一項所述的方法���,其特征在于�,第一網(wǎng)絡設備將所述運營商自有業(yè)務的訪問請求發(fā)送至運營商網(wǎng)絡中第二網(wǎng)絡設備,包括 第一網(wǎng)絡設備將所述運營商自有業(yè)務的訪問請求���,封裝后經(jīng)過網(wǎng)絡隧道發(fā)送至所述第二網(wǎng)絡設備���。
5.如權(quán)利要求1-3任一項所述的方法,其特征在于���,第二網(wǎng)絡設備轉(zhuǎn)發(fā)所述訪問請求至對應的自有業(yè)務�����,具體包括 第二網(wǎng)絡將所述訪問請求進行地址轉(zhuǎn)換后轉(zhuǎn)發(fā)至對應的自有業(yè)務�����。
6.如權(quán)利要求1-3任一項所述的方法��,其特征在于���,第一網(wǎng)絡設備為有線局域網(wǎng)中的寬帶遠程接入服務器BRAS或?qū)拵ЬW(wǎng)絡網(wǎng)關BNG ;或者為無線局域網(wǎng)WLAN中的無線局域網(wǎng)接入控制器WLAN AC或無線局域網(wǎng)接入點WLANAP ; 所述第二網(wǎng)絡設備為業(yè)務網(wǎng)關或業(yè)務平臺��。
7.如權(quán)利要求2或3所述的方法����,其特征在于�����,所述第一認證服務器為門戶Portal服務器�����、驗證��、授權(quán)和帳戶AAA服務器或者遠程認證撥號用戶服務Radius服務器; 所述第二認證服務器為Radius服務器��。
8.—種網(wǎng)絡設備���,其特征在于���,包括接收單元,用于接收終端發(fā)送的其他網(wǎng)絡的訪問請求�����; 過濾單元����,用于根據(jù)預先配置的運營商自有業(yè)務的目的地址和/或端口號信息��,確定所述接收單元接收的所述訪問請求是否為訪問運營商自有業(yè)務的請求��; 發(fā)送單元��,用于在所述過濾單元確定所述訪問請求為訪問運營商自有業(yè)務的請求時����,將所述訪問請求發(fā)送至運營商網(wǎng)絡中第二網(wǎng)絡設備�。
9.如權(quán)利要求8所述的設備,其特征在于����,所述發(fā)送單元,具體用于在所述過濾單元確定所述訪問請求為訪問運營商自有業(yè)務的請求時��,將所述訪問請求封裝后經(jīng)過網(wǎng)絡隧道發(fā)送至所述第二網(wǎng)絡設備��。
10.一種網(wǎng)絡設備�����,其特征在于��,包括 接收單元,用于接收局域網(wǎng)中的第一網(wǎng)絡設備轉(zhuǎn)發(fā)的運營商自有業(yè)務的訪問請求��; 認證單元���,用于根據(jù)負責對所述局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息��,確定發(fā)送所述訪問請求的終端是否為合法用戶�����; 發(fā)送單元��,用于在認證單元確定是時�����,轉(zhuǎn)發(fā)所述訪問請求至對應的自有業(yè)務;否則�����,拒絕所述訪問請求���。
11.如權(quán)利要求10所述的設備�����,其特征在于��,還包括通知單元����,用于在所述接收單元接收到所述第一網(wǎng)絡設備發(fā)送的訪問運營商自有業(yè)務的請求之后,在判斷發(fā)送該訪問請求的源地址未經(jīng)驗證時����,通知負責運營商自有業(yè)務訪問認證的第二認證服務器向所述第一認證服務器發(fā)送攜帶有所述訪問請求的源地址的終端信息查詢請求,以確認發(fā)送所述訪問請求的終端是否為合法終端����; 所述認證單元,具體用于根據(jù)所述第二認證服務器從第一認證服務器獲取到的查詢結(jié)果����,確定該終端是否為合法用戶。
12.如權(quán)利要求10所述的設備��,其特征在于�,所述認證單元,具體用于根據(jù)第一認證服務器實時同步給第二認證服務器的終端認證信息��,判斷該終端是否為合法用戶;所述終端認證信息包含已完成所述局域網(wǎng)的接入認證的所有終端的信息�����。
13.一種網(wǎng)絡系統(tǒng)��,其特征在于�����,包括 第一網(wǎng)絡設備���,位于局域網(wǎng)中����,用于當接收到終端發(fā)送的其他網(wǎng)絡的訪問請求時�,根據(jù)預先配置的運營商自有業(yè)務的目的地址和/或端口號信息,確定是否為運營商自有業(yè)務的訪問請求����,若是���,將所述訪問請求發(fā)送至第二網(wǎng)絡設備��; 第二網(wǎng)絡設備��,位于運營商網(wǎng)絡中�,用于根據(jù)負責對所述局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息,確定發(fā)送所述訪問請求的終端是否為合法用戶�;若確定是,則轉(zhuǎn)發(fā)所述訪問請求至對應的自有業(yè)務��;否則��,拒絕所述訪問請求���; 第一認證服務器�,用于對終端進行局域網(wǎng)的接入認證����。
14.如權(quán)利要求13所述的系統(tǒng),其特征在于���,還包括第二認證服務器�����,用于在所述第二網(wǎng)絡設備接收到所述第一網(wǎng)絡設備發(fā)送的訪問運營商自有業(yè)務的請求之后�,在判斷發(fā)送該訪問請求的源地址未經(jīng)驗證時,向所述第一認證服務器發(fā)送攜帶有所述訪問請求的源地址的終端信息查詢請求��;并接收第二認證服務器根據(jù)所述查詢請求返回的查詢結(jié)果����; 所述第二網(wǎng)絡設備,具體用于當接收到攜帶有該終端的用戶信息的查詢結(jié)果時���,確定該終端為合法用戶��,當接收到該終端未通過認證的查詢結(jié)果�����,則確定該終端為非法用戶��。
15.如權(quán)利要求13所述的系統(tǒng)��,其特征在于��,還包括第二認證服務器��,用于接收第一認證服務器在完成對終端進行局域網(wǎng)的接入認證后實時同步過來的終端認證信息并保存����,所述終端認證信息為當前完成所述局域網(wǎng)的接入認證的終端的信息�; 所述第二網(wǎng)絡設備,具體用于根據(jù)所述第二認證服務器保存的所有終端認證信息�,判斷該終端是否為合法用戶。
16.如權(quán)利要求13-15任一項所述的系統(tǒng)����,其特征在于,所述第一網(wǎng)絡設備為有線局域網(wǎng)中的寬帶遠程接入服務器BRAS或?qū)拵ЬW(wǎng)絡網(wǎng)關BNG��,或者為無線局域網(wǎng)WLAN中的無線局域網(wǎng)接入控制器WLAN AC或無線局域網(wǎng)接入點WLAN AP �����; 所述第二網(wǎng)絡設備為業(yè)務網(wǎng)關或業(yè)務平臺����。
17.如權(quán)利要求13或15所述的系統(tǒng),其特征在于�����,所述第一認證服務器為門戶Portal服務器��、驗證、授權(quán)和帳戶AAA服務器或者遠程認證撥號用戶服務Radius服務器��; 第二認證服務器為Radius服務器����。
全文摘要
本發(fā)明實施例提供了一種訪問運營商自有業(yè)務的方法、設備及系統(tǒng)�����,局域網(wǎng)中的第一網(wǎng)絡設備根據(jù)自身配置的自有業(yè)務的目的地址和/或端口號信息���,過濾出終端發(fā)送的自有業(yè)務的訪問請求���,將這些訪問請求轉(zhuǎn)發(fā)給運營商網(wǎng)絡的第二網(wǎng)絡設備,第二網(wǎng)絡設備根據(jù)負責對局域網(wǎng)進行接入認證的第一認證服務器的終端認證信息�,確定該終端是否是經(jīng)過局域網(wǎng)認證的合法終端,并轉(zhuǎn)發(fā)合法終端的訪問請求給自有業(yè)務��,本發(fā)明可以實現(xiàn)局域網(wǎng)通過接入認證的合法終端對自有業(yè)務的自由訪問���,并且可以普遍適用于現(xiàn)有任何存量終端���。
文檔編號H04W84/12GK103052064SQ201110309988
公開日2013年4月17日 申請日期2011年10月13日 優(yōu)先權(quán)日2011年10月13日
發(fā)明者段曉東, 侯志強, 房雅丁 申請人:中國移動通信集團公司