專利名稱:在WiMAX系統(tǒng)中實(shí)現(xiàn)用戶鑒權(quán)控制移動(dòng)終端上線方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域����,尤其涉及在全球互操作系統(tǒng)中使用僅用戶鑒權(quán) 時(shí)控制任意時(shí)刻同 一個(gè)用戶標(biāo)識(shí)(Network Access Identifier, NAI)只允許 一個(gè)設(shè)備上線的方法���。
背景技術(shù):
全5求孩b皮^妻入互4喿4乍'l"生(World Interoperability for Microwave Access, WiMAX)是一項(xiàng)基于IEEE 802.16標(biāo)準(zhǔn)的寬帶無線接入城域網(wǎng)(Broadband Wireless Access Metropolitan Area Network, BWAMAN ) #支術(shù)��,具有覆蓋范 圍廣��、可擴(kuò)展性強(qiáng)以及業(yè)務(wù)質(zhì)量(QoS)可控制等特點(diǎn)�。WiMAX亦常被稱 為IEEE Wireless MAN ( Metropolitan Area Network),其基本目標(biāo)是提供一 種在城域網(wǎng) 一 點(diǎn)對(duì)多點(diǎn)的多廠商環(huán)境下����,能有效地實(shí)現(xiàn)互操作寬帶無線接 入手段。WiMAX網(wǎng)絡(luò)的體系主要由三部分邏輯實(shí)體構(gòu)成��,如圖l所示�����,分別是 移動(dòng)終端(MS)、接入服務(wù)網(wǎng)絡(luò)(ASN)和連接服務(wù)網(wǎng)絡(luò)(CSN)����。 ASN在 MS和基站(BS)之間建立層二連接,其核心功能網(wǎng)元接入服務(wù)網(wǎng)關(guān) (ASN-GW)連接無線側(cè)和網(wǎng)絡(luò)側(cè)��,完成數(shù)據(jù)報(bào)文的分組路由����。CSN主要 包含鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器(AAA)和DHCP SERVER兩個(gè)功能網(wǎng)元�,其中, AAA維護(hù)用戶信息�、提供鑒權(quán)、授權(quán)和計(jì)費(fèi)功能等�,DHCPSERVER為移 動(dòng)終端分配IP地址。WiMAX網(wǎng)絡(luò)使用擴(kuò)展鑒權(quán)協(xié)議(Extensible Authentication Protocol, EAP),鑒權(quán)才莫式包括W又用戶鑒權(quán)(User-only Authentication),僅設(shè)備鑒權(quán)
(Device-Only Authentication), i殳備和用戶單次鑒權(quán)(Device-User single EAP )以及設(shè)備和用戶兩次鑒權(quán)(Device-User double EAP )����。設(shè)備鑒權(quán)確認(rèn) MS同網(wǎng)絡(luò)是否兼容,并且有助于控制被盜的MS��。用戶鑒權(quán)和授權(quán)認(rèn)證網(wǎng) 絡(luò)接入用戶身份�,向MS和ASN-GW授權(quán)用戶簽約信息。設(shè)備鑒權(quán)是一個(gè) 可選過程,前提是MS預(yù)先定制了安全信用證書�。對(duì)于用戶鑒權(quán),網(wǎng)絡(luò)工 作組(NWG)提供了擴(kuò)展鑒權(quán)協(xié)議授權(quán)密鑰確認(rèn)(Extensible Authentication Protocol Authentication and Key Agreement, EAP扁AKA)和EAP誦TTLS兩種鑒 權(quán)算法�。WiMAX網(wǎng)絡(luò)的用戶鑒權(quán)流程,如圖2所示���,包括如下步驟201: MS收到用戶的登錄消息后�����,向ASN-GW發(fā)送認(rèn)證開始 (EAPOL-Start)報(bào)文�,觸發(fā)認(rèn)證過程��;202: ASN-GW向MS發(fā)送身份請(qǐng)求(EAP-Request/Identity )報(bào)文����,要 求獲取用戶名(Network Access Identifier, NAI);203: MS將用戶名(NAI)通過身份回應(yīng)(EAP-Response/Identity)才艮 文發(fā)給ASN-GW;204: ASN-GW將身份回應(yīng)(EAP-Response/Identity )報(bào)文封裝在 EAP-Message屬性中,發(fā)送遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù) (Remote Authentication Dial In User Service, RADIUS )協(xié)議接入鑒權(quán)報(bào)文 (Access-Request)給AAA;205: AAA發(fā)送RADIUS協(xié)議質(zhì)詢報(bào)文(Access-Challenge )給ASN-GW; 206 : ASN-GW透傳質(zhì)詢請(qǐng)求(EAP-Request/ AKA-Challenge或 EAP-Request/TTLS-Start)給MS;207:繼續(xù)后續(xù)的EAP-AKA或EAP-TTLS鑒權(quán)流程��; 208: MS接入鑒權(quán)成功�,與AAA之間建立起主會(huì)話密鑰(MSK)。 WiMAX網(wǎng)絡(luò)中����,用戶的唯一標(biāo)識(shí)是歸屬筌權(quán)授權(quán)計(jì)費(fèi)(HAAA)服務(wù) 器中存儲(chǔ)的用戶真實(shí)NAI,沒有類似于CDMA或GSM分組域網(wǎng)絡(luò)中能夠 標(biāo)識(shí)終端設(shè)備的國際移動(dòng)用戶識(shí)別碼(International Mobile SubscriberIdentification Number, IMSI )����。由上述用戶鑒權(quán)流程可以看出����,如果多個(gè) MS使用同一個(gè)NAI接入網(wǎng)絡(luò),目前的WiMAX用戶鑒權(quán)算法是無法控制 的��,也就是說用戶只需要開一個(gè)賬號(hào)就可以提供給多個(gè)MS使用����;更糟糕 的是,用戶即使沒有開戶也可以使用別人的賬號(hào)接入網(wǎng)絡(luò)���,這對(duì)于運(yùn)營商 來說顯然是不利的。反觀已經(jīng)成熟的CDMA2000分組域網(wǎng)絡(luò)�,用戶開戶時(shí),不僅需要?jiǎng)?chuàng)建 NAI�,還需要將NAI同MS的IMSI關(guān)聯(lián)在一起。按照運(yùn)營商的策略����,NAI 與IMSI之間可以是一對(duì)一關(guān)系,也可以是多對(duì)多關(guān)系���。MS接入鑒權(quán)時(shí)����, 網(wǎng)絡(luò)接入服務(wù)器(NAS )發(fā)送給HAAA的接入鑒權(quán)報(bào)文,同時(shí)攜帶NAI和 IMSI, HAAA將會(huì)校驗(yàn)NAI,并確認(rèn)NAI與IMSI是否存在對(duì)應(yīng)關(guān)系����,如 果不存在對(duì)應(yīng)關(guān)系,HAAA拒絕MS的接入請(qǐng)求��。WiMAX終端的介質(zhì)訪問控制(Media Access Control, MAC)地址有 點(diǎn)類似于IMSI,但是開戶時(shí)將終端的MAC地址與NAI綁定顯然不是很方 便���,另外用戶可能頻繁更換使用的電腦����,或希望自己的多臺(tái)電腦使用同一 個(gè)NAI,因此��,CDMA2000分組域網(wǎng)絡(luò)的辦法不適宜推廣到WiMAX網(wǎng)絡(luò)�����。因此�,現(xiàn)有4支術(shù)還有待于完善和發(fā)展。發(fā)明內(nèi)容本發(fā)明的目的在于在WiMAX系統(tǒng)中提供一種User-OnlyEAP鑒權(quán)控制 一個(gè)設(shè)備上線的方法�����,限制多個(gè)終端設(shè)備使用同一個(gè)NAI接入,從而保證 運(yùn)營商能夠限制未開戶的用戶使用別人的賬號(hào)接入網(wǎng)絡(luò)���。為了解決上述目的��,本發(fā)明提供了一種在WiMAX系統(tǒng)中實(shí)現(xiàn)用戶鑒 權(quán)控制移動(dòng)終端上線方法�����,包括如下步驟A�、 用戶開戶時(shí)���,在用戶標(biāo)識(shí)上增加限制多臺(tái)移動(dòng)終端同時(shí)在線的簽約 屬性�;B�、 用戶登陸���,移動(dòng)終端向接入服務(wù)網(wǎng)關(guān)發(fā)送接入網(wǎng)絡(luò)請(qǐng)求�,并由所述
歸屬鑒權(quán)授權(quán)計(jì)費(fèi)/I良務(wù)器完成用戶鑒權(quán)�;C、 用戶鑒權(quán)完成后�,所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器檢索其它移動(dòng)終端�����, 并判斷是否有與所述用戶標(biāo)識(shí)相同的其它移動(dòng)終端在線�,有則所述歸屬鑒 權(quán)授權(quán)計(jì)費(fèi)服務(wù)器向其它移動(dòng)終端登錄的前一接入服務(wù)網(wǎng)關(guān)提出請(qǐng)求�����,強(qiáng) 制其它移動(dòng)終端下線��,所述移動(dòng)終端上線���;否則所述移動(dòng)終端正常上線��。其中����,所述方法還包括如下步驟D�����、 所述歸屬筌權(quán)授權(quán)計(jì)費(fèi)服務(wù)器根據(jù)接入報(bào)文中的屬性�,判斷接入鑒 權(quán)報(bào)文攜帶的介質(zhì)訪問控制地址與所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器上保存的 是否一致,是則所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器處理當(dāng)前移動(dòng)終端的重鑒權(quán) 請(qǐng)求����;否則重復(fù)步驟B和C�����。其中���,所述步驟B中,所述用戶鑒權(quán)包括如下步驟B1 �、所述接入力艮務(wù)網(wǎng)關(guān)接收到所述移動(dòng)終端發(fā)送來的接入請(qǐng)求后向所 述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送接入鑒權(quán)請(qǐng)求;B2 ���、所述鑒權(quán)4受權(quán)計(jì)費(fèi)服務(wù)器查詢其它移動(dòng)終端上的在線用戶是否簽 約了限制多設(shè)備同時(shí)在線屬性����,是則所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器向前一接入 服務(wù)網(wǎng)關(guān)提出請(qǐng)求�,強(qiáng)制所述其它移動(dòng)終端下線;否則轉(zhuǎn)入步驟B3;B3��、所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器接受所述移動(dòng)終端的接入請(qǐng)求�����,保存所 述移動(dòng)終端的在線用戶會(huì)話信息��,及授權(quán)用戶的簽約信息���;B4���、所述其它移動(dòng)終端的接入服務(wù)網(wǎng)關(guān)向所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器發(fā) 送計(jì)費(fèi)停止消息,且所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器處理計(jì)費(fèi)停止報(bào)文�;B5 、所述鑒權(quán)4受權(quán)計(jì)費(fèi)服務(wù)器向所述其它移動(dòng)終端的接入服務(wù)網(wǎng)關(guān)回 復(fù)計(jì)費(fèi)停止響應(yīng)�����,完成用戶鑒權(quán)�。其中,步驟B1中包括如下步驟Bll����、所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器查找出與該用戶標(biāo)識(shí)相匹配的真實(shí)用戶 名,并保存該真用戶名����;B12、所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器通過所述真用戶名檢索是否有使用所述
用戶標(biāo)識(shí)的其它移動(dòng)終端在線�,有則轉(zhuǎn)至步驟B2;否則轉(zhuǎn)至步驟B3。其中,步驟B3中�,所述在線用戶會(huì)話信息包括接入服務(wù)網(wǎng)關(guān)客戶端ID、真實(shí)用戶標(biāo)識(shí)及介質(zhì)訪問控制地址�。其中,步驟B中��,所述用戶鑒權(quán)采用的信令為遠(yuǎn)程身份-驗(yàn)證撥入用戶服務(wù)協(xié)議消息���,且所述用戶鑒權(quán)采用的算法是擴(kuò)展鑒權(quán)協(xié)議授權(quán)密鑰確認(rèn)鑒權(quán)算法�����。其中�,所述步驟C還包括如下步驟Cl�����、其它移動(dòng)終端下線��,所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器將判斷所述移動(dòng)終 端的接入服務(wù)網(wǎng)關(guān)拆鏈響應(yīng)時(shí)間是否超��,是則轉(zhuǎn)至步驟C2�,否則轉(zhuǎn)至步驟 C3;C2、所述拆鏈響應(yīng)出錯(cuò)并指示其它的失敗原因�,所述鑒權(quán)授權(quán)計(jì)費(fèi)服 務(wù)器拒絕所述移動(dòng)終端的登陸請(qǐng)求;C3、所述拆鏈響應(yīng)出錯(cuò)并指示用戶會(huì)話不存在����,所述鑒權(quán)授權(quán)計(jì)費(fèi)服 務(wù)器清除所述在線用戶會(huì)話信息����,接受所述移動(dòng)終端登陸請(qǐng)求。與現(xiàn)有技術(shù)相比�,采用本發(fā)明方法,用戶可以在WiMAX系統(tǒng)中實(shí)現(xiàn) 用戶鑒權(quán)控制一臺(tái)終端設(shè)^f吏用同一個(gè)NAI接入網(wǎng)絡(luò)��,保證運(yùn)營商能夠限 制未開戶的用戶使用別人的賬號(hào)接入網(wǎng)絡(luò)��;同時(shí)���,該方法可以方便地應(yīng)用 到多種EAP用戶鑒權(quán)算法中�����,以一種靈活和便于實(shí)現(xiàn)的機(jī)制控制多個(gè)終端 設(shè)備使用同一個(gè)NAI接入網(wǎng)絡(luò)�,可以滿足不同運(yùn)營商的需要�,支持同一個(gè) 運(yùn)營商為不同的用戶提供差異化的服務(wù)。
圖1是現(xiàn)有WiMAX網(wǎng)絡(luò)的體系結(jié)構(gòu)示意圖�����;圖2是現(xiàn)有WiMAX網(wǎng)絡(luò)的用戶鑒權(quán)消息流程圖;圖3是本發(fā)明方法的實(shí)現(xiàn)流程圖��;圖4是本發(fā)明方法中的User-Only鑒權(quán)消息流程圖5是WiMAX系統(tǒng)的User-Only鑒權(quán)控制一個(gè)設(shè)備上線的消息流程圖�。
具體實(shí)施方式
下面結(jié)合附圖,對(duì)本發(fā)明的較佳實(shí)施例作進(jìn)一步詳細(xì)說明�。 請(qǐng)參閱附圖3,本發(fā)明提供了一種在WiMAX系統(tǒng)中實(shí)現(xiàn)用戶鑒權(quán)控制 移動(dòng)終端上線方法,該方法提供了一定的靈活性����,可以滿足不同運(yùn)營商的 需要,并支持同一個(gè)運(yùn)營商為不同的用戶提供差異化的服務(wù)���;其實(shí)現(xiàn)步驟 如下:310�、用戶開戶時(shí)����,在用戶標(biāo)識(shí)上增加限制多移動(dòng)終端(MS)同時(shí)在 線的簽約屬性,禁止同一用戶標(biāo)識(shí)(NAI)的用戶同時(shí)在多臺(tái)移動(dòng)終端上上 線�;320、 用戶請(qǐng)求登陸�,MS向接入服務(wù)網(wǎng)關(guān)(ASN-GW)發(fā)送接入網(wǎng)絡(luò) 請(qǐng)求,并由所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器(HAAA)完成用戶鑒權(quán)�;330��、用戶鑒權(quán)完成后�����,HAAA檢索其它MS,并判斷是否有與NAI相 同的用戶在線�����,有則HAAA向其它MS登錄的前接入服務(wù)網(wǎng)關(guān) (Pre-ASN-GW)提出請(qǐng)求�,強(qiáng)制其它MS下線,所述移動(dòng)終端上線����;否則 所述移動(dòng)終端正常上線;340�����、 HAAA根據(jù)接入報(bào)文中的屬性��,判斷接入鑒權(quán)報(bào)文攜帶的MAC 地址與HAAA上保存的是否一致�,是則HAAA不觸發(fā)拆鏈響應(yīng),處理當(dāng)前 MS的重鑒權(quán)請(qǐng)求��,否則重復(fù)步驟320和330;其中,所述步驟320中����,請(qǐng)參閱附圖4,所述用戶鑒權(quán)過程包括如下步驟321�、 用戶請(qǐng)求登陸,MS發(fā)送接入網(wǎng)絡(luò)請(qǐng)求���,且ASN-GW向AAA發(fā) 送遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)(RADIUS)協(xié)議接入鑒權(quán)報(bào)文�����;且AAA判 斷接入鑒權(quán)報(bào)文攜帶的NAI是否是隨機(jī)用戶名��,是則查找與其相匹配的真 實(shí)用戶名����,并通過真實(shí)用戶名檢索用戶是否在線�,如果其它用戶在線,當(dāng) 前接入用戶的MAC地址與在線用戶的MAC i也址不一致��,則轉(zhuǎn)入步驟322; 如果其它用戶不在線��,轉(zhuǎn)入步驟324;322�����、 AAA查詢所述用戶是否簽約了限制多臺(tái)MS同時(shí)在線屬性,是 則AAA向其它MS登錄的Pre-ASN-GW發(fā)送RADIUS協(xié)議拆鏈請(qǐng)求(Disconnect-Request)���,強(qiáng)制其它用戶所在的移動(dòng)終端下線��,所述MS上線�����, 轉(zhuǎn)入步驟323;否則轉(zhuǎn)入步驟324;323、 如果其它MS成功下線�,Pre-ASN-GW回應(yīng)成功(Disconnect-ACK) 響應(yīng)消息,否則Pre-ASN-GW回應(yīng)失敗(Disconnect-NAK)響應(yīng)消息���。當(dāng) AAA如果收到Pre-ASN-GW的成功(Disconnect隱ACK )或失敗(Disconnect-NAK )響應(yīng)消息�����,且所述響應(yīng)消息中出錯(cuò)原因指示用戶會(huì)話 不存在���,則AAA清除所述用戶會(huì)話信息,轉(zhuǎn)入步驟324; AAA如果在超時(shí) 時(shí)間內(nèi)沒有收到Pre-ASN-GW的成功或失敗響應(yīng)消息�,且所述響應(yīng)消息中 出錯(cuò)原因指示其它的失敗原因����,則拒絕MS的接入請(qǐng)求����;324、 AAA接受MS的接入請(qǐng)求���,保存MS的在線用戶會(huì)話信息����,授權(quán) 用戶簽約信息����,其中所述在線用戶會(huì)話信息包括接入服務(wù)網(wǎng)關(guān)的NAS-ID、 當(dāng)前用戶的真實(shí)NAI及MAC地址�����;325�����、 Pre-ASN-GW向AAA發(fā)送計(jì)費(fèi)停止消息���,且AAA處理計(jì)費(fèi)停止 報(bào)文����;326、 AAA向Pre-ASN-GW回復(fù)計(jì)費(fèi)停止響應(yīng)����,完成用戶鑒權(quán)。 其中��,所述步驟330中��,如果其它移動(dòng)終端成功下線��,該步驟包括如下步驟331�、 其它移動(dòng)終端下線����,所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器將判斷所述 Pre-ASN-GW拆鏈響應(yīng)時(shí)間是否超,是則轉(zhuǎn)至步驟332,否則轉(zhuǎn)至步驟333;332�����、 所述拆鏈響應(yīng)出錯(cuò)并指示其它的失敗原因��,AAA拒絕MS的登陸 請(qǐng)求;333����、 所述拆《連響應(yīng)出錯(cuò)并指示用戶會(huì)話不存在,AAA清除所述在線 用戶會(huì)話信息�,接受MS登陸請(qǐng)求。有時(shí)為了避免MS接入響應(yīng)超時(shí)��,在發(fā)送拆鏈請(qǐng)求(Disconnect-Request) 后就向MS回復(fù)RADIUS協(xié)議接入允許(Access-Accept)報(bào)文����,并接受當(dāng) 前MS的接入請(qǐng)求。AAA收到Pre-ASN-GW的拆鏈響應(yīng)(Disconnect-ACK) 后���,再清除前一個(gè)其它MS的在線用戶會(huì)話信息��。同時(shí)����,啟動(dòng)AAA后臺(tái)任 務(wù)���,定時(shí)地掃描在線用戶會(huì)話信息表�����,如果^^索到被強(qiáng)制下線的用戶仍然 在線�����,重新發(fā)送拆鏈請(qǐng)求(Disconnect-Request )�����。本實(shí)施例中�����,對(duì)于所述用戶鑒權(quán)��,網(wǎng)絡(luò)工作組(NWG)采用擴(kuò)展鑒權(quán) 協(xié)議授權(quán)密鑰確認(rèn)(EAP-AKA)鑒權(quán)算法�����,請(qǐng)參閱附圖5���,其實(shí)現(xiàn)流程包 括如下步驟401、 MS收到用戶的登錄消息后�����,向ASN-GW發(fā)送認(rèn)證開始 (EAPOL-Start)報(bào)文,觸發(fā)認(rèn)證過程���;402����、 ASN-GW向MS發(fā)送身份請(qǐng)求(EAP-Request/Identity)報(bào)文�,要 求獲取用戶名(Outer-NAI);403、 MS將用戶名(Outer-NAI)通過身份回應(yīng)(EAP-Response/Identity) 報(bào)文發(fā)給ASN-GW;404���、 ASN-GW將身份回應(yīng)(EAP-Response/Identity)報(bào)文封裝在 EAP-Message屬性中�����,發(fā)送RADIUS協(xié)議接入鑒權(quán)報(bào)文(Access-Request) 給AAA;405�����、 AAA根據(jù)AKA加密算法���,計(jì)算鑒權(quán)向量(RAND, AUTN, XRES, IK, CK)�,發(fā)送RADIUS協(xié)議質(zhì)詢報(bào)文(Access-Challenge)給ASN-GW;406、 ASN-GW透傳質(zhì)詢請(qǐng)求(EAP-Request/AKA-Challenge)給MS;407、 MS解析EAP-Request/AKA-Challenge�����,校驗(yàn)AUTN成功�����,生成 鑒權(quán)結(jié)果 RES ,并向 ASN-GW 回復(fù)質(zhì)詢響應(yīng)消息(EAP-Response/AKA-Challenge);408 ���、 ASN-GW將EAP-Response/AKA-Challenge 消息封裝在 200710076954.0說明書第9/9頁EAP-Message屬性中����,并再次向AAA發(fā)送RADIUS協(xié)議接入鑒權(quán)才艮文 (Access-R叫uest), AAA校驗(yàn)MS上傳的鑒權(quán)結(jié)果RES,并與本地計(jì)算的 值檢查比較���,確認(rèn)兩者是否一致����,如果一致��,則表示鑒權(quán)通過�;如果MS 接入鑒權(quán)失敗�,AAA 向 ASN-GW發(fā)送接入拒絕報(bào)文 (Access-Reject/EAP-Failure ),拒絕MS的接入請(qǐng)求;409���、 AAA查詢用戶是否簽約了"限制多設(shè)備同時(shí)在線�,�,屬性,如果簽約 了該屬性�,AAA發(fā)送RADIUS協(xié)議拆鏈請(qǐng)求(Disconnect-Request)給前一 個(gè)MS登錄的Pre-ASN-GW,強(qiáng)制在線用戶下線,啟動(dòng)超時(shí)^r測(cè)定時(shí)器���;如 果沒有簽約該屬性��,執(zhí)行步驟411;410���、 如果前一個(gè)MS成功下線,Pre-ASN-GW回應(yīng)ACK消息 (Disconnect-ACK);否則Pre-ASN-GW回應(yīng)NAK消息(Disconnect-NAK);411��、 AAA保存ASN-GW的NAS-ID�、當(dāng)前用戶的真實(shí)NAI和MAC 地址,向ASN-GW發(fā)送接入允許報(bào)文(Access-Accept/EAP-Success),授權(quán) 主會(huì)話密鑰(MSK)和用戶簽約信息����;412、 ASN-GW解析并且透傳EAP-Success給MS, MS接入鑒權(quán)成功���;413�、 Pre-ASN-GW發(fā)送計(jì)費(fèi)停止消息(Accounting-Request Stop)給 AAA, AAA處理計(jì)費(fèi)停止報(bào)文;414�、 AAA向Pre-ASN-GW回復(fù)計(jì)費(fèi)停止響應(yīng)(Accounting-Response Stop )。綜上所述���,采用本發(fā)明方法�,用戶可以在WiMAX系統(tǒng)中實(shí)現(xiàn)用戶鑒 權(quán)控制一臺(tái)終端設(shè)備使用同一個(gè)NAI接入網(wǎng)絡(luò)�����,保證運(yùn)營商能夠限制未開 戶的用戶使用別人的賬號(hào)幾入網(wǎng)絡(luò)����;同時(shí),該方法可以方便地應(yīng)用到多種 EAP用戶鑒權(quán)算法中��,以一種靈活和便于實(shí)現(xiàn)的機(jī)制控制多個(gè)終端設(shè)備使 用同一個(gè)NAI接入網(wǎng)絡(luò)�,可以滿足不同運(yùn)營商的需要,支持同一個(gè)運(yùn)營商 為不同的用戶提供差異化的服務(wù)��?���?傊?���,本發(fā)明并不限于上述實(shí)施方式�����,任何熟悉此技術(shù)者�,在不脫離 本發(fā)明的精神和范圍內(nèi)�,都應(yīng)該落在本發(fā)明的保護(hù)范圍之內(nèi)。
權(quán)利要求
1�、一種在WiMAX系統(tǒng)中實(shí)現(xiàn)用戶鑒權(quán)控制移動(dòng)終端上線方法,包括如下步驟A���、用戶開戶時(shí)�,在用戶標(biāo)識(shí)上增加限制多臺(tái)移動(dòng)終端同時(shí)在線的簽約屬性��;B���、用戶請(qǐng)求登陸����,移動(dòng)終端向接入服務(wù)網(wǎng)關(guān)發(fā)送接入網(wǎng)絡(luò)請(qǐng)求�,之后由所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器完成用戶鑒權(quán)���;C、用戶鑒權(quán)完成后����,所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器檢索其它移動(dòng)終端,判斷是否有與所述用戶標(biāo)識(shí)相同的其它移動(dòng)終端在線�����,有則所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器向其它移動(dòng)終端登錄的接入服務(wù)網(wǎng)關(guān)提出請(qǐng)求��,強(qiáng)制其它移動(dòng)終端下線����,所述移動(dòng)終端上線;否則所述移動(dòng)終端正常上線���。
2���、 根據(jù)權(quán)利要求1所述的方法,其特征在于���,所述方法還包括如下 步驟D��、所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器根據(jù)接入報(bào)文中的屬性����,判斷接入 鑒權(quán)報(bào)文攜帶的介質(zhì)訪問控制地址與所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器上保存 的是否一致,是則所述歸屬鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器處理當(dāng)前移動(dòng)終端的重鑒 權(quán)請(qǐng)求����;否則重復(fù)步驟B和C��。
3�、 根據(jù)權(quán)利要求1或2所述的方法,其特征在于����,所述步驟B中, 所述用戶鑒權(quán)包括如下步驟B1 ��、所述接入服務(wù)網(wǎng)關(guān)接收到所述移動(dòng)終端發(fā)送來的接入請(qǐng)求后向所 述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送接入鑒權(quán)請(qǐng)求����;B2、所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器查詢其它移動(dòng)終端上的在線用戶是否簽 約了限制多設(shè)備同時(shí)在線屬性���,是則所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器向前一接入 服務(wù)網(wǎng)關(guān)提出請(qǐng)求�����,強(qiáng)制其它移動(dòng)終端下線�����;否則轉(zhuǎn)入步驟B3; B3�����、所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器接受所述移動(dòng)終端的接入請(qǐng)求�����,保存所述移動(dòng)終端的在線用戶會(huì)話信息����,及授權(quán)用戶簽約信息;B4�、所述其它移動(dòng)終端的接入服務(wù)網(wǎng)關(guān)向所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器發(fā) 送計(jì)費(fèi)停止消息,且所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器處理計(jì)費(fèi)停止報(bào)文��;B5 �、所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器向所述其它移動(dòng)終端的接入服務(wù)網(wǎng)關(guān)回 復(fù)奸費(fèi)停止響應(yīng),完成用戶鑒權(quán)。
4���、 .根據(jù)權(quán)利要求3所述的方法��,其特征在于���,步驟B1中包括如下 步驟B11 、所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器查找出與該用戶標(biāo)識(shí)相匹配的真實(shí)用戶 名����,并保存該真用戶名�����;B12��、所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器通過所述真用戶名檢索是否有使用所述 用戶標(biāo)識(shí)的其它移動(dòng)終端在線����,有則轉(zhuǎn)至步驟B2;否則轉(zhuǎn)至步驟B3。
5��、 根據(jù)權(quán)利要求3所述的方法��,其特征在于,步驟B3中�����,所述在 線用戶會(huì)話信息包括接入服務(wù)網(wǎng)關(guān)客戶端ID�����、真實(shí)用戶標(biāo)識(shí)及介質(zhì)訪問控 制地址����。
6、 根據(jù)權(quán)利要求1所述的方法��,其特征在于���,所述步驟B中����,所述 用戶鑒權(quán)采用的信令為遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)協(xié)議消息����。
7、 根據(jù)權(quán)利要求6所述的方法�����,其特征在于,所述用戶鑒權(quán)采用的 算法是擴(kuò)展鑒權(quán)協(xié)議授權(quán)密鑰確認(rèn)鑒權(quán)算法�����。
8�、 根據(jù)權(quán)利要求1所述的方法,其特征在于�����,所述步驟C包括如下 步驟Cl�、其它移動(dòng)終端下線,所述鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器將判斷所述移動(dòng)終 端的接入服務(wù)網(wǎng)關(guān)拆鏈響應(yīng)時(shí)間是否超����,是則轉(zhuǎn)至步驟C2���,否則轉(zhuǎn)至步驟 C3;C2�、所述拆《連響應(yīng)出錯(cuò)并指示其它的失敗原因��,所述鑒權(quán)授權(quán)計(jì)費(fèi)服 務(wù)器拒絕所述移動(dòng)終端的登陸請(qǐng)求����;C3��、所述拆鏈響應(yīng)出錯(cuò)并指示用戶會(huì)話不存在����,所述鑒權(quán)授權(quán)計(jì)費(fèi)服 務(wù)器清除所述在線用戶會(huì)話信息�����,接受所述移動(dòng)終端登陸請(qǐng)求�����。
全文摘要
本發(fā)明公開了一種在WiMAX系統(tǒng)中實(shí)現(xiàn)用戶鑒權(quán)控制移動(dòng)終端上線方法�,包括如下步驟用戶開戶時(shí),在用戶標(biāo)識(shí)上增加限制多設(shè)備同時(shí)在線的簽約屬性��;用戶請(qǐng)求登陸�����,歸屬計(jì)費(fèi)服務(wù)器完成用戶鑒權(quán)�����;歸屬計(jì)費(fèi)服務(wù)器檢索其它移動(dòng)終端,判斷是否有與用戶標(biāo)識(shí)相同的其它移動(dòng)終端在線����,有則歸屬計(jì)費(fèi)服務(wù)器向其它移動(dòng)終端登錄的前一接入服務(wù)網(wǎng)關(guān)提出請(qǐng)求,強(qiáng)制其它移動(dòng)終端下線�,移動(dòng)終端上線,否則移動(dòng)終端正常上線���。采用本發(fā)明方法����,用戶可以在WiMAX系統(tǒng)中實(shí)現(xiàn)用戶鑒權(quán)控制一臺(tái)終端設(shè)備使用同一個(gè)NAI接入網(wǎng)絡(luò)����,保證運(yùn)營商能夠限制未開戶的用戶使用別人的賬號(hào)接入網(wǎng)絡(luò)。
文檔編號(hào)H04L1/16GK101127659SQ20071007695
公開日2008年2月20日 申請(qǐng)日期2007年9月6日 優(yōu)先權(quán)日2007年9月6日
發(fā)明者丁馥昊, 戈 朱, 馬云飛, 馬裕民 申請(qǐng)人:中興通訊股份有限公司