WO2012163159A1

WO2012163159A1 - 实现企业网aaa服务器与公网aaa服务器合一的方法及装置

Info

Publication number: WO2012163159A1
Application number: PCT/CN2012/073066
Authority: WO
Inventors: 周俊超
Original assignee: 中兴通讯股份有限公司
Priority date: 2011-05-31
Filing date: 2012-03-26
Publication date: 2012-12-06
Also published as: CN102195988A; CN102195988B

Abstract

本发明公开了一种实现企业网AAA服务器与公网AAA服务器合一的方法及装置，所述方法包括：接收用户发起的认证请求；所述认证请求包括企业的ISP域名；认证所述用户作为公网用户和企业网用户的合法性；所述企业网为所述ISP域名对应的企业网；认证通过时，为所述用户提供分组业务处理。本发明通过提供一种实现企业网AAA服务器与公网AAA服务器合一的方法及装置，节约企业成本的同时简化了认证流程。

Description

实现企业网 AAA服务器与公网 AAA服务器合一的方法及装置技术领域

本发明涉及到通信领域，特别涉及到一种实现企业网认证、授权和计费 ( Authentication, Authorization& Accounting , AAA )服务器与公网 AAA 服务器合一的方法及装置。背景技术

在电信通讯网络分组交换（Packet Switching, PS )域***设备中， AAA 服务器作为用户进行 PS业务的认证、授权、计费中心，需要与多种网元设备以及终端进行交互。在一次业务的过程中，首先用户发起上网请求， AAA 服务器对用户的合法性进行认证，认证通过则根据用户签约信息或者配置信息，授权用户进行相关业务的参数，并记录用户在业务过程中产生的计费信息，用实时或者离线的方式对用户进行计费。在这个过程中， AAA服务器是用户进行 PS相关业务的核心网元。

在实际的通讯网络部署中， AAA服务器有应用于公网用户的，例如码分多址（ Code Division Multiple Access, CDMA ) 用户、全球微波互联接 ( Worldwide Interoperability for Microwave Access, WiMAX )用户、通用分组无线服务技术 /宽带码分多址（General Packet Radio Service/Wideband Code Division Multiple Access, GPRSAVCDMA)用户等公共用户，称为公网 AAA服务器。也有应用于企业网内部用户的，称为企业网 AAA服务器。一般情况下，这两种类型的 AAA服务器是分别部署的，在用户登陆虚拟专用网（ Virtual Private Network, VPN )时，首先到公网 AAA服务器获取对应企业内部的第二层隧道协议 ( Layer 2 Tunneling Protocol ) 网络服务器（ L2TP Network Server, LNS ) 以及隧道等信息，然后根据上述信息，访问 LNS, 通过 LNS再到企业网 AAA服务器进行 VPN的认证和授权。

上述架构存在的问题是： 1 )要求每个企业内部独立拥有一套 AAA服务器，用于用户的认证授权和计费，需要增加额外的投资和维护成本，不利于 VPN业务的开展； 2 )用户的认证和计费流程多，需要分别需要与公网 AAA服务器和企业网 AAA服务器交互，降低了认证效率。发明内容

本发明的主要目的为提供一种实现企业网 AAA服务器与公网 AAA服务器合一的方法及装置，节约企业成本的同时简化了认证流程。

本发明提出一种实现企业网 AAA服务器与公网 AAA服务器合一的方法，包括：

接收用户发起的认证请求；所述认证请求包括企业的 ISP域名；认证所述用户作为公网用户和企业网用户的合法性；所述企业网为所述 ISP域名对应的企业网；

认证通过时，为所述用户提供分组业务处理。

优选地，所述认证所述用户作为公网用户和企业网用户的合法性为：认证所述用户作为公网用户的合法性；

当认证通过时，认证所述用户作为企业网用户的合法性。

优选地，在所述为用户提供分组业务处理之前，所述方法还包括：发送所述企业网的第二层隧道协议网络服务器（LNS)信息至所述用户，用户根据所述 LNS信息与所述 LNS建立连接。

优选地，在发送所述企业网的 LNS信息至所述用户之前，所述方法还包括：

配置所述 LNS信息。

优选地，在所述发送所述企业网的 LNS信息至用户之后，所述方法还包括：接收所述第二层隧道协议访问集中器（ LAC )转发的用户的计费请求，开始计费。

本发明提出一种实现企业网 AAA服务器与公网 AAA服务器合一的装置，包括：

接收模块，用于接收用户发起的认证请求；所述认证请求包括企业的 ISP域名；

认证模块，用于认证所述用户作为公网用户和企业网用户的合法性；所述企业网为所述 ISP域名对应的企业网；

授权模块，用于认证通过时，为所述用户提供分组业务处理。

优选地，所述认证模块包括：

第一认证单元，用于认证所述用户作为公网用户的合法性；

第二认证单元，用于当所述第一认证单元认证通过时，认证所述用户作为企业网用户的合法性。

优选地，所述装置还包括：

发送模块，用于发送所述企业网的 LNS信息至所述用户，供用户根据所述 LNS信息与所述 LNS建立连接。

优选地，所述装置还包括：

配置模块，用于配置所述 LNS信息。

优选地，所述装置还包括：

计费模块，用于接收所述 LAC转发的用户的计费请求，开始计费。本发明提出的一种实现企业网 AAA服务器与公网 AAA服务器合一的方法及装置，利用已有的公网 AAA服务器或企业网服务器，同时认证用户作为公网用户和企业网用户的合法性，无须在企业内部单独设置一企业网 AAA服务器，节约了企业成本的同时简化了认证流程。附图说明

图 1 为本发明实现企业网 AAA服务器与公网 AAA服务器合一的方法一实施例的流程示意图；

图 2 为本发明实现企业网 AAA服务器与公网 AAA服务器合一的方法一实施例的信令示意图；

图 3 为本发明实现企业网 AAA服务器与公网 AAA服务器合一的方法一实施例中认证的流程示意图；

图 4 为本发明实现企业网 AAA服务器与公网 AAA服务器合一的方法又一实施例的流程示意图；

图 5 为本发明实现企业网 AAA服务器与公网 AAA服务器合一的装置一实施例的结构示意图；

图 6 为本发明实现企业网 AAA服务器与公网 AAA服务器合一的装置一实施例中认证模块的结构示意图；

图 7 为本发明实现企业网 AAA服务器与公网 AAA服务器合一的装置又一实施例的结构示意图。具体实施方式

应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

参照图 1、图 2, 提出本发明实现企业网 AAA服务器与公网 AAA服务器合一的方法一实施例，包括：

步驟 S10、接收用户发起的认证请求；所述认证请求包括企业的互联网服务提供商 ( Internet Service Provider, ISP)域名；

具体地，参考图 2, 步驟 201 , 首先用户向基站控制器 /集中式协调功能 ( Base Station Controller/Point Coordination Function, BSC/PCF )发起 VPN 会话，请求访问 VPN资源；步驟 202 , BSC/PCF与分组数据服务节点 / L2TP访问集中器（ Packet Data Serving Node/ L2TP Access Concentrator , PDSN/LAC ) 之间建立 A10 connection连接；

步驟 203 , 用户与 PDSN/LAC进行点对点协议 ( Point to Point Protocol, PPP )会话协商；

步驟 204 , 用户经由 LAC向公网 AAA服务器发起认证请求，该认证请求携带企业的 ISP域名。

步驟 Sll、认证所述用户作为公网用户和企业网用户的合法性；所述企业网为所述 ISP域名对应的企业网；

具体地，如图 2所示，步驟 205 , 由于企业网 AAA服务器与公网 AAA服务器合一（将合并后的 AAA服务器仍称为公网 AAA服务器），公网 AAA服务器同时认证用户作为公网用户和企业网用户的合法性，认证通过，则授权用户对应的 LNS信息，包括 L2TP的隧道类型、 LNS服务器地址、 LNS隧道密码等；

步驟 S12、认证通过时，为所述用户提供分组业务处理。

具体地，参照图 2, 步驟 206, LAC获取上述 LNS信息后，建立与 LNS 之间的 L2TP会话；

步驟 207, 用户与 LNS协商基于 L2TP隧道的 PPP会话；

步驟 208, 协商完毕后，用户与 LNS建立 PPP会话；

步驟 209, LNS向公网 AAA服务器发起 Accounting Request ( start )消息，计费开始；用户通过与 LNS的隧道，开始进行分组业务。

本实施例中，将公网 AAA服务器和企业网 AAA服务器合二为一，利用已有的公网 AAA服务器或企业网服务器，同时认证用户作为公网用户和企业网用户的合法性，无须在企业内部单独设置一企业网 AAA服务器，节约了企业成本的同时简化了认证流程。参照图 3、在一实施例中，步驟 S10可包括：

步驟 S101、认证所述用户作为公网用户的合法性；

步驟 S102、当认证通过时，认证所述用户作为企业网用户的合法性。合并后的公网 AAA服务器首先认证用户作为公网用户的合法性，认证通过才再认证该用户作为企业网用户的合法性，使合并后的认证流程保持原有的认证流程。

参照图 4、提出本发明实现企业网 AAA服务器与公网 AAA服务器合一的方法又一实施例，在上述实施例中，在执行步驟 S10之前，还包括：

步驟 S7、配置所述 LNS信息。

将企业网对应 ISP域名的 LNS信息配置到公网 AAA服务器中，为后续公网 AAA服务器对用户的认证提供准备。后续执行步驟 S10~步驟 S11 , 具体过程与上述相同，不再赘述。

步驟 S8、发送所述企业网的 LNS信息至所述用户，供用户根据所述 LNS信息与所述 LNS建立连接。

当公网 AAA服务器对用户认证通过后，将 LNS信息发送至用户，以便用户根据该 LNS信息与 LNS建立连接；其中，所述 LNS信息包括 L2TP 的隧道类型、 LNS服务器地址、 LNS隧道密码等。

步驟 S9、接收所述 LAC转发的用户的计费请求，开始计费。

接收 LAC转发的用户的计费请求，对用户进行计费。然后执行步驟 S12, 具体过程与上述相同，不再赘述。

参照图 5 ,提出本发明实现企业网 AAA服务器与公网 AAA服务器合一的装置一实施例，包括：

接收模块 10, 用于接收用户发起的认证请求；所述认证请求包括企业的 ISP域名；

认证模块 20,用于认证所述用户作为公网用户和企业网用户的合法性；所述企业网为所述 ISP域名对应的企业网；

授权模块 30, 用于认证通过时，为所述用户提供分组业务处理。

本实施例中，实现企业网 AAA服务器与公网 AAA服务器合一的装置可以是公网 AAA服务器（将企业网 AAA服务器并入公网 AAA服务器），也可以是企业网 AAA服务器（将公网 AAA服务器并入企业网 AAA服务器），本实施例，以公网 AAA服务器为实现企业网 AAA服务器与公网 AAA服务器合一的装置为例进行说明。

首先用户向 BSC/PCF发起 VPN会话，请求访问 VPN资源；

BSC/PCF与 PDSN/LAC之间建立 A10 connection连接；

用户与 PDSN/LAC进行 PPP会话协商；

公网 AAA服务器的接收模块 10接收用户经由 LAC发起的认证请求，该认证请求携带企业的 ISP域名。

由于企业网 AAA服务器与公网 AAA服务器合一（本实施例将合并后的 AAA服务器仍称为公网 AAA服务器），公网 AAA服务器的认证模块 20同时认证用户作为公网用户和企业网用户的合法性，认证通过，则授权用户对应的 LNS信息，其中，所述 LNS信息包括 L2TP的隧道类型、 LNS服务器地址、 LNS隧道密码等；

LAC获取上述 LNS信息后，建立与 LNS之间的 L2TP会话；

用户与 LNS协商基于 L2TP隧道的 PPP会话；

协商完毕后，用户与 LNS建立 PPP会话；

LNS向公网 AAA服务器发起 Accounting Request ( start ) 消息，计费开始；

用户通过与 LNS的隧道，开始与公网 AAA服务器的授权模块 30进行分组业务。

本实施例中，将公网 AAA服务器和企业网 AAA服务器合二为一，利用已有的公网 AAA服务器或企业网 AAA服务器，同时认证用户作为公网用户和企业网用户的合法性，无须在企业内部单独设置一企业网 AAA服务器，节约了企业成本的同时简化了认证流程。

参照图 6, 在一实施例中，认证模块 20包括：

第一认证单元 21 , 用于认证所述用户作为公网用户的合法性；第二认证单元 22, 用于当第一认证单元 21认证通过时，认证所述用户作为企业网用户的合法性。

合并后的公网 AAA服务器首先由第一认证单元 21认证用户作为公网用户的合法性，认证通过才再第二认证单元 22由认证该用户作为企业网用户的合法性，使合并后的认证流程保持原有的认证流程。

参照图 7, 在上述实施例中，所述装置还包括：

配置模块 40, 用于配置所述 LNS信息。

发送模块 50, 用于发送所述企业网的 LNS信息至所述用户，供用户根据所述 LNS信息与所述 LNS建立连接。

计费模块 60, 用于接收所述 LAC转发的用户的计费请求，开始计费。配置模块 40将企业网对应 ISP域名的 LNS信息配置到公网 AAA服务器中，为后续公网 AAA服务器对用户的认证提供准备。当公网 AAA服务器对用户认证通过后，发送模块 50将 LNS信息发送至用户，以便用户根据该 LNS信息包括的 L2TP的隧道类型、 LNS服务器地址、 LNS隧道密码等与 LNS建立连接。

计费模块 60接收 LAC转发的用户的计费请求，对用户进行计费。

以上所述仅为本发明的优选实施例，并非因此限制本发明的专利范围 , 凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换，或直接或间接运用在其他相关的技术领域，均同理包括在本发明的专利保护范围内。

Claims

权利要求书

1、一种实现企业网认证、授权和计费 AAA服务器与公网 AAA服务器合一的方法，其特征在于，所述方法包括：

接收用户发起的认证请求；所述认证请求包括企业的互联网服务提供商 ISP域名；

认证所述用户作为公网用户和企业网用户的合法性；所述企业网为所述 ISP域名对应的企业网；

认证通过时，为所述用户提供分组业务处理。

2、如权利要求 1所述的实现企业网 AAA服务器与公网 AAA服务器合一的方法，其特征在于，所述认证所述用户作为公网用户和企业网用户的合法性为：

认证所述用户作为公网用户的合法性；

当认证通过时，认证所述用户作为企业网用户的合法性。

3、如权利要求 1或 2所述的实现企业网 AAA服务器与公网 AAA服务器合一的方法，其特征在于，在所述为用户提供分组业务处理之前，所述方法还包括：

发送所述企业网的第二层隧道协议网络服务器 LNS信息至所述用户，用户根据所述 LNS信息与所述 LNS建立连接。

4、如权利要求 3所述的实现企业网 AAA服务器与公网 AAA服务器合一的方法，其特征在于，在发送所述企业网的 LNS信息至所述用户之前，所述方法还包括：

配置所述 LNS信息。

5、如权利要求 3所述的实现企业网 AAA服务器与公网 AAA服务器合一的方法，其特征在于，在所述发送所述企业网的 LNS信息至用户之后，所述方法还包括：接收所述第二层隧道协议访问集中器 LAC转发的用户的计费请求，开始计费。

6、一种实现企业网 AAA服务器与公网 AAA服务器合一的装置，其特征在于，所述装置包括：

7、如权利要求 6所述的实现企业网 AAA服务器与公网 AAA服务器合一的装置，其特征在于，所述认证模块包括：

第一认证单元，用于认证所述用户作为公网用户的合法性；

8、如权利要求 6或 7所述的实现企业网 AAA服务器与公网 AAA服务器合一的装置，其特征在于，所述装置还包括：

发送模块，用于发送所述企业网的 LNS信息至所述用户。

9、如权利要求 8所述的实现企业网 AAA服务器与公网 AAA服务器合一的装置，其特征在于，所述装置还包括：

配置模块，用于配置所述 LNS信息。

10、如权利要求 8所述的实现企业网 AAA服务器与公网 AAA服务器合一的装置，其特征在于，所述装置还包括：

计费模块，用于接收所述第二层隧道协议访问集中器 LAC转发的用户的计费请求，开始计费。