專利名稱:一種數(shù)據(jù)業(yè)務(wù)路由方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種路由方法�,特別是涉及一種根據(jù)用戶等級分配互聯(lián)網(wǎng)協(xié)議(IP)地址、以及根據(jù)已分配的IP地址由PDSN和路由器共同完成根據(jù)用戶等級進(jìn)行數(shù)據(jù)業(yè)務(wù)路由的方法����。
背景技術(shù):
目前,基于CDMA2000 1X分組交換系統(tǒng)PDSN(Packet Data Service Node分組數(shù)據(jù)服務(wù)節(jié)點(diǎn))已經(jīng)大規(guī)模商用�����,全球各大電信設(shè)備提供商都推出了自己的分組交換系統(tǒng)PDSN�,這些系統(tǒng)的推出基本是以3GPP2(3rd GenerationPartnership Project 23G協(xié)作組2)制定的標(biāo)準(zhǔn)為框架,然后在此基礎(chǔ)上為滿足不同用戶的需求��,分別推出了具有自身業(yè)務(wù)特色的PDSN系統(tǒng)����。
PDSN系統(tǒng)的基本功能目標(biāo)為PDSN系統(tǒng)與CDMA基站系統(tǒng)和internet/intranet連接����,作為接入網(wǎng)關(guān),提供Simple IP和Mobile IP接入�,提供CDMA2000系統(tǒng)的分組數(shù)據(jù)服務(wù)。
在PDSN系統(tǒng)中主要應(yīng)用的技術(shù)有高速路由轉(zhuǎn)發(fā)技術(shù)��,高速異步PPP處理技術(shù)�,IP交換技術(shù)���,Simple IP/Mobile IP技術(shù)等。
PDSN用于為移動(dòng)終端提供分組數(shù)據(jù)網(wǎng)接入點(diǎn)����,為提供一套完整的分組系統(tǒng)解決方案,同時(shí)也引進(jìn)了鑒權(quán)��、授權(quán)����、計(jì)費(fèi)的AAA(Authentication,Authorization����,Accounting鑒權(quán)、授權(quán)����、計(jì)費(fèi))服務(wù)器,它協(xié)同PDSN一起完成用戶的基本鑒權(quán)���、授權(quán)�����、計(jì)費(fèi)管理功能�。PDSN也配合完成對用戶的鑒權(quán)和計(jì)費(fèi)等功能。
CDMA2000 1X分組交換系統(tǒng)如圖1所示����,包括一套無線側(cè)BS(BaseStation)基站系統(tǒng)和一個(gè)PCF(Packet Control Function分組控制功能),BS主要為用戶分配空中資源����,PCF、PDSN�、AAA一起共同完成數(shù)據(jù)業(yè)務(wù)接入。PDSN和PCF����,按如下的方式執(zhí)行功能。第一����,它們?yōu)閷S梅纸M呼叫執(zhí)行分組呼叫控制和狀態(tài)轉(zhuǎn)換功能;第二����,它們基于專用網(wǎng)絡(luò)為無線分組Internet業(yè)務(wù)執(zhí)行PPP功能;第三����,它們?yōu)榉纸M數(shù)據(jù)業(yè)務(wù)執(zhí)行業(yè)務(wù)信令功能,以及執(zhí)行分組網(wǎng)絡(luò)結(jié)構(gòu)功能����;第四,它們還支持OAM(操作管理維護(hù))功能���。路由器完成不同網(wǎng)絡(luò)資源的訪問�����。而防火墻完成網(wǎng)絡(luò)安全及路由功能����。
用戶的正常接入流程如圖2所示��,大致描述如下步驟201���、MS(Mobile Station移動(dòng)臺(tái))請求接入�,空中資源的申請和分配���;步驟202��、PCF請求和PDSN建立A10通道���,發(fā)送A11-RRQ注冊請求����;步驟203��、PDSN接受A10通道建立請求��,回應(yīng)A11-RRP注冊應(yīng)答���,建立A10通道���;步驟204、MS和PDSN進(jìn)入PPP的LCP(Link Control Protocol鏈路控制協(xié)議)階段�����,協(xié)商鏈路層的屬性�����;步驟205���、MS和PDSN進(jìn)入鑒權(quán)協(xié)商階段�,可選的鑒權(quán)為PAP(口令鑒權(quán)協(xié)議)和CHAP(查詢握手鑒權(quán)協(xié)議)���,PDSN根據(jù)MS發(fā)來的鑒權(quán)報(bào)文�,構(gòu)造發(fā)往AAA服務(wù)器的鑒權(quán)請求包����,到AAA服務(wù)器進(jìn)行用戶身份的認(rèn)證;步驟206�����、AAA服務(wù)器收到鑒權(quán)請求包后�,對用戶的身份進(jìn)行認(rèn)證和授權(quán),返回鑒權(quán)應(yīng)答報(bào)文���;步驟207�����、MS和PDSN進(jìn)入PPP的IPCP(IP Control ProtocolIP控制協(xié)議)階段���,協(xié)商IP層的屬性�����,包括分配給MS的IP地址和VJ(一種IP/TCP頭壓縮協(xié)議)壓縮選項(xiàng)�����;步驟208��、用戶正常接入后��,PDSN向AAA服務(wù)器發(fā)送計(jì)費(fèi)開始報(bào)文通知AAA服務(wù)器開始對用戶的計(jì)費(fèi)�;步驟209����、simple IP用戶可以通過接入網(wǎng),由PDSN完成對IP網(wǎng)絡(luò)的訪問�����。
上述流程中可以看出�,用戶的正常接入主要包括三個(gè)交互過程第一,A11的信令交互過程���,其主要作用為用戶建立PCF與PDSN之間的A10數(shù)據(jù)通道����;第二��,用戶的PPP交互過程�,其主要作用為建立MS與PDSN之間的端到端連接;第三�,PDSN與AAA的交互過程,采用標(biāo)準(zhǔn)的RADIUS協(xié)議交互�。
其中,MS的IP地址分配一般有三種方法�。第一,MS可以在PPP協(xié)商階段自帶IP地址給PDSN�,由PDSN和AAA來驗(yàn)證,但PDSN可以拒絕MS自帶的IP地址申請��;第二���,由PDSN分配��,通常是在PPP的IPCP(IP控制協(xié)議)階段為MS申請一個(gè)IP地址���,這個(gè)地址可以從PDSN暫存的IP地址池中獲?���?���;第三,由AAA分配�����,通常是在PDSN和AAA的交互過程中��,AAA從自己保存的地址池中選擇一個(gè)有效IP地址分配給MS���,然后利用標(biāo)準(zhǔn)的RADIUS報(bào)文把分配好的IP地址傳送給PDSN����,最后再由PDSN把該地址傳送給MS�。
無論哪一種地址分配方法,通常都有這樣一種用戶需求有時(shí)需要區(qū)分用戶等級�,根據(jù)用戶等級分配不同的IP地址,對已分配IP地址的用戶采用不同路由方式����,用戶就可以訪問不同的網(wǎng)絡(luò)資源�。所以��,根據(jù)這一用戶需求�����,相應(yīng)地也需要制定出一種有效的地址分配策略以滿足不同等級用戶訪問不同網(wǎng)絡(luò)資源的權(quán)限��。
因此��,針對MS地址的分配存在以下兩個(gè)問題第一�����,PDSN經(jīng)常不能根據(jù)用戶等級來為用戶分配不同的IP地址��;第二���,PDSN如何為不同等級用戶提供不同路由,從而使用戶去享受更高服務(wù)質(zhì)量的分組數(shù)據(jù)功能����。這樣根據(jù)不同用戶等級PDSN進(jìn)行不同路由就變得非常重要。
針對以上問題不同廠家都有提出了自己不同的IP地址分配策略�����。例如,有些廠家提出這樣的地址分配方式若要為一個(gè)MS用戶分配一個(gè)IP地址��,首先����,系統(tǒng)包括一個(gè)存儲(chǔ)MS等級信息的數(shù)據(jù)庫,當(dāng)接收到與任意MS相關(guān)的IP地址分配請求后��,MS等級是從數(shù)據(jù)庫中識(shí)別出來的��。然后�����,根據(jù)MS等級從各種不同等級的IP地址池中選擇一個(gè)IP地址池��,IP地址池包含了可分配的IP地址���。然后�,從IP地址池中選擇一個(gè)IP地址�����,并將所選的IP地址分配給MS。
這種地址分配方法的缺陷主要有兩點(diǎn)��。第一��,MS的等級信息需要由一個(gè)專門的數(shù)據(jù)庫來存儲(chǔ)����,這樣在地址分配時(shí)務(wù)必增加了與數(shù)據(jù)庫網(wǎng)元的交互時(shí)間,從而增加了接入流程的復(fù)雜性和地址分配的效率����;第二,由于增加了PDSN與數(shù)據(jù)庫之間的接口���,從而使系統(tǒng)的互連互通性更差,系統(tǒng)的兼容性也較差��。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)問題在于提供一種數(shù)據(jù)業(yè)務(wù)路由方法���,提高系統(tǒng)的接入效率�����,增強(qiáng)系統(tǒng)的互連互通性和系統(tǒng)的兼容性�����。
為了實(shí)現(xiàn)上述目的����,本發(fā)明提供了一種數(shù)據(jù)業(yè)務(wù)路由方法,其特點(diǎn)在于�����,該方法是在分組交換系統(tǒng)PDSN中���,根據(jù)用戶等級分配相應(yīng)等級用戶的IP地址�,然后根據(jù)已分配的IP地址進(jìn)行不同路由�����,實(shí)現(xiàn)不同等級用戶訪問不同的網(wǎng)絡(luò)資源�。
上述的數(shù)據(jù)業(yè)務(wù)路由方法,其特點(diǎn)在于��,在根據(jù)用戶等級分配相應(yīng)等級用戶的IP地址的過程中���,是在用戶的鑒權(quán)階段利用分組交換系統(tǒng)PDSN和AAA服務(wù)器預(yù)留的標(biāo)準(zhǔn)RADIUS報(bào)文來傳遞用戶等級信息�。
上述的數(shù)據(jù)業(yè)務(wù)路由方法,其特點(diǎn)在于�����,該方法包括如下步驟步驟1��,建立用戶與用戶等級之間的關(guān)聯(lián)�����;步驟2����,分等級配置該等級用戶的IP地址池;步驟3�,更改路由器設(shè)置,建立路由器上移動(dòng)臺(tái)與互聯(lián)網(wǎng)之間的路由�����;步驟4��,更改防火墻設(shè)置�,建立防火墻上移動(dòng)臺(tái)與互聯(lián)網(wǎng)之間的路由;步驟5�,用戶撥號(hào)上網(wǎng)正常接入互聯(lián)網(wǎng),其中在用戶鑒權(quán)階段�����,分組交換系統(tǒng)PDSN和AAA服務(wù)器的RADIUS報(bào)文交互攜帶了用戶的等級請求和應(yīng)答信息����;步驟6,獲取對應(yīng)等級用戶的IP地址��;步驟7����,在用戶的正常的數(shù)據(jù)業(yè)務(wù)時(shí),路由器和防火墻根據(jù)不同用戶等級的IP地址進(jìn)行不同的路由�,從而實(shí)現(xiàn)不同等級用戶訪問不同網(wǎng)絡(luò)資源的權(quán)限。
上述的數(shù)據(jù)業(yè)務(wù)路由方法�����,其特點(diǎn)在于�����,在步驟1中,包含如下步驟在AAA服務(wù)器中新建某一等級用戶的一個(gè)屬性文件�����;在新建的屬性文件中添加地址池屬性�;把該地址池屬性綁定一個(gè)IP地址池,其中IP地址池的名稱與步驟2中所指的IP地址池名稱一致�。
上述的數(shù)據(jù)業(yè)務(wù)路由方法,其特點(diǎn)在于�,在步驟1中,該IP地址池存儲(chǔ)在AAA服務(wù)器或分組交換系統(tǒng)PDSN中�����;并且�����,相應(yīng)的����,在步驟2中,在AAA服務(wù)器或分組交換系統(tǒng)PDSN中分等級配置該等級用戶的IP地址池�����。
上述的數(shù)據(jù)業(yè)務(wù)路由方法�����,其特點(diǎn)在于��,在步驟5中�����,用戶撥號(hào)上網(wǎng)正常接入互聯(lián)網(wǎng)包含如下步驟移動(dòng)臺(tái)請求接入���,空中資源的申請和分配��;分組控制功能請求和分組交換系統(tǒng)建立通道��,發(fā)送注冊請求����;分組交換系統(tǒng)PDSN接受通道建立請求��,回應(yīng)注冊應(yīng)答����,建立通道�����;
移動(dòng)臺(tái)和分組交換系統(tǒng)PDSN進(jìn)入PPP的鏈路控制協(xié)議階段���,協(xié)商鏈路層的屬性;移動(dòng)臺(tái)和分組交換系統(tǒng)進(jìn)入鑒權(quán)協(xié)商階段���,分組交換系統(tǒng)PDSN根據(jù)移動(dòng)臺(tái)發(fā)來的鑒權(quán)報(bào)文�����,構(gòu)造發(fā)往AAA服務(wù)器的包含有用戶等級信息的鑒權(quán)請求包�,到AAA服務(wù)器進(jìn)行用戶身份的認(rèn)證����;AAA服務(wù)器收到鑒權(quán)請求包后,對用戶的身份進(jìn)行認(rèn)證和授權(quán)返回含有用戶等級信息的鑒權(quán)應(yīng)答報(bào)文����,把用戶等級信息映射到對應(yīng)等級的IP地址;移動(dòng)臺(tái)和分組交換系統(tǒng)PDSN進(jìn)入PPP的IP控制協(xié)議階段�����,協(xié)商IP層的屬性,包括分配給移動(dòng)臺(tái)的IP地址���。
上述的數(shù)據(jù)業(yè)務(wù)路由方法,其特點(diǎn)在于�����,在分配給移動(dòng)臺(tái)的1P地址的過程中��,其包含如下步驟若采用AAA服務(wù)器分配用戶IP地址����,則由AAA服務(wù)器根據(jù)它自身保存的屬性信息獲取IP地址池名稱,然后根據(jù)此IP地址池名稱到AAA服務(wù)器的IP地址池中選擇一個(gè)有效IP地址分配給用戶�����,并在AAA服務(wù)器向分組交換系統(tǒng)PDSN的RADIUS返回應(yīng)答報(bào)文中攜帶所分配的對應(yīng)等級用戶的IP地址�����,由分組交換系統(tǒng)PDSN把該IP地址轉(zhuǎn)發(fā)給移動(dòng)臺(tái)���;若采用分組交換系統(tǒng)PDSN分配用戶IP地址���,則分組交換系統(tǒng)PDSN從AAA服務(wù)器獲取含有用戶等級信息的用戶屬性信息后�����,把用戶等級信息記錄下來后���,由分組交換系統(tǒng)PDSN根據(jù)該用戶等級到與其等級相對應(yīng)的IP地址池獲取可用IP地址分配給移動(dòng)臺(tái)。
上述的數(shù)據(jù)業(yè)務(wù)路由方法����,其特點(diǎn)在于,在步驟2之后還包括步驟在AAA服務(wù)器中新建一個(gè)用戶群�����,并將所新建的屬性文件加入到該組中���;在AAA服務(wù)器中添加一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換用戶����,并將所新建的用戶群關(guān)聯(lián)到該網(wǎng)絡(luò)地址轉(zhuǎn)換用戶���。
上述的數(shù)據(jù)業(yè)務(wù)路由方法���,其特點(diǎn)在于�,在步驟6之后�����,還包括步驟分組交換系統(tǒng)PDSN根據(jù)獲取的IP地址決定是否作網(wǎng)絡(luò)地址轉(zhuǎn)換�,若決定作網(wǎng)絡(luò)地址轉(zhuǎn)換����,是作IP轉(zhuǎn)換還是IP加端口轉(zhuǎn)換。
上述的數(shù)據(jù)業(yè)務(wù)路由方法����,其特點(diǎn)在于,在進(jìn)行用戶的正常的數(shù)據(jù)業(yè)務(wù)之前�,還包括步驟用戶正常接入后,分組交換系統(tǒng)PDSN向AAA服務(wù)器發(fā)送計(jì)費(fèi)開始報(bào)文通知AAA服務(wù)器開始對用戶的計(jì)費(fèi)����。
本發(fā)明通過區(qū)分?jǐn)?shù)據(jù)用戶的等級,不同等級的用戶可以有不同的屬性�,高等級用戶使用指定的公網(wǎng)地址段(分配更多的公網(wǎng)資源),或者分配特定的私網(wǎng)地址段但是采用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)而不是PAT(端口地址轉(zhuǎn)換),低等級用戶不能使用高等級用戶的資源���。對于高等級用戶在使用公網(wǎng)地址段或者一對一的地址映射之后�,就可以訪問那些對源端口有限制的網(wǎng)絡(luò)資源�,而低等級用戶在使用PAT時(shí),就無法訪問這樣的資源�����,提高了系統(tǒng)的接入效率�����。
以下結(jié)合附圖和具體實(shí)施例對本發(fā)明進(jìn)行詳細(xì)描述��,但不作為對本發(fā)明的限定�。
圖1為CDMA2000 1X分組數(shù)據(jù)用戶接入示意圖;圖2為PDSN不區(qū)分用戶等級的分組數(shù)據(jù)用戶接入流程圖����;圖3為本發(fā)明的標(biāo)準(zhǔn)的RADIUS報(bào)文的格式示意圖;圖4為本發(fā)明的一個(gè)RADIUS的屬性字段的具體格式示意圖����;圖5為本發(fā)明PDSN根據(jù)用戶等級進(jìn)行不同路由的分組數(shù)據(jù)用戶接入流程圖�。
具體實(shí)施例方式
本發(fā)明涉及一種CDMA2000 1X(碼分多址系統(tǒng))分組交換系統(tǒng)PDSN(Packet Data Service Node分組數(shù)據(jù)服務(wù)節(jié)點(diǎn))根據(jù)用戶等級進(jìn)行不同路由的實(shí)現(xiàn)方法���。本發(fā)明的方法是根據(jù)用戶等級分配相應(yīng)等級用戶的IP地址�����,然后根據(jù)已分配的IP地址進(jìn)行不同路由����,從而實(shí)現(xiàn)不同等級用戶訪問不同的網(wǎng)絡(luò)資源�。
在本發(fā)明中��,為實(shí)現(xiàn)更為高效的針對不同等級用戶的IP地址分配策略����,可以在用戶的鑒權(quán)階段利用PDSN和AAA的標(biāo)準(zhǔn)RADIUS報(bào)文來傳遞用戶等級信息,省略專門訪問數(shù)據(jù)庫的這一多余環(huán)節(jié)��,用戶的等級信息全部由AAA維護(hù)�����,甚至用戶的IP地址分配也可以由AAA分配���,同時(shí)對AAA分配的IP地址也采用標(biāo)準(zhǔn)的RADIUS協(xié)議報(bào)文傳遞給PDSN���,然后由PDSN轉(zhuǎn)發(fā)給MS�。當(dāng)然MS的IP地址分配也可以采用方法2由PDSN來完成���,PDSN只需為不同用戶等級保存不同的IP地址池即可���。
在用戶的正常接入流程中,在用戶的AAA鑒權(quán)階段作如下兩點(diǎn)改動(dòng)第一�����,PDSN向AAA發(fā)出鑒權(quán)請求時(shí)�,PDSN向AAA發(fā)送標(biāo)準(zhǔn)的RADIUS報(bào)文,在該報(bào)文請求中攜帶用戶等級請求信息����;AAA收到該請求報(bào)文后,發(fā)出鑒權(quán)請求的應(yīng)答報(bào)文���,同樣采用標(biāo)準(zhǔn)的RADIUS協(xié)議報(bào)文�����,并在RADIUS應(yīng)答報(bào)文中攜帶用戶等級應(yīng)答信息�。AAA返回的RADIUS應(yīng)答報(bào)文中攜帶的用戶等級消息其實(shí)指的是這一等級用戶在AAA中存儲(chǔ)的profile,而該用戶的profile又綁定了對應(yīng)等級用戶的IP地址池���。這樣用戶的等級信息可以通過其對應(yīng)等級的IP地址反應(yīng)出來����,因?yàn)橛脩粼讷@得對應(yīng)等級的IP地址之后�����,可為該等級用戶在路由器中設(shè)置不同IP路由��,從而使不同等級用戶具有訪問不同網(wǎng)絡(luò)資源的權(quán)限��。
第二���,PDSN從AAA獲取用戶屬性信息(包括用戶等級信息),把用戶等級信息記錄下來后�����,如果MS的IP地址由PDSN分配�,則從PDSN的IP地址池中選擇一個(gè)相應(yīng)等級用戶的IP地址分配給MS���;如果MS的IP地址由AAA分配,AAA也應(yīng)該存儲(chǔ)一個(gè)與PDSN同樣的IP地址池�����,AAA在收到PDSN的請求時(shí)��,從這個(gè)IP地址池中選擇一個(gè)對應(yīng)用戶等級的IP地址����,同時(shí)通過標(biāo)準(zhǔn)的RADIUS報(bào)文(包括用戶等級請求應(yīng)答信息)發(fā)送給PDSN,PDSN再把該IP地址轉(zhuǎn)發(fā)給MS����。
由上可知,本發(fā)明主要是利用PDSN和AAA之間交互的標(biāo)準(zhǔn)RADIUS報(bào)文來傳遞用戶等級信息��,在標(biāo)準(zhǔn)的RADIUS報(bào)文中我們對其屬性進(jìn)行相應(yīng)設(shè)定���,在RADIUS報(bào)文中有一個(gè)屬性字段Attributes���,格式如圖3所示。
在請求和應(yīng)答的RADIUS報(bào)文中可通過該屬性值攜帶具體的鑒權(quán)���、授權(quán)信息�,同時(shí)也可以通過該屬性指定用戶的等級信息。一個(gè)RADIUS的屬性字段的具體格式如圖4所示��。其中����,Attributes屬性字段中的RADIUS類型指的就是Type。本發(fā)明就是利用該字段來指定RADIUS報(bào)文的RADIUS類型為Framed-Pool����,然后把該屬性添加到用戶的profile中。
因此�����,為實(shí)現(xiàn)不同等級用戶申請對應(yīng)等級的IP地址��,可以預(yù)先在AAA新建一個(gè)用戶等級的profile�,同時(shí)指定Attributes屬性的Type值為Framed-Pool�。把Framed-Pool類型綁定具體的IP地址池,這個(gè)IP地址池存儲(chǔ)在AAA或PDSN中(AAA或PDSN針對不同的用戶等級存儲(chǔ)了不同的IP地址池)����。這樣����,用戶的等級信息就可以通過標(biāo)準(zhǔn)的RADIUS報(bào)文傳遞�。
PDSN根據(jù)用戶的等級進(jìn)行不同路由的具體實(shí)現(xiàn)步驟如下步驟1,建立用戶與用戶等級之間的關(guān)聯(lián)�。在AAA中新建某一等級用戶的一個(gè)Profile文件,在新建的profile中添加Framed-Pool屬性�����,然后把這個(gè)Framed-Pool綁定一個(gè)IP地址池���,其中IP地址池的名稱必須與步驟2中所指的地址池名稱一致��;步驟2��,若IP地址池保存在PDSN����,則需在PDSN配置該等級用戶的IP池(分等級)��;若IP地址池保存在AAA�,則需在AAA配置該等級用戶的IP池(分等級);步驟3,更改路由器設(shè)置����,建立路由器“MS與Internet”之間的路由;步驟4�����,更改防火墻設(shè)置�,建立防火墻“MS與Internet”之間的路由;步驟5����,用戶撥號(hào)上網(wǎng),基本流程與201~209描述相似�,不同的是在用戶鑒權(quán)階段,PDSN和AAA的RADIUS交互攜帶了用戶的等級請求和應(yīng)答信息���。至于如何獲取對應(yīng)等級用戶的IP地址���,可參照步驟6;步驟6����,若采用PDSN分配用戶IP地址���,PDSN根據(jù)該用戶等級到與其等級相對應(yīng)的IP地址池獲取可用IP地址�;若采用AAA分配用戶IP地址,AAA的返回應(yīng)答報(bào)文應(yīng)該包含它自己分配的對應(yīng)等級用戶的IP地址����;步驟7,PDSN根據(jù)獲取的IP地址決定是否作NAT���,若決定作NAT����,是作IP轉(zhuǎn)換還是IP加端口轉(zhuǎn)換���;步驟8���,在用戶的正常的數(shù)據(jù)業(yè)務(wù)時(shí),路由器和防火墻根據(jù)不同用戶等級的IP地址進(jìn)行不同的路由���,從而實(shí)現(xiàn)不同等級用戶訪問不同網(wǎng)絡(luò)資源的權(quán)限��。
上述步驟1的目的是為了把用戶的等級信息映射為IP地址池����,通過對IP地址段的劃分,不同用戶等級使用不同的IP地址段�,當(dāng)用戶接入internet進(jìn)行數(shù)據(jù)業(yè)務(wù)時(shí),PDSN和路由器就可以根據(jù)用戶的IP地址設(shè)定不同路由���,從而實(shí)現(xiàn)不同IP地址的用戶(通過IP地址區(qū)分用戶等級)具備訪問不同網(wǎng)絡(luò)資源的權(quán)限��。所以PDSN和路由器必須事先知道哪些IP地址段對應(yīng)哪些用戶等級�����。
步驟2談及兩種地址分配策略��,針對不同的IP地址分配策略流程也略有不同�。若IP地址是由PDSN分配��,AAA在向PDSN回RADIUS應(yīng)答報(bào)文(含用戶等級信息)時(shí)��,需要傳遞用戶的profile信息(profile已綁定某一IP池)�,即AAA必須告訴PDSN到哪一個(gè)IP池中為這個(gè)用戶分配IP地址;若IP地址是由AAA分配���,AAA根據(jù)它自身保存的profile信息獲取IP池名稱�,然后根據(jù)此IP池名到AAA的IP地址池中選擇一個(gè)有效IP地址分配給用戶,在AAA向PDSN回RADIUS應(yīng)答報(bào)文(含用戶等級信息)時(shí)需攜帶已分配的這個(gè)IP地址�。
步驟3和步驟4的目的是為了建立用戶MS跟internet之間的通道,根據(jù)IP地址區(qū)分不同等級用戶�����,從而保證不同等級用戶擁有訪問不同網(wǎng)絡(luò)資源的權(quán)限�����。
本發(fā)明實(shí)現(xiàn)的關(guān)鍵點(diǎn)如下第一�����,在用戶的鑒權(quán)階段把用戶的屬性通過AAA傳給PDSN���,包括用戶等級信息,所有的用戶信息由AAA維護(hù)����;第二,AAA和PDSN的用戶等級識(shí)別信息可以利用預(yù)留的標(biāo)準(zhǔn)RADIUS報(bào)文字段進(jìn)行交互�����;第三,PDSN或AAA仍使用指定IP池方式���;第四�����,若想建立某一等級用戶���,此方法只會(huì)對即將建立的等級用戶有效,其它等級用戶不受任何影響��。
當(dāng)用戶正常撥號(hào)上網(wǎng)時(shí)�����,為標(biāo)識(shí)不同用戶等級的身份以及實(shí)現(xiàn)不同等級用戶的路由功能��,擴(kuò)展其功能����,本發(fā)明提出圖5所示的解決方案,組網(wǎng)結(jié)構(gòu)可參考圖1�����。如圖5所示,用戶的接入流程包括501�、MS(Mobile Station移動(dòng)臺(tái))請求接入,空中資源的申請和分配����;502、PCF請求和PDSN建立A10通道�����,發(fā)送A11-RRQ注冊請求���;503、PDSN接受A10通道建立請求����,回應(yīng)A11-RRP注冊應(yīng)答,建立A10通道��;504��、MS和PDSN進(jìn)入PPP的LCP(Link Control Protocol鏈路控制協(xié)議)階段���,協(xié)商鏈路層的屬性�����;505��、MS和PDSN進(jìn)入鑒權(quán)協(xié)商階段��,可選的鑒權(quán)為PAP(口令鑒權(quán)協(xié)議)和CHAP(查詢握手鑒權(quán)協(xié)議)�����,PDSN根據(jù)MS發(fā)來的鑒權(quán)報(bào)文���,構(gòu)造發(fā)往AAA服務(wù)器的鑒權(quán)請求包(攜帶相應(yīng)的用戶等級信息)�,到AAA服務(wù)器進(jìn)行用戶身份的認(rèn)證�����;506����、AAA服務(wù)器收到鑒權(quán)請求包后,對用戶的身份進(jìn)行認(rèn)證和授權(quán)�,返回鑒權(quán)應(yīng)答報(bào)文(攜帶相應(yīng)的用戶等級信息);507�����、MS和PDSN進(jìn)入PPP的IPCP(IP Control ProtocolIP控制協(xié)議)階段,協(xié)商IP層的屬性�����,包括分配給MS的IP地址和VJ(一種IP/TCP頭壓縮協(xié)議)壓縮選項(xiàng)����;
508、用戶正常接入后��,PDSN向AAA服務(wù)器發(fā)送計(jì)費(fèi)開始報(bào)文通知AAA服務(wù)器開始對用戶的計(jì)費(fèi)����;509�、simple IP用戶可以通過接入網(wǎng),由PDSN完成對IP網(wǎng)絡(luò)的訪問��,并且�����,為了保證用戶正常數(shù)據(jù)交互���,而設(shè)置不同等級用戶路由���,從而實(shí)現(xiàn)不同等級用戶訪問不同網(wǎng)絡(luò)資源的權(quán)限��。
比較圖2和圖5�,可以看到用戶的接入流程基本是一致的����。只是在用戶鑒權(quán)階段,PDSN發(fā)送標(biāo)準(zhǔn)的RADIUS報(bào)文時(shí)��,攜帶相應(yīng)的用戶等級信息給AAA���。
結(jié)合上述流程��,在實(shí)際應(yīng)用中�����,可以按照如下方法實(shí)施1)首先����,在AAA中新建某一等級用戶的一個(gè)Profile文件,在新建的profile中添加Framed-Pool屬性���,然后把Framed-Pool綁定一個(gè)IP地址池IP-Pool�;2)若IP地址池保存在PDSN���,則需在PDSN配置該等級用戶的IP池(分等級)����;若IP地址池保存在AAA����,則需在AAA配置該等級用戶的IP池(分等級);3)在AAA中新建一個(gè)用戶Group�,把步驟1中新建的profile加入到該組中;4)在AAA中添加一個(gè)NAI用戶�,然后把步驟3中新建的Group關(guān)聯(lián)到該NAI用戶��。
5)更改路由器設(shè)置��,建立路由器“MS與Internet”之間的路由����;6)更改防火墻設(shè)置,建立防火墻“MS與Internet”之間的路由;7)MS請求接入���,空中資源的申請和分配�����;8)PCF請求和PDSN建立A10通道����,發(fā)送A11-RRQ注冊請求����;9)PDSN接受A10通道建立請求,回應(yīng)A11-RRP注冊應(yīng)答��,建立A10通道�;10)MS和PDSN進(jìn)入PPP的LCP(Link Control Protocol鏈路控制協(xié)議)階段,協(xié)商鏈路層的屬性����;11)MS和PDSN進(jìn)入鑒權(quán)協(xié)商階段,可選的鑒權(quán)為PAP(口令鑒權(quán)協(xié)議)和CHAP(查詢握手鑒權(quán)協(xié)議)�����,PDSN根據(jù)MS發(fā)來的鑒權(quán)報(bào)文,構(gòu)造發(fā)往AAA服務(wù)器的鑒權(quán)請求包(含用戶等級信息)�����,到AAA服務(wù)器進(jìn)行用戶身份的認(rèn)證��;12)AAA服務(wù)器收到鑒權(quán)請求包后����,對用戶的身份進(jìn)行認(rèn)證和授權(quán),返回鑒權(quán)應(yīng)答報(bào)文(含用戶等級信息���,把用戶等級信息映射到對應(yīng)等級的IP地址)�;13)MS和PDSN進(jìn)入PPP的IPCP(IP Control ProtocolIP控制協(xié)議)階段��,協(xié)商IP層的屬性���,包括分配給MS的IP地址和VJ(一種IP/TCP頭壓縮協(xié)議)壓縮選項(xiàng)����。若采用PDSN分配用戶IP地址�����,PDSN根據(jù)該用戶等級到與其等級相對應(yīng)的IP地址池獲取可用IP地址�;若采用AAA分配用戶IP地址,AAA的返回應(yīng)答報(bào)文應(yīng)該已包含分配的對應(yīng)等級用戶的IP地址���;14)用戶正常接入后����,PDSN向AAA服務(wù)器發(fā)送計(jì)費(fèi)開始報(bào)文通知AAA服務(wù)器開始對用戶的計(jì)費(fèi)��;15)simple IP用戶可以通過接入網(wǎng)��,由PDSN完成對IP網(wǎng)絡(luò)的訪問���;16)在用戶的正常的數(shù)據(jù)業(yè)務(wù)時(shí)��,路由器和防火墻根據(jù)不同用戶等級的IP地址進(jìn)行不同的路由�����,從而實(shí)現(xiàn)不同等級用戶訪問不同網(wǎng)絡(luò)資源的權(quán)限�。
本發(fā)明通過區(qū)分?jǐn)?shù)據(jù)用戶的等級��,不同等級的用戶可以有不同的屬性���,具體功能體現(xiàn)在高等級用戶使用指定的公網(wǎng)地址段(分配更多的公網(wǎng)資源)����,或者分配特定的私網(wǎng)地址段但是采用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)而不是PAT(端口地址轉(zhuǎn)換),低等級用戶不能使用高等級用戶的資源��。對于高等級用戶在使用公網(wǎng)地址段或者一對一的地址映射之后����,就可以訪問那些對源端口有限制的網(wǎng)絡(luò)資源,而低等級用戶在使用PAT時(shí)�����,就無法訪問這樣的資源��。
綜上所述�,本發(fā)明所述的方法所帶來的有益效果,可歸納為以下幾點(diǎn)(1)該發(fā)明����,用戶接入的AAA鑒權(quán)階段,利用標(biāo)準(zhǔn)的RADIUS報(bào)文傳遞用戶的等級信息���,改動(dòng)少����,系統(tǒng)的兼容性好��。
(2)通過對路由器和防火墻的設(shè)置��,能為不同等級用戶提供不同路由��,而且便于不同等級用戶的管理��。
當(dāng)然����,本發(fā)明還可有其他多種實(shí)施例,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下�����,熟悉本領(lǐng)域的技術(shù)人員當(dāng)可根據(jù)本發(fā)明作出各種相應(yīng)的改變和變形����,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍。
權(quán)利要求
1.一種數(shù)據(jù)業(yè)務(wù)路由方法����,其特征在于���,該方法是在分組交換系統(tǒng)PDSN中,根據(jù)用戶等級分配相應(yīng)等級用戶的IP地址���,然后根據(jù)已分配的IP地址進(jìn)行不同路由���,實(shí)現(xiàn)不同等級用戶訪問不同的網(wǎng)絡(luò)資源。
2.根據(jù)權(quán)利要求1所述的數(shù)據(jù)業(yè)務(wù)路由方法���,其特征在于��,在根據(jù)用戶等級分配相應(yīng)等級用戶的IP地址的過程中��,是在用戶的鑒權(quán)階段利用分組交換系統(tǒng)PDSN和AAA服務(wù)器預(yù)留的標(biāo)準(zhǔn)RADIUS報(bào)文來傳遞用戶等級信息��。
3.根據(jù)權(quán)利要求2所述的數(shù)據(jù)業(yè)務(wù)路由方法�,其特征在于�,該方法包括如下步驟步驟1,建立用戶與用戶等級之間的關(guān)聯(lián)�;步驟2,分等級配置該等級用戶的IP地址池���;步驟3��,更改路由器設(shè)置��,建立路由器上移動(dòng)臺(tái)與互聯(lián)網(wǎng)之間的路由����;步驟4�,更改防火墻設(shè)置,建立防火墻上移動(dòng)臺(tái)與互聯(lián)網(wǎng)之間的路由�;步驟5,用戶撥號(hào)上網(wǎng)正常接入互聯(lián)網(wǎng)����,其中在用戶鑒權(quán)階段,分組交換系統(tǒng)PDSN和AAA服務(wù)器的RADIUS報(bào)文交互攜帶了用戶的等級請求和應(yīng)答信息�����;步驟6���,獲取對應(yīng)等級用戶的IP地址��;步驟7�����,在用戶的正常的數(shù)據(jù)業(yè)務(wù)時(shí)���,路由器和防火墻根據(jù)不同用戶等級的IP地址進(jìn)行不同的路由���,從而實(shí)現(xiàn)不同等級用戶訪問不同網(wǎng)絡(luò)資源的權(quán)限。
4.根據(jù)權(quán)利要求3所述的數(shù)據(jù)業(yè)務(wù)路由方法��,其特征在于����,在步驟1中,包含如下步驟在AAA服務(wù)器中新建某一等級用戶的一個(gè)屬性文件����;在新建的屬性文件中添加地址池屬性;把該地址池屬性綁定一個(gè)IP地址池����,其中IP地址池的名稱與步驟2中所指的IP地址池名稱一致。
5.根據(jù)權(quán)利要求4所述的數(shù)據(jù)業(yè)務(wù)路由方法����,其特征在于,在步驟1中,該IP地址池存儲(chǔ)在AAA服務(wù)器或分組交換系統(tǒng)PDSN中���;并且��,相應(yīng)的���,在步驟2中,在AAA服務(wù)器或分組交換系統(tǒng)PDSN中分等級配置該等級用戶的IP地址池���。
6.根據(jù)權(quán)利要求5所述的數(shù)據(jù)業(yè)務(wù)路由方法,其特征在于�����,在步驟5中�,用戶撥號(hào)上網(wǎng)正常接入互聯(lián)網(wǎng)包含如下步驟移動(dòng)臺(tái)請求接入,空中資源的中請和分配��;分組控制功能請求和分組交換系統(tǒng)建立通道���,發(fā)送注冊請求�����;分組交換系統(tǒng)PDSN接受通道建立請求���,回應(yīng)注冊應(yīng)答��,建立通道���;移動(dòng)臺(tái)和分組交換系統(tǒng)PDSN進(jìn)入PPP的鏈路控制協(xié)議階段,協(xié)商鏈路層的屬性��;移動(dòng)臺(tái)和分組交換系統(tǒng)進(jìn)入鑒權(quán)協(xié)商階段����,分組交換系統(tǒng)PDSN根據(jù)移動(dòng)臺(tái)發(fā)來的鑒權(quán)報(bào)文,構(gòu)造發(fā)往AAA服務(wù)器的包含有用戶等級信息的鑒權(quán)請求包���,到AAA服務(wù)器進(jìn)行用戶身份的認(rèn)證�����;AAA服務(wù)器收到鑒權(quán)請求包后�,對用戶的身份進(jìn)行認(rèn)證和授權(quán)返回含有用戶等級信息的鑒權(quán)應(yīng)答報(bào)文�,把用戶等級信息映射到對應(yīng)等級的IP地址;移動(dòng)臺(tái)和分組交換系統(tǒng)PDSN進(jìn)入PPP的IP控制協(xié)議階段����,協(xié)商IP層的屬性��,包括分配給移動(dòng)臺(tái)的IP地址�����。
7.根據(jù)權(quán)利要求6所述的數(shù)據(jù)業(yè)務(wù)路由方法��,其特征在于�����,在分配給移動(dòng)臺(tái)的IP地址的過程中����,其包含如下步驟若采用AAA服務(wù)器分配用戶IP地址��,則由AAA服務(wù)器根據(jù)它自身保存的屬性信息獲取IP地址池名稱�����,然后根據(jù)此IP地址池名稱到AAA服務(wù)器的IP地址池中選擇一個(gè)有效IP地址分配給用戶����,并在AAA服務(wù)器向分組交換系統(tǒng)PDSN的RADIUS返回應(yīng)答報(bào)文中攜帶所分配的對應(yīng)等級用戶的IP地址,由分組交換系統(tǒng)PDSN把該IP地址轉(zhuǎn)發(fā)給移動(dòng)臺(tái)���;若采用分組交換系統(tǒng)PDSN分配用戶IP地址��,則分組交換系統(tǒng)PDSN從AAA服務(wù)器獲取含有用戶等級信息的用戶屬性信息后����,把用戶等級信息記錄下來后��,由分組交換系統(tǒng)PDSN根據(jù)該用戶等級到與其等級相對應(yīng)的IP地址池獲取可用IP地址分配給移動(dòng)臺(tái)��。
8.根據(jù)權(quán)利要求7所述的數(shù)據(jù)業(yè)務(wù)路由方法��,其特征在于�����,在步驟2之后還包括步驟在AAA服務(wù)器中新建一個(gè)用戶群��,并將所新建的屬性文件加入到該組中�����;在AAA服務(wù)器中添加一個(gè)網(wǎng)絡(luò)地址轉(zhuǎn)換用戶��,并將所新建的用戶群關(guān)聯(lián)到該網(wǎng)絡(luò)地址轉(zhuǎn)換用戶。
9.根據(jù)權(quán)利要求8所述的數(shù)據(jù)業(yè)務(wù)路由方法�����,其特征在于����,在步驟6之后,還包括步驟分組交換系統(tǒng)PDSN根據(jù)獲取的IP地址決定是否作網(wǎng)絡(luò)地址轉(zhuǎn)換�,若決定作網(wǎng)絡(luò)地址轉(zhuǎn)換,是作IP轉(zhuǎn)換還是IP加端口轉(zhuǎn)換����。
10.根據(jù)權(quán)利要求9所述的數(shù)據(jù)業(yè)務(wù)路由方法,其特征在于�,在進(jìn)行用戶的正常的數(shù)據(jù)業(yè)務(wù)之前,還包括步驟用戶正常接入后���,分組交換系統(tǒng)PDSN向AAA服務(wù)器發(fā)送計(jì)費(fèi)開始報(bào)文通知AAA服務(wù)器開始對用戶的計(jì)費(fèi)。
全文摘要
本發(fā)明涉及一種數(shù)據(jù)業(yè)務(wù)路由方法���,在分組交換系統(tǒng)PDSN中�,根據(jù)用戶等級分配相應(yīng)等級用戶的IP地址��,然后根據(jù)已分配的IP地址進(jìn)行不同路由,實(shí)現(xiàn)不同等級用戶訪問不同的網(wǎng)絡(luò)資源�����。本發(fā)明通過區(qū)分?jǐn)?shù)據(jù)用戶的等級���,不同等級的用戶可以有不同的屬性�����,高等級用戶使用指定的公網(wǎng)地址段(分配更多的公網(wǎng)資源)�����,或者分配特定的私網(wǎng)地址段但是采用NAT(網(wǎng)絡(luò)地址轉(zhuǎn)換)而不是PAT(端口地址轉(zhuǎn)換)���,低等級用戶不能使用高等級用戶的資源。對于高等級用戶在使用公網(wǎng)地址段或者一對一的地址映射之后���,就可以訪問那些對源端口有限制的網(wǎng)絡(luò)資源����,而低等級用戶在使用PAT時(shí)��,就無法訪問這樣的資源,提高了系統(tǒng)的接入效率����。
文檔編號(hào)H04L29/12GK101026548SQ200610011359
公開日2007年8月29日 申請日期2006年2月23日 優(yōu)先權(quán)日2006年2月23日
發(fā)明者唐恒, 寇峰, 鄭興明 申請人:中興通訊股份有限公司