CN101621433B - 接入设备的配置方法、装置及系统 - Google Patents
接入设备的配置方法、装置及系统 Download PDFInfo
- Publication number
- CN101621433B CN101621433B CN2008100402818A CN200810040281A CN101621433B CN 101621433 B CN101621433 B CN 101621433B CN 2008100402818 A CN2008100402818 A CN 2008100402818A CN 200810040281 A CN200810040281 A CN 200810040281A CN 101621433 B CN101621433 B CN 101621433B
- Authority
- CN
- China
- Prior art keywords
- network element
- parameter
- element device
- authentication
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种接入设备的配置方法。本发明实施例还提供相应的装置和系统。本发明技术方案的接入设备可以在发送给网络侧设备的认证请求中携带需要接入的网元设备的类型,然后,网络侧设备根据该网元设备的类型获取该网元设备的参数,并在回复给接入设备的认证响应中将该网元设备的参数带给接入设备,最后,接入设备根据该接收到的网元设备的参数对自身进行配置,从而实现了接入设备的快速自动配置,给用户带来了方便。
Description
技术领域
本发明涉及通信技术领域,具体涉及接入设备的配置方法、装置及系统。
背景技术
随着网络业务的蓬勃发展,如何更好地利用现有网络的资源,安全、高速、便捷地接入网络正在得到广泛地关注。
现有技术中,当一个新的家庭网络基站接入运营商的核心网络时,需要在家庭基站上手动配置其将要接入的核心网的网元设备的参数,例如IP(InternetProtocol,网际协议)地址等等。这样家庭基站才能与核心网内部的网关建立网络连接,进行进一步的网络业务。
在对现有技术的研究和实践过程中,本发明的发明人发现,由于网元设备的参数和接入设备的接入行为都不是永久固定不变,所以当网元设备的参数发生变化或接入设备的接入行为发生迁移时,就需要重新手动配置接入设备的参数,这给用户带来极大的不便。
发明内容
本发明实施例提供一种接入设备的配置方法、装置及系统。可以实现接入设备的自动配置。
一种接入设备的配置方法,包括:
发送认证请求给网络侧设备,所述认证请求携带需要接入的网元设备的类型;
接收网络侧设备的认证响应,所述认证响应携带所述网元设备的参数,所述网元设备的参数是所述网络侧设备根据所述网元设备的类型所获取的;
根据所述网元设备的参数为所述接入设备进行配置。
一种接入设备的配置方法,包括:
接收接入设备发送的认证请求,所述认证请求携带需要接入的网元设备的类型;
根据所述网元设备的类型获取所述网元设备的参数;
发送认证响应给接入设备,所述认证响应携带所述网元设备的参数。
一种接入设备,主要包括收发单元和配置单元;
收发单元,用于发送认证请求给网络侧设备,以及接收网络侧设备的认证响应,所述认证请求携带接入设备需要接入的网元设备的类型,所述认证响应携带所述网元设备的参数,所述网元设备的参数是所述网络侧设备根据所述网元设备的类型所获取的;
配置单元,用于根据收发单元接收到的认证响应中携带的网元设备的参数为所述接入设备进行配置。
一种网络侧设备,主要包括收发单元和获取单元;
收发单元,用于接收接入设备发送的认证请求,以及发送认证响应给接入设备,所述认证请求携带需要接入的网元设备的类型,所述认证响应携带所述获取单元获取到的网元设备的参数;
所述获取单元,用于根据所述收发单元接收到的认证请求中携带的网元设备的类型获取所述网元设备的参数。
一种通信系统,主要包括接入设备;
接入设备,主要用于发送认证请求给网络侧设备,所述认证请求携带需要接入的网元设备的类型,接收网络侧设备发送的认证响应,所述认证响应携带所述网元设备的参数,以及根据所述网元设备的参数对接入设备进行配置。
本发明实施例的接入设备可以在发送给网络侧设备的认证请求中携带需要接入的网元设备的类型,然后,网络侧设备根据该网元设备的类型获取该网元设备的参数,并在回复给接入设备的认证成功响应中将该网元设备的参数带给接入设备,最后,接入设备根据该接收到的网元设备的参数对自身进行配置,从而实现了接入设备的快速自动配置,给用户带来了方便。
附图说明
图1是本发明实施例一的方法流程图;
图2是本发明实施例二的方法流程图;
图3是本发明实施例三的方法流程图;
图4是本发明实施例四的方法流程图;
图5是本发明实施例五的接入设备的示意图;
图6是本发明实施例六的网络侧设备的示意图;
图7是本发明实施例七的通信系统的示意图;
图8为本发明实施例中对配置载荷的格式(Configuration Payload Format)进行扩展后的报文格式的示意图;
图9为本发明实施例中对配置类型的格式(Configuration Attribute Format)进行扩展后的报文格式的示意图。
具体实施方式
本发明实施例提供一种接入设备的配置方法。本发明实施例还提供相应的装置和系统,即一种接入设备、一种网络侧设备及一种通信系统。以下分别进行详细说明。
实施例一、
一种接入设备的配置方法,接入设备可以根据运营商的策略,发送认证请求给网络侧设备,该认证请求携带需要接入的网元设备的类型;其次,接收网络侧设备的认证响应,该认证响应携带所述网元设备的参数,其中,所述网元设备的参数是该网络侧设备根据所述网元设备的类型所获取的;最后,根据所述网元设备的参数对接入设备进行配置。
其中,接入设备可以为HNB(Home NodeB,家庭基站)或AP(Access Point,接入点设备)等,网络侧设备可以为SeGW(Security Gateway,安全网关)等,网元设备的参数可以是网元设备的域名或IP地址等参数,如图1所示,其具体流程可以如下:
101、发送认证请求给网络侧,该认证请求携带需要接入的网元设备的类型;
102、接收网络侧的认证响应,该认证响应携带所述接入设备需要接入的网元设备的参数,其中,所述需要接入的网元设备的参数是该网络侧设备根据所述需要接入的网元设备的类型所获取的;
103、接入设备根据所述网元设备的参数对接入设备进行配置,例如根据需要接入的网元设备的域名或IP地址等参数进行配置等。
由上可知,接入设备可以在发送给网络侧的认证请求中携带需要接入的网 元设备的类型,然后,再从网络侧回复的认证响应中获取该需要接入的网元设备的参数,并根据该网元设备的参数对自身的进行配置,从而实现了接入设备的快速自动配置,给用户带来了方便。
实施例二、
一种接入设备的配置方法,网络侧设备接收到接入设备发送的认证请求后,根据该认证请求中携带的接入设备需要接入的网元设备的类型,获取所述需要接入的网元设备的参数,并在发送认证响应给接入设备的同时,将所述获取到的网元设备的参数带给接入设备,即该认证响应中携带所述获取到的网元设备的参数。
其中,接入设备可以为HNB或AP等,网络侧设备可以为SeGW等等,网元设备的参数可以是网元设备的域名或IP地址等参数,如图2所示,其具体流程可以如下:
201、网络侧设备接收接入设备发送的认证请求,该认证请求携带接入设备需要接入的网元设备的类型;
202、网络侧设备根据所述网元设备的类型获取所述网元设备的参数;
203、网络侧设备发送认证响应给接入设备,该认证响应携带所述网元设备的参数;
此后,接入设备可以根据该接收到的网元设备的参数对接入设备进行配置,例如根据需要接入的网元设备的域名或IP地址等参数进行配置等。
由上可知,网络侧设备可以在接收到接入设备发送的认证请求后,根据该认证请求中携带的接入设备需要接入的网元设备的类型,获取该网元设备的参数,再发送携带有该获取到的网元设备的参数的认证响应给接入设备,从而实现了接入设备的快速自动配置,给用户带来了方便。
实施例三、
根据实施例一和实施例二描述的方法,所述发送认证请求给网络侧设备具体为:获取用于标识该网络侧设备的参数,然后根据所获取的参数发送认证请求给该网络侧设备。
此外,考虑到若在接入设备未通过认证之前就对其预配置大部分的网元设 备的参数,可能会给非法的入侵者提供攻击预配置核心网元设备的机会,给预配置核心网元设备带来安全隐患,所以,为了进一步提高该核心网的安全性,还可以是在对接入设备的接入行为的合法性进行认证成功之后,在回复给接入设备的认证成功响应中才携带所述获取到的网元设备的参数。
例如,可以在发放接入设备时就预先提供至少一个网络侧设备,其中,该网络侧设备可以为Provisioned SeGW(Provisioned Security Gateway,预置安全网关)等,用于标识网络侧设备的参数可以是网络侧设备的域名或IP地址等参数。那么,当接入设备开始使用时,可以根据运营商的策略,从中选择一个网络侧设备,获取用于标识该网络侧设备的参数,并根据该获取到的用于标识网络侧设备的参数与该网络侧设备建立连接,发送认证请求给该网络侧设备,此认证请求携带接入设备需要接入的网元设备的类型,该网络侧设备接收到该认证请求后,对其进行认证,即对该接入设备的接入行为的合法性进行认证,若合法,则根据该认证请求中携带的需要接入的网元设备的类型获取相应的网元设备的参数,并在回复认证成功响应给接入设备的同时将获取到的需要接入的网元设备的参数带给接入设备,即该认证成功响应携带该获取的网元设备的参数。最后,接入设备根据接收到的认证成功响应中携带的网元设备的参数对自身的参数进行配置,从而完成自动配置过程。
当然,如果网络侧确定该接入设备的接入行为不合法时,即认证失败时,可以发送认证失败的响应给接入设备,接入设备接收到该认证失败的响应后,可以重新选择另一个网络侧设备,获取用于标识该重新选择的网络侧设备的参数,并根据该重新获取的参数发送认证请求给该重新选择的网络侧设备。例如,可以在所述预先提供的网络侧设备重新选择一个网络侧设备,并选择用于标识该网络侧设备的参数,然后根据所述选择的网络侧设备的参数重新尝试发送认证请求给该网络侧设备。
下面将举例作进一步详细说明,假定接入设备为AP,在AP发放时,预先提供了网络侧设备,即Provisioned SeGW,且提供的网络侧设备的参数为网络侧设备的域名,在此即为Provisioned SeGW的域名,则AP可以根据该Provisioned SeGW的域名通过公网DNS(Domain Name System,域名系统)解析得到该Provisioned SeGW的IP地址,然后根据该Provisioned SeGW的IP地址 与该Provisioned SeGW建立连接。
AP发送认证请求给该Provisioned SeGW,该认证请求中携带AP需要接入的网元设备的类型,该Provisioned SEGW接收到此认证请求后,对其进行认证,即对该AP的接入行为的合法性进行认证;若不合法,则返回认证失败响应给AP,当然,为了提高其初始接入的可靠性,AP可以在收到认证失败响应后,在所述预先提供的多个Provisioned SeGW的中重新选择一个,并获取用于标识该重新选择的Provisioned SeGW的域名,发送认证请求给该重新选择的Provisioned SeGW;若合法,则建立IPSec(Security Architecture forIP network,IP层协议安全结构)隧道,获得内部网给AP分配的IP地址,并且,可以通过查询服务器等途径,根据此认证请求中携带的需要接入的网元设备的类型获取相应的网元设备的参数,该获取的网元设备的参数可以是一个,也可以是多个,例如可以是Serving SeGW(Serving Security Gateway,服务安全网关)、ServingAG(服务接入网关)、Serving APM(服务接入点设备管理)和Serving ClockServer(服务时钟服务器)等等本地接入服务器的地址列表;然后发送认证成功响应给AP,并在该认证成功响应中携带所述获取的网元设备的参数;这样,AP在通过认证的同时,也就获得了它所需要接入的网元设备的参数,从而可以根据该接收到的网元设备的参数进行自身参数的配置。
为了实施以上方法,需要对认证请求和认证成功响应中的ConfigurationPayload(配置载荷)进行扩展。
(1)扩展后的Configuration Payload Format(配置载荷格式)具体可以如图8所示。
其中,Next Payload指示下一个载荷的属性;RESERVED为全零填充的;Payload Length为载荷的长度;
CFG Type为一个八位的二进制数(1 octet),表示Configuration Attributes里面所需要交换的数据模型;例如:
| CFG Type | Value(值) | 描述 |
| CFG_REQUEST | 1 | 表示IKE的一个端点向对端请求信息; |
| CFG_REPLY | 2 | 表示IKE的一个端点向对端回复信息; |
RESERVED值是3个八位二进制长度,应该置成全零。作为接收端来说, 将忽略它。
Configuration Attributes为配置类型
(2)扩展后的Configuration Attribute Format(配置类型的格式)具体可以如图9所示。
其中,Attribute Type为Configurtion Attribute类型的标识,不同类型,标识是不同的。例如“INTERNAL_IP4_ADDRESS”,标识internet上的一个16bit位的私有地址,“INTERNAL_IP4_DNS”标识的是一个网络上地址解析(DNS)服务器的地址;
Length为长度;
Value为值。
(3)Configuration Attribute的设置举例,如下表所示。
| Attribute Type | Value | Valued | Length |
| RESERVED | 0 | ||
| INTERNAL_IP4_ADDRESS | 1 | YES* | 0 or 4 octets |
| INTERNAL_IP4_DNS | 3 | YES | 0 or 4 octets |
| INTERNAL_IP4_AG | 16666 | YES | 0 or 4 octets |
| INTERNAL_IP4_APM | 17777 | YES | 0 or 4 octets |
其中,各种网元设备参数的“Value”值可以用16384-32767中的任一个整数值来标识。例如,AG的“value”值为16666,APM的Value值为17777等等。
参见图3,其流程具体可以如下:
301、AP发送认证请求给Provisioned SeGW,该认证请求中携带AP需要接入的网元设备的类型,该认证请求具体可以如下:
IKE_AUTH Request[Header,User ID,Configuration Payload(ConfigurationAttribute,type value=16666...,length:...),...AUTH];
意思为:IKE_认证请求[报头,用户标识,配置载荷(配置类型,类型值=16666...,长度:...)...,AUTH值];
其中,IKE(Internet Key Exchange)为Internet密钥交换协议;
302、Provisioned SeGW接收到此认证请求后,对其进行认证,即对该AP的接入行为的合法性进行认证;
303、若不法,即认证失败,则发送认证失败的响应给AP,AP可以在预置的多个Provisioned SEGW中重新选择一个,并获取用于标识该ProvisionedSeGW的域名,根据该Provisioned SeGW的域名发送认证请求给该重新选择的Provisioned SEGW;
304、若合法,即认证成功,则Provisioned SeGW根据该认证请求中携带的需要接入的网元设备的类型获取相应的网元设备的参数,比如网元设备的域名或IP地址等参数;
305、Provisioned SeGW发送认证成功响应给AP,该认证成功响应携带步骤304中获取到的网元设备的参数;该认证成功响应具体可以如下:
IKE_AUTH Response[Header,AUTH,Configuration Payload(ConfigurationAttribute,type value=16666....value :http://wwww.AG1shanghai.com,Sec.Associations,Traffic selectors];
意思为:IKE认证回复[报头,AUTH值,配置载荷(配置类型,类型值=16666….value:网元的域名或者IP地址等];
306、AP接收该认证成功响应,并根据该认证成功响应中携带的网元设备的参数自身进行配置,例如根据需要接入的网元设备的域名或IP地址等参数进行配置等。
由上可知,AP可以在发送给Provisioned SeGW的认证请求中携带AP需要接入的网元设备的类型,然后,再从Provisioned SeGW回复的认证成功响应中获取该网元设备的参数,从而实现了AP的快速自动配置,给用户带来了方便,而且,网元设备的参数是在AP认证成功之后才获得的,保证了AP接入行为的合法性,减少了核心网元设备被非法入侵者攻击的概率。
应当理解的是,本实施例只是以接入设备为AP,网络侧设备为ProvisionedSeGW,且AP初始启动时AP中预置的网络侧设备参数是Provisioned SeGW的域名的情况进行描述的,此外,所述的接入设备还可能为HNB等具有类似功能的 设备,网络侧设备也可能是AG等其他网元设备,AP初始启动时AP中预先提供的网络侧设备参数还可能是网络侧设备的IP地址等参数。
实施例四、
在实施例三的基础上,下面将对本发明实施例提供的方法作进一步详细说明。
假定接入设备为AP,在AP发放时,预置了若干个网络侧设备ProvisionedSeGW,且提供的用于标识Provisioned SeGW的参数为Provisioned SeGW的域名,则AP可以根据该Provisioned SeGW的域名通过公网DNS解析得到该Provisioned SeGW的IP地址,然后根据该Provisioned SeGW的IP地址与该Provisioned SeGW建立连接。
AP发送认证请求给该Provisioned SeGW,该认证请求中携带AP需要接入的网元设备的类型,该Provisioned SeGW接收到该认证请求后,将该认证请求转发至AAA(Authentication、Authorization、Accounting Server,认证、授权以及计费服务器)服务器,AAA服务器可以从归属地管理服务器等服务器获得用户数据文件,以确定用户的权限,即对该AP的接入行为的合法性进行认证;若不合法,则返回认证失败响应给该AP,AP可以在所述预置的多个Provisioned SeGW中重新选择一个,获取用于标识该重新选择的ProvisionedSeGW的域名,根据该获取到的Provisioned SeGW的域名发送认证请求给该重新选择的Provisioned SeGW;该重新选择的Provisioned SeGW收到认证请求后,对AP的接入行为的合法性进行判断,若合法,则建立IPSec隧道,获得内部网给AP分配的IP地址,并且,可以通过查询服务器等途径,根据此认证请求中携带的需要接入的网元设备的类型获取相应的网元设备的参数,然后发送认证成功响应给AP,并在该认证成功响应中携带所述获取到的网元设备的参数;这样,AP在通过认证的同时,也就获得了它所需要接入的网元设备的参数,从而可以根据该接收到的网元设备的参数对自身进行配置。
上述IPsec是在IP层提供安全服务的协议,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。IPsec用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径安全。
为了实施以上方法,需要对认证请求和认证成功响应中的ConfigurationPayload(配置载荷)进行扩展,具体格式可参见实施例三。
如图4所示,其具体流程可以如下:
401、AP发送认证请求给Provisioned SeGW,该认证请求中携带AP需要接入的网元设备的类型;
402、Provisioned SeGW接收该认证请求,并转发此认证请求给AAA服务器;
403、AAA服务器接收到该认证请求后,可以通过归属地管理服务器获取用户数据文件,以确定用户权限,即对AP进行认证;
404、AAA服务器回复认证结果给Provisioned SeGW;
405、Provisioned SeGW接收到该认证结果后,若认证失败,则将发送认证失败的响应给AP,AP可以重新选择另一个Provisioned SeGW,获取该重新选择的Provisioned SeGW的参数,尝试再次发送认证请求给重新选择的Provisioned SeGW;
406、若认证成功,则Provisioned SeGW根据步骤402中接收到认证请求中携带的需要接入的网元设备的类型查询服务器,获得所述需要接入的网元设备的参数;
407、Provisioned SeGW发送认证成功响应给AP,所述认证成功响应携带步骤406中获取到的网元设备的参数;
408、AP接收该认证成功响应,并根据该认证成功响应中携带的网元设备的参数对自身进行配置。
由上可知,AP可以在给Provisioned SeGW发送认证请求的同时,将AP需要接入的的网元设备的类型也带给了Provisioned SeGW,然后ProvisionedSeGW对该接入行为的合法性进行认证,若认证成功,则Provisioned SeGW可以根据该网元设备的类型获取该网元设备的参数,并在回复认证成功响应给AP时携带该获取到的网元设备的参数给AP,从而实现了AP的快速自动配置,给用户带来了方便,而且,网元设备的参数是在AP认证成功之后才获得的,保证了AP接入行为的合法性,减少了核心网元设备被非法入侵者攻击的概率。
实施例五、
为了更好实施以上方法,本发明实施例还相应地提供了一种接入设备,如图5所示,主要包括收发单元502和配置单元503,还可以包括获取单元501;
获取单元501,主要用于获取用于标识网络侧设备的参数;
收发单元502,主要用于发送认证请求给网络侧设备,以及接收网络侧设备的认证响应,该认证请求携带接入设备需要接入的网元设备的类型,该认证响应携带所述网元设备的参数,需说明的是,该网元设备的参数是所述网络侧设备根据所述网元设备的类型所获取的;该收发单元502还用于根据获取单元501获取的用于标识网络侧设备的参数发送认证请求给该网络侧设备;
配置单元503,主要用于根据收发单元502接收到的认证响应中携带网元设备的参数对接入设备进行配置。
当然,考虑到若在接入设备未通过认证之前就对其预配置大部分的网元设备的参数,可能会给非法的入侵者提供攻击预配置核心网元设备的机会,给预配置核心网元设备带来安全隐患,所以,为了进一步提高该核心网的安全性,还可以是在对接入设备的接入行为的合法性进行认证成功之后,在回复给接入设备的认证成功响应中才携带所述获取到的网元设备的参数。
以下,将举例作进一步详细说明。
接入设备初始启动后,接入设备的获取单元501可以在预先提供的网络侧设备中选择一个网络侧设备,并获取用于标识该选择的网络侧设备的参数,比如选择一个SeGW的IP地址等等,然后根据该获取的用于标识网络侧设备的参数与该网络侧设备建立连接,收发单元502发送认证请求给该网元设备,该认证请求中携带有接入设备需要接入的网元设备的类型,若该接入行为是合法的,即认证成功,则该网络侧设备根据该接收到的认证请求中携带的网元设备的类型获取与之相应的网元设备的参数,并发送认证成功响应给接入设备,该认证成功响应中携带该获取到的网元设备的参数,之后,接入设备的收发单元502接收该认证成功响应,最后,配置单元503根据收发单元502接收到的认证成功响应中携带的网元设备的参数对接入设备进行配置,以完成接入设备的自动配置。
该接入设备具体可以为家庭基站或AP等等。
由上可知,该接入设备可以在发送给网络侧设备的认证请求中携带接入设备需要接入的网元设备的类型,然后,再从网络侧设备回复的认证成功响应中获取该网元设备的参数并对自身进行配置,从而实现了接入设备的快速自动配置,给用户带来了方便,而且,网元设备的参数是在接入设备认证成功之后才获得的,保证了接入设备接入行为的合法性,减少了核心网元设备被非法入侵者攻击的概率。
实施例六、
本发明实施例还提供一种网络侧设备,如图6所示,主要包括收发单元601和获取单元602;
收发单元601,主要用于接收接入设备发送的认证请求,以及发送认证响应给接入设备,该认证请求携带接入设备需要接入的网元设备的类型,该认证成功响应携带所述获取单元602获取到的网元设备的参数;
获取单元602,主要用于根据收发单元601接收到的认证请求中携带的需要接入的网元设备的类型获取该网元设备的参数。
当然,该网络侧设备还可以包括认证单元603;
认证单元603,用于对收发单元601接收到的认证请求进行认证;
获取单元602,还用于当认证单元603认证成功时,根据收发单元601接收到的认证请求中携带的网元设备的类型获取所述网元设备的参数;
收发单元601,还用于当认证单元603认证成功时,发送认证成功响应给接入设备,所述认证成功响应携带获取单元602获取到的网元设备的参数。
网络侧设备的收发单元601接收到接入设备发送的认证请求后,获取单元602根据该认证请求中携带的接入设备需要接入的网元设备的类型获取相应的网元设备的参数,然后,收发单元601在发送认证响应给接入设备的同时,将该获取单元602获取到的网元设备的参数也带给接入设备,以便之后接入设备可以根据该网元设备的参数对自身进行配置,并与该网元设备建立连接。当然,考虑到若在接入设备未通过认证之前就对其预配置大部分的网元设备的参数,可能会给非法的入侵者提供攻击预配置核心网元设备的机会,给预配置核心网元设备带来安全隐患,所以,为了进一步提高该核心网的安全性,还可以是在对接入设备的接入行为的合法性进行认证成功之后,在回复给接入设备的认证 成功响应中才携带所述获取到的网元设备的参数。
该网络侧设备具体可以为SeGW、AG或ACL(接入控制列表)服务器等等。
由上可知,该网络侧设备可以在接收到接入设备发送的认证请求后,根据该认证请求中携带的接入设备需要接入的网元设备的类型获取该网元设备的参数,再发送携带有该获取到的网元设备的参数的认证成功响应给接入设备,从而实现了接入设备的快速自动配置,给用户带来了方便,而且,网元设备的参数是在接入设备认证成功之后才发送给接入设备的,保证了接入设备接入行为的合法性,减少了核心网元设备被非法入侵者攻击的概率。
实施例七、
本发明实施例还相应地提供一种通信系统,如图7所示,主要包括接入设备701,还可以包括网络侧设备702;
接入设备701,主要用于发送认证请求给网络侧设备,该认证请求携带接入设备701需要接入的网元设备的类型,接收网络侧设备702发送的认证响应,该认证响应携带所述网元设备的参数,然后根据所述网元设备的参数对接入设备进行配置;
网络侧设备702,用于接收接入设备701发送的认证请求,根据所述认证请求中携带的需要接入的网元设备的类型获取该网元设备的参数,然后发送认证响应给接入设备701,该认证响应携带该获取到的网元设备的参数;当然,考虑到若在接入设备701未通过认证之前就对其预配置大部分的网元设备的参数,可能会给非法的入侵者提供攻击预配置核心网元设备的机会,给预配置核心网元设备带来安全隐患,所以,为了进一步提高该核心网的安全性,还可以是在对接入设备701的接入行为的合法性进行认证成功之后,在回复给接入设备701的认证成功响应中才携带所述获取到的网元设备的参数。
其中,接入设备701主要包括收发单元502和配置单元503,还可以包括获取单元501;网络侧设备主要包括收发单元601和获取单元602,当然,还可以包括认证单元603。
其中,接入设备具体可以为家庭基站或AP等,网络侧设备可以为SeGW、AG或ACL服务器等。
接入设备701可以在发送给网络侧设备702的认证请求中携带接入设备701需要接入的网元设备的类型,然后,网络侧设备702根据该网元设备的类型获取该网元设备的参数,并在回复给接入设备701的认证成功响应中将该获取到的网元设备的参数带给接入设备701,最后,接入设备701根据该接收到的网元设备的参数对自身进行配置,从而实现了接入设备的快速自动配置,给用户带来了方便,而且,网元设备的参数是在接入设备701认证成功之后才获得的,保证了接入设备701接入行为的合法性,减少了核心网元设备被非法入侵者攻击的概率。
总之,本发明实施例具有以下有益效果:
本发明实施例提供的接入设备可以在发送给网络侧设备的认证请求中携带接入设备需要接入的网元设备的类型,此网元设备可以是一个或多个,然后,网络侧根据该需要接入的网元设备的类型,通过查询服务器等途径获取到该网元设备的参数,并在回复给接入设备的认证成功响应中将该网元设备的参数带给接入设备,接入设备再根据该网元设备的参数对自身进行配置或更新,从而实现了接入设备的快速自动配置,给用户带来了方便,而且,网元设备的参数是在接入设备认证成功之后才获得的,保证了接入设备接入行为的合法性,减少了核心网元设备被非法入侵者攻击的概率,完善了其安全性。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
以上对本发明实施例所提供的接入设备的配置方法、装置以及系统进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会
有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (16)
1.一种接入设备的配置方法,其特征在于,包括:
发送认证请求给网络侧设备,所述认证请求携带需要接入的网元设备的类型;
接收网络侧设备的认证响应,所述认证响应携带所述网元设备的参数,所述网元设备的参数是所述网络侧设备根据所述网元设备的类型所获取的;
根据所述网元设备的参数为所述接入设备进行配置。
2.根据权利要求1所述的接入设备的配置方法,其特征在于,所述发送认证请求给网络侧设备具体为:
获取用于标识网络侧设备的参数;
根据所获取的参数发送认证请求给对应的网络侧设备。
3.根据权利要求1所述的接入设备的配置方法,其特征在于,所述接收网络侧设备的认证响应具体为:
接收网络侧设备的认证成功响应,所述认证成功响应携带所述网元设备的所述参数。
4.根据权利要求3所述的接入设备的配置方法,其特征在于,当接收到网络侧设备的认证失败的响应时,还包括:
根据重新获取的用于标识网络侧设备的参数发送认证请求给对应的网络侧设备。
5.根据权利要求2至4任一项所述的接入设备的配置方法,其特征在于,所述获取用于标识网络侧设备的参数具体为:
获取网络侧设备的域名或IP地址。
6.根据权利要求1至4任一项所述的接入设备的配置方法,其特征在于,所述认证请求携带需要接入的网元设备的类型具体为:
在所述认证请求中的扩展后的配置载荷Configuration Payload中携带需要接入的网元设备的类型。
7.一种接入设备的配置方法,其特征在于,包括:
接收接入设备发送的认证请求,所述认证请求携带需要接入的网元设备的类型;
根据所述网元设备的类型获取所述网元设备的参数;
发送认证响应给接入设备,所述认证响应携带所述网元设备的参数。
8.根据权利要求7所述的接入设备的配置方法,其特征在于,在根据所述网元设备的类型获取所述网元设备的参数之前还包括:
对所述接收到的认证请求进行认证;
若认证成功,则执行根据所述网元设备的类型获取所述网元设备的参数的步骤;
所述发送认证响应给接入设备具体为:
发送认证成功响应给接入设备,所述认证成功响应携带所述网元设备的参数。
9.根据权利要求7所述的接入设备的配置方法,其特征在于,所述认证响应携带所述网元设备的参数具体为:
在所述认证响应中的扩展后的配置载荷Configuration Payload中携带所述网元设备的参数。
10.一种接入设备,其特征在于,包括收发单元和配置单元;
所述收发单元,用于发送认证请求给网络侧设备,以及接收网络侧设备的认证响应,所述认证请求携带接入设备需要接入的网元设备的类型,所述认证响应携带所述网元设备的参数,所述网元设备的参数是所述网络侧设备根据所述网元设备的类型所获取的;
所述配置单元,用于根据所述收发单元接收到的认证响应中携带的网元设备的参数为所述接入设备进行配置。
11.根据权利要求10所述的接入设备,其特征在于,还包括获取单元;
所述获取单元,用于获取用于标识网络侧设备的参数;
所述收发单元,用于根据所述获取单元获取的网络侧设备的参数发送认证请求给对应的网络侧设备。
12.根据权利要求10或11所述的接入设备,其特征在于:
所述接入设备具体为家庭基站或接入点设备AP。
13.一种网络侧设备,其特征在于,包括收发单元和获取单元;
所述收发单元,用于接收接入设备发送的认证请求,以及发送认证响应给接入设备,所述认证请求携带需要接入的网元设备的类型,所述认证响应携带所述获取单元获取到的网元设备的参数;
所述获取单元,用于根据所述收发单元接收到的认证请求中携带的网元设备的类型获取所述网元设备的参数。
14.根据权利要求13所述的网络侧设备,其特征在于,还包括认证单元;
所述认证单元,用于对所述收发单元接收到的认证请求进行认证;
所述获取单元,还用于当所述认证单元认证成功时,根据所述收发单元接收到的认证请求中携带的网元设备的类型获取所述网元设备的参数;
所述收发单元,还用于当所述认证单元认证成功时,发送认证成功响应给接入设备,所述认证成功响应携带所述获取单元获取到的网元设备的参数。
15.根据权利要求13或14所述的网络侧设备,其特征在于:
所述网络侧设备具体为安全网关SeGW或接入网关AG或接入控制列表ACL服务器。
16.一种通信系统,其特征在于,包括接入设备和网络侧设备;
其中,接入设备包括接入设备的收发单元和配置单元;网络侧设备包括网络侧设备的收发单元和获取单元;
所述接入设备的收发单元,用于发送认证请求给网络侧设备,以及接收网络侧设备的认证响应,所述认证请求携带接入设备需要接入的网元设备的类型,所述认证响应携带所述网元设备的参数,所述网元设备的参数是所述网络侧设备根据所述网元设备的类型所获取的;
所述配置单元,用于根据所述接入设备的收发单元接收到的认证响应中携带的网元设备的参数为所述接入设备进行配置;
所述网络侧设备的收发单元,用于接收接入设备发送的认证请求,以及发送认证响应给接入设备;
所述获取单元,用于根据所述网络侧设备的收发单元接收到的认证请求中携带的网元设备的类型获取所述网元设备的参数。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100402818A CN101621433B (zh) | 2008-07-02 | 2008-07-02 | 接入设备的配置方法、装置及系统 |
| PCT/CN2009/071827 WO2010000157A1 (zh) | 2008-07-02 | 2009-05-18 | 接入设备的配置方法、装置及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008100402818A CN101621433B (zh) | 2008-07-02 | 2008-07-02 | 接入设备的配置方法、装置及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101621433A CN101621433A (zh) | 2010-01-06 |
| CN101621433B true CN101621433B (zh) | 2011-12-21 |
Family
ID=41465482
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008100402818A Active CN101621433B (zh) | 2008-07-02 | 2008-07-02 | 接入设备的配置方法、装置及系统 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101621433B (zh) |
| WO (1) | WO2010000157A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102137395B (zh) * | 2010-09-09 | 2014-07-30 | 华为技术有限公司 | 配置接入设备的方法、装置及系统 |
| CN102833359A (zh) * | 2011-06-14 | 2012-12-19 | 中兴通讯股份有限公司 | 隧道信息获取方法、安全网关及演进家庭基站/家庭基站 |
| CN104219094B (zh) * | 2014-08-29 | 2018-10-26 | 新华三技术有限公司 | 一种ap分组配置的方法和设备 |
| CN106713057B (zh) * | 2015-07-30 | 2019-11-29 | 华为技术有限公司 | 用于进行隧道检测的方法、装置及系统 |
| CN109936515B (zh) * | 2017-12-18 | 2021-06-04 | 华为技术有限公司 | 接入配置方法、信息提供方法及装置 |
| CN111614476A (zh) * | 2019-02-22 | 2020-09-01 | 华为技术有限公司 | 设备配置方法、系统和装置 |
| CN110661666B (zh) * | 2019-09-29 | 2022-02-18 | 中国联合网络通信集团有限公司 | 一种分组传送网的环网资源建立方法和装置 |
| CN111147471B (zh) * | 2019-12-20 | 2023-02-28 | 视联动力信息技术股份有限公司 | 一种终端入网认证方法、装置、系统和存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1490993A (zh) * | 2003-09-15 | 2004-04-21 | 北京港湾网络有限公司 | 宽带网络接入设备用户多业务系统实现方法 |
| CN1855820A (zh) * | 2005-04-29 | 2006-11-01 | 华为技术有限公司 | 一种根据终端类型进行业务发放的方法 |
| CN1937632A (zh) * | 2005-09-23 | 2007-03-28 | 中兴通讯股份有限公司 | 一种应用于宽带无线接入系统中地址分配方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101098319B (zh) * | 2006-06-27 | 2010-12-08 | 中国移动通信集团公司 | 基于ip多媒体子系统的家庭网关及其配置方法 |
| CN101106508B (zh) * | 2006-07-14 | 2012-06-20 | 华为技术有限公司 | 一种在异构系统中获取用户规格的方法 |
-
2008
- 2008-07-02 CN CN2008100402818A patent/CN101621433B/zh active Active
-
2009
- 2009-05-18 WO PCT/CN2009/071827 patent/WO2010000157A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1490993A (zh) * | 2003-09-15 | 2004-04-21 | 北京港湾网络有限公司 | 宽带网络接入设备用户多业务系统实现方法 |
| CN1855820A (zh) * | 2005-04-29 | 2006-11-01 | 华为技术有限公司 | 一种根据终端类型进行业务发放的方法 |
| CN1937632A (zh) * | 2005-09-23 | 2007-03-28 | 中兴通讯股份有限公司 | 一种应用于宽带无线接入系统中地址分配方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2010000157A1 (zh) | 2010-01-07 |
| CN101621433A (zh) | 2010-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101621433B (zh) | 接入设备的配置方法、装置及系统 | |
| JP3869392B2 (ja) | 公衆無線lanサービスシステムにおけるユーザ認証方法および該方法をコンピュータで実行させるためのプログラムを記録した記録媒体 | |
| CN101217575B (zh) | 一种在用户终端认证过程中分配ip地址的方法及装置 | |
| US7444415B1 (en) | Method and apparatus providing virtual private network access | |
| US7480933B2 (en) | Method and apparatus for ensuring address information of a wireless terminal device in communications network | |
| EP2950499B1 (en) | 802.1x access session keepalive method, device, and system | |
| CN101471936B (zh) | 建立ip会话的方法、装置及系统 | |
| CN101199166A (zh) | 在宽带接入中的操作员工作室选择 | |
| JP2001508607A (ja) | 専用データ通信網にアクセスする確実なアクセス方法と関連装置 | |
| EP1653668A1 (en) | Restricted WLAN access for unknown wireless terminal | |
| CN102572830A (zh) | 终端接入认证的方法及用户端设备 | |
| CN101379795A (zh) | 在由认证服务器检查客户机证书的同时由dhcp服务器进行地址分配 | |
| CN102172059A (zh) | 家用基站中本地突围业务的处理 | |
| CN101478576A (zh) | 选择服务网络的方法、装置和系统 | |
| CN101252587B (zh) | 用户终端的接入鉴权方法和设备 | |
| EP2547133B1 (en) | Method and equipment for authenticating subscriber terminal | |
| CN102185840A (zh) | 一种认证方法、设备及系统 | |
| CN107733764B (zh) | 虚拟可扩展局域网隧道的建立方法、系统以及相关设备 | |
| CN101184100A (zh) | 基于动态主机配置协议的用户接入认证方法 | |
| CN102883265A (zh) | 接入用户的位置信息发送和接收方法、设备及系统 | |
| US9473934B2 (en) | Wireless telecommunications network, and a method of authenticating a message | |
| CN101515881A (zh) | 下发接入点设备初始配置信息的方法、装置及系统 | |
| KR20070102830A (ko) | 유무선 네트워크의 검역 및 정책기반 접속제어 방법 | |
| JP2003318939A (ja) | 通信システムおよびその制御方法 | |
| Williams | Providing for wireless LAN security. 2 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |