CN100583759C - 实现不同认证控制设备间同步认证的方法 - Google Patents
实现不同认证控制设备间同步认证的方法 Download PDFInfo
- Publication number
- CN100583759C CN100583759C CN200410098489A CN200410098489A CN100583759C CN 100583759 C CN100583759 C CN 100583759C CN 200410098489 A CN200410098489 A CN 200410098489A CN 200410098489 A CN200410098489 A CN 200410098489A CN 100583759 C CN100583759 C CN 100583759C
- Authority
- CN
- China
- Prior art keywords
- authentication
- control appliance
- user
- master
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 38
- 230000001360 synchronised effect Effects 0.000 title claims abstract description 17
- 238000012545 processing Methods 0.000 claims description 20
- 230000000977 initiatory effect Effects 0.000 claims description 4
- 238000003780 insertion Methods 0.000 claims description 2
- 230000037431 insertion Effects 0.000 claims description 2
- 210000001503 joint Anatomy 0.000 claims description 2
- 238000013475 authorization Methods 0.000 description 13
- 238000007726 management method Methods 0.000 description 6
- 230000006855 networking Effects 0.000 description 6
- 238000004891 communication Methods 0.000 description 3
- 238000000131 plasma-assisted desorption ionisation Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000012423 maintenance Methods 0.000 description 2
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 239000012467 final product Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Computer And Data Communications (AREA)
- Mobile Radio Communication Systems (AREA)
- Lock And Its Accessories (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Circuit Arrangement For Electric Light Sources In General (AREA)
- Communication Control (AREA)
Abstract
本发明涉及一种实现不同认证控制设备间同步认证的方法。本发明主要包括:用户接入网络,并通过从认证控制设备发起认证;然后,主认证控制设备从认证控制设备获取用户的认证信息,并发送给主认证控制设备的主认证服务器;最后,主认证服务器根据所述用户的认证信息对其进行认证处理。因此,本发明在多个服务提供商互联的网络中,接入用户只需要登录一次,便可以获得多个服务提供商的网络权限,为用户接入网络提供了较大的方便。而且,本发明可以保证各服务提供商有效地控制和管理接入的用户,从而有效保护服务提供商的利益。
Description
技术领域
本发明涉及网络认证技术领域,尤其涉及一种实现不同认证控制设备间同步认证的方法。
背景技术
在现有的通信网络中,存在着大量的运营商、ISP(网络接入服务提供商),以及ICP(因特网内容提供者)等不同的服务提供商,各服务提供商之间既可以各自独立,也可以相互协作为接入用户提供各种服务,并进行各自独立的,或者是相互协作的认证、计费处理。
在其相互之间进行合作时,相应的合作模式也是多种多样,其中,较为典型的合作模式是通过AAA(认证、授权、计费)系统间交换用户认证、计费信息实现运营合作。
所述的AAA系统的组网结构如图1所示,当用户通过接入设备接入网络时,由认证控制设备负责携带接入用户的身份信息,并向AAA服务器发起针对所述接入用户的接入认证处理。通常采用的用户认证手段很多,如PPPoE(以太网承载点到点协议)认证、WEB(环球网)认证和802.1x认证等。
目前,不同服务提供商间所采用的一种合作模式的组网结构如图2所示,以采用PPPoE接入认证为例,图2所示组网中具体的接入用户的认证处理流程如图3所示,包括以下过程:
步骤31:用户终端向认证控制设备(即PPPOE服务器)设备发送一个PADI报文,即PPPoE激活发现初始报文,开始PPPoE接入;
步骤32:认证控制设备(PPPOE服务器)向用户终端发送PADO报文,即PPPoE激活发现提供报文;
步骤33:用户终端根据回应,发起PADR请求(PPPoE激活发现请求报文)给认证控制设备(PPPOE服务器);
步骤34:认证控制设备(PPPOE服务器)产生一个session id(会话标识),通过PADS(PPPoE激活发现会话报文)发给用户终端;
步骤35:用户终端和认证控制设备(PPPOE服务器)之间进行PPP的LCP(链路控制协议)协商,建立链路层通信;同时,协商使用CHAP(质询握手验证协议)认证方式;
步骤36:认证控制设备(PPPOE服务器)通过Challenge报文发送给认证用户终端,提供一个128bit的Challenge(挑战码);
步骤37:用户终端收到Challenge报文后,将密码和Challenge做MD5算法后,在Response报文(即回应报文)中将其发送给认证控制设备(PPPOE服务器);
步骤38:认证控制设备(PPPOE服务器)将Challenge、Challenge-Password和用户名一起送到服务提供商A的RADIUS(远程用户拨号认证服务)用户认证服务器进行认证;
步骤39:服务提供商A的RADIUS用户认证服务器根据用户名识别是一个服务提供商B的用户,那么就将此认证报文转发到服务提供商B的RADIUS用户认证服务器进行真正的认证;
即服务提供商A的认证服务器向服务提供商B的认证服务器发送接入请求Access-Request消息;
步骤310:服务提供商B的RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文到服务提供商A的RADIUS用户认证服务器;
即服务提供商B的认证服务器向服务提供端A的认证服务器发送接入许可/接入拒绝消息Access-Accept/Access-Reject;
步骤311:服务提供商A的RADIUS用户认证服务器将认证成功/失败报文转发到认证控制设备(PPPOE服务器);如果成功,携带协商参数,以及用户的相关业务属性给用户授权,当获得用户授权后,认证控制设备(PPPoE服务器)(认证控制设备)就可以对该用户的网络进行各种控制和管理;如果认证失败,则流程到此结束。
步骤312:认证控制设备(PPPOE服务器)将认证结果(即Success/Failure,成功/失败)返回给用户终端,如果认证成功,则继续执行步骤313,否则,过程结束;
步骤313用户进行NCP(网络控制协议)协商,如IPCP(IP控制协议)协议等,通过认证控制设备(PPPOE服务器)获取到规划的IP地址等参数;
步骤314:认证如果成功,认证控制设备(PPPOE服务器)发起计费开始请求给服务提供商A的RADIUS用户计费服务器;
所述的认证控制设备向服务提供商A可以发送计费/开始/停止消息,即Accounting-Response/Start、Stop消息;
步骤315:服务提供商A的RADIUS用户计费服务器发现用户是漫游用户,其服务提供商B的在北京,那么就将此计费报文转发到服务提供商B的RADIUS用户计费服务器进行真正的计费;
步骤316:服务提供商B的RADIUS用户计费服务器回应计费开始应答报文给服务提供商A的RADIUS用户计费服务器;
步骤317:服务提供商A的RADIUS用户计费服务器将回应的计费开始应答报文转发给认证控制设备(PPPoE服务器)。
此时,接入用户通过认证,并且获得了合法的权限,可以正常开展网络业务。
当用户希望终止网络业务的时候,同样也可以通过PPPoE断开网络连接,具体可以按照步骤314至步骤317中传送的报文格式发送计费终止报文,从而实现计费终止的操作处理。
可以看出,经过上述处理,服务提供商A和服务提供商B之间便实现了认证、计费信息的互通。但是,由于认证、计费的核心设备(即认证控制设备)在服务提供商A网络中,同时AAA信息也是从服务提供商A的AAA服务器转发到服务提供商B的AAA服务器,因此,实际上用户的控制权完全控制在服务提供商A。因此,服务提供商A如果调整认证控制设备和AAA服务器参数,将极可能使得服务提供商B蒙受损失。
为避免上述因服务提供商间地位的不平等导致受控服务提供商可能蒙受损失的情况出现。目前,每个服务提供商需要设置并应用自己的认证控制设备。相应的组网结构如图4所示,仍以采用PPPoE接入认证方式为例,对图4中接入用户的认证处理流程结合图5进行说明,相应的处理流程包括:
步骤51至步骤58与图3所示的步骤31至步骤38的处理过程相同,此处不再详述;
步骤59:服务提供商A的RADIUS用户认证服务器根据用户信息判断用户是否合法,然后,执行步骤510,向认证控制设备回应认证成功/失败报文;
如果成功,携带协商参数,以及用户的相关业务属性给用户授权,并执行步骤511;当获得用户授权后,认证控制设备(PPPoE服务器)(认证控制设备)就可以对该用户的网络进行各种控制和管理;如果认证失败,则流程到此结束。
步骤511:用户进行NCP(如IPCP)协商,通过认证控制设备(PPPOE服务器)获取到规划的IP地址等参数;
步骤512:认证如果成功,认证控制设备(PPPOE服务器)发起计费开始请求给服务提供商A的RADIUS用户计费服务器;
步骤513:服务提供商A的RADIUS用户计费服务器回应计费开始应答报文给认证控制设备(PPPoE服务器)。
此时,用户已经通过认证,并且获得了合法的权限,可以正常开展网络业务。但是,由于没有获得服务提供商B的授权,因此,只能访问服务提供商A的网络。这样,当用户希望访问服务提供商B以及外网时,用户需要到服务提供商B再次进行认证。即客户终端向服务提供商B的认证控制设备发起二次认证请求,目前通常采用WEB认证方式进行认证。具体认证处理过程仍如图5所示,具体包括:
步骤514:服务提供商B的认证控制设备将用户信息送到服务提供商B的RADIUS用户认证服务器进行认证;
步骤515:服务提供商B的RADIUS用户认证服务器根据用户信息判断用户是否合法,然后执行步骤516,向服务提供商B的认证控制设备回应认证成功/失败报文到服务提供商B的认证控制设备;
如果成功,携带协商参数,以及用户的相关业务属性给用户授权;当获得用户授权后,服务提供商B的认证控制设备就可以对该用户的网络进行各种控制和管理;如果认证失败,则流程到此结束。
步骤517:服务提供商B的认证控制设备将认证结果返回给用户终端,如果认证成功,则继续执行步骤518;
步骤518:服务提供商B的认证控制设备发起计费开始请求给服务提供商B的RADIUS用户计费服务器;
步骤519:服务提供商B的RADIUS用户计费服务器回应计费开始应答报文给服务提供商B的认证控制设备。
此时,用户已经通过认证,并且获得了服务提供商B网络/外网的合法权限,可以正常开展网络业务。即用户通过两次认证,便可以访问服务提供商A、服务提供商B和外网了。
在该方案中,如果有多个服务提供商,则用户就要进行多次认证以逐层获取权限。即针对每个服务提供商均需要用户登录一次,使得用户的操作处理过程较为烦琐。而且,每个服务提供商都各自独立维护自己的运营信息,导致服务提供商运营成本大幅提高。
发明内容
鉴于上述现有技术所存在的问题,本发明的目的是提供一种实现不同认证控制设备间同步认证的方法,简化了用户接入网络的登录认证过程,并可以保证各服务提供商对接入用户的可靠控制管理。
本发明的目的是通过以下技术方案实现的:
本发明所述的一种实现不同认证控制设备间同步认证的方法,包括:
A、用户接入网络,并通过从认证控制设备发起认证;
B、主认证控制设备从认证控制设备获取用户的认证信息,并发送给主认证控制设备的主认证服务器;
C、主认证服务器根据所述用户的认证信息对其进行认证处理。
所述的从认证控制设备控制接入的网络为通过主认证控制设备控制接入的网络接入外网。
所述的步骤B包括:
主认证控制设备主动侦听并获取从认证控制设备发来的承载有认证信息的报文,将所述报文直接或重新组包转发给主认证服务器。
所述的步骤B包括:
从认证控制设备将用户的认证信息主动发送给主认证控制设备,主认证控制设备将所述的认证信息直接或重新组包转发给主认证服务器。
所述的主认证服务器中保存着主、从认证控制设备控制接入的用户的认证信息。
所述的实现不同认证控制设备间同步认证的方法还包括:
将所述的从认证控制设备控制接入的用户的认证信息保存于从认证服务器中。
所述的步骤C包括:
C1、主认证服务器收到所述用户的认证信息后,在主认证服务器上对所述用户进行认证处理,并判断所述用户的认证信息是否保存于从认证服务器中,如果是,则执行步骤C2,否则,不作处理;
C2、将所述用户的认证信息发送给从认证服务器,从认证服务器根据所述认证信息对该用户进行认证处理。
所述的实现不同认证控制设备间同步认证的方法还包括:
D、主认证服务器从主认证控制设备获取计费信息,并根据所述的计费信息对接入用户进行计费。
所述的步骤D还包括:
从认证控制设备将计费信息通过主认证控制设备发送给主认证服务器,主认证服务器根据所述计费信息进行计费。
所述的步骤D还包括:
主认证服务器还将所述计费信息发送给从认证服务器,从认证服务器根据所述的计费信息进行计费。
由上述本发明提供的技术方案可以看出,本发明在多个服务提供商互联的网络中,接入用户只需要登录一次,便可以获得多个服务提供商的网络权限,为用户接入网络提供了较大的方便。
而且,本发明可以保证各服务提供商有效地控制和管理接入的用户,从而有效保护服务提供商的利益。
另外,本发明的实现还使得每个服务提供商只在系统安装时需要配置一次,以后无需为认证控制设备和AAA服务器等提供额外的维护,对单个用户所有服务提供商只需维护一次即可,即用户信息只需要建立、修改、删除以及各种维护操作一次,而无需如现有技术提供的方案中描述的那样,每个服务提供商分别需要维护操作一次。
附图说明
图1为设置有AAA服务器的网络组网结构图;
图2为现有技术中用户向多服务提供商发起认证的网络结构图一;
图3为图2所示网络的认证处理流程图;
图4为现有技术中用户向多服务提供商发起认证的网络结构图二;
图5为图4所示网络的认证处理流程图;
图6为本发明中用户向多服务提供商发起认证的网络结构图;
图7为图6所示网络的认证处理流程图。
具体实施方式
本发明的核心是在互相协作的服务提供商下的用户接入网络时,基于所述接入用户的身份信息同时向各个服务提供商的认证控制设备发起认证处理过程。从而使得在网络中实现互相协作的不同的服务提供商的用户可以一次性完成基于不同服务提供商的接入认证处理过程,并可以充分保证各个服务提供商的运营利益。
本发明所述的方法中,每个服务提供商各自设置有相互独立的认证控制设备,如图6所示,且所述的认证控制设备均可以对应设置自己的AAA服务器。本发明中是将直接与外网相连的网络中的认证控制设备称为主认证控制设备,如图6中的服务提供商B的认证控制设备,将通过该直接与外网相连的网络与外网相连的其他网络中的认证控制设备称为从认证控制设备,如图6中的服务提供商A的认证控制设备;
本发明中各主、从认证控制设备接入的用户的认证信息均保存于主认证控制设备对应的主认证服务器中,所述的主认证服务器如图6中的服务提供商B的AAA(鉴权、认证、计费)服务器及相应的RDIUS用户认证服务器,同时,还可选地在各从认证控制设备对应的从认证服务器中保存,所述的从认证服务器如图6中的服务提供商A的AAA服务器及相应的RDIUS用户认证服务器。
以图6所示的组网结构为例,本发明所述的方法的具体实现方式如图7所示,包括以下步骤:
步骤71:用户终端向服务提供商A的认证控制设备(即PPPOE服务器)设备发送一个PADI报文,开始PPPoE接入;
步骤72:所述认证控制设备收到所述的PADI报文后,向用户终端发送PADO报文;
步骤73:用户终端根据认证控制设备回应的PADO报文,向认证控制设备发送PADR请求;
步骤74:所述认证控制设备产生一个session id(会话标识),并通过PADS报文发给用户终端;
步骤75:用户终端和认证控制设备之间进行PPP的LCP协商,建立链路层通信,同时,协商使用CHAP认证方式;
步骤76:认证控制设备通过Challenge报文发送给认证用户终端,提供一个128bit的Challenge;
步骤77:用户终端收到Challenge报文后,将密码和Challenge做MD5算法后获得相应的认证信息,并在Response回应报文中发送给服务提供商A的认证控制设备;
步骤71到步骤76的用户接入处理过程与现有技术中的相应处理过程完全相同。
步骤78:服务提供商A的认证控制设备收到所述认证信息后,将Challenge、Challenge-Password和用户名等用户身份信息(即认证信息)一起发送到服务提供商B的认证控制设备,即主认证控制设备;
步骤79:服务提供商B的认证控制设备将用户身份信息发送到服务提供商B的RADIUS用户认证服务器进行认证,所述的服务提供商B的RADIUS用户认证服务器和相应的AAA服务器称为主认证服务器;
如果用户身份信息仅仅存储在服务提供商B的AAA服务器上,则服务提供商B的RADIUS用户认证服务器根据用户身份信息判断该用户是否合法,并执行步骤712,如果所述的用户身份信息还保存于服务提供商A的AAA服务器上,则执行步骤710。
步骤710:如果用户身份信息存储在服务提供商A的AAA服务器上,则服务提供商B的RADIUS用户认证服务器根据用户信息转发到服务提供商A的RADIUS用户认证服务器;
步骤711有:服务提供商A的RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文;
如果成功,携带协商参数,以及用户的相关业务属性给用户授权;
步骤712:向服务提供商B的认证控制设备返回相应的认证成功/失败报文;
如果是步骤79跳到本步骤,则服务提供商B的RADIUS用户认证服务器根据用户信息判断用户是否合法,然后回应认证成功/失败报文;如果成功,携带协商参数,以及用户的相关业务属性给用户授权;
如果是步骤711跳到本步骤,则服务提供商B的RADIUS用户认证服务器将服务提供商A的RADIUS用户认证服务器发送过来的报文转发到服务提供商B的认证控制设备;
步骤713:服务提供商B的认证控制设备收到认证成功/失败报文后,如果成功获得用户授权,则可以对服务提供商B的网络进行各种控制和管理,同时将报文转发到服务提供商A的认证控制设备;
步骤714:服务提供商A的认证控制设备收到所述报文后,如果成功获得用户授权,则可以对服务提供商A的网络进行各种控制和管理,同时,服务提供商A的认证控制设备将认证结果返回给用户终端;
用户终端收到所述的报文后,如果认证失败,则流程到此结束,否则,继续执行步骤715。
步骤715:用户进行NCP(如IPCP)协商,通过服务提供商A的认证控制设备获取到规划的IP地址等参数;
步骤716:NCP协商成功,服务提供商A的认证控制设备发起计费开始请求给服务提供商B的认证控制设备,即向所述认证控制设备发送计费信息;
步骤717:服务提供商B的认证控制设备将请求转发给服务提供商B的RADIUS用户计费服务器;
如果服务提供商A不需要计费信息,则直接执行步骤720,否则,执行步骤718;
步骤718:服务提供商B的RADIUS用户计费服务器将请求转发到服务提供商A的RADIUS用户计费服务器;
步骤719:服务提供商A的RADIUS用户计费服务器回应计费开始应答报文给服务提供商B的RADIUS用户计费服务器;
步骤720:如果从步骤717跳到本步骤,则服务提供商B的RADIUS用户计费服务器回应计费将应答报文给服务提供商B的认证控制设备;
如果是步骤719跳到本步骤,则将收到的应答报文转发到服务提供商B的认证控制设备。
步骤721:服务提供商B的认证控制设备将应答报文转发到服务提供商A的认证控制设备;
此时,用户通过认证,并且获得了服务提供商A和服务提供商B及外网的合法的接入权限,并可以正常开展网络业务。
本发明中,当用户希望终止网络业务的时候,同样也可以通过PPPoE服务器(认证控制设备)断开网络连接,此时,将按照步骤716至步骤721中的报文格式发送相应的计费终止报文,从而停止相应的计费过程。
在计费过程中,本发是还可以采用服务提供商A的认证控制设备不提供计费信息,而仅由服务提供商B的认证控制设备提供计费信息的处理方式进行计费处理,即省略图7中的步骤716和步骤721。
本发明不仅适用于PPPoE,对于其他所有的认证方式均适用。所述的AAA协议除了可以使用RADIUS以外,还包括但不限于DIAMETER(一种新的AAA协议)、TACACS(Terminal Access Controller Access ControlSystem,终端访问控制设备访问控制系统,一种AAA协议)等。
由于服务提供商B的认证控制设备需要和服务提供商A的认证控制设备同步认证、计费信息,因此,服务提供商B的认证控制设备必须获取服务提供商A的认证控制设备的认证信息。
目前可以采用的获取方式有两种,一种是承载有认证信息的数据报文侦听的方式,另一种是将主认证控制设备设置为从认证控制设备的代理服务器的方式。下面将分别对两种方式进行说明:
(1)数据报文侦听的方式:在该方式中,要求服务提供商A的认证控制设备发起的认证请求报文(比如RADIUS请求报文)必须经过服务提供商B的认证控制设备,这样,服务提供商B的认证控制设备就可以进行所有数据报文的侦听,当然,也可以通过配置侦听指定的报文或者指定的AAA服务器的报文;对于侦听到的报文通常是先存储,然后转发;也可以根据需要重新组包后转发;
(2)主认证控制设备作为代理服务器:服务提供商A的认证控制设备将服务提供商B的认证控制设备当作一个RADIUS Server(RADIUS服务器),所有的报文直接发送到服务提供商B的认证控制设备的RADIUS端口上,服务提供商B的认证控制设备按照标准的RADIUS Proxy(RADIUS代理)功能接收、修改、发送认证报文;通常RADIUS代理需要重新组包后转发,也可以将接收到的报文存储,然后直接转发。
由于服务提供商B的认证控制设备和服务提供商A的认证控制设备同步了认证、计费信息,所有用户认证、授权信息都在所有认证控制设备上保存,因此,本发明可以使得用户只需要输入一次用户名、密码就可以获得多个服务提供商的合法网络权限。
本发明在实际使用中,也可以将其延伸到多个服务提供商之间互连,实现多个认证控制设备间的同步认证。
以上所述,仅为本发明较佳的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应该以权利要求书的保护范围为准。
Claims (7)
1、一种实现不同认证控制设备间同步认证的方法,其特征在于,包括:
A、用户接入网络,并通过从认证控制设备发起认证;
B、主认证控制设备从从认证控制设备获取用户的认证信息,并发送给主认证控制设备的主认证服务器,所述从认证控制设备控制接入的网络通过主认证控制设备控制接入的网络接入外网;
C、主认证服务器根据所述用户的认证信息对所述用户进行认证处理,其中,所述主认证服务器中保存着所述主认证控制设备和所述从认证控制设备控制接入的用户的认证信息,所述从认证控制设备控制接入的用户的认证信息还保存于从认证服务器中。
2、根据权利要求1所述的实现不同认证控制设备间同步认证的方法,其特征在于,所述的步骤B包括:
主认证控制设备主动侦听并获取从认证控制设备发来的承载有认证信息的报文,将所述报文直接或重新组包转发给主认证服务器。
3、根据权利要求1所述的实现不同认证控制设备间同步认证的方法,其特征在于,所述的步骤B包括:
从认证控制设备将用户的认证信息主动发送给主认证控制设备,主认证控制设备将所述的认证信息直接或重新组包转发给主认证服务器。
4、根据权利要求1、2或3所述的实现不同认证控制设备间同步认证的方法,其特征在于,所述的步骤C包括:
C1、主认证服务器收到所述用户的认证信息后,在主认证服务器上对所述用户进行认证处理,并判断所述用户的认证信息是否保存于从认证服务器中,如果是,则执行步骤C2,否则,不作处理;
C2、将所述用户的认证信息发送给从认证服务器,从认证服务器根据所述认证信息对该用户进行认证处理。
5、根据权利要求1、2或3所述的实现不同认证控制设备间同步认证的方法,其特征在于,该方法还包括:
D、主认证服务器从主认证控制设备获取计费信息,并根据所述的计费信息对接入用户进行计费。
6、根据权利要求5所述的实现不同认证控制设备间同步认证的方法,其特征在于,所述的步骤D还包括:
从认证控制设备将计费信息通过主认证控制设备发送给主认证服务器,主认证服务器根据所述计费信息进行计费。
7、根据权利要求5所述的实现不同认证控制设备间同步认证的方法,其特征在于,所述的步骤D还包括:
主认证服务器还将所述计费信息发送给从认证服务器,从认证服务器根据所述的计费信息进行计费。
Priority Applications (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410098489A CN100583759C (zh) | 2004-12-13 | 2004-12-13 | 实现不同认证控制设备间同步认证的方法 |
| DE602005007737T DE602005007737D1 (de) | 2004-12-13 | 2005-12-13 | Verfahren zur ausführung einer synchronen authentifizierung zwischen verschiedenen authentifizierungssteuervorrichtungen |
| PCT/CN2005/002165 WO2006063511A1 (fr) | 2004-12-13 | 2005-12-13 | Procede permettant de realiser une authentification synchrone parmi differents dispositifs de commande d'authentification |
| US11/631,098 US8336082B2 (en) | 2004-12-13 | 2005-12-13 | Method for realizing the synchronous authentication among the different authentication control devices |
| EP05818662A EP1755271B1 (en) | 2004-12-13 | 2005-12-13 | A method for realizing the synchronous authentication among the different authentication control devices |
| AT05818662T ATE399408T1 (de) | 2004-12-13 | 2005-12-13 | Verfahren zur ausführung einer synchronen authentifizierung zwischen verschiedenen authentifizierungssteuervorrichtungen |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410098489A CN100583759C (zh) | 2004-12-13 | 2004-12-13 | 实现不同认证控制设备间同步认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1790985A CN1790985A (zh) | 2006-06-21 |
| CN100583759C true CN100583759C (zh) | 2010-01-20 |
Family
ID=36587528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200410098489A Expired - Fee Related CN100583759C (zh) | 2004-12-13 | 2004-12-13 | 实现不同认证控制设备间同步认证的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8336082B2 (zh) |
| EP (1) | EP1755271B1 (zh) |
| CN (1) | CN100583759C (zh) |
| AT (1) | ATE399408T1 (zh) |
| DE (1) | DE602005007737D1 (zh) |
| WO (1) | WO2006063511A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2905488B1 (fr) * | 2006-09-04 | 2011-04-01 | Baracoda | Architecture d'acces a un flux de donnees au moyen d'un terminal utilisateur |
| JP4878006B2 (ja) * | 2007-06-15 | 2012-02-15 | シャープ株式会社 | 通信機器、通信方法、通信プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 |
| GB2456185A (en) * | 2008-01-04 | 2009-07-08 | Wilico Wireless Networking Sol | Providing selected information in response to an attempt to authenticate a mobile device |
| CN101296085B (zh) * | 2008-06-23 | 2011-07-13 | 中兴通讯股份有限公司 | 基于分叉的认证方法、系统以及分叉认证装置 |
| US9318917B2 (en) * | 2009-04-09 | 2016-04-19 | Sony Corporation | Electric storage apparatus and power control system |
| CN102035815B (zh) * | 2009-09-29 | 2013-04-24 | 华为技术有限公司 | 数据获取方法、接入节点和系统 |
| CN102480727B (zh) * | 2010-11-30 | 2015-08-12 | 中兴通讯股份有限公司 | 机器与机器通信中的组认证方法及系统 |
| US9313659B2 (en) * | 2011-01-20 | 2016-04-12 | Koninklijke Philips N.V. | Authentication and authorization of cognitive radio devices |
| CN103051626B (zh) * | 2012-12-21 | 2016-09-28 | 华为技术有限公司 | 一种认证方法及网络设备 |
| CN104125191B (zh) * | 2013-04-23 | 2017-09-26 | 华为技术有限公司 | 基于以太网的点对点协议的处理方法、设备和系统 |
| US9203823B2 (en) | 2013-10-30 | 2015-12-01 | At&T Intellectual Property I, L.P. | Methods and systems for selectively obtaining end user authentication before delivering communications |
| CN106027565B (zh) * | 2016-07-07 | 2019-04-09 | 杭州迪普科技股份有限公司 | 一种基于pppoe的内外网统一认证的方法和装置 |
| CN115664746A (zh) * | 2022-10-18 | 2023-01-31 | 浪潮思科网络科技有限公司 | 一种堆叠系统的认证同步方法、装置、设备及介质 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5553239A (en) * | 1994-11-10 | 1996-09-03 | At&T Corporation | Management facility for server entry and application utilization in a multi-node server configuration |
| US6792337B2 (en) * | 1994-12-30 | 2004-09-14 | Power Measurement Ltd. | Method and system for master slave protocol communication in an intelligent electronic device |
| US6011910A (en) * | 1997-04-08 | 2000-01-04 | 3Com Corporation | Supporting authentication across multiple network access servers |
| US6311275B1 (en) * | 1998-08-03 | 2001-10-30 | Cisco Technology, Inc. | Method for providing single step log-on access to a differentiated computer network |
| US6601101B1 (en) * | 2000-03-15 | 2003-07-29 | 3Com Corporation | Transparent access to network attached devices |
| US7136999B1 (en) * | 2000-06-20 | 2006-11-14 | Koninklijke Philips Electronics N.V. | Method and system for electronic device authentication |
| GB2367213B (en) * | 2000-09-22 | 2004-02-11 | Roke Manor Research | Access authentication system |
| JP4449288B2 (ja) * | 2001-10-31 | 2010-04-14 | ヤマハ株式会社 | 認証方法およびその装置 |
| JP2003198557A (ja) * | 2001-12-26 | 2003-07-11 | Nec Corp | ネットワーク及びそれに用いる無線lan認証方法 |
| US7298847B2 (en) * | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
| US7266100B2 (en) * | 2002-11-01 | 2007-09-04 | Nokia Corporation | Session updating procedure for authentication, authorization and accounting |
| AU2002356639A1 (en) | 2002-12-09 | 2004-06-30 | Telefonaktiebolaget Lm Ericsson (Publ) | Simultaneous registrations of a user in different service servers with different directory numbers |
| CN100337229C (zh) * | 2003-06-02 | 2007-09-12 | 华为技术有限公司 | 网络认证、授权和计帐系统及方法 |
| CN100346605C (zh) * | 2003-06-26 | 2007-10-31 | 华为技术有限公司 | 一种组播源控制的方法和系统 |
| JP4000111B2 (ja) * | 2003-12-19 | 2007-10-31 | 株式会社東芝 | 通信装置および通信方法 |
-
2004
- 2004-12-13 CN CN200410098489A patent/CN100583759C/zh not_active Expired - Fee Related
-
2005
- 2005-12-13 WO PCT/CN2005/002165 patent/WO2006063511A1/zh active IP Right Grant
- 2005-12-13 EP EP05818662A patent/EP1755271B1/en not_active Not-in-force
- 2005-12-13 DE DE602005007737T patent/DE602005007737D1/de active Active
- 2005-12-13 US US11/631,098 patent/US8336082B2/en active Active
- 2005-12-13 AT AT05818662T patent/ATE399408T1/de not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| EP1755271A1 (en) | 2007-02-21 |
| EP1755271B1 (en) | 2008-06-25 |
| DE602005007737D1 (de) | 2008-08-07 |
| WO2006063511A1 (fr) | 2006-06-22 |
| US20070234038A1 (en) | 2007-10-04 |
| US8336082B2 (en) | 2012-12-18 |
| CN1790985A (zh) | 2006-06-21 |
| ATE399408T1 (de) | 2008-07-15 |
| EP1755271A4 (en) | 2007-08-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100563158C (zh) | 网络接入控制方法及系统 | |
| KR101025403B1 (ko) | 사용자가 인터넷에 접속하는 동안 네트워크 액세스에서사용자를 인증하기 위한 방법 및 시스템 | |
| CN105007579B (zh) | 一种无线局域网接入认证方法及终端 | |
| US8336082B2 (en) | Method for realizing the synchronous authentication among the different authentication control devices | |
| JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| EP1764975B1 (en) | Distributed authentication functionality | |
| US20130104204A1 (en) | Mobile host using a virtual single account client and server system for network access and management | |
| CN101127600A (zh) | 一种用户接入认证的方法 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| US9749320B2 (en) | Method and system for wireless local area network user to access fixed broadband network | |
| WO2014101449A1 (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
| CN101867476A (zh) | 一种3g虚拟私有拨号网用户安全认证方法及其装置 | |
| CN101304319A (zh) | 移动通信网络以及用于认证其中的移动节点的方法和装置 | |
| WO2014176964A1 (zh) | 一种通信管理方法及通信系统 | |
| EP2894904B1 (en) | Wlan user fixed network access method and system | |
| JP6678160B2 (ja) | 通信管理システム、アクセスポイント、通信管理装置、接続制御方法、通信管理方法、及びプログラム | |
| CN100591068C (zh) | 一种桥接设备透传802.1x认证报文的方法 | |
| US8954547B2 (en) | Method and system for updating the telecommunication network service access conditions of a telecommunication device | |
| CN114338218B (zh) | PPPoE拨号的方法 | |
| CN100546305C (zh) | 一种点到点协议强制认证方法和装置 | |
| CN101365238B (zh) | 一种会话转换的方法及装置 | |
| CN102282800A (zh) | 一种终端认证方法及装置 | |
| Cisco | RADIUS Attributes | |
| Luo et al. | A secure public wireless LAN access technique that supports walk-up users | |
| WO2013034056A1 (zh) | 一种位置信息处理方法和系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100120 |