CN101204038A - 鉴权协议转换方法 - Google Patents
鉴权协议转换方法 Download PDFInfo
- Publication number
- CN101204038A CN101204038A CNA2006800215647A CN200680021564A CN101204038A CN 101204038 A CN101204038 A CN 101204038A CN A2006800215647 A CNA2006800215647 A CN A2006800215647A CN 200680021564 A CN200680021564 A CN 200680021564A CN 101204038 A CN101204038 A CN 101204038A
- Authority
- CN
- China
- Prior art keywords
- authentication
- peer
- message
- response
- eap
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3239—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/18—Multiprotocol handlers, e.g. single devices capable of handling multiple protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种在具有身份和试图访问网络资源的对等体连接鉴权方的鉴权阶段,将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息的方法,功能为对等体身份和权限验证的所述的鉴权方通过功能为鉴权在遵照第二鉴权协议的消息中接收的数据的鉴权服务器来实现授权访问网络,其特征在于转换方法包括:在遵照第一鉴权协议的消息中接收对等体身份的步骤;产生和发送询问的步骤;接收响应于所述询问的第一响应,产生用于访问网络的遵照第二鉴权协议的请求,并且向鉴权服务器发送所述请求的步骤;以及接收响应该请求的第二响应并且转换第二响应来产生遵照第一鉴权协议的鉴权结果的步骤。
Description
本发明涉及一种在鉴权阶段将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息的方法,在该鉴权阶段,具有身份并试图访问网络资源的对等体连接到鉴权方,其中基于对等体身份和权限验证的所述的鉴权方通过基于鉴权在遵照第二鉴权协议的消息中接收的数据的鉴权服务器来实现授权访问网络。
本发明的领域是电信和网络领域。
众所周知,希望访问IP网络并且从因特网服务提供商(ISP)订购访问服务的用户必须预先被ISP鉴权。例如通过口令的使用,鉴权检查被识别的一方是的确享有权限的一方。这使随后验证他们有权限访问物理资源。
由机器和用户构成的客户端由鉴权服务器鉴权,该鉴权服务器基于鉴权协议在对话期间获得客户端鉴权数据。
最广泛使用并且网络设备安装者最广泛安装的协议是RADIUS(远程鉴权拔入用户服务)协议与PPP(点对点协议),两个协议都是来自IETF(因特网工程任务组)(参见http://www.ietf.org/rfc.rfc2865.txt和http://www.ietf.org/rfc.rfc1661.txt)。支持RADIUS协议的鉴权服务器被称为RADIUS服务器。
PPP支持多种鉴权方法,例如,并且不完全的,来自IETF(参见http://www.ietf.org/rfc/rfc1994.txt)的PPP CHAP(点对点协议询问握手鉴权协议)方法及也来自IETF(参见http://www.ietf.org/rfc/rfc3748.txt)的PPP EAP(点对点扩展鉴权协议)方法。
通过向客户端发送包含由随机值构成的询问的PPP CHAP请求,PPP CHAP方法周期性地验证客户端的身份。客户端发送一个由包含询问的数据和客户掌握的密码来计算的值作为响应,由此,通过从相同的数据计算的值使RADIUS服务器能够检查客户端的身份。密码是用户特有的并且RADIUS服务器也知道的口令。
EAP鉴权试图与接入网络相关联的客户端并且具有特定特征,该特征定义用于传输不同EAP鉴权方法的通用交换。EAP支持多种EAP鉴权方法,例如,并且不完全的,来自IETF(参见http://www.ietf.org/rfc/rfc3748.txt)的EAP MD5-询问方法,和现在在IETF(http://www.ietf.org/internet-drafts/ draft-funk-eap-ttls-v1-00.txt)中讨论的EAP-TTLS(扩展鉴权协议-隧道化传输层安全)方法。EAP的通用自然特性使之成为非常灵活的协议,正在被越来越多的使用。
EAP MD5-询问方法是所使用的最简单的EAP鉴权方法:鉴权是通过向客户端发送包含询问的EAP MD5-询问类型请求实现的。客户端通过使用由IETF(参见http://www.ietf.org/rfc/rfc1321.txt)定义的MD5(消息摘要-5)哈希函数,并且使用作为参数构成用户口令的密码来杂凑(hashing)该询问从而响应。通过从相同的数据计算的值,RADIUS服务器检查客户端的身份。
用于PPP CHAP的RADIUS和用于EAP MD5-询问的RADIUS,这两种鉴权机制存在并且功能独立。然而,EAP MD5-询问客户端无法被RADIUS服务器鉴权,该RADIUS服务器支持PPP CHAP鉴权方法,但不具有对于EAP MD5-询问鉴权必要的EAP功能。许多已经安装在网络中的服务器没有使服务器鉴权EAP MD5-询问客户端的EAP功能。
本发明的一个目的是通过提出一种转换方法,适用于向不支持EAP的PPPCHAP-RADIUS服务器鉴权EAP MD5-询问客户端,来消除现有技术的缺点。
该目的通过依据本发明如在介绍段落中描述的方法来实现的,并且特征在于其包括:
·在遵照第一鉴权协议的消息中接收对等体身份的步骤;
·产生和发送询问的步骤;
·接收响应于所述询问的第一响应,产生用于访问遵照第二鉴权协议的网络的请求,并且向鉴权服务器发送所述请求的步骤;以及
·接收响应于所述请求的第二响应,并转换所述第二响应来产生遵照第一鉴权协议的鉴权结果的步骤。
该方法的优势相当大:
·EAP MD5-询问客户端可以被没有EAP功能的RADIUS服务器鉴权;
·无需修改EAP MD5-询问客户端;并且
·无需修改RADIUS服务器(如果RADIUS服务器已经在网络中运作,这是优势)。
该转换方法有利地进一步包括选择所述第一鉴权协议支持的鉴权方法的步骤。
因此,例如,诸如EAP-TTLS方法的基于在隧道中封装EAP MD5-询问的方法,可以和该转换方法相兼容。
产生询问有利地包括:
·从鉴权服务器请求所述询问的步骤;以及
·接收听述询问的步骤。
存在外部服务器产生询问的概率确保了与该鉴权方法所采用的标准鉴权方法的兼容性。
本发明还涉及一种鉴权对等体的方法,该对等体具有身份并且为了访问网络资源连接到遵照第一鉴权协议的鉴权方-转换器,功能为对等体身份和权限验证的所述的鉴权方-转换器通过功能为鉴权在遵照第二鉴权协议的消息中接收的数据的鉴权服务器来实现授权访问网络,该方法包括:
·向对等体发送身份请求的步骤;
·在遵照第一鉴权协议的消息中接收对等体身份的步骤;以及
·产生和发送询问的步骤;其特征在于该鉴权方法集成用于将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息的功能,并且在于其进一步包括:
·接收响应于所述询问的第一响应,产生遵照第二鉴权协议的网络访问请求,并且向鉴权服务器发送所述请求的步骤;以及
·接收响应于所述请求的第二响应,转换第二响应以产生遵照第一鉴权协议的鉴权结果,并且发送所述鉴权结果的步骤。
本发明进一步涉及一种转换器设备,适用于在具有身份和试图访问网络资源的对等体连接到鉴权方的鉴权阶段将遵照第一鉴权协议的消息转换为遵照第二鉴权消息,功能为对等体身份和权限验征的所述的鉴权方通过功能为鉴权在遵照第二鉴权协议的消息中接收的数据的鉴权服务器来实现授权访问网络,其特征在于转换器设备包括:
·用于获得询问的模块;
·用于发送所述询问和网络访问请求的模块;
·用于接收对等体的身份、响应于该询问的第一响应、和响应于所述网络访问请求的第二响应的模块;以及
·处理器模块,产生遵照第二鉴权协议的网络访问请求并且转换遵照第一鉴权协议的鉴权结果。
该转换器设备有利地进一步包括用于选择由第一鉴权协议支持的鉴权方法的模块。
本发明还涉及一种鉴权方-转换器设备,适用于鉴权有身份并且为了访问网络资源依照第一鉴权协议与所述设备对话的对等体,功能为对等体身份和权限验证的所述的设备通过功能为鉴权在遵照第二鉴权协议的消息中接收的数据的鉴权服务器来实现授权访问网络,该设备包括:
·用于获得询问的模块;
·用于发送对等体身份请求、所述询问、网络访问请求和鉴权结果的模块;
·用于接收所述身份、响应于所述询问的第一响应、和响应于所述网络访问请求的第二响应的模块;
其特征在于该设备适合于将遵照第一鉴权协议的消息转换为遵照第二鉴权协议,并且在于该设备包括:
·处理器模块,产生遵照第二鉴权协议的网络访问请求并且转换遵照第二鉴权协议的鉴权结果。
本发明进一步涉及一种鉴权系统,包括试图访问网络资源并且通过发送遵照第一鉴权协议的鉴权数据,由鉴权服务器根据第二鉴权协议接收和验证来必须由鉴权方系统鉴权的对等体,其特征在于该系统包括:
·用于将第一协议的鉴权数据转换为第二协议的鉴权数据的装置;以及
·用于鉴权客户端的装置。
用于将第一协议的鉴权数据转换为第二协议的鉴权数据的装置有利地由转换器设备提供。
用于将第一协议的鉴权数据转换为第二协议的鉴权数据的装置有利地由鉴权方-转换器设备提供。
本发明进一步涉及一种计算机程序,包括用于当由微处理器执行时,执行依据本发明的转换方法的指令。
本发明进一步涉及一种计算机程序,包括用于当由微处理器执行时,执行依据本发明的鉴权方法的指令。
参考以非限制实施例方式给出的附图阅读一个具体实施方式的描述后,可以更好地理解本发明的许多细节和优势,并且其中:
图1是表示鉴权期间,在待鉴权客户端和鉴权方系统之间交换的现有技术PPPCHAP询问和响应消息格式的图表。
图2是表示鉴权期间,在待鉴权客户端和鉴权方系统之间交换的现有技术EAPMD5-询问类型EAP请求或响应类型消息的格式的图表。
图3是表示遵照PPP CHAP协议的现有技术鉴权方法的图表。
图4是表示遵照EAP协议和EAP MD5-询问鉴权方法的现有技术鉴权方法的图表。
图5是表示根据本发明的转换方法的第一变化的图表;
图6是表示根据本发明的转换方法的第二变化的图表;
图7是遵照本发明第一变化的网络结构的图表;
图8是遵照本发明第二变化的网络结构的图表;
图9是表示根据本发明的转换器和鉴权方-转换器功能结构的图表。
图10是包括根据本发明的转换器的主要部件的图表。
在标准网络鉴权方法中三个实体相互影响:鉴权方系统,待鉴权的用户端,和鉴权服务器。鉴权方系统通过到网络的接入点控制对物理资源的访问。待鉴权的客户端希望访问该资源并且必须被鉴权来访问资源。鉴权服务器是在鉴权方系统请求时,验证待鉴权的客户端是否真正是具有权限的客户端,以及是否有权访问所请求资源的机器。如果鉴权成功,鉴权方系统提供对其所控制的资源的访问。通过在已建立的鉴权协议的基础上与待鉴权的客户端对话,鉴权服务器管理鉴权。
待鉴权的客户端由机器和用户构成。在大部分的当前网络装置中,鉴权方系统是诸如无线接入台一样的网络设备,例如,其具体也称为接入点(AP),用于PSTN(公用交换电话网)访问或ADSL(非对称数字用户线)访问的名为网络访问服务器(NAS)的交换机/IP路由器。在EAP和PPP CHAP术语中,待鉴权的客户端被称作对等体,并且鉴权方系统被称作鉴权方。鉴权服务器是典型的RADIUS服务器或能执行鉴权的任何其它设备。尤其在因特网服务提供商中,RADIUS服务器是最广泛用于鉴权的设备。
RADIUS协议以客户端/服务器模式运行。鉴权方系统作为RADIUS客户端运行。RADIUS客户端发送RADIUS请求并且基于接收的响应作出动作。RADIUS服务器可作为其它RADIUS服务器和其它鉴权系统的RADIUS代理。RADIUS协议的工作原理在于如口令的密码的使用,为了PPP CHAP鉴权,该密码由RADIUS服务器和待鉴权的对等体掌握并且不在网络上发送。
RADIUS协议实现了用户/口令鉴权或用户/询问/响应鉴权。基于请求/响应的交换可以为四种不同类型:访问-请求,访问-接受,访问-拒绝,和访问-询问。
RADIUS客户端向RADIUS服务器发送访问授权请求,该请求为访问-请求类型的RADIUS请求。RADIUS服务器发送接受响应,拒绝响应或请求额外信息的响应。接受响应是访问-接受类型的RADIUS响应,拒绝响应是访问-拒绝类型的RADIUS响应,用于请求额外信息的响应是由RADIUS服务器发送的访问-询问类型的RADIUS响应,该响应发送询问并且等候响应。
RADIUS协议在RADIUS请求字段中,例如在已知为属性的信息要素中,传输鉴权和授权信息。RADIUS消息中属性的数目是变化的。可以零个、一个或多个属性。每一属性有限定它的类型,值和大小。作为非限制的实施例,用户名类型属性对应于待鉴权的用户的标识符或注册,CHAP-询问类型属性对应于由鉴权方系统产生的并且发送至待鉴权客户端的PPP CHAP询问,CHAP-口令类型属性对应于对待鉴权客户端发送的PPP CHAP询问的响应,并且当在访问-询问类型的RADIUS请求中发送时,答复-消息类型属性包含询问。鉴权要素也可以被包括在RADIUS请求/响应的鉴权字段中。
图1表示了遵照PPP CHAP协议的现有技术的询问和响应消息的格式。在对等体和鉴权方之间交换询问和响应消息。
第一字段c1根据消息是询问还是对询问的响应来限定消息类型。字段c1的名称为代码。
名称为标识符的第二字段c2包含标识消息交换的值。每次发送新的询问时,该值必然被改变。对于对询问的响应中的消息,该字段的值和询问消息标识符字段的值相同。
名称为长度的第三字段c3包含PPP CHAP消息的大小。
名称为值-大小的第四字段c4对应于下面定义的名称为值的第五字段c5的长度。
名称为值的第五字段c5包含询问或对询问的响应的值。询问是每次发送新的询问时改变的随机值。通过对字节流应用哈希函数来计算对询问的响应,其中字节流包括标识符字段c2的值,其后是与对等体相关联的用户和鉴权方服务器已知的密码,其后是询问的值。对于PPP CHAP,该哈希函数是MD5。密码是用户特有的口令。
名称为名称的第六字段c6对应于发送消息的系统的标识。
图2例示了现有技术EAP请求或响应的格式。在对等体和鉴权方之间交换EAP请求和响应。
名称为代码的第一字段c7限定请求或对于请求的响应。
名称为标识符的第二字段c8标识消息的交换。响应的字段c8将与产生响应的请求的字段c8相同。
名称为长度的第三字段c9指定EAP消息的长度。
名称为类型的第四字段c10指定请求或响应的类型。例如,称为身份的具体类型对应于身份请求或对身份请求的响应。在名称为类型-数据的第五字段c11中,包含对身份请求的响应消息,与对等体相关联的用户的身份。字段c10中指定的请求的另一种类型对应于EAP鉴权方法。例如,名称为MD5-询问的类型指定EAP鉴权方法是EAP MD5-询问方法。类型MD5-询问与带有MD5哈希函数的PPP CHAP协议相似。名称为类型-数据的字段c11由以下字段构成:
·名称为值-大小并且与图1中的字段c4可比的第六字段c12,对应于字段c13的长度;
·名称为值并且与图1中的字段c5可比的第七字段c13,对应于询问或对该询问的响应;以及
·名称为名称并且与图1中的字段c6可比的第八字段c14,对应于发送EAP请求或响应的系统的标识。
图3例示了现有技术PPP CHAP-RADIUS鉴权机制,表示了鉴权方法涉及的三个实体间的消息交换。网络访问服务器(NAS)110指定鉴权方系统。NAS110控制对等体100对网络物理资源的访问。RADIUS服务器120是负责鉴权对等体100的鉴权服务器。在对等体100和NAS110间交换的PPP CHAP询问和响应消息的格式遵照图1的图示。
在初始状态1,对等体100和NAS110处于PPP协商阶段,其间对等体100和NAS110建立PPP链路并且对将采用的鉴权方法达成一致。特别地,在该阶段选择PPPCHAP鉴权方法。
在步骤2,在初始状态1中执行的PPP协商阶段后,NAS110产生询问并且向对等体100发送包含该询问的PPP CHAP询问消息s1。图3未例示的PPP CHAP-RADIUS鉴权的可选的实施中,NAS110委托RADIUS服务器120产生询问:NAS服务器110向RADIUS服务器120发送访问-请求类型RADIUS请求,RADIUS服务器采用在名称为答复-消息的RADIUS属性中包含询问的访问-询问类型RADIUS响应来响应。可以在PPPCHAP询问消息的字段c6中限定正在发送消息的NAS110的身份。在RADIUS服务器120产生询问的可选的鉴权实施中,可以在字段c6中限定产生询问的RADIUS服务器120的身份。
在步骤3,接收PPP CHAP询问消息s1后,对等体100从PPP CHAP询问消息s1中提取询问的值,并且计算对该询问的响应。通过对数据应用MD5哈希函数来计算该响应,其中数据包括PPP CHAP询问消息s1的字段c2的值,其后是对等体100掌握的密码,其后是PPP CHAP询问消息s1中接收的并且在消息s1的字段c5中出现的询问的值。在步骤3的最后,对等体100在PPP CHAP响应消息s2中发送响应。字段c6用于限定正在发送消息的对等体100的身份。
在步骤4,接收PPP CHAP响应消息s2后,以用作RADIUS服务器120的引起注意信号,NAS110产生访问-请求类型RADIUS请求s3。该请求包括以下RADIUS属性:
·RADIUS属性用户-名称,其值为对等体100的标识符。RADIUS属性用户-名称从PPP CHAP响应消息s2的字段c6中获得;
·RADIUS属性CHAP-询问,其值对应于步骤2期间NAS110计算的询问。在步骤2中对RADIUS服务器120产生询问的鉴权的可选的实施中,无需发送CHAP-询问属性;
RADIUS属性CHAP-口令,其值为PPP CHAP消息s1的字段c2中限定的PPP CHAP消息s1的身份,和步骤4中在PPP CHAP响应消息s2中接收的对询问的响应。在步骤2中对RADIUS服务器120产生询问的鉴权的可选的实施中,如果未在访问-请求类型RADIUS请求s3中发送属性CHAP-询问,则不在访问-请求类型RADIUS请求s3中插入属性CHAP-口令;并且
·在步骤2中对RADIUS服务器120产生询问的鉴权的可选的实施中,如果未在RADIUS访问-请求类型请求s3中发送属性CHAP-询问,则所述的请求包括名称为用户口令的属性。属性用户-口令的值由PPP CHAP消息s1的字段c2中限定的PPP CHAP消息s1的身份和对在步骤4中PPP CHAP响应消息s2中接收到的询问的响应构成。
在步骤4的最后,NAS110向RADIUS服务器120发送访问-请求类型RADIUS请求s3。
在步骤5,接收步骤4发送的访问-请求类型RADIUS请求s3后,RADIUS服务器120验证用户的鉴权。为此,其对字节流应用与对等体100应用的相同的哈希函数MD5来计算鉴权值,其中字节流包括访问-请求类型RADIUS请求s3的属性CHAP-询问中存在的询问,其后是用户掌握的密码和访问-请求类型RADIUS请求s3的属性CHAP-口令中存在的PPP CHAP消息s1的身份。RADIUS服务器120比较该鉴权值和访问-请求类型RADIUS请求s3的属性CHAP-询问中存在的对询问的响应。在步骤2中对RADIUS服务器120产生询问的鉴权并且未在访问-请求类型RADIUS请求s3中发送属性CHAP-询问的可选的实施中,鉴权服务器采用其掌握的询问来计算鉴权值,以及包含对询问的响应的属性用户-口令的内容,从而对鉴权进行验证。如果鉴权值等于对该询问的响应,则鉴权成功;如果不等于,则鉴权失败。在这两种情况下,在步骤5的最后,RADIUS服务器120向NAS110发送指定鉴权结果的消息s4。当鉴权成功时,消息s4是访问-接受类型RADIUS响应。如果鉴权失败,则消息s4是访问-拒绝类型RADIUS响应。
在步骤6,收到消息s4后,以用作对等体100的引起注意信号,NAS110产生响应消息s5。如果鉴权成功消息s5,则是CHAP-成功类型PPP CHAP消息,并且如果鉴权失败,则是CHAP-失败类型PPP CHAP消息。在步骤6的最后,NAS110向对等体100发送响应消息s5。
在步骤7,收到响应消息s5后,对等体100被授权或未被授权访问物理资源。
图4通过表示鉴权方法相关联的三个实体间的消息的交换来例示遵照现有技术EAP MD5-询问方法的鉴权机制。试图访问网络物理资源的对等体130将自身接入控制物理资源访问的鉴权方140。鉴权服务器150负责对等体130的鉴权。
EAP请求或响应消息遵照图2例示的格式。
在开始步骤11,鉴权方140向对等体130发送EAP身份请求s10。根据参考图2所描述的EAP消息格式,该消息在字段c10中包含对应于类型身份的值。
在步骤12,收到EAP身份请求s10之后,对等体130构造EAP响应消息s11,其在EAP响应消息s11的字段c11中包含对等体130的身份。对等体130向鉴权方140发EAP响应消息s11。
在步骤13,收到EAP响应消息s11后,鉴权方在EAP响应消息s12中将EAP响应消息s11中继到鉴权服务器150。
在步骤14,收到EAP响应消息s12后,鉴权服务器150产生询问和EAP MD5-询问类型的EAP请求消息s13。EAP请求消息s13在消息的字段c13中包含该询问。除询问外,可以在字段c14中限定产生请求消息的鉴权服务器的身份。鉴权服务器150向鉴权方140发送EAP请求消息s13。
在步骤15,收到EAP请求消息s13后, 鉴权方140在EAP请求消息s14中将EAP请求消息s13中继到对等体130。
在步骤16,收到EAP请求消息s14后,对等体130从EAP请求消息s13中提取询问并且利用它构成响应。通过对字节流应用MD5哈希函数来计算该响应,其中字节流包括询问,其后是对等体130掌握的密码和从消息的字段c8获得的请求消息s14的标识符。对等体130向鉴权方140发送在字段c13中包含对询问的响应的EAP响应s15。EAP响应s15的字段c14可用于规定发送该响应的对等体130的身份。
在步骤17,收到EAP响应消息s15后,鉴权方140在EAP响应消息s16中将EAP响应消息s15中继到鉴权服务器150。
在步骤18,收到EAP响应消息s16后,鉴权服务器150验证对等体130的鉴权。为了此目的,它通过对字节流应用MD5哈希函数来计算鉴权值,其中字节流包括其在步骤14中产生的询问,其后是对等体130掌握的特有的密码及EAP响应消息s16的字段c8中出现的请求和响应消息的标识符。如果鉴权值等于EAP响应消息s16的字段c17中出现的的对询问的响应,则对等体130的鉴权成功;如果不相等,鉴权失败。在这两种情况下,鉴权服务器150产生限定鉴权结果的EAP消息s17。当鉴权成功时,EAP消息s17是EAP成功类型的EAP消息。如果鉴权失败,则EAP消息s17是EAP失败类型的EAP消息。鉴权服务器150将EAP消息s17发送给鉴权方140。
在步骤19,收到步骤18中鉴权服务器150发送的EAP消息s17后,鉴权方140在EAP消息s18中将EAP消息s17中继到对等体130。
在步骤20,收到EAP消息s18后,对等体130访问物理资源或不访问。
在EAP鉴权的一个特别实施中,在鉴权方140和鉴权服务器150之间交换的所有EAP消息都封装在如RADIUS协议的遵照AAA(鉴权,授权,和计费)类型协议的消息中。
图5通过表示鉴权方法涉及的实体间的消息的交换和处理操作,例示了采用根据本发明用于将EAP MD5-询问鉴权消息转换为PPP CHAP-RADIUS鉴权消息的方法的鉴权机制。再次采用EAP术语来指定鉴权方法涉及的实体。
EAP对等体160对应于待鉴权的客户端,该客户端希望访问物理资源并且必须被鉴权来访问。鉴权方170是空制物理资源访问的鉴权方系统。根据本发明的方法实现本发明专用的转换器180,并且将遵照EAP协议和EAP MDT-询问方法的鉴权消息转换为遵照PPP CHAP-RADIUS鉴权协议的消息。转换模块181是要存储在转换器180内存中的程序;它包括用于执行根据本发明转换方法的指令。它管理被称为当前EAP会话上下文的内部数据项目182,该上下文用于存储关于进行中EAP会话的信息,例如(并且非穷尽的)进行中EAP会话的标识符,进行中选择用于会话的EAP鉴权方法。在鉴权方170和RADIUS服务器190交互时接收此信息。RADIUS服务器190负责鉴权EAP对等体160。此RADIUS服务器没有使其能够鉴权EAP客户端的EAP功能。
在本发明的一个特别的实施方式中,在对等体160和鉴权方170之间交换的所有消息都被封装在如EAP-TTLS消息的安全隧道中。
在本发明的一个特别的实施方式中,在鉴权方170和转换器180之间交换的所有消息都被封装在如RADIUS协议的遵照AAA-类型协议的消息中。
在开始步骤22,鉴权方170产生身份请求消息s20并且将其发送到EAP对等体160。根据参考图2描述的EAP消息格式,消息在字段c10中包含对应于类型身份的值。
在步骤23,接收到EAP身份请求消息s20后,EAP对等体160产生并且发送在字段c11中包含其身份的EAP响应消息s21。
在步骤24,接收到EAP响应消息s21后,鉴权方170在EAP消息s22中将EAP响应消息s21中继到转换器180。
在步骤25中,接收到EAP响应消息s22后,转换器180分析EAP响应消息s22。转换器180从EAP响应消息s22的字段c11中获得待鉴权的EAP对等体160的身份,并且将该身份存储到当前EAP会话上下文182中。在相对于出现在身份类型的EAP响应消息s22的字段c8中的标识符处的内容,当前EAP会话上下文182被标识符唯一标识。转换器180选择当前EAP会话的鉴权方法,在此为EAP MD5-询问方法。EAPMD5-询问方法的选择是多方面考虑的结果:EAP对等体160的身份,鉴权方170的标识符,和转换器190的任何进一步的可用信息使得其辨别与对等体160相关联的用户和作为接入点的鉴权方170。将辨别用户和网络接入点的信息有利地存储在当前EAP会话上下文182中。转换器180在当前EAP会话上下文182中存储EAP MD5-询问方法的选择。转换器180选择将EAP MD5-询问鉴权转换为PPP CHAP-RADIUS,从而具体化对没有EAP功能的RADIUS服务器190的鉴权。转换器选择希望执行鉴权的RADIUS服务器。为了做出选择,转换器180依赖关于可用的关于EAP对等体的信息:当前EAP会话上下文182中存储的EAP对等体的身份,和转换器180通过访问另一个服务器或数据库转换器可用的任何其它信息,辨别与EAP对等体160以及作为网络接入点的鉴权方170相关联的用户的信息。该信息被存储在当前EAP会话上下文182中。转换器180确定其必须请求RADIUS服务器190产生询问,并且向RADIUS服务器190发送访问前求类型RADIUS请求s23。在本发明可选实施方式中,转换器180选择其自身产生询问。然后不与RADIUS服务器190交换消息。
在步骤26,接收访问-请求类型RADIUS请求s23后,RADIUS服务器190产生询问并且向转换器180发送在RADIUS属性答复-消息中包含该询问的访问-询问类型RADIUS响应s24。
在步骤27,接收RADIUS响应s24后,转换器180产生EAP询问消息s25。在RADIUS响应s24中从RADIUS服务器190接收到的询问被插入EAP询问消息s25的字段c13中。在转换器180选择其自身产生询问的本发明可选的实施方式中,询问被插入EAP询问消息s25的字段c13中,并且被存储在当前EAP会话上下文182中。转换器180将询问产生的方式存储在当前EAP会话上下文182中。
EAP询问消息s25的字段c14有利地用于限定产生询问的鉴权服务器190的身份。在转换器180选择其自身产生询问的本发明可选的实施方式中,EAP询问消息s25的字段c14有利地用于指定产生EAP询问消息s25的转换器180的身份。在步骤27的最后,转换器180向鉴权方170发送EAP询问消息s25。
在步骤28,接收EAP询问消息s25后,鉴权方170在EAP询问消息s26中将EAP询问消息s25中继到EAP对等体160。
在步骤29,接收EAP询问消息s26后,EAP对等体160从EAP询问消息s26的字段c13中提取询问并且产生EAP响应消息s27。为此,EAP对等体160通过在比特流上应用MD5哈希函数来计算对询问的响应,其中比特流包括询问的值,其后是EAP对等体160特有的密码,其后是从EAP询问消息s26的字段c8中提取的消息s26的身份。对询问的响应被插入到EAP响应消息s27的字段c13中。EAP响应消息s27的字段c14可有利地用于指定EAP对等体160的身份。EAP对等体160向鉴权方170发送EAP响应消息s27。
在步骤30,接收EAP响应消息s27后,鉴权方170在消息s28中将EAP响应消息s27中继到转换器180。
在步骤31,接收EAP响应消息s28后,转换器180分析EAP响应消息s28。如果对询问的响应已经被填充,则它从字段c13中获得对询问的响应和从字段c14获得发送消息的实体的名称。转换器在当前EAP会话上下文182存储对询问的响应,并且,可应用地,存储发送消息的实体的身份。在步骤25期间未作出选择具体化对RADIUS服务器的鉴权的本发明可选实施方式中,现在作出选择,以及作出RADIUS服务器的选择。为了作出此选择,转换器180依赖关于EAP对等体160的可用的信息:当前EAP会话上下文182中存储的EAP对等体160的身份,对询问请求的响应消息的发送方,以及转换器180通过访问另一个服务器或数据库可用的任何其它信息,辨识与EAP对等体160和作为网络接入点的鉴权方170相关联的用户的信息。转换器180构造访问-请求类型RADIUS请求s29,该请求中包含RASIUS服务器190鉴权EAP对等体160所需的鉴权信息。特别地,转换器180利用之前步骤获得的鉴权信息来产生如下RADIUS鉴权属性:
对应于与EAP对等体160相关联的用户身份的属性用户-名称。用户的身份是,例如(并且非穷尽地)EAP对等体的MAC(媒体访问控制)地址,IP地址或被EAP对等体插入消息s27的字段c14中的身份。此属性的值从包含在之前交换的和当交换时存储在当前EAP会话上下文182的消息的字段中的信息来获得。转换器180使用全部或部分此信息来构成属性用户-名称;
·EAP响应消息s22的字段c11对于步骤25中转换器180接收的标识符请求。在本发明一个特定实施方式中EAP响应消息s22被封装在RADIUS消息中,字段c11的复本被包含在RADIUS消息s22的属性用户-名称中;
·有利地包含EAP对等体160标识符的EAP响应消息s28的字段c14;以及
·用于标识用户的任何其它信息。在鉴权方170和转换器180之间交换的EAP消息被封装在如RADIUS协议的AAA-类型协议的本发明一个特定实施方式中,该协议的属性有利地被使用。
在本发明的一个特定实施方式中,转换器180从如存储在转换器180访问的数据库中的信息的用户掌握的特有信息中添加属性用户-名称或产生标识符。
·指定EAP响应消息s28的标识符和从EAP响应消息s28的字段c13中提取的对询问响应的属性CHAP-口令。当询问被转换器180存储,并且在RADIUS请求s29中,在CHAP-询问RADIUS属性中,或在RADIUS请求s29的鉴权方字段中被发送给RADIUS服务器190时,CHAP-口令属性被填写。
·包含EAP响应消息s28的标识符和从EAP响应消息s28的字段c13中提取的对询问响应的属性用户-口令。当询问未在RADIUS请求s29中由转换器180发送到RADIUS服务器190时,属性用户-口令被填写。
在转换器180自己产生询问的本发明的可选的实施方式中,转换器180在CHAP-询问属性或RADIUS请求s29的鉴权方字段中限定询问的值,并且在属性CHAP-口令中指定EAP响应消息s28的标识符和从EAP响应消息s28的字段c13中提取的对询问的响应。
在本发明的一个特殊的实施方式中,转换器180还执行额外的代理-类型处理。因此,转换器180已知的信息在RADIUS属性中发送给RADIUS服务器190。例如,并且不完全地,该信息是由与鉴权方170或EAP对等体160相关联的转换器限定的信息,并且可能对RADIUS服务器有用。
在步骤31的最后,由转换器180构造的访问-请求类型RADIUS请求s29被发送给RADIUS服务器190。
在步骤32,接收访问-请求类型RADIUS请求s29后,鉴权服务器190以与PPPCHAP方法相同的方式来验证用户的鉴权。
RADIUS服务器190向转换器180发送鉴权结果消息s30。如果鉴权成功则鉴权结果消息s30是访问-接受类型RADIUS响应,如果失败则是RADIUS响应访问-拒绝的RADIUS响应。
在步骤33,接收鉴权结果消息s30后,转换器180分析鉴权结果消息s30,并且准备将所述的消息s30转换成EAP消息。用于转换的准备在于选择作为鉴权结果发送给鉴权系统的消息。转换器基于接收的RADIUS响应和/或RADIUS响应的RADIUS属性的值和/或转换器内在条件选择响应消息。在本发明的一个实施方式中,转换器产生响应消息s31,如果消息s30是访问-接受类型RADIUS响应则消息s31是EAP-成功类型EAP消息,并且如果消息s30是访问拒绝类型RADIUS响应则消息s31是EAP-失败类型EAP消息。在本发明的一个特殊实施方式中,代理-类型处理也可以用于基于转换器180定义的标准调整响应消息s31。在步骤s33的最后,响应消息s31被发送给鉴权方170。
在步骤34,接收响应消息s31后,鉴权方170在消息s32中将EAP-成功或EAP-失败类型EAP响应消息s31中继到EAP对等体160。
在步骤35,接收消息s32后,EAP对等体160访问物理资源或者不访问。
为了简明,没有描述特定于EAP和链接到消息重传的RADIUS协议、及存储该重传必须的信息的机制。
图6例示了参考图5描述的转换器的功能被集成到鉴权方系统的,根据本发明的转换方法的第二种变化中发生的信息交换。EAP对等体200是待鉴权的客户端。鉴权方-转换器210是控制物理资源访问和集成转换器功能的鉴权方系统。RADIUS服务器220控制EAP对等体200的访问。
步骤41,42,44,46,48,50与参考图5描述的步骤22,23,26,29,32,35是相同的类型。
步骤43,相比图中的步骤25,鉴权方-转换器210确定要采用的EAP鉴权方法是EAP MD5-询问方法,并且确定必须请求RADIUS服务器220来产生询问。鉴权方-转换器210向RADIUS服务器220发送访问-请求类型RADIUS请求s42。在本发明的可选实施方式中,鉴权方-转换器210选择其自身来产生询问。这样与RADIUS服务器220无消息的交换。
在步骤45,接收包含步骤43中请求的询问的访问-询问类型RADIUS响应s43(与图5中的响应s24是相同的类型)后,鉴权方-转换器210产生EAP询问消息s44。从RADIUS服务器220接收的在访问-询问类型RADIUS响应s43中的询问被插入到EAP询问消息s44的字段c13中。
在鉴权方-转换器210自身产生询问的本发明可选实施方式中,该询问被插入到EAP询问消息s44的字段c13中。
鉴权方-转换器210的身份有利地被限定在EAP询问消息s44的字段c14中。在步骤45的最后,EAP询问消息s44被发送EAP对等体200。
在步骤47,接收EAP响应消息s45(与图5中的消息s27是相同的类型)后,执行类似于图5中步骤31中转换器实现的处理。鉴权方-转换器210从之前步骤中交换的EAP消息中包含的鉴权信息中产生访问-请求类型RADIUS请求s46。访问-请求类型RADIUS请求s46包括多个RADIUS属性:
·鉴权方-转换器210在其中插入与EAP对等体200相关联的用户的标识符的属性用户-名称,其可包括从EAP消息s41的字段c11及EAP消息s41的字段c14获得的信息。在本发明的一个特定实施方式中,鉴权方-转换器210完成用户-名称属性或者从如鉴权方-转换器210访问的数据库中存储的信息一样的用户掌握的特有信息中产生标识符。
·属性CHAP-口令,其中鉴权方-转换器210复制作为当前EAP会话标识符的EAP响应消息s45的标识符及从EAP响应消息s45的字段c13中提取的对询问的响应。当询问被鉴权方-转换器210存储,并且在RADIUS请求s46中、在RADIUS属性CHAP-询问中、或在所述请求的鉴权方字段中被发送到RADIUS服务器220时,填充属性CHAP-口令。
·属性用户-口令,包含响应消息s45的标识符和从EAP响应消息s45的字段c13中提取的对询问的响应。当询问未在RADIUS请求s46中由鉴权方-转换器210发送到RADIUS服务器时填充属性用户-口令。
在鉴权方-转换器210自身产生询问的可选的本发明的实施方式中,鉴权方-转换器210在RADIUS请求s46的CHAP-询问属性或鉴权方字段中限定询问的值,并且在CHAP-口令属性中限定EAP响应消息s45的标识符和从EAP响应消息s45的字段c13中提取的对询问的响应。
在本发明的一个特殊实施方式中,代理-类型额外处理也由以RADIUS属性向RADIUS服务器发送信息的鉴权方-转换器210执行。EAP响应消息s46被发送给RADIUS服务器220。
在步骤49,接收鉴权结果消息s47(与消息s30的类型相同)后,为了EAP对等体200的关注,当消息s47是访问-接收类型RADIUS响应时鉴权方-服务器210产生为EAP消息EAP-成功的响应消息s48,并且当消息s47是访问-拒绝类型RADIUS响应时产生为EAP消息EAP-失败的响应消息s48。在本发明的一个特定实施方式中,代理-类型处理也可以基于鉴权方-转换器210中定义的标准调整响应消息s48。
在步骤50中,接收响应消息s48后,EAP对等体200访问物理资源或者不访问。
图7是描述网络结构的一个实例的图表,其中描述了根据本发明的转换方法所涉及的实体。
EAP对等体160正试图访问由构成网络接入点的鉴权方170控制的IP网络250的物理资源。EAP对等体160必须预先被鉴权。RADIUS服务器190验证EAP对等体160已经被鉴权并且有访问网络250物理资源的权限。RADIUS服务器190没有EAP功能。
为了被鉴权,EAP对等体160根据EAP MD5-询问鉴权方法与鉴权方170对话。鉴权方170请求RADIUS服务器190验证EAP对等体160是否有权限访问资源。为此,EAP对等体160与转换器180对话,具体到本发明,转换器180可以将EAP MD5-询问鉴权消息转换成RADIUS服务器190可理解的PPP CHAP-RADIUS鉴权消息。转换器180向RADIUS服务器190提供从鉴权方170接收的EAP对等体160特有的鉴权数据。其从RADIUS服务器190接收鉴权结果。为了鉴权方170的关注转换器转换该结果。鉴权方170通知EAP对等体160鉴权结果。
图8是描述网络结构的第二个变化的图表,其中描述了根据本发明的转换方法所涉及的实体。在此变化中,是鉴权方-转换器210,具体到本发明,是执行图7中的鉴权方170和转换器180功能的鉴权方系统。
图9是例示根据本发明的转换器和鉴权方-转换器的功能结构的图表。
转换器180由如下主要功能模块构成:
·用于获取为随机值的询问的模块281。由该模块产生询问或在向鉴权服务器提交产生请求后由该模块获得询问。
·用于发送消息的模块282。为了获得询问,该模块负责发送由消息处理模块或模块281准备的外部实体消息。为此,其有多个外部接口:接口i282-1用于向鉴权服务器发送消息,并且接口i282-3用于向鉴权方发送消息。
·用于接收消息的模块283。该模块通过多个接口从外部实体接收消息,接口包括用于接收鉴权方发送的消息的接口i283-1和用于接收鉴权服务器发送的消息的接口i283-3。该模块将接收的消息发送给处理模块。
·处理模块284。该模块分析从消息接收模块283接收的消息,将鉴权数据从一个协议转换成另一个协议,并且产生将由消息发送模块282发送的消息。
·用于选择EAP支持的鉴权方法的模块285。
通信信道288由各模块使用来交换信息。例如,用于获取询问的模块281可以向用于发送消息的模块282发送询问请求,用于发送消息的模块282发送该请求给鉴权服务器。
鉴权方-转换器210包含与转换器180相同的功能模块。用于发送消息的模块282与转换器180的不同在于:它包含作为对等体引起注意信号用于发送消息的接口i282-2而没有与鉴权方的接口i282-3。鉴权方-转换器210的消息接收模块283与转换器180的不同在于,它没有与鉴权方的接口i283-1并且具有用于从对等体接收消息的接口i283-2。
上面描述的功能模块和接口有利地以存储在转换器180(分别为鉴权方-转换器210)的存储器中的程序的形式实现,并且由所述的转换器(分别为鉴权方-转换器)得处理器来执行。
图10是表示根据本发明的转换器180的主要部件的图表。
主要计算在称为中央处理单元(CPU)的中央部件360中实现。特别地,CPU360执行加载到随机访问存储器(RAM)365中的程序,该RAM存储由CPU处理的数据。
外围设备370处理在处理器与外部世界间的通信。为了简化未在图表中详细表示。例如,并且不完全地,外围设备是网络连接模块,可移动盘等等。
总线375用于在转换器180的部件间传输数据。
本发明特有的转换程序380存储在图表中未示出的外围设备中。该程序包括参考图9所描述的功能模块并且以程序指令的方式执行。该程序被CPU加载到用于执行指令的随机访问存储器365中。
图10同等地应用于图6所示的鉴权方-转换器210。鉴权方-转换器的主要部件与转换器180的主要部件类似。只有转换程序380是不同的。对于鉴权方-转换器,特有的程序包括参考图9描述的以程序指令形式执行的功能模块。所述的程序被加载到随机访问存储器365中用于CPU执行指令。
Claims (12)
1.一种在将具有身份和试图访问网络(250)的资源的对等体(160)连接到鉴权方(170)的鉴权阶段,将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息的方法,其中基于对等体身份和权限的验证所述鉴权服务器授权访问所述网络,而所述验证由鉴权服务器(190)基于在遵照第二鉴权协议的消息中接收的鉴权数据来实现,其特征在于转换方法包括:
·在遵照第一鉴权协议的消息中接收对等体身份的步骤(25);
·产生和发送询问的步骤(27);
·接收响应于所述询问的第一响应,产生用于访问网络的遵照第二鉴权协议的请求,并且向所述鉴权服务器发送所述请求的步骤(31);以及
·接收响应所述请求的第二响应,并且转换所述第二响应来产生遵照第一鉴权协议的鉴权结果的步骤(33)。
2.根据权利要求1的方法,其特征在于该方法包括选择所述第一鉴权协议支持的鉴权方法的步骤。
3.根据任意在前权限要求的方法,其特征在于产生所述询问包括:
·从所述鉴权服务器(190)请求所述询问的步骤(25);以及
·接收所述询问的步骤(27)。
4.一种鉴权具有身份并且为了访问网络(250)的资源连接到遵照第一鉴权协议的鉴权方-转换器(210)的对等体(200)的方法,其中所述鉴权方-转换器基于对等体身份和权限验证授权访问所述网络,而所述验证基于在遵照第二鉴权协议的消息中接收的鉴权数据由鉴权服务器(220)来实现,该方法包括:
·向对等体发送身份请求的步骤(41);
·在遵照第一鉴权协议的消息中接收对等体身份的步骤(4 3);
·产生和发送询问的步骤(45);
·其特征在于该鉴权方法集成用于将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息的功能,并且在于其进一步包括:
·步骤(47),接收响应于所述询问的第一响应,产生遵照第二鉴权协议的网络访问请求,并且向所述鉴权服务器发送所述请求;以及
·步骤(49),接收响应于所述请求的第二响应,转换所述第二响应以产生遵照第一鉴权协议的鉴权结果,并且发送所述鉴权结果。
5.一种转换器设备,适用于在将具有身份和试图访问网络(250)的资源的对等体(160)连接到鉴权方(170)的鉴权阶段,将遵照第一鉴权协议的消息转换为遵照第二鉴权消息,其中基于对等体身份和权限的验证所述鉴权服务器授权访问所述网络,而所述验证由鉴权服务器(190)基于在遵照第二鉴权协议的消息中接收的鉴权数据来实现,其特征在于转换器设备包括:
·用于获得询问的模块281;
·用于发送所述的询问和网络访问请求的模块282;
·用于接收对等体的身份,响应于所述询问的第一响应,和响应于所述网络访问请求的第二响应的模块283;和
·产生遵照第二鉴权协议的网络访问请求并且转换遵照第一鉴权协议的鉴权结果的处理器模块284。
6.根据权利要求4的设备,其特征在于其进一步包括模块281,用于选择所述第一鉴权协议支持的鉴权方法。
7.一种鉴权方-转换器设备(210),适用于鉴权具有身份并且为了访问网络(250)的资源依照第一鉴权协议与所述设备对话的对等体(200),其中基于对等体身份和权限验证的所述鉴权方-转换器授权访问所述网络,而所述验证基于在遵照第二鉴权协议的消息中接收的鉴权数据由鉴权服务器(220)来实现,该设备包括:
·模块(281),用于获得询问;
·模块(282),用于发送对等体身份请求,所述询问,网络访问请求和鉴权结果;和
·模块(283),用于接收所述身份,响应于所述询问的第一响应,和响应于所述网络访问请求的第二响应;
其特征在于该设备适合于将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息,并且在于该设备进一步包括:
·处理器模块(284),产生遵照第二鉴权协议的网络访问请求并且转换遵照第二鉴权协议的鉴权结果。
8.一种鉴权系统,包括试图访问网络(250)的资源并且必须通过发送由鉴权服务器(190,220)根据第二鉴权协议接收和验证、遵照第一鉴权协议的鉴权数据,来由鉴权方系统(170,210)鉴权的对等体(160,200),其特征在于该系统包括:
·用于将第一协议的鉴权数据转换为第二协议的鉴权数据的装置;和
·用于鉴权客户端的装置。
9.一种鉴权系统,包括试图访问网络(250)的资源并且必须通过发送由鉴权服务器(190,220)根据第二鉴权协议接收和验证的、依照第一鉴权协议的鉴权数据,来由鉴权方系统(170,210)鉴权的对等体(160,200),其特征在于用于将第一协议的鉴权数据转换为第二协议的鉴权数据的装置配备根据权利要求4的转换器设备。
10.一种鉴权系统,包括试图访问网络(250)的资源并且必须通过发送由鉴权服务器(190,220)根据第二鉴权协议验证的、符合第一鉴权协议的鉴权数据,来由鉴权方系统(170,210)鉴权的对等体(160,200),其特征在于用于将第一协议的鉴权数据转换为第二协议的鉴权数据的装置和用于鉴权客户端的装置配备根据权利要求5的鉴权方-转换器设备。
11.一种计算机程序,包括当由微处理器(360)执行时,用于执行根据权利要求1的方法的指令。
12.一种计算程序,包括当由微处理器(360)执行时,用于执行根据权利要求4的方法的指令。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0506136 | 2005-06-16 | ||
| FR0506136 | 2005-06-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101204038A true CN101204038A (zh) | 2008-06-18 |
Family
ID=35788385
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006800215647A Pending CN101204038A (zh) | 2005-06-16 | 2006-06-07 | 鉴权协议转换方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20090113522A1 (zh) |
| EP (1) | EP1891771A1 (zh) |
| CN (1) | CN101204038A (zh) |
| WO (1) | WO2006134291A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013131461A1 (zh) * | 2012-03-06 | 2013-09-12 | 中兴通讯股份有限公司 | 一种用户设备接入融合控制网元的实现方法及装置 |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4479703B2 (ja) * | 2006-08-29 | 2010-06-09 | ブラザー工業株式会社 | 通信システムと管理装置 |
| JP4305481B2 (ja) * | 2006-08-29 | 2009-07-29 | ブラザー工業株式会社 | 通信システムと管理装置と情報処理装置 |
| JP4869033B2 (ja) * | 2006-11-13 | 2012-02-01 | キヤノン株式会社 | ネットワークデバイス、ネットワークデバイス管理装置、ネットワークデバイスの制御方法、ネットワークデバイス管理方法、プログラム、記憶媒体 |
| US20090288138A1 (en) * | 2008-05-19 | 2009-11-19 | Dimitris Kalofonos | Methods, systems, and apparatus for peer-to peer authentication |
| JP5408910B2 (ja) * | 2008-06-10 | 2014-02-05 | キヤノン株式会社 | ネットワーク機器管理装置およびその制御方法、プログラム、記憶媒体 |
| US20110167477A1 (en) * | 2010-01-07 | 2011-07-07 | Nicola Piccirillo | Method and apparatus for providing controlled access to a computer system/facility resource for remote equipment monitoring and diagnostics |
| KR20120072032A (ko) * | 2010-12-23 | 2012-07-03 | 한국전자통신연구원 | 모바일 단말의 상호인증 시스템 및 상호인증 방법 |
| CN104378333B (zh) * | 2013-08-15 | 2018-09-21 | 华为终端有限公司 | 调制解调器拨号方法及宽带设备 |
| US10397233B2 (en) * | 2015-04-20 | 2019-08-27 | Bomgar Corporation | Method and apparatus for credential handling |
| US10129244B2 (en) * | 2016-06-20 | 2018-11-13 | Princeton SciTech, LLC | Securing computing resources |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5586260A (en) * | 1993-02-12 | 1996-12-17 | Digital Equipment Corporation | Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms |
| US5537474A (en) * | 1994-07-29 | 1996-07-16 | Motorola, Inc. | Method and apparatus for authentication in a communication system |
| JP2977476B2 (ja) * | 1995-11-29 | 1999-11-15 | 株式会社日立製作所 | 機密保護方法 |
| JPH10200524A (ja) * | 1997-01-08 | 1998-07-31 | Fujitsu Ltd | ターミナルアダプタ |
| US6067623A (en) * | 1997-11-21 | 2000-05-23 | International Business Machines Corp. | System and method for secure web server gateway access using credential transform |
| JP3570310B2 (ja) * | 1999-10-05 | 2004-09-29 | 日本電気株式会社 | 無線lanシステムにおける認証方法と認証装置 |
| US7287156B2 (en) * | 2001-06-29 | 2007-10-23 | International Business Machines Corporation | Methods, systems and computer program products for authentication between clients and servers using differing authentication protocols |
| US6996714B1 (en) * | 2001-12-14 | 2006-02-07 | Cisco Technology, Inc. | Wireless authentication protocol |
| US20040054905A1 (en) * | 2002-09-04 | 2004-03-18 | Reader Scot A. | Local private authentication for semi-public LAN |
| US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
| MXPA05009877A (es) * | 2003-03-14 | 2006-02-28 | Thomson Licensing | Una arquitectura de punto de acceso a wlan flexible capaz de ordenar diferentes dispositivos del usuario. |
| MXPA05009882A (es) * | 2003-03-14 | 2006-03-13 | Thomson Licensing | Configuracion automatica de terminal del cliente en un punto publico de trabajo. |
| JP4173866B2 (ja) * | 2005-02-21 | 2008-10-29 | 富士通株式会社 | 通信装置 |
-
2006
- 2006-06-07 WO PCT/FR2006/050529 patent/WO2006134291A1/fr active Application Filing
- 2006-06-07 CN CNA2006800215647A patent/CN101204038A/zh active Pending
- 2006-06-07 US US11/922,463 patent/US20090113522A1/en not_active Abandoned
- 2006-06-07 EP EP06764849A patent/EP1891771A1/fr not_active Withdrawn
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013131461A1 (zh) * | 2012-03-06 | 2013-09-12 | 中兴通讯股份有限公司 | 一种用户设备接入融合控制网元的实现方法及装置 |
| CN103313239A (zh) * | 2012-03-06 | 2013-09-18 | 中兴通讯股份有限公司 | 一种用户设备接入融合核心网的方法及系统 |
| CN103313239B (zh) * | 2012-03-06 | 2018-05-11 | 中兴通讯股份有限公司 | 一种用户设备接入融合核心网的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1891771A1 (fr) | 2008-02-27 |
| WO2006134291A1 (fr) | 2006-12-21 |
| US20090113522A1 (en) | 2009-04-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101204038A (zh) | 鉴权协议转换方法 | |
| US8132239B2 (en) | System and method for validating requests in an identity metasystem | |
| EP1654852B1 (en) | System and method for authenticating clients in a client-server environment | |
| US10305880B2 (en) | System for secure enrollment and secure verification of network users by a centralized identification service | |
| CN102638454B (zh) | 一种面向http身份鉴别协议的插件式单点登录集成方法 | |
| CN101399813B (zh) | 身份联合方法 | |
| US7533257B2 (en) | Server authentication verification method on user terminal at the time of extensible authentication protocol authentication for internet access | |
| JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| US7221935B2 (en) | System, method and apparatus for federated single sign-on services | |
| CN100563248C (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| CN1711740B (zh) | 轻度可扩展验证协议的密码预处理 | |
| CN1523811B (zh) | 用户连接因特网时认证网络访问的用户的方法和系统 | |
| CN101335626B (zh) | 多级认证方法和多级认证系统 | |
| CN101341492B (zh) | 提供和接收身份相关的信息的方法和系统 | |
| CN100370869C (zh) | 为用户提供网络漫游的方法和系统 | |
| US20100138899A1 (en) | Authentication intermediary server, program, authentication system and selection method | |
| CN106254386B (zh) | 一种信息处理方法和名字映射服务器 | |
| US20080140841A1 (en) | Method and apparatus for detecting the IP address of a computer, and location information associated therewith | |
| RU2325774C2 (ru) | Способ распределения паролей | |
| WO2011032471A1 (zh) | 身份位置分离网络中用户登录icp网站的方法、系统及登录装置 | |
| RU2447613C2 (ru) | Способ обработки услуг, система связи и связанное устройство | |
| US20060265586A1 (en) | Method and system for double secured authenication of a user during access to a service by means of a data transmission network | |
| JP5302665B2 (ja) | 認証サーバ提示方法、サービス提供システム、サービス提供装置、およびサービス提供プログラム | |
| Silva et al. | A Web service authentication control system based on SRP and SAML | |
| KR100404882B1 (ko) | 이동통신 시스템에서의 aaa 서버의 사용자 정보 관리장치 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080618 |