CN101247239A - 一种认证授权计费系统及其实现方法 - Google Patents
一种认证授权计费系统及其实现方法 Download PDFInfo
- Publication number
- CN101247239A CN101247239A CNA2008100655173A CN200810065517A CN101247239A CN 101247239 A CN101247239 A CN 101247239A CN A2008100655173 A CNA2008100655173 A CN A2008100655173A CN 200810065517 A CN200810065517 A CN 200810065517A CN 101247239 A CN101247239 A CN 101247239A
- Authority
- CN
- China
- Prior art keywords
- server
- client
- user
- network access
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种认证授权计费系统及其实现方法,所述方法为:首先,在网络接入服务器上设置认证服务器和记账服务器的属性信息,在数据库或者服务器中设置策略服务器的属性信息;然后,在用户使用客户端登录时,根据所述预设的属性信息通过认证服务器进行认证,认证成功后再通过记账服务器进行计费,同时从策略服务器获取策略。本发明将影响AAA服务器压力最大的三个部分(认证,记账,策略下发)独立出来,特别是策略下发,将这些部分做成单独的模块,可以安装在不同的服务器上,这样相对于三个模块安装在一台服务器上可以提高效率,减轻压力,且增加了部署的灵活性(如果某一个模块需要升级或者出了故障,没有必要全部升级或者处理)。
Description
技术领域
本发明涉及一种AAA(认证、授权、计费)系统及其实现方法。
背景技术
近年来,随着Internet的迅速发展,在Internet上的多媒体业务得以迅速推广,要想享受Internet上的各种服务,用户必须以某种方式接入网络。目前人们一般都使用宽带接入,现在硬件成本的降低使得越来越多的人能够购买电脑PC机,而降低的上网资费又使得绝大多少人能够享受上网的乐趣,随着技术的进步运营商能够提供多种业务,用户数的增多和业务的多样化,对设备和服务器的性能和稳定性提出了更高的要求,在实际中会出现服务器效率低下,甚至于系统的崩溃,这就影响到用户的使用,以及对运营商的经济利益造成损失。
结合理论知识和实践中的经验可知,影响服务器效率的原因是大量的用户在某一时间点集中登录,对服务器产生集中认证,计费,策略下发,特别是策略的下发,由于现在运营商系统功能的强大和提供多种业务,也就增加了很多的策略,一般都会有十几种之多,服务器会不断的从数据库中查询策略信息,这就增加了服务器和数据库的负担。如图1所示,该图为现有的AAA系统最简单的体系结构图,主要包括安装了客户端的用户PC、NAS(网络接入服务器)、防火墙、AAA服务器,由于该系统中认证、计费、策略的下发在一台服务器上完成,因而系统的效率低下且容易崩溃。
发明内容
本发明所要解决的技术问题是提供一种AAA系统及其实现方法,有效提高系统的稳定性,减轻系统的压力。
本发明的目的是通过以下技术方案实现的:
一种认证授权计费系统,包括客户端、网络接入服务器、数据库,还包括认证服务器、记账服务器和策略服务器;
所述认证服务器用于判断客户端的用户是否合法,与网络接入服务器和数据库分别相连;
所述记账服务器用于在用户通过认证后进行计费,与网络接入服务器和数据库分别相连;
所述策略服务器用于在用户通过认证后进行策略下发,与网络接入服务器和数据库分别相连。
一种如上所述的认证授权计费系统的实现方法,所述方法为:首先,在网络接入服务器上设置认证服务器和记账服务器的属性信息,在数据库或者服务器中设置策略服务器的属性信息;然后,在用户使用客户端登录时,根据所述预设的属性信息通过认证服务器进行认证,认证成功后再通过记账服务器进行计费,同时从策略服务器获取策略。
其中,所述认证服务器进行认证的方法为:
A、用户输入用户名和密码以登录客户端;
B、客户端通过网络接入服务器向认证服务器发送报文,其中携带所述用户名和密码;
C、认证服务器根据所述用户名和密码判断该用户是否为合法用户,若不是,则用户认证不通过,认证服务器通过网络接入服务器向客户端发送reject报文,客户端收到后下线;若是,则用户认证通过,认证服务器通过网络接入服务器向客户端发送accept报文,其中携带策略服务器的属性信息。
其中,所述记账服务器进行计费的方法为:
a、网络接入服务器在用户通过认证后向记账服务器发送记账开始包,同时开始计时;
b、判断记账服务器是否在规定时间内返回应答包,若是,则记账成功,重复步骤a;否则,记账失败,网络接入服务器向客户端发送reject报文,客户端收到后下线。
其中,所述策略的获取方法为:
①用户通过认证后,客户端从所述accept报文中获取策略服务器的属性信息,根据该信息向策略服务器发送策略获取报文;
②客户端开始计时,若在规定时间内收到策略应答包,则获取策略成功;否则,获取策略失败,客户端下线。
本发明具有以下有益效果:
本发明将影响AAA服务器压力最大的三个部分(认证,记账,策略下发)独立出来,特别是策略下发,将这些部分做成单独的模块,可以安装在不同的服务器上,这样相对于三个模块安装在一台服务器上可以提高效率,减轻压力,且增加了部署的灵活性(如果某一个模块需要升级或者出了故障,没有必要全部升级或者处理)。
附图说明
图1是现有的AAA系统的体系结构图;
图2是本发明中AAA系统的体系结构图;
图3是本发明的认证方法流程图;
图4是本发明的计费方法流程图;
图5是本发明的策略下发方法流程图。
具体实施方式
下面结合附图及具体实施例对本发明作进一步描述:
本发明提出了一种新的AAA系统,该系统的体系结构如图2所示,包括客户端、网络接入服务器、数据库,防火墙、认证服务器、记账服务器和策略服务器;其中,认证服务器、记账服务器和策略服务器三部分均与NAS和数据库相连,认证服务器用于判断客户端的用户是否合法,记账服务器用于在用户通过认证后进行计费,策略服务器用于在用户通过认证后进行策略下发。
本发明还提出了上述AAA系统的实现方法:首先,在NAS上设置认证服务器和记账服务器的地址、端口等属性信息,在数据库或者服务器中设置策略服务器的端口、地址、密钥等属性信息;然后,在用户使用客户端登录时,根据所述预设的属性信息通过认证服务器进行认证,认证成功后再通过记账服务器进行计费,同时从策略服务器获取策略。
图3所示为认证服务器的认证方法,由于认证比较的独立,所以拆分前和拆分后流程基本一致,实现认证的具体过程包含以下步骤:
301、用户在PC机上打开客户端后,输入用户名,密码进行登录。
302、客户端将用户名,密码以及用户的一些其他属性信息组成EAPOL报文发送给NAS。
303、NAS接入服务器将客户端发送过来的信息(根据实际情况可能会加入NAS接入服务器自己的一些信息)重新组成报文发送给认证服务器。
304、认证服务器从报文中取出用户名,密码等信息,判断用户是否为合法用户,如果不是,则转入步骤305,否则转入步骤307。
305、认证服务器直接发送一个reject报文给NAS接入服务器,NAS再将消息发送给客户端。
306、客户端收到reject报文后说明用户认证不通过,客户端下线,并退出本流程。
307、认证服务器将策略服务器的地址,端口,密钥等信息放进accept报文中,将该报文发送给NAS。
308、NAS再将accept报文发送给客户端,客户端收到accept报文后表示认证通过。
图4所示为记账服务器的记账方法,具体过程包含以下步骤:
401、NAS向客户端发完accept报文后,NAS根据对记账服务器的设置向记账服务器发送记账开始包。
402、NAS开始计时,这个时间可以在NAS上设置。
403、记账服务器收到记账开始包后,就返回一个应答包,NAS收到应答包后,重复步骤401。
404、如果记账服务器在允许的时间中没有收到记账服务器的应答包,就表明记账失败。
405、NAS发送reject报文给客户端,客户端收到后下线。
图5所示为策略服务器的策略下发方法,当用户认证通过后,NAS的认证端口打开,客户端从accept报文中取出策略服务器的地址,端口,密钥等信息,根据这些信息可以向策略服务器发送策略获取报文,获取策略的具体过程包含以下步骤:
501、当用户认证成功后,NAS打开了端口,并且客户端从accept报文中取出策略服务器的地址,端口,密钥等信息。
502、客户端根据策略服务器的地址,端口,密钥等信息向策略服务器发送策略获取报文。
503、客户端开始计时。
504、判断客户端是否在规定的时间中收到策略应答包。
505、如果在一定规定时间中没有收到策略应答包或者收到一个错误的应答包,就说明获取策略失败,客户端下线。
506、如果在一定规定时间中收到正确的策略应答包,获取策略成功,用户可以进行上网等操作。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。
Claims (5)
1、一种认证授权计费系统,包括客户端、网络接入服务器、数据库,其特征在于,还包括认证服务器、记账服务器和策略服务器;
所述认证服务器用于判断客户端的用户是否合法,与网络接入服务器和数据库分别相连;
所述记账服务器用于在用户通过认证后进行计费,与网络接入服务器和数据库分别相连;
所述策略服务器用于在用户通过认证后进行策略下发,与网络接入服务器和数据库分别相连。
2、一种如权利要求1所述的认证授权计费系统的实现方法,其特征在于,所述方法为:首先,在网络接入服务器上设置认证服务器和记账服务器的属性信息,在数据库或者服务器中设置策略服务器的属性信息;然后,在用户使用客户端登录时,根据所述预设的属性信息通过认证服务器进行认证,认证成功后再通过记账服务器进行计费,同时从策略服务器获取策略。
3、如权利要求2所述的认证授权计费系统的实现方法,其特征在于,所述认证服务器进行认证的方法为:
A、用户输入用户名和密码以登录客户端;
B、客户端通过网络接入服务器向认证服务器发送报文,其中携带所述用户名和密码;
C、认证服务器根据所述用户名和密码判断该用户是否为合法用户,若不是,则用户认证不通过,认证服务器通过网络接入服务器向客户端发送reject报文,客户端收到后下线;若是,则用户认证通过,认证服务器通过网络接入服务器向客户端发送accept报文,其中携带策略服务器的属性信息。
4、如权利要求3所述的认证授权计费系统的实现方法,其特征在于,所述记账服务器进行计费的方法为:
a、网络接入服务器在用户通过认证后向记账服务器发送记账开始包,同时开始计时;
b、判断记账服务器是否在规定时间内返回应答包,若是,则记账成功,重复步骤a;否则,记账失败,网络接入服务器向客户端发送reject报文,客户端收到后下线。
5、如权利要求3所述的认证授权计费系统的实现方法,其特征在于,所述策略的获取方法为:
①用户通过认证后,客户端从所述accept报文中获取策略服务器的属性信息,根据该信息向策略服务器发送策略获取报文;
②客户端开始计时,若在规定时间内收到策略应答包,则获取策略成功;否则,获取策略失败,客户端下线。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008100655173A CN101247239A (zh) | 2008-03-10 | 2008-03-10 | 一种认证授权计费系统及其实现方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CNA2008100655173A CN101247239A (zh) | 2008-03-10 | 2008-03-10 | 一种认证授权计费系统及其实现方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN101247239A true CN101247239A (zh) | 2008-08-20 |
Family
ID=39947471
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNA2008100655173A Pending CN101247239A (zh) | 2008-03-10 | 2008-03-10 | 一种认证授权计费系统及其实现方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN101247239A (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101489097A (zh) * | 2009-01-19 | 2009-07-22 | 深圳市同洲电子股份有限公司 | 一种数字电视管理系统及方法 |
WO2010031234A1 (zh) * | 2008-09-19 | 2010-03-25 | 中兴通讯股份有限公司 | 网元权限管理系统和方法 |
CN102685140A (zh) * | 2012-05-22 | 2012-09-19 | 汉柏科技有限公司 | 透明模式的防火墙支持aaa认证功能的方法及系统 |
CN103117927A (zh) * | 2011-11-17 | 2013-05-22 | 中兴通讯股份有限公司 | 一种获取策略服务器的地址的方法 |
CN103686724A (zh) * | 2012-09-25 | 2014-03-26 | 金蝶软件(中国)有限公司 | 移动应用接入认证授权方法和系统 |
CN102045304B (zh) * | 2009-10-20 | 2015-09-16 | 中兴通讯股份有限公司 | 与radius服务器进行交互的方法和客户端 |
CN108462710A (zh) * | 2018-03-20 | 2018-08-28 | 新华三技术有限公司 | 认证授权方法、装置、认证服务器及机器可读存储介质 |
CN111818014A (zh) * | 2020-06-08 | 2020-10-23 | 中国电子科技集团公司第三十研究所 | 一种实现二次认证功能的网络侧aaa设计方法及系统 |
CN112039838A (zh) * | 2020-07-15 | 2020-12-04 | 中国电子科技集团公司第三十研究所 | 一种适用于移动通信不同应用场景的二次认证方法和系统 |
CN117692255A (zh) * | 2024-02-02 | 2024-03-12 | 北京首信科技股份有限公司 | 动态扩展aaa服务的方法、装置及电子设备 |
-
2008
- 2008-03-10 CN CNA2008100655173A patent/CN101247239A/zh active Pending
Cited By (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2010031234A1 (zh) * | 2008-09-19 | 2010-03-25 | 中兴通讯股份有限公司 | 网元权限管理系统和方法 |
CN101677275B (zh) * | 2008-09-19 | 2012-05-23 | 中兴通讯股份有限公司 | 一种网元权限管理系统和方法 |
CN101489097B (zh) * | 2009-01-19 | 2014-04-30 | 深圳市龙视传媒有限公司 | 一种数字电视管理系统及方法 |
WO2010081376A1 (zh) * | 2009-01-19 | 2010-07-22 | 深圳市同洲电子股份有限公司 | 一种数字电视管理系统及方法 |
CN101489097A (zh) * | 2009-01-19 | 2009-07-22 | 深圳市同洲电子股份有限公司 | 一种数字电视管理系统及方法 |
CN102045304B (zh) * | 2009-10-20 | 2015-09-16 | 中兴通讯股份有限公司 | 与radius服务器进行交互的方法和客户端 |
CN103117927A (zh) * | 2011-11-17 | 2013-05-22 | 中兴通讯股份有限公司 | 一种获取策略服务器的地址的方法 |
WO2013071817A1 (zh) * | 2011-11-17 | 2013-05-23 | 中兴通讯股份有限公司 | 一种获取策略服务器的地址的方法 |
CN103117927B (zh) * | 2011-11-17 | 2018-08-03 | 中兴通讯股份有限公司 | 一种获取策略服务器的地址的方法 |
CN102685140B (zh) * | 2012-05-22 | 2014-08-13 | 汉柏科技有限公司 | 透明模式的防火墙支持aaa认证功能的方法及系统 |
CN102685140A (zh) * | 2012-05-22 | 2012-09-19 | 汉柏科技有限公司 | 透明模式的防火墙支持aaa认证功能的方法及系统 |
CN103686724A (zh) * | 2012-09-25 | 2014-03-26 | 金蝶软件(中国)有限公司 | 移动应用接入认证授权方法和系统 |
CN103686724B (zh) * | 2012-09-25 | 2016-12-21 | 金蝶软件(中国)有限公司 | 移动应用接入认证授权方法和系统 |
CN108462710A (zh) * | 2018-03-20 | 2018-08-28 | 新华三技术有限公司 | 认证授权方法、装置、认证服务器及机器可读存储介质 |
CN108462710B (zh) * | 2018-03-20 | 2021-09-21 | 新华三技术有限公司 | 认证授权方法、装置、认证服务器及机器可读存储介质 |
CN111818014A (zh) * | 2020-06-08 | 2020-10-23 | 中国电子科技集团公司第三十研究所 | 一种实现二次认证功能的网络侧aaa设计方法及系统 |
CN111818014B (zh) * | 2020-06-08 | 2023-05-09 | 中国电子科技集团公司第三十研究所 | 一种实现二次认证功能的网络侧aaa设计方法及系统 |
CN112039838A (zh) * | 2020-07-15 | 2020-12-04 | 中国电子科技集团公司第三十研究所 | 一种适用于移动通信不同应用场景的二次认证方法和系统 |
CN117692255A (zh) * | 2024-02-02 | 2024-03-12 | 北京首信科技股份有限公司 | 动态扩展aaa服务的方法、装置及电子设备 |
CN117692255B (zh) * | 2024-02-02 | 2024-04-30 | 北京首信科技股份有限公司 | 动态扩展aaa服务的方法、装置及电子设备 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101247239A (zh) | 一种认证授权计费系统及其实现方法 | |
CN104158824B (zh) | 网络实名认证方法及系统 | |
US7490062B2 (en) | Method of payment by means of an electronic communication device | |
US7653933B2 (en) | System and method of network authentication, authorization and accounting | |
CN102437914B (zh) | 一种由电信网为互联网业务提供用户身份标识和用户身份认证的方法 | |
CN101527655B (zh) | 用于资源访问控制的动态简档系统 | |
CN109359948A (zh) | 一种基于区块链的合同管理方法及相关设备 | |
CN107194694A (zh) | 一种基于二维码的脱机支付方法 | |
CN109242663A (zh) | 一种基于区块链技术的记账方法及系统 | |
CN107682831A (zh) | 剩余流量的分享方法及装置、计算机装置及存储介质 | |
CN107113613A (zh) | 服务器、移动终端、网络实名认证系统及方法 | |
CN106060097A (zh) | 一种信息安全竞赛的管理系统及管理方法 | |
CN108366176A (zh) | 一种终端应用的计费方法、装置及系统 | |
CN106301847A (zh) | 接入点接口配置恢复方法、装置及家庭网关 | |
CN101110674B (zh) | 一种通过接入帐号和业务帐号绑定实现加强鉴权的方法 | |
CN103561029A (zh) | 一种实名制的智能快件箱系统 | |
CN101345620A (zh) | 一种网上在线令牌的互联网用户帐号密码保护方法 | |
CN202206419U (zh) | 网络安全终端以及基于该终端的交互系统 | |
CN101771684A (zh) | 一种互联网计算机电话认证的方法及其服务系统 | |
CN103067910A (zh) | 远程开卡方法 | |
CN105871824A (zh) | 支付式的Web Portal 认证方法、装置和系统 | |
US20100094756A1 (en) | System and method for rapid financial transactions through an open financial exchange or wire transfer | |
CN109699015A (zh) | 机卡绑定关系认证方法、装置以及通信系统 | |
CN107911821A (zh) | 虚拟专用拨号网络vpdn的接入方法及系统 | |
CN107872773A (zh) | 接入方法和服务器 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20080820 |