CN101414907B - 一种基于用户身份授权访问网络的方法和系统 - Google Patents
一种基于用户身份授权访问网络的方法和系统 Download PDFInfo
- Publication number
- CN101414907B CN101414907B CN2008101811874A CN200810181187A CN101414907B CN 101414907 B CN101414907 B CN 101414907B CN 2008101811874 A CN2008101811874 A CN 2008101811874A CN 200810181187 A CN200810181187 A CN 200810181187A CN 101414907 B CN101414907 B CN 101414907B
- Authority
- CN
- China
- Prior art keywords
- user
- message
- information
- paa
- diameter
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于用户身份授权访问网络的方法和系统,方法包括:用户设备内的SLCC按照用户输入的身份信息产生相应的SAML文档身份消息,并发送至PAA;PAA将消息进行封装,通过相连接的SLCC将PANA信令转换为Diameter信令,将消息传输至Diameter中继设备;Diameter中继设备通过Diameter重定向设备转发至相应的网络中;接收到所述消息的AAA服务器进行解析,由URA对解析出的用户身份验证,所述URA通过APRRA获得用户的属性和角色信息;PDP通过所述属性和角色信息向APRRA获得授权决策信息,EP按照所述授权决策信息设置用户设备访问的权限、分配网络资源。本发明可合理设置用户权限,分配网络资源。
Description
技术领域
本发明涉及通信技术领域,特别是指一种基于用户身份授权访问网络的方法和系统。
背景技术
目前的网络接入技术中,普遍采用IEEE802.1X和PPPOE这两种认证机制。承载于以太网的点到点连接协议(PPPOE)应用的是PPP链路协议,在用户与认证服务器间建立点到点的PPP链路通道,不利用多播业务的开展,其接入方式需要增加帧的封装开销,主要适用于以太网范围内。
IEEE802.1X认证中,用户与认证者之间通过扩展局域网鉴权协议(EAPOL)承载扩展认证协议(EAP)传递认证消息,采用受控端和非受控端两个逻辑端口,通过改变受控端口的状态对用户访问进行控制。
在常见的网络环境下,我们通常采用802.1X或PPPOE网络接入机制结合认证、授权和计费机制(AAA)共同实现网络的安全接入,现有的AAA运行机制流程中,同时发送认证授权请求,并返回认证结果,但由于不同的网络用户对业务有不同的业务需求,由于网络资源的限制,如果每个用户都分配相同的权限和资源,会造成网络资源利用率下降,资源浪费的问题。
发明内容
有鉴于此,本发明在于提供一种基于用户身份授权访问网络的方法和系统,以解决上述如果每个用户都分配相同的权限和资源,会造成网络资源利用率下降,资源浪费的问题。
为解决上述问题,本发明提供一种基于用户身份授权访问网络的方法,包括:
用户设备内的SAML加载与转换单元SLCC按照用户输入的身份信息产生相应的安全标记语言SAML文档身份消息,用户设备内的采用PANA协议的客户端PaC将产生的SAML文档身份消息发送至采用PANA协议的认证代理单元PAA;
PAA收到来自用户设备的消息,将消息进行封装,通过相连接的SLCC将PANA信令转换为Diameter信令,将消息传输至Diameter中继设备;
Diameter中继设备通过Diameter重定向设备获得网络路由信息,将来自PAA的消息转发至相应的网络中;
接收到所述消息的AAA服务器进行解析,由用户角色分配单元URA对解析出的用户身份验证,所述URA通过解析出的SAML文档信息向角色和资源接入的分配设备APRRA获得用户的属性和角色信息;
策略决策点PDP通过所述属性和角色信息向APRRA获得授权决策信息,并回复至PAA设备,所述PAA相连接的SLCC将授权决策信息中的Diameter信令转换为PANA信令,服务增强节点EP按照转换的PANA信令设置用户设备访问的权限、分配网络资源。
优选的,所述URA对解析出的用户身份验证后,还包括:
所述AAA服务器与用户设备之间建立加密连接。
优选的,该方法之后还包括:
所述PAA向用户设备分配全局IP地址,并建立安全性连接。
优选的,所述属性包括用户使用的网络、最大带宽和时间;所述角色为用户的使用权限。
本发明还提供一种基于用户身份授权访问网络的系统,包括:用户设备、NAS、传输设备、家乡域;
所述用户设备包括:
ID输入单元,用于输入身份信息;
SLCC,用于按照用户输入的身份信息产生相应的SAML文档身份消息;
PaC,用于将产生的SAML文档身份消息发送至NAS;
所述NAS包括:
PAA,用于将来自用户设备的消息进行封装,将消息传输至传输设备;
SLCC,用于在所述PAA的消息传输过程中,将PANA信令转换为Diameter信令,或接收来自家乡域的授权决策消息,将消息中的Diameter信令转换为PANA信令;
EP,用于按照转换出的PANA信令设置用户设备访问的权限、分配网络资源。
传输设备包括:
Diameter中继设备,用于通过Diameter重定向设备获得网络路由信息,将来自PAA的消息转发至相应的网络中;
Diameter重定向设备,用于生成路由信息;
家乡域包括:
AAA服务器,用于接收到所述消息后进行解析;
URA,用于对AAA服务器解析出的用户身份验证,所述URA通过解析出的SAML文档信息向APRRA获得用户的属性和角色信息;
PDP,用于通过所述属性和角色信息向APRRA获得授权决策信息,并回复至PAA;
APRRA,用于接收URA和PDP的请求,分别输出用户的属性、角色信息和授权决策信息。
优选的,所述用户设备、AAA服务器内还具有加密单元,用于建立数据的加密连接。
优选的,所述PAA还用于向用户设备分配全局IP地址,并建立安全性连接。
本发明的方法和系统可实现在认证过程中,通过引入接入Diameter重定向代理和Diameter中继,可将认证过程在不同的异构网络中实现;对于不同的用户,按照用户的身份分配不同的网络使用资源和权限,按照不同的用户需求合理的分配了网络资源。
附图说明
图1是本发明方法实施例中网络接入过程的流程图;
图2是AAA服务器处理的流程图;
图3是本发明系统实施例的结构图。
具体实施方式
为清楚说明本发明的方法和系统,下面给出优选的实施例详细说明。
本发明的方法包括网络接入过程和基于用户身份授权访问网络资源过程。为便于清楚说明该方法,分别说明这两个过程。
参见图1,图1是发明方法实施例中网络接入过程的流程图,在本发明的方法中,引入采用Diameter协议的中继设备、及重定向设备,中继设备实现数据的中继收发,重定向设备实现数据向各个网络的路由转发。
本发明的方法中网络接入的认证过程包括两个阶段:第一阶段发生在终端用户和接入网络之间;第二阶段发生在网络接入服务器(NAS)和家乡域AAA服务器之间,NAS包括服务增强节点(EP)、SAML加载与转换单元SLCC、采用PANA协议的认证代理单元(PAA);接入认证过程包括:
1)当有客户通过用户设备登陆网络时,PAA通过地址检测发送请求消息EAP-request,请求用户设备内的PANA协议客户端(PaC)输入用户身份信息,并建立握手连接;
2)客户输入身份信息后,用户设备内的SLCC单元通过用户的身份信息产生相关的安全断言标记语言SAML文档身份、登陆属性和SAML令牌(即用于加密的随机码)等,并转换为相关属性值对AVP协议数据;
采用PANA协议的客户端PaC将SAML单元内产生的数据、及用户身份信息生成PANA-EAP-request消息响应PAA的EAP-request。
3)PAA通过连接的SLCC完成PANA信令到Diameter信令的转换,PAA把包含PaC的用户身份信息的PANA-EAP-request消息重新封装在Diameter-EAP-request消息里面发送给Diameter中继设备;
4)Diameter中继设备发送请求消息到Diameter重定向设备;
5)Diameter重定向返回下一跳路由信息,
6)Diameter中继设备根据路由信息发送Diameter-request信息到AAA服务器;
AAA服务器收到Diameter-request消息后,对该消息内的用户信息进行认证,如果认证通过,进行授权,其认证及授权过程如图2所示,包括:
步骤21:AAA服务器解析消息,验证用户身份;
AAA服务器解析所获得Diameter-request消息,并解析出携带有终端用户身份、登陆信息的认证授权声明(时间、地点、资源情况登陆环境等)、SAML文档身份(用户名、密码、登陆信息等)、及SAML令牌的随机码信息;
其中,不同的用户身份会对应有不同的SAML文档身份;如图像处理用户、文档编辑用户等,用户的文档身份均不相同;
步骤22:URA对用户身份信息进行验证,验证通过后,用户角色分配器(URA)根据解析出的SAML文档以及令牌信息,向接入角色与资源策略分配器(APRRA)发送请求;
步骤23:APRRA回复获取的相关属性和角色信息;
属性和角色信息分别记录该用户的属性信息,属性信息中包括身份属性(详细的用户身份,如年龄、职称、性别等)、权限属性,权限属性包括可使用的网络、最大带宽、时间等,角色信息即用户的身份标识;记录该用户的使用权限等,如设定教授在学校里拥有最高的网络接入权限,能够使用网络浏览、学校的数字图书馆、研究资源数据库以及有关其学科领域的实验研究模拟平台等;学校管理人员拥有中等网络接入权限,能够使用普通网络浏览、数字图书馆和管理系统的数据库等;普通学生拥有较低权限,能够使用普通网络浏览以及数字图书馆。
步骤24:URA获得相关属性和角色信息后,回复策略决策点(PDP)的用户角色、及属性请求。
步骤25:PDP在URA中获取了角色和属性信息,向APRRA发送请求;
步骤26:APRRA按照角色和属性信息,按照当前的网络情况和资源占用情况进行接入控制策略处理,回复授权决策信息;例如,图像处理用户会获得较多的带宽资源,根据该用户的角色,分配使用网络的等级权限,分配使用各种资源的密钥,如图书馆、管理平台等;对于文档处理用户获得的较小的带宽资源,根据该用户的角色,分配使用网络的等级权限。
步骤27:AAA服务器将授权决策信息回复至PAA。PAA相连接的SLCC将授权决策信息中的Diameter信令转换为PANA信令,服务增强节点EP按照转换的PANA信令设置用户设备访问的权限、分配网络资源,并通知EP按照PAA获得的授权决策信息对PaC分配相应的资源及权限。
上面详细说明了AAA服务器的认证、生成决策信息的过程,在上述过程中,当步骤21的认证通过后,AAA服务器执行如下处理:
7)AAA服务器并通知PaC进行加密认证(EAP-TLS);
8)PaC向AAA服务器发送消息Client hello,Client Hello中包含密钥交换所需要的信息;
9)AAA服务器向PAA回复最终的认证消息;若验证通过,AAA服务器存储PaC相应的标识,向用户设备发送数字证书,以确定AAA服务器的身份;
10)由于认证成功,PAA向PaC发送PANA_bind_request消息,给PaC配置全局IP地址,并请求建立安全性关联。
11)PaC向PAA发送PANA_bind_answer完成绑定,与PAA建立安全性关联。
本发明的方法可实现在认证过程中,通过引入接入Diameter重定向代理和Diameter中继,可将认证过程在不同的异构网络中实现;对于不同的用户,按照用户的身份分配不同的网络使用资源和权限,按照不同的用户需求合理的分配了网络资源。
上面详细描述了本发明的方法,下面结合图3详细描述本发明的系统。参见图3,包括:用户设备、NAS、传输设备、家乡域;
所述用户设备包括:
ID输入单元,用于输入身份信息;
SLCC,用于按照用户输入的身份信息产生相应的SAML文档身份消息;SLCC抽取相关的终端用户信息,加载转换为便于PANA传输的属性值对(AVP),进行信令发送传输。基本的传输过程即为基于PANA机制和Diameter机制的联合架构流程。
PaC,用于将产生的SAML文档身份消息发送至NAS;
所述NAS包括:
PAA,用于将来自用户设备的消息进行封装,将消息传输至传输设备;
SLCC,用于在所述PAA的消息传输过程中,将PANA信令转换为Diameter信令,或接收来自家乡域的授权决策消息,将消息中的Diameter信令转换为PANA信令;
EP,用于按照转换出的PANA信令设置用户设备访问的权限、分配网络资源。
传输设备包括:
Diameter中继设备,用于通过Diameter重定向设备获得网络路由信息,将来自PAA的消息转发至相应的网络中;
Diameter重定向设备,用于生成路由信息;
家乡域包括:
AAA服务器,用于接收到所述消息后进行解析;
URA,用于对AAA服务器解析出的用户身份验证,所述URA通过解析出的SAML文档信息向APRRA获得用户的属性和角色信息;
PDP,用于通过所述属性和角色信息向APRRA获得授权决策信息,并回复至PAA;
APRRA,用于接收URA和PDP的请求,分别输出用户的属性、角色信息和授权决策信息。该实体包括两种不同的分配策略:一方面是终端用户属性分配策略,它与URA相结合,根据终端用户的角色来获取合适的用户属性;另一个方面分配和配置网络接入资源的具体属性,与PDP相连。应用XACML格式语言对分配策略进行表达,该格式易与SAML相兼容。APRRA可采用XACML格式或易于转换为XACML格式的其他语言来表示分配授权策略。
优选的,所述用户设备、AAA服务器内还具有加密单元,用于建立数据的加密连接。
优选的,所述PAA还用于向用户设备分配全局IP地址,并建立安全性连接。
本发明的系统可实现在认证过程中,通过引入接入Diameter重定向代理和Diameter中继,可将认证过程在不同的异构网络中实现;对于不同的用户,按照用户的身份分配不同的网络使用资源和权限,按照不同的用户需求合理的分配了网络资源。
对于本发明各个实施例中所阐述的方法和系统,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (7)
1.一种基于用户身份授权访问网络的方法,其特征在于,包括:
用户设备内的SAML加载与转换单元SLCC按照用户输入的身份信息产生相应的安全标记语言SAML文档身份消息,用户设备内的采用PANA协议的客户端PaC将产生的SAML文档身份消息发送至采用PANA协议的认证代理单元PAA;
PAA收到来自用户设备的消息,将消息进行封装,通过相连接的SLCC将PANA信令转换为Diameter信令,将消息传输至Diameter中继设备;
Diameter中继设备通过Diameter重定向设备获得网络路由信息,将来自PAA的消息转发至家乡域中的AAA服务器;
接收到所述消息的AAA服务器进行解析,由用户角色分配器URA对解析出的用户身份进行验证,用户角色分配器URA根据解析出的SAML文档以及令牌信息从接入角色与资源策略分配器APRRA获得用户的属性和角色信息;
策略决策点PDP根据所述属性和角色信息从APRRA获得授权决策信息,并由AAA服务器将授权决策信息回复至PAA设备,所述PAA相连接的SLCC将授权决策信息中的Diameter信令转换为PANA信令,服务增强节点EP按照转换的PANA信令设置用户设备访问的权限、分配网络资源。
2.根据权利要求1所述的方法,其特征在于,所述URA对解析出的用户身份验证后,还包括:
所述AAA服务器与用户设备之间建立加密连接。
3.根据权利要求1所述的方法,其特征在于,所述URA对解析出的用户身份验证通过后,还包括:
所述PAA向用户设备分配全局IP地址,并建立安全性连接。
4.根据权利要求1所述的方法,其特征在于,所述属性包括用户使用的网络、最大带宽和时间;所述角色信息记录用户的使用权限。
5.一种基于用户身份授权访问网络的系统,其特征在于,包括:用户设备、网络接入服务器NAS、传输设备、家乡域;
所述用户设备包括:
ID输入单元,用于输入身份信息;
SAML加载与转换单元SLCC单元,用于按照用户输入的身份信息产生相应的安全标记语言SAML文档身份消息;
客户端PaC,用于将产生的SAML文档身份消息发送至NAS;
所述NAS包括:
认证代理单元PAA,用于将来自用户设备的消息进行封装,将消息传输至传输设备;
SAML加载与转换单元SLCC单元,用于在所述PAA的消息传输过程中,将PANA信令转换为Diameter信令,或接收来自家乡域的授权决策消息,将消息中的Diameter信令转换为PANA信令;
服务增强节点EP,用于按照转换出的PANA信令设置用户设备访问的权限、分配网络资源;
传输设备包括:
Diameter中继设备,用于通过Diameter重定向设备获得网络路由信息,将来自PAA的消息转发至相应的网络中;
Diameter重定向设备,用于生成路由信息;
家乡域包括:
AAA服务器,用于接收到所述消息后进行解析;
用户角色分配器URA,用于对AAA服务器解析出的用户身份进行验证,所述URA通过解析出的SAML文档信息向接入角色与资源策略分配器APRRA获得用户的属性和角色信息;
策略决策点PDP,用于根据所述属性和角色信息从接入角色与资源策略分配器APRRA获得授权决策信息,并通过AAA服务器将授权决策信息回复至PAA;
接入角色与资源策略分配器APRRA,用于接收URA和PDP的请求,向URA输出用户的属性和角色信息,向PDP输出授权决策信息。
6.根据权利要求5所述的系统,其特征在于,所述用户设备、AAA服务器内还具有加密单元,用于建立数据的加密连接。
7.根据权利要求5所述的系统,其特征在于,所述PAA还用于向用户设备分配全局IP地址,并建立安全性连接。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101811874A CN101414907B (zh) | 2008-11-27 | 2008-11-27 | 一种基于用户身份授权访问网络的方法和系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2008101811874A CN101414907B (zh) | 2008-11-27 | 2008-11-27 | 一种基于用户身份授权访问网络的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101414907A CN101414907A (zh) | 2009-04-22 |
| CN101414907B true CN101414907B (zh) | 2011-10-26 |
Family
ID=40595240
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2008101811874A Expired - Fee Related CN101414907B (zh) | 2008-11-27 | 2008-11-27 | 一种基于用户身份授权访问网络的方法和系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN101414907B (zh) |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9003553B2 (en) * | 2009-09-10 | 2015-04-07 | Symantec Corporation | Viewing content under enterprise digital rights management without a client side access component |
| CN101695160B (zh) * | 2009-10-20 | 2012-05-23 | 清华大学 | 基于策略路由的流定向传输方法 |
| CN102045177A (zh) * | 2010-12-10 | 2011-05-04 | 中兴通讯股份有限公司 | 网元互通的方法及aaa服务器 |
| CN103209160B (zh) * | 2012-01-13 | 2018-05-08 | 中兴通讯股份有限公司 | 一种面向异构网络的认证方法及系统 |
| CN102447710B (zh) * | 2012-01-17 | 2016-08-17 | 神州数码网络(北京)有限公司 | 一种用户访问权限控制方法及系统 |
| JP5962261B2 (ja) * | 2012-07-02 | 2016-08-03 | 富士ゼロックス株式会社 | 中継装置 |
| CN102970614B (zh) * | 2012-11-22 | 2016-06-08 | 杭州华三通信技术有限公司 | Iptv网络中的aaa服务器及其处理方法 |
| CN103036726A (zh) * | 2012-12-17 | 2013-04-10 | 北京网康科技有限公司 | 一种网络用户管理的方法及设备 |
| GB2527285B (en) * | 2014-06-11 | 2021-05-26 | Advanced Risc Mach Ltd | Resource access control using a validation token |
| CN104506530B (zh) * | 2014-12-23 | 2018-02-06 | 方正宽带网络服务有限公司 | 一种网络数据处理方法及装置、数据发送方法及装置 |
| JP6677496B2 (ja) * | 2015-12-08 | 2020-04-08 | キヤノン株式会社 | 認証連携システム及び認証連携方法、認可サーバー、アプリケーションサーバー及びプログラム |
| CN107465644B (zh) * | 2016-06-03 | 2021-02-23 | 中兴通讯股份有限公司 | 数据传输方法、数据传送客户端及数据传送执行器 |
| CN106506446A (zh) * | 2016-09-21 | 2017-03-15 | 奇酷互联网络科技(深圳)有限公司 | 头戴式虚拟现实设备及其控制方法 |
| CN108347417B (zh) * | 2017-01-24 | 2020-08-07 | 华为技术有限公司 | 一种网络认证方法、用户设备、网络认证节点及系统 |
| CN107070918B (zh) * | 2017-04-14 | 2019-07-30 | 天地融科技股份有限公司 | 一种网络应用登录方法和系统 |
| EP3609149A1 (en) | 2018-08-08 | 2020-02-12 | Nokia Technologies Oy | Method and apparatus for security management in 5g networks |
| CN110213768A (zh) * | 2019-06-03 | 2019-09-06 | 武汉思普崚技术有限公司 | 一种网络行为数据复用认证方法和系统 |
| US11991525B2 (en) | 2021-12-02 | 2024-05-21 | T-Mobile Usa, Inc. | Wireless device access and subsidy control |
| CN116567052B (zh) * | 2023-07-11 | 2023-09-15 | 腾讯科技(深圳)有限公司 | 网络连接方法、装置、计算机设备和存储介质 |
-
2008
- 2008-11-27 CN CN2008101811874A patent/CN101414907B/zh not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| CN101414907A (zh) | 2009-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101414907B (zh) | 一种基于用户身份授权访问网络的方法和系统 | |
| CN101170409B (zh) | 实现设备访问控制的方法、系统、业务设备和认证服务器 | |
| CN101156486B (zh) | 无线通信系统中数据优化传输的方法和装置 | |
| CN101212374A (zh) | 实现校园网资源远程访问的方法和系统 | |
| CN106254386B (zh) | 一种信息处理方法和名字映射服务器 | |
| CN101695022B (zh) | 一种服务质量管理方法及装置 | |
| CN102271134B (zh) | 网络配置信息的配置方法、系统、客户端及认证服务器 | |
| EP2979420B1 (en) | Network system comprising a security management server and a home network, and method for including a device in the network system | |
| CN101102188A (zh) | 一种移动接入虚拟局域网的方法与系统 | |
| CN106162641B (zh) | 一种安全公众WiFi认证方法及系统 | |
| CN109743170B (zh) | 一种流媒体登录以及数据传输加密的方法和装置 | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN106341428A (zh) | 一种跨域访问控制方法和系统 | |
| CN102547701A (zh) | 认证方法、无线接入点和认证服务器 | |
| CN101540757A (zh) | 网络认证方法、系统和认证设备 | |
| CN105472613B (zh) | 认证请求接收方法和系统及用户端和ap | |
| CN104901940A (zh) | 一种基于cpk标识认证的802.1x网络接入方法 | |
| CN106375123B (zh) | 一种802.1x认证的配置方法及装置 | |
| CN104009972A (zh) | 网络安全接入的认证系统及其认证方法 | |
| CN101436936A (zh) | 一种基于dhcp协议的接入认证方法及系统 | |
| CN102420808B (zh) | 一种在电信网上营业厅实现单点登录的方法 | |
| CN102271120A (zh) | 一种增强安全性的可信网络接入认证方法 | |
| CN102255904A (zh) | 一种通信网络以及对终端的认证方法 | |
| CN102972005B (zh) | 交付认证方法 | |
| CN101572645A (zh) | 隧道建立的方法及装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20111026 Termination date: 20141127 |
|
| EXPY | Termination of patent right or utility model |