CN101939751A - 处理分发系统、认证服务器、分发服务器及处理分发方法 - Google Patents
处理分发系统、认证服务器、分发服务器及处理分发方法 Download PDFInfo
- Publication number
- CN101939751A CN101939751A CN2009801044894A CN200980104489A CN101939751A CN 101939751 A CN101939751 A CN 101939751A CN 2009801044894 A CN2009801044894 A CN 2009801044894A CN 200980104489 A CN200980104489 A CN 200980104489A CN 101939751 A CN101939751 A CN 101939751A
- Authority
- CN
- China
- Prior art keywords
- certificate server
- distributor
- user
- authentication
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
在利用最初被获取的TLS参数通过隧道中的TLS认证来与终端执行认证处理以对使用该终端的用户进行认证的认证服务器中,用户标识信息和TLS参数被包括在传送请求信号中,并且当从终端发送来的用户标识信息未存在于认证数据库中时,该用户标识信息和TLS参数被发送给分发服务器。在分发服务器数据库中对与包括在传送请求信号中的用户标识信息相关联的认证服务器标识信息进行搜索。用户标识信息和TLS参数被发送给被指派有搜索到的认证服务器标识信息的认证服务器。
Description
技术领域
本发明涉及分发认证处理的处理分发系统,以及认证服务器、分发服务器和处理分发方法。
背景技术
近年来,已开发出了越来越多的这样的技术,这些技术用来执行用于对接入网络或系统以使用该网络或系统的用户进行认证的认证处理并且仅准许经成功认证的用户使用该网络或系统。
用于认证多个用户的认证处理给认证服务器造成了繁重的处理负担。因此,为了减轻处理负担,存在这样的方案,其中,多个认证服务器被提供,用户简档数据库被划分,认证服务器存储数据库的各个经划分的部分,并且相对应的认证服务器执行认证处理。
例如,已开发出了将用于认证用户的认证处理划分到与从终端发送来的用户ID相对应的认证服务器中的技术(例如参见JP2006-11989A)。
图1示出了典型处理分发系统的配置。
在图1所示的处理分发系统中,用户的用户简单数据预先被分发在分别连接到RADIUS服务器4000-1至4000-3的数据库5000-1至5000-3中。因此,存储在数据库5000-1至5000-3中的各条用户简档数据不是冗余的。
认证请求由使用该系统的用户从客户端1000发出给图1所示的处理分发系统(箭头AA)。为了该认证请求,分发服务器2000接收从客户端1000发送来的认证请求信号。分发服务器2000提取用户ID,用户ID是用于标识用户的用户标识信息并且存储在所接收认证请求信号中所包括的RADIUS中的USER-NAME属性中。用于认证该用户的认证服务器(连接到存储用户的用户简档数据的数据库)是基于提取出的用户ID从RADIUS服务器4000-1至4000-3中选出的。该选择是基于预先存储在连接到分发服务器2000的数据库3000中的认证服务器标识信息与用户ID之间的关联性作出的,认证服务器标识信息用于标识RADIUS服务器4000-1至4000-3的每个。
这里以对发出认证请求的用户进行认证的认证服务器为RADIUS服务器4000-1的情况为例。分发服务器2000选择RADIUS服务器4000-1。从客户端1000发送来的认证请求被传送给RADIUS服务器4000-1(箭头BB)。RADIUS服务器4000-1随后对用户进行认证。
然而,根据上面的技术,在将伪ID存储在RADIUS的USER-NAME属性中的情况中,如利用EAP(可扩展认证协议)-TTLS(隧道传输层安全)认证方案时,认证服务器无法识别用户ID。即,如果伪ID被存储在RADIUS的USER-NAME属性中,则分发服务器不能识别客户的原始用户ID。因此,这带来的问题在于:分发服务器不能选出作为目的地的、用于标识出发送了认证请求信号的用户的认证服务器。
在继RADIUS协议之后的Diameter协议中,开发出了一种通过Redirect-Host AVP来将认证分组或认证请求信号传送给另一认证服务器的机制。该机制可以解决上面的问题。然而,该认证处理的认证过程必须从开始起重复;因此这带来了认证处理的效率受到损害的问题。
发明内容
本发明的一个目的是提供解决了上面的问题的处理分发系统、认证服务器、分发服务器和处理分发方法。
为了实现上面的目的,根据本发明,
一种处理分发系统包括:由用户操作的终端;认证服务器,这些认证服务器利用已经预先获得的TLS参数通过隧道中的TLS认证来与终端执行认证处理以对用户进行认证;以及分发服务器,该分发服务器将认证处理分发给认证服务器中的一个,
其中,认证服务器判断被唯一地指派给用户的并且经由分发服务器从终端发送来的用户标识信息是否存在于连接到认证服务器的认证数据库中,并且将用户标识信息和TLS参数包括在指示对用户标识信息的传送请求的传送请求信号中,并且当认证服务器判定用户标识信息未存在于认证数据库中时,则将该信号发送给分发服务器,并且
分发服务器基于从认证服务器发送来的传送请求信号中所包括的用户标识信息,在连接到分发服务器的分发服务器数据库中搜索与用户标识信息相关联的认证服务器标识信息,并且将用户标识信息和TLS参数发送给被指派有搜索到的认证服务器标识信息的认证服务器。
一种利用已经预先获取的TLS参数通过与终端进行隧道中的TLS认证来执行认证处理以对操作终端的用户进行认证的认证服务器包括:
加密器/解密器,该加密器/解密器对从终端发送来的认证请求信号进行解密,并且从经解密的认证请求信号中提取被唯一地指派给用户的用户标识信息;
认证器,该认证器判断由加密器/解密器提取出的用户标识信息是否存在于连接到认证服务器的认证数据库中;以及
分发服务器接口,该分发服务器接口将用户标识信息和TLS参数包括在表示对用户标识信息的传送请求的传送请求信号中,并且当分发服务器接口判定用户标识信息未存在于认证数据库中时,则将该信号发送给连接到认证服务器的分发服务器。
一种分发服务器,该分发服务器连接到由用户操作的终端以及利用已经预先获取的TLS参数通过隧道中的TLS认证来与该终端执行认证处理以对用户进行认证的认证服务器,并且该分发服务器将认证处理分发给认证服务器中的一个认证服务器,该分发服务器包括:
认证服务器接口,该认证服务器接口从自认证服务器发送来的并且表示对被唯一地指派给用户的用户标识信息的传送请求的传送请求信号中提取用户标识信息;
服务器选择器,该服务器选择器基于由认证服务器接口提取出的用户标识信息来在连接到分发服务器的分发服务器数据库中搜索与用户标识信息相关联的认证服务器标识信息,以及
其中,认证服务器接口将从认证服务器发送来的用户标识信息和TLS参数发送给被指派有被服务器选择器搜索到的认证服务器标识信息的认证服务器。
一种处理分发系统中的处理分发方法,该处理分发系统包括由用户操作的终端、利用已经预先获得的TLS参数通过隧道中的TLS认证来与终端执行认证处理以对用户进行认证的认证服务器,以及将认证处理分发给认证服务器中的一个认证服务器的分发服务器,
认证服务器判断被唯一地指派给用户的并且经由分发服务器从终端发送来的用户标识信息是否存在于连接到认证服务器的认证数据库中,
认证服务器将用户标识信息和TLS参数包括在指示对用户标识信息的传送请求的传送请求信号中,并且当认证服务器判定用户标识信息未存在于认证数据库中时,则将该信号发送给分发服务器,
分发服务器基于从认证服务器发送来的传送请求信号中所包括的用户标识信息,在连接到分发服务器的分发服务器数据库中搜索与用户标识信息相关联的认证服务器标识信息,并且
分发服务器将用户标识信息和TLS参数发送给被指派有搜索到的认证服务器标识信息的认证服务器。
如上所述,本发明采用了这样的配置,其中,利用已经预先获得的TLS参数通过隧道中的TLS认证来与终端执行认证处理以对使用该终端的用户进行认证的认证服务器将用户标识信息和TLS参数包括在传送请求信号中,并且当从终端发送来的用户标识信息未存在于连接到认证服务器的认证数据库中时,则将该信号发送给分发服务器,并且分发服务器在连接到分发服务器的分发服务器数据库中搜索与包括在传送请求信号中的用户标识信息相关联的认证服务器标识信息,并且将用户标识信息和TLS参数发送给被指派有搜索到的认证服务器标识信息的认证服务器。这种配置能够执行高效的认证处理分发。
附图说明
图1示出了典型处理分发系统的配置;
图2是示出本发明的处理分发系统的示例性实施例的示图;
图3是示出图2所示的分发服务器的配置示例的示图;
图4是示出存储在图2所示的数据库中的关联信息的示例的示图;
图5是示出存储在图2所示的数据库中的认证服务器信息的示例的示图;
图6是示出图2所示的RADIUS服务器的配置示例的示图;
图7是示出存储在图2所示的数据库中的信息的示例的示图;
图8是示出存储在图2所示的数据库中的信息的示例的示图;
图9是示出存储在图2所示的数据库中的信息的示例的示图;
图10是用于图示出在图2至图9所示的配置中的处理分发方法中用户具有用户ID“用户1”的情况中的处理分发方法的时序图;以及
图11是用于图示出在图2至图9所示的配置中的处理分发方法中用户具有用户ID“用户4”的情况中的处理分发方法的时序图。
具体实施方式
下面将参考附图描述本发明的示例性实施例。
图2是示出本发明的处理分发系统的示例性实施例的示图。
如图2所示,本示例性实施例包括客户端100、分发服务器200、数据库300、RADIUS服务器400-1至400-3,以及数据库500-1至500-3。这里,描述包括三个RADIUS服务器400-1至400-3以及三个数据库500-1至500-3的示例。然而,无须说,对于每类元件,元件的数目可以为两个或者四个或更多个。
客户端100是用户操作来发出认证请求的终端,并且包括用于输入信息的输入功能和用于执行通信的通信功能。
分发服务器200将用来认证用户的认证处理分发到RADIUS服务器400-1至400-3中。
图3是示出图2所示的分发服务器200的配置示例的示图。
图2所示的分发服务器200包括客户端接口201、RADIUS服务器接口202和服务器选择器203,如图3所示。图3仅示出了与本发明有关的元件。
客户端接口201包括与图2所示的客户端进行接口连接的接口功能,并且向客户端100发送信号并从客户端100接收信号。客户端接口201将从客户端100发送来的信号输出给RADIUS服务器接口202。客户端接口201将从RADIUS服务器接口202输出的信号中将要被发送给客户端100的信号发送给客户端100。
RADIUS服务器接口202包括与图2所示的RADIUS服务器400-1至400-3进行接口连接的接口功能,并且是向RADIUS服务器400-1至400-3发送信号并从RADIUS服务器400-1至400-3接收信号的认证服务器接口。当从RADIUS服务器400-1至400-3发送来指示针对认证请求信号的传送请求的传送请求信号时,RADIUS服务器接口202提取用户ID并且将用户ID发送给服务器选择器203,用户ID是包括在传送请求信号中的用于标识用户的用户标识信息。RADIUS服务器接口202基于在服务器选择器203处对RADIUS服务器的搜索结果,将认证请求信号传送给RADIUS服务器400-1至400-3中的任一个。RADIUS服务器接口202将从客户端接口201输出的信号发送给RADIUS服务器400-1至400-3中的适当服务器。RADIUS服务器接口202将从RADIUS服务器400-1至400-3发送来的传送请求信号以外的信号输出给客户端接口201。
服务器选择器203基于从RADIUS服务器接口202输出的用户ID对存储在数据库300中的信息进行搜索,并且从RADIUS服务器400-1至400-3中选出认证请求信号将被传送给的RADIUS服务器。
数据库300连接到分发服务器200,并且是存储了用于确定分发服务器200将用于认证用户的认证处理分发给RADIUS服务器400-1至400-3中的哪个服务器的信息的分发服务器数据库。数据库300将关联信息和认证服务器信息存储作为该信息。
图4是示出存储在图2所示的数据库300中的关联信息的示例的示图。图5是示出存储在图2所示的数据库300中的认证服务器信息的示例的示图。
如图4所示,存储在图2所示的数据库300中的关联信息将用户ID与认证服务器编号彼此相关联,用户ID是唯一地被指派给用户以用于标识该用户的用户标识信息,认证服务器编号是唯一地被指派给RADIUS服务器以用于标识RADIUS服务器400-1至400-3的认证服务器标识信息。该信息指示出连接到各自的RADIUS服务器400-1至400-3的数据库500-1至500-3中哪个数据库存储了该用户的用户简档数据。即,该信息指示出RADIUS服务器400-1至400-3中用户可在其处被认证的服务器。
例如,用户ID“用户1”被与认证服务器编号“服务器1”相关联;这表明将对用户ID为“用户1”的用户进行认证的RADIUS服务器是认证服务器编号为“服务器1”的RADIUS服务器。用户ID“用户2”被与认证服务器编号“服务器1”相关联;这表明将对用户ID为“用户2”的用户进行认证的RADIUS服务器是认证服务器编号为“服务器1”的RADIUS服务器。用户ID“用户3”被与认证服务器编号“服务器1”相关联;这表明将对用户ID为“用户3”的用户进行认证的RADIUS服务器是认证服务器编号为“服务器1”的RADIUS服务器。用户ID“用户4”被与认证服务器编号“服务器2”相关联;这表明将对用户ID为“用户4”的用户进行认证的RADIUS服务器是认证服务器编号为“服务器2”的RADIUS服务器。用户ID“用户5”被与认证服务器编号“服务器2”相关联;这表明将对用户ID为“用户5”的用户进行认证的RADIUS服务器是认证服务器编号为“服务器2”的RADIUS服务器。用户ID“用户6”被与认证服务器编号“服务器3”相关联;这表明将对用户ID为“用户6”的用户进行认证的RADIUS服务器是认证服务器编号为“服务器3”的RADIUS服务器。用户ID“用户7”被与认证服务器编号“服务器3”相关联;这表明将对用户ID为“用户7”的用户进行认证的RADIUS服务器是认证服务器编号为“服务器3”的RADIUS服务器。用户ID“用户8”被与认证服务器编号“服务器3”相关联;这表明将对用户ID为“用户8”的用户进行认证的RADIUS服务器是认证服务器编号为“服务器3”的RADIUS服务器。
服务器选择器203参考该关联信息,由此可以基于从RADIUS服务器接口202输出的用户ID来选择允许对具有该用户ID的用户进行认证的RADIUS服务器。
存储在图2所示的数据库300中的认证服务器信息将上面提到的认证服务器编号与该认证服务器的IP地址相关联,如图5所示。该信息指示出执行用于对用户进行认证的认证处理的RADIUS服务器的IP地址。
例如,认证服务器编号“服务器1”被与IP地址“x.y.z.w1”相关联;这表明认证服务器编号为“服务器1”的RADIUS服务器的IP地址为“x.y.z.w1”。认证服务器编号“服务器2”被与IP地址“x.y.z.w2”相关联;这表明认证服务器编号为“服务器2”的RADIUS服务器的IP地址为“x.y.z.w2”。认证服务器编号“服务器3”被与IP地址“x.y.z.w3”相关联;这表明认证服务器编号为“服务器3”的RADIUS服务器的IP地址为“x.y.z.w3”。
服务器选择器203参考该关联信息,并且选择利用所关注的用户ID来选择用于认证该用户的RADIUS服务器。然后,所关注的RADIUS服务器的IP地址可被获取。
RADIUS服务器400-1至400-3是用于对用户进行认证的认证服务器。
图6是示出图2所示的RADIUS服务器400-1的配置示例的示图。注意,图2所示的RADIUS服务器400-2至400-3具有与RADIUS服务器400-1相同的配置。
如图6所示,图2所示的RADIUS服务器400-1包括分发服务器接口411、加密器/解密器412以及认证器413。图6仅示出了与本发明有关的元件。
分发服务器接口411包括与图2所示的分发服务器200进行接口连接的接口功能,并且向分发服务器200发送信号并从分发服务器200接收信号。当分发服务器接口411执行与客户端100的TLS(传输层安全)隧道通信(其是加密通信)时,分发服务器接口411将已被加密的并经由分发服务器200从客户端100发送来的认证请求信号输出给加密器/解密器412。分发服务器接口411将TLS参数以及从认证器413输出的用户ID包括在上述传送请求信号中,并且将该信号发送给服务器200。这里,TLS参数已经在认证之前通过RADIUS服务器400-1与客户端100之间的TLS握手而被获取,该参数是用于在TLS隧道通信期间对诸如认证请求信号之类的信号进行加密和解密的参数。例如,可以使用Master-Secret(用于生成密钥的随机数)、Cipher-Suite(加密算法和哈希算法对)和Compression-Method(压缩方法)。分发服务器接口411将从加密器/解密器412输出的信号经由分发服务器200发送(隧道传输)给客户端100。
加密器/解密器412利用TLS参数来对诸如从分发服务器接口411输出的认证请求信号之类的信号进行解密。加密器/解密器412从经解密的认证请求信号中提取用户ID,并且将用户ID输出给认证器413。加密器/解密器412对从认证器413输出的认证响应信号进行加密,并且将该信号输出给分发服务器接口411。
认证器413对从加密器/解密器412输出的认证请求信号进行认证。更具体地,认证器413参考数据库500-1,并且当与包括在认证请求信号中的用户ID相同的用户ID存在于数据库500-1中时,则将请求口令的口令请求信号作为认证响应信号之一发送给加密器/解密器412。当根据口令请求信号的口令从加密器/解密器412输出时,认证器413通过判断该口令是否与数据库500-1中的用户ID相关联来认证用户ID。当从加密器/解密器412输出的口令与数据库500-1中的用户ID相关联时,认证器413将指示成功认证的认证响应信号输出给加密器/解密器412。当与包括在认证请求信号中的用户ID相同的用户ID未存在于数据库500-1中时,认证器413将用户ID输出给分发服务器接口411。
数据库500-1至500-n是存储用户的用户ID以及与各个用户相关联的口令的认证服务器数据库。这里,将描述图2所示的数据库300存储图4所示的关联信息的情况作为示例。
图7是示出存储在图2所示的数据库500-1中的信息的示例的示图。
存储在图2所示的数据库500-1中的信息将用户ID“用户1”与口令“口令1”相关联,如图7所示;这表明用户ID为“用户1”的用户的口令是“口令1”。用户ID“用户2”被与口令“口令2”相关联;这表明用户ID为“用户2”的用户的口令是“口令2”。用户ID“用户3”被与口令“口令3”相关联;这表明用户ID为“用户3”的用户的口令是“口令3”。数据库500-1存储用户1、用户2和用户3的用户简档数据。
图8是示出存储在图2所示的数据库500-2中的信息的示例的示图。
存储在图2所示的数据库500-2中的信息将用户ID“用户4”与口令“口令4”相关联,如图8所示;这表明用户ID为“用户4”的用户的口令是“口令4”。用户ID“用户5”被与口令“口令5”相关联;这表明用户ID为“用户5”的用户的口令是“口令5”。数据库500-2存储用户4和用户5的用户简档数据。
图9是示出存储在图2所示的数据库500-3中的信息的示例的示图。
存储在图2所示的数据库500-3中的信息将用户ID“用户6”与口令“口令6”相关联,如图9所示;这表明用户ID为“用户6”的用户的口令是“口令6”。用户ID“用户7”被与口令“口令7”相关联;这表明用户ID为“用户7”的用户的口令是“口令7”。用户ID“用户8”被与口令“口令8”相关联;这表明用户ID为“用户8”的用户的口令是“口令8”。数据库500-3存储用户6、用户7和用户8的用户简档数据。
下面将描述上述示例性实施例中的处理分发方法。首先,将描述正操作客户端100的用户是用户ID为“用户1”的用户的情况作为示例。
图10是用于图示出在图2至9所示的处理分发方法中用户具有用户ID“用户1”的情况中的处理分发方法的时序图。
首先,在客户端100与RADIUS服务器400-1至400-3中的任一个服务器之间初步建立TLS握手。这是针对客户端100与RADIUS服务器400-1至400-3之间的称为TLS隧道通信的加密通信所做的准备。当作为请求信号的Access-Request(接入-请求)从客户端100被发送给分发服务器200时,分发服务器200的RADIUS服务器接口202从RADIUS服务器400-1至400-3中确定一个RADIUS服务器来作为将作为Access-Request的目的地的RADIUS服务器,并且在步骤1和3中Access-Request被传送给已被确定为目的地的RADIUS服务器。由于在此阶段使用了伪ID,因此,访问数据库300将不能确定哪个RADIUS服务器保存了用户1的数据。因此,确定目的地的方法可以是随机确定方法或者具有诸如循环(round robin)之类的所规定的规则的确定方法。这里,将描述目的地被确定为RADIUS服务器400-1的情况作为示例。
当所传送的Access-Request由RADIUS服务器400-1接收到时,在步骤2和4中,作为与所接收Access-Request相对应的响应信号的Access-Challenge(接入-质疑)从RADIUS服务器400-1经由分发服务器200被发送给客户端100。TLS握手与典型的TLS握手类似。当TLS握手时,作为执行TLS隧道通信所需的TLS参数的Master-Secret、Cipher-Suite和Compression-Method在客户端100与RADIUS服务器400-1之间被交换,并被客户端100和RADIUS服务器400-1获取。
接下来,在客户端100和RADIUS服务器400-1之间执行隧道中的认证处理。在步骤5中,当作为认证请求信号的Access-Request从客户端100经由分发服务器200被发送时,由RADIUS服务器400-1的分发服务器接口411接收到的认证请求信号由加密器/解密器412利用TLS参数进行解密。用户ID从经加密器/解密器412解密的认证请求信号中被提取出来;该用户ID在此阶段中第一次被标识。所提取的用户ID从加密器/解密器412被输出给认证器413。
认证器413参考数据库500-1,并且在数据库500-1中搜索与从加密器/解密器412输出的用户ID相同的用户ID。这里,由于是以用户具有用户ID“用户1”的情况为例,因此该用户ID从数据库500-1被搜索到。
当认证器413从数据库500-1搜索用户ID时,在步骤6中,Access-Challenge作为认证响应信号从分发服务器接口411经由分发服务器200被发送给客户端100。
然后,在步骤7和8中,包括口令的分组在客户端100与RADIUS服务器400-1之间被交换,并且认证完成。
接下来,将描述操作客户端100的用户是用户ID为“用户4”的用户的情况作为示例。
图11是用于图示出在图2至9所示的处理分发方法中用户具有用户ID“用户4”的情况中的处理分发方法的时序图。这里,假设存储在数据库300中的认证服务器编号为“服务器2”的服务器是RADIUS服务器400-2。
首先,与步骤1至4一样,在步骤11至14中,在客户端100与RADIUS服务器400-1至400-3中的任一个服务器之间执行用于称为TLS隧道通信的加密通信的准备。这些处理与上面步骤1至4中的处理相同。与上面的示例一样,将描述目的地被确定为RADIUS服务器400-1的情况作为示例。
接下来,在客户端100与RADIUS服务器400-1之间执行隧道中的认证处理。在步骤15中,当作为认证请求信号的Access-Request从客户端100经由分发服务器200被发送时(图2所示的箭头A和B),由RADIUS服务器400-1的分发服务器接口411接收到的认证请求信号由加密器/解密器412利用TLS参数进行解密。用户ID从经加密器/解密器412解密的认证请求信号中被提取出来。所提取的用户ID从加密器/解密器412被输出给认证器413。
认证器413参考数据库500-1,并且在数据库500-1中搜索与从加密器/解密器412输出的用户ID相同的用户ID。这里,由于是以用户具有用户ID“用户4”的情况为例,因此该用户ID未从数据库500-1被搜索到。
该用户ID从认证器413被输出给分发服务器接口411。在步骤16,其中指示传送请求的属性被添加到包括用户ID和上面的TLS参数的Access-Reject的传送请求信号从分发服务器接口411被发送给分发服务器200(图2所示的箭头C)。由于这里的属性不被RADIUS的标准属性支持,因此使用依特定于厂商的属性而定的属性。所需属性的内容如下:
●当Access-Reject伴随时指示传送请求(类似于Diameter Redirect-Host AVP);
●存储TLS Master-Secret;
●存储TLS Cipher-Suite;
●存储TLS Compression-Method;以及
●存储在隧道中的TLS认证中接收到的用户ID。
当分发服务器200的RADIUS服务器接口202接收到从RADIUS服务器400-1的分发服务器接口411发送来的传送请求信号时,RADIUS服务器接口202从所接收的传送请求信号中提取用户ID。所提取的用户ID从RADIUS服务器接口202被输出给服务器选择器203。
服务器选择器203基于所提取的用户ID从RADIUS服务器400-1至400-3中搜索作为目的地的RADIUS服务器。更具体地,服务器选择器203参考数据库300,并且从数据库300的关联信息中获取与所提取的用户ID相关联的认证服务器编号。服务器选择器203从数据库300的认证服务器信息中获取所获得的认证服务器编号的IP地址。这里,由于用户ID是“用户4”,因此认证服务器编号“服务器2”(RADIUS服务器400-2)被获取。由于“服务器2”被获取作为认证服务器编号,因此IP地址“x.y.z.w2”被获取。所获取的IP地址从服务器选择器23被输出给RADIUS服务器接口202。
RADIUS服务器接口202将存储TLS参数的属性以及存储用户ID的属性添加到Access-Request中。然后,在步骤17,该Access-Request从RADIUS服务器接口202被发送给具有从服务器选择器203输出的IP地址的RADIUS服务器400-2(图2所示的箭头D)。
当RADIUS服务器400-2确定所添加的属性存在时,对被添加在一起的TLS参数的转移(diversion)消除了对在客户端100与RADIUS服务器400-2之间重新建立握手的需要;TLS握手之后的认证分组被当作是隧道中的TLS认证的开始。在步骤18,认证结果从RADIUS服务器400-2经由分发服务器200被发送给客户端100(图2所示的箭头E和F)。随后,在步骤19和20,在客户端100、分发服务器200和RADIUS服务器400-2间交换分组,随后认证完成。
用户ID是利用用户ID被唯一地指派的示例来描述的。然而,还可以以依客户端100的终端而定的方式来指派用户ID。
数据库300可以包括在分发服务器200中。数据库500-1至500-3可以分别包括在RADIUS服务器400-1至400-3中。
如上所述,在用户ID不能在消息交换的早期阶段被标识出的情况中,如在EAP-TTLS认证方案中,对通过TLS握手获得的信息的传送消除了对从开始起重复认证过程的需要,并且可以继续由另一认证服务器进行的认证,由此使得处理的分发能够被高效地执行。
上面已参考示例性实施例描述了本发明。然而,本发明不限于上面的示例性实施例。可在本发明的范围内对本发明的配置和细节作出本领域技术人员可理解的各种修改。
本申请要求2008年2月14日提交的日本专利申请No.2008-033333的优先权,该申请的全部公开通过引用结合于此。
Claims (11)
1.一种处理分发系统,包括:由用户操作的终端;认证服务器,这些认证服务器使用已经预先获得的TLS参数利用隧道中的TLS认证来与所述终端执行认证处理以对用户进行认证;以及分发服务器,所述分发服务器将所述认证处理分发给所述认证服务器中的一个认证服务器,
其中,所述认证服务器判断已经经由所述分发服务器从所述终端发送来的被唯一地指派给所述用户的用户标识信息是否存在于连接到所述认证服务器的认证数据库中,并且将所述用户标识信息和所述TLS参数包括在指示对所述用户标识信息的传送请求的传送请求信号中,并且当所述认证服务器判定所述用户标识信息未存在于所述认证数据库中时,将该信号发送给所述分发服务器,并且
所述分发服务器基于从所述认证服务器发送来的所述传送请求信号中所包括的所述用户标识信息,在连接到所述分发服务器的分发服务器数据库中搜索与所述用户标识信息相关联的认证服务器标识信息,并且将所述用户标识信息和所述TLS参数发送给被指派有搜索到的认证服务器标识信息的认证服务器。
2.根据权利要求1所述的处理分发系统,
其中,所述认证服务器从经由所述分发服务器从所述终端发送来的请求认证的所述认证请求信号中提取所述用户标识信息,并且判断所提取出的用户标识信息是否存在于所述认证数据库中。
3.根据权利要求2所述的处理分发系统,
其中,所述认证服务器包括:
加密器/解密器,所述加密器/解密器对经由所述分发服务器从所述终端发送来的所述认证请求信号进行解密,并且从经解密的认证请求信号中提取所述用户标识信息;
认证器,所述认证器判断由所述加密器/解密器提取出的所述用户标识信息是否存在于所述认证数据库中;以及
分发服务器接口,所述分发服务器接口将所述用户标识信息和所述TLS参数包括在所述传送请求信号中,并且当所述分发服务器接口判定所述用户标识信息未存在于所述认证数据库中时,则将该信号发送给所述分发服务器,
所述分发服务器包括:
认证服务器接口,所述认证服务器接口从发送自所述认证服务器的传送请求信号中提取所述用户标识信息;
服务器选择器,所述服务器选择器基于由所述认证服务器接口提取出的所述用户标识信息,在连接到所述分发服务器的分发服务器数据库中搜索与所述用户标识信息相关联的认证服务器标识信息,并且
所述认证服务器接口将所述用户标识信息和所述TLS参数发送给被指派有被所述服务器选择器搜索到的所述认证服务器标识信息的认证服务器。
4.根据权利要求1或2所述的处理分发系统,
其中,所述认证服务器包括所述认证服务器数据库。
5.根据权利要求1或2所述的处理分发系统,
其中,所述分发服务器包括所述分发服务器数据库。
6.一种认证服务器,所述认证服务器使用已经预先获得的TLS参数利用隧道中的TLS认证,来与终端执行认证处理以对操作所述终端的用户进行认证,所述认证服务器包括:
加密器/解密器,所述加密器/解密器对从所述终端发送来的请求认证的认证请求信号进行解密,并且从经解密的认证请求信号中提取被唯一地指派给所述用户的用户标识信息;
认证器,所述认证器判断由所述加密器/解密器提取出的所述用户标识信息是否存在于连接到所述认证服务器的认证数据库中;以及
分发服务器接口,所述分发服务器接口将所述用户标识信息和所述TLS参数包括在指示对所述用户标识信息的传送请求的传送请求信号中,并且当所述分发服务器接口判定所述用户标识信息未存在于所述认证数据库中时,则将该信号发送给连接到所述认证服务器的分发服务器。
7.根据权利要求6所述的认证服务器,包括
所述认证服务器数据库。
8.一种分发服务器,所述分发服务器连接到由用户操作的终端,并连接到使用已经预先获得的TLS参数利用隧道中的TLS认证来与所述终端执行认证处理以对所述用户进行认证的认证服务器,并且所述分发服务器将所述认证处理分发给所述认证服务器中的一个认证服务器,所述分发服务器包括:
认证服务器接口,该认证服务器接口从发送自所述认证服务器的指示对用户标识信息的传送请求的传送请求信号中提取被唯一地指派给所述用户的所述用户标识信息;以及
服务器选择器,所述服务器选择器基于由所述认证服务器接口提取出的所述用户标识信息,在连接到所述分发服务器的分发服务器数据库中搜索与所述用户标识信息相关联的认证服务器标识信息,
其中,所述认证服务器接口将从所述认证服务器发送来的所述用户标识信息和所述TLS参数发送给被指派有被所述服务器选择器搜索到的所述认证服务器标识信息的认证服务器。
9.根据权利要求8所述的分发服务器,包括
所述分发服务器数据库。
10.一种处理分发系统中的处理分发方法,所述处理分发系统包括由用户操作的终端、使用已经预先获得的TLS参数利用隧道中的TLS认证来与所述终端执行认证处理以认证所述用户的认证服务器、以及将所述认证处理分发给所述认证服务器中的一个认证服务器的分发服务器,
其中,所述认证服务器判断经由所述分发服务器从所述终端发送来的被唯一地指派给所述用户的用户标识信息是否存在于连接到所述认证服务器的认证数据库中,
所述认证服务器将所述用户标识信息和所述TLS参数包括在指示对所述用户标识信息的传送请求的传送请求信号中,并且当所述认证服务器判定所述用户标识信息未存在于所述认证数据库中时,所述认证服务器将该信号发送给所述分发服务器,
所述分发服务器基于从所述认证服务器发送来的所述传送请求信号中所包括的所述用户标识信息,在连接到所述分发服务器的分发服务器数据库中搜索与所述用户标识信息相关联的认证服务器标识信息,并且
所述分发服务器将所述用户标识信息和所述TLS参数发送给被指派有被搜索到的认证服务器标识信息的认证服务器。
11.根据权利要求10所述的处理分发方法,包括:
所述认证服务器从经由所述分发服务器从所述终端发送来的请求认证的认证请求信号中提取所述用户标识信息的处理;以及
所述认证服务器判断提取出的用户标识信息是否存在于所述认证数据库中的处理。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008033333A JP4344957B2 (ja) | 2008-02-14 | 2008-02-14 | 処理分散システム、認証サーバ、分散サーバ及び処理分散方法 |
| JP2008-033333 | 2008-02-14 | ||
| PCT/JP2009/050923 WO2009101848A1 (ja) | 2008-02-14 | 2009-01-22 | 処理分散システム、認証サーバ、分散サーバ及び処理分散方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101939751A true CN101939751A (zh) | 2011-01-05 |
Family
ID=40956878
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009801044894A Pending CN101939751A (zh) | 2008-02-14 | 2009-01-22 | 处理分发系统、认证服务器、分发服务器及处理分发方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20110010544A1 (zh) |
| EP (1) | EP2246800A1 (zh) |
| JP (1) | JP4344957B2 (zh) |
| CN (1) | CN101939751A (zh) |
| TW (1) | TW200948016A (zh) |
| WO (1) | WO2009101848A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4937302B2 (ja) * | 2009-07-10 | 2012-05-23 | 日本電信電話株式会社 | 認証装置、認証方法、認証プログラムおよび認証システム |
| US9430291B2 (en) | 2010-12-30 | 2016-08-30 | International Business Machines Corporation | Distributed topology enabler for identity manager |
| TWI512453B (zh) * | 2011-01-10 | 2015-12-11 | Hon Hai Prec Ind Co Ltd | 主備伺服器切換系統及方法 |
| JP5492146B2 (ja) * | 2011-06-13 | 2014-05-14 | 日本電信電話株式会社 | データベースシステム及び制御方法 |
| US10320842B1 (en) * | 2017-03-24 | 2019-06-11 | Symantec Corporation | Securely sharing a transport layer security session with one or more trusted devices |
| WO2018201233A1 (en) * | 2017-05-05 | 2018-11-08 | Royal Bank Of Canada | Distributed memory data repository based defense system |
| KR102015700B1 (ko) * | 2017-08-23 | 2019-08-28 | 에스케이 주식회사 | 블록체인 기반 one ID 서비스 시스템 및 방법 |
| US10972455B2 (en) * | 2018-04-24 | 2021-04-06 | International Business Machines Corporation | Secure authentication in TLS sessions |
| US20230362009A1 (en) * | 2022-05-04 | 2023-11-09 | John Charles Schwinn | User identification and authentication method and system |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2001273257A (ja) * | 2000-03-23 | 2001-10-05 | Nippon Telegr & Teleph Corp <Ntt> | 代理認証サーバ |
| US8341700B2 (en) * | 2003-10-13 | 2012-12-25 | Nokia Corporation | Authentication in heterogeneous IP networks |
| JP2006011989A (ja) | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
| JP4742903B2 (ja) * | 2006-02-17 | 2011-08-10 | 日本電気株式会社 | 分散認証システム及び分散認証方法 |
-
2008
- 2008-02-14 JP JP2008033333A patent/JP4344957B2/ja not_active Expired - Fee Related
-
2009
- 2009-01-22 CN CN2009801044894A patent/CN101939751A/zh active Pending
- 2009-01-22 EP EP09710803A patent/EP2246800A1/en not_active Withdrawn
- 2009-01-22 WO PCT/JP2009/050923 patent/WO2009101848A1/ja active Application Filing
- 2009-01-22 US US12/811,904 patent/US20110010544A1/en not_active Abandoned
- 2009-02-10 TW TW098104185A patent/TW200948016A/zh unknown
Also Published As
| Publication number | Publication date |
|---|---|
| US20110010544A1 (en) | 2011-01-13 |
| TW200948016A (en) | 2009-11-16 |
| WO2009101848A1 (ja) | 2009-08-20 |
| EP2246800A1 (en) | 2010-11-03 |
| JP4344957B2 (ja) | 2009-10-14 |
| JP2009193336A (ja) | 2009-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110493261B (zh) | 基于区块链的验证码获取方法、客户端、服务器及存储介质 | |
| CN101939751A (zh) | 处理分发系统、认证服务器、分发服务器及处理分发方法 | |
| CN108574569B (zh) | 一种基于量子密钥的认证方法及认证装置 | |
| CN106656907B (zh) | 用于认证的方法、装置、终端设备及系统 | |
| JP4000111B2 (ja) | 通信装置および通信方法 | |
| CN101605137B (zh) | 安全分布式文件系统 | |
| CN100512201C (zh) | 用于处理分组业务的接入-请求消息的方法 | |
| KR20190088048A (ko) | 사물 인터넷 디바이스의 기록 및 검증 방법과 장치, 그리고 아이덴티티 인증 방법 및 장치 | |
| CN107888381B (zh) | 一种密钥导入的实现方法、装置及系统 | |
| CN107040922A (zh) | 无线网络连接方法、装置及系统 | |
| JP2005102163A (ja) | 機器認証システム、機器認証サーバ、端末機器、機器認証方法、機器認証プログラム、及び記憶媒体 | |
| CN108243176B (zh) | 数据传输方法和装置 | |
| CN104270338A (zh) | 一种电子身份注册及认证登录的方法及其系统 | |
| CN108347428B (zh) | 基于区块链的应用程序的注册系统、方法和装置 | |
| CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
| IL189131A (en) | Distributed single sign-on service | |
| CN108964897B (zh) | 基于群组通信的身份认证系统和方法 | |
| CN112311537A (zh) | 基于区块链的设备接入认证系统及方法 | |
| CN100514333C (zh) | 一种数据库安全访问方法和系统 | |
| CN108964896B (zh) | 一种基于群组密钥池的Kerberos身份认证系统和方法 | |
| CN109714170B (zh) | 一种联盟链中数据隔离方法及相应的联盟链系统 | |
| CN111192050B (zh) | 一种数字资产私钥存储提取方法及装置 | |
| CN104935435A (zh) | 登录方法、终端及应用服务器 | |
| CN111510288A (zh) | 密钥管理方法、电子设备及存储介质 | |
| CN107637016A (zh) | 认证装置、认证系统、认证方法和程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20110105 |