CN102369750A - 用于管理用户的认证的方法和装置 - Google Patents
用于管理用户的认证的方法和装置 Download PDFInfo
- Publication number
- CN102369750A CN102369750A CN2010800155303A CN201080015530A CN102369750A CN 102369750 A CN102369750 A CN 102369750A CN 2010800155303 A CN2010800155303 A CN 2010800155303A CN 201080015530 A CN201080015530 A CN 201080015530A CN 102369750 A CN102369750 A CN 102369750A
- Authority
- CN
- China
- Prior art keywords
- user
- server
- authentication
- identifier
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
Abstract
本发明涉及一种用于管理运营商的电信网络的用户认证的方法,包括以下步骤:一旦接收到所述用户对于该网络的运营商所提供的服务的接入请求,就向认证地点服务器(ALF 300)发送认证服务器标识请求,所述请求包括所述用户的至少一个标识符(user-ID);和一旦接收到包括与该用户的所述标识符关联的认证服务器的标识符(AAA ID)的应答,就发送在对于所请求的服务而标识的服务器处认证用户的请求。
Description
技术领域
本发明的领域是电信网络的领域,并更具体地,涉及期望接入这样的网络的运营商所提供的服务的用户的认证。
背景技术
电信网络的用户借助于接入网接入该网络。几种类型的接入是可用的。这些接入包括基于例如x-DSL(数字订户线路)技术的固定接入、以及基于UMTS(通用移动电信系统)、WIFI或WImax技术的移动接入。
某些IP(因特网协议)分组类型的接入网拥有所谓AAA(认证、授权、记账)认证基础结构,其进行用户的认证,管理对于接入所请求的服务的授权,并执行用于向用户开出该服务的账单的记账。
按照传统方式,AAA架构取决于以下原理:
用户的终端经由网络接入点而挂钩(hook up)到该接入网。
在该接入网中,网络接入服务器负责控制对于IP传输核心网的接入,该IP传输核心网自己提供用于接入诸如因特网的其他IP网络或诸如公司网的专用IP网络的服务。
在该上下文中,网络接入服务器的角色是认证并授权终端接入IP核心网。为了进行这些功能,该接入服务器一旦接收到终端所发出的请求,就分派对于接入以下认证服务器的请求,该认证服务器负责验证该终端所提供的认证参数。一旦认证已成功,就作为与该终端的用户关联的接入权限的函数来授权对于该网络服务的接入。
如今,AAA架构也被实现用于以下用户的认证,该用户已连接到运营商的IP传输核心网、但是期望接入该网络的应用系统所提供的服务。例如,为了接入将允许他在应用会话过程中改变接入类型的IP移动性服务,用户必须利用该AAA架构第二次认证自己。
该认证和授权数据被一起分组为所谓用户数据配置文件。该配置文件寄宿(hosted)在接收该接入请求的认证服务器中或在另一认证服务器中。在该情况下,将接入请求传送到后者,并且这是将确保终端的认证的该服务器。
一旦已进行了认证和授权过程,网络接入服务器就负责生成包括有关与进行中的连接关联的事件的信息的记账消息(会话开始、会话结束、传送的数据量等)。这些消息被分派到专用服务器,该服务器将负责作为所接收的记账信息的函数而生成账单发票。该服务器可与认证服务器位于一处或者可以是独立服务器。
进行认证、授权和/或记账功能的服务器被统称为“AAA服务器”。作为这些AAA服务器的“客户机”的网络接入服务器被称为“AAA客户机”。
所谓AAA协议是在AAA客户机和AAA服务器之间或者在AAA服务器之间的接口上使用的协议。IETF规定,当前使用最多的协议是RADIUS协议(IETF RFC 2865)。从2002年以来,IETF已定义了作为RADIUS的后继者的称为Diameter的新协议(IETF RFC 3588),这使得可能回应由新接入网类型和诸如IP移动性管理的新网络服务的出现导致的新功能需求和约束。
现在将结合图1来描述AAA架构。
考虑期望接入诸如因特网的IP数据网3的用户终端UE 10(用户设备)。其初始通过接入网20的接入管理服务器(网络接入服务器)NAS1 110连接到运营商的电信网1。在接入网的级别,人们也谈及接入点(AP)。这可以例如是x-DSL类型的固定接入或WIFI类型的移动接入。该连接需要该接入管理服务器NAS1 110所请求的网络1的认证服务器AAA1 210的第一认证。该认证服务器AAA1 210从可以是本地的或集中的数据库DB 400恢复用户的配置文件。
一旦该第一认证已成功,则终端通过用于该服务的接入管理服务器或NAS2 120来发出对于接入该IP网络(或服务)3的请求。为此目的,它使用使得可能建立IP连接的协议。
可使用几个协议,作为接入网的类型以及期望接入的网络的类型的函数。作为示例阐明了用于在RTC类型调制解调器的帮助下固定接入到因特网的PPP协议(在IETF文档RFC 1661中描述的点对点协议)、用于Wifi接入的IEEE协议802.1X(在IEEE文档标准802.1X-2001“基于端口的网络接入控制(Port-Based network Access Control)”中描述)、或用于设立用于VPN(虚拟专网)或I-WLAN类型接入的IPsec安全联盟的IKEv2协议(因特网密钥交换V2,RFC 4306)。
用于对服务的接入进行管理的服务器NAS2发出对于通过认证服务器AAA2 120认证用户的请求。可以理解,该认证服务器与进行用户的第一认证的服务器不同。
AAA架构实际上提供了在给定地域(territory)上分布承担控制对于资源的接入的任务的几个网络接入服务器的可能性。当在网络中部署几个AAA服务器时,每一服务器可具有其自己的数据库,或者所有服务器都连接到集中式数据库。集中式架构是特别在移动网络中得到的架构。集中式数据库的使用允许用户能够移动到任何网络接入点,同时确信能够被认证和授权接入其服务。
当如图1的示例所示那样用户期望接入需要两次连续认证的服务时,可期望充分利用(exploit)第一认证以便简化第二认证。在这点上,存在在本地级别重新认证的其他机制。这些相同机制可在连续认证的框架内被同一运营商重新使用或改编。例如,ERP协议(RFC 5296中IETF所定义的用于EAP重新认证协议的EAP扩展)使得可能重新使用由利用EAP协议(RFC3748中IETF所定义的可扩展认证协议)进行的第一认证造成的密码(cryptographic)材料。这使得可能减少在网络中交换的信令消息的数目以及所涉及的设备上的计算次数。这对于终端处于受访网络中并且密码材料背保持在本地网络中的情况尤其正确。
然而,当已由该网络验证第一次的用户在第二验证期间不能将自己寻址到用于管理该网络接入的同一服务器NAS1时,这样的机制冒着不能工作的风险。特别在当通过不同接入管理服务器管理对于接入网的接入以及对于因特网网络的接入时的先前示例中,这样的情况出现。当用户正在漫游并且自从在该接入网中的第一认证之后已改变了接入网时,该情况也出现。现在将结合图2来呈现这样的情况。
终端UE 10已连接到接入网21,例如Wifi类型的移动接入网。接入管理服务器NAS1和认证服务器AAA1已负责合适的连接和认证过程。假设用户移动和改变到该接入网21的接入点。他必须通过用于网络的第二接入管理服务器NAS2120在所谓移交过程(转移)期间重新连接到该接入网。
考虑Aboba等人所著的名为“The Network Access Identifier”的IETF文献RFC 4282,所述文献教导了用户在他的接入服务的请求期间向接入管理服务器NAS1、NAS2所提交的接入网络标识符(网络接入标识符或NAI)的使用。该标识符指示用户已取得预订的运营商的域。一旦接收到该标识符,用于管理服务接入的服务器作出DNS请求,以恢复与该域对应的一个或多个AAA服务器的地址。
当如图2中的示例所示已对于该域部署几个AAA服务器时出现问题,这可能是由于负载分享和安全性原因而发生的。
实际上,在该情况下,知道标识符NAI并不允许接入管理服务器标识该域中部署的AAA服务器中的哪个本地AAA服务器负责该用户。
结合图3,现在考虑这样的情况,其中用户附加处于“漫游”状况,也就是说,他经由第三方运营商的网络2接入他已通过他的运营商而预订的服务。接入管理服务器NAS1’和受访网络2的代理认证服务器pAAA1负责合适的连接和认证过程。用于管理对于本地服务的接入的服务器NAS1’在该帮助下作出DNS请求,以恢复本地代理AAA服务器pAAA1的地址。服务器pAAA1其后联系经受认证的网络1(称为用户的附属或“家庭”网络)的AAA服务器。网络1的认证服务器AAA1先前已从网络1的数据库DB 400恢复了用户的配置文件。
其后假设,如先前示例中那样,用户移动并改变到接入网21’的接入点。他必须通过用于管理对于该网络的接入的第二服务器NAS2’在所谓移交过程(转移)期间重新连接到用于接入该受访网络2的该网络。该第二管理服务器NAS2’缺省地联系代理认证服务器pAAA2,其按照其顺序将自己寻址到家庭网络1的AAA服务器AAA2。
在这点上,3GPP标准TS 23.402描述了服务器AAA2通过数据库DB 400恢复已经受了用户的第一认证的服务器AAA1的标识符的技术方案,在该特定情况下,在HSS(家庭订户服务)服务器中实现了后者。该服务器AAA2然后可按照两种方式运转:
-其运转为代理服务器并向网络1的服务器AAA1传送对于认证漫游用户的请求;
-或者其向受访域2的代理AAA服务器pAAA2分派服务器AAA1的身份,以便其从中恢复用户的配置文件。
可理解的是,这些选项不向管理服务器NAS2’提供恢复已在第一认证期间使用的代理服务器pAAA1的身份的可能性。由此,如果代理服务器pAAA1拥有允许用户终端的快速重新认证的附加密码材料,则不能利用它。
应注意的是,标准33.402描述该方案的目的在于避免用户配置文件向另一AAA服务器AAA2的新传送,而不在于优化用于重新认证漫游状况下的用户的处理。
发明内容
本发明使得可能借助于一种用于管理运营商的电信网络的用户的认证的方法来弥补该缺陷,其特征在于该方法包括以下步骤:
-一旦接收到所述用户对于该网络的运营商所提供的服务的接入请求,就发布用于标识以认证地点服务器为目的地的认证服务器的请求,所述请求包括所述用户的至少一个标识符(user-ID);和
-一旦接收到包括与该用户的所述标识符关联的认证服务器的标识符(AAA_ID)的应答,就发布在对于所请求的服务而标识的服务器处认证用户的请求。
这样的方法允许所请求的服务的接入管理服务器知道请求用户是否已在运营商的网络中被认证,并且如果合适的话,则获得执行该认证的认证服务器的标识符。要理解的是,在用于管理该服务的接入的服务器属于受访网络的情况下,它获得本地负责该用户的AAA代理服务器的标识符。
本发明由此使得当先前认证期间使用的认证材料在运营商的网络认证服务器(特别是受访网络的代理AAA服务器)中可用时、可能避免采取(resorting to)完全认证。
根据本发明的一个方面,一旦接收到不包括与该用户的所述标识符关联的任何认证服务器标识符的应答,该方法就实现用于发布在预定认证服务器处进行认证的请求的步骤。
由此,当还没有存储关联性时,用于管理对于所请求的服务的接入的服务器将自己寻址到预定义的认证服务器。
本发明还涉及一种用于管理运营商的电信网络的用户的认证的装置,其特征在于该装置包括用于实现刚刚描述的根据本发明的用于管理认证的方法的部件。
本发明还涉及一种用于管理对于电信网络的运营商所提供的服务的接入的服务器,其特征在于该服务器包括根据本发明的用于管理用户的认证的装置。
本发明还涉及一种用于存储电信网络的用户的认证地点的方法,其特征在于,该方法包括:在认证服务器对所述用户的成功认证之后、存储所述用户的至少一个标识符和所述认证服务器的标识符之间的关联性的步骤。在“漫游”状况的情况下,该存储步骤涉及所述用户的至少一个标识符和该受访网络的所述代理AAA服务器的标识符之间的关联性。
在第一次成功认证的情况下,该方法在于在考虑同一用户的下次认证的情况下、在数据库中记录用户的标识符和预定义的认证服务器的标识符之间的关联性。在漫游状况的情况下,该关联性涉及用户和已扮演代理的角色并且已接收到与该用户相关的密码材料的本地AAA服务器的标识符。
将要注意的是,在成功认证之后,AAA服务器能够管理对于该用户的终端建立的AAA会话的状态。结果,它本地利用(avail)允许它证实(establish)这是该终端的第一认证还是重新认证的信息。所以由此推导出其中必须实现根据本发明的存储方法的情形。
本发明还涉及一种用于存储电信网络的用户的认证地点的装置,其特征在于,该装置包括用于实现刚刚描述的根据本发明的存储方法的部件。
本发明进一步涉及一种用于请求接入电信网络的运营商所提供的服务的用户的认证服务器,其特征在于该服务器包括根据本发明的用于存储认证地点的装置。
本发明进一步涉及一种电信网络中的认证地点服务器,其特征在于该服务器包括用于存储用户的标识符和认证服务器的标识符之间的关联性的部件、以及用于获得响应于从用于管理对于该网络所提供的服务的接入的服务器接收的请求、而存储的关联性的部件。
本发明涉及一种运营商的电信网络,包括用于管理对于至少一个服务的接入的至少一个第一服务器、和用于管理对于运营商的至少一个服务的接入的至少一个第二服务器、和能够认证请求接入所述至少一个服务的用户的至少两个认证服务器,其特征在于该网络包括根据本发明的认证地点服务器,并且其特征在于该第一接入管理服务器和该第二接入管理服务器包括根据本发明的认证管理装置。
在特定实施例中,用于管理对于服务的接入的方法的各步骤通过计算机程序的指令来确定。
结果,本发明还针对一种信息支持(support)上的计算机程序,该程序能够在路由、接收或传送装置中或更一般地在计算机中实现,该程序包括适于实现如前所述的用于管理用户的认证的方法的步骤的指令。
在特定实施例中,用于存储用户的认证地点的方法的各步骤通过计算机程序的指令来确定。
结果,本发明还针对一种信息支持上的计算机程序,该程序能够在路由、接收或传送装置中或更一般地在计算机中实现,该程序包括适于实现如前所述的用于管理用户的认证的方法的步骤的指令。
这些程序可使用任何编程语言,并且具有源代码、目标代码、或介于源代码和目标代码之间的中间代码的形式,诸如部分编译形式、或任何其他期望形式。
本发明还针对一种计算机可读取的、并包括如上所述的计算机程序的指令的信息支持。
该信息支持可以是能够存储该程序的任何实体或装置。例如,该支持可包括诸如ROM(例如CD ROM或微电子电路ROM)的存储部件、或例如盘(软盘)或硬盘的磁记录部件。
此外,该信息支持可以是通过无线电或通过其他手段的诸如电或光信号(其可经由电缆或光缆被路由)的可传送支持。根据本发明的程序可特别从因特网类型的网络下载。
作为选择,该信息支持可以是其中合并有该程序的集成电路,该电路适于运行所讨论的方法或在所讨论的方法的运行中使用。
附图说明
一旦阅读了作为简单图示和非限制性示例给出的本发明的特定实施例的以下描述、以及附图,本发明的其他优点和特性将更明显地清楚,其中:
-图1用示意性方式呈现了根据现有技术的运营商的电信网络中的AAA架构的第一示范实现;
-图2用示意性方式呈现了根据现有技术的运营商的电信网络中的AAA架构的第二示范实现;
-图3用示意性方式呈现了根据现有技术的在终端接入第三方运营商的服务的情况下的、电信网络中的AAA架构的第三示范实现;
-图4用示意性方式呈现了本发明的关键点(crux)的运营商的电信网络;
-图5用示意性方式呈现了在用户处于“漫游”状况的情况下、本发明的关键点的运营商的电信网络;
-图6用示意性方式呈现了根据本发明用于认证用户的地点服务器的结构;
-图7用示意性方式图示了根据本发明用于管理用户的认证的方法的步骤;
-图8呈现了根据本发明用于管理用户的认证的装置的结构;
-图9用示意性方式图示了根据本发明用于存储用户的认证地点的方法的步骤;
-图10呈现了根据本发明用于存储用户的认证地点的装置的结构;和
-图11呈现了根据本发明在期望接入服务的用户和电信网络中的AAA认证架构之间交换的流的图。
具体实施方式
作为暗示,本发明的一般原理取决于:
-在电信网络中用户的成功认证之后、该用户的标识符和认证服务器的标识符之间的关联性的存储;
-一旦接收到该用户接入该运营商的网络的服务的新请求后、该关联性的获得。
在随后描述中,考虑诸如图4的网络那样的运营商的电信网络1。该网络对于已先前取得该运营商的预订的用户的终端UE 10是可接入的。根据该描述的本质,用户可经由多个接入网21、22来接入电信网络1和运营商在该网络上提供的服务,所述多个接入网21、22可以基于任何类型接入技术(固定或移动)。
电信网络1主持诸如现有技术中的先前描述的AAA认证架构。这样的架构特别包括用于管理对于服务的接入的几个服务器NAS1 110、NAS2 120,其每一个负责对于不同网络/服务的接入。在图3的示例中,服务器NAS1负责管理经由接入网21对于网络1的接入,服务器NAS2 120负责管理经由接入网22对于网络(或服务)1的接入,服务器NAS3负责接入网(或服务)23,而服务器NAS4 140负责对于IP网络(或服务)3的接入。AAA架构还包括在电信网络1中分布的多个认证服务器AAA1、AAA2。
根据本发明,电信网络1的AAA架构进一步包括认证地点服务器ALF300。该服务器包括用于在标识符AAA-ID可标识的认证服务器对于用户标识符user-ID可标识的用户的成功认证之后、接收源自用于管理对于服务的接入的服务器的关联性ASS(user-ID、AAA-ID)的部件。它还包括用于在数据库中存储所接收的关联性的部件。它最终包括用于在用户标识符的帮助下询问该数据库的部件,如果在数据库中存在包括所述标识符的关联性,则该部件能够获得该关联性。
在结合图5描述的示例中,地点服务器ALF 300包括在传统计算机或专用路由器中常规得到的实质元件,即,处理器3001、RAM类型的随机存取存储器3002、ROM类型的只读存储器3003、和与网络1的电信部件3004。
根据本发明,地点服务器ALF 300包括存储器3005,该存储器包括其中存储用户UE 10的标识符user-ID和已执行用户的成功认证的认证服务器AAA1的标识符AAA-ID之间的关联性的数据库。将要注意的是,该存储器可同样好地位于该装置300的外部,只要该装置300能访问该存储器即可。
结合图6来考虑用户终端UE 10已向其取得接入服务的预订的运营商的电信网络1。假设该运营商已与第三方运营商签订所谓“漫游”协定,该协定特别允许用户终端UE 10经由第三方运营商的网络2(称为受访网络)接入网络1和其已预订的服务。
根据本发明,地点服务器ALF 300’然后在网络2中实现,以便对网络2的接入管理服务器NAS1’、NAS2’所发布的地点请求作出应答。响应于这样的请求,当受访网络2中的用户的标识符和已经受该终端UE10的第一认证的网络2的AAA代理服务器的标识符之间的关联性存在时,地点服务器ALF300’能够提供该关联性。
本发明还涉及一种管理用户的认证的方法,现在将结合图7来进行描述。这样的方法包括步骤E1,用于接收该电信网络1的用户UE 10所发布的对于服务S2的接入请求REQ-S2。这是例如用于接入因特网网络3的服务。一旦接收到该请求,就实现询问地点服务器ALF 300的步骤E2。这样的询问步骤在于向地点服务器ALF 300发送包括该请求用户的至少一个标识符user-ID的请求。在E3接收应答RESP。
如果应答RESP包括关联性ASS(user-ID、AAA-ID),则在E4实现获得与接收的AAA服务器标识符对应的IP地址的步骤,该关联性ASS在同一时间包括该请求用户的标识符和已进行该用户的认证的电信网络1的AAA服务器的标识符。这可涉及例如DNS类型服务器的询问。一旦接收到所请求的IP地址AAA,就将该请求用户的认证请求分派到在步骤E5中标识的AAA服务器的地址AAA。在E6,返回接收认证成功消息。在E7将该消息传送到请求用户的终端。
如果相反地该应答RESP不包括关联性ASS,则在E8发布以预定认证服务器作为目的地的认证请求REQ-AUTH,该预定认证服务器的地址缺省地由实现根据本发明的认证管理方法的接入管理服务器NAS存储。当在E9接收到指示成功认证的应答REP-AUTH-OK时,在E10将该应答传送到请求用户。
根据本发明的一个实施例,在认证管理装置DGA中实现用于管理用户的认证的方法,现在将结合图8进行描述。其包括在传统计算机或专用路由器中常规得到的实质元件,即,处理器D1、RAM类型的随机存取存储器D2、ROM类型的只读存储器D3、和与网络1的电信部件D4。
根据本发明,装置25包括存储器D5,其构成根据本发明的记录支持。该支持存储根据本发明的计算机程序。该程序包括用于运行刚刚结合图7描述的根据本发明的用于管理用户的认证的方法的步骤的指令。
按照有利的方式,在用于管理对于用户的服务的接入的服务器NAS中实现根据本发明的认证管理装置。
本发明还涉及用于存储电信网络1中的用户的认证地点的方法,现在将结合图9进行描述。根据本发明,这样的方法在用户的成功认证的步骤F1之后包括F2,用于请求地点服务器ALF 300存储在用户UE 10的至少一个标识符user-ID和已执行认证的AAA认证服务器的标识符之间的关联性ASS(user-ID、AAA-ID)。
根据本发明的一个实施例,在用于存储地点的装置DM中实现用于存储用户的认证地点的方法,现在将结合图10进行描述。它包括在传统计算机或专用路由器中常规得到的实质元件,即,处理器DM1、RAM类型的随机存取存储器DM2、ROM类型的只读存储器DM3、和与网络1的电信部件DM4。这样的电信部件特别包括与根据本发明的认证地点服务器300、300’的接口。
根据本发明,装置DM包括存储器DM5,其构成根据本发明的记录支持。该支持存储根据本发明的计算机程序。该程序包括用于运行刚刚结合图9描述的根据本发明的用于存储用户的认证地点的方法的步骤的指令。
按照有利的方式,在执行用户的认证的AAA认证服务器中实现这样的装置。
作为变型,其可在用于管理对于用户所请求的服务的接入的服务器NAS中实现。
现在将结合图11来描述本发明的示范实现。在该示例中,认为用户的终端UE 10已在经由接入网21接入网络1的他的请求REQ S1期间、利用认证服务器AAA1 120第一次成功认证了自己。在该第一认证之后,该用户的标识符和涉及的认证服务器AAA1的标识符之间的关联性ASS已由认证地点服务器ALF 300存储。因此,服务器AAA1已向地点服务器ALF 300发送包括该用户的标识符user-ID和认证服务器AAA1的标识符AAA-ID之间的所述关联性ASS的存储请求。作为示例并且按照非限制性方式,这样的消息可以遵循Diameter或RADIUS类型的协议,其中每一所述标识符位于用于Diameter的AVP(属性值对)类型或用于RADIUS的属性类型的现有信息元素中、或位于特别创建的信息元素中,以传输它们。
在变型中,有利地创建Diameter类型的特定消息“AAA用户地点注册”,用于服务器ALF中的标识符的关联性的注册。
现在认为用户分派对于接入服务的新请求REQ S2。假设该请求涉及运营商在后者的网络1上提供的服务(例如接入因特网网络3)或另一服务(例如移动性服务)。将要注意的是,如果用户已移动并结果已改变接入点(接入网内移动性)或甚至接入网(接入网间移动性),则其也可再次涉及对于服务S1的接入,如结合图4呈现的那样。
一旦接收到对于接入服务S2的请求REQ S2,用于管理对于服务S2的接入的服务器NAS 4140就在网络1中寻求获得有关用户的可能第一认证的信息。其所以在接收的请求的帮助下恢复请求用户的标识符,并向认证地点服务器ALF 300分派包括所恢复的用户标识符的关联性搜索请求。服务器ALF 300通过向其分派所请求的关联性ASS而对其作出应答,由此允许认证管理服务器NAS4搜索与接收的身份AAA-ID对应的认证服务器的IP地址AAA1,并向所标识的服务器AAA1分派对于所请求的服务S2的用户user-ID的认证请求。因为后者在存储器中拥有在用户的第一认证期间所使用的认证材料,所以执行简单重新认证。指示成功重新认证的消息在适当时被分派到服务器NAS4,该服务器同意该请求用户对服务S2的接入。
当然,可设想本发明的其他实施例。
Claims (13)
1.一种用于管理运营商的电信网络(1,2)的用户认证的方法,其特征在于该方法包括以下步骤:
-一旦接收到(E1)所述用户对于该网络的运营商所提供的服务的接入请求,就发布(E2)对于以认证地点服务器(ALF 300,300’)为目的地的认证服务器的标识请求,所述请求包括所述用户的至少一个标识符(user-ID);和
-一旦接收到(E3)包括与该用户的所述标识符关联的认证服务器的标识符(AAA_ID)的应答,就发布(E5)在对于所请求的服务而标识的服务器处认证用户的请求。
2.根据权利要求1的用于管理用户认证的方法,其特征在于,一旦接收到不包括与该用户的所述标识符关联的任何认证服务器标识符的应答,该方法就实现以下步骤:
-发布在预定认证服务器(def-AAA)处进行认证的请求(REQ-AUTH-S1)。
3.一种用于管理运营商的电信网络的用户认证的装置(DGA),其特征在于该装置包括以下部件:
-一旦接收到所述用户对于该网络的运营商所提供的服务的接入请求,就发布包括以地点数据库为目的地的所述用户的标识符的认证服务器的标识请求;和
-一旦接收到包括与该用户的所述标识符关联的认证服务器的标识符的应答,就发布在所标识的服务器处认证用户的请求。
4.一种用于管理由电信网络的运营商提供的服务的接入的服务器(NAS1,NAS2,NAS1’,NAS2’),其特征在于该服务器包括根据权利要求1的用于管理用户认证的装置(DGA)。
5.一种用于存储电信网络的用户的认证地点的方法,其特征在于,该方法包括:在认证服务器对所述用户的成功认证之后,存储(F2)所述用户的至少一个标识符和所述认证服务器的标识符之间的关联性的步骤。
6.一种用于存储电信网络的用户的认证地点的装置(DM),其特征在于,该装置能够实现用于在认证服务器对所述用户的成功认证之后、在认证地点服务器(ALF 300,300’)中存储所述用户的至少一个标识符和所述认证服务器的标识符之间的关联性的部件。
7.一种用于请求接入电信网络的运营商所提供的服务的用户的认证服务器(AAA1,AAA2,pAAA1,pAAA2),其特征在于该服务器包括根据权利要求6的用于存储认证地点的装置。
8.一种电信网络(1,2)中的认证地点服务器(ALF 300,300’),其特征在于该服务器包括用于存储用户(UE 10)的标识符(user-ID)和认证服务器(AAA1)的标识符(AAA1-ID)之间的关联性的部件、以及用于获得响应于从用于管理对于该网络(1)所提供的服务的接入的服务器接收的请求而存储的关联性(ASS(user-ID,AAA1-ID))的部件。
9.一种运营商的电信网络(1,2),包括用于管理对于至少一个服务的接入的至少一个第一服务器(NAS1)、和用于管理对于运营商的至少一个服务的接入的至少一个第二服务器(NAS2,NAS3,NAS4)、和能够认证请求接入所述至少一个服务的用户(UE 10)的至少两个认证服务器(AAA1,AAA2),其特征在于该网络包括根据权利要求8的认证地点服务器(ALF300,300’),并且其特征在于该第一接入管理服务器和该第二接入管理服务器包括根据权利要求2的认证管理装置。
10.一种计算机程序产品,能够从通信网络下载和/或在能够由计算机读取的支持上存储和/或能够由微处理器运行,其特征在于该计算机程序产品包括用于运行根据权利要求1的用于管理用户认证的方法的计算机程序代码指令。
11.一种能够由其上记录有计算机程序的计算机读取的记录支持,该计算机程序包括用于运行根据权利要求1的用于管理用户认证的方法的步骤的指令。
12.一种计算机程序产品,能够从通信网络下载和/或在能够由计算机读取的支持上存储和/或能够由微处理器运行,其特征在于该计算机程序产品包括用于运行根据权利要求5的用于存储用户的认证地点的方法的程序代码指令。
13.一种能够由其上记录有计算机程序的计算机读取的记录支持,该计算机程序包括用于运行根据权利要求1的用于管理用户认证的方法的步骤的指令。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR0952064 | 2009-03-31 | ||
| FR0952064A FR2943881A1 (fr) | 2009-03-31 | 2009-03-31 | Procede et dispositif de gestion d'une authentification d'un utilisateur. |
| PCT/FR2010/050563 WO2010112741A1 (fr) | 2009-03-31 | 2010-03-26 | Procédé et dispositif de gestion d'une authentification d'un utilisateur |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102369750A true CN102369750A (zh) | 2012-03-07 |
| CN102369750B CN102369750B (zh) | 2017-10-03 |
Family
ID=41268274
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201080015530.3A Active CN102369750B (zh) | 2009-03-31 | 2010-03-26 | 用于管理用户的认证的方法和装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9113332B2 (zh) |
| EP (1) | EP2415294B1 (zh) |
| CN (1) | CN102369750B (zh) |
| FR (1) | FR2943881A1 (zh) |
| WO (1) | WO2010112741A1 (zh) |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103813332A (zh) * | 2013-12-10 | 2014-05-21 | 国家电网公司 | 基于多维异构网络的应急通信系统的用户接入管理方法 |
| CN107004316A (zh) * | 2014-12-02 | 2017-08-01 | 开利公司 | 利用自动移动凭证授予服务切换的进入控制系统 |
| CN107077128A (zh) * | 2014-09-15 | 2017-08-18 | Abb瑞士股份有限公司 | 控制工业设施中的现实世界对象 |
| CN107113234A (zh) * | 2014-11-05 | 2017-08-29 | 奥兰治 | 控制来自移动终端中的安全模块的通信量策略的方法 |
| CN108141760A (zh) * | 2015-08-05 | 2018-06-08 | 奥兰治 | 用于识别认证服务器的方法和设备 |
| CN109067788A (zh) * | 2018-09-21 | 2018-12-21 | 新华三技术有限公司 | 一种接入认证的方法及装置 |
| CN109891921A (zh) * | 2016-10-31 | 2019-06-14 | 瑞典爱立信有限公司 | 下一代系统的认证 |
| CN111543073A (zh) * | 2017-11-03 | 2020-08-14 | 联想(新加坡)私人有限公司 | 使用由区块链网络提供的连接信息的用户认证 |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8272046B2 (en) * | 2007-11-13 | 2012-09-18 | Cisco Technology, Inc. | Network mobility over a multi-path virtual private network |
| CN102098308B (zh) * | 2011-02-18 | 2014-07-23 | 杭州华三通信技术有限公司 | 一种Portal认证的方法和设备 |
| FR3004037A1 (fr) * | 2013-04-02 | 2014-10-03 | France Telecom | Procede de transport d'information de localisation au travers d'une authentification |
| WO2015078528A1 (en) * | 2013-11-29 | 2015-06-04 | Telefonaktiebolaget L M Ericsson (Publ) | Method and apparatus for an i-cscf to assign to a user equipment a s-cscf server in an ims system |
| FR3039954A1 (fr) | 2015-08-05 | 2017-02-10 | Orange | Procede et dispositif d'identification de serveurs d'authentification visite et de domicile |
| US10129238B2 (en) | 2016-02-10 | 2018-11-13 | Bank Of America Corporation | System for control of secure access and communication with different process data networks with separate security features |
| US10142347B2 (en) * | 2016-02-10 | 2018-11-27 | Bank Of America Corporation | System for centralized control of secure access to process data network |
| US11374935B2 (en) | 2016-02-11 | 2022-06-28 | Bank Of America Corporation | Block chain alias person-to-person resource allocation |
| US10762504B2 (en) | 2016-02-22 | 2020-09-01 | Bank Of America Corporation | System for external secure access to process data network |
| US20170366545A1 (en) * | 2016-06-18 | 2017-12-21 | Lior Malka | Sealed network external applications |
| US10402796B2 (en) | 2016-08-29 | 2019-09-03 | Bank Of America Corporation | Application life-cycle transition record recreation system |
| CN107864475B (zh) * | 2017-12-20 | 2021-05-28 | 中电福富信息科技有限公司 | 基于Portal+动态密码的WiFi快捷认证方法 |
| CN113873522B (zh) * | 2021-09-13 | 2023-07-21 | 中国电子科技集团公司第三十研究所 | 一种能支持国际漫游的广域移动通信安全专网构建方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1716856A (zh) * | 2004-06-28 | 2006-01-04 | 株式会社Ntt都科摩 | 认证方法、终端装置、中继装置以及认证服务器 |
| US20070220598A1 (en) * | 2006-03-06 | 2007-09-20 | Cisco Systems, Inc. | Proactive credential distribution |
| CN101223755A (zh) * | 2005-07-19 | 2008-07-16 | 艾利森电话股份有限公司 | 在ims中分配应用服务器的方法和装置 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0014759D0 (en) * | 2000-06-17 | 2000-08-09 | Hewlett Packard Co | Service delivery method and system |
| JP2003016295A (ja) * | 2001-06-28 | 2003-01-17 | Nec Corp | オンラインショッピング方法及びそのシステム並びにプログラム |
| DE60131534T2 (de) * | 2001-09-04 | 2008-10-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Umfassender Authentifizierungsmechanismus |
| US7293096B1 (en) * | 2001-09-28 | 2007-11-06 | Cisco Technology, Inc. | Maintaining a common AAA session id for a call over a network |
| KR100454680B1 (ko) * | 2002-11-07 | 2004-11-03 | 한국전자통신연구원 | Aaa 프로토콜 기반의 배치처리 과금방법 |
| CN1265607C (zh) * | 2003-12-08 | 2006-07-19 | 华为技术有限公司 | 无线局域网中业务隧道建立的方法 |
| US7551926B2 (en) * | 2004-10-08 | 2009-06-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Terminal-assisted selection of intermediary network for a roaming mobile terminal |
| KR100762644B1 (ko) * | 2004-12-14 | 2007-10-01 | 삼성전자주식회사 | Wlan-umts 연동망 시스템과 이를 위한 인증 방법 |
| US7784092B2 (en) * | 2005-03-25 | 2010-08-24 | AT&T Intellectual I, L.P. | System and method of locating identity providers in a data network |
| US7263353B2 (en) * | 2005-06-29 | 2007-08-28 | Nokia Corporation | System and method for automatic application profile and policy creation |
| US8099597B2 (en) * | 2007-01-09 | 2012-01-17 | Futurewei Technologies, Inc. | Service authorization for distributed authentication and authorization servers |
| US20090064291A1 (en) * | 2007-08-28 | 2009-03-05 | Mark Frederick Wahl | System and method for relaying authentication at network attachment |
| EP2037712B1 (en) * | 2007-09-14 | 2011-07-27 | Huawei Technologies Co., Ltd. | Method, apparatus and system for obtaining MIH (Media Independent Handover) service information |
| US20090089866A1 (en) * | 2007-09-27 | 2009-04-02 | Akifumi Yato | Access authorization system, access control server, and business process execution system |
| US8990349B2 (en) * | 2008-02-12 | 2015-03-24 | International Business Machines Corporation | Identifying a location of a server |
| US9736153B2 (en) * | 2008-06-27 | 2017-08-15 | Microsoft Technology Licensing, Llc | Techniques to perform federated authentication |
-
2009
- 2009-03-31 FR FR0952064A patent/FR2943881A1/fr active Pending
-
2010
- 2010-03-26 EP EP10716587.0A patent/EP2415294B1/fr active Active
- 2010-03-26 WO PCT/FR2010/050563 patent/WO2010112741A1/fr active Application Filing
- 2010-03-26 US US13/262,171 patent/US9113332B2/en active Active
- 2010-03-26 CN CN201080015530.3A patent/CN102369750B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1716856A (zh) * | 2004-06-28 | 2006-01-04 | 株式会社Ntt都科摩 | 认证方法、终端装置、中继装置以及认证服务器 |
| CN101223755A (zh) * | 2005-07-19 | 2008-07-16 | 艾利森电话股份有限公司 | 在ims中分配应用服务器的方法和装置 |
| US20070220598A1 (en) * | 2006-03-06 | 2007-09-20 | Cisco Systems, Inc. | Proactive credential distribution |
Cited By (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103813332A (zh) * | 2013-12-10 | 2014-05-21 | 国家电网公司 | 基于多维异构网络的应急通信系统的用户接入管理方法 |
| CN103813332B (zh) * | 2013-12-10 | 2016-10-26 | 国家电网公司 | 基于多维异构网络的应急通信系统的用户接入管理方法 |
| CN107077128B (zh) * | 2014-09-15 | 2019-07-26 | Abb瑞士股份有限公司 | 控制工业设施中的现实世界对象 |
| CN107077128A (zh) * | 2014-09-15 | 2017-08-18 | Abb瑞士股份有限公司 | 控制工业设施中的现实世界对象 |
| CN107113234A (zh) * | 2014-11-05 | 2017-08-29 | 奥兰治 | 控制来自移动终端中的安全模块的通信量策略的方法 |
| CN107113234B (zh) * | 2014-11-05 | 2020-12-01 | 奥兰治 | 控制来自移动终端中的安全模块的通信量策略的方法 |
| CN107004316A (zh) * | 2014-12-02 | 2017-08-01 | 开利公司 | 利用自动移动凭证授予服务切换的进入控制系统 |
| CN107004316B (zh) * | 2014-12-02 | 2021-01-08 | 开利公司 | 利用自动移动凭证授予服务切换的进入控制系统 |
| CN108141760A (zh) * | 2015-08-05 | 2018-06-08 | 奥兰治 | 用于识别认证服务器的方法和设备 |
| CN108141760B (zh) * | 2015-08-05 | 2021-02-12 | 奥兰治 | 用于识别认证服务器的方法和设备 |
| CN109891921A (zh) * | 2016-10-31 | 2019-06-14 | 瑞典爱立信有限公司 | 下一代系统的认证 |
| CN109891921B (zh) * | 2016-10-31 | 2022-03-01 | 瑞典爱立信有限公司 | 下一代系统的认证的方法、装置和计算机可读存储介质 |
| CN111543073A (zh) * | 2017-11-03 | 2020-08-14 | 联想(新加坡)私人有限公司 | 使用由区块链网络提供的连接信息的用户认证 |
| CN111543073B (zh) * | 2017-11-03 | 2023-10-13 | 联想(新加坡)私人有限公司 | 用于用户认证的装置和方法 |
| CN109067788A (zh) * | 2018-09-21 | 2018-12-21 | 新华三技术有限公司 | 一种接入认证的方法及装置 |
| CN109067788B (zh) * | 2018-09-21 | 2020-06-09 | 新华三技术有限公司 | 一种接入认证的方法及装置 |
| US11743258B2 (en) | 2018-09-21 | 2023-08-29 | New H3C Technologies Co., Ltd. | Access authenticating |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2943881A1 (fr) | 2010-10-01 |
| EP2415294B1 (fr) | 2017-08-30 |
| EP2415294A1 (fr) | 2012-02-08 |
| CN102369750B (zh) | 2017-10-03 |
| US20120096529A1 (en) | 2012-04-19 |
| WO2010112741A1 (fr) | 2010-10-07 |
| US9113332B2 (en) | 2015-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102369750A (zh) | 用于管理用户的认证的方法和装置 | |
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| CN100459735C (zh) | 用于在因特网协议网络环境中推送数据的系统和方法 | |
| CN101036353B (zh) | 用于把鉴权、授权和/或计帐消息通过多个中间网络从归属服务网络路由到漫游网络的方法、设备及系统 | |
| CN101036354B (zh) | 用于把鉴权、授权和/或计帐消息通过多个中间网络从漫游网络路由到归属网络的方法、设备及系统 | |
| US9219717B2 (en) | Methods and systems for registering a packet-based address for a mobile device using a fully-qualified domain name (FQDN) for the device in a mobile communication network | |
| US8949602B2 (en) | Method and apparatus for authenticating per M2M device between service provider and mobile network operator | |
| US8880688B2 (en) | Apparatus and method for providing profile of terminal in communication system | |
| US8150317B2 (en) | Method and system for managing mobility of an access terminal in a mobile communication system using mobile IP | |
| US9548983B2 (en) | Cross access login controller | |
| CN102783218B (zh) | 用于重定向数据业务的方法和装置 | |
| JP2005339093A (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| CN105830414A (zh) | 使用凭证的安全的网络接入 | |
| CN104956638A (zh) | 用于在热点网络中未知设备的受限证书注册 | |
| WO2007106620A2 (en) | Method for authenticating a mobile node in a communication network | |
| WO2014183260A1 (zh) | 漫游场景下的数据业务处理方法、装置和系统 | |
| CN105612508A (zh) | 用于在分布式演进型分组核心网络架构中进行信号中介的系统和方法 | |
| US8054805B2 (en) | Method, apparatus and system for obtaining MIH service information | |
| CN106686592B (zh) | 一种带有认证的网络接入方法及系统 | |
| CN101569216B (zh) | 移动电信系统和方法 | |
| JP5930438B2 (ja) | アクセス方法、モビリティ管理デバイス、およびユーザ機器 | |
| CN102149172A (zh) | 接入网关选择的方法、设备和系统 | |
| US8402167B2 (en) | Method and device for invoking USI | |
| CN104168564A (zh) | 基于gprs网络和一体化标识网络的认证方法和装置 | |
| JP6153622B2 (ja) | インターネットプロトコルマルチメディアサブシステム端末のネットワークへのアクセス方法及び装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |