CN107040389B - 用于认证、授权和计费协议的结果报告 - Google Patents
用于认证、授权和计费协议的结果报告 Download PDFInfo
- Publication number
- CN107040389B CN107040389B CN201611158918.4A CN201611158918A CN107040389B CN 107040389 B CN107040389 B CN 107040389B CN 201611158918 A CN201611158918 A CN 201611158918A CN 107040389 B CN107040389 B CN 107040389B
- Authority
- CN
- China
- Prior art keywords
- message
- result
- server
- network access
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1403—Architecture for metering, charging or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/50—Network service management, e.g. ensuring proper service fulfilment according to agreements
- H04L41/5003—Managing SLA; Interaction between SLA and QoS
- H04L41/5009—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF]
- H04L41/5012—Determining service level performance parameters or violations of service level contracts, e.g. violations of agreed response time or mean time between failures [MTBF] determining service availability, e.g. which services are available at a certain point in time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开涉及用于认证、授权和计费协议的结果报告。总体上描述了这样一种技术,该技术用于通过认证、授权和计费(AAA)协议报告提供的结果。包括控制单元的授权服务器可被配置为执行这些技术。控制单元可授权网络接入服务器以允许端点设备根据网络接入协议接入一个或多个服务。控制单元还可根据网络接入协议从网络接入服务器请求关于一个或多个已授权的服务当前是否被提供给端点设备使用的结果。
Description
技术领域
本发明涉及计算机网络,具体而言,涉及计算机网络接入控制。
背景技术
通常,诸如企业和包括服务提供商的其他组织的实体实现网络接入控制,以便控制端点设备在计算机网络上通信的能力。为了实现网络接入控制,实体通常采用网络接入服务器,诸如交换机,防火墙或宽带网络网关(也可被称为宽带远程接入服务器),所述接入服务器通信地耦接至认证服务器。
认证服务器可使用远程认证拨号用户服务(RADIUS)协议或任何其他认证、授权和计费(AAA)协议。RADIUS服务器通常由互联网服务提供商(ISP)、蜂窝网络提供商以及公司和教育网络使用。RADIUS协议在RADIUS客户端和RADIUS服务器之间承载认证(在允许用户或设备接入网络之前认证用户或设备)、授权(授权那些用户或设备用于特定网络服务)和计费(记账和跟踪用户对那些服务的使用)的信息。信息通过RADIUS消息在RADIUS客户端和RADIUS服务器之间交换。
当端点设备第一次尝试接入网络时,网络接入服务器(NAS)要求端点设备提供认证信息。通常,认证信息包括用户输入的密码。在从端点设备接收到密码时,NAS根据诸如RADIUS协议的认证协议与认证服务器交互以确定端点设备是否被允许接入网络。
在用户被认证之后,NAS可从认证服务器调取用户的服务。NAS可尝试为用户提供服务。在一些情况下,由于动态授权变更(CoA),NAS可能无法在登录之后或稍后为用户提供服务。在未提供服务的情况下,用户可能不能接入用户已经付费的服务,从而导致令人沮丧的用户体验。当用户联系以解释为什么不提供各种服务时,服务提供商可能不能容易地标识哪些服务已经被提供以及为什么不提供各种服务。
发明内容
总体上描述了这样的一些技术,这些技术用于使网络接入设备(也可被称为网络接入服务器)将服务应用的结果/状态报告给认证服务器(例如,远程认证拨号用户服务(Remote Authentication Dial In User Service)(RADIUS)服务器)或授权变更(changeof authorization)(CoA)授权设备。这些技术可使得RADIUS服务器和/或CoA授权设备(也可被称为“认可授权(authorization authority)”或“CoA授权”)能够生成并发送授权消息至网络接入服务器(NAS),请求NAS提供先前授权请求的结果和/或提供给特定端点设备的服务的状态。NAS可用响应消息来响应授权消息,所述响应消息标识提供给特定端点设备的服务。
由于例如NAS处的问题,所述技术可促进服务提供周围的问题中的标识。响应于结果响应消息,RADIUS服务器或CoA授权可执行某种形式的校正动作。例如,当在为端点设备授权的RADIUS服务和当前提供给端点设备的服务之间存在差异时,RADIUS服务器可撤销端点设备对非提供服务的授权、利用动态授权、记录问题和/或警告请求设备(例如,计费服务器或网络提供设备)或端点设备:当前未提供或者先前未提供某个服务或服务组。
在一个方面中,一种在网络中操作授权服务器的方法包括:通过授权服务器授权网络接入服务器以允许端点设备根据网络接入协议接入一个或多个服务;并且通过所述授权服务器并根据所述网络接入协议,从所述网络接入服务器请求关于所述一个或多个已授权的服务当前是否被提供给所述端点设备使用的结果。
在另一方面中,授权服务器包括控制单元,该控制单元被配置为授权网络接入服务器以允许端点设备根据网络接入协议来接入一个或多个服务;并且根据网络接入协议从网络接入服务器请求关于一个或多个已授权的服务当前是否被提供给所述端点设备使用的结果,该结果。
在另一方面中,一种网络接入服务器包括:接口,该接口被配置为从授权服务器接收授权以允许端点设备根据网络接入协议接入一个或多个服务;以及控制单元,该控制单元被配置为确定一个或多个已授权的服务的提供结果。所述接口进一步被配置为根据网络接入协议向授权服务器报告确定的结果。
在另一方面中,操作网络接入服务器的方法包括:从授权服务器接收授权以允许端点设备根据网络接入协议来接入一个或多个服务;确定一个或多个已授权的服务的提供结果;并且根据网络接入协议将所确定的结果报告给授权服务器。
在附图和下面的描述中阐述了本发明的一个或多个实施例的细节。从说明书和附图以及从权利要求书中,本发明的其它特征、目的和优点将是显而易见的。
附图说明
图1是示出示例性网络系统的框图,所述网络系统被配置为执行本公开中描述的结果查询和报告技术的各个方面。
图2是更详细地示出图1的网络接入服务器和认证服务器之间的实例交互的框图。
图3是示出根据本公开中描述的技术的各个方面用于查询和报告服务提供结果的实例消息的格式的视图。
图4是示出图1的网络接入设备和认证服务器之间的实例交互的视图,从用于提供服务授权的推送机制转换到用于接收服务授权的调取机制以便根据本公开中描述的技术的各个方面执行结果查询。
图5是示出网络接入设备和授权设备在执行本公开中描述的结果查询和报告技术的各个方面的示例性操作的流程图。
具体实施方式
图1是示出示例性网络系统10的框图,所述网络系统10被配置为执行本公开中描述的结果查询和报告技术的各个方面。网络系统10,如图1所示,该网络系统包括网络12,该网络的边缘位于网络接入服务器14(也可被称为网络接入设备14)处以控制对网络的接入。在内部中,认证与授权服务器16耦接至数据库18以提供用户和/或端点设备的认证。网络接入服务器14经由链路20A耦接至认证与授权服务器16,链路通常可表示与企业关联的安全局域网(LAN)。认证与授权服务器16一般还被示为经由链路20B耦接至数据库18。数据库18例如也可驻留在企业的安全LAN内。可替代地,数据库18可由认证与授权服务器16本地存储。计费服务器17经由链路20D耦接至网络接入服务器14。可替代地,计费服务器17可在与网络接入服务器14相同的设备上实现。网络系统10进一步包括端点设备22,用户34与端点设备22交互,以便经由链路20C与网络接入服务器14接口。
网络12可包括能够发送数据的任何类型的网络,诸如在一个或多个层二(L2)网络(例如,以太网或多分组标签交换(MPLS)网络)上操作的层三(L3)分组交换网络(例如互联网)。通常,网络12包括企业网络,或者换句话说,企业拥有并操作以促进企业内通信的网络。在本公开中对层的引用应被解释为对开放系统互连(OSI)参考模型或简称为OSI模型的层的引用。
因为企业维持网络(enterprise maintains network)12以促进企业内通信,其中一些可能是敏感的或机密的,因此网络12可使用网络接入服务器14来控制位于网络12外部的远程设备对网络12的接入,诸如端点设备22。网络接入服务器14通过拒绝端点设备22对网络12的接入来控制对网络12的接入,除非直到端点设备22被网络接入服务器14正确认证,该网络接入服务器14与认证与授权服务器16一起操作。网络接入服务器14可包括例如宽带网络网关(BNG)、宽带远程接入服务器(BRAS)、L2交换机、防火墙或任何能够允许或拒绝对本文所述的端点设备22的网络接入的其他设备。关于网络接入服务器的更多信息可在2000年7月题为“Network Access Server Requirements Next Generation(NASREQNG)NASModel”的请求注解(Request for Comments)(RFC)2881中找到,其全部内容通过引用并入本文。
网络12进一步使用认证与授权服务器16来促进诸如端点设备22的设备的认证。认证与授权服务器16从网络接入服务器14接收认证请求并提供服务。也就是说,认证与授权服务器16负责对由端点设备22提供的认证信息的认证并将认证结果返回给网络接入设备14。认证与授权服务器16可包括远程接入拨号用户服务(RADIUS)或直径服务器(diameterserver),所述直径服务器根据在以下RFC中描述的RADIUS协议操作:2000年6月题为“Remote Authentication Dial In User Service(RADIUS)”的请求注解(RFC)2865,2012年10月题为“Diameter Base Protocol”的请求注解(RFC)6733和/或2015年4月题为“Support of Fragmentation of RADIUS Packets”的RFC 7499,通过引用将其全部内容并入本文中。
尽管图1中未示出,但是认证与授权服务器16可通过接收和服务源自这些其它网络接入设备的认证请求来向类似于网络接入服务器14的多个其他网络接入服务器提供认证服务。尽管主要关于RADIUS协议进行描述,但是可相对于其他认证协议(例如:直径(diameter))利用本公开的原理。关于直径的更多信息可在2008年1月题为“DynamicAuthorization Extensions to Remote Authentication Dial In User Service(RADIUS)”的RFC 5176中找到,通过引用将且其全部内容并入本文中。
数据库18包括用于存储认证信息(即,用于服务来自网络接入设备14的认证请求所必需的信息和数据)的数据库。数据库18还可包括授权信息,例如要提供哪些服务。这些服务可在接受接入(Access-Accept)和/或CoA请求消息期间发送。数据库18可在RADIUS和CoA之间共享。可替代地,数据库18可专门由RADIUS或CoA使用。数据库18可与认证与授权服务器16分开地驻留,如图1所示,或者可与认证与授权服务器16集成或集成到认证与授权服务器16中,这样认证与授权服务器16本地包括数据库18。数据库18可包括平面文件数据库、结构化查询语言(SQL)数据库、Kerberos数据库、轻量级目录接入协议(LDAP)数据库或活动目录数据库。
端点设备22可包括笔记本计算机、台式计算机、工作站、个人数字助理(PDA)、蜂窝电话、因特网协议(IP)电话(例如,能够经由语音IP(VoIP)协议通信的电话)或任何能够接入网络12的其它设备。端点设备22在这里被称为“端点(endpoint)”,因为设备22表示用户与之直接交互的端点。也就是说,端点设备22包括网页浏览器32或用户34与其交互以接入网络12的其它高级软件应用。网页浏览器32可包括能够基于超文本传输协议(HTTP)消息,以及可能的各种其他协议消息接受、解释和呈现图形显示的任何一组可执行软件指令。实例网页浏览器(web browser)包括Microsoft Internet ExplorerTM网页浏览器、NetscapeTM网页浏览器、OperaTM网页浏览器、FirefoxTM网页浏览器和SafariTM网页浏览器。虽然本文中参考网页浏览器32进行了描述,但是端点设备22可经由其他应用和/或硬件来接入网络12,诸如通过文件传输协议(FTP)终端、电子邮件(e-mail)应用和终端仿真器(例如,secureCRT)。
用户34可与网页浏览器32交互以经由网络接入服务器14接入网络12的网络资源(例如,视频点播、电子邮件、存储在计费服务器17处的计费数据库等)。端点设备22可,为了接入网络12,使用接入证书来发送请求以得到接入特定网络资源,所述接入证书通常包括由用户34提供的用户名和密码或安全证书。端点设备22可经由诸如点对点协议(PPP)的链路层协议或者经由HTTPS安全web表单将证书传输到网络接入服务器14。
在接收到证书时,网络接入服务器14可发送RADIUS接入请求(Access-Request)消息至认证与授权服务器16。RADIUS接入请求消息可请求授权,以便经由RADIUS协议授予对用户34所请求的服务的接入。接入请求消息可包括接入证书以及网络接入服务器14可被配置为提供关于用户34的其他信息,诸如与端点设备22关联的网络地址,与用户34关联的电话号码和/或关于到网络接入服务器14的物理附接点的其他信息。
认证与授权服务器16可接收接入请求,并使用认证方案来验证包括接入证书的信息是正确,所述认证方案诸如密码认证协议(PAP)、抢占握手认证协议(CHAP)或可扩展认证协议(EAP)。认证与授权服务器16还可验证经由接入请求消息提供的任何其他信息,诸如网络地址、电话号码或附接点。认证与授权服务器16可进一步验证与用户34相关联的帐户状态并确定用户34已订阅的网络服务。认证与授权服务器16可与数据库18接口以执行证书验证并确定用户34已经订阅的网络服务。
在认证与授权服务器16不能验证由用户34提供的接入证书的情况下,认证与授权服务器16可生成拒绝接入(Access-Reject)消息,以指示用户34被拒绝接入所有请求的网络服务的。对于一些用户,认证与授权服务器16可发出请求来自用户34的附加信息的接入身份验证(Access-Challenge)消息,其中该附加信息可包括次要密码、个人识别码(PIN)、令牌或卡。在认证与授权服务器16能够验证用户34提供的接入证书的情况下,认证与授权服务器16可生成接受接入消息,授予用户34接入所请求的网络服务。在这方面,认证与授权服务器16可认证用户34并授权用户34接入所请求的服务。
假设接入证书被认证,认证与授权服务器16发送接受接入消息至网络接入服务器14。接受接入消息可包括授权属性(以属性值对的形式,其可表示为“AVP”),该属性规定了授予的接入条款。例如,授权属性可包括要分配给用户的特定互联网协议(IP)地址,应当从该地址库选择用户的IP地址,用户34可保持连接的最大时间长度、用户34已经预订的服务和各种其它连接参数诸如层二隧道协议(L2TP)参数、虚拟局域网(VLAN)参数和服务质量(QoS)参数。
网络接入服务器14可接收接受接入消息,提供已授权的服务给接受接入消息中列出的用户34使用,并且在服务的使用期间根据在接受接入消息中提出的属性提供策略强制。一旦服务被提供或以其它方式提供给用户34使用,用户34可表明端点设备22接入授权的服务(例如,经由网页浏览器32)。
在认证接入证书之后,认证与授权服务器16可动态地更新或改变提供给用户34的服务。上述RFC 5176提供动态授权登录后时间,其将授权变更(CoA)推送到已经登录的用户(是指接入证书已经认证的用户的另一种方式),经由从认证与授权服务器16到网络接入服务器14的CoA请求(CoA-Request)消息以及从网络接入服务器14到认证与授权服务器16的CoA应答(CoA-Acknowledgement)(CoA-ACK)消息。
在RFC 5176的语境中,认证与授权服务器16可操作为动态授权客户端(DAC)(也可被称为“CoA授权”)和RADIUS服务器。尽管被描述为操作为CoA授权和RADIUS服务器,但是认证与授权服务器16可仅用作RADIUS服务器或CoA授权而不是两者。如RFC 5176中所述,DAC不一定必须与RADIUS认证或计费服务器共存,可与RADIUS认证和/或计费服务器分离。就认证与授权服务器16被示出和描述为CoA授权和RADIUS服务器而言,这样的图示和描述仅仅是为了便于说明的目的。
在这方面,RFC 2186提供了调取机制(pull mechanism),通过该调取机制,网络接入服务器14在用户认证期间从认证与授权服务器16检索或调取服务。但是,RFC 5176提供了推送机制(push mechanism),通过该推送机制,认证与授权服务器16动态地提供或者换句话说在用户已经被认证之后将服务从认证与授权服务器16推送到网络接入服务器14。
RFC 7499为允许分组分段的RADIUS协议提供了附加层。在RFC 2186和5176中陈述的RADIUS协议可能仅支持高达4096字节的分组大小。RFC 7499在登录时间期间(意味着当来自用户34的接入证书被认证时)提供大的RADIUS分组的分段。因此,根据RFC 7499的分段可利用调取机制。RFC 7499可使用CoA请求消息通过从RFC 5176的推送机制转换到调取机制来适应动态CoA,所述CoA请求消息包括“Authorize-Only(仅授权)”的“Service-Type(服务类型)”。Authorize-Only的Service-Type可表明用于用户34的会话需要被重新授权,从而要求用户34重新输入接入证书(或者当重新授权被自动化时端点设备22)并且根据RFC2186发出接入请求消息。认证与授权服务器16可在转换到调取机制之后执行分段,并且当大小超过4096字节时将接受接入消息分段。
以这种方式,网络接入服务器14和认证与授权服务器16可促进用户34被授权接入的服务的传送。认证与授权服务器16可表示一种设备,该设备被配置为授权网络接入服务器14,允许端点设备22根据网络接入协议(例如,RADIUS协议)接入一个或多个服务。网络接入服务器14可表示一种设备,该设备被配置为响应于授权提供(或者换句话说,提供)一个或多个服务给端点设备22使用。
在服务传送期间,网络接入服务器14可与计费服务器17通信,并向计费服务器17报告服务使用和其他计费信息。网络接入服务器14可向计费服务器17报告开始、停止和/或临时计费信息,其取决于网络接入服务器14和/或计费服务器17的配置。针对任何给定服务报告的开始值可表明服务已经被成功提供,而针对任何给定服务报告的停止值可表明服务被禁用。关于根据RADIUS协议提供的计费的更多信息可在2000年6月题为“RADIUSAccounting”的RFC 2866中找到,其全部内容通过引用并入本文。
虽然网络接入服务器14可向计费服务器17报告关于服务传递的计费信息,但是当采用调取机制时,网络接入服务器14通常不将为特定用户34提供的服务的状态报告回认证与授权服务器16。换句话说,当采用调取机制RFC 2865或7499时,认证与授权服务器16通常不知道已经提供了哪些服务。RFC 5176提供了网络接入服务器14对服务的一般确认。也就是说,认证与授权服务器16可在CoA请求中表明一个或多个服务被更新,添加或移除。网络接入服务器14可用表明所有服务被更新,添加或移除的CoA-ACK来响应或用表明一个或多个服务未被更新,添加或移除的CoA否定应答(CoA-negative acknowledgement)(CoA-NAK)来响应。
由于一般缺乏对调取机制的状态报告,一些服务提供商已经诉诸经由拉动机制为其用户提供服务,之后几乎在提供服务之后立即执行CoA,根据推送机制RFC 5176再次提供服务,以便接收CoA-ACK,以指示所有服务已被一般地提供。但是,考虑到服务数量的增长(以及由此产生的增加的接受接入消息的大小),服务提供商可能不能依赖于推送机制用于总体状态,假定分组分段当前不允许用于推送机制RFC 5176。
此外,推送机制可能不是那些不具有共处的认证服务器和CoA授权的服务提供商容易获得的。换句话说,当CoA授权不与认证服务器共处时,用于推送机制的配置可能是复杂的。在该上下文中,CoA授权可能需要从认证数据库获取服务,并将CoA从CoA授权提供给网络接入服务器14。
在这方面中,有两种方式来收集服务状态。一个涉及计费消息,哪些服务提供商可能对收集或配置(特别是当服务提供商远离基于长途的订阅)不感兴趣。此外,当计费服务器17与认证服务器分离时,关于服务状态的计费信息对于负责提供服务的网络管理员可能不容易获得(例如,由于网络接入限制,阻止非计费雇员查看计费信息)。此外,根据配置,服务可在与计费不同的级别上附加(例如,可在底层PPP接口处启用计费,而服务可在动态主机配置协议(DHCP)用户处附加),这可进一步使得计费信息难以获得和/或关于单独的服务提供状态不准确。
另一种方式涉及CoA推送机制,其提供服务的一般确认但是其不允许分组分段,并且对于不具有共处的CoA权限和认证服务器的网络架构实施来说可能是麻烦的。此外,当动态地采用CoA推送机制时,网络接入服务器14可能不发送表明服务的开始和停止的计费消息。
根据本公开中所描述的技术,授权服务器16可根据RADIUS协议请求来自网络接入服务器14的结果,所述结果关于一个或一个以上经授权服务是否当前被提供给端点设备22使用。授权服务器16可在用户34的登录期间或在用户34的登录之后请求结果。在用户34的登录期间,授权服务器16可生成如上所述的接受接入消息。但是,接受接入消息还可包括授权服务器16可与“Result-Request”的值一起指定的“结果”消息属性。
网络接入服务器14可从认证与授权服务器16接收接受接入消息,并且确定提供一个或多个已授权的服务中的每一个的结果。如下面更详细描述的,接受接入消息可标识对其请求结果的每个服务(例如,通过服务集标识符)。网络接入服务器14可确定提供每个被标识的服务的结果,并且生成接入请求消息,该消息包括作为具有被设置为“Result-Success”或“Result-Failed”的值的消息属性的状态,这取决于是否所有的服务被成功地提供(“Result-Success”)或者是否任何一个服务没有被成功提供(“Result-Failed”)给端点设备22使用。以这种方式,网络接入服务器14可根据RADIUS协议向授权服务器16报告所确定的结果。
在这方面,由于例如网络接入服务器14处的问题,这些技术可促进在服务提供周围的问题的标识。认证与授权服务器16可响应于接入请求消息(其可更一般地称为“结果消息”或“结果响应消息”)执行某种形式的校正动作。例如,当认证与授权服务器16授权给端点设备22的服务与当前通过网络接入设备14提供给端点设备22的服务之间存在差异时,认证与授权服务器16可撤销对端点设备22授权非提供的服务,利用动态授权,记录问题和/或警告请求设备(例如,网络管理设备或网络提供设备,为了便于说明的目的未示出)或端点设备22,某些服务或服务组目前未被提供或以前未被提供。
图2是更详细示出图1的网络接入服务器14与认证与授权服务器16之间的实例交互的框图。如图2所示,网络接入设备14和认证与授权服务器16都包括各自的控制单元44A,44B(“控制单元44”)和接口46A和46B。
控制单元44中的每一个可表示硬件或硬件和软件的组合。作为一个实例,控制单元44每个可包括一个或多个处理器和一个或多个存储器。存储器可表示存储指令或其他命令的非暂时性计算机可读存储介质。当由一个或多个处理器执行时,指令可使一个或多个处理器执行本公开中描述的技术的各个方面。作为另一个实例,控制单元44每个可表示能够执行本发明中所描述的技术的固定硬件逻辑。如下面详细描述的,控制单元44可示各种各样的设备或装置。接口46A和46B每个可表示接口卡、网络接口卡或其他类型的接口,通过这些接口可经由网络无线地或有线地发送消息。
每个控制单元44包括RADIUS协议模块50(“RADIUS协议50”)。认证与授权服务器16的控制单元44B进一步包括数据库协议模块52(“数据库协议52”)。RADIUS协议模块50表示认证、授权和计费(AAA)协议或更一般地认证协议的示例性实例。RADIUS协议50实现AAA事务,网络接入设备14可通过该事务来认证与授权端点设备,诸如图1的端点设备22。因为认证与授权服务器16包括RADIUS协议50,并根据RADIUS协议50操作,认证与授权服务器16可被称为“RADIUS服务器”。数据库协议52通常表示用于与数据库18通信的模块,并且可实施SQL或用于制定检索存储到数据库18的信息的请求的其他数据库语言。
如上所述,网络接入设备14可从端点设备22接收接入服务的请求。该请求可包括接入证书。响应于该请求,网络接入设备14的控制单元44A可调用RADIUS协议模块50。控制单元44A的RADIUS协议模块50可生成接入请求消息200,该消息代表端点设备22请求接入服务并且提供接入证书以便促进认证。RADIUS协议模块50可经由接口46A向认证与授权服务器16发送接入请求消息200。认证与授权服务器16可经由接口46B接收接入请求消息200。认证设备16的控制单元44B可响应于接收接入请求消息200而调用RADIUS协议模块50。控制单元44B的RADIUS协议模块50可处理接入请求消息200,基于所提供的接入证书通过经由数据库协议模块52与数据库18交互来认证用户34。
假设用户34被成功认证,控制单元44B的RADIUS协议模块50可检索将为其提供用户34的一个或多个服务。RADIUS协议模块50可生成接受接入消息202,以包括要为其提供用户34的一个或多个服务。RADIUS协议模块50还可包括具有“Result-Request”的值的“结果”消息属性,以从网络接入服务器14请求结果,该结果关于一个或多个已授权的服务当前是否被提供给端点设备使用。控制单元44B的RADIUS协议模块50之后可经由接口46B向控制单元44A的RADIUS协议模块50发送接受接入消息202。
控制单元44A的RADIUS协议模块50可接收接受接入消息202.。RADIUS协议模块50可处理接受接入消息202以提取授权的服务220并且向服务提供模块54提供一个或多个授权的服务220。控制单元44A可包括服务提供模块54,服务提供模块54可表示被配置为提供一个或多个已授权的服务(例如授权的服务220)的模块。
服务提供模块54可提供授权的服务220并且向RADIUS协议模块50表明已经提供了服务。由于接受接入消息中指定的结果请求,RADIUS协议模块50接下来可查询服务提供模块54关于提供授权的服务220的结果。服务提供模块54之后可通过报告每个查询授权服务(即,本实例中的授权的服务220)的结果应答。服务提供模块54可利用结果222来应答查询。控制单元46A的RADIUS协议模块50可接收结果222并且基于结果222以接入请求消息204的形式生成结果消息,该消息包括具有值“Result-Success”或“Result-Failed”的“结果”消息属性。当结果222表明所有服务220被成功提供时,请求消息204包括具有值“Result-Success”的“结果”消息。当结果222表明服务220中的任何一个没有被成功提供时,请求消息204包括值为“Result-Failed”的“结果”消息。控制单元44A的RADIUS协议模块50经由接口46A将接入请求发送至控制单元44B的RADIUS协议模块50。
控制单元44B的RADIUS协议模块50可接收接入请求消息204并处理消息204以标识授权的服务220是否被成功地提供。控制单元44B的RADIUS协议模块50可基于授权的服务220是否被成功提供而以上述方式中的任一种来操作。RADIUS协议模块50可以确认消息来响应接入请求消息204,以接受接入消息206的形式,所述接受接入消息206包括具有值“Result-Received”的“结果”消息属性。
图3是示出根据本公开中描述的技术的各个方面的用于查询和报告服务提供的结果的实例消息300的格式的图。消息300可包括代码字段302、标识符字段304、长度字段306、认证器字段308和属性字段310。消息300可封装在用户数据报协议(UDP)分组的数据字段内。虽然关于UDP进行了描述,但是消息300可被封装到传输控制协议(TCP)分组或任何其他类型的分组的数据字段中。
代码字段302是一个八位字节,并且标识RADIUS分组的类型。当接收到具有无效代码字段302的分组时,可静默地丢弃该分组。频繁使用的分组类型码包括:接入请求(1)、接受接入(2)、拒绝接入(3)...CoA请求(43)、CoA-ACK(44)和CoA-NAK(45)。
2000年6月由互联网工程任务组(IETF)的网络工作组创作的题为“RemoteAuthentication Dial In User Service(RADIUS)”的RFC 2865描述了一种调取机制,其中网络接入服务器(NAS)通过引用并入本文,在登录时从RADIUS服务器调取用户的服务。RFC2865讨论了使用来自NAS的接入请求消息来为用户在登录时提取服务和来自RADIUS服务器的接受接入消息来提供服务列表。
标识符字段304可包括一个八位字节,并且可帮助匹配请求和应答。认证与授权服务器16可被配置为,当请求在短时间段内具有相同的源IP地址,源UDP端口和标识符304时检测重复请求。当消息300的发送方未接收到响应时,由于分组的重传,可能发生重复分组。每当属性字段310的内容改变时,或者每当已经接收到针对先前请求的有效应答时,标识符字段304可被改变。对于内容相同的重传,标识符304可保持不变。
长度字段306可包括两个八位字节。长度字段306可表明消息300的长度。消息300包括代码字段302、标识符字段304、长度字段306、认证字段308和属性字段310。长度字段306的范围之外的八位字节可被视为填充并且在接收时被忽略。当分组300比长度字段306表明短时,消息300可被丢弃。在使用RADIUS协议的实例中,最小长度为20字节,最大长度为4096字节。
认证器字段308可包括十六(16)个八位字节。可首先发送最显著的字节。存储到认证器字段308的值可用于认证客户端和服务器之间的分组。
属性字段310的长度可是可变的,并且包含零个或多个属性的列表。可用于结果报告的属性包括与NAS标识、会话标识、服务类型、代理状态、错误消息、状态消息、分组分段和结果信息相关的属性。
NAS标识属性可包括:
·NAS-IP地址-列出NAS 14的IPv4地址的4个八位字节属性;
·NAS-标识符-标识NAS 14的32个八位字节串;和
·NAS-IPv6地址-列出NAS 14的IPv6地址的95个八位字节属性。
会话标识属性可包括:
·User-Name-列出与一个或多个会话关联的用户名称的1个八位字节属性;
·NAS端口-列出终止会话端口的5个八位字节的属性。
·Framed-IP地址-列出与会话关联的IPv4地址的8个八位字节属性;
·Vendor-Specific-列出一个或多个提供商特定标识属性的26个八位字节属性;
·Called-Station-Id-列出会话连接到的链路地址的30个八位字节属性;
·Calling-Station-Id-列出一个或多个会话连接的链路地址的31个八位字节属性;
·Acct-Session-Id-列出唯一标识NAS上的会话的标识符的44个八位字节属性;
·Acct-Multi-Session-Id-列出唯一标识相关会话的标识符的50个八位字节属性;
·NAS-Port-Id-列出标识会话所在的端口的字符串的87个八位字节属性;
·Chargeable-User-Identity-列出与一个或多个会话关联的收费用户身份(CUI)的89个八位字节属性;
·这个属性可在使用隐私网络接入标识符(NAI)的地方使用,因为在这种情况下,用户名(例如,“匿名”)可能不标识属于给定用户的会话;
·Framed-Interface-Id-列出与会话关联的IPv6接口标识符的96个八位字节属性,可与Framed-IPv6-Prefix一起发送;以及
·Framed-IPv6-Prefix-列出与会话关联的IPv6前缀的97个八位字节属性,可与Framed-Interface-Id属性一起发送。
认证与授权服务器16可在例如用户最初登录(或获得授权)之后或者在初始化之后通过CoA请求来请求具有用于特定用户的先前提供的服务列表的状态或结果授权。结果属性:可使用Result-Request、Result-Success、Result-Failed和Result-Received。换句话说,认证与授权服务器16可在属性字段310中指定新属性。新属性(其也可被称为消息属性)可被定义为新属性值对(AVP),并且可被称为“结果属性”或“结果AVP”。
例如,认证与授权服务器16可利用具有Result-Request值(在例如接受接入消息内)的结果属性来向网络接入服务器查询先前(或同时)提供的被列为授权给特定用户使用的服务是否被提供给该用户。网络接入服务器14可利用具有Result-Success或Result-Failed值(在例如接入请求消息内)的结果属性来分别报告授权的服务220是否被成功地提供给认证与授权服务器16,所有授权的服务被提供给用户或者至少一个授权服务未被提供给用户。作为响应,认证与授权服务器16可使用具有Result-Received值的结果属性来确认Result-Success或Result-Failed。在每种情况下,结果属性在消息300的属性字段310中定义。
当网络接入服务器14找到所提议的属性Result-Request时,网络接入服务器14可发起具有与初始接入请求相同的Service-Type的另一接入请求(例如,登录,在登录时或对于CoA,Authorize-Only),并且可包括具有值为Result-Success或Result-Failed的提出的属性结果。之后,当结果属性的值为Result-Failed时,网络接入服务器14可包括具有错误原因的错误-原因属性。
网络接入服务器14还可包括服务列表,该列表在具有Result-Failed属性的接入请求分组中已经失败。网络接入服务器14可指定作为提供商特定属性(VSA)的一部分已经失败的服务的列表。因为RADIUS是步骤锁协议,所以认证与授权服务器16可发送具有相同Service-Type的最终接受接入消息,并且包括具有值Result-Received的结果属性。在这方面,这些技术可帮助RADIUS(和其他AAA协议或网络接入协议)获得NAS已经发送请求的任何Service-Type的状态,而不是依赖于计费消息。
图4是示出图1的网络接入设备14与认证与授权服务器16之间的实例交互的视图,从用于提供服务授权的推送机制转换到用于接收服务授权的调取机制以便根据本公开中描述的技术的各个方面执行结果查询。当认证与授权服务器16想要查询服务提供结果,但关于根据关于服务提供的RFC 5176的推送机制操作时,认证与授权服务器16可发起从推送机制到调取机制的转换。认证与授权服务器16可执行该转换,这样可能发生消息分段,其仅在根据RFC 7499的调取机制中可用。在该实例中,为了便于说明的目的,假定用户34由“User-Name_1”标识,并且网络接入服务器14由“NAS ID”标识。
如图4的实例所示,认证与授权服务器16向网络接入服务器14发送CoA请求消息406(具有标识符ID_0)。请求消息406包括用户名(User-Name_1)、NAS ID、Service-Type(Authorize-Only)和状态(S_0)。消息406可由认证与授权服务器16(作为CoA授权鉴于认证与授权服务器16操作为RADIUS服务器和CoA授权)发送以改变认证、授权和计费(AAA)会话的属性,在会话已被认证或获得用户34或端点设备22的先前认证/登录的结果。认证与授权服务器16可响应于来自端点设备22的订阅改变而发送CoA请求406。
认证与授权服务器16可发送该CoA请求406以发起从RFC 5176中描述的推送机制到RFC 2865和7499中描述的调取机制的转换。认证与授权服务器16可通过指定具有值“Authorize-Only”的Service-Type属性发起该转换。“Authorize-Only”的Service-Type属性值可向网络接入服务器14表明相应的AAA会话必须被重新授权,要求用户34(或端点设备22,当认证被自动化时)重新输入接入证书。
作为响应,网络接入服务器14向认证与授权服务器16发送表示为“CoA-NAK 408”(具有标识符ID_0)的否定应答消息。CoA-NAK消息408包括用户名(User-Name_1)、NAS ID、Service-Type(仅授权)、错误消息(507:发起请求)和状态(S_0)。虽然以CoA-NAK消息的形式,使用该消息类型可表明正在基于“Authorize-Only”的服务类型发起CoA请求406,并且接入请求消息410随后,这样有效地从推送机制转换到允许分组分段的调取机制。
网络接入服务器14可发送接入请求消息410(具有标识符ID_1)。消息410可包括用户名(User-Name_1)、NAS ID、分段状态(Fragmentation-Supported)、Service-Type(Authorize-Only)和状态(S_0)。分段状态值“Fragmentation-Supported”警告认证与授权服务器16网络接入服务器14支持分组分段。
认证与授权服务器16可向网络接入服务器14发送接受接入消息412(具有标识符ID_1)。该消息可包括用户名(User-Name_1)、服务集(服务集1)、分段状态(More-Data-Pending(更多数据待定))、Service-Type(Additional-Authorization(附加授权))和状态(S_1)。这是三个消息412、416和420中的第一个,其包括用户的授权服务的列表。服务集合1可包括授权服务的属性。分段状态值“More-Data-Pending”可通知网络接入服务器14存在附加分组中以完全响应于接入请求消息410。
作为响应,网络接入服务器14可从认证与授权服务器16请求在接受接入消息412(具有标识符ID_2)的分段状态中所表明的附加数据。网络接入服务器14可通过以下方式请求附加数据:生成并发送接入请求消息414,该消息可包括用户名(User-Name_1)、分段状态(More-Data-Request)、Service-Type(Additional-Authorization)和状态(S_1)。当接受接入消息412的分段状态继续表明“More-Data-Pending”时,网络接入服务器14将继续从认证与授权服务器16请求更多数据。
响应于接收接入请求消息414,认证与授权服务器16可向网络接入服务器14发送接受接入消息416(具有标识符ID_2)。消息416可包括用户名(User-Name_1)、服务集(服务集2)、表明更多数据仍待处理的分段状态(More-Data-Pending)、Service-Type(Additional-Authorization)和状态(S_2)。
响应于接收到接受接入消息416,网络接入服务器14可从认证与授权服务器16请求在接受接入消息416(具有标识符ID_3)的分段状态中表明的附加数据。接入请求消息418可包括用户名(User-Name_1)、分段状态(More-Data-Request)、Service-Type(Additional-Authorization)和状态(S_2)。
响应于接收接入请求消息418,认证与授权服务器16可向网络接入服务器14发送接受接入消息420(具有标识符ID_3)。接受接入消息420可包括用户名(User-Name_1)、表明这是最终服务集(服务集3(最终))的服务集、Service-Type(例如登录(例如,在登录)或Authorize-Only(例如,以CoA))、结果属性(Result-Request)和状态(S_3)。
响应于具有值为“Result-Request”的“结果”属性,网络接入服务器14可确定在一个或多个已授权的服务的列表中的每个授权服务(来自消息412、416和420)当前正经由端点设备22被提供给用户34使用。可提点地,消息420可包括不包括状态(或结果)标识符的服务集。
网络接入服务器14可向认证与授权服务器16发送接入请求消息422(具有标识符ID_4)。消息422可包括用户名(User-Name_1)、Service-Type(例如登录(例如,在登录)或Authorize-Only(例如,以CoA))、状态(Result-Success)和状态(S_3)。结果成功的状态(在消息422中)通知认证服务器404,授权由用户34使用的每个服务可用于由用户34使用,或者换句话说,当前正被提供给用户34使用。
响应于接入请求消息422,认证与授权服务器16可向网络接入服务器14发送接受接入消息424(具有标识符ID_4)。接受接入消息424可包括用户名(User-Name_1),Service-Type(例如登录(例如,登录时)或Authorize-Only(例如,具有CoA)),结果(结果接收)和状态(S_4)。具有值“Result-Received”的结果属性表明认证与授权服务器16已经接收到先前发送的接入请求消息422,该消息具有值“Result-Success”的“结果”属性。
在可替代的实例中,授权给用户的一个或多个已授权的服务不可用或不向用户提供。在该替代实例中,网络接入服务器14可以接入请求消息响应接受接入消息420,该接入请求消息包括值为“Result-Failed”的“结果”属性。响应于该接入请求消息,认证与授权服务器16可解除授权用户,动态授权,和/或通知诸如网络管理设备的不同设备没有应用该服务。可执行这些操作中的任何一个或多个,并且执行这些补救操作的任何通信还可包括未提供但被授权的服务的属性。在接收到“Result-Failed”消息时,认证与授权服务器16可同样地以消息424进行响应,警告网络接入服务器14状态被接收。
图5是示出网络接入设备和授权设备在执行本公开中描述的结果查询和报告技术的各个方面的示例性操作的流程图。图1的网络接入服务器14可表示网络接入设备的一个实例。图1的认证与授权服务器16可表示授权设备或授权服务器的一个实例。
如上所述,网络接入服务器14可从端点设备22接收接入服务的请求(500)。该请求可包括接入证书。响应于该请求,网络接入服务器14的控制单元44A可调用RADIUS协议模块50。控制单元44A的RADIUS协议模块50可生成接入请求消息200,该消息代表端点设备22请求接入服务并提供接入证书以促进认证。换句话说,请求消息200可表示对授权接入所请求的服务的请求。RADIUS协议模块50可经由接口46A向认证与授权服务器16发送接入请求消息200,从而有效地请求用户34接入服务的授权(502)。
认证与授权服务器16可经由接口46B接收接入请求消息200。认证设备16的控制单元44B可响应于接收到接入请求消息200而调用RADIUS协议模块50。控制单元44B的RADIUS协议模块50可处理接入请求消息200,经由数据库协议模块52,通过与数据库18的交互,基于所提供的接入证书来认证用户34。
假设用户34被成功认证,控制单元44B的RADIUS协议模块50可检索将为其提供用户34的一个或多个服务(506)。RADIUS协议模块50可生成接受接入消息202,以包括要为其提供用户34的一个或多个服务。RADIUS协议模块50还可包括具有值“Result-Request”的“结果”消息属性,以从网络接入服务器14请求结果,该结果关于一个或多个已授权的服务当前是否被提供给端点设备使用。控制单元44B的RADIUS协议模块50之后可经由接口46B向控制单元44A的RADIUS协议模块50发送接受接入消息202。
在这方面中,控制单元44B的RADIUS协议模块50可提供要为用户34提供的服务,并且经由相同的接受接入消息202请求提供服务的结果(508,510)。尽管被描述为经由相同消息发生,但是RADIUS协议模块50可经由与用于请求服务的结果的消息分开的接受接入消息来提供服务。
控制单元44A的RADIUS协议模块50可接收接受接入消息202。RADIUS协议模块50可处理接受接入消息202以提取授权的服务220并且向服务提供模块54提供一个或多个授权的服务220。控制单元44A可包括服务提供模块54,服务提供模块54可提供授权的服务220,并且向RADIUS协议模块50表明服务已经被提供(512)。
由于接受接入消息中指定的结果请求,RADIUS协议模块50接下来可查询服务提供模块54关于提供授权的服务220的结果。服务提供模块54之后可通过确定提供用于提供每个查询的授权的服务(即,在该实例中的授权的服务220)应答(514)。服务提供模块54可利用结果222来应答查询。控制单元44A的RADIUS协议模块50可接收结果222并且基于结果222以接入请求消息204的形式生成结果消息,该消息包括具有值“Result-Success”或“Result-Failed”的“结果”消息属性。控制单元44A的RADIUS协议模块50经由接口46A向控制单元44B的RADIUS协议模块50发送接入请求消息204。以这种方式,网络接入服务器14可报告服务提供的结果(516)。
控制单元44B的RADIUS协议模块50可接收接入请求消息204并处理消息204以标识是否所有服务220都被成功提供或者服务220中的任何一个是否没有被成功提供。控制单元44B的RADIUS协议模块50可基于所标识的是所有服务220是否被成功提供或者服务220中的任何一个是否未被成功提供而以上述方式中的任一种来操作。RADIUS协议模块50可以接受接入消息206的形式的确认消息来响应接入请求消息204,所述接受接入消息206包括具有值“Result-Received”的“结果”消息属性。
以这种方式,本公开中描述的技术可提供通用的解决方案,用于认证与授权服务器16以不依赖于任何计费消息的方式从网络接入服务器14接收状态。此外,该技术通过RFC7499中描述的转换过程来适应推送和调取机制。结果,服务提供商不需要改变如何应用服务以适应状态检查,假如本公开中描述的技术都用于从推送机制转换到调取机制的方式。
在一个或多个示例中,所描述的功能可在硬件、软件、固件或其任何组合中实施。如果在软件中实施,则功能可作为一个或多个指令或代码存储在计算机可读介质上或通过计算机可读介质传输,并由基于硬件的处理单元执行。计算机可读介质可包括计算机可读介质传输,其对应于诸如数据存储介质的有形介质。数据存储介质可以是任何可获得的介质,该介质可由一个或多个计算机或一个或多个处理器接入以检索用于实现本公开中描述的技术的指令、代码和/或数据结构。计算机程序产品可包括计算机可读介质。
同样地,在上述各种情况的每一个中,应当理解,上述设备可执行方法或以其它方式包括用于执行所述方法的每个步骤的工具,每个设备被配置为执行所述方法。在一些情况下,该装置可包括一个或多个处理器。在一些情况下,一个或多个处理器可表示专用处理器,通过存储到非暂时性计算机可读存储介质中的指令的方式配置。换句话说,编码实例的每个集合中的技术的各个方面可提供非暂时性计算机可读存储介质,其上存储有指令,所述指令在被执行时使得一个或多个处理器执行所述方法,每个设备被配置为执行所述方法。
作为实例而非用于限制,这样的计算机可读存储介质可包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储器、磁盘存储器或其他磁性存储设备、闪存或任何可用于存储期望的程序代码的其他介质,所述存储以指令或数据结构的形式并且所述存储器可由计算机访问。但是,应当理解,计算机可读存储介质和数据存储介质不包括连接、载波、信号或其他暂时性介质,而是针对非暂时的有形存储介质。如本文所使用的磁盘和光盘包括压缩光盘(CD)、激光光盘、光盘、数字通用光盘(DVD)、软盘和蓝光光盘,其中磁盘通常磁性地复制数据,而光盘使用激光复制数据。上述的组合也应包括在计算机可读介质的范围内。
指令可由一个或多个处理器执行,诸如一个或多个数字信号处理器(DSP)、通用微处理器、专用集成电路(ASIC)、现场可编程逻辑阵列(FPGA)或其他等同的集成或离散逻辑电路。因此,本文所使用的术语“处理器”可指代任何前述结构或任何适于实施本文所描述的技术的其它结构。此外,在一些方面,本文描述的功能可提供在专用硬件和/或软件模块内,所述模块被配置用于编码和解码;或者被结合在组合编解码器中。此外,这些技术可在一个或多个电路或逻辑元件中完全实现。
本公开的技术可在各种各样的设备或装置中实施,包括无线手持机、集成电路(IC)或一组IC(例如,芯片组)。在本公开中描述了各种组件、模块或单元,以强调被配置为执行所公开的技术的设备的功能方面,但不一定需要由不同的硬件单元实现。相反,如上所述,各种单元可结合合适的软件和/或固件在编解码器硬件单元中组合,或由互操作硬件单元的集合提供,包括如上所述的一个或多个处理器。
已经描述了这些技术的各个方面。该技术的这些和其它方面在所附权利要求的范围内。
Claims (14)
1.一种操作网络中的授权服务器的方法,所述方法包括:
通过所述授权服务器授权网络接入服务器允许端点设备根据网络接入协议接入一个或多个服务;并且
在授权所述网络接入服务器允许所述端点设备接入所述一个或多个服务之后,通过所述授权服务器并且根据所述网络接入协议从所述网络接入服务器请求关于一个或多个已授权的服务当前是否已被提供给所述端点设备使用的结果消息;以及
根据所述网络接入协议从所述网络接入服务器接收结果消息,所述结果消息表明一个或多个所述已授权的服务中的每一个当前已被提供给所述端点设备使用或者当前未被提供给所述端点设备使用;
其中,所述方法被配置为采用调取机制。
2.根据权利要求1所述的方法,进一步包括:当所述结果消息表明一个或多个所述已授权的服务中的至少一个未被提供给所述端点设备使用时,则解除所述端点设备使用一个或多个所述已授权的服务中的至少一个服务的授权。
3.根据权利要求1所述的方法,进一步包括:当所述结果消息表明一个或多个所述已授权的服务中的至少一个未被提供给所述端点设备使用时,则警告网络管理设备一个或多个所述已授权的服务中的至少一个当前未被提供给所述端点设备使用。
4.根据权利要求1至3中任一项所述的方法,
其中,授权所述网络接入服务器包括:根据所述网络接入协议发送授权所述端点设备接入所述一个或多个服务的接受接入消息,
其中,所述接受接入消息包括对所述结果消息的请求,
其中,请求所述结果消息包括将所述接受接入消息发送至所述网络接入服务器,并且
其中,所述方法进一步包括:接收指示一个或多个所述已授权的服务中的每一个当前被提供给所述端点设备使用或当前未被所述端点设备使用的接入请求消息。
5.根据权利要求1至3中任一项所述的方法,其中,授权所述网络接入服务器包括:
根据所述网络接入协议发送请求对提供给所述端点设备的一个或多个所述已授权的服务的重新授权的授权变更CoA请求消息;
根据所述网络接入协议接收请求重新授权所述端点设备接入所述一个或多个服务的接入请求消息;并且
根据所述网络接入协议发送重新授权所述端点设备接入所述一个或多个服务的接受接入消息。
6.根据权利要求1至3中任一项所述的方法,其中,所述网络接入协议包括远程认证拨号用户服务RADIUS或直径协议。
7.根据权利要求1至3中任一项所述的方法,
其中,请求所述结果包括发送包括具有值Result-Request的第一消息属性的第一消息,
其中,所述方法进一步包括:
响应于所述第一消息接收包括作为第二消息属性的结果的第二消息,所述第二消息属性具有Result-Success或Result-Failed中的一个的值;并且
响应于所述第二消息发送包括具有值Result-Received的第三消息属性的第三消息。
8.一种操作网络接入服务器的方法,包括:
从授权服务器接收用于允许端点设备根据网络接入协议接入一个或多个服务的授权;
在接收到允许所述端点设备接入所述一个或多个服务的授权之后,接收提供结果消息的请求,该结果消息关于一个或多个已授权的服务当前是否已被提供给所述端点设备使用;
根据所述网络接入协议向所述授权服务器提供所述结果消息,所述结果消息表明一个或多个所述已授权的服务中的每一个当前已被提供给所述端点设备使用或者当前未被提供给所述端点设备使用;
其中,所述方法被配置为采用调取机制。
9.根据权利要求8所述的方法,进一步包括生成符合所述网络接入协议并且包括所确定的结果消息的接入请求消息,
其中,报告所确定的结果消息包括根据所述网络接入协议将所述接入请求消息发送至所述授权服务器。
10.根据权利要求9所述的方法,其中,所述接入请求消息包括具有值Result-Success的结果属性以表明一个或多个所述已授权的服务中的所有服务已被成功地提供给所述端点设备使用。
11.根据权利要求9所述的方法,其中,所述接入请求消息包括具有值Result-Failed的结果属性以表明一个或多个所述已授权的服务中的至少一个未被成功提供给所述端点设备使用。
12.根据权利要求8至11中任一项所述的方法,进一步包括根据所述网络接入协议从所述授权服务器接收对提供一个或多个所述已授权的服务的所述结果的请求,
其中,确定所述结果消息包括响应于接收所述请求而确定提供一个或多个所述已授权的服务中的每一个的结果。
13.根据权利要求8至11中任一项所述的方法,其中,确定所述结果消息包括:响应于接收对提供一个或多个所述已授权的服务的授权而确定提供一个或多个所述已授权的服务的结果。
14.一种包括用于执行根据权利要求1至3或8至11的任一项所述的方法的每个步骤的器件的设备。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/975,675 | 2015-12-18 | ||
| US14/975,675 US10805298B2 (en) | 2015-12-18 | 2015-12-18 | Result reporting for authentication, authorization and accounting protocols |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107040389A CN107040389A (zh) | 2017-08-11 |
| CN107040389B true CN107040389B (zh) | 2020-12-18 |
Family
ID=57708331
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611158918.4A Active CN107040389B (zh) | 2015-12-18 | 2016-12-15 | 用于认证、授权和计费协议的结果报告 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US10805298B2 (zh) |
| EP (1) | EP3182672B1 (zh) |
| CN (1) | CN107040389B (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109818903B (zh) * | 2017-11-21 | 2021-07-23 | 中国电信股份有限公司 | 数据传输方法、系统、装置和计算机可读存储介质 |
| US11063940B2 (en) * | 2018-04-27 | 2021-07-13 | Hewlett Packard Enterprise Development Lp | Switch authentication |
| CN111200536A (zh) * | 2018-11-20 | 2020-05-26 | 中国电信股份有限公司 | 实现网络遥测的方法、设备和系统 |
| CN111327431B (zh) * | 2018-12-14 | 2022-11-22 | 华为技术有限公司 | 一种计费策略获取方法及装置 |
| US11477186B2 (en) * | 2019-05-30 | 2022-10-18 | Hewlett Packard Enterprise Development Lp | Multi-factor user authentication for network access |
| CN111818014B (zh) * | 2020-06-08 | 2023-05-09 | 中国电子科技集团公司第三十研究所 | 一种实现二次认证功能的网络侧aaa设计方法及系统 |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6470453B1 (en) * | 1998-09-17 | 2002-10-22 | Cisco Technology, Inc. | Validating connections to a network system |
| JP3697437B2 (ja) * | 2002-10-10 | 2005-09-21 | 株式会社東芝 | ネットワークシステムおよびネットワークシステムの構築方法 |
| US7720960B2 (en) * | 2003-03-04 | 2010-05-18 | Cisco Technology, Inc. | Method and apparatus providing prepaid billing for network services using explicit service authorization in an access server |
| US7437457B1 (en) * | 2003-09-08 | 2008-10-14 | Aol Llc, A Delaware Limited Liability Company | Regulating concurrent logins associated with a single account |
| JP2005175866A (ja) | 2003-12-11 | 2005-06-30 | Hitachi Communication Technologies Ltd | ネットワーク統計情報サービスシステムおよびインターネットアクセスサーバ |
| US7587751B2 (en) * | 2004-08-02 | 2009-09-08 | Cisco Technology, Inc. | Method and apparatus for automatically re-validating multiple clients of an authentication system |
| US7730521B1 (en) * | 2004-09-23 | 2010-06-01 | Juniper Networks, Inc. | Authentication device initiated lawful intercept of network traffic |
| US8170055B2 (en) * | 2005-12-29 | 2012-05-01 | Alcatel Lucent | Method of converting between radius message and diameter messages |
| JP5133992B2 (ja) * | 2006-08-21 | 2013-01-30 | クゥアルコム・インコーポレイテッド | デュアルスタック・オペレーションの認可を織り込むための方法および装置 |
| US8204502B2 (en) * | 2006-09-22 | 2012-06-19 | Kineto Wireless, Inc. | Method and apparatus for user equipment registration |
| CN101132403B (zh) | 2007-08-08 | 2012-09-05 | 华为技术有限公司 | 业务授权方法及服务器 |
| US8055237B2 (en) * | 2008-08-06 | 2011-11-08 | Bridgewater Systems Corp. | Usage measurement collection and analysis to dynamically regulate customer network usage |
| IN2012CN07525A (zh) * | 2010-02-12 | 2015-05-29 | Tekelec Inc | |
| US8892885B2 (en) * | 2011-08-31 | 2014-11-18 | Duo Security, Inc. | System and method for delivering a challenge response in an authentication protocol |
| US8806580B2 (en) * | 2012-01-18 | 2014-08-12 | Juniper Networks, Inc. | Clustered AAA redundancy support within a radius server |
| CN102882712B (zh) | 2012-09-17 | 2019-02-19 | 中兴通讯股份有限公司 | 网络策略的控制方法、装置及系统 |
| US10034168B1 (en) * | 2013-04-25 | 2018-07-24 | Sprint Spectrum L.P. | Authentication over a first communication link to authorize communications over a second communication link |
| GB201510042D0 (en) * | 2015-06-09 | 2015-07-22 | Jean Jerry | Remote confirmation and/or authentication service used for confirmation of access identity, device ownership, and meetings using mobile devices for a system |
| US10091658B2 (en) * | 2015-10-19 | 2018-10-02 | Time Warner Cable Enterprises Llc | Wireless network management and online signup of services |
-
2015
- 2015-12-18 US US14/975,675 patent/US10805298B2/en active Active
-
2016
- 2016-12-13 EP EP16203886.3A patent/EP3182672B1/en active Active
- 2016-12-15 CN CN201611158918.4A patent/CN107040389B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| EP3182672B1 (en) | 2020-07-08 |
| CN107040389A (zh) | 2017-08-11 |
| US10805298B2 (en) | 2020-10-13 |
| EP3182672A1 (en) | 2017-06-21 |
| US20170180374A1 (en) | 2017-06-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107040389B (zh) | 用于认证、授权和计费协议的结果报告 | |
| US10116644B1 (en) | Network access session detection to provide single-sign on (SSO) functionality for a network access control device | |
| EP3251324B1 (en) | Secure access to cloud-based services | |
| JP4782139B2 (ja) | モバイルユーザーをトランスペアレントに認証してウェブサービスにアクセスする方法及びシステム | |
| US8910300B2 (en) | Secure tunneling platform system and method | |
| JP5490874B2 (ja) | ネットワーク事業者によって提供されるアイデンティティ管理サービス | |
| EP1779293B1 (en) | Method and apparatus for determining authentication capabilities | |
| US8898450B2 (en) | Hardware identity in multi-factor authentication at the application layer | |
| WO2015139725A1 (en) | User identifier based device, identity and activity management system | |
| CA2480496C (en) | Monitoring of information in a network environment | |
| CN110352585A (zh) | 网络通信的改进和与之相关的改进 | |
| WO2010000298A1 (en) | Apparatus, method and program for integrated authentication | |
| EP1777872A1 (en) | A METHOD REALIZING AUTHORIZATION ACCOUNTING OF MULTIPLE ADDRESSES USER IN THE IPv6 NETWORK | |
| KR20200130106A (ko) | 무선 통신 시스템에서 모바일 엣지 컴퓨팅 서비스를 제공하기 위한 장치 및 방법 | |
| EP2997711B1 (en) | Providing single sign-on for wireless devices | |
| US11463429B2 (en) | Network controls for application access secured by transport layer security (TLS) using single sign on (SSO) flow | |
| Narayan et al. | Remote Authentication Dial-In User Service (RADIUS) Usage for Simple Network Management Protocol (SNMP) Transport Models | |
| WO2023249519A1 (en) | Providing an authentication token for authentication of a user device for a third-party application using an authentication server. | |
| CN118353664A (zh) | 一种免密登录的方法 | |
| Aboba | Dynamic Authorization Extensions to Remote Authentication Dial In User Service (RADIUS) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: California, USA Applicant after: Juniper Networks, Inc. Address before: California, USA Applicant before: Jungle network |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |