CN111903236B - 基于Diameter协议的分布式高可靠性认证实体的实现方法 - Google Patents
基于Diameter协议的分布式高可靠性认证实体的实现方法 Download PDFInfo
- Publication number
- CN111903236B CN111903236B CN201110010916.1A CN201110010916A CN111903236B CN 111903236 B CN111903236 B CN 111903236B CN 201110010916 A CN201110010916 A CN 201110010916A CN 111903236 B CN111903236 B CN 111903236B
- Authority
- CN
- China
- Prior art keywords
- authentication
- module
- entity
- network
- dfn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于Diameter协议的分布式高可靠性认证实体的实现方法,它涉及IMS通信网络中以HSS为核心的认证系统的软件架构,特别适用于战场环境下,对可靠性及抗毁性要求较高的用户信息管理系统。本发明提出的实现方法将认证实体根据Diameter协议及认证接口进行模块化设计,使认证实体可进行分布式部署。除此以外,该模块间逻辑相对独立,接口统一,可根据需求进行冗余备份,保证了系统的可靠性及战场上的抗毁顽存性,增加新的认证接口,只需设计扩展认证模块而无需推翻重新设计,很大程度上提高了系统的重用性和可用性。
Description
技术领域
本发明涉及通信领域中的一种分布式高可靠性的认证实体的软件实现方法,适用于IMS网络中需同时支持多种认证接口的认证服务器及客户端的设计与实现,特别适合于战场环境下,需要将认证实体做冗余备份及分布式部署的IMS网络环境。
背景技术
IP多媒体子系统(IMS)是实现下一代多媒体融合业务的技术核心。功能实体众多,其中以呼叫会话控制功能CSCF(Call SessionControl Funetion)和归属用户服务器HSS(Home Subseriber Server)最为重要。CSCF主要负责对多媒体会话进行处理,其功能包括多媒体会话控制、地址翻译以及对业务协商进行服务转换等。HSS是IMS系统中所有与用户和服务相关的信息的主要数据库,包括位置信息、安全信息、用户资料信息和分配给用户的S-CSCF信息。HSS需要给CSCF和AS提供相关的用户信息。根据3GPP的规定,HSS使用Diameter协议作为IMS网络中的认证、授权、计费(AAA)的标准协议。
Diameter具有安全、可靠、可扩展等优势,它主要有基本协议和应用协议组成。基本协议包括定义了在各种应用中相同的功能,为AAA提供了易于扩展的基本框架,主要涉及Diameter节点之间的对等连接、能力协商、消息格式、消息交换规则、用户会话、错误报告等方面。Diameter应用协议扩展了基本协议,以完成特定的接入和应用业务,例如IMS系统下的Cx、Dx、Sh、Si等接口。其中Cx接口工作在HSS与CSCF之间,用于用户认证、注册/注销、位置查询、用户配置文件查询和更新等。SIP AS通过Sh接口从HSS中读取某用户的签约业务数据,同时也支持HSS与SIP AS间用户数据的同步更新。IP多媒体业务交换功能(IM-SSF)与HSS用Si接口连接用来上下载用户的签约业务数据。Dx接口用于多HSS的情况下,在S-CSCF与用户定位功能(SLF)之间进行HSS的选择。除此之外,还有用于离线计费的Rf接口和在线计费的Ro接口。HSS作为IMS网络的认证服务器,依照网络需求,需同时支持Cx、Sh、Si等认证接口,与CSCF、SIP AS、IM-SSF等认证客户端,组成典型的C/S架构,逻辑结构如图1所示。
在战场环境下,军用通信网不同于民用通信网的一个显著特点就是容易遭到敌方攻击,造成通信设备或节点被毁。一旦HSS被毁,用户信息将全部丢失,通信业务将无法保障。因此,需要对HSS进行冗余备份及分布式部署,以保证战场环境下HSS具有较高的可靠性。
发明内容
本发明所要解决的技术问题在于根据Diameter协议的特点以及IMS网络中分布式管理的应用环境,设计实现上述认证实体,使其能够完成3GPP规定的认证功能,支持多种认证接口。与此同时,HSS内的认证模块实现多冗余备份,并支持分布式部署,以确保战场环境的高可靠性。
本发明的目的是这样实现的,一种基于Diameter协议的分布式高可靠性认证实体的实现方法,所述的认证实体包括认证服务器和认证客户端,其特征在于包括以下步骤:
①认证实体的网络配置:包括认证实体的主备设置,网络连接状况以及维护认证实体的活跃状态;
②建立连接进行认证能力协商:根据①的配置,认证服务器与各个认证客户端之间建立连接后进行能力协商,各个认证实体能够识别各个对端的实体性质,确定与之的认证接口;
③认证服务器进行多种认证服务:认证服务器通过访问数据库,实现终端用户的鉴权五元组的生成和下发,用户档案的下载、更新服务;
认证服务器在进行认证服务的同时,进行心跳检测;通过心跳检测机制,各认证模块可以确定相互的工作状态以及网络是否畅通,其心跳检测间隔和心跳最大尝试次数可根据网络环境自定义设置;
④当某个认证模块停止工作,与之相连的认证模块通过心跳检测机制实时探测并感知,此时,激活有效的备份认证模块,同时调用失效转发机制,修改相应的转发策略和负载均衡策略,并根据①的配置与备份认证模块建立新连接,与此同时,对故障模块的心跳检测仍然继续;
⑤与故障模块相连的认证模块与备份认证模块重新能力协商,并将认证业务切换至该备份节点,继续正常的认证服务;
⑥心跳检测机制探测到故障模块或网络恢复正常,则调用失效恢复机制,重新与之建立连接,在完成新一轮的认证能力协商过程后,将认证服务切换会该模块,同时恢复转发策略和负载均衡策略;
完成认证实体的启动、切换及恢复的过程。
其中,认证服务器需要同时支持多种认证接口,并可根据网络环境即时扩展。
其中,认证服务器和认证客户端由若干认证模块组成,包括一个或多个实现Diameter基础协议的Diameter前端节点(DFN)和实现Diameter扩展协议的Diameter应用节点(APN)。
其中,步骤⑤所提及的失效转发策略和负载均衡策略由步骤①的网络配置和当前动态的网络负载决定。
本发明与传统实现方法相比,具有以下优点:
1.本发明提出的认证实体软件设计方法区别于传统实现方法,将认证实体内部根据Diameter协议结构和认证接口按照功能进行模块化实现,即一个APN模块实现一种认证接口,并且每个APN的对外接口统一,能够随着通信网络需求的改变,认证接口种类可以通过增加或删除APN模块来实现,而不影响整个认证系统的正常工作,无需推翻重新设计实现,具有较高的可用性。
2.本发明提出认证实体模块化实现的方法,DFN和APN的数量不是确定不变的,而是可以根据网络上用户数目及业务负载大小设置。例如,网络上终端用户的认证需求大量增加,针对HSS只需增加DFN和Cx APN的数量即可,负载均衡策略会根据现有的情况对每个模块进行负载调整。有效地防止了认证数据丢失、认证无效的情况发生,使认证系统具有更高的可靠性和可扩展性。
3.本发明支持HSS的用户信息数据库、APN及DFN之间在不同的地理位置上通过IP承载网连接,并且任意APN或DFN模块均可以根据主备策略设置更多的备用模块,当某个主要模块出现故障或网络中断时,备用模块均可以迅速激活并投入工作。如此分布式的冗余备份设计方式,能够有效提高战场环境下系统的可靠性和抗毁顽存性。
附图说明
图1是本发明在IMS网络的使用环境。
图2是本发明在Cx接口的认证模块分布示例图。
图3是HSS中Cx接口的工作原理示意图。
图4扩展Si接口的解决方案。
其中图1是一种典型的IMS认证系统应用环境,包括一个认证服务器HSS,两个现役客户端CSCF和SIP AS,以及未来投入使用的IM-SSF客户端,它们之间的接口分别为Cx、Sh以及带扩展的Si接口。以Cx接口为例,本发明的模块化设计拓扑示例如图2所示。HSS的数据库、APN、DFN之间可以通过承载网络连接,同时为了保证可靠性将DFN做了冗余备份,其各模块的工作原理如图3所示。
同时,Si接口的扩展需要在HSS和IM-SSF中同时增加相应的DFN和APN。一个简单的解决方案如图4所示。
具体实施方式
在图1所示的认证架构中,Cx接口的网络拓扑如图2所示,增加Si接口的认证模块增加方案如图4所示。其中DFN、APN的工作原理如图3所示。Cx接口认证过程的启动,故障节点切换和恢复,以及Si接口的加入具体过程,分为以下几个步骤:
①认证实体的网络配置:包括认证实体的主备设置,网络连接状况以及维护认证实体的活跃状态。
如图2所示,在本示例中Cx接口认证服务器HSS中包含一个Cx服务器APN、一个主要DFN和一个备份DFN;认证客户端CSCF包括一个Cx客户端APN以及一个DFN。
因此,HSS应做相应配置,如图3所示,APN配置文件解析功能3中配置除本地IP地址、端口号及传输协议外,还需要配置与之相连的主要DFN、备份DFN的IP地址及名称,心跳间隔时间及最大心跳次数;DFN的配置文件解析功能11中应配置本地的IP地址、端口号、传输协议、心跳间隔和最大心跳次数,以及认证客户端CSCF的所有DFN(包括主要和备份)的域名、主机名、IP地址、端口号、传输协议及主备状态。相应地,认证客户端CSCF的DFN和APN也应做相同的配置,这里不再详细说明。需要特别指出的是,CSCF的DFN里明确配置HSS DFN的个数和主备策略。配置完成后,APN将配置数据以文件的形式传送给DFN负载均衡策略功能6,DFN将配置文件传递给APN负载均衡策略功能9以及对端DFN负载均衡策略14。功能6、14通过配置文件分别生成各自的路由转发表。
②建立连接进行认证能力协商:根据①的配置,认证服务器与各个认证客户端之间建立连接后进行能力协商,各个认证实体能够识别各个对端的实体性质,确定与之的认证接口。
HSS的APN启动并初始化完成后,它会根据步骤①中DFN负载均衡策略功能6的路由设置,向所有DFN(包括主要和备份DFN)发送连接建立请求。一旦连接建立,APN修改其DFN负载均衡策略功能的连接状态表,用于指导消息发送。与此同时,CSCF的APN也尝试连接与之相连的所有DFN。之后双方DFN根据各自对端负载均衡策略功能14建立基于TCP的Socket连接。此时,HSS的APN与两个DFN各有一条连接,CSCF的DFN与HSS的主备DFN也各有一条连接。
连接都建立完毕后,HSS的Cx APN会通过主要DFN向CSCF发送能力协商消息,具体过程为:APN应用控制功能1向内部消息生成功能5发送生成能力协商请求的指令。内部消息生成功能5根据指令和自身能力配置组装出用于能力协商的内部消息,将该消息在DFN负载均衡策略功能6的指导下通过内部消息收发功能7发送给主要DFN。主要DFN的内部消息收发功能8收到该消息后,通过Diameter消息生成功能13解析该内部消息并加入相应的Diameter消息头生成Diameter能力协商消息,通过对端DFN负载均衡策略功能14获取CSCF的域名和IP等路由信息,最后通过Diameter消息收发功能15将能力协商请求发送给CSCF。CSCF通过与上述相似的过程,向HSS发送能力协商响应消息。能力协商过程完毕。
③认证服务器进行多种认证服务:认证服务器通过访问数据库,实现终端用户的鉴权五元组的生成和下发,用户档案的下载、更新服务。能力协商完成后,HSS就能够向CSCF提供一系列的认证服务。当Diameter消息收发功能15收到CSCF的认证请求后,将消息发送给Diameter消息解析功能10,Diameter消息解析功能10将公共Diameter消息头剥离,并将于认证相关的关键数据组装为内部认证消息,通过APN负载均衡策略9和内部消息收发功能8发送给APN。APN的内部消息收发功能7将内部认证消息通过内部消息解析功能2将认证请求发送给APN应用控制1,APN根据请求或者调用算法生成认证向量,或者访问或修改数据库,获取用户的相应认证信息,最终产生认证结果。内部消息生成功能5将认证结果编辑为内部消息,通过DFN负载均衡策略功能6、内部消息收发7发送给主要DFN。DFN收到后,分别经过内部消息收发功能8、Diameter消息生成功能13、对端DFN负载均衡策略功能14、Diameter消息收发功能15的依次处理,发送给CSCF,完成一次认证业务。
认证服务器在进行认证服务的同时,进行心跳检测:通过心跳检测机制,各认证模块可以确定相互的工作状态以及网络是否畅通,其心跳检测间隔和心跳最大尝试次数可根据网络环境自定义设置。与此同时,在连接建立后各个认证模块之间要进行心跳检测,该过程需要通过周期性发生的一对心跳消息探测消息完成,APN和DFN互相发起心跳检测,HSS DFN和CSCF DFN互相发起心跳检测。任何认证实体/模块收到心跳检测请求的同时,都必须回复。认证模块内负载均衡策略功能在连接一建立的同时启动心跳检测定时器,由此周期性触发相应的消息生成功能发送心跳检测请求消息发送到对端。一旦心跳检测失败,通知其负载均衡策略功能修改连接状态并触发后续动作。其中APN和DFN的心跳检测时间间隔和最大心跳检测次数本别在配置文件解析功能3,11中按需配置。
④当某个认证模块停止工作,与之相连的认证模块通过心跳检测机制实时探测并感知,此时,激活有效的备份认证模块,同时调用失效转发机制,修改相应的转发策略和负载均衡策略,并根据①的配置与备份认证模块建立新连接,与此同时,对故障模块的心跳检测仍然继续。
当由于网络或者设备故障造成某个认证模块不可达时,与之相连的认证模块通过心跳检测机制可随即发现,并触发失败重发和冗余备份切换机制。具体过程如下:主要DFN发生故障,与之相连的APN和CSCF DFN通过心跳检测机制察觉。APN将未收到DFN相应的消息暂存到内部消息收发功能7中,此时DFN负载均衡策略功能6中的主要DFN状态由“Active”改为“Down”,重新查询连接路由表,查看是否有冗余备份DFN。若没有则通知APN应用控制1消息发送失败。若有备份DFN,则查看其连接状态,若连接正常则将备份DFN的状态由“Standby”改为“Active”,后续内部消息重新发送至备份DFN,由备份DFN转发至CSCF。CSCF的DFN也同时通过心跳检测机制发现主要DFN已不可达,通过查询自身的负载策略将消息收发切换至HSS的备份DFN。与此同时,对不可达的DFN心跳检测仍然继续。
⑤与故障模块相连的认证模块与备份认证模块重新能力协商,并将认证业务切换至该备份节点,继续正常的认证服务。
主要连接切换已至备份DFN,重新按照步骤②和步骤③,进行能力协商功能后进行正常的认证服务,并将步骤⑤中暂存在内部消息收发功能7的消息转发至该备份DFN。
⑥心跳检测机制探测到故障模块或网络恢复正常,则调用失效恢复机制,重新与之建立连接,在完成新一轮的认证能力协商过程后,将认证服务切换会该模块,同时恢复转发策略和负载均衡策略。
当主要DFN恢复正常,根据步骤④介绍的心跳检测机制会及时感知到。与之相连的APN会随即修改DFN负载均衡策略功能6的连接状态,把主要DFN的状态改为“Active”的同时把备份DFN状态改回为“Standby”,并将后续内部消息发送至该主要DFN。与此同时,CSCF的DFN的对端DFN负载均衡策略功能也做相应的改动。然后,HSS的Cx APN重新按照步骤②能力协商,之后将认证服务切换回该主要DFN。
这样就完成一次典型的认证系统的启动、无缝切换的过程。备份DFN的使用大大加强了HSS的可靠性。同样原理,除了HSS的DFN,可以对APN和CSCF内的认证模块进行冗余备份,从而提高整个系统的可靠性。由于认证模块是相对独立并可用承载网络连接,因此分布式部署也是可以实现的。
如图1,若该认证系统需要增加Si接口,则需在HSS中增加SiAPN模块和与之相连的DFN模块作为认证服务器端,因为模块间相对独立,接口以Socket消息的形式存在,可在不同的地理位置部署,因此对HSS的其他接口没有任何影响。同时,在IM-SSF中增加客户端Si APN和DFN模块作为Si的认证客户端。为了保证几个认证接口能够同时工作,需要在Si APN和DFN的配置文件解析功能中配置相应的本地和其他认证实体/模块的连接信息。
Claims (3)
1.一种基于Diameter协议的分布式高可靠性认证实体的实现方法,所述的认证实体包括认证服务器和认证客户端,认证服务器和认证客户端由若干认证模块组成,包括一个或多个实现Diameter基础协议的Diameter前端节点和实现Diameter扩展协议的Diameter应用节点,其特征在于包括以下步骤:
①认证实体的网络配置:包括认证实体的主备设置,网络连接状况以及维护认证实体的活跃状态;
②建立连接进行认证能力协商:根据①的配置,认证服务器与各个认证客户端之间建立连接后进行能力协商,各个认证实体能够识别各个对端的实体性质,确定与之的认证接口;
③认证服务器进行多种认证服务:认证服务器通过访问数据库,实现终端用户的鉴权五元组的生成和下发,用户档案的下载、更新服务;
认证服务器在进行认证服务的同时,进行心跳检测:通过心跳检测机制,各认证模块可以确定相互的工作状态以及网络是否畅通,其心跳检测间隔和心跳最大尝试次数可根据网络环境自定义设置;
④当某个认证模块停止工作,与之相连的认证模块通过心跳检测机制实时探测并感知,此时,激活有效的备份认证模块,同时调用失效转发机制,修改相应的转发策略和负载均衡策略,并根据①的配置与备份认证模块建立新连接,与此同时,对故障模块的心跳检测仍然继续;其中,将停止工作的认证模块定义为故障模块;
⑤与故障模块相连的认证模块与备份认证模块重新能力协商,并将认证业务切换至该备份认证模块,继续正常的认证服务;
⑥心跳检测机制探测到故障模块或网络恢复正常,则调用失效恢复机制,重新与之建立连接,在完成新一轮的认证能力协商过程后,将认证服务切换回已恢复工作的故障模块,同时恢复转发策略和负载均衡策略;
完成认证实体的启动、切换及恢复的过程。
2.根据权利要求1所述的基于Diameter协议的分布式高可靠性认证实体的实现方法,其特征在于:认证服务器需要同时支持多种认证接口,并可根据网络环境即时扩展。
3.根据权利要求1所述的基于Diameter协议的分布式高可靠性认证实体的实现方法,其特征在于:步骤④所提及的失效转发策略和负载均衡策略由步骤①的网络配置和当前动态的网络负载决定。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110010916.1A CN111903236B (zh) | 2011-04-21 | 2011-04-21 | 基于Diameter协议的分布式高可靠性认证实体的实现方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110010916.1A CN111903236B (zh) | 2011-04-21 | 2011-04-21 | 基于Diameter协议的分布式高可靠性认证实体的实现方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN111903236B true CN111903236B (zh) | 2014-05-14 |
Family
ID=73172431
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110010916.1A Active CN111903236B (zh) | 2011-04-21 | 2011-04-21 | 基于Diameter协议的分布式高可靠性认证实体的实现方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111903236B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109257187A (zh) * | 2017-07-12 | 2019-01-22 | 中国移动通信集团广东有限公司 | 基于服务感知计费控制规则的控制用户终端的方法及装置 |
| CN115695055A (zh) * | 2023-01-05 | 2023-02-03 | 中国电子科技集团公司第三十研究所 | 一种基于内存数据库的高可靠高并发安全认证系统和方法 |
-
2011
- 2011-04-21 CN CN201110010916.1A patent/CN111903236B/zh active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109257187A (zh) * | 2017-07-12 | 2019-01-22 | 中国移动通信集团广东有限公司 | 基于服务感知计费控制规则的控制用户终端的方法及装置 |
| CN109257187B (zh) * | 2017-07-12 | 2021-09-21 | 中国移动通信集团广东有限公司 | 基于服务感知计费控制规则的控制用户终端的方法及装置 |
| CN115695055A (zh) * | 2023-01-05 | 2023-02-03 | 中国电子科技集团公司第三十研究所 | 一种基于内存数据库的高可靠高并发安全认证系统和方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP2441232B1 (en) | Methods, apparatuses, and related computer program product for network element recovery | |
| CN101371474B (zh) | 用于检测虚拟交换机链路故障并从中恢复的系统和方法 | |
| EP1783979B1 (en) | Apparatus and methods for home agent resiliency for mobile IPv4 | |
| US20080014961A1 (en) | Methods, systems, and computer program products for providing geographically diverse IP multimedia subsystem (IMS) instances | |
| EP1675356B1 (en) | Notification of failures in a trunk network | |
| EP2422502B1 (en) | Intra-realm aaa fallback mechanism | |
| EP3720187B1 (en) | Service request handling method and device and communication system | |
| US7535915B2 (en) | System and method for scalable and redundant SIP message routing in an IP multimedia subsystem | |
| EP2395799B1 (en) | Method and apparatus for handling peers with dynamic ip connectivity status in peer-to-peer networks | |
| US9094412B2 (en) | Self organizing IP multimedia subsystem | |
| JP2009501454A (ja) | リンク管理システム | |
| CN101989953A (zh) | 双向转发检测报文的发送方法及设备 | |
| US11140597B2 (en) | Method and apparatus for processing link establishment failure, and computer storage medium | |
| EP2706737B1 (en) | Method, device, and system for obtaining address of sip registration server | |
| WO2004017172A2 (en) | System and method for home agent load balancing | |
| CN111903236B (zh) | 基于Diameter协议的分布式高可靠性认证实体的实现方法 | |
| CN114125910A (zh) | 隧道保活方法、网络设备、系统及存储介质 | |
| US8849270B2 (en) | System and method for providing geographic redundancy for mobile wireless data network components | |
| WO2023284366A1 (zh) | Dbng-cp的备份方法及装置 | |
| CN108712297A (zh) | 一种物联网节点设备自主切换网关的方法 | |
| JP7085518B2 (ja) | 制御装置と被制御装置とが接続されたシステムにおける被制御装置の障害復旧方法及びシステム | |
| CN102647397B (zh) | 一种sip会话保护的方法和系统 | |
| CN106470246A (zh) | 地址解析协议arp表项的同步方法及装置 | |
| CN118695143B (zh) | 一种去中心化网关集群的fttr组网方法、装置、设备及介质 | |
| EP4228223A1 (en) | Communication control mechanism with cloud based call state control function |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR03 | Grant of secret patent right | ||
| GRSP | Grant of secret patent right | ||
| DC01 | Secret patent status has been lifted | ||
| DC01 | Secret patent status has been lifted |