CN1442981A - 实现认证授权计费过程中实时修改业务的方法 - Google Patents
实现认证授权计费过程中实时修改业务的方法 Download PDFInfo
- Publication number
- CN1442981A CN1442981A CN 02104111 CN02104111A CN1442981A CN 1442981 A CN1442981 A CN 1442981A CN 02104111 CN02104111 CN 02104111 CN 02104111 A CN02104111 A CN 02104111A CN 1442981 A CN1442981 A CN 1442981A
- Authority
- CN
- China
- Prior art keywords
- message
- authentication
- real time
- attribute
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
本发明公开了一种实现认证授权计费过程中实时修改业务的方法,扩充认证授权计费协议的属性域,包括:用于标识不同用户的用户连接标志、业务数据、用于标识业务实时修改成功与否的修改结果标志;扩充协议流程由认证授权计费服务器向接入设备发送实时修改请求,接入设备与认证授权计费服务器以扩展的计费请求、应答报文修改业务数据,从而完善宽带接入网的认证授权计费业务。
Description
技术领域
本发明涉及通信技术中的认证授权计费服务,尤其涉及一种实现认证授权计费过程中实时修改业务的方法。
背景技术
目前,为上网用户提供认证、授权、计费服务通常由接入设备和AAA(认证、授权、计费)服务器共同提供。接入层的设备主要为用户提供入网的物理通路和各种业务,AAA服务器主要的任务是业务策略的制定、业务的管理、用户的管理等。比如AAA服务器为不同的用户制定不同的带宽策略,接入设备执行AAA服务器的决策,为不同的用户分配不同的带宽。两者之间交互信息是通过RADIUS(远程用户拨号认证)协议执行,它用于定义接入设备和AAA服务器的接口,管理大量分散用户。其方法是通过建立一个用户数据库,存储用户名、用户的密码来进行验证,存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS协议运作模式是客户/服务器模式,由接入设备扮演客户端的角色,向AAA服务器提供认证用户的信息,AAA服务器通过设备上报的信息作出决策,反馈给设备执行,同时完成计费工作。RADIUS协议报文的格式
RADIUS协议的报文由头部和属性域Attributes组成,头部由报文类别字段Code、请求包和回应包的匹配字段Identifer、报文长度字段Length、报文合法性验证字段Authenticator等构成,Attributes域由一个或多个记录组成。
Code字段用于标志这个报文的类别,标志是认证Authentication、授权Authorization报文还是计费Accounting报文等等。具体包括:
1)Access-request,接入设备发起的认证请求;
2)Access-accept,AAA服务器对认证请求的通过授权响应;
3)Access-reject,AAA服务器对认证请求的拒绝响应;
4)Accounting-request,接入设备发起的计费请求;
5)Accounting-response,AAA服务器对计费请求的响应。
Identifier字段用于匹配请求包和回应包。
Length字段用于记录报文的长度。
Authenticator字段用于验证报文的合法性,通过加密算法MD5验证报文是否被修改。
Attributes属性域由很多条属性组成,每一条属性的构成包括:编号Type、记录的长度Length和记录的值Value。在不同类型的报文中,属性域中属性的集合是不相同的,于是就有认证属性集、授权属性集、计费属性集等。
图1所示为RADIUS协议的简要流程。
流程1,用户在计算机上通过PPP(点对点协议)拨号等客户机软件将用户名和密码等信息发送到接入设备上;流程2,接入设备根据这些信息生成一个Access-Request类型RADIUS报文,报文包含用户名、密码、接入的物理位置信息等属性,接入设备将这个报文通过UDP(用户数据协议)/IP(互联网协议)网络发送到AAA服务器。AAA服务器收到Access-Request报文后,执行流程3,根据它的数据库记录和决策方案产生认证结果,如果认证失败,就向接入设备返回Access-Reject的报文,如果认证通过,则返回Access-Accept报文同时在返回的报文中包含有授权的属性信息,如用户的IP地址、上网时限、带宽等。
接入设备收到流程3的报文后,通过流程4通知用户认证成功和失败的消息,如果是认证通过,则根据服务器下发的授权信息,有限的开放网络权限,并以流程5向AAA服务器发送Accounting-Request报文,报文中有一个属性Start标志计费状态为开始计费。AAA服务器收到Accounting-Request报文后,将计费信息记录到数据库中,执行流程5’返回Accounting-Response报文。
经过流程5后,接入设备每隔一定的时间间隔执行流程6,发送Accounting-Request报文,报文中有一个属性RealTime标志计费状态为实时计费,AAA服务器收到Accounting-Request报文后,将计费信息记录到数据库中,在流程6’返回Accounting-Response报文。
在计费的过程中间,用户可能随时下网,接入设备收到用户的下网通知流程7后,执行流程8,向AAA服务器发送一个Accounting-Request报文,报文中有属性Stop标志计费状态为停止计费。AAA服务器收到Accounting-Request报文后,将计费信息记录到数据库中,同时以流程8’返回Accounting-Response报文。
从上述RADIUS协议流程中可以看到,RADIUS协议的授权只存在于流程3(Access-Accept)阶段。如果用户通过认证后处于上网的过程中,进入流程3后面的阶段,RADIUS协议便不再接受授权信息。而AAA服务器的业务决策信息只能通过授权报文Access-Accept下发给接入设备执行。所以用户上网时,AAA服务器只有一次机会下发业务,不能实时修改;用户只能以下网后再上网的方式重新通过认证才可对业务数据进行修改,带来使用上的不便。如果用户在宽带接入网中,有动态控制带宽、优先级、Qos(服务质量)保证、上网时限、充值等入网参数的需求,希望在执行如浏览网页等操作时,将带宽减小,而进行实时点播等操作时,将带宽放大,以节约费用,而这种实时修改业务数据的需求在现有技术的协议下是无法实现的。
发明内容
本发明的目的在于提供一种实现认证授权计费过程中实时修改业务的方法,以完善宽带接入网的认证授权计费业务。
为达到上述目的,本发明采用的技术方案是:一种实现认证授权计费过程中实时修改业务的方法,首先对接入设备与认证授权计费服务器间的认证授权计费协议的属性域作包括下述内容的扩充:
1)用于标识不同用户的用户连接标志Connect-ID;
2)业务数据;
3)用于标识业务实时修改成功与否的修改结果标志Modify-Result;
并对接入设备与认证授权计费服务器间的认证授权计费协议的的协议流程扩充下述步骤:
A、认证授权计费服务器向接入设备发送实时修改请求Access-Modify报文,该报文包含的属性有用户连接标志Connect-ID和待修改业务数据;
B、接入设备收到Access-Modify;
C、接入设备向认证授权计费服务器发送计费请求Accounting-Request报文,其属性域中包括值为Access-Modify的计费状态属性、兼有修改前后业务数据的业务数据属性及Modify-Result;
D、认证授权计费服务器对所收到的上述计费请求Accounting-Request报文,回应计费应答Accounting-Response报文;
E、认证授权计费服务器将修改结果通知用户。
在标准的RADIUS协议里,接入设备充当客户端角色,接入设备发送报文和收到的响应报文之间的匹配是通过报文格式中Identifer字段来完成,发、收的两个报文的Identifier相同则说明这两个报文是一对,由此接入设备可以通过这个关系来找到响应报文对应的用户连接。本发明实时修改业务的流程里,服务器首先发起报文,所以接入设备不能通过Identifier字段来找到用户连接。于是在属性域增加用于标识不同用户的用户连接标志Connect-ID。在设备发送第一个报文(Access-Request)时,产生Connect-ID属性,在以后的每一个报文中,不管是接入设备还是服务器都必须携带这个属性,用于匹配用户连接,再经过本发明改进的协议流程,即可实现接入设备与认证授权计费服务器间实时业务修改。
附图说明
图1是现有技术中RADIUS协议流程图;
图2是本发明增加实时业务数据修改的RADIUS协议流程图;
图3是本发明具体实施中接如设备收到Access-Modify后的处理流程图。
具体实施方式
本发明方法对接入设备与认证授权计费服务器间的认证授权计费协议的属性域作包括下述内容的扩充:
1)用于标识不同用户的用户连接标志Connect-ID;
2)业务数据;
3)用于标识业务实时修改成功与否的修改结果标志Modify-Result;参照图2,按正常流程进行AAA认证进入网络后,上网用户提出修改业务数据后,执行:
A、认证授权计费服务器向接入设备发送实时修改请求Access-Modify报文,该报文包含的属性有用户连接标志Connect-ID和待修改业务数据;具体实施中Connect-ID可选用无符号整数。
B、接入设备收到Access-Modify;
C、接入设备向认证授权计费服务器发送计费请求Accounting-Request报文,其属性域中包括值为Access-Modify的计费状态属性、兼有修改前后业务数据的业务数据属性及Modify-Result:
D、认证授权计费服务器对所收到的上述计费请求Accounting-Request报文,回应计费应答Accounting-Response报文;
E、认证授权计费服务器将修改结果通知用户。
为了保证接入设备正确执行,屏蔽非法和恶意攻击的报文,在具体实施中可在所述步骤A与步骤B之间执行以下步骤:在所述步骤A与步骤B之间执行以下步骤:
A1、将Access-Modify报文中用于承载验证报文合法性信息的字段Authenticator中的全部字节赋值为0;再将一共享密钥加到报文的尾部,组成一个信息包;
A2、对该信息包使用验证加密算法MD5,将得到的发送报文摘要重新写入该报文的Authenticator中;
并在所述步骤B后,首先依下述步骤验证Access-Modify报文的合法性:
B01、判断该报文的IP地址在接入设备上是否有登记,如果无,将该报文丢弃;如果有,继续;
B02、先将报文中的Authenticator复制到一个临时变量,然后将Authenticator的全部字节赋值为0,再将共享密钥追加到报文的尾部,组成一个信息包,
B03、采用MD5算法对这个信息包进行运算,得出一个接收报文摘要;
B04、对接收报文摘要与临时变量所存的发送报文摘要进行比较,如果相等,得出该报文合法并继续步骤B的后续步骤;如果不等,得出该报文非法并将其丢弃。
为保证本发明方法的可靠实施,AAA服务器发送Access-Modify报文后,一定时间内没有收到Accounting-Request(Access-Modify)的回应,则重发Access-Modify报文,当重复一定次数后,都没有收到响应报文,则认为该次修改失败。接入设备发送Accounting-Request(Access-Modify)后进入等待Accounting-Response报文的阶段,如果一定时间间隔内没有收到Accounting-Request报文,则重发Accounting-Request(Access-Modify)报文直到下一个实时计费时刻到来为止。在此情况下为避免接入设备的重复执行,可在实施中作如下的进一步改进:
令所述属性域扩充的内容还包括用于鉴别接入设备与认证授权计费服务器是否同步的标准认证授权计费协议属性Acct-Session-ID和用于标识同一内容但不同次序的实时修改的序列号属性Serial-ID;Serial-ID可选用无符号整数,重发的报文中Connect-ID、Acct-Session-ID必须与前面报文中的相同。如图3所示,在所述步骤C之前执行下述步骤:
B1、通过用户连接标志Connect-ID查找用户连接号;
B2、比较用户连接号与标准协议属性Acct-Session-ID,如果相同,执行步骤B3;如果不同,丢弃该报文并结束操作;
B3、比较Serial-ID与本地报文的Serial-ID,如果相同,判断与该Serial-ID相应实时修改是否完成,如果未完成,则丢弃该报文并结束操作,如果已完成,转步骤C;如果不同,执行相应实时修改后转步骤C。
上述报文中用于标识业务实时修改成功与否的修改结果标志Modify-Result可以有三种取值,分别标识业务数据实时修改全部成功、部分成功和全部失败,并在实时修改过程中动态设置,以作为流程中的判断依据。
Claims (3)
1、一种实现认证授权计费过程中实时修改业务的方法,其特征在于:
对接入设备与认证授权计费服务器间的认证授权计费协议的属性域作包括下述内容的扩充:
1)用于标识不同用户的用户连接标志(Connect-ID);
2)业务数据;
3)用于标识业务实时修改成功与否的修改结果标志(Modify-Result);
并对接入设备与认证授权计费服务器间的认证授权计费协议的的协议流程扩充下述步骤:
A、认证授权计费服务器向接入设备发送实时修改请求(Access-Modify)报文,该报文包含的属性有用户连接标志(Connect-ID)和待修改业务数据;
B、接入设备收到实时修改请求报文(Access-Modify);
C、接入设备向认证授权计费服务器发送计费请求(Accounting-Request)报文,其属性域中包括值为实时修改请求(Access-Modify)的计费状态属性、兼有修改前后业务数据的业务数据属性及修改结果标志(Modify-Result);
D、认证授权计费服务器对所收到的上述计费请求(Accounting-Request)报文,回应计费应答(Accounting-Response)报文;
E、认证授权计费服务器将修改结果通知用户。
2、如权利要求1所述的实现认证授权计费过程中实时修改业务的方法,其特征在于:在所述步骤A与步骤B之间执行以下步骤:
A1、将实时修改请求(Access-Modify)报文中用于承载验证报文合法性信息的字段(Authenticator)中的全部字节赋值为0;再将一共享密钥加到报文的尾部,组成一个信息包;
A2、对该信息包使用验证加密算法(MD5),将得到的发送报文摘要重新写入该报文的合法性信息字段(Authenticator)中;
并在所述步骤B后,首先依下述步骤验证实时修改请求(Access-Modify)报文的合法性:
B01、判断该报文的IP地址在接入设备上是否有登记,如果无,将该报文丢弃;如果有,继续;
B02、先将报文中的合法性信息字段(Authenticator)复制到一个临时变量,然后将合法性信息字段(Authenticator)的全部字节赋值为0,再将共享密钥追加到报文的尾部,组成一个信息包,
B03、采用验证加密算法(MD5)对这个信息包进行运算,得出一个接收报文摘要;
B04、对接收报文摘要与临时变量所存的发送报文摘要进行比较,如果相等,得出该报文合法并继续步骤B的后续步骤;如果不等,得出该报文非法并将其丢弃。
3、如权利要求1或2所述的接入设备与认证授权计费服务器间实时修改业务的方法,其特征在于:所述对接入设备与认证授权计费服务器间的认证授权计费协议的属性域的扩充内容还包括用于鉴别接入设备与认证授权计费服务器是否同步的标准认证授权计费协议属性(Acct-Session-ID)和用于标识同一内容但不同次序的实时修改的序列号属性(Serial-ID);并在所述步骤C之前执行下述步骤:
B1、通过用户连接标志(Connect-ID)查找用户连接号;
B2、比较用户连接号与标准协议属性(Acct-Session-ID),如果相同,执行步骤B3;如果不同,丢弃该报文并结束操作;
B3、比较序列号属性(Serial-ID)与本地报文的序列号属性(Serial-ID),如果相同,判断与该序列号属性(Serial-ID)相应实时修改是否完成,如果未完成,则丢弃该报文,如果已完成,执行步骤C;如果不同,执行相应实时修改后转步骤C。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02104111 CN1213565C (zh) | 2002-03-04 | 2002-03-04 | 实现认证授权计费过程中实时修改业务的方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN 02104111 CN1213565C (zh) | 2002-03-04 | 2002-03-04 | 实现认证授权计费过程中实时修改业务的方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1442981A true CN1442981A (zh) | 2003-09-17 |
CN1213565C CN1213565C (zh) | 2005-08-03 |
Family
ID=27793044
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN 02104111 Expired - Fee Related CN1213565C (zh) | 2002-03-04 | 2002-03-04 | 实现认证授权计费过程中实时修改业务的方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN1213565C (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1317878C (zh) * | 2004-04-29 | 2007-05-23 | 华为技术有限公司 | 一种实现计费的方法 |
WO2008019626A1 (fr) * | 2006-08-14 | 2008-02-21 | Huawei Technologies Co., Ltd. | Procédé, système et appareil de gestion des informations concernant les règles d'utilisation et de facturation associées au profil d'utilisateur dans un réseau évolutif |
CN100433638C (zh) * | 2004-12-29 | 2008-11-12 | 华为技术有限公司 | 一种区分测量修改前后用户设备测量报告的方法 |
CN101374138B (zh) * | 2007-08-21 | 2011-06-15 | 华为技术有限公司 | 一种在sip协议中请求业务修改的方法、网络系统及装置 |
CN102970614A (zh) * | 2012-11-22 | 2013-03-13 | 杭州华三通信技术有限公司 | Iptv网络中的aaa服务器及其处理方法 |
CN110855596A (zh) * | 2018-08-20 | 2020-02-28 | 中兴通讯股份有限公司 | 一种通信连接方法、装置、通信设备及计算机可读存储介质 |
-
2002
- 2002-03-04 CN CN 02104111 patent/CN1213565C/zh not_active Expired - Fee Related
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1317878C (zh) * | 2004-04-29 | 2007-05-23 | 华为技术有限公司 | 一种实现计费的方法 |
CN100433638C (zh) * | 2004-12-29 | 2008-11-12 | 华为技术有限公司 | 一种区分测量修改前后用户设备测量报告的方法 |
WO2008019626A1 (fr) * | 2006-08-14 | 2008-02-21 | Huawei Technologies Co., Ltd. | Procédé, système et appareil de gestion des informations concernant les règles d'utilisation et de facturation associées au profil d'utilisateur dans un réseau évolutif |
CN101374138B (zh) * | 2007-08-21 | 2011-06-15 | 华为技术有限公司 | 一种在sip协议中请求业务修改的方法、网络系统及装置 |
CN102970614A (zh) * | 2012-11-22 | 2013-03-13 | 杭州华三通信技术有限公司 | Iptv网络中的aaa服务器及其处理方法 |
CN102970614B (zh) * | 2012-11-22 | 2016-06-08 | 杭州华三通信技术有限公司 | Iptv网络中的aaa服务器及其处理方法 |
CN110855596A (zh) * | 2018-08-20 | 2020-02-28 | 中兴通讯股份有限公司 | 一种通信连接方法、装置、通信设备及计算机可读存储介质 |
CN110855596B (zh) * | 2018-08-20 | 2022-03-04 | 中兴通讯股份有限公司 | 一种通信连接方法、装置、通信设备及计算机可读存储介质 |
Also Published As
Publication number | Publication date |
---|---|
CN1213565C (zh) | 2005-08-03 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100337229C (zh) | 网络认证、授权和计帐系统及方法 | |
US7752434B2 (en) | System and method for secure communication | |
TWI426762B (zh) | 網路身分管理方法與系統 | |
US20070033644A1 (en) | System and method for the secure enrollment of devices with a clearinghouse server for internet telephony and multimedia communications | |
US11521205B2 (en) | Method for certificate transaction validation of blockchain-based resource public key infrastructure | |
CN1340940A (zh) | 用于处理分组业务的接入-请求消息的方法 | |
CN1243434C (zh) | 基于远程认证的网络中实现eap认证的方法 | |
US9787650B2 (en) | System and method for multiparty billing of network services | |
CN1893638A (zh) | 交互式网络电视用户的实时认证方法 | |
CN101330494A (zh) | 一种基于可信认证网关实现计算机终端安全准入的方法 | |
CN1437375A (zh) | 一种安全移动电子商务平台数字证书的认证方法 | |
CN101043614A (zh) | 一种将用户ip地址同用户等级结合的视频点播方法 | |
CN1395388A (zh) | 一种对组播业务进行认证的方法 | |
CN1647451A (zh) | 在网络环境中监视信息 | |
CN1213565C (zh) | 实现认证授权计费过程中实时修改业务的方法 | |
CN115811406A (zh) | 一种基于环签名共识机制的物联网区块链认证方法和系统 | |
WO2007082444A1 (fr) | Procede d'acces a internet sans fil pour un client ayant souscrit a un service de prepaiement | |
CN1430377A (zh) | 互联网内容付费的实现方法 | |
CN114338242A (zh) | 一种基于区块链技术的跨域单点登录访问方法及系统 | |
CN114666060B (zh) | 一种基于Hyperledger Fabric的电子数据保全方法及系统 | |
JP3682770B2 (ja) | ディジタルコンテンツ提供方法及びサーバ並びにプログラム | |
CN1361968A (zh) | 用于因特网业务提供者的本地政策执行的系统和方法 | |
CN111130772B (zh) | 一种终端设备及其管理服务器证书的方法 | |
CN108400967A (zh) | 一种鉴权方法及鉴权系统 | |
CN1315285C (zh) | 认证服务器检测接入设备异常重启的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20050803 Termination date: 20150304 |
|
EXPY | Termination of patent right or utility model |