CN1881876A - 对漫游用户进行认证的方法 - Google Patents
对漫游用户进行认证的方法 Download PDFInfo
- Publication number
- CN1881876A CN1881876A CN 200510076852 CN200510076852A CN1881876A CN 1881876 A CN1881876 A CN 1881876A CN 200510076852 CN200510076852 CN 200510076852 CN 200510076852 A CN200510076852 A CN 200510076852A CN 1881876 A CN1881876 A CN 1881876A
- Authority
- CN
- China
- Prior art keywords
- aaa
- visit ground
- authentication
- message
- authentication request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种对漫游用户进行认证的方法,用以解决现有技术中在接入漫游用户过程中归属地AAA代理服务器可能会收到消息标识码相同的认证请求的问题。拜访地AAA代理服务器收到漫游用户的认证请求后,将认证请求中原有的消息标识码替换为重新分配的消息标识码,并将改动后的认证请求发送给归属地AAA服务器进行处理;拜访地AAA代理服务器收到归属地AAA服务器对认证请求的回复消息后,将回复消息中的消息识别码恢复为认证请求原有的消息识别码,发送给拜访地AAA客户端。从而解决了现有技术中归属地AAA代理服务器可能会收到消息标识码相同的认证请求的问题。
Description
技术领域
本发明涉及认证技术,尤其涉及一种对漫游用户进行认证的方法。
背景技术
全世界的因特网用户越来越多,如何对用户进行接入控制是至关重要的问题,允许合法的用户使用因特网并对其进行正确的计费是对用户进行网络接入控制的最基本的要求。RADIUS(Ramote Access Dial-In user Service,远端接入拨号用户服务)协议是控制因特网用户接入的国际通用协议,基于C/S(Client/Server,客户端/服务器)模式。用户在使用因特网之前必须先经过认证,AAA(Authentication、Authorization、Accounting,认证、授权、计费)客户端控制着用户到因特网的通路,保证只有通过认证的合法用户才能访问因特网。
图1所示为因特网漫游用户进行认证时的系统结构示意图,用户的开户信息存储在归属地网络的AAA服务器中,当用户漫游到拜访地网络通过拜访地AAA客户端请求使用因特网服务时,拜访地AAA代理服务器要对该漫游用户进行认证,保证只有通过认证的用户才能使用因特网服务。但是漫游用户是在其归属地AAA服务器上开户的,只有归属地AAA服务器才知道该用户是否为合法用户,因此拜访地AAA代理服务器此时作为拜访地AAA代理服务器,把漫游用户的认证信息发到归属地AAA服务器上进行认证,在归属地AAA服务器上完成漫游用户的认证过程,并以归属地AAA服务器的认证结果来控制是否允许漫游用户使用因特网服务。
图2所示为现有技术中因特网漫游用户进行认证的流程图,具体认证过程如下:
漫游用户通过拜访地AAA客户端向拜访地AAA代理服务器发出认证请求,拜访地AAA代理服务器收到AAA客户端的认证请求后,将认证请求的IP报文头中的目的IP地址改为归属地AAA服务器的IP地址,以保证归属地AAA服务器能够收到该认证请求,将改动后的认证请求转发给归属地AAA服务器。归属地AAA服务器将对该认证请求的回复发送给拜访地AAA代理服务器,回复消息为认证响应或认证接受或认证拒绝。拜访地AAA代理服务器将该回复消息的IP报文头中的目的IP地址改为拜访地AAA客户端的IP地址,将改动后的回复消息转发给拜访地AAA客户端,由拜访地AAA客户端将回复消息通知漫游用户。
采用上述方法对因特网漫游用户进行认证时,拜访地AAA代理服务器仅仅起到转发的作用,如果拜访地同时有多个AAA客户端给拜访地AAA代理服务器发送认证请求,由于每个AAA客户端只能保证自己发出的消息携带不同的消息标识码,因此拜访地AAA代理服务器可能会收到由不同的AAA客户端发出的消息标识码相同的认证请求,由于拜访地AAA代理服务器仅起到消息转发的作用,因此归属地AAA服务器同样有可能会收到消息标识码相同的认证请求,RADIUS协议要求不同的消息应带有不同的消息标识码,归属地AAA服务器收到消息标识码相同的认证请求后会认为是重发的消息,从而无法对认证请求进行正确的处理。
另外在拜访地AAA客户端重发认证请求时,拜访地AAA代理服务器会再次把消息转发给归属地AAA服务器,从而增加了网络的负荷。
发明内容
本发明提供一种对漫游用户进行认证的方法,用以解决现有技术中存在的拜访地AAA代理服务器在接入漫游用户过程中向归属地AAA服务器转发认证请求时,由于消息的消息标识码可能相同,从而可能导致归属地AAA服务器无法对认证请求进行正确的处理的问题。
本发明采用以下技术方案:
一种对漫游用户进行认证的方法,所述漫游用户通过拜访地AAA客户端向拜访地AAA代理服务器发出认证请求;包括步骤:
拜访地AAA代理服务器收到漫游用户的认证请求后,将认证请求中原有的消息标识码替换为重新分配的消息标识码,并将改动后的认证请求发送给归属地AAA服务器进行处理;
拜访地AAA代理服务器收到归属地AAA服务器对认证请求的回复消息后,将回复消息中的消息识别码恢复为认证请求原有的消息识别码,发送给拜访地AAA客户端。
所述认证请求为漫游用户本次接入过程的初始认证请求时,拜访地AAA代理服务器在收到认证请求后为本次接入过程建立用于存储认证过程信息的用户上下文。
所述认证过程信息包括初始认证请求中的用户信息和拜访地AAA代理服务器已发出的认证消息。
所述初始认证请求中的用户信息包括用户名、消息标识码、拜访地AAA客户端的IP地址及端口号。
若拜访地AAA代理服务器在限定时间内没有收到归属地AAA服务器对认证请求的回复,则利用用户上下文中存储的认证请求向归属地AAA服务器重发认证请求。
若拜访地AAA代理服务器收到AAA客户端重发的认证请求,则将所对应的用户上下文中存储的对该认证请求的回复消息重发给拜访地AAA客户端。
所述回复消息为认证响应、认证接受或认证拒绝。
拜访地AAA代理服务器在发送给拜访地AAA客户端的认证响应中添加用于识别同一接入过程认证消息的特征标识。
若拜访地AAA客户端对认证响应的回复消息中携带有特征标识,则拜访地AAA代理服务器根据该特征标识为回复消息查找所对应的用户上下文,并根据用户上下文中存储的信息将回复消息发送给归属地AAA服务器。
若所述拜访地AAA客户端对认证响应的回复消息中没有携带特征标识,则拜访地AAA代理服务器为该回复消息新建用户上下文,并将该回复消息发送给归属地AAA服务器。
所述特征标识的内容为拜访地AAA代理服务器产生的随机数。
本发明采用了以上技术方案,具有以下有益效果:
在本发明中,拜访地AAA代理服务器将漫游用户的认证请求中原有的消息标识码替换为重新分配的消息标识码后再发送该认证请求,从而解决了现有技术中归属地AAA代理服务器可能会收到消息标识码相同的认证请求的问题。
本发明中,拜访地AAA代理服务器为漫游用户建立了用于存储认证过程信息的用户上下文,当拜访地AAA代理服务器在限定时间内并没有收到归属地AAA服务器的回复消息时,可利用用户上下文中存储的认证消息向归属地AAA服务器认证请求,无须漫游用户重发,从而减少了网络负荷。当拜访地AAA代理服务器收到漫游用户重发的认证请求时,可将保存在用户上下文中的对该认证请求的回复消息直接发给漫游用户,无须将重发的认证请求再次转发给归属地AAA服务器,从而减少了网络的负荷
附图说明
图1为因特网漫游用户进行认证时的系统结构示意图;
图2为现有技术对因特网漫游用户进行认证的流程图;
图3为本发明对因特网漫游用户进行认证的流程图;
图4为当拜访地AAA代理服务器收到认证响应时的处理流程图。
具体实施方式
下面结合附图对本发明作进一步详细的描述。
在本发明所述方法中,拜访地AAA代理服务器具有服务器和客户端的双重功能,对于拜访地AAA客户端来说,拜访地AAA代理服务器作为一个AAA服务器,对于归属地AAA服务器来说,拜访地AAA代理服务器作为一个AAA客户端。
如图3所示,本发明对漫游用户进行认证的具体过程如下:
当因特网漫游用户在拜访地请求接入因特网时,该漫游用户通过拜访地AAA客户端向拜访地AAA代理服务器发出认证请求,拜访地AAA代理服务器收到拜访地AAA客户端的认证请求后,为该漫游用户的本次接入过程创建一个用户上下文,用于存储认证请求中的用户信息以及拜访地AAA代理服务器发送的认证信息。拜访地AAA代理服务器将认证请求中携带的用户名、消息标识码、拜访地AAA客户端的IP地址及端口号等用户信息存储在用户上下文中,同时用一个重新分配的消息标识码替换掉认证请求中原有的消息标识码,拜访地AAA代理服务器每次分配的消息标识码互不相同。拜访地AAA代理服务器将认证请求的IP报文头中的目的IP地址改为归属地AAA服务器的IP地址,并将改动后的认证请求记录在用户上下文中,拜访地AAA代理服务器将改动后的认证请求发送给归属地AAA服务器,由归属地AAA服务器对漫游用户进行认证。
归属地AAA服务器将对认证请求的回复消息发送给拜访地AAA代理服务器,回复消息可以为认证响应或认证接受或认证拒绝,其中认证响应是接入过程的中间消息,代表接入过程还没有结束,而认证接受和认证拒绝是接入过程的结束消息。
如图4所示,当拜访地AAA代理服务器收到的回复消息为认证响应时,则在该认证响应中增加一个用于标识属于同一接入过程的认证消息的状态属性字段,即增加一个特征标识,将该状态属性字段记录在用户上下文中,该状态属性字段的内容是由拜访地AAA代理服务器产生的随机数。同时将认证响应中的消息标识码恢复为用户上下文中存储的本次接入过程中首次认证请求原有的消息标识码,并将认证响应的IP报文头中的目的地址改为拜访地AAA客户端的IP地址,拜访地AAA代理服务器将改动后的认证响应记录在用户上下文中后,向拜访地AAA客户端发送改动后的认证响应。
当拜访地AAA代理服务器收到的回复消息为认证接受或认证拒绝时,则拜访地AAA代理服务器将认证接受或认证拒绝中的消息标识码恢复为用户上下文中存储的本次接入过程中首次认证请求原有的消息标识码,并将认证接受或认证拒绝的IP报文头中的目的地址改为拜访地AAA客户端的IP地址,拜访地AAA代理服务器将改动后的认证接受或认证拒绝记录在用户上下文中后,向拜访地AAA客户端发送改动后的认证接受或认证拒绝消息。
若拜访地AAA客户端向拜访地AAA代理服务器发送的认证请求中带有状态属性字段,则可以确定该认证请求属于一个正在进行中的接入过程,拜访地AAA代理服务器从状态属性字段中解析出随机数,将该随机数与用户上下文中的随机数进行匹配,即可为该认证请求匹配到正确的用户上下文,用户上下文中存储有该漫游用户的在本次接入过程中的用户信息,由于这条认证请求和前面若干条认证消息是属于同一个接入流程的,因此需要用到前面的认证消息在用户上下文中存储下来的归属地AAA服务器的地址信息。拜访地AAA代理服务器为该认证请求重新分配一个消息标识码替换掉认证请求中的消息标识码,并将认证请求的IP报文头中的目的地址改为归属地AAA服务器的IP地址,将改动后的认证请求记录在用户上下文中后,向归属地AAA服务器发送本次认证请求。
如果拜访地AAA客户端不支持状态属性,那么拜访地AAA代理服务器在收到认证请求时,无法判断出该认证请求是对认证响应消息的响应,还是一条新的认证请求,此时可以再建一个新的用户上下文,这样可以保证对不支持状态属性的AAA客户端的兼容。
由于拜访地AAA代理服务器为漫游用户建立的用户上下文中保存了在认证全过程中的用户信息和拜访地AAA代理服务器发送的认证信息,因此当拜访地AAA代理服务器向归属地AAA服务器发送认证请求后在限定时间内并没有收到归属地AAA服务器的回复消息时,拜访地AAA代理服务器可利用用户上下文中存储的认证请求向归属地AAA服务器重发本次认证请求,无须漫游用户重发,从而减少了网络负荷。同样当拜访地AAA代理服务器收到与用户上下文中存储的认证消息的消息标识码相同且AAA客户端IP地址相同的认证请求时,即可断定该认证请求是同一漫游用户在接入过程中重发的认证请求,此时拜访地AAA代理服务器会将保存在用户上下文中的对该认证请求的回复消息直接发给漫游用户,无须将重发的认证请求再次转发给归属地AAA服务器,从而减少了网络的负荷。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (11)
1、一种对漫游用户进行认证的方法,所述漫游用户通过拜访地AAA客户端向拜访地AAA代理服务器发出认证请求;其特征在于,包括步骤:
拜访地AAA代理服务器收到漫游用户的认证请求后,将认证请求中原有的消息标识码替换为重新分配的消息标识码,并将改动后的认证请求发送给归属地AAA服务器进行处理;
拜访地AAA代理服务器收到归属地AAA服务器对认证请求的回复消息后,将回复消息中的消息识别码恢复为认证请求原有的消息识别码,发送给拜访地AAA客户端。
2、根据权利要求1所述的对漫游用户进行认证的方法,其特征在于,所述认证请求为漫游用户本次接入过程的初始认证请求时,拜访地AAA代理服务器在收到认证请求后为本次接入过程建立用于存储认证过程信息的用户上下文。
3、根据权利要求2所述的对漫游用户进行认证的方法,其特征在于,所述认证过程信息包括初始认证请求中的用户信息和拜访地AAA代理服务器已发出的认证消息。
4、根据权利要求3所述的对漫游用户进行认证的方法,其特征在于,所述初始认证请求中的用户信息包括用户名、消息标识码、拜访地AAA客户端的IP地址及端口号。
5、根据权利要求3所述的的对漫游用户进行认证的方法,其特征在于,若拜访地AAA代理服务器在限定时间内没有收到归属地AAA服务器对认证请求的回复,则利用用户上下文中存储的认证请求向归属地AAA服务器重发认证请求。
6、根据权利要求3所述的的对漫游用户进行认证的方法,其特征在于,若拜访地AAA代理服务器收到AAA客户端重发的认证请求,则将所对应的用户上下文中存储的对该认证请求的回复消息重发给拜访地AAA客户端。
7、根据权利要求2所述的对漫游用户进行认证的方法,其特征在于,所述回复消息为认证响应、认证接受或认证拒绝。
8、根据权利要求7所述的对漫游用户进行认证的方法,其特征在于,拜访地AAA代理服务器在发送给拜访地AAA客户端的认证响应中添加用于识别同一接入过程认证消息的特征标识。
9、根据权利要求8所述的对漫游用户进行认证的方法,其特征在于,若拜访地AAA客户端对认证响应的回复消息中携带有特征标识,则拜访地AAA代理服务器根据该特征标识为回复消息查找所对应的用户上下文,并根据用户上下文中存储的信息将回复消息发送给归属地AAA服务器。
10、根据权利要求8所述的对漫游用户进行认证的方法,其特征在于,若所述拜访地AAA客户端对认证响应的回复消息中没有携带特征标识,则拜访地AAA代理服务器为该回复消息新建用户上下文,并将该回复消息发送给归属地AAA服务器。
11、根据权利要求8、9或10所述的对漫游用户进行认证的方法,其特征在于,所述特征标识的内容为拜访地AAA代理服务器产生的随机数。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510076852XA CN100574190C (zh) | 2005-06-17 | 2005-06-17 | 对漫游用户进行认证的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CNB200510076852XA CN100574190C (zh) | 2005-06-17 | 2005-06-17 | 对漫游用户进行认证的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1881876A true CN1881876A (zh) | 2006-12-20 |
| CN100574190C CN100574190C (zh) | 2009-12-23 |
Family
ID=37519867
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB200510076852XA Expired - Fee Related CN100574190C (zh) | 2005-06-17 | 2005-06-17 | 对漫游用户进行认证的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN100574190C (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015192562A1 (zh) * | 2014-06-17 | 2015-12-23 | 中兴通讯股份有限公司 | 通信系统、基于通信系统的接入认证方法及系统 |
| CN108809927A (zh) * | 2018-03-26 | 2018-11-13 | 平安科技(深圳)有限公司 | 身份认证方法及装置 |
-
2005
- 2005-06-17 CN CNB200510076852XA patent/CN100574190C/zh not_active Expired - Fee Related
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015192562A1 (zh) * | 2014-06-17 | 2015-12-23 | 中兴通讯股份有限公司 | 通信系统、基于通信系统的接入认证方法及系统 |
| US10623405B2 (en) | 2014-06-17 | 2020-04-14 | Zte Corporation | Communication system, access authentication method and system based on communication system |
| CN108809927A (zh) * | 2018-03-26 | 2018-11-13 | 平安科技(深圳)有限公司 | 身份认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN100574190C (zh) | 2009-12-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100950894B1 (ko) | 보이스 오버 인터넷 프로토콜(브이오아이피) 커뮤니케이션내에서 디지털-증명서를 등록하고 자동으로 검색하는 방법및 시스템 | |
| CN1199418C (zh) | 安全会话定序的代理系统及其方法 | |
| CN101465856B (zh) | 一种对用户进行访问控制的方法和系统 | |
| US7636569B2 (en) | Method of registering home address of a mobile node with a home agent | |
| CN1210934C (zh) | 通信网络用于实现跨越网络节点的用户移动性的方法 | |
| EP1345379A2 (en) | A method and apparatus for authenticating users of mobile devices | |
| CN1547343A (zh) | 一种基于数字证书的单点登录方法 | |
| CN1586065A (zh) | 利用网络地址转换的对等网络通信 | |
| CN1918885A (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| CN111586025A (zh) | 一种基于sdn的sdp安全组实现方法及安全系统 | |
| JP2002508121A (ja) | 通信システムに関する方法および装置 | |
| CN1832477A (zh) | 确定服务器和通信者具有兼容安全电子邮件的系统和方法 | |
| CN106534219A (zh) | 用于桌面云门户的安全认证方法和装置 | |
| US20050108423A1 (en) | On demand session provisioning of IP flows | |
| CN1842030A (zh) | 客户机间通信记录的一致性保证管理系统 | |
| CN1456009A (zh) | 用于限制伴随有执行应用程序的呼叫发起的方法和装置 | |
| CN107135203A (zh) | 一种终端访问控制策略优化的方法及系统 | |
| CN1921682A (zh) | 增强通用鉴权框架中的密钥协商方法 | |
| CN1197324C (zh) | 识别因特网用户的方法 | |
| CN1881876A (zh) | 对漫游用户进行认证的方法 | |
| CN1795656A (zh) | 移动通信系统中的安全通信改向 | |
| JP2012514919A (ja) | ピアツーピアネットワークのネットワークノードを認証するための方法とシステム | |
| CN101272389A (zh) | 一种cs通信方法、系统和装置 | |
| CN1317903C (zh) | 多个使用者共享移动终端的鉴权方法 | |
| CN110381174B (zh) | 一种基于无状态扫描的高速域名解析方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201207 Address after: Unit 2414-2416, main building, no.371, Wushan Road, Tianhe District, Guangzhou City, Guangdong Province Patentee after: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. Address before: 518129 Bantian HUAWEI headquarters office building, Longgang District, Guangdong, Shenzhen Patentee before: HUAWEI TECHNOLOGIES Co.,Ltd. Effective date of registration: 20201207 Address after: 221300 No. 88 Liaohe West Road, Pizhou Economic Development Zone, Xuzhou City, Jiangsu Province Patentee after: SU Normal University Semiconductor Materials and Equipment Research Institute (Pizhou) Co.,Ltd. Address before: Unit 2414-2416, main building, no.371, Wushan Road, Tianhe District, Guangzhou City, Guangdong Province Patentee before: GUANGDONG GAOHANG INTELLECTUAL PROPERTY OPERATION Co.,Ltd. |
|
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20091223 Termination date: 20200617 |