CN1918885A - 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 - Google Patents
当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 Download PDFInfo
- Publication number
- CN1918885A CN1918885A CNA2005800044193A CN200580004419A CN1918885A CN 1918885 A CN1918885 A CN 1918885A CN A2005800044193 A CNA2005800044193 A CN A2005800044193A CN 200580004419 A CN200580004419 A CN 200580004419A CN 1918885 A CN1918885 A CN 1918885A
- Authority
- CN
- China
- Prior art keywords
- access
- server
- authentication
- request
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W80/00—Wireless network protocols or protocol adaptations to wireless operation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
为了在用户需要通过接入网络(1,2)接入IP传输网络(5)的情况下控制用户的授权,用户终端(11,12,13)向接入供应商(6,7,8)发出接入请求,该接入请求包含用于向接入供应商进行用户认证的数据,然后所述请求被传送到接入网络(1,2)的接入服务器(9),以被发送到接入供应商的远程认证服务器(15)。在接收到所述接入请求后,接入服务器(9)向接入网络(1,2)的代理服务器(10)发出RADIUS请求,代理服务器决定用户是否必须被本地认证,若是,则代理服务器向接入服务器(9)传送将被发送至用户终端的要求认证数据的请求,并根据用户提供的认证数据执行本地程序以认证用户。
Description
本发明涉及基于IP(网际协议)传输的服务提供,例如通过IP的因特网或电话连接。
本发明特别应用于基于RADIUS(Remote Authentication Dial InUser Service;远程认证拨号用户服务)协议的结构,所述协议广泛用于IP网络中,以管理用户的接入授权以及为给定管理区域内的用户开立帐单时所必须的计算。在这一点上,管理区域集合了所有由单个网络管理者管理的网络设备。这些结构还用于对处于漫游状态的用户接入网络进行管理,即,由用户所处的属于不同管理区域的网络进行连接,继而在不同管理区域之间执行认证管理。
在能够通过诸如ADSL(非对称数字用户线)、WLAN(无线局域网)以及WAP(无线应用协议)等技术接入IP服务的结构中,至少有两个管理区域参与到接入授权的管理中。它们是本地管理区域,即用户所连接到的区域,以及远程管理区域,即用户期望接入的IP网络或服务的供应商所在区域。在这些结构中,本地管理区域实质上扮演了用户和服务供应商的管理区域之间的中间媒介。
在客户/服务器模式之后被设计的RADIUS协议,使得管理IP网络用户的接入授权成为可能。在上述结构中,用户首先连接到具有RADIUS服务器的本地网络接入服务器,该本地网络接入服务器具有RADIUS客户端,所述客户端负责收集由接入请求提供的信息并将所述信息通过接入请求消息(接入-请求)传送给接入网络的认证服务器。认证服务器通过根据其所具有的信息认证用户来保证接入请求的处理,并且相应地以接入接受消息(接入-接受)形式接入授权或者以包含有拒绝原因的接入拒绝消息(接入-拒绝)形式提供接入拒绝。接入授权消息包含接入服务器所需的为用户提供最终服务的所有信息,特别是接入结构的信息。
除了以上消息之外,RADIUS协议还提供接入质询消息(接入-质询),所述消息使得认证服务器能够向接入服务器发送不可预知的质询值。在接收到上述消息后,接入服务器请求用户向其提供通过对质询值应用预定算法所获得的响应值。在接收到该响应之后,接入服务器向认证服务器传送包含有该响应值的新的接入请求消息。认证服务器根据用户提供的响应值对该新的接入请求消息进行处理,通过发送接入接受或拒绝消息对该新的接入请求消息进行响应。认证服务器还可响应以接入质询消息。
如果接入服务器所呼叫的接入网络认证服务器不具有处理用户发出的接入请求所需的信息,那么其可以通过扮演RADIUS代理服务器的角色来指定合适的认证服务器,代理服务器仅在接入服务器和另一个认证服务器之间转发消息。由此,代理服务器可以将经过它的RADIUS消息路由至多个认证服务器。其还可以对这些消息进行滤波并且修改消息中内容(通过增加、删除或修改属性),但不能修改消息的本性。
因此,在RADIUS协议中所规定的RADIUS代理服务器的角色是非常受限的。然而,这些服务器可能需要执行严格的信令检验,并且可能触发本地认证。具体地说,在接收到接入请求消息后,这种代理服务器无法在不依赖于远程认证服务器的情况下发起与RADIUS客户端的质询/响应交换。
但是在多种应用中,仍然希望除了接入诸如因特网等公共网络之外,不仅能够远程地而且能够本地地认证用户,特别是能够为客户提供本地级的附加服务。
本发明的目的在于克服上述缺点。通过提供一种在用户需要通过接入网络接入至IP传输网络的情况下管理用户授权的方法可以实现这一目的,所述方法包括以下步骤:
-用户终端向IP服务或接入供应商传送接入请求,所述接入请求包含用于通过所述IP服务或接入供应商进行用户认证的数据,所述接入请求通过所述接入网络的接入服务器和所述IP传输网络传送,从而被发送到所述IP服务或接入供应商的远程认证服务器,
-在接收到所述接入请求后,所述接入服务器根据RADIUS协议向所述接入网络的代理服务器传送RADIUS请求,
-在接收到所述RADIUS请求后,所述代理服务器向所述远程认证服务器传送用于接入认证的请求,
-所述远程认证服务器根据包含在所述接入请求中的认证数据执行用户认证程序,并且作为响应,向所述代理服务器传送包含所述用户认证程序结果的响应消息。
根据本发明,所述方法还包括以下步骤:
-对于从所述接入服务器接收的并且对应于用户终端所传送的接入请求的各个RADIUS请求,所述代理服务器决定是否必须在本地网络水平上对发送了所述接入请求的用户执行本地认证,
-如果必须执行所述用户的本地认证,则所述代理服务器向所述接入服务器传送用于认证数据的请求,所述请求被转发至所述用户终端,并且所述代理服务器通过所述接入服务器接收来自所述用户终端的响应消息,并根据包含在所述响应消息中的所述认证数据执行用于用户本地认证的程序。
根据本发明的优选实施方案,当必须执行本地用户认证时,通过所述代理服务器传送到所述用户终端的所述认证数据请求是包含随机号码的质询消息。
有利地,所述质询消息包含标识,所述标识使得所述用户终端能够确定所述质询消息是否与本地用户认证相关。
根据本发明的优选实施方案,由所述远程认证服务器进行的所述用户远程认证包括以下步骤:
-所述远程认证服务器向所述用户传送包含有随机号码的质询消息,
-所述代理服务器将所述远程认证服务器传送的所述质询消息转发到所述用户,并且在响应消息中接收用于通过所述远程认证服务器进行用户认证的数据,
-所述代理服务器将所述用户终端传送的所述响应消息转发到所述远程认证服务器,
-所述代理服务器从所述远程认证服务器接收包含有所述用户认证结果的消息。
根据本发明的优选实施方案,所述代理服务器根据所述用户的本地和远程认证结果决定应分配给所述用户何种接入权利。
本发明还涉及一种在用户终端需要通过IP传输网络接入至IP服务或接入供应商的情况下管理用户授权的系统,所述系统包括:
-接入网络,所述用户终端与其连接,
-IP网关,其分别保证了所述接入网络与所述IP传输网络之间的连接,
-用于每个接入网络的至少一个接入服务器,其被设计为基于所述用户终端的请求,根据RADIUS协议传送RADIUS接入请求,
-用于每个IP服务或接入供应商的至少一个远程认证服务器,其被设计为根据所述认证服务器接收到的所述接入请求中包含的认证数据认证所述用户,以及
-代理服务器,其连接至所述IP传输网络,其被设计为将由所述接入服务器中之一基于用户请求所传送的各个RADIUS接入请求转发至在所述接入请求中指定的IP服务或接入供应商的远程认证服务器,并且将所述远程认证服务器提供的认证响应转发至所述接入服务器。
根据本发明,所述代理服务器包括:
-装置,用于对于从接入服务器接收的、基于用户请求的各个RADIUS接入请求,决定是否必须在所述本地网络水平对传送了所述接入请求的用户执行本地认证,
-装置,用于通过接入服务器向必须被本地认证的用户终端传送请求认证数据的消息,并且,作为响应,接收来自所述用户终端的、包含有所述被请求的认证数据的响应消息,以及
-装置,用于根据包含在所述响应消息中的认证信息执行本地用户认证程序。
根据本发明的优选实施方案,所述代理服务器还包括这样的装置,其基于所述本地用户认证结果和所述认证服务器提供的所述用户的认证响应来决定整体认证结果,并且将所述整体认证结果转发至所述接入服务器。
根据本发明的优选实施方案,各个接入服务器包括RADIUS客户端,并且所述代理服务器包括客户端和RADIUS服务器,用于根据所述RADIUS协议交换消息。
根据本发明的优选实施方案,由所述代理服务器传送的、用于本地认证所述用户的认证数据请求消息是质询消息,其中所述代理服务器包括用于产生插入到所述质询消息内的随机号码的装置,以及用于检验所述用户终端对所述质询消息的响应的装置。
根据本发明的优选实施方案,所述代理服务器包括用于根据所述用户的本地和远程认证的结果决定应分配给所述用户何种接入权利的装置。
本发明还涉及一种代理服务器,其用于对连接至接入网络的用户终端通过IP传输网络接入至IP服务或接入供应商的接入进行授权,所述IP传输网络通过IP网关连接至所述接入网络,其中所述代理服务器连接至IP传输网络,并包括用于实现以下功能的装置:
-根据RADIUS协议,将各个RADIUS接入请求转发至由所述接入请求指定的IP服务或接入供应商的远程认证服务器,所述接入请求是由接入服务器根据用户终端的请求传送的,以及
-向所述接入服务器转发由所述远程认证服务器提供的认证响应。
根据本发明,所述代理服务器还包括实现以下功能的装置:
-对于从接入服务器接收的基于用户请求的各个RADIUS请求,决定是否必须在本地网络水平上对发送了所述接入请求的用户执行本地认证,
-通过接入服务器向必须被本地认证的用户终端发送请求认证数据的消息,并且作为响应,从所述用户终端接收包含有所请求的认证数据的响应消息,以及
-根据包含在所述响应消息中的认证消息执行本地用户认证程序。
本发明还涉及一种用于由代理服务器执行的计算机程序,所述代理服务器被设计为用于通过IP传输网络对连接至接入网络的用户终端接入IP服务或接入供应商进行授权,所述IP传输网络通过IP网关连接至所述接入网络,其中所述代理服务器连接至IP传输网络,所述程序包括用于实现以下功能的指令:
-根据RADIUS协议,将各个RADIUS接入请求转发至所述接入请求中指定的IP服务或接入供应商的远程认证服务器,所述接入请求是由接入服务器根据用户终端的请求传送的,以及
-向所述接入服务器转发由所述远程认证服务器提供的认证响应。
根据本发明,所述程序还包括用于实现以下功能的指令:
-对于从接入服务器接收的基于用户请求的各个RADIUS请求,决定是否必须在本地网络水平上对发送了所述接入请求的用户执行本地认证,
-通过接入服务器向必须被本地认证的用于终端发送请求认证数据的消息,并且作为响应,从所述用户终端接收包含有请求的认证数据的响应消息,以及
-根据包含在所述响应消息中的认证消息执行本地用户认证程序。
以下将参照附图,以非限制性示例的方式描述本发明的优选实施方案,其中:
图1示意性地示出了根据本发明的基于IP传输以提供服务的系统的结构;以及
图2a和2b示出了根据本发明的方法、在图1所示的系统中执行的一系列步骤的示意图。
图1所示的系统包括接入网络1、2,用户终端11、12、13与之连接。接入网络1、2分别通过适于接入网络的IP网关3、4为终端提供接入到IP传输网络5的接口。IP传输网络5使得用户能够接入因特网接入供应商6、7或IP服务供应商8。
根据本发明,该系统还包括分别连接至本地网络1、2的接入服务器9(欲接入IP网络的用户必须与其连接),以及连接至IP传输网络5的认证代理服务器10,各个接入服务器9将终端11、12、13所传送的接入请求传送到认证代理服务器10。
各个接入服务器9被设计为接收用户在相应的本地网络1、2上所传送的,所有用于接入到服务或接入供应商6、7、8的请求,并且利用网关3、4通过IP传输网络将这些请求路由至由用户终端在请求中指定的服务或接入供应商6、7、8,其中各个服务或接入供应商6、7、8具有认证服务器15。
当用户终端11、12、13意欲接入本地网络时,例如,因特网导航软件被自动重导至作为接入服务器9的万维网服务器,接入服务器9执行图2a和2b中所示的接入认证程序。
该程序与RADIUS协议相一致。因此,接入服务器9结合RADIUS客户端以能够接收RADIUS消息并对其进行响应。代理服务器10还具有RADIUS标准中所描述的代理的所有功能。
在以下对于认证程序的全部描述中,所用的RADIUS请求或消息标识符仅是以示例的方式给出。在RADIUS标准中,术语“类型”指消息的类型。
在第一个步骤21中,接入服务器9将包含标识符(等于128)的RADIUS接入请求41传送到位于本地管理区域中的认证代理服务器10。在步骤22中,当接收到所述消息后,代理服务器10存储并分析该消息的内容,以确定用户是否必须被本地认证(步骤23)。
因此,举例来说,如果接入请求来自于特定的本地网络则可以启动本地认证,或者可以基于包含在请求中的用户识别信息来启动本地认证。
如果用户必须被本地认证,则在步骤24中,代理服务器10将RADIUS接入-质询类型的、包含RADIUS标识符(等于128)的接入质询消息44传送至接入服务器9。该消息还包含不可预知的值以及属性,所述不可预知的值是诸如通过代理服务器10或单独的装置(可以为认证中心)随机产生的值,所述属性指示消息来源,即本地管理区域。这样,就可以利用“供应者-特征”属性或者RADIUS协议所规定的“状态”或“回复-消息”属性。
在下一个步骤25中,接入服务器9接收质询消息44,利用指示消息来源的属性识别消息的传送者,并因此要求用户向其提供对于本地认证请求的响应。该响应可以包括通过对包含在质询消息中的随机值应用预定密码算法所获得的响应值,所述算法包括用户专用密钥,其中代理服务器具有用于确定该响应值是否与该随机值和用户密钥相对应的装置。
在下一个步骤26中,接入服务器向代理服务器10传送包含有对本地认证请求的响应的新的接入请求46,该新的接入请求46为含有标识符(等于45)的RADIUS接入请求类型。
在下一个步骤27中,代理服务器10从接入服务器接收由用户提供的对于本地认证的响应,并检验和存储该响应。在下一个步骤28中,如果该响应是无效的(本地认证失败),则通过重复开始于步骤24的程序,代理服务器可以执行另一个认证尝试。如果在预定次数的尝试之后,本地用户认证没有成功,则代理服务器10可以根据本地管理政策通过接入服务器9向用户发送RADIUS接入拒绝消息,或者执行步骤30,通过远程认证服务器15来认证用户,所述认证由用户欲接入的服务或接入供应商来执行。
如果在步骤23中用户无需被本地认证,则程序进入步骤30。在该步骤中,如果服务器15为RADIUS服务器,则代理服务器10向远程认证服务器15(用户希望由其确认)传送包含标识符(等于31)的、RADIUS接入-请求类型的接入请求50。该消息由包含在接入请求41内的信息组成,接入请求41在步骤22中由代理服务器10存储。
在下一个步骤31中,远程认证服务器15接收并分析该消息以确定接入到用户所请求的服务的接入权利。在下一个步骤32中,认证服务器根据所接收的消息50中所包含的确认信息传送响应消息52,响应消息52可以为接受消息、拒绝消息或者质询消息。因此,根据RADIUS协议,消息52可以为接入-接受、接入-拒绝或者接入-质询类型,并且可以包含与所接收的消息50的标识符相对应的标识符(等于31)。
程序的下一个步骤依赖于两个条件(步骤33),即,是否预先请求了用户的本地认证,以及如果请求了用户的本地认证,该认证是成功还是失败。
如果没有预先请求认证,则接收消息52的代理服务器10在步骤34中处理该消息,并向接入服务器9发送消息54。消息54对应于对消息41的响应,消息41在步骤21中由接入服务器传送。这些消息包括例如标识符128(图2b中的情况)。因此,如果由远程认证服务器15传送的消息52是接受消息(RADIUS接入-接受),则代理服务器10向接入服务器9发送接受消息(RADIUS接入-接受)。如果由远程认证服务器15传送的消息52是拒绝消息(RADIUS接入-拒绝),则代理服务器10向接入服务器9发送接受消息(RADIUS接入-拒绝)或者根据代理服务器的本地政策向接入服务器9发送接受消息。如果由远程认证服务器15进行的用户认证失败、或者如果后者需要更多的认证信息或希望应用动态认证机制的话,消息52还可以是质询消息。在这种情况下,传送到接入服务器的消息54为质询消息(RADIUS接入-质询)。
当在步骤35中接入服务器接收了消息54后,接入服务器分析消息的内容,如果其为接受或拒绝消息,则认证程序结束,并且接入服务器根据代理服务器的响应配置用户到本地网络1、2以及用户IP网络5的接入。如果消息54为质询消息,则接入服务器在步骤36中要求用户提供对于远程管理区域的认证请求的响应。在下一个步骤37中,接入服务器建立包含用户响应的接入请求57,并将其发送到代理服务器10。该接入请求为具有等于10的标识符的RADIUS接入-请求消息(图2b中的情况b)。
在下一个步骤38中,代理服务器接收消息57,并在请求消息58中将其转发到远程认证服务器15,消息58为具有等于24的标识符的接入-请求类型的RADIUS消息(图2b中的情况c)。在下一个步骤39中,服务器15接收并分析消息58的内容,并且在下一个步骤40中传送响应消息60,消息60的内容依赖于由服务器15执行的认证的成功。该消息保留标识符24(图2b中的情况d)。因此,消息60可以是接受消息(RADIUS接入-接受)、拒绝消息(RADIUS接入-拒绝)或者新的质询消息(RADIUS接入-质询)。
然后,从步骤34开始重复认证程序,其中代理服务器10处理所接收的消息60并将其以消息54的形式转发至接入服务器。所接收的消息60的标识符(等于24)被10替换--从而对应于由接入服务器传送的消息57的标识符(图2b中的情况e)。
如果被传送至接入服务器9的消息54是接受或拒绝消息,并且包含由远程认证服务器15所执行的认证的结果(没有本地认证),则认证程序终止于步骤35。相反,如果消息54是新的质询消息,则认证程序在步骤36中继续。
如果在步骤33中请求了本地认证并且本地认证成功,则同样执行包括步骤34到40的程序,但是所利用的消息包含有不同确认号码(对应于图2b中a1到e1的情况的消息)。因此,在步骤34中通过代理服务器将包含标识符31的消息52转换为包含标识符45和本地识别结果的消息54。在步骤37中,消息57的标识符45变为20。在下一个步骤38中,消息58的标识符20变为48。在步骤40中,标识符48保持不变。在下一个步骤34中,消息的标识符48变为20。
如果被传送至接入服务器9的消息54为接受或拒绝类型、并且包含带有本地(本地认证成功)和远程认证结果特征的属性,则认证程序终止于步骤35。相反,如果消息54是新的质询消息,则认证程序在步骤36中继续。
在认证程序最后,如果远程认证成功,那么消息54是接受消息,如果远程认证失败,那么根据本地管理政策消息54可以是接受消息或者拒绝消息。
如果在步骤33中请求了本地认证并且本地认证失败,则同样利用包含有不同确认号码的消息(对应于图2b中a2到e2的情况的消息)执行包括步骤34到40的程序。因此,在步骤34中通过代理服务器将包含标识符31的消息52转换为包含标识符45和本地确认结果的消息54。在步骤37中,消息57的标识符45变为30。在下一个步骤38中,消息58的标识符30变为96。在步骤40中,标识符96保持不变。在下一个步骤34中,消息的标识符96变为30。
如果被传送至接入服务器9的消息54为接受或拒绝类型、并且包含带有本地(本地认证失败)和远程认证结果特征的属性,则认证程序终止于步骤35。相反,如果消息54是新的质询消息,则认证程序在步骤36中继续。
在认证程序结束时,根据本地管理政策,被发送至接入服务器9的消息54可以是接受类型(即使本地和远程确认失败)或者拒绝类型。
然后,根据认证程序的结果,接入服务器9适当地配置用户的接入,并且能够通知用户他或她被允许连接的类型。
根据这些规定,本地和远程用户认证程序将是完全独立的。因此,在是否使用认证程序这一点上,各个管理区域是完全自由的。
在本发明的一个实施方案中,使用协议中规定的RADIUS消息的两个“供应者-特征”属性。所述两个属性中的第一个被称作“本地质询”,其包括在由代理服务器10发送到接入服务器9的质询消息中。该属性被用于指示接入服务器其是否是消息的来源。根据是否存在这一属性,接入服务器告知用户是否需要进行本地或远程认证以获得对于质询消息的适当响应。
被称作“认证状态”的第二个属性包括在由代理服务器发送的接受消息中,用于终止用户认证程序,并且用于告知接入服务器本地和远程认证的结果。
该程序非常适用于通过WLAN型开放本地网络(例如Wi-Fi)接入因特网,对于上述本地网络的接入受其拥有者的控制。该本地网络可提供本地服务,例如本地网络接入地的信息提供服务,如平面图、有用地址的列表等。为了接入因特网,连接至该本地网络的用户还必须请求从他们的接入供应商处接入。
在配备有终端的用户处于本地WLAN网络的覆盖范围内、并且启动导航软件的情况下,将被自动重新导引到本地接入网络9的万维服务器。在万维服务器的首页中,用户将被要求输入标识符和密码(如果有的话)以接入本地网络。如果用户想要接入因特网,其必须从列表中选择一个接入供应商,然后根据所选接入供应商输入标识符和密码以实现接入。
用户输入的信息被接入服务器9传送至本地网络的代理服务器10。
如果用户输入了用于接入本地网络的标识符和密码,则本地网络的代理服务器10将启动本地确认程序,并存储认证结果。然后利用由用户选择的接入供应商的认证服务器15启动用户认证程序。
代理服务器将根据本地和远程确认的结果发送接受消息,或者,如果本地和远程确认全部失败的话,发送拒绝消息。在后一种情况下,接入服务器不对用户接入本地或远程服务授权。
如果用户仅被本地认证或者仅由接入供应商认证,则接入服务器仅允许他或她接入相应的服务。如果两种确认全部成功,则接入服务器将为用户提供本地和远程服务的接入。
类似地,如果用户没有请求本地认证,则仅执行远程认证,如果远程认证成功,则接入服务器将为客户配置对于因特网的接入。
在本地网络中分配给用户的服务的质量QoS也可由接入服务器9根据本地认证的结果来调整。
Claims (12)
1.一种在用户需要通过接入网络(1,2)接入至IP传输网络(5)的情况下管理用户授权的方法,所述方法包括以下步骤:
-用户终端(11,12,13)向IP服务或接入供应商(6,7,8)传送接入请求,所述接入请求包含用于通过所述IP服务或接入供应商进行用户认证的数据,所述接入请求通过所述接入网络(1,2)的接入服务器(9)和所述IP传输网络(5)传送,从而被发送到所述IP服务或接入供应商的远程认证服务器(15),
-在接收到所述接入请求后,所述接入服务器(9)根据RADIUS协议向所述接入网络(1,2)的代理服务器(10)传送RADIUS请求,
-在接收到所述RADIUS请求后,所述代理服务器向所述远程认证服务器(15)传送用于接入认证的请求,
-所述远程认证服务器(15)根据包含在所述接入请求中的认证数据执行用户认证程序,并且作为响应,向所述代理服务器传送包含所述用户认证程序结果的响应消息;
其特征在于,所述方法还包括以下步骤:
-对于从所述接入服务器(9)接收的并且对应于用户终端所传送的接入请求的各个RADIUS请求,所述代理服务器决定是否必须在本地网络水平(1,2)上对发送了所述接入请求的用户执行本地认证,
-如果必须执行所述用户的本地认证,则所述代理服务器向所述接入服务器(9)传送用于认证数据的请求,所述请求被转发至所述用户终端,并且所述代理服务器通过所述接入服务器接收来自所述用户终端的响应消息,并根据包含在所述响应消息中的所述认证数据执行用于用户本地认证的程序。
2.如权利要求1所述的方法,其特征在于,当必须执行本地用户认证时,通过所述代理服务器(10)传送到所述用户终端(11,12,13)的所述认证数据请求是包含随机号码的质询消息。
3.如权利要求2所述的方法,其特征在于,所述质询消息包含标识,所述标识使得所述用户终端能够确定所述质询消息是否与本地用户认证相关。
4.如权利要求1至3中任意一项所述的方法,其特征在于,由所述远程认证服务器(15)进行的所述用户远程认证包括以下步骤:
-所述远程认证服务器向所述用户传送包含有随机号码的质询消息,
-所述代理服务器(10)将所述远程认证服务器传送的所述质询消息转发到所述用户,并且在响应消息中接收用于通过所述远程认证服务器进行用户认证的数据,
-所述代理服务器(10)将所述用户终端传送的所述响应消息转发到所述远程认证服务器,
-所述代理服务器(10)从所述远程认证服务器接收包含有所述用户认证结果的消息。
5.如权利要求1至4中任意一项所述的方法,其特征在于,所述代理服务器根据所述用户的本地和远程认证结果决定应分配给所述用户何种接入权利。
6.一种在用户终端需要通过IP传输网络(5)接入至IP服务或接入供应商(6,7,8)的情况下管理用户授权的系统,所述系统包括:
-接入网络(1,2),所述用户终端与其连接,
-IP网关(3,4),其分别保证了所述接入网络(1,2)与所述IP传输网络(5)之间的连接,
-用于每个接入网络的至少一个接入服务器(9),其被设计为基于所述用户终端的请求,根据RADIUS协议传送RADIUS接入请求,
-用于每个IP服务或接入供应商(6,7,8)的至少一个远程认证服务器(15),其被设计为根据所述认证服务器接收到的所述接入请求(50,58)中包含的认证数据认证所述用户,以及
-代理服务器(10),其连接至所述IP传输网络,其被设计为将由所述接入服务器(9)中之一基于用户请求所传送的各个RADIUS接入请求转发至在所述接入请求中指定的IP服务或接入供应商的远程认证服务器(15),并且将所述远程认证服务器(15)提供的认证响应转发至所述接入服务器;
其特征在于,所述代理服务器包括:
-装置,用于对于从接入服务器(9)接收的、基于用户请求的各个RADIUS接入请求,决定是否必须在所述本地网络水平(1,2)对传送了所述接入请求的用户执行本地认证,
-装置,用于通过接入服务器向必须被本地认证的用户终端传送请求认证数据的消息,并且,作为响应,接收来自所述用户终端的、包含有所述被请求的认证数据的响应消息,以及
-装置,用于根据包含在所述响应消息中的认证信息执行本地用户认证程序。
7.如权利要求6所述的系统,其特征在于,所述代理服务器(10)还包括这样的装置,其基于所述本地用户认证结果和所述认证服务器(15)提供的所述用户的认证响应来决定整体认证结果,并且将所述整体认证结果转发至所述接入服务器(9)。
8.如权利要求6或7所述的系统,其特征在于,各个接入服务器(9)包括RADIUS客户端,并且所述代理服务器包括客户端和RADIUS服务器,用于根据所述RADIUS协议交换消息。
9.如权利要求6至8中任意一项所述的系统,其特征在于,由所述代理服务器(10)传送的、用于本地认证所述用户的认证数据请求消息是质询消息,其中所述代理服务器包括用于产生插入到所述质询消息内的随机号码的装置,以及用于检验所述用户终端对所述质询消息的响应的装置。
10.如权利要求6至9中任意一项所述的系统,其特征在于,所述代理服务器(10)包括用于根据所述用户的本地和远程认证的结果决定应分配给所述用户何种接入权利的装置。
11.代理服务器(10),其用于对连接至接入网络(1,2)的用户终端通过IP传输网络(5)接入至IP服务或接入供应商(6,7,8)的接入进行授权,所述IP传输网络(5)通过IP网关(3,4)连接至所述接入网络,其中所述代理服务器连接至IP传输网络,并包括用于实现以下功能的装置:
-根据RADIUS协议,将各个RADIUS接入请求(50,58)转发至由所述接入请求指定的IP服务或接入供应商的远程认证服务器(15),所述接入请求是由接入服务器(9)根据用户终端的请求传送的,以及
-向所述接入服务器转发由所述远程认证服务器(15)提供的认证响应;
其特征在于,所述代理服务器(10)还包括用于实现以下功能的装置:
-对于从接入服务器(9)接收的基于用户请求的各个RADIUS请求,决定是否必须在本地网络水平(1,2)上对发送了所述接入请求的用户执行本地认证,
-通过接入服务器向必须被本地认证的用户终端发送请求认证数据的消息,并且作为响应,从所述用户终端接收包含有所请求的认证数据的响应消息,以及
-根据包含在所述响应消息中的认证消息执行本地用户认证程序。
12.一种用于由代理服务器(10)执行的计算机程序,所述代理服务器(10)被设计为用于通过IP传输网络(5)对连接至接入网络(1,2)的用户终端接入IP服务或接入供应商(6,7,8)进行授权,所述IP传输网络(5)通过IP网关(3,4)连接至所述接入网络,其中所述代理服务器连接至IP传输网络,所述程序包括用于实现以下功能的指令:
-根据RADIUS协议,将各个RADIUS接入请求(50,58)转发至所述接入请求中指定的IP服务或接入供应商的远程认证服务器(15),所述接入请求是由接入服务器(9)根据用户终端的请求传送的,以及
-向所述接入服务器转发由所述远程认证服务器(15)提供的认证响应;
其特征在于,所述程序还包括用于实现以下功能的指令:
-对于从接入服务器(9)接收的基于用户请求的各个RADIUS请求,决定是否必须在本地网络水平(1,2)上对发送了所述接入请求的用户执行本地认证,
-通过接入服务器向必须被本地认证的用于终端发送请求认证数据的消息,并且作为响应,从所述用户终端接收包含有请求的认证数据的响应消息,以及
-根据包含在所述响应消息中的认证消息执行本地用户认证程序。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04290325A EP1562343A1 (fr) | 2004-02-09 | 2004-02-09 | Procédé et système de gestion d'autorisation d'accès d'un utilisateur au niveau d'un domaine administratif local lors d'une connexion de l'utilisateur à un réseau IP |
| EP04290325.2 | 2004-02-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1918885A true CN1918885A (zh) | 2007-02-21 |
| CN100563248C CN100563248C (zh) | 2009-11-25 |
Family
ID=34673752
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005800044193A Active CN100563248C (zh) | 2004-02-09 | 2005-02-01 | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7665129B2 (zh) |
| EP (2) | EP1562343A1 (zh) |
| JP (1) | JP4728258B2 (zh) |
| KR (1) | KR101093902B1 (zh) |
| CN (1) | CN100563248C (zh) |
| WO (1) | WO2005086454A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227282B (zh) * | 2008-01-29 | 2011-05-11 | 中兴通讯股份有限公司 | 混合授权方法和宽带接入认证系统 |
| CN103748833A (zh) * | 2011-08-01 | 2014-04-23 | 英特尔公司 | 对于网络接入控制的方法和系统 |
| CN105208118A (zh) * | 2009-06-03 | 2015-12-30 | 高通股份有限公司 | 用于产生虚拟通用即插即用系统的系统和方法 |
| CN106162635A (zh) * | 2015-04-01 | 2016-11-23 | 北京佰才邦技术有限公司 | 用户设备的认证方法和装置 |
| CN106714167A (zh) * | 2016-12-30 | 2017-05-24 | 北京华为数字技术有限公司 | 一种认证方法及网络接入服务器 |
| CN110958248A (zh) * | 2019-12-03 | 2020-04-03 | 紫光云(南京)数字技术有限公司 | 网络服务系统间的免密认证方法、装置及系统 |
Families Citing this family (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7344547B2 (en) | 1998-09-15 | 2008-03-18 | Phavel Systems, Inc. | Laparoscopic instruments and trocar systems and related surgical method |
| JP3791489B2 (ja) * | 2002-12-13 | 2006-06-28 | ソニー株式会社 | ポータブルサーバ |
| US7877081B2 (en) * | 2003-07-25 | 2011-01-25 | Qualcomm Incorporated | Proxy-encrypted authentication for tethered devices |
| CA2554712C (en) * | 2004-01-29 | 2016-08-16 | John G. Hildebrand | System and method of supporting transport and playback of signals |
| US20080077693A1 (en) * | 2006-09-22 | 2008-03-27 | International Business Machines Corporation | System and method for automatically generating a proxy interface object to communicate through a gateway software server to a remote software server |
| US20080320566A1 (en) * | 2007-06-25 | 2008-12-25 | Microsoft Corporation | Device provisioning and domain join emulation over non-secured networks |
| KR101467174B1 (ko) * | 2007-08-16 | 2014-12-01 | 삼성전자주식회사 | 통신 수행 방법 및 그 장치와, 통신 수행 제어 방법 및 그장치 |
| US8422362B2 (en) * | 2008-08-05 | 2013-04-16 | At&T Intellectual Property I, Lp | Reliability as an interdomain service |
| ES2337437B8 (es) * | 2008-10-22 | 2011-08-02 | Telefonica S.A. | S de red seguros basado en el contextoprocedimiento y sistema para controlar el acceso inalambrico a recurso. |
| KR101015665B1 (ko) * | 2009-03-16 | 2011-02-22 | 삼성전자주식회사 | 이동 통신 단말과 액세스 포인트 간에 연결 방법 및 시스템 |
| CN101990192A (zh) * | 2009-07-30 | 2011-03-23 | 中兴通讯股份有限公司 | 本地ip访问连接属性的通知方法与装置 |
| US20110107410A1 (en) * | 2009-11-02 | 2011-05-05 | At&T Intellectual Property I,L.P. | Methods, systems, and computer program products for controlling server access using an authentication server |
| US8590031B2 (en) * | 2009-12-17 | 2013-11-19 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server |
| US20110154469A1 (en) * | 2009-12-17 | 2011-06-23 | At&T Intellectual Property Llp | Methods, systems, and computer program products for access control services using source port filtering |
| JP5750935B2 (ja) * | 2011-02-24 | 2015-07-22 | 富士ゼロックス株式会社 | 情報処理システム、情報処理装置、サーバ装置およびプログラム |
| CN102638463A (zh) * | 2012-03-28 | 2012-08-15 | 中兴通讯股份有限公司 | 跟踪特定radius会话的方法和装置 |
| CN102916946B (zh) * | 2012-09-29 | 2015-08-19 | 李勇奇 | 接入控制方法及系统 |
| US9065882B2 (en) * | 2013-03-05 | 2015-06-23 | Comcast Cable Communications, Llc | Processing signaling changes |
| JP2016085641A (ja) * | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
| CN104333855B (zh) * | 2014-10-31 | 2018-04-27 | 北京思特奇信息技术股份有限公司 | 一种无线宽带认证漫游转发的方法及系统 |
| CN104378457A (zh) * | 2014-11-26 | 2015-02-25 | 中国联合网络通信集团有限公司 | 一种分配ip地址的方法、装置及系统 |
| WO2018098761A1 (zh) * | 2016-11-30 | 2018-06-07 | 华为技术有限公司 | 数据传输方法及设备 |
| CN109150796B (zh) * | 2017-06-15 | 2022-02-22 | 阿里巴巴(中国)有限公司 | 数据访问方法和装置 |
| CN109819441A (zh) * | 2017-11-22 | 2019-05-28 | 触信(厦门)智能科技有限公司 | 一种资源共享及互动方法 |
| US11855971B2 (en) | 2018-01-11 | 2023-12-26 | Visa International Service Association | Offline authorization of interactions and controlled tasks |
| JP7082012B2 (ja) * | 2018-08-23 | 2022-06-07 | 株式会社東海理化電機製作所 | 通信不正成立防止システム及び通信不正成立防止方法 |
| US11166582B2 (en) * | 2020-03-13 | 2021-11-09 | King Fahd University Of Petroleum And Minerals | Method of remotely performing a ritual of chucking during hajj |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20010033653A (ko) * | 1998-10-27 | 2001-04-25 | 요트.게.아. 롤페즈 | 대화형 서비스를 제공하는 방송 네트워크 |
| US6609198B1 (en) * | 1999-08-05 | 2003-08-19 | Sun Microsystems, Inc. | Log-on service providing credential level change without loss of session continuity |
| JP2001060184A (ja) * | 1999-08-20 | 2001-03-06 | Pfu Ltd | ユーザ認証システムおよびその制御方法ならびにその記録媒体 |
| DE19960733A1 (de) * | 1999-12-16 | 2001-09-27 | Deutsche Telekom Mobil | Verfahren und Anordnung zur verbesserten Ausnutzung von technischen Ressourcen zwischen Telekommunikations- und IP-Netzen |
| JP4567173B2 (ja) * | 2000-11-07 | 2010-10-20 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 集線・接続システム、集線・接続方法及び集線・接続装置 |
| US7921290B2 (en) * | 2001-04-18 | 2011-04-05 | Ipass Inc. | Method and system for securely authenticating network access credentials for users |
| US7146403B2 (en) * | 2001-11-02 | 2006-12-05 | Juniper Networks, Inc. | Dual authentication of a requestor using a mail server and an authentication server |
| JP3966711B2 (ja) * | 2001-11-06 | 2007-08-29 | 富士通株式会社 | 代理応答方法 |
| US7222361B2 (en) * | 2001-11-15 | 2007-05-22 | Hewlett-Packard Development Company, L.P. | Computer security with local and remote authentication |
| US8630414B2 (en) * | 2002-06-20 | 2014-01-14 | Qualcomm Incorporated | Inter-working function for a communication system |
| US20050054327A1 (en) * | 2003-09-04 | 2005-03-10 | David Johnston | System and associated methods to determine authentication priority between devices |
-
2004
- 2004-02-09 EP EP04290325A patent/EP1562343A1/fr not_active Withdrawn
-
2005
- 2005-02-01 KR KR1020067018370A patent/KR101093902B1/ko active IP Right Grant
- 2005-02-01 US US10/588,707 patent/US7665129B2/en active Active
- 2005-02-01 CN CNB2005800044193A patent/CN100563248C/zh active Active
- 2005-02-01 WO PCT/FR2005/000206 patent/WO2005086454A1/fr active Application Filing
- 2005-02-01 JP JP2006551876A patent/JP4728258B2/ja active Active
- 2005-02-01 EP EP05717523A patent/EP1733533B1/fr active Active
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101227282B (zh) * | 2008-01-29 | 2011-05-11 | 中兴通讯股份有限公司 | 混合授权方法和宽带接入认证系统 |
| CN105208118A (zh) * | 2009-06-03 | 2015-12-30 | 高通股份有限公司 | 用于产生虚拟通用即插即用系统的系统和方法 |
| CN103748833A (zh) * | 2011-08-01 | 2014-04-23 | 英特尔公司 | 对于网络接入控制的方法和系统 |
| CN103748833B (zh) * | 2011-08-01 | 2017-10-03 | 英特尔公司 | 对于网络接入控制的方法和系统 |
| CN106162635A (zh) * | 2015-04-01 | 2016-11-23 | 北京佰才邦技术有限公司 | 用户设备的认证方法和装置 |
| CN106714167A (zh) * | 2016-12-30 | 2017-05-24 | 北京华为数字技术有限公司 | 一种认证方法及网络接入服务器 |
| CN110958248A (zh) * | 2019-12-03 | 2020-04-03 | 紫光云(南京)数字技术有限公司 | 网络服务系统间的免密认证方法、装置及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005086454A1 (fr) | 2005-09-15 |
| CN100563248C (zh) | 2009-11-25 |
| KR20070019704A (ko) | 2007-02-15 |
| EP1562343A1 (fr) | 2005-08-10 |
| EP1733533B1 (fr) | 2013-01-02 |
| KR101093902B1 (ko) | 2011-12-13 |
| JP2007522556A (ja) | 2007-08-09 |
| US7665129B2 (en) | 2010-02-16 |
| US20070186273A1 (en) | 2007-08-09 |
| EP1733533A1 (fr) | 2006-12-20 |
| JP4728258B2 (ja) | 2011-07-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1918885A (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| CN100338930C (zh) | 用于在可区分的网络之间安全交换数据的方法和转换接口 | |
| CN1230031C (zh) | 电信网络中用户初始注册期间的完整性保护 | |
| CN1420659A (zh) | 通过网络认证和验证用户和计算机的方法和设备 | |
| CN1941700A (zh) | 电信系统中的特权授予与资源共享 | |
| CN101032142A (zh) | 通过接入网单一登陆访问服务网络的装置和方法 | |
| CN1213567C (zh) | 一种网络设备的集群管理方法 | |
| CN1523811A (zh) | 用户连接因特网时认证网络访问的用户的方法和系统 | |
| CN101064695A (zh) | 一种P2P(Peer to Peer)安全连接的方法 | |
| CN1756148A (zh) | 用于网络访问的移动认证 | |
| CN1745356A (zh) | 单一签名安全服务访问 | |
| CN1823519A (zh) | 对等电话系统及方法 | |
| CN1628449A (zh) | 传送计费信息的方法、系统和设备 | |
| CN1184776C (zh) | 通过点对点协议上网的用户获取互联网协议地址的方法 | |
| CN1756155A (zh) | 用于网络访问的移动认证 | |
| CN1874226A (zh) | 终端接入方法及系统 | |
| WO2008034355A1 (fr) | Procédé, dispositif et système d'authentification de service réseau | |
| CN1665189A (zh) | 授权接入数据通信网络的方法和相关设备 | |
| CN1725687A (zh) | 一种安全认证方法 | |
| CN1292200A (zh) | 具有交互业务的广播网 | |
| CN1855933A (zh) | 一种网络的认证和计费的系统及方法 | |
| CN1705267A (zh) | 网络上客户端使用服务端资源的方法 | |
| CN101052015A (zh) | 一种ip网络的用户接入方法 | |
| CN1783780A (zh) | 域认证和网络权限认证的实现方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |