ES2250581T3 - Mandatario selector de usuario, metodo y sistema para autenticacion, autorizacion y contabilidad. - Google Patents
Mandatario selector de usuario, metodo y sistema para autenticacion, autorizacion y contabilidad.Info
- Publication number
- ES2250581T3 ES2250581T3 ES02076564T ES02076564T ES2250581T3 ES 2250581 T3 ES2250581 T3 ES 2250581T3 ES 02076564 T ES02076564 T ES 02076564T ES 02076564 T ES02076564 T ES 02076564T ES 2250581 T3 ES2250581 T3 ES 2250581T3
- Authority
- ES
- Spain
- Prior art keywords
- aaa
- user
- proxy
- isp
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2854—Wide area networks, e.g. public data networks
- H04L12/2856—Access arrangements, e.g. Internet access
- H04L12/2869—Operational details of access network equipments
- H04L12/2898—Subscriber equipments
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1004—Server selection for load balancing
- H04L67/1008—Server selection for load balancing based on parameters of servers, e.g. available memory or workload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
- H04L67/1036—Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
Abstract
Un proxy (10, 20) selector de usuario, que comprende medios (50) para recibir peticiones de servicios de autenticación, autorización y contabilidad (AAA) procedentes de un cliente AAA (4), medios para extraer un dominio de usuario de un identificador de usuario recibido para un usuario, medios (52) para identificar un servidor AAA (1, 2, 3) a cargo del mencionado usuario en una red de proveedor de servicios de Internet (ISP-1, ISP-2), medios (50) para someter la petición de servicio AAA a dicho servidor AAA, medios (50) para recibir la respuesta correspondiente del servidor AAA procedente del citado servidor AAA, y medios (50) para devolver la respuesta del servicio AAA al cliente AAA que ha emitido la petición, cuyo proxy selector de usuario se caracteriza porque los medios para identificar un servidor AAA a cargo del usuario, comprenden: (a) medios de tratamiento (53, 51) para analizar el identificador de usuario recibido, en formato estructurado o no estructurado, para determinar qué campos de entre los campos del identificador de usuario, sólos o en combinación, se toman como criterio de selección para elegir un servidor AAA a cargo de este usuario; y (b) medios de selección (51; 54) para seleccionar, bajo el criterio de selección, el servidor AAA (11; 12; 13; 21; 22; 23) a cargo de dicho usuario en una red de proveedor de servicios de Internet (ISP-1; ISP-2).
Description
Mandatario selector de usuario, método y sistema
para autenticación, autorización y contabilidad.
El presente invento se refiere, en general, a un
red de telecomunicaciones acoplada a una red de servicio de un
proveedor de servicios en Internet (ISP) para llevar a cabo tareas
de autenticación, autorización y contabilidad de usuarios con acceso
remoto. Más en particular, el invento se refiere a medios, sistemas
y métodos para permitir que redes del tipo antes mencionado
determinen el servidor apropiado para tareas de autenticación,
autorización y contabilidad (denominado en adelante servidor AAA) a
cargo de un usuario que ha emitido una solicitud de servicio.
El acceso a servicios de Internet se lleva a
cabo, hoy en día, mediante un ISP. En el contexto más general,
diferentes operadores gestionan la red de ISP y la red de acceso.
Así, ambas redes se consideran redes separadas. El ISP lleva a cabo
las comprobaciones de autenticación, autorización y contabilidad de
usuarios que acceden a sus servicios a través de una red de acceso.
En particular, estos usuarios son abonados de una red de
telecomunicaciones que actúa como red de acceso para la red de
ISP.
De este modo, cuando un usuario de una red de
telecomunicaciones desea conectarse con un servidor determinado que
pertenece a un ISP, una petición de servicio es enviada desde el
usuario a dicho servidor de ISP a través de un servidor de acceso a
la red (NAS), que pertenece a la red de telecomunicaciones. No
obstante, dicho usuario debe haberse acreditado previamente y dicha
petición de servicio debe haber sido autorizada previamente por una
entidad tal como un servidor de autenticación, autorización y
contabilidad (servidor AAA). Para ello, cuando el usurario envía una
petición de servicio hacia el NAS, introduce también un
identificador de usuario y una palabra de paso para su propia
identificación. Esta información es enviada al servidor AAA
empleando un protocolo de comunicaciones tal como el servicio de
usuario de marcado de autenticación remota (conocido generalmente
como RADIUS) o la actualización de RADIUS conocida como protocolo
DIAMETER, o similar.
El grupo de trabajo sobre ingeniería de Internet
(IETF) define el protocolo RADIUS en la RFC (petición de
comentarios) 2865. De igual manera, el protocolo DIAMETER se define
en
"draft-ietf-aaa-diameter-08.txt"
que, asimismo, es soportado por el IETF. El concepto básico que
subyace tras DIAMETER es proporcionar un protocolo base que pueda
ampliarse con el fin de proporcionar servicios de AAA para nuevas
tecnologías relacionadas con el acceso. Ambas especificaciones,
RADIUS y DIAMETER, describen protocolos adecuados para llevar a cabo
las tareas de autenticación y autorización, así como para recoger la
información contable entre el NAS y el servidor AAA cuando el
primero desea autenticar sus enlaces.
Partiendo de la base de que el protocolo
utilizado sea RADIUS, cuando un NAS que opera como cliente de un
servidor AAA RADIUS recibe una petición de servicio entrante, dicho
NAS obtiene información de identificación del usuario, a saber, el
nombre y una palabra de paso y, luego, emite una petición de
autenticación al servidor AAA RADIUS. El servidor AAA RADIUS, al
recibir la información de identificación y otra información del
NAS, realiza la autenticación del usuario. Es decir, dependiendo de
quién sea el usuario, se le autoriza a acceder a diferentes
servicios y posibilidades. Los atributos RADIUS contienen los datos
de autenticación y de autorización específicos, así como los
detalles de información y configuración para los paquetes de
petición y de contestación.
Por ejemplo, los atributos que pueden estar
contenidos en estos paquetes son el nombre del usuario, su palabra
de paso y otros. En particular, el atributo "nombre de usuario"
indica el nombre del usuario que ha de autenticarse. El formato de
este nombre de usuario en el protocolo RADIUS puede adoptar una de
varias formas:
- -
- Texto, una forma que consiste solamente en caracteres codificados UTF-8
- -
- Identificador de acceso a red (NAI), a saber, username@realm, como se describe en la RFC 2486
- -
- Nombre distinguido (DN), que es un nombre en forma ASN.1 utilizado en sistemas de autenticación con clave pública.
Por otra parte, cuando el protocolo utilizado es
DIAMTETER, el procedimiento es similar al del caso previo. Un NAS
que actúe como cliente de un servidor AAA DIAMETER inicia una
petición de autenticación y/o autorización de un usuario dado hacia
dicho servidor AAA DIAMETER. El servidor AAA DIAMETER, al recibir la
información de identificación y otra información del NAS, realiza la
autenticación del usuario. Es decir, dependiendo de quien sea el
usuario, se le autoriza para que tenga acceso o diferentes servicios
y posibilidades.
Cualesquiera datos transmitidos por el protocolo
DIAMETER adoptan la forma de valor de atributo PEAR (denominado en
adelante AVP). Dicho AVP es utilizado por el protocolo DIAMETER de
base, entre otras cosas, para transportar la información de
autenticación de usuario hacia el servidor AAA DIAMETER. El nombre
del usuario es proporcionado en el AVP de nombre de usuario, que
permite un formato NAI, o en un formato UTF-8
consistente con la especificación NAI.
Un escenario típico de una red de
telecomunicaciones acoplada a un ISP para proporcionar servicios de
Internet, es la provisión de acceso a Internet en una red de
servicio general de radio por paquetes (GPRS). En este escenario, un
nodo de soporte GPRS pasarela (en adelante GGSN) puede
intercomunicarse con un servidor AAA empleando, típicamente, el
protocolo RADIUS. Así, un GGSN actúa como cliente de un servidor AAA
RADIUS.
Otro escenario lo constituye una red de área
local inalámbrica (WLAN), que accede a Internet a través de un punto
de acceso WLAN conectado a un servidor AAA por medio de los
protocolos DIAMETER o RADIUS. Así, un punto de acceso WLAN puede
actuar, respectivamente, como cliente de un servidor AAA DIAMETER o
como cliente de un servidor AAA RADIUS.
En la actualidad, los ISP almacenan información
de usuario, de todos sus usuarios, en grandes bases de datos de
extremo trasero, a saber, servidores AAA a los que puede acceder el
cliente AAA. En escenarios en que el número de usuarios sea muy
elevado, esta solución no es fácilmente escalable ya que el tamaño
de las bases de datos y el número de preguntas por segundo hacen,
necesariamente, que el comportamiento de la red se degrade. En
particular, suponiendo que cada ISP tenga organizados sus usuarios
en un único servidor AAA grande, debe mantenerse una relación
directa entre dicho servidor AAA y el cliente AAA solicitante
durante toda la sesión lo cual, en el caso de transacciones
relacionadas con la contabilidad, puede penalizar el comportamiento
esperado del servidor
AAA.
AAA.
Una solución inmediata para un ISP que tenga un
número de usuarios muy elevado, puede consistir en que el ISP
necesite más de un servidor AAA para organizar la información sobre
sus usuarios. Una primera desventaja de este marco de servidor AAA
múltiple es que las relaciones de seguridad entre el cliente AAA y
el servidor AAA diferente, resultan más complicadas. Una segunda
desventaja consiste en que la estructura de la red del ISP se hace
más visible para el cliente AAA, que puede ser un NAS hecho
funcionar por otro operador y, así, genera dependencias de
configuración de la red entre el ISP y el operador de la red de
telecomunicaciones.
Con independencia de las anteriores desventajas,
los clientes AAA que soliciten servicio de un ISP que disponga de
una pluralidad de servidores AAA, tienen que saber con qué servidor
deben ponerse en contacto para resolver una petición de servicio
particular de un usuario determinado. En ausencia de otros
criterios, un cliente AAA podría realizar preguntas en secuencia a
los servidores AAA de un ISP acoplado hasta encontrar el servidor
AAA apropiado a cargo de un usuario determinado.
Pueden conseguirse comportamientos mejores ante
preguntas en secuencia, interponiendo un servidor intermedio (proxy)
AAA entre el cliente AAA y una red de ISP con una pluralidad de
servidores AAA. Tal proxy AAA, como se describe en el documento US
6.298.383, es capaz, típicamente, de diferenciar entre servidores
AAA sobre una base por dominios. Así, haciendo uso de los
identificadores de usuario en un formato NAI o similar, a saber,
username@realm (nombre_de_usuario@dominio), un ISP puede
organizar sus usuarios entre diferentes servidores AAA sobre una
base por regiones. El antes mencionado proxy AAA es, entonces, capaz
de determinar el servidor AAA específico a cargo de todos los
usuarios de un dominio específico, a saber, el dominio al que ha
accedido la región compartida por tales usuarios.
Corrientemente, no hay otros criterios para
distribuir los usuarios entre servidores AAA en una red de ISP. A
este respecto, puede utilizarse justamente la bien conocida y
estructurada región en formato NAI a que antes se ha hecho
referencia, por ejemplo, "acme.com", a fin de determinar sin
ambigüedades un servidor AAA único, responsable de un cierto dominio
en una red de ISP.
Sin embargo, existen formatos del nombre del
usuario distintos del NAI o que no están estructurados en forma
consistente o, incluso, que carecen de estructura alguna, para los
que tal proxy AAA no es capaz de distinguir entre una pluralidad de
servidores AAA, y este es un inconveniente importante para los ISP.
Por ejemplo, un proxy AAA que reciba peticiones de servicio de un
GGSN que actúe como NAS de una red GPRS, haciendo uso el GGSN del
número ISDN de abonado móvil (MSISDN) como identificador de usuario,
no es capaz de seleccionar uno de la pluralidad de servidores AAA
para este tipo de identificador de usuario.
Además, e incluso para nombres de usuario en
formatos NAI, dicho proxy AAA no es capaz de distinguir más de un
servidor AAA para el mismo dominio. Es decir, todos los usuarios que
tienen asignada la misma región en formato NAI, deben estar situados
en el mismo servidor AAA en una red de ISP determinada. Esta
disposición singular de todos los usuarios con el mismo dominio o
región en el mismo servidor AAA sigue considerándose un
inconveniente para los ISP, ya que deben introducirse mecanismos más
complicados para equilibrar la carga entre servidores AAA de
distinta capacidad.
Otro inconveniente, cuando los formatos del
nombre de usuario no incluyen un identificador de región o de
dominio, es que la inclusión del antes mencionado proxy AAA, como
tal, no resuelve la identificación de un único servidor AAA a cargo
de cierto usuario en una red de ISP con una pluralidad de servidores
AAA. A este respecto, los operadores de una red de
telecomunicaciones, cuando los identificadores de abonado no
incluyen un identificador de región o de dominio, podrían ver este
proxy AAA como una entidad superflua que penaliza el comportamiento
del servicio AAA. Sin embargo, la introducción de este proxy AAA
puede superar o, al menos, minimizar, las dos desventajas a que
antes se ha hecho referencia, relaciones de seguridad y visibilidad
de la estructura de la red de ISP, especialmente cuando el proxy AAA
pertenece a la red del ISP. En este caso particular, la inclusión de
tal proxy AAA beneficia el interés del ISP, al tiempo que penaliza a
los operadores de las redes de telecomunicaciones de este tipo antes
mencionadas.
Por tanto, un primer objeto del presente invento
es proporcionar los medios y los métodos para distribuir usuarios de
servicios AAA entre una pluralidad de servidores AAA con
independencia de los esquemas de identificación de usuario, de las
estructuras y del servicio aplicable.
Otro objeto del presente invento es hacer que el
primer objeto antes mencionado sea compatible con la inclusión de un
proxy AAA actualizado con el fin de resolver las antes citadas
desventajas, primera y segunda, las relacionadas con aspectos
relativos a la seguridad y la visibilidad de la estructura de una
red de ISP. Dicho proxy AAA actualizado es capaz de seleccionar el
servidor AAA apropiado a cargo de un usuario dado con independencia
de los esquemas de identificación del usuario, de las estructuras y
del servicio aplicable, consiguiéndose así el primer objeto del
presente invento.
Un punto de partida interesante se encuentra en
los sistemas inalámbricos típicos de segunda generación, como las
redes GSM y ANSI-41. A medida que dichos sistemas
inalámbricos incorporaban más y más abonados, los operadores querían
bases de datos de abonados de grandes dimensiones, como el registro
de posiciones base (HLR), con el fin de mantener una enorme cantidad
de suscripciones, reduciendo al mínimo las actividades O&M y
optimizando las tablas de encaminamiento de la red SS7 (sistema de
señalización número 7). La más reciente aparición de las exigencias
de portabilidad del número, en algunos casos reguladas por Ley,
según las cuales abonados individuales se cambiaban de un HLR
perteneciente a un operador a otro HLR perteneciente a otro
operador, hizo definitivamente que las necesidades de un selector de
base de datos se convirtieran en una exigencia.
Una descripción ilustrativa de un selector de
bases de datos de esta clase puede encontrarse en la solicitud
internacional WO 99/23838, en la que dicho selector de bases de
datos de una cierta red se denomina registro de números flexible
(FNR). Este FNR es el punto de entrada natural en las redes
inalámbricas de segunda generación para las peticiones relacionadas
con aquellos abonados cuyas series de números de usuario pertenecen
a dicha red, con independencia de a qué red pertenece, en ese
momento, la suscripción del abonado. Es decir, dicho FNR comprende
todas las series de números de usuario que acceden a la citada red
y, también, los números de usuario individuales de los abonados que
se han cambiado a esta red desde otra. Además, a los números de
usuario individuales de abonados domésticos que se han cambiado a
otra red, se les asigna una marca especial y tienen un identificador
de red particular para alcanzar un nodo de entrada de la red en que
el abonado mantiene corrientemente su suscripción.
Las peticiones relacionadas con los abonados
basadas en números de usuario en formatos tales como IMSI o E.164,
acceden al FNR en una red a la que se ha accedido mediante dicho
formato IMSI o E.164. Estos formatos corresponden a series de
números bien estructuradas, de longitud predefinida. Entonces, el
FNR determina si la petición debe ser, simplemente, transmitida al
HLR apropiado dentro de su propia red para el caso de abonados que
nunca han cambiado de red ni proceden de otras redes, o si la
petición debe se redirigida a la red apropiada a donde ha ido a
parar el abonado. Todos los mecanismos requeridos de encaminamiento
y de acceso, se llevan a cabo en capas de señalización inferiores,
como en la parte de control de conexión de señalización (SCCP)
dentro del SS7.
Aún cuando esta solución se considera como una
tecnología anterior pertinente, sigue presentando serias
limitaciones en cuanto a su aplicabilidad directa a escenarios más
recientes para interconectar redes de telefonía inalámbricas y redes
fijas tradicionales con Internet y redes de servicios multimedia en
grandes sistemas de telecomunicaciones. Por ejemplo, esta técnica
anterior relacionada con el FNR simplemente considera la
señalización, el encaminamiento y el acceso de acuerdo con los
principios del SS7, donde los identificadores de abonado o usuario
se basan, meramente, en números estructurados. Además, al menos uno
de los identificadores asociados a un abonado, debe estar
estructurado de tal forma que el análisis de dicho número
identifique sin ambigüedades el HLR apropiado. Todavía otra
limitación de esta solución anterior es que, durante el desarrollo
de estas redes inalámbricas de segunda generación, no se
consideraron ni otras regiones de identificador más recientes ni
otros soportes de protocolo distintos de las capas superiores
relacionadas con el SS7. Además, en esta técnica anterior no se
anticipaba, en modo alguno, nada relacionado con servidores
dedicados al servicio, tales como los relacionados con servicios
AAA, a los que se debe acceder en respuesta a peticiones basadas en
identificadores de usuario correspondientes.
Por tanto, no parece que los antes mencionados
objetos del presente invento se hayan conseguido ni se vean
anticipados por las enseñanzas de la solicitud anterior. A este
respecto, la provisión de medios y de un método para permitir una
disposición equilibrada de usuarios entre una pluralidad de
servidores AAA con independencia de los esquemas de identificador de
usuario, de las estructuras y del servicio aplicable, continúa
siendo un objeto del presente invento. Dichos medios y dicho método,
compatibles con la introducción de un proxy AAA entre el cliente AAA
y un ISP con una pluralidad de servidores AAA para soportar dicha
disposición equilibrada de usuarios, son, todavía, otro objeto del
presente invento.
Se proporciona un proxy selector de usuario (USP)
para soportar una disposición equilibrada de usuarios con
independencia de los esquemas de identificador de usuario, las
estructuras y el servicio aplicable, al tiempo que cumple la misión
de proxy, alcanzándose así los objetos del presente invento.
Por tanto, el USP comprende medios para recibir
peticiones de servicio (AAA) de autenticación, autorización y
contabilidad procedentes de un cliente AAA, medios para extraer un
dominio de usuario a partir de un identificador de usuario recibido,
medios para identificar el servidor AAA a cargo del dominio del
usuario en la red del proveedor de servicios de Internet (ISP),
medios para someter la petición de servicio AAA a un servidor AAA,
medios para recibir la correspondiente respuesta del servicio AAA
desde dicho servidor AAA, y medios para devolver la respuesta del
servicio AAA al cliente AAA que ha emitido la petición. Este USP de
acuerdo con el invento comprende, también, medios para analizar el
identificador de usuario recibido, en formato estructurado o no
estructurado y con independencia de esquemas de identificador con el
fin de determinar si, para la selección de un servidor AAA a cargo
de este usuario, se toman todos los campos del identificador de
usuario, o solamente el nombre del usuario o el dominio únicamente,
o una combinación de ellos; y medios para seleccionar un servidor
AAA a cargo de dicho usuario en una red de proveedor de servicios de
Internet (ISP).
Para mayor eficacia, el proxy selector de usuario
comprende, además, un almacenamiento sobre una base de usuarios
individuales, o un grupo de usuarios base, o ambos, para guardar al
menos un identificador para cada, al menos, un servidor AAA a cargo
de un usuario individual o un grupo de usuarios dados. En
particular, este almacenamiento puede ser ofrecido mediante una base
de datos interna o externa que comprenda relaciones entre
identificadores de usuario e identificadores de servidor AAA sobre
una base por usuario y/o por grupo de usuarios.
Puede conseguirse otra disposición ventajosa de
usuarios haciendo que un proxy selector de usuario esté preparado
para sustituir cualquiera de los campos de identificador de usuario,
o combinación de los mismos, por unos nuevos sobre una base de
usuario individual o sobre una base de grupo de usuarios, o sobre
ambas, o sobre una base de servidor AAA. Para ello, relaciones como
las anteriores pueden incluir, además, campos de identificador de
nuevo usuario, y el USP puede comprender medios de sustitución para
reemplazar dichos campos de identificador de nuevo usuario.
Además, y desde el punto de vista de la
compatibilidad, el anterior proxy selector de usuario está destinado
a comunicarse con un cliente AAA con un protocolo que opera de
acuerdo con las especificaciones de los protocolos RADIUS o
DIAMETER.
Así, este proxy selector de usuario puede ser
utilizado como proxy de autenticación, autorización y de
contabilidad (proxy AAA), con el que usuarios identificados mediante
identificadores de usuario en un formato distinto del NAI, también
pueden estar dispuestos entre una pluralidad de servidores AAA.
El invento proporciona también un método para
ofrecer servicios de autenticación, autorización y contabilidad
(AAA) en una red de telecomunicaciones acoplada a un proveedor de
servicios de Internet (ISP). Este método comprende los pasos de
recibir una petición de servicio AAA en un proxy AAA procedente de
un cliente AAA; extraer un dominio de usuario de un identificador de
usuario recibido incluido en la petición de servicio AAA;
identificar, en dicho proxy AAA, el servidor AAA encargado de dicho
usuario en la citada red del proveedor de servicios de Internet
(ISP); someter la petición de servicio AAA procedente del proxy AAA
a dicho servidor AAA; recibir la correspondiente respuesta del
servicio AAA en el proxy AAA procedente de dicho servidor AAA; y
devolver la respuesta del servicio AAA procedente del proxy AAA al
cliente AAA que ha emitido la petición. A este respecto, por lo
menos la comunicación entre el proxy AAA y el cliente AAA se lleva a
cabo con un protocolo que opera de acuerdo con las especificaciones
de protocolos RADIUS o DIAMETER.
Además, el paso de identificar, en un proxy AAA,
el servidor AAA encargado de un usuario indicado, comprende las
operaciones de analizar el identificador de usuario recibido, en
formato estructurado o no estructurado, para determinar si para la
selección de un servidor AAA encargado de este usuario, se toman
todos los campos del identificador de usuario o solamente el nombre
de usuario o sólo el dominio de usuario o cualquier combinación de
ellos; y seleccionar un servidor AAA encargado del mencionado
usuario en una red de proveedor de servicios de Internet (ISP).
Con el fin de mejorar la eficacia del método
antes citado, se incluye un paso previo consistente en almacenar en
el proxy AAA, sobre una base de usuario individual, o sobre una base
de grupo de usuarios, o sobre ambas, al menos un identificador para
cada uno de, al menos, un servidor AAA encargado de un usuario
individual dado o un grupo de usuarios dado.
El método comprende, también, el paso ventajoso
de sustituir en el proxy AAA cualquiera de los campos de
identificador de usuario, o cualquier combinación de los mismos, por
unos nuevos sobre una base de usuario individual, o sobre una base
de grupo de usuarios, o sobre ambas, o sobre una base de servidor
AAA.
El invento proporciona, así, un sistema que
comprende una red de telecomunicaciones acoplada a una red de
proveedor de servicios de Internet (ISP a través de un servidor de
acceso a red (NAS), en el que el proxy selector de usuario (USP)
anterior, que actúa como proxy mejorado, sea el punto de entrada a
dicha red de ISP, trabajando así el NAS en colaboración con el
USP.
\newpage
Las características, objetos y ventajas del
invento resultarán evidentes a partir de la lectura de esta
descripción en conjunto con los dibujos adjuntos, en los que:
La Fig. 1 representa una vista parcial de una
arquitectura de red corriente que nuestra cómo un cliente pide a
redes de proveedores de servicios de Internet (ISP) un servicio de
autenticación, autorización y contabilidad (AAA), en la que una
primera red de ISP tiene un servidor AAA por dominio y una segunda
red de ISP no distingue dominios.
La Fig. 2 representa una vista parcial pertinente
de una arquitectura de red de acuerdo con el invento, en la que un
cliente pide servicios AAA a redes de ISP, teniendo las redes de ISP
una pluralidad de servidores AAA para distribuir usuarios y un proxy
selector de usuario como punto de entrada a cada red de ISP.
La Fig. 3 muestra esquemáticamente una aplicación
del proxy selector de usuario que trabaja en cooperación con un
cliente AAA y con un servidor AAA particular utilizando protocolo
RADIUS.
La Fig. 4 ilustra básicamente un flujo de
mensajes para el establecimiento de asociaciones de seguridad entre
un cliente AAA y un proxy selector de usuario, y entre el proxy
selector de usuario y un servidor AAA particular.
La Fig. 5a muestra una tabla de disposición de
usuarios ilustrativa, que guarda relaciones entre usuarios, grupos
de usuarios y al menos un servidor AAA encargado de cada usuario o
grupo de usuarios.
La Fig. 5b representa, a modo de contraste, la
disposición habitual de usuarios sobre una base por dominios entre
varios servidores AAA, estando cada servidor AAA encargado de un
dominio de usuario.
La Fig. 6 ilustra una realización de un proxy
selector de usuario que comprende medios de encaminamiento y medios
de protocolo separados de medios de tratamiento y que cooperan con
ellos.
Comúnmente, un proxy AAA está destinado a recibir
peticiones de servicios AAA procedentes de un cliente AAA. La
expresión "cliente AAA" es una forma genérica mientras que, en
particular, un servidor de acceso a red (NAS) para una red de
telecomunicaciones que accede a un proveedor de servicios de
Internet (ISP) puede ser, de hecho, un cliente AAA. De acuerdo con
la Fig. 1, un cliente AAA (4) genérico se acopla a un primero y a un
segundo proveedores de servicios de Internet (ISP-1,
ISP-2) para tener acceso a la red (6) de Internet.
Tal cliente AAA (4) podría ser un NAS conectado a una red de
telecomunicaciones con diferentes identificadores de usuario para
distintos propósitos. En esta arquitectura típica, un ISP
(ISP-1) que maneje identificadores de usuario en
formato NAI, con indicación explícita de una región o dominio, puede
distribuir a sus usuarios entre varios servidores AAA (1, 2), siendo
cada servidor AAA responsable de un dominio particular. Tal ISP
(ISP-1) puede tener, también, un proxy AAA (5) para
determinar qué servidor AAA (1, 2) particular está encargado de un
abonado dado en un dominio para prestarle servicios de
autenticación, autorización y contabilidad. Por otra parte, un ISP
(ISP-2) que maneje identificadores de usuario en un
formato distinto del NAI, ya sea estructurado o no estructurado, no
puede aprovecharse de la interposición de tal proxy AAA para acceder
a su único servidor AAA (3). Este es el motivo por el que el proxy
AAA se incluye, típicamente, en una red de ISP donde existen una
pluralidad de servidores AAA, siendo cada uno de ellos responsable
de un cierto dominio, en lugar de formar parte de la red de
telecomunicaciones, o parte de una red de acceso. Además, tal proxy
AAA (5) es, así, capaz de ocultar la topología interna del ISP
(ISP-1) a sus clientes AAA cooperantes.
En lo que sigue se describen realizaciones
actualmente preferidas de unos medios, un método y un sistema para
permitir una disposición de usuarios equilibrada entre una
pluralidad de servidores AAA con independencia de esquemas de
identificador de usuario, estructuras y servicios aplicables. De
acuerdo con un aspecto del presente invento, se proporciona un proxy
selector de usuario (denominado, en adelante, USP) para que actúe
como proxy AAA actualizado y, así, recibir peticiones de servicios
AAA de un cliente AAA que acceda a un ISP que cuente con una
pluralidad de servidores AAA a cargo de disposiciones equilibradas
de usuarios.
Como se muestra en la Fig. 2, el proveedor de
servicios de Internet (ISP-1, ISP-2)
comprende una pluralidad de servidores AAA (12, 12, 13, 21, 22, 23)
tales que, a ellos, se accede mediante un USP (10, 20) que, a su
vez, está conectado a un cliente AAA (4). Es decir, cada proveedor
de servicios de Internet (ISP-1,
ISP-2) tiene distribuidos sus usuarios entre una
pluralidad de servidores AAA (11, 12, 13) (21, 22, 23) en su propia
red de ISP, siendo así el USP de cada red de ISP, responsable de
analizar los identificadores de usuario incluidos en las peticiones
de servicio recibidas del cliente AAA (4).
Por tanto, el USP (10, 20) comprende medios de
tratamiento para analizar todos los campos de identificador de
usuario, o sólo un nombre de usuario, o sólo un dominio de usuario,
o una combinación de los mismos, con el fin de realizar el
encaminamiento de la petición de servicio AAA recibida del cliente
AAA, hacia un servidor AAA específico encargado del usuario
correspondiente.
Además de los medios de tratamiento citados en lo
que antecede, el USP está provisto, también, de una estructura de
base de datos interna o, en términos más generales, un
almacenamiento para guardar al menos un identificador para cada uno
de dichos al menos un servidor AAA encargado de un usuario
individual o de un grupo de usuarios dado. Esto garantiza que por lo
menos un servidor AAA puede encargarse de un abonado o grupo de
abonados particular.
Además, de acuerdo con otro aspecto del presente
invento, a cualquier usuario particular se le podría asignar más de
un servidor AAA, con fines de redundancia o de reparto de carga, lo
que ofrecería ventajas adicionales e inesperadas en las redes de ISP
clásicas. Por ejemplo, podría seleccionarse un servidor AAA de entre
una pluralidad de posibles servidores AAA dependiendo de un estado
de disponibilidad, un estado de reparto de carga, un campo de
prioridad adicional mediante comunicaciones en secuencia o en
respuesta a otros criterios de selección.
Además, de acuerdo con todavía otro aspecto del
presente invento, en caso de que no pueda determinarse ningún
servidor AAA particular para un usuario o grupo de usuarios, la
petición de servicio AAA es rechazada amablemente con el fin de
evitar ataques de denegación de servicio (DOS). Esto ofrece,
también, una inesperada y ventajosa protección a la red de ISP.
A este respecto, la Fig. 5a y la Fig. 5b
muestran, respectivamente, la relación lógica y otros datos que el
USP de acuerdo con el invento y un proxy AAA tradicional comprenden.
En contraste con ello, un almacenamiento (51) incluido en el USP
(10, 20) comprende datos de servidor AAA pertinentes para al menos
un servidor AAA encargado de usuarios específicos o de un grupo de
usuarios específico, mientras que un proxy AAA clásico simplemente
guarda (52) las direcciones de servidores AAA sobre premisas de
dominio. Además, dicho almacenamiento (51) incluido en el USP
comprende, también, atributos modificados, tales como una nueva
región o un nuevo nombre de usuario, o nuevos campos de
identificador de usuario o combinaciones de los mismos para
sustituir los recibidos. Tales datos de modificación se aplican,
asimismo, por usuario individual y por grupo de usuarios.
Más específicamente, en la Fig. 5a se ilustra una
realización del presente invento en la que se presenta una posible
tabla (51) de disposición de usuarios en un USP. El lector
interesado puede apreciar en esta tabla que están presentes
diferentes usuarios de distintos dominios (región.número), estando
algunos de ellos agrupados (Gr-número) mientras que
otros se mantienen sobre una base individual. Cuando se agrupan
usuarios de dominios diferentes, dicho al menos un servidor AAA
encargado de todos los usuarios de un grupo es marcado, así, sobre
una base de grupo en vez de sobre una base individual. Por otra
parte, a los usuarios no agrupados se les asigna individualmente al
menos un servidor AAA encargado de cada usuario sobre una base
individual. Además, a cada usuario particular se le puede dar un
nuevo nombre de usuario o una nueva región para reemplazar al
recibido antes de que la petición de servicio AAA sea dirigida al
servidor AAA apropiado. Además, tanto a los usuarios como a los
grupos se les puede otorgar una nueva región para reemplazar,
también, a la recibida.
Estas y otras disposiciones ilustrativas pueden
reservarse para permitir una disposición equilibrada de usuarios
entre una pluralidad de servidores AAA dependiendo de distintos
criterios bajo las premisas de un proveedor de servicios de
Internet. Se espera que a cualquier experto normal en esta técnica
se le ocurran otras realizaciones que no difieran sustancialmente
del enfoque anterior y, por tanto, comprendidas dentro del alcance
del presente invento.
El USP (10, 20) representado en la Fig. 2 recibe,
así, el tráfico generado desde el lado del cliente AAA (4) y lo
dirige hacia el correspondiente servidor AAA (11, 12, 13) (21, 22,
23) activo para el abonado dado y perteneciente al proveedor de
servicios de Internet aplicable (ISP-1)
(ISP-2).
Por tanto, un USP particular (10, 20), como se
muestra en la Fig. 6, recibe cualquier petición de servicio AAA
procedente de un cliente AAA para un usuario indicado a través de
los medios de protocolo (50). Luego, los medios de tratamiento (53)
extraen todos los campos pertinentes del identificador del usuario,
que son analizados en cooperación con el almacenamiento (51) de base
de datos interno para determinar, en primer lugar, si algún campo
particular del identificador de usuario o combinaciones de ellos,
deben ser reemplazados por nuevos campos de identificador de usuario
para el usuario indicado. y, en segundo lugar, los medios de
tratamiento (53) igualmente, en cooperación con medios de
encaminamiento (54) determinan una dirección de uno preferido de
dichos al menos un servidor AAA encargado del usuario, a la que
dirigir la petición de servicio AAA. Un lector interesado puede
apreciar que los medios de encaminamiento pueden incluirse como
parte de los medios de tratamiento, cambiando sustancialmente el
comportamiento técnico esperado.
Por ejemplo, en una red de telecomunicaciones
como una red GPRS, puede utilizarse un servidor de acceso a red
(NAS) para acceder a una red de ISP que de acceso a los usuarios
GPRS a la red de Internet. Dicho NAS actúa entonces como un cliente
AAA que emite las peticiones de servicio AAA a un proxy selector de
usuario (USP) de acuerdo con el invento. Las comunicaciones entre el
USP y el NAS pueden llevarse a cabo con un protocolo como RADIUS o
DIAMETER, por ejemplo, identificándose un usuario por su MISIÓN.
El diagrama de secuencias ilustrado en la Fig. 3
es un caso ilustrativo del método para pedir un servicio AAA cuando
el protocolo utilizado es RADIUS. El NAS emite una petición de
acceso RADIUS que incluye el identificador de usuario, para el proxy
selector de usuario. Tal petición es tratada, finalmente, por los
medios de tratamiento (53) que, en esta realización preferida,
comprenden los medios de protocolo (50) y los medios de
encaminamiento (54) a los que, en la Fig. 6, se hace referencia como
entidades lógicas separadas. Dichos medios de tratamiento (53)
realizan una petición (S-31) a una base de datos
interna (51) del proxy selector de usuario con el fin de obtener una
dirección para enviar la petición de acceso RADIUS al servidor AAA
apropiado encargado de este usuario. La base de datos interna
responde (S-32) a los medios de tratamiento con tal
dirección de servidor AAA y, opcionalmente, con un nuevo
identificador de usuario (identificador de usuario bis).
Eventualmente, los medios de tratamiento encaminan la petición de
acceso RADIUS recibida con el identificador de usuario aplicable a
dicho servidor AAA.
Partiendo de que, para uso en el caso precedente,
se prefiere una realización del USP como se ilustra en la Fig. 6, la
petición de acceso RADIUS es recibida en los medios de tratamiento a
través de medios de protocolo (50). Además, la dirección de un
servidor AAA apropiado, devuelta (S-32) desde la
base de datos interna (51), es determinada por los medios de
tratamiento igualmente en cooperación con los medios de
encaminamiento (54). Eventualmente, la petición de acceso RADIUS es
dirigida desde los medios de tratamiento (53) a través de los medios
de protocolo (50) al servidor AAA.
Debe observarse que los flujos de tráfico entre
el cliente AAA (4) y el proxy (10, 20) selector de usuario, son
independientes de los flujos de tráfico entre el proxy (10, 20)
selector de usuario y los servidores AAA (11, 12, 13) (21, 22, 23).
En consecuencia, el cliente AAA (4) establece, si es necesario,
relaciones de seguridad o asociaciones de seguridad con el proxy
(10, 20) selector de usuario ocultando así por completo la
existencia de los servidores AAA (11, 12, 13) (21, 22, 23) en una
red de ISP particular (ISP-1, ISP-2)
desde un punto de vista de asociación de seguridad.
A este respecto, la Fig. 4 muestra un
establecimiento de asociación de seguridad de acuerdo con un aspecto
del invento. Un cliente AAA que, en particular, podría ser un
servidor de acceso a red (NAS) para acceder a una red de
telecomunicaciones o desde ella, emite una petición de asociación de
seguridad, que incluye un identificador de usuario, hacia el proxy
selector de usuario. Tal petición es tratada por los medios de
tratamiento (53), que pueden comprender los medios de protocolo (50)
y los medios de encaminamiento (54) ilustrados en la Fig. 6, o
pueden seguir una realización alternativa, como se explica en
relación con la Fig. 3, aunque no se representa adicionalmente.
Dichos medios de proxy AAA realizan una petición
(S-41) a una base de datos interna del proxy
selector de usuario a fin de conseguir una dirección para enviar la
petición de asociación de seguridad al servidor AAA apropiado
encargado de este usuario. La base de datos interna responde
(S-42) a los medios de proxy AAA con la dirección
del servidor AAA y el proxy AAA encamina la petición de asociación
de seguridad recibida hacia dicho servidor AAA.
El invento se ha descrito en lo que antecede en
relación con diversas realizaciones en forma no restrictiva sino,
simplemente, ilustrativa. Los expertos normales de esta técnica
pueden modificar estas realizaciones sin apartarse sustancialmente
del alcance definido por las siguientes reivindicaciones.
Claims (16)
1. Un proxy (10, 20) selector de usuario, que
comprende medios (50) para recibir peticiones de servicios de
autenticación, autorización y contabilidad (AAA) procedentes de un
cliente AAA (4), medios para extraer un dominio de usuario de un
identificador de usuario recibido para un usuario, medios (52) para
identificar un servidor AAA (1, 2, 3) a cargo del mencionado usuario
en una red de proveedor de servicios de Internet
(ISP-1, ISP-2), medios (50) para
someter la petición de servicio AAA a dicho servidor AAA, medios
(50) para recibir la respuesta correspondiente del servidor AAA
procedente del citado servidor AAA, y medios (50) para devolver la
respuesta del servicio AAA al cliente AAA que ha emitido la
petición, cuyo proxy selector de usuario se caracteriza
porque los medios para identificar un servidor AAA a cargo del
usuario, comprenden:
- (a)
- medios de tratamiento (53, 51) para analizar el identificador de usuario recibido, en formato estructurado o no estructurado, para determinar qué campos de entre los campos del identificador de usuario, sólos o en combinación, se toman como criterio de selección para elegir un servidor AAA a cargo de este usuario; y
- (b)
- medios de selección (51; 54) para seleccionar, bajo el criterio de selección, el servidor AAA (11; 12; 13; 21; 22; 23) a cargo de dicho usuario en una red de proveedor de servicios de Internet (ISP-1; ISP-2).
2. El proxy (10; 20) selector de usuario de la
reivindicación 1, que comprende además un almacenamiento (51) sobre
una base de usuario individual o sobre una base de grupo de
usuarios, o ambas, para guardar al menos un identificador para cada,
al menos, un servidor AAA (AAA-s3,
AAA-s4) a cargo de un usuario individual o grupo de
usuarios (Gr-1) dado.
3. El proxy (10; 20) selector de usuario de
cualquiera de las reivindicaciones 1 o 2, que comprende además
medios (51, 53) para reemplazar cualquiera de los campos del
identificador de usuario, o cualquier combinación de ellos, por unos
nuevos sobre una base de usuario individual, o sobre una base de
grupo de usuarios, o ambas, o sobre una base de servidor AAA.
4. El proxy (10; 20) selector de usuario de
cualquiera de las reivindicaciones 1 a 3, en el que el protocolo
utilizado para comunicaciones entre el proxy selector de usuario y
el cliente AAA (4) es RADIUS.
5. El proxy (10; 20) selector de usuario de
cualquiera de las reivindicaciones 1 a 3, en el que el protocolo
utilizado para comunicaciones entre el proxy selector de usuario y
el cliente AAA (4) es DIAMETER.
6. El proxy (10; 20) selector de usuario de
cualquiera de las reivindicaciones 1 a 3, que comprende, además,
medios (petición de asociación de seguridad, respuesta de asociación
de seguridad) para establecer relaciones de seguridad con el cliente
AAA (4).
7. El uso del proxy (10; 20) selector de usuario
de cualquiera de las reivindicaciones precedentes como proxy de
autenticación, autorización y contabilidad (proxy AAA).
8. Un sistema que comprende una red de
telecomunicaciones acoplada a una red de proveedor de servicios de
Internet (ISP-1; ISP-2) a través de
un servidor (4) de acceso a red, cuyo sistema se caracteriza
porque el servidor (4) de acceso a red comprende medios (petición de
asociación de seguridad, respuesta de asociación de seguridad) para
establecer relaciones de seguridad con el proxy AAA (10; 20) en la
reivindicación 7, siendo el proxy AAA el punto de entrada a la red
del proveedor de servicios de Internet (ISP-1;
ISP-2).
9. Un método de proporcionar servicios de
autenticación, autorización y contabilidad (AAA) en una red de
telecomunicaciones acoplada a un proveedor de servicios de Internet
(ISP-1; ISP-2), cuyo método
comprende los pasos de:
- (a)
- recibir una petición de servicio AAA (petición de acceso RADIUS) para un usuario en un proxy AAA (10; 20) desde un cliente AAA (4);
- (b)
- extraer un dominio de usuario a partir de un identificador de usuario (identificador de usuario) recibido, incluido en la petición de servicio AAA;
- (c)
- identificar en dicho proxy AAA el servidor AAA (1; 2; 3) a cargo del citado usuario en dicha red de proveedor de servicios de Internet (ISP-1; ISP-2);
- (d)
- someter la petición de servicio AAA (petición de acceso RADIUS) procedente del proxy AAA a dicho servidor AAA;
- (e)
- recibir la correspondiente respuesta del servicio AAA (aceptación del acceso AAA) en el proxy AAA procedente de dicho servidor AAA, y
- (f)
- devolver la respuesta del servicio AAA (aceptación del acceso AAA) procedente del proxy AAA al cliente AAA que ha emitido la petición,
cuyo método se caracteriza
porque el paso (c) comprende las operaciones
de:
- (c1)
- analizar (53, S-31, 51) el identificador de usuario recibido, en formato estructurado o no estructurado, para determinar qué campos de entre los campos del identificador de usuario, solos o en combinación, se toman como criterio de selección para elegir un servidor AAA a cargo de este usuario; y
- (c2)
- seleccionar (53, 54, 51), bajo el criterio de selección, al menos un servidor AAA (11; 12; 13; 21; 22; 23) a cargo de dicho usuario en una red de proveedor de servicios de Internet (ISP).
10. El método de la reivindicación 9, que
comprende un paso previo consistente en almacenar (51) en el proxy
AAA, sobre una base de usuario individual o sobre una base de grupo
de usuarios, o sobre ambas, al menos un identificador para cada uno
de dichos, al menos, un servidor AAA a cargo de un usuario
individual o de un grupo de usuarios, dado.
11. El método de cualquiera de las
reivindicaciones 9 o 10, que comprende, además, el paso de
reemplazar en el proxy AAA (51) cualquiera de los campos del
identificador de usuario, o cualquier combinación de los mismos, por
unos nuevos sobre una base de usuario individual o sobre una base de
grupo de usuarios, o sobre ambas, o sobre una base de servidor
AAA.
12. El método de cualquiera de las
reivindicaciones 9 a 11, en el que el protocolo utilizado para las
comunicaciones entre el proxy AAA y el cliente AAA es RADIUS.
13. El método de cualquiera de las
reivindicaciones 9 a 11, en el que el protocolo utilizado para las
comunicaciones entre el proxy AAA y el cliente AAA es DIAMETER.
14. El método de cualquiera de las
reivindicaciones 9 a 13, en el que el proxy selector de usuario de
la reivindicación 6 es el punto de entrada a la red del proveedor de
servicios de Internet (ISP).
15. El método de cualquiera de las
reivindicaciones 9 a 14, en el que se elige un servidor AAA (11; 12;
13; 21; 22; 23) disponible de entre una pluralidad de servidores AAA
a cargo de un usuario de acuerdo con el estado de disponibilidad o
guiándose por otros criterios de selección.
16. El método de cualquiera de las
reivindicaciones 9 a 15, que comprende, además, el paso de
establecer relaciones de seguridad desde el cliente AAA (4) al proxy
AAA (10; 20).
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
EP02076564A EP1357720B1 (en) | 2002-04-22 | 2002-04-22 | User selector proxy, method and system for authentication, authorization and accounting |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2250581T3 true ES2250581T3 (es) | 2006-04-16 |
Family
ID=28685956
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES02076564T Expired - Lifetime ES2250581T3 (es) | 2002-04-22 | 2002-04-22 | Mandatario selector de usuario, metodo y sistema para autenticacion, autorizacion y contabilidad. |
Country Status (5)
Country | Link |
---|---|
US (1) | US7296078B2 (es) |
EP (1) | EP1357720B1 (es) |
AT (1) | ATE313201T1 (es) |
DE (1) | DE60207984T2 (es) |
ES (1) | ES2250581T3 (es) |
Families Citing this family (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7103659B2 (en) * | 2002-04-09 | 2006-09-05 | Cisco Technology, Inc. | System and method for monitoring information in a network environment |
ATE290290T1 (de) * | 2002-06-04 | 2005-03-15 | Cit Alcatel | Eine methode, ein netzwerkszugangsserver, ein authentifizierungs-, berechtigungs- und abrechnungsserver, ein computerprogram mit proxyfunktion für benutzer-authentifizierung, berechtigung und abrechnungsmeldungen über einen netzwerkszugangsserver |
US7451209B1 (en) * | 2003-10-22 | 2008-11-11 | Cisco Technology, Inc. | Improving reliability and availability of a load balanced server |
US7421695B2 (en) * | 2003-11-12 | 2008-09-02 | Cisco Tech Inc | System and methodology for adaptive load balancing with behavior modification hints |
US7574603B2 (en) * | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
CN1272943C (zh) | 2004-03-24 | 2006-08-30 | 华为技术有限公司 | 一种组播业务的实现方法 |
CN1283062C (zh) * | 2004-06-24 | 2006-11-01 | 华为技术有限公司 | 无线局域网用户实现接入认证的方法 |
JP2006011989A (ja) * | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
US7170982B2 (en) * | 2004-08-26 | 2007-01-30 | Lucent Technologies Inc. | Call authorization and billing message routing capability |
JP2006079213A (ja) * | 2004-09-07 | 2006-03-23 | Ntt Docomo Inc | 中継装置、認証サーバ及び認証方法 |
EP1847076B1 (en) | 2004-12-17 | 2012-02-15 | Tekelec | Methods, systems, and computer program products for supporting database access in an internet protocol multimedia subsystem (IMS) network environment |
DE102005027242A1 (de) * | 2005-06-13 | 2006-12-14 | Vodafone Holding Gmbh | Verfahren zur Vergebührung von Datenverkehr in einem Funk-Kommunikationssytem, Netzübergang-Netzknoten, Vergebührungsserver und Vergebührungssystem |
US20070011448A1 (en) * | 2005-07-06 | 2007-01-11 | Microsoft Corporation | Using non 5-tuple information with IPSec |
US8559350B2 (en) | 2005-12-20 | 2013-10-15 | Microsoft Corporation | Mechanism to convey discovery information in a wireless network |
US9826102B2 (en) | 2006-04-12 | 2017-11-21 | Fon Wireless Limited | Linking existing Wi-Fi access points into unified network for VoIP |
US7924780B2 (en) | 2006-04-12 | 2011-04-12 | Fon Wireless Limited | System and method for linking existing Wi-Fi access points into a single unified network |
CN101102265B (zh) | 2006-07-06 | 2010-05-12 | 华为技术有限公司 | 用于多业务接入的控制和承载分离系统和实现方法 |
US8155128B2 (en) * | 2007-09-26 | 2012-04-10 | Alcatel Lucent | Method and apparatus for establishing and managing diameter associations |
CN102239481B (zh) | 2007-12-01 | 2013-09-11 | 朗讯科技公司 | 具有负载平衡的ims diameter路由器 |
JP2010061261A (ja) * | 2008-09-02 | 2010-03-18 | Fujitsu Ltd | 認証システムおよび認証方法 |
WO2010112064A1 (en) * | 2009-03-31 | 2010-10-07 | Nokia Siemens Networks Oy | Mechanism for authentication and authorization for network and service access |
US9668230B2 (en) * | 2009-11-10 | 2017-05-30 | Avago Technologies General Ip (Singapore) Pte. Ltd. | Security integration between a wireless and a wired network using a wireless gateway proxy |
US8615237B2 (en) | 2010-01-04 | 2013-12-24 | Tekelec, Inc. | Methods, systems, and computer readable media for policy and charging rules function (PCRF) node selection |
CN102195851A (zh) | 2010-03-09 | 2011-09-21 | 华为技术有限公司 | 负载分担方法、系统和接入服务器 |
WO2011156274A2 (en) | 2010-06-06 | 2011-12-15 | Tekelec | Methods, systems, and computer readable media for obscuring diameter node information in a communication network |
RU2446457C1 (ru) * | 2010-12-30 | 2012-03-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для удаленного администрирования персональных компьютеров в рамках сети |
US8910300B2 (en) | 2010-12-30 | 2014-12-09 | Fon Wireless Limited | Secure tunneling platform system and method |
WO2012106710A1 (en) | 2011-02-04 | 2012-08-09 | Tekelec, Inc. | Methods, systems, and computer readable media for provisioning a diameter binding repository |
WO2012118967A1 (en) | 2011-03-01 | 2012-09-07 | Tekelec, Inc. | Methods, systems, and computer readable media for hybrid session based diameter routing |
US8918469B2 (en) | 2011-03-01 | 2014-12-23 | Tekelec, Inc. | Methods, systems, and computer readable media for sharing diameter binding data |
JP5758508B2 (ja) | 2011-03-01 | 2015-08-05 | テケレック・インコーポレイテッドTekelec, Inc. | ダイアメータバインディング情報を動的に学習する方法、システムおよびコンピュータ読取可能媒体 |
US8547908B2 (en) | 2011-03-03 | 2013-10-01 | Tekelec, Inc. | Methods, systems, and computer readable media for enriching a diameter signaling message |
WO2012154674A2 (en) | 2011-05-06 | 2012-11-15 | Tekelec, Inc. | Methods, systems, and computer readable media for steering a subscriber between access networks |
US9264432B1 (en) | 2011-09-22 | 2016-02-16 | F5 Networks, Inc. | Automatic proxy device configuration |
US9319378B2 (en) | 2013-01-23 | 2016-04-19 | Tekelec, Inc. | Methods, systems, and computer readable media for using a diameter routing agent (DRA) to obtain mappings between mobile subscriber identification information and dynamically assigned internet protocol (IP) addresses and for making the mappings accessible to applications |
US9516102B2 (en) * | 2013-03-07 | 2016-12-06 | F5 Networks, Inc. | Server to client reverse persistence |
US9521032B1 (en) * | 2013-03-14 | 2016-12-13 | Amazon Technologies, Inc. | Server for authentication, authorization, and accounting |
US10951519B2 (en) | 2015-06-17 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for multi-protocol stateful routing |
US9923984B2 (en) | 2015-10-30 | 2018-03-20 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation |
US9668134B2 (en) | 2015-08-14 | 2017-05-30 | Oracle International Corporation | Methods, systems, and computer readable media for providing access network protocol interworking and authentication proxying |
US10554661B2 (en) | 2015-08-14 | 2020-02-04 | Oracle International Corporation | Methods, systems, and computer readable media for providing access network session correlation for policy control |
US9668135B2 (en) | 2015-08-14 | 2017-05-30 | Oracle International Corporation | Methods, systems, and computer readable media for providing access network signaling protocol interworking for user authentication |
US10084755B2 (en) | 2015-08-14 | 2018-09-25 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) proxy and diameter agent address resolution |
US11102188B2 (en) * | 2016-02-01 | 2021-08-24 | Red Hat, Inc. | Multi-tenant enterprise application management |
CN112399359B (zh) | 2016-12-15 | 2022-04-08 | 华为技术有限公司 | 信息传输方法、网元选择器及控制器 |
CN111815420B (zh) * | 2020-08-28 | 2021-07-06 | 支付宝(杭州)信息技术有限公司 | 一种基于可信资产数据的匹配方法、装置及设备 |
US11283883B1 (en) | 2020-11-09 | 2022-03-22 | Oracle International Corporation | Methods, systems, and computer readable media for providing optimized binding support function (BSF) packet data unit (PDU) session binding discovery responses |
CN117692255B (zh) * | 2024-02-02 | 2024-04-30 | 北京首信科技股份有限公司 | 动态扩展aaa服务的方法、装置及电子设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6128379A (en) * | 1997-12-03 | 2000-10-03 | Telcordia Technologies, Inc. | Intelligent data peripheral systems and methods |
US6470453B1 (en) * | 1998-09-17 | 2002-10-22 | Cisco Technology, Inc. | Validating connections to a network system |
US6298383B1 (en) * | 1999-01-04 | 2001-10-02 | Cisco Technology, Inc. | Integration of authentication authorization and accounting service and proxy service |
DE60020588T2 (de) * | 1999-10-22 | 2006-03-16 | Nomadix, Inc., Westlake Village | System und Verfahren zur Weiterleitung von Zugriffsversuchen von Benutzern auf eine Netzwerkseite |
FR2820263B1 (fr) * | 2001-01-31 | 2003-04-18 | France Telecom | Procede et serveur d'acces a un reseau numerique, et systeme l'incorporant |
-
2002
- 2002-04-22 AT AT02076564T patent/ATE313201T1/de not_active IP Right Cessation
- 2002-04-22 EP EP02076564A patent/EP1357720B1/en not_active Expired - Lifetime
- 2002-04-22 ES ES02076564T patent/ES2250581T3/es not_active Expired - Lifetime
- 2002-04-22 DE DE60207984T patent/DE60207984T2/de not_active Expired - Lifetime
-
2003
- 2003-04-09 US US10/410,336 patent/US7296078B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
DE60207984T2 (de) | 2006-07-13 |
US7296078B2 (en) | 2007-11-13 |
DE60207984D1 (de) | 2006-01-19 |
ATE313201T1 (de) | 2005-12-15 |
US20030217285A1 (en) | 2003-11-20 |
EP1357720B1 (en) | 2005-12-14 |
EP1357720A1 (en) | 2003-10-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2250581T3 (es) | Mandatario selector de usuario, metodo y sistema para autenticacion, autorizacion y contabilidad. | |
ES2281228B2 (es) | Sistema, metodo y aparato para servicios federados de identificacion unica. | |
EP3579494B1 (en) | Blockchain based roaming | |
ES2360036T3 (es) | Presencia con información de localización espacial. | |
ES2707204T3 (es) | Agente de gestión de identificación de abonado para redes fijas/móviles | |
ES2239564T3 (es) | Gestion de datos de perfiles de usuarios. | |
ES2256964T3 (es) | Metodo y aparato para propocionar servicios moviles especificos de red. | |
CN103039053B (zh) | 用于使用单一注册过程的客户端组的安全注册的方法和设备 | |
JP5032582B2 (ja) | ゲートウェイ選択機構 | |
KR102390364B1 (ko) | 인증 요청들을 제어하기 위한 프라이버시 표시자들 | |
ES2380320T3 (es) | Procedimiento y sistema para la autenticación de un usuario de un sistema de procesado de datos | |
ES2744824T3 (es) | Encaminador de Diameter de IMS con equilibrio de carga | |
ES2340850T3 (es) | Control de llamada terminada para itinerancia de suscriptores de telefonia movil. | |
US6560217B1 (en) | Virtual home agent service using software-replicated home agents | |
US20170230335A1 (en) | Method and apparatus for remote access | |
ES2522621T3 (es) | Intermediario de itinerancia | |
IL149356A (en) | Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure | |
ES2794600T3 (es) | Mejoras al proceso de selección de ePDG en un país visitado | |
US8095685B2 (en) | Provision of a service to several separately managed networks | |
US20060088011A1 (en) | System and method for allocating and distributing end user information in a network environment | |
ES2264853B1 (es) | Sistema y metodo de asercion de identidades en una red de telecomunicaciones. | |
ES2366642T3 (es) | Dispositivo servidor de rutas, procedimiento y sistema que aplica el dispositivo. | |
ES2321808T3 (es) | Sistema para proporcionar informacion sobe la ubicacion de usuarios de moviles que se suscriben a una red y que estan itinerantes en una red diferente que no soporta el mismo metodo de localizacion. | |
ES2251290B1 (es) | Sistema y metodo de aprovisionamiento de usuarios de telefonos moviles. | |
JP4966980B2 (ja) | 複数の通信事業者が存在する環境下におけるパーソナルネットワーク管理の方法 |