ES2250581T3 - Mandatario selector de usuario, metodo y sistema para autenticacion, autorizacion y contabilidad. - Google Patents

Mandatario selector de usuario, metodo y sistema para autenticacion, autorizacion y contabilidad.

Info

Publication number
ES2250581T3
ES2250581T3 ES02076564T ES02076564T ES2250581T3 ES 2250581 T3 ES2250581 T3 ES 2250581T3 ES 02076564 T ES02076564 T ES 02076564T ES 02076564 T ES02076564 T ES 02076564T ES 2250581 T3 ES2250581 T3 ES 2250581T3
Authority
ES
Spain
Prior art keywords
aaa
user
proxy
isp
server
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES02076564T
Other languages
English (en)
Inventor
Juan-Antonio Sanchez-Herrero
Ana Maria Lopez Nieto
John Michael Walker
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of ES2250581T3 publication Critical patent/ES2250581T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2898Subscriber equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Abstract

Un proxy (10, 20) selector de usuario, que comprende medios (50) para recibir peticiones de servicios de autenticación, autorización y contabilidad (AAA) procedentes de un cliente AAA (4), medios para extraer un dominio de usuario de un identificador de usuario recibido para un usuario, medios (52) para identificar un servidor AAA (1, 2, 3) a cargo del mencionado usuario en una red de proveedor de servicios de Internet (ISP-1, ISP-2), medios (50) para someter la petición de servicio AAA a dicho servidor AAA, medios (50) para recibir la respuesta correspondiente del servidor AAA procedente del citado servidor AAA, y medios (50) para devolver la respuesta del servicio AAA al cliente AAA que ha emitido la petición, cuyo proxy selector de usuario se caracteriza porque los medios para identificar un servidor AAA a cargo del usuario, comprenden: (a) medios de tratamiento (53, 51) para analizar el identificador de usuario recibido, en formato estructurado o no estructurado, para determinar qué campos de entre los campos del identificador de usuario, sólos o en combinación, se toman como criterio de selección para elegir un servidor AAA a cargo de este usuario; y (b) medios de selección (51; 54) para seleccionar, bajo el criterio de selección, el servidor AAA (11; 12; 13; 21; 22; 23) a cargo de dicho usuario en una red de proveedor de servicios de Internet (ISP-1; ISP-2).

Description

Mandatario selector de usuario, método y sistema para autenticación, autorización y contabilidad.
Campo del invento
El presente invento se refiere, en general, a un red de telecomunicaciones acoplada a una red de servicio de un proveedor de servicios en Internet (ISP) para llevar a cabo tareas de autenticación, autorización y contabilidad de usuarios con acceso remoto. Más en particular, el invento se refiere a medios, sistemas y métodos para permitir que redes del tipo antes mencionado determinen el servidor apropiado para tareas de autenticación, autorización y contabilidad (denominado en adelante servidor AAA) a cargo de un usuario que ha emitido una solicitud de servicio.
Antecedentes
El acceso a servicios de Internet se lleva a cabo, hoy en día, mediante un ISP. En el contexto más general, diferentes operadores gestionan la red de ISP y la red de acceso. Así, ambas redes se consideran redes separadas. El ISP lleva a cabo las comprobaciones de autenticación, autorización y contabilidad de usuarios que acceden a sus servicios a través de una red de acceso. En particular, estos usuarios son abonados de una red de telecomunicaciones que actúa como red de acceso para la red de ISP.
De este modo, cuando un usuario de una red de telecomunicaciones desea conectarse con un servidor determinado que pertenece a un ISP, una petición de servicio es enviada desde el usuario a dicho servidor de ISP a través de un servidor de acceso a la red (NAS), que pertenece a la red de telecomunicaciones. No obstante, dicho usuario debe haberse acreditado previamente y dicha petición de servicio debe haber sido autorizada previamente por una entidad tal como un servidor de autenticación, autorización y contabilidad (servidor AAA). Para ello, cuando el usurario envía una petición de servicio hacia el NAS, introduce también un identificador de usuario y una palabra de paso para su propia identificación. Esta información es enviada al servidor AAA empleando un protocolo de comunicaciones tal como el servicio de usuario de marcado de autenticación remota (conocido generalmente como RADIUS) o la actualización de RADIUS conocida como protocolo DIAMETER, o similar.
El grupo de trabajo sobre ingeniería de Internet (IETF) define el protocolo RADIUS en la RFC (petición de comentarios) 2865. De igual manera, el protocolo DIAMETER se define en "draft-ietf-aaa-diameter-08.txt" que, asimismo, es soportado por el IETF. El concepto básico que subyace tras DIAMETER es proporcionar un protocolo base que pueda ampliarse con el fin de proporcionar servicios de AAA para nuevas tecnologías relacionadas con el acceso. Ambas especificaciones, RADIUS y DIAMETER, describen protocolos adecuados para llevar a cabo las tareas de autenticación y autorización, así como para recoger la información contable entre el NAS y el servidor AAA cuando el primero desea autenticar sus enlaces.
Partiendo de la base de que el protocolo utilizado sea RADIUS, cuando un NAS que opera como cliente de un servidor AAA RADIUS recibe una petición de servicio entrante, dicho NAS obtiene información de identificación del usuario, a saber, el nombre y una palabra de paso y, luego, emite una petición de autenticación al servidor AAA RADIUS. El servidor AAA RADIUS, al recibir la información de identificación y otra información del NAS, realiza la autenticación del usuario. Es decir, dependiendo de quién sea el usuario, se le autoriza a acceder a diferentes servicios y posibilidades. Los atributos RADIUS contienen los datos de autenticación y de autorización específicos, así como los detalles de información y configuración para los paquetes de petición y de contestación.
Por ejemplo, los atributos que pueden estar contenidos en estos paquetes son el nombre del usuario, su palabra de paso y otros. En particular, el atributo "nombre de usuario" indica el nombre del usuario que ha de autenticarse. El formato de este nombre de usuario en el protocolo RADIUS puede adoptar una de varias formas:
-
Texto, una forma que consiste solamente en caracteres codificados UTF-8
-
Identificador de acceso a red (NAI), a saber, username@realm, como se describe en la RFC 2486
-
Nombre distinguido (DN), que es un nombre en forma ASN.1 utilizado en sistemas de autenticación con clave pública.
Por otra parte, cuando el protocolo utilizado es DIAMTETER, el procedimiento es similar al del caso previo. Un NAS que actúe como cliente de un servidor AAA DIAMETER inicia una petición de autenticación y/o autorización de un usuario dado hacia dicho servidor AAA DIAMETER. El servidor AAA DIAMETER, al recibir la información de identificación y otra información del NAS, realiza la autenticación del usuario. Es decir, dependiendo de quien sea el usuario, se le autoriza para que tenga acceso o diferentes servicios y posibilidades.
Cualesquiera datos transmitidos por el protocolo DIAMETER adoptan la forma de valor de atributo PEAR (denominado en adelante AVP). Dicho AVP es utilizado por el protocolo DIAMETER de base, entre otras cosas, para transportar la información de autenticación de usuario hacia el servidor AAA DIAMETER. El nombre del usuario es proporcionado en el AVP de nombre de usuario, que permite un formato NAI, o en un formato UTF-8 consistente con la especificación NAI.
Un escenario típico de una red de telecomunicaciones acoplada a un ISP para proporcionar servicios de Internet, es la provisión de acceso a Internet en una red de servicio general de radio por paquetes (GPRS). En este escenario, un nodo de soporte GPRS pasarela (en adelante GGSN) puede intercomunicarse con un servidor AAA empleando, típicamente, el protocolo RADIUS. Así, un GGSN actúa como cliente de un servidor AAA RADIUS.
Otro escenario lo constituye una red de área local inalámbrica (WLAN), que accede a Internet a través de un punto de acceso WLAN conectado a un servidor AAA por medio de los protocolos DIAMETER o RADIUS. Así, un punto de acceso WLAN puede actuar, respectivamente, como cliente de un servidor AAA DIAMETER o como cliente de un servidor AAA RADIUS.
En la actualidad, los ISP almacenan información de usuario, de todos sus usuarios, en grandes bases de datos de extremo trasero, a saber, servidores AAA a los que puede acceder el cliente AAA. En escenarios en que el número de usuarios sea muy elevado, esta solución no es fácilmente escalable ya que el tamaño de las bases de datos y el número de preguntas por segundo hacen, necesariamente, que el comportamiento de la red se degrade. En particular, suponiendo que cada ISP tenga organizados sus usuarios en un único servidor AAA grande, debe mantenerse una relación directa entre dicho servidor AAA y el cliente AAA solicitante durante toda la sesión lo cual, en el caso de transacciones relacionadas con la contabilidad, puede penalizar el comportamiento esperado del servidor
AAA.
Una solución inmediata para un ISP que tenga un número de usuarios muy elevado, puede consistir en que el ISP necesite más de un servidor AAA para organizar la información sobre sus usuarios. Una primera desventaja de este marco de servidor AAA múltiple es que las relaciones de seguridad entre el cliente AAA y el servidor AAA diferente, resultan más complicadas. Una segunda desventaja consiste en que la estructura de la red del ISP se hace más visible para el cliente AAA, que puede ser un NAS hecho funcionar por otro operador y, así, genera dependencias de configuración de la red entre el ISP y el operador de la red de telecomunicaciones.
Con independencia de las anteriores desventajas, los clientes AAA que soliciten servicio de un ISP que disponga de una pluralidad de servidores AAA, tienen que saber con qué servidor deben ponerse en contacto para resolver una petición de servicio particular de un usuario determinado. En ausencia de otros criterios, un cliente AAA podría realizar preguntas en secuencia a los servidores AAA de un ISP acoplado hasta encontrar el servidor AAA apropiado a cargo de un usuario determinado.
Pueden conseguirse comportamientos mejores ante preguntas en secuencia, interponiendo un servidor intermedio (proxy) AAA entre el cliente AAA y una red de ISP con una pluralidad de servidores AAA. Tal proxy AAA, como se describe en el documento US 6.298.383, es capaz, típicamente, de diferenciar entre servidores AAA sobre una base por dominios. Así, haciendo uso de los identificadores de usuario en un formato NAI o similar, a saber, username@realm (nombre_de_usuario@dominio), un ISP puede organizar sus usuarios entre diferentes servidores AAA sobre una base por regiones. El antes mencionado proxy AAA es, entonces, capaz de determinar el servidor AAA específico a cargo de todos los usuarios de un dominio específico, a saber, el dominio al que ha accedido la región compartida por tales usuarios.
Corrientemente, no hay otros criterios para distribuir los usuarios entre servidores AAA en una red de ISP. A este respecto, puede utilizarse justamente la bien conocida y estructurada región en formato NAI a que antes se ha hecho referencia, por ejemplo, "acme.com", a fin de determinar sin ambigüedades un servidor AAA único, responsable de un cierto dominio en una red de ISP.
Sin embargo, existen formatos del nombre del usuario distintos del NAI o que no están estructurados en forma consistente o, incluso, que carecen de estructura alguna, para los que tal proxy AAA no es capaz de distinguir entre una pluralidad de servidores AAA, y este es un inconveniente importante para los ISP. Por ejemplo, un proxy AAA que reciba peticiones de servicio de un GGSN que actúe como NAS de una red GPRS, haciendo uso el GGSN del número ISDN de abonado móvil (MSISDN) como identificador de usuario, no es capaz de seleccionar uno de la pluralidad de servidores AAA para este tipo de identificador de usuario.
Además, e incluso para nombres de usuario en formatos NAI, dicho proxy AAA no es capaz de distinguir más de un servidor AAA para el mismo dominio. Es decir, todos los usuarios que tienen asignada la misma región en formato NAI, deben estar situados en el mismo servidor AAA en una red de ISP determinada. Esta disposición singular de todos los usuarios con el mismo dominio o región en el mismo servidor AAA sigue considerándose un inconveniente para los ISP, ya que deben introducirse mecanismos más complicados para equilibrar la carga entre servidores AAA de distinta capacidad.
Otro inconveniente, cuando los formatos del nombre de usuario no incluyen un identificador de región o de dominio, es que la inclusión del antes mencionado proxy AAA, como tal, no resuelve la identificación de un único servidor AAA a cargo de cierto usuario en una red de ISP con una pluralidad de servidores AAA. A este respecto, los operadores de una red de telecomunicaciones, cuando los identificadores de abonado no incluyen un identificador de región o de dominio, podrían ver este proxy AAA como una entidad superflua que penaliza el comportamiento del servicio AAA. Sin embargo, la introducción de este proxy AAA puede superar o, al menos, minimizar, las dos desventajas a que antes se ha hecho referencia, relaciones de seguridad y visibilidad de la estructura de la red de ISP, especialmente cuando el proxy AAA pertenece a la red del ISP. En este caso particular, la inclusión de tal proxy AAA beneficia el interés del ISP, al tiempo que penaliza a los operadores de las redes de telecomunicaciones de este tipo antes mencionadas.
Por tanto, un primer objeto del presente invento es proporcionar los medios y los métodos para distribuir usuarios de servicios AAA entre una pluralidad de servidores AAA con independencia de los esquemas de identificación de usuario, de las estructuras y del servicio aplicable.
Otro objeto del presente invento es hacer que el primer objeto antes mencionado sea compatible con la inclusión de un proxy AAA actualizado con el fin de resolver las antes citadas desventajas, primera y segunda, las relacionadas con aspectos relativos a la seguridad y la visibilidad de la estructura de una red de ISP. Dicho proxy AAA actualizado es capaz de seleccionar el servidor AAA apropiado a cargo de un usuario dado con independencia de los esquemas de identificación del usuario, de las estructuras y del servicio aplicable, consiguiéndose así el primer objeto del presente invento.
Técnica relacionada
Un punto de partida interesante se encuentra en los sistemas inalámbricos típicos de segunda generación, como las redes GSM y ANSI-41. A medida que dichos sistemas inalámbricos incorporaban más y más abonados, los operadores querían bases de datos de abonados de grandes dimensiones, como el registro de posiciones base (HLR), con el fin de mantener una enorme cantidad de suscripciones, reduciendo al mínimo las actividades O&M y optimizando las tablas de encaminamiento de la red SS7 (sistema de señalización número 7). La más reciente aparición de las exigencias de portabilidad del número, en algunos casos reguladas por Ley, según las cuales abonados individuales se cambiaban de un HLR perteneciente a un operador a otro HLR perteneciente a otro operador, hizo definitivamente que las necesidades de un selector de base de datos se convirtieran en una exigencia.
Una descripción ilustrativa de un selector de bases de datos de esta clase puede encontrarse en la solicitud internacional WO 99/23838, en la que dicho selector de bases de datos de una cierta red se denomina registro de números flexible (FNR). Este FNR es el punto de entrada natural en las redes inalámbricas de segunda generación para las peticiones relacionadas con aquellos abonados cuyas series de números de usuario pertenecen a dicha red, con independencia de a qué red pertenece, en ese momento, la suscripción del abonado. Es decir, dicho FNR comprende todas las series de números de usuario que acceden a la citada red y, también, los números de usuario individuales de los abonados que se han cambiado a esta red desde otra. Además, a los números de usuario individuales de abonados domésticos que se han cambiado a otra red, se les asigna una marca especial y tienen un identificador de red particular para alcanzar un nodo de entrada de la red en que el abonado mantiene corrientemente su suscripción.
Las peticiones relacionadas con los abonados basadas en números de usuario en formatos tales como IMSI o E.164, acceden al FNR en una red a la que se ha accedido mediante dicho formato IMSI o E.164. Estos formatos corresponden a series de números bien estructuradas, de longitud predefinida. Entonces, el FNR determina si la petición debe ser, simplemente, transmitida al HLR apropiado dentro de su propia red para el caso de abonados que nunca han cambiado de red ni proceden de otras redes, o si la petición debe se redirigida a la red apropiada a donde ha ido a parar el abonado. Todos los mecanismos requeridos de encaminamiento y de acceso, se llevan a cabo en capas de señalización inferiores, como en la parte de control de conexión de señalización (SCCP) dentro del SS7.
Aún cuando esta solución se considera como una tecnología anterior pertinente, sigue presentando serias limitaciones en cuanto a su aplicabilidad directa a escenarios más recientes para interconectar redes de telefonía inalámbricas y redes fijas tradicionales con Internet y redes de servicios multimedia en grandes sistemas de telecomunicaciones. Por ejemplo, esta técnica anterior relacionada con el FNR simplemente considera la señalización, el encaminamiento y el acceso de acuerdo con los principios del SS7, donde los identificadores de abonado o usuario se basan, meramente, en números estructurados. Además, al menos uno de los identificadores asociados a un abonado, debe estar estructurado de tal forma que el análisis de dicho número identifique sin ambigüedades el HLR apropiado. Todavía otra limitación de esta solución anterior es que, durante el desarrollo de estas redes inalámbricas de segunda generación, no se consideraron ni otras regiones de identificador más recientes ni otros soportes de protocolo distintos de las capas superiores relacionadas con el SS7. Además, en esta técnica anterior no se anticipaba, en modo alguno, nada relacionado con servidores dedicados al servicio, tales como los relacionados con servicios AAA, a los que se debe acceder en respuesta a peticiones basadas en identificadores de usuario correspondientes.
Por tanto, no parece que los antes mencionados objetos del presente invento se hayan conseguido ni se vean anticipados por las enseñanzas de la solicitud anterior. A este respecto, la provisión de medios y de un método para permitir una disposición equilibrada de usuarios entre una pluralidad de servidores AAA con independencia de los esquemas de identificador de usuario, de las estructuras y del servicio aplicable, continúa siendo un objeto del presente invento. Dichos medios y dicho método, compatibles con la introducción de un proxy AAA entre el cliente AAA y un ISP con una pluralidad de servidores AAA para soportar dicha disposición equilibrada de usuarios, son, todavía, otro objeto del presente invento.
Se proporciona un proxy selector de usuario (USP) para soportar una disposición equilibrada de usuarios con independencia de los esquemas de identificador de usuario, las estructuras y el servicio aplicable, al tiempo que cumple la misión de proxy, alcanzándose así los objetos del presente invento.
Por tanto, el USP comprende medios para recibir peticiones de servicio (AAA) de autenticación, autorización y contabilidad procedentes de un cliente AAA, medios para extraer un dominio de usuario a partir de un identificador de usuario recibido, medios para identificar el servidor AAA a cargo del dominio del usuario en la red del proveedor de servicios de Internet (ISP), medios para someter la petición de servicio AAA a un servidor AAA, medios para recibir la correspondiente respuesta del servicio AAA desde dicho servidor AAA, y medios para devolver la respuesta del servicio AAA al cliente AAA que ha emitido la petición. Este USP de acuerdo con el invento comprende, también, medios para analizar el identificador de usuario recibido, en formato estructurado o no estructurado y con independencia de esquemas de identificador con el fin de determinar si, para la selección de un servidor AAA a cargo de este usuario, se toman todos los campos del identificador de usuario, o solamente el nombre del usuario o el dominio únicamente, o una combinación de ellos; y medios para seleccionar un servidor AAA a cargo de dicho usuario en una red de proveedor de servicios de Internet (ISP).
Para mayor eficacia, el proxy selector de usuario comprende, además, un almacenamiento sobre una base de usuarios individuales, o un grupo de usuarios base, o ambos, para guardar al menos un identificador para cada, al menos, un servidor AAA a cargo de un usuario individual o un grupo de usuarios dados. En particular, este almacenamiento puede ser ofrecido mediante una base de datos interna o externa que comprenda relaciones entre identificadores de usuario e identificadores de servidor AAA sobre una base por usuario y/o por grupo de usuarios.
Puede conseguirse otra disposición ventajosa de usuarios haciendo que un proxy selector de usuario esté preparado para sustituir cualquiera de los campos de identificador de usuario, o combinación de los mismos, por unos nuevos sobre una base de usuario individual o sobre una base de grupo de usuarios, o sobre ambas, o sobre una base de servidor AAA. Para ello, relaciones como las anteriores pueden incluir, además, campos de identificador de nuevo usuario, y el USP puede comprender medios de sustitución para reemplazar dichos campos de identificador de nuevo usuario.
Además, y desde el punto de vista de la compatibilidad, el anterior proxy selector de usuario está destinado a comunicarse con un cliente AAA con un protocolo que opera de acuerdo con las especificaciones de los protocolos RADIUS o DIAMETER.
Así, este proxy selector de usuario puede ser utilizado como proxy de autenticación, autorización y de contabilidad (proxy AAA), con el que usuarios identificados mediante identificadores de usuario en un formato distinto del NAI, también pueden estar dispuestos entre una pluralidad de servidores AAA.
El invento proporciona también un método para ofrecer servicios de autenticación, autorización y contabilidad (AAA) en una red de telecomunicaciones acoplada a un proveedor de servicios de Internet (ISP). Este método comprende los pasos de recibir una petición de servicio AAA en un proxy AAA procedente de un cliente AAA; extraer un dominio de usuario de un identificador de usuario recibido incluido en la petición de servicio AAA; identificar, en dicho proxy AAA, el servidor AAA encargado de dicho usuario en la citada red del proveedor de servicios de Internet (ISP); someter la petición de servicio AAA procedente del proxy AAA a dicho servidor AAA; recibir la correspondiente respuesta del servicio AAA en el proxy AAA procedente de dicho servidor AAA; y devolver la respuesta del servicio AAA procedente del proxy AAA al cliente AAA que ha emitido la petición. A este respecto, por lo menos la comunicación entre el proxy AAA y el cliente AAA se lleva a cabo con un protocolo que opera de acuerdo con las especificaciones de protocolos RADIUS o DIAMETER.
Además, el paso de identificar, en un proxy AAA, el servidor AAA encargado de un usuario indicado, comprende las operaciones de analizar el identificador de usuario recibido, en formato estructurado o no estructurado, para determinar si para la selección de un servidor AAA encargado de este usuario, se toman todos los campos del identificador de usuario o solamente el nombre de usuario o sólo el dominio de usuario o cualquier combinación de ellos; y seleccionar un servidor AAA encargado del mencionado usuario en una red de proveedor de servicios de Internet (ISP).
Con el fin de mejorar la eficacia del método antes citado, se incluye un paso previo consistente en almacenar en el proxy AAA, sobre una base de usuario individual, o sobre una base de grupo de usuarios, o sobre ambas, al menos un identificador para cada uno de, al menos, un servidor AAA encargado de un usuario individual dado o un grupo de usuarios dado.
El método comprende, también, el paso ventajoso de sustituir en el proxy AAA cualquiera de los campos de identificador de usuario, o cualquier combinación de los mismos, por unos nuevos sobre una base de usuario individual, o sobre una base de grupo de usuarios, o sobre ambas, o sobre una base de servidor AAA.
El invento proporciona, así, un sistema que comprende una red de telecomunicaciones acoplada a una red de proveedor de servicios de Internet (ISP a través de un servidor de acceso a red (NAS), en el que el proxy selector de usuario (USP) anterior, que actúa como proxy mejorado, sea el punto de entrada a dicha red de ISP, trabajando así el NAS en colaboración con el USP.
\newpage
Breve descripción de los dibujos
Las características, objetos y ventajas del invento resultarán evidentes a partir de la lectura de esta descripción en conjunto con los dibujos adjuntos, en los que:
La Fig. 1 representa una vista parcial de una arquitectura de red corriente que nuestra cómo un cliente pide a redes de proveedores de servicios de Internet (ISP) un servicio de autenticación, autorización y contabilidad (AAA), en la que una primera red de ISP tiene un servidor AAA por dominio y una segunda red de ISP no distingue dominios.
La Fig. 2 representa una vista parcial pertinente de una arquitectura de red de acuerdo con el invento, en la que un cliente pide servicios AAA a redes de ISP, teniendo las redes de ISP una pluralidad de servidores AAA para distribuir usuarios y un proxy selector de usuario como punto de entrada a cada red de ISP.
La Fig. 3 muestra esquemáticamente una aplicación del proxy selector de usuario que trabaja en cooperación con un cliente AAA y con un servidor AAA particular utilizando protocolo RADIUS.
La Fig. 4 ilustra básicamente un flujo de mensajes para el establecimiento de asociaciones de seguridad entre un cliente AAA y un proxy selector de usuario, y entre el proxy selector de usuario y un servidor AAA particular.
La Fig. 5a muestra una tabla de disposición de usuarios ilustrativa, que guarda relaciones entre usuarios, grupos de usuarios y al menos un servidor AAA encargado de cada usuario o grupo de usuarios.
La Fig. 5b representa, a modo de contraste, la disposición habitual de usuarios sobre una base por dominios entre varios servidores AAA, estando cada servidor AAA encargado de un dominio de usuario.
La Fig. 6 ilustra una realización de un proxy selector de usuario que comprende medios de encaminamiento y medios de protocolo separados de medios de tratamiento y que cooperan con ellos.
Descripción detallada de realizaciones preferidas
Comúnmente, un proxy AAA está destinado a recibir peticiones de servicios AAA procedentes de un cliente AAA. La expresión "cliente AAA" es una forma genérica mientras que, en particular, un servidor de acceso a red (NAS) para una red de telecomunicaciones que accede a un proveedor de servicios de Internet (ISP) puede ser, de hecho, un cliente AAA. De acuerdo con la Fig. 1, un cliente AAA (4) genérico se acopla a un primero y a un segundo proveedores de servicios de Internet (ISP-1, ISP-2) para tener acceso a la red (6) de Internet. Tal cliente AAA (4) podría ser un NAS conectado a una red de telecomunicaciones con diferentes identificadores de usuario para distintos propósitos. En esta arquitectura típica, un ISP (ISP-1) que maneje identificadores de usuario en formato NAI, con indicación explícita de una región o dominio, puede distribuir a sus usuarios entre varios servidores AAA (1, 2), siendo cada servidor AAA responsable de un dominio particular. Tal ISP (ISP-1) puede tener, también, un proxy AAA (5) para determinar qué servidor AAA (1, 2) particular está encargado de un abonado dado en un dominio para prestarle servicios de autenticación, autorización y contabilidad. Por otra parte, un ISP (ISP-2) que maneje identificadores de usuario en un formato distinto del NAI, ya sea estructurado o no estructurado, no puede aprovecharse de la interposición de tal proxy AAA para acceder a su único servidor AAA (3). Este es el motivo por el que el proxy AAA se incluye, típicamente, en una red de ISP donde existen una pluralidad de servidores AAA, siendo cada uno de ellos responsable de un cierto dominio, en lugar de formar parte de la red de telecomunicaciones, o parte de una red de acceso. Además, tal proxy AAA (5) es, así, capaz de ocultar la topología interna del ISP (ISP-1) a sus clientes AAA cooperantes.
En lo que sigue se describen realizaciones actualmente preferidas de unos medios, un método y un sistema para permitir una disposición de usuarios equilibrada entre una pluralidad de servidores AAA con independencia de esquemas de identificador de usuario, estructuras y servicios aplicables. De acuerdo con un aspecto del presente invento, se proporciona un proxy selector de usuario (denominado, en adelante, USP) para que actúe como proxy AAA actualizado y, así, recibir peticiones de servicios AAA de un cliente AAA que acceda a un ISP que cuente con una pluralidad de servidores AAA a cargo de disposiciones equilibradas de usuarios.
Como se muestra en la Fig. 2, el proveedor de servicios de Internet (ISP-1, ISP-2) comprende una pluralidad de servidores AAA (12, 12, 13, 21, 22, 23) tales que, a ellos, se accede mediante un USP (10, 20) que, a su vez, está conectado a un cliente AAA (4). Es decir, cada proveedor de servicios de Internet (ISP-1, ISP-2) tiene distribuidos sus usuarios entre una pluralidad de servidores AAA (11, 12, 13) (21, 22, 23) en su propia red de ISP, siendo así el USP de cada red de ISP, responsable de analizar los identificadores de usuario incluidos en las peticiones de servicio recibidas del cliente AAA (4).
Por tanto, el USP (10, 20) comprende medios de tratamiento para analizar todos los campos de identificador de usuario, o sólo un nombre de usuario, o sólo un dominio de usuario, o una combinación de los mismos, con el fin de realizar el encaminamiento de la petición de servicio AAA recibida del cliente AAA, hacia un servidor AAA específico encargado del usuario correspondiente.
Además de los medios de tratamiento citados en lo que antecede, el USP está provisto, también, de una estructura de base de datos interna o, en términos más generales, un almacenamiento para guardar al menos un identificador para cada uno de dichos al menos un servidor AAA encargado de un usuario individual o de un grupo de usuarios dado. Esto garantiza que por lo menos un servidor AAA puede encargarse de un abonado o grupo de abonados particular.
Además, de acuerdo con otro aspecto del presente invento, a cualquier usuario particular se le podría asignar más de un servidor AAA, con fines de redundancia o de reparto de carga, lo que ofrecería ventajas adicionales e inesperadas en las redes de ISP clásicas. Por ejemplo, podría seleccionarse un servidor AAA de entre una pluralidad de posibles servidores AAA dependiendo de un estado de disponibilidad, un estado de reparto de carga, un campo de prioridad adicional mediante comunicaciones en secuencia o en respuesta a otros criterios de selección.
Además, de acuerdo con todavía otro aspecto del presente invento, en caso de que no pueda determinarse ningún servidor AAA particular para un usuario o grupo de usuarios, la petición de servicio AAA es rechazada amablemente con el fin de evitar ataques de denegación de servicio (DOS). Esto ofrece, también, una inesperada y ventajosa protección a la red de ISP.
A este respecto, la Fig. 5a y la Fig. 5b muestran, respectivamente, la relación lógica y otros datos que el USP de acuerdo con el invento y un proxy AAA tradicional comprenden. En contraste con ello, un almacenamiento (51) incluido en el USP (10, 20) comprende datos de servidor AAA pertinentes para al menos un servidor AAA encargado de usuarios específicos o de un grupo de usuarios específico, mientras que un proxy AAA clásico simplemente guarda (52) las direcciones de servidores AAA sobre premisas de dominio. Además, dicho almacenamiento (51) incluido en el USP comprende, también, atributos modificados, tales como una nueva región o un nuevo nombre de usuario, o nuevos campos de identificador de usuario o combinaciones de los mismos para sustituir los recibidos. Tales datos de modificación se aplican, asimismo, por usuario individual y por grupo de usuarios.
Más específicamente, en la Fig. 5a se ilustra una realización del presente invento en la que se presenta una posible tabla (51) de disposición de usuarios en un USP. El lector interesado puede apreciar en esta tabla que están presentes diferentes usuarios de distintos dominios (región.número), estando algunos de ellos agrupados (Gr-número) mientras que otros se mantienen sobre una base individual. Cuando se agrupan usuarios de dominios diferentes, dicho al menos un servidor AAA encargado de todos los usuarios de un grupo es marcado, así, sobre una base de grupo en vez de sobre una base individual. Por otra parte, a los usuarios no agrupados se les asigna individualmente al menos un servidor AAA encargado de cada usuario sobre una base individual. Además, a cada usuario particular se le puede dar un nuevo nombre de usuario o una nueva región para reemplazar al recibido antes de que la petición de servicio AAA sea dirigida al servidor AAA apropiado. Además, tanto a los usuarios como a los grupos se les puede otorgar una nueva región para reemplazar, también, a la recibida.
Estas y otras disposiciones ilustrativas pueden reservarse para permitir una disposición equilibrada de usuarios entre una pluralidad de servidores AAA dependiendo de distintos criterios bajo las premisas de un proveedor de servicios de Internet. Se espera que a cualquier experto normal en esta técnica se le ocurran otras realizaciones que no difieran sustancialmente del enfoque anterior y, por tanto, comprendidas dentro del alcance del presente invento.
El USP (10, 20) representado en la Fig. 2 recibe, así, el tráfico generado desde el lado del cliente AAA (4) y lo dirige hacia el correspondiente servidor AAA (11, 12, 13) (21, 22, 23) activo para el abonado dado y perteneciente al proveedor de servicios de Internet aplicable (ISP-1) (ISP-2).
Por tanto, un USP particular (10, 20), como se muestra en la Fig. 6, recibe cualquier petición de servicio AAA procedente de un cliente AAA para un usuario indicado a través de los medios de protocolo (50). Luego, los medios de tratamiento (53) extraen todos los campos pertinentes del identificador del usuario, que son analizados en cooperación con el almacenamiento (51) de base de datos interno para determinar, en primer lugar, si algún campo particular del identificador de usuario o combinaciones de ellos, deben ser reemplazados por nuevos campos de identificador de usuario para el usuario indicado. y, en segundo lugar, los medios de tratamiento (53) igualmente, en cooperación con medios de encaminamiento (54) determinan una dirección de uno preferido de dichos al menos un servidor AAA encargado del usuario, a la que dirigir la petición de servicio AAA. Un lector interesado puede apreciar que los medios de encaminamiento pueden incluirse como parte de los medios de tratamiento, cambiando sustancialmente el comportamiento técnico esperado.
Por ejemplo, en una red de telecomunicaciones como una red GPRS, puede utilizarse un servidor de acceso a red (NAS) para acceder a una red de ISP que de acceso a los usuarios GPRS a la red de Internet. Dicho NAS actúa entonces como un cliente AAA que emite las peticiones de servicio AAA a un proxy selector de usuario (USP) de acuerdo con el invento. Las comunicaciones entre el USP y el NAS pueden llevarse a cabo con un protocolo como RADIUS o DIAMETER, por ejemplo, identificándose un usuario por su MISIÓN.
El diagrama de secuencias ilustrado en la Fig. 3 es un caso ilustrativo del método para pedir un servicio AAA cuando el protocolo utilizado es RADIUS. El NAS emite una petición de acceso RADIUS que incluye el identificador de usuario, para el proxy selector de usuario. Tal petición es tratada, finalmente, por los medios de tratamiento (53) que, en esta realización preferida, comprenden los medios de protocolo (50) y los medios de encaminamiento (54) a los que, en la Fig. 6, se hace referencia como entidades lógicas separadas. Dichos medios de tratamiento (53) realizan una petición (S-31) a una base de datos interna (51) del proxy selector de usuario con el fin de obtener una dirección para enviar la petición de acceso RADIUS al servidor AAA apropiado encargado de este usuario. La base de datos interna responde (S-32) a los medios de tratamiento con tal dirección de servidor AAA y, opcionalmente, con un nuevo identificador de usuario (identificador de usuario bis). Eventualmente, los medios de tratamiento encaminan la petición de acceso RADIUS recibida con el identificador de usuario aplicable a dicho servidor AAA.
Partiendo de que, para uso en el caso precedente, se prefiere una realización del USP como se ilustra en la Fig. 6, la petición de acceso RADIUS es recibida en los medios de tratamiento a través de medios de protocolo (50). Además, la dirección de un servidor AAA apropiado, devuelta (S-32) desde la base de datos interna (51), es determinada por los medios de tratamiento igualmente en cooperación con los medios de encaminamiento (54). Eventualmente, la petición de acceso RADIUS es dirigida desde los medios de tratamiento (53) a través de los medios de protocolo (50) al servidor AAA.
Debe observarse que los flujos de tráfico entre el cliente AAA (4) y el proxy (10, 20) selector de usuario, son independientes de los flujos de tráfico entre el proxy (10, 20) selector de usuario y los servidores AAA (11, 12, 13) (21, 22, 23). En consecuencia, el cliente AAA (4) establece, si es necesario, relaciones de seguridad o asociaciones de seguridad con el proxy (10, 20) selector de usuario ocultando así por completo la existencia de los servidores AAA (11, 12, 13) (21, 22, 23) en una red de ISP particular (ISP-1, ISP-2) desde un punto de vista de asociación de seguridad.
A este respecto, la Fig. 4 muestra un establecimiento de asociación de seguridad de acuerdo con un aspecto del invento. Un cliente AAA que, en particular, podría ser un servidor de acceso a red (NAS) para acceder a una red de telecomunicaciones o desde ella, emite una petición de asociación de seguridad, que incluye un identificador de usuario, hacia el proxy selector de usuario. Tal petición es tratada por los medios de tratamiento (53), que pueden comprender los medios de protocolo (50) y los medios de encaminamiento (54) ilustrados en la Fig. 6, o pueden seguir una realización alternativa, como se explica en relación con la Fig. 3, aunque no se representa adicionalmente. Dichos medios de proxy AAA realizan una petición (S-41) a una base de datos interna del proxy selector de usuario a fin de conseguir una dirección para enviar la petición de asociación de seguridad al servidor AAA apropiado encargado de este usuario. La base de datos interna responde (S-42) a los medios de proxy AAA con la dirección del servidor AAA y el proxy AAA encamina la petición de asociación de seguridad recibida hacia dicho servidor AAA.
El invento se ha descrito en lo que antecede en relación con diversas realizaciones en forma no restrictiva sino, simplemente, ilustrativa. Los expertos normales de esta técnica pueden modificar estas realizaciones sin apartarse sustancialmente del alcance definido por las siguientes reivindicaciones.

Claims (16)

1. Un proxy (10, 20) selector de usuario, que comprende medios (50) para recibir peticiones de servicios de autenticación, autorización y contabilidad (AAA) procedentes de un cliente AAA (4), medios para extraer un dominio de usuario de un identificador de usuario recibido para un usuario, medios (52) para identificar un servidor AAA (1, 2, 3) a cargo del mencionado usuario en una red de proveedor de servicios de Internet (ISP-1, ISP-2), medios (50) para someter la petición de servicio AAA a dicho servidor AAA, medios (50) para recibir la respuesta correspondiente del servidor AAA procedente del citado servidor AAA, y medios (50) para devolver la respuesta del servicio AAA al cliente AAA que ha emitido la petición, cuyo proxy selector de usuario se caracteriza porque los medios para identificar un servidor AAA a cargo del usuario, comprenden:
(a)
medios de tratamiento (53, 51) para analizar el identificador de usuario recibido, en formato estructurado o no estructurado, para determinar qué campos de entre los campos del identificador de usuario, sólos o en combinación, se toman como criterio de selección para elegir un servidor AAA a cargo de este usuario; y
(b)
medios de selección (51; 54) para seleccionar, bajo el criterio de selección, el servidor AAA (11; 12; 13; 21; 22; 23) a cargo de dicho usuario en una red de proveedor de servicios de Internet (ISP-1; ISP-2).
2. El proxy (10; 20) selector de usuario de la reivindicación 1, que comprende además un almacenamiento (51) sobre una base de usuario individual o sobre una base de grupo de usuarios, o ambas, para guardar al menos un identificador para cada, al menos, un servidor AAA (AAA-s3, AAA-s4) a cargo de un usuario individual o grupo de usuarios (Gr-1) dado.
3. El proxy (10; 20) selector de usuario de cualquiera de las reivindicaciones 1 o 2, que comprende además medios (51, 53) para reemplazar cualquiera de los campos del identificador de usuario, o cualquier combinación de ellos, por unos nuevos sobre una base de usuario individual, o sobre una base de grupo de usuarios, o ambas, o sobre una base de servidor AAA.
4. El proxy (10; 20) selector de usuario de cualquiera de las reivindicaciones 1 a 3, en el que el protocolo utilizado para comunicaciones entre el proxy selector de usuario y el cliente AAA (4) es RADIUS.
5. El proxy (10; 20) selector de usuario de cualquiera de las reivindicaciones 1 a 3, en el que el protocolo utilizado para comunicaciones entre el proxy selector de usuario y el cliente AAA (4) es DIAMETER.
6. El proxy (10; 20) selector de usuario de cualquiera de las reivindicaciones 1 a 3, que comprende, además, medios (petición de asociación de seguridad, respuesta de asociación de seguridad) para establecer relaciones de seguridad con el cliente AAA (4).
7. El uso del proxy (10; 20) selector de usuario de cualquiera de las reivindicaciones precedentes como proxy de autenticación, autorización y contabilidad (proxy AAA).
8. Un sistema que comprende una red de telecomunicaciones acoplada a una red de proveedor de servicios de Internet (ISP-1; ISP-2) a través de un servidor (4) de acceso a red, cuyo sistema se caracteriza porque el servidor (4) de acceso a red comprende medios (petición de asociación de seguridad, respuesta de asociación de seguridad) para establecer relaciones de seguridad con el proxy AAA (10; 20) en la reivindicación 7, siendo el proxy AAA el punto de entrada a la red del proveedor de servicios de Internet (ISP-1; ISP-2).
9. Un método de proporcionar servicios de autenticación, autorización y contabilidad (AAA) en una red de telecomunicaciones acoplada a un proveedor de servicios de Internet (ISP-1; ISP-2), cuyo método comprende los pasos de:
(a)
recibir una petición de servicio AAA (petición de acceso RADIUS) para un usuario en un proxy AAA (10; 20) desde un cliente AAA (4);
(b)
extraer un dominio de usuario a partir de un identificador de usuario (identificador de usuario) recibido, incluido en la petición de servicio AAA;
(c)
identificar en dicho proxy AAA el servidor AAA (1; 2; 3) a cargo del citado usuario en dicha red de proveedor de servicios de Internet (ISP-1; ISP-2);
(d)
someter la petición de servicio AAA (petición de acceso RADIUS) procedente del proxy AAA a dicho servidor AAA;
(e)
recibir la correspondiente respuesta del servicio AAA (aceptación del acceso AAA) en el proxy AAA procedente de dicho servidor AAA, y
(f)
devolver la respuesta del servicio AAA (aceptación del acceso AAA) procedente del proxy AAA al cliente AAA que ha emitido la petición,
cuyo método se caracteriza porque el paso (c) comprende las operaciones de:
(c1)
analizar (53, S-31, 51) el identificador de usuario recibido, en formato estructurado o no estructurado, para determinar qué campos de entre los campos del identificador de usuario, solos o en combinación, se toman como criterio de selección para elegir un servidor AAA a cargo de este usuario; y
(c2)
seleccionar (53, 54, 51), bajo el criterio de selección, al menos un servidor AAA (11; 12; 13; 21; 22; 23) a cargo de dicho usuario en una red de proveedor de servicios de Internet (ISP).
10. El método de la reivindicación 9, que comprende un paso previo consistente en almacenar (51) en el proxy AAA, sobre una base de usuario individual o sobre una base de grupo de usuarios, o sobre ambas, al menos un identificador para cada uno de dichos, al menos, un servidor AAA a cargo de un usuario individual o de un grupo de usuarios, dado.
11. El método de cualquiera de las reivindicaciones 9 o 10, que comprende, además, el paso de reemplazar en el proxy AAA (51) cualquiera de los campos del identificador de usuario, o cualquier combinación de los mismos, por unos nuevos sobre una base de usuario individual o sobre una base de grupo de usuarios, o sobre ambas, o sobre una base de servidor AAA.
12. El método de cualquiera de las reivindicaciones 9 a 11, en el que el protocolo utilizado para las comunicaciones entre el proxy AAA y el cliente AAA es RADIUS.
13. El método de cualquiera de las reivindicaciones 9 a 11, en el que el protocolo utilizado para las comunicaciones entre el proxy AAA y el cliente AAA es DIAMETER.
14. El método de cualquiera de las reivindicaciones 9 a 13, en el que el proxy selector de usuario de la reivindicación 6 es el punto de entrada a la red del proveedor de servicios de Internet (ISP).
15. El método de cualquiera de las reivindicaciones 9 a 14, en el que se elige un servidor AAA (11; 12; 13; 21; 22; 23) disponible de entre una pluralidad de servidores AAA a cargo de un usuario de acuerdo con el estado de disponibilidad o guiándose por otros criterios de selección.
16. El método de cualquiera de las reivindicaciones 9 a 15, que comprende, además, el paso de establecer relaciones de seguridad desde el cliente AAA (4) al proxy AAA (10; 20).
ES02076564T 2002-04-22 2002-04-22 Mandatario selector de usuario, metodo y sistema para autenticacion, autorizacion y contabilidad. Expired - Lifetime ES2250581T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP02076564A EP1357720B1 (en) 2002-04-22 2002-04-22 User selector proxy, method and system for authentication, authorization and accounting

Publications (1)

Publication Number Publication Date
ES2250581T3 true ES2250581T3 (es) 2006-04-16

Family

ID=28685956

Family Applications (1)

Application Number Title Priority Date Filing Date
ES02076564T Expired - Lifetime ES2250581T3 (es) 2002-04-22 2002-04-22 Mandatario selector de usuario, metodo y sistema para autenticacion, autorizacion y contabilidad.

Country Status (5)

Country Link
US (1) US7296078B2 (es)
EP (1) EP1357720B1 (es)
AT (1) ATE313201T1 (es)
DE (1) DE60207984T2 (es)
ES (1) ES2250581T3 (es)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7103659B2 (en) * 2002-04-09 2006-09-05 Cisco Technology, Inc. System and method for monitoring information in a network environment
ATE290290T1 (de) * 2002-06-04 2005-03-15 Cit Alcatel Eine methode, ein netzwerkszugangsserver, ein authentifizierungs-, berechtigungs- und abrechnungsserver, ein computerprogram mit proxyfunktion für benutzer-authentifizierung, berechtigung und abrechnungsmeldungen über einen netzwerkszugangsserver
US7451209B1 (en) * 2003-10-22 2008-11-11 Cisco Technology, Inc. Improving reliability and availability of a load balanced server
US7421695B2 (en) * 2003-11-12 2008-09-02 Cisco Tech Inc System and methodology for adaptive load balancing with behavior modification hints
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
CN1272943C (zh) 2004-03-24 2006-08-30 华为技术有限公司 一种组播业务的实现方法
CN1283062C (zh) * 2004-06-24 2006-11-01 华为技术有限公司 无线局域网用户实现接入认证的方法
JP2006011989A (ja) * 2004-06-28 2006-01-12 Ntt Docomo Inc 認証方法、端末装置、中継装置及び認証サーバ
US7170982B2 (en) * 2004-08-26 2007-01-30 Lucent Technologies Inc. Call authorization and billing message routing capability
JP2006079213A (ja) * 2004-09-07 2006-03-23 Ntt Docomo Inc 中継装置、認証サーバ及び認証方法
EP1847076B1 (en) 2004-12-17 2012-02-15 Tekelec Methods, systems, and computer program products for supporting database access in an internet protocol multimedia subsystem (IMS) network environment
DE102005027242A1 (de) * 2005-06-13 2006-12-14 Vodafone Holding Gmbh Verfahren zur Vergebührung von Datenverkehr in einem Funk-Kommunikationssytem, Netzübergang-Netzknoten, Vergebührungsserver und Vergebührungssystem
US20070011448A1 (en) * 2005-07-06 2007-01-11 Microsoft Corporation Using non 5-tuple information with IPSec
US8559350B2 (en) 2005-12-20 2013-10-15 Microsoft Corporation Mechanism to convey discovery information in a wireless network
US9826102B2 (en) 2006-04-12 2017-11-21 Fon Wireless Limited Linking existing Wi-Fi access points into unified network for VoIP
US7924780B2 (en) 2006-04-12 2011-04-12 Fon Wireless Limited System and method for linking existing Wi-Fi access points into a single unified network
CN101102265B (zh) 2006-07-06 2010-05-12 华为技术有限公司 用于多业务接入的控制和承载分离系统和实现方法
US8155128B2 (en) * 2007-09-26 2012-04-10 Alcatel Lucent Method and apparatus for establishing and managing diameter associations
CN102239481B (zh) 2007-12-01 2013-09-11 朗讯科技公司 具有负载平衡的ims diameter路由器
JP2010061261A (ja) * 2008-09-02 2010-03-18 Fujitsu Ltd 認証システムおよび認証方法
WO2010112064A1 (en) * 2009-03-31 2010-10-07 Nokia Siemens Networks Oy Mechanism for authentication and authorization for network and service access
US9668230B2 (en) * 2009-11-10 2017-05-30 Avago Technologies General Ip (Singapore) Pte. Ltd. Security integration between a wireless and a wired network using a wireless gateway proxy
US8615237B2 (en) 2010-01-04 2013-12-24 Tekelec, Inc. Methods, systems, and computer readable media for policy and charging rules function (PCRF) node selection
CN102195851A (zh) 2010-03-09 2011-09-21 华为技术有限公司 负载分担方法、系统和接入服务器
WO2011156274A2 (en) 2010-06-06 2011-12-15 Tekelec Methods, systems, and computer readable media for obscuring diameter node information in a communication network
RU2446457C1 (ru) * 2010-12-30 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для удаленного администрирования персональных компьютеров в рамках сети
US8910300B2 (en) 2010-12-30 2014-12-09 Fon Wireless Limited Secure tunneling platform system and method
WO2012106710A1 (en) 2011-02-04 2012-08-09 Tekelec, Inc. Methods, systems, and computer readable media for provisioning a diameter binding repository
WO2012118967A1 (en) 2011-03-01 2012-09-07 Tekelec, Inc. Methods, systems, and computer readable media for hybrid session based diameter routing
US8918469B2 (en) 2011-03-01 2014-12-23 Tekelec, Inc. Methods, systems, and computer readable media for sharing diameter binding data
JP5758508B2 (ja) 2011-03-01 2015-08-05 テケレック・インコーポレイテッドTekelec, Inc. ダイアメータバインディング情報を動的に学習する方法、システムおよびコンピュータ読取可能媒体
US8547908B2 (en) 2011-03-03 2013-10-01 Tekelec, Inc. Methods, systems, and computer readable media for enriching a diameter signaling message
WO2012154674A2 (en) 2011-05-06 2012-11-15 Tekelec, Inc. Methods, systems, and computer readable media for steering a subscriber between access networks
US9264432B1 (en) 2011-09-22 2016-02-16 F5 Networks, Inc. Automatic proxy device configuration
US9319378B2 (en) 2013-01-23 2016-04-19 Tekelec, Inc. Methods, systems, and computer readable media for using a diameter routing agent (DRA) to obtain mappings between mobile subscriber identification information and dynamically assigned internet protocol (IP) addresses and for making the mappings accessible to applications
US9516102B2 (en) * 2013-03-07 2016-12-06 F5 Networks, Inc. Server to client reverse persistence
US9521032B1 (en) * 2013-03-14 2016-12-13 Amazon Technologies, Inc. Server for authentication, authorization, and accounting
US10951519B2 (en) 2015-06-17 2021-03-16 Oracle International Corporation Methods, systems, and computer readable media for multi-protocol stateful routing
US9923984B2 (en) 2015-10-30 2018-03-20 Oracle International Corporation Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation
US9668134B2 (en) 2015-08-14 2017-05-30 Oracle International Corporation Methods, systems, and computer readable media for providing access network protocol interworking and authentication proxying
US10554661B2 (en) 2015-08-14 2020-02-04 Oracle International Corporation Methods, systems, and computer readable media for providing access network session correlation for policy control
US9668135B2 (en) 2015-08-14 2017-05-30 Oracle International Corporation Methods, systems, and computer readable media for providing access network signaling protocol interworking for user authentication
US10084755B2 (en) 2015-08-14 2018-09-25 Oracle International Corporation Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) proxy and diameter agent address resolution
US11102188B2 (en) * 2016-02-01 2021-08-24 Red Hat, Inc. Multi-tenant enterprise application management
CN112399359B (zh) 2016-12-15 2022-04-08 华为技术有限公司 信息传输方法、网元选择器及控制器
CN111815420B (zh) * 2020-08-28 2021-07-06 支付宝(杭州)信息技术有限公司 一种基于可信资产数据的匹配方法、装置及设备
US11283883B1 (en) 2020-11-09 2022-03-22 Oracle International Corporation Methods, systems, and computer readable media for providing optimized binding support function (BSF) packet data unit (PDU) session binding discovery responses
CN117692255B (zh) * 2024-02-02 2024-04-30 北京首信科技股份有限公司 动态扩展aaa服务的方法、装置及电子设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6128379A (en) * 1997-12-03 2000-10-03 Telcordia Technologies, Inc. Intelligent data peripheral systems and methods
US6470453B1 (en) * 1998-09-17 2002-10-22 Cisco Technology, Inc. Validating connections to a network system
US6298383B1 (en) * 1999-01-04 2001-10-02 Cisco Technology, Inc. Integration of authentication authorization and accounting service and proxy service
DE60020588T2 (de) * 1999-10-22 2006-03-16 Nomadix, Inc., Westlake Village System und Verfahren zur Weiterleitung von Zugriffsversuchen von Benutzern auf eine Netzwerkseite
FR2820263B1 (fr) * 2001-01-31 2003-04-18 France Telecom Procede et serveur d'acces a un reseau numerique, et systeme l'incorporant

Also Published As

Publication number Publication date
DE60207984T2 (de) 2006-07-13
US7296078B2 (en) 2007-11-13
DE60207984D1 (de) 2006-01-19
ATE313201T1 (de) 2005-12-15
US20030217285A1 (en) 2003-11-20
EP1357720B1 (en) 2005-12-14
EP1357720A1 (en) 2003-10-29

Similar Documents

Publication Publication Date Title
ES2250581T3 (es) Mandatario selector de usuario, metodo y sistema para autenticacion, autorizacion y contabilidad.
ES2281228B2 (es) Sistema, metodo y aparato para servicios federados de identificacion unica.
EP3579494B1 (en) Blockchain based roaming
ES2360036T3 (es) Presencia con información de localización espacial.
ES2707204T3 (es) Agente de gestión de identificación de abonado para redes fijas/móviles
ES2239564T3 (es) Gestion de datos de perfiles de usuarios.
ES2256964T3 (es) Metodo y aparato para propocionar servicios moviles especificos de red.
CN103039053B (zh) 用于使用单一注册过程的客户端组的安全注册的方法和设备
JP5032582B2 (ja) ゲートウェイ選択機構
KR102390364B1 (ko) 인증 요청들을 제어하기 위한 프라이버시 표시자들
ES2380320T3 (es) Procedimiento y sistema para la autenticación de un usuario de un sistema de procesado de datos
ES2744824T3 (es) Encaminador de Diameter de IMS con equilibrio de carga
ES2340850T3 (es) Control de llamada terminada para itinerancia de suscriptores de telefonia movil.
US6560217B1 (en) Virtual home agent service using software-replicated home agents
US20170230335A1 (en) Method and apparatus for remote access
ES2522621T3 (es) Intermediario de itinerancia
IL149356A (en) Distributed network communication system which enables multiple network providers to use a common distributed network infrastructure
ES2794600T3 (es) Mejoras al proceso de selección de ePDG en un país visitado
US8095685B2 (en) Provision of a service to several separately managed networks
US20060088011A1 (en) System and method for allocating and distributing end user information in a network environment
ES2264853B1 (es) Sistema y metodo de asercion de identidades en una red de telecomunicaciones.
ES2366642T3 (es) Dispositivo servidor de rutas, procedimiento y sistema que aplica el dispositivo.
ES2321808T3 (es) Sistema para proporcionar informacion sobe la ubicacion de usuarios de moviles que se suscriben a una red y que estan itinerantes en una red diferente que no soporta el mismo metodo de localizacion.
ES2251290B1 (es) Sistema y metodo de aprovisionamiento de usuarios de telefonos moviles.
JP4966980B2 (ja) 複数の通信事業者が存在する環境下におけるパーソナルネットワーク管理の方法