JP7135206B2 - アクセス認証 - Google Patents
アクセス認証 Download PDFInfo
- Publication number
- JP7135206B2 JP7135206B2 JP2021512270A JP2021512270A JP7135206B2 JP 7135206 B2 JP7135206 B2 JP 7135206B2 JP 2021512270 A JP2021512270 A JP 2021512270A JP 2021512270 A JP2021512270 A JP 2021512270A JP 7135206 B2 JP7135206 B2 JP 7135206B2
- Authority
- JP
- Japan
- Prior art keywords
- interface
- terminal
- user terminal
- user
- information
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 37
- 238000012790 confirmation Methods 0.000 claims description 24
- 238000012217 deletion Methods 0.000 claims description 4
- 230000037430 deletion Effects 0.000 claims description 4
- 238000013475 authorization Methods 0.000 claims description 3
- 238000004891 communication Methods 0.000 description 14
- 238000004590 computer program Methods 0.000 description 13
- 230000008569 process Effects 0.000 description 9
- 238000010586 diagram Methods 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 230000004044 response Effects 0.000 description 4
- 238000012545 processing Methods 0.000 description 3
- 230000006855 networking Effects 0.000 description 2
- 229910001369 Brass Inorganic materials 0.000 description 1
- 101710176296 Switch 2 Proteins 0.000 description 1
- 239000010951 brass Substances 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Description
現在、Internet市場の継続的な発展に伴い、メトロポリタンエリアネットワークにアクセスするユーザがますます増え、ユーザのサービスニーズも拡大しているため、ブロードバンドリモートアクセスサーバ(Broadband Remote Access Server:BRAS)が登場した。BRASは、柔軟なアクセス認証方式、効果的なアドレス管理機能、強力なユーザ管理機能を備えており、豊富で柔軟なサービスおよび制御機能を提供することができる。
しかしながら、モバイルネットワークデバイスおよび無線サービスの普及により、ユーザ端末は1つの位置に固定されなくなる。たとえば、ユーザは、モバイルデバイスを持ってネットワークをアクセスしている過程で、いつも1つのアクセスポイント(Access Point:AP)からもう1つのアクセスポイントにローミングすることになる。アクセスポイントの変更により、異なるアクセスポイントに対応して接続されているBRASデバイスのアクセスインターフェースまたはBRASデバイスも異なる可能性があり、したがって、ユーザ端末は、1つのアクセスポイントからもう1つのアクセスポイントにローミングする場合、特定のBRASデバイスの1つのアクセスインターフェースから当該BRASデバイスのもう1つのアクセスインターフェースにローミングするか、あるいは、1つのBRASデバイスからもう1つのBRASデバイスにローミングする可能性がある。
ここで例示的な実施例を詳細に説明し、その例を図面に示す。以下の叙述が図面に関わる場合、別途の説明がない限り、異なる図面における同一の数字は、同一または類似な要素を示す。以下の例示的な実施例で叙述される実施形態は、本発明と一致するすべての実施形態を代表しない。逆に、それらは、添付された特許請求の範囲に記載された、本発明のいくつかの態様と一致する装置及び方法の例に過ぎない。
本発明で使用される用語は、特定の実施例を説明することをのみ目的としており、本発明を限定することを意図するものではない。本発明および添付の特許請求の範囲で使用される「1つ」、「前記」および「当該」の単数形は、文脈が他の意味を明確に示さない限り、複数形も含むことを意図している。本明細書で使用される「および/または」という用語は、関連してリストされた1つまたは複数の項目の任意の組み合わせまたはすべての可能な組み合わせを含むことを意図していることを、さらに理解すべきである。
本発明では、第1、第2、第3などの用語を使用してさまざまな情報を説明する場合があるが、これら情報はこれら用語に限定されないことを理解すべきである。これら用語は、同一の種類の情報を互いに区別するためにのみ使用される。たとえば、本発明の範囲から逸脱することなく、第1情報は、第2情報とも呼ばれ得、同様に、第2情報は、第1情報とも呼ばれ得る。文脈に応じて、本明細書で使用される「もし」という単語は、「…場合」、「…と」、または、「確定されたことに応じて」と解釈されることができる。
図1を参考すると、本発明の例示的な1実施形態に係るBRASデバイスのネットワーキングの概略図であり、ここで、ユーザ端末(たとえば、パーソナルコンピュータ(Personal Computer:PC)1)は、AP1を介して交換デバイス(たとえば交換機(Switch)1)からネットワークにアクセスし、PC2は、AP2を介してSwitch2からネットワークにアクセスし、PC1とPC2はいずれもBRAS-Aによってアドレス割り当ておよびアドミッション認証が実行される。PC3は、AP3を介してSwitch3からネットワークにアクセスし、PC4は、AP4を介してSwitch4からネットワークにアクセスし、PC3とPC4はいずれもBRAS-Bによってアドレス割り当ておよびアドミッション認証が実行される。
従来技術では、ユーザ端末がBRASデバイスの第1インターフェースでオンラインになった後、BRASデバイスは、ユーザ端末に対応するユーザ情報を記録することができ、当該ユーザ情報は、ユーザ端末のアクセス位置およびインターネットプロトコル(Internet Protocol:IP)アドレスを含む。ユーザ情報の有効期間中に、BRASデバイスの第2インターフェースが当該IPアドレスを含むIPパケットを受信すると、ユーザ端末がローミング状態にあると見なされる。この場合、BRASデバイスは、すでに記録したユーザ情報を変更することによって、ユーザ情報をユーザ端末がローミングしているときに新たにアクセスされる第2インターフェースに移行する。
しかしながら、従来技術では、BRASデバイスを利用して認証に合格したユーザ情報を記録し、当該ユーザ情報を他のBRASデバイスに知ることはできない。したがって、従来技術は、ユーザ端末が同一のBRASデバイスでの異なるインターフェースにアクセスする場合のローミング問題をのみ解決できる。BRASデバイス間でローミングする場合は、ローミングした後の位置に対応するBRASデバイスを利用してユーザ端末を再度認証する方式によって、ユーザ端末がBRASデバイスにアクセスするようにする。たとえば、PC1がBRAS-Aデバイス上で認証に合格した後、PC1がAP3またはAP4にローミングする場合、AP3とAP4はBRAS-Bデバイスに対応され、PC1がアクセスするBRASデバイスが変化されたため、PC1が再度アクセス認証を実行する必要があり、ユーザのネットワークアクセスの流暢性と利便性に影響を与える。
従来技術に存在する問題を解決するために、本発明は、アクセス認証方法、及び装置を提供する。BRASデバイスの第1インターフェースによりユーザ端末に対応するユーザエントリを検索されない場合、当該第1インターフェースが認証、承認、アカウンティングサーバ(Authentication、Authorization、Accounting server:AAA server)にユーザ端末の端末情報を含む認証要求パケットを送信するようにする。AAAサーバは、ユーザ端末の端末情報に基づいて当該ユーザ端末が認証済み端末である同時にローミング端末であると確定し、すでに当該ユーザ端末がアクセスされた第2インターフェース(1つのBRASデバイスのインターフェースまたはもう1つのBRASデバイスのインターフェースである)に当該ユーザ端末に対応するユーザエントリを削除するように通知する。削除したことが確認されると、AAAサーバは、第1インターフェースに認証合格パケットを送信することによって、第1インターフェースが、当該ユーザ端末のアクセスを許可し、第1インターフェースに当該ユーザ端末に対応するユーザエントリを記録するようにする。したがって、本発明によると、AAAサーバを利用して認証済みのユーザ端末の端末情報を記録することによって、ユーザ端末が新たな位置にローミングしたときに、新たな位置に対応するBRASデバイスのインターフェースによりAAAサーバに端末情報を含む認証要求パケットを送信する。AAAサーバは、ユーザ端末が認証済み端末である同時にローミング端末であると確認した後、ユーザ端末が新たな位置でネットワークにアクセスすることを許可し、ユーザ端末がローミングした後に再度アクセス認証を実行することを回避して、ユーザ体験を向上させた。
図2を参考すると、本発明の例示的な1実施形態に係るアクセス認証方法の処理フローチャートであり、前記方法は、AAAサーバに適用され、以下のステップを含む。
ステップ201において、AAAサーバにより、BRASデバイスの第1インターフェースによってユーザ端末に対応するユーザエントリが検索されないときに送信された、前記ユーザ端末の端末情報を含む認証要求パケットを取得する。
本発明の実施例において、ユーザ端末がBRASデバイスの第1インターフェースからオンラインするときに、ユーザ端末がこの前に第1インターフェースにアクセスしたことがないため、当該BRASデバイスの第1インターフェースに当該ユーザ端末に対応するユーザエントリが記録されていない。ユーザ端末が第1インターフェースにアクセスする過程で、ユーザ端末が第1インターフェースに端末情報を含むIPパケットを送信するので、当該BRASデバイスは、当該ユーザ端末が送信したIPパケットを受信して異なるユーザ端末を区別するための、当該ユーザ端末の端末情報を取得する。
ここで、限定ではなく例として、前述端末情報は、ユーザ端末の送信元IPアドレス、送信元メディアアクセス制御(Media Access Control:MAC)アドレス、および、当該ユーザ端末のアクセス位置情報を含み得、ここで、アクセス位置情報は、BRASアクセスデバイス、アクセスインターフェース、仮想ローカルエリアネットワーク(Virtual Local Area Network:VLAN)などの情報を含み得る。
BRASデバイスの第1インターフェースは、AAAサーバに端末情報を含む認証要求パケットを送信することによって、当該ユーザ端末に対して認証を実行する。
したがって、AAAサーバは、BRASデバイスの第1インターフェースによってユーザ端末に対応するユーザエントリが検索されないときに、BRASデバイスの第1インターフェースが送信した端末情報を含む認証要求パケットを取得することになる。
ステップ202において、前記端末情報に基づいて前記ユーザ端末が認証済み端末である同時にローミング端末であると確定された場合、AAAサーバにより、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知する。
本発明の実施例において、AAAサーバは、端末情報に基づいてユーザ端末が認証済み端末である同時に、第2インターフェースから第1インターフェースにローミングしたことが確定されたときに、第2インターフェース上に依然として当該ユーザ端末のユーザエントリが記録されているため、AAAサーバは、引き続きユーザ端末のトラフィックをアカウンティングし、当該ユーザ端末の一部のトラフィックが第2インターフェース上に記録されたユーザエントリに基づいて誤って転送される可能性があり、したがって、第2インターフェース上にすでに記録した当該ユーザ端末に対応するユーザエントリを削除する必要がある。
なお、認証ユーザ情報が検索されないと、当該ユーザ端末がこの前に認証されたことがないことを意味し、この場合、AAAサーバは、BRASデバイスに認証失敗パケットをフィードバックすることによって、BRASデバイスが、当該ユーザ端末が未認証端末であると確定するようにし、したがって、BRASデバイスが、従来の認証方式に従ってユーザ端末に対して認証を実行するようにし、認証に合格した後にAAAサーバに認証要求パケットを送信するようにする。
ステップ203において、第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認されたときに、AAAサーバにより、前記第1インターフェースに認証合格パケットを送信することによって、前記第1インターフェースが、前記ユーザ端末のアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録するようにする。
本発明の実施例において、AAAサーバは、第2インターフェースが当該ユーザ端末のユーザエントリを削除したことが確認されたときに、BRASデバイスの第1インターフェースに当該認証要求パケットに対する認証合格パケットをフィードバックすることができる。第1インターフェースは、当該認証合格パケットが受信されると、当該ユーザ端末が認証済みの端末であると確定し、したがって、当該ユーザ端末のアクセスを許可し、ローカルに当該ユーザ端末に対応するユーザエントリを記録する。
従来技術と比較すると、本発明は、AAAサーバとBRASデバイスのサービス処理フローを改善することができる。AAAサーバにより、ユーザ端末の特徴に基づいてユーザ端末が現在ローミング状態にあると認識し、ユーザ端末のローミング状態を認識した後に、DMメッセージを利用してローミングする前にアクセスした該当するBRASデバイスのインターフェースに、当該インターフェースに記録したユーザエントリを削除するように通知し、また、新たな位置に認証要求が感知されないと通知して、ユーザ端末が再度アクセス認証を実行することを回避して、ユーザのアクセス体験を向上させた。
選択的に、AAAサーバは、端末情報を取得した後に、当該端末情報に基づいてローカルで当該ユーザ端末に対応する認証ユーザ情報を検索することができる。当該認証ユーザ情報が検索されると、当該ユーザ端末が認証済みの端末であることを意味する。その後、AAAサーバは、さらに、認証ユーザ情報中のアクセス位置情報と端末情報に含まれているアクセス位置情報とが同一であるか否かを判断し、同一であると、当該ユーザ端末がローミング端末ではないことを意味し、この場合、AAAサーバは当該認証要求パケットを破棄し、同一ではないと、当該ユーザ端末がローミング端末であることを意味し、この場合、AAAサーバは、すでにユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースがユーザ端末に対応するユーザエントリを削除するように通知する。
選択的に、当該端末情報中のアクセス位置情報が、当該ユーザ端末が本BRASデバイスの異なるインターフェース間でローミングすることを示すと、第2インターフェースと第1インターフェースとがいずれも本BRASデバイスに位置することを意味し、したがって、AAAサーバは、本BRASデバイスでのすでに当該ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが当該ユーザ端末に対応するユーザエントリを削除するように通知する。当該端末情報中のアクセス位置情報が、当該ユーザ端末が本BRASデバイスではないBRASデバイス上でローミングすることを示すと、第2インターフェースと第1インターフェースとが異なるBRASデバイスに位置することを意味し、したがって、AAAサーバは、本BRASデバイスではないBRASデバイスでのすでに当該ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが当該ユーザ端末に対応するユーザエントリを削除するように通知する。
選択的に、1つの実施例として、AAAサーバは、第2インターフェースにオフライン通知メッセージを送信することができ、たとえば、切断管理(Disconnect Management:DM)要求パケットを送信することができる。当該オフライン通知メッセージは当該ユーザ端末の端末情報を含み、第2インターフェースは、AAAサーバが送信するオフライン通知メッセージが受信されると、自身に格納されている当該ユーザ端末に対応するユーザエントリを削除する。その後、第2インターフェースは、AAAサーバにオフライン確認メッセージをフィードバックし、たとえば、DM確認メッセージをフィードバックする。AAAサーバは、第2インターフェースが送信したオフライン確認メッセージが受信されると、第2インターフェースに記録されている当該ユーザ端末に対応するユーザエントリがすでに削除されたことを確認できる。
図3を参考すると、本発明の例示的な1実施形態に係るもう1つのアクセス認証方法の処理フローチャートであり、前記方法は、BRASデバイスに適用され、以下のステップを含む。
ステップ301において、第1インターフェースでユーザ端末に対応するユーザエントリが検索されないと、BRASデバイスにより、前記ユーザ端末の端末情報を取得する。
本発明の実施例において、ユーザ端末BRASデバイスの第1インターフェースからオンラインとき、BRASデバイスは、トラフィック特徴に基づいて第1インターフェースに当該ユーザ端末に対応するユーザエントリが存在するか否かを検索することができる。ユーザ端末がこの前に第1インターフェースにアクセスしたことがないため、第1インターフェースには当該ユーザ端末のユーザエントリが記録されていないので、第1インターフェースは、当該ユーザ端末が送信したトラフィックを当該BRASデバイスの中央処理装置(Central Processing Unit:CPU)に転送し、CPUによって当該トラフィック中の、異なる端末を区別するための端末情報を分析する。
選択的に、当該端末情報は、端末の送信元IPアドレス、送信元MACアドレス、および、当該ユーザ端末のアクセス位置情報を含み得、ここで、アクセス位置情報は、BRASアクセスデバイス、アクセスインターフェース、VLANなどの情報を含み得る。
ステップ302において、BRASデバイスの第1インターフェースにより、前記端末情報を含む認証要求パケットをAAAサーバに送信することによって、AAAサーバが、前記端末情報に基づいて前記ユーザ端末が認証済み端末である同時にローミング端末であると確定されると、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するようにする。
当該BRASデバイスの第1インターフェースは、当該ユーザ端末に対応する端末情報が取得された後、当該ユーザ端末の端末情報を含む認証要求パケットをAAAサーバに送信することによって、AAAサーバが、端末情報を受信した後に、当該ユーザ端末が認証済み端末である同時にローミング端末であると確定されると、すでに当該ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースがそのローカルに格納した当該ユーザ端末に対応するユーザエントリを削除するように通知するようにすることができる。
ステップ303において、前記AAAサーバにより前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認したときに送信する認証合格パケットが受信されると、BRASデバイスの第1インターフェースにより、前記ユーザ端末の前記第1インターフェースへのアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録するようにする。
AAAサーバは、第2インターフェースが当該ユーザ端末に対応するユーザエントリを削除したことが確認されると、第1インターフェースが送信した認証要求パケットに対して認証合格パケットをフィードバックすることができる。当第1インターフェースは、AAAサーバが送信した認証合格パケットが受信されると、当該ユーザ端末が認証済みの端末であることを確定でき、したがって、当該ユーザ端末のアクセスを許可し、ローカルに当該ユーザ端末に対応するユーザエントリを記録する。
上記からわかるように、本発明によると、BRASデバイスの第1インターフェースによりユーザ端末に対応するユーザエントリが検索されないときに、当該第1インターフェースがAAAサーバにユーザ端末の端末情報を含む認証要求パケットを送信するようにし、AAAサーバにより、当該ユーザ端末が認証済み端末である同時にローミング端末であると確定すると、すでに当該ユーザ端末がアクセスされた第2インターフェースに当該ユーザ端末に対応するユーザエントリを削除するように通知し、第2インターフェースが削除したことが確認されると、第1インターフェースに認証合格パケットを送信することによって、第1インターフェースが、当該ユーザ端末のアクセスを許可し、第1インターフェースに当該ユーザ端末に対応するユーザエントリを記録するようにする。したがって本発明AAAサーバを利用して認証済み端末の端末情報を記録することによって、ユーザ端末が新たな位置にローミングしたときに、新たな位置に対応するBRASデバイスのインターフェースAAAサーバに端末情報を含む認証要求パケットを送信し、AAAサーバはユーザ端末の認証身分を確認した後に、ユーザ端末の新たな位置でのネットワークのアクセスを許可し、ユーザ端末がローミングした後に再度アクセス認証を実行することを回避して、ユーザ体験を向上させた。
選択的に、本BRASデバイスは、AAAサーバが本BRASデバイスの第2インターフェースに送信した端末情報を含むオフライン通知メッセージが受信されると、ユーザ端末が本BRASデバイスでの第2インターフェースから第1インターフェースにローミングしたことを見なすことができ、したがって、自身の第2インターフェースに格納した当該ユーザ端末に対応するユーザエントリを削除することによって、当該端末がローミング後の第1インターフェースでアクセスするようにすることができる。第2インターフェースは、当該ユーザ端末に対応するユーザエントリを削除した後に、オフライン確認メッセージをAAAサーバにフィードバックすることによって、AAAサーバが、オフライン確認メッセージが受信されると、第2インターフェースがすでに当該ユーザ端末に対応するユーザエントリを削除したと確認し、したがって、ユーザ端末がローミング後の第1インターフェースでネットワークをアクセスするようにすることができる。
本発明の目的、構成、及び利点をもっと明確にするために、以下、BRAS間でローミングする例を挙げて、図4を参照して本発明の構成をさらに詳細に説明する。
図4を参照すると、本発明の実施例のユーザ端末がローミングする前、および、もう1つのBRASデバイスのインターフェースにローミングした後の相互役割のフローチャートであり、以下のことを含む。
ユーザ端末ローミングする前の相互役割のフローは、以下を含む。
(1)ユーザ端末が、BRAS-1のインターフェースにネットワークのアクセスを要求するときに、BRAS-1のインターフェースにHTTP要求を送信する。
(2)BRAS-1が、BRAS-1のインターフェースに当該ユーザ端末のユーザエントリが記録されていないため、当該HTTP要求をWeb認証サーバの認証画面にリダイレクトする。
(3)BRAS-1が、Web認証サーバの認証画面をアクセスする。
(4)BRAS-1が、ユーザ端末にWeb認証サーバの認証画面に対応するユニフォームリソースロケータ(Uniform Resource Locator:URL)をプッシュする。
(5)ユーザ端末が、認証画面に対応するURLを受信すると、当該URLに基づいてWeb認証サーバにWeb認証を要求する。
(6)Web認証サーバが、ユーザ端末にWeb認証画面内容をフィードバックする。
(7)ユーザ端末が、Web認証画面内容に基づいてWeb認証のユーザ名およびパスワードを入力し、Web認証サーバにWeb認証のユーザ名およびパスワードを送信する。
(8)Web認証サーバが、ユーザ名およびパスワードを受信した後にweb認証を実行し、BRAS-1にweb認証情報を送信する。
(9)BRAS-1が、AAAサーバにユーザ端末のアクセス認証要求を送信し、ここで、当該アクセス認証要求は、Web認証のユーザ名およびパスワード、端末情報(たとえば、ユーザ端末のIPアドレス、MACアドレス、および、アクセス位置情報)を含む。
(10)AAAサーバが、アクセス認証要求に従って当該ユーザ端末認証に合格したと確定すると、BRAS-1に認証応答を送信する。
(11)BRAS-1が、認証応答を受信した後に、BRAS-1デバイスのインターフェースがローカルに、端末情報、Web認証のユーザ名およびパスワードを含むユーザ端末のユーザエントリを記録し、当該ユーザ端末に権限を発してネットワークへのアクセスを許可する。
(12)ユーザ端末が、ネットワークへのアクセスを開始するとき、BRAS-1のインターフェースがAAAサーバにユーザ端末の端末情報を含むアカウンティング開始メッセージを送信し、AAAサーバが当該ユーザ端末に対してアカウンティングを開始する。
ユーザ端末がBRAS-1のインターフェースからBRAS-2のインターフェースにローミングするときに、ローミングした後の相互役割のフローは、以下を含む。
(1’)ユーザ端末が、BRAS-2のインターフェースからオンラインした後に、パケット(IP、アドレス解析プロトコル(Address Resolution Protocol:ARP))をBRAS-2に送信する。
(2’)BRAS-2のインターフェースが、ユーザ端末が送信したパケットを受信した後に、パケットの端末情報(たとえば端末のIPアドレス、MACアドレス、および、アクセス位置情報)を抽出する。
(3’)BRAS-2のインターフェースが、当該ユーザ端末が初めてBRAS-2のインターフェースにアクセスするため、BRAS-2のインターフェースに当該ユーザ端末のユーザエントリが記録されていないから、AAAサーバに当該ユーザ端末の端末情報を含む認証要求パケットを送信する。
(4’)AAAサーバが、BRAS-2が送信した認証要求パケットを受信した後、ローカルに当該ユーザ端末に対応する端末情報が存在するか否かを検索し、当該ユーザ端末がこの前にBRAS-1のインターフェースですでにアクセス認証を実行したことがあるため、AAAサーバは当該ユーザ端末に対応する端末情報を検索でき、したがって当該ユーザ端末がすでに認証に合格したと確定する。
(5’)AAAサーバが、当該ユーザ端末がすでにBRAS-2のインターフェースでオンラインしており、AAAサーバによりBRAS-1のインターフェースに当該ユーザ端末のユーザエントリが格納されていることが検出されたため、BRAS-1のインターフェースにDM要求パケットを送信する。
(6’)BRAS-1のインターフェースが、当該BRAS-1のインターフェースがDM要求パケットを受信すると、当該インターフェースでユーザ端末に対応するユーザエントリを削除し、AAAサーバにアカウンティング停止メッセージを送信する。
(7')BRAS-1のインターフェースが、AAAサーバにDM確認メッセージを返信する。
(8’)AAAサーバが、当該AAAサーバがDM確認メッセージを受信したとき、ローカルに記録したユーザ端末のアクセス位置をBRAS-1のインターフェースからBRAS-2のインターフェースに変更する。
(9’)AAAサーバが、BRAS-2のインターフェースに認証応答パケットを送信する。
(10’)BRAS-2のインターフェースが、認証応答パケットを受信した後、当該ユーザ端末がすでに認証されたと確定するため、当該ユーザ端末のユーザエントリを記録し、当該ユーザ端末に対して権限を発して、ネットワークへのアクセスを許可する。
(11’)ユーザ端末が、ネットワークへのアクセスを開始するとき、BRAS-2のインターフェースがAAAサーバにユーザ端末の端末情報を含むアカウンティング開始メッセージを送信し、AAAサーバが当該ユーザ端末に対してアカウンティングを開始する。
したがって、本発明によると、ユーザが異なるBRASデバイス間でローミングするときに、ユーザはユーザ名およびパスワードを再入力する必要がなく、ユーザの知覚なしのローミングを実現して、ユーザのオンライン体験を向上させた。
同じ概念に基づいて、本発明は、アクセス認証装置をさらに提供し、当該装置は、ソフトウェア、ハードウェア、あるいは、両者の組み合わせで実現することができる。ソフトウェアで実現される例を挙げると、本発明のアクセス認証装置は1つの論理的な意味での装置として、自身が配置されている装置のCPUを利用してメモリ内の対応するコンピュータプログラム命令を読み取って運行することによって形成される。
図5を参考すると、本発明の例示的な1実施形態に係るアクセス認証装置500であり、前記装置AAAは、サーバに適用される。当該装置の基本的な運行環境は、CPU、メモリ、および、他のハードウェアを含み、論理的な観点から、当該装置500は、
BRASデバイスの第1インターフェースによりユーザ端末に対応するユーザエントリが検索されないときに送信した、前記ユーザ端末の端末情報を含む認証要求パケットを取得するための取得ユニット501と、
前記端末情報に基づいて前記ユーザ端末が認証済み端末である同時にローミング端末であると確定された場合、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するための通知ユニット502と、
第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したことが確認されると、前記第1インターフェースに認証合格パケットを送信することによって、前記第1インターフェースが前記ユーザ端末のアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録するようにするための送信ユニット503と、を備える。
1つの実施例として、前記装置は、
前記端末情報に基づいてローカルで前記ユーザ端末に対応する認証ユーザ情報が存在するか否かを検索し、前記認証ユーザ情報が検索されると、前記認証ユーザ情報中のアクセス位置情報と前記端末情報中のアクセス位置情報とが同一であるか否かを判断し、同一であると、前記認証要求パケットを破棄し、同一ではないと、前記端末が認証済み端末である同時にローミング端末であると確定した後、すでにユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースがユーザ端末に対応するユーザエントリを削除するように通知するための確定ユニット504をさらに備える。
1つの実施例として、前記通知ユニット502は、具体的に、前記端末情報中のアクセス位置情報が、前記ユーザ端末が本BRASデバイスの異なるインターフェース間でローミングすることを示すと、本BRASデバイスでのすでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するか、あるいは、前記端末情報中のアクセス位置情報が、前記ユーザ端末が本BRASデバイスではないBRASデバイス上でローミングすることを示すと、本BRASデバイスではないBRASデバイスでのすでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知する。
1つの実施例として、前記通知ユニット502は、具体的に、前記第2インターフェースに前記端末情報を含むオフライン通知メッセージを送信することによって、前記第2インターフェースが、前記オフライン通知メッセージが受信されると、自身に格納されている前記端末情報に対応するユーザエントリを削除した後に、AAAサーバにオフライン確認メッセージをフィードバックする。
前記送信ユニット503は、具体的に、第2インターフェースが送信した前記オフライン確認メッセージが受信されると、前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認する。
図6を参考すると、本発明の例示的な1実施形態に係る一?アクセス認証装置600を示し、前記装置は、BRASデバイスに適用される。当該装置の基本的な運行環境は、CPU、メモリ、および、他のハードウェアを含み、論理的な観点から、当該装置600は、
第1インターフェースでユーザ端末に対応するユーザエントリが検索されないと、前記ユーザ端末の端末情報を取得するための取得ユニット601と、
AAAサーバに前記端末情報を含む認証要求パケットを送信することによって、AAAサーバが前記端末情報に基づいて在前記ユーザ端末が認証済み端末である同時にローミング端末であると確定されると、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するための送信ユニット602と、
前記AAAサーバにより前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認したときに送信する認証合格パケットが受信されると、前記ユーザ端末の前記第1インターフェースへのアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録するための記録ユニット603と、を備える。
1つの実施例として、前記装置は、
前記AAAサーバが本BRASデバイスの第2インターフェースに送信した前記端末情報を含むオフライン通知メッセージが受信されると、自身の第2インターフェースに格納した前記端末情報に対応するユーザエントリを削除し、前記AAAサーバにオフライン確認メッセージをフィードバックすることによって、前記AAAサーバが、前記オフライン確認メッセージを受信した場合、前記第2インターフェースが前記端末に対応するユーザエントリを削除したと確認するようにするための削除ユニット604をさらに備える。
同じ概念に基づいて、本発明は、AAAサーバをさらに提供し、図7に示すように、前記AAAサーバは、メモリ71と、プロセッサ72と、通信インターフェース73と、通信バス74と、を備え、ここで、前記メモリ71、プロセッサ72、および、通信インターフェース73は、前記通信バス74を利用して相互間の通信を行う。
前記メモリ71は、コンピュータプログラムを記憶し、
前記プロセッサ72は、前記メモリ71に記憶されているコンピュータプログラムを実行して、前記プロセッサ72は、前記コンピュータプログラムが実行されるときに以下の操作を実現し、これら操作は、
ブロードバンドリモートアクセスサーバ(BRAS)デバイスの第1インターフェースによりユーザ端末に対応するユーザエントリが検索されないときに送信した、前記ユーザ端末の端末情報を含む認証要求パケットを取得することと、
前記端末情報に基づいて前記ユーザ端末が認証済み端末である同時にローミング端末であると確定された場合、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知することと、
前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したことが確認されると、プロセッサ72通症通怯インターフェース73前記第1インターフェースに認証合格パケットを送信することによって、前記第1インターフェースが前記ユーザ端末のアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録するようにすることと、を含む。
選択的に、前記端末情報に基づいて前記ユーザ端末が認証済み端末である同時にローミング端末であると確定されると、前記プロセッサ72は、前記コンピュータプログラムを実行して以下の操作を実現し、これら操作は、
前記端末情報に基づいて前記AAAサーバに前記ユーザ端末に対応する認証ユーザ情報が存在するか否かを検索することと、
前記認証ユーザ情報が検索されると、前記認証ユーザ情報中のアクセス位置情報と前記端末情報中のアクセス位置情報とが同一であるか否かを判断することと、
同一であると、前記認証要求パケットを破棄することと、
同一ではないと、前記ユーザ端末が認証済み端末である同時にローミング端末であると確定することと、を含む。
選択的に、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するときに、前記プロセッサ72は、前記コンピュータプログラムを実行して以下の操作を実現し、これら操作は、
前記端末情報中のアクセス位置情報が、前記ユーザ端末が前記BRASデバイスに含まれた異なるインターフェース間でローミングすることを示すと、通信インターフェース73を利用して、すでに前記ユーザ端末がアクセスされた、前記BRASデバイスに位置している第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知することと、
前記端末情報中のアクセス位置情報が、前記ユーザ端末が前記BRASデバイスではない第2BRASデバイス上でローミングすることを示すと、通信インターフェース73を利用して、すでに前記ユーザ端末がアクセスされた、前記第2BRASデバイスに位置する第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知することと、を含む。
選択的に、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するときに、前記プロセッサ72は、前記コンピュータプログラムを実行して以下の操作を実現し、これら操作は、
通信インターフェース73を利用して、前記第2インターフェースに前記端末情報を含むオフライン通知メッセージを送信することによって、前記第2インターフェースが、前記オフライン通知メッセージを受信した場合、格納した前記端末情報に対応するユーザエントリを削除した後に前記AAAサーバにオフライン確認メッセージをフィードバックするようにすることを含み、
前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認するときに、前記プロセッサ72は、前記コンピュータプログラムを実行して以下の操作を実現し、これら操作は、
前記第2インターフェースがフィードバックした前記オフライン確認メッセージが受信されると、前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認することを含む。
同じ概念に基づいて、本発明は、BRASデバイスをさらに提供し、その構成は、図7に示した構成と同一であるため、図面で示していない。前記BRASデバイスは、メモリと、プロセッサと、通信インターフェースと、通信バスと、を備え、ここで、前記メモリ、プロセッサ、および、通信インターフェースは、前記通信バスを利用して相互間の通信を行う。
前記メモリは、コンピュータプログラムを記憶し、
前記プロセッサは、前記メモリに記憶されているコンピュータプログラムを実行し、前記プロセッサは、前記コンピュータプログラムが実行されるときに以下の操作を実現し、これら操作は、
第1インターフェースでユーザ端末に対応するユーザエントリが検索されないと、前記ユーザ端末の端末情報を取得することと、
前記第1インターフェース通症通信インターフェースAAAサーバに前記端末情報を含む認証要求パケットを送信し、前記AAAサーバが前記端末情報に基づいて前記ユーザ端末が認証済み端末である同時にローミング端末であると確定した場合、前記AAAサーバが、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するようにすることと、
前記AAAサーバにより前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認したときに送信する認証合格パケットが受信されると、前記ユーザ端末の前記第1インターフェースへのアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録することと、を含む。
選択的に、前記プロセッサは、以下の操作をさらに実現し、これら操作は、
前記AAAサーバが前記BRASデバイスの第2インターフェースに送信する前記端末情報を含むオフライン通知メッセージが受信されると、前記BRASデバイスの前記第2インターフェースに格納した前記ユーザ端末に対応するユーザエントリを削除することと、
通症通信インターフェース前記AAAサーバにオフライン確認メッセージをフィードバックすることによって、前記AAAサーバが、前記オフライン確認メッセージを受信した場合、前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認するようにすることと、をさらに含む。
本発明は、コンピュータ可読記録媒体をさらに提供し、前記コンピュータ可読記録媒体には、コンピュータプログラムが記録されており、前記コンピュータプログラムがプロセッサによって実行されるときに、本発明の実施例によって提供されるアクセス認証方法の任意のステップが実現されることを特徴とする。
本明細書中の各々の実施例は、いずれも関連する方式を採用して説明し、各々の実施例の間の同一または類似の部分は互いに参照すればよく、各々の実施例においては他の実施例との違いを重点として説明する。特に、ネットワークデバイスおよびコンピュータ可読記録媒体の実施例の場合は、基本的に方法の実施例と例示しているため、説明が比較的に簡単であり、関連する部分については、方法の実施例の部分の説明を参照されたい。
上記のように、本発明によると、BRASデバイスの第1インターフェースによりユーザ端末に対応するユーザエントリが検索されないときに、当該第1インターフェースがAAAサーバにユーザ端末の端末情報を含む認証要求パケットを送信するようにし、AAAサーバにより、当該ユーザ端末が認証済み端末である同時にローミング端末であると確定すると、すでに当該ユーザ端末がアクセスされた第2インターフェースに当該ユーザ端末に対応するユーザエントリを削除するように通知し、削除したことが確認されると、第1インターフェースに認証合格パケットを送信することによって、第1インターフェースが、当該ユーザ端末のアクセスを許可し、第1インターフェースに当該ユーザ端末に対応するユーザエントリを記録するようにすることができる。したがって、本発明は、AAAサーバを利用して認証済み端末の端末情報を記録することによって、ユーザ端末が新たな位置にローミングしたときに、新たな位置に対応するBRASデバイスのインターフェースは、AAAサーバに端末情報を含む認証要求パケットを送信してユーザ端末の認証身分を確認でき、ユーザ端末の新たな位置でのネットワークのアクセスを許可し、ユーザ端末がローミングした後に再度アクセス認証を実行することを回避して、ユーザ体験を向上させた。
上記装置における各々のユニットの機能および役割の実現過程は、具体的には、上記方法中の対応するステップの実現過程を参照することができ、ここでは繰り返して説明しない。
装置の実施例の場合、基本的に方法の実施例に対応されるため、関連する部分については、方法の実施例の部分の説明を参照すればよい。上記に説明した装置の実施例は、ただ、模式的なものであり、分離された構成要素として説明したユニットは、物理的に分離されたものであってもよいし、物理的に分離されなかったものであってもよい。ユニットとして示す構成要素は、物理ユニットであってもよいし、物理ユニットではないでもよい。すなわち、1つの場所に位置してもよいし、複数のネットワークユニットに分布されてもよい。実際のニーズに応じて、ここでの一部または全部のモジュールを選択して本発明の構成の目的を実現することができる。当業者は、創造的な作業なしで、それを理解し、実行することができる。
本明細書において、たとえば第1、第2などの関係用語は、ただ、1つのエンティティまたは操作をもう1つのエンティティまたは操作から区別するためにのみ使用され、而不一定要求あるいは、暗示、これらエンティティまたは操作の間に任意のこのような実際の関係または順序が存在することを必要または暗示するものではないことを説明する必要がある。「含む」、「備える」、または、その任意の他の変形のような用語は、非排他的な「含む」をカバーすることを意図しているので、一連の要素の過程、方法、物品、または、デバイスが、それら要素を含むだけでなく、明確にリストしなかった他の要素を含むようにするか、あるいは、このような過程、方法、物品、または、デバイスの固有の要素を含むようにする。これ以上の制限がない場合、「1つの……を含む」という文で限定される要素は、前記要素を含む過程、方法、物品、または、デバイス内に他の同一な要素の存在を除外しない。
上記のように、本発明の実施例によって提供される方法および装置を詳細に説明した。本明細書では具体的な例を使用して本発明の原理および実施形態を説明した。以上の実施例の説明は、ただ、本発明の方法およびそのコアアイデアを理解するのを助けるためにのみ使用される。同時に、当業者は本発明のアイデアに基づいて具体的な実施形態および適用範囲を変更することができ、上記のように、本明細書を本発明に対する限制として理解してはいけない。
本発明は、出願日が2018年9月21日であり、出願番号が201811109298.4であり、発明名称が「アクセス認証方法、及び装置」である中国特許出願の優先権を主張し、当該中国特許出願の全ての内容が参照として本願に組み入れられる。
Claims (14)
- 認証承認アカウンティング(AAA)サーバに適用されるアクセス認証方法であって、
ブロードバンドリモートアクセスサーバ(BRAS)デバイスの第1インターフェースによりユーザ端末に対応するユーザエントリが検索されないときに送信した、前記ユーザ端末の端末情報を含む認証要求パケットを取得することと、
前記端末情報に基づいて前記ユーザ端末が認証済み端末であると同時にローミング端末であると確定された場合、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知することと、
前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したことが確認されると、前記第1インターフェースに認証合格パケットを送信することによって、前記第1インターフェースが前記ユーザ端末のアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録するようにすることと、を含む
ことを特徴するアクセス認証方法。 - 前記端末情報に基づいて前記ユーザ端末が認証済み端末であると同時にローミング端末であると確定することは、
前記端末情報に基づいて前記AAAサーバに前記ユーザ端末に対応する認証ユーザ情報が存在するか否かを検索することと、
前記認証ユーザ情報が検索されると、前記認証ユーザ情報中のアクセス位置情報と前記端末情報中のアクセス位置情報とが同一であるか否かを判断することと、
同一であると、前記認証要求パケットを破棄することと、
同一ではないと、前記ユーザ端末が認証済み端末であると同時にローミング端末であると確定することと、を含む
ことを特徴する請求項1に記載のアクセス認証方法。 - すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知することは、具体的に、
前記端末情報中のアクセス位置情報が、前記ユーザ端末が前記BRASデバイスに含まれた異なるインターフェース間でローミングすることを示すと、すでに前記ユーザ端末がアクセスされた、前記BRASデバイスに位置している第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知することと、
前記端末情報中のアクセス位置情報が、前記ユーザ端末が前記BRASデバイスではない第2BRASデバイスから前記BRASデバイスにローミングすることを示すと、すでに前記ユーザ端末がアクセスされた、前記第2BRASデバイスに位置する第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知することと、を含む
ことを特徴する請求項2に記載のアクセス認証方法。 - すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知することは、具体的に、
前記第2インターフェースに前記端末情報を含むオフライン通知メッセージを送信することによって、前記第2インターフェースが、前記オフライン通知メッセージを受信した場合、格納した前記端末情報に対応するユーザエントリを削除した後に前記AAAサーバにオフライン確認メッセージをフィードバックするようにすることを含み、
前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認することは、具体的に、
前記第2インターフェースがフィードバックした前記オフライン確認メッセージが受信されると、前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認することを含む
ことを特徴する請求項1に記載のアクセス認証方法。 - BRASデバイスに適用されるアクセス認証方法であって、
第1インターフェースでユーザ端末に対応するユーザエントリが検索されないと、前記ユーザ端末の端末情報を取得することと、
前記第1インターフェースがAAAサーバに前記端末情報を含む認証要求パケットを送信することによって、前記AAAサーバが前記端末情報に基づいて前記ユーザ端末が認証済み端末であると同時にローミング端末であると確定した場合、前記AAAサーバが、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するようにすることと、
前記AAAサーバにより前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認したときに送信する認証合格パケットが受信されると、前記ユーザ端末の前記第1インターフェースへのアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録することと、を含む
ことを特徴するアクセス認証方法。 - 前記AAAサーバが前記BRASデバイスの第2インターフェースに送信する前記端末情報を含むオフライン通知メッセージが受信されると、前記BRASデバイスの前記第2インターフェースに格納した前記ユーザ端末に対応するユーザエントリを削除することと、
前記AAAサーバにオフライン確認メッセージをフィードバックすることによって、前記AAAサーバが、前記オフライン確認メッセージを受信した場合、前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認するようにすることと、をさらに含む
ことを特徴する請求項5に記載のアクセス認証方法。 - AAAサーバに適用されるアクセス認証装置であって、
BRASデバイスの第1インターフェースによりユーザ端末に対応するユーザエントリが検索されないときに送信した、前記ユーザ端末の端末情報を含む認証要求パケットを取得するための取得ユニットと、
前記端末情報に基づいて前記ユーザ端末が認証済み端末であると同時にローミング端末であると確定された場合、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するための通知ユニットと、
前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したことが確認されると、前記第1インターフェースに認証合格パケットを送信することによって、前記第1インターフェースが前記ユーザ端末のアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録するようにするための送信ユニットと、を備える
ことを特徴するアクセス認証装置。 - 前記端末情報に基づいて前記AAAサーバに前記ユーザ端末に対応する認証ユーザ情報が存在するか否かを検索し、前記認証ユーザ情報が検索されると、前記認証ユーザ情報中のアクセス位置情報と前記端末情報中のアクセス位置情報とが同一であるか否かを判断し、同一であると、前記認証要求パケットを破棄し、同一ではないと、前記ユーザ端末が認証済み端末であると同時にローミング端末であると確定するための確定ユニットをさらに備える
ことを特徴する請求項7に記載のアクセス認証装置。 - 前記通知ユニットは、具体的に、前記端末情報中のアクセス位置情報が、前記ユーザ端末が前記BRASデバイスに含まれた異なるインターフェース間でローミングすることを示すと、すでに前記ユーザ端末がアクセスされた、前記BRASデバイスに位置している第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するか、または、前記端末情報中のアクセス位置情報が、前記端末が前記BRASデバイスではない第2BRASデバイス上から前記BRASデバイスにローミングすることを示すと、すでに前記ユーザ端末がアクセスされた、前記第2BRASデバイスに位置する第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知する
ことを特徴する請求項8に記載のアクセス認証装置。 - 前記通知ユニットは、具体的に、前記第2インターフェースに前記端末情報を含むオフライン通知メッセージを送信することによって、前記第2インターフェースが、前記オフライン通知メッセージが受信されると、格納した前記端末情報に対応するユーザエントリを削除した後に前記AAAサーバにオフライン確認メッセージをフィードバックするようにし、
前記送信ユニットは、具体的に、前記第2インターフェースがフィードバックした前記オフライン確認メッセージが受信されると、前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認する
ことを特徴する請求項7に記載のアクセス認証装置。 - BRASデバイスに適用されるアクセス認証装置であって、
第1インターフェースでユーザ端末に対応するユーザエントリが検索されないと、前記ユーザ端末の端末情報を取得するための取得ユニットと、
AAAサーバに前記端末情報を含む認証要求パケットを送信し、前記AAAサーバが前記端末情報に基づいて前記ユーザ端末が認証済み端末であると同時にローミング端末であると確定した場合、前記AAAサーバが、すでに前記ユーザ端末がアクセスされた第2インターフェースに、当該第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除するように通知するようにするための送信ユニットと、
前記AAAサーバにより前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認したときに送信する認証合格パケットが受信されると、前記ユーザ端末の前記第1インターフェースへのアクセスを許可し、前記第1インターフェースに前記ユーザ端末に対応するユーザエントリを記録するための記録ユニットと、を備える
ことを特徴するアクセス認証装置。 - 前記AAAサーバが前記BRASデバイスの第2インターフェースに送信する前記端末情報を含むオフライン通知メッセージが受信されると、前記BRASデバイスの前記第2インターフェースに格納した前記ユーザ端末に対応するユーザエントリを削除し、前記AAAサーバにオフライン確認メッセージをフィードバックすることによって、前記AAAサーバが、前記オフライン確認メッセージを受信した場合、前記第2インターフェースが前記ユーザ端末に対応するユーザエントリを削除したと確認するようにするための削除ユニットをさらに備える
ことを特徴する請求項11に記載のアクセス認証装置。 - AAAサーバであって、
プロセッサと、
前記プロセッサ上で運行される機械実行可能命令が記憶されているメモリと、を備え、
前記プロセッサによって前記命令が実行されるときに、請求項1乃至4の中のいずれか1項に記載の方法が実現される
ことを特徴するAAAサーバ。 - BRASデバイスであって、
プロセッサと、
前記プロセッサ上で運行される機械実行可能命令が記憶されているメモリと、を備え、
前記プロセッサによって前記命令が実行されるときに、請求項5または6に記載の方法が実現される
ことを特徴するBRASデバイス。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811109298.4A CN109067788B (zh) | 2018-09-21 | 2018-09-21 | 一种接入认证的方法及装置 |
| CN201811109298.4 | 2018-09-21 | ||
| PCT/CN2019/106605 WO2020057585A1 (zh) | 2018-09-21 | 2019-09-19 | 接入认证 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022501879A JP2022501879A (ja) | 2022-01-06 |
| JP7135206B2 true JP7135206B2 (ja) | 2022-09-12 |
Family
ID=64763556
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2021512270A Active JP7135206B2 (ja) | 2018-09-21 | 2019-09-19 | アクセス認証 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11743258B2 (ja) |
| EP (1) | EP3855695B1 (ja) |
| JP (1) | JP7135206B2 (ja) |
| CN (1) | CN109067788B (ja) |
| WO (1) | WO2020057585A1 (ja) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109067788B (zh) * | 2018-09-21 | 2020-06-09 | 新华三技术有限公司 | 一种接入认证的方法及装置 |
| CN109861892A (zh) * | 2019-03-28 | 2019-06-07 | 新华三技术有限公司 | 一种终端漫游方法及装置 |
| CN113824696B (zh) * | 2021-08-27 | 2023-12-05 | 杭州迪普科技股份有限公司 | portal认证方法及装置 |
| CN118175545B (zh) * | 2024-05-15 | 2024-07-23 | 中兴通讯股份有限公司 | Fttr的无线终端认证方法及无线终端认证网络 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130265941A1 (en) | 2010-12-24 | 2013-10-10 | Hangzhou H3C Technologies Co., Ltd. | Preventing roaming user terminal re-authenication |
| US20160241515A1 (en) | 2015-02-16 | 2016-08-18 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for providing "anywhere access" for fixed broadband subscribers |
| CN106230668A (zh) | 2016-07-14 | 2016-12-14 | 杭州华三通信技术有限公司 | 接入控制方法及装置 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7434044B2 (en) * | 2003-02-26 | 2008-10-07 | Cisco Technology, Inc. | Fast re-authentication with dynamic credentials |
| CN1277368C (zh) | 2004-01-21 | 2006-09-27 | 华为技术有限公司 | 无线局域网用户终端重新选择运营网络的交互方法 |
| CN100493247C (zh) * | 2004-02-27 | 2009-05-27 | 北京三星通信技术研究有限公司 | 高速分组数据网中接入认证方法 |
| US8190124B2 (en) * | 2004-10-22 | 2012-05-29 | Broadcom Inc. | Authentication in a roaming environment |
| FR2943881A1 (fr) * | 2009-03-31 | 2010-10-01 | France Telecom | Procede et dispositif de gestion d'une authentification d'un utilisateur. |
| CN101765114B (zh) * | 2010-01-18 | 2012-11-28 | 杭州华三通信技术有限公司 | 一种控制无线用户接入的方法、系统及设备 |
| CN103634776B (zh) | 2012-08-24 | 2019-01-04 | 中兴通讯股份有限公司 | 一种获取终端的接入标识的方法及身份信息服务器 |
| EP2768180A1 (en) | 2013-02-14 | 2014-08-20 | Telefonica S.A. | Method and system for fixed broadband access zero touch, self-provisioning, auto-configuration and auto-activation |
| US9167427B2 (en) * | 2013-03-15 | 2015-10-20 | Alcatel Lucent | Method of providing user equipment with access to a network and a network configured to provide access to the user equipment |
| CN105101152B (zh) * | 2014-05-15 | 2018-11-16 | 华为技术有限公司 | 无线终端在无线控制器之间的漫游方法及相关装置 |
| CN104038917B (zh) * | 2014-06-27 | 2017-11-24 | 北京星网锐捷网络技术有限公司 | 终端漫游认证的方法及装置 |
| US9894520B2 (en) * | 2014-09-24 | 2018-02-13 | Fortinet, Inc. | Cache-based wireless client authentication |
| CN105744579B (zh) * | 2014-12-11 | 2019-06-18 | 华为技术有限公司 | 终端在ap间切换的方法、切换控制装置及接入装置 |
| CN107820246B (zh) * | 2016-09-14 | 2020-07-21 | 华为技术有限公司 | 用户认证的方法、装置和系统 |
| CN107995070B (zh) * | 2017-11-21 | 2020-12-08 | 新华三技术有限公司 | 基于ipoe的连网控制方法、装置和bras |
| CN108429773B (zh) | 2018-06-20 | 2020-11-10 | 中国联合网络通信集团有限公司 | 认证方法及认证系统 |
| CN109067788B (zh) | 2018-09-21 | 2020-06-09 | 新华三技术有限公司 | 一种接入认证的方法及装置 |
-
2018
- 2018-09-21 CN CN201811109298.4A patent/CN109067788B/zh active Active
-
2019
- 2019-09-19 EP EP19863952.8A patent/EP3855695B1/en active Active
- 2019-09-19 JP JP2021512270A patent/JP7135206B2/ja active Active
- 2019-09-19 WO PCT/CN2019/106605 patent/WO2020057585A1/zh unknown
- 2019-09-19 US US17/276,387 patent/US11743258B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130265941A1 (en) | 2010-12-24 | 2013-10-10 | Hangzhou H3C Technologies Co., Ltd. | Preventing roaming user terminal re-authenication |
| US20160241515A1 (en) | 2015-02-16 | 2016-08-18 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for providing "anywhere access" for fixed broadband subscribers |
| CN106230668A (zh) | 2016-07-14 | 2016-12-14 | 杭州华三通信技术有限公司 | 接入控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3855695A4 (en) | 2021-09-29 |
| US20210409407A1 (en) | 2021-12-30 |
| CN109067788A (zh) | 2018-12-21 |
| JP2022501879A (ja) | 2022-01-06 |
| EP3855695B1 (en) | 2024-01-17 |
| WO2020057585A1 (zh) | 2020-03-26 |
| US11743258B2 (en) | 2023-08-29 |
| EP3855695A1 (en) | 2021-07-28 |
| CN109067788B (zh) | 2020-06-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7135206B2 (ja) | アクセス認証 | |
| CN110800331B (zh) | 网络验证方法、相关设备及系统 | |
| JP4701172B2 (ja) | リダイレクトを使用してネットワークへのアクセスを制御するシステム及び方法 | |
| CN101262500B (zh) | 推送登录页面的方法、接入控制器和web认证服务器 | |
| JP7205044B2 (ja) | ネットワーク通信に関する改善 | |
| CN109413649B (zh) | 一种接入认证方法及装置 | |
| WO2013159576A1 (zh) | 接入无线网络的方法、终端、wi-fi接入网节点和鉴权服务器 | |
| DK2924944T3 (en) | Presence authentication | |
| CN105873055B (zh) | 一种无线网络接入认证方法及装置 | |
| EP3143780B1 (en) | Device authentication to capillary gateway | |
| CN106686592B (zh) | 一种带有认证的网络接入方法及系统 | |
| CN104780168A (zh) | 一种Portal认证的方法和设备 | |
| TWI516151B (zh) | 通訊方法與通訊系統 | |
| CN109379339B (zh) | 一种Portal认证方法及装置 | |
| KR102359070B1 (ko) | 접속 및 인증 요청들이 재방향설정되는 포털 주소들로 서브캐리어 디바이스 식별자들을 매핑하고 대량 가입자 장치 설정을 용이하게 하는 포털 집성 서비스 | |
| CN108259454B (zh) | 一种Portal认证方法和装置 | |
| KR20120044381A (ko) | 신원과 위치 정보가 분리된 네트워크에서 사용자가 icp 웹사이트에 로그인 하는 방법, 시스템 및 로그인 장치 | |
| WO2011134134A1 (zh) | Wifi网络与wimax网络互通的方法、装置及系统 | |
| CN103929504A (zh) | 无线局域网络与固网交互中分配用户地址的方法及系统 | |
| KR20100072973A (ko) | 무선망 접속 서비스를 위한 정책기반 접속 인증 방법 | |
| JP4608466B2 (ja) | 通信システムおよび通信方法 | |
| CN111225376A (zh) | 认证方法、系统、无线接入点ap和计算机可读存储介质 | |
| WO2014187423A1 (zh) | 标识信息处理方法及装置 | |
| WO2009092225A1 (zh) | 网络信息获取方法及通讯系统以及相关设备 | |
| JP2010041589A (ja) | 通信システム、サーバ装置、情報通知方法、プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20210302 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220413 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220419 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220704 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20220823 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20220831 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7135206 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |