WO2006063511A1 - Procede permettant de realiser une authentification synchrone parmi differents dispositifs de commande d'authentification - Google Patents
Procede permettant de realiser une authentification synchrone parmi differents dispositifs de commande d'authentification Download PDFInfo
- Publication number
- WO2006063511A1 WO2006063511A1 PCT/CN2005/002165 CN2005002165W WO2006063511A1 WO 2006063511 A1 WO2006063511 A1 WO 2006063511A1 CN 2005002165 W CN2005002165 W CN 2005002165W WO 2006063511 A1 WO2006063511 A1 WO 2006063511A1
- Authority
- WO
- WIPO (PCT)
- Prior art keywords
- authentication
- user
- control device
- server
- primary
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
Description
实现不同认证控制设备间同步认证的方法 技术领域 本发明涉及网络认证技术领域 , 尤其涉及一种实现不同认证控制设备 间同步认证的方法。
背景技术 在现有的通信网络中, 存在着大量的运营商、 ISP (网络接入服务提 供商) , 以及 ICP (因特网内容提供者)等不同的服务提供商, 各服务提 供商之间既可以各自独立, 也可以相互协作为接入用户提供各种服务, 并 进行各自独立的, 或者是相互协作的认证、 计费处理。
在其相互之间进行合作时, 相应的合作模式也多种多样, 其中, 较为 典型的合作模式是通过 AAA (认证、 授权、 计费) 系统间交换用户认证、 计费信息实现运营合作。
所述的 AAA系统的组网结构如图 1所示, 当用户通过接入设备接入网 络时, 由认证控制设备负责携带接入用户的身份信息, 并向 AAA服务器发 起针对所述接入用户的接入认证处理。 通常采用的用户认证手段很多, 如 PPPoE (以太网承载点到点协议)认证、 WEB (环球网)认证和 802.1X 认证等。
目前, 不同服务提供商间所采用的一种合作模式的組网结构如图 2所 示, 以采用 PPPoE接入认证为例, 图 2所示组网中具体的接入用户的认证 处理流程如图 3所示, 包括以下过程:
步骤 31: 用户终端向认证控制设备(即 PPPOE服务器 )设备发送一 个 PADI报文, 即 PPPoE激活发现初始报文, 开始 PPPoE接入;
步骤 32: 认证控制设备(PPPOE服务器) 向用户终端发送 PAD〇报 文, 即 PPPoE激活发现提供报文;
步骤 33: 用户终端才艮据回应, 发起 PADR请求( PPPoE激活发现请求 报文)给认证控制设备(PPPOE服务器) ;
步骤 34: 认证控制设备(PPPOE服务器)产生一个 session id (会话 标识) , 通过 PADS ( PPPoE激活发现会话报文)发给用户终端;
步骤 35: 用户终端和认证控制设备(PPPOE月艮务器)之间进行 PPP 的 LCP (链路控制协议)协商, 建立链路层通信; 同时, 协商使用 CHAP (盾询握手验证协议)认证方式; 认证用户终端, 提供一个 128bit的 Challenge (挑战码) ;
步骤 37: 用户终端收到 Challenge报文后, 将密码和 Challenge报文做
MD5算法加密后, 在 Response报文(即回应报文) 中将其发送给认证控 制设备 ( PPPOE服务器) ;
步骤 38 : 认证控制设备 ( PPPOE服务器) 将 Challenge报文、 Challenge-Password和用户名一起送到服务提供商 A的 RADIUS (远程用 户拨号认证服务)用户认证服务器进行认证;
步骤 39: 服务提供商 A的 RADIUS用户认证服务器根据用户名识别是 一个服务提供商 B的用户, 那么就将此认证报文转发到服务提供商 B的
RADIUS用户认证服务器进行真正的认证; 请求 Access-Request消息;
步骤 310:服务提供商 B的 RADIUS用户认证服务器根据用户信息判断 用户是否合法, 然后回应认证成功 /失败报文到服务提供商 A的 RADIUS用 户认证服务器;
即服务提供商 B的认证服务器向服务提供端 A的认证服务器发送接入 i午可 妻入巨绝消息 Access-Accept/Access-Reject;
步骤 31 1: 服务提供商 A的 RADIUS用户认证服务器将认证成功 /失败 报文转发到认证控制设备(PPPOE服务器); 如果成功, 携带协商参数' 以及用户的相关业务属性给用户授权, 当获得用户授权后, 认证控制设备 ( PPPoE服务器)就可以对该用户的网络进行各种控制和管理; 如果认证 失败, 则流程到此结束。
步骤 312 : 认证控制设备 ( PPPOE服务器 ) 将认证结果 (即
Success/Failure, 成功 /失败)返回给用户终端, 如果认证成功, 则继续 执行步骤 313, 否则, 过程结束;
步骤 313用户进行 NCP (网络控制协议 )协商, 如 IPCP ( IP控制协议 ) 协议等, 通过认证控制设备( PPPOE服务器) 获取到规划的 IP地址等参 数;
步骤 314: 认证如果成功, 认证控制设备(PPPOE服务器)发起计费 开始请求给服务提供商 A的 RADIUS用户计费服务器;
所述的认证控制设备向服务提供商 A可以发送计费 /开始 /停止消息,即 Accounting-Response/Start > Stop消息;
步骤 315:服务提供商 A的 RADIUS用户计费服务器发现用户是漫游用 户, 其服务提供商为服务提供商 B, 那么就将此计费报文转发到服务提供 商 B的 RADIUS用户计费服务器进行真正的计费;
步骤 316:服务提供商 B的 RADIUS用户计费服务器回应计费开始应答 报文给服务提供商 A的 RADIUS用户计费服务器;
步骤 317:服务提供商 A的 RADIUS用户计费服务器将回应的计费开始 应答报文转发给认证控制设备(PPPoE服务器) 。
此时, 接入用户通过认证, 并且获得了合法的权限, 可以正常开展网 络业务。
当用户希望终止网络业务的时候,同样也可以通过 PPPoE断开网络连 接, 具体可以按照步骤 314至步骤 317中传送的报文格式发送计费终止报 文, 从而实现计费终止的操作处理。
可以看出, 经过上述处理,服务提供商 A和服务提供商 B之间便实现了 认证、 计费信息的互通。 但是, 由于认证、 计费的核心设备(即认证控制 设备)在服务提供商 A网络中, 同时 AAA信息也是从服务提供商 A的 AAA 服务器转发到服务提供商 B的 AAA服务器, 因此, 实际上用户的控制权完 全控制在服务提供商八。 因此,服务提供商 A如果调整认证控制设备和 AAA 服务器参数, 将极可能使得服务提供商 B蒙受损失。 为避免上述因服务提供商间地位的不平等导致受控服务提供商可能 蒙受损失的情况出现。 目前, 每个服务提供商需要设置并应用自己的认证 控制设备。 相应的组网结构如图 4所示, 仍以采用 PPPoE接入认证方式为 例, 对图 4中接入用户的认证处理流程结合图 5进行说明, 相应的处理流程
包括:
步骤 51至步骤 58与图 3所示的步骤 31至步骤 38的处理过程相同, 此处 不再详述;
步骤 59: 服务提供商 A的 RADIUS用户认证服务器根据用户信息判断 用户是否合法, 然后, 执行步骤 510, 向认证控制设备回应认证成功 /失败 报文;
如果成功, 携带协商参数, 以及用户的相关业务属性给用户授权, 并 执行步驟 511 ; 当获得用户授权后, 认证控制设备(PPPoE服务器) (认 证控制设备)就可以对该用户的网络进行各种控制和管理;如果认证失败, 则流程到此结束。
步骤 511 :用户进行 NCP (如 IPCP )协商,通过认证控制设备(PPPOE 服务器)获取到规划的 IP地址等参数;
步骤 512: 认证如果成功, 认证控制设备(PPPOE服务器)发起计费 开始请求给服务提供商 A的 RADIUS用户计费服务器;
步骤 513:服务提供商 A的 RADIUS用户计费服务器回应计费开始应答 报文给认证控制设备 ( PPPoE服务器 ) 。
此时, 用户已经通过认证, 并且获得了合法的权限, 可以正常开展网 络业务。 但是, 由于没有获得服务提供商 B的授权, 因此, 只能访问服务 提供商 A的网络。 这样, 当用户希望访问服务提供商 B以及外网时, 用户需 要到服务提供商 B再次进行认证。即客户终端向服务提供商 B的认证控制设 备发起二次认证请求, 目前通常釆用 WEB认证方式进行认证。具体认证处 理过程仍如图 5所示, 具体包括:
步驟 514: 服务提供商 B的认证控制设备将用户信息送到服务提供商 B 的 RADIUS用户认证服务器进行认证;
步骤 515:服务提供商 B的 RADIUS用户认证服务器根据用户信息判断 用户是否合法, 然后执行步骤 516,向服务提供商 B的认证控制设备回应认 证成功 /失败报文到服务提供商 B的认证控制设备;
如果成功, 携带协商参数, 以及用户的相关业务属性给用户授权; 当 获得用户授权后, 服务提供商 B的认证控制设备就可以对该用户的网络进
行各种控制和管理; 如果认证失败, 则流程到此结束。
步骤 517: 服务提供商 B的认证控制设备将认证结果返回给用户终端, 如果认证成功, 则继续执行步驟 518;
步骤 518:服务提供商 B的认证控制设备发起计费开始请求给服务提供 商 B的 RADIUS用户计费服务器;
步骤 519:服务提供商 B的 RADIUS用户计费服务器回应计费开始应答 报文给服务提供商 B的认证控制设备。
此时, 用户已经通过认证, 并且获得了服务提供商 B网络 /夕卜网的合法 权限, 可以正常开展网络业务。 即用户通过两次认证, 便可以访问服务 提供商 A、 服务提供商 B和外网了。
在该方案中, 如果有多个服务提供商, 则用户就要进行多次认证以逐 层获取权限。 即针对每个服务提供商均需要用户登录一次, 使得用户的操 作处理过程较为烦琐。 而且, 每个服务提供商都各自独立维护自己的运营 信息, 导致服务提供商运营成本大幅提高。
发明内容
鉴于上述现有技术所存在的问题, 本发明的目的是提供一种实现不同 认证控制设备间同步认证的方法, 简化了用户接入网络的登录认证过程 , 并可以保证各服务提供商对接入用户的可靠控制管理。
本发明的目的是通过以下技术方案实现的:
本发明所述的一种实现不同认证控制设备间同步认证的方法, 包括:
A、 用户接入网络, 并通过从认证控制设备发起认证;
B、 主认证控制设备从认证控制设备获取用户的认证信息, 并发送给 主认证控制设备的主认证服务器;
C、 主认证服务器根据所述用户的认证信息对其进行认证处理。
所述的从认证控制设备控制接入的网络为通过主认证控制设备控制 接入的网络接入外网。
所述的步骤 B包括:
主认证控制设备主动侦听并获取从认证控制设备发来的承载有认证 信息的报文, 将所述报文直接或重新组包转发给主认证服务器。
所述的步骤 B包括:
从认证控制设备将用户的认证信息主动发送给主认证控制设备,主认 证控制设备将所述的认证信息直接或重新组包转发给主认证服务器。
所述的主认证服务器中保存着主、从认证控制设备控制接入的用户的 认证信息。
所述的实现不同认证控制设备间同步认证的方法还包括:
将所述的从认证控制设备控制接入的用户的认证信息保存于从认证 服务器中。
所述的步骤 C包括:
C1、 主认证服务器收到所述用户的认证信息后, 在主认证服务器上 对所述用户进行认证处理, 并判断所述用户的认证信息是否保存于从认证 服务器中, 如果是, 则执行步骤 C2, 否则, 不作处理;
C2、 将所述用户的认证信息发送给从认证服务器, 从认证服务器根 据所述认证信息对该用户进行认证处理。
所述的实现不同认证控制设备间同步认证的方法还包括:
D、 主认证服务器从主认证控制设备获取计费信息, 并根据所述的计 费信息对接入用户进行计费。
所述的步骤 D还包括:
从认证控制设备将计费信息通过主认证控制设备发送给主认证服务 器, 主认证服务器根据所述计费信息进行计费。
所述的步骤 D还包括:
主认证服务器还将所述计费信息发送给从认证服务器,从认证服务器 根据所述的计费信息进行计费。
由上述本发明提供的技术方案可以看出, 本发明在多个服务提供商互 联的网絡中, 接入用户只需要登录一次, 便可以获得多个服务提供商的网 络权限, 为用户接入网络提供了较大的方便。
而且, 本发明可以保证各服务提供商有效地控制和管理接入的用户, 从而有效保护服务提供商的利益。
另外, 本发明的实现还使得每个服务提供商只在系统安装时需要配置
一次, 以后无需为认证控制设备和 AAA服务器等提供额外的维护, 对单 个用户所有服务提供商只需维护一次即可,即用户信息只需要建立、修改、 删除以及各种维护操作一次, 而无需如现有技术提供的方案中描述的那 样, 每个服务提供商分别需要维护操作一次。
附图说明 图 1为设置有 AAA服务器的网络組网结构图;
图 2为现有技术中用户向多服务提供商发起认证的网络结构图一; 图 3为图 2所示网络的认证处理流程图;
图 4为现有技术中用户向多服务提供商发起认证的网络结构图二; 图 5为图 4所示网络的认证处理流程图;
图 6为本发明中用户向多服务提供商发起认证的网络结构图; 图 7为图 6所示网络的认证处理流程图。
具体实施方式 本发明的核心是在互相协作的服务提供商下的用户接入网络时,基于 所述接入用户的身份信息同时向各个服务提供商的认证控制设备发起认 证处理过程。 从而使得在网络中实现互相协作的不同的服务提供商的用户 可以一次性完成基于不同服务提供商的接入认证处理过程, 并可以充分保 证各个服务提供商的运营利益。
本发明所述的方法中,每个服务提供商各自设置有相互独立的认证控 制设备, 如图 6所示, 且所述的认证控制设备均可以对应设置自己的 AAA 服务器。 本发明中是将直接与外网相连的网络中的认证控制设备称为主认 证控制设备, 如图 6中的服务提供商 B的认证控制设备,将通过该直接与外 网相连的网络与外网相连的其他网络中的认证控制设备称为从认证控制 设备, 如图 6中的服务提供商 A的认证控制设备;
本发明中各主、从认证控制设备接入的用户的认证信息均保存于主认 证控制设备对应的主认证服务器中, 所述的主认证服务器如图 6中的服务 提供商 B的 AAA (鉴权、 认证、 计费)服务器及相应的 RDIUS用户认证服 所述的从认证服务器如图 6中的服务提供商 A的 AAA服务器及相应的
RDIUS用户认证服务器。
以图 6所示的组网结构为例 ,本发明所述的方法的具体实现方式如图 7 所示, 包括以下步骤:
步骤 71:用户终端向服务提供商 A的认证控制设备(即 PPPOE服务器) 设备发送一个 PADI报文, 开始 PPPoE接入;
步驟 72: 所述认证控制设备收到所述的 PADI报文后, 向用户终端发 送 PADO报文;
步驟 73: 用户终端根据认证控制设备回应的 PADO报文, 向认证控制 设备发送 PADR请求;
步骤 74: 所述认证控制设备产生一个 session id (会话标识) , 并通 过 PADS报文发给用户终端;
步骤 75: 用户终端和认证控制设备之间进行 PPP的 LCP协商, 建立链 路层通信, 同时, 协商使用 CHAP认证方式;
步驟 76: 认证控制设备通过 Challenge报文发送给认证用户终端, 提 供一个 128bit的 Challenge;
步骤 77: 用户终端收到 Challenge报文后,将密码和 Challenge做 MD5 算法后获得相应的认证信息, 并在 Response回应报文中发送给服务提供 商 A的认证控制设备;
步驟 71到步骤 76的用户接入处理过程与现有技术中的相应处理过程 完全相同。
步骤 78 : 服务提供商 A的认证控制设备收到所述认证信息后, 将 Challenge, Challenge-Password和用户名等用户身份信息(即认证信息) 一起发送到服务提供商 B的认证控制设备, 即主认证控制设备;
步骤 79: 服务提供商 B的认证控制设备将用户身份信息发送到服务提 供商 B的 RADIUS用户认证服务器进行认证, 所述的服务提供商 B的 RADIUS用户认证服务器和相应的 AAA服务器称为主认证服务器;
如果用户身份信息存储在服务提供商 B的 AAA服务器上, 则服务提供 商 B的 RADIUS用户认证服务器根据用户身份信息判断该用户是否合法, 并执行步骤 712,如果所述的用户身份信息保存于服务提供商 A的 AAA服务
器器上上,, 则则执执行行步步骤骤 771100。。
步步骤骤 77ΊΊ 00::服服务务提提供供商商 BB的的 RRAADDIIUUSS用用户户认认证证服服务务器器将将用用户户信信息息转转发发到到 服服务务提提供供商商 AA的的 RRAADDIIUUSS用用户户认认证证服服务务器器;;
步步骤骤 7711 11有有::服服务务提提供供商商 AA的的 RRAADDIIUUSS用用户户认认证证服服务务器器根根据据用用户户信信息息判判 断断用用户户是是否否合合法法,, 然然后后回回应应认认证证成成功功 //失失败败报报文文;;
如如果果成成功功,, 携携带带协协商商参参数数,, 以以及及用用户户的的相相关关业业务务属属性性给给用用户户授授权权;; 步步骤骤 771122::
报文;
如果是步骤 79跳到本步骤, 则服务提供商 B的 RADIUS用户认证服务 器根据用户信息判断用户是否合法, 然后回应认证成功 /失败报文; 如果成 功, 携带协商参数, 以及用户的相关业务属性给用户授权;
如果是步骤 71 1跳到本步骤,则服务提供商 B的 RADIUS用户认证服务 器将服务提供商 A的 RADIUS用户认证服务器发送过来的报文转发到服务 提供商 B的认证控制设备, 如果服务提供商 B的 RADIUS服务器有用户信 息, 则直接认证返回结果。 ;
步骤 713: 服务提供商 B的认证控制设备收到认证成功 /失败报文后, 如果成功获得用户授权 , 则可以对服务提供商 B的网絡进行各种控制和管 理, 同时将报文转发到服务提供商 A的认证控制设备; 例如认证成功并且 授权,服务提供商 B的认证控制设备就可以对进入 B网络的用户、流量进行 管理, 而如果认证失败, 则此用户无法通过 B的认证控制设备进入 B网络。
步驟 714: 服务提供商 A的认证控制设备收到所述报文后, 如果成功 获得用户授权, 则可以对服务提供商 A的网络进行各种控制和管理, 同时,
用户终端收到所述的报文后,如果认证失败,则流程到此结束,否则, 继续执行步骤 715。
步骤 715: 用户进行 NCP (如 IPCP )协商, 通过服务提供商 A的认证 控制设备获取到规划的 IP地址等参数;
步骤 716: NCP协商成功, 服务提供商 A的认证控制设备发起计费开 始请求给服务提供商 B的认证控制设备, 即向所述认证控制设备发送计费
信息;
步骤 717: 月良务提供商 B的认证控制设备将请求转发给服务提供商 B的 RADIUS用户计费服务器;
如果服务提供商 A不需要计费信息, 则直接执行步驟 720, 否则, 执 行步骤 718;
步驟 718:服务提供商 B的 RADIUS用户计费服务器将请求转发到服务 提供商 A的 RADIUS用户计费服务器;
步骤 719:服务提供商 A的 RADIUS用户计费服务器回应计费开始应答 报文给服务提供商 B的 RADIUS用户计费服务器;
步骤 720: 如果从步骤 717跳到本步骤, 则服务提供商 B的 RADIUS用 户计费服务器回应计费将应答报文给服务提供商 B的认证控制设备;
如果是步驟 719跳到本步驟, 则将收到的应答报文转发到服务提供商 B的认证控制设备。
步骤 721: 服务提供商 B的认证控制设备将应答报文转发到服务提供 商 A的认证控制设备;
此时, 用户通过认证, 并且获得了服务提供商 A和服务提供商 B及外 网的合法的接入权限, 并可以正常开展网络业务。
本发明中, 当用户希望终止网络业务的时候, 同样也可以通过 PPPoE 服务器(认证控制设备)断开网络连接, 此时, 将按照步骤 716至步驟 721 中的报文格式发送相应的计费终止报文, 从而停止相应的计费过程。
在计费过程中, 本发明还可以采用服务提供商 A的认证控制设备不提 供计费信息, 而仅由服务提供商 B的认证控制设备提供计费信息的处理方 式进行计费处理, 即省略图 7中的步骤 716和步骤 721。 如果仅由服务提供 商 B进行计费, 而 A对此信任, 则只要计费一次即可; 只有在不信任的情况 下, 才需要服务提供商 A和 B都进行计费, 然后进行计费对帐。
本发明不仅适用于 PPPoE, 对于其他所有的认证方式均适用。 所述的 AAA协议除了可以使用 RADIUS以外, 还包括但不限于 DIAMETER (—种新的 AAA协议 )、 TACACS ( Terminal Access Control ler Acces s Control Sys tem, 终端访问控制设备访问控制系统, 一种 AAA协议)等。
由于服务提供商 B的认证控制设备需要和服务提供商 A的认证控制设 备同步认证、 计费信息, 因此, 服务提供商 B的认证控制设备必须获取服 务提供商 A的认证控制设备的认证信息。
目前可以采用的获取方式有两种,一种是承载有认证信息的数据报文 侦听的方式, 另一种是将主认证控制设备设置为从认证控制设备的代理服 务器的方式。 下面将分别对两种方式进行说明:
( 1 )数据报文侦听的方式: 在该方式中, 要求服务提供商 A的认证控 制设备发起的认证请求报文(比如 RADIUS请求报文)必须经过服务提供商 B的认证控制设备, 这样, 服务提供商 B的认证控制设备就可以进行所有数 据报文的侦听, 当然, 也可以通过配置侦听指定的报文或者指定的 AAA服 务器的报文; 对于侦听到的报文通常是先存储, 然后转发; 也可以根据需 要重新组包后转发;
( 2 )主认证控制设备作为代理服务器: 服务提供商 A的认证控制设备 将服务提供商 B的认证控制设备当作一个 RADIUS Server ( RADIUS服务器), 所有的报文直接发送到服务提供商 B的认证控制设备的 RADIUS端口上, 月良 务提供商 B的认证控制设备按照标准的 RADIUS Proxy ( RADIUS代理) 功能 接收、 修改、 发送认证报文; 通常 RADIUS代理需要重新组包后转发, 也可 以将接收到的报文存储, 然后直接转发。
由于服务提供商 B的认证控制设备和服务提供商 A的认证控制设备同 步了认证、 计费信息, 所有用户认证、 授权信息都在所有认证控制设备上 保存, 因此, 本发明可以使得用户只需要输入一次用户名、 密码就可以获 得多个服务提供商的合法网络权限。
本发明在实际使用中, 也可以将其延伸到多个服务提供商之间互连, 实现多个认证控制设备间的同步认证。
以上所述, 仅为本发明较佳的具体实施方式, 但本发明的保护范围并 不局限于此, 任何熟悉本技术领域的技术人员在本发明揭露的技术范围 内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。 因此, 本发明的保护范围应该以权利要求书的保护范围为准。
Claims
权 利 要 求
1、 一种实现不同认证控制设备间同步认证的方法, 其特征在于, 包 括:
A、 用户接入网络, 并通过从认证控制设备发起认证;
B、 主认证控制设备从认证控制设备获取用户的认证信息, 并发送给 主认证控制设备的主认证服务器;
C、 主认证服务器根据所述用户的认证信息对其进行认证处理。 其特征在于, 所述的从认证控制设备控制接入的网络为通过主认证控制设 备控制接入的网络接入外网。
3、 根据权利要求 1或 2所述的实现不同认证控制设备间同步认证的方 法, 其特征在于, 所述的步驟 B包括:
主认证控制设备主动侦听并获取从认证控制设备发来的承载有认证 信息的报文 , 将所述报文直接或重新组包转发给主认证服务器。
4、 根据权利要求 1或 2所述的实现不同认证控制设备间同步认证的方 法, 其特征在于, 所述的步驟 B包括:
从认证控制设备将用户的认证信息主动发送给主认证控制设备,主认 证控制设备将所述的认证信息直接或重新组包转发给主认证服务器。
5、 根据权利要求 1所述的实现不同认证控制设备间同步认证的方法, 其特征在于, 所述的主认证服务器中保存着主、 从认证控制设备控制接入 的用户的认证信息。
6、 根据权利要求 5所述的实现不同认证控制设备间同步认证的方法, 其特征在于, 该方法还包括:
将所述的从认证控制设备控制接入的用户的认证信息保存于从认证 服务器中。
7、 根据权利要求 1、 2、 5或 6所述的实现不同认证控制设备间同步认 证的方法, 其特征在于, 所述的步驟 C包括:
C1、 主认证服务器收到所述用户的认证信息后, 在主认证服务器上 对所述用户进行认证处理, 并判断所述用户的认证信息是否保存于从认证
服务器中, 如果是, 则执行步骤 C2, 否则, 不作处理;
C2、 将所述用户的认证信息发送给从认证服务器, 从认证服务器根 据所述认证信息对该用户进行认证处理。
8、 根据权利要求 1、 2、 5或 6所述的实现不同认证控制设备间同步认 证的方法, 其特征在于, 该方法还包括:
D、 主认证服务器从主认证控制设备获取计费信息, 并根据所述的计 费信息对接入用户进行计费。
9、 根据权利要求 8所述的实现不同认证控制设备间同步认证的方法, 其特征在于, 所述的步驟 D还包括:
从认证控制设备将计费信息通过主认证控制设备发送给主认证服务 器, 主认证服务器根据所述计费信息进行计费。
10、根据权利要求 8所述的实现不同认证控制设备间同步认证的方法, 其特征在于, 所述的步骤 D还包括:
主认证服务器还将所述计费信息发送给从认证服务器,从认证服务器 根据所述的计费信息进行计费。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/631,098 US8336082B2 (en) | 2004-12-13 | 2005-12-13 | Method for realizing the synchronous authentication among the different authentication control devices |
| EP05818662A EP1755271B1 (en) | 2004-12-13 | 2005-12-13 | A method for realizing the synchronous authentication among the different authentication control devices |
| DE602005007737T DE602005007737D1 (de) | 2004-12-13 | 2005-12-13 | Verfahren zur ausführung einer synchronen authentifizierung zwischen verschiedenen authentifizierungssteuervorrichtungen |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200410098489.7 | 2004-12-13 | ||
| CN200410098489A CN100583759C (zh) | 2004-12-13 | 2004-12-13 | 实现不同认证控制设备间同步认证的方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| WO2006063511A1 true WO2006063511A1 (fr) | 2006-06-22 |
Family
ID=36587528
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| PCT/CN2005/002165 WO2006063511A1 (fr) | 2004-12-13 | 2005-12-13 | Procede permettant de realiser une authentification synchrone parmi differents dispositifs de commande d'authentification |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8336082B2 (zh) |
| EP (1) | EP1755271B1 (zh) |
| CN (1) | CN100583759C (zh) |
| AT (1) | ATE399408T1 (zh) |
| DE (1) | DE602005007737D1 (zh) |
| WO (1) | WO2006063511A1 (zh) |
Families Citing this family (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2905488B1 (fr) * | 2006-09-04 | 2011-04-01 | Baracoda | Architecture d'acces a un flux de donnees au moyen d'un terminal utilisateur |
| JP4878006B2 (ja) * | 2007-06-15 | 2012-02-15 | シャープ株式会社 | 通信機器、通信方法、通信プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体 |
| GB2456185A (en) * | 2008-01-04 | 2009-07-08 | Wilico Wireless Networking Sol | Providing selected information in response to an attempt to authenticate a mobile device |
| CN101296085B (zh) * | 2008-06-23 | 2011-07-13 | 中兴通讯股份有限公司 | 基于分叉的认证方法、系统以及分叉认证装置 |
| US9318917B2 (en) * | 2009-04-09 | 2016-04-19 | Sony Corporation | Electric storage apparatus and power control system |
| CN102035815B (zh) * | 2009-09-29 | 2013-04-24 | 华为技术有限公司 | 数据获取方法、接入节点和系统 |
| CN102480727B (zh) * | 2010-11-30 | 2015-08-12 | 中兴通讯股份有限公司 | 机器与机器通信中的组认证方法及系统 |
| JP6113079B2 (ja) * | 2011-01-20 | 2017-04-12 | コーニンクレッカ フィリップス エヌ ヴェKoninklijke Philips N.V. | 認知無線装置の認証及び認可 |
| CN103051626B (zh) * | 2012-12-21 | 2016-09-28 | 华为技术有限公司 | 一种认证方法及网络设备 |
| CN104125191B (zh) * | 2013-04-23 | 2017-09-26 | 华为技术有限公司 | 基于以太网的点对点协议的处理方法、设备和系统 |
| US9203823B2 (en) | 2013-10-30 | 2015-12-01 | At&T Intellectual Property I, L.P. | Methods and systems for selectively obtaining end user authentication before delivering communications |
| CN106027565B (zh) * | 2016-07-07 | 2019-04-09 | 杭州迪普科技股份有限公司 | 一种基于pppoe的内外网统一认证的方法和装置 |
| CN115664746A (zh) * | 2022-10-18 | 2023-01-31 | 浪潮思科网络科技有限公司 | 一种堆叠系统的认证同步方法、装置、设备及介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030084282A1 (en) * | 2001-10-31 | 2003-05-01 | Yamaha Corporation | Method and apparatus for certification and authentication of users and computers over networks |
| WO2004054302A1 (en) * | 2002-12-09 | 2004-06-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Simultaneous registrations of a user in different service servers with different directory numbers |
| CN1553368A (zh) * | 2003-06-02 | 2004-12-08 | ��Ϊ��������˾ | 网络认证、授权和计帐系统及方法 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5553239A (en) * | 1994-11-10 | 1996-09-03 | At&T Corporation | Management facility for server entry and application utilization in a multi-node server configuration |
| US6792337B2 (en) * | 1994-12-30 | 2004-09-14 | Power Measurement Ltd. | Method and system for master slave protocol communication in an intelligent electronic device |
| US6011910A (en) * | 1997-04-08 | 2000-01-04 | 3Com Corporation | Supporting authentication across multiple network access servers |
| US6311275B1 (en) | 1998-08-03 | 2001-10-30 | Cisco Technology, Inc. | Method for providing single step log-on access to a differentiated computer network |
| US6601101B1 (en) * | 2000-03-15 | 2003-07-29 | 3Com Corporation | Transparent access to network attached devices |
| US7136999B1 (en) * | 2000-06-20 | 2006-11-14 | Koninklijke Philips Electronics N.V. | Method and system for electronic device authentication |
| GB2367213B (en) * | 2000-09-22 | 2004-02-11 | Roke Manor Research | Access authentication system |
| JP2003198557A (ja) * | 2001-12-26 | 2003-07-11 | Nec Corp | ネットワーク及びそれに用いる無線lan認証方法 |
| US7298847B2 (en) | 2002-02-07 | 2007-11-20 | Nokia Inc. | Secure key distribution protocol in AAA for mobile IP |
| US7266100B2 (en) * | 2002-11-01 | 2007-09-04 | Nokia Corporation | Session updating procedure for authentication, authorization and accounting |
| CN100346605C (zh) * | 2003-06-26 | 2007-10-31 | 华为技术有限公司 | 一种组播源控制的方法和系统 |
| JP4000111B2 (ja) * | 2003-12-19 | 2007-10-31 | 株式会社東芝 | 通信装置および通信方法 |
-
2004
- 2004-12-13 CN CN200410098489A patent/CN100583759C/zh active Active
-
2005
- 2005-12-13 US US11/631,098 patent/US8336082B2/en active Active
- 2005-12-13 AT AT05818662T patent/ATE399408T1/de not_active IP Right Cessation
- 2005-12-13 WO PCT/CN2005/002165 patent/WO2006063511A1/zh active IP Right Grant
- 2005-12-13 DE DE602005007737T patent/DE602005007737D1/de active Active
- 2005-12-13 EP EP05818662A patent/EP1755271B1/en not_active Not-in-force
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030084282A1 (en) * | 2001-10-31 | 2003-05-01 | Yamaha Corporation | Method and apparatus for certification and authentication of users and computers over networks |
| WO2004054302A1 (en) * | 2002-12-09 | 2004-06-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Simultaneous registrations of a user in different service servers with different directory numbers |
| CN1553368A (zh) * | 2003-06-02 | 2004-12-08 | ��Ϊ��������˾ | 网络认证、授权和计帐系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8336082B2 (en) | 2012-12-18 |
| EP1755271A1 (en) | 2007-02-21 |
| EP1755271A4 (en) | 2007-08-01 |
| US20070234038A1 (en) | 2007-10-04 |
| ATE399408T1 (de) | 2008-07-15 |
| DE602005007737D1 (de) | 2008-08-07 |
| CN100583759C (zh) | 2010-01-20 |
| CN1790985A (zh) | 2006-06-21 |
| EP1755271B1 (en) | 2008-06-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| WO2006063511A1 (fr) | Procede permettant de realiser une authentification synchrone parmi differents dispositifs de commande d'authentification | |
| JP4394682B2 (ja) | 非信頼アクセスネットワークを介してシングルサインオン認証を行なう装置及び方法 | |
| JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| CN101150594B (zh) | 一种移动蜂窝网络和无线局域网的统一接入方法及系统 | |
| US9749320B2 (en) | Method and system for wireless local area network user to access fixed broadband network | |
| CN101127600A (zh) | 一种用户接入认证的方法 | |
| JP2006523412A (ja) | 公共のホット・スポットにおけるクライアント端末の自動設定 | |
| WO2009026848A1 (en) | Roaming wi-fi access in fixed network architectures | |
| KR20040073329A (ko) | 사용자가 인터넷에 접속하는 동안 네트워크 액세스에서사용자를 인증하기 위한 방법 및 시스템 | |
| WO2014101449A1 (zh) | 一种无线局域网中接入节点的控制方法及通信系统 | |
| WO2008034319A1 (fr) | Procédé, système et dispositif d'authentification destinés à un dispositif de réseau | |
| WO2009026839A1 (en) | Pana for roaming wi-fi access in fixed network architectures | |
| EP2894904B1 (en) | Wlan user fixed network access method and system | |
| WO2014176964A1 (zh) | 一种通信管理方法及通信系统 | |
| WO2006058493A1 (fr) | Procede et systeme d'authentification de domaine et d'autorite de reseau | |
| WO2004008715A1 (en) | Eap telecommunication protocol extension | |
| WO2013056619A1 (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| KR20070010023A (ko) | 서비스로의 액세스를 위해 가상 네트워크로의 액세스를가능하게 하는 클라이언트에 대한 인가 방법 및 시스템 | |
| WO2010000157A1 (zh) | 接入设备的配置方法、装置及系统 | |
| WO2009082950A1 (fr) | Procédé, dispositif et système de distribution de clés | |
| WO2013023475A1 (zh) | 共享网络中用户数据的方法和身份提供服务器 | |
| JP4584776B2 (ja) | ゲートウェイ装置およびプログラム | |
| WO2007112624A1 (fr) | Procédé d'authentification, procédé de négociation du type d'authentification, et dispositif de fourniture d'accès au réseau | |
| CN102282800A (zh) | 一种终端认证方法及装置 | |
| WO2009018774A1 (fr) | Procédé, appareil et système de connexion de session dans un système de communication |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| AK | Designated states |
Kind code of ref document: A1 Designated state(s): AE AG AL AM AT AU AZ BA BB BG BR BW BY BZ CA CH CN CO CR CU CZ DE DK DM DZ EC EE EG ES FI GB GD GE GH GM HR HU ID IL IN IS JP KE KG KM KN KP KR KZ LC LK LR LS LT LU LV LY MA MD MG MK MN MW MX MZ NA NG NI NO NZ OM PG PH PL PT RO RU SC SD SE SG SK SL SM SY TJ TM TN TR TT TZ UA UG US UZ VC VN YU ZA ZM ZW |
|
| AL | Designated countries for regional patents |
Kind code of ref document: A1 Designated state(s): BW GH GM KE LS MW MZ NA SD SL SZ TZ UG ZM ZW AM AZ BY KG KZ MD RU TJ TM AT BE BG CH CY CZ DE DK EE ES FI FR GB GR HU IE IS IT LT LU LV MC NL PL PT RO SE SI SK TR BF BJ CF CG CI CM GA GN GQ GW ML MR NE SN TD TG |
|
| 121 | Ep: the epo has been informed by wipo that ep was designated in this application | ||
| WWE | Wipo information: entry into national phase |
Ref document number: 2005818662 Country of ref document: EP |
|
| WWE | Wipo information: entry into national phase |
Ref document number: 2007234038 Country of ref document: US Ref document number: 11631098 Country of ref document: US |
|
| WWP | Wipo information: published in national office |
Ref document number: 2005818662 Country of ref document: EP |
|
| NENP | Non-entry into the national phase |
Ref country code: DE |
|
| WWP | Wipo information: published in national office |
Ref document number: 11631098 Country of ref document: US |
|
| WWG | Wipo information: grant in national office |
Ref document number: 2005818662 Country of ref document: EP |