專利名稱:網(wǎng)絡(luò)認(rèn)證�、授權(quán)和計(jì)帳系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)運(yùn)營(yíng)和管理,尤其是網(wǎng)絡(luò)認(rèn)證��、授權(quán)和計(jì)帳系統(tǒng)及方法���。
背景技術(shù):
自網(wǎng)絡(luò)誕生以來��,認(rèn)證(Authentication)����、授權(quán)(Authorization)以及計(jì)帳(Accounting)體制(AAA)就成為其運(yùn)營(yíng)的基礎(chǔ)����,網(wǎng)絡(luò)中各類資源的使用���,需要由認(rèn)證、授權(quán)和計(jì)帳進(jìn)行管理���。其中認(rèn)證�����,用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時(shí)對(duì)用戶身份的確認(rèn)��。這一過程,通過與用戶的交互獲得身份信息(諸如用戶名—口令組合����、生物特征獲得等),然后提交給認(rèn)證服務(wù)器(AAA服務(wù)器3)����;后者對(duì)身份信息與存儲(chǔ)在數(shù)據(jù)庫(kù)里的用戶信息進(jìn)行核對(duì)處理,然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確�����。例如���,GSM移動(dòng)通信系統(tǒng)能夠識(shí)別其網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)終端設(shè)備的標(biāo)志和用戶標(biāo)志�����。
授權(quán)����,網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的方式使用其資源,這一過程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限��,如授予的IP地址等���。仍以GSM移動(dòng)通信系統(tǒng)為例��,認(rèn)證通過的合法用戶�����,其業(yè)務(wù)權(quán)限(是否開通國(guó)際電話主叫業(yè)務(wù)等)則是用戶和運(yùn)營(yíng)商在事前已經(jīng)協(xié)議確立的�。
計(jì)帳����,網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用�����,以便向用戶收取資源使用費(fèi)用,或者用于審計(jì)等目的���。以互聯(lián)網(wǎng)接入業(yè)務(wù)供應(yīng)商ISP為例��,用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時(shí)間被準(zhǔn)確記錄下來�。
一個(gè)網(wǎng)絡(luò)用戶要能夠正常使用網(wǎng)絡(luò)上提供的業(yè)務(wù)����,需要擁有對(duì)網(wǎng)絡(luò)資源(即網(wǎng)絡(luò)基礎(chǔ)設(shè)施)和網(wǎng)絡(luò)服務(wù)兩類資源的訪問能力。因此��,就存在兩個(gè)層面的AAA問題����,網(wǎng)絡(luò)資源層面由網(wǎng)絡(luò)接入提供商驗(yàn)證用戶��、計(jì)帳和授權(quán)�����,網(wǎng)絡(luò)業(yè)務(wù)層次由業(yè)務(wù)供應(yīng)商提供���。
當(dāng)前的網(wǎng)絡(luò)上存在兩類業(yè)務(wù)�����,第一類是普通數(shù)據(jù)業(yè)務(wù)�����,如Web訪問�����、FTP(文件傳輸協(xié)議)和電子郵件等�����,這類業(yè)務(wù)由業(yè)務(wù)提供商免費(fèi)提供(通過廣告來獲得收益或者是組織內(nèi)使用)�����,相應(yīng)地�,對(duì)于網(wǎng)絡(luò)接入提供者來說,計(jì)帳模式基本上是按照流量����、時(shí)長(zhǎng)或者二者結(jié)合的方式�����,用戶身份驗(yàn)證是在網(wǎng)絡(luò)的邊緣通過網(wǎng)絡(luò)基礎(chǔ)設(shè)施提供者的AAA設(shè)施完成��,同時(shí)不存在針對(duì)業(yè)務(wù)的身份驗(yàn)證�、授權(quán)和計(jì)帳問題���。這類業(yè)務(wù)一般對(duì)網(wǎng)絡(luò)的服務(wù)質(zhì)量(QoS)要求比較低����,網(wǎng)絡(luò)采用盡最大努力傳送的方式轉(zhuǎn)發(fā)數(shù)據(jù)就能夠滿足要求����,業(yè)務(wù)同網(wǎng)絡(luò)的耦合度較低,網(wǎng)絡(luò)基礎(chǔ)設(shè)施供應(yīng)商通過向用戶收取接入費(fèi)即可���。對(duì)于業(yè)務(wù)提供商,可以通過收取廣告費(fèi)用��、在業(yè)務(wù)提供場(chǎng)所驗(yàn)證計(jì)帳或?yàn)楸窘M織提供服務(wù)來補(bǔ)償業(yè)務(wù)提供所需要的成本�。
網(wǎng)絡(luò)上的第二類業(yè)務(wù)是需要服務(wù)質(zhì)量(QoS)保證的業(yè)務(wù),如IPPhone�、NGN(下一代網(wǎng)絡(luò))����、視頻會(huì)議�、網(wǎng)上廣播/電視和VoD(視頻點(diǎn)播)等,這類業(yè)務(wù)要求網(wǎng)絡(luò)提供不同等級(jí)的QoS保護(hù)���,否則業(yè)務(wù)便不能正常開展����。因?yàn)閷?duì)網(wǎng)絡(luò)資源的特殊要求�����,所以開展這類業(yè)務(wù)需要網(wǎng)絡(luò)接入提供商的配合�。目前網(wǎng)絡(luò)上開展這類業(yè)務(wù)的基本模式是,建立一個(gè)獨(dú)立的網(wǎng)絡(luò)���,該網(wǎng)絡(luò)只提供這類業(yè)務(wù)�,并且將業(yè)務(wù)和網(wǎng)絡(luò)的接入放到一起����,如VoIP(IP承載語音)。
目前網(wǎng)絡(luò)上的AAA技術(shù)基本上采用RADIUS協(xié)議(遠(yuǎn)程撥號(hào)用戶接入?yún)f(xié)議)作為后端協(xié)議(網(wǎng)絡(luò)接入服務(wù)器(NAS)2和AAA服務(wù)器3之間的協(xié)議)���,而前端協(xié)議(用戶設(shè)備和NAS間的協(xié)議)根據(jù)接入技術(shù)采用相應(yīng)的技術(shù)�,如在以太網(wǎng)和WLAN(無線局域網(wǎng))中使用802.1x。其中�,目前的AAA框架結(jié)構(gòu)如圖1所示接入服務(wù)器2(即NAS)收到來自用戶設(shè)備1的連接請(qǐng)求時(shí),會(huì)將請(qǐng)求信息封裝成AAA服務(wù)器3支持的協(xié)議消息�����,發(fā)送給AAA服務(wù)器3�����。再經(jīng)過多次用戶設(shè)備1到AAA服務(wù)器3之間的交互�����,AAA服務(wù)器3將允許合法用戶接入的指示發(fā)送給接入服務(wù)器2�。這樣,被授權(quán)的用戶設(shè)備1就可以訪問網(wǎng)絡(luò)4了����。
上面的方案中,對(duì)于第一類業(yè)務(wù)����,網(wǎng)絡(luò)本身不能對(duì)業(yè)務(wù)本身進(jìn)行控制,只能控制接入�����。對(duì)于第二類業(yè)務(wù)的業(yè)務(wù)訪問控制同接入控制是合一的��,接入服務(wù)器2既是網(wǎng)絡(luò)接入的EP(增強(qiáng)點(diǎn)��,執(zhí)行接入控制的設(shè)備)�����,也是業(yè)務(wù)接入的EP��,因此網(wǎng)絡(luò)上能夠開展的業(yè)務(wù)種類有限���,并且如果需要在網(wǎng)絡(luò)上開展新的第二類業(yè)務(wù)���,就必須升級(jí)接入服務(wù)器2和AAA服務(wù)器3,如VoIP的情況����。
另外一種可能的方案是業(yè)務(wù)和網(wǎng)絡(luò)的接入完全分開,業(yè)務(wù)提供商和網(wǎng)絡(luò)接入提供商分別有自己的AAA服務(wù)器3和設(shè)施,用戶身份驗(yàn)證����、授權(quán)和計(jì)帳是分開的。
因?yàn)榫W(wǎng)絡(luò)和業(yè)務(wù)完全分離��,QoS的保證存在一定的困難��。另外用戶需要維護(hù)多套身份信息���,網(wǎng)絡(luò)上也存在多個(gè)AAA設(shè)施���,使用的方便性受到損害。尤其是網(wǎng)絡(luò)接入提供商和業(yè)務(wù)提供商不是一個(gè)單位�����,結(jié)算就更不方便了����。
發(fā)明內(nèi)容
本發(fā)明解決的問題是提供一種網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳系統(tǒng)及方法���,避免已有網(wǎng)絡(luò)設(shè)備的限制��,同時(shí)保證服務(wù)質(zhì)量�����、方便計(jì)帳�����。
為解決上述問題���,本發(fā)明網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳系統(tǒng)��,包括用戶設(shè)備����,用戶通過用戶設(shè)備與網(wǎng)絡(luò)建立連接;接入服務(wù)器�,與用戶設(shè)備相連接,并將用戶設(shè)備接入網(wǎng)絡(luò)��;AAA服務(wù)器�,與接入服務(wù)器連接,同接入服務(wù)器一起完成訪問網(wǎng)絡(luò)的用戶驗(yàn)證��、授權(quán)和計(jì)帳;業(yè)務(wù)服務(wù)器��,與接入服務(wù)器連接����,提供具體業(yè)務(wù),并與AAA服務(wù)器交互驗(yàn)證和授權(quán)信息��,與用戶設(shè)備交互業(yè)務(wù)服務(wù)��;業(yè)務(wù)計(jì)帳服務(wù)器�����,與業(yè)務(wù)服務(wù)器連接�����,同業(yè)務(wù)服務(wù)器一起完成用戶業(yè)務(wù)資源使用的計(jì)帳����,同時(shí)將計(jì)帳數(shù)據(jù)發(fā)送給AAA服務(wù)器。
其中��,接入服務(wù)器能感知服務(wù)質(zhì)量����,而AAA服務(wù)器綜合接入計(jì)帳數(shù)據(jù)和業(yè)務(wù)計(jì)帳數(shù)據(jù)���。
此外,業(yè)務(wù)計(jì)帳服務(wù)器和AAA服務(wù)器是一個(gè)設(shè)備�����;業(yè)務(wù)服務(wù)器是完成一種業(yè)務(wù)的一系列設(shè)備并存儲(chǔ)業(yè)務(wù)服務(wù)器存儲(chǔ)業(yè)務(wù)資源使用狀況記錄���;用戶設(shè)備可以是計(jì)算機(jī)、手機(jī)���、電話����、個(gè)人數(shù)字助理���。
相應(yīng)地�,本發(fā)明網(wǎng)絡(luò)認(rèn)證����、授權(quán)和計(jì)帳方法包括以下步驟a 網(wǎng)絡(luò)接入請(qǐng)求步驟�,用戶登錄用戶設(shè)備�����,發(fā)送網(wǎng)絡(luò)接入請(qǐng)求���;
b 驗(yàn)證�、授權(quán)步驟�����,AAA服務(wù)器同接入服務(wù)器根據(jù)用戶身份信息完成用戶身份驗(yàn)證���,相應(yīng)用戶設(shè)備被授權(quán)或被拒絕接入網(wǎng)絡(luò)c 業(yè)務(wù)接入請(qǐng)求步驟�����,被授權(quán)接入網(wǎng)絡(luò)的用戶設(shè)備向業(yè)務(wù)服務(wù)器發(fā)出業(yè)務(wù)接入請(qǐng)求����,該業(yè)務(wù)接入請(qǐng)求包含有用戶身份信息�;d 業(yè)務(wù)確認(rèn)、授權(quán)步驟����,業(yè)務(wù)服務(wù)器通過業(yè)務(wù)計(jì)帳服務(wù)器查詢AAA服務(wù)器所存儲(chǔ)的識(shí)別信息���,確認(rèn)用戶身份和相應(yīng)的業(yè)務(wù)使用權(quán)限,如果識(shí)別信息與用戶身份信息及相應(yīng)的業(yè)務(wù)使用權(quán)限相匹配�����,則業(yè)務(wù)服務(wù)器接受接入請(qǐng)求并授權(quán)開始業(yè)務(wù)交互��,否則則拒絕該項(xiàng)業(yè)務(wù)服務(wù)����;e 業(yè)務(wù)計(jì)帳步驟�,業(yè)務(wù)服務(wù)器將該用戶的業(yè)務(wù)資源使用狀況記錄送給業(yè)務(wù)計(jì)帳服務(wù)器,該業(yè)務(wù)計(jì)帳服務(wù)器根據(jù)業(yè)務(wù)資源使用狀況記錄得出計(jì)帳數(shù)據(jù)�;f AAA服務(wù)器獲得業(yè)務(wù)計(jì)帳數(shù)據(jù),并與接入計(jì)帳數(shù)據(jù)綜合�����。
與現(xiàn)有技術(shù)相比�����,本發(fā)明具有以下優(yōu)點(diǎn)1.本發(fā)明將業(yè)務(wù)服務(wù)器和接入服務(wù)器分離,能夠讓網(wǎng)絡(luò)上根據(jù)需要增加各種業(yè)務(wù)類別�����,但是不需要對(duì)網(wǎng)絡(luò)上已經(jīng)存在的設(shè)備進(jìn)行升級(jí)���,方便了網(wǎng)絡(luò)上業(yè)務(wù)的開發(fā)和部署����;2.增加業(yè)務(wù)計(jì)帳服務(wù)器����,對(duì)網(wǎng)絡(luò)資源的使用和業(yè)務(wù)資源的使用在計(jì)帳上區(qū)分開對(duì)待,并且通過在AAA服務(wù)器和業(yè)務(wù)計(jì)帳服務(wù)器之間提供數(shù)據(jù)通道�,將計(jì)帳結(jié)果數(shù)據(jù)綜合起來考慮;3.只使用一個(gè)用戶登陸信息(帳號(hào)/密碼)�,一次身份驗(yàn)證就可以訪問網(wǎng)絡(luò)上的各種業(yè)務(wù),并且能夠統(tǒng)一計(jì)帳�����,方便了用戶使用網(wǎng)絡(luò)和業(yè)務(wù)�;4.方便了網(wǎng)絡(luò)接入提供者對(duì)網(wǎng)絡(luò)業(yè)務(wù)的控制能力,提供了針對(duì)QoS的計(jì)帳渠道。
圖1現(xiàn)有網(wǎng)絡(luò)認(rèn)證�����、授權(quán)和計(jì)帳系統(tǒng)示意圖����。
圖2本發(fā)明網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳系統(tǒng)示意圖�����。
圖3本發(fā)明網(wǎng)絡(luò)認(rèn)證�����、授權(quán)和計(jì)帳方法流程圖����。
圖4是圖3的具體流程圖��。
圖5本發(fā)明網(wǎng)絡(luò)認(rèn)證�����、授權(quán)和計(jì)帳方法中增加業(yè)務(wù)流程圖�。
具體實(shí)施例方式
請(qǐng)參照?qǐng)D2所示���,本網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳系統(tǒng)包括用戶設(shè)備1��,用戶通過用戶設(shè)備與網(wǎng)絡(luò)建立連接���,該用戶設(shè)備1可以是計(jì)算機(jī)���、手機(jī)、電話��、PDA(個(gè)人數(shù)字助理)等設(shè)備���,該用戶設(shè)備1可以通過無線����、有線的方式/技術(shù)連接到網(wǎng)絡(luò)4中來����,如GPRS(通用報(bào)文無線系統(tǒng))、ADSL(非對(duì)稱數(shù)據(jù)用戶線)����、撥號(hào)上網(wǎng)�����、WLAN等��;接入服務(wù)器2��,與用戶設(shè)備1相連接��,能夠通過無線����、有線的方式/技術(shù)為用戶設(shè)備1提供網(wǎng)絡(luò)接入服務(wù)的網(wǎng)關(guān)��,如GPRS�����、ADSL�����、撥號(hào)上網(wǎng)�、WLAN等,該接入服務(wù)器2不需要感知業(yè)務(wù)�����,但是要能夠感知QoS(服務(wù)質(zhì)量)����。接入服務(wù)器是否能夠感知服務(wù)質(zhì)量為網(wǎng)絡(luò)特性,現(xiàn)有技術(shù)可以通過各種方式提供����,不再贅述;AAA服務(wù)器3��,與接入服務(wù)器2連接��,同接入服務(wù)器2一起完成訪問網(wǎng)絡(luò)4的用戶驗(yàn)證���、授權(quán)和計(jì)帳��,及網(wǎng)絡(luò)4的接入�����;
業(yè)務(wù)服務(wù)器5����,具體提供業(yè)務(wù)的服務(wù)器,也可能是共同完成一種業(yè)務(wù)的一系列設(shè)備���,與接入服務(wù)器2連接��,并可以與AAA服務(wù)器3交互驗(yàn)證和授權(quán)信息��,與用戶設(shè)備1交互業(yè)務(wù)服務(wù)���,此外,業(yè)務(wù)服務(wù)器5存儲(chǔ)業(yè)務(wù)資源使用狀況記錄�;業(yè)務(wù)計(jì)帳服務(wù)器6,與業(yè)務(wù)服務(wù)器5連接���,且同業(yè)務(wù)服務(wù)器5一起完成用戶業(yè)務(wù)資源使用的計(jì)帳�����,同時(shí)采用定期/實(shí)時(shí)等方式將計(jì)帳數(shù)據(jù)發(fā)送給AAA服務(wù)器3��,且AAA服務(wù)器3綜合接入計(jì)帳數(shù)據(jù)和業(yè)務(wù)計(jì)帳數(shù)據(jù)�,此外���,業(yè)務(wù)計(jì)帳服務(wù)器6和AAA服務(wù)器3可以是一個(gè)設(shè)備�。
在上面的系統(tǒng)中����,用戶申請(qǐng)網(wǎng)絡(luò)接入及相關(guān)業(yè)務(wù)服務(wù)時(shí),需要先登記注冊(cè)���,用戶從用戶設(shè)備1界面輸入為登錄信息(如名稱���、帳號(hào)、密碼等)���,而網(wǎng)絡(luò)4根據(jù)用戶登記注冊(cè)給予用戶一個(gè)合法訪問的身份����。網(wǎng)絡(luò)4對(duì)用戶身份的驗(yàn)證�����,基于用戶的身份信息與網(wǎng)絡(luò)存儲(chǔ)的識(shí)別信息相比較是否匹配來驗(yàn)證���,其中用戶身份信息包括登錄信息及其屬性附加信息(如身份ID����、計(jì)算機(jī)、位置���、訪問權(quán)限等)����。在本系統(tǒng)中�����,網(wǎng)絡(luò)接入的驗(yàn)證和計(jì)帳同現(xiàn)有的AAA機(jī)制和過程相同���。
在業(yè)務(wù)接入控制中��,用戶首先要出示身份信息����,該身份信息可能是以PKC/AC(公開密鑰證書/屬性證書)�����、令牌����、委任狀(Credential)等形式����,并且在網(wǎng)絡(luò)接入時(shí)已經(jīng)得到AAA服務(wù)器3的確認(rèn)/驗(yàn)證�����,業(yè)務(wù)服務(wù)器5通過業(yè)務(wù)計(jì)帳服務(wù)器6查詢AAA服務(wù)器3來確認(rèn)用戶身份和授權(quán)信息�����,并接入和授權(quán)給用戶業(yè)務(wù)的使用����。
請(qǐng)結(jié)合參照?qǐng)D3�、4所示,本發(fā)明網(wǎng)絡(luò)認(rèn)證��、授權(quán)和計(jì)帳方法包括以下步驟
a 網(wǎng)絡(luò)接入請(qǐng)求步驟30�,用戶登錄用戶設(shè)備1,發(fā)送網(wǎng)絡(luò)接入請(qǐng)求�����;b 驗(yàn)證、授權(quán)步驟31�����,AAA服務(wù)器3同接入服務(wù)器2根據(jù)用戶身份信息一起完成用戶身份驗(yàn)證�,相應(yīng)用戶設(shè)備1被授權(quán)或被拒絕接入網(wǎng)絡(luò)4接入服務(wù)器2收到接入請(qǐng)求,向AAA服務(wù)器3發(fā)送驗(yàn)證請(qǐng)求��;AAA服務(wù)器3驗(yàn)證用戶身份后��,向接入服務(wù)器2發(fā)送驗(yàn)證反應(yīng)���;接入服務(wù)器2收到驗(yàn)證反應(yīng)后向用戶設(shè)備1發(fā)送接入反應(yīng)�����,用戶設(shè)備1被授權(quán)或被拒絕接入網(wǎng)絡(luò)����。
c 業(yè)務(wù)接入請(qǐng)求步驟32�,用戶使用網(wǎng)上的某項(xiàng)業(yè)務(wù)時(shí),被授權(quán)接入網(wǎng)絡(luò)的用戶設(shè)備1向該項(xiàng)業(yè)務(wù)的業(yè)務(wù)服務(wù)器5發(fā)出業(yè)務(wù)接入請(qǐng)求�����,該業(yè)務(wù)接入請(qǐng)求包含有用戶身份信息;d 業(yè)務(wù)確認(rèn)��、授權(quán)步驟33����,業(yè)務(wù)服務(wù)器5通過業(yè)務(wù)計(jì)帳服務(wù)器6查詢AAA服務(wù)器3所存儲(chǔ)的識(shí)別信息,確認(rèn)用戶身份和相應(yīng)的業(yè)務(wù)使用權(quán)限�����,如果識(shí)別信息與用戶身份信息及相應(yīng)的業(yè)務(wù)使用權(quán)限相匹配����,則業(yè)務(wù)服務(wù)器5接受接入請(qǐng)求并授權(quán)開始業(yè)務(wù)交互���,否則則拒絕該項(xiàng)業(yè)務(wù)服務(wù)��。
其中�,業(yè)務(wù)計(jì)帳服務(wù)器6可以獨(dú)立確定業(yè)務(wù)使用權(quán)限����,但是用戶身份驗(yàn)證仍舊由AAA服務(wù)器3最終完成。
業(yè)務(wù)確認(rèn)、授權(quán)步驟中除了業(yè)務(wù)接入請(qǐng)求/驗(yàn)證外���,還可以包括業(yè)務(wù)使用請(qǐng)求/驗(yàn)證���,即根據(jù)業(yè)務(wù)資源狀況和該用戶的身份,確定該用戶使用該業(yè)務(wù)的具體權(quán)限�����。
e 業(yè)務(wù)計(jì)帳步驟34���,在業(yè)務(wù)交互過程中或業(yè)務(wù)交互完成業(yè)務(wù)服務(wù)器5將該用戶的業(yè)務(wù)資源使用狀況記錄送給業(yè)務(wù)計(jì)帳服務(wù)器6���,該業(yè)務(wù)計(jì)帳服務(wù)器6(具有常用的計(jì)帳軟件即可)根據(jù)業(yè)務(wù)資源使用狀況記錄計(jì)算業(yè)務(wù)費(fèi)用,得出計(jì)帳數(shù)據(jù)��;f AAA服務(wù)器獲得業(yè)務(wù)計(jì)帳數(shù)據(jù)35����,并綜合接入和業(yè)務(wù)計(jì)帳數(shù)據(jù)。業(yè)務(wù)計(jì)帳服務(wù)器6定期或事件驅(qū)動(dòng)地將計(jì)帳數(shù)據(jù)發(fā)給AAA服務(wù)器3�,或者AAA服務(wù)器3定期或事件驅(qū)動(dòng)地查詢業(yè)務(wù)計(jì)帳服務(wù)器6來獲得計(jì)帳數(shù)據(jù)。
網(wǎng)絡(luò)接入提供商作為對(duì)用戶的唯一接口同用戶協(xié)商業(yè)務(wù)/網(wǎng)絡(luò)使用和收費(fèi)事宜���,并和業(yè)務(wù)提供商可以協(xié)商計(jì)帳數(shù)據(jù)的使用以及費(fèi)用分配方式��。當(dāng)業(yè)務(wù)提供商不同時(shí)��,由AAA服務(wù)器3和業(yè)務(wù)計(jì)帳服務(wù)器之間的協(xié)議來確定����,業(yè)務(wù)計(jì)帳服務(wù)器6傳遞給AAA服務(wù)器3的計(jì)帳數(shù)據(jù)有業(yè)務(wù)類型編碼,這個(gè)計(jì)帳數(shù)據(jù)中也應(yīng)該包括業(yè)務(wù)提供商名稱/編號(hào)����、業(yè)務(wù)資源使用狀況等。
請(qǐng)參照?qǐng)D5所示����,業(yè)務(wù)提供商要增加新業(yè)務(wù)時(shí)增加業(yè)務(wù)的流程a 步驟50���,業(yè)務(wù)提供商根據(jù)新業(yè)務(wù)��,建設(shè)業(yè)務(wù)服務(wù)器5和業(yè)務(wù)計(jì)帳服務(wù)器6�����,提供業(yè)務(wù)服務(wù)�,其中關(guān)于計(jì)帳,業(yè)務(wù)提供商同網(wǎng)絡(luò)接入提供商談判確定計(jì)帳數(shù)據(jù)的收集方式和業(yè)務(wù)收益的分割方式�����;b 步驟51�����,判斷該業(yè)務(wù)是否為缺省業(yè)務(wù)��,若不是缺省業(yè)務(wù)���,則用戶向業(yè)務(wù)提供商申請(qǐng)業(yè)務(wù)使用���,并將數(shù)據(jù)(包括用戶身份識(shí)別信息和使用權(quán)限,用戶身份就是網(wǎng)絡(luò)接入提供商分配給用戶的帳號(hào))存儲(chǔ)在業(yè)務(wù)計(jì)帳服務(wù)器6�,若是缺省業(yè)務(wù),對(duì)于對(duì)所有用戶都提供該業(yè)務(wù)�����;
c 步驟52���,執(zhí)行步驟30-35��,用戶使用用于網(wǎng)絡(luò)接入的身份信息(如帳號(hào)�、密碼等)接入網(wǎng)絡(luò),并使用該業(yè)務(wù)(也就是接入和業(yè)務(wù)訪問使用同一個(gè)ID)如果再增加其他業(yè)務(wù)����,也使用同樣的過程(a-c),并且也使用用于接入的身份信息(如帳號(hào)�、密碼等)來使用業(yè)務(wù)(也就是多種業(yè)務(wù)使用同一個(gè)ID)。這樣����,只使用一個(gè)用戶登陸信息(帳號(hào)/密碼),一次身份驗(yàn)證就可以訪問網(wǎng)絡(luò)上的各種業(yè)務(wù)��,并且能夠統(tǒng)一計(jì)帳��,方便了用戶使用網(wǎng)絡(luò)和業(yè)務(wù)���。
權(quán)利要求
1.一種網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳系統(tǒng)�,包括用戶設(shè)備,用戶通過用戶設(shè)備與網(wǎng)絡(luò)建立連接��;接入服務(wù)器����,與用戶設(shè)備相連接����,并將用戶設(shè)備接入網(wǎng)絡(luò)���;AAA服務(wù)器���,與接入服務(wù)器連接,同接入服務(wù)器一起完成訪問網(wǎng)絡(luò)的用戶驗(yàn)證�、授權(quán)和計(jì)帳;其特征在于�,該系統(tǒng)還包括業(yè)務(wù)服務(wù)器,與接入服務(wù)器連接���,提供具體業(yè)務(wù)����,并與AAA服務(wù)器交互驗(yàn)證和授權(quán)信息��,與用戶設(shè)備交互業(yè)務(wù)服務(wù)�����;業(yè)務(wù)計(jì)帳服務(wù)器,與業(yè)務(wù)服務(wù)器連接�,同業(yè)務(wù)服務(wù)器一起完成用戶業(yè)務(wù)資源使用的計(jì)帳,同時(shí)將計(jì)帳數(shù)據(jù)發(fā)送給AAA服務(wù)器����;其中,接入服務(wù)器能感知服務(wù)質(zhì)量�����,而AAA服務(wù)器綜合接入計(jì)帳數(shù)據(jù)和業(yè)務(wù)計(jì)帳數(shù)據(jù)��。
2.如權(quán)利要求1所述的網(wǎng)絡(luò)認(rèn)證�、授權(quán)和計(jì)帳系統(tǒng),其特征在于�����,業(yè)務(wù)服務(wù)器存儲(chǔ)業(yè)務(wù)資源使用狀況記錄�。
3.如權(quán)利要求1所述的網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳系統(tǒng)�,其特征在于,業(yè)務(wù)計(jì)帳服務(wù)器和AAA服務(wù)器是一個(gè)設(shè)備�����。
4.如權(quán)利要求1所述的網(wǎng)絡(luò)認(rèn)證��、授權(quán)和計(jì)帳系統(tǒng)���,其特征在于����,業(yè)務(wù)服務(wù)器是完成一種業(yè)務(wù)的一系列設(shè)備���。
5.一種基于權(quán)利要求1所述系統(tǒng)的網(wǎng)絡(luò)認(rèn)證���、授權(quán)和計(jì)帳方法,其特征在于�����,該方法包括以下步驟a 網(wǎng)絡(luò)接入請(qǐng)求步驟�����,用戶登錄用戶設(shè)備��,發(fā)送網(wǎng)絡(luò)接入請(qǐng)求�����;b 驗(yàn)證、授權(quán)步驟����,AAA服務(wù)器同接入服務(wù)器根據(jù)用戶身份信息完成用戶身份驗(yàn)證,相應(yīng)用戶設(shè)備被授權(quán)或被拒絕接入網(wǎng)絡(luò)c 業(yè)務(wù)接入請(qǐng)求步驟���,被授權(quán)接入網(wǎng)絡(luò)的用戶設(shè)備向業(yè)務(wù)服務(wù)器發(fā)出業(yè)務(wù)接入請(qǐng)求�,該業(yè)務(wù)接入請(qǐng)求包含有用戶身份信息�����;d 業(yè)務(wù)確認(rèn)���、授權(quán)步驟���,業(yè)務(wù)服務(wù)器通過業(yè)務(wù)計(jì)帳服務(wù)器查詢AAA服務(wù)器所存儲(chǔ)的識(shí)別信息,確認(rèn)用戶身份和相應(yīng)的業(yè)務(wù)使用權(quán)限�����,如果識(shí)別信息與用戶身份信息及相應(yīng)的業(yè)務(wù)使用權(quán)限相匹配,則業(yè)務(wù)服務(wù)器接受接入請(qǐng)求并授權(quán)開始業(yè)務(wù)交互����,否則則拒絕該項(xiàng)業(yè)務(wù)服務(wù)�����;e 業(yè)務(wù)計(jì)帳步驟����,業(yè)務(wù)服務(wù)器將該用戶的業(yè)務(wù)資源使用狀況記錄送給業(yè)務(wù)計(jì)帳服務(wù)器,該業(yè)務(wù)計(jì)帳服務(wù)器根據(jù)業(yè)務(wù)資源使用狀況記錄得出計(jì)帳數(shù)據(jù)�;f AAA服務(wù)器獲得業(yè)務(wù)計(jì)帳數(shù)據(jù),并與接入計(jì)帳數(shù)據(jù)綜合����。
6.如權(quán)利要求5所述的網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳方法�,其特征在于,步驟b進(jìn)一步包括如下步驟接入服務(wù)器收到接入請(qǐng)求����,向AAA服務(wù)器發(fā)送驗(yàn)證請(qǐng)求;AAA服務(wù)器驗(yàn)證用戶身份后���,向接入服務(wù)器發(fā)送驗(yàn)證反應(yīng)�����;接入服務(wù)器收到驗(yàn)證反應(yīng)后向用戶設(shè)備發(fā)送接入反應(yīng)����,用戶設(shè)備被授權(quán)或被拒絕接入網(wǎng)絡(luò)。
7.如權(quán)利要求5所述的網(wǎng)絡(luò)認(rèn)證�����、授權(quán)和計(jì)帳方法�����,其特征在于��,步驟d中還包括業(yè)務(wù)使用請(qǐng)求/驗(yàn)證�,根據(jù)業(yè)務(wù)資源狀況和該用戶的身份,確定該用戶使用該業(yè)務(wù)的具體權(quán)限�����。
8.如權(quán)利要求5所述的網(wǎng)絡(luò)認(rèn)證��、授權(quán)和計(jì)帳方法,其特征在于����,步驟f中業(yè)務(wù)計(jì)帳服務(wù)器定期或事件驅(qū)動(dòng)地將業(yè)務(wù)計(jì)帳數(shù)據(jù)發(fā)給AAA服務(wù)器。
9.如權(quán)利要求5所述的網(wǎng)絡(luò)認(rèn)證��、授權(quán)和計(jì)帳方法�,其特征在于���,步驟f中����,AAA服務(wù)器定期或事件驅(qū)動(dòng)地查詢業(yè)務(wù)計(jì)帳服務(wù)器來獲得業(yè)務(wù)計(jì)帳數(shù)據(jù)����。
10.如權(quán)利要求5所述的網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳方法��,其特征在于��,該方法增加新業(yè)務(wù)時(shí)包括如下步驟業(yè)務(wù)提供商根據(jù)新業(yè)務(wù)建設(shè)業(yè)務(wù)服務(wù)器和業(yè)務(wù)計(jì)帳服務(wù)器����,提供業(yè)務(wù)服務(wù)�;判斷該業(yè)務(wù)是否為缺省業(yè)務(wù)����,若是缺省業(yè)務(wù),則對(duì)所有用戶都提供該業(yè)務(wù)����,若不是缺省業(yè)務(wù),則用戶向業(yè)務(wù)提供商申請(qǐng)業(yè)務(wù)使用��,并將用戶身份識(shí)別信息和使用權(quán)限存儲(chǔ)在業(yè)務(wù)計(jì)帳服務(wù)器���;執(zhí)行步驟a-f��,用戶使用用于網(wǎng)絡(luò)接入的身份信息接入網(wǎng)絡(luò)���,并使用該業(yè)務(wù)接入網(wǎng)絡(luò),并使用該業(yè)務(wù)����。
11.如權(quán)利要求5-10任一項(xiàng)所述的網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳方法����,其特征在于���,用戶的身份信息包括登錄信息和屬性附加信息,且身份信息是以公開密鑰證書/屬性證書��、令牌�����、委任狀形式出示��。
全文摘要
一種網(wǎng)絡(luò)認(rèn)證�����、授權(quán)和計(jì)帳系統(tǒng)及方法��,其中該系統(tǒng)包括����,用戶設(shè)備�����,用戶通過用戶設(shè)備與網(wǎng)絡(luò)建立連接�;接入服務(wù)器����,與用戶設(shè)備相連接���,并將用戶設(shè)備接入網(wǎng)絡(luò)����;AAA服務(wù)器與接入服務(wù)器連接����,同接入服務(wù)器一起完成訪問網(wǎng)絡(luò)的用戶驗(yàn)證、授權(quán)和計(jì)帳����;業(yè)務(wù)服務(wù)器與接入服務(wù)器連接,提供具體業(yè)務(wù)�,并與AAA服務(wù)器交互驗(yàn)證和授權(quán)信息與用戶設(shè)備交互業(yè)務(wù)服務(wù);業(yè)務(wù)計(jì)帳服務(wù)器與業(yè)務(wù)服務(wù)器連接����,同業(yè)務(wù)服務(wù)器一起完成用戶業(yè)務(wù)資源使用的計(jì)帳,同時(shí)將計(jì)帳數(shù)據(jù)發(fā)送給AAA服務(wù)器�����。相應(yīng)地本發(fā)明還公開了網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)帳方法��。本發(fā)明只使用一個(gè)用戶登陸信息(帳號(hào)/密碼)�,一次身份驗(yàn)證就可以訪問網(wǎng)絡(luò)上的各種業(yè)務(wù),并且能夠統(tǒng)一計(jì)帳����。
文檔編號(hào)G06F17/00GK1553368SQ0313726
公開日2004年12月8日 申請(qǐng)日期2003年6月2日 優(yōu)先權(quán)日2003年6月2日
發(fā)明者苗福友 申請(qǐng)人:華為技術(shù)有限公司