專(zhuān)利名稱(chēng):用于在通信系統(tǒng)中針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證用戶(hù)的設(shè)備和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及給一種通信系統(tǒng)以及,更具體地���,涉及一種用于在通信系統(tǒng)中針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證用戶(hù)的設(shè)備和方法���。
背景技術(shù):
隨著使用通信系統(tǒng)的網(wǎng)絡(luò)服務(wù)多樣化�����,經(jīng)常根據(jù)網(wǎng)絡(luò)服務(wù)類(lèi)型向用戶(hù)提供有限的服務(wù)�����。
在有限服務(wù)中��,使用通信系統(tǒng)的網(wǎng)絡(luò)服務(wù)提供商執(zhí)行認(rèn)證過(guò)程���,其中,在服務(wù)開(kāi)始之前確認(rèn)希望使用網(wǎng)絡(luò)服務(wù)的用戶(hù)或設(shè)備是否被授權(quán)使用該服務(wù)�。例如,如果未針對(duì)特定網(wǎng)絡(luò)授權(quán)的設(shè)備或用戶(hù)試圖訪問(wèn)局域網(wǎng)(LAN)以要求特定網(wǎng)絡(luò)服務(wù)����,服務(wù)提供商通過(guò)認(rèn)證過(guò)程來(lái)阻擋該未授權(quán)的設(shè)備或用戶(hù),以防止其使用特定網(wǎng)絡(luò)服務(wù)���。
為了執(zhí)行這種認(rèn)證服務(wù)�����,IEEE標(biāo)準(zhǔn)組定義了支持基于端口的網(wǎng)絡(luò)訪問(wèn)的IEEE 802.1X作為L(zhǎng)AN和城域網(wǎng)(MAN)的標(biāo)準(zhǔn)�。IEEE 802.1X提供在與IEEE 802LAN相連的設(shè)備之間兼容的認(rèn)證/授權(quán)方案,以便控制基于端口的網(wǎng)絡(luò)訪問(wèn)����。在IEEE 802.1X中提供了用于實(shí)現(xiàn)這種認(rèn)證方案的設(shè)備。
這種認(rèn)證設(shè)備包括安裝在訂戶(hù)終端用于請(qǐng)求認(rèn)證的認(rèn)證請(qǐng)求者(supplicant)以及用于存儲(chǔ)認(rèn)證相關(guān)信息的認(rèn)證數(shù)據(jù)庫(kù)(DB)���。用戶(hù)認(rèn)證設(shè)備還包括用于執(zhí)行認(rèn)證以便響應(yīng)來(lái)自認(rèn)證請(qǐng)求者的請(qǐng)求來(lái)提供網(wǎng)絡(luò)服務(wù)的認(rèn)證服務(wù)器�����;以及通常位于網(wǎng)絡(luò)交換機(jī)中,用于在認(rèn)證請(qǐng)求者和認(rèn)證服務(wù)器之間提供協(xié)議互通的協(xié)議認(rèn)證者�����。訂戶(hù)終端和網(wǎng)絡(luò)交換機(jī)經(jīng)由LAN互連�����。
當(dāng)訂戶(hù)終端發(fā)送報(bào)告認(rèn)證過(guò)程開(kāi)始的消息(EAPoL StartExtensible Authentication Protocol(EAP) over LAN Start)到網(wǎng)絡(luò)交換機(jī)并且因此發(fā)送到所提供的協(xié)議認(rèn)證者(protoco1anthenticator)時(shí)�����,網(wǎng)絡(luò)交換機(jī)發(fā)送消息(EAP Request)到訂戶(hù)終端,請(qǐng)求識(shí)別認(rèn)證請(qǐng)求的訂戶(hù)或設(shè)備所需要的標(biāo)識(shí)信息��。在此����,如果由網(wǎng)絡(luò)交換機(jī)而不是訂戶(hù)終端來(lái)確定用戶(hù)認(rèn)證過(guò)程的,該過(guò)程可以省略����。
同時(shí),如果訂戶(hù)終端響應(yīng)請(qǐng)求消息(EAP Request)�����,將包括其本身標(biāo)識(shí)(ID)的響應(yīng)消息(EAP Response)發(fā)送到網(wǎng)絡(luò)交換機(jī)�����,則網(wǎng)絡(luò)交換機(jī)發(fā)送訪問(wèn)請(qǐng)求消息(Access Request)到認(rèn)證服務(wù)器����,以便執(zhí)行訂戶(hù)終端的認(rèn)證。在此,網(wǎng)絡(luò)交換器在訪問(wèn)請(qǐng)求消息(AccessRequest)中加入訂戶(hù)終端的標(biāo)識(shí)(ID)�����,以便將其發(fā)送�。
響應(yīng)請(qǐng)求,認(rèn)證服務(wù)器發(fā)送消息(Access Challenge)到網(wǎng)絡(luò)交換機(jī)�,以便請(qǐng)求訪問(wèn)口令。然后���,網(wǎng)絡(luò)交換機(jī)以EAP格式�����,將通過(guò)從消息(Access Challenge)中只提取對(duì)應(yīng)于EAP的部分而產(chǎn)生的消息(EAPRequest)發(fā)送到訂戶(hù)終端�。除了上述消息���,認(rèn)證服務(wù)器發(fā)送加密方案信息以便加密訪問(wèn)口令����。
同時(shí)�,接收訪問(wèn)口令請(qǐng)求以及針對(duì)訪問(wèn)口令的加密方案信息的訂戶(hù)終端使用加密方案���,對(duì)預(yù)存的或用戶(hù)輸入的訪問(wèn)口令進(jìn)行加密���,并且將加密訪問(wèn)口令加入到要發(fā)送到網(wǎng)絡(luò)交換機(jī)的響應(yīng)消息(EAPResponse)中���。
網(wǎng)絡(luò)交換機(jī)在要發(fā)送到認(rèn)證服務(wù)器的訪問(wèn)請(qǐng)求消息(AccessRequest)中加入加密訪問(wèn)口令。認(rèn)證服務(wù)器根據(jù)接收到的訪問(wèn)口令來(lái)執(zhí)行訂戶(hù)終端的網(wǎng)絡(luò)訪問(wèn)認(rèn)證���。作為認(rèn)證結(jié)果�,當(dāng)希望針對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證訂戶(hù)終端時(shí)�,認(rèn)證服務(wù)器將報(bào)告訪問(wèn)認(rèn)證的消息(Access Accept)發(fā)送到網(wǎng)絡(luò)交換機(jī)。網(wǎng)絡(luò)交換機(jī)將消息(Access Accept)轉(zhuǎn)化為EAP格式的消息(EAP Request)�,然后將EAP格式的消息(EAP Success)發(fā)送到訂戶(hù)終端。
在后一個(gè)系統(tǒng)中�,驅(qū)動(dòng)位于訂戶(hù)終端的認(rèn)證請(qǐng)求者(例如IEEE802.1X請(qǐng)求者程序)和位于網(wǎng)絡(luò)交換機(jī)的協(xié)議認(rèn)證者(例如IEEE802.1X認(rèn)證者程序),以便針對(duì)網(wǎng)絡(luò)訪問(wèn)通過(guò)中心認(rèn)證服務(wù)器來(lái)認(rèn)證訂戶(hù)��。因此�����,這種系統(tǒng)適用于在其中訂戶(hù)終端請(qǐng)求認(rèn)證是有限的閉合網(wǎng)絡(luò)����。換句話(huà)說(shuō)��,為了提供安全的網(wǎng)絡(luò)服務(wù)����,在所有希望使用這種網(wǎng)絡(luò)服務(wù)的訂戶(hù)終端安裝特定軟件(例如請(qǐng)求者程序)是必要的�。
這給希望提供安全而不在訂戶(hù)終端上設(shè)置特定請(qǐng)求或限制的網(wǎng)絡(luò)服務(wù)提供商(ISP)增加了負(fù)擔(dān)。即�,因?yàn)镮SP必須在所有訂戶(hù)終端中安裝特定軟件(例如請(qǐng)求者程序)以便提供安全的網(wǎng)絡(luò)服務(wù),這就需要在提供相關(guān)網(wǎng)絡(luò)服務(wù)中針對(duì)訂戶(hù)終端考慮初始成本以及額外的軟件管理成本�����,因此給ISP增加了繁重的負(fù)擔(dān)��。
發(fā)明內(nèi)容
提出本發(fā)明以便解決上述問(wèn)題�。本發(fā)明的目的是提供一種設(shè)備和方法,能夠以對(duì)于網(wǎng)絡(luò)服務(wù)提供商(ISP)的較少初始投資成本和管理成本來(lái)提供安全的網(wǎng)絡(luò)服務(wù)����。
本發(fā)明的另一個(gè)目的是提供一種設(shè)備和方法,用于針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)提供訂戶(hù)終端的快速認(rèn)證���,而無(wú)需在訂戶(hù)終端中安裝用于請(qǐng)求訂戶(hù)終端認(rèn)證的認(rèn)證請(qǐng)求者�。
根據(jù)本發(fā)明的一個(gè)方案�,提供一種用于在通信系統(tǒng)中針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證用戶(hù)的設(shè)備,包括包含在訂戶(hù)終端中的輸入模塊���,用于接收來(lái)自用戶(hù)的用于網(wǎng)絡(luò)訪問(wèn)的標(biāo)識(shí)信息和口令���;包含在網(wǎng)絡(luò)設(shè)備中的認(rèn)證請(qǐng)求者,用于根據(jù)從輸入模塊接收的標(biāo)識(shí)信息和口令來(lái)請(qǐng)求網(wǎng)絡(luò)訪問(wèn)認(rèn)證����;認(rèn)證服務(wù)器,用于存儲(chǔ)關(guān)于網(wǎng)絡(luò)訪問(wèn)認(rèn)證的信息��,并且用于響應(yīng)認(rèn)證請(qǐng)求來(lái)執(zhí)行認(rèn)證��,以便確定是否允許訂戶(hù)終端訪問(wèn)網(wǎng)絡(luò)��;協(xié)議認(rèn)證者���,用于在認(rèn)證請(qǐng)求者和認(rèn)證服務(wù)器之間執(zhí)行協(xié)議處理�。
根據(jù)本發(fā)明的另一個(gè)方案�,提供了一種在包含具有認(rèn)證請(qǐng)求者的網(wǎng)絡(luò)設(shè)備的通信系統(tǒng)中用于針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證用戶(hù)方法,該方法包括利用認(rèn)證請(qǐng)求者�����,接收標(biāo)識(shí)信息和來(lái)自訂戶(hù)終端的用于網(wǎng)絡(luò)訪問(wèn)的口令;利用認(rèn)證請(qǐng)求者����,將標(biāo)識(shí)和口令發(fā)送到執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證的認(rèn)證服務(wù)器,以便請(qǐng)求訂戶(hù)終端的網(wǎng)絡(luò)訪問(wèn)認(rèn)證��;以及利用認(rèn)證請(qǐng)求者����,從認(rèn)證服務(wù)器接收訂戶(hù)終端的認(rèn)證結(jié)果。
通過(guò)參考下面結(jié)合附圖的詳細(xì)說(shuō)明����,可以更好地理解并清楚示出本發(fā)明及其優(yōu)點(diǎn),在圖中類(lèi)似的參考數(shù)字指示相同或類(lèi)似的組件�,其中圖1是用戶(hù)認(rèn)證設(shè)備的配置圖;圖2是用戶(hù)認(rèn)證方法的處理過(guò)程的圖����;圖3是根據(jù)本發(fā)明實(shí)施例用于針對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證用戶(hù)的設(shè)備的配置圖;以及圖4是根據(jù)本發(fā)明實(shí)施例用于針對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證用戶(hù)的方法的處理過(guò)程的圖���。
具體實(shí)施例方式
圖1是用戶(hù)認(rèn)證設(shè)備的配置圖��。
參考圖1����,用戶(hù)認(rèn)證設(shè)備包括位于訂戶(hù)終端10中的認(rèn)證請(qǐng)求者15�����,用于請(qǐng)求認(rèn)證���;以及位于認(rèn)證服務(wù)器30的認(rèn)證數(shù)據(jù)庫(kù)(DB)35����,用于存儲(chǔ)認(rèn)證相關(guān)信息����。響應(yīng)來(lái)自認(rèn)證請(qǐng)求者15的請(qǐng)求,認(rèn)證服務(wù)器30執(zhí)行認(rèn)證以便提供網(wǎng)絡(luò)服務(wù)���。通常位于網(wǎng)絡(luò)交換機(jī)20中的協(xié)議認(rèn)證者25提供認(rèn)證請(qǐng)求者15和認(rèn)證服務(wù)器30之間的協(xié)議互通����。訂戶(hù)終端10和網(wǎng)絡(luò)交換機(jī)20經(jīng)由LAN 40互連�。
圖2是用戶(hù)認(rèn)證方法的處理過(guò)程的圖。具體地���,圖2示出了其中由訂戶(hù)終端并由此由位于其中的認(rèn)證請(qǐng)求者來(lái)確定用戶(hù)認(rèn)證過(guò)程的開(kāi)始的典型情況��。下面參考圖2來(lái)說(shuō)明在用戶(hù)認(rèn)證設(shè)備中用于針對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證用戶(hù)的處理過(guò)程�。
參考圖2,當(dāng)訂戶(hù)終端10將消息(EAPoL StartExtensibleAuthentication Protocol(EAP) over LAN Start)發(fā)送到網(wǎng)絡(luò)交換機(jī)20并由此發(fā)送到位于其中的協(xié)議認(rèn)證者25����,報(bào)告認(rèn)證過(guò)程的開(kāi)始(S11),網(wǎng)絡(luò)交換機(jī)20將請(qǐng)求識(shí)別認(rèn)證請(qǐng)求的訂戶(hù)或設(shè)備所需要的標(biāo)識(shí)信息(EAP Request)發(fā)送到訂戶(hù)終端10(S13)��。如果由網(wǎng)絡(luò)交換機(jī)20而不是訂戶(hù)終端10確定用戶(hù)認(rèn)證過(guò)程的開(kāi)始���,則可以省略過(guò)程S11����。
響應(yīng)請(qǐng)求消息(EAP Request)�,訂戶(hù)終端10將包括其自身標(biāo)識(shí)(ID)的響應(yīng)消息(EAP Response)發(fā)送到網(wǎng)絡(luò)交換機(jī)20(S15)。網(wǎng)絡(luò)交換機(jī)20將訪問(wèn)請(qǐng)求消息(Access Request)發(fā)送到認(rèn)證服務(wù)器30�,以便執(zhí)行針對(duì)訂戶(hù)終端10的認(rèn)證(S17)。此時(shí)����,網(wǎng)絡(luò)交換機(jī)20在發(fā)送訪問(wèn)請(qǐng)求消息(Access Request)之前,在其中加入了訂戶(hù)終端l0的標(biāo)識(shí)(ID)。
響應(yīng)訪問(wèn)請(qǐng)求消息(S17)����,認(rèn)證服務(wù)器30將消息(AccessChallenge)發(fā)送到網(wǎng)絡(luò)交換機(jī)20以便請(qǐng)求訪問(wèn)口令(S19)。然后���,網(wǎng)絡(luò)交換機(jī)20以EAP格式�����,將通過(guò)從消息(Access Challenge)中只提取對(duì)應(yīng)于EAP的部分而產(chǎn)生的消息(EAP Request)發(fā)送到訂戶(hù)終端(S21)。除了上述消息�����,認(rèn)證服務(wù)器30還發(fā)送加密方案信息以便加密訪問(wèn)口令���。
訂戶(hù)終端10接收訪問(wèn)口令請(qǐng)求和針對(duì)訪問(wèn)口令的加密方案信息���,使用加密方案對(duì)預(yù)存的或用戶(hù)輸入的訪問(wèn)口令進(jìn)行加密,并且在要發(fā)送到網(wǎng)絡(luò)交換機(jī)20的響應(yīng)消息(EAP Response)中加入加密訪問(wèn)口令(S23)��。
網(wǎng)絡(luò)交換機(jī)20在要發(fā)送到認(rèn)證服務(wù)器30的訪問(wèn)請(qǐng)求消息(AccessRequest)中加入加密訪問(wèn)口令(S25)�。認(rèn)證服務(wù)器30根據(jù)接收到的訪問(wèn)口令來(lái)針對(duì)訂戶(hù)終端10執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證。作為認(rèn)證結(jié)果,當(dāng)針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證訂戶(hù)終端10時(shí)��,認(rèn)證服務(wù)器30將報(bào)告訪問(wèn)認(rèn)證的消息(Access Accept)發(fā)送到網(wǎng)絡(luò)交換機(jī)20(S27)��。網(wǎng)絡(luò)交換機(jī)20將消息(Access Accept)轉(zhuǎn)化為EAP格式的消息(EAP Request)�,然后將EAP格式的消息(EAP Success)發(fā)送到訂戶(hù)終端10(S29)。
在此系統(tǒng)中����,驅(qū)動(dòng)位于訂戶(hù)終端10的認(rèn)證請(qǐng)求者15(例如IEEE802.1X請(qǐng)求者程序)和位于網(wǎng)絡(luò)交換機(jī)20的協(xié)議認(rèn)證者25(例如IEEE802.1X認(rèn)證者程序),以便針對(duì)網(wǎng)絡(luò)訪問(wèn)通過(guò)中心認(rèn)證服務(wù)器來(lái)認(rèn)證訂戶(hù)����。因此,這種系統(tǒng)適用于在其中訂戶(hù)終端請(qǐng)求認(rèn)證是有限的閉合網(wǎng)絡(luò)����。換句話(huà)說(shuō),為了提供安全的網(wǎng)絡(luò)服務(wù)��,在所有希望使用這種網(wǎng)絡(luò)服務(wù)的訂戶(hù)終端安裝特定軟件(例如請(qǐng)求者程序)是必要的�����。
下面參考在其中示出了本發(fā)明優(yōu)選實(shí)施例的附圖��,更詳細(xì)地說(shuō)明本發(fā)明。然而�����,本發(fā)明可以以不同形式實(shí)現(xiàn)����,并且不局限于給出的特殊實(shí)施例。當(dāng)然�����,提供這些實(shí)施例以便本公開(kāi)是全面和完整的���,并且可以使本領(lǐng)域的技術(shù)人員了解本發(fā)明的范圍。在整個(gè)說(shuō)明書(shū)中類(lèi)似的數(shù)字指示類(lèi)似的組件���。
圖3是根據(jù)本發(fā)明實(shí)施例用于針對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證用戶(hù)的設(shè)備的配置圖�。
參考圖3��,如下配置根據(jù)本發(fā)明實(shí)施例用于針對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證用戶(hù)的設(shè)備����。該設(shè)備包括包含在訂戶(hù)終端100中的輸入模塊105,用于從用戶(hù)接收標(biāo)識(shí)(ID)和口令;位于第一網(wǎng)絡(luò)設(shè)備200中的認(rèn)證請(qǐng)求者205���,用于針對(duì)經(jīng)由輸入模塊105輸入的標(biāo)識(shí)(ID)信息和口令來(lái)請(qǐng)求認(rèn)證��;以及位于認(rèn)證服務(wù)器400中的認(rèn)證數(shù)據(jù)庫(kù)(DB)�,用于存儲(chǔ)認(rèn)證相關(guān)信息����。響應(yīng)來(lái)自認(rèn)證請(qǐng)求者205的認(rèn)證請(qǐng)求,執(zhí)行認(rèn)證以便提供網(wǎng)絡(luò)服務(wù)���,并且位于第二網(wǎng)絡(luò)設(shè)備300(通常是網(wǎng)絡(luò)交換機(jī))中的協(xié)議認(rèn)證者305提供認(rèn)證請(qǐng)求者205和認(rèn)證服務(wù)器400之間的協(xié)議互通�����。在圖3中��,訂戶(hù)終端100�、第一網(wǎng)絡(luò)設(shè)備200和第二網(wǎng)絡(luò)設(shè)備300經(jīng)由LAN500互連�����,但是也可以經(jīng)由數(shù)字訂戶(hù)線(xiàn)(xDSL)或廣域網(wǎng)(WAN)互連�。
訂戶(hù)終端100可以是多種設(shè)備中的任意一個(gè)����,包括允許用戶(hù)輸入他或她的標(biāo)識(shí)(ID)信息和口令(PWD)的接口設(shè)備��。訂戶(hù)終端100的示例包括個(gè)人計(jì)算機(jī)(PC)���、個(gè)人數(shù)字助理(PDA)���、筆記本電腦、本地網(wǎng)關(guān)等�。此外,第一網(wǎng)絡(luò)設(shè)備200和第二網(wǎng)絡(luò)設(shè)備300的示例包括以太網(wǎng)�、數(shù)字訂戶(hù)線(xiàn)接入復(fù)用器(DSLAM)等。
圖4是根據(jù)本發(fā)明實(shí)施例用于針對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證用戶(hù)的方法的處理過(guò)程的圖�����。具體地���,圖4示出了在其中由第一網(wǎng)絡(luò)設(shè)備200來(lái)確定用戶(hù)認(rèn)證過(guò)程的開(kāi)始的典型情況。
下面參考圖4��,根據(jù)本發(fā)明來(lái)說(shuō)明在具有如上所述配置的用戶(hù)認(rèn)證設(shè)備中用于針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證用戶(hù)的處理過(guò)程�����。
第一網(wǎng)絡(luò)設(shè)備200作為用于請(qǐng)求認(rèn)證的設(shè)備(請(qǐng)求者)進(jìn)行操作,并且第二網(wǎng)絡(luò)設(shè)備300作為用于提供認(rèn)證服務(wù)器400和第一網(wǎng)絡(luò)設(shè)備200之間協(xié)議互通的設(shè)備(認(rèn)證者)進(jìn)行操作��。如果用于請(qǐng)求認(rèn)證的第一設(shè)備(請(qǐng)求者)和用于提供協(xié)議互通的第二設(shè)備(認(rèn)證者)被安裝在一個(gè)設(shè)備中�,則可以整體地配置第一網(wǎng)絡(luò)設(shè)備200和第二網(wǎng)絡(luò)設(shè)備300。
進(jìn)一步參考圖4�����,當(dāng)?shù)谝痪W(wǎng)絡(luò)設(shè)備200請(qǐng)求訂戶(hù)終端100(S101)輸入預(yù)先為了網(wǎng)絡(luò)訪問(wèn)而約定的標(biāo)識(shí)(ID)信息和口令(下面指為PWD)時(shí)�����,響應(yīng)該請(qǐng)求����,訂戶(hù)終端100將標(biāo)識(shí)(ID)信息和口令(PWD)發(fā)送到第一網(wǎng)絡(luò)設(shè)備200(S103)。
在其中第一網(wǎng)絡(luò)設(shè)備200請(qǐng)求訂戶(hù)終端100輸入標(biāo)識(shí)(ID)信息和口令(PWD)的方法的示例包括涉及網(wǎng)絡(luò)認(rèn)證窗口(web-authenticationwindow)的方法��。這是指一種方法�����,其中在訂戶(hù)終端100上顯示網(wǎng)絡(luò)認(rèn)證窗口����,用戶(hù)在網(wǎng)絡(luò)認(rèn)證窗口輸入用戶(hù)輸入標(biāo)識(shí)(ID)信息和口令�,以及網(wǎng)絡(luò)設(shè)備接收輸入的標(biāo)識(shí)(ID)信息和口令���。
現(xiàn)在說(shuō)明認(rèn)證過(guò)程�,其與前面的過(guò)程不同在于不是由訂戶(hù)終端100而是由例如設(shè)置在中心局中的網(wǎng)絡(luò)設(shè)備來(lái)作出認(rèn)證請(qǐng)求��。
首先���,從訂戶(hù)終端100接收標(biāo)識(shí)(ID)信息和口令(PWD)的第一網(wǎng)絡(luò)設(shè)備200將報(bào)告認(rèn)證過(guò)程開(kāi)始的消息(EAPoL StartEAP over LANStart)發(fā)送到第二網(wǎng)絡(luò)設(shè)備300���,并由此發(fā)送到位于其中的協(xié)議認(rèn)證者305(S105),并且從第二網(wǎng)絡(luò)設(shè)備300接收請(qǐng)求識(shí)別認(rèn)證請(qǐng)求的訂戶(hù)或設(shè)備所需要的標(biāo)識(shí)消息(EAP Request)(S107)��。
響應(yīng)S107中的請(qǐng)求消息(EAP Request)��,第一網(wǎng)絡(luò)設(shè)備200將包括從訂戶(hù)終端100傳送的標(biāo)識(shí)(ID)的響應(yīng)消息(EAP Response)發(fā)送到第二網(wǎng)絡(luò)設(shè)備300(S109)�,然后,第二網(wǎng)絡(luò)設(shè)備300將訪問(wèn)請(qǐng)求消息(Access Request)發(fā)送到認(rèn)證服務(wù)器400���,以便能夠執(zhí)行訂戶(hù)終端100的認(rèn)證(S111)。關(guān)于訂戶(hù)終端100的認(rèn)證�����,在將訪問(wèn)請(qǐng)求消息(AccessRequest)發(fā)送到認(rèn)證服務(wù)器400之前,第二網(wǎng)絡(luò)設(shè)備300在其中加入訂戶(hù)終端100的標(biāo)識(shí)(ID)信息�����。第二網(wǎng)絡(luò)設(shè)備300使用認(rèn)證協(xié)議(例如RADIUS�����、Diameter等)來(lái)發(fā)送訪問(wèn)請(qǐng)求消息��。
響應(yīng)S111中的訪問(wèn)請(qǐng)求����,認(rèn)證服務(wù)器400將請(qǐng)求訪問(wèn)口令的消息(Access Challenge)發(fā)送到第二網(wǎng)絡(luò)設(shè)備300(S13)。然后�����,第二網(wǎng)絡(luò)300從消息(Access Challenge)中只提取對(duì)應(yīng)于EAP的部分��,以產(chǎn)生EAP格式的消息(EAP Request)�,并且將該消息發(fā)送到第一網(wǎng)絡(luò)設(shè)備200(S115)。除了上述消息�����,認(rèn)證服務(wù)器400還發(fā)送用于訪問(wèn)口令加密的加密方案信息。
接收請(qǐng)求和針對(duì)訪問(wèn)口令的加密方案信息的第一網(wǎng)絡(luò)設(shè)備200使用加密方案對(duì)從訂戶(hù)終端100傳送的口令進(jìn)行加密�,并且在要發(fā)送到第二網(wǎng)絡(luò)設(shè)備300的響應(yīng)消息(EAP Response)中加入加密口令(S117)。第二網(wǎng)絡(luò)設(shè)備300在要發(fā)送到認(rèn)證服務(wù)器400的訪問(wèn)請(qǐng)求消息(AccessRequest)中加入加密口令(S119)���。即��,第二網(wǎng)絡(luò)設(shè)備300將加密口令加載到認(rèn)證協(xié)議上�����,并將其發(fā)送到認(rèn)證服務(wù)器400�����。
認(rèn)證服務(wù)器400根據(jù)在S119中接收到的口令�����,針對(duì)與第一網(wǎng)絡(luò)設(shè)備200相連的訂戶(hù)終端100來(lái)執(zhí)行網(wǎng)絡(luò)訪問(wèn)認(rèn)證���。當(dāng)認(rèn)證服務(wù)器400希望針對(duì)網(wǎng)絡(luò)訪問(wèn)認(rèn)證訂戶(hù)終端100時(shí),認(rèn)證服務(wù)器400將報(bào)告接收訪問(wèn)的消息(Access Accept)發(fā)送到第二網(wǎng)絡(luò)設(shè)備300(S121)。第二網(wǎng)絡(luò)設(shè)備300將消息(Access Accept)轉(zhuǎn)化為EAP格式的消息(EAP Request)��,然后以EAP格式將消息(EAP Success)發(fā)送到第一網(wǎng)絡(luò)設(shè)備200(S123)�����。
具體地����,接收訂戶(hù)終端100的標(biāo)識(shí)(ID)消息和口令(PWD)的認(rèn)證服務(wù)器400確認(rèn)從訂戶(hù)終端100傳送的標(biāo)識(shí)(ID)消息和口令(PWD)是否存在于認(rèn)證數(shù)據(jù)庫(kù)405(圖3)中或處于其訂戶(hù)管理目錄中�����。如果確認(rèn)從訂戶(hù)終端100傳送的標(biāo)識(shí)(ID)消息和口令(PWD)存在于認(rèn)證數(shù)據(jù)庫(kù)405中或處于其訂戶(hù)管理目錄中�,認(rèn)證服務(wù)器400將報(bào)告口令有效的成功消息發(fā)送到第二網(wǎng)絡(luò)設(shè)備300。否則���,它發(fā)送“失敗”或“已失敗”消息來(lái)報(bào)告在數(shù)據(jù)庫(kù)405中不存在口令�����。
通過(guò)上述過(guò)程��,接收來(lái)自認(rèn)證服務(wù)器400的認(rèn)證結(jié)果的第一網(wǎng)絡(luò)設(shè)備200根據(jù)認(rèn)證過(guò)程的結(jié)果來(lái)將訂戶(hù)終端100的分組發(fā)送到網(wǎng)絡(luò)或撤銷(xiāo)它�。
如上所述,根據(jù)本發(fā)明���,認(rèn)證請(qǐng)求者205被包含在第一網(wǎng)絡(luò)設(shè)備200中而不在訂戶(hù)終端100中���,以便第一網(wǎng)絡(luò)設(shè)備200準(zhǔn)備并發(fā)送認(rèn)證請(qǐng)求。
如上所述���,利用本發(fā)明����,訂戶(hù)終端可以執(zhí)行網(wǎng)絡(luò)認(rèn)證過(guò)程而無(wú)需網(wǎng)絡(luò)服務(wù)提供商在每一個(gè)訂戶(hù)終端中安裝特定軟件(例如請(qǐng)求者程序)��。這使得可以控制訂戶(hù)終端的網(wǎng)絡(luò)訪問(wèn)和注冊(cè)而無(wú)需在所有訂戶(hù)終端中安裝軟件(例如請(qǐng)求者程序)�����。結(jié)果���,減少了向訂戶(hù)終端提供服務(wù)的初始安裝成本和管理成本���。
此外,本發(fā)明允許實(shí)現(xiàn)基于訂戶(hù)終端的網(wǎng)絡(luò)訪問(wèn)認(rèn)證����,而不是基于端口的網(wǎng)絡(luò)訪問(wèn)認(rèn)證�����。即,本發(fā)明能夠通過(guò)將邏輯端口分配到訂戶(hù)終端����,針對(duì)網(wǎng)絡(luò)訪問(wèn)使用邏輯端口來(lái)對(duì)于每一個(gè)訂戶(hù)終端進(jìn)行認(rèn)證和列帳單(bill)。此外����,認(rèn)證和列帳單可以與針對(duì)每一個(gè)訂戶(hù)終端建立的服務(wù)質(zhì)量相關(guān)。
盡管示出了本發(fā)明典型實(shí)施例��,顯而易見(jiàn)的是��,可以在不脫離本發(fā)明的精神和范圍下對(duì)公開(kāi)的實(shí)施例作各種改變���。因此����,本發(fā)明不應(yīng)該受限于示出的實(shí)施例��,而是由所附權(quán)利要求及其等效物確定。
權(quán)利要求
1.一種用于在通信系統(tǒng)中針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證用戶(hù)的設(shè)備����,包括包含在訂戶(hù)終端中的輸入模塊,用于從用戶(hù)處接收并且傳送用于網(wǎng)絡(luò)訪問(wèn)的標(biāo)識(shí)信息和口令�;包含在網(wǎng)絡(luò)設(shè)備中的認(rèn)證請(qǐng)求者,用于根據(jù)由輸入模塊傳送的標(biāo)識(shí)信息和口令�����,針對(duì)訂戶(hù)終端來(lái)請(qǐng)求網(wǎng)絡(luò)訪問(wèn)認(rèn)證����;認(rèn)證服務(wù)器,用于存儲(chǔ)關(guān)于網(wǎng)絡(luò)訪問(wèn)認(rèn)證的信息��,并且用于響應(yīng)網(wǎng)絡(luò)訪問(wèn)認(rèn)證的請(qǐng)求來(lái)執(zhí)行認(rèn)證��,以便確認(rèn)是否允許訂戶(hù)終端訪問(wèn)網(wǎng)絡(luò)�����;以及協(xié)議認(rèn)證者�����,用于執(zhí)行在認(rèn)證請(qǐng)求者和認(rèn)證服務(wù)器之間處理的協(xié)議。
2.根據(jù)權(quán)利要求1所述的設(shè)備�����,其特征在于�,認(rèn)證請(qǐng)求者和協(xié)議認(rèn)證者位于單個(gè)網(wǎng)絡(luò)設(shè)備中。
3.根據(jù)權(quán)利要求1所述的設(shè)備����,其特征在于���,認(rèn)證請(qǐng)求者和協(xié)議認(rèn)證者位于通過(guò)局域網(wǎng)(LAN)����、數(shù)字訂戶(hù)線(xiàn)(DSL)和廣域網(wǎng)(WAN)之一互連的不同網(wǎng)絡(luò)設(shè)備中���。
4.根據(jù)權(quán)利要求1所述的設(shè)備����,其特征在于�����,訂戶(hù)終端包括個(gè)人計(jì)算機(jī)、個(gè)人數(shù)字助理�、筆記本電腦和本地網(wǎng)關(guān)之一。
5.根據(jù)權(quán)利要求1所述的設(shè)備�,其特征在于,網(wǎng)絡(luò)設(shè)備包括以太網(wǎng)交換機(jī)和數(shù)字訂戶(hù)線(xiàn)接入復(fù)用器之一�。
6.根據(jù)權(quán)利要求1所述的設(shè)備,其特征在于����,認(rèn)證服務(wù)器包括用于存儲(chǔ)關(guān)于網(wǎng)絡(luò)訪問(wèn)認(rèn)證的信息的認(rèn)證數(shù)據(jù)庫(kù)。
7.根據(jù)權(quán)利要求6所述的設(shè)備�,其特征在于,認(rèn)證數(shù)據(jù)庫(kù)存儲(chǔ)多個(gè)有效口令和標(biāo)識(shí)信息�。
8.一種用于在包括網(wǎng)絡(luò)設(shè)備和認(rèn)證請(qǐng)求者的通信系統(tǒng)中針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證用戶(hù)的方法,所述方法包括步驟在認(rèn)證請(qǐng)求者處��,接收來(lái)自訂戶(hù)終端的針對(duì)網(wǎng)絡(luò)訪問(wèn)的標(biāo)識(shí)信息和口令���;利用認(rèn)證請(qǐng)求者�,將標(biāo)識(shí)信息和口令發(fā)送到認(rèn)證服務(wù)器���,以便請(qǐng)求訂戶(hù)終端的網(wǎng)絡(luò)訪問(wèn)認(rèn)證���;以及在認(rèn)證請(qǐng)求者處��,從認(rèn)證服務(wù)器接收關(guān)于訂戶(hù)終端的認(rèn)證結(jié)果�。
9.根據(jù)權(quán)利要求8所述的方法����,還包括步驟利用認(rèn)證請(qǐng)求者,根據(jù)關(guān)于訂戶(hù)終端的認(rèn)證結(jié)果來(lái)控制針對(duì)訂戶(hù)終端的網(wǎng)絡(luò)訪問(wèn)�����。
10.根據(jù)權(quán)利要求8所述的方法��,其特征在于���,接收標(biāo)識(shí)和口令的步驟包括在認(rèn)證請(qǐng)求者處,在訂戶(hù)終端上顯示網(wǎng)絡(luò)認(rèn)證窗口���;以及使用顯示在訂戶(hù)終端上的網(wǎng)絡(luò)認(rèn)證窗口來(lái)輸入標(biāo)識(shí)和口令���。
11.根據(jù)權(quán)利要求10所述的方法,其特征在于��,在網(wǎng)絡(luò)上接收標(biāo)識(shí)和口令��。
12.根據(jù)權(quán)利要求8所述的方法,其特征在于��,訂戶(hù)終端包括個(gè)人計(jì)算機(jī)��、個(gè)人數(shù)字助理���、筆記本電腦和本地網(wǎng)關(guān)之一�����。
13.根據(jù)權(quán)利要求8所述的方法���,其特征在于,網(wǎng)絡(luò)設(shè)備包括以太網(wǎng)交換機(jī)和數(shù)字訂戶(hù)線(xiàn)接入復(fù)用器之一�。
14.根據(jù)權(quán)利要求8所述的方法,其特征在于�,認(rèn)證服務(wù)器包括用于存儲(chǔ)關(guān)于網(wǎng)絡(luò)訪問(wèn)認(rèn)證的信息的認(rèn)證數(shù)據(jù)庫(kù)。
15.根據(jù)權(quán)利要求14所述的方法��,其特征在于�����,認(rèn)證數(shù)據(jù)庫(kù)存儲(chǔ)多個(gè)有效口令和標(biāo)識(shí)信息���。
全文摘要
一種用于在通信系統(tǒng)中針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證用戶(hù)的設(shè)備�,包括包含在訂戶(hù)終端中的輸入模塊,用于從用戶(hù)處接收并且傳送用于網(wǎng)絡(luò)訪問(wèn)的標(biāo)識(shí)信息和口令��;包含在網(wǎng)絡(luò)設(shè)備中的認(rèn)證請(qǐng)求者���,用于針對(duì)從輸入模塊傳送的標(biāo)識(shí)信息和口令�,請(qǐng)求網(wǎng)絡(luò)訪問(wèn)認(rèn)證�;認(rèn)證服務(wù)器,用于存儲(chǔ)關(guān)于網(wǎng)絡(luò)訪問(wèn)認(rèn)證的信息����,并且用于響應(yīng)請(qǐng)求來(lái)執(zhí)行認(rèn)證,以便確認(rèn)是否允許訂戶(hù)終端訪問(wèn)網(wǎng)絡(luò)���;以及協(xié)議認(rèn)證者,用于執(zhí)行在認(rèn)證請(qǐng)求者和認(rèn)證服務(wù)器之間處理的協(xié)議��。公開(kāi)了一種對(duì)應(yīng)的方法�。因此,可以針對(duì)網(wǎng)絡(luò)訪問(wèn)來(lái)認(rèn)證訂戶(hù)終端而不需要由網(wǎng)絡(luò)服務(wù)提供商在所有訂戶(hù)終端中安裝例如請(qǐng)求者程序的特定軟件�。
文檔編號(hào)H04L29/06GK1756156SQ20051010397
公開(kāi)日2006年4月5日 申請(qǐng)日期2005年9月16日 優(yōu)先權(quán)日2004年9月30日
發(fā)明者樸賢牙 申請(qǐng)人:三星電子株式會(huì)社