專利名稱:一種向后兼容的認(rèn)證��、授權(quán)�、計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和實(shí)現(xiàn)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種基于Diameter協(xié)議(“直徑”協(xié)議)的電信網(wǎng)絡(luò)認(rèn)證(Authentication)、授權(quán)(Authorization)和計(jì)費(fèi)(Accounting)系統(tǒng)���,尤其涉及了一種向后兼容RADIUS協(xié)議(“半徑”協(xié)議)的AAA系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和實(shí)現(xiàn)方法��。
背景技術(shù):
認(rèn)證(Authentication)是指用戶在使用網(wǎng)絡(luò)資源時(shí)網(wǎng)絡(luò)系統(tǒng)對(duì)用戶身份的確認(rèn)�����。認(rèn)證過(guò)程通過(guò)與用戶的交互獲得用戶身份信息(如用戶名/口令����、公鑰證書(shū)等),再由認(rèn)證服務(wù)器將獲得的用戶身份信息與存儲(chǔ)在數(shù)據(jù)庫(kù)里的用戶信息進(jìn)行核對(duì)處理��,最后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確���。授權(quán)(Authorization)是指網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的方式使用其資源�。授權(quán)過(guò)程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限����。計(jì)費(fèi)(Accounting)是指網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用�����,以便向用戶收取資源使用費(fèi)用��,或者用于審計(jì)等目的��。認(rèn)證���、授權(quán)和計(jì)費(fèi)一起實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對(duì)特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄�����。這樣既有效地保障了合法用戶的權(quán)益���,又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運(yùn)行。由此可見(jiàn)����,AAA功能直接關(guān)系到每個(gè)互聯(lián)網(wǎng)服務(wù)提供商和用戶的切身利益。
RADIUS協(xié)議是目前應(yīng)用最廣泛的AAA協(xié)議��,目前使用的其他AAA協(xié)議還包括TACACS+�����、Kerberos等�。但由于RADIUS協(xié)議不受某個(gè)企業(yè)知識(shí)產(chǎn)權(quán)的限制,已經(jīng)成為事實(shí)上的當(dāng)前互聯(lián)網(wǎng)AAA協(xié)議的國(guó)際標(biāo)準(zhǔn)���。RADIUS協(xié)議最初是由Livingston公司提出的�����,原先的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)��,后被IETF(InternetEngineering Task Force�,互聯(lián)網(wǎng)工程任務(wù)組)于1997年規(guī)范為RFC標(biāo)準(zhǔn)��,成為一套通用的AAA協(xié)議。目前最新的RADIUS協(xié)議標(biāo)準(zhǔn)是2000年6月發(fā)布的RFC2865����。除此之外,為適應(yīng)互聯(lián)網(wǎng)技術(shù)的發(fā)展��,RADIUS協(xié)議族還包括的主要協(xié)議有RADIUS計(jì)費(fèi)協(xié)議(RFC2866)����、RADIUS擴(kuò)展協(xié)議(RFC2869)、RADIUS和IPv6(RFC3162)等����。在RADIUS網(wǎng)絡(luò)中,大量的網(wǎng)絡(luò)接入服務(wù)設(shè)備(如網(wǎng)關(guān)����、接入控制器、VPN網(wǎng)關(guān)等)都通過(guò)RADIUS協(xié)議與RADIUS服務(wù)器通信���,同時(shí)作為AAA系統(tǒng)����,除RADIUS服務(wù)器外,還包括與之配套的基于RADIUS協(xié)議通信的用戶數(shù)據(jù)庫(kù)與計(jì)費(fèi)系統(tǒng)���。RADIUS協(xié)議作為AAA協(xié)議的通用標(biāo)準(zhǔn)��,在各種業(yè)務(wù)領(lǐng)域中被廣泛采用����。尤其近年來(lái)隨著移動(dòng)通信技術(shù)的發(fā)展��,無(wú)線接入和移動(dòng)互聯(lián)業(yè)務(wù)逐步開(kāi)展�,無(wú)線環(huán)境下的網(wǎng)絡(luò)安全和信息安全備受關(guān)注����,這也使得RADIUS協(xié)議從傳統(tǒng)的有線接入網(wǎng)走向無(wú)線接入環(huán)境。其中最重要的是RADIUS協(xié)議在第三代移動(dòng)通信網(wǎng)(3G)和無(wú)線局域網(wǎng)(WLAN)中的應(yīng)用����。
然而,RADIUS協(xié)議是在20世紀(jì)90年代初設(shè)計(jì)的��,其目的是適應(yīng)當(dāng)時(shí)的網(wǎng)絡(luò)環(huán)境與AAA需求����。隨著新的接入技術(shù)的引入和接入網(wǎng)絡(luò)的快速擴(kuò)容,越來(lái)越復(fù)雜的路由器和網(wǎng)絡(luò)接入服務(wù)器大量投入使用,傳統(tǒng)AAA網(wǎng)絡(luò)顯然無(wú)法滿足當(dāng)前與未來(lái)AAA應(yīng)用發(fā)展的需要��。尤其是表現(xiàn)在網(wǎng)絡(luò)結(jié)構(gòu)等方面的深層次的缺陷��,使得對(duì)新一代AAA技術(shù)的需求變得異常迫切�。Diameter協(xié)議的提出正是為了解決這一矛盾。
IETF在1998年12月成立了屬于互聯(lián)網(wǎng)操作與管理領(lǐng)域的AAA工作組�����,并著手下一代互聯(lián)網(wǎng)AAA協(xié)議的研究開(kāi)發(fā)以及標(biāo)準(zhǔn)制定�����,目的是替代現(xiàn)有包括RADIUS協(xié)議在內(nèi)的AAA協(xié)議����,以提供統(tǒng)一、開(kāi)放����、分布、移動(dòng)的AAA服務(wù)�。1999年Diameter協(xié)議作為新的AAA協(xié)議首先經(jīng)Sun公司提出后,受到了業(yè)界的廣泛支持��,同期被提出的還有包括SNMP、RADIUS+和COPS等多種候選AAA協(xié)議�����。IETF的AAA工作組為確定最終的AAA協(xié)議���,于2000年5月20日專門(mén)組建了AAA協(xié)議的評(píng)估組��,經(jīng)過(guò)一年的意見(jiàn)征集�、討論與評(píng)估�,于2001年6月以RFC(RFC3127)的形式公布了評(píng)估結(jié)果�����,最終Diameter協(xié)議脫穎而出成為IETF的AAA工作確定的新一代的AAA協(xié)議��。2003年9月����,“Diameter基礎(chǔ)協(xié)議”正式成為IETF的RFC標(biāo)準(zhǔn)(RFC3588),其相關(guān)的應(yīng)用(如NASREQ��、MobileIPv4����、EAP�、Credit-control�����、SIP等)也已被陸續(xù)提交���,并在進(jìn)一步的討論中����。
分析Diameter和RADIUS協(xié)議��,Diameter在設(shè)計(jì)思想上保留了RADIUS的可擴(kuò)展性等優(yōu)點(diǎn)����,與此同時(shí),Diameter不僅彌補(bǔ)了RADIUS協(xié)議中已知的不足�����,而且提供了符合未來(lái)業(yè)務(wù)需求的全新功能��。表1中通過(guò)Diameter和RADIUS協(xié)議的比較說(shuō)明了Diameter協(xié)議的主要功能特點(diǎn)和突出優(yōu)勢(shì)���。由比較可以看出�����,Diameter無(wú)論在安全性�����、可靠性�����、可擴(kuò)展性還是網(wǎng)絡(luò)結(jié)構(gòu)以及對(duì)移動(dòng)漫游的支持都明顯優(yōu)于RADIUS��,并且更符合統(tǒng)一���、開(kāi)放、分布�����、移動(dòng)的特點(diǎn)����。
表1
RADIUS協(xié)議是目前應(yīng)用最廣泛的AAA協(xié)議�,幾乎所有的網(wǎng)絡(luò)接入服務(wù)器都支持RADIUS協(xié)議��,因此新的AAA協(xié)議的是否能夠順利推廣與應(yīng)用很大程度上取決于是否能夠有良好的向后兼容特性���,即與RADIUS協(xié)議兼容��。Diameter為了兼容RADIUS協(xié)議���,保留了0~256的命令碼和屬性碼,并且希望能夠用協(xié)議翻譯代理設(shè)備將RADIUS消息翻譯成Diameter服務(wù)器能夠理解的Diameter消息�����。然而���,由于RADIUS和Diameter協(xié)議會(huì)話狀態(tài)模式����、安全機(jī)制����、消息路由機(jī)制以及網(wǎng)絡(luò)結(jié)構(gòu)的完全不一致,使得向后兼容難以實(shí)現(xiàn)�。
發(fā)明內(nèi)容
技術(shù)問(wèn)題本發(fā)明的目的是提出一種向后兼容的認(rèn)證����、授權(quán)�、計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)和實(shí)現(xiàn)方法,描述的基于Diameter基礎(chǔ)協(xié)議的FAIv1-NASREQ應(yīng)用協(xié)議定義了AAA系統(tǒng)中翻譯代理的實(shí)現(xiàn)方法�����,為解決Diameter和RADIUS協(xié)議的兼容性問(wèn)題提供了可行的解決方案��。
技術(shù)方案本發(fā)明的向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)為�,該網(wǎng)絡(luò)結(jié)構(gòu)遵循互聯(lián)網(wǎng)工程任務(wù)組制定的“直徑”協(xié)議中規(guī)定的網(wǎng)絡(luò)結(jié)構(gòu),在該結(jié)構(gòu)中有網(wǎng)絡(luò)接入服務(wù)器翻譯代理���、本地服務(wù)器翻譯代理�����、中繼代理和委托代理��、網(wǎng)絡(luò)接入服務(wù)器和本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器;網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)每個(gè)本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器所服務(wù)的區(qū)域被劃分為服務(wù)域A�、服務(wù)域B、服務(wù)域C���,根據(jù)管轄區(qū)域劃分為管理域I��、管理域II�����;在服務(wù)域A內(nèi)��,網(wǎng)絡(luò)接入服務(wù)器與網(wǎng)絡(luò)接入服務(wù)器翻譯代理直接連接��,本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器與本地服務(wù)器翻譯代理直接連接��;網(wǎng)絡(luò)接入服務(wù)器翻譯代理���、本地服務(wù)器翻譯代理和中繼代理由本地網(wǎng)絡(luò)連接�,并相互訪問(wèn)�;在管理域內(nèi),包含了多個(gè)服務(wù)域����,服務(wù)域A和服務(wù)域B的本地服務(wù)器翻譯代理和中繼代理之間通過(guò)管理域I網(wǎng)絡(luò)連接,并相互訪問(wèn)��;委托代理處于管理域I和外網(wǎng)的邊界上���,通過(guò)網(wǎng)絡(luò)訪問(wèn)管理域I內(nèi)各本地服務(wù)器翻譯代理和中繼代理��;管理域I和管理域II的委托代理之間通過(guò)互聯(lián)網(wǎng)相互連接�����。
遵循互聯(lián)網(wǎng)工程任務(wù)組制定的“直徑”協(xié)議中規(guī)定的網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)方法為1)在原“直徑”協(xié)議的實(shí)現(xiàn)方案中引入網(wǎng)絡(luò)接入服務(wù)器翻譯代理設(shè)備和本地服務(wù)器翻譯代理設(shè)備�,它們位于“直徑”協(xié)議網(wǎng)絡(luò)和“半徑”協(xié)議網(wǎng)絡(luò)的邊界,用于“直徑”協(xié)議消息和“半徑”協(xié)議消息之間的協(xié)議轉(zhuǎn)換處理�����,符合“直徑”
2)協(xié)議中關(guān)于翻譯代理的實(shí)現(xiàn)方法�;3)網(wǎng)絡(luò)接入服務(wù)器翻譯代理和本地服務(wù)器翻譯代理之間的通信遵循“直徑”協(xié)議;4)網(wǎng)絡(luò)接入服務(wù)器翻譯代理與網(wǎng)絡(luò)接入服務(wù)器之間的通信遵循“半徑”協(xié)議�����,本地服務(wù)器翻譯代理與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器之間的通信遵循“半徑”協(xié)議�����;5)網(wǎng)絡(luò)接入服務(wù)器翻譯代理和本地服務(wù)器翻譯代理根據(jù)功能分別被劃分為接口模塊�、消息處理模塊和協(xié)議模塊;6)定義兩種“直徑”協(xié)議消息AA-Request消息和AA-Answer消息��,消息命令碼為265�;7)定義一種“直徑”協(xié)議屬性值對(duì)用于承載“半徑”協(xié)議消息,稱為RADIUS屬性值對(duì)���,屬性值對(duì)碼為255���;8)網(wǎng)絡(luò)接入服務(wù)器翻譯代理實(shí)現(xiàn)方法的處理流程當(dāng)收到來(lái)自網(wǎng)絡(luò)接入服務(wù)器的“半徑”協(xié)議請(qǐng)求消息,網(wǎng)絡(luò)接入服務(wù)器翻譯代理根據(jù)“半徑”協(xié)議請(qǐng)求消息中用戶歸屬地服務(wù)域信息檢索與對(duì)應(yīng)服務(wù)域本地服務(wù)器翻譯代理建立的端到端會(huì)話�����,如果未檢索到對(duì)應(yīng)端到端會(huì)話���,則由網(wǎng)絡(luò)接入服務(wù)器翻譯代理發(fā)起建立��;“半徑”協(xié)議請(qǐng)求消息經(jīng)過(guò)預(yù)處理后封裝在AA-Request消息的RADIUS屬性值對(duì)中���,AA-Request消息通過(guò)端到端會(huì)話發(fā)送至本地服務(wù)器翻譯代理,本地服務(wù)器翻譯代理解析RADIUS屬性值對(duì)中的“半徑”協(xié)議請(qǐng)求消息��,經(jīng)過(guò)預(yù)處理后發(fā)送到本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器����;9)本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器翻譯代理實(shí)現(xiàn)方法的處理流程當(dāng)收到本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器的“半徑”協(xié)議應(yīng)答消息��,“半徑”協(xié)議應(yīng)答消息經(jīng)過(guò)預(yù)處理后封裝在AA-Answer消息的RADIUS屬性值對(duì)中�,AA-Answer消息通過(guò)端到端會(huì)話發(fā)送至網(wǎng)絡(luò)接入服務(wù)器翻譯代理�����,網(wǎng)絡(luò)接入服務(wù)器翻譯代理解析RADIUS屬性值對(duì)中的“半徑”協(xié)議應(yīng)答消息�,經(jīng)過(guò)預(yù)處理后發(fā)送到網(wǎng)絡(luò)接入服務(wù)器。
網(wǎng)絡(luò)接入服務(wù)器翻譯代理的實(shí)現(xiàn)方法為1.)接口模塊遵循“半徑”協(xié)議與網(wǎng)絡(luò)接入服務(wù)器通信1a.監(jiān)聽(tīng)傳輸協(xié)議的1812和1813端口����,等待接收“半徑”協(xié)議請(qǐng)求消息;來(lái)自消息處理模塊的“半徑”協(xié)議應(yīng)答消息����,接口模塊經(jīng)過(guò)應(yīng)答預(yù)處理后,發(fā)往對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)器��,已發(fā)送的“半徑”協(xié)議應(yīng)答消息在已應(yīng)答消息隊(duì)列中保留5秒后自動(dòng)刪除�;1b.收到“半徑”協(xié)議請(qǐng)求消息,根據(jù)消息標(biāo)識(shí)符檢索待處理消息隊(duì)列�����,如果找到相同標(biāo)識(shí)符的消息則此“半徑”協(xié)議請(qǐng)求消息為待處理消息的重發(fā)請(qǐng)求,丟棄此請(qǐng)求消息���,返回步驟1a��;1c.根據(jù)消息標(biāo)識(shí)符檢索已應(yīng)答消息隊(duì)列,如果找到相同標(biāo)識(shí)符的應(yīng)答消息則此“半徑”協(xié)議請(qǐng)求消息為已應(yīng)答消息的重發(fā)請(qǐng)求�,重發(fā)對(duì)應(yīng)“半徑”協(xié)議應(yīng)答消息,返回步驟1a���;1d.如果收到的“半徑”協(xié)議請(qǐng)求消息不是重發(fā)請(qǐng)求消息��,在完成對(duì)“半徑”協(xié)議請(qǐng)求消息的請(qǐng)求預(yù)處理后�����,消息將進(jìn)入消息處理模塊的待處理消息隊(duì)列�����,返回步驟1a�;2.)消息處理模塊負(fù)責(zé)“半徑”協(xié)議消息和“直徑”協(xié)議消息之間的封裝和解析�����,以及“直徑”協(xié)議消息與端到端會(huì)話之間的映射2a.等待新消息進(jìn)入待處理消息隊(duì)列;當(dāng)從協(xié)議模塊收到AA-Answer消息時(shí)���,從RADIUS屬性值對(duì)中解析出“半徑”協(xié)議應(yīng)答消息��;如果AA-Answer消息中結(jié)果碼屬性值對(duì)的值等于2002��,則生成“半徑”協(xié)議的接入拒絕消息作為“半徑”協(xié)議應(yīng)答消息�����;對(duì)應(yīng)的“半徑”協(xié)議請(qǐng)求消息從待處理消息隊(duì)列中出隊(duì)��,并把接入拒絕消息發(fā)往接口模塊��;2b.新進(jìn)入待處理消息隊(duì)列的“半徑”協(xié)議請(qǐng)求消息被封裝為AA-Request消息�,并根據(jù)“半徑”協(xié)議請(qǐng)求消息中目的服務(wù)域的信息分發(fā)AA-Request消息到協(xié)議模塊中已建立的對(duì)應(yīng)服務(wù)域端到端會(huì)話接口�����,返回步驟2a�����;2c.對(duì)于新的目的服務(wù)域�����,消息處理模塊將請(qǐng)求協(xié)議模塊發(fā)起建立新的端到端會(huì)話,如果端到端會(huì)話建立成功���,AA-Request消息發(fā)往此端到端會(huì)話接口�,否則對(duì)應(yīng)的“半徑”協(xié)議請(qǐng)求消息從待處理消息隊(duì)列中出隊(duì)�,并生成Access-Reject消息發(fā)往接口模塊,返回步驟2a�;3.)協(xié)議模塊執(zhí)行“直徑”協(xié)議中定義的客戶端功能���,根據(jù)消息處理模塊的請(qǐng)求����,通過(guò)“直徑”協(xié)議網(wǎng)絡(luò)的路由和中繼����,與目的服務(wù)域本地服務(wù)器翻譯代理建立端到端會(huì)話,通過(guò)此端到端會(huì)話發(fā)送和接收對(duì)應(yīng)服務(wù)域的AA-Request消息和AA-Answer消息�����;并且根據(jù)“直徑”協(xié)議定義的會(huì)話管理機(jī)制管理端到端會(huì)話�。
本地服務(wù)器翻譯代理設(shè)備的實(shí)現(xiàn)方法為1.)接口模塊遵循“半徑”協(xié)議與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器通信3a.通過(guò)傳輸協(xié)議與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器的1812和1813端口建立連接��,等待接收“半徑”協(xié)議應(yīng)答消息�;來(lái)自消息處理模塊的“半徑”協(xié)議請(qǐng)求消息��,經(jīng)過(guò)請(qǐng)求預(yù)接口模塊處理后��,發(fā)往本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器�,已發(fā)送的“半徑”協(xié)議請(qǐng)求消息保存在已請(qǐng)求消息隊(duì)列中,每5秒重發(fā)一次�,三次重發(fā)后出隊(duì),并通知消息處理模塊��;3b.收到“半徑”協(xié)議應(yīng)答消息���,根據(jù)消息標(biāo)識(shí)符檢索已請(qǐng)求消息隊(duì)列���,如果沒(méi)有找到相同標(biāo)識(shí)符的消息,則丟棄此應(yīng)答消息�����,返回步驟3a���;3c.如果在已請(qǐng)求消息隊(duì)列中找到相同標(biāo)識(shí)符的消息����,對(duì)應(yīng)“半徑”協(xié)議請(qǐng)求消息出隊(duì),在完成對(duì)“半徑”協(xié)議應(yīng)答消息的應(yīng)答預(yù)處理后���,消息將發(fā)往消息處理模塊����,返回步驟3a�����;2.)消息處理模塊負(fù)責(zé)“半徑”協(xié)議消息和“直徑”協(xié)議消息之間的封裝和解析4a.等待新的AA-Request消息進(jìn)入待處理消息隊(duì)列����;來(lái)自接口模塊的“半徑”協(xié)議應(yīng)答消息被封裝在RADIUS屬性值對(duì)中���,如果收到來(lái)自接口模塊的已請(qǐng)求消息超時(shí)或應(yīng)答錯(cuò)誤通知���,則將對(duì)應(yīng)“半徑”協(xié)議請(qǐng)求消息封裝在RADIUS屬性值對(duì)中,并設(shè)置結(jié)果碼屬性值對(duì)的值等于2002���;根據(jù)RADIUS消息標(biāo)識(shí)符檢索待處理消息隊(duì)列中AA-Request消息�,對(duì)應(yīng)AA-Request消息出隊(duì),根據(jù)AA-Request消息的屬性值對(duì)信息生成AA-Answer消息�����;生成的AA-Answer消息發(fā)往協(xié)議模塊��;4b.從新進(jìn)入待處理消息隊(duì)列的AA-Request消息的RADIUS屬性值對(duì)中解析“半徑”協(xié)議請(qǐng)求消息����,發(fā)往接口模塊,返回步驟4a����;3.)協(xié)議模塊遵循“直徑”協(xié)議中定義的服務(wù)器的功能,通過(guò)“直徑”協(xié)議網(wǎng)絡(luò)的路由和中繼���,與網(wǎng)絡(luò)接入服務(wù)器翻譯代理建立端到端會(huì)話����,并根據(jù)“直徑”協(xié)議定義的會(huì)話管理機(jī)制管理端到端會(huì)話�;通過(guò)此端到端會(huì)話發(fā)送和接收本地服務(wù)域的AA-Answer消息和AA-Request消息,收到的AA-Request消息進(jìn)入消息處理模塊的待處理消息隊(duì)列��。
定義的AA-Request消息和AA-Answer消息格式�����,其前序部分符合“直徑”協(xié)議網(wǎng)絡(luò)接入服務(wù)器請(qǐng)求應(yīng)用協(xié)議中定義的消息格式,1.)AA-Request消息和AA-Answer消息中必須包含RADIUS屬性值對(duì)�����;2.)在發(fā)生協(xié)議錯(cuò)誤時(shí)��,AA-Answer消息中RADIUS屬性值對(duì)內(nèi)容與對(duì)應(yīng)AA-Request消息中RADIUS屬性值對(duì)內(nèi)容相同�。
定義的RADIUS屬性值對(duì)格式,其前序部分符合“直徑”協(xié)議中定義的屬性值對(duì)格式�,1.)RADIUS屬性值對(duì)頭中M和P標(biāo)識(shí)為1,表示RADIUS屬性值對(duì)必須經(jīng)過(guò)加密和數(shù)字簽名保護(hù)���;2.)RADIUS屬性值對(duì)數(shù)據(jù)部分為8比特字節(jié)串��。
網(wǎng)絡(luò)接入服務(wù)器翻譯代理的實(shí)現(xiàn)方法中接口模塊預(yù)處理過(guò)程,其前序部分符合“半徑”協(xié)議中定義的屬性加密和解密�����、生成請(qǐng)求認(rèn)證碼��、計(jì)算應(yīng)答認(rèn)證碼�、計(jì)算消息認(rèn)證屬性的方法�����,1.)請(qǐng)求預(yù)處理過(guò)程收到接入請(qǐng)求消息時(shí)����,使用網(wǎng)絡(luò)接入服務(wù)器翻譯代理與網(wǎng)絡(luò)接入服務(wù)器共享的密鑰解密用戶口令屬性�����,并以明文替換原屬性��,2.)應(yīng)答預(yù)處理過(guò)程5a.收到接入接收消息時(shí)���,使用網(wǎng)絡(luò)接入服務(wù)器翻譯代理與網(wǎng)絡(luò)接入服務(wù)器共享的密鑰加密隧道口令屬性�����,并以密文替換原屬性����;5b.計(jì)算應(yīng)答認(rèn)證碼替換“半徑”協(xié)議應(yīng)答消息中的請(qǐng)求認(rèn)證碼�;5c.計(jì)算消息認(rèn)證屬性替換原屬性。
本地服務(wù)器翻譯代理的實(shí)現(xiàn)方法中接口模塊預(yù)處理過(guò)程,其前序部分符合“半徑”協(xié)議中定義的屬性加密和解密�����、生成和計(jì)算請(qǐng)求認(rèn)證碼�、計(jì)算和檢查應(yīng)答認(rèn)證碼、計(jì)算和檢查消息認(rèn)證屬性的方法��。
1.)請(qǐng)求預(yù)處理過(guò)程6a.收到接入請(qǐng)求消息時(shí)���,使用本地服務(wù)器翻譯代理與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器共享的密鑰加密用戶口令屬性�,并以密文替換原屬性���;6b.收到計(jì)費(fèi)請(qǐng)求消息時(shí)����,計(jì)算請(qǐng)求認(rèn)證碼替換原請(qǐng)求認(rèn)證碼���;其它“半徑”協(xié)議請(qǐng)求消息�����,則保存請(qǐng)求認(rèn)證碼,生成新的請(qǐng)求認(rèn)證碼替換原請(qǐng)求認(rèn)證碼;6c.保存“半徑”協(xié)議請(qǐng)求消息的消息標(biāo)識(shí)符����,使用新的消息標(biāo)識(shí)符替換原消息標(biāo)識(shí)符;6d.計(jì)算消息認(rèn)證屬性替換原屬性���;2.)應(yīng)答預(yù)處理過(guò)程7a.檢查“半徑”協(xié)議應(yīng)答消息的應(yīng)答認(rèn)證碼是否正確�����,如驗(yàn)證錯(cuò)誤則發(fā)送應(yīng)答錯(cuò)誤通知給消息處理模塊��;7b.檢查消息認(rèn)證屬性是否正確�,如驗(yàn)證錯(cuò)誤則發(fā)送應(yīng)答錯(cuò)誤通知給消息處理模塊�����;7c.收到接入接受消息時(shí)�����,使用本地服務(wù)器翻譯代理與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器共享的密鑰解密隧道口令屬性屬性�,并以明文替換原屬性;7d.恢復(fù)原消息標(biāo)識(shí)符����;7e.恢復(fù)原請(qǐng)求認(rèn)證碼����。
有益效果根據(jù)本發(fā)明構(gòu)建的AAA系統(tǒng)網(wǎng)絡(luò)���,不僅引入了新一代的Diameter AAA網(wǎng)絡(luò)結(jié)構(gòu)��,而且完全兼容現(xiàn)有AAA系統(tǒng)���;分布式的組網(wǎng)結(jié)構(gòu)便于擴(kuò)展;為網(wǎng)絡(luò)的可持續(xù)升級(jí)提供了解決方案���。
本發(fā)明描述的FAIv1-NASREQ應(yīng)用協(xié)議完全符合Diameter應(yīng)用協(xié)議規(guī)范����,同時(shí)完全兼容RADIUS協(xié)議(包括RADIUS計(jì)費(fèi)協(xié)議和RADIUS擴(kuò)展協(xié)議)����,支持RADIUS各種認(rèn)證和計(jì)費(fèi)消息。FAIv1-NASREQ應(yīng)用協(xié)議所定義的NASTA和HMSTA設(shè)備的操作流程充分考慮了RADIUS協(xié)議和Diameter協(xié)議各自的特點(diǎn)���,在強(qiáng)調(diào)兼容性的同時(shí)還兼顧效率��,尤其在為漫游用戶提供安全���、可靠、高效的AAA服務(wù)的同時(shí)不影響本地用戶AAA服務(wù)質(zhì)量����。
圖1為認(rèn)證、授權(quán)��、計(jì)費(fèi)(AAA)系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)示意圖�����。其中有網(wǎng)絡(luò)接入服務(wù)器翻譯代理1��;本地服務(wù)器翻譯代理2���、6�、11����;中繼代理3、7�����、10;委托代理8���、9��;網(wǎng)絡(luò)接入服務(wù)器5�;本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器4�����。
圖2為依據(jù)本發(fā)明中描述的實(shí)施例的消息流程圖���。
具體實(shí)施例方式
下面結(jié)合附圖對(duì)本發(fā)明具體實(shí)施方式
作進(jìn)一步說(shuō)明本發(fā)明的向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)為����,該網(wǎng)絡(luò)結(jié)構(gòu)遵循互聯(lián)網(wǎng)工程任務(wù)組制定的“直徑”協(xié)議中規(guī)定的網(wǎng)絡(luò)結(jié)構(gòu)����,在該結(jié)構(gòu)中有網(wǎng)絡(luò)接入服務(wù)器翻譯代理、本地服務(wù)器翻譯代理��、中繼代理和委托代理���、網(wǎng)絡(luò)接入服務(wù)器和本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器��;網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)每個(gè)本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器所服務(wù)的區(qū)域被劃分為服務(wù)域A���、服務(wù)域B、服務(wù)域C�,根據(jù)管轄區(qū)域劃分為管理域I、管理域II�����;在服務(wù)域A內(nèi)����,網(wǎng)絡(luò)接入服務(wù)器與網(wǎng)絡(luò)接入服務(wù)器翻譯代理直接連接,本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器與本地服務(wù)器翻譯代理直接連接�����;網(wǎng)絡(luò)接入服務(wù)器翻譯代理�����、本地服務(wù)器翻譯代理和中繼代理由本地網(wǎng)絡(luò)連接�����,并相互訪問(wèn);在管理域內(nèi)�,包含了多個(gè)服務(wù)域,服務(wù)域A和服務(wù)域B的本地服務(wù)器翻譯代理和中繼代理之間通過(guò)管理域I網(wǎng)絡(luò)連接�����,并相互訪問(wèn)���;委托代理處于管理域I和外網(wǎng)的邊界上�,通過(guò)網(wǎng)絡(luò)訪問(wèn)管理域I內(nèi)各本地服務(wù)器翻譯代理和中繼代理�����;管理域I和管理域II的委托代理之間通過(guò)互聯(lián)網(wǎng)相互連接��。
遵循互聯(lián)網(wǎng)工程任務(wù)組制定的“直徑”協(xié)議中規(guī)定的網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)方法為1.)在原“直徑”協(xié)議的實(shí)現(xiàn)方案中引入網(wǎng)絡(luò)接入服務(wù)器翻譯代理設(shè)備和本地服務(wù)器翻譯代理設(shè)備���,它們位于“直徑”協(xié)議網(wǎng)絡(luò)和“半徑”協(xié)議網(wǎng)絡(luò)的邊界����,用于“直徑”協(xié)議消息和“半徑”協(xié)議消息之間的協(xié)議轉(zhuǎn)換處理,符合“直徑”協(xié)議中關(guān)于翻譯代理的實(shí)現(xiàn)方法���;2.)網(wǎng)絡(luò)接入服務(wù)器翻譯代理和本地服務(wù)器翻譯代理之間的通信遵循“直徑”協(xié)議���;3.)網(wǎng)絡(luò)接入服務(wù)器翻譯代理與網(wǎng)絡(luò)接入服務(wù)器之間的通信遵循“半徑”協(xié)議,本地服務(wù)器翻譯代理與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器之間的通信遵循“半徑”協(xié)議���;4.)網(wǎng)絡(luò)接入服務(wù)器翻譯代理和本地服務(wù)器翻譯代理根據(jù)功能分別被劃分為接口模塊��、消息處理模塊和協(xié)議模塊;5.)定義兩種“直徑”協(xié)議消息AA-Request消息和AA-Answer消息��,消息命令碼為265�����;6.)定義一種“直徑”協(xié)議屬性值對(duì)用于承載“半徑”協(xié)議消息����,稱為RADIUS屬性值對(duì),屬性值對(duì)碼為255��;7.)網(wǎng)絡(luò)接入服務(wù)器翻譯代理實(shí)現(xiàn)方法的處理流程當(dāng)收到來(lái)自網(wǎng)絡(luò)接入服務(wù)器的“半徑”協(xié)議請(qǐng)求消息����,網(wǎng)絡(luò)接入服務(wù)器翻譯代理根據(jù)“半徑”協(xié)議請(qǐng)求消息中用戶歸屬地服務(wù)域信息檢索與對(duì)應(yīng)服務(wù)域本地服務(wù)器翻譯代理建立的端到端會(huì)話����,如果未檢索到對(duì)應(yīng)端到端會(huì)話��,則由網(wǎng)絡(luò)接入服務(wù)器翻譯代理發(fā)起建立�;“半徑”協(xié)議請(qǐng)求消息經(jīng)過(guò)預(yù)處理后封裝在AA-Request消息的RADIUS屬性值對(duì)中,AA-Request消息通過(guò)端到端會(huì)話發(fā)送至本地服務(wù)器翻譯代理�,本地服務(wù)器翻譯代理解析RADIUS屬性值對(duì)中的“半徑”協(xié)議請(qǐng)求消息,經(jīng)過(guò)預(yù)處理后發(fā)送到本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器��;8.)本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器翻譯代理實(shí)現(xiàn)方法的處理流程當(dāng)收到本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器的“半徑”協(xié)議應(yīng)答消息�����,“半徑”協(xié)議應(yīng)答消息經(jīng)過(guò)預(yù)處理后封裝在AA-Answer消息的RADIUS屬性值對(duì)中��,AA-Answer消息通過(guò)端到端會(huì)話發(fā)送至網(wǎng)絡(luò)接入服務(wù)器翻譯代理�,網(wǎng)絡(luò)接入服務(wù)器翻譯代理解析RADIUS屬性值對(duì)中的“半徑”協(xié)議應(yīng)答消息��,經(jīng)過(guò)預(yù)處理后發(fā)送到網(wǎng)絡(luò)接入服務(wù)器��。
網(wǎng)絡(luò)接入服務(wù)器翻譯代理的實(shí)現(xiàn)方法為1.)接口模塊遵循“半徑”協(xié)議與網(wǎng)絡(luò)接入服務(wù)器通信1a.監(jiān)聽(tīng)傳輸協(xié)議的1812和1813端口����,等待接收“半徑”協(xié)議請(qǐng)求消息��;來(lái)自消息處理模塊的“半徑”協(xié)議應(yīng)答消息����,接口模塊經(jīng)過(guò)應(yīng)答預(yù)處理后�,發(fā)往對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)器,已發(fā)送的“半徑”協(xié)議應(yīng)答消息在已應(yīng)答消息隊(duì)列中保留5秒后自動(dòng)刪除���;1b.收到“半徑”協(xié)議請(qǐng)求消息����,根據(jù)消息標(biāo)識(shí)符檢索待處理消息隊(duì)列��,如果找到相同標(biāo)識(shí)符的消息則此“半徑”協(xié)議請(qǐng)求消息為待處理消息的重發(fā)請(qǐng)求�����,丟棄此請(qǐng)求消息�����,返回步驟1a�����;1c.根據(jù)消息標(biāo)識(shí)符檢索已應(yīng)答消息隊(duì)列���,如果找到相同標(biāo)識(shí)符的應(yīng)答消息則此“半徑”協(xié)議請(qǐng)求消息為已應(yīng)答消息的重發(fā)請(qǐng)求���,重發(fā)對(duì)應(yīng)“半徑”協(xié)議應(yīng)答消息,返回步驟1a����;1d.如果收到的“半徑”協(xié)議請(qǐng)求消息不是重發(fā)請(qǐng)求消息,在完成對(duì)“半徑”協(xié)議請(qǐng)求消息的請(qǐng)求預(yù)處理后��,消息將進(jìn)入消息處理模塊的待處理消息隊(duì)列�,返回步驟1a;2.)消息處理模塊負(fù)責(zé)“半徑”協(xié)議消息和“直徑”協(xié)議消息之間的封裝和解析�,以及“直徑”協(xié)議消息與端到端會(huì)話之間的映射2a.等待新消息進(jìn)入待處理消息隊(duì)列;當(dāng)從協(xié)議模塊收到AA-Answer消息時(shí)����,從RADIUS屬性值對(duì)中解析出“半徑”協(xié)議應(yīng)答消息;如果AA-Answer消息中結(jié)果碼屬性值對(duì)的值等于2002�����,則生成“半徑”協(xié)議的接入拒絕消息作為“半徑”協(xié)議應(yīng)答消息;對(duì)應(yīng)的“半徑”協(xié)議請(qǐng)求消息從待處理消息隊(duì)列中出隊(duì)���,并把接入拒絕消息發(fā)往接口模塊�����;2b.新進(jìn)入待處理消息隊(duì)列的“半徑”協(xié)議請(qǐng)求消息被封裝為AA-Request消息����,并根據(jù)“半徑”協(xié)議請(qǐng)求消息中目的服務(wù)域的信息分發(fā)AA-Request消息到協(xié)議模塊中已建立的對(duì)應(yīng)服務(wù)域端到端會(huì)話接口���,返回步驟2a��;2c.對(duì)于新的目的服務(wù)域����,消息處理模塊將請(qǐng)求協(xié)議模塊發(fā)起建立新的端到端會(huì)話�,如果端到端會(huì)話建立成功��,AA-Request消息發(fā)往此端到端會(huì)話接口���,否則對(duì)應(yīng)的“半徑”協(xié)議請(qǐng)求消息從待處理消息隊(duì)列中出隊(duì)���,并生成Access-Reject消息發(fā)往接口模塊�,返回步驟2a�����;3.)協(xié)議模塊執(zhí)行“直徑”協(xié)議中定義的客戶端功能�����,根據(jù)消息處理模塊的請(qǐng)求��,通過(guò)“直徑”協(xié)議網(wǎng)絡(luò)的路由和中繼�����,與目的服務(wù)域本地服務(wù)器翻譯代理建立端到端會(huì)話��,通過(guò)此端到端會(huì)話發(fā)送和接收對(duì)應(yīng)服務(wù)域的AA-Request消息和AA-Answer消息�;并且根據(jù)“直徑”協(xié)議定義的會(huì)話管理機(jī)制管理端到端會(huì)話。
本地服務(wù)器翻譯代理設(shè)備的實(shí)現(xiàn)方法為
1.)接口模塊遵循“半徑”協(xié)議與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器通信3a.通過(guò)傳輸協(xié)議與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器的1812和1813端口建立連接����,等待接收“半徑”協(xié)議應(yīng)答消息;來(lái)自消息處理模塊的“半徑”協(xié)議請(qǐng)求消息��,經(jīng)過(guò)請(qǐng)求預(yù)接口模塊處理后,發(fā)往本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器��,已發(fā)送的“半徑”協(xié)議請(qǐng)求消息保存在已請(qǐng)求消息隊(duì)列中��,每5秒重發(fā)一次�����,三次重發(fā)后出隊(duì)���,并通知消息處理模塊���;3b.收到“半徑”協(xié)議應(yīng)答消息,根據(jù)消息標(biāo)識(shí)符檢索已請(qǐng)求消息隊(duì)列��,如果沒(méi)有找到相同標(biāo)識(shí)符的消息�,則丟棄此應(yīng)答消息,返回步驟3a����;3c.如果在已請(qǐng)求消息隊(duì)列中找到相同標(biāo)識(shí)符的消息,對(duì)應(yīng)“半徑”協(xié)議請(qǐng)求消息出隊(duì)����,在完成對(duì)“半徑”協(xié)議應(yīng)答消息的應(yīng)答預(yù)處理后,消息將發(fā)往消息處理模塊����,返回步驟3a;2.)消息處理模塊負(fù)責(zé)“半徑”協(xié)議消息和“直徑”協(xié)議消息之間的封裝和解析4a.等待新的AA-Request消息進(jìn)入待處理消息隊(duì)列����;來(lái)自接口模塊的“半徑”協(xié)議應(yīng)答消息被封裝在RADIUS屬性值對(duì)中,如果收到來(lái)自接口模塊的已請(qǐng)求消息超時(shí)或應(yīng)答錯(cuò)誤通知���,則將對(duì)應(yīng)“半徑”協(xié)議請(qǐng)求消息封裝在RADIUS屬性值對(duì)中���,并設(shè)置結(jié)果碼屬性值對(duì)的值等于2002;根據(jù)RADIUS消息標(biāo)識(shí)符檢索待處理消息隊(duì)列中AA-Request消息��,對(duì)應(yīng)AA-Request消息出隊(duì)�,根據(jù)AA-Request消息的屬性值對(duì)信息生成AA-Answer消息;生成的AA-Answer消息發(fā)往協(xié)議模塊�;4b.從新進(jìn)入待處理消息隊(duì)列的AA-Request消息的RADIUS屬性值對(duì)中解析“半徑”協(xié)議請(qǐng)求消息,發(fā)往接口模塊�,返回步驟4a;3.)協(xié)議模塊遵循“直徑”協(xié)議中定義的服務(wù)器的功能�����,通過(guò)“直徑”協(xié)議網(wǎng)絡(luò)的路由和中繼,與網(wǎng)絡(luò)接入服務(wù)器翻譯代理建立端到端會(huì)話�����,并根據(jù)“直徑”協(xié)議定義的會(huì)話管理機(jī)制管理端到端會(huì)話��;通過(guò)此端到端會(huì)話發(fā)送和接收本地服務(wù)域的AA-Answer消息和AA-Request消息�����,收到的AA-Request消息進(jìn)入消息處理模塊的待處理消息隊(duì)列��。
定義的AA-Request消息和AA-Answer消息格式�,其前序部分符合“直徑”協(xié)議網(wǎng)絡(luò)接入服務(wù)器請(qǐng)求應(yīng)用協(xié)議中定義的消息格式,1.)AA-Request消息和AA-Answer消息中必須包含RADIUS屬性值對(duì)����;2.)在發(fā)生協(xié)議錯(cuò)誤時(shí),AA-Answer消息中RADIUS屬性值對(duì)內(nèi)容與對(duì)應(yīng)AA-Request消息中RADIUS屬性值對(duì)內(nèi)容相同���。
定義的RADIUS屬性值對(duì)格式����,其前序部分符合“直徑”協(xié)議中定義的屬性值對(duì)格式,1.)RADIUS屬性值對(duì)頭中M和P標(biāo)識(shí)為1��,表示RADIUS屬性值對(duì)必須經(jīng)過(guò)加密和數(shù)字簽名保護(hù)���;2.)RADIUS屬性值對(duì)數(shù)據(jù)部分為8比特字節(jié)串。
網(wǎng)絡(luò)接入服務(wù)器翻譯代理的實(shí)現(xiàn)方法中接口模塊預(yù)處理過(guò)程�����,其前序部分符合“半徑”協(xié)議中定義的屬性加密和解密�、生成請(qǐng)求認(rèn)證碼、計(jì)算應(yīng)答認(rèn)證碼�、計(jì)算消息認(rèn)證屬性的方法,1.)請(qǐng)求預(yù)處理過(guò)程收到接入請(qǐng)求消息時(shí)��,使用網(wǎng)絡(luò)接入服務(wù)器翻譯代理與網(wǎng)絡(luò)接入服務(wù)器共享的密鑰解密用戶口令屬性��,并以明文替換原屬性���,2.)應(yīng)答預(yù)處理過(guò)程5a.收到接入接收消息時(shí)�,使用網(wǎng)絡(luò)接入服務(wù)器翻譯代理與網(wǎng)絡(luò)接入服務(wù)器共享的密鑰加密隧道口令屬性���,并以密文替換原屬性�����;5b.計(jì)算應(yīng)答認(rèn)證碼替換“半徑”協(xié)議應(yīng)答消息中的請(qǐng)求認(rèn)證碼�;5c.計(jì)算消息認(rèn)證屬性替換原屬性。
本地服務(wù)器翻譯代理的實(shí)現(xiàn)方法中接口模塊預(yù)處理過(guò)程����,其前序部分符合“半徑”協(xié)議中定義的屬性加密和解密、生成和計(jì)算請(qǐng)求認(rèn)證碼��、計(jì)算和檢查應(yīng)答認(rèn)證碼���、計(jì)算和檢查消息認(rèn)證屬性的方法�,1.)請(qǐng)求預(yù)處理過(guò)程6a.收到接入請(qǐng)求消息時(shí)����,使用本地服務(wù)器翻譯代理與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器共享的密鑰加密用戶口令屬性,并以密文替換原屬性�;6b.收到計(jì)費(fèi)請(qǐng)求消息時(shí),計(jì)算請(qǐng)求認(rèn)證碼替換原請(qǐng)求認(rèn)證碼��;其它“半徑”協(xié)議請(qǐng)求消息�����,則保存請(qǐng)求認(rèn)證碼,生成新的請(qǐng)求認(rèn)證碼替換原請(qǐng)求認(rèn)證碼��;6c.保存“半徑”協(xié)議請(qǐng)求消息的消息標(biāo)識(shí)符����,使用新的消息標(biāo)識(shí)符替換原消息標(biāo)識(shí)符;6d.計(jì)算消息認(rèn)證屬性替換原屬性���;2.)應(yīng)答預(yù)處理過(guò)程7a.檢查“半徑”協(xié)議應(yīng)答消息的應(yīng)答認(rèn)證碼是否正確,如驗(yàn)證錯(cuò)誤則發(fā)送應(yīng)答錯(cuò)誤通知給消息處理模塊�;7b.檢查消息認(rèn)證屬性是否正確,如驗(yàn)證錯(cuò)誤則發(fā)送應(yīng)答錯(cuò)誤通知給消息處理模塊���;7c.收到接入接受消息時(shí)�����,使用本地服務(wù)器翻譯代理與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器共享的密鑰解密隧道口令屬性屬性�����,并以明文替換原屬性��;7d.恢復(fù)原消息標(biāo)識(shí)符�;7e.恢復(fù)原請(qǐng)求認(rèn)證碼。
根據(jù)本發(fā)明中FAIv1-NASREQ應(yīng)用協(xié)議描述的NASTA和HMSTA設(shè)備的行為��,NAS發(fā)起Access-Request消息(接入請(qǐng)求消息)到收到Access-Accept消息(接入接受消息)的消息流程如圖2所示�����,NASTA和HMSTA設(shè)備各模塊的具體操作步驟如下a.NASTA的接口模塊監(jiān)聽(tīng)UDP協(xié)議的1812和1813端口�����,收到Access-Request消息�����,根據(jù)消息標(biāo)識(shí)符檢索待處理消息隊(duì)列��,沒(méi)有找到相同標(biāo)識(shí)符的消息���,此Access-Request消息不是待處理消息的重發(fā)請(qǐng)求���;根據(jù)消息標(biāo)識(shí)符檢索已應(yīng)答消息隊(duì)列,沒(méi)有找到相同標(biāo)識(shí)符的應(yīng)答消息����,此Access-Request消息不是已應(yīng)答消息的重發(fā)請(qǐng)求��;使用NASTA與NAS共享的密鑰解密User Password屬性(用戶口令屬性)���,并以明文替換原屬性;進(jìn)入消息處理模塊的待處理消息隊(duì)列�����;b.NASTA的消息處理模塊將新進(jìn)入待處理消息隊(duì)列的Access-Request消息封裝為AA-Request消息�����,并根據(jù)RADIUS請(qǐng)求消息User Name屬性(用
c.戶名屬性)中目的服務(wù)域的信息分發(fā)AA-Request消息到協(xié)議模塊中已建立的對(duì)應(yīng)服務(wù)域端到端會(huì)話接口����;如果是新的目的服務(wù)域����,消息處理模塊將請(qǐng)求協(xié)議模塊發(fā)起建立新的端到端會(huì)話,如果端到端會(huì)話建立成功����,AA-Request消息發(fā)往此端到端會(huì)話接口;d.NASTA的協(xié)議模塊遵循Diameter協(xié)議中定義的客戶端的功能��,通過(guò)此端到端會(huì)話發(fā)送對(duì)應(yīng)服務(wù)域的AA-Request消息;e.HMSTA的協(xié)議模塊遵循Diameter協(xié)議中定義的服務(wù)器的功能����,通過(guò)端到端會(huì)話接收本地服務(wù)域的AA-Request消息,收到的AA-Request消息進(jìn)入消息處理模塊的待處理消息隊(duì)列�����;f.HMSTA的消息處理模塊等待新的AA-Request消息進(jìn)入待處理消息隊(duì)列���,從新進(jìn)入待處理消息隊(duì)列的AA-Request消息的RADIUS AVP中解析Access-Request消息��,發(fā)往接口模塊�;g.HMSTA的接口模塊對(duì)Access-Request消息使用HMSTA與HMS共享的密鑰加密User Password屬性(用戶口令屬性)����,并以密文替換原屬性,保存Access-Request消息的消息標(biāo)識(shí)符��,使用新的消息標(biāo)識(shí)符替換原消息標(biāo)識(shí)符���,計(jì)算Message Authenticator屬性(消息認(rèn)證屬性)替換原屬性��,然后發(fā)往HMS�;已發(fā)送的Access-Request消息保存在已請(qǐng)求消息隊(duì)列中,每5秒重發(fā)一次����;h.HMSTA的接口模塊收到來(lái)自HMS的Access-Accept消息,根據(jù)消息標(biāo)識(shí)符檢索已請(qǐng)求消息隊(duì)列����,找到相同標(biāo)識(shí)符的消息,對(duì)應(yīng)Access-Request消息出隊(duì)���;檢查RADIUS應(yīng)答消息的應(yīng)答認(rèn)證碼是否正確����,如驗(yàn)證錯(cuò)誤則發(fā)送應(yīng)答錯(cuò)誤通知給消息處理模塊��;檢查Message Authenticator屬性是否正確���,如驗(yàn)證錯(cuò)誤則發(fā)送應(yīng)答錯(cuò)誤通知給消息處理模塊;使用HMSTA與HMS共享的密鑰解密Tunnel Password屬性(隧道口令屬性)�,并以明文替換原屬性;恢復(fù)原消息標(biāo)識(shí)符�;恢復(fù)原請(qǐng)求認(rèn)證碼;將處理后的Access-Accept消息發(fā)往消息處理模塊���;i.HMSTA的消息處理模塊將來(lái)自接口模塊的Access-Accept消息被封裝在RADIUS AVP中�����,根據(jù)RADIUS消息標(biāo)識(shí)符檢索待處理消息隊(duì)列中AA-Request消息�,對(duì)應(yīng)AA-Request消息出隊(duì),根據(jù)AA-Request消息的AVP信息生成AA-Answer消息�;生成的AA-Answer消息發(fā)往協(xié)議模塊;j.HMSTA的協(xié)議模塊通過(guò)此端到端會(huì)話發(fā)送AA-Answer消息到NASTA�;k.NASTA的協(xié)議模塊從端到端會(huì)話接收AA-Answer消息;l.NASTA的消息處理模塊當(dāng)從協(xié)議模塊收到AA-Answer消息時(shí)���,從RADIUSAVP中解析出Access-Accept消息�����;對(duì)應(yīng)的Access-Request消息從待處理消息隊(duì)列中出隊(duì)��,并把Access-Accept消息發(fā)往接口模塊��;m.NASTA的接口模塊將來(lái)自消息處理模塊的Access-Accept消息使用NASTA與NAS共享的密鑰加密Tunnel Password屬性��,并以密文替換原屬性�;計(jì)算應(yīng)答認(rèn)證碼替換RADIUS應(yīng)答消息中的請(qǐng)求認(rèn)證碼�����;處理后的Access-Accept消息發(fā)往對(duì)應(yīng)的NAS,已發(fā)送的Access-Accept消息在已應(yīng)答消息隊(duì)列中保留5秒后自動(dòng)刪除����。
權(quán)利要求
1.一種向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu),其特征在于該網(wǎng)絡(luò)結(jié)構(gòu)遵循互聯(lián)網(wǎng)工程任務(wù)組制定的“直徑”協(xié)議中規(guī)定的網(wǎng)絡(luò)結(jié)構(gòu)�����,在該結(jié)構(gòu)中有網(wǎng)絡(luò)接入服務(wù)器翻譯代理(1)��、本地服務(wù)器翻譯代理(2�����、6����、11)����、中繼代理(3、7����、10)和委托代理(8�����、9)�、網(wǎng)絡(luò)接入服務(wù)器(5)和本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器(4)�����;網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)每個(gè)本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器所服務(wù)的區(qū)域被劃分為服務(wù)域A��、服務(wù)域B�����、服務(wù)域C����,根據(jù)管轄區(qū)域劃分為管理域I、管理域II�����;在服務(wù)域A內(nèi),網(wǎng)絡(luò)接入服務(wù)器(5)與網(wǎng)絡(luò)接入服務(wù)器翻譯代理(1)直接連接�����,本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器(4)與本地服務(wù)器翻譯代理(2)直接連接��;網(wǎng)絡(luò)接入服務(wù)器翻譯代理(1)�����、本地服務(wù)器翻譯代理(2)和中繼代理(3)由本地網(wǎng)絡(luò)連接����,并相互訪問(wèn);在管理域內(nèi)���,包含了多個(gè)服務(wù)域����,服務(wù)域A和服務(wù)域B的本地服務(wù)器翻譯代理(2��、6)和中繼代理(3����、7)之間通過(guò)管理域I網(wǎng)絡(luò)連接����,并相互訪問(wèn)����;委托代理(8)處于管理域I和外網(wǎng)的邊界上�,通過(guò)網(wǎng)絡(luò)訪問(wèn)管理域I內(nèi)各本地服務(wù)器翻譯代理(2、6)和中繼代理(3�、7);管理域I和管理域II的委托代理(8�、9)之間通過(guò)互聯(lián)網(wǎng)相互連接。
2.一種如權(quán)利要求1所述的向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的實(shí)現(xiàn)方法��,其特征在于遵循互聯(lián)網(wǎng)工程任務(wù)組制定的“直徑”協(xié)議中規(guī)定的網(wǎng)絡(luò)結(jié)構(gòu)實(shí)現(xiàn)方法為1)在原“直徑”協(xié)議的實(shí)現(xiàn)方案中引入網(wǎng)絡(luò)接入服務(wù)器翻譯代理設(shè)備和本地服務(wù)器翻譯代理設(shè)備���,它們位于“直徑”協(xié)議網(wǎng)絡(luò)和“半徑”協(xié)議網(wǎng)絡(luò)的邊界����,用于“直徑”協(xié)議消息和“半徑”協(xié)議消息之間的協(xié)議轉(zhuǎn)換處理���,符合“直徑”協(xié)議中關(guān)于翻譯代理的實(shí)現(xiàn)方法�����;2)網(wǎng)絡(luò)接入服務(wù)器翻譯代理和本地服務(wù)器翻譯代理之間的通信遵循“直徑”協(xié)議���;3)網(wǎng)絡(luò)接入服務(wù)器翻譯代理與網(wǎng)絡(luò)接入服務(wù)器之間的通信遵循“半徑”協(xié)議�,本地服務(wù)器翻譯代理與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器之間的通信遵循“半徑”協(xié)議��;4)網(wǎng)絡(luò)接入服務(wù)器翻譯代理和本地服務(wù)器翻譯代理根據(jù)功能分別被劃分為接口模塊�����、消息處理模塊和協(xié)議模塊����;5)定義兩種“直徑”協(xié)議消息AA-Request消息和AA-Answer消息,消息命令碼為265���;6)定義一種“直徑”協(xié)議屬性值對(duì)用于承載“半徑”協(xié)議消息�,稱為RADIUS屬性值對(duì)�����,屬性值對(duì)碼為255��;7)網(wǎng)絡(luò)接入服務(wù)器翻譯代理實(shí)現(xiàn)方法的處理流程當(dāng)收到來(lái)自網(wǎng)絡(luò)接入服務(wù)器的“半徑”協(xié)議請(qǐng)求消息�����,網(wǎng)絡(luò)接入服務(wù)器翻譯代理根據(jù)“半徑”協(xié)議請(qǐng)求消息中用戶歸屬地服務(wù)域信息檢索與對(duì)應(yīng)服務(wù)域本地服務(wù)器翻譯代理建立的端到端會(huì)話,如果未檢索到對(duì)應(yīng)端到端會(huì)話�����,則由網(wǎng)絡(luò)接入服務(wù)器翻譯代理發(fā)起建立��;“半徑”協(xié)議請(qǐng)求消息經(jīng)過(guò)預(yù)處理后封裝在AA-Request消息的RADIUS屬性值對(duì)中�,AA-Request消息通過(guò)端到端會(huì)話發(fā)送至本地服務(wù)器翻譯代理�,本地服務(wù)器翻譯代理解析RADIUS屬性值對(duì)中的“半徑”協(xié)議請(qǐng)求消息,經(jīng)過(guò)預(yù)處理后發(fā)送到本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器�����;8)本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器翻譯代理實(shí)現(xiàn)方法的處理流程當(dāng)收到本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器的“半徑”協(xié)議應(yīng)答消息��,“半徑”協(xié)議應(yīng)答消息經(jīng)過(guò)預(yù)處理后封裝在AA-Answer消息的RADIUS屬性值對(duì)中�,AA-Answer消息通過(guò)端到端會(huì)話發(fā)送至網(wǎng)絡(luò)接入服務(wù)器翻譯代理,網(wǎng)絡(luò)接入服務(wù)器翻譯代理解析RADIUS屬性值對(duì)中的“半徑”協(xié)議應(yīng)答消息����,經(jīng)過(guò)預(yù)處理后發(fā)送到網(wǎng)絡(luò)接入服務(wù)器。
3.根據(jù)權(quán)利要求2所述的向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的實(shí)現(xiàn)方法���,其特征在于網(wǎng)絡(luò)接入服務(wù)器翻譯代理的實(shí)現(xiàn)方法為1)接口模塊遵循“半徑”協(xié)議與網(wǎng)絡(luò)接入服務(wù)器通信1a.監(jiān)聽(tīng)傳輸協(xié)議的1812和1813端口���,等待接收“半徑”協(xié)議請(qǐng)求消息���;來(lái)自消息處理模塊的“半徑”協(xié)議應(yīng)答消息,接口模塊經(jīng)過(guò)應(yīng)答預(yù)處理后�,發(fā)往對(duì)應(yīng)的網(wǎng)絡(luò)接入服務(wù)器,已發(fā)送的“半徑”協(xié)議應(yīng)答消息在已應(yīng)答消息隊(duì)列中保留5秒后自動(dòng)刪除�����;1b.收到“半徑”協(xié)議請(qǐng)求消息��,根據(jù)消息標(biāo)識(shí)符檢索待處理消息隊(duì)列�����,如果找到相同標(biāo)識(shí)符的消息則此“半徑”協(xié)議請(qǐng)求消息為待處理消息的重發(fā)請(qǐng)求��,丟棄此請(qǐng)求消息����,返回步驟1a;1c.根據(jù)消息標(biāo)識(shí)符檢索已應(yīng)答消息隊(duì)列����,如果找到相同標(biāo)識(shí)符的應(yīng)答消息則此“半徑”協(xié)議請(qǐng)求消息為已應(yīng)答消息的重發(fā)請(qǐng)求�,重發(fā)對(duì)應(yīng)“半徑”協(xié)議應(yīng)答消息����,返回步驟1a;1d.如果收到的“半徑”協(xié)議請(qǐng)求消息不是重發(fā)請(qǐng)求消息���,在完成對(duì)“半徑”協(xié)議請(qǐng)求消息的請(qǐng)求預(yù)處理后,消息將進(jìn)入消息處理模塊的待處理消息隊(duì)列���,返回步驟1a�;2)消息處理模塊負(fù)責(zé)“半徑”協(xié)議消息和“直徑”協(xié)議消息之間的封裝和解析�,以及“直徑”協(xié)議消息與端到端會(huì)話之間的映射2a.等待新消息進(jìn)入待處理消息隊(duì)列;當(dāng)從協(xié)議模塊收到AA-Answer消息時(shí)�����,從RADIUS屬性值對(duì)中解析出“半徑”協(xié)議應(yīng)答消息��;如果AA-Answer消息中結(jié)果碼屬性值對(duì)的值等于2002����,則生成“半徑”協(xié)議的接入拒絕消息作為“半徑”協(xié)議應(yīng)答消息�;對(duì)應(yīng)的“半徑”協(xié)議請(qǐng)求消息從待處理消息隊(duì)列中出隊(duì)����,并把接入拒絕消息發(fā)往接口模塊;2b.新進(jìn)入待處理消息隊(duì)列的“半徑”協(xié)議請(qǐng)求消息被封裝為AA-Request消息���,并根據(jù)“半徑”協(xié)議請(qǐng)求消息中目的服務(wù)域的信息分發(fā)AA-Request消息到協(xié)議模塊中已建立的對(duì)應(yīng)服務(wù)域端到端會(huì)話接口��,返回步驟2a�����;2c.對(duì)于新的目的服務(wù)域����,消息處理模塊將請(qǐng)求協(xié)議模塊發(fā)起建立新的端到端會(huì)話��,如果端到端會(huì)話建立成功����,AA-Request消息發(fā)往此端到端會(huì)話接口,否則對(duì)應(yīng)的“半徑”協(xié)議請(qǐng)求消息從待處理消息隊(duì)列中出隊(duì)�,并生成Access-Reject消息發(fā)往接口模塊,返回步驟2a���;3)協(xié)議模塊執(zhí)行“直徑”協(xié)議中定義的客戶端功能����,根據(jù)消息處理模塊的請(qǐng)求,通過(guò)“直徑”協(xié)議網(wǎng)絡(luò)的路由和中繼����,與目的服務(wù)域本地服務(wù)器翻譯代理建立端到端會(huì)話,通過(guò)此端到端會(huì)話發(fā)送和接收對(duì)應(yīng)服務(wù)域的AA-Request消息和AA-Answer消息�����;并且根據(jù)“直徑”協(xié)議定義的會(huì)話管理機(jī)制管理端到端會(huì)話����。
4.根據(jù)權(quán)利要求2所述的向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的實(shí)現(xiàn)方法����,其特征在于本地服務(wù)器翻譯代理設(shè)備的實(shí)現(xiàn)方法為1)接口模塊遵循“半徑”協(xié)議與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器通信3a.通過(guò)傳輸協(xié)議與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器的1812和1813端口建立連接,等待接收“半徑”協(xié)議應(yīng)答消息�;來(lái)自消息處理模塊的“半徑”協(xié)議請(qǐng)求消息,經(jīng)過(guò)請(qǐng)求預(yù)接口模塊處理后���,發(fā)往本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器����,已發(fā)送的“半徑”協(xié)議請(qǐng)求消息保存在已請(qǐng)求消息隊(duì)列中,每5秒重發(fā)一次�,三次重發(fā)后出隊(duì),并通知消息處理模塊��;3b.收到“半徑”協(xié)議應(yīng)答消息�,根據(jù)消息標(biāo)識(shí)符檢索已請(qǐng)求消息隊(duì)列,如果沒(méi)有找到相同標(biāo)識(shí)符的消息�����,則丟棄此應(yīng)答消息��,返回步驟3a���;3c.如果在已請(qǐng)求消息隊(duì)列中找到相同標(biāo)識(shí)符的消息�,對(duì)應(yīng)“半徑”協(xié)議請(qǐng)求消息出隊(duì)�����,在完成對(duì)“半徑”協(xié)議應(yīng)答消息的應(yīng)答預(yù)處理后�����,消息將發(fā)往消息處理模塊,返回步驟3a���;2)消息處理模塊負(fù)責(zé)“半徑”協(xié)議消息和“直徑”協(xié)議消息之間的封裝和解析4a.等待新的AA-Request消息進(jìn)入待處理消息隊(duì)列�����;來(lái)自接口模塊的“半徑”協(xié)議應(yīng)答消息被封裝在RADIUS屬性值對(duì)中���,如果收到來(lái)自接口模塊的已請(qǐng)求消息超時(shí)或應(yīng)答錯(cuò)誤通知,則將對(duì)應(yīng)“半徑”協(xié)議請(qǐng)求消息封裝在RADIUS屬性值對(duì)中����,并設(shè)置結(jié)果碼屬性值對(duì)的值等于2002;根據(jù)RADIUS消息標(biāo)識(shí)符檢索待處理消息隊(duì)列中AA-Request消息�����,對(duì)應(yīng)AA-Request消息出隊(duì)�,根據(jù)AA-Request消息的屬性值對(duì)信息生成AA-Answer消息�����;生成的AA-Answer消息發(fā)往協(xié)議模塊;4b.從新進(jìn)入待處理消息隊(duì)列的AA-Request消息的RADIUS屬性值對(duì)中解析“半徑”協(xié)議請(qǐng)求消息���,發(fā)往接口模塊���,返回步驟4a;3)協(xié)議模塊遵循“直徑”協(xié)議中定義的服務(wù)器的功能����,通過(guò)“直徑”協(xié)議網(wǎng)絡(luò)的路由和中繼,與網(wǎng)絡(luò)接入服務(wù)器翻譯代理建立端到端會(huì)話��,并根據(jù)“直徑”協(xié)議定義的會(huì)話管理機(jī)制管理端到端會(huì)話��;通過(guò)此端到端會(huì)話發(fā)送和接收本地服務(wù)域的AA-Answer消息和AA-Request消息����,收到的AA-Request消息進(jìn)入消息處理模塊的待處理消息隊(duì)列。
5.根據(jù)權(quán)利要求2所述的向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的實(shí)現(xiàn)方法�����,其特征在于定義的AA-Request消息和AA-Answer消息格式���,其前序部分符合“直徑”協(xié)議網(wǎng)絡(luò)接入服務(wù)器請(qǐng)求應(yīng)用協(xié)議中定義的消息格式����,1)AA-Request消息和AA-Answer消息中必須包含RADIUS屬性值對(duì);2)在發(fā)生協(xié)議錯(cuò)誤時(shí)�,AA-Answer消息中RADIUS屬性值對(duì)內(nèi)容與對(duì)應(yīng)AA-Request消息中RADIUS屬性值對(duì)內(nèi)容相同。
6.根據(jù)權(quán)利要求2所述的向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的實(shí)現(xiàn)方法�����,其特征在于定義的RADIUS屬性值對(duì)格式���,其前序部分符合“直徑”協(xié)議中定義的屬性值對(duì)格式�,1)RADIUS屬性值對(duì)頭中M和P標(biāo)識(shí)為1����,表示RADIUS屬性值對(duì)必須經(jīng)過(guò)加密和數(shù)字簽名保護(hù);2)RADIUS屬性值對(duì)數(shù)據(jù)部分為8比特字節(jié)串����。
7.根據(jù)權(quán)利要求3所述的向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的實(shí)現(xiàn)方法,其特征在于網(wǎng)絡(luò)接入服務(wù)器翻譯代理的實(shí)現(xiàn)方法中接口模塊預(yù)處理過(guò)程�����,其前序部分符合“半徑”協(xié)議中定義的屬性加密和解密���、生成請(qǐng)求認(rèn)證碼����、計(jì)算應(yīng)答認(rèn)證碼���、計(jì)算消息認(rèn)證屬性的方法��,1)請(qǐng)求預(yù)處理過(guò)程收到接入請(qǐng)求消息時(shí)��,使用網(wǎng)絡(luò)接入服務(wù)器翻譯代理與網(wǎng)絡(luò)接入服務(wù)器共享的密鑰解密用戶口令屬性�����,并以明文替換原屬性�,2)應(yīng)答預(yù)處理過(guò)程5a.收到接入接收消息時(shí)�����,使用網(wǎng)絡(luò)接入服務(wù)器翻譯代理與網(wǎng)絡(luò)接入服務(wù)器共享的密鑰加密隧道口令屬性���,并以密文替換原屬性����;5b.計(jì)算應(yīng)答認(rèn)證碼替換“半徑”協(xié)議應(yīng)答消息中的請(qǐng)求認(rèn)證碼;5c.計(jì)算消息認(rèn)證屬性替換原屬性�����。
8.根據(jù)權(quán)利要求4所述的向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)的實(shí)現(xiàn)方法��,其特征在于本地服務(wù)器翻譯代理的實(shí)現(xiàn)方法中接口模塊預(yù)處理過(guò)程����,其前序部分符合“半徑”協(xié)議中定義的屬性加密和解密、生成和計(jì)算請(qǐng)求認(rèn)證碼��、計(jì)算和檢查應(yīng)答認(rèn)證碼����、計(jì)算和檢查消息認(rèn)證屬性的方法,1)請(qǐng)求預(yù)處理過(guò)程6a.收到接入請(qǐng)求消息時(shí)���,使用本地服務(wù)器翻譯代理與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器共享的密鑰加密用戶口令屬性�����,并以密文替換原屬性�����;6b.收到計(jì)費(fèi)請(qǐng)求消息時(shí)���,計(jì)算請(qǐng)求認(rèn)證碼替換原請(qǐng)求認(rèn)證碼;其它“半徑”協(xié)議請(qǐng)求消息�����,則保存請(qǐng)求認(rèn)證碼��,生成新的請(qǐng)求認(rèn)證碼替換原請(qǐng)求認(rèn)證碼���;6c.保存“半徑”協(xié)議請(qǐng)求消息的消息標(biāo)識(shí)符���,使用新的消息標(biāo)識(shí)符替換原消息標(biāo)識(shí)符;6d.計(jì)算消息認(rèn)證屬性替換原屬性��;2)應(yīng)答預(yù)處理過(guò)程7a.檢查“半徑”協(xié)議應(yīng)答消息的應(yīng)答認(rèn)證碼是否正確���,如驗(yàn)證錯(cuò)誤則發(fā)送應(yīng)答錯(cuò)誤通知給消息處理模塊����;7b.檢查消息認(rèn)證屬性是否正確����,如驗(yàn)證錯(cuò)誤則發(fā)送應(yīng)答錯(cuò)誤通知給消息處理模塊����;7c.收到接入接受消息時(shí)���,使用本地服務(wù)器翻譯代理與本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器共享的密鑰解密隧道口令屬性屬性���,并以明文替換原屬性;7d.恢復(fù)原消息標(biāo)識(shí)符�����;7e.恢復(fù)原請(qǐng)求認(rèn)證碼�。
全文摘要
一種向后兼容的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)涉及一種基于“直徑”協(xié)議的電信網(wǎng)絡(luò)認(rèn)證、授權(quán)和計(jì)費(fèi)系統(tǒng)��,該網(wǎng)絡(luò)結(jié)構(gòu)遵循互聯(lián)網(wǎng)工程任務(wù)組制定的“直徑”協(xié)議中規(guī)定的網(wǎng)絡(luò)結(jié)構(gòu)����,在該結(jié)構(gòu)中有網(wǎng)絡(luò)接入服務(wù)器翻譯代理(1)、本地服務(wù)器翻譯代理(2�����、6、11)�、中繼代理(3、7�、10)和委托代理(8、9)��、網(wǎng)絡(luò)接入服務(wù)器(5)和本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器(4)�����;網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)每個(gè)本地認(rèn)證授權(quán)計(jì)費(fèi)服務(wù)器所服務(wù)的區(qū)域被劃分為服務(wù)域A���、服務(wù)域B、服務(wù)域C�,根據(jù)管轄區(qū)域劃分為管理域I、管理域II���;管理域I和管理域II的委托代理(8����、9)之間通過(guò)互聯(lián)網(wǎng)相互連接����。根據(jù)本發(fā)明構(gòu)建的AAA系統(tǒng)網(wǎng)絡(luò)���,不僅引入了新一代的DiameterAAA網(wǎng)絡(luò)結(jié)構(gòu),而且完全兼容現(xiàn)有AAA系統(tǒng)�。
文檔編號(hào)H04L9/32GK1809072SQ200610038500
公開(kāi)日2006年7月26日 申請(qǐng)日期2006年2月27日 優(yōu)先權(quán)日2006年2月27日
發(fā)明者曹秀英, 沈平, 張巖, 陳軼群, 戚隆寧 申請(qǐng)人:東南大學(xué)