專利名稱:用于管理用戶的認證的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的領(lǐng)域是電信網(wǎng)絡(luò)的領(lǐng)域����,并更具體地,涉及期望接入這樣的網(wǎng)絡(luò)的運營商所提供的服務(wù)的用戶的認證���。
背景技術(shù):
電信網(wǎng)絡(luò)的用戶借助于接入網(wǎng)接入該網(wǎng)絡(luò)�����。幾種類型的接入是可用的�����。這些接入包括基于例如x-DSL(數(shù)字訂戶線路)技術(shù)的固定接入�����、以及基于UMTS (通用移動電信系統(tǒng))����、WIFI或WImax技術(shù)的移動接入���。某些IP(因特網(wǎng)協(xié)議)分組類型的接入網(wǎng)擁有所謂AAA(認證�、授權(quán)��、記賬)認證基礎(chǔ)結(jié)構(gòu)����,其進行用戶的認證,管理對于接入所請求的服務(wù)的授權(quán)�����,并執(zhí)行用于向用戶開出該服務(wù)的賬單的記賬����。按照傳統(tǒng)方式����,AAA架構(gòu)取決于以下原理用戶的終端經(jīng)由網(wǎng)絡(luò)接入點而掛鉤(hook up)到該接入網(wǎng)�。在該接入網(wǎng)中,網(wǎng)絡(luò)接入服務(wù)器負責控制對于IP傳輸核心網(wǎng)的接入����,該IP傳輸核心網(wǎng)自己提供用于接入諸如因特網(wǎng)的其他IP網(wǎng)絡(luò)或諸如公司網(wǎng)的專用IP網(wǎng)絡(luò)的服務(wù)。在該上下文中�����,網(wǎng)絡(luò)接入服務(wù)器的角色是認證并授權(quán)終端接入IP核心網(wǎng)�。為了進行這些功能,該接入服務(wù)器一旦接收到終端所發(fā)出的請求�,就分派對于接入以下認證服務(wù)器的請求,該認證服務(wù)器負責驗證該終端所提供的認證參數(shù)����。一旦認證已成功,就作為與該終端的用戶關(guān)聯(lián)的接入權(quán)限的函數(shù)來授權(quán)對于該網(wǎng)絡(luò)服務(wù)的接入��。如今�����,AAA架構(gòu)也被實現(xiàn)用于以下用戶的認證,該用戶已連接到運營商的IP傳輸核心網(wǎng)����、但是期望接入該網(wǎng)絡(luò)的應(yīng)用系統(tǒng)所提供的服務(wù)。例如��,為了接入將允許他在應(yīng)用會話過程中改變接入類型的IP移動性服務(wù)���,用戶必須利用該AAA架構(gòu)第二次認證自己。該認證和授權(quán)數(shù)據(jù)被一起分組為所謂用戶數(shù)據(jù)配置文件��。該配置文件寄宿 (hosted)在接收該接入請求的認證服務(wù)器中或在另一認證服務(wù)器中�。在該情況下,將接入請求傳送到后者����,并且這是將確保終端的認證的該服務(wù)器。一旦已進行了認證和授權(quán)過程�����,網(wǎng)絡(luò)接入服務(wù)器就負責生成包括有關(guān)與進行中的連接關(guān)聯(lián)的事件的信息的記賬消息(會話開始�、會話結(jié)束、傳送的數(shù)據(jù)量等)。這些消息被分派到專用服務(wù)器����,該服務(wù)器將負責作為所接收的記賬信息的函數(shù)而生成賬單發(fā)票。該服務(wù)器可與認證服務(wù)器位于一處或者可以是獨立服務(wù)器���。進行認證��、授權(quán)和/或記賬功能的服務(wù)器被統(tǒng)稱為“AAA服務(wù)器”����。作為這些AAA 服務(wù)器的“客戶機”的網(wǎng)絡(luò)接入服務(wù)器被稱為“AAA客戶機”����。所謂AAA協(xié)議是在AAA客戶機和AAA服務(wù)器之間或者在AAA服務(wù)器之間的接口上使用的協(xié)議。IETF規(guī)定����,當前使用最多的協(xié)議是RADIUS協(xié)議(IETF RFC 2865) 0從2002 年以來,IETF已定義了作為RADIUS的后繼者的稱為Diameter的新協(xié)議(IETF RFC 3588)�����, 這使得可能回應(yīng)由新接入網(wǎng)類型和諸如IP移動性管理的新網(wǎng)絡(luò)服務(wù)的出現(xiàn)導致的新功能需求和約束�����。
4
現(xiàn)在將結(jié)合圖1來描述AAA架構(gòu)?�?紤]期望接入諸如因特網(wǎng)的IP數(shù)據(jù)網(wǎng)3的用戶終端UE 10(用戶設(shè)備)��。其初始通過接入網(wǎng)20的接入管理服務(wù)器(網(wǎng)絡(luò)接入服務(wù)器)NASI 110連接到運營商的電信網(wǎng)1��。 在接入網(wǎng)的級別����,人們也談及接入點(AP)。這可以例如是x-DSL類型的固定接入或WIFI 類型的移動接入�����。該連接需要該接入管理服務(wù)器NASI 110所請求的網(wǎng)絡(luò)1的認證服務(wù)器 AAAl 210的第一認證��。該認證服務(wù)器AAAl 210從可以是本地的或集中的數(shù)據(jù)庫DB 400恢復用戶的配置文件��。一旦該第一認證已成功�,則終端通過用于該服務(wù)的接入管理服務(wù)器或NAS2 120 來發(fā)出對于接入該IP網(wǎng)絡(luò)(或服務(wù))3的請求����。為此目的,它使用使得可能建立IP連接的協(xié)議?���?墒褂脦讉€協(xié)議,作為接入網(wǎng)的類型以及期望接入的網(wǎng)絡(luò)的類型的函數(shù)�。作為示例闡明了用于在RTC類型調(diào)制解調(diào)器的幫助下固定接入到因特網(wǎng)的PPP協(xié)議(在IETF文檔RFC 1661中描述的點對點協(xié)議)、用于Wifi接入的IEEE協(xié)議802. 1X(在IEEE文檔標準 802. 1X-2001 “基于端口的網(wǎng)絡(luò)接入控制(Port-Based network Access Control) ”中描述)�����、或用于設(shè)立用于VPN(虛擬專網(wǎng))或I-WLAN類型接入的II^sec安全聯(lián)盟的IKEv2協(xié)議 (因特網(wǎng)密鑰交換V2����,RFC 4306)。用于對服務(wù)的接入進行管理的服務(wù)器NAS2發(fā)出對于通過認證服務(wù)器AAA2 120認證用戶的請求��??梢岳斫猓撜J證服務(wù)器與進行用戶的第一認證的服務(wù)器不同��。AAA架構(gòu)實際上提供了在給定地域(territory)上分布承擔控制對于資源的接入的任務(wù)的幾個網(wǎng)絡(luò)接入服務(wù)器的可能性����。當在網(wǎng)絡(luò)中部署幾個AAA服務(wù)器時,每一服務(wù)器可具有其自己的數(shù)據(jù)庫�,或者所有服務(wù)器都連接到集中式數(shù)據(jù)庫�����。集中式架構(gòu)是特別在移動網(wǎng)絡(luò)中得到的架構(gòu)����。集中式數(shù)據(jù)庫的使用允許用戶能夠移動到任何網(wǎng)絡(luò)接入點�����,同時確信能夠被認證和授權(quán)接入其服務(wù)�����。當如圖1的示例所示那樣用戶期望接入需要兩次連續(xù)認證的服務(wù)時����,可期望充分利用(exploit)第一認證以便簡化第二認證����。在這點上,存在在本地級別重新認證的其他機制�����。這些相同機制可在連續(xù)認證的框架內(nèi)被同一運營商重新使用或改編。例如�,ERP協(xié)議(RFC 5296中IETF所定義的用于EAP重新認證協(xié)議的EAP擴展)使得可能重新使用由利用EAP協(xié)議(RFC3748中IETF所定義的可擴展認證協(xié)議)進行的第一認證造成的密碼 (cryptographic)材料。這使得可能減少在網(wǎng)絡(luò)中交換的信令消息的數(shù)目以及所涉及的設(shè)備上的計算次數(shù)����。這對于終端處于受訪網(wǎng)絡(luò)中并且密碼材料背保持在本地網(wǎng)絡(luò)中的情況尤其正確。然而����,當已由該網(wǎng)絡(luò)驗證第一次的用戶在第二驗證期間不能將自己尋址到用于管理該網(wǎng)絡(luò)接入的同一服務(wù)器NASI時,這樣的機制冒著不能工作的風險����。特別在當通過不同接入管理服務(wù)器管理對于接入網(wǎng)的接入以及對于因特網(wǎng)網(wǎng)絡(luò)的接入時的先前示例中,這樣的情況出現(xiàn)���。當用戶正在漫游并且自從在該接入網(wǎng)中的第一認證之后已改變了接入網(wǎng)時����, 該情況也出現(xiàn)?��,F(xiàn)在將結(jié)合圖2來呈現(xiàn)這樣的情況�����。終端UE 10已連接到接入網(wǎng)21�,例如Wifi類型的移動接入網(wǎng)。接入管理服務(wù)器 NASI和認證服務(wù)器AAAl已負責合適的連接和認證過程����。假設(shè)用戶移動和改變到該接入網(wǎng) 21的接入點。他必須通過用于網(wǎng)絡(luò)的第二接入管理服務(wù)器NAS2120在所謂移交過程(轉(zhuǎn)移)期間重新連接到該接入網(wǎng)�����?���?紤]Aboba 等人所著的名為“The Network Access Identifier”的 IETF 文獻 RFC 4282,所述文獻教導了用戶在他的接入服務(wù)的請求期間向接入管理服務(wù)器NASI����、NAS2所提交的接入網(wǎng)絡(luò)標識符(網(wǎng)絡(luò)接入標識符或ΝΑΙ)的使用。該標識符指示用戶已取得預(yù)訂的運營商的域�����。一旦接收到該標識符�����,用于管理服務(wù)接入的服務(wù)器作出DNS請求���,以恢復與該域?qū)?yīng)的一個或多個AAA服務(wù)器的地址��。當如圖2中的示例所示已對于該域部署幾個AAA服務(wù)器時出現(xiàn)問題�����,這可能是由于負載分享和安全性原因而發(fā)生的�。實際上����,在該情況下,知道標識符NAI并不允許接入管理服務(wù)器標識該域中部署的AAA服務(wù)器中的哪個本地AAA服務(wù)器負責該用戶��。結(jié)合圖3����,現(xiàn)在考慮這樣的情況,其中用戶附加處于“漫游”狀況�����,也就是說����,他經(jīng)由第三方運營商的網(wǎng)絡(luò)2接入他已通過他的運營商而預(yù)訂的服務(wù)�。接入管理服務(wù)器NASI’ 和受訪網(wǎng)絡(luò)2的代理認證服務(wù)器pAAAl負責合適的連接和認證過程����。用于管理對于本地服務(wù)的接入的服務(wù)器NASI’在該幫助下作出DNS請求,以恢復本地代理AAA服務(wù)器pAAAl的地址�。服務(wù)器PAAAl其后聯(lián)系經(jīng)受認證的網(wǎng)絡(luò)1(稱為用戶的附屬或“家庭”網(wǎng)絡(luò))的AAA 服務(wù)器。網(wǎng)絡(luò)1的認證服務(wù)器AAAl先前已從網(wǎng)絡(luò)1的數(shù)據(jù)庫DB 400恢復了用戶的配置文件��。其后假設(shè)�,如先前示例中那樣,用戶移動并改變到接入網(wǎng)21’的接入點�。他必須通過用于管理對于該網(wǎng)絡(luò)的接入的第二服務(wù)器NAS2’在所謂移交過程(轉(zhuǎn)移)期間重新連接到用于接入該受訪網(wǎng)絡(luò)2的該網(wǎng)絡(luò)。該第二管理服務(wù)器NAS2’缺省地聯(lián)系代理認證服務(wù)器 PAAA2���,其按照其順序?qū)⒆约簩ぶ返郊彝ゾW(wǎng)絡(luò)1的AAA服務(wù)器AAA2��。在這點上�,3GPP標準TS 23. 402描述了服務(wù)器AAA2通過數(shù)據(jù)庫DB 400恢復已經(jīng)受了用戶的第一認證的服務(wù)器AAAl的標識符的技術(shù)方案�����,在該特定情況下,在HSS(家庭訂戶服務(wù))服務(wù)器中實現(xiàn)了后者�����。該服務(wù)器AAA2然后可按照兩種方式運轉(zhuǎn)-其運轉(zhuǎn)為代理服務(wù)器并向網(wǎng)絡(luò)1的服務(wù)器AAAl傳送對于認證漫游用戶的請求�����;-或者其向受訪域2的代理AAA服務(wù)器pAAA2分派服務(wù)器AAAl的身份��,以便其從中恢復用戶的配置文件����?�?衫斫獾氖?��,這些選項不向管理服務(wù)器NAS2’提供恢復已在第一認證期間使用的代理服務(wù)器PAAAl的身份的可能性�。由此���,如果代理服務(wù)器pAAAl擁有允許用戶終端的快速重新認證的附加密碼材料����,則不能利用它。應(yīng)注意的是����,標準33. 402描述該方案的目的在于避免用戶配置文件向另一 AAA服務(wù)器AAA2的新傳送,而不在于優(yōu)化用于重新認證漫游狀況下的用戶的處理���。
發(fā)明內(nèi)容
本發(fā)明使得可能借助于一種用于管理運營商的電信網(wǎng)絡(luò)的用戶的認證的方法來彌補該缺陷���,其特征在于該方法包括以下步驟-一旦接收到所述用戶對于該網(wǎng)絡(luò)的運營商所提供的服務(wù)的接入請求,就發(fā)布用于標識以認證地點服務(wù)器為目的地的認證服務(wù)器的請求���,所述請求包括所述用戶的至少一個標識符(user-ID)��;和
-一旦接收到包括與該用戶的所述標識符關(guān)聯(lián)的認證服務(wù)器的標識符(AAA_ID) 的應(yīng)答���,就發(fā)布在對于所請求的服務(wù)而標識的服務(wù)器處認證用戶的請求。這樣的方法允許所請求的服務(wù)的接入管理服務(wù)器知道請求用戶是否已在運營商的網(wǎng)絡(luò)中被認證��,并且如果合適的話�,則獲得執(zhí)行該認證的認證服務(wù)器的標識符。要理解的是����,在用于管理該服務(wù)的接入的服務(wù)器屬于受訪網(wǎng)絡(luò)的情況下���,它獲得本地負責該用戶的 AAA代理服務(wù)器的標識符。本發(fā)明由此使得當先前認證期間使用的認證材料在運營商的網(wǎng)絡(luò)認證服務(wù)器 (特別是受訪網(wǎng)絡(luò)的代理AAA服務(wù)器)中可用時�、可能避免采取(resorting to)完全認證。根據(jù)本發(fā)明的一個方面�,一旦接收到不包括與該用戶的所述標識符關(guān)聯(lián)的任何認證服務(wù)器標識符的應(yīng)答�����,該方法就實現(xiàn)用于發(fā)布在預(yù)定認證服務(wù)器處進行認證的請求的步
馬聚ο由此�,當還沒有存儲關(guān)聯(lián)性時,用于管理對于所請求的服務(wù)的接入的服務(wù)器將自己尋址到預(yù)定義的認證服務(wù)器���。本發(fā)明還涉及一種用于管理運營商的電信網(wǎng)絡(luò)的用戶的認證的裝置����,其特征在于該裝置包括用于實現(xiàn)剛剛描述的根據(jù)本發(fā)明的用于管理認證的方法的部件�。本發(fā)明還涉及一種用于管理對于電信網(wǎng)絡(luò)的運營商所提供的服務(wù)的接入的服務(wù)器,其特征在于該服務(wù)器包括根據(jù)本發(fā)明的用于管理用戶的認證的裝置�����。本發(fā)明還涉及一種用于存儲電信網(wǎng)絡(luò)的用戶的認證地點的方法��,其特征在于,該方法包括在認證服務(wù)器對所述用戶的成功認證之后�����、存儲所述用戶的至少一個標識符和所述認證服務(wù)器的標識符之間的關(guān)聯(lián)性的步驟�����。在“漫游”狀況的情況下�����,該存儲步驟涉及所述用戶的至少一個標識符和該受訪網(wǎng)絡(luò)的所述代理AAA服務(wù)器的標識符之間的關(guān)聯(lián)性���。在第一次成功認證的情況下�����,該方法在于在考慮同一用戶的下次認證的情況下�、 在數(shù)據(jù)庫中記錄用戶的標識符和預(yù)定義的認證服務(wù)器的標識符之間的關(guān)聯(lián)性�����。在漫游狀況的情況下�,該關(guān)聯(lián)性涉及用戶和已扮演代理的角色并且已接收到與該用戶相關(guān)的密碼材料的本地AAA服務(wù)器的標識符���。將要注意的是,在成功認證之后�,AAA服務(wù)器能夠管理對于該用戶的終端建立的 AAA會話的狀態(tài)。結(jié)果��,它本地利用(avail)允許它證實(establish)這是該終端的第一認證還是重新認證的信息�。所以由此推導出其中必須實現(xiàn)根據(jù)本發(fā)明的存儲方法的情形。本發(fā)明還涉及一種用于存儲電信網(wǎng)絡(luò)的用戶的認證地點的裝置����,其特征在于��,該裝置包括用于實現(xiàn)剛剛描述的根據(jù)本發(fā)明的存儲方法的部件����。本發(fā)明進一步涉及一種用于請求接入電信網(wǎng)絡(luò)的運營商所提供的服務(wù)的用戶的認證服務(wù)器,其特征在于該服務(wù)器包括根據(jù)本發(fā)明的用于存儲認證地點的裝置���。本發(fā)明進一步涉及一種電信網(wǎng)絡(luò)中的認證地點服務(wù)器��,其特征在于該服務(wù)器包括用于存儲用戶的標識符和認證服務(wù)器的標識符之間的關(guān)聯(lián)性的部件�����、以及用于獲得響應(yīng)于從用于管理對于該網(wǎng)絡(luò)所提供的服務(wù)的接入的服務(wù)器接收的請求�����、而存儲的關(guān)聯(lián)性的部件���。本發(fā)明涉及一種運營商的電信網(wǎng)絡(luò)����,包括用于管理對于至少一個服務(wù)的接入的至少一個第一服務(wù)器��、和用于管理對于運營商的至少一個服務(wù)的接入的至少一個第二服務(wù)器����、和能夠認證請求接入所述至少一個服務(wù)的用戶的至少兩個認證服務(wù)器,其特征在于該網(wǎng)絡(luò)包括根據(jù)本發(fā)明的認證地點服務(wù)器���,并且其特征在于該第一接入管理服務(wù)器和該第二接入管理服務(wù)器包括根據(jù)本發(fā)明的認證管理裝置�����。在特定實施例中��,用于管理對于服務(wù)的接入的方法的各步驟通過計算機程序的指令來確定���。結(jié)果���,本發(fā)明還針對一種信息支持(support)上的計算機程序,該程序能夠在路由�����、接收或傳送裝置中或更一般地在計算機中實現(xiàn)�����,該程序包括適于實現(xiàn)如前所述的用于管理用戶的認證的方法的步驟的指令�。在特定實施例中���,用于存儲用戶的認證地點的方法的各步驟通過計算機程序的指令來確定���。結(jié)果,本發(fā)明還針對一種信息支持上的計算機程序��,該程序能夠在路由�����、接收或傳送裝置中或更一般地在計算機中實現(xiàn),該程序包括適于實現(xiàn)如前所述的用于管理用戶的認證的方法的步驟的指令��。這些程序可使用任何編程語言�����,并且具有源代碼����、目標代碼、或介于源代碼和目標代碼之間的中間代碼的形式�,諸如部分編譯形式、或任何其他期望形式����。本發(fā)明還針對一種計算機可讀取的、并包括如上所述的計算機程序的指令的信息支持����。該信息支持可以是能夠存儲該程序的任何實體或裝置。例如�����,該支持可包括諸如 ROM(例如CD ROM或微電子電路ROM)的存儲部件、或例如盤(軟盤)或硬盤的磁記錄部件��。此外�����,該信息支持可以是通過無線電或通過其他手段的諸如電或光信號(其可經(jīng)由電纜或光纜被路由)的可傳送支持�����。根據(jù)本發(fā)明的程序可特別從因特網(wǎng)類型的網(wǎng)絡(luò)下載����。作為選擇,該信息支持可以是其中合并有該程序的集成電路��,該電路適于運行所討論的方法或在所討論的方法的運行中使用�。
—旦閱讀了作為簡單圖示和非限制性示例給出的本發(fā)明的特定實施例的以下描述、以及附圖��,本發(fā)明的其他優(yōu)點和特性將更明顯地清楚��,其中-圖1用示意性方式呈現(xiàn)了根據(jù)現(xiàn)有技術(shù)的運營商的電信網(wǎng)絡(luò)中的AAA架構(gòu)的第一示范實現(xiàn)��;-圖2用示意性方式呈現(xiàn)了根據(jù)現(xiàn)有技術(shù)的運營商的電信網(wǎng)絡(luò)中的AAA架構(gòu)的第二示范實現(xiàn)�;-圖3用示意性方式呈現(xiàn)了根據(jù)現(xiàn)有技術(shù)的在終端接入第三方運營商的服務(wù)的情況下的�����、電信網(wǎng)絡(luò)中的AAA架構(gòu)的第三示范實現(xiàn);-圖4用示意性方式呈現(xiàn)了本發(fā)明的關(guān)鍵點(crux)的運營商的電信網(wǎng)絡(luò)��;-圖5用示意性方式呈現(xiàn)了在用戶處于“漫游”狀況的情況下�、本發(fā)明的關(guān)鍵點的運營商的電信網(wǎng)絡(luò);-圖6用示意性方式呈現(xiàn)了根據(jù)本發(fā)明用于認證用戶的地點服務(wù)器的結(jié)構(gòu)�����;-圖7用示意性方式圖示了根據(jù)本發(fā)明用于管理用戶的認證的方法的步驟��;-圖8呈現(xiàn)了根據(jù)本發(fā)明用于管理用戶的認證的裝置的結(jié)構(gòu)��;
-圖9用示意性方式圖示了根據(jù)本發(fā)明用于存儲用戶的認證地點的方法的步驟���;-圖10呈現(xiàn)了根據(jù)本發(fā)明用于存儲用戶的認證地點的裝置的結(jié)構(gòu)�;和-圖11呈現(xiàn)了根據(jù)本發(fā)明在期望接入服務(wù)的用戶和電信網(wǎng)絡(luò)中的AAA認證架構(gòu)之間交換的流的圖���。
具體實施例方式作為暗示�����,本發(fā)明的一般原理取決于-在電信網(wǎng)絡(luò)中用戶的成功認證之后����、該用戶的標識符和認證服務(wù)器的標識符之間的關(guān)聯(lián)性的存儲;-一旦接收到該用戶接入該運營商的網(wǎng)絡(luò)的服務(wù)的新請求后����、該關(guān)聯(lián)性的獲得。在隨后描述中��,考慮諸如圖4的網(wǎng)絡(luò)那樣的運營商的電信網(wǎng)絡(luò)1���。該網(wǎng)絡(luò)對于已先前取得該運營商的預(yù)訂的用戶的終端UE 10是可接入的�。根據(jù)該描述的本質(zhì)����,用戶可經(jīng)由多個接入網(wǎng)21、22來接入電信網(wǎng)絡(luò)1和運營商在該網(wǎng)絡(luò)上提供的服務(wù)�,所述多個接入網(wǎng) 21,22可以基于任何類型接入技術(shù)(固定或移動)。電信網(wǎng)絡(luò)1主持諸如現(xiàn)有技術(shù)中的先前描述的AAA認證架構(gòu)�。這樣的架構(gòu)特別包括用于管理對于服務(wù)的接入的幾個服務(wù)器NASI 110、NAS2 120����,其每一個負責對于不同網(wǎng)絡(luò)/服務(wù)的接入。在圖3的示例中�,服務(wù)器NASI負責管理經(jīng)由接入網(wǎng)21對于網(wǎng)絡(luò)1的接入,服務(wù)器NAS2 120負責管理經(jīng)由接入網(wǎng)22對于網(wǎng)絡(luò)(或服務(wù))1的接入����,服務(wù)器NAS3負責接入網(wǎng)(或服務(wù))23,而服務(wù)器NAS4 140負責對于IP網(wǎng)絡(luò)(或服務(wù))3的接入�����。AAA架構(gòu)還包括在電信網(wǎng)絡(luò)1中分布的多個認證服務(wù)器AAAl�、AAA2。根據(jù)本發(fā)明���,電信網(wǎng)絡(luò)1的AAA架構(gòu)進一步包括認證地點服務(wù)器ALF300����。該服務(wù)器包括用于在標識符AAA-ID可標識的認證服務(wù)器對于用戶標識符user-ID可標識的用戶的成功認證之后�、接收源自用于管理對于服務(wù)的接入的服務(wù)器的關(guān)聯(lián)性ASS(User-ID、 AAA-ID)的部件����。它還包括用于在數(shù)據(jù)庫中存儲所接收的關(guān)聯(lián)性的部件。它最終包括用于在用戶標識符的幫助下詢問該數(shù)據(jù)庫的部件�,如果在數(shù)據(jù)庫中存在包括所述標識符的關(guān)聯(lián)性���,則該部件能夠獲得該關(guān)聯(lián)性。在結(jié)合圖5描述的示例中���,地點服務(wù)器ALF 300包括在傳統(tǒng)計算機或?qū)S寐酚善髦谐R?guī)得到的實質(zhì)元件�����,即�,處理器SOO1�����、RAM類型的隨機存取存儲器3002�、R0M類型的只讀存儲器3003、和與網(wǎng)絡(luò)1的電信部件3004����。根據(jù)本發(fā)明,地點服務(wù)器ALF 300包括存儲器3005�����,該存儲器包括其中存儲用戶 UE 10的標識符user-ID和已執(zhí)行用戶的成功認證的認證服務(wù)器AAAl的標識符AAA-ID之間的關(guān)聯(lián)性的數(shù)據(jù)庫���。將要注意的是����,該存儲器可同樣好地位于該裝置300的外部����,只要該裝置300能訪問該存儲器即可。結(jié)合圖6來考慮用戶終端UE 10已向其取得接入服務(wù)的預(yù)訂的運營商的電信網(wǎng)絡(luò) 1��。假設(shè)該運營商已與第三方運營商簽訂所謂“漫游”協(xié)定�����,該協(xié)定特別允許用戶終端UE 10 經(jīng)由第三方運營商的網(wǎng)絡(luò)2 (稱為受訪網(wǎng)絡(luò))接入網(wǎng)絡(luò)1和其已預(yù)訂的服務(wù)�。根據(jù)本發(fā)明,地點服務(wù)器ALF 300’然后在網(wǎng)絡(luò)2中實現(xiàn)��,以便對網(wǎng)絡(luò)2的接入管理服務(wù)器NAS1’�����、NAS2’所發(fā)布的地點請求作出應(yīng)答��。響應(yīng)于這樣的請求�,當受訪網(wǎng)絡(luò)2中的用戶的標識符和已經(jīng)受該終端UElO的第一認證的網(wǎng)絡(luò)2的AAA代理服務(wù)器的標識符之間的關(guān)聯(lián)性存在時��,地點服務(wù)器ALF300’能夠提供該關(guān)聯(lián)性�����。本發(fā)明還涉及一種管理用戶的認證的方法�,現(xiàn)在將結(jié)合圖7來進行描述�。這樣的方法包括步驟E1,用于接收該電信網(wǎng)絡(luò)1的用戶UE 10所發(fā)布的對于服務(wù)S2的接入請求 REQ-S2�����。這是例如用于接入因特網(wǎng)網(wǎng)絡(luò)3的服務(wù)����。一旦接收到該請求,就實現(xiàn)詢問地點服務(wù)器ALF 300的步驟E2���。這樣的詢問步驟在于向地點服務(wù)器ALF 300發(fā)送包括該請求用戶的至少一個標識符user-ID的請求��。在E3接收應(yīng)答RESP�����。如果應(yīng)答RESP包括關(guān)聯(lián)性ASS (user-ID�、AAA_ID),則在E4實現(xiàn)獲得與接收的AAA 服務(wù)器標識符對應(yīng)的IP地址的步驟���,該關(guān)聯(lián)性ASS在同一時間包括該請求用戶的標識符和已進行該用戶的認證的電信網(wǎng)絡(luò)1的AAA服務(wù)器的標識符����。這可涉及例如DNS類型服務(wù)器的詢問�。一旦接收到所請求的IP地址0ΑΑΑ����,就將該請求用戶的認證請求分派到在步驟E5 中標識的AAA服務(wù)器的地址@ΑΑΑ。在E6�,返回接收認證成功消息。在E7將該消息傳送到請求用戶的終端�。如果相反地該應(yīng)答RESP不包括關(guān)聯(lián)性ASS,則在E8發(fā)布以預(yù)定認證服務(wù)器作為目的地的認證請求REQ-AUTH��,該預(yù)定認證服務(wù)器的地址缺省地由實現(xiàn)根據(jù)本發(fā)明的認證管理方法的接入管理服務(wù)器NAS存儲�����。當在E9接收到指示成功認證的應(yīng)答REP-AUTH-0K時��,在 ElO將該應(yīng)答傳送到請求用戶�。根據(jù)本發(fā)明的一個實施例�,在認證管理裝置DGA中實現(xiàn)用于管理用戶的認證的方法��,現(xiàn)在將結(jié)合圖8進行描述��。其包括在傳統(tǒng)計算機或?qū)S寐酚善髦谐R?guī)得到的實質(zhì)元件�����, 即�,處理器Dp RAM類型的隨機存取存儲器D2、R0M類型的只讀存儲器D3�����、和與網(wǎng)絡(luò)1的電信部件D4���。根據(jù)本發(fā)明��,裝置25包括存儲器D5���,其構(gòu)成根據(jù)本發(fā)明的記錄支持。該支持存儲根據(jù)本發(fā)明的計算機程序����。該程序包括用于運行剛剛結(jié)合圖7描述的根據(jù)本發(fā)明的用于管理用戶的認證的方法的步驟的指令�。按照有利的方式���,在用于管理對于用戶的服務(wù)的接入的服務(wù)器NAS中實現(xiàn)根據(jù)本發(fā)明的認證管理裝置��。本發(fā)明還涉及用于存儲電信網(wǎng)絡(luò)1中的用戶的認證地點的方法��,現(xiàn)在將結(jié)合圖9 進行描述����。根據(jù)本發(fā)明�,這樣的方法在用戶的成功認證的步驟Fl之后包括F2����,用于請求地點服務(wù)器ALF 300存儲在用戶UE 10的至少一個標識符user-ID和已執(zhí)行認證的AAA認證服務(wù)器的標識符之間的關(guān)聯(lián)性ASS(User-ID、AAA-ID)�����。根據(jù)本發(fā)明的一個實施例�,在用于存儲地點的裝置DM中實現(xiàn)用于存儲用戶的認證地點的方法,現(xiàn)在將結(jié)合圖10進行描述����。它包括在傳統(tǒng)計算機或?qū)S寐酚善髦谐R?guī)得到的實質(zhì)元件���,即,處理器DMp RAM類型的隨機存取存儲器DM2�、ROM類型的只讀存儲器DM3、和與網(wǎng)絡(luò)1的電信部件DM4����。這樣的電信部件特別包括與根據(jù)本發(fā)明的認證地點服務(wù)器300、 300�����,的接口�。根據(jù)本發(fā)明,裝置DM包括存儲器DM5,其構(gòu)成根據(jù)本發(fā)明的記錄支持�。該支持存儲根據(jù)本發(fā)明的計算機程序。該程序包括用于運行剛剛結(jié)合圖9描述的根據(jù)本發(fā)明的用于存儲用戶的認證地點的方法的步驟的指令����。按照有利的方式,在執(zhí)行用戶的認證的AAA認證服務(wù)器中實現(xiàn)這樣的裝置��。作為變型�����,其可在用于管理對于用戶所請求的服務(wù)的接入的服務(wù)器NAS中實現(xiàn)。
現(xiàn)在將結(jié)合圖11來描述本發(fā)明的示范實現(xiàn)�����。在該示例中��,認為用戶的終端UE 10 已在經(jīng)由接入網(wǎng)21接入網(wǎng)絡(luò)1的他的請求REQ Sl期間�����、利用認證服務(wù)器AAAl 120第一次成功認證了自己���。在該第一認證之后���,該用戶的標識符和涉及的認證服務(wù)器AAAl的標識符之間的關(guān)聯(lián)性ASS已由認證地點服務(wù)器ALF 300存儲��。因此���,服務(wù)器AAAl已向地點服務(wù)器ALF 300發(fā)送包括該用戶的標識符user-ID和認證服務(wù)器AAAl的標識符AAA-ID之間的所述關(guān)聯(lián)性ASS的存儲請求�����。作為示例并且按照非限制性方式����,這樣的消息可以遵循 Diameter或RADIUS類型的協(xié)議,其中每一所述標識符位于用于Diameter的AVP(屬性值對)類型或用于RADIUS的屬性類型的現(xiàn)有信息元素中�、或位于特別創(chuàng)建的信息元素中,以傳輸它們�����。在變型中����,有利地創(chuàng)建Diameter類型的特定消息“AAA用戶地點注冊”,用于服務(wù)器ALF中的標識符的關(guān)聯(lián)性的注冊?����,F(xiàn)在認為用戶分派對于接入服務(wù)的新請求REQ S2�。假設(shè)該請求涉及運營商在后者的網(wǎng)絡(luò)1上提供的服務(wù)(例如接入因特網(wǎng)網(wǎng)絡(luò)3)或另一服務(wù)(例如移動性服務(wù))。將要注意的是�����,如果用戶已移動并結(jié)果已改變接入點(接入網(wǎng)內(nèi)移動性)或甚至接入網(wǎng)(接入網(wǎng)間移動性)���,則其也可再次涉及對于服務(wù)Sl的接入����,如結(jié)合圖4呈現(xiàn)的那樣。一旦接收到對于接入服務(wù)S2的請求REQ S2�����,用于管理對于服務(wù)S2的接入的服務(wù)器NAS 4140就在網(wǎng)絡(luò)1中尋求獲得有關(guān)用戶的可能第一認證的信息�����。其所以在接收的請求的幫助下恢復請求用戶的標識符�,并向認證地點服務(wù)器ALF 300分派包括所恢復的用戶標識符的關(guān)聯(lián)性搜索請求。服務(wù)器ALF 300通過向其分派所請求的關(guān)聯(lián)性ASS而對其作出應(yīng)答���,由此允許認證管理服務(wù)器NAS4搜索與接收的身份AAA-ID對應(yīng)的認證服務(wù)器的IP地址OAAAl����,并向所標識的服務(wù)器AAAl分派對于所請求的服務(wù)S2的用戶user-ID的認證請求��。因為后者在存儲器中擁有在用戶的第一認證期間所使用的認證材料��,所以執(zhí)行簡單重新認證�。指示成功重新認證的消息在適當時被分派到服務(wù)器NAS4,該服務(wù)器同意該請求用戶對服務(wù)S2的接入��。當然�����,可設(shè)想本發(fā)明的其他實施例��。
1權(quán)利要求
1.一種用于管理運營商的電信網(wǎng)絡(luò)(1���,2)的用戶認證的方法����,其特征在于該方法包括以下步驟-一旦接收到(El)所述用戶對于該網(wǎng)絡(luò)的運營商所提供的服務(wù)的接入請求����,就發(fā)布 (E2)對于以認證地點服務(wù)器(ALF 300,300')為目的地的認證服務(wù)器的標識請求,所述請求包括所述用戶的至少一個標識符(user-ID)��;和-一旦接收到(Ε���; )包括與該用戶的所述標識符關(guān)聯(lián)的認證服務(wù)器的標識符(AAA_ID) 的應(yīng)答�����,就發(fā)布(EQ在對于所請求的服務(wù)而標識的服務(wù)器處認證用戶的請求�。
2.根據(jù)權(quán)利要求1的用于管理用戶認證的方法,其特征在于�����,一旦接收到不包括與該用戶的所述標識符關(guān)聯(lián)的任何認證服務(wù)器標識符的應(yīng)答����,該方法就實現(xiàn)以下步驟-發(fā)布在預(yù)定認證服務(wù)器(def-AAA)處進行認證的請求(REQ-AUTH-S1)。
3.一種用于管理運營商的電信網(wǎng)絡(luò)的用戶認證的裝置(DGA)�����,其特征在于該裝置包括以下部件-一旦接收到所述用戶對于該網(wǎng)絡(luò)的運營商所提供的服務(wù)的接入請求�,就發(fā)布包括以地點數(shù)據(jù)庫為目的地的所述用戶的標識符的認證服務(wù)器的標識請求;和-一旦接收到包括與該用戶的所述標識符關(guān)聯(lián)的認證服務(wù)器的標識符的應(yīng)答����,就發(fā)布在所標識的服務(wù)器處認證用戶的請求。
4.一種用于管理由電信網(wǎng)絡(luò)的運營商提供的服務(wù)的接入的服務(wù)器(NAS1��,NAS2����, NASI’,NAS2’)��,其特征在于該服務(wù)器包括根據(jù)權(quán)利要求1的用于管理用戶認證的裝置 (DGA)�。
5.一種用于存儲電信網(wǎng)絡(luò)的用戶的認證地點的方法,其特征在于�����,該方法包括在認證服務(wù)器對所述用戶的成功認證之后����,存儲(F》所述用戶的至少一個標識符和所述認證服務(wù)器的標識符之間的關(guān)聯(lián)性的步驟。
6.一種用于存儲電信網(wǎng)絡(luò)的用戶的認證地點的裝置(DM)���,其特征在于�,該裝置能夠?qū)崿F(xiàn)用于在認證服務(wù)器對所述用戶的成功認證之后�、在認證地點服務(wù)器(ALF 300,300’ )中存儲所述用戶的至少一個標識符和所述認證服務(wù)器的標識符之間的關(guān)聯(lián)性的部件����。
7.一種用于請求接入電信網(wǎng)絡(luò)的運營商所提供的服務(wù)的用戶的認證服務(wù)器(AAA1, AAA2����,pAAAl���,pAAA2),其特征在于該服務(wù)器包括根據(jù)權(quán)利要求6的用于存儲認證地點的裝置�。
8.一種電信網(wǎng)絡(luò)(1,2)中的認證地點服務(wù)器(ALF 300�,300’),其特征在于該服務(wù)器包括用于存儲用戶(UE 10)的標識符(user-ID)和認證服務(wù)器(AAAl)的標識符(AAAl-ID) 之間的關(guān)聯(lián)性的部件��、以及用于獲得響應(yīng)于從用于管理對于該網(wǎng)絡(luò)(1)所提供的服務(wù)的接入的服務(wù)器接收的請求而存儲的關(guān)聯(lián)性(ASS (user-ID���,AAAl-ID))的部件��。
9.一種運營商的電信網(wǎng)絡(luò)(1����,2)����,包括用于管理對于至少一個服務(wù)的接入的至少一個第一服務(wù)器(NASI)、和用于管理對于運營商的至少一個服務(wù)的接入的至少一個第二服務(wù)器(NAS2���,NAS3, NAS4)����、和能夠認證請求接入所述至少一個服務(wù)的用戶(UE 10)的至少兩個認證服務(wù)器(AAA1,AAA2)�,其特征在于該網(wǎng)絡(luò)包括根據(jù)權(quán)利要求8的認證地點服務(wù)器 (ALF300����,300’),并且其特征在于該第一接入管理服務(wù)器和該第二接入管理服務(wù)器包括根據(jù)權(quán)利要求2的認證管理裝置�����。
10.一種計算機程序產(chǎn)品���,能夠從通信網(wǎng)絡(luò)下載和/或在能夠由計算機讀取的支持上存儲和/或能夠由微處理器運行�����,其特征在于該計算機程序產(chǎn)品包括用于運行根據(jù)權(quán)利要求1的用于管理用戶認證的方法的計算機程序代碼指令��。
11.一種能夠由其上記錄有計算機程序的計算機讀取的記錄支持�,該計算機程序包括用于運行根據(jù)權(quán)利要求1的用于管理用戶認證的方法的步驟的指令���。
12.—種計算機程序產(chǎn)品�,能夠從通信網(wǎng)絡(luò)下載和/或在能夠由計算機讀取的支持上存儲和/或能夠由微處理器運行,其特征在于該計算機程序產(chǎn)品包括用于運行根據(jù)權(quán)利要求5的用于存儲用戶的認證地點的方法的程序代碼指令�����。
13.—種能夠由其上記錄有計算機程序的計算機讀取的記錄支持���,該計算機程序包括用于運行根據(jù)權(quán)利要求1的用于管理用戶認證的方法的步驟的指令����。
全文摘要
本發(fā)明涉及一種用于管理運營商的電信網(wǎng)絡(luò)的用戶認證的方法��,包括以下步驟一旦接收到所述用戶對于該網(wǎng)絡(luò)的運營商所提供的服務(wù)的接入請求�,就向認證地點服務(wù)器(ALF 300)發(fā)送認證服務(wù)器標識請求,所述請求包括所述用戶的至少一個標識符(user-ID)����;和一旦接收到包括與該用戶的所述標識符關(guān)聯(lián)的認證服務(wù)器的標識符(AAA ID)的應(yīng)答,就發(fā)送在對于所請求的服務(wù)而標識的服務(wù)器處認證用戶的請求�����。
文檔編號H04L29/06GK102369750SQ201080015530
公開日2012年3月7日 申請日期2010年3月26日 優(yōu)先權(quán)日2009年3月31日
發(fā)明者J.博內(nèi)爾, L.莫蘭德 申請人:法國電信公司