专利名称:网络认证、授权和计帐系统及方法
技术领域:
本发明涉及网络运营和管理,尤其是网络认证、授权和计帐系统及方法。
背景技术:
自网络诞生以来,认证(Authentication)、授权(Authorization)以及计帐(Accounting)体制(AAA)就成为其运营的基础,网络中各类资源的使用,需要由认证、授权和计帐进行管理。其中认证,用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(诸如用户名—口令组合、生物特征获得等),然后提交给认证服务器(AAA服务器3);后者对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。例如,GSM移动通信系统能够识别其网络内网络终端设备的标志和用户标志。
授权,网络系统授权用户以特定的方式使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予的IP地址等。仍以GSM移动通信系统为例,认证通过的合法用户,其业务权限(是否开通国际电话主叫业务等)则是用户和运营商在事前已经协议确立的。
计帐,网络系统收集、记录用户对网络资源的使用,以便向用户收取资源使用费用,或者用于审计等目的。以互联网接入业务供应商ISP为例,用户的网络接入使用情况可以按流量或者时间被准确记录下来。
一个网络用户要能够正常使用网络上提供的业务,需要拥有对网络资源(即网络基础设施)和网络服务两类资源的访问能力。因此,就存在两个层面的AAA问题,网络资源层面由网络接入提供商验证用户、计帐和授权,网络业务层次由业务供应商提供。
当前的网络上存在两类业务,第一类是普通数据业务,如Web访问、FTP(文件传输协议)和电子邮件等,这类业务由业务提供商免费提供(通过广告来获得收益或者是组织内使用),相应地,对于网络接入提供者来说,计帐模式基本上是按照流量、时长或者二者结合的方式,用户身份验证是在网络的边缘通过网络基础设施提供者的AAA设施完成,同时不存在针对业务的身份验证、授权和计帐问题。这类业务一般对网络的服务质量(QoS)要求比较低,网络采用尽最大努力传送的方式转发数据就能够满足要求,业务同网络的耦合度较低,网络基础设施供应商通过向用户收取接入费即可。对于业务提供商,可以通过收取广告费用、在业务提供场所验证计帐或为本组织提供服务来补偿业务提供所需要的成本。
网络上的第二类业务是需要服务质量(QoS)保证的业务,如IPPhone、NGN(下一代网络)、视频会议、网上广播/电视和VoD(视频点播)等,这类业务要求网络提供不同等级的QoS保护,否则业务便不能正常开展。因为对网络资源的特殊要求,所以开展这类业务需要网络接入提供商的配合。目前网络上开展这类业务的基本模式是,建立一个独立的网络,该网络只提供这类业务,并且将业务和网络的接入放到一起,如VoIP(IP承载语音)。
目前网络上的AAA技术基本上采用RADIUS协议(远程拨号用户接入协议)作为后端协议(网络接入服务器(NAS)2和AAA服务器3之间的协议),而前端协议(用户设备和NAS间的协议)根据接入技术采用相应的技术,如在以太网和WLAN(无线局域网)中使用802.1x。其中,目前的AAA框架结构如图1所示接入服务器2(即NAS)收到来自用户设备1的连接请求时,会将请求信息封装成AAA服务器3支持的协议消息,发送给AAA服务器3。再经过多次用户设备1到AAA服务器3之间的交互,AAA服务器3将允许合法用户接入的指示发送给接入服务器2。这样,被授权的用户设备1就可以访问网络4了。
上面的方案中,对于第一类业务,网络本身不能对业务本身进行控制,只能控制接入。对于第二类业务的业务访问控制同接入控制是合一的,接入服务器2既是网络接入的EP(增强点,执行接入控制的设备),也是业务接入的EP,因此网络上能够开展的业务种类有限,并且如果需要在网络上开展新的第二类业务,就必须升级接入服务器2和AAA服务器3,如VoIP的情况。
另外一种可能的方案是业务和网络的接入完全分开,业务提供商和网络接入提供商分别有自己的AAA服务器3和设施,用户身份验证、授权和计帐是分开的。
因为网络和业务完全分离,QoS的保证存在一定的困难。另外用户需要维护多套身份信息,网络上也存在多个AAA设施,使用的方便性受到损害。尤其是网络接入提供商和业务提供商不是一个单位,结算就更不方便了。
发明内容
本发明解决的问题是提供一种网络认证、授权和计帐系统及方法,避免已有网络设备的限制,同时保证服务质量、方便计帐。
为解决上述问题,本发明网络认证、授权和计帐系统,包括用户设备,用户通过用户设备与网络建立连接;接入服务器,与用户设备相连接,并将用户设备接入网络;AAA服务器,与接入服务器连接,同接入服务器一起完成访问网络的用户验证、授权和计帐;业务服务器,与接入服务器连接,提供具体业务,并与AAA服务器交互验证和授权信息,与用户设备交互业务服务;业务计帐服务器,与业务服务器连接,同业务服务器一起完成用户业务资源使用的计帐,同时将计帐数据发送给AAA服务器。
其中,接入服务器能感知服务质量,而AAA服务器综合接入计帐数据和业务计帐数据。
此外,业务计帐服务器和AAA服务器是一个设备;业务服务器是完成一种业务的一系列设备并存储业务服务器存储业务资源使用状况记录;用户设备可以是计算机、手机、电话、个人数字助理。
相应地,本发明网络认证、授权和计帐方法包括以下步骤a 网络接入请求步骤,用户登录用户设备,发送网络接入请求;
b 验证、授权步骤,AAA服务器同接入服务器根据用户身份信息完成用户身份验证,相应用户设备被授权或被拒绝接入网络c 业务接入请求步骤,被授权接入网络的用户设备向业务服务器发出业务接入请求,该业务接入请求包含有用户身份信息;d 业务确认、授权步骤,业务服务器通过业务计帐服务器查询AAA服务器所存储的识别信息,确认用户身份和相应的业务使用权限,如果识别信息与用户身份信息及相应的业务使用权限相匹配,则业务服务器接受接入请求并授权开始业务交互,否则则拒绝该项业务服务;e 业务计帐步骤,业务服务器将该用户的业务资源使用状况记录送给业务计帐服务器,该业务计帐服务器根据业务资源使用状况记录得出计帐数据;f AAA服务器获得业务计帐数据,并与接入计帐数据综合。
与现有技术相比,本发明具有以下优点1.本发明将业务服务器和接入服务器分离,能够让网络上根据需要增加各种业务类别,但是不需要对网络上已经存在的设备进行升级,方便了网络上业务的开发和部署;2.增加业务计帐服务器,对网络资源的使用和业务资源的使用在计帐上区分开对待,并且通过在AAA服务器和业务计帐服务器之间提供数据通道,将计帐结果数据综合起来考虑;3.只使用一个用户登陆信息(帐号/密码),一次身份验证就可以访问网络上的各种业务,并且能够统一计帐,方便了用户使用网络和业务;4.方便了网络接入提供者对网络业务的控制能力,提供了针对QoS的计帐渠道。
图1现有网络认证、授权和计帐系统示意图。
图2本发明网络认证、授权和计帐系统示意图。
图3本发明网络认证、授权和计帐方法流程图。
图4是图3的具体流程图。
图5本发明网络认证、授权和计帐方法中增加业务流程图。
具体实施例方式
请参照图2所示,本网络认证、授权和计帐系统包括用户设备1,用户通过用户设备与网络建立连接,该用户设备1可以是计算机、手机、电话、PDA(个人数字助理)等设备,该用户设备1可以通过无线、有线的方式/技术连接到网络4中来,如GPRS(通用报文无线系统)、ADSL(非对称数据用户线)、拨号上网、WLAN等;接入服务器2,与用户设备1相连接,能够通过无线、有线的方式/技术为用户设备1提供网络接入服务的网关,如GPRS、ADSL、拨号上网、WLAN等,该接入服务器2不需要感知业务,但是要能够感知QoS(服务质量)。接入服务器是否能够感知服务质量为网络特性,现有技术可以通过各种方式提供,不再赘述;AAA服务器3,与接入服务器2连接,同接入服务器2一起完成访问网络4的用户验证、授权和计帐,及网络4的接入;
业务服务器5,具体提供业务的服务器,也可能是共同完成一种业务的一系列设备,与接入服务器2连接,并可以与AAA服务器3交互验证和授权信息,与用户设备1交互业务服务,此外,业务服务器5存储业务资源使用状况记录;业务计帐服务器6,与业务服务器5连接,且同业务服务器5一起完成用户业务资源使用的计帐,同时采用定期/实时等方式将计帐数据发送给AAA服务器3,且AAA服务器3综合接入计帐数据和业务计帐数据,此外,业务计帐服务器6和AAA服务器3可以是一个设备。
在上面的系统中,用户申请网络接入及相关业务服务时,需要先登记注册,用户从用户设备1界面输入为登录信息(如名称、帐号、密码等),而网络4根据用户登记注册给予用户一个合法访问的身份。网络4对用户身份的验证,基于用户的身份信息与网络存储的识别信息相比较是否匹配来验证,其中用户身份信息包括登录信息及其属性附加信息(如身份ID、计算机、位置、访问权限等)。在本系统中,网络接入的验证和计帐同现有的AAA机制和过程相同。
在业务接入控制中,用户首先要出示身份信息,该身份信息可能是以PKC/AC(公开密钥证书/属性证书)、令牌、委任状(Credential)等形式,并且在网络接入时已经得到AAA服务器3的确认/验证,业务服务器5通过业务计帐服务器6查询AAA服务器3来确认用户身份和授权信息,并接入和授权给用户业务的使用。
请结合参照图3、4所示,本发明网络认证、授权和计帐方法包括以下步骤
a 网络接入请求步骤30,用户登录用户设备1,发送网络接入请求;b 验证、授权步骤31,AAA服务器3同接入服务器2根据用户身份信息一起完成用户身份验证,相应用户设备1被授权或被拒绝接入网络4接入服务器2收到接入请求,向AAA服务器3发送验证请求;AAA服务器3验证用户身份后,向接入服务器2发送验证反应;接入服务器2收到验证反应后向用户设备1发送接入反应,用户设备1被授权或被拒绝接入网络。
c 业务接入请求步骤32,用户使用网上的某项业务时,被授权接入网络的用户设备1向该项业务的业务服务器5发出业务接入请求,该业务接入请求包含有用户身份信息;d 业务确认、授权步骤33,业务服务器5通过业务计帐服务器6查询AAA服务器3所存储的识别信息,确认用户身份和相应的业务使用权限,如果识别信息与用户身份信息及相应的业务使用权限相匹配,则业务服务器5接受接入请求并授权开始业务交互,否则则拒绝该项业务服务。
其中,业务计帐服务器6可以独立确定业务使用权限,但是用户身份验证仍旧由AAA服务器3最终完成。
业务确认、授权步骤中除了业务接入请求/验证外,还可以包括业务使用请求/验证,即根据业务资源状况和该用户的身份,确定该用户使用该业务的具体权限。
e 业务计帐步骤34,在业务交互过程中或业务交互完成业务服务器5将该用户的业务资源使用状况记录送给业务计帐服务器6,该业务计帐服务器6(具有常用的计帐软件即可)根据业务资源使用状况记录计算业务费用,得出计帐数据;f AAA服务器获得业务计帐数据35,并综合接入和业务计帐数据。业务计帐服务器6定期或事件驱动地将计帐数据发给AAA服务器3,或者AAA服务器3定期或事件驱动地查询业务计帐服务器6来获得计帐数据。
网络接入提供商作为对用户的唯一接口同用户协商业务/网络使用和收费事宜,并和业务提供商可以协商计帐数据的使用以及费用分配方式。当业务提供商不同时,由AAA服务器3和业务计帐服务器之间的协议来确定,业务计帐服务器6传递给AAA服务器3的计帐数据有业务类型编码,这个计帐数据中也应该包括业务提供商名称/编号、业务资源使用状况等。
请参照图5所示,业务提供商要增加新业务时增加业务的流程a 步骤50,业务提供商根据新业务,建设业务服务器5和业务计帐服务器6,提供业务服务,其中关于计帐,业务提供商同网络接入提供商谈判确定计帐数据的收集方式和业务收益的分割方式;b 步骤51,判断该业务是否为缺省业务,若不是缺省业务,则用户向业务提供商申请业务使用,并将数据(包括用户身份识别信息和使用权限,用户身份就是网络接入提供商分配给用户的帐号)存储在业务计帐服务器6,若是缺省业务,对于对所有用户都提供该业务;
c 步骤52,执行步骤30-35,用户使用用于网络接入的身份信息(如帐号、密码等)接入网络,并使用该业务(也就是接入和业务访问使用同一个ID)如果再增加其他业务,也使用同样的过程(a-c),并且也使用用于接入的身份信息(如帐号、密码等)来使用业务(也就是多种业务使用同一个ID)。这样,只使用一个用户登陆信息(帐号/密码),一次身份验证就可以访问网络上的各种业务,并且能够统一计帐,方便了用户使用网络和业务。
权利要求
1.一种网络认证、授权和计帐系统,包括用户设备,用户通过用户设备与网络建立连接;接入服务器,与用户设备相连接,并将用户设备接入网络;AAA服务器,与接入服务器连接,同接入服务器一起完成访问网络的用户验证、授权和计帐;其特征在于,该系统还包括业务服务器,与接入服务器连接,提供具体业务,并与AAA服务器交互验证和授权信息,与用户设备交互业务服务;业务计帐服务器,与业务服务器连接,同业务服务器一起完成用户业务资源使用的计帐,同时将计帐数据发送给AAA服务器;其中,接入服务器能感知服务质量,而AAA服务器综合接入计帐数据和业务计帐数据。
2.如权利要求1所述的网络认证、授权和计帐系统,其特征在于,业务服务器存储业务资源使用状况记录。
3.如权利要求1所述的网络认证、授权和计帐系统,其特征在于,业务计帐服务器和AAA服务器是一个设备。
4.如权利要求1所述的网络认证、授权和计帐系统,其特征在于,业务服务器是完成一种业务的一系列设备。
5.一种基于权利要求1所述系统的网络认证、授权和计帐方法,其特征在于,该方法包括以下步骤a 网络接入请求步骤,用户登录用户设备,发送网络接入请求;b 验证、授权步骤,AAA服务器同接入服务器根据用户身份信息完成用户身份验证,相应用户设备被授权或被拒绝接入网络c 业务接入请求步骤,被授权接入网络的用户设备向业务服务器发出业务接入请求,该业务接入请求包含有用户身份信息;d 业务确认、授权步骤,业务服务器通过业务计帐服务器查询AAA服务器所存储的识别信息,确认用户身份和相应的业务使用权限,如果识别信息与用户身份信息及相应的业务使用权限相匹配,则业务服务器接受接入请求并授权开始业务交互,否则则拒绝该项业务服务;e 业务计帐步骤,业务服务器将该用户的业务资源使用状况记录送给业务计帐服务器,该业务计帐服务器根据业务资源使用状况记录得出计帐数据;f AAA服务器获得业务计帐数据,并与接入计帐数据综合。
6.如权利要求5所述的网络认证、授权和计帐方法,其特征在于,步骤b进一步包括如下步骤接入服务器收到接入请求,向AAA服务器发送验证请求;AAA服务器验证用户身份后,向接入服务器发送验证反应;接入服务器收到验证反应后向用户设备发送接入反应,用户设备被授权或被拒绝接入网络。
7.如权利要求5所述的网络认证、授权和计帐方法,其特征在于,步骤d中还包括业务使用请求/验证,根据业务资源状况和该用户的身份,确定该用户使用该业务的具体权限。
8.如权利要求5所述的网络认证、授权和计帐方法,其特征在于,步骤f中业务计帐服务器定期或事件驱动地将业务计帐数据发给AAA服务器。
9.如权利要求5所述的网络认证、授权和计帐方法,其特征在于,步骤f中,AAA服务器定期或事件驱动地查询业务计帐服务器来获得业务计帐数据。
10.如权利要求5所述的网络认证、授权和计帐方法,其特征在于,该方法增加新业务时包括如下步骤业务提供商根据新业务建设业务服务器和业务计帐服务器,提供业务服务;判断该业务是否为缺省业务,若是缺省业务,则对所有用户都提供该业务,若不是缺省业务,则用户向业务提供商申请业务使用,并将用户身份识别信息和使用权限存储在业务计帐服务器;执行步骤a-f,用户使用用于网络接入的身份信息接入网络,并使用该业务接入网络,并使用该业务。
11.如权利要求5-10任一项所述的网络认证、授权和计帐方法,其特征在于,用户的身份信息包括登录信息和属性附加信息,且身份信息是以公开密钥证书/属性证书、令牌、委任状形式出示。
全文摘要
一种网络认证、授权和计帐系统及方法,其中该系统包括,用户设备,用户通过用户设备与网络建立连接;接入服务器,与用户设备相连接,并将用户设备接入网络;AAA服务器与接入服务器连接,同接入服务器一起完成访问网络的用户验证、授权和计帐;业务服务器与接入服务器连接,提供具体业务,并与AAA服务器交互验证和授权信息与用户设备交互业务服务;业务计帐服务器与业务服务器连接,同业务服务器一起完成用户业务资源使用的计帐,同时将计帐数据发送给AAA服务器。相应地本发明还公开了网络认证、授权和计帐方法。本发明只使用一个用户登陆信息(帐号/密码),一次身份验证就可以访问网络上的各种业务,并且能够统一计帐。
文档编号G06F17/00GK1553368SQ0313726
公开日2004年12月8日 申请日期2003年6月2日 优先权日2003年6月2日
发明者苗福友 申请人:华为技术有限公司