鉴权协议转换方法

专利名称：鉴权协议转换方法
鉴权协议转换方法
技术领域：
本发明涉及一种在鉴权阶段将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息的方法，在该鉴权阶段，具有身份并试图访问网络资源的对等体连接到鉴权方，其中基于对等体连接到鉴权方，其中基于对等身份和权限验证的所述的鉴权方通过基于鉴权在遵照第二鉴权协议的消息中接收的数据的鉴权服务器来实现授权访问网络。
本发明的领域电信和网络领域。
众所周知，希望访问IP网络并从因特网服务提供商(ISP)订购访问服务的 用户必须预先被ISP鉴权。例如通过口令的使用，鉴权检查被识别的一方是的确享 有权限的一方。这使F話^i正他们有权限访问物理资源。
由机器和用户构成的客户端由鉴权服务器鉴权，该鉴权服务器基于鉴权 协议在对话期间获得客户端鉴权数据。
最广泛使用并且网络设备安装者最广泛安装的协议是RADIUS (远程鉴权拔入 用户服务)协议与PPP (点对点协议)，两个协议都是来自IETF (因特网工程任务 组)(参见http://www.ietf.org/rfc.rfc2865.txt和http://www.ietf.org/rfc.rfc1661.txt)。支持RADIUS协议的鉴权服务器被称为 RADIUS服务器。
PPP支持多种鉴权方法，例如，并且不完全的，来自IETF (参见http://www.ietf.org/rfc/rfc1994.txt)的PPP CHAP (点对点协议询问握手鉴权协议)方法及也来自IETF(参见http://www.ietf.org/rfc/rfc3748.txt)的PPP EAP (点对点扩展鉴权协议)方法。
通过向客户端发送包含由随4W直构成的询问的PPP CHAP请求，PPP CHAP方法 周期性地验证客户端的身份。客户端发送一个由包含询问的数据和客户掌握的密码 来计算的值作为响应，由此，通过从相目同的数据计算的值使RADIUS月良务器能够检查 客户端的身份。密码是用户特有的并且RADIUS服务器也知道的口令。
EAP鉴权试图与接入网络相关联的客户端并且具有特定特征，该特征定义用于传输不同EAP鉴权方法的通用交换。EAP支持多种EAP鉴权方法，例如，并且不完全的，来自IETF (参见http://www.ietf.org/rfc/rfc3748.txt)的EAP MD5-询问方 法，和现在IETF (http://www.ietf.org/internet-drafts/draft-funk-eap-UIs-vl-00. txt)中讨论的EAP-TTLS (扩展鉴权协议-隧道化传 输层安全)方法。EAP的通用自然特性使之成为非常灵活的协议，正在被越来越多 的使用。
EAP MD5-询问方法是所使用的最简单的EAP鉴权方法鉴权是通过向客户端发 送包含询问的EAP MD5-询问类型请求实现的。客户端通过使用由IETF (参见 http: //www.ietf.org/rfe/rfe1321.txt)定义的MD5 (消息摘要-5 )哈希函数，并 且使用作为参数构成用户口令的密码来杂凑(hashing)该询问从而响应。通过从相同的数据计算的值，RADIUS服务器检查客户端的身份。
用于PPP CHAP的RADIUS和用于EAP MD5-询问的RADIUS,这两种鉴权片机制存在 并且功能独立。然而，EAP MD5-询问客户端无法被RADIUS服务器鉴权，该RADIUS 服务器支持PPP CHAP鉴权方法，但不具有对于EAP MD5-询问鉴权必要的EAP功能。 许多已经安装在网络中的服务器没有使服务器鉴权EAP MD5-询问客户端的EAP功能。
本发明的一个目的是通过提出一种转换方法，适用于向不支持EAP的PPP CHAP-RADIUS服务器鉴权EAP MD5-询问客户端，来消除现有技术的缺点。
该目的通过依据本发明如在介绍段落中描述的方法来实现的，并且特征在于其
包括
.在遵照第一鉴权协议的消息中接收对等体身份的步骤；
产生和发送询问的步骤；

接收响应于所述询问的第一响应，产生用于访问遵照第二鉴权协议的网络的 请求，并且向鉴权服务器发送所述请求的步骤；以及
-接收响应于所述请求的第二响应，并转换所述第二响应来产生遵照第一鉴权 协议的鉴权结果的步骤。
该方法的优势相当大
.EAP MD5-询问客户端可以被没有EAP功能的RADIUS服务器鉴权；
无需修改EAP MD5-询问客户端；并且
无需修改RADIUS服务器(如果RADIUS服务器已经在网络中运作，这是优势)。
该转换方法有利地进一步包括选择所述第一鉴权协议支持的鉴权方法的步骤。
因此，例如，诸如EAP-TTLS方法的基于在隧道中封装EAP MD5-询问的方法，可以和该转换方法相兼容。
产生询问有利地包括
-从鉴权服务器请求所述询问的步骤；以及
接4"斤述询问的步骤。
兼容性。
本发明还涉及一种鉴^U!十等体的方法，该对等体具有身份并且为了访问网络资
源连接到遵照第一鉴权协议的鉴权方-转换器，功能为对等体身份和权^m正的所述
的鉴权方-转换器通过功能为鉴^^遵照第_^^权协议的消息中接收的数据的鉴权 服务器来实现授权访问网络，该方法包括
.向对等体发送身份清求的步骤；
.在遵照第一鉴权协议的消息中接^^等体身份的步骤；以及
产生和发送询问的步骤；其特征在于该鉴权方法集成用于将遵照第一鉴权协 议的消息转换为遵照第二4权协议的消息的功能，并且在于其进一步包括
接收响应于所述询问的第一响应，产生遵照第4权协议的网络访问请求， 并且向鉴;^Jl务器发i^斤述请求的步骤；以及
.接收响应于所述请求的第二响应，转换第二响应以产生遵照第一鉴权协议的 鉴权结果，并JlJ^ia/斤i4^^^吉果的步-骤。
本发明进一步涉及一种转换器设备，适用于在具有身伤咖试图访问网络资源的 对等体连接到鉴权方的鉴权阶段将遵照第 一鉴权协议的消息转换为遵照第二4权消 息，功能为对等体身伤3口权队^ii的所述的鉴权方通过功能为鉴权在遵照第4权 协议的消息中接收的数据的鉴^Nl务器来实^lt权访问网络，其特^^于转换器设 备包括
用于获得询问的才势夹；
用于发i^斤述询问和网络访问请求的才狭；
用于接4t^等体的身份、响应于该询问的第一响应、和响应于所述网络访问 请求的第二响应的模块；以及
.处理器模块，产生遵照第二鉴权协议的网络访问请求并且转换遵照第一鉴权 协议的鉴;M吉果。
该转换器设备有利地进一步包括用于选择由第 一鉴权协议支持的鉴权方法的模块。
本发明还涉及一种鉴权方-转换器设备,适用于鉴权有身份并且为了访问网络资 源依照第一鉴权协议与所述设备对话的对等体，功能为对等体身^^权队险i正的所 述的设备通过功能为鉴权在遵照第二善权协议的消息中接收的数据的鉴^U良务器实现授权访问网络，该设备包括
.用于获得询问的才势夹；
用于发送对等体身份请求、所述询问、网络访问请求和鉴;^i吉果的才狭；
用于接收所述身份、响应于所述询问的第一响应、和响应于所述网络访问请
求的第二响应的才狭；
其特征在于该设备适合于将遵照第一鉴权协议的消息转换为遵照第^I4又协
议，并且在于该设备包括
处理器模块，产生遵照第4权协议的网络访问请求并且转换遵照第^^权
协议的14M吉果。
本发明进一步涉及一种鉴权系统，包4射式图访问网络资源并JJtiil送遵照第 一鉴权协议的鉴权数据，由鉴^J良务器根据第^^权协议接收和^i正来必须由鉴权 方系统筌权的对等体，其特^^于该系统包括
用于将第一协议的鉴权数据转换为第二协议的鉴权数据的装置；以及
用于鉴^i^户端的装置。
用于将第 一协议的鉴权数据转换为第二协议的鉴权数据的装置有利地由 转换器设备提供。
用于将第一协议的鉴权数据转换为第二协议的鉴权数据的装置有利地由鉴权方
-转换器设备提供。
本发明进一步涉及一种计算才財呈序，包括用于当由孩逊理器4似亍时，#^亍依据 本发明的转换方法的指令。
本发明进一步涉及一种计算才財呈序，包括用于当由微处理器4似亍时，扭軒依据 本发明的鉴权方法的指令。
参考以非p艮制实施例方式给出的附图阅读一个M实施方式的描述后，可以更
好地理解本发明的许多细节和优势，并且其中
图l是表示鉴权期间，在待14谅户端和鉴权方系统之间交换的iW技术PPP CHAP询问和响应消息格式的图表。
图2^_表示^^又期间，在待鉴一Xl:户端和鉴权方系统之间交换的戏沐技术EAP MD5-询问类型EAP请求或响应类型消息的格式的图表。
图3是表示遵照PPP CHAP协议的J贿技^I4又方法的图表。
图4是表示遵照EAP协议和EAP MD5-询问鉴权方法的玉贿技^#权方法的图表。
图5是表示根据本发明的转换方法的第一变化的图表；
图6是表示根据本发明的转换方法的第二变化的图表；
图7是遵照本发明第一变化的网络结构的图表；
图8是遵照本发明第二变化的网络结构的图表；
图9是表示根据本发明的转换器和鉴权方-转换器功能结构的图表。


图10是包括根据本发明的转换器的主要部件的图表。
在标准网络鉴权方法中三个实体相互影响鉴权方系统，待鉴权的用户 端，和鉴权服务器。鉴权方系统通过到网络的接入点控制对物理资源的访问。 待鉴权的客户端希望访问该资源并且必须被鉴权来访问资源。鉴权服务器是 在鉴权方系统请求时，验证待鉴权的客户端是否真正是具有权限的客户端， 以及是否有权访问所请求资源的机器。如果鉴权成功，鉴权方系统提供对其 所控制的资源的访问。通过在已建立的鉴权协议的基础上与待鉴权的客户端 对话，鉴权服务器管理鉴权。
待鉴权的客户端由机器和用户构成。在大部分的当前网络装置中，鉴权方系统 是诸如无线接入台一样的网络设备，例如，其M^^尔为接A^、 UP),用于PSTN (公用交换电话网)访问或ADSL (非对称4t字用户线)访问的名为网络访问服务器 (NAS )的交换机/IP路由器。在EAP和PPP CHAP术语中，待鉴权的客户端被称作对 等体，并且鉴权方系统被称作鉴权方。鉴;fW良务器是典型的RADIUS服务器或能^似亍 鉴权的4S可其它设备。尤其在因特网服务提供商中，RADIUS服务器是最广泛用于鉴 权的设备。
RADIUS协议以客户端/服务器模錄行。鉴权方系统作为RADIUS客户端运行。 RADIUS客户端发送RADIUS请求并且基于接收的响应作出动作。RADIUS服务器可作 为其它RADIUS服务器和其它鉴权系统的RADIUS代理。RADIUS协议的工作原理在于 如口令的密码的使用，为了 PPP CHAP鉴权，该密码由RADIUS服务器和待鉴权的对 等体掌握并且不在网络上发送。
RADIUS协议实现了用户/口令鉴权或用户/询问/响应鉴权。基于请求/响应的交 换可以为四种不同类型访问_请求，访问-接受，访问-拒绝，,W方问-询问。
RADIUS客户端向RADIUS服务器发送访问授权请求，该请求为访问-请求类型的 RADIUS请求。RADIUS服务器发送*接受响应，拒绝响应或请求额外信息的响应。接受 响应^3方问-^t妄受类型的RADIUS响应，拒绝响应^访问-拒绝类型的RADIUS响应， 用于请求额外信息的响应是由RADIUS服务器发送的访问-询问类型的RADIUS响应， 该响应发送询问并且等候。向应。RADIUS协议在RADIUS请求字段中，例如在已知为属性的信息要素中，传输鉴 权和授权信息。RADIUS消息中属性的数目是变化的。可以零个、 一个或多个属性。 每一个属性有限定它的类型，值和大小。作为非限制的实施例，用户名类型属性对于应 于待鉴权的用户的标识符或注册，CHAP-询问类型属性对应于由鉴权方系统产生的并发送至待鉴权户端的PPP CHAP询问，CHAP-口令类型属性对应于对待鉴权客户 端发送的PPP CHAP询问的响应，并且当在访问-询问类型的RADIUS请求中发送时， 答复-消息类型属性包^i句问。鉴权要素也可以被包括在RADIUS请求/响应的鉴权字 段中。
图1表示了遵照PPPCHAP协议的规省技术的询问和响应消息的格式。在对等体 和鉴权方之间交换询问和响应消息。
第一字段cl根据消息是询问还是对询问的响应来限定消息类型。字段cl的名 称为代码。
名称为标识符的第二字段c2包含标识消息交换的值。每次发送新的询问时，该 值必然被改变。对于对询问的响应中的消息，该字段的值和询问消息标识符字段的 值相同。
名称为长度的第三字段c3包含PPP CHAP消息的大小。
名称为值-大小的第四字段c4对应于下面定义的名称为值的第五字段c5的长度。
名称为值的第五字段c5包含询问或对询问的响应的值。询问是每次发送新的询 问时改变的随机值。通必十字节流应用哈希函数来计算对询问的响应，其中字节流 包括标识符字段c2的值,其后是与对等刷目关联的用户和鉴权服务器已知的密码， 其后是询问的值。对于PPP CHAP，该哈希函数是MD5。密码是用户特有的口令。
名称为名称的第六字段c6对应于发送消息的系统的标识。
图2例示了 现有技术EAP请求或响应的格式。在对等体和鉴权方之间交换EAP 请求和响应。
名称为代码的第一字段c7限定请求或对于请求的响应。
名称为标识符的第二字段c8标识消息的交换。响应的字段c8将与产生响应的 请求的字段c8相同。
名称为长度的第三字段c9指定EAP消息的长度。
名称为类型的第四字段clO指定请求或响应的类型。例如，称为身份的具体类 型对应于身伤请求或对身伤请求的响应。在名称为类型-数据的第五字段cll中，包含对身份清求的响应消息，与对等射目关联的用户的身份。字段C10中指定的请求
的另一种类型对应于EAP鉴权方法。例如，名称为MD5-询问的类型指定EAP鉴权方 法是EAP MD5-询问方法。类型MD5-询问与带有MD5哈希函数的PPP CHAP协议相似。 名称为类型-l史据的字段cll由以下字段构成
'名称为值-大小并且与图1中的字段c4可比的第六字段c12,对应于字段cl3 的长度；
-名称为值并且与图1中的字段c5可比的第七字段c13，对应于询问或对该询 问的响应；以及
.名称为名称并且与图1中的字段c6可比的第八字段c14，对应于发送EAP请 求或响应的系统的标识。
图3例示了现有技术PPP CHAP-RADIUS鉴权机制，表示了鉴权方法涉及的三个 实体间的消息交换。网络访问服务器(NAS) 110指定鉴权方系统。NAS110控制对等 体100对网络物理资源的访问。RADIUS服务器120是负责鉴^U!于等体100的鉴^^良 务器。徊寸等体100和NAS110间交换的PPP CHAP询问和响应消息的格式遵照图1 的图示。
在初始状态l，对等体100和NAS110处于PPP协商阶段，其间对等体100和 NASI 10建立PPP链路并JU十将采用的鉴权方法达成一致。特别地，在该阶段选择PPP CHAP鉴;f又方法。
在步骤2,在初始状态1中执行的PPP协商阶段后，NASU0产生询问并且向对 等体100发送包含该询问的PPP CHAP询问消息sl。图3未例示的PPP CHAP-RADIUS 鉴权的可选的实施中，NAS110委4乇RADIUS服务器120产生询问NAS服务器llO向 RADIUS服务器120发送访问-请求类型RADIUS请求，RADIUS服务器采用在名称为答 复-消息的RADIUS属性中包^i句问的访问-询问类型RADIUS响应来响应。可以在PPP CHAP询问消息的字段c6中限定正在发送消息的NAS110的身份。在RADIUS服务器 120产生询问的可选的鉴权实施中，可以在字段c6中限定产生询问的RADIUS服务器 120的身份。
在步骤3 ，接收PPP CHAP询问消息s 1后，对等体10 0从PPP CHAP询问消息s 1 中提取询问的值，并且计算对该询问的响应。通幼十数据应用MD5哈希函数来计算 该响应，其中数据包括PPP CHAP询问消息sl的字段c2的值，其后是对等体100掌 握的密码，其后是PPP CHAP询问消息sl中接收的并JL在消息sl的字段c5中出现 的询问的值。在步骤3的最后，对等体100在PPP CHAP响应消息s 2中发送响应。字段c6用于限定正在发送消息的对等体100的身份。
在步骤4，接收PPPCHAP响应消息s2后，以用作RADIUS服务器120的引起注 意信号，NAS110产生访问-请求类型RADIUS请求s3。该请求包括以下RADIUS属性
,
RADIUS属性用户-名称，其值为对等体100的标识符。RADIUS属性用户-名称 从PPP CHAP响应消息s2的字段c6中获得；
.RADIUS属性CHAP-询问，其ji^应于步骤2期间NAS110计算的询问。在步骤 2中对RADIUS月l务器120产生询问的鉴4又的可选的实施中，无需发送CHAP-询问属
性；
RADIUS属性CHAP-口令,其值为PPP CHAP消息si的字段c2中限定的PPP CHAP 消息si的身份，和步骤4中在PPP CHAP响应消息s2中接收的对询问的响应。在步
类型RADIUS请求s3中发送属性CHAP-询问，则不在访问-请求类型RADIUS请求s3 中插A^性CHAP-口令；并且
在步骤2中对RADIUS服务器120产生询问德鉴权德可选德实施中，如果未在RADIUS访问-请求类型请求s3中发送属性CHAP-询问，则所述的请求包括名称为用 户—口令的属性。属性用户-口令的值由ppp CHAP消息si的字段c2中限定的PPP CHAP 消息si的身份和对在步骤4中PPP CHAP响应消息s2中接收到的询问的响应构成。
在步骤4的最后， NAS110向RADIUS服务器120发送访问-请求类型RADIUS请 求s3。
在步骤5，接收步骤4发送的访问-请求类型RADIUS请求s3后，RADIUS服务器 12(H^i正用户的鉴权。为此，其对字节流应用与对等体100应用的相同的哈希函数 MD5来计tt"权值，其中字节流包4射方问-请求类型RADIUS请求s3的属性CHAP-询 问中存在的询问，其后是用户掌握的密码和i方问-请求类型RADIUS请求s3的属性 CHAP-口令中存在的PPP CHAP消息si的身份。RADIUS服务器120比较该鉴权值牙"方 问-请求类型RADIUS请求s3的属性CHAP-询问中存在的对询问的响应。在步骤2中 对RADIUS服务器120产生询问的鉴权并且絲访问-请求类型RADIUS请求s3中发 送属性CHAP-询问的可选的实施中，鉴权服务器采用其掌握的询问来计算鉴权值，以 及包含对询问的响应的属性用户-口令的内容，从而对鉴一5Ji行马^i正。如果鉴权值等 于对该询问的响应，则鉴权成功；如果不等于，则鉴权失败。在这两种情况下，在 步骤5的絲，RADIUS服务器120向NASllO发送指定鉴45L^果的消息s4。当鉴权 成功时，消息s4是访问-接受类型RADIUS响应。如果鉴^又失败，则消息s4是访问-拒绝类型RADIUS响应。
在步骤6，收到消息s4后，以用作对等体100的引起注意信号，NASllO产生响应消息s5。如果鉴权成功消息s5，则是CHAP一成功类型PPP CHAP消息，并且如果鉴权失败，则是CHAP-失败类型PPP CHAP消息。在步骤6的最后，NASll0向对等体100发送响应消息S5。
在步骤7，收到”向应消息s5后，对等体100被授权或未本皮j材嘶问物理资源。
图4通过表示鉴权方法相关联的三个实体间的消息的交换来例示遵照现有技术EAP MD5一询问方法的鉴权机制。试图访问网络物理资源的对等体1 30将自身接入控制物理资源访问的鉴权方140。鉴权服务器150负责对等体1 30的鉴权。
EAP请求或响应消息遵照图2例示的格式。
在开始步骤11，鉴权方140向对等体1 30发送EAP身份请求S1 0。根据参考图2所描述的EAP消息格式，该消息在字段c10中包含对应于类型身份的值。
在步骤12，收到EAP身份请求s1 0之后，对等体1 30构造EAP响应消息S 1 1，其在EAP响应消息s11的字段cll中包含对等体1 30的身份。对等体1 30向鉴权方14 0发EAP响应消息S1 1。
在步骤1 3，收到EAP响应消息sll后，鉴权方在EAP响应消息S 12中将EAP响应消息sll中继到獭艮务器150。
在步骤14，收到EAP响应消息s12后，猢艮务器150产生询问和EAP MD5一询问类型的EAP请求消息sl 3。EAP请求消息sl 3在消息的字段c1 3中包含该询问。除询问外，可以在字段c14中限定产生请求消息的鉴权服务器的身份。鉴权服务器1 50向捌叉方140发送EAP请求消息s1 3。
在步骤1 5，收到EAP请求消息s1 3后，斟又方14 0在EAP请求消息s 14中将EAP请求消息s1 3中继到对等体1 30。
在步骤16，收到EAP请求消息S14后，对等体1 30从EAP请求消息S1 3中提取询问并且利用它构成响应。通过对字节流应用MD5哈希函数来计算该响应，其中字节流包括询问，其后是对等体l 30掌握的密码和从消息的字段c8获得的请求消息S 14的标-~e#-t。对等体1 30向割叉方140发送在字段c1 3中包含对询问的响应的EAP响应s15。EAP响应S15的字段c14可用于规定发送该响应的对等体1 30的身份。
在步骤17，收到EAP响应消息s1 5后，斟又方14 0在EAP响应消息S 16中将EAP响应消息s15中继至0些≥栖U艮务器150。
在步骤18，收到EAP响应消息S16后，鉴权服务器150验证对等体1 30的鉴权。为了此目的，它通必十字节流应用MD5哈希函数来计算鉴权值，其中字节流包括其 在步骤14中产生的询问，其后是对等体130掌握的特有的密码及EAP响应消息s16 的字段c8中出现的请求和响应消息的标识符。如果鉴权值等于EAP响应消息s16的 字段cl7中出现的的对询问的响应，则对等体130的鉴权成功；如果不相等，鉴权 失败。在这两种情况下，鉴^J良务器150产生限定鉴权结果的EAP消息s17。当鉴权 成功时，EAP消息sl7是EAP成功类型的EAP消息。如果鉴权失败，则EAP消息s17 是EAP失败类型的EAP消息。鉴^Jl务器150将EAP消息s17发i^会鉴权方140。
在步骤19， 4Wj步骤18中鉴^Ul务器150发送的EAP消息s17后，鉴权方140 在EAP消息s18中将EAP消息s17中继到对等体130。
在步骤20， 4U'J EAP消息s18后，对等体130访问物理资源或不访问。
在EAP鉴权的一个特别实施中，在鉴4" 140和鉴4W艮务器150之间交换的所 有EAP消息都封装在如RADIUS协议的遵照AAA (鉴权，授权，和计费)类型协议的 消息中。
图5通it4示鉴权方法涉及的实体间的消息的交换和处理操作，例示了采用才艮 据本发明用于将EAP MD5-询问鉴权消息转换为PPP CHAP-RADIUS鉴权消息的方法的 鉴权机制。再次采用EAP术语来指定鉴权方法涉及的实体。
EAP对等体160对应于待鉴权的客户端，该客户端希望访问物理资源并且必须 被14棘访问。鉴权方170是控制物理资源访问的鉴权方系统。根据本发明的方法 实现本发明专用的转换器180,并且将遵照EAP协议和EAP MDT-询问方法的鉴权消 息转换为遵照PPP CHAP-RADIUS筌权协议的消息。转换才势夹181是要##在转换器 180内存中的程序；它包括用于4Afrf艮据本发明转换方法的指令。它管理被称为当前 EAP会话上下文的内部数据项目182,该上下文用于存储关于进行中EAP会话的信息， 例如(并且非穷尽的)进行中EAP ^S舌的标识符，进行中选择用于"^i舌的EAP鉴权 方法。在鉴权方170和RADIUS服务器190交互时接^jt匕信息。RADIUS服务器190 负责鉴权EAP对等体160。此RADIUS服务器没有使其能够鉴权EAP客户端的EAP功 能。
在本发明的一个特别的实施方式中，徊于等体160和鉴权方170之间交换的所 有消息者问皮封装在如EAP-TTLS消息的^^Pi^il:中。
在本发明的一个特别的实施方式中，在鉴权方170和转换器180之间交换的所 有消息者问皮封装在如RADIUS协议的遵照AAA-类型协议的消息中。
在开始步骤22,鉴权方170产生身^分清求消息s20并且将其发送到EAP对等体160。根据参考图2描述的EAP消息格式，消息在字段clO中包含对应于类型身份的 值。
在步骤23，接收到EAP身份清求消息s20后，EAP对等体160产生并JL^i^ 字段cll中包含其身份的EAP响应消息s21。
在步骤24，接收到EAP响应消息s21后，鉴权方170在EAP消息s22中将EAP 响应消息s21中继到转换器180。
在步骤25中，接收到EAP响应消息s22后，转换器180分析EAP响应消息s22。并且将该身份务賭到当前EAP会活上下文182中。在相对于出现在身份类型的EAP 响应消息s22的字段c8中的标识符处的内容，当前EAP^S舌上下文182被标识符唯 一标识。转换器180选择当前EAP的鉴权方法，在此为EAPMD5-询问方法。EAP MD5-询问方法的选择是多方面考虑的结果EAP对等体160的身份，鉴权方170的标 识符，和转换器190的^^可进一步的可用信息使得其辨别与对等体160相关联的用 户和作为接入点的鉴权方170。将辨别用户和网络接入点的信息有利地在当前 EAP会话上下文182中。转换器180在当前EAP会话上下文182中^(诸EAP MD5-询 问方法的选择。转换器180选择将EAP MD5-询问鉴权转换为PPP CHAP-RADIUS，从 而具体没有EAP功能的RADIUS服务器190的鉴权。转换器选择希望#1^亍鉴权的 RADIUS服务器。为了做出选择，转换器180依赖关于可用的关于EAP对等体的信息 当前EAP会话上下文182中存储的EAP对等体的身份，和转换器180通过访问另一 个服务器或数据库转换器可用的4W可其它信息，辨别与EAP对等体160以及作为网 全接入点的鉴权方170相关联的用户的信息。该信息被(诸在当前EAP会话上下文 182中。转换器180确定其必须请求RADIUS服务器190产生询问，并且向RADIUS 月l务器190发送访问4奮求类型RADIUS请求s23。在本发明可选实施方式中，转换器 180选择其自身产生询问。然后不与RADIUS服务器190交换消息。
在步骤26,接收访问-请求类型RADIUS请求s23后，RADIUS服务器190产生询 问并且向转换器180发送在RADIUS属性答复-消息中包含该询问的访问-询问类型 RADIUS响应s24。
在步骤27,接收RADIUS响应s24后，转换器180产生EAP询问消息s25。在 RADIUS响应s24中从RADIUS服务器190接收到ll的询问被插入EAP询问消息s25的字 段cl3中。在转换器180选择其自身产生询问的本发明可选的实施方式中，询问被 插入EAP询问消息s25的字段cl3中，并且被^i^诸在当前EAP会活上下文182中。转换器180将询问产生的方式存存储在当前EAP会话上下文182中。
EAP询问消息s25的字段cl4有利地用于限定产生询问的鉴;N艮务器190的身 份。在转换器180选择其自身产生询问的本发明可选的实施方式中，EAP询问消息 s25的字段cl4有利地用于指定产生EAP询问消息s25的转换器180的身份。在步骤 27的M,转换器180向鉴权方170发送EAP询问消息s25。
在步骤28，接收EAP询问消息s25后，鉴权方170在EAP询问消息s26中将EAP 询问消息s25中继到EAP对等体160。
在步骤29,接收EAP询问消息s26后，EAP对等体160从EAP询问消息s26的 字段cl3中提取询问并且产生EAP响应消息s27。为此，EAP对等体160通过在比特 aji应用MD5哈希函数来计算对询问的响应，其中比特流包4射句问的值，其后是EAP 对等体160特有的密码，其后是从EAP询问消息s26的字段c8中^是取的消息s26的 身份。对询问的响应一皮插M'J EAP响应消息s27的字^殳cl3中。EAP响应消息s27 的字段c14可有利地用于指定EAP对等体160的身份。EAP对等体160向鉴权方 发送EAP响应消息s27。
在步骤30,接收EAP响应消息s27后，鉴权方170在消息s28中将EAP响应消 息s27中继到转换器180。
在步骤31,接收EAP响应消息s28后，转换器180分析EAP响应消息s28。如 勤十询问的响应已经被填充，则它从字段cl3中获得对询问的响应和从字段cl4获 得发送消息的实体的名称。转换器在当前EAP^舌上下文182 ^(诸对询问的响应， 并且，可应用地，^f诸发送消息的实体的身份。在步骤25期间未作出选择^^&十 RADIUS服务器的鉴权的本发明可选实施方式中，Jtt作出选4奪，以及作出RADIUS 服务器的选择。为了作出jtb^择，转换器180^a负关于EAP对等体160的可用的信 息当前EAP^舌上下文182中存储的EAP对等体160的身份，对询问请求的响应 消息的发送方，以及转换器180通过访问另一个服务器或数据库可用的任何其它信 息，辨识与EAP对等体160和作为网绍4妻入点的鉴权方170相关4关的用户的信息。 转换器180构造访问-请求类型RADIUS请求s29，该请求中包含RASIUS服务器190 鉴权EAP对等体160所需的鉴权信息。特別地，转换器180利用之前步骤获得的鉴 权信息来产生如下RADIUS鉴权属性
-对应于与EAP对等体160相关联的用户身份的属性用户-名称。用户的身份是， 例如(并且非穷尽地)EAP对等体的MAC (媒体访问控制)地址，IP地址或被EAP 对等体插入消息S27的字段cl4中的身份。此属性的值从包含在之前交换的和当交换时^f诸在当前EAP会话上下文182的消息的字段中的信息g得。转换器180使 用4^P或部分此信息iM勾成属性用户-名称；
.EAP响应消息s22的字段cll对于步骤25中转换器180接收的标识符请求。 在本发明一个特定实施方式中EAP响应消息s22被封# RADIUS消息中，字段cll 的复^4t包含在RADIUS消息s22的属性用户-名称中；
-有利地包含EAP对等体160标识符的EAP响应消息s28的字段cl4;以及
.用于标识用户的^K其它信息。在鉴权方170和转换器180之间交换的EAP 消息被封装在如RADIUS协议的AAA-类型协议的本发明一个特定实施方式中，该协议 的属性有利iW皮^^]。
在本发明的一个特定实施方式中，转换器180从如^(诸在转换器180访问的数 据库中的信息的用户掌握的特有信息中添加属性用户-名称或产生标识符。
指定EAP响应消息s28的标i口vT寻和从EAP响应消息s28的字段cl3中提取的 对询问响应的属性CHAP-口令。当询问被转换器180 ^f诸，并站RADIUS请求s29 中，在CHAP-询问RADIUS属性中，或在RADIUS请求s29的鉴权方字段中^L^iili合 RADIUS服务器19 0时，CHAP- 口令属性被填写。
包含EAP响应消息s28的标识符和从EAP响应消息s28的字段cl3中提取的 对询问响应的属性用户-口令。当询问未在RADIUS请求s29中由转换器180发i^'j RADIUS月l务器190时，属性用户-口令^皮填写。
在转换器180自己产生询问的本发明的可选的实施方式中，转换器180在CHAP-询问属性或RADIUS请求s29的鉴权方字段中限定询问的值，并#属性CHAP-口令 中指定EAP响应消息s28的标识符和从EAP响应消息s28的字段cl3中提取的对询 问的响应。
在本发明的一个特殊的实施方式中，转换器180还^y于额外的代理-类型处理。因此，转换器180已知的信息在RADIUS属性中发i^i合RADIUS月良务器190。例如，并且不完全的，该信息是由与鉴权方170 或EAP 对等体160 相关联的转换器限定的信息，并且可能对 RADIUS服务器有用。
在步骤31的最后，由转换器180构造的访问-请求类型RADIUS请求s29被发送 给RADIUS服务器190。
在步骤32，接收访问-请求类型RADIUS请求s29后，鉴43Ul务器190以与PPP CHAP方法相同的方式来4b正用户的鉴权。
RADIUS服务器190向转换器180发送鉴;Ri吉果消息s30。如果鉴权成功则鉴权 结果消息s30是访问-接受类型RADIUS响应，如果失败则是RADIUS响应访问-拒绝 的RADIUS响应。
在步骤33，接收鉴权结果消息s30后，转换器180分析鉴权结果消息s30，并 且准^^将所述的消息s30转纟线EAP消息。用于转换的准备在于选择作为鉴;^i吉果 发送给鉴权系统的消息。转换器基于接收的RADIUS响应和/或RADIUS响应的RADIUS 属性的值和/或转换器内在^^牛选择响应消息。在本发明的一个实施方式中，转换器 产生响应消息s31，如果消息s30 ^i方问-4妻受类型RADIUS响应则消息s31是EAP-成功类型EAP消息，并且如果消息s 30是访问拒绝类型RADIUS响应则消息s 31是EAP-失败类型EAP消息。在本发明的一个特殊实施方式中，代理-类型处理也可以用于基 于转换器180定义的标准调整响应消息s31。在步骤s33的最后，响应消息s31祐l 敬鉴W 170。
在步骤34，接收响应消息s31后，鉴权方170在消息s32中将EAP-成功或EAP-失败类型EAP响应消息s31中继到EAP对等体160。
在步骤35，接收消息s32后，EAP对等体160访问物理资源或者不访问。
为了简明，没有描述特定于EAP和链接到消息重传的RADIUS协议、及^f诸该重 传必须的信息的才几制。
图6例示了参考图5描述的转换器的功能被集成到鉴权方系统的，根据本发明 的转换方法的第二种变化中发生的信息交换。EAP对等体200是待鉴权的客户端。鉴 权方-转换器210是控制物理资源访问和城转换器功能的鉴权方系统。RADIUS月l务 器220控制EAP对等体200的访问。
步骤41, 42， 44, 46, 48， 50与参考图5描述的步骤22, 23， 26, 29， 32， 35^i目同的类型。
步骤43，相比图中的步骤25，鉴权方-转换器210确定要采用的EAP鉴权方 法是EAPMD5-询问方法，并且确定必须请求RADIUS服务器220来产生询问。鉴权方 -转换器210向RADIUS服务器220发送访问-请求类型RADIUS请求s42。在本发明的 可选实施方式中，鉴权方-转换器210选择其自身来产生询问。这样与RADIUS服务 器220无消息的交换。
在步骤45，接收包含步骤43中请求的询问的访问-询问类型RADIUS响应s43 (与图5中的响应s24是相同的类型)后，鉴权方-转换器210产生EAP询问消息s牧 从RADIUS服务器220接收的在访问-询问类型RADIUS响应s43中的询问被插入到EAP 询问消息s44的字段cl3中。
在鉴权方-转换器210自身产生询问的本发明可选实施方式中，该询问被插入到
EAP询问消息s44的字段c13中。
鉴权方－转换器210的身份有利^M皮限定在EAP询问消息s44的字段cl4中。在 步骤45的最后，EAP询问消息s44 被发送到EAP对等体200。
在步骤47，接收EAP响应消息s45 (与图5中的消息s27是相同的类型)后， 进行类似于图5中步骤31中转换器实现的处理。鉴权方-转换器210从之前步骤中 交换的EAP消息中包含的鉴权信息中产生访问-请求类型RADIUS请求s46。访问-请 求类型RADIUS请求s46包括多个RADIUS属性
-鉴权方-转换器210在其中插入与EAP对等体200相关联的用户的标识符的属 性用户-名称，其可包括从EAP消息s41的字段cll及EAP消息s41的字段cl4获得 的信息。在本发明的一个特定实施方式中，鉴权方-转换器21Q完成用户-名称属性 或者从如鉴权方-转换器210访问的数据库中存储的信息一样的用户掌握的特有信息 中产生标识符。
属性CHAP-口令，其中鉴权方-转换器210复制作为当前EAP ^S舌标识符的EAP 响应消息s45的标识符及从EAP响应消息s45的字段cl3中提取的对询问的响应。 当询问被鉴权方-转换器210 ^f诸，并錄RADIUS请求s46中、在RADIUS属性CHAP-询问中、或在所述请求的鉴权方字段中^^i^J'J RADIUS服务器220时，填充属性 CHAP-口令。
.
属性用户-口令，包含响应消息s45的标识符和从EAP响应消息s45的字段 c13中提取的对询问的响应。当询问未在RADIUS请求s46中由鉴权方-转换器210 发彩U RADIUS服务器时填充属性用户-口令。
在鉴权方-转换器210自身产生询问的可选的本发明的实施方式中，鉴权方-转 换器210在RADIUS请求s46的CHAP-询问属性或鉴权方字段中限定询问的值，并且 在CHAP-口令属性中限定EAP响应消息s45的标识符和从EAP响应消息s45的字段 c13中提耳又的对询问的响应。
在本发明的一个特殊实施方式中，代理-类型额外处理也由以RADIUS属性向 RADIUS服务器发送信息的鉴权方-转换器210 4W亍。EAP响应消息s46祐发iti合 RADIUS服务器220。
在步骤49,接收鉴权结果消息s47 (与消息s30的类型相同)后，为了EAP对 等体200的关注，当消息s47是访问-接收类型RADIUS响应时鉴权方-服务器210产 生为EAP消息EAP-成功的响应消息s48，并且当消息s47 是访问-拒绝类型RADIUS响应时产生为EAP消息EAP-失败的响应消息s48。在本发明的一个特定实施方式中， 代理-类型处理也可以基于鉴权方-转换器210中定义的标准调整响应消息s48。
在步骤50中，接收响应消息s48后，EAP对等体200访问物理资源或者不访问。
图7是描述网络结构的一个实例的图表，其中描述了根据本发明的转换方法所 涉及的实体。
EAP对等体160正试图访问由构成网络接入点的鉴权方170控制的IP网络250 的物理资源。EAP对等体160必须预先被鉴权。RADIUS服务器190马b正EAP对等体 160已经被鉴权并且有访问网络250物理资源的权限。RADIUS服务器190没有EAP 功能。
为了被鉴权，EAP对等体160根据EAP MD5-询问鉴权方法与鉴权方170对话。 鉴权方170请求RADIUS服务器190验证EAP对等体160是否有权限访问资源。为此， EAP对等体160与转换器180对话，据提到本发明，转换器180可以将EAP MD5-询 问鉴权消息转l线RADIUS服务器190可理解的PPP CHAP-RADIUS鉴权消息。转换器 180向RADIUS服务器190提供从鉴权方170接收的EAP对等体160特有的鉴权数据。 其从RADIUS服务器190 接收鉴权接果。为了鉴权方170的关注转换器转换该结果。 鉴权方170通知EAP对等体160鉴权接果。
图8是描述网络结构的第二个变化的图表，其中描述了根据本发明的转换方法 所涉及的实体。在此变化中，是鉴权方-转换器210， 具体到本发明，是寺似亍图7中 的鉴权方170和转换器180功能的鉴权方系统。
图9是例示根据本发明的转换器和鉴权方-转换器的功能结构的图表。
转换器180由如下主要功模块构成
用于获取为随机值的询问的模块281。由该才狭产生询问或在向鉴权服务器
提交产生请求后由该才势夹获得询问。
.
用于发送消息的冲势夹282。为了获得询问，该模块负责发送由消息处理模块 或模块281准备的外部实体消息。为此，其有多个外部接口接口i282-l用于向鉴 权务器发送消息，并且接口 i282-3用于向鉴权方发送消息。
用于接收消息的才势夹283。该模块通过多个接口从外部实体接收消息，接口 包括用于接收鉴权方发送的消息的接口 i 28 3-1和用于接收鉴权服务器发送的消息的 接口 i283-3。该模块将接收的消息发给处理模块。
处理模块284。该模块分析从消息接收模块283接收的消息，将鉴权数据从 一个协议转换成另一个协议，并且产生将由消息发送模块282发送的消息。
用于选3奪EAP支持的鉴权方法的才势夹285。
通信信道288由各^^f躺来交换信息。例如，用于获耳又询问的才势夹281可以 向用于发送消息的模块282发送询问请求，用于发送消息的模块282发送该请求给 鉴组务器。
鉴权方-转换器210包含与转换器180相同的功肯M狭。用于发送消息的才 282与转换器180的不同在于它包^f乍为对等体引起注意信号用于发送消息的接口 i282-2而没有与^^4x^的4妻口 i282-3。鉴^^-转换器210的消息4娄收4势夹283与 转换器180的不同在于，它没有与鉴^^"的接口 i283-l并且具有用于A^j"等^^妻收 消息的接口 i283-2。
上面描述的功肯^势夹和接口有利地以^f诸在转换器180 (分别为鉴权方-转换器 210)的^^诸器中的程序的形式实现，并且由所述的转换器(分别为鉴权方-转换器) 得处理器来拟亍。
图IO是表示根据本发明的转换器180的主^"部件的图表。
主要计算在称为中央处理单元(CPU)的中央部件36Q中实现。特别地，CPIB60 ^^亍加载到随机访问存储器(RAM) 365中的程序，该R層存储由CPU处理的数据。
外围设备370处理在处理器与外部世界间的通信。为了简化未在图表中详细表 示。例如，并且不完全地，夕卜围设备是网络连接才势夹，可移动盘等等。
总线375用于在转换器180的部件间传输数据。
本发明特有的转换程序380 4孩在图表中未示出的外围设备中。该程序包括参 考图9所描述的功負M^夹并且以程序指令的方iO^亍。该程序被CPU加载到用于执 行指令的随机访问^f诸器365中。
图10同等地应用于图6所示的鉴4W-转换器210。鉴权方-转换器的主要部件 与转换器180的主要郎件类似。只有转换程序380是不同的。对于鉴权方-转换器， 特有的禾踏包括参考图9描述的以禾踏指令形式^^亍的功禽a势夬。所述的程序^^口 载到随机访问##器365中用于CPU 4W亍指令。
权利要求
1、一种在将具有身份和试图访问网络(250)的资源的对等体(160)连接到鉴权方(170)的鉴权阶段，将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息的方法，其中基于对等体身份和权限的验证所述鉴权服务器授权访问所述网络，而所述验证由鉴权服务器(190)基于在遵照第二鉴权协议的消息中接收的鉴权数据来实现，其特征在于转换方法包括·在遵照第一鉴权协议的消息中接收对等体身份的步骤(25)；·产生和发送询问的步骤(27)；·接收响应于所述询问的第一响应，产生用于访问网络的遵照第二鉴权协议的请求，并且向所述鉴权服务器发送所述请求的步骤(31)；以及·接收响应所述请求的第二响应，并且转换所述第二响应来产生遵照第一鉴权协议的鉴权结果的步骤(33)。
2、 根据权利要求l的方法，其特44于该方法包括选择所述第一鉴权协议支持的鉴权方法的步骤。
3、 根据任意在前权限要求的方法，其特;f球于产生所述询问包括 . 从所述鉴权其服务器(190 )请求所述询问的步骤(25 );以及.接收所述询问的步骤(27)。
4、 一种鉴权具有身份并且为了访问网络(250 )的资源连接到遵照第一鉴权协 议的鉴4访-转换器(210)的对等体(200 )的方法，其中所述鉴权方-转换器基于 对等体身份和权限验证受权访问所述网络，而所述验证基于在遵照第二鉴权协议的 消息中接收的鉴权数提由鉴4W良务器(220 )来实现，该方法包括.向对等体发送身份清求的步骤(41); 在遵照第一鉴权协议的消息中接收对于等体身份的步骤(43); 产生和发送询问的步骤(45); 其特征在于该鉴权方法集成用于将遵照第一鉴权协议的消息转换为遵照第二 鉴权协议的消息的功能，并且在于其进一步包括.步骤(47)，接收。向应于所述询问的第一响应，产生遵照第二鉴权协议的网络访问请求，并且向所述鉴权服务器发送所述请求；以及.步骤(49)，接收响应于所述请求的第二响应，转换所述第二响应以产生遵照第一鉴权协议的鉴权结果，并且发送所述鉴权结果。
5、 一种转换器设备，适用于在将具有身份和试图访问网络(250 )的资源的对 等体(160)连接到鉴权方(170)的鉴权阶段，将遵照第一鉴权协议的消息转换为 遵照第^!4又消息，其中基于对等体身份和权限的^i正所述鉴^C务器授权访问所 述网络，而所述-^i正由鉴一3Ul务器(190)基于在遵照第Ji^权协议的消息中接收的 鉴权数据来实现，其特44于转换器设备包拾■用于获得询问的才势夹281; 用于发送所述的询问和网络访问请求的才势太282;-用于接^^f等体的身份，响应于所述询问的第一响应，和响应于所述网络访 问请求的第二响应的4莫块283;和 产生遵照第二鉴权协议的网络访问请求并且转换遵照第一鉴权协议的鉴^^吉 果的处理器才莫块284。
6、 根据权利要求4的设备，其特4础于其进一步包括才势夹281,用于选择所述 第 一鉴权协议支持的鉴权方法。
7 、 一种鉴权方-转换器设^( 210 ),适用于鉴权具有身份并且为了访问网2 5 0 ) 的资源依照第一鉴权协议与所述设备对话的对等体(200 )，其中基于对等体身伤咖 权队险i正的所述鉴权方-转换器授权访问所述网络，而所述马b正基于在遵照第4权 协议的消息中接收的鉴权数据由鉴斥5Jl务器(220 )来实现，该设备包括 才M (281)，用于获得询问；-才势夹(282 )，用于发i^十等体身^i青求，所述询问，网络访问请求和鉴权结 果；和-模块(283 )，用于接收所述身份，响应于所述询问的第一响应，和响应于所 述网络访问请求的第二响应；其特征在于该设备适合于将遵照第 一鉴权协议的消息转换为遵照第^#权协议 的消息，并且在于该设备进一步包括-处理器模块(284 ),产生遵照第4权协议的网络访问请求并且转换遵照第 ^P又协议的鉴^i吉果。
8、'一种鉴权系统，包4封式图访问网络(250 )的资源并且必须通过发送由鉴权 服务器(190， 220 )根据第^^14又协议接收和^i正、遵照第一鉴权协议的鉴权数据， 来由鉴;fc^系统(170， 210)鉴权的对等体(160， 200 )，其特4i^于该系统包括,用于将第一+办议的鉴权数据转换为第二协议的鉴权数据的装置；和 -用于鉴^i^户端的装置。
9、 一种鉴权系统，包括试图访问网络(250 )的资源并且必须通过发送由鉴权 服务器(190， 220 )根据第J^^权协议接收和^i正的、依照第一鉴权协议的鉴权数 据，来由鉴权方系统(170， 210)鉴权的对等体(160， 200 )，其特4i^于用于将第 一协议的鉴权数据转换为第二协议的鉴权数据的装置酉e^根据权利要求4的转换器 设备。
10、 一种鉴权系统，包括试图访问网络(250 )的资源并且必须通过发送由鉴权 服务器(190， 220 )根据第^TLi4又协议马^i正的、符合第一鉴权协议的鉴权数据，来 由鉴权方系统(170， 210)鉴权的对等体(160， 200 ),其特征在于用于将第一协议 的鉴权数据转换为第二协议的鉴权数据的装置和用于鉴^^户端的装置K^根据权 利要求5的鉴;fc^-转换器设备。
11、 一种计算才W呈序，包括当由孩伙理器(360 )#^亍时，用于寺;Mf4艮据权利要 求1的方法的指令。
12、 一种计算;N呈序，包括当由m^理器(360 H似亍时，用于执frf艮据权利 要求4的方法的指令。
全文摘要
本发明涉及一种在具有身份和试图访问网络资源的对等体连接鉴权方的鉴权阶段，将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息的方法，功能为对等体身份和权限验证的所述的鉴权方通过功能为鉴权在遵照第二鉴权协议的消息中接收的数据的鉴权服务器来实现授权访问网络，其特征在于转换方法包括在遵照第一鉴权协议的消息中接收对等体身份的步骤；产生和发送询问的步骤；接收响应于所述询问的第一响应，产生用于访问网络的遵照第二鉴权协议的请求，并且向鉴权服务器发送所述请求的步骤；以及接收响应该请求的第二响应并且转换第二响应来产生遵照第一鉴权协议的鉴权结果的步骤。
文档编号H04L9/32GK101204038SQ200680021564
公开日2008年6月18日 申请日期2006年6月7日 优先权日2005年6月16日
发明者克莱尔·杜兰顿, 马加利·克拉索斯 申请人:法国电信公司