專利名稱:網絡認證、授權和計帳系統及方法
技術領域:
本發明涉及網絡運營和管理,尤其是網絡認證、授權和計帳系統及方法。
背景技術:
自網絡誕生以來,認證(Authentication)、授權(Authorization)以及計帳(Accounting)體制(AAA)就成為其運營的基礎,網絡中各類資源的使用,需要由認證、授權和計帳進行管理。其中認證,用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程,通過與用戶的交互獲得身份信息(諸如用戶名—口令組合、生物特征獲得等),然后提交給認證服務器(AAA服務器3);后者對身份信息與存儲在數據庫里的用戶信息進行核對處理,然后根據處理結果確認用戶身份是否正確。例如,GSM移動通信系統能夠識別其網絡內網絡終端設備的標志和用戶標志。
授權,網絡系統授權用戶以特定的方式使用其資源,這一過程指定了被認證的用戶在接入網絡后能夠使用的業務和擁有的權限,如授予的IP地址等。仍以GSM移動通信系統為例,認證通過的合法用戶,其業務權限(是否開通國際電話主叫業務等)則是用戶和運營商在事前已經協議確立的。
計帳,網絡系統收集、記錄用戶對網絡資源的使用,以便向用戶收取資源使用費用,或者用于審計等目的。以互聯網接入業務供應商ISP為例,用戶的網絡接入使用情況可以按流量或者時間被準確記錄下來。
一個網絡用戶要能夠正常使用網絡上提供的業務,需要擁有對網絡資源(即網絡基礎設施)和網絡服務兩類資源的訪問能力。因此,就存在兩個層面的AAA問題,網絡資源層面由網絡接入提供商驗證用戶、計帳和授權,網絡業務層次由業務供應商提供。
當前的網絡上存在兩類業務,第一類是普通數據業務,如Web訪問、FTP(文件傳輸協議)和電子郵件等,這類業務由業務提供商免費提供(通過廣告來獲得收益或者是組織內使用),相應地,對于網絡接入提供者來說,計帳模式基本上是按照流量、時長或者二者結合的方式,用戶身份驗證是在網絡的邊緣通過網絡基礎設施提供者的AAA設施完成,同時不存在針對業務的身份驗證、授權和計帳問題。這類業務一般對網絡的服務質量(QoS)要求比較低,網絡采用盡最大努力傳送的方式轉發數據就能夠滿足要求,業務同網絡的耦合度較低,網絡基礎設施供應商通過向用戶收取接入費即可。對于業務提供商,可以通過收取廣告費用、在業務提供場所驗證計帳或為本組織提供服務來補償業務提供所需要的成本。
網絡上的第二類業務是需要服務質量(QoS)保證的業務,如IPPhone、NGN(下一代網絡)、視頻會議、網上廣播/電視和VoD(視頻點播)等,這類業務要求網絡提供不同等級的QoS保護,否則業務便不能正常開展。因為對網絡資源的特殊要求,所以開展這類業務需要網絡接入提供商的配合。目前網絡上開展這類業務的基本模式是,建立一個獨立的網絡,該網絡只提供這類業務,并且將業務和網絡的接入放到一起,如VoIP(IP承載語音)。
目前網絡上的AAA技術基本上采用RADIUS協議(遠程撥號用戶接入協議)作為后端協議(網絡接入服務器(NAS)2和AAA服務器3之間的協議),而前端協議(用戶設備和NAS間的協議)根據接入技術采用相應的技術,如在以太網和WLAN(無線局域網)中使用802.1x。其中,目前的AAA框架結構如圖1所示接入服務器2(即NAS)收到來自用戶設備1的連接請求時,會將請求信息封裝成AAA服務器3支持的協議消息,發送給AAA服務器3。再經過多次用戶設備1到AAA服務器3之間的交互,AAA服務器3將允許合法用戶接入的指示發送給接入服務器2。這樣,被授權的用戶設備1就可以訪問網絡4了。
上面的方案中,對于第一類業務,網絡本身不能對業務本身進行控制,只能控制接入。對于第二類業務的業務訪問控制同接入控制是合一的,接入服務器2既是網絡接入的EP(增強點,執行接入控制的設備),也是業務接入的EP,因此網絡上能夠開展的業務種類有限,并且如果需要在網絡上開展新的第二類業務,就必須升級接入服務器2和AAA服務器3,如VoIP的情況。
另外一種可能的方案是業務和網絡的接入完全分開,業務提供商和網絡接入提供商分別有自己的AAA服務器3和設施,用戶身份驗證、授權和計帳是分開的。
因為網絡和業務完全分離,QoS的保證存在一定的困難。另外用戶需要維護多套身份信息,網絡上也存在多個AAA設施,使用的方便性受到損害。尤其是網絡接入提供商和業務提供商不是一個單位,結算就更不方便了。
發明內容
本發明解決的問題是提供一種網絡認證、授權和計帳系統及方法,避免已有網絡設備的限制,同時保證服務質量、方便計帳。
為解決上述問題,本發明網絡認證、授權和計帳系統,包括用戶設備,用戶通過用戶設備與網絡建立連接;接入服務器,與用戶設備相連接,并將用戶設備接入網絡;AAA服務器,與接入服務器連接,同接入服務器一起完成訪問網絡的用戶驗證、授權和計帳;業務服務器,與接入服務器連接,提供具體業務,并與AAA服務器交互驗證和授權信息,與用戶設備交互業務服務;業務計帳服務器,與業務服務器連接,同業務服務器一起完成用戶業務資源使用的計帳,同時將計帳數據發送給AAA服務器。
其中,接入服務器能感知服務質量,而AAA服務器綜合接入計帳數據和業務計帳數據。
此外,業務計帳服務器和AAA服務器是一個設備;業務服務器是完成一種業務的一系列設備并存儲業務服務器存儲業務資源使用狀況記錄;用戶設備可以是計算機、手機、電話、個人數字助理。
相應地,本發明網絡認證、授權和計帳方法包括以下步驟a 網絡接入請求步驟,用戶登錄用戶設備,發送網絡接入請求;
b 驗證、授權步驟,AAA服務器同接入服務器根據用戶身份信息完成用戶身份驗證,相應用戶設備被授權或被拒絕接入網絡c 業務接入請求步驟,被授權接入網絡的用戶設備向業務服務器發出業務接入請求,該業務接入請求包含有用戶身份信息;d 業務確認、授權步驟,業務服務器通過業務計帳服務器查詢AAA服務器所存儲的識別信息,確認用戶身份和相應的業務使用權限,如果識別信息與用戶身份信息及相應的業務使用權限相匹配,則業務服務器接受接入請求并授權開始業務交互,否則則拒絕該項業務服務;e 業務計帳步驟,業務服務器將該用戶的業務資源使用狀況記錄送給業務計帳服務器,該業務計帳服務器根據業務資源使用狀況記錄得出計帳數據;f AAA服務器獲得業務計帳數據,并與接入計帳數據綜合。
與現有技術相比,本發明具有以下優點1.本發明將業務服務器和接入服務器分離,能夠讓網絡上根據需要增加各種業務類別,但是不需要對網絡上已經存在的設備進行升級,方便了網絡上業務的開發和部署;2.增加業務計帳服務器,對網絡資源的使用和業務資源的使用在計帳上區分開對待,并且通過在AAA服務器和業務計帳服務器之間提供數據通道,將計帳結果數據綜合起來考慮;3.只使用一個用戶登陸信息(帳號/密碼),一次身份驗證就可以訪問網絡上的各種業務,并且能夠統一計帳,方便了用戶使用網絡和業務;4.方便了網絡接入提供者對網絡業務的控制能力,提供了針對QoS的計帳渠道。
圖1現有網絡認證、授權和計帳系統示意圖。
圖2本發明網絡認證、授權和計帳系統示意圖。
圖3本發明網絡認證、授權和計帳方法流程圖。
圖4是圖3的具體流程圖。
圖5本發明網絡認證、授權和計帳方法中增加業務流程圖。
具體實施例方式
請參照圖2所示,本網絡認證、授權和計帳系統包括用戶設備1,用戶通過用戶設備與網絡建立連接,該用戶設備1可以是計算機、手機、電話、PDA(個人數字助理)等設備,該用戶設備1可以通過無線、有線的方式/技術連接到網絡4中來,如GPRS(通用報文無線系統)、ADSL(非對稱數據用戶線)、撥號上網、WLAN等;接入服務器2,與用戶設備1相連接,能夠通過無線、有線的方式/技術為用戶設備1提供網絡接入服務的網關,如GPRS、ADSL、撥號上網、WLAN等,該接入服務器2不需要感知業務,但是要能夠感知QoS(服務質量)。接入服務器是否能夠感知服務質量為網絡特性,現有技術可以通過各種方式提供,不再贅述;AAA服務器3,與接入服務器2連接,同接入服務器2一起完成訪問網絡4的用戶驗證、授權和計帳,及網絡4的接入;
業務服務器5,具體提供業務的服務器,也可能是共同完成一種業務的一系列設備,與接入服務器2連接,并可以與AAA服務器3交互驗證和授權信息,與用戶設備1交互業務服務,此外,業務服務器5存儲業務資源使用狀況記錄;業務計帳服務器6,與業務服務器5連接,且同業務服務器5一起完成用戶業務資源使用的計帳,同時采用定期/實時等方式將計帳數據發送給AAA服務器3,且AAA服務器3綜合接入計帳數據和業務計帳數據,此外,業務計帳服務器6和AAA服務器3可以是一個設備。
在上面的系統中,用戶申請網絡接入及相關業務服務時,需要先登記注冊,用戶從用戶設備1界面輸入為登錄信息(如名稱、帳號、密碼等),而網絡4根據用戶登記注冊給予用戶一個合法訪問的身份。網絡4對用戶身份的驗證,基于用戶的身份信息與網絡存儲的識別信息相比較是否匹配來驗證,其中用戶身份信息包括登錄信息及其屬性附加信息(如身份ID、計算機、位置、訪問權限等)。在本系統中,網絡接入的驗證和計帳同現有的AAA機制和過程相同。
在業務接入控制中,用戶首先要出示身份信息,該身份信息可能是以PKC/AC(公開密鑰證書/屬性證書)、令牌、委任狀(Credential)等形式,并且在網絡接入時已經得到AAA服務器3的確認/驗證,業務服務器5通過業務計帳服務器6查詢AAA服務器3來確認用戶身份和授權信息,并接入和授權給用戶業務的使用。
請結合參照圖3、4所示,本發明網絡認證、授權和計帳方法包括以下步驟
a 網絡接入請求步驟30,用戶登錄用戶設備1,發送網絡接入請求;b 驗證、授權步驟31,AAA服務器3同接入服務器2根據用戶身份信息一起完成用戶身份驗證,相應用戶設備1被授權或被拒絕接入網絡4接入服務器2收到接入請求,向AAA服務器3發送驗證請求;AAA服務器3驗證用戶身份后,向接入服務器2發送驗證反應;接入服務器2收到驗證反應后向用戶設備1發送接入反應,用戶設備1被授權或被拒絕接入網絡。
c 業務接入請求步驟32,用戶使用網上的某項業務時,被授權接入網絡的用戶設備1向該項業務的業務服務器5發出業務接入請求,該業務接入請求包含有用戶身份信息;d 業務確認、授權步驟33,業務服務器5通過業務計帳服務器6查詢AAA服務器3所存儲的識別信息,確認用戶身份和相應的業務使用權限,如果識別信息與用戶身份信息及相應的業務使用權限相匹配,則業務服務器5接受接入請求并授權開始業務交互,否則則拒絕該項業務服務。
其中,業務計帳服務器6可以獨立確定業務使用權限,但是用戶身份驗證仍舊由AAA服務器3最終完成。
業務確認、授權步驟中除了業務接入請求/驗證外,還可以包括業務使用請求/驗證,即根據業務資源狀況和該用戶的身份,確定該用戶使用該業務的具體權限。
e 業務計帳步驟34,在業務交互過程中或業務交互完成業務服務器5將該用戶的業務資源使用狀況記錄送給業務計帳服務器6,該業務計帳服務器6(具有常用的計帳軟件即可)根據業務資源使用狀況記錄計算業務費用,得出計帳數據;f AAA服務器獲得業務計帳數據35,并綜合接入和業務計帳數據。業務計帳服務器6定期或事件驅動地將計帳數據發給AAA服務器3,或者AAA服務器3定期或事件驅動地查詢業務計帳服務器6來獲得計帳數據。
網絡接入提供商作為對用戶的唯一接口同用戶協商業務/網絡使用和收費事宜,并和業務提供商可以協商計帳數據的使用以及費用分配方式。當業務提供商不同時,由AAA服務器3和業務計帳服務器之間的協議來確定,業務計帳服務器6傳遞給AAA服務器3的計帳數據有業務類型編碼,這個計帳數據中也應該包括業務提供商名稱/編號、業務資源使用狀況等。
請參照圖5所示,業務提供商要增加新業務時增加業務的流程a 步驟50,業務提供商根據新業務,建設業務服務器5和業務計帳服務器6,提供業務服務,其中關于計帳,業務提供商同網絡接入提供商談判確定計帳數據的收集方式和業務收益的分割方式;b 步驟51,判斷該業務是否為缺省業務,若不是缺省業務,則用戶向業務提供商申請業務使用,并將數據(包括用戶身份識別信息和使用權限,用戶身份就是網絡接入提供商分配給用戶的帳號)存儲在業務計帳服務器6,若是缺省業務,對于對所有用戶都提供該業務;
c 步驟52,執行步驟30-35,用戶使用用于網絡接入的身份信息(如帳號、密碼等)接入網絡,并使用該業務(也就是接入和業務訪問使用同一個ID)如果再增加其他業務,也使用同樣的過程(a-c),并且也使用用于接入的身份信息(如帳號、密碼等)來使用業務(也就是多種業務使用同一個ID)。這樣,只使用一個用戶登陸信息(帳號/密碼),一次身份驗證就可以訪問網絡上的各種業務,并且能夠統一計帳,方便了用戶使用網絡和業務。
權利要求
1.一種網絡認證、授權和計帳系統,包括用戶設備,用戶通過用戶設備與網絡建立連接;接入服務器,與用戶設備相連接,并將用戶設備接入網絡;AAA服務器,與接入服務器連接,同接入服務器一起完成訪問網絡的用戶驗證、授權和計帳;其特征在于,該系統還包括業務服務器,與接入服務器連接,提供具體業務,并與AAA服務器交互驗證和授權信息,與用戶設備交互業務服務;業務計帳服務器,與業務服務器連接,同業務服務器一起完成用戶業務資源使用的計帳,同時將計帳數據發送給AAA服務器;其中,接入服務器能感知服務質量,而AAA服務器綜合接入計帳數據和業務計帳數據。
2.如權利要求1所述的網絡認證、授權和計帳系統,其特征在于,業務服務器存儲業務資源使用狀況記錄。
3.如權利要求1所述的網絡認證、授權和計帳系統,其特征在于,業務計帳服務器和AAA服務器是一個設備。
4.如權利要求1所述的網絡認證、授權和計帳系統,其特征在于,業務服務器是完成一種業務的一系列設備。
5.一種基于權利要求1所述系統的網絡認證、授權和計帳方法,其特征在于,該方法包括以下步驟a 網絡接入請求步驟,用戶登錄用戶設備,發送網絡接入請求;b 驗證、授權步驟,AAA服務器同接入服務器根據用戶身份信息完成用戶身份驗證,相應用戶設備被授權或被拒絕接入網絡c 業務接入請求步驟,被授權接入網絡的用戶設備向業務服務器發出業務接入請求,該業務接入請求包含有用戶身份信息;d 業務確認、授權步驟,業務服務器通過業務計帳服務器查詢AAA服務器所存儲的識別信息,確認用戶身份和相應的業務使用權限,如果識別信息與用戶身份信息及相應的業務使用權限相匹配,則業務服務器接受接入請求并授權開始業務交互,否則則拒絕該項業務服務;e 業務計帳步驟,業務服務器將該用戶的業務資源使用狀況記錄送給業務計帳服務器,該業務計帳服務器根據業務資源使用狀況記錄得出計帳數據;f AAA服務器獲得業務計帳數據,并與接入計帳數據綜合。
6.如權利要求5所述的網絡認證、授權和計帳方法,其特征在于,步驟b進一步包括如下步驟接入服務器收到接入請求,向AAA服務器發送驗證請求;AAA服務器驗證用戶身份后,向接入服務器發送驗證反應;接入服務器收到驗證反應后向用戶設備發送接入反應,用戶設備被授權或被拒絕接入網絡。
7.如權利要求5所述的網絡認證、授權和計帳方法,其特征在于,步驟d中還包括業務使用請求/驗證,根據業務資源狀況和該用戶的身份,確定該用戶使用該業務的具體權限。
8.如權利要求5所述的網絡認證、授權和計帳方法,其特征在于,步驟f中業務計帳服務器定期或事件驅動地將業務計帳數據發給AAA服務器。
9.如權利要求5所述的網絡認證、授權和計帳方法,其特征在于,步驟f中,AAA服務器定期或事件驅動地查詢業務計帳服務器來獲得業務計帳數據。
10.如權利要求5所述的網絡認證、授權和計帳方法,其特征在于,該方法增加新業務時包括如下步驟業務提供商根據新業務建設業務服務器和業務計帳服務器,提供業務服務;判斷該業務是否為缺省業務,若是缺省業務,則對所有用戶都提供該業務,若不是缺省業務,則用戶向業務提供商申請業務使用,并將用戶身份識別信息和使用權限存儲在業務計帳服務器;執行步驟a-f,用戶使用用于網絡接入的身份信息接入網絡,并使用該業務接入網絡,并使用該業務。
11.如權利要求5-10任一項所述的網絡認證、授權和計帳方法,其特征在于,用戶的身份信息包括登錄信息和屬性附加信息,且身份信息是以公開密鑰證書/屬性證書、令牌、委任狀形式出示。
全文摘要
一種網絡認證、授權和計帳系統及方法,其中該系統包括,用戶設備,用戶通過用戶設備與網絡建立連接;接入服務器,與用戶設備相連接,并將用戶設備接入網絡;AAA服務器與接入服務器連接,同接入服務器一起完成訪問網絡的用戶驗證、授權和計帳;業務服務器與接入服務器連接,提供具體業務,并與AAA服務器交互驗證和授權信息與用戶設備交互業務服務;業務計帳服務器與業務服務器連接,同業務服務器一起完成用戶業務資源使用的計帳,同時將計帳數據發送給AAA服務器。相應地本發明還公開了網絡認證、授權和計帳方法。本發明只使用一個用戶登陸信息(帳號/密碼),一次身份驗證就可以訪問網絡上的各種業務,并且能夠統一計帳。
文檔編號G06F17/00GK1553368SQ0313726
公開日2004年12月8日 申請日期2003年6月2日 優先權日2003年6月2日
發明者苗福友 申請人:華為技術有限公司