[发明专利]用于管理用户的认证的方法和装置

说明书

技术领域

本发明的领域是电信网络的领域，并更具体地，涉及期望接入这样的网络的运营商所提供的服务的用户的认证。

背景技术

电信网络的用户借助于接入网接入该网络。几种类型的接入是可用的。这些接入包括基于例如x-DSL(数字订户线路)技术的固定接入、以及基于UMTS(通用移动电信系统)、WIFI或WImax技术的移动接入。

某些IP(因特网协议)分组类型的接入网拥有所谓AAA(认证、授权、记账)认证基础结构，其进行用户的认证，管理对于接入所请求的服务的授权，并执行用于向用户开出该服务的账单的记账。

按照传统方式，AAA架构取决于以下原理：

用户的终端经由网络接入点而挂钩(hook up)到该接入网。

在该接入网中，网络接入服务器负责控制对于IP传输核心网的接入，该IP传输核心网自己提供用于接入诸如因特网的其他IP网络或诸如公司网的专用IP网络的服务。

在该上下文中，网络接入服务器的角色是认证并授权终端接入IP核心网。为了进行这些功能，该接入服务器一旦接收到终端所发出的请求，就分派对于接入以下认证服务器的请求，该认证服务器负责验证该终端所提供的认证参数。一旦认证已成功，就作为与该终端的用户关联的接入权限的函数来授权对于该网络服务的接入。

如今，AAA架构也被实现用于以下用户的认证，该用户已连接到运营商的IP传输核心网、但是期望接入该网络的应用系统所提供的服务。例如，为了接入将允许他在应用会话过程中改变接入类型的IP移动性服务，用户必须利用该AAA架构第二次认证自己。

该认证和授权数据被一起分组为所谓用户数据配置文件。该配置文件寄宿(hosted)在接收该接入请求的认证服务器中或在另一认证服务器中。在该情况下，将接入请求传送到后者，并且这是将确保终端的认证的该服务器。

一旦已进行了认证和授权过程，网络接入服务器就负责生成包括有关与进行中的连接关联的事件的信息的记账消息(会话开始、会话结束、传送的数据量等)。这些消息被分派到专用服务器，该服务器将负责作为所接收的记账信息的函数而生成账单发票。该服务器可与认证服务器位于一处或者可以是独立服务器。

进行认证、授权和/或记账功能的服务器被统称为“AAA服务器”。作为这些AAA服务器的“客户机”的网络接入服务器被称为“AAA客户机”。

所谓AAA协议是在AAA客户机和AAA服务器之间或者在AAA服务器之间的接口上使用的协议。IETF规定，当前使用最多的协议是RADIUS协议(IETF RFC 2865)。从2002年以来，IETF已定义了作为RADIUS的后继者的称为Diameter的新协议(IETF RFC 3588)，这使得可能回应由新接入网类型和诸如IP移动性管理的新网络服务的出现导致的新功能需求和约束。

现在将结合图1来描述AAA架构。

考虑期望接入诸如因特网的IP数据网3的用户终端UE 10(用户设备)。其初始通过接入网20的接入管理服务器(网络接入服务器)NAS1 110连接到运营商的电信网1。在接入网的级别，人们也谈及接入点(AP)。这可以例如是x-DSL类型的固定接入或WIFI类型的移动接入。该连接需要该接入管理服务器NAS1 110所请求的网络1的认证服务器AAA1 210的第一认证。该认证服务器AAA1 210从可以是本地的或集中的数据库DB 400恢复用户的配置文件。

一旦该第一认证已成功，则终端通过用于该服务的接入管理服务器或NAS2 120来发出对于接入该IP网络(或服务)3的请求。为此目的，它使用使得可能建立IP连接的协议。

可使用几个协议，作为接入网的类型以及期望接入的网络的类型的函数。作为示例阐明了用于在RTC类型调制解调器的帮助下固定接入到因特网的PPP协议(在IETF文档RFC 1661中描述的点对点协议)、用于Wifi接入的IEEE协议802.1X(在IEEE文档标准802.1X-2001“基于端口的网络接入控制(Port-Based network Access Control)”中描述)、或用于设立用于VPN(虚拟专网)或I-WLAN类型接入的IPsec安全联盟的IKEv2协议(因特网密钥交换V2，RFC 4306)。

用于对服务的接入进行管理的服务器NAS2发出对于通过认证服务器AAA2 120认证用户的请求。可以理解，该认证服务器与进行用户的第一认证的服务器不同。