CN1957561B - 对要求访问虚拟网络、允许使用服务项目的用户进行验证的方法和*** - Google Patents
对要求访问虚拟网络、允许使用服务项目的用户进行验证的方法和*** Download PDFInfo
- Publication number
- CN1957561B CN1957561B CN2005800135436A CN200580013543A CN1957561B CN 1957561 B CN1957561 B CN 1957561B CN 2005800135436 A CN2005800135436 A CN 2005800135436A CN 200580013543 A CN200580013543 A CN 200580013543A CN 1957561 B CN1957561 B CN 1957561B
- Authority
- CN
- China
- Prior art keywords
- user
- service
- network
- checking
- service supplier
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/60—Scheduling or organising the servicing of application requests, e.g. requests for application data transmissions using the analysis and optimisation of the required network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及对要求访问虚拟网络(162、163)、允许使用服务供应商所提供的服务的用户(110、111、112)进行验证的方法和***;在虚拟网络中应确定用户与为了访问虚拟网络而事先预定的访问控制协议之间的相容性;如果用户和预定的访问控制协议不相容,则批准在用户和可以使用户向至少一个服务供应商进行预订的至少一个预订***(140、142)之间传送数据,如果用户向至少一个服务供应商进行预订,则除了向用户发出可以使用户和预定的访问控制协议相容的信息外,还向用户发出一项验证,使之能访问用户预订的服务供应商提供的服务。
Description
本发明涉及对要求访问电信网络、允许使用服务供应商所提供服务的用户进行验证的方法和***。
本发明属于对用户进行验证的技术领域,凡愿预订在电信网络中服务供应商所提供服务的用户均属此范围,电信网络如因特网,可以通过数字用户线接入复用器与因特网进行点对点的连接。例如,这种连接可以是DSL型的连接方式。DSL是“数字用户线”的缩写。这种连接可以是每个用户和用户与之连接的数字用户线接入复用器之间的无线或光纤连接。
在采用例如DSL类型连接方式的传统的因特网接入***中,每个用户被连接到一个数字用户线接入复用器,该数字用户线接入复用器本身连接到一个PPP通话集中器。PPP是“点对点协议”的缩写。PPP通话是根据点对点协议建立的通话。PPP通话集中器历来被称为BAS,即宽带接入服务器的缩写。PPP通话集中器把网络的各个用户所建立的通话引导到他们所预订的服务供应商所在的点。
当一个新用户想要预订由DSL型服务供应商所提供的服务,由操作者在新用户的DSL调制解调器和服务器BAS之间创建一个ATM虚拟信道VC。向同一服务供应商进行预订的用户其虚拟信道被组合在各个数字用户线接入复用器和PPP通话集中器之间的虚拟路径或VPs内。
当用户想要建立、修改或取消其预订时,常常必须修改用户的虚拟信道已经采用或将要采用的虚拟路径。要完成此项操作,为了再次确定用户所连接的数字用户线接入复用器和PPP通话集中器之间的虚拟路径的大小,必须进行人为干涉。例如,为了建立新的虚拟路径,常常必须清除用户所连接的数字用户线接入复用器和PPP通话集中器之间存在的虚拟路径。对于连接到PPP通话集中器的所有用户来说,这样就要中断服务供应商提供的服务。这样的中断使连接到PPP通话集中器的所有用户蒙受不利。
众所周知,千兆以太网类型的网络提供非常高的信息传输带宽。千兆以太网类型的网络,是以以太网技术为基础的高速电信网络。千兆以太网类型的网络允许信息以超过每秒1千兆比特的速度传输。为了访问网络,这些***采用访问控制协议,例如,IEEE 802.1x标准所规定的协议。IEEE 802.1x标准中规定的访问控制协议,也被称为验证协议。这种协议要求希望连接到网络的用户具有和所采用的协议相容的软件。这种类型的访问控制协议是设计用于办公室局域网或用于预先确定的用户组的,而没有设想用来使具有各种设备和软件的大量用户用于通过DSL型连接访问因特网的电信网络。
本发明的目的是要克服现有技术的缺点,推荐一种对要求访问虚拟网络、从而可以使用服务供应商所提供服务的用户进行验证的方法和***,在这种方法和***中,不必对电信网络进行人为的干涉。而且,本发明还要向用户保证他们向服务供应商预订的服务,不会在一个新用户预订与其相同的服务供应商的服务或修改其服务时,被中途打断。此外,本发明还要使具有各种设备和软件的用户能够自动地对服务供应商进行预订,即使所述用户没有和电信网络中采用的访问控制软件相容的软件。
为此,按照第一个目标,本发明推荐一种对用户进行验证的方法,使之能访问可允许用户访问至少一个服务供应商的服务的至少一个虚拟网络,该虚拟网络或每个虚拟网络设立在一个电信网络上,其特征在于它包含以下各个步骤:确定用户与为了访问该虚拟网络而预定的访问控制协议是否相容;如果用户与预定的访问控制协议不相容,则批准通过一个验证网络,在不相容用户与可以使用户向至少一个服务供应商进行预订的用户预订***之间,传送数据,验证网络和该虚拟网络或每一虚拟网络不同,后者可以使用户访问该服务供应商或每一服务供应商提供的服务;如果不相容用户通过验证网络,向至少一个服务供应商进行预订,则向不相容用户传送一项访问虚拟网络的验证,使不相容用户能访问他所预订的服务供应商提供的服务,并传送可以使用户和预定的访问控制协议相容的信息。
同时,本发明涉及一种对用户进行验证的***,使之能访问可允许用户访问至少一个服务供应商的服务的至少一个虚拟网络,该虚拟网络或每个虚拟网络设立在一个电信网络上,其特征在于它具有以下各种方法,用来:确定用户与为了访问该电信网络而预定的访问控制协议是否相容;如果用户与预定的访问控制协议不相容,则批准在不相容用户与可以使用户向至少一个服务供应商进行预订的用户预订***之间,通过一个网络传送数据,该网络和虚拟网络不同,后者可以使用户访问服务供应商提供的服务;如果不相容用户向至少一个服务供应商进行预订,则向不相容用户传送一项验证,使不相容用户能访问他所预订的服务供应商提供的服务,并传送可以使用户和预定的访问控制协议相容的信息。
因此,具有各种设备和软件的用户可以访问一个或多个虚拟网络,以便自动向服务供应商进行预订,即使所述用户没有与电信网络中采用的访问控制机理相容的软件,也可以做到。
按照本发明的另一个目标,验证网络是一个虚拟网络或与电信网络分开的一个网络。
按照本发明的另一个目标,预订***包含至少一个预订入口、一个验证材料服务器,而且,当用户预订一项服务时,预订入口将和传送给用户的验证有关的数据传送到一个验证服务器。
按照本发明的另一个目标,用户通过数字用户线接入复用器和网络连接,如果用户与预定的访问控制协议相容,数字用户线接入复用器可以从验证服务器得到一个识别符、一份用户验证材料及一份用户验证证书。
因此,可以核实用户是否经批准访问一个服务供应商,从而防止用户访问未经批准的服务。
按照本发明的另一个目标,如果验证服务器没有对用户的验证进行确认,用户与至少一个预定***之间传送数据是允许的,预订***可以使用户通过验证网络向至少一个服务供应商进行预订,而验证网络和虚拟网络不同,后者可以使用户访问至少一个服务供应商提供的服务。
因此,没有有效验证材料的用户仍然能够访问预订***,目的在于获得有效验证材料。
按照本发明的另一个目标,关于用户所预订的服务供应商的信息,以及/或者有关用户所预订的服务特征的信息,也传送到验证服务器。
因此,确定用户能否访问的服务项目所必需的全部信息,以及用户在预订时所选择的一种或多种速度,都储存在一个单独的服务器中。于是可以对服务供应商做出的提议进行分类,并保证这些提议受到重视。此外,当验证的确认发送到验证服务器时,后者可以同时提供为了确定用户权利所必需的其它信息。
按照本发明的另一个目标,数字用户线接入复用器批准按照用户预定的一种或多种通信速度,在允许用户访问用户预订的服务供应商所提供服务的虚拟网络之间,传送数据。
因此,对于分配给用户的通信速度的任何修改都可以自动完成。
按照本发明的另一个目标,还有一个地址服务器连接在虚拟验证网络上,并且地址服务器给用户分配一个地址,用于在虚拟验证网络上传送数据。
因此,用户能够在电信网络中获得一个地址,然后,电信网络可以使用户预订由服务供应商提供的服务。
按照本发明的另一个目标,电信网络是一个千兆以太网类型的网络,预定的访问控制协议是IEEE 802.1x类型的协议,用户通过DSL类型的连接,连接到数字用户线接入复用器。
本发明还涉及储存在一个信息支持中的计算机程序,该程序包含的指令,在程序加载在一个计算机***上并运行时,能够执行上述验证方法。
上面已经提到的本发明的特征,连同其它特征一起,在阅读下列实施方案示例的说明时,将会变得更加清晰,所述说明参看附图,其中:
图1表示对用户访问一个电信网络进行验证的***的结构,该电信网络可以使用户访问由服务供应商提供的服务;
图2表示本发明的数字用户线接入复用器的结构图;
图3表示对用户访问一个电信网络进行验证的算法,该电信网络可以使用户访问由服务供应商提供的服务。
图1表示对用户访问一个电信网络进行验证的***的结构,该电信网络可以使用户访问由服务供应商提供的服务。
对电信网络上的用户进行验证的***包含数字用户线接入复用器100。在一个优选实施方案中,数字用户线接入复用器100是适合与用户110、111、112进行点对点连接的数字用户线接入复用器。如果连接为DSL类型,则数字用户线接入复用器100为众所周知的术语是DSLAM。DSLAM为“数字用户线接入复用器”的缩写。
数字用户线接入复用器100将几条用户线110、111、112集合起来,设置在一个物理支持上,在用户110、111、112和服务供应商130、131之间传送交换数据。一个用户,例如可以是一台装有通信卡的计算机,适合于与数字用户线接入复用器100进行连接,或者是一台与外部通信装置相连的计算机,适合于与数字用户线接入复用器100进行连接。
更确切地说,用户110、111、112是电信终端,通过电话网络并采用DSL型调制技术,连接到数字用户线接入复用器100。当然,也可以采用其他类型的点对点连接。举例来说,在不作任何限制的情况下,这些连接可以是无线连接,也可以是光纤连接。如果用户111和112与访问控制协议,例如IEEE802.1x协议相容,并且如果该用户已经在与其服务供应商130或131相关联的数据库登记,并且如果对该用户的验证已经被与其服务供应商130或131相关联的验证服务器141批准生效,则数字用户线接入复用器100批准例如用户111、112有权使用由服务供应商130、131提供的服务。为此,数字用户线接入复用器100包含一个用户软件模块,在用户110、111或112想要访问由连接到网络150的服务供应商提供的服务时,该软件向服务器141传送验证请求。用户软件模块最好是RADIUS用户软件模块,也就是说符合RADIUS协议,并且服务器141最好是同样符合RADIUS协议的RADIUS类型的验证服务器。RADIUS是“远程认证拨入用户服务”的缩写。此处应该指出,其它类型的验证协议也可以用于本发明。这些协议举例来说,在不作任何限制的情况下,或者是属于“直径”或“TACACS”
类型的协议,后者为“终端接入控制器访问控制***”的缩写,或者是使用验证服务器的验证协议。
当用户110没有与访问控制协议,例如IEEE 802.1x协议相容的软件,数字用户线接入复用器100就批准用户,例如用户110,访问预订***142,向服务供应商130或131进行预订。当用户的登记已经由与服务供应商130或131有关的验证服务器141确认生效时,预订***142通过数字用户线接入复用器100,向与访问控制协议不相容的用户,传送允许该用户变为与访问控制协议相容的数据。
在IEEE 802.1x协议中,组成访问控制体系结构的有三个要素。“申请者”是试图通过提出访问网络的请求而访问网络的要素。“验证者”是将有关“申请者”验证的信息继续传送给“验证服务器”的要素。验证服务器是对“申请者”访问网络进行确认生效的要素。“验证者”和“验证服务器”之间的信息交换是按照协议EAP进行的,EAP是“可扩展验证协议”的缩写,其本身包含在RADIUS协议中。“申请者”和“验证者”之间的信息交换符合协议EAPOL,即“局域网EAP”的缩写。在图1中,例如,“申请者”是用户111,“验证者”是数字用户线接入复用器100,“验证服务器”是RADIUS验证服务器141。
数字用户线接入复用器100通过未在图1中表示的接入网点PoP连接到服务供应商130和131。服务供应商130和131向各自的订户提供不同的服务。这些服务,在不作任何限制的情况下,例如有因特网访问服务、视频点播服务、电子邮件服务、因特网上电话服务、因特网上视频会议服务等等。数字用户线接入复用器100通过电信网络150,还连接到一个DHCP服务器140、一个RADIUS验证服务器141、一个验证材料服务器142。电信网络150,例如是一个千兆以太网类型的网络。虚拟网络建立在数字用户线接入复用器100和每个服务供应商130和131之间的电信网络150上。为了使与IEEE802.1x协议不相容的用户为预订一个服务供应商而访问预订***,还建立一个与上述虚拟网络分开的网络。为了使与IEEE802.1x协议不相容的用户为预订一个服务供应商而访问预订***而建立在电信网络150中的网络,或者是一个与电信网络150分开的实际网络,或者是一个建立在电信网络150中的虚拟网络。虚拟网或VLAN,即“虚拟局域网”的缩写,可以对用户进行分类,从而对他们访问的资源加以限制。例如,如果用户111是服务供应商130的用户,用户111和服务供应商130之间的交换通过图1中参考符号为162的连接所表示的VLAN进行。另一方面,用户111不能访问由服务供应商131提供的服务,因为后者与另一个VLAN相关联,该VLAN的参考符号为163,和VLAN 162不同。
DHCP服务器140将IPv4(因特网协议第四版本)地址分发给用户,例如,当用户110希望预订服务供应商130或131提供的服务时,DHCP服务器就向他发出该项地址。DHCP是“动态主机配置协议”的缩写。此处应当指出,在使用IPv6(因特网协议第六版本)时,DHCP也可以分发IPv6型的地址,作为一种变化。
验证服务器141是根据IEEE802.1x协议中规定的验证服务器,而且在一个优选实施方案中,符合RADIUS协议的规定。RADIUS验证服务器141验证一个用户,例如在用户111希望访问服务供应商130时,RADIUS验证服务器141就求助于数字用户线接入复用器对用户进行验证。这里所谓对用户进行验证,可以指对用户设备进行验证,或者对用户设备的使用者进行验证。验证是根据用户的识别符进行的,例如使用者的姓名,用户提供一个密码,或者提供一份经验证服务器141批准的验证材料。在得到这一证实后,数字用户线接入复用器100就批准通过虚拟网络162,在用户111与服务供应商130之间传送数据,如果用户111此前已经预订了服务供应商130提供的服务。以同样的方式,当用户112希望访问服务供应商131提供的服务时,RADIUS验证服务器141求助于数字用户线接入复用器100对用户112进行验证。在得到这一证实后,数字用户线接入复用器100就批准通过虚拟网络163,在用户112与服务供应商131之间传送数据,如果用户112此前已经预订了服务供应商131提供的服务。
参考号为161的虚拟网络也专用来在数字用户线接入复用器100与RADIUS验证服务器141之间传送验证数据。
RADIUS验证服务器141也包含可以体现关于和数字用户线接入复用器100相连的用户特点的标志。这些标志例如用户110,111或112有权访问的一个或多个虚拟网络,以及其他信息,例如用户预订的数据传送速度,或者办理用户预订的一个或多个服务供应商,用户申请项目的类型等等。和RADIUS验证服务器141相连接的有一个用户数据库,其中存储了可以访问和网络150相连的各个服务供应商130和131所提供服务的全部用户,构成用户111或112简档的各种标志,以及每个用户111或112的识别符。与此识别符相联系的还有一个密码或者验证材料服务器142发给的一份验证材料。
在一个具体的实施方案中,验证材料服务器142还可以作为预订入口;当访问这一入口后,用户110就可以预订和网络相连的服务供应商130或131提供的服务。
如果一个用户,例如用户110,不具备和访问控制软件相容的软件,例如IEEE802.1x协议,他可以访问验证网络160,例如验证网络160是一个虚拟网络。和虚拟网络相连的有一个DHCP服务器140和一个验证材料服务器142。通过DHCP服务器140,不具备和IEEE802.1x协议相容软件的用户110可以得到一个地址,从而可以和验证材料服务器142建立联系,并且可以预订一个或不止一个服务供应商130和/或131所提供的服务。
这里应当指出,可以经过虚拟网络161访问的RADIUS验证服务器141,也可以作为另一种变化,成为RADIUS验证代理服务器,把传送的信息回发给和每个服务供应商130与131相连的RADIUS验证服务器(图1中未显示)。根据这一变化方案,与每个服务供应商130和131相连的每个RADIUS验证服务器存储了有权访问与之有关的服务供应商所提供服务的全部用户,以及构成一个用户简档的标志,每个用户的识别符,以及密码或者由验证服务器142发给的验证材料。
还应当指出,可以经过虚拟网络160访问的DHCP服务器140还可以作为变化,成为DHCP中继或“代理”服务器,把传送的信息回发给和每个服务供应商相连的DHCP服务器(图1中未显示)。
代理器是设备中的一个项目,此项目从第一个电信设备接收信息,再传送给第二个电信设备,反之,从第二个电信设备接收信息后,再传送给第一个电信设备。
图2显示本发明的数字用户线接入复用器的结构图。
数字用户线接入复用器100包含一个通信总线201,在通信总线上连接了中央处理器200,非易失性存储器202,随机存储器203,用户接口205,网络接口206。
非易失性存储器202存储了用以实施本发明的各种程序,诸如用户RADIUS软件模块,以及至少后面关于图3所要描述的算法。例如,非易失性存储器202是一个硬盘。更一般地说,本发明的各种程序存储在一种存储器中。这一存储器可以由计算机或微处理器读取。这一存储器可以也可以不必整体装置在数字用户线接入复用器100内部,而是可以移动的。当数字用户线接入复用器100接通电源后,各种程序就传送到随机存取存储器203,此存储器包含了本发明的可执行编码,以及还有实施本发明所需要的数据。
数字用户线接入复用器100还包含一个电信网络接口206,由于有了这一接口,从而使服务供应商130、131,以及/或者DHCP服务器140,以及/或者RADIUS验证服务器141,以及/或者验证材料服务器142之间可以进行数据传送。
数字用户线接入复用器100还包含一个用户接口205。在一个优选实施方案中,这一接口是属于DSL(数字用户线)类型的接口。用户接口205对于每个用户110、111、112,都有一个专用的端口,用来在数字用户线接入复用器100和连接在此端口的用户之间进行点对点的通信。
作为对用户进行验证的功能,处理器200可以批准或者不批准在电信网络接口206和每个与用户相连的用户接口205的端口之间进行电信传送。
根据一个优选实施方案,数字用户线接入复用器100和每个用户110、111、112之间的联系,是利用用户110、111、112的各个电话线进行的有线联系。当然,也可以作为变化,采取其他类型的联系,例如同轴电缆、无线、光纤等形式。
图3表示为了访问电信网络而对用户进行的验证算法,该电信网络可以准许用户访问服务供应商提供的服务。
在步骤E300,数字用户线接入复用器100发现了一项连接要求,希望接通用户和可以让用户访问服务供应商所提供服务的电信网络。在这一步骤中,服务器200核查该用户是否与访问控制软件相容,例如IEEE802.1x协议。例如,这一点可以通过检验用户110所传送的信息是否符合EAPOL协议,从而作出决定。更确切地说,处理器200通过核查该用户是否在IEEE802.1x协议的局域网EAP-开始类型的框架中传送信息或是否能符合这一框架,从而核实该用户是否与IEEE802.1x协议相容。如果是肯定的,处理器200进入步骤E308。如果是否定的,处理器200进入步骤301。
在步骤E301,既已确定用户和IEEE802.1x协议不相容,处理器200就将该用户作为新用户,批准该新用户,例如用户110,访问一个事先已确定的虚拟网络。有一个预订***与该虚拟网络或VLAN(虚拟局域网)相连,在图1中,虚拟网络的参考符号为160。该预订***包含一个DHCP服务器140,还有一个验证材料服务器142。于是,用户110可以和DHCP服务器140、也和验证材料服务器142建立联系。虚拟网络160专供不具备802.1x功能性的用户、或者缺乏有效验证材料的用户使用。
一旦这一操作完成以后,在步骤E302,用户110就通过数字用户线接入复用器100和虚拟网络160,向DHCP服务器140申请一个地址,例如一个IP地址。
这一IP地址在步骤E303中传送给用户110。
收到IP地址后,用户110在步骤E304中,借助电信终端的浏览器,开始进行浏览,并且和一个预订入口建立了联系。预订入口最好设置在验证材料服务器142内。当然,预订入口也可以和验证材料服务器142分开,不过在此情况下,就必须和虚拟网络160相连。在预订入口和验证服务器142分开的情况下,验证材料服务器142没有必要和虚拟网络160相连。在此情况下,预订入口直接或间接和验证材料服务器142相沟通。应当指出,采取这种结构时,如果每个服务供应商130或131都有一个预订入口,这时每个预订入口都要和虚拟网络160连接起来。在一个变化方案中,每个服务供应商的所有验证材料服务器,都可以通过由全体服务商中一人管理的单一预订入口,被用户访问。
在步骤E305,用户110预订服务供应商中之一130或131所提供的一项服务。用户110选择服务供应商及其希望的速度。一般来讲,用户110在所选服务供应商提供的一组服务中选择他希望支配的一项或多项服务。此处一个用户预订服务供应商中之一130或131提供的一项服务,意思是指用户设备100的使用者预订服务供应商中之一130或131提供的一项服务。
在下一步骤E306,用户110进行登记。登记活动系由包含预订入口的验证服务器142对与RADIUS验证服务器141有关的用户数据进行更新。为用户110存储一个识别符,同时还存储一个密码或者一份验证材料,例如证书,以及与用户预订的一项或多项服务有关的数据。例如,如果用户110向服务供应商130提出预订,于是他就被批准和服务供应商130的所有用户一样,可以访问虚拟网络162。在这一步骤,一个识别符和一个密码,或者一份验证材料也交给用户110,同时还包含可以使用户110与802.1x协议相容的信息。例如,如果用户110的通信设备中已经载入“申请者”802.1x软件,所述信息就可以包含一项启动该软件的指令,或者一项声音和/或图像信息,请用户110启动802.1x软件或装载“申请者”802.1x软件,以及在用户110的通信设备中同时装载并启动该软件。
一旦此项操作完成以后,处理器200回到步骤E300。处理器200又发现新的请求,要求将用户110接通电信网络,使用户得以访问服务供应商提供的服务。
在这一步骤,处理器200核查用户是否和访问控制协议相容,例如IEEE802.1x协议。由于在上一步骤E306中,用户110已经与协议相容,于是处理器200进入步骤E308。
在这一步骤,对用户的验证进行核查。为此,数字用户线接入复用器100从用户110的电信设备收到一个识别符和一个密码或者一份验证材料。
数字用户线接入复用器100的处理器200,命令通过虚拟网络161,将一项登记确认的申请传送给验证服务器,例如RADIUS服务器141。RADIUS验证服务器141在用户数据库中搜索,以确定用户110是否包含在用户数据库中,核查密码或验证材料的有效性,如果核查的结果是肯定的,就将用户110的登记确认传递给数字用户线接入复用器100,同时还送去有关用户110的简档信息,诸如用户110被批准访问的虚拟网络,分配给用户的速度,等等。如果用户110的登记得到确认,处理器200就进到步骤E309。
如果用户110的登记没有得到确认,数字用户线接入复用器100的处理器200就批准提供虚拟网络160,在用户110和可以向至少一个服务供应商进行预订的至少一个用户预订***之间传递数据,虚拟网络160是专为不具备802.1x功能性的用户或者缺少有效验证材料的用户而设置的。为此,处理器200进到上面已经描述过的步骤E301。
在下一步骤E309,数字用户线接入复用器100的处理器200批准用户110对已提出有关所预订服务的全部参数并已获得批准的虚拟网络进行访问,有关参数例如应分配给此项服务的速度,服务的优先次序,以及/或者与服务有关的质量。
在下一步骤E310,如果用户110事先没有从他预订服务的服务供应商处得到一个分配给他的IP地址,与该用户预订服务的服务供应商有关的DHCP服务器就要给用户110分配一个IP地址,使之能访问所预订的服务。
于是,用户110就能访问他预订的服务供应商130或131所提供的服务。
当然,本发明并不局限于此处所描述的几个实施方案,正好相反,在本领域普通技术人员能力范围之内可以包含任何一种变化方案。
Claims (12)
1.对访问至少一个虚拟网络(162、163)的用户(110、111、112)进行验证的方法,使用户能访问至少一个服务供应商(130、131)提供的服务,这一或每一虚拟网络设置在一个电信网络(150)上,其特征在于:所述方法包含以下各个步骤:
确定(E300)用户和一个为了访问该虚拟网络而预定的访问控制协议是否相容,
如果用户和预定的访问控制协议不相容,则批准(E301)通过一个验证网络(160),在用户和使用户至少向一个服务供应商进行预订的至少一个预订***(140、142)之间传送数据,该验证网络(160)和准许用户访问这一或每一服务供应商所提供服务的这一或每一虚拟网络(162、163)是不同的,
如果不相容的用户通过验证网络向至少一个服务供应商进行预订,则向不相容的用户传送(E306)一项访问虚拟网络的验证,准许访问不相容用户所预订的服务供应商提供的服务,同时还传送(E306)使用户和预定的访问控制协议相容的信息。
2.权利要求1中的方法,其特征在于:验证网络(160)是一个虚拟网络,或者是一个与电信网络分开设置的网络。
3.权利要求1或2中的方法,其特征在于,预订***包含至少一个预订入口(140),一个验证材料服务器(142);当用户预订一项服务时,预订入口把传送给用户的有关验证的数据传送给验证服务器(141)。
4.权利要求3中的方法,其特征在于:用户通过数字用户线接入复用器(100)和网络相连接,如果用户和预定的访问控制协议相容,数字用户线接入复用器就进行(E308)取得识别符和用户验证材料的步骤,以及从验证服务器取得用户验证确认的步骤。
5.权利要求4中的方法,其特征在于:如果验证服务器(141)不确认用户的验证,则本方法包含以下步骤:批准(E301)通过一个验证网络,在用户和使用户向至少一个服务供应商进行预订的至少一个预订***之间传送数据,验证网络和虚拟网络不同,虚拟网络准许用户访问至少一个服务供应商提供的服务。
6.权利要求3中的方法,其特征在于:有关用户与之预订的服务供应商的信息,以及/或者有关用户所订服务特点的信息也都传送给验证服务器。
7.权利要求6中的方法,其特征在于:验证服务器(141)另外还将有关用户的服务供应商的信息、以及/或者与预订的一项或多项服务有关的信息,发送给数字用户线接入复用器。
8.权利要求7中的方法,其特征在于:数字用户线接入复用器批准按照用户预订的一种或多种速度,在能使用户访问用户预订的服务供应商所提供服务的虚拟网络中传送数据。
9.权利要求1中的方法,其特征在于:和验证网络相连接的还有一个地址服务器(140),还在于地址服务器给用户分配一个地址,以便在验证网络中传送数据。
10.权利要求1的方法,其特征在于:电信网络是以以太网技术作基础的一种高速网络,还在于预定的访问控制协议是一项IEEE802.1x型的协议,还在于用户是通过DSL(数字用户线)型的连接方式和数字用户线接入复用器相连的。
11.对访问至少一个虚拟网络的用户进行验证的***,使用户能访问至少一个服务供应商提供的服务,这一或每一虚拟网络设置在一个电信网络上,其特征在于:所述***具有:
用来确定用户和一个为了访问该电信网络而预定的访问控制协议是否相容的设备,
用于,如果用户和预定的访问控制协议不相容,则批准通过一个验证网络(160),在用户和使用户至少向一个服务供应商进行预订的至少一个预订***之间传送数据的设备(200),该验证网络(160)和准许用户访问这一或每一服务供应商所提供服务的这一或每一虚拟网络是不同的,
用于,如果不相容的用户通过验证网络,向至少一个服务供应商进行预订,则向不相容的用户传送一项访问虚拟网络的验证的设备,此项验证准许访问不相容用户所预订的服务供应商提供的服务,以及使用户和预定的访问控制协议相容的信息。
12.数字用户线接入复用器,允许至少一个用户(110)访问至少一个服务供应商(130、131)提供的服务,所述复用器包括用户软件模块,配置成:
在用户(110、111、112)想要访问由连接到电信网络(150)的服务供应商提供的服务时,向验证服务器(141)传送验证请求;
所述数字用户线接入复用器被配置成:
当用户(110、111、112)没有与预定访问控制协议相容,就批准用户(110、111、112)访问预订***(142),以便向服务供应商(130、131)进行预订;
当用户的登记已经由与服务供应商(130、131)有关的验证服务器(141)确认生效时,从预订***(142)向与预定的访问控制协议不相容的用户,传送允许该用户变为与该访问控制协议相容的数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP04290584A EP1571781A1 (fr) | 2004-03-03 | 2004-03-03 | Procédé et système d'accréditation d'un client pour l'accès à un réseau virtuel permettant d'accéder à des services |
| EP04290584.4 | 2004-03-03 | ||
| PCT/EP2005/002156 WO2005096551A1 (fr) | 2004-03-03 | 2005-03-02 | Procede et systeme d’accreditation d’un client pour l’acces a un reseau virtuel permettant d’acceder a des services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1957561A CN1957561A (zh) | 2007-05-02 |
| CN1957561B true CN1957561B (zh) | 2012-03-21 |
Family
ID=34746163
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800135436A Expired - Fee Related CN1957561B (zh) | 2004-03-03 | 2005-03-02 | 对要求访问虚拟网络、允许使用服务项目的用户进行验证的方法和*** |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20080040491A1 (zh) |
| EP (2) | EP1571781A1 (zh) |
| KR (1) | KR101162290B1 (zh) |
| CN (1) | CN1957561B (zh) |
| AT (1) | ATE474398T1 (zh) |
| DE (1) | DE602005022300D1 (zh) |
| WO (1) | WO2005096551A1 (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| FR2904503A1 (fr) * | 2006-07-28 | 2008-02-01 | France Telecom | Procede d'acces par un client a un service au travers d'un reseau, par utilisation combinee d'un protocole de configuration dynamique et d'un protocole point a point, equipement et programme d'ordinateur correspondants |
| US8341277B2 (en) * | 2007-07-03 | 2012-12-25 | International Business Machines Corporation | System and method for connecting closed, secure production network |
| US8627410B2 (en) | 2007-12-19 | 2014-01-07 | Verizon Patent And Licensing Inc. | Dynamic radius |
| US20090205024A1 (en) * | 2008-02-12 | 2009-08-13 | Juniper Networks, Inc. | System and method for dynamic layer 2 wholesale |
| NO332162B1 (no) * | 2009-12-21 | 2012-07-09 | Cisco Systems Int Sarl | Anordning og fremgangsmate for a filtrere mediapakker |
| KR101089157B1 (ko) | 2010-03-05 | 2011-12-02 | 주식회사 안철수연구소 | 클라이언트 가상화를 이용한 서버의 논리적 망분리 시스템 및 방법 |
| US9043878B2 (en) * | 2012-03-06 | 2015-05-26 | International Business Machines Corporation | Method and system for multi-tiered distributed security authentication and filtering |
| US9129124B2 (en) * | 2012-04-12 | 2015-09-08 | Hewlett-Packard Development Company, L.P. | Dynamic provisioning of virtual systems |
| US20140095719A1 (en) * | 2012-10-03 | 2014-04-03 | Harris Andrew Decker | Creating, registering, and trading units representing internet protocol numbers |
| US9602482B1 (en) * | 2013-12-12 | 2017-03-21 | Amazon Technologies, Inc. | Authentication for an API request |
| CN109347876B (zh) * | 2018-11-29 | 2022-04-01 | 深圳市网心科技有限公司 | 一种安全防御方法及相关装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416241A (zh) * | 2002-10-16 | 2003-05-07 | 华为技术有限公司 | 同时支持基于不同设备网络接入认证的方法 |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5537474A (en) * | 1994-07-29 | 1996-07-16 | Motorola, Inc. | Method and apparatus for authentication in a communication system |
| US6032118A (en) * | 1996-12-19 | 2000-02-29 | Northern Telecom Limited | Virtual private network service provider for asynchronous transfer mode network |
| US7814208B2 (en) * | 2000-04-11 | 2010-10-12 | Science Applications International Corporation | System and method for projecting content beyond firewalls |
| US7197125B1 (en) * | 2001-03-06 | 2007-03-27 | Cisco Technology, Inc. | Method and apparatus for selecting and managing wireless network services using a directory |
| US7483411B2 (en) * | 2001-06-04 | 2009-01-27 | Nec Corporation | Apparatus for public access mobility LAN and method of operation thereof |
| US7669229B2 (en) * | 2002-11-13 | 2010-02-23 | Intel Corporation | Network protecting authentication proxy |
| US7483879B2 (en) * | 2003-01-17 | 2009-01-27 | International Business Machines Corporation | System and method for accessing non-compatible content repositories |
| US7194756B2 (en) * | 2003-06-20 | 2007-03-20 | N2 Broadband, Inc. | Systems and methods for provisioning a host device for enhanced services in a cable system |
| US7239705B2 (en) * | 2003-12-10 | 2007-07-03 | Motorola Inc. | Apparatus and method for broadcast services transmission and reception |
-
2004
- 2004-03-03 EP EP04290584A patent/EP1571781A1/fr not_active Withdrawn
-
2005
- 2005-03-02 US US10/598,595 patent/US20080040491A1/en not_active Abandoned
- 2005-03-02 AT AT05715641T patent/ATE474398T1/de not_active IP Right Cessation
- 2005-03-02 EP EP05715641A patent/EP1738526B1/fr not_active Not-in-force
- 2005-03-02 CN CN2005800135436A patent/CN1957561B/zh not_active Expired - Fee Related
- 2005-03-02 DE DE602005022300T patent/DE602005022300D1/de active Active
- 2005-03-02 WO PCT/EP2005/002156 patent/WO2005096551A1/fr active Application Filing
- 2005-03-02 KR KR1020067020684A patent/KR101162290B1/ko not_active IP Right Cessation
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1416241A (zh) * | 2002-10-16 | 2003-05-07 | 华为技术有限公司 | 同时支持基于不同设备网络接入认证的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1957561A (zh) | 2007-05-02 |
| EP1738526A1 (fr) | 2007-01-03 |
| WO2005096551A1 (fr) | 2005-10-13 |
| KR20070010023A (ko) | 2007-01-19 |
| EP1738526B1 (fr) | 2010-07-14 |
| ATE474398T1 (de) | 2010-07-15 |
| EP1571781A1 (fr) | 2005-09-07 |
| US20080040491A1 (en) | 2008-02-14 |
| KR101162290B1 (ko) | 2012-07-04 |
| DE602005022300D1 (de) | 2010-08-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1957561B (zh) | 对要求访问虚拟网络、允许使用服务项目的用户进行验证的方法和*** | |
| US11611449B2 (en) | System and method for providing network support services and premises gateway support infrastructure | |
| US7437552B2 (en) | User authentication system and user authentication method | |
| CN102726069B (zh) | 基于会话属性的动态服务群 | |
| US8134999B2 (en) | Generic provisioning of voice over internet protocol (VoIP) | |
| CN101064628B (zh) | 家庭网络设备安全管理***及方法 | |
| US7016956B2 (en) | Directory-enabled intelligent broadband service switch | |
| US6636894B1 (en) | Systems and methods for redirecting users having transparent computer access to a network using a gateway device having redirection capability | |
| JP3803669B2 (ja) | ネットワーク接続システムおよびネットワーク接続方法 | |
| US20130073728A1 (en) | Validating user experience type settings | |
| CN114079971A (zh) | 业务流量管控方法、***、dpi节点及存储介质 | |
| EP2583412A1 (en) | Method for efficient initialization of a telecommunications network and telecommunications network | |
| JP2003060714A (ja) | カスタムサービス提供方法 | |
| JP2011166375A (ja) | アクセス制御設定装置、アクセス制御設定方法、アクセス制御設定プログラム、アクセス制御設定システム、及びアクセス制御装置 | |
| CN115589375A (zh) | 连通性测试的方法和装置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120321 Termination date: 20170302 |