WO2016127583A1

WO2016127583A1 - 认证处理方法及装置

Info

Publication number: WO2016127583A1
Application number: PCT/CN2015/084725
Authority: WO
Inventors: 景阳; 靳康; 张娜
Original assignee: 中兴通讯股份有限公司
Priority date: 2015-02-15
Filing date: 2015-07-21
Publication date: 2016-08-18
Also published as: CN105991597A

Abstract

本发明公开了一种认证处理方法及装置，其中，该网络接入设备的认证处理方式包括：网络接入设备接收认证报文；网络接入设备依据认证报文获取当前需要执行的认证类型；在认证类型为Diameter认证类型时，网络接入设备获取与Diameter认证类型对应的链路；网络接入设备通过该链路向Diameter服务器发送认证报文。通过本发明解决了相关技术中Diameter协议在网络接入设备还不能得以应用的问题，进而达到了网络接入设备利用Diameter协议进行报文认证的效果。

Description

认证处理方法及装置

技术领域

本发明涉及通信领域，具体而言，涉及一种网络接入设备、Diameter服务器的认证处理方法及装置。

背景技术

Diameter协议作为Radius协议的升级版本，被互联网工程任务组(Internet Engineering Task Force，简称为IETF)的认证授权计费(Authentication、Authorization and Accounting，简称为AAA)工作组指定为下一代的AAA协议标准。Diameter协议支持移动互联网协议(Internet Protocol，简称为IP)、网络接入服务器(Network Attached Server，简称为NAS)请求和移动代理的认证、授权、计费功能，其实现与Radius协议类型，且基础属性都是继承的Radius的属性号，但是又克服了Radius协议的很多缺陷，是比较适合未来移动通信***的AAA协议。在国内，Diameter协议在NAS设备上的应用很少。

针对相关技术中，Diameter协议在网络接入设备还不能得以应用的问题，还未提出有效的解决方案。

发明内容

本发明提供了一种网络接入设备、Diameter服务器的认证处理方法及装置，以至少解决相关技术中Diameter协议在网络接入设备还不能得以应用的问题。

根据本发明的一个实施例，提供了一种网络接入设备的认证处理方法，包括：网络接入设备接收认证报文；所述网络接入设备依据所述认证报文获取当前需要执行的认证类型；在所述认证类型为Diameter认证类型时，所述网络接入设备获取与Diameter认证类型对应的链路；所述网络接入设备通过所述链路向Diameter服务器发送所述认证报文。

在本发明实施例中，网络接入设备接收认证报文之前包括：在所述网络接入设备中预先配置Diameter认证类型，以及所述链路的配置信息。

在本发明实施例中，所述链路的配置信息包括以下至少之一：所述网络接入设备与所述Diameter服务器之间的链路类型、所述Diameter服务器的互联网协议IP地址、所述网络接入设备的端口号、所述Diameter服务器的端口号。

在本发明实施例中，所述链路的配置信息包括：Diameter-group号，其中，所述Diameter-group号与一个或多个所述链路存在绑定关系。

在本发明实施例中，与所述Diameter-group号绑定的多个所述链路中包括主用链路和备用链路。

在本发明实施例中，所述网络接入设备通过所述链路向Diameter服务器发送所述认证报文之后包括：接收所述Diameter服务器发送的用于指示认证成功或者认证失败的指示信息，并将所述指示信息发送给用户设备。

根据本发明的另一个实施例，还提供了一种Diameter服务器的认证处理方法，包括：Diameter服务器从网络接入设备接收认证报文；所述Diameter服务器对所述认证报文进行认证。

在本发明实施例中，所述Diameter服务器对所述认证报文进行认证之后包括：所述Diameter服务器将用于指示认证成功或者认证失败的指示信息发送给所述网络接入设备。

根据本发明的一个实施例，还提供了一种网络接入设备的认证处理装置，所述装置应用于所述网络接入设备，所述装置包括：第一接收模块，设置为接收认证报文；第一获取模块，设置为依据所述认证报文获取当前需要执行的认证类型；第二获取模块，设置为在所述认证类型为Diameter认证类型时，获取与Diameter认证类型对应的链路；发送模块，设置为通过所述链路向Diameter服务器发送所述认证报文。

在本发明实施例中，所述装置还包括：配置模块，设置为在所述网络接入设备中预先配置Diameter认证类型，以及所述链路的配置信息。

在本发明实施例中，所述装置还包括：第二接收模块，设置为接收所述Diameter服务器发送的用于指示认证成功或者认证失败的指示信息，并将所述指示信息发送给用户设备。

根据本发明的另一个实施例，还提供了一种Diameter服务器的认证处理装置，所述装置应用于Diameter服务器，所述装置包括：接收模块，设置为从网络接入设备接收认证报文；认证模块，设置为对所述认证报文进行认证。

在本发明实施例中，所述装置还包括：发送模块，设置为将用于指示认证成功或者认证失败的指示信息发送给所述网络接入设备。

通过本发明，采用网络接入设备接收认证报文；网络接入设备依据认证报文获取当前需要执行的认证类型；在认证类型为Diameter认证类型时，网络接入设备获取与Diameter认证类型对应的链路；网络接入设备通过该链路向Diameter服务器发送认证报文。解决了相关技术中Diameter协议在网络接入设备还不能得以应用的问题，进而达到了网络接入设备利用Diameter协议进行报文认证的效果。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1是根据本发明实施例的网络接入设备的认证处理方法的流程图；

图2是根据本发明实施例的网络接入设备的认证处理装置的结构框图；

图3是根据本发明实施例的网络接入设备的认证处理装置的结构框图(一)；

图4是根据本发明实施例的网络接入设备的认证处理装置的结构框图(二)；

图5是根据本发明实施例的Diameter服务器的认证处理方法的流程图；

图6是根据本发明实施例的Diameter服务器的认证处理装置的结构框图；

图7是根据本发明实施例的Diameter服务器的认证处理装置的结构框图(一)；

图8是根据本发明实施例所涉及的网络拓扑示意图；

图9是根据本发明实施例的报文认证流程图。

具体实施方式

下文中将参考附图并结合实施例来详细说明本发明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。

在本实施例中提供了一种网络接入设备的认证处理方法，图1是根据本发明实施例的网络接入设备的认证处理方法的流程图，如图1所示，该流程包括如下步骤：

步骤S102，网络接入设备接收认证报文；

步骤S104，网络接入设备依据认证报文获取当前需要执行的认证类型；

步骤S106，在认证类型为Diameter认证类型时，网络接入设备获取与Diameter认证类型对应的链路；

步骤S108，网络接入设备通过该链路向Diameter服务器发送认证报文。

通过上述步骤，在确定认证类型为Diameter认证类型，网络接入设备将认证报文通过链路发送给Diameter服务器，相比于现有技术中，Diameter协议在NAS设备上的应用很少的现象，上述步骤解决了相关技术中Diameter协议在网络接入设备还不能得以应用的问题，进而达到了网络接入设备利用Diameter协议进行报文认证的效果。

网络接入设备接收认证报文之前，网络接入设备需要预先完成相应的配置，在一个可选实施例中，网络接入设备预先配置Diameter认证类型，以及其与Diameter服务器之间的链路的配置信息，以便于网络接入设备与Diameter服务器完成认证报文的信息交互。

在一个可选实施例中，链路的配置信息包括以下至少之一：网络接入设备与该Diameter服务器之间的链路类型、Diameter服务器的互联网协议IP地址、网络接入设备的端口号、Diameter服务器的端口号。在另一个可选实施例中，链路的配置信息包括：Diameter-group号，其中，Diameter-group号与一个或多个该链路存在绑定关系。

在一个可选实施例中，与Diameter-group号绑定的多个链路中包括主用链路和备用链路。在根据Diameter-group号将认证报文发送给Diameter服务器时，通过Diameter-group号中的主用链路将认证报文发送给Diameter服务器；在该主用链路出现故障的情况下，通过一个备用链路将认证报文发送给Diameter服务器。

在Diameter服务器完成报文的认证之后，在一个可选实施例中，网络接入设备接收Diameter服务器发送的用于指示认证成功或者认证失败的指示信息，并将该指示信息发送给用户设备。

在本实施例中还提供了一种网络接入设备的认证处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图2是根据本发明实施例的网络接入设备的认证处理装置的结构框图，该装置应用于该网络接入设备，如图2所示，该装置包括：第一接收模块22，设置为接收认证报文；第一获取模块24，设置为依据该认证报文获取当前需要执行的认证类型；第二获取模块26，设置为在该认证类型为Diameter认证类型时，获取与Diameter认证类型对应的链路；发送模块28，设置为通过该链路向Diameter服务器发送该认证报文。

图3是根据本发明实施例的网络接入设备的认证处理装置的结构框图(一)，如图3所示，该装置还包括：配置模块32，设置为在该网络接入设备中预先配置Diameter认证类型，以及该链路的配置信息。

可选地，链路的配置信息包括以下至少之一：网络接入设备与该Diameter服务器之间的链路类型、Diameter服务器的互联网协议IP地址、网络接入设备的端口号、Diameter服务器的端口号。

可选地，链路的配置信息包括：Diameter-group号，其中，该Diameter-group号与一个或多个该链路存在绑定关系。

可选地，与Diameter-group号绑定的多个该链路中包括主用链路和备用链路。

图4是根据本发明实施例的网络接入设备的认证处理装置的结构框图(二)，如图4所示，该装置还包括：第二接收模块42，设置为接收该Diameter服务器发送的用于指示认证成功或者认证失败的指示信息，并将该指示信息发送给用户设备。

在本实施例中还提供了一种Diameter服务器的认证处理方法，图5是根据本发明实施例的Diameter服务器的认证处理方法的流程图，如图5所示，该流程包括如下步骤：

步骤S502，Diameter服务器从网络接入设备接收认证报文；

步骤S504，Diameter服务器对该认证报文进行认证。

通过上述步骤，Diameter服务器对从网络接入设备接收的认证报文进行认证，相比于现有技术中，Diameter协议在NAS设备上的应用很少的现象，上述步骤解决了相关技术中Diameter协议在网络接入设备还不能得以应用的问题，进而达到了网络接入设备利用Diameter协议进行报文认证的效果。

在一个可选实施例中，Diameter服务器对该认证报文进行认证之后，Diameter服务器将用于指示认证成功或者认证失败的指示信息发送给网络接入设备。

在本实施例中还提供了一种Diameter服务器的认证处理装置，该装置用于实现上述实施例及优选实施方式，已经进行过说明的不再赘述。如以下所使用的，术语“模块”可以实现预定功能的软件和/或硬件的组合。尽管以下实施例所描述的装置较佳地以软件来实现，但是硬件，或者软件和硬件的组合的实现也是可能并被构想的。

图6是根据本发明实施例的Diameter服务器的认证处理装置的结构框图，该装置应用于Diameter服务器，如图6所示，该装置包括：接收模块62，设置为从网络接入设备接收认证报文；认证模块64，设置为对该认证报文进行认证。

图7是根据本发明实施例的Diameter服务器的认证处理装置的结构框图(一)，如图7所示，该装置还包括：发送模块72，设置为将用于指示认证成功或者认证失败的指示信息发送给网络接入设备。

需要说明的是，上述各个模块是可以通过软件或硬件来实现的，对于后者，可以通过以下方式实现，但不限于此：上述各个模块均位于同一处理器中；或者，上述各个模块分别位于第一处理器、第二处理器和第三处理器…中。

针对相关技术中存在的上述问题，下面结合可选实施例进行说明，在本可选实施例中结合了上述可选实施例及其可选实施方式。

本可选实施例提出了一种在宽带接入服务器(Broadband Remote Access Server，简称为BRAS)设备上，将用户认证报文发送到Diameter服务器上做认证授权的方法，本可选实施例采取的是分组管理Diameter链路信息的方式，每个链路(link)对应自己的链路信息与特定的Diameter服务器连接，用组(group)管理各个link，并在group内通过配置指定主备link，或者指定轮询通过group中的链路发送报文。图8是根据本发明实施例所涉及的网络拓扑示意图。

本可选实施例涉及的主要步骤如下：

BRAS设备配置：

步骤1：配置Diameter-link信息，其中包括链路类型、对端ip地址、本端端口号、对端端口号等等链路信息。

步骤2：配置Diameter-group信息，将配置好的Diameter-link号绑定在Diameter-group中，并且可以指定主备link号，但是只能指定一个是主link。

步骤3：在认证模板下增加Diameter认证类型。

步骤4：在认证模板下绑定Diameter-group号。

步骤5：在授权模板下增加Diameter授权类型。

步骤6：将1、2中认证模板、授权模板绑定在用户接入的domain模板下。

表一为Diameter组件基本配置函数。

表一：

用户上线时，将认证报文发送给Diameter服务器的流程：

步骤1：用户认证报文达到AAA信息管理(AAA Information Managemen，简称为AIM)组件时，AIM组件获得用户接入domain。

步骤2：从domain中获得认证模板，在认真模板中获得认证类型(假设是Diameter认证)，以及Diameter-group号。

步骤3：将用户认证信息及Diameter-group号发送给Diameter组件。

步骤4：Diameter组件获取Diameter-group模板下的Diameter-link配置，其中可以包括一个主link和多个备选link。

步骤5：如果主link链路是通的，则将用户认证报文发送给主link；否则选第一个配置的备选通的link发送认证报文。

表二为AIM组件的基本配置函数。

表二：

在一个可选实施例中：

1、建立Diameter-link配置模板，模板参数为link号，每一个Diameter-link模板下支持配置如下链路信息：链路状态(enable、disable)；链路ip类型配置；链路对等端ipv4地址参数；链路对等端ipv6地址参数；链路对等端端口号；链路本端端口号；链路链接类型(tcp or sctp)；链路重新链接的间隔时间；链路local-host参数；链路local-realm参数；链路dest-host参数；链路dest-realm参数；链路是否可以发送能力交换请求(Capabilities-Exchange-Request，简称为CER)报文；链路是否可以发送设备监控请求(Capabilities-Exchange-Request，简称为DWR)报文。

2、建立Diameter-group配置模板，模板参数为group号，每个Diameter-group模板下可以绑定一个主link和若干个备link，以及单条链路上报文重发次数和报文重传间隔时间。

3、在认证模板下增加Diameter认证类型，和绑定Diameter-group的配置。

4、在授权模板下增加Diameter授权类型的配置。

5、将认证模板、授权模板绑定在domain模板下。

6、让认证用户在认证过程中，从5所述的domain接入。

7、按照domain找到绑定的认证模板，读取认证模板下的认证类型，如果是Diameter认证，则需要获得Diameter-group号，如果获得不到则返回认证失败。

8、AIM组件将Diameter-group号以及用户认证信息发送给Diameter组件。

9、Diameter组件按照Diameter-group号查找其中绑定的Diameter-link，如果主链路通，则选择将认证报文通过主链路下配置的信息传递给Diameter服务器；否则选择第一个配置的通的备选链路将认证报文传递给对应的Diameter服务器。链路信息从Diameter-link模板下配置中获取。

10、如果认证通过，Diameter服务器会将认证成功结果以及授权信息，返回给Diameter组件，Diameter组件再将这些信息传给AIM组件，AIM再将结果和授权信息返回给用户。

图9是根据本发明实施例的报文认证流程图，如图9所示，该流程包括如下步骤：

步骤S902，AIM组件获得用户接入所在的域；

步骤S904，按域查找认证模板；

步骤S906，从认证模块下获取Diameter认证类型和Diameter组号；

步骤S908，将用户认证信息和Diameter组号传给Diameter组件；

步骤S910，Diameter组件按组号获得组内配置的链路号；

步骤S912，按链路号获得此链路下的信息，将用户认证报文发送到此链路对应的Diameter服务器；

步骤S914，判断认证是否成功，在判断结果为是的情况下，执行步骤S916，在判断结果为否的情况下，执行步骤S920；

步骤S916，将认证结果和授权信息发送给AIM组件；

步骤S918，AIM组件将授权信息和认证结果返回给用户；

步骤S920，将认证失败结果通知AIM组件；

步骤S922，AIM组件通知用户认证失败。

综上所述，通过本发明解决了相关技术中Diameter协议在网络接入设备还不能得以应用的问题，进而达到了网络接入设备利用Diameter协议进行报文认证的效果。

在另外一个实施例中，还提供了一种软件，该软件用于执行上述实施例及优选实施方式中描述的技术方案。

在另外一个实施例中，还提供了一种存储介质，该存储介质中存储有上述软件，该存储介质包括但不限于：光盘、软盘、硬盘、可擦写存储器等。

显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。

以上所述仅为本发明的优选实施例而已，并不用于限制本发明，对于本领域的技术人员来说，本发明可以有各种更改和变化。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

工业实用性

基于本发明实施例提供的上述技术方案，网络接入设备接收认证报文；网络接入设备依据认证报文获取当前需要执行的认证类型；在认证类型为Diameter认证类型时，网络接入设备获取与Diameter认证类型对应的链路；网络接入设备通过该链路向Diameter服务器发送认证报文。解决了相关技术中Diameter协议在网络接入设备还不能得以应用的问题，进而达到了网络接入设备利用Diameter协议进行报文认证的效果。

Claims

一种网络接入设备的认证处理方法，包括：

网络接入设备接收认证报文；

所述网络接入设备依据所述认证报文获取当前需要执行的认证类型；

在所述认证类型为Diameter认证类型时，所述网络接入设备获取与Diameter认证类型对应的链路；

所述网络接入设备通过所述链路向Diameter服务器发送所述认证报文。
根据权利要求1所述的方法，其中，网络接入设备接收认证报文之前包括：

在所述网络接入设备中预先配置Diameter认证类型，以及所述链路的配置信息。
根据权利要求2所述的方法，其中，

所述链路的配置信息包括以下至少之一：所述网络接入设备与所述Diameter服务器之间的链路类型、所述Diameter服务器的互联网协议IP地址、所述网络接入设备的端口号、所述Diameter服务器的端口号。
根据权利要求2所述的方法，其中，所述链路的配置信息包括：

Diameter-group号，其中，所述Diameter-group号与一个或多个所述链路存在绑定关系。
根据权利要求4所述的方法，其中，与所述Diameter-group号绑定的多个所述链路中包括主用链路和备用链路。
根据权利要求1所述的方法，其中，所述网络接入设备通过所述链路向Diameter服务器发送所述认证报文之后包括：

接收所述Diameter服务器发送的用于指示认证成功或者认证失败的指示信息，并将所述指示信息发送给用户设备。
一种Diameter服务器的认证处理方法，包括：

Diameter服务器从网络接入设备接收认证报文；

所述Diameter服务器对所述认证报文进行认证。
根据权利要求7所述的方法，其中，所述Diameter服务器对所述认证报文进行认证之后包括：

所述Diameter服务器将用于指示认证成功或者认证失败的指示信息发送给所述网络接入设备。
一种网络接入设备的认证处理装置，所述装置应用于所述网络接入设备，所述装置包括：

第一接收模块，设置为接收认证报文；

第一获取模块，设置为依据所述认证报文获取当前需要执行的认证类型；

第二获取模块，设置为在所述认证类型为Diameter认证类型时，获取与Diameter认证类型对应的链路；

发送模块，设置为通过所述链路向Diameter服务器发送所述认证报文。
根据权利要求9所述的装置，其中，所述装置还包括：

配置模块，设置为在所述网络接入设备中预先配置Diameter认证类型，以及所述链路的配置信息。
根据权利要求10所述的装置，其中，所述链路的配置信息包括以下至少之一：所述网络接入设备与所述Diameter服务器之间的链路类型、所述Diameter服务器的互联网协议IP地址、所述网络接入设备的端口号、所述Diameter服务器的端口号。
根据权利要求10所述的装置，其中，所述链路的配置信息包括：Diameter-group号，其中，所述Diameter-group号与一个或多个所述链路存在绑定关系。
根据权利要求12所述的装置，其中，与所述Diameter-group号绑定的多个所述链路中包括主用链路和备用链路。
根据权利要求9所述的装置，其中，所述装置还包括：

第二接收模块，设置为接收所述Diameter服务器发送的用于指示认证成功或者认证失败的指示信息，并将所述指示信息发送给用户设备。
一种Diameter服务器的认证处理装置，所述装置应用于Diameter服务器，所述装置包括：

接收模块，设置为从网络接入设备接收认证报文；

认证模块，设置为对所述认证报文进行认证。
根据权利要求15所述的装置，其中，所述装置还包括：

发送模块，设置为将用于指示认证成功或者认证失败的指示信息发送给所述网络接入设备。