[go: up one dir, main page]

DE60207984T2 - Bedienerauswählender Server, Methode und System für die Beglaubigung, Ermächtigung und Buchhaltung - Google Patents

Bedienerauswählender Server, Methode und System für die Beglaubigung, Ermächtigung und Buchhaltung Download PDF

Info

Publication number
DE60207984T2
DE60207984T2 DE60207984T DE60207984T DE60207984T2 DE 60207984 T2 DE60207984 T2 DE 60207984T2 DE 60207984 T DE60207984 T DE 60207984T DE 60207984 T DE60207984 T DE 60207984T DE 60207984 T2 DE60207984 T2 DE 60207984T2
Authority
DE
Germany
Prior art keywords
aaa
user
proxy
isp
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60207984T
Other languages
English (en)
Other versions
DE60207984D1 (de
Inventor
Juan-Antonio Sanchez-Herrero
Ana Maria Lopez Nieto
John Michael Walker
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Application granted granted Critical
Publication of DE60207984D1 publication Critical patent/DE60207984D1/de
Publication of DE60207984T2 publication Critical patent/DE60207984T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2869Operational details of access network equipments
    • H04L12/2898Subscriber equipments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0892Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1004Server selection for load balancing
    • H04L67/1008Server selection for load balancing based on parameters of servers, e.g. available memory or workload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • H04L67/1036Load balancing of requests to servers for services different from user content provisioning, e.g. load balancing across domain name servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Business, Economics & Management (AREA)
  • Accounting & Taxation (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich allgemein auf ein Telekommunikationsnetz, das mit einem bedienenden Netz eines Internet-Dienstanbieters (ISP, Internet Service Provider) gekoppelt ist, zum Ausführen der Authentifizierung, Autorisierung und Abrechnung von Benutzern mit Fernzugriff. Genauer betrifft die Erfindung Mittel, System und Verfahren, um Netzen des obigen Typs zu ermöglichen, den geeigneten Authentifizierungs-, Autorisierungs- und Abrechnungsserver (hierin nachstehend als ein AAA-Server bezeichnet) zu bestimmen, der für einen Benutzer verantwortlich ist, der eine Dienstanforderung (Serviceanforderung) ausgegeben hat.
  • HINTERGRUND
  • Der Zugang zu Internetdiensten wird heutzutage durch einen ISP bereitgestellt. In dem häufigsten Szenarium managen unterschiedliche Betreiber das ISP-Netz und das Zugangsnetz. Beide Netze werden somit als getrennte Netze betrachtet. Der ISP führt Authentifizierung, Autorisierung und Abrechnungsprüfungen für Benutzer durch, die auf seine Dienste über ein Zugangsnetz zugreifen. Insbesondere sind diese Benutzer Teilnehmer eines Telekommunikationsnetzes, das als ein Zugangsnetz zu dem ISP-Netz agiert.
  • Wenn ein Benutzer eines Telekommunikationsnetzes wünscht, sich mit einem gewissen Server zu verbinden, der zu einem ISP gehört, wird somit eine Dienstanforderung von dem Benutzer zu dem ISP-Server über einen Netzzugangserver (NAS, Network Access Server) gesendet, der zu dem Telekommunikationsnetz gehört. Ungeachtet dessen muss der Benutzer zuvor authentifiziert sein und die Dienstanforderung muss zuvor durch eine Entität, wie etwa einen Authentifizierungs-, Autorisierungs- und Abrechnungsserver (AAA-Server), autorisiert sein. Wenn der Benutzer eine Dienstanforderung zu dem NAS sendet, trägt er zu diesem Zweck auch einen Benutzeridentifikator und ein Passwort für seine eigene Identifikation ein. Diese Information wird zu dem AAA-Server unter Verwendung eines Kommunikationsprotokolls gesendet, wie etwa dem Fernauthentifizierungs-Einwahl-Benutzerdienst (allgemein als RADIUS, Remote Authentication Dial In User Service, bekannt), oder die RADIUS-Aktualisierung (Aufrüstung), bekannt als DIAMETER-Protokoll, oder dergleichen.
  • Die Internet Engineering Task Force (IETF) definiert das RADIUS-Protokoll in RFC 2865. Gleichermaßen ist das DIAMETER-Protokoll in "draft-ietf-aaa-diameter-08.txt" definiert, was auch durch die IETF vorangetrieben wird. Das Basiskonzept hinter DIAMETER ist, ein Basisprotokoll vorzusehen, das erweitert werden kann, um AAA-Dienste für neue auf Zugang bezogene Technologien vorzusehen. Sowohl die RADIUS- als auch die DIAMETER-Spezifikationen beschreiben Protokolle, die zum Ausführen der Authentifizierung und Autorisierung ebenso wie zum Sammeln der Abrechnungsinformation zwischen dem NAS und dem AAA-Server geeignet sind, wo der NAS wünscht, seine Verknüpfungen zu authentifizieren.
  • Vorausgesetzt, dass das verwendete Protokoll RADIUS ist, erhält, wenn ein NAS, der als ein Client eines RADIUS-AAA-Servers arbeitet, eine eingehende Dienstanforderung empfängt, der NAS Identifikationsinformation von dem Benutzer, nämlich einen Namen und ein Passwort, und gibt dann eine Authentifizierungsanforderung zu dem RADIUS-AAA-Server aus. Der RADIUS- AAA-Server authentifiziert auf Empfang der Identifikationsinformation und anderer NAS-Information hin den Benutzer. Das heißt abhängig davon, wer der Benutzer ist, wird er autorisiert, um Zugang zu unterschiedlichen Diensten und Möglichkeiten zu haben. Die RADIUS-Attribute tragen die spezifischen Authentifizierungs- und Autorisierungsdaten ebenso wie Information und Konfigurationsdetails für die Anforderungs- und Antwortpakete.
  • Z.B. sind Attribute, die in diesen Paketen übertragen werden können, der Benutzer-Name, das Benutzer-Passwort und andere. Insbesondere zeigt das Attribut Benutzer-Name den Namen des Benutzers an, der zu authentifizieren ist. Das Format dieses Benutzer-Namens in dem RADIUS-Protokoll kann eines von mehreren Formen sein:
    • – Text, eine Form, die nur aus UTF-8 codierten Zeichen besteht
    • – Netzzugangidentifikator (NAI, Network Access Identifier), nämlich Benutzername@Bereich, wie in RFC 2486 beschrieben
    • – ausgezeichneter Name (DN, Distinguished Name), der ein Name in ASN.1-Form ist, was in Authentifizierungssystemen mit öffentlichem Schlüssel verwendet wird.
  • Wenn andererseits DIAMETER das verwendete Protokoll ist, ist die Prozedur ähnlich zu dem vorherigen Fall. Ein NAS, der als ein Client eines DIAMETER-AAA-Servers agiert, initiiert eine Anforderung für Authentifizierung und/oder Autorisierung eines gegebenen Benutzers zu dem DIAMETER-AAA-Server. Der DIAMETER-AAA-Server authentifiziert den Benutzer auf Empfang der Identifikationsinformation und anderer NAS-Information hin. Das heißt abhängig davon, wer der Benutzer ist, wird er autorisiert, um Zugang zu unterschiedlichen Diensten und Möglichkeiten zu haben.
  • Beliebige Daten, die durch das DIAMETER-Protokoll transferiert werden, sind in der Form eines Attributwertepaars (hierin nachstehend AVP, Attribute Value Pear). Das AVP wird durch das Basis-DIAMETER-Protokoll unter anderen Dingen zum Transportieren der Benutzerauthentifizierungsinformation zu dem DIAMETER-AAA-Server verwendet. Der Benutzername wird in dem Benutzer-Name-AVP vorgesehen, was ein NAI-Format erlaubt, oder in einem UTF-8-Format, das mit der NAI-Spezifikation konsistent ist.
  • Ein typisches Szenarium eines Telekommunikationsnetzes, das mit einem ISP zum Vorsehen von Internet-Diensten gekoppelt ist, ist die Bereitstellung von Internet-Zugang in einem allgemeinen Paketfunkdienst- (GPRS, General Packet Radio Service) Netz. In diesem Szenarium kann ein Gateway-GPRS-Unterstützungsknoten (hierin nachstehend GGSN, Gateway GPRS Support Node) mit einem AAA-Server zusammenarbeiten, typischerweise unter Verwendung des RADIUS-Protokolls. Somit agiert ein GGSN als ein Client eines RADIUS-AAA-Servers.
  • Ein anderes Szenarium ist ein drahtloses Lokalbereichsnetz (WLAN, Wireless Local Area Network), das auf das Internet durch einen WLAN-Zugangspunkt zugreift, der mit einem AAA-Server mittels DIAMETER- oder RADIUS-Protokollen verbunden ist. Somit kann ein WLAN-Zugangspunkt jeweils als ein Client eines DIAMETER-AAA-Servers oder als ein Client eines RRDIUS-AAA-Servers agieren.
  • Heutzutage speichern die ISPs Benutzerinformation für alle ihre Benutzer in großen Hintergrund-Datenbanken, nämlich AAA-Servern, auf die der AAA-Client zugreifen kann. In Szenarien, wo die Zahl von Benutzern sehr hoch ist, ist diese Lösung nicht leicht skalierbar, da die Größe der Datenbanken und die Zahl von Abfragen pro Sekunde das Leistungsverhalten des Netzes notwendigerweise verringern. Vorausgesetzt, dass jeder ISP seine Benutzer in einem eindeutigen großen AAA-Server organisiert hat, muss insbesondere eine direkte Beziehung zwischen dem AAA-Server und dem anfordernden AAA-Client während der gesamten Sitzung unterhalten werden, was in dem Fall von auf Abrechnung bezogenen Transaktionen das erwartete AAA-Server-Leistungsverhalten benachteiligen kann.
  • Eine unmittelbare Lösung für einen ISP mit einer sehr hohen Zahl von Benutzern kann darin bestehen, dass der ISP mehr als einen AAA-Server benötigt, um seine Benutzerinformation zu organisieren. Ein erster Nachteil dieses mehrfachen AAA-Server-Rahmens besteht darin, dass die Sicherheitsbeziehungen zwischen dem AAA-Client und den unterschiedlichen AAA-Servern komplizierter werden. Ein zweiter Nachteil besteht darin, dass die ISP-Netzstruktur für den AAA-Client, der ein NAS sein kann, der durch einen anderen Betreiber betrieben wird, sichtbarer wird, und somit Netzkonfigurationsabhängigkeiten zwischen dem ISP und dem Betreiber des Telekommunikationsnetzes erzeugt.
  • Unabhängig von den obigen Nachteilen müssen die AAA-Clients, die einen Dienst von einem ISP mit einer Vielzahl von AAA-Servern anfordern, wissen, welcher AAA-Server für eine bestimmte Dienstanforderung eines gewissen Benutzers kontaktiert werden sollte. In Abwesenheit anderer Kriterien kann ein AAA-Client sequenzielle Abfragen zu jenen AAA-Servern eines gekoppelten ISP durchführen, bis der geeignete AAA-Server gefunden ist, der für einen gewissen Benutzer verantwortlich ist.
  • Besseres Leistungsverhalten als für sequenzielle Abfragen kann durch Zwischenstellen eines AAA-Proxy (Stellvertreters) zwischen den AAA-Client und ein ISP-Netz mit einer Vielzahl von AAA-Servern erreicht werden. Ein derartiger AAA-Proxy, wie US 6,298,383 beschreibt, ist typischerweise in der Lage, zwischen AAA-Servern auf einer Basis pro Domäne zu unterscheiden. Indem von Benutzeridentifikatoren in einem NAI-Format oder dergleichen, nämlich Benutzername@Bereich, Gebrauch gemacht wird, kann ein ISP seine Benutzer unter unterschiedlichen AAA-Servern auf einer Basis pro Bereich anordnen. Der obige AAA-Proxy ist dann in der Lage, den spezifischen AAA-Server zu bestimmen, der für alle Benutzer in einer spezifischen Domäne verantwortlich ist, nämlich die Domäne, die durch den Bereich adressiert wird, der durch derartige Benutzer gemeinsam genutzt wird.
  • Gegenwärtig gibt es kein anderes Kriterium zum Anordnen von Benutzern unter AAA-Servern in einem ISP-Netz. In dieser Hinsicht kann nur der gut bekannte und strukturierte Bereich in einem obigen NAI-Format, z.B. "acme.com", verwendet werden, um einen eindeutigen AAA-Server unzweideutig zu bestimmen, der für eine gewisse Domäne in einem ISP-Netz verantwortlich ist.
  • Es gibt jedoch Benutzer-Namensformate mit Ausnahme von NAI, oder nicht konsistent strukturierte oder sogar unstrukturierte, für die ein derartiger AAA-Proxy nicht in der Lage ist, unter einer Vielzahl von AAA-Servern zu unterscheiden, und dies ist ein wesentlicher Nachteil für die ISPs. Z.B. ist ein AAA-Proxy, der Dienstanforderungen von einem GGSN empfängt, der als ein NAS eines GPRS-Netzes agiert, wobei der GGSN von der Mobilteilnehmer-ISDN-Nummer (MSISDN, Mobile Subscriber ISDN number) als Benutzeridentifikator Gebrauch macht, nicht in der Lage, einen aus einer Vielzahl von AAA-Servern für diese Art von Benutzeridentifikator auszuwählen.
  • Außerdem, und selbst für Benutzer-Namen in NAI-Formaten, ist der AAA-Proxy nicht in der Lage, mehr als einen AAA-Server für die gleiche Domäne zu unterscheiden. D.h. alle Benutzer, denen der gleiche Bereich in einem NAI-Format gegeben ist, müssen sich in dem gleichen AAA-Server in einem gewissen ISP-Netz befinden. Diese eindeutige Anordnung aller Benutzer mit der gleichen Domäne oder Bereich in dem gleichen AAA-Server wird als noch ein Nachteil für die ISPs betrachtet, da kompliziertere Mechanismen für Lastausgleich zwischen AAA-Servern unterschiedlicher Kapazität eingeführt werden sollten.
  • Ein weiterer Nachteil, wo Benutzer-Namensformate einen Bereichs- oder einen Domänenidentifikator nicht einschließen, besteht darin, dass die Einbeziehung des zuvor erwähnten AAA-Proxy nicht die Identifikation eines eindeutigen AAA-Servers löst, der für einen gewissen Benutzer in einem ISP-Netz mit einer Vielzahl von AAA-Servern verantwortlich ist. In dieser Hinsicht können Betreiber eines Telekommunikationsnetzes, wo Teilnehmeridentifikatoren einen Bereichs- oder Domänenidentifikator nicht einschließen, diesen AAA-Proxy als eine überflüssige Entität sehen, der das AAA-Dienst-Leistungsverhalten benachteiligt. Die Einführung dieses AAA-Proxy kann jedoch die zwei zuvor erwähnten Nachteile überwinden oder mindestens minimieren, Sicherheitsbeziehungen und Sichtbarkeit der ISP-Netzstruktur, insbesondere wenn der AAA-Proxy zu dem ISP-Netz gehört. In diesem besonderen Fall ist die Einbeziehung eines derartigen AAA-Proxy für das Interesse des ISP von Vorteil, wohingegen Betreiber von Telekommunikationsnetzen dieses obigen Typs benachteiligt werden.
  • Dadurch ist es ein erstes Ziel der vorliegenden Erfindung, Mittel und Verfahren zum Anordnen von Benutzern von AAA-Diensten unter einer Vielzahl von AAA-Servern unabhängig von Benutzeridentifikator-Schemata, Strukturen und anwendbarem Dienst vorzusehen.
  • Es ist ein weiteres Ziel der vorliegenden Erfindung, das obige erste Ziel mit der Einbeziehung eines aufgerüsteten AAA-Proxy kompatibel zu machen, um die obigen ersten und zweiten Nachteile zu lösen, jene, die sich auf Sicherheitsbeziehungen und Sichtbarkeit der ISP-Netzstruktur beziehen. Der aufgerüstete (aktualisierte) AAA-Proxy ist in der Lage, den geeigneten AAA-Server, der für einen gegebenen Benutzer verantwortlich ist, unabhängig von Benutzeridentifikator-Schemata, Strukturen und anwendbarem Dienst auszuwählen, wobei somit das erstes Ziel der vorliegenden Erfindung erfüllt wird.
  • STAND DER TECHNIK
  • Ein Startpunkt von Interesse wird in typischen drahtlosen Systemen der zweiten Generation gefunden, wie GSM- und ANSI-41-Netzen. Da die drahtlosen Systeme mehr und mehr Teilnehmer bekommen haben, haben die Betreiber hoch dimensionierte Teilnehmerdatenbanken gewünscht, wie etwa das Heimatstandortregister (HLR, Home Location Register), um eine große Menge von Abonnements zu unterhalten, wobei die O&M-Aktivitäten minimiert werden, und die Weiterleitungstabellen in dem Netz des Signalisierungssystems Nummer 7 (SS7) optimiert werden. Das Erscheinen jüngeren Datums von Nummernportabilitätsanforderungen, in einigen Fällen durch gesetzliche Regelung, wo einzelne Teilnehmer von einem HLR, das zu einem Betreiber gehört, zu einem anderen HLR, das zu einem anderen Betreiber gehört, bewegt wurden, haben die Notwendigkeiten für einen Datenbankselektor zu einem Muss gemacht.
  • Eine beispielhafte Beschreibung eines derartigen Datenbankselektors kann in der internationalen Anmeldung WO 99/23838 gefunden werden, wo der Datenbankselektor in einem gewissen Netz als ein flexibles Nummernregister (FNR) bezeichnet wird. Dieses FNR ist ein natürlicher Eingangspunkt in einem drahtlosen Netz zweiter Generation für Abfragen, die sich auf jene Teilnehmer beziehen, deren Benutzernummernserie zu dem Netz gehört, unabhängig davon, welches Netz gegenwärtig das Teilnehmerabonnement enthält. D.h. das FNR umfasst alle Benutzer nummernserien, die ein derartiges Netz adressieren, und auch einzelne Benutzernummern für Teilnehmer, die in dieses Netz von einem anderen Netz portiert sind. Übrigens sind einzelne Benutzernummern von Heimat-Teilnehmern, die zu einem anderen Netz portiert wurden, besonders markiert und haben einen besonderen Netzidentifikator, um einen Eingangsknoten in dem Netz zu erreichen, wo der Teilnehmer gegenwärtig sein oder ihr Abonnement hält.
  • Auf Teilnehmer bezogene Abfragen basierend auf Benutzernummern, wie etwa IMSI- oder E.164-Formaten, werden zu dem FNR in einem Netz adressiert, das durch das IMSI- oder E.164-Format adressiert werden. Diese Formate entsprechen gut strukturierten Nummerserien einer vordefinierten Länge. Dann bestimmt das FNR, ob die Abfrage einfach zu dem geeigneten HLR innerhalb seines eigenen Netzes für Teilnehmer transferiert werden sollte, die von anderen Netzen niemals portiert oder importiert und wurden, oder ob die Abfrage zu dem geeigneten Netz umgeleitet werden sollte, wo der Teilnehmer exportiert wurde. Alle erforderlichen Weiterleitungs- und Adressierungsmechanismen werden in unteren Signalisierungsschichten ausgeführt, wie in dem Signalisierungsverbindungssteuerteil (SCCP, Signalling Connection Control Part) innerhalb von SS7.
  • Obwohl diese Lösung als ein relevanter Stand der Technik betrachtet wird, stellt sie dennoch ernsthafte Begrenzungen für eine direkte Anwendbarkeit auf neuere Szenarien dar, die traditionelle feste und drahtlose Telefonnetze mit dem Internet und Multimedia-Dienstnetzen in großen Telekommunikationssystemen miteinander verbinden. Z.B. betrachtet dieser FNR-Stand der Technik nur Signalisierung, Weiterleitung und Adressierung in Übereinstimmung mit SS7-Prinzipien, wo Teilnehmer- oder Benutzeridentifikatoren lediglich auf strukturierten Nummern basieren. Außerdem muss mindestens einer der Identifikatoren, die mit einem Teilnehmer in Verbindung stehen, auf eine derartige Weise strukturiert sein, dass die Analyse einer derartigen Nummer das geeignete HLR unzweideutig identifiziert. Noch eine andere Begrenzung dieser vorherigen Lösung besteht darin, dass weder andere neuere Identifikatorbereiche noch Protokollunterstützung außer auf SS7 bezogener oberer Schichten während der Entwicklung dieser drahtlosen Netze zweiter Generation betrachtet wurden. Ferner wird in diesem Stand der Technik in Bezug auf Dienst-dedizierte Server nichts antizipiert, wie etwa jene in Bezug auf AAA-Dienste, die als Reaktion auf Abfragen basierend auf entsprechenden Benutzeridentifikatoren adressiert werden müssen.
  • Dadurch scheinen die zuvor erwähnten Ziele der vorliegenden Erfindung durch die Unterweisungen von der obigen Anmeldung nicht bewerkstelligt oder antizipiert zu werden. In dieser Hinsicht ist die Bereitstellung eines Mittels und Verfahrens, um eine ausgeglichene Anordnung von Benutzern unter einer Vielzahl von AAA-Servern unabhängig von Benutzeridentifikatorschemata, Strukturen und anwendbarem Dienst dennoch ein Ziel der vorliegenden Erfindung. Das Mittel und das Verfahren, kompatibel mit der Einführung eines AAA-Proxy zwischen dem AAA-Client und einem ISP mit einer Vielzahl von AAA-Servern zum Unterstützen der ausgeglichenen Anordnung von Benutzer sind noch ein anderes Ziel der vorliegenden Erfindung.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Es wird ein Benutzerselektorproxy (USP, User Selector Proxy) zum Unterstützen einer ausgeglichenen Anordnung von Benutzern unabhängig von Benutzeridentifikatorschemata, Strukturen und anwendbarem Dienst, während er als ein Proxy agiert, vorgesehen, wobei somit die Ziele der vorliegenden Erfindung erfüllt werden.
  • Deshalb umfasst dieser USP Mittel zum Empfangen von Authentifizierungs-, Autorisierungs- und Abrechnungs- (AAA-) Dienstanforderungen von einem AAA-Client, Mittel zum Extrahieren einer Benutzerdomäne aus einem empfangenen Benutzeridentifikator, Mittel zum Identifizieren des AAA-Servers, der für die Benutzerdomäne in einem Internetdienstanbieter- (ISP) Netz verantwortlich ist, Mittel zum Vorlegen der AAA-Dienstanforderung zu einem AAA-Server, Mittel zum Empfangen der entsprechenden AAA-Dienstantwort von dem AAA-Server und Mittel zum Rückgeben der AAA-Dienstantwort zu dem AAA-Client, der die Anforderung ausgegeben hat. Dieser USP in Übereinstimmung mit der Erfindung umfasst auch Mittel zum Analysieren des empfangenen Benutzeridentifikators, in entweder einem strukturierten oder unstrukturierten Format und unabhängig von Identifikatorschemata, um zu bestimmen, ob alle Benutzeridentifikatorfelder, oder ein Benutzer-Name allein oder die Benutzerdomäne allein, oder eine Kombination davon für eine Auswahl eines AAA-Servers genommen wird, der für diesen Benutzer verantwortlich ist; und Mittel zum Auswählen eines AAA-Servers, der für den Benutzer verantwortlich ist, in einem Internetdienstanbieter- (ISP) Netz.
  • Der Effizienz halber umfasst der Benutzerselektorproxy ferner einen Speicher auf Einzelbenutzerbasis, oder auf der Basis einer Gruppe von Benutzern oder beiden, zum Speichern mindestens eines Identifikators für jeden mindestens einen AAA-Server, der für einen gegebenen einzelnen Benutzer oder eine Gruppe von Benutzern verantwortlich ist. Insbesondere kann dieser Speicher durch eine interne oder externe Datenbank angeboten werden, die Beziehungen zwischen Benutzeridentifikatoren und AAA-Serveridentifikatoren auf Basis pro Benutzer und/oder pro Gruppe von Benutzern umfasst.
  • Eine weitere vorteilhafte Anordnung von Benutzern kann erreicht werden, indem es einen Benutzerselektorproxy, an gepasst zum Ersetzen beliebiger der Benutzeridentifikatorfelder oder einer beliebigen Kombination davon, durch neue auf einer Einzelbenutzerbasis oder einer Basis einer Gruppe von Benutzern oder beiden oder auf einer AAA-Serverbasis gibt. Dazu können Beziehungen wie die obigen ferner neue Benutzeridentifikatorfelder enthalten, und der USP Ersatzmittel zum Ersetzen der neuen Benutzeridentifikatorfelder umfassen.
  • Zusätzlich, und der Kompatibilität halber, ist der obige Benutzerselektorproxy zum Kommunizieren mit einem AAA-Client mit einem Protokoll angepasst, das gemäß RADIUS- oder DIAMETER-Protokoll-Spezifikationen arbeitet.
  • Somit kann dieser Benutzerselektorproxy als ein Authentifizierungs-, Autorisierungs- und Abrechnungsproxy (AAA-Proxy) verwendet werden, mit dem auch Benutzer, die durch Benutzeridentifikatoren in einem Nicht-NAI-Format identifiziert werden, unter einer Vielzahl von AAA-Servern angeordnet werden.
  • Die Erfindung sieht auch ein Verfahren vor zum Vorsehen von Authentifizierungs-, Autorisierungs- und Abrechnungs- (AAA-) Diensten in einem Telekommunikationsnetz, das mit einem Internetdienstanbieter (ISP) gekoppelt ist. Dieses Verfahren umfasst die Schritte zum Empfangen einer AAA-Dienstanforderung in einem AAA-Proxy von einem AAA-Client; Extrahieren einer Benutzerdomäne aus einem empfangenen Benutzeridentifikator, der in der AAA-Dienstanforderung enthalten ist; Identifizieren in dem AAA-Proxy des AAA-Servers, der für den Benutzer verantwortlich ist in dem Internetdienstanbieter- (ISP) Netz; Vorlegen der AAA-Dienstanforderung von dem AAA-Proxy zu dem AAA-Server; Empfangen der entsprechenden AAA-Dienstantwort in dem AAA-Proxy von dem AAA-Server; und Rückgeben der AAA-Dienstantwort von dem AAA-Proxy zu dem AAA-Client, der die Anforderung ausgegeben hat. In dieser Hinsicht wird mindestens die Kommunikation zwischen dem AAA-Proxy und dem AAA- Client mit einem Protokoll ausgeführt, das gemäß RADIUS- oder DIAMETER-Protokoll-Spezifikationen arbeitet.
  • Ferner umfasst der Schritt zum Identifizieren in einem AAA-Proxy des AAA-Servers, der für einen angezeigten Benutzer verantwortlich ist, die Schritte zum Analysieren des empfangenen Benutzeridentifikators, in entweder einem strukturierten oder unstrukturierten Format, um zu bestimmen, ob alle Benutzeridentifikatorfelder oder ein Benutzer-Name allein oder die Benutzerdomäne allein oder eine beliebige Kombination davon zur Auswahl eines AAA-Servers genommen werden, der für diesen Benutzer verantwortlich ist; und Auswählen eines AAA-Servers, der für den Benutzer verantwortlich ist in einem Internetdienstanbieter- (ISP) Netz.
  • Um die Effizienz des obigen Verfahrens zu verbessern, ein vorheriger Schritt zum Speichern in dem AAA-Proxy auf Einzelbenutzerbasis oder auf Basis einer Gruppe von Benutzern oder beiden mindestens einen Identifikator für jeden mindestens einen AAA-Server, der für einen gegebenen einzelnen Benutzer oder eine Gruppe von Benutzern verantwortlich ist.
  • Das Verfahren umfasst auch den vorteilhaften Schritt zum Ersetzen in dem AAA-Proxy beliebiger der Benutzeridentifikatorfelder, oder einer beliebigen Kombination davon, durch neue auf einer Einzelbenutzerbasis oder auf einer Basis einer Gruppe von Benutzern oder beiden oder auf einer AAA-Serverbasis.
  • Die Erfindung sieht somit ein System vor, das ein Telekommunikationsnetz umfasst, das mit einem Internetdienstanbieter- (ISP) Netz über einen Netzzugangserver (NAS) gekoppelt ist, wobei der obige Benutzerselektorproxy (USP), der als ein verbesserter AAA-Proxy agiert, der Eingangspunkt zu dem ISP-Netz ist, wobei der NAS somit mit dem USP zusammenarbeitet.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Die Merkmale, Ziele und Vorteile der Erfindung werden durch Lesen dieser Beschreibung in Verbindung mit den begleitenden Zeichnungen offensichtlich, in denen:
  • 1 eine Teilansicht einer aktuellen Netzarchitektur darstellt, die zeigt, wie ein Client Internetdienstanbieter- (ISP) Netze für einen Authentifizierungs-, Autorisierungs- und Abrechnungs (AAA-) Dienst auffordert, wobei ein erstes ISP-Netz einen AAA-Server pro Domäne hat und ein zweiter ISP Domänen nicht unterscheidet;
  • 2 eine relevante Teilansicht einer Netzarchitektur gemäß der Erfindung darstellt, wo ein Client ISP-Netze für AAA-Dienste auffordert, beide ISP-Netze mit einer Vielzahl von AAA-Servern zum Anordnen von Benutzern, und mit einem Benutzerselektorproxy als Eingangspunkt zu jedem ISP-Netz;
  • 3 eine Anwendung des Benutzerselektorproxy schematisch zeigt, der mit einem AAA-Client und mit einem bestimmten AAA-Server durch Verwenden des RADIUS-Protokolls zusammenarbeitet;
  • 4 im wesentlichen einen Nachrichtenfluss für die Herstellung von Sicherheitsverbindungen zwischen einem AAA-Client und einem Benutzerselektorproxy, und zwischen dem Benutzerselektorproxy und einem bestimmten AAA-Server zeigt;
  • 5a eine beispielhafte Benutzeranordnungstabelle zeigt, die Beziehungen zwischen Benutzern, einer Gruppe von Benutzern und dem mindestens einen AAA-Server zeigt, der für jeden Benutzer oder Gruppe von Benutzern verantwortlich ist;
  • 5b, im Gegensatz dazu, die konventionelle Anordnung von Benutzern auf einer Basis pro Domäne unter mehreren AAA-Servern zeigt, wobei jeder AAA-Server für eine Benutzerdomäne verantwortlich ist
  • 6 eine Ausführungsform eines Benutzerselektorproxy zeigt, der Weiterleitungsmittel und Protokollmittel getrennt von und in Zusammenarbeit mit Verarbeitungsmitteln umfasst.
  • DETAILLIERTE BESCHREIBUNG VON BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Gewöhnlich ist ein AAA-Proxy zum Empfangen von AAA-Dienstanforderungen von einem AAA-Client angepasst. Der Begriff AAA-Client ist eine generische Form, wohingegen insbesondere ein Netzzugangserver (NAS) für ein Telekommunikationsnetz, der auf einen Internetdienstanbieter (ISP) zugreift, in der Tat ein AAA-Client sein kann. In Übereinstimmung mit 1 ist ein generischer AAA-Client (4) mit ersten und zweiten Internetdienstanbietern (ISP-1, ISP-2) zum Erteilen von Zugriff zu dem Internet (6) gekoppelt. Ein derartiger AAA-Client (4) kann ein NAS sein, der mit einem Telekommunikationsnetz mit unterschiedlichen Benutzeridentifikatoren für unterschiedliche Zwecke verbunden ist. In dieser typischen Architektur kann ein ISP (ISP-1), der Benutzeridentifikatoren in der NAI-Form behandelt, mit expliziter Angabe eines Bereichs oder einer Domäne, seine Benutzer unter mehreren AAA-Servern (1, 2) anordnen, wobei jeder AAA-Server für eine bestimmte Domäne verantwortlich ist. Ein derartiger ISP (ISP-1) kann auch einen AAA-Proxy (5) zum Bestimmen haben, welcher bestimmte AAA-Server (1, 2) für einen gegebenen Teilnehmer in einer Domäne für Authentifizierungs-, Autorisierungs- und Abrechnungsdienste verantwortlich ist. Andererseits kann ein ISP (ISP-2), der Benutzeridentifikatoren in einem anderen Format als der NAI-Form behandelt, entweder strukturiert oder unstrukturiert, keinerlei Vorteil aus einer Zwischenstellung eines derartigen AAA-Proxy zum Zugreifen auf seinen eindeutigen AAA-Server (3) ziehen. Darum ist der AAA-Proxy typischerweise in einem ISP-Netz enthalten, wo eine Vielzahl von AAA-Servern existiert, wobei jeder AAA-Server für eine gewisse Domäne verantwortlich ist, an Stelle davon, ein Teil des Telekommunikationsnetzes oder ein Teil eines Zugangsnetzes zu sein. Außerdem ist ein derartiger AAA-Proxy (5) somit in der Lage, die interne ISP- (ISP-1) Topologie vor seinen zusammenarbeitenden AAA-Clients zu verbergen.
  • Das Folgende beschreibt gegenwärtig bevorzugte Ausführungsformen von Mitteln, Verfahren und System zum Erlauben einer ausgeglichenen Anordnung von Benutzern unter einer Vielzahl von AAA-Servern unabhängig von Benutzeridentifikatorschemata, Strukturen und anwendbarem Dienst. In Übereinstimmung mit einem Aspekt der vorliegenden Erfindung ist ein Benutzerselektorproxy (hierin nachstehend als USP bezeichnet) vorgesehen zum Agieren als ein aufgerüsteter AAA-Proxy und somit Empfangen von AAA-Dienstanforderungen von einem AAA-Client, der einen ISP mit einer Vielzahl von AAA-Servern adressiert, die für ausgeglichene Anordnungen von Benutzern verantwortlich sind.
  • Wie in 2 gezeigt, umfasst der Internetdienstanbieter (ISP-1, ISP-2) eine Vielzahl von AAA-Servern (11, 12, 13, 21, 22, 23) derart, dass sie durch einen USP (10, 20) adressiert werden, der wiederum mit einem AAA-Client (4) verbunden ist. D.h. jeder Internetdienstanbieter (ISP-1) (ISP-2) hat seine Benutzer unter einer Vielzahl von AAA-Servern (11, 12, 13) (21, 22, 23) in seinem eigenen ISP-Netz angeordnet, wobei somit der USP von jedem ISP-Netz zum Analysieren der Benutzeridentifikatoren verantwortlich ist, die in den Dienstanforderungen enthalten sind, die von dem AAA-Client (4) empfangen werden.
  • Deshalb umfasst der USP (10, 20) Verarbeitungsmittel, um alle Benutzeridentifikatorfelder oder einen Benutzer-Namen allein oder die Benutzerdomäne allein oder eine Kombination davon zu analysieren, um die Weiterleitung der AAA-Dienstanforderung, die von einem AAA-Client empfangen wird, zu einem spezifischen AAA-Server durchzuführen, der für den entsprechenden Benutzer verantwortlich ist.
  • Zusätzlich zu den obigen Verarbeitungsmitteln ist der USP auch mit einer internen Datenbankstruktur, oder allgemeiner gesagt, einem Speicher zum Speichern von mindestens einem Identifikator für jeden mindestens einen AAA-Server versehen, der für einen gegebenen einzelnen Benutzer oder eine Gruppe von Benutzern verantwortlich ist. Dies stellt sicher, dass mindestens ein AAA-Server für einen bestimmten Teilnehmer oder eine Gruppe von Teilnehmern verantwortlich sein kann.
  • Außerdem könnte in Übereinstimmung mit einem anderen Aspekt der vorliegenden Erfindung mehr als ein AAA-Server einem beliebigen bestimmten Benutzer für Redundanz oder Lastaufteilungszwecke zugewiesen sein, was zusätzliche und unerwartete Vorteile gegenüber klassischen ISP-Netzen bietet. Es kann ein AAA-Server unter einer Vielzahl von möglichen AAA-Servern ausgewählt werden, abhängig z.B. von einem Verfügbarkeitsstatus, einem Lastaufteilungsstatus, einem zusätzlichen Prioritätsfeld, durch sequenzielle Kommunikationen oder andere Auswahlkriterien.
  • In Übereinstimmung mit noch einem anderen Aspekt der vorliegenden Erfindung wird im Fall, dass kein bestimmter AAA-Server für einen Benutzer oder eine Gruppe von Benutzern bestimmt werden kann, die AAA-Dienstanforderung sanft verworfen, um Angriffe von Dienstverweigerung (DOS, Denial Of Service) auszuschließen. Dies bietet auch einen unerwarteten vorteilhaften Schutz für das ISP-Netz.
  • In dieser Hinsicht zeigen 5a bzw. 5b die logische Beziehung und andere Daten, die der USP gemäß der Erfindung und ein traditioneller AAA-Proxy umfassen. Als Vergleich umfasst ein Speicher (51), der in dem USP (10, 20) enthalten ist, relevante AAA-Serverdaten für mindestens einen AAA-Server, der für spezifische Benutzer oder eine Gruppe von Benutzern verantwortlich ist, wohingegen ein klassischer AAA-Proxy lediglich die AAA-Serveradressen in Domänenprämissen speichert (52). Ferner umfasst der Speicher (51), der in dem USP enthalten ist, auch modifizierte Attribute, wie etwa einen neuen Bereich oder einen neuen Benutzer-Namen oder neue Benutzeridentifikatorfelder oder Kombinationen davon zum Ersetzen der empfangenen. Derartige Modifikationsdaten treffen auch pro einzelnem Benutzer ebenso wie pro Gruppe von Benutzern zu.
  • Genauer wird eine Ausführungsform der vorliegenden Erfindung in 5a veranschaulicht, wo eine mögliche Benutzeranordnungstabelle (51) in einem USP präsentiert wird. Der interessierte Leser kann in dieser Tabelle erkennen, dass unterschiedliche Benutzer von unterschiedlichen Domänen (Bereich.Nummer) vorhanden sind, wobei einige von ihnen gruppiert sind (Gr-Nummer), wohingegen andere auf individueller Basis verbleiben. Wo Benutzer von unterschiedlichen Domänen gruppiert sind, ist somit der mindestens eine AAA-Server, der für alle Benutzer in einer Gruppe verantwortlich ist, auf einer Gruppenbasis an Stelle von einer individuellen Basis markiert. Andererseits sind Benutzer, die nicht gruppiert sind, einzeln mindestens einem AAA-Server zugewiesen, der für jeden Benutzer verantwortlich ist auf einer individuellen Basis. Außerdem kann jedem bestimmten Benutzer ein neuer Benutzer-Name oder ein neuer Bereich zum Ersetzen des empfangenen gegeben werden, bevor die AAA-Dienstanforderung zu dem geeigneten AAA-Server gelenkt wird. Sowohl Benutzern als auch Grup pen kann des weiteren ebenso ein neuer Bereich zum Ersetzen des empfangenen gegeben werden.
  • Diese und andere beispielhafte Anordnungen können zum Erlauben einer ausgeglichenen Anordnung von Benutzern unter einer Vielzahl von AAA-Servern abhängig von unterschiedlichen Kriterien unter Prämissen des Internetdienstanbieters als Beispiel angeführt werden. Von einem Durchschnittsfachmann wird erwartet, andere Ausführungsformen vorzuschlagen, die sich von dem obigen Ansatz nicht wesentlich unterscheiden und somit in dem Bereich der vorliegenden Erfindung beinhaltet sind.
  • Der in 2 gezeigte USP (10, 20) empfängt somit den Verkehr, der von der Seite des AAA-Clients (4) generiert wird und lenkt ihn zu dem entsprechenden AAA-Server (11, 12, 13) (21, 22, 23), der für den gegebenen Teilnehmer aktiv ist und zu dem anwendbaren Internetdienstanbieter (ISP-1) (ISP-2) gehört.
  • Deshalb empfängt ein bestimmter USP (10, 20), wie in 6 gezeigt, eine beliebige AAA-Dienstanforderung von einem AAA-Client für einen angezeigten Benutzer durch Protokollmittel (50). Dann extrahiert das Verarbeitungsmittel (53) alle relevanten Benutzeridentifikatorfelder, die in Zusammenarbeit mit dem internen Datenbankspeicher (51) analysiert werden, um zuerst zu bestimmen, ob ein beliebiges bestimmtes Benutzeridentifikatorfeld, oder Kombinationen davon, durch gegebene neue Benutzeridentifikatorfelder für den angezeigten Benutzer ersetzt werden müssen oder nicht. Und zweitens bestimmt das Verarbeitungsmittel (53) wahrscheinlich in Zusammenarbeit mit dem Weiterleitungsmittel (54) eine Adresse eines bevorzugten mindestens einen AAA-Servers, der für den Benutzer verantwortlich ist, wo die AAA-Dienstanforderung hin gelenkt wird. Ein interessierter Leser kann erkennen, dass das Weiterlei tungsmittel als ein Teil des Verarbeitungsmittels enthalten sein kann, ohne das erwartete technische Verhalten wesentlich zu ändern.
  • Z.B. kann in einem Telekommunikationsnetz, wie einem GPRS-Netz, ein Netzzugangserver (NAS) zum Zugreifen auf ein ISP-Netz verwendet werden, was dem GPRS-Benutzern Zugang zu dem Internet-Netz gibt. Ein derartiger NAS agiert dann als ein AAA-Client, der AAA-Dienstanforderungen zu einem Benutzerselektorproxy (USP) in Übereinstimmung mit der Erfindung ausgibt. Die Kommunikation zwischen dem USP und dem NAS kann mit einem Protokoll ausgeführt werden, wie z.B. RADIUS oder DIAMETER, wobei ein Benutzer durch seine oder ihre MSISDN identifiziert wird.
  • Das in 3 gezeigte Sequenzdiagramm ist ein veranschaulichendes Beispiel des Verfahrens zum Anfordern eines AAA-Dienstes, wo das verwendete Protokoll RADIUS ist. Der NAS gibt eine RADIUS-Zugangsanforderung, die den Benutzeridentifikator enthält, zu dem Benutzerselektorproxy aus. Eine derartige Anforderung wird letztlich durch das Verarbeitungsmittel (53) behandelt, das in dieser bevorzugten Ausführungsform das Protokollmittel (50) und das Weiterleitungsmittel (54) umfasst, die in 6 als getrennte logische Entitäten bezeichnet sind. Das Verarbeitungsmittel (53) befragt (S-31) eine interne Datenbank (51) in dem Benutzerselektorproxy, um eine Adresse zum Lenken der RADIUS-Zugangsanforderung zu dem geeigneten AAA-Server zu erhalten, der für diesen Benutzer verantwortlich ist. Die interne Datenbank antwortet (S-32) dem Verarbeitungsmittel mit einer derartigen AAA-Serveradresse, und optional einem neuen Benutzeridentifikator (Benutzeridentifikator bis). Schließlich leitet das Verarbeitungsmittel die empfangene RADIUS-Zugangsanforderung mit dem anwendbaren Benutzeridentifikator zu dem AAA-Server.
  • Vorausgesetzt, dass eine Ausführungsform des USP, wie in 6 veranschaulicht, für eine Verwendung in dem vorangehenden Fall bevorzugt wird, wird die RADIUS-Zugangsanforderung in dem Verarbeitungsmittel über Protokollmittel (50) empfangen. Ferner wird die Adresse eines geeigneten AAA-Servers, zurückgegeben (S-32) von der internen Datenbank (51), durch das Verarbeitungsmittel wahrscheinlich in Zusammenarbeit mit dem Weiterleitungsmittel (54) bestimmt. Schließlich wird die RADIUS-Zugangsanforderung von dem Verarbeitungsmittel (53) über Protokollmittel (50) zu dem AAA-Server gerichtet.
  • Es sollte vermerkt werden, dass die Verkehrsflüsse zwischen dem AAA-Client (4) und dem Benutzerselektorproxy (10, 20) unabhängig von den Verkehrsflüssen zwischen dem Benutzerselektorproxy (10, 20) und den AAA-Servern (11, 12, 13) (21, 22, 23) sind. Folglich stellt der AAA-Client (4), falls erforderlich, Sicherheitsbeziehungen oder Sicherheitsverbindungen mit dem Benutzerselektorproxy (10, 20) her, wobei somit die Existenz der AAA-Server (11, 12, 13) (21, 22, 23) in einem bestimmten ISP-Netz (ISP-1, ISP-2) aus Sicht einer Sicherheitsverbindung vollständig verborgen wird.
  • In dieser Hinsicht zeigt 4 eine Sicherheitsverbindungsherstellung in Übereinstimmung mit einem Aspekt der Erfindung. Ein AAA-Client, der insbesondere ein Netzzugangserver (NAS) zum Zugreifen zu oder von einem Telekommunikationsnetz sein kann, gibt eine Sicherheitsverbindungsanforderung, die einen Benutzeridentifikator enthält, zu dem Benutzerselektorproxy aus. Eine derartige Anforderung wird durch das Verarbeitungsmittel (53), das das Protokollmittel (50) enthalten kann, und das Weiterleitungsmittel (54), veranschaulicht in 6, behandelt, oder kann einer alternativen Ausführungsform folgen, wie in 3 erläutert, obwohl nicht weiter dargestellt. Das AAA-Proxymittel befragt (S-41) eine interne Datenbank in dem Benutzerselektorproxy, um eine Adresse zum Lenken der Sicherheitsverbindungsanforderung zu dem geeigneten AAA-Server zu erhalten, der für diesen Benutzer verantwortlich ist. Die interne Datenbank antwortet (S-42) dem AAA-Proxymittel mit der AAA-Serveradresse, und der AAA-Proxy leitet die empfangene Sicherheitsverbindungsanforderung zu dem AAA-Server weiter.
  • Die Erfindung wird oben in Verbindung mit verschiedenen Ausführungsformen auf eine nicht einschränkende Art und Weise, sondern lediglich veranschaulichend beschrieben. Ein Durchschnittsfachmann kann diese Ausführungsformen modifizieren, ohne wesentlich von dem Bereich abzuweichen, der durch die folgenden Ansprüche definiert wird.

Claims (16)

  1. Benutzer-Selektor-Proxy (10,20) mit einer Einrichtung (50) zum Empfangen von Authentifizierungs-, Autorisierungs- und Abrechnungs- (AAA-) Service-Anforderungen von einem AAA-Client (4), einer Einrichtung zum Extrahieren einer Benutzerdomäne aus einem empfangenen Benutzer-Identifikator für einen Benutzer, einer Einrichtung (52) zum identifizieren eines für den Benutzer zuständigen AAA-Server (1, 2, 3) in einem Internet Service Provider- (ISP-1-, ISP-2-) Netzwerk, einer Einrichtung (50) zum Vorlegen der AAA-Service-Anforderung beim AAA-Server, einer Einrichtung (50) zum Empfangen der entsprechenden AAA-Service-Antwort von dem AAA-Server, und einer Einrichtung (50) zum Rücksenden der AAA-Service-Antwort an den AAA-Client, der die Anforderung ausgegeben hat, wobei der Benutzer-Selektor-Proxy dadurch gekennzeichnet ist, dass die Einrichtung zum Identifizieren eines für den Benutzer zuständigen AAA-Server aufweist: (a) eine Verarbeitungseinrichtung (53, 51) zum Analysieren des empfangenen Benutzer-Identifikators entweder In strukturiertem oder unstrukturiertem Format, um zu bestimmen, welche Felder von den Benutzer-Identifikator-Feldern allein oder In Kombination als Selektionskriterium zum Selektieren eines für diesen Benutzer zuständigen AAA-Server verwendet werden; und (b) eine Selektionseinrichtung (51; 54) zum Selektieren des für den Benutzer zuständigen AAA-Server (11; 12; 13; 21; 22; 23) anhand des Selektionskriteriums in einem Internet-Service-Provider- (ISP-I-; ISP-2-) Netzwerk.
  2. Benutzer-Selektor-Proxy (10; 20) nach Anspruch 1, ferner mit einem Speicher (51) auf Einzelbenutzer-Basis oder auf Benutzergruppen-Basis oder für beides zum Speichern mindestens eines Identifikators für jeden des mindestens einen für einen vorgegebenen Einzelbenutzer oder eine vorgegebene Benutzergruppe (Gr-1) zuständigen AAA-Server (AAA-s3, AAA-s4).
  3. Benutzer-Selektor-Proxy (10; 20) nach einem der Ansprüche 1 oder 2, ferner mit einer Einrichtung (51, 53) zum Ersetzen eines beliebigen der Benutzer-Identifikator-Felder oder einer beliebigen Kombination daraus durch neue Felder auf Einzelbenutzer-Basis oder auf Benutzergruppen-Basis oder für beides oder auf AAA-Server-Basis.
  4. Benutzer-Selektor-Proxy (10; 20) nach einem der Ansprüche 1 bis 3, bei dem es sich bei dem für die Kommunikation zwischen dem Benutzer-Selektor-Proxy und dem AAA-Client (4) verwendeten Protokoll um RADIUS handelt.
  5. Benutzer-Selektor-Proxy (10; 20) nach einem der Ansprüche 1 bis 3, bei dem es sich bei dem für die Kommunikation zwischen dem Benutzer-Selektor-Proxy und dem AAA-Client (4) verwendeten Protokoll um DIAMETER handelt.
  6. Benutzer-Selektor-Proxy (10; 20) nach einem der Ansprüche 1 bis 3, ferner mit einer Einrichtung (Security Association-Anforderung, Security Association-Antwort) zum Herstellen von Sicherheitsbeziehungen mit dem AAA-Client (4).
  7. Verwendung des Benutzer-Selektor-Proxy (10; 20) nach einem der vorhergehenden Ansprüche als Authentifizierungs-, Autorisierungs- und Abrechnungs-Proxy (AAA-Proxy).
  8. System mit einem über einen Netzwerkzugriffs-Server (4) mit einem Internet-Service-Provider- (ISP-1-; ISP-2-) Netzwerk gekoppelten Telekommunikationsnetzwerk, wobei das System dadurch gekennzeichnet ist, dass der Netzwerkzugriffs-Server (4) eine Einrichtung (Security Association-Anforderung, Security Association-Antwort) zum Herstellen von Sicherheitsbeziehungen mit dem AAA-Proxy (10; 20) nach Anspruch 7 aufweist, wobei der AAA-Proxy die Eingangsstelle zu dem Internet-Service-Provider- (ISP-1-; ISP-2-) Netzwerk ist.
  9. Verfahren zum Bereitstellen von Authentifizierungs-, Autorislerungs- und Abrechnungs- (AAA-) Services In einem mit einem Internet-Service-Provider- (ISP-1-; ISP-2-) Netzwerk gekoppelten Telekommunikationsnetzwerk, wobei das Verfahren folgende Schritte umfasst: (a) Empfangen einer AAA-Service-Anforderung (RADIUS-Zugriffsanforderung) von einem AAA-Client (4) für einen Benutzer an einem AAA-Proxy (10; 20); (b) Extrahieren einer Benutzerdomäne aus einem empfangenen Benutzer-Identifikator (Benutzer-Identifikator), der in der AAA-Service-Anforderung enthaften ist; (c) Identifizieren des für den Benutzer zuständigen AAA-Server (1; 2; 3) in dem Internet-Service-Provider- (ISP-1-; ISP-2-) Netzwerk an dem AAA-Proxy; (d) Vorlegen der AAA-Service-Anforderung (RADIUS-Zugriffsanforderung) von dem AAA-Proxy beim AAA-Server; (e) Empfangen der entsprechenden AAA-Service-Antwort (RADIUS-Zugriffsakzeptierung) von dem AAA-Server an dem AAA-Proxy; und (f) Rücksenden der AAA-Service-Antwort (RADIUS-Zugriffsakzeptierung) von dem AAA-Proxy zu dem AAA-Client, der die Anforderung ausgegeben hat, wobei das Verfahren dadurch gekennzeichnet ist, dass der Schritt c) folgende Schritte umfasst: (c1) Analysieren (53, S-31, 51) des empfangenen Benutzer-Identifikators entweder in strukturiertem oder unstrukturiertem Format, um zu bestimmen, welche Felder von den Benutzer-Identitikator-Feldern allein oder in Kombination als Selektionskriterium zum Selektieren eines für diesen Benutzer zuständigen AAA-Server verwendet werden; und (c2) Selektieren (53, 54, 51) mindestens eines für den Benutzer zuständigen AAA-Server (11; 12; 13; 21; 22; 23) anhand des Selektionskriteriums in einem Internet-Service-Provider- (ISP-) Netzwerk.
  10. Verfahren nach Anspruch 9, mit einem vorhergehenden Schritt des Speicherns (51) mindestens eines Identifikators für jeden des mindestens einen für einen vorgegebenen Einzelbenutzer oder eine vorgegebene Benutzergruppe zuständigen AAA-Server an dem AAA-Proxy auf Einzelbenutzer-Basis oder Benutzergruppen-Basis oder für beides.
  11. Verfahren nach einem der Ansprüche 9 oder 10, ferner mit dem Schritt des Ersetzens an dem AAA-Proxy (51) eines beliebigen der Benutzer-Identifikator-Felder oder einer beliebigen Kombination daraus durch neue Felder auf Einzelbenutzer-Basis oder auf Benutzergruppen-Basis oder für beides oder auf AAA-Server-Basis.
  12. Verfahren nach einem der Ansprüche 9 bis 11, bei dem es sich bei dem für die Kommunikation zwischen dem AAA-Proxy und dem AAA-Client verwendeten Protokoll um RADIUS handelt.
  13. Verfahren nach einem der Ansprüche 9 bis 11, bei dem es sich bei dem für die Kommunikation zwischen dem AAA-Proxy und dem AAA-Client verwendeten Protokoll um DIAMETER handelt.
  14. Verfahren nach einem der Ansprüche 9 bis 13, bei dem der Benutzer-Selektor-Proxy nach Anspruch 6 die Eingangsstelle zu dem Internet-Service-Provider- (ISP-) Netzwerk ist.
  15. Verfahren nach einem der Ansprüche 9 bis 14, bei dem ein verfügbarer AAA-Server (11; 12; 13; 21; 22; 23) gemäß dem Verfügbarkeitsstatus oder anderer Selektionskriterien aus mehreren für einen Benutzer zuständigen AAA-Servern selektiert wird.
  16. Verfahren nach einem der Ansprüche 9 bis 15, ferner mit einem Schritt des Herstellens von Sicherheitsbeziehungen zwischen dem AAA-Client (4) und dem AAA-Proxy (10; 20).
DE60207984T 2002-04-22 2002-04-22 Bedienerauswählender Server, Methode und System für die Beglaubigung, Ermächtigung und Buchhaltung Expired - Lifetime DE60207984T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP02076564A EP1357720B1 (de) 2002-04-22 2002-04-22 Bedienerauswählender Server, Methode und System für die Beglaubigung, Ermächtigung und Buchhaltung

Publications (2)

Publication Number Publication Date
DE60207984D1 DE60207984D1 (de) 2006-01-19
DE60207984T2 true DE60207984T2 (de) 2006-07-13

Family

ID=28685956

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60207984T Expired - Lifetime DE60207984T2 (de) 2002-04-22 2002-04-22 Bedienerauswählender Server, Methode und System für die Beglaubigung, Ermächtigung und Buchhaltung

Country Status (5)

Country Link
US (1) US7296078B2 (de)
EP (1) EP1357720B1 (de)
AT (1) ATE313201T1 (de)
DE (1) DE60207984T2 (de)
ES (1) ES2250581T3 (de)

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7103659B2 (en) * 2002-04-09 2006-09-05 Cisco Technology, Inc. System and method for monitoring information in a network environment
EP1370040B1 (de) * 2002-06-04 2005-03-02 Alcatel Eine Methode, ein Netzwerkszugangsserver, ein Authentifizierungs-, Berechtigungs- und Abrechnungsserver, ein Computerprogram mit Proxyfunktion für Benutzer-Authentifizierung, Berechtigung und Abrechnungsmeldungen über einen Netzwerkszugangsserver
US7451209B1 (en) * 2003-10-22 2008-11-11 Cisco Technology, Inc. Improving reliability and availability of a load balanced server
US7421695B2 (en) * 2003-11-12 2008-09-02 Cisco Tech Inc System and methodology for adaptive load balancing with behavior modification hints
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
CN1272943C (zh) 2004-03-24 2006-08-30 华为技术有限公司 一种组播业务的实现方法
CN1283062C (zh) * 2004-06-24 2006-11-01 华为技术有限公司 无线局域网用户实现接入认证的方法
JP2006011989A (ja) * 2004-06-28 2006-01-12 Ntt Docomo Inc 認証方法、端末装置、中継装置及び認証サーバ
US7170982B2 (en) * 2004-08-26 2007-01-30 Lucent Technologies Inc. Call authorization and billing message routing capability
JP2006079213A (ja) * 2004-09-07 2006-03-23 Ntt Docomo Inc 中継装置、認証サーバ及び認証方法
EP1846832B1 (de) 2004-12-17 2012-04-11 Tekelec Verfahren, Systeme und Computerprogrammprodukte zum Clustern und Kommunizieren zwischen Entitäten des Internet-Protokoll-Multimediasubsystems (IMS)
DE102005027242A1 (de) * 2005-06-13 2006-12-14 Vodafone Holding Gmbh Verfahren zur Vergebührung von Datenverkehr in einem Funk-Kommunikationssytem, Netzübergang-Netzknoten, Vergebührungsserver und Vergebührungssystem
US20070011448A1 (en) * 2005-07-06 2007-01-11 Microsoft Corporation Using non 5-tuple information with IPSec
US8559350B2 (en) 2005-12-20 2013-10-15 Microsoft Corporation Mechanism to convey discovery information in a wireless network
US7924780B2 (en) 2006-04-12 2011-04-12 Fon Wireless Limited System and method for linking existing Wi-Fi access points into a single unified network
US9826102B2 (en) 2006-04-12 2017-11-21 Fon Wireless Limited Linking existing Wi-Fi access points into unified network for VoIP
CN101102265B (zh) * 2006-07-06 2010-05-12 华为技术有限公司 用于多业务接入的控制和承载分离系统和实现方法
US8155128B2 (en) * 2007-09-26 2012-04-10 Alcatel Lucent Method and apparatus for establishing and managing diameter associations
ES2744824T3 (es) 2007-12-01 2020-02-26 Nokia America Corp Encaminador de Diameter de IMS con equilibrio de carga
JP2010061261A (ja) * 2008-09-02 2010-03-18 Fujitsu Ltd 認証システムおよび認証方法
US20110302643A1 (en) * 2009-03-31 2011-12-08 Nokia Siemens Networks Oy Mechanism for authentication and authorization for network and service access
US20110113146A1 (en) * 2009-11-10 2011-05-12 Li Gordon Yong Dynamic quality of service (qos) setup over wired and wireless networks
US8615237B2 (en) * 2010-01-04 2013-12-24 Tekelec, Inc. Methods, systems, and computer readable media for policy and charging rules function (PCRF) node selection
CN102195851A (zh) 2010-03-09 2011-09-21 华为技术有限公司 负载分担方法、系统和接入服务器
US9094819B2 (en) 2010-06-06 2015-07-28 Tekelec, Inc. Methods, systems, and computer readable media for obscuring diameter node information in a communication network
RU2446457C1 (ru) * 2010-12-30 2012-03-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ для удаленного администрирования персональных компьютеров в рамках сети
US8910300B2 (en) 2010-12-30 2014-12-09 Fon Wireless Limited Secure tunneling platform system and method
JP5950943B2 (ja) 2011-02-04 2016-07-13 テケレック・インコーポレイテッドTekelec, Inc. Diameterバインディングリポジトリを供給する方法、システム及びコンピュータ読取り可能媒体
US8825060B2 (en) 2011-03-01 2014-09-02 Tekelec, Inc. Methods, systems, and computer readable media for dynamically learning diameter binding information
EP2681939B1 (de) 2011-03-01 2016-09-14 Tekelec, Inc. Verfahren, systeme und computerlesbare medien zur bereitstellung von diameter-bindungsdaten
CN103477661B (zh) 2011-03-01 2016-10-05 泰科来股份有限公司 用于基于混合会话的Diameter路由的方法、系统和计算机可读介质
JP5732550B2 (ja) 2011-03-03 2015-06-10 テケレック・インコーポレイテッドTekelec, Inc. ダイアメータシグナリングメッセージを強化するための方法、システム、およびコンピュータ可読媒体
US9172822B2 (en) 2011-05-06 2015-10-27 Tekelec, Inc. Methods, systems, and computer readable media for providing a user record deletion notification
US9264432B1 (en) 2011-09-22 2016-02-16 F5 Networks, Inc. Automatic proxy device configuration
US9319378B2 (en) 2013-01-23 2016-04-19 Tekelec, Inc. Methods, systems, and computer readable media for using a diameter routing agent (DRA) to obtain mappings between mobile subscriber identification information and dynamically assigned internet protocol (IP) addresses and for making the mappings accessible to applications
US9516102B2 (en) * 2013-03-07 2016-12-06 F5 Networks, Inc. Server to client reverse persistence
US9521032B1 (en) * 2013-03-14 2016-12-13 Amazon Technologies, Inc. Server for authentication, authorization, and accounting
US10951519B2 (en) 2015-06-17 2021-03-16 Oracle International Corporation Methods, systems, and computer readable media for multi-protocol stateful routing
US10554661B2 (en) 2015-08-14 2020-02-04 Oracle International Corporation Methods, systems, and computer readable media for providing access network session correlation for policy control
US10084755B2 (en) 2015-08-14 2018-09-25 Oracle International Corporation Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) proxy and diameter agent address resolution
US9668134B2 (en) 2015-08-14 2017-05-30 Oracle International Corporation Methods, systems, and computer readable media for providing access network protocol interworking and authentication proxying
US9923984B2 (en) 2015-10-30 2018-03-20 Oracle International Corporation Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation
US9668135B2 (en) 2015-08-14 2017-05-30 Oracle International Corporation Methods, systems, and computer readable media for providing access network signaling protocol interworking for user authentication
US11102188B2 (en) * 2016-02-01 2021-08-24 Red Hat, Inc. Multi-tenant enterprise application management
CN112399359B (zh) 2016-12-15 2022-04-08 华为技术有限公司 信息传输方法、网元选择器及控制器
CN113657960B (zh) * 2020-08-28 2024-09-13 支付宝(杭州)信息技术有限公司 一种基于可信资产数据的匹配方法、装置及设备
US11283883B1 (en) 2020-11-09 2022-03-22 Oracle International Corporation Methods, systems, and computer readable media for providing optimized binding support function (BSF) packet data unit (PDU) session binding discovery responses
CN117692255B (zh) * 2024-02-02 2024-04-30 北京首信科技股份有限公司 动态扩展aaa服务的方法、装置及电子设备

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6128379A (en) * 1997-12-03 2000-10-03 Telcordia Technologies, Inc. Intelligent data peripheral systems and methods
US6470453B1 (en) * 1998-09-17 2002-10-22 Cisco Technology, Inc. Validating connections to a network system
US6298383B1 (en) * 1999-01-04 2001-10-02 Cisco Technology, Inc. Integration of authentication authorization and accounting service and proxy service
AU1340401A (en) * 1999-10-22 2001-05-08 Nomadix, Inc. Systems and methods for redirecting users attempting to access a network site
FR2820263B1 (fr) * 2001-01-31 2003-04-18 France Telecom Procede et serveur d'acces a un reseau numerique, et systeme l'incorporant

Also Published As

Publication number Publication date
EP1357720A1 (de) 2003-10-29
ATE313201T1 (de) 2005-12-15
US20030217285A1 (en) 2003-11-20
EP1357720B1 (de) 2005-12-14
US7296078B2 (en) 2007-11-13
DE60207984D1 (de) 2006-01-19
ES2250581T3 (es) 2006-04-16

Similar Documents

Publication Publication Date Title
DE60207984T2 (de) Bedienerauswählender Server, Methode und System für die Beglaubigung, Ermächtigung und Buchhaltung
DE602004008974T2 (de) Server und verfahren zur steuerung der verwaltung von gruppen
DE19882235B4 (de) Verwendung von Web-Technologie für Teilnehmerverwaltungsaktivitäten
DE60320028T2 (de) Single Sign-On (SSO) für Benutzer von Paketfunknetz-Roaming in einem Multinationalen Betreibernetz
DE60221673T2 (de) Verfahren und System zur Vereinfachung des Zugriffs auf ein Email-Konto über ein Mobilfunknetz
DE69735571T2 (de) Netzunabhängige Verbindungsverwaltung
DE602005000225T2 (de) Leitweglenkung von Wahlberechtigung und Vergebührungsnachrichten
DE69732982T2 (de) Automatische konfigurierung eines internetzugriffsgeräts
DE69735450T2 (de) Verfahren zum Errichten einer Verbindung über ein Rechnernetzwerk
DE69836271T2 (de) Mehrstufiges firewall-system
DE60302994T2 (de) Multicast Router mit Übersetzungsfunktion von Protokollen gemäß Any-Source-Multicast und Source-Specific-Multicast
DE60100671T2 (de) Verfahren zum Verteilen von Diensten und Verfahren zum Konfigurieren von einem Netzelementen in einem Kommunikationsnetzwerk
DE60203099T2 (de) Eine Methode, ein Netzwerkszugangsserver, ein Authentifizierungs-, Berechtigungs- und Abrechnungsserver, ein Computerprogram mit Proxyfunktion für Benutzer-Authentifizierung, Berechtigung und Abrechnungsmeldungen über einen Netzwerkszugangsserver
DE602005005131T2 (de) Nutzungsberechtigung für Dienste in einem drahtlosen Kommunikationsnetzwerk
DE10392283T5 (de) System, Verfahren und Vorrichtung für verbündete einzelne Dienstleistungen mit Anmeldeverfahren beziehungsweise Sign-On-Dienstleistungen
DE10311074A1 (de) Verfahren und Anordnungen in einem Telekommunikationsnetz
DE60318847T2 (de) Echtzeit-Nachrichtenaustausch in kooperativen Netzwerkumgebungen
DE60205501T2 (de) Verwaltung von informationen über subskriptionen der dienstleistungen von dritten
DE69937350T2 (de) Auswahl der dienstimplementierung
WO2007025905A1 (de) Kommunikationssystem, vermittlungsknoten-rechner und verfahren zur bestimmung eines kontrollknotens
EP1126660B1 (de) Verfahren zur Uebermittlung einer Nachricht sowie Gateway
DE60313814T2 (de) Vorrichtung zum verhandeln von managementaufgaben
DE60300787T2 (de) Bereitstellung von Diensten entfernten Terminal mit einem entfernten Endgerät
DE60201688T2 (de) Verfahren und System zur Dienstbereitstellung
DE102008060220A1 (de) Verfahren und System zum Betreiben einer Kennungsverwaltung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition