專(zhuān)利名稱(chēng):鑒權(quán)協(xié)議轉(zhuǎn)換方法
鑒權(quán)協(xié)議轉(zhuǎn)換方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種在鑒權(quán)階段將遵照第一鑒權(quán)協(xié)議的消息轉(zhuǎn)換為遵照第二鑒權(quán)協(xié)議的消息的方法,在該鑒權(quán)階段�����,具有身份并試圖訪問(wèn)網(wǎng)絡(luò)資源的對(duì)等體連接到鑒權(quán)方�����,其中基于對(duì)等體連接到鑒權(quán)方��,其中基于對(duì)等身份和權(quán)限驗(yàn)證的所述的鑒權(quán)方通過(guò)基于鑒權(quán)在遵照第二鑒權(quán)協(xié)議的消息中接收的數(shù)據(jù)的鑒權(quán)服務(wù)器來(lái)實(shí)現(xiàn)授權(quán)訪問(wèn)網(wǎng)絡(luò)��。
本發(fā)明的領(lǐng)域電信和網(wǎng)絡(luò)領(lǐng)域��。
眾所周知���,希望訪問(wèn)IP網(wǎng)絡(luò)并從因特網(wǎng)服務(wù)提供商(ISP)訂購(gòu)訪問(wèn)服務(wù)的 用戶(hù)必須預(yù)先被ISP鑒權(quán)。例如通過(guò)口令的使用��,鑒權(quán)檢查被識(shí)別的一方是的確享 有權(quán)限的一方�。這使F話^i正他們有權(quán)限訪問(wèn)物理資源。
由機(jī)器和用戶(hù)構(gòu)成的客戶(hù)端由鑒權(quán)服務(wù)器鑒權(quán),該鑒權(quán)服務(wù)器基于鑒權(quán) 協(xié)議在對(duì)話期間獲得客戶(hù)端鑒權(quán)數(shù)據(jù)����。
最廣泛使用并且網(wǎng)絡(luò)設(shè)備安裝者最廣泛安裝的協(xié)議是RADIUS (遠(yuǎn)程鑒權(quán)拔入 用戶(hù)服務(wù))協(xié)議與PPP (點(diǎn)對(duì)點(diǎn)協(xié)議),兩個(gè)協(xié)議都是來(lái)自IETF (因特網(wǎng)工程任務(wù) 組)(參見(jiàn)http://www.ietf.org/rfc.rfc2865.txt和http://www.ietf.org/rfc.rfc1661.txt)�����。支持RADIUS協(xié)議的鑒權(quán)服務(wù)器被稱(chēng)為 RADIUS服務(wù)器�����。
PPP支持多種鑒權(quán)方法�����,例如����,并且不完全的,來(lái)自IETF (參見(jiàn)http://www.ietf.org/rfc/rfc1994.txt)的PPP CHAP (點(diǎn)對(duì)點(diǎn)協(xié)議詢(xún)問(wèn)握手鑒權(quán)協(xié)議)方法及也來(lái)自IETF(參見(jiàn)http://www.ietf.org/rfc/rfc3748.txt)的PPP EAP (點(diǎn)對(duì)點(diǎn)擴(kuò)展鑒權(quán)協(xié)議)方法����。
通過(guò)向客戶(hù)端發(fā)送包含由隨4W直構(gòu)成的詢(xún)問(wèn)的PPP CHAP請(qǐng)求,PPP CHAP方法 周期性地驗(yàn)證客戶(hù)端的身份����?���?蛻?hù)端發(fā)送一個(gè)由包含詢(xún)問(wèn)的數(shù)據(jù)和客戶(hù)掌握的密碼 來(lái)計(jì)算的值作為響應(yīng)��,由此�,通過(guò)從相目同的數(shù)據(jù)計(jì)算的值使RADIUS月良務(wù)器能夠檢查 客戶(hù)端的身份。密碼是用戶(hù)特有的并且RADIUS服務(wù)器也知道的口令�����。
EAP鑒權(quán)試圖與接入網(wǎng)絡(luò)相關(guān)聯(lián)的客戶(hù)端并且具有特定特征�����,該特征定義用于傳輸不同EAP鑒權(quán)方法的通用交換�。EAP支持多種EAP鑒權(quán)方法���,例如�����,并且不完全的�,來(lái)自IETF (參見(jiàn)http://www.ietf.org/rfc/rfc3748.txt)的EAP MD5-詢(xún)問(wèn)方 法,和現(xiàn)在IETF (http://www.ietf.org/internet-drafts/draft-funk-eap-UIs-vl-00. txt)中討論的EAP-TTLS (擴(kuò)展鑒權(quán)協(xié)議-隧道化傳 輸層安全)方法�。EAP的通用自然特性使之成為非常靈活的協(xié)議,正在被越來(lái)越多 的使用����。
EAP MD5-詢(xún)問(wèn)方法是所使用的最簡(jiǎn)單的EAP鑒權(quán)方法鑒權(quán)是通過(guò)向客戶(hù)端發(fā) 送包含詢(xún)問(wèn)的EAP MD5-詢(xún)問(wèn)類(lèi)型請(qǐng)求實(shí)現(xiàn)的?�?蛻?hù)端通過(guò)使用由IETF (參見(jiàn) http: //www.ietf.org/rfe/rfe1321.txt)定義的MD5 (消息摘要-5 )哈希函數(shù)�,并 且使用作為參數(shù)構(gòu)成用戶(hù)口令的密碼來(lái)雜湊(hashing)該詢(xún)問(wèn)從而響應(yīng)。通過(guò)從相同的數(shù)據(jù)計(jì)算的值����,RADIUS服務(wù)器檢查客戶(hù)端的身份。
用于PPP CHAP的RADIUS和用于EAP MD5-詢(xún)問(wèn)的RADIUS,這兩種鑒權(quán)片機(jī)制存在 并且功能獨(dú)立����。然而,EAP MD5-詢(xún)問(wèn)客戶(hù)端無(wú)法被RADIUS服務(wù)器鑒權(quán)��,該RADIUS 服務(wù)器支持PPP CHAP鑒權(quán)方法���,但不具有對(duì)于EAP MD5-詢(xún)問(wèn)鑒權(quán)必要的EAP功能����。 許多已經(jīng)安裝在網(wǎng)絡(luò)中的服務(wù)器沒(méi)有使服務(wù)器鑒權(quán)EAP MD5-詢(xún)問(wèn)客戶(hù)端的EAP功能。
本發(fā)明的一個(gè)目的是通過(guò)提出一種轉(zhuǎn)換方法�,適用于向不支持EAP的PPP CHAP-RADIUS服務(wù)器鑒權(quán)EAP MD5-詢(xún)問(wèn)客戶(hù)端,來(lái)消除現(xiàn)有技術(shù)的缺點(diǎn)�。
該目的通過(guò)依據(jù)本發(fā)明如在介紹段落中描述的方法來(lái)實(shí)現(xiàn)的,并且特征在于其
包括
.在遵照第一鑒權(quán)協(xié)議的消息中接收對(duì)等體身份的步驟��;
產(chǎn)生和發(fā)送詢(xún)問(wèn)的步驟����;
接收響應(yīng)于所述詢(xún)問(wèn)的第一響應(yīng),產(chǎn)生用于訪問(wèn)遵照第二鑒權(quán)協(xié)議的網(wǎng)絡(luò)的 請(qǐng)求����,并且向鑒權(quán)服務(wù)器發(fā)送所述請(qǐng)求的步驟��;以及
-接收響應(yīng)于所述請(qǐng)求的第二響應(yīng)���,并轉(zhuǎn)換所述第二響應(yīng)來(lái)產(chǎn)生遵照第一鑒權(quán) 協(xié)議的鑒權(quán)結(jié)果的步驟����。
該方法的優(yōu)勢(shì)相當(dāng)大
.EAP MD5-詢(xún)問(wèn)客戶(hù)端可以被沒(méi)有EAP功能的RADIUS服務(wù)器鑒權(quán)�����;
無(wú)需修改EAP MD5-詢(xún)問(wèn)客戶(hù)端;并且
無(wú)需修改RADIUS服務(wù)器(如果RADIUS服務(wù)器已經(jīng)在網(wǎng)絡(luò)中運(yùn)作�����,這是優(yōu)勢(shì))����。
該轉(zhuǎn)換方法有利地進(jìn)一步包括選擇所述第一鑒權(quán)協(xié)議支持的鑒權(quán)方法的步驟。
因此���,例如�����,諸如EAP-TTLS方法的基于在隧道中封裝EAP MD5-詢(xún)問(wèn)的方法�,可以和該轉(zhuǎn)換方法相兼容����。
產(chǎn)生詢(xún)問(wèn)有利地包括
-從鑒權(quán)服務(wù)器請(qǐng)求所述詢(xún)問(wèn)的步驟;以及
接4"斤述詢(xún)問(wèn)的步驟���。
兼容性�����。
本發(fā)明還涉及一種鑒^U!十等體的方法��,該對(duì)等體具有身份并且為了訪問(wèn)網(wǎng)絡(luò)資
源連接到遵照第一鑒權(quán)協(xié)議的鑒權(quán)方-轉(zhuǎn)換器�����,功能為對(duì)等體身份和權(quán)^m正的所述
的鑒權(quán)方-轉(zhuǎn)換器通過(guò)功能為鑒^^遵照第_^^權(quán)協(xié)議的消息中接收的數(shù)據(jù)的鑒權(quán) 服務(wù)器來(lái)實(shí)現(xiàn)授權(quán)訪問(wèn)網(wǎng)絡(luò)�,該方法包括
.向?qū)Φ润w發(fā)送身份清求的步驟;
.在遵照第一鑒權(quán)協(xié)議的消息中接^^等體身份的步驟��;以及
產(chǎn)生和發(fā)送詢(xún)問(wèn)的步驟����;其特征在于該鑒權(quán)方法集成用于將遵照第一鑒權(quán)協(xié) 議的消息轉(zhuǎn)換為遵照第二4權(quán)協(xié)議的消息的功能,并且在于其進(jìn)一步包括
接收響應(yīng)于所述詢(xún)問(wèn)的第一響應(yīng)���,產(chǎn)生遵照第4權(quán)協(xié)議的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求�, 并且向鑒;^Jl務(wù)器發(fā)i^斤述請(qǐng)求的步驟����;以及
.接收響應(yīng)于所述請(qǐng)求的第二響應(yīng)�,轉(zhuǎn)換第二響應(yīng)以產(chǎn)生遵照第一鑒權(quán)協(xié)議的 鑒權(quán)結(jié)果,并JlJ^ia/斤i4^^^吉果的步-驟�����。
本發(fā)明進(jìn)一步涉及一種轉(zhuǎn)換器設(shè)備,適用于在具有身傷咖試圖訪問(wèn)網(wǎng)絡(luò)資源的 對(duì)等體連接到鑒權(quán)方的鑒權(quán)階段將遵照第 一鑒權(quán)協(xié)議的消息轉(zhuǎn)換為遵照第二4權(quán)消 息�����,功能為對(duì)等體身傷3口權(quán)隊(duì)^ii的所述的鑒權(quán)方通過(guò)功能為鑒權(quán)在遵照第4權(quán) 協(xié)議的消息中接收的數(shù)據(jù)的鑒^Nl務(wù)器來(lái)實(shí)^lt權(quán)訪問(wèn)網(wǎng)絡(luò)�����,其特^^于轉(zhuǎn)換器設(shè) 備包括
用于獲得詢(xún)問(wèn)的才勢(shì)夾�;
用于發(fā)i^斤述詢(xún)問(wèn)和網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的才狹;
用于接4t^等體的身份�����、響應(yīng)于該詢(xún)問(wèn)的第一響應(yīng)����、和響應(yīng)于所述網(wǎng)絡(luò)訪問(wèn) 請(qǐng)求的第二響應(yīng)的模塊;以及
.處理器模塊�����,產(chǎn)生遵照第二鑒權(quán)協(xié)議的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求并且轉(zhuǎn)換遵照第一鑒權(quán) 協(xié)議的鑒;M吉果�。
該轉(zhuǎn)換器設(shè)備有利地進(jìn)一步包括用于選擇由第 一鑒權(quán)協(xié)議支持的鑒權(quán)方法的模塊��。
本發(fā)明還涉及一種鑒權(quán)方-轉(zhuǎn)換器設(shè)備,適用于鑒權(quán)有身份并且為了訪問(wèn)網(wǎng)絡(luò)資 源依照第一鑒權(quán)協(xié)議與所述設(shè)備對(duì)話的對(duì)等體�,功能為對(duì)等體身^^權(quán)隊(duì)險(xiǎn)i正的所 述的設(shè)備通過(guò)功能為鑒權(quán)在遵照第二善權(quán)協(xié)議的消息中接收的數(shù)據(jù)的鑒^U良務(wù)器實(shí)現(xiàn)授權(quán)訪問(wèn)網(wǎng)絡(luò)�����,該設(shè)備包括
.用于獲得詢(xún)問(wèn)的才勢(shì)夾��;
用于發(fā)送對(duì)等體身份請(qǐng)求����、所述詢(xún)問(wèn)、網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和鑒;^i吉果的才狹��;
用于接收所述身份�、響應(yīng)于所述詢(xún)問(wèn)的第一響應(yīng)、和響應(yīng)于所述網(wǎng)絡(luò)訪問(wèn)請(qǐng)
求的第二響應(yīng)的才狹���;
其特征在于該設(shè)備適合于將遵照第一鑒權(quán)協(xié)議的消息轉(zhuǎn)換為遵照第^I4又協(xié)
議�����,并且在于該設(shè)備包括
處理器模塊,產(chǎn)生遵照第4權(quán)協(xié)議的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求并且轉(zhuǎn)換遵照第^^權(quán)
協(xié)議的14M吉果����。
本發(fā)明進(jìn)一步涉及一種鑒權(quán)系統(tǒng)�,包4射式圖訪問(wèn)網(wǎng)絡(luò)資源并JJtiil送遵照第 一鑒權(quán)協(xié)議的鑒權(quán)數(shù)據(jù)�����,由鑒^J良務(wù)器根據(jù)第^^權(quán)協(xié)議接收和^i正來(lái)必須由鑒權(quán) 方系統(tǒng)筌權(quán)的對(duì)等體�,其特^^于該系統(tǒng)包括
用于將第一協(xié)議的鑒權(quán)數(shù)據(jù)轉(zhuǎn)換為第二協(xié)議的鑒權(quán)數(shù)據(jù)的裝置;以及
用于鑒^i^戶(hù)端的裝置�。
用于將第 一協(xié)議的鑒權(quán)數(shù)據(jù)轉(zhuǎn)換為第二協(xié)議的鑒權(quán)數(shù)據(jù)的裝置有利地由 轉(zhuǎn)換器設(shè)備提供。
用于將第一協(xié)議的鑒權(quán)數(shù)據(jù)轉(zhuǎn)換為第二協(xié)議的鑒權(quán)數(shù)據(jù)的裝置有利地由鑒權(quán)方
-轉(zhuǎn)換器設(shè)備提供�。
本發(fā)明進(jìn)一步涉及一種計(jì)算才財(cái)呈序,包括用于當(dāng)由孩遜理器4似亍時(shí)��,#^亍依據(jù) 本發(fā)明的轉(zhuǎn)換方法的指令�����。
本發(fā)明進(jìn)一步涉及一種計(jì)算才財(cái)呈序�����,包括用于當(dāng)由微處理器4似亍時(shí)�,扭軒依據(jù) 本發(fā)明的鑒權(quán)方法的指令。
參考以非p艮制實(shí)施例方式給出的附圖閱讀一個(gè)M實(shí)施方式的描述后,可以更
好地理解本發(fā)明的許多細(xì)節(jié)和優(yōu)勢(shì)�����,并且其中
圖l是表示鑒權(quán)期間��,在待14諒戶(hù)端和鑒權(quán)方系統(tǒng)之間交換的iW技術(shù)PPP CHAP詢(xún)問(wèn)和響應(yīng)消息格式的圖表��。
圖2^_表示^^又期間���,在待鑒一Xl:戶(hù)端和鑒權(quán)方系統(tǒng)之間交換的戲沐技術(shù)EAP MD5-詢(xún)問(wèn)類(lèi)型EAP請(qǐng)求或響應(yīng)類(lèi)型消息的格式的圖表�。
圖3是表示遵照PPP CHAP協(xié)議的J賄技^I4又方法的圖表���。
圖4是表示遵照EAP協(xié)議和EAP MD5-詢(xún)問(wèn)鑒權(quán)方法的玉賄技^#權(quán)方法的圖表�。
圖5是表示根據(jù)本發(fā)明的轉(zhuǎn)換方法的第一變化的圖表����;
圖6是表示根據(jù)本發(fā)明的轉(zhuǎn)換方法的第二變化的圖表;
圖7是遵照本發(fā)明第一變化的網(wǎng)絡(luò)結(jié)構(gòu)的圖表�����;
圖8是遵照本發(fā)明第二變化的網(wǎng)絡(luò)結(jié)構(gòu)的圖表�;
圖9是表示根據(jù)本發(fā)明的轉(zhuǎn)換器和鑒權(quán)方-轉(zhuǎn)換器功能結(jié)構(gòu)的圖表�。
圖10是包括根據(jù)本發(fā)明的轉(zhuǎn)換器的主要部件的圖表��。
在標(biāo)準(zhǔn)網(wǎng)絡(luò)鑒權(quán)方法中三個(gè)實(shí)體相互影響鑒權(quán)方系統(tǒng)�����,待鑒權(quán)的用戶(hù) 端�,和鑒權(quán)服務(wù)器����。鑒權(quán)方系統(tǒng)通過(guò)到網(wǎng)絡(luò)的接入點(diǎn)控制對(duì)物理資源的訪問(wèn)。 待鑒權(quán)的客戶(hù)端希望訪問(wèn)該資源并且必須被鑒權(quán)來(lái)訪問(wèn)資源����。鑒權(quán)服務(wù)器是 在鑒權(quán)方系統(tǒng)請(qǐng)求時(shí),驗(yàn)證待鑒權(quán)的客戶(hù)端是否真正是具有權(quán)限的客戶(hù)端�, 以及是否有權(quán)訪問(wèn)所請(qǐng)求資源的機(jī)器。如果鑒權(quán)成功�,鑒權(quán)方系統(tǒng)提供對(duì)其 所控制的資源的訪問(wèn)。通過(guò)在已建立的鑒權(quán)協(xié)議的基礎(chǔ)上與待鑒權(quán)的客戶(hù)端 對(duì)話��,鑒權(quán)服務(wù)器管理鑒權(quán)���。
待鑒權(quán)的客戶(hù)端由機(jī)器和用戶(hù)構(gòu)成���。在大部分的當(dāng)前網(wǎng)絡(luò)裝置中��,鑒權(quán)方系統(tǒng) 是諸如無(wú)線接入臺(tái)一樣的網(wǎng)絡(luò)設(shè)備��,例如�,其M^^爾為接A^���、 UP),用于PSTN (公用交換電話網(wǎng))訪問(wèn)或ADSL (非對(duì)稱(chēng)4t字用戶(hù)線)訪問(wèn)的名為網(wǎng)絡(luò)訪問(wèn)服務(wù)器 (NAS )的交換機(jī)/IP路由器����。在EAP和PPP CHAP術(shù)語(yǔ)中�����,待鑒權(quán)的客戶(hù)端被稱(chēng)作對(duì) 等體��,并且鑒權(quán)方系統(tǒng)被稱(chēng)作鑒權(quán)方���。鑒;fW良務(wù)器是典型的RADIUS服務(wù)器或能^似亍 鑒權(quán)的4S可其它設(shè)備���。尤其在因特網(wǎng)服務(wù)提供商中,RADIUS服務(wù)器是最廣泛用于鑒 權(quán)的設(shè)備��。
RADIUS協(xié)議以客戶(hù)端/服務(wù)器模錄行。鑒權(quán)方系統(tǒng)作為RADIUS客戶(hù)端運(yùn)行�。 RADIUS客戶(hù)端發(fā)送RADIUS請(qǐng)求并且基于接收的響應(yīng)作出動(dòng)作。RADIUS服務(wù)器可作 為其它RADIUS服務(wù)器和其它鑒權(quán)系統(tǒng)的RADIUS代理�。RADIUS協(xié)議的工作原理在于 如口令的密碼的使用,為了 PPP CHAP鑒權(quán)���,該密碼由RADIUS服務(wù)器和待鑒權(quán)的對(duì) 等體掌握并且不在網(wǎng)絡(luò)上發(fā)送。
RADIUS協(xié)議實(shí)現(xiàn)了用戶(hù)/口令鑒權(quán)或用戶(hù)/詢(xún)問(wèn)/響應(yīng)鑒權(quán)��?���;谡?qǐng)求/響應(yīng)的交 換可以為四種不同類(lèi)型訪問(wèn)_請(qǐng)求,訪問(wèn)-接受��,訪問(wèn)-拒絕����,,W方問(wèn)-詢(xún)問(wèn)。
RADIUS客戶(hù)端向RADIUS服務(wù)器發(fā)送訪問(wèn)授權(quán)請(qǐng)求��,該請(qǐng)求為訪問(wèn)-請(qǐng)求類(lèi)型的 RADIUS請(qǐng)求��。RADIUS服務(wù)器發(fā)送*接受響應(yīng)����,拒絕響應(yīng)或請(qǐng)求額外信息的響應(yīng)����。接受 響應(yīng)^3方問(wèn)-^t妄受類(lèi)型的RADIUS響應(yīng)�,拒絕響應(yīng)^訪問(wèn)-拒絕類(lèi)型的RADIUS響應(yīng), 用于請(qǐng)求額外信息的響應(yīng)是由RADIUS服務(wù)器發(fā)送的訪問(wèn)-詢(xún)問(wèn)類(lèi)型的RADIUS響應(yīng)�, 該響應(yīng)發(fā)送詢(xún)問(wèn)并且等候。向應(yīng)����。RADIUS協(xié)議在RADIUS請(qǐng)求字段中,例如在已知為屬性的信息要素中����,傳輸鑒 權(quán)和授權(quán)信息。RADIUS消息中屬性的數(shù)目是變化的���?�?梢粤銈€(gè)��、 一個(gè)或多個(gè)屬性���。 每一個(gè)屬性有限定它的類(lèi)型�,值和大小�。作為非限制的實(shí)施例,用戶(hù)名類(lèi)型屬性對(duì)于應(yīng) 于待鑒權(quán)的用戶(hù)的標(biāo)識(shí)符或注冊(cè)��,CHAP-詢(xún)問(wèn)類(lèi)型屬性對(duì)應(yīng)于由鑒權(quán)方系統(tǒng)產(chǎn)生的并發(fā)送至待鑒權(quán)戶(hù)端的PPP CHAP詢(xún)問(wèn)��,CHAP-口令類(lèi)型屬性對(duì)應(yīng)于對(duì)待鑒權(quán)客戶(hù) 端發(fā)送的PPP CHAP詢(xún)問(wèn)的響應(yīng)�����,并且當(dāng)在訪問(wèn)-詢(xún)問(wèn)類(lèi)型的RADIUS請(qǐng)求中發(fā)送時(shí)����, 答復(fù)-消息類(lèi)型屬性包^i句問(wèn)����。鑒權(quán)要素也可以被包括在RADIUS請(qǐng)求/響應(yīng)的鑒權(quán)字 段中。
圖1表示了遵照PPPCHAP協(xié)議的規(guī)省技術(shù)的詢(xún)問(wèn)和響應(yīng)消息的格式�。在對(duì)等體 和鑒權(quán)方之間交換詢(xún)問(wèn)和響應(yīng)消息。
第一字段cl根據(jù)消息是詢(xún)問(wèn)還是對(duì)詢(xún)問(wèn)的響應(yīng)來(lái)限定消息類(lèi)型���。字段cl的名 稱(chēng)為代碼��。
名稱(chēng)為標(biāo)識(shí)符的第二字段c2包含標(biāo)識(shí)消息交換的值���。每次發(fā)送新的詢(xún)問(wèn)時(shí)����,該 值必然被改變�����。對(duì)于對(duì)詢(xún)問(wèn)的響應(yīng)中的消息���,該字段的值和詢(xún)問(wèn)消息標(biāo)識(shí)符字段的 值相同��。
名稱(chēng)為長(zhǎng)度的第三字段c3包含PPP CHAP消息的大小�。
名稱(chēng)為值-大小的第四字段c4對(duì)應(yīng)于下面定義的名稱(chēng)為值的第五字段c5的長(zhǎng)度��。
名稱(chēng)為值的第五字段c5包含詢(xún)問(wèn)或?qū)υ?xún)問(wèn)的響應(yīng)的值�。詢(xún)問(wèn)是每次發(fā)送新的詢(xún) 問(wèn)時(shí)改變的隨機(jī)值。通必十字節(jié)流應(yīng)用哈希函數(shù)來(lái)計(jì)算對(duì)詢(xún)問(wèn)的響應(yīng)���,其中字節(jié)流 包括標(biāo)識(shí)符字段c2的值,其后是與對(duì)等刷目關(guān)聯(lián)的用戶(hù)和鑒權(quán)服務(wù)器已知的密碼�, 其后是詢(xún)問(wèn)的值��。對(duì)于PPP CHAP,該哈希函數(shù)是MD5���。密碼是用戶(hù)特有的口令�����。
名稱(chēng)為名稱(chēng)的第六字段c6對(duì)應(yīng)于發(fā)送消息的系統(tǒng)的標(biāo)識(shí)���。
圖2例示了 現(xiàn)有技術(shù)EAP請(qǐng)求或響應(yīng)的格式。在對(duì)等體和鑒權(quán)方之間交換EAP 請(qǐng)求和響應(yīng)����。
名稱(chēng)為代碼的第一字段c7限定請(qǐng)求或?qū)τ谡?qǐng)求的響應(yīng)。
名稱(chēng)為標(biāo)識(shí)符的第二字段c8標(biāo)識(shí)消息的交換�。響應(yīng)的字段c8將與產(chǎn)生響應(yīng)的 請(qǐng)求的字段c8相同。
名稱(chēng)為長(zhǎng)度的第三字段c9指定EAP消息的長(zhǎng)度����。
名稱(chēng)為類(lèi)型的第四字段clO指定請(qǐng)求或響應(yīng)的類(lèi)型�。例如,稱(chēng)為身份的具體類(lèi) 型對(duì)應(yīng)于身傷請(qǐng)求或?qū)ι韨?qǐng)求的響應(yīng)���。在名稱(chēng)為類(lèi)型-數(shù)據(jù)的第五字段cll中��,包含對(duì)身份清求的響應(yīng)消息����,與對(duì)等射目關(guān)聯(lián)的用戶(hù)的身份。字段C10中指定的請(qǐng)求
的另一種類(lèi)型對(duì)應(yīng)于EAP鑒權(quán)方法�����。例如��,名稱(chēng)為MD5-詢(xún)問(wèn)的類(lèi)型指定EAP鑒權(quán)方 法是EAP MD5-詢(xún)問(wèn)方法����。類(lèi)型MD5-詢(xún)問(wèn)與帶有MD5哈希函數(shù)的PPP CHAP協(xié)議相似。 名稱(chēng)為類(lèi)型-l史據(jù)的字段cll由以下字段構(gòu)成
'名稱(chēng)為值-大小并且與圖1中的字段c4可比的第六字段c12,對(duì)應(yīng)于字段cl3 的長(zhǎng)度�����;
-名稱(chēng)為值并且與圖1中的字段c5可比的第七字段c13�,對(duì)應(yīng)于詢(xún)問(wèn)或?qū)υ撛?xún) 問(wèn)的響應(yīng);以及
.名稱(chēng)為名稱(chēng)并且與圖1中的字段c6可比的第八字段c14���,對(duì)應(yīng)于發(fā)送EAP請(qǐng) 求或響應(yīng)的系統(tǒng)的標(biāo)識(shí)����。
圖3例示了現(xiàn)有技術(shù)PPP CHAP-RADIUS鑒權(quán)機(jī)制,表示了鑒權(quán)方法涉及的三個(gè) 實(shí)體間的消息交換�����。網(wǎng)絡(luò)訪問(wèn)服務(wù)器(NAS) 110指定鑒權(quán)方系統(tǒng)�。NAS110控制對(duì)等 體100對(duì)網(wǎng)絡(luò)物理資源的訪問(wèn)。RADIUS服務(wù)器120是負(fù)責(zé)鑒^U!于等體100的鑒^^良 務(wù)器��?����;泊绲润w100和NAS110間交換的PPP CHAP詢(xún)問(wèn)和響應(yīng)消息的格式遵照?qǐng)D1 的圖示����。
在初始狀態(tài)l,對(duì)等體100和NAS110處于PPP協(xié)商階段�����,其間對(duì)等體100和 NASI 10建立PPP鏈路并JU十將采用的鑒權(quán)方法達(dá)成一致�����。特別地�,在該階段選擇PPP CHAP鑒;f又方法。
在步驟2,在初始狀態(tài)1中執(zhí)行的PPP協(xié)商階段后�,NASU0產(chǎn)生詢(xún)問(wèn)并且向?qū)?等體100發(fā)送包含該詢(xún)問(wèn)的PPP CHAP詢(xún)問(wèn)消息sl。圖3未例示的PPP CHAP-RADIUS 鑒權(quán)的可選的實(shí)施中����,NAS110委4乇RADIUS服務(wù)器120產(chǎn)生詢(xún)問(wèn)NAS服務(wù)器llO向 RADIUS服務(wù)器120發(fā)送訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求,RADIUS服務(wù)器采用在名稱(chēng)為答 復(fù)-消息的RADIUS屬性中包^i句問(wèn)的訪問(wèn)-詢(xún)問(wèn)類(lèi)型RADIUS響應(yīng)來(lái)響應(yīng)����。可以在PPP CHAP詢(xún)問(wèn)消息的字段c6中限定正在發(fā)送消息的NAS110的身份�。在RADIUS服務(wù)器 120產(chǎn)生詢(xún)問(wèn)的可選的鑒權(quán)實(shí)施中,可以在字段c6中限定產(chǎn)生詢(xún)問(wèn)的RADIUS服務(wù)器 120的身份��。
在步驟3 ����,接收PPP CHAP詢(xún)問(wèn)消息s 1后,對(duì)等體10 0從PPP CHAP詢(xún)問(wèn)消息s 1 中提取詢(xún)問(wèn)的值����,并且計(jì)算對(duì)該詢(xún)問(wèn)的響應(yīng)。通幼十?dāng)?shù)據(jù)應(yīng)用MD5哈希函數(shù)來(lái)計(jì)算 該響應(yīng)���,其中數(shù)據(jù)包括PPP CHAP詢(xún)問(wèn)消息sl的字段c2的值�����,其后是對(duì)等體100掌 握的密碼�,其后是PPP CHAP詢(xún)問(wèn)消息sl中接收的并JL在消息sl的字段c5中出現(xiàn) 的詢(xún)問(wèn)的值。在步驟3的最后�����,對(duì)等體100在PPP CHAP響應(yīng)消息s 2中發(fā)送響應(yīng)��。字段c6用于限定正在發(fā)送消息的對(duì)等體100的身份�����。
在步驟4���,接收PPPCHAP響應(yīng)消息s2后��,以用作RADIUS服務(wù)器120的引起注 意信號(hào)��,NAS110產(chǎn)生訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s3�����。該請(qǐng)求包括以下RADIUS屬性
,
RADIUS屬性用戶(hù)-名稱(chēng)����,其值為對(duì)等體100的標(biāo)識(shí)符����。RADIUS屬性用戶(hù)-名稱(chēng) 從PPP CHAP響應(yīng)消息s2的字段c6中獲得;
.RADIUS屬性CHAP-詢(xún)問(wèn)�����,其ji^應(yīng)于步驟2期間NAS110計(jì)算的詢(xún)問(wèn)���。在步驟 2中對(duì)RADIUS月l務(wù)器120產(chǎn)生詢(xún)問(wèn)的鑒4又的可選的實(shí)施中�,無(wú)需發(fā)送CHAP-詢(xún)問(wèn)屬
性���;
RADIUS屬性CHAP-口令,其值為PPP CHAP消息si的字段c2中限定的PPP CHAP 消息si的身份��,和步驟4中在PPP CHAP響應(yīng)消息s2中接收的對(duì)詢(xún)問(wèn)的響應(yīng)�。在步
類(lèi)型RADIUS請(qǐng)求s3中發(fā)送屬性CHAP-詢(xún)問(wèn)����,則不在訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s3 中插A^性CHAP-口令;并且
在步驟2中對(duì)RADIUS服務(wù)器120產(chǎn)生詢(xún)問(wèn)德鑒權(quán)德可選德實(shí)施中����,如果未在RADIUS訪問(wèn)-請(qǐng)求類(lèi)型請(qǐng)求s3中發(fā)送屬性CHAP-詢(xún)問(wèn)���,則所述的請(qǐng)求包括名稱(chēng)為用 戶(hù)—口令的屬性。屬性用戶(hù)-口令的值由ppp CHAP消息si的字段c2中限定的PPP CHAP 消息si的身份和對(duì)在步驟4中PPP CHAP響應(yīng)消息s2中接收到的詢(xún)問(wèn)的響應(yīng)構(gòu)成��。
在步驟4的最后��, NAS110向RADIUS服務(wù)器120發(fā)送訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng) 求s3����。
在步驟5,接收步驟4發(fā)送的訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s3后����,RADIUS服務(wù)器 12(H^i正用戶(hù)的鑒權(quán)。為此����,其對(duì)字節(jié)流應(yīng)用與對(duì)等體100應(yīng)用的相同的哈希函數(shù) MD5來(lái)計(jì)tt"權(quán)值,其中字節(jié)流包4射方問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s3的屬性CHAP-詢(xún) 問(wèn)中存在的詢(xún)問(wèn)��,其后是用戶(hù)掌握的密碼和i方問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s3的屬性 CHAP-口令中存在的PPP CHAP消息si的身份�����。RADIUS服務(wù)器120比較該鑒權(quán)值牙"方 問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s3的屬性CHAP-詢(xún)問(wèn)中存在的對(duì)詢(xún)問(wèn)的響應(yīng)。在步驟2中 對(duì)RADIUS服務(wù)器120產(chǎn)生詢(xún)問(wèn)的鑒權(quán)并且絲訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s3中發(fā) 送屬性CHAP-詢(xún)問(wèn)的可選的實(shí)施中����,鑒權(quán)服務(wù)器采用其掌握的詢(xún)問(wèn)來(lái)計(jì)算鑒權(quán)值���,以 及包含對(duì)詢(xún)問(wèn)的響應(yīng)的屬性用戶(hù)-口令的內(nèi)容���,從而對(duì)鑒一5Ji行馬^i正。如果鑒權(quán)值等 于對(duì)該詢(xún)問(wèn)的響應(yīng)�,則鑒權(quán)成功;如果不等于����,則鑒權(quán)失敗。在這兩種情況下�����,在 步驟5的絲�����,RADIUS服務(wù)器120向NASllO發(fā)送指定鑒45L^果的消息s4���。當(dāng)鑒權(quán) 成功時(shí)���,消息s4是訪問(wèn)-接受類(lèi)型RADIUS響應(yīng)�����。如果鑒^又失敗���,則消息s4是訪問(wèn)-拒絕類(lèi)型RADIUS響應(yīng)。
在步驟6�,收到消息s4后,以用作對(duì)等體100的引起注意信號(hào)�����,NASllO產(chǎn)生響應(yīng)消息s5�。如果鑒權(quán)成功消息s5,則是CHAP一成功類(lèi)型PPP CHAP消息���,并且如果鑒權(quán)失敗���,則是CHAP-失敗類(lèi)型PPP CHAP消息。在步驟6的最后,NASll0向?qū)Φ润w100發(fā)送響應(yīng)消息S5����。
在步驟7,收到”向應(yīng)消息s5后�����,對(duì)等體100被授權(quán)或未本皮j材嘶問(wèn)物理資源����。
圖4通過(guò)表示鑒權(quán)方法相關(guān)聯(lián)的三個(gè)實(shí)體間的消息的交換來(lái)例示遵照現(xiàn)有技術(shù)EAP MD5一詢(xún)問(wèn)方法的鑒權(quán)機(jī)制����。試圖訪問(wèn)網(wǎng)絡(luò)物理資源的對(duì)等體1 30將自身接入控制物理資源訪問(wèn)的鑒權(quán)方140。鑒權(quán)服務(wù)器150負(fù)責(zé)對(duì)等體1 30的鑒權(quán)���。
EAP請(qǐng)求或響應(yīng)消息遵照?qǐng)D2例示的格式��。
在開(kāi)始步驟11�,鑒權(quán)方140向?qū)Φ润w1 30發(fā)送EAP身份請(qǐng)求S1 0���。根據(jù)參考圖2所描述的EAP消息格式���,該消息在字段c10中包含對(duì)應(yīng)于類(lèi)型身份的值��。
在步驟12���,收到EAP身份請(qǐng)求s1 0之后,對(duì)等體1 30構(gòu)造EAP響應(yīng)消息S 1 1����,其在EAP響應(yīng)消息s11的字段cll中包含對(duì)等體1 30的身份。對(duì)等體1 30向鑒權(quán)方14 0發(fā)EAP響應(yīng)消息S1 1����。
在步驟1 3,收到EAP響應(yīng)消息sll后��,鑒權(quán)方在EAP響應(yīng)消息S 12中將EAP響應(yīng)消息sll中繼到獺艮務(wù)器150�。
在步驟14,收到EAP響應(yīng)消息s12后�����,猢艮務(wù)器150產(chǎn)生詢(xún)問(wèn)和EAP MD5一詢(xún)問(wèn)類(lèi)型的EAP請(qǐng)求消息sl 3���。EAP請(qǐng)求消息sl 3在消息的字段c1 3中包含該詢(xún)問(wèn)���。除詢(xún)問(wèn)外�,可以在字段c14中限定產(chǎn)生請(qǐng)求消息的鑒權(quán)服務(wù)器的身份����。鑒權(quán)服務(wù)器1 50向捌叉方140發(fā)送EAP請(qǐng)求消息s1 3。
在步驟1 5���,收到EAP請(qǐng)求消息s1 3后�����,斟又方14 0在EAP請(qǐng)求消息s 14中將EAP請(qǐng)求消息s1 3中繼到對(duì)等體1 30。
在步驟16��,收到EAP請(qǐng)求消息S14后�,對(duì)等體1 30從EAP請(qǐng)求消息S1 3中提取詢(xún)問(wèn)并且利用它構(gòu)成響應(yīng)。通過(guò)對(duì)字節(jié)流應(yīng)用MD5哈希函數(shù)來(lái)計(jì)算該響應(yīng)���,其中字節(jié)流包括詢(xún)問(wèn)����,其后是對(duì)等體l 30掌握的密碼和從消息的字段c8獲得的請(qǐng)求消息S 14的標(biāo)-~e#-t�����。對(duì)等體1 30向割叉方140發(fā)送在字段c1 3中包含對(duì)詢(xún)問(wèn)的響應(yīng)的EAP響應(yīng)s15。EAP響應(yīng)S15的字段c14可用于規(guī)定發(fā)送該響應(yīng)的對(duì)等體1 30的身份���。
在步驟17����,收到EAP響應(yīng)消息s1 5后�,斟又方14 0在EAP響應(yīng)消息S 16中將EAP響應(yīng)消息s15中繼至0些≥棲U艮務(wù)器150。
在步驟18��,收到EAP響應(yīng)消息S16后��,鑒權(quán)服務(wù)器150驗(yàn)證對(duì)等體1 30的鑒權(quán)��。為了此目的����,它通必十字節(jié)流應(yīng)用MD5哈希函數(shù)來(lái)計(jì)算鑒權(quán)值,其中字節(jié)流包括其 在步驟14中產(chǎn)生的詢(xún)問(wèn)�����,其后是對(duì)等體130掌握的特有的密碼及EAP響應(yīng)消息s16 的字段c8中出現(xiàn)的請(qǐng)求和響應(yīng)消息的標(biāo)識(shí)符�。如果鑒權(quán)值等于EAP響應(yīng)消息s16的 字段cl7中出現(xiàn)的的對(duì)詢(xún)問(wèn)的響應(yīng)�����,則對(duì)等體130的鑒權(quán)成功��;如果不相等��,鑒權(quán) 失敗����。在這兩種情況下���,鑒^J良務(wù)器150產(chǎn)生限定鑒權(quán)結(jié)果的EAP消息s17�。當(dāng)鑒權(quán) 成功時(shí)��,EAP消息sl7是EAP成功類(lèi)型的EAP消息。如果鑒權(quán)失敗���,則EAP消息s17 是EAP失敗類(lèi)型的EAP消息����。鑒^Jl務(wù)器150將EAP消息s17發(fā)i^會(huì)鑒權(quán)方140����。
在步驟19�����, 4Wj步驟18中鑒^Ul務(wù)器150發(fā)送的EAP消息s17后�,鑒權(quán)方140 在EAP消息s18中將EAP消息s17中繼到對(duì)等體130�。
在步驟20, 4U'J EAP消息s18后��,對(duì)等體130訪問(wèn)物理資源或不訪問(wèn)����。
在EAP鑒權(quán)的一個(gè)特別實(shí)施中,在鑒4" 140和鑒4W艮務(wù)器150之間交換的所 有EAP消息都封裝在如RADIUS協(xié)議的遵照AAA (鑒權(quán)�����,授權(quán)����,和計(jì)費(fèi))類(lèi)型協(xié)議的 消息中。
圖5通it4示鑒權(quán)方法涉及的實(shí)體間的消息的交換和處理操作�,例示了采用才艮 據(jù)本發(fā)明用于將EAP MD5-詢(xún)問(wèn)鑒權(quán)消息轉(zhuǎn)換為PPP CHAP-RADIUS鑒權(quán)消息的方法的 鑒權(quán)機(jī)制。再次采用EAP術(shù)語(yǔ)來(lái)指定鑒權(quán)方法涉及的實(shí)體����。
EAP對(duì)等體160對(duì)應(yīng)于待鑒權(quán)的客戶(hù)端����,該客戶(hù)端希望訪問(wèn)物理資源并且必須 被14棘訪問(wèn)�����。鑒權(quán)方170是控制物理資源訪問(wèn)的鑒權(quán)方系統(tǒng)�。根據(jù)本發(fā)明的方法 實(shí)現(xiàn)本發(fā)明專(zhuān)用的轉(zhuǎn)換器180,并且將遵照EAP協(xié)議和EAP MDT-詢(xún)問(wèn)方法的鑒權(quán)消 息轉(zhuǎn)換為遵照PPP CHAP-RADIUS筌權(quán)協(xié)議的消息。轉(zhuǎn)換才勢(shì)夾181是要##在轉(zhuǎn)換器 180內(nèi)存中的程序�����;它包括用于4Afrf艮據(jù)本發(fā)明轉(zhuǎn)換方法的指令�����。它管理被稱(chēng)為當(dāng)前 EAP會(huì)話上下文的內(nèi)部數(shù)據(jù)項(xiàng)目182,該上下文用于存儲(chǔ)關(guān)于進(jìn)行中EAP會(huì)話的信息�, 例如(并且非窮盡的)進(jìn)行中EAP ^S舌的標(biāo)識(shí)符,進(jìn)行中選擇用于"^i舌的EAP鑒權(quán) 方法��。在鑒權(quán)方170和RADIUS服務(wù)器190交互時(shí)接^jt匕信息���。RADIUS服務(wù)器190 負(fù)責(zé)鑒權(quán)EAP對(duì)等體160�����。此RADIUS服務(wù)器沒(méi)有使其能夠鑒權(quán)EAP客戶(hù)端的EAP功 能�。
在本發(fā)明的一個(gè)特別的實(shí)施方式中�����,徊于等體160和鑒權(quán)方170之間交換的所 有消息者問(wèn)皮封裝在如EAP-TTLS消息的^^Pi^il:中�。
在本發(fā)明的一個(gè)特別的實(shí)施方式中,在鑒權(quán)方170和轉(zhuǎn)換器180之間交換的所 有消息者問(wèn)皮封裝在如RADIUS協(xié)議的遵照AAA-類(lèi)型協(xié)議的消息中�����。
在開(kāi)始步驟22,鑒權(quán)方170產(chǎn)生身^分清求消息s20并且將其發(fā)送到EAP對(duì)等體160���。根據(jù)參考圖2描述的EAP消息格式���,消息在字段clO中包含對(duì)應(yīng)于類(lèi)型身份的 值。
在步驟23�����,接收到EAP身份清求消息s20后��,EAP對(duì)等體160產(chǎn)生并JL^i^ 字段cll中包含其身份的EAP響應(yīng)消息s21。
在步驟24��,接收到EAP響應(yīng)消息s21后��,鑒權(quán)方170在EAP消息s22中將EAP 響應(yīng)消息s21中繼到轉(zhuǎn)換器180��。
在步驟25中����,接收到EAP響應(yīng)消息s22后,轉(zhuǎn)換器180分析EAP響應(yīng)消息s22�����。并且將該身份務(wù)賭到當(dāng)前EAP會(huì)活上下文182中�。在相對(duì)于出現(xiàn)在身份類(lèi)型的EAP 響應(yīng)消息s22的字段c8中的標(biāo)識(shí)符處的內(nèi)容,當(dāng)前EAP^S舌上下文182被標(biāo)識(shí)符唯 一標(biāo)識(shí)���。轉(zhuǎn)換器180選擇當(dāng)前EAP的鑒權(quán)方法�����,在此為EAPMD5-詢(xún)問(wèn)方法���。EAP MD5-詢(xún)問(wèn)方法的選擇是多方面考慮的結(jié)果EAP對(duì)等體160的身份,鑒權(quán)方170的標(biāo) 識(shí)符���,和轉(zhuǎn)換器190的^^可進(jìn)一步的可用信息使得其辨別與對(duì)等體160相關(guān)聯(lián)的用 戶(hù)和作為接入點(diǎn)的鑒權(quán)方170��。將辨別用戶(hù)和網(wǎng)絡(luò)接入點(diǎn)的信息有利地在當(dāng)前 EAP會(huì)話上下文182中��。轉(zhuǎn)換器180在當(dāng)前EAP會(huì)話上下文182中^(諸EAP MD5-詢(xún) 問(wèn)方法的選擇���。轉(zhuǎn)換器180選擇將EAP MD5-詢(xún)問(wèn)鑒權(quán)轉(zhuǎn)換為PPP CHAP-RADIUS,從 而具體沒(méi)有EAP功能的RADIUS服務(wù)器190的鑒權(quán)�。轉(zhuǎn)換器選擇希望#1^亍鑒權(quán)的 RADIUS服務(wù)器。為了做出選擇,轉(zhuǎn)換器180依賴(lài)關(guān)于可用的關(guān)于EAP對(duì)等體的信息 當(dāng)前EAP會(huì)話上下文182中存儲(chǔ)的EAP對(duì)等體的身份,和轉(zhuǎn)換器180通過(guò)訪問(wèn)另一 個(gè)服務(wù)器或數(shù)據(jù)庫(kù)轉(zhuǎn)換器可用的4W可其它信息,辨別與EAP對(duì)等體160以及作為網(wǎng) 全接入點(diǎn)的鑒權(quán)方170相關(guān)聯(lián)的用戶(hù)的信息。該信息被(諸在當(dāng)前EAP會(huì)話上下文 182中�����。轉(zhuǎn)換器180確定其必須請(qǐng)求RADIUS服務(wù)器190產(chǎn)生詢(xún)問(wèn)���,并且向RADIUS 月l務(wù)器190發(fā)送訪問(wèn)4奮求類(lèi)型RADIUS請(qǐng)求s23。在本發(fā)明可選實(shí)施方式中�,轉(zhuǎn)換器 180選擇其自身產(chǎn)生詢(xún)問(wèn)�。然后不與RADIUS服務(wù)器190交換消息。
在步驟26,接收訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s23后���,RADIUS服務(wù)器190產(chǎn)生詢(xún) 問(wèn)并且向轉(zhuǎn)換器180發(fā)送在RADIUS屬性答復(fù)-消息中包含該詢(xún)問(wèn)的訪問(wèn)-詢(xún)問(wèn)類(lèi)型 RADIUS響應(yīng)s24�����。
在步驟27,接收RADIUS響應(yīng)s24后,轉(zhuǎn)換器180產(chǎn)生EAP詢(xún)問(wèn)消息s25����。在 RADIUS響應(yīng)s24中從RADIUS服務(wù)器190接收到ll的詢(xún)問(wèn)被插入EAP詢(xún)問(wèn)消息s25的字 段cl3中。在轉(zhuǎn)換器180選擇其自身產(chǎn)生詢(xún)問(wèn)的本發(fā)明可選的實(shí)施方式中�����,詢(xún)問(wèn)被 插入EAP詢(xún)問(wèn)消息s25的字段cl3中��,并且被^i^諸在當(dāng)前EAP會(huì)活上下文182中����。轉(zhuǎn)換器180將詢(xún)問(wèn)產(chǎn)生的方式存存儲(chǔ)在當(dāng)前EAP會(huì)話上下文182中��。
EAP詢(xún)問(wèn)消息s25的字段cl4有利地用于限定產(chǎn)生詢(xún)問(wèn)的鑒;N艮務(wù)器190的身 份��。在轉(zhuǎn)換器180選擇其自身產(chǎn)生詢(xún)問(wèn)的本發(fā)明可選的實(shí)施方式中�����,EAP詢(xún)問(wèn)消息 s25的字段cl4有利地用于指定產(chǎn)生EAP詢(xún)問(wèn)消息s25的轉(zhuǎn)換器180的身份�。在步驟 27的M,轉(zhuǎn)換器180向鑒權(quán)方170發(fā)送EAP詢(xún)問(wèn)消息s25��。
在步驟28����,接收EAP詢(xún)問(wèn)消息s25后�����,鑒權(quán)方170在EAP詢(xún)問(wèn)消息s26中將EAP 詢(xún)問(wèn)消息s25中繼到EAP對(duì)等體160�。
在步驟29,接收EAP詢(xún)問(wèn)消息s26后,EAP對(duì)等體160從EAP詢(xún)問(wèn)消息s26的 字段cl3中提取詢(xún)問(wèn)并且產(chǎn)生EAP響應(yīng)消息s27����。為此,EAP對(duì)等體160通過(guò)在比特 aji應(yīng)用MD5哈希函數(shù)來(lái)計(jì)算對(duì)詢(xún)問(wèn)的響應(yīng)���,其中比特流包4射句問(wèn)的值,其后是EAP 對(duì)等體160特有的密碼���,其后是從EAP詢(xún)問(wèn)消息s26的字段c8中^是取的消息s26的 身份����。對(duì)詢(xún)問(wèn)的響應(yīng)一皮插M'J EAP響應(yīng)消息s27的字^殳cl3中�。EAP響應(yīng)消息s27 的字段c14可有利地用于指定EAP對(duì)等體160的身份��。EAP對(duì)等體160向鑒權(quán)方 發(fā)送EAP響應(yīng)消息s27�����。
在步驟30,接收EAP響應(yīng)消息s27后�����,鑒權(quán)方170在消息s28中將EAP響應(yīng)消 息s27中繼到轉(zhuǎn)換器180�。
在步驟31,接收EAP響應(yīng)消息s28后,轉(zhuǎn)換器180分析EAP響應(yīng)消息s28�����。如 勤十詢(xún)問(wèn)的響應(yīng)已經(jīng)被填充�,則它從字段cl3中獲得對(duì)詢(xún)問(wèn)的響應(yīng)和從字段cl4獲 得發(fā)送消息的實(shí)體的名稱(chēng)���。轉(zhuǎn)換器在當(dāng)前EAP^舌上下文182 ^(諸對(duì)詢(xún)問(wèn)的響應(yīng)�����, 并且,可應(yīng)用地�����,^f諸發(fā)送消息的實(shí)體的身份�����。在步驟25期間未作出選擇^^&十 RADIUS服務(wù)器的鑒權(quán)的本發(fā)明可選實(shí)施方式中,Jtt作出選4奪�,以及作出RADIUS 服務(wù)器的選擇�����。為了作出jtb^擇�����,轉(zhuǎn)換器180^a負(fù)關(guān)于EAP對(duì)等體160的可用的信 息當(dāng)前EAP^舌上下文182中存儲(chǔ)的EAP對(duì)等體160的身份����,對(duì)詢(xún)問(wèn)請(qǐng)求的響應(yīng) 消息的發(fā)送方,以及轉(zhuǎn)換器180通過(guò)訪問(wèn)另一個(gè)服務(wù)器或數(shù)據(jù)庫(kù)可用的任何其它信 息�,辨識(shí)與EAP對(duì)等體160和作為網(wǎng)紹4妻入點(diǎn)的鑒權(quán)方170相關(guān)4關(guān)的用戶(hù)的信息��。 轉(zhuǎn)換器180構(gòu)造訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s29���,該請(qǐng)求中包含RASIUS服務(wù)器190 鑒權(quán)EAP對(duì)等體160所需的鑒權(quán)信息。特別地���,轉(zhuǎn)換器180利用之前步驟獲得的鑒 權(quán)信息來(lái)產(chǎn)生如下RADIUS鑒權(quán)屬性
-對(duì)應(yīng)于與EAP對(duì)等體160相關(guān)聯(lián)的用戶(hù)身份的屬性用戶(hù)-名稱(chēng)���。用戶(hù)的身份是, 例如(并且非窮盡地)EAP對(duì)等體的MAC (媒體訪問(wèn)控制)地址�����,IP地址或被EAP 對(duì)等體插入消息S27的字段cl4中的身份����。此屬性的值從包含在之前交換的和當(dāng)交換時(shí)^f諸在當(dāng)前EAP會(huì)話上下文182的消息的字段中的信息g得。轉(zhuǎn)換器180使 用4^P或部分此信息iM勾成屬性用戶(hù)-名稱(chēng)���;
.EAP響應(yīng)消息s22的字段cll對(duì)于步驟25中轉(zhuǎn)換器180接收的標(biāo)識(shí)符請(qǐng)求�����。 在本發(fā)明一個(gè)特定實(shí)施方式中EAP響應(yīng)消息s22被封# RADIUS消息中����,字段cll 的復(fù)^4t包含在RADIUS消息s22的屬性用戶(hù)-名稱(chēng)中��;
-有利地包含EAP對(duì)等體160標(biāo)識(shí)符的EAP響應(yīng)消息s28的字段cl4;以及
.用于標(biāo)識(shí)用戶(hù)的^K其它信息��。在鑒權(quán)方170和轉(zhuǎn)換器180之間交換的EAP 消息被封裝在如RADIUS協(xié)議的AAA-類(lèi)型協(xié)議的本發(fā)明一個(gè)特定實(shí)施方式中���,該協(xié)議 的屬性有利iW皮^^]����。
在本發(fā)明的一個(gè)特定實(shí)施方式中,轉(zhuǎn)換器180從如^(諸在轉(zhuǎn)換器180訪問(wèn)的數(shù) 據(jù)庫(kù)中的信息的用戶(hù)掌握的特有信息中添加屬性用戶(hù)-名稱(chēng)或產(chǎn)生標(biāo)識(shí)符��。
指定EAP響應(yīng)消息s28的標(biāo)i口vT尋和從EAP響應(yīng)消息s28的字段cl3中提取的 對(duì)詢(xún)問(wèn)響應(yīng)的屬性CHAP-口令����。當(dāng)詢(xún)問(wèn)被轉(zhuǎn)換器180 ^f諸,并站RADIUS請(qǐng)求s29 中�,在CHAP-詢(xún)問(wèn)RADIUS屬性中,或在RADIUS請(qǐng)求s29的鑒權(quán)方字段中^L^iili合 RADIUS服務(wù)器19 0時(shí)����,CHAP- 口令屬性被填寫(xiě)。
包含EAP響應(yīng)消息s28的標(biāo)識(shí)符和從EAP響應(yīng)消息s28的字段cl3中提取的 對(duì)詢(xún)問(wèn)響應(yīng)的屬性用戶(hù)-口令����。當(dāng)詢(xún)問(wèn)未在RADIUS請(qǐng)求s29中由轉(zhuǎn)換器180發(fā)i^'j RADIUS月l務(wù)器190時(shí),屬性用戶(hù)-口令^皮填寫(xiě)�。
在轉(zhuǎn)換器180自己產(chǎn)生詢(xún)問(wèn)的本發(fā)明的可選的實(shí)施方式中,轉(zhuǎn)換器180在CHAP-詢(xún)問(wèn)屬性或RADIUS請(qǐng)求s29的鑒權(quán)方字段中限定詢(xún)問(wèn)的值�,并#屬性CHAP-口令 中指定EAP響應(yīng)消息s28的標(biāo)識(shí)符和從EAP響應(yīng)消息s28的字段cl3中提取的對(duì)詢(xún) 問(wèn)的響應(yīng)。
在本發(fā)明的一個(gè)特殊的實(shí)施方式中���,轉(zhuǎn)換器180還^y于額外的代理-類(lèi)型處理���。因此��,轉(zhuǎn)換器180已知的信息在RADIUS屬性中發(fā)i^i合RADIUS月良務(wù)器190���。例如,并且不完全的���,該信息是由與鑒權(quán)方170 或EAP 對(duì)等體160 相關(guān)聯(lián)的轉(zhuǎn)換器限定的信息,并且可能對(duì) RADIUS服務(wù)器有用�����。
在步驟31的最后��,由轉(zhuǎn)換器180構(gòu)造的訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s29被發(fā)送 給RADIUS服務(wù)器190���。
在步驟32��,接收訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s29后����,鑒43Ul務(wù)器190以與PPP CHAP方法相同的方式來(lái)4b正用戶(hù)的鑒權(quán)��。
RADIUS服務(wù)器190向轉(zhuǎn)換器180發(fā)送鑒;Ri吉果消息s30��。如果鑒權(quán)成功則鑒權(quán) 結(jié)果消息s30是訪問(wèn)-接受類(lèi)型RADIUS響應(yīng),如果失敗則是RADIUS響應(yīng)訪問(wèn)-拒絕 的RADIUS響應(yīng)����。
在步驟33,接收鑒權(quán)結(jié)果消息s30后�����,轉(zhuǎn)換器180分析鑒權(quán)結(jié)果消息s30��,并 且準(zhǔn)^^將所述的消息s30轉(zhuǎn)纟線EAP消息���。用于轉(zhuǎn)換的準(zhǔn)備在于選擇作為鑒;^i吉果 發(fā)送給鑒權(quán)系統(tǒng)的消息�。轉(zhuǎn)換器基于接收的RADIUS響應(yīng)和/或RADIUS響應(yīng)的RADIUS 屬性的值和/或轉(zhuǎn)換器內(nèi)在^^牛選擇響應(yīng)消息����。在本發(fā)明的一個(gè)實(shí)施方式中,轉(zhuǎn)換器 產(chǎn)生響應(yīng)消息s31�����,如果消息s30 ^i方問(wèn)-4妻受類(lèi)型RADIUS響應(yīng)則消息s31是EAP-成功類(lèi)型EAP消息���,并且如果消息s 30是訪問(wèn)拒絕類(lèi)型RADIUS響應(yīng)則消息s 31是EAP-失敗類(lèi)型EAP消息����。在本發(fā)明的一個(gè)特殊實(shí)施方式中,代理-類(lèi)型處理也可以用于基 于轉(zhuǎn)換器180定義的標(biāo)準(zhǔn)調(diào)整響應(yīng)消息s31�。在步驟s33的最后,響應(yīng)消息s31祐l 敬鑒W 170���。
在步驟34�����,接收響應(yīng)消息s31后,鑒權(quán)方170在消息s32中將EAP-成功或EAP-失敗類(lèi)型EAP響應(yīng)消息s31中繼到EAP對(duì)等體160���。
在步驟35���,接收消息s32后,EAP對(duì)等體160訪問(wèn)物理資源或者不訪問(wèn)�����。
為了簡(jiǎn)明�,沒(méi)有描述特定于EAP和鏈接到消息重傳的RADIUS協(xié)議、及^f諸該重 傳必須的信息的才幾制�。
圖6例示了參考圖5描述的轉(zhuǎn)換器的功能被集成到鑒權(quán)方系統(tǒng)的�,根據(jù)本發(fā)明 的轉(zhuǎn)換方法的第二種變化中發(fā)生的信息交換���。EAP對(duì)等體200是待鑒權(quán)的客戶(hù)端�。鑒 權(quán)方-轉(zhuǎn)換器210是控制物理資源訪問(wèn)和城轉(zhuǎn)換器功能的鑒權(quán)方系統(tǒng)����。RADIUS月l務(wù) 器220控制EAP對(duì)等體200的訪問(wèn)。
步驟41, 42�����, 44, 46, 48����, 50與參考圖5描述的步驟22, 23, 26, 29����, 32, 35^i目同的類(lèi)型����。
步驟43,相比圖中的步驟25,鑒權(quán)方-轉(zhuǎn)換器210確定要采用的EAP鑒權(quán)方 法是EAPMD5-詢(xún)問(wèn)方法��,并且確定必須請(qǐng)求RADIUS服務(wù)器220來(lái)產(chǎn)生詢(xún)問(wèn)���。鑒權(quán)方 -轉(zhuǎn)換器210向RADIUS服務(wù)器220發(fā)送訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s42���。在本發(fā)明的 可選實(shí)施方式中,鑒權(quán)方-轉(zhuǎn)換器210選擇其自身來(lái)產(chǎn)生詢(xún)問(wèn)�。這樣與RADIUS服務(wù) 器220無(wú)消息的交換。
在步驟45�����,接收包含步驟43中請(qǐng)求的詢(xún)問(wèn)的訪問(wèn)-詢(xún)問(wèn)類(lèi)型RADIUS響應(yīng)s43 (與圖5中的響應(yīng)s24是相同的類(lèi)型)后����,鑒權(quán)方-轉(zhuǎn)換器210產(chǎn)生EAP詢(xún)問(wèn)消息s牧 從RADIUS服務(wù)器220接收的在訪問(wèn)-詢(xún)問(wèn)類(lèi)型RADIUS響應(yīng)s43中的詢(xún)問(wèn)被插入到EAP 詢(xún)問(wèn)消息s44的字段cl3中�。
在鑒權(quán)方-轉(zhuǎn)換器210自身產(chǎn)生詢(xún)問(wèn)的本發(fā)明可選實(shí)施方式中,該詢(xún)問(wèn)被插入到
EAP詢(xún)問(wèn)消息s44的字段c13中�。
鑒權(quán)方-轉(zhuǎn)換器210的身份有利^M皮限定在EAP詢(xún)問(wèn)消息s44的字段cl4中。在 步驟45的最后���,EAP詢(xún)問(wèn)消息s44 被發(fā)送到EAP對(duì)等體200�����。
在步驟47����,接收EAP響應(yīng)消息s45 (與圖5中的消息s27是相同的類(lèi)型)后, 進(jìn)行類(lèi)似于圖5中步驟31中轉(zhuǎn)換器實(shí)現(xiàn)的處理�����。鑒權(quán)方-轉(zhuǎn)換器210從之前步驟中 交換的EAP消息中包含的鑒權(quán)信息中產(chǎn)生訪問(wèn)-請(qǐng)求類(lèi)型RADIUS請(qǐng)求s46��。訪問(wèn)-請(qǐng) 求類(lèi)型RADIUS請(qǐng)求s46包括多個(gè)RADIUS屬性
-鑒權(quán)方-轉(zhuǎn)換器210在其中插入與EAP對(duì)等體200相關(guān)聯(lián)的用戶(hù)的標(biāo)識(shí)符的屬 性用戶(hù)-名稱(chēng)��,其可包括從EAP消息s41的字段cll及EAP消息s41的字段cl4獲得 的信息�����。在本發(fā)明的一個(gè)特定實(shí)施方式中��,鑒權(quán)方-轉(zhuǎn)換器21Q完成用戶(hù)-名稱(chēng)屬性 或者從如鑒權(quán)方-轉(zhuǎn)換器210訪問(wèn)的數(shù)據(jù)庫(kù)中存儲(chǔ)的信息一樣的用戶(hù)掌握的特有信息 中產(chǎn)生標(biāo)識(shí)符�。
屬性CHAP-口令,其中鑒權(quán)方-轉(zhuǎn)換器210復(fù)制作為當(dāng)前EAP ^S舌標(biāo)識(shí)符的EAP 響應(yīng)消息s45的標(biāo)識(shí)符及從EAP響應(yīng)消息s45的字段cl3中提取的對(duì)詢(xún)問(wèn)的響應(yīng)����。 當(dāng)詢(xún)問(wèn)被鑒權(quán)方-轉(zhuǎn)換器210 ^f諸���,并錄RADIUS請(qǐng)求s46中、在RADIUS屬性CHAP-詢(xún)問(wèn)中����、或在所述請(qǐng)求的鑒權(quán)方字段中^^i^J'J RADIUS服務(wù)器220時(shí),填充屬性 CHAP-口令����。
.
屬性用戶(hù)-口令,包含響應(yīng)消息s45的標(biāo)識(shí)符和從EAP響應(yīng)消息s45的字段 c13中提取的對(duì)詢(xún)問(wèn)的響應(yīng)�。當(dāng)詢(xún)問(wèn)未在RADIUS請(qǐng)求s46中由鑒權(quán)方-轉(zhuǎn)換器210 發(fā)彩U RADIUS服務(wù)器時(shí)填充屬性用戶(hù)-口令。
在鑒權(quán)方-轉(zhuǎn)換器210自身產(chǎn)生詢(xún)問(wèn)的可選的本發(fā)明的實(shí)施方式中����,鑒權(quán)方-轉(zhuǎn) 換器210在RADIUS請(qǐng)求s46的CHAP-詢(xún)問(wèn)屬性或鑒權(quán)方字段中限定詢(xún)問(wèn)的值,并且 在CHAP-口令屬性中限定EAP響應(yīng)消息s45的標(biāo)識(shí)符和從EAP響應(yīng)消息s45的字段 c13中提耳又的對(duì)詢(xún)問(wèn)的響應(yīng)�����。
在本發(fā)明的一個(gè)特殊實(shí)施方式中�����,代理-類(lèi)型額外處理也由以RADIUS屬性向 RADIUS服務(wù)器發(fā)送信息的鑒權(quán)方-轉(zhuǎn)換器210 4W亍����。EAP響應(yīng)消息s46祐發(fā)iti合 RADIUS服務(wù)器220。
在步驟49,接收鑒權(quán)結(jié)果消息s47 (與消息s30的類(lèi)型相同)后����,為了EAP對(duì) 等體200的關(guān)注,當(dāng)消息s47是訪問(wèn)-接收類(lèi)型RADIUS響應(yīng)時(shí)鑒權(quán)方-服務(wù)器210產(chǎn) 生為EAP消息EAP-成功的響應(yīng)消息s48���,并且當(dāng)消息s47 是訪問(wèn)-拒絕類(lèi)型RADIUS響應(yīng)時(shí)產(chǎn)生為EAP消息EAP-失敗的響應(yīng)消息s48����。在本發(fā)明的一個(gè)特定實(shí)施方式中��, 代理-類(lèi)型處理也可以基于鑒權(quán)方-轉(zhuǎn)換器210中定義的標(biāo)準(zhǔn)調(diào)整響應(yīng)消息s48�����。
在步驟50中�,接收響應(yīng)消息s48后,EAP對(duì)等體200訪問(wèn)物理資源或者不訪問(wèn)�。
圖7是描述網(wǎng)絡(luò)結(jié)構(gòu)的一個(gè)實(shí)例的圖表,其中描述了根據(jù)本發(fā)明的轉(zhuǎn)換方法所 涉及的實(shí)體��。
EAP對(duì)等體160正試圖訪問(wèn)由構(gòu)成網(wǎng)絡(luò)接入點(diǎn)的鑒權(quán)方170控制的IP網(wǎng)絡(luò)250 的物理資源��。EAP對(duì)等體160必須預(yù)先被鑒權(quán)。RADIUS服務(wù)器190馬b正EAP對(duì)等體 160已經(jīng)被鑒權(quán)并且有訪問(wèn)網(wǎng)絡(luò)250物理資源的權(quán)限�����。RADIUS服務(wù)器190沒(méi)有EAP 功能��。
為了被鑒權(quán)���,EAP對(duì)等體160根據(jù)EAP MD5-詢(xún)問(wèn)鑒權(quán)方法與鑒權(quán)方170對(duì)話�����。 鑒權(quán)方170請(qǐng)求RADIUS服務(wù)器190驗(yàn)證EAP對(duì)等體160是否有權(quán)限訪問(wèn)資源�。為此�, EAP對(duì)等體160與轉(zhuǎn)換器180對(duì)話,據(jù)提到本發(fā)明����,轉(zhuǎn)換器180可以將EAP MD5-詢(xún) 問(wèn)鑒權(quán)消息轉(zhuǎn)l線RADIUS服務(wù)器190可理解的PPP CHAP-RADIUS鑒權(quán)消息。轉(zhuǎn)換器 180向RADIUS服務(wù)器190提供從鑒權(quán)方170接收的EAP對(duì)等體160特有的鑒權(quán)數(shù)據(jù)�����。 其從RADIUS服務(wù)器190 接收鑒權(quán)接果�����。為了鑒權(quán)方170的關(guān)注轉(zhuǎn)換器轉(zhuǎn)換該結(jié)果���。 鑒權(quán)方170通知EAP對(duì)等體160鑒權(quán)接果����。
圖8是描述網(wǎng)絡(luò)結(jié)構(gòu)的第二個(gè)變化的圖表�����,其中描述了根據(jù)本發(fā)明的轉(zhuǎn)換方法 所涉及的實(shí)體�。在此變化中,是鑒權(quán)方-轉(zhuǎn)換器210����, 具體到本發(fā)明,是寺似亍圖7中 的鑒權(quán)方170和轉(zhuǎn)換器180功能的鑒權(quán)方系統(tǒng)��。
圖9是例示根據(jù)本發(fā)明的轉(zhuǎn)換器和鑒權(quán)方-轉(zhuǎn)換器的功能結(jié)構(gòu)的圖表�。
轉(zhuǎn)換器180由如下主要功模塊構(gòu)成
用于獲取為隨機(jī)值的詢(xún)問(wèn)的模塊281。由該才狹產(chǎn)生詢(xún)問(wèn)或在向鑒權(quán)服務(wù)器
提交產(chǎn)生請(qǐng)求后由該才勢(shì)夾獲得詢(xún)問(wèn)�����。
.
用于發(fā)送消息的沖勢(shì)夾282。為了獲得詢(xún)問(wèn)���,該模塊負(fù)責(zé)發(fā)送由消息處理模塊 或模塊281準(zhǔn)備的外部實(shí)體消息�����。為此��,其有多個(gè)外部接口接口i282-l用于向鑒 權(quán)務(wù)器發(fā)送消息����,并且接口 i282-3用于向鑒權(quán)方發(fā)送消息�����。
用于接收消息的才勢(shì)夾283����。該模塊通過(guò)多個(gè)接口從外部實(shí)體接收消息,接口 包括用于接收鑒權(quán)方發(fā)送的消息的接口 i 28 3-1和用于接收鑒權(quán)服務(wù)器發(fā)送的消息的 接口 i283-3����。該模塊將接收的消息發(fā)給處理模塊。
處理模塊284。該模塊分析從消息接收模塊283接收的消息���,將鑒權(quán)數(shù)據(jù)從 一個(gè)協(xié)議轉(zhuǎn)換成另一個(gè)協(xié)議��,并且產(chǎn)生將由消息發(fā)送模塊282發(fā)送的消息。
用于選3奪EAP支持的鑒權(quán)方法的才勢(shì)夾285��。
通信信道288由各^^f躺來(lái)交換信息�����。例如�,用于獲耳又詢(xún)問(wèn)的才勢(shì)夾281可以 向用于發(fā)送消息的模塊282發(fā)送詢(xún)問(wèn)請(qǐng)求,用于發(fā)送消息的模塊282發(fā)送該請(qǐng)求給 鑒組務(wù)器�����。
鑒權(quán)方-轉(zhuǎn)換器210包含與轉(zhuǎn)換器180相同的功肯M狹���。用于發(fā)送消息的才 282與轉(zhuǎn)換器180的不同在于它包^f乍為對(duì)等體引起注意信號(hào)用于發(fā)送消息的接口 i282-2而沒(méi)有與^^4x^的4妻口 i282-3���。鑒^^-轉(zhuǎn)換器210的消息4婁收4勢(shì)夾283與 轉(zhuǎn)換器180的不同在于,它沒(méi)有與鑒^^"的接口 i283-l并且具有用于A^j"等^^妻收 消息的接口 i283-2���。
上面描述的功肯^勢(shì)夾和接口有利地以^f諸在轉(zhuǎn)換器180 (分別為鑒權(quán)方-轉(zhuǎn)換器 210)的^^諸器中的程序的形式實(shí)現(xiàn)�����,并且由所述的轉(zhuǎn)換器(分別為鑒權(quán)方-轉(zhuǎn)換器) 得處理器來(lái)擬亍�。
圖IO是表示根據(jù)本發(fā)明的轉(zhuǎn)換器180的主^"部件的圖表。
主要計(jì)算在稱(chēng)為中央處理單元(CPU)的中央部件36Q中實(shí)現(xiàn)���。特別地�,CPIB60 ^^亍加載到隨機(jī)訪問(wèn)存儲(chǔ)器(RAM) 365中的程序�,該R層存儲(chǔ)由CPU處理的數(shù)據(jù)。
外圍設(shè)備370處理在處理器與外部世界間的通信�。為了簡(jiǎn)化未在圖表中詳細(xì)表 示。例如���,并且不完全地����,夕卜圍設(shè)備是網(wǎng)絡(luò)連接才勢(shì)夾��,可移動(dòng)盤(pán)等等���。
總線375用于在轉(zhuǎn)換器180的部件間傳輸數(shù)據(jù)�����。
本發(fā)明特有的轉(zhuǎn)換程序380 4孩在圖表中未示出的外圍設(shè)備中���。該程序包括參 考圖9所描述的功負(fù)M^夾并且以程序指令的方iO^亍���。該程序被CPU加載到用于執(zhí) 行指令的隨機(jī)訪問(wèn)^f諸器365中。
圖10同等地應(yīng)用于圖6所示的鑒4W-轉(zhuǎn)換器210���。鑒權(quán)方-轉(zhuǎn)換器的主要部件 與轉(zhuǎn)換器180的主要郎件類(lèi)似。只有轉(zhuǎn)換程序380是不同的�。對(duì)于鑒權(quán)方-轉(zhuǎn)換器, 特有的禾踏包括參考圖9描述的以禾踏指令形式^^亍的功禽a勢(shì)夬�。所述的程序^^口 載到隨機(jī)訪問(wèn)##器365中用于CPU 4W亍指令。
權(quán)利要求
1�、一種在將具有身份和試圖訪問(wèn)網(wǎng)絡(luò)(250)的資源的對(duì)等體(160)連接到鑒權(quán)方(170)的鑒權(quán)階段,將遵照第一鑒權(quán)協(xié)議的消息轉(zhuǎn)換為遵照第二鑒權(quán)協(xié)議的消息的方法�����,其中基于對(duì)等體身份和權(quán)限的驗(yàn)證所述鑒權(quán)服務(wù)器授權(quán)訪問(wèn)所述網(wǎng)絡(luò)���,而所述驗(yàn)證由鑒權(quán)服務(wù)器(190)基于在遵照第二鑒權(quán)協(xié)議的消息中接收的鑒權(quán)數(shù)據(jù)來(lái)實(shí)現(xiàn)���,其特征在于轉(zhuǎn)換方法包括·在遵照第一鑒權(quán)協(xié)議的消息中接收對(duì)等體身份的步驟(25)���;·產(chǎn)生和發(fā)送詢(xún)問(wèn)的步驟(27);·接收響應(yīng)于所述詢(xún)問(wèn)的第一響應(yīng)�,產(chǎn)生用于訪問(wèn)網(wǎng)絡(luò)的遵照第二鑒權(quán)協(xié)議的請(qǐng)求,并且向所述鑒權(quán)服務(wù)器發(fā)送所述請(qǐng)求的步驟(31)���;以及·接收響應(yīng)所述請(qǐng)求的第二響應(yīng)����,并且轉(zhuǎn)換所述第二響應(yīng)來(lái)產(chǎn)生遵照第一鑒權(quán)協(xié)議的鑒權(quán)結(jié)果的步驟(33)���。
2��、 根據(jù)權(quán)利要求l的方法���,其特44于該方法包括選擇所述第一鑒權(quán)協(xié)議支持的鑒權(quán)方法的步驟。
3�、 根據(jù)任意在前權(quán)限要求的方法,其特;f球于產(chǎn)生所述詢(xún)問(wèn)包括 . 從所述鑒權(quán)其服務(wù)器(190 )請(qǐng)求所述詢(xún)問(wèn)的步驟(25 );以及.接收所述詢(xún)問(wèn)的步驟(27)��。
4��、 一種鑒權(quán)具有身份并且為了訪問(wèn)網(wǎng)絡(luò)(250 )的資源連接到遵照第一鑒權(quán)協(xié) 議的鑒4訪-轉(zhuǎn)換器(210)的對(duì)等體(200 )的方法,其中所述鑒權(quán)方-轉(zhuǎn)換器基于 對(duì)等體身份和權(quán)限驗(yàn)證受權(quán)訪問(wèn)所述網(wǎng)絡(luò)�����,而所述驗(yàn)證基于在遵照第二鑒權(quán)協(xié)議的 消息中接收的鑒權(quán)數(shù)提由鑒4W良務(wù)器(220 )來(lái)實(shí)現(xiàn)�,該方法包括.向?qū)Φ润w發(fā)送身份清求的步驟(41); 在遵照第一鑒權(quán)協(xié)議的消息中接收對(duì)于等體身份的步驟(43); 產(chǎn)生和發(fā)送詢(xún)問(wèn)的步驟(45); 其特征在于該鑒權(quán)方法集成用于將遵照第一鑒權(quán)協(xié)議的消息轉(zhuǎn)換為遵照第二 鑒權(quán)協(xié)議的消息的功能,并且在于其進(jìn)一步包括.步驟(47)�����,接收�����。向應(yīng)于所述詢(xún)問(wèn)的第一響應(yīng)���,產(chǎn)生遵照第二鑒權(quán)協(xié)議的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求,并且向所述鑒權(quán)服務(wù)器發(fā)送所述請(qǐng)求��;以及.步驟(49)�����,接收響應(yīng)于所述請(qǐng)求的第二響應(yīng)���,轉(zhuǎn)換所述第二響應(yīng)以產(chǎn)生遵照第一鑒權(quán)協(xié)議的鑒權(quán)結(jié)果���,并且發(fā)送所述鑒權(quán)結(jié)果���。
5、 一種轉(zhuǎn)換器設(shè)備�����,適用于在將具有身份和試圖訪問(wèn)網(wǎng)絡(luò)(250 )的資源的對(duì) 等體(160)連接到鑒權(quán)方(170)的鑒權(quán)階段���,將遵照第一鑒權(quán)協(xié)議的消息轉(zhuǎn)換為 遵照第^!4又消息��,其中基于對(duì)等體身份和權(quán)限的^i正所述鑒^C務(wù)器授權(quán)訪問(wèn)所 述網(wǎng)絡(luò)���,而所述-^i正由鑒一3Ul務(wù)器(190)基于在遵照第Ji^權(quán)協(xié)議的消息中接收的 鑒權(quán)數(shù)據(jù)來(lái)實(shí)現(xiàn),其特44于轉(zhuǎn)換器設(shè)備包拾■用于獲得詢(xún)問(wèn)的才勢(shì)夾281; 用于發(fā)送所述的詢(xún)問(wèn)和網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的才勢(shì)太282;-用于接^^f等體的身份����,響應(yīng)于所述詢(xún)問(wèn)的第一響應(yīng),和響應(yīng)于所述網(wǎng)絡(luò)訪 問(wèn)請(qǐng)求的第二響應(yīng)的4莫塊283;和 產(chǎn)生遵照第二鑒權(quán)協(xié)議的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求并且轉(zhuǎn)換遵照第一鑒權(quán)協(xié)議的鑒^^吉 果的處理器才莫塊284�。
6、 根據(jù)權(quán)利要求4的設(shè)備���,其特4礎(chǔ)于其進(jìn)一步包括才勢(shì)夾281,用于選擇所述 第 一鑒權(quán)協(xié)議支持的鑒權(quán)方法�����。
7 �����、 一種鑒權(quán)方-轉(zhuǎn)換器設(shè)^( 210 ),適用于鑒權(quán)具有身份并且為了訪問(wèn)網(wǎng)2 5 0 ) 的資源依照第一鑒權(quán)協(xié)議與所述設(shè)備對(duì)話的對(duì)等體(200 )�����,其中基于對(duì)等體身傷咖 權(quán)隊(duì)險(xiǎn)i正的所述鑒權(quán)方-轉(zhuǎn)換器授權(quán)訪問(wèn)所述網(wǎng)絡(luò)���,而所述馬b正基于在遵照第4權(quán) 協(xié)議的消息中接收的鑒權(quán)數(shù)據(jù)由鑒斥5Jl務(wù)器(220 )來(lái)實(shí)現(xiàn)���,該設(shè)備包括 才M (281)��,用于獲得詢(xún)問(wèn)�����;-才勢(shì)夾(282 )�����,用于發(fā)i^十等體身^i青求,所述詢(xún)問(wèn)����,網(wǎng)絡(luò)訪問(wèn)請(qǐng)求和鑒權(quán)結(jié) 果;和-模塊(283 )�,用于接收所述身份,響應(yīng)于所述詢(xún)問(wèn)的第一響應(yīng)���,和響應(yīng)于所 述網(wǎng)絡(luò)訪問(wèn)請(qǐng)求的第二響應(yīng)�;其特征在于該設(shè)備適合于將遵照第 一鑒權(quán)協(xié)議的消息轉(zhuǎn)換為遵照第^#權(quán)協(xié)議 的消息�����,并且在于該設(shè)備進(jìn)一步包括-處理器模塊(284 ),產(chǎn)生遵照第4權(quán)協(xié)議的網(wǎng)絡(luò)訪問(wèn)請(qǐng)求并且轉(zhuǎn)換遵照第 ^P又協(xié)議的鑒^i吉果�。
8、'一種鑒權(quán)系統(tǒng)��,包4封式圖訪問(wèn)網(wǎng)絡(luò)(250 )的資源并且必須通過(guò)發(fā)送由鑒權(quán) 服務(wù)器(190�, 220 )根據(jù)第^^14又協(xié)議接收和^i正、遵照第一鑒權(quán)協(xié)議的鑒權(quán)數(shù)據(jù)���, 來(lái)由鑒;fc^系統(tǒng)(170��, 210)鑒權(quán)的對(duì)等體(160��, 200 )��,其特4i^于該系統(tǒng)包括,用于將第一+辦議的鑒權(quán)數(shù)據(jù)轉(zhuǎn)換為第二協(xié)議的鑒權(quán)數(shù)據(jù)的裝置��;和 -用于鑒^i^戶(hù)端的裝置�。
9、 一種鑒權(quán)系統(tǒng)�,包括試圖訪問(wèn)網(wǎng)絡(luò)(250 )的資源并且必須通過(guò)發(fā)送由鑒權(quán) 服務(wù)器(190, 220 )根據(jù)第J^^權(quán)協(xié)議接收和^i正的����、依照第一鑒權(quán)協(xié)議的鑒權(quán)數(shù) 據(jù),來(lái)由鑒權(quán)方系統(tǒng)(170����, 210)鑒權(quán)的對(duì)等體(160, 200 )��,其特4i^于用于將第 一協(xié)議的鑒權(quán)數(shù)據(jù)轉(zhuǎn)換為第二協(xié)議的鑒權(quán)數(shù)據(jù)的裝置酉e^根據(jù)權(quán)利要求4的轉(zhuǎn)換器 設(shè)備���。
10、 一種鑒權(quán)系統(tǒng)��,包括試圖訪問(wèn)網(wǎng)絡(luò)(250 )的資源并且必須通過(guò)發(fā)送由鑒權(quán) 服務(wù)器(190, 220 )根據(jù)第^TLi4又協(xié)議馬^i正的�����、符合第一鑒權(quán)協(xié)議的鑒權(quán)數(shù)據(jù)��,來(lái) 由鑒權(quán)方系統(tǒng)(170����, 210)鑒權(quán)的對(duì)等體(160, 200 ),其特征在于用于將第一協(xié)議 的鑒權(quán)數(shù)據(jù)轉(zhuǎn)換為第二協(xié)議的鑒權(quán)數(shù)據(jù)的裝置和用于鑒^^戶(hù)端的裝置K^根據(jù)權(quán) 利要求5的鑒;fc^-轉(zhuǎn)換器設(shè)備���。
11����、 一種計(jì)算才W呈序���,包括當(dāng)由孩伙理器(360 )#^亍時(shí)�����,用于寺;Mf4艮據(jù)權(quán)利要 求1的方法的指令����。
12、 一種計(jì)算;N呈序����,包括當(dāng)由m^理器(360 H似亍時(shí),用于執(zhí)frf艮據(jù)權(quán)利 要求4的方法的指令��。
全文摘要
本發(fā)明涉及一種在具有身份和試圖訪問(wèn)網(wǎng)絡(luò)資源的對(duì)等體連接鑒權(quán)方的鑒權(quán)階段��,將遵照第一鑒權(quán)協(xié)議的消息轉(zhuǎn)換為遵照第二鑒權(quán)協(xié)議的消息的方法�����,功能為對(duì)等體身份和權(quán)限驗(yàn)證的所述的鑒權(quán)方通過(guò)功能為鑒權(quán)在遵照第二鑒權(quán)協(xié)議的消息中接收的數(shù)據(jù)的鑒權(quán)服務(wù)器來(lái)實(shí)現(xiàn)授權(quán)訪問(wèn)網(wǎng)絡(luò)��,其特征在于轉(zhuǎn)換方法包括在遵照第一鑒權(quán)協(xié)議的消息中接收對(duì)等體身份的步驟��;產(chǎn)生和發(fā)送詢(xún)問(wèn)的步驟���;接收響應(yīng)于所述詢(xún)問(wèn)的第一響應(yīng)����,產(chǎn)生用于訪問(wèn)網(wǎng)絡(luò)的遵照第二鑒權(quán)協(xié)議的請(qǐng)求�����,并且向鑒權(quán)服務(wù)器發(fā)送所述請(qǐng)求的步驟���;以及接收響應(yīng)該請(qǐng)求的第二響應(yīng)并且轉(zhuǎn)換第二響應(yīng)來(lái)產(chǎn)生遵照第一鑒權(quán)協(xié)議的鑒權(quán)結(jié)果的步驟��。
文檔編號(hào)H04L9/32GK101204038SQ200680021564
公開(kāi)日2008年6月18日 申請(qǐng)日期2006年6月7日 優(yōu)先權(quán)日2005年6月16日
發(fā)明者克萊爾·杜蘭頓, 馬加利·克拉索斯 申請(qǐng)人:法國(guó)電信公司