专利名称::认证鉴权计费系统和方法
技术领域:
:本发明涉及一种认证鉴权计费系统和方法,尤其是一种基于直径信用控制协议的认证授权计费系统和方法。
背景技术:
:在目前互联网技术普遍应用的环境下,如何保证计算机网络资源使用的安全性,如何保护用户和网络资源提供者的合法权益,以及如何有效记录用户使用网络的过程,成为网络服务提供者必须考虑和解决的问题。随着验证、授权、计费(Authentication、Authorization、Accounting,以下简称AAA)技术及协议的发展和完善,AAA技术已成为网络服务提供者和网络用户间联系的基础,只有安全可靠的AAA技术才能保证双方的利益。远程认证拨号用户月l务(RemoteAuthenticationDialInUserService,以下简称RADIUS)协议是一种目前应用比專交广泛的AAA安全协议。RADIUS协议是一种以凄t据才艮协议(UserDatagramProtocol,以下简称UDP)通信才几制提供网络接入月良务器(NetworkAccessServer,以下简称NAS)和集中存放认证信息的RADIUS服务器之间传输认证、授权和配置信息的协议。RADIUS的最初设计用于满足在拨号方式的网络中实现AAA需求,利用RADIUS基础协议,用户可以在拨号环境中通过调制解调器呼叫NAS,NAS再将用户身份信息转发到存有用户信息资料的RADIUS服务器。服务器收到并处理转发来的请求后向NAS应答该用户是否可以使用网络,以及该用户可以使用哪些服务。在这种框架中NAS被称为RADIUS客户端。RADIUS的基本工作原理是用户接入NAS,NAS向RADIUS服务器发送包括用户名、用户密码等信息的Access-Require数据包,其中用户密码是经过MD5加密的,RADIUS客户端和服务器通过共享密钥来保证认证信息的安全与可靠性。RADIUS服务器对用户名和密码的合法性进行;险验,必要时可以提出一个挑战(Challenge),要求进一步对用户进行认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作;如杲允许访问,MS向RADIUS服务器提出计费请求Account-Require,RADIUS月艮务器响应一Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。然而,RADIUS协议是在20世纪90年代初设计的,其目的是适应当时的网络环境与AAA需求。随着新的技术的引入和接入网络的快速扩容,越来越复杂的路由器和网络接入服务器的大量投入使用,应用的爆炸性增长,应用计费模式的多元化,传统AAA网络显然无法满足当前与未来AAA应用发展的需要。直径(Diameter)协议正是在这种需求下应运而生。表1通过Diameter和RADIUS协议的比较说明了Diameter协议的主要功能特点和突出优势。由表l可以看出,Diameter协议无论在安全性、可靠性、可扩展性还是网络结构以及对移动漫游的支持都明显优于RADIUS协议,并且更符合统一、开放、分布、移动的特点。<tablecomplextableseeoriginaldocumentpage5</column></row><table><table>complextableseeoriginaldocumentpage6</column></row><table>表1直径信用控制应用(DiameterCreditControlApplication,以下简称DCCA)协议属于直径(diameter)协议的应用协议,是在直径基础协议(diameterbase)基础上新增了信用控制请求(CreditControlRequest,以下简称CCR)和信用控制响应消息(CreditControlAnswer,以下简称CCA)。DCCA协议是以对等模式进行的,区别于RADIUS协议采用的客户/服务器模式,由于每个节点(客户端、服务器端)都可向对方主动发起消息,因此提高了网络性能,具有较强的可扩展性。DCCA协议具有大的属性数据空间,数据对象封装在属性值对(AttributeValuePair,以下简称AVP)中,通过AVP传输用户的认证和授权信息、交互用以计费的资源使用信息等参数。DCCA协议支持实时实时控制、支持会话计费和事件计费,具有安全、高效的特点及很强的扩展性。
发明内容本发明的目的是提供一种认证鉴权计费系统及方法,用以解决现有技术不能满足当前AAA发展需求的问题,实现应用能够满足当前AAA需求的DCCA协议的认证鉴权计费系统和方法,并且可以实现区分内容的计费。本发明第一个方面认证鉴权计费系统通过一些实施例提供了如下的技术方案一种认证鉴权计费系统,包括触发网元,发送认证鉴权计费请求至业务平台,所述认证鉴权计费请求中携带用户及业务信息;业务平台,根据所述用户及业务信息进行认证鉴权和计费;所述触发网元包括第一直径信用控制应用协议接口,所述业务平台包括第二直径信用控制应用协议接口。本发明第二个方面认证鉴权计费方法通过另一些实施例提供了如下的技术方案一种认证鉴权计费方法,包括接收认证鉴权计费请求,并根据所述认证鉴权计费请求判断用户及业务是否正常,若是,则对通过认证鉴权的业务进行计费并返回认证鉴权计费应答;否则,返回认证失败消息,所述认证鉴权计费请求和认证鉴权计费应答为直径控制应用协i义中的消息。本发明通过将具有良好的网络适应性和可扩展性的DCCA协议作为AAA技术的标准协议,实现了通过DCCA协议进行认证鉴权和计费,并且进一步对DCCA协议进行一些处理,使之能够对业务进行认证鉴权,能够实现区分内容的计费,包括业务使用次数或业务使用时长或业务使用流量的计费。图1为本发明认证鉴权计费系统实施例一结构示意图2为本发明认证鉴权计费系统实施例二结构示意图3为本发明认证鉴权计费方法实施例一流程图4为本发明认证鉴权计费方法实施例二流程图。具体实施例方式下面结合附图和具体实施例进一步说明本发明的技术方案。图l为本发明认证鉴权计费系统实施例一结构示意图。如图l所示,该认证鉴权计费系统包括触发网元l、业务平台2;触发网元1发送AAA请求至业务平台,所述AAA请求中携带用户及业务信息;业务平台2^f艮据所述用户及业务信息进行认证鉴权和计费;所述触发网元1和业务平台2之间釆用DCCA协议进行交互,因此触发网元l内和业务平台2内具有相应的DCCA接口10和20,采用CCR/CCA进行交互。本实施例釆用DCCA协议,可以避免采用RADIUS协议存在的问题,更好地支持各种新技术及网络的应用、计费的扩充。图2为本发明认证鉴权计费系统实施例二结构示意图。如图2所示,相比于实施例一,该认证鉴权计费系统的业务平台2还包括认证鉴权模块21和计费模块22;认证鉴权模块21用于根据所述用户及业务信息进行认证鉴权,所述认证鉴权包括用户鉴权、业务提供商(SP)鉴权、业务产品鉴权及用户签约关系鉴权;计费模块22用于根据所述业务使用情况和内置的计费策略对通过认证鉴权的业务进行批价。其中,所述用户及业务信息包括用户标识、业务参数信息;用户标识用于对用户进行鉴权;业务参数信息携带用户访问的URL地址的,用于对SP及业务产品进行鉴权;用户标识和业务参数信息的组合用于对用户签约关系进行鉴权。业务使用情况包括业务使用类别和业务使用量,所述业务使用量包括业务使用的次数或业务使用的时长或业务使用的流量。在移动数据网的业务中,DCCA请求由IP网关(触发网元)触发,IPGW是集成在信用控制客户端的通用分组交换业务支持节点(GPRSSupportingNode,以下筒称GGSN)的一个功能组件,具有7层协议解析和分析功能,当用户进行业务访问时,它能够分析统一资源定位器(UniformResourceLacator,以下简称URL)地址,/人而知道用户具体访问了哪一个无限应用协议(WirelessApplicationProtocol,以下简称WAP)页面,或哪一个游戏、哪一个影片等,并能触发DCCA请求至业务平台。现有的DCCA不能支持业务的认证鉴权的原因是,DCCA请求中没有携带具体某个业务的标识,既然不能确定到底是哪一个业务,也就无法进行业务的鉴权。为了实现业务的认证鉴权,在DCCA请求中必须要包括一个标识具体业务的参数,因为DCCA中用AVP来传递各个参数,因而很容易想到增加一AVP来进行业务标识的传递,但是由于每个AVP都有一个由INAN分配的AVP代码,因此最简单的方式并不是冒然的增加一个AVP来传递业务标识,而是扩展现有的AVP。在增值业务平台中,每个业务由一个唯一的ID来标识,如果让DCCA的触发网元携带ID来标识业务,那就需要事先把大量的增值业务ID信息配置到网元中去,这样工作量会很大,因此不太合适。在DCCA请求的大量AVP中,其中的业务参数信息(Service-Parameter-Info)AVP是携带用户访问的URL地址的,由于每个用户访问的URL地址不同,其对应的业务也是不同的,因此,可以根据URL地址来确定具体的业务,即将业务参数信息中携带的信息作为业务标识信息。Service-Parameter-Info中携带的数据是OctetString型的,没有位数限制,可以区分大量不同的业务。现有技术中,对用户所使用的业务只有资金计费,但是如果运营商免费提供给用户资源时,这些资源包括短消息、彩信或数据流的流量等,当用户使用某项业务后,对用户扣除信用额度时,用户希望先扣除这些资源,再进行资金的扣除。为了满足这些需求,本实施例中可以在信用控制请求(CCR)/信用控制应答(CCA)中添加数据类型为Unsigned6A的业务单元(CC-Service-Units),CC-Service-Units中记录业务使用情况,包括业务使用类别和业务使用量,业务使用类别用于确定用户使用了何种业务,是短信或者彩信或者是数据流流量等,业务使用量用于确定用户使用了的业务的量,包括业务使用次数、业务使用时长、业务使用流量等,因此,计费系统可以根据营销策略及业务使用量,选择扣除用户的资金还是用户的资源。本实施例,充分利用了DCCA协议的优点,而且解决了DCCA不能支持业务认证鉴权的问题,同时解决了计费时对资源的计费,而不仅是金额的计费,还能实现区分内容的计费,包括对业务使用次数、业务使用时长、业务使用流量的计费。图3为本发明认证鉴权计费方法实施例一流程图。如图3所示,该认证鉴权计费方法包括步骤31:触发网元采用DCCA协议发送AAA请求给业务平台。步骤32:业务平台接收AAA请求,并根据AAA请求判断用户及业务是否正常,若是,执行步骤33;否则,执行步骤34。步骤33:对通过认证鉴权的业务进行计费并返回认证鉴权计费应答。步骤34:返回认证失败消息,结束。本实施例采用DCCA协议,可以避免采用RADIUS协议存在的问题,更好地支持各种新技术及网络的扩充。图4为本发明认证鉴权计费方法实施例二流程图。如图4所示,该i人证鉴权计费方法包括步骤41:触发网元发送AAA请求给业务平台,AAA请求中包括用户标识、业务参数信息、用户与业务产品的订购关系,执行步骤42。步骤42:业务平台的认证鉴权模块根据用户标识进行用户鉴权,即判断用户身份是否合法及用户状态是否正常,若用户身份合法并且用户状态正常,执行步骤43,否则,执行步骤45。步骤43:认证鉴权模块根据业务参数信息进行SP及业务产品鉴权,即判断SP的状态及业务产品的状态是否正常,业务参数信息中携带了用户访问的URL地址,若SP状态及业务产品状态均正常,执行步骤44,否则,执行步骤45步骤44:认证鉴权模块根据用户标识和业务参数信息进行用户定购关系鉴权,即判断用户定购关系是否正常,即判断用户是否可以使用业务产品,若是,执行步骤46,否则,执行步骤45。步骤45:认证鉴权模块向触发网元返回认证失败消息。步骤46:业务平台的计费模块判断用户是否为预付费用户,若是,执行步骤47,否则,执行步骤48。鉴权计费应答;当帐户余额足够时,返回计费请求成功消息,允许用户使用业务,若余额不足,返回计费请求失败消息,不允许用户使用业务。步骤48:计费模块根据业务使用情况对业务进行批价,并返回认证鉴权计费成功应答。本实施例中的业务使用情况包括业务使用类别和业务使用量,所述业务使用量包括业务使用的次数或业务使用的时长或业务使用的流量本实施例触发网元和业务平台采用DCCA协议进行交互,可以避免采用RADIUS协议存在的问题,更好地支持各种新技术及网络的扩充,并且还能实现区分内容的计费,包括对业务使用次数、业务使用时长、业务使用流量的计费。最后应说明的是以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。权利要求1、一种认证鉴权计费系统,其特征在于,包括触发网元,发送认证鉴权计费请求至业务平台,所述认证鉴权计费请求中携带用户及业务信息;业务平台,根据所述用户及业务信息进行认证鉴权和计费;所述触发网元包括第一直径信用控制应用协议接口,所述业务平台包括第二直径信用控制应用协议接口。2、根据权利要求l所述的认证鉴权计费系统,其特征在于,所述业务平台还包括认证鉴权模块,用于根据所述用户及业务信息进行认证鉴权,所述认证鉴权包括用户鉴权、业务提供商鉴权、业务鉴权及用户定购关系鉴权;计费模块,用于对通过鉴权的业务进行计费。3、根据权利要求2所述的认证鉴权计费系统,其特征在于,所述用户及业务信息包括用户标识,所述认证鉴权模块根据所述用户标识对用户进行鉴权。4、根据权利要求2所述的认证鉴权计费系统,其特征在于,所述用户及业务信息包括携带用户访问的统一资源定位器地址的业务参数信息,所述认证鉴权模块根据所述业务参数信息对业务服务提供商及业务进行鉴权。5、根据权利要求4所述的认证鉴权计费系统,其特征在于,所述用户及业务信息还包括用户标识,所述认证鉴权模块根据所述用户标识和业务参数信息对用户定购关系进行鉴权。6、根据权利要求2所述的认证鉴权计费系统,其特征在于,所述用户及业务信息包括业务使用情况,所述计费模块根据所述业务使用情况和内置的计费策略对通过认证鉴权的业务进行批价。7、根据权利要求6所述的认证鉴权计费系统,其特征在于,所述业务使用情况包括业务使用类别和业务使用量,所述业务使用量包括业务使用的次数或业务使用的时长或业务使用的流量。8、一种认证鉴权计费方法,其特征在于,包括接收认证鉴权计费请求,并根据所述认证鉴权计费请求判断用户及业务是否正常,若是,则对通过认证鉴权的业务进行计费并返回认证鉴权计费应答;否则,返回认证失败消息,所述认证鉴权计费请求和认证鉴权计费应答为直径控制应用协议中的消息。9、根据权利要求8所述的认证鉴权方法,其特征在于,所述根据所述认证鉴权计费请求判断用户及业务是否正常包括根据所述认证筌权计费请求中携带的用户标识,判断用户身份及用户状态是否正常,及根据所述认证鉴权计费请求中携带的业务参数信息判断业务提供商的状态及业务的状态是否正常,及根据所述用户标识和业务参数信息判断用户是否可以使用业务。10、根据权利要求8所述的认证鉴权方法,其特征在于,所述对通过认证鉴权的业务进行计费并返回认证鉴权计费应答包括计费模块判断用户是否为预付费用户,若是,根据业务使用情况和用户帐户余额返回相应的认证鉴权计费应答;否则,根据业务使用情况进行批价并返回认证鉴权计费成功应答。11、根据权利要求10所述的认证鉴权方法,其特征在于,所述业务使用情况包括业务使用类別和业务使用量,所述业务使用量包括业务使用的次数或业务使用的时长或业务使用的流量。全文摘要本发明涉及一种认证鉴权计费系统和方法。该认证鉴权计费系统包括触发网元和业务平台,触发网元发送认证鉴权计费请求,业务平台进行认证鉴权计费,触发网元和业务平台之间通过直径信用控制应用协议接口进行通信;该认证鉴权计费方法包括接收认证鉴权计费请求,并根据所述认证鉴权计费请求判断用户及业务是否正常,若是,则对通过认证鉴权的业务进行计费并返回认证鉴权计费应答;否则,返回认证失败消息,所述认证鉴权计费请求和认证鉴权计费应答为直径控制应用协议中的消息。本发明通过在进行认证鉴权计费交互的触发网元和业务平台之间采用直径控制应用协议,可以满足当前发展需求并实现对内容计费。文档编号H04L29/06GK101197838SQ20071030427公开日2008年6月11日申请日期2007年12月26日优先权日2007年12月26日发明者旭杨,蓉王,王志军申请人:中国网络通信集团公司