处理分发系统、 认证服务器、 分发服务器及处理分发方法 技术领域 本发明涉及分发认证处理的处理分发系统, 以及认证服务器、 分发服务器和处理 分发方法。
背景技术 近年来, 已开发出了越来越多的这样的技术, 这些技术用来执行用于对接入网络 或系统以使用该网络或系统的用户进行认证的认证处理并且仅准许经成功认证的用户使 用该网络或系统。
用于认证多个用户的认证处理给认证服务器造成了繁重的处理负担。因此, 为了 减轻处理负担, 存在这样的方案, 其中, 多个认证服务器被提供, 用户简档数据库被划分, 认 证服务器存储数据库的各个经划分的部分, 并且相对应的认证服务器执行认证处理。
例如, 已开发出了将用于认证用户的认证处理划分到与从终端发送来的用户 ID 相对应的认证服务器中的技术 ( 例如参见 JP2006-11989A)。
图 1 示出了典型处理分发系统的配置。
在图 1 所示的处理分发系统中, 用户的用户简单数据预先被分发在分别连接到 RADIUS 服务器 4000-1 至 4000-3 的数据库 5000-1 至 5000-3 中。 因此, 存储在数据库 5000-1 至 5000-3 中的各条用户简档数据不是冗余的。
认证请求由使用该系统的用户从客户端 1000 发出给图 1 所示的处理分发系统 ( 箭头 AA)。为了该认证请求, 分发服务器 2000 接收从客户端 1000 发送来的认证请求信 号。分发服务器 2000 提取用户 ID, 用户 ID 是用于标识用户的用户标识信息并且存储在所 接收认证请求信号中所包括的 RADIUS 中的 USER-NAME 属性中。用于认证该用户的认证服 务器 ( 连接到存储用户的用户简档数据的数据库 ) 是基于提取出的用户 ID 从 RADIUS 服务 器 4000-1 至 4000-3 中选出的。该选择是基于预先存储在连接到分发服务器 2000 的数据 库 3000 中的认证服务器标识信息与用户 ID 之间的关联性作出的, 认证服务器标识信息用 于标识 RADIUS 服务器 4000-1 至 4000-3 的每个。
这里以对发出认证请求的用户进行认证的认证服务器为 RADIUS 服务器 4000-1 的 情况为例。分发服务器 2000 选择 RADIUS 服务器 4000-1。从客户端 1000 发送来的认证请 求被传送给 RADIUS 服务器 4000-1( 箭头 BB)。 RADIUS 服务器 4000-1 随后对用户进行认证。
然而, 根据上面的技术, 在将伪 ID 存储在 RADIUS 的 USER-NAME 属性中的情况中, 如利用 EAP( 可扩展认证协议 )-TTLS( 隧道传输层安全 ) 认证方案时, 认证服务器无法识别 用户 ID。即, 如果伪 ID 被存储在 RADIUS 的 USER-NAME 属性中, 则分发服务器不能识别客户 的原始用户 ID。因此, 这带来的问题在于 : 分发服务器不能选出作为目的地的、 用于标识出 发送了认证请求信号的用户的认证服务器。
在继 RADIUS 协议之后的 Diameter 协议中, 开发出了一种通过 Redirect-Host AVP 来将认证分组或认证请求信号传送给另一认证服务器的机制。该机制可以解决上面的问 题。 然而, 该认证处理的认证过程必须从开始起重复 ; 因此这带来了认证处理的效率受到损
害的问题。 发明内容 本发明的一个目的是提供解决了上面的问题的处理分发系统、 认证服务器、 分发 服务器和处理分发方法。
为了实现上面的目的, 根据本发明,
一种处理分发系统包括 : 由用户操作的终端 ; 认证服务器, 这些认证服务器利用 已经预先获得的 TLS 参数通过隧道中的 TLS 认证来与终端执行认证处理以对用户进行认 证; 以及分发服务器, 该分发服务器将认证处理分发给认证服务器中的一个,
其中, 认证服务器判断被唯一地指派给用户的并且经由分发服务器从终端发送来 的用户标识信息是否存在于连接到认证服务器的认证数据库中, 并且将用户标识信息和 TLS 参数包括在指示对用户标识信息的传送请求的传送请求信号中, 并且当认证服务器判 定用户标识信息未存在于认证数据库中时, 则将该信号发送给分发服务器, 并且
分发服务器基于从认证服务器发送来的传送请求信号中所包括的用户标识信息, 在连接到分发服务器的分发服务器数据库中搜索与用户标识信息相关联的认证服务器标 识信息, 并且将用户标识信息和 TLS 参数发送给被指派有搜索到的认证服务器标识信息的 认证服务器。
一种利用已经预先获取的 TLS 参数通过与终端进行隧道中的 TLS 认证来执行认证 处理以对操作终端的用户进行认证的认证服务器包括 :
加密器 / 解密器, 该加密器 / 解密器对从终端发送来的认证请求信号进行解密, 并 且从经解密的认证请求信号中提取被唯一地指派给用户的用户标识信息 ;
认证器, 该认证器判断由加密器 / 解密器提取出的用户标识信息是否存在于连接 到认证服务器的认证数据库中 ; 以及
分发服务器接口, 该分发服务器接口将用户标识信息和 TLS 参数包括在表示对用 户标识信息的传送请求的传送请求信号中, 并且当分发服务器接口判定用户标识信息未存 在于认证数据库中时, 则将该信号发送给连接到认证服务器的分发服务器。
一种分发服务器, 该分发服务器连接到由用户操作的终端以及利用已经预先获取 的 TLS 参数通过隧道中的 TLS 认证来与该终端执行认证处理以对用户进行认证的认证服务 器, 并且该分发服务器将认证处理分发给认证服务器中的一个认证服务器, 该分发服务器 包括 :
认证服务器接口, 该认证服务器接口从自认证服务器发送来的并且表示对被唯一 地指派给用户的用户标识信息的传送请求的传送请求信号中提取用户标识信息 ;
服务器选择器, 该服务器选择器基于由认证服务器接口提取出的用户标识信息来 在连接到分发服务器的分发服务器数据库中搜索与用户标识信息相关联的认证服务器标 识信息, 以及
其中, 认证服务器接口将从认证服务器发送来的用户标识信息和 TLS 参数发送给 被指派有被服务器选择器搜索到的认证服务器标识信息的认证服务器。
一种处理分发系统中的处理分发方法, 该处理分发系统包括由用户操作的终端、 利用已经预先获得的 TLS 参数通过隧道中的 TLS 认证来与终端执行认证处理以对用户进
行认证的认证服务器, 以及将认证处理分发给认证服务器中的一个认证服务器的分发服务 器,
认证服务器判断被唯一地指派给用户的并且经由分发服务器从终端发送来的用 户标识信息是否存在于连接到认证服务器的认证数据库中,
认证服务器将用户标识信息和 TLS 参数包括在指示对用户标识信息的传送请求 的传送请求信号中, 并且当认证服务器判定用户标识信息未存在于认证数据库中时, 则将 该信号发送给分发服务器,
分发服务器基于从认证服务器发送来的传送请求信号中所包括的用户标识信息, 在连接到分发服务器的分发服务器数据库中搜索与用户标识信息相关联的认证服务器标 识信息, 并且
分发服务器将用户标识信息和 TLS 参数发送给被指派有搜索到的认证服务器标 识信息的认证服务器。
如上所述, 本发明采用了这样的配置, 其中, 利用已经预先获得的 TLS 参数通过隧 道中的 TLS 认证来与终端执行认证处理以对使用该终端的用户进行认证的认证服务器将 用户标识信息和 TLS 参数包括在传送请求信号中, 并且当从终端发送来的用户标识信息未 存在于连接到认证服务器的认证数据库中时, 则将该信号发送给分发服务器, 并且分发服 务器在连接到分发服务器的分发服务器数据库中搜索与包括在传送请求信号中的用户标 识信息相关联的认证服务器标识信息, 并且将用户标识信息和 TLS 参数发送给被指派有搜 索到的认证服务器标识信息的认证服务器。这种配置能够执行高效的认证处理分发。 附图说明 图 1 示出了典型处理分发系统的配置 ;
图 2 是示出本发明的处理分发系统的示例性实施例的示图 ;
图 3 是示出图 2 所示的分发服务器的配置示例的示图 ;
图 4 是示出存储在图 2 所示的数据库中的关联信息的示例的示图 ;
图 5 是示出存储在图 2 所示的数据库中的认证服务器信息的示例的示图 ;
图 6 是示出图 2 所示的 RADIUS 服务器的配置示例的示图 ;
图 7 是示出存储在图 2 所示的数据库中的信息的示例的示图 ;
图 8 是示出存储在图 2 所示的数据库中的信息的示例的示图 ;
图 9 是示出存储在图 2 所示的数据库中的信息的示例的示图 ;
图 10 是用于图示出在图 2 至图 9 所示的配置中的处理分发方法中用户具有用户 ID“用户 1” 的情况中的处理分发方法的时序图 ; 以及
图 11 是用于图示出在图 2 至图 9 所示的配置中的处理分发方法中用户具有用户 ID“用户 4” 的情况中的处理分发方法的时序图。
具体实施方式
下面将参考附图描述本发明的示例性实施例。
图 2 是示出本发明的处理分发系统的示例性实施例的示图。
如图 2 所示, 本示例性实施例包括客户端 100、 分发服务器 200、 数据库 300、 RADIUS服务器 400-1 至 400-3, 以及数据库 500-1 至 500-3。这里, 描述包括三个 RADIUS 服务器 400-1 至 400-3 以及三个数据库 500-1 至 500-3 的示例。然而, 无须说, 对于每类元件, 元件 的数目可以为两个或者四个或更多个。
客户端 100 是用户操作来发出认证请求的终端, 并且包括用于输入信息的输入功 能和用于执行通信的通信功能。
分发服务器 200 将用来认证用户的认证处理分发到 RADIUS 服务器 400-1 至 400-3 中。
图 3 是示出图 2 所示的分发服务器 200 的配置示例的示图。
图 2 所示的分发服务器 200 包括客户端接口 201、 RADIUS 服务器接口 202 和服务 器选择器 203, 如图 3 所示。图 3 仅示出了与本发明有关的元件。
客户端接口 201 包括与图 2 所示的客户端进行接口连接的接口功能, 并且向客户 端 100 发送信号并从客户端 100 接收信号。客户端接口 201 将从客户端 100 发送来的信号 输出给 RADIUS 服务器接口 202。客户端接口 201 将从 RADIUS 服务器接口 202 输出的信号 中将要被发送给客户端 100 的信号发送给客户端 100。
RADIUS 服务器接口 202 包括与图 2 所示的 RADIUS 服务器 400-1 至 400-3 进行接 口连接的接口功能, 并且是向 RADIUS 服务器 400-1 至 400-3 发送信号并从 RADIUS 服务器 400-1 至 400-3 接收信号的认证服务器接口。当从 RADIUS 服务器 400-1 至 400-3 发送来 指示针对认证请求信号的传送请求的传送请求信号时, RADIUS 服务器接口 202 提取用户 ID 并且将用户 ID 发送给服务器选择器 203, 用户 ID 是包括在传送请求信号中的用于标识用户 的用户标识信息。RADIUS 服务器接口 202 基于在服务器选择器 203 处对 RADIUS 服务器的 搜索结果, 将认证请求信号传送给 RADIUS 服务器 400-1 至 400-3 中的任一个。RADIUS 服务 器接口 202 将从客户端接口 201 输出的信号发送给 RADIUS 服务器 400-1 至 400-3 中的适 当服务器。RADIUS 服务器接口 202 将从 RADIUS 服务器 400-1 至 400-3 发送来的传送请求 信号以外的信号输出给客户端接口 201。
服务器选择器 203 基于从 RADIUS 服务器接口 202 输出的用户 ID 对存储在数据库 300 中的信息进行搜索, 并且从 RADIUS 服务器 400-1 至 400-3 中选出认证请求信号将被传 送给的 RADIUS 服务器。
数据库 300 连接到分发服务器 200, 并且是存储了用于确定分发服务器 200 将用于 认证用户的认证处理分发给 RADIUS 服务器 400-1 至 400-3 中的哪个服务器的信息的分发 服务器数据库。数据库 300 将关联信息和认证服务器信息存储作为该信息。
图 4 是示出存储在图 2 所示的数据库 300 中的关联信息的示例的示图。图 5 是示 出存储在图 2 所示的数据库 300 中的认证服务器信息的示例的示图。
如图 4 所示, 存储在图 2 所示的数据库 300 中的关联信息将用户 ID 与认证服务器 编号彼此相关联, 用户 ID 是唯一地被指派给用户以用于标识该用户的用户标识信息, 认证 服务器编号是唯一地被指派给 RADIUS 服务器以用于标识 RADIUS 服务器 400-1 至 400-3 的 认证服务器标识信息。该信息指示出连接到各自的 RADIUS 服务器 400-1 至 400-3 的数据 库 500-1 至 500-3 中哪个数据库存储了该用户的用户简档数据。即, 该信息指示出 RADIUS 服务器 400-1 至 400-3 中用户可在其处被认证的服务器。
例如, 用户 ID“用户 1” 被与认证服务器编号 “服务器 1” 相关联 ; 这表明将对用户ID 为 “用户 1” 的用户进行认证的 RADIUS 服务器是认证服务器编号为 “服务器 1” 的 RADIUS 服务器。用户 ID“用户 2” 被与认证服务器编号 “服务器 1” 相关联 ; 这表明将对用户 ID 为 “用户 2” 的用户进行认证的 RADIUS 服务器是认证服务器编号为 “服务器 1” 的 RADIUS 服务 器。用户 ID“用户 3” 被与认证服务器编号 “服务器 1” 相关联 ; 这表明将对用户 ID 为 “用 户 3” 的用户进行认证的 RADIUS 服务器是认证服务器编号为 “服务器 1” 的 RADIUS 服务器。 用户 ID“用户 4” 被与认证服务器编号 “服务器 2” 相关联 ; 这表明将对用户 ID 为 “用户 4” 的用户进行认证的 RADIUS 服务器是认证服务器编号为 “服务器 2” 的 RADIUS 服务器。用户 ID “用户 5” 被与认证服务器编号 “服务器 2” 相关联 ; 这表明将对用户 ID 为 “用户 5” 的用户 进行认证的 RADIUS 服务器是认证服务器编号为 “服务器 2” 的 RADIUS 服务器。用户 ID “用 户 6” 被与认证服务器编号 “服务器 3” 相关联 ; 这表明将对用户 ID 为 “用户 6” 的用户进行 认证的 RADIUS 服务器是认证服务器编号为 “服务器 3” 的 RADIUS 服务器。用户 ID“用户 7” 被与认证服务器编号 “服务器 3” 相关联 ; 这表明将对用户 ID 为 “用户 7” 的用户进行认 证的 RADIUS 服务器是认证服务器编号为 “服务器 3” 的 RADIUS 服务器。用户 ID“用户 8” 被与认证服务器编号 “服务器 3” 相关联 ; 这表明将对用户 ID 为 “用户 8” 的用户进行认证 的 RADIUS 服务器是认证服务器编号为 “服务器 3” 的 RADIUS 服务器。
服务器选择器 203 参考该关联信息, 由此可以基于从 RADIUS 服务器接口 202 输出 的用户 ID 来选择允许对具有该用户 ID 的用户进行认证的 RADIUS 服务器。
存储在图 2 所示的数据库 300 中的认证服务器信息将上面提到的认证服务器编号 与该认证服务器的 IP 地址相关联, 如图 5 所示。该信息指示出执行用于对用户进行认证的 认证处理的 RADIUS 服务器的 IP 地址。
例如, 认证服务器编号 “服务器 1” 被与 IP 地址 “x.y.z.w1” 相关联 ; 这表明认证 服务器编号为 “服务器 1” 的 RADIUS 服务器的 IP 地址为 “x.y.z.w1” 。认证服务器编号 “服 务器 2” 被与 IP 地址 “x.y.z.w2” 相关联 ; 这表明认证服务器编号为 “服务器 2” 的 RADIUS 服务器的 IP 地址为 “x.y.z.w2” 。认证服务器编号 “服务器 3” 被与 IP 地址 “x.y.z.w3” 相 关联 ; 这表明认证服务器编号为 “服务器 3” 的 RADIUS 服务器的 IP 地址为 “x.y.z.w3” 。
服务器选择器 203 参考该关联信息, 并且选择利用所关注的用户 ID 来选择用于认 证该用户的 RADIUS 服务器。然后, 所关注的 RADIUS 服务器的 IP 地址可被获取。
RADIUS 服务器 400-1 至 400-3 是用于对用户进行认证的认证服务器。
图 6 是示出图 2 所示的 RADIUS 服务器 400-1 的配置示例的示图。注意, 图 2 所示 的 RADIUS 服务器 400-2 至 400-3 具有与 RADIUS 服务器 400-1 相同的配置。
如图 6 所示, 图 2 所示的 RADIUS 服务器 400-1 包括分发服务器接口 411、 加密器 / 解密器 412 以及认证器 413。图 6 仅示出了与本发明有关的元件。
分发服务器接口 411 包括与图 2 所示的分发服务器 200 进行接口连接的接口功 能, 并且向分发服务器 200 发送信号并从分发服务器 200 接收信号。当分发服务器接口 411 执行与客户端 100 的 TLS( 传输层安全 ) 隧道通信 ( 其是加密通信 ) 时, 分发服务器接 口 411 将已被加密的并经由分发服务器 200 从客户端 100 发送来的认证请求信号输出给 加密器 / 解密器 412。分发服务器接口 411 将 TLS 参数以及从认证器 413 输出的用户 ID 包括在上述传送请求信号中, 并且将该信号发送给服务器 200。这里, TLS 参数已经在认证 之前通过 RADIUS 服务器 400-1 与客户端 100 之间的 TLS 握手而被获取, 该参数是用于在TLS 隧道通信期间对诸如认证请求信号之类的信号进行加密和解密的参数。例如, 可以使 用 Master-Secret( 用于生成密钥的随机数 )、 Cipher-Suite( 加密算法和哈希算法对 ) 和 Compression-Method( 压缩方法 )。分发服务器接口 411 将从加密器 / 解密器 412 输出的 信号经由分发服务器 200 发送 ( 隧道传输 ) 给客户端 100。
加密器 / 解密器 412 利用 TLS 参数来对诸如从分发服务器接口 411 输出的认证请 求信号之类的信号进行解密。加密器 / 解密器 412 从经解密的认证请求信号中提取用户 ID, 并且将用户 ID 输出给认证器 413。加密器 / 解密器 412 对从认证器 413 输出的认证响 应信号进行加密, 并且将该信号输出给分发服务器接口 411。
认证器 413 对从加密器 / 解密器 412 输出的认证请求信号进行认证。更具体地, 认证器 413 参考数据库 500-1, 并且当与包括在认证请求信号中的用户 ID 相同的用户 ID 存 在于数据库 500-1 中时, 则将请求口令的口令请求信号作为认证响应信号之一发送给加密 器 / 解密器 412。当根据口令请求信号的口令从加密器 / 解密器 412 输出时, 认证器 413 通 过判断该口令是否与数据库 500-1 中的用户 ID 相关联来认证用户 ID。当从加密器 / 解密 器 412 输出的口令与数据库 500-1 中的用户 ID 相关联时, 认证器 413 将指示成功认证的认 证响应信号输出给加密器 / 解密器 412。 当与包括在认证请求信号中的用户 ID 相同的用户 ID 未存在于数据库 500-1 中时, 认证器 413 将用户 ID 输出给分发服务器接口 411。 数据库 500-1 至 500-n 是存储用户的用户 ID 以及与各个用户相关联的口令的认 证服务器数据库。这里, 将描述图 2 所示的数据库 300 存储图 4 所示的关联信息的情况作 为示例。
图 7 是示出存储在图 2 所示的数据库 500-1 中的信息的示例的示图。
存储在图 2 所示的数据库 500-1 中的信息将用户 ID“用户 1” 与口令 “口令 1” 相 关联, 如图 7 所示 ; 这表明用户 ID 为 “用户 1” 的用户的口令是 “口令 1” 。用户 ID“用户 2” 被与口令 “口令 2” 相关联 ; 这表明用户 ID 为 “用户 2” 的用户的口令是 “口令 2” 。用户 ID“用户 3” 被与口令 “口令 3” 相关联 ; 这表明用户 ID 为 “用户 3” 的用户的口令是 “口令 3” 。数据库 500-1 存储用户 1、 用户 2 和用户 3 的用户简档数据。
图 8 是示出存储在图 2 所示的数据库 500-2 中的信息的示例的示图。
存储在图 2 所示的数据库 500-2 中的信息将用户 ID“用户 4” 与口令 “口令 4” 相 关联, 如图 8 所示 ; 这表明用户 ID 为 “用户 4” 的用户的口令是 “口令 4” 。用户 ID“用户 5” 被与口令 “口令 5” 相关联 ; 这表明用户 ID 为 “用户 5” 的用户的口令是 “口令 5” 。数据库 500-2 存储用户 4 和用户 5 的用户简档数据。
图 9 是示出存储在图 2 所示的数据库 500-3 中的信息的示例的示图。
存储在图 2 所示的数据库 500-3 中的信息将用户 ID“用户 6” 与口令 “口令 6” 相 关联, 如图 9 所示 ; 这表明用户 ID 为 “用户 6” 的用户的口令是 “口令 6” 。用户 ID“用户 7” 被与口令 “口令 7” 相关联 ; 这表明用户 ID 为 “用户 7” 的用户的口令是 “口令 7” 。用户 ID“用户 8” 被与口令 “口令 8” 相关联 ; 这表明用户 ID 为 “用户 8” 的用户的口令是 “口令 8” 。数据库 500-3 存储用户 6、 用户 7 和用户 8 的用户简档数据。
下面将描述上述示例性实施例中的处理分发方法。 首先, 将描述正操作客户端 100 的用户是用户 ID 为 “用户 1” 的用户的情况作为示例。
图 10 是用于图示出在图 2 至 9 所示的处理分发方法中用户具有用户 ID “用户 1”
的情况中的处理分发方法的时序图。
首先, 在客户端 100 与 RADIUS 服务器 400-1 至 400-3 中的任一个服务器之间初步 建立 TLS 握手。这是针对客户端 100 与 RADIUS 服务器 400-1 至 400-3 之间的称为 TLS 隧 道通信的加密通信所做的准备。当作为请求信号的 Access-Request( 接入 - 请求 ) 从客户 端 100 被发送给分发服务器 200 时, 分发服务器 200 的 RADIUS 服务器接口 202 从 RADIUS 服 务器 400-1 至 400-3 中确定一个 RADIUS 服务器来作为将作为 Access-Request 的目的地的 RADIUS 服务器, 并且在步骤 1 和 3 中 Access-Request 被传送给已被确定为目的地的 RADIUS 服务器。由于在此阶段使用了伪 ID, 因此, 访问数据库 300 将不能确定哪个 RADIUS 服务 器保存了用户 1 的数据。因此, 确定目的地的方法可以是随机确定方法或者具有诸如循环 (round robin) 之类的所规定的规则的确定方法。这里, 将描述目的地被确定为 RADIUS 服 务器 400-1 的情况作为示例。
当 所 传 送 的 Access-Request 由 RADIUS 服 务 器 400-1 接 收 到 时, 在步骤 2 和 4 中, 作为与所接收 Access-Request 相对应的响应信号的 Access-Challenge( 接入 - 质疑 ) 从 RADIUS 服务器 400-1 经由分发服务器 200 被发送给客户端 100。TLS 握手与典型的 TLS 握手类似。当 TLS 握手时, 作为执行 TLS 隧道通信所需的 TLS 参数的 Master-Secret、 Cipher-Suite 和 Compression-Method 在客户端 100 与 RADIUS 服务器 400-1 之间被交换, 并被客户端 100 和 RADIUS 服务器 400-1 获取。 接下来, 在客户端 100 和 RADIUS 服务器 400-1 之间执行隧道中的认证处理。在步 骤 5 中, 当作为认证请求信号的 Access-Request 从客户端 100 经由分发服务器 200 被发送 时, 由 RADIUS 服务器 400-1 的分发服务器接口 411 接收到的认证请求信号由加密器 / 解密 器 412 利用 TLS 参数进行解密。用户 ID 从经加密器 / 解密器 412 解密的认证请求信号中 被提取出来 ; 该用户 ID 在此阶段中第一次被标识。 所提取的用户 ID 从加密器 / 解密器 412 被输出给认证器 413。
认证器 413 参考数据库 500-1, 并且在数据库 500-1 中搜索与从加密器 / 解密器 412 输出的用户 ID 相同的用户 ID。这里, 由于是以用户具有用户 ID “用户 1” 的情况为例, 因此该用户 ID 从数据库 500-1 被搜索到。
当认证器 413 从数据库 500-1 搜索用户 ID 时, 在步骤 6 中, Access-Challenge 作 为认证响应信号从分发服务器接口 411 经由分发服务器 200 被发送给客户端 100。
然后, 在步骤 7 和 8 中, 包括口令的分组在客户端 100 与 RADIUS 服务器 400-1 之 间被交换, 并且认证完成。
接下来, 将描述操作客户端 100 的用户是用户 ID 为 “用户 4” 的用户的情况作为示 例。
图 11 是用于图示出在图 2 至 9 所示的处理分发方法中用户具有用户 ID “用户 4” 的情况中的处理分发方法的时序图。这里, 假设存储在数据库 300 中的认证服务器编号为 “服务器 2” 的服务器是 RADIUS 服务器 400-2。
首先, 与步骤 1 至 4 一样, 在步骤 11 至 14 中, 在客户端 100 与 RADIUS 服务器 400-1 至 400-3 中的任一个服务器之间执行用于称为 TLS 隧道通信的加密通信的准备。这些处理 与上面步骤 1 至 4 中的处理相同。与上面的示例一样, 将描述目的地被确定为 RADIUS 服务 器 400-1 的情况作为示例。
接下来, 在客户端 100 与 RADIUS 服务器 400-1 之间执行隧道中的认证处理。在步 骤 15 中, 当作为认证请求信号的 Access-Request 从客户端 100 经由分发服务器 200 被发 送时 ( 图 2 所示的箭头 A 和 B), 由 RADIUS 服务器 400-1 的分发服务器接口 411 接收到的 认证请求信号由加密器 / 解密器 412 利用 TLS 参数进行解密。用户 ID 从经加密器 / 解密 器 412 解密的认证请求信号中被提取出来。所提取的用户 ID 从加密器 / 解密器 412 被输 出给认证器 413。
认证器 413 参考数据库 500-1, 并且在数据库 500-1 中搜索与从加密器 / 解密器 412 输出的用户 ID 相同的用户 ID。这里, 由于是以用户具有用户 ID “用户 4” 的情况为例, 因此该用户 ID 未从数据库 500-1 被搜索到。
该用户 ID 从认证器 413 被输出给分发服务器接口 411。在步骤 16, 其中指示传 送请求的属性被添加到包括用户 ID 和上面的 TLS 参数的 Access-Reject 的传送请求信号 从分发服务器接口 411 被发送给分发服务器 200( 图 2 所示的箭头 C)。由于这里的属性不 被 RADIUS 的标准属性支持, 因此使用依特定于厂商的属性而定的属性。所需属性的内容如 下:
● 当 Access-Reject 伴 随 时 指 示 传 送 请 求 ( 类 似 于 Diameter Redirect-Host AVP) ; ●存储 TLS Master-Secret ;
●存储 TLS Cipher-Suite ;
●存储 TLS Compression-Method ; 以及
●存储在隧道中的 TLS 认证中接收到的用户 ID。
当分发服务器 200 的 RADIUS 服务器接口 202 接收到从 RADIUS 服务器 400-1 的分 发服务器接口 411 发送来的传送请求信号时, RADIUS 服务器接口 202 从所接收的传送请求 信号中提取用户 ID。所提取的用户 ID 从 RADIUS 服务器接口 202 被输出给服务器选择器 203。
服务器选择器 203 基于所提取的用户 ID 从 RADIUS 服务器 400-1 至 400-3 中搜索 作为目的地的 RADIUS 服务器。 更具体地, 服务器选择器 203 参考数据库 300, 并且从数据库 300 的关联信息中获取与所提取的用户 ID 相关联的认证服务器编号。 服务器选择器 203 从 数据库 300 的认证服务器信息中获取所获得的认证服务器编号的 IP 地址。这里, 由于用户 ID 是 “用户 4” , 因此认证服务器编号 “服务器 2” (RADIUS 服务器 400-2) 被获取。由于 “服 务器 2” 被获取作为认证服务器编号, 因此 IP 地址 “x.y.z.w2” 被获取。所获取的 IP 地址 从服务器选择器 23 被输出给 RADIUS 服务器接口 202。
RADIUS 服务器接口 202 将存储 TLS 参数的属性以及存储用户 ID 的属性添加到 Access-Request 中。然后, 在步骤 17, 该 Access-Request 从 RADIUS 服务器接口 202 被发 送给具有从服务器选择器 203 输出的 IP 地址的 RADIUS 服务器 400-2( 图 2 所示的箭头 D)。
当 RADIUS 服务器 400-2 确定所添加的属性存在时, 对被添加在一起的 TLS 参数的 转移 (diversion) 消除了对在客户端 100 与 RADIUS 服务器 400-2 之间重新建立握手的需 要; TLS 握手之后的认证分组被当作是隧道中的 TLS 认证的开始。在步骤 18, 认证结果从 RADIUS 服务器 400-2 经由分发服务器 200 被发送给客户端 100( 图 2 所示的箭头 E 和 F)。 随后, 在步骤 19 和 20, 在客户端 100、 分发服务器 200 和 RADIUS 服务器 400-2 间交换分组,
随后认证完成。
用户 ID 是利用用户 ID 被唯一地指派的示例来描述的。然而, 还可以以依客户端 100 的终端而定的方式来指派用户 ID。
数据库 300 可以包括在分发服务器 200 中。数据库 500-1 至 500-3 可以分别包括 在 RADIUS 服务器 400-1 至 400-3 中。
如 上 所 述, 在 用 户 ID 不 能 在 消 息 交 换 的 早 期 阶 段 被 标 识 出 的 情 况 中, 如在 EAP-TTLS 认证方案中, 对通过 TLS 握手获得的信息的传送消除了对从开始起重复认证过程 的需要, 并且可以继续由另一认证服务器进行的认证, 由此使得处理的分发能够被高效地 执行。
上面已参考示例性实施例描述了本发明。然而, 本发明不限于上面的示例性实施 例。可在本发明的范围内对本发明的配置和细节作出本领域技术人员可理解的各种修改。
本申请要求 2008 年 2 月 14 日提交的日本专利申请 No.2008-033333 的优先权, 该 申请的全部公开通过引用结合于此。