CN1643879A - 用于有效接入检查和地址分配的aaa服务器系统 - Google Patents
用于有效接入检查和地址分配的aaa服务器系统 Download PDFInfo
- Publication number
- CN1643879A CN1643879A CNA038071665A CN03807166A CN1643879A CN 1643879 A CN1643879 A CN 1643879A CN A038071665 A CNA038071665 A CN A038071665A CN 03807166 A CN03807166 A CN 03807166A CN 1643879 A CN1643879 A CN 1643879A
- Authority
- CN
- China
- Prior art keywords
- aaa server
- rad1
- rad3
- rad2
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5061—Pools of addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用于管理逻辑地址(IP1,…IPN)存储池(A)的AAA(鉴定,授权,计费)服务器系统(RADSS),和一种用于在AAA服务器系统(RADSS)之内更新状态信息的方法。本发明的AAA服务器系统(RADSS)包括多个AAA服务器(RAD1,RAD2,RAD3)。地址存储池(A)的一个或多个分离的子群量(A1,A2,A3)被分配给AAA服务器(RAD1,RAD2,RAD3)中的每一个。有关地址发放的所交换的状态信息涉及地址的分离的子群量(A1,A2,A3)。本发明具有在AAA服务器(RAD1,RAD2,RAD3)之间工作量少而有效的消息交换的优点。通过与需求有关地改变逻辑地址(IP1,...,IPN)的子群量(A1,A2,A3)向AAA服务器(RAD1,RAD2,RAD3)的分配,来确保逻辑地址资源的有效配置。
Description
本发明涉及用于管理逻辑地址存储池(Pool)的一种AAA(鉴定授权计费Authentification Authorization Accounting)服务器系统和一种方法。
用户或主机的逻辑寻址,以及在复合网(Netzverbund)中和因特网中供使用的地址空间的管理,是网络技术的重要的任务领域。常常以AAA(鉴定授权计费)服务器或AAA服务器系统的形式存在着必要的硬件,用于管理逻辑地址和用于提供地址发放时的相应功能。对于通过多服务器系统的地址管理,必须以允许的方式使用高的传输速率来在各个服务器之间交换关于地址管理的、关于供使用资源的信息,以及状态信息。
在用户例如借助常规的窄带电话连接或xDSL技术(DSL:数字式用户线路)拨入因特网时,AAA服务器通常检查通向因特网的接入,这些AAA服务器采用RADIUS(远程鉴权拨入用户业务)协议,并因此称为RADIUS服务器。在此在接入服务器上实现了从电话网向因特网或IP网的过渡,对于因特网该接入服务器称为网络接入服务器(NAS)。在对于用户建立通信连接之前,借助RADIUS协议在NAS和RADIUS服务器之间交换消息,以便让在RADIUS服务器中检查用户的身份和他的接入权。如果RADIUS服务器的回答是肯定的,即用户是授权的,NAS则在IP网和用户或他的因特网终端设备之间建立通信连接。此时,用户的因特网终端设备需要明确的可选择路由的IP地址。由于供使用IP地址的储备是有限的,大多数因特网业务提供商,以下称为因特网业务提供商(ISP),仅对于因特网通信连接的持续时间向他们的客户,即用户发放IP地址。在不同的因特网会议中,用户或他的因特网终端设备因此通常分配到不同的因特网地址。通常有一个IP地址区,以下称为地址存储池,供因特网业务提供商使用,从该IP地址区中获取临时给用户分配的地址。因特网业务提供商也可以拥有多个地址存储池,例如以便可以形成不同业务的多个业务组。
通常要么在接入服务器或NAS中,要么在AAA服务器或RADIUS服务器中,进行IP地址的动态分配。IP地址在接入服务器或NAS中的分配,具有在因特网业务提供商的可观的管理和维护工作量的缺点,这些因特网业务提供商运行大量的接入服务器。在每个单个的接入服务器中必须设立地址存储池。在大的因特网业务提供商处,要供应的接入服务器的数量是可观的,和因而设立和改变地址存储池的工作量是巨大的。此外还缺乏运行着的因特网通信连接的和此时所使用IP地址的集中检查。例如对于将接入转租给较小的因特网业务提供商的接入网运行商来说,集中地管理和发放供使用的地址存储池是特别重要的。
所以在大的因特网业务提供商处,通常由一个或多个高效和高可用的AAA服务器来集中进行资源管理,并因此也进行IP地址的管理。“高效“在此是指每秒钟可以处理大量的接入检查的能力。
高效集中控制的通常的实现方案是借助于多服务器系统。该多服务器系统通常由借助IP网彼此连接的若干单个计算机或服务器组成。该解决方案花费少,因为不需要昂贵的失效安全的硬件或群集(Cluster)软件。此外通过添加其它的计算机可将系统容易地向上可按比例扩大(skalierbar)。出于用于失效安全性的冗余原因,单个计算机应有能力承担多服务器系统的其它计算机的任务。例如由接入服务器上的RADIUS客户进行将负荷分配到多服务器系统的不同单个计算机上。
对于由多服务器系统来管理IP地址,必须收集关于地址发放和地址需求的信息,以及关于运行着和已结束的因特网会议的状态信息,并使其可供单个计算机使用。由于冗余要求,供一个单个计算机使用的信息也应供至少一个另外的单个计算机来使用。此外还要负责安排,由不同的单个计算机不致多重地发放地址。
例如可以如下来满足在由多服务器系统管理IP地址时的这些要求,即由中央服务器,例如DHCP(动态主机配置协议)服务器,或由通过采用制造商专门的协议来工作的服务器用IP地址供应多服务器系统的单个计算机。该解决方案具有以下的缺点:
·保护中央服务器不受例如由双重(Doppelung)引起的失效,通常是与可观的工作量相连接的。
·对于在中央服务器和多服务器系统的其它计算机之间可靠的通信,应签收所交换的消息。要处理的信息量因此随着计算机的数量而急剧地增长。因此影响了可伸缩性,即将其它的计算机集成到多服务器系统中。
·提高数量的通信连接愿望导致了中央服务器和单个计算机之间数据通信的增加。所以可能导致负荷尖峰(短脉冲串),这些负荷尖峰可能引起处理时的延迟。
·中央服务器常常导致附加的维护工作量。
为了提高失效安全性,存在着借助扩充的RADIUS协议直接在接入服务器或NAS中存储状态信息的可能性。该解决方案在RFC(要求说明)2882中清楚地作了说明,但是仅对支持相应的协议扩充的接入服务器起作用。
替代地可以在多服务器系统所有的单个计算机上存储关于地址存储池的整个信息,并可以在单个计算机之间交换用于协调地址预留的消息。如果应避免双重发放地址,这种行动方式则导致可观容量的要交换的消息。
本发明的任务是提供在AAA服务器系统中有效管理一个或多个地址区,该管理避免了常规方法的缺点。
通过按权利要求1的一种AAA服务器系统和按权利要求10的一种方法来解决本任务。
本发明的AAA服务器系统包括多个用于管理至少一个逻辑地址存储池的AAA服务器。在此,至少一个地址存储池的多个分离的子群量或子存储池分别分配给了恰好一个AAA服务器。地址存储池子群量的逻辑地址分别仅由所属的AAA服务器可分配给终端设备或用户,并由所属的AAA服务器来管理(权利要求1)。也可以将一个地址存储池的多个子群量分配给一个AAA服务器。在地址存储池的情况下例如可以涉及IP地址区(权利要求2)。例如可以借助RADIUS(远程鉴权拨入用户业务)协议或DIAMETER协议,来进行通过AAA服务器系统的AAA服务器将地址向终端设备的分配(权利要求3)。这些协议常常用于AAA服务器系统和接入服务器或NAS之间的通信,借助该接入服务器或NAS可将终端设备与网络(例如因特网)相连接。AAA服务器系统的AAA服务器例如可以借助因特网协议或TCP/IP(传输控制协议/因特网协议)来彼此通信(权利要求4和8)。如果服务器系统的所有的AAA服务器拥有逻辑地址的整个存储池或所有的存储池,则对于逻辑地址子群量或逻辑地址的子存储池向AAA服务器分配的变化是合宜的(权利要求5)。将供使用的地址空间进一步划分为子群量,并且这些子群量向AAA服务器的分配,允许降低在各个服务器或计算机之间的通信时的工作量。
用于在本发明AAA服务器系统中更新信息的本发明方法中,由服务器系统的第一AAA服务器有规则地发送更新消息到AAA服务器系统的所有其它的服务器上。该更新消息包括关于从存在的已过去的更新时起始的,在分配给第一AAA服务器的一个地址存储池或各地址存储池的子群量中状态变化的信息。通过向AAA服务器系统所有其它的AAA服务器有规则地,例如以固定的时间区间进行AAA服务器更新消息的发送,可以协调逻辑地址通过AAA服务器系统各个AAA服务器的发放。因此可以将正在使用中的一个地址存储池或各个地址存储池的子群量,发送信号到所有的AAA服务器上。此外可以在服务器AAA之间交换有关在下一个时间区间期间所需要的逻辑地址资源的信息。此时在发送更新消息之前,AAA服务器估算在要发送的更新消息和随后的更新消息之间的时间间隔内所要发放的逻辑地址的数量。这可以用以下的方式来实现,即形成最大由AAA服务器可处理的发放逻辑地址请求的比率与在要发送的更新消息和随后的更新消息之间的时间间隔的乘积(权利要求12)[划底线处为译者添加的。详见原文第6页下方的说明—译注]。如此获得的估算提供了所需要地址数量的上限。从分配给服务器的地址存储池的子群量中确定哪些用于获取按估算在时间间隔中所需要的逻辑地址。更新消息于是可以含有以下内容的信息,即已确定了哪些用于获取按估算在时间间隔内所需要的逻辑地址,分配给AAA服务器的地址存储池子群量(权利要求11)。以此方式可以将逻辑地址的子群量标志为“不可靠的“,即在下一个时间区间之内可以从该子群量中发放逻辑地址。如果各个AAA服务器需要地址存储池的附加的子群量,以便满足通信连接询问,该标志则起作用。在这种情况下,可以改变地址存储池的未标志为“不可靠的“子群量的主管权或分配,并分配给缺乏逻辑地址的AAA服务器(权利要求13)。在该方法中,各个AAA服务器传达由冗余数据和禁止信息(Sperrinformation)(标志的地址存储池子群量,其分配不用于调度)组成的混合。因此限制了在服务器之间交换的数据的容量。通常情况下对于各个AAA服务器隐藏了,由另外的AAA服务器发放了哪些单个地址。替代地,传达了从中发放地址的子群量。因此降低了在各个计算机中应存储的状态信息-在涉及另外的AAA服务器方面,记录(有时指示的,indizierte)子群量的状态来代替各个地址的状态-,并降低了各个服务器之间的信息交换的数据速率。
在AAA服务器失效时,可以将地址存储池的分配给该AAA服务器的子群量,例如按照优先权清单的标淮来分配给另一个AAA服务器(权利要求14和15)。有时也在多个另外的AAA服务器之间分配失效的服务器的子群量。于是合宜的是,在一个时间间隔中不将逻辑地址的子群量用于逻辑地址的重新分配,这些子群量在失效服务器的最后获得的更新消息时已标志为“不可靠的“(权利要求16)。该时间间隔例如可以相当于最大允许的通信连接持续时间(权利要求17)。在重新引导(Neubooten)AAA服务器系统的AAA服务器时也可以采用更新消息。例如重新引导的(neugebooteter)AAA服务器传送多点传播消息到另一个AAA服务器上,它用该多点传播消息请求来传送更新消息和分配地址存储池的子群量(权利要求18)。TCP/IP协议、RADIUS协议、或DIAMETER协议可采用为用于交换更新消息的传输协议。通过降低了的所交换消息的容量可以在不同的地方,即离散地建立服务器系统的各个服务器(权利要求9)。
在其它的从属权利要求中说明了本发明主题的其它有利的改进方案。
以下在实施例的范围内借助五个附图来详细阐述本发明。
图1展示因特网会议地址动态分配的系统结构。
图2展示将地址区或地址存储池划分为子群量或子存储池。
图3展示将逻辑地址的子群量向RADIUS服务器的分配。
图4展示在三个RADIUS服务器之间交换更新消息。
图5展示在请求逻辑地址附加子群量时不同的步骤。
在实施例的范围内假设,通过借助RADIUS协议工作的RADIUS服务器系统,即多服务器系统来管理一个或多个IP地址区。RADIUS服务器系统由多个借助网络相连接的RADIUS服务器组成。不需要专门的软件,例如群集软件。为了简单起见而假设,在实施例的范围内地址存储池相当于IP地址区,而地址存储池子群量相当于IP地址的子区。全球的地址区或地址存储池可以分配给因特网业务提供商,或为某个业务等级所预留。
图1中示出了因特网终端设备Host1,...,Host5,用户通过其可以建立通向因特网INT的通信连接。借助在PPP(点对点协议)协议PPP上运行的IP(因特网协议)协议IP,可以建立在终端设备Host1...Host5和接入服务器NAS之间的通信连接。在由接入服务器建立了与因特网INT的通信连接之前,在RADIUS服务器系统RADSS中实施询问。借助RADIUS协议RADIUS来进行接入服务器NAS和RADIUS服务器系统RADSS之间的消息交换。RADIUS服务器系统RADSS拥有自己IP地址@IP1,...,@Ipn的存储池IPPool,将这些IP地址@IP1,...,@Ipn在通信连接的时间间隔内动态地分配给因特网终端设备Host1,...,Host5。在获得通过RADIUS服务器系统的授权消息和在通信连接的时间间隔内分配了IP地址之后,接入服务器NAS建立正在询问的因特网终端设备Host1,...,Host5用的因特网通信连接。
图2中示出了由地址区IP 1至IP N组成的地址存储池A。该地址存储池A进一步划分为三个子群量A1,..,A3,这些子群量A1,..,A3相当于子地址区IP 1至IP I,IP J至IP K,和IP L至IP N。RADIUS服务器中的每一个拥有整个的地址存储池A,即在所有的服务器上存储了整个的地址区。RADIUS服务器中的每一个可以释放IP地址的每一个任意子群量A1,...,A3的IP地址。与此相反,存在着分配通信连接IP地址的独有权,即每一个RADIUS服务器已经分配了地址的一个或多个子群量A1,..,A3,从该子群量中它可以发放IP地址。在RADIUS服务器之间可以动态地推移IP地址的这些发放权。图3中示出了三个RADIUS服务器RAD1,..,RAD3。给每一个RADIUS服务器分配了地址的一个子区A1,...,A3(通过实线的箭头标志),从这些地址中它可以分配地址。所有的三个RADIUS服务器可以释放所使用的地址,这通过虚线的箭头来标志。
图4中展示如何在各个RADIUS服务器中进行更新关于另外的RADIUS服务器状态的信息。每个RADIUS服务器RAD1,...,RAD3以规则的时间间隔发送更新消息到所有另外的RADIUS服务器RAD1,...,RAD3上,以便了解有关所分配的地址子群量的变化。该更新消息借助IP多点传播机制来发送,并且仅涉及子群量,在这些子群量方面从最后的更新消息起已产生了变化。不签收更新消息。IP地址的双重发放被排除在外,因为在最坏的情况下丢失了释放信息,即涉及已经使用的IP地址的信息。于是稍后在最大发放时间的定时器结束之后进行释放。更新消息附加地含有关于地址子群量的信息,从这些地址子群量中预计在随后的时间区间中将发放IP地址。在此可以考虑具有尚未发放的IP地址的子群量。按照图4,RADIUS服务器RAD1在时刻S1.1和S1.2发送更新消息UpdtRAD1(用于:更新RAD1)到RADIUS服务器RAD2和RAD3上。在推移的时刻S2.1和S2.2,或S3.1和S3.2,RADIUS服务器RAD2或RADIUS服务器RAD3分别发送更新消息UpdtRAD2或UpdtRAD3到两个另外的RADIUS服务器RAD1和RAD3,或RAD1和RAD2上。
在RADIUS服务器RAD1,...,RAD3中的每一个上存储了以下的信息,这些信息涉及整个的或全球的地址存储池A:
·全球地址存储池A的标志符,用于将多个全球地址存储池例如采用于不同业务等级的情况。
·RADIUS服务器RAD1,...,RAD3的清单,这些RADIUS服务器RAD1,...,RAD3可以访问全球地址存储池A的地址。该清单包含每个RADIUS服务器RAD1,...,RAD3的IP地址、每个RADIUS服务器RAD1,...,RAD3的标志符、每个RADIUS服务器RAD1,...,RAD3的最后更新的时刻、和当前空闲的,即未发放的IP地址的总数。
·全球地址区A的第一IP地址。
·属于该地址区A的IP地址的数量。
·两个更新之间的时间间隔。
·规定用于因特网终端设备的通信连接的最长持续时间。
·IP地址子群量的清单,例如以分别指出子区第一IP地址的指示字(Pointer)的形式。
·可选择地,接入服务器或端口标志的清单。该清单含有以其IP地址、或其NAS标志和其端口数量形式的所有相连接的NAS。
·对于全球的地址存储池A可以附加地规定标记符(Flag),即指出缺乏空闲的IP地址。例如如果空闲IP地址的总数小于一个阈值,例如在更新之间的时间间隔乘以询问IP地址的最大比例(Rate),则设置该标记符。如果空闲IP地址的总数又超出阈值,则废除标记符的设置。
在所有的RADIUS服务器上存储以下涉及地址子群量的信息:
·RADIUS服务器的标志符,该RADIUS服务器负责地址子群量,即从该子群量中可以发放IP地址的AAA服务器。
·IP地址的子群量或子区的第一IP地址。
·由子群量所包括IP地址的数量。
以规则的时间间隔来更新预留在AAA RADIUS服务器上的、涉及地址子群量的信息。通过测量两个更新消息之间的时间区间的定时器的终止来触发更新。由发送关于其地址子群量状态的更新消息的RADIUS服务器,来确定所分配地址子群量的空闲的,即未发放的地址,并识别在下一个时间区间之内可以考虑使用的子群量。更新消息于是包括RADIUS服务器的标志,由该RADIUS服务器发送以下的消息:该RADIUS服务器的空闲IP地址的总数,在下一个时间区间之内可以考虑使用的,即标记为“不可靠的“地址子群量的标志或标志符,从最后的更新消息起关于子群量使用的变化以及必要时其它的状态信息。在发送更新消息之后重新启动定时器。获得了更新消息的RADIUS服务器重新设置监控定时器,该监控定时器测量从最后的更新消息起消逝了多少时间。RADIUS服务器借助接收的更新消息,使得有关发送的RADIUS服务器的状态信息进入最新的状态。
图5中示出了在用户或终端设备的通信连接时的和通信连接期间的消息交换。由NAS(网络接入服务器)对于因特网终端设备的通信连接,借助RADIUS协议RADIUS发送一个鉴权询问rAUTH到RADIUS服务器RAD1上。该鉴权询问rAUTH含有NAS的标志,端口的标志符,和用户或终端设备的标志。由RADIUS服务器RAD1提出询问rLDAP到LDAP(轻型号码簿接入协议)数据库LDAP上,在该询问rLDAP的过程中求出用户的标志或身份(Identitt)。由LDAP数据库LDAP在应答aLDAP中通知地址子群量的标志,从该地址子群量中可以获取IP地址。随即从该IP地址于群量中确定IP地址。RADIUS服务器随后按照鉴权询问在应答aAUTH中,将所确定的IP地址通知给NAS。在更新消息UpdtRAD1的过程中,例如以所使用IP地址的已更新总数的形式,和有时通过将相应的地址子群量重新标记为“不可靠的“,将该新的通信连接的事实通知给另外的RADIUS服务器RAD2。RADIUS服务器RAD1相似地在通信连接期间获得另外RADIUS服务器RAD2的更新消息UpdtRAD2。如果应该中断通信连接,NAS则发送消息astop到RADIUS服务器上,用该消息astop应该中断相应通信连接的结算或计费。该消息含有用户的标志和所分配的IP地址。RADIUS服务器RAD1给NAS签收该消息,其中,签收消息ACKastop又含有用户的标志和所采用的IP地址。在通信连接结束之后在紧随其后的更新消息UpdtRAD1中,用相应地更新的状态信息来供应另外的RADIUS服务器RAD2。
如果RADIUS服务器对于通过接入服务器或NAS的询问不具有足够的地址子群量,它则可以请求分配其它的地址子群量。如果RADIUS服务器的空闲IP地址的总数低于一个阈值,该阈值例如由更新消息之间的时间区间与最大可处理的通信连接要求的比例的乘积得出,则触发这种询问或请求。在此情况下,RADIUS服务器设置指出缺乏IP地址的标记符。RADIUS服务器借助另外RADIUS服务器的状态信息来检验,哪个服务器具有最大数量的空闲IP地址、或最大数量的未标记或未使用的地址子群量。如果可以识别一个RADIUS服务器,该RADIUS服务器拥有可观地多于缺乏IP地址的阈值的空闲地址,则由缺乏地址的RADIUS服务器发送分配其它地址子群量的请求。随着该消息的发送而设置了监控定时器。在否定的应答的情况下,缺乏地址的RADIUS服务器按照在那里空闲地址的程度(Massgabe)来发送相应的询问到另外的RADIUS服务器上。如果未能识别具有空闲地址的RADIUS服务器,或如果未从RADIUS服务器获得应答,缺乏地址的RADIUS服务器则在它重复它的询问之前等侯至少一个更新时间区间。如果在此时间间隔中发放了全部空闲的IP地址,则由NAS拒绝附加的鉴权询问。如果与此相反地获得了对新地址子群量的请求的肯定应答,则借助多点传播用签收消息向所有另外的RADIUS服务器签收该肯定的应答,并在内部更新所有重要的数据。在重新引导(Reboot)RADIUS服务器中的一个之后,也可以将该机制采用于该RADIUS服务器的自动的重新配置。
在RADIUS服务器中的一个失效时,通过RADIUS服务器的标志清单来规定主管权的层次。在从失效的RADIUS服务器不再获得更新消息之后,在层次顶端上的RADIUS服务器,或紧随其后的RADIUS服务器承担相应IP地址区的检查或管理。在此,在承担地址子群量管理的RADIUS服务器中执行以下的步骤:
通过监控定时器的结束来启动地址的承接。在此之后发送更新消息的请求到失效的RADIUS服务器上。如果此后未获得应答,则借助多点传播消息将以下的信息通知所有另外的RADIUS服务器,即发送多点传播消息的RADIUS服务器承接失效RADIUS服务器的地址子群量的管理和分配。将承接的RADIUS服务器的地址子群量扩充所承接的地址子群量。在此,阻断标记为“不可靠的“子群量,并启动阻断用的定时器。该定时器测量通信连接的IP地址分配用的最长的时间。在定时器结束之后废除地址子群量的阻断。现在所有的IP地址资源又是可使用的,并完全补偿了RADIUS服务器的失效。
Claims (19)
1.AAA服务器系统(RADSS),包括多个AAA服务器(RAD1,RAD2,RAD3),用于管理逻辑地址(IP1,...IPN)的一个存储池(A),
其特征在于,
-存在着所述地址存储池(A)的多个分离的子群量(A1,A2,A3),
-所述地址存储池(A)的分离子群量(A1,A2,A3)中的每一个分配给了恰好一个AAA服务器(RAD1,RAD2,RAD3),和
-所述地址存储池(A)的子群量(A1,A2,A3)的逻辑地址仅可以分别由所属的AAA服务器(RAD1,RAD2,RAD3)分配给一个终端设备。
2.按权利要求1的AAA服务器系统,
其特征在于,
-由IP(因特网协议)地址给出所述的逻辑地址(IP1,...IPN)。
3.按权利要求1或2的AAA服务器系统,
其特征在于,
-由所述AAA服务器系统(RADSS)的AAA服务器(RAD1,RAD2,RAD3),借助RADIUS协议或DIAMETER协议可以分配终端设备的逻辑地址。
4.按以上权利要求之一的AAA服务器系统,
其特征在于,
-在所述AAA服务器系统(RADSS)的AAA服务器(RAD1,RAD2,RAD3)之间,借助因特网协议可以交换消息。
5.按以上权利要求之一的AAA服务器系统,
其特征在于,
-在所述AAA服务器系统(RADSS)的所有的AAA服务器(RAD1,RAD2,RAD3)上存储了逻辑地址(IP1,...IPN)的所述整个的存储池(A)。
6.按以上权利要求之一的AAA服务器系统,
其特征在于,
-可以动态地改变所述地址存储池(A)的子群量(A1,A2,A3)向AAA服务器(RAD1,RAD2,RAD3)的分配。
7.按以上权利要求之一的AAA服务器系统,
其特征在于,
-存在着逻辑地址的多个地址存储池(A),从这些地址存储池(A)中给所述AAA服务器系统(RADSS)的AAA服务器(RAD1,RAD2,RAD3)分配了分离的子群量(A1,A2,A3),
-存在着不同的业务等级,和
-在所述业务等级之一的业务范围内,对于逻辑地址的发放存在着不同地址存储池(A)向恰好一个业务等级的分配。
8.按以上权利要求之一的AAA服务器系统,
其特征在于,
-借助TCP/IP协议可以在所述AAA服务器系统(RADSS)的AAA服务器(RAD1,RAD2,RAD3)之间交换消息。
9.按以上权利要求之一的AAA服务器系统,
其特征在于,
-所述AAA服务器系统(RADSS)的AAA服务器(RAD1,RAD2,RAD3)中的至少两个定位在不同的地点上。
10.用于在按权利要求1的AAA服务器系统中更新信息的方法,
其中,
-由所述AAA服务器系统(RADSS)的第一AAA服务器(RAD1,RAD2,RAD3)有规则地发送更新消息(UpdtRAD1,UpdtRAD2,UpdtRAD3)到所述AAA服务器系统(RADSS)的所有另外的AAA服务器(RAD1,RAD2,RAD3)上,
-该更新消息(UpdtRAD1,UpdtRAD2,UpdtRAD3)包括关于从前面更新消息(UpdtRAD1,UpdtRAD2,UpdtRAD3)起始的,分配给所述第一AAA服务器(RAD1,RAD2,RAD3)的地址存储池(A)子群量(A1,A2,A3)的状态变化的信息。
11.按权利要求10的方法,
其特征在于,
-在发送所述的更新消息(UpdtRAD1,UpdtRAD2,UpdtRAD3)之前,在所述的第一AAA服务器(RAD1,RAD2,RAD3)中实施,对在所述要发送的更新消息(UpdtRAD1,UpdtRAD2,UpdtRAD3)和紧随其后的更新消息(UpdtRAD1,UpdtRAD2,UpdtRAD3)之间的时间间隔中要发放的逻辑地址评估,
-确定分配给所述第一AAA服务器(RAD1,RAD2,RAD3)的地址存储池(A)的子群量(A1,A2,A3),用于获取在所述评估之后在所述时间间隔中需要的逻辑地址,和
-所述的更新消息(UpdtRAD1,UpdtRAD2,UpdtRAD3)附加地含有关于以下内容的信息,已确定了哪些分配给所述第一AAA服务器(RAD1,RAD2,RAD3)的地址存储池(A)的子群量(A1,A2,A3),用于获取在所述评估之后在所述时间间隔中需要的逻辑地址。
12.按权利要求11的方法,
其特征在于,
-为了所述的评估形成所述最大由所述AAA服务器(RAD1,RAD2,RAD3)可处理的发放逻辑地址请求的比率,与在所述要发送的更新消息(UpdtRAD1,Upd tRAD2,UpdtRAD3)和所述紧随其后的更新消息(UpdtRAD1,Upd tRAD2,UpdtRAD3)之间的时间间隔的乘积。
13.按权利要求10至12之一的方法,
其特征在于,
-所述的第一AAA服务器(RAD1,RAD2,RAD3)检验,按照所述评估而需要的所述地址存储池(A)的子群量(A1,A2,A3)是否可供使用,和
-在所述检验的否定的结果情况下,通过所述的第一AAA服务器(RAD1,RAD2,RAD3)促使,将另一个AAA服务器(RAD1,RAD2,RAD3)的子群量分配给所述的第一AAA服务器(RAD1,RAD2,RAD3)。
14.按权利要求10至12之一的方法,
其特征在于,
在所述的第一AAA服务器(RAD1,RAD2,RAD3)失效时,将分配给所述第一AAA服务器(RAD1,RAD2,RAD3)的所述地址存储池(A)的子群量(A1,A2,A3)分配给第二AAA服务器(RAD1,RAD2,RAD3)。
15.按权利要求14的方法,
其特征在于,
按AAA服务器(RAD1,RAD2,RAD3)的优先权清单的标准来确定所述的第二AAA服务器(RAD1,RAD2,RAD3)。
16.按权利要求11和权利要求14或15之一的方法,
其特征在于,
在所述第一AAA服务器(RAD1,RAD2,RAD3)失效时,在一个时间间隔中不将所述地址存储池(A)的子群量(A1,A2,A3)使用于逻辑地址(IP1,...IPN)的重新发放,这些子群量(A1,A2,A3)是按照所述最后由第二AAA服务器(RAD1,RAD2,RAD3)获得的第一AAA服务器(RAD1,RAD2,RAD3)的更新消息,对于在所述评估之后在时间间隔中所需要逻辑地址的获取来确定的。
17.按权利要求16的方法,
其特征在于,
按照所述最大允许的通信连接持续时间来确定所述的时间间隔。
18.按以上权利要求之一的方法,
其特征在于,
-重新引导第二AAA服务器(RAD1,RAD2,RAD3),和
-由所述第二AAA服务器(RAD1,RAD2,RAD3)传送多点传播消息到所述AAA服务器系统(RADSS)的所有另外的AAA服务器(RAD1,RAD2,RAD3)上,由此来请求向所述的第一AAA服务器(RAD1,RAD2,RAD3)传送更新消息(UpdtRAD1,UpdtRAD2,Upd tRAD3)和分配所述地址存储池(A)的子群量(A1,A2,A3)。
19.按以上权利要求之一的方法,
其特征在于,
-采用所述的TCP/IP协议、RADIUS协议、或DIAMETER协议作为用于传送更新消息(UpdtRAD1,UpdtRAD2,UpdtRAD3)的传输协议。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| DE10213862 | 2002-03-27 | ||
| DE10213862.1 | 2002-03-27 | ||
| PCT/DE2003/000895 WO2003081875A1 (de) | 2002-03-27 | 2003-03-18 | Aaa serversystem zur effizienten zugangskontrolle und adresszuordnung |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1643879A true CN1643879A (zh) | 2005-07-20 |
| CN1643879B CN1643879B (zh) | 2010-09-29 |
Family
ID=28050932
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN038071665A Expired - Fee Related CN1643879B (zh) | 2002-03-27 | 2003-03-18 | 用于在aaa服务器系统中更新信息的方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20050235000A1 (zh) |
| EP (1) | EP1488611B1 (zh) |
| CN (1) | CN1643879B (zh) |
| DE (1) | DE50301105D1 (zh) |
| PL (1) | PL372459A1 (zh) |
| WO (1) | WO2003081875A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932501A (zh) * | 2012-11-08 | 2013-02-13 | 杭州迪普科技有限公司 | 一种地址池资源保护的方法及装置 |
Families Citing this family (49)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE410875T1 (de) * | 2004-01-23 | 2008-10-15 | Siemens Ag | Verfahren zur zuordnung einer ip-adresse zu einem gerät |
| US7639681B2 (en) | 2004-11-23 | 2009-12-29 | Microsoft Corporation | System and method for a distributed server for peer-to-peer networks |
| ATE553584T1 (de) | 2004-12-17 | 2012-04-15 | Tekelec Us | Verfahren, systeme und computerprogrammprodukte zum clustern und kommunizieren zwischen entitäten des internet-protokoll-multimediasubsystems (ims) |
| CN101141492B (zh) * | 2005-04-29 | 2014-11-05 | 华为技术有限公司 | 实现dhcp地址安全分配的方法及系统 |
| US8756298B2 (en) * | 2005-12-21 | 2014-06-17 | Cisco Technology, Inc. | System for automatic configuration of computers in a server farm |
| CN1929482B (zh) * | 2006-09-20 | 2010-08-04 | 华为技术有限公司 | 一种网络业务认证方法及装置 |
| US8072990B1 (en) * | 2007-04-20 | 2011-12-06 | Juniper Networks, Inc. | High-availability remote-authentication dial-in user service |
| US8850067B2 (en) * | 2009-10-22 | 2014-09-30 | Verizon Patent And Licensing Inc. | Internet protocol (IP) address pool management and allocation |
| US8615237B2 (en) * | 2010-01-04 | 2013-12-24 | Tekelec, Inc. | Methods, systems, and computer readable media for policy and charging rules function (PCRF) node selection |
| US8260902B1 (en) | 2010-01-26 | 2012-09-04 | Juniper Networks, Inc. | Tunneling DHCP options in authentication messages |
| WO2011100166A2 (en) | 2010-02-11 | 2011-08-18 | Tekelec | Methods, systems, and computer readable media for dynamic subscriber profile adaptation |
| US8560658B2 (en) | 2010-03-23 | 2013-10-15 | Juniper Networks, Inc. | Managing distributed address pools within network devices |
| CN103039049B (zh) * | 2010-06-06 | 2016-08-24 | 泰克莱克股份有限公司 | 用于在通信网络中遮蔽直径节点信息的方法、系统和计算机可读介质 |
| US8631100B2 (en) | 2010-07-20 | 2014-01-14 | Juniper Networks, Inc. | Automatic assignment of hardware addresses within computer networks |
| US9697042B2 (en) | 2010-07-30 | 2017-07-04 | Sap Se | Extensibility of business process and application logic |
| US8862613B2 (en) * | 2010-07-30 | 2014-10-14 | Sap Ag | Extensibility of business process and application logic |
| CN101917483B (zh) * | 2010-08-18 | 2015-11-25 | 中国电信股份有限公司 | 物联网终端通信管控的实现方法、系统和设备 |
| US8782211B1 (en) | 2010-12-21 | 2014-07-15 | Juniper Networks, Inc. | Dynamically scheduling tasks to manage system load |
| WO2012106710A1 (en) | 2011-02-04 | 2012-08-09 | Tekelec, Inc. | Methods, systems, and computer readable media for provisioning a diameter binding repository |
| JP5938052B2 (ja) | 2011-03-01 | 2016-06-22 | テケレック・インコーポレイテッドTekelec, Inc. | ハイブリッドセッションに基づくダイアメータルーティングのための方法、システムおよびコンピュータ読取可能媒体 |
| JP5885761B2 (ja) | 2011-03-01 | 2016-03-15 | テケレック・インコーポレイテッドTekelec, Inc. | ダイヤメータ結合データを共有するための方法、システム、およびコンピュータ読取可能媒体 |
| EP2681938B1 (en) | 2011-03-01 | 2016-12-21 | Tekelec, Inc. | Methods, systems and computer readable media for dynamically learning diameter binding information |
| CN103493522B (zh) | 2011-03-03 | 2016-12-07 | 泰科来股份有限公司 | 用于丰富Diameter信令消息的方法、系统和计算机可读介质 |
| CN103535080B (zh) | 2011-05-06 | 2017-07-18 | 泰科来股份有限公司 | 用于在接入网络之间转换用户的方法、系统和计算机可读媒体 |
| US9253163B2 (en) | 2011-12-12 | 2016-02-02 | Tekelec, Inc. | Methods, systems, and computer readable media for encrypting diameter identification information in a communication network |
| CN103856469A (zh) * | 2012-12-06 | 2014-06-11 | 中国电信股份有限公司 | 支持dhcp认证溯源的方法、系统与dhcp服务器 |
| CN104144123B (zh) * | 2013-05-10 | 2017-06-16 | 中国电信股份有限公司 | 访问互联网的方法、系统与路由型网关装置 |
| US9277014B2 (en) * | 2013-06-19 | 2016-03-01 | Alcatel Lucent | Handling of auxiliary NAS |
| US9723075B2 (en) * | 2013-09-13 | 2017-08-01 | Incontact, Inc. | Systems and methods for data synchronization management between call centers and CRM systems |
| US10951519B2 (en) | 2015-06-17 | 2021-03-16 | Oracle International Corporation | Methods, systems, and computer readable media for multi-protocol stateful routing |
| US9967148B2 (en) | 2015-07-09 | 2018-05-08 | Oracle International Corporation | Methods, systems, and computer readable media for selective diameter topology hiding |
| US9668135B2 (en) | 2015-08-14 | 2017-05-30 | Oracle International Corporation | Methods, systems, and computer readable media for providing access network signaling protocol interworking for user authentication |
| US10084755B2 (en) | 2015-08-14 | 2018-09-25 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) proxy and diameter agent address resolution |
| US9668134B2 (en) | 2015-08-14 | 2017-05-30 | Oracle International Corporation | Methods, systems, and computer readable media for providing access network protocol interworking and authentication proxying |
| US9923984B2 (en) | 2015-10-30 | 2018-03-20 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial in user service (RADIUS) message loop detection and mitigation |
| US10033736B2 (en) | 2016-01-21 | 2018-07-24 | Oracle International Corporation | Methods, systems, and computer readable media for remote authentication dial-in user service (radius) topology hiding |
| US10374885B2 (en) * | 2016-12-13 | 2019-08-06 | Amazon Technologies, Inc. | Reconfigurable server including a reconfigurable adapter device |
| US10691803B2 (en) | 2016-12-13 | 2020-06-23 | Amazon Technologies, Inc. | Secure execution environment on a server |
| US10992637B2 (en) | 2018-07-31 | 2021-04-27 | Juniper Networks, Inc. | Detecting hardware address conflicts in computer networks |
| US10931628B2 (en) | 2018-12-27 | 2021-02-23 | Juniper Networks, Inc. | Duplicate address detection for global IP address or range of link local IP addresses |
| US11165744B2 (en) | 2018-12-27 | 2021-11-02 | Juniper Networks, Inc. | Faster duplicate address detection for ranges of link local addresses |
| US10965637B1 (en) | 2019-04-03 | 2021-03-30 | Juniper Networks, Inc. | Duplicate address detection for ranges of global IP addresses |
| US11283883B1 (en) | 2020-11-09 | 2022-03-22 | Oracle International Corporation | Methods, systems, and computer readable media for providing optimized binding support function (BSF) packet data unit (PDU) session binding discovery responses |
| US11558737B2 (en) | 2021-01-08 | 2023-01-17 | Oracle International Corporation | Methods, systems, and computer readable media for preventing subscriber identifier leakage |
| US11888894B2 (en) | 2021-04-21 | 2024-01-30 | Oracle International Corporation | Methods, systems, and computer readable media for mitigating network function (NF) update and deregister attacks |
| US11627467B2 (en) | 2021-05-05 | 2023-04-11 | Oracle International Corporation | Methods, systems, and computer readable media for generating and using single-use OAuth 2.0 access tokens for securing specific service-based architecture (SBA) interfaces |
| US11695563B2 (en) | 2021-05-07 | 2023-07-04 | Oracle International Corporation | Methods, systems, and computer readable media for single-use authentication messages |
| US11638155B2 (en) | 2021-05-07 | 2023-04-25 | Oracle International Corporation | Methods, systems, and computer readable media for protecting against mass network function (NF) deregistration attacks |
| US11570689B2 (en) | 2021-05-07 | 2023-01-31 | Oracle International Corporation | Methods, systems, and computer readable media for hiding network function instance identifiers |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6614788B1 (en) * | 1998-03-03 | 2003-09-02 | Sun Microsystems, Inc. | Network address management |
| US6374295B2 (en) * | 1998-10-29 | 2002-04-16 | Nortel Networks Limited | Active server management |
| US6564216B2 (en) * | 1998-10-29 | 2003-05-13 | Nortel Networks Limited | Server manager |
| US6427170B1 (en) * | 1998-12-08 | 2002-07-30 | Cisco Technology, Inc. | Integrated IP address management |
| US6298383B1 (en) * | 1999-01-04 | 2001-10-02 | Cisco Technology, Inc. | Integration of authentication authorization and accounting service and proxy service |
| US6603758B1 (en) * | 1999-10-01 | 2003-08-05 | Webtv Networks, Inc. | System for supporting multiple internet service providers on a single network |
| US7027432B2 (en) * | 2000-03-20 | 2006-04-11 | At&T Corp. | Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management |
| JP2002033764A (ja) * | 2000-07-14 | 2002-01-31 | Fujitsu Ltd | 通信サービス提供システム、並びに通信サービス提供システムにおいて使用される移動端末装置、アドレスサーバ装置、およびルータ装置 |
| KR100350316B1 (ko) * | 2000-08-28 | 2002-08-28 | 엘지전자 주식회사 | 에이에이에이 서버에 과부하 방지를 위한 접근요청 메시지처리 방법 |
| US7197549B1 (en) * | 2001-06-04 | 2007-03-27 | Cisco Technology, Inc. | On-demand address pools |
-
2003
- 2003-03-18 CN CN038071665A patent/CN1643879B/zh not_active Expired - Fee Related
- 2003-03-18 PL PL03372459A patent/PL372459A1/xx not_active Application Discontinuation
- 2003-03-18 DE DE50301105T patent/DE50301105D1/de not_active Expired - Lifetime
- 2003-03-18 EP EP03744761A patent/EP1488611B1/de not_active Expired - Fee Related
- 2003-03-18 WO PCT/DE2003/000895 patent/WO2003081875A1/de active IP Right Grant
- 2003-03-18 US US10/509,286 patent/US20050235000A1/en not_active Abandoned
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102932501A (zh) * | 2012-11-08 | 2013-02-13 | 杭州迪普科技有限公司 | 一种地址池资源保护的方法及装置 |
| CN102932501B (zh) * | 2012-11-08 | 2015-06-10 | 杭州迪普科技有限公司 | 一种地址池资源保护的方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN1643879B (zh) | 2010-09-29 |
| EP1488611B1 (de) | 2005-08-31 |
| PL372459A1 (en) | 2005-07-25 |
| DE50301105D1 (de) | 2005-10-06 |
| US20050235000A1 (en) | 2005-10-20 |
| EP1488611A1 (de) | 2004-12-22 |
| WO2003081875A1 (de) | 2003-10-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1643879B (zh) | 用于在aaa服务器系统中更新信息的方法 | |
| CN105812488B (zh) | 云计算分布式服务集群系统及其方法 | |
| US6898635B2 (en) | Mobile communication system and method of selecting server in mobile communication system | |
| CN102104600B (zh) | 分布插件式游戏服务器平台及其协同工作方法 | |
| CN100446495C (zh) | 一种动态共享连接的方法和系统 | |
| US20230018257A1 (en) | Alias management method and device | |
| CN102027732B (zh) | 经由因特网协议网络提供对服务器应用程序的访问 | |
| US8417929B2 (en) | System for selecting a server from a plurality of server groups to provide a service to a user terminal based on a boot mode indicated in a boot information from the user terminal | |
| US7401114B1 (en) | Method and apparatus for making a computational service highly available | |
| CN102137014A (zh) | 资源管理方法、系统和资源管理器 | |
| CN1310553A (zh) | 不同类型设备的命名规约和使用该命名规约的装置和方法 | |
| AU2001276932A1 (en) | System and method for concentration and load-balancing of requests | |
| CN101123565A (zh) | P2p系统及用于该系统的资源查询方法 | |
| CN114070822B (zh) | 一种Kubernetes Overlay IP地址管理方法 | |
| CN106304396B (zh) | 接入点发现无线控制器的方法、系统和相关装置 | |
| CN110071965B (zh) | 一种基于云平台的数据中心管理系统 | |
| CN103095853A (zh) | 云数据中心计算能力管理系统 | |
| CN112751761A (zh) | 交易路由的回切方法、中间系统和业务处理系统 | |
| CN111787079A (zh) | 基于通信群组的通信方法、装置、服务器、系统及介质 | |
| CN113821268A (zh) | 一种与OpenStack Neutron融合的Kubernetes网络插件方法 | |
| WO2005081453A1 (en) | Nonstop service system using voting and, information updating and providing method in the same | |
| CN1625109A (zh) | 虚拟化网络资源的方法和装置 | |
| CN112565475B (zh) | 容器集群业务层添加新节点的ip地址分配方法 | |
| CN113177179A (zh) | 数据请求连接管理方法、装置、设备及存储介质 | |
| CN1561072A (zh) | 实现用户ip地址池共享的方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: NOKIA SIEMENS COMMUNICATION CO., LTD. Free format text: FORMER OWNER: SIEMENS AG Effective date: 20080404 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20080404 Address after: Munich, Germany Applicant after: Nokia Siemens Networks GmbH Address before: Munich, Germany Applicant before: Siemens AG |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: NOKIA COMMUNICATION GMBH + CO. KG Free format text: FORMER NAME: NOKIA SIEMENS NETWORKS GMBH |
|
| CP01 | Change in the name or title of a patent holder |
Address after: Munich, Germany Patentee after: NOKIA SIEMENS NETWORKS GMBH & CO. KG Address before: Munich, Germany Patentee before: Nokia Siemens Networks GmbH |
|
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100929 Termination date: 20150318 |
|
| EXPY | Termination of patent right or utility model |