(3)网外有权注册帐号认证
a)用户通过169特服号接入多媒体通信网,在进行网络接入登录时,选择网外有权帐号,并输入用户注册帐号和口令,或直接输入注册用户名和口令;
b)通过授权后,接入设备为用户分配的访问权限为:多媒体通信网、CHINANET及国外Internet、其它专网。
8.4.1.3 接入层认证协议
电话拨号用户身份认证服务器和接入设备采用支持漫游的协议,目前采用RA-DIUS协议。该协议遵循RFC2138(RADIUS)和RFC2139(RADIUS ACCOUNT-ING)标准。
(1)用户帐号的表示方法
用户帐号的表示方法为:username@realm
其中,
username:用户名;
realm:用户开户省域名的简写,如北京为bj。
说明:
a)用户在本地上网时,只需键入username即可,不需键入realm;
b)用户在漫游地上网时,要求键入全用户帐号,即username@realm;
c)电话主叫号码用户上网时,只需键入公共用户名(169)即可上网。
(2)本地用户的认证和计费
a)本地用户的认证
——本地认证过程:
①本地用户在本地拨号上网,用户可只输入用户名(username)和口令;
②NAS将用户名、用户口令等属性发送给省认证中心;
③省认证中心验证用户身份;
④如果用户身份合法,则允许用户接入;否则拒绝用户接入。
认证流程图如图9所示。
----------
| 用户本地拨号 |
----------
↓
-----------
| NAS提示用户 |
|输入用户名和口令 |
-----------
↓
------------
|用户输入用户名和口令|
------------
↓
-------------
|省中心认证服务器访问用|
|户数据库,提取用户信息|
-------------
↓
/\
/ \
/用户身份\ NO
/ 是否合法 \-----
\ / |
\ / |
\ / |
\/ |
| |
YES ↓ |
------------ |
|认证服务器对用户授权| |
------------ |
| |
↓ |
-------- ↓
| 用户上网 | ------
-------- |拒绝接入|
------
图9 本地用户认证流程
——安全机制
目前可暂采用对称密钥加密技术,允许每台NAS与认证服务器之间使用不同的密钥。
b)本地用户的计费
——计费过程
①NAS在认证成功后,将计费信息发送给计费服务器,计费服务器在成功记录后,返回响应给NAS;
②用户退网时,NAS将计费信息发送给计费服务器,计费服务器在成功记录后,向NAS返回确认信息。
——安全机制
目前可暂采用对称密钥加密技术,允许每台NAS和计费服务器之间使用不同的密钥。
(3)漫游用户的认证和计费
a)漫游用户的认证
——漫游认证过程
①漫游用户在异地拨号上网,用户需输入全用户帐号(username@realm)和口令;
②用户接入地的省认证中心收到NAS的请求后,解析@后的用户开户地域名;
③若是跨省漫游,用户接入地的省认证中心将认证请求发送给用户开户地的省认证中心,用户开户地的省认证中心验证用户身份后,给予应答;
④如果用户身份合法,则允许用户接入;否则拒绝用户接入。
认证流程图如图10所示。
--------
|用户异地拨号|
--------
↓
-------------
| 异地NAS提示用户 |
|输入用户名全名和口令 |
-------------
↓
--------------
|用户输入用户名全名和口令|
--------------
↓
-----------------
|接入地的省认证中心认证用户身份|
-----------------
|←--------------
↓ |
/\ |
/ \ ---------
/ \ NO | 将认证请求 |
/省内用户? \------→|发往开户地的 |
\ / | 省认证中心 |
\ / ---------
\ /
\/
|
YES↓
/\
/ \
/ \
/ \ NO
/用户身份合法? \----------
\ / |
\ / |
\ / |
\ / |
\/ |
| |
YES↓ |
------------ ↓
|认证服务器对用户授权| --------
------------ | 拒绝接入 |
↓ --------
--------
| 用户入网 |
--------
