[发明专利]鉴权协议转换方法

说明书

本发明涉及一种在鉴权阶段将遵照第一鉴权协议的消息转换为遵照第二鉴权协议的消息的方法，在该鉴权阶段，具有身份并试图访问网络资源的对等体连接到鉴权方，其中基于对等体身份和权限验证的所述的鉴权方通过基于鉴权在遵照第二鉴权协议的消息中接收的数据的鉴权服务器来实现授权访问网络。

本发明的领域是电信和网络领域。

众所周知，希望访问IP网络并且从因特网服务提供商(ISP)订购访问服务的用户必须预先被ISP鉴权。例如通过口令的使用，鉴权检查被识别的一方是的确享有权限的一方。这使随后验证他们有权限访问物理资源。

由机器和用户构成的客户端由鉴权服务器鉴权，该鉴权服务器基于鉴权协议在对话期间获得客户端鉴权数据。

最广泛使用并且网络设备安装者最广泛安装的协议是RADIUS(远程鉴权拔入用户服务)协议与PPP(点对点协议)，两个协议都是来自IETF(因特网工程任务组)(参见http://www.ietf.org/rfc.rfc2865.txt和http://www.ietf.org/rfc.rfc1661.txt)。支持RADIUS协议的鉴权服务器被称为RADIUS服务器。

PPP支持多种鉴权方法，例如，并且不完全的，来自IETF(参见http://www.ietf.org/rfc/rfc1994.txt)的PPP CHAP(点对点协议询问握手鉴权协议)方法及也来自IETF(参见http://www.ietf.org/rfc/rfc3748.txt)的PPP EAP(点对点扩展鉴权协议)方法。

通过向客户端发送包含由随机值构成的询问的PPP CHAP请求，PPP CHAP方法周期性地验证客户端的身份。客户端发送一个由包含询问的数据和客户掌握的密码来计算的值作为响应，由此，通过从相同的数据计算的值使RADIUS服务器能够检查客户端的身份。密码是用户特有的并且RADIUS服务器也知道的口令。

EAP鉴权试图与接入网络相关联的客户端并且具有特定特征，该特征定义用于传输不同EAP鉴权方法的通用交换。EAP支持多种EAP鉴权方法，例如，并且不完全的，来自IETF(参见http://www.ietf.org/rfc/rfc3748.txt)的EAP MD5-询问方法，和现在在IETF(http://www.ietf.org/internet-drafts/draft-funk-eap-ttls-v1-00.txt)中讨论的EAP-TTLS(扩展鉴权协议-隧道化传输层安全)方法。EAP的通用自然特性使之成为非常灵活的协议，正在被越来越多的使用。

EAP MD5-询问方法是所使用的最简单的EAP鉴权方法：鉴权是通过向客户端发送包含询问的EAP MD5-询问类型请求实现的。客户端通过使用由IETF(参见http://www.ietf.org/rfc/rfc1321.txt)定义的MD5(消息摘要-5)哈希函数，并且使用作为参数构成用户口令的密码来杂凑(hashing)该询问从而响应。通过从相同的数据计算的值，RADIUS服务器检查客户端的身份。

用于PPP CHAP的RADIUS和用于EAP MD5-询问的RADIUS，这两种鉴权机制存在并且功能独立。然而，EAP MD5-询问客户端无法被RADIUS服务器鉴权，该RADIUS服务器支持PPP CHAP鉴权方法，但不具有对于EAP MD5-询问鉴权必要的EAP功能。许多已经安装在网络中的服务器没有使服务器鉴权EAP MD5-询问客户端的EAP功能。

本发明的一个目的是通过提出一种转换方法，适用于向不支持EAP的PPPCHAP-RADIUS服务器鉴权EAP MD5-询问客户端，来消除现有技术的缺点。

该目的通过依据本发明如在介绍段落中描述的方法来实现的，并且特征在于其包括：

·在遵照第一鉴权协议的消息中接收对等体身份的步骤；

·产生和发送询问的步骤；

·接收响应于所述询问的第一响应，产生用于访问遵照第二鉴权协议的网络的请求，并且向鉴权服务器发送所述请求的步骤；以及

·接收响应于所述请求的第二响应，并转换所述第二响应来产生遵照第一鉴权协议的鉴权结果的步骤。

该方法的优势相当大：