專利名稱:用于有效接入檢查和地址分配的aaa服務(wù)器系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及用于管理邏輯地址存儲池(Pool)的一種AAA(鑒定授權(quán)計費Authentification Authorization Accounting)服務(wù)器系統(tǒng)和一種方法��。
用戶或主機的邏輯尋址�,以及在復(fù)合網(wǎng)(Netzverbund)中和因特網(wǎng)中供使用的地址空間的管理�����,是網(wǎng)絡(luò)技術(shù)的重要的任務(wù)領(lǐng)域�����。常常以AAA(鑒定授權(quán)計費)服務(wù)器或AAA服務(wù)器系統(tǒng)的形式存在著必要的硬件���,用于管理邏輯地址和用于提供地址發(fā)放時的相應(yīng)功能�����。對于通過多服務(wù)器系統(tǒng)的地址管理,必須以允許的方式使用高的傳輸速率來在各個服務(wù)器之間交換關(guān)于地址管理的���、關(guān)于供使用資源的信息�,以及狀態(tài)信息�。
在用戶例如借助常規(guī)的窄帶電話連接或xDSL技術(shù)(DSL數(shù)字式用戶線路)撥入因特網(wǎng)時,AAA服務(wù)器通常檢查通向因特網(wǎng)的接入����,這些AAA服務(wù)器采用RADIUS(遠程鑒權(quán)撥入用戶業(yè)務(wù))協(xié)議����,并因此稱為RADIUS服務(wù)器����。在此在接入服務(wù)器上實現(xiàn)了從電話網(wǎng)向因特網(wǎng)或IP網(wǎng)的過渡���,對于因特網(wǎng)該接入服務(wù)器稱為網(wǎng)絡(luò)接入服務(wù)器(NAS)��。在對于用戶建立通信連接之前���,借助RADIUS協(xié)議在NAS和RADIUS服務(wù)器之間交換消息,以便讓在RADIUS服務(wù)器中檢查用戶的身份和他的接入權(quán)。如果RADIUS服務(wù)器的回答是肯定的��,即用戶是授權(quán)的,NAS則在IP網(wǎng)和用戶或他的因特網(wǎng)終端設(shè)備之間建立通信連接�����。此時,用戶的因特網(wǎng)終端設(shè)備需要明確的可選擇路由的IP地址。由于供使用IP地址的儲備是有限的,大多數(shù)因特網(wǎng)業(yè)務(wù)提供商,以下稱為因特網(wǎng)業(yè)務(wù)提供商(ISP)����,僅對于因特網(wǎng)通信連接的持續(xù)時間向他們的客戶�,即用戶發(fā)放IP地址���。在不同的因特網(wǎng)會議中,用戶或他的因特網(wǎng)終端設(shè)備因此通常分配到不同的因特網(wǎng)地址����。通常有一個IP地址區(qū)���,以下稱為地址存儲池����,供因特網(wǎng)業(yè)務(wù)提供商使用�����,從該IP地址區(qū)中獲取臨時給用戶分配的地址。因特網(wǎng)業(yè)務(wù)提供商也可以擁有多個地址存儲池����,例如以便可以形成不同業(yè)務(wù)的多個業(yè)務(wù)組�。
通常要么在接入服務(wù)器或NAS中����,要么在AAA服務(wù)器或RADIUS服務(wù)器中����,進行IP地址的動態(tài)分配����。IP地址在接入服務(wù)器或NAS中的分配,具有在因特網(wǎng)業(yè)務(wù)提供商的可觀的管理和維護工作量的缺點,這些因特網(wǎng)業(yè)務(wù)提供商運行大量的接入服務(wù)器���。在每個單個的接入服務(wù)器中必須設(shè)立地址存儲池�。在大的因特網(wǎng)業(yè)務(wù)提供商處���,要供應(yīng)的接入服務(wù)器的數(shù)量是可觀的�,和因而設(shè)立和改變地址存儲池的工作量是巨大的。此外還缺乏運行著的因特網(wǎng)通信連接的和此時所使用IP地址的集中檢查���。例如對于將接入轉(zhuǎn)租給較小的因特網(wǎng)業(yè)務(wù)提供商的接入網(wǎng)運行商來說��,集中地管理和發(fā)放供使用的地址存儲池是特別重要的。
所以在大的因特網(wǎng)業(yè)務(wù)提供商處���,通常由一個或多個高效和高可用的AAA服務(wù)器來集中進行資源管理�,并因此也進行IP地址的管理�?�!案咝А霸诖耸侵该棵腌娍梢蕴幚泶罅康慕尤霗z查的能力。
高效集中控制的通常的實現(xiàn)方案是借助于多服務(wù)器系統(tǒng)���。該多服務(wù)器系統(tǒng)通常由借助IP網(wǎng)彼此連接的若干單個計算機或服務(wù)器組成。該解決方案花費少���,因為不需要昂貴的失效安全的硬件或群集(Cluster)軟件��。此外通過添加其它的計算機可將系統(tǒng)容易地向上可按比例擴大(skalierbar)。出于用于失效安全性的冗余原因����,單個計算機應(yīng)有能力承擔(dān)多服務(wù)器系統(tǒng)的其它計算機的任務(wù)�����。例如由接入服務(wù)器上的RADIUS客戶進行將負荷分配到多服務(wù)器系統(tǒng)的不同單個計算機上����。
對于由多服務(wù)器系統(tǒng)來管理IP地址�,必須收集關(guān)于地址發(fā)放和地址需求的信息�,以及關(guān)于運行著和已結(jié)束的因特網(wǎng)會議的狀態(tài)信息,并使其可供單個計算機使用�����。由于冗余要求,供一個單個計算機使用的信息也應(yīng)供至少一個另外的單個計算機來使用�����。此外還要負責(zé)安排���,由不同的單個計算機不致多重地發(fā)放地址����。
例如可以如下來滿足在由多服務(wù)器系統(tǒng)管理IP地址時的這些要求����,即由中央服務(wù)器����,例如DHCP(動態(tài)主機配置協(xié)議)服務(wù)器����,或由通過采用制造商專門的協(xié)議來工作的服務(wù)器用IP地址供應(yīng)多服務(wù)器系統(tǒng)的單個計算機。該解決方案具有以下的缺點·保護中央服務(wù)器不受例如由雙重(Doppelung)引起的失效,通常是與可觀的工作量相連接的��。
·對于在中央服務(wù)器和多服務(wù)器系統(tǒng)的其它計算機之間可靠的通信����,應(yīng)簽收所交換的消息��。要處理的信息量因此隨著計算機的數(shù)量而急劇地增長��。因此影響了可伸縮性��,即將其它的計算機集成到多服務(wù)器系統(tǒng)中。
·提高數(shù)量的通信連接愿望導(dǎo)致了中央服務(wù)器和單個計算機之間數(shù)據(jù)通信的增加�����。所以可能導(dǎo)致負荷尖峰(短脈沖串)�,這些負荷尖峰可能引起處理時的延遲��。
·中央服務(wù)器常常導(dǎo)致附加的維護工作量。
為了提高失效安全性�����,存在著借助擴充的RADIUS協(xié)議直接在接入服務(wù)器或NAS中存儲狀態(tài)信息的可能性。該解決方案在RFC(要求說明)2882中清楚地作了說明����,但是僅對支持相應(yīng)的協(xié)議擴充的接入服務(wù)器起作用��。
替代地可以在多服務(wù)器系統(tǒng)所有的單個計算機上存儲關(guān)于地址存儲池的整個信息����,并可以在單個計算機之間交換用于協(xié)調(diào)地址預(yù)留的消息。如果應(yīng)避免雙重發(fā)放地址�,這種行動方式則導(dǎo)致可觀容量的要交換的消息��。
本發(fā)明的任務(wù)是提供在AAA服務(wù)器系統(tǒng)中有效管理一個或多個地址區(qū),該管理避免了常規(guī)方法的缺點�。
通過按權(quán)利要求1的一種AAA服務(wù)器系統(tǒng)和按權(quán)利要求10的一種方法來解決本任務(wù)。
本發(fā)明的AAA服務(wù)器系統(tǒng)包括多個用于管理至少一個邏輯地址存儲池的AAA服務(wù)器�。在此�����,至少一個地址存儲池的多個分離的子群量或子存儲池分別分配給了恰好一個AAA服務(wù)器�����。地址存儲池子群量的邏輯地址分別僅由所屬的AAA服務(wù)器可分配給終端設(shè)備或用戶����,并由所屬的AAA服務(wù)器來管理(權(quán)利要求1)�。也可以將一個地址存儲池的多個子群量分配給一個AAA服務(wù)器。在地址存儲池的情況下例如可以涉及IP地址區(qū)(權(quán)利要求2)����。例如可以借助RADIUS(遠程鑒權(quán)撥入用戶業(yè)務(wù))協(xié)議或DIAMETER協(xié)議�,來進行通過AAA服務(wù)器系統(tǒng)的AAA服務(wù)器將地址向終端設(shè)備的分配(權(quán)利要求3)�。這些協(xié)議常常用于AAA服務(wù)器系統(tǒng)和接入服務(wù)器或NAS之間的通信�,借助該接入服務(wù)器或NAS可將終端設(shè)備與網(wǎng)絡(luò)(例如因特網(wǎng))相連接�。AAA服務(wù)器系統(tǒng)的AAA服務(wù)器例如可以借助因特網(wǎng)協(xié)議或TCP/IP(傳輸控制協(xié)議/因特網(wǎng)協(xié)議)來彼此通信(權(quán)利要求4和8)���。如果服務(wù)器系統(tǒng)的所有的AAA服務(wù)器擁有邏輯地址的整個存儲池或所有的存儲池��,則對于邏輯地址子群量或邏輯地址的子存儲池向AAA服務(wù)器分配的變化是合宜的(權(quán)利要求5)。將供使用的地址空間進一步劃分為子群量�,并且這些子群量向AAA服務(wù)器的分配����,允許降低在各個服務(wù)器或計算機之間的通信時的工作量�����。
用于在本發(fā)明AAA服務(wù)器系統(tǒng)中更新信息的本發(fā)明方法中����,由服務(wù)器系統(tǒng)的第一AAA服務(wù)器有規(guī)則地發(fā)送更新消息到AAA服務(wù)器系統(tǒng)的所有其它的服務(wù)器上����。該更新消息包括關(guān)于從存在的已過去的更新時起始的���,在分配給第一AAA服務(wù)器的一個地址存儲池或各地址存儲池的子群量中狀態(tài)變化的信息��。通過向AAA服務(wù)器系統(tǒng)所有其它的AAA服務(wù)器有規(guī)則地��,例如以固定的時間區(qū)間進行AAA服務(wù)器更新消息的發(fā)送�,可以協(xié)調(diào)邏輯地址通過AAA服務(wù)器系統(tǒng)各個AAA服務(wù)器的發(fā)放。因此可以將正在使用中的一個地址存儲池或各個地址存儲池的子群量,發(fā)送信號到所有的AAA服務(wù)器上��。此外可以在服務(wù)器AAA之間交換有關(guān)在下一個時間區(qū)間期間所需要的邏輯地址資源的信息��。此時在發(fā)送更新消息之前��,AAA服務(wù)器估算在要發(fā)送的更新消息和隨后的更新消息之間的時間間隔內(nèi)所要發(fā)放的邏輯地址的數(shù)量。這可以用以下的方式來實現(xiàn)���,即形成最大由AAA服務(wù)器可處理的發(fā)放邏輯地址請求的比率與在要發(fā)送的更新消息和隨后的更新消息之間的時間間隔的乘積(權(quán)利要求12)[劃底線處為譯者添加的。詳見原文第6頁下方的說明—譯注]��。如此獲得的估算提供了所需要地址數(shù)量的上限�。從分配給服務(wù)器的地址存儲池的子群量中確定哪些用于獲取按估算在時間間隔中所需要的邏輯地址�。更新消息于是可以含有以下內(nèi)容的信息�����,即已確定了哪些用于獲取按估算在時間間隔內(nèi)所需要的邏輯地址���,分配給AAA服務(wù)器的地址存儲池子群量(權(quán)利要求11)。以此方式可以將邏輯地址的子群量標志為“不可靠的“��,即在下一個時間區(qū)間之內(nèi)可以從該子群量中發(fā)放邏輯地址���。如果各個AAA服務(wù)器需要地址存儲池的附加的子群量��,以便滿足通信連接詢問��,該標志則起作用�����。在這種情況下�,可以改變地址存儲池的未標志為“不可靠的“子群量的主管權(quán)或分配��,并分配給缺乏邏輯地址的AAA服務(wù)器(權(quán)利要求13)��。在該方法中�,各個AAA服務(wù)器傳達由冗余數(shù)據(jù)和禁止信息(Sperrinformation)(標志的地址存儲池子群量����,其分配不用于調(diào)度)組成的混合����。因此限制了在服務(wù)器之間交換的數(shù)據(jù)的容量��。通常情況下對于各個AAA服務(wù)器隱藏了����,由另外的AAA服務(wù)器發(fā)放了哪些單個地址。替代地,傳達了從中發(fā)放地址的子群量���。因此降低了在各個計算機中應(yīng)存儲的狀態(tài)信息-在涉及另外的AAA服務(wù)器方面,記錄(有時指示的����,indizierte)子群量的狀態(tài)來代替各個地址的狀態(tài)-�,并降低了各個服務(wù)器之間的信息交換的數(shù)據(jù)速率�����。
在AAA服務(wù)器失效時���,可以將地址存儲池的分配給該AAA服務(wù)器的子群量���,例如按照優(yōu)先權(quán)清單的標淮來分配給另一個AAA服務(wù)器(權(quán)利要求14和15)�����。有時也在多個另外的AAA服務(wù)器之間分配失效的服務(wù)器的子群量���。于是合宜的是�����,在一個時間間隔中不將邏輯地址的子群量用于邏輯地址的重新分配�����,這些子群量在失效服務(wù)器的最后獲得的更新消息時已標志為“不可靠的“(權(quán)利要求16)。該時間間隔例如可以相當于最大允許的通信連接持續(xù)時間(權(quán)利要求17)����。在重新引導(dǎo)(Neubooten)AAA服務(wù)器系統(tǒng)的AAA服務(wù)器時也可以采用更新消息����。例如重新引導(dǎo)的(neugebooteter)AAA服務(wù)器傳送多點傳播消息到另一個AAA服務(wù)器上����,它用該多點傳播消息請求來傳送更新消息和分配地址存儲池的子群量(權(quán)利要求18)�����。TCP/IP協(xié)議、RADIUS協(xié)議�����、或DIAMETER協(xié)議可采用為用于交換更新消息的傳輸協(xié)議。通過降低了的所交換消息的容量可以在不同的地方��,即離散地建立服務(wù)器系統(tǒng)的各個服務(wù)器(權(quán)利要求9)。
在其它的從屬權(quán)利要求中說明了本發(fā)明主題的其它有利的改進方案����。
以下在實施例的范圍內(nèi)借助五個附圖來詳細闡述本發(fā)明�����。
圖1展示因特網(wǎng)會議地址動態(tài)分配的系統(tǒng)結(jié)構(gòu)。
圖2展示將地址區(qū)或地址存儲池劃分為子群量或子存儲池����。
圖3展示將邏輯地址的子群量向RADIUS服務(wù)器的分配����。
圖4展示在三個RADIUS服務(wù)器之間交換更新消息���。
圖5展示在請求邏輯地址附加子群量時不同的步驟。
在實施例的范圍內(nèi)假設(shè)��,通過借助RADIUS協(xié)議工作的RADIUS服務(wù)器系統(tǒng)�,即多服務(wù)器系統(tǒng)來管理一個或多個IP地址區(qū)。RADIUS服務(wù)器系統(tǒng)由多個借助網(wǎng)絡(luò)相連接的RADIUS服務(wù)器組成。不需要專門的軟件�,例如群集軟件�。為了簡單起見而假設(shè),在實施例的范圍內(nèi)地址存儲池相當于IP地址區(qū)�����,而地址存儲池子群量相當于IP地址的子區(qū)���。全球的地址區(qū)或地址存儲池可以分配給因特網(wǎng)業(yè)務(wù)提供商���,或為某個業(yè)務(wù)等級所預(yù)留����。
圖1中示出了因特網(wǎng)終端設(shè)備Host1��,...�����,Host5���,用戶通過其可以建立通向因特網(wǎng)INT的通信連接���。借助在PPP(點對點協(xié)議)協(xié)議PPP上運行的IP(因特網(wǎng)協(xié)議)協(xié)議IP����,可以建立在終端設(shè)備Host1...Host5和接入服務(wù)器NAS之間的通信連接。在由接入服務(wù)器建立了與因特網(wǎng)INT的通信連接之前����,在RADIUS服務(wù)器系統(tǒng)RADSS中實施詢問。借助RADIUS協(xié)議RADIUS來進行接入服務(wù)器NAS和RADIUS服務(wù)器系統(tǒng)RADSS之間的消息交換。RADIUS服務(wù)器系統(tǒng)RADSS擁有自己IP地址@IP1,...�,@Ipn的存儲池IPPool�����,將這些IP地址@IP1,...��,@Ipn在通信連接的時間間隔內(nèi)動態(tài)地分配給因特網(wǎng)終端設(shè)備Host1,...����,Host5�。在獲得通過RADIUS服務(wù)器系統(tǒng)的授權(quán)消息和在通信連接的時間間隔內(nèi)分配了IP地址之后,接入服務(wù)器NAS建立正在詢問的因特網(wǎng)終端設(shè)備Host1�,...,Host5用的因特網(wǎng)通信連接����。
圖2中示出了由地址區(qū)IP 1至IP N組成的地址存儲池A�。該地址存儲池A進一步劃分為三個子群量A1�,..�,A3,這些子群量A1,..�����,A3相當于子地址區(qū)IP 1至IP I�,IP J至IP K�,和IP L至IP N���。RADIUS服務(wù)器中的每一個擁有整個的地址存儲池A�����,即在所有的服務(wù)器上存儲了整個的地址區(qū)。RADIUS服務(wù)器中的每一個可以釋放IP地址的每一個任意子群量A1��,...�����,A3的IP地址��。與此相反,存在著分配通信連接IP地址的獨有權(quán)����,即每一個RADIUS服務(wù)器已經(jīng)分配了地址的一個或多個子群量A1,..����,A3���,從該子群量中它可以發(fā)放IP地址���。在RADIUS服務(wù)器之間可以動態(tài)地推移IP地址的這些發(fā)放權(quán)��。圖3中示出了三個RADIUS服務(wù)器RAD1����,..�����,RAD3。給每一個RADIUS服務(wù)器分配了地址的一個子區(qū)A1,...�����,A3(通過實線的箭頭標志),從這些地址中它可以分配地址���。所有的三個RADIUS服務(wù)器可以釋放所使用的地址�����,這通過虛線的箭頭來標志。
圖4中展示如何在各個RADIUS服務(wù)器中進行更新關(guān)于另外的RADIUS服務(wù)器狀態(tài)的信息。每個RADIUS服務(wù)器RAD1��,...�����,RAD3以規(guī)則的時間間隔發(fā)送更新消息到所有另外的RADIUS服務(wù)器RAD1,...�,RAD3上,以便了解有關(guān)所分配的地址子群量的變化��。該更新消息借助IP多點傳播機制來發(fā)送,并且僅涉及子群量���,在這些子群量方面從最后的更新消息起已產(chǎn)生了變化��。不簽收更新消息����。IP地址的雙重發(fā)放被排除在外�����,因為在最壞的情況下丟失了釋放信息��,即涉及已經(jīng)使用的IP地址的信息。于是稍后在最大發(fā)放時間的定時器結(jié)束之后進行釋放��。更新消息附加地含有關(guān)于地址子群量的信息��,從這些地址子群量中預(yù)計在隨后的時間區(qū)間中將發(fā)放IP地址���。在此可以考慮具有尚未發(fā)放的IP地址的子群量�。按照圖4,RADIUS服務(wù)器RAD1在時刻S1.1和S1.2發(fā)送更新消息UpdtRAD1(用于更新RAD1)到RADIUS服務(wù)器RAD2和RAD3上�。在推移的時刻S2.1和S2.2���,或S3.1和S3.2�,RADIUS服務(wù)器RAD2或RADIUS服務(wù)器RAD3分別發(fā)送更新消息UpdtRAD2或UpdtRAD3到兩個另外的RADIUS服務(wù)器RAD1和RAD3,或RAD1和RAD2上�。
在RADIUS服務(wù)器RAD1����,...,RAD3中的每一個上存儲了以下的信息�,這些信息涉及整個的或全球的地址存儲池A·全球地址存儲池A的標志符�����,用于將多個全球地址存儲池例如采用于不同業(yè)務(wù)等級的情況。
·RADIUS服務(wù)器RAD1�����,...����,RAD3的清單�����,這些RADIUS服務(wù)器RAD1,...����,RAD3可以訪問全球地址存儲池A的地址。該清單包含每個RADIUS服務(wù)器RAD1����,...,RAD3的IP地址�、每個RADIUS服務(wù)器RAD1�,...�����,RAD3的標志符、每個RADIUS服務(wù)器RAD1,...��,RAD3的最后更新的時刻、和當前空閑的,即未發(fā)放的IP地址的總數(shù)�����。
·全球地址區(qū)A的第一IP地址���。
·屬于該地址區(qū)A的IP地址的數(shù)量���。
·兩個更新之間的時間間隔。
·規(guī)定用于因特網(wǎng)終端設(shè)備的通信連接的最長持續(xù)時間�����。
·IP地址子群量的清單,例如以分別指出子區(qū)第一IP地址的指示字(Pointer)的形式�。
·可選擇地�����,接入服務(wù)器或端口標志的清單��。該清單含有以其IP地址��、或其NAS標志和其端口數(shù)量形式的所有相連接的NAS���。
·對于全球的地址存儲池A可以附加地規(guī)定標記符(Flag)���,即指出缺乏空閑的IP地址。例如如果空閑IP地址的總數(shù)小于一個閾值����,例如在更新之間的時間間隔乘以詢問IP地址的最大比例(Rate)����,則設(shè)置該標記符���。如果空閑IP地址的總數(shù)又超出閾值��,則廢除標記符的設(shè)置。
在所有的RADIUS服務(wù)器上存儲以下涉及地址子群量的信息·RADIUS服務(wù)器的標志符�����,該RADIUS服務(wù)器負責(zé)地址子群量��,即從該子群量中可以發(fā)放IP地址的AAA服務(wù)器。
·IP地址的子群量或子區(qū)的第一IP地址����。
·由子群量所包括IP地址的數(shù)量�。
以規(guī)則的時間間隔來更新預(yù)留在AAA RADIUS服務(wù)器上的�����、涉及地址子群量的信息�。通過測量兩個更新消息之間的時間區(qū)間的定時器的終止來觸發(fā)更新�����。由發(fā)送關(guān)于其地址子群量狀態(tài)的更新消息的RADIUS服務(wù)器�,來確定所分配地址子群量的空閑的���,即未發(fā)放的地址�,并識別在下一個時間區(qū)間之內(nèi)可以考慮使用的子群量�。更新消息于是包括RADIUS服務(wù)器的標志���,由該RADIUS服務(wù)器發(fā)送以下的消息該RADIUS服務(wù)器的空閑IP地址的總數(shù)����,在下一個時間區(qū)間之內(nèi)可以考慮使用的����,即標記為“不可靠的“地址子群量的標志或標志符�,從最后的更新消息起關(guān)于子群量使用的變化以及必要時其它的狀態(tài)信息�。在發(fā)送更新消息之后重新啟動定時器。獲得了更新消息的RADIUS服務(wù)器重新設(shè)置監(jiān)控定時器,該監(jiān)控定時器測量從最后的更新消息起消逝了多少時間�����。RADIUS服務(wù)器借助接收的更新消息���,使得有關(guān)發(fā)送的RADIUS服務(wù)器的狀態(tài)信息進入最新的狀態(tài)����。
圖5中示出了在用戶或終端設(shè)備的通信連接時的和通信連接期間的消息交換�。由NAS(網(wǎng)絡(luò)接入服務(wù)器)對于因特網(wǎng)終端設(shè)備的通信連接�����,借助RADIUS協(xié)議RADIUS發(fā)送一個鑒權(quán)詢問rAUTH到RADIUS服務(wù)器RAD1上�����。該鑒權(quán)詢問rAUTH含有NAS的標志�����,端口的標志符���,和用戶或終端設(shè)備的標志����。由RADIUS服務(wù)器RAD1提出詢問rLDAP到LDAP(輕型號碼簿接入?yún)f(xié)議)數(shù)據(jù)庫LDAP上,在該詢問rLDAP的過程中求出用戶的標志或身份(Identitt)����。由LDAP數(shù)據(jù)庫LDAP在應(yīng)答aLDAP中通知地址子群量的標志,從該地址子群量中可以獲取IP地址。隨即從該IP地址于群量中確定IP地址�����。RADIUS服務(wù)器隨后按照鑒權(quán)詢問在應(yīng)答aAUTH中,將所確定的IP地址通知給NAS��。在更新消息UpdtRAD1的過程中�,例如以所使用IP地址的已更新總數(shù)的形式���,和有時通過將相應(yīng)的地址子群量重新標記為“不可靠的“,將該新的通信連接的事實通知給另外的RADIUS服務(wù)器RAD2�。RADIUS服務(wù)器RAD1相似地在通信連接期間獲得另外RADIUS服務(wù)器RAD2的更新消息UpdtRAD2�。如果應(yīng)該中斷通信連接�,NAS則發(fā)送消息astop到RADIUS服務(wù)器上,用該消息astop應(yīng)該中斷相應(yīng)通信連接的結(jié)算或計費。該消息含有用戶的標志和所分配的IP地址����。RADIUS服務(wù)器RAD1給NAS簽收該消息�,其中��,簽收消息ACKastop又含有用戶的標志和所采用的IP地址�����。在通信連接結(jié)束之后在緊隨其后的更新消息UpdtRAD1中,用相應(yīng)地更新的狀態(tài)信息來供應(yīng)另外的RADIUS服務(wù)器RAD2�����。
如果RADIUS服務(wù)器對于通過接入服務(wù)器或NAS的詢問不具有足夠的地址子群量,它則可以請求分配其它的地址子群量。如果RADIUS服務(wù)器的空閑IP地址的總數(shù)低于一個閾值�����,該閾值例如由更新消息之間的時間區(qū)間與最大可處理的通信連接要求的比例的乘積得出,則觸發(fā)這種詢問或請求�����。在此情況下,RADIUS服務(wù)器設(shè)置指出缺乏IP地址的標記符���。RADIUS服務(wù)器借助另外RADIUS服務(wù)器的狀態(tài)信息來檢驗����,哪個服務(wù)器具有最大數(shù)量的空閑IP地址����、或最大數(shù)量的未標記或未使用的地址子群量。如果可以識別一個RADIUS服務(wù)器,該RADIUS服務(wù)器擁有可觀地多于缺乏IP地址的閾值的空閑地址�,則由缺乏地址的RADIUS服務(wù)器發(fā)送分配其它地址子群量的請求。隨著該消息的發(fā)送而設(shè)置了監(jiān)控定時器����。在否定的應(yīng)答的情況下����,缺乏地址的RADIUS服務(wù)器按照在那里空閑地址的程度(Massgabe)來發(fā)送相應(yīng)的詢問到另外的RADIUS服務(wù)器上。如果未能識別具有空閑地址的RADIUS服務(wù)器�����,或如果未從RADIUS服務(wù)器獲得應(yīng)答,缺乏地址的RADIUS服務(wù)器則在它重復(fù)它的詢問之前等侯至少一個更新時間區(qū)間���。如果在此時間間隔中發(fā)放了全部空閑的IP地址����,則由NAS拒絕附加的鑒權(quán)詢問��。如果與此相反地獲得了對新地址子群量的請求的肯定應(yīng)答����,則借助多點傳播用簽收消息向所有另外的RADIUS服務(wù)器簽收該肯定的應(yīng)答,并在內(nèi)部更新所有重要的數(shù)據(jù)�。在重新引導(dǎo)(Reboot)RADIUS服務(wù)器中的一個之后���,也可以將該機制采用于該RADIUS服務(wù)器的自動的重新配置�。
在RADIUS服務(wù)器中的一個失效時�,通過RADIUS服務(wù)器的標志清單來規(guī)定主管權(quán)的層次���。在從失效的RADIUS服務(wù)器不再獲得更新消息之后,在層次頂端上的RADIUS服務(wù)器���,或緊隨其后的RADIUS服務(wù)器承擔(dān)相應(yīng)IP地址區(qū)的檢查或管理��。在此,在承擔(dān)地址子群量管理的RADIUS服務(wù)器中執(zhí)行以下的步驟通過監(jiān)控定時器的結(jié)束來啟動地址的承接。在此之后發(fā)送更新消息的請求到失效的RADIUS服務(wù)器上�����。如果此后未獲得應(yīng)答���,則借助多點傳播消息將以下的信息通知所有另外的RADIUS服務(wù)器,即發(fā)送多點傳播消息的RADIUS服務(wù)器承接失效RADIUS服務(wù)器的地址子群量的管理和分配�����。將承接的RADIUS服務(wù)器的地址子群量擴充所承接的地址子群量���。在此�����,阻斷標記為“不可靠的“子群量���,并啟動阻斷用的定時器。該定時器測量通信連接的IP地址分配用的最長的時間�。在定時器結(jié)束之后廢除地址子群量的阻斷?����,F(xiàn)在所有的IP地址資源又是可使用的����,并完全補償了RADIUS服務(wù)器的失效����。
權(quán)利要求
1.AAA服務(wù)器系統(tǒng)(RADSS),包括多個AAA服務(wù)器(RAD1�����,RAD2,RAD3),用于管理邏輯地址(IP1��,...IPN)的一個存儲池(A)��,其特征在于����,-存在著所述地址存儲池(A)的多個分離的子群量(A1�����,A2����,A3)�,-所述地址存儲池(A)的分離子群量(A1����,A2���,A3)中的每一個分配給了恰好一個AAA服務(wù)器(RAD1,RAD2���,RAD3),和-所述地址存儲池(A)的子群量(A1,A2��,A3)的邏輯地址僅可以分別由所屬的AAA服務(wù)器(RAD1,RAD2�,RAD3)分配給一個終端設(shè)備。
2.按權(quán)利要求1的AAA服務(wù)器系統(tǒng)����,其特征在于�����,-由IP(因特網(wǎng)協(xié)議)地址給出所述的邏輯地址(IP1���,...IPN)����。
3.按權(quán)利要求1或2的AAA服務(wù)器系統(tǒng)����,其特征在于,-由所述AAA服務(wù)器系統(tǒng)(RADSS)的AAA服務(wù)器(RAD1,RAD2,RAD3),借助RADIUS協(xié)議或DIAMETER協(xié)議可以分配終端設(shè)備的邏輯地址����。
4.按以上權(quán)利要求之一的AAA服務(wù)器系統(tǒng)����,其特征在于���,-在所述AAA服務(wù)器系統(tǒng)(RADSS)的AAA服務(wù)器(RAD1,RAD2,RAD3)之間����,借助因特網(wǎng)協(xié)議可以交換消息。
5.按以上權(quán)利要求之一的AAA服務(wù)器系統(tǒng)����,其特征在于�����,-在所述AAA服務(wù)器系統(tǒng)(RADSS)的所有的AAA服務(wù)器(RAD1,RAD2����,RAD3)上存儲了邏輯地址(IP1,...IPN)的所述整個的存儲池(A)。
6.按以上權(quán)利要求之一的AAA服務(wù)器系統(tǒng)�,其特征在于�,-可以動態(tài)地改變所述地址存儲池(A)的子群量(A1,A2,A3)向AAA服務(wù)器(RAD1����,RAD2,RAD3)的分配����。
7.按以上權(quán)利要求之一的AAA服務(wù)器系統(tǒng)�����,其特征在于��,-存在著邏輯地址的多個地址存儲池(A)����,從這些地址存儲池(A)中給所述AAA服務(wù)器系統(tǒng)(RADSS)的AAA服務(wù)器(RAD1����,RAD2��,RAD3)分配了分離的子群量(A1����,A2,A3)�,-存在著不同的業(yè)務(wù)等級,和-在所述業(yè)務(wù)等級之一的業(yè)務(wù)范圍內(nèi)��,對于邏輯地址的發(fā)放存在著不同地址存儲池(A)向恰好一個業(yè)務(wù)等級的分配。
8.按以上權(quán)利要求之一的AAA服務(wù)器系統(tǒng),其特征在于,-借助TCP/IP協(xié)議可以在所述AAA服務(wù)器系統(tǒng)(RADSS)的AAA服務(wù)器(RAD1�����,RAD2�����,RAD3)之間交換消息。
9.按以上權(quán)利要求之一的AAA服務(wù)器系統(tǒng)����,其特征在于���,-所述AAA服務(wù)器系統(tǒng)(RADSS)的AAA服務(wù)器(RAD1�,RAD2��,RAD3)中的至少兩個定位在不同的地點上�����。
10.用于在按權(quán)利要求1的AAA服務(wù)器系統(tǒng)中更新信息的方法�����,其中���,-由所述AAA服務(wù)器系統(tǒng)(RADSS)的第一AAA服務(wù)器(RAD1��,RAD2�����,RAD3)有規(guī)則地發(fā)送更新消息(UpdtRAD1���,UpdtRAD2��,UpdtRAD3)到所述AAA服務(wù)器系統(tǒng)(RADSS)的所有另外的AAA服務(wù)器(RAD1�����,RAD2��,RAD3)上����,-該更新消息(UpdtRAD1�,UpdtRAD2,UpdtRAD3)包括關(guān)于從前面更新消息(UpdtRAD1�,UpdtRAD2,UpdtRAD3)起始的��,分配給所述第一AAA服務(wù)器(RAD1���,RAD2�����,RAD3)的地址存儲池(A)子群量(A1��,A2,A3)的狀態(tài)變化的信息���。
11.按權(quán)利要求10的方法��,其特征在于�����,-在發(fā)送所述的更新消息(UpdtRAD1��,UpdtRAD2����,UpdtRAD3)之前,在所述的第一AAA服務(wù)器(RAD1��,RAD2��,RAD3)中實施�,對在所述要發(fā)送的更新消息(UpdtRAD1����,UpdtRAD2���,UpdtRAD3)和緊隨其后的更新消息(UpdtRAD1,UpdtRAD2��,UpdtRAD3)之間的時間間隔中要發(fā)放的邏輯地址評估�,-確定分配給所述第一AAA服務(wù)器(RAD1���,RAD2���,RAD3)的地址存儲池(A)的子群量(A1��,A2����,A3)���,用于獲取在所述評估之后在所述時間間隔中需要的邏輯地址�,和-所述的更新消息(UpdtRAD1����,UpdtRAD2��,UpdtRAD3)附加地含有關(guān)于以下內(nèi)容的信息����,已確定了哪些分配給所述第一AAA服務(wù)器(RAD1,RAD2�,RAD3)的地址存儲池(A)的子群量(A1,A2���,A3)�,用于獲取在所述評估之后在所述時間間隔中需要的邏輯地址����。
12.按權(quán)利要求11的方法�,其特征在于,-為了所述的評估形成所述最大由所述AAA服務(wù)器(RAD1,RAD2�����,RAD3)可處理的發(fā)放邏輯地址請求的比率��,與在所述要發(fā)送的更新消息(UpdtRAD1�����,Upd tRAD2,UpdtRAD3)和所述緊隨其后的更新消息(UpdtRAD1�����,Upd tRAD2�,UpdtRAD3)之間的時間間隔的乘積����。
13.按權(quán)利要求10至12之一的方法,其特征在于����,-所述的第一AAA服務(wù)器(RAD1��,RAD2����,RAD3)檢驗,按照所述評估而需要的所述地址存儲池(A)的子群量(A1,A2��,A3)是否可供使用,和-在所述檢驗的否定的結(jié)果情況下�����,通過所述的第一AAA服務(wù)器(RAD1���,RAD2,RAD3)促使��,將另一個AAA服務(wù)器(RAD1���,RAD2�����,RAD3)的子群量分配給所述的第一AAA服務(wù)器(RAD1��,RAD2�,RAD3)�。
14.按權(quán)利要求10至12之一的方法,其特征在于���,在所述的第一AAA服務(wù)器(RAD1�����,RAD2�����,RAD3)失效時��,將分配給所述第一AAA服務(wù)器(RAD1,RAD2,RAD3)的所述地址存儲池(A)的子群量(A1�,A2,A3)分配給第二AAA服務(wù)器(RAD1��,RAD2�,RAD3)���。
15.按權(quán)利要求14的方法����,其特征在于�����,按AAA服務(wù)器(RAD1,RAD2�����,RAD3)的優(yōu)先權(quán)清單的標準來確定所述的第二AAA服務(wù)器(RAD1�����,RAD2����,RAD3)�����。
16.按權(quán)利要求11和權(quán)利要求14或15之一的方法�����,其特征在于�,在所述第一AAA服務(wù)器(RAD1��,RAD2,RAD3)失效時����,在一個時間間隔中不將所述地址存儲池(A)的子群量(A1�����,A2��,A3)使用于邏輯地址(IP1����,...IPN)的重新發(fā)放���,這些子群量(A1�����,A2���,A3)是按照所述最后由第二AAA服務(wù)器(RAD1�����,RAD2,RAD3)獲得的第一AAA服務(wù)器(RAD1���,RAD2��,RAD3)的更新消息��,對于在所述評估之后在時間間隔中所需要邏輯地址的獲取來確定的。
17.按權(quán)利要求16的方法,其特征在于�,按照所述最大允許的通信連接持續(xù)時間來確定所述的時間間隔����。
18.按以上權(quán)利要求之一的方法�����,其特征在于,-重新引導(dǎo)第二AAA服務(wù)器(RAD1,RAD2�����,RAD3)��,和-由所述第二AAA服務(wù)器(RAD1,RAD2�,RAD3)傳送多點傳播消息到所述AAA服務(wù)器系統(tǒng)(RADSS)的所有另外的AAA服務(wù)器(RAD1����,RAD2�,RAD3)上����,由此來請求向所述的第一AAA服務(wù)器(RAD1�����,RAD2���,RAD3)傳送更新消息(UpdtRAD1��,UpdtRAD2,Upd tRAD3)和分配所述地址存儲池(A)的子群量(A1,A2����,A3)���。
19.按以上權(quán)利要求之一的方法��,其特征在于,-采用所述的TCP/IP協(xié)議�、RADIUS協(xié)議�����、或DIAMETER協(xié)議作為用于傳送更新消息(UpdtRAD1,UpdtRAD2��,UpdtRAD3)的傳輸協(xié)議����。
全文摘要
本發(fā)明涉及一種用于管理邏輯地址(IP1���,…IPN)存儲池(A)的AAA(鑒定����,授權(quán)����,計費)服務(wù)器系統(tǒng)(RADSS),和一種用于在AAA服務(wù)器系統(tǒng)(RADSS)之內(nèi)更新狀態(tài)信息的方法。本發(fā)明的AAA服務(wù)器系統(tǒng)(RADSS)包括多個AAA服務(wù)器(RAD1���,RAD2,RAD3)��。地址存儲池(A)的一個或多個分離的子群量(A1,A2�,A3)被分配給AAA服務(wù)器(RAD1��,RAD2���,RAD3)中的每一個�。有關(guān)地址發(fā)放的所交換的狀態(tài)信息涉及地址的分離的子群量(A1,A2��,A3)。本發(fā)明具有在AAA服務(wù)器(RAD1�,RAD2,RAD3)之間工作量少而有效的消息交換的優(yōu)點。通過與需求有關(guān)地改變邏輯地址(IP1,...,IPN)的子群量(A1�����,A2,A3)向AAA服務(wù)器(RAD1�����,RAD2��,RAD3)的分配���,來確保邏輯地址資源的有效配置�����。
文檔編號H04L29/06GK1643879SQ03807166
公開日2005年7月20日 申請日期2003年3月18日 優(yōu)先權(quán)日2002年3月27日
發(fā)明者W·凱爾 申請人:西門子公司