本發(fā)明涉及計算機網(wǎng)絡(luò)，具體而言，涉及計算機網(wǎng)絡(luò)接入控制。

背景技術(shù)：

通常，諸如企業(yè)和包括服務(wù)提供商的其他組織的實體實現(xiàn)網(wǎng)絡(luò)接入控制，以便控制端點設(shè)備在計算機網(wǎng)絡(luò)上通信的能力。為了實現(xiàn)網(wǎng)絡(luò)接入控制，實體通常采用網(wǎng)絡(luò)接入服務(wù)器，諸如交換機，防火墻或?qū)拵ЬW(wǎng)絡(luò)網(wǎng)關(guān)(也可被稱為寬帶遠程接入服務(wù)器)，所述接入服務(wù)器通信地耦接至認(rèn)證服務(wù)器。

認(rèn)證服務(wù)器可使用遠程認(rèn)證撥號用戶服務(wù)(radius)協(xié)議或任何其他認(rèn)證、授權(quán)和計費(aaa)協(xié)議。radius服務(wù)器通常由互聯(lián)網(wǎng)服務(wù)提供商(isp)、蜂窩網(wǎng)絡(luò)提供商以及公司和教育網(wǎng)絡(luò)使用。radius協(xié)議在radius客戶端和radius服務(wù)器之間承載認(rèn)證(在允許用戶或設(shè)備接入網(wǎng)絡(luò)之前認(rèn)證用戶或設(shè)備)、授權(quán)(授權(quán)那些用戶或設(shè)備用于特定網(wǎng)絡(luò)服務(wù))和計費(記賬和跟蹤用戶對那些服務(wù)的使用)的信息。信息通過radius消息在radius客戶端和radius服務(wù)器之間交換。

當(dāng)端點設(shè)備第一次嘗試接入網(wǎng)絡(luò)時，網(wǎng)絡(luò)接入服務(wù)器(nas)要求端點設(shè)備提供認(rèn)證信息。通常，認(rèn)證信息包括用戶輸入的密碼。在從端點設(shè)備接收到密碼時，nas根據(jù)諸如radius協(xié)議的認(rèn)證協(xié)議與認(rèn)證服務(wù)器交互以確定端點設(shè)備是否被允許接入網(wǎng)絡(luò)。

在用戶被認(rèn)證之后，nas可從認(rèn)證服務(wù)器調(diào)取用戶的服務(wù)。nas可嘗試為用戶提供服務(wù)。在一些情況下，由于動態(tài)授權(quán)變更(coa)，nas可能無法在登錄之后或稍后為用戶提供服務(wù)。在未提供服務(wù)的情況下，用戶可能不能接入用戶已經(jīng)付費的服務(wù)，從而導(dǎo)致令人沮喪的用戶體驗。當(dāng)用戶聯(lián)系以解釋為什么不提供各種服務(wù)時，服務(wù)提供商可能不能容易地標(biāo)識哪些服務(wù)已經(jīng)被提供以及為什么不提供各種服務(wù)。

技術(shù)實現(xiàn)要素：

總體上描述了這樣的一些技術(shù)，這些技術(shù)用于使網(wǎng)絡(luò)接入設(shè)備(也可被稱為網(wǎng)絡(luò)接入服務(wù)器)將服務(wù)應(yīng)用的結(jié)果/狀態(tài)報告給認(rèn)證服務(wù)器(例如，遠程認(rèn)證撥號用戶服務(wù)(remoteauthenticationdialinuserservice)(radius)服務(wù)器)或授權(quán)變更(changeofauthorization)(coa)授權(quán)設(shè)備。這些技術(shù)可使得radius服務(wù)器和/或coa授權(quán)設(shè)備(也可被稱為“認(rèn)可授權(quán)(authorizationauthority)”或“coa授權(quán)”)能夠生成并發(fā)送授權(quán)消息至網(wǎng)絡(luò)接入服務(wù)器(nas)，請求nas提供先前授權(quán)請求的結(jié)果和/或提供給特定端點設(shè)備的服務(wù)的狀態(tài)。nas可用響應(yīng)消息來響應(yīng)授權(quán)消息，所述響應(yīng)消息標(biāo)識提供給特定端點設(shè)備的服務(wù)。

由于例如nas處的問題，所述技術(shù)可促進服務(wù)提供周圍的問題中的標(biāo)識。響應(yīng)于結(jié)果響應(yīng)消息，radius服務(wù)器或coa授權(quán)可執(zhí)行某種形式的校正動作。例如，當(dāng)在為端點設(shè)備授權(quán)的radius服務(wù)和當(dāng)前提供給端點設(shè)備的服務(wù)之間存在差異時，radius服務(wù)器可撤銷端點設(shè)備對非提供服務(wù)的授權(quán)、利用動態(tài)授權(quán)、記錄問題和/或警告請求設(shè)備(例如，計費服務(wù)器或網(wǎng)絡(luò)提供設(shè)備)或端點設(shè)備：當(dāng)前未提供或者先前未提供某個服務(wù)或服務(wù)組。

在一個方面中，一種在網(wǎng)絡(luò)中操作授權(quán)服務(wù)器的方法包括：通過授權(quán)服務(wù)器授權(quán)網(wǎng)絡(luò)接入服務(wù)器以允許端點設(shè)備根據(jù)網(wǎng)絡(luò)接入?yún)f(xié)議接入一個或多個服務(wù)；并且通過所述授權(quán)服務(wù)器并根據(jù)所述網(wǎng)絡(luò)接入?yún)f(xié)議，從所述網(wǎng)絡(luò)接入服務(wù)器請求關(guān)于所述一個或多個已授權(quán)的服務(wù)當(dāng)前是否被提供給所述端點設(shè)備使用的結(jié)果。

在另一方面中，授權(quán)服務(wù)器包括控制單元，該控制單元被配置為授權(quán)網(wǎng)絡(luò)接入服務(wù)器以允許端點設(shè)備根據(jù)網(wǎng)絡(luò)接入?yún)f(xié)議來接入一個或多個服務(wù)；并且根據(jù)網(wǎng)絡(luò)接入?yún)f(xié)議從網(wǎng)絡(luò)接入服務(wù)器請求關(guān)于一個或多個已授權(quán)的服務(wù)當(dāng)前是否被提供給所述端點設(shè)備使用的結(jié)果，該結(jié)果。

在另一方面中，一種網(wǎng)絡(luò)接入服務(wù)器包括：接口，該接口被配置為從授權(quán)服務(wù)器接收授權(quán)以允許端點設(shè)備根據(jù)網(wǎng)絡(luò)接入?yún)f(xié)議接入一個或多個服務(wù)；以及控制單元，該控制單元被配置為確定一個或多個已授權(quán)的服務(wù)的提供結(jié)果。所述接口進一步被配置為根據(jù)網(wǎng)絡(luò)接入?yún)f(xié)議向授權(quán)服務(wù)器報告確定的結(jié)果。

在另一方面中，操作網(wǎng)絡(luò)接入服務(wù)器的方法包括：從授權(quán)服務(wù)器接收授權(quán)以允許端點設(shè)備根據(jù)網(wǎng)絡(luò)接入?yún)f(xié)議來接入一個或多個服務(wù)；確定一個或多個已授權(quán)的服務(wù)的提供結(jié)果；并且根據(jù)網(wǎng)絡(luò)接入?yún)f(xié)議將所確定的結(jié)果報告給授權(quán)服務(wù)器。

在附圖和下面的描述中闡述了本發(fā)明的一個或多個實施例的細節(jié)。從說明書和附圖以及從權(quán)利要求書中，本發(fā)明的其它特征、目的和優(yōu)點將是顯而易見的。

附圖說明

圖1是示出示例性網(wǎng)絡(luò)系統(tǒng)的框圖，所述網(wǎng)絡(luò)系統(tǒng)被配置為執(zhí)行本公開中描述的結(jié)果查詢和報告技術(shù)的各個方面。

圖2是更詳細地示出圖1的網(wǎng)絡(luò)接入服務(wù)器和認(rèn)證服務(wù)器之間的實例交互的框圖。

圖3是示出根據(jù)本公開中描述的技術(shù)的各個方面用于查詢和報告服務(wù)提供結(jié)果的實例消息的格式的視圖。

圖4是示出圖1的網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間的實例交互的視圖，從用于提供服務(wù)授權(quán)的推送機制轉(zhuǎn)換到用于接收服務(wù)授權(quán)的調(diào)取機制以便根據(jù)本公開中描述的技術(shù)的各個方面執(zhí)行結(jié)果查詢。

圖5是示出網(wǎng)絡(luò)接入設(shè)備和授權(quán)設(shè)備在執(zhí)行本公開中描述的結(jié)果查詢和報告技術(shù)的各個方面的示例性操作的流程圖。

具體實施方式

圖1是示出示例性網(wǎng)絡(luò)系統(tǒng)10的框圖，所述網(wǎng)絡(luò)系統(tǒng)10被配置為執(zhí)行本公開中描述的結(jié)果查詢和報告技術(shù)的各個方面。網(wǎng)絡(luò)系統(tǒng)10，如圖1所示，該網(wǎng)絡(luò)系統(tǒng)包括網(wǎng)絡(luò)12，該網(wǎng)絡(luò)的邊緣位于網(wǎng)絡(luò)接入服務(wù)器14(也可被稱為網(wǎng)絡(luò)接入設(shè)備14)處以控制對網(wǎng)絡(luò)的接入。在內(nèi)部中，認(rèn)證與授權(quán)服務(wù)器16耦接至數(shù)據(jù)庫18以提供用戶和/或端點設(shè)備的認(rèn)證。網(wǎng)絡(luò)接入服務(wù)器14經(jīng)由鏈路20a耦接至認(rèn)證與授權(quán)服務(wù)器16，鏈路通?？杀硎九c企業(yè)關(guān)聯(lián)的安全局域網(wǎng)(lan)。認(rèn)證與授權(quán)服務(wù)器16一般還被示為經(jīng)由鏈路20b耦接至數(shù)據(jù)庫18。數(shù)據(jù)庫18例如也可駐留在企業(yè)的安全lan內(nèi)?？商娲?，數(shù)據(jù)庫18可由認(rèn)證與授權(quán)服務(wù)器16本地存儲。計費服務(wù)器17經(jīng)由鏈路20d耦接至網(wǎng)絡(luò)接入服務(wù)器14。可替代地，計費服務(wù)器17可在與網(wǎng)絡(luò)接入服務(wù)器14相同的設(shè)備上實現(xiàn)。網(wǎng)絡(luò)系統(tǒng)10進一步包括端點設(shè)備22，用戶34與端點設(shè)備22交互，以便經(jīng)由鏈路20c與網(wǎng)絡(luò)接入服務(wù)器14接口。

網(wǎng)絡(luò)12可包括能夠發(fā)送數(shù)據(jù)的任何類型的網(wǎng)絡(luò)，諸如在一個或多個層二(l2)網(wǎng)絡(luò)(例如，以太網(wǎng)或多分組標(biāo)簽交換(mpls)網(wǎng)絡(luò))上操作的層三(l3)分組交換網(wǎng)絡(luò)(例如互聯(lián)網(wǎng))。通常，網(wǎng)絡(luò)12包括企業(yè)網(wǎng)絡(luò)，或者換句話說，企業(yè)擁有并操作以促進企業(yè)內(nèi)通信的網(wǎng)絡(luò)。在本公開中對層的引用應(yīng)被解釋為對開放系統(tǒng)互連(osi)參考模型或簡稱為osi模型的層的引用。

因為企業(yè)維持網(wǎng)絡(luò)(enterprisemaintainsnetwork)12以促進企業(yè)內(nèi)通信，其中一些可能是敏感的或機密的，因此網(wǎng)絡(luò)12可使用網(wǎng)絡(luò)接入服務(wù)器14來控制位于網(wǎng)絡(luò)12外部的遠程設(shè)備對網(wǎng)絡(luò)12的接入，諸如端點設(shè)備22。網(wǎng)絡(luò)接入服務(wù)器14通過拒絕端點設(shè)備22對網(wǎng)絡(luò)12的接入來控制對網(wǎng)絡(luò)12的接入，除非直到端點設(shè)備22被網(wǎng)絡(luò)接入服務(wù)器14正確認(rèn)證，該網(wǎng)絡(luò)接入服務(wù)器14與認(rèn)證與授權(quán)服務(wù)器16一起操作。網(wǎng)絡(luò)接入服務(wù)器14可包括例如寬帶網(wǎng)絡(luò)網(wǎng)關(guān)(bng)、寬帶遠程接入服務(wù)器(bras)、l2交換機、防火墻或任何能夠允許或拒絕對本文所述的端點設(shè)備22的網(wǎng)絡(luò)接入的其他設(shè)備。關(guān)于網(wǎng)絡(luò)接入服務(wù)器的更多信息可在2000年7月題為“networkaccessserverrequirementsnextgeneration(nasreqng)nasmodel”的請求注解(requestforcomments)(rfc)2881中找到，其全部內(nèi)容通過引用并入本文。

網(wǎng)絡(luò)12進一步使用認(rèn)證與授權(quán)服務(wù)器16來促進諸如端點設(shè)備22的設(shè)備的認(rèn)證。認(rèn)證與授權(quán)服務(wù)器16從網(wǎng)絡(luò)接入服務(wù)器14接收認(rèn)證請求并提供服務(wù)。也就是說，認(rèn)證與授權(quán)服務(wù)器16負責(zé)對由端點設(shè)備22提供的認(rèn)證信息的認(rèn)證并將認(rèn)證結(jié)果返回給網(wǎng)絡(luò)接入設(shè)備14。認(rèn)證與授權(quán)服務(wù)器16可包括遠程接入撥號用戶服務(wù)(radius)或直徑服務(wù)器(diameterserver)，所述直徑服務(wù)器根據(jù)在以下rfc中描述的radius協(xié)議操作：2000年6月題為“remoteauthenticationdialinuserservice(radius)”的請求注解(rfc)2865，2012年10月題為“diameterbaseprotocol”的請求注解(rfc)6733和/或2015年4月題為“supportoffragmentationofradiuspackets”的rfc7499，通過引用將其全部內(nèi)容并入本文中。

盡管圖1中未示出，但是認(rèn)證與授權(quán)服務(wù)器16可通過接收和服務(wù)源自這些其它網(wǎng)絡(luò)接入設(shè)備的認(rèn)證請求來向類似于網(wǎng)絡(luò)接入服務(wù)器14的多個其他網(wǎng)絡(luò)接入服務(wù)器提供認(rèn)證服務(wù)。盡管主要關(guān)于radius協(xié)議進行描述，但是可相對于其他認(rèn)證協(xié)議(例如：直徑(diameter))利用本公開的原理。關(guān)于直徑的更多信息可在2008年1月題為“dynamicauthorizationextensionstoremoteauthenticationdialinuserservice(radius)”的rfc5176中找到，通過引用將且其全部內(nèi)容并入本文中。

數(shù)據(jù)庫18包括用于存儲認(rèn)證信息(即，用于服務(wù)來自網(wǎng)絡(luò)接入設(shè)備14的認(rèn)證請求所必需的信息和數(shù)據(jù))的數(shù)據(jù)庫。數(shù)據(jù)庫18還可包括授權(quán)信息，例如要提供哪些服務(wù)。這些服務(wù)可在接受接入(access-accept)和/或coa請求消息期間發(fā)送。數(shù)據(jù)庫18可在radius和coa之間共享。可替代地，數(shù)據(jù)庫18可專門由radius或coa使用。數(shù)據(jù)庫18可與認(rèn)證與授權(quán)服務(wù)器16分開地駐留，如圖1所示，或者可與認(rèn)證與授權(quán)服務(wù)器16集成或集成到認(rèn)證與授權(quán)服務(wù)器16中，這樣認(rèn)證與授權(quán)服務(wù)器16本地包括數(shù)據(jù)庫18。數(shù)據(jù)庫18可包括平面文件數(shù)據(jù)庫、結(jié)構(gòu)化查詢語言(sql)數(shù)據(jù)庫、kerberos數(shù)據(jù)庫、輕量級目錄接入?yún)f(xié)議(ldap)數(shù)據(jù)庫或活動目錄數(shù)據(jù)庫。

端點設(shè)備22可包括筆記本計算機、臺式計算機、工作站、個人數(shù)字助理(pda)、蜂窩電話、因特網(wǎng)協(xié)議(ip)電話(例如，能夠經(jīng)由語音ip(voip)協(xié)議通信的電話)或任何能夠接入網(wǎng)絡(luò)12的其它設(shè)備。端點設(shè)備22在這里被稱為“端點(endpoint)”，因為設(shè)備22表示用戶與之直接交互的端點。也就是說，端點設(shè)備22包括網(wǎng)頁瀏覽器32或用戶34與其交互以接入網(wǎng)絡(luò)12的其它高級軟件應(yīng)用。網(wǎng)頁瀏覽器32可包括能夠基于超文本傳輸協(xié)議(http)消息，以及可能的各種其他協(xié)議消息接受、解釋和呈現(xiàn)圖形顯示的任何一組可執(zhí)行軟件指令。實例網(wǎng)頁瀏覽器(webbrowser)包括microsoftinternetexplorer^tm網(wǎng)頁瀏覽器、netscape^tm網(wǎng)頁瀏覽器、opera^tm網(wǎng)頁瀏覽器、firefox^tm網(wǎng)頁瀏覽器和safari^tm網(wǎng)頁瀏覽器。雖然本文中參考網(wǎng)頁瀏覽器32進行了描述，但是端點設(shè)備22可經(jīng)由其他應(yīng)用和/或硬件來接入網(wǎng)絡(luò)12，諸如通過文件傳輸協(xié)議(ftp)終端、電子郵件(e-mail)應(yīng)用和終端仿真器(例如，securecrt)。

用戶34可與網(wǎng)頁瀏覽器32交互以經(jīng)由網(wǎng)絡(luò)接入服務(wù)器14接入網(wǎng)絡(luò)12的網(wǎng)絡(luò)資源(例如，視頻點播、電子郵件、存儲在計費服務(wù)器17處的計費數(shù)據(jù)庫等)。端點設(shè)備22可，為了接入網(wǎng)絡(luò)12，使用接入證書來發(fā)送請求以得到接入特定網(wǎng)絡(luò)資源，所述接入證書通常包括由用戶34提供的用戶名和密碼或安全證書。端點設(shè)備22可經(jīng)由諸如點對點協(xié)議(ppp)的鏈路層協(xié)議或者經(jīng)由https安全web表單將證書傳輸?shù)骄W(wǎng)絡(luò)接入服務(wù)器14。

在接收到證書時，網(wǎng)絡(luò)接入服務(wù)器14可發(fā)送radius接入請求(access-request)消息至認(rèn)證與授權(quán)服務(wù)器16。radius接入請求消息可請求授權(quán)，以便經(jīng)由radius協(xié)議授予對用戶34所請求的服務(wù)的接入。接入請求消息可包括接入證書以及網(wǎng)絡(luò)接入服務(wù)器14可被配置為提供關(guān)于用戶34的其他信息，諸如與端點設(shè)備22關(guān)聯(lián)的網(wǎng)絡(luò)地址，與用戶34關(guān)聯(lián)的電話號碼和/或關(guān)于到網(wǎng)絡(luò)接入服務(wù)器14的物理附接點的其他信息。

認(rèn)證與授權(quán)服務(wù)器16可接收接入請求，并使用認(rèn)證方案來驗證包括接入證書的信息是正確，所述認(rèn)證方案諸如密碼認(rèn)證協(xié)議(pap)、搶占握手認(rèn)證協(xié)議(chap)或可擴展認(rèn)證協(xié)議(eap)。認(rèn)證與授權(quán)服務(wù)器16還可驗證經(jīng)由接入請求消息提供的任何其他信息，諸如網(wǎng)絡(luò)地址、電話號碼或附接點。認(rèn)證與授權(quán)服務(wù)器16可進一步驗證與用戶34相關(guān)聯(lián)的帳戶狀態(tài)并確定用戶34已訂閱的網(wǎng)絡(luò)服務(wù)。認(rèn)證與授權(quán)服務(wù)器16可與數(shù)據(jù)庫18接口以執(zhí)行證書驗證并確定用戶34已經(jīng)訂閱的網(wǎng)絡(luò)服務(wù)。

在認(rèn)證與授權(quán)服務(wù)器16不能驗證由用戶34提供的接入證書的情況下，認(rèn)證與授權(quán)服務(wù)器16可生成拒絕接入(access-reject)消息，以指示用戶34被拒絕接入所有請求的網(wǎng)絡(luò)服務(wù)的。對于一些用戶，認(rèn)證與授權(quán)服務(wù)器16可發(fā)出請求來自用戶34的附加信息的接入身份驗證(access-challenge)消息，其中該附加信息可包括次要密碼、個人識別碼(pin)、令牌或卡。在認(rèn)證與授權(quán)服務(wù)器16能夠驗證用戶34提供的接入證書的情況下，認(rèn)證與授權(quán)服務(wù)器16可生成接受接入消息，授予用戶34接入所請求的網(wǎng)絡(luò)服務(wù)。在這方面，認(rèn)證與授權(quán)服務(wù)器16可認(rèn)證用戶34并授權(quán)用戶34接入所請求的服務(wù)。

假設(shè)接入證書被認(rèn)證，認(rèn)證與授權(quán)服務(wù)器16發(fā)送接受接入消息至網(wǎng)絡(luò)接入服務(wù)器14。接受接入消息可包括授權(quán)屬性(以屬性值對的形式，其可表示為“avp”)，該屬性規(guī)定了授予的接入條款。例如，授權(quán)屬性可包括要分配給用戶的特定互聯(lián)網(wǎng)協(xié)議(ip)地址，應(yīng)當(dāng)從該地址庫選擇用戶的ip地址，用戶34可保持連接的最大時間長度、用戶34已經(jīng)預(yù)訂的服務(wù)和各種其它連接參數(shù)諸如層二隧道協(xié)議(l2tp)參數(shù)、虛擬局域網(wǎng)(vlan)參數(shù)和服務(wù)質(zhì)量(qos)參數(shù)。

網(wǎng)絡(luò)接入服務(wù)器14可接收接受接入消息，提供已授權(quán)的服務(wù)給接受接入消息中列出的用戶34使用，并且在服務(wù)的使用期間根據(jù)在接受接入消息中提出的屬性提供策略強制。一旦服務(wù)被提供或以其它方式提供給用戶34使用，用戶34可表明端點設(shè)備22接入授權(quán)的服務(wù)(例如，經(jīng)由網(wǎng)頁瀏覽器32)。

在認(rèn)證接入證書之后，認(rèn)證與授權(quán)服務(wù)器16可動態(tài)地更新或改變提供給用戶34的服務(wù)。上述rfc5176提供動態(tài)授權(quán)登錄后時間，其將授權(quán)變更(coa)推送到已經(jīng)登錄的用戶(是指接入證書已經(jīng)認(rèn)證的用戶的另一種方式)，經(jīng)由從認(rèn)證與授權(quán)服務(wù)器16到網(wǎng)絡(luò)接入服務(wù)器14的coa請求(coa-request)消息以及從網(wǎng)絡(luò)接入服務(wù)器14到認(rèn)證與授權(quán)服務(wù)器16的coa應(yīng)答(coa-acknowledgement)(coa-ack)消息。

在rfc5176的語境中，認(rèn)證與授權(quán)服務(wù)器16可操作為動態(tài)授權(quán)客戶端(dac)(也可被稱為“coa授權(quán)”)和radius服務(wù)器。盡管被描述為操作為coa授權(quán)和radius服務(wù)器，但是認(rèn)證與授權(quán)服務(wù)器16可僅用作radius服務(wù)器或coa授權(quán)而不是兩者。如rfc5176中所述，dac不一定必須與radius認(rèn)證或計費服務(wù)器共存，可與radius認(rèn)證和/或計費服務(wù)器分離。就認(rèn)證與授權(quán)服務(wù)器16被示出和描述為coa授權(quán)和radius服務(wù)器而言，這樣的圖示和描述僅僅是為了便于說明的目的。

在這方面，rfc2186提供了調(diào)取機制(pullmechanism)，通過該調(diào)取機制，網(wǎng)絡(luò)接入服務(wù)器14在用戶認(rèn)證期間從認(rèn)證與授權(quán)服務(wù)器16檢索或調(diào)取服務(wù)。但是，rfc5176提供了推送機制(pushmechanism)，通過該推送機制，認(rèn)證與授權(quán)服務(wù)器16動態(tài)地提供或者換句話說在用戶已經(jīng)被認(rèn)證之后將服務(wù)從認(rèn)證與授權(quán)服務(wù)器16推送到網(wǎng)絡(luò)接入服務(wù)器14。

rfc7499為允許分組分段的radius協(xié)議提供了附加層。在rfc2186和5176中陳述的radius協(xié)議可能僅支持高達4096字節(jié)的分組大小。rfc7499在登錄時間期間(意味著當(dāng)來自用戶34的接入證書被認(rèn)證時)提供大的radius分組的分段。因此，根據(jù)rfc7499的分段可利用調(diào)取機制。rfc7499可使用coa請求消息通過從rfc5176的推送機制轉(zhuǎn)換到調(diào)取機制來適應(yīng)動態(tài)coa，所述coa請求消息包括“authorize-only(僅授權(quán))”的“service-type(服務(wù)類型)”。authorize-only的service-type可表明用于用戶34的會話需要被重新授權(quán)，從而要求用戶34重新輸入接入證書(或者當(dāng)重新授權(quán)被自動化時端點設(shè)備22)并且根據(jù)rfc2186發(fā)出接入請求消息。認(rèn)證與授權(quán)服務(wù)器16可在轉(zhuǎn)換到調(diào)取機制之后執(zhí)行分段，并且當(dāng)大小超過4096字節(jié)時將接受接入消息分段。

以這種方式，網(wǎng)絡(luò)接入服務(wù)器14和認(rèn)證與授權(quán)服務(wù)器16可促進用戶34被授權(quán)接入的服務(wù)的傳送。認(rèn)證與授權(quán)服務(wù)器16可表示一種設(shè)備，該設(shè)備被配置為授權(quán)網(wǎng)絡(luò)接入服務(wù)器14，允許端點設(shè)備22根據(jù)網(wǎng)絡(luò)接入?yún)f(xié)議(例如，radius協(xié)議)接入一個或多個服務(wù)。網(wǎng)絡(luò)接入服務(wù)器14可表示一種設(shè)備，該設(shè)備被配置為響應(yīng)于授權(quán)提供(或者換句話說，提供)一個或多個服務(wù)給端點設(shè)備22使用。

在服務(wù)傳送期間，網(wǎng)絡(luò)接入服務(wù)器14可與計費服務(wù)器17通信，并向計費服務(wù)器17報告服務(wù)使用和其他計費信息。網(wǎng)絡(luò)接入服務(wù)器14可向計費服務(wù)器17報告開始、停止和/或臨時計費信息，其取決于網(wǎng)絡(luò)接入服務(wù)器14和/或計費服務(wù)器17的配置。針對任何給定服務(wù)報告的開始值可表明服務(wù)已經(jīng)被成功提供，而針對任何給定服務(wù)報告的停止值可表明服務(wù)被禁用。關(guān)于根據(jù)radius協(xié)議提供的計費的更多信息可在2000年6月題為“radiusaccounting”的rfc2866中找到，其全部內(nèi)容通過引用并入本文。

雖然網(wǎng)絡(luò)接入服務(wù)器14可向計費服務(wù)器17報告關(guān)于服務(wù)傳遞的計費信息，但是當(dāng)采用調(diào)取機制時，網(wǎng)絡(luò)接入服務(wù)器14通常不將為特定用戶34提供的服務(wù)的狀態(tài)報告回認(rèn)證與授權(quán)服務(wù)器16。換句話說，當(dāng)采用調(diào)取機制rfc2865或7499時，認(rèn)證與授權(quán)服務(wù)器16通常不知道已經(jīng)提供了哪些服務(wù)。rfc5176提供了網(wǎng)絡(luò)接入服務(wù)器14對服務(wù)的一般確認(rèn)。也就是說，認(rèn)證與授權(quán)服務(wù)器16可在coa請求中表明一個或多個服務(wù)被更新，添加或移除。網(wǎng)絡(luò)接入服務(wù)器14可用表明所有服務(wù)被更新，添加或移除的coa-ack來響應(yīng)或用表明一個或多個服務(wù)未被更新，添加或移除的coa否定應(yīng)答(coa-negativeacknowledgement)(coa-nak)來響應(yīng)。

由于一般缺乏對調(diào)取機制的狀態(tài)報告，一些服務(wù)提供商已經(jīng)訴諸經(jīng)由拉動機制為其用戶提供服務(wù)，之后幾乎在提供服務(wù)之后立即執(zhí)行coa，根據(jù)推送機制rfc5176再次提供服務(wù)，以便接收coa-ack，以指示所有服務(wù)已被一般地提供。但是，考慮到服務(wù)數(shù)量的增長(以及由此產(chǎn)生的增加的接受接入消息的大小)，服務(wù)提供商可能不能依賴于推送機制用于總體狀態(tài)，假定分組分段當(dāng)前不允許用于推送機制rfc5176。

此外，推送機制可能不是那些不具有共處的認(rèn)證服務(wù)器和coa授權(quán)的服務(wù)提供商容易獲得的。換句話說，當(dāng)coa授權(quán)不與認(rèn)證服務(wù)器共處時，用于推送機制的配置可能是復(fù)雜的。在該上下文中，coa授權(quán)可能需要從認(rèn)證數(shù)據(jù)庫獲取服務(wù)，并將coa從coa授權(quán)提供給網(wǎng)絡(luò)接入服務(wù)器14。

在這方面中，有兩種方式來收集服務(wù)狀態(tài)。一個涉及計費消息，哪些服務(wù)提供商可能對收集或配置(特別是當(dāng)服務(wù)提供商遠離基于長途的訂閱)不感興趣。此外，當(dāng)計費服務(wù)器17與認(rèn)證服務(wù)器分離時，關(guān)于服務(wù)狀態(tài)的計費信息對于負責(zé)提供服務(wù)的網(wǎng)絡(luò)管理員可能不容易獲得(例如，由于網(wǎng)絡(luò)接入限制，阻止非計費雇員查看計費信息)。此外，根據(jù)配置，服務(wù)可在與計費不同的級別上附加(例如，可在底層ppp接口處啟用計費，而服務(wù)可在動態(tài)主機配置協(xié)議(dhcp)用戶處附加)，這可進一步使得計費信息難以獲得和/或關(guān)于單獨的服務(wù)提供狀態(tài)不準(zhǔn)確。

另一種方式涉及coa推送機制，其提供服務(wù)的一般確認(rèn)但是其不允許分組分段，并且對于不具有共處的coa權(quán)限和認(rèn)證服務(wù)器的網(wǎng)絡(luò)架構(gòu)實施來說可能是麻煩的。此外，當(dāng)動態(tài)地采用coa推送機制時，網(wǎng)絡(luò)接入服務(wù)器14可能不發(fā)送表明服務(wù)的開始和停止的計費消息。

根據(jù)本公開中所描述的技術(shù)，授權(quán)服務(wù)器16可根據(jù)radius協(xié)議請求來自網(wǎng)絡(luò)接入服務(wù)器14的結(jié)果，所述結(jié)果關(guān)于一個或一個以上經(jīng)授權(quán)服務(wù)是否當(dāng)前被提供給端點設(shè)備22使用。授權(quán)服務(wù)器16可在用戶34的登錄期間或在用戶34的登錄之后請求結(jié)果。在用戶34的登錄期間，授權(quán)服務(wù)器16可生成如上所述的接受接入消息。但是，接受接入消息還可包括授權(quán)服務(wù)器16可與“result-request”的值一起指定的“結(jié)果”消息屬性。

網(wǎng)絡(luò)接入服務(wù)器14可從認(rèn)證與授權(quán)服務(wù)器16接收接受接入消息，并且確定提供一個或多個已授權(quán)的服務(wù)中的每一個的結(jié)果。如下面更詳細描述的，接受接入消息可標(biāo)識對其請求結(jié)果的每個服務(wù)(例如，通過服務(wù)集標(biāo)識符)。網(wǎng)絡(luò)接入服務(wù)器14可確定提供每個被標(biāo)識的服務(wù)的結(jié)果，并且生成接入請求消息，該消息包括作為具有被設(shè)置為“result-success”或“result-failed”的值的消息屬性的狀態(tài)，這取決于是否所有的服務(wù)被成功地提供(“result-success”)或者是否任何一個服務(wù)沒有被成功提供(“result-failed”)給端點設(shè)備22使用。以這種方式，網(wǎng)絡(luò)接入服務(wù)器14可根據(jù)radius協(xié)議向授權(quán)服務(wù)器16報告所確定的結(jié)果。

在這方面，由于例如網(wǎng)絡(luò)接入服務(wù)器14處的問題，這些技術(shù)可促進在服務(wù)提供周圍的問題的標(biāo)識。認(rèn)證與授權(quán)服務(wù)器16可響應(yīng)于接入請求消息(其可更一般地稱為“結(jié)果消息”或“結(jié)果響應(yīng)消息”)執(zhí)行某種形式的校正動作。例如，當(dāng)認(rèn)證與授權(quán)服務(wù)器16授權(quán)給端點設(shè)備22的服務(wù)與當(dāng)前通過網(wǎng)絡(luò)接入設(shè)備14提供給端點設(shè)備22的服務(wù)之間存在差異時，認(rèn)證與授權(quán)服務(wù)器16可撤銷對端點設(shè)備22授權(quán)非提供的服務(wù)，利用動態(tài)授權(quán)，記錄問題和/或警告請求設(shè)備(例如，網(wǎng)絡(luò)管理設(shè)備或網(wǎng)絡(luò)提供設(shè)備，為了便于說明的目的未示出)或端點設(shè)備22，某些服務(wù)或服務(wù)組目前未被提供或以前未被提供。

圖2是更詳細示出圖1的網(wǎng)絡(luò)接入服務(wù)器14與認(rèn)證與授權(quán)服務(wù)器16之間的實例交互的框圖。如圖2所示，網(wǎng)絡(luò)接入設(shè)備14和認(rèn)證與授權(quán)服務(wù)器16都包括各自的控制單元44a，44b(“控制單元44”)和接口46a和46b。

控制單元44中的每一個可表示硬件或硬件和軟件的組合。作為一個實例，控制單元44每個可包括一個或多個處理器和一個或多個存儲器。存儲器可表示存儲指令或其他命令的非暫時性計算機可讀存儲介質(zhì)。當(dāng)由一個或多個處理器執(zhí)行時，指令可使一個或多個處理器執(zhí)行本公開中描述的技術(shù)的各個方面。作為另一個實例，控制單元44每個可表示能夠執(zhí)行本發(fā)明中所描述的技術(shù)的固定硬件邏輯。如下面詳細描述的，控制單元44可示各種各樣的設(shè)備或裝置。接口46a和46b每個可表示接口卡、網(wǎng)絡(luò)接口卡或其他類型的接口，通過這些接口可經(jīng)由網(wǎng)絡(luò)無線地或有線地發(fā)送消息。

每個控制單元44包括radius協(xié)議模塊50(“radius協(xié)議50”)。認(rèn)證與授權(quán)服務(wù)器16的控制單元44b進一步包括數(shù)據(jù)庫協(xié)議模塊52(“數(shù)據(jù)庫協(xié)議52”)。radius協(xié)議模塊50表示認(rèn)證、授權(quán)和計費(aaa)協(xié)議或更一般地認(rèn)證協(xié)議的示例性實例。radius協(xié)議50實現(xiàn)aaa事務(wù)，網(wǎng)絡(luò)接入設(shè)備14可通過該事務(wù)來認(rèn)證與授權(quán)端點設(shè)備，諸如圖1的端點設(shè)備22。因為認(rèn)證與授權(quán)服務(wù)器16包括radius協(xié)議50，并根據(jù)radius協(xié)議50操作，認(rèn)證與授權(quán)服務(wù)器16可被稱為“radius服務(wù)器”。數(shù)據(jù)庫協(xié)議52通常表示用于與數(shù)據(jù)庫18通信的模塊，并且可實施sql或用于制定檢索存儲到數(shù)據(jù)庫18的信息的請求的其他數(shù)據(jù)庫語言。

如上所述，網(wǎng)絡(luò)接入設(shè)備14可從端點設(shè)備22接收接入服務(wù)的請求。該請求可包括接入證書。響應(yīng)于該請求，網(wǎng)絡(luò)接入設(shè)備14的控制單元44a可調(diào)用radius協(xié)議模塊50?？刂茊卧?4a的radius協(xié)議模塊50可生成接入請求消息200，該消息代表端點設(shè)備22請求接入服務(wù)并且提供接入證書以便促進認(rèn)證。radius協(xié)議模塊50可經(jīng)由接口46a向認(rèn)證與授權(quán)服務(wù)器16發(fā)送接入請求消息200。認(rèn)證與授權(quán)服務(wù)器16可經(jīng)由接口46b接收接入請求消息200。認(rèn)證設(shè)備16的控制單元44b可響應(yīng)于接收接入請求消息200而調(diào)用radius協(xié)議模塊50?？刂茊卧?4b的radius協(xié)議模塊50可處理接入請求消息200，基于所提供的接入證書通過經(jīng)由數(shù)據(jù)庫協(xié)議模塊52與數(shù)據(jù)庫18交互來認(rèn)證用戶34。

假設(shè)用戶34被成功認(rèn)證，控制單元44b的radius協(xié)議模塊50可檢索將為其提供用戶34的一個或多個服務(wù)。radius協(xié)議模塊50可生成接受接入消息202，以包括要為其提供用戶34的一個或多個服務(wù)。radius協(xié)議模塊50還可包括具有“result-request”的值的“結(jié)果”消息屬性，以從網(wǎng)絡(luò)接入服務(wù)器14請求結(jié)果，該結(jié)果關(guān)于一個或多個已授權(quán)的服務(wù)當(dāng)前是否被提供給端點設(shè)備使用?？刂茊卧?4b的radius協(xié)議模塊50之后可經(jīng)由接口46b向控制單元44a的radius協(xié)議模塊50發(fā)送接受接入消息202。

控制單元44a的radius協(xié)議模塊50可接收接受接入消息202.。radius協(xié)議模塊50可處理接受接入消息202以提取授權(quán)的服務(wù)220并且向服務(wù)提供模塊54提供一個或多個授權(quán)的服務(wù)220。控制單元44a可包括服務(wù)提供模塊54，服務(wù)提供模塊54可表示被配置為提供一個或多個已授權(quán)的服務(wù)(例如授權(quán)的服務(wù)220)的模塊。

服務(wù)提供模塊54可提供授權(quán)的服務(wù)220并且向radius協(xié)議模塊50表明已經(jīng)提供了服務(wù)。由于接受接入消息中指定的結(jié)果請求，radius協(xié)議模塊50接下來可查詢服務(wù)提供模塊54關(guān)于提供授權(quán)的服務(wù)220的結(jié)果。服務(wù)提供模塊54之后可通過報告每個查詢授權(quán)服務(wù)(即，本實例中的授權(quán)的服務(wù)220)的結(jié)果應(yīng)答。服務(wù)提供模塊54可利用結(jié)果222來應(yīng)答查詢?？刂茊卧?6a的radius協(xié)議模塊50可接收結(jié)果222并且基于結(jié)果222以接入請求消息204的形式生成結(jié)果消息，該消息包括具有值“result-success”或“result-failed”的“結(jié)果”消息屬性。當(dāng)結(jié)果222表明所有服務(wù)220被成功提供時，請求消息204包括具有值“result-success”的“結(jié)果”消息。當(dāng)結(jié)果222表明服務(wù)220中的任何一個沒有被成功提供時，請求消息204包括值為“result-failed”的“結(jié)果”消息?？刂茊卧?4a的radius協(xié)議模塊50經(jīng)由接口46a將接入請求發(fā)送至控制單元44b的radius協(xié)議模塊50。

控制單元44b的radius協(xié)議模塊50可接收接入請求消息204并處理消息204以標(biāo)識授權(quán)的服務(wù)220是否被成功地提供?？刂茊卧?4b的radius協(xié)議模塊50可基于授權(quán)的服務(wù)220是否被成功提供而以上述方式中的任一種來操作。radius協(xié)議模塊50可以確認(rèn)消息來響應(yīng)接入請求消息204，以接受接入消息206的形式，所述接受接入消息206包括具有值“result-received”的“結(jié)果”消息屬性。

圖3是示出根據(jù)本公開中描述的技術(shù)的各個方面的用于查詢和報告服務(wù)提供的結(jié)果的實例消息300的格式的圖。消息300可包括代碼字段302、標(biāo)識符字段304、長度字段306、認(rèn)證器字段308和屬性字段310。消息300可封裝在用戶數(shù)據(jù)報協(xié)議(udp)分組的數(shù)據(jù)字段內(nèi)。雖然關(guān)于udp進行了描述，但是消息300可被封裝到傳輸控制協(xié)議(tcp)分組或任何其他類型的分組的數(shù)據(jù)字段中。

代碼字段302是一個八位字節(jié)，并且標(biāo)識radius分組的類型。當(dāng)接收到具有無效代碼字段302的分組時，可靜默地丟棄該分組。頻繁使用的分組類型碼包括：接入請求(1)、接受接入(2)、拒絕接入(3)...coa請求(43)、coa-ack(44)和coa-nak(45)。

2000年6月由互聯(lián)網(wǎng)工程任務(wù)組(ietf)的網(wǎng)絡(luò)工作組創(chuàng)作的題為“remoteauthenticationdialinuserservice(radius)”的rfc2865描述了一種調(diào)取機制，其中網(wǎng)絡(luò)接入服務(wù)器(nas)通過引用并入本文，在登錄時從radius服務(wù)器調(diào)取用戶的服務(wù)。rfc2865討論了使用來自nas的接入請求消息來為用戶在登錄時提取服務(wù)和來自radius服務(wù)器的接受接入消息來提供服務(wù)列表。

標(biāo)識符字段304可包括一個八位字節(jié)，并且可幫助匹配請求和應(yīng)答。認(rèn)證與授權(quán)服務(wù)器16可被配置為，當(dāng)請求在短時間段內(nèi)具有相同的源ip地址，源udp端口和標(biāo)識符304時檢測重復(fù)請求。當(dāng)消息300的發(fā)送方未接收到響應(yīng)時，由于分組的重傳，可能發(fā)生重復(fù)分組。每當(dāng)屬性字段310的內(nèi)容改變時，或者每當(dāng)已經(jīng)接收到針對先前請求的有效應(yīng)答時，標(biāo)識符字段304可被改變。對于內(nèi)容相同的重傳，標(biāo)識符304可保持不變。

長度字段306可包括兩個八位字節(jié)。長度字段306可表明消息300的長度。消息300包括代碼字段302、標(biāo)識符字段304、長度字段306、認(rèn)證字段308和屬性字段310。長度字段306的范圍之外的八位字節(jié)可被視為填充并且在接收時被忽略。當(dāng)分組300比長度字段306表明短時，消息300可被丟棄。在使用radius協(xié)議的實例中，最小長度為20字節(jié)，最大長度為4096字節(jié)。

認(rèn)證器字段308可包括十六(16)個八位字節(jié)?？墒紫劝l(fā)送最顯著的字節(jié)。存儲到認(rèn)證器字段308的值可用于認(rèn)證客戶端和服務(wù)器之間的分組。

屬性字段310的長度可是可變的，并且包含零個或多個屬性的列表?？捎糜诮Y(jié)果報告的屬性包括與nas標(biāo)識、會話標(biāo)識、服務(wù)類型、代理狀態(tài)、錯誤消息、狀態(tài)消息、分組分段和結(jié)果信息相關(guān)的屬性。

nas標(biāo)識屬性可包括：

·nas-ip地址-列出nas14的ipv4地址的4個八位字節(jié)屬性；

·nas-標(biāo)識符-標(biāo)識nas14的32個八位字節(jié)串；和

·nas-ipv6地址-列出nas14的ipv6地址的95個八位字節(jié)屬性。

會話標(biāo)識屬性可包括：

·user-name-列出與一個或多個會話關(guān)聯(lián)的用戶名稱的1個八位字節(jié)屬性；

·nas端口-列出終止會話端口的5個八位字節(jié)的屬性。

·framed-ip地址-列出與會話關(guān)聯(lián)的ipv4地址的8個八位字節(jié)屬性；

·vendor-specific-列出一個或多個提供商特定標(biāo)識屬性的26個八位字節(jié)屬性；

·called-station-id-列出會話連接到的鏈路地址的30個八位字節(jié)屬性；

·calling-station-id-列出一個或多個會話連接的鏈路地址的31個八位字節(jié)屬性；

·acct-session-id-列出唯一標(biāo)識nas上的會話的標(biāo)識符的44個八位字節(jié)屬性；

·acct-multi-session-id-列出唯一標(biāo)識相關(guān)會話的標(biāo)識符的50個八位字節(jié)屬性；

·nas-port-id-列出標(biāo)識會話所在的端口的字符串的87個八位字節(jié)屬性；

·chargeable-user-identity-列出與一個或多個會話關(guān)聯(lián)的收費用戶身份(cui)的89個八位字節(jié)屬性；

·這個屬性可在使用隱私網(wǎng)絡(luò)接入標(biāo)識符(nai)的地方使用，因為在這種情況下，用戶名(例如，“匿名”)可能不標(biāo)識屬于給定用戶的會話；

·framed-interface-id-列出與會話關(guān)聯(lián)的ipv6接口標(biāo)識符的96個八位字節(jié)屬性，可與framed-ipv6-prefix一起發(fā)送；以及

·framed-ipv6-prefix-列出與會話關(guān)聯(lián)的ipv6前綴的97個八位字節(jié)屬性，可與framed-interface-id屬性一起發(fā)送。

認(rèn)證與授權(quán)服務(wù)器16可在例如用戶最初登錄(或獲得授權(quán))之后或者在初始化之后通過coa請求來請求具有用于特定用戶的先前提供的服務(wù)列表的狀態(tài)或結(jié)果授權(quán)。結(jié)果屬性：可使用result-request、result-success、result-failed和result-received。換句話說，認(rèn)證與授權(quán)服務(wù)器16可在屬性字段310中指定新屬性。新屬性(其也可被稱為消息屬性)可被定義為新屬性值對(avp)，并且可被稱為“結(jié)果屬性”或“結(jié)果avp”。

例如，認(rèn)證與授權(quán)服務(wù)器16可利用具有result-request值(在例如接受接入消息內(nèi))的結(jié)果屬性來向網(wǎng)絡(luò)接入服務(wù)器查詢先前(或同時)提供的被列為授權(quán)給特定用戶使用的服務(wù)是否被提供給該用戶。網(wǎng)絡(luò)接入服務(wù)器14可利用具有result-success或result-failed值(在例如接入請求消息內(nèi))的結(jié)果屬性來分別報告授權(quán)的服務(wù)220是否被成功地提供給認(rèn)證與授權(quán)服務(wù)器16，所有授權(quán)的服務(wù)被提供給用戶或者至少一個授權(quán)服務(wù)未被提供給用戶。作為響應(yīng)，認(rèn)證與授權(quán)服務(wù)器16可使用具有result-received值的結(jié)果屬性來確認(rèn)result-success或result-failed。在每種情況下，結(jié)果屬性在消息300的屬性字段310中定義。

當(dāng)網(wǎng)絡(luò)接入服務(wù)器14找到所提議的屬性result-request時，網(wǎng)絡(luò)接入服務(wù)器14可發(fā)起具有與初始接入請求相同的service-type的另一接入請求(例如，登錄，在登錄時或?qū)τ赾oa，authorize-only)，并且可包括具有值為result-success或result-failed的提出的屬性結(jié)果。之后，當(dāng)結(jié)果屬性的值為result-failed時，網(wǎng)絡(luò)接入服務(wù)器14可包括具有錯誤原因的錯誤-原因?qū)傩浴?/p>

網(wǎng)絡(luò)接入服務(wù)器14還可包括服務(wù)列表，該列表在具有result-failed屬性的接入請求分組中已經(jīng)失敗。網(wǎng)絡(luò)接入服務(wù)器14可指定作為提供商特定屬性(vsa)的一部分已經(jīng)失敗的服務(wù)的列表。因為radius是步驟鎖協(xié)議，所以認(rèn)證與授權(quán)服務(wù)器16可發(fā)送具有相同service-type的最終接受接入消息，并且包括具有值result-received的結(jié)果屬性。在這方面，這些技術(shù)可幫助radius(和其他aaa協(xié)議或網(wǎng)絡(luò)接入?yún)f(xié)議)獲得nas已經(jīng)發(fā)送請求的任何service-type的狀態(tài)，而不是依賴于計費消息。

圖4是示出圖1的網(wǎng)絡(luò)接入設(shè)備14與認(rèn)證與授權(quán)服務(wù)器16之間的實例交互的視圖，從用于提供服務(wù)授權(quán)的推送機制轉(zhuǎn)換到用于接收服務(wù)授權(quán)的調(diào)取機制以便根據(jù)本公開中描述的技術(shù)的各個方面執(zhí)行結(jié)果查詢。當(dāng)認(rèn)證與授權(quán)服務(wù)器16想要查詢服務(wù)提供結(jié)果，但關(guān)于根據(jù)關(guān)于服務(wù)提供的rfc5176的推送機制操作時，認(rèn)證與授權(quán)服務(wù)器16可發(fā)起從推送機制到調(diào)取機制的轉(zhuǎn)換。認(rèn)證與授權(quán)服務(wù)器16可執(zhí)行該轉(zhuǎn)換，這樣可能發(fā)生消息分段，其僅在根據(jù)rfc7499的調(diào)取機制中可用。在該實例中，為了便于說明的目的，假定用戶34由“user-name_1”標(biāo)識，并且網(wǎng)絡(luò)接入服務(wù)器14由“nasid”標(biāo)識。

如圖4的實例所示，認(rèn)證與授權(quán)服務(wù)器16向網(wǎng)絡(luò)接入服務(wù)器14發(fā)送coa請求消息406(具有標(biāo)識符id_0)。請求消息406包括用戶名(user-name_1)、nasid、service-type(authorize-only)和狀態(tài)(s_0)。消息406可由認(rèn)證與授權(quán)服務(wù)器16(作為coa授權(quán)鑒于認(rèn)證與授權(quán)服務(wù)器16操作為radius服務(wù)器和coa授權(quán))發(fā)送以改變認(rèn)證、授權(quán)和計費(aaa)會話的屬性，在會話已被認(rèn)證或獲得用戶34或端點設(shè)備22的先前認(rèn)證/登錄的結(jié)果。認(rèn)證與授權(quán)服務(wù)器16可響應(yīng)于來自端點設(shè)備22的訂閱改變而發(fā)送coa請求406。

認(rèn)證與授權(quán)服務(wù)器16可發(fā)送該coa請求406以發(fā)起從rfc5176中描述的推送機制到rfc2865和7499中描述的調(diào)取機制的轉(zhuǎn)換。認(rèn)證與授權(quán)服務(wù)器16可通過指定具有值“authorize-only”的service-type屬性發(fā)起該轉(zhuǎn)換。“authorize-only”的service-type屬性值可向網(wǎng)絡(luò)接入服務(wù)器14表明相應(yīng)的aaa會話必須被重新授權(quán)，要求用戶34(或端點設(shè)備22，當(dāng)認(rèn)證被自動化時)重新輸入接入證書。

作為響應(yīng)，網(wǎng)絡(luò)接入服務(wù)器14向認(rèn)證與授權(quán)服務(wù)器16發(fā)送表示為“coa-nak408”(具有標(biāo)識符id_0)的否定應(yīng)答消息。coa-nak消息408包括用戶名(user-name_1)、nasid、service-type(僅授權(quán))、錯誤消息(507：發(fā)起請求)和狀態(tài)(s_0)。雖然以coa-nak消息的形式，使用該消息類型可表明正在基于“authorize-only”的服務(wù)類型發(fā)起coa請求406，并且接入請求消息410隨后，這樣有效地從推送機制轉(zhuǎn)換到允許分組分段的調(diào)取機制。

網(wǎng)絡(luò)接入服務(wù)器14可發(fā)送接入請求消息410(具有標(biāo)識符id_1)。消息410可包括用戶名(user-name_1)、nasid、分段狀態(tài)(fragmentation-supported)、service-type(authorize-only)和狀態(tài)(s_0)。分段狀態(tài)值“fragmentation-supported”警告認(rèn)證與授權(quán)服務(wù)器16網(wǎng)絡(luò)接入服務(wù)器14支持分組分段。

認(rèn)證與授權(quán)服務(wù)器16可向網(wǎng)絡(luò)接入服務(wù)器14發(fā)送接受接入消息412(具有標(biāo)識符id_1)。該消息可包括用戶名(user-name_1)、服務(wù)集(服務(wù)集1)、分段狀態(tài)(more-data-pending(更多數(shù)據(jù)待定))、service-type(additional-authorization(附加授權(quán)))和狀態(tài)(s_1)。這是三個消息412、416和420中的第一個，其包括用戶的授權(quán)服務(wù)的列表。服務(wù)集合1可包括授權(quán)服務(wù)的屬性。分段狀態(tài)值“more-data-pending”可通知網(wǎng)絡(luò)接入服務(wù)器14存在附加分組中以完全響應(yīng)于接入請求消息410。

作為響應(yīng)，網(wǎng)絡(luò)接入服務(wù)器14可從認(rèn)證與授權(quán)服務(wù)器16請求在接受接入消息412(具有標(biāo)識符id_2)的分段狀態(tài)中所表明的附加數(shù)據(jù)。網(wǎng)絡(luò)接入服務(wù)器14可通過以下方式請求附加數(shù)據(jù)：生成并發(fā)送接入請求消息414，該消息可包括用戶名(user-name_1)、分段狀態(tài)(more-data-request)、service-type(additional-authorization)和狀態(tài)(s_1)。當(dāng)接受接入消息412的分段狀態(tài)繼續(xù)表明“more-data-pending”時，網(wǎng)絡(luò)接入服務(wù)器14將繼續(xù)從認(rèn)證與授權(quán)服務(wù)器16請求更多數(shù)據(jù)。

響應(yīng)于接收接入請求消息414，認(rèn)證與授權(quán)服務(wù)器16可向網(wǎng)絡(luò)接入服務(wù)器14發(fā)送接受接入消息416(具有標(biāo)識符id_2)。消息416可包括用戶名(user-name_1)、服務(wù)集(服務(wù)集2)、表明更多數(shù)據(jù)仍待處理的分段狀態(tài)(more-data-pending)、service-type(additional-authorization)和狀態(tài)(s_2)。

響應(yīng)于接收到接受接入消息416，網(wǎng)絡(luò)接入服務(wù)器14可從認(rèn)證與授權(quán)服務(wù)器16請求在接受接入消息416(具有標(biāo)識符id_3)的分段狀態(tài)中表明的附加數(shù)據(jù)。接入請求消息418可包括用戶名(user-name_1)、分段狀態(tài)(more-data-request)、service-type(additional-authorization)和狀態(tài)(s_2)。

響應(yīng)于接收接入請求消息418，認(rèn)證與授權(quán)服務(wù)器16可向網(wǎng)絡(luò)接入服務(wù)器14發(fā)送接受接入消息420(具有標(biāo)識符id_3)。接受接入消息420可包括用戶名(user-name_1)、表明這是最終服務(wù)集(服務(wù)集3(最終))的服務(wù)集、service-type(例如登錄(例如，在登錄)或authorize-only(例如，以coa))、結(jié)果屬性(result-request)和狀態(tài)(s_3)。

響應(yīng)于具有值為“result-request”的“結(jié)果”屬性，網(wǎng)絡(luò)接入服務(wù)器14可確定在一個或多個已授權(quán)的服務(wù)的列表中的每個授權(quán)服務(wù)(來自消息412、416和420)當(dāng)前正經(jīng)由端點設(shè)備22被提供給用戶34使用?？商狳c地，消息420可包括不包括狀態(tài)(或結(jié)果)標(biāo)識符的服務(wù)集。

網(wǎng)絡(luò)接入服務(wù)器14可向認(rèn)證與授權(quán)服務(wù)器16發(fā)送接入請求消息422(具有標(biāo)識符id_4)。消息422可包括用戶名(user-name_1)、service-type(例如登錄(例如，在登錄)或authorize-only(例如，以coa))、狀態(tài)(result-success)和狀態(tài)(s_3)。結(jié)果成功的狀態(tài)(在消息422中)通知認(rèn)證服務(wù)器404，授權(quán)由用戶34使用的每個服務(wù)可用于由用戶34使用，或者換句話說，當(dāng)前正被提供給用戶34使用。

響應(yīng)于接入請求消息422，認(rèn)證與授權(quán)服務(wù)器16可向網(wǎng)絡(luò)接入服務(wù)器14發(fā)送接受接入消息424(具有標(biāo)識符id_4)。接受接入消息424可包括用戶名(user-name_1)，service-type(例如登錄(例如，登錄時)或authorize-only(例如，具有coa))，結(jié)果(結(jié)果接收)和狀態(tài)(s_4)。具有值“result-received”的結(jié)果屬性表明認(rèn)證與授權(quán)服務(wù)器16已經(jīng)接收到先前發(fā)送的接入請求消息422，該消息具有值“result-success”的“結(jié)果”屬性。

在可替代的實例中，授權(quán)給用戶的一個或多個已授權(quán)的服務(wù)不可用或不向用戶提供。在該替代實例中，網(wǎng)絡(luò)接入服務(wù)器14可以接入請求消息響應(yīng)接受接入消息420，該接入請求消息包括值為“result-failed”的“結(jié)果”屬性。響應(yīng)于該接入請求消息，認(rèn)證與授權(quán)服務(wù)器16可解除授權(quán)用戶，動態(tài)授權(quán)，和/或通知諸如網(wǎng)絡(luò)管理設(shè)備的不同設(shè)備沒有應(yīng)用該服務(wù)?？蓤?zhí)行這些操作中的任何一個或多個，并且執(zhí)行這些補救操作的任何通信還可包括未提供但被授權(quán)的服務(wù)的屬性。在接收到“result-failed”消息時，認(rèn)證與授權(quán)服務(wù)器16可同樣地以消息424進行響應(yīng)，警告網(wǎng)絡(luò)接入服務(wù)器14狀態(tài)被接收。

圖5是示出網(wǎng)絡(luò)接入設(shè)備和授權(quán)設(shè)備在執(zhí)行本公開中描述的結(jié)果查詢和報告技術(shù)的各個方面的示例性操作的流程圖。圖1的網(wǎng)絡(luò)接入服務(wù)器14可表示網(wǎng)絡(luò)接入設(shè)備的一個實例。圖1的認(rèn)證與授權(quán)服務(wù)器16可表示授權(quán)設(shè)備或授權(quán)服務(wù)器的一個實例。

如上所述，網(wǎng)絡(luò)接入服務(wù)器14可從端點設(shè)備22接收接入服務(wù)的請求(500)。該請求可包括接入證書。響應(yīng)于該請求，網(wǎng)絡(luò)接入服務(wù)器14的控制單元44a可調(diào)用radius協(xié)議模塊50?？刂茊卧?4a的radius協(xié)議模塊50可生成接入請求消息200，該消息代表端點設(shè)備22請求接入服務(wù)并提供接入證書以促進認(rèn)證。換句話說，請求消息200可表示對授權(quán)接入所請求的服務(wù)的請求。radius協(xié)議模塊50可經(jīng)由接口46a向認(rèn)證與授權(quán)服務(wù)器16發(fā)送接入請求消息200，從而有效地請求用戶34接入服務(wù)的授權(quán)(502)。

認(rèn)證與授權(quán)服務(wù)器16可經(jīng)由接口46b接收接入請求消息200。認(rèn)證設(shè)備16的控制單元44b可響應(yīng)于接收到接入請求消息200而調(diào)用radius協(xié)議模塊50?？刂茊卧?4b的radius協(xié)議模塊50可處理接入請求消息200，經(jīng)由數(shù)據(jù)庫協(xié)議模塊52，通過與數(shù)據(jù)庫18的交互，基于所提供的接入證書來認(rèn)證用戶34。

假設(shè)用戶34被成功認(rèn)證，控制單元44b的radius協(xié)議模塊50可檢索將為其提供用戶34的一個或多個服務(wù)(506)。radius協(xié)議模塊50可生成接受接入消息202，以包括要為其提供用戶34的一個或多個服務(wù)。radius協(xié)議模塊50還可包括具有值“result-request”的“結(jié)果”消息屬性，以從網(wǎng)絡(luò)接入服務(wù)器14請求結(jié)果，該結(jié)果關(guān)于一個或多個已授權(quán)的服務(wù)當(dāng)前是否被提供給端點設(shè)備使用?？刂茊卧?4b的radius協(xié)議模塊50之后可經(jīng)由接口46b向控制單元44a的radius協(xié)議模塊50發(fā)送接受接入消息202。

在這方面中，控制單元44b的radius協(xié)議模塊50可提供要為用戶34提供的服務(wù)，并且經(jīng)由相同的接受接入消息202請求提供服務(wù)的結(jié)果(508，510)。盡管被描述為經(jīng)由相同消息發(fā)生，但是radius協(xié)議模塊50可經(jīng)由與用于請求服務(wù)的結(jié)果的消息分開的接受接入消息來提供服務(wù)。

控制單元44a的radius協(xié)議模塊50可接收接受接入消息202。radius協(xié)議模塊50可處理接受接入消息202以提取授權(quán)的服務(wù)220并且向服務(wù)提供模塊54提供一個或多個授權(quán)的服務(wù)220?？刂茊卧?4a可包括服務(wù)提供模塊54，服務(wù)提供模塊54可提供授權(quán)的服務(wù)220，并且向radius協(xié)議模塊50表明服務(wù)已經(jīng)被提供(512)。

由于接受接入消息中指定的結(jié)果請求，radius協(xié)議模塊50接下來可查詢服務(wù)提供模塊54關(guān)于提供授權(quán)的服務(wù)220的結(jié)果。服務(wù)提供模塊54之后可通過確定提供用于提供每個查詢的授權(quán)的服務(wù)(即，在該實例中的授權(quán)的服務(wù)220)應(yīng)答(514)。服務(wù)提供模塊54可利用結(jié)果222來應(yīng)答查詢?？刂茊卧?4a的radius協(xié)議模塊50可接收結(jié)果222并且基于結(jié)果222以接入請求消息204的形式生成結(jié)果消息，該消息包括具有值“result-success”或“result-failed”的“結(jié)果”消息屬性。控制單元44a的radius協(xié)議模塊50經(jīng)由接口46a向控制單元44b的radius協(xié)議模塊50發(fā)送接入請求消息204。以這種方式，網(wǎng)絡(luò)接入服務(wù)器14可報告服務(wù)提供的結(jié)果(516)。

控制單元44b的radius協(xié)議模塊50可接收接入請求消息204并處理消息204以標(biāo)識是否所有服務(wù)220都被成功提供或者服務(wù)220中的任何一個是否沒有被成功提供。控制單元44b的radius協(xié)議模塊50可基于所標(biāo)識的是所有服務(wù)220是否被成功提供或者服務(wù)220中的任何一個是否未被成功提供而以上述方式中的任一種來操作。radius協(xié)議模塊50可以接受接入消息206的形式的確認(rèn)消息來響應(yīng)接入請求消息204，所述接受接入消息206包括具有值“result-received”的“結(jié)果”消息屬性。

以這種方式，本公開中描述的技術(shù)可提供通用的解決方案，用于認(rèn)證與授權(quán)服務(wù)器16以不依賴于任何計費消息的方式從網(wǎng)絡(luò)接入服務(wù)器14接收狀態(tài)。此外，該技術(shù)通過rfc7499中描述的轉(zhuǎn)換過程來適應(yīng)推送和調(diào)取機制。結(jié)果，服務(wù)提供商不需要改變?nèi)绾螒?yīng)用服務(wù)以適應(yīng)狀態(tài)檢查，假如本公開中描述的技術(shù)都用于從推送機制轉(zhuǎn)換到調(diào)取機制的方式。

在一個或多個示例中，所描述的功能可在硬件、軟件、固件或其任何組合中實施。如果在軟件中實施，則功能可作為一個或多個指令或代碼存儲在計算機可讀介質(zhì)上或通過計算機可讀介質(zhì)傳輸，并由基于硬件的處理單元執(zhí)行。計算機可讀介質(zhì)可包括計算機可讀介質(zhì)傳輸，其對應(yīng)于諸如數(shù)據(jù)存儲介質(zhì)的有形介質(zhì)。數(shù)據(jù)存儲介質(zhì)可以是任何可獲得的介質(zhì)，該介質(zhì)可由一個或多個計算機或一個或多個處理器接入以檢索用于實現(xiàn)本公開中描述的技術(shù)的指令、代碼和/或數(shù)據(jù)結(jié)構(gòu)。計算機程序產(chǎn)品可包括計算機可讀介質(zhì)。

同樣地，在上述各種情況的每一個中，應(yīng)當(dāng)理解，上述設(shè)備可執(zhí)行方法或以其它方式包括用于執(zhí)行所述方法的每個步驟的工具，每個設(shè)備被配置為執(zhí)行所述方法。在一些情況下，該裝置可包括一個或多個處理器。在一些情況下，一個或多個處理器可表示專用處理器，通過存儲到非暫時性計算機可讀存儲介質(zhì)中的指令的方式配置。換句話說，編碼實例的每個集合中的技術(shù)的各個方面可提供非暫時性計算機可讀存儲介質(zhì)，其上存儲有指令，所述指令在被執(zhí)行時使得一個或多個處理器執(zhí)行所述方法，每個設(shè)備被配置為執(zhí)行所述方法。

作為實例而非用于限制，這樣的計算機可讀存儲介質(zhì)可包括ram、rom、eeprom、cd-rom或其他光盤存儲器、磁盤存儲器或其他磁性存儲設(shè)備、閃存或任何可用于存儲期望的程序代碼的其他介質(zhì)，所述存儲以指令或數(shù)據(jù)結(jié)構(gòu)的形式并且所述存儲器可由計算機訪問。但是，應(yīng)當(dāng)理解，計算機可讀存儲介質(zhì)和數(shù)據(jù)存儲介質(zhì)不包括連接、載波、信號或其他暫時性介質(zhì)，而是針對非暫時的有形存儲介質(zhì)。如本文所使用的磁盤和光盤包括壓縮光盤(cd)、激光光盤、光盤、數(shù)字通用光盤(dvd)、軟盤和藍光光盤，其中磁盤通常磁性地復(fù)制數(shù)據(jù)，而光盤使用激光復(fù)制數(shù)據(jù)。上述的組合也應(yīng)包括在計算機可讀介質(zhì)的范圍內(nèi)。

指令可由一個或多個處理器執(zhí)行，諸如一個或多個數(shù)字信號處理器(dsp)、通用微處理器、專用集成電路(asic)、現(xiàn)場可編程邏輯陣列(fpga)或其他等同的集成或離散邏輯電路。因此，本文所使用的術(shù)語“處理器”可指代任何前述結(jié)構(gòu)或任何適于實施本文所描述的技術(shù)的其它結(jié)構(gòu)。此外，在一些方面，本文描述的功能可提供在專用硬件和/或軟件模塊內(nèi)，所述模塊被配置用于編碼和解碼；或者被結(jié)合在組合編解碼器中。此外，這些技術(shù)可在一個或多個電路或邏輯元件中完全實現(xiàn)。

本公開的技術(shù)可在各種各樣的設(shè)備或裝置中實施，包括無線手持機、集成電路(ic)或一組ic(例如，芯片組)。在本公開中描述了各種組件、模塊或單元，以強調(diào)被配置為執(zhí)行所公開的技術(shù)的設(shè)備的功能方面，但不一定需要由不同的硬件單元實現(xiàn)。相反，如上所述，各種單元可結(jié)合合適的軟件和/或固件在編解碼器硬件單元中組合，或由互操作硬件單元的集合提供，包括如上所述的一個或多個處理器。

已經(jīng)描述了這些技術(shù)的各個方面。該技術(shù)的這些和其它方面在所附權(quán)利要求的范圍內(nèi)。