基于RADIUS和DIAMETER协议的移动IP应用的兼容方法及系统

摘要

本发明公开了一种基于RADIUS和DIAMETER协议的移动IP应用的兼容方法和系统。所述方法包括如下步骤：移动节点与接入服务器之间通讯；接入服务器与翻译代理服务器之间通讯，所述翻译代理服务器将RADIUS和DIAMETER协议的消息格式进行相互翻译；所述翻译代理服务器与认证服务器之间通讯；其中，所述接入服务器和所述认证服务器的其中之一运行RADIUS协议，另一个运行DIAMETER协议。本发明不仅能够使运行不同AAA协议的网络实体协同工作，而且由于采用基于DIAMETER协议的移动IP应用的注册流程，使得基于RADIUS协议的网络实体的注册和认证流程合二为一，提高了效率。

说明书

技术领域

本发明涉及基于DIAMETER协议的网络认证、授权、记账(Authentication、Authorization、Accounting，AAA)系统的移动IP扩展应用和基于RADIUS协议的AAA系统的移动IP扩展应用，具体涉及基于RADIUS和DIAMETER协议的移动IP应用的兼容方法及系统。

背景技术

移动IP是一种在Internet上基于网络层提供移动功能的解决方案。移动IP使得移动节点(Mobile Node，MN)在不同网络间移动的过程中，不必改变IP地址，仍能保持与其他移动节点或者不具有移动IP功能的节点间通讯的连续性。

移动IP系统主要包括移动节点(MN)、外地代理服务器(Foreign Agent，FA)、家乡代理服务器(Home Agent，HA)。每一个移动节点都有一个家乡地址(Home of Address，HoA)，当移动节点离开家乡网络进入外地网络时，它需要获得一个转交地址(Care of Address，CoA)，并通过外地代理服务器(或者直接)向家乡代理服务器注册，在家乡代理服务器上创建一个HoA和CoA的关联。移动节点发送给移动节点的数据包通过正常的IP路由到移动节点的家乡网络，家乡代理服务器截获这些数据包，并通过隧道技术将它们发送到移动节点的当前位置。

移动IP系统中存在的安全问题主要存在于注册过程和通讯过程。一方面在于移动节点的注册过程中，如果不采用安全保障措施，恶意用户可通过发送假的注册请求给本地代理，导致所有数据包全部被转发到恶意用户那里。另一方面在于注册后正常的通讯过程，攻击者可以窃听会话，截取数据包。因此安全性是保证移动IP技术发挥作用需要考虑的重要因素，而注册过程中移动用户的认证、消息的完整性和保密性是移动IP安全的核心问题之一。为解决注册过程中的安全性问题，需要引入安全协议，而AAA协议就是其中之一。

AAA指的是Authentication(认证)，Authorization(授权)，Accounting(记账)。其中，认证是指通过验证一些预先登记的信息对用户进行身份认证，以确定用户的合法性，防止非法用户使用网络资源；授权是指在认证的基础上决定是否授予用户访问特定的网络资源或者获得某项服务的权利；记账是指网络系统记录并存储用户对网络资源、各种服务的使用信息，并按照预定的规则对用户行为进行计费、审计等。

RADIUS协议是目前最常用的AAA协议之一，可以用于解决移动IP的注册安全问题。其网络拓扑结构如附图1所示，它包括移动节点11、外地代理服务器12、家乡代理服务器13、外地认证服务器(Foreign AAA server，AAAF)14和本地认证服务器(Home AAA server，AAAH)15。在图1所示的网络拓扑结构中，移动节点11的注册流程为：

步骤S11，开始。移动节点11开机注册前，移动节点11只有网络接入标识(Network Access Identifier，NAI)以及移动节点11和外地认证服务器15(Home AAA server，AAAH)的移动安全关联(Mobility Security Association，MSA)的安全信息。

步骤S12，移动节点11开机后，移动节点11向外地代理服务器12发出注册请求消息(Registration Request，RRQ)。

步骤S13，外地代理服务器12收到移动节点11的注册请求(RRQ)，此时外地代理服务器12和移动节点11及家乡代理服务器13之间没有移动安全关联(MSA)，为此则外地代理服务器12向外地认证服务器14(Foreign AAAserver，AAAF)发送接入请求(RADIUS Access Request，AR)消息，其中MIP-Feature-Vector属性设置FA-HA-Key-Request和MN-FA-Key-Nonce-Request位。

步骤S14，外地认证服务器14收到AR消息后转发给外地认证服务器15。

步骤S15，外地认证服务器15收到AR后，首先验证移动节点11的身份，如果通过验证，则分配移动节点11和外地代理服务器12之间的密钥信息(MN-FA-Key)、外地代理服务器12和家乡代理服务器13之间的密钥信息(FA-HA-Key)，并发送接入允许(RADIUS Access-Accept，AA)消息给外地代理服务器12，用于外地代理服务器12建立外地代理服务器12与移动节点11、家乡代理服务器13的MSA；此接入允许消息(AA)需要经过外地认证服务器14到达外地代理服务器12。

步骤S16，AA消息经过外地认证服务器14到达外地代理服务器12，表明移动节点11已经通过认证。外地代理服务器12从AA消息中得到用于建立外地代理服务器12和移动节点11、家乡代理服务器13之间的MSA的安全信息，然后向家乡代理服务器13发送注册请求信息(RRQ)消息。

步骤S17，家乡代理服务器13收到来自外地代理服务器12的RRQ，判断如果家乡代理服务器13上已经存在外地代理服务器12和家乡代理服务器13的MSA，则家乡代理服务器13可以对RRQ中的外地代理服务器12和移动节点11信息进行验证；否则家乡代理服务器13要通过外地认证服务器15对RRQ中的外地代理服务器12和移动节点11信息进行验证，此验证过程为家乡代理服务器13首先向外地认证服务器15发送AR消息，外地认证服务器15验证通过后向家乡代理服务器13发送AR消息。

家乡代理服务器13对RRQ中的外地代理服务器12和移动节点11信息验证通过后，家乡代理服务器13对移动节点11的注册请求进行处理，然后发送注册回复(Mobile IP Registration Reply，RRP)消息给外地代理服务器12。

步骤S18，外地代理服务器12将RRP消息转发给移动节点11，完成注册过程。

以上为RADIUS协议应用于移动IP注册过程的主要流程。RADIUS能够在一定程度上满足移动IP对于安全问题的需要。

近几年来各种互联网业务不断涌现，以各种方式接入互联网的用户不断增加，使得基于原有AAA技术的路由器和网络接入服务器难以应对。RADIUS等AAA协议已无法满足新形势下的需求。经过讨论，IETF的AAA工作组同意将DIAMETER协议作为下一代AAA协议标准。DIAMETER协议在端到端安全性、扩容、传输可靠性、漫游支持、故障切换和扩展性等方面比RADIUS协议有较大的优势，可以满足现阶段的需要。

DIAMETER协议提供了对移动IP的支持。利用DIAMETER基础协议，基于DIAMETER协议的移动IP应用比较完善地解决了移动IP中的很多问题。在基于DIAMETER协议的移动IP应用中，AAA认证服务器作为密钥分配中心，为移动节点、外地代理服务器和家乡代理服务器创建和分配会话密钥，从而使移动节点在外部网络得到接入服务。其网络拓扑结构如附图2所示。按照图2所示的网络拓扑，移动节点21的注册流程为：

步骤S21，开始。移动节点21开机注册前，移动节点21只有NAI以及移动节点21和本地认证服务器25的移动安全关联(MSA)的信息。

步骤S22，移动节点21开机后，移动节点21向外地代理服务器22发出注册请求(Registration Request，RRQ)消息。

步骤S23，外地代理服务器22接到注册请求消息后，根据其中的信息生成移动节点请求(AA-Mobile-Node-Request，AMR)消息发给外地认证服务器24。

步骤S24，外地认证服务器24接到AMR后转发给本地认证服务器25。

步骤S25，本地认证服务器25收到AMR后，为移动节点21分配移动节点21和家乡代理服务器23之间、移动节点21和外地代理服务器22之间的密钥信息，以及外地代理服务器22和家乡代理服务器23之间的密钥信息，并向家乡代理服务器23发出本地代理移动IP请求(Home-Agent-MIP-Request，HAR)消息，其中的MIP-Reg-Request AVP包含移动IP注册请求信息。

步骤S26，家乡代理服务器23接到HAR，处理MIP-Reg-Request AVP，生成MIP-Reg-Reply AVP，将MIP-Reg-Reply AVP包含在本地代理移动IP响应(Home-Agent-MIP-Answer，HAA)消息中发送给本地认证服务器25。

步骤S27，本地认证服务器25收到HAA后，生成移动节点响应(AA-Mobile-Node-Answer，AMA)消息发送给外地认证服务器24。

步骤S28，外地认证服务器24将AMA转发给外地代理服务器22。

步骤S29，外地代理服务器22接到AMA后保留外地代理服务器22和家乡代理服务器23之间的密钥信息，将外地代理服务器22和移动节点21之间、家乡代理服务器23和移动节点21之间的密钥信息包含在注册应答(Registration-Reply，RRP)消息中，发送给移动节点21，完成注册。

作为新一代的AAA协议，DIAMETER与RADIUS相比有着明显的优势，在未来移动通信网逐渐向全IP过渡的情况下，DIAMETER协议必将得到广泛的应用。但是从目前看来，使用RADIUS协议还是主要的方式，几乎所有的网络接入服务器都支持RADIUS协议，因此新的AAA协议能否顺利推广与应用在很大程度上取决于新的协议能否兼容RADIUS协议。DIAMETER协议采用了一些机制以利于兼容RADIUS协议，但是由于RADIUS和DIAMETER协议的移动IP应用之间在消息格式、属性值和注册流程方面的差异，目前还没有具体的方法能够实现RADIUS协议的移动IP应用和DIAMETER协议的移动IP应用的兼容。

发明内容

本发明的一个目的是提供RADIUS和DIAMETER协议的消息格式兼容方法。由于DIAMETER和RADIUS协议有各自不同的消息格式，在移动IP应用方面也引入了不同的属性格式，所以为了能够使这两种移动IP应用兼容，需要使基于这两种协议的消息之间能够相互转换。

本发明的另一个目的是提供基于RADIUS和DIAMETER协议的移动IP应用的兼容方法。由于RADIUS和DIAMETER协议的移动IP应用的注册流程有很大差异，所以需要一种方法能够使运行这两种协议的接入服务器和认证服务器能够在共同的流程下协同工作。

本发明的又一目的是提供一种基于RADIUS和DIAMETER协议的移动IP应用的兼容系统，使得DIAMETER(或RADIUS)协议的接入服务器与RADIUS(或DIAMETER)协议的认证服务器在移动IP应用中能够兼容，并且不改变原有的网络结构和网络实体的功能。

为了上述目的，本发明提供如下技术方案；

一种基于RADIUS和DIAMETER协议的移动IP应用的兼容方法，包括如下步骤：

步骤S1，移动节点与接入服务器之间通讯；

步骤S2，接入服务器与翻译代理服务器之间通讯，所述翻译代理服务器将RADIUS和DIAMETER协议的消息格式进行相互翻译；

步骤S3，所述翻译代理服务器与认证服务器之间通讯；

其中，所述接入服务器和所述认证服务器的其中之一运行RADIUS协议，另一个运行DIAMETER协议。

进一步地，步骤S1中的所述接入服务器为外地代理服务器，相应地步骤S3中的所述认证服务器为外地认证服务器；或者，步骤S1中的所述接入服务器为家乡代理服务器，相应地步骤S3中的所述认证服务器为本地认证服务器。

进一步地，上述的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法，当步骤S1中的所述接入服务器为外地代理服务器，相应地步骤S3中的所述认证服务器为外地认证服务器时，还包括：

步骤S4，所述外地认证服务器与本地认证服务器之间通讯；

步骤S5，所述本地认证服务器与第二翻译代理服务器之间通讯，所述第二翻译代理服务器将RADIUS和DIAMETER协议的消息格式进行相互翻译；

步骤S6，所述第二翻译代理服务器与家乡代理服务器之间通讯；

其中，所述本地认证服务器和所述家乡代理服务器的其中之一运行RADIUS协议，另一个运行DIAMETER协议。

进一步地，当所述家乡代理服务器和所述外地代理服务器运行DIAMETER协议，所述外地认证服务器和所述本地认证服务器运行RADIUS协议时，所述步骤S3还包括：

所述翻译代理服务器和所述第二翻译代理服务器之间通讯。

进一步地，所述的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法，还包括：

在步骤S4中，所述外地认证服务器与所述本地认证服务器之间通过第三翻译代理服务器进行通讯，所述第三翻译代理服务器将RADIUS和DIAMETER协议的消息格式进行相互翻译；其中所述外地认证服务器与所述本地认证服务器的其中之一运行RADIUS协议，另一个运行DIAMETER协议。

进一步地，所述的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法，还包括：

步骤S7，对家乡代理服务器发出的注册回复消息进行处理并发回给移动节点，完成移动节点注册。

进一步地，所述的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法，在步骤S2中，所述翻译代理服务器将RADIUS和DIAMETER协议的消息格式进行相互翻译的方法包括：

DIAMETER协议的移动节点请求消息与RADIUS的接入请求消息互相翻译；

DIAMETER协议的移动节点响应消息与RADIUS协议的接入允许及拒绝消息和注册回复消息互相翻译；其中所述接入允许及拒绝消息中的MIP-MA-Type属性设置，用于表示该消息对应的是本地认证服务器或外地认证服务器与外地代理服务器之间的DIAMETER协议消息；

DIAMETER协议的家乡代理请求消息与RADIUS协议的注册请求消息相互翻译；

DIAMETER协议的家乡代理响应消息与RADIUS协议的接入允许/拒绝消息和注册回复消息互相翻译；其中所述接入允许及拒绝消息中的MIP-MA-Type属性设置，用于表示该消息对应的是家乡代理服务器与本地认证服务器之间的DIAMETER协议消息。

本发明还提供一种基于RADIUS和DIAMETER协议的移动IP应用的兼容系统，包括：

接入服务器，与移动节点进行通讯，用于代理移动节点接入网络；

翻译代理服务器，设置在所述接入服务器和认证服务器之间，用于将RADIUS和DIAMETER协议的消息格式进行相互翻译；

认证服务器，用于通过所述翻译代理服务器与所述接入服务器进行通讯；

其中，所述接入服务器和所述认证服务器的其中之一运行RADIUS协议，另一个运行DIAMETER协议。

进一步地，所述接入服务器为外地代理服务器，相应地所述认证服务器为外地认证服务器；或者，所述接入服务器为家乡代理服务器，相应地所述认证服务器为本地认证服务器。

进一步地，所述的基于RADIUS和DIAMETER协议的移动IP应用的兼容系统，当所述接入服务器为外地代理服务器，相应地所述认证服务器为外地认证服务器时，还包括：本地认证服务器，与所述外地认证服务器进行通讯。

进一步地，所述的基于RADIUS和DIAMETER协议的移动IP应用的兼容系统，还包括：家乡代理服务器，通过第二翻译代理服务器与所述本地认证服务器进行通讯；所述第二翻译代理服务器用于将RADIUS和DIAMETER协议的消息格式进行相互翻译，其中所述家乡代理服务器和所述本地认证服务器的其中之一运行RADIUS协议，另一个运行DIAMETER协议。

进一步地，当所述外地代理服务器和所述家乡代理服务器是运行DIAMETER协议的服务器，所述外地认证服务器和所述本地认证服务器是运行RADIUS协议的服务器时，所述翻译代理服务器和所述第二翻译代理服务器进行通讯。

进一步地，所述的基于RADIUS和DIAMETER协议的移动IP应用的兼容系统，还包括：当所述外地认证服务器和所述本地认证服务器是的其中之一运行RADIUS协议，另一个运行DIAMETER协议时，所述本地认证服务器通过一第三翻译代理服务器与所述外地认证服务器进行通讯；所述第三翻译代理服务器用于将RADIUS和DIAMETER协议的消息格式进行相互翻译。

进一步地，所述的基于RADIUS和DIAMETER协议的移动IP应用的兼容系统，其特征是，所述翻译代理服务器将RADIUS和DIAMETER协议的消息格式进行相互翻译包括：

DIAMETER协议的移动节点请求消息与RADIUS的接入请求消息互相翻译；

DIAMETER协议的移动节点响应消息与RADIUS协议的接入允许及拒绝消息和注册回复消息互相翻译；其中所述接入允许及拒绝消息中的MIP-MA-Type属性设置，用于表示该消息对应的是本地认证服务器或外地认证服务器与外地代理服务器之间的DIAMETER协议消息；

DIAMETER协议的家乡代理请求消息与RADIUS协议的注册请求消息相互翻译；

DIAMETER协议的家乡代理响应消息与RADIUS协议的接入允许/拒绝消息和注册回复消息互相翻译；其中所述接入允许及拒绝消息中的MIP-MA-Type属性设置，用于表示该消息对应的是家乡代理服务器与本地认证服务器之间的DIAMETER协议消息。

本发明的有益效果是：

通过采用本发明所述的方案，不仅能够使运行不同AAA协议的网络实体协同工作，而且由于采用基于DIAMETER协议的移动IP应用的注册流程，使得基于RADIUS协议的网络实体的注册和认证流程合二为一，提高了效率。

本发明的技术方案完全符合基于RADIUS和DIAMETER协议的移动IP应用所描述的网络结构，在不改变原先的网络结构和网络实体功能的前提下，只用引入很少的网络实体，就可以实现基于RADIUS和DIAMETER协议的网络实体的兼容，使得在移动IP应用中RADIUS协议向DIAMETER协议的过度更加平稳。

附图说明

图1为基于RADIUS协议的移动IP应用网络拓扑结构图；

图2为基于DIAMETER协议的移动IP应用网络拓扑结构图；

图3为本发明实施例1的网络拓扑结构图；

图4为本发明实施例1的消息交互流程图；

图5为本发明实施例2的网络拓扑结构图；

图6为本发明实施例2的消息交互流程图；

图7为本发明实施例4的网络拓扑结构图；

图8为本发明实施例4的消息交互流程图。

其中：

11，21，31，51，71---移动节点(MN)；

12，22，32，52---外地代理服务器(FA)；

13，23，33，53，72---家乡代理服务器(HA)；

14，24，34，54---外地认证服务器(AAAF)；

15，25，35，55，74---本地认证服务器(AAAH)；

36，56---第一翻译代理服务器(TA)；

37，57---第二翻译代理服务器(TA)；

73---翻译代理服务器(TA)

RRQ---注册请求消息(Registration Request)；

AR---接入请求消息(Access Request)；

AMR---移动节点请求消息(AA-Mobile-Node-Request)；

HAR---家乡代理请求消息(Home Agent Reguest)；

RRP---注册应答消息(Registration-Reply)；

HAA---家乡代理响应消息(Home Agent Answer)；

AMA---移动节点响应消息(AA-Moblie-Node-Answer)；

AA/AR---接入允许/拒绝消息(Access Accept/Reject)；

RRP---注册回复消息(Registration Reply)。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合附图及实施例，对本发明的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法及系统进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

实施例1

本发明通过引入翻译代理服务器网络实体使得RADIUS和DIAMETER两种AAA协议的移动IP应用相互兼容，具体包括了网络实体之间的不同协议的消息格式兼容和协议流程兼容。

为了实现网络实体之间的消息格式兼容，本发明通过引入翻译代理服务器，使用一定的消息格式转换方法(即翻译方法)，使得运行RADIUS协议的网络实体和运行DIAMETER协议的网络实体之间能够进行通讯。

为了实现网络实体之间的协议流程兼容，本发明通过上述翻译代理服务器，使得流程上不兼容的运行RADIUS协议的网络实体和运行DIAMETER协议的网络实体能够协同工作。

本发明中的翻译代理服务器(Translation-Agent，TA)网络实体负责消息格式的转换(即不同协议的消息格式的相互翻译)，该网络实体位于运行RADIUS协议的网络实体和运行DIAMETER协议的网络实体之间，主要功能为：

将DIAMETER AVP(DIAMETER属性值对)翻译为功能相同或相似的RADIUSAttribute(RADIUS属性)；

将RADIUS Attribute翻译为功能相同或相似的DIAMETER AVP；

将DIAMETER消息转换为RADIUS消息；

将RADIUS消息转换为DIAMETER消息。

DIAMETER基础协议和RADIUS协议的消息转换方案已经在DIAMETER网络接入服务器应用(DIAMETER Network Access Server Application，RFC4005)中有清楚的描述，而本发明只涉及与移动IP应用相关的消息和属性。

AAA协议移动IP应用中涉及的消息主要有以下6种：

DIAMETER协议中：家乡代理请求(Home Agent Reguest，HAR)、家乡代理响应(Home Agent Answer，HAA)、移动节点请求(AA-Moblie-Node-Request，AMR)、移动节点响应(AA-Moblie-Node-Answer，AMA)；

RADIUS协议中：接入请求(Access Request，AR)、接入允许/拒绝(AccessAccept/Reject，AA/AR)、注册请求(Registration Request，RRQ)、注册回复(Registration Reply，RRP)。

作为一种可实施的方式，上述8种消息的相互翻译方法为：

DIAMETER AMR和RADIUS Access Request之间相互翻译；

DIAMETER AMA翻译为RADIUS Access Accept/Reject(MIP-MA-Type＝0)和Registration Reply两条RADIUS消息，RADIUS Access Accept/Reject(MIP-MA-Type＝0)和Registration Reply两条RADIUS消息一起翻译为DIAMETER AMA消息；

DIAMETER HAR和Registration Request之间相互翻译；

DIAMETER HAA翻译为RADIUS Access Accept/Reject(MIP-MA-Type＝1)和Registration Reply两条RADIUS消息，RADIUS Access Accept/Reject(MIP-MA-Type＝1)和Registration Reply两条RADIUS消息一起翻译为DIAMETER HAA消息。

其中，通过RADIUS协议消息的MIP-MA-Type属性来标示RADIUS消息对应的是家乡代理服务器与本地认证服务器之间的DIAMETER消息还是本地认证服务器、外地认证服务器与外地代理服务器之间的DIAMETER消息，作为一种具体实施方式，此处MIP-MA-Type＝0表示RADIUS消息对应的是本地认证服务器或外地认证服务器与外地代理服务器之间的DIAMETER消息，MIP-MA-Type＝1表示RADIUS消息对应的是家乡代理服务器与本地认证服务器之间的DIAMETER消息。

上述消息中所涉及的与移动IP相关的属性的翻译方法如下表1：

表1

基于RADIUS协议的移动IP应用和基于DIAMETER协议的移动IP应用的协议流程有较大差别。其中最重要的区别是：在RADIUS协议中，移动节点的身份认证和注册分为两个过程进行，而在DIAMETER协议中是通过一个过程中完成。所以需要用采取一种方法，使得运行RADIUS协议的网络实体和运行DIAMETER协议的网络实体能够协同工作。

本发明所涉及的网络结构遵照Internet工程任务组(InternetEngineering Task Force，IETF)的DIAMETER移动IPv4应用(DIAMETER MobileIPv4 Application，RFC4004)中的网络结构，该结构中有家乡域、外地域、移动节点(MN)、外地代理服务器(FA)、家乡代理服务器(HA)、外地认证服务器(AAAF)、本地认证服务器(AAAH)，其中移动节点位于外地域，家乡代理服务器和外地代理服务器为AAA系统的客户端，是网络接入服务器，外地认证服务器和本地认证服务器为AAA系统的服务器，网络接入服务器和认证服务器运行不同的AAA协议。本发明为了实现两种协议的流程兼容，在网络结构中引入翻译代理服务器(Translation-Agent，TA)网络实体。通过翻译代理服务器的作用，使得运行RADIUS协议的网络实体和运行DIAMETER协议的网络实体均能按照DIAMETER协议的流程进行。

为实现本发明的目的，需将翻译代理服务器部署在运行不同AAA协议的网络实体之间(外地代理服务器和家乡代理服务器之间不用部署，因为根据基于DIAMETER协议的移动IP应用流程，外地代理服务器和家乡代理服务器不用直接通讯)。

如图3所示，本发明在运行不同AAA协议的AAA客户端(外地代理服务器32和家乡代理服务器33)和AAA服务器(外地认证服务器34和本地认证服务器35)之间引入翻译代理服务器，即当外地代理服务器32和外地认证服务器34分别运行不同的AAA协议时，在外地代理服务器32和外地认证服务器34之间引入翻译代理服务器；同样地，当家乡代理服务器33和本地认证服务器35分别运行不同的AAA协议时，在家乡代理服务器33和本地认证服务器35之间也引入翻译代理服务器。

附图3是实现本发明的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法的一个实施例的网络拓扑图，其中网络接入服务器(外地代理服务器32)为运行RADIUS协议的客户端，认证服务器(外地认证服务器34)为运行DIAMETER协议的服务器，在外地代理服务器32和外地认证服务器34之间引入第一翻译代理服务器36。本实施例的消息流程见附图4。参考附图3和4，本发明的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法包括如下步骤：

步骤S101，移动节点31与接入服务器之间通讯；

即移动节点31发送RRQ消息到外地代理服务器32(接入服务器)；

步骤S102，接入服务器与第一翻译代理服务器36之间通讯，所述第一翻译代理服务器36将RADIUS和DIAMETER协议的消息格式进行相互翻译；

外地代理服务器32是运行RADIUS协议的客户端，收到上述步骤S101中的RRQ消息后按照RADIUS协议的流程，应发送AR消息到外地认证服务器34，为此外地代理服务器32首先将AR消息发送到第一翻译代理服务器36。第一翻译代理服务器36根据外地代理服务器32发来的AR消息翻译生成AMR消息。

步骤S103，所述第一翻译代理服务器36与认证服务器之间通讯；具体包括：

第一翻译代理服务器36将AMR消息发送给外地认证服务器34。

当家乡代理服务器33、外地认证服务器34和本地认证服务器35运行相同的AAA协议时，它们之间的通讯按照现有技术操作，不需要引入翻译代理服务器。

较佳地，如图3所示的实施方式，其中网络接入服务器(外地代理服务器32和家乡代理服务器33)为RADIUS协议的客户端，认证服务器(外地认证服务器34和本地认证服务器35)为DIAMETER协议的服务器；由于家乡代理服务器33和本地认证服务器35分别运行不同的AAA协议，本实施例还在家乡代理服务器33与本地认证服务器35之间引入第二翻译代理服务器37，消息流程见附图4，因此本发明的兼容方法还包括如下步骤：

步骤S104，所述外地认证服务器34与本地认证服务器之间通讯；具体地，外地认证服务器34将AMR消息转发给本地认证服务器35；

步骤S105，所述本地认证服务器35与第二翻译代理服务器37之间通讯，所述第二翻译代理服务器37将RADIUS和DIAMETER协议的消息格式进行相互翻译；

本地认证服务器35是运行DIAMETER协议的服务器，收到AMR后会根据AMR中的信息对移动节点31进行验证，验证通过后应当生成HAR消息发送给家乡代理服务器33，为此，本地认证服务器35首先将HAR消息发送给第二翻译代理服务器37。

第二翻译代理服务器37收到HAR消息后根据其中的信息翻译生成RRQ消息。

步骤S106，所述第二翻译代理服务器37与家乡代理服务器33之间通讯。具体地，第二翻译代理服务器37将翻译生成的RRQ消息发送给家乡代理服务器33。

家乡代理服务器33将发送注册回复消息，该消息将按照步骤S101-S106的逆方向进行处理并将注册回复消息发回给移动节点31，完成注册。下面详细描述该逆过程。

较佳地，本发明的兼容方法还包括对家乡代理服务器33的注册回复消息进行处理的步骤：

步骤S107，对家乡代理服务器发出的注册回复消息进行处理并发回给移动节点，完成注册。具体包括如下步骤，这些步骤与上述步骤S101-S106的消息发送方向相反，为了方便阅读采用步骤S106’-S101’的顺序描述：

步骤S106’，家乡代理服务器33是运行RADIUS协议的客户端，收到步骤106中的RRQ消息后对其中的注册请求进行处理，然后发送注册回复(RRP)消息给第二翻译代理服务器37。

步骤S105’，第二翻译代理服务器37收到家乡代理服务器33的RRP消息后根据RRP和之前得到的HAR消息中的信息生成HAA消息，发送给本地认证服务器35。

步骤S104’，本地认证服务器35收到HAA后生成AMA消息发送给外地认证服务器34。

步骤S103’，外地认证服务器34应当将AMA消息发送给外地代理服务器32，为此，外地认证服务器34首先将AMA消息发送到第一翻译代理服务器36。

步骤S102’，第一翻译代理服务器36收到AMA消息后，根据其中的信息翻译生成RRP消息和AA消息，发送给外地代理服务器32。

步骤S101’，外地代理服务器32收到RRP消息和AA消息，根据AA消息中的信息建立外地代理服务器32与移动节点31和家乡代理服务器33的MSA，并将RRP消息转发给移动节点31，完成移动节点31的注册。

如图3所示，一种基于RADIUS和DIAMETER协议的移动IP应用的系统，包括：

外地代理服务器32，与移动节点31进行通讯，用于代理移动节点31接入网络；

第一翻译代理服务器36，设置在所述外地代理服务器32和外地认证服务器34之间，用于将RADIUS和DIAMETER协议的消息格式进行相互翻译；

外地认证服务器34，通过所述第一翻译代理服务器36与所述外地代理服务器32进行通讯，用于在所述外地代理服务器32和本地认证服务器35之间传递消息；

本地认证服务器35，与所述外地认证服务器34进行通讯。

较佳地，该系统还包括：第二翻译代理服务器37，用于将RADIUS和DIAMETER协议的消息格式进行相互翻译；和家乡代理服务器33，通过所述第二翻译代理服务器37与所述本地认证服务器进行通讯。

所述外地代理服务器32和家乡代理服务器33是运行RADIUS协议的客户端服务器，所述外地认证服务器34和本地认证服务器是运行DIAMETER协议的服务器。

实施例2

附图5是实现本发明的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法的另一个实施例的网络拓扑图，其中外地代理服务器52和家乡代理服务器53，这两个接入服务器为运行DIAMETER协议的客户端，外地认证服务器54和本地认证服务器55为运行RADIUS协议的服务器，在AAA系统的客户端和AAA系统的服务器之间引入翻译代理服务器(TA)网络实体，即在外地代理服务器52和外地认证服务器54之间引入第一翻译代理服务器56，在家乡代理服务器53与本地认证服务器55之间引入第二翻译代理服务器57。本实施例的消息流程见附图6。结合附图5和6，本发明的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法包括如下步骤：

步骤S201，移动节点51与接入服务器之间通讯；

即移动节点51发送RRQ消息给外地代理服务器52。

步骤S202，接入服务器与第一翻译代理服务器56之间通讯，所述第一翻译代理服务器56将RADIUS和DIAMETER协议的消息格式进行相互翻译；

外地代理服务器52是运行DIAMETER协议的客户端，收到RRQ消息后应当生成AMR消息发送给外地认证服务器54，为此，外地代理服务器52首先将AMR消息发送给第一翻译代理服务器56。第一翻译代理服务器56根据外地代理服务器52发来的AMR消息，将AMR消息翻译为RADIUS协议的AR消息。

步骤S203，所述第一翻译代理服务器56与认证服务器之间通讯；具体包括：

第一翻译代理服务器56将RADIUS协议的AR消息发送给外地认证服务器54；较佳地，步骤S203还包括：第一翻译代理服务器56将外地代理服务器52发来的AMR中与注册相关的信息即AMR中的MIP-Reg-Request AVP发送给第二翻译代理服务器57。

步骤S204，所述外地认证服务器54与本地认证服务器之间通讯；具体地，外地认证服务器54将AR消息转发给本地认证服务器55；

步骤S205，所述本地认证服务器55与第二翻译代理服务器57之间通讯，所述第二翻译代理服务器57将RADIUS和DIAMETER协议的消息格式进行相互翻译；

本地认证服务器55是运行RADIUS协议的服务器，对AR消息中的移动节点51和外地代理服务器52信息进行验证，验证通过后将AA消息发给第二翻译代理服务器57(这可以通过将第二翻译代理服务器57部署在本地认证服务器55的网络接入点来实现)；

第二翻译代理服务器57利用之前上述步骤S203得到的注册相关信息(即MIP-Reg-Request AVP)和AA消息生成HAR消息。

较佳地，步骤S205中还包括：本地认证服务器55在将AA消息发给第二翻译代理服务器57的同时，也发送AA消息给外地认证服务器54；外地认证服务器54收到AA消息后将其转发到第一翻译代理服务器56。

步骤S206，所述第二翻译代理服务器57与家乡代理服务器53之间通讯。具体地，第二翻译代理服务器57将翻译生成的HAR消息发送给家乡代理服务器53。

家乡代理服务器53将发送注册回复消息，该消息将被发回给移动节点51，完成注册。下面详细描述该过程。

较佳地，本发明的兼容方法还包括对家乡代理服务器53的注册回复消息进行处理的步骤：

步骤S207，对家乡代理服务器发出的注册回复消息进行处理并发回给移动节点，完成注册。具体包括如下步骤，为了方便阅读采用步骤S205’-S201’的顺序描述：

步骤S205’，家乡代理服务器53是运行DIAMETER协议的客户端，它根据HAR息对移动节点51的注册请求进行处理，然后回复HAA消息给第二翻译代理服务器57。

步骤S204’，第二翻译代理服务器57收到HAA息后将HAA消息中的MIP-Reg-Reply AVP转发给第一翻译代理服务器56。

步骤S203’，第一翻译代理服务器56收到MIP-Reg-Reply AVP后，使用MIP-Reg-Reply AVP和之前步骤S205收到的AA消息生成AMA消息，发送给外地代理服务器52。

步骤S202’，外地代理服务器52收到AMA消息后使用其中的安全相关信息建立外地代理服务器52与移动节点51、外地代理服务器52与家乡代理服务器53的MSA并且发送RRP消息给移动节点51。

步骤S201’，移动节点51收到RRP消息，完成注册。

如图5所示，一种基于RADIUS和DIAMETER协议的移动IP应用的系统，包括：

外地代理服务器52，与移动节点51进行通讯，用于代理移动节点51接入网络；

第一翻译代理服务器56，设置在所述外地代理服务器52和外地认证服务器54之间，用于将RADIUS和DIAMETER协议的消息格式进行相互翻译；

外地认证服务器54，用于通过所述第一翻译代理服务器56与所述外地代理服务器52进行通讯。

较佳地，该系统还包括本地认证服务器55与所述外地认证服务器54进行通讯，用于对所述移动节点51进行验证。

较佳地，该系统还包括：第二翻译代理服务器57，用于将RADIUS和DIAMETER协议的消息格式进行相互翻译；和家乡代理服务器53，通过所述第二翻译代理服务器57与所述本地认证服务器进行通讯；所述第一和第二翻译代理服务器之间通讯。

所述外地代理服务器52和家乡代理服务器53是运行DIAMETER协议的客户端服务器，所述外地认证服务器54和本地认证服务器是运行RADIUS协议的服务器。

所述第一和第二翻译代理服务器将RADIUS和DIAMETER协议的消息格式进行相互翻译的方法同实施例1。

实施例3

为了本发明的目的，当外地认证服务器(AAAF)和本地认证服务器(AAAH)运行不同的AAA协议时，本发明提供实施例3。本发明的实施例3是在实施例1(或2)的基础上在外地认证服务器和本地认证服务器之间再设置第三翻译代理服务器，用于将外地认证服务器和本地认证服务器之间的两种AAA协议消息相互翻译，其他步骤与实施例1(或2)相同。

相应于本实施的兼容方法，一种基于RADIUS和DIAMETER协议的移动IP应用的系统，包括：

外地代理服务器，与移动节点进行通讯，用于代理移动节点接入网络；

外地认证服务器，与所述外地代理服务器进行通讯；

本地认证服务器，通过第三翻译代理服务器与所述外地认证服务器进行通讯；所述第三翻译代理服务器用于将RADIUS和DIAMETER协议的消息格式进行相互翻译。

较佳地，该系统还包括：家乡代理服务器，与所述本地认证服务器进行通讯。

较佳地，如果所述外地代理服务器与所述外地认证服务器运行不同的AAA协议，则该系统还包括：第一翻译代理服务器，所述外地代理服务器通过所述第一翻译代理服务器与所述外地认证服务器进行通讯；所述第一翻译代理服务器用于将RADIUS和DIAMETER协议的消息格式进行相互翻译。

较佳地，如果所述家乡代理服务器与所述本地认证服务器运行不同的AAA协议，则该系统还包括：第二翻译代理服务器，所述家乡代理服务器通过该第二翻译代理服务器与所述本地认证服务器进行通讯，所述第二翻译代理服务器用于将RADIUS和DIAMETER协议的消息格式进行相互翻译。

所述第一、第二和第三翻译代理服务器将RADIUS和DIAMETER协议的消息格式进行相互翻译的方法同实施例1。

实施例4

附图7为实现本发明的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法的另一个实施例的网络拓扑图，这个实施例的场景是移动节点71位于家乡域，直接向家乡代理服务器72注册。其中家乡代理服务器72是运行RADIUS协议的客户端，本地认证服务器74是运行DIAMETER协议的服务器，在AAA系统的客户端(即家乡代理服务器72)和AM系统的服务器(本地认证服务器74)之间引入翻译代理服务器(TA)网络实体，即在家乡代理服务器72和家乡认证服务器74之间引入翻译代理服务器73。本实施例的消息流程见附图8。结合附图7和8，本发明的基于RADIUS和DIAMETER协议的移动IP应用的兼容方法包括如下步骤：

步骤S401，移动节点71与接入服务器72之间通讯；

即移动节点71发送RRQ消息给家乡代理服务器72。

步骤S402，接入服务器72与翻译代理服务器73之间通讯，所述翻译代理服务器73将RADIUS和DIAMETER协议的消息格式进行相互翻译；

家乡代理服务器72是运行RADIUS协议的客户端，收到RRQ消息后应当生成AR消息发送给本地认证服务器74，为此，家乡代理服务器72首先将AR消息发送给翻译代理服务器73。翻译代理服务器73根据家乡代理服务器72发来的AR消息，将AR消息翻译为DIAMETER协议的AMR消息。

步骤S403，翻译代理服务器73与认证服务器74之间通讯；

即翻译代理服务器73将AMR消息发送给本地认证服务器74。本地认证服务器74是运行DIAMETER协议的服务器，收到AMR后会根据AMR中的信息对移动节点71进行验证，验证通过后应当生成AMA消息回复给家乡代理服务器72。为了把生成的AMA消息回复给家乡代理服务器72，并完成注册，该实施例的方法还包括：

步骤S404，认证服务器74向翻译代理服务器73发送消息；

即本地认证服务器74将生成的AMA消息发送给翻译代理服务器73，所述的翻译代理服务器73将RADIUS和DIAMETER协议的消息格式进行相互翻译；

由于家乡代理服务器72是运行RADIUS协议的客户端，因此翻译代理服务器73将收到的AMA消息翻译为对应的RADIUS消息AA。

步骤S405，翻译代理服务器73与家乡代理服务器72通讯；

翻译代理服务器将生成的AA消息发送给家乡代理服务器72。所述的家乡代理服务器是运行RADIUS协议的客户端，收到到AA消息后需要生成RRP消息并发给移动节点71。

步骤S406，家乡代理服务器72与移动节点71之间通讯；

家乡代理服务器72发送RRP消息给移动节点71，完成移动节点的注册过程。

如图7所示，一种基于RADIUS和DIAMETER协议的移动IP应用的系统，包括：

家乡代理服务器72，与移动节点71进行通讯，用于代理移动节点71接入网络；

翻译代理服务器73，设置在所述家乡代理服务器72和本地认证服务器74之间，用于将RADIUS和DIAMETER协议的消息格式进行相互翻译；

本地认证服务器74，通过所述翻译代理服务器73与所述家乡代理服务器32进行通讯。

所述家乡代理服务器72和所述本地认证服务器74的其中之一运行RADIUS协议，另一个运行DIAMETER协议。例如，所述家乡代理服务器72是运行RADIUS协议的客户端服务器，所述本地认证服务器74是运行DIAMETER协议的服务器。

通过对上述实施方式的详细描述可见，本发明可以通过在网络中设置翻译代理服务器网络实体，在不改变原先的网络结构和网络实体的功能的情况下，达到兼容RADIUS和DIAMETER协议的移动IP应用的目的。

本发明的有益效果：

通过采用本发明所述的方案，不仅能够使运行不同AAA协议的网络实体协同工作，而且由于采用DIAMETER协议移动IP的流程，使得RADIUS协议的网络实体的注册和认证流程合二为一，提高了效率。

本发明的技术方案完全符合RADIUS和DIAMETER协议移动IP应用所描述的网络结构，在不改变原先的网络结构和网络实体功能的前提下，只用引入很少的网络实体，就可以实现RADIUS和DIAMETER协议的网络实体的兼容，使得RADIUS协议向DIAMETER协议的过度更加平稳。

以上所述内容，仅为本发明具体的实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围内。