11 Número de publicación: Int. Cl. 7 : H04L 29/06

Transcripción

1 19 OFICINA ESPAÑOLA DE PATENTES Y MARCAS ESPAÑA 11 Número de publicación: Int. Cl. 7 : H04L 29/06 12 TRADUCCIÓN DE PATENTE EUROPEA T3 86 Número de solicitud europea: Fecha de presentación: Número de publicación de la solicitud: Fecha de publicación de la solicitud: Título: Un método, un servidor de acceso a red, un servidor de autenticación-autorización-contabilidad y un producto de programa de ordenador para apoderar mensajes de autenticación-autorización-contabilidad de usuario vía un servidor de acceso a red. 73 Titular/es: ALCATEL 4, rue La Boétie 7008 Paris, FR 4 Fecha de publicación de la mención BOPI: Inventor/es: Van Ackere, Michel y Focant, Stéphane 4 Fecha de la publicación del folleto de la patente: Agente: Díez de Rivera y Elzaburu, Ignacio ES T3 Aviso: En el plazo de nueve meses a contar desde la fecha de publicación en el Boletín europeo de patentes, de la mención de concesión de la patente europea, cualquier persona podrá oponerse ante la Oficina Europea de Patentes a la patente concedida. La oposición deberá formularse por escrito y estar motivada; sólo se considerará como formulada una vez que se haya realizado el pago de la tasa de oposición (art del Convenio sobre concesión de Patentes Europeas). Venta de fascículos: Oficina Española de Patentes y Marcas. C/Panamá, Madrid

2 DESCRIPCIÓN Un método, un servidor de acceso a red, un servidor de autenticación-autorización-contabilidad y un producto de programa de ordenador para apoderar mensajes de autenticación-autorización-contabilidad de usuario vía un servidor de acceso a red. Campo de la invención La presente invención está relacionada con el suministro de un acceso a red para al menos una red privada virtual. Más en particular, la presente invención está relacionada con métodos, con un servidor de acceso a red, un servidor de autenticación-autorización-contabilidad, y productos de software de ordenador transferir los mensajes de autenticación-autorización-contabilidad del usuario a través de un servidor de acceso a red. Antecedentes Los proveedores de servicios de Internet (ISP) y las compañías telefónicas (Telcos) ofrecen típicamente el acceso a Internet global y el acceso a Internet individualizado para sus abonados. El acceso global se ofrece típicamente a proveedores de servicios subsidiarios y especializados, portadores e intercambio locales competitivos, corporaciones y a la comunidad de proveedores de interés. La información de abonado para los abonados/usuarios globales individuales se almacena usualmente por aquellos que alquilan el acceso a red de comunicaciones a partir del ISP o Telco. En consecuencia, las corporaciones, soportes de intercambio local competitivos, y la comunidad de proveedores de interés no comparten normalmente su información de abonado/usuario con los proveedores globales. El ISP o Telco, no obstante, tienen típicamente también sus propios abonados particulares, cuya información de abonado/usuario se almacena en sus bases de datos. En consecuencia, el ISP o Telco deberá identificar un abonado /usuario entrante como un usuario global o particular e iniciar distintas acciones para un usuario entrante basándose este estado de condiciones. El entorno individualizado puro tiene varios servidores de acceso a la red (NAS) A2, mostrado en la figura 1, que proporciona portales de comunicaciones de datos al punto de presencia ISP (PoP) en la red de comunicaciones de datos A3. Cada NAS A2 se encuentra en comunicación con un servicios convencional de autenticación-autorizacióncontabilidad (servicio AAA) A4 mantenido por el ISP. Los usuarios entrantes se conectan a los NAS mediante la marcación a través de una red telefónica o de otra forma convencional. Procedimiento de acceso a red Con el fin de conseguir el acceso a la red de ordenadores A3, tal como a la WWW (red mundial), o Internet, o una red de Intranet privada, el usuario marcará primeramente o bien se conectará con un NAS A2. Los NAS sirven como una puerta entre la red de ordenadores y el usuario. Como un umbral, el NAS 2 tiene que autenticar la identidad del abonado con el fin de verificar la naturaleza y alcance de los servicios que proporcionará. Por supuesto, si la red está diferenciada en áreas públicas que son accesibles a todos los abonados en general, y áreas privadas que son accesibles solo para los abonados autorizados, entonces la identidad del usuario es particularmente importante. La autenticación-autorización-contabilidad en el contexto de la red es un sistema y método para controlar los recursos de ordenadores a los cuales han tenido acceso los usuarios y para mantener el seguimiento de la actividad de los usuarios a través de una red. La autenticación es el proceso de identificar un individuo, basado en particular en un nombre de usuario y en una contraseña. La autenticación está basada en la idea de que cada usuario individual tendrá una información exclusiva que le configure como apartado de otros usuarios. La autorización es el proceso de conceder o denegar el acceso del usuario a los recursos de la red una vez que el usuario haya sido autenticado a través del nombre de usuario y de la contraseña. La cantidad de información y la cantidad de servicios a los que el usuario tiene acceso dependen del nivel de autorización del usuario. La contabilidad es el proceso para mantener el seguimiento de la actividad del usuario, mientras que está accediendo a los recursos de la red, incluyendo la cantidad de tiempo gastado en la red, y a los servicios con acceso y de la cantidad de datos transferidos durante la sesión. Los datos de contabilidad se utilizan para el análisis de las tendencias, planificación de la capacidad, facturación, auditoria y asignación de costos. Los servicios de AAA requieren con frecuencia un servidor que esté dedicado a proporcionar los tres servicios. En esta descripción, el término autenticación-autorización-contabilidad se utiliza para el procedimiento de autenticación, el procedimiento de autorización, o el procedimiento de contabilidad. Se observará que los tres procedimientos no necesitan que tengan lugar en forma conjunta obligadamente. El procedimiento de autenticación incluye generalmente a dichos servidores, denominados de ahora en adelante como el servidor de autenticación-autorización-contabilidad (servidor de AAA) A4, según se muestra en la figura 1. El NAS A2 es un cliente del servidor de AAA, el cual puede atender a varios NAS clientes de forma simultánea. El NAS y el servidor de AAA A4 se comunican entre sí de acuerdo con un protocolo estándar de Internet, tal como el protocolo del Servicio de Usuario de Marcación de Autenticación Remota, desarrollado por Livingston Enterprises, de Pleasanton, California. La descripción del procedimiento de autenticación que sigue a continuación está basada en el protocolo RADIUS, aunque no esta limitada a ningún protocolo específico. Típicamente, el usuario comienza su sesión en la red mediante el lanzamiento primeramente de una aplicación de 2

3 marcación en su ordenador personal o terminal A1 que invita el usuario a introducir alguna forma de identificación del usuario, tal como el nombre del usuario, y una contraseña privada. Dicha información puede ser almacenada también y suministrada automáticamente en un PC. La aplicación de la marcación contacta con un NAS A2, por ejemplo, a través del módem y por la línea telefónica, y proporciona al NAS la información del usuario introducida. Los datos de la contraseña se encriptan usualmente utilizando métodos bien conocidos para los técnicos especializados en el arte. El NAS A2 prepara entonces y envía un paquete de petición de acceso al servidor de AAA A4. El paquete de la petición de acceso contiene los datos introducidos por el usuario, así como también datos adicionales de identificación del cliente NAS en particular desde el cual se envió el paquete. El servidor de AAA A4 contiene (o tiene acceso) a una base de datos de información de las cuentas de cada abonado, incluyendo los nombres de usuario, contraseñas encriptadas y demás información de la configuración, detallando el tipo de servicio a proporcionar a cada usuario. Cuando el servidor de AAA A4 recibe un paquete de petición de acceso desde un cliente NAS autorizado, consulta su base de datos de los abonados para encontrar la entrada de la cuenta del usuario identificado mediante la información contenida en el paquete de petición de acceso. La entrada de la cuenta especificará frecuentemente los requisitos que tienen que cumplirse con el fin de que el usuario tenga acceso a la red, incluyendo la información sobre los clientes y los puertos en la red, para los cuales tiene acceso el usuario. Si las contraseñas coinciden, y se cumplen todos los demás requisitos, entonces el servidor de AAA A4 envía al NAS A2 en respuesta un paquete de aceptación de acceso. El paquete de aceptación del acceso contiene los datos de configuración que permitan al NAS A2 el proporcionar el servicio deseado al usuario. Si no se cumple cualquier requisito, entonces el servidor de AAA A4 responde con un paquete de denegación de acceso, indicando que no es válida la petición del usuario. El paquete de denegación de acceso puede contener también mensajes de texto que pueden ser suministrados al usuario mediante el NAS A2. Incluso si se cumplen todos los requisitos, el servidor de AAA A4 denegará el acceso inmediato al usuario, y en su lugar emitirá un paquete de intento de acceso que invitará al usuario a introducir nueva información antes de que se conceda finalmente el acceso. Con el fin de que el usuario comunique con la red, al usuario se le asignará una dirección IP. Las direcciones IP de usuario se asignan usualmente en forma dinámica, significando que una dirección IP de usuario puede cambiar de sesión en sesión. La dirección IP puede ser asignada bien por el servidor de AAA A4, o por el NAS A2. Una vez que se haya asignado al usuario la dirección IP, el usuario queda registrado en el NAS y puede comenzar su sesión en la red. Después de autorizar la entrada del usuario, el NAS envía un paquete de inicio de contabilidad al servidor de AAA A4, conteniendo información con respecto, por ejemplo, a la hora a la que comienza la sesión del usuario, o bien otros datos administrativos y contables, que pueden ser almacenados en la base de datos del servidor de AAA. Procedimiento de acceso distribuido a la red Tal como se expone en el documento US de los ISP y servicios de itinerancia, los proveedores ofrecen el acceso a la red a través de una técnica denominada como transferencia de autenticación. La transferencia incluye la transferencia de la responsabilidad de la autenticación al propietario del abonado. Así pues, si una corporación tuviera que entregar para su explotación su red Intranet de la corporación a un ISP, lo que cederá es el mantenimiento de sus servidores de marcación (es decir, los NAS). No obstante, no necesita normalmente ceder el control o la información de sus empleados. En consecuencia, cuando un usuario de la corporación marca en dicho servidor de acceso a la red del ISP, el usuario percibe esencialmente que está marcando en una instalación de la corporación mientras que esté marcando en curso en el dominio del ISP y obteniendo de alguna forma la admisión en la red de Intranet de la corporación. En el documento US se expone una arquitectura distribuida para suministrar el acceso a la red en un sistema de comunicaciones mediante la autenticación y autorización local de las peticiones de acceso. Lo que sucede realmente en dicho escenario es que el ISP determina que el usuario pertenece a una red privada virtual (VPN) mediante el análisis del nombre de dominio totalmente cualificado (FQDN) suministrado al usuario, un servicio de información del numero marcado (DNIS), o algún otro mecanismo, mostrado en la figura 2. Habiendo determinado que el usuario está tratando de tener acceso perteneciente a una VPN dedicada, el ISP no puede autenticar realmente al usuario. En consecuencia, el ISP transferirá la transacción de autenticación a la corporación. Un servicio AAA dentro de la corporación identificará entonces al usuario, verificando la contraseña, y suministrará el usuario. A continuación el servidor de AAA notificará al servidor de transferencia del ISP que el usuario es aceptable y que pasa conjuntamente con la provisión de detalles asociados con el usuario. El ISP concede entonces el acceso al usuario en la red basándose en la respuesta que obtiene de retorno a la corporación. Esta técnica se denomina transferencia. En consecuencia, sería deseable proporcionar una capacidad para permitir que los ISP y Telco ofrezcan sin interferencias un acceso a la red de comunicaciones en forma global y en forma individualizada, unificando los distintos sistemas que están especializados en los segmentos de control de acceso y poner a escala ambos sistemas para residir simultáneamente en una pluralidad de PoP mientras que se comporten de una forma distribuida dentro de la red de comunicaciones. 3

4 Redes privadas Un tema significativo de los dominios privados y públicos individuales que conforman Internet o bien cualquier otro sistema, incorporando múltiples redes, es la capacidad para asegurar que solo aquellos usuarios que estén autorizados a tener acceso a los dominios privados y públicos individualizados dentro de la red completa tendrán la capacidad de acceder a dichas redes. Se plantean serios riesgos de seguridad por la posibilidad de que existan usuarios no autorizados que tengan conocimiento de la técnica y capacidad para invadir los dominios privados y públicos dentro de la red. En el entorno de la interconexión de redes actual, existen muchos sitios de dominios de propiedad privada principalmente, que permiten el acceso solo a aquellos individuos que tengan concedida la autorización apropiada. Por ejemplo, estos pueden incluir dominios privados de propiedad de compañías que contengan información confidencial, y como tales, la compañía puede garantizar el acceso solo a aquellos empleados por la compañía, o bien pueden ser comunidades de interés (es decir, sitios de pago ) que proporcionen información solo a aquellos usuarios que estén abonados al dominio de propiedad privada. El usuario que se conecta con Internet, típicamente por medios de un ISP o Telco, puede tener también la capacidad para realizar numerosas conexiones concurrentes a estos sitios de dominios seguros y de propiedad privada. Al utilizar una autenticación externa en los escenarios de los servidores de acceso a la red en curso, el NAS ejecuta directamente su operación basándose en la información que es retornada desde el servidor externo de autenticaciónautorización-contabilidad. Esto requiere que el servidor de AAA C7 direccionado deberá ser capaz de retornar la información necesaria al NAS C2, es decir, al menos con una conexión a la red, mostrada en la figura 3. Pero el servidor de AAA C7 no necesita ser siempre el que sea el responsable real para la autenticación de un usuario que solicite una configuración de la conexión. En dicho caso, normalmente, el servidor de AAA C7 direccionado transfiere la información de la petición de configuración de la conexión al servidor de AAA C8 responsable, el cual retorna la información necesaria a los mismos, para su envío al NAS C2. En tanto que el servidor de AAA C7 direccionado y el servidor de AAA C8 se encuentren en el mismo dominio administrativo, es decir, conectados, esta solución técnica será la apropiada. No obstante, cuando el servidor de AAA direccionado y el servidor de AAA responsable se encuentren en diferentes dominios administrativos (competitivos), que será el caso realmente en muchos escenarios NAS, la conexión de red entre los servidores AAA (en cualquiera sea la forma) que se precise para intercambiar información entre los mismos, no será justificable a nivel de negocios para la seguridad y por razones privadas. En consecuencia, deberá existir una forma de enviar la información de petición de configuración de la conexión al servidor de AAA responsable sin la necesidad de una conexión de red entre el servidor de AAA direccionado inicialmente y el servidor de AAA responsable. Objetos y ventajas de la invención Es un objeto y ventaja de la presente invención el proporcionar la autenticación-autorización-contabilidad del usuario dentro de una petición de acceso en un entorno de red con los VPN accesibles desconectados independientes mediante un NAS compartido, en donde las VPN no precisan de una conexión de red entre los servidores AAA, además de estar conectados al mismo NAS. Como consecuencia, la configuración resultante es menos compleja para su mantenimiento operacional, y dando lugar a una operación menos sujeta a errores. Otra ventaja de la presente invención es proporcionar información AAA de los sitios de dominios privados sin compartir o intercambiar explícitamente la información AAA entre los servidores AAA o VPN para impedir el acceso no autorizado al sitio de dominio seguro. Una ventaja adicional de la presente invención es que una vez que esté configurada la conexión, el servidor de AAA direccionado inicialmente puede retirarse de la imagen, lo cual da lugar un peligro reducido de un cuello de botella (a nivel técnico) y a una forma más aceptable de realizar la autenticación-autorización- contabilidad (a nivel de negocios). Otra ventaja incluso de la presente invención es que el mecanismo de transferencia NAS-AAA permite una mayor flexibilidad, independientemente del escenario NAS y siendo tolerante a fallos con respecto a los enrutamientos erróneos. Breve descripción de la invención 6 En lugar de tener el servidor de AAA direccionado a cargo de la autenticación del usuario y dirigiendo por tanto la operación del servidor de acceso a la red, el servidor de AAA direccionado, en una primera etapa, dirige parcialmente la operación del servidor de acceso a la red, es decir, forzando al NAS para seleccionar la configuración correcta para alcanzar a un servidor de AAA responsable, mientras que el servidor de AAA responsable, en una segunda etapa, ejecute la autenticación real del usuario y la dirección decisiva de la operación del servidor de acceso a la red. 4

5 Los anteriores objetos mencionados y muchos otros objetos y ventajas de la presente invención llegarán a ser evidentes a los técnicos especializados en el arte a partir de la consideración de los dibujos y siguiendo la descripción Breve descripción de la figuras La figura 1 es un dibujo esquemático de una red del arte previo en la que un terminal se conecta a través de un servidor de acceso a la red y en donde la red tiene su servidor de autenticación-autorización-contabilidad. La figura 2 es un dibujo esquemático de una red del arte previo en donde un terminal se conecta a través de un servidor de acceso a la red y en donde la red tiene un servidor de autenticación-autorización-contabilidad de tipo distribuido (transferencia). La figura 3 es un dibujo esquemático de acuerdo con el arte previo de dos redes privadas virtuales conectadas, en donde un terminal se conecta a través de un servidor de acceso a la red y en donde la primera red privada tiene un servidor de transferencia de autenticación-autorización-contabilidad. La figura 4 es un dibujo esquemático de dos redes privadas virtuales independientes (desconectadas), en donde un terminal se conecta a través de un servidor de acceso a la red y en donde cada red privada tiene su servidor de autenticación-autorización-contabilidad. La figura es un diagrama de ayuda que muestra una invocación al servidor de autenticación-autorización-contable mostrando las acciones y la mensajería cuando un terminal se conecta a través de un servidor de acceso a red con una red. Descripción detallada de la invención Todos los técnicos especializados en el arte observarán que la siguiente descripción de la presente invención es solamente ilustrativa, y que no tiene por objeto ser una limitación de la misma en ninguna de sus formas. Otras realizaciones de la invención serán autoexplicativas a dichas personas especializadas a partir del examen de la exposición. La figura 1 muestra un terminal o cliente usuario A1, un servidor de acceso a la red (NAS) A2, una red A3 y un servidor de autenticación-autorización-contabilidad (servidor de AAA) A4. El terminal A1 está conectado al NAS A2. El NAS A2 en sí está conectado con la red A3 y especialmente con el servidor de AAA A4. La imagen muestra el escenario más simple de acceso a la red, en el que un terminal A1 está conectándose a través de un NAS A2 a la red A3, en la que la autenticación-autorización-contabilidad se ejecuta por un servidor de AAA A4 que controla el NAS A2. La figura 2 muestra un terminal o cliente usuario B1, en el NAS B2, una red B3, un dispositivo de transferencia AAA B4, y un primer servidor de AAA B y un segundo B6, El terminal B1 está conectado con el NAS B2. El NAS B2 en sí mismo está conectado con la red A3 y especialmente con el dispositivo de transferencia AAA A4. Los servidores AAA B, B6 están conectados al dispositivo de transferencia AAA B4 en la red B3. La imagen muestra un escenario de acceso a la red con un servidor de AAA de transferencia. El terminal B1 está conectándose por medio del NAS B2 a una red B3, en la que el dispositivo de transferencia AAA B4 transfiere los mensajes de autenticación-autorización-contabilidad, controlando el NAS B2. La figura 3 muestra un terminal o cliente usuario C1, un NAS C2 que comprende dos encaminadores virtuales C3, C4, dos redes virtuales privadas (VPN) C, C6, un dispositivo de transferencia AAA C7, y un servidor de AAA C8. El terminal C1 está conectado al NAS C2 y a cada encaminador virtual C3, C4. El encaminador virtual C3 está conectado al VPN C y especialmente al dispositivo de transferencia AAA C7. El encaminador virtual C4 está conectado al VPN C6 y especialmente al servidor de AAA C8. Ambos VPN C, C6 están conectados con una conexión C9; especialmente el dispositivo de transferencia AAA C7 y el servidor de AAA C8 que están conectados por medio de la conexión C9. 6 La imagen muestra un escenario de acceso a la red con un servidor de AAA de transferencia, en donde la transferencia AAA se ejecuta por una conexión C9 entre dos VPN, C, C6. El terminal A1 está en conexión con VPN C6 por medio de un NAS C2. El dispositivo de transferencia AAA C7 contenido en los dispositivos de transferencia VPN C transfiere la autenticación-autorizacion-contabilidad para el acceso a la VPN C6, controlando el NAS C2. El dispositivo de transferencia AAA C7 se consigue alcanzar a través del encaminador virtual C3 y se encuentran transfiriendo la información de contabilidad desde el servidor de AAA C8 a través de la conexión C9. La figura 4 muestra un terminal o cliente usuario D1, un NAS D2 que comprende dos encaminadores virtuales D3 y D4, dos VPN separados, D y D6, y dos servidores AAA, D7 en VPN D y D8 en VPN D6.

6 El terminal D1 está conectado al NAS D2 y en el mismo a cada encaminador virtual D3, D4. El encaminador virtual D3 está conectado al VPN D y especialmente al servidor de AAA D7 del VPN D. El encaminador virtual D4 está conectado al VPN D6 y especialmente al servidor de AAA C8 del VPN D6. Ambos VPN C, C6 están separados/desconectados. La imagen muestra un escenario de acceso a la red en donde el servidor de AAA de transferencia parece que sea imposible debido al hecho de que los VPN D, D6 están separados/desconectados. Es objeto de la invención el permitir la transferencia a través del NAS D2. Supóngase que un terminal D1 está en conexión con el VPN D6 a través de un NAS D2 y en donde el NAS D2 invoca al servidor de AAA D7 para la autenticación- autorización-contabilidad a través del encaminador virtual D3. Pero el servidor de AAA D7 no es responsable del VPN D6. El servidor de AAA D7 informa al NAS D2 de que el NAS deberá utilizar el encaminador virtual D4 para contactar con el servidor de AAA responsable D8 para la autenticaciónautorización-contabilidad. La figura muestra una diagrama de ayuda de acuerdo con la figura 4, consistiendo también el terminal o cliente usuario D1, el NAS D2 que comprende en si los dos encaminadores virtuales D3, D4, conectados cada uno a los servidores AAA D7, D8, respectivamente. Se envía una petición de configuración de conexión (1) desde el terminal D1 al NAS D2. El NAS utiliza el encaminador virtual D3 para invocar al servidor de AAA D7 par enviar la información de la configuración de conexión (2) al servidor de AAA D7. Pero en el escenario el servidor de AAA D7 parece no ser responsable de la autenticaciónautorizacion-contabilidad del usuario. El servidor de AAA D7 solo dirige parcialmente (3) el NAS D2, y proporciona información sobre lo que el servidor de AAA y el encaminador virtual tiene que ser utilizado. En el escenario, el NAS D2 utiliza el encaminador virtual D4 para invocar al servidor de AAA D6 mediante el envío de la configuración de la conexión (4) al mismo. El servidor de AAA responde con una respuesta de acceso () que permite al NAS D2 finalizar la conexión del terminal (6). En una realización preferida actual de la presente invención se exponen métodos en donde el servidor de AAA, un NAS, productos de software de ordenador para la autenticación-autorización-contabilidad capaces de tener un servidor de AAA direccionado D7, D8 se encuentren a cargo de la autenticación del usuario, y consecuentemente puedan dirigir la operación del servidor de acceso de la red. El servidor de AAA direccionado D7, en una primera etapa, dirige parcialmente la operación del servidor de acceso a la red, es decir, forzando el NAS D2 a que seleccione una configuración para alcanzar un servidor de AAA D8 responsable, mientras que el servidor de AAA D8, en una segunda etapa, ejecuta la autenticación real del usuario y la dirección decisiva de la operación del servidor de acceso a la red. El usuario, es decir, el terminal D1, envía su información de petición de configuración de conexión a un servidor de AAA D7(direccionado), por ejemplo en la forma VPN_USUARIO@VPN_DOMINIO conjuntamente con VPN_CONTRASEÑA. A partir de esta información, el servidor de AAA D7 direccionado aprende a que no puede autenticar de por sí al usuario si no tiene la información de abonado correspondiente. Conoce además (como encontrarlo) que el servidor de AAA responsable se encuentra en VPN_DOMINIO VPN D6. Existe un servidor de AAA D8 responsable que autentica a los usuarios en su VPN_DOMINIO VPN D6. El VPN_DOMINIO está asociado con un encaminador virtual específico D4 en el NAS D2 y el servidor direccionado inicialmente AAA D7 podría conocer esta información o bien la información podría ser recuperada mediante un procedimiento distribuido de prueba y error, que se describe en forma resumida más adelante. Cuando el servidor direccionado AAA D7 no puede autenticar al usuario, dirige parcialmente al NAS D2 de la forma siguiente: primeramente da orden al NAS D2 para seleccionar el encaminador virtual (derecho) D4, correspondiente al VPN_DOMINIO. Comunica al NAS D2 que la autenticación no ha sido finalizada todavía, de forma que el encaminador virtual no asigne una dirección IP de usuario todavía, y que el mensaje contable no puede ser enviado todavía desde el NAS D2 al servidor direccionado AAA D7. A continuación, el servidor de AAA D7 y el NAS D2 comprueban que la información de petición de configuración de la conexión se haya enviado al encaminador virtual seleccionado D4 al servidor responsable AAA D8 en el VPN_DOMINIO, por ejemplo, el servidor direccionado AAA D7 puede enviar esta información de por sí mismo, a través de los encaminadores virtuales NAS D3, D4, disparando el NAS D2 para enviar la petición de configuración de conexión (memorizada) al servidor responsable AAA D8, o dar orden al cliente usuario (terminal D1) para que repita la petición de configuración de la conexión, la cual será enrutada hacia el servidor responsable AAA D8. El servidor responsable AAA D8 recibe entonces la petición de configuración de conexión a través del encaminador virtual seleccionado D4, por ejemplo, en la forma VPN_USUARIO@VPN_DOMINIO conjuntamente con VPN_CONTRASEÑA. A partir de esta información, el servidor responsable AAA D8 aprende a que puede autenticar al usuario, por ejemplo, mediante el reconocimiento del VPN_DOMINIO. En consecuencia, el encaminador virtual D4 a seleccionar es aquel con el que esté asociado el servidor de AAA responsable D8. El servidor de AAA responsable conocerá esta información. El servidor responsable AAA D8 autenticará entonces el usuario en el VPN_DOMINIO y confirmará el encamina- 6

7 1 2 dor virtual D4. El servidor responsable AAA D8 finaliza la dirección del NAS D2 de la forma siguiente: Dará ordenes al NAS D2 para que seleccione el encaminador virtual correcto D4 correspondiente al VPN_DOMINIO VPN D6, e informará al NAS D2 de que la autenticación ha terminado ya, de forma que de forma que el encaminador virtual D4 asignará, por ejemplo, una dirección IP, y se enviará un mensaje de contabilidad desde el NAS D2 al servidor responsable AAA D8, y opcionalmente, al servidor direccionado inicialmente AAA D7 para la memorización, etc. Después, la conexión se configura y el servidor responsable AAA D8 o el servidor direccionado inicialmente AAA D7 en el caso de una transferencia real, permanecen a cargo hasta que ser reciba el mensaje contable que informa de la conexión conseguida. Si el primer AAA no es capaz de identificar una configuración de un servidor responsable AAA, podría forzar al NAS en una configuración por defecto, para invocar otro servidor de AAA en otra red privada virtual. Si incluso un segundo servidor de AAA invocado no es responsable, se podría repetir un juego de prueba y error hasta que se identifique el servidor correcto AAA. El servidor direccionado AAA o incluso el propio servidor de acceso a la red podría opcionalmente memorizar la información recogida sobre las configuraciones del NAS. Realizaciones alternativas Aunque aquí se han descrito y se han mostrado realizaciones ilustrativas preferidas actualmente, son posibles muchas variaciones y modificaciones. Por ejemplo, la invención puede utilizarse con cualquier tipo de invocación del servicio, además del servidor de AAA y de un NAS, no precisando de limitación para interpretar las configuraciones de los encaminadores virtuales o servidores AAA. Alternativamente, cualquier servicio, por ejemplo, el servicio del nombre del dominio, accesible a través de un NAS provisto en un entorno de red de acuerdo con la figura 4, podría transferir por medio del NAS. De forma similar, no solo el NAS podría proporcionar esta funcionalidad de la transferencia. El método de la invención es aplicable (por separado) a todas las redes que estén acopladas mediante un dispositivo de enrutado o de conmutación

8 REIVINDICACIONES Un método para transferir mensajes de autenticación-autorización-contabilidad a través de un servidor de acceso a red (D2) en una entorno de red, que comprende al menos un servidor de acceso de red (D2) conocido como NAS, y al menos dos redes privadas virtuales (D, D6) conocidas como VPN, en las que una primera VPN (D) tiene su propio primer servidor (D7) de autenticación- autorizacion-contabilidad, conocido como servidor de AAA, y en el que una segunda VPN (D6) tiene su propio segundo servidor de AAA (D8), que comprende las etapas de: el mencionado NAS (D2) invoca (2) al mencionado primer servidor de AAA (D7) para la autenticaciónautorización-contabilidad del usuario, y cuando el mencionado primer servidor de AAA (D7) no sea responsable de la autenticación-autorización-contabilidad del usuario, el mencionado primer servidor de AAA (D7) dirige parcialmente la operación del NAS (D2) e identifica una configuración de un segundo servidor responsable AAA (D8), si esta información está disponible y, si esta información no está disponible, obliga al mencionado NAS (D2) a seleccionar o identificar una configuración para el segundo servidor responsable de AAA (D8) y el mencionado NAS (D2) invoca al mencionado segundo servidor de AAA (D8), basándose en la mencionada configuración, y este segundo servidor de AAA de (D6) ejecuta una autenticación-autorización-contabilidad de usuario real, y una dirección decisiva de la operación del NAS (). 2. Una red que transfiere mensajes de autenticación-autorización-contabilidad del usuario a través de un servidor de acceso a la red (D2), conocido como NAS, que comprende al menos un NAS (D2) y al menos dos redes privadas virtuales (D, D6), conocidas como VPN, en la que una primera VPN (D) tiene su propio primer servidor (D7) de autenticación-autorización-contabilidad, conocido como servidor de AAA, y en la que una segunda VPN (D6) tiene su propio segundo servidor de AAA (D8), en la que el mencionado al menos un NAS (D2) comprende medios para invocar al mencionado primer servidor de AAA (D7) para la autenticación-autorización-contabilidad del usuario, en la que si el mencionado primer servidor de AAA (D7) no es responsable de la autenticación-autorización-contabilidad del usuario, el mencionado primer servidor AAA (D7) dirige parcialmente la operación del NAS mediante la selección de una configuración para alcanzar a un segundo servidor de AAA responsable (D8), en la que el mencionado NAS (D2) invoca al mencionado segundo servidor de AAA (D8) basándose en la configuración, y el mencionado segundo servidor de AAA (D8) ejecuta una autenticación-autorización-contabilidad de usuario real y una dirección decisiva de la operación del NAS

9 9

10

11 11