CN101014958A - 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 - Google Patents
管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 Download PDFInfo
- Publication number
- CN101014958A CN101014958A CNA2005800303342A CN200580030334A CN101014958A CN 101014958 A CN101014958 A CN 101014958A CN A2005800303342 A CNA2005800303342 A CN A2005800303342A CN 200580030334 A CN200580030334 A CN 200580030334A CN 101014958 A CN101014958 A CN 101014958A
- Authority
- CN
- China
- Prior art keywords
- user
- authentication
- domain
- territory
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/41—User authentication where a single sign-on provides access to a plurality of computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
Abstract
公开了用于接入位于多个域的多个网络的单次登录。具体而言,单次登录特征是指在不同网络管理域之间执行的认证和授权处理,从而使得使用端点服务的终端在其每次接入新服务时不需要显式启动认证处理。本发明的单次登录特征可以被扩展用于联合域环境中和非联合域环境中。非联合域能够通过其它域形成非直接联合链,以利用本发明。因此,也覆盖了用于形成联合链的中间域的发现。在本发明中也覆盖了允许访问域执行认证的用户凭证的管理。
Description
技术领域
本发明涉及数据通信网络领域。特别地,其涉及移动电信网络中的接入控制,以获得更简单的跨域服务供应。通常,用户为了接入由不同管理域中的不同网络提供的服务而需要执行多次登录。本发明使得在直接或间接联合的多个域环境中的用户可以单次登录和接入所有这些网络提供的服务。而且,由于所提供的本特征,其可以用于快速切换以便于用户在任何时间转换到提供同样服务的网络。在允许多模式终端的环境中,本发明对于使该用户能通过单次登录处理接入通过所有网络接口的服务尤为有用。
背景技术
在当今世界,为了解决用于商业和消费者的网络身份管理的低效率和复杂化问题,存在对联合网络身份基础构造的强烈需求,该联合网络身份基础构造允许用户将他们账号间的身份要素链接起来,而不用集中存储他们所有的个人信息。当今的移动计算技术已使得用户终端可以接入其宿主域(HomeDomain)外的服务而不限于接入其宿主域内的服务。因而,多域接入可能需要用户终端订购(subscribe)多个网络提供商,对于用户来说保持这多个订购可能是相当麻烦的。对于总是忙碌且无论何时何地都需要接入移动服务的用户来说,其中用户只需要保持一个身份且不需要对其它外部域提供的服务进行显式注册的单次登录特征是非常有吸引力。
传统上,运用加密密钥管理的口令管理技术可以提供单次登录特征(例如,参考下面的专利文献1、2)。当前这样的已有应用之一是Kerberos。Kerberos是被设计为使用密钥加密技术为客户端/服务器应用提供坚固(strong)认证的网络认证协议。该Kerberos协议使用坚固的加密技术,从而客户端可以通过不安全的网络连接向服务器验证其身份,并且反之亦然。Kerberos可以提供开放网络环境中的单次登录和认证的平台。MicrosoftWindows2000操作系统是使用Kerberos用于单次登录目的的示例系统。然而,该单次登录服务只向操作系统之上的上层应用提供支持。仍然缺乏对用于多网络接口和多域的单次登录的支持。
当前,也存在许多其它正在进行的对提供联合网络身份基础构造以提供单次登录服务的研究。这些研究之一是Liberty Alliance项目,其关注于从多个服务提供商来提供分散的认证和授权。Liberty Alliance项目提到的服务提供商是向用户提供基于Web的服务的组织。在Liberty Alliance项目中没有解决用于多个网络接入技术的单次登录问题。
另一个这样的研究是Shibboleth项目,其关注于可被用于接入控制决定中的协同认证信息的安全交换。Shibboleth项目的目的在于创建支持可以进行接入控制的机构间内容共享(inter-institutional content sharing)的结构。类似于Liberty Alliance项目,Shibboleth没有解决用于多个网络接入技术的单次登录问题。
Liberty alliance项目和Shibboleth项目利用安全性确认标记语言(SecurityAssertion Markup Language,SAML)来获得单次登录的确认(assertion)查询。
联合网络身份基础构造具有许多优点,诸如:
·通过身份信息提供给终端用户更满意的在线经历,以及个性化、安全、和控制的新级别。
·使服务提供商能更容易地提供资源并提供对正确资源的接入。
·使商家创建与另一商家的新关系,以及实现更快、更安全以及更低成本的商业目的。
因而,跨越多个域的单个网络广泛接入管理将通过允许将接入权限信息分布到可信域并使该可信域执行某些接入管理工作而简化认证和授权处理。接入不同网络技术的单次登录特征对于多模式终端也是特别有用的,所述的多模式终端需要连接到以不同网络技术运行的不同设备。通过该特征,多模式终端在其每次接入通过不同底层网络连接的设备时不需要执行多点登录来接入这些不同的网络。当前的单次登录技术解决了接入应用资源的问题,但是缺乏支持用于接入底层网络技术的认证和授权的能力。
专利文献1:美国第6,243,816号专利
专利文献2:美国第5,684,950号专利
为了接入新的网络,用户将需要再次经历认证和授权处理。这两个处理通常包括终端和网络之间的几轮消息交换。尤其在该用户位于远离其宿主域的外部域中时,所导致的延迟将很大。对于某些实时应用来说,这类延迟在切换处理中将是不可接受的。因而,用更快的方式来认证用户进行接入服务是必要的。这在联合的多域环境中尤其必要,因为这些网络已具有可信的联系,并且要求该终端在每个网络中都经历认证将首先使建立联合的目的失败。
在当前的移动计算环境中,越来越多的终端具有多种接入技术,例如,无线LAN卡以及GPRS接口等。对于这些类型的终端,将希望其同时接入这多个网络。对于它们来说,在其拥有的每个接口执行登录将没有意义。使得能够接入所有这些接口的统一认证处理是它们的迫切需求。
现在,移动网络与其它网络已具有复杂的漫游协议。网络域联合也将产生网状物。例如,域A与域B及C联合,而域B及C都与域D联合。这将使域A间接地与域D链接。然后,域A将面对怎样发现其是否间接地与另一域连接起来的问题。这需要完善成熟的域发现方法。
发明内容
为了解决上述的问题,形成联合的网络域需要对预定接口和协议达成一致,以协作地处理来自终端的认证和授权请求。联合中的域将用户授权信息传播到服务于该用户终端的网络,从而缩短了后面的接入控制所使用的时间。
每次用户终端请求认证时,都将该联合中的网络域的其中一个挑选为锚点(anchor point)。该域将处理该请求,并通过与该终端的宿主域通信而相应地授权服务。由作为锚点的该域向该终端发布临时证书、用户令牌。随后,该终端可以使用该临时证书接入该联合中的域所提供的任何服务。提供该服务的局域网将只需要用另一个锚点域来检查该证书,该锚点域比其宿主域更靠近该终端。这简化并加速了接入处理。总的来说,该用户只需要提供其凭证(credential)一次,即只执行单次登录并且该用户能够接入不同域上的多个服务。这大大降低了为每次服务请求多次显示该用户身份的可能性,并且因而提供了更好的保护。
而且,通过向该用户发布令牌,不需要将网络具体服务控制信息在整个网络上传递。其使该网络更易于向该域联合用户引进新服务。局域网可以根据为该联合而设置的策略来作出服务供应的决定。
对于没有直接联合的域,在接入控制时发现该联合链中的其它域是重要的。为了解决该问题,服务于该终端的本地域将需要通过预定义的接口向其直接联合的所有域发出查询消息。如果接收到该消息的所有域直接联合到该宿主域,则它们将合作并将其自身标识到该本地域。这样,间接联合的域也可以向该用户提供单次登录服务。只有当该第一个用户进入没有与该宿主域直接联合的本地域时才进行这类发现。对于具有与第一个用户相同的宿主域的随后用户,可以重用在该发现处理中识别的路径。因而,该发现处理带来的开销将不影响整个系统的性能。
(本发明的操作)
当该终端第一次进入到域联合时(例如UMTS网络),将执行普通的认证处理。将向本地域的认证控制器提供用户凭证。该认证控制器将检查是否存在与该用户凭证相关的已有令牌。如果不存在,则其将调用位于该终端的宿主域上的接入控制权限(Access Control Authority)。然后,在该宿主域的接入控制权限将认证该请求,并用确认来回答在该本地域上的认证控制器。该确认将包括订购能力信息,以指示在该本地域的允许服务。
一旦接收到确认,该认证控制器将联系该相关的认证控制器,以为该用户发布用户令牌。该认证控制器也为其他的用途保存能力信息。一旦该用户令牌是可用的,则将其转发给该用户终端。使用该令牌,该用户终端可以接入该域联合中的所有网络中的服务。
在该终端需要接入服务时,其将该令牌与该请求一起提供给该网络。该网络将依据发布该令牌的认证服务器来验证该令牌。如果该令牌正确且该能力信息允许接入请求的服务,则该网络可以立即提供该服务。
如果在该网络中引进新服务并且该新服务不在该能力信息中,则令牌发布者将在该宿主域中查询接入控制权限。该接入控制权限将基于联合策略和用户的订购而决定该服务对于该用户是否是允许的。更新后的能力信息将转发到令牌发布者作为应答,并且随后的服务请求将在该令牌发布者处被直接地授权。
当该终端接入由不同网络域提供的各种网络服务时,本发明允许单次登录特征。服务提供商将形成联合,以向该联合的任何域的订购的用户提供服务。这允许网络资源共享并且使用户在漫游到另一网络的同时能容易地进行接入。用户只需要注册或登录到网络域一次,并且他/她将能够享受与本域具有联合关系的网络或服务提供商所提供的服务。在本发明中,也处理执行认证时的多个订购的管理。加入的域可以在向该用户发布“口令”之前在这些域本身内检查用户认证状态和确认用户认证状态。这降低了接入控制的处理开销,并且便于在服务相同用户的网络之间的快速切换。
本发明向该用户提供了单次登录服务。这为该终端节省了多个会话启动的执行,并且如果下层允许,也可以容易地获得网络接口之间的切换。这可以使该用户在活动会话期间切换到较低费用的网络接口。例如,如果UMTS网络和WLAN网络都采用了本发明,则在使用UMTS网络的语音对话期间,终端将可以选择切换到WLAN网络,而不需要重新开始该会话。
在采用了本发明的情况下,所述域也可以将该关系扩展到没有直接联合的域。使用在本发明所提供的发现机制,所述域可以动态地形成联合链,并且可以向更宽范围的用户提供单次登录服务。
附图说明
图1是联合环境的示例系统结构的示意图;
图2是接入联合到宿主域的访问域的系统结构的示意图;
图3是在联合的访问域环境中获得单次登录的认证和授权处理的序列图;
图4是使用在认证处理期间获得的用户令牌的授权处理的序列图;
图5是接入间接联合到宿主域的访问域的系统结构的示意图;
图6是在间接联合的环境中的授权处理的序列图;
图7是在间接联合的环境中的授权和认证处理的序列图;
图8是在间接联合的环境中的授权和认证处理的另一个序列图;
图9是用于认证请求的消息格式(格式1)的示例的示意图;
图10是用于认证确认查询的消息格式(格式2)的示例的示意图;
图11是用于用户令牌的消息格式(格式3)的示例的示意图;
图12是用于授权确认查询的消息格式(格式4)的示例的示意图;
图13是用于订购能力的消息格式(格式5)的示例的示意图;
图14是用于返回到图7中的步骤7.4的访问域1的订购能力的消息格式(格式6)的示例的示意图;
图15是用于返回到图7中的步骤7.9的访问域1的订购能力的消息格式(格式7)的示例的示意图;以及
图16是用于使该网络选择认证域的用户身份的消息格式(格式8)的示例的示意图。
具体实施方式
在本部分中公开了用于管理获得单次登录以接入多个网络接口的用户认证和服务授权的系统。为了帮助理解本发明,使用了下面的定义:
“WLAN”指无线局域网。WLAN包括通过无线技术向移动终端提供LAN服务的任意数量的设备。
“3G网络”指第三代公共接入网络。其例子可以是3GPP或3GPP2定义的系统。
“移动终端或MT”指用于通过无线技术接入WLAN和其它网络提供的服务的设备。
“宿主域”指MT最初在交互工作(inter-working)情景出现的网络。宿主域是存储MT的服务订购信息的地方。
“访问域”指MT所附接的网络。访问域是向移动终端提供接入服务的网络。
“QoS”指数据流或业务量的服务质量的术语。
“消息”指在用于交互工作控制的目的的网络组件之间交换的信息。
“上层”指在当前实体顶部的任何实体,其处理从当前实体传送的分组。
“AAA”指涉及向移动终端提供服务中的认证、授权、以及计费(accounting)功能。
“AA”指涉及向移动终端提供服务中的认证和授权功能。
“AAA服务器”指位于宿主域中的AAA服务提供商。AAA服务器是在宿主域的接入控制权限的实例。
“AA控制器”指访问域提供的AA服务。
“联合域”指形成具有信任关系的联合或同盟的几个网络服务提供商。
“全局认证”指对一个允许用户接入由“联合网络”提供的所有其它网络服务的网络的认证。
“访问域1”指与宿主域联合的访问域。
“访问域2”指未与宿主域联合的访问域。
在下面的描述中,为了解释的目的,阐述了具体的数字、次数、结构、协议名、以及其它参数,以提供对本发明的全面理解。然而,对本领域中的任何普通技术人员来说明显的是,没有这些具体的细节也可以实现本发明。在其它实例中,将公知的组件和模块显示在框图中,以为了使本发明免于被不必要地混淆。
(第一实施例)
图1示出了在联合网络服务环境中获得全局认证的本发明的示例实施例。对本领域中的任何普通技术人员来说明显的是,本发明可以应用于具有类似认证结构的任何服务。
每个终端(1.3)在其宿主域(1.1)内具有唯一的用户标识。该标识是全局唯一的,并且包括该宿主域的信息。当该用户与该域关联时,将其分发给该用户。例如,当用户向运营商订购时,该标识被放在提供给该用户的SIM/USIM卡中。当用户需要向该宿主域认证他自己时,他可以使用不同的设备,例如具有SIM读取器的膝上电脑、手持机等。该用户也可以使用几个设备执行同步认证。因而,为了唯一地识别该用户的认证会话,将生成另一认证会话标识,并将其用于认证过程中。该新标识包括关于该宿主域的用户标识、节点标识符和接口标识符。通过该认证会话标识符,可以很清楚地区别对同一用户的同时认证过程。
该终端(1.3)具有可以执行显式或隐式登录的登录组件。该登录组件通过只提供给用户用于认证的凭证而执行显式登录。该显式登录的返回值是“认证成功”或具有错误代码的“认证失败”。如果执行隐式登录,则需要发送出用户凭证和所请求的服务二者。隐式登录的返回值是“授权成功”或具有错误代码的“授权失败”。“授权成功”也暗示成功的认证。
当该终端(1.3)关联到接入点1(1.4)时将自动地开始认证处理,所述的接入点可以是例如WLAN接入点。服务于该终端的WLAN接入点(AP1)(1.4)将被连接到AA控制器(1.6)。AA控制器包括认证控制器和授权控制器。接入点(1.4、1.5)可以在或不在该终端的连接的数据路径上(1.4b、1.5b)。认证控制器和授权控制器都可以是集成的实体或分开到两个实体中,其中认证控制器处理用户标识,而授权控制器承担允许控制的角色以及向该终端授权资源的接入。
假定本地授权器(1.4a、1.5a)处在接入点(1.4、1.5)上或处在对该终端(1.3)的数据连接具有直接控制的地方。该本地授权器(1.4a、1.5a)将来自该终端(1.3)的认证请求转发到访问域(1.2)的AA控制器(1.6)。该本地授权器(1.4a、1.5a)具有该AA控制器(1.6)的地址。该本地授权器(1.4a、1.5a)也可以通过诸如引导程序、DHCP、DNS等方法来动态地获得AA控制器(1.6)的地址。AA控制器(1.6)是实施者,并指示本地授权器(1.4a、1.5a)打开/关闭端口和分配/释放其它资源。AA控制器(1.6)也执行资源提供并决定提供给每个终端多少资源。本地授权器(1.4a、1.5a)将执行来自授权控制器的指令。为了随后的讨论,假定该终端与AA控制器(1.6)通信的终端信令对于本地授权器(1.4a、1.5a)来说是透明的。AA控制器(1.6)在其管理域内对多个本地授权器(1.4a、1.5a)执行管理(enforce)。
在宿主域(1.1)中,存在相应的AAA服务器(1.7),该AAA服务器包括认证权限和授权权限。宿主域的AAA服务器(1.7)利用本发明的结构(1.9)与在访问域(1.2)中的AA控制器(1.6)通信。在宿主域的AAA服务器(1.7)与应用服务器接口,所述的应用服务器提供(host)SLA管理器(1.8),以获得位于中心数据库中的用户订购信息和用户的服务级别协议。SLA管理器(1.8)充当所有实体到存储在中心数据库中的服务级别协议信息之间的接口点。然而,只要该SLA管理器(1.8)能够定位所需要的信息,也可以使用分布式数据库。
图2示出了使用图1中介绍的系统的示例。为了简单起见,在该图中未示出SLA管理器、本地授权器和数据路径。认证控制器(1.6a)和授权控制器(1.6b)分别控制不同网络接口的认证处理和授权处理。在该图中,它们是分开的,以表示不同的控制器所起的不同作用。该图示出了在访问域(1.2)中由AA控制器(1.6)管理的三个子系统。这三个子系统是UMTS子系统(2.1)、WLAN子系统(2.2)和蓝牙子系统(2.3)。然而,对于本领域中的任何普通技术人员来说明显的是,可将该结构扩展为同时支持其它子系统的变形。用户可以使用具有任何或所有网络接入技术的终端(1.3)来与这些子系统中的任何一个相关联,以及经由这些接口中的任何一个启动认证处理。
在图3中示出了用于向该终端(1.3)提供联合网络接口服务环境的访问域(1.2)的示例消息交换序列。例如,如果在相同的附近区域内,诸如3G蜂窝网络(UMTS)和蓝牙等的其它服务是全部联合的,然后如果该终端使用这些服务中的任何一个,则该终端将只需要在第一次认证其自身。本结构提供了用于联合认证网络技术环境中的单次登录特征的方式。
在本示例中,当该终端(1.3)通过WLAN子系统(WLAN接口)(2.2)首次与访问域(1.2)关联时,该终端(1.3)将嵌在其登录消息(3.1)中的凭证呈现给访问域(1.2)的认证控制器(1.6a)。认证控制器(1.6a)将分析该登录请求消息,并提取包括用户凭证的凭证标签。该用户凭证是加密形式的,并且不可被访问域(1.2)的认证控制器(1.6a)读取。对访问域(1.2)的认证控制器(1.6a)可见的信息是该用户的宿主域(1.1)信息。在图9中将在访问域(1.2)中从该终端(1.3)到认证控制器的示例消息格式示出为格式1。
该消息格式是XML。该用户标识符包括宿主域信息和用户凭证。整个凭证组件将被加密,但是宿主域信息是可读的。上面未示出加密方法。在该用户和其宿主域之间协商该加密算法。这可以是当其获得订购时保存在SIM/USIM卡中的信息。其也可以在创建与该宿主域的连接后通过可下载模块而更新。如果希望该终端和网络的互相认证,则凭证部分也可以包括质询或应答信息。
然后,使用“Home_domain_info”信息的访问域上的认证控制器(1.6a)将与宿主域(1.1)上的AAA服务器交互。认证控制器(1.6a)将提取原始的登录请求消息,并且然后,将其重新分组到“认证确认查询”中,其中“加密的用户凭证”将被嵌入到“认证确认查询”中。然后将该“认证确认查询”转发到在宿主域(1.1)的AAA服务器(1.7)(3.2)。发布者标签应当是访问域的信息。在图10中将“认证确认查询”消息格式的示例示出为格式2。
AAA服务器(1.7)在接收到“认证确认查询”消息之后将分析该消息,并且使用某种预设的安全关系来解密该用户凭证,例如,如果该用户凭证是用其公共密钥加密的则为专用密钥。然后,AAA服务器(1.7)将对照其订购概要数据库来检查该用户凭证,以及认证该用户。该用户订购概要包含用户身份的信息、其个人信息、用户被授权使用的服务、服务质量支持级别等。其也可以还包含根据域联合要求而应用的某些策略信息。该联合策略包括运营商配置,例如在域中的服务支持级别、联合域允许向订购者授权的服务数量等。
从AAA服务器(1.7)到认证控制器(1.6a)的应答应当是确认成功或确认失败。该确认成功也通过关于“订购能力”的信息(3.3)来进行应答。
在AAA服务器(1.7),该订购能力信息将被存储在数据库中(3.4),以备将来使用。每个订购能力具有唯一的标识符,用于指向发布“认证确认查询”的访问域(1.2)以及发布请求的终端(1.3)。“订购能力”信息只供与宿主域(1.1)形成联合或同盟的访问域(1.2)使用。这意味着本访问域(1.2)被宿主域(1.1)看作是“可信的”位置。在访问域(1.2)上的授权控制器(1.6b)应当访问“订购能力”信息,并且决定要给予该终端的服务类型、服务属性和服务质量。
在接收到“确认成功”应答之后,在访问域上的认证控制器(1.6a)提取能力信息并且将其存储到数据库(3.4)中。该订购能力具有跟随它的有效周期。该有效周期是其中该访问域(1.2)可以掌管该用户帐号的持续时间段。然后,该认证控制器(1.6a)将通知授权控制器(1.6b)“确认成功”(3.5)。然后该授权控制器(1.6b)将发布要发送回该认证控制器(1.6a)(3.7)的用户令牌(3.6)。然后该认证控制器(1.6a)将该用户令牌转发回该终端(1.3)(3.8)。该终端(1.3)将该用户令牌存储到其本地数据库,用于随后的资源请求。
该令牌的格式应当包括用于存储“订购能力id”的“token_info”字段。将整个“token_info”字段加密到令牌消息中。只有该令牌的发布者能够解释包含订购能力id的“token_info”字段。该用户令牌也具有开始时间、终止时间以及该令牌发布者的地址。只有该令牌的发布者具有解密该“订购能力id”的密钥,以增加附加的安全级别。对于随后任何的资源请求,该终端只需要将该用户令牌转换回(pass back to)其原始形式。对于该消息格式,包含订购能力id的信息的“token_info”标签被加密。
所有其它标签是没有加密的。在图11中将该用户令牌的格式的示例示出为格式3。
为了防止恶意实体使用该令牌,应该将其与某些安全机制一起使用。保护该用户令牌的一个示例是该令牌的发布者与该令牌一起提供初始随机数。该随机数将作为使用该令牌的序列号。每次用户需要发送出该令牌时,其将使用某些加密方法,以使用该随机数和其自己的凭证来生成安全码。例如,该用户可以将与凭证链接的安全关联(association)附加到初始随机数,以形成唯一号码。可以通过在该唯一号码上应用诸如MD5的哈希函数而生成该安全码。对于本领域内的任何普通技术人员来说明显的是,只要是用户和令牌发布者之间预先同意的,就都可以利用任何其它加密方法。也可以在该令牌中包括字段并向用户指示用于生成安全码的算法。还可以使该字段包括算法列表。用户可以从该列表挑选任何算法来用于该码的生成,并且在发送给令牌发布者的请求中指示该选择的算法。
将安全码与用户令牌一起发送到网络以用于验证。令牌发布者将使用在认证确认中所获得的相同算法和相同信息来生成验证码。只有具有与该验证码匹配的该安全码的令牌才被令牌发布者验证有效。为了防止应答攻击,该用户和该令牌发布者在每个成功的服务请求后将根据预先同意的方法改变该随机数。例如,该用户和该令牌发布者将使用先前通过令牌而得到的安全关联的后4位加到该初始随机数上。
另一选择是在嵌入在认证确认应答中的订购能力信息中为该终端的宿主域提供安全验证码矢量和相应的初始随机数。该令牌发布者仅与上述的令牌一起发送随机数,并且使用来自安全矢量的验证码来验证该用户令牌。该选项的优势在于,所述算法只对宿主域和终端是已知的。这更容易升级,并对令牌发布者的需求更少。
一旦具有有效的用户令牌的终端(1.3)将直接联系授权控制器(1.6b),以进行资源授权(3.9)。授权控制器(1.6b)解密用户令牌的“订购能力id”,并将其与授权控制器(1.6b)先前获得的订购能力比较。如果该能力向终端的请求给出授权,则授权控制器(1.6a)将相应地分配资源(3.10),并且应答该终端(1.3)(3.11)。如果来自宿主域(1.1)的AAA服务器(1.7)的应答是“确认失败”,则“失败码”需要被附在“确认失败”消息上,并转发回该终端(1.3)。
在访问域(1.2)的认证控制器(1.6a)和宿主域(1.1)的AAA服务器(1.7)之间的消息传递是经由安全信道的。诸如SSL/TLS、IPSEC等的安全机制可以被用于提供必要的传输层安全。如果认证不成功,则通知该用户其不成功的尝试。这可以是从“失败代码”或诸如让该用户尝试另一宿主域的某些预配置消息中取得的某些可显示消息。
图4示出了在显式的认证阶段期间执行的消息序列。当终端(1.3)从访问域(1.2)请求新服务时(例如终端(1.3)需要使用经由蓝牙接口(2.3)连接的打印服务时),终端(1.3)将初始化与终端(1.3)在初始认证阶段期间已获得的用户令牌嵌在一起的授权请求。这假定该终端参考了使用例如WLAN接口(2.2)的另一接口的认证而已经经过以前段落中所描述的图3中的步骤。一旦具有用户令牌的终端(1.3)不需要再经过认证阶段,尽管其现在正接入不同的网络接口。
新请求将必须经过授权控制器(1.6b)。当已经向授权控制器(1.6b)提出嵌有用户令牌(4.1)的资源请求消息时,授权控制器(1.6b)将首先检查该令牌的真实性。因为该令牌是由其本身在认证阶段通过另一网络接口生成的,所以授权控制器(1.6b)能够验证该令牌的真实性。基于该令牌的信息,授权控制器(1.6b)将对照先前存储在数据库中的订购能力的信息而比较该资源请求,并且决定是否授予该用户接入权或是否不授予该用户接入权(4.2)。如果授予授权请求,则访问域(1.2)的授权控制器(1.6b)将指令本地授权器(1.5a)授予所需的本地资源,并且向终端(1.3)应答该资源被授权(4.3)。否则,将把请求失败发送回终端(1.3)。
为了验证有效性(liveness),即确定用户令牌的有效阶段,将存在与每个令牌相关联的“开始时间”和“结束时间”。对于特别的保护级别,当该令牌到达时间限制时,在访问域(1.2)的授权控制器(1.6b)可以向终端(1.3)发布新的用户令牌,即在该令牌过期时,对新请求发起重认证处理。如果用户显式退出,则将废除该令牌,即终端(1.3)不能使用该令牌请求任何其它服务。而且,将删除在访问域(1.2)的授权控制器(1.6b)的订购能力。
图5示出了用于另一情况的系统结构部署的示例,在该情况中存在多个访问域,并且尽管在访问域(5.1)和宿主域(5.8)之间没有端对端的联合,但是仍然可以获得单次登录。每个访问域(5.1、5.4)由其自身的认证控制器(5.2a、5.5a)和授权控制器(5.2b、5.5b)管理。在该图中,只示出了两个不同的管理域。对于本领域内的任何普通技术人员来说明显的是,该技术方案也可以应用于多个访问域。访问域1(5.4)是分别与宿主域(5.8)和访问域2(5.1)联合的域。访问域2(5.1)与访问域1(5.4)联合,但是没有与宿主域联合。类似于图2中所描述的结构,AA控制器(5.2、5.5)中的认证控制器和授权控制器(5.2b、5.5b)是在控制中执行不同角色的两个从属实体。但是在实现中,由于这两个实体通常共同位于相同的设备上,所以可以将它们集成在一起。
如图5中所示,访问域1(5.4)包括WLAN(5.6)和3G UMTS(5.7)子系统。访问域2(5.1)包括蓝牙子系统(5.3)。对于本领域内的任何普通技术人员来说明显的是,这两个域可以包括其它子系统的任何组合。该终端(5.10)能够接入由访问域1(5.4)和访问域2(5.1)二者提供的网络接口。
假定终端(5.10)已经由访问域1(5.4)而经过认证处理,该认证处理类似于图3中所描述的处理,在图5中的访问域1(5.4)充当图2中的访问域(1.2)。例如,终端(5.10)最初经由WLAN(5.6)网络接口登录到访问域1(5.4)上,并且经过图3中所描述的相同的认证过程。
将存在这种情况:终端尝试经由“第三方”网络接口接入服务,即从发布用户令牌的授权控制器所控制的域外的网络接口来请求资源,例如,终端(5.10)希望经由访问域2(5.1)提供的蓝牙网络接口(5.3)来接入打印服务。在这种情况下,将启动图6中详细描述的过程。
终端(5.10)向在访问域2(5.1)的授权控制器2(5.2b)提供嵌有该用户令牌(6.1)的“资源请求”消息。假定如果终端(5.10)只具有访问域2(5.1)中的单接触点,则该资源请求根据认证控制器2(5.2a)而重定向。
在图3中描述的认证阶段期间之前已获得该用户令牌。该令牌将标记有发布者的地址,这种情况下其是访问域1(5.4)的授权控制器1(5.5b)的地址。由于授权控制器1(5.5b)是该令牌的发布者并且它们俩联合(6.2),所以授权控制器2(5.2b)将查询授权控制器1(5.5b)。
授权控制器1(5.5b)将通过检查标记在该令牌上的有效时间段以及id(63)等验证该令牌的真实性。然后,授权控制器1(5.5b)将检查先前从宿主域(5.8)获得的订购能力,以评定是否允许该终端(5.10)使用所请求的服务(6.3)。然后,授权控制器1(5.5b)将向授权控制器2(5.2b)应答授权状态。由于访问域1和访问域2是联合的,所以访问域2相信该应答。必须使用这两个域之间协商的任何方案来确保它们之间的消息交换。
对于下述情况,即如果订购能力信息不具有授权给该终端(5.10)的网络接口,则授权控制器1(5.5b)将向宿主域(5.8)的AAA服务器(5.9)以“授权确认查询”的形式发布重新授权(6.4)。图12中将“授权确认查询”的格式示为格式4。
AAA服务器(5.9)将检查新请求,并应答该终端(5.10)是否订购了使用特定的网络接口(6.5)。基于该“订购能力id”,AAA服务器(5.9)定位其先前已发布的订购能力,并且检索该用户的订购概要。如果该终端(5.10)被授权使用所请求的网络接口,则AAA服务器(5.9)将以嵌有附加能力的授权成功来应答。
由访问域1(5.4)的授权控制器(5.5b)存储的订购能力通常只包括访问域1(5.4)提供的网络接口服务(6.3),而不是全部的用户订购概要信息。当在访问域1接收到新能力时,将更新数据库(6.6)。如果以前对该能力的检查(6.3)显示该终端(5.10)已被授权使用该网络接口,则跳过步骤6.4至6.6。然后将“资源请求”的结果从授权控制器1(5.5b)转发回授权控制器2(5.2b)(6.7)。授权控制器2(5.2b)将基于该结果决定是否授予或是否不授予接入该“资源请求”,并且也将该结果转发到涉及资源请求的状态的终端(5.10)(6.8)。
当访问域2(5.1)与宿主域(5.8)联合时,适用于本发明。将应用相同的消息协议。
当宿主域是令牌发布者时,本发明也起作用。对于这样的情况,为了随后接入联合到宿主域的访问域,将应用相同的消息协议。当认证经由该宿主域时,该宿主域将向该终端发布令牌。当该终端尝试接入与该宿主域联合的访问域时,该令牌被令牌发布者验证,这种情况下所述令牌发布者应是该宿主域。
本发明也将应用于令牌发布者在联合域中并且该终端尝试接入该宿主域的资源时的情况。对于这些情况,该终端向该宿主域提供具有服务请求的用户令牌。该宿主域在接收到该用户令牌后分析包括该终端的宿主域信息的用户令牌。当该终端的宿主域信息是其本身时,该宿主域需要验证该用户令牌和令牌发布者的真实性。在成功验证之后,该宿主域根据用户订购概要而不是从具有订购能力信息的令牌发布者中获得的授权来授权服务的使用。
图7示出了基于图5的系统构造的另一情况,其中,在向访问域2(5.1)发布资源请求以前,终端(5.10)没有经过访问域1(5.4)的认证处理。如果终端(5.10)以接入不具有有效令牌的网络接口而开始,则需要进行认证处理。如果该终端(5.10)尝试接入的访问域没有与该宿主域(5.8)联合,则因为没有将该访问域认为是可信的站点,所以该认证过程略微不同,并且因而将不提供“订购能力”信息的知识。然而,该访问域可以与其它网络具有某种同盟关系,所述其他网络与该终端的宿主域(5.8)形成同盟。因而,在某种程度上,这形成了与该宿主域(5.8)的间接同盟关系。
图7中示出了用于在这种情况中的认证步骤。访问域1(5.4)与该宿主域(5.8)和访问域2(5.1)两者联合。访问域2(5.1)未与宿主域(5.8)联合。该终端(5.10)向认证控制器2(5.2a)提供其被加密的用户凭证(7.1)。访问域2(5.1)的认证控制器2(5.2a)检查宿主域(5.8)的地址,并且发现它没有与该宿主域(5.8)直接联合。因而其执行发现处理,并找到访问域1(5.4)直接联合到该终端的宿主域(5.8)。
在存在多个域间连接的情况下,该发现处理可以有几种结果,即存在也与该宿主域(5.8)关联的关联网络列表。例如,访问域2(5.1)也可以连接到与该宿主域(5.8)联合的其它域。该访问域2(5.1)可以使用任何预定的策略来决定将该请求路由至哪个域。例如,通过不同域的连接可以导致不同的主管,并且该访问域2(5.1)应该选择费用最少的域。明显的是,可以使用其它标准来选择域,例如,负载平衡、区域、物理或地理距离、规则考虑、或所有这些可获得的信息的加权组合。另一替代是访问域2(5.1)用具有所有可能使用的访问域的消息来应答该终端(5.10),并提示该终端(5.10)选择其中一个。对于本领域内的任何普通技术人员来说明显的是,可以以许多方式实现该发现过程,例如对于所有连接的域的简单查询、DNS寻找、向MIB的查询等。
在识别要使用的域(例如访问域1(5.4))之后,认证控制器2(5.2a)将向与宿主网络(5.8)联合的访问域1(5.4)的认证控制器1(5.5a)发布“认证和授权请求”(7.2)。认证控制器1(5.5a)将向宿主域(5.8)的AAA服务器(5.9)发布“认证确认查询”(7.3)。如果认证确认查询成功,则将订购能力从AAA服务器(5.9)发送到认证控制器1(5.5a)(7.4)。认证控制器1在向授权控制器1(5.5b)通知认证阶段已结束(7.6)之前将该订购存储到数据库中(7.5)。然后,授权控制器1(5.5a)将根据该“订购能力”来确认该终端(5.10)是否被授权使用由访问域2(5.1)提供的服务。认证控制器1和授权控制器1两者都能够接入用于存储“订购能力”的数据库。在实现中,认证控制器1(5.5a)、授权控制器1(5.5b)和数据库可以处于相同位置(co-located)或物理分开。
授权控制器1(5.5b)将对照该服务请求检查该订购能力(7.7)。如果该订购能力消息不包括该终端希望接入的网络接口,则授权控制器1(5.5b)将试图查询AAA服务器(5.9),以重新确认该终端(5.10)是否被授权使用第三方网络的网络接口(7.8)。如果接收到确认成功(7.9),则授权控制器1(5.5b)将更新数据库中的新能力,并且向该终端发布新的用户令牌(7.10)。
如果该订购能力消息已具有关于该终端被授权所请求的网络终端的信息,则不执行步骤7.8和7.9。在这种情况下的步骤7.10将仅包括生成新的用户令牌。这种情况下将不执行更新数据库。
如果将授权赋予了该终端(5.10),则该用户令牌需要传递回该终端(5.10)。在生成用户令牌后,授权控制器1(5.5b)将该用户令牌转发回认证控制器1(5.5a)(7.11)。然后,如果该请求成功,则认证控制器1(5.5a)将向认证控制器2(5.2a)应答嵌有该用户令牌的“认证和授权请求”(7.12)。然后,认证控制器2(5.2a)将向授权控制器2(5.2b)通知请求状态(7.13)。授权控制器2(5.2b)将分配必要的资源(7.14),并且应答认证控制器1(7.15)。然后,认证控制器(5.2a)将向该终端(5.10)通知其请求状态(7.16)。随后的对新网络接口的接入及其过程将类似于图6的那些。
为了保护系统的正常运行和用户信息的机密性,利用安全保护来传递消息,例如,通过传输层安全(TLS)的安全套接层(SSL)、IP安全(ipsec)等。假定在不同域的不同AAA服务器和AA控制器之间交换用于认证和授权的消息之前已创建安全隧道。对于本领域内的任何普通技术人员来说,明显的是,可以将任何形式的安全应用于本结构,只要其能够向该消息交换提供足够的安全保护。
该终端可以同时具有多个激活的连接,例如,该终端将正在通过UMTS接口接收其MMS,同时,其也经由WLAN下载某些文件,这仅仅对于双/多模式终端来说是可能的。如果该终端已从另一网络接入廉价的速率,如果该网络提供商已联合或即所谓的处于与该终端的服务提供运营商相同的联合中,则向其通知可选网络,并且不需要向该其它网络提供商进行注册。如果该设备在这些网络的覆盖区域内,则联合的网络可以处于专用局域网的形式。例如,在封闭区域中,如果终端已登录WLAN服务,并且如果该终端决定使用蓝牙或红外设备,则该终端不需要分别地登录不同服务。
图7中所示的步骤仅仅对于单层联合发现(single-tier-federation-discovery)是可行的,即,该终端尝试连接的新的域被直接地连接到与宿主域联合的域。当不支持该假设时,需要实现一种多层发现。为了支持多层发现,需要为该发现执行附加的步骤。一个方法是执行穷举搜索。这将需要多个中间的访问域作为代理。
图8示出了在多层域联合情形中用于本发明的序列图的示例。在图8中,该终端(8.1)首先发布“登录和资源请求”(8.6),并向访问域A(8.2)提供其用户凭证,该访问域A是该终端(8.1)希望接入其资源的域。在这里没有区分认证控制器和授权控制器,以简化说明。
访问域A(8.2)将启动对于多层联合处理的搜索(8.7)。执行该搜索的可能方法是访问域A(8.2)向所有相互连接的域发送包括所期望的宿主域信息的特定消息。该消息将包括有效期限,并且在经过有限数目的域后,该消息将被丢弃。当域接收到该消息时,其将检查其是否具有与宿主域的联合连接(8.5)。如果具有,则该域将通知访问域A(8.2),从而访问域A(8.2)将该请求转发到该域。
如果接收到该消息的域与该宿主域没有任何关系(8.5),则其将决定是丢弃该消息还是根据本地策略将该消息转发到另一域。在其转发该消息之前,该域将其自身的信息添加到该消息。因而,该消息将携带其经过的所有域的信息。所述信息可以被用于防止循环转发。而且,此后其可以被访问域A(8.2)用于转发用户请求(8.6)。
对于本领域内的任何普通技术人员来说明显的是,存在其它方式来执行该路径搜索,例如,使用域名服务(DNS)、查询中央服务器等。路径搜索过程(8.7)可以返回几个结果。在这种情况下,访问域A(8.2)将使用某些策略规则决定使用哪个路径,例如最近路径、最有名的路径等。用于选择要使用的路径的可能方法可以基于下面的信息,例如:
·在到达该宿主域之前该请求需要遍历的认证控制器的数目;
·在访问域和相应的认证控制器之间的物理和地理距离;
·接入访问域和节点所发生的费用;
·访问域的负载状态;
·访问域和相应的认证控制器的服务能力;
·访问域的规章限制;
·上述信息的加权组合。
访问域A(8.2)也可以向该用户返回错误消息,该错误消息包括所有相关信息,并且提示该用户选择所期望的路径。
在识别信令路径之后,访问域A(8.2)将“登录和资源请求”(8.3)转发给一个或多个中间域(8.6),其仅仅将该请求转发到下一个域节点(8.8)。到下一个域节点的路径公知为在搜索和发现期间已确定的路径。转发时可以将路径表嵌入在“登录和资源请求”中,以使该中间节点知道要转发的下一个节点。
当该请求最后达到直接联合到该宿主域(8.5)的访问域B(8.9)时,执行用于执行认证和授权的步骤(8.10)。该步骤可以类似于图7中描述的在访问域1(5.4)和宿主域(5.8)之间的消息交换。以相反次序使用路径表(8.11、8.12)将“授权应答”从宿主域(8.5)转发回访问域A(8.2)。访问域A(8.2)将在应答终端(8.1)(8.14)之前处理该应答(8.13)。在本多域联合环境中仍然使用相同的联合概念。
(第二实施例)
由AAA服务器嵌入在返回消息的订购能力(3.3、7.4)包括授权的接口类型信息以及由AAA服务器向访问域的终端授予的每个接口类型的QoS级别信息。
授权的接口类型信息包括该终端被授权在访问域使用的网络接口类型的列表。AAA服务器将只包括启动“认证确认查询”的访问域提供的网络接口类型和该用户订购的网络接口类型。例如,对于图2中的系统结构,返回到访问域(1.2)的订购能力信息将包括“蓝牙、WLAN、UMTS”,尽管该用户也可以订购上述三种网络接口之上的GPRS,但是这对于访问域(1.2)来说是不可知的。这是因为访问域(1.2)只提供这三种网络接口服务。与每个接口类型相关联的QoS级别也嵌入在该订购能力信息中。
在图7中的系统构造的另一示例中,返回到访问域1(5.4)的订购能力消息将只包括“WLAN和UMTS”,因为这种情况下的访问域1只提供这两种网络接口。如果该终端(5.10)试图接入另一网络(访问域2(5.1))提供的蓝牙接口,则访问域1(5.4)的授权控制器将寻找专用于蓝牙接口(5.3)的另一“授权确认查询”。如果其授权确认成功,则访问域2(5.1)将通知访问域1(5.4),以授权接入该终端(5.10)。
图13中将订购能力消息格式的示例示为格式5。全部订购能力信息将以安全方式传递到接收者,例如使用安全信道传递该信息。如果信道不安全,则可以使用加密来提供安全。该订购能力被嵌入在“authentication_assertion_reply”(3.3、7.4)消息中,并且被从AAA服务器(1.7、5.9)发送回发布“authentication_assertion_query”的可信任实体。当联合的网络发布“authorization_assertion_query”消息时也可以获得该订购能力信息。AAA服务器(1.7、5.9)将本订购能力嵌入在“authorization_assertion_reply”消息中(6.5、7.9)。返回到“authorization_assertion_reply”中的订购能力信息通常向“authorization_assertion_query”应答某个网络接口资源。
嵌在订购能力信息中的安全矢量字段在必要时有助于接收域以验证用户的身份。例如,其可以被授权控制器用来验证使用用户令牌的服务请求的有效性。该安全矢量可以包括一条安全信息或由宿主域生成的验证码的列表。
以图7为例。在步骤7.4,参考图5中的系统结构,订购能力将包括WLAN(5.6)和UMTS(5.7)的接口类型。这是因为AAA服务器(5.9)从联合策略中知道访问域1(5.4)只提供这两种网络接口。与该用户可以订购接入其它网络技术的其它服务的整个范围的事实无关。这只向联合的访问域(这种情况下,是访问域1(5.4))提供有限的用户订购信息,而不是全部用户订购信息。
在图14中将订购能力示出为格式6,其使用格式5中所示的模版格式。
对于返回的每个网络接口,也嵌入有QoS级别信息。例如,WLAN网络接口具有其级别等于值A的QoS级别。值A包括诸如最小授予带宽、最大传输速率、脉冲率、抖动、最大延迟等QoS信息的列表。上面只示出了接口类型和其QoS级别。对于本领域内的任何普通技术人员来说,明显的是,其它各种网络接口和QoS级别也适用于本发明。
在步骤7.8中,请求是用于接入蓝牙接口的。因而授权控制器1(5.5b)发布“authorization_assertion_query”,因为蓝牙未处在先前包括WLAN和UMTS的列表中。因此,嵌在“authorization_assertion_reply”的订购能力将只包括用于蓝牙接口的确认。图15中将该信息示为格式7。
对于随后对于WLAN或UMTS的接入,当终端(5.10)尝试接入经由WLAN或UMTS连接的其它服务时,已知道终端的服务订购信息的授权控制器1(5.5b)将决定是否授权给该终端(5.10)。
如果终端没有订购由发布“authentication_assertion_query”的访问域提供的服务,则订购能力将不具有该终端未订购的服务。简而言之,在本优选实施例中取得的订购能力包括由访问域提供的网络服务和该终端订购的网络服务的联合。
(第三实施例)
在对多个域服务的接入中,用户可以具有多个订购。这种情况下,用户终端将需要满足多个宿主域情形,特别是网络共享。例如,与用户的宿主域1联合的域可以拥有WLAN热点,但是其也可以被该用户的宿主域2共享。因而,该用户终端必须能够选择哪些订购要被认证。
解决这个问题的方法是用户的宿主域向该用户提供相关信息作为部分订购概要,例如,将其保存到给予该用户的USIM卡中。用户终端将保持宿主域列表。当用户终端需要接入网络时,其将获得与该网络相关的域信息,并且将其与宿主域列表中的信息比较。如果其宿主域之一拥有该网络,则该用户终端将尝试使用来自那个域的相应订购进行认证。对于本领域内的任何普通技术人员来说,明显的是,在存在多个宿主域共享相同的网络的情况下,该用户终端也可以设置其用于选择宿主域的选择标准。该标准包括使用该订购接入网络的速率、域订购的容量、从该域和其联合中可获得的服务、规则信息、预设优选等。也可以使用这些标准的加权组合。用户终端也可以使用这些标准来基于某些预定策略而选择不直接拥有该网络的域,例如,当作为漫游用户时接入该网络可能更便宜。
在通常情况下,当用户终端的宿主域不拥有该接入网络时,认证本地访问域中的用户将更快速。因而,在与宿主域联合并靠近该用户终端的域中的认证和授权控制器将从该宿主域(例如,从中央数据库)中下载某些用户订购信息,并且本地执行用户认证和服务授权。这种情况下,该用户终端应在服务请求中指示其希望被本地认证,例如通过使用作为宿主域的联合域,而不是从其认证请求订购服务的宿主域。
该用户终端可以通过例如存储在USIM卡中的列表的静态配置或例如从以前的认证过程学习的动态发现来获得要被用作“替代宿主域”的域的信息。存储在该终端中的信息包括与每个宿主域联合的域的列表,以及相应的状态信息,例如使用该域的费用、规则信息等。用户终端动态学习“替代宿主域”候选的方法之一是通过存储其之前曾经接收的用户令牌的所有发布域。为了向用户终端发布用户令牌,该终端必须下载用户的订购信息,并且与用户的宿主域具有联合关系。因而,再次请求由该域进行认证是安全的。对于本领域内的任何普通技术人员来说,明显的是,存在发现这些域的其它可能方式。例如,该用户终端已订购的宿主域可以将与其本身联合的所有域嵌入在认证请求应答中。该终端可以从该消息中检索那个域列表,并将其存储到宿主域列表中。在列表中存在多个“替代宿主域”候选的情况下,上述用于选择适当宿主域的方法可以重新用于识别适当的“替代宿主域”。
当该用户终端发出认证请求时,其可以包括其宿主域和“替代宿主域”的列表两者。这将允许接收该请求的认证控制器选择适当的域来认证该用户终端。在认证控制器上的域的选择可以基于本地域策略、联合协议等。为了实现这一点,嵌入在认证请求中的User_ID必须被扩展为包括相应的信息。图16中将用于User_ID字段的格式的示例示为格式8。
用户识别通常包括用户凭证和其相应的宿主域信息。为了支持使得网络能够确定哪个域来执行认证的特征,在认证请求中包括“替代宿主域”的列表。格式8中的<Sub_Home_Domain>字段代表“替代宿主域”列表。“num”属性示出了该列表中的元素的数目。该“替代宿主域”中的第一个元素存储有标签“<1>”,第二个为“<2>”,依此次序递增,直到列表中的最后元素的标签为“<n>”,其中n是最后一个编号。对于本领域内的任何普通技术人员来说,明显的是,用于存储列表的任何格式都可以适用于本发明。如果接受该认证请求的域发现其自己在“替代宿主域”列表中,则其知道可以本地执行认证。如果该域不能发现其自身在该列表中,则其将根据某个预设的标准来选择最适当的域,例如其本身和要选择的域之间的距离、联合策略中的规则等。
如果不允许将用户订购概要下载到联合的访问域,则订购能力信息可以用于服务授权。对于该终端以前已访问的每个域,访问记录可以被保持在访问域中。为使在访问域的认证控制器执行认证,该终端需要将其本身识别为访问域,从而可以检索该终端的订购能力。如果将该终端的原始凭证用作身份证,则在访问域的认证控制器必须具有解密该原始凭证的手段。因而该宿主域需要向访问域提供密钥,以解密该用户凭证。在终端的第一次访问后,在访问域中存储用户凭证及与其相关的用户订购能力。因而,当用户使用相同的凭证来提出认证请求时,在访问域的认证控制器通过搜索其数据库而能够识别出该凭证。因而,基于在该终端的先前访问期间获得的订购能力信息,在该访问域内本地执行认证,并由授权控制器来执行服务授权。
提供更快的本地认证而不需要显示原始的用户订购概要或用户凭证的可选解决方案是用于访问域向该终端提供本地用户凭证。认证控制器可以向该终端发布单独的本地凭证。该本地用户凭证可以在认证请求的应答消息中返回到该终端,并且该终端可以将该本地用户凭证存储在其本地数据存储器或USIM中。本地凭证的目的与用户令牌的目的不同。用户令牌在其全部有效寿命中得到使用,并且当该用户令牌用于服务请求和单次登录时,假定成功地完成认证。当该终端重新访问该访问域并再次寻求认证时,使用该本地用户凭证。该技术方案不需要向访问域显示用户订购概要或原始用户凭证。例如,当终端尝试与该访问域关联时,其将搜索其以前是否已访问该域。如果是,则该终端可以尝试使用由该访问域提供的本地id用于认证。在访问域端,其认证控制器将检索与该本地id相关联的用户订购能力,并且执行认证但并不从该宿主域寻求验证。
工业实用性
本发明适用于数据通信网络领域。具体而言,本发明可以适用于关于移动通信网络中的移动终端的接入控制的技术。
Claims (32)
1.一种用于管理用户认证和授权以获得单次登录来接入具有商业关系的多个管理域中的多个网络的系统,包括:
i.在用户的宿主域上的接入控制权限,其具有基于用户订购信息、域策略、域间协议、以及用户请求来维持用户认证和授权状态的能力;
ii.在与该用户的宿主域具有商业关系的管理域上的认证控制器,其认证该用户,并与该接入控制权限进行通信,以获得该用户信息和该域策略;以及
iii.与接入控制器在同一管理域上的授权控制器,其基于该用户订购信息、该域策略和该域间协议,控制该用户通过本地管理域和具有商业关系的管理域中的网络对服务的接入。
2.根据权利要求1的用于管理用户认证和授权的所述系统,其支持用户对与该用户的宿主域没有商业关系的管理域中的网络的接入,该系统还包括:
i.在该本地管理域中的认证控制器,具有发现与该用户的宿主域具有直接商业关系的管理域中的所述认证控制器,并将认证请求转发到与该宿主域具有直接商业关系的所述认证控制器的能力;以及
ii.在该本地管理域中的授权控制器,具有基于与所述同一管理域中的所述认证控制器通信的结果而控制网络接入和用于该用户的资源的能力。
3.根据权利要求1或2的用于管理用户认证和授权以获得单次登录来接入所述多个管理域中的所述多个网络的系统,还包括在该宿主域的中央数据库,其用于存储该用户的订购信息、状态信息、域策略和域间协议。
4.根据权利要求1的用于支持用户接入所述多个管理域中的所述多个网络的系统,其具有多个订购,还包括用户设备,所述用户设备包括用于存储多个宿主域订购信息的宿主域列表。
5.一种用于管理用户认证和授权以获得单次登录来接入多个管理域中的多个网络的方法,包括:
i.其中用户的宿主域上的接入控制权限根据由嵌入在所接收的用户请求中的用户凭证识别的用户订购概要而取得订购能力信息的步骤;
ii.其中与所述用户的宿主域具有商业关系的域上的认证控制器将从所述接入控制权限接收的所述订购能力信息存储在可由同一域上的授权控制器接入的本地数据库中的步骤;
iii.其中所述授权控制器基于该订购能力信息、域策略和域间协议生成用户令牌的步骤;以及
iv.用户终端接收和存储该用户令牌和域信息,并且使用这些执行随后的网络接入请求。
6.根据权利要求5的用于管理用户认证和授权以获得单次登录来接入多个管理域中的多个网络的方法,还包括其中所述授权控制器用只有其本身知道的安全密钥加密所述用户令牌的步骤。
7.根据权利要求5的用于管理用户认证和授权以获得单次登录来接入多个管理域中的多个网络的方法,还包括:
i.其中所述认证控制器接收所述认证请求并验证该请求中所指示的所述宿主域和所述认证控制器所属的所述管理域之间的关系的步骤;
ii.其中与所述用户的宿主域具有商业关系的所述域上的所述认证控制器通知同一域中的授权控制器以生成所述用户令牌的步骤;以及
iii.其中所述授权控制器向同一域中的所述认证控制器发送所生成的用户令牌的步骤。
8.一种通过单次登录从多个管理域中的多个网络中接入服务的方法,包括:
i.其中终端向本地管理域的授权控制器发送嵌有在权利要求5所述的处理中获得的所述用户令牌的服务认证请求的步骤;
ii.其中生成该用户令牌的授权控制器确认该用户令牌和解密该用户令牌、并使用嵌入在该用户令牌中的身份从本地数据库中检索用户订购能力信息的步骤;以及
iii.其中生成该用户令牌的所述授权控制器基于所述订购能力信息、域策略和域间协议而授权所述服务授权请求的步骤。
9.根据权利要求8的用于通过单次登录从多个管理域中的多个网络中接入服务的方法,还包括步骤:所述授权控制器使用嵌入在该用户令牌中的信息而获得生成所接收的用户令牌的所述授权控制器的身份,并将相应的服务授权请求转发到生成该用户令牌的所述授权控制器。
10.根据权利要求7的用于所述认证控制器处理认证请求消息的方法,包括步骤:
i.提取所述认证请求消息中的宿主域信息,并启动对于所述认证控制器的组合的搜索,以到达与该宿主域具有商业关系的域;以及
ii.使用本地选择标准从所述搜索的结果中选择所述认证控制器的组合,以到达与该宿主域具有商业关系的所述域。
11.根据权利要求10的用于所述认证控制器处理认证请求消息的方法,还包括其中基于所选择的所述认证控制器的组合而将所述请求消息转发到在与所述宿主域具有商业关系的所述域上的所述认证控制器的步骤。
12.根据权利要求10的用于所述认证控制器基于信息而从所述搜索结果中选择所述认证控制器的组合的方法,所述的信息包括:
i.该组合中的认证控制器的数目;
ii.该组合中的所述认证控制器之间的距离;
iii.接入该组合中的认证控制器发生的费用;
iv.该组合中所述认证控制器所属的所述域的负载状态;
v.该组合中所述认证控制器的能力;
vi.规则信息;
vii.某些预设的域策略;以及
viii.所有这些相关信息的加权组合。
13.根据权利要求10的用于所述认证控制器从所述搜索结果中选择所述认证控制器的组合的方法,包括:
i.其中所述认证控制器向所述用户发送包括所有所述组合和相关信息的消息的步骤;以及
ii.其中该用户选择所述组合并向所述认证控制器指示所选择的组合的步骤。
14.根据权利要求8的用于生成该用户令牌的所述授权控制器处理所述服务授权请求消息的方法,包括步骤:
i.将由如在权利要求5中所述的认证控制器所存储的订购能力与所述用户服务授权请求中的所述服务请求进行比较;
ii.当在所述订购能力中没有发现所述服务请求时执行重新授权;以及
iii.如果所述重新授权结果包括新的能力,则更新所述本地数据库中的所述订购能力。
15.一种用于在与用户的宿主域具有商业关系的域上的授权控制器执行服务授权而不显式地从所述用户的宿主域中寻求授权的方法,包括步骤:
i.当接收到嵌有用户令牌的服务请求时,在如权利要求5所述的认证处理期间检索从所述的用户的宿主域中获得的所述用户订购能力;以及
ii.基于用户订购能力、域策略和域间协议的服务信息来授权服务请求。
16.一种用于在与用户的宿主域具有商业关系的域上的认证和授权控制器执行认证和服务授权而不显式地从所述的用户的宿主域中寻求验证的方法,包括步骤:
i.通过接入存储信息的用户的宿主域中的数据库而从所述用户的宿主域中获得订购能力信息;
ii.当所述用户接入服务而不具有用户令牌时,向该用户发布用户令牌;以及
iii.基于订购能力、域策略和域间协议的服务信息来认证和授权来自所述用户的服务请求,而不与所述用户的宿主域接触。
17.一种用于在与用户的宿主域没有商业关系的域上的认证控制器认证用户的方法,包括步骤:
i.在与其本身有商业关系的域中查询与所述用户的宿主域有商业关系的域;
ii.请求与所述用户的宿主域有商业关系的所述域充当服务代理并执行对所述用户的服务请求的授权;以及
iii.利用来自所述服务代理的信息决定是否认证该用户。
18.根据权利要求10的用于在与所述用户的宿主域没有商业关系的域上的认证控制器发现到与所述用户的宿主域有商业关系的域的路径的方法,还包括:
i.其中所述认证控制器根据本地配置向在与其本身具有商业关系的域上的认证控制器发送指示所述用户的宿主域的查询消息和该消息寿命的步骤;
ii.其中所述认证控制器接收将其自己的身份附加到该消息的所述查询消息,并且如果其本身与在所述查询消息中指示的所述用户的宿主域没有商业关系,则将该查询消息转发到在与其本身有商业关系的域上的认证控制器的步骤;以及
iii.其中在与该查询消息中指示的所述用户的宿主域有商业关系的所述域上的所述认证控制器将其身份添加到该消息,并使用附加在该消息上的信息而将该消息返回到发起的认证控制器的步骤。
19.根据权利要求5的用于保护所述用户令牌的方法,包括:
i.其中令牌发布者将随机数和所述用户令牌包括在发送给所述用户的所述认证消息应答中的步骤;
ii.其中用户终端使用所述随机数生成安全码并将其与所述服务请求中的所述令牌一起发送的步骤;
iii.其中所述令牌发布者使用相同的算法生成所述验证码并利用随服务请求中的令牌一起接收的所述安全码来验证它的步骤;以及
iv.其中所述令牌发布者和该终端在每个服务请求后使用同样的方法改变该随机数的步骤。
20.根据权利要求5的用于保护所述用户令牌的方法,还包括:
i.其中所述令牌发布者从该宿主域中获得该随机数并将随机数与发送给所述用户的消息应答中的用户令牌一起转发的步骤;
ii.其中所述令牌发布者获得在从所述宿主域接收的所述订购能力信息中包括的用于验证服务请求中所述安全码和所述令牌的验证码列表的步骤;以及
iii.其中所述令牌发布者在每个服务请求后遍历该列表以获得正确的验证码的步骤。
21.根据权利要求5或16的用于在所述用户的宿主域上的所述接入控制权限向有商业关系的域上的所述认证控制器提供有限的用户订购概要信息的方法,还包括步骤:
i.从所述域间协议中检索由具有商业关系的所述域提供的网络服务;
ii.从所述用户订购概要中检索关于该用户订购的网络服务的信息;
iii.滤出在用户订购概要内但不被所述域间协议允许的所述网络服务。
22.一种在如权利要求5中所述的获得单次登录来接入多个管理域中的多个网络的方法中使用的订购能力信息的格式,包括:
i.接收该消息的授权控制器允许授权的网络接口的数目;
ii.与要被提供给所述认证控制器允许授权的每个接口类型的服务质量相关的服务概要的标识符;以及
iii.包括用来确认来自所述终端的随后的消息的安全信息的安全码矢量。
23.一种用于如权利要求5所述的在获得单次登录以接入多个管理域中的多个网络的方法中使用的用户令牌的格式,包括:
i.令牌发布者的地址;
ii.用户的宿主域信息;
iii.令牌的时间限制;以及
iv.所述令牌发布者定位所述订购能力的订购能力id。
24.一种用于与用户的宿主域有商业关系的域在如权利要求5所述的用来获得单次登录以接入多个管理域中的多个网络的方法中请求认证确认的格式,包括:
i.请求服务的用户的凭证;
ii.与所述用户的宿主域具有商业关系的所述域的信息;以及
iii.所述用户的宿主域的信息。
25.一种用于与用户的宿主域有商业关系的域在如权利要求5所述的用来获得单次登录以接入多个管理域中的多个网络的方法中请求授权确认的格式,包括:
i.所述订购能力发布者用来定位所述用户订购概要和联合策略的订购能力id;
ii.所述用户请求的服务类型信息;
iii.与所述用户的宿主域具有商业关系的所述域的信息;以及
iv.所述用户的宿主域的信息。
26.一种在用户终端的认证请求中使用的格式,用于指示其用于根据权利要求5或16来接入多个管理域中的多个网络的凭证,包括:
i.用于检索用户订购信息的、除了所述用户宿主域之外的域的信息;以及
ii.除了其中可以执行认证处理的所述用户宿主域之外的域的列表。
27.根据权利要求5或16的在用于获得单次登录以接入多个管理域中的多个网络的方法中获得快速认证和授权的方法,还包括其中用户将所述令牌发布者的域信息存储到所述宿主域列表中以用于此后的服务请求的步骤。
28.根据权利要求5或16的在用于获得单次登录以接入多个管理域中的多个网络的方法中获得快速认证和授权的方法,还包括:
i.其中在生成所述用户令牌的所述域上的认证控制器向终端提供本地标识符,以在所述终端再次访问生成所述用户令牌的所述域时执行认证请求的步骤;以及
ii.其中当所述终端再次访问该本地域时,所述终端使用其认证请求中的该所生成的本地标识符的步骤。
29.根据权利要求5或16的在用于获得单次登录以接入多个管理域中的多个网络的方法中获得快速认证和授权的方法,还包括:
i.其中所述用户的宿主域向与其有商业关系的域提供用于解密所述用户凭证的安全关联的步骤;
ii.其中与所述用户的宿主域有商业关系的所述域将该用户凭证与在权利要求5所述的步骤中获得的所述用户订购能力信息相关联的步骤;以及
iii.其中所述本地域基于所述用户凭证和相关联的用户订购能力来执行所述认证和授权的步骤。
30.根据权利要求5或16的在用于获得单次登录以接入多个管理域中的多个网络的方法中获得快速认证和授权的方法,还包括其中用户将其认证请求中的所述宿主域替换为与其实际宿主域有商业关系的另一管理域的步骤。
31.根据权利要求5或16的用于获得单次登录以接入多个管理域中的多个网络的方法,还包括:
i.其中所述用户的宿主域中的接入控制权限将与其有商业关系的域嵌入在所述认证应答消息中的步骤;以及
ii.其中用户将所述域信息存储在所述用户设备宿主域列表中以用于以后的服务请求的步骤。
32.根据权利要求5或16的用于获得单次登录以接入多个管理域中的多个网络的方法,还包括:
i.其中用户从其所接入的所述网络中获得所述本地管理域信息的步骤;
ii.其中用户将所述本地管理域信息与所述宿主域列表中的所述域信息进行比较的步骤;以及
iii.其中用户基于所述比较结果和某些可配置的策略将所述认证请求或服务授权请求中的所述宿主域列表中的一个域用作为所述宿主域的步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004203880 | 2004-07-09 | ||
| JP203880/2004 | 2004-07-09 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101014958A true CN101014958A (zh) | 2007-08-08 |
Family
ID=35057135
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800303342A Pending CN101014958A (zh) | 2004-07-09 | 2005-07-11 | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 |
Country Status (7)
| Country | Link |
|---|---|
| US (1) | US20080072301A1 (zh) |
| EP (1) | EP1774744A2 (zh) |
| JP (1) | JP2008506139A (zh) |
| KR (1) | KR20070032805A (zh) |
| CN (1) | CN101014958A (zh) |
| BR (1) | BRPI0513195A (zh) |
| WO (1) | WO2006006704A2 (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101741817B (zh) * | 2008-11-21 | 2013-02-13 | 中国移动通信集团安徽有限公司 | 一种多网络融合系统、装置及方法 |
| CN103051631A (zh) * | 2012-12-21 | 2013-04-17 | 国云科技股份有限公司 | PaaS平台与SaaS应用系统的统一安全认证方法 |
| CN101616136B (zh) * | 2008-06-26 | 2013-05-01 | 阿里巴巴集团控股有限公司 | 一种提供互联网服务的方法及服务集成平台系统 |
| CN103685214A (zh) * | 2011-10-28 | 2014-03-26 | 通用汽车环球科技运作有限责任公司 | 用于汽车电子控制单元的安全访问方法 |
| CN104169935A (zh) * | 2012-03-28 | 2014-11-26 | 索尼公司 | 信息处理装置、信息处理系统、信息处理方法及程序 |
| CN104753673A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于随机关联码的用户多认证凭证关联方法 |
| CN105393254A (zh) * | 2013-06-21 | 2016-03-09 | Visa欧洲有限公司 | 允许访问数据 |
| CN105763526A (zh) * | 2014-12-19 | 2016-07-13 | 中国移动通信集团公司 | 一种安全认证方法、网络设备及系统 |
| CN106462849A (zh) * | 2014-05-05 | 2017-02-22 | 维萨国际服务协会 | 用于令牌域控制的系统和方法 |
| CN107070843A (zh) * | 2011-04-28 | 2017-08-18 | 交互数字专利控股公司 | 一种用户设备以及在用户设备中的方法 |
| CN108804906A (zh) * | 2011-12-29 | 2018-11-13 | 贝宝公司 | 一种用于应用登陆的系统和方法 |
| CN111371805A (zh) * | 2020-03-17 | 2020-07-03 | 北京工业大学 | 基于Token的统一身份认证接口及方法 |
| CN112334898A (zh) * | 2019-04-16 | 2021-02-05 | 罗伯托·格里吉奥 | 用于管理能够访问多个域的用户的多域访问凭证的系统和方法 |
Families Citing this family (124)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100644616B1 (ko) * | 2004-06-10 | 2006-11-10 | 세종대학교산학협력단 | 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템 |
| CN100583761C (zh) * | 2005-05-16 | 2010-01-20 | 联想(北京)有限公司 | 一种统一认证的实现方法 |
| US8402525B1 (en) | 2005-07-01 | 2013-03-19 | Verizon Services Corp. | Web services security system and method |
| JP4854338B2 (ja) * | 2006-03-07 | 2012-01-18 | ソフトバンクBb株式会社 | 移動体通信における認証システム及び認証方法 |
| US8959596B2 (en) | 2006-06-15 | 2015-02-17 | Microsoft Technology Licensing, Llc | One-time password validation in a multi-entity environment |
| EP2039050B1 (en) * | 2006-07-10 | 2019-02-20 | Telefonaktiebolaget LM Ericsson (publ) | Method and arrangement for authentication procedures in a communication network |
| JP2008052371A (ja) | 2006-08-22 | 2008-03-06 | Fujitsu Ltd | アウトバンド認証を伴うネットワークシステム |
| KR101319491B1 (ko) * | 2006-09-21 | 2013-10-17 | 삼성전자주식회사 | 도메인 정보를 설정하기 위한 장치 및 방법 |
| US7870601B2 (en) * | 2006-11-16 | 2011-01-11 | Nokia Corporation | Attachment solution for multi-access environments |
| US8893231B2 (en) * | 2006-11-16 | 2014-11-18 | Nokia Corporation | Multi-access authentication in communication system |
| EP2103077B1 (en) * | 2007-01-04 | 2011-03-09 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for determining an authentication procedure |
| US8533291B1 (en) * | 2007-02-07 | 2013-09-10 | Oracle America, Inc. | Method and system for protecting publicly viewable web client reference to server resources and business logic |
| US9021140B2 (en) * | 2007-03-12 | 2015-04-28 | Citrix Systems, Inc. | Systems and methods for error detection |
| US8572160B2 (en) | 2007-03-12 | 2013-10-29 | Citrix Systems, Inc. | Systems and methods for script injection |
| US8635680B2 (en) | 2007-04-19 | 2014-01-21 | Microsoft Corporation | Secure identification of intranet network |
| US8072990B1 (en) | 2007-04-20 | 2011-12-06 | Juniper Networks, Inc. | High-availability remote-authentication dial-in user service |
| US7987516B2 (en) * | 2007-05-17 | 2011-07-26 | International Business Machines Corporation | Software application access method and system |
| US8447847B2 (en) * | 2007-06-28 | 2013-05-21 | Microsoft Corporation | Control of sensor networks |
| US20090007256A1 (en) * | 2007-06-28 | 2009-01-01 | Microsoft Corporation | Using a trusted entity to drive security decisions |
| KR100981963B1 (ko) | 2007-07-06 | 2010-09-13 | 한국전자통신연구원 | 차세대 네트워크에서 서비스 네트워크와 액세스 네트워크 간 번들 인증을 위한 서비스 네트워크와 액세스 네트워크 내 노드 인증 및 노드 동작 방법 |
| CN100512313C (zh) | 2007-08-08 | 2009-07-08 | 西安西电捷通无线网络通信有限公司 | 一种增强安全性的可信网络连接系统 |
| US20090232310A1 (en) * | 2007-10-05 | 2009-09-17 | Nokia Corporation | Method, Apparatus and Computer Program Product for Providing Key Management for a Mobile Authentication Architecture |
| KR100953092B1 (ko) * | 2007-11-06 | 2010-04-19 | 한국전자통신연구원 | Sso서비스 방법 및 시스템 |
| US8875259B2 (en) * | 2007-11-15 | 2014-10-28 | Salesforce.Com, Inc. | On-demand service security system and method for managing a risk of access as a condition of permitting access to the on-demand service |
| WO2009072801A2 (en) * | 2007-12-05 | 2009-06-11 | Electronics And Telecommunications Research Institute | System for managing identity with privacy policy using number and method thereof |
| WO2009080106A1 (en) * | 2007-12-20 | 2009-07-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Selection of successive authentication methods |
| US20090178131A1 (en) * | 2008-01-08 | 2009-07-09 | Microsoft Corporation | Globally distributed infrastructure for secure content management |
| US8220032B2 (en) * | 2008-01-29 | 2012-07-10 | International Business Machines Corporation | Methods, devices, and computer program products for discovering authentication servers and establishing trust relationships therewith |
| GB2458258A (en) | 2008-02-04 | 2009-09-16 | Nec Corp | Method of controlling base station loading in a mobile communication system |
| US10552391B2 (en) * | 2008-04-04 | 2020-02-04 | Landmark Graphics Corporation | Systems and methods for real time data management in a collaborative environment |
| EP2266021A4 (en) * | 2008-04-04 | 2014-01-01 | Landmark Graphics Corp | SYSTEMS AND METHOD FOR CORRELATING METADATA MODELS AND ASSET LOGIC MODEL PRESENTATIONS |
| US8726358B2 (en) * | 2008-04-14 | 2014-05-13 | Microsoft Corporation | Identity ownership migration |
| US20090271847A1 (en) * | 2008-04-25 | 2009-10-29 | Nokia Corporation | Methods, Apparatuses, and Computer Program Products for Providing a Single Service Sign-On |
| US8646049B2 (en) * | 2008-05-02 | 2014-02-04 | Toposis Corporation | Systems and methods for secure management of presence information for communication services |
| US8141140B2 (en) * | 2008-05-23 | 2012-03-20 | Hsbc Technologies Inc. | Methods and systems for single sign on with dynamic authentication levels |
| US8910255B2 (en) * | 2008-05-27 | 2014-12-09 | Microsoft Corporation | Authentication for distributed secure content management system |
| US8943560B2 (en) | 2008-05-28 | 2015-01-27 | Microsoft Corporation | Techniques to provision and manage a digital telephone to authenticate with a network |
| US9735964B2 (en) * | 2008-06-19 | 2017-08-15 | Microsoft Technology Licensing, Llc | Federated realm discovery |
| US8700033B2 (en) * | 2008-08-22 | 2014-04-15 | International Business Machines Corporation | Dynamic access to radio networks |
| KR101001555B1 (ko) * | 2008-09-23 | 2010-12-17 | 한국전자통신연구원 | 네트워크 id 기반 연합 및 싱글사인온 인증 방법 |
| KR101556906B1 (ko) * | 2008-12-29 | 2015-10-06 | 삼성전자주식회사 | 선인증을 통한 이종 무선 통신망 간의 핸드오버 방법 |
| US8300637B1 (en) * | 2009-01-05 | 2012-10-30 | Sprint Communications Company L.P. | Attribute assignment for IP dual stack devices |
| CN101482882A (zh) * | 2009-02-17 | 2009-07-15 | 阿里巴巴集团控股有限公司 | 跨域处理cookie的方法及其系统 |
| US9059979B2 (en) * | 2009-02-27 | 2015-06-16 | Blackberry Limited | Cookie verification methods and apparatus for use in providing application services to communication devices |
| CN102449973B (zh) * | 2009-07-03 | 2014-12-24 | 华为技术有限公司 | 一种获取本地域名的方法、装置及系统 |
| CN101998360B (zh) * | 2009-08-11 | 2015-05-20 | 中兴通讯股份有限公司 | 建立身份管理信任的方法及身份提供方和业务提供方 |
| EP2489150B1 (en) * | 2009-11-05 | 2018-12-26 | VMware, Inc. | Single sign on for a remote user session |
| US8539234B2 (en) * | 2010-03-30 | 2013-09-17 | Salesforce.Com, Inc. | Secure client-side communication between multiple domains |
| US8688994B2 (en) | 2010-06-25 | 2014-04-01 | Microsoft Corporation | Federation among services for supporting virtual-network overlays |
| KR20120002836A (ko) * | 2010-07-01 | 2012-01-09 | 삼성전자주식회사 | 복수의 서비스에 대한 접근 제어 장치 및 방법 |
| US9953155B2 (en) * | 2010-12-08 | 2018-04-24 | Disney Enterprises, Inc. | System and method for coordinating asset entitlements |
| US9838351B2 (en) | 2011-02-04 | 2017-12-05 | NextPlane, Inc. | Method and system for federation of proxy-based and proxy-free communications systems |
| US9716619B2 (en) | 2011-03-31 | 2017-07-25 | NextPlane, Inc. | System and method of processing media traffic for a hub-based system federating disparate unified communications systems |
| US9077726B2 (en) | 2011-03-31 | 2015-07-07 | NextPlane, Inc. | Hub based clearing house for interoperability of distinct unified communication systems |
| US9203799B2 (en) | 2011-03-31 | 2015-12-01 | NextPlane, Inc. | Method and system for advanced alias domain routing |
| JP5259769B2 (ja) | 2011-04-13 | 2013-08-07 | シャープ株式会社 | 画像出力システム |
| US8656154B1 (en) * | 2011-06-02 | 2014-02-18 | Zscaler, Inc. | Cloud based service logout using cryptographic challenge response |
| US9418216B2 (en) | 2011-07-21 | 2016-08-16 | Microsoft Technology Licensing, Llc | Cloud service authentication |
| US9183361B2 (en) | 2011-09-12 | 2015-11-10 | Microsoft Technology Licensing, Llc | Resource access authorization |
| JP5786653B2 (ja) * | 2011-11-02 | 2015-09-30 | 株式会社バッファロー | ネットワーク通信装置、使用ネットワークインターフェイス部を選択する方法、パケットの送受信を行う方法、コンピュータプログラム及びコンピュータ読み取り可能な記録媒体 |
| US20140068247A1 (en) * | 2011-12-12 | 2014-03-06 | Moose Loop Holdings, LLC | Security device access |
| JP5932344B2 (ja) * | 2012-01-16 | 2016-06-08 | キヤノン株式会社 | 権限委譲システム、アクセス管理サービスシステム、および権限委譲システムを制御する制御方法 |
| JP5845973B2 (ja) | 2012-03-01 | 2016-01-20 | 富士通株式会社 | サービス利用管理方法、プログラム、および情報処理装置 |
| JP5799855B2 (ja) | 2012-03-02 | 2015-10-28 | 富士通株式会社 | サービス提供方法、プログラム、および情報処理装置 |
| US9166777B2 (en) * | 2012-03-05 | 2015-10-20 | Echoworx Corporation | Method and system for user authentication for computing devices utilizing PKI and other user credentials |
| US9003507B2 (en) | 2012-03-23 | 2015-04-07 | Cloudpath Networks, Inc. | System and method for providing a certificate to a third party request |
| US8850187B2 (en) * | 2012-05-17 | 2014-09-30 | Cable Television Laboratories, Inc. | Subscriber certificate provisioning |
| US9300570B2 (en) * | 2012-05-22 | 2016-03-29 | Harris Corporation | Multi-tunnel virtual private network |
| US9003189B2 (en) * | 2012-09-11 | 2015-04-07 | Verizon Patent And Licensing Inc. | Trusted third party client authentication |
| US9122865B2 (en) * | 2012-09-11 | 2015-09-01 | Authenticade Llc | System and method to establish and use credentials for a common lightweight identity through digital certificates |
| US8843741B2 (en) | 2012-10-26 | 2014-09-23 | Cloudpath Networks, Inc. | System and method for providing a certificate for network access |
| JP6255858B2 (ja) * | 2012-10-31 | 2018-01-10 | 株式会社リコー | システム及びサービス提供装置 |
| KR101358704B1 (ko) * | 2012-12-20 | 2014-02-13 | 라온시큐어(주) | 싱글 사인 온을 위한 인증 방법 |
| JP5920891B2 (ja) * | 2013-02-08 | 2016-05-18 | 日本電信電話株式会社 | 通信サービス認証・接続システム及びその方法 |
| US9009806B2 (en) * | 2013-04-12 | 2015-04-14 | Globoforce Limited | System and method for mobile single sign-on integration |
| US20140359457A1 (en) * | 2013-05-30 | 2014-12-04 | NextPlane, Inc. | User portal to a hub-based system federating disparate unified communications systems |
| US9098266B1 (en) * | 2013-05-30 | 2015-08-04 | Amazon Technologies, Inc. | Data layer service availability |
| US9705840B2 (en) | 2013-06-03 | 2017-07-11 | NextPlane, Inc. | Automation platform for hub-based system federating disparate unified communications systems |
| US9819636B2 (en) | 2013-06-10 | 2017-11-14 | NextPlane, Inc. | User directory system for a hub-based system federating disparate unified communications systems |
| US9319395B2 (en) * | 2013-07-03 | 2016-04-19 | Sailpoint Technologies, Inc. | System and method for securing authentication information in a networked environment |
| US10142378B2 (en) * | 2014-01-30 | 2018-11-27 | Symantec Corporation | Virtual identity of a user based on disparate identity services |
| JP6221803B2 (ja) * | 2014-02-13 | 2017-11-01 | 富士通株式会社 | 情報処理装置、接続制御方法、及びプログラム |
| JP6287401B2 (ja) * | 2014-03-18 | 2018-03-07 | 富士ゼロックス株式会社 | 中継装置、システム及びプログラム |
| US9985970B2 (en) | 2014-05-28 | 2018-05-29 | Conjur, Inc. | Individualized audit log access control for virtual machines |
| US10397213B2 (en) * | 2014-05-28 | 2019-08-27 | Conjur, Inc. | Systems, methods, and software to provide access control in cloud computing environments |
| US9680821B2 (en) | 2014-05-28 | 2017-06-13 | Conjur, Inc. | Resource access control for virtual machines |
| CN103997681B (zh) * | 2014-06-02 | 2016-02-17 | 合一网络技术(北京)有限公司 | 对视频直播进行防盗链处理的方法及其系统 |
| WO2016035769A1 (ja) * | 2014-09-01 | 2016-03-10 | パスロジ株式会社 | ユーザ認証方法及びこれを実現するためのシステム |
| GB2532248B (en) * | 2014-11-12 | 2019-05-01 | Thales Holdings Uk Plc | Network based identity federation |
| US9516065B2 (en) * | 2014-12-23 | 2016-12-06 | Freescale Semiconductor, Inc. | Secure communication device and method |
| US10601809B2 (en) | 2015-01-20 | 2020-03-24 | Arris Enterprises Llc | System and method for providing a certificate by way of a browser extension |
| US10104084B2 (en) * | 2015-07-30 | 2018-10-16 | Cisco Technology, Inc. | Token scope reduction |
| US9825938B2 (en) | 2015-10-13 | 2017-11-21 | Cloudpath Networks, Inc. | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration |
| US10367643B2 (en) * | 2016-03-28 | 2019-07-30 | Symantec Corporation | Systems and methods for managing encryption keys for single-sign-on applications |
| CN105791309B (zh) * | 2016-04-14 | 2019-09-17 | 北京小米移动软件有限公司 | 一种执行业务处理的方法、装置及系统 |
| CN106022625A (zh) * | 2016-05-27 | 2016-10-12 | 北京农信互联科技有限公司 | 一种猪场信息管理系统和方法 |
| US10171467B2 (en) | 2016-07-21 | 2019-01-01 | International Business Machines Corporation | Detection of authorization across systems |
| US20180063152A1 (en) * | 2016-08-29 | 2018-03-01 | Matt Erich | Device-agnostic user authentication and token provisioning |
| US10834069B2 (en) | 2016-08-30 | 2020-11-10 | International Business Machines Corporation | Identification federation based single sign-on |
| WO2018044282A1 (en) | 2016-08-30 | 2018-03-08 | Visa International Service Association | Biometric identification and verification among iot devices and applications |
| US11301550B2 (en) * | 2016-09-07 | 2022-04-12 | Cylance Inc. | Computer user authentication using machine learning |
| WO2018049646A1 (en) * | 2016-09-18 | 2018-03-22 | Nokia Shanghai Bell Co., Ltd. | Unified security architecture |
| US11025627B2 (en) * | 2017-07-10 | 2021-06-01 | Intel Corporation | Scalable and secure resource isolation and sharing for IoT networks |
| US10637845B2 (en) * | 2017-07-21 | 2020-04-28 | International Business Machines Corporation | Privacy-aware ID gateway |
| US10721222B2 (en) * | 2017-08-17 | 2020-07-21 | Citrix Systems, Inc. | Extending single-sign-on to relying parties of federated logon providers |
| US11128464B1 (en) | 2017-08-24 | 2021-09-21 | Amazon Technologies, Inc. | Identity token for accessing computing resources |
| US11190516B1 (en) * | 2017-08-24 | 2021-11-30 | Amazon Technologies, Inc. | Device communication with computing regions |
| US11196733B2 (en) * | 2018-02-08 | 2021-12-07 | Dell Products L.P. | System and method for group of groups single sign-on demarcation based on first user login |
| US10855670B2 (en) | 2018-05-03 | 2020-12-01 | Vmware, Inc. | Polling service |
| US10855669B2 (en) * | 2018-05-03 | 2020-12-01 | Vmware, Inc. | Authentication service |
| CN110971569A (zh) * | 2018-09-29 | 2020-04-07 | 北京奇虎科技有限公司 | 网络访问权限管理方法、装置及计算设备 |
| CN110278187B (zh) * | 2019-05-13 | 2021-11-16 | 网宿科技股份有限公司 | 多终端单点登录方法、系统、同步服务器及介质 |
| CN110266640B (zh) * | 2019-05-13 | 2021-11-05 | 平安科技(深圳)有限公司 | 单点登录防篡改方法、装置、计算机设备及存储介质 |
| US11582229B2 (en) * | 2019-06-01 | 2023-02-14 | Apple Inc. | Systems and methods of application single sign on |
| US11696134B2 (en) * | 2019-08-02 | 2023-07-04 | Qualcomm Incorporated | Secure path discovery in a mesh network |
| WO2021033262A1 (ja) * | 2019-08-20 | 2021-02-25 | 日本電信電話株式会社 | ユーザクレデンシャル制御システムおよびユーザクレデンシャル制御方法 |
| EP3879422A1 (en) | 2020-03-09 | 2021-09-15 | Carrier Corporation | Network identifier and authentication information generation for building automation system controllers |
| US11770377B1 (en) * | 2020-06-29 | 2023-09-26 | Cyral Inc. | Non-in line data monitoring and security services |
| CN112560059B (zh) * | 2020-12-17 | 2022-04-29 | 浙江工业大学 | 一种基于神经通路特征提取的垂直联邦下模型窃取防御方法 |
| WO2022177784A1 (en) * | 2021-02-22 | 2022-08-25 | Arris Enterprises Llc | Device-independent authentication based on an authentication parameter and a policy |
| US11689924B2 (en) * | 2021-04-02 | 2023-06-27 | Vmware, Inc. | System and method for establishing trust between multiple management entities with different authentication mechanisms |
| US11599677B2 (en) * | 2021-04-30 | 2023-03-07 | People Center, Inc. | Synchronizing organizational data across a plurality of third-party applications |
| US11863348B2 (en) * | 2021-07-06 | 2024-01-02 | Cisco Technology, Inc. | Message handling between domains |
| CN116760610A (zh) * | 2023-06-30 | 2023-09-15 | 中国科学院空天信息创新研究院 | 网络受限条件下的用户跨域认证系统、方法、设备及介质 |
Family Cites Families (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5684950A (en) * | 1996-09-23 | 1997-11-04 | Lockheed Martin Corporation | Method and system for authenticating users to multiple computer servers via a single sign-on |
| US6243816B1 (en) * | 1998-04-30 | 2001-06-05 | International Business Machines Corporation | Single sign-on (SSO) mechanism personal key manager |
| US6947432B2 (en) * | 2000-03-15 | 2005-09-20 | At&T Corp. | H.323 back-end services for intra-zone and inter-zone mobility management |
| EP1264463A2 (en) * | 2000-03-17 | 2002-12-11 | AT & T Corp. | Web-based single-sign-on authentication mechanism |
| US7092370B2 (en) * | 2000-08-17 | 2006-08-15 | Roamware, Inc. | Method and system for wireless voice channel/data channel integration |
| US7174383B1 (en) * | 2001-08-31 | 2007-02-06 | Oracle International Corp. | Method and apparatus to facilitate single sign-on services in a hosting environment |
| US7610390B2 (en) * | 2001-12-04 | 2009-10-27 | Sun Microsystems, Inc. | Distributed network identity |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| JP2003296277A (ja) * | 2002-03-29 | 2003-10-17 | Fuji Xerox Co Ltd | ネットワーク装置、認証サーバ、ネットワークシステム、認証方法 |
| US7219154B2 (en) * | 2002-12-31 | 2007-05-15 | International Business Machines Corporation | Method and system for consolidated sign-off in a heterogeneous federated environment |
| US8554930B2 (en) * | 2002-12-31 | 2013-10-08 | International Business Machines Corporation | Method and system for proof-of-possession operations associated with authentication assertions in a heterogeneous federated environment |
| US20050154887A1 (en) * | 2004-01-12 | 2005-07-14 | International Business Machines Corporation | System and method for secure network state management and single sign-on |
-
2005
- 2005-07-11 JP JP2006554401A patent/JP2008506139A/ja active Pending
- 2005-07-11 BR BRPI0513195-2A patent/BRPI0513195A/pt not_active Application Discontinuation
- 2005-07-11 CN CNA2005800303342A patent/CN101014958A/zh active Pending
- 2005-07-11 US US11/631,625 patent/US20080072301A1/en not_active Abandoned
- 2005-07-11 EP EP05766228A patent/EP1774744A2/en not_active Withdrawn
- 2005-07-11 KR KR1020077002869A patent/KR20070032805A/ko not_active Application Discontinuation
- 2005-07-11 WO PCT/JP2005/013193 patent/WO2006006704A2/en active Application Filing
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101616136B (zh) * | 2008-06-26 | 2013-05-01 | 阿里巴巴集团控股有限公司 | 一种提供互联网服务的方法及服务集成平台系统 |
| CN101741817B (zh) * | 2008-11-21 | 2013-02-13 | 中国移动通信集团安徽有限公司 | 一种多网络融合系统、装置及方法 |
| CN107070843A (zh) * | 2011-04-28 | 2017-08-18 | 交互数字专利控股公司 | 一种用户设备以及在用户设备中的方法 |
| CN103685214B (zh) * | 2011-10-28 | 2017-03-01 | 通用汽车环球科技运作有限责任公司 | 用于汽车电子控制单元的安全访问方法 |
| CN103685214A (zh) * | 2011-10-28 | 2014-03-26 | 通用汽车环球科技运作有限责任公司 | 用于汽车电子控制单元的安全访问方法 |
| CN108804906A (zh) * | 2011-12-29 | 2018-11-13 | 贝宝公司 | 一种用于应用登陆的系统和方法 |
| CN108804906B (zh) * | 2011-12-29 | 2021-11-02 | 贝宝公司 | 一种用于应用登陆的系统和方法 |
| CN104169935A (zh) * | 2012-03-28 | 2014-11-26 | 索尼公司 | 信息处理装置、信息处理系统、信息处理方法及程序 |
| CN103051631B (zh) * | 2012-12-21 | 2015-07-15 | 国云科技股份有限公司 | PaaS平台与SaaS应用系统的统一安全认证方法 |
| CN103051631A (zh) * | 2012-12-21 | 2013-04-17 | 国云科技股份有限公司 | PaaS平台与SaaS应用系统的统一安全认证方法 |
| CN105393254B (zh) * | 2013-06-21 | 2023-01-31 | Visa欧洲有限公司 | 允许访问数据 |
| US11868169B2 (en) | 2013-06-21 | 2024-01-09 | Visa Europe Limited | Enabling access to data |
| CN105393254A (zh) * | 2013-06-21 | 2016-03-09 | Visa欧洲有限公司 | 允许访问数据 |
| CN104753673A (zh) * | 2013-12-30 | 2015-07-01 | 上海格尔软件股份有限公司 | 一种基于随机关联码的用户多认证凭证关联方法 |
| CN104753673B (zh) * | 2013-12-30 | 2019-04-30 | 格尔软件股份有限公司 | 一种基于随机关联码的用户多认证凭证关联方法 |
| CN111062720A (zh) * | 2014-05-05 | 2020-04-24 | 维萨国际服务协会 | 用于令牌域控制的系统和方法 |
| US11122133B2 (en) | 2014-05-05 | 2021-09-14 | Visa International Service Association | System and method for token domain control |
| CN106462849A (zh) * | 2014-05-05 | 2017-02-22 | 维萨国际服务协会 | 用于令牌域控制的系统和方法 |
| CN111062720B (zh) * | 2014-05-05 | 2023-11-07 | 维萨国际服务协会 | 用于令牌域控制的系统和方法 |
| CN105763526B (zh) * | 2014-12-19 | 2019-01-01 | 中国移动通信集团公司 | 一种安全认证方法、网络设备及系统 |
| CN105763526A (zh) * | 2014-12-19 | 2016-07-13 | 中国移动通信集团公司 | 一种安全认证方法、网络设备及系统 |
| CN112334898A (zh) * | 2019-04-16 | 2021-02-05 | 罗伯托·格里吉奥 | 用于管理能够访问多个域的用户的多域访问凭证的系统和方法 |
| CN111371805A (zh) * | 2020-03-17 | 2020-07-03 | 北京工业大学 | 基于Token的统一身份认证接口及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1774744A2 (en) | 2007-04-18 |
| WO2006006704A2 (en) | 2006-01-19 |
| KR20070032805A (ko) | 2007-03-22 |
| WO2006006704A3 (en) | 2006-03-02 |
| BRPI0513195A (pt) | 2008-04-29 |
| US20080072301A1 (en) | 2008-03-20 |
| JP2008506139A (ja) | 2008-02-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101014958A (zh) | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 | |
| EP2027666B1 (en) | Access to services in a telecommunications network | |
| CN105830414B (zh) | 使用凭证的安全的网络接入 | |
| CN101032142B (zh) | 通过接入网单一登录访问服务网络的装置和方法 | |
| CN101009561B (zh) | 用于imx会话控制和认证的系统和方法 | |
| FI115098B (fi) | Todentaminen dataviestinnässä | |
| KR101374810B1 (ko) | 가상 가입자 식별 모듈 | |
| CN1977514B (zh) | 用户鉴权 | |
| US9025769B2 (en) | Method of registering smart phone when accessing security authentication device and method of granting access permission to registered smart phone | |
| US20080060066A1 (en) | Systems and methods for acquiring network credentials | |
| JP5276593B2 (ja) | ネットワーク信用証明書を獲得するためのシステムおよび方法 | |
| DK2924944T3 (en) | Presence authentication | |
| JP4803145B2 (ja) | 鍵共有方法、鍵配信システム | |
| WO2010046178A1 (en) | Methods and devices for a client node to access an information object located at a node of a secured network via a network of information | |
| US20110289567A1 (en) | Service access control | |
| WO2009074082A1 (fr) | Procédé, système et dispositif de contrôle d'accès | |
| CN105763517A (zh) | 一种路由器安全接入和控制的方法及系统 | |
| US20080052771A1 (en) | Method and System for Certifying a User Identity | |
| CN101370007B (zh) | Wimax网络中对定位业务增强安全性和保护隐私权的方法 | |
| KR101273285B1 (ko) | 인증 에이전트 장치, 온라인 서비스 인증 방법 및 시스템 | |
| CN102083066B (zh) | 统一安全认证的方法和系统 | |
| US20080256605A1 (en) | Localized authorization system in IP networks | |
| EP1980083B1 (en) | Method for personal network management across multiple operators | |
| KR20170070379A (ko) | 이동통신 단말기 usim 카드 기반 암호화 통신 방법 및 시스템 | |
| Almuhaideb et al. | Toward a Ubiquitous Mobile Access Model: A roaming agreement-less approach |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |