CN101032142B - 通过接入网单一登录访问服务网络的装置和方法 - Google Patents
通过接入网单一登录访问服务网络的装置和方法 Download PDFInfo
- Publication number
- CN101032142B CN101032142B CN2003801109463A CN200380110946A CN101032142B CN 101032142 B CN101032142 B CN 101032142B CN 2003801109463 A CN2003801109463 A CN 2003801109463A CN 200380110946 A CN200380110946 A CN 200380110946A CN 101032142 B CN101032142 B CN 101032142B
- Authority
- CN
- China
- Prior art keywords
- user
- service
- key
- sso
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 76
- 238000010200 validation analysis Methods 0.000 claims description 30
- 239000000463 material Substances 0.000 claims description 22
- 238000004891 communication Methods 0.000 claims description 19
- 230000000295 complement effect Effects 0.000 claims description 18
- 230000008569 process Effects 0.000 claims description 12
- 238000012795 verification Methods 0.000 claims description 9
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000000694 effects Effects 0.000 claims description 3
- 238000004321 preservation Methods 0.000 claims description 2
- 230000001960 triggered effect Effects 0.000 claims description 2
- 230000007246 mechanism Effects 0.000 description 12
- 230000008901 benefit Effects 0.000 description 10
- 238000009434 installation Methods 0.000 description 5
- 239000013598 vector Substances 0.000 description 5
- 230000008878 coupling Effects 0.000 description 4
- 238000010168 coupling process Methods 0.000 description 4
- 238000005859 coupling reaction Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 238000007689 inspection Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000009471 action Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 239000012141 concentrate Substances 0.000 description 1
- 238000013524 data verification Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000002360 preparation method Methods 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access, e.g. scheduled or random access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Abstract
本发明提供一种装置和方法,当用户已经被核心网络验证时,用于用户的单一登录验证,该用户通过接入网访问服务网络,在所述核心网络中用户订购了服务。因此,在核心网络和服务网络之间分布的不同实体中以及用户设备中提供大量装置,用于执行提出的方法。当服务网络中从核心网络提交的用户共享密钥与用户装备处得出的用户另一共享密钥相匹配时发生单一登录验证。
Description
发明领域
本发明一般涉及用户单一登录服务,该用户通过接入网访问网络业者(network operator)的服务网络,该用户先前已经经过验证以通过网络业者的核心网络访问该接入网。更具体而言,本发明涉及上述方案中的单一登录验证目的的装置和方法。
背景
希望为其用户提供无线局域网(WLAN)访问的移动网络业者可能希望为所述访问使用基于SIM的验证过程,所以用户具有单一的安全性令牌,例如SIM卡可以用于不同访问技术同时维持统一的安全级。移动网络业者的用户可以访问的无线局域网(WLAN)称为WLAN接入网。WLAN访问协议一般受IEEE 802.11协议说明的管理。
WLAN接入网本身可以属于移动网络业者(此后称为MNO),或属于一些其它业者,例如WLAN Internet服务提供者。不考虑拥有WLAN接入网的业者的情况怎样,一般在MNO的核心网络(CN)中执行用户验证,该MNO中用户订购了服务(称为MNO核心网络,此后缩写为MNO-CN)。典型的MNO-CN可以是GSM核心网络、GPRS核心网络或UMTS核心网络及其它核心网络。
在通过MNO-CN的用户验证过程中,涉及大量实体,例如验证网关(AG),接收源自于用户的访问请求,从归属位置(home location)寄存器(HLR)获取用于验证用户的验证向量(AV),并且一旦所述用户已经成功验证,准予对该用户的访问。验证网关(AG)一般通过询问-应答机制验证用户,例如该机制可以是rfc3310中提出的验证和密钥分配协定(AKA),但也可使用其它验证过程。除了这些实体,一般提供验证中心(AuC)实体,负责为大量用户产生验证向量,并一旦请求,供给到HLR。
操作中,一旦用户已经获准对WLAN接入网进行访问并已经过验证,用户可以设法访问服务网络(SN)中可获得的服务,所述服务网络(SN) 可以具体地属于移动网络业者(此后,称为MNO-SN)。现在,倘若用户通过WLAN接入网对该MNO-SN进行访问,既便该WLAN接入网已经验证了用户,用户也必须由该MNO-SN验证。为清楚起见,描述用户的“访问层验证”和“服务层验证”之间的区别是值得的。前者是在准予用户对接入网进行访问之前由核心网络(CN)实施的用户验证,而后者是在所述服务网络中在准予用户对服务进行访问之前由服务网络(SN)实施的用户验证。
由一种服务网络实施的所述‘服务层验证’的典型教导在伦敦大学皇家豪勒威学院的信息安全组的Andreas Pashalidis和ChrisMitchell的大学论文“Using GSM/UMTS for Single Sign-on”中有所描述。该论文中,主要部分是一种用户系统(US),包括网络访问设备、SIM卡和SIM卡读取器;服务提供者(SP),它在该论文的上下文中是为用户提供某种服务或内容的任何实体;以及GSM业者的验证中心(AuC)。
该大学论文介绍了作为一种技术的单一登录(SSO)概念,其中用户仅向受托验证服务提供者(ASP)验证其本身一次,并自动记录到它们后续使用的SP中,而不必每次都重复验证。在该SSO概念下,SP需要某些形式的从ASP发出的通告,指示用户的验证状态。这些通告被称为验证评估。
该大学论文中SSO的方案是在用户从SP请求服务时开始。该过程具有:第一步骤,其中SP向US发送一个随机值(RAND);第二步骤,其中所述US中的SIM计算一个密码本Kc,它作为秘密用户(secretuser)密钥(key)Ki和所给RAND的函数(GSM运算法则A8);第三步骤,其中US使用该密码本Kc对SP标识符(SPID)计算另一个最终代码(MAC,SHA-1);第四步骤,其中US返回给SP一个用户标识符(IMSI)以及计算的MACKC(SPID);第五步骤,其中SP发送该答案和RAND给AuC;第六步骤,其中AuC发现对应于用户标识符(IMSI)的秘密用户密钥Ki,并计算一个密码本Kc,它作为秘密用户密钥Ki和给出的RAND的函数(GSM运算法则A8);第七步骤,其中AuC还使用原先计算出的密码本Kc计算MACKC(SPID),并检查接收的MACKC(SPID)是否与最近计算的一个相匹配;以及第八步骤,其中AuC返回给SP一个验证评估, 当上述匹配发生时该验证评估指示一个用户有效验证,否则指示验证失败。现在,SP已经获取了验证评估,所以该论文中陈述的SSO概念下不需要进一步的验证。
该大学论文中的第一教导是SP,以它自己的词语,称为“为用户提供某种服务或内容的任何实体”,总是触发一类明确和完整的GSM验证过程,如该论文所示,SP产生RAND值,触发验证过程,并在用户设备和本地核心(home core)网络的验证实体之间用作中间实体,后者实施明确和完整的GSM验证过程。如果读者假设SP作为从用户接收服务请求的服务网络(SN)中的实体,则该大学论文中的方案可以类似于该说明书开始所述的方案。
然而,既便该论文引用了WLAN访问作为一种可能的互连,但它没有关于一种用户使用它自己的移动网络的原先的“访问层验证”的任何描述。而且,假设当对SP进行访问时,用户与移动网络相连,在被准予这种访问之前,用户应该已经由它的移动核心网络验证。在该大学论文中没有这方面的描述,SSO概念看上去仅在已经在SP或在服务网络的实体上成功验证用户之后适用。即,SSO看上去仅在已经为用户实施明确的“服务层验证”之后适用。
该大学论文的第二教导是验证过程可以在US和UMTS/3GPP网络之间实施,SP作为从AuC向US发送询问并从US向AuC发送应答,且如果用户已经成功验证,最后从AuC接收验证评估的中间实体。至于上述第一教导,明确和完整的用户验证可以在用户访问的SP的请求处实施,或在该SP的参与下实施。
然而该论文中,当访问其它网络或其它网络域名时,没有为原先已经验证的用户使用SSO这方面的教导。尤其是,没有关于用户是否已经通过接入网(例如WLAN)实施原先的“访问层验证”的教导,也没有在较宽的SSO原则内访问服务网络时该“访问层验证”怎样可以再用作另一个“服务层验证”的教导。
而且,既便该大学论文陈述了用户仅向可靠的验证服务提供者(ASP)验证一次,并自动记录到用户还要使用的服务提供者中,但没有公开怎样实施这一点。这方面,论文仅引用了AuC和US需要赞同消息身份验证码(MAC)函数的使用,该函数还用于计算从SP提交到AuC 的MACKC(SPID),用于检查用户是否已经得到验证。根据ISBN 0-471-11709-9,Bruce Schneier的“Applied Cryptography”中的教导,消息身份验证码(MAC)也称为数据验证码(DAC),是作用到输入的除了密钥(部分18.14)之外的单向哈希函数,其中单向表示不能从输出得出输入的函数,因此,没有用于验证用户已经被验证过的装置,而是重复验证机制并且将所提供的结果与接收的结果进行比较。由此,该大学论文中没有适用的教导用于访问服务网络时再使用原先的访问级验证。而且,如果用户设法访问第二SP中的服务,所述第二SP具有不同的SPID,因为保存在第一SP中的原先的评估不被第二SP所知和使用,因此将必须再次重复原先的完全明确验证,从而为所述不同SPID产生新的MACKC(SPID)。
本文中,用于本发明的目的,单一登录(SSO)是一个新兴的原则,使得用户访问不同的网络或不同的网络域名,一旦用户已经验证,不用为每个特定的不同的网络或不同的网络域名明确地验证这些用户。该原则暗示着用户在给定的网络或给定的网络域名只验证一次,对于其它网络或网络域名的入口,得出的验证是有效的。换句话说,SSO的目的是允许用户安全地访问不同的网络或网络域名,而不用每次都明确地验证。
当相同的实体,例如移动网络业者(MNO),完全控制访问层验证时,其中用户已经使用MNO的核心网络(CN)验证,发生特殊的情况,MNO可以信任该验证以允许用户进一步访问MNO的服务网络(SN)。例如,用户可以使用MNO-CN验证以获得对通用分组无线业务(GPRS)的访问,其中MNO-SN是可访问的,因为从移动网络业者视角来看GPRS网络是可靠的网络,MNO-SN依赖于该验证。
更具体而言,对于上述已知GPRS技术,当用户已经获准通过GPRS接入网访问MNO核心网络(MNO-CN)且由此已经得到验证时,因为移动网络业者的IP基层结构中的所有的设备都假设成具有抗电子欺骗能力以防止虚拟IP地址的恶意使用,因此用户被分配一个可信任的IP地址。即,分配给用户的IP地址可以用于跟踪已经访问MNO核心网络(MNO-CN)的用户与现在访问MNO服务网络(MNO-SN)的用户相同。通过网关GPRS支持节点(GGSN)告知所述身份识别给MNO服务网络 中的实体,例如验证-授权-计费(AAA)服务器。简而言之,通过MNO核心网络(CN)以识别被验证用户的IP地址分配是用于通过可靠接入网(例如GPRS网络)访问典型的MNO服务网络的SSO解决方法的关键方面。
在这种特定情况下,MNO服务网络(MNO-SN)仅能依赖于MNO核心网络(MNO-CN)来验证用户正访问的接入网是否提供数据原始验证。例如,这是用户访问GPRS接入网时的情况。本文中,数据原始验证意味着对于任何从接入网(例如上述用户分配的IP地址)接收的数据,所述数据的始发者可以认为是可信的,而不管始发者是谁。
然而,因为WLAN基层结构通常不属于MNO,且不能期望目前存在于GPRS接入网中的抗电子欺骗能力适用于WLAN接入网,因此WLAN接入网不能为MNO以可信的方法分配IP地址。因此,分配给被验证用户和在MNO服务网络(MNO-SN)从WLAN接入网接收的IP地址不能作为令牌接受,以跟踪在MNO服务网络中所述用户的存在,并由此,不能使用传统机制来支持SSO验证。
在现在这个阶段,注意力集中在上述大学论文,其中在再使用或信赖可能的用户原先访问层验证(使用其核心网络)方面没有提及,而更倾向于通过WLAN接入网访问服务实体(SP),即访问服务网络中的实体。
本发明的目的是提供一种装置和方法,当用户通过不可靠(non-trusted)接入网访问服务网络时,用于为移动网络业者的用户提供较宽的单一登录机制,所述用户原先已经由移动网络业者的核心网络验证。
而且,该目的还包括使提供较宽的单一登录机制的所述装置和方法也适用于单个发明概念下固定网络业者的用户。
因此,本发明的目的是提供一种SSO机制,其允许服务网络信任通过不可靠接入网接收的验证令牌并用于证明用户原先已经得到验证。
本发明的另一个目的是该SSO机制还可以在是完全可靠接入网的接入网中使用,从而不必区分接入网是否可以被服务网络信任。
发明简述
根据本发明,通过提供权利要求1的装备、与权利要求8的装备连接的权利要求4的会话管理器、权利要求17的用户设备以及权利要求2 1的方法实现上述目的,它们所有都用于通过接入网为用户提供对服务网络的SSO访问,其中用户已经由核心网络(用户在其中订购了服务)验证。
权利要求1的装备,在本说明书中称为验证网关,根据本发明,用于从接入网中的实体接收通信核心网络中的访问请求,该接入网中用户使用用户设备进行访问。用户是通信核心网络的订户并由包括在访问请求中的用户标识符标识。这种装备一般包括:
-使用用户设备通过接入网实施验证过程以验证用户的装置;以及
-计算至少一个可用作加密材料的秘密用户密钥(Kc)的装置;
根据本发明,这种验证网关包括:
-从加密材料得出将用于SSO目的的用户共享密钥的装置;以及
-向服务于服务网络的会话管理器发送所述用户共享密钥和用户标识符的装置。
验证网关优选地包括用于被告知访问层的会话已经确立的装置,称为访问会话,所述通告触发了用户共享密钥向服务于服务网络的会话管理器的发送。而且,该验证网关可以优选地包括被告知访问层的会话已经结束的装置,以及将该通告发送给服务于服务网络的会话管理器以为用户停止当前主会话的装置。
权利要求4的会话管理器是服务于SSO目的的服务网络的实体,并用于为通过接入网访问服务网络的用户管理会话记录。为了本发明目的,用户原先已经被通信核心网络验证,其中用户在该核心网中订购了服务。
根据本发明的会话管理器还包括:
-从用于SSO验证目的的核心网络接收第一用户共享密钥和用户标识符的装置,可以在通过核心网络的用户验证过程中获得该第一用户共享密钥;
-为用户创建主会话的装置,该主会话包括用户标识符和接收的第一用户共享密钥;以及
-为用户检查用户设备处得出的第二用户共享密钥是否与包括在主会话中的第一用户共享密钥相匹配的装置。
会话管理器可以优选地包括创建服务会话以索引主会话的装置,在第一和第二用户共享密钥匹配的情况下,该服务会话作为成功SSO用户验证的令牌。而且,该会话管理器还可以包括为用户验证服务会话是否索引活动的主会话以确定原先的SSO验证是否仍然有效的装置。
通过提供会话管理器可以获得其它的优势,其中检查在用户装备处得出的第二用户共享密钥与包括在主会话中的第一用户共享密钥是否相匹配的装置,包括处理第一用户共享密钥以获得第一密钥码以与从用户装备处得出的第二密钥码相匹配的装置。
操作中,上述会话管理器与权利要求8的装备相结合,在本说明书中该装备称为服务访问验证节点。如优选实施例部分中进一步所述,尽管也可以实施这种连接之间的其它结构,但上述会话管理器和权利要求8的所述装备之间特性的分布是基于当前趋势和标准。
权利要求8的这种装备用于从用户接收请求,该用户通过接入网使用用户设备访问通信服务网络,当用户已经被用户订购了服务的通信核心网络验证时,请求一般包括用户标识符以标识用户。根据本发明这种装备包括:
-验证用户设备的请求中是否指示了活动的服务会话的装置;
-评估用户共享密钥保存在用户装备中的装置;以及
-结合服务于SSO目的的服务网络的会话管理器,为用户确定用户设备处的用户共享密钥是否与主会话中保存的那个密钥相匹配的装置。
该装备优选地还包括为SSO目的而为用户从服务于服务网络的会话管理器获得服务会话的装置。而且,该装备还可以包括用于产生提交给用户设备的SSO信息的装置,该SSO信息包括服务会话。而且,该装备还可以包括从用户设备接收SSO信息的装置,SSO信息为用户指示服务会话。
通过提供具有向用户设备下载SSO插件程序的装置的装备可以获得其它优点,运行该SSO插件程序以确认用户共享密钥。
通过提供一种装备可以获得其它的优点,该装备中评估用户共享密钥保存在用户设备的装置包括从用户装备接收选自下面元素的装 置:
-通过处理用户设备处的用户共享密钥可获得的密钥码;以及
-用户共享密钥。
如果装备还包括为SSO目的而向服务于服务网络的协作会话管理器提交所接收的元素的装置,则上述的最后的优点可以增强。
自然地可以发现不同的方案,其中,具体而言,一般地可以使用本发明以及与该会话管理器连接的所述装备。
例如,所述装备可以用作在Walled-Garden SSO模式从访问服务网络的用户中接收服务请求的HTTP代理。
还例如,所述装备可以用作身份提供者的验证节点,其中在联盟式SSO模式从访问服务提供者服务的用户中接收凭证请求。
为了有效地实现本发明的目的,提供根据权利要求17的用户设备。一种用户设备,可以为订购了通信网络中的服务的用户所用,用于通过接入网访问通信服务网络,该用户设备具有:
-执行验证过程的装置,以通过接入网使用核心网络验证用户,在所述核心网络中用户订购了服务;以及
-用于计算至少一个可用作加密材料的秘密用户密钥的装置,例如用于加密目的的密码本及其它密钥;
根据本发明的用户设备还包括:
-从加密材料得出用于SSO目的的用户共享密钥的装置;
-保存该用户共享密钥的储藏器;以及
-向服务网络中的实体确认保存在用户设备处的用户共享密钥的装置。
通过提供一种用户设备,其中确认保存在用户设备中的用户共享密钥的装置包括从服务网络的实体下载SSO插件程序的装置,运行该SSO插件程序用于确认用户共享密钥,和上述其它实体的优势一样,还可获得其它优势。
然而,通过提供一种用户设备,其中确认保存在用户设备中的用户共享密钥的装置包括处理用户共享密钥以获得将要发送给服务网络中的实体的密钥码的装置,可以确保额外的安全性。
根据本发明,为了进一步简化对SSO机制内的服务网络的用户后 续访问,用户设备还包括在第一访问过程从服务网络中的实体接收SSO信息的装置。该SSO信息将作为SSO令牌包括在用户设备的所有其它服务请求中。
除了描述本发明的结构部分的上述装置,还提供一种支持用户单一登录服务的方法,该用户具有用户设备,该设备用于通过接入网访问通信核心网络和服务网络,当访问接入网时该用户标识为通信核心网络的订户,该方法包括以下步骤:
-为核心网络和用户设备之间的用户实施验证过程;
-在核心网络的实体处计算至少一个可用作加密材料的秘密用户密钥;以及
-在用户设备处计算至少一个可用作加密材料的秘密用户密钥;
根据本发明的方法还包括以下步骤:
-从核心网络的实体处的加密材料得出用于SSO目的的第一用户密钥;
-从用户设备处的加密材料得出用于SSO目的的第二用户密钥;
-在服务网络中的实体处为用户创建主会话,主会话包括用户标识符和第一用户密钥;
-向服务网络中的实体确认保存在用户设备处的第二用户共享密钥;
-为服务网络中的实体处的用户验证第二用户共享密钥是否与第一用户共享密钥相匹配;以及
-在第一和第二用户共享密钥匹配时,准予访问服务网络中的所请求的服务。
以下面的方式提供该方法具有其它优势:验证第一和第二用户共享密钥的匹配还包括创建服务会话以索引主会话的步骤,该服务会话将作为成功SSO验证的令牌。而且,该方法还可以包括产生将要向用户设备发送的SSO信息的步骤,SSO信息包括该服务会话。而且,该方法还可以包括通过检查是否接收SSO信息,验证活动的服务会话是否在用户设备的请求中指示的步骤。
在提供可用的用户设备时,为了允许提供其它优势的可能性,如果确认保存在用户设备的第二用户共享密钥的步骤包括从服务网络的 实体下载SSN插件程序的步骤,则该方法被加强,运行所述SSO插件程序以确认用户共享密钥。
如上所述,通过提供一种方法可以获得额外的安全性,该方法中,确认保存在用户设备中的第二用户共享密钥的步骤包括,处理用户共享密钥以获得将要发送到服务网络中的实体的密钥码的步骤。如果验证第二用户共享密钥是否与第一用户共享密钥相匹配的步骤包括,在服务网络的实体处处理该第一用户共享密钥以获得与用户设备的第二密钥码相匹配的第一密钥码的步骤,则该方法更有效。
优选地,该方法以这种方式实施:在服务网络的实体处为用户创建主会话的步骤包括从核心网络的实体接收第一用户密钥的步骤。
而且,如果在服务网络的实体处为用户创建主会话的步骤包括在用户对接入网进行访问时发起访问会话的步骤,则可以获得优选执行方案。
附图简述
通过阅读下面的描述并结合附图,本发明的特征、目的和优势将显而易见,附图中:
图1呈现的基本示图示出了实体和主界面,该实体和主界面涉及当具有用户设备的用户通过WLAN接入网访问服务网络时实施SSO验证,用户原先已经被用户订购了服务的核心网络验证。
图2A示出了由访问核心网络(CN)的用户设备实施的动作序列,用户通过WLAN接入网订购了该核心网络的服务以便被所述核心网络验证。
图2B示出了当用户已经如图2A所示被核心网络验证时,由访问服务网络(SN)的用户设备通过接入网(WLAN)实施的动作序列。
优选实施例详述
下面描述一些优选实施例,当通过接入网(诸如WLAN接入网)访问网络业者的服务网络(SN)时,为网络业者的用户提供单一登录机制,其中所述用户原先已经被网络业者的核心网络(CN)验证。
本发明提出了在用户设备(UE)与网络业者的核心网络(CN)处 和服务网络(SN)处的不同实体之间实施的机制的若干方面。
用于本发明的目的,用户设备(UE)是一个终端,它可以是集成装置或大量互连装置,用于访问用户订购了服务的网络,并用于访问其它接入网,例如WLAN网络;用户设备包括访问验证客户机,用于在用户端使用用户订购了服务的网络的核心网络(CN)实施验证过程,以及网页浏览器,也称为用户客户机,并用于访问服务网络(SN)的服务。根据本发明,在该访问层验证过程由访问验证客户机在用户端产生加密材料以被进一步使用。
具体而言,用户订购了服务的所述网络可以是移动网络。这种情况下,访问层验证优选地由基于SIM的验证过程实施。因此,用户设备还包括具有订购服务的数据的SIM卡和SIM卡读取器。
另一方面,用户订购了服务的所述网络还可以是固定网络,这种情况,可以依赖于希望被访问验证客户机实施的业者的特定验证过程而配置用户设备。对于移动网络,用户和固定网络之间的验证过程可以基于具有相关订购服务的数据的特定用户卡的使用,这样用户设备包括相应的卡读取器;或它可以基于用户身份和用户口令的使用,其中加密材料可以从用户身份和用户口令的所述连接中产生。
在验证过程是基于SIM或类似的情况下,具有与用户设备可分离的卡读取器的一个感兴趣的优点是,一旦用户已经被核心网络(CN)验证,根据本发明的SSO目的,在进一步确立与服务网络的服务会话过程中,卡可以拔出,卡读取器断开。
简而言之且如图1所述,得益于通过使用核心网络(CN)基层结构实施的验证过程,通过在访问层(例如在WLAN接入网)验证用户而获得本发明的目的。如上所述,取决于可用验证过程和相应协议的适当选择,该核心网络可以是移动网络或固定网络。不过,为简单起见,贯穿本说明书处理的大多数实施例指用于示意性目的的移动网络业者(MNO),没有将本发明的范围限制到这种移动网络环境的意思。
所述验证过程中,分别从加密材料中得出共享密钥(SSO_Key-1;SSO_Key-2),该加密材料可以从核心网络(CN)的验证网关(AG)和用户设备(UE)之间的验证过程得出。在接下来的步骤,该共享密钥保存(SSO_Key-2)在用户设备(UE),且在另一个步骤, 从验证网关(AG)向SSO目的的服务于服务网络(SN)(本说明书中,这种实体称为用于SSO目的的会话管理器(SSO_SM))的实体提交(SSO_Key-1),并且这种实体用于为使用核心网络(CN)实施成功验证过程的用户管理会话记录。保存在用户装备(UE)的共享密钥(SSO_key-2)还包括在第一服务请求消息中,并在用户访问服务网络(SN)时成为验证令牌,所述令牌被检查是否对应于保存在用于SSO目的的会话管理器(SSO_SM)中的密钥(SSO_Key-1),所以在服务网络(SN)处不需要新的明确的用户验证。
根据本发明的第一方面,提供当前优选实施以通过使用核心网络(CN)的验证过程为WLAN用户获得基于SIM的验证。
因此且如图2A所示,用户设备(UE)确立与访问点(AP)的802.11联系(S-21),该联系包括允许通过核心网络(CN)进一步验证用户的用户标识符。WLAN网络中的访问点(AP)一般强加了一个访问控制,而且,假设RADIUS是WLAN和核心网络(CN)基层结构中都适用的协议,访问点(AP)用作面向所述WLAN基层结构的RADIUS客户机。这方面,可以使用其它协议协定例如Diameter代替RADIUS,对于本发明的目的这没有明显区别。
这样,包括用户标识符的RADIUS访问请求被发送(S-22)到属于WLAN基层机构(例如WLAN访问服务器(WLAN-AS))的RADIUS服务器或RADIUS代理。该WLAN访问服务器(WLAN-AS)可以为本地用户执行验证,这样用作RADIUS服务器,且是用作与核心网络(CN)通信的RADIUS代理的边缘实体,后者用于触发用户验证。
当发觉用户是移动网络业者(MNO)的订户时,WLAN访问服务器(WLAN-AS)向位于MNO核心网络(CN)的验证网关(AG)发送(S-23)访问请求。
布置可以用作RADIUS服务器的MNO核心网络中的验证网关(AG),用于在网络端执行一种基于SIM的验证。因此,AG从归属位置寄存器(HLR)获得(S-24)大量验证向量(AV),这些验证向量将在与本发明目的无关的专门验证中心(AUC)中产生。
然后,通过利用这些验证向量,AG使用用户设备(UE)发起(S-25)一个询问-应答验证过程。
验证过程可以基于一个扩展验证协议(EAP),一般称为基于EAP的验证,其中用户设备(UE)处的访问验证客户机(WLAN-Client)用作EAP-客户机且验证网关(AG)用作EAP-服务器。
在常规验证过程(S-25)期间,或更准确地,一旦对于询问来讲从用户设备(UE)成功应答,则验证网关(AG)发送一个RADIUS访问接受(S-26,S-27)消息给RADIUS客户机(AP),所述消息为用户设备(UE)处的访问验证客户机传输一个EAP-成功。RADIUS客户机(AP)反过来准予(S-28)用户访问WLAN接入网。
根据优选实施例,在已经实施验证过程之后,本发明提出用户设备(UE)和验证网关(AG)都遵循共享机制,分别从加密材料为用户得出(S-252;S-251)它们自己的共享密钥(SSO_Key-1;SSO_Key-2),加密材料在计算验证网关(AG)和用户设备(UE)之间的验证询问响应时获得。
例如,当讨论现有技术解释上述验证过程中,获得密码本(Kc)以用于进一步计算目的。该密码本(Kc),以及其它通过执行验证过程可以获得的密钥可以认为是加密材料,从这里可以为用户计算用户设备(UE)和验证网关(AG)处的共享密钥(SSO_Key-2;SSO_Key-1)。
这样,在验证网关(AG)处计算的第一共享密钥(SSO_Key-1)被保存在其中以进一步提供给服务网络(SN),而在用户设备(UE)处计算的第二共享密钥(SSO_Key-2)以及与访问有关的用户标识符被保存在所述用户设备中。
优选地,共享密钥(SSO_Key-2)保存在可以访问其它应用程序的用户设备的储藏器中。假设一方面操作系统的注册表提供足够的安全性,另一方面,这种注册表对允许的应用程序提供共享密钥的简单标识,如果用户设备这样允许,操作系统的注册表可以是该端合适的储藏器。
备选地,图1所示的访问验证客户机(WLAN-客户机)也可以用作储藏器,从而为用户保持本地存储的共享密钥和用户标识符,并使它们通过应用程序接口(API)适用于其它允许的应用程序。
而且,根据本发明可以提过额外的安全装置以确保用户设备处的共享密钥(SSO_Key-2)的访问仅对于一定量的应用、插件程序或在储 藏器的可识别软件部分适用,以防止恶意软件(例如Trojan软件)能够访问进一步用作验证令牌的所述共享密钥。
一旦该访问层验证已经发生,验证过程在用户设备(UE)处的访问验证客户机和核心网络(CN)处的验证网关(AG)之间实施,用户准予对WLAN接入网进行访问(S-26,S-27,S-28)。在这个阶段,验证网关(AG)最初接收RADIUS计费起始消息(S-29),以指示用户已经发起与WLAN接入网的会话,称为访问会话。该消息包括用户标识符并结束图2A中示出的序列,图2A中在已经被核心网络(CN)验证之后,用户通过接入网(WLAN)访问,其中用户在核心网络中订购了服务。验证网关(AG)以接收RADIUS计费停止消息而被告知访问会话的结束,该消息在任何图中都没有示出。
如图2B所示,当已经使用WLAN接入网发起(S-29)访问会话时,在该消息已经包括用户的所述共享密钥(SSO_Key-1)之后,验证网关(AG)传递该RAIUS计费消息(S-30)到用于SSO目的的服务于MNO服务网络(MNO-SN)的实体,即SSO会话管理器(SSO_SM),它用于为执行成功验证的用户管理会话记录。
SSO会话管理器(SSO_SM)然后为用户创建一个会话记录(S-301),在整个本说明书称为主会话,其中用户标识符和用户的共享密钥(SSO_Key-1)作为访问会话的信息保存。SSO会话管理器(SSO_SM)维持该主会话,直到接收RADIUS计费停止消息为止,该RADIUS计费停止消息最初从验证网关(AG)接收并且从验证网关(AG)发送,以指示会话的结束,这在任何图中都没有示出。
此时服务网络(SN)准备接受SSO验证下的用户访问。存在两种方案来进一步描述本发明的特定方面。
在一个称为Walled-Garden SSO模式的方案中,其中诸如移动网络业者(MNO)的环境控制了用户对网页内容和服务的访问,用户设法访问属于并受控于移动网络业者(用户在其中订购了服务)的服务或应用程序。为完成这点,用户设备(UE)处的网页浏览器向MNO服务网络(MNO-SN)中的HTTP代理(SAAN)发送HTTP服务请求(S-31)。根据本发明的一个方面,在服务网络(SN)中提供服务访问验证节点(SAAN)以用作Walled-Garden SSO模式中的HTTP代理,如图1和 图2B所述,具有根据本发明且用于本发明目的的新的特征。
另一方面,在联盟式SSO模型中,其中移动网络业者(MNO)用作身份提供者,用于通过受契约服务协定限制的大量服务提供者来验证用户和向身份提供者授权提供给其用户的服务,由此形成“信任环”,用户设法访问属于所述服务提供者其中之一的服务或应用程序。因此该服务提供者必须与MNO联合,且服务或应用程序可以优选地提供一个选项以执行SSO,MNO用作身份提供者。根据本发明,当用户选择该选项时,用户设备(UE)中的网页浏览器被再定向(S-31)到该身份提供者的验证节点(SAAN),以获取指示用户已经被验证的用户证书。根据本发明的另一个实施例,在服务网络(SN)中提供服务访问验证节点(SAAN)以用作联盟式SSO模式中的身份提供者的验证节点,如图1和2B所述,具有根据本发明以及用于本发明目的的新的特征。
由此,服务访问验证节点(SAAN)此后在Walled-Garden SSO模式中代表从用户接收的服务请求(S-31)的HTTP代理,情况也可能是,在联盟式SSO模式中代表从用户接收凭证请求的身份提供者的验证节点。
服务访问验证节点(SAAN)可以触发(S-32)SSO插件程序下载到用户设备(UE)。该步骤仅在用户第一次访问接入网(SN)时需要,因为需要SSO验证过程。即,一旦SSO插件程序在用户设备处可用,没有必要再次下载它。在当前优选实施例中,当用户第一次设法访问任何服务时,服务访问验证节点(SAAN)告知对于该用户在服务层没有已经建立的服务会话。例如,服务访问验证节点(SAAN)可以通过没有SSO信息告知这点,当在SSO验证中准予服务时将进一步解释这种情况。在这种情况下,在准予访问服务之前,服务访问验证节点(SAAN)发起在服务层会话的确立。这可以包括很多步骤,其中第一步骤是如果之前还没有下载,则下载SSO插件程序到用户设备。然后,第二步骤,与SSO插件程序通信,该插件程序在用户设备中运行以评估在用户设备处可以获得的共享密钥(SSO_Key-2),确认用户原先已经在访问层经过验证。
备选地并在任何附图中都没有示出,某些软件可以被包括在具有如上述SSO插件程序提供的等价功能的用户设备中。
SSO插件程序或备选的软件部分用于为用户从储藏器获得共享密钥(SSO_Key-2),其中它和用户标识符一起保存在用户设备(UE)中,并用于与服务访问验证节点(SAAN)通信(S-33)以执行SSO验证。因此,SSO插件程序用于为用户传递所述共享密钥(SSO_Key-2)给服务访问验证节点(SAAN)。提供不同备选方案用于传递所述共享密钥(SSO_Key-2),一方面共享密钥可以这样或加密地传递;另一方面,共享密钥(SSO_Key-2)可以被处理以获得需要传递的另一个密钥码(MAC(SSO_Key-2))。获得该密钥码的过程可以是MAC或与服务网络(SN)共享的另一个内部函数。该SSO验证仅表示承认当用户请求访问WLAN接入网时,用户原先已经被核心网络(CN)验证。
在该SSO验证过程中,服务访问验证节点(SAAN)与SSO会话管理器(SSO_SM)通信,以便为了用户寻址保存在主会话中的相应的共享密钥(SSO_Key-1),该用户被用于访问(WLAN)层验证的相同的用户标识符标识,并检查用户具有活动的主会话。
此时,需要注意的是,SSO会话管理器(SSO_SM)可以是服务访问验证节点(SAAN)的集成部分,所以在服务访问验证节点(SAAN)和SSO会话管理器(SSO_SM)形成的结合处的不同软件或硬件元件之间仅发生本地通信。另一个可选实施例可能是优选的,其中SSO会话管理器(SSO_SM)从服务访问验证节点(SAAN)接收源自于用户设备(UE)的共享密钥(SSO_Key-2),检查该共享密钥(SSO_Key-2)是否与保存在主会话中的那个密钥(SSO_Key-1)即在被核心网络(CN)有效验证之后从验证网关(AG)接收的那个密钥相匹配,并发送SSO验证结果给服务访问验证节点(SAAN),在匹配的情况下指示有效验证。具体而言,当服务访问验证节点(SAAN)已经从用户设备接收密钥码(MAC(SSO_Key-2))而不是用户共享密钥(SSO_Key-2)时,前者被发送到SSO会话管理器(SSO_SM),其中通过对保存在主会话中的共享密钥(SSO_Key-1)使用如用户设备中相同的步骤,获得相应的密钥码(MAC(SSO_Key-1)),以与从用户设备接收的密钥码相匹配。
此时,在匹配的情况下,产生服务会话以索引相应的主会话并包括与访问服务相关的数据。服务会话可以认为是为用户索引主会话以及大量的服务相关数据的参考,该服务相关数据具体可以保存在主会 话中。用户服务会话的存在解释为用户已经成功在服务网络中经过SSO验证的证明。该服务会话可以发送到用户设备以进一步在所有后续服务请求中被用户设备包括。服务会话可以以不同方式发送,例如,作为遵循HTTP协议会话处理的标准消息的SSO信息。该SSO信息包括服务会话,它被认为是根据本发明索引用户主会话的足够的信息。
一旦用户已经验证,依赖于上述不同实施例,服务访问验证节点(SAAN)或SSO会话管理器(SSO_SM)可以使得用户以一种Walled-Garden模式访问所请求的服务(S-35,S-36,S-37),或可以以一种联盟式模式为用户提供请求的证书。而且,这些连接的实体,服务访问验证节点(SAAN)和SSO会话管理器(SSO_SM)可以在用户设备的浏览器中优选地放置SSO信息,所以在后续服务或凭证请求过程中对执行的唯一检查是SSO信息是否存在,因为服务会话可以从SSO信息获得,且从其索引主会话,这样阻止了以后的基于共享密钥(SSO_Key-1,SSO_Key-2)的明确验证处理。
在这方面,应当注意的是,从用户设备(UE)和核心网络(CN)之间实施的明确验证过程期间得出的加密材料中获得的共享密钥(SSO_Key-1,SSO_Key-2),仅使用一次,相同共享密钥的任何其它使用将被联合的服务访问验证节点(SAAN)和SSO会话管理器(SSO_SM)的实体拒绝。
上面以示例性而非限制性方式以多个实施例的方式描述了本发明。很明显,按照上述教导,根据说明书和附图,可以对本发明做出修改和变形,这些修改和变形包括在本发明的权利要求范围之内。
Claims (29)
1.一种验证网关,布置成用于从接入网中的实体接收通信核心网络中的访问请求,用户使用用户设备访问该接入网,所述用户是该通信核心网络的订户,并被包括在所述访问请求中的用户标识符标识,该验证网关具有:
-使用用户设备通过接入网实施验证过程以验证所述用户的装置;
-计算至少一个可用作加密材料的秘密用户密钥的装置;以及
-从所述加密材料得出能够用于单一登录SSO验证目的的用户共享密钥的装置;
-为SSO验证目的,向服务于服务网络的会话管理器发送所述用户共享密钥和所述用户标识符的装置。
2.权利要求1的验证网关,还包括被告知访问层的会话已经确立的装置,这种告知触发所述用户共享密钥向服务于所述服务网络的所述会话管理器的发送。
3.权利要求2的验证网关,还包括被告知访问层的会话已经终止的装置,以及发送该告知到服务于所述服务网络的所述会话管理器以便为所述用户停止当前主会话的装置。
4.一种为单一登录SSO目的而服务于服务网络的会话管理器,布置成为通过接入网访问该服务网络的用户管理会话记录,该用户已经由该用户订购了服务的通信核心网络验证,该会话管理器的特征在于它包括:
-为SSO验证目的,从所述核心网络的验证网关接收第一用户共享密钥和用户标识符的装置,可以在所述核心网络验证所述用户的过程中获得该第一用户共享密钥;
-为所述用户创建主会话的装置,该主会话包括所述用户标识符和接收的第一用户共享密钥;以及
-检查为SSO验证目的而在用户设备处得出的和从所述服务网络的服务访问验证节点接收的第二用户共享密钥是否与包括在所述用户的所述主会话中的第一用户共享密钥相匹配的装置。
5.权利要求4的会话管理器,还包括在第一和第二用户共享密钥匹配的情况下创建服务会话以索引所述主会话的装置,该服务会话作为成功的SSO用户验证的令牌。
6.权利要求5的会话管理器,还包括为用户验证服务会话是否索引活动的主会话以确定原先的SSO验证是否仍然有效的装置。
7.权利要求4的会话管理器,其中检查在用户设备处得出的第二用户共享密钥是否与包括在所述主会话中的第一用户共享密钥相匹配的装置包括,处理第一用户共享密钥以获得第一密钥码以与从源自所述用户设备的第二密钥码相匹配的装置。
8.一种服务访问验证节点,用于从使用用户设备通过接入网访问通信服务网络的用户接收请求,该用户已经由该用户订购了服务的通信核心网络验证,该请求包括用户标识符以识别所述用户,该服务访问验证节点的特征在于它包括:
-验证来自所述用户设备的请求中是否指示了活动的服务会话的装置;
-获得为单一登录SSO验证目的而在所述用户设备处得出的并保存在该用户设备中的用户共享密钥的装置;以及
-为SSO目的,结合服务于所述服务网络的会话管理器,为所述用户确定所述用户设备处的所述用户共享密钥是否与主会话中保存的那个密钥相匹配的装置。
9.权利要求8的服务访问验证节点,还包括为SSO目的而为用户从服务于所述服务网络的会话管理器获得服务会话的装置。
10.权利要求9的服务访问验证节点,还包括产生将要发送给所述用户设备的SSO信息的装置,该SSO信息包括所述服务会话。
11.权利要求10的服务访问验证节点,还包括从所述用户设备接收SSO信息的装置,该SSO信息为所述用户指示服务会话。
12.权利要求8的服务访问验证节点,还包括向所述用户设备下载SSO插件程序的装置,该SSO插件程序用于运行来确认所述用户共享密钥。
13.权利要求8的服务访问验证节点,其中用于获得在所述用户设备处得出的所述用户共享密钥的装置包括,用于从所述用户设备接收选自下面元素的装置:
-能通过处理所述用户设备处的用户共享密钥而获得的密钥码;以及
-所述用户共享密钥。
14.权利要求13的服务访问验证节点,还包括为SSO目的而将所述接收的元素递交到服务于所述服务网络的合作会话管理器的装置。
15.权利要求8的服务访问验证节点的一种用途,用作在Walled-Garden SSO模式中从访问服务网络的用户接收服务请求的HTTP代理。
16.权利要求8的服务访问验证节点的一种用途,用作在联盟式SSO模式中从访问服务提供者的服务的用户接收凭证请求时身份提供者的验证节点。
17.一种用户设备,能够为订购了通信网络的服务的用户所用,并且布置成通过接入网访问通信服务网络,该用户设备具有:
-执行验证过程以通过所述接入网使用核心网络验证所述用户的装置,所述用户订购了所述核心网络中的所述服务;
-用于计算可用作加密材料的至少一个秘密用户密钥的装置;
-从所述加密材料得出能够用于单一登录SSO验证目的的用户共享密钥的装置;以及
-保存该用户共享密钥的储藏器;
-为SSO验证目的,向所述服务网络中的实体确认在所述用户设备处得出的所述用户共享密钥的装置。
18.权利要求17的用户设备,其中所述用于确认的装置包括从所述服务网络中的所述实体下载SSO插件程序的装置,该SSO插件程序用于运行来确认所述用户共享密钥。
19.权利要求17的用户设备,其中所述用于确认的装置包括处理所述用户共享密钥以获得将要发送到所述服务网络中的所述实体的密钥码的装置。
20.权利要求17的用户设备,还包括从所述服务网络中的所述实体接收SSO信息的装置,该SSO信息将作为SSO令牌包括在来自于所述用户设备的所有其它服务请求中。
21.一种支持具有用户设备的用户的单一登录服务的方法,该用户设备布置成用于通过接入网访问通信核心网络和服务网络,当访问所述接入网时该用户被标识为所述通信核心网络的订户,该方法包括以下步骤:
-在所述核心网络的实体和所述用户设备之间为所述用户实施验证过程;
-在所述核心网络的所述实体处计算可用作加密材料的至少一个秘密用户密钥;
-在所述用户设备处计算可用作加密材料的至少一个秘密用户密钥;
-从所述核心网络的所述实体处的所述加密材料得出能够用于单一登录SSO验证目的的第一用户密钥;以及
-从所述用户设备处的所述加密材料得出能够用于SSO验证目的的第二用户密钥;
-在所述服务网络中的实体处为所述用户创建主会话,所述主会话包括能够用于SSO验证目的的第一用户密钥和用户标识符;
-为SSO验证目的,向所述服务网络中的所述实体确认在所述用户设备处得出的第二用户共享密钥;
-在所述服务网络中的所述实体处为所述用户验证第二用户共享密钥是否与第一用户共享密钥相匹配;以及
-在第一和第二用户共享密钥匹配时,准予访问所述服务网络中的所请求的服务。
22.权利要求21的方法,其中所述验证第一和第二用户共享密钥相匹配的步骤还包括创建服务会话以索引所述主会话的步骤,该服务会话作为成功的SSO验证的令牌。
23.权利要求22的方法,还包括产生将发送到所述用户设备的SSO信息的步骤,该SSO信息包括所述服务会话。
24.权利要求23的方法,还包括验证来自所述用户设备的请求中是否指示活动的服务会话的步骤。
25.权利要求21的方法,其中为SSO验证目的而确认在所述用户设备处得出的第二用户共享密钥的步骤包括,从所述服务网络的所述实体下载SSN插件程序的步骤,该SSO插件程序用于运行来确认所述用户共享密钥。
26.权利要求21的方法,其中为SSO验证目的而确认保存在所述用户设备处的第二用户共享密钥的步骤包括,处理所述用户共享密钥以获得将发送到所述服务网络中的所述实体的密钥码的步骤。
27.权利要求26的方法,其中验证第二用户共享密钥是否与第一用户共享密钥相匹配的步骤包括,在所述服务网络的所述实体处处理第一 用户共享密钥以获得与源自于所述用户设备的第二密钥码相匹配的第一密钥码的步骤。
28.权利要求21的方法,其中在所述服务网络中的所述实体处为所述用户创建主会话的步骤包括,从所述核心网络的所述实体接收能够用于SSO验证目的的第一用户密钥的步骤。
29.权利要求21的方法,其中在所述服务网络中的所述实体处为所述用户创建主会话的步骤包括,在所述用户访问所述接入网时发起访问会话的步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/EP2003/014978 WO2005064882A2 (en) | 2003-12-29 | 2003-12-29 | Apparatuses and method for single sign-on access to a service network through an access network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101032142A CN101032142A (zh) | 2007-09-05 |
| CN101032142B true CN101032142B (zh) | 2011-05-18 |
Family
ID=34717140
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2003801109463A Expired - Lifetime CN101032142B (zh) | 2003-12-29 | 2003-12-29 | 通过接入网单一登录访问服务网络的装置和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US20070208936A1 (zh) |
| EP (2) | EP2184934B1 (zh) |
| CN (1) | CN101032142B (zh) |
| AU (1) | AU2003296749A1 (zh) |
| WO (1) | WO2005064882A2 (zh) |
Families Citing this family (94)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003279950A1 (en) | 2002-10-10 | 2004-05-04 | Rocksteady Networks, Inc. | System and method for providing access control |
| US7624438B2 (en) | 2003-08-20 | 2009-11-24 | Eric White | System and method for providing a secure connection between networked computers |
| US7610621B2 (en) | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
| US8543710B2 (en) | 2004-03-10 | 2013-09-24 | Rpx Corporation | Method and system for controlling network access |
| US7665130B2 (en) | 2004-03-10 | 2010-02-16 | Eric White | System and method for double-capture/double-redirect to a different location |
| US7590728B2 (en) * | 2004-03-10 | 2009-09-15 | Eric White | System and method for detection of aberrant network behavior by clients of a network access gateway |
| US7509625B2 (en) * | 2004-03-10 | 2009-03-24 | Eric White | System and method for comprehensive code generation for system management |
| US8046578B1 (en) * | 2004-04-14 | 2011-10-25 | Hewlett-Packard Development Comopany, L.P. | System and method for providing HTML authentication using an access controller |
| KR100644616B1 (ko) * | 2004-06-10 | 2006-11-10 | 세종대학교산학협력단 | 마크업 랭귀지 기반의 단일인증 방법 및 이를 위한 시스템 |
| US7480718B2 (en) * | 2004-06-28 | 2009-01-20 | International Business Machines Corporation | Method for providing single sign-on user names for Web cookies in a multiple user information directory environment |
| US7698734B2 (en) * | 2004-08-23 | 2010-04-13 | International Business Machines Corporation | Single sign-on (SSO) for non-SSO-compliant applications |
| US7865602B2 (en) * | 2005-02-23 | 2011-01-04 | Nokia Siemens Networks Oy | System, method, and network elements for providing a service such as an advice of charge supplementary service in a communication network |
| US8214887B2 (en) * | 2005-03-20 | 2012-07-03 | Actividentity (Australia) Pty Ltd. | Method and system for providing user access to a secure application |
| US7784092B2 (en) * | 2005-03-25 | 2010-08-24 | AT&T Intellectual I, L.P. | System and method of locating identity providers in a data network |
| WO2006135285A2 (en) * | 2005-06-15 | 2006-12-21 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for providing a telecommunications service |
| US20080095070A1 (en) * | 2005-12-05 | 2008-04-24 | Chan Tat K | Accessing an IP multimedia subsystem via a wireless local area network |
| WO2007120921A2 (en) * | 2006-04-14 | 2007-10-25 | Aicent, Inc. | Fixed mobile roaming service solution |
| WO2007142566A1 (en) * | 2006-06-09 | 2007-12-13 | Telefonaktiebolaget Lm Ericsson (Publ) | Access to services in a telecommunications network |
| US7647404B2 (en) * | 2007-01-31 | 2010-01-12 | Edge Technologies, Inc. | Method of authentication processing during a single sign on transaction via a content transform proxy service |
| US7941831B2 (en) * | 2007-02-09 | 2011-05-10 | Microsoft Corporation | Dynamic update of authentication information |
| US8307411B2 (en) * | 2007-02-09 | 2012-11-06 | Microsoft Corporation | Generic framework for EAP |
| US20090094372A1 (en) * | 2007-10-05 | 2009-04-09 | Nyang Daehun | Secret user session managing method and system under web environment, recording medium recorded program executing it |
| US8813200B2 (en) * | 2007-12-21 | 2014-08-19 | Oracle International Corporation | Online password management |
| US8782759B2 (en) * | 2008-02-11 | 2014-07-15 | International Business Machines Corporation | Identification and access control of users in a disconnected mode environment |
| US8036222B1 (en) * | 2008-04-25 | 2011-10-11 | Clear Wireless Llc | Method for obtaining a mobile internet protocol address |
| US8023484B1 (en) * | 2008-04-25 | 2011-09-20 | Clear Wireless Llc | Method for obtaining a mobile internet protocol address |
| US8219802B2 (en) * | 2008-05-07 | 2012-07-10 | International Business Machines Corporation | System, method and program product for consolidated authentication |
| US8910255B2 (en) * | 2008-05-27 | 2014-12-09 | Microsoft Corporation | Authentication for distributed secure content management system |
| US7600253B1 (en) * | 2008-08-21 | 2009-10-06 | International Business Machines Corporation | Entity correlation service |
| CN101483525A (zh) * | 2009-01-22 | 2009-07-15 | 中兴通讯股份有限公司 | 一种认证中心的实现方法 |
| JP2013503514A (ja) * | 2009-08-31 | 2013-01-31 | 中国移▲動▼通信集▲団▼公司 | Wlanアクセス認証に基づくサービスアクセス方法、システム及び装置 |
| WO2011048551A1 (en) * | 2009-10-19 | 2011-04-28 | Nokia Corporation | User identity management for permitting interworking of a bootstrapping architecture and a shared identity service |
| US8984588B2 (en) * | 2010-02-19 | 2015-03-17 | Nokia Corporation | Method and apparatus for identity federation gateway |
| US8607316B2 (en) * | 2010-08-31 | 2013-12-10 | Blackberry Limited | Simplified authentication via application access server |
| US8881247B2 (en) * | 2010-09-24 | 2014-11-04 | Microsoft Corporation | Federated mobile authentication using a network operator infrastructure |
| WO2012068462A2 (en) * | 2010-11-19 | 2012-05-24 | Aicent, Inc. | Method of and system for extending the wispr authentication procedure |
| US8370914B2 (en) * | 2010-12-15 | 2013-02-05 | Microsoft Corporation | Transition from WS-Federation passive profile to active profile |
| CN102638441A (zh) * | 2011-02-15 | 2012-08-15 | 中兴通讯股份有限公司 | 在ims网络中实现单点登录的方法和系统 |
| US8875269B2 (en) * | 2011-02-23 | 2014-10-28 | International Business Machines Corporation | User initiated and controlled identity federation establishment and revocation mechanism |
| US9536074B2 (en) | 2011-02-28 | 2017-01-03 | Nokia Technologies Oy | Method and apparatus for providing single sign-on for computation closures |
| US9716999B2 (en) | 2011-04-18 | 2017-07-25 | Syniverse Communicationsm, Inc. | Method of and system for utilizing a first network authentication result for a second network |
| CN103503407B (zh) * | 2011-04-28 | 2016-10-12 | 交互数字专利控股公司 | 用于多sso技术的sso框架 |
| WO2012173539A1 (en) * | 2011-06-16 | 2012-12-20 | Telefonaktiebolaget L M Ericsson (Publ) | Authentication server and communication device |
| US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
| US9137262B2 (en) | 2011-10-11 | 2015-09-15 | Citrix Systems, Inc. | Providing secure mobile device access to enterprise resources using application tunnels |
| US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
| CN108599964B (zh) * | 2012-02-29 | 2022-02-22 | 交互数字专利控股公司 | 一种由wtru执行的方法及wtru |
| EP2654365B1 (de) * | 2012-04-16 | 2016-03-23 | Vodafone Holding GmbH | Konfiguration eines Endgerätes für einen Zugriff auf ein leitungsloses Kommunikationsnetz |
| US9774658B2 (en) | 2012-10-12 | 2017-09-26 | Citrix Systems, Inc. | Orchestration framework for connected devices |
| US20140108558A1 (en) | 2012-10-12 | 2014-04-17 | Citrix Systems, Inc. | Application Management Framework for Secure Data Sharing in an Orchestration Framework for Connected Devices |
| US9516022B2 (en) | 2012-10-14 | 2016-12-06 | Getgo, Inc. | Automated meeting room |
| US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
| US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
| US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
| US9606774B2 (en) | 2012-10-16 | 2017-03-28 | Citrix Systems, Inc. | Wrapping an application with field-programmable business logic |
| US9170800B2 (en) | 2012-10-16 | 2015-10-27 | Citrix Systems, Inc. | Application wrapping for application management framework |
| US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
| CN103118379A (zh) * | 2013-02-06 | 2013-05-22 | 西北工业大学 | 面向移动自组网的节点合作度评估方法 |
| US8849979B1 (en) | 2013-03-29 | 2014-09-30 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
| US9369449B2 (en) | 2013-03-29 | 2016-06-14 | Citrix Systems, Inc. | Providing an enterprise application store |
| US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
| US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US9009806B2 (en) | 2013-04-12 | 2015-04-14 | Globoforce Limited | System and method for mobile single sign-on integration |
| JP2014224879A (ja) * | 2013-05-16 | 2014-12-04 | 株式会社メガチップス | 乱数生成装置、暗号処理装置、記憶装置及び情報処理システム |
| US9166791B2 (en) | 2013-11-20 | 2015-10-20 | At&T Intellectual Property I, L.P. | Method and apparatus for user identity verification |
| US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
| US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
| US10050955B2 (en) * | 2014-10-24 | 2018-08-14 | Netflix, Inc. | Efficient start-up for secured connections and related services |
| US11399019B2 (en) | 2014-10-24 | 2022-07-26 | Netflix, Inc. | Failure recovery mechanism to re-establish secured communications |
| US11533297B2 (en) | 2014-10-24 | 2022-12-20 | Netflix, Inc. | Secure communication channel with token renewal mechanism |
| US9667635B2 (en) * | 2015-03-26 | 2017-05-30 | Cisco Technology, Inc. | Creating three-party trust relationships for internet of things applications |
| SE1551176A1 (en) * | 2015-09-14 | 2017-03-15 | Identitrade Ab | Method and system for authenticating a user |
| US10542044B2 (en) * | 2016-04-29 | 2020-01-21 | Attivo Networks Inc. | Authentication incident detection and management |
| US9769668B1 (en) | 2016-08-01 | 2017-09-19 | At&T Intellectual Property I, L.P. | System and method for common authentication across subscribed services |
| US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
| US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
| US11050832B2 (en) | 2017-03-29 | 2021-06-29 | Citrix Systems, Inc. | Maintaining a session across multiple web applications |
| EP3643040A4 (en) | 2017-08-08 | 2021-06-09 | SentinelOne, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING |
| US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
| US10855670B2 (en) | 2018-05-03 | 2020-12-01 | Vmware, Inc. | Polling service |
| US10855669B2 (en) * | 2018-05-03 | 2020-12-01 | Vmware, Inc. | Authentication service |
| US10936337B2 (en) * | 2018-11-09 | 2021-03-02 | Citrix Systems, Inc. | Rendering content of service providers via web page having dynamically-loaded plugins |
| WO2020236981A1 (en) | 2019-05-20 | 2020-11-26 | Sentinel Labs Israel Ltd. | Systems and methods for executable code detection, automatic feature extraction and position independent code detection |
| US10826945B1 (en) | 2019-06-26 | 2020-11-03 | Syniverse Technologies, Llc | Apparatuses, methods and systems of network connectivity management for secure access |
| US11089005B2 (en) | 2019-07-08 | 2021-08-10 | Bank Of America Corporation | Systems and methods for simulated single sign-on |
| US11323432B2 (en) | 2019-07-08 | 2022-05-03 | Bank Of America Corporation | Automatic login tool for simulated single sign-on |
| US11115401B2 (en) | 2019-07-08 | 2021-09-07 | Bank Of America Corporation | Administration portal for simulated single sign-on |
| US11770377B1 (en) * | 2020-06-29 | 2023-09-26 | Cyral Inc. | Non-in line data monitoring and security services |
| US11202255B1 (en) | 2020-07-31 | 2021-12-14 | T-Mobile Usa, Inc. | Cached entity profiles at network access nodes to re-authenticate network entities |
| US11696137B2 (en) | 2020-07-31 | 2023-07-04 | T-Mobile Usa, Inc. | Detecting malicious small cells based on a connectivity schedule |
| US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
| US20220294788A1 (en) * | 2021-03-09 | 2022-09-15 | Oracle International Corporation | Customizing authentication and handling pre and post authentication in identity cloud service |
| US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1444362A (zh) * | 2002-03-08 | 2003-09-24 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6311275B1 (en) * | 1998-08-03 | 2001-10-30 | Cisco Technology, Inc. | Method for providing single step log-on access to a differentiated computer network |
| US6571289B1 (en) * | 1998-08-03 | 2003-05-27 | Sun Microsystems, Inc. | Chained registrations for mobile IP |
| US6253327B1 (en) * | 1998-12-02 | 2001-06-26 | Cisco Technology, Inc. | Single step network logon based on point to point protocol |
| EP1314278A2 (en) * | 2000-08-30 | 2003-05-28 | Telefonaktiebolaget LM Ericsson (publ) | End-user authentication independent of network service provider |
| DE10043203A1 (de) * | 2000-09-01 | 2002-03-21 | Siemens Ag | Generische WLAN-Architektur |
| US6876747B1 (en) * | 2000-09-29 | 2005-04-05 | Nokia Networks Oy | Method and system for security mobility between different cellular systems |
| ATE370458T1 (de) * | 2000-11-09 | 2007-09-15 | Ibm | Verfahren und system zur web-basierten cross- domain berechtigung mit einmaliger anmeldung |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US7421732B2 (en) * | 2003-05-05 | 2008-09-02 | Nokia Corporation | System, apparatus, and method for providing generic internet protocol authentication |
| CN1849837B (zh) * | 2003-08-26 | 2010-11-10 | 艾利森电话股份有限公司 | 用于在访问多媒体服务时验证用户的设备及方法 |
-
2003
- 2003-12-29 EP EP10153217A patent/EP2184934B1/en not_active Expired - Lifetime
- 2003-12-29 CN CN2003801109463A patent/CN101032142B/zh not_active Expired - Lifetime
- 2003-12-29 US US10/596,863 patent/US20070208936A1/en not_active Abandoned
- 2003-12-29 EP EP03819181A patent/EP1719316B1/en not_active Expired - Lifetime
- 2003-12-29 WO PCT/EP2003/014978 patent/WO2005064882A2/en active Application Filing
- 2003-12-29 AU AU2003296749A patent/AU2003296749A1/en not_active Abandoned
-
2009
- 2009-06-25 US US12/491,563 patent/US8528065B2/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1444362A (zh) * | 2002-03-08 | 2003-09-24 | 华为技术有限公司 | 无线局域网加密密钥的分发方法 |
Non-Patent Citations (2)
| Title |
|---|
| 3GPP TECHNICAL.Wireless Local Area Network (WLAN) Interworking Secutiry.3GPP:TS 33.234.2003,3(33234),第11页第4行,21行-24行,23页34行,39行,40行,附图4.3,7.2. * |
| Matsunaga Y ET AL.Secure Authentication System for Public WLAN Roaming.2003,第2页第2段,第4页第2段. * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1719316B1 (en) | 2012-05-23 |
| AU2003296749A1 (en) | 2005-07-21 |
| WO2005064882A2 (en) | 2005-07-14 |
| US20070208936A1 (en) | 2007-09-06 |
| CN101032142A (zh) | 2007-09-05 |
| US8528065B2 (en) | 2013-09-03 |
| EP2184934A1 (en) | 2010-05-12 |
| EP1719316A2 (en) | 2006-11-08 |
| WO2005064882A3 (en) | 2007-12-27 |
| EP2184934B1 (en) | 2012-12-05 |
| AU2003296749A8 (en) | 2005-07-21 |
| US20090265554A1 (en) | 2009-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101032142B (zh) | 通过接入网单一登录访问服务网络的装置和方法 | |
| JP4801147B2 (ja) | 証明を配送するための方法、システム、ネットワーク・ノード及びコンピュータ・プログラム | |
| US8589675B2 (en) | WLAN authentication method by a subscriber identifier sent by a WLAN terminal | |
| EP1492296B1 (en) | Apparatus and method for a single a sign-on authentication through a non-trusted access network | |
| US7707412B2 (en) | Linked authentication protocols | |
| CN101919278B (zh) | 使用数字证书的无线设备认证 | |
| US7533257B2 (en) | Server authentication verification method on user terminal at the time of extensible authentication protocol authentication for internet access | |
| CA2656919C (en) | Method and system for controlling access to networks | |
| JP4170912B2 (ja) | ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 | |
| US7640430B2 (en) | System and method for achieving machine authentication without maintaining additional credentials | |
| CN108028829A (zh) | 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 | |
| US20070178885A1 (en) | Two-phase SIM authentication | |
| CN107040922A (zh) | 无线网络连接方法、装置及系统 | |
| CN105830414A (zh) | 使用凭证的安全的网络接入 | |
| CN101014958A (zh) | 管理用户认证和服务授权以获得单次登录来接入多个网络接口的系统和方法 | |
| DK2924944T3 (en) | Presence authentication | |
| US20040010713A1 (en) | EAP telecommunication protocol extension | |
| WO2006079953A1 (en) | Authentication method and device for use in wireless communication system | |
| EP1636963A1 (en) | Method and apparatuses for bootstrapping a local authorization system in ip networks | |
| CN102685742A (zh) | 一种wlan接入认证方法和装置 | |
| CN110248363A (zh) | 通过代理的安全eap-aka认证 | |
| EP2146534A1 (fr) | Procédé, système, serveur et terminal d'authentification hybride |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160622 Address after: Texas, USA Patentee after: WI-FI networks LLC Address before: Delaware Patentee before: Clastres LLC Effective date of registration: 20160622 Address after: Delaware Patentee after: Clastres LLC Address before: Stockholm Patentee before: Telefonaktiebolaget LM Ericsson |
|
| TR01 | Transfer of patent right |
Effective date of registration: 20231027 Address after: Stockholm, SWE Patentee after: Telefonaktiebolaget LM Ericsson (publ) Address before: Delaware Patentee before: Clastres LLC Effective date of registration: 20231027 Address after: Delaware Patentee after: Clastres LLC Address before: Texas, USA Patentee before: WI-FI networks LLC |
|
| TR01 | Transfer of patent right | ||
| CX01 | Expiry of patent term |
Granted publication date: 20110518 |
|
| CX01 | Expiry of patent term |