CN101069402A - 透明地验证访问web服务的移动用户的方法和系统 - Google Patents
透明地验证访问web服务的移动用户的方法和系统 Download PDFInfo
- Publication number
- CN101069402A CN101069402A CNA200580041107XA CN200580041107A CN101069402A CN 101069402 A CN101069402 A CN 101069402A CN A200580041107X A CNA200580041107X A CN A200580041107XA CN 200580041107 A CN200580041107 A CN 200580041107A CN 101069402 A CN101069402 A CN 101069402A
- Authority
- CN
- China
- Prior art keywords
- network
- subscriber
- address
- token
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5084—Providing for device mobility
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/69—Identity-dependent
- H04W12/72—Subscriber identity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W4/00—Services specially adapted for wireless communication networks; Facilities therefor
- H04W4/18—Information format or content conversion, e.g. adaptation by the network of the transmitted or received information for the purpose of wireless delivery to users or terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W74/00—Wireless channel access, e.g. scheduled or random access
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W8/00—Network data management
- H04W8/26—Network addressing or numbering for mobility support
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/02—Terminal devices
- H04W88/06—Terminal devices adapted for operation in multiple networks or having at least two operational modes, e.g. multi-mode terminals
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Abstract
本发明涉及一种用于验证第一网络(例如,GPRS/GSM网络)的订户以通过第二网络访问应用服务的系统和方法,其中,第二网络是分组数据网络(PDN),例如,互联网。根据本发明优选实施例的系统包括:移动站MS(2),连接到蜂窝式网络,并且适于产生包含在数据包中的访问请求消息,用符合应用层协议的语法来表示所述访问请求消息;分配服务器AAA(7),适于向所述订户分配在所述第二网络中的地址(订户地址)并提供订户地址与第一订户标识符之间的映射;网关(6)(例如,GGSN),其将第一网络连接到第二网络并向MS 2分配订户地址;服务令牌注入器STI(10),与网关(6)链接,并适于截取从端点站产生并通过网关(6)被定向到第二网络的数据包,在数据包中至少捕获订户地址;标识局逻辑实体(9),与STI 10链接并适于执行以下功能:从第一逻辑实体接收订户地址和访问请求消息,识别访问请求消息的应用层协议,向分配服务器请求第一订户标识符,根据应用层协议产生验证令牌,其中所述令牌包括第二订户标识符,并将所述验证令牌关联到访问请求消息。
Description
技术领域
本发明涉及一种用于对于分组数据网络(例如,互联网)识别第一网络的订户的验证方法和系统。具体说来,开发本发明以便通过使用与移动网络中的订户相关的订户标识,而将本发明用于对分组数据网络验证移动网络的订户的过程。
背景技术
从远程位置访问专用或公共分组数据网络(PDN)(例如,互联网)的用户数量正在急剧增长。此外,不管人们在什么位置,均可向他们提供多媒体服务的景象推动了使用分组交换连接(例如,使用互联网协议(IP))的蜂窝网络的发展,其中,使用分组交换连接意味着虚拟连接总是可用于网络中的任意其它端点。基于分组的无线通信服务的标准包括:通用分组无线业务(GPRS)、用于GSM演进的增强数据率(EDGE)以及通用移动电信服务(UMTS)。
近来,由于成本的降低以及连接性能前所未有的增强,在用户室内安装了越来越多的高速数据通信系统。作为示例,这些数据通信系统工作于公共交换电话网络(PSTN)的相同铜双绞线上,以便连接到互联网。尽管通过普通电话线的互联网连接还可使用其它高速调制解调器,但是所述互联网连接通常通过数字订户线路(DSL)接入技术来进行。DSL使用专门的调制解调器,以便通过用于将电话服务带入家庭的标准铜线实现订户的家庭与最近电话中心局之间的高速数据传送。存在若干种DSL通信方案(通常称为xDSL技术),但是商业上可用的最普通形式之一是ADSL(异步DSL),其中,下行(到订户)数据率比上行(来自订户)数据率快几倍。
近年来受到关注的另一接入技术是光纤到户(FTTH)的高速宽带接入系统,其中,光纤从电话交换机进入订户的室内。
在短程无线互联网连接中,具有内置无线性能的计算机或手持设备(例如,PDA)使用无线电技术在接入点或网关内的任何地方发送和接收数据,其中,所述接入点或网关充当广播和接收基站并充当无线网络与有线网络之间的接口。例如,无线装置与接入点之间的无线电技术可基于IEEE 802.11标准(Wi-Fi规范)或IEEE 802.16标准(WiMAX规范)。
宽带接入技术使得服务运营商能够扩展他们提供给商业用户和家庭用户两者的内容和服务。例如,用户可向一个或多个服务运营商预订多种服务或应用,诸如语音服务、互联网访问服务、视频服务、游戏服务等。可通过诸如DSL线路的单个网络连接来传递可经由专用或公共PDN(例如,互联网)提供的这些服务和/或应用。
另一方面,数量持续增长的可在PDN上提供的服务在诸如按每次会话付费的情况下,仅准许授权用户对需要订阅的服务或者根据其用户的简档定制的服务进行访问。某些传统验证程序使用密码(例如,通过自动装置识别的字符串),其允许用户访问受保护的文件或输入/输出装置。
申请人考虑了以下内容。首先,对于用户,基于密码的验证系统必然是不透名的,所述用户当进入服务时必须输入他的密码。当用户想要在会话期间访问多个服务时,上述处理就变得特别不方便。其次,尽管密码在技术上易于实现,但是由于密码易被复制或盗用,所以密码容易泄漏。
移动通信系统控制由相应于授权用户的移动基站使用的网络的资源。在传统的全球移动通信系统(GSM)中,移动站(MS)包括订户标识模块(SIM),所述用户标识模块包含订户的信息,所述信息包括用于允许MS访问GSM系统的网络基础结构的数据。由于SIM提供识别各个用户的唯一手段,所以可将SIM看作安全装置;所述SIM使用密码和固有计算性能来存储秘密信息,所述秘密信息决不会在外部以原始形式被泄漏。
在传统GSM网络系统中,几个数据库可用于呼叫控制以及验证和安全目的,所述数据库典型地为:归属位置寄存器(HLR)、拜访位置寄存器(VLR)、验证中心(AU)和设备标识寄存器(EIR)。对于向网络运营商注册的所有用户,永久数据(诸如用户的简档)以及临时数据(诸如用户的当前位置)被存储在HLR中。在对用户进行呼叫的情况下,总是首先查询HLR以确定用户的当前位置。VLR负责一组位置区域,并存储当前处于其负责的区域的那些用户的数据。这其中包括部分永久用户数据,这些数据已经被从HLR发送到VLR以进行更快的访问。但是所述VLR还可分配并存储诸如临时标识的本地数据。AUC产生并存储与安全性有关的数据(诸如用于验证和加密的密钥),而EIR注册设备数据,而不是订户数据。
GSM明确地在用户与设备之间进行区分并分别处理他们。已定义若干订户和设备标识符;需要它们来管理订户移动性并对所有留有的网络部件进行寻址。国际移动站设备标识(IMEI)作为一种序列号,唯一地识别国际间的移动站(MS)。由设备制造商分配IMEI,并由网络运营商将其注册,所述网络运营商将IMEI存储在EIR中。每个注册的用户(即,订户)由它的国际移动订户标识(IMSI)唯一识别。所述IMSI典型地存储于SIM中。只有将具有有效IMSI的SIM插入具有有效IMEI设备,MS才可操作。移动站的“实际电话号码”是移动订户ISDN号(MSISDN)。将所述移动订户ISDN号分配给订户(即,他或她的SIM),从而移动站装置可具有若干取决于SIM的MSISDN。
通用分组无线业务(GPRS)是为数字蜂窝网络(例如,GSM或个人通信服务-PCS)设计的服务,其最初针对GSM而开发。GPRS大大提高并简化了对分组数据网络(例如,对互联网)的无线访问。GPRS应用分组无线电原理,以在移动站与外部分组数据网络之间通过有效的方式来传送用户数据包。可直接将用户数据包从GPRS移动站路由到其它GPRS终端或PDN,或者直接将用户数据包从所述其它GPRS终端或PDN路由到所述GPRS移动站。在当前版本的GPRS中支持基于互联网协议(IP)的网络(例如,全球互联网或专用/公司内联网)。
GPRS对网络资源和无线电资源的使用进行优化,并且不掌管对安装的GSM基础结构的移动交换中心(MSC)基站的改变。为了结合到现有GSM体系结构,GPRS体系结构通常包括网关GPRS支持节点(GGSN)和服务GPRS支持节点(SGSN)。位于与MSC相同分层级别的GGSN充当到诸如互联网的其它分组数据网络的网关。SGSN是服务节点,其实现到启用GPRS的移动装置的虚拟连接并能够传递数据。SGSN将数据发送到移动站,从移动站接收数据,并保存关于移动站(MS)的位置的信息。SGSN在MS与GGSN之间通信。
GPRS安全性功能典型地等同于现有GSM安全性。SGSN基于与现有GSM中相同的算法、密钥和准则来执行验证和密码设置程序。GPRS使用针对分组数据传输优化的密码算法。
为了在成功附 GPRS之后与外部PDN交换数据包,MS必须申请一个或多个在PDN中使用的地址,例如,在PDN是IP网络的情况下,MS必须申请IP地址。所述地址被称为PDP地址(分组数据协议地址)。对于每个会话,创建所谓的PDP语境,其描述会话的特征。其包含PDP类型(例如,IPv4)、请求的服务质量(QoS)以及用作到PDN的访问点的GGSN的地址。将所述语境存储在MS、SGSN和GGSN中。在活动PDP语境下,移动站对于外部PDN“可视”,并且移动站能够发送和接收数据包。所述两个地址,PDP与IMSI之间的映射使得GGSN能够在PDN与MS之间传送数据包。用户可以在给定时间使若干同时的PDP语境处于活动状态。
第01/67716号WO专利申请描述了一种将移动终端的MSISDN号与临时分配的IP地址关联以在无线应用协议(WAP)网络中用于验证、计费和个性化处理的方法。
第01/03402号WO专利申请描述了一种用于在第二网络(例如,IP网络)中识别第一网络(即,GPRS网络)的订户的方法,其中,将第二网络的地址分配给订户。产生关于第二网络的地址(例如,IP地址)与订户的标识之间的映射的信息,并将所述信息发送到第二网络。所述订户的标识可以是订户的IMSI和/或MSISDN。
申请人已注意到:通过将订户的标识关联到IP地址来验证对IP网络的访问通常容易受到IP包的电子欺骗,其允许互联网上的入侵者有效地冒充本地系统的IP地址。此外,所述两个网络应该直接连接(利用可行的可路由专用IP地址),或者它们需要兼容的地址规划。
第01/17310号WO专利申请描述了一种用于通过应用GSM安全性原理来验证请求访问PDN的用户的系统。经由接入网络将远程主机连接到PDN,将MS耦合到与PDN连接的移动网络。响应于接收对PDN的用户请求,PDN产生验证令牌,并经由接入网络和远程主机将所述验证令牌发送到用户,所述用户通过移动网络将验证令牌发送回PDN,其中,PDN比较验证令牌,以确定是否准许用户访问PDN。
申请人注意到公开的验证系统对于用户不透明,用户必须等待验证并且不得不将接收的验证令牌发送回PDN。此外,由于远程服务器必须知道用户的电话号码,所以公开的系统可危及用户的隐私。
第2004/0132429号美国专利申请描述了这样一种方法和系统,所述方法和系统能够在不必专门知道移动终端编程或任何POP3或SMTP参数的情况下,提供经由移动通信网络对电子邮件帐户的访问。使用默认POP3/SMTP服务器来预先配置移动终端。为了访问电子邮件帐户,使用标准POP3/SMTP经由移动网络在移动终端客户机与代理服务器之间建立通信。可只是基于用户的MSISDN来准许用户访问电子邮件帐户。
可将通用移动电信服务(UMTS)看作GSM/GPRS网络的直接进化。UMTS的安全功能基于在GSM中实施的内容(诸如对订户的验证),而某些安全功能已经被添加并且某些现有的安全功能已经被改善。
分组交换采用作为比较短的消息数据块的数据包。所述数据包可以如在异步传输模式(ATM)中那样具有固定长度,或者可以如在帧中继或互联网协议(IP)中那样具有可变长度。一种期望的情况为基于分组的无线网络基础结构支持互联网电话。互联网电话或IP电话指的是一种将互联网性能与PSTN功能合并的应用。IP电话应用能够实现实时语音通信量通过互联网基础结构的传输以及与现有PSTN基础结构的无缝结合。尽管IP电话主要集中在语音呼叫方面,通常称为IP语音或VoIP,但是IP电话也可用于携带其它音频或多媒体应用,诸如传真、视频和调制解调器数据。
为支持IP电话而研发的协议是会话启动协议(SIP)。SIP是用于设立,修改和撤销多媒体会话的信令传输协议,并且与它使用的协议结合向潜在的会话参与者描述通信会话的会话特征。这些会话包括互联网多媒体会议、互联网电话呼叫和多媒体分布。用于创建会话的SIP INVITE携带允许参与者在一组兼容媒体类型方面达成一致的会话描述。SIP通过向用户的当前位置代理请求或将所述请求重新定向到用户的当前位置来支持用户移动性。通常,实时协议(RTP)用于在通信会话期间交换多媒体(音频、语音或数据),但是SIP允许使用任何传输协议。SIP使用客户机-服务器模型,其中,客户机发起SIP请求,服务器对请求作出响应。在SIP中,端点实体称为用户实体,其既作为客户机(用户代理客户机),即,SIP请求的发起者,也作为返回响应的服务器(用户代理服务器)。
在可被看作敌对环境的互联网中部署SIP,其中,SIP部件和消息可暴露于各种安全威胁和攻击。在基于SIP的系统中,可在不同的层实现验证措施,所述不同的层包括应用层、传输层和网络层。
在2004年8月31日从互联网上在http://www.ietf.org/internet-dratfs/draft-tschofenig-sip-saml-00.txt下载的H.Tschofenig等人的“Using SAML for SIP”中提出一种使用与SIP合作的安全声明标记语言(SAML)来实现授权机制的方法。描述一种增强的声明网络的标识方案,其中,所述增强基于由验证服务(AS)声明的属性。想要与第二用户的第一用户将SIP INVITE发送到她的优选AS。根据选择的SIP安全机制,摘要验证S/MIME或传输层安全被用来向AS提供关于第一用户标识的有力保证。在第一用户被验证和授权之后,将SAML声明附于SIP消息。
随着开始通过互联网提供越来越多的服务,提供用于访问所述服务的有效和安全单一签入(SSO)机制变得非常重要。通过互联网提供的服务通常分布于多个服务器上,所述服务器处于相对于彼此的远程位置。通过SSO机制,用户可通过在一个或少量服务器上运行的验证程序来验证他的标识并授权使用分布于多个远程服务器的多个服务。
第01/72009号WO专利申请公开了一种SSO验证机制,其中,将令牌发送到请求被授权访问服务的用户。所述令牌可仅在一段时间内有效。将与验证有关的功能与服务分离,并且在会话期间不需要为访问多个服务中的新服务而重新进行验证。在发送令牌之前,用户通过表明他的凭证(例如,用户名和密码)为授权访问服务而进行注册。
自由联盟计划是用于联合标识和基于标识的服务的开放标准组织。它提供用于SSO的标准,其允许用户在实现自由的位置一次性签入,并且当导向另一实现自由的位置时可进行无缝的签入,而不需要再次验证。在http://www.projectliberty.org/resourse/whitepapers公开的“Liberty ID-WSF-Web Services Framework”提供对自由ID-WSF的部件的概述。消息保护机制可包括基于令牌的机制,诸如根据Web服务安全(WS-安全)规范传播在SOAP头部块中的SAML声明。
第2004/064442号WO专利申请公开了一种用于向在跨国移动网络运营商的分组无线电网络漫游的用户提供SSO服务的电信方法和系统,所述跨国移动网络运营商包括国家网络运营商的联盟,这些国家网络运营商中的一个持有用户的预订。该电信系统还包括多个服务提供者,所述多个提供者已经就向作为包括在所述联盟中的任何国家网络运营商的订户的用户提供SSO服务与跨国移动网络运营商联盟签署了服务协议。每个服务提供者包括:用于将用户重新定向到作为联盟中的入口点的全球SSO前端基础结构的装置;用于从用户接收令牌的装置,其中,所述令牌是验证声明(SAML声明)或它的索引;用于从产生声明的位置检索声明的装置以及用于核查所述位置可信的装置。
第2003/0163733号美国专利申请公开了一种电信系统,其包括用于对访问服务提供者的用户重新定向的装置,所述用户向与所述第二移动网络运营商达成协议的第二移动网络的验证代理机预订第一移动网络运营商。第一移动网络运营商和第二移动网络运营商属于某一联盟,并且验证代理机充当所述联盟到验证提供者的入口点。用户为了执行SSO服务请求向它们的验证提供者呈现不明确的标识,例如,MSISDN/IMSI。
发明内容
本发明涉及一种验证第一网络的订户以便访问可通过作为分组数据网络(PDN)的第二网络访问的应用服务的方法和系统。应用服务指的是在应用层定义的服务,在这种环境下,应用层可表示为在传输层之上的层。具体说来,可由在开放系统互连(OSI)模型中定义的层7或根据TCP/IP协议的层5(通过不受限的方式)来表示应用层。应用服务的示例是通常由使用诸如HTTP、GET/POST、SMTP或SOAP的协议的客户机应用所使用的Web服务、通常通过浏览器的使用而访问的Web站点或者VoIP。
申请人已注意到存在以下处理:就所述网络内的高级的安全性来验证诸如GSM网络的第一网络的订户。
申请人还注意到:同样在第一网络是固定线路接入网络的情况下,可就所述网络内的高级安全性确认订户标识的有效性。在固定接入网络使用与公共交换电话网络(PSTN)共享的有线线路的情况下,诸如,在xDSL技术的情况下,在用户宅室设备(CPE)与到PDN的网关之间的通信使用安全和典型地专门有线链路,例如,标准电话铜线或光纤。
虽然诸如Wi-Fi连接的无线连接由于到PDN的无线链路而传统上表征为相对低级的安全性,但是已经提出了解决方案,其确保网络访问的相对高级的安全性。高级安全性解决方案的示例是IEEE802.11i安全标准,该安全标例如在http://www.embedded.com/showArticle.jhtml?articleID=34400002于2005年9月20日从互联网下载的D.Halasz的“IEEE 802.11i andwireless security”中有所描述。
申请人已发现在第一网络中定义的订户标识可用于在应用层验证订户,在所述应用层操作通过PDN的应用服务。具体说来,根据本发明,可透明地验证订户以访问应用服务。
在本发明的优选实施例中,请求通过PDN的服务的订户的第一网络是分组交换移动网络。更优选地,分组交换移动网络是基于GSM的GPRS标准。PDN通常是移动网络外部的网络,例如,IP网络。本发明同样应用于在相同的移动网络中主管掌管应用服务的应用服务器的情况,其中,订户从所述相同的移动网络开始会话,但是通过外部PDN来访问所述服务器。例如,应用服务器可位于移动运营商的增值服务(VAS)平台,其由IP网络来提供。具体说来,PDN可以是服务提供者的专用或公共网络。
在本发明的另一实施例中,请求通过PDN的服务的订户的第一网络是固定接入网络,其中,订户通过使用用户宅室设备(CPE),诸如链接到PC的DSL调制解调器或链接到例如电视机或TV机顶盒的外围装置的家用网关,来访问PDN。CPE通过相对安全的有线线路或无线链路而上行链接到接入网络,所述有线线路或无线链路诸如专门电话线路、专门光纤或嵌入IEEE 802.11i安全标准的无线连接。
根据本发明的优选实施例,固定接入网络是xDSL接入网络。
对访问应用服务(以下也称为服务)的请求具有在应用层定义的访问请求消息的形式。
本发明的一方面涉及一种用于验证第一网络的订户以通过第二网络访问应用服务的方法,其中,第二网络是分组数据网络(PDN),并且对应用服务的访问具有包含在数据包中的访问请求消息的形式,所述数据包包括被分配给所述订户的所述第二网络中的地址(订户地址),并且用符合应用层协议的语法表示所述访问请求消息,所述方法包括以下步骤:
a)截取到第二网络的访问请求消息;
b)识别应用层协议;
c)提供所述订户地址与第一网络中的第一订户标识符之间的映射;
d)产生包括第二订户标识符的第一验证令牌;
e)将所述第一验证令牌与访问请求消息关联;以及
f)将带有关联的第一验证令牌的访问请求消息发送到第二网络。
本发明的另一方面涉及一种用于验证第一网络的订户以通过第二网络访问应用服务的系统,其中,第二网络是分组数据网络(PDN),所述系统包括:
订户站,耦合到第一网络,并且适于产生包含在数据包中的访问请求消息,用符合应用层协议的语法来表示所述访问请求消息;
分配服务器,适于向所述订户分配在所述第二网络中的地址(订户地址)并提供所述订户地址与第一网络中的第一订户标识符之间的映射;
网关,适于执行以下功能:从订户站接收访问请求消息,将第一网络连接到第二网络并且向订户站分配订户地址;
第一逻辑实体,与网关链接并适于截取从订户站产生并通过网关被定向到第二网络的数据包,并且至少在数据包中捕获订户地址,以及
第二逻辑实体,与第一逻辑实体链接并适于执行以下功能:
从第一逻辑实体接收订户地址和访问请求消息,
识别访问请求消息的应用层协议,
向分配服务器请求第一订户标识符,以及
根据应用层协议产生第一验证令牌,所述令牌包括第二订户标识符,
其中,第一逻辑实体或第二逻辑实体适于将验证令牌关联到访问请求消息。
附图说明
图1示出本发明的实施例,其中,请求服务的订户的第一网络是GPRS系统,而第二网络是IP网络。
图2描述根据第一网络是移动网络的本发明实施例存储在标识局(IA)中的信息表的示例。
图3示出根据本发明优选实施例的对在应用服务器中主管的Web服务器的访问操作的处理示图。
图4示出根据本发明另一实施例的连接到外部NGN IP网络的分组交换网络的框图。
图5示意性示出根据本发明另一实施例的通过NGN到在SIP服务器中主管的SIP服务的访问操作的处理示图。
图6显示根据本发明优选实施例的示例到在应用服务器中主管的Web站点的访问操作的处理示图。
图7示出本发明的替换实施例,其中,请求服务的订户的第一网络是固定网络(ADSL),而第二网络是IP网络。
图8描述根据第一网络是固定网络的本发明实施例存储在标识局(IA)中的信息表的示例。
图9示出根据本发明另一优选实施例到在应用服务器中主管的Web服务的访问操作的处理示图。
图10示出本发明的实施例,其中,请求服务的用户是多个(第一)网络的订户,而第二网络是IP网络。
图11示意性示出根据本发明另一实施例在手动验证的情况下的处理示图。
具体实施方式
图1示出本发明的优选实施例。在图1的实施例中,第一网络是GPRS系统,而第二网络是IP网络12。图1的实施例可代表以下的示例性情况,其中,GPRS网络的订户想要从她/他的移动站(MS)2通过IP网络访问在应用服务器11中主管的Web站点的服务。MS 2以无线电方式连接到基站收发器(BTS)2,其连接到基站控制器(BTS)4。BTS和BSC的组合功能通常称为基站子系统(BSS)。从那里,服务GPRS支持节点(SGSN)5提供到GGSN的访问,所述GGSN用作到数据网络的网关,在这种情况下,所述数据网络为IP网络12。SGSN 5典型地基于与现有GSM中相同的算法、密钥和准则来执行验证和密码设置程序。
MS 2可以是移动电话,MS 2包括订户标识模块(SIM),所述SIM携带标识和验证信息,通过它们,蜂窝网络可识别蜂窝网络内的MS终端并授权它在网络中工作。
为了发送和接收GPRS数据,MS 2需要激活分组数据地址,即,该实施例中的IP地址,其将被用于访问服务。当订户请求服务时,MS 2通过在GGSN 6终止的无线电网络来发送请求。使用特定协议,GGSN将请求发送到认证-授权-计费(AAA)服务器7,所述AAA服务器本身是公知的。作为示例,所述AAA服务器可以是远程验证拨入用户服务(RADIUS)服务器或动态主机配置协议(DHCP)服务器。在AAA服务器是RADIUS服务器的情况下,GGSN包括RADIUS客户机,以便使用RADISU协议与AAA服务器通信。根据标准GPRS程序,AAA服务器可基于任何数量的属性来验证订户,所述属性诸如网络访问标识符(NAI)或国际移动订户标识(IMSI)。IMSI是仅明确地与特定订户关联的标识号。IMSI通常由移动网络运营商来分配,并且追踪对可行的特定订户的计费和服务供应。通常在SIM中携带IMSI。
或者,移动站国际ISDN号(MSISDN)可用来识别移动网络中的订户。然而,由于更多MSISDN(即,电话号码)可关联到相同的IMSI,所以IMSI是优选(但非限制)的订户标识符。
AAA服务器向MS分配IP地址,随后将所述地址返回GGSN。GGSN向MS分配IP地址。用于地址分配的协议对于GPRS网络是特定的,并通常称为PDP语境激活。AAA包含数据库,其中,分配的IP地址被关联到订户标识,例如,IMSI。
应理解到:尽管示例访问分配给MS 2的IP地址,但是可由GGSN将多于一个的IP地址分配给同一MS。在这种情况下,根据GPRS规范,GGSN可存储关于关联到MS的活动连接(PDP语境)的信息,并且可检验由MS在数据分组传输中使用的IP地址是否是由GGSN向MS分配的IP地址之一。
应注意到:GPRS-GSM网络的SGSN 5、GGSN 6和AAA 7处于相同的域,该域表征为GSM安全性方案。
根据本发明的优选实施例,逻辑实体(软件模块)10(以下称为安全令牌注入器(STI))在逻辑上链接到GGSN 6。定位STI以控制从GPRS/GSM网络进入的通信量。具体说来,STI截取从移动站产生并通过GGSN 6被定向到IP网络12的数据包。
数据包(例如,互联网包)是核心数据块连同附加的必要地址和管理信息,以允许网络将数据传递到正确的目的地。数据包开始于由应用给出的核心数据。通过若干层的头部来封装核心数据,其中,可根据OSI模型来描述所述层。在该(非限定)描述内,当数据包经过称为封装的机制时,每层对所述数据包进行修改。核心数据包含应用层消息,该消息通过符合应用层协议的语法来表示。应用层协议的示例为FTP(文件传输协议)、HTTP(超文本传输协议)、SOAP(简单对象访问协议)或SIP。
请求访问服务器或访问服务功能或操作的应用层消息在所述情况下被称为访问请求消息。在所述情况下,访问请求消息并非必然描述在会话启动时对加入服务的请求,而且描述对访问功能或由服务提供的操作的请求。在SIP中访问请求消息的示例是“INVITE”消息:当用户代理客户机期望发起会话(例如,音频、视频或游戏)时,它指定“INVITE”请求。“INVITE”请求请服务器建立会话(例如,语音呼叫)。在另一示例中,当请求Web页时,利用检索期望的数据所必需的信息(例如,URL)来创建“get”消息。作为示例,携带“get”消息的应用层协议是HTTP。在这种情况下,“get”消息包括HTTP GET头部,其作为在应用层对于服务(在这种情况下,指的是通过互联网检索Web页的服务)的访问请求消息的示例。
可通过在传输控制协议(TCP)和互联网协议(IP)这两个广泛使用的协议之后的互联网协议栈(也称为TCP/IP栈)来描述根据其运行互联网的协议堆栈。TCP/IP栈的协议集合覆盖OSI 7层模型中的5层。使用所述TCP/IP栈,通常将消息嵌入应用头部(通常,该应用头部实际上包括若干头部)和应用层主体(或净荷)两者中。头部具有根据应用层协议的标准格式,而净荷包含直达应用的信息并且数据不需要符合标准头部或格式。HTTP中头部的示例为诸如GET消息的消息类型和请求的Web页的URL。下一层是传输层,其添加通常在TCP或用户数据报协议(UDP)中定义的头部的层。在网络层(在也称为IP层的互联网)中,该头部(IP头部)包含从源到目的地获得数据包所需的信息,其包括源地址和目的地地址,所述地址即为机器号码。
STI 10至少操作在网络层,并且捕获离开GGSN 6的数据包。如果STI仅操作在网络层或仅到达传输层,则由于STI无法识别在数据包中携带的应用消息,例如,其无法识别是否是访问请求消息或者在哪个应用层协议携带所述消息,所以STI需要捕获离开GGSN(并定向到IP地址)的所有数据包。在STI还操作在应用层的情况下,其可识别访问请求消息并区分不同的应用层协议。例如,如果还操作在应用层,则可将STI编程为仅截取SIP访问请求消息,并且使按照其它协议编制的消息通过。
可用于实现STI模块的技术之一是应用层防火墙的技术。商用的察觉应用的防火墙的示例为Cisco PIX、Check Point Firewall-1和Xtradyne的WS-DBC。
STI在携带访问请求消息的数据包中必须截取的最少信息是关于订户地址的在网络层的信息,例如,在互联网中,指的是分配到订户(即,到MS)的IP地址。通常,如以下进一步详细描述的,STI将需要关于目的地地址的信息,以在验证处理的末尾发送携带所述消息的数据包。优选地,由STI在截取数据包时提取所述信息。然而,这是非限制性的特点,因为可将STI配置为将消息发送到验证系统已定义的目的地地址。应注意到:目的地地址不必是消息被定向的应用服务器的地址。例如,根据SIP协议,可将消息定向到SIP代理,该SIP代理随后将消息寻址到在消息头部中包括的应用层地址中指定的应用服务器。
包含在由STI 10捕获的数据包中的信息的至少一部分被传递到软件部件9,该软件部件9称为标识局(IA),操作在应用层上。IA负责管理访问外部PDN(即,IP网络12)的订户的标识。IA至少从STI接收订户IP地址和关于访问请求消息的应用层协议的信息。可通过从STI接收数据包(如果STI最高仅操作在网络/传输层,则所述数据包为“闭合封装”)来获得所述关于访问请求消息的应用层协议的信息,或者如果STI还操作在应用层上,则可通过接收诸如协议类型(例如,SOAP、HTTP、SIP)的特定信息来获得所述信息。从应用层操作的STI接收的其它信息可包括:消息类型(例如,INVITE或REGISTER)以及需要的服务的通用资源标识符(URI),例如,Web页的URL。
IA 9可通过从STI 10得知请求服务的移动站MS 2(订户)的IP地址以及通过询问AAA 7而得知订户的标识来识别所述移动站MS 2,其中,所述AAA 7包含分配的IP地址与订户标识之间的映射。作为订户标识,优选地,由IA提取IMSI。
优选地,IA存储关于订户标识和他/她请求的服务的信息。关于请求的服务的信息可以是服务提供者的IP地址和/或URI,以及/或者在服务提供者使用不同的协议提供更多服务的情况下(例如,对电子邮件帐户使用POP3,对Web导航使用HTTP),所述信息是服务所使用的协议。在图2中,描述存储在IA中的信息表的示例。所示的表为想要访问一个或多个服务的订户A、B和C提供映射,所述服务表征为服务提供者SP-1、SP-2等。在图2的示例中,订户通过他们的IMSI来识别。优选地,由IA为每个订户创建伪PS,例如,创建与订户的IMSI相应的PS。或者,如图2所示,可为订户产生更多的假名(pseudonym),其中,每个假名表征由订户请求的特定服务。作为优选,创建假名,以便避免公开诸如IMSI的敏感数据,这将在以下的描述中更加清楚。
在检验订户的标识之后(例如,通过将IP地址和与订户相关的IMSI映射),IA根据访问请求消息的应用层协议来产生软件令牌。例如,在用于Web服务的SOAP消息的情况下,可根据WS安全规范来定义所述令牌。将所述令牌插入访问请求消息,例如,作为插入消息的现有应用头部的字段或作为在消息中添加的新的应用头部。
根据STI操作在哪一层,可由IA将令牌插入消息中,或者IA可命令STI将令牌插入消息中。后一种选择假设STI也操作在应用层上。在任何一种情况下,STI将修改的访问请求消息(即,包含令牌)发送到应用服务器11,应用服务器11接收验证的消息。
可通过(在应用服务器11上运行的)应用服务来确认消息的验证,例如,可通过检验令牌并随后将其发送到服务的应用逻辑的特定应用服务器软件来确认消息的验证。控制验证的框架的示例为SunJava系统访问管理器,其为基于开发Java 2平台的体系结构。
验证令牌包括关联到在移动网络中定义的订户标识的订户标识符,所述移动网络典型地位于移动运营商的域中,并且所述标识符诸如IMSI或MSISDN。
优选地,包括在令牌中的订户标识符是关联到基于SIM的标识(例如,IMSI或MSISDN)的假名。尽管本发明不排除在验证令牌中使用在移动网络中定义的订户标识,但是假名的使用保护了订户的隐私,并防止公开诸如IMSI的敏感信息,从而避免安全威胁(例如,在移动运营商的计费处理中进行舞弊)。或者,标识符可以是由移动运营商根据(例如)订户的信用分配给订户的授权串/代码。尽管优选的是标识符唯一明确地相应于订户标识,但是可为一组订户(例如,按照年龄的分组)分配相同的授权串/代码。
可选地,IA在将产生的令牌发送到STI之前,将所述令牌传递到公共密钥基础结构(PKI)服务8,作为示例,所述PKI服务8通过经由非对称加密将数字签名添加到令牌来证明所述令牌,而非对称加密本身是公知的。PKI 8可以是如Entrust PKI或VeriSign的商用框架或如OpenSSL的免费软件/开放源工具。
本发明的验证系统具有的优点在于其对订户透明,所述订户在请求服务之后,仅看见验证的结果:访问服务或拒绝访问。
包含STI和IA的验证软件平台可以在移动网络运营商的直接控制下。
尽管STI 10和IA 9被示为GGSN 6外部的分离部件,但是可在GGSN之内实现STI 10和IA 9,例如,将其实现为嵌入GGSN的GPRS标准控制逻辑中的软件模块。由于这样将消除GGSN与STI之间的物理连接,所以可提高STI针对网络层攻击的安全性。
模块STI和IA可以是用诸如Java、C、C++和CORBA的标准语言实现的软件部件,并且可安装在本身公知的硬件部件上。
图3示出根据本发明优选实施例对在应用服务器中主管的Web服务的访问操作的处理示图。在图3所示的处理流程中相互作用的主要部件具有与参照图1描述的部件相同的一般逻辑功能,并且用相同的标号指示。
在图3所示的实施例中,MS 2可以是包括启用数据的客户机的蜂窝电话,用于在分组交换蜂窝式网络(诸如GPRS、EDGE或UMTS)内的连接和数据传送。例如,可将蜂窝电话(通过有线或无线链路)链接到采用电话来连接到分组交换网络的个人计算机。在蜂窝式网络外部的域中主管应用服务器11,所述域通过公共IP网络连接到服务器。
在图3中,作为示例,MS通过使用SOAP协议请求访问在公共IP网络中提供的服务“abc”,所述SOAP协议是基于XML的语言,其用于向Web服务传递数据并从Web服务传递数据。可将SOAP消息包含在HTTP消息中(在应用层)。作为示例,SOAP请求可以是头部中的HTTP POST或HTTP GET请求,而SOAP消息包含在主体中,例如,在图3中,给出的HTTP POST请求id的示例,即,“POST/abc HTTP/1.1”。步骤31通过简化的方式表示MS 2与GGSN6之间的相互作用,其对于MS访问外部网络是必需的。在步骤31期间,由AAA 7至少在数据会话的持续期间识别和授权MS,所述AAA7将IP地址分配给MS并在存储器中存储IP地址与订户标识之间的映射信息。在该实施例中,订户标识包括IMSI。在步骤31的蜂窝式网络内的授权和验证阶段之后,由GGSN将在数据包中携带的访问请求消息转发到外部网络(步骤32)。步骤32的虚线表示在没有根据本发明的验证机制的情况下,消息经过的逻辑路径,即,消息被发送到应用服务器11,所述应用服务器11随后将通过用于验证的询问/响应机制来询问用户。
根据本发明,在步骤32,由位于GGSN 6与公共网络之间的STI10来截取包含访问请求消息的数据包。STI从截取的数据包提取订户的IP地址(即,用于会话而分配给MS的地址),优选地,还提取IP目的地地址(即,应用服务器11的地址)。STI随后将应用消息(在这种情况下为SOAP消息)和订户的IP地址转发给IA 9(步骤33)。
如果STI操作在低于应用层的层上,则作为示例,通过向IA转发应用头部,将消息自动转发到IA。反之,如果STI操作在应用层上,则STI识别在应用层消息中使用的协议,在这种情况下,所述协议为HTTP协议上的SOAP。在所述的任何一种情况下,IA得知订户的IP地址以及消息所符合的应用层协议。作为示例,可通过以公共对象请求代理机体系结构(CORBA)(诸如接口定义语言(IDL))指定的接口或以Web服务语言(诸如Web服务描述语言(WSDL))指定的接口来产生STI与IA之间的信息传输。
在步骤34,IA 9询问AAA 7以确定GSM网络中订户(通过MS2连接到蜂窝式网络)的标识,所述标识相应于在数据包中捕获的源IP地址。在步骤35,AAA 7通过向IA提供关联到IP地址的订户标识(在这种情况下,由IMSI表示)来响应于所述询问。
在下一步骤(步骤35),IA产生包括订户标识符的令牌。作为示例,可根据WS安全规范来定义令牌,例如,字符串(在图3中指示为<WS>令牌)。优选地,包括在令牌中的标识符是由IA创建并关联到IMSI的假名。如在图2中示出的示例,诸如在为相同订户创建更多假名(即,相同的IMSI)以访问会话内的不同服务的情况下,在单一签入(SSO)访问机制的情况下,可将所述标识符关联到服务提供者。至少在会话的持续期间,IA追踪假名与在蜂窝式网络中定义的订户标识(即,IMSI)之间的映射。
以下示例为以XML格式标识并符合OASIS(结构化信息标准促进组织)开放标准的(简化)SAML令牌:
<saml:Assertion MajorVersion="1" MinorVersion="0"
AssertionID="128.9.167.32.12345678"
Issuer="Operator.com"
<IssueInstant="2004-12-03T10:02:00Z"> <saml:Conditions
NotBefore="2004-12-03T10:00:00Z"
NotAfter="2004-12-03T10:05:00Z"/>
<saml:AuthenticationStatement
AuthenticationMethod="<GSM>"
AuthenticationInstant="2001-12-03T10:02:00Z">
<saml:Subject>
<saml:NameIdentifier
SecurityDomain="operator.com"Name="PSEUDONYM"/>
</saml:Subject>
</saml:AuthenticationStatement>
</saml:Assertion>
上述示例的SAML令牌声明名称为“PSEUDONYM”的用户的标识(即,由IA给出的标识符),其被关联到在GSM网络中定义的标识。优选地,SAML令牌包含关于用于授权访问服务的验证方法的信息,在这种情况下,其由GSM安全方案(用<GSM>来指示)来定义。其它可选信息是验证的发布者(用operator.com来指示)以及令牌有效性的条件(用命令NotBefore和NotAfter来指示)。
可选地,将令牌转发到PKI 8服务,以向令牌附加数字签名或根据已知加密机制来对其进行加密(步骤36)。在步骤37,PKI返回用数字签名证明和/或通过加密确保安全的令牌。在图3中,用DS来指示证明/加密的令牌(<WS>令牌)。
紧接着步骤35(或者在包括PKI服务的情况下,紧接着步骤37),IA创建新的访问请求消息,用“New-soap”来指示,其包括产生的令牌。优选地,新消息是从MS发送的访问请求消息,其中,如OASIS WS安全规范所述,将令牌添加在SOAP封装中,作为附加字段。在步骤38,将新的访问请求消息(包括令牌)传递到STI以进行传输。STI先前在它的存储器中复制并存储提取出信息的数据包,随后将接收的访问请求消息发送到应用服务器11(步骤39)。
如果数字签名被附加到令牌,则应用服务器通过询问PKI服务来检验数字签名(步骤40)。例如,PKI检验令牌的数字签名证书是否有效。
最终,通过令牌接收到对订户标识的验证的应用服务器11向验证的订户提供所请求的服务(步骤41)。
应注意到:在图3中描述的验证机制对于用户是透明的,所述用户不需要输入用于访问服务的证明。此外,验证机制允许通过SSO机制对多个服务进行透明访问,所述SSO机制通常预先假设在提供服务的服务提供者(标识联盟)中间存在协议。
图4示出根据本发明另一实施例的连接到外部IP网络的分组交换网络的框图。MS 2以无线电方式链接到分组交换移动网络13,例如,UMTS网络。尽管没有详细示出,但是移动网络13包括AAA服务器和GGSN。在该实施例中,IP网络是下一代网络(NGN)15,其作为基于分组的网络,允许基于分组的互联网与电话网络之间的趋同,并支持各种类型的用户通信量(包括语音、数据和视频)。NGN技术的应用是语音转IP(VoIP)。在该示例中,NGN网络中的呼叫/会话功能基于会话启动协议(SIP)。根据图4所示的实施例,移动电话MS 2通过NGN 15将SIP消息寻址到SIP服务器14。由验证平台17截取离开移动网络13的GGSN的SIP消息。验证平台17包括STI 10、IA 9,并且可选地包括PKI 8,它们与参照图1描述的STI 10、IA 9和PKI 8具有相同的一般逻辑功能。在验证之后,SIP服务器14总是通过NGN 15将SIP消息转发到SIP电话16,SIP电话16为包括客户机应用(即,用户代理客户机和用户代理服务器)的IP节点,所述客户机应用用于向其它电话发起呼叫和从其它电话接收呼叫,其中,所述SIP电话16为基于IP的电话或陆上线路/蜂窝电话,并且作为示例,可安装在个人计算机上。SIP消息的示例是从移动电话2发起以与SIP电话16建立多媒体呼叫(例如,视频会议)的请求。
在图5示意性示出通过NGN到在SIP服务器中主管的SIP服务的访问操作的处理示图。MS 2通过使用SIP协议来请求访问在NGN中提供的服务。作为示例,所述服务是视频会议会话的设立,该服务可通过INVITE命令来请求。作为示例,SIP消息可以是“INVITE sip:name@acme.comSIP/2.0”,其中,
name@acme.com是Request_URI,其为指定SIP消息的目的地的SIP URI(例如,URL)。Request_URI可以是用户或在SIP电话中定义的用户代理服务器。在该示例中,Request_URI是由SIP电话16定义的用户。可通过TCP或UDP在网络层传输SIP消息。
步骤50以简化的方式表示MS 2与GGSN 6之间的相互作用,其对于MS访问外部网络是必需的。在步骤50期间,至少在数据会话的持续期间,由AAA 7识别和授权MS,所述AAA 7将IP地址分配给MS,并在存储器中存储IP地址与订户标识(例如,IMSI)之间的映射信息。在步骤50的移动网络内的授权和验证阶段之后,由GGSN将在数据包中携带的访问请求消息转发到外部网络(步骤51)。步骤51的虚线表示在没有根据本发明的验证机制的情况下,消息经过的逻辑路径,即,消息被发送到SIP服务器15。
根据本发明,在步骤52,由位于GGSN与NGN之间的STI 10来截取SIP消息。STI从截取的数据包提取源IP地址(即,分配给MS的地址)和目的地IP地址,即,可处理请求并将INVITE消息转发到正确的被呼叫者(由SIP URI来指示)的SIP服务器的地址。STI随后将SIP消息和订户IP地址转发到IA 9(步骤52)。
在步骤53,IA 9询问AAA 7以确定订户标识,所述标识相应于在包含SIP消息的数据包中捕获的源IP地址。在步骤54,AAA 7通过向IA提供被关联到IP地址的订户标识(在这种情况下,由IMSI表示)来响应于所述询问。
在下一步骤(步骤54),IA产生包括订户标识符的令牌。作为示例,可根据SAML规范来定义令牌(在图5中指示为[SAML]令牌)。优选地,所述标识符是由IA创建并关联到IMSI的假名。
可选地,将令牌转发到PKI 8服务,以向令牌附加数字签名和/或根据已知加密机制来对其进行加密(步骤55)。在步骤56,PKI返回用数字签名证明和/或通过加密确保安全的令牌。在图5中,用DS来指示证明/加密的令牌([SAML]令牌)。
紧接着步骤54(或者在包括PKI服务的情况下,紧接着步骤56),IA创建新的访问请求消息,用“New SIP header”来指示,其包括产生的令牌。优选地,新消息是从MS发送的访问请求消息,其中,如在图5中由SIP头部61所示,将令牌添加在SIP头部中,作为SIP协议中描述的附加字段。在DS([SAML]令牌)之间的字段“SAML-Payload”是由IETF定义的关键字,它用于识别SAML令牌头部。
将新的访问请求消息(包括令牌)传递到STI以进行传输(步骤57)。STI随后将接收的SIP消息61指向SIP服务器14(步骤58)。
如果数字签名被附加到令牌,则应用服务器通过询问PKI服务来检验数字签名(步骤59)。
最终,通过令牌接收到对订户标识的验证的应用服务器14通过将“200 OK”消息发送到MS来发送对INVITE消息的肯定响应(步骤60),该肯定响应为对INVITE的标准SIP肯定响应。随后可在端点之间建立使用RTP的视听流。
参照回图4,尽管将验证平台17示为处于移动网络的外部,但是可在移动网络13中(即,在移动运营商的安全域中)实现验证平台17。
图6示出根据本发明优选实施例的示例,对在应用服务器中主管的Web站点的访问操作的处理示图。对Web站点的访问来自于电路交换移动网络(诸如GSM)或来自GPRS,它们通过使用无线应用协议(WAP)连接到IP网络。根据本发明,MS 2(例如,GSM电话)包含截取WAP数据的微浏览器。使用诸如UDP的网络协议来发送所述WAP数据。应用服务器可以是专门的WAP服务器或传统Web服务器。由GGSN 6来执行蜂窝是网络到外部网络的网关的逻辑功能。
作为示例,图6所示的实施例可应用于由自由联盟计划定义的标识联盟框架(ID-EF)。ID-EF基于SAML标准并提供基于标准SOAP的验证以及到标识提供者的单一签入服务接口。
在图6中,作为示例,MS通过使用HTTP协议请求访问在公共IP网络中提供的服务“abc”在图6中,给出HTTP GET请求的示例,即,“GET/abc HTTP/1.1”。步骤71通过简化的方式表示MS 2与GGSN6之间的相互作用,其对于MS访问外部网络是必需的。在步骤71期间,由AAA 7至少在数据会话的持续期间识别和授权MS,所述AAA7将IP地址分配给MS并在存储器中存储IP地址与订户标识之间的映射信息。在该实施例中,订户标识包括IMSI。在步骤71的蜂窝式网络内的授权和验证阶段之后,由GGSN将在数据包中携带的访问请求消息转发到外部网络(步骤72)。步骤72的虚线表示在没有根据本发明的验证机制的情况下,消息经过的逻辑路径,即,消息被发送到Web/WAP服务器。
根据本发明,在步骤72,由位于GGSN与公共网络之间的STI 10来截取包含访问请求消息的数据包。STI从截取的数据包提取订户的IP地址(即,用于会话而分配给MS的地址)以及IP目的地地址(即,应用服务器11的地址)。STI随后将应用消息(在这种情况下为HTTPGET消息)和订户的IP地址转发给IA 9(步骤73)。
在步骤74,IA 9询问AAA 7以确定订户(通过MS 2连接到蜂窝式网络)的标识,所述标识相应于在数据包中捕获的源IP地址。在步骤75,AAA 7通过向IA提供关联到IP地址的订户标识(在这种情况下,由IMSI表示)来响应于所述询问。
在下一步骤(步骤76),IA产生包括订户标识符的令牌。优选地,所述包括在令牌中的标识符是由IA创建并关联到IMSI的假名。作为示例,可根据SAML规范来定义所述令牌(在图6中指示为[SAML]令牌)。优选地,所述标识符是由IA创建并关联到IMSI的假名。
可选地,将令牌转发到PKI 8服务,以向令牌附加数字签名和/或根据已知加密机制来对其进行加密(步骤76)。在步骤77,PKI返回用数字签名证明和/或通过加密确保安全的令牌。在图6中,用DS来指示证明/加密的令牌([SAML]令牌)。
紧接着步骤75(或者在包括PKI服务的情况下,紧接着步骤77),IA根据由自由联盟定义的标准创建充当到SAML声明的指针的“伪象”。所述伪象在图6中用“Artifact(SAML)”来指示。随后在步骤78将伪象提供给STI。在步骤79,STI将包含“Artifact(SAML)”的HTTP GET消息发送到Web/WAP服务器。在步骤80期间,已接收到包含伪象的访问请求消息的服务器请求IA提供与伪象相应的SAML令牌。在接收到包括作出请求的移动订户的标识符的SAML令牌之后,识别(并授权)所述订户,服务器(即,服务提供者)随后将肯定响应“welcome”发送到MS(步骤81)。
图7示出本发明的另一优选实施例,其中,请求服务的订户的第一网络是ADSL接入网络,而第二网络是IP网络。图7的实施例可代表以下的示例性情况,其中,ADSL网络的订户想要从她/他的个人计算机(PC)2通过IP网络访问在应用服务器24中主管的Web站点的服务。在该示例中,通过标准串行USB(通用串行总线)接口将PC18连接到ADSL调制解调器19。PC 18和ADSL调制解调器19通常被称为用户宅室设备(CPE)68。然而,可考虑替换CPE,诸如连接到一个或多个PC、IP电话或连接到TV机顶盒的住宅网关。因此,通常采用CPE来发起,路由或终止电信,并且作为示例,通过从PC键盘输入登录ID和密码或通过从住宅网关进行自动验证(例如,通过包括在智能卡或嵌入住宅网关的固件中的代码串)来提供对访问PDN的验证请求。重点在于所述验证在接入网络内进行以授权访问PDN(例如,互联网)。
经由CPE 68将订户与DSL接入复用器(DSLAM)30连接。DSLAM 30包括复用器/解复用器,并且用户线路(即,有线链路67)连接到位于中央局(运营商室内)66的DSLAM内的分配的ADSL终端单元。DSLAM 30上行链接到宽带网络访问服务器(BNAS)29,器提供包括路由或服务选择的应用层会话管理。CPE驻留在端点用户位置(例如,家庭或办公室),其在图7中用标号20示意性示出。CPE与DSLAM之间的连接为有线链路67,其通常为标准铜制电话线。传统模拟电话(即,简易老式电话系统(POTS)23)可选择性地经由相同的有线链路67与PSTN 25连接。因此,有线链路67可携带POTS信号与DSL信号两者。BNAS 29连同DSLAM 30用作到外部分组数据网络的网关,在所述情况下,外部分组数据网络是IP网络22。注意到以下情况很重要:CPE与DSLAM之间的通信使用用户室内与中央局之间的专门有线链路,由此确保在DSL基础结构内通信的高级安全性。
BNAS处理对请求访问IP网络的订户的验证,以便授权所述订户进行访问。由认证、授权和计费(AAA)服务器26来实施登录验证。AAA服务器26执行类似与在图1的实施例中描述的AAA服务器的逻辑操作。具体说来,AAA服务器包含数据库,其中,将分配的IP地址关联到xDSL网络内的订户标识。根据已知方法,对访问PDN的验证(可称为登录验证)可基于以密码为基础的机制、智能卡或加密令牌。优选的登录验证机制使用登录ID,其通常是关联到密码的用户名,当请求连接到外部数据网络时由订户输入。还可将订户ID包括在智能卡中。登录ID的使用允许在可采用相同订户站的不同用户之间进行区分,作为示例,所述用户为通过相同PC连接的用户。或者,可通过PSTN的呼叫线路标识(CLI)在ADSL基础结构内识别所述订户。
根据本发明,安全令牌注入器(STI)65在逻辑上链接到BNAS 29。定位STI以控制从ADSL网络进入的通信量。具体说来,STI 65截取从CPE 68产生并通过BNAS 29被定向到IP网络22的数据包。
STI 65至少操作在网络层,并且捕获离开BNAS 29的数据包。如果STI仅操作在网络层或仅到达传输层,则由于STI无法识别在数据包中携带的应用消息,例如,其无法识别是否是访问请求消息以及在哪个应用层协议携带所述消息,所以STI需要捕获离开BNAS(并定向到IP网络)的所有数据包。在STI还操作在应用层的情况下,其可识别访问请求消息并区分不同的应用层协议。例如,如果还操作在应用层,则可将STI编程为仅截取HTTP访问请求消息,并且使按照其它协议编制的消息通过。
STI 65的一般逻辑功能类似于参照图1描述的STI 10的一般逻辑功能。具体说来,STI在携带访问请求消息的数据包中必须截取的最少信息是关于订户地址的在网络层的信息,例如,在互联网中,指的是分配到订户的IP地址。
包含在由STI 65捕获的数据包中的信息的至少一部分被传递到软件部件标识局(IA)64,其操作在应用层上。IA负责管理访问外部PDN(即,IP网络22)的订户的标识。IA至少从STI接收订户IP地址和关于访问请求消息的应用层协议的信息。可通过从STI接收数据包(如果STI最高仅操作在网络/传输层,则所述数据包为“闭合封装”)来获得所述关于访问请求消息的应用层协议的信息,或者如果STI还操作在应用层上,则可通过接收诸如协议类型的特定信息来获得所述信息。
IA 64的逻辑功能基本上与参照图1描述的那些逻辑功能相同。具体说来,IA通过从STI 65得知请求服务的订户的IP地址以及通过询问AAA 26而得知订户的标识来识别所述订户(即,作为示例,经由智能卡登录或通过CLI来识别订户站),其中,所述AAA 26包含分配的IP地址与订户标识之间的映射。
优选地,IA存储关于订户标识和他/她请求的服务的信息。关于请求的服务的信息可以是服务提供者的IP地址和/或URI,以及/或者在服务提供者使用不同的协议提供更多服务的情况下(例如,对电子邮件帐户使用POP3,对Web导航使用HTTP),所述信息是服务所使用的协议。在图8中,描述存储在IA 64中的信息表的示例。所示的表为想要访问一个或多个服务的订户A、B和C提供映射,所述服务表征为服务提供者SP-1、SP-2等。在图8的示例中,订户通过他们的登录ID(例如,用户名和密码(LOGIN-A、LOGIN-B等))来识别。优选地,由IA为每个订户创建伪PS,例如,创建与订户的登录ID相应的PS。或者,如图8所示,可为订户产生更多的假名,其中,每个假名表征由订户请求的特定服务。作为优选,创建假名,以便避免公开诸如CLI或登录ID的敏感数据。
在检验订户的标识之后(例如,通过将IP地址和与订户相关的登录ID映射),IA根据访问请求消息的应用层协议来产生软件令牌。例如,将所述令牌插入访问请求消息,作为插入消息的现有应用头部的字段或作为在消息中添加的新的应用头部。
根据STI操作在哪一层,可由IA将令牌插入消息中,或者IA可命令STI将令牌插入消息中。后一种选择假设STI也操作在应用层上。在任何一种情况下,STI将修改的访问请求消息(即,包含令牌)发送到应用服务器24,应用服务器24接收验证的消息。
验证令牌包括关联到在固定接入网络中定义的订户标识的订户标识符。
优选地,包括在令牌中的订户标识符是关联订户标识(例如,CLI或登录ID)的假名。尽管本发明不排除在验证令牌中使用在PSTN或固定接入网络中定义的订户标识,但是假名的使用保护了订户的隐私,并防止公开敏感信息。或者,标识符可以是由PSTN运营商根据(例如)订户的信用分配给订户的授权串/代码。尽管优选的是标识符唯一明确地相应于订户标识,但是可为一组订户(例如,按照年龄的分组)分配相同的授权串/代码。
可选地,IA 64在将产生的令牌发送到STI之前,将所述令牌传递到公共密钥基础结构(PKI)服务63,所述PKI服务63通过经由非对称加密将数字签名添加到令牌来证明所述令牌,而非对称加密本身是公知的。
尽管STI 65和IA 64被示为BNAS 29外部的分离部件,但是可在BNAS之内优选地实现STI 65和IA 64,例如,将其实现为嵌入BNAS的控制逻辑中的软件模块。由于这样将消除BNAS与STI之间的物理连接,所以可提高STI针对网络层攻击的安全性。
尽管在数字订户线路(DSL)技术(特别是ADSL技术)的情况下参照图7和图9描述了本发明的实施例,但是应理解:本发明并不受限于xDSL技术。事实上,还可在本发明的其它实施例中使用其它接入接入和/或网络配置,例如但不受限于:混合同轴光纤(HFC)、无线连接(例如,WiFi或WiMAX)、光纤到户(FTTH)和/或以太网。
图9示出对在应用服务器中主管的Web站点的访问操作的处理示图。在处理流程中相互作用的主要部件具有与参照图7所描述的部件相同的一般逻辑功能,并使用相同的标号来指示。在所述实施例中,订户站通过使用SOAP协议请求访问在公共IP网络中提供的服务“abc”。作为示例,HTTP请求可以是HTTP POST,例如,“POST/abcHTTP/1.1”。订户站在该实施例中作为链接到ADSL调制解调器的端点用户外围装置18(例如,PC),在步骤91通过本身已知的方式在ADSL基础结构内进行验证。即,步骤91通过简化的方式表示PC 18(经由DSL调制解调器)与BNAS 29之间的相互作用,其对于订户站访问外部网络是必需的。在验证阶段内,AAA 7至少在数据会话的持续期间将IP地址分配给订户站并在存储器中存储IP地址与订户标识之间的映射信息。随后从ADSL接入网络授权订户站来访问IP服务,并向订户分配IP地址。
在步骤91的接入网络内的授权和验证阶段之后,在步骤92,由BNAS将在数据包中携带的访问请求消息转发到外部网络。步骤92的虚线表示在没有根据本发明的验证机制的情况下,消息经过的逻辑路径,即,消息被发送到应用服务器24。
根据本发明,在步骤92,由位于BNAS 29与公共网络之间的STI65来截取包含访问请求消息的数据包。STI从截取的数据包提取订户的IP地址(即,用于会话而分配给订户站的地址),优选地,还提取IP目的地地址(即,应用服务器24的地址)。STI随后将应用消息(在这种情况下为SOAP消息)和订户的IP地址转发给IA 64(步骤93)。
如果STI操作在低于应用层的层上,则作为示例,通过向IA转发应用头部,将消息自动转发到IA。反之,如果STI操作在应用层上,则STI识别在应用层消息中使用的协议,在这种情况下,所述协议为HTTP协议上的SOAP。在所述的任何一种情况下,IA得知订户的IP地址以及消息所符合的应用层协议。作为示例,可通过以公共对象请求代理机体系结构(CORBA)(诸如接口定义语言(IDL))指定的接口或以Web服务语言(诸如Web服务描述语言(WSDL))指定的接口来产生STI与IA之间的信息传输。
在步骤94,IA 64询问AAA 26以确定PSTN中订户的标识,所述标识相应于在数据包中捕获的源IP地址。在步骤95,AAA 26通过向IA提供关联到IP地址的订户标识(在这种情况下,由登录ID表示)来响应于所述询问。
在下一步骤(步骤96),IA产生包括订户标识符的令牌。作为示例,可根据WS安全规范来定义令牌,例如,字符串(在图9中指示为<WS>令牌)。优选地,包括在令牌中的标识符是由IA创建并关联到登录ID的假名。如在图8中示出的示例,诸如在为相同订户创建更多假名(即,相同的登录ID)以访问会话内的不同服务的情况下,在单一签入(SSO)访问机制的情况下,可将所述标识符关联到服务提供者。至少在会话的持续期间,IA追踪假名与在PSTN中定义的订户标识(例如,登录ID或CLI)之间的映射。
可选地,将令牌转发到PKI 63服务,以向令牌附加数字签名或根据已知加密机制来对其进行加密(步骤97)。在步骤98,PKI返回用数字签名证明和/或通过加密确保安全的令牌。在图9中,用DS来指示证明/加密的令牌(<WS>令牌)。
紧接着步骤95(或者在包括PKI服务的情况下,紧接着步骤97),IA创建新的访问请求消息,用“New-soap”来指示,其包括产生的令牌(步骤98)。在步骤98,将新的访问请求消息(包括令牌)传递到STI以进行传输。作为示例,新消息是从订户站发送的访问请求消息,其中,如OASIS WS安全规范所述,将令牌添加在SOAP封装中,作为附加字段。STI先前在它的存储器中复制并存储提取出信息的数据包,随后将接收的访问请求消息发送到应用服务器24(步骤99)。
如果数字签名被附加到令牌,则应用服务器通过询问PKI服务来检验数字签名(步骤100)。例如,PKI检验令牌的数字签名证书是否有效。
最终,通过令牌接收到对订户标识的验证的应用服务器14向验证的订户提供所请求的服务(步骤101)。
应注意到:在图9中描述的验证机制对于用户是透明的,所述用户不需要输入用于访问服务的证明。此外,验证机制允许通过SSO机制对多个服务进行透明访问,所述SSO机制通常预先假设在提供服务的服务提供者(标识联盟)中间存在协议。
近年来,以下情况变得越来越普遍:用户是多个电信网络的订户,由此想要或需要访问来自不同网络的应用服务。如参照图2到图8所述,可为相同的订户创建不同的随机数,所述订户进入可(但不受限于)由不同服务提供者传送的不同应用服务。申请人注意到:可通过假名在服务应用(即,对于服务提供者)识别用户,所述假名对于用户访问服务的不同网络而言是相同的。图10示意性示出用户是多于电信网络(即,ADSL接入网络121、无线(WiFi接入网络124、GPRS/GSM网络128和UMTS网络126))的订户。用户可从网络121、124、126或128通过IP网络120发送对在应用服务器129的应用服务的请求。在第一网络内激活AP地址,在第一网络中,产生所述请求,并由总是位于第一网络内的AAA服务器(未示出)将其关联到标识符。根据本发明的优选实施例,将安全令牌注入器(STI)在逻辑上链接到每个第一网络的访问网关或接入点(例如,BNAS、GGSN),其充当到IP网络的网关,其中,订户向所述第一网络请求应用服务。STI的122、123、125和127截取分别发源于网络121、1 24、126和127的访问请求消息。尽管没有在附图中示出,但是将每个STI在逻辑上链接到标识局(IA),所述IA负责管理订户标识,所述订户通过IP网络访问应用服务。将参照前面的实施例更加详细地描述STI和IA的功能和逻辑操作。具体说来,每个第一网络的IA从捕获的IP地址得知订户标识,并将假名关联到IP地址,该IP地址不仅识别订户(通过它在第一网络内与订户标识的关联),而且涉及请求的应用服务。为了能够将请求的服务与假名关联,IA(或者在IA操作在应用层情况下的STI)需要从访问请求消息提取所请求的服务的URI。通过得知URI,可将订户标识符关联到涉及服务的假名,然后将其插入访问请求消息。可由运行所请求的服务的服务提供者创建涉及服务的假名,然后将其传送到IA。有几种解决方案可执行所述传送。所述传送也可通过以下方式来执行:通过由IA提供并由服务提供者使用的某些供应工具的脱线方式,或者在运行时间通过诸如由用于支持标识联盟的自由联盟协会所指定的工具。
应注意到:同样在该实施例中,由第一网络确保订户标识,其中,用户向所述第一网络请求服务。
多网络访问的可行方案可以是以下用户的方案,所述用户为多个网络的订户,例如,所述网络为GPRS、UMTS和固定接入网络,其中,所述固定接入网络诸如通过PSTN的电话线路的xDSL,这些网络由多平台运营商来管理。
申请人已注意到:某些服务需要在客户机(即,订户站)与服务器之间的相互验证。换言之,当采用通过诸如互联网的外部网络的某些服务时,用户会需要或想要知道他或她是否真正与期望或正确的服务器进行通信。如果远程计算机能够模拟服务器的行为,则会哄骗或欺骗用户,使其认为他或她在与正确的服务器通信中。例如,传统上认为关于金融机构、它们的客户以及金融交易的信息对于安全性和可信度非常敏感。现在,作为示例,通常在互联网银行中使用非对称密钥对加密以确保安全性和秘密性。
图11是示出根据本发明优选实施例,在相互验证的情况下,通过PDN对在应用服务器中主管的服务的访问的简化处理示图。在步骤113,可作为移动站或CPE的订户站110请求在应用服务器112中主管的服务。在该示例中,所述消息是POST类型的HTTP访问请求消息。总是在步骤113,根据本发明的方法(在前面的实施例中更加详细地描述),由STI 111截取所述消息,创建令牌(即,令牌-c)并将其关联到所述消息。STI随后将带有相关的令牌的消息发送到应用服务器(步骤114)。在接收到消息(并可选地检验所述验证的有效期)之后,服务器112创建应答令牌(即,令牌-c),其被输入对接收POST消息的肯定响应“Welcome”。作为示例,根据诸如SAML声明的标准,令牌-s可以是通过运行应用服务(例如,Java Servlet或微软活动服务器页)的软件实现的字符串。或者,由逻辑上链接到服务器的逻辑实体(附图中未示出)优选地在服务提供者室内产生令牌-s。应用实体可以定位在应用服务器前端的应用防火墙。
由STI 111来截取包括令牌-s并由应用服务器112发送到订户站110的响应消息,所述STI 111从响应消息提取令牌-s并检验它的有效性。可通过数字签名或通过网络运营商(假设STI位于运营商室内)与服务提供者之间共享的例如对称密钥的私钥来检验所述有效性。如果令牌-s的有效性被肯定地验证,则STI将截取的肯定响应消息“Welcome”发送到订户站(步骤116),或者STI创建将被发送到订户站10的新的肯定响应消息。否则,STI截取通信,并将出错消息发送到订户站(附图中未示出)。
在该实施例中,假设STI操作在应用层上,由此STI不仅可截取从应用服务器发送的响应消息,而且提取令牌-s。应理解到:在STI最高操作到传输层的情况下,STI 111截取响应消息,随后将其发送到IA(在图11中未示出),所述IA提取应用层令牌-s并检验它的有效性。
优选地,为了避免被未授权方截取或偷窃令牌-s,可通过加密来保护所述令牌,或将所述令牌关联到生存期。
还值得注意到:验证服务器的机制具有对端点用户透明的优点。
Claims (38)
1、一种用于验证第一网络的订户以通过第二网络访问应用服务的方法,其中,第二网络是分组数据网络(PDN),并且对应用服务的访问是以封装在数据包中的访问请求消息的形式的,所述数据包包括被分配给所述订户的所述第二网络中的地址(订户地址),以及用符合应用层协议的语法表示的所述访问请求消息,所述方法包括以下步骤:
a)截取到第二网络的访问请求消息;
b)识别应用层协议;
c)提供所述订户地址与第一网络中的第一订户标识符之间的映射;
d)产生包括第二订户标识符的第一验证令牌;
e)将所述第一验证令牌关联到访问请求消息;以及
f)将带有所述第一关联的验证令牌的访问请求消息发送到第二网络。
2、如权利要求1所述的方法,其中,第二网络是IP网络,订户地址是IP地址。
3、如权利要求1或2所述的方法,其中,第一网络是移动网络。
4、如权利要求3所述的方法,其中,移动网络是分组交换蜂窝式网络。
5、如权利要求4所述的方法,其中,分组交换蜂窝式网络是GPRS网络。
6、如权利要求4所述的方法,其中,分组交换蜂窝式网络是EDGE或UMTS网络。
7、如权利要求1所述的方法,其中,第一订户标识符与第二订户标识符彼此不同。
8、如权利要求7所述的方法,其中,第一网络是GSM网络,第一订户标识符是基于SIM的标识。
9、如权利要求8所述的方法,其中,基于SIM的标识是关联到GSM网络中的订户的IMSI。
10、如权利要求7所述的方法,其中,第二订户标识符是关联到第一订户标识符的假名。
11、如上述权利要求之一所述的方法,其中,步骤e)包括在访问请求消息中包括第一验证令牌。
12、如上述权利要求之一所述的方法,在步骤d)之后还包括以下步骤:用数字签名加密第一验证令牌。
13、如上述权利要求之一所述的方法,其中,用符合访问请求消息的应用层协议的语法来表示所述第一验证令牌。
14、如上述权利要求之一所述的方法,其中,从SIP、HTTP和HTTP上的SOAP的组合中选择应用层协议。
15、如权利要求1所述的方法,其中,应用层协议是SIP或HTTP,根据SAML标准来指定所述第一验证令牌。
16、如权利要求1所述的方法,其中,第一网络是固定接入网络。
17、如权利要求16所述的方法,其中,固定接入网络使用数字订户线路(xDSL)接入技术。
18、如权利要求16所述的方法,其中,第一订户标识符是登录ID。
19、如权利要求1所述的方法,在步骤f)之后还包括以下步骤:
g)在应用服务通过所述第二网络接收带有所述关联的第一验证令牌的所述访问请求;
h)产生对所述接收的访问请求消息的第一响应消息;
i)产生第二验证令牌并将所述第二验证令牌包括在所述第一响应消息中;
j)截取包括所述第二验证令牌的所述第一响应消息;
k)从所述第一响应消息提取所述第二验证令牌,以及
l)检验所述第二验证令牌,如果验证是肯定的,则将第二响应消息发送到第一网络。
20、如权利要求19所述的方法,在步骤g)之后还包括以下步骤:检验所述第一验证令牌。
21、一种用于验证多个第一网络的订户以访问应用服务的方法,其中,通过权利要求1的方法实施对来自每个第一网络的订户的验证。
22、如权利要求1或21所述的方法,还包括步骤:提供第一验证令牌与所请求的应用服务之间的映射。
23、如权利要求22所述的方法,其中,在第一验证令牌与所请求的应用服务之间的映射包括:从访问请求消息提取所请求的服务的URI。
24、如权利要求22所述的方法,其中,第二订户标识符是关联到第一订户标识符并关联到所请求的应用服务的假名。
25、一种用于验证第一网络的订户以通过第二网络访问应用服务的系统,其中,第二网络是分组数据网络(PDN),所述系统包括:
订户站(2、68),耦合到第一网络,并且适于产生封装在数据包中的访问请求消息,用符合应用层协议的语法来表示所述访问请求消息;
分配服务器(7、26),适于向所述订户分配在所述第二网络中的地址(订户地址)并提供所述订户地址与第一网络中的第一订户标识符之间的映射;
网关(6、29),适于执行以下功能:从订户站(2)接收访问请求消息,将第一网络连接到第二网络并且向订户站分配订户地址;
第一逻辑实体(10、65),与网关(6、29)链接,并且适于截取从订户站(2、18)产生的并通过网关(6、29)被定向到第二网络的数据包,并且至少在所述数据包中捕获所述订户地址,以及
第二逻辑实体(9、64),与第一逻辑实体(10、65)链接并适于执行以下功能:
从第一逻辑实体接收订户地址和访问请求消息,
识别访问请求消息的应用层协议,
向分配服务器请求第一订户标识符,以及
根据应用层协议产生第一验证令牌,所述令牌包括第二订户标识符,
其中,第一逻辑实体或第二逻辑实体适于将所述第一验证令牌关联到访问请求消息。
26、如权利要求25所述的系统,其中,分配服务器(7、26)和网关(6、29)包括在第一网络中。
27、如权利要求25所述的系统,其中,第一逻辑实体(10、65)和第二逻辑实体(9、64)包括在第一网络中。
28、如权利要求25所述的系统,其中,第一网络是移动网络,订户站(2)是经由无线链路耦合到第一网络的移动站。
29、如权利要求28所述的系统,其中,第一网络是分组交换蜂窝式网络。
30、如权利要求28或29之一所述的系统,其中,网络(6)是GGSN。
31、如权利要求25所述的系统,其中,分配服务器(7、26)是认证-授权-计费(AAA)服务器。
32、如权利要求25所述的系统,其中,第二网络是IP网络(12、22) 。
33、如权利要求25所述的系统,还包括:证明逻辑实体(8、63),其在逻辑上链接到第二逻辑实体(9、64)并适于加密第一验证令牌。
34、如权利要求25所述的系统,其中,第一逻辑实体(10、65)是应用层防火墙。
35、如权利要求25所述的系统,其中,第一网络是固定接入网络,订户站是经由有线链路(67)耦合到第一网络的用户宅室设备(68)。
36、如权利要求35所述的系统,其中,第一用户标识符是登录ID。
37、如权利要求25所述的系统,其中,所述第一逻辑实体(10、65)还适于截取通过第二网络发送的并通过网关(6、29)定向到所述订户站(2、68)的响应消息。
38、如权利要求37所述的系统,其中,所述响应消息包括第二验证令牌。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP2004012052 | 2004-10-26 | ||
| EPPCT/EP2004/012052 | 2004-10-26 | ||
| PCT/EP2005/010590 WO2006045402A1 (en) | 2004-10-26 | 2005-09-30 | Method and system for transparently authenticating a mobile user to access web services |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101069402A true CN101069402A (zh) | 2007-11-07 |
| CN101069402B CN101069402B (zh) | 2010-11-03 |
Family
ID=34959133
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200580041107XA Expired - Fee Related CN101069402B (zh) | 2004-10-26 | 2005-09-30 | 透明地验证访问web服务的移动用户的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7954141B2 (zh) |
| JP (1) | JP4782139B2 (zh) |
| CN (1) | CN101069402B (zh) |
| AR (1) | AR053529A1 (zh) |
| BR (1) | BRPI0517521B1 (zh) |
| WO (1) | WO2006045402A1 (zh) |
Cited By (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
| CN102917354A (zh) * | 2011-08-03 | 2013-02-06 | 中兴通讯股份有限公司 | 一种接入方法、系统及移动智能接入点 |
| CN102972002A (zh) * | 2010-05-28 | 2013-03-13 | 阿尔卡特朗讯公司 | 分组网络中的应用层认证 |
| CN104506510A (zh) * | 2014-12-15 | 2015-04-08 | 百度在线网络技术(北京)有限公司 | 用于设备认证的方法、装置及认证服务系统 |
| CN102138347B (zh) * | 2008-04-02 | 2015-04-22 | 沃达方集团有限公司 | 电信网络 |
| CN106790082A (zh) * | 2016-12-22 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种云应用访问控制方法及系统 |
| CN108024248A (zh) * | 2016-10-31 | 2018-05-11 | 中兴通讯股份有限公司 | 一种物联网平台的鉴权方法和装置 |
| CN109313679A (zh) * | 2016-09-26 | 2019-02-05 | 思科技术公司 | 基于令牌到符号的映射定义的用户设备的质询响应接近度验证 |
| CN109756508A (zh) * | 2019-01-22 | 2019-05-14 | 深圳壹账通智能科技有限公司 | 基于多协议接入区块链网络的消息代理方法及相关设备 |
| CN113615142A (zh) * | 2019-03-18 | 2021-11-05 | 三星电子株式会社 | 用于在基于网络的媒体处理(nbmp)系统中提供认证的方法和设备 |
| CN113647074A (zh) * | 2019-03-29 | 2021-11-12 | 三星电子株式会社 | 用于边缘计算服务的方法及其电子装置 |
| CN114090122A (zh) * | 2021-11-12 | 2022-02-25 | 广州通则康威智能科技有限公司 | 小程序配置cpe的方法、装置、计算机设备及存储介质 |
| CN114760138A (zh) * | 2022-04-20 | 2022-07-15 | 深圳市昊洋智能有限公司 | 基于云架构下的视频会议系统安全方法及装置 |
| CN115883119A (zh) * | 2021-09-29 | 2023-03-31 | 富联精密电子(天津)有限公司 | 服务验证方法、电子装置及存储介质 |
Families Citing this family (117)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7409685B2 (en) | 2002-04-12 | 2008-08-05 | Hewlett-Packard Development Company, L.P. | Initialization and update of software and/or firmware in electronic devices |
| US8479189B2 (en) | 2000-11-17 | 2013-07-02 | Hewlett-Packard Development Company, L.P. | Pattern detection preprocessor in an electronic device update generation system |
| US8244837B2 (en) * | 2001-11-05 | 2012-08-14 | Accenture Global Services Limited | Central administration of one or more resources |
| US8555273B1 (en) | 2003-09-17 | 2013-10-08 | Palm. Inc. | Network for updating electronic devices |
| US7904895B1 (en) | 2004-04-21 | 2011-03-08 | Hewlett-Packard Develpment Company, L.P. | Firmware update in electronic devices employing update agent in a flash memory card |
| US8526940B1 (en) | 2004-08-17 | 2013-09-03 | Palm, Inc. | Centralized rules repository for smart phone customer care |
| US20070245411A1 (en) * | 2005-09-15 | 2007-10-18 | Gregory Newton | Methods, systems and computer program products for single sign on authentication |
| US8139521B2 (en) * | 2005-10-28 | 2012-03-20 | Interdigital Technology Corporation | Wireless nodes with active authentication and associated methods |
| US7725928B2 (en) * | 2005-12-02 | 2010-05-25 | Palo Alto Research Center Incorporated | System and method for establishing temporary and permanent credentials for secure online commerce |
| US8270947B2 (en) * | 2005-12-19 | 2012-09-18 | Motorola Solutions, Inc. | Method and apparatus for providing a supplicant access to a requested service |
| US20070143470A1 (en) * | 2005-12-20 | 2007-06-21 | Nortel Networks Limited | Facilitating integrated web and telecommunication services with collaborating web and telecommunication clients |
| JP2009531943A (ja) * | 2006-03-29 | 2009-09-03 | ケーティーフリーテル・カンパニー・リミテッド | デジタル処理装置及びこれを用いた付加サービス提供方法 |
| US8745227B2 (en) | 2006-06-07 | 2014-06-03 | Apple Inc. | Distributed secure content delivery |
| US8209676B2 (en) | 2006-06-08 | 2012-06-26 | Hewlett-Packard Development Company, L.P. | Device management in a network |
| US8346265B2 (en) * | 2006-06-20 | 2013-01-01 | Alcatel Lucent | Secure communication network user mobility apparatus and methods |
| EP2039050B1 (en) * | 2006-07-10 | 2019-02-20 | Telefonaktiebolaget LM Ericsson (publ) | Method and arrangement for authentication procedures in a communication network |
| US8752044B2 (en) | 2006-07-27 | 2014-06-10 | Qualcomm Incorporated | User experience and dependency management in a mobile device |
| US7881297B2 (en) * | 2006-09-01 | 2011-02-01 | Avaya Inc. | Providing communications including an extended protocol header |
| US8095969B2 (en) | 2006-09-08 | 2012-01-10 | Microsoft Corporation | Security assertion revocation |
| US20080066169A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Fact Qualifiers in Security Scenarios |
| US20080065899A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Variable Expressions in Security Assertions |
| US8201215B2 (en) | 2006-09-08 | 2012-06-12 | Microsoft Corporation | Controlling the delegation of rights |
| US8060931B2 (en) | 2006-09-08 | 2011-11-15 | Microsoft Corporation | Security authorization queries |
| US7814534B2 (en) * | 2006-09-08 | 2010-10-12 | Microsoft Corporation | Auditing authorization decisions |
| US20080066158A1 (en) * | 2006-09-08 | 2008-03-13 | Microsoft Corporation | Authorization Decisions with Principal Attributes |
| US20080066147A1 (en) * | 2006-09-11 | 2008-03-13 | Microsoft Corporation | Composable Security Policies |
| US8656503B2 (en) | 2006-09-11 | 2014-02-18 | Microsoft Corporation | Security language translations with logic resolution |
| US8938783B2 (en) * | 2006-09-11 | 2015-01-20 | Microsoft Corporation | Security language expressions for logic resolution |
| GB2458047B (en) * | 2006-11-29 | 2011-11-09 | Hewlett Packard Development Co | IP based notification of device management operations in a network |
| US20080162712A1 (en) * | 2006-12-27 | 2008-07-03 | Motorola, Inc. | Method and apparatus to facilitate sharing streaming content via an identity provider |
| EP2098037A4 (en) * | 2006-12-29 | 2010-07-14 | Ericsson Telefon Ab L M | ACCESS MANAGEMENT FOR DEVICES IN COMMUNICATION NETWORKS |
| EP1959629B1 (en) | 2007-02-13 | 2016-04-13 | Vodafone GmbH | Method for authenticating a user for access to server based applications from mobile device, gateway and identity management unit |
| US8331989B2 (en) * | 2007-06-15 | 2012-12-11 | Intel Corporation | Field programming of a mobile station with subscriber identification and related information |
| FI121646B (fi) * | 2007-08-08 | 2011-02-15 | Teliasonera Finland Oyj | Menetelmä ja järjestelmä käyttäjäidentiteetin hallintaan |
| US20090064291A1 (en) * | 2007-08-28 | 2009-03-05 | Mark Frederick Wahl | System and method for relaying authentication at network attachment |
| US7945246B2 (en) * | 2007-10-26 | 2011-05-17 | Sony Ericsson Mobile Communications Ab | System and method for establishing authenticated network communications in electronic equipment |
| US8839386B2 (en) * | 2007-12-03 | 2014-09-16 | At&T Intellectual Property I, L.P. | Method and apparatus for providing authentication |
| WO2009087006A1 (en) * | 2008-01-09 | 2009-07-16 | Nokia Siemens Networks Oy | Mechanism for authentication and authorization for network and service access |
| US8107921B2 (en) * | 2008-01-11 | 2012-01-31 | Seven Networks, Inc. | Mobile virtual network operator |
| WO2009092105A2 (en) * | 2008-01-18 | 2009-07-23 | Tekelec | Systems, methods and computer readable media for application-level authentication of messages in a telecommunications network |
| CN101547383B (zh) * | 2008-03-26 | 2013-06-05 | 华为技术有限公司 | 一种接入认证方法及接入认证系统以及相关设备 |
| JP5051656B2 (ja) * | 2008-06-05 | 2012-10-17 | 日本電気株式会社 | 通信制御システムおよび通信制御方法 |
| US8751788B2 (en) * | 2008-06-10 | 2014-06-10 | Paymetric, Inc. | Payment encryption accelerator |
| WO2013065037A1 (en) * | 2011-09-26 | 2013-05-10 | Elta Systems Ltd. | A mobile communication system implementing integration of multiple logins of mobile device applications |
| EP2443055A1 (en) | 2008-06-17 | 2012-04-25 | Digigage Ltd. | System for altering virtual views |
| WO2010000298A1 (en) * | 2008-06-30 | 2010-01-07 | Nokia Siemens Networks Oy | Apparatus, method and program for integrated authentication |
| US8910257B2 (en) * | 2008-07-07 | 2014-12-09 | Microsoft Corporation | Representing security identities using claims |
| KR101001555B1 (ko) * | 2008-09-23 | 2010-12-17 | 한국전자통신연구원 | 네트워크 id 기반 연합 및 싱글사인온 인증 방법 |
| US8171057B2 (en) * | 2008-10-23 | 2012-05-01 | Microsoft Corporation | Modeling party identities in computer storage systems |
| US20100192183A1 (en) * | 2009-01-29 | 2010-07-29 | At&T Intellectual Property I, L.P. | Mobile Device Access to Multimedia Content Recorded at Customer Premises |
| JP4715937B2 (ja) * | 2009-03-06 | 2011-07-06 | ブラザー工業株式会社 | 端末装置とコンピュータプログラム |
| US8370509B2 (en) | 2009-04-09 | 2013-02-05 | Alcatel Lucent | Identity management services provided by network operator |
| EP3086532B1 (en) * | 2009-04-13 | 2019-11-06 | BlackBerry Limited | System and method for determining trust for sip messages |
| WO2010127380A1 (en) * | 2009-05-08 | 2010-11-11 | Hewlett-Packard Development Company, L.P. | Access control of distributed computing resources system and method |
| EP2259551A1 (en) | 2009-06-05 | 2010-12-08 | Software AG | Gateway server system comprising a gateway server for making SOAP/XML-based web services accessible to RPC clients |
| CN101945375A (zh) * | 2009-07-07 | 2011-01-12 | 中兴通讯股份有限公司 | 一种选择应用前端的方法及用户数据仓储 |
| DE102009040477A1 (de) * | 2009-09-08 | 2011-03-10 | Deutsche Telekom Ag | Authentifizierung im Mobilfunknetz durch Authentifizierungszelle |
| US8832815B2 (en) * | 2009-09-09 | 2014-09-09 | T-Mobile Usa, Inc. | Accessory based data distribution |
| EP2306682A1 (en) * | 2009-09-30 | 2011-04-06 | British Telecommunications public limited company | Method of configuring a device to self-authenticate |
| GB2474504B (en) | 2009-10-19 | 2015-12-02 | Ubiquisys Ltd | Wireless access point |
| CN101692674B (zh) | 2009-10-30 | 2012-10-17 | 杭州华三通信技术有限公司 | 双栈接入的方法和设备 |
| US9119076B1 (en) | 2009-12-11 | 2015-08-25 | Emc Corporation | System and method for authentication using a mobile communication device |
| US8860581B2 (en) | 2010-01-19 | 2014-10-14 | T-Mobile Usa, Inc. | Element mapping to control illumination of a device shell |
| US8280351B1 (en) * | 2010-02-04 | 2012-10-02 | Cellco Partnership | Automatic device authentication and account identification without user input when application is started on mobile station |
| US9003489B2 (en) * | 2010-02-04 | 2015-04-07 | Cisco Technology, Inc. | System and method for providing virtual user groups in a network environment |
| US9107072B2 (en) * | 2010-02-12 | 2015-08-11 | Alexander Hoi WONG | Seamless mobile subscriber identification |
| US8868758B2 (en) * | 2010-05-04 | 2014-10-21 | Microsoft Corporation | Provider connection framework |
| US9560036B2 (en) * | 2010-07-08 | 2017-01-31 | International Business Machines Corporation | Cross-protocol federated single sign-on (F-SSO) for cloud enablement |
| US9560035B2 (en) | 2010-08-04 | 2017-01-31 | At&T Mobility Ii Llc | Systems, devices, methods and computer program products for establishing network connections between service providers and applications that run natively on devices |
| US9319880B2 (en) | 2010-09-15 | 2016-04-19 | Intel Corporation | Reformatting data to decrease bandwidth between a video encoder and a buffer |
| EP2630749B1 (en) | 2010-10-22 | 2019-01-30 | Hewlett-Packard Enterprise Development LP | Distributed network instrumentation system |
| EP2466522A1 (en) * | 2010-11-30 | 2012-06-20 | Gemalto SA | Method for providing a user with an authentificated remote access to a remote secure device |
| US9198038B2 (en) * | 2011-06-13 | 2015-11-24 | Qualcomm Incorporated | Apparatus and methods of identity management in a multi-network system |
| US8943318B2 (en) | 2012-05-11 | 2015-01-27 | Verizon Patent And Licensing Inc. | Secure messaging by key generation information transfer |
| US20130007867A1 (en) * | 2011-06-30 | 2013-01-03 | Cisco Technology, Inc. | Network Identity for Software-as-a-Service Authentication |
| US9154527B2 (en) | 2011-06-30 | 2015-10-06 | Verizon Patent And Licensing Inc. | Security key creation |
| US9270453B2 (en) | 2011-06-30 | 2016-02-23 | Verizon Patent And Licensing Inc. | Local security key generation |
| US8990554B2 (en) * | 2011-06-30 | 2015-03-24 | Verizon Patent And Licensing Inc. | Network optimization for secure connection establishment or secure messaging |
| US8918850B2 (en) | 2011-08-01 | 2014-12-23 | Google Inc. | Share cookie on native platform in mobile device without having to ask for the user's login information |
| US9191381B1 (en) * | 2011-08-25 | 2015-11-17 | Symantec Corporation | Strong authentication via a federated identity protocol |
| EP2754260A4 (en) | 2011-09-09 | 2015-05-06 | Intel Corp | MOBILE DEVICE AND METHOD FOR SECURE ONLINE REGISTRATION AND SUPPLY OF WIRELESS ACCESS POINTS USING SOAP-XML TYPE TECHNIQUES |
| US9100324B2 (en) | 2011-10-18 | 2015-08-04 | Secure Crossing Research & Development, Inc. | Network protocol analyzer apparatus and method |
| US8949938B2 (en) | 2011-10-27 | 2015-02-03 | Cisco Technology, Inc. | Mechanisms to use network session identifiers for software-as-a-service authentication |
| IN2014KN01302A (zh) * | 2011-12-23 | 2015-10-16 | Ericsson Telefon Ab L M | |
| US8959591B2 (en) * | 2012-01-06 | 2015-02-17 | Elastic Path Software, Inc. | Follow location handler and selector functionality in a stateless microkernel web server architecture |
| US9781085B2 (en) * | 2012-02-14 | 2017-10-03 | Nokia Technologies Oy | Device to device security using NAF key |
| US9054892B2 (en) * | 2012-02-21 | 2015-06-09 | Ecolink Intelligent Technology, Inc. | Method and apparatus for registering remote network devices with a control device |
| US20150128243A1 (en) * | 2012-03-08 | 2015-05-07 | Oltio (Proprietary) Limited | Method of authenticating a device and encrypting data transmitted between the device and a server |
| EP2834964B1 (en) | 2012-04-03 | 2017-06-07 | Telefonaktiebolaget LM Ericsson (publ) | Method and apparatus for providing a subscriber identity |
| US9152781B2 (en) | 2012-08-09 | 2015-10-06 | Cisco Technology, Inc. | Secure mobile client with assertions for access to service provider applications |
| US9185093B2 (en) * | 2012-10-16 | 2015-11-10 | Mcafee, Inc. | System and method for correlating network information with subscriber information in a mobile network environment |
| US9338657B2 (en) | 2012-10-16 | 2016-05-10 | Mcafee, Inc. | System and method for correlating security events with subscriber information in a mobile network environment |
| CN104704795B (zh) * | 2012-10-19 | 2018-04-27 | 统一有限责任两合公司 | 通过使用具有webRTC功能的网络浏览器创建虚拟SIP用户代理的方法和系统 |
| US20150223059A1 (en) * | 2013-03-01 | 2015-08-06 | Intel Corporation | Techniques for establishing access to a local wireless network |
| JP6201207B2 (ja) * | 2013-05-27 | 2017-09-27 | Kddi株式会社 | 通信端末装置、プログラムおよび通信方法 |
| CN103414745A (zh) * | 2013-07-05 | 2013-11-27 | 惠州Tcl移动通信有限公司 | 一种移动终端跨浏览器登陆的方法和装置 |
| US9621735B2 (en) | 2014-06-25 | 2017-04-11 | Textnow, Inc. | Mobile electronic communications combining voice-over-IP and mobile network services |
| EP2961208A1 (en) * | 2014-06-27 | 2015-12-30 | Gemalto SA | Method for accessing a service and corresponding application server, device and system |
| CN104199843B (zh) * | 2014-08-07 | 2017-09-26 | 蔡剑 | 一种基于社会网络交互数据的服务排序及推荐方法与系统 |
| US9680646B2 (en) | 2015-02-05 | 2017-06-13 | Apple Inc. | Relay service for communication between controllers and accessories |
| US10505850B2 (en) | 2015-02-24 | 2019-12-10 | Qualcomm Incorporated | Efficient policy enforcement using network tokens for services—user-plane approach |
| US9749310B2 (en) * | 2015-03-27 | 2017-08-29 | Intel Corporation | Technologies for authentication and single-sign-on using device security assertions |
| US10341239B2 (en) | 2015-05-21 | 2019-07-02 | Qualcomm Incorporated | Efficient policy enforcement for downlink traffic using network access tokens—control-plane approach |
| US10216800B2 (en) * | 2015-06-18 | 2019-02-26 | Rocket Apps, Inc. | Self expiring social media |
| US10225241B2 (en) * | 2016-02-12 | 2019-03-05 | Jpu.Io Ltd | Mobile security offloader |
| EP3435615B1 (en) * | 2016-03-28 | 2021-04-14 | Huawei Technologies Co., Ltd. | Network service implementation method, service controller, and communication system |
| KR20230140611A (ko) | 2016-04-01 | 2023-10-06 | 인텔 코포레이션 | 대화를 통한 디바이스 식별 기법 |
| US9769668B1 (en) | 2016-08-01 | 2017-09-19 | At&T Intellectual Property I, L.P. | System and method for common authentication across subscribed services |
| US10492056B2 (en) * | 2017-06-15 | 2019-11-26 | T-Mobile Usa, Inc. | Enhanced mobile subscriber privacy in telecommunications networks |
| US10750028B2 (en) | 2017-06-29 | 2020-08-18 | Textnow, Inc. | Mobile communications with quality of service |
| US10637845B2 (en) * | 2017-07-21 | 2020-04-28 | International Business Machines Corporation | Privacy-aware ID gateway |
| US10277586B1 (en) * | 2018-10-29 | 2019-04-30 | Syniverse Technologies, Llc | Mobile authentication with URL-redirect |
| WO2020132293A1 (en) | 2018-12-19 | 2020-06-25 | Bemis Manufacturing Company | Washing toilet seat |
| GB2594930A (en) * | 2020-05-05 | 2021-11-17 | Truphone Ltd | Authentication of devices to third party services |
| US20230308294A1 (en) * | 2020-08-26 | 2023-09-28 | Nippon Telegraph And Telephone Corporation | Public key authentication device and public key authentication method |
| CN113206836A (zh) * | 2021-04-12 | 2021-08-03 | 河海大学 | 一种工业互联网中api网关实现协议转换的方法 |
| US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2348778A (en) * | 1999-04-08 | 2000-10-11 | Ericsson Telefon Ab L M | Authentication in mobile internet access |
| AU5280299A (en) | 1999-07-02 | 2001-01-22 | Nokia Corporation | Authentication method and system |
| CN1385051A (zh) | 1999-08-31 | 2002-12-11 | 艾利森电话股份有限公司 | 用于分组数据网络的全球移动通信系统安全性 |
| US6775262B1 (en) * | 2000-03-10 | 2004-08-10 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for mapping an IP address to an MSISDN number within a wireless application processing network |
| WO2001072009A2 (en) | 2000-03-17 | 2001-09-27 | At & T Corp. | Web-based single-sign-on authentication mechanism |
| FI20000760A0 (fi) * | 2000-03-31 | 2000-03-31 | Nokia Corp | Autentikointi pakettidataverkossa |
| US7444513B2 (en) * | 2001-05-14 | 2008-10-28 | Nokia Corporiation | Authentication in data communication |
| JP4301482B2 (ja) * | 2001-06-26 | 2009-07-22 | インターナショナル・ビジネス・マシーンズ・コーポレーション | サーバ、情報処理装置及びそのアクセス制御システム並びにその方法 |
| US7221935B2 (en) * | 2002-02-28 | 2007-05-22 | Telefonaktiebolaget Lm Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| US20040064442A1 (en) * | 2002-09-27 | 2004-04-01 | Popovitch Steven Gregory | Incremental search engine |
| ES2292676T3 (es) * | 2002-11-25 | 2008-03-16 | T-Mobile Deutschland Gmbh | Metodo y sistema para facilitar el acceso a una cuenta de correo electronico a traves de una red de comunicacon movil. |
| US20040128560A1 (en) * | 2002-12-31 | 2004-07-01 | Challener David Carroll | Security system preventing computer access upon removal from a controlled area |
| US20070127495A1 (en) * | 2003-01-10 | 2007-06-07 | De Gregorio Jesus-Angel | Single sign-on for users of a packet radio network roaming in a multinational operator network |
| JP2006524017A (ja) * | 2003-03-10 | 2006-10-19 | トムソン ライセンシング | 公的認証サーバで無線lanアクセスを制御するidマッピング機構 |
| JP4555224B2 (ja) * | 2003-08-26 | 2010-09-29 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | マルチメディアサービスにアクセスするときのユーザを認証する装置及び方法 |
| JP4300965B2 (ja) * | 2003-10-09 | 2009-07-22 | 沖電気工業株式会社 | サービスシステムおよびサービス提供方法 |
| EP1680720B1 (en) * | 2003-11-07 | 2012-01-04 | Telecom Italia S.p.A. | Method and system for the authentication of a user of a data processing system |
| US7200383B2 (en) * | 2004-04-26 | 2007-04-03 | Nokia Corporation | Subscriber authentication for unlicensed mobile access signaling |
-
2005
- 2005-09-30 BR BRPI0517521-6A patent/BRPI0517521B1/pt not_active IP Right Cessation
- 2005-09-30 CN CN200580041107XA patent/CN101069402B/zh not_active Expired - Fee Related
- 2005-09-30 WO PCT/EP2005/010590 patent/WO2006045402A1/en active Application Filing
- 2005-09-30 JP JP2007538287A patent/JP4782139B2/ja not_active Expired - Fee Related
- 2005-09-30 US US11/666,125 patent/US7954141B2/en not_active Expired - Fee Related
- 2005-10-14 AR ARP050104314A patent/AR053529A1/es active IP Right Grant
Cited By (22)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102138347B (zh) * | 2008-04-02 | 2015-04-22 | 沃达方集团有限公司 | 电信网络 |
| CN102972002A (zh) * | 2010-05-28 | 2013-03-13 | 阿尔卡特朗讯公司 | 分组网络中的应用层认证 |
| CN102972002B (zh) * | 2010-05-28 | 2016-03-16 | 阿尔卡特朗讯公司 | 分组网络中的应用层认证方法及装置 |
| CN102281286A (zh) * | 2010-06-14 | 2011-12-14 | 微软公司 | 用于分布式混合企业的灵活端点顺从和强认证 |
| CN102281286B (zh) * | 2010-06-14 | 2017-05-24 | 微软技术许可有限责任公司 | 分布式混合企业的灵活端点顺从和强认证的方法和系统 |
| CN102917354A (zh) * | 2011-08-03 | 2013-02-06 | 中兴通讯股份有限公司 | 一种接入方法、系统及移动智能接入点 |
| CN102917354B (zh) * | 2011-08-03 | 2018-04-13 | 中兴通讯股份有限公司 | 一种接入方法、系统及移动智能接入点 |
| CN104506510A (zh) * | 2014-12-15 | 2015-04-08 | 百度在线网络技术(北京)有限公司 | 用于设备认证的方法、装置及认证服务系统 |
| CN104506510B (zh) * | 2014-12-15 | 2017-02-08 | 百度在线网络技术(北京)有限公司 | 用于设备认证的方法、装置及认证服务系统 |
| CN109313679A (zh) * | 2016-09-26 | 2019-02-05 | 思科技术公司 | 基于令牌到符号的映射定义的用户设备的质询响应接近度验证 |
| CN108024248A (zh) * | 2016-10-31 | 2018-05-11 | 中兴通讯股份有限公司 | 一种物联网平台的鉴权方法和装置 |
| CN108024248B (zh) * | 2016-10-31 | 2022-11-08 | 中兴通讯股份有限公司 | 一种物联网平台的鉴权方法和装置 |
| CN106790082A (zh) * | 2016-12-22 | 2017-05-31 | 北京启明星辰信息安全技术有限公司 | 一种云应用访问控制方法及系统 |
| CN106790082B (zh) * | 2016-12-22 | 2019-10-01 | 北京启明星辰信息安全技术有限公司 | 一种云应用访问控制方法及系统 |
| CN109756508A (zh) * | 2019-01-22 | 2019-05-14 | 深圳壹账通智能科技有限公司 | 基于多协议接入区块链网络的消息代理方法及相关设备 |
| CN113615142A (zh) * | 2019-03-18 | 2021-11-05 | 三星电子株式会社 | 用于在基于网络的媒体处理(nbmp)系统中提供认证的方法和设备 |
| CN113647074A (zh) * | 2019-03-29 | 2021-11-12 | 三星电子株式会社 | 用于边缘计算服务的方法及其电子装置 |
| CN115883119A (zh) * | 2021-09-29 | 2023-03-31 | 富联精密电子(天津)有限公司 | 服务验证方法、电子装置及存储介质 |
| CN114090122A (zh) * | 2021-11-12 | 2022-02-25 | 广州通则康威智能科技有限公司 | 小程序配置cpe的方法、装置、计算机设备及存储介质 |
| CN114090122B (zh) * | 2021-11-12 | 2023-05-23 | 广州通则康威智能科技有限公司 | 小程序配置cpe的方法、装置、计算机设备及存储介质 |
| CN114760138A (zh) * | 2022-04-20 | 2022-07-15 | 深圳市昊洋智能有限公司 | 基于云架构下的视频会议系统安全方法及装置 |
| CN114760138B (zh) * | 2022-04-20 | 2024-02-13 | 深圳市昊洋智能有限公司 | 基于云架构下的视频会议系统安全方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008518533A (ja) | 2008-05-29 |
| BRPI0517521A (pt) | 2008-10-14 |
| BRPI0517521B1 (pt) | 2019-04-09 |
| AR053529A1 (es) | 2007-05-09 |
| US7954141B2 (en) | 2011-05-31 |
| US20080127320A1 (en) | 2008-05-29 |
| CN101069402B (zh) | 2010-11-03 |
| JP4782139B2 (ja) | 2011-09-28 |
| WO2006045402A1 (en) | 2006-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101069402A (zh) | 透明地验证访问web服务的移动用户的方法和系统 | |
| US8819800B2 (en) | Protecting user information | |
| US8599695B2 (en) | Selective internet priority service | |
| US7092385B2 (en) | Policy control and billing support for call transfer in a session initiation protocol (SIP) network | |
| US8050275B1 (en) | System and method for offering quality of service in a network environment | |
| US8982893B2 (en) | System and method of quality of service enablement for over the top applications in a telecommunications system | |
| US9648006B2 (en) | System and method for communicating with a client application | |
| US20070143470A1 (en) | Facilitating integrated web and telecommunication services with collaborating web and telecommunication clients | |
| CN1553741A (zh) | 为用户提供网络漫游的方法和系统 | |
| EP1452050A1 (en) | A method for providing service based on service quality and an accounting method in a mobile communication system | |
| CN1901448A (zh) | 通信网络中接入认证的系统及实现方法 | |
| CN1523811A (zh) | 用户连接因特网时认证网络访问的用户的方法和系统 | |
| CN1267414A (zh) | 接入业务的实现 | |
| CN1330827A (zh) | 访问服务器计算机 | |
| US7898989B2 (en) | Call-number based customer identification method for personalizable internet portals | |
| CN1871834A (zh) | 提供通信网之间安全通信的方法和系统 | |
| JP5263287B2 (ja) | 通信システム及び通信方法 | |
| JP2003060714A (ja) | カスタムサービス提供方法 | |
| EP2732588B1 (en) | Policy tokens in communication networks | |
| CN1698393A (zh) | 通信系统 | |
| EP1871083A1 (en) | A method for implementing the card number calling service | |
| JP4971445B2 (ja) | 通信ネットワークにおける端末機器の緊急メッセージを転送する方法 | |
| CN115211078A (zh) | 从服务提供商网络提供数据 | |
| KR100641896B1 (ko) | 공통 모듈을 공유하는 프록시 게이트웨이들을 이용한인터넷 서비스 방법 및 시스템 | |
| KR101719295B1 (ko) | 메시징 서비스 시스템 및 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20101103 |