CN101297508A - 验证网络资源使用记录的方法与系统 - Google Patents
验证网络资源使用记录的方法与系统 Download PDFInfo
- Publication number
- CN101297508A CN101297508A CNA2006800395103A CN200680039510A CN101297508A CN 101297508 A CN101297508 A CN 101297508A CN A2006800395103 A CNA2006800395103 A CN A2006800395103A CN 200680039510 A CN200680039510 A CN 200680039510A CN 101297508 A CN101297508 A CN 101297508A
- Authority
- CN
- China
- Prior art keywords
- metering data
- receives
- iad
- data
- definition
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1403—Architecture for metering, charging or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
- H04L12/1442—Charging, metering or billing arrangements for data wireline or wireless communications at network operator level
- H04L12/1446—Charging, metering or billing arrangements for data wireline or wireless communications at network operator level inter-operator billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/58—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP based on statistics of usage or network monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/70—Administration or customization aspects; Counter-checking correct charges
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M15/00—Arrangements for metering, time-control or time indication ; Metering, charging or billing arrangements for voice wireline or wireless communications, e.g. VoIP
- H04M15/70—Administration or customization aspects; Counter-checking correct charges
- H04M15/73—Validating charges
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Probability & Statistics with Applications (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Meter Arrangements (AREA)
Abstract
一种使得计费业务提供商能够验证从网络资源接入网关的运营商处接收到的计费数据的方法和系统。接入网关设备耦合到网络用户设备以及计费业务提供商的系统。网络用户设备生成计费数据。接入网关设备被配置成将接收到的计费数据与接入网关设备生成的相应计费数据进行比较,并且当接收到的计费数据与接入网关设备生成的计费数据相关时,接入网关设备存储接收到的计费数据的多个部分。
Description
定义
网络资源:可以通过网络的数字传输使其可用并接受以使用或传送的任何服务或设施,即使实际的实现是通过一些替代方式进行的。网络资源其中可包括因特网或其他网络接入、数据存储以及数据处理。
网络资源接入网关(“接入网关”):控制接入各类网络资源(例如:接入点、无线网关、路由器、无线路由器、交换机、应用网关等)的设备(或设备集合)。
网络用户设备(“设备”):可以经由网络资源接入网关连接到网络并且使用任何网络资源的任何具备网络功能的设备(例如:膝上型计算机,PDA,智能电话,视频游戏机,音乐/视频播放器,测量仪器,数字照相机等)。
网络资源用户(“用户”):使用或者控制网络用户设备经由网络资源接入网关获取网络资源的任何个人或者实体。
网络资源接入网关运营商(“接入网关运营商”):一个或多个网络资源接入网关的运营商。
网络资源使用统计量(“使用统计量”):可以用于记账和管理用途的准确详细描述所使用的网络资源的任何数据。
计费数据:不管如何编码,可作为向网络资源用户开具发票或者对网络资源用户收费的依据的任何数据,并且计费数据可由网络资源使用统计量组成或者可能是至少部分基于网络资源使用统计量计算的货币(或其他)数据。
计费业务提供商:负责向网络资源用户对所用的网络资源开具发票或者进行收费,并负责使用计费数据对网络资源接入网关运营商应付的支付进行相应结算的实体。
网络资源AAA系统(“AAA系统”):负责认证网络资源用户、授权用户接入到特定网络资源并负责对所用的那些网络资源记账的系统;该系统通常是由计费业务提供商经营的。
背景技术
网络资源接入基础设施独立于计费业务提供商运营的网络环境数量不断增长,其中计费业务提供商维护与网络资源用户的记帐(accounting)/计费(billing)关系。在未受管理的无线网络接入频段(例如802.11a/b/g等)中这种运营模式更为常见,其中不断增长的具备无线功能的设备的用户经由独立的“无线热点(wirelesshotspot)”运营商接入到因特网,该运营商又授权给用户的计费业务提供商并与其进行账目结算。这种用户与无线热点运营商没有直接商业关系的设置通常称为“漫游协定”。无论用户何时经由无线热点接入到因特网,热点运营商(或他们的设备)通常负责将网络资源使用统计量发送给计费业务提供商,详细描述诸如用户的身份,初始连接的日期/时间,使用的网络资源类型,连接时间长度,数据传送量等信息,从而计费业务提供商可以对用户正确收费并给热点运营商支付使用他们的网络资源接入基础设施的酬劳。尽管这种记账大多数是使用标准的认证、授权、记账(AAA)协议(如RADIUS(RFC2865/2866)和DIAMETER(RFC3588))和包含提供加密数据传输的记账协议(如CRANE(RFC3423)、CIBER、TAP和IPDR(ipdr.com))自动完成的,但热点运营商仍可能操控他们的系统(通过软件和/或硬件的改动)以有利于自身夸大网络资源使用统计量(例如,通过增加报告的数据传输量,夸大连接时间或者谎报使用的资源类型等)。这个问题之所以严重是由于计费业务提供商使用现有的标准和技术几乎不可能检测这种类型的欺骗行为。计费业务提供商几乎完全限于进行审计形式的抽样调查以试图检测任何错误报告。即使假设这种抽样调查可在不被发现情况下进行,这种调查不但花销大而且很可能会遗漏许多错误报告的情况,尤其当其不稳定时。网络资源用户也极不可能发现任何偏差,除非该欺骗行为异乎寻常并且用户能够核对由他们的设备产生的任何连接日志。由于经由独立于其计费业务提供商的接入网关运营商接入应支付的网络资源的网络用户设备的用户日益增加,这一潜在的欺骗问题变得更为严重。
现有技术
现有技术并未着力去解决该问题,其充足的理由是:由于在传统的电信模式下(无论是常规的固定线路或者是移动电话,数据网络还是ISP),计费业务提供商通常也是接入网关运营商。因此,计费业务提供商绝对信任由接入网关传送到其AAA系统的网络资源使用统计量。在某些商业模式中,如一些ISP和“虚拟”电信运营商的情况下,计费业务提供商与其他经营接入网关(例如拨号调制解调器的分布式银行,蜂窝电话基站或者远程无线接入网关)的电信公司达成共识。此时,由于运营商是需要维护自身(通常)良好声誉的大公司,在这些情况下计费业务提供商很少担心接入网关被操控生成欺骗性的网络资源使用统计量。然而,这一潜在的欺骗被广泛认识到(已有一些该领域的因特网标准文件中指明了该问题)并且采取了一些避免该类欺骗行为的措施。例如,1999年5月G.Zone和P.Calhoun发表了一篇题为“Limiting Fraud inRoaming”的文章(可通过draft-ieft-roamops-fraud-limit-00.txt得到),作为进行中的IETF工作,这篇文章强调了在当今的网络基础设施中(尤其与广泛使用的RADIUS协议有关的网络中)存在的可能的不同欺骗方法以及一些可能的解决方案。IETF针对认证、授权、记账提出的最新标准是2003年公布的Diameter协议(RFC3588),该标准试图解决潜在记账欺骗的一些元素。在该标准的第一部分(介绍)中,有一小节阐述审计性问题。下面这段文字就是关于RADIUS协议的:
RASIUS并没有定义面向数据对象的安全体制,因此不可信任的代理可篡改属性甚至分组的报头而不被发现。再加上缺少对能力协商的支持,出现争端后很难确定到底发生了什么。虽然在Diameter协议中数据对象安全的实施不是强制性的,但该协议支持这些能力,这些能力在[AACMS]中有所阐述。
在Diameter与所有权(proprietary)的发展中,最近的技术已经关注维护网络资源使用统计量在接入网关与计费业务提供商之间传输过程中的安全性和完整性。例如,尽管Diameter支持数据对象安全的任选实施方式,它这样做仅是为了阻止不可信的中间代理服务器修改记账数据。该协议并没有解决其他的基本问题,象如何首先确保原始记账数据的准确性以及如何对其进行审计。如果接入网关基于经过有效认证并获得授权的用户生成网络资源使用统计量时,使用现有技术仅能保证这些记录可以被传输回给计费业务提供商,而没有不被察觉的修改的大风险。
图1(整体地)示出了在现有技术中接入网关通常如何对网络用户设备使用网络资源记账的。
1)接入网关接收到来自网络用户设备的提供接入某种网络资源(例如,因特网接入)的请求。通常,作为该请求的一部分,网络用户设备发送某种形式的证书(例如,用户名,哈希(hashed)密码,所要求的服务等)。
2)随后,接入网关向AAA系统提出请求以确定是否可向该用户或设备提供服务。
3)接入网关接收到AAA系统的回复。如果回复是肯定的,则过程继续进行。
4)接入网关使经过授权的网络资源对网络用户设备可用。接入网关(通常)也要通知AAA系统它已经开始对网络用户设备的网络资源消耗进行记账。
5)接入网关按照经授权使用的网络资源处理发送到网络用户设备或从网络用户设备发出的网络通信量,同时通过记录网络资源使用统计量跟踪网络用户设备对网络资源的消耗。
6)接入网关接收来自网络用户设备的终止当前通信会话的请求。许多可选原因也可能造成会话终止,这些原因包含:i)接入网关的计时器记录已有足够长的时间用户没有任何动作,则作为连接超时而终止会话;ii)接入网关检测到网络用户设备没有提出任何正式请求就终止了连接;iii)从AAA系统接收到必须终止会话的通知(例如,由于已经达到用户的信用额度);iv)接入网关的管理者指示终止会话。
7)接入网关生成包含网络用户设备消耗的网络资源详情的记账记录(网络资源使用统计量),并将其发送给AAA系统。
接入网关与AAA系统之间的通信可经过任意数量的代理服务器。现有技术通过使用端到端(end-to-end)的加密并采用对人为攻击和重发有抵抗的传输协议可对数据提供保护,目前来讲,这些保护措施足以避免数据在这些部件中传输时遭到篡改。
在未规定的WiFi漫游的不断演化中,接入网关可能在任何地方并由任何人经营,在生成网络资源使用统计量时潜在的欺骗陡然增加。许多WiFi“热点”运营商是小企业或者个人,他们不一定具备如大电信公司一般的名誉或信用度。目前,该领域作为计费业务提供商的一些公司(例如,iPass,Boingo等)使用审计形式的抽样调查测试与其有直接或者间接的商业安排的不同接入网关运营商提供的网络资源使用统计量的有效性。抽样调查测试用户利用网络用户设备经接入网关与网络资源进行一个或多个会话,并由网络用户设备记录详细的网络资源使用日志。之后,得到的数据与计费业务提供商记录的数据比较,以检验计费业务提供商的计费数据的准确性。
发明内容
本发明提供了一种确保网络资源接入网关(例如,无线路由器或者接入服务器)生成的计费数据可被独立验证(例如,由计费业务提供商验证)到网络资源使用粒度(granularity)的特定级别的精度的方法和系统。本发明还提供了一种在网络资源用户试图否认其网络资源使用时(无论是欺骗还是弄错了),用于网络资源接入网关决定是否要终止任何设备的连接的方法和系统。
问题概述
1.参考图2,描述的每一方均以独立的商业动机运营。
2.用户(“U”)担心他并不了解或并不信任的接入网关运营商(“A”)通过增加发送至计费业务提供商(“B”)的他的网络资源使用的记录而向其多收费。然而,用户选择信任计费业务提供商B,并且已经与B进行商业往来。
3.接入网关运营商担心他并不了解或者并不信任的用户通过某些方式对发送给计费业务提供商的网络资源使用的准确记录提出质疑。然而,接入网关运营商选择信任计费业务提供商B,并且与B进行商业往来。
4.计费业务提供商不单独信任接入网络运营商或用户任何一方,但是他的责任是处理上述双方之间的收费问题。如果接入网关运营商A和用户U双方均对所使用的网络资源类型和数量达成协定时(并且计费业务提供商B确信他们的协定没有遭到破坏时),计费业务提供商B才相信二者的共同协定。
简明概要
用户U不信任接入网关运营商A
接入网关运营商A不信任用户U
用户U信任计费业务提供商B
接入网关运营商A信任计费业务提供商B
计费业务提供商B不单独信任用户U或接入网关运营商A的任何一方,除非U和A二者表示达成共同的协定。
通信
用户U可与接入网关运营商A直接通信
接入网关运营商A可直接与用户U通信
用户U只可以经由接入网关运营商A与计费业务提供商B通信
计费业务提供商B只可以经由接入网关运营商A与用户U通信
信息必须经不信任的媒介传递的任何情况都会引发关于完整性的潜在争端。即使使用牢固的密码系统,用户U与计费业务提供商B之间的双向通信易于受到各种形式的替换、重发或者中间人的攻击。接入网关运营商A是有潜在商业动机而实施这种攻击的中间人。
附图说明
图1示出了根据现有技术接入网关如何对网络用户设备的网络资源使用记账。
图2是本发明的总体框图,该图示出了接入网关与提供网络接入并对网络资源使用记账的系统之间的关系。
图3示出了根据本发明接入网关如何对网络用户设备的网络资源使用记账。
具体实施方式
本发明的前提是如果不相互信任的交易双方对该交易的详细记录达成一致,并且这些记录随后无法在不被发现的情况下被改动,那么任何一方之后都不能否认(repudiate)双方所同意的交易详情。更具体地说,在使用网络资源的交易中,交易详情随着时间变化(因为网络资源随着时间不断被消耗)并且任意一方可在交易进行中单方面离开(通过在没有预先通知另一方或经过另一方同意的情况下单方面断绝连接),唯一的保证不被任何一方否认的交易记录是它们对当时还未完成(then-outstanding)的交易状态的最新协定。
因此,本发明涉及对接入网关11的改进,使得接入网关能够跟踪了解它与网络用户设备13之间对在利用网络资源的会话期间(诸如使用网络15或者连接到网络15的存储器)消耗的网络资源的协定的最新状态。在网络会话期间,这种动态的协定状态需要周期性的更新,并且接入网关无法在以后不被发现的情况下对其进行改动。计费业务提供商采用的AAA系统17使用网络15对用户及其访问网络资源进行认证。
图3示出了本发明对现有技术所作的主要改变:
步骤1-5与图1所示的现有技术的1-5步骤完全一致。除非在下文详细说明的网络用户设备明确终止会话的情况下,步骤8a与图1中现有技术的步骤6相同。步骤9与现有技术中的步骤7相同。图3还示出了必要的新步骤6a,7a和10。
6a)在会话过程中,需要时不时地,通常每隔大约10秒(虽然完全取决于特定实施方式的需求以反映所用的网络资源总量以及费用),接入网关从网络用户设备接收计费数据,该计费数据是网络用户设备对通过接入网关对其网络资源消耗的一个或者多个参数的网络资源使用统计量的记录的函数,参考(reference off)众所周知的某个基点(优选的是当前会话的开始)。接入网关采用某些方法从接收到的计费数据中读取一个或者多个参数,例如通过使用网络用户设备的公共密钥对接收到的计费数据进行解码,进而才能确定该一个或多个参数是否与接入网关自身对这些参数的记录相关。在确定相关的过程中(例如,比较连接时间或者数据传输量),接入网关可能会考虑在该计费数据生成和传输过程中所涉及的延迟。更具体地讲,在允许由于网络用户设备进行数据处理(包括编码)以及网络延迟引起的时间延迟(通常从几毫秒到1-2秒)情况下,它需要确定接收到的一个(或多个)参数是否在接入网关期望的值的特定范围内。在某些情况下(例如,如果连接时间为每10秒钟报告一次的网络资源),期望值的范围仅是单个值(即,在之前提到的情况中,接入网关的当前会话时间计数器会四舍五入到最接近的10秒)。接收到的计费数据在包含接入网关可读取的一个或者多个参数的同时,还必须包含至少一个部分,该至少一个部分以这样的方式编码使得这些参数不能被修改或者替换(包括被先前会话的全部或者部分计费数据替换)而随后不可能被具有资格的第三方发现(例如持有与网络用户设备编码数据使用的机密相对应的机密的一方)。尽管现有技术的适当编码方法已经被人们熟知,但下文还将详细介绍几个可用的编码方法。在现有技术中,当使用保存连接日志的远程设备进行抽样审计时,进行相类似的比较(无需任何特殊形式的编码),尽管直到网络资源使用会话已经终止后,因为这是在现有技术中接入网关的网络资源使用统计量(以记账记录的形式)变为可用的第一时间。由于随后可能否认网络资源使用量,因此本发明依赖于网络资源使用过程中活跃地(actively)发生的比较。如果接入网关在活动会话(active session)期间不认可(从网络用户设备)接收的计费数据,那么接入网关有能力马上终止活动网络资源使用。
1)如果接入网关确定最近接收到的计费数据中包含的参数(或者参数的任何推演结果)与它自身记录的这些参数或者该参数的计算结果不相关时(例如,网络用户设备好像低估了它对网络资源的消耗),那么接入网关可以终止会话。如果接入网关同意接收到的参数,接入网关将存储接收到的计费数据(或其编码参数的至少一个或多个),然后继续向网络用户设备提供服务。
2)如果接入网关在预期的时间帧内没有接收到期望的与参数有关的计费数据,那么接入网关可以终止会话。(例如,要求接入网关在每隔10秒钟的连接时间之后获取最新的计费数据。如果12秒后还没有接收到这些数据,接入网关可以终止对话,12秒的时间是允许网络用户设备生成数据及随后网络传输中的延迟的宽限期)。
3)应注意接收到的计费数据包括或由下述的一种或者多种以适当格式编码的数据组成:
网络资源使用统计量的全部或者一部分;或者
根据网络资源使用统计量的全部或部分的推演结果;或者
与网络资源消耗相关的(数字签名的)“支付”或“授权”确认(例如,同意购买X单元)。例如,在一个实施例中,接入网关可向网络用户设备发送通知,表明它已经使用了30分钟的连接时间,并且需要确认应支付1美元。在这种情况下,尽管无需参考网络资源使用统计量,网络用户设备使用它自己的网络资源使用统计量记录来确认使用时间已达30分钟,并向接入网关发送对1美元的授权。这种授权可以是网络资源使用量的函数,但是不一定是由网络资源使用量直接得出的。
7a)步骤7a是步骤6a的重复。在会话过程中,接入网关继续从网络用户设备处接收计费数据并按照步骤6a处理。接入网关接收计费数据的频率取决于实施方式和配置。在一个实施例中,在会话授权时,接入网关从AAA系统接收关于作为网络资源使用统计量的哪些参数被跟踪以及用什么频率跟踪的通知。它还将这些参数传送到网络用户设备。在其它实施例中,在接入网关和网络用户设备中提前设定或者提前配置好参数和频率。
如果接入网关从网络用户设备接收到终止会话的正式通知,它也可能接收到比预期要早的一组或者多组对应的计费数据。接入网关采用与步骤6a相同的方式处理这些计费数据。
接入网关以从网络用户设备处接收到的编码形式向AAA系统(直接或者间接)转发最近接收到的并且通过验证(即相关的)的计费数据或者提交这些数据的至少预先确定的部分。
更具体地说,被转发的数据必须包含经过编码的计费数据中至少足够多的部分(以与接收AAA系统兼容的格式转发),使得AAA系统可以验证该数据仅来自用户的网络用户设备(并且其中经过编码的任何特定参数未被修改),并且使得AAA系统具有足够的数据将需要验证的任意计费数据与对应的计费数据或者由接入网关生成并转发给AAA系统的其他计费数据进行比较。如果被监视的网络资源不止一种,那么接入网关需向AAA系统转发多组计费数据(或者其部分)。
编码方法
为了确保接入网关从网络用户设备接收到的计费数据不可能被接入网关篡改而随后不会被AAA系统发现,必须采用特殊的方法对计费数据的至少一部分进行编码。计费数据必须包含一个或者多个变换函数的一个(或多个)结果或者由这些结果组成,其中变换函数取决于某些不可改动的参数和接入网关未知(并且通过计算不可能确定)的密钥。变换函数可以是任何函数,在不知道密钥的情况下,对于一个或者多个所选择的参数值,通过计算确定变换函数的结果是不可行的。计费数据的经过编码的一个(或多个)部分也必须包括防止之前有效的(经过编码的)计费数据被再次使用的规定(provision)(即,通常在加密技术中被称为重放攻击)。例如,在编码之前通过将一个或者多个会话的唯一标识和/或时戳合并在计费数据的那些部分中,可提供这种规定。生成并管理这类避免重放的“密钥”并且确保以后能检测到数据被再次使用的安全措施已经被人们熟知,并且并不在本发明的范围之内。
下面的例子阐明了替代的编码方法以及它们用于不同实施方式中的相对优势与劣势:
非对称(公共密钥)加密数据编码
数据由网络用户设备使用用户的私人(秘密)密钥进行编码。
作为实施协议的一部分,用户的公共密钥需提供给接入网关。接入网关使用用户的公共密钥对数据进行解码。
优势:通过网络传输/接收的数据紧凑(compactness);密钥没有被计费业务提供商泄漏的风险。
劣势:在会话开始,用户需要向接入网关发送它的公共密钥;具有相对高的处理要求以支持目前已知的多种形式的非对称加密技术。
带数字签名哈希的明码文本
经过网络用户设备编码的数据在明码文本(未经加密的)数据后添加数字签名哈希,数字签名哈希是使用明码文本数据与用户的私人(秘密)密钥产生的。
虽然接入网关无需任何附加要求即可读取明码文本数据,但是接入网关一旦改动明码文本就会造成数字签名哈希无效。接入网关通过生成自身的明码文本哈希后,将其与使用用户的公共密钥(作为实施协议的一部分,需将公共密钥提供给接入网关)解码的数字签名哈希比较,来验证数字签名哈希的有效性。
优势:与加密所有明码文本数据的方法相比可能具有更高的性能。
劣势:编码数据长度有所增加,造成网络通信量的略微升高。
对称加密技术
在本发明中,虽然可以使用接入网关未知的密钥的对称加密方法作为对接收到的计费数据的多个部分(例如,加密明码文本的哈希与明码文本数据)的编码方法,但这不是优选的编码方法。其主要原因是该方法会造成接入网关无法确定接收到的计费数据与其自身的计费数据完全相关,即使接入网关可以读取的那部分数据的确与自身的计费数据相关(例如,虽然明码本文可能相关但是加密后的哈希可能不相关)。若将所有的计费数据(接收到的计费数据和由接入网关生成的计费数据)均转发给AAA系统,欺骗行为模式可能被发现,并且通过经不同接入网关进行的多个会话还可能判断出是接入网关篡改了接收到的计费数据还是网络用户设备谎报了不一致的计费数据,但这对于任意一个单独的网络资源使用会话是不可能的,因此发明的价值就会被减弱。
当然,在用户能够使用网络资源发起会话之前,接入网关已经与AAA系统联系以对网络用户设备的用户的连接进行认证。如果AAA系统确定接入网关不可信任时(例如由第三方经营),则需要执行建立认证连接的协议。但是,要恰当理解所附权利要求定义的本发明,并不需要掌握该协议的详细内容。
Claims (20)
1.一种使得计费业务提供商能够验证从网络资源接入网关的运营商处接收的计费数据的系统,该系统包含:
接入网关设备,其耦合到网络用户设备及计费业务提供商的系统,所述网络用户设备生成计费数据,所述接入网关设备被配置成将接收到的计费数据与由所述接入网关设备生成的对应计费数据进行比较,并且当所述接收到的计费数据与所述接入网关设备生成的所述计费数据相关时,所述接入网关设备存储所述接收到的计费数据中预先确定的部分。
2.根据权利要求1定义的系统,进一步包含解码器,在将所述接收到的计费数据与所述对应计费数据进行比较之前,该解码器操作以对所述接收到的计费数据解码。
3.根据权利要求2定义的系统,其中所述解码器执行非对称加密数据解码和根据带数字签名哈希的明码文本的数字签名哈希解码中的其中之一。
4.一种生成可独立验证的计费数据的方法,其包括以下步骤:
生成计费数据;
在网络资源使用过程中,将接收到的计费数据与由接入网关生成的对应计费数据进行比校;以及
如果所述接收到的计费数据与所述对应计费数据相关,存储所述接收到的计费数据中预先确定的部分。
5.根据权利要求4定义的方法,进一步包括在将所述接收到的计费数据与所述对应计费数据比较之前,对所述接收到的计费数据进行解码。
6.根据权利要求5定义的方法,所述解码是非对称加密数据解码和根据带数字签名哈希的明码文本的数字签名哈希解码中的其中之一。
7.根据权利要求4定义的方法,进一步包括向计费业务提供商传输所述接收到的计费数据中的所述预先确定的部分。
8.根据权利要求7定义的方法,所述接收到的计费数据是最近接收到的计费数据。
9.一种避免潜在的欺骗性网络资源使用的方法,包括:
生成计费数据;
在网络资源使用过程中,将接收到的计费数据与由接入网关生成的对应计费数据进行比较;以及
当所述接收到的计费数据与所述对应计费数据不相关时,终止所述网络资源使用。
10.根据权利要求9定义的方法,进一步包括在将所述接收到的计费数据与所述对应计费数据比较之前,对所述接收到的计费数据中预先确定的部分进行解码。
11.根据权利要求10定义的方法,其中所述解码是非对称加密数据解码和根据带数字签名哈希的明码文本的数字签名哈希解码中的其中之一。
12.根据权利要求9定义的方法,进一步包括向计费业务提供商传输关于所述接收到的计费数据与所述对应计费数据不相关的通知。
13.根据权利要求12定义的方法,其中所述通知包含所述接收到的计费数据与所述对应计费数据中的至少其中一个的预先确定的部分。
14.根据权利要求1定义的系统,其中所述接入网关向所述计费业务提供商传输所述接收到的计费数据中的所述预先确定的部分。
15.根据权利要求14定义的系统,其中所述接收到的计费数据是最近接收到的计费数据。
16.一种避免潜在的欺骗性网络资源使用的系统,包含:
用于生成计费数据的装置;
用于在网络资源使用过程中接收所述生成的计费数据并将所述接收到的计费数据与接入网关生成的对应计费数据加以比较的装置;和
用于当所述接收到的计费数据与所述对应计费数据不相关时,终止所述网络资源使用的装置。
17.根据权利要求16定义的系统,进一步包括在将所述接收到的计费数据与所述对应计费数据比较之前,对所述接收到的计费数据的预先确定的部分进行解码的装置。
18.根据权利要求17定义的系统,其中用于解码的所述装置执行非对称加密数据解码和根据带数字签名哈希的明码文本的数字签名哈希解码中的其中之一。
19.根据权利要求16定义的系统,进一步包含向计费业务提供商传输关于所述接收到的计费数据与所述对应计费数据不相关的通知的装置。
20.根据权利要求19中定义的系统,其中所述传输的通知包含所述接收到的计费数据与所述对应计费数据中的至少其中一个的预先确定的部分。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201510100483.7A CN104753688A (zh) | 2005-09-02 | 2006-08-29 | 验证网络资源使用记录的方法与系统 |
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/219,030 US8005457B2 (en) | 2005-09-02 | 2005-09-02 | Method and system for verifying network resource usage records |
| US11/219,030 | 2005-09-02 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510100483.7A Division CN104753688A (zh) | 2005-09-02 | 2006-08-29 | 验证网络资源使用记录的方法与系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101297508A true CN101297508A (zh) | 2008-10-29 |
Family
ID=37809542
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510100483.7A Pending CN104753688A (zh) | 2005-09-02 | 2006-08-29 | 验证网络资源使用记录的方法与系统 |
| CNA2006800395103A Pending CN101297508A (zh) | 2005-09-02 | 2006-08-29 | 验证网络资源使用记录的方法与系统 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510100483.7A Pending CN104753688A (zh) | 2005-09-02 | 2006-08-29 | 验证网络资源使用记录的方法与系统 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US8005457B2 (zh) |
| EP (1) | EP1929680B1 (zh) |
| JP (1) | JP5090354B2 (zh) |
| CN (2) | CN104753688A (zh) |
| WO (1) | WO2007027964A2 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2489199A2 (en) * | 2006-02-22 | 2012-08-22 | Elad Barkan | Wireless internet system and method |
| US8549588B2 (en) * | 2006-09-06 | 2013-10-01 | Devicescape Software, Inc. | Systems and methods for obtaining network access |
| US8743778B2 (en) * | 2006-09-06 | 2014-06-03 | Devicescape Software, Inc. | Systems and methods for obtaining network credentials |
| US8196188B2 (en) * | 2006-09-06 | 2012-06-05 | Devicescape Software, Inc. | Systems and methods for providing network credentials |
| US8667596B2 (en) | 2006-09-06 | 2014-03-04 | Devicescape Software, Inc. | Systems and methods for network curation |
| US8554830B2 (en) * | 2006-09-06 | 2013-10-08 | Devicescape Software, Inc. | Systems and methods for wireless network selection |
| US8194589B2 (en) * | 2006-09-06 | 2012-06-05 | Devicescape Software, Inc. | Systems and methods for wireless network selection based on attributes stored in a network database |
| US9326138B2 (en) * | 2006-09-06 | 2016-04-26 | Devicescape Software, Inc. | Systems and methods for determining location over a network |
| US8191124B2 (en) * | 2006-09-06 | 2012-05-29 | Devicescape Software, Inc. | Systems and methods for acquiring network credentials |
| US20080082455A1 (en) * | 2006-09-29 | 2008-04-03 | Yigang Cai | System and method for communicating charging data records |
| US8683034B2 (en) * | 2007-10-02 | 2014-03-25 | At&T Intellectual Property I, L.P. | Systems, methods and computer program products for coordinated session termination in an IMS network |
| US20100263022A1 (en) * | 2008-10-13 | 2010-10-14 | Devicescape Software, Inc. | Systems and Methods for Enhanced Smartclient Support |
| WO2010045249A1 (en) * | 2008-10-13 | 2010-04-22 | Devicescape Software, Inc. | Systems and methods for identifying a network |
| CN101814995B (zh) * | 2009-02-20 | 2012-01-11 | 中国移动通信集团公司 | 中转节点贡献值获取方法及装置 |
| US9184985B2 (en) * | 2009-06-08 | 2015-11-10 | Telefonaktiebolaget L M Ericsson (Publ) | Investigating a communication aspect of a data flow |
| KR101063354B1 (ko) | 2009-07-29 | 2011-09-07 | 한국과학기술원 | 공개 키 기반의 프로토콜을 이용한 과금 시스템 및 그 방법 |
| US8112062B2 (en) * | 2009-12-22 | 2012-02-07 | Cellco Partnership | System and method for sending threshold notification in real time |
| KR101607293B1 (ko) * | 2010-01-08 | 2016-03-30 | 삼성디스플레이 주식회사 | 데이터 처리 방법 및 이를 수행하기 위한 표시 장치 |
| CN102611561B (zh) * | 2011-01-25 | 2016-09-28 | 中兴通讯股份有限公司 | 一种对等网计费或统计信息验证的方法和系统 |
| KR101356223B1 (ko) | 2012-01-18 | 2014-01-29 | 한국과학기술원 | 클라우드 환경에서의 클라우드 사용자를 위한 컴퓨팅 자원 할당 검증 장치 및 방법 |
| US10178122B1 (en) * | 2016-08-12 | 2019-01-08 | Symantec Corporation | Systems and methods for disseminating location-based reputations for link-layer wireless attacks |
| EP3598842B1 (en) * | 2018-07-20 | 2021-07-14 | Nokia Technologies Oy | Network sharing |
| CN109242484A (zh) * | 2018-08-09 | 2019-01-18 | 玄章技术有限公司 | 一种区块链的共识激励方法 |
| US10524028B1 (en) | 2019-01-23 | 2019-12-31 | Nutanix, Inc. | Validating live metering service in a cloud infrastructure |
| CA3162530A1 (en) * | 2020-01-13 | 2021-07-22 | Michael Shvartsman | Methods and systems for accessing a resource |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS6194436A (ja) * | 1984-10-15 | 1986-05-13 | Nec Corp | 通信料課金方式 |
| JP3561894B2 (ja) | 1996-12-27 | 2004-09-02 | 日本電信電話株式会社 | 課金処理方法およびその装置 |
| FI104668B (fi) * | 1997-07-14 | 2000-04-14 | Nokia Networks Oy | Liittymäpalvelun toteuttaminen |
| CA2333362C (en) | 1998-06-05 | 2007-11-13 | British Telecommunications Public Limited Company | Communications network |
| JP3457184B2 (ja) * | 1998-06-25 | 2003-10-14 | シャープ株式会社 | 検索装置及びその制御プログラムを記憶した媒体 |
| EP1014646A3 (en) | 1998-12-22 | 2000-12-20 | Citibank, N.A. | Systems and methods for distributing information to a diverse plurality of devices |
| AU3491600A (en) * | 1999-04-05 | 2000-10-23 | Tekelec | Methods and systems for routing signaling messages associated with ported subscribers in a communications network |
| IL151534A0 (en) * | 2000-02-29 | 2003-04-10 | Verisign Inc | System and method for controlling and monitoring a wireless roaming call |
| US20020118813A1 (en) * | 2000-12-18 | 2002-08-29 | Inet Technologies, Inc. | System and method for verifying usage and quality of interconnection services for a communication network |
| JP4009136B2 (ja) * | 2001-06-07 | 2007-11-14 | 富士通株式会社 | 課金システム |
| DE10394185D2 (de) * | 2003-01-03 | 2005-11-24 | Siemens Ag | Verfahren zur Vergebührung einer Kommunikationsverbindung über Internet zwischen Kommunikationssendgeräten |
| US20050177515A1 (en) | 2004-02-06 | 2005-08-11 | Tatara Systems, Inc. | Wi-Fi service delivery platform for retail service providers |
| US20050182680A1 (en) * | 2004-02-17 | 2005-08-18 | Jones Melvin Iii | Wireless point-of-sale system and method for management of restaurants |
| WO2005111878A1 (en) * | 2004-05-18 | 2005-11-24 | Mts Mer Telemanagement Solutions Ltd. | Information verification in a telecommunications network |
| WO2006009929A2 (en) * | 2004-06-18 | 2006-01-26 | Tekelec | METHODS, SYSTEMS, AND COMPUTER PROGRAM PRODUCTS FOR SELECTING OR GENERATING A SINGLE CALL DETAIL RECORD (CDR) FROM A PLURALITY OF CDRs ASSOCIATED WITH A CALL HAVING A PLURALITY OF LEGS |
-
2005
- 2005-09-02 US US11/219,030 patent/US8005457B2/en active Active
-
2006
- 2006-08-29 CN CN201510100483.7A patent/CN104753688A/zh active Pending
- 2006-08-29 WO PCT/US2006/034134 patent/WO2007027964A2/en active Application Filing
- 2006-08-29 JP JP2008529294A patent/JP5090354B2/ja active Active
- 2006-08-29 CN CNA2006800395103A patent/CN101297508A/zh active Pending
- 2006-08-29 EP EP06802756.4A patent/EP1929680B1/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007027964A2 (en) | 2007-03-08 |
| EP1929680A4 (en) | 2012-10-24 |
| US8005457B2 (en) | 2011-08-23 |
| CN104753688A (zh) | 2015-07-01 |
| JP5090354B2 (ja) | 2012-12-05 |
| WO2007027964A3 (en) | 2007-10-11 |
| JP2009507427A (ja) | 2009-02-19 |
| EP1929680B1 (en) | 2016-10-26 |
| US20070054654A1 (en) | 2007-03-08 |
| EP1929680A2 (en) | 2008-06-11 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101297508A (zh) | 验证网络资源使用记录的方法与系统 | |
| CN108270571B (zh) | 基于区块链的物联网身份认证系统及其方法 | |
| CN100518411C (zh) | 一种基于移动通信终端的动态密码系统及方法 | |
| EP1476980B1 (en) | Requesting digital certificates | |
| CN100566460C (zh) | 利用短消息实现的移动实体间的认证与密钥协商方法 | |
| JP2659637B2 (ja) | 無線電話装置 | |
| CN101583124B (zh) | 一种用户识别模块与终端进行认证的方法和系统 | |
| US20060217107A1 (en) | Device billing agent | |
| EP1639800B1 (en) | Online charging in mobile networks | |
| KR20050003449A (ko) | 근거리 네트워크에의 유료 접속 | |
| CA2468599A1 (en) | Use of a public key key pair in the terminal for authentication and authorization of the telecommunication subscriber in respect of the network operator and business partners | |
| CN102571693A (zh) | 能力安全调用方法、装置及系统 | |
| CN101547097B (zh) | 基于数字证书的数字媒体管理系统及管理方法 | |
| CN103401686A (zh) | 一种用户互联网身份认证系统及其应用方法 | |
| CN109587683B (zh) | 短信防监听的方法及系统、应用程序和终端信息数据库 | |
| KR100395161B1 (ko) | 이동통신망에서의 스마트 카드를 이용한 인증 방법 및 글로벌로밍 서비스 방법 | |
| CN1885768B (zh) | 一种环球网认证方法 | |
| CN101051897B (zh) | 生物信息认证方法 | |
| CA2379677A1 (en) | System and method for local policy enforcement for internet service providers | |
| CN103716763A (zh) | 一种验证计费点的方法和系统 | |
| WO2009124587A1 (en) | Service reporting | |
| Ou et al. | A provable billing protocol on the current UMTS | |
| Chen et al. | Light-weight authentication and billing in mobile communications | |
| Li et al. | Fair and secure mobile billing systems | |
| RU2004119553A (ru) | Использование пары открытых ключей в оконечном устройстве для аутентификации и авторизации пользователя телекоммуникационной сети по отношению к сетевому провайдеру и деловым партнерам |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20081029 |