CN102763395B - 提供基于认证上下文的会话的方法和装置 - Google Patents
提供基于认证上下文的会话的方法和装置 Download PDFInfo
- Publication number
- CN102763395B CN102763395B CN201180009803.8A CN201180009803A CN102763395B CN 102763395 B CN102763395 B CN 102763395B CN 201180009803 A CN201180009803 A CN 201180009803A CN 102763395 B CN102763395 B CN 102763395B
- Authority
- CN
- China
- Prior art keywords
- authentication context
- server
- authentication
- key
- context
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/141—Setup of application sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/76—Proxy, i.e. using intermediary entity to perform cryptographic operations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Telephonic Communication Services (AREA)
Abstract
提供一种方法,在网络通信中提供用于客户端-服务器认证和服务器-服务器通信的认证协议和/或认证上下文的分离。代理服务器接收发起服务会话的请求。所述请求包括第一认证上下文。代理服务器从认证服务器请求第一认证上下文的验证,并且至少部分地基于所述验证确认所述第一认证上下文。代理服务器至少部分地基于第一认证上下文的验证实现第二认证上下文以发起所述服务会话。
Description
背景技术
网络服务提供商和设备制造商不断受到挑战,例如通过提供引人注目的网络服务来向消费者传达价值和便捷性。可由服务提供商例如使用应用服务器来提供服务。访问这些服务器的便捷性和安全性是服务提供商每天要面对的重要挑战。认证服务器可用于为客户端应用访问应用服务器提供安全性。通常地,对于服务器到服务器整合而定义的认证方案还一般地指定用于客户端到服务器认证的模型。许多情况下,客户端到服务器认证模型与服务器到服务器认证模型的这个依赖关系可潜在地导致在参与应用服务器和认证服务器上的高业务负载。而且,这个依赖关系在客户端应用不安全时还使系统的整个安全性处于危险的境地。
发明内容
因此,需要一种提供用于客户端到服务器通信和服务器到服务器通信的认证协议和/或认证上下文的分离的方法,以克服上述限制。
根据一个实施例,一种方法包括:接收发起服务会话的请求。所述请求包括第一认证上下文。该方法还包括:从认证服务器请求第一认证上下文的验证。该方法还包括:至少部分地基于所述验证确认所述第一认证上下文。该方法还包括:至少部分地基于第一认证上下文的验证实现第二认证上下文以发起所述服务会话。
根据另一实施例,一种装置,包括:至少一个处理器;以及至少一个存储器,存储器包括计算机程序代码,所述至少一个存储器以及所述计算机程序代码被配置为利用所述至少一个处理器,使得所述装置至少执行以下内容:接收发起服务会话的请求。所述请求包括第一认证上下文。还使 得所述装置:从认证服务器请求第一认证上下文的验证。还使得所述装置:至少部分地基于所述验证确认所述第一认证上下文。还使得所述装置:至少部分地基于第一认证上下文的验证实现第二认证上下文以发起所述服务会话。
根据另一实施例,一种计算机可读存储介质,承载一个或多个指令的一个或多个序列,当被一个或多个处理器执行时所述一个或多个指令的一个或多个序列使得装置至少执行以下步骤:接收发起服务会话的请求。所述请求包括第一认证上下文。还使得所述装置:从认证服务器请求第一认证上下文的验证。还使得所述装置:至少部分地基于所述验证确认所述第一认证上下文。还使得所述装置:至少部分地基于第一认证上下文的验证实现第二认证上下文以发起所述服务会话。
根据另一实施例,一种装置,包括:接收发起服务会话的请求的部件。所述请求包括第一认证上下文。该装置还包括:从认证服务器请求第一认证上下文的验证的部件。该装置还包括:至少部分地基于所述验证确认所述第一认证上下文的部件。该装置还包括:至少部分地基于第一认证上下文的验证实现第二认证上下文以发起所述服务会话的部件。
对于本发明的各个示例性实施例,以下内容适用:一种方法,包括:促进以下内容的处理和/或处理:(1)数据和/或(2)信息和/或(3)至少一个信号;至少部分地基于(1)数据和/或(2)信息和/或(3)至少一个信号(或至少从中部分地导出)的任一个或方法的任意组合(或处理),其公开于本申请中相关于本发明的任意实施例。
对于本发明的各个示例性实施例,以下内容也适用:一种方法,包括:促进访问至少一个接口,被配置为允许访问至少一个服务,所述至少一个服务被配置为执行公开于本申请中的网络或服务提供商方法(或处理)的任一个或任意组合。
对于本发明的各个示例性实施例,以下内容适用:一种方法,包括:促进建立和/或促进修改:(1)至少一个设备用户接口元件和/或(2)至少一个设备用户接口功能;所述(1)至少一个设备用户接口元件和/或(2) 至少一个设备用户接口功能至少部分地基于:从公开于本申请中相关于本发明的任意实施例的方法或处理的一个或任意组合得到的数据和/或信息和/或从公开于本申请中相关于本发明的任意实施例方法(或处理)的一个或任意组合得到的至少一个信号。
对于本发明的各个示例性实施例,以下内容也适用:一种方法,包括:建立和/或修改:(1)至少一个设备用户接口元件和/或(2)至少一个设备用户接口功能;所述(1)至少一个设备用户接口元件和/或(2)至少一个设备用户接口功能至少部分地基于:从公开于本申请中相关于本发明的任意实施例的方法(或处理)的一个或任意组合得到的数据和/或信息和/或从公开于本申请中相关于本发明的任意实施例方法(或处理)的一个或任意组合得到的至少一个信号。
在各个示例性实施例中,该方法(或处理)可实现于服务提供商端上或移动设备端上,或在服务提供商和移动设备之间以任意共享方式实现,其中在两端上执行动作。
通过简单地说明多个特定实施方式和实现方式,包括被构想用于执行本发明的最佳模式,可以通过下面的详细说明容易地了解本发明的其它方面、特征以及优点。在全部不脱离本发明的精神和范围的情况下,本发明还能够实现其它的和不同的实施方式,并且可以在各种明显方面内修改本发明的许多细节。因此,应自然地将附图和说明书考虑为示意性的,并且不是限制性的。
附图说明
在附图的图示中,通过实例的方式并且不是通过限制的方式来说明本发明的实施方式,其中:
图1是根据一个实施例的能够提供客户端-服务器认证和服务器-服务器认证的分离的系统的视图;
图2是根据一个实施例的代理模块的组件的视图;
图3是根据一个实施例的实现第二认证上下文的处理的流程图;
图4A和4B是根据各个实施例的基于第一和第二认证上下文的数据提取的处理的流程图;
图5是根据一个实施例的示出提供用于客户端-服务器和服务器-服务器通信的认证上下文的分离的消息和处理序列的时序图;
图6是示出可在上面实现本发明实施例的硬件的视图;
图7是示出在上面可实现本发明实施例的芯片集的视图;以及
图8是根据本发明示例性实施例的能够在图1的系统中操作的移动站(例如手机)的示例性组件的视图。
具体实施方式
公开一种提供客户端到服务器(客户端-服务器)认证和服务器到服务器(服务器-服务器)认证的分离的方法、装置、和计算机程序的实例。以下描述中,为了说明的目的,阐述多个具体细节以提供本发明的实施例的全面理解。然而,本领域技术人员清楚,本发明的实施例可在没有这些具体细节或具有等同配置的情况下实现。其他情形下,以框图形式示出公知结构和设备,以避免不必要地模糊本发明的实施例。
图1是根据一个实施例的能够提供客户端-服务器认证和服务器-服务器认证的分离的系统的视图。可使用应用服务器(例如,但不限于web应用),例如,向用户、客户端、消费者等提供服务。例如,用户设备上提供的客户端应用可与应用服务器通信,以从应用服务器提取数据。客户端应用和应用服务器之间的通信的便捷性和安全性是服务提供商面临的重要挑战。通常,客户端应用可首先依据认证服务器认证自身,并从认证服务器接收认证上下文。接下来,客户端应用可使用这个认证上下文来访问应用服务器。应用服务器使用例如认证服务器来验证和确认从客户端应用接收的认证上下文。然后,如果认证上下文被确认,则应用服务器通过所请求的数据来响应客户端应用请求。因此,对于在应用服务器处接收的每个数据提取请求,应用服务器访问认证服务器以验证和确认通过数据提取请求接收的认证上下文,这样潜在地导致在参与应用服务器和认证服务器上 的高业务负载。
此外,在客户端应用和/或用户设备依据认证服务器认证自身并接收认证上下文之后,通常对于客户端应用和应用服务器之间的通信以及对于应用服务器和认证服务器之间的通信(用于验证和确认)使用相同的认证方案。因此,对于服务器到服务器整合而定义的穿透认证方案通常还一般地指定用于客户端到服务器认证的模型。许多情况下,客户端到服务器认证模型与服务器到服务器认证模型的这个依赖关系在客户端应用不安全时(例如,在不安全域中运行)使系统的整个安全性处于危险的境地,并且可能妨碍认证相关的业务的有效负载平衡。
为了解决这些问题,图1的系统100可有利地分离在不同域(例如客户端-服务器域、服务器-服务器域等)上使用的认证协议和/或认证上下文。这里,术语“认证上下文”可包括:(1)关于用户、客户端、消费者等的初始识别机制的信息;(2)关于认证机制或方法的信息(例如,密码、一次性密码、有限的使用密钥、密钥、消费者密钥、访问令牌等);(3)关于证书的存储和保护的信息(例如,密码规则、智能卡等);等等。假设,在认证上下文中可考虑关于在认证方、认证方案等中包含的认证方的其他信息。
图1的实施例中,代理服务器101可实现为用户设备103和认证服务器105之间的守卫者(gatekeeper)。额外地或备选地,代理服务器101可实现为用户设备103和一个或多个应用服务器107a-107n之间的守卫者。这个实施例中,代理服务器101可确定可对于不同域使用什么认证协议和/或认证上下文。例如,代理服务器101可对于服务器-服务器通信确定和实现第一认证协议(例如,在代理服务器101和认证服务器105之间的通信、在代理服务器101和应用服务器107a-107n的一个或多个之间的通信等)。此外,代理服务器101可对于客户端-服务器通信确定和实现第二认证协议(例如,在用户设备103和/或客户端应用111(例如浏览器)和代理服务器101之间的通信)。一个实施例中,第一和第二认证协议可以相同。然而,代理服务器101被配置为对于第一和第二协议使用不同的认证协议, 因此有利地分离客户端-服务器和服务器-服务器认证上下文。一个实施例中,协议的分离可有利地减少在应用服务器107a-107n和/或认证服务器105上的负载。此外,根据某些实施例,代理服务器101可以控制向应用服务器107a-107n发送的业务。代理服务器101可包括用于指向下述各个功能的代理模块113和认证数据库115。在图2中更详细地说明代理模块113和认证数据库115。
实施例中,期望连接至例如应用服务器107a-107n的应用服务器107a的用户设备(UE)103首先通过通信网络109依据认证服务器105来认证自身。一个实施例中,UE 103将其证书发送至认证服务器105以用于认证目的。一个实例中,UE 103的证书可包括用户名和密码。然而,假设任意证书可用于认证目的,例如,生物统计、一次性密码、网络地址过滤等。认证服务器105检查并确认接收的UE 103的证书,如果证书被确认则发起认证上下文。一个实施例中,认证服务器105可包括单签约认证服务器,并且认证上下文可例如使用会话曲奇(cookies)或令牌在UE 103和认证服务器105之间共享。
单签约是使得用户(例如用户设备、客户端应用、用户设备的用户等)能够认证一次并获得多个软件、应用、服务器等的资源的访问的认证处理,而无需在每个资源提示再次认证自身。
继续这个实施例,UE 103和/或客户端应用111可发起与代理服务器101的连接。如上所述,代理服务器101可实现为UE 103和应用服务器107a-107n的一个或多个之间的守卫者。一个实例中,UE 103将其认证上下文信息发送至代理服务器101。这个实例中,代理服务器101可使用从UE 103接收的认证上下文信息(例如cookie、令牌等)来确认和验证信息。一个实施例中,代理服务器101可与认证服务器105通信,以验证从UE 103接收的认证上下文信息。
如果由认证服务器105验证了认证上下文信息,则代理服务器101可通过UE 103和/或客户端应用111实现期望的认证上下文。一个实施例中,代理服务器101基于从UE 103接收的认证上下文信息确定期望的认证上 下文。备选地或额外地,基于代理服务器101的特定实现确定期望的认证上下文。换句话说,在UE 103和代理服务器101之间的认证上下文可独立地确定,并且可与认证服务器105的认证上下文不同。在UE 103和/或客户端应用111和代理服务器101之间的期望的认证上下文的确定和实现可有利地将UE 103和代理服务器101之间(例如客户端-服务器域)使用的认证协议从服务器-服务器域中使用的认证协议分离。更具体地,客户端-服务器上下文从服务器-服务器的分离减少了服务器认证客户端的每次访问的需求,由此有利地减少了认证服务器105上的负载。
此外,在UE 103和/或客户端应用111通过代理服务器101成功地发起了期望的认证上下文之后,UE 103可通过代理服务器101发送例如从应用服务器107a提取数据的请求。这个实施例中,代理服务器101可接收用于数据提取的请求。这个请求可基于期望的认证上下文(例如在UE 103和代理服务器101之间建立的客户端-服务器认证上下文),并且可包括例如期望的认证上下文信息、期望的应用服务器107a的地址等。一个实施例中,代理服务器101可确认从UE 103接收的期望的认证上下文信息,并且如果该信息有效,则可使用第一认证上下文(例如由认证服务器105实现的服务器-服务器认证上下文)来访问应用服务器107a。一个实例中,如果第一认证上下文有效,则应用服务器107a响应于用户请求。然后,将来自应用服务器107a的响应从代理服务器101转发至UE 103和/或客户端应用111。
根据实施例,认证服务器105可以是单签约服务器,并且在服务器-服务器通信(例如代理服务器101和应用服务器107之间的通信)中使用的第一认证上下文可基于单签约认证上下文。这个实施例中,单签约认证上下文可基于OAuth。OAuth是能够共享受保护的资源而不共享证书的协议。例如,可对于受保护的资源在OAuth中使用令牌(例如请求令牌、访问令牌等),代替实际用户证书,由此,例如,减少了暴露用户证书的可能性。一个实施例中,在这个协议中使用消费者密钥和机密用于识别目的。对于用于服务器-服务器通信的第一认证上下文使用OAuth的实施例中, 在服务器部分中这些密钥或令牌可保持机密。此外,根据某些实施例,例如可使用共享的密钥来加密服务器-服务器通信。此外,根据某些实施例,在UE 103和/或客户端应用111和代理服务器101之间的信道可以是安全信道,例如超文本传输协议安全(HTTPS)、安全套接字层(SSL)等。
通过实例,系统100的通信网络109包括一个或多个网络,例如数据网络(未示出)、无线网络(未示出)、电话网络(未示出)、或其任意组合。可设想,数据网络可以是任意局域网(LAN)、城域网(MAN)、广域网(WAN)、公共数据网(例如因特网)、或任意其他适合的分组交换网络,例如商业所有、私有分组交换网,例如私有电缆或光纤网络。此外,无线网络可以是例如蜂窝网络,并且可采用各种技术,包括用于全球演进的增强数据率(EDGE)、通用分组无线业务(GPRS)、全球移动通信系统(GSM)、因特网协议多媒体子系统(IMS)、通用移动电信系统(UMTS)等、以及任意其他适合的无线介质,例如全球微波互联接入(WiMAX)、长期演进(LTE)网络、码分多址(CDMA)、宽带码分多址(WCDMA)、无线保真(WiFi)、无线LAN(WLAN)、蓝牙、因特网协议(IP)数据广播、卫星、移动自组织网络(MANET)等,或其任意组合。
UE 103是任意类型的移动终端、固定终端、或便携式终端,包括移动手机、站、单元、设备、多媒体计算机、多媒体平板、因特网节点、通信器、桌面计算机、膝上型计算机、个人数字助理(PDA)、音频/视频播放器、数码相机/摄录像机、定位设备、电视接收机、无线地广播接收机、电子笔记本设备、游戏设备、或其任意组合。还可设想,UE 103可支持对于用户的任意类型的接口(例如“可佩戴”电路等)。
例如,UE 103、代理服务器101、UE 103、认证服务器105和应用服务器107a-107n可使用已知、新的或仍旧在开发中的协议,来彼此以及与通信网络109的其他组件通信。在这个环境下,协议包括定义通信网络105中的网络节点如何基于在通信链路上发送的信息来彼此交互的一组规则。协议在每个节点中的不同的操作层处是有效的,从生成和接收各个类型的 物理信号,到选择用于传递这些信号的链路,到通过那些信号指示的信息的格式化,到识别在计算机系统上执行的哪个软件应用发送或接收信息。在开放性系统互联(OSI)参考模型中描述了在网络上用于交换信息的概念上不同的协议层。
在网络节点之间的通信典型地通过交换数据的离散分组来实现。每个分组典型地包括(1)报头信息,其与特定协议相关联;和(2)有效载荷信息,其在报头信息之后并且包含可独立于该特定协议处理的信息。在一些协议中,分组包括(3)尾信息,其在有效载荷之后并且指示有效载荷信息的结尾。报头信息包括例如分组的源、其目的地、有效载荷的长度、和协议使用的其他属性的信息。通常,用于特定协议的有效载荷中的数据包括与OSI参考模型的不同、更高层相关联的不同协议的报头和有效载荷。特定协议的报头典型地指示在其有效载荷中包含的下一协议的类型。高层协议被认为是封装在低层协议中。贯穿多个异构网络(例如因特网)的分组中包括的报头典型地包括如OSI参考模型所定义的物理(层1)报头、数据链路(层2)报头、网络间(层3)报头和传输(层4)报头、和各个应用报头(层5、层6和层7)。
如上所述,一个实施例中,采用代理服务器101作为UE 103和/或客户端应用111和应用服务器107a-107n之间的守卫者可减少应用服务器107a-107n的负载。例如,代理服务器101可通过UE 103和/或客户端应用111实现认证上下文(例如上述期望的认证上下文),并确认其信息,因此,不需要应用服务器107a-107n通过认证服务器105执行确认。此外,除了分离用于客户端-服务器和服务器-服务器的认证协议和/或认证上下文,代理服务器101可有利地控制为应用服务器107a-107n发起的业务。
注意,尽管图1作为单独实体示出了代理服务器101、认证服务器105、和应用服务器107a-107n,但是可设想,可实现这些服务器的任意组合,从而这些组件的功能可组合在一个或多个组件中或通过等同功能的其他组件执行。
图2是根据一个实施例的代理模块的组件的视图。通过实例,代理模 块113包括提供用于客户端-服务器和服务器-服务器域的认证协议和/或认证上下文的分离的一个或多个组件。可设想,这些组件的功能可组合在一个或多个组件中或通过等同功能的其他组件执行。这个实施例中,代理模块113可至少包括处理器201或用于执行用以实现代理模块113的功能的至少一个算法的其他控制逻辑。例如,当由用户设备的客户端应用(例如图1的UE 103的客户端应用111)接触代理模块113用于认证时,与数据收集模块203通信的处理器201与客户端应用交互以从客户端应用接收认证信息。实施例中,认证信息可包括第一认证上下文。备选地或额外地,第一认证上下文可包括令牌、cookie、密钥等。可设想,第一认证上下文可包括用于确保仅认证后的实体能够访问应用服务器107a-107n或网络103的其他受保护的组件的其他认证信息。
在从客户端应用接收认证和/或服务会话发起请求之后,处理器201与确认模块205交互以确认和/或验证从客户端应用接收的第一认证上下文。一个实施例中,确认模块205可与认证服务器(例如认证服务器105)交互以验证从客户端应用接收的第一认证上下文。这个实施例中,确认模块205可向例如认证服务器105发起第一认证上下文的验证的请求,并且可从认证服务器105接收验证响应。一个实例中,由确认模块205发送的验证请求可包括原始由认证服务器105生成和/或提取的第一认证上下文的令牌或cookie。基于从例如认证服务器105接收的验证响应,确认模块205可确定第一认证上下文的有效性。
如果确认模块205确定第一认证上下文有效,则与处理器201交互的认证模块207通过客户端应用实现第二认证上下文。通过实例,认证模块207可与认证数据库115通信以实现第二认证上下文。一个实施例中,第二认证上下文与第一认证上下文不同,因此可对于客户端-服务器和服务器-服务器通信使用不同的认证方案。备选地,第一和第二认证上下文可以相同。根据实施例,认证模块207可基于不同标准(例如UE 103的能力、客户端应用的能力、网络负载等)确定和实现期望的第二认证上下文。
此外,如上所述,数据收集模块203可从客户端应用(例如图1的客 户端应用111)接收从例如应用服务器(例如应用服务器107a-107n的一个或多个)提取数据的请求。由于代理服务器113已经验证了客户端应用的第一认证上下文,所以来自客户端应用的数据提取请求基于第二认证上下文。确认模块205和/或认证模块207确认第二认证上下文,并与数据收集模块203交互以基于第一认证上下文将数据提取请求转发至期望的应用服务器。数据收集模块203可基于第一认证上下文从应用服务器接收请求数据,并基于第二认证上下文将提取的数据转发至客户端应用。
此外,代理模块113可包括可选的业务控制模块209。根据一个实施例,由于来自用户设备(例如UE 103)和/或客户端应用的请求经过代理模块113,所以业务控制模块209可监视对于应用服务器(例如应用服务器107a-107n)的数据请求,并可依据请求负载采取行动(例如阻止、重新路由、延迟等)。
图3是根据一个实施例的实现第二认证上下文的处理的流程图。一个实施例中,代理模块113执行处理300,并实现在例如包括如图7所示的处理器和存储器的芯片集中。
在步骤301,接收发起服务会话的请求。一个实施例中,该请求从用户设备(例如UE 103)的客户端应用(例如客户端应用111)接收,以发起与应用服务器(例如应用服务器107a-107n的一个或多个)的服务会话。一个实例中,接收的请求包括第一认证上下文。如之前讨论地,一个实施例中,第一认证上下文可包括令牌或cookie。在步骤303,请求第一认证上下文的验证。一个实例中,将验证请求发送至认证服务器(例如图1的认证服务器105),以验证第一认证上下文。
在步骤305,接收验证响应。一个实例中,例如从图1的认证服务器105接收验证响应。根据实施例,向认证服务器105发送的验证请求包括第一认证上下文,其可包括例如令牌或cookie。这个实施例中,认证服务器105可将接收的令牌与先前发出的令牌相比较,并确定第一认证上下文是否有效。额外地或备选地,验证请求可包括cookie。认证服务器105确定cookie例如是否通过有效用户名和密码加密,并基于确定生成验证响应。
在步骤307,至少部分地基于验证作出第一认证上下文是否有效的判定。例如,如果认证服务器105确定由第一认证上下文指定的令牌是有效令牌,则由第一认证上下文指示的cookie通过有效用户名和密码等加密。某些实施例中,验证响应可包括第一认证上下文被验证并有效的指示符。
如果确定第一认证上下文有效,则在步骤309,例如通过请求服务会话的发起的客户端应用111来实现第二认证上下文。第二认证上下文(例如在UE 103和代理服务器101之间建立的客户端-服务器认证上下文)可包括任意认证协议,例如密码认证协议、安全远程密码协议、密码认证的密钥协定协议等。根据一个实施例(未示出),在步骤309,基于期望的第二认证上下文作出有效性的确定。一个实例中,这个确定可至少部分地基于通过请求接收的信息。这个实例中,从客户端应用111和/或UE 103接收的请求可包括由客户端应用111和/或UE 103和由代理服务器101支持的优选认证方案。因此,可基于由客户端应用111和/或UE 103指示的优选认证方案来实现第二认证上下文(例如在UE 103和代理服务器101之间建立的客户端-服务器认证上下文)。
图4A和4B是根据各个实施例的基于第一和第二认证上下文的数据提取的处理的流程图。一个实施例中,代理服务器101的代理模块113执行处理400和410,并实现在例如包括如图7所示的处理器和存储器的芯片集中。
在步骤401,接收在服务会话上提取数据的请求。一个实施例中,该请求例如从图1的客户端应用111接收,以从例如应用服务器107a访问和提取数据。这个实施例中,使用第二认证上下文通过客户端应用111来实现服务会话。通过实例,服务会话的实现包括:(1)客户端应用111通过代理模块113请求服务会话的发起;(2)代理模块113验证第一认证上下文;和(3)代理模块113至少部分地基于第一认证上下文的验证实现第二认证上下文(例如在UE 103和代理模块113之间建立的客户端-服务器认证上下文)。
在步骤403,代理模块113检查第二认证上下文以确定其有效性。一 个实例中,第二认证上下文(例如在UE 103和代理模块113之间建立的客户端-服务器认证上下文)可根据第二认证方案(例如在UE 103和代理模块113之间建立的客户端-服务器认证方案)包括与客户端应用11的证书(和/或客户端应用111的用户)相关的信息。这个实例中,代理模块113可将与客户端应用111的证书相关的信息相比于先前存储的与客户端应用111相关的认证信息,后者是例如在第二认证上下文的实现期间(例如图3的步骤309)建立的。第二认证上下文的有效性的确定例如基于这个比较。
如果确定第二认证上下文有效,则在步骤405,发起在服务会话上的数据提取。根据一个实施例,在图4B中更详细地说明步骤405。一个实例中,可作为图4A的处理400的步骤405来实现基于服务器-服务器认证上下文(第一认证上下文)提取数据的图4B的处理410。当确定从例如应用111接收的第二认证上下文有效时,在步骤411,发起与应用服务器(例如应用服务器107a)的连接。这个连接至少部分地基于第一认证上下文(例如由认证服务器105实现的服务器-服务器认证上下文)。在步骤413,如果第一认证上下文(例如由认证服务器105实现的服务器-服务器认证上下文)有效,则从应用服务器107提取所请求的数据。在步骤415,至少部分地基于第二认证上下文(例如在UE 103和代理服务器101之间建立的客户端-服务器认证上下文)将提取的数据发送至例如请求数据的客户端应用111。一个实施例中,返回的数据可以是网页、多媒体数据(例如视频、音乐文件、图像)等。
图5是根据一个实施例的示出提供用于客户端-服务器和服务器-服务器通信的认证上下文的分离的消息和处理序列的时序图。通过垂直线表示网络处理。通过水平箭头表示从一个处理向另一个传递的消息。通过文本指示由处理执行的步骤。图5中所示的处理是(UE 103的)客户端应用111、代理服务器101、认证服务器105、和应用服务器107。图5的实例讨论提供用于客户端-服务器和服务器-服务器通信的认证上下文的分离的处理500。
在501,(UE 103的)客户端应用111依据认证服务器105认证自身。 一个实施例中,从客户端应用111向认证服务器105传递的消息501可包括客户端应用111的证书、UE 103的用户等。一个实例中,证书可包括用户名、密码、一次性密码、消费者密钥、机密密钥、生物统计等。认证服务器105确认从客户端应用111接收的证书(在503),并生成/提取和发送第一认证上下文(例如令牌或cookie)至客户端应用111(在505)。
在507,客户端应用111通过发起服务会话的请求联系代理服务器101。一个实施例中,如果客户端应用111的认证上下文没有被代理服务器101验证/确认(例如,之前接收的客户端应用111过期的第一认证上下文以及客户端应用111接收了新的第一认证上下文),则服务会话发起请求507可包括该第一认证上下文(例如由认证服务器105生成/提取的令牌和/或cookie)。
接下来,代理服务器101确认/验证所接收的第一认证上下文。一个实施例中,代理服务器101生成并向认证服务器105发起验证请求的传输,以验证第一认证上下文的有效性(在509)。认证服务器105验证第一认证上下文(在511),并将验证响应传送至代理服务器101(513)。在515,依据从客户端应用111接收的完成或信息,代理服务器101确定期望的认证协议并通过客户端应用111实现第二认证上下文。因此,根据一个实施例,在客户端应用111和代理服务器101之间的通信可至少部分地基于第二认证上下文。
根据一个实施例,在客户端应用111的第一认证上下文被代理服务器验证和确认并且实现了第二认证上下文之后,客户端应用111通过提取数据的请求联系代理服务器101(在517)。请求517可基于在客户端应用111和代理服务器101之间实现的第二认证上下文,并且可包括关于应用服务器107的信息。在519,代理服务器101可确认第二认证上下文并且如果认证上下文有效,则代理服务器101可发起与应用服务器107的通信(在521)。
根据一个实施例,代理服务器101还可控制对应用服务器107的数据提取请求。例如,当代理服务器101从客户端应用111接收请求517时, 代理服务器101可确定请求517所指向的应用服务器107。此外,代理服务器101可确定对于应用服务器107的数据业务的量。如果代理服务器101确定例如应用服务器107的数据业务大于预定阈值,则代理服务器101可采取动作,例如阻止请求517、将请求延迟稍晚的时间(如果由请求517的服务测量的质量允许)、将请求517重新路由至访问所请求的数据的另一应用服务器等。可设想,也可实现用于确定应用服务器上的负载的任意其他标准。
在521,代理服务器101与应用服务器107通信,以请求由客户端应用所请求的数据的提取。一个实施例中,通信521基于第一认证上下文。在523,应用服务器107提取并发送所请求的数据至代理服务器101。在525,将提取的数据从代理服务器101发送至客户端应用111。
处理500示出了有利地分离用于客户端-服务器和服务器-服务器通信的认证上下文和/或认证协议。例如,在客户端应用111和代理服务器101之间的通信可基于第二认证上下文实现,并且在代理服务器101和应用服务器107之间的通信可基于第一认证上下文来实现,如上所述。因此,可消除对于客户端-服务器和服务器-服务器通信两者实现相同的认证方案的需求。
此外,根据另一实施例,由于可依据代理服务器101来认证客户端应用111并且可实现第二认证上下文,所以可将来自客户端应用111的进一步的数据提取请求(只要第二认证上下文有效)转发至应用服务器107并且将提取的数据发送至客户端应用111,而无需应用服务器107接触认证服务器105针对每个数据请求进行认证上下文的验证。因此,根据一个实施例,明显地减少了在应用服务器107和/或认证服务器105上的处理的负载。
这里所述的提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离的处理可能有利地通过软件、硬件(例如通用处理器、数字信号处理器(DSP)芯片、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等)、固件或它们的组合来实现。下面详细介绍用于执行上 述功能的这种示例性硬件。
图6示出可在上面实现本发明实施例的计算机系统600。尽管关于特定设备或状态示出了计算机系统600,可设想,图6中的其他装置或设备(例如网络元件、服务器等)可部署系统600的图示的硬件和组件。计算机系统600被编程(例如经由计算机程序代码或指令)以提供此处介绍的客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离,并且包括例如总线610的通信机构,用于在计算机系统600的其他内部和外部组件之间传递信息。信息(还称为数据)表示成可测量现象的物理表达,典型地为电压,但在其他实施例中包括例如磁、电磁、压力、化学、生物、分子、原子、亚原子和量子交互的现象。例如,南北磁场、或零和非零电压代表二进制数字(比特)的两个状态(0,1)。其他现象可代表更高基数的数字。在测量之前多个同时量子状态的重叠代表量子比特(qubit)。一个或多个数字的序列构成用于代表字符的数目或代码的数字数据。在一些实施例中,称为模拟数据的信息通过特定范围内的可测量值的接近闭联集来表示。计算机系统600,或其一部分,构成用于执行提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离的一个或多个步骤的部件。
总线610包括一个或多个并行的信息导体,从而在耦合至总线610的设备之间快速传送信息。用于处理信息的一个或多个处理器602与总线610耦合。
处理器602如与提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离相关的计算机程序代码指定的那样执行对于信息的一组操作。计算机程序代码是提供用于处理器的操作和/或计算机系统的指令的一组指令或语句,以执行特定功能。代码例如可用计算机编程语言编写,其被编译成处理器的原始指令集。代码还可使用原始指令集(例如机器语言)直接编写。该组操作包括从总线910带入信息并且将信息置于总线610上。该组操作还典型地包括比较两个或更多个信息单元,移动信息单元的位置,并且合并两个或更多个信息单元(例如通过加或乘或逻辑 运算,如OR,异OR(XOR)和AND)。可由处理器执行的该组操作的每个操作通过称为指令的信息来向处理器表示,例如一个或多个数字的操作代码。处理器602要执行的操作的序列(例如操作代码的序列)构成处理器指令,还称为计算机系统指令,或简单地计算机指令。处理器可实现为机械、电、磁、光、化学或量子组件,其中可以是单独的或组合的。
计算机系统600还包括耦合至总线610的存储器604。存储器604(例如随机存取存储器(RAM)或其他动态存储装置)存储包括提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离的处理器指令的信息。动态存储器允许其中存储的信息由计算机系统600改变。RAM允许在称为存储器地址的位置存储的信息单元独立于相邻地址被存储和提取。存储器604还由处理器602使用,以存储在处理器指令的执行期间的临时值。计算机系统900还包括只读存储器(ROM)606和耦合至总线610的其他静态存储装置,用于存储不可由计算机系统600改变的静态信息,包括指令。一些存储器包括易失性存储装置,当失去电力时其丢失在上面存储的信息。耦合至总线610的还有非易失性(永久性)存储装置608,例如磁盘、光盘或闪速卡,用于存储即使当计算机系统600关闭或失去电力时仍旧持续的信息,包括指令。
可从外部输入设备612(例如键盘,包含人工用户操作的字母数字键,或传感器)向总线610提供信息(包括用于提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离的指令)供处理器使用。传感器检测其周围的条件,并且将那些条件转换成物理表达,其兼容于可测量现象以用于代表计算机系统600中的信息。耦合至总线610的其他外部设备(主要用于与人工交互)包括显示器设备614,例如阴极射线管(CRT)或液晶显示器(LCD)、或呈现文本和图像的等离子屏或打印机,以及定点设备616,例如鼠标或跟踪球或指针定向键、或运动传感器,用于控制在显示器614上呈现的小光标图像的位置以及发出与显示器614上呈现的图形元素相关的命令。在一些实施例中,例如,在计算机系统600自动执行所有功能而无需人工输入时,忽略外部输入设备612、显示器设备614 和定点设备616中的一个或多个。
在所示实施例中,专用硬件(例如专用集成电路(ASIC)620)耦合至总线610。专用硬件被配置为为了专用目的足够快速地执行并未由处理器602执行的操作。专用IC的实例包括:图形加速器卡,用于生成针对显示器614的图像;密码板,用于加密和解密在网络上发送的消息;语音识别;以及对于特殊外部设备的接口,例如机器臂和医学扫描设备,其重复执行在硬件中更加有效实施的操作的一些复杂序列。
计算机系统600还包括耦合至总线610的通信接口670的一个或多个示例。通信接口670提供对于用他们自身处理器运行的各种外部设备(例如打印机、扫描仪和外部盘)的单向或双向通信耦合。一般地,耦合利用与本地网络680连接的网络链路678,具有他们自身处理器的各种外部设备连接至局部网络680。例如,通信接口670可以是个人计算机上的并行端口或串行端口或通用串行总线(USB)端口。在一些实施例中,通信接口670是向相应类型的电话线路提供信息通信连接的集成服务数字网络(ISDN)卡或数字订户线路(DSL)卡或电话调制解调器。在一些实施例中,通信接口670是将总线610上的信号转换成用于在同轴电缆上通信连接的信号或转换成用于在光纤电缆上通信连接的光学信号的电缆调制解调器。作为另一实例,通信接口670可以是向兼容LAN(例如以太网)提供数据通信连接的局域网(LAN)卡。也可实施无线链路。对于无线链路,通信接口670发送或接收或既发送又接收电、声或电磁信号,包括红外和光学信号,其承载例如数字数据的信息流。例如,在无线手持设备(例如像蜂窝电话的移动电话)中,通信接口670包括无线电带电磁发送器和接收器,称为无线电收发器。某些实施例中,通信接口670使能实现到通信网络105的连接,用于对UE 103的提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离。
这里使用术语“计算机可读介质”来表示参与到向处理器602提供信息(包括用于执行的指令)的任意介质。这样的介质可采用许多形式,包括但不限于,非易失性介质、易失性介质、和传输介质。非易失性介质包 括例如光或磁盘,例如存储装置608。易失性介质包括例如动态存储器904。传输介质包括例如同轴电缆、铜线、光纤电缆、和载波,其在无需布线或电缆的情况下通过空间行进,例如声波和电磁波,包括无线电、光和红外波。信号包括在通过传输介质发送的振幅、频率、相位、极化或其他物理属性的人工瞬间改变。计算机可读介质的通用形式包括例如软盘、灵活盘、硬盘、磁带、任意其他磁介质、CD-ROM、CDRW、DVD、任意其他光学介质、穿孔卡、纸带、光学标记表、具有孔或其他光学可识别特征的模式的任意其他物理介质,RAM、PROM、EPROM、FLASH-EPROM、任意其他存储器芯片或盒、载波、计算机可从中读取的任意其他介质。这里使用术语计算机可读存储介质,以指代除了传输介质的任何计算机可读介质。
一个或多个有形介质中编码的逻辑包括在计算机可读存储介质和专用硬件,例如ASIC 620上的一个或两个处理器指令。
网络链路678典型地通过一个或多个网络使用传输介质向使用或处理信息的其他设备提供信息通信。例如,网络链路678可向因特网服务提供商(ISP)操作的主机计算机682或设备684提供通过局域网680的连接。ISP设备684随后通过网络的公共、世界分组交换通信网络(现在统称为因特网690)提供数据通信服务。
计算机(称为服务器主机692,连接至因特网)托管响应于因特网上接收的信息提供服务的处理。例如,服务器主机692托管提供表示视频数据的信息,用于在显示器614呈现的处理。可设想,系统600的组件可部署在其他计算机系统,例如主机682和服务器692中的各个配置中。
本发明的至少一些组合涉及用于实现这里所述的一些或全部技术的计算机系统600的使用。根据本发明的一个实施例,通过计算机系统600执行那些技术,以响应于处理器602执行存储器604中包含的一个或多个处理器指令的一个或多个序列。这样的指令(还称为计算机指令、软件和程序代码)可从另一计算机可读介质(例如存储设备608或网络链路678)读入存储器604。存储器604中包含的指令的序列的执行使得处理器602执行这里所述的一个或多个方法步骤。在备选实施例中,可使用硬件(例 如ASIC 620)代替或与实现本发明的软件组合。因此,本发明的实施例不限于硬件和软件的任意特定组合,除非这里明确阐述。
通过通信接口670在网络链路678和其他网络上发送的信号向和从计算机系统600承载信息。计算机系统600可通过网络680、690等,通过网络链路678和通信接口670发送和接收包括程序代码的信息。在使用因特网690的实例中,服务器主机692通过因特网690、ISP设备684、本地网络680和通信接口670发送用于特定应用的由从计算机600发送的消息请求的程序代码。接收的代码可,在其被接收时通过处理器602执行,或者可存储于存储器604或存储设备608或其他非易失性存储设备用于随后执行,或两者。这样,计算机系统600可在载波上以信号的形式获得应用程序代码。
各种形式的计算机可读介质可包含于向处理器602承载一个或多个指令或数据或两者中用于执行。例如,指令和数据可初始被承载在例如主机682的远程计算机的磁盘上。远程计算机将指令和数据加载至其动态存储器,并使用调制解调器在电话线上发送指令和数据。对于计算机系统600本地的调制解调器在电话线上接收指令和数据,并使用红外发送器将指令和数据转换成在用作网络链路678的红外载波上的信号。用作通信接口670的红外检测器接收在红外信号中承载的指令和数据,并将表示指令和数据的信息放在总线610上。总线610将信息承载至存储器604,处理器602从存储器604中提取并使用通过指令发送的一些数据执行指令。在处理器602执行之前或之后,存储器904中接收的指令和数据可选地可存储在存储设备608上。
图7示出在上面可实现本发明实施例的芯片集700。芯片集700被编程以提供这里所述的客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离,并且包括例如结合在一个或多个物理包(例如芯片)中关于图6所述的处理器和存储器组件。作为示例,物理包包括结构配件(例如基板)上的一个或多个材料、组件、和/或布线的安排,以提供例如物理强度、尺寸的保持、和/或电交互的限制的一个或多个特征。可设想, 某些实施例中,芯片集可以在单一芯片中实现。芯片集700、或其一部分构成用于执行提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离的一个或多个步骤的部件。
在一个实施例中,芯片集700包括在芯片集700的组件之间传递信息的例如总线701的通信机构。处理器703具有到总线701的连接,以执行指令和处理例如在存储器705中存储的信息。处理器703可包括一个或多个处理核,其每个核被配置为独立执行。多核处理器使得能够在一个物理包中进行多处理。多核处理器的实例包括两个、四个、八个或更大数目个处理核。备选地或额外地,处理器703可包括一个或多个微处理器,其经由总线701串联配置为能够独立执行指令、流水线和多线程。处理器703还可伴随有执行某些处理功能和任务的一个或多个专用组件,例如一个或多个数字信号处理器(DSP)707、或一个或多个专用集成电路(ASIC)709。DSP 707典型地被配置为独立于处理器703实时处理真实世界的信号(例如声音)。类似地,ASIC 709可被配置为执行由通用处理器不容易执行的专用功能。辅助执行这里所述的发明功能的其他专用组件包括一个或多个场可编程门阵列(FPGA)(未示出)、一个或多个控制器(未示出)、或一个或多个其他专用计算机芯片。
处理器703和伴随组件具有经由总线701到存储器705的连接。存储器705包括动态存储器(例如RAM、磁盘、可写光盘等)和静态存储器(例如ROM、CD-ROM等),用于存储可执行指令,其当执行时执行这里所述的发明步骤以提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离。存储器705还存储与发明步骤的执行相关的数据或由其生成的数据。
图8是根据本发明示例性实施例的能够在图1的系统中操作的移动站(例如手机)的示例性组件的视图。一些实施例中,移动终端800或其一部分构成用于执行提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离的一个或多个步骤的部件。一般地,无线电接收器通常用前端和后端特征方面定义。接收器的前端涵盖所有射频(RF)电路, 然而后端涵盖所有基带处理电路。本申请中,术语“电路”表示以下两者:(1)仅硬件实现(例如仅模拟和/或数字电路中实现);(2)电路和软件的组合(和/或固件)(例如,如果适用于特定环境,处理器的组合,其包括数字信号处理器、软件、和存储器,它们在一起工作以使得装置(例如移动电话或服务器)执行各个功能)。“电路”的这个定义应用于本申请中这个方面的所有使用,包括任意权利要求。作为其他实例,如这个应用中使用的那样,如果适用于特定环境,术语“电路”还覆盖仅处理器(或多个处理器)及其(或它们的)伴随软件/固件的实现方式。术语“电路”还覆盖如果适合于特定环境,例如移动电话中的基带集成电路或应用处理器集成电路或蜂窝网络设备或其他网络设备中的类似集成电路。
电话的持久性内部组件包括主控制单元(MCU)803、数字信号处理器(DSP)805、和接收器/发送器单元,其包括麦克风增益控制单元和扬声器增益控制单元。主显示器单元807在执行或支持提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离的步骤的各个应用和移动站功能的支持下向用户提供显示。显示器11包括配置为显示移动终端(例如移动电话)的用户界面的至少一部分的显示器电路。此外,显示器807和显示器电路被配置为便于移动终端的至少一些功能的用户控制。音频功能电路809包括麦克风811和麦克风放大器,其放大来自麦克风811的音频信号输出。放大的来自麦克风811的音频信号输出被馈送至编码器/解码器(CODEC)813。
无线电站815放大功率和转换频率,以经由天线817与包括在移动通信系统中的基站通信。功率放大器(PA)819和发送器/调制电路操作地响应于MCU 803,来自PA 819的输出耦合至本领域已知的双工器821或循环器或天线开关。PA 819还耦合至电池接口和功率控制单元820。
在使用中,移动站801的用户向麦克风811中说话,并且他或她的语音与任意检测到的背景噪声一起转换成模拟电压。模拟电压然后通过模数转换器(ADC)823转换成数字信号。控制单元803将数字信号路由至DSP805中用于其中的处理,例如语音编码、信道编码、加密、和交错。在示 例性实施例中,通过未单独示出的单元,使用蜂窝传输协议(例如全球演进(EDGE)、通用分组无线业务(GPRS)、全球移动通信系统(GSM)、因特网协议多媒体子系统(IMS)、通用移动电信系统(UMTS)等)以及任意其他适合的无线介质(例如微波接入(WiMAX)、长期演进(LTE)网络、码分多址(CDMA)、宽带码分多址(WCDMA)、无线保真(WiFi)、卫星等)来编码处理后的语音信号。
然后,编码的信号路由至均衡器825,用于补偿在通过空中接口的传输期间发生的任意频率依赖性的损害(例如相位和振幅失真)。在均衡比特流之后,调制器827将信号与RF接口829中生成的RF信号结合。调制器827通过频率或相位调制生成正弦波。为了准备用于传输的信号,上变频器831将来自调制器827的正弦波输出与合成器833中生成的另一正弦波结合,以实现期望的传输频率。然后,信号通过PA 819发送,以将信号增加至适当功率水平。在实践性系统中,PA 819用作可变增益放大器,其增益由DSP 805根据从网络基站接收的信息来控制。然后,信号在双工器821中滤波,并且可选地发送至天线耦合器835,以匹配阻抗,提高最大功率传送。最后,信号经由天线817发送至本地基站。可提供自动增益控制(AGC),以控制接收器的最后阶段的增益。信号可从那里转发至远程电话,其可以是另一蜂窝电话、其他移动电话或连接至供给交换电话网(PSTN)的陆上线路、或其他电话网络。
向移动站801发送的语音信号经由天线817接收,并通过低噪声放大器(LNA)837立即放大。下变频器839降低载波频率,同时解调器841剥离RF,仅留下数字比特流。然后,信号经过均衡器825,并由DSP 805处理。数模转换器(DAC)843转换信号,并且得到的输出通过扬声器845发送至用户,所有都在主控制单元(MCU)803的控制下——其可作为中央处理单元(CPU)(未示出)来实现。
MCU 803从键盘847接收包括输入信号的各个信号。键盘847和/或MCU 803与其他用户输入组件(例如麦克风811)结合,包括用于管理用户输入的用户接口电路。MCU 803运行用户接口软件以便于对移动终端 801的至少部分功能的用户控制,以提供客户端-服务器和服务器-服务器通信的认证协议和/或认证上下文的分离。MCU 803还将显示命令和切换命令分别传送至显示器807和语音输出切换控制器。此外,MCU 803与DSP805交换信息,并且可访问可选地并入的SIM卡849和存储器851。此外,MCU 803执行终端的所需的各种控制功能。DSP 805可依据实现方式,对语音信号执行各种传统数字处理功能中的任一个。此外,DSP 805从麦克风811检测的信号确定本地环境的背景噪声电平,并将麦克风811的增益设置为被选择以补偿移动站801的用户的自然倾向的电平。
CODEC 813包括ADC 823和DAC 1143。存储器851存储各种数据,包括呼叫输入音调数据,并且能够存储其他数据,包括经由例如全球因特网接收的音乐数据。软件模块可位于RAM存储器、闪存、寄存器、或本领域已知的任意其他形式的可写存储装置中。存储器设备851可以是但不限于,单存储器、CD、DVD、ROM、RAM、EEPROM、光存储装置、或能够存储数字数据的任意其他非易失性存储介质。
可选地并入的SIM卡849承载例如重要信息,如蜂窝电话号码、载波提供服务、订购细节、和安全信息。SIM卡849主要用于识别无线电网络上的移动终端801。卡849还包含用于存储个人电话号码登记表、文本消息、和用户特定的移动终端设置的存储器。
尽管结合多个实施例和实施方案描述了本发明,但是本发明不限于此,可覆盖落入所附权利要求范围内的各种明显修改和等同配置。尽管在权利要求中以某些组合表示了本发明的特征,但是可设想,这些特征可按任意组合和顺序安排。
Claims (20)
1.一种用于提供基于认证上下文的会话的方法,包括:
接收来自客户端的发起服务会话的请求,其中所述请求包括由认证服务器确定的第一认证上下文;
从认证服务器进行的第一认证上下文的验证;
至少部分地基于所述验证进行的所述第一认证上下文的确认;以及
至少部分地基于第一认证上下文的验证进行的第二认证上下文的实现以发起所述服务会话;
在所述服务会话上提取数据的另一请求;
使用所述第二认证上下文进行的所述另一请求的认证;以及
使用所述第一认证上下文进行的在所述服务会话上的数据的提取的发起。
2.如权利要求1所述的方法,其中所述第一认证上下文至少部分地基于适用于多个服务的单签约认证协议。
3.如权利要求1-2中任一项所述的方法,其中使用可信域在所述服务会话上提取数据。
4.如权利要求1-2中任一项所述的方法,还包括:
是否实现所述第二认证上下文的确定;以及
如果所述确定为未实现所述第二认证上下文,则所述第一认证上下文的使用以代替所述第二认证上下文。
5.如权利要求3所述的方法,还包括:
是否实现所述第二认证上下文的确定;以及
如果所述确定为未实现所述第二认证上下文,则所述第一认证上下文的使用以代替所述第二认证上下文。
6.如权利要求1-2、5中任一项所述的方法,其中所述第一认证上下文包括有限的使用密钥、密钥、消费者密钥、访问令牌、或其组合。
7.如权利要求3所述的方法,其中所述第一认证上下文包括有限的使用密钥、密钥、消费者密钥、访问令牌、或其组合。
8.如权利要求4所述的方法,其中所述第一认证上下文包括有限的使用密钥、密钥、消费者密钥、访问令牌、或其组合。
9.一种用于提供基于认证上下文的会话的装置,包括:
用于接收来自客户端的发起服务会话的请求的部件,其中所述请求包括由认证服务器确定的第一认证上下文;
用于从认证服务器请求第一认证上下文的验证的部件;
用于至少部分地基于所述验证确认所述第一认证上下文的部件;以及
用于至少部分地基于第一认证上下文的验证实现第二认证上下文以发起所述服务会话的部件;
用于接收在所述服务会话上提取数据的另一请求的部件;
用于使用所述第二认证上下文认证所述另一请求的部件;以及
用于使用所述第一认证上下文发起在所述服务会话上的数据的提取的部件。
10.如权利要求9所述的装置,其中所述第一认证上下文至少部分地基于适用于多个服务的单签约认证协议。
11.如权利要求9-10中任一项所述的装置,其中使用可信域在所述服务会话上提取数据。
12.如权利要求9-10中任一项所述的装置,其中还使得所述装置:
确定是否实现所述第二认证上下文;以及
如果所述确定为未实现所述第二认证上下文,则使用所述第一认证上下文以代替所述第二认证上下文。
13.如权利要求11所述的装置,其中还使得所述装置:
确定是否实现所述第二认证上下文;以及
如果所述确定为未实现所述第二认证上下文,则使用所述第一认证上下文以代替所述第二认证上下文。
14.如权利要求9-10、13中任一项所述的装置,其中所述第一认证上下文包括有限的使用密钥、密钥、消费者密钥、访问令牌、或其组合。
15.如权利要求11所述的装置,其中所述第一认证上下文包括有限的使用密钥、密钥、消费者密钥、访问令牌、或其组合。
16.如权利要求12所述的装置,其中所述第一认证上下文包括有限的使用密钥、密钥、消费者密钥、访问令牌、或其组合。
17.一种用于提供基于认证上下文的会话的装置,包括用于执行权利要求1-8中任一项的方法的部件。
18.一种用于提供基于认证上下文的会话的方法,包括:促进访问至少一个接口,其被配置为允许访问至少一个服务,所述至少一个服务被配置为执行权利要求1-8中的任一项的方法。
19.一种用于提供基于认证上下文的会话的方法,包括:促进建立和/或促进修改至少一个设备用户接口元件和/或功能,所述至少一个设备用户接口元件和/或功能至少部分地基于:
从权利要求1-8中的任一项的方法得到的数据和/或信息;和/或从权利要求1-8中的任一项的方法得到的至少一个信号。
20.一种用于提供基于认证上下文的会话的方法,包括:建立和/或修改至少一个设备用户接口元件和/或功能,所述至少一个设备用户接口元件和/或功能至少部分地基于:
从权利要求1-8中的任一项的方法得到的数据和/或信息;和/或从权利要求1-8中的任一项的方法得到的至少一个信号。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/707,097 | 2010-02-17 | ||
| US12/707,097 US8850554B2 (en) | 2010-02-17 | 2010-02-17 | Method and apparatus for providing an authentication context-based session |
| PCT/FI2011/050066 WO2011101531A1 (en) | 2010-02-17 | 2011-01-28 | Method and apparatus for providing an authentication context-based session |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102763395A CN102763395A (zh) | 2012-10-31 |
| CN102763395B true CN102763395B (zh) | 2015-10-21 |
Family
ID=44370559
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180009803.8A Active CN102763395B (zh) | 2010-02-17 | 2011-01-28 | 提供基于认证上下文的会话的方法和装置 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8850554B2 (zh) |
| EP (1) | EP2537315B1 (zh) |
| CN (1) | CN102763395B (zh) |
| WO (1) | WO2011101531A1 (zh) |
Families Citing this family (100)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1466261B1 (en) | 2002-01-08 | 2018-03-07 | Seven Networks, LLC | Connection architecture for a mobile network |
| US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
| WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
| US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
| US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
| US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
| US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
| US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
| EP3651028A1 (en) | 2010-07-26 | 2020-05-13 | Seven Networks, LLC | Mobile network traffic coordination across multiple applications |
| US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
| KR101770297B1 (ko) * | 2010-09-07 | 2017-09-05 | 삼성전자주식회사 | 온라인 서비스 접속 방법 및 그 장치 |
| WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
| CN103404193B (zh) | 2010-11-22 | 2018-06-05 | 七网络有限责任公司 | 调校数据传输以优化为通过无线网络的传输建立的连接 |
| US9965613B2 (en) * | 2010-12-03 | 2018-05-08 | Salesforce.Com, Inc. | Method and system for user session discovery |
| US8327006B2 (en) * | 2011-02-24 | 2012-12-04 | Jibe Mobile | Endpoint device and article of manufacture for application to application communication over a network |
| US8949951B2 (en) | 2011-03-04 | 2015-02-03 | Red Hat, Inc. | Generating modular security delegates for applications |
| US9112682B2 (en) | 2011-03-15 | 2015-08-18 | Red Hat, Inc. | Generating modular security delegates for applications |
| GB2493473B (en) | 2011-04-27 | 2013-06-19 | Seven Networks Inc | System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief |
| US20120297015A1 (en) * | 2011-05-19 | 2012-11-22 | Third Solutions, Inc. | System and method for building data relevant applications |
| US8635671B2 (en) * | 2011-05-31 | 2014-01-21 | Red Hat, Inc. | Systems and methods for a security delegate module to select appropriate security services for web applications |
| US9081951B2 (en) * | 2011-09-29 | 2015-07-14 | Oracle International Corporation | Mobile application, identity interface |
| US8966572B2 (en) | 2011-09-30 | 2015-02-24 | Oracle International Corporation | Dynamic identity context propagation |
| US8918503B2 (en) | 2011-12-06 | 2014-12-23 | Seven Networks, Inc. | Optimization of mobile traffic directed to private networks and operator configurability thereof |
| US9117062B1 (en) * | 2011-12-06 | 2015-08-25 | Amazon Technologies, Inc. | Stateless and secure authentication |
| WO2013086225A1 (en) | 2011-12-06 | 2013-06-13 | Seven Networks, Inc. | A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation |
| US9009250B2 (en) | 2011-12-07 | 2015-04-14 | Seven Networks, Inc. | Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation |
| US9292670B2 (en) * | 2012-02-29 | 2016-03-22 | Infosys Limited | Systems and methods for generating and authenticating one time dynamic password based on context information |
| US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
| US8806589B2 (en) * | 2012-06-19 | 2014-08-12 | Oracle International Corporation | Credential collection in an authentication server employing diverse authentication schemes |
| US9485102B2 (en) * | 2012-06-27 | 2016-11-01 | Intel Corporation | Techniques for user-validated close-range mutual authentication |
| US8775631B2 (en) | 2012-07-13 | 2014-07-08 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
| WO2014027998A1 (en) | 2012-08-14 | 2014-02-20 | Empire Technology Development Llc | Updating a currently utilized device |
| US9690925B1 (en) * | 2012-08-30 | 2017-06-27 | Symantec Corporation | Consumption control of protected cloud resources by open authentication-based applications in end user devices |
| US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US8750123B1 (en) | 2013-03-11 | 2014-06-10 | Seven Networks, Inc. | Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network |
| US10223926B2 (en) | 2013-03-14 | 2019-03-05 | Nike, Inc. | Skateboard system |
| US12073740B2 (en) | 2013-03-14 | 2024-08-27 | Nike, Inc. | Skateboard system |
| WO2014152601A1 (en) | 2013-03-14 | 2014-09-25 | Nike, Inc. | Athletic attribute determinations from image data |
| US9154488B2 (en) * | 2013-05-03 | 2015-10-06 | Citrix Systems, Inc. | Secured access to resources using a proxy |
| CN105637919A (zh) | 2013-06-11 | 2016-06-01 | 七网络有限责任公司 | 优化无线网络中的保活和其他后台流量 |
| US9288206B2 (en) * | 2013-07-09 | 2016-03-15 | Empire Technology Development Llc | Shared secret techniques for ubiquitous computing devices |
| US9065765B2 (en) * | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
| US9553867B2 (en) | 2013-08-01 | 2017-01-24 | Bitglass, Inc. | Secure application access system |
| US10122714B2 (en) * | 2013-08-01 | 2018-11-06 | Bitglass, Inc. | Secure user credential access system |
| US9552492B2 (en) | 2013-08-01 | 2017-01-24 | Bitglass, Inc. | Secure application access system |
| US9521146B2 (en) * | 2013-08-21 | 2016-12-13 | Microsoft Technology Licensing, Llc | Proof of possession for web browser cookie based security tokens |
| KR101859189B1 (ko) * | 2013-09-05 | 2018-05-18 | 나이키 이노베이트 씨.브이. | 물리적 활동의 캡쳐 이미지 데이터를 갖는 세션의 수행 및 토큰 검증가능 프록시 업로더를 사용한 업로딩 |
| JP6287401B2 (ja) * | 2014-03-18 | 2018-03-07 | 富士ゼロックス株式会社 | 中継装置、システム及びプログラム |
| JP6346478B2 (ja) * | 2014-03-20 | 2018-06-20 | キヤノン株式会社 | 中継装置、中継方法、中継システム、及びプログラム |
| EP3138011A4 (en) * | 2014-04-29 | 2017-10-18 | Twitter, Inc. | Inter-application delegated authentication |
| US9646149B2 (en) | 2014-05-06 | 2017-05-09 | Microsoft Technology Licensing, Llc | Accelerated application authentication and content delivery |
| US9813238B2 (en) | 2014-09-26 | 2017-11-07 | Empire Technology Development Llc | Mobile security using context patterns |
| KR102036758B1 (ko) | 2014-09-30 | 2019-10-28 | 사이트릭스 시스템스, 인크. | 빠른 스마트 카드 로그온 및 연합된 풀 도메인 로그온 |
| US10841316B2 (en) | 2014-09-30 | 2020-11-17 | Citrix Systems, Inc. | Dynamic access control to network resources using federated full domain logon |
| JP2016085641A (ja) * | 2014-10-27 | 2016-05-19 | キヤノン株式会社 | 権限移譲システム、権限移譲システムにて実行される方法、およびそのプログラム |
| US10285053B2 (en) * | 2015-04-10 | 2019-05-07 | Futurewei Technologies, Inc. | System and method for reducing authentication signaling in a wireless network |
| CN106302332B (zh) * | 2015-05-22 | 2019-10-15 | 阿里巴巴集团控股有限公司 | 用户数据的访问控制方法、装置及系统 |
| ES2828948T3 (es) * | 2015-07-02 | 2021-05-28 | Telefonica Cibersecurity & Cloud Tech S L U | Método, sistema y productos de programa informático para posibilitar de forma segura una funcionalidad en - red a lo largo de sesiones de datos cifradas |
| CN106470345B (zh) | 2015-08-21 | 2020-02-14 | 阿里巴巴集团控股有限公司 | 视频加密传输方法和解密方法、装置及系统 |
| CN106487774B (zh) | 2015-09-01 | 2019-06-25 | 阿里巴巴集团控股有限公司 | 一种云主机服务权限控制方法、装置和系统 |
| CN105242533B (zh) * | 2015-09-01 | 2017-11-28 | 西北工业大学 | 一种融合多信息的变导纳遥操作控制方法 |
| CN106656907B (zh) * | 2015-10-28 | 2021-03-02 | 阿里巴巴集团控股有限公司 | 用于认证的方法、装置、终端设备及系统 |
| WO2017074953A1 (en) * | 2015-10-28 | 2017-05-04 | Alibaba Group Holding Limited | Method and system for dynamic password authentication based on quantum states |
| US10298549B2 (en) | 2015-12-23 | 2019-05-21 | Qualcomm Incorporated | Stateless access stratum security for cellular internet of things |
| US10171457B2 (en) | 2015-12-29 | 2019-01-01 | International Business Machines Corporation | Service provider initiated additional authentication in a federated system |
| CN107113320B (zh) * | 2016-01-29 | 2020-09-29 | 华为技术有限公司 | 一种下载签约文件的方法、相关设备及系统 |
| CN107086907B (zh) | 2016-02-15 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的密钥同步、封装传递方法及装置 |
| CN107086908B (zh) | 2016-02-15 | 2021-07-06 | 阿里巴巴集团控股有限公司 | 一种量子密钥分发方法及装置 |
| CN110166246B (zh) * | 2016-03-30 | 2022-07-08 | 创新先进技术有限公司 | 基于生物特征的身份注册、认证的方法和装置 |
| CN107347058B (zh) | 2016-05-06 | 2021-07-23 | 阿里巴巴集团控股有限公司 | 数据加密方法、数据解密方法、装置及系统 |
| CN107370546B (zh) | 2016-05-11 | 2020-06-26 | 阿里巴巴集团控股有限公司 | 窃听检测方法、数据发送方法、装置及系统 |
| CN107404461B (zh) | 2016-05-19 | 2021-01-26 | 阿里巴巴集团控股有限公司 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
| CN107959656B (zh) | 2016-10-14 | 2021-08-31 | 阿里巴巴集团控股有限公司 | 数据安全保障系统及方法、装置 |
| CN107959567B (zh) | 2016-10-14 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据存储方法、数据获取方法、装置及系统 |
| CN107959566A (zh) | 2016-10-14 | 2018-04-24 | 阿里巴巴集团控股有限公司 | 量子数据密钥协商系统及量子数据密钥协商方法 |
| CN106452749B (zh) * | 2016-10-18 | 2019-06-07 | 北京骏逸通达信息服务有限公司 | 一种通过卫星通信进行密钥和数据分离传输的方法及系统 |
| CN106534319A (zh) * | 2016-11-22 | 2017-03-22 | 深圳市掌世界网络科技有限公司 | 一种通过代理服务器直接访问目标服务器的方法 |
| US10164778B2 (en) | 2016-12-15 | 2018-12-25 | Alibaba Group Holding Limited | Method and system for distributing attestation key and certificate in trusted computing |
| CN108667608B (zh) | 2017-03-28 | 2021-07-27 | 阿里巴巴集团控股有限公司 | 数据密钥的保护方法、装置和系统 |
| CN108667773B (zh) | 2017-03-30 | 2021-03-12 | 阿里巴巴集团控股有限公司 | 网络防护系统、方法、装置及服务器 |
| CN108736981A (zh) | 2017-04-19 | 2018-11-02 | 阿里巴巴集团控股有限公司 | 一种无线投屏方法、装置及系统 |
| US10958640B2 (en) | 2018-02-08 | 2021-03-23 | Citrix Systems, Inc. | Fast smart card login |
| US10813169B2 (en) | 2018-03-22 | 2020-10-20 | GoTenna, Inc. | Mesh network deployment kit |
| AU2019300978B2 (en) | 2018-07-13 | 2021-07-29 | Samsung Electronics Co., Ltd. | Method and electronic device for edge computing service |
| CN108924154B (zh) * | 2018-07-24 | 2021-03-09 | 华数传媒网络有限公司 | 身份认证方法及装置 |
| CN109067728B (zh) * | 2018-07-25 | 2021-08-27 | 苏州科达科技股份有限公司 | 应用程序接口的访问控制方法、装置、服务器及存储介质 |
| US20200120083A1 (en) * | 2018-10-12 | 2020-04-16 | Ca, Inc. | Time-based detail degradation for authorization scopes |
| CN109450620B (zh) | 2018-10-12 | 2020-11-10 | 创新先进技术有限公司 | 一种移动终端中共享安全应用的方法及移动终端 |
| US11616847B2 (en) * | 2018-10-19 | 2023-03-28 | Microsoft Technology Licensing, Llc | Leveraging web cookies for carrying messages across cloud application communications |
| US11086665B2 (en) * | 2018-10-22 | 2021-08-10 | Red Hat, Inc. | Scheduling services for quantum computing |
| TWI706281B (zh) * | 2019-02-19 | 2020-10-01 | 華東科技股份有限公司 | 裝置驗證方法 |
| CN113647074B (zh) * | 2019-03-29 | 2024-10-18 | 三星电子株式会社 | 用于边缘计算服务的方法及其电子装置 |
| WO2020204269A1 (ko) * | 2019-03-29 | 2020-10-08 | 삼성전자 주식회사 | 엣지 컴퓨팅 서비스를 위한 방법 및 그의 전자 장치 |
| US11570163B2 (en) * | 2019-04-24 | 2023-01-31 | Uns Project Inc. | User authentication system |
| US11429519B2 (en) | 2019-12-23 | 2022-08-30 | Alibaba Group Holding Limited | System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive |
| CN113328980B (zh) * | 2020-02-29 | 2022-05-17 | 杭州迪普科技股份有限公司 | Tls认证方法、装置、系统、电子设备及可读介质 |
| CN114363054B (zh) * | 2021-12-31 | 2023-12-01 | 杭州数梦工场科技有限公司 | 接口请求转换方法、接口转换装置、电子设备及存储介质 |
| CN115118593B (zh) * | 2022-06-23 | 2023-04-28 | 福建天晴在线互动科技有限公司 | 一种多台设备网络共享时对流量优化的方法及其系统 |
| US20240080315A1 (en) * | 2022-09-01 | 2024-03-07 | Biosense Webster (Israel) Ltd. | Online authentication for medical devices |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805335A (zh) * | 2005-01-13 | 2006-07-19 | 华为技术有限公司 | 基于内容提供系统的认证系统及认证方法 |
| WO2009074709A1 (en) * | 2007-12-10 | 2009-06-18 | Nokia Corporation | Authentication arrangement |
Family Cites Families (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20030188193A1 (en) * | 2002-03-28 | 2003-10-02 | International Business Machines Corporation | Single sign on for kerberos authentication |
| US20060005237A1 (en) * | 2003-01-30 | 2006-01-05 | Hiroshi Kobata | Securing computer network communication using a proxy server |
| CN100583761C (zh) * | 2005-05-16 | 2010-01-20 | 联想(北京)有限公司 | 一种统一认证的实现方法 |
| JP2007310512A (ja) | 2006-05-16 | 2007-11-29 | Mitsubishi Electric Corp | 通信システム、サービス提供サーバおよびユーザ認証サーバ |
| US8327426B2 (en) * | 2006-06-01 | 2012-12-04 | Novell Intellectual Property Holdings, Inc. | Single sign on with proxy services |
| JP4867482B2 (ja) | 2006-06-06 | 2012-02-01 | 富士ゼロックス株式会社 | 制御プログラムおよび通信システム |
| US8281378B2 (en) | 2006-10-20 | 2012-10-02 | Citrix Systems, Inc. | Methods and systems for completing, by a single-sign on component, an authentication process in a federated environment to a resource not supporting federation |
| CA2569355C (en) * | 2006-11-29 | 2014-10-14 | Diversinet Corp. | System and method for handling permits for user authentication tokens |
| US20080168539A1 (en) * | 2007-01-05 | 2008-07-10 | Joseph Stein | Methods and systems for federated identity management |
| JP4946564B2 (ja) | 2007-03-27 | 2012-06-06 | 富士通株式会社 | 認証処理方法及びシステム |
| US8738897B2 (en) | 2007-04-25 | 2014-05-27 | Apple Inc. | Single sign-on functionality for secure communications over insecure networks |
| US8489740B2 (en) * | 2007-05-18 | 2013-07-16 | Red Hat, Inc. | Method and an apparatus to generate message authentication codes at a proxy server for validating a web session |
| DE102008024783A1 (de) | 2008-05-23 | 2009-12-10 | RUHR-UNIVERSITäT BOCHUM | Sichere, browser-basierte Einmalanmeldung mit Clientzertifikaten |
| US9736153B2 (en) * | 2008-06-27 | 2017-08-15 | Microsoft Technology Licensing, Llc | Techniques to perform federated authentication |
| US20100043065A1 (en) * | 2008-08-12 | 2010-02-18 | International Business Machines Corporation | Single sign-on for web applications |
| CN101677329B (zh) | 2008-09-18 | 2013-01-16 | 中兴通讯股份有限公司 | 一种综合语音资源平台代理服务器及其数据处理方法 |
| US8763102B2 (en) * | 2008-09-19 | 2014-06-24 | Hewlett-Packard Development Company, L.P. | Single sign on infrastructure |
| US20100106971A1 (en) | 2008-10-27 | 2010-04-29 | Domagoj Premec | Method and communication system for protecting an authentication connection |
| US20100125891A1 (en) * | 2008-11-17 | 2010-05-20 | Prakash Baskaran | Activity Monitoring And Information Protection |
-
2010
- 2010-02-17 US US12/707,097 patent/US8850554B2/en active Active
-
2011
- 2011-01-28 EP EP11744311.9A patent/EP2537315B1/en active Active
- 2011-01-28 CN CN201180009803.8A patent/CN102763395B/zh active Active
- 2011-01-28 WO PCT/FI2011/050066 patent/WO2011101531A1/en active Application Filing
-
2014
- 2014-08-06 US US14/453,243 patent/US9467440B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805335A (zh) * | 2005-01-13 | 2006-07-19 | 华为技术有限公司 | 基于内容提供系统的认证系统及认证方法 |
| WO2009074709A1 (en) * | 2007-12-10 | 2009-06-18 | Nokia Corporation | Authentication arrangement |
Also Published As
| Publication number | Publication date |
|---|---|
| US20140351915A1 (en) | 2014-11-27 |
| EP2537315B1 (en) | 2018-04-11 |
| US9467440B2 (en) | 2016-10-11 |
| EP2537315A4 (en) | 2016-07-06 |
| WO2011101531A1 (en) | 2011-08-25 |
| EP2537315A1 (en) | 2012-12-26 |
| CN102763395A (zh) | 2012-10-31 |
| US20110202988A1 (en) | 2011-08-18 |
| US8850554B2 (en) | 2014-09-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102763395B (zh) | 提供基于认证上下文的会话的方法和装置 | |
| CN102823218B (zh) | 用于身份联合网关的方法和装置 | |
| CN102763397A (zh) | 用于提供认证会话共享的方法和装置 | |
| US9825930B2 (en) | Method and apparatus for providing enhanced service authorization | |
| US10346147B2 (en) | Method and apparatus for providing a profile | |
| US20190324735A1 (en) | Method and apparatus for providing a profile | |
| CN103155513B (zh) | 加速认证的方法和装置 | |
| US7752292B1 (en) | System and method for provisioning personalized data into mobile device | |
| CN103262077A (zh) | 用于用户标识的基于设备标识符的解决方案的方法和装置 | |
| TWI496447B (zh) | 無線網路服務異動協定 | |
| KR101270323B1 (ko) | 단일 서비스 사인 온을 제공하는 방법, 장치 및 컴퓨터 판독가능 저장 매체 | |
| EP2514169B1 (en) | System, method, and apparatus for performing reliable network, capability, and service discovery | |
| CN104081742A (zh) | 用于提供联合服务账户的方法和装置 | |
| CN103109509A (zh) | 用于使用接受者标识符提供与服务的通信的方法和装置 | |
| US20090328141A1 (en) | Authentication, identity, and service management for computing and communication systems | |
| CN104170424A (zh) | 用于订阅共享的方法和装置 | |
| CN102754098A (zh) | 用于安全跨站脚本的方法和装置 | |
| CN102648611A (zh) | 用于激活服务的方法和装置 | |
| JP2012209898A5 (zh) | ||
| EP3185599A1 (en) | Method and apparatus for providing a profile | |
| CN101366037A (zh) | 在移动终端中用于安全http摘要响应验证以及完整性保护的计算机程序产品、装置以及方法 | |
| CN104660405A (zh) | 一种业务设备认证方法及设备 | |
| US20170325092A1 (en) | Discovery mechanism for service server connection | |
| CN103166755A (zh) | 一种颁发移动用户身份数字证书的方法及系统 | |
| CN105340353A (zh) | 设备到设备通信安全 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20151231 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |