CN102972002A - 分组网络中的应用层认证 - Google Patents
分组网络中的应用层认证 Download PDFInfo
- Publication number
- CN102972002A CN102972002A CN2011800264131A CN201180026413A CN102972002A CN 102972002 A CN102972002 A CN 102972002A CN 2011800264131 A CN2011800264131 A CN 2011800264131A CN 201180026413 A CN201180026413 A CN 201180026413A CN 102972002 A CN102972002 A CN 102972002A
- Authority
- CN
- China
- Prior art keywords
- computing equipment
- identity
- groupings
- network
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000004891 communication Methods 0.000 claims abstract description 34
- 238000000034 method Methods 0.000 claims abstract description 29
- 230000004044 response Effects 0.000 claims description 4
- 238000010586 diagram Methods 0.000 description 17
- 238000005516 engineering process Methods 0.000 description 16
- 230000008569 process Effects 0.000 description 9
- 230000001965 increasing effect Effects 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 230000008859 change Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000004590 computer program Methods 0.000 description 3
- 238000012795 verification Methods 0.000 description 3
- 230000001413 cellular effect Effects 0.000 description 2
- 238000010422 painting Methods 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 235000003140 Panax quinquefolius Nutrition 0.000 description 1
- 240000005373 Panax quinquefolius Species 0.000 description 1
- 238000004040 coloring Methods 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W88/00—Devices specially adapted for wireless communication networks, e.g. terminals, base stations or access point devices
- H04W88/16—Gateway arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了用于在通信网络的应用服务器处进行终端用户设备的有效认证的技术。例如其中假设,在通信网络中,第一计算设备是终端用户设备,第二计算设备是网关服务器,而第三计算设备是应用服务器,一种方法包括如下步骤。第二计算设备对从第一计算设备接收的一个或多个分组进行认证。第二计算设备在将该一个或多个分组路由至第三计算设备之前,利用第一层身份对一个或多个分组进行标记,使得所述第三计算设备能够通过确认第一层身份与第二层身份之间的关联,对来自第一计算设备的一个或多个分组进行认证。例如,第一层身份可包括分配给第一计算设备(例如,由网关服务器或一些其他服务器分配的)的链路层身份,并且第二层身份可包括分配给第一计算设备的应用层身份(例如,由网关服务器或一些其他服务器之前分配的)。
Description
技术领域
本发明一般涉及通信网络,并且更具体地涉及通信网络中的认证技术。
背景技术
本部分介绍能够便于更好地理解本发明的内容。因此,应当从这个角度来阅读本部分的论述,并且不应当将其理解为承认其中哪些内容是现有技术,或哪些内容不是现有技术。
通常地,在现有的认证方法中,通过特定通信网络寻找接入到应用的用户设备(终端用户)首先必须经过通信网络自身的认证,并且然后其次它们必须经过应用服务器再一次认证(重新认证),该应用服务器为应当由终端用户接入的应用提供服务。
通用自举架构(GBA,Generic Bootstrapping Architecture)是一种能够实现终端用户的认证的技术。GBA由有第三代合作伙伴计划(3GPP)进行标准化,其符合3GPP技术规范(TS)33.220,其中此处通过引用方式合并其公开的全部内容。一般地,当终端用户设备尝试获取网络的接入时,GBA通过初始网络组件来挑战该终端用户设备来进行认证,并且验证挑战响应是否与归属位置寄存器(HLR)或归属用户服务器(HSS)所预测的挑战响应相类似。
然而,GBA还需要在应用层有更明确的终端用户重新认证。这种重新认证的执行符合3GPP认证和密钥协商(AKA)协议,参见RFC 3310:“Hypertext Transfer Protocol(HTTP)Digest Authentication UsingAuthentication and Key Agreement(AKA)”(使用认证和密钥协商(AKA)的超文本传输协议(HTTP协议)摘要认证)2002年9月,其中此处通过引用方式合并其公开的全部内容;以及RFC 4169:“Hypertext TransferProtocol(HTTP)Digest Authentication Using Authentication and KeyAgreement(AKA)Version-2”(使用认证和密钥协定(AKA)的超文本传输协议(HTTP协议)摘要认证)2005年11月,此处通过引用方式合并其公开的全部内容。
这种重复认证引发了诸多问题,例如,需要额外访问HLR/HSS数据库,以及需要进行由AKA序列号(SQN,Sequence Number parameter)参数的潜在问题所引起的重复同步。进一步,GBA使用AKA摘要协议,其中标准的网页浏览器并不支持该协议。
因此,需要改进的终端用户认证技术。
发明内容
本发明的实施方式提供了用于在通信网络的应用服务器处进行终端用户设备的有效认证的技术。
在第一方面中,其中假设,在通信网络中,第一计算设备是终端用户设备,第二计算设备是网关服务器,并且第三计算设备是应用服务器,该方法包括如下步骤。
所述第二计算设备从所述第一计算设备接收的一个或多个分组进行认证。所述第二计算设备在将该一个或多个分组路由至第三计算设备前用第一层身份来标记该一个或多个分组,使得所述第三计算设备能够通过确认第一层身份与第二层身份之间的关联,对来自所述第一计算设备的一个或多个分组进行认证。
在第二方面中,其中再一次假设,在通信网络中,第一计算设备是终端用户设备,第二计算设备是网关服务器,并且第三计算设备是应用服务器,该方法包括如下步骤。
所述第三计算设备从所述第二计算设备接收一个或多个分组,所述第二计算设备已对从所述第一计算设备接收的一个或多个分组进行认证,并且在将该一个或多个分组路由至所述第三所计算设备之前已使用第一层身份对所述一个或多个分组进行标记。所述第三计算设备通过确认第一层身份与第二层身份之间的关联,对来自所述第一计算设备的一个或多个分组进行认证。
在一个实施方式中,第一层身份包括分配给第一计算设备(例如,由网关服务器或一些其他服务器分配)的链路层身份,并且第二层身份包括分配给第一计算设备的应用层身份(例如,之前由应用服务器或一些其他服务器分配)。
根据装置来提供其它方面,所述装置包括存储器和与存储器耦合的处理器,并且可操作地执行上述相应方法的步骤。
根据制品来提供其它方面,所述制品包括存储了一个或多个软件程序的处理器可读存储介质,当由于计算设备相关联的处理器执行时,实现上述相应方法的步骤。
有利地,本发明的示例性实施方式提供了用于消除终端用户的认证的重复。替代地,本发明的示例性原理是建立在这样的事实上,即每个分组通过网关进入网络,该网关已经在链路层对分组进行认证。因此,简单地通过应用服务器确认终端用户的链路层身份(通过标记或标注的分组来确定,此处称为“分组着色(packet painting)”)与终端用户的应用层身份之间存在的关联(例如,匹配),可以在应用层级别对终端用户进行认证,而不需要执行另一个完整的AKA认证过程。
通过附图和下面的详细说明,本发明的这些以及其他的特征和优点将变得更加明了。
附图说明
图1是依据本发明第一实施方式的可以执行分组着色的通信网络的一部分的示意图。
图2是依据本发明第二实施方式的可以执行分组着色的通信网络的一部分的示意图。
图3是依据本发明第三实施方式的可以执行分组着色通信网络的一部分的示意图。
图4是依据本发明第四实施方式的可以执行分组着色的通信网络的一部分的示意图。
图5是依据本发明第五实施方式的可以执行分组着色的通信网络的一部分的示意图。
图6是依据本发明第六实施方式的可以执行分组着色的通信网络的一部分的示意图。
图7是依据本发明第七实施方式的可以执行分组着色的通信网络的一部分的示意图。
图8是依据本发明第八实施方式的可以执行分组着色的通信网络的一部分的示意图。
图9是依据本发明第九实施方式的可以执行分组着色的通信网络的一部分的示意图。
图10是据本发明的实施方式的适于实现分组着色的通信网络的硬件架构。
具体实施方式
本发明的示例性实施方式提供了一种用于基于在网络网关处执行的链路层认证在分组网络应用层之上进行的终端用户设备(终端用户)的认证。因此,不再需要在分组网络侧的任何服务器处进行终端用户的明确重复认证,即不需要在应用层级别执行AKA认证过程。本发明的认证通过使用分组标记、标注或增强技术来实现,此处解释性地称为“分组着色(packetpainting)”。
这里所使用的短语“终端用户设备”(或“用户设备”)通常被定义为这样的设备,人类使用该设备进行交互从而接入网络以及其服务。仅通过实例的方式,这样的设备能够是移动电话,个人计算机,或互联网工具。优选地,这样的设备还应当具有可能通过另一设备进行交互的装置,所述另一设备具有保持安全证书(例如,AKA证书)的智能卡(诸如,用户身份模块或SIM卡)
这里所使用的术语“网关”或“网络网关”通常被定义为这样的计算网络设备,该设备属于特定提供商的网络,但还与一个或多个其他的网络相连接,这些网络例如是另一个提供商的网络或者是互联网。结合这些设备,才能够在物理级别进行与外部网络的连接(由无线基站来实现的),或者在应用级别下以HTTP或SIP(会话启动协议)代理或HTTP或SIP服务器的情况出现。
这里所使用的短语“应用服务器”通常被定义为这样的计算网络设备,该设备在客户端/服务器应用协议中充当服务器的角色,仅通过实例的方式,该协议例如是HTTP或SIP。
应当理解的是,尽管此处描述的示例性实施方式涉及应用层和链路层,但本发明的原理并不局限于此。即,在通信网络的一个网络框架层上可以基于之前在另一网络框架层上执行的认证来有效地执行终端用户的认证。因此,应用层和链路层仅是可以实现本发明的原理的网络框架层的实例。该原理可以应用于开放式系统互连(OSI)模型的七层(应用、表示、会话、传输、网络、链路和物理)中的其它层或其他合适的网络框架模型中。
通过本发明的示例性分组着色技术的应用可以实现以下优点,包括但不限于:(1)降低HLR/HSS上的负载;(2)流线型(简化或加快)认证;(3)与现有浏览器的完全互通(通过去除对AKA支持的要求)。作为分组着色的结果,提供了的第三方应用的简化自举。另一个结果是提供了用于支持OpenID的简化认证机制。
OpenID是一种用于以用户为中心的数字身份的开放、非集中式、开源框架。即,OpenID允许用户使用相同的数字身份登录到多个服务。OpenID由OpenID基金会(加拿大圣拉蒙)来管理。在OpenIDAuthentication 2.0(OpenID认证2.0)和OpenID Provider AuthenticationPolicy Extension 1.0(OpenID提供商认证策略扩展1.0)中详细介绍所述标准,其中此处通过引用方式合并其公开的全部内容。
依照本发明的示例性原理,网络中任何应用服务器能够对应用层协议数据单元(PDU)进行认证,只要确保该PDU的所有部分已经通过一组经过认证的低层PDU(例如链路层的帧)到达网络。这将通过本发明的分组着色技术来实现。在一个实施方式中,网关节点(例如,移动基站、节点B、分组数据网关、宽带网络网关,或下一代网络(NGN)接入节点),其在链路层对用户进行认证,发布(也可能是签署)标签,确认用户的链路层身份。通过实例的方式,该标签可以是:(1)在互联网协议(IP)分组之前插入,利用在网络中传播的插入;和/或(2)现有的或新的IP报头中携带。一旦经过着色的PDU到达应用服务器,应用服务器只需要确定链路层身份与应用层身份之间的关联(例如,经过查找表比较),而不需要终端用户执行与应用服务器的另一个认证过程(诸如,AKA协议或过程)。优选地,这种示例性解决方案还提供路由器(或多协议交换机)以使用数据流中的每个分组来传递标签。另一个优点在于,分组着色技术不需要对应用层协议进行改变。
在另一个实施方式中,在网关处使用深度分组检测(DPI),并且有条件地对分组进行着色或者在特定触发时对分组进行着色(例如,利用链路层身份进行增强、标记或标注)。这种触发的一个实例是,在网关识别出已经发生了经由超文本传输协议(HTTP)重定向的OpenID请求时。
触发或条件的另一实例是,在网关识别出目的地址对应于身份提供商(IdP)时。对于运营商网络,IdP在网络边界内是有效的网关实体,符合基于IP的下一代网络(NGN)的身份管理(IdM)标准,其中在题名为:“NGN Identity Management Framework”(NGN身份管理框架)的国际电信联盟-电信标准化部门(ITU-T)的建议Y.2720中指定了所述身份管理(IdM)标准,其中此处通过引用方式合并其公开的全部内容。NGN或下一代网络是基于分组的网络,其能够提供包括电信服务的服务并且能够利用多宽带,使能服务质量(QoS)的传输技术,并且在该服务中与服务相关的功能能够独立于与基础传输相关的技术。应当意识到,身份管理(IdM)概念能够允许通信网络运营商提供新服务,其中运营商例如是电信运营商或网络运营商(注意,这两个短语在此处可以互换使用)。这种运营商的实例可包括但不限于AT&T,Verizon,NTT,中国移动,法国电信/Orange。
NGN技术的实例包括但不限于通用移动通信系统(UMTS)、IP多媒体子系统(IMS)、或其他类似的。这些网络由网络运营商管理。在IdM框架中,网络运营商控制和运营身份提供商实体。
在上述提及的两个示例性实施方式中,例如,自动分组着色或者条件/触发的分组着色,本发明的示例性原理应用了如下事实,即因为所有的分组典型地必须通过网络网关服务器且该网关服务器需要对终端用户进行认证,这种认证就可以递归式地扩展到应用层中。
本发明原理的一个示例性应用是NGN运营商对Web 2.0应用程序使能器(Web 2.0 application enablers)的开发,诸如OpengID或OAuth。在OAuth上下文中,应当意识到,通过通信网络可获得的各种工具(例如万维网)允许用户创建他们自己的应用或网页。已知的一个实例是“mashup”,其是一种能够对来自两个或多个源的数据和功能进行使用或合并从而创建新的业务或应用的网页或应用。然而问题出现了,当用户需要将他/她的用于一个源的证书(用户名和密码)提供给另一个源时,因此会暴露源之间的信息并且为一个源提供对另一个源的完全访问。用户可能不期望发生这些。已知的如OAuth的协议尝试提供该问题的解决方案。通常,OAuth协议(参见http://oauth.net/)能够使用户提供对他们的网页资源的第三方访问而无需共享他们的密码。根据本发明的分组着色能够在OAuth上下文中实现。
虽然可利用OpenID或OAuth协议来使用本发明的示例性实施方式,但是应当理解的是,本发明的原理不限于这些协议,而是任何应用服务器能够通过本发明的分组着色过程来对用户进行认证,该过程独立于所使用的应用专用协议。
图1是根据本发明第一实施方式的可以执行分组着色的通信网络100的一部分的示意图。如本实施方式中所示,终端用户设备102(或用户设备UE,可以是但不限于,如个人计算机或移动电话的这种互联网工具)已经通过接入接口A 104与网络网关服务器106(例如,NGN接入节点)建立了通过认证的链路层连接。接入接口的实例可包括但不限于,无线长期演进(LTE)、数字用户线(DSL)、或局域网(LAN)。注意的是,将网络边界表示为101。网络网关服务器106使用AKA协议,基于其链路层标示符或身份(Id)103(例如,国际移动用户ID(IMSI))对UE 102进行认证。网络网关服务器106和身份提供商服务器(IdP)118之间的所有信息都会在一系列网络路由器(或多协议交换机)114-1,114-2…114-k中留下踪迹。注意的是,身份提供商118是应用服务器的实例。
根据本发明的这种示例性实施方式,然后,网络网关服务器106在每个IP分组112在接口N108上发送到路由器或交换机114-1之前插入标签110,即其将标签附着到每个分组。这种接口N的实例可包括但不限于,链路层协议802.2族,高级数据链路控制(HDLC),或点对点协议(PPP)。随后,通过接口N1,N2和Nk(116-1,116-2…116-k),路径(114-1,114-2…114-k)上的每个路由器或交换机沿所述路线复制相同的标签110。
最后,在身份提供商服务器118处,仅接受经过着色(标记)的分组,并且因此可以对应用层PDU进行认证(例如,通过应用程序接口或API(未示出))以及对他们中每个的特定LLID 103进行追踪,该LLID 103进而与适当的应用层标识符或身份(例如,OpenID或IMSI)相关联。应当注意的是,在优选实施方式中提供了LL标签110中的网关ID 105。
应当注意的是,可以签署标签110。如此处使用的“签名”,假定这是可信任的网络,无需是加密的网络,尽管其可以是加密的网络。在最简单的情况中,签名可以为空。
上述实施方式仅涉及终端用户不进行漫游的情况(在穿越另一运营商的网络的情况中)。漫游引入了并发问题,这将在之后进行考虑。
图2是根据本发明第二实施方式的可以执行分组着色的通信网络200的一部分的示意图。应当注意的是,与图1的组件和接口相同的图2所示的组件和接口具有相似的附图标记,但是都加上100(即,图1中的UE 102对应于图2中的UE 202;图1中的网关106对应于图2中的网关206,等等)。
图1的实施方式和图2的实施方式之间的主要差别是在何处携带LL标签。在图2的实施方式中,LL标签210包含在被路由的分组220(分组包含载荷224)中现有的或新的IP报头字段222。回想到,图1的实施方式将标签附加到每个分组。
特别地,如图2所示,对于来自通过认证的UE 202的到达网络网关服务器206处的每个分组220,网关在将该分组转发到下一个路由器或交换机214-1之前,生成LL标签210并将其放入合适的IP报头字段222中。在分组220穿越一系列路由器或交换机(214-1,214-2…214-k)到达身份提供商(应用服务器)218之前,标签210保持不变。即,沿途的路由器或交换机简单地不会接触标签报头字段。还可能的是,来自UE 202的分组已经携带了LL标签。在这种情况下,网关206用其生成的LL标签210覆盖现有的标签。
图3是根据本发明第三实施方式的可以执行分组着色的通信网络300的一部分的示意图。图3演示了与深度分组检测(DPI)概念相关的示例性实施方式。再一次注意的是,与图1中的组件和接口相同的图3中所示的组件和接口具有相似的附图标记,但是增加了200(例如,图1中的UE102对应于图3中的UE 302;图1中的网关106对应于图3中的网关306,等等)。
在图3的实施方式中,网络网关服务器302执行深度分组检测(DPI)307。在一个实施方式中,优选地,深度分组检测可包括一个或多个在新兴的ITU-T标准文档中所描述的技术,该文档被称为ITU-T新的草案建议:“Requirements for DPI in packet-based networks and NGN”(对基于分组的网络和NGN中的DPI的要求)草案2010,ITU-T,瑞士日内瓦,其中此处通过引用方式合并其公开的全部内容。然而,应当理解的是,本发明的原理并不希望被限制为ITU-T深度分组检测分析,而是可以包括如上所述的用于确定触发和/或条件出现的其他技术。
因此,当网络网关服务器302通过DPI分析308检测特定条件(例如,对OpenID认证请求或IdP目的地的检测),该条件的出现(或发生,或存在)触发网关将LLID信息(标签310)增加到分组330的适当的IP报头字段中。分组330被认为是“有条件的着色”的分组,这是因为它仅仅是在特定条件出现时才被标记或标注。然后,如上面的实施方式,身份提供商(应用服务器)318检查签名,确定PDU 330已经通过认证,并且然后将应用ID与LLID 310相关联。
图4是跟据本发明第四实施方式的可以执行分组着色的通信网络400的一部分的示意图。图4演示了涵盖UE漫游的情况的示例性实施方式,例如UE从归属网络移动到访问网络。再一次,此处相适应的是,与图1中的组件和接口相同的图4中所示的组件和接口具有相似的附图标记但是增加了300(例如,图1中的UE 102对应于图4中的UE 402;图1中的网关106对应于图4中的网关406,等等)。
在这种情况下,UE 402与访问网络网关服务器403(网络I的网关)相连接。通过第2层或第3层隧道407在网络I的网关403和网络II的网关406之间实现与归属网络(网络II)的连接。由接口(N’)409支持所述连接。然而,在两种情况中,终接网关服务器406(网络II的网关)被期望对分组进行着色(标注或标记)。如果是在第3层的网关进行,作为上述着色方法的替代,网关406能够实际上对分组的载荷进行签名。应当注意到的是,当不漫游时,UE 402能够经由网络网关服务器406通过第2层或第3层隧道405直接与归属网络406连接。
图5是跟据本发明第五实施方式的可执行分组着色的通信网络500的一部分的示意图。该实施方式与图2的实施方式类似,除了图5的实施方式使用了图3的上下文中的上述DPI触发。即,在图5中,网络网关不是给所有的分组着色,而是可选择对由定义的策略所触发的特定分组进行着色。再一次,此处相适应的是,与图1中的组件和接口相同的图5中所示的组件和接口具有相似的附图标记,但是增加了400(即,图1中的UE 102对应于图5中的UE 502;图1中的网关106对应于图5中的网关506,等等)。
图5的实施方式用于如下情况,其中可能在网关506(这意味着在高层既不使用加密也不使用完整性保护)处执行DPI并且修改分组(报头552和载荷554),并且其中网络策略允许这种分组着色。在这种情况下,这些动作可以通过,例如,具体应用报头(例如,HTTP重定向)的出现来触发,并且将导致按照网络定义的方式将“着色”(即LL标签)添加到载荷中,如流程图556所示。
应当理解的是,直到这一点,已经演示了身份提供商(应用服务器)对用户进行认证的各种着色技术。然而,目前仍旧没有演示用户如何认证网络。在下述图6的上下文对此进行描述之前,我们应当注意到,即使没有相互认证,网络已经能够针对其他设备来充当身份提供商的角色。
图6是跟据本发明第六实施例的可以执行相互认证的通信网络600的一部分的示意图。特别地,图6是演示了用于相互认证服务的信息和决策流的实施方式。
如图所示,信赖方(relying party)604,其是支持OpenID的Web服务器,发现网络运营商的身份提供商606并重定向到身份提供商606以对UE 602进行认证(步骤610)。UE 602向身份提供商(IdP)606发送用于认证的请求(步骤612)。IdP 606检查(步骤614)与(分组的)请求相关联的“着色”(标签)并确定该标签的身份是否能映射到用于该UE的OpenID的身份。如果是,则IdP 606通过返回经过签名的AuthN结果来确认该认证(步骤616),如OpenID协议所请求的。因此,UE和IdP完成了相互认证。然后,UE 602发送经签名的AuthN结果给信赖方604(步骤618)。
应当明白的是,作为步骤611一部分,对分组进行着色(标注)并且作为步骤612的认证请求的一部分,将分组发送给IdP 606。这允许IdP 606确定他们的真实性。还应当明白的是,IdP 606与信赖方605被认为是应用服务器。
虽然这个特定的实施方式使用了OpenID标准和规范(之前引用的)的方面,但是应当明白的是,OpenID是开源标识标准的一个实例并且可使用基于开源的标识符。因此,提供如OpenID的类似工具和特征的其它合适标识标准都可以被认为落入了本发明的实施方式的范围。
还回顾的是,标签(例如,图1中的110)优选地显示网关ID。因此,网络中的应用服务器能够创建新的对称密钥对(一个用于加密,并且另一个用于完整性保护)且经由网关与UE共享这些密钥。例如,3GPP自举功能(BSF),以及IMS服务呼叫会话控制功能(S-CSCF)(或代理呼叫会话控制功能(P-CSCF))自身能够使用用于认证的分组着色。
图7演示了BSF的实例。再一次,其中相适应的是,与图1中的组件和接口相同的图7中所示的组件和接口具有相似的附图标记但是增加了600(即,图1中的UE 102对应于图7中的UE 702;图1中的网关106对应于图7中的网关706,等等)。在这种情况下,应当了解的是,BSF 718用作应用服务器。
如图7中所示,当UE 702发送用于认证的第一请求703时,BSF 718检查从网络网关706接收的着色(例如,分组720的报头722中的标签710,该分组720还具有载荷724),并且确定该请求是否来自合法用户而无需执行AKA过程。
图8演示了S-CSCF(P-CSCF)的实例。与图7中的组件和接口相同的图8中所示的组件和接口具有相似的附图标记但是增加了100。在这种情况下,应当明白的是,S-CSCF(P-CSCF)818用作应用服务器。
当UE 802发出UE SIP INVITE(邀请)803时,IMS S-CSCF(或P-CSCF)818检查接收自网络网关806的着色(例如,分组820的报头822中的标签810,该分组820还具有载荷824),并且确定该请求是否来自合法用户而无需执行AKA过程。
应当理解的是,本领域技术普通技术人员能够明了关于BSF和S-CSCF(P-CSCF)典型操作的细节。然而,进一步的细节可以在下述文献中找到:3GPP GBA:3GPP TS 33.220 V9.2.0(2009-12),3rd GenerationPartnership Project(第3代合作伙伴计划);Technical Specification GroupServices and System Aspects(技术规范组服务和系统方面);GenericAuthentication Architecture(GAA)(通用认证架构);Genericbootstrapping architecture(Release 9)(通用自举架构(版本9)),以及“The 3G IP Multimedia Subsystem(IMS):Merging the Internet and theCellular Worlds”(“3G IP多媒体子网(IMS):融合因特网和蜂窝世界”)Gonzalo Camarillo,Miguel-Angel Garcia-Martin(John Wiley&Sons,2006);此处通过引用方式合并其公开的全部内容。
本发明的示例性原理还支持当UE变为附着网关ID时,网关ID动态变化的动态移动性。图9演示了这种变化。再一次,对比图1,图9中的相似组件和接口将它们的附图标记增加了800。
如图所示,当UE 902从一个网关906-1(网络网关1)移动到网关906-2(网络网关2)时,着色发生改变以对这种情况进行反映。例如,如图所示,网络网关906-1利用标签910-1并且网络网关906-2利用标签910-2对分组920(具有报头922和载荷924)并进行着色。IdP 908(或其他应用服务器)接收来自与UE相连接的无论哪个网络网关的经过着色的分组。
应当理解的是,本发明的分组着色技术可以与身份管理技术一起使用,该身份管理技术记载在2009年5月7日提交的题为“Identity ManagementServices Provided By Network Operator”(网络运营商所提供的身份管理服务)的序号为12/437,248(代理案卷号:805021-US-NP)的美国专利申请中,此处通过引用方式合并其公开的全部内容。
图10是依据本发明实施方式的适合于实现分组着色的通信网络1000的硬件架构的示意图。如图所示,终端用户设备1010(例如,用户设备UE 102),网关服务器1020(例如,网络网关服务器106),以及应用服务器1030(例如,IdP 118,BSF 818,S-CSCF/P-CSCF 918),其中它们都经由通信网络介质1050可操作的耦接在一起。网络介质可以是用户设备与服务器期望在其上进行通信的任何网络介质。举例来说,网络介质可以携带端到端IP分组,并且还可以包含接入网络中的UMTS或WiFi或DSL(数字用户线),城域网中的以太网,以及骨干网中的MPLS(多协议标签交换)。然而,本发明并不限于特定类型的网络介质。典型地,终端用户设备1010可以是客户端机器,并且服务器1020和1030可以是服务器机器。
本领域技术人员可容易看出,服务器和客户端可实现为在计算机程序代码的控制下运行的编程的计算机。计算机程序代码可存储在计算机(或者,处理器或机器)可读存储介质(例如存储器)中,并且代码可通过计算机的处理器执行。基于本发明的所述公开内容,本领域技术人员可容易生成适当的计算机程序代码,以实现这里描述的协议。
但是,图10一般性地示出通过网络介质进行通信的每个设备的示例性架构。如图所示,终端用户设备1010包括I/O设备1012,处理器1014,以及存储器1016。网关服务器1020包括I/O设备1022,处理器1024,以及存储器1026。应用服务器1030包括I/O设备1032,处理器1034,以及存储器1036.
应当理解的是,这里使用的术语“处理器”旨在包括一个或多个处理设备,包括中央处理单元(CPU)或其他处理电路,包括但不限于一个或多个信号处理器,一个或多个集成电路等。此外,这里使用的术语“存储器”旨在包括与处理器或CPU相关联的存储器,例如RAM、ROM、固定存储器设备(例如,硬盘驱动器)、或可移除存储器设备(例如,磁碟或CDROM)。此外,这里使用的术语“I/O设备”旨在包括:一个或多个用于向处理单元输入数据的输入设备(例如键盘、鼠标);以及一个或多个用于提供与处理单元关联的结果的输出设备(例如CRT显示器)。
由此,用于执行这里所述的本发明的方法的软件指令或代码可存储在关联的存储器设备的一个或多个中,例如ROM、固定或可移动存储器,并且当准备使用时,被加载到RAM中并由CPU执行。即,图10中示出的每个计算设备(1010,1020,和1030)可以独立地被编程以执行图1到图9中示出的他们各自的协议步骤。
尽管这里参照附图描述了本发明的示例性实施方式,但是可理解的是,本发明不限于这些精确的实施方式,并且在不脱离本发明的范围和精神的情况下,本领域技术人员可进行各种其他修改和改变。
Claims (10)
1.一种方法,包括:
在通信网络中,其中第一计算设备是终端用户设备,第二计算设备是网关服务器,以及第三计算设备是应用服务器;
所述第二计算设备对从所述第一计算设备接收的一个或多个分组进行认证;以及
所述第二计算设备在将所述一个或多个分组路由至所述第三计算设备之前,利用第一层身份来对一个或多个分组进行标记,使得所述第三计算设备能够通过确认第一层身份与第二层身份之间的关联对来自所述第一计算设备的一个或多个分组进行认证。
2.根据权利要求1所述的方法,其中所述第一层身份包括:分配给所述第一计算设备的链路层身份。
3.根据权利要求1所述的方法,其中所述第二层身份包括:分配给所述第一计算设备的应用层身份。
4.根据权利要求1所述的方法,其中所述对一个或多个分组进行标记包括:将第一层身份附加到所述一个或多个分组中的每一个。
5.根据权利要求1所述的方法,其中所述对一个或多个分组进行标记包括:将第一层身份插入到所述一个或多个分组中的每一个。
6.根据权利要求1所述的方法,其中利用第一层身份对一个或多个分组进行标记响应于深度分组检测。
7.根据权利要求1所述的方法,其中利用第一层身份对一个或多个分组进行标记响应于至少一个条件的出现。
8.一种方法,包括:
在通信网络中,其中第一计算设备是终端用户设备,第二计算设备是网关服务器,以及第三计算设备是应用服务器;
所述第三计算设备从所述第二计算设备接收一个或多个分组,所述第二计算设备已对从第一计算设备接收的一个或多个分组进行认证,并且在将所述一个或多个分组路由至所述第三所计算设备之前,已利用第一层身份对所述一个或多个分组进行标记;以及
所述第三计算设备通过确认第一层身份与第二层身份之间的关联,对来自所述第一计算设备的一个或多个分组进行认证。
9.一种装置,包括:
在通信网络中,其中第一计算设备是终端用户设备,第二计算设备是应用服务器,以及第三计算设备作为网关服务器,并且包括:
存储器;以及
耦接于所述存储器的处理器,并且可操作用于:
对从所述第一计算设备接收的一个或多个分组进行认证;以及
将一个或多个分组路由至所述第二计算设备前,利用第一层身份对一个或多个分组进行标记,使得所述第二计算设备能够通过确认第一层身份与第二层身份之间的关联,对来自第一计算设备的一个或多个分组进行认证。
10.一种装置,包括:
在通信网络中,其中第一计算设备是终端用户设备,第二计算设备是网关服务器,以及第三计算设备作为应用服务器并且包括:
存储器;以及
耦接于所述存储器的处理器,并且可操作用于:
从所述第二计算设备接收一个或多个分组,所述第二计算设备已对从第一计算设备接收的一个或多个分组进行认证,并且在将所述一个或多个分组路由至所述第三所计算设备之前,已利用第一层身份对所述一个或多个分组进行标记;以及
通过确认第一层身份与第二层身份之间的关联,对来自所述第一计算设备的一个或多个分组进行认证。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/790,143 | 2010-05-28 | ||
| US12/790,143 US8973125B2 (en) | 2010-05-28 | 2010-05-28 | Application layer authentication in packet networks |
| PCT/US2011/036727 WO2011149704A1 (en) | 2010-05-28 | 2011-05-17 | Application layer authentication in packet networks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102972002A true CN102972002A (zh) | 2013-03-13 |
| CN102972002B CN102972002B (zh) | 2016-03-16 |
Family
ID=44121283
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180026413.1A Expired - Fee Related CN102972002B (zh) | 2010-05-28 | 2011-05-17 | 分组网络中的应用层认证方法及装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8973125B2 (zh) |
| EP (1) | EP2577932A1 (zh) |
| JP (1) | JP5603485B2 (zh) |
| KR (1) | KR101495412B1 (zh) |
| CN (1) | CN102972002B (zh) |
| WO (1) | WO2011149704A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107431659A (zh) * | 2015-03-25 | 2017-12-01 | 英国电讯有限公司 | 移动电信路由 |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8776011B2 (en) * | 2011-03-31 | 2014-07-08 | Alcatel Lucent | Method and apparatus for managing components of application enablement suite |
| EP2842288A1 (en) | 2012-04-27 | 2015-03-04 | Interdigital Patent Holdings, Inc. | Systems and methods for personalizing and/or tailoring a service interface |
| US8918847B2 (en) * | 2012-09-28 | 2014-12-23 | Avaya Inc. | Layer 7 authentication using layer 2 or layer 3 authentication |
| BR112015016050B1 (pt) * | 2013-01-03 | 2022-05-24 | Huawei Technologies Co., Ltd | Sistemas e métodos para acessar uma rede |
| US9887983B2 (en) | 2013-10-29 | 2018-02-06 | Nok Nok Labs, Inc. | Apparatus and method for implementing composite authenticators |
| US9396320B2 (en) | 2013-03-22 | 2016-07-19 | Nok Nok Labs, Inc. | System and method for non-intrusive, privacy-preserving authentication |
| US10270748B2 (en) | 2013-03-22 | 2019-04-23 | Nok Nok Labs, Inc. | Advanced authentication techniques and applications |
| US9961077B2 (en) | 2013-05-30 | 2018-05-01 | Nok Nok Labs, Inc. | System and method for biometric authentication with device attestation |
| US9413533B1 (en) | 2014-05-02 | 2016-08-09 | Nok Nok Labs, Inc. | System and method for authorizing a new authenticator |
| US9577999B1 (en) | 2014-05-02 | 2017-02-21 | Nok Nok Labs, Inc. | Enhanced security for registration of authentication devices |
| US9654469B1 (en) | 2014-05-02 | 2017-05-16 | Nok Nok Labs, Inc. | Web-based user authentication techniques and applications |
| US9875347B2 (en) | 2014-07-31 | 2018-01-23 | Nok Nok Labs, Inc. | System and method for performing authentication using data analytics |
| US9455979B2 (en) | 2014-07-31 | 2016-09-27 | Nok Nok Labs, Inc. | System and method for establishing trust using secure transmission protocols |
| US10148630B2 (en) | 2014-07-31 | 2018-12-04 | Nok Nok Labs, Inc. | System and method for implementing a hosted authentication service |
| US9749131B2 (en) | 2014-07-31 | 2017-08-29 | Nok Nok Labs, Inc. | System and method for implementing a one-time-password using asymmetric cryptography |
| US9736154B2 (en) | 2014-09-16 | 2017-08-15 | Nok Nok Labs, Inc. | System and method for integrating an authentication service within a network architecture |
| US10432592B2 (en) | 2015-05-10 | 2019-10-01 | Citrix Systems, Inc. | Password encryption for hybrid cloud services |
| US10769635B2 (en) | 2016-08-05 | 2020-09-08 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10637853B2 (en) | 2016-08-05 | 2020-04-28 | Nok Nok Labs, Inc. | Authentication techniques including speech and/or lip movement analysis |
| US10237070B2 (en) | 2016-12-31 | 2019-03-19 | Nok Nok Labs, Inc. | System and method for sharing keys across authenticators |
| US10091195B2 (en) | 2016-12-31 | 2018-10-02 | Nok Nok Labs, Inc. | System and method for bootstrapping a user binding |
| US11868995B2 (en) | 2017-11-27 | 2024-01-09 | Nok Nok Labs, Inc. | Extending a secure key storage for transaction confirmation and cryptocurrency |
| US11831409B2 (en) | 2018-01-12 | 2023-11-28 | Nok Nok Labs, Inc. | System and method for binding verifiable claims |
| WO2020024141A1 (en) * | 2018-08-01 | 2020-02-06 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and apparatuses for enhancement to ip multimedia subsystem |
| US11792024B2 (en) | 2019-03-29 | 2023-10-17 | Nok Nok Labs, Inc. | System and method for efficient challenge-response authentication |
| US11321442B2 (en) * | 2020-03-20 | 2022-05-03 | Infineon Technologies Ag | Data link layer authenticity and security for automotive communication system |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101069402A (zh) * | 2004-10-26 | 2007-11-07 | 意大利电信股份公司 | 透明地验证访问web服务的移动用户的方法和系统 |
| WO2009103188A1 (en) * | 2008-02-21 | 2009-08-27 | Alcatel Shanghai Bell Co., Ltd. | One-pass authentication mechanism and system for heterogeneous networks |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2516841A1 (en) | 2003-02-25 | 2004-09-10 | Siemens Aktiengesellschaft | Method for separating ip packets which can be allocated to specific groups and ip packet |
| US7774828B2 (en) * | 2003-03-31 | 2010-08-10 | Alcatel-Lucent Usa Inc. | Methods for common authentication and authorization across independent networks |
| JP4701670B2 (ja) | 2004-10-12 | 2011-06-15 | 株式会社日立製作所 | アクセス制御システム、認証サーバ、アプリケーションサーバ、およびパケット転送装置 |
| US20060098645A1 (en) | 2004-11-09 | 2006-05-11 | Lev Walkin | System and method for providing client identifying information to a server |
| US8181262B2 (en) * | 2005-07-20 | 2012-05-15 | Verimatrix, Inc. | Network user authentication system and method |
| US8104074B2 (en) * | 2006-02-24 | 2012-01-24 | Microsoft Corporation | Identity providers in digital identity system |
| US8379638B2 (en) * | 2006-09-25 | 2013-02-19 | Certes Networks, Inc. | Security encapsulation of ethernet frames |
| JP5327832B2 (ja) * | 2007-05-16 | 2013-10-30 | 独立行政法人情報通信研究機構 | ノード識別子と位置指示子とを用いたパケットの通信方法 |
| CN101399749B (zh) * | 2007-09-27 | 2012-04-04 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
| KR101407573B1 (ko) * | 2007-12-18 | 2014-06-13 | 한국전자통신연구원 | 무선 액세스 기술과 이동ip 기반 이동성 제어 기술이적용된 차세대 네트워크 환경을 위한 통합 핸드오버 인증방법 |
| WO2010000298A1 (en) * | 2008-06-30 | 2010-01-07 | Nokia Siemens Networks Oy | Apparatus, method and program for integrated authentication |
| JP5325974B2 (ja) * | 2008-10-10 | 2013-10-23 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ゲートウェイ装置、認証サーバ、その制御方法及びコンピュータプログラム |
| US8370509B2 (en) | 2009-04-09 | 2013-02-05 | Alcatel Lucent | Identity management services provided by network operator |
| JP5348248B2 (ja) | 2009-09-25 | 2013-11-20 | 富士通株式会社 | メモリシステム及びメモリシステムの制御方法 |
| US8886935B2 (en) * | 2010-04-30 | 2014-11-11 | Kabushiki Kaisha Toshiba | Key management device, system and method having a rekey mechanism |
-
2010
- 2010-05-28 US US12/790,143 patent/US8973125B2/en not_active Expired - Fee Related
-
2011
- 2011-05-17 WO PCT/US2011/036727 patent/WO2011149704A1/en active Application Filing
- 2011-05-17 JP JP2013512655A patent/JP5603485B2/ja not_active Expired - Fee Related
- 2011-05-17 CN CN201180026413.1A patent/CN102972002B/zh not_active Expired - Fee Related
- 2011-05-17 KR KR1020127030966A patent/KR101495412B1/ko not_active IP Right Cessation
- 2011-05-17 EP EP11722965.8A patent/EP2577932A1/en not_active Withdrawn
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101069402A (zh) * | 2004-10-26 | 2007-11-07 | 意大利电信股份公司 | 透明地验证访问web服务的移动用户的方法和系统 |
| WO2009103188A1 (en) * | 2008-02-21 | 2009-08-27 | Alcatel Shanghai Bell Co., Ltd. | One-pass authentication mechanism and system for heterogeneous networks |
Non-Patent Citations (1)
| Title |
|---|
| CHRISTOFOROS NTANTOGIAN 等: "Efficient Authentication for User Autonomy in next Generation ALL-IP Networks", 《IEEE》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107431659A (zh) * | 2015-03-25 | 2017-12-01 | 英国电讯有限公司 | 移动电信路由 |
| CN107431659B (zh) * | 2015-03-25 | 2020-07-03 | 英国电讯有限公司 | 连接管理实体、通信系统以及处理连接请求的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2577932A1 (en) | 2013-04-10 |
| US8973125B2 (en) | 2015-03-03 |
| KR20130004598A (ko) | 2013-01-11 |
| WO2011149704A1 (en) | 2011-12-01 |
| KR101495412B1 (ko) | 2015-02-24 |
| CN102972002B (zh) | 2016-03-16 |
| JP2013533535A (ja) | 2013-08-22 |
| US20110296518A1 (en) | 2011-12-01 |
| JP5603485B2 (ja) | 2014-10-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102972002B (zh) | 分组网络中的应用层认证方法及装置 | |
| JP6371644B2 (ja) | 単一の登録手順を使用するクライアントのグループの安全な登録 | |
| US8370509B2 (en) | Identity management services provided by network operator | |
| US8572708B2 (en) | Method and arrangement for integration of different authentication infrastructures | |
| US8943321B2 (en) | User identity management for permitting interworking of a bootstrapping architecture and a shared identity service | |
| EP4167678A1 (en) | Network security management method and apparatus | |
| EP2572527B1 (en) | Generic bootstrapping architecture usage with web applications and web pages | |
| Li et al. | Transparent AAA security design for low-latency MEC-integrated cellular networks | |
| Sharma et al. | Improved IP multimedia subsystem authentication mechanism for 3G-WLAN networks | |
| US9326141B2 (en) | Internet protocol multimedia subsystem (IMS) authentication for non-IMS subscribers | |
| Lin et al. | Proxy-based federated authentication: a transparent third-party solution for cloud-edge federation | |
| US20110145583A1 (en) | Smart Card Security Feature Profile in Home Subscriber Server | |
| Song et al. | Design and security analysis of improved identity management protocol for 5G/IoT networks | |
| SCHMIDT et al. | Efficient Application Single-Sign-On for Evolved Mobile Networks | |
| Carlson | Security Penetration Test Framework for the Diameter Protocol |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160316 Termination date: 20170517 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |