CN103036858A - 用户接入互联网的系统、实现方法、acf和pag - Google Patents
用户接入互联网的系统、实现方法、acf和pag Download PDFInfo
- Publication number
- CN103036858A CN103036858A CN 201110301754 CN201110301754A CN103036858A CN 103036858 A CN103036858 A CN 103036858A CN 201110301754 CN201110301754 CN 201110301754 CN 201110301754 A CN201110301754 A CN 201110301754A CN 103036858 A CN103036858 A CN 103036858A
- Authority
- CN
- China
- Prior art keywords
- sain
- user
- module
- input
- checking
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 70
- 230000008569 process Effects 0.000 title abstract description 25
- 238000004891 communication Methods 0.000 title abstract description 3
- 238000012795 verification Methods 0.000 claims abstract description 91
- 240000008791 Antiaris toxicaria Species 0.000 claims abstract description 34
- 230000006870 function Effects 0.000 claims description 37
- 238000013475 authorization Methods 0.000 claims description 26
- 230000005540 biological transmission Effects 0.000 claims description 15
- 238000007689 inspection Methods 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 13
- 238000003780 insertion Methods 0.000 claims description 11
- 230000037431 insertion Effects 0.000 claims description 11
- 238000010586 diagram Methods 0.000 description 9
- 230000004044 response Effects 0.000 description 8
- 238000005516 engineering process Methods 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000007613 environmental effect Effects 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000013507 mapping Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000011144 upstream manufacturing Methods 0.000 description 1
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种用户接入互联网的系统、实现用户接入互联网的方法、UE、ACF、PAG和UPAS,其中,该方法包括:IAF模块接收用户通过用户设备(UE)发送的分组业务接入请求,检查SAIN保护策略确定用户需要进行SAIN验证后,向SAIN验证模块发送验证请求;SAIN验证模块根据验证请求,通过SAIN输入模块获得用户输入的输入结果,从SAIN存储模块获得SAIN验证数据,将输入结果和SAIN验证数据进行比对获得验证结果,并向IAF模块返回验证结果;IAF模块根据验证结果确定是否接受分组业务接入请求。本发明通过引入SAIN,对互联网接入过程进行安全检查和保护,从而提高了互联网接入的安全性。
Description
技术领域
本发明涉及数据通信技术领域,尤其涉及一种用户接入互联网的系统、实现用户接入互联网的方法、用户设备、接入控制功能实体、分组接入网关和用户数据认证服务器。
背景技术
互联网已经广泛应用,取得了巨大的成功,而且随着高速分组移动网络广泛部署,智能移动终端的普及,互联网业务将更加丰富化。
图1示出了互联网接入的示意图,此处的互联网指分组接入网所连接的数据网络,又成为分组数据网络。对于图1中各实体的说明如下:
用户设备(User Equipment,简称UE)101,位于用户侧,支持互联网协议(Internet Protocol,简称IP),通过PAG 103接入互联网,同网络其他用户设备、业务提供进行通信。如果采用身份位置分离技术,UE使用用户接入身份标识代替IP地址,接入互联网。
接入控制功能(Access Control Function,简称ACF)实体102,位于接入业务提供商,是UE 101所在接入网的控制设备,通过与UE 101、用户数据服务器/认证服务器104之间的交互,完成UE 101的认证鉴权、移动性管理、数据连接控制等功能。
分组接入网关(Packet Access Gateway,简称PAG)103,位于接入业务提供商,是UE 101所在的接入网络与互联网之间的接口设备,负责IP地址分配、分组数据转发等功能,如果采用身份位置分离技术,还会涉及身份标识的管理、映射等功能。
用户数据认证服务器104(User Profile/Authentication Server,简称UPAS),位于接入业务提供商,保存有用户的签约数据、安全数据,为UE101提供安全接入认证功能以及用户签约数据。
应用服务器105(Application Server,简称AS),位于互联网内容提供商,为UE 101提供互联网应用。
图2为现有的用户设备接入互联网使用业务的典型过程,不同的接入技术会有所不同,该过程包括以下步骤:
步骤201、UE根据业务层请求,向ACF发送分组业务接入请求,请求建立与PAG之间的分组数据连接;
步骤202、ACF向UPAS发送认证数据请求;
步骤203、UPAS根据用户的安全数据生成认证数据,返回认证响应,其中携带认证数据;
步骤204、ACF根据获取的认证数据,调用认证过程,向UE发送认证请求,UE返回认证响应;如果认证通过,则继续执行步骤205后续过程,否则拒绝本次接入过程,接入失败;
步骤205、ACF向UPAS发送位置更新请求;
步骤206、UPAS返回位置更新响应,携带用户的签约数据,或调用独立的用户数据插入过程,将用户的签约数据发送给ACF;
步骤207、ACF向PAG发送创建数据连接会话请求;
步骤208、PAG创建用户数据连接的上下文环境,包括用户IP地址或身份,并向ACF返回创建数据连接会话成功响应;
步骤209、ACF向UE返回接入成功响应。
至此,用户建立与PAG之间的数据通道,就可以通过PAG向互联网发送上行数据包,或接受来自互联网下行数据包,使用互联网业务。
从上述过程可以看出,现有互联网的接入过程,尤其是移动终端接入互联网过程,其中安全认证过程主要是针对设备的认证,保证设备的合法性,只要设备是合法的,就允许用户接入互联网使用互联网业务。
实际业务中,可能有些业务的安全级别要求比较高,需要将这些业务承载于安全级别比较高的接入承载上,使用与普通业务不同的IP地址或身份标识,在网络侧对此类业务提供更高的安全保障,如采用专网路由等。
而且在互联网业务中,可能使用用户的IP地址或身份标识来标识用户身份,并派生业务,尤其是使用身份标识。比如接入IP多媒体子系统(IPMultimedia Subsystem,简称IMS)时,IMS可以使用IP地址或身份标识对用户进行认证,即当用户使用合法的IP地址或身份标识,就认为用户是合法的,可以使用IMS业务;其他互联网业务,如即时通讯、小额支付、虚拟社区等,也可以实现IP地址或身份标识对用户进行认证。
当用户的终端被其他人使用,由于现有的保护机制比较简单,使用者可以随意使用该终端登陆,并使用互联网业务。如果互联网业务使用IP地址或身份标识对用户进行认证,那么使用者可以进一步使用该用户的业务,对用户安全性和隐私都造成极大的威胁,且由于不同业务都使用同一安全级别的接入,无法提供差异性服务。
从上述分析可以看出,由于当前技术没有考虑用户使用互联网接入的安全问题,可能会导致互联网接入和业务应用安全问题以及隐私问题,因此需要采用新技术提高互联网接入安全,提供更多样的安全服务。
发明内容
本发明实施例提供了一种用户接入互联网的系统、实现用户接入互联网的方法、用户设备、接入控制功能实体、分组接入网关和用户数据认证服务器,以解决现有技术没有考虑用户使用互联网接入的安全问题。
本发明实施例提供了一种用户接入互联网的系统,该系统包括互联网接入功能(IAF)模块、安全接入身份号(SAIN)输入模块、SAIN验证模块和SAIN存储模块,其中:
所述IAF模块,用于接收用户通过用户设备(UE)发送的分组业务接入请求,检查SAIN保护策略确定所述用户需要进行SAIN验证后,向所述SAIN验证模块发送验证请求,接收所述SAIN验证模块返回的验证结果,并根据验证结果确定是否接受所述分组业务接入请求;
所述SAIN输入模块,用于根据所述SAIN验证模块发送的输入请求,提示用户输入SAIN,并向所述SAIN验证模块返回用户的输入结果;
所述SAIN存储模块,用于存储用户的SAIN,并根据所述SAIN验证模块发送的获取请求向所述SAIN验证模块返回获取的SAIN验证数据;
所述SAIN验证模块,用于根据所述IAF模块发送的所述验证请求,向所述SAIN输入模块发送输入请求,接收所述SAIN输入模块返回的输入结果,以及向所述SAIN存储模块发送获取请求,接收所述SAIN存储模块返回的SAIN验证数据,将所述输入结果和所述SAIN验证数据进行比对获得验证结果,并向所述IAF模块返回所述验证结果。
优选地,所述IAF模块包括位于终端侧的第一IAF单元和位于网络侧的第二IAF单元,其中:
所述第一IAF单元,用于接收用户通过用户设备(UE)发送的分组业务接入请求,检查SAIN保护策略中的SAIN配置参数确定所述用户需要进行SAIN验证后,向所述SAIN验证模块发送验证请求,接收所述SAIN验证模块返回的验证结果,若验证结果正确,向所述第二IAF单元发送验证通过信息,接收所述第二IAF单元返回的信息;
所述第二IAF单元,用于根据所述第一IAF单元发送的验证通过信息向所述第一IAF单元返回接受所述分组业务接入请求的信息;
或者,
所述第一IAF单元,用于接收用户通过UE发送的分组业务接入请求,向所述第二IAF单元发送所述分组业务接入请求,并接收所述第二IAF单元返回的信息;
所述第二IAF单元,用于根据所述第一IAF单元发送的所述分组业务接入请求,检查SAIN保护策略中的SAIN配置参数确定所述用户需要进行SAIN验证后,向所述SAIN验证模块发送验证请求,接收所述SAIN验证模块返回的验证结果,若验证结果正确,向所述第一IAF单元返回接受所述分组业务接入请求的信息。
优选地,所述第一IAF单元位于UE中,所述第二IAF单元位于接入控制功能实体(ACF)中。
优选地,所述SAIN输入模块、所述SAIN验证模块和所述SAIN存储模块均位于所述UE中。
优选地,所述输入结果为用户输入的SAIN,所述验证数据为所述SAIN存储模块存储的SAIN。
优选地,所述SAIN保护策略保存在所述UE中。
优选地,所述SAIN验证模块包括位于所述UE中的第一SAIN验证单元和位于所述ACF中的第二SAIN验证单元,其中:
所述第一SAIN验证单元,用于根据所述第一IAF单元发送的所述验证请求,向所述SAIN输入模块发送输入请求,接收所述SAIN输入模块返回的输入结果,并向所述第二SAIN验证单元发送所述输入结果;
所述第二SAIN验证单元,用于接收所述第一SAIN验证单元发送的所述输入结果;向所述SAIN存储模块发送获取请求,接收所述SAIN存储模块返回的SAIN验证数据;将接收的所述输入结果和所述SAIN验证数据进行比对获得验证结果,并向所述第二IAF单元返回所述验证结果;
所述SAIN输入模块位于所述UE中,所述SAIN存储模块位于用户数据认证服务器(UPAS)中。
优选地,所述输入结果为用户输入的SAIN,所述验证数据为所述SAIN存储模块存储的SAIN;或者
所述输入结果为基于用户输入的SAIN生成的验证信息,所述验证数据为基于所述SAIN存储模块存储的SAIN生成的验证信息。
优选地,所述SAIN保护策略保存在所述UE中或所述ACF中。
优选地,所述IAF模块,还用于确定接受分组业务接入请求之后,通知分组接入网关(PAG)对建立的会话执行所述SAIN保护策略。
本发明实施例还提供了一种应用上述系统实现用户接入互联网的方法,该方法包括:
所述IAF模块接收用户通过用户设备(UE)发送的分组业务接入请求,检查SAIN保护策略确定所述用户需要进行SAIN验证后,向所述SAIN验证模块发送验证请求;
所述SAIN验证模块根据所述验证请求,通过所述SAIN输入模块获得用户输入的输入结果,从所述SAIN存储模块获得SAIN验证数据,将所述输入结果和所述SAIN验证数据进行比对获得验证结果,并向所述IAF模块返回所述验证结果;
所述IAF模块根据所述验证结果确定是否接受所述分组业务接入请求。
本发明实施例还提供了一种应用上述系统实现用户接入互联网的方法,该方法包括:
所述UE接收所述用户发送的互联网接入请求,检查本地保存的SAIN保护策略确定所述用户需要进行SAIN验证后,向所述用户发送输入SAIN的提示信息;
所述UE接收用户输入的输入结果,并使用本地存储的验证数据对所述输入结果进行验证,若验证通过,向ACF发送验证通过信息,以及接收所述ACF根据该验证通过信息返回的接受分组业务接入请求的信息,否则,提示所述用户重新输入SAIN或拒绝所述分组业务接入请求。
优选地,所述输入结果为用户输入的SAIN,所述验证数据为本地存储的SAIN。
本发明实施例还提供了一种应用上述系统实现用户接入互联网的方法,该方法包括:
所述UE接收所述用户发送的互联网接入请求,检查本地保存的SAIN保护策略确定所述用户需要进行SAIN验证后,向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果,并将所述输入结果发送给所述ACF;
所述ACF从所述UPAS获得验证数据,使用该验证数据对所述输入结果进行验证,并向所述UE发送验证结果;
所述UE根据所述ACF发送的验证结果确定验证通过,则接受用户的互联网接入请求,确定验证未通过,则提示所述用户重新输入SAIN或拒绝用户的互联网接入请求。
优选地,所述输入结果为用户输入的SAIN,所述验证数据为UE存储的SAIN。
本发明实施例还提供了一种应用上述系统实现用户接入互联网的方法,该方法包括:
所述ACF接收所述UE发送的来自所述用户的分组业务接入请求,从所述UPAS获得SAIN保护策略和验证数据,根据所述SAIN保护策略确定所述用户需要进行SAIN验证后,通过所述UE向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果;
所述ACF使用该验证数据对所述输入结果进行验证,若验证通过,则通过所述UE向用户发送接受所述分组业务接入请求的信息,若验证未通过,则通过所述UE提示所述用户重新输入SAIN或拒绝所述分组业务接入请求。
优选地,所述输入结果为用户输入的SAIN,所述验证数据为所述UPAS存储的SAIN;或者
所述输入结果为基于用户输入的SAIN生成的验证信息,所述验证数据为基于所述UPAS存储模块存储的SAIN生成的验证信息。
本发明实施例又提供了一种用户设备(UE),该UE包括:
确定发送模块,用于接收所述用户发送的互联网接入请求,检查本地保存的安全接入身份号(SAIN)保护策略确定所述用户需要进行SAIN验证后,向所述用户发送输入SAIN的提示信息;
验证接入模块,用于接收用户输入的输入结果,并使用本地存储的验证数据对所述输入结果进行验证,若验证通过,向ACF发送验证通过信息,以及接收所述ACF根据该验证通过信息返回的允许用户接入互联网的信息,否则,提示所述用户重新输入SAIN或拒绝用户的接入请求。
本发明实施例又提供了一种用户设备(UE),该UE包括:
确定发送模块,用于接收所述用户发送的互联网接入请求,检查本地保存的安全接入身份号(SAIN)保护策略确定所述用户需要进行SAIN验证后,或者根据来自接入控制功能实体(ACF)的输入SAIN请求,向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果,并将所述输入结果发送给所述ACF;
确定接入模块,用于根据ACF发送的验证结果确定验证通过,则允许用户接入互联网,确定验证未通过,则提示所述用户重新输入SAIN或拒绝用户接入互联网。
本发明实施例又提供了一种接入控制功能实体(ACF),该ACF包括:
接收模块,用于接收用户设备(UE)发送的输入结果;
验证模块,用于从用户数据认证服务器(UPAS)获得验证数据,使用该验证数据对所述输入结果进行验证;
发送模块,用于向所述UE发送所述验证模块的验证结果。
优选地,所述ACF还包括:
确定转发模块,用于接收用户设备(UE)发送的分组业务接入请求,从所述UPAS获得安全接入身份号(SAIN)保护策略,根据所述SAIN保护策略确定所述用户需要进行SAIN验证后,通过所述UE向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果,并向所述验证模块发送所述输入结果;
所述发送模块,还用于若所述验证模块验证通过,则向所述UE发送接受所述分组业务接入请求的信息,若验证未通过,则通过所述UE提示所述用户重新输入SAIN或向所述UE发送拒绝所述分组业务接入请求的信息。
本发明实施例又提供了一种分组接入网关(PAG),该PAG包括:
接收模块,用于接收接入控制功能实体(ACF)确定接受分组业务接入请求之后发送的创建会话请求,获取其中携带的数据连接已经通过安全接入身份号(SAIN)保护验证的信息;
执行模块,用于根据所述数据连接已经通过SAIN保护验证的信息,从本地或策略控制服务器获取数据连接的处理策略,并对所述数据连接上的业务数据包执行所述处理策略。
本发明实施例又提供了一种用户数据认证服务器(UPAS),该UPAS包括:
存储模块,用于存储用于验证安全接入身份号(SAIN)的验证数据;
发送模块,用于接收接入控制功能实体(ACF)发送的获取请求,根据所述获取请求从所述存储模块获取所述验证数据,并向所述ACF发送所述验证数据。
本发明实施例,通过引入SAIN,对互联网接入过程进行安全检查和保护,从而提高了互联网接入以及互联网业务的安全性。
附图说明
图1为现有互联网接入的示意图;
图2为现有的用户设备接入互联网使用业务的典型过程;
图3是本发明实施例的用户接入互联网的系统架构图;
图4是本发明实施例的SAIN验证过程流程图;
图5是本发明图3所示系统实施例一的部署图;
图6是本发明实施例的UE验证过程流程图;
图7是本发明图3所示系统实施例二的部署图;
图8是本发明的网络验证实施例一的流程图;
图9是本发明的网络验证实施例二的流程图;
图10是本发明用户设备接入互联网使用业务实施例的信令流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
为了能满足用户安全使用互联网接入的需求,本发明实施例引入了安全接入身份号(Security Access Identification Number,简称SAIN),SAIN是一串可读的字符串,可以由数字、英文字母以及一些可读的符号(如“*”、“!”等)组成。根据安全需要,在终端侧或网络侧设置SAIN保护策略,要求用户在接入互联网使用互联网业务之前必须在终端上输入SAIN,只有用户输入SAIN正确,才允许该用户设备接入互联网,且分组接入网可以给这类经过SAIN验证的数据接入以特殊的处理策略。
这里的特殊的处理包括对承载于所述经过SAIN验证的数据连接的业务数据包使用专门的过滤准则、优先等级、服务质量、路由规则等,比如允许访问一些信息安全要求高的互联网设备,配置比较高的带宽,在网络拥塞时拥有比较高的优先接入权限,使用专门路由网络等。
如图3所示,是本发明实施例的用户接入互联网的系统架构图,该系统包括互联网接入功能(Internet Access Function,简称IAF)模块301、SAIN输入模块302、SAIN验证模块303和SAIN存储模块304,其中:
所述IAF模块301,用于接收用户通过用户设备(UE)发送的分组业务接入请求,检查SAIN保护策略确定所述用户需要进行SAIN验证后,向所述SAIN验证模块发送验证请求,接收所述SAIN验证模块返回的验证结果,并根据验证结果确定是否允许接受用户的分组业务接入请求;
具体地,IAF模块执行互联网接入控制功能,并可根据安全需要,请求SAIN验证模块对所述用户输入的SAIN进行验证,如果SAIN验证通过,执行分组业务接入过程,否则拒绝用户的接入请求。
所述IAF模块进一步可以分为UE侧和网络侧两部分,两部分共同协作,完成上述互联网接入控制功能以及SAIN保护控制功能。
当验证通过时,IAF模块进一步通知分组接入网关(PAG)对建立的数据连接会话经过SAIN验证,PAG则根据本地配置处理策略或从策略控制服务器中获取的处理策略执行相应的处理,包括对承载于所述经过SAIN验证的数据连接的业务数据包使用专门的过滤准则、优先等级、服务质量、路由规则等,比如允许访问一些信息安全要求高的互联网设备,配置比较高的带宽,在网络拥塞时拥有比较高的优先接入权限、使用专门路由网络等。
所述SAIN输入模块302,用于根据所述SAIN验证模块发送的输入请求,提示用户输入SAIN,并向所述SAIN验证模块返回用户的输入结果;
具体地,SAIN输入模块根据SAIN验证模块请求,在UE上提示用户输入SAIN,并将用户的SAIN或基于用户输入的SAIN生成验证信息作为输入结果,返回给所述SAIN验证模块。
所述SAIN输入模块位于UE侧。当SAIN输入模块和SAIN验证模块都位于UE,或SAIN验证模块位于网络侧,且允许直接传送SAIN时,SAIN输入模块可以直接将用户输入的SAIN发送给SAIN验证模块;当SAIN验证模块位于网络侧,且不允许直接传送SAIN时,SAIN输入模块使用SAIN生成验证信息,然后将验证信息作为输入结果发送给SAIN验证模块。具体生成方法可以采用不同的生成算法,例如SAIN模块使用用户输入的SAIN以及SAIN输入模块和SAIN验证模块都知晓的随机值和安全密钥经过散列计算生成验证信息,或采用数字证书体系对SAIN进行加密生成验证信息。
所述SAIN验证模块303,用于根据所述IAF模块发送的所述验证请求,向所述SAIN输入模块发送输入请求,接收所述SAIN输入模块返回的输入结果,以及向所述SAIN存储模块发送获取请求,接收所述SAIN存储模块返回的SAIN验证数据,将所述输入结果和所述SAIN验证数据进行比对获得验证结果,并向所述IAF模块返回所述验证结果。
具体地,SAIN验证模块根据IAF模块请求,发起SAIN验证过程,与SAIN输入模块交互获取用户输入的SAIN或基于用户输入SAIN生成的验证信息,并从SAIN存储模块获取SAIN或基于SAIN生成的验证信息,作为验证数据与输入结果进行比对,返回验证结果。
根据具体部署方式,SAIN验证模块位于UE侧或网络侧两部分,其中网络侧部分部署在ACF。
所述SAIN存储模块304,用于存储用户的SAIN,并根据所述SAIN验证模块发送的获取请求向所述SAIN验证模块返回获取的SAIN验证数据;
具体地,SAIN存储模块当接收到SAIN验证模块的请求获取存储的SAIN,返回所存储的SAIN或基于所存储的SAIN生成的验证信息。
基于所存储的SAIN生成的验证信息的算法必须与SAIN输入模块中生成算法相同。
如图4所示,是本发明实施例的SAIN验证过程流程图,该过程包括以下步骤:
步骤401、用户使用UE请求互联网业务,IAF模块收到业务请求,准备执行分组业务接入功能;
步骤402、IAF模块检查UE本地或网络的SAIN保护策略中的SAIN配置参数,如果要求进行SAIN安全保护,则执行步骤403,否则执行步骤410;
步骤403、IAF模块向SAIN验证模块请求进行SAIN验证;
步骤404、SAIN验证模块向SAIN输入模块请求用户输入SAIN,获取SAIN输入结果,可以直接是用户输入的SAIN,也可以是基于用户输入的SAIN生成的验证信息;
步骤405、SAIN输入模块提示用户输入SAIN,并将用户输入结果(SAIN或基于用户输入的SAIN生成SAIN验证信息)返回给SAIN验证模块;
步骤406、SAIN验证模块向SAIN存储模块请求存储的SAIN或基于存储的SAIN生成的验证数据;
步骤407、SAIN存储模块查询所存储的SAIN,返回验证数据,验证数据可以是所存储的SAIN或基于所存储的SAIN生成验证信息,并将上述验证数据返回给SAIN验证模块;
步骤408、SAIN验证模块将步骤405中获取的输入结果与步骤407中获取的验证数据进行比对,并向IAF模块返回验证结果;
步骤409、如果验证通过,IAF执行步骤410,否则退出服务,拒绝用户本次业务请求;
步骤410、IAF调用分组接入过程,建立UE与PAG之间的数据连接,至此用户接入互联网,使用互联网业务。
如图5所示,是本发明图3所示系统实施例一的部署图,将图3所示的功能模块分别部署在UE 506和分组接入网络507(即业务提供商部署的互联网接入网络),其中IAF模块分为UE侧部分501和网络侧部分505,分别部署在UE 506和分组接入网络507中,SAIN输入模块502、SAIN验证模块503和SAIN存储模块504部署在506UE中,IAF模块(网络侧)一般部署在接入业务提供商的ACF(图1中的102)上。
用户或运营商在UE中配置SAIN保护策略,是否对互联网接入使用SAIN验证保护,如果需要,还要进一步设置SAIN配置参数,该参数保存在SAIN存储模块中。
用户在UE中设置SAIN配置参数,指用户直接在UE上通过UE的用户交互界面进行设置;运营商在UE中设置安全参数,网络运营商在网络中设置,通过与UE之间的接口(如短信接口、推送业务接口、移动终端配置接口、移动终端策略控制接口等)将配置参数发送给UE。
如图6所示,是本发明实施例的UE验证过程流程图,在图中UE内部没有示出具体模块,主要从外部行为描述实施过程,该过程包括以下步骤:
步骤601、用户使用UE请求互联网业务;
步骤602、UE中的IAF模块(UE侧)收到业务层的分组业务接入请求,检查SAIN保护策略,如果需要验证保护,执行步骤603,否则直接执行步骤606;
步骤603、IAF模块(UE侧)调用SAIN验证模块,请求进行SAIN验证,SAIN验证模块进一步调用SAIN输入模块,提示用户输入SAIN;
步骤604、用户根据提示输入SAIN;
步骤605、IAF模块将用户输入结果返回给SAIN验证模块,SAIN验证模块从SAIN存储模块中获取SAIN,并与用户输入的进行比对,如果正确,执行步骤606,否则可以要求用户重新输入,或直接通知互联网接入模块退出服务,拒绝用户本次分组业务接入请求;
由于SAIN输入模块和SAIN存储模块都位于UE,因此直接对用户输入的SAIN进行验证,没有必要基于输入或存储的SAIN生成验证信息。
步骤606、IAF模块(UE侧)与IAF模块(网络侧)(图中未示出)交互,执行分组业务接入功能,建立UE和PAG之间的数据连接,;。
步骤607、至此,用户接入到互联网,可以使用互联网业务。
如图7所示,是本发明图3所示系统实施例二的部署图,将图3所示的功能模块分别部署在UE 707和分组接入网络708,其中IAF模块分为UE侧部分701和网络侧部分702,分别部署在UE 707和分组接入网络708中,SAIN输入模块703部署在UE 707中,SAIN验证模块也分为UE侧部分704和网络侧部分705两部分,SAIN存储模块706部署在分组接入网708中。
具体地,互联网接入功能模块(网络侧)702和SAIN验证模块(网络侧)705一般部署在接入业务提供商的ACF(图1中的102)上,SAIN存储模块706部署在UPAS上(图1中的104)。
SAIN配置参数以配置在UE侧,也可以配置在网络侧,SAIN保存在网络侧的SAIN存储模块中。
根据SAIN配置参数设置位置的不同,分别对应图8和图9所示的实施例。
如图8所示,是本发明的网络验证实施例一的流程图,此时SAIN配置参数设置在UE上。在图中示出了UE、接入控制功能体、用户数据认证服务器,没有具体示出具体模块,主要从外部行为描述实施过程,该过程包括以下步骤:
步骤801、用户使用UE请求互联网业务;
步骤802、UE中的IAF模块(UE侧)收到业务层的分组业务接入请求,检查本地互联网接入SAIN验证保护项,如果需要验证保护,执行步骤803,否则直接执行步骤810;
步骤803、IAF模块(UE侧)调用SAIN验证模块,请求进行SAIN验证,SAIN验证模块进一步调用SAIN输入模块,提示用户输入SAIN;
步骤804、用户根据提示输入SAIN;
步骤805、SAIN输入模块将输入结果(SAIN或基于SAIN生成的验证信息)返回给SAIN验证模块(UE侧),SAIN验证模块(UE)将输入结果发送给位于ACF中的SAIN验证模块(网络侧);
步骤806、SAIN验证模块(网络侧)向SAIN存储模块请求验证数据;
步骤807、SAIN存储模块获取存储的SAIN,并将验证数据(存储的SAIN或基于存储的SAIN验证信息)返回给SAIN验证模块(网络侧);
步骤808、SAIN验证模块(网络侧)将步骤805中获取的输入结果与步骤807中获取的验证数据进行比对,并向IAF模块返回验证结果;
步骤809、如果验证结果正确,IAF模块执行步骤810,否则可以要求用户重新输入,或直接通知IAF,退出服务,拒绝本次分组接入请求;
步骤810、IAF模块(UE侧)与IAF模块(网络侧)(图中未示出)交互,执行分组接入功能,建立UE和PAG之间的数据连接。
步骤811、至此,用户接入到互联网,可以使用互联网业务。
如图9所示,是本发明的网络验证实施例二的流程图,此时SAIN配置参数设置在网络中上,如在用户数据认证服务器上,作为用户数据中的一部分。在图中示出了UE、接入控制功能体、用户数据认证服务器,没有具体示出具体模块,主要从外部行为描述实施过程,该过程包括以下步骤:
步骤901、用户使用UE请求互联网业务;
步骤902、UE中的IAF模块(UE侧)收到业务层的分组业务接入请求,向ACF发送分组业务接入请求;
步骤903、ACF中的IAF模块(网络侧)向UPAS请求用户数据和安全数据;
步骤904、UPAS向ACF返回用户数据和安全数据;
具体实施时,可以用户数据中包括SAIN验证保护选项,如果需要验证保护,在安全数据中还会包含SAIN验证数据,所述SAIN验证数据是用户数据认证服务器存储的SAIN或基于存储的SAIN生成的验证信息。
步骤905、ACF中的IAF模块(网络侧)检查用户数据中SAIN配置参数,如果需要验证保护,执行步骤906,否则直接执行步骤912;
步骤906、ACF中的IAF模块(网络侧)调用SAIN验证模块(网络侧),请求进行SAIN验证,SAIN验证模块(网络侧)进一步请求UE提示用户输入SAIN;
步骤907、UE侧SAIN验证模块调用SAIN输入模块,提示用户输入SAIN;
步骤908、用户根据提示输入SAIN;
步骤909、SAIN输入模块将被输入结果(SAIN或基于SAIN生成的验证信息)返回给SAIN验证模块(UE侧),SAIN验证模块(UE)将输入结果发送给位于ACF中的SAIN验证模块(网络侧);
步骤910、SAIN验证模块(网络侧)将步骤904中获取的验证数据与步骤909中获取的输入结果进行比对,并向IAF模块返回验证结果;
步骤911、如果验证结果正确,IAF模块执行步骤912,否则可以要求用户重新输入,或直接退出服务,拒绝本次分组业务接入请求;
步骤912~913、互联网接入模块(UE侧)与互联网接入模块(网络侧)交互,执行分组业务接入功能,建立UE和PAG之间的数据连接。
步骤914、至此,用户接入到互联网中,可以使用互联网业务。
如图10所示,是本发明用户设备接入互联网使用业务实施例的信令流程图,该实施例采用图9示例的网络验证方式,主要从业务流程角度描述实施过程,该过程包括以下步骤:
步骤1001~1004与图2中的步骤201~204相同;
步骤1005、ACF向UPAS发送位置更新请求;
步骤1006、UPAS返回位置更新响应,携带用户的签约数据,或调用独立的用户数据插入过程,将用户的签约数据发送给ACF;
签约数据中包含SAIN验证保护选项,如果需要验证保护,在安全数据中还会包含SAIN验证数据,所述SAIN验证数据是用户数据认证服务器存储的SAIN或基于存储的SAIN生成的验证信息。
步骤1007、ACF检查用户数据中SAIN验证保护项,如果本次接入需要验证保护,执行步骤1008,否则直接执行步骤1011;
步骤1008、ACF向UE发送SAIN输入请求,UE提示用户输入SAIN;
步骤1009、用户根据提示输入SAIN,UE将被输入结果发送给ACF;
步骤1010、ACF将输入结果与1006中获取的SAIN验证数据进行比对,如果验证结果正确,则执行步骤1011,否则可以要求用户重新输入,或直接退出服务,拒绝用户接入;
步骤1011、ACF向PAG发送创建数据连接会话请求,并可进一步通知PAG该数据连接会话已经通过SAIN保护验证;
步骤1012、PAG创建用户接入的上下文环境,包括用户IP地址或身份,并向ACF返回创建会话成功响应;
当PAG获知该数据连接会话已经通过SAIN保证验证,则可根据本地配置处理策略或从策略控制服务器中获取的处理策略执行相应的处理,包括对承载于所述经过SAIN验证的数据连接的业务数据包使用专门的过滤准则、优先等级、服务质量、路由规则等,比如允许访问一些信息安全要求高的互联网设备,配置比较高的带宽,在网络拥塞时拥有比较高的优先接入权限、使用专门路由网络等。
步骤1013、ACF向UE返回接入成功响应。
至此,建立了UE和PAG之间的数据连接,用户接入到互联网中,可以通过PAG发送上下行数据包,使用互联网业务。
本发明实施例,通过引入SAIN,对互联网接入过程进行安全检查和保护,从而提高了互联网接入以及互联网业务的安全性,尤其是针对以用户标识方式接入互联网的场景。
本发明实施例还提供了一种用户设备(UE),该UE包括确定发送模块和验证接入模块,其中:
确定发送模块,用于接收所述用户发送的互联网接入请求,检查本地保存的安全接入身份号(SAIN)保护策略确定所述用户需要进行SAIN验证后,向所述用户发送输入SAIN的提示信息;
验证接入模块,用于接收用户输入的输入结果,并使用本地存储的验证数据对所述输入结果进行验证,若验证通过,向ACF发送验证通过信息,以及接收所述ACF根据该验证通过信息返回的允许用户接入互联网的信息,否则,提示所述用户重新输入SAIN或拒绝用户的接入请求。
该UE通过引入SAIN,对互联网接入过程进行安全检查和保护,从而提高了互联网接入以及互联网业务的安全性,该UE的内部结构与图5中所示UE的内部结构相同,其实现流程可参见图6,此处不再赘述。
本发明实施例还提供了一种用户设备(UE),该UE包括确定发送模块和确定接入模块,其中:
确定发送模块,用于接收所述用户发送的互联网接入请求,检查本地保存的安全接入身份号(SAIN)保护策略确定所述用户需要进行SAIN验证后,或者根据来自接入控制功能实体(ACF)的输入SAIN请求,向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果,并将所述输入结果发送给所述ACF;
确定接入模块,用于根据ACF发送的验证结果确定验证通过,则允许用户接入互联网,确定验证未通过,则提示所述用户重新输入SAIN或拒绝用户接入互联网。
该UE通过引入SAIN,对互联网接入过程进行安全检查和保护,从而提高了互联网接入以及互联网业务的安全性,该UE的内部结构与图7中所示UE的内部结构相同,其实现流程可参见图8和图9,此处不再赘述。
本发明实施例还提供了一种接入控制功能实体(ACF),该ACF包括接收模块、验证模块和发送模块,其中:
接收模块,用于接收用户设备(UE)发送的输入结果;
验证模块,用于从用户数据认证服务器(UPAS)获得验证数据,使用该验证数据对所述输入结果进行验证;
发送模块,用于向所述UE发送所述验证模块的验证结果。
包括上述模块的ACF的实现流程可参见图8。
另外,上述ACF还可以包括:确定转发模块,用于接收用户设备(UE)发送的分组业务接入请求,从所述UPAS获得安全接入身份号(SAIN)保护策略,根据所述SAIN保护策略确定所述用户需要进行SAIN验证后,通过所述UE向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果,并向所述验证模块发送所述输入结果;所述发送模块,还用于若所述验证模块验证通过,则向所述UE发送接受所述分组业务接入请求的信息,若验证未通过,则通过所述UE提示所述用户重新输入SAIN或向所述UE发送拒绝所述分组业务接入请求的信息。此时的ACF的实现流程可参见图9,内部结构与图7中的ACF的结构相同。
上述ACF,通过进行SAIN验证,对互联网接入过程进行安全检查和保护,从而提高了互联网接入以及互联网业务的安全性。
本发明实施例还提供了一种分组接入网关(PAG),该PAG包括:
接收模块,用于接收接入控制功能实体(ACF)确定接受分组业务接入请求之后发送的创建会话请求,获取其中携带的数据连接已经通过安全接入身份号(SAIN)保护验证的信息;
执行模块,用于根据所述数据连接已经通过SAIN保护验证的信息,从本地或策略控制服务器获取数据连接的处理策略,并对所述数据连接上的业务数据包执行所述处理策略。
该实施例中的数据连接是指UE和PAG之间的数据通道。
该PAG在用户接入互联网后,可以执行SAIN保护策略,有效提高了互联网接入以及互联网业务的安全性,其实现过程可参见图10,此处不再赘述。
本发明实施例还一种用户数据认证服务器(UPAS),该UPAS包括:
存储模块,用于存储用于验证安全接入身份号(SAIN)的验证数据;
发送模块,用于接收接入控制功能实体(ACF)发送的获取请求,根据所述获取请求从所述存储模块获取所述验证数据,并向所述ACF发送所述验证数据。
上述UPAS存储验证数据,为UE、ACF等设备可以完成SAIN验证奠定了基础。
需要说明的是,互联网业务接入请求是从用户的角度进行描述的,即用户发送的是互联网业务接入请求,使用的是互联网业务;分组业务接入请求是从UE的角度进行描述的,即UE发送的是分组业务接入请求,处理的是分组业务。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,上述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。
Claims (23)
1.一种用户接入互联网的系统,该系统包括互联网接入功能(IAF)模块、安全接入身份号(SAIN)输入模块、SAIN验证模块和SAIN存储模块,其中:
所述IAF模块,用于接收用户通过用户设备(UE)发送的分组业务接入请求,检查SAIN保护策略确定所述用户需要进行SAIN验证后,向所述SAIN验证模块发送验证请求,接收所述SAIN验证模块返回的验证结果,并根据验证结果确定是否接受所述分组业务接入请求;
所述SAIN输入模块,用于根据所述SAIN验证模块发送的输入请求,提示用户输入SAIN,并向所述SAIN验证模块返回用户的输入结果;
所述SAIN存储模块,用于存储用户的SAIN,并根据所述SAIN验证模块发送的获取请求向所述SAIN验证模块返回获取的SAIN验证数据;
所述SAIN验证模块,用于根据所述IAF模块发送的所述验证请求,向所述SAIN输入模块发送输入请求,接收所述SAIN输入模块返回的输入结果,以及向所述SAIN存储模块发送获取请求,接收所述SAIN存储模块返回的SAIN验证数据,将所述输入结果和所述SAIN验证数据进行比对获得验证结果,并向所述IAF模块返回所述验证结果。
2.根据权利要求1所述的系统,其特征在于:
所述IAF模块包括位于终端侧的第一IAF单元和位于网络侧的第二IAF单元,其中:
所述第一IAF单元,用于接收用户通过用户设备(UE)发送的分组业务接入请求,检查SAIN保护策略中的SAIN配置参数确定所述用户需要进行SAIN验证后,向所述SAIN验证模块发送验证请求,接收所述SAIN验证模块返回的验证结果,若验证结果正确,向所述第二IAF单元发送验证通过信息,接收所述第二IAF单元返回的信息;
所述第二IAF单元,用于根据所述第一IAF单元发送的验证通过信息向所述第一IAF单元返回接受所述分组业务接入请求的信息;
或者,
所述第一IAF单元,用于接收用户通过UE发送的分组业务接入请求,向所述第二IAF单元发送所述分组业务接入请求,并接收所述第二IAF单元返回的信息;
所述第二IAF单元,用于根据所述第一IAF单元发送的所述分组业务接入请求,检查SAIN保护策略中的SAIN配置参数确定所述用户需要进行SAIN验证后,向所述SAIN验证模块发送验证请求,接收所述SAIN验证模块返回的验证结果,若验证结果正确,向所述第一IAF单元返回接受所述分组业务接入请求的信息。
3.根据权利要求2所述的系统,其特征在于:
所述第一IAF单元位于UE中,所述第二IAF单元位于接入控制功能实体(ACF)中。
4.根据权利要求3所述的系统,其特征在于:
所述SAIN输入模块、所述SAIN验证模块和所述SAIN存储模块均位于所述UE中。
5.根据权利要求4所述的系统,其特征在于:
所述输入结果为用户输入的SAIN,所述验证数据为所述SAIN存储模块存储的SAIN。
6.根据权利要求3所述的系统,其特征在于:
所述SAIN保护策略保存在所述UE中。
7.根据权利要求3所述的系统,其特征在于:
所述SAIN验证模块包括位于所述UE中的第一SAIN验证单元和位于所述ACF中的第二SAIN验证单元,其中:
所述第一SAIN验证单元,用于根据所述第一IAF单元发送的所述验证请求,向所述SAIN输入模块发送输入请求,接收所述SAIN输入模块返回的输入结果,并向所述第二SAIN验证单元发送所述输入结果;
所述第二SAIN验证单元,用于接收所述第一SAIN验证单元发送的所述输入结果;向所述SAIN存储模块发送获取请求,接收所述SAIN存储模块返回的SAIN验证数据;将接收的所述输入结果和所述SAIN验证数据进行比对获得验证结果,并向所述第二IAF单元返回所述验证结果;
所述SAIN输入模块位于所述UE中,所述SAIN存储模块位于用户数据认证服务器(UPAS)中。
8.根据权利要求7所述的系统,其特征在于:
所述输入结果为用户输入的SAIN,所述验证数据为所述SAIN存储模块存储的SAIN;或者
所述输入结果为基于用户输入的SAIN生成的验证信息,所述验证数据为基于所述SAIN存储模块存储的SAIN生成的验证信息。
9.根据权利要求7所述的系统,其特征在于:
所述SAIN保护策略保存在所述UE中或所述ACF中。
10.根据权利要求6或9所述的系统,其特征在于:
所述IAF模块,还用于确定接受分组业务接入请求之后,通知分组接入网关(PAG)对建立的会话执行所述SAIN保护策略。
11.一种应用权利要求1所述的系统实现用户接入互联网的方法,该方法包括:
所述IAF模块接收用户通过用户设备(UE)发送的分组业务接入请求,检查SAIN保护策略确定所述用户需要进行SAIN验证后,向所述SAIN验证模块发送验证请求;
所述SAIN验证模块根据所述验证请求,通过所述SAIN输入模块获得用户输入的输入结果,从所述SAIN存储模块获得SAIN验证数据,将所述输入结果和所述SAIN验证数据进行比对获得验证结果,并向所述IAF模块返回所述验证结果;
所述IAF模块根据所述验证结果确定是否接受所述分组业务接入请求。
12.一种应用权利要求4所述的系统实现用户接入互联网的方法,该方法包括:
所述UE接收所述用户发送的互联网接入请求,检查本地保存的SAIN保护策略确定所述用户需要进行SAIN验证后,向所述用户发送输入SAIN的提示信息;
所述UE接收用户输入的输入结果,并使用本地存储的验证数据对所述输入结果进行验证,若验证通过,向ACF发送验证通过信息,以及接收所述ACF根据该验证通过信息返回的接受分组业务接入请求的信息,否则,提示所述用户重新输入SAIN或拒绝所述分组业务接入请求。
13.根据权利要求12所述的方法,其特征在于:
所述输入结果为用户输入的SAIN,所述验证数据为本地存储的SAIN。
14.一种应用权利要求7所述的系统实现用户接入互联网的方法,该方法包括:
所述UE接收所述用户发送的互联网接入请求,检查本地保存的SAIN保护策略确定所述用户需要进行SAIN验证后,向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果,并将所述输入结果发送给所述ACF;
所述ACF从所述UPAS获得验证数据,使用该验证数据对所述输入结果进行验证,并向所述UE发送验证结果;
所述UE根据所述ACF发送的验证结果确定验证通过,则接受用户的互联网接入请求,确定验证未通过,则提示所述用户重新输入SAIN或拒绝用户的互联网接入请求。
15.根据权利要求14所述的方法,其特征在于:
所述输入结果为用户输入的SAIN,所述验证数据为UE存储的SAIN。
16.一种应用权利要求7所述的系统实现用户接入互联网的方法,该方法包括:
所述ACF接收所述UE发送的来自所述用户的分组业务接入请求,从所述UPAS获得SAIN保护策略和验证数据,根据所述SAIN保护策略确定所述用户需要进行SAIN验证后,通过所述UE向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果;
所述ACF使用该验证数据对所述输入结果进行验证,若验证通过,则通过所述UE向用户发送接受所述分组业务接入请求的信息,若验证未通过,则通过所述UE提示所述用户重新输入SAIN或拒绝所述分组业务接入请求。
17.根据权利要求16所述的方法,其特征在于:
所述输入结果为用户输入的SAIN,所述验证数据为所述UPAS存储的SAIN;或者
所述输入结果为基于用户输入的SAIN生成的验证信息,所述验证数据为基于所述UPAS存储模块存储的SAIN生成的验证信息。
18.一种用户设备(UE),该UE包括:
确定发送模块,用于接收所述用户发送的互联网接入请求,检查本地保存的安全接入身份号(SAIN)保护策略确定所述用户需要进行SAIN验证后,向所述用户发送输入SAIN的提示信息;
验证接入模块,用于接收用户输入的输入结果,并使用本地存储的验证数据对所述输入结果进行验证,若验证通过,向ACF发送验证通过信息,以及接收所述ACF根据该验证通过信息返回的允许用户接入互联网的信息,否则,提示所述用户重新输入SAIN或拒绝用户的接入请求。
19.一种用户设备(UE),该UE包括:
确定发送模块,用于接收所述用户发送的互联网接入请求,检查本地保存的安全接入身份号(SAIN)保护策略确定所述用户需要进行SAIN验证后,或者根据来自接入控制功能实体(ACF)的输入SAIN请求,向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果,并将所述输入结果发送给所述ACF;
确定接入模块,用于根据ACF发送的验证结果确定验证通过,则允许用户接入互联网,确定验证未通过,则提示所述用户重新输入SAIN或拒绝用户接入互联网。
20.一种接入控制功能实体(ACF),该ACF包括:
接收模块,用于接收用户设备(UE)发送的输入结果;
验证模块,用于从用户数据认证服务器(UPAS)获得验证数据,使用该验证数据对所述输入结果进行验证;
发送模块,用于向所述UE发送所述验证模块的验证结果。
21.根据权利要求20所述的ACF,其特征在于,所述ACF还包括:
确定转发模块,用于接收用户设备(UE)发送的分组业务接入请求,从所述UPAS获得安全接入身份号(SAIN)保护策略,根据所述SAIN保护策略确定所述用户需要进行SAIN验证后,通过所述UE向所述用户发送输入SAIN的提示信息,接收用户输入的输入结果,并向所述验证模块发送所述输入结果;
所述发送模块,还用于若所述验证模块验证通过,则向所述UE发送接受所述分组业务接入请求的信息,若验证未通过,则通过所述UE提示所述用户重新输入SAIN或向所述UE发送拒绝所述分组业务接入请求的信息。
22.一种分组接入网关(PAG),该PAG包括:
接收模块,用于接收接入控制功能实体(ACF)确定接受分组业务接入请求之后发送的创建会话请求,获取其中携带的数据连接已经通过安全接入身份号(SAIN)保护验证的信息;
执行模块,用于根据所述数据连接已经通过SAIN保护验证的信息,从本地或策略控制服务器获取数据连接的处理策略,并对所述数据连接上的业务数据包执行所述处理策略。
23.一种用户数据认证服务器(UPAS),该UPAS包括:
存储模块,用于存储用于验证安全接入身份号(SAIN)的验证数据;
发送模块,用于接收接入控制功能实体(ACF)发送的获取请求,根据所述获取请求从所述存储模块获取所述验证数据,并向所述ACF发送所述验证数据。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110301754.7A CN103036858B (zh) | 2011-10-09 | 2011-10-09 | 用户接入互联网的系统、实现方法、acf和pag |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110301754.7A CN103036858B (zh) | 2011-10-09 | 2011-10-09 | 用户接入互联网的系统、实现方法、acf和pag |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103036858A true CN103036858A (zh) | 2013-04-10 |
| CN103036858B CN103036858B (zh) | 2018-10-26 |
Family
ID=48023347
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201110301754.7A Active CN103036858B (zh) | 2011-10-09 | 2011-10-09 | 用户接入互联网的系统、实现方法、acf和pag |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103036858B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111528A (zh) * | 2017-12-29 | 2018-06-01 | 中链科技有限公司 | 一种基于区块链的防钓鱼方法及系统 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102111349A (zh) * | 2009-12-25 | 2011-06-29 | 上海格尔软件股份有限公司 | 安全认证网关 |
| CN101827110B (zh) * | 2010-05-13 | 2012-09-26 | 中国工商银行股份有限公司 | 一种企业局域网中的应用服务器访问系统 |
| CN101931533B (zh) * | 2010-08-23 | 2014-09-10 | 中兴通讯股份有限公司 | 认证方法、装置和系统 |
-
2011
- 2011-10-09 CN CN201110301754.7A patent/CN103036858B/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108111528A (zh) * | 2017-12-29 | 2018-06-01 | 中链科技有限公司 | 一种基于区块链的防钓鱼方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103036858B (zh) | 2018-10-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9699158B2 (en) | Network user identification and authentication | |
| KR100966516B1 (ko) | 세션 개시 프로토콜을 통해 트러스티드 네트워크 지원형 액세스 네트워크 정보를 전달하는 시스템 및 방법 | |
| EP2770662A1 (en) | Centralized security management method and system for third party application and corresponding communication system | |
| US8806608B2 (en) | Authentication server and method for controlling mobile communication terminal access to virtual private network | |
| US20080072301A1 (en) | System And Method For Managing User Authentication And Service Authorization To Achieve Single-Sign-On To Access Multiple Network Interfaces | |
| CN102196426B (zh) | 一种接入ims网络的方法、装置和系统 | |
| KR101146204B1 (ko) | 패킷 데이터 네트워크에 응급 서비스 신뢰를 제공하기 위한 시스템 및 방법 | |
| EP3609152A1 (en) | Internet-of-things authentication system and internet-of-things authentication method | |
| CN101986598B (zh) | 认证方法、服务器及系统 | |
| CN101714918A (zh) | 一种登录vpn的安全系统以及登录vpn的安全方法 | |
| US20100306820A1 (en) | Control of message to be transmitted from an emitter domain to a recipient domain | |
| CN109525565B (zh) | 一种针对短信拦截攻击的防御方法及系统 | |
| WO2013040957A1 (zh) | 单点登录的方法、系统和信息处理方法、系统 | |
| WO2013056619A1 (zh) | 一种身份联合的方法、IdP、SP及系统 | |
| US8406223B2 (en) | Mechanism for protecting H.323 networks for call set-up functions | |
| EP2638496A2 (en) | Method and system for providing service access to a user | |
| CN108200039B (zh) | 基于动态创建临时账号密码的无感知认证授权系统和方法 | |
| CN103051598B (zh) | 安全接入互联网业务的方法、用户设备和分组接入网关 | |
| KR20220002455A (ko) | Some/ip 통신 프로토콜을 사용하여 차량 내 데이터 또는 메시지들 전송 개선 | |
| CN114189380A (zh) | 一种基于零信任的物联网设备分布式认证系统及授权方法 | |
| JP4965499B2 (ja) | 認証システム、認証装置、通信設定装置および認証方法 | |
| JP4555311B2 (ja) | トンネル通信システム、制御装置およびトンネル通信装置 | |
| CN103036858A (zh) | 用户接入互联网的系统、实现方法、acf和pag | |
| CN106576245B (zh) | 用户设备邻近请求认证 | |
| CN111163465B (zh) | 连接用户终端与本地终端的方法、装置以及呼叫中心系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180717 Address after: 210012 No. 68, Bauhinia Road, Ningnan street, Yuhuatai District, Nanjing, Jiangsu Applicant after: Nanjing Zhongxing Software Co., Ltd. Address before: 518057 Nanshan District high tech Industrial Park, Shenzhen, Guangdong, Ministry of justice, Zhongxing Road, South China road. Applicant before: ZTE Corporation |
|
| TA01 | Transfer of patent application right | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20191106 Address after: 518057 Nanshan District science and Technology Industrial Park, Guangdong high tech Industrial Park, ZTE building Patentee after: ZTE Communications Co., Ltd. Address before: 210012 Nanjing, Yuhuatai District, South Street, Bauhinia Road, No. 68 Patentee before: Nanjing Zhongxing Software Co., Ltd. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20201228 Address after: 251709 taofang village, Xindian Town, Huimin County, Binzhou City, Shandong Province Patentee after: Binzhou Tengjie Machinery Co.,Ltd. Address before: 518057 Zhongxing building, science and technology south road, Nanshan District hi tech Industrial Park, Guangdong, Shenzhen Patentee before: ZTE Corp. |
|
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211022 Address after: Room 01-1, 6 / F, building B3, software industry phase 4.1, No.1, Software Park East Road, Donghu New Technology Development Zone, Wuhan City, Hubei Province, 430000 Patentee after: Wuhan dobit Information Technology Co.,Ltd. Address before: 251709 taofang village, Xindian Town, Huimin County, Binzhou City, Shandong Province Patentee before: Binzhou Tengjie Machinery Co.,Ltd. |
|
| TR01 | Transfer of patent right |