CN103621125B - 将OpenID与电信网络整合的系统和方法 - Google Patents
将OpenID与电信网络整合的系统和方法 Download PDFInfo
- Publication number
- CN103621125B CN103621125B CN201280029047.XA CN201280029047A CN103621125B CN 103621125 B CN103621125 B CN 103621125B CN 201280029047 A CN201280029047 A CN 201280029047A CN 103621125 B CN103621125 B CN 103621125B
- Authority
- CN
- China
- Prior art keywords
- request
- mobile device
- user agent
- user
- internal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Power Engineering (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开描述一种解决方案,其允许移动设备指定某些站点被允许仅仅基于设备证书被登入。该解决方案将OpenID与电信网络整合以便验证用户的身份。此验证基于电信载体为了在GGSN处识别用户所具有的信任。该解决方案将OpenID提供器(OP)分割成为两个系统,内部OP和外部OP。外部OP可以存在于公共网络并且可以允许用户利用密码认证。内部OP存在于载体的私有网络并且被直接连接到GGSN以使得它仅仅可从GGSN到达。
Description
版权通知
本专利文件的公开的一部分包含受版权保护的材料。版权所有者不反对任何人对专利文件或专利公开的传真复制,因为它出现在专利者标局专利文档或记录中,但在别的方面保留所有任何版权。
技术领域
本发明一般涉及移动通信和电信网络,并且具体地涉及在电信网络中认证移动设备。
背景技术
近年来,人们已经越来越频繁地从它们的移动设备访问互联网服务。例如,智能电话、平板、个人数字助理(PDA)和其它手持式计算机现在已经变得几乎完全与大部分网站整合并且可以访问互联网上的多种服务。这些服务中许多需要移动设备的用户被认证,诸如通过给用户分配用户名、密码。但是,由于此类设备的紧凑的尺寸和有限的键盘能力,用户利用设备输入用户名和密码或其它认证信息可能是相当不合意的。
已有提出的许多标准,其中一些试图至少部分地为移动设备解决认证问题。一个此类现有的标准是一般引导指令架构(GBA),其利用SIM卡提供认证来允许手持机上的应用认证它们自己以便进行网络服务。在此标准之下,如果用户拥有关于本地位置寄存器(HLR)或本地用户服务器(HSS)的有效身份,则他们可以被认证。认证基于共享的秘密密钥,其中一个密钥位于用户的移动电话中并且另一个在HLR/HSS上。
称作OpenID的另一个标准已经试图通过允许用户巩固他们的数字身份来减少每个拥有者具备的身份数目。在此开放标准之下,用户可以以分散方式被认证。例如,当用户代理(UA)调用特定服务时,该服务可以查询开放ID提供器(OP),开放ID提供器将代表依赖于OP的服务认证用户代理。以这样的方式,依赖方或服务可以保证基于共享的秘密认证用户,共享的秘密已经在依赖方和OP之间预先被建立。
甚至考虑到此类标准,仍然留下许多局限性和缺陷未解决。例如,用于OpenID实施方式的大部分常见的认证机制仍然是用户名和密码组合,由于先前提及的原因,其对移动用户可能是难于负担的。已经提出将OpenID与GBA整合的至少一个解决方案,但是相当有可能此类解决方案将需要电信公司购买附加网络硬件、需要应用开发者修改他们的代码并且还需要手持机单元也改变。不惊奇,需要在电信网络的整个生态系统方面的此类改变的解决方案没有能够到达显著的牵引。
电信公司和移动网络运营者(MNO)已经与移动设备和用户具有信任关系。将期望将信任关系从手持机输出到互联网服务。在最小化涉及的许多实体当中的数目变化的同时并在解决上述缺陷的同时,输出此信任将也是有益的。申请人在构思本公开的主题时已经认识到这些,以及当前存在于本领域的其它需要。
发明内容
根据各种实施例,描述允许移动设备的用户指定仅仅基于设备证书允许登入某些站点。解决方案将OpenID与电信网络整合以便认证用户的身份。此验证基于电信载体具有并且可以使用以在网关GPRS支持节点(GGSN)处识别移动设备和用户的信任。
用于识别用户的处理基于将OpenID提供器(OP)分割成为两个系统,内部OP和外部OP。外部OP可以存在于公共网络并且可以允许用户利用密码认证。内部OP存在于载体的私有网络并且被直接连接到GGSN以使得它仅仅可从GGSN中到达。用于识别用户的处理在移动设备(用户代理)调用依赖方(RP)服务时开始。RP可以查询外部OP,请求对用户的验证统一资源定位符(URL)。RP将用户代理(UA)重定向到内部OP提供器上的验证URL。内部OP可以通过IP地址,或如果用户选择,则通过用户名和密码,来验证用户。内部OP将US重定向回到由RP提供的接受的URL。RP然后可以利用外部OP验证响应。
附图说明
图1是根据本发明的各种实施例的将OpenID与电信网络整合的系统级例示。
图2是根据本发明的各种实施例的一旦UA被重定向到内部OP呈现给UA的页面的例示。
图3是根据本发明的种实施例的将OpenID与电信网络整合的流程图例示。
图4是根据本发明的各种实施例的将OpenID与电信网络整合的序列图。
具体实施方式
本发明通过示例方式而不是通过限制方式来在附图的图示中示出,在附图中,相似的参考指示相似的元件。在此公开中提及实施例不一定是指相同的实施例,这样的提及意味着至少一个。虽然讨论特定的实施方式,但是应当理解,这仅仅是为了示例目的而进行的。本领域技术人员将理解,在不脱离本发明的范围和精神的情况下,可以使用其它组件和配置。
在下面的描述中,阐述许多特定细节以提供本发明的详尽的描述。但是,本领域技术人员显然可知,可以不用这些特定的细节来实践本发明。在其它实例中,没有详细描述公知的特征以便不模糊本发明。
根据贯穿此公开描述的各种实施例,描述能使移动设备的用户指定仅仅基于设备证书允许登陆某些站点的解决方案。解决方案将OpenID与电信网络整合以便验证用户的身份。此验证基于电信载体具有并且可以使用以在网关GPRS支持节点(GGSN)处识别移动设备和用户的信任。
目前,OpenID常常需要用户利用用户名和密码登陆。典型的OpenID流程可以如下工作:
1.用户代理(UA)调用依赖方(RP),提供标识符
2.RP查询OpenID提供器(OP),请求对用户的验证统一资源定位符(URL)
3.RP将UA重定向到OP上的验证URL
4.OP以任何手段,通常用户名/密码组合,验证用户
5.OP将UA重定向回到由RP提供的“接受的”URL
6.RP向OP验证响应
在此情况中的改变可以利用载体具有的并且可以在网关一般分组无线电服务支持节点(GGSN)处识别电话(并且因此用户)的信任。如果GGSN可以识别用户,则它应该能将该信任输出给RP。为了输出此信任,Open ID流程可以变为以下:
1.UA调用RP,提供标识符
2.RP查询外部OpenID提供器(OP),请求对用户的验证URL
3.RP将UA重定向到内部OP上的验证URL
4.内部OpenID提供器(OP)通过IP地址,或如果用户已经选择,则通过用户名/密码,验证用户
5.内部OP将UA重定向回到由RP提供的“接受的”URL
6.RP向外部OP验证响应
图1是根据本发明的各个实施例的将OpenID与电信网络整合的系统级例示。虽然此图将组件描述为逻辑上分离的,但是这样的描述仅仅用于说明性的目的。对本领域技术人员清楚的是,在此图中描绘的组件能够被组合或划分成分离的软件、固件和/或硬件。此外,对本领域技术人员还清楚是,这样的组件不管它们被如何组合或划分,能够在相同的计算设备上执行或能够分布在由一个或多个网络或其它合适的通信手段连接的不同的计算设备之间。
如示出的,OpenID提供器(OP)可以被分为两个单独的系统,内部OP112和外部OP114。术语网络可以涵盖至少两个单独的网络–所有实体可访问的公共网络(例如互联网)120;和电信提供器的内部私有网络122。控制对私有网络的访问并且其通常与公共网络通过防火墙116或其它安全措施分隔。外部OP可以存在于公共网络并且可以允许用户100利用密码认证。内部OP存在于载体的私有网络并且被直接连接到GGSN104以使得它仅仅可从GGSN中到达。用于识别用户的处理在移动设备(UA102)调用依赖方(RP)服务118时开始。RP可以查询外部OP114,请求对用户的验证URL。RP将用户代理(UA)重定向到内部OP提供器112上的验证URL。内部OP可以通过IP地址,或如果用户选择,则通过用户名和密码,验证用户。内部OP将UA重定向回到由RP118提供的接受的URL。RP然后可以向外部OP验证响应。
根据实施例,GGSN可以采用策略控制规则功能(PCRF)108和策略控制执行功能(PCEF)106以将策略应用到涉及载体的用户的通信。这些组件涵盖服务数据流程(SDF)检测、策略执行和基于流程的计费功能。此外,GGSN可以连接到在线计费服务器(OCS)110,其是用于允许通信服务提供器基于服务使用对他们的用户实时地收费的系统。这些组件的一些(或所有)可以在控制访问内部OP方面起作用,如稍后将在此文献更详细地描述的。
图2是根据本发明的各种实施例的一旦UA被重定向到内部OP呈现给UA的页面的例示。应当注意此页面仅仅是示例并且不应该被解释为将全部实施例限制到在首次登陆时需要用户名和密码组合。
如示出的,在内部OP上,当用户代理(UA)在那里被重定向时,UA可以被呈现利用用户名和密码组合认证的页面。此页面也可以包括允许设备将来在没有密码的情况下登陆的选项。要求UA输入用户名/密码。他们也被给予允许未来从设备到该服务的登陆免密码的选项。根据实施例,UA在第一次使用服务时将总是被提示输入密码,并且UA可以选择在任何时候启用或禁止免密码的登陆。
根据实施例,为了允许免密码的认证,必须保护对内部OP的访问。否则,如果内部OP可从除了GGSN的任何设备访问,则第三方可能模拟UA并且到达对RP的访问。
根据实施例,解决方案可以依赖于将OP分为两个系统。外部OP表现为正常的OP,允许用户利用密码认证。另一方面,内部OP被直接连接到GGSN,并且仅仅从GGSN中可到达。由于内部OP仅仅可从GGSN中到达,因此它将认证问题减少到对内部OP的访问控制这样一个问题。根据各种实施例,以下是执行此访问控制的若干方法:
1.GGSN上的PCEF/PCRF能够执行深度分组检测(DPI),并且能够对URL的特定部分执行验证。
2.PCEF/PCRF能够利用指定的IP地址和端口接收实时规则更新。
3.GGSN能够发起用于到特定IP地址的所有连接的新计费会话。
深度分组检测
根据实施例,如果PCEF/PCRF能够执行DPI,则用于用户的移动站国际用户电话号码(MSISDN)被编码到对OP的请求中。PCEF然后可以验证URL,丢弃不包含匹配用户简档的MSISDN的所有请求。如果用户先前已经决定允许UA具有对RP的设备认证的访问,则内部OP然后将返回成功响应。
实时规则更新
根据实施例,如果PCEF/PCRF能够执行实时更新,则外部OP将在内部OP上分配端口。它然后将构建用于UA的MSISDN的规则,允许访问端口、将此规则传递到PCRF。PCRF将更新PCEF,并且然后将成功报告回到外部OP。外部OP然后将向RP通知主机名/端口组合以在内部OP上使用以用于访问。UA然后将开启到主机名和端口的连接。由于匹配规则,因此PCEF将允许GGSN连接到UA到内部OP。内部OP信任GGSN,因此它将报告认证请求的成功。当RP联络外部OP以验证响应时,外部OP将释放分配并且从PCRF中消除规则。
新计费会话
根据实施例,如果GGSN能够向特定的IP地址发起用于每个套接字连接的新计费会话,则OCS系统的能力可以用于执行实时帐户修改以执行此连接验证。作为非限定示例,Oracle网络计费和控制(NCC)产品线提供此能力。
如在实时规则更新的方法中,外部OP将在内部OP上分配端口。它然后将通知OCS端口分配,其将利用此信息更新UA的简档。在将TCP SYN发送到内部OP之前,GGSN将向OCS发起新计费会话,在请求中提供IP地址和端口。OCS然后将对分配列表验证IP地址和端口,只有在他们匹配时,做出对计费请求的成功响应。如上,由于内部OP信任GGSN,因此它能够报告认证请求的成功。当RP联络外部OP以验证响应时,外部OP将释放分配并且更新OCS上的UA的简档。
图3是根据本发明的各种实施例的将OpenID与电信网络整合的流程图例示。虽然此图为了例示以具体序列描述功能步骤,但是处理不一定局限于此具体序列或步骤。本领域技术人员将理解,此图中描绘的各个步骤能够以多种方式变化、重新安排、并行执行或改编。此外,应当理解,某些步骤或步骤的序列能够添加到此处理或从此处理删掉,而不脱离本发明的精神和范围。
如在步骤300中示出的,处理在用户代理调用依赖方上的服务时开始并且向依赖方提供标识符。依赖方然后向外部OpenID提供器发送验证用户代理的请求(步骤302)并且还将用户代理重定向内部OpenID提供器(步骤304)。内部OP通过IP地址或通过用户名/密码验证用户,如步骤306所示。在步骤308中,内部OP将用户代理重定向回到由依赖方提供的接受的URL。最后,依赖方利用外部OP确认响应,如步骤310所示。
图4是根据本发明的各种实施例的将OpenID与电信网络整合的序列图。应当注意类似于这里描述的其它图,示出步骤的序列仅仅为了例示并且不一定意欲将所有实施例限定为具体顺序或步骤。本领域技术人员将理解,此图中描绘的各个步骤能够以多种方式变化、重新安排、并行执行或改编。此外,应当理解,某些步骤或步骤的序列能够添加到此处理或从此处理删掉,而不脱离本发明的精神和范围。
如在图4中示出的,用于识别用户的处理在UA400(例如在用户的移动设备上的网络浏览器)调用RP402上的服务时开始。在调用服务后,UA通常向RP提供它的标识符。RP接收此标识符并且使用它联系外部OP404,请求UA的验证。RP也响应于UA,将UA重定向到内部OP406。由于对内部OP的访问限于GGSN,因此当UA到达内部OP时,它被验证。一旦被验证,内部OP将UA重定向到由RP提供的接受的URL。最后,RP可以利用外部OP确定UA的验证。
贯穿在此公开以描述的各种背景,本发明的实施例进一步涵盖计算机装置、计算系统和被配置为执行上述系统和方法的机器可读介质。除了由具体设计的集成电路或其它电子设备构成的实施例之外,本发明可以方便地使用传统的通用数字计算机或微处理器或根据本公开的教导编程的专用数字计算机或微处理器实现,这对计算机领域的技术人员将是明显的。
合适的软件编码能够容易地由熟练的程序员基于本公开的教导来准备,这对软件领域的技术人员将是清楚的。本发明也可以由特定用途集成电路的制备或由将传统的组件电路的合适的网络互连来实现,这对本领域技术人员将是容易地清楚的。
各个实施例包括计算机程序产品,其是上面或其中存储指令的存储介质(介质),指令可以用于编程通用的或专门的计算处理器/设备来执行这里呈现的特征中的任何一个。存储介质能够包括以下中的一个或多个:任何类型的物理介质,包括软盘、光盘、DVD、CD-ROM、微驱动器、磁光盘、全息照相存储器、ROM、RAM、PRAMS、EPROM、EEPROM、DRAM、VRAM、闪速存储器件、磁或光卡、纳米系统(包括分子存储器IC);和适合于存储指令和/或信息的任何类型的介质或设备,但是不局限于此。计算机程序产品能够完全或部分地并且通过一个或多个公共和/或私有网络传输,其中该传输包括可以由一个或多个处理器使用以执行这里呈现的特征中的任何一个的指令。在某些实施例中,传输可以包括多个单独的传输。根据一个或多个实施例,计算机可读的存储介质本质上是非瞬时的。
本发明的优选实施例的上面的描述是为了说明和描述的目的而提供的。它不意欲是穷举的或将本发明限制于公开的精确的形式。许多修改和变化能够对本领域的实践者是明显的。选择和描述实施例以便最佳地说明本发明的原理和它的实际应用,从而使得本领域技术人员理解本发明。
Claims (29)
1.一种用于在电信网络中认证用户的系统,所述电信网络与所述电信网络外的公共网络上的OpenID提供器协作,所述电信网络外的公共网络上的OpenID提供器即外部OP,所述系统包括:
所述电信网络的私有网络,其中所述私有网络通过防火墙相对于所述公共网络被保护;
所述私有网络内部的网关节点,用于认证移动设备,每个移动设备具有与之关联的标识符和用户代理;
所述私有网络内部的OpenID提供器,即内部OP,其连接到网关节点,其中从所述网关节点仅仅通过所述电信网络的所述私有网络能够到达内部OP;以及
其中当外部OP从一服务接收到验证来自于移动设备的用户代理的请求的请求时:
所述用户代理被重定向到所述内部OP,
所述用户代理通过所述私有网络将包括所述移动设备的所述标识符的请求发送到所述网关节点,
所述网关节点通过验证所述标识符匹配所述移动设备的标识符来验证从所述用户代理接收到的请求,并且将所述请求通过所述私有网络直接转发给所述内部OP,
所述内部OP使用与移动设备相关联的标识符验证所述用户代理,以及
所述内部OP通过提供将用户代理重定向到所述服务提供的接受的URI的响应来做出响应,由此所述服务能够利用外部OP验证来自于内部OP的响应并且认证该移动设备。
2.如权利要求1所述的系统,其中所述网关节点执行深度分组检测,其中所述标识符是被编码到对内部OP的请求中的移动站国际用户电话号码(MSISDN),并且其中网关节点通过丢弃其中MSISDN不匹配所述移动设备的用户的所有请求来验证所述请求。
3.如权利要求1所述的系统,其中所述网关节点接收具有指定地址和端口的实时规则更新,其中所述系统响应于来自于外部OP的请求在内部OP上分配端口并且构建用于与移动设备相关联的所述标识符的规则,所述规则对于所述标识符授予对所述端口的访问,并且其中所述规则被传递到网关节点。
4.如权利要求1所述的系统,其中所述内部OP包括在线计费服务器(OCS)。
5.如权利要求1所述的系统,其中网关节点是充当GPRS无线数据网络和一个或多个其它网络之间的网关的一般分组无线电服务(GPRS)支持节点(GGSN)网关,并且其中网关节点还包括:
策略和计费执行功能(PCEF);和
策略控制和计费规则功能(PCRF)。
6.如权利要求1所述的系统,其中内部OP呈现请求用户名和密码的页面,所述页面还包括允许移动设备对于后续请求在没有密码的情况下登陆的选项。
7.如权利要求1所述的系统,其中对于特定的服务在初始请求之后的请求,所述内部OP在不需要用户名和密码的情况下验证用户代理。
8.一种用于在电信网络中认证用户的方法,所述电信网络与所述电信网络外的公共网络上的OpenID提供器协作,所述电信网络外的公共网络上的OpenID提供器即外部OP,所述方法包括:
提供所述电信网络的私有网络,其中所述私有网络通过防火墙相对于所述公共网络被保护;
使用所述私有网络内部的网关节点认证用户的移动设备,所述移动设备具有与之关联的标识符和用户代理;
提供所述私有网络内部的OpenID提供器,即内部OP,其中从所述网关节点仅仅通过所述电信网络的所述私有网络能够到达内部OP;
响应于所述外部OP从一服务接收到验证移动设备的用户的请求,将所述用户代理重定向到所述内部OP;
通过所述私有网络将包括所述移动设备的所述标识符的请求从所述用户代理发送到所述网关节点;
在网关节点中通过验证所述标识符匹配所述移动设备的标识符来验证从所述用户代理接收到的请求,并且将所述请求通过所述私有网络直接转发给所述内部OP;
从所述内部OP向所述用户代理发送响应;以及
将用户代理重定向到所述服务提供的接受的统一资源标识符URI,由此所述服务能够利用外部OP验证来自于内部OP的响应并且认证该移动设备。
9.如权利要求8所述的方法,其中当用户代理调用所述服务并且向所述服务提供所述标识符时,所述验证移动设备的用户的请求被发起。
10.如权利要求9所述的方法,其中所述服务在已经从移动设备接收到服务的调用后发起验证用户代理的请求,并且将所述验证用户代理的请求发送到外部OP。
11.如权利要求8所述的方法,其中用户代理被连接到网关节点。
12.如权利要求8所述的方法,其中验证用户代理通过网关节点执行深度分组检测来实现,其中所述标识符是与用户相关联的移动站国际用户电话号码(MSISDN)并且被编码在到内部OP的请求中,并且其中网关节点通过丢弃不包含与所述移动设备的用户匹配的MSISDN的所有请求来验证所述请求。
13.如权利要求8所述的方法,其中用户代理通过网关节点接收具有指定地址和端口的实时规则更新来被验证,所述规则对于与所述移动设备相关联的所述标识符授予对所述端口的访问,并且其中所述规则被传递到网关节点。
14.如权利要求8所述的方法,其中用户代理通过网关节点在在线计费服务器(OCS)中发起新计费会话来被验证,其中OCS更新与所述用户相关联的简档,并且其中OCS基于端口分配来验证移动设备。
15.如权利要求11所述的方法,其中所述电信网络包括:
策略和计费执行功能(PCEF);和
策略控制和计费规则功能(PCRF)。
16.如权利要求8所述的方法,其中内部OP呈现请求用户名和密码的页面,所述页面还包括允许用户代理对于后续请求在没有密码的情况下登陆的选项。
17.如权利要求8所述的方法,其中对于特定的服务在初始请求之后的请求,所述内部OP在不需要用户名和密码的情况下验证用户代理。
18.如权利要求8所述的方法,其中用户代理是调用服务的移动设备的网络浏览器。
19.一种用于在电信网络中认证用户的设备,所述电信网络与所述电信网络外的公共网络上的OpenID提供器协作,所述电信网络外的公共网络上的OpenID提供器即外部OP,所述设备包括:
用于提供所述电信网络的私有网络的装置,其中所述私有网络通过防火墙相对于所述公共网络被保护;
用于使用所述私有网络内部的网关节点认证用户的移动设备的装置,所述移动设备具有与之关联的标识符和用户代理;
用于提供所述私有网络内部的OpenID提供器,即内部OP的装置,其中从所述网关节点仅仅通过所述电信网络的所述私有网络能够到达所述OP;
用于响应于所述外部OP从一服务接收到验证移动设备的用户的请求,将所述用户代理重定向到所述内部OP的装置;
用于通过所述私有网络将包括所述移动设备的所述标识符的请求从所述用户代理发送到所述网关节点的装置;
用于在网关节点中通过验证所述标识符匹配所述移动设备的标识符来验证从所述用户代理接收到的请求,并且将所述请求通过所述私有网络直接转发给所述内部OP的装置;
用于从所述内部OP向所述用户代理发送响应的装置;以及
用于将用户代理重定向到所述服务提供的接受的统一资源标识符URI的装置,由此所述服务能够利用外部OP验证来自于内部OP的响应并且认证该移动设备。
20.如权利要求19所述的设备,其中当用户代理调用所述服务并且向服务提供所述标识符时,所述验证移动设备的用户的请求被发起。
21.如权利要求20所述的设备,其中所述服务在已经从移动设备接收到服务的调用后发起验证用户代理的请求,并且将所述验证用户代理的请求发送到外部OP。
22.如权利要求19所述的设备,其中用户代理被连接到网关节点。
23.如权利要求19所述的设备,其中用于验证用户代理的装置通过网关节点执行深度分组检测来实现,其中所述标识符是与用户相关联的移动站国际用户电话号码(MSISDN)并且被编码在到内部OP的请求中,并且其中网关节点通过丢弃不包含与所述移动设备的用户匹配的MSISDN的所有请求来验证所述请求。
24.如权利要求19所述的设备,其中用户代理通过网关节点接收具有指定地址和端口的实时规则更新来被验证,所述规则对于与所述移动设备相关联的所述标识符授予对所述端口的访问,并且其中所述规则被传递到网关节点。
25.如权利要求19所述的设备,其中用户代理通过网关节点在在线计费服务器(OCS)中发起新计费会话来被验证,其中OCS更新与所述用户相关联的简档,并且其中OCS基于端口分配来验证移动设备。
26.如权利要求22所述的设备,其中所述电信网络包括:
策略和计费执行功能(PCEF);和
策略控制和计费规则功能(PCRF)。
27.如权利要求19所述的设备,其中内部OP呈现请求用户名和密码的页面,所述页面还包括允许用户代理对于后续请求在没有密码的情况下登陆的选项。
28.如权利要求19所述的设备,其中对于特定的服务在初始请求之后的请求,所述内部OP在不需要用户名和密码的情况下验证用户代理。
29.如权利要求19所述的设备,其中用户代理是调用服务的移动设备的网络浏览器。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/161,028 | 2011-06-15 | ||
| US13/161,028 US9065816B2 (en) | 2011-06-15 | 2011-06-15 | Systems and methods of integrating openID with a telecommunications network |
| PCT/US2012/042629 WO2012174354A1 (en) | 2011-06-15 | 2012-06-15 | SYSTEMS AND METHODS OF INTEGRATING OpenID WITH A TELECOMMUNICATIONS NETWORK |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103621125A CN103621125A (zh) | 2014-03-05 |
| CN103621125B true CN103621125B (zh) | 2017-08-25 |
Family
ID=46354492
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280029047.XA Active CN103621125B (zh) | 2011-06-15 | 2012-06-15 | 将OpenID与电信网络整合的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US9065816B2 (zh) |
| EP (1) | EP2721856B1 (zh) |
| JP (1) | JP6067005B2 (zh) |
| CN (1) | CN103621125B (zh) |
| WO (1) | WO2012174354A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9338652B1 (en) | 2014-11-13 | 2016-05-10 | International Business Machines Corporation | Dynamic password-less user verification |
| CN105812148A (zh) * | 2014-12-30 | 2016-07-27 | 华为技术有限公司 | 一种计费方法、装置及系统 |
| US10223549B2 (en) * | 2015-01-21 | 2019-03-05 | Onion ID Inc. | Techniques for facilitating secure, credential-free user access to resources |
| CN105991590B (zh) | 2015-02-15 | 2019-10-18 | 阿里巴巴集团控股有限公司 | 一种验证用户身份的方法、系统、客户端及服务器 |
| US11877218B1 (en) | 2021-07-13 | 2024-01-16 | T-Mobile Usa, Inc. | Multi-factor authentication using biometric and subscriber data systems and methods |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523861A (zh) * | 2006-06-28 | 2009-09-02 | 艾利森电话股份有限公司 | 允许第三方影响对用户站的服务提供的方法、通信系统和收集控制器 |
| WO2009144156A1 (en) * | 2008-05-30 | 2009-12-03 | Nokia Siemens Networks Oy | Method of locating nas context |
| WO2010041347A1 (en) * | 2008-10-10 | 2010-04-15 | Telefonaktiebolaget L M Ericsson (Publ) | Gateway apparatus, authentication server, control method thereof and computer program |
Family Cites Families (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7530099B2 (en) * | 2001-09-27 | 2009-05-05 | International Business Machines Corporation | Method and system for a single-sign-on mechanism within application service provider (ASP) aggregation |
| CA2473793C (en) | 2002-02-28 | 2014-08-26 | Telefonaktiebolaget L M Ericsson (Publ) | System, method and apparatus for federated single sign-on services |
| CN100417070C (zh) * | 2005-05-30 | 2008-09-03 | 华为技术有限公司 | 一种内容计费实现方法和系统 |
| JP2009282561A (ja) * | 2008-05-19 | 2009-12-03 | Kddi Corp | ユーザ認証システム、ユーザ認証方法およびプログラム |
| US9338811B2 (en) * | 2009-03-06 | 2016-05-10 | Apple Inc. | Methods and apparatus for providing selective access to wireless network resources using detailed information |
| EP2415204B1 (en) * | 2009-04-02 | 2015-08-19 | Telefonaktiebolaget L M Ericsson (publ) | Control of a communication session |
| CN102340773A (zh) * | 2010-07-28 | 2012-02-01 | 国基电子(上海)有限公司 | Femto存取点及利用其减少用户在IMS网络中认证时间的方法 |
-
2011
- 2011-06-15 US US13/161,028 patent/US9065816B2/en active Active
-
2012
- 2012-06-15 EP EP12729793.5A patent/EP2721856B1/en active Active
- 2012-06-15 WO PCT/US2012/042629 patent/WO2012174354A1/en unknown
- 2012-06-15 JP JP2014516022A patent/JP6067005B2/ja active Active
- 2012-06-15 CN CN201280029047.XA patent/CN103621125B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101523861A (zh) * | 2006-06-28 | 2009-09-02 | 艾利森电话股份有限公司 | 允许第三方影响对用户站的服务提供的方法、通信系统和收集控制器 |
| WO2009144156A1 (en) * | 2008-05-30 | 2009-12-03 | Nokia Siemens Networks Oy | Method of locating nas context |
| WO2010041347A1 (en) * | 2008-10-10 | 2010-04-15 | Telefonaktiebolaget L M Ericsson (Publ) | Gateway apparatus, authentication server, control method thereof and computer program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6067005B2 (ja) | 2017-01-25 |
| WO2012174354A1 (en) | 2012-12-20 |
| CN103621125A (zh) | 2014-03-05 |
| US9065816B2 (en) | 2015-06-23 |
| JP2014523018A (ja) | 2014-09-08 |
| EP2721856A1 (en) | 2014-04-23 |
| EP2721856B1 (en) | 2018-11-28 |
| US20120324558A1 (en) | 2012-12-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5307836B2 (ja) | 認証およびアカウンティング制御をもつ仮想Wi−Fiサービスの方法および装置 | |
| CN104158824B (zh) | 网络实名认证方法及系统 | |
| CN101069402B (zh) | 透明地验证访问web服务的移动用户的方法和系统 | |
| CN101473670B (zh) | 用于控制网络接入的方法和系统 | |
| CN106789834B (zh) | 用于识别用户身份的方法、网关、pcrf网元和系统 | |
| CN105119887B (zh) | 呼叫方法及系统 | |
| CN103621125B (zh) | 将OpenID与电信网络整合的系统和方法 | |
| JP5739008B2 (ja) | 通信セッションを検証する方法、装置、およびシステム | |
| CN108028829A (zh) | 用于获得对网络的初始接入的方法以及相关的无线设备和网络节点 | |
| JP2009515403A (ja) | 電気通信ネットワークにおけるユーザアカウントの遠隔有効化 | |
| KR20070009634A (ko) | 엔티티의 제 1 식별정보 및 제 2 식별정보 검증 방법 | |
| CN106302391A (zh) | 一种加密数据传输方法和代理服务器 | |
| WO2003079622A1 (en) | Policy control and billing support for call transfer in a session initiation protocol (sip) network | |
| JP2009500696A (ja) | トランザクションの円滑化および認証 | |
| CN102217280B (zh) | 用户业务鉴权方法、系统及服务器 | |
| JP2009507427A (ja) | ネットワークリソース使用記録を検証する方法及びシステム | |
| CN105447715A (zh) | 用于与第三方合作的防盗刷电子优惠券的方法和装置 | |
| CN108712440A (zh) | 用户信息管理方法、装置、服务器及存储介质 | |
| CN103067342A (zh) | 一种使用eap进行外部认证的设备、系统及方法 | |
| KR20160055130A (ko) | 데이터 네트워크에 접근하기 위한 사용자의 인증에 관한 방법 및 시스템 | |
| CN102567903B (zh) | 一种Web应用订购方法、装置及系统 | |
| CN104253787A (zh) | 业务认证方法和系统 | |
| CN1659558B (zh) | 使用分层证书的基于中介器的交互工作 | |
| CN100361436C (zh) | 在移动终端和服务器之间执行相互认证的系统和方法 | |
| CN104335619B (zh) | 电信设备功能的远程解锁 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |