CN104272781B - 从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统 - Google Patents
从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统 Download PDFInfo
- Publication number
- CN104272781B CN104272781B CN201280072968.4A CN201280072968A CN104272781B CN 104272781 B CN104272781 B CN 104272781B CN 201280072968 A CN201280072968 A CN 201280072968A CN 104272781 B CN104272781 B CN 104272781B
- Authority
- CN
- China
- Prior art keywords
- network
- service
- data
- access
- user equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/2803—Home automation networks
- H04L12/2807—Exchanging configuration information on appliance services in a home automation network
- H04L12/2812—Exchanging configuration information on appliance services in a home automation network describing content present in a home automation network, e.g. audio video content
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/065—Continuous authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/068—Authentication using credential vaults, e.g. password manager applications or one time password [OTP] applications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W84/00—Network topologies
- H04W84/02—Hierarchically pre-organised networks, e.g. paging networks, cellular networks, WLAN [Wireless Local Area Network] or WLL [Wireless Local Loop]
- H04W84/10—Small scale networks; Flat hierarchical networks
- H04W84/12—WLAN [Wireless Local Area Networks]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Automation & Control Theory (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Multimedia (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本发明涉及一种从第二网络访问第一网络的服务/数据以通过所述第二网络实现服务/数据访问的方法,所述方法包括以下步骤a)将用户设备与所述第一网络配对,b)将所述用户设备连接到所述第二网络,c)通过所述第二网络验证所述用户设备,d)将所述第一网络的服务/数据的连接信息提供给所述第二网络,e)通过所述第一网络将可用的服务/数据信息提供给所述第二网络,㈡通过所述第二网络访问所述第一网络的服务和/或数据。本发明还涉及一种从第二网络访问第一网络的服务/数据以通过所述第二网络实现服务/数据访问的系统。
Description
本发明涉及一种从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法。
本发明还涉及一种从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的系统。
用户的媒体消费通常限于用户本身的各自的用户家庭环境,其中用户拥有对应设备以用于消费媒体,例如以用于观看付费电视服务。然而,如果一个用户访问另一用户,例如以用于一起消费付费电视服务,比如足球冠军联赛决赛等,则其他用户无权观看付费电视服务。该用户因此想要将其权限委托给其他用户,使得可在其他用户的家庭环境中消费付费电视服务。
当前为了解决这一问题,用户将其加密卡和/或机顶盒带给其他用户并且将其连接在其他用户的家中。用户随后可将其机顶盒与其他用户的基础结构一起使用,以使得两位用户均可消费付费电视服务。
作为另外一种选择,该用户可使用身份管理技术:用户随后可通过与相应的身份管理系统明确交互来共享其凭据或委托其用于服务的权限。
然而,这些选项具有某些缺陷:缺陷之一为,具体而言第一选项较复杂并且根据环境有所不同。将机顶盒带到另一环境可使机顶盒损坏,例如在下雨等情况下从汽车搬运到另一用户的房子时。另一个缺点为,常规方法和技术受到限制,分别地限于特定设备,具体而言限于所述机顶盒等。又一个缺点为需要进行大量的用户交互。
因此,本发明的一个目标为提供一种从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统,这是更可行的。
本发明的又一目标为提供一种从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统,这更便于用户使用。
本发明的一个进一步目标为提供一种从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统,这需要对常规方法和系统进行较少更改。
根据本发明,上述目标通过权利要求1的方法和权利要求23的系统来实现。
根据权利要求1,从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法通过以下步骤来表征:
a)将用户设备与第一网络配对,
b)将用户设备连接到第二网络,
c)通过第二网络验证用户设备,
d)将第一网络的服务/数据的连接信息提供给第二网络,
e)通过第一网络将可用的服务/数据信息提供给第二网络,
f)通过第二网络访问第一网络的服务和/或数据。
根据权利要求23,优选通过执行根据权利要求1-22中任一项所述的方法从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的系统通过以下各项来表征:第一网关和第一媒体服务器,位于第一网络中;第二网关和接收终端,位于第二网络中;用户设备,该用户设备与第一网络配对并且被配置为可操作以连接到第二网络并且通过第二网络验证,并且其中第一网关被配置为可操作以将第一网络的服务/数据的连接信息提供给第二网络以及通过第二网关将可用的服务/数据信息提供给接收终端,并且其中第二网关被配置为可操作以访问服务和/或数据,并且其中接收终端被配置为可操作以通过第二网络输出所访问的服务和/或数据。
根据本发明,已经认识到,能够以简单而便于用户使用的方式从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问。
根据本发明,已经进一步认识到,可从第二网络对服务/数据自动执行访问。
根据本发明,已经进一步认识到,提供了与现有协议和基础结构的良好相容性,其导致在基础结构中进行非常少的更改。
根据本发明,已经进一步认识到,增加的灵活性伴随着较少用户交互。
术语“网络”在说明书、具体而言在权利要求书中应当优选地从广义上理解:例如,第一网络可以位于第二网络内或第二网络至少可达到的服务的形式提供,一般来讲包括托管的“云”存储服务或订购服务。
以下从属权利要求中描述了本发明的另外特征、优点和优选实施例。
根据一个优选实施例,在第二网络处通过基于IEEE 802.1x的验证和/或用户名/密码凭据执行步骤c),优选地基于Web和/或通过强制网络门户。也可使用与基于Web的验证和/或通过强制网络门户类似的技术。优点之一为,通过根据802.1x进行验证,可通过第二网络来验证未知的本地用户。如果例如通过强制网络门户执行验证,则提供一种简单而可靠的技术以进行验证。
根据又一个优选实施例,通过查询在运营商网络内可达到或连接至运营商网络的一个或多个互连后端服务器来执行根据步骤c)的验证。后端服务器(例如,AAA服务器)可直接位于电信运营商的网络内,或者可通过电信运营商网络连接或达到。术语“AAA”意指“验证、授权和计费”。验证相关的信令可在AAA服务器和系统当中被代理、中继和互连。这可得到易于实现以及可靠的验证。
根据又一个优选实施例,第二网络根据提供的连接信息优选通过运营商网络建立与第一网络的间接连接。优选通过运营商网络的间接连接可使用第二网络的现有连接接触第一网络,使得不必在两个网络之间进行直接通信,直接通信在大多数情况下是不可能的。
根据又一个优选实施例,第一网络由运营商网络基础结构配置为接受连接请求。为了接受来自另一个网络的连接,第一网络被配置为可操作以接受来自其他网络的连接请求。可通过适当的信令协议、通过第一网络的运营商网络管理基础结构或通过运营商的验证基础结构来手动地、自动地执行该配置。
根据又一个优选实施例,由运营商网络提供连接信息。例如,当用户设备连接到第二网络时,将连接信息从运营商网络基础结构中的验证服务器发送至第二网络。
根据又一个优选实施例,定义用于提供和/或访问服务/数据的策略,优选地,所述策略在第一网络中预先配置和/或由运营商网络提供。从而提供了一种灵活方式来处理从第二网络对第一网络的服务/数据的访问。对第一网络服务的访问因此可受到策略限制,该策略可在第一网络中预先配置或由运营商网络提供。例如,将策略通过运营商的管理基础结构下载至第一网络或从运营商的验证基础结构下载至第一网络。
根据又一个优选实施例,在执行步骤f)之前请求用户确认。除此之外或作为另外一种选择,可定义策略以包括用户对访问服务/数据进行确认。因此,通过经由第二网络对第一网络的服务/数据进行访问来提供第一网络的服务/数据时启用用户交互会增强安全性,因为访问服务/数据时需要进行明确的用户确认。
根据又一个优选实施例,用户确认通过通知消息指示,所述通知消息包含可用服务/数据和/或进行访问所请求的服务/数据的信息。例如,用户设备可发送通知,所述通知包含第二网络尝试访问并且请求用户确认其服务的信息。第一网络随后可通过运营商网络间接向第二网络发送给定的用户确认。例如,第二网络使得第一网络请求付费电视服务,该付费电视服务随后被从第一网络中继至用户设备连接到的第二网络。
根据又一个优选实施例,将从第一网络外部接收的服务/数据的令牌/加密信息提供给第二网络。该信息也可优选用于步骤f)。这优化了第二网络的通信流,因为例如可从第二网络对第一网络服务/数据中的一些进行访问,而不进行直接或间接数据交换以用于访问第一网络的数据。例如,在付费电视服务的情况下,可以仅提供或中继加密信息(例如加密密钥)给第二网络,以用于访问位于媒体服务网络中的付费电视服务。
根据又一个优选实施例,在用户设备离开第二网络时,优选通过用户设备本身提供用于撤销对服务/数据进行访问的撤销消息。这使得当连接到第二网络的用户设备离开第二网络时,可以简单而易于实现的方式撤销对第一网络的服务/数据的访问权限。例如,因此用户设备可被配置为通过常规方法或协议在释放第二网络的网络覆盖时向第一网络发送明确的撤销消息。
根据又一个优选实施例,优选通过运营商网络将撤销消息间接发送至第一网络,该运营商网络将撤销信息发送至第一网络以用于撤销对服务/数据的访问。这样就使得作为另外一种选择和/或除此之外,可直接向第一网络发送撤销消息,以用于间接撤销对第一网络的服务/数据的访问。撤销消息可例如发送至运营商网络的验证基础结构,其反过来指示第一网络撤销第二网络的所有服务/数据访问。另外,用户设备和/或运营商网络的验证基础结构可向另外涉及的任何服务提供方发送撤销消息,例如以用于指示其不再与第二网络共享令牌/加密信息和/或终止服务/数据流至第二网络。
根据又一个优选实施例,重复执行步骤c)以用于通过第二网络连续重新验证用户设备。这使得可定期地确认第二网络仍有资格消费第一网络的服务/数据。因此安全性得到增强。
根据又一个优选实施例,为了在第一网络与第二网络之间进行通信,将令牌/加密信息和/或连接信息提供给这些网络以在两个网络之间实现直接而安全的通信。
根据又一个优选实施例,第一和第二网络优选通过SSL/TLS使用令牌/加密信息和/或连接信息以在这些网络之间实现安全通信。可在第一与第二网络之间进行安全通信。
根据又一个优选实施例,由运营商网络生成令牌/加密信息并且提供给第一和第二网络。例如,可以例如通过运营商网络的验证基础结构由集中式实体生成令牌或安全加密密钥,并且例如通过适当的常规机制或技术与两个网络共享。该密钥或令牌随后用于保护/验证第一与第二网络之间的交互。可避免在用户设备上和/或两个网络中耗时生成令牌/加密信息。
根据又一个优选实施例,通过运营商网络预先验证用户设备,其中将令牌/加密信息和/或连接信息提供给运营商网络。当通过运营商网络对用户设备预先验证时,由第一网络和/或用户设备生成的令牌/加密信息和/或连接信息可发送至运营商网络,使得在第二网络中成功验证用户设备时,该信息随后可与第二网络共享。可避免在成功验证用户设备之后对令牌/加密信息和/或连接信息进行耗时数据传输。
根据又一个优选实施例,策略被编码到令牌/加密信息中。具体而言可增强步骤e)和f),因为策略信息与相应的令牌/加密信息一起提供,使得能够快速访问服务和/或数据。
根据又一个优选实施例,在通过第二网络验证用户设备时,运营商网络向该网络提供令牌/加密信息和/或连接信息。这使得第二网络可以安全方式自动访问第一网络的服务/数据。
根据又一个优选实施例,为令牌/加密信息随机地生成安全加密密钥,优选地其中安全加密密钥以一次性密码的形式生成。这使得可以可靠安全以及简单的方式生成安全加密密钥。
根据又一个优选实施例,令牌/加密信息和/或连接信息包括在RADIUS和/或DIAMETER协议的消息和/或请求中。例如,可带有令牌/加密信息和/或连接信息的这些协议的消息为RADIUS CoA请求、RADIUS验证响应消息和/或DIAMETER重新验证请求。这使得可在现有协议中实现简单容易的实施。在该实施例中,成功验证用户/设备之后,第二网络可例如向AAA服务器发送计费开始消息。
根据又一个优选实施例,在不同的运营商网络当中交换令牌/加密信息和/或连接信息,其中每个网络连接至所述至少两个网络中的另一者。例如不同运营商和/或互联网服务提供方的订户可从第一网络使用(即,访问)服务/数据,即使其连接至不同运营商网络亦是如此。
有几种以有利的方式设计和进一步改善本发明教导的方式。为此,其一方面涉及权利要求1的从属权利要求,另一方面涉及图示的以举例方式给出的本发明的优选实施例的下述说明。结合借助附图的本发明优选实施例的说明,将阐明教导的一般优选实施例及其进一步改进。图中
图1示意性地示出了根据本发明第一实施例的系统;
图2示出了根据本发明第二实施例的方法的用户设备验证;
图3示出了根据本发明第三实施例的方法的用户设备验证;
图4示出了根据本发明第四实施例的方法的服务/数据访问;
图5示出了根据本发明第五实施例的方法的服务/数据访问;
图6示出了根据本发明第六实施例的方法的服务/数据访问;以及
图7示出了根据本发明第七实施例的方法的服务/数据访问。
图1示意性地示出了根据本发明第一实施例的系统。
在图1中,示出了第一网络N1和第二网络N2。两个网络N1、N2各自包括家庭网关G1、G2。网络摄像机SD1和媒体服务器SD2位于第一网络N1中,用于提供服务/数据。网络摄像机SD1以及媒体服务器SD2在网络N1中连接至第一网络N1的家庭网关G1。在第二网络N2中,示出了IP电视IPTV形式的接收终端T。IP电视T连接至第二网络N2的第二家庭网关G2。两个家庭网关G1、G2各自连接至运营商验证基础结构,该基础结构用参考标记OI表示。将用户设备UD与第一网络(即,其家庭网络)配对。在图1中,当通过第二网络N2的网关G2连接到第二网络N2时示出用户设备UD。
通过使用RADIUS或DIAMETER协议经由对应家庭网关G1、G2与运营商验证基础结构OI之间的链路(用参考标记2和3表示)来执行通过运营商验证基础结构的第一和第二网络N1、N2的验证。
当用户A将其已配对的个人设备(本文为用户设备UD)带到第二网络N2(如图1所示)时,其用户设备UD通过与第二网络N2的家庭网关G2的链路(用参考标记1表示)在第二网络N2中验证,例如通过连向第二网络N2的家庭网关G2的WLAN连接使用802.1x验证机制。在下面,第二网络N2的家庭网关G2进行交互以用于通过运营商验证基础结构OI验证用户设备UD。在成功验证用户设备UD后,令牌/加密信息以及连接信息和预定义策略(如果适用)通过运营商验证基础结构OI分布至不同网络N1、N2中的对应网关G1、G2。
随后,第二网络N2的家庭网关G2连接至第一网络N1的家庭网关G1以用于访问第一网络N1中可用的服务/数据,该链路用参考标记4表示。该链路4可通过运营商网络OI(例如,互联网)建立。第一网络N1的家庭网关G1随后提供在第一网络N1中连接至第二网络N2的媒体服务器SD2和/或网络摄像机SD1的内容以在第二网络N2中的IPTV设备T上进行消费。
术语“网关”优选在说明书中、具体而言在权利要求书中分别地以通常概括的方式表示:网关也可为本地服务器组件,意指不仅在网络的边缘上,也可在各自网络N1、N2的内部实现网关所执行的功能。
图2示出了根据本发明第二实施例的方法的用户设备验证。
在图2中,示出了用于通过第二网络N2验证用户设备UD的验证信令的消息流示例。用参考标记N1表示的第一网络包括家庭网关G1和媒体服务器SD2,第二网络N2包括家庭网关G2、媒体服务器SD3、IP电视设备形式的接收终端T以及连接的用户设备UD,该用户设备与第一网络N1配对。运营商验证基础结构OI包括Radius服务器RS。
因此,如果第一家庭网关G1与第二家庭网关G2建立连接,则网络N1和N2彼此建立连接。
在第一步骤AS1中,第一网络N1的家庭网关G1通过与Radius服务器RS交换RADIUSAAA交换消息来向运营商网络OI验证。在第二步骤AS2中,第二网络N2的家庭网关G2通过与Radius服务器RS交换RADIUS AAA交换消息来向运营商网络OI的Radius服务器RS验证。在第三步骤AS3中,用户设备UD在网络层2上连接到第二网络N2的家庭网关G2。第二网络N2的家庭网关G2与Radius服务器RS协作以例如通过在第四步骤AS4中使用802.1x来验证用户设备UD。用于验证的Radius服务器RS与第二网络N2的家庭网关G2之间的最后一条消息为带有802.1x相关信息的Radius访问接受数据包。该消息访问接受数据包可通过与第一网络N1和安全令牌/加密密钥相关的连接信息来扩展。另外,与第一网络N1和安全令牌/加密密钥相关的连接信息可在单独的Radius消息中(例如在随后的Radius CoA消息内)发送。
在第五步骤AS5中,Radius服务器RS通知第一网络N1,指出配对的用户设备UD正在访问第二网络N2,并且另外任选地例如通过Radius CoA消息将安全令牌/加密密钥通知给第一网络N1的家庭网关G1。
图3示出了根据本发明第三实施例的方法的用户设备验证。
在图3中,一般来讲示出了对应于图2的相同验证信令。第一步骤AS1和第二步骤AS2与在图3中相同。在第三步骤AS3’中,用户设备UD连接到网络层2和层3上的第二网络N2的家庭网关G2,因此接收IP级访问。在第四步骤AS4’中,用户设备UD使用验证门户向第二网络N2的家庭网关G2验证。这可为用户触发的或自动触发的,例如通过强制网络门户。在另一步骤AS4”中,第二网络N2的家庭网关G2通过运营商基础结构OI中的Radius服务器RS获取与用户设备UD相关的验证信息,例如用于CHAP询问/响应程序。Radius服务器RS对第二网络N2的家庭网关G2的验证响应带有第一网络N1的连接信息以及安全令牌/加密密钥。作为另外一种选择,之后可使用Radius CoA消息以提供第一网络N1的连接信息以及安全令牌/加密密钥代替验证响应。第五步骤AS5对应于图2的步骤AS5。
图4示出了根据本发明第四实施例的方法的服务/数据访问。
在图4中,示出了信令流,其描述了通过根据图2或3中的验证程序中的一者在第二网络N2中成功验证用户设备UD后的消费媒体服务。
在第一步骤MCS1中,第二网络N2的家庭网关G2在接收到第一网络N1的连接信息之后,从第一网络N1的家庭网关G1请求可用媒体的列表。由Radius服务器RS分布的安全令牌/加密密钥可由第二网络N2的家庭网关G2插入该请求中,例如通过将其包括到HTTP标头中或作为URL参数。作为另外一种选择或除此之外,可使用上述安全令牌/加密密钥加密第一网络N1与第二网络N2之间的通信。
在第二步骤MCS2中,第一网络N1的家庭网关G1在第一网络N1中查找可用媒体并且通过对应列表连同连接信息对第二网络N2的家庭网关G2作出响应。可基于用户首选项设置来过滤可访问媒体的列表。另外,第一网络N1的家庭网关G1可能检查第二网络N2的家庭网关G2在其请求中提供的以用于访问媒体的安全令牌/加密密钥。在第三步骤MSC3中,IP电视T向第二网络N2的家庭网关G2发送可用媒体列表的请求,并且在第四步骤MCS4中,第二网络N2的家庭网关G2通过可访问媒体(涵盖从第一网络N1接收的可访问媒体)的相应列表进行响应。可涵盖媒体列表等等。
在第五步骤MCS5中,IP电视T从第二网络N2的家庭网关G2请求第一网络N1的媒体。在第六步骤MCS6中,第二网络N2的家庭网关G2随后从第一网络N1的家庭网关G1请求所请求的媒体。安全令牌/加密密钥可通过适当方法(例如通过将其包括到HTTP标头内或作为URL参数)插入第六步骤MCS6的请求中。在第七步骤MCS7中,第一网络N1的家庭网关G1从第一网络N1中的本地媒体服务器SD2请求媒体。优选地,第一网络N1的家庭网关G1首先验证在第二网络N2的请求中所接收的安全令牌/加密密钥。
在第八步骤MCS8中,第一网络N1中的媒体服务器SD2将媒体交付至第二网络N2中的IPTV T。
图5示出了根据本发明第五实施例的方法的服务/数据访问。
在图5中,示出了一个可选的信令流,以用于通过根据图2或3的验证程序中的一者在第二网络N2中成功验证用户设备UD后消费媒体服务。图5与图4大致上类似。然而,图5仅示出了一个步骤MCS5’,而非步骤MCS5和MCS6。在步骤MCS5’中,IPTV T与第一网络N1的家庭网关G1直接通信以用于根据第四步骤MCS4来请求在媒体列表中呈现或提供的媒体。另外的步骤MCS7和MCS8以及前四个步骤MCS1-MCS4对应于根据图4的步骤MCS1-MCS4和MCS7-MCS7。
图6示出了根据本发明第六实施例的方法的服务/数据访问。
在图6中,示出了又一个可选的信令流,以用于通过根据图2或3的验证程序中的一者在第二网络N2中成功验证用户设备UD后消费媒体服务。
根据图6的信令流与图5的信令流类似。然而,图5的步骤MCS5’和MCS7被一个步骤MCS5”取代,从而允许第二网络N2中的IPTV T与第一网络N1中的媒体服务器SD2直接通信,以用于根据步骤MCS4请求在列表中呈现或提供的媒体。步骤MCS1-MCS4以及MCS8分别与图4和5中的步骤相同。
图7示出了根据本发明第七实施例的方法的服务/数据访问。
图7示出了一个通过根据图2或3(包括代理实例)的验证程序中的一者在第二网络N2中成功验证用户设备UD之后消费媒体服务时的信令流。
在接收到第一网络N1的连接信息之后,用参考标记P1’表示的端口80上的第二网络N2的家庭网关G2从第一步骤T1中的连接信息中指示的对应HTTP服务器端口处的第一网络N1的家庭网关G1请求可用媒体的列表。在图7中,使用家庭网关G1中的端口8080,该端口以参考标记P2表示。分布给Radius服务器RS的安全令牌/加密密钥可由第二网络N2的家庭网关G2通过适当方法(例如通过将其插入到HTTP标头内或作为URL参数)插入该请求中。
在第二步骤T2中,家庭网关G1的代理组件通过端口80将该请求转换成对本地家庭网关门户网站的请求,该端口以参考标记P1表示以请求可用媒体的列表。代理组件可在请求中检查由家庭网关N2提供的以用于媒体的安全令牌/加密密钥并且必要时可拒绝连接请求。在第三步骤T3和第四步骤T4中,家庭网关G1或第一网络N1查找可访问的媒体并且通过带有连接信息的对应列表对第二网络N2的家庭网关G2作出响应。在第四步骤T4中,代理组件更改返回至第二网络N2的家庭网关G2的媒体连接细节以指代第一网络N1的家庭网关G1上的专用媒体服务器代理组件。在图7中使用以参考标记PR1表示的端口8081。作为另外一种选择,媒体连接细节可指向用P2’表示的端口8080上的代理组件自身。
在第五步骤T5和第六步骤T6中,在一个后续的时间点,第二网络N2内的IPTV T从家庭网关媒体门户请求可用媒体的列表,该门户以参考标记P1’表示,其对应于图7中的家庭网关G2上的端口80。IPTV T接收媒体列表,可能涵盖来自第一网络N1的媒体等等。家庭网关媒体门户P1’更改媒体连接信息,即来自第一网络N1的媒体的HTTP链接,以指代本地媒体服务器代理,其对应于用PR2表示的图7中第二网络N2的家庭网关G2上的端口8082。在第二步骤T7中,IPTV T从第一网络N1选择一个媒体,即,将对第一网络N1的媒体的请求发送至第二网络N2的网关G2上的服务器代理PR2,即图7中第二网络N2的家庭网关G2上的端口8082。
在第八步骤T8中,第二网络N2的家庭网关G2的媒体服务器代理PR2查找所请求的媒体并且在先前指示的媒体服务器代理端口PR1(即,家庭网关G1上的端口8081)处请求来自第一网络N1的家庭网关G1的媒体。通过Radius服务器RS分布的安全令牌/加密密钥可由第二网络N2的家庭网关G2通过适当方法(例如通过将其包括到HTTP标头内或作为URL参数)插入该请求中。
在第九步骤T9中,第一网络N1的家庭网关G1的媒体服务器代理PR1查找所请求的媒体并且请求来自本地媒体服务器SD2的媒体。第一网络N1的家庭网关G1的媒体服务器代理PR1可首先验证在请求中从第二网络N2的家庭网关G2接收的安全令牌/加密密钥。在第十步骤T10中,媒体服务器SD2将所请求的媒体交付至第一网络N1的家庭网关G1的本地媒体服务器代理PR1。在第十一步骤T11中,第一网络N1的家庭网关G1的媒体服务器代理PR1随后将媒体交付至第二网络N2的家庭网关G2的本地媒体服务器代理PR2。在第十二步骤T12中,第二网络N2的家庭网关G2的媒体服务器代理PR2将媒体交付至IPTV T。
步骤T10、T11和T12可交叉进行,例如一旦已经在第一网络N1的家庭网关G1的代理组件PR1中接收到所请求媒体的一部分,步骤T11就可开始,而不是等待接收所请求的完整媒体项。
概括地说,本发明提供了一种新型机制以通过便于用户使用并且自动的方式将服务访问权限委托给另一个用户/订户。
本发明还对服务和数据访问权限/访问服务(例如托管在通过所访问的居民其他网络可访问的居民家庭网络中)提供简单的便于用户使用的自动安全委托。本发明与现有的验证协议和基础结构兼容。运营商的集中式验证基础结构可在不同订户之间实现安全/经验证的分布式服务。另外,本发明是可行的并且可用于广泛部署的组件上。还有一个优点是,本发明允许通过在居民家庭和验证服务基础结构中添加设备而以over-the-top(OTT)方式运行服务。本发明提供了高用户便利性,因为例如无需记住任何密码和/或IP地址就可从家庭网络之外的网络访问服务/数据。
本发明相关领域的技术人员根据上述说明书以及相关附图的教导,便可想到本文中阐述的本发明的许多修改和其他实施例。因此,应当理解本发明并不局限于已经公开的具体实施例,修改和其他实施例也旨在包含在所附权利要求范围内。尽管本发明采用了具体的术语,但仅在一般性及描述性意义上进行使用,并不用于限制之目的。
术语“网络”在说明书、优选在权利要求书中不受限制。术语“网络”应当优选从广义上来理解:例如,第一网络可以位于第二网络内或第二网络至少可达到的服务的形式提供,一般来讲包括被托管的“云”存储服务或订购服务。术语网络具体而言还包括云网络。另外,本发明不限于用户设备与一个网络(具体而言与仅一个网关)的配对。当然,用户设备可同时与不同网络的不同网关配对。
Claims (23)
1.一种从第二网络(N2)访问第一网络(N1)的服务/数据以通过所述第二网络(N2)实现服务/数据访问的方法,
所述方法通过以下步骤来表征:
a)将用户设备(UD)与所述第一网络(N1)配对,
b)将所述用户设备(UD)连接到所述第二网络(N2),
c)通过所述第二网络(N2)验证所述用户设备(UD),
d)将所述第一网络(N1)的服务/数据的连接信息提供给所述第二网络(N2),
e)通过所述第一网络(N1)将可用的服务/数据信息(SD1、SD2)提供给所述第二网络(N2),
f)通过所述第二网络(N2)访问所述第一网络(N1)的服务和/或数据(SD1、SD2)。
2.根据权利要求1所述的方法,其特征在于在所述第二网络(N2)处通过基于IEEE802.1x的验证和/或用户名/密码凭据执行步骤c)。
3.根据权利要求2所述的方法,其特征在于通过查询在运营商网络(OI)内可到达或连接至所述运营商网络的一个或多个互连后端服务器来执行根据步骤c)的所述验证程序。
4.根据权利要求1-3中任一项所述的方法,其特征在于所述第二网络(N2)根据所述所提供的连接信息通过运营商网络(OI)来建立与所述第一网络(N1)的间接连接。
5.根据权利要求1-3中任一项所述的方法,其特征在于所述第一网络由运营商网络基础结构配置为接受连接请求。
6.根据权利要求5所述的方法,其特征在于通过所述运营商网络基础结构提供所述连接信息。
7.根据权利要求1-3中任一项所述的方法,其特征在于限定用于提供和/或访问服务/数据(SD1、SD2)的策略,所述策略在所述第一网络(N1)中预先配置和/或通过运营商网络(OI)提供。
8.根据权利要求1-3中任一项所述的方法,其特征在于执行步骤f)之前请求用户确认。
9.根据权利要求8所述的方法,其特征在于所述用户确认通过通知消息指示,包括可用服务/数据(SD1、SD2)和/或进行访问所请求的服务/数据的信息。
10.根据权利要求1-3中任一项所述的方法,其特征在于将从所述第一网络(N1)外部接收的服务/数据(SD1、SD2)的令牌/加密信息提供给所述第二网络(N2)。
11.根据权利要求1-3中任一项所述的方法,其特征在于当所述用户设备(UD)离开所述第二网络(N2)时,通过所述用户设备(UD)本身提供用于撤销对所述服务/数据(SD1、SD2)的访问的撤销消息。
12.根据权利要求11所述的方法,其特征在于通过运营商网络(OI)将所述撤销消息间接发送至所述第一网络(N1),所述运营商网络将撤销信息发送至所述第一网络(N1)以用于撤销对所述服务/数据(SD1、SD2)的访问。
13.根据权利要求1-3中任一项所述的方法,其特征在于重复执行步骤c)以用于通过所述第二网络(N2)连续重新验证所述用户设备(UD)。
14.根据权利要求7所述的方法,其特征在于为了在所述第一网络(N1)与第二网络(N2)之间进行通信,将令牌/加密信息和/或连接信息提供给所述第一网络(N1)和第二网络(N2)。
15.根据权利要求14所述的方法,其特征在于所述第一网络(N1)和第二网络(N2)使用所述令牌/加密信息和/或连接信息以通过SSL/TLS在所述第一网络(N1)和第二网络(N2)之间实现安全通信。
16.根据权利要求14所述的方法,其特征在于由运营商网络(OI)生成所述令牌/加密信息并且提供给所述第一网络(N1)和第二网络(N2)。
17.根据权利要求14所述的方法,其特征在于通过运营商网络(OI)预先验证所述用户设备(UD),其中将令牌/加密信息和/或连接信息提供给所述运营商网络(OI)。
18.根据权利要求14所述的方法,其特征在于将所述策略编码到所述令牌/加密信息内。
19.根据权利要求18所述的方法,其特征在于通过所述第二网络(N2)验证所述用户设备(UD)时,运营商网络(OI)向所述第一网络(N1)和第二网络(N2)提供令牌/加密信息和/或连接信息。
20.根据权利要求14所述的方法,其特征在于为所述令牌/加密信息随机地生成安全加密密钥,其中所述安全加密密钥以一次性密码的形式生成。
21.根据权利要求19所述的方法,其特征在于所述令牌/加密信息和/或连接信息包括在RADIUS和/或DIAMETER协议的消息和/或请求中。
22.根据权利要求1-3中任一项所述的方法,其特征在于服务和数据的访问权限/访问服务被委托给所述第二网络。
23.一种通过使用根据权利要求1-22中任一项所述的方法从第二网络(N2)访问第一网络(N1)的服务/数据以通过所述第二网络(N2)实现服务/数据访问的系统,
所述系统通过以下各项来表征:
第一网关(G1)和第一媒体服务器(SD2),位于所述第一网络(N1)中,
第二网关(G2)和接收终端(T),位于所述第二网络(N2)中,
用户设备(UD),所述用户设备与所述第一网络(N1)配对并且被配置为可操作以连接到所述第二网络(N2)并且通过所述第二网络(N2)验证,并且其中所述第一网关(G1)被配置为可操作以将所述第一网络的服务/数据的连接信息提供给所述第二网络以及通过所述第二网关(G2)向所述接收终端(T)提供可用的服务/数据信息(SD2),并且其中
所述第二网关(G2)被配置为可操作以访问服务和/或数据,并且其中所述接收终端(T)被配置为可操作以通过所述第二网络(N2)输出所述所访问的服务和/或数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP12167938.5 | 2012-05-14 | ||
| EP12167938 | 2012-05-14 | ||
| PCT/EP2012/072125 WO2013170913A1 (en) | 2012-05-14 | 2012-11-08 | Method and system for accessing service/data of a first network from a second network for service/data access via the second network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104272781A CN104272781A (zh) | 2015-01-07 |
| CN104272781B true CN104272781B (zh) | 2018-12-25 |
Family
ID=47294849
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280072968.4A Active CN104272781B (zh) | 2012-05-14 | 2012-11-08 | 从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US9847993B2 (zh) |
| EP (1) | EP2850861B1 (zh) |
| CN (1) | CN104272781B (zh) |
| WO (1) | WO2013170913A1 (zh) |
Families Citing this family (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9674751B2 (en) * | 2013-03-15 | 2017-06-06 | Facebook, Inc. | Portable platform for networked computing |
| EP3085020B1 (en) | 2013-12-20 | 2019-02-20 | McAfee, LLC | Security gateway for a regional/home network |
| US20150235011A1 (en) * | 2014-02-19 | 2015-08-20 | Adobe Systems Incorporated | Drm protected video streaming on game console with secret-less application |
| CN111316600B (zh) | 2017-11-29 | 2022-10-04 | Abb瑞士股份有限公司 | 用于变电站中数据传输的方法和设备 |
| US11711401B2 (en) | 2021-03-01 | 2023-07-25 | Secureg | Digital trust broker and end to end trust assurance in multi-domain, multi-operator and cloud networks for high security environments |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4012508B2 (ja) * | 2001-10-24 | 2007-11-21 | シーメンス アクチエンゲゼルシヤフト | ステーションのローカルデータネット、とりわけ無線データネットへの認証されたアクセスのための方法及び装置 |
| US7185359B2 (en) * | 2001-12-21 | 2007-02-27 | Microsoft Corporation | Authentication and authorization across autonomous network systems |
| US20030159072A1 (en) * | 2002-02-04 | 2003-08-21 | Atreus Systems Corp. | Single sign-on for multiple network -based services |
| US20030208695A1 (en) * | 2002-05-01 | 2003-11-06 | Ronald Soto | Method and system for controlled, centrally authenticated remote access |
| US7356711B1 (en) * | 2002-05-30 | 2008-04-08 | Microsoft Corporation | Secure registration |
| US9621538B2 (en) * | 2002-07-10 | 2017-04-11 | Hewlett-Packard Development Company, L.P. | Secure resource access in a distributed environment |
| US20040128542A1 (en) * | 2002-12-31 | 2004-07-01 | International Business Machines Corporation | Method and system for native authentication protocols in a heterogeneous federated environment |
| US20050065935A1 (en) * | 2003-09-16 | 2005-03-24 | Chebolu Anil Kumar | Client comparison of network content with server-based categorization |
| US20060218628A1 (en) * | 2005-03-22 | 2006-09-28 | Hinton Heather M | Method and system for enhanced federated single logout |
| US20070168458A1 (en) * | 2006-01-16 | 2007-07-19 | Nokia Corporation | Remote access to local network |
| US8539559B2 (en) * | 2006-11-27 | 2013-09-17 | Futurewei Technologies, Inc. | System for using an authorization token to separate authentication and authorization services |
| CN101611609B (zh) * | 2006-12-28 | 2012-11-14 | 艾利森电话股份有限公司 | 用于服务发现的方法和装置 |
| WO2009080106A1 (en) * | 2007-12-20 | 2009-07-02 | Telefonaktiebolaget Lm Ericsson (Publ) | Selection of successive authentication methods |
| US8045570B2 (en) * | 2008-09-30 | 2011-10-25 | Nortel Networks Limited | Extended private LAN |
| CN101447907A (zh) * | 2008-10-31 | 2009-06-03 | 北京东方中讯联合认证技术有限公司 | Vpn安全接入方法及系统 |
| US8037191B2 (en) * | 2008-11-10 | 2011-10-11 | Cisco Technology, Inc. | Low-level remote sharing of local devices in a remote access session across a computer network |
| US20100138900A1 (en) * | 2008-12-02 | 2010-06-03 | General Instrument Corporation | Remote access of protected internet protocol (ip)-based content over an ip multimedia subsystem (ims)-based network |
| CN102763394B (zh) * | 2009-12-18 | 2016-01-20 | 法国电信公司 | 控制方法和设备 |
| US9716999B2 (en) * | 2011-04-18 | 2017-07-25 | Syniverse Communicationsm, Inc. | Method of and system for utilizing a first network authentication result for a second network |
| US9143400B1 (en) * | 2012-05-01 | 2015-09-22 | Google Inc. | Network gateway configuration |
| US9935955B2 (en) * | 2016-03-28 | 2018-04-03 | Zscaler, Inc. | Systems and methods for cloud based unified service discovery and secure availability |
-
2012
- 2012-11-08 CN CN201280072968.4A patent/CN104272781B/zh active Active
- 2012-11-08 US US14/400,707 patent/US9847993B2/en active Active
- 2012-11-08 EP EP12795755.3A patent/EP2850861B1/en active Active
- 2012-11-08 WO PCT/EP2012/072125 patent/WO2013170913A1/en active Application Filing
-
2017
- 2017-11-09 US US15/807,606 patent/US10637850B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013170913A1 (en) | 2013-11-21 |
| US20180077139A1 (en) | 2018-03-15 |
| EP2850861A1 (en) | 2015-03-25 |
| US10637850B2 (en) | 2020-04-28 |
| CN104272781A (zh) | 2015-01-07 |
| EP2850861B1 (en) | 2019-05-08 |
| US20150156191A1 (en) | 2015-06-04 |
| US9847993B2 (en) | 2017-12-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102884819B (zh) | 用于wlan漫游流量认证的系统和方法 | |
| US9178857B2 (en) | System and method for secure configuration of network attached devices | |
| US7665129B2 (en) | Method and system for managing access authorization for a user in a local administrative domain when the user connects to an IP network | |
| JP3951757B2 (ja) | 信頼されないアクセス局を介した通信方法 | |
| JP4291213B2 (ja) | 認証方法、認証システム、認証代行サーバ、ネットワークアクセス認証サーバ、プログラム、及び記録媒体 | |
| US8949945B2 (en) | Distributed network management hierarchy in a multi-station communication network | |
| CN104272781B (zh) | 从第二网络访问第一网络的服务/数据以通过第二网络实现服务/数据访问的方法和系统 | |
| JP4892008B2 (ja) | 証明書認証方法、証明書発行装置及び認証装置 | |
| US20060146837A1 (en) | Server for routing connection to client device | |
| JP2009515232A (ja) | ネットワークユーザ認証システム及び方法 | |
| CN106487788B (zh) | 一种用户接入方法、sdn控制器、转发设备及用户接入系统 | |
| EP1547347A1 (en) | Apparatuses, method and computer software products for controlling a home terminal | |
| US20090198996A1 (en) | System and method for providing cellular access points | |
| US20060183463A1 (en) | Method for authenticated connection setup | |
| CN102474722B (zh) | 对用户终端进行认证的方法及装置 | |
| CN110505188A (zh) | 一种终端认证方法、相关设备和认证系统 | |
| CN108495292B (zh) | 智能家居短距离设备通信方法 | |
| CN101771722B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
| US20070226490A1 (en) | Communication System | |
| CN102075567B (zh) | 认证方法、客户端、服务器、直通服务器及认证系统 | |
| JP2016039562A (ja) | 通信システム及び機器 | |
| JP2009217722A (ja) | 認証処理システム、認証装置、管理装置、認証処理方法、認証処理プログラムおよび管理処理プログラム | |
| CN108183925B (zh) | 基于IoT的窄带通信方法 | |
| CN100546305C (zh) | 一种点到点协议强制认证方法和装置 | |
| JP6281749B2 (ja) | 通信システム及び機器 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180115 Address after: Heidelberg Applicant after: NEC EUROPE LTD. Address before: Heidelberg Applicant before: NEC Europe Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210219 Address after: Tokyo, Japan Patentee after: NEC Corp. Address before: Heidelberg, Germany Patentee before: NEC EUROPE Ltd. |