CN116830531A - 漫游期间经由基于联盟的网络提供安全服务 - Google Patents
漫游期间经由基于联盟的网络提供安全服务 Download PDFInfo
- Publication number
- CN116830531A CN116830531A CN202280013770.2A CN202280013770A CN116830531A CN 116830531 A CN116830531 A CN 116830531A CN 202280013770 A CN202280013770 A CN 202280013770A CN 116830531 A CN116830531 A CN 116830531A
- Authority
- CN
- China
- Prior art keywords
- provider
- identity
- network
- client device
- security service
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 39
- 238000004590 computer program Methods 0.000 claims abstract description 17
- 230000005540 biological transmission Effects 0.000 claims description 6
- 238000010586 diagram Methods 0.000 description 24
- 238000004891 communication Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 8
- 230000004044 response Effects 0.000 description 8
- 230000001413 cellular effect Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 4
- 230000008901 benefit Effects 0.000 description 3
- 238000013475 authorization Methods 0.000 description 2
- 238000004519 manufacturing process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- RYGMFSIKBFXOCR-UHFFFAOYSA-N Copper Chemical compound [Cu] RYGMFSIKBFXOCR-UHFFFAOYSA-N 0.000 description 1
- 229910052802 copper Inorganic materials 0.000 description 1
- 239000010949 copper Substances 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本文描述的各方面包括一种方法以及相关的网络设备和计算机程序产品。该方法包括认证与接入网络提供商相关联的客户端设备的用户的身份。认证用户的身份包括从身份提供商接收与身份相关联的凭证和标识要向客户端设备提供的基于网络的安全服务的信息。该方法还包括使用凭证和接收到的信息在接入网络提供商和能够向客户端设备提供基于网络的安全服务的安全服务提供商之间建立安全连接。
Description
技术领域
本公开中呈现的实施例总体涉及无线联网,更具体地,涉及用于在客户端设备漫游时向其提供基于网络的安全服务的技术。
背景技术
消费者越来越期望不管他们的位置如何,他们的计算设备都保持连接到基于网络的服务。然而,诸如4G LTE和5G之类的蜂窝服务对于在室内、远离蜂窝塔和/或以其他方式被阻挡的某些位置提供的连接可能较不理想。诸如无线宽带联盟(Wireless BroadbandAlliance,WBA)的开放式漫游(OpenRoamingTM)之类的技术使用基于联盟(federation)的框架来允许消费者无缝地漫游到Wi-Fi网络上。
附图说明
为了能够详细理解本公开的上述特征的方式,可以通过参考实施例来对上文简要概括的本公开进行更具体的描述,其中一些实施例在所附附图中得到说明。然而,应当注意,所附附图示出了典型的实施例,因此不应该被认为是限制性的;考虑了其他等效的实施例。
图1是根据一个或多个实施例的示出客户端设备在漫游时到基于联盟的网络的连接的图示。
图2是根据一个或多个实施例的示出用于将客户端设备连接到基于联盟的网络的序列的图示。
图3是根据一个或多个实施例的示出接入基于网络的安全服务的图示。
图4是根据一个或多个实施例的示出接入基于网络的安全服务的方法。
图5A至图5F示出了根据一个或多个实施例的接入基于网络的安全服务的序列。
为了促进理解,在可能的地方使用了相同的附图标记来表示附图中公共的相同元件。设想了在一个实施例中公开的元素可以有益地用于其他实施例,而无需具体叙述。
具体实施方式
概览
本公开中呈现的一个实施例是一种方法,该方法包括认证与接入网络提供商相关联的客户端设备的用户的身份。认证用户的身份包括从身份提供商接收与身份相关联的凭证,以及从身份提供商接收标识要向客户端设备提供的基于网络的安全服务的信息。该方法还包括使用凭证和接收到的信息在接入网络提供商和能够向客户端设备提供基于网络的安全服务的安全服务提供商之间建立安全连接。
本公开中呈现的另一实施例是一种网络设备,该网络设备包括被配置为执行操作的一个或多个计算机处理器。该操作包括认证与接入网络提供商相关联的客户端设备的用户的身份。认证用户的身份包括从身份提供商接收与身份相关联的凭证,以及从身份提供商接收标识要向客户端设备提供的基于网络的安全服务的信息。该操作还包括使用凭证和接收到的信息在接入网络提供商和能够向客户端设备提供基于网络的安全服务的安全服务提供商之间建立安全连接。
本公开中呈现的另一实施例是一种计算机程序产品,该计算机程序产品包括计算机可读存储介质,该计算机可读存储介质中体现有计算机可读程序代码。该计算机可读程序代码可由一个或多个计算机处理器执行以执行操作,该操作包括:认证与接入网络提供商相关联的客户端设备的用户的身份。认证用户的身份包括从身份提供商接收与身份相关联的凭证,以及从身份提供商接收标识要向客户端设备提供的基于网络的安全服务的信息。该操作还包括使用凭证和接收到的信息在接入网络提供商和能够向客户端设备提供基于网络的安全服务的安全服务提供商之间建立安全连接。
示例实施例
诸如OpenRoamingTM之类的技术允许客户端设备漫游到不同的接入网络提供商,而不需要重复登录或认证。身份提供商可以寻求提议漫游之外的附加服务,例如,将基于网络的(例如,基于云的)服务提供给客户端设备。
在本文描述的实施例中,一种方法包括认证与接入网络提供商相关联的客户端设备的用户的身份。认证用户的身份包括从身份提供商接收与身份相关联的凭证和标识要向客户端设备提供的基于网络的安全服务的信息。该方法还包括使用凭证和接收到的信息在接入网络提供商和能够向客户端设备提供基于网络的安全服务的安全服务提供商之间建立安全连接。
有益的是,该方法允许用户在身份提供商处启用和/或配置基于网络的安全服务。该方法还使得客户端设备能够自动安全地连接到第三方安全服务提供商。该方法还使得安全服务提供商能够通过访问在身份提供商处配置的用户的安全策略来递送为用户定制的安全服务。
图1是根据一个或多个实施例的示出客户端设备105在漫游时到基于联盟的网络115的连接的图示100。图示100表示由用户使用客户端设备105的示例序列。例如,该序列可以表示用户的工作行程。
客户端设备105可以以适用于无线联网的任何形式来实现。在一些实施例中,客户端设备105被实现为移动计算设备,例如,笔记本电脑、平板电脑、智能电话或智能可穿戴设备。在其他实施例中,客户端设备105可以是集成到车辆中的计算设备。
在该序列开始时,用户在家110-1,并且客户端设备105无线地连接到提供对外部网络的接入的家庭网络(例如,Wi-Fi网络),例如局域网或本地接入网络(LAN)、通用广域网(WAN)和/或公共网络(例如,互联网)。当用户驾驶汽车110-2时,客户端设备105无线地连接到蜂窝网络,例如,4G LTE或5G蜂窝网络。当用户到达公司办公室110-3时,客户端设备105从蜂窝网络漫游到由公司办公室110-3运作的Wi-Fi网络。用户返回到汽车以进行客户呼叫110-4,并且当超出Wi-Fi网络的范围时,客户端设备105重新连接到蜂窝网络。客户端设备105稍后漫游到用户访问分部办公室110-5、咖啡店110-6和旅馆110-7时的不同Wi-Fi网络。
当漫游到不同的Wi-Fi网络(例如,在公司办公室110-3、分部办公室110-5、咖啡店110-6和旅馆110-7处)时,客户端设备105使用基于联盟的网络115来接入外部网络。可以使用任何标准化和/或专有技术和协议来实现基于联盟的网络115。例如,基于联盟的网络115可以兼容OpenRoamingTM。
基于联盟的网络115包括多个接入提供商120(也称为“接入网络提供商”),这些接入提供商120使用例如接入点、无线LAN控制器等为客户端设备105提供无线连通性。接入提供商120的一些非限制性示例包括企业接入提供商122(例如,雇主、制造设施)、消费者接入提供商124(例如,旅馆、零售店)、公共接入提供商126(例如,机场、大学、场馆)等。
基于联盟的网络115包括多个身份提供商130,这些身份提供商130操作以创建、维护和/或管理用户的身份信息,并且在基于联盟的网络115内提供认证服务。身份提供商130的一些非限制性示例包括云提供商132(例如,提供可扩展计算资源的供应者)、服务提供商134(例如,电信公司、公用事业组织)和设备制造者136。通过使用身份提供商130来认证用户,客户端设备105可以漫游到不同的接入提供商120,而不需要来自用户的重复登录或认证。
图2是根据一个或多个实施例的示出用于将客户端设备105连接到基于联盟的网络的序列的图示200。在图示200中示出的特征可以结合其他实施例使用,例如,示出客户端设备105与在图1中示出的公司办公室110-3、分部办公室110-5、咖啡店110-6或旅馆110-7中任何一处的接入提供商120连接。
在图示200中,接入提供商205(图1的接入提供商120的一个示例)传输信标220,该信标220通告用于将客户端设备105连接到接入提供商205的一个或多个要求。信标220可以以任何适当的形式实现,例如,IEEE 802.11u信标。在一些实施例中,信标220指示客户端设备105必须提供针对用户的专用标识。在其他实施例中,信标220指示客户端设备105必须仅提供公共标识。
响应于信标220,客户端设备105附接225到接入提供商205(即,客户端设备105与接入提供商205建立连接),并且接入提供商205例如经由可扩展认证协议(ExtensibleAuthentication Protocol,EAP)过程,通过将一个或多个可接受的认证类型230传送到客户端设备105来开始对用户的认证。客户端设备105可以搜索存储在其上的简档(profile)的列表,并且可以自动地选择身份235,身份235与可接受的凭证类型230(例如,令牌、证书、用户名/密码、SIM等)相对应并且与由接入提供商205(例如,经由信标220)指定的一个或多个要求最佳匹配。在一些实施例中,身份235包括统一资源定位符(Uniform ResourceLocator,URL)的元素,例如域名。客户端设备105可以使用任何适当的技术来选择最佳匹配。
客户端设备105将所选身份235提供给接入提供商205,并且接入提供商205使用身份235来联系域名服务(Domain Name Service,DNS)服务器210。如图示200所示,由客户端设备105选择的身份235是“bob@newco.com”,其可以是响应于由接入提供商205传输的信标220的公共身份或专用身份。接入提供商205向DNS服务器210查找240“newco.com”。使用来自DNS服务器210的结果,接入提供商205建立到身份提供商215(图1的身份提供商130的一个示例)的、被加密和认证的传输层安全(Transport Layer Security,TLS)隧道245,身份提供商215与所选身份235相对应。身份提供商215使用远程认证拨入用户服务(RemoteAuthentication Dial In User Service,RADIUS)属性将EAP授权250提供给接入提供商205,并且接入提供商205使用LAN上的EAP(EAP over LAN,EAPoL)将EAP授权255提供给客户端设备105。
图3是根据一个或多个实施例的示出接入基于网络的安全服务的图示300。在图示300中示出的特征可以与其他实施例结合使用。例如,图3的客户端设备305、接入提供商325和身份提供商360可以是图1的客户端设备105、接入提供商120和身份提供商130的相应示例。
在图示300中,客户端设备305、接入提供商325、身份提供商360和安全服务提供商345经由相应的通信链路385-1、385-3、385-2、385-4连接到网络320。客户端设备305、接入提供商325、身份提供商360和安全服务提供商345中的每一者可以分别被实现为任何适当的(一个或多个)形式的一个或多个计算设备。例如,客户端设备305可以被实现为用户的移动计算设备,而接入提供商325、身份提供商360和安全服务提供商345可以被实现为服务器计算机。
客户端设备305、接入提供商325、身份提供商360和安全服务提供商345中的每一者包括相应的一个或多个计算机处理器310、330、365、350和相应的存储器315、335、370、355。一个或多个计算机处理器310、330、365、350可以以任何适当的形式实现,例如,通用微处理器、控制器、专用集成电路(ASIC)等。存储器315、335、370、355可以包括针对它们的尺寸、相对性能或其它能力(易失性和/或非易失性介质、可移除和/或不可移除介质等)选择的各种计算机可读介质。
网络320(图1的基于联盟的网络115的一个示例)表示任何合适类型的一个或多个网络,例如互联网、局域网(LAN)、广域网(WAN)和/或无线网络。到网络320的通信链路385-1、385-2、385-3、385-4可以具有任何适当的实现方式,例如,(一个或多个)铜传输线缆、(一个或多个)光传输光纤、(一个或多个)无线传输、(一个或多个)路由器、(一个或多个)防火墙、(一个或多个)交换机、(一个或多个)网关计算机和/或(一个或多个)边缘服务器。
存储器315、335、355、370可以包括用于执行本文描述的各种功能的一个或多个模块。在一个实施例中,每个模块包括可以由相应的一个或多个计算机处理器310、330、350、365执行的程序代码。在另一实施例中,每个模块部分地或全部地被实现在客户端设备305、接入提供商325、身份提供商360和/或安全服务提供商345的硬件(即,电路)或固件中(例如,被实现为一个或多个计算机处理器310、330、365、350内的电路)。然而,图示300的其他实施例可以包括部分地或全部地被实现在其他硬件或固件中的模块,例如被包括在与接入提供商320连接的一个或多个其他计算设备中的硬件或固件等。换言之,一个或多个模块的整体功能可以被分布在图示300的其他设备中。
如图所示,接入提供商325的存储器335包括安全模块340,安全服务提供商345的存储器355包括安全服务模块356,并且身份提供商360的存储器370包括身份服务模块372。
安全模块340通常与客户端设备305、身份提供商360和安全服务提供商345通信以建立与安全服务提供商345的安全连接,来为客户端设备305的网络流量提供一个或多个基于网络的安全服务。
安全服务模块356通常为网络流量提供这一个或多个基于网络的安全服务。在一些实施例中,安全服务模块356使用可以被按需供应和/或发放的分布式和/或可扩展计算资源来提供基于云的安全服务。安全服务模块356可以以任何合适的形式实现,例如安全互联网或网络(web)网关。该一个或多个基于网络的安全服务可以是任何(一个或多个)合适的类型的,例如防火墙、内容过滤器、反恶意软件、针对已知恶意站点的保护等。
身份服务模块372通常操作以创建、维护和/或管理用户的身份信息。身份服务模块372还可以使用网络320来提供认证服务。在一些实施例中,身份服务模块372发布用于认证用户的凭证375。凭证375可以以任何适当的形式实现,例如对与用户的特定会话而言独一无二的安全令牌。在一些实施例中,该安全令牌包括(i)由身份提供商360提供的值,(ii)身份提供商360的标识符,和/或(iii)由安全服务提供商345提供的值。例如,该安全令牌可以被实现为(i)、(ii)和(iii)的串接。
每个用户与一个或多个身份316相关联。在一些实施例中,用户配置与一个或多个身份316相对应的一个或多个安全策略380,并且一个或多个安全策略380与身份提供商360一起存储。因此,可以关于客户端设备305何时漫游来预定义一个或多个安全策略380。每个安全策略380指定在相对应的身份316被选择时要应用的一个或多个安全服务(或安全能力或特征)。在一些实施例中,安全策略380可以指定特定安全服务提供商345以供使用,可以指定用于选择安全服务提供商345的优选顺序等。每个安全策略380可以以任何合适的格式(例如YAML、XML等)被存储。
因此,当用户漫游到有能力的接入提供商325时,身份提供商360能够提供基于云的安全服务。例如,身份提供商360可以具有与一个或多个安全服务提供商345的收益共享协议。在一些实施例中,身份提供商360可以提供可供用户选择的多个安全级别或等级。
与用户相关联的每个身份316可以与一个或多个基于云的安全服务的集合相关联。身份316可以基于用户偏好而被分类或确定优先顺序。此外,基于云的安全服务可以由用户直接选择和/或购买,或者可以由接入提供商325直接提议。
图4是示出根据一个或多个实施例的接入基于网络的安全服务的方法400。方法400可以与其他实施例结合使用。例如,方法400可以由图3的安全模块340执行。此外,将结合图5A至图5F的图示500、510、530、545、560、575来描述方法400。
方法400在框405处开始,在框405处,用户配置安全策略。在一些实施例中,安全策略指定当与用户相关联的特定身份被选择时要应用的一个或多个安全服务。安全策略可以与身份提供商一起存储。
在图5A的图示500中,用户操作客户端设备305以配置安全策略。在一些替代实现方式中,用户可以使用另一计算设备来配置安全策略。如图所示,客户端设备305通过网络320(即,通信505)与身份提供商360通信,以指定用于安全策略的一个或多个安全服务。安全策略与身份316相关联,并且与身份提供商360一起存储。
在其他实施例中,用户通常可以将安全服务与漫游连接相关联。这可以适用于下述情况:身份提供商不提供(一个或多个)安全服务、用户直接购买(一个或多个)安全服务、或接入提供商直接提供(一个或多个)安全服务。在其他实施例中,身份提供商可以是企业并且与雇员的(一个或多个)安全服务相关联。
在框415处,客户端设备与接入网络提供商相关联。在图5B的图示510中,客户端设备305通过网络320(即,通信515)与接入提供商325通信,以确定接入网络提供商是否支持基于网络的安全服务。
在一些实施例中,与客户端设备相关联包括:在框420处,从客户端设备接收查询,并且在框425处,用信息进行响应,该信息指示接入网络提供商支持基于网络的安全服务。在图示510中,通信515包括查询520和响应525,查询520和响应525在一些情况下可以符合接入网络查询协议(ANQP)。
在一些实施例中,客户端设备305可以优先地连接到支持安全策略的安全服务的接入网络提供商(例如,接入提供商325)。在一些实施例中,接入网络提供商可以提供另外的信息(例如,公告),该信息为接入网络提供商通过特定安全服务提供商345支持该安全服务。客户端设备305可以基于特定安全服务提供商345优先地连接到接入网络提供商(例如,接入提供商325)。
在框435处,接入网络提供商认证客户端设备的用户的身份。在一些实施例中,认证用户的身份包括:在框440处,从身份提供商接收与身份相关联的凭证,并且在框445处,从身份提供商接收信息,该信息标识要向客户端设备提供的基于网络的安全服务。
在一些实施例中,在关联过程期间,接入提供商将EAP流量中继到身份提供商,以允许身份提供商验证用户的凭证。如果通过接入提供商的认证成功,则身份提供商例如通过RadSec中的RADIUS属性向接入提供商返回指令。这些指令通知接入提供商用户已经订阅了安全服务。
在图5C的图示530中,接入提供商325通过网络320(即,通信535)与身份提供商360通信。在图示530中,通信535包括接入提供商325接收用户的凭证375和服务信息540,服务信息540标识要向客户端设备305提供的基于网络的安全服务。在一些实施例中,服务信息540还包括指定用于提供基于网络的安全服务的安全服务提供商345。例如,服务信息540可以包括标识安全服务提供商345的网络地址(例如,任播地址),例如,其中身份提供商360和安全服务提供商345具有预先存在且可信的关系。在一些实施例中,多个安全服务提供商345可用于提供基于网络的安全服务,并且RADIUS选项对话框可用于确定既被客户端设备305接受也被接入提供商325支持的安全服务提供商345。
在框455处,接入提供商使用凭证和接收到的信息在接入提供商和能够向客户端设备提供基于网络的安全服务的安全服务提供商之间建立安全连接。在一些实施例中,该安全连接包括虚拟专用网络(VPN)。在一些实施例中,建立安全连接包括(在框460处)将(i)标识身份提供商的信息和(ii)凭证传输到安全服务提供商。方法400在完成框455之后结束。
在图5D的图示545中,接入提供商325通过网络320(即,通信550)与安全服务提供商345通信。在图示545中,通信550包括安全服务提供商345接收凭证375和身份提供商信息555。身份提供商信息555标识身份提供商360,并且凭证375和身份提供商信息555将安全服务提供商345配置为从身份提供商360取回针对身份的安全策略。
在一些实施例中,接入网络提供商325从身份提供商360接收RADIUS接入接受响应。接入提供商325使用服务信息540(例如,RADIUS属性)来建立到安全服务提供商345的安全连接。在一些实施例中,接入提供商325向安全服务提供商345提供凭证375,并且身份提供商信息555表明用户属于哪个身份提供商360领域或域。
在图5E的图示560中,在接入提供商325和安全服务提供商345之间建立了VPN连接565。在一些实施例中,安全服务提供商345检查来自接入提供商325的请求,并且通过网络320(即,通信570)与身份提供商360通信。
安全服务提供商345联系身份提供商360以取回与身份和/或用户相关联的安全策略380。身份提供商360通过查问安全服务提供商345以提供凭证375来响应。身份提供商360响应于接收凭证375而返回安全策略380,这验证了来自接入提供商325的请求。
在一些实施例中,在接入提供商325上,代理将流量与客户端设备305隔离并通过VPN连接565对其进行重定向,确保源自客户端设备305的所有流量例如都是通过云防火墙传输的。在图5F的图示575中,安全服务提供商345接收安全策略380,并将由安全策略380指定的(一个或多个)安全服务应用于客户端设备305的连接580。在图示575中,客户端设备305经由安全服务提供商345和外部网络590之间的连接585连接到外部网络590(例如,互联网),并且安全服务提供商345将(一个或多个)安全服务应用于连接585。
在一些实施例中,对于客户端设备305漫游到同一接入提供商325的未来实例,用于应用(一个或多个)安全服务的信息可以被缓存以加速连接过程。
在一些可替代的实施例中,身份提供商360可以响应于对用户的成功认证,在来自接入提供商325的传入请求之前联系安全服务提供商345并提供凭证375。在一些实施例中,凭证375包括安全令牌,该安全令牌被实现为由身份提供商360提供的值、身份提供商360的标识符、和由安全服务提供商345提供的值的串接。接入提供商325使用凭证375来建立与安全服务提供商345的安全连接。
在会话结束时,接入提供商325和/或安全服务提供商345可以收集事务的日志,可以与身份提供商360共享这些日志。
在一些可替代的实施例中,例如响应于确定用户的身份不支持(一个或多个)安全服务,(一个或多个)安全服务可以由接入提供商325直接提供。例如,在来自客户端设备的查询(例如,方法400的框420)和成功认证(在身份提供商360不指定安全服务提供商345的情况下)之后,接入提供商325使用计费通知ANQP消息来向用户建议(一个或多个)安全服务,用户在一些情况下还可以指定(一个或多个)不同的安全服务提供商和/或选项。响应于接收用户对安全服务提供商345的选择和一个或多个安全服务,接入提供商325建立安全隧道,如方法400的框455中所描述的。
在这些实施例中,接入提供商325负责生成用户的VPN凭证,在一些情况下,用户的VPN凭证可以是与通过ANQP向用户传送的计费通知相关联的令牌。客户端设备305存储与该会话的计费相匹配的令牌,然后可以对照安全服务提供商345和接入提供商325的记账数据库来验证该令牌。
在本公开中,参考了各种实施例。然而,本公开的范围不限于具体描述的实施例。而是,无论是否涉及不同的实施例,所描述的特征和元件的任何组合都被考虑用于实现和实践被考虑的实施例。另外,当以“A和B中的至少一个”的形式描述实施例的要素时,应当理解的是,仅包括元素A、仅包括元素B以及包括元素A和B的实施例均被考虑。此外,虽然本文公开的实施例可以实现优于其他可能的方案或优于现有技术的优点,但是通过给定的实施例是否实现特定的优点并不限制本公开的范围。因此,本文公开的各方面、特征、实施例和优点仅是说明性的,除非在(一个或多个)权利要求中明确记载,否则不被视为所附权利要求的元素或限制。同样,对“本发明”的提及不应被解释为对本文公开的任何发明主题的概括,除非在(一个或多个)权利要求中明确记载,否则不应被视为所附权利要求的元素或限制。
如本领域技术人员将清楚的,本文公开的实施例可以体现为系统、方法或计算机程序产品。因此,各实施例可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)、或结合软件和硬件方面的实施例的形式,这些实施例在本文中均被总体地称为“电路”、“模块”或“系统”。此外,各实施例可以采取被体现在一个或多个计算机可读介质中的计算机程序产品的形式,该一个或多个计算机可读介质具有体现在其上的计算机可读程序代码。
体现在计算机可读介质上的程序代码可以使用任何适当的介质来传输,该介质包括但不限于无线、有线、光纤线缆、RF等,或前述项的任何适当组合。
用于执行本公开的各实施例的操作的计算机程序代码可以以包括面向对象的编程语言(例如,Java、Smalltalk、C++等)以及常规的过程式编程语言(例如,“C”编程语言或类似的编程语言)的一种或多种编程语言的任何组合来编写。该程序代码可以完全在用户的计算机上执行、部分地在用户的计算机上执行、作为独立式软件包执行、部分地在用户的计算机上并且部分地在远程计算机上执行、或完全在远程计算机或服务器上执行。在后一场景中,远程计算机可以通过任何类型的网络(包括局域网(LAN)或广域网(WAN))连接到用户的计算机,或可以进行到外部计算机(例如,通过使用互联网服务提供商的互联网)的连接。
参照根据本公开中呈现的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图,描述了本公开的各方面。应当理解,可以通过计算机程序指令来实现流程图和/或框图中的每个框、以及流程图和/或框图中的框的组合。这些计算机程序指令可以被提供到通用计算机、专用计算机或其他可编程数据处理装置的处理器以产生机器,以使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图的(一个或多个)框中指定的功能/动作的装置。
这些计算机程序指令还可以存储在计算机可读介质中,该计算机可读介质可以引导计算机、其他可编程数据处理装置或其他设备以特定方式运行,以使得存储在计算机可读介质中的指令产生制造品,其包括实现流程图和/或框图的(一个或多个)框中指定的功能/动作的指令。
计算机程序指令还可以被加载到计算机、其他可编程数据处理装置或其他设备上,以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤以产生计算机实现的过程,因此在计算机、其他可编程数据处理装置或其他设备上执行的指令提供用于实现在流程图和/或框图的框中指定的功能/动作的过程。
附图中的流程图和框图示出了根据各种实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。在这点上,流程图或框图中的每个框都可以表示模块、片段、或代码的一部分,其包含用于实现(一个或多个)特定逻辑功能的一个或多个可执行指令。还应当注意,在一些替代实现方式中,在框中提到的功能可以按照不同于在附图中提到的顺序出现。例如,取决于所涉及的功能,连续示出的两个框实际上可以基本上同时执行,或者框有时可以以相反的顺序执行。还应当注意,框图和/或流程图中的每个框、以及框图和/或流程图中的框的组合可以通过执行特定功能或动作的专用的基于硬件的系统来实现,或通过专用硬件和计算机指令的组合来实现。
鉴于前述内容,本公开的范围由所附权利要求确定。
Claims (20)
1.一种方法,包括:
认证与接入网络提供商相关联的客户端设备的用户的身份,其中,认证所述用户的身份包括:
从身份提供商接收与所述身份相关联的凭证;并且
从所述身份提供商接收信息,所述信息标识要向所述客户端设备提供的基于网络的安全服务;以及
使用所述凭证和接收到的信息在所述接入网络提供商和安全服务提供商之间建立安全连接,所述安全服务提供商能够向所述客户端设备提供所述基于网络的安全服务。
2.根据权利要求1所述的方法,其中,所述基于网络的安全服务是在针对所述身份的安全策略中指定的,所述安全策略由所述身份提供商存储。
3.根据权利要求1或2所述的方法,其中,关联所述客户端设备包括:
从所述客户端设备接收查询;以及
用表明所述接入网络提供商支持所述基于网络的安全服务的信息进行响应。
4.根据权利要求3所述的方法,其中,所述信息还表明:所述接入网络提供商通过所述安全服务提供商支持所述基于网络的安全服务。
5.根据任一前述权利要求所述的方法,其中,建立所述安全连接包括:
将(i)标识所述身份提供商的信息和(ii)所述凭证传输到所述安全服务提供商,
其中,传输(i)和(ii)将所述安全服务提供商配置为从所述身份提供商取回针对所述身份的安全策略。
6.根据任一前述权利要求所述的方法,其中,标识所述基于网络的安全服务的所述信息还包括:所述安全服务提供商的网络地址。
7.根据任一前述权利要求所述的方法,其中,所述凭证是安全令牌,所述安全令牌包括:由所述身份提供商提供的值、所述身份提供商的标识符、以及由所述安全服务提供商提供的值。
8.一种网络设备,包括:
一个或多个计算机处理器,被配置为执行操作,所述操作包括:
认证与接入网络提供商相关联的客户端设备的用户的身份,其中,认证所述用户的身份包括:
从身份提供商接收与所述身份相关联的凭证;并且
从所述身份提供商接收信息,所述信息标识要向所述客户端设备提供的基于网络的安全服务;以及
使用所述凭证和接收到的信息在所述接入网络提供商和安全服务提供商之间建立安全连接,所述安全服务提供商能够向所述客户端设备提供所述基于网络的安全服务。
9.根据权利要求8所述的网络设备,其中,所述基于网络的安全服务是在针对所述身份的安全策略中指定的,所述安全策略由所述身份提供商存储。
10.根据权利要求8或9所述的网络设备,其中,关联所述客户端设备包括:
从所述客户端设备接收查询;以及
用表明所述接入网络提供商支持所述基于网络的安全服务的信息进行响应。
11.根据权利要求10所述的网络设备,其中,所述信息还表明:所述接入网络提供商通过所述安全服务提供商支持所述基于网络的安全服务。
12.根据权利要求8至11中任一项所述的网络设备,其中,建立所述安全连接包括:
将(i)标识所述身份提供商的信息和(ii)所述凭证传输到所述安全服务提供商,
其中,传输(i)和(ii)将所述安全服务提供商配置为从所述身份提供商取回针对所述身份的安全策略。
13.根据权利要求8至12中任一项所述的网络设备,其中,标识所述基于网络的安全服务的所述信息包括:所述安全服务提供商的网络地址。
14.根据权利要求8至13中任一项所述的网络设备,其中,所述凭证是安全令牌,所述安全令牌包括:由所述身份提供商提供的值、所述身份提供商的标识符、以及由所述安全服务提供商提供的值。
15.一种计算机程序产品,包括:
计算机可读存储介质,所述计算机可读存储介质中体现有计算机可读程序代码,所述计算机可读程序代码能够由一个或多个计算机处理器执行以执行操作,所述操作包括:
认证与接入网络提供商相关联的客户端设备的用户的身份,其中,认证所述用户的身份包括:
从身份提供商接收与所述身份相关联的凭证;并且
从所述身份提供商接收信息,所述信息标识要向所述客户端设备提供的基于网络的安全服务;以及
使用所述凭证和接收到的信息在所述接入网络提供商和安全服务提供商之间建立安全连接,所述安全服务提供商能够向所述客户端设备提供所述基于网络的安全服务。
16.根据权利要求15所述的计算机程序产品,其中,所述基于网络的安全服务是在针对所述身份的安全策略中指定的,所述安全策略由所述身份提供商存储。
17.根据权利要求15或16所述的计算机程序产品,其中,关联所述客户端设备包括:
从所述客户端设备接收查询;以及
用表明所述接入网络提供商支持所述基于网络的安全服务的信息进行响应。
18.根据权利要求17所述的计算机程序产品,其中,所述信息还表明:所述接入网络提供商通过所述安全服务提供商支持所述基于网络的安全服务。
19.根据权利要求15至18中任一项所述的计算机程序产品,其中,建立所述安全连接包括:
将(i)标识所述身份提供商的信息和(ii)所述凭证传输到所述安全服务提供商,
其中,传输(i)和(ii)将所述安全服务提供商配置为从所述身份提供商取回针对所述身份的安全策略。
20.根据权利要求15至19中的任一项所述的计算机程序产品,其中,标识所述基于网络的安全服务的所述信息还包括:所述安全服务提供商的网络地址。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/249,644 US20220286447A1 (en) | 2021-03-08 | 2021-03-08 | Providing security services via federation-based network during roaming |
| US17/249,644 | 2021-03-08 | ||
| PCT/US2022/070937 WO2022192843A1 (en) | 2021-03-08 | 2022-03-03 | Providing security services via federation-based network during roaming |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN116830531A true CN116830531A (zh) | 2023-09-29 |
Family
ID=80953627
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202280013770.2A Pending CN116830531A (zh) | 2021-03-08 | 2022-03-03 | 漫游期间经由基于联盟的网络提供安全服务 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20220286447A1 (zh) |
| EP (1) | EP4305809A1 (zh) |
| CN (1) | CN116830531A (zh) |
| WO (1) | WO2022192843A1 (zh) |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9143502B2 (en) * | 2004-12-10 | 2015-09-22 | International Business Machines Corporation | Method and system for secure binding register name identifier profile |
| US11838271B2 (en) * | 2016-05-18 | 2023-12-05 | Zscaler, Inc. | Providing users secure access to business-to-business (B2B) applications |
| US10567492B1 (en) * | 2017-05-11 | 2020-02-18 | F5 Networks, Inc. | Methods for load balancing in a federated identity environment and devices thereof |
-
2021
- 2021-03-08 US US17/249,644 patent/US20220286447A1/en active Pending
-
2022
- 2022-03-03 WO PCT/US2022/070937 patent/WO2022192843A1/en active Application Filing
- 2022-03-03 CN CN202280013770.2A patent/CN116830531A/zh active Pending
- 2022-03-03 EP EP22713498.8A patent/EP4305809A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP4305809A1 (en) | 2024-01-17 |
| US20220286447A1 (en) | 2022-09-08 |
| WO2022192843A1 (en) | 2022-09-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9992671B2 (en) | On-line signup server for provisioning of certificate credentials to wireless devices | |
| US11082838B2 (en) | Extensible authentication protocol with mobile device identification | |
| CN108781216B (zh) | 用于网络接入的方法和设备 | |
| US9450951B2 (en) | Secure over-the-air provisioning solution for handheld and desktop devices and services | |
| CN106105134B (zh) | 用于改进端到端数据保护的方法和装置 | |
| US9113332B2 (en) | Method and device for managing authentication of a user | |
| EP3254487B1 (en) | Link indication referring to content for presenting at a mobile device | |
| WO2019126027A1 (en) | Access network selection | |
| US20200137056A1 (en) | Client device re-authentication | |
| US11277399B2 (en) | Onboarding an unauthenticated client device within a secure tunnel | |
| CN104641668A (zh) | 基于网络的按需无线漫游 | |
| US11924192B2 (en) | Systems and methods for secure automated network attachment | |
| US11496894B2 (en) | Method and apparatus for extensible authentication protocol | |
| WO2023010077A1 (en) | Onboarding client device to user-defined network using federation-based network identity | |
| US20240154947A1 (en) | Service assurance via federation-based network during roaming | |
| US11234132B1 (en) | Autonomous device authentication for private network access | |
| KR20200010417A (ko) | 개선된 네트워크 통신 | |
| CN105493540A (zh) | 一种无线局域网用户侧设备及信息处理方法 | |
| Nguyen et al. | An SDN‐based connectivity control system for Wi‐Fi devices | |
| US20220286447A1 (en) | Providing security services via federation-based network during roaming | |
| US12015529B1 (en) | Private mobile network having network edges deployed across multiple sites | |
| EP4356633A1 (en) | Methods and entites for end-to-end security in communication sessions |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |