CN1839608B - 用于产生在不同域间使用的唯一用户身份的装置和方法 - Google Patents

用于产生在不同域间使用的唯一用户身份的装置和方法 Download PDF

Info

Publication number
CN1839608B
CN1839608B CN038271524A CN03827152A CN1839608B CN 1839608 B CN1839608 B CN 1839608B CN 038271524 A CN038271524 A CN 038271524A CN 03827152 A CN03827152 A CN 03827152A CN 1839608 B CN1839608 B CN 1839608B
Authority
CN
China
Prior art keywords
user
service
identity
identifier
supplier
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN038271524A
Other languages
English (en)
Other versions
CN1839608A (zh
Inventor
A·帕尔多-布拉斯克斯
M·卡雷特罗-戈麦斯
J·M·沃尔克
M·-A·蒙亚斯-罗伦特
J·-A·德格雷戈里奥-罗德里格斯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telefonaktiebolaget LM Ericsson AB
Original Assignee
Telefonaktiebolaget LM Ericsson AB
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telefonaktiebolaget LM Ericsson AB filed Critical Telefonaktiebolaget LM Ericsson AB
Publication of CN1839608A publication Critical patent/CN1839608A/zh
Application granted granted Critical
Publication of CN1839608B publication Critical patent/CN1839608B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0407Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4547Network directories; Name-to-address mapping for personal communications, i.e. using a personal identifier
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0807Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Collating Specific Patterns (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Exchange Systems With Centralized Control (AREA)
  • Telephonic Communication Services (AREA)

Abstract

当前,移动运营商是代表那些实际为用户执行服务的服务供应商来提供服务的。在这种场景中,移动运营商充当了身份提供者,其中服务供应商和身份提供者共享一个唯一的身份,以便对每一个接入大量服务的特定用户进行识别。随着接入这些服务的用户数量的增长,以及不同服务供应商所提供的服务数量的增长,在运营商网络上为大量用户身份所需要的存储处理将会成为一个问题。为了克服这个问题以及其他问题,本发明提供了一种身份生成器设备,该设备被调整成产生一个用户服务指示符,以便在服务供应商与身份提供者之间识别用户,用户服务指示符包含用于在身份提供者那里识别用户的主用户标识符,以及用于指示要在指定服务供应商那里接入的服务的服务标识符。

Description

用于产生在不同域间使用的唯一用户身份的装置和方法
发明领域
本发明主要涉及的是永久或临时地产生不透明以及不会为第三方所理解的唯一用户身份,以便在不同的域之间识别用户。特别地,本发明涉及的是对用户在从属于不同服务供应商时具有的多个用户身份进行处理,同时减少用户搜索键码的数目以及所需要的存储器的装置和方法。
背景
当前,移动运营商已经意识到他们需要为其用户提供广泛和有吸引力的服务范围,以使移动互联网进入腾飞阶段。起初,运营商们认为他们能够开发、主持(host)和提供所有这些服务。但对所预期的互联网腾飞而言,这个提议已被证实是不恰当的,移动运营商也已经改变了他们的想法。现在,运营商寻求的是在不涉及服务供应地点的情况下提供对于有吸引力的服务的接入。
对于主持和开发那些整合在运营商服务供应之中的服务的伙伴服务供应商而言,他们可以拥有或提供服务,哪怕这些服务仅仅是一小部分,此外,所谓的服务供应商联盟同样可以提供服务,这种服务供应商联盟也就是那些与运营商达成协议、从而接受所述运营商所执行的用户验证的服务供应商。总之,移动运营商与服务供应商之间关系的多样性是无限的。
从移动运营商以服务供应商名义来提供服务的场景,到服务供应商在与移动运营商达成某种协议的情况下独立提供服务的另一种场景,这些不同场景都是有可能出现的。在所有这些可能的场景中,与用户身份相关的问题是一个非常关键的方面,这个问题必须得到非常仔细的处理,尤其是在私密性(privacy)和数据保护方面。
例如,所谓的身份联合是一种供自由联盟计划(Liberty AllianceProject)使用的协议,并且由此可以联合两个不同域中给出的用户身份。在本文中,术语“联合”可以理解为“链接”、“耦合”、“关联”等等。因此,身份联合存在于身份提供者(IDP)与服务供应商(SP)之间,其中身份提供者通常负责对用户进行验证并且维护用户身份以及用户标识符,而在服务供应商那里用户有一个帐户。此外,一般来说,为了身份联合的目的,身份提供者(IDP)会与服务供应商(SP)群组建立商业联系。
对于IDP与SP这两个参与者来说,他们可以通过使用其他的相应身份来引用终端用户,其中所述身份可以是句柄、别名、假名或是这两个参与者所理解的标记。然而,当前在这两个参与者之间用以引用所述终端用户的身份是一种只为所涉及的各方所理解的新的身份,并且该身份不会为任何第三参与者所了解。因此,用户在任何一个域中的真实身份都不会在其间进行交换;取而代之的则是使用了一个别名,其中该别名是一种假名、句柄、标记、笔名等等,并且其中每一个域都能将这个别名映射成用户的本地身份,以便进行识别。在这一点上,术语“身份”可以广义理解成是指任何一种能够表示或定址一个实体或用户的标识符或指示符。换句话说,身份提供者(IDP)被调整成将每一个用户别名映射成它在IDP上的身份,并且相似的行为同样也施加于服务供应商(SP)。如上所述,使用别名的优点在于:当不同的域需要引用某个终端用户的时候,由于第三方不能从IDP与SP之间使用的别名中猜测用户的真实身份,因此这种处理可以略微减小对于安全性和私密性的威胁。
在自由联盟之外的其他场景中,其中同样有可能需要使用别名作为引用终端用户的手段,同时隐藏其真实身份。例如,欧盟已经具有了分别与电信和数据保护方面的私密性相关的两个指示,即97/66/CE以及95/46/CE。
如先前所述,不同的场景都是有可能出现的,特别地,针对某个用户的身份提供者(IDP)可以是能够接入用户数据的移动运营商。举个例子,有可能存在这样一种场景,其中运营商在其业务量中包含了来自其他服务供应商的服务。由于实际是由运营商提供服务的,因此,该场景可以将运营商描绘成一种虚拟服务供应商。在作为虚拟服务供应商(下文中简称为VSP)的运营商及其用户之间建立一种预约关系。为了向所述用户提供服务,运营商将会与外部的服务供应商签订协议,由此这些服务供应商可以代表运营商来实际提供服务。
对于某个服务在服务供应商那里处理其用户的方式而言,这其中有两种基本状况:即具有用户帐户的服务以及不具有用户帐户的服务,其中前者在上文中已经进行了介绍,并且在下文中将会对前者和后者进行进一步的示范性说明。
一方面,具有用户帐户的服务实例可以是股票报价告警服务,其中用户会在Erisson股票每次止损(stop loss)的时候接收到一个短消息(通常将其称为短消息服务并且将其简写为“SMS”)。该服务由ACME StockAlarms公司提供并且可以通过用户的移动运营商来预订,它需要保持用户的帐户,以便保持用户的优先选择,例如股票名称以及止损值。此外,ACME Stock Alarms公司以及移动运营商都需要共享用户身份,也就是用户用以接入服务、以便对其进行定制的身份,同时,ACME Stock Alarms公司还会使用这个身份来向运营商指示短消息的目的地。
通常遵循的一种方法包含了服务供应商与移动运营商达成协议的第一步骤。常规的协议可以包括单点登录(SSO:Single Sign On)功能,借助于该功能,用户不必进行与服务有关的验证;取而代之的是,运营商将会处理验证过程,并且允许用户透明接入这些服务以及某些运营商功能,例如接入消息传递功能。
在该方法的第二个步骤中,用户会从运营商的业务量中预订某个服务,其中在当前实例中,该服务可以是ACME Stock Alarms公司提供的股票报价告警服务。
在该方法的第三个步骤中,对运营商、尤其是充当身份提供者的运营商来说,它会产生用户身份并将其传递给服务。这个身份是不透明的,并且该服务将会使用这个身份来创建自己的用户帐户。当前,从运营商向外部服务供应商所主持的服务提供用户的过程并没有什么标准过程可依。只有自由联盟对上述身份联合机制进行了标准化处理,以便在服务供应商(SP)与身份提供者(IDP)之间链接预先存在的用户帐户,特别地,所述身份提供者可以是运营商,然而,由于服务中并不具有可用的先前帐户,因此这种机制在这里并不适用。
在该方法的第四个步骤中,就上述实例而言,用户将会借助例如WAP浏览器来接入服务,以便个人化服务设置以及首选项。运营商可以提供某种类型的SSO功能,由此用户不必进行与作为例示的股票报价告警服务相关的验证。取而代之的是,运营商将会处理验证过程,并且将先前协商的身份传递给服务。
在该方法的其他步骤中,举例来说,一旦定制了服务,那么该服务可以使用所述用户的身份来接入运营商的域,以便接入消息传递系统,从而发送SMS。然后,运营商必须从其与服务供应商共享的指定用户身份中找出用户在内部使能者上的身份,其中在本实例中,所述内部使能者是短消息服务中心(SMSC)。这个信息通常保存在运营商的用户目录中,由此运营商将会使用指定的用户身份作为变元,在所述用户目录中执行搜索操作。
如果每一个服务供应商、甚至服务供应商的每一个服务都使用了不同的用户身份,那么该方法将会导致使用大量身份作为变元,以便执行每一个用户的搜索操作。
另一方面,没有用户帐户的服务实例可以是铃声曲调下载服务,其中用户会向ACME硬下载服务发送一个SMS,请求下载特定的铃声曲调。一旦对这个请求进行了处理,那么该服务会向用户发送另一个SMS。其他可能出现的情况是用户借助WAP电话并且通过运营商的主页来接入服务,并且请求这种铃声曲调。在这其中的任何一种实例中,其中没有必要预先预订服务。然而,运营商必须将用户身份传递到服务,使之通过运营商的消息传递功能回送一个标志(logo)。
为了提供没有用户帐户的服务,通常遵循的方法包括服务供应商与移动运营商达成协议的第一个步骤。一般的协议包括传递用户身份的功能,也就是说,用户不必向服务提供任何身份;取而代之的是,运营商允许用户在向服务供应商提供个人身份的同时透明接入服务。该协议通常包括对某些运营商的功能进行接入,在上述实例中则是接入消息传递功能。
在该方法的第二个步骤中,运营商会为服务做广告,以使用户了解该服务。
然后,在该方法的第三个步骤中,就上述实例而言,用户将会借助SMS或是WAP来接入服务,并且请求特定的曲调。
在该方法的第四个步骤中,运营商将会创建临时用户身份,并且将其传递到服务。这个临时用户身份可以是以A-number或订户电话薄号码著称的订户目录编号。这个临时用户身份是不透明的,并且仅仅供服务用以回送用户请求的内容。
一旦对用户请求进行了处理,则执行另一个步骤,其中该服务将会使用临时用户身份来接入运营商的域,也就是接入消息传递系统,以便发送SMS并且完成下载。
当前,一般来说,有很多挑战促使本发明将目标集中在克服这两种方法中的最常见的缺陷以及某些特定的缺陷上。
所要解决的第一个缺陷是:单个运营商的用户通常会在网络运营商以及服务供应商那里具有大量的身份,并且在大多数情况下,用户对于每一个预订的服务具有一个身份。关于这一点,在每一个服务命名空间中,临时和永久用户身份必须唯一,以使每一个服务都具有创建帐户的键码。此外,无论是临时还是永久性身份,两个不同的用户都不能就相同或不同服务而具有相同身份,以使运营商能将身份与其归属的实际用户相联系。另外,用于同一用户的身份必须不同,由此防止外部服务供应商通过链接来自不同服务的数据来创建某种用户简档。这样一来,在充当身份提供者的网络运营商可以接入的用户目录中将会保存大量的用户身份以及标识符。在这种场景中,对运营商来说,随着订户数量的增长以及服务使用的增多,要在用户目录中保存大量用户身份以及标识符将会成为一个难题。
第二个缺陷在于:当前,从电信世界的用户身份中可以提取关于实际终端用户在现实世界中的身份的资料。举例来说,国际公开申请WO03/050743显示了如何在身份提供者的实体中从用户身份以及服务标识符中产生别名,并且将其提交给其中提取用户身份的内容供应商。在这方面,对服务而言,临时和永久用户身份都必须是不透明的。这个特征通常起因于规章和私密性约束。由此,运营商对用户身份所进行的处理需要大量索引,而这将会引入很大的性能损失,并且同样成为了本发明所要解决的问题。即使在身份提供者(IDP)与服务供应商(SP)之间使用了唯一的别名,但由于该别名在诸如服务供应商和身份提供者之类的两个参与者之间的所有通信中都是引用终端用户的唯一身份,因此该别名可以视为是用于在其相应数据库中搜索所述用户简档的主键码。举例来说,美国专利公开2003/0093681显示了如何从用户身份以及服务标识符中产生验证令牌,并且所述令牌还与目录系统中保存的令牌进行了比较,并且在所述目录中,验证令牌被用作搜索键码。一旦每一个用户的别名数量提升到某个阈值以上,那么在每一个参与者的数据库中管理和存储别名或假名的处理将会变得非常困难,对于身份提供者而言则更是如此,特别地,所述身份提供者可以是运营商。这一事实对于数据库操作性能、尤其是搜索或查找操作同样具有负面影响。
另一方面,本发明的另一个挑战是保护用户免受恶意服务供应商影响,其中这些恶意服务供应商会在没有请求的情况下创建用于向用户传递内容的服务。由于这些服务通常是价格不公平的服务,因此,这种恶意行为会使这些服务供应商获取关于非请求内容的收益。由此,在处理用户身份管理以及没有用户帐户的服务方面将会出现超出上述挑战的其他挑战。
第一个附加挑战在于:服务应该不能“猜测”有效的临时身份,以便防止恶意服务使用“猜测的”临时身份来传递未请求的内容。另一个附加挑战在于:临时身份必须具有有限的使用寿命,以便防止恶意服务使用旧的临时身份来传递未经请求的内容。其他的附加挑战则是提供更简单的方法来验证临时身份是否仍旧有效。此外,这些挑战必须以一种能够将其对运营商数据库系统的影响减至最小的方式来完成。
由此,本发明的一个非常重要的目的是提供分别克服和适应了上述缺陷和挑战的装置和方法。
本发明的另一个目的是实现一种将其对运营商的用户目录系统的影响进一步减至最小的适当的解决方案。
发明概述
特别地,依照本发明,通过提供用于产生用户服务指示符的装置和方法,可以使用户经通过一个可以接入用户的用户数据的网络运营商来接入服务供应商提供的大量服务,由此可以实现上述目标。
因此,这些装置是在一种特定设备中提供的,在本说明书中将其称为身份生成器设备,它被调整成产生一个用户的服务指示符,其中该用户的指示符可以在服务供应商域与身份提供者域之间使用,以便在每一个相应的域中明确识别该用户,特别地,所述身份提供者域可以是网络运营商域。
依照本发明的身份生成器设备包括:
用于获取可以在运营商网络上识别用户的主用户标识符的装置;
用于获取指示要在服务供应商那里接入的服务的服务标识符的装置;
用于构造用户的服务指示符的装置,其中该指示符包含主用户标识符以及服务标识符。
特别地,上述主用户标识符可以作为真实用户身份的函数来构造。
优选地,这个身份生成器设备可以用这样一种方式来进行适配,其中用于指示要在服务供应商接入的服务的服务标识符包含了从以下群组中选出的至少一个元素:服务供应商指示符,以及大量的服务指示符。
此外,这个身份生成器设备还可以包括:
用于获取从以下各项中选出的至少一个元素的装置:网络运营商标识符;辅助值;到期时间以及完整性代码;以及
用于将该至少一个元素包含在用户的服务指示符中的装置。
用户服务指示符(USI)是一个用于在服务供应商以及运营商网络上识别用户的共享键码。一旦根据所述用户服务指示符(USI)(12Joe78@FG)而在网络运营商的实体上接收到了来自服务供应商的通信,那么网络运营商的这个实体(7)就能够执行反向生成(F-1),以便像图3B以及图2所描述的那样获取相应的主用户标识符(UID)(Joe.Doe)。
该身份生成器设备还可以包括:用于执行反向身份生成以便从用户的服务指示符中获得主用户标识符的装置,但是这个用于执行反向身份生成的装置也可以处于另一个实体,例如处于运营商域边界并且特别用于验证目的的边界网关。
非常有利的是,这个身份生成器设备还可以包括:通过使用加密密钥来对用户的服务指示符执行对称加密的装置。在这方面,通过使所有的可用服务供应商具有唯一的加密密钥,或者使每一个服务供应商具有不同的加密密钥,还可以实现进一步说明的不同优点。如果每一个服务供应商具有不同的加密密钥,那么身份生成器设备,确切的说是用于执行反向身份生成的装置还可以包括:用于根据指定用户的服务指示符来确定发起通信的服务供应商、从而使用恰当的加密密钥的装置。
依照本发明的身份生成器设备可以整合在身份提供者网络的实体中,也可以与之紧密协作。特别地,这个实体提供者的网络可以是能够接入用户数据的运营商网络,也可以是用户的归属网络(home network)。
在这个方面,身份生成器设备可以整合到负责在运营商网络中供应任务的中央供应实体、用于存储用户数据的用户目录系统、或是运营商域边界上的边界网关中,也可以与之紧密协作。特别地,这个边界网关可以是从以下各项中选出的实体:HTTP代理、WAP网关以及消息传递网关。
与身份生成器设备相互补的是,在这里还提供了一个分解器组件,它具有上述用于执行反向身份生成的装置,所述分解器组件被调整成整合在至少一个从以下群组中选出的实体中,也可以与之紧密协作,其中该群组包括:身份生成器设备,身份提供者域或是服务供应商域中的其他实体。特别地,在这些其他实体上还可以存在一个从以下各项中选出的边界网关:HTTP代理、WAP网关以及消息传递网关。
在这个方面,如果使用了不执行加密的基本结构来产生指定用户的服务指示符,并且如果分解器组件不了解这种结构,那么用于在这个分解器组件中执行反向生成的装置还包括:获取用以产生所述指定用户的服务指示符的服务标识符的装置。
如果使用了其他标识符、辅助值或是加密机制来产生指定用户的服务指示符,那么用于在这个分解器组件中执行反向生成的装置还可以包括:用于获取从以下各项中选出的至少一个元素的装置:网络运营商的标识符,以及用于产生指定用户的服务指示符的加密密钥。
此外,对于指定临时用户的服务指示符验证而言,非常优选的是,用于在这个分解器组件上执行反向生成的装置还可以包括:
用于获取可适用的到期时间准则的装置;以及
用于对照所述到期时间准则来验证指定临时用户服务指示符(T-USI)的有效性的装置。
更概括的说,分解器组件还包括:通过使用主用户标识符作为针对用户目录系统的搜索键码、来验证指定用户的服务指示符的装置,无论所述指示符是否为临时性的。
本发明还提出了一种用于产生用户服务指示符的方法,其中所述服务指示符预定供用户通过一个其中可以接入用户的用户数据的网络运营商来接入服务供应商提供的大量服务,这个用户服务指示符可以在服务供应商域与身份提供者域之间使用,以便在每一个相应的域中明确识别该用户,特别地,所述身份提供者域是网络运营商域。
依照本发明的方法包括:
获取可用来在运营商网络上识别用户的主用户标识符的步骤;
获取指示要在服务供应商那里接入的服务的服务标识符的步骤;
构造用户服务指示符的步骤,其中该指示符包含主用户标识符以及服务标识符。
特别地,获取主用户标识符的步骤可以包括:将一个函数应用于真实用户身份,以便隐藏所述真实用户身份的步骤。
优选地,该方法可以用这样一种方式来适配,其中获取服务标识符的步骤可以包括:获取至少一个从以下各项中选出的元素的步骤:服务供应商的指示符,以及大量的服务指示符。
优选地,该方法还可以包括:
获取至少一个从以下各项中选出的元素的步骤:网络运营商标识符;辅助值;到期时间以及完整性代码;以及
将该至少一个元素包含在用户服务指示符中的步骤。
该方法还可以包括:执行反向生成以便从用户的服务指示符中获取主用户标识符的步骤。
非常有利的是,该方法还可以包括:通过使用加密密钥来对用户的服务指示符执行对称加密的步骤。对所有可适用的服务供应商来说,这个加密密钥可以是唯一的,或者每一个服务供应商的加密密钥可以是不同的。如果每一个服务供应商具有不同的加密密钥,那么该方法还可以包括:根据指定用户的服务指示符来确定发起通信的服务供应商、从而使用恰当的加密密钥的步骤。
附图简述
通过结合附图来阅读本说明书,可以清楚了解本发明的特征、目标和优点,其中:
图1主要显示的是这样一种场景,其中用户通过网络运营商来对不同服务供应商提供的服务进行接入,在每一个服务供应商那里,用户是通过特定的用户身份来进行识别的,其中除了运营商网络上的一个或几个用户身份之外,运营商网络还在其用户目录系统中为每一个服务供应商保持了特定的用户搜索键码。
图2显示的是身份生成器设备的简化视图,其中该设备被调整成直接作为主用户标识符以及特定服务供应商的函数生成用户的服务指示符,以及作为用户服务指示符以及特定服务供应商的逆函数反向生成主用户标识符。
图3A和图3B显示的是处于本发明所应用的某个场景中的基本参与者;图3A描述的是从身份提供者向服务供应商提供用户别名;并且图3B描述的是将来自服务供应商的所述用户的别名身份用于身份提供者。
图4显示的是依照本发明实施例来为用户示范性产生用户服务指示符,以便通过网络运营商来接入服务供应商所提供的多个服务。
图5显示的是依照本发明的另一个实施例来为用户示范性产生用户的临时服务指示符,以便通过网络运营商来临时接入服务供应商所提供的多种服务。
优选实施例详述
在下文中描述了可供用户使用服务供应商与身份提供者所共享的唯一用户别名(别名-1;别名-2;别名-N)并且通过身份提供者(IDP)来接入服务供应商(SP-1;SP-2;SP-N)提供的多个服务的装置和方法当前优选的实施例。特别地,如图1所示,身份提供者是一个其中可以接入用户数据(4)的网络运营商。
依照本发明的第一个方面,在这里提供了如图2所示的身份生成器设备(6),该设备被调整成在两个域之间的通信过程中对于每一个服务供应商(3)为用户(5)产生相同的别名(12Joe78@FG),其中举例来说,这两个域可以是服务供应商(SP-N)与身份提供者(IDP)的域。在本说明书中,该别名也称为用户服务指示符(USI)。
因此,在图2和图3A所示的本发明的第一实施例中,这个用户的服务指示符(USI)是作为身份提供者那里的主用户标识符(UID)(Joe.Doe)以及服务供应商(SP-N)指示符(SPI)的函数(F)产生的。
一般来说,在用户别名的生成过程中不应该使用显式的用户身份,以免服务供应商推导或是利用这种显式的用户身份。因此,在身份提供者那里将会为用户分配一个不透明的并且不会为第三方所理解的主用户标识符(UID),特别地,所述身份提供者是网络运营商。
用户服务指示符(USI)是一个用于在服务供应商以及运营商网络上识别用户的共享键码。一旦根据所述用户服务指示符(USI)(12Joe78@FG)而在网络运营商的实体上接收到了来自服务供应商的通信,那么网络运营商的这个实体(7)就能够执行反向生成(F-1),以便像图3B以及图2所描述的那样获取相应的主用户标识符(UID)(Joe.Doe)。
因此,依照一个有利的实施例,生成(F)函数使用了图4和图5进一步显示的对称加密以及加密密钥(KE)。在这个方面,产生和使用加密密钥(KE)的可能性有两种:密钥在整个系统中是唯一的并被用于为所有服务供应商加密所有身份,或者该密钥对于每一个服务供应商而言都是不同的。
从安全性角度来看,由于重复使用相同密钥经常导致产生潜在的攻击,因此,较为有益的是使用不同的密码,每一个服务供应商一个密钥。然而,这意味着在来自某个服务供应商并且使用了别名的每一个请求中,服务供应商的身份始终是已知的。否则,如果服务供应商的身份在所有请求中并非已知,那么可以将一个唯一的密钥用于整个系统,或者将缺省的密钥用于这些未知的服务供应商。为此目的,用于在图3A给出的过程中在身份生成器设备(6)上产生用户服务指示符(USI)的加密密钥(KE)在图3B所示的处理过程中也是可用的,其中在图3B所示处理过程中将会进行反向生成(F-1)以便获取相应的主用户标识符(UID)。而这正是如图3B中显示的那样将反向生成(F-1)特征(7)优选置于身份生成器设备(6)中的原因之一,但是所述反向生成(F-1)特征(7)也可以置于附图中并未描述的另一个网络实体中或者与之进行协作,例如边界网关,它充当的是供服务供应商进入运营商域的入口点,并且通常处于运营商域的边界上。
在本发明的一个有利的实施例中,上述主用户标识符(UID)可以从显式的用户身份中推导得到,以便将附加的信息熵添加到生成函数(F)中。举例来说,主用户标识符可以是真实用户身份的一个单向散列值(SHA-1),例如移动站的ISDN号码(MSISDN):
Seed=SHA-1(MSISDN);
这个结果可以产生一个160比特的输出,该输出可以用于推导出一个截断成期望数量比特的主用户标识符:
UID=First_64_bits(Seed)(Seed的前64个比特);
实际上,将64比特的代码用于主用户标识符(UID)实际上是用于身份的足够地址空间与大小不太多以便存储之间的折中,这是因为这个主用户标识符(UID)是作为用户标识符之一来进行保存的,并且该标识符可以在运营商网络所能接入的用户目录(4)中被用作搜索键码。也就是说,对身份提供者(IDP),尤其是可以作为网络运营商的身份提供者来说,当其在用户目录系统中针对用户执行任何查找的时候,它会使用这个主用户标识符作为搜索键码。
因此,依照本发明的一个实施例,在这里为身份生成器设备优选配备了分解器组件(7),该组件具有用于从用户服务指示符(USI)中执行反向生成(F-1)以便获取相应的主用户标识符(UID)的装置:
UID+SPI=F-1(USI,key)
依照本发明的另一个实施例,这个分解器组件(7)可以与身份生成器设备(6)相分离,以便整合到身份提供者(IDP)域或服务供应商(SP)域的其他实体中,或是用于与这些其他实体进行协作。因此,分解器组件(7)配备了用于对于每一个服务供应商或每一个服务应用获取相同或相应加密密钥(KE)作为用以在身份生成器设备上产生用户服务指示符的加密密钥(KE)的装置。然而,在将分解器组件(7)整合在身份生成器设备(6)中的时候,这两者可以共享这个用于获得加密密钥(KE)的装置。
依照本发明的第二个方面,在这里提供了一种身份生成器设备(6),它被调整成遵循一种结构化模式来产生用户服务指示符(USI),其中所述结构化模式包含上述主用户标识符之类的永久性用户别名,以及将在服务供应商那里接入的服务的指示符,此外它还可以包括多个附加字段,以便满足附加要求并且确保解决方案的功效和安全性。
因此,在本发明当前优选的实施例中,提供了一种身份生成器设备(6),该设备被调整成产生分别在图4和图5中示范性显示的永久性或临时性用户服务指示符(USI)。
图4显示的是构造用户服务标识符(USI)时依照的结构化模式,其中该标识符将会由服务供应商(SP-1;SP-2;SP-N)域以及身份提供者(IDP)域所共享,并且预定将被用于在所述两个域中识别用户。
图4中的结构化模式包含主用户标识符(UID),可以这么说,该标识符是一个永久性用户别名,并且可以是一个已有的用户身份,例如国际移动用户身份(IMSI)或是移动站ISDN号码(MSISDN),此外还可以是特别创建的令牌,尤其是像上述第一实施例那样的来自单向散列函数的值,优选地,在这里将该标识符调整成作为一个用以搜索用户简档数据的索引身份来加以使用。
图4所示的结构化模式还包括指示用户将要在服务供应商那里接入的服务的服务标识符(SID)。如图4所示,这个服务标识符(SID)可以仅仅包含上述第一实施例中提出的服务供应商指示符(SPI),或者可以包括多个个别的服务指示符(S1I;SNI),或者可以包括这些指示符的组合(SPI;S1I;SNI)。也就是说,在这个优选的第二实施例中,用于产生用户服务指示符的基本结构化模式包含主用户标识符以及服务标识符,其中前者被调整成在身份提供者的域中搜索用户的简档数据,后者则包含指示用户要在服务供应商那里接入的服务的信息。
举例来说,服务标识符(SID)可以单独包括指示可以在服务供应商那里接入任何任务的服务供应商指示符(SPI),或者可以包括跟随了一个常规服务指示符列表的服务供应商指示符(SPI),其中该列表适用于多个服务供应商,并且可以在指定的服务供应商那里对其进行接入。此外,举例来说,服务标识符(SID)可以只包含特定服务指示符的列表,其中所述指示符仅适用于指定的服务供应商,并且仅可以在指定的服务供应商那里对其进行接入。
此外,服务供应商指示符(SPI)的存在与否取决于外部服务供应商接入运营商域的方式。如果服务供应商是对运营商域进行验证并且接入其功能的实体,那么服务标识符(SID)可以优选包含服务供应商指示符(SPI)。然而,如果服务自身或是服务应用是执行验证以及直接接入运营商功能的实体,那么有可能不需要服务供应商指示符(SPI),反之,此时更为恰当的是多个用于表示个别服务或服务应用的服务指示符(S1I;SNI)。
另一方面,本发明提供了能在不具有以对用户目录系统进行接入的客户机为基础的接入控制特征的情况下接入所述用户目录系统的附加益处,其中举例来说,所述情况可以是关系数据库中的情况。因此,所提出的解决方案使得可以包含为之产生了用户服务指示符(USI)的实体的指示(SID)。
如上所述的包含主用户标识符(UID)以及服务标识符(SID)的基本结构化模式可以视为是符合本发明某些实施例的最简单的用户服务指示符(USI)。
上述主用户标识符(UID)是在身份提供者的域中对用户进行识别,并且上述服务标识符(SID)指示用户在服务供应商那里接入的服务,除这些标识符以外,图4所描述的用以构造用户服务指示符(USI)的结构化模式还可能包括运营商标识符(OID),这一点是非常有利的。包含所述运营商标识符可能产生的益处可以在如下场景中得到体现,在该场景中存在一种网络运营商联盟或协会,这种联盟或协会采用了这样一种方式,其中第一网络运营商充当身份提供者并且由此产生用户服务指示符(USI),而第二网络运营商则根据为指定服务供应商产生的所述用户服务指示符(USI)而对任何来自所述指定服务供应商的请求进行验证。在这种环境下,第二网络运营商有可能需要反转接收到的用户服务指示符(USI),以便获取用于识别用户的主用户标识符(UID),以及用于指示这种用户服务指示符(USI)在哪生成的运营商标识符(OID)。
出于这个和其他目的,在这里可以提供一个中央供应实体(CPE),该实体配备了用于向身份生成器设备(6)以及其他实体提供恰当的运营商标识符(OID)代码、服务标识符(SID)代码以及可用的加密密钥(KE)值的装置,其中举例来说,所述其他实体可以是边界网关,此外,在所述中央供应实体中可以整合分解器组件(7),也可以与之进行协作,所述分解器组件(7)则负责应用相应的反向生成(F-1)函数。更准确的说,中央供应实体包含用于向身份生成器设备(6)提供运营商标识符(OID)代码、服务标识符(SID)代码以及可用加密密钥(KE)值的装置,以及在分解器组件(7)是身份生成器设备(6)之外的不同实体或是驻留在所述不同实体上的时候,该装置还向所述分解器组件(7)提供运营商标识符(OID)代码、服务标识符(SID)代码以及可用加密密钥(KE)值。
出于这些以及其他目的,分解器组件(7)配备了用来获取相同或相应运营商标识符(OID)代码、服务标识符(SID)代码以及可用加密密钥(KE)值作为用来产生可用的用户服务指示符(USI)的那些代码和值的装置。也就是说,如果没有采取加密机制,则不需要这种加密密钥(KE)。
此外,如图4和图5所示,用户服务指示符(USI)还可以包括辅助生成值(盐(Salt)),以便允许重新产生组成用户服务指示符(USI)的标识符,并且增加该结构的信息熵。
此外,举例来说,无论结构化模式仅仅包含主用户标识符(UID)以及服务标识符(SID)之类的基本字段,还是另外包含了运营商标识符(OID)以及辅助值(盐)之类的附加字段,完整性代码都是作为这个结构化模式以及某个键码(KH)的函数并且遵循散列消息验证码(通常被称为HMAC)的构造规则而被计算的。然后,这个完整性代码将会追加于结构化模式,并且最终得到的新的结构优选是通过使用对称算法以及加密密钥(KE)而被加密的。
如图4所示,这种新的加密结构被视为是一种恰当的用户服务指示符(USI),它被用于大范围的实体以及不同的可能场景。
可以这么说,这种永久性用户身份用于作为发明背景引入的具有用户帐户的服务,与之不同的是,由于可以考虑用户服务指示符(USI),身份生成器设备(6)还被调整成为那些在背景部分中介绍的没有用户帐户的服务产生临时用户身份。
在这方面,只要将一个到期时间字段添加到图4所示的用于构造用户服务指示符的结构化模式中,就可以产生一个临时用户身份,由此得到的新的结构被视为是一种临时用户服务指示符(T-USI)。
举例来说,图5显示了一种临时用户服务指示符(USI)的结构,其与图4所示的用户服务指示符(USI)的不同之处仅在于前者包含了一个到期时间字段。在与图5中的实施例相类似的优选实施例中,这个到期时间字段是在计算上述完整性代码之前包含的,然而在图中并未显示的其他的可能实施例中则可以进一步包含这个到期时间,以便帮助选择恰当的辅助生成值(盐)以及反向生成函数(F-1),由此允许重新产生标识符。尽管如此,但从安全性角度来看,为了防止窜改,较为优选的还是在加密之前将其包含在结构化模式中。
就到期时间计算而言,其中可以基于每一个用户和服务而对不同的准则加以考虑。举例来说,可适用的准则可以是运营商与服务供应商之间就特定服务所建立的服务等级协议(通常称为SLA)类型。另一个可适用的准则可以是用户的连接状态,其中可以根据用户在线还是离线来确定不同的到期时间。其他可适用的准则可以是在在线模式中为用户执行的验证的类型。并且另外的可适用准则可以是由运营商决定的其他任何合适的策略。
从使用角度来看,上文中描述的身份生成器设备(IGD)(6)适合基于每个服务供应商、每个身份提供者以及它们的组合来产生永久和临时的用户身份。这种身份生成器设备(IGD)可以作为独立实体实现,也可以整合在另一个域实体中,它适合在身份提供者(IDP)的域中使用,以便有效减少对于在所述域中存储大量用户搜索键码的需要,由此实现了本发明的一个目的。
举例来说,身份生成器设备(6)可以与负责在身份提供者域、尤其是运营商网络中提供任务的中央供应实体(CPE)相整合,以便更新用户目录系统(4)以及其他的使能器。然而,身份生成器设备(6)也可以改为与用户目录系统相整合。
另一方面,对于身份生成器设备(6),至少是具有用于反向生成指定用户服务指示符(USI)中包含的不同标识符的装置(F-1)的分解器组件(7)来说,所述设备或装置也可以整合在充当边界网关的所谓的基于身份的代理中,它是用于对用户目录系统(4)执行所有这些基于身份的操作的唯一入口点。在这方面,这个所谓基于身份的代理充当的是边界网关,其中较为优选的是由它来负责验证所返回的临时用户服务指示符(T-USI),以便将其用于不同的用途,例如主管所提供的服务。
这种验证要求,较为优选的是,对于用于反向产生用户服务指示符(USI)所包含的不同标识符的装置(F-1),由此,对于整合在所谓的基于身份的代理之中或者与之协作的身份生成器设备(6)、确切的说是分解器组件(7)而言,它们是负责这个任务的实体。因此,用于在这个分解器组件(7)上执行反向生成的装置优选包括:用于获取可适用的到期时间准则的装置;以及用于对照所述到期时间准则来对指定临时用户服务指示符(T-USI)的有效性进行验证的装置。
此外,这种解决方案会以某种方式将相似的缺陷转移到服务供应商的域。关于这一点,并且依照本发明的另一个方面,身份生成器设备(6)同样适合在服务供应商(SP-1;SP-2;SP-N)的域中使用,以便有效减少对于在所述域中存储大量用户搜索键码的需要。因此,服务供应商可以创建包含自己索引身份以及一种运营商指示符的结构化模式,并且该模式中还可能包括其他辅助指示符。在服务供应商与身份提供者之间交换的最终的共享身份仍旧是一个新的结构,其中包含了在身份提供者那里产生的上述用户服务指示符(USI),以及在服务供应商那里产生的没有加密的结构化模式。
在上文中结合不同的实施例而对申请人的发明进行了描述,其中所述实施例是描述性而不是限制性的。可以预期的是,本领域普通技术人员可以对这些实施例进行修改。申请人的发明的范围是由权利要求结合说明书和附图来限定的,并且所有落入这些权利要求范围的修改都被认为是包含在其中。

Claims (22)

1.一种身份生成器设备(6),设置成产生用户服务指示符(USI),以使用户能够通过网络运营商来访问服务供应商(1,2,3)提供的多个服务,在该网络运营商中可以在用户目录系统(4)中访问用户的用户数据(4),该用户服务指示符可以在服务供应商(1,2,3)的域与网络运营商(IDP)的域之间使用,以便在每一个相应的域中明确识别该用户,所述身份生成器设备包括:
用于从用户目录系统(4)获取可以在运营商网络上用来识别用户的主用户标识符(UID)的装置;
用于获取由中央供应实体提供的、并指示要在服务供应商那里访问的服务的服务标识符(SID)的装置;以及
用于构造用户服务指示符(USI)的装置(F),该指示符包含主用户标识符(UID)以及服务标识符(SID);
一旦根据所述用户服务指示符(USI)接收到了来自服务供应商的通信,具有执行装置的分解器组件(7)用于对在通信中接收到的用户服务指示符(USI)执行反向生成(F-1),以便从用户服务指示符(USI)来获取主用户标识符(UID);以及
验证装置,用于使用从反向生成获得的主用户标识符(UID)作为针对用户目录系统(4)的搜索键码,对接收到的用户服务指示符(USI)的有效性进行验证。
2.权利要求1的身份生成器设备,其中,用于指示要在服务供应商那里访问的服务的服务标识符(SID)包含从以下各项中选出的至少一个元素:服务供应商指示符(SPI),以及多个服务指示符(S1I,SMI)。
3.权利要求1的身份生成器设备,还包括:
用于获取至少一个从以下各项中选出的元素的装置:网络运营商标识符(OID);辅助值(Salt);到期时间以及完整性代码;以及
用于将该至少一个元素包含在用户服务指示符(USI)中的装置。
4.权利要求1的身份生成器设备,其中,主用户标识符(UID)是作为真实用户身份(MSISDN)的函数(SHA-1)来构造的。
5.权利要求1的身份生成器设备,还包括:通过使用加密密钥(KE)来对用户服务指示符(USI)执行对称加密的装置。
6.权利要求5的身份生成器设备,其中,对所有可适用的服务供应商(1,2,3)来说,加密密钥(KE)是唯一的。
7.权利要求5的身份生成器设备,其中,对于每一个服务供应商(1,2,3)来说,加密密钥(KE)都是不同的。
8.权利要求1的身份生成器设备,其中,用于在分解器组件(7)中执行反向生成(F-1)的执行装置还包括用于获取从以下各项中选出的至少一个元素的装置:网络运营商标识符(OID),以及用于产生用户服务指示符(USI)的加密密钥(KE)。
9.权利要求1的身份生成器设备,其中,用于在分解器组件中执行反向生成(F-1)的执行装置还包括:
用于获取适用的到期时间标准的装置;以及
用于对照所述到期时间标准来验证指定的临时用户服务指示符(T-USI)的有效性的装置。
10.一种用于在网络运营商(IDP)的身份生成器设备(6)处产生用户服务指示符(USI)的方法,该用户服务指示符(USI)预定供用户(5)用来通过其中可以在用户目录系统(4)中访问用户的用户数据(4)的网络运营商来访问服务供应商(1,2,3)所提供的多个服务,该用户服务指示符可以在服务供应商(1,2,3)的域与网络运营商(IDP)的域之间使用,以便在每一个相应的域中明确识别该用户,该方法包括:
从用户目录系统(4)获取可以在运营商网络上用来识别用户(5)的主用户标识符(UID)的步骤;
获取由中央供应实体提供的并且指示要在服务供应商那里被访问的服务的服务标识符(SID)的步骤;
构造用户服务指示符的步骤,该指示符包含主用户标识符以及服务标识符;
该方法的特征在于还包括:
身份生成器与服务供应商通信(1,2,3)的步骤,并且所述通信是基于所述用户服务指示符(USI)的;
对在通信中接收到的用户服务指示符(USI)来执行反向生成(F-1)以便从所述用户服务指示符(USI)中获取主用户标识符(UID)的步骤;以及
使用主用户标识符(UID)作为针对用户目录系统(4)的搜索键码,对接收到的用户服务指示符(USI)的有效性进行验证的步骤。
11.权利要求10的方法,其中,获取服务标识符(SID)的步骤包括:获取从以下各项中选出的至少一个元素的步骤:服务供应商指示符(SPI)以及多个服务指示符(S1I,SMI)。
12.权利要求10的方法,还包括:
获取至少一个从以下各项中选出的元素的步骤:网络运营商标识符(OID)、辅助值(Salt)、到期时间以及完整性代码;以及
将该至少一个元素包含在所述用户服务指示符(USI)中的步骤。
13.权利要求10的方法,其中,从用户目录系统(4)获取主用户标识符的步骤包括:将函数(SHA-1)应用于真实用户身份(MSISDN)的步骤。
14.权利要求10的方法,还包括:使用加密密钥(KE)来对用户服务指示符执行对称加密的步骤。
15.权利要求14的方法,其中,对于所有适用的服务供应商来说,所述加密密钥(KE)是唯一的。
16.权利要求14的方法,其中,对于每一个服务供应商来说,所述加密密钥(KE)都是不同的。
17.权利要求16的方法,还包括:基于指定的用户服务标识符来确定发起通信的服务供应商的步骤。
18.一种包括如权利要求1中的身份生成器设备(6)的系统,该设备被整合在可以被访问的用户数据的身份提供者网络的实体中,或者与所述网络的实体紧密协作。
19.权利要求18的系统,其中,该实体是负责在运营商网络中提供任务的中央供应实体。
20.权利要求18的系统,其中,该实体是存储用户数据的用户目录系统(4)。
21.权利要求18的系统,其中,该实体是处于运营商域边界的边界网关。
22.权利要求21的系统,其中,所述边界网关是一个是从以下实体中选出的实体:HTTP代理、WAP网关,以及消息网关。
CN038271524A 2003-09-30 2003-09-30 用于产生在不同域间使用的唯一用户身份的装置和方法 Expired - Fee Related CN1839608B (zh)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/SE2003/001518 WO2005032100A1 (en) 2003-09-30 2003-09-30 Means and method for generating a unique user’s identity for use between different domains

Publications (2)

Publication Number Publication Date
CN1839608A CN1839608A (zh) 2006-09-27
CN1839608B true CN1839608B (zh) 2010-08-18

Family

ID=34388819

Family Applications (1)

Application Number Title Priority Date Filing Date
CN038271524A Expired - Fee Related CN1839608B (zh) 2003-09-30 2003-09-30 用于产生在不同域间使用的唯一用户身份的装置和方法

Country Status (7)

Country Link
US (1) US20070130343A1 (zh)
EP (1) EP1668859B1 (zh)
CN (1) CN1839608B (zh)
AT (1) ATE464726T1 (zh)
AU (1) AU2003265197A1 (zh)
DE (1) DE60332172D1 (zh)
WO (1) WO2005032100A1 (zh)

Families Citing this family (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005062843A2 (en) 2003-12-19 2005-07-14 America On Line, Inc Community messaging lists for authorization to deliver electronic messages
US20060080730A1 (en) * 2004-10-12 2006-04-13 Conor Cahill Affiliations within single sign-on systems
US7784092B2 (en) * 2005-03-25 2010-08-24 AT&T Intellectual I, L.P. System and method of locating identity providers in a data network
US7647381B2 (en) * 2005-04-04 2010-01-12 Aol Llc Federated challenge credit system
WO2006126875A1 (en) * 2005-05-25 2006-11-30 Nederlandse Organisatie Voor Toegepast-Natuurwetenschappelijk Onderzoek Tno Method to register a user at a service
EP1727327A1 (en) * 2005-05-25 2006-11-29 Nederlandse Organisatie voor Toegepast-Natuuurwetenschappelijk Onderzoek TNO Method to register a user at a service
ATE445888T1 (de) * 2005-06-23 2009-10-15 Ericsson Telefon Ab L M Verfahren zur verbesserung der hauptreferenzierung in identitätsbasierten szenarien
US20070168432A1 (en) * 2006-01-17 2007-07-19 Cibernet Corporation Use of service identifiers to authenticate the originator of an electronic message
US8935416B2 (en) * 2006-04-21 2015-01-13 Fortinet, Inc. Method, apparatus, signals and medium for enforcing compliance with a policy on a client computer
CN100428811C (zh) * 2006-07-17 2008-10-22 华为技术有限公司 一种短消息处理方法及系统
US7953863B2 (en) * 2007-05-08 2011-05-31 Intel Corporation Techniques for timing optimization in wireless networks that utilize a universal services interface
US8107952B2 (en) * 2007-05-24 2012-01-31 International Business Machines Corporation Mobile device with an obfuscated mobile device user identity
US8156332B2 (en) * 2007-05-29 2012-04-10 Apple Inc. Peer-to-peer security authentication protocol
US9398113B2 (en) * 2007-07-07 2016-07-19 Qualcomm Incorporated Methods and systems for providing targeted information using identity masking in a wireless communications device
US9392074B2 (en) 2007-07-07 2016-07-12 Qualcomm Incorporated User profile generation architecture for mobile content-message targeting
EP2053820A1 (en) * 2007-10-22 2009-04-29 Nokia Siemens Networks Oy Method and device for data processing and communication system comprising such device
US20090124241A1 (en) * 2007-11-14 2009-05-14 Qualcomm Incorporated Method and system for user profile match indication in a mobile environment
WO2009074709A1 (en) * 2007-12-10 2009-06-18 Nokia Corporation Authentication arrangement
US9391789B2 (en) 2007-12-14 2016-07-12 Qualcomm Incorporated Method and system for multi-level distribution information cache management in a mobile environment
US20100122082A1 (en) * 2008-10-08 2010-05-13 Leiwen Deng User identity validation system and method
US8402519B2 (en) 2008-10-16 2013-03-19 Verisign, Inc. Transparent client authentication
US20110213959A1 (en) * 2008-11-10 2011-09-01 Nokia Siemens Networks Oy Methods, apparatuses, system and related computer program product for privacy-enhanced identity management
WO2011153539A1 (en) * 2010-06-04 2011-12-08 Northwestern University Pseudonymous public keys based authentication
US9838351B2 (en) 2011-02-04 2017-12-05 NextPlane, Inc. Method and system for federation of proxy-based and proxy-free communications systems
US9077726B2 (en) 2011-03-31 2015-07-07 NextPlane, Inc. Hub based clearing house for interoperability of distinct unified communication systems
US9716619B2 (en) 2011-03-31 2017-07-25 NextPlane, Inc. System and method of processing media traffic for a hub-based system federating disparate unified communications systems
US9203799B2 (en) 2011-03-31 2015-12-01 NextPlane, Inc. Method and system for advanced alias domain routing
US9198038B2 (en) * 2011-06-13 2015-11-24 Qualcomm Incorporated Apparatus and methods of identity management in a multi-network system
US20130031160A1 (en) * 2011-06-27 2013-01-31 Christopher Carmichael Web 3.0 Content Aggregation, Delivery and Navigation System
US9847982B2 (en) * 2011-10-31 2017-12-19 Nokia Technologies Oy Method and apparatus for providing authentication using hashed personally identifiable information
DE102012201209A1 (de) * 2012-01-27 2013-08-01 AGETO Innovation GmbH Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
DE102012202744A1 (de) * 2012-02-22 2013-08-22 AGETO Innovation GmbH Verfahren zur Erzeugung eines Pseudonyms mit Hilfe eines ID-Tokens
US20130254830A1 (en) * 2012-03-22 2013-09-26 Madhav Moganti Apparatus and method for assuring communications of corporate users
US8925054B2 (en) 2012-10-08 2014-12-30 Comcast Cable Communications, Llc Authenticating credentials for mobile platforms
CN104113508B (zh) * 2013-04-16 2015-11-25 腾讯科技(深圳)有限公司 登录第三方服务平台的方法和系统
US9246925B2 (en) 2013-04-16 2016-01-26 Tencent Technology (Shenzhen) Company Limited Method and system for third-party service platform login
US20140359457A1 (en) * 2013-05-30 2014-12-04 NextPlane, Inc. User portal to a hub-based system federating disparate unified communications systems
US9705840B2 (en) 2013-06-03 2017-07-11 NextPlane, Inc. Automation platform for hub-based system federating disparate unified communications systems
US9819636B2 (en) 2013-06-10 2017-11-14 NextPlane, Inc. User directory system for a hub-based system federating disparate unified communications systems
DE102013113661A1 (de) * 2013-12-06 2015-06-11 Bundesdruckerei Gmbh Verfahren zum Erfassen einer elektronischen Aufforderung zur Ausführung eines elektronischen Dienstes
US20170012990A1 (en) 2015-07-08 2017-01-12 International Business Machines Corporation Indirect user authentication
JP6668934B2 (ja) * 2016-05-12 2020-03-18 株式会社リコー サービス提供システム、サービス提供装置、サービス提供方法、プログラム
US10469263B2 (en) * 2016-06-06 2019-11-05 Refinitiv Us Organization Llc Systems and methods for providing identity scores
US10489566B2 (en) * 2017-03-13 2019-11-26 Microsoft Technology Licensing, Llc Automated user profile generation and authentication
EP3416412B1 (en) 2017-06-13 2020-06-03 Swisscom AG Service orchestration across multiple service domains
CN109474568B (zh) * 2017-12-25 2021-09-28 北京安天网络安全技术有限公司 针对利用域前置技术实现恶意攻击的检测方法及系统
US11201949B2 (en) * 2019-01-28 2021-12-14 King.Com Ltd. Computer implemented method and computer device

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1355992A (zh) * 1999-04-13 2002-06-26 卡纳尔股份有限公司 提供设备之间的数字数据安全通信的方法和设备
US6463533B1 (en) * 1999-04-15 2002-10-08 Webtv Networks, Inc. System for generating site-specific user aliases in a computer network

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2001282433A1 (en) * 2000-07-31 2002-02-13 Cellact Ltd. System and method for anonymous but personalized provision of services
GB2372175B (en) * 2001-02-13 2004-06-23 Vodafone Ltd Provision of services via a mobile telecommunications network
US7325143B2 (en) * 2001-10-15 2008-01-29 Linux Foundation Digital identity creation and coalescence for service authorization
CN1599910A (zh) * 2001-12-06 2005-03-23 株式会社爱可信 用于向移动设备提供订购内容服务的系统和方法
CN100592827C (zh) * 2002-02-28 2010-02-24 艾利森电话股份有限公司 用于联合单点登录服务的系统、方法和设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1355992A (zh) * 1999-04-13 2002-06-26 卡纳尔股份有限公司 提供设备之间的数字数据安全通信的方法和设备
US6463533B1 (en) * 1999-04-15 2002-10-08 Webtv Networks, Inc. System for generating site-specific user aliases in a computer network

Also Published As

Publication number Publication date
ATE464726T1 (de) 2010-04-15
US20070130343A1 (en) 2007-06-07
AU2003265197A1 (en) 2005-04-14
CN1839608A (zh) 2006-09-27
EP1668859A1 (en) 2006-06-14
EP1668859B1 (en) 2010-04-14
DE60332172D1 (de) 2010-05-27
WO2005032100A1 (en) 2005-04-07

Similar Documents

Publication Publication Date Title
CN1839608B (zh) 用于产生在不同域间使用的唯一用户身份的装置和方法
CN100468386C (zh) 时间标记验证方法
US7565324B2 (en) Shared authorization data authentication method for transaction delegation in service-based computing environments
CN101286840B (zh) 一种利用公钥密码技术的密钥分配方法及其系统
US8719904B2 (en) Method and system for user access to at least one service offered by at least one other user
CN101313555B (zh) 一种授权管理系统和方法及授权管理服务器
US20040117430A1 (en) Method and systems for protecting subscriber identification between service and content providers
CN1868162B (zh) 向通信系统中的广播多播通信提供已验证询问的方法和设备
CN106295394A (zh) 资源授权方法及系统和授权服务器及工作方法
CN104365127B (zh) 用于在远程显示单元上追踪移动设备的方法
CN101247356B (zh) Dhcp消息传送的方法及系统
CN104662839B (zh) 多个域的链接标识
CN101119197B (zh) 一种签约方法及系统
CN104247485A (zh) 在通用自举架构中的网络应用功能授权
CN101360345A (zh) 一种数据业务的管理方法、装置及系统
CN107196918B (zh) 一种匹配数据的方法和装置
US20130183934A1 (en) Methods for initializing and/or activating at least one user account for carrying out a transaction, as well as terminal device
RU2457631C2 (ru) Способ передачи данных, хранящихся в базе данных
CN100583756C (zh) 实现用户设备和网络业务应用实体安全通讯的方法
CN1929377B (zh) 一种通信认证查询方法和系统
JP4579592B2 (ja) 情報提供サービスシステムおよび方法
KR101028609B1 (ko) 유비쿼터스 환경에서의 다중알에프아이디 관리 방법
JP4354439B2 (ja) 探索型属性認証方法およびシステム
CN113904778A (zh) mqtt协议接入物联网设备鉴权实现方法及系统
CN117978412A (zh) Api认证方法、转换网关、管理平台及电子设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20100818

Termination date: 20160930

CF01 Termination of patent right due to non-payment of annual fee