CN1860760A - 用于控制不同域之间的服务进程的装置和方法 - Google Patents
用于控制不同域之间的服务进程的装置和方法 Download PDFInfo
- Publication number
- CN1860760A CN1860760A CNA2003801105886A CN200380110588A CN1860760A CN 1860760 A CN1860760 A CN 1860760A CN A2003801105886 A CNA2003801105886 A CN A2003801105886A CN 200380110588 A CN200380110588 A CN 200380110588A CN 1860760 A CN1860760 A CN 1860760A
- Authority
- CN
- China
- Prior art keywords
- service
- user
- application gateway
- module
- gateway module
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
- Mobile Radio Communication Systems (AREA)
- Road Repair (AREA)
- Harvester Elements (AREA)
- Multi Processors (AREA)
Abstract
目前,对于大多数现有服务而言,用于授权服务网络运营者的用户访问由第三方服务供应商提供的服务的现有机构是基于请求和回答来进行的,但是对于服务递送隐含多个事务的那些交易服务而言,现有技术在允许运营者完全控制服务进程方面呈现出严重的局限性。为了克服这种局限性,本发明提供了用于在用户正在使用由第二域提供的所述服务的同时、在已经授权所述服务的第一域控制要求了多个事务的服务进程的装置和方法,并且本发明提供了用于验证服务网络运营者和服务供应商之间服务的使用的验证机构。
Description
技术领域
本发明总体上涉及当第一域负责授权用户访问由第二域中的服务供应商提供的服务时、对服务进程的控制。更具体来讲,本发明涉及当服务网络授权用户访问由服务供应商提供的服务并且服务供应商通过运营者资源为服务的使用而向用户收费时、对服务进程的控制。
发明背景
通常,网络运营者、特别是移动运营者目前向他们的用户提供各种各样的服务,而这些服务实际上经常是由外部服务供应商(SP)提供的。由此,对于其用户而言,网络运营者充当的是虚拟服务供应商,并且因服务的使用而适当地向他们收费,但是外部服务供应商实际上提供所述服务并且因提供服务而向运营者生成收费说明。对其用户而言,把充当服务供应商的这种网络运营者以下简称为服务网络运营者(SNO)。
在此情况下,以SNO网络为代表的第一域负责验证请求服务的用户,并且用于授权访问所请求的服务的用户。这种服务实际上是由外部服务供应商所拥有的第二域来提供的,所述外部服务供应商可能与网络运营者具有商业关系,但是这两个域可能由独立的公司所拥有。
目前已知的支持上述方案的倡议是Ericsson服务递送平台(Ericsson Service Delivery Platform,以下简称为ESDP),其目的在于帮助网络运营者向他们的预订者提供独立的访问服务。一般说来,ESDP认为预订者经由工业上称为“http reverse-proxy(http反向-代理)”的方式来访问服务网络中可利用的服务。基于这种已知的方式,在验证-授权-帐务(Authentication-Authorisation-Accounting,AAA)服务器中对用户进行验证,并且因为这种验证程序使得主机会话得以创建。主机会话通常包括与访问类型、用户标识符、所利用的验证机制、会话建立时间等等有关的信息。有效的主机会话确保用户被验证。然而,主机会话没有与用户正使用的服务有关的信息。由此,每当用户试图访问其简档中的服务时,主机会话都被检验以便在授权所述服务之前确定用户是否已经被验证。
这种ESDP以及该行业中其它已知的平台支持通常称为SingleSign-On(单一开始)的功能,借此,通过信任的接入网络来访问SNO网络的用户仅仅被验证一次就可以通过由服务网络运营者(SNO)提供的所有服务的验证。
例如,当信任的接入网络是类似通用分组无线电服务(GeneralPacket Radio Service,GPRS)网络的分组无线电网络并且向用户分配了网关GPRS支持节点(Gateway GPRS Support Node,GGSN)以便获得与服务网络运营者(SNO)域的连接时,会出现示例性的方案。
依照这种方案,对单一开始(SSO)服务的支持基于所谓的‘MSISDN forwarding’机构,其中MSISDN传统上代表移动用户ISDN号,而广义上讲,可以将其假定为用户电话号码。简单地说,‘MSISDNforwarding’机构是通过向本地服务网域中的‘验证、授权和帐务’(AAA)服务器发送RADIUS访问请求消息(其包括用户的MSISDN和IP地址)来从本地核心网域中的网关GPRS支持节点(Gateway GPRSSupport Node,GGSN)启动的。此信息允许AAA服务器为用户创建主机会话,以便每当所述用户请求访问服务时,检验主机会话以便确认用户早已被正确地验证。更具体来讲,公开号为WO 01/67716 A1的国际申请基于RADIUS Accounting Start消息描述了一种‘MSISDNforwarding’机构,其可以在某些方案下应用。此国际申请描述了在某些特定环境下用于支持单一开始并且由此仅验证用户一次的特征。
然而,就服务授权而言,当用户已经在SNO网络下被验证了一次时,那么就授予用户进入任何所提供的服务的权利。由此,一旦服务被授权,那么服务网络运营者将失去对所述服务的控制。也就是说,服务网络运营者无法再控制服务的进程,无法意识到服务执行期间所涉及的各方进行的动作,并且在此执行期间无法采取任何行动,诸如使服务会话断开以避免服务的欺骗性误用。
图1中举例说明了用于向用户授权服务的现有机构,当用户向接入网络发布服务请求时,可以启动所述机构,具体来讲,所述接入网络可以是GPRS网络、接收这种请求的特殊GPRS节点的GGSN。接收器向服务网络的应用网关模块(Application Gateway Module,AGM)发送此服务请求,所述服务网络通常负责侦听用户和服务之间的应用消息,并且识别所述用户和所述服务。此应用网关模块(AGM)、尤其可以是上述“http reverse-proxy”通常配有用于根据是否允许用户访问所述服务而从所谓的授权模块(Authorisation Module,AM)获得授权判定的装置。此授权模块(AM)、尤其是上述AAA服务器通常负责根据多个条件来判断是否授权用户访问服务。应用网关模块和授权模块这两个实体可以依照独立的模式来提供或者与其它实体合为整体,特别是可以集成到同一实体中。
尽管如此,对于大多数现有的服务而言,现有机构仍是基于请求和回答来进行的,诸如请求铃声并且下载所述铃声,但是对于更加复杂的交易事务而言,例如包括关联子服务的各个序列的服务,现有技术在运营者完全控制服务进程方面呈现出上述严重的局限性。
用于交易服务的一种简单的解决方案可以通过不管任何先前授权如何、都强制用户和服务之间的任何事务均需被授权来实现。然而,这种解决方案往往使任何通信模型极大地过载,并且由此被认为是要解决的额外的缺陷。
另一方面,假定服务网络运营者(SNO)不知道服务的不同事务何时出现,那么服务网络运营者无法意识到由各方、即用户和服务所进行的不同操作,并且无法根据这种不同的操作来应用不同的策略。此外,一旦授权用户这样做,服务网络运营者(SNO)甚至不能实时地使用户与正使用的服务断开。
由此,本发明的重要目的在于,提供用于在用户使用由第二域提供的所述服务的同时,在已经授权服务的第一域控制服务进程的装置和方法。
本发明的又一目的在于实现一种适当的解决方案,其中这种控制包括用于验证服务使用的验证机构。
发明内容
依照本发明,上述以及其它目的是通过提供一种用于在用户正在使用由第二域提供的所述服务的同时、在已经授权服务的第一域控制要求了多个事务的服务进程的方法和装置,以及用于验证服务在服务网络运营者和服务供应商之间的使用的验证机构来实现的。
依照本发明的第一方面,提供了一种适用于电信通信系统的应用网关模块,其中服务网络验证用户并且授权用户访问由服务供应商提供的服务,所述应用网关模块被设置为用于截听用户和服务之间的应用消息并且用于识别所述用户和所述服务。依照本发明,这种应用网关模块传统上包括用于获得关于是否允许用户访问服务的授权判定的装置,并且这种应用网关模块包括:
用于分配服务会话标识符的装置,所述服务会话标识符用于识别在用户和服务之间交换的那些应用消息,并且属于向所述用户授权的同一服务递送;
用于配置第一有限状态机的装置,所述第一有限状态机具有用于识别服务递送中的特定事件的多个状态,其中服务进程能够得以控制;以及
用于激活适用于所述特定事件的服务策略并且产生状态变换的装置。
在这种应用网关模块中,用于分配服务会话标识符的装置可以包括用于启动第一有限状态机的特定示例的装置,所述特定示例是由已分配的服务会话标识符来识别的。
有益的是,在此应用网关模块中,用于激活服务策略的装置包括,用于设置从非穷举的参考和属性列表中选出的至少一个元素的装置,所述元素包括:要匹配的多个消息字段值、匹配时要执行的多个特定动作、要运行的多个定时值以及要监控的多个事务。此外,用于激活服务策略的这些装置包括用于激活独立于进程中任何服务递送的全局服务策略的装置。此外,用于激活服务策略的装置最好可以包括用于启动全局服务策略的情况以便用作第一有限状态机的特定情况中的单个服务策略的装置,所述单个服务策略继承来自全局服务策略的参考和属性。为了允许服务策略的动态更新,所述应用网关模块还包括在第一有限状态机特定情况内处理的服务进程期间、用于利用新的参考和属性重写单个服务策略的参考和属性的装置。
依照此应用网关模块,可以把特殊状态与第一有限状态机的特定情况中的多个单个服务策略相关联,所述情况由给定的服务会话标识符识别。
此外,为了清楚,在应用网关模块中,用于获得授权判定的装置可以包括用于请求来自独立模块、即授权模块的服务授权的装置,所述授权模块可以与所述应用网关模块集成为唯一的实体,或者均作为独立的模块来提供。
如果使两个独立的模块共同存在,那么,在所述应用网关模块中,用于激活服务策略的装置最好包括用于接收来自所述授权模块的适用于设置服务策略的至少一个元素的装置,所述元素是从非穷举的参考和属性列表中选出的,所述元素包括:要匹配的多个消息字段值、基于匹配要执行的多个特定动作、要运行的多个定时值以及要监控的多个事务。此外,用于激活服务策略的这些装置还包括用于接收来自所述授权模块的全局服务策略的装置。在这方面,独立于授权模块的应用网关模块还包括用于接收来自授权模块的参考和属性的装置,所述装置适用于在第一有限状态机的特定情况内处理的服务进程期间、利用新的参考和属性来重写单个服务策略。因此,所述应用网关模块还包括用于通知授权模块服务进程中的特定事件的装置,以及用于从授权模块请求进一步处理来确定适当动作以便继续服务进程的装置。结合上述最后的特征,应用网关模块最好包括用于接收来自授权模块的从如下内容选出的指令的装置,所述指令包括:没有限制的授权访问、其它服务来替代所请求的先前服务、强制注销和状态变换指示。
由此,依照早已介绍的本发明的第二方面,提供了适用于远距离通信系统的授权模块,其中服务网络验证用户并且授权用户访问由服务供应商提供的服务,所述授权模块被设置为用于决定是否允许用户访问服务,并且传统上具有用于接收来自应用网关模块的服务授权请求的装置,以及用于回答应用网关模块对是否允许用户访问所请求的服务的响应的装置。依照本发明,此授权模块包括:
用于生成服务会话标识符的装置,所述服务会话标识符用于使用户和服务之间交换的那些应用消息相关,并且属于向所述用户授权的同一服务递送;
用于配置第二有限状态机的装置,所述第二有限状态机具有用于识别服务进程中的特定事件的多个状态,其中所述授权模块能够在应用网关模块上行动以便控制所述服务进程;以及
用于确定适用于所述特定事件的服务策略并且产生状态变换的装置。
依照此授权模块,用于生成服务会话标识符的装置包括用于把所述服务会话标识符包含在响应中的装置,所述响应被返回到应用网关模块,以便报告是否允许用户访问所请求的服务。与应用网关模块中的先前特征对照,用于生成服务会话标识符的装置最好包括用于启动第二有限状态机的特定情况的装置,所述特定情况也由所述服务会话标识符识别。由此,可以把第二有限状态机的特定情况中的特殊状态与多个服务策略相关联,所述情况由给定的服务会话标识符识别。
此外,在此授权模块中,用于确定服务策略的装置包括用于把至少一个信息元素归入对上述应用网关模块的响应以便激活应用网关模块中的特定状态内的服务策略的装置,所述至少一个信息元素是从如下内容选出的:
要匹配的多个消息字段值;
当匹配给定消息字段值时要执行的一组动作;
要运行的多个新的定时值;以及
要监控的多个事务。
除了被归入从授权模块向应用网关模块的响应的上述元素之外,还提供了附加装置来表明是否把全局服务策略独立应用于进程中的任何服务递送。
此外,当两个模块最少功能上存在时,为了一致性,所述授权模块还包括用于接收来自应用网关模块的表明在服务进程中检测到的特定事件的通知的装置。此外,所述授权模块还包括用于接收来自应用网关模块的请求的装置,所述请求要求继续进行服务进程的指令。依照此方面,所述授权模块最好包括用于向应用网关模块发送从如下内容选出的指令的装置,所述指令包括:没有限制的授权访问、其它服务来替代所请求的先前服务、强制注销和状态变换指示。
另外,所述授权模块还可以并且最好包括用于接收来自至少一个实体的应用消息的装置,所述至少一个实体是从多个应用服务器和提供系统中选出的,所述应用消息包括用于识别授权模块中的第二有限状态机的特定情况的给定服务会话标识符。
本发明还提供了一种方法,用于授权服务网络用户访问由服务供应商的服务服务器提供的服务,所述用户早已由服务网络进行验证,服务器被设置为通过与用户交换多个应用消息来递送包括多个事务的服务,并且所述方法传统上包括用于基于是否允许用户访问服务而获得第一授权判定的步骤。依照本发明,此方法还包括如下步骤:
生成并且分配服务会话标识符,所述服务会话标识符用于识别在用户和服务之间交换的那些应用消息,并且属于向所述用户授权的同一服务递送;
配置至少一个有限状态机,所述有限状态机具有用于识别服务递送中的特定事件的多个状态,其中服务进展能够得以控制;并且
激活适用于所述特定事件的服务策略并且产生状态变换。
在此方法中,用于生成并且分配服务会话标识符的步骤包括用于启动至少一个有限状态机的特定情况的步骤,所述特定情况是由分配的服务会话标识符识别的。此外,此特定情况中的特殊状态可以与多个服务策略相关联。
此外,在此方法中,用于激活服务策略的步骤可以包括用于设置至少一个元素的步骤,所述元素是从非穷举的参考和属性列表中选出的,所述元素包括:要匹配的多个消息字段值、匹配时要执行的多个特定动作、要运行的多个定时值以及要监控的多个事务。
更进一步讲,此方法最好可以包括用于在服务网络处接收于实体发起的应用消息的步骤,所述实体是从如下内容中选出的:服务供应商的多个服务服务器以及提供系统的多个实体,所述应用消息包括用于识别至少一个有限状态机的特定情况的给定服务会话标识符。
另一方面,为了与上面两个模块一致,在此方法中,用于配置至少一个有限状态机的步骤包括用于配置上文应用网关模块中的第一有限状态机的步骤,以及用于配置上文授权模块中的第二有限状态机的步骤。
附图说明
通过结合附图阅读此描述,本发明的特征、目的和优势将变得清楚,其中:
图1示意性地再现了当所述服务基于具有回答的请求时,服务网络授权通过验证的用户访问由服务供应商提供的服务的体系结构。
图2示出了具有依照本发明的增强接口和实体的图1中的体系结构的简化视图。
图3A和图3B举例说明了分别在应用网关模块和授权模块处、在服务进程期间所分配的基本状态之间的示例性变换图表。
图4呈现了示出多个服务过滤器、即服务策略以及应用服务过滤器时遇到的多个变换的示例性图表,所述服务策略可以在服务进程期间所分配的状态上被激活。
图5主要举例说明了在服务授权期间遵循的程序,其中应用网关模块中的第一状态机和授权模块中的第二状态机的新情况分别被启动,并且服务会话标识符被生成并且分配以便使所述两个情况相关。
图6举例说明了在给定服务递送内,在示例性后续启动期间所遵循的程序,其中授权模块命令应用网关模块激活特定事务的服务策略,以便当用户请求这种特定事务时通知授权模块。
图7举例说明了在给定服务递送内,在示例性后续启动期间所遵循的另一程序,其中用户明确地请求从由给定服务会话标识符识别的服务递送中注销。
图8举例说明了在已经于服务递送内执行了示例性后续启动后所遵循的其它程序,其中应用网关模块检测并且向授权模块通知由给定服务会话标识符识别的服务递送暂停期满。
图9举例说明了在给定服务递送内于示例性后续启动期间所遵循的又一程序,借此,通过授权模块进行动作的服务网络运营者可以随时略去由给定服务会话标识符识别的服务递送进程。
具体实施方式
下面描述用于允许服务网络运营者(20)控制由外部服务供应商(30)提供的并且由所述服务网络运营者使用的服务的服务递送进程的装置和方法的优选实施例,其中每一服务递送可能包含多个事务。
因此,依照本发明的第一方面,提供了一种具有有限状态机的应用网关模块(AGM)(2),诸如图3A中举例说明的那种,用于跟踪属于同一服务递送的消息并且用于监控服务进程。也就是说,从授权用户访问服务开始直到服务结束或者用户明确放弃所述服务或者暂停期满的时间,在客户端(1;9)和服务服务器(5;6)之间交换消息。为了简单起见,术语客户端(1;9)和术语用户(1;9)遍及此说明书是通用的,无论使用什么样的装备(1;9)例如经由接入网络(10)来与服务网络(20)通信,它们都指的是用户终端侧。
依照本发明的第二方面,提供了一种授权模块(AM)(3),其还具有另一有限状态机,诸如图3B中举例说明的那种,以便控制服务递送的进程。
在当前优选的实施例中,实体AGM(2)和AM(3)分别依照独立模式提供,不过也可以把它们集成到例如共享唯一有限状态机的唯一实体中。如果具有独立的AGM和AM实体形式的实施例更好,如图2中所示那样,那么在两个有限状态机之间提供新的接口(I-3x)。此新的接口允许应用网关模块(2)为服务授权并且为通知在服务进程期间出现的那些适当事件而请求授权模块(3)。另一方面,此接口允许授权模块(3)允许并且撤消服务授权并且参与控制服务递送的进程。
在本说明书中,应用网关模块(2)中的有限状态机、所谓的服务环境状态机(SCSM)包括多个状态,在服务进程期间,可以在应用网关模块(2)处为用户的特殊服务递送分配所述多个状态。由此,在用户(1;9)和服务服务器(5;6)之间交换的所有应用消息(I-2X,I-4X)在应用网关模块(2)处经历服务环境状态机(SCSM)的情况,其中所述应用网关模块(2)插入在用户和服务服务器之间,其中每一服务递送都存在一个SCSM情况。正如之前所提及的那样,服务递送可以包含多个事务,即服务事务。
在本说明书中,授权模块(3)中的有限状态机、所谓的服务进程状态机(SPSM)包括多个状态,在服务进程期间,可以在授权模块(3)处为用户的特殊服务递送分配所述多个状态。另外,此服务进程状态机(SPSM)用于让服务网络(20)知道服务递送的进程。此外,授权模块(3)中的此服务进程状态机(SPSM)还可以通过在服务进程期间请求通知某些事件、或者通过断开用户的服务来让服务网络参与服务递送。就应用网关模块(2)中的上述SCSM而言,对于每个服务递送来说,在授权模块(3)中都存在SPSM的一个情况,所述服务递送可能包含多个服务事务。
依照本发明,并且为了允许应用网关模块(2)中的SCSM跟踪属于同一服务递送的应用消息,在用户(1;9)和服务服务器(5;6)之间交换的所有应用消息都包括以每一服务请求为基础生成的个体服务会话标识符,并且在服务进程期间激活,直到用户明确地放弃服务、服务结束或者暂停期满为止。此服务会话标识符(Service_Context_ID)由此用于依照唯一的方式来识别属于同一服务递送的消息。为此目的,提供了用于基于每一服务请求来生成服务会话标识符的装置,这些装置最好位于授权模块(3)处,并且提供了当在应用网关模块处接收到来自用户的不包括任何服务会话标识符(Service_Context_ID)的服务请求时、用于向特定服务递送分配个体服务会话标识符的装置。
图3A中的变换简图示出了在应用网关模块(AGM)处于服务进程期间分配的基本状态。当在AGM(2)处侦听到来自用户(1;9)的没有有效服务会话标识符(Service_Context_ID)的消息时,授权请求被发送给授权模块(3),同时在初始‘NULL(空)’状态和‘服务授权’状态之间出现变换。一旦已经向用户授权所述服务,那么在授权模块(3)处生成服务会话标识符(Service_Context_ID),并且返回给应用网关模块(2),同时在‘服务授权’和‘有效服务’状态之间出现变换。在此阶段,在图3A的示例性图表中,当被应用网关模块(2)侦听到时,从用户(1;9)发向服务服务器(5;6)的应用消息(包括这种有效服务会话标识符(Service_Context_ID))不产生任何变换,不过本领域技术人员可以区别其它显著状态,所述其它显著状态在特殊或有益的实现方式下有用。由此,图3A中举例说明的服务环境状态机(SCSM)的此情况保持‘有效服务’状态,直到服务注销、暂停期满或者出现断开请求为止,所述断开请求触发朝向‘断开服务’状态的变换,直到服务会话标识符(Service_Context_ID)和相应的参考及属性被明确删除为止。一旦已经明确删除了个体服务会话标识符(Service_Context_ID)以及所述相应的参考和属性,在服务环境状态机(SCSM)的这种情况下,在‘断开服务’状态和‘空’状态之间进行最终变换,当请求服务时,认为后者是初始状态,而当服务结束时,认为是最终状态。
按类似于在应用网关模块(2)中工作的上述服务环境状态机(SCSM)的方式,服务进程状态机(SPSH)在授权模块(3)中工作。在图3B中基本上举例说明的服务进程状态机(SPSM)包括实质上与图3A中的上述服务环境状态机(SCSM)相同的状态和相应的变换,将进一步解释实现附加优势所需要的略微改变。
应用网关模块(2)中的服务环境状态机(SCSM)采用用于识别服务进程中的点的装置,其中应用网关模块(2)和授权模块(3)可以彼此通信,以便在服务环境状态机(SCSM)和服务进程状态机(SPSM)之间分别实现适当的并且对应的状态变换。
此外,提供了用于依照在输入应用消息上应用的这些点设置策略的装置。以下称为服务过滤器(SF)的策略可以被理解为用于匹配的标准集合以及用于在应用策略的特殊应用消息上实现的动作集合。具体来讲,标准可以是定时器期满(‘暂停’),并且具有这种标准的策略最好具有相关联的动作以便强制断开。
可以用这样的方式来准备、即:激活服务过滤器(SF-1,SF-2,SF-3,SF-4),所述方式为:相对于所述标准来评估来自用户(1;9)或者来自服务(5;6)的输入应用消息,并且如果结果成功,那么所述评估可以产生一种通知或者请求,所述通知或者请求在应用网关模块(2)和授权模块(3)之间交换,并且可能触发状态变换。如果不准备服务过滤器(SF-1;SF-2;SF-3;SF-4),或者对于输入应用消息而言没有设置它,那么服务环境状态机(SCSM)继续处理输入应用消息而没有任何交互。
目前,服务过滤器类型的不同集合被识别。本发明提供的第一类型的服务过滤器是‘触发’类型,借此,由此定义的服务过滤器静态地准备进入操作。本发明提供的第二类型的服务过滤器是‘事件’类型,借此,由此定义的服务过滤器动态地准备进入操作。对本发明来说,‘静态地准备’被理解为在有效配置应用网关模块(2)和授权模块(3)期间被激活,其例如可以出现在提供操作数据期间,而‘动态地准备’被理解为在服务进程期间被激活。
另外,诸如‘请求’和‘通知’的子类型也可以定义为特殊类型。当暂停服务进程的处理、直到接收到适当命令来恢复它时,前者适用,而后者不必隐含服务挂起。
依照上述分类,在优选的实施例中可以存在如下服务过滤器集合:
‘触发-请求’(SF-TR),其是静态地准备的服务过滤器并且负责触发SCSM情况下的状态变换,并且用于当遇到诸如触发服务授权的服务过滤器集合时,暂停所述服务进程;
‘触发-通知’(SF-TN),其是静态地准备的服务过滤器,并且负责启动向另一实体发送通知,同时继续进行诸如暂停提交给授权模块(3)的指示的服务进程;
‘事件-请求’(SF-ER),其是利用由附加操作装置设置的特定标准来动态地准备的服务过滤器,并且负责当遇到时暂停服务进程直到接收到来自另一实体的其它指令为止,例如应用网关模块(2)就预付下载的新的子服务请求而言、等待来自授权模块(3)的指令的例子;以及
‘事件-通知’(SF-EN),其是利用由附加操作装置设置的特定标准来动态地准备的服务过滤器,并且负责启动向另一实体发送通知,同时继续进行诸如指示用户接受提交给授权模块(3)的其它广告的服务进程。
例如,图4示出了可以在应用网关模块(2)中的服务环境状态机(SCSM)上准备的多个服务过滤器。在此实施例之下,服务过滤器‘授权-请求’(SF-1)和‘暂停’(SF-32)在第一消息到达以便启动服务之前被准备。人们可能奇怪当SCSM情况仍没有创建时,这些服务过滤器(SF-1;SF-32)是如何在第一消息到达以前被准备的。然而,当前本发明的优选实施例提供了一种全局服务过滤器,其可以按照上面提及的那样来静态地准备,这是在启动SCSM情况以前操作的。在启动特殊SCSM情况时,相应的个人服务过滤器也通过继承来自所述全局服务过滤器的参考和属性被引以为例,具体来讲,提供了附加操作装置来基于SCSM情况内的某些条件重写个人服务过滤器,诸如‘暂停’(SF-32),而早已为动态准备而设置的诸如‘信息-分析’(SF-2)和‘注销-请求’(SF-31)的其它服务过滤器在服务进程期间可以继续准备。
就其它技术特征而言,服务过滤器‘授权-请求’(SF-1)和‘信息-分析’(SF-2)可用来评估在特殊服务递送下接收到的那些消息中的字段,其中所述特殊服务递送是由使用SCSM情况的个体服务会话标识符(Service_Context_ID)识别的。当经历SCSM情况时,如果经受检查的所述字段的内容与有效的过滤器值匹配,那么应用网关模块(2)向授权模块(3)发送消息,同时根据过滤器子类型的评估,服务进程继续而不中断,或者中断直到来自授权模块(3)的相应回答到达为止。
根据随后用于服务授权、处理同一服务递送的后续消息、服务注销、暂停期满和服务断开的程序而言,依照例证性的而非限制性的方式来进一步描述多个使用情况。
在图5中举例说明的第一使用情况中,并且还参考图2,应用网关模块(2)中的第一状态机(SCSM)和授权模块(3)中的第二状态机(SPSM)的新情况在服务授权期间分别被启动,其中服务环境标识符(Service_Context_ID)被生成并且被分配以便使第一和第二(SCSM,SPSM)状态机情况相关。当用户(9)试图访问经由运营者的服务网络(20)提供的服务(5)时,开始所述程序。因此,所述用户发布服务请求(S-510),其包括诸如HTTP请求-URI的服务标识符以及用户标识符。
当接收到这种输入消息、即服务请求时,所述应用网关模块(2)检验是否存在用于此请求的有效服务会话标识符(Service_Context_ID)。由于这是为用户(9)访问此服务所接收的第一服务请求,所以没有相关联的服务会话标识符,因此启动新的SCSM情况。
在这一点上,依照本发明的一个实施例,把全局服务过滤器依照所要求的继承关系而相应地引为个人服务过滤器。例如,作为状态‘空’的结果而应用了类型‘触发’的服务过滤器‘授权-请求’(SF-1),以便启动向授权模块(3)的服务授权请求。尽管如此,依照本发明的另一实施例,可以把这些全局服务过滤器仅仅处理并且理解为将要进一步应用于所有消息的通过策略,所述所有消息是在其特殊SCSM情况下遇到的预定状态。例如,一旦特殊服务递送处于状态‘空’,那么用于触发的第一动作是启用向授权模块(3)的服务授权请求。可以实现其它实施例,其中所有服务过滤器通过提供装置来下载,其中所谓静态准备的那些从提供时向前早已是有效的,并且所谓动态准备的那些当接收到单个命令并且例如与此目的匹配的单个值时、在服务进程期间被激活。
不管用于提供和准备服务过滤器的先前实施例之间的选择如何,当应用网关模块(2)从授权模块(3)请求(S-511)授权用户请求的服务时,在此新的SCSM情况中都产生从‘空’状态到‘服务-授权’状态的变换。为此目的,应用网关模块(2)可以把至少一个信息元素包括在服务授权请求中,所述至少一个信息元素是从如下内容中选出的:例如HTTP的使用协议;例如POST的消息类型;例如请求的URI的请求服务;用户标识符;以及可能有效的服务过滤器。
当接收到服务授权请求时,所述授权模块(3)识别用户,为所请求的服务向用户应用相应的策略,并且基于此,所述授权模块允许或者拒绝对服务的访问。如果授权访问,并且假定授权模块已经被配置为控制授权模块(3)和应用网关模块(2)之间的服务进程,那么授权模块启动服务进程状态机(SPSM)的新情况,其中出现从‘空’状态向‘服务-授权’状态的变换,并且为这种服务递送生成新的服务会话标识符(Service_Context_ID),其中所述服务递送是将向应用网关模块(2)进一步下载的。
另外,与被包含在服务进程状态机(SPSM)中的不同状态相关联,提供了用于在服务环境状态机(SCSM)的已表明状态内来准备特定服务过滤器。因此,与特殊SPSM状态相关联,可以有多个消息字段值,一旦在应用网关模块(2)处接收到,则进一步用于动态地准备已表明的SCSM状态内的特定服务过滤器。当在某一SCSM情况下的分析期间匹配时,这些消息字段值可以由此引起‘触发’或‘事件’来进入操作。
在另一替代实施例中,不需要控制服务进程就可以授权对服务的访问,在此情况下,不启动SPSM情况,并且如果生成服务会话标识符,那么其仅仅用于应用网关模块(2)处的相关目的。
仍参考图5,把响应从授权模块(3)送回到(S-512)应用网关模块(2),其包括从如下内容中选出的至少一个信息元素:
可以是最初接收或者修改的服务标识符;
用于在其使用期期间识别应用网关模块(2)中以及授权模块(3)中的服务递送的服务会话标识符(Service_Context_ID);
进一步用于在有效SCSM情况的状态‘服务有效’的范围内准备服务过滤器‘信息-分析’(SF-2)的多个消息字段标识符和相应的值(Analyse-Info-SF-value),此服务过滤器在服务环境使用期期间可能是持久性的;
进一步用于在有效SCSM情况的状态‘服务有效’的范围内准备服务过滤器‘注销’(SF-31)的多个消息字段标识符和相应的值(Logout-SF-value),此服务过滤器可用于通知AM(3)何时用户结束注销,并且在服务进程使用期期间可能是持久性的;
通过重写静态地准备的先前暂停值,用于动态地准备服务过滤器‘暂停’(SF-32)的新暂停值(Timeout-value)早已准备,此服务过滤器在服务进程使用期期间可能是持久性的,除非再次重写;并且
纯粹就数字而言,确切地说根据特殊指示列表而言,用于监控的多个事务。
当把此响应从授权模块(3)提交回到应用网关模块(2)时,授权模块(3)处的SPSM情况变换为状态‘有效服务’。
然而,如果服务被拒绝,那么把否定的回答(任何附图中未示出)送回应用网关模块(2),其中SCSM情况变换为‘空’状态,并且SCSM情况被终止,或者仅仅SCSM情况被终止。
当在应用网关模块(2)中接收到肯定回答(S-512)时,把在响应消息中接收的服务会话标识符(Service_Context_ID)与SCSM情况相关联。如果没有接收到服务会话标识符(Service_Context_ID),那么允许服务请求继续并且删除相关联的SCSM,由此对于服务网络运营者(20)绝对信任的那些用户(1;9)和服务供应商(30)而言,能够禁止本发明的主要特征。
在此SCSM情况内,把接收到的服务过滤器作为‘事件’服务过滤器来准备,但是除了静态准备的也可以是动态重写的服务过滤器‘暂停’(SF-32)。然后,所述SCMS情况进行到‘有效服务’状态。把接收到的服务会话标识符(Service_Context_ID)并入正向服务器(5)路由(S-513)的服务请求,其中所述服务器(5)负责提供(S-514,S-515)由用户(9)请求的服务。为此目的,可以在来自授权模块(3)的响应中接收到所述服务器(5)的地址。如果接收到的是否定响应,那么应用网关模块(2)自身向用户(9)返回否定响应,以表明不授权用户访问所请求的服务。
在图6中举例说明的第二使用情况中并且还参考图2,存在来自用户的后续服务请求(S-610至S-613)和同一服务递送过程内的内容递送的示例性启用,任何服务请求和相应的内容递送由此具有有效的服务会话标识符(Service_Context_ID),所述服务会话标识符最少用于所述服务递送过程的相关性目的。
依照此第二使用情况,对授权模块(3)先前已经把服务过滤器值(Analyse-Info-SF-value)包括在响应中作出示例性假设,其中所述响应在图5示出的授权过程期间被送回(S-512)至应用网关模块(2)。此服务过滤器值(Analyse-Info-SF-value)用于在所述应用网关模块(2)处准备服务过滤器,以便当用户(9)请求同一服务递送内的特定服务(serviceBIS)时、再次触发向授权模块(3)的分析请求。
由此,当用户正在访问(S-610至S-613)同一或者不同于待特定处理的上述特定服务(serviceBIS)的其它服务时,所述服务进程通过识别接收到的服务会话标识符(Service_Context_ID)来进行授权。因此,当接收输入消息时,所述应用网关模块经由被归入所述消息的服务会话标识符(Service_Context_ID)来获得SCSM情况,在该情况下,所述消息处于‘有效服务’状态。在此阶段,对于具有给定服务会话标识符(Service_Context_ID)的输入消息,所述服务过滤器‘信息-分析’(SF-2)和‘注销’(SF-31)被评估。
当接收到来自请求上述特定服务(serviceBIS)的用户(9)的服务请求(S-614)时,基于由接收到的服务会话标识符(Service_Context_ID)来识别的SCSM情况,应用网关模块(2)面对准备好的服务过滤器‘信息-分析’(SF-2)。由用户请求的服务(serviceBIS)与从授权模块(3)接收到的服务过滤器值(Analyse-Info-SF-value)相匹配,以便准备这种过滤器,并且应用网关模块触发(S-615)特定分析请求,所述分析请求如上所述那样被返回授权模块。此特定分析请求包括从如下内容中选出的至少一个元素:例如HTTP的使用协议;例如POST的消息类型;请求服务(serviceBIS);用户标识符;服务会话标识符(Service_Context_ID)以及所应用的有效服务过滤器。
接收对此特定服务(serviceBIS)的分析请求(S-615)的授权模块获得由接收到的服务会话标识符(Service_Context_ID)所识别的SPSM情况,并且基于当前有效的特殊状态,可以把不同策略应用于用户和请求的服务。在这方面,并且依照当前优选的实施例,这些策略是根据全局服务过滤器实现的,所述全局服务过滤器可以作为具有特殊属性并且可归因于特殊SPSM情况的个人服务过滤器的例子。此实施例允许在授权模块(3)和谐地提供全局服务过滤器自身应用性和外部应用性,诸如将置于应用网关模块(2)的那些。在另一个实施例中,这些策略以及最初应用于确定是否可以允许服务递送的那些策略可以通过处理装置来实现,所述处理装置用于确定已经被允许完成服务递送的用户是否目前访问特别的特定服务(serviceBIS),由此当用户请求时标记附加的授权。
作为在授权模块(3)处应用这些策略的至少一个的结果,可以在没有限制的情况下允许访问,或者可以返回另一特定服务(serviceTER)来代替先前请求的服务(serviceBIS)或者可以触发强制注销。这种情况的例子可以是已经被允许的用户经由互联网访问‘watching-TV-service(看电视服务)’,其中所述服务包括可由用户选择的多个频道,并且由于用户的请求包括服务会话标识符(Service_Context_ID)而不要求进一步授权。另外,‘watching-TV-service’可以最终包括用户能够轮流选择的其它数目的频道,并且为此,用户需要独立地被付费(serviceBIS)。因此,当选择这些频道之一时,用户可以向其他服务(serviceTER)前进,其中可以从用户那里请求适当的收费、登录或者许可数据。
然后,当授权模块已经处理了(最好根据服务过滤器)用户和服务的有效策略,并且已经确定了上述结果之一时:允许访问,断开或者其他服务(serviceTER)正连接,授权模块把相应的响应返回给(S-616)应用网关模块(2)。所述应用网关模块由此把服务请求向负责新表明的服务(serviceTER)的服务器路由(S-617),所述服务器特别是如前所述的相同的服务器(5),并且所述服务器向用户(9)提供(S-618,S-619)适用于所请求的服务的内容。
一般说来,并且适用于其它比上述一个例子更加复杂的服务,从授权模块到应用网关模块的响应(S-616)包括至少一个从如下内容中选出的元素:
可以是最初接收或者修改的服务标识符;
进一步用于在有效SCSM情况的状态‘服务有效’内准备服务过滤器‘信息-分析’(SF-2)的多个新消息字段标识符和/或新的相应值(Analyse-Info-SF-value);
进一步用于在有效SCSM情况的状态‘服务有效’内准备服务过滤器‘注销’(SF-31)的多个新消息字段标识符和/或新的相应值(logout-SF-value);以及
用于通过重写先前暂停值来动态地准备早已准备的服务过滤器‘暂停’(SF-32)的新的暂停值(Timeout-value)。
图7中举例说明了第三使用情况,还参考图2。就图6示出的第二使用情况而言,此第三使用情况从来自用户的后续服务请求(S-610,S-611)和同一服务递送过程内的内容递送(S-612,S-613)的示例性启用开始,服务请求和内容递送都包括给定的有效服务会话标识符(Service_Context_ID),其用于所述服务递送过程内的相关性目的。
在图7中举例说明的这种第三使用情况中,用户(9)通过发送(S-714)表明期望注销(请求的serviceLOGOUT)的服务请求来明确地启动注销。
当在应用网关模块(AGM)(2)处接收这种注销请求(S-714)时,发现服务过滤器‘注销-请求’(SF-31)是有效的,并且因此利用此过滤器所表明的值(Logout-SF-value),把这种事件通知(S-715)给AM(3),其中所述服务过滤器‘注销-请求’是先前在授权过程期间、或者在先前服务请求期间,当接收来自授权模块(AM)(3)的相应指示时,在AGM(2)处并于相应SCSM情况内准备的。因此,这种事件的通信包括从如下内容中选出的至少一个元素:例如HTTP的使用协议;例如POST的消息类型;例如请求的URI的请求服务;用户标识符;服务会话标识符(Service_Context_ID)以及可能检测到的服务过滤器。
当接收到这种请求时,AM(3)中的SPSM情况执行从‘有效服务’状态到‘断开服务’状态的变换。所述服务会话标识符(Service_Context_ID)被删除,并且所述SPSM情况消失。响应被返回(S-716)至AGM(2),并且在SCSM情况下还出现从‘有效服务’状态到‘断开服务’状态的变换,并且在SCSM情况下删除对当前服务会话标识符(Service_Context_ID)的参考。
如果这种通信被请求,那么AGM(2)中的SCSM等待来自AM的指令(S-716)。否则,如果通知,那么在‘有效服务’和‘断开服务’状态之间,在SCSM情况下执行变换状态,而不等待确认。
根据单个服务递送过程的特殊特征,用户注销可以被通知(S-717)给负责服务(5)的服务器,其可以向用户递送(S-718,S-719)最终内容,诸如一种‘再见’页面。
图8中举例说明了第四使用情况,还参考图2。如先前情况那样,此第四使用情况从来自用户的后续服务请求(S-610,S-611)和具有有效服务会话标识符(Service_Context_ID)的同一服务递送过程内的内容递送(S-612,S-613)的示例性启用开始。
在此使用情况期间,用户(5)已经与服务(5)连接,并且具有分配的服务会话标识符(Service_Context_ID),但是用户在很长时间段内没有访问服务。在这种闲置周期期间,闲置的定时器在运行,并且当期满时,服务过滤器‘暂停’对于应用网关模块(AGM)(2)处的有效SCSM情况被触发。然后,AGM(2)通信这种事件,即没有消息穿过具有给定服务会话标识符(Service_Context_ID)的AGM到达授权模块(AM)(3),这种通信(S-815)包括从如下内容中选出的至少一个元素:给定服务会话标识符(Service_Context_ID);以及检测到的服务过滤器‘暂停’。
当接收到这种通信时,在授权模块(3)处的相关SPSM情况执行向状态‘断开服务’的变换,删除对给定服务会话标识符(Service_Context_ID)的参考,并且向应用网关模块(AGM)(2)返回相应的确认(S-816)。当接收到这种响应时,AGM处的SCSM情况从‘有效服务’状态进入‘断开服务’状态,并且还删除对给定服务会话标识符(Service_Context_ID)的参考。
以所述删除的服务会话标识符(Service_Context_ID)从用户(5)那里接收任何进一步的服务请求,返回(S-819)可能表明暂停期满或者不授权服务请求(Unauthorised)的其它理由的否定回答。
图9中举例说明了第五使用情况,还参考图2。如先前情况那样,此第五使用情况从来自用户的后续服务请求(S-610,S-611)和具有有效服务会话标识符(Service_Context_ID)的同一服务递送过程内的内容递送(S-612,S-613)的示例性启用开始。
这种示例性使用情况提供了一种机构,借此所述服务网络运营者可以随时略去服务进程。因此,在授权模块(AM)(3)中提供了用于设置运营者策略的装置,其可以是全局有效的并且以每一用户以及每一服务为基础,其允许运营者经由授权模块(3)中的控制装置来停止授权服务的进程。依照上文就先前使用情况早已介绍的当前优选的实施例,这些策略可以根据全局服务过滤器来实现,所述全局服务过滤器可以作为具有特殊属性并且可归因于特殊SPSM情况的个人服务过滤器的例子。此外,还依照上文早于介绍的另一实施例,可以通过具有处理装置来进行这些策略,所述处理装置用于确定已经被允许完成服务递送的用户目前是否可以继续这种服务。换言之,由于在授权模块(AM)(3)应用了这些策略的至少一个,所以一旦在状态‘有效服务’和‘断开服务’之间于相应SPSM情况下进行变换,就可以对应用网关模块(AGM)(2)触发强制的注销或者服务断开,并且所述SPSM情况和服务会话标识符(Service_Context_ID)被终止。然后,图9举例说明了AM(3)如何向AGM(2)发送断开请求(S-908),其中所述AGM包括从用户标识符和服务会话标识符(Service_Context_ID)中选出的至少一个元素。
当在AGM(2)处接收到(S-908)所述断开请求时,通过使用给定服务会话标识符(Service_Context_ID)来识别SCSM情况,在所述SCSM情况下进行状态‘有效服务’和‘断开服务’之间的变换,所述SCSM情况和给定服务会话标识符(Service_Context_ID)以及其参考都被删除,并且把响应返回(S-909)到授权模块(3)。正如在先前使用情况下那样,以最近终止的服务会话标识符(Service_Context_ID)从用户那里接收(S-910)任何其它服务请求,返回(S-819)可能表明服务完成(Unauthorised)理由的否定回答。
除上述使用情况之外,其它应用服务器(7;8)和提供系统(任何附图中未示出)也可以与授权模块(3)联网以便按照以非穷举方式在下文列出的方式来执行动作:
读取与给定服务会话标识符识别的特定服务情况相关联的数据,所述情况即SPSM情况或者SCSM情况,所述数据包括所述特殊服务情况内的有效服务过滤器的数据;
请求断开由给定服务会话标识符识别的特殊服务情况,借此,授权模块(3)当出现此消息时向应用网关模块(2)发送断开请求;以及
根据从如下内容中选出的至少一个元素来提供适用于给定服务过滤器的新值,所述至少一个元素是:要匹配的多个标准以及匹配时要实现的多个动作,与给定服务会话标识符识别的给定服务情况相关联,所述服务情况是SPSM情况或者SCSM情况,或者是这两者。
以数据或以状态为基础、希望与授权模块(3)联网以便实现符合服务情况的动作的那些应用服务器(7;8)或者提供系统需要服务会话标识符(Service_Context_ID)以便识别所述服务情况。
此后依照示例性的方式来描述图2中主要举例说明的多个基本使用情况,以便更好地示出如何在服务网络(20)内验证用户对服务的使用。
验证机构的第一使用情况例如可以是一种由服务网络运营者(20)提供服务、但是由第三方服务供应商(30)采纳的‘实时收费’。在这方面,运营者负责因服务使用而向用户收费,然而,这种服务使用的信息来自第三方服务供应商(SP)。运营者需要确信将付费的用户当前正访问此服务。为此,在运营者和服务供应商状态之间标记的服务级协议(SLA)声明:始终包括在于用户(1;9)和服务服务器(5;6)之间交换(I-1x;I-2x;I-4x)的那些应用消息内的已分配服务会话标识符(Service_Context_ID)还包括在消息(I-6x)中,其中所述消息(I-6x)从服务供应商发送到运营者的收费系统(8)并且影响其中的收费记录。此服务会话标识符(Service_Context_ID)用来询问(I-8x)授权模块(3)以便检验并且确信给定的服务会话标识符(Service_Context_ID)属于有效的服务情况。如果发现用户帐户取尽,那么收费系统(8)可以触发用户对授权模块(3)的断开请求,并且后者最好向应用网关模块(2)应用上文在先前通用情况下所述的类似程序。收费系统(8)、授权模块(3)以及应用网关模块(2)都利用给定的服务会话标识符(Service_Context_ID)来识别所涉及的服务情况,即SPSM情况和SCSM情况。
验证机构的第二使用情况例如可以是由第三方服务供应商(30)对属于服务网络(20)的服务许可方(7)的使用。在这方面,所述服务网络运营者可以具有利用第三方服务供应商标记的服务级协议(SLA),以便允许后者只有当用户访问要求由所述服务许可方提供的特征的服务时才利用服务许可方。因此,所述服务网络运营者要求从服务供应商(5)向服务许可方(7)的询问(I-5x)始终包括服务会话标识符(Service_Context_ID),以便识别所涉及的服务情况,即SPSM情况或者SCSM情况或者它们两者。依照与先前验证机构类似的方式,服务许可方利用所述服务会话标识符(Service_Context_ID)来询问(I-7x)授权模块(3)以便检验并且确信给定的服务会话标识符(Service_Context_ID)属于有效服务情况。
上文结合例证性的而非限制性的各种实施例描述了申请人的发明。可以预期的是,本领域普通技术人员可以修改这些实施例。申请人的发明的范围由权利要求书连同说明书和附图一起来定义,并且属于这些权利要求保护范围的所有修改都视为包括在其中。
Claims (30)
1.一种适用于电信系统的应用网关模块(2),其中服务网络(20)验证用户(1;9)并且授权用户访问由服务供应商(30)提供的服务(5;6),所述应用网关模块(2)被设置为用于截听(I-2,I-4;I-2x,I-4x)用户和服务之间的应用消息并且用于识别所述用户和所述服务,并且包括:
用于获得是否允许用户访问服务的授权判定(I-3;I-3x)的装置;
所述应用网关模块(2)的特征在于,其包括:
用于分配服务会话标识符(Service_Context_ID)的装置,所述服务会话标识符用于识别在用户和服务之间交换的那些应用消息,以及属于向所述用户授权的同一服务递送;
用于配置第一有限状态机(SCSM)的装置,所述第一有限状态机具有用于识别服务递送中的特定事件的多个状态,其中服务进展能够得以控制;以及
用于激活适用于所述特定事件的服务策略(SF)并且产生状态变迁的装置。
2.如权利要求1所述的应用网关模块,其中用于分配服务会话标识符(Service_Context_ID)的装置包括,用于启动第一有限状态机(SCSM)的特定示例的装置,所述特定情况是由已分配的服务会话标识符(Service_Context_ID)识别的。
3.如权利要求2所述的应用网关模块,其中用于激活服务策略(SF)的装置包括用于设置至少一个元素的装置,所述元素是从非穷举的参考和属性列表中选出的,所述列表包括:要匹配的一些消息字段值、匹配时要执行的一些特定动作、要运行的一些定时值以及要监控的一些事务。
4.如权利要求2所述的应用网关模块,其中用于激活服务策略(SF)的装置包括,用于激活独立于进程中任何服务递送的全局服务策略的装置。
5.如权利要求2所述的应用网关模块,其中用于激活服务策略(SF)的装置包括,用于启动全局服务策略的示例,以便用作第一有限状态机(SCSM)的特定示例中的单个服务策略的装置,所述单个服务策略继承来自全局服务策略的参考和属性。
6.如权利要求5所述的应用网关模块,还包括用于在第一有限状态机(SCSM)的特定示例内处理的服务进程期间,利用新的参考和属性重写单个服务策略的参考和属性的装置。
7.如权利要求5所述的应用网关模块,其中把特定状态与第一有限状态机(SCSM)的特定示例中的多个单个服务策略(SF-31;SF-32)相关联,所述示例是由给定的服务会话标识符(Service_Context_ID)识别的。
8.如权利要求2所述的应用网关模块,其中用于获得授权判定的装置包括用于请求来自如权利要求15所述的授权模块(3)的服务授权的装置。
9.如权利要求8所述的应用网关模块,其中用于激活服务策略(SF)的装置包括用于从授权模块(3)接收应用于设置服务策略的至少一个元素的装置,所述元素是从非穷举的参考和属性列表中选出的,所述列表包括:要匹配的一些消息字段值、匹配时要执行的一些特定动作、要运行的一些定时值以及要监控的一些事务。
10.如权利要求8所述的应用网关模块,其中用于激活服务策略(SF)的装置包括用于接收来自授权模块(3)的全局服务策略的装置。
11.如权利要求8所述的应用网关模块,还包括用于接收来自授权模块(3)的参考和属性的装置,所述参考和属性适用于在第一有限状态机(SCSM)的特定示例内处理的服务进程期间,利用新的参考和属性重写单个服务策略。
12.如权利要求8所述的应用网关模块,还包括用于通知授权模块(3)服务进程中的特定事件的装置。
13.如权利要求8所述的应用网关模块,还包括用于从授权模块(3)请求进一步处理,来确定适当动作以便把服务进程进行下去的装置。
14.如权利要求13所述的应用网关模块,还包括用于接收来自授权模块(3)的从如下内容选出的指令的装置,包括:没有限制的授权访问、另一服务(serviceTER)来替代所请求的先前服务(serviceBIS)、强制注销和状态变迁指示。
15.一种适用于电信系统的授权模块(3),其中服务网络(20)验证用户(1;9)并且授权用户访问由服务供应商(30)提供的服务(5;6),所述授权模块被设置为用于判断是否允许用户(1;9)访问服务(5;6),并且包括:
用于接收来自如权利要求1所述的应用网关模块(2)的服务授权请求(S-511)的装置;以及
用于向应用网关模块(2)返回关于是否允许用户(1;9)访问所请求的服务(5;6)的装置;
所述授权模块(3)的特征在于,其包括:
用于生成服务会话标识符(Service_Context_ID)的装置,所述服务会话标识符用于使用户和服务之间交换的那些应用消息相关,并且属于向所述用户授权的同一服务递送;
用于配置第二有限状态机(SPSM)的装置,所述第二有限状态机具有用于识别服务进程中的特定事件的多个状态,其中所述授权模块能够在应用网关模块上操作,以便控制所述服务进程;以及
用于确定适用于所述特定事件的服务策略(SF)并且产生状态变换的装置。
16.如权利要求15所述的授权模块,其中用于生成服务会话标识符(Service_Context_ID)的装置包括,用于在返回到应用网关模块(2)的是否允许用户(1;9)访问所请求的服务(5;6)的响应(S-512)中包括所述服务会话标识符(Service_Context_ID)的装置。
17.如权利要求16所述的授权模块,其中用于生成服务会话标识符(Service_Context_ID)的装置包括,用于启动第二有限状态机(SPSM)的特定示例的装置,所述特定示例是由所述服务会话标识符(Service_Context_ID)识别的。
18.如权利要求17所述的授权模块,其中把特定状态与第二有限状态机(SPSM)的特定示例中的多个服务策略相关联,所述示例是由给定的服务会话标识符(Service_Context_ID)识别的。
19.如权利要求15所述的授权模块,其中用于确定服务策略(SF)的装置包括,用于把至少一个信息元素包括到指向应用网关模块(2)的响应(S-512)中,以便激活应用网关模块中的特定状态内的服务策略(SF-2)的装置,所述至少一个信息元素是从非穷举的参考和属性列表中选出的,所述列表包括:
要匹配的多个消息字段值(Analyse-Info-SF-value;Logout-SF-value);
当匹配给定消息字段值时要执行的一组动作;
要运行的多个新的定时器值(暂停-值);以及
要监控的多个事务。
20.如权利要求19所述的授权模块,其中用于把至少一个信息元素归入指向网关模块(2)的响应(S-512),以便激活服务策略的装置包括,用于表明这是一个独立于任何服务递送在进程中应用的全局服务策略的装置。
21.如权利要求16所述的授权模块,还包括用于接收来自如权利要求1所述的应用网关模块(2)的,表明在服务进程中检测到的特定事件的通知的装置。
22.如权利要求16所述的授权模块,还包括用于接收来自如权利要求1所述的应用网关模块(2)的请求的装置,所述请求要求继续执行服务进程的命令。
23.如权利要求22所述的授权模块,还包括用于向应用网关模块(2)发送从如下内容选出的指令的装置,包括:没有限制的授权访问、另一服务(serviceTER)来替代所请求的先前服务(serviceBIS)、强制注销和状态变换指示。
24.如权利要求16所述的授权模块,还包括用于接收来自至少一个实体的应用消息(I-7x;I-8x)的装置,所述实体是从多个应用服务器(7;8)和提供系统中选出的,所述应用消息包括用于识别授权模块(3)中的第二有限状态机(SPSM)的特定示例的给定服务会话标识符(Service_Context_ID)。
25.一种用于授权服务网络(20)的用户(1;9)访问由服务供应商(30)的服务服务器(5;6)提供的服务,所述用户(1;9)已经由服务网络进行验证,所述服务器(5;6)被设置为通过与用户(1;9)交换多个应用消息来递送包括多个事务的服务,并且所述方法包括如下步骤:
获得关于是否允许用户访问服务的第一授权判定(I-3;I-3x);
所述方法的特征在于,其包括如下步骤:
生成并且分配服务会话标识符(Service_Context_ID),所述服务会话标识符用于识别在用户和服务之间交换的那些应用消息,并且属于向所述用户授权的同一服务递送;
配置至少一个有限状态机(SCSM;SPSM),所述有限状态机具有用于识别服务递送中的特定事件的多个状态,其中服务进展能够得以控制;并且
激活适用于所述特定事件的服务策略(SF)并且产生状态变换。
26.如权利要求25所述的方法,其中用于生成并且分配服务会话标识符(Service_Context_ID)的步骤包括,用于启动至少一个有限状态机(SPSM;SCSM)的特定示例的步骤,所述特定示例是由已分配的服务会话标识符(Service_Context_ID)识别的。
27.如权利要求26所述的方法,其中把至少一个有限状态机(SCSM;SPSM)的特定示例中的特殊状态与多个服务策略(SF-1;SF-2;SF-31;SF-32)相关联。
28.如权利要求25所述的方法,其中用于激活服务策略(SF)的步骤包括,用于设置至少一个元素的步骤,所述元素是从非穷举的参考和属性列表中选出的,包括:要匹配的多个消息字段值、匹配时要执行的多个特定动作、要运行的多个定时值以及要监控的多个事务。
29.如权利要求25所述的方法,还包括用于在服务网络(20)接收在从服务供应商(30)的多个服务服务器(5;6)和多个提供系统实体中选出的实体发起的应用消息的步骤,所述应用消息包括,用于识别至少一个有限状态机(SCSM;SPSM)的特定示例的给定服务会话标识符(Service_Context_ID)。
30.如权利要求25所述的方法,其中用于配置至少一个有限状态机的步骤包括,用于配置如权利要求1所述的应用网关模块(2)中的第一有限状态机(SCSM)的步骤,以及用于配置如权利要求15所述的授权模块(3)中的第二有限状态机(SPSM)的步骤。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2003/001654 WO2005041530A1 (en) | 2003-10-24 | 2003-10-24 | Means and method for controlling service progression between different domains |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1860760A true CN1860760A (zh) | 2006-11-08 |
| CN100592735C CN100592735C (zh) | 2010-02-24 |
Family
ID=34511396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200380110588A Expired - Fee Related CN100592735C (zh) | 2003-10-24 | 2003-10-24 | 用于控制不同域之间的服务进程的装置和方法 |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8064891B2 (zh) |
| EP (1) | EP1676410B1 (zh) |
| JP (1) | JP4491652B2 (zh) |
| CN (1) | CN100592735C (zh) |
| AT (1) | ATE366023T1 (zh) |
| AU (1) | AU2003278659A1 (zh) |
| DE (1) | DE60314673T2 (zh) |
| ES (1) | ES2287534T3 (zh) |
| WO (1) | WO2005041530A1 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1891821A2 (en) * | 2005-06-15 | 2008-02-27 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method and apparatus for providing a telecommunications service |
| US8141138B2 (en) * | 2005-10-17 | 2012-03-20 | Oracle International Corporation | Auditing correlated events using a secure web single sign-on login |
| US8478300B2 (en) * | 2005-12-20 | 2013-07-02 | Microsoft Corporation | Proximity service discovery in wireless networks |
| US8559350B2 (en) * | 2005-12-20 | 2013-10-15 | Microsoft Corporation | Mechanism to convey discovery information in a wireless network |
| US7613426B2 (en) * | 2005-12-20 | 2009-11-03 | Microsoft Corporation | Proximity service discovery in wireless networks |
| US8955094B2 (en) * | 2006-01-17 | 2015-02-10 | International Business Machines Corporation | User session management for web applications |
| US10681151B2 (en) | 2006-05-15 | 2020-06-09 | Microsoft Technology Licensing, Llc | Notification framework for wireless networks |
| GB2443889A (en) | 2006-11-20 | 2008-05-21 | Skype Ltd | Method and system for anonymous communication |
| GB0623621D0 (en) * | 2006-11-27 | 2007-01-03 | Skype Ltd | Communication system |
| GB0623622D0 (en) * | 2006-11-27 | 2007-01-03 | Skype Ltd | Communication system |
| CN101548500A (zh) * | 2006-12-06 | 2009-09-30 | 艾利森电话股份有限公司 | 抖动缓冲器控制 |
| WO2008091183A1 (en) * | 2007-01-26 | 2008-07-31 | Telefonaktiebolaget Lm Ericsson (Publ) | A method and apparatus for providing network resources to content providers |
| WO2008097869A1 (en) * | 2007-02-02 | 2008-08-14 | Iconix, Inc. | Authenticating and confidence marking e-mail messages |
| CN101056185A (zh) * | 2007-03-26 | 2007-10-17 | 华为技术有限公司 | 订购业务处理方法和系统、及网关设备 |
| US8107921B2 (en) | 2008-01-11 | 2012-01-31 | Seven Networks, Inc. | Mobile virtual network operator |
| JP5052367B2 (ja) | 2008-02-20 | 2012-10-17 | 株式会社リコー | 画像処理装置、認証パッケージインストール方法、認証パッケージインストールプログラム、及び記録媒体 |
| US9105031B2 (en) | 2008-02-22 | 2015-08-11 | Microsoft Technology Licensing, Llc | Authentication mechanisms for wireless networks |
| WO2010060480A1 (en) * | 2008-11-26 | 2010-06-03 | Telecom Italia S.P.A. | Application data flow management in an ip network |
| US8363599B2 (en) * | 2009-10-07 | 2013-01-29 | Telefonaktiebolaget L M Ericsson (Publ) | Method and internet protocol short message gateway (IP-SM-GW) for providing an interworking service between converged IP messaging (CPM) and short message service (SMS) |
| US9497088B2 (en) * | 2013-08-29 | 2016-11-15 | Oracle International Corporation | Method and system for end-to-end classification of level 7 application flows in networking endpoints and devices |
| US20150134818A1 (en) * | 2013-11-13 | 2015-05-14 | CubeITz Ltd | Data sharing method and data sharing gateway configuration |
| CN104158722B (zh) * | 2014-07-21 | 2016-11-09 | 小米科技有限责任公司 | 用于轻应用的消息推送方法、装置、终端及服务器 |
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
| US10608928B2 (en) | 2016-08-05 | 2020-03-31 | Huawei Technologies Co., Ltd. | Service-based traffic forwarding in virtual networks |
| US10855793B2 (en) * | 2017-09-25 | 2020-12-01 | Splunk Inc. | Proxying hypertext transfer protocol (HTTP) requests for microservices |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6563915B1 (en) * | 1998-01-09 | 2003-05-13 | At&T Corp. | Method and apparatus for an automatic barge-in system |
| WO2000046963A1 (en) * | 1999-02-04 | 2000-08-10 | Apion Telecoms Limited | A telecommunications gateway |
| US6441778B1 (en) * | 1999-06-18 | 2002-08-27 | Jennifer Durst | Pet locator |
| US6925297B2 (en) * | 2000-09-19 | 2005-08-02 | Nortel Networks, Limited | Use of AAA protocols for authentication of physical devices in IP networks |
| WO2002091756A1 (en) * | 2001-05-07 | 2002-11-14 | Telefonaktiebolaget, L. M. Ericsson (Publ) | Service triggering framework |
| US20020176378A1 (en) * | 2001-05-22 | 2002-11-28 | Hamilton Thomas E. | Platform and method for providing wireless data services |
| GB2376845B (en) | 2001-06-19 | 2006-02-08 | Ericsson Telefon Ab L M | Association of charging between communication systems |
| EP1563389A4 (en) * | 2001-08-01 | 2008-06-25 | Actona Technologies Ltd | VIRTUAL DATA DISTRIBUTION NETWORK |
| US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| EP1317159A1 (en) * | 2001-11-30 | 2003-06-04 | Motorola, Inc. | Authentication, authorisation and accounting for a roaming user terminal |
| AUPS339102A0 (en) * | 2002-07-04 | 2002-08-01 | Three Happy Guys Pty Ltd | Method of monitoring volumes of data between multiple terminals and an external communication network |
| JP2004220120A (ja) * | 2003-01-09 | 2004-08-05 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
| CN1202638C (zh) * | 2003-01-16 | 2005-05-18 | 上海交通大学 | 链路状态信息穿越网络传达的方法 |
| US7448080B2 (en) * | 2003-06-30 | 2008-11-04 | Nokia, Inc. | Method for implementing secure corporate communication |
| US7324473B2 (en) * | 2003-10-07 | 2008-01-29 | Accenture Global Services Gmbh | Connector gateway |
-
2003
- 2003-10-24 EP EP03770191A patent/EP1676410B1/en not_active Expired - Lifetime
- 2003-10-24 CN CN200380110588A patent/CN100592735C/zh not_active Expired - Fee Related
- 2003-10-24 JP JP2005509894A patent/JP4491652B2/ja not_active Expired - Fee Related
- 2003-10-24 DE DE60314673T patent/DE60314673T2/de not_active Expired - Lifetime
- 2003-10-24 US US10/595,496 patent/US8064891B2/en not_active Expired - Fee Related
- 2003-10-24 AU AU2003278659A patent/AU2003278659A1/en not_active Abandoned
- 2003-10-24 ES ES03770191T patent/ES2287534T3/es not_active Expired - Lifetime
- 2003-10-24 AT AT03770191T patent/ATE366023T1/de not_active IP Right Cessation
- 2003-10-24 WO PCT/SE2003/001654 patent/WO2005041530A1/en active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| ES2287534T3 (es) | 2007-12-16 |
| EP1676410B1 (en) | 2007-06-27 |
| JP2007529038A (ja) | 2007-10-18 |
| EP1676410A1 (en) | 2006-07-05 |
| US8064891B2 (en) | 2011-11-22 |
| DE60314673T2 (de) | 2008-04-17 |
| JP4491652B2 (ja) | 2010-06-30 |
| DE60314673D1 (de) | 2007-08-09 |
| CN100592735C (zh) | 2010-02-24 |
| AU2003278659A1 (en) | 2005-05-11 |
| US20070117548A1 (en) | 2007-05-24 |
| WO2005041530A1 (en) | 2005-05-06 |
| ATE366023T1 (de) | 2007-07-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1860760A (zh) | 用于控制不同域之间的服务进程的装置和方法 | |
| CN1202681C (zh) | 建立网络单元之间的连接的方法和系统 | |
| CN101047988A (zh) | 一种用户漫游状态下的策略及计费控制方法 | |
| CN1918885A (zh) | 当用户连接至ip网络时在本地管理区域内用于管理用户接入授权的方法和系统 | |
| CN1600036A (zh) | 基于服务质量提供服务的方法和移动通信系统核算方法 | |
| CN1874217A (zh) | 一种确定路由的方法 | |
| CN1310484C (zh) | 用于ip网络的服务级分配 | |
| CN1691821A (zh) | 一种实现漫游计费的方法及系统 | |
| CN101064616A (zh) | 一种网络计费方法、系统及设备 | |
| CN1831836A (zh) | 一种软件使用许可的方法和系统 | |
| CN1267433A (zh) | 增强了移动性管理的分组数据无线电业务 | |
| CN1867025A (zh) | 对预付费用户进行计费控制的方法 | |
| CN1859445A (zh) | 一种移动终端ip地址分配方法 | |
| CN1867186A (zh) | 无线通信系统中用户准入控制的实现方法及装置 | |
| CN1929477A (zh) | 一种对组播业务有限制访问的控制系统及方法 | |
| CN1917700A (zh) | 移动终端定位信息处理的方法 | |
| CN1852099A (zh) | 一种终端下载共享数据的方法及系统 | |
| CN1885770A (zh) | 一种认证方法 | |
| KR20070025964A (ko) | 이종 액세스 시스템에서의 핸드오버 제어 장치 및 방법 | |
| CN1823543A (zh) | 移动通信网络中的服务限制 | |
| CN1708021A (zh) | 为用户终端分配接入地址的方法 | |
| CN1711785A (zh) | 用于管理通信网络到移动终端的接入的系统和方法 | |
| CN101047710A (zh) | 在代理移动网际协议下终端退网的实现方法 | |
| US7840215B2 (en) | System accounting in a multiprocessor environment | |
| CN1265584C (zh) | 无线局域网中用户占用网络资源的清除方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100224 Termination date: 20161024 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |