JP2013517717A - 公共設備におけるネットワークアクセス方法及びシステム - Google Patents
公共設備におけるネットワークアクセス方法及びシステム Download PDFInfo
- Publication number
- JP2013517717A JP2013517717A JP2012549234A JP2012549234A JP2013517717A JP 2013517717 A JP2013517717 A JP 2013517717A JP 2012549234 A JP2012549234 A JP 2012549234A JP 2012549234 A JP2012549234 A JP 2012549234A JP 2013517717 A JP2013517717 A JP 2013517717A
- Authority
- JP
- Japan
- Prior art keywords
- user
- aid
- asn
- verification
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 29
- 238000012795 verification Methods 0.000 claims description 61
- 238000013507 mapping Methods 0.000 claims description 37
- 238000000926 separation method Methods 0.000 claims description 10
- 230000004044 response Effects 0.000 description 16
- 101150069304 ASN1 gene Proteins 0.000 description 12
- 230000008569 process Effects 0.000 description 10
- 101150014516 ASN2 gene Proteins 0.000 description 9
- 238000004891 communication Methods 0.000 description 9
- 238000012546 transfer Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 7
- 238000010586 diagram Methods 0.000 description 6
- 230000006870 function Effects 0.000 description 6
- 101150014732 asnS gene Proteins 0.000 description 3
- 230000008859 change Effects 0.000 description 3
- 239000000284 extract Substances 0.000 description 3
- 125000002066 L-histidyl group Chemical group [H]N1C([H])=NC(C([H])([H])[C@](C(=O)[*])([H])N([H])[H])=C1[H] 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- MOVRNJGDXREIBM-UHFFFAOYSA-N aid-1 Chemical compound O=C1NC(=O)C(C)=CN1C1OC(COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C(NC(=O)C(C)=C2)=O)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C(NC(=O)C(C)=C2)=O)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C(NC(=O)C(C)=C2)=O)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)COP(O)(=O)OC2C(OC(C2)N2C3=C(C(NC(N)=N3)=O)N=C2)CO)C(O)C1 MOVRNJGDXREIBM-UHFFFAOYSA-N 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
- H04M3/42229—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location
- H04M3/42263—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location where the same subscriber uses different terminals, i.e. nomadism
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/42—Systems providing special services or facilities to subscribers
- H04M3/42229—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location
- H04M3/42263—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location where the same subscriber uses different terminals, i.e. nomadism
- H04M3/42272—Personal communication services, i.e. services related to one subscriber independent of his terminal and/or location where the same subscriber uses different terminals, i.e. nomadism whereby the subscriber registers to the terminals for personalised service provision
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M2203/00—Aspects of automatic or semi-automatic exchanges
- H04M2203/60—Aspects of automatic or semi-automatic exchanges related to security aspects in telephonic communication systems
- H04M2203/6081—Service authorization mechanisms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04M—TELEPHONIC COMMUNICATION
- H04M3/00—Automatic or semi-automatic exchanges
- H04M3/22—Arrangements for supervision, monitoring or testing
- H04M3/2281—Call monitoring, e.g. for law enforcement purposes; Call tracing; Detection or prevention of malicious calls
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
- Small-Scale Networks (AREA)
Abstract
本発明は公共設備にネットワークにアクセスする方法及びシステムを提供し、この方法は、アクセスサーバー(ASN)が、ユーザが公共設備で送信する前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信すること、前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信すること、及び前記ASNが前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備が前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して前記ユーザのメッセージを送受信すること、を含む。本発明は公共設備でネットワークにアクセスするユーザを有効的に追跡・トレーサビリティすることができる。
Description
本発明は移動通信分野及びインターネット分野に関し、特に公共設備におけるネットワークアクセス方法及びシステムに関する。
現有のインターネットプロトコル(IP)ネットワークにおいて、人々が公共設備でネットワークにアクセスする時、直接に公共設備のIPアドレスを使用して他のユーザと通信し、ネットワーク監督機関は公共設備でネットワークにアクセスしたユーザを追跡・トレーサビリティすることができない。例えば、現有のネットワークにおいて、インターネットにアクセスする時に身分証明書を見せる必要があるが、多くのインターネットカフェは依然として証明書の真偽を識別できず、ひいては、合法証明書がなくても、インターネットカフェが提供するある公用証明書でインターネットにアクセスすることができる。これはネットワーク監督機関の追跡とトレーサビリティに大きな困難をもたらす。
そして、現有のネットワークにおいて、従来のIPアドレスには身分と位置との曖昧性が存在するため、ユーザは公共設備で自体のサービスアカウント、例えば、メール、ネットワーク銀行などなどをサインインすることができるが、ユーザネットワーク層IPとアプリケーション層とのサービスバインドを実現できず、アカウントを失うと、ユーザに大きな損失をもたらす。従来のIP技術にユーザネットワーク層IPとアプリケーション層とのサービスバインドを実現すると、ユーザが公共設備でネットワークにアクセスする時に、ネットワーク層IPアドレスが異なるため、自体のアプリケーション層サービスにアクセスすることができない。ネットワーク監督機関監督・管理機関に対して、アカウントとユーザIPをバインドすることができないため、ユーザに対する監督・管理強度も弱められる。
以上のように通りであり、目下の従来のIP技術は以下のような問題を存在する。
1、従来のIPアドレスには身分と位置との曖昧性が存在するため、監督機関監督・管理機関は公共設備でネットワークにアクセスしたユーザを有効的に追跡・トレーサビリティすることができず、セキュリティリスクを存在するだけでなく、違法犯罪活動を打撃することに困難に及ぼす。
2、なお、従来のIPアドレスの身分と位置との曖昧性のため、さらにユーザがネットワーク層IPによってアプリケーション層サービスとバインドすることができず、これによって、より有効的にアプリケーション層サービスの安全性を保障できない。
本発明が解決しようとする技術問題について、公共設備におけるネットワークアクセス方法及びシステムを提供し、身分識別子及び位置分離ネットワークにおいて公共設備でネットワークにアクセスするユーザを有効的にトレーサビリティ・追跡することができる。
上記問題を解決するために、本発明は公共設備におけるネットワークアクセス方法を提供し、身分識別子及び位置分離ネットワークに応用し、この方法は、
アクセスサーバー(ASN)が、ユーザが公共設備で送信する前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信すること、
前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させて、検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信すること、及び
前記ASNが前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備が前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して前記ユーザのメッセージを送受信すること、を含む。
アクセスサーバー(ASN)が、ユーザが公共設備で送信する前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信すること、
前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させて、検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信すること、及び
前記ASNが前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備が前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して前記ユーザのメッセージを送受信すること、を含む。
好ましくは、前記身分情報は少なくとも前記ユーザの身分証明書番号又はパスポート番号を含む。
好ましくは、前記ネットワークアクセス要求メッセージ中に前記IICが前記ユーザの身分情報を収集する時に設置した検証情報をさらに含み、前記検証情報はパスワード、検証コード又は前記ユーザの指紋情報を含む。
好ましくは、前記IICは前記ACが行った検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻し、及び
前記ACは前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しない。
前記ACは前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しない。
好ましくは、前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するステップにおいて、
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻し、
前記ACが前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しない。
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻し、
前記ACが前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しない。
好ましくは、前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザの身分識別子及び位置登録レジスター(ILR)に報告する。
好ましくは、前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDとのマッピング表を確立し、且つ前記ユーザのAID属性を仮想AIDに設置し、及び
前記ASNは前記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、前記マッピング表を検索して前記公共設備のAIDを獲得し、且つ前記公共設備に対して流量統計又は課金を行う。
前記ASNは前記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、前記マッピング表を検索して前記公共設備のAIDを獲得し、且つ前記公共設備に対して流量統計又は課金を行う。
好ましくは、前記ASNは管理された公共設備が前記AC以外のユーザ或いは設備をアクセスすることを禁止する。
本発明は公共設備におけるネットワークアクセスシステムをさらに提供し、身分識別子及び位置分離ネットワークに応用し、このシステムはアクセスサーバー(ASN)、公共設備、認証センター(AC)及び身分情報センター(IIC)を含み、
前記ASNは、ユーザが公共設備で送信する、前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、前記ACに送信し、及び、前記ユーザのAIDを受信した後、前記公共設備にプッシュするように設置され、
前記ACは、前記ネットワークアクセス要求メッセージを受信した後、その中の前記ユーザの身分情報に基づいて前記IICに検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するように設置され、
前記公共設備は、前記ASNがプッシュする前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージを送受信するように設置される。
前記ASNは、ユーザが公共設備で送信する、前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、前記ACに送信し、及び、前記ユーザのAIDを受信した後、前記公共設備にプッシュするように設置され、
前記ACは、前記ネットワークアクセス要求メッセージを受信した後、その中の前記ユーザの身分情報に基づいて前記IICに検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するように設置され、
前記公共設備は、前記ASNがプッシュする前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージを送受信するように設置される。
好ましくは、前記IICは、前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻すように設置され、
前記ACは、前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しないように設置される。
前記ACは、前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しないように設置される。
好ましくは、前記ネットワークアクセス要求メッセージ中に検証情報をさらに含み、
前記IICは、さらに、ユーザの身分情報を収集すると同時に、前記ユーザの検証情報を設置し、前記ACが行った前記ユーザの検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すように設置され、
前記ACは、さらに、前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないように設置される。
前記IICは、さらに、ユーザの身分情報を収集すると同時に、前記ユーザの検証情報を設置し、前記ACが行った前記ユーザの検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すように設置され、
前記ACは、さらに、前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないように設置される。
好ましくは、前記システムは身分識別子及び位置登録レジスター(ILR)をさらに含み、
前記ASNは、さらに、受信された、前記ACが送信する前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは、前記ユーザのAIDと前記ASNのRIDとのマッピング関係を保存し、及び、ユーザのAIDに基づいて他のASNが行ったマッピング関係検索要求を受信した後、前記ユーザのAIDが対応するRIDを、検索要求を開始させる前記ASNに戻すように設置される。
前記ASNは、さらに、受信された、前記ACが送信する前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは、前記ユーザのAIDと前記ASNのRIDとのマッピング関係を保存し、及び、ユーザのAIDに基づいて他のASNが行ったマッピング関係検索要求を受信した後、前記ユーザのAIDが対応するRIDを、検索要求を開始させる前記ASNに戻すように設置される。
上記実施案は身分識別子及び位置分離ネットワークに基づいて、ユーザAIDのネットワーク全体の唯一性を利用してユーザが公共設備でネットワークにアクセスすることを実現するものである。目下の従来のIPネットワークに比べ、上記実施案を採用し、身分識別子及び位置識別子分離ネットワークの優越性を十分に利用し、ネットワーク全体のAIDの唯一に基づいて、公共設備でネットワークにアクセスしたユーザを有効的に追跡・トレーサビリティすることができる。
現有の従来のIPアドレスの身分と位置との曖昧性の問題を解決するために、本発明は図1に示すような身分識別子及び位置分離ネットワーク(Subscriber Identifier & Locator Separation Network、SILSNと略称する)システムアーキテクチャを提案し、図1において、このSILSNシステムはアクセスサーバー(Access Service Node、ASNと略称する)、ユーザ(User)、認証センター(Authentication Center、ACと略称する)11、身分情報センター(Identifier Information Center、IICと略称する)12及び身分識別子及び位置登録レジスター(Identification & Location Register、ILRと略称する)13等からなる。
その中、ASNはユーザのアクセスを主に担当し、且つ課金、切替等の機能を引き受け、ILRは、ユーザの位置登録と身分位置識別、及び位置検索機能を引き受けるように設置され、ACはユーザのアクセスの認証を主に担当し、IICはユーザの身分情報の保存を主に担当する。
上記SILSNアーキテクチャネットワーク中にアクセス身分識別子(Access Identifier、AIDと略称する)及びルーティング識別子(Routing Identifier、RIDと略称する)という2種類の識別子タイプを有する。その中、AIDはユーザの身分識別子であり、この識別子がこのユーザのみに割り振って使用され、且つネットワーク全体で唯一であり、且つこの身分識別子がネットワークの伝送中に唯一に変わらないことができ、且つユーザがネットワーク中に移動する場合、このAIDも変わらず、ネットワーク全体で唯一である。ユーザとユーザとの間が各自の添付されたASNのRIDを使用して通信メッセージのルーティングを行う。なお、身分識別子及び位置識別子は異なるSILSNアーキテクチャで異なる名称を有することができるが、実質的には同じである。
上記SILSNネットワークは、このネットワーク内の各ユーザが厳格に認証されるだけ、アクセスすることができる、ユーザが、各種のサービス中に、送信されたパケット中にいずれも自体のAIDを同時に載せ、且つユーザが送信する各パケットはいずれも必ずASN検証を行わなければならず、ユーザが送信するパケットが載せるのは自体のアクセス身分識別子であり、他のユーザAIDを偽証してネットワークにアクセスせず、且つこのアクセス身分識別子がネットワーク中に伝送された時にずっと変わらず、ユーザが移動又は切り替える場合に、この識別子も変わらないという特徴を有する。
図1の例示において、ユーザUser1及びUser2はそれぞれ唯一のアクセス身分識別子AID1及びAID2が存在し、User1及びUser2はそれぞれASN1及びASN2によってネットワークにアクセスする。その中、User2は正常にネットワークにアクセスし、即ち自身のユーザ設備(User Equipment、UEと略称する)によってネットワークにアクセスし、そのUEのAIDはUser2がサービスとバインドするためのAIDである。User1が公共設備でネットワークにアクセスし、公共設備のAIDはUser1が持っているAIDでなく、このため、ユーザのアプリケーションサービスとバインドすることができない。
上記で提案されたSILSNネットワークに対して、この問題を解決するために、本発明は、ユーザが公共設備に身分情報を入力し、ネットワークにアクセスすることを要求し、ACはIICに対してこのユーザの身分情報を検索し、このユーザのネットワークアクセス要求を検証し、検証に成功すると、ユーザのAIDをユーザが所在する公共設備にプッシュし、その後、ユーザのAIDを仮想AIDとして公共設備にバインドするという基本的な実現思想を有する。
このように、ユーザのAIDとアプリケーションサービスとのバインドを実現でき、公共設備がユーザのAIDを本機のAIDとし、設備におけるアプリケーションプログラムはネットワークと関連する事件を処理する時に、いずれもこのユーザのAIDを使用する。
より具体的には、本発明は、以下のような案を採用してSILSNネットワークに基づく、公共設備におけるネットワークアクセス問題を解決する。
ASNはユーザが公共設備で送信するネットワークアクセス要求メッセージを受信した後、ACに送信し、上記ネットワークアクセス要求メッセージ中にこのユーザの身分情報を含み、
ACがこのユーザの身分情報に基づいてIICに検索を開始させ、且つ検索結果に基づいてこのユーザの合法性を検証し、検証を通過すると、このユーザのAIDを上記ASNに送信し、
上記ASNが上記ユーザのAIDを上記公共設備にプッシュし、上記公共設備が上記ユーザのAIDを仮想AIDとし、上記仮想AIDを使用してこのユーザのメッセージを送受信する。
ACがこのユーザの身分情報に基づいてIICに検索を開始させ、且つ検索結果に基づいてこのユーザの合法性を検証し、検証を通過すると、このユーザのAIDを上記ASNに送信し、
上記ASNが上記ユーザのAIDを上記公共設備にプッシュし、上記公共設備が上記ユーザのAIDを仮想AIDとし、上記仮想AIDを使用してこのユーザのメッセージを送受信する。
その中、上記身分情報は少なくとも上記ユーザの身分証明書番号又はパスポート番号を含む。
なお、上記ネットワークアクセス要求中にIICが上記ユーザの身分情報を収集する時に設置された検証情報をさらに含むことができ、上記検証情報はパスワード、検証コード又はユーザの指紋情報であってもよい。
さらには、IICはACが行った検索要求を受信した後、上記ユーザの検証情報を検索結果としてACに戻し、
ACが上記検索結果に基づいて上記ユーザの合法性を検証し、ネットワークアクセス要求中の検証情報が上記検索結果と一致すると、上記ユーザの検証を通過し、一致しないと、上記ユーザの検証を通過しない。
ACが上記検索結果に基づいて上記ユーザの合法性を検証し、ネットワークアクセス要求中の検証情報が上記検索結果と一致すると、上記ユーザの検証を通過し、一致しないと、上記ユーザの検証を通過しない。
なお、上記IICは上記ACが行った検索要求を受信した後、上記ユーザの身分証明書の有効期間を検索結果として上記ACに戻してもよく、
上記ACが上記身分証明書の有効期間に基づいて上記ユーザの合法性を検証し、有効期間内であると、上記ユーザの検証を通過し、でないと、上記ユーザの検証を通過しない。
上記ACが上記身分証明書の有効期間に基づいて上記ユーザの合法性を検証し、有効期間内であると、上記ユーザの検証を通過し、でないと、上記ユーザの検証を通過しない。
さらには、ユーザの合法性検証を通過すると、ASNが上記ユーザのAIDと上記公共設備のAIDとのマッピング表を確立し、同時に、上記ユーザのAID属性を仮想AIDに設置し、上記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、上記マッピング表を検索して上記公共設備のAIDを獲得し、且つ上記公共設備に対して流量統計を行う。
さらには、ASNは公共設備がAC以外のユーザをアクセスすることを禁止する。
以下、図面及び具体的な実施例を結び付けて本発明技術案の実施をさらに詳細に説明する。なお、本発明内容を以下の実施例によって解釈することができるが、以下の実施例に限られない。
図2にユーザが身分証明書を使用して公共設備でネットワークにアクセスするフローを示す。このフローは具体的に以下のようなステップを含むことができる。
S200 、ユーザが公共設備で身分情報を入力し、その後、ネットワークアクセス要求メッセージを送信し、このメッセージ中のソースAIDが公共設備のAIDであり、送信先がACである。
上記の身分情報が身分証明書番号及びパスワード等であってもよく、例えば、ユーザが自体の第2世代身分証明書を使用して公共設備で身分情報を読み取り、且つパスワードを入力し、ネットワークにアクセスすることを申請する。
S210、ASNが公共設備からのネットワークアクセス要求メッセージを受信し、この要求メッセージをACに転送して処理する。
S220、ACが公共設備からのユーザネットワークアクセス要求メッセージを受信し、この要求情報中の身分情報(例えば、ユーザの身分証明書番号及びパスワード)を抽出し、且つ身分証明書番号に基づいてIICへユーザ身分情報の検索要求を送信する。
S230、IICはACが提供する身分証明書番号に基づいて、このユーザの詳細な情報を検索し、ユーザの身分証明書の有効期間、AID、パスワード及び姓名性別等等を含み、その後、ACへ検索応答メッセージを送信し、この検索応答メッセージ中にこのユーザの身分証明書の有効期間、AID、パスワード及び姓名性別等の情報を含む。
S240、ACがIICからのユーザ身分情報検索応答メッセージを受信し、この応答メッセージ中のパスワード等の情報及び身分証明書の有効期間に基づいてユーザが合法的にネットワークにアクセスするかどうかを検証し、ユーザの身分情報が真実であり、且つ身分証明書が有効期間内であると、ユーザのネットワークアクセス要求を受け取り、ユーザの身分証明書の有効期間が満期になる或いはパスワード(又は姓名性別)等の情報が正確ではないと、ACはユーザがネットワークにアクセスすることを断る。
S250、ACが公共設備へ認証応答情報を送信する。
S260、ASNがACからのユーザのネットワークアクセス認証応答情報を受信した後、認証を通過すると、ASNがユーザのAIDを添付し、ASN自身のRIDと<AID, RID>マッピング関係を確立し、同時にユーザ及び公共設備に対して形式が<AID, AID>であるAIDマッピング表を確立し、選択すれば、ASNがユーザのAID属性をユーザ仮想AIDに設置し、認証を通過しないと、ASNが直接にACからのネットワークアクセス認証応答メッセージを転送する。
S270、公共設備が身分情報認証要求応答メッセージを受信し、認証を通過すると、公共設備がユーザのAIDを、自身のシステム中に1つの仮想AIDとし、ユーザが公共設備で発生するネットワーク動作はいずれもこの仮想AIDをソースAIDとする。
例えば、ユーザはファイル転送プロトコル(FTP)サーバーをアクセスする時に、送信したアクセス要求メッセージ中にソースAIDが仮想AIDである。
S280、ASNがILRへこのユーザの<AID, RID>マッピング関係を報告する。
その中、ASNがユーザの<AID,RID>マッピング関係を確立し、且つILRに報告する目的は、UserのAIDがこのASNに添付され、他のユーザ及びASNがこのユーザのAIDに基づいてILRに対して検索して対応するRID情報を獲得することに便利であり、さらに検索されたRID情報に基づいてメッセージをこのASNに送信することである。
S290、ILRがこのUserの<AID, RID>マッピング関係を記録又は更新した後、ASNへマッピング関係応答情報を戻して報告する。
その後、ILRは他のユーザ又はASNがこのユーザへのマッピング関係検索要求を受信した後、このユーザのAIDが対応するRIDを検索方に戻す。
なお、以上のステップにおいて、S280及びS290はS270の前に実現されてもよい。実現の前後関係はASNの内部実現方法に依存する。
図3にユーザが公共設備でインターネットするメッセージ転送フローを示す。ユーザが公共設備でインターネットにアクセスする行為とユーザが自身の設備でインターネットにアクセスする行為とが基本的に一致し、ネットワーク管理者及び監督機関監督・管理機関がユーザを追跡・トレーサビリティする需要に合わせ、同時にユーザネットワーク層AIDとアプリケーション層サービスとの間のバインド問題も解決する。それは、公共設備への管理を実現するように、ASNが公共設備の流量を総計する必要があるという相違点を有する。このフローは具体的に以下のようなステップを含むことができる。
S300、User1が公共設備でUser2へ通信要求メッセージを送信し、メッセージ中のソースAIDがUser1のAIDであり、送信先AIDがUser2のAIDである。
その中、公共設備が自体のAIDを有する以外、そのシステムは公共設備でネットワークに成功にアクセスしたユーザがそのAIDを公共設備に添付することをさらに許可する。つまり、ユーザのAIDが公共設備に添付される時に、公共設備がメッセージを送受信するためのAIDはいずれもこのユーザ仮想AIDであり、公共設備の自体のAIDでない。ユーザがネットワークをログアウトする時に、仮想AIDも削除され、その後、公共設備がメッセージを送受信するためのAIDは自体のAIDである。
S310、ASN1が公共設備からのメッセージを受信し、ASNが設置する、UserのAIDを添付する属性に基づいてソースAIDが仮想AIDであることを検査した後、上記AIDによってUser1と公共設備とのAIDマッピング表を検索し、検索で公共設備のAIDを獲得し、且つ公共設備に対して流量統計を行う。
S320、 ASN1はUser1の通信要求メッセージ中の送信先AID、即ちUser2のAIDに基づいてILRに対して検索して対応するRID(ASN2のRID)を獲得し、且つASN1のRIDを送信元RIDとし、ASN2のRIDを送信先RIDとしてメッセージにカプセル化し、ASN2にルーティング転送する。
S330、ASN2が上記メッセージを受信した後、カプセル化されたRIDを解除した後、User1の通信要求メッセージをUser2に転送する。
S340、User2がUser1の通信要求を応答し、応答メッセージ中の送信元アドレスがUser2のAIDであり、送信先アドレスがUser1のAIDである。
S350、ASN2が応答メッセージ中に送信元RID(ASN2のRID)和送信先RID(ASN1のRID)をカプセル化した後、ASN1に転送する。
本例示はUser1がUser2に対して通信を開始させることを例として説明し、User2がUser1に対して通信を開始させると、ASN2がUser2の通信要求メッセージ中の送信先アドレス、即ちUser1のAIDに基づいてILRを検索し、対応するASN1のRIDが得られた後、メッセージ中にカプセル化され、ASN1に転送ルーティングし、その通信フローが本例示と類似し、ここで再び贅言しない。
S360、ASN1がASN2からのメッセージを受信し、検査で送信先AIDが仮想AIDであることを獲得し、その後、上記AIDによってUser1と公共設備とのAIDマッピング表を検索し、検索で公共設備のAIDを獲得し、且つ公共設備に対して流量統計を行う。
S370、ASN1がメッセージ中にカプセル化されるRIDを解除した後、User2の応答メッセージをUser1に転送する。
ここまで、ユーザの公共設備におけるメッセージ転送フローが終了する。
説明する必要のは、ASN1はUser1のAIDと公共設備のAIDとのマッピング表を利用し、検索で公共設備のAIDを獲得して流量統計を行うことはただASNの中の1つの機能である。ASN1がAIDマッピング表に基づいて持つ可能な機能は流量統計に限られず、User1がネットワークにアクセスする具体的な位置の記録、公共設備の課金等の機能をさらに含む。
図4にASNが公共設備からのメッセージを処理するフローを示す。この例示において、ASNはソースAIDが公共設備のAIDであるかどうかを検査する必要がある。であると、公共設備が直接に非ACの目的地をアクセスすることを禁止する。このフローは具体的に以下のようなステップを含むことができる。
S400、ASNが公共設備からのメッセージを受信する。
S410、ASNがメッセージ中のソースAIDを抽出し、公共設備のAIDであるかどうかを判断し、であると、S420ステップにジャンプし、でないと、S430ステップにジャンプする。
このステップにおいて、ASNはその上の全てのAIDのリストに基づいて上記ソースAIDを見つけ、さらにこのソースAIDの属性を調べることによって、このソースAIDが公共設備であるかどうかを判断することができる。AIDの属性は多種を有する可能性があり、例えば、上記の公共設備の属性、及び仮想AID、リダイレクト必要なAID等等である。
なお、AIDは他の多種の方式によって上記ソースAIDが公共設備であるかどうかを判断してもよく、例えば、ASNはその上の全ての公共設備のAIDを記録し、且つ公共設備のAIDリストに独立に保存することができること、メッセージを受信する時に、記録された公共設備のAIDリストに基づいてこのソースAIDが公共設備であるかどうかを判断すること、等等。ここで再び1つずつ挙げられない。
S420、ASNがこのメッセージの目的地がACであるかどうかを判断し、であると、S470ステップにジャンプし、メッセージを正常に転送し、でないと、S460ステップにジャンプし、メッセージを廃棄する。
S430、このAIDが公共設備のAIDでないと、ASNはこのAID属性が仮想ユーザであるかどうか、即ちユーザが公共設備でネットワークにアクセスする仮想AIDであるかどうかを判断し、であると、S440ステップにジャンプし、でないと、S470ステップにジャンプし、正常に転送する。
S440、ユーザが公共設備でネットワークにアクセスする仮想AIDに基づいて、公共設備AIDとの間の対応するAIDマッピング表が存在するかどうかを検索し、AIDマッピング表が存在すると、S450ステップにジャンプし、存在しないと、S460ステップにジャンプし、メッセージを廃棄する。
S450、ASNが検索されたAIDマッピング表に基づいて、公共設備に対して流量統計を行い、ステップ470に移行する。
S460、メッセージを廃棄し、終了する。
S470、メッセージを正常に転送する。説明する必要のは、S470はステップS420、S430或いはS450のジャンプによって得られる。
ここまで、ASNが公共設備からのメッセージを処理するフローは終了する。
ここまで、ASNが公共設備からのメッセージを処理するフローは終了する。
図5にASNが他のASNからのメッセージを処理するフローを示す。この例示において、ASNは送信先AIDが公共設備でネットワークにアクセスするユーザ仮想AIDであるかどうかを判断する必要がある。このフローは具体的に以下のようなステップを含むことができる。
S500、ASNがメッセージのソースAID及び送信先AIDを抽出する。
S510、ASNは送信先AIDが公共設備AIDであるかどうかを判断し、であると、S520ステップにジャンプし、でないと、S530ステップにジャンプする。
S520、 ASNはこのメッセージがACからのものであるかどうかを判断し、であると、S570ステップにジャンプし、メッセージを正常に転送し、でないと、S560ステップにジャンプし、メッセージを廃棄する。
S530、ASNはこのメッセージの送信先AIDに公共設備でネットワークにアクセスするユーザ仮想AIDであるかどうかを判断し、であると、S540ステップにジャンプし、でないと、S570ステップにジャンプし、メッセージを正常に転送する。
S540、メッセージの送信先AIDは公共設備でネットワークにアクセスするユーザ仮想AIDであり、ASNがこのAIDに基づいて公共設備AIDとの間のAIDマッピング表を有するかどうかを検索し、有すると、S550ステップにジャンプし、有しないと、S560ステップにジャンプし、メッセージを廃棄する。
S550、ASNが公共設備のAIDに基づいて公共設備の流量を総計し、ステップ570に移行する。
S560、ASNがメッセージを廃棄し、終了する。
S570、ASNがメッセージを正常に転送し、なお、上記ステップがステップS520、S530及びS550のジャンプによって得られる。
ここまで、ASNが他のASNからのメッセージを処理するフローは終了する。
図6にユーザがオフラインするフローを示す。ユーザがすでに公共設備でネットワークにアクセスし、オンライン状態になった後、ユーザがオフラインする必要がある時に、ACへオフライン要求を送信し、AC、ILR及びASNがいずれもこのユーザAIDと関連する記録を削除する必要がある。このフローは具体的に以下のようなステップを含む。
S600、公共設備でネットワークにアクセスしたユーザUser1がASNによってACへオフライン要求を送信する。
S610、ASNがUser1の上記オフライン要求を受信し、ACに転送して処理する。
S620、ACがUser1のオフライン要求を受信し、User1のネットワーク中のオンライン状態を削除する。
S630、ACはASNへオフライン要求応答を送信し、ASNがUser1と関連する情報を削除することを通知する。
S640、ASNがACからのオフライン要求応答メッセージを受信し、User1のAIDの添付を解除し、同時にUser1のAIDと公共設備のAIDとの間のAIDマッピング表を削除する。
S650、ASNがILRへUser1の<AID,RID>マッピング関係の更新を報告し、User1の<AID,RID>マッピング関係を削除することを要求する。
S660、ILRがUser1の<AID, RID>マッピング関係を削除し、ASNへマッピング関係削除応答を送信する。
S670、ASNが公共設備へオフラインでの成功の応答メッセージを送信し、公共設備に添付されたUser1の仮想AIDを削除する。
ここまで、ユーザがオフラインするフローは終了する。
なお、本発明は公共設備におけるネットワークアクセスシステム(図示せず)をさらに提供し、身分識別子及び位置分離ネットワークに応用し、このシステムは、アクセスサーバー(ASN)、公共設備、認証センター(AC)及び身分情報センター(IIC)を含み、
上記ASNは、ユーザが公共設備で送信する、上記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、上記ACに送信し、及び、上記ユーザのAIDを受信した後、上記公共設備にプッシュするように設置され、
上記ACは、上記ネットワークアクセス要求を受信した後、その中の上記ユーザの身分情報に基づいて上記IICに検索を開始させ、且つ検索結果に基づいて上記ユーザの合法性を検証し、検証を通過すると、上記ユーザのアクセス身分識別子(AID)を上記ASNに送信するように設置され、
上記公共設備は、上記ASNがプッシュする上記ユーザのAIDを受信した後、上記ユーザのAIDを仮想AIDとし、且つ上記仮想AIDを使用して上記ユーザのメッセージを上記ASNに送受信するように設置される。
上記ASNは、ユーザが公共設備で送信する、上記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、上記ACに送信し、及び、上記ユーザのAIDを受信した後、上記公共設備にプッシュするように設置され、
上記ACは、上記ネットワークアクセス要求を受信した後、その中の上記ユーザの身分情報に基づいて上記IICに検索を開始させ、且つ検索結果に基づいて上記ユーザの合法性を検証し、検証を通過すると、上記ユーザのアクセス身分識別子(AID)を上記ASNに送信するように設置され、
上記公共設備は、上記ASNがプッシュする上記ユーザのAIDを受信した後、上記ユーザのAIDを仮想AIDとし、且つ上記仮想AIDを使用して上記ユーザのメッセージを上記ASNに送受信するように設置される。
さらには、上記IICは、上記ACが行った検索要求を受信した後、上記ユーザの身分証明書の有効期間を検索結果として上記ACに戻すように設置され、
上記ACは、さらに、上記身分証明書の有効期間に基づいて上記ユーザの合法性を検証し、有効期間内であると、上記ユーザの検証を通過し、でないと、上記ユーザの検証を通過しないように設置される。
上記ACは、さらに、上記身分証明書の有効期間に基づいて上記ユーザの合法性を検証し、有効期間内であると、上記ユーザの検証を通過し、でないと、上記ユーザの検証を通過しないように設置される。
さらには、上記ネットワークアクセス要求中に検証情報をさらに含み、
上記IICは、さらに、ユーザの身分情報を収集すると同時に上記ユーザの検証情報を設置し、上記ACが行った上記ユーザの検索要求を受信した後、上記ユーザの検証情報を検索結果として上記ACに戻すように設置され、
上記ACは、さらに、上記検索結果に基づいて上記ユーザの合法性を検証し、上記ネットワークアクセス要求中の検証情報が上記検索結果と一致すると、上記ユーザの検証を通過し、一致しないと、上記ユーザの検証を通過しないように設置される。
上記IICは、さらに、ユーザの身分情報を収集すると同時に上記ユーザの検証情報を設置し、上記ACが行った上記ユーザの検索要求を受信した後、上記ユーザの検証情報を検索結果として上記ACに戻すように設置され、
上記ACは、さらに、上記検索結果に基づいて上記ユーザの合法性を検証し、上記ネットワークアクセス要求中の検証情報が上記検索結果と一致すると、上記ユーザの検証を通過し、一致しないと、上記ユーザの検証を通過しないように設置される。
さらには、上記システムは身分識別子及び位置登録レジスター(ILR)をさらに含み、
上記ASNは、さらに、受信した上記ACが送信する上記ユーザのAIDを添付し、上記ユーザのAIDと上記ASNのRIDとのマッピング関係を確立し、且つ上記ユーザのILRに報告するように設置され、
上記ILRは、上記ユーザのAIDと上記ASNのRIDとのマッピング関係を保存し、及び、他のASNがユーザのAIDに基づいて行ったマッピング関係検索要求を受信した後、検索要求を開始させる上記ASNに上記ユーザのAIDが対応するRIDを戻すように設置される。
上記ASNは、さらに、受信した上記ACが送信する上記ユーザのAIDを添付し、上記ユーザのAIDと上記ASNのRIDとのマッピング関係を確立し、且つ上記ユーザのILRに報告するように設置され、
上記ILRは、上記ユーザのAIDと上記ASNのRIDとのマッピング関係を保存し、及び、他のASNがユーザのAIDに基づいて行ったマッピング関係検索要求を受信した後、検索要求を開始させる上記ASNに上記ユーザのAIDが対応するRIDを戻すように設置される。
本分野の普通の技術スタッフは、上記方法における全部又は一部のステップはプログラムによって関連ハードウェアを指令して完了することができ、上記プログラムはコンピュータ読み取り可能な記憶メディア、例えば、読み取り専用メモリ、磁気ディスク又は光学ディスク等に記憶されることができることを理解することができる。選択すれば、上記実施例の全部又は一部のステップは1つ又は複数の集積回路を使用して実現することもできる。それに応じて、上記実施例の各モジュール/ユニットはハードウェアの形式を採用して実現してもよく、ソフトウェア機能モジュールの形式を採用して実現してもよい。本発明は、いずれかの特定形式のハードウェアとソフトウェアとの結合に限定されない。
以上の内容は本発明の好適な実施例に過ぎなく、本発明を限定するためのものではなく、当業者にとっては、本発明が各種の変更及び変化を有し得る。本発明の精神及び原則の内において、行った如何なる修正、同等交替、改善等は、いずれも本発明の保護範囲の内に含まれるべきである。
本発明が提供する公共設備におけるネットワークアクセス方法及びシステムは、ユーザAIDのネットワーク全体の唯一性を利用してユーザが公共設備でネットワークにアクセスすることを実現し、且つ上記実施案を採用し、身分識別子及び位置識別子分離ネットワークの優越性を十分に利用し、ネットワーク全体のAIDの唯一に基づいて、公共設備でネットワークにアクセスするユーザを有効的に追跡・トレーサビリティすることができる。
Claims (12)
- 身分識別子及び位置分離ネットワークに応用する公共設備におけるネットワークアクセス方法であって、
アクセスサーバー(ASN)が、ユーザが公共設備で送信する前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信すること、
前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させて、検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信すること、及び
前記ASNが前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備が前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して前記ユーザのメッセージを送受信すること、を含む。 - 前記身分情報は少なくとも前記ユーザの身分証明書番号又はパスポート番号を含む請求項1に記載の方法。
- 前記ネットワークアクセス要求メッセージ中に前記IICが前記ユーザの身分情報を収集する時に設置した検証情報をさらに含み、前記検証情報はパスワード、検証コード又は前記ユーザの指紋情報を含む請求項2に記載の方法。
- 前記方法は、
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すこと、及び
前記ACは前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないこと、をさらに含む請求項3に記載の方法。 - 前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するステップにおいて、
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻し、
前記ACが前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しない請求項1、2、又は4に記載の方法。 - 前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立して、前記ユーザの身分識別子及び位置登録レジスター(ILR)に報告することをさらに含む請求項1〜4のいずれかに記載の方法。
- 前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDとのマッピング表を確立して、前記ユーザのAID属性を仮想AIDに設置すること、及び
前記ASNは前記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、前記マッピング表を検索して前記公共設備のAIDを獲得し、且つ前記公共設備に対して流量統計又は課金を行うこと、をさらに含む請求項6に記載の方法。 - 前記ASNは管理した公共設備が前記AC以外のユーザ或いは設備をアクセスすることを禁止するをさらに含む請求項1〜4のいずれかに記載の方法。
- 身分識別子及び位置分離ネットワークに応用し、アクセスサーバー(ASN)、公共設備、認証センター(AC)及び身分情報センター(IIC)を含む公共設備におけるネットワークアクセスシステムであって、
前記ASNは、ユーザが公共設備で送信する、前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、前記ACに送信し、及び、前記ユーザのAIDを受信した後、前記公共設備にプッシュするように設置され、
前記ACは、前記ネットワークアクセス要求メッセージを受信した後、その中の前記ユーザの身分情報に基づいて前記IICに検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するように設置され、
前記公共設備は、前記ASNがプッシュする前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージを送受信するように設置される。 - 前記IICは、前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻すように設置され、
前記ACは、前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しないように設置される請求項9に記載のシステム。 - 前記ネットワークアクセス要求メッセージ中に検証情報をさらに含み、
前記IICは、さらに、ユーザの身分情報を収集すると同時に、前記ユーザの検証情報を設置し、前記ACが行った前記ユーザの検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すように設置され、
前記ACは、さらに、前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないように設置される請求項10に記載のシステム。 - 前記システムは身分識別子及び位置登録レジスター(ILR)をさらに含み、
前記ASNは、さらに、受信された前記ACが送信する前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは、前記ユーザのAIDと前記ASNのRIDとのマッピング関係を保存し、及び、ユーザのAIDに基づいて他のASNが行ったマッピング関係検索要求を受信した後、前記ユーザのAIDが対応するRIDを、検索要求を開始させる前記ASNに戻すように設置される請求項9に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201010002852.6A CN102131197B (zh) | 2010-01-20 | 2010-01-20 | 一种在公共设备上接入网络的方法及系统 |
| CN201010002852.6 | 2010-01-20 | ||
| PCT/CN2010/077854 WO2011088694A1 (zh) | 2010-01-20 | 2010-10-19 | 一种在公共设备上接入网络的方法及系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2013517717A true JP2013517717A (ja) | 2013-05-16 |
| JP5451902B2 JP5451902B2 (ja) | 2014-03-26 |
Family
ID=44269063
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2012549234A Expired - Fee Related JP5451902B2 (ja) | 2010-01-20 | 2010-10-19 | 公共設備におけるネットワークアクセス方法及びシステム |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20130125246A1 (ja) |
| EP (1) | EP2512088A4 (ja) |
| JP (1) | JP5451902B2 (ja) |
| KR (1) | KR20120094952A (ja) |
| CN (1) | CN102131197B (ja) |
| WO (1) | WO2011088694A1 (ja) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
| CN102130887B (zh) * | 2010-01-20 | 2019-03-12 | 中兴通讯股份有限公司 | 一种在公共设备上接入网络的方法及系统 |
| CN103036758B (zh) * | 2011-10-10 | 2017-02-15 | 中兴通讯股份有限公司 | 一种标识网与传统网络互联互通的方法、asr及isr |
| CN104579969B (zh) * | 2013-10-29 | 2019-04-23 | 中兴通讯股份有限公司 | 报文发送方法及装置 |
| CN107819959B (zh) * | 2016-09-14 | 2019-12-31 | 中国电信股份有限公司 | 电话溯源方法和装置 |
| CN107680294B (zh) * | 2017-09-11 | 2020-03-06 | 平安科技(深圳)有限公司 | 房产信息查询方法、系统、终端设备及存储介质 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009175923A (ja) * | 2008-01-23 | 2009-08-06 | Dainippon Printing Co Ltd | プラットフォーム完全性検証システムおよび方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2349244A (en) * | 1999-04-22 | 2000-10-25 | Visage Developments Limited | Providing network access to restricted resources |
| CA2403832C (en) * | 2000-03-20 | 2006-08-29 | At&T Corp. | Method and apparatus for coordinating a change in service provider between a client and a server with identity based service access management |
| CN1243434C (zh) * | 2002-09-23 | 2006-02-22 | 华为技术有限公司 | 基于远程认证的网络中实现eap认证的方法 |
| US7778199B2 (en) * | 2005-02-19 | 2010-08-17 | Cisco Technology, Inc. | Techniques for customer self-provisioning of edge nodes for a virtual private network |
| JP4954979B2 (ja) * | 2005-04-29 | 2012-06-20 | オラクル・インターナショナル・コーポレイション | 詐欺監視、検出、および階層状ユーザ認証のためのシステムおよび方法 |
| CN100571125C (zh) * | 2005-12-30 | 2009-12-16 | 上海贝尔阿尔卡特股份有限公司 | 一种用于用户设备与内部网络间安全通信的方法及装置 |
| US9003488B2 (en) * | 2007-06-06 | 2015-04-07 | Datavalet Technologies | System and method for remote device recognition at public hotspots |
| CN101127663B (zh) * | 2007-09-13 | 2010-11-03 | 北京交通大学 | 一种移动自组织网络接入一体化网络的系统及方法 |
| CN101217372B (zh) * | 2008-01-02 | 2011-06-15 | 刘小鹏 | 一种结合网络地址的身份交互认证系统及方法 |
| CN101355564A (zh) * | 2008-09-19 | 2009-01-28 | 广东南方信息安全产业基地有限公司 | 一种实现可信局域网及互联网的方法 |
| CN101369893B (zh) * | 2008-10-06 | 2010-08-18 | 中国移动通信集团设计院有限公司 | 一种对临时用户进行局域网络接入认证的方法 |
| US20100125891A1 (en) * | 2008-11-17 | 2010-05-20 | Prakash Baskaran | Activity Monitoring And Information Protection |
| CN102025589B (zh) * | 2009-09-18 | 2015-04-01 | 中兴通讯股份有限公司 | 虚拟专用网络的实现方法及系统 |
| CN102035813B (zh) * | 2009-09-30 | 2016-01-20 | 中兴通讯股份有限公司 | 端到端呼叫的实现方法、端到端呼叫终端及系统 |
| CN102130975A (zh) * | 2010-01-20 | 2011-07-20 | 中兴通讯股份有限公司 | 一种用身份标识在公共设备上接入网络的方法及系统 |
-
2010
- 2010-01-20 CN CN201010002852.6A patent/CN102131197B/zh not_active Expired - Fee Related
- 2010-10-19 JP JP2012549234A patent/JP5451902B2/ja not_active Expired - Fee Related
- 2010-10-19 EP EP10843734.4A patent/EP2512088A4/en not_active Withdrawn
- 2010-10-19 KR KR1020127018133A patent/KR20120094952A/ko not_active Application Discontinuation
- 2010-10-19 US US13/520,818 patent/US20130125246A1/en not_active Abandoned
- 2010-10-19 WO PCT/CN2010/077854 patent/WO2011088694A1/zh active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2009175923A (ja) * | 2008-01-23 | 2009-08-06 | Dainippon Printing Co Ltd | プラットフォーム完全性検証システムおよび方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2512088A1 (en) | 2012-10-17 |
| EP2512088A4 (en) | 2016-11-09 |
| CN102131197A (zh) | 2011-07-20 |
| WO2011088694A1 (zh) | 2011-07-28 |
| US20130125246A1 (en) | 2013-05-16 |
| KR20120094952A (ko) | 2012-08-27 |
| JP5451902B2 (ja) | 2014-03-26 |
| CN102131197B (zh) | 2015-09-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5451901B2 (ja) | 公共設備でネットワークにアクセスする方法及びシステム | |
| JP5451902B2 (ja) | 公共設備におけるネットワークアクセス方法及びシステム | |
| CN102369750B (zh) | 用于管理用户的认证的方法和装置 | |
| US8977240B2 (en) | Method for the control and evaluation of a message traffic of a communication unit by means of a first network unit within a mobile radio system, pertaining communication unit and first network unit | |
| CN106162574A (zh) | 集群系统中应用统一鉴权方法、服务器与终端 | |
| JP2002508121A (ja) | 通信システムに関する方法および装置 | |
| CN102916930B (zh) | 融合业务网络及其节点、资源请求的路由信息的获取方法 | |
| CN111107171A (zh) | Dns服务器的安全防御方法及装置、通信设备及介质 | |
| JP5451903B2 (ja) | 公共設備においてネットワークにアクセスする方法及びシステム | |
| CN102546523B (zh) | 一种互联网接入的安全认证方法、系统和设备 | |
| CN102119518A (zh) | 关联由设备发起的注册 | |
| CN104253798A (zh) | 一种网络安全监控方法和系统 | |
| CN114554251B (zh) | 多媒体数据的请求方法和装置、存储介质及电子装置 | |
| CN105208022A (zh) | 报警信息生成方法及装置 | |
| JP2010501131A (ja) | 通信ネットワークにおける端末機器の緊急メッセージを転送する方法 | |
| CN104363587B (zh) | 一种呼叫方法及呼叫系统 | |
| JP7343729B1 (ja) | モバイル通信システムおよび通信制御方法 | |
| KR20050077976A (ko) | 무선 데이터 서비스를 위한 사용자의 세션 정보 제공 방법및 시스템 | |
| KR100455040B1 (ko) | 홈 라디우스 서버 식별 방법 | |
| KR100413965B1 (ko) | 다이아미터 서버에서의 세션 복구 방법 | |
| KR100986326B1 (ko) | 로밍 사용자 세션 관리 방법 | |
| WO2011054230A1 (zh) | 电子公告板管理方法、系统、终端和服务器 | |
| CN102970756A (zh) | 一种基于服务能力p2p分布化的s-cscf分配方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20130820 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131120 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20131217 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20131226 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5451902 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |