RU2253187C2 - Система и способ для локального обеспечения выполнения установленных правил для провайдеров услуг сети интернет - Google Patents

Система и способ для локального обеспечения выполнения установленных правил для провайдеров услуг сети интернет Download PDF

Info

Publication number
RU2253187C2
RU2253187C2 RU2002103720/09A RU2002103720A RU2253187C2 RU 2253187 C2 RU2253187 C2 RU 2253187C2 RU 2002103720/09 A RU2002103720/09 A RU 2002103720/09A RU 2002103720 A RU2002103720 A RU 2002103720A RU 2253187 C2 RU2253187 C2 RU 2253187C2
Authority
RU
Russia
Prior art keywords
subscriber
point
established rules
enforcement
internet
Prior art date
Application number
RU2002103720/09A
Other languages
English (en)
Other versions
RU2002103720A (ru
Inventor
Филиппе Меиер КАРАС (SE)
Филиппе Меиер КАРАС
Original Assignee
Телефонактиеболагет Лм Эрикссон (Пабл)
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Телефонактиеболагет Лм Эрикссон (Пабл) filed Critical Телефонактиеболагет Лм Эрикссон (Пабл)
Publication of RU2002103720A publication Critical patent/RU2002103720A/ru
Application granted granted Critical
Publication of RU2253187C2 publication Critical patent/RU2253187C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/2854Wide area networks, e.g. public data networks
    • H04L12/2856Access arrangements, e.g. Internet access
    • H04L12/2858Access network architectures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Computer And Data Communications (AREA)

Abstract

Изобретение относится к телекоммуникационным системам и способам доступа к сети Интернет. Технический результат заключается в расширении функциональных возможностей. Пункт обеспечения выполнения установленных правил обеспечивает выполнение установленных правил в отношении аутентификации абонентов, авторизации доступа и услуг, учета сетевых ресурсов и мобильности. Эти установленные правила определяются провайдером услуг сети Интернет в пункте принятия решения о выполнении установленных правил, который представляет собой сервер, соединенный с сетью Интернет и осуществляющий связь с указанным пунктом обеспечения. Провайдер услуг сети Интернет может предоставить ключ шифрования для указанного пункта обеспечения и ключ шифрования для конкретного абонента. 3 н. и 30 з.п. ф-лы, 4 ил.

Description

Область техники
Настоящее изобретение относится к телекоммуникационным системам и способам для доступа к сети Интернет с использованием провайдера услуг сети Интернет и, более конкретно, к аутентификации и авторизации пользователей ресурсов и услуг, предоставляемых провайдером услуг сети Интернет.
Предшествующий уровень техники и задачи настоящего изобретения
Совместное влияние двух факторов - отмена регулирования и влияние протокола сети Интернет (IP) сделали возможным сегментирование по горизонтали рынка телекоммуникационных систем. Прежние попытки горизонтального деления рынка телекоммуникационных систем за счет отмены ограничений на терминалы и на услуги междугородней связи оказались медленно действующими и довольно неубедительными для абонента.
В настоящее время развязывание локального контура и отделение услуг от инфраструктуры, вместе с принятием протокола IP, существенным образом изменили соотношение между абонентом и провайдером услуг. Прозрачные сети, основанные на протоколе IP, поддерживаемые провайдерами услуг сети Интернет, что обеспечивает обмен услугами, принимая во внимание стратегии учета сетевых ресурсов, сделали возможными перемещения абонента относительно провайдера услуг сети Интернет (ПУИ), т.е. позволили оператору обслуживать абонентов в любом их местоположении, практически в любой сети в мире.
Например, новые сегменты потребителей могут быть созданы в соответствии с критериями иными, чем физическое местоположение, такими как национальность, корпоративная принадлежность, религия, культура, конкретные интересы и т.д. Кроме того, виртуальные частные сети (ВЧС), основанные на протоколе IP, могут без труда создаваться для обслуживания рассредоточенных индивидуальных лиц и групп абонентов.
Ключом к такому окончательному отделению услуг от инфраструктуры является существование локального пункта обеспечения выполнения установленных правил (ПОВУП). Данный ПОВУП несет ответственность за обеспечение выполнения стратегии, т.е. установленных правил в отношении аутентификации абонентов, авторизации доступа и услуг, учета сетевых ресурсов и мобильности и т.п. Обычно ПОВУП должен располагаться на сервере локального доступа или в пограничном маршрутизаторе провайдера услуг сети Интернет (ПУИ). Однако реализация ПОВУП на пограничном маршрутизаторе в типовом случае требует существенных инвестиций и урегулирования множества практических договоренностей с провайдерами локального доступа и в зависимости от них, принимая во внимание обеспечение выполнения установленных правил.
Поэтому задачей настоящего изобретения является снижение объема инвестиций для провайдеров услуг сети Интернет, реализующих пункт обеспечения выполнения установленных правил.
Сущность изобретения
Настоящее изобретение направлено на телекоммуникационные системы и способы для реализации пункта обеспечения выполнения установленных правил (ПОВУП) для провайдера услуг сети Интернет (ПУИ) в абонентских помещениях. ПОВУП несет ответственность за обеспечение выполнения стратегии, т.е. установленных правил в отношении аутентификации абонентов, авторизации доступа и услуг, учета сетевых ресурсов и мобильности. Эти установленные правила определяются оператором ПУИ в пункте принятия решения о выполнении установленных правил (ПРВУП), который представляет собой сервер, соединенный с сетью Интернет и осуществляющий связь с ПОВУП. Кроме того, ПУИ может предоставить ключ шифрования для ПОВУП и ключ шифрования для конкретного абонента. Таким образом, все передачи данных между абонентом и ПОВУП, а также между ПОВУП и ПРВУП, могут быть зашифрованными.
Краткое описание чертежей
Заявленное изобретение описывается ниже со ссылкам на чертежи, которые иллюстрируют наиболее важные отдельные варианты осуществления изобретения и которые приведены в настоящем описании только для ссылки. На чертежах показано следующее:
фиг.1 - блок-схема, иллюстрирующая традиционное обеспечение выполнения установленных правил провайдером слуг сети Интернет;
фиг.2 - блок-схема, иллюстрирующая пример реализации локального пункта обеспечения выполнения установленных правил (ПОВУП) в абонентских помещениях согласно предпочтительным вариантам осуществления изобретения;
фиг.3 - детальный вид локального ПОВУП в соответствии с вариантами осуществления настоящего изобретения;
фиг.4 - пример диаграммы сигнализации, иллюстрирующий сигнализацию, используемую в сеансе связи в сети Интернет в соответствии с вариантами осуществления настоящего изобретения.
Детальное описание предпочтительных вариантов осуществления изобретения
Различные новые признаки заявленного изобретения раскрыты ниже с конкретными ссылками на примеры осуществления, являющиеся на сегодняшний день наиболее предпочтительными. Однако следует иметь в виду, что данный класс вариантов осуществления обеспечивает лишь несколько примеров из множества предпочтительных вариантов использования новых принципов изобретения. Сведения, приведенные в описании изобретения, в принципе не накладывают обязательных ограничений на любое из различных заявленных изобретений. Более того, некоторые утверждения могут применяться для некоторых новых признаков и не применяться для других.
Как показано на фиг.1, одиночный абонент 100а или компания 110, имеющая множество абонентов 100b и 100с, из которых показано только два, соединенных вместе локальной сетью (ЛС) 120, получают доступ к сети Интернет 140 обычным образом, через сервер 130 локального доступа (или пограничный маршрутизатор) провайдера услуг сети Интернет (ПУИ) 135. Сервер 130 локального доступа служит в качестве локального пункта обеспечения выполнения установленных правил (ПОВУП) 160 для ПУИ 135 в области 150, которую обслуживает сервер 130 локального доступа. ПОВУП 160 несет ответственность за обеспечение выполнения стратегии, т.е. установленных правил в отношении аутентификации абонентов 100а-с в указанной области, авторизации доступа и услуг, учета сетевых ресурсов и мобильности.
Перед началом сеанса связи в сети Интернет ПОВУП 160 должен провести аутентификацию абонента, например, абонента 100b. В типовом случае абонент 100b вводит информацию аутентификации 105а, такую как номер счета и персональный идентификационный номер (PIN) в сервер 130 локального доступа ПУИ 135. После этого ПОВУП 160 в сервере 130 локального доступа проводит аутентификацию абонента 100b путем сравнения принятой информации аутентификации (ИА) 105а, введенной абонентом 100b, с информацией аутентификации 105а, связанной с абонентом 100b, сохраненной в ПОВУП 160. Следует заметить, что ПОВУП 160 в сервере локального доступа (СЛД) 130 сохраняет информацию аутентификации 105 для каждого абонента 100а-с, которого он обслуживает. После проведения аутентификации абонент 100b может получить доступ к сети Интернет 140 и просмотреть Web-сайты через локальный сервер доступа 130. После завершения сеанса связи в сети Интернет ПОВУП 160 осуществляет сбор и сохранение информации 115 о доступе к ресурсам и выставлении счета (учетной информации (УИ) 115) за проведение сеанса связи в сети Интернет.
В настоящее время ни один из видов информации, передаваемых между абонентом 100b и сервером 130 локального доступа или ПОВУП 160 в течение сеанса связи в сети Интернет, не шифруется. Поэтому данная информация, включающая информацию аутентификации 105, может быть перехвачена несанкционированной стороной. Современные механизмы обеспечения выполнения установленных правил провайдером 135 услуг сети Интернет не учитывают несанкционированного доступа данного типа. Поэтому ПУИ должен опираться на механизмы обеспечения выполнения установленных правил сервера локального доступа в области 150, чтобы обеспечить надежную аутентификацию, что увеличивает затраты для ПУИ 135 и абонентов 100а-с, которые используют услуги, предоставляемые ПУИ 135. Кроме того, некоторая информация учета и выставления счетов, требуемая провайдером 135 услуг сети Интернет, может быть обеспечена только провайдером локального доступа, что также увеличивает затраты для ПУИ 135.
Однако если, как показано на фиг.2, ПОВУП 160 размещен в абонентских помещениях 110, например, будучи подсоединенным к ЛС 160, к которой подключен абонент 100, то оплачиваемые авансом затраты, требуемые для провайдера 135 услуг сети Интернет, будут снижены. Кроме того, ПУИ 135 будет становиться в меньшей степени зависимым от провайдера локального доступа. Поэтому, в соответствии с предпочтительными вариантами осуществления настоящего изобретения, ПОВУП может быть реализован в сервере (или в серверном узле) 180, соединенном с локальной сетью 120 абонента (абонентов) 100, как показано на фиг.2. Как вариант, если абонент 100 является одиночным абонентом, то ПОВУП 160 может быть реализован на компьютере или терминале, связанном с данным абонентом 100.
Для реализации ПОВУП 160 в абонентских помещениях 110, когда абонент 100 или группа абонентов регистрируется у ПУИ 135, ПУИ 135 может обеспечить программное обеспечение для ПОВУП 160 абоненту (абонентам) 100. Это программное обеспечение может загружаться от ПУИ 135 по сети Интернет или может быть послано абоненту (абонентам) 100 по электронной почте. Программное обеспечение содержит индивидуальный абонентский ключ для каждого из абонентов 100 и ключ ПОВУП для ПОВУП 160. Это программное обеспечение для ПОВУП 160 может быть загружено в сервер 180, обслуживающий множество абонентов 100, как показано на чертеже, или в терминал, связанный с одиночным абонентом 100, для выполнения функций ПОВУП 160. Например, программное обеспечение может быть загружено в почтовый ящик электронной почты, который представляет собой защищенный сервер 180 с встроенными межсетевыми средствами защиты (брандмауэром), которые имеют интерфейс с ЛС 120. После загрузки абонентам может быть присвоен один из абонентских ключей, и ПОВУП 160 может регистрировать ключ ПОВУП на сервере 130 локального доступа.
Как пояснено выше, ПОВУП 160 способствует выполнению установленных правил в отношении аутентификации абонентов, авторизации доступа и услуг, учета сетевых ресурсов и мобильности для абонентов, которых обслуживает ПОВУП 160. Эти установленные правила определяются оператором ПУИ 135 в пункте принятия решения о выполнении установленных правил (ПРВУП) 170, который представляет собой сервер, управляемый оператором, который может находиться где угодно в мире. ПРВУП 170 осуществляет связь с различными ПОВУП и с другими сетевыми ПРВУП (не показаны) для аутентификации абонентов 100, совершающих роуминг вне своей исходной сети.
Например, если ЛС 120 является частью компании, которая имеет офисы в различных местоположениях, и абонент 100, связанный с одним из этих местоположений, посещает место, где расположена ЛС 120, то информация аутентификации 105, связанная с данным абонентом 100, может не сохраняться в ПОВУП 160 ЛС 120. Вместо этого информация аутентификации 105 может сохраняться в другом ПОВУП (не показан) данного провайдера 135 услуг сети Интернет. Поэтому когда прибывший абонент 100 пытается получить доступ к сети Интернет 140 через ПУИ 135, ПОВУП 160 может послать информацию аутентификации 105, полученную от данного абонента 100, в ПРВУП 170 через сервер 130 локального доступа и сеть Интернет 140, чтобы провести аутентификацию абонента 100. Основываясь на информации аутентификации 105, связанной с прибывшим абонентом 100, ПРВУП 170 может непосредственно провести аутентификацию абонента 100 (если ПРВУП 170 сохраняет всю информацию аутентификации 105 для каждого из абонентов 100, зарегистрированных у провайдера 135 сети Интернет). Как вариант, ПРВУП 170 может определить ПОВУП (не показан), связанный с прибывшим абонентом 100, передать эту информацию аутентификации 105 к данному ПОВУП и запросить аутентификацию и авторизацию от этого ПОВУП.
В другом примере, если абонент 100, соединенный с локальной сетью 120, имеет счет у другого провайдера услуг сети Интернет (не показан), но пытается получить доступ к сети Интернет 140 через данного провайдера 135 услуг сети Интернет локальной сети 120, то ПОВУП 160 может установить связь с ПРВУП 170 через сервер 130 локального доступа, связанный с ПУИ 135 и сетью Интернет 140, чтобы провести аутентификацию абонента и получить авторизацию для доступа к ПУИ 135. ПРВУП 170 может установить связь с другим ПРВУП (не показан) данного провайдера услуг сети Интернет, у которого абонент 100 имеет свой счет, чтобы проверить наличие у абонента счета у данного провайдера и получить авторизацию в целях выставления счетов и списывания со счета.
Структура и принцип работы возможного варианта осуществления ПОВУП 160 описаны ниже более детально со ссылками на фиг.3. Каждый ПОВУП 160 имеет отдельный ключ 162, связанный с ним. Этот ключ 162 идентифицирует ПОВУП 160 для ПРВУП 170 и сервера 130 локального доступа данного провайдера 135 услуг сети Интернет. Поэтому вместо того, чтобы сохранять информацию аутентификации 105 для каждого абонента 100, серверу 130 локального доступа необходимо только сохранить ключи 162 для всех ПОВУП 160, которых он обслуживает. Ключи 162 ПОВУП могут также использоваться для шифрования информации, передаваемой между ПОВУП 160 и сервером 130 локального доступа и между ПОВУП 160 и ПРВУП 170, что в значительной степени снижает возможность перехвата информации неавторизованной стороной.
Для инициирования сеанса связи в сети Интернет, ПОВУП 160 предоставляет этот ключ 162 ПОВУП серверу 130 локального доступа, чтобы провести аутентификацию ПОВУП 160. После этого ПОВУП 160 и сервер 130 локального доступа могут использовать этот ключ 162 ПОВУП для шифрования всей информации, передаваемой между ними. Аналогичным образом, ключ 162 ПОВУП может быть использован ПОВУП 160 и ПРВУП 170 для шифрования информации, передаваемой между ними. Такая информация может включать в себя, например, информацию аутентификации 105 и информацию авторизации прибывших абонентов или абонентов 100, совершающих роуминг, или учетную информацию 115 и информацию по расчетам при завершении сеанса связи в сети Интернет.
ПОВУП 160 также включает в себя память или базу данных 165 для хранения отличающегося абонентского ключа 164 для каждого абонента 100, которого он обслуживает. Например, в базе данных 165 ПОВУП 160 может сохранять список имен абонентов или номера счетов 163 и ключи 164 связанных с ними абонентов. Для инициирования сеанса связи в сети Интернет абонент 100 может ввести свой номер счета 163, вместе со своим абонентским ключом 164 в ПОВУП 160. ПОВУП 160 обращается к базе данных 165 и сравнивает принятый номер счета 163 и ключ 164 для аутентификации абонента 100. Этот абонентский ключ 164 может также использоваться для шифрования всей информации, передаваемой между ПОВУП 160 и абонентом 100.
Кроме того, ПОВУП 160 может также хранить базу данных 168 авторизации, которая содержит информацию авторизации 169 для каждого абонента 100, которого он обслуживает. Некоторые услуги, предоставляемые ПУИ 135, могут быть недоступными для каждого абонента 100. Поэтому после аутентификации, когда абонент 100 запрашивает услугу от ПУИ 135, ПОВУП 160 может обратиться к базе данных 168, чтобы определить имеет ли право данный абонент пользоваться данной услугой, основываясь на информации авторизации 169.
В процессе сеанса связи в сети Интернет ПОВУП 160 поддерживает регистрационный файл 166, содержащий информацию 167, относящуюся к этому сеансу связи, включая время начала, время завершения, используемые услуги. Этот регистрационный файл 166 используется провайдером 135 услуг сети Интернет в целях аудита и выставления счетов. По завершении сеанса связи в сети Интернет ПОВУП 160 направляет этот регистрационный файл 166 с использованием ключа 162 ПОВУП к ПРВУП 170. Как вариант, регистрационный файл 166 для всех абонентов 100, обслуживаемых данным ПОВУП 160, может передаваться с регулярными интервалами, например, в конце дня.
За счет размещения ПОВУП 160 в помещениях 110 абонента 100, непроизводительные расходы могут быть снижены ввиду уменьшения числа сообщений, передаваемых между абонентом 100 и сервером 130 локального доступа. Кроме того, повышается защищенность и снижается задержка во всех передачах между абонентом 100 и ПОВУП 160.
На фиг.4 представлена диаграмма сигнализации, которая описана ниже во взаимосвязи с блок-схемами, показанными на фиг.2 и 3. Для инициирования сеанса связи в сети Интернет абонент 100 посылает запрос на аутентификацию (этап 400), включающий номер счета 163 и абонентский ключ 164, к ПОВУП 160. После этого ПОВУП 160 устанавливает соединение с сервером 130 локального доступа данного ПУИ 135 и передает запрос аутентификации для доступа (этап 405), включающий ключ 162 ПОВУП, к серверу 130 локального доступа.
После аутентификации ПОВУП 160 сервер 130 локального доступа посылает сообщение ответа аутентификации для доступа (этап 410) к ПОВУП 160, указывающий на то, что ПОВУП 160 авторизован для проведения сеанса связи в сети Интернет с данным ПУИ 135. Когда ПОВУП 160 получает сообщение ответа аутентификации от сервера 130 локального доступа, ПОВУП проводит аутентификацию абонента с использованием номера счета 163 и абонентского ключа 164, предоставленного абонентом 100, и передает сообщение ответа аутентификации (этап 415) абоненту 100.
Если абонент 100 совершает роуминг, как пояснено выше, то, чтобы аутентифицировать абонента 100, ПОВУП 160 передает сообщение аутентификации, включающее в себя ключ 162 ПОВУП и номер счета 163, а также абонентский ключ 164 для абонента 100, к ПРВУП 170 через сервер 130 локального доступа и сеть 140 Интернет (этап 412). Следует иметь в виду, что если абонент 100, совершающий роуминг, имеет счет для другого ПУИ (не показан), то идентификация этого ПУИ, вместе с номером счета абонента 100, передается в ПРВУП 170. Для того чтобы абонент 100, совершающий роуминг, получил доступ к ПУИ 135 данного ПОВУП 160, оба ПУИ в типовом случае должны иметь договор, позволяющий абоненту получать доступ к любому ПУИ. Кроме того, учетная информация и информация, относящаяся к начислениям оплаты за услуги, также должна быть отражена в этом договоре.
Затем ПРВУП 170 проводит аутентификацию абонента 100 либо непосредственно, либо путем направления запроса в другой ПОВУП (не показан), содержащий номер счета 163 и абонентский ключ 164 для абонента 100, либо путем направления запроса в другой ПРВУП (не показан). После проведения аутентификации ПРВУП 170 возвращает ответное сообщение аутентификации в ПОВУП 160 (этап 413), который, в свою очередь, посылает ответное сообщение аутентификации абоненту 100 (этап 415).
После того как абонент 100 получит ответное сообщение аутентификации, он может передать запрос на представление услуги (этап 420) в ПОВУП 160. Запрос на предоставление услуги может представлять собой, например, запрос доступа к Web-сайту 190 или получение абонентской или сетевой информации. Если ПОВУП 160 определяет, что запрошенная услуга не авторизована, то ПОВУП 160 посылает ответное сообщение авторизации (этап 425), показывающее, что данная услуга не доступна. Однако если запрошенная услуга доступна, то ПОВУП 160 посылает ответное сообщение авторизации (этап 425), указывающее, что данная услуга доступна, и передает сообщение запроса ресурсов (этап 430), включающий запрос услуги, в сервер 130 локального доступа.
Если запрошенная услуга не может быть предоставлена абоненту 100, сервер 130 локального доступа уведомляет абонента 100 путем посылки через ПОВУП 160 сообщения подтверждения выделения ресурса (этап 435), показывающего, что данная услуга не может быть предоставлена для абонента 100. Запрошенная услуга не может быть предоставлена, если, например, сеть занята, или если услуга не доступна в текущее время. Однако если запрошенная услуга может быть предоставлена абоненту 100, то сообщения подтверждения выделения ресурса (этап 435) показывает, что данная услуга доступна. После этого абонент 100 может провести сеанс связи в сети Интернет (этап 440), например, путем считывания информации с Web-сайта или путем предоставления информации на Web-сайт в сети Интернет. Предпочтительно, вся информация, передаваемая между абонентом 100 и сервером 130 локального доступа, может быть зашифрована с использованием абонентского ключа 164 и ключа 162 ПОВУП, что предотвращает неавторизованный доступ к этой информации.
В процессе осуществления сеанса связи в сети Интернет (этап 440) ПОВУП 160 регистрирует в регистрационном файле 166 всю информацию 167 о сеансе связи в сети Интернет, такую как время начала, время завершения и запрашиваемая услуга. С периодическими интервалами ПРВУП 170 может передавать сообщение запроса учетной информации (этап 445) к ПОВУП 160, в котором запрашивается регистрационный файл 166 для всех сеансов связи в сети Интернет, которые были проведены с момента передачи предыдущего сообщения запроса учетной информации. В ответ ПОВУП 160 передает регистрационный файл (этап 450), который включает в себя записи всех сеансов связи в сети Интернет, завершенных до приема данного сообщения запроса учетной информации, в ПРВУП 170. Как вариант, по завершении сеанса связи в сети Интернет, ПОВУП 160 может считать регистрационный файл 166 и переслать этот регистрационный файл 166 в ПРВУП 170 (этап 450), не ожидая получения сообщения запроса учетной информации (этап 445). Следует иметь в виду, что регистрационный файл может быть зашифрован для передачи от ПОВУП 160 к ПРВУП 170 с использованием ключа 162 ПОВУП.
Специалистам в данной области техники должно быть ясно, что новые принципы, описанные в настоящей заявке, могут быть модифицированы и видоизменены в широком диапазоне применений. Соответственно, объем заявленной сущности изобретения не должен ограничиваться никакими из приведенных для примера вариантами осуществления, а должен определяться пунктами формулы изобретения.

Claims (33)

1. Пункт обеспечения выполнения установленных правил провайдера услуг сети Интернет, расположенный в абонентских помещениях, связанных по меньшей мере с одним абонентом, который использует упомянутого провайдера услуг сети Интернет для получения доступа к сети Интернет, при этом упомянутый пункт обеспечения выполнения установленных правил содержит средство для передачи и приема данных, передаваемых между упомянутым пунктом обеспечения выполнения установленных правил и узлом провайдера сети Интернет, память для хранения абонентского ключа для упомянутого по меньшей мере одного абонента, причем абонентский ключ используется для аутентификации упомянутого по меньшей мере одного абонента, и ключ пункта обеспечения выполнения установленных правил, предназначенный для аутентификации упомянутого пункта обеспечения выполнения установленных правил для узла провайдера услуг сети Интернет.
2. Пункт обеспечения выполнения установленных правил по п.1, отличающийся тем, что дополнительно содержит базу данных авторизации для хранения информации авторизации, связанной с упомянутым по меньшей мере одним абонентом.
3. Пункт обеспечения выполнения установленных правил по п.1, отличающийся тем, что дополнительно содержит регистрационный файл для записи информации сеанса связи, относящейся к сеансу связи в сети Интернет, инициированному упомянутым по меньшей мере одним абонентом.
4. Пункт обеспечения выполнения установленных правил по п.1, отличающийся тем, что абонентский ключ используется для шифрования информации, передаваемой между пунктом обеспечения выполнения установленных правил и упомянутым по меньшей мере одним абонентом.
5. Пункт обеспечения выполнения установленных правил по п.1, отличающийся тем, что ключ пункта обеспечения выполнения установленных правил используется для шифрования информации, передаваемой между пунктом обеспечения выполнения установленных правил и упомянутым узлом.
6. Пункт обеспечения выполнения установленных правил по п.1, отличающийся тем, что абонентские помещения включают в себя локальную сеть, причем пункт обеспечения выполнения установленных правил представляет собой сервер, соединенный с локальной сетью.
7. Пункт обеспечения выполнения установленных правил по п.1, отличающийся тем, что абонентские помещения включают в себя терминал, связанный с упомянутым по меньшей мере одним абонентом.
8. Телекоммуникационная система для проведения сеанса связи сети Интернет по меньшей мере одним абонентом, использующим провайдера услуг сети Интернет, содержащая пункт обеспечения выполнения установленных правил провайдера услуг сети Интернет, расположенный в абонентских помещениях, связанных по меньшей мере с одним абонентом, причем пункт обеспечения выполнения установленных правил предназначен для приема абонентского ключа от упомянутого по меньшей мере одного абонента, когда упомянутый по меньшей мере один абонент инициирует сеанс связи в сети Интернет, причем абонентский ключ используется для аутентификации упомянутого по меньшей мере одного абонента, и узел доступа провайдера услуг сети Интернет, расположенный вне абонентских помещений, предназначенный для приема ключа пункта обеспечения выполнения установленных правил от пункта обеспечения выполнения установленных правил для аутентификации пункта обеспечения выполнения установленных правил, причем упомянутый узел доступа обеспечивает возможность упомянутому по меньшей мере одному абоненту проводить сеанс связи в сети Интернет после аутентификации пункта обеспечения выполнения установленных правил.
9. Телекоммуникационная система по п.8, отличающаяся тем, что пункт обеспечения выполнения установленных правил содержит память для сохранения сохраняемого абонентского ключа для упомянутого по меньшей мере одного абонента, причем сохраненный абонентский ключ сравнивается с полученным абонентским ключом для аутентификации упомянутого по меньшей мере одного абонента.
10. Телекоммуникационная система по п.8, отличающаяся тем, что пункт обеспечения выполнения установленных правил содержит базу данных авторизации для хранения информации авторизации, связанной с упомянутым по меньшей мере одним абонентом.
11. Телекоммуникационная система по п.10, отличающаяся тем, что пункт обеспечения выполнения установленных правил принимает запрос на предоставление услуги от упомянутого по меньшей мере одного абонента и обращается к базе данных авторизации для определения того, является ли запрошенная услуга авторизованной, с использованием информации авторизации, причем сеанс связи в сети Интернет проводится, если запрошенная услуга авторизована.
12. Телекоммуникационная система по п.8, отличающаяся тем, что пункт обеспечения выполнения установленных правил содержит регистрационный файл для записи информации сеанса связи, относящейся к сеансу связи в сети Интернет.
13. Телекоммуникационная система по п.12, отличающаяся тем, что информация сеанса связи содержит время начала, время завершения и по меньшей мере одну запрошенную услугу.
14. Телекоммуникационная система по п.8, отличающаяся тем, что абонентский ключ используется для шифрования информации, передаваемой между пунктом обеспечения выполнения установленных правил и упомянутым по меньшей мере одним абонентом в течение сеанса связи в сети Интернет.
15. Телекоммуникационная система по п.8, отличающаяся тем, что ключ пункта обеспечения выполнения установленных правил используется для шифрования информации, передаваемой между пунктом обеспечения выполнения установленных правил и упомянутым узлом в течение сеанса связи в сети Интернет.
16. Телекоммуникационная система по п.8, отличающаяся тем, что абонентские помещения включают в себя локальную сеть, причем пункт обеспечения выполнения установленных правил представляет собой сервер, соединенный с локальной сетью.
17. Телекоммуникационная система по п.8, отличающаяся тем, что абонентские помещения включают в себя терминал, связанный с упомянутым по меньшей мере одним абонентом.
18. Телекоммуникационная система по п.8, отличающаяся тем, что дополнительно содержит пункт принятия решения для выполнения установленных правил провайдера услуг сети Интернет, связанный с сетью Интернет и доступный для пункта обеспечения выполнения установленных правил через узел доступа.
19. Телекоммуникационная система по п.18, отличающаяся тем, что пункт обеспечения выполнения установленных правил передает ключ пункта обеспечения выполнения установленных правил в пункт принятия решения для выполнения установленных правил для аутентификации пункта обеспечения выполнения установленных правил.
20. Телекоммуникационная система по п.18, отличающаяся тем, что пункт обеспечения выполнения установленных правил передает абонентский ключ в пункт принятия решения для выполнения установленных правил для аутентификации упомянутого по меньшей мере одного абонента, когда упомянутый по меньшей мере один абонент посещает абонентские помещения.
21. Телекоммуникационная система по п.18, отличающаяся тем, что пункт обеспечения выполнения установленных правил передает информацию сеанса связи, относящуюся к сеансу связи в сети Интернет, в пункт принятия решения для выполнения установленных правил после завершения упомянутого сеанса связи в сети Интернет.
22. Телекоммуникационная система по п.21, отличающаяся тем, что информация сеанса связи шифруется с использованием ключа пункта обеспечения выполнения установленных правил, причем зашифрованная информация сеанса связи передается к пункту принятия решения для выполнения установленных правил.
23. Способ проведения сеанса связи в сети Интернет с использованием провайдера услуг сети Интернет, включающий этапы приема абонентского ключа в пункте обеспечения выполнения установленных правил провайдера услуг сети Интернет, расположенном в абонентских помещениях, связанных по меньшей мере с одним абонентом, от упомянутого по меньшей мере одного абонента, аутентификации упомянутого по меньшей мере одного абонента пунктом обеспечения выполнения установленных правил с использованием полученного абонентского ключа и после проведения этапа аутентификации, участия упомянутым по меньшей мере одним абонентом в сеансе связи в сети Интернет через пункт обеспечения выполнения установленных правил.
24. Способ по п.23, отличающийся тем, что дополнительно включает этапы передачи ключа пункта обеспечения выполнения установленных правил от пункта обеспечения выполнения установленных правил в узел доступа провайдера услуг сети Интернет, расположенный вне абонентских помещений, и аутентификации узлом доступа пункта обеспечения выполнения установленных правил на основе ключа пункта обеспечения выполнения установленных правил, причем упомянутый этап участия выполняется после этапа аутентификации пункта обеспечения выполнения установленных правил.
25. Способ по п.24, отличающийся тем, что дополнительно включает этапы шифрования информации, передаваемой между пунктом обеспечения выполнения установленных правил и узлом доступа в течение сеанса связи в сети Интернет с использованием ключа пункта обеспечения выполнения установленных правил.
26. Способ по п.23, отличающийся тем, что этап аутентификации упомянутого по меньшей мере одного абонента дополнительно включает этапы сохранения в пункте обеспечения выполнения установленных правил сохраняемого абонентского ключа для упомянутого по меньшей мере одного абонента и сравнения сохраненного абонентского ключа с упомянутым принятым абонентским ключом для аутентификации упомянутого по меньшей мере одного абонента.
27. Способ по п.23, отличающийся тем, что дополнительно включает этапы сохранения в пункте обеспечения выполнения установленных правил информации авторизации, связанной с упомянутым по меньшей мере одним абонентом, приема в пункте обеспечения выполнения установленных правил запроса на предоставление услуги от упомянутого по меньшей мере одного абонента и определения пунктом обеспечения выполнения установленных правил, авторизована ли запрашиваемая услуга, на основе информации авторизации, и если она авторизована, то указания на то, что сеанс связи в сети Интернет может проводиться.
28. Способ по п.23, отличающийся тем, что дополнительно включает этап записи в течение сеанса связи в сети Интернет в регистрационном файле в пункте обеспечения выполнения установленных правил информации сеанса связи, относящейся к упомянутому сеансу связи в сети Интернет.
29. Способ по п.28, отличающийся тем, что дополнительно включает этап передачи после завершения сеанса связи в сети Интернет информации сеанса связи от пункта обеспечения выполнения установленных правил к пункту принятия решения о выполнении установленных правил провайдера услуг сети Интернет, связанному с сетью Интернет и размещенному вне абонентских помещений.
30. Способ по п.29, отличающийся тем, что этап передачи информации сеанса связи дополнительно включает этап шифрования информации сеанса связи с использованием ключа пункта обеспечения выполнения установленных правил.
31. Способ по п.29, отличающийся тем, что дополнительно включает этап передачи ключа пункта обеспечения выполнения установленных правил от пункта обеспечения выполнения установленных правил к пункту принятия решения о выполнении установленных правил и аутентификации пункта обеспечения выполнения установленных правил с использованием ключа пункта обеспечения выполнения установленных правил.
32. Способ по п.31, отличающийся тем, что упомянутый первым этап аутентификации дополнительно включает этап передачи абонентского ключа от пункта обеспечения выполнения установленных правил к пункту принятия решения о выполнении установленных правил для аутентификации упомянутого по меньшей мере одного абонента, когда упомянутый по меньшей мере один абонент посещает абонентские помещения.
33. Способ по п.23, отличающийся тем, что дополнительно включает этап шифрования информации, передаваемой между пунктом обеспечения выполнения установленных правил и упомянутым по меньшей мере одним абонентом в течение сеанса связи в сети Интернет с использованием абонентского ключа.
RU2002103720/09A 1999-07-15 2000-07-11 Система и способ для локального обеспечения выполнения установленных правил для провайдеров услуг сети интернет RU2253187C2 (ru)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/354,418 1999-07-15
US09/354,418 US7409704B1 (en) 1999-07-15 1999-07-15 System and method for local policy enforcement for internet service providers

Publications (2)

Publication Number Publication Date
RU2002103720A RU2002103720A (ru) 2003-09-10
RU2253187C2 true RU2253187C2 (ru) 2005-05-27

Family

ID=23393269

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2002103720/09A RU2253187C2 (ru) 1999-07-15 2000-07-11 Система и способ для локального обеспечения выполнения установленных правил для провайдеров услуг сети интернет

Country Status (8)

Country Link
US (1) US7409704B1 (ru)
EP (2) EP2267974A1 (ru)
CN (1) CN1169330C (ru)
AU (1) AU770479B2 (ru)
CA (1) CA2379677C (ru)
MX (1) MXPA01013117A (ru)
RU (1) RU2253187C2 (ru)
WO (1) WO2001006733A1 (ru)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8589975B2 (en) * 1998-08-21 2013-11-19 United Video Properties, Inc. Electronic program guide with advance notification
US20030041268A1 (en) * 2000-10-18 2003-02-27 Noriaki Hashimoto Method and system for preventing unauthorized access to the internet
US7739728B1 (en) * 2005-05-20 2010-06-15 Avaya Inc. End-to-end IP security
US7739724B2 (en) * 2005-06-30 2010-06-15 Intel Corporation Techniques for authenticated posture reporting and associated enforcement of network access
CN101018190A (zh) * 2006-02-09 2007-08-15 华为技术有限公司 一种控制接入网上行流量的方法和系统
US20080184334A1 (en) * 2007-01-30 2008-07-31 Sap Ag Sealing electronic content
US9584625B2 (en) * 2011-07-08 2017-02-28 Raven Industries, Inc. Web based system using events and pushed web content to interact with remote users for notifications and data collections
US9026784B2 (en) 2012-01-26 2015-05-05 Mcafee, Inc. System and method for innovative management of transport layer security session tickets in a network environment
US10063593B2 (en) * 2015-12-29 2018-08-28 International Business Machines Corporation Propagating fraud awareness to hosted applications

Family Cites Families (32)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5091942A (en) * 1990-07-23 1992-02-25 Ericsson Ge Mobile Communications Holding, Inc. Authentication system for digital cellular communications
US5299263A (en) * 1993-03-04 1994-03-29 Bell Communications Research, Inc. Two-way public key authentication and key agreement for low-cost terminals
US5544322A (en) * 1994-05-09 1996-08-06 International Business Machines Corporation System and method for policy-based inter-realm authentication within a distributed processing system
DE69533328T2 (de) 1994-08-30 2005-02-10 Kokusai Denshin Denwa Co., Ltd. Beglaubigungseinrichtung
US5864683A (en) 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
FR2732653B1 (fr) * 1995-04-10 1997-06-20 Treves Ets Dispositif de montage de la tablette arriere d'un vehicule automobile
CA2176775C (en) 1995-06-06 1999-08-03 Brenda Sue Baker System and method for database access administration
DE19521484A1 (de) * 1995-06-13 1996-12-19 Deutsche Telekom Ag Verfahren und Vorrichtung zur Authentisierung von Teilnehmern gegenüber digitalen Vermittlungsstellen
US5599244A (en) * 1995-08-14 1997-02-04 Ethington; Russell A. Automatic transmission shifter for velocipedes
JPH0981519A (ja) 1995-09-08 1997-03-28 Kiyadeitsukusu:Kk ネットワーク上の認証方法
US5815665A (en) 1996-04-03 1998-09-29 Microsoft Corporation System and method for providing trusted brokering services over a distributed network
US5881234A (en) 1996-04-26 1999-03-09 Schwob; Pierre R. Method and system to provide internet access to users via non-home service providers
US5898780A (en) 1996-05-21 1999-04-27 Gric Communications, Inc. Method and apparatus for authorizing remote internet access
US5970477A (en) 1996-07-15 1999-10-19 Bellsouth Intellectual Property Management Corporation Method and system for allocating costs in a distributed computing network
US5841864A (en) 1996-08-05 1998-11-24 Motorola Inc. Apparatus and method for authentication and session key exchange in a communication system
US5828833A (en) 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US5889958A (en) 1996-12-20 1999-03-30 Livingston Enterprises, Inc. Network access control system and process
US6061346A (en) 1997-01-17 2000-05-09 Telefonaktiebolaget Lm Ericsson (Publ) Secure access method, and associated apparatus, for accessing a private IP network
US6047072A (en) * 1997-10-23 2000-04-04 Signals, Inc. Method for secure key distribution over a nonsecure communications network
US6580906B2 (en) * 1997-12-10 2003-06-17 Intel Corporation Authentication and security in wireless communication system
US6208627B1 (en) * 1997-12-10 2001-03-27 Xircom, Inc. Signaling and protocol for communication system with wireless trunk
US6286052B1 (en) * 1998-12-04 2001-09-04 Cisco Technology, Inc. Method and apparatus for identifying network data traffic flows and for applying quality of service treatments to the flows
US6463470B1 (en) * 1998-10-26 2002-10-08 Cisco Technology, Inc. Method and apparatus of storing policies for policy-based management of quality of service treatments of network data traffic flows
US6298383B1 (en) * 1999-01-04 2001-10-02 Cisco Technology, Inc. Integration of authentication authorization and accounting service and proxy service
EP1117265A1 (en) * 2000-01-15 2001-07-18 Telefonaktiebolaget Lm Ericsson Method and apparatus for global roaming
US6854014B1 (en) * 2000-11-07 2005-02-08 Nortel Networks Limited System and method for accounting management in an IP centric distributed network
US20040039803A1 (en) * 2002-08-21 2004-02-26 Eddie Law Unified policy-based management system
US20040054766A1 (en) * 2002-09-16 2004-03-18 Vicente John B. Wireless resource control system
DE10326726B4 (de) * 2003-06-10 2007-07-26 Siemens Ag Verfahren zur Datenverkehrsseparierung in einem paketorientiert arbeitenden Mobilfunknetz
US7594256B2 (en) * 2003-06-26 2009-09-22 Sun Microsystems, Inc. Remote interface for policy decisions governing access control
US8661521B2 (en) * 2005-08-30 2014-02-25 Intel Corporation Controlling a network connection using dual-switching
US8621549B2 (en) * 2005-12-29 2013-12-31 Nextlabs, Inc. Enforcing control policies in an information management system

Also Published As

Publication number Publication date
CA2379677C (en) 2011-04-05
MXPA01013117A (es) 2002-06-04
AU6329900A (en) 2001-02-05
CN1361968A (zh) 2002-07-31
EP1195037B1 (en) 2018-01-24
CA2379677A1 (en) 2001-01-25
CN1169330C (zh) 2004-09-29
AU770479B2 (en) 2004-02-19
WO2001006733A1 (en) 2001-01-25
EP2267974A1 (en) 2010-12-29
US7409704B1 (en) 2008-08-05
EP1195037A1 (en) 2002-04-10

Similar Documents

Publication Publication Date Title
US8315593B2 (en) Method for billing in a telecommunications network
US7054843B2 (en) Method and apparatus in a telecommunications system
JP3776705B2 (ja) 通信システム、移動端末装置、ゲートウェイ装置及び通信制御方法
CA2530891C (en) Apparatus and method for a single sign-on authentication through a non-trusted access network
JP4319284B2 (ja) インターネット加入者プロフィール
JP2004505383A (ja) 分散ネットワーク認証およびアクセス制御用システム
JP2002508121A (ja) 通信システムに関する方法および装置
US20040010713A1 (en) EAP telecommunication protocol extension
US9392033B2 (en) Method and system for securely authorizing VoIP interconnections between anonymous peers of VoIP networks
US7793352B2 (en) Sharing network access capacities across internet service providers
US7099475B2 (en) System and method for password authentication for non-LDAP regions
RU2253187C2 (ru) Система и способ для локального обеспечения выполнения установленных правил для провайдеров услуг сети интернет
RU2002103720A (ru) Система и способ для локального обеспечения выполнения установленных правил для провайдеров услуг сети интернет
EP1320236A1 (en) Access control for network services for authenticating a user via separate link
KR101504895B1 (ko) Byod 서비스에 대한 분리과금 시스템 및 데이터 서비스에 대한 분리과금 방법
CN107800569B (zh) 一种基于ont的vpn快速接入系统和方法
Barceló et al. Adapting a captive portal to enable sms-based micropayment for wireless internet access
WO2003032667A2 (en) Authentication of a wireless device using a personal identification number
CA2358801A1 (en) Authentication and non-repudiation of a subscriber on a public network through redirection
AU2002250388A1 (en) A method for billing in a telecommunications network
KR20050094363A (ko) 지불 및 통신 포털 서비스