TW202224396A - 通訊系統及通訊方法 - Google Patents

通訊系統及通訊方法 Download PDF

Info

Publication number
TW202224396A
TW202224396A TW109142195A TW109142195A TW202224396A TW 202224396 A TW202224396 A TW 202224396A TW 109142195 A TW109142195 A TW 109142195A TW 109142195 A TW109142195 A TW 109142195A TW 202224396 A TW202224396 A TW 202224396A
Authority
TW
Taiwan
Prior art keywords
server
user equipment
virtual
authentication
user
Prior art date
Application number
TW109142195A
Other languages
English (en)
Other versions
TWI755951B (zh
Inventor
林盈達
德泰 張
德 司
李奇育
賴源正
Original Assignee
國立陽明交通大學
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 國立陽明交通大學 filed Critical 國立陽明交通大學
Priority to TW109142195A priority Critical patent/TWI755951B/zh
Application granted granted Critical
Publication of TWI755951B publication Critical patent/TWI755951B/zh
Publication of TW202224396A publication Critical patent/TW202224396A/zh

Links

Images

Abstract

本發明係提供一種通訊系統,用於進行一邊界服務端及一雲端服務端之間的第三方認證。通訊系統包括:第一認證機制執行模組及第二認證機制執行模組,設置於代理伺服器,用於執行第一認證機制及第二認證機制。第一認證機制執行模組包括虛擬歸屬用戶伺服器及虛擬使用者,第二認證機制執行模組包括虛擬使用者設備及虛擬開放式帳戶提供者;其中,當雲端服務端的一帳戶欲使用邊界服務端的服務時,第一認證機制執行模組執行第一認證機制,當邊界服務端的一帳戶欲使用雲端服務端的服務時,第二認證機制執行模組執行第二認證機制。

Description

通訊系統及通訊方法
本發明關於通訊技術領域,特別是通訊之認證技術領域。
隨著通訊技術的發展,雲端(cloud)的通訊服務已廣為人知,且使用率日益增加。然而,雲端通訊的速度通常比不上本地端的電信服務(或稱為邊界(edge)服務),因此當使用者需求高頻寬或低延遲的傳輸品質時,還是需要使用本地端的業者所提供的電訊服務。目前使用者若要使用雲端服務及邊界服務,不僅在雲端服務端必須具備帳戶,在邊界服務端也必須具備帳戶,且必須切換帳戶才能使用兩者的服務,如此會造成不方便。此外,目前雲端服務端與邊界服務端採用不同的通訊協定,因此兩者系統間難以進行溝通。
有鑑於此,本發明提供一種改良的通訊系統及通訊方法,來解決上述的問題。
基於上述目的,本發明提供了一種通訊系統,用於進行邊界服務端及雲端服務端之間的第三方認證。通訊系統包含: 設置於代理伺服器的第一認證機制執行模組,用於執行第一認證機制。第一認證機制執行模組包含虛擬歸屬用戶伺服器(virtual home subscriber server,V HSS)及虛擬使用者 (virtual user,vUSER),其中虛擬歸屬用戶伺服器用於與邊界服務端進行通訊,第一虛擬使用者單元用於與雲端服務端進行通訊。其中,當雲端服務端的帳戶欲使用邊界服務端的服務時,第一認證機制執行模組執行第一認證機制。
此外,本發明另提供一種用於通訊系統的通訊方法,用於進行邊界服務端及雲端服務端之間的第三方認證。通訊方法包含步驟:當雲端服務端的帳戶欲使用邊界服務端的服務時,藉由設置於代理伺服器的第一認證機制執行模組執行第一認證機制,其中第一認證機制執行模組包含虛擬歸屬用戶伺服器及第一虛擬使用者單元,虛擬歸屬用戶伺服器用於與邊界服務端進行通訊,第一虛擬使用者單元用於與雲端服務端進行通訊。
以下將透過多個實施例說明本發明的實施態樣及運作原理。本發明所屬技術領域中具有通常知識者,透過上述實施例可理解本發明的特徵及功效,而可基於本發明的精神,進行組合、修飾、置換或轉用。
本文所指的“連接”一詞係包括直接連接或間接連接等態樣,且並非限定。本文中關於”當…”、”…時”的一詞係表示”當下、之前或之後”,且並非限定。
本文中所使用的序數例如“第一”、 “第二”等之用詞,是用於修飾請求元件,其本身並不意含及代表該請求元件有任何之前的序數,也不代表某一請求元件與另一請求元件的順序、或是製造方法上的順序,該些序數的使用僅用來使具有某命名的一請求元件得以和另一具有相同命名的請求元件能作出清楚區分。
本文記載多個功效(或元件)時,若在多個功效(或元件)之間使用「或」一詞,係表示功效(或元件)可獨立存在,但亦不排除多個功效(或元件)可同時存在的態樣,換言之,只要描述的態樣合理,「或」一詞包含「及」之態樣。
圖1是本發明一實施例的通訊系統1的系統架構圖。如圖1所示,本發明的通訊系統1可透過一代理伺服器2執行一雲端服務端3及一邊界服務端4之間的第三方認證,其目的是讓雲端服務端3的帳戶可直接使用邊界服務端4的服務而無須再於邊界服務端4進行註冊,或者是讓邊界服務端4的帳戶可直接使用雲端服務端3的服務而無須再於雲端服務端3進行註冊。
在本文中,雲端服務端3的帳戶欲使用邊界服務端4的服務的情況定義為「雲端對邊界(cloud-to-edge)」,後續段落將直接以cloud-to-edge稱之。此外,邊界服務端4的帳戶欲使用雲端服務端3的服務的情況定義為「邊界對雲端 (edge-to-cloud)」,後續段落亦將以edge-to-cloud稱之。
此外,雲端服務端3可例如是谷歌(Google)、亞馬遜(Amazon)、T-Mobile等電子商務公司,而雲端服務端3的服務可例如是這些電子商務公司所提供的各種雲端服務,例如基礎設施即服務(infrastructure as a service,IaaS)、軟體即服務(software as a service,SaaS)或平台即服務(platform as a service,PaaS)等,且不限於此。另外,邊界服務端4可例如是本地端的各種電信公司,例如中華電信(Hinet)、遠傳電信(FETnet)、AT&T行動(AT&T mobile)、T行動(T-Mobile)或威訊(Verizon)等,而邊界服務端4的服務是各電信業者所提供的服務,例如第三代合作夥伴計劃(third generation partnership project,以下簡稱3GPP)、第三代行動通訊技(third generation,3G)、第四代行動通訊技術(fourth generation,4G)或第五代行動通訊技術(fifth generation,5G),且不限於此。
在一實施例中,本發明的通訊系統1包含代理伺服器2、雲端服務端3及邊界服務端4,因此通訊系統1可包含代理伺服器2、雲端服務端3及邊界服務端4的硬體設備及至少一部份軟體。在另一實施例中,本發明的通訊系統1可包含代理伺服器2的硬體設備及至少一部份軟體,但僅包含雲端服務端3及邊界服務端4的軟體部分。又在一實施例中,本發明的通訊系統1可僅包含代理伺服器2、雲端服務端3及邊界服務端4的至少一部份軟體,而不包含硬體設備。
首先說明代理伺服器2的細節。代理伺服器2可設置有一第一認證機制執行模組21a及一第二認證機制執行模組21b。在cloud-to-edge的情況下(當雲端服務端3的帳戶透過使用者設備5欲使用邊界服務端4的服務時),第一認證機制執行模組21a執行一第一認證機制,而當第一認證機制完成時,邊界服務端4可對使用者設備5提供服務。在edge-to-cloud的情況下(當邊界服務端4的帳戶透過使用者設備5欲使用雲端服務端3的服務時),第二認證機制執行模組21b執行一第二認證機制,而當第二認證機制完成時,雲端服務端3可對使用者設備5提供服務。需注意的是,「第一認證機制執行模組21a執行第一認證機制」或「第二認證機制執行模組21b執行第二認證機制」包含了第一認證機制或第二認證機制的一部份步驟是由第一認證機制執行模組21a或第二認證機制執行模組21b執行之態樣(非所有步驟都由第一認證機制執行模組21a或第二認證機制執行模組21b執行)。
其中,第一認證機制執行模組21a包含一虛擬歸屬用戶伺服器(virtual home subscriber server,vHSS)211及一第一虛擬使用者(virtual user,vUSER)212。虛擬歸屬用戶伺服器211用於與邊界服務端4進行通訊。虛擬使用者212用於與雲端服務端3進行通訊。虛擬歸屬用戶伺服器211可用於模擬實際歸屬用戶伺服器(home subscriber server,HSS)的功能,例如資料配置、用戶身份管理、儲存用戶狀態等,並可做為3GPP網路中提供帳戶資訊的資料庫,且不限於此。虛擬使用者212可用於模擬實際使用者設備5的功能,因此可使代理伺服器2在雲端服務端3上進行註冊、登入等行為。
第二認證機制執行模組21b包含一虛擬使用者設備(virtual user equipment,vUE)213及一虛擬開放式身分提供者(virtual open identify (openID) provider,vOP)214。虛擬使用者設備213用於與邊界服務端4進行通訊,虛擬開放式身分提供者214用於與雲端服務端3及使用者設備5進行通訊。在一實施例中,虛擬開放式身分提供者214用於執行一開放式身分連結(openID connect,以下簡稱OIDC)之認證機制。
在一實施例中,虛擬歸屬用戶伺服器211、虛擬使用者212、虛擬使用者設備213、虛擬開放式身分提供者214可以是由電腦程式產品(亦即軟體)來實現功能的功能模組,也可以由硬體設備搭配軟體來實現,例如具備微處理器的硬體搭配軟體,且不限於此。因此,在一實施例中,代理伺服器2可包含一微處理器,用於執行電腦程式產品而實現虛擬歸屬用戶伺服器211、虛擬使用者212、虛擬使用者設備213、虛擬開放式身分提供者214的功能。在一實施例中,代理伺服器2可更包含一記憶體,用於儲存電腦程式產品及執行第一認證機制及第二認證機制所需的資料。
接著說明雲端服務端3。在一實施例中,雲端服務端3可包含一雲端資料庫310及一依賴端(relying party,RP)320。在cloud-to-edge的情況下,使用者設備5的一嵌入式用戶身分模組(embedded subscriber identity module,以下簡稱eSIM)是由雲端服務端3提供,因此雲端服務端3可具備用戶的資料,並透過雲端資料庫310儲存用戶資料。依賴端320用於與虛擬開放式身分提供者214執行OIDC之認證機制。在一實施例中,雲端資料庫310可透過記憶體、硬碟等方式實現。在一實施例中,雲端服務端3包含微處理器,而依賴端320可透過微處理器執行電腦程式產品而實現,且不限於此。
接著說明邊界服務端4。在一實施例中,邊界服務端4可包含一移動性管理實體(mobility management entity,MME)410及一歸屬用戶伺服器(home subscriber server,HSS)420。移動性管理實體410用於與虛擬歸屬用戶伺服器211及虛擬使用者設備213進行通訊。移動性管理實體410可用於處理使用者設備5對於核心網路(core network)的存取、支援分配、追蹤、傳呼、漫游、網路資源交遞、管理演進節點B(eNodeB)、協助處理閘道器傳訊、執行保全程序、終端對網路通信期間之處理、及閒置終端位置之管理等行為,且不限於此。歸屬用戶伺服器420的功能則如同前述段落所述。
需注意的是,由於雲端服務端3與邊界服務端4採用的通訊協定不同,因此兩者之間必須透過代理伺服器2做為通訊中介元件。
在一實施例中,在cloud-to-edge的情況下,邊界服務端4與代理伺服器2之間是以例如漫遊(roaming)的方式進行通訊,而漫遊可採取3GPP協定之S6a規範,而3GPP漫遊所需的認證步驟可例如是EPS-AKA,因此可透過虛擬歸屬用戶伺服器211來執行。此外,代理伺服器2與雲端服務端3之間可採取一般網頁登入之認證方式,因此可透過虛擬使用者212來執行。
在一實施例中,在edge-to-cloud的情況下,邊界服務端4與代理伺服器2之間亦是執行EPS-AKA認證,因此可透過虛擬使用者設備214扮演實際使用者設備的角色來進行EPS-AKA認證。此外,代理伺服器2與雲端服務端3之間是採用OIDC的認證方式,因此可透過虛擬開放式身分提供者214做為開放式身分的提供者,並透過雲端服務端3做為依賴端。
接著說明使用者設備5。在一實施例中,使用者設備5可以是各種具備物聯網(Internet of Things,IoT)功能的設備,例如筆記型電腦、平板電腦、桌上型電腦、智慧型手機、各種智慧型攜帶裝置(例如智慧型手錶、手環等類似裝置)、數位相機等,且不限於此。
在一實施例中,當cloud-to-edge時,雲端服務端3可提供使用者設備5各種型態的用戶身分模組,例如eSIM510;為方便說明,後續段落亦以eSIM510來舉例。在一實施例中,當edge-to-cloud時,邊界服務端4可提供使用者設備5各種型態的用戶身分模組,例如eSIM510、通用行動通訊系統用戶身分模組(universal mobile telecommunications system subscriber identity module,USIM)520等;為方便說明,後續段落亦以USIM520來舉例。
此外,在一實施例中,代理伺服器2可設置有一訊息轉換映射表(mapping table)6,其可具備雲端服務端3與邊界服務端4之間的訊息格式之轉換資訊,以實現兩者之間的訊息格式轉換。
藉此,通訊系統1的系統架構已可被理解。接著將說明第一認證機制及第二認證機制的流程。
首先說明第一認證機制,亦即cloud-to-edge情況的認證機制。請同時參考圖1至圖2(B),其中圖2(A)是本發明一實施例的通訊系統執行第一認證機制的訊號傳輸示意圖,圖2(B)是本發明一實施例的通訊方法(第一認證機制)的細部流程圖。
如圖2(A)及圖2(B)所示,第一認證機制可包含一第一認證請求階段(步驟S201~S204)、一第一請求回應階段(步驟S205~S208)及一第一認證確認階段(步驟S209~S214)。
首先說明第一認證請求階段:
首先步驟S201被執行,使用者設備5對邊界服務端4發起服務請求。服務請求可例如是連接請求(attach request),亦即使用者設備5欲連接至邊界服務端4的核心網路。在一實施例中,服務請求(attach request)包含了使用者設備5的一國際移動用戶識別碼(international mobile subscriber identity,IMSI)。在一實施例中,國際移動用戶識別碼可由雲端服務端3提供。
之後步驟S202被執行,邊界服務端4的移動性管理實體410取得國際移動用戶識別碼,並傳送一認證請求(authentication request)至代理伺服器2,其中認證請求包含國際移動用戶識別碼。
之後步驟S203被執行,代理伺服器2的虛擬歸屬用戶伺服器211取得認證請求,並將認證請求傳遞至虛擬使用者212,而虛擬使用者212根據認證請求而傳送一登入請求(login request)至雲端服務端3。在一實施例中,登入請求是基於一般網站登入方式所產生的請求訊息,其可包含登入帳號(ID)、登入密碼(pwd)及國際移動用戶識別碼,且不限於此。
之後步驟S204被執行,雲端服務端3校驗(verify)國際移動用戶識別碼,亦即雲端服務端3可將國際移動用戶識別碼與雲端資料庫310中的資料進行匹配,以確認使用者設備5的帳戶是否為雲端服務端3的帳戶。由於使用者設備5的eSIM510是由雲端服務端3提供,因此雲端服務端3的資料庫310中可儲存有使用者設備5的國際移動用戶識別碼。而當國際移動用戶識別碼與雲端資料庫310中的資料匹配時(亦即確認使用者設備5為合法時),雲端伺服器3對虛擬使用者212發出回應,反之則停止運作。在一實施例中,雲端服務端3亦可進一步驗證登入帳號(ID)及登入密碼(pwd),但並非限定。藉此,第一認證請求階段可完成。
接著說明第一請求回應階段:
步驟S205被執行,當當國際移動用戶識別碼與雲端資料庫310中的資料匹配時,雲端服務端3可產生一認證聲明(claim)做為回應,並將認證聲明傳送至虛擬使用者212,其中認證聲明包含一認證向量(authentication vector,AV),其中認證向量包含確認使用者設備5的eSIM510的合法性的資訊。在一實施例中,驗證向量可包含一期望回應(XRES)、一認證值(AUTN)、一亂數(RAND)及一通信期金鑰(Kasme),但不限於此。
之後步驟S206被執行,虛擬使用者212將包含認證向量的認證請求回應(authentication response)傳遞至虛擬歸屬用戶伺服器211,因此虛擬歸屬用戶伺服器211、移動性管理實體410及使用者設備5可透過認證向量進行EPS-AKA認證。一般而言,EPS-AKA認證是由核心網路端(例如邊界服務端4)的實體歸屬用戶伺服器提供認證向量,並透過移動性管理實體410對使用者設備5提出認證挑戰(challenge),而使用者設備5透過eSIM510計算出挑戰回應(RES)來達成認證,然而由於在cloud-to-edge情況下,僅有雲端服務端4具備使用者設備5及帳戶的相關資料,因此cloud-to-edge的EPS-AKA認證必須透過代理伺服器2的虛擬歸屬用戶伺服器211來扮演實體歸屬用戶伺服器的角色,並以雲端服務端4提供的認證向量做為EPS-AKA認證的認證向量。
之後步驟S207被執行,虛擬歸屬用戶伺服器211傳送包含認證向量的認證請求回應至移動性管理實體410,移動性管理實體410保留期望回應(XRES)及通信期金鑰(Kasme),並將認證值(AUTN)及亂數(RAND)做為認證挑戰而傳送至使用者設備5。在一實施例中,認證值(AUTN)及亂數(RAND)可經由通信期金鑰(Kasme)而形成加密訊息,而正確的使用者設備5亦會具備通信期金鑰(Kasme),因此可進行解鎖。
之後步驟S208被執行,使用者設備5的eSIM510可根據認證值(AUTN)確認欲連接的核心網路的合法性,並根據亂數(RAND)計算出挑戰回應(RES)。藉此,第一請求回應階段可被完成。
接著說明第一認證確認階段:
首先,步驟S209被執行,使用者設備5將計算出的挑戰回應(RES)回傳至移動性管理實體410。之後步驟S210被執行,移動性管理實體410將挑戰回應(RES)與期望回應(XRES)進行比較。假如挑戰回應(RES)與期望回應(XRES)吻合,則步驟S211被執行,移動性管理實體410傳送認證完成訊息至使用者設備5,並使邊界服務端4開始對使用者設備5提供服務。反之,則停止運作。藉此,使用者設備5及邊界服務端4之間的雙向認證(例如核心網路合法性的認證及使用者設備5的認證挑戰)可完成。
此外,為了使雲端服務端3亦得知使用者設備5已完成認證,步驟S212至S214可被執行。在步驟S212至S214中,移動性管理實體410發送一更新訊息至代理伺服器2,而虛擬歸屬用戶伺服器211及虛擬使用者212將更新訊息傳送至雲端服務端3。在一實施例中,此更新訊息不僅包含使用者設備5已被認證的資訊,亦包含移動性管理實體410的資訊,因此雲端服務端3可記錄移動性管理實體410的資訊,藉此只要第一認證機制被完成過一次,雲端服務端3與邊界服務端4可形成一聯盟(federation),未來兩者之間可無須再執行第一認證機制,亦即邊界服務端4與雲端服務端3已形成跨界聯盟。
藉此,第一認證機制已可被理解。
接著說明第二認證機制,亦即edge-to-cloud情況的認證機制。請同時參考圖1至圖3(B),其中圖3(A)是本發明一實施例的通訊系統執行第二認證機制的訊號傳輸示意圖,圖3(B)是本發明一實施例的通訊方法(第二認證機制)的細部流程圖。
如圖3(A)及圖3(B)所示,第二認證機制亦可包含一第二認證請求階段(步驟S301~S305)、一第二請求回應階段(步驟S306~S312)及一第二認證確認階段(步驟S313~S317)。
首先說明第二認證請求階段:
首先步驟S301被執行,使用者設備5對雲端服務端4發起服務請求,並可自行選擇第三方認證的服務端,例如邊界服務端4。而雲端服務端4可將使用者設備5導向至邊界服務端4,以進行通訊。
之後步驟S302被執行,使用者設備5傳送認證請求至代理伺服器3的虛擬開放式帳戶提供者214,其中認證請求包含國際移動用戶識別碼。在一實施例中,國際移動用戶識別碼是從使用者設備5的USIM520中取出。
之後步驟S303及步驟S304被執行,虛擬開放式帳戶提供者214取得認證請求,並將認證請求傳遞至虛擬使用者設備213,虛擬使用者設備213將認證請求傳送至邊界服務端4的移動性管理實體410。
之後步驟S305被執行,歸屬用戶伺服器420自移動性管理實體410取得國際移動用戶識別碼。由於在edge-to-cloud的情況下,使用者設備5的USIM520是由邊界服務端4提供,因此歸屬用戶伺服器420的資料庫可具備使用者設備5的國際移動用戶識別碼的資料,因此可藉由比對國際移動用戶識別碼與資料庫的資料是否匹配來校驗國際移動用戶識別碼的合法性。當兩者匹配(使用者設備5合法)時,通訊系統1進入第二請求回應階段;反之則停止運作。
接著說明第二請求回應階段:
首先步驟S306被執行,當國際移動用戶識別碼與資料庫的資料匹配時,歸屬用戶伺服器420產生認證聲明做為認證請求結果,並將認證請求結果傳遞至移動性管理實體410,其中認證聲明亦包含認證向量,且認證向量亦包含認證值(AUTN)、亂數(RAND)、期望回應(XRES)及通信期金鑰(Kasme),但不限於此。
之後步驟S307被執行,移動性管理實體410保留期望回應(XRES),並將認證值(AUTN)及亂數(RAND)做為認證挑戰而傳送至代理伺服器3的虛擬使用者設備213。在一實施例中,歸屬用戶伺服器420及移動性管理實體410可將虛擬使用者設備213視為EPS-AKA認證的使用者設備,因此移動性管理實體410可對虛擬使用者設備213提出認證挑戰,而虛擬使用者設備213則會將認證挑戰轉發給使用者設備5來進行處理,並自使用者設備5處取得挑戰回應。此外,在一實施例中,認證值(AUTN)及亂數(RAND)可透過通信期金鑰(Kasme)形成加密訊息,且加密訊息可經由通信期金鑰(Kasme)解鎖。
之後步驟S308及S309被執行,代理伺服器3透過其虛擬使用者設備213及虛擬開放式帳戶提供者214將認證值(AUTN)及亂數(RAND)傳送至使用者設備5,而使用者設備5透過認證值(AUTN)確認核心網路(邊界服務端4)的合法性,並透過亂數(RAND)計算出挑戰回應(RES)。
之後步驟S310至S312被執行,使用者設備5將挑戰回應(RES)回傳至代理伺服器3,代理伺服器3進而將挑戰回應(RES)傳送至移動性管理實體410。藉此,第二請求回應階段可完成。
接著說明第二認證確認階段:
首先步驟S313被執行,移動性管理實體410比較挑戰回應(RES)與期望回應(XRES)。
當兩者匹配時,步驟S314及S315被執行,移動性管理實體410將認證完成訊息傳送至虛擬使用者設備213,而虛擬使用者設備213將認證完成訊息傳遞至虛擬開放式帳戶提供者214,虛擬開放式帳戶提供者214根據已確認訊息傳送一權證(token)至使用者設備5。
之後步驟S316及S317被執行,使用者設備5根據權證傳送一驗證碼至雲端服務端3,而雲端服務端3可向虛擬開放式帳戶提供者214校驗驗證碼是否正確,當正確時即可開始對使用者設備5提供服務。此外,雲端服務端3亦可更新移動性管理實體410的資訊,以供日後使用,藉此第二認證機制可無須再執行,亦即雲端服務端3與邊界服務端4已形成跨界聯盟。
藉此,第二認證機制的運作流程已可被理解。
本發明的通訊方法亦可被延伸應用。圖4是本發明另一實施例的通訊方法的細部流程圖,並請同時參考圖1至圖3(B)。需注意的是,雖圖4實施例是以cloud-to-edge的情況來舉例,但該領域技術人士可依此推知edge-to-cloud的情況時的實施方式。
如圖4所示,首先步驟S401被執行,當雲端服務端3的帳戶使用邊界服務端4所提供的服務時,使用者設備5可將累積的流量資訊傳送至雲端服務端3。之後步驟S402被執行,雲端服務端3可將流量資訊傳送至代理伺服器2。之後步驟S403被執行,代理伺服器2可將流量資訊轉換為邊界服務端4所能辨識的訊息格式(例如3GPP協定),並傳送至邊界服務端4。之後步驟S404被執行,邊界服務端4根據流量資訊產生收費資訊,並回傳收費資訊至代理伺服器2。之後步驟S405被執行,代理伺服器2將收費資訊轉換成雲端服務端3所能辨識的訊息格式(例如OIDC協定),並傳送至雲端服務端3。之後步驟S406被執行,使用者設備5自雲端服務端3取得邊界服務端4的收費資訊。
由此可知,雲端服務端3與邊界服務端4之間的跨界收費可透過代理伺服器2完成。
本發明的通訊系統亦可進一步改良。圖5(A)是本發明另一實施例的通訊系統1的細部流程圖,並請同時參考圖1至圖4。
如圖5(A)所示,通訊系統1可更包含一第二代理伺服器7,其中第二代理伺服器7與代理伺服器3具備相同配置。第二代理伺服器7可設置於雲端服務端3與一第二邊界服務端8之間,並透過執行第一認證機制及第二認證機制而做為雲端服務端3與一第二邊界服務端8之間的通訊中介。
在本實施例中,當邊界服務端4的帳戶欲使用第二邊界服務端8的服務時,只要雲端服務端3與邊界服務端4之間已形成跨界聯盟,且雲端伺服端3與第二邊界服務端8之間亦已透過第二代理伺服器7而形成跨界聯盟,則邊界服務端4的帳戶即可透過代理伺服器2、雲端服務端3、第二代理伺服器7而與第二邊界服務端8進行雙向認證及訊息交流。本發明不限於此。
圖5(B)是本發明又另一實施例的通訊系統1的細部流程圖,並請同時參考圖1至圖3(B)及圖5(A)。
如圖5(B)所示,通訊系統1可更包含一第三代理伺服器9,其中第三代理伺服器9與代理伺服器3具備相同配置,並可設置於邊界服務端4與一第二雲端服務端10之間。第三代理伺服器9可透過執行第一認證機制及第二認證機制而做為第二雲端服務端10與邊界服務端4之間的通訊中介。
在本實施例中,當雲端服務端3的帳戶欲使用第二雲端服務端10的服務時,只要邊界服務端4與雲端服務端3已形成跨界聯盟,且邊界服務端4亦與第二雲端服務端10之間亦已形成跨界聯盟,則雲端服務端3的帳戶即可透過代理伺服器2、邊界服務端4、第三代理伺服器9而與第二雲端服務端10進行雙向認證及訊息交流。
藉此,本發明的通訊系統1可透過代理伺服器的設置而持續與不同通訊系統建立聯盟關係,使得單一帳號可使用的跨界服務持續增加。
透過本發明的通訊系統及通訊方法,使用者只需具備單一帳戶,即可通用於雲端服務端及邊界服務端,相較於現有技術,本發明的通訊系統可具備十足便利性。此外,本發明的通訊方法可具備完整的認證機制,具備十足安全性。
上述實施例僅係為了方便說明而舉例而已,本發明所主張之權利範圍自應以申請專利範圍所述為準,而非僅限於上述實施例。
1:通訊系統 2:代理伺服器 3:雲端服務端 4:邊界服務端 5:使用者設備 6:訊息轉換映射表 21a:第一認證機制執行模組 21b:第二認證機制執行模組 211:虛擬歸屬用戶伺服器 212:虛擬使用者 213:虛擬使用者設備 214:虛擬開放式帳戶提供者 310:雲端資料庫 320:依賴端 410:移動性管理實體 420:歸屬用戶伺服器 510:嵌入式用戶身分模組 520:通用行動通訊系統用戶身分模組 7:第二代理伺服器 8:第二邊界服務端 9:第三代理伺服器 10:第二雲端服務端 S201~S214:步驟 S301~S317:步驟
圖1是本發明一實施例的通訊系統的系統架構圖。 圖2(A)是本發明一實施例的通訊系統執行第一認證機制的訊號傳輸示意圖。 圖2(B)是本發明一實施例的通訊方法(第一認證機制)的細部流程圖。 圖3(A)為本發明一實施例的通訊系統執行第二認證機制的傳輸示意圖。 圖3(B)是本發明一實施例的通訊方法(第二認證機制)的細部流程圖。 圖4是本發明另一實施例的通訊方法的細部流程圖。 圖5(A)為本發明另一實施例的通訊系統的系統架構圖。 圖5(B)為本發明又另一實施例的通訊系統的系統架構圖。
1:通訊系統
2:代理伺服器
3:雲端服務端
4:邊界服務端
5:使用者設備
6:訊息轉換映射表
21a:第一認證機制執行模組
21b:第二認證機制執行模組
211:虛擬歸屬用戶伺服器
212:虛擬使用者
213:虛擬使用者設備
214:虛擬開放式帳戶提供者
310:雲端資料庫
320:依賴端
410:移動性管理實體
420:歸屬用戶伺服器
510:嵌入式用戶身分模組
520:通用行動通訊系統用戶身分模組

Claims (10)

  1. 一種通訊系統(1),用於進行一邊界服務端(4)及一雲端服務端(3)之間的第三方認證,包含: 一第一認證機制執行模組(21a),設置於一代理伺服器(2),用於執行一第一認證機制,並包含一虛擬歸屬用戶伺服器(virtual home subscriber server,V HSS)(211)及一虛擬使用者(virtual user equipment,vUSER)(212),其中該虛擬歸屬用戶伺服器(211)用於與該邊界服務端(4)進行通訊,該虛擬使用者(212)用於與該雲端服務端(3)進行通訊; 其中,當該雲端服務端(3)的一帳戶欲使用該邊界服務端(4)的服務時,該第一認證機制執行模組(21a)執行該第一認證機制。
  2. 如請求項1所述的通訊系統(1),其中更包含一第二認證機制執行模組(21b),設置於該代理伺服器(2),用於執行一第二認證機制,並包含一虛擬使用者設備(virtual user equipment,vUE) (213)及一虛擬開放式身分提供者(virtual open ID provider,OP)(214),該虛擬使用者設備(213)用於與該邊界服務端(4)進行通訊,該虛擬開放式身分提供者(214)用於與該雲端服務端(3)及一使用者設備(5)進行通訊,其中當該邊界服務端(4)的一帳戶欲使用該雲端服務端(3)的服務時,第二認證機制執行模組(21b)執行該第二認證機制。
  3. 如請求項2所述的通訊系統(1),其中該虛擬歸屬用戶伺服器(211)及該虛擬使用者設備(213)更用於與該邊界服務端(4)的一移動性管理實體(mobility management entity,MME)(410)進行通訊。
  4. 如請求項3所述的通訊系統(1),其中該第一認證機制包含步驟: 當該使用者設備(5)對該邊界服務端(4)發出一服務請求,且該雲端服務端(3)確認該使用者設備(5)的一國際移動用戶辨識碼合法時,藉由該虛擬使用者(212)接收該雲端服務端(3)提供的一認證向量,並由該虛擬歸屬用戶伺服器(211)、該移動性管理實體(410)及該使用者設備(5)根據該認證向量進行演進分組系統-認證密鑰協商協議(evolved packet system-authentication and key agreement,EPS-AKA)之證認。
  5. 如請求項3所述的通訊系統(1),其中該第二認證機制包含步驟: 當該使用者設備(5)對該雲端服務端(3)提出一服務請求,且該邊界服務端(4)的一歸屬用戶伺服器(420)確認該使用者設備(5)的一國際移動用戶辨識碼合法時,藉由該虛擬使用者設備(213)接收該歸屬用戶伺服器(420)提供的一認證向量,並藉由該虛擬使用者設備(213)及該虛擬開放式身分提供者(214)將該認證向量傳送至傳送至該使用者設備(5),使該使用者設備(5)對根據該認證向量計算出一挑戰回應參數(RES),以及藉由該歸屬用戶伺服器(420)、該移動性管理實體(410)及該第二虛擬使用者設備(213)及該使用者設備(5),根據該認證向量及該挑戰回應參數(RES)進行進行EPS-AKA之認證,以及藉由該虛擬開放式身分提供者(214)、該雲端服務端(3)及該使用者設備(5)進行開放式身分連結(openID connect,OIDC)之認證;以及 當EPS-AKA之認證完成時,藉由該虛擬開放式身分提供者(214)提供一權證(token)至使用者設備(5),其中該雲端服務端(3)根據該權證提供服務。
  6. 一種通訊方法,透過一通訊系統(1)執行,用於進行一邊界服務端(4)及一雲端服務端(3)之間的第三方認證,該通訊方法包含步驟: 當該雲端服務端(3)的一帳戶欲使用該邊界服務端(4)的服務時,藉由設置於一代理伺服器(2)的一第一認證機制執行模組(21a)執行一第一認證機制,其中該第一認證機制執行模組(21a)包含一虛擬歸屬用戶伺服器(211)及一虛擬使用者 (212),該虛擬歸屬用戶伺服器(211)用於與該邊界服務端(4)進行通訊,該虛擬使用者(212)用於與該雲端服務端(3)進行通訊。
  7. 如請求項6所述的通訊方法,其更包含步驟:當該邊界服務端(4)的一帳戶欲使用該雲端服務端(3)的服務時,藉由設置於該代理伺服器(2)的一第二認證機制執行模組(21b)執行一第二認證機制,其中該第二認證機制執行模組(21b)包含一虛擬使用者設備(213)及一虛擬開放式身分提供者(214),該虛擬使用者設備(213)用於與該邊界服務端(4)進行通訊,該虛擬開放式身分提供者(214)用於與該雲端服務端(3)及一使用者設備(5)進行通訊。
  8. 如請求項7所述的通訊方法,其更包含步驟:藉由該虛擬歸屬用戶伺服器(211)及該第二虛擬使用者設備(213)與該邊界服務端(4)的一移動性管理實體(410)進行通訊。
  9. 如請求項8所述的通訊方法,其中更包含步驟: 該第一認證請求階段(例如S201~S204)包含步驟:當該使用者設備(5)對該邊界服務端(4)發出一服務請求時,藉由該移動性管理實體(410)、該虛擬歸屬用戶伺服器(211)及該第一虛擬使用者設備(212),將該使用者設備(5)的一國際移動用戶辨識碼傳送至該雲端服務端(3)進行校驗; 該第一請求回應階段(例如S205~S208)包含步驟:當該使用者設備(5)對該邊界服務端(4)發出一服務請求,且該雲端服務端(3)確認該使用者設備(5)的一國際移動用戶辨識碼合法時,藉由該虛擬使用者(212)接收該雲端服務端(3)提供的一認證向量,並由該虛擬歸屬用戶伺服器(211)、該移動性管理實體(410)及該使用者設備(5)根據該認證向量進行演進分組系統-認證密鑰協商協議之證認。
  10. 如請求項3所述的通訊系統(1),其中更包含步驟: 該第二認證請求階段(例如S301~S305)包含步驟:當該使用者設備(5)對該雲端服務端(3)提出一服務請求時,藉由該虛擬開放式身分提供者(214)、該第二虛擬使用者設備(213)及該移動性管理實體(410),將該使用者設備(5)的一國際移動用戶辨識碼傳送至該歸屬用戶伺服器(420)進行校驗; 該第二請求回應階段(例如S306~S312)包含步驟:當該使用者設備(5)對該雲端服務端(3)提出一服務請求,且該邊界服務端(4)的一歸屬用戶伺服器(420)確認該使用者設備(5)的一國際移動用戶辨識碼合法時,藉由該虛擬使用者設備(213)接收該歸屬用戶伺服器(420)提供的一認證向量,並藉由該虛擬使用者設備(213)及該虛擬開放式身分提供者(214)將該認證向量傳送至傳送至該使用者設備(5),使該使用者設備(5)對根據該認證向量計算出一挑戰回應參數(RES),以及藉由該歸屬用戶伺服器(420)、該移動性管理實體(410)及該第二虛擬使用者設備(213)及該使用者設備(5),根據該認證向量及該挑戰回應參數(RES)進行進行EPS-AKA之認證,以及藉由該虛擬開放式身分提供者(214)、該雲端服務端(3)及該使用者設備(5)進行開放式身分連結(openID connect,OIDC)之認證;以及 該第二認證確認階段(例如S313~S317)包含步驟:當EPS-AKA之認證完成時,藉由該虛擬開放式身分提供者(214)提供一權證(token)至使用者設備(5),其中該雲端服務端(3)根據該權證提供服務。
TW109142195A 2020-12-01 2020-12-01 通訊系統及通訊方法 TWI755951B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
TW109142195A TWI755951B (zh) 2020-12-01 2020-12-01 通訊系統及通訊方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW109142195A TWI755951B (zh) 2020-12-01 2020-12-01 通訊系統及通訊方法

Publications (2)

Publication Number Publication Date
TWI755951B TWI755951B (zh) 2022-02-21
TW202224396A true TW202224396A (zh) 2022-06-16

Family

ID=81329219

Family Applications (1)

Application Number Title Priority Date Filing Date
TW109142195A TWI755951B (zh) 2020-12-01 2020-12-01 通訊系統及通訊方法

Country Status (1)

Country Link
TW (1) TWI755951B (zh)

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW201807961A (zh) * 2012-09-27 2018-03-01 內數位專利控股公司 在噓擬網路中端對端架構、api框架、發現及存取
US9270596B2 (en) * 2012-11-26 2016-02-23 Verizon Patent And Licensing Inc. Selection of virtual network elements
US10142342B2 (en) * 2014-03-23 2018-11-27 Extreme Networks, Inc. Authentication of client devices in networks

Also Published As

Publication number Publication date
TWI755951B (zh) 2022-02-21

Similar Documents

Publication Publication Date Title
US11716621B2 (en) Apparatus and method for providing mobile edge computing services in wireless communication system
EP3752941B1 (en) Security management for service authorization in communication systems with service-based architecture
US11895157B2 (en) Network security management method, and apparatus
RU2414086C2 (ru) Аутентификация приложения
JP5199405B2 (ja) 通信システムにおける認証
US10917790B2 (en) Server trust evaluation based authentication
US8543814B2 (en) Method and apparatus for using generic authentication architecture procedures in personal computers
EP3750342B1 (en) Mobile identity for single sign-on (sso) in enterprise networks
US8094821B2 (en) Key generation in a communication system
US20030235305A1 (en) Key generation in a communication system
US8611859B2 (en) System and method for providing secure network access in fixed mobile converged telecommunications networks
US20160380999A1 (en) User Identifier Based Device, Identity and Activity Management System
CN111630882B (zh) 用户设备、认证服务器、介质、及确定密钥的方法和系统
US20160261581A1 (en) User authentication
US20110035592A1 (en) Authentication method selection using a home enhanced node b profile
WO2008006306A1 (fr) Procédé et dispositif de dérivation d'une clé interface locale
KR20100085185A (ko) 통신시스템을 위한 상호동작 기능
WO2008080351A1 (fr) Procédé d'exploitation de réseau local sans fil basé sur une infrastructure d'authentification et de confidentialité de wlan (wapi)
WO2012126299A1 (zh) 组合认证系统及认证方法
TWI755951B (zh) 通訊系統及通訊方法
WO2018137239A1 (zh) 一种鉴权方法、鉴权服务器和核心网设备
CN117678255A (zh) 边缘启用器客户端标识认证过程
WO2013123849A1 (zh) 资源接纳控制方法、bng和pdp
CN116868609A (zh) 用于边缘数据网络的用户装备认证和授权规程
KR20050016605A (ko) 통신시스템을 위한 상호동작 기능