專利名稱:用于管理網(wǎng)絡(luò)業(yè)務(wù)接入與登記的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明總的涉及網(wǎng)絡(luò)通信系統(tǒng)�����,更具體地����,涉及用于管理用戶對(duì)安全網(wǎng)絡(luò)業(yè)務(wù)的接入和登記(enrollment)的系統(tǒng)和方法。
背景技術(shù):
計(jì)算機(jī)連網(wǎng)廣義地是指通過鏈接兩個(gè)或多個(gè)計(jì)算系統(tǒng)而產(chǎn)生的數(shù)據(jù)通信系統(tǒng)����。連網(wǎng)允許那些可接入到網(wǎng)絡(luò)的人去共享程序��、數(shù)據(jù)�����、網(wǎng)絡(luò)資源�、數(shù)據(jù)庫(kù)信息�����,以及方便其他功能��,諸如電子郵件和數(shù)據(jù)備份����。立即接入信息的需要已經(jīng)推動(dòng)去尋求更先進(jìn)的網(wǎng)絡(luò)和網(wǎng)絡(luò)應(yīng)用,以便方便和有效地傳送信息����。
由于其巨大的到達(dá)范圍,被稱為互聯(lián)網(wǎng)的�、互連計(jì)算機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)的全球性萬維網(wǎng)已證明是一個(gè)滿足對(duì)于隨選信息的需要的無價(jià)的工具?���;ヂ?lián)網(wǎng)被用作為方便全球電子郵件���、遠(yuǎn)端數(shù)據(jù)接入、研究等等的商業(yè)和個(gè)人工具���。其傳遞多媒體內(nèi)容的能力也使得互聯(lián)網(wǎng)被確立為娛樂工具�����,用于玩游戲、傳遞流內(nèi)容���,諸如視頻�、音頻��、MP3等等�。
得到對(duì)互聯(lián)網(wǎng)上可得到信息的訪問,通常要求一個(gè)到互聯(lián)網(wǎng)的硬件連接�����。雖然互聯(lián)網(wǎng)允許用戶通過被連接到互聯(lián)網(wǎng)的任何計(jì)算機(jī)或終端來訪問信息��,但對(duì)于硬件連接的需要對(duì)互聯(lián)網(wǎng)信息接入設(shè)立了一個(gè)不想要的物理限制-對(duì)在電影上花費(fèi)大量時(shí)間的用戶設(shè)立了一個(gè)特別的障礙�����。當(dāng)用戶變得更依賴于經(jīng)過互聯(lián)網(wǎng)提供的信息和業(yè)務(wù)時(shí),互聯(lián)網(wǎng)與無線域的整合變得越來越重要����。
無線網(wǎng)(諸如GSM、IS-136�����、IS-95��、PDC等等)在傳統(tǒng)上已經(jīng)結(jié)合移動(dòng)電話通信被使用��。這些先進(jìn)的無線網(wǎng)通過允許移動(dòng)電話用戶與其他移動(dòng)用戶以及與地面線路電話系統(tǒng)通信��,而使得通信便利的另一個(gè)方面成為可能���。然而�����,仍舊存在把信息網(wǎng)絡(luò)(諸如內(nèi)聯(lián)網(wǎng)和互聯(lián)網(wǎng))與移動(dòng)設(shè)備的便攜性和方便性相整合的需要���。
這個(gè)需要引起了把互聯(lián)網(wǎng)和其他網(wǎng)絡(luò)與無線網(wǎng)平臺(tái)整合在一起的努力�����。一個(gè)解決方案是無線應(yīng)用協(xié)議(WAP)����,它把互聯(lián)網(wǎng)的方便性帶到無線世界��。WAP橋接了有線互聯(lián)網(wǎng)范例與無線域之間的縫隙�����,允許無線設(shè)備用戶跨越兩個(gè)平臺(tái)來享受互聯(lián)網(wǎng)的好處����。
通常�����,WAP是一組協(xié)議����,它計(jì)及互聯(lián)網(wǎng)標(biāo)準(zhǔn)和用于無線業(yè)務(wù)的標(biāo)準(zhǔn)的特性和功能性。它是與無線網(wǎng)標(biāo)準(zhǔn)無關(guān)的�,以及被設(shè)計(jì)為開放的標(biāo)準(zhǔn)���。WAP的促動(dòng)因素主要是小的無線設(shè)備的物理和邏輯限制的結(jié)果,諸如有限的鍵盤和顯示器����、有限的帶寬、有限的存儲(chǔ)器和處理能力����,以及有限的電能。被稱為無線標(biāo)記語言(WML)的一種標(biāo)記語言被用于寫作各個(gè)業(yè)務(wù)�����,這些業(yè)務(wù)被設(shè)計(jì)來適應(yīng)這些更小的�、以及常常是便攜式的手持設(shè)備,這些設(shè)備與HTML所針對(duì)的�����、它們對(duì)應(yīng)的臺(tái)式設(shè)備來說具有大大受限的顯示面積�����。WAP業(yè)務(wù)的另一個(gè)特性是使用WMLScript來支持更先進(jìn)功能性任務(wù)的可行性,這至少大致類似于結(jié)合HTML(超級(jí)文本標(biāo)記語言)來利用JavaScript�。通過WMLScript可提供的功能增強(qiáng)包括對(duì)基于WAP的業(yè)務(wù)的過程邏輯和計(jì)算功能。
所以��,WAP允許被存儲(chǔ)在遠(yuǎn)端網(wǎng)絡(luò)上的想要的信息被傳遞到無線網(wǎng)內(nèi)的無線設(shè)備�����。例如�,通過互聯(lián)網(wǎng)可得到的信息現(xiàn)在可被下載到移動(dòng)無線單元上,諸如蜂窩電話����、個(gè)人數(shù)字助理(PDA)、膝上型計(jì)算機(jī)����、無線尋呼機(jī)等等��。
然而���,電子通信信息的能力�,特別是當(dāng)通過空中(OTA)進(jìn)行通信時(shí)����,會(huì)呈現(xiàn)各種各樣的安全問題��。為了在通信和電子商務(wù)交易中保持隱私和保密性�,計(jì)算機(jī)和電信行業(yè)已設(shè)計(jì)出提供安全連接的方式���。例如�����,在互聯(lián)網(wǎng)舞臺(tái)上����,安全性常常通過傳輸層安全性(TLS)被提供���,TLS是用于安全套接字層(SSL)的標(biāo)準(zhǔn)化名稱����。在無線環(huán)境中����,諸如WAP環(huán)境中,安全性當(dāng)前是在無線傳輸層安全(WTLS)協(xié)議中提供的���,WTLS協(xié)議類似于TLS����,但它包括在很大程度上關(guān)系到當(dāng)前無線通信的低帶寬要求的差別。
為了給特定的無線應(yīng)用或事務(wù)提供必要的安全性�����,實(shí)施某些類型的“證書”�。例如,在用戶已被確認(rèn)為一個(gè)被授權(quán)用戶的情況下����,可以同意給予鑒權(quán)證書。在已確定用戶具有授權(quán)去接入或修正特定信息的情形下����,可以同意給予授權(quán)證書。授權(quán)證書也可以包括無法否認(rèn)(non-repudiation)信息����,它是指確保一個(gè)用戶以后不能拒絕承認(rèn)該用戶曾參加過該事務(wù)的方式���。
為了讓用戶接入一個(gè)特定的安全業(yè)務(wù)����,可以要求該用戶通過適當(dāng)?shù)淖?cè)規(guī)程得到這些證書。如果用戶例如通過移動(dòng)終端上的本地貯存裝置已具有這樣的證書����,則該用戶可接入該安全業(yè)務(wù)。然而�,如果用戶還沒有配備這樣的證書,則用戶在可以接入該想要的安全業(yè)務(wù)之前必須得到這些證書��。
當(dāng)前��,當(dāng)用戶配備有適當(dāng)?shù)淖C書來實(shí)施想要的通信或?qū)嵭邢胍氖聞?wù)時(shí)��,用戶經(jīng)過第一網(wǎng)關(guān)通過WAP會(huì)話接入該想要的業(yè)務(wù)�����。如果用戶不具有必要的證書��,則嘗試的連接將被拒絕�����,以及用戶必須得到表示如何得到該必要證書的OTA WAP設(shè)置���。用戶必須關(guān)閉當(dāng)前的WAP會(huì)話���、打開新的WAP會(huì)話�,以及通過第二網(wǎng)關(guān)得到注冊(cè)信息����。當(dāng)用戶接收證書時(shí),老的WAP設(shè)置必須通過空中(OTA)傳遞到用戶���,顧客關(guān)閉當(dāng)前的WAP會(huì)話����,以及重新開始WAP會(huì)話�,以便接入想要的業(yè)務(wù)。得到該必要的證書的這種方式要求通過多個(gè)網(wǎng)關(guān)的多個(gè)WAP會(huì)話��,并且已證明這對(duì)于用戶來說是低效的和復(fù)雜的���。
可期望去提供更有效和方便的接入安全業(yè)務(wù)的方式��,而不管用戶是否已經(jīng)被鑒權(quán)和/或被授權(quán)來使用這樣的業(yè)務(wù)��。因此���,可期望的是避免與現(xiàn)有技術(shù)系統(tǒng)有關(guān)的上述和其他問題。本發(fā)明提供對(duì)于現(xiàn)有技術(shù)的上述和其他缺點(diǎn)的解決方案���,而同時(shí)提供超越現(xiàn)有技術(shù)的附加的優(yōu)點(diǎn)����。
發(fā)明概要本發(fā)明針對(duì)用于根據(jù)無線終端的用戶所擁有的接入權(quán)利把網(wǎng)絡(luò)連接自動(dòng)切換到適當(dāng)?shù)木W(wǎng)絡(luò)實(shí)體的系統(tǒng)和方法�,按照本發(fā)明的一個(gè)實(shí)施例,提供用于根據(jù)無線終端的用戶擁有的接入權(quán)利而自動(dòng)引導(dǎo)網(wǎng)絡(luò)連接的方法��。該方法包括從無線終端接收證書���,該證書具有表示用戶擁有的接入權(quán)利的安全性信息�。確定接收的證書是否相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書����,該業(yè)務(wù)提供者鑒權(quán)證書標(biāo)識(shí)對(duì)于作為目標(biāo)的業(yè)務(wù)的接入權(quán)利。如果接收的證書相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書����,則網(wǎng)絡(luò)連接被引導(dǎo)到作為目標(biāo)的業(yè)務(wù),以及否則�����,如果接收的證書不相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書,則網(wǎng)絡(luò)連接被引導(dǎo)到登記模塊�,以便注冊(cè)業(yè)務(wù)提供者鑒權(quán)證書。
按照本發(fā)明的另一個(gè)實(shí)施例��,提供一種系統(tǒng)����,用于管理對(duì)用戶經(jīng)過無線終端可得到的安全業(yè)務(wù)的接入和登記。該系統(tǒng)包括業(yè)務(wù)模塊�,業(yè)務(wù)提供者通過該業(yè)務(wù)模塊來幫助把安全業(yè)務(wù)提供給無線終端的用戶。登記管理器被提供來實(shí)施用戶對(duì)安全業(yè)務(wù)的注冊(cè)����。該系統(tǒng)還包括交換機(jī),其被耦合來接收由無線終端在建立連接時(shí)利用的安全證書�����。交換機(jī)根據(jù)在建立連接時(shí)所利用的安全證書���,而把該連接引導(dǎo)到業(yè)務(wù)模塊或登記管理器�。
按照本發(fā)明的另一個(gè)實(shí)施例��,提供一種系統(tǒng),用于管理對(duì)網(wǎng)絡(luò)上可得到的安全業(yè)務(wù)的用戶接入和登記�,其中該系統(tǒng)包括無線網(wǎng)。多個(gè)無線終端可以在該無線網(wǎng)內(nèi)運(yùn)行����。包含多個(gè)連網(wǎng)的計(jì)算系統(tǒng)在內(nèi)的另一個(gè)網(wǎng)絡(luò)包括服務(wù)器計(jì)算系統(tǒng)����,宿有由至少一個(gè)無線終端作為目標(biāo)的安全業(yè)務(wù)。連網(wǎng)的計(jì)算系統(tǒng)中的至少一個(gè)計(jì)算系統(tǒng)是登記服務(wù)器��,它被使用來實(shí)施用戶對(duì)安全業(yè)務(wù)的注冊(cè)��。提供了一個(gè)網(wǎng)關(guān)計(jì)算系統(tǒng)��,它被配置成在無線網(wǎng)與計(jì)算系統(tǒng)的網(wǎng)絡(luò)之間橋接通信���。一個(gè)網(wǎng)絡(luò)交換機(jī)被耦合來接收由無線終端在建立與計(jì)算系統(tǒng)的網(wǎng)絡(luò)的連接時(shí)利用的鑒權(quán)證書���。該網(wǎng)絡(luò)交換機(jī)取決于由無線終端在建立連接時(shí)利用的鑒權(quán)證書而把該連接切換到服務(wù)器計(jì)算系統(tǒng)或登記服務(wù)器。
本發(fā)明的以上的概要不打算描述本發(fā)明的每個(gè)顯示的實(shí)施例或?qū)嵤┓桨?����。這是附圖和隨后的相關(guān)討論的目的。
附圖簡(jiǎn)述
圖1是其中可以應(yīng)用本發(fā)明的原理的連網(wǎng)環(huán)境的示例性實(shí)施例�;圖2顯示典型的WAP參考模型和WAP協(xié)議的分層的例子;圖3顯示被使用來建立連接的示例的握手協(xié)議��;圖4和5是按照本發(fā)明的示例性自動(dòng)鑒權(quán)管理系統(tǒng)的方框圖�;圖6是顯示可結(jié)合本發(fā)明使用的登記管理器的一種方式的方框圖;以及圖7和8是顯示根據(jù)由無線終端的用戶擁有的接入權(quán)利而自動(dòng)引導(dǎo)網(wǎng)絡(luò)連接的過程的示例性實(shí)施例的流程圖�。
顯示的實(shí)施例的詳細(xì)描述在以下的、對(duì)于各種實(shí)施例的說明中����,參考了構(gòu)成實(shí)施例的一部分的附圖,以及在圖上通過圖形顯示了其中可以實(shí)施本發(fā)明的各種實(shí)施例�����。應(yīng)當(dāng)看到�����,可以利用其他的實(shí)施例���,并且可以作出結(jié)構(gòu)性和功能性的修正����,而不背離本發(fā)明的范圍。
本發(fā)明針對(duì)一種用于根據(jù)無線終端的用戶所擁有的接入權(quán)利而把網(wǎng)絡(luò)連接自動(dòng)切換到適當(dāng)?shù)木W(wǎng)絡(luò)實(shí)體的系統(tǒng)和方法����。交換機(jī)認(rèn)知由無線終端提供的證書,以及如果該證書證明具有適當(dāng)?shù)慕尤霗?quán)利���,則把該連接引導(dǎo)到宿有被作為目標(biāo)的安全業(yè)務(wù)的業(yè)務(wù)提供者。另一方面���,如果證書不相應(yīng)于業(yè)務(wù)提供者要求的證書�,則交換機(jī)把該連接引導(dǎo)到登記模塊��,在那里用戶可以嘗試從登記模塊得到適當(dāng)?shù)淖C書���,以便最終接入該作為目標(biāo)的安全業(yè)務(wù)����。
圖1是其中可以應(yīng)用本發(fā)明的原理的連網(wǎng)環(huán)境的示例性實(shí)施例����。這里描述的本發(fā)明總的是在無線應(yīng)用協(xié)議(WAP)方面描述的。然而,正如本領(lǐng)域技術(shù)人員從這里提供的說明將容易明白的��,本發(fā)明同樣可應(yīng)用于期望某安全連接水平的��、其他的當(dāng)前或?qū)淼臒o線協(xié)議���。所以���,應(yīng)當(dāng)看到,本發(fā)明結(jié)合WAP環(huán)境進(jìn)行描述是為了便于理解本發(fā)明�,但本發(fā)明并不限于此。
在圖1所示的��、示例性傳統(tǒng)WAP環(huán)境中�,WAP終端100在無線網(wǎng)102內(nèi)運(yùn)行,例如GSM(全球移動(dòng)通信系統(tǒng))網(wǎng)絡(luò)����、先進(jìn)的GSM網(wǎng)絡(luò),諸如GPRS(通用分組無線業(yè)務(wù))�、HSCSD(高速電路交換數(shù)據(jù)),或其他類型的第二代(2G)�、第三代(3G)或?qū)淼木W(wǎng)絡(luò)。這樣的網(wǎng)絡(luò)的另外例子包括��,但不限于,WCDMA(寬帶碼分多址)�、EDGE(用于全球演進(jìn)的增強(qiáng)數(shù)據(jù)速率)、CDMA 2000以及以cdmaOne命名的幾個(gè)網(wǎng)絡(luò)����。本發(fā)明也可應(yīng)用于能夠與其他網(wǎng)絡(luò)(諸如內(nèi)聯(lián)網(wǎng)和互聯(lián)網(wǎng))相整合的其他無線連網(wǎng)技術(shù)。在無線網(wǎng)102內(nèi)�����,WAP終端100可以與其他無線設(shè)備或地面線路設(shè)備通信��,例如可以由基站104幫助進(jìn)行����。
通過統(tǒng)一資源定位器(URL)��,通常使用無線會(huì)話協(xié)議(WSP)(這實(shí)際上是HTTP的二進(jìn)制版本)��,可以把對(duì)于信息的請(qǐng)求從無線網(wǎng)102發(fā)送到WAP網(wǎng)關(guān)106��。URL 108是到網(wǎng)絡(luò)110(諸如地面線路網(wǎng)絡(luò)��,包括內(nèi)聯(lián)網(wǎng)或互聯(lián)網(wǎng))上可得到的被請(qǐng)求信息的地址�����。從內(nèi)聯(lián)網(wǎng)/互聯(lián)網(wǎng)一側(cè)看來,WAP網(wǎng)關(guān)106把URL轉(zhuǎn)發(fā)到適當(dāng)?shù)哪康牡?��,以及可通過HTTP頭標(biāo)提供有關(guān)WAP設(shè)備的附加信息���,諸如有WAP能力的蜂窩電話的訂戶數(shù)目、它的小區(qū)ID�����、位置等等���。WAP網(wǎng)關(guān)106也把指向WAP終端100的內(nèi)容變換成WAP終端能夠理解的格式����,諸如二進(jìn)制無線標(biāo)記語言(WML)��。
更具體地����,URL 108被例如使用HTTP從WAP網(wǎng)關(guān)106發(fā)送到服務(wù)器計(jì)算系統(tǒng),諸如起源服務(wù)器112�����。以URL 108的形式發(fā)送的請(qǐng)求是對(duì)于數(shù)據(jù)服務(wù)器112返回想要的內(nèi)容的請(qǐng)求。數(shù)據(jù)服務(wù)器112把被請(qǐng)求的內(nèi)容返回給WAP網(wǎng)關(guān)106��,它是最終可由WAP終端106感知的��。在一個(gè)實(shí)施例中�,被請(qǐng)求的內(nèi)容由起源服務(wù)器112以HTML格式提供給HTML過濾器114,后者濾除圖形和其他內(nèi)容�����,以便提供文本的HTML�����,正如線116所描繪的����。起源服務(wù)器112也可直接提供文本的HTML��,正如線118所描繪的����。在任一種情形下�����,WAP網(wǎng)關(guān)106接收文本的HTML內(nèi)容����,以及把文本的HTML內(nèi)容變換成二進(jìn)制WML���,正如線119描繪的���,以便在WAP終端100處進(jìn)行處理和呈現(xiàn)。
起源服務(wù)器112替換地可被配置在內(nèi)聯(lián)網(wǎng)或局域網(wǎng)(LAN)中�。內(nèi)聯(lián)網(wǎng)110可以在結(jié)構(gòu)上被配置成直接與WAP網(wǎng)關(guān)通信,或替換地�,內(nèi)聯(lián)網(wǎng)可以在互聯(lián)網(wǎng)的“后面”。在這樣的連網(wǎng)環(huán)境中�����,URL 108從WAP網(wǎng)關(guān)106被發(fā)送到本地服務(wù)器(未示出)�,后者然后可以從起源服務(wù)器112中檢索信息。本發(fā)明可以結(jié)合任何網(wǎng)絡(luò)被實(shí)施�����,這些網(wǎng)絡(luò)能夠與WAP網(wǎng)關(guān)106通信,以及包括各種多節(jié)點(diǎn)網(wǎng)絡(luò)結(jié)構(gòu)����,諸如在范圍從局域網(wǎng)(LAN)到諸如互聯(lián)網(wǎng)的激增全球域網(wǎng)絡(luò)(GAN)的網(wǎng)絡(luò)中使用的多點(diǎn)、星形�����、環(huán)形����、回路、網(wǎng)狀等等網(wǎng)絡(luò)拓?fù)洹?br>
WAP終端100接收WML內(nèi)容���,以及在終端100內(nèi)的微瀏覽器協(xié)調(diào)用戶接口���。與終端100有關(guān)的WAE用戶代理120是允許運(yùn)營(yíng)商和業(yè)務(wù)提供者有效地構(gòu)建應(yīng)用和業(yè)務(wù)的應(yīng)用環(huán)境。WAE120包括上面提及的微瀏覽器�����。
無論何時(shí)發(fā)生數(shù)據(jù)的電子傳輸或交換��,都會(huì)引起傳輸或交換的安全性問題��。為了保持通信和電子商務(wù)交易的隱私性和保密性�,安全性可能是最重要的。為了解決安全性問題�,計(jì)算機(jī)和電信行業(yè)已經(jīng)設(shè)計(jì)了提供安全連接的情形。例如���,在互聯(lián)網(wǎng)舞臺(tái)上����,經(jīng)常通過傳輸層安全性(TLS)(它是安全套接字層(SSL)的標(biāo)準(zhǔn)化名稱)提供安全性�����。
雖然無線環(huán)境提供增高的方便程度���,但它們也帶來主要基于傳輸媒體本身的可接入性的��、附加的安全風(fēng)險(xiǎn)和擔(dān)心����。因此�����,在無線通信中幫助實(shí)行安全連接需要謹(jǐn)慎的關(guān)注。在WAP環(huán)境下�,安全性當(dāng)前是在無線傳輸層安全(WTLS)協(xié)議中提供的,WTLS類似于TLS��,但它包括很大程度上涉及到當(dāng)前無線通信的低帶寬要求的差別����。
圖2顯示典型的WAP參考模型200和WAP協(xié)議的分層的例子。所顯示的頂層是應(yīng)用層202�,它是用于WAP結(jié)構(gòu)的無線應(yīng)用環(huán)境(WAE)層。這個(gè)層建立可互操作的環(huán)境����,允許運(yùn)營(yíng)商和業(yè)務(wù)提供者構(gòu)建達(dá)到各種各樣的不同無線平臺(tái)的應(yīng)用和業(yè)務(wù)。WAE層202典型地包括微瀏覽器��,它為移動(dòng)設(shè)備用戶提供用戶接口�����。下一個(gè)描述的層是會(huì)話層204�,它是WAP環(huán)境中的無線會(huì)話協(xié)議(WSP)層。WSP層提供到WAE層202的接口���,包括面向連接的和無連接的業(yè)務(wù)�����。事務(wù)層206或無線事務(wù)協(xié)議(WTP)層提供事務(wù)業(yè)務(wù)���。傳輸或無線數(shù)據(jù)報(bào)協(xié)議(WDP)層210提供一致性業(yè)務(wù)給WAP的更上層的協(xié)議,以及通過其中一個(gè)可提供的基礎(chǔ)載體業(yè)務(wù)212透明地通信���。其他的WAP應(yīng)用可牽涉到不同數(shù)目的層或?qū)幼兝?����,以及圖2提供WAP應(yīng)用的一個(gè)典型例子�����。
加到這個(gè)核心傳輸協(xié)議上的是無線傳輸層安全性(WTLS)�,它加上任選的加密設(shè)施�����,使得能夠進(jìn)行安全事務(wù)�����。雖然是可任選的,但與圖2所示的安全層208有關(guān)的WTLS已證明是無線通信的重要方面����。WTLS是提供WAP通信的主要安全要素的安全協(xié)議,因此提供在WAP終端與WAP網(wǎng)關(guān)之間的安全網(wǎng)絡(luò)連接會(huì)話���。正如下面更全面地描述的���,WTLS提供許多安全性特性,包括鑒權(quán)��、保密性����、數(shù)據(jù)完整性和拒絕服務(wù)保護(hù)。
圖2描述的WTLS安全層提供用于各種級(jí)別的安全性���。例如���,WTLS等級(jí)1通常提供隱私性和數(shù)據(jù)完整性。WTLS等級(jí)2提供隱私性��、數(shù)據(jù)完整性和WAP網(wǎng)關(guān)鑒權(quán),這樣客戶可鑒權(quán)與其進(jìn)行通信的網(wǎng)關(guān)的身份�����。更高的安全性級(jí)別是WTLS等級(jí)3��,它包括等級(jí)2的那些特性以及WAP客戶鑒權(quán)���,由此提供在WAP網(wǎng)關(guān)與WAP客戶之間的互相鑒權(quán)。
業(yè)務(wù)提供者可以提供基于安全性的業(yè)務(wù)��,實(shí)施由諸如WAP的無線協(xié)議提供的安全性特性���。例如���,WAP公共密鑰基礎(chǔ)結(jié)構(gòu)(WPKI)業(yè)務(wù)是根據(jù)公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)提供應(yīng)用的WAP業(yè)務(wù),PKI是指在公共密鑰加密系統(tǒng)中利用和接入密鑰的方式����。因此,WPKI提供一種使能對(duì)于服務(wù)器和客戶鑒權(quán)所需要的信任關(guān)系的方式�����。
一個(gè)基于PKI的業(yè)務(wù)的良好例子是要求高度安全性的銀行應(yīng)用。在基于PKI的銀行應(yīng)用中����,通過使用鑒權(quán)證書對(duì)客戶進(jìn)行鑒權(quán)。正如本領(lǐng)域所熟知的��,鑒權(quán)通常是指驗(yàn)證在通信中所牽涉到的個(gè)人或?qū)嶓w的身份���。電子鑒權(quán)典型地牽涉到使用可被一個(gè)已認(rèn)可的認(rèn)證機(jī)構(gòu)(CA)驗(yàn)證的證書����。
除了鑒權(quán)以外��,可能還需要事務(wù)授權(quán)規(guī)程�,以允許客戶實(shí)施想要的事務(wù)。授權(quán)通常是指確定一個(gè)特定用戶接入或修正特定信息的權(quán)利���。因此��,即使在用戶的身份已被鑒權(quán)的場(chǎng)合下�,仍可能必須保證用戶具有執(zhí)行想要的事務(wù)的����、適當(dāng)?shù)臋?quán)利���。例如,可能已發(fā)現(xiàn)用戶對(duì)于銀行應(yīng)用也被鑒權(quán)�,但該鑒權(quán)的用戶可能沒有被授權(quán)來執(zhí)行與特定的銀行帳戶有關(guān)的某些銀行事務(wù)。而且���,結(jié)合這種授權(quán)�,可能牽涉到無法否認(rèn)��,這是指一種保證用戶在以后不能拒絕承認(rèn)他參加過該事務(wù)的方式�����?���?蛻敉ㄟ^使用無法否認(rèn)/數(shù)字簽名證書而被授權(quán)��。
對(duì)于某些安全性水平���,為了利用想要的應(yīng)用���,客戶必須具有這些鑒權(quán)和無法否認(rèn)/數(shù)字簽名證書�。該證書包括諸如公共密鑰�����、用戶名字���、和業(yè)務(wù)提供者的簽名那樣的信息�����。在一個(gè)示例性系統(tǒng)中���,證書被存儲(chǔ)在WAP終端,諸如WIM(WAP身份模塊或無線身份模塊)中�。WIM存儲(chǔ)對(duì)于協(xié)議執(zhí)行它的安全和鑒權(quán)功能所必須的信息(例如,專用密鑰)���,以及WIM可被使用來執(zhí)行相關(guān)的公共密鑰算法(例如����,RSA�,EC-DH,EC-DSA等)��。WIM可以與用戶身份模塊(SIM)一起被提供在通常的智能卡上,該智能卡又可被使用于移動(dòng)終端中��,諸如無線電話���。
當(dāng)移動(dòng)用戶接收WIM卡時(shí)����,證書通常沒有為該特定的用戶����、或?yàn)樵撚脩魧?duì)想要的安全業(yè)務(wù)的使用進(jìn)行配置。在用戶能接入該業(yè)務(wù)之前�����,需要這種配置����,即���,用戶必須對(duì)該業(yè)務(wù)注冊(cè)����。正如下面更充分地描述的,登記管理器模塊被使用來幫助進(jìn)行這種注冊(cè)�����。這個(gè)模塊驗(yàn)證客戶身份��,以及證實(shí)該用戶在WIM中擁有諸如專用密鑰那樣的必要信息����。如果這些驗(yàn)證是成功的,則用戶接收對(duì)于該業(yè)務(wù)的鑒權(quán)和無法否認(rèn)證書�。
更具體地,在客戶/用戶能夠使用依賴于對(duì)于用戶鑒權(quán)的無線公共密鑰基礎(chǔ)結(jié)構(gòu)(WPKI)的移動(dòng)業(yè)務(wù)之前����,他們需要業(yè)務(wù)證書或指向被安裝在他們的移動(dòng)終端上的證書的URL。業(yè)務(wù)證書是包含它的擁有者的說明的標(biāo)準(zhǔn)形式記錄��,包括公共密鑰����。登記管理器使得能夠進(jìn)行這些業(yè)務(wù)證書的在線傳遞。用戶通過移動(dòng)終端接收業(yè)務(wù)證書��,而不必實(shí)際地在物理上收集它。
為了建立在請(qǐng)求的客戶終端與作為目標(biāo)的服務(wù)器之間的安全連接�,進(jìn)行一系列初始的通信以建立聯(lián)系,以及安排這些實(shí)體進(jìn)行通信的初始方式��。這可以以各種方式來完成���,其中之一是在WAP論壇無線應(yīng)用協(xié)議無線傳輸層安全性技術(shù)說明(WAP WTLS)中指出的握手協(xié)議�����。這個(gè)技術(shù)說明�,WAP-199-WTLS(版本18���,2月1000)����,是由WAP論壇的工作得到的一組技術(shù)說明之一�,以及通常被引導(dǎo)到安全層協(xié)議WTLS��。安全會(huì)話的參量是由WTLS握手協(xié)議通過想要的安全會(huì)話的安全屬性的協(xié)商而產(chǎn)生的�。在本發(fā)明的一個(gè)實(shí)施例,至少一部分WTLS握手協(xié)議可被使用來嘗試建立安全連接�����,以及本發(fā)明的原理可以結(jié)合WTLS或類似的握手協(xié)議而被應(yīng)用。
圖3顯示被使用來建立連接的示例的握手協(xié)議�����。在通信交換機(jī)的客戶端300處發(fā)起初始消息���,在圖3上被顯示為客戶問候(Hello)消息302����。這個(gè)消息302是客戶300到服務(wù)器310的第一消息�。在服務(wù)器側(cè)310,也生成服務(wù)器問候消息312��。初始消息��,即客戶問候消息302和服務(wù)器問候消息312的交換被使用來商定加密密鑰交換算法和交換隨機(jī)值���。如果服務(wù)器310不用服務(wù)器問候消息312響應(yīng)客戶問候消息302�,則將發(fā)生錯(cuò)誤���,以及連接將失敗���。替換地����,服務(wù)器310可以選擇某些安全性信息在建立安全連接時(shí)使用�,或者如果對(duì)于服務(wù)器310沒有呈現(xiàn)可接受的選擇,則服務(wù)器將返回一個(gè)握手失敗通知和關(guān)閉該連接�����。如果服務(wù)器310能夠找到可接受的算法組����,則服務(wù)器310將發(fā)送服務(wù)器問候消息312到客戶300。
如果服務(wù)器問候消息312被成功地發(fā)送到客戶300��,則若證書要被鑒權(quán)��,服務(wù)器就發(fā)送證書消息314�����。這個(gè)消息提供適當(dāng)?shù)淖C書類型的指示�����。另外����,如果要求的話(這是服務(wù)器沒有證書的情形、或如果它的證書只是用于簽名)���,可以發(fā)送服務(wù)器密鑰交換消息316��。因此��,取決于密鑰交換方法���,服務(wù)器密鑰交換消息316可被發(fā)送來輸送加密信息,允許客戶300傳送預(yù)先掌握的秘密(例如�����,加密一個(gè)秘密的公共密鑰�,客戶300可用以完成密鑰交換、其結(jié)果是預(yù)先掌握的秘密的參量等等)����。諸如通過發(fā)送證書請(qǐng)求消息318,服務(wù)器330可以從客戶300請(qǐng)求證書�。與證書請(qǐng)求消息318相結(jié)合的是可接受的認(rèn)證機(jī)構(gòu)(CA)的名稱和類型的列表�����。服務(wù)器310最后發(fā)送完成消息��,諸如服務(wù)器問候做完消息320�����,以及等待客戶300響應(yīng)����。
然而���,客戶300可能有或可能沒有接入業(yè)務(wù)的適當(dāng)證書�����。如上所述����,當(dāng)移動(dòng)用戶接收WIM卡(或類似的貯存和功能性模塊)時(shí)�,證書通常沒有為該特定的用戶(或?yàn)橛脩魧?duì)想要的業(yè)務(wù)的使用)進(jìn)行配置。因此�����,在圖3的例子中�����,客戶300可能不能提供適當(dāng)?shù)?��、接入業(yè)務(wù)的證書����。用于處理這樣的情形的現(xiàn)有技術(shù)方法牽涉到通過多個(gè)網(wǎng)關(guān)管理的一系列復(fù)雜的WAP會(huì)話����。
另一方面,本發(fā)明通過自動(dòng)接入適當(dāng)?shù)膶?shí)體而簡(jiǎn)化業(yè)務(wù)注冊(cè)過程�,不管該實(shí)體是想要的業(yè)務(wù)還是登記管理器。該系統(tǒng)可被配置成把鑒權(quán)證書使用的優(yōu)選次序通知給客戶終端���,以及取決于由客戶終端擁有的特定的鑒權(quán)證書而把該連接自動(dòng)切換到安全業(yè)務(wù)或登記管理器�����。這樣�,該連接避免了在現(xiàn)有技術(shù)解決方案中實(shí)施的分段連接方法,以及避免卷入多個(gè)網(wǎng)關(guān)���。由本發(fā)明提供的自動(dòng)業(yè)務(wù)-登記切換也通過對(duì)用戶透明的�����、自動(dòng)��、智能的過程�����,而為用戶提供無縫操作���。
現(xiàn)在參照?qǐng)D4,提供了按照本發(fā)明的��、示例性自動(dòng)鑒權(quán)管理系統(tǒng)400的方框圖���。在本例中��,無線終端402的用戶正在建立WTLS等級(jí)3連接����。終端402可以代表多個(gè)移動(dòng)通信設(shè)備的任意一個(gè),諸如蜂窩電話404�����、個(gè)人數(shù)字助理(PDA)406���、筆記本或膝上型計(jì)算機(jī)408,或由設(shè)備410代表的任何其他類型的終端�����。如上所述�����,WTLS等級(jí)3連接利用鑒權(quán)證書��。WTLS等級(jí)3連接是安全的����,以及牽涉到用戶和服務(wù)器鑒權(quán)。
由WPKI業(yè)務(wù)414的業(yè)務(wù)提供者提供的已簽名的鑒權(quán)證書412被提供給WAP網(wǎng)關(guān)416和加印(signet)交換機(jī)418���。這些鑒權(quán)證書412可被提供為按優(yōu)選次序的鑒權(quán)證書的列表�。例如,示例性的優(yōu)選次序可以是1.業(yè)務(wù)提供者的證書2.WIM卡制造商的證書3.其他WIM卡制造商的證書按照本發(fā)明�����,加印交換機(jī)418引導(dǎo)終端402�、使用在終端402處按照由鑒權(quán)證書412的列表規(guī)定的次序可提供的第一證書,來建立這個(gè)連接����。因此對(duì)于以上標(biāo)識(shí)的、示例性的優(yōu)選次序��,加印交換機(jī)會(huì)引導(dǎo)終端402通過使用業(yè)務(wù)提供者已簽名的證書(即�,業(yè)務(wù)提供者的證書)來建立該連接。通過例如查驗(yàn)在終端402處的WIM或其他貯存裝置���,可以確定終端402是否包括這個(gè)鑒權(quán)證書��。
如果用戶還沒有接收到或者以其他方式得到業(yè)務(wù)提供者的證書��,則用戶沒有被注冊(cè)來使用由該業(yè)務(wù)提供者提供的業(yè)務(wù)(例如��,WPKI業(yè)務(wù)414)�。在這種情形下,通過使用下一個(gè)可得到的鑒權(quán)證書412(它在先前的例子中是業(yè)務(wù)提供者表示它“信任”的WIM制造商證書)來進(jìn)行連接��。這不允許用戶接入到WPKI業(yè)務(wù)414���,而是允許根據(jù)可信任的第二鑒權(quán)證書來建立連接�。如果根據(jù)WIM制造商證書的這個(gè)連接被成功地建立����,則加印交換機(jī)418確定未通過業(yè)務(wù)提供者的鑒權(quán)證書建立連接,而是使用可信任的第二鑒權(quán)證書(即�,WIM卡制造商的證書)來建立連接�����。
加印交換機(jī)418確定哪個(gè)鑒權(quán)證書被使用來建立該連接���,以及引導(dǎo)用戶到適當(dāng)?shù)膽?yīng)用�。如果通過使用業(yè)務(wù)提供者的證書建立連接����,則這表示終端402包括適當(dāng)?shù)臉I(yè)務(wù)提供者證書,以及加印交換機(jī)418將引導(dǎo)用戶到該業(yè)務(wù)���,在本例中這被標(biāo)記為WPKI業(yè)務(wù)414(通常表示它是任意的安全業(yè)務(wù))�。替換地,如果連接是通過使用可信任的WIM卡制造商的鑒權(quán)證書而被建立的�����,則加印交換機(jī)418把用戶引導(dǎo)到其中可以對(duì)于想要的業(yè)務(wù)實(shí)施注冊(cè)的實(shí)體���。在顯示的實(shí)施例中����,這個(gè)實(shí)體是登記管理器420����。在本發(fā)明的一個(gè)實(shí)施例中,登記管理器420被使用來將用戶注冊(cè)到想要的業(yè)務(wù)414�。登記管理器420驗(yàn)證訂戶/用戶身份,以及確定用戶在WIM中(或其他類似的身份模塊)是否擁有專用密鑰�。登記管理器420可以與認(rèn)證機(jī)構(gòu)422協(xié)作地工作,以作出必要的決定�����。如果這些檢驗(yàn)確定用戶具有適當(dāng)?shù)陌踩妥R(shí)別信息��,則登記管理器420把來自信任關(guān)系的適當(dāng)鑒權(quán)證書發(fā)布給用戶,以便用于該特定的業(yè)務(wù)414��。
圖5是顯示按照本發(fā)明的���、自動(dòng)鑒權(quán)管理系統(tǒng)500的另一個(gè)實(shí)施例的方框圖���。正如結(jié)合圖4描述的,在本例中�,無線終端502的用戶正在建立WTLS等級(jí)3連接。由WPKI業(yè)務(wù)504的業(yè)務(wù)提供者提供的鑒權(quán)證書由加印交換機(jī)506提供到終端502����。交換機(jī)506包括鑒權(quán)證書識(shí)別模塊508,它通過網(wǎng)關(guān)510提供鑒權(quán)證書的優(yōu)選次序給終端502��。按照本發(fā)明的一個(gè)實(shí)施例�����,鑒權(quán)證書可被存儲(chǔ)在存儲(chǔ)器中����,以及通過證書請(qǐng)求消息(諸如圖3的證書請(qǐng)求消息318)來由鑒權(quán)證書識(shí)別模塊508發(fā)出�。與這樣的證書請(qǐng)求消息相結(jié)合的是業(yè)務(wù)提供者鑒權(quán)證書,以及以優(yōu)選的次序識(shí)別的可信任機(jī)構(gòu)的鑒權(quán)證書的名稱和類型的列表。在本發(fā)明的一個(gè)實(shí)施例中��,業(yè)務(wù)提供者證書被識(shí)別為最高級(jí)別的證書��。
終端502返回客戶證書���,它由在終端502處擁有的�、相應(yīng)于最高級(jí)別證書的鑒權(quán)證書來代表����。如果終端502具有業(yè)務(wù)提供者鑒權(quán)證書,則終端502在客戶響應(yīng)中使用那個(gè)鑒權(quán)證書��。從終端502返回的和在線512上顯示的這個(gè)鑒權(quán)證書在比較模塊514處被與業(yè)務(wù)提供者的鑒權(quán)證書相比較���。在本例中�����,比較模塊514將檢測(cè)到所使用的客戶證書相應(yīng)于業(yè)務(wù)提供者的鑒權(quán)證書(SP CERT)����,因此把用戶引導(dǎo)到WPKI業(yè)務(wù)504����。
替換地����,如果終端502沒有業(yè)務(wù)提供者鑒權(quán)證書��,則終端502將返回它具有的最高級(jí)別的鑒權(quán)證書����,諸如WIM卡制造商的證書。在本例中���,比較模塊514將確定返回的證書不相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書(非SP CERT)�����,以及把用戶引導(dǎo)到登記管理者��,這樣�,用戶可對(duì)該業(yè)務(wù)進(jìn)行注冊(cè)����。
與加印交換機(jī)506有關(guān)的功能�,諸如比較功能和路由功能����,可以以結(jié)合處理模塊被使用的軟件來實(shí)施�����,或可以以硬件來實(shí)施�。在硬件的例子中,比較器可以確定在建立連接時(shí)由用戶使用的鑒權(quán)證書是要求連接到登記管理器516還是連接到業(yè)務(wù)504����。通過使用比較模塊514的結(jié)果(表示該連接應(yīng)當(dāng)取哪條路徑),可以把連接引導(dǎo)到適當(dāng)?shù)膶?shí)體����。例如,硬件實(shí)施方案可以使用比較模塊514的結(jié)果��,來控制交換機(jī)或復(fù)用模塊�,把用戶引導(dǎo)到適當(dāng)?shù)膶?shí)體。也可以使用各種各樣的軟件實(shí)施方案��。在一個(gè)特定的實(shí)施例中�����,在WAP網(wǎng)關(guān)中運(yùn)行的Java servlet可被使用來實(shí)施加印交換機(jī)506的功能,由此把交換機(jī)506的功能并入到WAP網(wǎng)關(guān)510�����。正如本領(lǐng)域所熟知的����,JavaTM是通用的、面向?qū)ο蟮恼Z言���,以及是方便這樣的執(zhí)行環(huán)境的�����、“一次寫入��,到處運(yùn)行”編程語言�。Servlet是Java源代碼的片段����,它以類似于applet把功能性加到瀏覽器的方式而把功能性加到萬維網(wǎng)服務(wù)器。Java servlet對(duì)于本領(lǐng)域技術(shù)人員是熟知的����。
比較模塊514可被配置成使得它把由終端使用來建立連接的鑒權(quán)證書與業(yè)務(wù)提供者的鑒權(quán)證書進(jìn)行比較。在這樣的實(shí)施方案中����,如果出現(xiàn)匹配,則用戶將被引導(dǎo)到業(yè)務(wù)504���。如果未發(fā)現(xiàn)匹配����,則這表示連接是用任何其他的鑒權(quán)證書(諸如WIM制造商證書)建立的����,但無論如何,這不是業(yè)務(wù)提供者的鑒權(quán)證書��。在另一個(gè)實(shí)施例中���,比較模塊514可以把按照優(yōu)選次序的證書列表中的每個(gè)鑒權(quán)證書508與被使用來建立連接的鑒權(quán)證書進(jìn)行比較���。在這種情形下,在比較模塊514中實(shí)行多個(gè)比較功能����,然后該比較模塊輸出哪個(gè)比較(如果有的話)導(dǎo)致匹配的指示����。按照本發(fā)明�,也可以使用其他的比較方法。無論如何���,用來建立連接的特定鑒權(quán)證書的確定結(jié)果�,被使用來識(shí)別引導(dǎo)用戶的正確方式���。
應(yīng)當(dāng)看到��,雖然交換機(jī)506和網(wǎng)關(guān)510被顯示為不同的模塊�����,但這是為了便于理解本發(fā)明���,因?yàn)榻粨Q機(jī)506可以與WAP網(wǎng)關(guān)510不同或被集成到WAP網(wǎng)關(guān)510中。
因此����,加印交換機(jī)506引導(dǎo)用戶用在終端502處找到的、相對(duì)于鑒權(quán)證書的按次序列表的第一匹配的鑒權(quán)證書來建立該連接。如果用戶沒有接收到業(yè)務(wù)提供者的證書���,則用可信任機(jī)構(gòu)的鑒權(quán)證書(諸如WIM制造商的鑒權(quán)證書)建立連接��。當(dāng)連接被建立時(shí),加印交換機(jī)506確定哪個(gè)鑒權(quán)證書被使用�����,以及引導(dǎo)用戶到適當(dāng)?shù)膽?yīng)用��。
在用戶沒有接收到業(yè)務(wù)提供者的證書的情形下���,加印交換機(jī)506自動(dòng)引導(dǎo)用戶到登記管理器516�。這允許用戶變成注冊(cè)到想要的業(yè)務(wù)�。圖6是顯示登記管理器可被結(jié)合本發(fā)明使用的一種方式的方框圖。登記管理器600接收由用戶在建立連接時(shí)使用的鑒權(quán)證書602��。正如本領(lǐng)域所熟知的��,這些證書包括支持鑒權(quán)的信息�,諸如證書有效性、發(fā)布者名稱和識(shí)別����、證書序列號(hào)�����、簽名算法��、版本號(hào)等等�����。登記管理器600使用這個(gè)信息�,該信息是通過由加印交換機(jī)提供的自動(dòng)路由機(jī)制而得到的���。登記管理器600執(zhí)行某些操作來驗(yàn)證用戶身份和確定用戶是否擁有適當(dāng)?shù)膶S妹荑€來達(dá)到對(duì)想要的業(yè)務(wù)的接入��,正如結(jié)合圖4描述的����。
登記管理器600可以結(jié)合認(rèn)證機(jī)構(gòu)606一起工作����。認(rèn)證機(jī)構(gòu)(CA)606是響應(yīng)于來自合法的注冊(cè)機(jī)構(gòu)的已鑒權(quán)請(qǐng)求,而發(fā)布��、更新、和廢止公共密鑰承載證書的實(shí)體�。更具體地,CA 606是能夠通過把數(shù)據(jù)置于預(yù)定的格式中且然后數(shù)字地簽名該數(shù)據(jù)�����,而創(chuàng)建證書的業(yè)務(wù)���。CA起到可信任的第三方的作用,在互相不直接了解的委托人之間進(jìn)行介紹����。CA證書或者由他們自己簽署,或者由某個(gè)其他CA(諸如“根”CA)簽署�。認(rèn)證機(jī)構(gòu)606持有專用密鑰,被使用來簽署域成員密鑰承載證書�。登記管理器600在認(rèn)證機(jī)構(gòu)606的輔助下確定用戶是否具有適當(dāng)?shù)膶S妹荑€或其他的必要信息,如果是的話����,登記管理器600把用戶注冊(cè)到想要的業(yè)務(wù)。最后得到的證書608����,諸如用于該想要的業(yè)務(wù)的鑒權(quán)和無法否認(rèn)證書�,被提供給用戶���。其他證書也可以返回給用戶����,如果被配置成這樣做的話��。
圖7是顯示根據(jù)由無線終端的用戶擁有的�、可確定的接入權(quán)利而自動(dòng)引導(dǎo)網(wǎng)絡(luò)連接的過程的示例性實(shí)施例的流程圖。對(duì)一個(gè)業(yè)務(wù)的接入權(quán)利可以從由無線終端提供的安全性證書(諸如鑒權(quán)證書)得到���。從無線終端接收700鑒權(quán)證書��,然后確定702所接收的鑒權(quán)證書是否相應(yīng)于由業(yè)務(wù)提供者認(rèn)可的鑒權(quán)證書��。如果是的話���,連接被切換到704宿有該安全業(yè)務(wù)的業(yè)務(wù)提供者的服務(wù)器。然后用戶可通過無線終端接入706該安全業(yè)務(wù)�����。
如果接收的證書不相應(yīng)于由業(yè)務(wù)提供者認(rèn)可的鑒權(quán)證書���,則連接被切換到708登記管理器��,在其中用戶注冊(cè)710該安全業(yè)務(wù)���。如果注冊(cè)不成功����,則用戶被拒絕接入該安全業(yè)務(wù)���,正如方塊714所示����。如果注冊(cè)是成功的�,正如判決塊712所示�,則業(yè)務(wù)提供者的鑒權(quán)證書被發(fā)送716到用戶,以及會(huì)話可被關(guān)閉718?�,F(xiàn)在用戶擁有業(yè)務(wù)提供者的鑒權(quán)證書���,用戶可以建立連接�,以通過該無線終端接入該業(yè)務(wù)����,這將跟隨方塊700�����、702����、704和706的流程��。
圖8是顯示根據(jù)由無線終端的用戶擁有的接入權(quán)利而自動(dòng)引導(dǎo)網(wǎng)絡(luò)連接的過程的另一個(gè)示例性實(shí)施例的流程圖����。在這個(gè)實(shí)施例中,無線客戶聯(lián)系800 WPKI業(yè)務(wù)��,以及建立802一個(gè)WTLS連接�����。確定804客戶是否具有對(duì)于WPKI業(yè)務(wù)的適當(dāng)?shù)蔫b權(quán)證書��。如果是的話�,用戶接入810該業(yè)務(wù)。如果不是的話���,則該連接被重新引導(dǎo)到806登記管理器����,以得到鑒權(quán)證書。當(dāng)?shù)玫借b權(quán)證書時(shí)���,WAP會(huì)話可以被關(guān)閉808���。這時(shí),如果想要的話��,用戶可以通過使用業(yè)務(wù)提供者的鑒權(quán)證書建立連接而接入該業(yè)務(wù)�,正如返回到方塊800的虛線所顯示的。
應(yīng)當(dāng)看到�����,上述的實(shí)施例是這里描述的各種自動(dòng)接入和登記原理的代表性例子���,以及本發(fā)明不限于這些顯示的實(shí)施例。
通過上述的技術(shù)說明�,本發(fā)明可以通過使用標(biāo)準(zhǔn)編程和/或工程技術(shù)來產(chǎn)生編程的軟件、固件�����、硬件或它們的任何組合而被實(shí)施為機(jī)器、過程��、或制造的物品�����。
任何最后得到的�、具有計(jì)算機(jī)可讀的程序代碼的程序,可被體現(xiàn)在一個(gè)或多個(gè)計(jì)算機(jī)可使用的媒體內(nèi)��,諸如存儲(chǔ)器裝置或傳輸裝置���,由此制成按照本發(fā)明的計(jì)算機(jī)程序產(chǎn)品或制造的物品���。這樣,如這里使用的����、術(shù)語“制造物品”或“計(jì)算機(jī)程序產(chǎn)品”打算包括在任何計(jì)算機(jī)可使用的媒體上(諸如在任何存儲(chǔ)器裝置或任何傳輸裝置上)(永久、臨時(shí)��、或瞬息地)存在的計(jì)算機(jī)程序。
直接從一個(gè)媒體執(zhí)行程序代碼��、把程序代碼存儲(chǔ)在媒體上�����、把代碼從一個(gè)媒體復(fù)制到另一個(gè)媒體����、通過使用傳輸裝置發(fā)送代碼、或其他等價(jià)的行動(dòng)��,可牽涉到存儲(chǔ)器或傳輸裝置的使用�,這僅僅把程序代碼瞬息地體現(xiàn)為制作、使用��、或銷售本發(fā)明中的初步或最后的步驟�����。
存儲(chǔ)器裝置包括�����,但不限于�,硬盤驅(qū)動(dòng)�、磁盤���、光盤、磁帶�、半導(dǎo)體存儲(chǔ)器,諸如RAM����,ROM,PROM等等�。傳輸裝置包括,但不限于�����,互聯(lián)網(wǎng)�、內(nèi)聯(lián)網(wǎng)、基于電話/調(diào)制解調(diào)器的網(wǎng)絡(luò)通信����、硬連線/電纜連接的通信網(wǎng)、蜂窩通信����、無線電波通信、衛(wèi)星通信和其他固定的或移動(dòng)的網(wǎng)絡(luò)系統(tǒng)/通信鏈路。
實(shí)現(xiàn)本發(fā)明的機(jī)器可牽涉到一個(gè)或多個(gè)處理系統(tǒng)����,包括但不限于,CPU����、存儲(chǔ)器/貯存裝置、通信鏈路�、通信/傳輸裝置、服務(wù)器��、I/O設(shè)備�����,或一個(gè)或多個(gè)處理系統(tǒng)的任何子部件或個(gè)體部分��,包括軟件�����、固件�、硬件或它們的任何組合或子組合,它們實(shí)現(xiàn)如權(quán)利要求所述的本發(fā)明���。
從這里提供的說明�,本領(lǐng)域技術(shù)人員能夠容易地組合通過適當(dāng)?shù)耐ㄓ没驅(qū)S糜?jì)算機(jī)硬件�、按所描述的內(nèi)容創(chuàng)建的軟件,創(chuàng)建實(shí)現(xiàn)本發(fā)明的計(jì)算機(jī)系統(tǒng)和/或計(jì)算機(jī)子部件�,以及創(chuàng)建用于實(shí)行本發(fā)明的方法的計(jì)算機(jī)系統(tǒng)和/或計(jì)算機(jī)子部件。
當(dāng)然����,應(yīng)當(dāng)看到,對(duì)于以上所討論的各種實(shí)施例可以作出各種修正和添加���,而不背離本發(fā)明的范圍或精神�。因此����,本發(fā)明的范圍不應(yīng)當(dāng)被以上討論的具體實(shí)施例限制,而是應(yīng)當(dāng)僅僅由以下闡述的權(quán)利要求和它的等價(jià)物規(guī)定����。
權(quán)利要求
1.一種用于根據(jù)無線終端的用戶擁有的接入權(quán)利而自動(dòng)引導(dǎo)網(wǎng)絡(luò)連接的方法,該方法包括從該無線終端接收一個(gè)證書�,該證書具有表示用戶擁有的接入權(quán)利的安全性信息;確定該接收的證書是否相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書���,該業(yè)務(wù)提供者鑒權(quán)證書識(shí)別對(duì)于一個(gè)作為目標(biāo)的業(yè)務(wù)的接入權(quán)利��;如果該接收的證書相應(yīng)于該業(yè)務(wù)提供者鑒權(quán)證書�����,則該網(wǎng)絡(luò)連接被引導(dǎo)到該作為目標(biāo)的業(yè)務(wù)�����;以及如果該接收的證書不相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書���,則該網(wǎng)絡(luò)連接被引導(dǎo)到登記模塊��,以便注冊(cè)該業(yè)務(wù)提供者鑒權(quán)證書��。
2.權(quán)利要求1的方法���,還包括把一個(gè)或多個(gè)可得到的預(yù)定證書的列表提供給該無線終端。
3.權(quán)利要求2的方法���,還包括把該可得到的預(yù)定證書的列表按照要在該無線終端實(shí)行的選擇的預(yù)定次序提供給該無線終端����。
4.權(quán)利要求3的方法,還包括在該無線終端選擇一個(gè)本地存儲(chǔ)的證書�����,它相應(yīng)于與本地存儲(chǔ)的證書相匹配的�、最高次序的預(yù)定證書���。
5.權(quán)利要求4的方法��,還包括通過使用該選擇的本地存儲(chǔ)的證書來建立該網(wǎng)絡(luò)連接����,其中所選擇的證書是從該無線終端接收的��、具有表示該用戶擁有的接入權(quán)利的安全性信息的證書����。
6.權(quán)利要求3的方法,還包括允許該無線終端通過利用相應(yīng)于與本地存儲(chǔ)的證書相匹配的���、在預(yù)定次序中是最高的預(yù)定證書的本地存儲(chǔ)的證書���,而建立該網(wǎng)絡(luò)連接��。
7.權(quán)利要求1的方法�,其中接收一個(gè)證書包括通過由該無線終端發(fā)出的客戶證書消息來接收該證書����。
8.權(quán)利要求1的方法,還包括當(dāng)該網(wǎng)絡(luò)連接被引導(dǎo)到該登記模塊時(shí)��,通過該登記模塊把用戶登記到該作為目標(biāo)的業(yè)務(wù)��。
9.權(quán)利要求8的方法���,還包括響應(yīng)于把用戶登記到該作為目標(biāo)的業(yè)務(wù)�����,而把業(yè)務(wù)提供者鑒權(quán)證書提供回該無線終端���。
10.權(quán)利要求1的方法,其中該用戶擁有的接入權(quán)利被作為本地證書存儲(chǔ)在無線身份模塊(WIM)上���。
11.權(quán)利要求1的方法����,還包括給該無線終端提供可得到的鑒權(quán)證書的列表,該無線終端可以使用其中的證書來建立該連接����。
12.權(quán)利要求11的方法,還包括按優(yōu)選的次序給該無線終端提供可得到的鑒權(quán)證書的列表��,該無線終端在建立該連接時(shí)必須利用其中的在該無線終端處擁有的最高優(yōu)先的鑒權(quán)證書�。
13.權(quán)利要求12的方法,其中列出的最高優(yōu)先的鑒權(quán)證書是業(yè)務(wù)提供者鑒權(quán)證書�����。
14.權(quán)利要求11的方法����,其中確定該接收的證書是否相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書包括把該接收的證書與可得到的鑒權(quán)證書的列表進(jìn)行比較�����。
15.權(quán)利要求1的方法���,其中確定該接收的證書是否相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書包括把該接收的證書與業(yè)務(wù)提供者鑒權(quán)證書進(jìn)行比較��。
16.一種管理對(duì)用戶經(jīng)過無線終端可得到的安全業(yè)務(wù)的接入和登記的系統(tǒng)�����,包括業(yè)務(wù)模塊���,業(yè)務(wù)提供者通過該業(yè)務(wù)模塊幫助把安全業(yè)務(wù)提供給該無線終端的用戶����;登記管理器���,其實(shí)施用戶對(duì)該安全業(yè)務(wù)的注冊(cè)�����;以及交換機(jī)模塊�����,其被耦合來接收由該無線終端在建立與它的連接時(shí)所利用的安全證書���,其中該交換機(jī)模塊根據(jù)在建立該連接時(shí)所利用的安全證書,而把該連接引導(dǎo)到業(yè)務(wù)模塊或登記管理器�。
17.如在權(quán)利要求16中的系統(tǒng),其中交換機(jī)模塊確定在建立該連接時(shí)哪個(gè)安全證書被利用,以及根據(jù)所利用的安全證書而把該連接引導(dǎo)到業(yè)務(wù)模塊或登記管理器����。
18.如在權(quán)利要求17中的系統(tǒng),其中安全證書被業(yè)務(wù)提供者數(shù)字地簽署�����,表示該用戶對(duì)該業(yè)務(wù)提供者注冊(cè)來使用該安全業(yè)務(wù)��,由此把該連接引導(dǎo)到該業(yè)務(wù)模塊�����。
19.如在權(quán)利要求17中的系統(tǒng)�,其中安全證書沒有被該業(yè)務(wù)提供者數(shù)字地簽署���,表示該用戶沒有對(duì)該業(yè)務(wù)提供者注冊(cè)來使用該安全業(yè)務(wù)����,由此把該連接引導(dǎo)到該登記管理器�。
20.如在權(quán)利要求17中的系統(tǒng),其中安全證書由被該業(yè)務(wù)提供者信任的可信任機(jī)構(gòu)數(shù)字地簽署����,表示該用戶可通過該可信任機(jī)構(gòu)得到注冊(cè)���,由此把該連接引導(dǎo)到該登記管理器。
21.如在權(quán)利要求16中的系統(tǒng)���,其中安全證書包括鑒權(quán)證書��。
22.如在權(quán)利要求21中的系統(tǒng)�,其中鑒權(quán)證書包括身份驗(yàn)證鑒權(quán)證書�����、授權(quán)證書���、和無法否認(rèn)證書中的至少一個(gè)證書�����。
23.如在權(quán)利要求16中的系統(tǒng)���,其中交換機(jī)模塊包括以使用的優(yōu)選次序列出的潛在鑒權(quán)證書的列表,以及其中交換機(jī)模塊把該潛在鑒權(quán)證書的列表提供給該無線終端����,允許該無線終端通過按照使用的優(yōu)選次序來使用最高次序的鑒權(quán)證書而建立該連接��。
24.如在權(quán)利要求23中的系統(tǒng)�,其中交換機(jī)包括比較模塊���,以便把至少一個(gè)預(yù)定的鑒權(quán)證書與由該無線終端使用的鑒權(quán)證書進(jìn)行比較�����。
25.如在權(quán)利要求24中的系統(tǒng)����,其中(a)該比較模塊把業(yè)務(wù)提供者的鑒權(quán)證書與由該無線終端在建立該連接時(shí)所使用的鑒權(quán)證書進(jìn)行比較��;(b)如果發(fā)現(xiàn)匹配�����,則交換機(jī)模塊把該用戶引導(dǎo)到該業(yè)務(wù)模塊��,以使用該安全業(yè)務(wù)�����;以及(c)如果未發(fā)現(xiàn)匹配�,則交換機(jī)模塊把該用戶引導(dǎo)到該登記管理器,以便實(shí)現(xiàn)用戶對(duì)該安全業(yè)務(wù)的注冊(cè)����。
26.如在權(quán)利要求24中的系統(tǒng),其中(a)該比較模塊把每個(gè)預(yù)定的鑒權(quán)證書與由該無線終端所使用的鑒權(quán)證書進(jìn)行比較����;(b)根據(jù)比較的結(jié)果,交換機(jī)模塊把用戶引導(dǎo)到該業(yè)務(wù)模塊或登記管理器�����。
27.如在權(quán)利要求16中的系統(tǒng)�,其中登記管理器被配置成一成功注冊(cè)就發(fā)出鑒權(quán)證書,包括供安全業(yè)務(wù)使用所要求的業(yè)務(wù)提供者鑒權(quán)證書�。
28.一種管理對(duì)于在網(wǎng)絡(luò)上可得到的安全業(yè)務(wù)的用戶接入和登記的系統(tǒng),包括無線網(wǎng)絡(luò)����,包括可以在其中運(yùn)行的多個(gè)無線終端;計(jì)算系統(tǒng)的網(wǎng)絡(luò)���,其中至少一個(gè)計(jì)算系統(tǒng)包括服務(wù)器計(jì)算系統(tǒng)���,其宿有由至少一個(gè)無線終端作為目標(biāo)的安全業(yè)務(wù)�,以及其中至少一個(gè)計(jì)算系統(tǒng)包括登記服務(wù)器�,以實(shí)現(xiàn)用戶到該安全業(yè)務(wù)的注冊(cè);網(wǎng)關(guān)計(jì)算系統(tǒng)���,被配置成在無線網(wǎng)絡(luò)與計(jì)算系統(tǒng)的網(wǎng)絡(luò)之間橋接通信�����;以及網(wǎng)絡(luò)交換機(jī)�,被耦合來接收由無線終端在建立與計(jì)算系統(tǒng)的網(wǎng)絡(luò)的連接時(shí)所利用的鑒權(quán)證書����,其中該網(wǎng)絡(luò)交換機(jī)根據(jù)由該無線終端在建立該連接時(shí)利用的鑒權(quán)證書,而把該連接切換到該服務(wù)器計(jì)算系統(tǒng)或登記服務(wù)器��。
29.如在權(quán)利要求28中的系統(tǒng)���,其中網(wǎng)關(guān)計(jì)算系統(tǒng)包括無線應(yīng)用協(xié)議(WAP)網(wǎng)關(guān)��,以及至少該建立與計(jì)算系統(tǒng)網(wǎng)絡(luò)的連接的無線終端包括遵從WAP的終端�。
30.如在權(quán)利要求29中的系統(tǒng)�,其中遵從WAP的終端包括無線電話、個(gè)人數(shù)字助理��、無線尋呼機(jī)�、和無線膝上型計(jì)算機(jī)之一。
31.如在權(quán)利要求28中的系統(tǒng)���,其中計(jì)算系統(tǒng)網(wǎng)絡(luò)包括互聯(lián)網(wǎng)�����,以及其中無線應(yīng)用協(xié)議(WAP)被使用來在該無線終端與互聯(lián)網(wǎng)之間進(jìn)行通信����。
32.一種用于根據(jù)無線終端的用戶擁有的接入權(quán)利而自動(dòng)路由網(wǎng)絡(luò)連接的系統(tǒng)����,包括用于從該無線終端接收一個(gè)證書的裝置,該證書具有表示該用戶擁有的接入權(quán)利的安全性信息���;用于確定該接收的證書是否相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書的裝置����,該業(yè)務(wù)提供者鑒權(quán)證書識(shí)別對(duì)于作為目標(biāo)的業(yè)務(wù)的接入權(quán)利��;用于在接收的證書相應(yīng)于該業(yè)務(wù)提供者鑒權(quán)證書的情況下把該網(wǎng)絡(luò)連接引導(dǎo)到作為目標(biāo)的業(yè)務(wù)、以及在接收的證書不相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書的情況下把該網(wǎng)絡(luò)連接引導(dǎo)到登記模塊以便注冊(cè)該業(yè)務(wù)提供者鑒權(quán)證書的裝置�。
33.一種有形地實(shí)現(xiàn)可由計(jì)算系統(tǒng)執(zhí)行的指令程序的計(jì)算機(jī)可讀程序貯存媒體,所述程序通過執(zhí)行以下步驟來管理用戶對(duì)安全網(wǎng)絡(luò)業(yè)務(wù)的接入和登記���,包括從無線終端接收一個(gè)證書���,該證書具有表示用戶擁有的接入權(quán)利的安全性信息;確定接收的證書是否相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書����,該業(yè)務(wù)提供者鑒權(quán)證書識(shí)別對(duì)于作為目標(biāo)的業(yè)務(wù)的接入權(quán)利;如果接收的證書相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書��,則該網(wǎng)絡(luò)連接被引導(dǎo)到該作為目標(biāo)的業(yè)務(wù)���;以及如果接收的證書不相應(yīng)于業(yè)務(wù)提供者鑒權(quán)證書�����,則該網(wǎng)絡(luò)連接被引導(dǎo)到登記模塊�,以便注冊(cè)該業(yè)務(wù)提供者鑒權(quán)證書����。
全文摘要
一種用于根據(jù)無線終端的用戶擁有的接入權(quán)利而把網(wǎng)絡(luò)連接自動(dòng)切換到適當(dāng)?shù)木W(wǎng)絡(luò)實(shí)體的系統(tǒng)和方法�����。交換機(jī)認(rèn)知由終端提供的證書(702),以及如果該證書證明具有適當(dāng)?shù)慕尤霗?quán)利���,則把連接引導(dǎo)到宿有被作為目標(biāo)的安全業(yè)務(wù)的業(yè)務(wù)提供者(704)���。如果該證書不相應(yīng)于業(yè)務(wù)提供者要求的證書,則交換機(jī)把連接引導(dǎo)到登記模塊(708)����,在那里用戶可嘗試從該登記模塊得到適當(dāng)?shù)淖C書(710),以便最終接入該作為目標(biāo)的安全業(yè)務(wù)(706)�����。
文檔編號(hào)H04L29/06GK1539216SQ02815257
公開日2004年10月20日 申請(qǐng)日期2002年8月1日 優(yōu)先權(quán)日2001年8月3日
發(fā)明者M·拉特恩馬基, M 拉特恩馬基 申請(qǐng)人:諾基亞有限公司