国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      透明地驗證訪問web服務(wù)的移動用戶的方法和系統(tǒng)的制作方法

      文檔序號:7949815閱讀:191來源:國知局
      專利名稱:透明地驗證訪問web服務(wù)的移動用戶的方法和系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明涉及一種用于對于分組數(shù)據(jù)網(wǎng)絡(luò)(例如,互聯(lián)網(wǎng))識別第一網(wǎng)絡(luò)的訂戶的驗證方法和系統(tǒng)。具體說來,開發(fā)本發(fā)明以便通過使用與移動網(wǎng)絡(luò)中的訂戶相關(guān)的訂戶標(biāo)識,而將本發(fā)明用于對分組數(shù)據(jù)網(wǎng)絡(luò)驗證移動網(wǎng)絡(luò)的訂戶的過程。
      背景技術(shù)
      從遠(yuǎn)程位置訪問專用或公共分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)(例如,互聯(lián)網(wǎng))的用戶數(shù)量正在急劇增長。此外,不管人們在什么位置,均可向他們提供多媒體服務(wù)的景象推動了使用分組交換連接(例如,使用互聯(lián)網(wǎng)協(xié)議(IP))的蜂窩網(wǎng)絡(luò)的發(fā)展,其中,使用分組交換連接意味著虛擬連接總是可用于網(wǎng)絡(luò)中的任意其它端點。基于分組的無線通信服務(wù)的標(biāo)準(zhǔn)包括通用分組無線業(yè)務(wù)(GPRS)、用于GSM演進(jìn)的增強數(shù)據(jù)率(EDGE)以及通用移動電信服務(wù)(UMTS)。
      近來,由于成本的降低以及連接性能前所未有的增強,在用戶室內(nèi)安裝了越來越多的高速數(shù)據(jù)通信系統(tǒng)。作為示例,這些數(shù)據(jù)通信系統(tǒng)工作于公共交換電話網(wǎng)絡(luò)(PSTN)的相同銅雙絞線上,以便連接到互聯(lián)網(wǎng)。盡管通過普通電話線的互聯(lián)網(wǎng)連接還可使用其它高速調(diào)制解調(diào)器,但是所述互聯(lián)網(wǎng)連接通常通過數(shù)字訂戶線路(DSL)接入技術(shù)來進(jìn)行。DSL使用專門的調(diào)制解調(diào)器,以便通過用于將電話服務(wù)帶入家庭的標(biāo)準(zhǔn)銅線實現(xiàn)訂戶的家庭與最近電話中心局之間的高速數(shù)據(jù)傳送。存在若干種DSL通信方案(通常稱為xDSL技術(shù)),但是商業(yè)上可用的最普通形式之一是ADSL(異步DSL),其中,下行(到訂戶)數(shù)據(jù)率比上行(來自訂戶)數(shù)據(jù)率快幾倍。
      近年來受到關(guān)注的另一接入技術(shù)是光纖到戶(FTTH)的高速寬帶接入系統(tǒng),其中,光纖從電話交換機進(jìn)入訂戶的室內(nèi)。
      在短程無線互聯(lián)網(wǎng)連接中,具有內(nèi)置無線性能的計算機或手持設(shè)備(例如,PDA)使用無線電技術(shù)在接入點或網(wǎng)關(guān)內(nèi)的任何地方發(fā)送和接收數(shù)據(jù),其中,所述接入點或網(wǎng)關(guān)充當(dāng)廣播和接收基站并充當(dāng)無線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間的接口。例如,無線裝置與接入點之間的無線電技術(shù)可基于IEEE 802.11標(biāo)準(zhǔn)(Wi-Fi規(guī)范)或IEEE 802.16標(biāo)準(zhǔn)(WiMAX規(guī)范)。
      寬帶接入技術(shù)使得服務(wù)運營商能夠擴展他們提供給商業(yè)用戶和家庭用戶兩者的內(nèi)容和服務(wù)。例如,用戶可向一個或多個服務(wù)運營商預(yù)訂多種服務(wù)或應(yīng)用,諸如語音服務(wù)、互聯(lián)網(wǎng)訪問服務(wù)、視頻服務(wù)、游戲服務(wù)等。可通過諸如DSL線路的單個網(wǎng)絡(luò)連接來傳遞可經(jīng)由專用或公共PDN(例如,互聯(lián)網(wǎng))提供的這些服務(wù)和/或應(yīng)用。
      另一方面,數(shù)量持續(xù)增長的可在PDN上提供的服務(wù)在諸如按每次會話付費的情況下,僅準(zhǔn)許授權(quán)用戶對需要訂閱的服務(wù)或者根據(jù)其用戶的簡檔定制的服務(wù)進(jìn)行訪問。某些傳統(tǒng)驗證程序使用密碼(例如,通過自動裝置識別的字符串),其允許用戶訪問受保護的文件或輸入/輸出裝置。
      申請人考慮了以下內(nèi)容。首先,對于用戶,基于密碼的驗證系統(tǒng)必然是不透名的,所述用戶當(dāng)進(jìn)入服務(wù)時必須輸入他的密碼。當(dāng)用戶想要在會話期間訪問多個服務(wù)時,上述處理就變得特別不方便。其次,盡管密碼在技術(shù)上易于實現(xiàn),但是由于密碼易被復(fù)制或盜用,所以密碼容易泄漏。
      移動通信系統(tǒng)控制由相應(yīng)于授權(quán)用戶的移動基站使用的網(wǎng)絡(luò)的資源。在傳統(tǒng)的全球移動通信系統(tǒng)(GSM)中,移動站(MS)包括訂戶標(biāo)識模塊(SIM),所述用戶標(biāo)識模塊包含訂戶的信息,所述信息包括用于允許MS訪問GSM系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的數(shù)據(jù)。由于SIM提供識別各個用戶的唯一手段,所以可將SIM看作安全裝置;所述SIM使用密碼和固有計算性能來存儲秘密信息,所述秘密信息決不會在外部以原始形式被泄漏。
      在傳統(tǒng)GSM網(wǎng)絡(luò)系統(tǒng)中,幾個數(shù)據(jù)庫可用于呼叫控制以及驗證和安全目的,所述數(shù)據(jù)庫典型地為歸屬位置寄存器(HLR)、拜訪位置寄存器(VLR)、驗證中心(AU)和設(shè)備標(biāo)識寄存器(EIR)。對于向網(wǎng)絡(luò)運營商注冊的所有用戶,永久數(shù)據(jù)(諸如用戶的簡檔)以及臨時數(shù)據(jù)(諸如用戶的當(dāng)前位置)被存儲在HLR中。在對用戶進(jìn)行呼叫的情況下,總是首先查詢HLR以確定用戶的當(dāng)前位置。VLR負(fù)責(zé)一組位置區(qū)域,并存儲當(dāng)前處于其負(fù)責(zé)的區(qū)域的那些用戶的數(shù)據(jù)。這其中包括部分永久用戶數(shù)據(jù),這些數(shù)據(jù)已經(jīng)被從HLR發(fā)送到VLR以進(jìn)行更快的訪問。但是所述VLR還可分配并存儲諸如臨時標(biāo)識的本地數(shù)據(jù)。AUC產(chǎn)生并存儲與安全性有關(guān)的數(shù)據(jù)(諸如用于驗證和加密的密鑰),而EIR注冊設(shè)備數(shù)據(jù),而不是訂戶數(shù)據(jù)。
      GSM明確地在用戶與設(shè)備之間進(jìn)行區(qū)分并分別處理他們。已定義若干訂戶和設(shè)備標(biāo)識符;需要它們來管理訂戶移動性并對所有留有的網(wǎng)絡(luò)部件進(jìn)行尋址。國際移動站設(shè)備標(biāo)識(IMEI)作為一種序列號,唯一地識別國際間的移動站(MS)。由設(shè)備制造商分配IMEI,并由網(wǎng)絡(luò)運營商將其注冊,所述網(wǎng)絡(luò)運營商將IMEI存儲在EIR中。每個注冊的用戶(即,訂戶)由它的國際移動訂戶標(biāo)識(IMSI)唯一識別。所述IMSI典型地存儲于SIM中。只有將具有有效IMSI的SIM插入具有有效IMEI設(shè)備,MS才可操作。移動站的“實際電話號碼”是移動訂戶ISDN號(MSISDN)。將所述移動訂戶ISDN號分配給訂戶(即,他或她的SIM),從而移動站裝置可具有若干取決于SIM的MSISDN。
      通用分組無線業(yè)務(wù)(GPRS)是為數(shù)字蜂窩網(wǎng)絡(luò)(例如,GSM或個人通信服務(wù)-PCS)設(shè)計的服務(wù),其最初針對GSM而開發(fā)。GPRS大大提高并簡化了對分組數(shù)據(jù)網(wǎng)絡(luò)(例如,對互聯(lián)網(wǎng))的無線訪問。GPRS應(yīng)用分組無線電原理,以在移動站與外部分組數(shù)據(jù)網(wǎng)絡(luò)之間通過有效的方式來傳送用戶數(shù)據(jù)包??芍苯訉⒂脩魯?shù)據(jù)包從GPRS移動站路由到其它GPRS終端或PDN,或者直接將用戶數(shù)據(jù)包從所述其它GPRS終端或PDN路由到所述GPRS移動站。在當(dāng)前版本的GPRS中支持基于互聯(lián)網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò)(例如,全球互聯(lián)網(wǎng)或?qū)S?公司內(nèi)聯(lián)網(wǎng))。
      GPRS對網(wǎng)絡(luò)資源和無線電資源的使用進(jìn)行優(yōu)化,并且不掌管對安裝的GSM基礎(chǔ)結(jié)構(gòu)的移動交換中心(MSC)基站的改變。為了結(jié)合到現(xiàn)有GSM體系結(jié)構(gòu),GPRS體系結(jié)構(gòu)通常包括網(wǎng)關(guān)GPRS支持節(jié)點(GGSN)和服務(wù)GPRS支持節(jié)點(SGSN)。位于與MSC相同分層級別的GGSN充當(dāng)?shù)街T如互聯(lián)網(wǎng)的其它分組數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)關(guān)。SGSN是服務(wù)節(jié)點,其實現(xiàn)到啟用GPRS的移動裝置的虛擬連接并能夠傳遞數(shù)據(jù)。SGSN將數(shù)據(jù)發(fā)送到移動站,從移動站接收數(shù)據(jù),并保存關(guān)于移動站(MS)的位置的信息。SGSN在MS與GGSN之間通信。
      GPRS安全性功能典型地等同于現(xiàn)有GSM安全性。SGSN基于與現(xiàn)有GSM中相同的算法、密鑰和準(zhǔn)則來執(zhí)行驗證和密碼設(shè)置程序。GPRS使用針對分組數(shù)據(jù)傳輸優(yōu)化的密碼算法。
      為了在成功附 GPRS之后與外部PDN交換數(shù)據(jù)包,MS必須申請一個或多個在PDN中使用的地址,例如,在PDN是IP網(wǎng)絡(luò)的情況下,MS必須申請IP地址。所述地址被稱為PDP地址(分組數(shù)據(jù)協(xié)議地址)。對于每個會話,創(chuàng)建所謂的PDP語境,其描述會話的特征。其包含PDP類型(例如,IPv4)、請求的服務(wù)質(zhì)量(QoS)以及用作到PDN的訪問點的GGSN的地址。將所述語境存儲在MS、SGSN和GGSN中。在活動PDP語境下,移動站對于外部PDN“可視”,并且移動站能夠發(fā)送和接收數(shù)據(jù)包。所述兩個地址,PDP與IMSI之間的映射使得GGSN能夠在PDN與MS之間傳送數(shù)據(jù)包。用戶可以在給定時間使若干同時的PDP語境處于活動狀態(tài)。
      第01/67716號WO專利申請描述了一種將移動終端的MSISDN號與臨時分配的IP地址關(guān)聯(lián)以在無線應(yīng)用協(xié)議(WAP)網(wǎng)絡(luò)中用于驗證、計費和個性化處理的方法。
      第01/03402號WO專利申請描述了一種用于在第二網(wǎng)絡(luò)(例如,IP網(wǎng)絡(luò))中識別第一網(wǎng)絡(luò)(即,GPRS網(wǎng)絡(luò))的訂戶的方法,其中,將第二網(wǎng)絡(luò)的地址分配給訂戶。產(chǎn)生關(guān)于第二網(wǎng)絡(luò)的地址(例如,IP地址)與訂戶的標(biāo)識之間的映射的信息,并將所述信息發(fā)送到第二網(wǎng)絡(luò)。所述訂戶的標(biāo)識可以是訂戶的IMSI和/或MSISDN。
      申請人已注意到通過將訂戶的標(biāo)識關(guān)聯(lián)到IP地址來驗證對IP網(wǎng)絡(luò)的訪問通常容易受到IP包的電子欺騙,其允許互聯(lián)網(wǎng)上的入侵者有效地冒充本地系統(tǒng)的IP地址。此外,所述兩個網(wǎng)絡(luò)應(yīng)該直接連接(利用可行的可路由專用IP地址),或者它們需要兼容的地址規(guī)劃。
      第01/17310號WO專利申請描述了一種用于通過應(yīng)用GSM安全性原理來驗證請求訪問PDN的用戶的系統(tǒng)。經(jīng)由接入網(wǎng)絡(luò)將遠(yuǎn)程主機連接到PDN,將MS耦合到與PDN連接的移動網(wǎng)絡(luò)。響應(yīng)于接收對PDN的用戶請求,PDN產(chǎn)生驗證令牌,并經(jīng)由接入網(wǎng)絡(luò)和遠(yuǎn)程主機將所述驗證令牌發(fā)送到用戶,所述用戶通過移動網(wǎng)絡(luò)將驗證令牌發(fā)送回PDN,其中,PDN比較驗證令牌,以確定是否準(zhǔn)許用戶訪問PDN。
      申請人注意到公開的驗證系統(tǒng)對于用戶不透明,用戶必須等待驗證并且不得不將接收的驗證令牌發(fā)送回PDN。此外,由于遠(yuǎn)程服務(wù)器必須知道用戶的電話號碼,所以公開的系統(tǒng)可危及用戶的隱私。
      第2004/0132429號美國專利申請描述了這樣一種方法和系統(tǒng),所述方法和系統(tǒng)能夠在不必專門知道移動終端編程或任何POP3或SMTP參數(shù)的情況下,提供經(jīng)由移動通信網(wǎng)絡(luò)對電子郵件帳戶的訪問。使用默認(rèn)POP3/SMTP服務(wù)器來預(yù)先配置移動終端。為了訪問電子郵件帳戶,使用標(biāo)準(zhǔn)POP3/SMTP經(jīng)由移動網(wǎng)絡(luò)在移動終端客戶機與代理服務(wù)器之間建立通信。可只是基于用戶的MSISDN來準(zhǔn)許用戶訪問電子郵件帳戶。
      可將通用移動電信服務(wù)(UMTS)看作GSM/GPRS網(wǎng)絡(luò)的直接進(jìn)化。UMTS的安全功能基于在GSM中實施的內(nèi)容(諸如對訂戶的驗證),而某些安全功能已經(jīng)被添加并且某些現(xiàn)有的安全功能已經(jīng)被改善。
      分組交換采用作為比較短的消息數(shù)據(jù)塊的數(shù)據(jù)包。所述數(shù)據(jù)包可以如在異步傳輸模式(ATM)中那樣具有固定長度,或者可以如在幀中繼或互聯(lián)網(wǎng)協(xié)議(IP)中那樣具有可變長度。一種期望的情況為基于分組的無線網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)支持互聯(lián)網(wǎng)電話?;ヂ?lián)網(wǎng)電話或IP電話指的是一種將互聯(lián)網(wǎng)性能與PSTN功能合并的應(yīng)用。IP電話應(yīng)用能夠?qū)崿F(xiàn)實時語音通信量通過互聯(lián)網(wǎng)基礎(chǔ)結(jié)構(gòu)的傳輸以及與現(xiàn)有PSTN基礎(chǔ)結(jié)構(gòu)的無縫結(jié)合。盡管IP電話主要集中在語音呼叫方面,通常稱為IP語音或VoIP,但是IP電話也可用于攜帶其它音頻或多媒體應(yīng)用,諸如傳真、視頻和調(diào)制解調(diào)器數(shù)據(jù)。
      為支持IP電話而研發(fā)的協(xié)議是會話啟動協(xié)議(SIP)。SIP是用于設(shè)立,修改和撤銷多媒體會話的信令傳輸協(xié)議,并且與它使用的協(xié)議結(jié)合向潛在的會話參與者描述通信會話的會話特征。這些會話包括互聯(lián)網(wǎng)多媒體會議、互聯(lián)網(wǎng)電話呼叫和多媒體分布。用于創(chuàng)建會話的SIP INVITE攜帶允許參與者在一組兼容媒體類型方面達(dá)成一致的會話描述。SIP通過向用戶的當(dāng)前位置代理請求或?qū)⑺稣埱笾匦露ㄏ虻接脩舻漠?dāng)前位置來支持用戶移動性。通常,實時協(xié)議(RTP)用于在通信會話期間交換多媒體(音頻、語音或數(shù)據(jù)),但是SIP允許使用任何傳輸協(xié)議。SIP使用客戶機-服務(wù)器模型,其中,客戶機發(fā)起SIP請求,服務(wù)器對請求作出響應(yīng)。在SIP中,端點實體稱為用戶實體,其既作為客戶機(用戶代理客戶機),即,SIP請求的發(fā)起者,也作為返回響應(yīng)的服務(wù)器(用戶代理服務(wù)器)。
      在可被看作敵對環(huán)境的互聯(lián)網(wǎng)中部署SIP,其中,SIP部件和消息可暴露于各種安全威脅和攻擊。在基于SIP的系統(tǒng)中,可在不同的層實現(xiàn)驗證措施,所述不同的層包括應(yīng)用層、傳輸層和網(wǎng)絡(luò)層。
      在2004年8月31日從互聯(lián)網(wǎng)上在http//www.ietf.org/internet-dratfs/draft-tschofenig-sip-saml-00.txt下載的H.Tschofenig等人的“Using SAML for SIP”中提出一種使用與SIP合作的安全聲明標(biāo)記語言(SAML)來實現(xiàn)授權(quán)機制的方法。描述一種增強的聲明網(wǎng)絡(luò)的標(biāo)識方案,其中,所述增強基于由驗證服務(wù)(AS)聲明的屬性。想要與第二用戶的第一用戶將SIP INVITE發(fā)送到她的優(yōu)選AS。根據(jù)選擇的SIP安全機制,摘要驗證S/MIME或傳輸層安全被用來向AS提供關(guān)于第一用戶標(biāo)識的有力保證。在第一用戶被驗證和授權(quán)之后,將SAML聲明附于SIP消息。
      隨著開始通過互聯(lián)網(wǎng)提供越來越多的服務(wù),提供用于訪問所述服務(wù)的有效和安全單一簽入(SSO)機制變得非常重要。通過互聯(lián)網(wǎng)提供的服務(wù)通常分布于多個服務(wù)器上,所述服務(wù)器處于相對于彼此的遠(yuǎn)程位置。通過SSO機制,用戶可通過在一個或少量服務(wù)器上運行的驗證程序來驗證他的標(biāo)識并授權(quán)使用分布于多個遠(yuǎn)程服務(wù)器的多個服務(wù)。
      第01/72009號WO專利申請公開了一種SSO驗證機制,其中,將令牌發(fā)送到請求被授權(quán)訪問服務(wù)的用戶。所述令牌可僅在一段時間內(nèi)有效。將與驗證有關(guān)的功能與服務(wù)分離,并且在會話期間不需要為訪問多個服務(wù)中的新服務(wù)而重新進(jìn)行驗證。在發(fā)送令牌之前,用戶通過表明他的憑證(例如,用戶名和密碼)為授權(quán)訪問服務(wù)而進(jìn)行注冊。
      自由聯(lián)盟計劃是用于聯(lián)合標(biāo)識和基于標(biāo)識的服務(wù)的開放標(biāo)準(zhǔn)組織。它提供用于SSO的標(biāo)準(zhǔn),其允許用戶在實現(xiàn)自由的位置一次性簽入,并且當(dāng)導(dǎo)向另一實現(xiàn)自由的位置時可進(jìn)行無縫的簽入,而不需要再次驗證。在http//www.projectliberty.org/resourse/whitepapers公開的“Liberty ID-WSF-Web Services Framework”提供對自由ID-WSF的部件的概述。消息保護機制可包括基于令牌的機制,諸如根據(jù)Web服務(wù)安全(WS-安全)規(guī)范傳播在SOAP頭部塊中的SAML聲明。
      第2004/064442號WO專利申請公開了一種用于向在跨國移動網(wǎng)絡(luò)運營商的分組無線電網(wǎng)絡(luò)漫游的用戶提供SSO服務(wù)的電信方法和系統(tǒng),所述跨國移動網(wǎng)絡(luò)運營商包括國家網(wǎng)絡(luò)運營商的聯(lián)盟,這些國家網(wǎng)絡(luò)運營商中的一個持有用戶的預(yù)訂。該電信系統(tǒng)還包括多個服務(wù)提供者,所述多個提供者已經(jīng)就向作為包括在所述聯(lián)盟中的任何國家網(wǎng)絡(luò)運營商的訂戶的用戶提供SSO服務(wù)與跨國移動網(wǎng)絡(luò)運營商聯(lián)盟簽署了服務(wù)協(xié)議。每個服務(wù)提供者包括用于將用戶重新定向到作為聯(lián)盟中的入口點的全球SSO前端基礎(chǔ)結(jié)構(gòu)的裝置;用于從用戶接收令牌的裝置,其中,所述令牌是驗證聲明(SAML聲明)或它的索引;用于從產(chǎn)生聲明的位置檢索聲明的裝置以及用于核查所述位置可信的裝置。
      第2003/0163733號美國專利申請公開了一種電信系統(tǒng),其包括用于對訪問服務(wù)提供者的用戶重新定向的裝置,所述用戶向與所述第二移動網(wǎng)絡(luò)運營商達(dá)成協(xié)議的第二移動網(wǎng)絡(luò)的驗證代理機預(yù)訂第一移動網(wǎng)絡(luò)運營商。第一移動網(wǎng)絡(luò)運營商和第二移動網(wǎng)絡(luò)運營商屬于某一聯(lián)盟,并且驗證代理機充當(dāng)所述聯(lián)盟到驗證提供者的入口點。用戶為了執(zhí)行SSO服務(wù)請求向它們的驗證提供者呈現(xiàn)不明確的標(biāo)識,例如,MSISDN/IMSI。

      發(fā)明內(nèi)容
      本發(fā)明涉及一種驗證第一網(wǎng)絡(luò)的訂戶以便訪問可通過作為分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)的第二網(wǎng)絡(luò)訪問的應(yīng)用服務(wù)的方法和系統(tǒng)。應(yīng)用服務(wù)指的是在應(yīng)用層定義的服務(wù),在這種環(huán)境下,應(yīng)用層可表示為在傳輸層之上的層。具體說來,可由在開放系統(tǒng)互連(OSI)模型中定義的層7或根據(jù)TCP/IP協(xié)議的層5(通過不受限的方式)來表示應(yīng)用層。應(yīng)用服務(wù)的示例是通常由使用諸如HTTP、GET/POST、SMTP或SOAP的協(xié)議的客戶機應(yīng)用所使用的Web服務(wù)、通常通過瀏覽器的使用而訪問的Web站點或者VoIP。
      申請人已注意到存在以下處理就所述網(wǎng)絡(luò)內(nèi)的高級的安全性來驗證諸如GSM網(wǎng)絡(luò)的第一網(wǎng)絡(luò)的訂戶。
      申請人還注意到同樣在第一網(wǎng)絡(luò)是固定線路接入網(wǎng)絡(luò)的情況下,可就所述網(wǎng)絡(luò)內(nèi)的高級安全性確認(rèn)訂戶標(biāo)識的有效性。在固定接入網(wǎng)絡(luò)使用與公共交換電話網(wǎng)絡(luò)(PSTN)共享的有線線路的情況下,諸如,在xDSL技術(shù)的情況下,在用戶宅室設(shè)備(CPE)與到PDN的網(wǎng)關(guān)之間的通信使用安全和典型地專門有線鏈路,例如,標(biāo)準(zhǔn)電話銅線或光纖。
      雖然諸如Wi-Fi連接的無線連接由于到PDN的無線鏈路而傳統(tǒng)上表征為相對低級的安全性,但是已經(jīng)提出了解決方案,其確保網(wǎng)絡(luò)訪問的相對高級的安全性。高級安全性解決方案的示例是IEEE802.11i安全標(biāo)準(zhǔn),該安全標(biāo)例如在http//www.embedded.com/showArticle.jhtml?articleID=34400002于2005年9月20日從互聯(lián)網(wǎng)下載的D.Halasz的“IEEE 802.11i andwireless security”中有所描述。
      申請人已發(fā)現(xiàn)在第一網(wǎng)絡(luò)中定義的訂戶標(biāo)識可用于在應(yīng)用層驗證訂戶,在所述應(yīng)用層操作通過PDN的應(yīng)用服務(wù)。具體說來,根據(jù)本發(fā)明,可透明地驗證訂戶以訪問應(yīng)用服務(wù)。
      在本發(fā)明的優(yōu)選實施例中,請求通過PDN的服務(wù)的訂戶的第一網(wǎng)絡(luò)是分組交換移動網(wǎng)絡(luò)。更優(yōu)選地,分組交換移動網(wǎng)絡(luò)是基于GSM的GPRS標(biāo)準(zhǔn)。PDN通常是移動網(wǎng)絡(luò)外部的網(wǎng)絡(luò),例如,IP網(wǎng)絡(luò)。本發(fā)明同樣應(yīng)用于在相同的移動網(wǎng)絡(luò)中主管掌管應(yīng)用服務(wù)的應(yīng)用服務(wù)器的情況,其中,訂戶從所述相同的移動網(wǎng)絡(luò)開始會話,但是通過外部PDN來訪問所述服務(wù)器。例如,應(yīng)用服務(wù)器可位于移動運營商的增值服務(wù)(VAS)平臺,其由IP網(wǎng)絡(luò)來提供。具體說來,PDN可以是服務(wù)提供者的專用或公共網(wǎng)絡(luò)。
      在本發(fā)明的另一實施例中,請求通過PDN的服務(wù)的訂戶的第一網(wǎng)絡(luò)是固定接入網(wǎng)絡(luò),其中,訂戶通過使用用戶宅室設(shè)備(CPE),諸如鏈接到PC的DSL調(diào)制解調(diào)器或鏈接到例如電視機或TV機頂盒的外圍裝置的家用網(wǎng)關(guān),來訪問PDN。CPE通過相對安全的有線線路或無線鏈路而上行鏈接到接入網(wǎng)絡(luò),所述有線線路或無線鏈路諸如專門電話線路、專門光纖或嵌入IEEE 802.11i安全標(biāo)準(zhǔn)的無線連接。
      根據(jù)本發(fā)明的優(yōu)選實施例,固定接入網(wǎng)絡(luò)是xDSL接入網(wǎng)絡(luò)。
      對訪問應(yīng)用服務(wù)(以下也稱為服務(wù))的請求具有在應(yīng)用層定義的訪問請求消息的形式。
      本發(fā)明的一方面涉及一種用于驗證第一網(wǎng)絡(luò)的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的方法,其中,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN),并且對應(yīng)用服務(wù)的訪問具有包含在數(shù)據(jù)包中的訪問請求消息的形式,所述數(shù)據(jù)包包括被分配給所述訂戶的所述第二網(wǎng)絡(luò)中的地址(訂戶地址),并且用符合應(yīng)用層協(xié)議的語法表示所述訪問請求消息,所述方法包括以下步驟a)截取到第二網(wǎng)絡(luò)的訪問請求消息;b)識別應(yīng)用層協(xié)議;c)提供所述訂戶地址與第一網(wǎng)絡(luò)中的第一訂戶標(biāo)識符之間的映射;d)產(chǎn)生包括第二訂戶標(biāo)識符的第一驗證令牌;e)將所述第一驗證令牌與訪問請求消息關(guān)聯(lián);以及f)將帶有關(guān)聯(lián)的第一驗證令牌的訪問請求消息發(fā)送到第二網(wǎng)絡(luò)。
      本發(fā)明的另一方面涉及一種用于驗證第一網(wǎng)絡(luò)的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的系統(tǒng),其中,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN),所述系統(tǒng)包括訂戶站,耦合到第一網(wǎng)絡(luò),并且適于產(chǎn)生包含在數(shù)據(jù)包中的訪問請求消息,用符合應(yīng)用層協(xié)議的語法來表示所述訪問請求消息;分配服務(wù)器,適于向所述訂戶分配在所述第二網(wǎng)絡(luò)中的地址(訂戶地址)并提供所述訂戶地址與第一網(wǎng)絡(luò)中的第一訂戶標(biāo)識符之間的映射;網(wǎng)關(guān),適于執(zhí)行以下功能從訂戶站接收訪問請求消息,將第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)并且向訂戶站分配訂戶地址;第一邏輯實體,與網(wǎng)關(guān)鏈接并適于截取從訂戶站產(chǎn)生并通過網(wǎng)關(guān)被定向到第二網(wǎng)絡(luò)的數(shù)據(jù)包,并且至少在數(shù)據(jù)包中捕獲訂戶地址,以及第二邏輯實體,與第一邏輯實體鏈接并適于執(zhí)行以下功能從第一邏輯實體接收訂戶地址和訪問請求消息,識別訪問請求消息的應(yīng)用層協(xié)議,向分配服務(wù)器請求第一訂戶標(biāo)識符,以及根據(jù)應(yīng)用層協(xié)議產(chǎn)生第一驗證令牌,所述令牌包括第二訂戶標(biāo)識符,其中,第一邏輯實體或第二邏輯實體適于將驗證令牌關(guān)聯(lián)到訪問請求消息。


      圖1示出本發(fā)明的實施例,其中,請求服務(wù)的訂戶的第一網(wǎng)絡(luò)是GPRS系統(tǒng),而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)。
      圖2描述根據(jù)第一網(wǎng)絡(luò)是移動網(wǎng)絡(luò)的本發(fā)明實施例存儲在標(biāo)識局(IA)中的信息表的示例。
      圖3示出根據(jù)本發(fā)明優(yōu)選實施例的對在應(yīng)用服務(wù)器中主管的Web服務(wù)器的訪問操作的處理示圖。
      圖4示出根據(jù)本發(fā)明另一實施例的連接到外部NGN IP網(wǎng)絡(luò)的分組交換網(wǎng)絡(luò)的框圖。
      圖5示意性示出根據(jù)本發(fā)明另一實施例的通過NGN到在SIP服務(wù)器中主管的SIP服務(wù)的訪問操作的處理示圖。
      圖6顯示根據(jù)本發(fā)明優(yōu)選實施例的示例到在應(yīng)用服務(wù)器中主管的Web站點的訪問操作的處理示圖。
      圖7示出本發(fā)明的替換實施例,其中,請求服務(wù)的訂戶的第一網(wǎng)絡(luò)是固定網(wǎng)絡(luò)(ADSL),而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)。
      圖8描述根據(jù)第一網(wǎng)絡(luò)是固定網(wǎng)絡(luò)的本發(fā)明實施例存儲在標(biāo)識局(IA)中的信息表的示例。
      圖9示出根據(jù)本發(fā)明另一優(yōu)選實施例到在應(yīng)用服務(wù)器中主管的Web服務(wù)的訪問操作的處理示圖。
      圖10示出本發(fā)明的實施例,其中,請求服務(wù)的用戶是多個(第一)網(wǎng)絡(luò)的訂戶,而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)。
      圖11示意性示出根據(jù)本發(fā)明另一實施例在手動驗證的情況下的處理示圖。
      具體實施例方式
      圖1示出本發(fā)明的優(yōu)選實施例。在圖1的實施例中,第一網(wǎng)絡(luò)是GPRS系統(tǒng),而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)12。圖1的實施例可代表以下的示例性情況,其中,GPRS網(wǎng)絡(luò)的訂戶想要從她/他的移動站(MS)2通過IP網(wǎng)絡(luò)訪問在應(yīng)用服務(wù)器11中主管的Web站點的服務(wù)。MS 2以無線電方式連接到基站收發(fā)器(BTS)2,其連接到基站控制器(BTS)4。BTS和BSC的組合功能通常稱為基站子系統(tǒng)(BSS)。從那里,服務(wù)GPRS支持節(jié)點(SGSN)5提供到GGSN的訪問,所述GGSN用作到數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)關(guān),在這種情況下,所述數(shù)據(jù)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)12。SGSN 5典型地基于與現(xiàn)有GSM中相同的算法、密鑰和準(zhǔn)則來執(zhí)行驗證和密碼設(shè)置程序。
      MS 2可以是移動電話,MS 2包括訂戶標(biāo)識模塊(SIM),所述SIM攜帶標(biāo)識和驗證信息,通過它們,蜂窩網(wǎng)絡(luò)可識別蜂窩網(wǎng)絡(luò)內(nèi)的MS終端并授權(quán)它在網(wǎng)絡(luò)中工作。
      為了發(fā)送和接收GPRS數(shù)據(jù),MS 2需要激活分組數(shù)據(jù)地址,即,該實施例中的IP地址,其將被用于訪問服務(wù)。當(dāng)訂戶請求服務(wù)時,MS 2通過在GGSN 6終止的無線電網(wǎng)絡(luò)來發(fā)送請求。使用特定協(xié)議,GGSN將請求發(fā)送到認(rèn)證-授權(quán)-計費(AAA)服務(wù)器7,所述AAA服務(wù)器本身是公知的。作為示例,所述AAA服務(wù)器可以是遠(yuǎn)程驗證撥入用戶服務(wù)(RADIUS)服務(wù)器或動態(tài)主機配置協(xié)議(DHCP)服務(wù)器。在AAA服務(wù)器是RADIUS服務(wù)器的情況下,GGSN包括RADIUS客戶機,以便使用RADISU協(xié)議與AAA服務(wù)器通信。根據(jù)標(biāo)準(zhǔn)GPRS程序,AAA服務(wù)器可基于任何數(shù)量的屬性來驗證訂戶,所述屬性諸如網(wǎng)絡(luò)訪問標(biāo)識符(NAI)或國際移動訂戶標(biāo)識(IMSI)。IMSI是僅明確地與特定訂戶關(guān)聯(lián)的標(biāo)識號。IMSI通常由移動網(wǎng)絡(luò)運營商來分配,并且追蹤對可行的特定訂戶的計費和服務(wù)供應(yīng)。通常在SIM中攜帶IMSI。
      或者,移動站國際ISDN號(MSISDN)可用來識別移動網(wǎng)絡(luò)中的訂戶。然而,由于更多MSISDN(即,電話號碼)可關(guān)聯(lián)到相同的IMSI,所以IMSI是優(yōu)選(但非限制)的訂戶標(biāo)識符。
      AAA服務(wù)器向MS分配IP地址,隨后將所述地址返回GGSN。GGSN向MS分配IP地址。用于地址分配的協(xié)議對于GPRS網(wǎng)絡(luò)是特定的,并通常稱為PDP語境激活。AAA包含數(shù)據(jù)庫,其中,分配的IP地址被關(guān)聯(lián)到訂戶標(biāo)識,例如,IMSI。
      應(yīng)理解到盡管示例訪問分配給MS 2的IP地址,但是可由GGSN將多于一個的IP地址分配給同一MS。在這種情況下,根據(jù)GPRS規(guī)范,GGSN可存儲關(guān)于關(guān)聯(lián)到MS的活動連接(PDP語境)的信息,并且可檢驗由MS在數(shù)據(jù)分組傳輸中使用的IP地址是否是由GGSN向MS分配的IP地址之一。
      應(yīng)注意到GPRS-GSM網(wǎng)絡(luò)的SGSN 5、GGSN 6和AAA 7處于相同的域,該域表征為GSM安全性方案。
      根據(jù)本發(fā)明的優(yōu)選實施例,邏輯實體(軟件模塊)10(以下稱為安全令牌注入器(STI))在邏輯上鏈接到GGSN 6。定位STI以控制從GPRS/GSM網(wǎng)絡(luò)進(jìn)入的通信量。具體說來,STI截取從移動站產(chǎn)生并通過GGSN 6被定向到IP網(wǎng)絡(luò)12的數(shù)據(jù)包。
      數(shù)據(jù)包(例如,互聯(lián)網(wǎng)包)是核心數(shù)據(jù)塊連同附加的必要地址和管理信息,以允許網(wǎng)絡(luò)將數(shù)據(jù)傳遞到正確的目的地。數(shù)據(jù)包開始于由應(yīng)用給出的核心數(shù)據(jù)。通過若干層的頭部來封裝核心數(shù)據(jù),其中,可根據(jù)OSI模型來描述所述層。在該(非限定)描述內(nèi),當(dāng)數(shù)據(jù)包經(jīng)過稱為封裝的機制時,每層對所述數(shù)據(jù)包進(jìn)行修改。核心數(shù)據(jù)包含應(yīng)用層消息,該消息通過符合應(yīng)用層協(xié)議的語法來表示。應(yīng)用層協(xié)議的示例為FTP(文件傳輸協(xié)議)、HTTP(超文本傳輸協(xié)議)、SOAP(簡單對象訪問協(xié)議)或SIP。
      請求訪問服務(wù)器或訪問服務(wù)功能或操作的應(yīng)用層消息在所述情況下被稱為訪問請求消息。在所述情況下,訪問請求消息并非必然描述在會話啟動時對加入服務(wù)的請求,而且描述對訪問功能或由服務(wù)提供的操作的請求。在SIP中訪問請求消息的示例是“INVITE”消息當(dāng)用戶代理客戶機期望發(fā)起會話(例如,音頻、視頻或游戲)時,它指定“INVITE”請求?!癐NVITE”請求請服務(wù)器建立會話(例如,語音呼叫)。在另一示例中,當(dāng)請求Web頁時,利用檢索期望的數(shù)據(jù)所必需的信息(例如,URL)來創(chuàng)建“get”消息。作為示例,攜帶“get”消息的應(yīng)用層協(xié)議是HTTP。在這種情況下,“get”消息包括HTTP GET頭部,其作為在應(yīng)用層對于服務(wù)(在這種情況下,指的是通過互聯(lián)網(wǎng)檢索Web頁的服務(wù))的訪問請求消息的示例。
      可通過在傳輸控制協(xié)議(TCP)和互聯(lián)網(wǎng)協(xié)議(IP)這兩個廣泛使用的協(xié)議之后的互聯(lián)網(wǎng)協(xié)議棧(也稱為TCP/IP棧)來描述根據(jù)其運行互聯(lián)網(wǎng)的協(xié)議堆棧。TCP/IP棧的協(xié)議集合覆蓋OSI 7層模型中的5層。使用所述TCP/IP棧,通常將消息嵌入應(yīng)用頭部(通常,該應(yīng)用頭部實際上包括若干頭部)和應(yīng)用層主體(或凈荷)兩者中。頭部具有根據(jù)應(yīng)用層協(xié)議的標(biāo)準(zhǔn)格式,而凈荷包含直達(dá)應(yīng)用的信息并且數(shù)據(jù)不需要符合標(biāo)準(zhǔn)頭部或格式。HTTP中頭部的示例為諸如GET消息的消息類型和請求的Web頁的URL。下一層是傳輸層,其添加通常在TCP或用戶數(shù)據(jù)報協(xié)議(UDP)中定義的頭部的層。在網(wǎng)絡(luò)層(在也稱為IP層的互聯(lián)網(wǎng))中,該頭部(IP頭部)包含從源到目的地獲得數(shù)據(jù)包所需的信息,其包括源地址和目的地地址,所述地址即為機器號碼。
      STI 10至少操作在網(wǎng)絡(luò)層,并且捕獲離開GGSN 6的數(shù)據(jù)包。如果STI僅操作在網(wǎng)絡(luò)層或僅到達(dá)傳輸層,則由于STI無法識別在數(shù)據(jù)包中攜帶的應(yīng)用消息,例如,其無法識別是否是訪問請求消息或者在哪個應(yīng)用層協(xié)議攜帶所述消息,所以STI需要捕獲離開GGSN(并定向到IP地址)的所有數(shù)據(jù)包。在STI還操作在應(yīng)用層的情況下,其可識別訪問請求消息并區(qū)分不同的應(yīng)用層協(xié)議。例如,如果還操作在應(yīng)用層,則可將STI編程為僅截取SIP訪問請求消息,并且使按照其它協(xié)議編制的消息通過。
      可用于實現(xiàn)STI模塊的技術(shù)之一是應(yīng)用層防火墻的技術(shù)。商用的察覺應(yīng)用的防火墻的示例為Cisco PIX、Check Point Firewall-1和Xtradyne的WS-DBC。
      STI在攜帶訪問請求消息的數(shù)據(jù)包中必須截取的最少信息是關(guān)于訂戶地址的在網(wǎng)絡(luò)層的信息,例如,在互聯(lián)網(wǎng)中,指的是分配到訂戶(即,到MS)的IP地址。通常,如以下進(jìn)一步詳細(xì)描述的,STI將需要關(guān)于目的地地址的信息,以在驗證處理的末尾發(fā)送攜帶所述消息的數(shù)據(jù)包。優(yōu)選地,由STI在截取數(shù)據(jù)包時提取所述信息。然而,這是非限制性的特點,因為可將STI配置為將消息發(fā)送到驗證系統(tǒng)已定義的目的地地址。應(yīng)注意到目的地地址不必是消息被定向的應(yīng)用服務(wù)器的地址。例如,根據(jù)SIP協(xié)議,可將消息定向到SIP代理,該SIP代理隨后將消息尋址到在消息頭部中包括的應(yīng)用層地址中指定的應(yīng)用服務(wù)器。
      包含在由STI 10捕獲的數(shù)據(jù)包中的信息的至少一部分被傳遞到軟件部件9,該軟件部件9稱為標(biāo)識局(IA),操作在應(yīng)用層上。IA負(fù)責(zé)管理訪問外部PDN(即,IP網(wǎng)絡(luò)12)的訂戶的標(biāo)識。IA至少從STI接收訂戶IP地址和關(guān)于訪問請求消息的應(yīng)用層協(xié)議的信息??赏ㄟ^從STI接收數(shù)據(jù)包(如果STI最高僅操作在網(wǎng)絡(luò)/傳輸層,則所述數(shù)據(jù)包為“閉合封裝”)來獲得所述關(guān)于訪問請求消息的應(yīng)用層協(xié)議的信息,或者如果STI還操作在應(yīng)用層上,則可通過接收諸如協(xié)議類型(例如,SOAP、HTTP、SIP)的特定信息來獲得所述信息。從應(yīng)用層操作的STI接收的其它信息可包括消息類型(例如,INVITE或REGISTER)以及需要的服務(wù)的通用資源標(biāo)識符(URI),例如,Web頁的URL。
      IA 9可通過從STI 10得知請求服務(wù)的移動站MS 2(訂戶)的IP地址以及通過詢問AAA 7而得知訂戶的標(biāo)識來識別所述移動站MS 2,其中,所述AAA 7包含分配的IP地址與訂戶標(biāo)識之間的映射。作為訂戶標(biāo)識,優(yōu)選地,由IA提取IMSI。
      優(yōu)選地,IA存儲關(guān)于訂戶標(biāo)識和他/她請求的服務(wù)的信息。關(guān)于請求的服務(wù)的信息可以是服務(wù)提供者的IP地址和/或URI,以及/或者在服務(wù)提供者使用不同的協(xié)議提供更多服務(wù)的情況下(例如,對電子郵件帳戶使用POP3,對Web導(dǎo)航使用HTTP),所述信息是服務(wù)所使用的協(xié)議。在圖2中,描述存儲在IA中的信息表的示例。所示的表為想要訪問一個或多個服務(wù)的訂戶A、B和C提供映射,所述服務(wù)表征為服務(wù)提供者SP-1、SP-2等。在圖2的示例中,訂戶通過他們的IMSI來識別。優(yōu)選地,由IA為每個訂戶創(chuàng)建偽PS,例如,創(chuàng)建與訂戶的IMSI相應(yīng)的PS。或者,如圖2所示,可為訂戶產(chǎn)生更多的假名(pseudonym),其中,每個假名表征由訂戶請求的特定服務(wù)。作為優(yōu)選,創(chuàng)建假名,以便避免公開諸如IMSI的敏感數(shù)據(jù),這將在以下的描述中更加清楚。
      在檢驗訂戶的標(biāo)識之后(例如,通過將IP地址和與訂戶相關(guān)的IMSI映射),IA根據(jù)訪問請求消息的應(yīng)用層協(xié)議來產(chǎn)生軟件令牌。例如,在用于Web服務(wù)的SOAP消息的情況下,可根據(jù)WS安全規(guī)范來定義所述令牌。將所述令牌插入訪問請求消息,例如,作為插入消息的現(xiàn)有應(yīng)用頭部的字段或作為在消息中添加的新的應(yīng)用頭部。
      根據(jù)STI操作在哪一層,可由IA將令牌插入消息中,或者IA可命令STI將令牌插入消息中。后一種選擇假設(shè)STI也操作在應(yīng)用層上。在任何一種情況下,STI將修改的訪問請求消息(即,包含令牌)發(fā)送到應(yīng)用服務(wù)器11,應(yīng)用服務(wù)器11接收驗證的消息。
      可通過(在應(yīng)用服務(wù)器11上運行的)應(yīng)用服務(wù)來確認(rèn)消息的驗證,例如,可通過檢驗令牌并隨后將其發(fā)送到服務(wù)的應(yīng)用邏輯的特定應(yīng)用服務(wù)器軟件來確認(rèn)消息的驗證??刂乞炞C的框架的示例為SunJava系統(tǒng)訪問管理器,其為基于開發(fā)Java 2平臺的體系結(jié)構(gòu)。
      驗證令牌包括關(guān)聯(lián)到在移動網(wǎng)絡(luò)中定義的訂戶標(biāo)識的訂戶標(biāo)識符,所述移動網(wǎng)絡(luò)典型地位于移動運營商的域中,并且所述標(biāo)識符諸如IMSI或MSISDN。
      優(yōu)選地,包括在令牌中的訂戶標(biāo)識符是關(guān)聯(lián)到基于SIM的標(biāo)識(例如,IMSI或MSISDN)的假名。盡管本發(fā)明不排除在驗證令牌中使用在移動網(wǎng)絡(luò)中定義的訂戶標(biāo)識,但是假名的使用保護了訂戶的隱私,并防止公開諸如IMSI的敏感信息,從而避免安全威脅(例如,在移動運營商的計費處理中進(jìn)行舞弊)?;蛘?,標(biāo)識符可以是由移動運營商根據(jù)(例如)訂戶的信用分配給訂戶的授權(quán)串/代碼。盡管優(yōu)選的是標(biāo)識符唯一明確地相應(yīng)于訂戶標(biāo)識,但是可為一組訂戶(例如,按照年齡的分組)分配相同的授權(quán)串/代碼。
      可選地,IA在將產(chǎn)生的令牌發(fā)送到STI之前,將所述令牌傳遞到公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)服務(wù)8,作為示例,所述PKI服務(wù)8通過經(jīng)由非對稱加密將數(shù)字簽名添加到令牌來證明所述令牌,而非對稱加密本身是公知的。PKI 8可以是如Entrust PKI或VeriSign的商用框架或如OpenSSL的免費軟件/開放源工具。
      本發(fā)明的驗證系統(tǒng)具有的優(yōu)點在于其對訂戶透明,所述訂戶在請求服務(wù)之后,僅看見驗證的結(jié)果訪問服務(wù)或拒絕訪問。
      包含STI和IA的驗證軟件平臺可以在移動網(wǎng)絡(luò)運營商的直接控制下。
      盡管STI 10和IA 9被示為GGSN 6外部的分離部件,但是可在GGSN之內(nèi)實現(xiàn)STI 10和IA 9,例如,將其實現(xiàn)為嵌入GGSN的GPRS標(biāo)準(zhǔn)控制邏輯中的軟件模塊。由于這樣將消除GGSN與STI之間的物理連接,所以可提高STI針對網(wǎng)絡(luò)層攻擊的安全性。
      模塊STI和IA可以是用諸如Java、C、C++和CORBA的標(biāo)準(zhǔn)語言實現(xiàn)的軟件部件,并且可安裝在本身公知的硬件部件上。
      圖3示出根據(jù)本發(fā)明優(yōu)選實施例對在應(yīng)用服務(wù)器中主管的Web服務(wù)的訪問操作的處理示圖。在圖3所示的處理流程中相互作用的主要部件具有與參照圖1描述的部件相同的一般邏輯功能,并且用相同的標(biāo)號指示。
      在圖3所示的實施例中,MS 2可以是包括啟用數(shù)據(jù)的客戶機的蜂窩電話,用于在分組交換蜂窩式網(wǎng)絡(luò)(諸如GPRS、EDGE或UMTS)內(nèi)的連接和數(shù)據(jù)傳送。例如,可將蜂窩電話(通過有線或無線鏈路)鏈接到采用電話來連接到分組交換網(wǎng)絡(luò)的個人計算機。在蜂窩式網(wǎng)絡(luò)外部的域中主管應(yīng)用服務(wù)器11,所述域通過公共IP網(wǎng)絡(luò)連接到服務(wù)器。
      在圖3中,作為示例,MS通過使用SOAP協(xié)議請求訪問在公共IP網(wǎng)絡(luò)中提供的服務(wù)“abc”,所述SOAP協(xié)議是基于XML的語言,其用于向Web服務(wù)傳遞數(shù)據(jù)并從Web服務(wù)傳遞數(shù)據(jù)。可將SOAP消息包含在HTTP消息中(在應(yīng)用層)。作為示例,SOAP請求可以是頭部中的HTTP POST或HTTP GET請求,而SOAP消息包含在主體中,例如,在圖3中,給出的HTTP POST請求id的示例,即,“POST/abc HTTP/1.1”。步驟31通過簡化的方式表示MS 2與GGSN6之間的相互作用,其對于MS訪問外部網(wǎng)絡(luò)是必需的。在步驟31期間,由AAA 7至少在數(shù)據(jù)會話的持續(xù)期間識別和授權(quán)MS,所述AAA7將IP地址分配給MS并在存儲器中存儲IP地址與訂戶標(biāo)識之間的映射信息。在該實施例中,訂戶標(biāo)識包括IMSI。在步驟31的蜂窩式網(wǎng)絡(luò)內(nèi)的授權(quán)和驗證階段之后,由GGSN將在數(shù)據(jù)包中攜帶的訪問請求消息轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)(步驟32)。步驟32的虛線表示在沒有根據(jù)本發(fā)明的驗證機制的情況下,消息經(jīng)過的邏輯路徑,即,消息被發(fā)送到應(yīng)用服務(wù)器11,所述應(yīng)用服務(wù)器11隨后將通過用于驗證的詢問/響應(yīng)機制來詢問用戶。
      根據(jù)本發(fā)明,在步驟32,由位于GGSN 6與公共網(wǎng)絡(luò)之間的STI10來截取包含訪問請求消息的數(shù)據(jù)包。STI從截取的數(shù)據(jù)包提取訂戶的IP地址(即,用于會話而分配給MS的地址),優(yōu)選地,還提取IP目的地地址(即,應(yīng)用服務(wù)器11的地址)。STI隨后將應(yīng)用消息(在這種情況下為SOAP消息)和訂戶的IP地址轉(zhuǎn)發(fā)給IA 9(步驟33)。
      如果STI操作在低于應(yīng)用層的層上,則作為示例,通過向IA轉(zhuǎn)發(fā)應(yīng)用頭部,將消息自動轉(zhuǎn)發(fā)到IA。反之,如果STI操作在應(yīng)用層上,則STI識別在應(yīng)用層消息中使用的協(xié)議,在這種情況下,所述協(xié)議為HTTP協(xié)議上的SOAP。在所述的任何一種情況下,IA得知訂戶的IP地址以及消息所符合的應(yīng)用層協(xié)議。作為示例,可通過以公共對象請求代理機體系結(jié)構(gòu)(CORBA)(諸如接口定義語言(IDL))指定的接口或以Web服務(wù)語言(諸如Web服務(wù)描述語言(WSDL))指定的接口來產(chǎn)生STI與IA之間的信息傳輸。
      在步驟34,IA 9詢問AAA 7以確定GSM網(wǎng)絡(luò)中訂戶(通過MS2連接到蜂窩式網(wǎng)絡(luò))的標(biāo)識,所述標(biāo)識相應(yīng)于在數(shù)據(jù)包中捕獲的源IP地址。在步驟35,AAA 7通過向IA提供關(guān)聯(lián)到IP地址的訂戶標(biāo)識(在這種情況下,由IMSI表示)來響應(yīng)于所述詢問。
      在下一步驟(步驟35),IA產(chǎn)生包括訂戶標(biāo)識符的令牌。作為示例,可根據(jù)WS安全規(guī)范來定義令牌,例如,字符串(在圖3中指示為&lt;WS&gt;令牌)。優(yōu)選地,包括在令牌中的標(biāo)識符是由IA創(chuàng)建并關(guān)聯(lián)到IMSI的假名。如在圖2中示出的示例,諸如在為相同訂戶創(chuàng)建更多假名(即,相同的IMSI)以訪問會話內(nèi)的不同服務(wù)的情況下,在單一簽入(SSO)訪問機制的情況下,可將所述標(biāo)識符關(guān)聯(lián)到服務(wù)提供者。至少在會話的持續(xù)期間,IA追蹤假名與在蜂窩式網(wǎng)絡(luò)中定義的訂戶標(biāo)識(即,IMSI)之間的映射。
      以下示例為以XML格式標(biāo)識并符合OASIS(結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織)開放標(biāo)準(zhǔn)的(簡化)SAML令牌&lt;saml:Assertion MajorVersion="1" MinorVersion="0"AssertionID="128.9.167.32.12345678"Issuer="Operator.com"&lt;IssueInstant="2004-12-03T10:02:00Z"&gt; &lt;saml:ConditionsNotBefore="2004-12-03T10:00:00Z"NotAfter="2004-12-03T10:05:00Z"/&gt;
      &lt;saml:AuthenticationStatementAuthenticationMethod="&lt;GSM&gt;"AuthenticationInstant="2001-12-03T10:02:00Z"&gt;
      &lt;saml:Subject&gt;
      &lt;saml:NameIdentifierSecurityDomain="operator.com"Name="PSEUDONYM"/&gt;
      &lt;/saml:Subject&gt;
      &lt;/saml:AuthenticationStatement&gt;
      &lt;/saml:Assertion&gt;
      上述示例的SAML令牌聲明名稱為“PSEUDONYM”的用戶的標(biāo)識(即,由IA給出的標(biāo)識符),其被關(guān)聯(lián)到在GSM網(wǎng)絡(luò)中定義的標(biāo)識。優(yōu)選地,SAML令牌包含關(guān)于用于授權(quán)訪問服務(wù)的驗證方法的信息,在這種情況下,其由GSM安全方案(用&lt;GSM&gt;來指示)來定義。其它可選信息是驗證的發(fā)布者(用operator.com來指示)以及令牌有效性的條件(用命令NotBefore和NotAfter來指示)。
      可選地,將令牌轉(zhuǎn)發(fā)到PKI 8服務(wù),以向令牌附加數(shù)字簽名或根據(jù)已知加密機制來對其進(jìn)行加密(步驟36)。在步驟37,PKI返回用數(shù)字簽名證明和/或通過加密確保安全的令牌。在圖3中,用DS來指示證明/加密的令牌(&lt;WS&gt;令牌)。
      緊接著步驟35(或者在包括PKI服務(wù)的情況下,緊接著步驟37),IA創(chuàng)建新的訪問請求消息,用“New-soap”來指示,其包括產(chǎn)生的令牌。優(yōu)選地,新消息是從MS發(fā)送的訪問請求消息,其中,如OASIS WS安全規(guī)范所述,將令牌添加在SOAP封裝中,作為附加字段。在步驟38,將新的訪問請求消息(包括令牌)傳遞到STI以進(jìn)行傳輸。STI先前在它的存儲器中復(fù)制并存儲提取出信息的數(shù)據(jù)包,隨后將接收的訪問請求消息發(fā)送到應(yīng)用服務(wù)器11(步驟39)。
      如果數(shù)字簽名被附加到令牌,則應(yīng)用服務(wù)器通過詢問PKI服務(wù)來檢驗數(shù)字簽名(步驟40)。例如,PKI檢驗令牌的數(shù)字簽名證書是否有效。
      最終,通過令牌接收到對訂戶標(biāo)識的驗證的應(yīng)用服務(wù)器11向驗證的訂戶提供所請求的服務(wù)(步驟41)。
      應(yīng)注意到在圖3中描述的驗證機制對于用戶是透明的,所述用戶不需要輸入用于訪問服務(wù)的證明。此外,驗證機制允許通過SSO機制對多個服務(wù)進(jìn)行透明訪問,所述SSO機制通常預(yù)先假設(shè)在提供服務(wù)的服務(wù)提供者(標(biāo)識聯(lián)盟)中間存在協(xié)議。
      圖4示出根據(jù)本發(fā)明另一實施例的連接到外部IP網(wǎng)絡(luò)的分組交換網(wǎng)絡(luò)的框圖。MS 2以無線電方式鏈接到分組交換移動網(wǎng)絡(luò)13,例如,UMTS網(wǎng)絡(luò)。盡管沒有詳細(xì)示出,但是移動網(wǎng)絡(luò)13包括AAA服務(wù)器和GGSN。在該實施例中,IP網(wǎng)絡(luò)是下一代網(wǎng)絡(luò)(NGN)15,其作為基于分組的網(wǎng)絡(luò),允許基于分組的互聯(lián)網(wǎng)與電話網(wǎng)絡(luò)之間的趨同,并支持各種類型的用戶通信量(包括語音、數(shù)據(jù)和視頻)。NGN技術(shù)的應(yīng)用是語音轉(zhuǎn)IP(VoIP)。在該示例中,NGN網(wǎng)絡(luò)中的呼叫/會話功能基于會話啟動協(xié)議(SIP)。根據(jù)圖4所示的實施例,移動電話MS 2通過NGN 15將SIP消息尋址到SIP服務(wù)器14。由驗證平臺17截取離開移動網(wǎng)絡(luò)13的GGSN的SIP消息。驗證平臺17包括STI 10、IA 9,并且可選地包括PKI 8,它們與參照圖1描述的STI 10、IA 9和PKI 8具有相同的一般邏輯功能。在驗證之后,SIP服務(wù)器14總是通過NGN 15將SIP消息轉(zhuǎn)發(fā)到SIP電話16,SIP電話16為包括客戶機應(yīng)用(即,用戶代理客戶機和用戶代理服務(wù)器)的IP節(jié)點,所述客戶機應(yīng)用用于向其它電話發(fā)起呼叫和從其它電話接收呼叫,其中,所述SIP電話16為基于IP的電話或陸上線路/蜂窩電話,并且作為示例,可安裝在個人計算機上。SIP消息的示例是從移動電話2發(fā)起以與SIP電話16建立多媒體呼叫(例如,視頻會議)的請求。
      在圖5示意性示出通過NGN到在SIP服務(wù)器中主管的SIP服務(wù)的訪問操作的處理示圖。MS 2通過使用SIP協(xié)議來請求訪問在NGN中提供的服務(wù)。作為示例,所述服務(wù)是視頻會議會話的設(shè)立,該服務(wù)可通過INVITE命令來請求。作為示例,SIP消息可以是“INVITE sipname@acme.comSIP/2.0”,其中,name@acme.com是Request_URI,其為指定SIP消息的目的地的SIP URI(例如,URL)。Request_URI可以是用戶或在SIP電話中定義的用戶代理服務(wù)器。在該示例中,Request_URI是由SIP電話16定義的用戶??赏ㄟ^TCP或UDP在網(wǎng)絡(luò)層傳輸SIP消息。
      步驟50以簡化的方式表示MS 2與GGSN 6之間的相互作用,其對于MS訪問外部網(wǎng)絡(luò)是必需的。在步驟50期間,至少在數(shù)據(jù)會話的持續(xù)期間,由AAA 7識別和授權(quán)MS,所述AAA 7將IP地址分配給MS,并在存儲器中存儲IP地址與訂戶標(biāo)識(例如,IMSI)之間的映射信息。在步驟50的移動網(wǎng)絡(luò)內(nèi)的授權(quán)和驗證階段之后,由GGSN將在數(shù)據(jù)包中攜帶的訪問請求消息轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)(步驟51)。步驟51的虛線表示在沒有根據(jù)本發(fā)明的驗證機制的情況下,消息經(jīng)過的邏輯路徑,即,消息被發(fā)送到SIP服務(wù)器15。
      根據(jù)本發(fā)明,在步驟52,由位于GGSN與NGN之間的STI 10來截取SIP消息。STI從截取的數(shù)據(jù)包提取源IP地址(即,分配給MS的地址)和目的地IP地址,即,可處理請求并將INVITE消息轉(zhuǎn)發(fā)到正確的被呼叫者(由SIP URI來指示)的SIP服務(wù)器的地址。STI隨后將SIP消息和訂戶IP地址轉(zhuǎn)發(fā)到IA 9(步驟52)。
      在步驟53,IA 9詢問AAA 7以確定訂戶標(biāo)識,所述標(biāo)識相應(yīng)于在包含SIP消息的數(shù)據(jù)包中捕獲的源IP地址。在步驟54,AAA 7通過向IA提供被關(guān)聯(lián)到IP地址的訂戶標(biāo)識(在這種情況下,由IMSI表示)來響應(yīng)于所述詢問。
      在下一步驟(步驟54),IA產(chǎn)生包括訂戶標(biāo)識符的令牌。作為示例,可根據(jù)SAML規(guī)范來定義令牌(在圖5中指示為[SAML]令牌)。優(yōu)選地,所述標(biāo)識符是由IA創(chuàng)建并關(guān)聯(lián)到IMSI的假名。
      可選地,將令牌轉(zhuǎn)發(fā)到PKI 8服務(wù),以向令牌附加數(shù)字簽名和/或根據(jù)已知加密機制來對其進(jìn)行加密(步驟55)。在步驟56,PKI返回用數(shù)字簽名證明和/或通過加密確保安全的令牌。在圖5中,用DS來指示證明/加密的令牌([SAML]令牌)。
      緊接著步驟54(或者在包括PKI服務(wù)的情況下,緊接著步驟56),IA創(chuàng)建新的訪問請求消息,用“New SIP header”來指示,其包括產(chǎn)生的令牌。優(yōu)選地,新消息是從MS發(fā)送的訪問請求消息,其中,如在圖5中由SIP頭部61所示,將令牌添加在SIP頭部中,作為SIP協(xié)議中描述的附加字段。在DS([SAML]令牌)之間的字段“SAML-Payload”是由IETF定義的關(guān)鍵字,它用于識別SAML令牌頭部。
      將新的訪問請求消息(包括令牌)傳遞到STI以進(jìn)行傳輸(步驟57)。STI隨后將接收的SIP消息61指向SIP服務(wù)器14(步驟58)。
      如果數(shù)字簽名被附加到令牌,則應(yīng)用服務(wù)器通過詢問PKI服務(wù)來檢驗數(shù)字簽名(步驟59)。
      最終,通過令牌接收到對訂戶標(biāo)識的驗證的應(yīng)用服務(wù)器14通過將“200 OK”消息發(fā)送到MS來發(fā)送對INVITE消息的肯定響應(yīng)(步驟60),該肯定響應(yīng)為對INVITE的標(biāo)準(zhǔn)SIP肯定響應(yīng)。隨后可在端點之間建立使用RTP的視聽流。
      參照回圖4,盡管將驗證平臺17示為處于移動網(wǎng)絡(luò)的外部,但是可在移動網(wǎng)絡(luò)13中(即,在移動運營商的安全域中)實現(xiàn)驗證平臺17。
      圖6示出根據(jù)本發(fā)明優(yōu)選實施例的示例,對在應(yīng)用服務(wù)器中主管的Web站點的訪問操作的處理示圖。對Web站點的訪問來自于電路交換移動網(wǎng)絡(luò)(諸如GSM)或來自GPRS,它們通過使用無線應(yīng)用協(xié)議(WAP)連接到IP網(wǎng)絡(luò)。根據(jù)本發(fā)明,MS 2(例如,GSM電話)包含截取WAP數(shù)據(jù)的微瀏覽器。使用諸如UDP的網(wǎng)絡(luò)協(xié)議來發(fā)送所述WAP數(shù)據(jù)。應(yīng)用服務(wù)器可以是專門的WAP服務(wù)器或傳統(tǒng)Web服務(wù)器。由GGSN 6來執(zhí)行蜂窩是網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的網(wǎng)關(guān)的邏輯功能。
      作為示例,圖6所示的實施例可應(yīng)用于由自由聯(lián)盟計劃定義的標(biāo)識聯(lián)盟框架(ID-EF)。ID-EF基于SAML標(biāo)準(zhǔn)并提供基于標(biāo)準(zhǔn)SOAP的驗證以及到標(biāo)識提供者的單一簽入服務(wù)接口。
      在圖6中,作為示例,MS通過使用HTTP協(xié)議請求訪問在公共IP網(wǎng)絡(luò)中提供的服務(wù)“abc”在圖6中,給出HTTP GET請求的示例,即,“GET/abc HTTP/1.1”。步驟71通過簡化的方式表示MS 2與GGSN6之間的相互作用,其對于MS訪問外部網(wǎng)絡(luò)是必需的。在步驟71期間,由AAA 7至少在數(shù)據(jù)會話的持續(xù)期間識別和授權(quán)MS,所述AAA7將IP地址分配給MS并在存儲器中存儲IP地址與訂戶標(biāo)識之間的映射信息。在該實施例中,訂戶標(biāo)識包括IMSI。在步驟71的蜂窩式網(wǎng)絡(luò)內(nèi)的授權(quán)和驗證階段之后,由GGSN將在數(shù)據(jù)包中攜帶的訪問請求消息轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)(步驟72)。步驟72的虛線表示在沒有根據(jù)本發(fā)明的驗證機制的情況下,消息經(jīng)過的邏輯路徑,即,消息被發(fā)送到Web/WAP服務(wù)器。
      根據(jù)本發(fā)明,在步驟72,由位于GGSN與公共網(wǎng)絡(luò)之間的STI 10來截取包含訪問請求消息的數(shù)據(jù)包。STI從截取的數(shù)據(jù)包提取訂戶的IP地址(即,用于會話而分配給MS的地址)以及IP目的地地址(即,應(yīng)用服務(wù)器11的地址)。STI隨后將應(yīng)用消息(在這種情況下為HTTPGET消息)和訂戶的IP地址轉(zhuǎn)發(fā)給IA 9(步驟73)。
      在步驟74,IA 9詢問AAA 7以確定訂戶(通過MS 2連接到蜂窩式網(wǎng)絡(luò))的標(biāo)識,所述標(biāo)識相應(yīng)于在數(shù)據(jù)包中捕獲的源IP地址。在步驟75,AAA 7通過向IA提供關(guān)聯(lián)到IP地址的訂戶標(biāo)識(在這種情況下,由IMSI表示)來響應(yīng)于所述詢問。
      在下一步驟(步驟76),IA產(chǎn)生包括訂戶標(biāo)識符的令牌。優(yōu)選地,所述包括在令牌中的標(biāo)識符是由IA創(chuàng)建并關(guān)聯(lián)到IMSI的假名。作為示例,可根據(jù)SAML規(guī)范來定義所述令牌(在圖6中指示為[SAML]令牌)。優(yōu)選地,所述標(biāo)識符是由IA創(chuàng)建并關(guān)聯(lián)到IMSI的假名。
      可選地,將令牌轉(zhuǎn)發(fā)到PKI 8服務(wù),以向令牌附加數(shù)字簽名和/或根據(jù)已知加密機制來對其進(jìn)行加密(步驟76)。在步驟77,PKI返回用數(shù)字簽名證明和/或通過加密確保安全的令牌。在圖6中,用DS來指示證明/加密的令牌([SAML]令牌)。
      緊接著步驟75(或者在包括PKI服務(wù)的情況下,緊接著步驟77),IA根據(jù)由自由聯(lián)盟定義的標(biāo)準(zhǔn)創(chuàng)建充當(dāng)?shù)絊AML聲明的指針的“偽象”。所述偽象在圖6中用“Artifact(SAML)”來指示。隨后在步驟78將偽象提供給STI。在步驟79,STI將包含“Artifact(SAML)”的HTTP GET消息發(fā)送到Web/WAP服務(wù)器。在步驟80期間,已接收到包含偽象的訪問請求消息的服務(wù)器請求IA提供與偽象相應(yīng)的SAML令牌。在接收到包括作出請求的移動訂戶的標(biāo)識符的SAML令牌之后,識別(并授權(quán))所述訂戶,服務(wù)器(即,服務(wù)提供者)隨后將肯定響應(yīng)“welcome”發(fā)送到MS(步驟81)。
      圖7示出本發(fā)明的另一優(yōu)選實施例,其中,請求服務(wù)的訂戶的第一網(wǎng)絡(luò)是ADSL接入網(wǎng)絡(luò),而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)。圖7的實施例可代表以下的示例性情況,其中,ADSL網(wǎng)絡(luò)的訂戶想要從她/他的個人計算機(PC)2通過IP網(wǎng)絡(luò)訪問在應(yīng)用服務(wù)器24中主管的Web站點的服務(wù)。在該示例中,通過標(biāo)準(zhǔn)串行USB(通用串行總線)接口將PC18連接到ADSL調(diào)制解調(diào)器19。PC 18和ADSL調(diào)制解調(diào)器19通常被稱為用戶宅室設(shè)備(CPE)68。然而,可考慮替換CPE,諸如連接到一個或多個PC、IP電話或連接到TV機頂盒的住宅網(wǎng)關(guān)。因此,通常采用CPE來發(fā)起,路由或終止電信,并且作為示例,通過從PC鍵盤輸入登錄ID和密碼或通過從住宅網(wǎng)關(guān)進(jìn)行自動驗證(例如,通過包括在智能卡或嵌入住宅網(wǎng)關(guān)的固件中的代碼串)來提供對訪問PDN的驗證請求。重點在于所述驗證在接入網(wǎng)絡(luò)內(nèi)進(jìn)行以授權(quán)訪問PDN(例如,互聯(lián)網(wǎng))。
      經(jīng)由CPE 68將訂戶與DSL接入復(fù)用器(DSLAM)30連接。DSLAM 30包括復(fù)用器/解復(fù)用器,并且用戶線路(即,有線鏈路67)連接到位于中央局(運營商室內(nèi))66的DSLAM內(nèi)的分配的ADSL終端單元。DSLAM 30上行鏈接到寬帶網(wǎng)絡(luò)訪問服務(wù)器(BNAS)29,器提供包括路由或服務(wù)選擇的應(yīng)用層會話管理。CPE駐留在端點用戶位置(例如,家庭或辦公室),其在圖7中用標(biāo)號20示意性示出。CPE與DSLAM之間的連接為有線鏈路67,其通常為標(biāo)準(zhǔn)銅制電話線。傳統(tǒng)模擬電話(即,簡易老式電話系統(tǒng)(POTS)23)可選擇性地經(jīng)由相同的有線鏈路67與PSTN 25連接。因此,有線鏈路67可攜帶POTS信號與DSL信號兩者。BNAS 29連同DSLAM 30用作到外部分組數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)關(guān),在所述情況下,外部分組數(shù)據(jù)網(wǎng)絡(luò)是IP網(wǎng)絡(luò)22。注意到以下情況很重要CPE與DSLAM之間的通信使用用戶室內(nèi)與中央局之間的專門有線鏈路,由此確保在DSL基礎(chǔ)結(jié)構(gòu)內(nèi)通信的高級安全性。
      BNAS處理對請求訪問IP網(wǎng)絡(luò)的訂戶的驗證,以便授權(quán)所述訂戶進(jìn)行訪問。由認(rèn)證、授權(quán)和計費(AAA)服務(wù)器26來實施登錄驗證。AAA服務(wù)器26執(zhí)行類似與在圖1的實施例中描述的AAA服務(wù)器的邏輯操作。具體說來,AAA服務(wù)器包含數(shù)據(jù)庫,其中,將分配的IP地址關(guān)聯(lián)到xDSL網(wǎng)絡(luò)內(nèi)的訂戶標(biāo)識。根據(jù)已知方法,對訪問PDN的驗證(可稱為登錄驗證)可基于以密碼為基礎(chǔ)的機制、智能卡或加密令牌。優(yōu)選的登錄驗證機制使用登錄ID,其通常是關(guān)聯(lián)到密碼的用戶名,當(dāng)請求連接到外部數(shù)據(jù)網(wǎng)絡(luò)時由訂戶輸入。還可將訂戶ID包括在智能卡中。登錄ID的使用允許在可采用相同訂戶站的不同用戶之間進(jìn)行區(qū)分,作為示例,所述用戶為通過相同PC連接的用戶?;蛘?,可通過PSTN的呼叫線路標(biāo)識(CLI)在ADSL基礎(chǔ)結(jié)構(gòu)內(nèi)識別所述訂戶。
      根據(jù)本發(fā)明,安全令牌注入器(STI)65在邏輯上鏈接到BNAS 29。定位STI以控制從ADSL網(wǎng)絡(luò)進(jìn)入的通信量。具體說來,STI 65截取從CPE 68產(chǎn)生并通過BNAS 29被定向到IP網(wǎng)絡(luò)22的數(shù)據(jù)包。
      STI 65至少操作在網(wǎng)絡(luò)層,并且捕獲離開BNAS 29的數(shù)據(jù)包。如果STI僅操作在網(wǎng)絡(luò)層或僅到達(dá)傳輸層,則由于STI無法識別在數(shù)據(jù)包中攜帶的應(yīng)用消息,例如,其無法識別是否是訪問請求消息以及在哪個應(yīng)用層協(xié)議攜帶所述消息,所以STI需要捕獲離開BNAS(并定向到IP網(wǎng)絡(luò))的所有數(shù)據(jù)包。在STI還操作在應(yīng)用層的情況下,其可識別訪問請求消息并區(qū)分不同的應(yīng)用層協(xié)議。例如,如果還操作在應(yīng)用層,則可將STI編程為僅截取HTTP訪問請求消息,并且使按照其它協(xié)議編制的消息通過。
      STI 65的一般邏輯功能類似于參照圖1描述的STI 10的一般邏輯功能。具體說來,STI在攜帶訪問請求消息的數(shù)據(jù)包中必須截取的最少信息是關(guān)于訂戶地址的在網(wǎng)絡(luò)層的信息,例如,在互聯(lián)網(wǎng)中,指的是分配到訂戶的IP地址。
      包含在由STI 65捕獲的數(shù)據(jù)包中的信息的至少一部分被傳遞到軟件部件標(biāo)識局(IA)64,其操作在應(yīng)用層上。IA負(fù)責(zé)管理訪問外部PDN(即,IP網(wǎng)絡(luò)22)的訂戶的標(biāo)識。IA至少從STI接收訂戶IP地址和關(guān)于訪問請求消息的應(yīng)用層協(xié)議的信息??赏ㄟ^從STI接收數(shù)據(jù)包(如果STI最高僅操作在網(wǎng)絡(luò)/傳輸層,則所述數(shù)據(jù)包為“閉合封裝”)來獲得所述關(guān)于訪問請求消息的應(yīng)用層協(xié)議的信息,或者如果STI還操作在應(yīng)用層上,則可通過接收諸如協(xié)議類型的特定信息來獲得所述信息。
      IA 64的邏輯功能基本上與參照圖1描述的那些邏輯功能相同。具體說來,IA通過從STI 65得知請求服務(wù)的訂戶的IP地址以及通過詢問AAA 26而得知訂戶的標(biāo)識來識別所述訂戶(即,作為示例,經(jīng)由智能卡登錄或通過CLI來識別訂戶站),其中,所述AAA 26包含分配的IP地址與訂戶標(biāo)識之間的映射。
      優(yōu)選地,IA存儲關(guān)于訂戶標(biāo)識和他/她請求的服務(wù)的信息。關(guān)于請求的服務(wù)的信息可以是服務(wù)提供者的IP地址和/或URI,以及/或者在服務(wù)提供者使用不同的協(xié)議提供更多服務(wù)的情況下(例如,對電子郵件帳戶使用POP3,對Web導(dǎo)航使用HTTP),所述信息是服務(wù)所使用的協(xié)議。在圖8中,描述存儲在IA 64中的信息表的示例。所示的表為想要訪問一個或多個服務(wù)的訂戶A、B和C提供映射,所述服務(wù)表征為服務(wù)提供者SP-1、SP-2等。在圖8的示例中,訂戶通過他們的登錄ID(例如,用戶名和密碼(LOGIN-A、LOGIN-B等))來識別。優(yōu)選地,由IA為每個訂戶創(chuàng)建偽PS,例如,創(chuàng)建與訂戶的登錄ID相應(yīng)的PS。或者,如圖8所示,可為訂戶產(chǎn)生更多的假名,其中,每個假名表征由訂戶請求的特定服務(wù)。作為優(yōu)選,創(chuàng)建假名,以便避免公開諸如CLI或登錄ID的敏感數(shù)據(jù)。
      在檢驗訂戶的標(biāo)識之后(例如,通過將IP地址和與訂戶相關(guān)的登錄ID映射),IA根據(jù)訪問請求消息的應(yīng)用層協(xié)議來產(chǎn)生軟件令牌。例如,將所述令牌插入訪問請求消息,作為插入消息的現(xiàn)有應(yīng)用頭部的字段或作為在消息中添加的新的應(yīng)用頭部。
      根據(jù)STI操作在哪一層,可由IA將令牌插入消息中,或者IA可命令STI將令牌插入消息中。后一種選擇假設(shè)STI也操作在應(yīng)用層上。在任何一種情況下,STI將修改的訪問請求消息(即,包含令牌)發(fā)送到應(yīng)用服務(wù)器24,應(yīng)用服務(wù)器24接收驗證的消息。
      驗證令牌包括關(guān)聯(lián)到在固定接入網(wǎng)絡(luò)中定義的訂戶標(biāo)識的訂戶標(biāo)識符。
      優(yōu)選地,包括在令牌中的訂戶標(biāo)識符是關(guān)聯(lián)訂戶標(biāo)識(例如,CLI或登錄ID)的假名。盡管本發(fā)明不排除在驗證令牌中使用在PSTN或固定接入網(wǎng)絡(luò)中定義的訂戶標(biāo)識,但是假名的使用保護了訂戶的隱私,并防止公開敏感信息?;蛘?,標(biāo)識符可以是由PSTN運營商根據(jù)(例如)訂戶的信用分配給訂戶的授權(quán)串/代碼。盡管優(yōu)選的是標(biāo)識符唯一明確地相應(yīng)于訂戶標(biāo)識,但是可為一組訂戶(例如,按照年齡的分組)分配相同的授權(quán)串/代碼。
      可選地,IA 64在將產(chǎn)生的令牌發(fā)送到STI之前,將所述令牌傳遞到公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)服務(wù)63,所述PKI服務(wù)63通過經(jīng)由非對稱加密將數(shù)字簽名添加到令牌來證明所述令牌,而非對稱加密本身是公知的。
      盡管STI 65和IA 64被示為BNAS 29外部的分離部件,但是可在BNAS之內(nèi)優(yōu)選地實現(xiàn)STI 65和IA 64,例如,將其實現(xiàn)為嵌入BNAS的控制邏輯中的軟件模塊。由于這樣將消除BNAS與STI之間的物理連接,所以可提高STI針對網(wǎng)絡(luò)層攻擊的安全性。
      盡管在數(shù)字訂戶線路(DSL)技術(shù)(特別是ADSL技術(shù))的情況下參照圖7和圖9描述了本發(fā)明的實施例,但是應(yīng)理解本發(fā)明并不受限于xDSL技術(shù)。事實上,還可在本發(fā)明的其它實施例中使用其它接入接入和/或網(wǎng)絡(luò)配置,例如但不受限于混合同軸光纖(HFC)、無線連接(例如,WiFi或WiMAX)、光纖到戶(FTTH)和/或以太網(wǎng)。
      圖9示出對在應(yīng)用服務(wù)器中主管的Web站點的訪問操作的處理示圖。在處理流程中相互作用的主要部件具有與參照圖7所描述的部件相同的一般邏輯功能,并使用相同的標(biāo)號來指示。在所述實施例中,訂戶站通過使用SOAP協(xié)議請求訪問在公共IP網(wǎng)絡(luò)中提供的服務(wù)“abc”。作為示例,HTTP請求可以是HTTP POST,例如,“POST/abcHTTP/1.1”。訂戶站在該實施例中作為鏈接到ADSL調(diào)制解調(diào)器的端點用戶外圍裝置18(例如,PC),在步驟91通過本身已知的方式在ADSL基礎(chǔ)結(jié)構(gòu)內(nèi)進(jìn)行驗證。即,步驟91通過簡化的方式表示PC 18(經(jīng)由DSL調(diào)制解調(diào)器)與BNAS 29之間的相互作用,其對于訂戶站訪問外部網(wǎng)絡(luò)是必需的。在驗證階段內(nèi),AAA 7至少在數(shù)據(jù)會話的持續(xù)期間將IP地址分配給訂戶站并在存儲器中存儲IP地址與訂戶標(biāo)識之間的映射信息。隨后從ADSL接入網(wǎng)絡(luò)授權(quán)訂戶站來訪問IP服務(wù),并向訂戶分配IP地址。
      在步驟91的接入網(wǎng)絡(luò)內(nèi)的授權(quán)和驗證階段之后,在步驟92,由BNAS將在數(shù)據(jù)包中攜帶的訪問請求消息轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)。步驟92的虛線表示在沒有根據(jù)本發(fā)明的驗證機制的情況下,消息經(jīng)過的邏輯路徑,即,消息被發(fā)送到應(yīng)用服務(wù)器24。
      根據(jù)本發(fā)明,在步驟92,由位于BNAS 29與公共網(wǎng)絡(luò)之間的STI65來截取包含訪問請求消息的數(shù)據(jù)包。STI從截取的數(shù)據(jù)包提取訂戶的IP地址(即,用于會話而分配給訂戶站的地址),優(yōu)選地,還提取IP目的地地址(即,應(yīng)用服務(wù)器24的地址)。STI隨后將應(yīng)用消息(在這種情況下為SOAP消息)和訂戶的IP地址轉(zhuǎn)發(fā)給IA 64(步驟93)。
      如果STI操作在低于應(yīng)用層的層上,則作為示例,通過向IA轉(zhuǎn)發(fā)應(yīng)用頭部,將消息自動轉(zhuǎn)發(fā)到IA。反之,如果STI操作在應(yīng)用層上,則STI識別在應(yīng)用層消息中使用的協(xié)議,在這種情況下,所述協(xié)議為HTTP協(xié)議上的SOAP。在所述的任何一種情況下,IA得知訂戶的IP地址以及消息所符合的應(yīng)用層協(xié)議。作為示例,可通過以公共對象請求代理機體系結(jié)構(gòu)(CORBA)(諸如接口定義語言(IDL))指定的接口或以Web服務(wù)語言(諸如Web服務(wù)描述語言(WSDL))指定的接口來產(chǎn)生STI與IA之間的信息傳輸。
      在步驟94,IA 64詢問AAA 26以確定PSTN中訂戶的標(biāo)識,所述標(biāo)識相應(yīng)于在數(shù)據(jù)包中捕獲的源IP地址。在步驟95,AAA 26通過向IA提供關(guān)聯(lián)到IP地址的訂戶標(biāo)識(在這種情況下,由登錄ID表示)來響應(yīng)于所述詢問。
      在下一步驟(步驟96),IA產(chǎn)生包括訂戶標(biāo)識符的令牌。作為示例,可根據(jù)WS安全規(guī)范來定義令牌,例如,字符串(在圖9中指示為&lt;WS&gt;令牌)。優(yōu)選地,包括在令牌中的標(biāo)識符是由IA創(chuàng)建并關(guān)聯(lián)到登錄ID的假名。如在圖8中示出的示例,諸如在為相同訂戶創(chuàng)建更多假名(即,相同的登錄ID)以訪問會話內(nèi)的不同服務(wù)的情況下,在單一簽入(SSO)訪問機制的情況下,可將所述標(biāo)識符關(guān)聯(lián)到服務(wù)提供者。至少在會話的持續(xù)期間,IA追蹤假名與在PSTN中定義的訂戶標(biāo)識(例如,登錄ID或CLI)之間的映射。
      可選地,將令牌轉(zhuǎn)發(fā)到PKI 63服務(wù),以向令牌附加數(shù)字簽名或根據(jù)已知加密機制來對其進(jìn)行加密(步驟97)。在步驟98,PKI返回用數(shù)字簽名證明和/或通過加密確保安全的令牌。在圖9中,用DS來指示證明/加密的令牌(&lt;WS&gt;令牌)。
      緊接著步驟95(或者在包括PKI服務(wù)的情況下,緊接著步驟97),IA創(chuàng)建新的訪問請求消息,用“New-soap”來指示,其包括產(chǎn)生的令牌(步驟98)。在步驟98,將新的訪問請求消息(包括令牌)傳遞到STI以進(jìn)行傳輸。作為示例,新消息是從訂戶站發(fā)送的訪問請求消息,其中,如OASIS WS安全規(guī)范所述,將令牌添加在SOAP封裝中,作為附加字段。STI先前在它的存儲器中復(fù)制并存儲提取出信息的數(shù)據(jù)包,隨后將接收的訪問請求消息發(fā)送到應(yīng)用服務(wù)器24(步驟99)。
      如果數(shù)字簽名被附加到令牌,則應(yīng)用服務(wù)器通過詢問PKI服務(wù)來檢驗數(shù)字簽名(步驟100)。例如,PKI檢驗令牌的數(shù)字簽名證書是否有效。
      最終,通過令牌接收到對訂戶標(biāo)識的驗證的應(yīng)用服務(wù)器14向驗證的訂戶提供所請求的服務(wù)(步驟101)。
      應(yīng)注意到在圖9中描述的驗證機制對于用戶是透明的,所述用戶不需要輸入用于訪問服務(wù)的證明。此外,驗證機制允許通過SSO機制對多個服務(wù)進(jìn)行透明訪問,所述SSO機制通常預(yù)先假設(shè)在提供服務(wù)的服務(wù)提供者(標(biāo)識聯(lián)盟)中間存在協(xié)議。
      近年來,以下情況變得越來越普遍用戶是多個電信網(wǎng)絡(luò)的訂戶,由此想要或需要訪問來自不同網(wǎng)絡(luò)的應(yīng)用服務(wù)。如參照圖2到圖8所述,可為相同的訂戶創(chuàng)建不同的隨機數(shù),所述訂戶進(jìn)入可(但不受限于)由不同服務(wù)提供者傳送的不同應(yīng)用服務(wù)。申請人注意到可通過假名在服務(wù)應(yīng)用(即,對于服務(wù)提供者)識別用戶,所述假名對于用戶訪問服務(wù)的不同網(wǎng)絡(luò)而言是相同的。圖10示意性示出用戶是多于電信網(wǎng)絡(luò)(即,ADSL接入網(wǎng)絡(luò)121、無線(WiFi接入網(wǎng)絡(luò)124、GPRS/GSM網(wǎng)絡(luò)128和UMTS網(wǎng)絡(luò)126))的訂戶。用戶可從網(wǎng)絡(luò)121、124、126或128通過IP網(wǎng)絡(luò)120發(fā)送對在應(yīng)用服務(wù)器129的應(yīng)用服務(wù)的請求。在第一網(wǎng)絡(luò)內(nèi)激活A(yù)P地址,在第一網(wǎng)絡(luò)中,產(chǎn)生所述請求,并由總是位于第一網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器(未示出)將其關(guān)聯(lián)到標(biāo)識符。根據(jù)本發(fā)明的優(yōu)選實施例,將安全令牌注入器(STI)在邏輯上鏈接到每個第一網(wǎng)絡(luò)的訪問網(wǎng)關(guān)或接入點(例如,BNAS、GGSN),其充當(dāng)?shù)絀P網(wǎng)絡(luò)的網(wǎng)關(guān),其中,訂戶向所述第一網(wǎng)絡(luò)請求應(yīng)用服務(wù)。STI的122、123、125和127截取分別發(fā)源于網(wǎng)絡(luò)121、1 24、126和127的訪問請求消息。盡管沒有在附圖中示出,但是將每個STI在邏輯上鏈接到標(biāo)識局(IA),所述IA負(fù)責(zé)管理訂戶標(biāo)識,所述訂戶通過IP網(wǎng)絡(luò)訪問應(yīng)用服務(wù)。將參照前面的實施例更加詳細(xì)地描述STI和IA的功能和邏輯操作。具體說來,每個第一網(wǎng)絡(luò)的IA從捕獲的IP地址得知訂戶標(biāo)識,并將假名關(guān)聯(lián)到IP地址,該IP地址不僅識別訂戶(通過它在第一網(wǎng)絡(luò)內(nèi)與訂戶標(biāo)識的關(guān)聯(lián)),而且涉及請求的應(yīng)用服務(wù)。為了能夠?qū)⒄埱蟮姆?wù)與假名關(guān)聯(lián),IA(或者在IA操作在應(yīng)用層情況下的STI)需要從訪問請求消息提取所請求的服務(wù)的URI。通過得知URI,可將訂戶標(biāo)識符關(guān)聯(lián)到涉及服務(wù)的假名,然后將其插入訪問請求消息??捎蛇\行所請求的服務(wù)的服務(wù)提供者創(chuàng)建涉及服務(wù)的假名,然后將其傳送到IA。有幾種解決方案可執(zhí)行所述傳送。所述傳送也可通過以下方式來執(zhí)行通過由IA提供并由服務(wù)提供者使用的某些供應(yīng)工具的脫線方式,或者在運行時間通過諸如由用于支持標(biāo)識聯(lián)盟的自由聯(lián)盟協(xié)會所指定的工具。
      應(yīng)注意到同樣在該實施例中,由第一網(wǎng)絡(luò)確保訂戶標(biāo)識,其中,用戶向所述第一網(wǎng)絡(luò)請求服務(wù)。
      多網(wǎng)絡(luò)訪問的可行方案可以是以下用戶的方案,所述用戶為多個網(wǎng)絡(luò)的訂戶,例如,所述網(wǎng)絡(luò)為GPRS、UMTS和固定接入網(wǎng)絡(luò),其中,所述固定接入網(wǎng)絡(luò)諸如通過PSTN的電話線路的xDSL,這些網(wǎng)絡(luò)由多平臺運營商來管理。
      申請人已注意到某些服務(wù)需要在客戶機(即,訂戶站)與服務(wù)器之間的相互驗證。換言之,當(dāng)采用通過諸如互聯(lián)網(wǎng)的外部網(wǎng)絡(luò)的某些服務(wù)時,用戶會需要或想要知道他或她是否真正與期望或正確的服務(wù)器進(jìn)行通信。如果遠(yuǎn)程計算機能夠模擬服務(wù)器的行為,則會哄騙或欺騙用戶,使其認(rèn)為他或她在與正確的服務(wù)器通信中。例如,傳統(tǒng)上認(rèn)為關(guān)于金融機構(gòu)、它們的客戶以及金融交易的信息對于安全性和可信度非常敏感?,F(xiàn)在,作為示例,通常在互聯(lián)網(wǎng)銀行中使用非對稱密鑰對加密以確保安全性和秘密性。
      圖11是示出根據(jù)本發(fā)明優(yōu)選實施例,在相互驗證的情況下,通過PDN對在應(yīng)用服務(wù)器中主管的服務(wù)的訪問的簡化處理示圖。在步驟113,可作為移動站或CPE的訂戶站110請求在應(yīng)用服務(wù)器112中主管的服務(wù)。在該示例中,所述消息是POST類型的HTTP訪問請求消息??偸窃诓襟E113,根據(jù)本發(fā)明的方法(在前面的實施例中更加詳細(xì)地描述),由STI 111截取所述消息,創(chuàng)建令牌(即,令牌-c)并將其關(guān)聯(lián)到所述消息。STI隨后將帶有相關(guān)的令牌的消息發(fā)送到應(yīng)用服務(wù)器(步驟114)。在接收到消息(并可選地檢驗所述驗證的有效期)之后,服務(wù)器112創(chuàng)建應(yīng)答令牌(即,令牌-c),其被輸入對接收POST消息的肯定響應(yīng)“Welcome”。作為示例,根據(jù)諸如SAML聲明的標(biāo)準(zhǔn),令牌-s可以是通過運行應(yīng)用服務(wù)(例如,Java Servlet或微軟活動服務(wù)器頁)的軟件實現(xiàn)的字符串?;蛘?,由邏輯上鏈接到服務(wù)器的邏輯實體(附圖中未示出)優(yōu)選地在服務(wù)提供者室內(nèi)產(chǎn)生令牌-s。應(yīng)用實體可以定位在應(yīng)用服務(wù)器前端的應(yīng)用防火墻。
      由STI 111來截取包括令牌-s并由應(yīng)用服務(wù)器112發(fā)送到訂戶站110的響應(yīng)消息,所述STI 111從響應(yīng)消息提取令牌-s并檢驗它的有效性。可通過數(shù)字簽名或通過網(wǎng)絡(luò)運營商(假設(shè)STI位于運營商室內(nèi))與服務(wù)提供者之間共享的例如對稱密鑰的私鑰來檢驗所述有效性。如果令牌-s的有效性被肯定地驗證,則STI將截取的肯定響應(yīng)消息“Welcome”發(fā)送到訂戶站(步驟116),或者STI創(chuàng)建將被發(fā)送到訂戶站10的新的肯定響應(yīng)消息。否則,STI截取通信,并將出錯消息發(fā)送到訂戶站(附圖中未示出)。
      在該實施例中,假設(shè)STI操作在應(yīng)用層上,由此STI不僅可截取從應(yīng)用服務(wù)器發(fā)送的響應(yīng)消息,而且提取令牌-s。應(yīng)理解到在STI最高操作到傳輸層的情況下,STI 111截取響應(yīng)消息,隨后將其發(fā)送到IA(在圖11中未示出),所述IA提取應(yīng)用層令牌-s并檢驗它的有效性。
      優(yōu)選地,為了避免被未授權(quán)方截取或偷竊令牌-s,可通過加密來保護所述令牌,或?qū)⑺隽钆脐P(guān)聯(lián)到生存期。
      還值得注意到驗證服務(wù)器的機制具有對端點用戶透明的優(yōu)點。
      權(quán)利要求
      1.一種用于驗證第一網(wǎng)絡(luò)的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的方法,其中,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN),并且對應(yīng)用服務(wù)的訪問是以封裝在數(shù)據(jù)包中的訪問請求消息的形式的,所述數(shù)據(jù)包包括被分配給所述訂戶的所述第二網(wǎng)絡(luò)中的地址(訂戶地址),以及用符合應(yīng)用層協(xié)議的語法表示的所述訪問請求消息,所述方法包括以下步驟a)截取到第二網(wǎng)絡(luò)的訪問請求消息;b)識別應(yīng)用層協(xié)議;c)提供所述訂戶地址與第一網(wǎng)絡(luò)中的第一訂戶標(biāo)識符之間的映射;d)產(chǎn)生包括第二訂戶標(biāo)識符的第一驗證令牌;e)將所述第一驗證令牌關(guān)聯(lián)到訪問請求消息;以及f)將帶有所述第一關(guān)聯(lián)的驗證令牌的訪問請求消息發(fā)送到第二網(wǎng)絡(luò)。
      2.如權(quán)利要求1所述的方法,其中,第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò),訂戶地址是IP地址。
      3.如權(quán)利要求1或2所述的方法,其中,第一網(wǎng)絡(luò)是移動網(wǎng)絡(luò)。
      4.如權(quán)利要求3所述的方法,其中,移動網(wǎng)絡(luò)是分組交換蜂窩式網(wǎng)絡(luò)。
      5.如權(quán)利要求4所述的方法,其中,分組交換蜂窩式網(wǎng)絡(luò)是GPRS網(wǎng)絡(luò)。
      6.如權(quán)利要求4所述的方法,其中,分組交換蜂窩式網(wǎng)絡(luò)是EDGE或UMTS網(wǎng)絡(luò)。
      7.如權(quán)利要求1所述的方法,其中,第一訂戶標(biāo)識符與第二訂戶標(biāo)識符彼此不同。
      8.如權(quán)利要求7所述的方法,其中,第一網(wǎng)絡(luò)是GSM網(wǎng)絡(luò),第一訂戶標(biāo)識符是基于SIM的標(biāo)識。
      9.如權(quán)利要求8所述的方法,其中,基于SIM的標(biāo)識是關(guān)聯(lián)到GSM網(wǎng)絡(luò)中的訂戶的IMSI。
      10.如權(quán)利要求7所述的方法,其中,第二訂戶標(biāo)識符是關(guān)聯(lián)到第一訂戶標(biāo)識符的假名。
      11.如上述權(quán)利要求之一所述的方法,其中,步驟e)包括在訪問請求消息中包括第一驗證令牌。
      12.如上述權(quán)利要求之一所述的方法,在步驟d)之后還包括以下步驟用數(shù)字簽名加密第一驗證令牌。
      13.如上述權(quán)利要求之一所述的方法,其中,用符合訪問請求消息的應(yīng)用層協(xié)議的語法來表示所述第一驗證令牌。
      14.如上述權(quán)利要求之一所述的方法,其中,從SIP、HTTP和HTTP上的SOAP的組合中選擇應(yīng)用層協(xié)議。
      15.如權(quán)利要求1所述的方法,其中,應(yīng)用層協(xié)議是SIP或HTTP,根據(jù)SAML標(biāo)準(zhǔn)來指定所述第一驗證令牌。
      16.如權(quán)利要求1所述的方法,其中,第一網(wǎng)絡(luò)是固定接入網(wǎng)絡(luò)。
      17.如權(quán)利要求16所述的方法,其中,固定接入網(wǎng)絡(luò)使用數(shù)字訂戶線路(xDSL)接入技術(shù)。
      18.如權(quán)利要求16所述的方法,其中,第一訂戶標(biāo)識符是登錄ID。
      19.如權(quán)利要求1所述的方法,在步驟f)之后還包括以下步驟g)在應(yīng)用服務(wù)通過所述第二網(wǎng)絡(luò)接收帶有所述關(guān)聯(lián)的第一驗證令牌的所述訪問請求;h)產(chǎn)生對所述接收的訪問請求消息的第一響應(yīng)消息;i)產(chǎn)生第二驗證令牌并將所述第二驗證令牌包括在所述第一響應(yīng)消息中;j)截取包括所述第二驗證令牌的所述第一響應(yīng)消息;k)從所述第一響應(yīng)消息提取所述第二驗證令牌,以及l(fā))檢驗所述第二驗證令牌,如果驗證是肯定的,則將第二響應(yīng)消息發(fā)送到第一網(wǎng)絡(luò)。
      20.如權(quán)利要求19所述的方法,在步驟g)之后還包括以下步驟檢驗所述第一驗證令牌。
      21.一種用于驗證多個第一網(wǎng)絡(luò)的訂戶以訪問應(yīng)用服務(wù)的方法,其中,通過權(quán)利要求1的方法實施對來自每個第一網(wǎng)絡(luò)的訂戶的驗證。
      22.如權(quán)利要求1或21所述的方法,還包括步驟提供第一驗證令牌與所請求的應(yīng)用服務(wù)之間的映射。
      23.如權(quán)利要求22所述的方法,其中,在第一驗證令牌與所請求的應(yīng)用服務(wù)之間的映射包括從訪問請求消息提取所請求的服務(wù)的URI。
      24.如權(quán)利要求22所述的方法,其中,第二訂戶標(biāo)識符是關(guān)聯(lián)到第一訂戶標(biāo)識符并關(guān)聯(lián)到所請求的應(yīng)用服務(wù)的假名。
      25.一種用于驗證第一網(wǎng)絡(luò)的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的系統(tǒng),其中,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN),所述系統(tǒng)包括訂戶站(2、68),耦合到第一網(wǎng)絡(luò),并且適于產(chǎn)生封裝在數(shù)據(jù)包中的訪問請求消息,用符合應(yīng)用層協(xié)議的語法來表示所述訪問請求消息;分配服務(wù)器(7、26),適于向所述訂戶分配在所述第二網(wǎng)絡(luò)中的地址(訂戶地址)并提供所述訂戶地址與第一網(wǎng)絡(luò)中的第一訂戶標(biāo)識符之間的映射;網(wǎng)關(guān)(6、29),適于執(zhí)行以下功能從訂戶站(2)接收訪問請求消息,將第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)并且向訂戶站分配訂戶地址;第一邏輯實體(10、65),與網(wǎng)關(guān)(6、29)鏈接,并且適于截取從訂戶站(2、18)產(chǎn)生的并通過網(wǎng)關(guān)(6、29)被定向到第二網(wǎng)絡(luò)的數(shù)據(jù)包,并且至少在所述數(shù)據(jù)包中捕獲所述訂戶地址,以及第二邏輯實體(9、64),與第一邏輯實體(10、65)鏈接并適于執(zhí)行以下功能從第一邏輯實體接收訂戶地址和訪問請求消息,識別訪問請求消息的應(yīng)用層協(xié)議,向分配服務(wù)器請求第一訂戶標(biāo)識符,以及根據(jù)應(yīng)用層協(xié)議產(chǎn)生第一驗證令牌,所述令牌包括第二訂戶標(biāo)識符,其中,第一邏輯實體或第二邏輯實體適于將所述第一驗證令牌關(guān)聯(lián)到訪問請求消息。
      26.如權(quán)利要求25所述的系統(tǒng),其中,分配服務(wù)器(7、26)和網(wǎng)關(guān)(6、29)包括在第一網(wǎng)絡(luò)中。
      27.如權(quán)利要求25所述的系統(tǒng),其中,第一邏輯實體(10、65)和第二邏輯實體(9、64)包括在第一網(wǎng)絡(luò)中。
      28.如權(quán)利要求25所述的系統(tǒng),其中,第一網(wǎng)絡(luò)是移動網(wǎng)絡(luò),訂戶站(2)是經(jīng)由無線鏈路耦合到第一網(wǎng)絡(luò)的移動站。
      29.如權(quán)利要求28所述的系統(tǒng),其中,第一網(wǎng)絡(luò)是分組交換蜂窩式網(wǎng)絡(luò)。
      30.如權(quán)利要求28或29之一所述的系統(tǒng),其中,網(wǎng)絡(luò)(6)是GGSN。
      31.如權(quán)利要求25所述的系統(tǒng),其中,分配服務(wù)器(7、26)是認(rèn)證-授權(quán)-計費(AAA)服務(wù)器。
      32.如權(quán)利要求25所述的系統(tǒng),其中,第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)(12、22) 。
      33.如權(quán)利要求25所述的系統(tǒng),還包括證明邏輯實體(8、63),其在邏輯上鏈接到第二邏輯實體(9、64)并適于加密第一驗證令牌。
      34.如權(quán)利要求25所述的系統(tǒng),其中,第一邏輯實體(10、65)是應(yīng)用層防火墻。
      35.如權(quán)利要求25所述的系統(tǒng),其中,第一網(wǎng)絡(luò)是固定接入網(wǎng)絡(luò),訂戶站是經(jīng)由有線鏈路(67)耦合到第一網(wǎng)絡(luò)的用戶宅室設(shè)備(68)。
      36.如權(quán)利要求35所述的系統(tǒng),其中,第一用戶標(biāo)識符是登錄ID。
      37.如權(quán)利要求25所述的系統(tǒng),其中,所述第一邏輯實體(10、65)還適于截取通過第二網(wǎng)絡(luò)發(fā)送的并通過網(wǎng)關(guān)(6、29)定向到所述訂戶站(2、68)的響應(yīng)消息。
      38.如權(quán)利要求37所述的系統(tǒng),其中,所述響應(yīng)消息包括第二驗證令牌。
      全文摘要
      本發(fā)明涉及一種用于驗證第一網(wǎng)絡(luò)(例如,GPRS/GSM網(wǎng)絡(luò))的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的系統(tǒng)和方法,其中,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN),例如,互聯(lián)網(wǎng)。根據(jù)本發(fā)明優(yōu)選實施例的系統(tǒng)包括移動站MS(2),連接到蜂窩式網(wǎng)絡(luò),并且適于產(chǎn)生包含在數(shù)據(jù)包中的訪問請求消息,用符合應(yīng)用層協(xié)議的語法來表示所述訪問請求消息;分配服務(wù)器AAA(7),適于向所述訂戶分配在所述第二網(wǎng)絡(luò)中的地址(訂戶地址)并提供訂戶地址與第一訂戶標(biāo)識符之間的映射;網(wǎng)關(guān)(6)(例如,GGSN),其將第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)并向MS 2分配訂戶地址;服務(wù)令牌注入器STI(10),與網(wǎng)關(guān)(6)鏈接,并適于截取從端點站產(chǎn)生并通過網(wǎng)關(guān)(6)被定向到第二網(wǎng)絡(luò)的數(shù)據(jù)包,在數(shù)據(jù)包中至少捕獲訂戶地址;標(biāo)識局邏輯實體(9),與STI 10鏈接并適于執(zhí)行以下功能從第一邏輯實體接收訂戶地址和訪問請求消息,識別訪問請求消息的應(yīng)用層協(xié)議,向分配服務(wù)器請求第一訂戶標(biāo)識符,根據(jù)應(yīng)用層協(xié)議產(chǎn)生驗證令牌,其中所述令牌包括第二訂戶標(biāo)識符,并將所述驗證令牌關(guān)聯(lián)到訪問請求消息。
      文檔編號H04L29/12GK101069402SQ200580041107
      公開日2007年11月7日 申請日期2005年9月30日 優(yōu)先權(quán)日2004年10月26日
      發(fā)明者保羅·德盧蒂斯, 加埃塔諾·迪卡普里奧, 科拉多·莫伊索 申請人:意大利電信股份公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1