專利名稱:用于聯(lián)合單點登錄服務(wù)的系統(tǒng)、方法和設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明一般涉及的是可以提供給多個用戶的單點登錄服務(wù)。更為特別的是,本發(fā)明涉及那些為多個使用者提供基于萬維網(wǎng)的單點登錄服務(wù)的裝置、系統(tǒng)和方法,其中所述使用者即為移動網(wǎng)絡(luò)運營商網(wǎng)絡(luò)的用戶。
背景技術(shù):
萬維網(wǎng)服務(wù)的出現(xiàn)伴隨產(chǎn)生了一種允許用戶以一種簡單便捷的方式來訪問所述萬維網(wǎng)服務(wù)的全新服務(wù),而這種方式就是所謂的單點登錄(SSO)。當(dāng)前的SSO準(zhǔn)則規(guī)定用戶應(yīng)該能夠進行一次驗證并且應(yīng)該準(zhǔn)許訪問那些由他們預(yù)訂并且接受這種驗證等級的服務(wù)。這個準(zhǔn)則集中在了方便最終用戶這個方面,然而并沒有解決終端和網(wǎng)絡(luò)在實施SSO時遇到的能力方面的問題。因此,當(dāng)前的發(fā)展方向提出了兩種實行SSO準(zhǔn)則的方法。
在第一種方法,也就是“以終端為中心”的方法中,用戶相對于終端進行一次驗證,所述終端轉(zhuǎn)而自動追蹤一個面向服務(wù)的網(wǎng)絡(luò)接入,并且在沒有其他用戶參與的情況下以透明方式將恰當(dāng)?shù)淖C書提交給請求這種證書的面向服務(wù)的網(wǎng)絡(luò)。
在第二種方法,也就是“以網(wǎng)絡(luò)為中心”的方法中,用戶相對于網(wǎng)絡(luò)中的驗證提供方(AP)來進行一次驗證,所述驗證提供方轉(zhuǎn)而對用于所述服務(wù)的恰當(dāng)證書進行處理。
當(dāng)在驗證提供方與服務(wù)供應(yīng)商之間存在領(lǐng)域信任關(guān)系時,這種所謂的“以網(wǎng)絡(luò)為中心”的方法是非常合適的,然而在沒有這類關(guān)系并且終端可以追蹤那些為完全不同的領(lǐng)域或服務(wù)所執(zhí)行的驗證的時候,以終端為中心的方法將會非常有用。
此外也可以將這兩種方法結(jié)合起來。網(wǎng)絡(luò)運營商可以發(fā)布那些能夠保存在終端或是可存取的讀/寫卡中的證書,例如數(shù)字證書、短期證書、臨時票據(jù)或令牌。在驗證或授權(quán)過程中,這些證書將會得到用戶的進一步使用。
常規(guī)的蜂窩運營商使用了驗證服務(wù)來授權(quán)用戶訪問所述運營商提供的語音和數(shù)據(jù)服務(wù)。隨著蜂窩運營商在價值鏈中的上升,它們可能會影響到其與自身用戶之間的相互信任關(guān)系,由此在新興的商務(wù)模型中為各自的用戶群體扮演一個驗證提供方的全新角色,而在這種新興的商務(wù)模型中,服務(wù)域和驗證服務(wù)屬于不同的管理實體。在這一點上,能夠提供IP連接和服務(wù)這兩種訪問的運營商還可以為用戶提供一個“訪問驗證SSO”,由此與服務(wù)域中的驗證一樣,在訪問等級上執(zhí)行的驗證同樣是有效的。這則僅僅是進一步公開本發(fā)明目標(biāo)的起點。
更確切地說,在這里必須對服務(wù)域與驗證提供方之間的關(guān)系以及那些可以提供給用戶的服務(wù)加以考慮,以便論述以上方法的優(yōu)缺點。一般來說,驗證提供方與提供服務(wù)的服務(wù)供應(yīng)商可以同屬一個管理域,也可將其委托給一個外部的可信組織或是一個分散聯(lián)盟。
本發(fā)明的一個主要目的是支持用于移動網(wǎng)絡(luò)運營商(MNO)聯(lián)盟用戶的單點登錄(SSO)服務(wù),其中所述用戶即為不同服務(wù)供應(yīng)商的使用者。所述SSO服務(wù)是以這樣一種方式得到支持的,其中用戶、移動網(wǎng)絡(luò)運營商聯(lián)盟以及與這類聯(lián)盟中至少一個成員訂立協(xié)定的服務(wù)供應(yīng)商都是依照本發(fā)明而從指定體系和商業(yè)參考模型中獲取附加益處和增值服務(wù)的。
更具體地說,在參考模型協(xié)定內(nèi)部,使用者將會因為具有這種用于訪問任何服務(wù)供應(yīng)商(SP)的任何服務(wù)的SSO服務(wù)而處于一種非常有利的地位。移動網(wǎng)絡(luò)運營商(MNO)可以向第三方提供SSO服務(wù),尤其是驗證和授權(quán),并且還可以通過為各自的移動預(yù)訂服務(wù)增值來保持用戶忠誠度,由此所述運營商可以獲得收益。最終,服務(wù)供應(yīng)商可以通過一種更為簡單和安全的驗證授權(quán)機制來體驗潛在用戶即移動用戶的增加,其中所述機制根據(jù)不同的用戶特性而將對于不同機制的支持減至最小。在這種情況下,驗證提供方和服務(wù)供應(yīng)商屬于不同的管理域。同時,這些分散優(yōu)點有益于提升一種所謂的移動商務(wù)(m-commerce)它被視為是本發(fā)明另一個目的。
相關(guān)技術(shù)上述“以網(wǎng)絡(luò)為中心”的方法似乎更適合那些包含了服務(wù)供應(yīng)商的使用者的情況,其中所述使用者即為移動網(wǎng)絡(luò)運營商的用戶,而所述移動網(wǎng)絡(luò)運營商則希望起到驗證提供方的作用。然而,在這里參考了一種以網(wǎng)絡(luò)為中心的常規(guī)方法中的SSO服務(wù)來論述最接近的已知現(xiàn)有技術(shù),其中所述論述獨立于這類充當(dāng)驗證提供方的網(wǎng)絡(luò)。
例如,Lerner的美國專利申請公開US2002/0010776A1描述了那些用于為驗證和授權(quán)服務(wù)提供單點登錄(SSO)型分布式應(yīng)用服務(wù)綜合的方法和系統(tǒng)。在這個申請中,相關(guān)的教導(dǎo)是在耦合到用戶終端的中央服務(wù)器從指向第一應(yīng)用瀏覽器的用戶那里接收到一個第一指示的時候開始的。然后在中央服務(wù)器上還接收了來自第一應(yīng)用瀏覽器并與用戶相對應(yīng)的一個cookie文件。于是,中央服務(wù)器對這個從瀏覽器中接收的cookie文件進行更新。
cookie文件是一個可變長度數(shù)據(jù)段并且通常包含了數(shù)百個字節(jié)。無論這些cookie是處于中央服務(wù)器本地還是遠端的伙伴站點,它們都是由各個附屬萬維網(wǎng)服務(wù)器中的應(yīng)用接口庫寫入、讀取和修改的。更具體地說,對接收到的cookie進行更新包含了對cookie文件以及某些預(yù)定參數(shù)進行比較,并且基于所述比較來對cookie文件進行最終修改。
當(dāng)在中央服務(wù)器上接收到一個來自用戶并且表明用戶將服務(wù)器指向第二應(yīng)用的第二指示時,中央服務(wù)器會將這個經(jīng)過更新的cookie文件提供給第二應(yīng)用。
本專利申請規(guī)定負(fù)責(zé)寫入、讀取和修改cookie文件的應(yīng)用接口庫被配置成在其他應(yīng)用中對用戶進行驗證。因此,本領(lǐng)域技術(shù)人員很容易發(fā)現(xiàn),所有用戶的驗證數(shù)據(jù)和相應(yīng)功能全都處于各個附屬萬維網(wǎng)服務(wù)器、本地或遠程伙伴站點中,這對管理而言是一個附加缺點。特別地,即使使用者受益于SSO服務(wù),但對用戶驗證而言,在用戶將瀏覽器指向的附屬萬維網(wǎng)服務(wù)器中,在任何一個應(yīng)用上都采取了特定的操作。由此可以將這種機制視為是驗證提供方和服務(wù)供應(yīng)商同屬一個管理域的情況的一個實例。
上述教導(dǎo)似乎不適合大型電信系統(tǒng),在這些系統(tǒng)中包含了移動網(wǎng)絡(luò)運營商聯(lián)盟,可能與至少一個聯(lián)盟成員簽約的多個不同服務(wù)供應(yīng)商,以及作為聯(lián)盟中任何成員的移動用戶的大量潛在使用者。
此外,如果用戶驗證數(shù)據(jù)和算法是非常敏感的信息,那么MNO是不愿意經(jīng)由自身場所之外的實體來傳播這個信息的。
在Grandcolas等人的歐洲專利申請EP-1089516中描述了用于單點登錄型用戶訪問方法和系統(tǒng)的另一個重要實例,在這個實例中,用戶可以使用多個萬維網(wǎng)服務(wù)器。
該申請描述的是如何在一個第一萬維網(wǎng)服務(wù)器上對用戶進行驗證,其中所述第一萬維網(wǎng)服務(wù)器允許用戶選擇一個提供預(yù)期服務(wù)的第二萬維網(wǎng)服務(wù)器。當(dāng)用戶實際選擇了第二萬維網(wǎng)服務(wù)器的時候,第一萬維網(wǎng)服務(wù)器將會構(gòu)造一個經(jīng)過加密的驗證令牌并且將其傳送到第二萬維網(wǎng)服務(wù)器。第二萬維網(wǎng)服務(wù)器對接收到的令牌進行驗證,并且允許用戶在第二萬維網(wǎng)服務(wù)器上具有一個會話。根據(jù)所述申請,第一和第二萬維網(wǎng)服務(wù)器共享一個子域。也就是說,在這個申請的方案中,驗證提供方和服務(wù)供應(yīng)商同屬一個管理域,其中驗證提供方即為第一萬維網(wǎng)服務(wù)器,而服務(wù)供應(yīng)商則是第二萬維網(wǎng)服務(wù)器。
這樣一來,該申請的教導(dǎo)不能應(yīng)用于那些驗證提供方和服務(wù)供應(yīng)商屬于不同管理域的情況。也就是說,在這個申請中,第一萬維網(wǎng)服務(wù)器即為驗證提供方,它是用戶對提供服務(wù)的第二萬維網(wǎng)服務(wù)器進行訪問所涉及的第一接點。
因此,這種方法似乎不利于在驗證提供方與服務(wù)供應(yīng)商屬于不同管理域的情況下進行的商業(yè)應(yīng)用。在這種情況下,用戶直接訪問一個請求驗證機構(gòu)來驗證用戶的服務(wù)供應(yīng)商,一旦成功執(zhí)行了驗證,則驗證機構(gòu)授權(quán)服務(wù)供應(yīng)商為用戶提供選定服務(wù)。
當(dāng)前有這樣一種已知的解決方案,它表示的是驗證提供方與服務(wù)供應(yīng)商屬于不同的管理和商業(yè)區(qū)域的情況,這種解決方案就是Microsoft的。NET護照產(chǎn)品(如http//www.passport.com所述并且在下文中將其簡稱為“.NET護照”)。這個產(chǎn)品旨在使用一組通用的技術(shù)操作原理來構(gòu)造一個更廣闊的因特網(wǎng)信任網(wǎng)絡(luò),其中所述技術(shù)操作原理對那些支持相應(yīng)標(biāo)準(zhǔn)的組織而言是開放的。
然而,這種方法并未解決如何構(gòu)造一個對自身移動用戶進行驗證的移動網(wǎng)絡(luò)運營商聯(lián)盟的問題,其中所述移動用戶訪問的是與所述聯(lián)盟中至少一個成員相關(guān)聯(lián)的服務(wù)供應(yīng)商。此外還存在一種旨在成為一個大型因特網(wǎng)驗證系統(tǒng)并與.NET護照相類似的方法,該方法是一種基于集中驗證機構(gòu)的封閉式解決方案,由此沒有為移動網(wǎng)絡(luò)運營商和用戶提供任何有益處理。
因此,本發(fā)明的一個重要目的是提供一種用于構(gòu)造移動網(wǎng)絡(luò)運營商(MNO)聯(lián)盟的系統(tǒng)、裝置和方法,其中對那些為聯(lián)盟中任何MNO的用戶提供單點登錄(SSO)服務(wù)的相關(guān)服務(wù)供應(yīng)商(SP)而言,所述聯(lián)盟充當(dāng)一個驗證機構(gòu)。由此,本發(fā)明的另一個目的是由充當(dāng)驗證機構(gòu)的聯(lián)盟在等同或高于移動網(wǎng)絡(luò)運營商當(dāng)前使用的層上實現(xiàn)與安全和保密相關(guān)聯(lián)的需求。此外,本發(fā)明的另一個目的是根據(jù)上述目的的系統(tǒng)、裝置和方法并且相對于施動方、作用、關(guān)系以及基本使用范例來建立一個結(jié)構(gòu)化的商業(yè)參考模型。
發(fā)明內(nèi)容
特別地,上述目的是依照本發(fā)明并且通過提供一種為那些訪問選定服務(wù)供應(yīng)商的用戶提供單點登錄的系統(tǒng)、方法和設(shè)備來實現(xiàn)的,其中所述用戶預(yù)訂了第一移動網(wǎng)絡(luò)運營商。
電信系統(tǒng)包括一個屬于第一移動網(wǎng)絡(luò)運營商的第一移動網(wǎng)絡(luò),至少一個屬于第二移動網(wǎng)絡(luò)運營商的第二移動網(wǎng)絡(luò),以及多個服務(wù)供應(yīng)商中的至少一個服務(wù)供應(yīng)商,其中一旦驗證機構(gòu)為所述至少一個服務(wù)供應(yīng)商驗證了所述移動網(wǎng)絡(luò)運營商的用戶,則所述至少一個服務(wù)供應(yīng)商將會向所述用戶提供服務(wù)。
根據(jù)本發(fā)明的一個方面,第一移動網(wǎng)絡(luò)運營商與至少一個第二移動網(wǎng)絡(luò)運營商符合或?qū)儆谝粋€充當(dāng)驗證機構(gòu)的移動網(wǎng)絡(luò)運營商的蜂窩電話聯(lián)盟。
此外,該系統(tǒng)還包括一個屬于第一移動網(wǎng)絡(luò)的驗證提供方,其中對于至少一個服務(wù)供應(yīng)商來說,所述驗證提供方是聯(lián)盟中有權(quán)驗證用戶的唯一成員;此外還包括一個屬于第二移動網(wǎng)絡(luò)的驗證中介,所述驗證中介被調(diào)整為進入點,以便從為此目的而與第二移動網(wǎng)絡(luò)運營商訂立協(xié)定的這些服務(wù)供應(yīng)商進入所述聯(lián)盟。在這里,這種類型的協(xié)定稱為“入口點”協(xié)定。
換言之,電信系統(tǒng)包含了用于將一個訪問服務(wù)供應(yīng)商的用戶重定向到與服務(wù)供應(yīng)商具有這類協(xié)定的第二移動網(wǎng)絡(luò)運營商的驗證中介的裝置,其中所述用戶預(yù)訂了第一移動網(wǎng)絡(luò)運營商,并且所述系統(tǒng)包含了用于將這個訪問驗證中介的用戶重定向到用戶歸屬的第一移動網(wǎng)絡(luò)運營商的驗證提供方的裝置。此外,電信系統(tǒng)還包含了用于在驗證中介上執(zhí)行用戶原籍解析的裝置,從而允許服務(wù)供應(yīng)商從屬于第一移動網(wǎng)絡(luò)的驗證提供方那里請求關(guān)于所述用戶的驗證聲明確認(rèn)。
特別地,電信系統(tǒng)允許在不涉及驗證中介的情況下從那些與第一移動網(wǎng)絡(luò)運營商訂立協(xié)定的服務(wù)供應(yīng)商那里直接訪問第一移動網(wǎng)絡(luò)運營商的驗證提供方。為此目的,電信系統(tǒng)還包含了用于在沒有涉及驗證中介的情況下將一個對服務(wù)供應(yīng)商進行訪問的用戶重定向到用戶原籍第一移動網(wǎng)絡(luò)的驗證提供方的裝置,其中所述服務(wù)供應(yīng)商與原籍第一移動網(wǎng)絡(luò)運營商訂立了這類協(xié)定。此外,這種服務(wù)供應(yīng)商還可以在未曾涉及驗證中介的情況下從所述驗證提供方那里請求一個關(guān)于所述用戶的驗證聲明確認(rèn)。
通常,上述系統(tǒng)包含了用于將來自一個訪問服務(wù)供應(yīng)商用戶的單點登錄驗證請求發(fā)布到蜂窩電話聯(lián)盟中負(fù)責(zé)為所述服務(wù)供應(yīng)商驗證所述用戶的驗證提供方的裝置,其中所述用戶是蜂窩電話聯(lián)盟的一個用戶,并且所述系統(tǒng)還包含了用于將接收到的驗證助診文件(artifact)提供給服務(wù)供應(yīng)商的裝置。
此外,本發(fā)明還提出了一種為訪問選定服務(wù)供應(yīng)商的用戶提供單點登錄服務(wù)的方法,其中所述用戶預(yù)訂了第一移動網(wǎng)絡(luò)運營商,并且每一個選定服務(wù)供應(yīng)商都與一個第二移動網(wǎng)絡(luò)運營商相關(guān)聯(lián)。該方法包括以下步驟在第一與第二移動網(wǎng)絡(luò)運營商之間建立一個驗證信任關(guān)系,由此形成一個移動網(wǎng)絡(luò)運營商聯(lián)盟;將所述用戶生成的訪問請求從選定的服務(wù)供應(yīng)商那里重定向到所述第一移動網(wǎng)絡(luò)運營商的蜂窩網(wǎng)絡(luò);在用戶訪問請求重定向的所述第一移動網(wǎng)絡(luò)運營商的驗證提供方那里產(chǎn)生一個對訪問所述服務(wù)供應(yīng)商的用戶有效的驗證聲明,并且將一個關(guān)于所述聲明的助診文件返回給所述用戶;請求對從服務(wù)供應(yīng)商傳遞所述第一移動網(wǎng)絡(luò)運營商的驗證提供方并且包含在用戶所給出的助診文件中的所述驗證聲明進行確認(rèn);以及一旦在服務(wù)供應(yīng)商那里接收到一個成功確認(rèn)響應(yīng),則接受涉及用戶的服務(wù)訪問。
在上述電信系統(tǒng)和方法中,在驗證提供方與服務(wù)供應(yīng)商之間借助了一個共享標(biāo)識來識別用戶,其中所述共享標(biāo)識獨立于在用戶與蜂窩電話聯(lián)盟的驗證提供方之間使用的驗證標(biāo)識,此外還獨立于在用戶與服務(wù)供應(yīng)商之間使用的用戶標(biāo)識。
在電信系統(tǒng)內(nèi)部還具有一個驗證中介并且這個驗證中介參與了上述方法,所述驗證中介包括與預(yù)訂了第一移動網(wǎng)絡(luò)運營商的用戶進行通信的第一接口裝置,以及與關(guān)聯(lián)于第二移動網(wǎng)絡(luò)運營商的服務(wù)供應(yīng)商進行通信的第二接口裝置。在這里可以將這些第一和第二接口裝置視為形成了一個中介信道,其中所述中介信道分別允許驗證中介將用戶重定向到用戶原籍網(wǎng)絡(luò)以及為服務(wù)供應(yīng)商解析用戶的原籍網(wǎng)絡(luò)。這種驗證中介可以包括一個萬維網(wǎng)前端,該前端包含了分別與用戶和服務(wù)供應(yīng)商對接的上述第一和第二接口裝置。此外,驗證中介還包含了用于存儲以各個移動網(wǎng)絡(luò)運營商為基礎(chǔ)的蜂窩電話聯(lián)盟中的全部驗證提供方的存儲器,而每一個移動網(wǎng)絡(luò)運營商則包含在所述蜂窩電話聯(lián)盟中,并且驗證中介包含了用于從存儲器中檢索用戶原籍相關(guān)尋址數(shù)據(jù)的裝置。此外,驗證中介的萬維網(wǎng)前端還包含了用于為那些關(guān)聯(lián)于擁有驗證中介的移動網(wǎng)絡(luò)運營商的服務(wù)供應(yīng)商提供公共密鑰架構(gòu)服務(wù)的裝置,從而實現(xiàn)了蜂窩電話聯(lián)盟的安全保密需要,由此實現(xiàn)本發(fā)明的另一個目的。
此外,在電信系統(tǒng)內(nèi)部還具有一個驗證提供方并且所述驗證提供方法參與了上述方法,其中所述驗證提供方包含了一個前向信道和一個后向信道。
這個驗證方的前向信道包括一個萬維網(wǎng)前端,該前端包含了用于在用戶與所述驗證提供方之間啟用驗證會話的第一接口裝置。此外,這個前向信道還包含了一個用于對用戶的會話狀態(tài)進行處理的會話管理器和存儲器,以及一個用于為用戶執(zhí)行特定驗證機制的前端驗證服務(wù)器。
這個驗證提供方的后向信道則包含了一個協(xié)議綁定,其中包含了用于在所述驗證提供方與用戶所訪問的服務(wù)供應(yīng)商之間交換那些與用戶驗證聲明相關(guān)的信息的第二接口裝置。此外,這個后向信道還包含了一個為用戶產(chǎn)生驗證聲明的安全聲明標(biāo)記語言引擎,以及用于保存這些驗證聲明的存儲器。此外,在前向信道與后向信道之間還提供了互通裝置,以便為用戶生成并保存一個驗證聲明。
作為具有以上系統(tǒng)、方法和設(shè)備即驗證中介和驗證提供方的另一個優(yōu)點,在這里提供了一種進行商業(yè)活動的方法,其中至少兩個移動網(wǎng)絡(luò)運營商符合或?qū)儆谝粋€移動網(wǎng)絡(luò)運營商聯(lián)盟,由此在聯(lián)盟中建立一個支持單點登錄服務(wù)的驗證信任關(guān)系。對于那些為聯(lián)盟中包含的移動網(wǎng)絡(luò)運營商的用戶提供服務(wù)的服務(wù)供應(yīng)商而言,所述聯(lián)盟充當(dāng)一個驗證機構(gòu),其中每一個服務(wù)供應(yīng)商都與一個參與聯(lián)盟的移動網(wǎng)絡(luò)運營商相關(guān)聯(lián),以便訪問這個聯(lián)盟。在這種進行商業(yè)活動的方法中,每一個移動網(wǎng)絡(luò)運營商都提供了自己的網(wǎng)絡(luò)及其相關(guān)服務(wù)供應(yīng)商所供應(yīng)的服務(wù),其中每一個網(wǎng)絡(luò)都包含了一個用于對該網(wǎng)絡(luò)中的用戶進行驗證的驗證提供方,以及一個驗證中介,用于將相關(guān)的服務(wù)供應(yīng)商重定向到一個負(fù)責(zé)對聯(lián)盟中的指定用戶進行驗證的驗證提供方。此外,在這種商業(yè)活動方法中,每一個服務(wù)供應(yīng)商都被調(diào)整成向聯(lián)盟中包含的任何移動網(wǎng)絡(luò)運營商的用戶提供服務(wù)。而服務(wù)供應(yīng)商可以通過一個與服務(wù)供應(yīng)商簽訂了這類協(xié)議的移動網(wǎng)絡(luò)運營商的公知驗證中介來訪問聯(lián)盟,由此與聯(lián)盟具有驗證信任關(guān)系。
附圖簡述通過結(jié)合附圖來對說明書進行研究,可以清楚了解本發(fā)明的上述及其他目的、特征和優(yōu)點,其中
圖1示意性描述了用于單點登錄服務(wù)的蜂窩電話聯(lián)盟的結(jié)構(gòu)化商業(yè)參考模型。
圖2顯示的是一個描述了在一種基本情況下實施的對用戶進行驗證以及授權(quán)訪問服務(wù)供應(yīng)商所提供的服務(wù)的處理的簡化順序圖,其中服務(wù)供應(yīng)商與擁有這類用戶預(yù)定的移動網(wǎng)絡(luò)運營商簽訂了一個業(yè)務(wù)協(xié)定。
圖3顯示的是另一個描述了在一種更普遍的情況下實施的對用戶進行驗證以及授權(quán)訪問服務(wù)供應(yīng)商所提供的服務(wù)的簡化順序圖。在這種情況下,服務(wù)供應(yīng)商與擁有用戶預(yù)定的移動網(wǎng)絡(luò)運營商之外的另一個移動網(wǎng)絡(luò)運營商具有一個業(yè)務(wù)協(xié)定,并且這兩個移動網(wǎng)絡(luò)運營商全都包含在一個蜂窩電話聯(lián)盟中。
圖4概括性介紹了包含一個用戶、一個服務(wù)供應(yīng)商,一個驗證中介以及一個驗證提供方的示范性內(nèi)部架構(gòu)和主要接口。
圖5A顯示的是在用戶經(jīng)由所謂的前向信道訪問一個驗證提供方(AP)從而發(fā)起一個全新驗證處理或者在先前執(zhí)行了有效驗證的情況下觸發(fā)聲明處理的時候執(zhí)行的第一操作序列(I)。
圖5B顯示的是通過所謂的前向信道而在AP上借助驗證后端(下文中將其稱為“Auth.B/E”)來對一個先前未曾驗證的用戶進行驗證的第二操作序列(II)。
圖5C顯示的是第三操作序列(III),其中通過執(zhí)行所述序列,可以在發(fā)現(xiàn)一個先前經(jīng)過驗證的用戶的時候完成一個聲明處理,由此具有一個有效會話。
圖6給出的是一個示意性組合,其中通過包含圖5A到5C中的參考符號而顯示了在用戶、服務(wù)供應(yīng)商以及驗證提供方之間執(zhí)行的操作序列,其中所述驗證提供方對這種在沒有預(yù)先驗證的情況下訪問服務(wù)供應(yīng)商的用戶進行驗證。
圖7A給出的是一個示意性組合,其中通過包含圖5A和5B中的參考數(shù)字而顯示了在這種單獨的用戶驗證過程中在用戶與驗證提供方之間執(zhí)行的操作序列。
圖7B給出的是一個示意性組合,其中通過包含圖5A到5C中的參考數(shù)字而顯示了在用戶、服務(wù)供應(yīng)商以及驗證提供方之間為已經(jīng)得到驗證并且訪問服務(wù)供應(yīng)商的用戶所執(zhí)行的操作序列。
圖8描述的依照優(yōu)選的結(jié)構(gòu)模型而在圖3中出現(xiàn)的某些步驟的更詳細實施例。
圖9描述的依照優(yōu)選的結(jié)構(gòu)模型而在圖3中出現(xiàn)的某些其它步驟的更詳細實施例。
圖10顯示的是在驗證提供方那里得到管理的SSO_auth_ID、SSO_MAIN_ID以及SHARED_ID這類標(biāo)識之間的示范性關(guān)系。
優(yōu)選實施例詳述下文描述了用于構(gòu)造移動網(wǎng)絡(luò)運營商(MNO)聯(lián)盟的裝置、方法和系統(tǒng)的當(dāng)前優(yōu)選實施例,其中對那些為聯(lián)盟中任何MNO的用戶提供服務(wù)的相關(guān)服務(wù)運營商(SP)而言,所述聯(lián)盟充當(dāng)一個驗證機構(gòu)。這些優(yōu)選實施例則是依照本發(fā)明提供的結(jié)構(gòu)化商業(yè)參考模型并且相對于施動方、作用、關(guān)系以及基本使用范例而被描述的。
根據(jù)本發(fā)明的一個方面,提供了一種用于單點登錄(FSSO)服務(wù)的蜂窩電話聯(lián)盟。圖1給出的是上文中相對于涉及第一聯(lián)盟(FFSO-1)的施動方、作用、關(guān)系和某些示范性使用范例所描述的結(jié)構(gòu)化商業(yè)參考模型。
在圖1的參考模型中,施動方即為用戶(User@MNO-A,User@MNO-C)、服務(wù)供應(yīng)商(SP-1,SP-2)和用戶原籍站點,后者則是保持了用戶預(yù)定的移動網(wǎng)絡(luò)運營商(MNO-A,MNO-B,MNO-C)。出于本發(fā)明的目的,用戶是具有用戶標(biāo)識模塊或WAP標(biāo)識模塊(SIM/WIM)以及web/wap瀏覽器的移動用戶;服務(wù)供應(yīng)商即為用戶所請求的服務(wù)所在的目標(biāo);原籍站點則是那些保持用戶預(yù)定的移動網(wǎng)絡(luò)運營商。
在圖1的參考模型中扮演的角色包括用戶(User@MNO-A,User@MNO-C)、目的地站點、驗證中介(AB)以及驗證提供方(AP)。在這種環(huán)境下,用戶就是從SP那里請求服務(wù)的客戶機;而目的地站點則是一個能將指定服務(wù)交付客戶機的站點,一般來說,對某些服務(wù)而言,SP到MNO也可以發(fā)揮這種作用;驗證中介(1,2)則是旨在充當(dāng)用于相關(guān)SP的通向聯(lián)盟(SP-1,SP-2)的入口點;驗證提供方(4,5,6)則是旨在擁有用戶數(shù)據(jù)并且驗證用戶信息以及將信息提供給目的地站點的唯一的聯(lián)盟(FSSO-1)成員。特別地,SP(SP-1,SP-2)始終是經(jīng)由與之關(guān)聯(lián)的AB(1,2)來訪問(S-100,S-200)聯(lián)盟的。為了簡化起見,在這里并未將SP視為是聯(lián)盟成員,由此將其稱為是相關(guān)實體。
從商業(yè)角度來看,每一個特定MNO(MNO-A,MNO-B,MNO-C)不但向聯(lián)盟提供了自己的蜂窩網(wǎng)絡(luò),而且還提供了很多與之簽訂特殊協(xié)定的相關(guān)SP(SP-1,SP-2)。在這里可以經(jīng)由與每個SP(SP-1,SP-2)簽訂了協(xié)定的MNO(MNO-A,MNO-B)的驗證中介(1,2)來訪問(S-100,S-200)所述聯(lián)盟。這一點特別重要,因為蜂窩電話運營商可能希望在加入或創(chuàng)建一個聯(lián)盟(FSSO-1,F(xiàn)SSO-2)之后仍然保持其與SP制定的業(yè)務(wù)協(xié)定。此外,網(wǎng)絡(luò)運營商可能會影響到市場中具有牢固地位的相應(yīng)的SP的服務(wù),而這將會成為關(guān)于蜂窩電話多國聯(lián)盟的范例,其中服務(wù)供應(yīng)商往往與本地運營商簽訂了服務(wù)等級協(xié)議(SLA)。
從商業(yè)角度來看,支持這個參考模型的基本原理依賴于這樣一個事實,那就是由于聯(lián)盟成員始終對其自身用戶起到的是驗證提供方的作用,因此所述模型在蜂窩運營商創(chuàng)建或加入聯(lián)盟的時候為其提供了均等的機會。此外,盡管并非必要,但是對相關(guān)的SP而言。聯(lián)盟成員同樣可以對那些來自聯(lián)盟中其他成員的用戶起到驗證中介的作用。
更具體地說,驗證中介(1,2)負(fù)責(zé)解析用戶的原籍站點。也就是說,AB負(fù)責(zé)為一個相關(guān)SP提供足夠的信息,以便能在保持用戶預(yù)定的MNO與SP之間進行用戶數(shù)據(jù)交換。一旦解析出用戶原籍站點,則AB可以將用戶重定向到用戶原籍站點。作為補充或是選擇,AB還可以為與之相關(guān)的SP提供公共密鑰架構(gòu)(PKI)服務(wù),從而實現(xiàn)移動網(wǎng)絡(luò)運營商的安全和保密需要特性。
在進一步描述結(jié)構(gòu)化實體和接口以及支持當(dāng)前優(yōu)選實施例的基本原理之前,有必要對圖1參考模型中的不同關(guān)系進行特別說明。在這點上,用戶(User@MNO-A)(User@MNO-C)與他的原籍站點(MNO-A)(MNO-C)具有一種信任關(guān)系(R-110,R-120)(R-320)。當(dāng)用戶注冊到一個SP(SP-1)(SP-2)時,在用戶(User@MNO-A)(User@MNO-C)與SP(SP-1)(SP-2)之間同樣存在著直接的信任關(guān)系(R-110)(R-120,R-320)。為了清楚起見并且為了簡化SP與聯(lián)盟之間的關(guān)系,在這里將每一個SP(SP-1)(SP-2)都視為與唯一的聯(lián)盟成員具有單獨的信任關(guān)系(S-100)(S-200),其中所述唯一成員即為移動網(wǎng)絡(luò)運營商(MNO-A)(MNO-B)的一個AB(1)(2),而SP則與所述運營商簽訂了業(yè)務(wù)協(xié)定。
因此,當(dāng)用戶(User@MNO-A,User@MNO-C)想要使用一個指定的SP(SP-1,SP-2)上的蜂窩SSO服務(wù)時,SP會經(jīng)由AB(1,2)這個SP與蜂窩電話聯(lián)盟的入口點而將用戶請求自動重定向到聯(lián)盟中一個能夠恰當(dāng)處理用戶請求的站點,即AP(4,6)。這樣做可以避免SP做出是否應(yīng)該重定向用戶的復(fù)雜決定。此外這樣做實際上還簡化了SP與聯(lián)盟之間的交互,從而將其對SP的影響減至最小,并且由此提高了其與聯(lián)盟關(guān)聯(lián)的意愿。在一種更普遍和實際的情況下,SP(SP-2)可能與不同聯(lián)盟具有信任關(guān)系,其中舉例來說,所述聯(lián)盟可以是蜂窩電話聯(lián)盟(FSSO-1)以及電子銀行聯(lián)盟(FSSO-2)。
在本發(fā)明的另一個實施例中,與某個MNO(MNO-A)相關(guān)聯(lián)的SP(SP-1)不需要通過這類MNO的一個AB(1)來訪問擁有用戶(User@MNO-A)預(yù)定的MNO中的AP(4),其中所述用戶請求了這種SP(SP-1)中的服務(wù)。這樣做特別有利于MNO(MNO-A)與相關(guān)SP(SP-1)之間的信任關(guān)系(R-110),特別地,它還對網(wǎng)絡(luò)接入和性能進行了優(yōu)化。
雖然這只是另一個實施例,一般來說,由于所有那些希望起到驗證中介作用的原籍站點也是聯(lián)盟成員,因此它們與聯(lián)盟的所有成員都具有信任關(guān)系。如上所述,SP可以將所有用戶重定向到它的入口點,也就是蜂窩電話聯(lián)盟內(nèi)部的一個蜂窩運營商(MNO)或是一個原籍站點。因此,驗證中介(AB)需要知道所有的聯(lián)盟原籍站點。
然而,AB通常不了解聯(lián)盟中各個原籍站點的用戶,因為這樣做要求每一個AB都能填充聯(lián)盟的所有用戶,由此需要提供用于用戶容量和可用性控制的附加裝置。然而,通過通讀依照本發(fā)明描述的當(dāng)前優(yōu)選實施例就可以了解,具有這些用于用戶容量和可用性控制的附加裝置以及用于大量用戶的數(shù)據(jù)庫設(shè)備的唯一或數(shù)量減少的AB(1,2)可能適合某種類型的蜂窩電話聯(lián)盟。舉例來說,這種蜂窩電話聯(lián)盟可以是一個包含了多個全國性MNO的聯(lián)盟,而這些MNO則屬于一個機構(gòu)擴展到整個世界的全球公司。
在這里參考圖1給出的情況來描述兩種主要的代表性使用范例,此外在示范性實施例中從結(jié)構(gòu)角度進一步描述所述使用范例的更明確的細節(jié)。
第一種使用范例可以是用戶(User@MNO-A)訪問某個服務(wù)供應(yīng)商(SP-1),例如書店服務(wù)供應(yīng)商,其中服務(wù)供應(yīng)商(SP-1)是經(jīng)由MNO-A這類特定移動網(wǎng)絡(luò)運營商與蜂窩電話的SSO聯(lián)盟(FSSO-1)相關(guān)聯(lián)。如圖2所示,用以驗證這類用戶以及授權(quán)這類服務(wù)的處理是在MNO-A的用戶(User@MNO-A)請求訪問(C-21)書店服務(wù)供應(yīng)商(SP-1)的時候開始的。假設(shè)這個SP與MNO-A具有業(yè)務(wù)協(xié)定并且由此與MNO-A所屬的蜂窩電話聯(lián)盟(FSSO-1)具有業(yè)務(wù)協(xié)定,那么SP-1會將請求重定向(C-22)到MNO-A的原籍站點。一旦在MNO-A的原籍站點接收到涉及用戶訪問SP服務(wù)的請求(C-23),那么舉例來說,用戶將會使用cookie來給出自己的MNO-A標(biāo)識。此時可以應(yīng)用兩個在上文中已被說明的可能實施例。更為特別的是,在這里要么由充當(dāng)驗證中介的MNO-A在內(nèi)部確定MNO-A即為用戶的驗證提供方,要么如下文所述,MNO-A的AB和AP像一個更通用的情況那樣全都涉及其中。
如果用戶還未曾在MNO-A那里得到驗證,則執(zhí)行所述驗證過程。如果已經(jīng)對用戶進行了驗證,那么用戶會向MNO-A給出一個cookie,以便允許MNO-A檢查一個指定用戶會話的狀態(tài)。除非SP請求執(zhí)行一種特定的驗證機制,否則所述驗證并不是特定于每一個SP的。MNO-A將會為明確定向到SP的用戶創(chuàng)建(C-24)一個驗證聲明。然后則將一個引用了用戶驗證聲明的助診文件回送(c-25)到用戶,其中所述用戶驗證聲明很有可能包含了其他驗證信息。助診文件只能使用一次,并且只對它們所定向的特定SP有效。用戶則主動將這個助診文件提供(C-27)給SP-1。然后,SP核實這個助診文件是否有效并且向原籍站點(MNO-A)請求(C-27)所涉及用戶的驗證聲明。MNO-A則回送(C-28)完整的用戶聲明,其中帶有至少包含了驗證信息的用戶數(shù)據(jù)。這樣一來,SP-1可以分析用戶聲明并且相信用戶原籍站點(MNO-A)所執(zhí)行的驗證。最終,SP-1向用戶告知(C-29)接受了服務(wù)訪問。
第二種使用范例可以是用戶(User@MNO-A)訪問某個服務(wù)供應(yīng)商(SP-2),例如旅行社服務(wù)供應(yīng)商。這樣一來,所述服務(wù)供應(yīng)商(SP-2)經(jīng)由MNO-B這類特定蜂窩運營商而與蜂窩SSO聯(lián)盟(FSSO-1)相關(guān)聯(lián),然而所述用戶也是作為聯(lián)盟成員的另一個蜂窩運營商(MNO-A)的用戶。如圖3所示,用以驗證這類用戶和批準(zhǔn)這類服務(wù)的處理是在MNO-A的用戶(User@MNO-A)請求訪問(C-21)諸如旅行社服務(wù)供應(yīng)商(SP-2)之類的服務(wù)供應(yīng)商的時候開始的。這個SP-2與MNO-B具有一個業(yè)務(wù)協(xié)定,以便將SSO服務(wù)提供給MNO-B的用戶以及蜂窩電話聯(lián)盟(MNO-A,MNO-C)中其他成員的用戶。當(dāng)SP-2接收(C-21)到關(guān)于SSO的用戶請求時,由于所述MNO-B是這個SP進入聯(lián)盟的唯一入口點,因此所述SP-2會將請求重定向(C-22)到這個MNO-B站點。因此,在這個使用實例中,MNO-B起到了驗證中介的作用并且從SP-2那里接收(C-33)了一個用戶重定向。為了簡化SP,在這里SP并不了解聯(lián)盟的所有原籍站點,由此不會在重定向消息中傳遞用戶原籍站點的信息。接下來,MNO-B請求(C-34)獲取用戶的原籍站點名稱。在這個參考模型中可以設(shè)想,用戶標(biāo)識只在其原籍站點已知。而一種備選方案則是在蜂窩電話聯(lián)盟內(nèi)部共享用戶標(biāo)識,然而,這樣做將會由于相應(yīng)的管理任務(wù)而導(dǎo)致需要龐大的中心目錄。
響應(yīng)于請求(C-34),用戶使用原籍域名來回應(yīng)(C-35)MNO-B站點,也就是當(dāng)前的驗證中介(2)。然后,驗證中介(AB)將用戶重定向(C-36)到其原籍站點,即MNO-A。此后,對SP-2來說,用戶為SP-2請求訪問(C-23)其原籍站點。與先前的使用范例一樣,如果在MNO-A上尚未驗證用戶,則執(zhí)行驗證程序(C-24)并將一個引用了帶有驗證信息的用戶聲明的助診文件回送(C-25)給用戶。此時,用戶可以將這個助診文件交付(C-26)SP-2。然后,SP-2必須核實助診文件來源并且解析用戶原籍。所述SP-2從AB(2)那里請求(C-37)這個信息。并且AB(2)將會回送(C-38)用戶的原籍解析響應(yīng),以使SP-2能與用戶原籍站點(MNO-A)取得聯(lián)系,從而獲取所引用的用戶聲明。所述MNO-A回送(C-28)帶有必要用戶數(shù)據(jù)的完整用戶聲明,其中所述用戶數(shù)據(jù)至少包含了驗證信息。然后,SP-2對用戶聲明進行分析并且相信用戶原籍站點所執(zhí)行的驗證。最終,SP-2允許(C-29)用戶訪問所述服務(wù)。
在依照圖1到3中描述的施動方、作用、信任關(guān)系和某些示范性使用范例給出了結(jié)構(gòu)化商業(yè)參考模型的概述之后,根據(jù)一種適合在由多個MNO組成的聯(lián)盟中所包含的各個移動網(wǎng)絡(luò)運營商(MNO)上支持聯(lián)合單點登錄(FSSO)服務(wù)的優(yōu)選架構(gòu),可以引入一個更詳細的實施例。
這種結(jié)構(gòu)是參考了聯(lián)盟成員、服務(wù)供應(yīng)商與用戶之間的外部接口來描述的。這些接口包含了用戶,更精確地說應(yīng)該是用戶設(shè)備(UE)與驗證中介之間的接口(在下文中稱為UE-AB i/f);用戶或UE與驗證提供方之間的另一個接口(在下文中稱為UE-AP i/f);在服務(wù)供應(yīng)商與驗證提供方之間的另一個接口(在下文中稱為SP-AP i/f);以及服務(wù)供應(yīng)商與驗證中介之間的另一個接口(在下文中稱為SP-ABi/f)。
這些接口或其組合提供了用于在聯(lián)盟內(nèi)部和外部所包含的不同實體之間進行通信的信道。在圖4中描述的這些信道則為適當(dāng)架構(gòu)提供了基礎(chǔ)。
因此,UE-AB i/f允許AB將用戶重定向到負(fù)責(zé)對其進行驗證的AP。例如,這個接口是通過用戶向AB提供AP名稱以及AB將其轉(zhuǎn)換到AP站點中的入口端來支持重定向的。本領(lǐng)域的任何技術(shù)人員都很容易地想到其他那些實現(xiàn)相似結(jié)果的方法或技術(shù)。在原籍站點中,這個通信接口屬于所謂的“中介信道(AB)”(1、2)。
UE-AP i/f支持施動方、用戶以及驗證提供方(4、5、6)之間的驗證會話。一旦得到驗證,則用戶將被重定向到某個帶有某種令牌或證書的SP。在原籍站點中,這個通信接口稱為“前向信道(AP)”(4′)。
SP-AP i/f主要用于交換用戶信息,例如驗證、屬性、授權(quán)和聲明。這個通信相對用戶而言是透明的,并且在下文中將其稱為原籍站點中的“后向信道(AP)”(4″)。
SP-AB i/f支持建立后向信道,其中舉例來說,AB將助診文件中包含的源ID轉(zhuǎn)換到用戶AP或PKI支持的入口端。在原籍站點中,該接口屬于所謂的“中介信道(AB)”(1、2)。
因此,圖4還顯示了MNO為了在F-SSO解決方案中成為一個AP和一個AB而可能支持的功能組件。如該圖所示,在這里可以將所述架構(gòu)視為包含了一個前向信道、一個后向信道和一個中介信道視圖。因此,驗證提供方(4、5、6)可以視為包含了一個前向信道(4′)和一個后向信道(4″)。前向信道旨在控制用戶驗證以及管理用戶與AP之間的主會話。而部署F-SSO服務(wù)所需要的大量控制邏輯則處于前向信道的實體中。后向信道旨在對SP與AP之間的直達通信進行處理,以便交換用戶信息。中介信道則負(fù)責(zé)支持SP和用戶需要的地址解析。
對前述主會話來說,在這里必須引入涉及會話處理地附加細節(jié)事項。在這點上,當(dāng)用戶請求一個F-SSO服務(wù)時,有必要創(chuàng)建和保持如下所示的若干個會話用戶與AP之間的主會話。一旦AP對用戶進行了驗證,則AP創(chuàng)建一個會話并在用戶瀏覽器中留下一個經(jīng)過加密的cookie,以便進行后續(xù)驗證查詢。
用戶與SP之間的服務(wù)會話,以便能夠使用在SP上提供的服務(wù)。在這里也可以將Cookie用于這個會話管理。
AP需要對在用戶與每一個SP之間建立的服務(wù)會話進行追蹤。因此,根據(jù)本發(fā)明的一個方面以及如圖4所示,AP包含了一個優(yōu)選處于前向信道之中的SSO會話管理器(41)并且還與后向信道互通,此外AP還與位于前向信道的AP萬維網(wǎng)前端(42)相互連接。另外,AP還包含了一個用于保存和維持這類信息的會話數(shù)據(jù)庫(43),其中所述會話數(shù)據(jù)庫最好位于前向信道并與SSO會話管理器(41)相互連接。
在為上文所介紹的參考圖2和圖3所描述的使用范例給出當(dāng)前優(yōu)選實施例的更詳細描述之前,首先將對不同施動方在這個結(jié)構(gòu)化模型中所處理的不同用戶標(biāo)識符進行描述。
在這點上,為了執(zhí)行一個SSO服務(wù)請求,用戶必須向他們的驗證提供方提供明確的標(biāo)識,也就是所謂的“單點登錄驗證標(biāo)識”(下文中將其稱為SSO_auth_ID),此外,為了實現(xiàn)本發(fā)明,所述標(biāo)識有可能具有下列格式中的任何一種格式適合對或從一個移動電話進行訪問的MSISDN/IMSI,User@domain或user@realm,例如user@mno.com用戶名(字符串)驗證提供方(AP)可以管理備個用戶的多個SSO_auth_ID,但是需要為關(guān)聯(lián)于多個SSO_auth_ID的各個用戶定義一個所謂的“主單點登錄標(biāo)識”(下文中將其稱為SSO_MAIN_ID)。這個SSO_MAIN_ID旨在供運營商使用,更具體地說是應(yīng)該用于AP,其格式是由運營商許可的,也就是說,它既可以匹配于一個涉及用戶的SSO_auth_ID,也可以不匹配所述SSO_auth_ID。
另一方面,與因特網(wǎng)相關(guān)的用戶相對于不同的服務(wù)供應(yīng)商具有多種用戶標(biāo)識。用戶可能希望為每一個服務(wù)供應(yīng)商保持當(dāng)前的各種標(biāo)識,以便訪問每一個站點上的帳戶。出于本發(fā)明的目的,這種標(biāo)識稱為“服務(wù)供應(yīng)商用戶標(biāo)識”(在下文中將其稱為SP_user_ID),它表示的是用戶在指定服務(wù)供應(yīng)商(SP)那里的標(biāo)識。這個SP_user_ID只在自己的用戶與指定的SP之間才是有意義的。
先前段落將用戶的SSO_MAIN_ID描述成了涉及至少一個SSO_auth_ID的相關(guān)密鑰,其中所述至少一個SSO_auth_ID在用戶原籍運營商即AP上唯一驗證用戶,此外先前段落還描述了在指定的服務(wù)供應(yīng)商那里識別用戶的SP_user_ID。在一種常規(guī)方案中,SSO_MAIN_ID、SSO_auth_ID以及SP_user_ID并沒有相互匹配,并且用戶不希望將任何一種標(biāo)識提供給其他施動方。在這種情況下,用戶可能借助于一個在SP與AP之間共享的標(biāo)識而被這二者所了解,其中所述標(biāo)識即為所謂的SHARED_ID。根據(jù)所設(shè)想的特定方案,這個SHARED_ID既可以是永久的,也可以是臨時的。在這里也可以將這個標(biāo)識設(shè)想成一個由SP和AP使用的非透明處理,以便引用相同的用戶。
因此,根據(jù)本發(fā)明的一個方面,驗證提供方將SSO_auth_ID、SSO_MAIN_ID以及SHARED_ID相互關(guān)聯(lián),而服務(wù)供應(yīng)商將SP_user_ID與SHARED_ID相互關(guān)聯(lián)。在圖10中以一種非限定方式顯示了這些標(biāo)識之間的示范性關(guān)系。出于本發(fā)明的目的,在這里沒有進一步描述不同施動方管理這些標(biāo)識的方式以及相互連接這些標(biāo)識的方式。
根據(jù)上文描述并且如圖4所示的結(jié)構(gòu)模型,在這里分別為上文中參考圖2和3的序列所描述的使用范例的特定方面提供了更詳細的實施例。正如為這些使用范例所論述的那樣,當(dāng)用戶通過向其原籍站點請求(C-23)一個SSO驗證來訪問一個SP時,根據(jù)先前是否對用戶進行了驗證,有可能會需要執(zhí)行不同的操作。
因此,圖6中的實施例包含了在圖5A到5C中分別描述的三個有序操作集合(序列I、II和III),由此依照圖4的結(jié)構(gòu)模型而對圖2的使用范例細節(jié)進行了描述,其中訪問SP的用戶并未得到原籍網(wǎng)絡(luò)的驗證。
圖6的機制是在用戶訪問(C-21)一個SP并被重定向(C-22)到原籍站點的時候開始的。然后,圖5A中的第一序列(I)顯示用戶從自己的萬維網(wǎng)服務(wù)器發(fā)布了一個進行SSO驗證的http請求(C-23′)。如果在用戶的萬維網(wǎng)代理中保存了源自過去進行的先前SSO會話的一個加密cookie,那么可以借助于這個經(jīng)過加密的cookie來對用戶進行識別(C-23″)。在這里建議對所述cookie進行加密,這樣一來,在其他人以物理方式訪問用于SSO會話的計算機或是借助那些旨在從萬維網(wǎng)瀏覽器中獲取cookie的腳本而獲取了所述cookie的情況下,可以避免暴露用戶標(biāo)識SSO_MAIN_ID。由于cookie是由AP產(chǎn)生和加密并且稍后同樣是由AP解密的,因此加密算法和密鑰管理完全是由AP許可的。用戶的萬維網(wǎng)瀏覽器不需要了解cookie的內(nèi)容。為了確保處理的安全性以及防止在通向萬維網(wǎng)服務(wù)器的網(wǎng)絡(luò)路徑中竊取cookie,在這里可以始終經(jīng)由一個https來實現(xiàn)連接。保存在cookie中的用戶標(biāo)識應(yīng)該是被選作SSO_MAIN_ID的唯一一個標(biāo)識。為了進行保密,較為便利的是使用一個不同于MSISDN或IMSI的標(biāo)識。
更具體地說,用戶的萬維網(wǎng)瀏覽器重定向到位于AP前向信道的萬維網(wǎng)前端(下文中將其稱為Web F/E)。在用戶首次對其進行訪問的時候,將會通過一個執(zhí)行驗證萬維網(wǎng)服務(wù)客戶端的軟件來自動下載一個插件,其中舉例來說,所述客戶端可以是簡單對象訪問協(xié)議(SOAP)客戶機。隨后,Web F/E(C-500)與SSO會話管理器(41)對接,從而確定是否存在一個與相關(guān)IMSI或是與用于相似目的的其他用戶標(biāo)識相關(guān)聯(lián)的有效會話。在當(dāng)前范例中,由于用戶先前并未得到驗證,因而此時是不存在任何有效會話的。
圖6中的處理繼續(xù)到圖5B中所示的第二序列(II),其中SSO會話管理器(41)向Web F/E告知(C-501)不存在有效會話。這樣一來,用戶將被告知有必要對其進行驗證(C-502)。當(dāng)用戶接觸到AP前向信道中的Web F/E時,他可以在用戶可用的不同驗證機制中選擇(C-503)借助SIM卡來進行驗證,然后SOAP客戶機則調(diào)用這種服務(wù)。應(yīng)該注意的是,在這里也可以在用戶選擇了驗證機制之后而不是之前下載SOAP客戶機,這并不影響本發(fā)明的范圍。當(dāng)用戶希望借助SIM卡來進行驗證的時候,假設(shè)提供給(C-505)Web F/E的標(biāo)識是保存在SIM中的IMSI。此外假設(shè)對話在一個安全連接即https上繼續(xù)進行,那么IMSI最好在SOAP請求中發(fā)送,而不使安全需要遭遇危險。此時將會再次聯(lián)系(C-506)SSO會話管理器,并且所述會話管理器檢測到用戶并未建立一個有效會話,那么它會充當(dāng)一個RADIUS客戶機并且請求訪問(C-507,C-508)一個驗證授權(quán)記帳(AAA)服務(wù)器(44)。如果選擇根據(jù)SIM來進行驗證,則將IMSI用作恰當(dāng)標(biāo)識并且將其封裝在一個可擴展驗證協(xié)議(EAP)的屬性值對(AVP)以及用戶名的AVP中。
在這個階段,根據(jù)所使用的驗證機制,AAA服務(wù)器(44)可以請求(C-509,C-510)向一個后端驗證服務(wù)器(72)(下文中將其稱為“B/E Auth.Server”)提供一個驗證查詢。較為優(yōu)選的是,在這里借助了RADIUS消息來到達這個“B/E Auth.Server”,其中可以根據(jù)網(wǎng)絡(luò)訪問標(biāo)識符(NAI)的域部分來對所述消息進行路由。這樣一來,充當(dāng)RADIUS客戶機的SSO會話管理器可以修改這類NAI域。一旦“B/E Auth.Server”接收了包括用戶驗證標(biāo)識和EAP APV中的證書在內(nèi)的訪問請求消息,則“B/E Auth.Server”可能會需要其他證書(C-510到C-517),由此這個處理包含了更多的EAP來回行程。
一旦AAA服務(wù)器(44)成功驗證了用戶,則它會將一個接受訪問的消息回送(C-518)到SSO會話管理器?,F(xiàn)在,SSO會話管理器(41)必須在會話數(shù)據(jù)庫中為用戶創(chuàng)建一個包含SSO_auth_ID和SSO_MAIN_ID的條目。如果SSO會話管理器還不知道SSO_MAIN_ID,那么它會通過提供作為用戶查找關(guān)鍵字的SSO_auth_ID來查詢(C-519)一個標(biāo)識管理器(70)。由于具有用于保存SSO_MAIN_ID并經(jīng)由標(biāo)識管理器(C-520,C-521)而在一個請求中將其提供給(C-522)SSO會話管理器的公共目錄服務(wù)(下文中將其稱為CDS),因此在這里很可能會產(chǎn)生附加的優(yōu)點。此時,SSO會話管理器(41)則包含了這種在用戶驗證過程中使用的特定SSO_auth_ID以及SSO_MAIN_ID,從而在會話數(shù)據(jù)庫(43)中為用戶創(chuàng)建了一個條目,也就是一個會話。一旦在SSO會話管理器中創(chuàng)建了這個條目,那么在圖5B中并未顯示的Web F/E中,附加邏輯必須保持后續(xù)http請求之間的會話狀態(tài),例如通過向用戶萬維網(wǎng)瀏覽器發(fā)送一個cookie來保持所述會話狀態(tài)。
應(yīng)該了解的是,在這個驗證處理過程中,所述驗證與AP后向信道沒有任何關(guān)系并且也沒有產(chǎn)生任何聲明。在這里只為指定用戶創(chuàng)建了一個全新會話,其中包含了SSO_MAIN_ID、SSO_auth_ID、選定的驗證機制以及與歸屬于用戶的IP地址或MSISDN相類似的地址信息。
在序列II之后,圖6中的處理繼續(xù)進行圖5C所示的第三序列(III)。在具有了用于指定用戶的有效會話之后,SSO會話管理器(41)從標(biāo)識管理器(70)中為相應(yīng)的服務(wù)供應(yīng)商(SP)獲取(C-550、C-551)用戶標(biāo)識,也就是SHARED_ID。這個SP也就是通過將用戶重定向到其原籍驗證提供方(AP)來發(fā)起初始請求的唯一一個SP。盡管圖5C中并未顯示,但是這個SHARED_ID和所述標(biāo)識所用于的相應(yīng)SP都保存在與用于所述用戶的主會話條目相關(guān)聯(lián)的會話數(shù)據(jù)庫(43)中。
一旦完成上述標(biāo)識映射,則SSO會話管理器(41)調(diào)用(C-552)安全聲明標(biāo)記語言(SAML)引擎(45)中的一個服務(wù),以便為指定的SHARED_ID和指定的服務(wù)供應(yīng)商產(chǎn)生一個驗證聲明。所述聲明包含了其他相關(guān)數(shù)據(jù),例如驗證時的日期和時間以及具體驗證機制的相關(guān)安全強度。而聲明則保存(C-553)在聲明數(shù)據(jù)庫(46)中,并且很有可能是由一個聲明引用來標(biāo)引的。因此,在這里為所述聲明提供了一個“聲明引用”,以便稍后唯一識別所述聲明。而聲明引用則是在SAML引擎上的驗證助診文件中進行編碼的,其中所述助診文件則返回給(C-554)SSO會話管理器,從而經(jīng)由AP Web F/E進一步提交(C-555給)用戶(C-25)。
優(yōu)選地,這種助診文件是作為URL的一部分而被編碼并返回給用戶的,也就是說,所述助陣文件是一個參數(shù)。同時,用戶的萬維網(wǎng)瀏覽器重定向到這個發(fā)送給SP的原始URL。實際上,這個信息是作為在從SP到AP的第一重定向中接收的URL的參數(shù)出現(xiàn)的。因此,來自SP、目標(biāo)資源的原始URL應(yīng)該保存在AP Web F/E。
此后,用戶將助診文件(C-26)提供給初始聯(lián)系的SP。所述SP獲取助診文件,并且在解碼之后提取聲明引用以及發(fā)布聲明的AP的標(biāo)識。并且所述SP使用這個信息來與AP后向信道建立一個SAML對話(C-27),此外還通過在SAML聲明請求消息中給出助診文件來請求初始聲明。當(dāng)AP后向信道中的SAML引擎接收到關(guān)于所述聲明的請求(C-27)時,它會從聲明數(shù)據(jù)庫(46)中取出所述聲明(C-556,C-557),并且對其進行數(shù)字簽名以及將其回送到SP(C-28)。
然后,SP最好使用自己的公共密鑰架構(gòu)(PKI)或者通過使用可信驗證中介的PKI而在一個更常規(guī)的范例中對聲明的有效性進行檢查。
一旦在SP上證實聲明有效并且發(fā)現(xiàn)信源是可信的,那么SP可以繼續(xù)分析聲明內(nèi)容并且依照聲明中包含的驗證事實來實施他的本地策略。最終則向用戶告知(C-29)接受了所述服務(wù)訪問。
可以了解的是,對圖6而言,結(jié)合圖5A到5C所述優(yōu)選實施例所給出的以上描述提供了涉及先前在圖2中給出的使用范例的結(jié)構(gòu)細節(jié)。在這里意圖以一種說明性和非限制方式來理解這些結(jié)構(gòu)細節(jié)。
圖7A和7B中的實施例同樣包含了在圖5A到5C中分別描述的三個有序操作集合(序列I、II、III),由此依照圖4的結(jié)構(gòu)模型而對圖2的使用范例細節(jié)進行了描述,其中訪問SP的用戶已經(jīng)得到了原籍網(wǎng)絡(luò)的驗證。更具體地說,圖7A給出的是在處于其原籍網(wǎng)絡(luò)的驗證提供方之前進行的用戶的單獨驗證,而圖7B給出的是在用戶訪問SP時執(zhí)行的操作,一旦將用戶重定向到其原籍網(wǎng)絡(luò),那么可以發(fā)現(xiàn)用戶已經(jīng)得到驗證并且仍舊保持了一個正處于活動之中的有效會話。
圖7A中的機制直接始于圖5A所示的第一序列(I),其中如果可用的話,那么與圖6使用范例所顯示的相應(yīng)序列一樣,用戶從自己的萬維網(wǎng)服務(wù)器發(fā)布了一個進行SSO驗證的http請求(C-23’),隨后則向AP前向信道上的Web F/E發(fā)送了(C-23″)帶有加密cookie的用戶標(biāo)識。然后,Web F/E與SSO會話管理器(41)相對接(C-500),以便檢查是否存在一個與用戶相關(guān)聯(lián)的有效會話。所述序列流程隨后則進行圖5B所示的第二序列(II),在這個序列中將會執(zhí)行一個很可能由用戶選擇的驗證程序。特別地,一旦SSO會話管理器(41)實際通過包含所使用的特定SSO_auth_ID和SSO_MAIN_ID而在會話數(shù)據(jù)庫(43)中為用戶創(chuàng)建了一個會話,則SSO會話管理器會向AP WebF/E發(fā)出通知,其中在圖5B中并未顯示的附加邏輯則保持了后續(xù)http請求的會話狀態(tài)。最終如圖7A所示,AP Web F/E向用戶萬維網(wǎng)瀏覽器應(yīng)答(C-70)一個成功的登錄。
這個已被驗證的用戶可能請求(C-21)對一個SP進行訪問。根據(jù)上文中對圖2的使用范例所做出的不需要驗證中介的假設(shè),這個SP將用戶重定向到其原籍站點。然后,在進行了圖5A的序列之后,用戶再次訪問這個向SSO會話管理器(41)發(fā)布了一個指示的指定的AP Web F/E(42),以便檢查是否仍然存在一個有效會話。接著,可能與會話數(shù)據(jù)庫(43)協(xié)作的SSO會話管理器(41)發(fā)現(xiàn)已經(jīng)存在一個關(guān)于所述用戶的會話。然后,如圖5C中描述的第三序列(III)所示,SSO會話管理器(41)提取一個將要用于SP的SHARED_ID,并對用于所述SHARED_ID及其在驗證助診文件中的包含物聲明的生成和存儲進行排序(C-552、C-553、C-554)。而助診文件則經(jīng)由Web F/E(C-555)返回到用戶(C-25)并且如先前使用范例中那樣提供(C-26)給了SP。然后,SP通過AP后向信道(4″)來檢查初始聲明(C-27、C-556、C-557、C-28),并且最終向接受用戶的服務(wù)訪問(C-29)。
在先前區(qū)分圖6的第一操作與圖7A和圖7B的第二操作的段落中已經(jīng)描述了關(guān)于圖2的使用范例的詳細實施例,其中在圖6的第一操作中,用戶是在沒有得到驗證的情況下訪問一個SP的,而在圖7A和圖7B的第二操作中,用戶首先得到了驗證并且隨后得到了服務(wù)認(rèn)可。
根據(jù)本發(fā)明的另一個方面,現(xiàn)在將依照圖4所示的結(jié)構(gòu)模型來對先前依照圖3所描述的使用范例進行進一步描述。特別地,從驗證中介的包含物中導(dǎo)出的實施例與從相應(yīng)的全新接口中導(dǎo)出的實施例是存在差異的。
因此,如圖3中所示,第二種使用范例是在用戶(User@MNO-A)經(jīng)由MNO-B這類特定蜂窩電話運營商而對某個與蜂窩電話SSO聯(lián)盟(FSSO-1)相關(guān)聯(lián)的服務(wù)供應(yīng)商進行訪問的時候出現(xiàn)的,然而使用者則是另一個蜂窩運營商(MNO-A)的用戶,其中所述運營商同樣是聯(lián)盟中的一個成員。在第二種使用范例中,根據(jù)本發(fā)明的一個方面,為了接收來自SP(SP-2)的重定向,解析用戶原籍站點以及重定向到用戶所屬的MNO,有必要用到驗證中介(AB)。
在這方面,圖8顯示了在將所述用戶重定向到處于用戶原籍站點的恰當(dāng)驗證提供方(AP)之前在用戶與AB之間執(zhí)行的操作。更具體地說,圖8是參考圖4所述的結(jié)構(gòu)模型來顯示這些操作的。而圖3并未顧及AB可能包含的所有特定設(shè)備。因此,與圖3一樣,當(dāng)用戶向驗證中介(AB)發(fā)布一個關(guān)于SP-2的驗證請求(C-33)時,如圖8所示,實際在中介信道(2)上的AB Web F/E(21)中接收到了一個http重定向。然后則從AB Web F/E那里請求用戶原籍站點的名稱(C-34,C-35)。舉例來說,這個請求可以通過向用戶給出具有聯(lián)盟中所有AP的網(wǎng)頁來完成,其中用戶需要做的是僅僅是點擊他的原籍運營商標(biāo)志。接著則從一個驗證提供方(AP)數(shù)據(jù)庫(22)中獲取(C-84、C-85)用戶原籍站點的URI。最終,AB Web F/E(21)將用戶的http重定向(C-36)到處于其原籍站點的恰當(dāng)AP。所述AB可以在用戶的萬維網(wǎng)瀏覽器中留下一個cookie,以免在接連重復(fù)進行其他與用戶原籍有關(guān)的查詢。如上文中依照圖6或圖7A、7B所示的使用范例描述的那樣,所述流程序列繼續(xù)向AP Web F/E(42)發(fā)布一個SSO驗證請求(C-23,C-23′,C-23″)。
圖9顯示的是為了找出聲明有效的地點而在服務(wù)供應(yīng)商與AB之間執(zhí)行的用于解析用戶原籍的操作。更為特別的是,圖9是通過參考4所述的結(jié)構(gòu)模型來顯示這些操作的,而圖3則并未顧及AB可能包含的所有特定設(shè)備。在用戶向圖3和圖9中描述的SP(SP-2)給出了(C-26)助診文件之后,則會向AB請求(C-37)進行用戶原籍解析。在處于中介信道(2)的AB Web F/E(21)上接收到這個請求。然后,AB Web F/E(21)從一個AP數(shù)據(jù)庫(22)中請求(C-91、C-92)一個處于原籍站點的AP的URI,其中將所述URI回送到(C-38)SP。SP則最好使用DNS技術(shù)來解析原籍URI并且最終對所述驗證聲明進行確認(rèn)(C-27,C-28),其中如圖3所示或者更具體的說,如在上文種參考圖6或圖7A、7B所述使用范例所描述的那樣,驗證聲明是預(yù)先獲取的(C-23、C-24、C-25)。驗證聲明的驗證(C-27,C-28)可以從SP(SP-2)經(jīng)由協(xié)議綁定(46)發(fā)布到SAML引擎(45),其中較為有利的是,所述綁定插入到SAML引擎與SP之間。這個協(xié)議綁定(47)組件則被調(diào)整成了從諸如httms這類傳送協(xié)議中解析出一個XML實例,并且經(jīng)由SAML引擎來傳送所述實例。由此可以授權(quán)SP執(zhí)行SAML標(biāo)準(zhǔn)中定義的任何類型的查詢。
對后一種情況中的聲明有效性檢查而言,SP不需要執(zhí)行所有PKI的復(fù)雜操作,并且也沒有在本地安裝來自聯(lián)盟中所有驗證提供方的證書,而是僅僅安裝了所述聯(lián)盟中可信實體的證書,也就是作為這個驗證中介主機的AP的證書。
很明顯,在這里可以根據(jù)上述教導(dǎo)而對本發(fā)明進行多種修改和變化。因此應(yīng)該理解,在所公開的概念范圍以內(nèi),可以采用除這里具體描述的方式之外的其他方式來實施本發(fā)明。
權(quán)利要求
1.一種用于為訪問選定服務(wù)供應(yīng)商的用戶提供單點登錄服務(wù)的電信系統(tǒng),其中該用戶預(yù)訂了一個第一移動網(wǎng)絡(luò)運營商,該系統(tǒng)包括一個第一移動網(wǎng)絡(luò)和至少一個第二移動網(wǎng)絡(luò);以及多個服務(wù)供應(yīng)商中的至少一個服務(wù)供應(yīng)商,一旦驗證機構(gòu)為所述至少一個服務(wù)供應(yīng)商驗證了所述用戶,則向所述移動網(wǎng)絡(luò)用戶提供服務(wù);該系統(tǒng)的特征在于移動網(wǎng)絡(luò)運營商的蜂窩電話聯(lián)盟充當(dāng)驗證機構(gòu),所述蜂窩電話聯(lián)盟包括第一移動網(wǎng)絡(luò)和至少一個第二移動網(wǎng)絡(luò),并且還包括一個屬于第一移動網(wǎng)絡(luò)的驗證提供方,對至少一個服務(wù)供應(yīng)商來說,所述驗證提供方是聯(lián)盟中有權(quán)驗證用戶的唯一成員;一個屬于第二移動網(wǎng)絡(luò)中的某個特定網(wǎng)絡(luò)的驗證中介,它被調(diào)整成了充當(dāng)從這些服務(wù)供應(yīng)商到所述聯(lián)盟的入口點,其中這些服務(wù)供應(yīng)商分別與所述特定的第二移動網(wǎng)絡(luò)運營商具有入口點協(xié)定。
2.權(quán)利要求1的電信系統(tǒng),還包括用于在所述用戶訪問一個服務(wù)供應(yīng)商的時候,將其重定向到一個與所訪問的服務(wù)供應(yīng)商具有入口點協(xié)定的第二移動網(wǎng)絡(luò)運營商的驗證中介的裝置;以及用于在用戶訪問所述驗證中介的時候,將其重定向到處于所述用戶原籍網(wǎng)絡(luò)的驗證提供方的裝置。
3.權(quán)利要求2的電信系統(tǒng),還包括用于在與服務(wù)供應(yīng)商具有入口點協(xié)定的第二移動網(wǎng)絡(luò)運營商的驗證中介上執(zhí)行用戶原籍解析的裝置,以便允許服務(wù)供應(yīng)商向第一移動網(wǎng)絡(luò)的驗證提供方發(fā)出請求,從而確認(rèn)關(guān)于所述用戶的驗證聲明。
4.權(quán)利要求3的電信系統(tǒng),還包括用于在所述用戶訪問特定服務(wù)供應(yīng)商的時候,將單點登錄驗證請求從所述用戶發(fā)布到負(fù)責(zé)為所述特定服務(wù)供應(yīng)商驗證所述用戶的驗證提供方的裝置,其中所述用戶則是蜂窩電話聯(lián)盟的一個用戶;以及用于將接收到的驗證助診文件提交給所述特定服務(wù)供應(yīng)商的裝置。
5.權(quán)利要求1的電信系統(tǒng),其中在沒有涉及驗證中介的情況下,可以從那些分別與所述第一移動網(wǎng)絡(luò)運營商具有入口點協(xié)定的服務(wù)供應(yīng)商那里直接訪問屬于第一移動網(wǎng)絡(luò)運營商的所述驗證提供方。
6.權(quán)利要求5的電信系統(tǒng),還包含了用于在所述用戶訪問服務(wù)供應(yīng)商的時候,如果所述受訪問的服務(wù)供應(yīng)商與所述用戶原籍移動網(wǎng)絡(luò)運營商具有入口點協(xié)定,則在不涉及驗證中介的情況下,將所述用戶重定向到所述用戶原籍移動網(wǎng)絡(luò)運營商的驗證提供方的裝置。
7.權(quán)利要求6的電信系統(tǒng),其中與所述第一移動網(wǎng)絡(luò)運營商具有協(xié)定的服務(wù)供應(yīng)商可以在不涉及驗證中介的情況下,向所述第一移動網(wǎng)絡(luò)運營商的驗證提供方發(fā)出請求,以便對關(guān)于一個用戶的驗證聲明進行確認(rèn)。
8.權(quán)利要求7的電信系統(tǒng),還包括用于在所述用戶訪問特定服務(wù)供應(yīng)商的時候,將一個單點登錄驗證請求從所述用戶發(fā)布到一個負(fù)責(zé)為所述特定服務(wù)供應(yīng)商驗證所述用戶的驗證提供方的裝置,其中所述用戶是蜂窩電話聯(lián)盟的一個用戶;以及用于將接收到的驗證助診文件提交給所述特定服務(wù)供應(yīng)商的裝置。
9.權(quán)利要求1的電信系統(tǒng),其中所述用戶是借助了一個共享標(biāo)識而在指定的驗證提供方與指定的服務(wù)供應(yīng)商之間得到識別的,所述共享標(biāo)識獨立于所述用戶與所述指定驗證提供方之間的驗證標(biāo)識,并且獨立于所述用戶與所述指定服務(wù)供應(yīng)商之間使用的用戶標(biāo)識。
10.權(quán)利要求9的電信系統(tǒng),還包括以下組件群中的至少一個組件公共密鑰基礎(chǔ)設(shè)施裝置,用于實現(xiàn)蜂窩電話聯(lián)盟中的移動網(wǎng)絡(luò)的安全性和保密性需要;一個標(biāo)識管理器,用于保持和處理所述用戶在蜂窩電話聯(lián)盟場所中的標(biāo)識與所述用戶在各自的服務(wù)提供商場所中的標(biāo)識之間的關(guān)系;公共目錄服務(wù)裝置,用于保存可以通過單點登錄主標(biāo)識訪問的用戶標(biāo)識;以及后端驗證服務(wù)器,所述服務(wù)器旨在產(chǎn)生一個驗證質(zhì)疑,所述驗證質(zhì)疑取決于所述用戶選擇的驗證機制。
11.一種用于向訪問選定服務(wù)供應(yīng)商的用戶提供單點登錄服務(wù)的方法,其中該用戶預(yù)訂了第一移動網(wǎng)絡(luò)運營商,并且每一個選定的服務(wù)供應(yīng)商都與一個第二移動網(wǎng)絡(luò)運營商相關(guān)聯(lián),該方法的特征在于它包括以下步驟在第一與第二移動網(wǎng)絡(luò)運營商之間建立一個驗證信任關(guān)系,由此形成一個移動網(wǎng)絡(luò)運營商聯(lián)盟;將所述用戶生成的訪問請求從特定的服務(wù)供應(yīng)商那里重定向到所述第一移動網(wǎng)絡(luò)運營商的蜂窩網(wǎng)絡(luò);在用戶訪問請求重定向的所述第一移動網(wǎng)絡(luò)運營商的驗證提供方那里產(chǎn)生一個對訪問所述特定服務(wù)供應(yīng)商的用戶有效的驗證聲明,并且將一個關(guān)于所述聲明的助診文件返回給所述用戶;請求對從所述特定服務(wù)供應(yīng)商傳遞到所述第一移動網(wǎng)絡(luò)運營商的驗證提供方并且包含在用戶所給出的助診文件中的所述驗證聲明進行確認(rèn);以及一旦在服務(wù)供應(yīng)商那里接收到一個成功確認(rèn)響應(yīng),則接受所述用戶的服務(wù)訪問。
12.權(quán)利要求11的方法,其中第一和第二移動網(wǎng)絡(luò)運營商都包含在蜂窩聯(lián)盟中,并且這個方法的步驟a)根據(jù)選定服務(wù)供應(yīng)商所關(guān)聯(lián)的移動網(wǎng)絡(luò)運營商還包含了以下步驟之一(a1)當(dāng)選定的服務(wù)供應(yīng)商與第一移動網(wǎng)絡(luò)運營商相關(guān)聯(lián)的時候,確定主管所述用戶的第一移動網(wǎng)絡(luò)運營商的驗證提供方;或者(a2)當(dāng)選定的服務(wù)供應(yīng)商與所述第二移動網(wǎng)絡(luò)運營商相關(guān)聯(lián)的時候,將所述用戶產(chǎn)生的訪問請求從所述選定服務(wù)提供方重定向到一個特定第二移動網(wǎng)絡(luò)運營商的驗證中介,其中所述驗證中介則負(fù)責(zé)確定主管所述用戶的第一移動網(wǎng)絡(luò)運營商的驗證提供方。
13.權(quán)利要求11的方法,其中步驟b)包括以下步驟(b1)從所述用戶那里接收一個單點登錄驗證請求;(b2)確定先前是否驗證了所述用戶;(b3)如果沒有驗證所述用戶并且由此不具有一個使用中的有效會話,則由此通過關(guān)于用戶訪問所述選定服務(wù)供應(yīng)商的用戶偏好來執(zhí)行一個質(zhì)疑/響應(yīng)驗證過程;以及(b4)保存一個為訪問所述選定服務(wù)供應(yīng)商的所述用戶所產(chǎn)生的聲明。
14.權(quán)利要求11的方法,其中第一和第二移動網(wǎng)絡(luò)運營商都包含在蜂窩電話聯(lián)盟中,根據(jù)選定服務(wù)供應(yīng)商所關(guān)聯(lián)的移動網(wǎng)絡(luò)運營商,所述方法的步驟c)還包括以下步驟之一(c1)當(dāng)服務(wù)供應(yīng)商與所述第一移動網(wǎng)絡(luò)運營商相關(guān)聯(lián)的時候,確定一個負(fù)責(zé)確認(rèn)所述用戶所給出的聲明的第一移動網(wǎng)絡(luò)運營商的驗證提供方;或者(c2)當(dāng)所述選定的服務(wù)供應(yīng)商與所述第二移動網(wǎng)絡(luò)運營商相關(guān)聯(lián)的時候,從所述選定服務(wù)供應(yīng)商那里向特定的第二移動網(wǎng)絡(luò)運營商的驗證中介請求解析所述用戶的原籍站點,其中所述驗證中介負(fù)責(zé)確定第一移動網(wǎng)絡(luò)。運營商的驗證提供方,而第一網(wǎng)絡(luò)運營商則負(fù)責(zé)確認(rèn)所述用戶所給出的聲明。
15.權(quán)利要求11的方法,其中步驟d)還包括以下步驟(d1)為訪問所述選定服務(wù)供應(yīng)商的用戶檢索一個存儲的驗證聲明;以及(d2)將所述聲明驗證響應(yīng)返回給所述選定的服務(wù)供應(yīng)商。
16.權(quán)利要求11的方法,其中所述用戶是借助了一個共享標(biāo)識而在指定的驗證提供方與服務(wù)供應(yīng)商之間得到識別的,所述共享標(biāo)識獨立于所述用戶與所述驗證提供方之間使用的驗證標(biāo)識,并且獨立于所述用戶與所述服務(wù)供應(yīng)商之間的用戶標(biāo)識。
17.一種包含在電信系統(tǒng)中的驗證中介,其中所述電信系統(tǒng)向訪問選定服務(wù)供應(yīng)商的用戶提供了單點登錄服務(wù),所述用戶預(yù)訂了第一移動網(wǎng)絡(luò)運營商,此外每一個選定服務(wù)供應(yīng)商都與一個第二移動網(wǎng)絡(luò)運營商相關(guān)聯(lián),所述驗證中介包括第一接口裝置,用于與預(yù)訂了第一移動網(wǎng)絡(luò)運營商的用戶進行通信;第二接口裝置,用于與關(guān)聯(lián)于第二移動網(wǎng)絡(luò)運營商的服務(wù)供應(yīng)商進行通信;以及從所述第一和第二接口裝置中形成的中介信道,用于使驗證中介分別將所述用戶重定向到所述用戶的原籍網(wǎng)絡(luò),以及為所述服務(wù)供應(yīng)商解析所述用戶的原籍網(wǎng)絡(luò)。
18.權(quán)利要求17的驗證中介,其中用戶和驗證中介都屬于第一移動網(wǎng)絡(luò)運營商,而多個選定服務(wù)供應(yīng)商則與所述第一移動網(wǎng)絡(luò)運營商相關(guān)聯(lián)。
19.權(quán)利要求17的驗證中介,還包括一個驗證中介萬維網(wǎng)前端,它包含了分別與所述用戶和選定的服務(wù)供應(yīng)商相對接的第一和第二接口裝置。
20.權(quán)利要求19的驗證中介,還包括以每一個移動網(wǎng)絡(luò)運營商為基礎(chǔ),用于蜂窩電話聯(lián)盟中的所有驗證提供方的存儲器,每一個移動網(wǎng)絡(luò)運營商都包含在這個蜂窩電話聯(lián)盟中。
21.權(quán)利要求20的驗證中介,其中驗證中介萬維網(wǎng)前端還包含了用于從所述存儲器中檢索與所述用戶原籍相關(guān)的尋址數(shù)據(jù)的裝置。
22.權(quán)利要求21的驗證中介,其中驗證中介萬維網(wǎng)前端還包括用于向那些與擁有驗證中介的移動網(wǎng)絡(luò)運營商相關(guān)聯(lián)的服務(wù)供應(yīng)商提供公共密鑰基礎(chǔ)設(shè)施服務(wù)的裝置,從而實現(xiàn)蜂窩電話聯(lián)盟的安全和保密需要。
23.一種包含在電信系統(tǒng)中的驗證提供方,其中所述電信系統(tǒng)向訪問選定服務(wù)供應(yīng)商的用戶提供了單點登錄服務(wù),所述用戶預(yù)訂了第一移動網(wǎng)絡(luò)運營商,此外每一個選定服務(wù)供應(yīng)商都與一個第二移動網(wǎng)絡(luò)運營商相關(guān)聯(lián),所述驗證提供方包括一個前向信道,其中包括一個萬維網(wǎng)前端,所述萬維網(wǎng)前端包含了在用戶與所述驗證提供方之間啟用驗證會話的第一接口裝置;一個后向信道,其中包括一個協(xié)議綁定,所述協(xié)議綁定包含了用于在所述驗證提供方與用戶訪問的選定服務(wù)供應(yīng)商之間交換那些涉及用戶驗證聲明的信息的第二接口裝置。
24.權(quán)利要求23的驗證提供方,其中前向信道還包括一個用于對用戶的會話狀態(tài)進行處理的會話管理器和存儲器,以及一個用于為用戶執(zhí)行特定驗證機制的前端驗證服務(wù)器。
25.權(quán)利要求24的驗證提供方,其中驗證提供方的后向信道還包括一個用于為用戶產(chǎn)生一個驗證聲明的安全聲明標(biāo)記語言引擎,以及用于保存那些驗證聲明的存儲器。
26.權(quán)利要求25的驗證提供方,還包含了介于前向信道與后向信道之間的互通裝置,以便為用戶產(chǎn)生和保存一個驗證聲明。
27.權(quán)利要求26的驗證提供方,其中介于前向信道與后向信道之間的互通裝置的操作是分別借助了會話管理器和安全聲明標(biāo)記語言引擎而被執(zhí)行的。
28.權(quán)利要求27的驗證提供方,其中會話管理器包含了通過使用公共目錄服務(wù)裝置而從標(biāo)識管理器中檢索用戶在蜂窩聯(lián)盟場所中的標(biāo)識與其在各自服務(wù)供應(yīng)商場所的標(biāo)識之間的關(guān)系的裝置,其中所述標(biāo)識由一個單點登錄主標(biāo)識相關(guān)聯(lián)。
29.權(quán)利要求24的驗證提供方,其中前端驗證服務(wù)器與充當(dāng)后端驗證服務(wù)器的蜂窩電話聯(lián)盟中的其他實體互通,以便在移動網(wǎng)絡(luò)運營商的場所中提供特定的用戶數(shù)據(jù)。
30.權(quán)利要求29的驗證提供方,其中前端驗證服務(wù)器是一個通常可以從蜂窩電話網(wǎng)絡(luò)中的網(wǎng)絡(luò)接入服務(wù)器那里進行訪問的驗證、授權(quán)和計費服務(wù)器。
31.一種用于進行商業(yè)活動的方法,其中至少兩個移動網(wǎng)絡(luò)運營商形成了一個移動網(wǎng)絡(luò)運營商聯(lián)盟,由此在聯(lián)盟中建立一個用于支持單點登錄服務(wù)的驗證信任關(guān)系,對于那些為聯(lián)盟中包含的移動網(wǎng)絡(luò)運營商的用戶提供服務(wù)的服務(wù)供應(yīng)商而言,所述聯(lián)盟充當(dāng)一個驗證機構(gòu),其中每一個服務(wù)供應(yīng)商都與一個聯(lián)合移動網(wǎng)絡(luò)運營商相關(guān)聯(lián),以便訪問這個聯(lián)盟。
32.權(quán)利要求31的進行商業(yè)活動的方法,其中每一個移動網(wǎng)絡(luò)運營商都提供了它自己的網(wǎng)絡(luò)及其相關(guān)服務(wù)供應(yīng)商所提供的服務(wù),其中每一個網(wǎng)絡(luò)都包含了一個用于對這種網(wǎng)絡(luò)中的用戶進行驗證的驗證提供方,以及一個驗證中介,用于將相關(guān)的服務(wù)供應(yīng)商重定向到一個負(fù)責(zé)對聯(lián)盟中的給定用戶進行驗證的驗證提供方。
33.權(quán)利要求32的進行商業(yè)活動的方法,其中每一個服務(wù)供應(yīng)商都被調(diào)整成向聯(lián)盟中包含的任何移動網(wǎng)絡(luò)運營商的用戶提供服務(wù),指定的服務(wù)供應(yīng)商可以通過一個與服務(wù)供應(yīng)商簽訂了接入點協(xié)議的移動網(wǎng)絡(luò)運營商的驗證中介來訪問聯(lián)盟,并且由此與聯(lián)盟具有了一種驗證信任關(guān)系。
全文摘要
服務(wù)供應(yīng)商向用戶提供了全新和復(fù)雜的萬維網(wǎng)服務(wù),這些服務(wù)分別需要對用戶進行驗證并對訪問進行授權(quán),由此需要一種全新的服務(wù)來簡化這種驗證和訪問,這種服務(wù)就是名為單點登錄(SSO)的服務(wù)。支持SSO的基本原理是用戶只在特定等級進行一次驗證,然后則訪問所有那些接受這種驗證等級的預(yù)訂服務(wù)。本發(fā)明提供了一種系統(tǒng)、方法和設(shè)備,其中移動網(wǎng)絡(luò)運營商的蜂窩電話聯(lián)盟成為聯(lián)盟中的用戶的驗證機構(gòu),所述用戶則對那些與聯(lián)盟中的移動網(wǎng)絡(luò)運營商訂立了這類協(xié)定的服務(wù)供應(yīng)商進行訪問。根據(jù)本發(fā)明,移動網(wǎng)絡(luò)運營商可以影響其運營商-用戶信任關(guān)系,以便為這些用戶充當(dāng)SSO驗證結(jié)構(gòu),而所述用戶訪問的是不同于所述移動網(wǎng)絡(luò)域的其他服務(wù)域中的服務(wù)供應(yīng)商。
文檔編號G06F21/41GK1640175SQ03804871
公開日2005年7月13日 申請日期2003年2月28日 優(yōu)先權(quán)日2002年2月28日
發(fā)明者L·巴里加, A·帕多布拉斯奎斯, J·M·沃爾克, J·A·德格雷戈里奧 申請人:艾利森電話股份有限公司