專利名稱:用于控制不同域之間的服務進程的裝置和方法
技術領域:
本發(fā)明總體上涉及當?shù)谝挥蜇撠熓跈嘤脩粼L問由第二域中的服務供應商提供的服務時、對服務進程的控制。更具體來講,本發(fā)明涉及當服務網絡授權用戶訪問由服務供應商提供的服務并且服務供應商通過運營者資源為服務的使用而向用戶收費時、對服務進程的控制。
背景技術:
通常,網絡運營者、特別是移動運營者目前向他們的用戶提供各種各樣的服務,而這些服務實際上經常是由外部服務供應商(SP)提供的。由此,對于其用戶而言,網絡運營者充當?shù)氖翘摂M服務供應商,并且因服務的使用而適當?shù)叵蛩麄兪召M,但是外部服務供應商實際上提供所述服務并且因提供服務而向運營者生成收費說明。對其用戶而言,把充當服務供應商的這種網絡運營者以下簡稱為服務網絡運營者(SNO)。
在此情況下,以SNO網絡為代表的第一域負責驗證請求服務的用戶,并且用于授權訪問所請求的服務的用戶。這種服務實際上是由外部服務供應商所擁有的第二域來提供的,所述外部服務供應商可能與網絡運營者具有商業(yè)關系,但是這兩個域可能由獨立的公司所擁有。
目前已知的支持上述方案的倡議是Ericsson服務遞送平臺(Ericsson Service Delivery Platform,以下簡稱為ESDP),其目的在于幫助網絡運營者向他們的預訂者提供獨立的訪問服務。一般說來,ESDP認為預訂者經由工業(yè)上稱為“http reverse-proxy(http反向-代理)”的方式來訪問服務網絡中可利用的服務?;谶@種已知的方式,在驗證-授權-帳務(Authentication-Authorisation-Accounting,AAA)服務器中對用戶進行驗證,并且因為這種驗證程序使得主機會話得以創(chuàng)建。主機會話通常包括與訪問類型、用戶標識符、所利用的驗證機制、會話建立時間等等有關的信息。有效的主機會話確保用戶被驗證。然而,主機會話沒有與用戶正使用的服務有關的信息。由此,每當用戶試圖訪問其簡檔中的服務時,主機會話都被檢驗以便在授權所述服務之前確定用戶是否已經被驗證。
這種ESDP以及該行業(yè)中其它已知的平臺支持通常稱為SingleSign-On(單一開始)的功能,借此,通過信任的接入網絡來訪問SNO網絡的用戶僅僅被驗證一次就可以通過由服務網絡運營者(SNO)提供的所有服務的驗證。
例如,當信任的接入網絡是類似通用分組無線電服務(GeneralPacket Radio Service,GPRS)網絡的分組無線電網絡并且向用戶分配了網關GPRS支持節(jié)點(Gateway GPRS Support Node,GGSN)以便獲得與服務網絡運營者(SNO)域的連接時,會出現(xiàn)示例性的方案。
依照這種方案,對單一開始(SSO)服務的支持基于所謂的‘MSISDN forwarding’機構,其中MSISDN傳統(tǒng)上代表移動用戶ISDN號,而廣義上講,可以將其假定為用戶電話號碼。簡單地說,‘MSISDNforwarding’機構是通過向本地服務網域中的‘驗證、授權和帳務’(AAA)服務器發(fā)送RADIUS訪問請求消息(其包括用戶的MSISDN和IP地址)來從本地核心網域中的網關GPRS支持節(jié)點(Gateway GPRSSupport Node,GGSN)啟動的。此信息允許AAA服務器為用戶創(chuàng)建主機會話,以便每當所述用戶請求訪問服務時,檢驗主機會話以便確認用戶早已被正確地驗證。更具體來講,公開號為WO 01/67716 A1的國際申請基于RADIUS Accounting Start消息描述了一種‘MSISDNforwarding’機構,其可以在某些方案下應用。此國際申請描述了在某些特定環(huán)境下用于支持單一開始并且由此僅驗證用戶一次的特征。
然而,就服務授權而言,當用戶已經在SNO網絡下被驗證了一次時,那么就授予用戶進入任何所提供的服務的權利。由此,一旦服務被授權,那么服務網絡運營者將失去對所述服務的控制。也就是說,服務網絡運營者無法再控制服務的進程,無法意識到服務執(zhí)行期間所涉及的各方進行的動作,并且在此執(zhí)行期間無法采取任何行動,諸如使服務會話斷開以避免服務的欺騙性誤用。
圖1中舉例說明了用于向用戶授權服務的現(xiàn)有機構,當用戶向接入網絡發(fā)布服務請求時,可以啟動所述機構,具體來講,所述接入網絡可以是GPRS網絡、接收這種請求的特殊GPRS節(jié)點的GGSN。接收器向服務網絡的應用網關模塊(Application Gateway Module,AGM)發(fā)送此服務請求,所述服務網絡通常負責偵聽用戶和服務之間的應用消息,并且識別所述用戶和所述服務。此應用網關模塊(AGM)、尤其可以是上述“http reverse-proxy”通常配有用于根據(jù)是否允許用戶訪問所述服務而從所謂的授權模塊(Authorisation Module,AM)獲得授權判定的裝置。此授權模塊(AM)、尤其是上述AAA服務器通常負責根據(jù)多個條件來判斷是否授權用戶訪問服務。應用網關模塊和授權模塊這兩個實體可以依照獨立的模式來提供或者與其它實體合為整體,特別是可以集成到同一實體中。
盡管如此,對于大多數(shù)現(xiàn)有的服務而言,現(xiàn)有機構仍是基于請求和回答來進行的,諸如請求鈴聲并且下載所述鈴聲,但是對于更加復雜的交易事務而言,例如包括關聯(lián)子服務的各個序列的服務,現(xiàn)有技術在運營者完全控制服務進程方面呈現(xiàn)出上述嚴重的局限性。
用于交易服務的一種簡單的解決方案可以通過不管任何先前授權如何、都強制用戶和服務之間的任何事務均需被授權來實現(xiàn)。然而,這種解決方案往往使任何通信模型極大地過載,并且由此被認為是要解決的額外的缺陷。
另一方面,假定服務網絡運營者(SNO)不知道服務的不同事務何時出現(xiàn),那么服務網絡運營者無法意識到由各方、即用戶和服務所進行的不同操作,并且無法根據(jù)這種不同的操作來應用不同的策略。此外,一旦授權用戶這樣做,服務網絡運營者(SNO)甚至不能實時地使用戶與正使用的服務斷開。
由此,本發(fā)明的重要目的在于,提供用于在用戶使用由第二域提供的所述服務的同時,在已經授權服務的第一域控制服務進程的裝置和方法。
本發(fā)明的又一目的在于實現(xiàn)一種適當?shù)慕鉀Q方案,其中這種控制包括用于驗證服務使用的驗證機構。
發(fā)明內容
依照本發(fā)明,上述以及其它目的是通過提供一種用于在用戶正在使用由第二域提供的所述服務的同時、在已經授權服務的第一域控制要求了多個事務的服務進程的方法和裝置,以及用于驗證服務在服務網絡運營者和服務供應商之間的使用的驗證機構來實現(xiàn)的。
依照本發(fā)明的第一方面,提供了一種適用于電信通信系統(tǒng)的應用網關模塊,其中服務網絡驗證用戶并且授權用戶訪問由服務供應商提供的服務,所述應用網關模塊被設置為用于截聽用戶和服務之間的應用消息并且用于識別所述用戶和所述服務。依照本發(fā)明,這種應用網關模塊傳統(tǒng)上包括用于獲得關于是否允許用戶訪問服務的授權判定的裝置,并且這種應用網關模塊包括用于分配服務會話標識符的裝置,所述服務會話標識符用于識別在用戶和服務之間交換的那些應用消息,并且屬于向所述用戶授權的同一服務遞送;用于配置第一有限狀態(tài)機的裝置,所述第一有限狀態(tài)機具有用于識別服務遞送中的特定事件的多個狀態(tài),其中服務進程能夠得以控制;以及用于激活適用于所述特定事件的服務策略并且產生狀態(tài)變換的裝置。
在這種應用網關模塊中,用于分配服務會話標識符的裝置可以包括用于啟動第一有限狀態(tài)機的特定示例的裝置,所述特定示例是由已分配的服務會話標識符來識別的。
有益的是,在此應用網關模塊中,用于激活服務策略的裝置包括,用于設置從非窮舉的參考和屬性列表中選出的至少一個元素的裝置,所述元素包括要匹配的多個消息字段值、匹配時要執(zhí)行的多個特定動作、要運行的多個定時值以及要監(jiān)控的多個事務。此外,用于激活服務策略的這些裝置包括用于激活獨立于進程中任何服務遞送的全局服務策略的裝置。此外,用于激活服務策略的裝置最好可以包括用于啟動全局服務策略的情況以便用作第一有限狀態(tài)機的特定情況中的單個服務策略的裝置,所述單個服務策略繼承來自全局服務策略的參考和屬性。為了允許服務策略的動態(tài)更新,所述應用網關模塊還包括在第一有限狀態(tài)機特定情況內處理的服務進程期間、用于利用新的參考和屬性重寫單個服務策略的參考和屬性的裝置。
依照此應用網關模塊,可以把特殊狀態(tài)與第一有限狀態(tài)機的特定情況中的多個單個服務策略相關聯(lián),所述情況由給定的服務會話標識符識別。
此外,為了清楚,在應用網關模塊中,用于獲得授權判定的裝置可以包括用于請求來自獨立模塊、即授權模塊的服務授權的裝置,所述授權模塊可以與所述應用網關模塊集成為唯一的實體,或者均作為獨立的模塊來提供。
如果使兩個獨立的模塊共同存在,那么,在所述應用網關模塊中,用于激活服務策略的裝置最好包括用于接收來自所述授權模塊的適用于設置服務策略的至少一個元素的裝置,所述元素是從非窮舉的參考和屬性列表中選出的,所述元素包括要匹配的多個消息字段值、基于匹配要執(zhí)行的多個特定動作、要運行的多個定時值以及要監(jiān)控的多個事務。此外,用于激活服務策略的這些裝置還包括用于接收來自所述授權模塊的全局服務策略的裝置。在這方面,獨立于授權模塊的應用網關模塊還包括用于接收來自授權模塊的參考和屬性的裝置,所述裝置適用于在第一有限狀態(tài)機的特定情況內處理的服務進程期間、利用新的參考和屬性來重寫單個服務策略。因此,所述應用網關模塊還包括用于通知授權模塊服務進程中的特定事件的裝置,以及用于從授權模塊請求進一步處理來確定適當動作以便繼續(xù)服務進程的裝置。結合上述最后的特征,應用網關模塊最好包括用于接收來自授權模塊的從如下內容選出的指令的裝置,所述指令包括沒有限制的授權訪問、其它服務來替代所請求的先前服務、強制注銷和狀態(tài)變換指示。
由此,依照早已介紹的本發(fā)明的第二方面,提供了適用于遠距離通信系統(tǒng)的授權模塊,其中服務網絡驗證用戶并且授權用戶訪問由服務供應商提供的服務,所述授權模塊被設置為用于決定是否允許用戶訪問服務,并且傳統(tǒng)上具有用于接收來自應用網關模塊的服務授權請求的裝置,以及用于回答應用網關模塊對是否允許用戶訪問所請求的服務的響應的裝置。依照本發(fā)明,此授權模塊包括用于生成服務會話標識符的裝置,所述服務會話標識符用于使用戶和服務之間交換的那些應用消息相關,并且屬于向所述用戶授權的同一服務遞送;用于配置第二有限狀態(tài)機的裝置,所述第二有限狀態(tài)機具有用于識別服務進程中的特定事件的多個狀態(tài),其中所述授權模塊能夠在應用網關模塊上行動以便控制所述服務進程;以及用于確定適用于所述特定事件的服務策略并且產生狀態(tài)變換的裝置。
依照此授權模塊,用于生成服務會話標識符的裝置包括用于把所述服務會話標識符包含在響應中的裝置,所述響應被返回到應用網關模塊,以便報告是否允許用戶訪問所請求的服務。與應用網關模塊中的先前特征對照,用于生成服務會話標識符的裝置最好包括用于啟動第二有限狀態(tài)機的特定情況的裝置,所述特定情況也由所述服務會話標識符識別。由此,可以把第二有限狀態(tài)機的特定情況中的特殊狀態(tài)與多個服務策略相關聯(lián),所述情況由給定的服務會話標識符識別。
此外,在此授權模塊中,用于確定服務策略的裝置包括用于把至少一個信息元素歸入對上述應用網關模塊的響應以便激活應用網關模塊中的特定狀態(tài)內的服務策略的裝置,所述至少一個信息元素是從如下內容選出的要匹配的多個消息字段值;當匹配給定消息字段值時要執(zhí)行的一組動作;要運行的多個新的定時值;以及要監(jiān)控的多個事務。
除了被歸入從授權模塊向應用網關模塊的響應的上述元素之外,還提供了附加裝置來表明是否把全局服務策略獨立應用于進程中的任何服務遞送。
此外,當兩個模塊最少功能上存在時,為了一致性,所述授權模塊還包括用于接收來自應用網關模塊的表明在服務進程中檢測到的特定事件的通知的裝置。此外,所述授權模塊還包括用于接收來自應用網關模塊的請求的裝置,所述請求要求繼續(xù)進行服務進程的指令。依照此方面,所述授權模塊最好包括用于向應用網關模塊發(fā)送從如下內容選出的指令的裝置,所述指令包括沒有限制的授權訪問、其它服務來替代所請求的先前服務、強制注銷和狀態(tài)變換指示。
另外,所述授權模塊還可以并且最好包括用于接收來自至少一個實體的應用消息的裝置,所述至少一個實體是從多個應用服務器和提供系統(tǒng)中選出的,所述應用消息包括用于識別授權模塊中的第二有限狀態(tài)機的特定情況的給定服務會話標識符。
本發(fā)明還提供了一種方法,用于授權服務網絡用戶訪問由服務供應商的服務服務器提供的服務,所述用戶早已由服務網絡進行驗證,服務器被設置為通過與用戶交換多個應用消息來遞送包括多個事務的服務,并且所述方法傳統(tǒng)上包括用于基于是否允許用戶訪問服務而獲得第一授權判定的步驟。依照本發(fā)明,此方法還包括如下步驟生成并且分配服務會話標識符,所述服務會話標識符用于識別在用戶和服務之間交換的那些應用消息,并且屬于向所述用戶授權的同一服務遞送;配置至少一個有限狀態(tài)機,所述有限狀態(tài)機具有用于識別服務遞送中的特定事件的多個狀態(tài),其中服務進展能夠得以控制;并且激活適用于所述特定事件的服務策略并且產生狀態(tài)變換。
在此方法中,用于生成并且分配服務會話標識符的步驟包括用于啟動至少一個有限狀態(tài)機的特定情況的步驟,所述特定情況是由分配的服務會話標識符識別的。此外,此特定情況中的特殊狀態(tài)可以與多個服務策略相關聯(lián)。
此外,在此方法中,用于激活服務策略的步驟可以包括用于設置至少一個元素的步驟,所述元素是從非窮舉的參考和屬性列表中選出的,所述元素包括要匹配的多個消息字段值、匹配時要執(zhí)行的多個特定動作、要運行的多個定時值以及要監(jiān)控的多個事務。
更進一步講,此方法最好可以包括用于在服務網絡處接收于實體發(fā)起的應用消息的步驟,所述實體是從如下內容中選出的服務供應商的多個服務服務器以及提供系統(tǒng)的多個實體,所述應用消息包括用于識別至少一個有限狀態(tài)機的特定情況的給定服務會話標識符。
另一方面,為了與上面兩個模塊一致,在此方法中,用于配置至少一個有限狀態(tài)機的步驟包括用于配置上文應用網關模塊中的第一有限狀態(tài)機的步驟,以及用于配置上文授權模塊中的第二有限狀態(tài)機的步驟。
通過結合附圖閱讀此描述,本發(fā)明的特征、目的和優(yōu)勢將變得清楚,其中圖1示意性地再現(xiàn)了當所述服務基于具有回答的請求時,服務網絡授權通過驗證的用戶訪問由服務供應商提供的服務的體系結構。
圖2示出了具有依照本發(fā)明的增強接口和實體的圖1中的體系結構的簡化視圖。
圖3A和圖3B舉例說明了分別在應用網關模塊和授權模塊處、在服務進程期間所分配的基本狀態(tài)之間的示例性變換圖表。
圖4呈現(xiàn)了示出多個服務過濾器、即服務策略以及應用服務過濾器時遇到的多個變換的示例性圖表,所述服務策略可以在服務進程期間所分配的狀態(tài)上被激活。
圖5主要舉例說明了在服務授權期間遵循的程序,其中應用網關模塊中的第一狀態(tài)機和授權模塊中的第二狀態(tài)機的新情況分別被啟動,并且服務會話標識符被生成并且分配以便使所述兩個情況相關。
圖6舉例說明了在給定服務遞送內,在示例性后續(xù)啟動期間所遵循的程序,其中授權模塊命令應用網關模塊激活特定事務的服務策略,以便當用戶請求這種特定事務時通知授權模塊。
圖7舉例說明了在給定服務遞送內,在示例性后續(xù)啟動期間所遵循的另一程序,其中用戶明確地請求從由給定服務會話標識符識別的服務遞送中注銷。
圖8舉例說明了在已經于服務遞送內執(zhí)行了示例性后續(xù)啟動后所遵循的其它程序,其中應用網關模塊檢測并且向授權模塊通知由給定服務會話標識符識別的服務遞送暫停期滿。
圖9舉例說明了在給定服務遞送內于示例性后續(xù)啟動期間所遵循的又一程序,借此,通過授權模塊進行動作的服務網絡運營者可以隨時略去由給定服務會話標識符識別的服務遞送進程。
具體實施例方式
下面描述用于允許服務網絡運營者(20)控制由外部服務供應商(30)提供的并且由所述服務網絡運營者使用的服務的服務遞送進程的裝置和方法的優(yōu)選實施例,其中每一服務遞送可能包含多個事務。
因此,依照本發(fā)明的第一方面,提供了一種具有有限狀態(tài)機的應用網關模塊(AGM)(2),諸如圖3A中舉例說明的那種,用于跟蹤屬于同一服務遞送的消息并且用于監(jiān)控服務進程。也就是說,從授權用戶訪問服務開始直到服務結束或者用戶明確放棄所述服務或者暫停期滿的時間,在客戶端(1;9)和服務服務器(5;6)之間交換消息。為了簡單起見,術語客戶端(1;9)和術語用戶(1;9)遍及此說明書是通用的,無論使用什么樣的裝備(1;9)例如經由接入網絡(10)來與服務網絡(20)通信,它們都指的是用戶終端側。
依照本發(fā)明的第二方面,提供了一種授權模塊(AM)(3),其還具有另一有限狀態(tài)機,諸如圖3B中舉例說明的那種,以便控制服務遞送的進程。
在當前優(yōu)選的實施例中,實體AGM(2)和AM(3)分別依照獨立模式提供,不過也可以把它們集成到例如共享唯一有限狀態(tài)機的唯一實體中。如果具有獨立的AGM和AM實體形式的實施例更好,如圖2中所示那樣,那么在兩個有限狀態(tài)機之間提供新的接口(I-3x)。此新的接口允許應用網關模塊(2)為服務授權并且為通知在服務進程期間出現(xiàn)的那些適當事件而請求授權模塊(3)。另一方面,此接口允許授權模塊(3)允許并且撤消服務授權并且參與控制服務遞送的進程。
在本說明書中,應用網關模塊(2)中的有限狀態(tài)機、所謂的服務環(huán)境狀態(tài)機(SCSM)包括多個狀態(tài),在服務進程期間,可以在應用網關模塊(2)處為用戶的特殊服務遞送分配所述多個狀態(tài)。由此,在用戶(1;9)和服務服務器(5;6)之間交換的所有應用消息(I-2X,I-4X)在應用網關模塊(2)處經歷服務環(huán)境狀態(tài)機(SCSM)的情況,其中所述應用網關模塊(2)插入在用戶和服務服務器之間,其中每一服務遞送都存在一個SCSM情況。正如之前所提及的那樣,服務遞送可以包含多個事務,即服務事務。
在本說明書中,授權模塊(3)中的有限狀態(tài)機、所謂的服務進程狀態(tài)機(SPSM)包括多個狀態(tài),在服務進程期間,可以在授權模塊(3)處為用戶的特殊服務遞送分配所述多個狀態(tài)。另外,此服務進程狀態(tài)機(SPSM)用于讓服務網絡(20)知道服務遞送的進程。此外,授權模塊(3)中的此服務進程狀態(tài)機(SPSM)還可以通過在服務進程期間請求通知某些事件、或者通過斷開用戶的服務來讓服務網絡參與服務遞送。就應用網關模塊(2)中的上述SCSM而言,對于每個服務遞送來說,在授權模塊(3)中都存在SPSM的一個情況,所述服務遞送可能包含多個服務事務。
依照本發(fā)明,并且為了允許應用網關模塊(2)中的SCSM跟蹤屬于同一服務遞送的應用消息,在用戶(1;9)和服務服務器(5;6)之間交換的所有應用消息都包括以每一服務請求為基礎生成的個體服務會話標識符,并且在服務進程期間激活,直到用戶明確地放棄服務、服務結束或者暫停期滿為止。此服務會話標識符(Service_Context_ID)由此用于依照唯一的方式來識別屬于同一服務遞送的消息。為此目的,提供了用于基于每一服務請求來生成服務會話標識符的裝置,這些裝置最好位于授權模塊(3)處,并且提供了當在應用網關模塊處接收到來自用戶的不包括任何服務會話標識符(Service_Context_ID)的服務請求時、用于向特定服務遞送分配個體服務會話標識符的裝置。
圖3A中的變換簡圖示出了在應用網關模塊(AGM)處于服務進程期間分配的基本狀態(tài)。當在AGM(2)處偵聽到來自用戶(1;9)的沒有有效服務會話標識符(Service_Context_ID)的消息時,授權請求被發(fā)送給授權模塊(3),同時在初始‘NULL(空)’狀態(tài)和‘服務授權’狀態(tài)之間出現(xiàn)變換。一旦已經向用戶授權所述服務,那么在授權模塊(3)處生成服務會話標識符(Service_Context_ID),并且返回給應用網關模塊(2),同時在‘服務授權’和‘有效服務’狀態(tài)之間出現(xiàn)變換。在此階段,在圖3A的示例性圖表中,當被應用網關模塊(2)偵聽到時,從用戶(1;9)發(fā)向服務服務器(5;6)的應用消息(包括這種有效服務會話標識符(Service_Context_ID))不產生任何變換,不過本領域技術人員可以區(qū)別其它顯著狀態(tài),所述其它顯著狀態(tài)在特殊或有益的實現(xiàn)方式下有用。由此,圖3A中舉例說明的服務環(huán)境狀態(tài)機(SCSM)的此情況保持‘有效服務’狀態(tài),直到服務注銷、暫停期滿或者出現(xiàn)斷開請求為止,所述斷開請求觸發(fā)朝向‘斷開服務’狀態(tài)的變換,直到服務會話標識符(Service_Context_ID)和相應的參考及屬性被明確刪除為止。一旦已經明確刪除了個體服務會話標識符(Service_Context_ID)以及所述相應的參考和屬性,在服務環(huán)境狀態(tài)機(SCSM)的這種情況下,在‘斷開服務’狀態(tài)和‘空’狀態(tài)之間進行最終變換,當請求服務時,認為后者是初始狀態(tài),而當服務結束時,認為是最終狀態(tài)。
按類似于在應用網關模塊(2)中工作的上述服務環(huán)境狀態(tài)機(SCSM)的方式,服務進程狀態(tài)機(SPSH)在授權模塊(3)中工作。在圖3B中基本上舉例說明的服務進程狀態(tài)機(SPSM)包括實質上與圖3A中的上述服務環(huán)境狀態(tài)機(SCSM)相同的狀態(tài)和相應的變換,將進一步解釋實現(xiàn)附加優(yōu)勢所需要的略微改變。
應用網關模塊(2)中的服務環(huán)境狀態(tài)機(SCSM)采用用于識別服務進程中的點的裝置,其中應用網關模塊(2)和授權模塊(3)可以彼此通信,以便在服務環(huán)境狀態(tài)機(SCSM)和服務進程狀態(tài)機(SPSM)之間分別實現(xiàn)適當?shù)牟⑶覍臓顟B(tài)變換。
此外,提供了用于依照在輸入應用消息上應用的這些點設置策略的裝置。以下稱為服務過濾器(SF)的策略可以被理解為用于匹配的標準集合以及用于在應用策略的特殊應用消息上實現(xiàn)的動作集合。具體來講,標準可以是定時器期滿(‘暫?!?,并且具有這種標準的策略最好具有相關聯(lián)的動作以便強制斷開。
可以用這樣的方式來準備、即激活服務過濾器(SF-1,SF-2,SF-3,SF-4),所述方式為相對于所述標準來評估來自用戶(1;9)或者來自服務(5;6)的輸入應用消息,并且如果結果成功,那么所述評估可以產生一種通知或者請求,所述通知或者請求在應用網關模塊(2)和授權模塊(3)之間交換,并且可能觸發(fā)狀態(tài)變換。如果不準備服務過濾器(SF-1;SF-2;SF-3;SF-4),或者對于輸入應用消息而言沒有設置它,那么服務環(huán)境狀態(tài)機(SCSM)繼續(xù)處理輸入應用消息而沒有任何交互。
目前,服務過濾器類型的不同集合被識別。本發(fā)明提供的第一類型的服務過濾器是‘觸發(fā)’類型,借此,由此定義的服務過濾器靜態(tài)地準備進入操作。本發(fā)明提供的第二類型的服務過濾器是‘事件’類型,借此,由此定義的服務過濾器動態(tài)地準備進入操作。對本發(fā)明來說,‘靜態(tài)地準備’被理解為在有效配置應用網關模塊(2)和授權模塊(3)期間被激活,其例如可以出現(xiàn)在提供操作數(shù)據(jù)期間,而‘動態(tài)地準備’被理解為在服務進程期間被激活。
另外,諸如‘請求’和‘通知’的子類型也可以定義為特殊類型。當暫停服務進程的處理、直到接收到適當命令來恢復它時,前者適用,而后者不必隱含服務掛起。
依照上述分類,在優(yōu)選的實施例中可以存在如下服務過濾器集合‘觸發(fā)-請求’(SF-TR),其是靜態(tài)地準備的服務過濾器并且負責觸發(fā)SCSM情況下的狀態(tài)變換,并且用于當遇到諸如觸發(fā)服務授權的服務過濾器集合時,暫停所述服務進程;
‘觸發(fā)-通知’(SF-TN),其是靜態(tài)地準備的服務過濾器,并且負責啟動向另一實體發(fā)送通知,同時繼續(xù)進行諸如暫停提交給授權模塊(3)的指示的服務進程;‘事件-請求’(SF-ER),其是利用由附加操作裝置設置的特定標準來動態(tài)地準備的服務過濾器,并且負責當遇到時暫停服務進程直到接收到來自另一實體的其它指令為止,例如應用網關模塊(2)就預付下載的新的子服務請求而言、等待來自授權模塊(3)的指令的例子;以及‘事件-通知’(SF-EN),其是利用由附加操作裝置設置的特定標準來動態(tài)地準備的服務過濾器,并且負責啟動向另一實體發(fā)送通知,同時繼續(xù)進行諸如指示用戶接受提交給授權模塊(3)的其它廣告的服務進程。
例如,圖4示出了可以在應用網關模塊(2)中的服務環(huán)境狀態(tài)機(SCSM)上準備的多個服務過濾器。在此實施例之下,服務過濾器‘授權-請求’(SF-1)和‘暫停’(SF-32)在第一消息到達以便啟動服務之前被準備。人們可能奇怪當SCSM情況仍沒有創(chuàng)建時,這些服務過濾器(SF-1;SF-32)是如何在第一消息到達以前被準備的。然而,當前本發(fā)明的優(yōu)選實施例提供了一種全局服務過濾器,其可以按照上面提及的那樣來靜態(tài)地準備,這是在啟動SCSM情況以前操作的。在啟動特殊SCSM情況時,相應的個人服務過濾器也通過繼承來自所述全局服務過濾器的參考和屬性被引以為例,具體來講,提供了附加操作裝置來基于SCSM情況內的某些條件重寫個人服務過濾器,諸如‘暫?!?SF-32),而早已為動態(tài)準備而設置的諸如‘信息-分析’(SF-2)和‘注銷-請求’(SF-31)的其它服務過濾器在服務進程期間可以繼續(xù)準備。
就其它技術特征而言,服務過濾器‘授權-請求’(SF-1)和‘信息-分析’(SF-2)可用來評估在特殊服務遞送下接收到的那些消息中的字段,其中所述特殊服務遞送是由使用SCSM情況的個體服務會話標識符(Service_Context_ID)識別的。當經歷SCSM情況時,如果經受檢查的所述字段的內容與有效的過濾器值匹配,那么應用網關模塊(2)向授權模塊(3)發(fā)送消息,同時根據(jù)過濾器子類型的評估,服務進程繼續(xù)而不中斷,或者中斷直到來自授權模塊(3)的相應回答到達為止。
根據(jù)隨后用于服務授權、處理同一服務遞送的后續(xù)消息、服務注銷、暫停期滿和服務斷開的程序而言,依照例證性的而非限制性的方式來進一步描述多個使用情況。
在圖5中舉例說明的第一使用情況中,并且還參考圖2,應用網關模塊(2)中的第一狀態(tài)機(SCSM)和授權模塊(3)中的第二狀態(tài)機(SPSM)的新情況在服務授權期間分別被啟動,其中服務環(huán)境標識符(Service_Context_ID)被生成并且被分配以便使第一和第二(SCSM,SPSM)狀態(tài)機情況相關。當用戶(9)試圖訪問經由運營者的服務網絡(20)提供的服務(5)時,開始所述程序。因此,所述用戶發(fā)布服務請求(S-510),其包括諸如HTTP請求-URI的服務標識符以及用戶標識符。
當接收到這種輸入消息、即服務請求時,所述應用網關模塊(2)檢驗是否存在用于此請求的有效服務會話標識符(Service_Context_ID)。由于這是為用戶(9)訪問此服務所接收的第一服務請求,所以沒有相關聯(lián)的服務會話標識符,因此啟動新的SCSM情況。
在這一點上,依照本發(fā)明的一個實施例,把全局服務過濾器依照所要求的繼承關系而相應地引為個人服務過濾器。例如,作為狀態(tài)‘空’的結果而應用了類型‘觸發(fā)’的服務過濾器‘授權-請求’(SF-1),以便啟動向授權模塊(3)的服務授權請求。盡管如此,依照本發(fā)明的另一實施例,可以把這些全局服務過濾器僅僅處理并且理解為將要進一步應用于所有消息的通過策略,所述所有消息是在其特殊SCSM情況下遇到的預定狀態(tài)。例如,一旦特殊服務遞送處于狀態(tài)‘空’,那么用于觸發(fā)的第一動作是啟用向授權模塊(3)的服務授權請求。可以實現(xiàn)其它實施例,其中所有服務過濾器通過提供裝置來下載,其中所謂靜態(tài)準備的那些從提供時向前早已是有效的,并且所謂動態(tài)準備的那些當接收到單個命令并且例如與此目的匹配的單個值時、在服務進程期間被激活。
不管用于提供和準備服務過濾器的先前實施例之間的選擇如何,當應用網關模塊(2)從授權模塊(3)請求(S-511)授權用戶請求的服務時,在此新的SCSM情況中都產生從‘空’狀態(tài)到‘服務-授權’狀態(tài)的變換。為此目的,應用網關模塊(2)可以把至少一個信息元素包括在服務授權請求中,所述至少一個信息元素是從如下內容中選出的例如HTTP的使用協(xié)議;例如POST的消息類型;例如請求的URI的請求服務;用戶標識符;以及可能有效的服務過濾器。
當接收到服務授權請求時,所述授權模塊(3)識別用戶,為所請求的服務向用戶應用相應的策略,并且基于此,所述授權模塊允許或者拒絕對服務的訪問。如果授權訪問,并且假定授權模塊已經被配置為控制授權模塊(3)和應用網關模塊(2)之間的服務進程,那么授權模塊啟動服務進程狀態(tài)機(SPSM)的新情況,其中出現(xiàn)從‘空’狀態(tài)向‘服務-授權’狀態(tài)的變換,并且為這種服務遞送生成新的服務會話標識符(Service_Context_ID),其中所述服務遞送是將向應用網關模塊(2)進一步下載的。
另外,與被包含在服務進程狀態(tài)機(SPSM)中的不同狀態(tài)相關聯(lián),提供了用于在服務環(huán)境狀態(tài)機(SCSM)的已表明狀態(tài)內來準備特定服務過濾器。因此,與特殊SPSM狀態(tài)相關聯(lián),可以有多個消息字段值,一旦在應用網關模塊(2)處接收到,則進一步用于動態(tài)地準備已表明的SCSM狀態(tài)內的特定服務過濾器。當在某一SCSM情況下的分析期間匹配時,這些消息字段值可以由此引起‘觸發(fā)’或‘事件’來進入操作。
在另一替代實施例中,不需要控制服務進程就可以授權對服務的訪問,在此情況下,不啟動SPSM情況,并且如果生成服務會話標識符,那么其僅僅用于應用網關模塊(2)處的相關目的。
仍參考圖5,把響應從授權模塊(3)送回到(S-512)應用網關模塊(2),其包括從如下內容中選出的至少一個信息元素可以是最初接收或者修改的服務標識符;用于在其使用期期間識別應用網關模塊(2)中以及授權模塊(3)中的服務遞送的服務會話標識符(Service_Context_ID);進一步用于在有效SCSM情況的狀態(tài)‘服務有效’的范圍內準備服務過濾器‘信息-分析’(SF-2)的多個消息字段標識符和相應的值(Analyse-Info-SF-value),此服務過濾器在服務環(huán)境使用期期間可能是持久性的;進一步用于在有效SCSM情況的狀態(tài)‘服務有效’的范圍內準備服務過濾器‘注銷’(SF-31)的多個消息字段標識符和相應的值(Logout-SF-value),此服務過濾器可用于通知AM(3)何時用戶結束注銷,并且在服務進程使用期期間可能是持久性的;通過重寫靜態(tài)地準備的先前暫停值,用于動態(tài)地準備服務過濾器‘暫?!?SF-32)的新暫停值(Timeout-value)早已準備,此服務過濾器在服務進程使用期期間可能是持久性的,除非再次重寫;并且純粹就數(shù)字而言,確切地說根據(jù)特殊指示列表而言,用于監(jiān)控的多個事務。
當把此響應從授權模塊(3)提交回到應用網關模塊(2)時,授權模塊(3)處的SPSM情況變換為狀態(tài)‘有效服務’。
然而,如果服務被拒絕,那么把否定的回答(任何附圖中未示出)送回應用網關模塊(2),其中SCSM情況變換為‘空’狀態(tài),并且SCSM情況被終止,或者僅僅SCSM情況被終止。
當在應用網關模塊(2)中接收到肯定回答(S-512)時,把在響應消息中接收的服務會話標識符(Service_Context_ID)與SCSM情況相關聯(lián)。如果沒有接收到服務會話標識符(Service_Context_ID),那么允許服務請求繼續(xù)并且刪除相關聯(lián)的SCSM,由此對于服務網絡運營者(20)絕對信任的那些用戶(1;9)和服務供應商(30)而言,能夠禁止本發(fā)明的主要特征。
在此SCSM情況內,把接收到的服務過濾器作為‘事件’服務過濾器來準備,但是除了靜態(tài)準備的也可以是動態(tài)重寫的服務過濾器‘暫停’(SF-32)。然后,所述SCMS情況進行到‘有效服務’狀態(tài)。把接收到的服務會話標識符(Service_Context_ID)并入正向服務器(5)路由(S-513)的服務請求,其中所述服務器(5)負責提供(S-514,S-515)由用戶(9)請求的服務。為此目的,可以在來自授權模塊(3)的響應中接收到所述服務器(5)的地址。如果接收到的是否定響應,那么應用網關模塊(2)自身向用戶(9)返回否定響應,以表明不授權用戶訪問所請求的服務。
在圖6中舉例說明的第二使用情況中并且還參考圖2,存在來自用戶的后續(xù)服務請求(S-610至S-613)和同一服務遞送過程內的內容遞送的示例性啟用,任何服務請求和相應的內容遞送由此具有有效的服務會話標識符(Service_Context_ID),所述服務會話標識符最少用于所述服務遞送過程的相關性目的。
依照此第二使用情況,對授權模塊(3)先前已經把服務過濾器值(Analyse-Info-SF-value)包括在響應中作出示例性假設,其中所述響應在圖5示出的授權過程期間被送回(S-512)至應用網關模塊(2)。此服務過濾器值(Analyse-Info-SF-value)用于在所述應用網關模塊(2)處準備服務過濾器,以便當用戶(9)請求同一服務遞送內的特定服務(serviceBIS)時、再次觸發(fā)向授權模塊(3)的分析請求。
由此,當用戶正在訪問(S-610至S-613)同一或者不同于待特定處理的上述特定服務(serviceBIS)的其它服務時,所述服務進程通過識別接收到的服務會話標識符(Service_Context_ID)來進行授權。因此,當接收輸入消息時,所述應用網關模塊經由被歸入所述消息的服務會話標識符(Service_Context_ID)來獲得SCSM情況,在該情況下,所述消息處于‘有效服務’狀態(tài)。在此階段,對于具有給定服務會話標識符(Service_Context_ID)的輸入消息,所述服務過濾器‘信息-分析’(SF-2)和‘注銷’(SF-31)被評估。
當接收到來自請求上述特定服務(serviceBIS)的用戶(9)的服務請求(S-614)時,基于由接收到的服務會話標識符(Service_Context_ID)來識別的SCSM情況,應用網關模塊(2)面對準備好的服務過濾器‘信息-分析’(SF-2)。由用戶請求的服務(serviceBIS)與從授權模塊(3)接收到的服務過濾器值(Analyse-Info-SF-value)相匹配,以便準備這種過濾器,并且應用網關模塊觸發(fā)(S-615)特定分析請求,所述分析請求如上所述那樣被返回授權模塊。此特定分析請求包括從如下內容中選出的至少一個元素例如HTTP的使用協(xié)議;例如POST的消息類型;請求服務(serviceBIS);用戶標識符;服務會話標識符(Service_Context_ID)以及所應用的有效服務過濾器。
接收對此特定服務(serviceBIS)的分析請求(S-615)的授權模塊獲得由接收到的服務會話標識符(Service_Context_ID)所識別的SPSM情況,并且基于當前有效的特殊狀態(tài),可以把不同策略應用于用戶和請求的服務。在這方面,并且依照當前優(yōu)選的實施例,這些策略是根據(jù)全局服務過濾器實現(xiàn)的,所述全局服務過濾器可以作為具有特殊屬性并且可歸因于特殊SPSM情況的個人服務過濾器的例子。此實施例允許在授權模塊(3)和諧地提供全局服務過濾器自身應用性和外部應用性,諸如將置于應用網關模塊(2)的那些。在另一個實施例中,這些策略以及最初應用于確定是否可以允許服務遞送的那些策略可以通過處理裝置來實現(xiàn),所述處理裝置用于確定已經被允許完成服務遞送的用戶是否目前訪問特別的特定服務(serviceBIS),由此當用戶請求時標記附加的授權。
作為在授權模塊(3)處應用這些策略的至少一個的結果,可以在沒有限制的情況下允許訪問,或者可以返回另一特定服務(serviceTER)來代替先前請求的服務(serviceBIS)或者可以觸發(fā)強制注銷。這種情況的例子可以是已經被允許的用戶經由互聯(lián)網訪問‘watching-TV-service(看電視服務)’,其中所述服務包括可由用戶選擇的多個頻道,并且由于用戶的請求包括服務會話標識符(Service_Context_ID)而不要求進一步授權。另外,‘watching-TV-service’可以最終包括用戶能夠輪流選擇的其它數(shù)目的頻道,并且為此,用戶需要獨立地被付費(serviceBIS)。因此,當選擇這些頻道之一時,用戶可以向其他服務(serviceTER)前進,其中可以從用戶那里請求適當?shù)氖召M、登錄或者許可數(shù)據(jù)。
然后,當授權模塊已經處理了(最好根據(jù)服務過濾器)用戶和服務的有效策略,并且已經確定了上述結果之一時允許訪問,斷開或者其他服務(serviceTER)正連接,授權模塊把相應的響應返回給(S-616)應用網關模塊(2)。所述應用網關模塊由此把服務請求向負責新表明的服務(serviceTER)的服務器路由(S-617),所述服務器特別是如前所述的相同的服務器(5),并且所述服務器向用戶(9)提供(S-618,S-619)適用于所請求的服務的內容。
一般說來,并且適用于其它比上述一個例子更加復雜的服務,從授權模塊到應用網關模塊的響應(S-616)包括至少一個從如下內容中選出的元素可以是最初接收或者修改的服務標識符;進一步用于在有效SCSM情況的狀態(tài)‘服務有效’內準備服務過濾器‘信息-分析’(SF-2)的多個新消息字段標識符和/或新的相應值(Analyse-Info-SF-value);進一步用于在有效SCSM情況的狀態(tài)‘服務有效’內準備服務過濾器‘注銷’(SF-31)的多個新消息字段標識符和/或新的相應值(logout-SF-value);以及用于通過重寫先前暫停值來動態(tài)地準備早已準備的服務過濾器‘暫停’(SF-32)的新的暫停值(Timeout-value)。
圖7中舉例說明了第三使用情況,還參考圖2。就圖6示出的第二使用情況而言,此第三使用情況從來自用戶的后續(xù)服務請求(S-610,S-611)和同一服務遞送過程內的內容遞送(S-612,S-613)的示例性啟用開始,服務請求和內容遞送都包括給定的有效服務會話標識符(Service_Context_ID),其用于所述服務遞送過程內的相關性目的。
在圖7中舉例說明的這種第三使用情況中,用戶(9)通過發(fā)送(S-714)表明期望注銷(請求的serviceLOGOUT)的服務請求來明確地啟動注銷。
當在應用網關模塊(AGM)(2)處接收這種注銷請求(S-714)時,發(fā)現(xiàn)服務過濾器‘注銷-請求’(SF-31)是有效的,并且因此利用此過濾器所表明的值(Logout-SF-value),把這種事件通知(S-715)給AM(3),其中所述服務過濾器‘注銷-請求’是先前在授權過程期間、或者在先前服務請求期間,當接收來自授權模塊(AM)(3)的相應指示時,在AGM(2)處并于相應SCSM情況內準備的。因此,這種事件的通信包括從如下內容中選出的至少一個元素例如HTTP的使用協(xié)議;例如POST的消息類型;例如請求的URI的請求服務;用戶標識符;服務會話標識符(Service_Context_ID)以及可能檢測到的服務過濾器。
當接收到這種請求時,AM(3)中的SPSM情況執(zhí)行從‘有效服務’狀態(tài)到‘斷開服務’狀態(tài)的變換。所述服務會話標識符(Service_Context_ID)被刪除,并且所述SPSM情況消失。響應被返回(S-716)至AGM(2),并且在SCSM情況下還出現(xiàn)從‘有效服務’狀態(tài)到‘斷開服務’狀態(tài)的變換,并且在SCSM情況下刪除對當前服務會話標識符(Service_Context_ID)的參考。
如果這種通信被請求,那么AGM(2)中的SCSM等待來自AM的指令(S-716)。否則,如果通知,那么在‘有效服務’和‘斷開服務’狀態(tài)之間,在SCSM情況下執(zhí)行變換狀態(tài),而不等待確認。
根據(jù)單個服務遞送過程的特殊特征,用戶注銷可以被通知(S-717)給負責服務(5)的服務器,其可以向用戶遞送(S-718,S-719)最終內容,諸如一種‘再見’頁面。
圖8中舉例說明了第四使用情況,還參考圖2。如先前情況那樣,此第四使用情況從來自用戶的后續(xù)服務請求(S-610,S-611)和具有有效服務會話標識符(Service_Context_ID)的同一服務遞送過程內的內容遞送(S-612,S-613)的示例性啟用開始。
在此使用情況期間,用戶(5)已經與服務(5)連接,并且具有分配的服務會話標識符(Service_Context_ID),但是用戶在很長時間段內沒有訪問服務。在這種閑置周期期間,閑置的定時器在運行,并且當期滿時,服務過濾器‘暫停’對于應用網關模塊(AGM)(2)處的有效SCSM情況被觸發(fā)。然后,AGM(2)通信這種事件,即沒有消息穿過具有給定服務會話標識符(Service_Context_ID)的AGM到達授權模塊(AM)(3),這種通信(S-815)包括從如下內容中選出的至少一個元素給定服務會話標識符(Service_Context_ID);以及檢測到的服務過濾器‘暫?!?。
當接收到這種通信時,在授權模塊(3)處的相關SPSM情況執(zhí)行向狀態(tài)‘斷開服務’的變換,刪除對給定服務會話標識符(Service_Context_ID)的參考,并且向應用網關模塊(AGM)(2)返回相應的確認(S-816)。當接收到這種響應時,AGM處的SCSM情況從‘有效服務’狀態(tài)進入‘斷開服務’狀態(tài),并且還刪除對給定服務會話標識符(Service_Context_ID)的參考。
以所述刪除的服務會話標識符(Service_Context_ID)從用戶(5)那里接收任何進一步的服務請求,返回(S-819)可能表明暫停期滿或者不授權服務請求(Unauthorised)的其它理由的否定回答。
圖9中舉例說明了第五使用情況,還參考圖2。如先前情況那樣,此第五使用情況從來自用戶的后續(xù)服務請求(S-610,S-611)和具有有效服務會話標識符(Service_Context_ID)的同一服務遞送過程內的內容遞送(S-612,S-613)的示例性啟用開始。
這種示例性使用情況提供了一種機構,借此所述服務網絡運營者可以隨時略去服務進程。因此,在授權模塊(AM)(3)中提供了用于設置運營者策略的裝置,其可以是全局有效的并且以每一用戶以及每一服務為基礎,其允許運營者經由授權模塊(3)中的控制裝置來停止授權服務的進程。依照上文就先前使用情況早已介紹的當前優(yōu)選的實施例,這些策略可以根據(jù)全局服務過濾器來實現(xiàn),所述全局服務過濾器可以作為具有特殊屬性并且可歸因于特殊SPSM情況的個人服務過濾器的例子。此外,還依照上文早于介紹的另一實施例,可以通過具有處理裝置來進行這些策略,所述處理裝置用于確定已經被允許完成服務遞送的用戶目前是否可以繼續(xù)這種服務。換言之,由于在授權模塊(AM)(3)應用了這些策略的至少一個,所以一旦在狀態(tài)‘有效服務’和‘斷開服務’之間于相應SPSM情況下進行變換,就可以對應用網關模塊(AGM)(2)觸發(fā)強制的注銷或者服務斷開,并且所述SPSM情況和服務會話標識符(Service_Context_ID)被終止。然后,圖9舉例說明了AM(3)如何向AGM(2)發(fā)送斷開請求(S-908),其中所述AGM包括從用戶標識符和服務會話標識符(Service_Context_ID)中選出的至少一個元素。
當在AGM(2)處接收到(S-908)所述斷開請求時,通過使用給定服務會話標識符(Service_Context_ID)來識別SCSM情況,在所述SCSM情況下進行狀態(tài)‘有效服務’和‘斷開服務’之間的變換,所述SCSM情況和給定服務會話標識符(Service_Context_ID)以及其參考都被刪除,并且把響應返回(S-909)到授權模塊(3)。正如在先前使用情況下那樣,以最近終止的服務會話標識符(Service_Context_ID)從用戶那里接收(S-910)任何其它服務請求,返回(S-819)可能表明服務完成(Unauthorised)理由的否定回答。
除上述使用情況之外,其它應用服務器(7;8)和提供系統(tǒng)(任何附圖中未示出)也可以與授權模塊(3)聯(lián)網以便按照以非窮舉方式在下文列出的方式來執(zhí)行動作讀取與給定服務會話標識符識別的特定服務情況相關聯(lián)的數(shù)據(jù),所述情況即SPSM情況或者SCSM情況,所述數(shù)據(jù)包括所述特殊服務情況內的有效服務過濾器的數(shù)據(jù);請求斷開由給定服務會話標識符識別的特殊服務情況,借此,授權模塊(3)當出現(xiàn)此消息時向應用網關模塊(2)發(fā)送斷開請求;以及根據(jù)從如下內容中選出的至少一個元素來提供適用于給定服務過濾器的新值,所述至少一個元素是要匹配的多個標準以及匹配時要實現(xiàn)的多個動作,與給定服務會話標識符識別的給定服務情況相關聯(lián),所述服務情況是SPSM情況或者SCSM情況,或者是這兩者。
以數(shù)據(jù)或以狀態(tài)為基礎、希望與授權模塊(3)聯(lián)網以便實現(xiàn)符合服務情況的動作的那些應用服務器(7;8)或者提供系統(tǒng)需要服務會話標識符(Service_Context_ID)以便識別所述服務情況。
此后依照示例性的方式來描述圖2中主要舉例說明的多個基本使用情況,以便更好地示出如何在服務網絡(20)內驗證用戶對服務的使用。
驗證機構的第一使用情況例如可以是一種由服務網絡運營者(20)提供服務、但是由第三方服務供應商(30)采納的‘實時收費’。在這方面,運營者負責因服務使用而向用戶收費,然而,這種服務使用的信息來自第三方服務供應商(SP)。運營者需要確信將付費的用戶當前正訪問此服務。為此,在運營者和服務供應商狀態(tài)之間標記的服務級協(xié)議(SLA)聲明始終包括在于用戶(1;9)和服務服務器(5;6)之間交換(I-1x;I-2x;I-4x)的那些應用消息內的已分配服務會話標識符(Service_Context_ID)還包括在消息(I-6x)中,其中所述消息(I-6x)從服務供應商發(fā)送到運營者的收費系統(tǒng)(8)并且影響其中的收費記錄。此服務會話標識符(Service_Context_ID)用來詢問(I-8x)授權模塊(3)以便檢驗并且確信給定的服務會話標識符(Service_Context_ID)屬于有效的服務情況。如果發(fā)現(xiàn)用戶帳戶取盡,那么收費系統(tǒng)(8)可以觸發(fā)用戶對授權模塊(3)的斷開請求,并且后者最好向應用網關模塊(2)應用上文在先前通用情況下所述的類似程序。收費系統(tǒng)(8)、授權模塊(3)以及應用網關模塊(2)都利用給定的服務會話標識符(Service_Context_ID)來識別所涉及的服務情況,即SPSM情況和SCSM情況。
驗證機構的第二使用情況例如可以是由第三方服務供應商(30)對屬于服務網絡(20)的服務許可方(7)的使用。在這方面,所述服務網絡運營者可以具有利用第三方服務供應商標記的服務級協(xié)議(SLA),以便允許后者只有當用戶訪問要求由所述服務許可方提供的特征的服務時才利用服務許可方。因此,所述服務網絡運營者要求從服務供應商(5)向服務許可方(7)的詢問(I-5x)始終包括服務會話標識符(Service_Context_ID),以便識別所涉及的服務情況,即SPSM情況或者SCSM情況或者它們兩者。依照與先前驗證機構類似的方式,服務許可方利用所述服務會話標識符(Service_Context_ID)來詢問(I-7x)授權模塊(3)以便檢驗并且確信給定的服務會話標識符(Service_Context_ID)屬于有效服務情況。
上文結合例證性的而非限制性的各種實施例描述了申請人的發(fā)明。可以預期的是,本領域普通技術人員可以修改這些實施例。申請人的發(fā)明的范圍由權利要求書連同說明書和附圖一起來定義,并且屬于這些權利要求保護范圍的所有修改都視為包括在其中。
權利要求
1.一種適用于電信系統(tǒng)的應用網關模塊(2),其中服務網絡(20)驗證用戶(1;9)并且授權用戶訪問由服務供應商(30)提供的服務(5;6),所述應用網關模塊(2)被設置為用于截聽(I-2,I-4;I-2x,I-4x)用戶和服務之間的應用消息并且用于識別所述用戶和所述服務,并且包括用于獲得是否允許用戶訪問服務的授權判定(I-3;I-3x)的裝置;所述應用網關模塊(2)的特征在于,其包括用于分配服務會話標識符(Service_Context_ID)的裝置,所述服務會話標識符用于識別在用戶和服務之間交換的那些應用消息,以及屬于向所述用戶授權的同一服務遞送;用于配置第一有限狀態(tài)機(SCSM)的裝置,所述第一有限狀態(tài)機具有用于識別服務遞送中的特定事件的多個狀態(tài),其中服務進展能夠得以控制;以及用于激活適用于所述特定事件的服務策略(SF)并且產生狀態(tài)變遷的裝置。
2.如權利要求1所述的應用網關模塊,其中用于分配服務會話標識符(Service_Context_ID)的裝置包括,用于啟動第一有限狀態(tài)機(SCSM)的特定示例的裝置,所述特定情況是由已分配的服務會話標識符(Service_Context_ID)識別的。
3.如權利要求2所述的應用網關模塊,其中用于激活服務策略(SF)的裝置包括用于設置至少一個元素的裝置,所述元素是從非窮舉的參考和屬性列表中選出的,所述列表包括要匹配的一些消息字段值、匹配時要執(zhí)行的一些特定動作、要運行的一些定時值以及要監(jiān)控的一些事務。
4.如權利要求2所述的應用網關模塊,其中用于激活服務策略(SF)的裝置包括,用于激活獨立于進程中任何服務遞送的全局服務策略的裝置。
5.如權利要求2所述的應用網關模塊,其中用于激活服務策略(SF)的裝置包括,用于啟動全局服務策略的示例,以便用作第一有限狀態(tài)機(SCSM)的特定示例中的單個服務策略的裝置,所述單個服務策略繼承來自全局服務策略的參考和屬性。
6.如權利要求5所述的應用網關模塊,還包括用于在第一有限狀態(tài)機(SCSM)的特定示例內處理的服務進程期間,利用新的參考和屬性重寫單個服務策略的參考和屬性的裝置。
7.如權利要求5所述的應用網關模塊,其中把特定狀態(tài)與第一有限狀態(tài)機(SCSM)的特定示例中的多個單個服務策略(SF-31;SF-32)相關聯(lián),所述示例是由給定的服務會話標識符(Service_Context_ID)識別的。
8.如權利要求2所述的應用網關模塊,其中用于獲得授權判定的裝置包括用于請求來自如權利要求15所述的授權模塊(3)的服務授權的裝置。
9.如權利要求8所述的應用網關模塊,其中用于激活服務策略(SF)的裝置包括用于從授權模塊(3)接收應用于設置服務策略的至少一個元素的裝置,所述元素是從非窮舉的參考和屬性列表中選出的,所述列表包括要匹配的一些消息字段值、匹配時要執(zhí)行的一些特定動作、要運行的一些定時值以及要監(jiān)控的一些事務。
10.如權利要求8所述的應用網關模塊,其中用于激活服務策略(SF)的裝置包括用于接收來自授權模塊(3)的全局服務策略的裝置。
11.如權利要求8所述的應用網關模塊,還包括用于接收來自授權模塊(3)的參考和屬性的裝置,所述參考和屬性適用于在第一有限狀態(tài)機(SCSM)的特定示例內處理的服務進程期間,利用新的參考和屬性重寫單個服務策略。
12.如權利要求8所述的應用網關模塊,還包括用于通知授權模塊(3)服務進程中的特定事件的裝置。
13.如權利要求8所述的應用網關模塊,還包括用于從授權模塊(3)請求進一步處理,來確定適當動作以便把服務進程進行下去的裝置。
14.如權利要求13所述的應用網關模塊,還包括用于接收來自授權模塊(3)的從如下內容選出的指令的裝置,包括沒有限制的授權訪問、另一服務(serviceTER)來替代所請求的先前服務(serviceBIS)、強制注銷和狀態(tài)變遷指示。
15.一種適用于電信系統(tǒng)的授權模塊(3),其中服務網絡(20)驗證用戶(1;9)并且授權用戶訪問由服務供應商(30)提供的服務(5;6),所述授權模塊被設置為用于判斷是否允許用戶(1;9)訪問服務(5;6),并且包括用于接收來自如權利要求1所述的應用網關模塊(2)的服務授權請求(S-511)的裝置;以及用于向應用網關模塊(2)返回關于是否允許用戶(1;9)訪問所請求的服務(5;6)的裝置;所述授權模塊(3)的特征在于,其包括用于生成服務會話標識符(Service_Context_ID)的裝置,所述服務會話標識符用于使用戶和服務之間交換的那些應用消息相關,并且屬于向所述用戶授權的同一服務遞送;用于配置第二有限狀態(tài)機(SPSM)的裝置,所述第二有限狀態(tài)機具有用于識別服務進程中的特定事件的多個狀態(tài),其中所述授權模塊能夠在應用網關模塊上操作,以便控制所述服務進程;以及用于確定適用于所述特定事件的服務策略(SF)并且產生狀態(tài)變換的裝置。
16.如權利要求15所述的授權模塊,其中用于生成服務會話標識符(Service_Context_ID)的裝置包括,用于在返回到應用網關模塊(2)的是否允許用戶(1;9)訪問所請求的服務(5;6)的響應(S-512)中包括所述服務會話標識符(Service_Context_ID)的裝置。
17.如權利要求16所述的授權模塊,其中用于生成服務會話標識符(Service_Context_ID)的裝置包括,用于啟動第二有限狀態(tài)機(SPSM)的特定示例的裝置,所述特定示例是由所述服務會話標識符(Service_Context_ID)識別的。
18.如權利要求17所述的授權模塊,其中把特定狀態(tài)與第二有限狀態(tài)機(SPSM)的特定示例中的多個服務策略相關聯(lián),所述示例是由給定的服務會話標識符(Service_Context_ID)識別的。
19.如權利要求15所述的授權模塊,其中用于確定服務策略(SF)的裝置包括,用于把至少一個信息元素包括到指向應用網關模塊(2)的響應(S-512)中,以便激活應用網關模塊中的特定狀態(tài)內的服務策略(SF-2)的裝置,所述至少一個信息元素是從非窮舉的參考和屬性列表中選出的,所述列表包括要匹配的多個消息字段值(Analyse-Info-SF-value;Logout-SF-value);當匹配給定消息字段值時要執(zhí)行的一組動作;要運行的多個新的定時器值(暫停-值);以及要監(jiān)控的多個事務。
20.如權利要求19所述的授權模塊,其中用于把至少一個信息元素歸入指向網關模塊(2)的響應(S-512),以便激活服務策略的裝置包括,用于表明這是一個獨立于任何服務遞送在進程中應用的全局服務策略的裝置。
21.如權利要求16所述的授權模塊,還包括用于接收來自如權利要求1所述的應用網關模塊(2)的,表明在服務進程中檢測到的特定事件的通知的裝置。
22.如權利要求16所述的授權模塊,還包括用于接收來自如權利要求1所述的應用網關模塊(2)的請求的裝置,所述請求要求繼續(xù)執(zhí)行服務進程的命令。
23.如權利要求22所述的授權模塊,還包括用于向應用網關模塊(2)發(fā)送從如下內容選出的指令的裝置,包括沒有限制的授權訪問、另一服務(serviceTER)來替代所請求的先前服務(serviceBIS)、強制注銷和狀態(tài)變換指示。
24.如權利要求16所述的授權模塊,還包括用于接收來自至少一個實體的應用消息(I-7x;I-8x)的裝置,所述實體是從多個應用服務器(7;8)和提供系統(tǒng)中選出的,所述應用消息包括用于識別授權模塊(3)中的第二有限狀態(tài)機(SPSM)的特定示例的給定服務會話標識符(Service_Context_ID)。
25.一種用于授權服務網絡(20)的用戶(1;9)訪問由服務供應商(30)的服務服務器(5;6)提供的服務,所述用戶(1;9)已經由服務網絡進行驗證,所述服務器(5;6)被設置為通過與用戶(1;9)交換多個應用消息來遞送包括多個事務的服務,并且所述方法包括如下步驟獲得關于是否允許用戶訪問服務的第一授權判定(I-3;I-3x);所述方法的特征在于,其包括如下步驟生成并且分配服務會話標識符(Service_Context_ID),所述服務會話標識符用于識別在用戶和服務之間交換的那些應用消息,并且屬于向所述用戶授權的同一服務遞送;配置至少一個有限狀態(tài)機(SCSM;SPSM),所述有限狀態(tài)機具有用于識別服務遞送中的特定事件的多個狀態(tài),其中服務進展能夠得以控制;并且激活適用于所述特定事件的服務策略(SF)并且產生狀態(tài)變換。
26.如權利要求25所述的方法,其中用于生成并且分配服務會話標識符(Service_Context_ID)的步驟包括,用于啟動至少一個有限狀態(tài)機(SPSM;SCSM)的特定示例的步驟,所述特定示例是由已分配的服務會話標識符(Service_Context_ID)識別的。
27.如權利要求26所述的方法,其中把至少一個有限狀態(tài)機(SCSM;SPSM)的特定示例中的特殊狀態(tài)與多個服務策略(SF-1;SF-2;SF-31;SF-32)相關聯(lián)。
28.如權利要求25所述的方法,其中用于激活服務策略(SF)的步驟包括,用于設置至少一個元素的步驟,所述元素是從非窮舉的參考和屬性列表中選出的,包括要匹配的多個消息字段值、匹配時要執(zhí)行的多個特定動作、要運行的多個定時值以及要監(jiān)控的多個事務。
29.如權利要求25所述的方法,還包括用于在服務網絡(20)接收在從服務供應商(30)的多個服務服務器(5;6)和多個提供系統(tǒng)實體中選出的實體發(fā)起的應用消息的步驟,所述應用消息包括,用于識別至少一個有限狀態(tài)機(SCSM;SPSM)的特定示例的給定服務會話標識符(Service_Context_ID)。
30.如權利要求25所述的方法,其中用于配置至少一個有限狀態(tài)機的步驟包括,用于配置如權利要求1所述的應用網關模塊(2)中的第一有限狀態(tài)機(SCSM)的步驟,以及用于配置如權利要求15所述的授權模塊(3)中的第二有限狀態(tài)機(SPSM)的步驟。
全文摘要
目前,對于大多數(shù)現(xiàn)有服務而言,用于授權服務網絡運營者的用戶訪問由第三方服務供應商提供的服務的現(xiàn)有機構是基于請求和回答來進行的,但是對于服務遞送隱含多個事務的那些交易服務而言,現(xiàn)有技術在允許運營者完全控制服務進程方面呈現(xiàn)出嚴重的局限性。為了克服這種局限性,本發(fā)明提供了用于在用戶正在使用由第二域提供的所述服務的同時、在已經授權所述服務的第一域控制要求了多個事務的服務進程的裝置和方法,并且本發(fā)明提供了用于驗證服務網絡運營者和服務供應商之間服務的使用的驗證機構。
文檔編號H04L29/06GK1860760SQ200380110588
公開日2006年11月8日 申請日期2003年10月24日 優(yōu)先權日2003年10月24日
發(fā)明者S·費爾南德斯-阿隆索, V·M·阿維拉貢扎萊斯 申請人:艾利森電話股份有限公司