專利名稱:透明地驗(yàn)證訪問web服務(wù)的移動(dòng)用戶的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種用于對(duì)于分組數(shù)據(jù)網(wǎng)絡(luò)(例如����,互聯(lián)網(wǎng))識(shí)別第一網(wǎng)絡(luò)的訂戶的驗(yàn)證方法和系統(tǒng)。具體說(shuō)來(lái)��,開發(fā)本發(fā)明以便通過使用與移動(dòng)網(wǎng)絡(luò)中的訂戶相關(guān)的訂戶標(biāo)識(shí)���,而將本發(fā)明用于對(duì)分組數(shù)據(jù)網(wǎng)絡(luò)驗(yàn)證移動(dòng)網(wǎng)絡(luò)的訂戶的過程�����。
背景技術(shù):
從遠(yuǎn)程位置訪問專用或公共分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)(例如����,互聯(lián)網(wǎng))的用戶數(shù)量正在急劇增長(zhǎng)。此外�,不管人們?cè)谑裁次恢茫上蛩麄兲峁┒嗝襟w服務(wù)的景象推動(dòng)了使用分組交換連接(例如����,使用互聯(lián)網(wǎng)協(xié)議(IP))的蜂窩網(wǎng)絡(luò)的發(fā)展,其中��,使用分組交換連接意味著虛擬連接總是可用于網(wǎng)絡(luò)中的任意其它端點(diǎn)��?�;诜纸M的無(wú)線通信服務(wù)的標(biāo)準(zhǔn)包括通用分組無(wú)線業(yè)務(wù)(GPRS)���、用于GSM演進(jìn)的增強(qiáng)數(shù)據(jù)率(EDGE)以及通用移動(dòng)電信服務(wù)(UMTS)���。
近來(lái)���,由于成本的降低以及連接性能前所未有的增強(qiáng),在用戶室內(nèi)安裝了越來(lái)越多的高速數(shù)據(jù)通信系統(tǒng)�����。作為示例���,這些數(shù)據(jù)通信系統(tǒng)工作于公共交換電話網(wǎng)絡(luò)(PSTN)的相同銅雙絞線上,以便連接到互聯(lián)網(wǎng)����。盡管通過普通電話線的互聯(lián)網(wǎng)連接還可使用其它高速調(diào)制解調(diào)器,但是所述互聯(lián)網(wǎng)連接通常通過數(shù)字訂戶線路(DSL)接入技術(shù)來(lái)進(jìn)行���。DSL使用專門的調(diào)制解調(diào)器�����,以便通過用于將電話服務(wù)帶入家庭的標(biāo)準(zhǔn)銅線實(shí)現(xiàn)訂戶的家庭與最近電話中心局之間的高速數(shù)據(jù)傳送����。存在若干種DSL通信方案(通常稱為xDSL技術(shù))���,但是商業(yè)上可用的最普通形式之一是ADSL(異步DSL)��,其中�����,下行(到訂戶)數(shù)據(jù)率比上行(來(lái)自訂戶)數(shù)據(jù)率快幾倍���。
近年來(lái)受到關(guān)注的另一接入技術(shù)是光纖到戶(FTTH)的高速寬帶接入系統(tǒng)�����,其中�,光纖從電話交換機(jī)進(jìn)入訂戶的室內(nèi)�����。
在短程無(wú)線互聯(lián)網(wǎng)連接中��,具有內(nèi)置無(wú)線性能的計(jì)算機(jī)或手持設(shè)備(例如����,PDA)使用無(wú)線電技術(shù)在接入點(diǎn)或網(wǎng)關(guān)內(nèi)的任何地方發(fā)送和接收數(shù)據(jù),其中,所述接入點(diǎn)或網(wǎng)關(guān)充當(dāng)廣播和接收基站并充當(dāng)無(wú)線網(wǎng)絡(luò)與有線網(wǎng)絡(luò)之間的接口�。例如,無(wú)線裝置與接入點(diǎn)之間的無(wú)線電技術(shù)可基于IEEE 802.11標(biāo)準(zhǔn)(Wi-Fi規(guī)范)或IEEE 802.16標(biāo)準(zhǔn)(WiMAX規(guī)范)�����。
寬帶接入技術(shù)使得服務(wù)運(yùn)營(yíng)商能夠擴(kuò)展他們提供給商業(yè)用戶和家庭用戶兩者的內(nèi)容和服務(wù)�����。例如�,用戶可向一個(gè)或多個(gè)服務(wù)運(yùn)營(yíng)商預(yù)訂多種服務(wù)或應(yīng)用�����,諸如語(yǔ)音服務(wù)��、互聯(lián)網(wǎng)訪問服務(wù)�����、視頻服務(wù)����、游戲服務(wù)等。可通過諸如DSL線路的單個(gè)網(wǎng)絡(luò)連接來(lái)傳遞可經(jīng)由專用或公共PDN(例如��,互聯(lián)網(wǎng))提供的這些服務(wù)和/或應(yīng)用�����。
另一方面,數(shù)量持續(xù)增長(zhǎng)的可在PDN上提供的服務(wù)在諸如按每次會(huì)話付費(fèi)的情況下�,僅準(zhǔn)許授權(quán)用戶對(duì)需要訂閱的服務(wù)或者根據(jù)其用戶的簡(jiǎn)檔定制的服務(wù)進(jìn)行訪問。某些傳統(tǒng)驗(yàn)證程序使用密碼(例如����,通過自動(dòng)裝置識(shí)別的字符串)����,其允許用戶訪問受保護(hù)的文件或輸入/輸出裝置。
申請(qǐng)人考慮了以下內(nèi)容��。首先����,對(duì)于用戶,基于密碼的驗(yàn)證系統(tǒng)必然是不透名的���,所述用戶當(dāng)進(jìn)入服務(wù)時(shí)必須輸入他的密碼���。當(dāng)用戶想要在會(huì)話期間訪問多個(gè)服務(wù)時(shí)���,上述處理就變得特別不方便。其次����,盡管密碼在技術(shù)上易于實(shí)現(xiàn),但是由于密碼易被復(fù)制或盜用�����,所以密碼容易泄漏�����。
移動(dòng)通信系統(tǒng)控制由相應(yīng)于授權(quán)用戶的移動(dòng)基站使用的網(wǎng)絡(luò)的資源���。在傳統(tǒng)的全球移動(dòng)通信系統(tǒng)(GSM)中,移動(dòng)站(MS)包括訂戶標(biāo)識(shí)模塊(SIM)���,所述用戶標(biāo)識(shí)模塊包含訂戶的信息��,所述信息包括用于允許MS訪問GSM系統(tǒng)的網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)的數(shù)據(jù)���。由于SIM提供識(shí)別各個(gè)用戶的唯一手段���,所以可將SIM看作安全裝置;所述SIM使用密碼和固有計(jì)算性能來(lái)存儲(chǔ)秘密信息�,所述秘密信息決不會(huì)在外部以原始形式被泄漏。
在傳統(tǒng)GSM網(wǎng)絡(luò)系統(tǒng)中���,幾個(gè)數(shù)據(jù)庫(kù)可用于呼叫控制以及驗(yàn)證和安全目的����,所述數(shù)據(jù)庫(kù)典型地為歸屬位置寄存器(HLR)��、拜訪位置寄存器(VLR)�����、驗(yàn)證中心(AU)和設(shè)備標(biāo)識(shí)寄存器(EIR)����。對(duì)于向網(wǎng)絡(luò)運(yùn)營(yíng)商注冊(cè)的所有用戶,永久數(shù)據(jù)(諸如用戶的簡(jiǎn)檔)以及臨時(shí)數(shù)據(jù)(諸如用戶的當(dāng)前位置)被存儲(chǔ)在HLR中�。在對(duì)用戶進(jìn)行呼叫的情況下,總是首先查詢HLR以確定用戶的當(dāng)前位置�。VLR負(fù)責(zé)一組位置區(qū)域��,并存儲(chǔ)當(dāng)前處于其負(fù)責(zé)的區(qū)域的那些用戶的數(shù)據(jù)���。這其中包括部分永久用戶數(shù)據(jù),這些數(shù)據(jù)已經(jīng)被從HLR發(fā)送到VLR以進(jìn)行更快的訪問�。但是所述VLR還可分配并存儲(chǔ)諸如臨時(shí)標(biāo)識(shí)的本地?cái)?shù)據(jù)。AUC產(chǎn)生并存儲(chǔ)與安全性有關(guān)的數(shù)據(jù)(諸如用于驗(yàn)證和加密的密鑰)�����,而EIR注冊(cè)設(shè)備數(shù)據(jù)�����,而不是訂戶數(shù)據(jù)�。
GSM明確地在用戶與設(shè)備之間進(jìn)行區(qū)分并分別處理他們。已定義若干訂戶和設(shè)備標(biāo)識(shí)符��;需要它們來(lái)管理訂戶移動(dòng)性并對(duì)所有留有的網(wǎng)絡(luò)部件進(jìn)行尋址�。國(guó)際移動(dòng)站設(shè)備標(biāo)識(shí)(IMEI)作為一種序列號(hào)�����,唯一地識(shí)別國(guó)際間的移動(dòng)站(MS)�。由設(shè)備制造商分配IMEI���,并由網(wǎng)絡(luò)運(yùn)營(yíng)商將其注冊(cè),所述網(wǎng)絡(luò)運(yùn)營(yíng)商將IMEI存儲(chǔ)在EIR中��。每個(gè)注冊(cè)的用戶(即���,訂戶)由它的國(guó)際移動(dòng)訂戶標(biāo)識(shí)(IMSI)唯一識(shí)別��。所述IMSI典型地存儲(chǔ)于SIM中����。只有將具有有效IMSI的SIM插入具有有效IMEI設(shè)備��,MS才可操作���。移動(dòng)站的“實(shí)際電話號(hào)碼”是移動(dòng)訂戶ISDN號(hào)(MSISDN)��。將所述移動(dòng)訂戶ISDN號(hào)分配給訂戶(即���,他或她的SIM),從而移動(dòng)站裝置可具有若干取決于SIM的MSISDN�����。
通用分組無(wú)線業(yè)務(wù)(GPRS)是為數(shù)字蜂窩網(wǎng)絡(luò)(例如,GSM或個(gè)人通信服務(wù)-PCS)設(shè)計(jì)的服務(wù)�,其最初針對(duì)GSM而開發(fā)。GPRS大大提高并簡(jiǎn)化了對(duì)分組數(shù)據(jù)網(wǎng)絡(luò)(例如���,對(duì)互聯(lián)網(wǎng))的無(wú)線訪問�����。GPRS應(yīng)用分組無(wú)線電原理��,以在移動(dòng)站與外部分組數(shù)據(jù)網(wǎng)絡(luò)之間通過有效的方式來(lái)傳送用戶數(shù)據(jù)包���。可直接將用戶數(shù)據(jù)包從GPRS移動(dòng)站路由到其它GPRS終端或PDN��,或者直接將用戶數(shù)據(jù)包從所述其它GPRS終端或PDN路由到所述GPRS移動(dòng)站�����。在當(dāng)前版本的GPRS中支持基于互聯(lián)網(wǎng)協(xié)議(IP)的網(wǎng)絡(luò)(例如�,全球互聯(lián)網(wǎng)或?qū)S?公司內(nèi)聯(lián)網(wǎng))。
GPRS對(duì)網(wǎng)絡(luò)資源和無(wú)線電資源的使用進(jìn)行優(yōu)化����,并且不掌管對(duì)安裝的GSM基礎(chǔ)結(jié)構(gòu)的移動(dòng)交換中心(MSC)基站的改變。為了結(jié)合到現(xiàn)有GSM體系結(jié)構(gòu)�����,GPRS體系結(jié)構(gòu)通常包括網(wǎng)關(guān)GPRS支持節(jié)點(diǎn)(GGSN)和服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)����。位于與MSC相同分層級(jí)別的GGSN充當(dāng)?shù)街T如互聯(lián)網(wǎng)的其它分組數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)關(guān)。SGSN是服務(wù)節(jié)點(diǎn)���,其實(shí)現(xiàn)到啟用GPRS的移動(dòng)裝置的虛擬連接并能夠傳遞數(shù)據(jù)��。SGSN將數(shù)據(jù)發(fā)送到移動(dòng)站��,從移動(dòng)站接收數(shù)據(jù)��,并保存關(guān)于移動(dòng)站(MS)的位置的信息��。SGSN在MS與GGSN之間通信���。
GPRS安全性功能典型地等同于現(xiàn)有GSM安全性。SGSN基于與現(xiàn)有GSM中相同的算法����、密鑰和準(zhǔn)則來(lái)執(zhí)行驗(yàn)證和密碼設(shè)置程序�����。GPRS使用針對(duì)分組數(shù)據(jù)傳輸優(yōu)化的密碼算法�。
為了在成功附 GPRS之后與外部PDN交換數(shù)據(jù)包�����,MS必須申請(qǐng)一個(gè)或多個(gè)在PDN中使用的地址����,例如,在PDN是IP網(wǎng)絡(luò)的情況下�,MS必須申請(qǐng)IP地址。所述地址被稱為PDP地址(分組數(shù)據(jù)協(xié)議地址)����。對(duì)于每個(gè)會(huì)話,創(chuàng)建所謂的PDP語(yǔ)境���,其描述會(huì)話的特征�。其包含PDP類型(例如�,IPv4)、請(qǐng)求的服務(wù)質(zhì)量(QoS)以及用作到PDN的訪問點(diǎn)的GGSN的地址。將所述語(yǔ)境存儲(chǔ)在MS��、SGSN和GGSN中�����。在活動(dòng)PDP語(yǔ)境下���,移動(dòng)站對(duì)于外部PDN“可視”,并且移動(dòng)站能夠發(fā)送和接收數(shù)據(jù)包���。所述兩個(gè)地址���,PDP與IMSI之間的映射使得GGSN能夠在PDN與MS之間傳送數(shù)據(jù)包。用戶可以在給定時(shí)間使若干同時(shí)的PDP語(yǔ)境處于活動(dòng)狀態(tài)��。
第01/67716號(hào)WO專利申請(qǐng)描述了一種將移動(dòng)終端的MSISDN號(hào)與臨時(shí)分配的IP地址關(guān)聯(lián)以在無(wú)線應(yīng)用協(xié)議(WAP)網(wǎng)絡(luò)中用于驗(yàn)證�、計(jì)費(fèi)和個(gè)性化處理的方法。
第01/03402號(hào)WO專利申請(qǐng)描述了一種用于在第二網(wǎng)絡(luò)(例如��,IP網(wǎng)絡(luò))中識(shí)別第一網(wǎng)絡(luò)(即�����,GPRS網(wǎng)絡(luò))的訂戶的方法,其中��,將第二網(wǎng)絡(luò)的地址分配給訂戶�����。產(chǎn)生關(guān)于第二網(wǎng)絡(luò)的地址(例如����,IP地址)與訂戶的標(biāo)識(shí)之間的映射的信息,并將所述信息發(fā)送到第二網(wǎng)絡(luò)�。所述訂戶的標(biāo)識(shí)可以是訂戶的IMSI和/或MSISDN。
申請(qǐng)人已注意到通過將訂戶的標(biāo)識(shí)關(guān)聯(lián)到IP地址來(lái)驗(yàn)證對(duì)IP網(wǎng)絡(luò)的訪問通常容易受到IP包的電子欺騙�����,其允許互聯(lián)網(wǎng)上的入侵者有效地冒充本地系統(tǒng)的IP地址����。此外,所述兩個(gè)網(wǎng)絡(luò)應(yīng)該直接連接(利用可行的可路由專用IP地址)���,或者它們需要兼容的地址規(guī)劃�。
第01/17310號(hào)WO專利申請(qǐng)描述了一種用于通過應(yīng)用GSM安全性原理來(lái)驗(yàn)證請(qǐng)求訪問PDN的用戶的系統(tǒng)�����。經(jīng)由接入網(wǎng)絡(luò)將遠(yuǎn)程主機(jī)連接到PDN,將MS耦合到與PDN連接的移動(dòng)網(wǎng)絡(luò)���。響應(yīng)于接收對(duì)PDN的用戶請(qǐng)求�����,PDN產(chǎn)生驗(yàn)證令牌,并經(jīng)由接入網(wǎng)絡(luò)和遠(yuǎn)程主機(jī)將所述驗(yàn)證令牌發(fā)送到用戶����,所述用戶通過移動(dòng)網(wǎng)絡(luò)將驗(yàn)證令牌發(fā)送回PDN,其中�����,PDN比較驗(yàn)證令牌��,以確定是否準(zhǔn)許用戶訪問PDN�。
申請(qǐng)人注意到公開的驗(yàn)證系統(tǒng)對(duì)于用戶不透明,用戶必須等待驗(yàn)證并且不得不將接收的驗(yàn)證令牌發(fā)送回PDN�。此外,由于遠(yuǎn)程服務(wù)器必須知道用戶的電話號(hào)碼��,所以公開的系統(tǒng)可危及用戶的隱私。
第2004/0132429號(hào)美國(guó)專利申請(qǐng)描述了這樣一種方法和系統(tǒng)�,所述方法和系統(tǒng)能夠在不必專門知道移動(dòng)終端編程或任何POP3或SMTP參數(shù)的情況下,提供經(jīng)由移動(dòng)通信網(wǎng)絡(luò)對(duì)電子郵件帳戶的訪問���。使用默認(rèn)POP3/SMTP服務(wù)器來(lái)預(yù)先配置移動(dòng)終端��。為了訪問電子郵件帳戶�����,使用標(biāo)準(zhǔn)POP3/SMTP經(jīng)由移動(dòng)網(wǎng)絡(luò)在移動(dòng)終端客戶機(jī)與代理服務(wù)器之間建立通信����?��?芍皇腔谟脩舻腗SISDN來(lái)準(zhǔn)許用戶訪問電子郵件帳戶���。
可將通用移動(dòng)電信服務(wù)(UMTS)看作GSM/GPRS網(wǎng)絡(luò)的直接進(jìn)化。UMTS的安全功能基于在GSM中實(shí)施的內(nèi)容(諸如對(duì)訂戶的驗(yàn)證)����,而某些安全功能已經(jīng)被添加并且某些現(xiàn)有的安全功能已經(jīng)被改善。
分組交換采用作為比較短的消息數(shù)據(jù)塊的數(shù)據(jù)包���。所述數(shù)據(jù)包可以如在異步傳輸模式(ATM)中那樣具有固定長(zhǎng)度����,或者可以如在幀中繼或互聯(lián)網(wǎng)協(xié)議(IP)中那樣具有可變長(zhǎng)度。一種期望的情況為基于分組的無(wú)線網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)支持互聯(lián)網(wǎng)電話�����?���;ヂ?lián)網(wǎng)電話或IP電話指的是一種將互聯(lián)網(wǎng)性能與PSTN功能合并的應(yīng)用。IP電話應(yīng)用能夠?qū)崿F(xiàn)實(shí)時(shí)語(yǔ)音通信量通過互聯(lián)網(wǎng)基礎(chǔ)結(jié)構(gòu)的傳輸以及與現(xiàn)有PSTN基礎(chǔ)結(jié)構(gòu)的無(wú)縫結(jié)合��。盡管IP電話主要集中在語(yǔ)音呼叫方面�,通常稱為IP語(yǔ)音或VoIP�,但是IP電話也可用于攜帶其它音頻或多媒體應(yīng)用,諸如傳真�、視頻和調(diào)制解調(diào)器數(shù)據(jù)。
為支持IP電話而研發(fā)的協(xié)議是會(huì)話啟動(dòng)協(xié)議(SIP)��。SIP是用于設(shè)立�,修改和撤銷多媒體會(huì)話的信令傳輸協(xié)議,并且與它使用的協(xié)議結(jié)合向潛在的會(huì)話參與者描述通信會(huì)話的會(huì)話特征����。這些會(huì)話包括互聯(lián)網(wǎng)多媒體會(huì)議�、互聯(lián)網(wǎng)電話呼叫和多媒體分布���。用于創(chuàng)建會(huì)話的SIP INVITE攜帶允許參與者在一組兼容媒體類型方面達(dá)成一致的會(huì)話描述�����。SIP通過向用戶的當(dāng)前位置代理請(qǐng)求或?qū)⑺稣?qǐng)求重新定向到用戶的當(dāng)前位置來(lái)支持用戶移動(dòng)性����。通常�,實(shí)時(shí)協(xié)議(RTP)用于在通信會(huì)話期間交換多媒體(音頻、語(yǔ)音或數(shù)據(jù))�����,但是SIP允許使用任何傳輸協(xié)議��。SIP使用客戶機(jī)-服務(wù)器模型��,其中���,客戶機(jī)發(fā)起SIP請(qǐng)求��,服務(wù)器對(duì)請(qǐng)求作出響應(yīng)�。在SIP中,端點(diǎn)實(shí)體稱為用戶實(shí)體���,其既作為客戶機(jī)(用戶代理客戶機(jī))����,即��,SIP請(qǐng)求的發(fā)起者�,也作為返回響應(yīng)的服務(wù)器(用戶代理服務(wù)器)。
在可被看作敵對(duì)環(huán)境的互聯(lián)網(wǎng)中部署SIP����,其中,SIP部件和消息可暴露于各種安全威脅和攻擊�����。在基于SIP的系統(tǒng)中���,可在不同的層實(shí)現(xiàn)驗(yàn)證措施,所述不同的層包括應(yīng)用層���、傳輸層和網(wǎng)絡(luò)層��。
在2004年8月31日從互聯(lián)網(wǎng)上在http//www.ietf.org/internet-dratfs/draft-tschofenig-sip-saml-00.txt下載的H.Tschofenig等人的“Using SAML for SIP”中提出一種使用與SIP合作的安全聲明標(biāo)記語(yǔ)言(SAML)來(lái)實(shí)現(xiàn)授權(quán)機(jī)制的方法�。描述一種增強(qiáng)的聲明網(wǎng)絡(luò)的標(biāo)識(shí)方案,其中��,所述增強(qiáng)基于由驗(yàn)證服務(wù)(AS)聲明的屬性����。想要與第二用戶的第一用戶將SIP INVITE發(fā)送到她的優(yōu)選AS。根據(jù)選擇的SIP安全機(jī)制�����,摘要驗(yàn)證S/MIME或傳輸層安全被用來(lái)向AS提供關(guān)于第一用戶標(biāo)識(shí)的有力保證����。在第一用戶被驗(yàn)證和授權(quán)之后,將SAML聲明附于SIP消息����。
隨著開始通過互聯(lián)網(wǎng)提供越來(lái)越多的服務(wù),提供用于訪問所述服務(wù)的有效和安全單一簽入(SSO)機(jī)制變得非常重要���。通過互聯(lián)網(wǎng)提供的服務(wù)通常分布于多個(gè)服務(wù)器上��,所述服務(wù)器處于相對(duì)于彼此的遠(yuǎn)程位置��。通過SSO機(jī)制����,用戶可通過在一個(gè)或少量服務(wù)器上運(yùn)行的驗(yàn)證程序來(lái)驗(yàn)證他的標(biāo)識(shí)并授權(quán)使用分布于多個(gè)遠(yuǎn)程服務(wù)器的多個(gè)服務(wù)。
第01/72009號(hào)WO專利申請(qǐng)公開了一種SSO驗(yàn)證機(jī)制�,其中,將令牌發(fā)送到請(qǐng)求被授權(quán)訪問服務(wù)的用戶����。所述令牌可僅在一段時(shí)間內(nèi)有效。將與驗(yàn)證有關(guān)的功能與服務(wù)分離�����,并且在會(huì)話期間不需要為訪問多個(gè)服務(wù)中的新服務(wù)而重新進(jìn)行驗(yàn)證�。在發(fā)送令牌之前,用戶通過表明他的憑證(例如����,用戶名和密碼)為授權(quán)訪問服務(wù)而進(jìn)行注冊(cè)����。
自由聯(lián)盟計(jì)劃是用于聯(lián)合標(biāo)識(shí)和基于標(biāo)識(shí)的服務(wù)的開放標(biāo)準(zhǔn)組織��。它提供用于SSO的標(biāo)準(zhǔn)���,其允許用戶在實(shí)現(xiàn)自由的位置一次性簽入,并且當(dāng)導(dǎo)向另一實(shí)現(xiàn)自由的位置時(shí)可進(jìn)行無(wú)縫的簽入��,而不需要再次驗(yàn)證�。在http//www.projectliberty.org/resourse/whitepapers公開的“Liberty ID-WSF-Web Services Framework”提供對(duì)自由ID-WSF的部件的概述。消息保護(hù)機(jī)制可包括基于令牌的機(jī)制����,諸如根據(jù)Web服務(wù)安全(WS-安全)規(guī)范傳播在SOAP頭部塊中的SAML聲明。
第2004/064442號(hào)WO專利申請(qǐng)公開了一種用于向在跨國(guó)移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的分組無(wú)線電網(wǎng)絡(luò)漫游的用戶提供SSO服務(wù)的電信方法和系統(tǒng)�,所述跨國(guó)移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商包括國(guó)家網(wǎng)絡(luò)運(yùn)營(yíng)商的聯(lián)盟,這些國(guó)家網(wǎng)絡(luò)運(yùn)營(yíng)商中的一個(gè)持有用戶的預(yù)訂�����。該電信系統(tǒng)還包括多個(gè)服務(wù)提供者��,所述多個(gè)提供者已經(jīng)就向作為包括在所述聯(lián)盟中的任何國(guó)家網(wǎng)絡(luò)運(yùn)營(yíng)商的訂戶的用戶提供SSO服務(wù)與跨國(guó)移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商聯(lián)盟簽署了服務(wù)協(xié)議��。每個(gè)服務(wù)提供者包括用于將用戶重新定向到作為聯(lián)盟中的入口點(diǎn)的全球SSO前端基礎(chǔ)結(jié)構(gòu)的裝置�����;用于從用戶接收令牌的裝置,其中���,所述令牌是驗(yàn)證聲明(SAML聲明)或它的索引��;用于從產(chǎn)生聲明的位置檢索聲明的裝置以及用于核查所述位置可信的裝置����。
第2003/0163733號(hào)美國(guó)專利申請(qǐng)公開了一種電信系統(tǒng)���,其包括用于對(duì)訪問服務(wù)提供者的用戶重新定向的裝置���,所述用戶向與所述第二移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商達(dá)成協(xié)議的第二移動(dòng)網(wǎng)絡(luò)的驗(yàn)證代理機(jī)預(yù)訂第一移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商。第一移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商和第二移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商屬于某一聯(lián)盟����,并且驗(yàn)證代理機(jī)充當(dāng)所述聯(lián)盟到驗(yàn)證提供者的入口點(diǎn)。用戶為了執(zhí)行SSO服務(wù)請(qǐng)求向它們的驗(yàn)證提供者呈現(xiàn)不明確的標(biāo)識(shí)�����,例如��,MSISDN/IMSI。
發(fā)明內(nèi)容
本發(fā)明涉及一種驗(yàn)證第一網(wǎng)絡(luò)的訂戶以便訪問可通過作為分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)的第二網(wǎng)絡(luò)訪問的應(yīng)用服務(wù)的方法和系統(tǒng)���。應(yīng)用服務(wù)指的是在應(yīng)用層定義的服務(wù),在這種環(huán)境下�����,應(yīng)用層可表示為在傳輸層之上的層�����。具體說(shuō)來(lái)����,可由在開放系統(tǒng)互連(OSI)模型中定義的層7或根據(jù)TCP/IP協(xié)議的層5(通過不受限的方式)來(lái)表示應(yīng)用層。應(yīng)用服務(wù)的示例是通常由使用諸如HTTP���、GET/POST��、SMTP或SOAP的協(xié)議的客戶機(jī)應(yīng)用所使用的Web服務(wù)��、通常通過瀏覽器的使用而訪問的Web站點(diǎn)或者VoIP����。
申請(qǐng)人已注意到存在以下處理就所述網(wǎng)絡(luò)內(nèi)的高級(jí)的安全性來(lái)驗(yàn)證諸如GSM網(wǎng)絡(luò)的第一網(wǎng)絡(luò)的訂戶。
申請(qǐng)人還注意到同樣在第一網(wǎng)絡(luò)是固定線路接入網(wǎng)絡(luò)的情況下��,可就所述網(wǎng)絡(luò)內(nèi)的高級(jí)安全性確認(rèn)訂戶標(biāo)識(shí)的有效性��。在固定接入網(wǎng)絡(luò)使用與公共交換電話網(wǎng)絡(luò)(PSTN)共享的有線線路的情況下�,諸如,在xDSL技術(shù)的情況下�,在用戶宅室設(shè)備(CPE)與到PDN的網(wǎng)關(guān)之間的通信使用安全和典型地專門有線鏈路,例如��,標(biāo)準(zhǔn)電話銅線或光纖����。
雖然諸如Wi-Fi連接的無(wú)線連接由于到PDN的無(wú)線鏈路而傳統(tǒng)上表征為相對(duì)低級(jí)的安全性,但是已經(jīng)提出了解決方案�����,其確保網(wǎng)絡(luò)訪問的相對(duì)高級(jí)的安全性�����。高級(jí)安全性解決方案的示例是IEEE802.11i安全標(biāo)準(zhǔn)��,該安全標(biāo)例如在http//www.embedded.com/showArticle.jhtml���?articleID=34400002于2005年9月20日從互聯(lián)網(wǎng)下載的D.Halasz的“IEEE 802.11i andwireless security”中有所描述�����。
申請(qǐng)人已發(fā)現(xiàn)在第一網(wǎng)絡(luò)中定義的訂戶標(biāo)識(shí)可用于在應(yīng)用層驗(yàn)證訂戶�����,在所述應(yīng)用層操作通過PDN的應(yīng)用服務(wù)�。具體說(shuō)來(lái)�����,根據(jù)本發(fā)明�,可透明地驗(yàn)證訂戶以訪問應(yīng)用服務(wù)。
在本發(fā)明的優(yōu)選實(shí)施例中�����,請(qǐng)求通過PDN的服務(wù)的訂戶的第一網(wǎng)絡(luò)是分組交換移動(dòng)網(wǎng)絡(luò)����。更優(yōu)選地,分組交換移動(dòng)網(wǎng)絡(luò)是基于GSM的GPRS標(biāo)準(zhǔn)��。PDN通常是移動(dòng)網(wǎng)絡(luò)外部的網(wǎng)絡(luò),例如�,IP網(wǎng)絡(luò)。本發(fā)明同樣應(yīng)用于在相同的移動(dòng)網(wǎng)絡(luò)中主管掌管應(yīng)用服務(wù)的應(yīng)用服務(wù)器的情況����,其中,訂戶從所述相同的移動(dòng)網(wǎng)絡(luò)開始會(huì)話���,但是通過外部PDN來(lái)訪問所述服務(wù)器���。例如,應(yīng)用服務(wù)器可位于移動(dòng)運(yùn)營(yíng)商的增值服務(wù)(VAS)平臺(tái)��,其由IP網(wǎng)絡(luò)來(lái)提供�。具體說(shuō)來(lái),PDN可以是服務(wù)提供者的專用或公共網(wǎng)絡(luò)�����。
在本發(fā)明的另一實(shí)施例中��,請(qǐng)求通過PDN的服務(wù)的訂戶的第一網(wǎng)絡(luò)是固定接入網(wǎng)絡(luò)����,其中��,訂戶通過使用用戶宅室設(shè)備(CPE)��,諸如鏈接到PC的DSL調(diào)制解調(diào)器或鏈接到例如電視機(jī)或TV機(jī)頂盒的外圍裝置的家用網(wǎng)關(guān)���,來(lái)訪問PDN。CPE通過相對(duì)安全的有線線路或無(wú)線鏈路而上行鏈接到接入網(wǎng)絡(luò)���,所述有線線路或無(wú)線鏈路諸如專門電話線路、專門光纖或嵌入IEEE 802.11i安全標(biāo)準(zhǔn)的無(wú)線連接��。
根據(jù)本發(fā)明的優(yōu)選實(shí)施例�����,固定接入網(wǎng)絡(luò)是xDSL接入網(wǎng)絡(luò)�����。
對(duì)訪問應(yīng)用服務(wù)(以下也稱為服務(wù))的請(qǐng)求具有在應(yīng)用層定義的訪問請(qǐng)求消息的形式���。
本發(fā)明的一方面涉及一種用于驗(yàn)證第一網(wǎng)絡(luò)的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的方法�����,其中�,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN),并且對(duì)應(yīng)用服務(wù)的訪問具有包含在數(shù)據(jù)包中的訪問請(qǐng)求消息的形式��,所述數(shù)據(jù)包包括被分配給所述訂戶的所述第二網(wǎng)絡(luò)中的地址(訂戶地址)�,并且用符合應(yīng)用層協(xié)議的語(yǔ)法表示所述訪問請(qǐng)求消息,所述方法包括以下步驟a)截取到第二網(wǎng)絡(luò)的訪問請(qǐng)求消息���;b)識(shí)別應(yīng)用層協(xié)議���;c)提供所述訂戶地址與第一網(wǎng)絡(luò)中的第一訂戶標(biāo)識(shí)符之間的映射;d)產(chǎn)生包括第二訂戶標(biāo)識(shí)符的第一驗(yàn)證令牌����;e)將所述第一驗(yàn)證令牌與訪問請(qǐng)求消息關(guān)聯(lián);以及f)將帶有關(guān)聯(lián)的第一驗(yàn)證令牌的訪問請(qǐng)求消息發(fā)送到第二網(wǎng)絡(luò)��。
本發(fā)明的另一方面涉及一種用于驗(yàn)證第一網(wǎng)絡(luò)的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的系統(tǒng)��,其中�,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN),所述系統(tǒng)包括訂戶站�����,耦合到第一網(wǎng)絡(luò),并且適于產(chǎn)生包含在數(shù)據(jù)包中的訪問請(qǐng)求消息�,用符合應(yīng)用層協(xié)議的語(yǔ)法來(lái)表示所述訪問請(qǐng)求消息;分配服務(wù)器�,適于向所述訂戶分配在所述第二網(wǎng)絡(luò)中的地址(訂戶地址)并提供所述訂戶地址與第一網(wǎng)絡(luò)中的第一訂戶標(biāo)識(shí)符之間的映射;網(wǎng)關(guān)�,適于執(zhí)行以下功能從訂戶站接收訪問請(qǐng)求消息,將第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)并且向訂戶站分配訂戶地址���;第一邏輯實(shí)體�,與網(wǎng)關(guān)鏈接并適于截取從訂戶站產(chǎn)生并通過網(wǎng)關(guān)被定向到第二網(wǎng)絡(luò)的數(shù)據(jù)包�����,并且至少在數(shù)據(jù)包中捕獲訂戶地址�,以及第二邏輯實(shí)體�����,與第一邏輯實(shí)體鏈接并適于執(zhí)行以下功能從第一邏輯實(shí)體接收訂戶地址和訪問請(qǐng)求消息����,識(shí)別訪問請(qǐng)求消息的應(yīng)用層協(xié)議,向分配服務(wù)器請(qǐng)求第一訂戶標(biāo)識(shí)符,以及根據(jù)應(yīng)用層協(xié)議產(chǎn)生第一驗(yàn)證令牌���,所述令牌包括第二訂戶標(biāo)識(shí)符�,其中��,第一邏輯實(shí)體或第二邏輯實(shí)體適于將驗(yàn)證令牌關(guān)聯(lián)到訪問請(qǐng)求消息�����。
圖1示出本發(fā)明的實(shí)施例��,其中���,請(qǐng)求服務(wù)的訂戶的第一網(wǎng)絡(luò)是GPRS系統(tǒng)�����,而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)����。
圖2描述根據(jù)第一網(wǎng)絡(luò)是移動(dòng)網(wǎng)絡(luò)的本發(fā)明實(shí)施例存儲(chǔ)在標(biāo)識(shí)局(IA)中的信息表的示例��。
圖3示出根據(jù)本發(fā)明優(yōu)選實(shí)施例的對(duì)在應(yīng)用服務(wù)器中主管的Web服務(wù)器的訪問操作的處理示圖����。
圖4示出根據(jù)本發(fā)明另一實(shí)施例的連接到外部NGN IP網(wǎng)絡(luò)的分組交換網(wǎng)絡(luò)的框圖�����。
圖5示意性示出根據(jù)本發(fā)明另一實(shí)施例的通過NGN到在SIP服務(wù)器中主管的SIP服務(wù)的訪問操作的處理示圖��。
圖6顯示根據(jù)本發(fā)明優(yōu)選實(shí)施例的示例到在應(yīng)用服務(wù)器中主管的Web站點(diǎn)的訪問操作的處理示圖���。
圖7示出本發(fā)明的替換實(shí)施例,其中��,請(qǐng)求服務(wù)的訂戶的第一網(wǎng)絡(luò)是固定網(wǎng)絡(luò)(ADSL)��,而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)����。
圖8描述根據(jù)第一網(wǎng)絡(luò)是固定網(wǎng)絡(luò)的本發(fā)明實(shí)施例存儲(chǔ)在標(biāo)識(shí)局(IA)中的信息表的示例。
圖9示出根據(jù)本發(fā)明另一優(yōu)選實(shí)施例到在應(yīng)用服務(wù)器中主管的Web服務(wù)的訪問操作的處理示圖����。
圖10示出本發(fā)明的實(shí)施例�����,其中,請(qǐng)求服務(wù)的用戶是多個(gè)(第一)網(wǎng)絡(luò)的訂戶��,而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)��。
圖11示意性示出根據(jù)本發(fā)明另一實(shí)施例在手動(dòng)驗(yàn)證的情況下的處理示圖�。
具體實(shí)施例方式
圖1示出本發(fā)明的優(yōu)選實(shí)施例。在圖1的實(shí)施例中�,第一網(wǎng)絡(luò)是GPRS系統(tǒng),而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)12���。圖1的實(shí)施例可代表以下的示例性情況�,其中���,GPRS網(wǎng)絡(luò)的訂戶想要從她/他的移動(dòng)站(MS)2通過IP網(wǎng)絡(luò)訪問在應(yīng)用服務(wù)器11中主管的Web站點(diǎn)的服務(wù)��。MS 2以無(wú)線電方式連接到基站收發(fā)器(BTS)2����,其連接到基站控制器(BTS)4����。BTS和BSC的組合功能通常稱為基站子系統(tǒng)(BSS)。從那里�,服務(wù)GPRS支持節(jié)點(diǎn)(SGSN)5提供到GGSN的訪問����,所述GGSN用作到數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)關(guān)���,在這種情況下�����,所述數(shù)據(jù)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)12��。SGSN 5典型地基于與現(xiàn)有GSM中相同的算法��、密鑰和準(zhǔn)則來(lái)執(zhí)行驗(yàn)證和密碼設(shè)置程序����。
MS 2可以是移動(dòng)電話�,MS 2包括訂戶標(biāo)識(shí)模塊(SIM),所述SIM攜帶標(biāo)識(shí)和驗(yàn)證信息����,通過它們,蜂窩網(wǎng)絡(luò)可識(shí)別蜂窩網(wǎng)絡(luò)內(nèi)的MS終端并授權(quán)它在網(wǎng)絡(luò)中工作�。
為了發(fā)送和接收GPRS數(shù)據(jù)��,MS 2需要激活分組數(shù)據(jù)地址,即��,該實(shí)施例中的IP地址���,其將被用于訪問服務(wù)���。當(dāng)訂戶請(qǐng)求服務(wù)時(shí),MS 2通過在GGSN 6終止的無(wú)線電網(wǎng)絡(luò)來(lái)發(fā)送請(qǐng)求�����。使用特定協(xié)議����,GGSN將請(qǐng)求發(fā)送到認(rèn)證-授權(quán)-計(jì)費(fèi)(AAA)服務(wù)器7,所述AAA服務(wù)器本身是公知的�����。作為示例�����,所述AAA服務(wù)器可以是遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)(RADIUS)服務(wù)器或動(dòng)態(tài)主機(jī)配置協(xié)議(DHCP)服務(wù)器�����。在AAA服務(wù)器是RADIUS服務(wù)器的情況下,GGSN包括RADIUS客戶機(jī)�����,以便使用RADISU協(xié)議與AAA服務(wù)器通信���。根據(jù)標(biāo)準(zhǔn)GPRS程序���,AAA服務(wù)器可基于任何數(shù)量的屬性來(lái)驗(yàn)證訂戶,所述屬性諸如網(wǎng)絡(luò)訪問標(biāo)識(shí)符(NAI)或國(guó)際移動(dòng)訂戶標(biāo)識(shí)(IMSI)�����。IMSI是僅明確地與特定訂戶關(guān)聯(lián)的標(biāo)識(shí)號(hào)����。IMSI通常由移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商來(lái)分配,并且追蹤對(duì)可行的特定訂戶的計(jì)費(fèi)和服務(wù)供應(yīng)����。通常在SIM中攜帶IMSI。
或者���,移動(dòng)站國(guó)際ISDN號(hào)(MSISDN)可用來(lái)識(shí)別移動(dòng)網(wǎng)絡(luò)中的訂戶���。然而,由于更多MSISDN(即��,電話號(hào)碼)可關(guān)聯(lián)到相同的IMSI�,所以IMSI是優(yōu)選(但非限制)的訂戶標(biāo)識(shí)符。
AAA服務(wù)器向MS分配IP地址���,隨后將所述地址返回GGSN�。GGSN向MS分配IP地址�。用于地址分配的協(xié)議對(duì)于GPRS網(wǎng)絡(luò)是特定的,并通常稱為PDP語(yǔ)境激活�。AAA包含數(shù)據(jù)庫(kù),其中�,分配的IP地址被關(guān)聯(lián)到訂戶標(biāo)識(shí),例如�,IMSI。
應(yīng)理解到盡管示例訪問分配給MS 2的IP地址����,但是可由GGSN將多于一個(gè)的IP地址分配給同一MS。在這種情況下�,根據(jù)GPRS規(guī)范����,GGSN可存儲(chǔ)關(guān)于關(guān)聯(lián)到MS的活動(dòng)連接(PDP語(yǔ)境)的信息�,并且可檢驗(yàn)由MS在數(shù)據(jù)分組傳輸中使用的IP地址是否是由GGSN向MS分配的IP地址之一。
應(yīng)注意到GPRS-GSM網(wǎng)絡(luò)的SGSN 5�、GGSN 6和AAA 7處于相同的域,該域表征為GSM安全性方案��。
根據(jù)本發(fā)明的優(yōu)選實(shí)施例�,邏輯實(shí)體(軟件模塊)10(以下稱為安全令牌注入器(STI))在邏輯上鏈接到GGSN 6。定位STI以控制從GPRS/GSM網(wǎng)絡(luò)進(jìn)入的通信量���。具體說(shuō)來(lái)�,STI截取從移動(dòng)站產(chǎn)生并通過GGSN 6被定向到IP網(wǎng)絡(luò)12的數(shù)據(jù)包����。
數(shù)據(jù)包(例如,互聯(lián)網(wǎng)包)是核心數(shù)據(jù)塊連同附加的必要地址和管理信息�����,以允許網(wǎng)絡(luò)將數(shù)據(jù)傳遞到正確的目的地�����。數(shù)據(jù)包開始于由應(yīng)用給出的核心數(shù)據(jù)。通過若干層的頭部來(lái)封裝核心數(shù)據(jù)�,其中,可根據(jù)OSI模型來(lái)描述所述層���。在該(非限定)描述內(nèi),當(dāng)數(shù)據(jù)包經(jīng)過稱為封裝的機(jī)制時(shí)����,每層對(duì)所述數(shù)據(jù)包進(jìn)行修改。核心數(shù)據(jù)包含應(yīng)用層消息���,該消息通過符合應(yīng)用層協(xié)議的語(yǔ)法來(lái)表示���。應(yīng)用層協(xié)議的示例為FTP(文件傳輸協(xié)議)、HTTP(超文本傳輸協(xié)議)��、SOAP(簡(jiǎn)單對(duì)象訪問協(xié)議)或SIP��。
請(qǐng)求訪問服務(wù)器或訪問服務(wù)功能或操作的應(yīng)用層消息在所述情況下被稱為訪問請(qǐng)求消息�����。在所述情況下,訪問請(qǐng)求消息并非必然描述在會(huì)話啟動(dòng)時(shí)對(duì)加入服務(wù)的請(qǐng)求��,而且描述對(duì)訪問功能或由服務(wù)提供的操作的請(qǐng)求�����。在SIP中訪問請(qǐng)求消息的示例是“INVITE”消息當(dāng)用戶代理客戶機(jī)期望發(fā)起會(huì)話(例如�,音頻、視頻或游戲)時(shí)�����,它指定“INVITE”請(qǐng)求����。“INVITE”請(qǐng)求請(qǐng)服務(wù)器建立會(huì)話(例如�,語(yǔ)音呼叫)。在另一示例中�����,當(dāng)請(qǐng)求Web頁(yè)時(shí)���,利用檢索期望的數(shù)據(jù)所必需的信息(例如���,URL)來(lái)創(chuàng)建“get”消息����。作為示例�����,攜帶“get”消息的應(yīng)用層協(xié)議是HTTP����。在這種情況下���,“get”消息包括HTTP GET頭部����,其作為在應(yīng)用層對(duì)于服務(wù)(在這種情況下���,指的是通過互聯(lián)網(wǎng)檢索Web頁(yè)的服務(wù))的訪問請(qǐng)求消息的示例����。
可通過在傳輸控制協(xié)議(TCP)和互聯(lián)網(wǎng)協(xié)議(IP)這兩個(gè)廣泛使用的協(xié)議之后的互聯(lián)網(wǎng)協(xié)議棧(也稱為TCP/IP棧)來(lái)描述根據(jù)其運(yùn)行互聯(lián)網(wǎng)的協(xié)議堆棧���。TCP/IP棧的協(xié)議集合覆蓋OSI 7層模型中的5層�����。使用所述TCP/IP棧����,通常將消息嵌入應(yīng)用頭部(通常,該應(yīng)用頭部實(shí)際上包括若干頭部)和應(yīng)用層主體(或凈荷)兩者中��。頭部具有根據(jù)應(yīng)用層協(xié)議的標(biāo)準(zhǔn)格式���,而凈荷包含直達(dá)應(yīng)用的信息并且數(shù)據(jù)不需要符合標(biāo)準(zhǔn)頭部或格式��。HTTP中頭部的示例為諸如GET消息的消息類型和請(qǐng)求的Web頁(yè)的URL�。下一層是傳輸層�,其添加通常在TCP或用戶數(shù)據(jù)報(bào)協(xié)議(UDP)中定義的頭部的層。在網(wǎng)絡(luò)層(在也稱為IP層的互聯(lián)網(wǎng))中���,該頭部(IP頭部)包含從源到目的地獲得數(shù)據(jù)包所需的信息����,其包括源地址和目的地地址�,所述地址即為機(jī)器號(hào)碼�。
STI 10至少操作在網(wǎng)絡(luò)層�,并且捕獲離開GGSN 6的數(shù)據(jù)包。如果STI僅操作在網(wǎng)絡(luò)層或僅到達(dá)傳輸層�,則由于STI無(wú)法識(shí)別在數(shù)據(jù)包中攜帶的應(yīng)用消息,例如�,其無(wú)法識(shí)別是否是訪問請(qǐng)求消息或者在哪個(gè)應(yīng)用層協(xié)議攜帶所述消息,所以STI需要捕獲離開GGSN(并定向到IP地址)的所有數(shù)據(jù)包��。在STI還操作在應(yīng)用層的情況下���,其可識(shí)別訪問請(qǐng)求消息并區(qū)分不同的應(yīng)用層協(xié)議��。例如���,如果還操作在應(yīng)用層����,則可將STI編程為僅截取SIP訪問請(qǐng)求消息,并且使按照其它協(xié)議編制的消息通過��。
可用于實(shí)現(xiàn)STI模塊的技術(shù)之一是應(yīng)用層防火墻的技術(shù)�����。商用的察覺應(yīng)用的防火墻的示例為Cisco PIX、Check Point Firewall-1和Xtradyne的WS-DBC��。
STI在攜帶訪問請(qǐng)求消息的數(shù)據(jù)包中必須截取的最少信息是關(guān)于訂戶地址的在網(wǎng)絡(luò)層的信息�����,例如��,在互聯(lián)網(wǎng)中�����,指的是分配到訂戶(即�����,到MS)的IP地址�����。通常�,如以下進(jìn)一步詳細(xì)描述的,STI將需要關(guān)于目的地地址的信息�����,以在驗(yàn)證處理的末尾發(fā)送攜帶所述消息的數(shù)據(jù)包。優(yōu)選地��,由STI在截取數(shù)據(jù)包時(shí)提取所述信息���。然而���,這是非限制性的特點(diǎn),因?yàn)榭蓪TI配置為將消息發(fā)送到驗(yàn)證系統(tǒng)已定義的目的地地址�。應(yīng)注意到目的地地址不必是消息被定向的應(yīng)用服務(wù)器的地址。例如�����,根據(jù)SIP協(xié)議�����,可將消息定向到SIP代理��,該SIP代理隨后將消息尋址到在消息頭部中包括的應(yīng)用層地址中指定的應(yīng)用服務(wù)器�。
包含在由STI 10捕獲的數(shù)據(jù)包中的信息的至少一部分被傳遞到軟件部件9���,該軟件部件9稱為標(biāo)識(shí)局(IA)���,操作在應(yīng)用層上�。IA負(fù)責(zé)管理訪問外部PDN(即�,IP網(wǎng)絡(luò)12)的訂戶的標(biāo)識(shí)。IA至少?gòu)腟TI接收訂戶IP地址和關(guān)于訪問請(qǐng)求消息的應(yīng)用層協(xié)議的信息����。可通過從STI接收數(shù)據(jù)包(如果STI最高僅操作在網(wǎng)絡(luò)/傳輸層��,則所述數(shù)據(jù)包為“閉合封裝”)來(lái)獲得所述關(guān)于訪問請(qǐng)求消息的應(yīng)用層協(xié)議的信息��,或者如果STI還操作在應(yīng)用層上����,則可通過接收諸如協(xié)議類型(例如,SOAP�����、HTTP�����、SIP)的特定信息來(lái)獲得所述信息��。從應(yīng)用層操作的STI接收的其它信息可包括消息類型(例如,INVITE或REGISTER)以及需要的服務(wù)的通用資源標(biāo)識(shí)符(URI)���,例如�����,Web頁(yè)的URL�����。
IA 9可通過從STI 10得知請(qǐng)求服務(wù)的移動(dòng)站MS 2(訂戶)的IP地址以及通過詢問AAA 7而得知訂戶的標(biāo)識(shí)來(lái)識(shí)別所述移動(dòng)站MS 2�����,其中����,所述AAA 7包含分配的IP地址與訂戶標(biāo)識(shí)之間的映射��。作為訂戶標(biāo)識(shí)����,優(yōu)選地�����,由IA提取IMSI。
優(yōu)選地����,IA存儲(chǔ)關(guān)于訂戶標(biāo)識(shí)和他/她請(qǐng)求的服務(wù)的信息。關(guān)于請(qǐng)求的服務(wù)的信息可以是服務(wù)提供者的IP地址和/或URI�,以及/或者在服務(wù)提供者使用不同的協(xié)議提供更多服務(wù)的情況下(例如,對(duì)電子郵件帳戶使用POP3��,對(duì)Web導(dǎo)航使用HTTP)����,所述信息是服務(wù)所使用的協(xié)議。在圖2中���,描述存儲(chǔ)在IA中的信息表的示例��。所示的表為想要訪問一個(gè)或多個(gè)服務(wù)的訂戶A�����、B和C提供映射���,所述服務(wù)表征為服務(wù)提供者SP-1����、SP-2等���。在圖2的示例中�,訂戶通過他們的IMSI來(lái)識(shí)別�。優(yōu)選地,由IA為每個(gè)訂戶創(chuàng)建偽PS����,例如,創(chuàng)建與訂戶的IMSI相應(yīng)的PS����。或者����,如圖2所示,可為訂戶產(chǎn)生更多的假名(pseudonym)��,其中�����,每個(gè)假名表征由訂戶請(qǐng)求的特定服務(wù)。作為優(yōu)選�,創(chuàng)建假名�����,以便避免公開諸如IMSI的敏感數(shù)據(jù)�,這將在以下的描述中更加清楚。
在檢驗(yàn)訂戶的標(biāo)識(shí)之后(例如�����,通過將IP地址和與訂戶相關(guān)的IMSI映射)���,IA根據(jù)訪問請(qǐng)求消息的應(yīng)用層協(xié)議來(lái)產(chǎn)生軟件令牌�����。例如�����,在用于Web服務(wù)的SOAP消息的情況下���,可根據(jù)WS安全規(guī)范來(lái)定義所述令牌��。將所述令牌插入訪問請(qǐng)求消息����,例如�����,作為插入消息的現(xiàn)有應(yīng)用頭部的字段或作為在消息中添加的新的應(yīng)用頭部����。
根據(jù)STI操作在哪一層,可由IA將令牌插入消息中�,或者IA可命令STI將令牌插入消息中。后一種選擇假設(shè)STI也操作在應(yīng)用層上�����。在任何一種情況下��,STI將修改的訪問請(qǐng)求消息(即�����,包含令牌)發(fā)送到應(yīng)用服務(wù)器11,應(yīng)用服務(wù)器11接收驗(yàn)證的消息�����。
可通過(在應(yīng)用服務(wù)器11上運(yùn)行的)應(yīng)用服務(wù)來(lái)確認(rèn)消息的驗(yàn)證����,例如�,可通過檢驗(yàn)令牌并隨后將其發(fā)送到服務(wù)的應(yīng)用邏輯的特定應(yīng)用服務(wù)器軟件來(lái)確認(rèn)消息的驗(yàn)證?�?刂乞?yàn)證的框架的示例為SunJava系統(tǒng)訪問管理器���,其為基于開發(fā)Java 2平臺(tái)的體系結(jié)構(gòu)����。
驗(yàn)證令牌包括關(guān)聯(lián)到在移動(dòng)網(wǎng)絡(luò)中定義的訂戶標(biāo)識(shí)的訂戶標(biāo)識(shí)符��,所述移動(dòng)網(wǎng)絡(luò)典型地位于移動(dòng)運(yùn)營(yíng)商的域中�,并且所述標(biāo)識(shí)符諸如IMSI或MSISDN。
優(yōu)選地�,包括在令牌中的訂戶標(biāo)識(shí)符是關(guān)聯(lián)到基于SIM的標(biāo)識(shí)(例如,IMSI或MSISDN)的假名��。盡管本發(fā)明不排除在驗(yàn)證令牌中使用在移動(dòng)網(wǎng)絡(luò)中定義的訂戶標(biāo)識(shí),但是假名的使用保護(hù)了訂戶的隱私��,并防止公開諸如IMSI的敏感信息���,從而避免安全威脅(例如��,在移動(dòng)運(yùn)營(yíng)商的計(jì)費(fèi)處理中進(jìn)行舞弊)��?���;蛘?�,標(biāo)識(shí)符可以是由移動(dòng)運(yùn)營(yíng)商根據(jù)(例如)訂戶的信用分配給訂戶的授權(quán)串/代碼����。盡管優(yōu)選的是標(biāo)識(shí)符唯一明確地相應(yīng)于訂戶標(biāo)識(shí),但是可為一組訂戶(例如��,按照年齡的分組)分配相同的授權(quán)串/代碼����。
可選地,IA在將產(chǎn)生的令牌發(fā)送到STI之前����,將所述令牌傳遞到公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)服務(wù)8���,作為示例,所述PKI服務(wù)8通過經(jīng)由非對(duì)稱加密將數(shù)字簽名添加到令牌來(lái)證明所述令牌�,而非對(duì)稱加密本身是公知的。PKI 8可以是如Entrust PKI或VeriSign的商用框架或如OpenSSL的免費(fèi)軟件/開放源工具��。
本發(fā)明的驗(yàn)證系統(tǒng)具有的優(yōu)點(diǎn)在于其對(duì)訂戶透明���,所述訂戶在請(qǐng)求服務(wù)之后��,僅看見驗(yàn)證的結(jié)果訪問服務(wù)或拒絕訪問。
包含STI和IA的驗(yàn)證軟件平臺(tái)可以在移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商的直接控制下�。
盡管STI 10和IA 9被示為GGSN 6外部的分離部件,但是可在GGSN之內(nèi)實(shí)現(xiàn)STI 10和IA 9�����,例如��,將其實(shí)現(xiàn)為嵌入GGSN的GPRS標(biāo)準(zhǔn)控制邏輯中的軟件模塊�����。由于這樣將消除GGSN與STI之間的物理連接,所以可提高STI針對(duì)網(wǎng)絡(luò)層攻擊的安全性��。
模塊STI和IA可以是用諸如Java���、C����、C++和CORBA的標(biāo)準(zhǔn)語(yǔ)言實(shí)現(xiàn)的軟件部件�,并且可安裝在本身公知的硬件部件上。
圖3示出根據(jù)本發(fā)明優(yōu)選實(shí)施例對(duì)在應(yīng)用服務(wù)器中主管的Web服務(wù)的訪問操作的處理示圖���。在圖3所示的處理流程中相互作用的主要部件具有與參照?qǐng)D1描述的部件相同的一般邏輯功能�����,并且用相同的標(biāo)號(hào)指示����。
在圖3所示的實(shí)施例中��,MS 2可以是包括啟用數(shù)據(jù)的客戶機(jī)的蜂窩電話�,用于在分組交換蜂窩式網(wǎng)絡(luò)(諸如GPRS、EDGE或UMTS)內(nèi)的連接和數(shù)據(jù)傳送。例如���,可將蜂窩電話(通過有線或無(wú)線鏈路)鏈接到采用電話來(lái)連接到分組交換網(wǎng)絡(luò)的個(gè)人計(jì)算機(jī)���。在蜂窩式網(wǎng)絡(luò)外部的域中主管應(yīng)用服務(wù)器11,所述域通過公共IP網(wǎng)絡(luò)連接到服務(wù)器��。
在圖3中�,作為示例,MS通過使用SOAP協(xié)議請(qǐng)求訪問在公共IP網(wǎng)絡(luò)中提供的服務(wù)“abc”�,所述SOAP協(xié)議是基于XML的語(yǔ)言,其用于向Web服務(wù)傳遞數(shù)據(jù)并從Web服務(wù)傳遞數(shù)據(jù)��?����?蓪OAP消息包含在HTTP消息中(在應(yīng)用層)����。作為示例�,SOAP請(qǐng)求可以是頭部中的HTTP POST或HTTP GET請(qǐng)求,而SOAP消息包含在主體中�����,例如,在圖3中�����,給出的HTTP POST請(qǐng)求id的示例����,即,“POST/abc HTTP/1.1”����。步驟31通過簡(jiǎn)化的方式表示MS 2與GGSN6之間的相互作用,其對(duì)于MS訪問外部網(wǎng)絡(luò)是必需的�。在步驟31期間,由AAA 7至少在數(shù)據(jù)會(huì)話的持續(xù)期間識(shí)別和授權(quán)MS�,所述AAA7將IP地址分配給MS并在存儲(chǔ)器中存儲(chǔ)IP地址與訂戶標(biāo)識(shí)之間的映射信息。在該實(shí)施例中�����,訂戶標(biāo)識(shí)包括IMSI��。在步驟31的蜂窩式網(wǎng)絡(luò)內(nèi)的授權(quán)和驗(yàn)證階段之后�����,由GGSN將在數(shù)據(jù)包中攜帶的訪問請(qǐng)求消息轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)(步驟32)。步驟32的虛線表示在沒有根據(jù)本發(fā)明的驗(yàn)證機(jī)制的情況下�����,消息經(jīng)過的邏輯路徑����,即,消息被發(fā)送到應(yīng)用服務(wù)器11��,所述應(yīng)用服務(wù)器11隨后將通過用于驗(yàn)證的詢問/響應(yīng)機(jī)制來(lái)詢問用戶���。
根據(jù)本發(fā)明�,在步驟32�,由位于GGSN 6與公共網(wǎng)絡(luò)之間的STI10來(lái)截取包含訪問請(qǐng)求消息的數(shù)據(jù)包。STI從截取的數(shù)據(jù)包提取訂戶的IP地址(即����,用于會(huì)話而分配給MS的地址),優(yōu)選地�����,還提取IP目的地地址(即�����,應(yīng)用服務(wù)器11的地址)�。STI隨后將應(yīng)用消息(在這種情況下為SOAP消息)和訂戶的IP地址轉(zhuǎn)發(fā)給IA 9(步驟33)。
如果STI操作在低于應(yīng)用層的層上�����,則作為示例����,通過向IA轉(zhuǎn)發(fā)應(yīng)用頭部,將消息自動(dòng)轉(zhuǎn)發(fā)到IA�。反之,如果STI操作在應(yīng)用層上��,則STI識(shí)別在應(yīng)用層消息中使用的協(xié)議����,在這種情況下,所述協(xié)議為HTTP協(xié)議上的SOAP�����。在所述的任何一種情況下,IA得知訂戶的IP地址以及消息所符合的應(yīng)用層協(xié)議�����。作為示例�����,可通過以公共對(duì)象請(qǐng)求代理機(jī)體系結(jié)構(gòu)(CORBA)(諸如接口定義語(yǔ)言(IDL))指定的接口或以Web服務(wù)語(yǔ)言(諸如Web服務(wù)描述語(yǔ)言(WSDL))指定的接口來(lái)產(chǎn)生STI與IA之間的信息傳輸��。
在步驟34��,IA 9詢問AAA 7以確定GSM網(wǎng)絡(luò)中訂戶(通過MS2連接到蜂窩式網(wǎng)絡(luò))的標(biāo)識(shí)��,所述標(biāo)識(shí)相應(yīng)于在數(shù)據(jù)包中捕獲的源IP地址�。在步驟35,AAA 7通過向IA提供關(guān)聯(lián)到IP地址的訂戶標(biāo)識(shí)(在這種情況下��,由IMSI表示)來(lái)響應(yīng)于所述詢問�����。
在下一步驟(步驟35)���,IA產(chǎn)生包括訂戶標(biāo)識(shí)符的令牌�����。作為示例����,可根據(jù)WS安全規(guī)范來(lái)定義令牌����,例如,字符串(在圖3中指示為<WS>令牌)����。優(yōu)選地,包括在令牌中的標(biāo)識(shí)符是由IA創(chuàng)建并關(guān)聯(lián)到IMSI的假名��。如在圖2中示出的示例�����,諸如在為相同訂戶創(chuàng)建更多假名(即���,相同的IMSI)以訪問會(huì)話內(nèi)的不同服務(wù)的情況下�����,在單一簽入(SSO)訪問機(jī)制的情況下���,可將所述標(biāo)識(shí)符關(guān)聯(lián)到服務(wù)提供者��。至少在會(huì)話的持續(xù)期間���,IA追蹤假名與在蜂窩式網(wǎng)絡(luò)中定義的訂戶標(biāo)識(shí)(即,IMSI)之間的映射����。
以下示例為以XML格式標(biāo)識(shí)并符合OASIS(結(jié)構(gòu)化信息標(biāo)準(zhǔn)促進(jìn)組織)開放標(biāo)準(zhǔn)的(簡(jiǎn)化)SAML令牌<saml:Assertion MajorVersion="1" MinorVersion="0"AssertionID="128.9.167.32.12345678"Issuer="Operator.com"<IssueInstant="2004-12-03T10:02:00Z"> <saml:ConditionsNotBefore="2004-12-03T10:00:00Z"NotAfter="2004-12-03T10:05:00Z"/>
<saml:AuthenticationStatementAuthenticationMethod="<GSM>"AuthenticationInstant="2001-12-03T10:02:00Z">
<saml:Subject>
<saml:NameIdentifierSecurityDomain="operator.com"Name="PSEUDONYM"/>
</saml:Subject>
</saml:AuthenticationStatement>
</saml:Assertion>
上述示例的SAML令牌聲明名稱為“PSEUDONYM”的用戶的標(biāo)識(shí)(即,由IA給出的標(biāo)識(shí)符)�,其被關(guān)聯(lián)到在GSM網(wǎng)絡(luò)中定義的標(biāo)識(shí)。優(yōu)選地���,SAML令牌包含關(guān)于用于授權(quán)訪問服務(wù)的驗(yàn)證方法的信息��,在這種情況下�,其由GSM安全方案(用<GSM>來(lái)指示)來(lái)定義�����。其它可選信息是驗(yàn)證的發(fā)布者(用operator.com來(lái)指示)以及令牌有效性的條件(用命令NotBefore和NotAfter來(lái)指示)�。
可選地�,將令牌轉(zhuǎn)發(fā)到PKI 8服務(wù)�����,以向令牌附加數(shù)字簽名或根據(jù)已知加密機(jī)制來(lái)對(duì)其進(jìn)行加密(步驟36)�。在步驟37���,PKI返回用數(shù)字簽名證明和/或通過加密確保安全的令牌���。在圖3中,用DS來(lái)指示證明/加密的令牌(<WS>令牌)����。
緊接著步驟35(或者在包括PKI服務(wù)的情況下,緊接著步驟37)���,IA創(chuàng)建新的訪問請(qǐng)求消息�,用“New-soap”來(lái)指示����,其包括產(chǎn)生的令牌。優(yōu)選地��,新消息是從MS發(fā)送的訪問請(qǐng)求消息,其中��,如OASIS WS安全規(guī)范所述���,將令牌添加在SOAP封裝中�����,作為附加字段���。在步驟38,將新的訪問請(qǐng)求消息(包括令牌)傳遞到STI以進(jìn)行傳輸��。STI先前在它的存儲(chǔ)器中復(fù)制并存儲(chǔ)提取出信息的數(shù)據(jù)包�,隨后將接收的訪問請(qǐng)求消息發(fā)送到應(yīng)用服務(wù)器11(步驟39)。
如果數(shù)字簽名被附加到令牌�,則應(yīng)用服務(wù)器通過詢問PKI服務(wù)來(lái)檢驗(yàn)數(shù)字簽名(步驟40)。例如����,PKI檢驗(yàn)令牌的數(shù)字簽名證書是否有效。
最終���,通過令牌接收到對(duì)訂戶標(biāo)識(shí)的驗(yàn)證的應(yīng)用服務(wù)器11向驗(yàn)證的訂戶提供所請(qǐng)求的服務(wù)(步驟41)���。
應(yīng)注意到在圖3中描述的驗(yàn)證機(jī)制對(duì)于用戶是透明的�,所述用戶不需要輸入用于訪問服務(wù)的證明���。此外����,驗(yàn)證機(jī)制允許通過SSO機(jī)制對(duì)多個(gè)服務(wù)進(jìn)行透明訪問�����,所述SSO機(jī)制通常預(yù)先假設(shè)在提供服務(wù)的服務(wù)提供者(標(biāo)識(shí)聯(lián)盟)中間存在協(xié)議���。
圖4示出根據(jù)本發(fā)明另一實(shí)施例的連接到外部IP網(wǎng)絡(luò)的分組交換網(wǎng)絡(luò)的框圖。MS 2以無(wú)線電方式鏈接到分組交換移動(dòng)網(wǎng)絡(luò)13�,例如,UMTS網(wǎng)絡(luò)�。盡管沒有詳細(xì)示出,但是移動(dòng)網(wǎng)絡(luò)13包括AAA服務(wù)器和GGSN����。在該實(shí)施例中,IP網(wǎng)絡(luò)是下一代網(wǎng)絡(luò)(NGN)15,其作為基于分組的網(wǎng)絡(luò)���,允許基于分組的互聯(lián)網(wǎng)與電話網(wǎng)絡(luò)之間的趨同�,并支持各種類型的用戶通信量(包括語(yǔ)音�、數(shù)據(jù)和視頻)。NGN技術(shù)的應(yīng)用是語(yǔ)音轉(zhuǎn)IP(VoIP)����。在該示例中,NGN網(wǎng)絡(luò)中的呼叫/會(huì)話功能基于會(huì)話啟動(dòng)協(xié)議(SIP)�。根據(jù)圖4所示的實(shí)施例,移動(dòng)電話MS 2通過NGN 15將SIP消息尋址到SIP服務(wù)器14��。由驗(yàn)證平臺(tái)17截取離開移動(dòng)網(wǎng)絡(luò)13的GGSN的SIP消息����。驗(yàn)證平臺(tái)17包括STI 10、IA 9��,并且可選地包括PKI 8���,它們與參照?qǐng)D1描述的STI 10���、IA 9和PKI 8具有相同的一般邏輯功能����。在驗(yàn)證之后��,SIP服務(wù)器14總是通過NGN 15將SIP消息轉(zhuǎn)發(fā)到SIP電話16�����,SIP電話16為包括客戶機(jī)應(yīng)用(即���,用戶代理客戶機(jī)和用戶代理服務(wù)器)的IP節(jié)點(diǎn)�����,所述客戶機(jī)應(yīng)用用于向其它電話發(fā)起呼叫和從其它電話接收呼叫,其中����,所述SIP電話16為基于IP的電話或陸上線路/蜂窩電話,并且作為示例�,可安裝在個(gè)人計(jì)算機(jī)上。SIP消息的示例是從移動(dòng)電話2發(fā)起以與SIP電話16建立多媒體呼叫(例如��,視頻會(huì)議)的請(qǐng)求�����。
在圖5示意性示出通過NGN到在SIP服務(wù)器中主管的SIP服務(wù)的訪問操作的處理示圖。MS 2通過使用SIP協(xié)議來(lái)請(qǐng)求訪問在NGN中提供的服務(wù)����。作為示例,所述服務(wù)是視頻會(huì)議會(huì)話的設(shè)立�����,該服務(wù)可通過INVITE命令來(lái)請(qǐng)求���。作為示例��,SIP消息可以是“INVITE sipname@acme.comSIP/2.0”����,其中�,name@acme.com是Request_URI,其為指定SIP消息的目的地的SIP URI(例如����,URL)。Request_URI可以是用戶或在SIP電話中定義的用戶代理服務(wù)器�����。在該示例中,Request_URI是由SIP電話16定義的用戶��?����?赏ㄟ^TCP或UDP在網(wǎng)絡(luò)層傳輸SIP消息�����。
步驟50以簡(jiǎn)化的方式表示MS 2與GGSN 6之間的相互作用��,其對(duì)于MS訪問外部網(wǎng)絡(luò)是必需的�����。在步驟50期間��,至少在數(shù)據(jù)會(huì)話的持續(xù)期間�,由AAA 7識(shí)別和授權(quán)MS���,所述AAA 7將IP地址分配給MS�����,并在存儲(chǔ)器中存儲(chǔ)IP地址與訂戶標(biāo)識(shí)(例如�����,IMSI)之間的映射信息�����。在步驟50的移動(dòng)網(wǎng)絡(luò)內(nèi)的授權(quán)和驗(yàn)證階段之后���,由GGSN將在數(shù)據(jù)包中攜帶的訪問請(qǐng)求消息轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)(步驟51)����。步驟51的虛線表示在沒有根據(jù)本發(fā)明的驗(yàn)證機(jī)制的情況下����,消息經(jīng)過的邏輯路徑,即��,消息被發(fā)送到SIP服務(wù)器15�。
根據(jù)本發(fā)明���,在步驟52,由位于GGSN與NGN之間的STI 10來(lái)截取SIP消息��。STI從截取的數(shù)據(jù)包提取源IP地址(即�,分配給MS的地址)和目的地IP地址,即���,可處理請(qǐng)求并將INVITE消息轉(zhuǎn)發(fā)到正確的被呼叫者(由SIP URI來(lái)指示)的SIP服務(wù)器的地址�����。STI隨后將SIP消息和訂戶IP地址轉(zhuǎn)發(fā)到IA 9(步驟52)��。
在步驟53�����,IA 9詢問AAA 7以確定訂戶標(biāo)識(shí)��,所述標(biāo)識(shí)相應(yīng)于在包含SIP消息的數(shù)據(jù)包中捕獲的源IP地址�。在步驟54�,AAA 7通過向IA提供被關(guān)聯(lián)到IP地址的訂戶標(biāo)識(shí)(在這種情況下,由IMSI表示)來(lái)響應(yīng)于所述詢問�����。
在下一步驟(步驟54)��,IA產(chǎn)生包括訂戶標(biāo)識(shí)符的令牌���。作為示例����,可根據(jù)SAML規(guī)范來(lái)定義令牌(在圖5中指示為[SAML]令牌)��。優(yōu)選地�,所述標(biāo)識(shí)符是由IA創(chuàng)建并關(guān)聯(lián)到IMSI的假名。
可選地��,將令牌轉(zhuǎn)發(fā)到PKI 8服務(wù)����,以向令牌附加數(shù)字簽名和/或根據(jù)已知加密機(jī)制來(lái)對(duì)其進(jìn)行加密(步驟55)。在步驟56�,PKI返回用數(shù)字簽名證明和/或通過加密確保安全的令牌。在圖5中�,用DS來(lái)指示證明/加密的令牌([SAML]令牌)。
緊接著步驟54(或者在包括PKI服務(wù)的情況下�����,緊接著步驟56),IA創(chuàng)建新的訪問請(qǐng)求消息����,用“New SIP header”來(lái)指示,其包括產(chǎn)生的令牌���。優(yōu)選地��,新消息是從MS發(fā)送的訪問請(qǐng)求消息�����,其中����,如在圖5中由SIP頭部61所示���,將令牌添加在SIP頭部中���,作為SIP協(xié)議中描述的附加字段。在DS([SAML]令牌)之間的字段“SAML-Payload”是由IETF定義的關(guān)鍵字��,它用于識(shí)別SAML令牌頭部。
將新的訪問請(qǐng)求消息(包括令牌)傳遞到STI以進(jìn)行傳輸(步驟57)�����。STI隨后將接收的SIP消息61指向SIP服務(wù)器14(步驟58)�。
如果數(shù)字簽名被附加到令牌����,則應(yīng)用服務(wù)器通過詢問PKI服務(wù)來(lái)檢驗(yàn)數(shù)字簽名(步驟59)。
最終��,通過令牌接收到對(duì)訂戶標(biāo)識(shí)的驗(yàn)證的應(yīng)用服務(wù)器14通過將“200 OK”消息發(fā)送到MS來(lái)發(fā)送對(duì)INVITE消息的肯定響應(yīng)(步驟60)�����,該肯定響應(yīng)為對(duì)INVITE的標(biāo)準(zhǔn)SIP肯定響應(yīng)�。隨后可在端點(diǎn)之間建立使用RTP的視聽流。
參照回圖4���,盡管將驗(yàn)證平臺(tái)17示為處于移動(dòng)網(wǎng)絡(luò)的外部�����,但是可在移動(dòng)網(wǎng)絡(luò)13中(即�,在移動(dòng)運(yùn)營(yíng)商的安全域中)實(shí)現(xiàn)驗(yàn)證平臺(tái)17。
圖6示出根據(jù)本發(fā)明優(yōu)選實(shí)施例的示例���,對(duì)在應(yīng)用服務(wù)器中主管的Web站點(diǎn)的訪問操作的處理示圖�����。對(duì)Web站點(diǎn)的訪問來(lái)自于電路交換移動(dòng)網(wǎng)絡(luò)(諸如GSM)或來(lái)自GPRS�����,它們通過使用無(wú)線應(yīng)用協(xié)議(WAP)連接到IP網(wǎng)絡(luò)�。根據(jù)本發(fā)明����,MS 2(例如,GSM電話)包含截取WAP數(shù)據(jù)的微瀏覽器�。使用諸如UDP的網(wǎng)絡(luò)協(xié)議來(lái)發(fā)送所述WAP數(shù)據(jù)。應(yīng)用服務(wù)器可以是專門的WAP服務(wù)器或傳統(tǒng)Web服務(wù)器�。由GGSN 6來(lái)執(zhí)行蜂窩是網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的網(wǎng)關(guān)的邏輯功能。
作為示例�����,圖6所示的實(shí)施例可應(yīng)用于由自由聯(lián)盟計(jì)劃定義的標(biāo)識(shí)聯(lián)盟框架(ID-EF)����。ID-EF基于SAML標(biāo)準(zhǔn)并提供基于標(biāo)準(zhǔn)SOAP的驗(yàn)證以及到標(biāo)識(shí)提供者的單一簽入服務(wù)接口�����。
在圖6中��,作為示例,MS通過使用HTTP協(xié)議請(qǐng)求訪問在公共IP網(wǎng)絡(luò)中提供的服務(wù)“abc”在圖6中����,給出HTTP GET請(qǐng)求的示例,即���,“GET/abc HTTP/1.1”����。步驟71通過簡(jiǎn)化的方式表示MS 2與GGSN6之間的相互作用����,其對(duì)于MS訪問外部網(wǎng)絡(luò)是必需的。在步驟71期間��,由AAA 7至少在數(shù)據(jù)會(huì)話的持續(xù)期間識(shí)別和授權(quán)MS��,所述AAA7將IP地址分配給MS并在存儲(chǔ)器中存儲(chǔ)IP地址與訂戶標(biāo)識(shí)之間的映射信息。在該實(shí)施例中�,訂戶標(biāo)識(shí)包括IMSI。在步驟71的蜂窩式網(wǎng)絡(luò)內(nèi)的授權(quán)和驗(yàn)證階段之后�����,由GGSN將在數(shù)據(jù)包中攜帶的訪問請(qǐng)求消息轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)(步驟72)�����。步驟72的虛線表示在沒有根據(jù)本發(fā)明的驗(yàn)證機(jī)制的情況下���,消息經(jīng)過的邏輯路徑����,即�����,消息被發(fā)送到Web/WAP服務(wù)器�。
根據(jù)本發(fā)明,在步驟72�����,由位于GGSN與公共網(wǎng)絡(luò)之間的STI 10來(lái)截取包含訪問請(qǐng)求消息的數(shù)據(jù)包。STI從截取的數(shù)據(jù)包提取訂戶的IP地址(即�,用于會(huì)話而分配給MS的地址)以及IP目的地地址(即,應(yīng)用服務(wù)器11的地址)�。STI隨后將應(yīng)用消息(在這種情況下為HTTPGET消息)和訂戶的IP地址轉(zhuǎn)發(fā)給IA 9(步驟73)。
在步驟74�����,IA 9詢問AAA 7以確定訂戶(通過MS 2連接到蜂窩式網(wǎng)絡(luò))的標(biāo)識(shí)����,所述標(biāo)識(shí)相應(yīng)于在數(shù)據(jù)包中捕獲的源IP地址��。在步驟75���,AAA 7通過向IA提供關(guān)聯(lián)到IP地址的訂戶標(biāo)識(shí)(在這種情況下����,由IMSI表示)來(lái)響應(yīng)于所述詢問����。
在下一步驟(步驟76),IA產(chǎn)生包括訂戶標(biāo)識(shí)符的令牌��。優(yōu)選地,所述包括在令牌中的標(biāo)識(shí)符是由IA創(chuàng)建并關(guān)聯(lián)到IMSI的假名���。作為示例��,可根據(jù)SAML規(guī)范來(lái)定義所述令牌(在圖6中指示為[SAML]令牌)��。優(yōu)選地�����,所述標(biāo)識(shí)符是由IA創(chuàng)建并關(guān)聯(lián)到IMSI的假名���。
可選地,將令牌轉(zhuǎn)發(fā)到PKI 8服務(wù)����,以向令牌附加數(shù)字簽名和/或根據(jù)已知加密機(jī)制來(lái)對(duì)其進(jìn)行加密(步驟76)。在步驟77�����,PKI返回用數(shù)字簽名證明和/或通過加密確保安全的令牌��。在圖6中�����,用DS來(lái)指示證明/加密的令牌([SAML]令牌)。
緊接著步驟75(或者在包括PKI服務(wù)的情況下����,緊接著步驟77),IA根據(jù)由自由聯(lián)盟定義的標(biāo)準(zhǔn)創(chuàng)建充當(dāng)?shù)絊AML聲明的指針的“偽象”����。所述偽象在圖6中用“Artifact(SAML)”來(lái)指示。隨后在步驟78將偽象提供給STI���。在步驟79��,STI將包含“Artifact(SAML)”的HTTP GET消息發(fā)送到Web/WAP服務(wù)器。在步驟80期間����,已接收到包含偽象的訪問請(qǐng)求消息的服務(wù)器請(qǐng)求IA提供與偽象相應(yīng)的SAML令牌。在接收到包括作出請(qǐng)求的移動(dòng)訂戶的標(biāo)識(shí)符的SAML令牌之后���,識(shí)別(并授權(quán))所述訂戶�����,服務(wù)器(即�,服務(wù)提供者)隨后將肯定響應(yīng)“welcome”發(fā)送到MS(步驟81)。
圖7示出本發(fā)明的另一優(yōu)選實(shí)施例�,其中,請(qǐng)求服務(wù)的訂戶的第一網(wǎng)絡(luò)是ADSL接入網(wǎng)絡(luò)����,而第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)。圖7的實(shí)施例可代表以下的示例性情況��,其中���,ADSL網(wǎng)絡(luò)的訂戶想要從她/他的個(gè)人計(jì)算機(jī)(PC)2通過IP網(wǎng)絡(luò)訪問在應(yīng)用服務(wù)器24中主管的Web站點(diǎn)的服務(wù)����。在該示例中��,通過標(biāo)準(zhǔn)串行USB(通用串行總線)接口將PC18連接到ADSL調(diào)制解調(diào)器19�。PC 18和ADSL調(diào)制解調(diào)器19通常被稱為用戶宅室設(shè)備(CPE)68。然而����,可考慮替換CPE,諸如連接到一個(gè)或多個(gè)PC、IP電話或連接到TV機(jī)頂盒的住宅網(wǎng)關(guān)����。因此,通常采用CPE來(lái)發(fā)起��,路由或終止電信�,并且作為示例,通過從PC鍵盤輸入登錄ID和密碼或通過從住宅網(wǎng)關(guān)進(jìn)行自動(dòng)驗(yàn)證(例如���,通過包括在智能卡或嵌入住宅網(wǎng)關(guān)的固件中的代碼串)來(lái)提供對(duì)訪問PDN的驗(yàn)證請(qǐng)求��。重點(diǎn)在于所述驗(yàn)證在接入網(wǎng)絡(luò)內(nèi)進(jìn)行以授權(quán)訪問PDN(例如��,互聯(lián)網(wǎng))���。
經(jīng)由CPE 68將訂戶與DSL接入復(fù)用器(DSLAM)30連接。DSLAM 30包括復(fù)用器/解復(fù)用器�,并且用戶線路(即,有線鏈路67)連接到位于中央局(運(yùn)營(yíng)商室內(nèi))66的DSLAM內(nèi)的分配的ADSL終端單元�����。DSLAM 30上行鏈接到寬帶網(wǎng)絡(luò)訪問服務(wù)器(BNAS)29�����,器提供包括路由或服務(wù)選擇的應(yīng)用層會(huì)話管理����。CPE駐留在端點(diǎn)用戶位置(例如,家庭或辦公室)�,其在圖7中用標(biāo)號(hào)20示意性示出。CPE與DSLAM之間的連接為有線鏈路67�,其通常為標(biāo)準(zhǔn)銅制電話線。傳統(tǒng)模擬電話(即�����,簡(jiǎn)易老式電話系統(tǒng)(POTS)23)可選擇性地經(jīng)由相同的有線鏈路67與PSTN 25連接�����。因此�,有線鏈路67可攜帶POTS信號(hào)與DSL信號(hào)兩者。BNAS 29連同DSLAM 30用作到外部分組數(shù)據(jù)網(wǎng)絡(luò)的網(wǎng)關(guān)�����,在所述情況下�����,外部分組數(shù)據(jù)網(wǎng)絡(luò)是IP網(wǎng)絡(luò)22。注意到以下情況很重要CPE與DSLAM之間的通信使用用戶室內(nèi)與中央局之間的專門有線鏈路�,由此確保在DSL基礎(chǔ)結(jié)構(gòu)內(nèi)通信的高級(jí)安全性。
BNAS處理對(duì)請(qǐng)求訪問IP網(wǎng)絡(luò)的訂戶的驗(yàn)證���,以便授權(quán)所述訂戶進(jìn)行訪問����。由認(rèn)證�、授權(quán)和計(jì)費(fèi)(AAA)服務(wù)器26來(lái)實(shí)施登錄驗(yàn)證。AAA服務(wù)器26執(zhí)行類似與在圖1的實(shí)施例中描述的AAA服務(wù)器的邏輯操作�����。具體說(shuō)來(lái)�,AAA服務(wù)器包含數(shù)據(jù)庫(kù),其中�����,將分配的IP地址關(guān)聯(lián)到xDSL網(wǎng)絡(luò)內(nèi)的訂戶標(biāo)識(shí)���。根據(jù)已知方法�,對(duì)訪問PDN的驗(yàn)證(可稱為登錄驗(yàn)證)可基于以密碼為基礎(chǔ)的機(jī)制����、智能卡或加密令牌。優(yōu)選的登錄驗(yàn)證機(jī)制使用登錄ID��,其通常是關(guān)聯(lián)到密碼的用戶名���,當(dāng)請(qǐng)求連接到外部數(shù)據(jù)網(wǎng)絡(luò)時(shí)由訂戶輸入�����。還可將訂戶ID包括在智能卡中�。登錄ID的使用允許在可采用相同訂戶站的不同用戶之間進(jìn)行區(qū)分�,作為示例,所述用戶為通過相同PC連接的用戶���?����;蛘?�,可通過PSTN的呼叫線路標(biāo)識(shí)(CLI)在ADSL基礎(chǔ)結(jié)構(gòu)內(nèi)識(shí)別所述訂戶�����。
根據(jù)本發(fā)明�,安全令牌注入器(STI)65在邏輯上鏈接到BNAS 29。定位STI以控制從ADSL網(wǎng)絡(luò)進(jìn)入的通信量��。具體說(shuō)來(lái)�����,STI 65截取從CPE 68產(chǎn)生并通過BNAS 29被定向到IP網(wǎng)絡(luò)22的數(shù)據(jù)包����。
STI 65至少操作在網(wǎng)絡(luò)層,并且捕獲離開BNAS 29的數(shù)據(jù)包��。如果STI僅操作在網(wǎng)絡(luò)層或僅到達(dá)傳輸層���,則由于STI無(wú)法識(shí)別在數(shù)據(jù)包中攜帶的應(yīng)用消息���,例如,其無(wú)法識(shí)別是否是訪問請(qǐng)求消息以及在哪個(gè)應(yīng)用層協(xié)議攜帶所述消息�����,所以STI需要捕獲離開BNAS(并定向到IP網(wǎng)絡(luò))的所有數(shù)據(jù)包。在STI還操作在應(yīng)用層的情況下�����,其可識(shí)別訪問請(qǐng)求消息并區(qū)分不同的應(yīng)用層協(xié)議��。例如���,如果還操作在應(yīng)用層,則可將STI編程為僅截取HTTP訪問請(qǐng)求消息����,并且使按照其它協(xié)議編制的消息通過。
STI 65的一般邏輯功能類似于參照?qǐng)D1描述的STI 10的一般邏輯功能�����。具體說(shuō)來(lái)���,STI在攜帶訪問請(qǐng)求消息的數(shù)據(jù)包中必須截取的最少信息是關(guān)于訂戶地址的在網(wǎng)絡(luò)層的信息����,例如�,在互聯(lián)網(wǎng)中��,指的是分配到訂戶的IP地址��。
包含在由STI 65捕獲的數(shù)據(jù)包中的信息的至少一部分被傳遞到軟件部件標(biāo)識(shí)局(IA)64�����,其操作在應(yīng)用層上��。IA負(fù)責(zé)管理訪問外部PDN(即�����,IP網(wǎng)絡(luò)22)的訂戶的標(biāo)識(shí)�����。IA至少?gòu)腟TI接收訂戶IP地址和關(guān)于訪問請(qǐng)求消息的應(yīng)用層協(xié)議的信息����??赏ㄟ^從STI接收數(shù)據(jù)包(如果STI最高僅操作在網(wǎng)絡(luò)/傳輸層,則所述數(shù)據(jù)包為“閉合封裝”)來(lái)獲得所述關(guān)于訪問請(qǐng)求消息的應(yīng)用層協(xié)議的信息����,或者如果STI還操作在應(yīng)用層上��,則可通過接收諸如協(xié)議類型的特定信息來(lái)獲得所述信息��。
IA 64的邏輯功能基本上與參照?qǐng)D1描述的那些邏輯功能相同�。具體說(shuō)來(lái)���,IA通過從STI 65得知請(qǐng)求服務(wù)的訂戶的IP地址以及通過詢問AAA 26而得知訂戶的標(biāo)識(shí)來(lái)識(shí)別所述訂戶(即��,作為示例,經(jīng)由智能卡登錄或通過CLI來(lái)識(shí)別訂戶站)��,其中����,所述AAA 26包含分配的IP地址與訂戶標(biāo)識(shí)之間的映射。
優(yōu)選地�����,IA存儲(chǔ)關(guān)于訂戶標(biāo)識(shí)和他/她請(qǐng)求的服務(wù)的信息�����。關(guān)于請(qǐng)求的服務(wù)的信息可以是服務(wù)提供者的IP地址和/或URI��,以及/或者在服務(wù)提供者使用不同的協(xié)議提供更多服務(wù)的情況下(例如,對(duì)電子郵件帳戶使用POP3���,對(duì)Web導(dǎo)航使用HTTP)�,所述信息是服務(wù)所使用的協(xié)議�。在圖8中,描述存儲(chǔ)在IA 64中的信息表的示例���。所示的表為想要訪問一個(gè)或多個(gè)服務(wù)的訂戶A�、B和C提供映射���,所述服務(wù)表征為服務(wù)提供者SP-1�����、SP-2等��。在圖8的示例中��,訂戶通過他們的登錄ID(例如�,用戶名和密碼(LOGIN-A�����、LOGIN-B等))來(lái)識(shí)別。優(yōu)選地�,由IA為每個(gè)訂戶創(chuàng)建偽PS,例如��,創(chuàng)建與訂戶的登錄ID相應(yīng)的PS�����?���;蛘?,如圖8所示,可為訂戶產(chǎn)生更多的假名�����,其中�,每個(gè)假名表征由訂戶請(qǐng)求的特定服務(wù)。作為優(yōu)選�����,創(chuàng)建假名,以便避免公開諸如CLI或登錄ID的敏感數(shù)據(jù)���。
在檢驗(yàn)訂戶的標(biāo)識(shí)之后(例如�,通過將IP地址和與訂戶相關(guān)的登錄ID映射)�,IA根據(jù)訪問請(qǐng)求消息的應(yīng)用層協(xié)議來(lái)產(chǎn)生軟件令牌。例如���,將所述令牌插入訪問請(qǐng)求消息�,作為插入消息的現(xiàn)有應(yīng)用頭部的字段或作為在消息中添加的新的應(yīng)用頭部���。
根據(jù)STI操作在哪一層�,可由IA將令牌插入消息中��,或者IA可命令STI將令牌插入消息中��。后一種選擇假設(shè)STI也操作在應(yīng)用層上����。在任何一種情況下,STI將修改的訪問請(qǐng)求消息(即����,包含令牌)發(fā)送到應(yīng)用服務(wù)器24,應(yīng)用服務(wù)器24接收驗(yàn)證的消息。
驗(yàn)證令牌包括關(guān)聯(lián)到在固定接入網(wǎng)絡(luò)中定義的訂戶標(biāo)識(shí)的訂戶標(biāo)識(shí)符����。
優(yōu)選地,包括在令牌中的訂戶標(biāo)識(shí)符是關(guān)聯(lián)訂戶標(biāo)識(shí)(例如����,CLI或登錄ID)的假名。盡管本發(fā)明不排除在驗(yàn)證令牌中使用在PSTN或固定接入網(wǎng)絡(luò)中定義的訂戶標(biāo)識(shí)���,但是假名的使用保護(hù)了訂戶的隱私�����,并防止公開敏感信息���?;蛘撸瑯?biāo)識(shí)符可以是由PSTN運(yùn)營(yíng)商根據(jù)(例如)訂戶的信用分配給訂戶的授權(quán)串/代碼�����。盡管優(yōu)選的是標(biāo)識(shí)符唯一明確地相應(yīng)于訂戶標(biāo)識(shí)��,但是可為一組訂戶(例如,按照年齡的分組)分配相同的授權(quán)串/代碼����。
可選地,IA 64在將產(chǎn)生的令牌發(fā)送到STI之前����,將所述令牌傳遞到公共密鑰基礎(chǔ)結(jié)構(gòu)(PKI)服務(wù)63,所述PKI服務(wù)63通過經(jīng)由非對(duì)稱加密將數(shù)字簽名添加到令牌來(lái)證明所述令牌�,而非對(duì)稱加密本身是公知的。
盡管STI 65和IA 64被示為BNAS 29外部的分離部件�����,但是可在BNAS之內(nèi)優(yōu)選地實(shí)現(xiàn)STI 65和IA 64�����,例如�����,將其實(shí)現(xiàn)為嵌入BNAS的控制邏輯中的軟件模塊�。由于這樣將消除BNAS與STI之間的物理連接,所以可提高STI針對(duì)網(wǎng)絡(luò)層攻擊的安全性���。
盡管在數(shù)字訂戶線路(DSL)技術(shù)(特別是ADSL技術(shù))的情況下參照?qǐng)D7和圖9描述了本發(fā)明的實(shí)施例�,但是應(yīng)理解本發(fā)明并不受限于xDSL技術(shù)。事實(shí)上��,還可在本發(fā)明的其它實(shí)施例中使用其它接入接入和/或網(wǎng)絡(luò)配置���,例如但不受限于混合同軸光纖(HFC)���、無(wú)線連接(例如,WiFi或WiMAX)��、光纖到戶(FTTH)和/或以太網(wǎng)�。
圖9示出對(duì)在應(yīng)用服務(wù)器中主管的Web站點(diǎn)的訪問操作的處理示圖。在處理流程中相互作用的主要部件具有與參照?qǐng)D7所描述的部件相同的一般邏輯功能�����,并使用相同的標(biāo)號(hào)來(lái)指示�。在所述實(shí)施例中,訂戶站通過使用SOAP協(xié)議請(qǐng)求訪問在公共IP網(wǎng)絡(luò)中提供的服務(wù)“abc”�。作為示例,HTTP請(qǐng)求可以是HTTP POST���,例如�����,“POST/abcHTTP/1.1”����。訂戶站在該實(shí)施例中作為鏈接到ADSL調(diào)制解調(diào)器的端點(diǎn)用戶外圍裝置18(例如�,PC),在步驟91通過本身已知的方式在ADSL基礎(chǔ)結(jié)構(gòu)內(nèi)進(jìn)行驗(yàn)證�。即,步驟91通過簡(jiǎn)化的方式表示PC 18(經(jīng)由DSL調(diào)制解調(diào)器)與BNAS 29之間的相互作用�,其對(duì)于訂戶站訪問外部網(wǎng)絡(luò)是必需的。在驗(yàn)證階段內(nèi)�,AAA 7至少在數(shù)據(jù)會(huì)話的持續(xù)期間將IP地址分配給訂戶站并在存儲(chǔ)器中存儲(chǔ)IP地址與訂戶標(biāo)識(shí)之間的映射信息。隨后從ADSL接入網(wǎng)絡(luò)授權(quán)訂戶站來(lái)訪問IP服務(wù)�����,并向訂戶分配IP地址�。
在步驟91的接入網(wǎng)絡(luò)內(nèi)的授權(quán)和驗(yàn)證階段之后,在步驟92��,由BNAS將在數(shù)據(jù)包中攜帶的訪問請(qǐng)求消息轉(zhuǎn)發(fā)到外部網(wǎng)絡(luò)���。步驟92的虛線表示在沒有根據(jù)本發(fā)明的驗(yàn)證機(jī)制的情況下�����,消息經(jīng)過的邏輯路徑�����,即�,消息被發(fā)送到應(yīng)用服務(wù)器24。
根據(jù)本發(fā)明�,在步驟92,由位于BNAS 29與公共網(wǎng)絡(luò)之間的STI65來(lái)截取包含訪問請(qǐng)求消息的數(shù)據(jù)包���。STI從截取的數(shù)據(jù)包提取訂戶的IP地址(即���,用于會(huì)話而分配給訂戶站的地址),優(yōu)選地��,還提取IP目的地地址(即��,應(yīng)用服務(wù)器24的地址)�。STI隨后將應(yīng)用消息(在這種情況下為SOAP消息)和訂戶的IP地址轉(zhuǎn)發(fā)給IA 64(步驟93)。
如果STI操作在低于應(yīng)用層的層上�����,則作為示例����,通過向IA轉(zhuǎn)發(fā)應(yīng)用頭部,將消息自動(dòng)轉(zhuǎn)發(fā)到IA�。反之,如果STI操作在應(yīng)用層上�,則STI識(shí)別在應(yīng)用層消息中使用的協(xié)議,在這種情況下�,所述協(xié)議為HTTP協(xié)議上的SOAP。在所述的任何一種情況下����,IA得知訂戶的IP地址以及消息所符合的應(yīng)用層協(xié)議。作為示例��,可通過以公共對(duì)象請(qǐng)求代理機(jī)體系結(jié)構(gòu)(CORBA)(諸如接口定義語(yǔ)言(IDL))指定的接口或以Web服務(wù)語(yǔ)言(諸如Web服務(wù)描述語(yǔ)言(WSDL))指定的接口來(lái)產(chǎn)生STI與IA之間的信息傳輸����。
在步驟94,IA 64詢問AAA 26以確定PSTN中訂戶的標(biāo)識(shí)��,所述標(biāo)識(shí)相應(yīng)于在數(shù)據(jù)包中捕獲的源IP地址��。在步驟95����,AAA 26通過向IA提供關(guān)聯(lián)到IP地址的訂戶標(biāo)識(shí)(在這種情況下�,由登錄ID表示)來(lái)響應(yīng)于所述詢問����。
在下一步驟(步驟96),IA產(chǎn)生包括訂戶標(biāo)識(shí)符的令牌�����。作為示例�����,可根據(jù)WS安全規(guī)范來(lái)定義令牌���,例如����,字符串(在圖9中指示為<WS>令牌)�����。優(yōu)選地,包括在令牌中的標(biāo)識(shí)符是由IA創(chuàng)建并關(guān)聯(lián)到登錄ID的假名���。如在圖8中示出的示例�,諸如在為相同訂戶創(chuàng)建更多假名(即�,相同的登錄ID)以訪問會(huì)話內(nèi)的不同服務(wù)的情況下�,在單一簽入(SSO)訪問機(jī)制的情況下,可將所述標(biāo)識(shí)符關(guān)聯(lián)到服務(wù)提供者���。至少在會(huì)話的持續(xù)期間�����,IA追蹤假名與在PSTN中定義的訂戶標(biāo)識(shí)(例如���,登錄ID或CLI)之間的映射。
可選地����,將令牌轉(zhuǎn)發(fā)到PKI 63服務(wù),以向令牌附加數(shù)字簽名或根據(jù)已知加密機(jī)制來(lái)對(duì)其進(jìn)行加密(步驟97)�。在步驟98,PKI返回用數(shù)字簽名證明和/或通過加密確保安全的令牌���。在圖9中�����,用DS來(lái)指示證明/加密的令牌(<WS>令牌)���。
緊接著步驟95(或者在包括PKI服務(wù)的情況下���,緊接著步驟97),IA創(chuàng)建新的訪問請(qǐng)求消息���,用“New-soap”來(lái)指示����,其包括產(chǎn)生的令牌(步驟98)����。在步驟98,將新的訪問請(qǐng)求消息(包括令牌)傳遞到STI以進(jìn)行傳輸��。作為示例�����,新消息是從訂戶站發(fā)送的訪問請(qǐng)求消息,其中�,如OASIS WS安全規(guī)范所述,將令牌添加在SOAP封裝中���,作為附加字段����。STI先前在它的存儲(chǔ)器中復(fù)制并存儲(chǔ)提取出信息的數(shù)據(jù)包�����,隨后將接收的訪問請(qǐng)求消息發(fā)送到應(yīng)用服務(wù)器24(步驟99)����。
如果數(shù)字簽名被附加到令牌��,則應(yīng)用服務(wù)器通過詢問PKI服務(wù)來(lái)檢驗(yàn)數(shù)字簽名(步驟100)�。例如,PKI檢驗(yàn)令牌的數(shù)字簽名證書是否有效���。
最終�����,通過令牌接收到對(duì)訂戶標(biāo)識(shí)的驗(yàn)證的應(yīng)用服務(wù)器14向驗(yàn)證的訂戶提供所請(qǐng)求的服務(wù)(步驟101)�。
應(yīng)注意到在圖9中描述的驗(yàn)證機(jī)制對(duì)于用戶是透明的,所述用戶不需要輸入用于訪問服務(wù)的證明����。此外,驗(yàn)證機(jī)制允許通過SSO機(jī)制對(duì)多個(gè)服務(wù)進(jìn)行透明訪問����,所述SSO機(jī)制通常預(yù)先假設(shè)在提供服務(wù)的服務(wù)提供者(標(biāo)識(shí)聯(lián)盟)中間存在協(xié)議。
近年來(lái)��,以下情況變得越來(lái)越普遍用戶是多個(gè)電信網(wǎng)絡(luò)的訂戶�����,由此想要或需要訪問來(lái)自不同網(wǎng)絡(luò)的應(yīng)用服務(wù)�。如參照?qǐng)D2到圖8所述,可為相同的訂戶創(chuàng)建不同的隨機(jī)數(shù)�����,所述訂戶進(jìn)入可(但不受限于)由不同服務(wù)提供者傳送的不同應(yīng)用服務(wù)���。申請(qǐng)人注意到可通過假名在服務(wù)應(yīng)用(即��,對(duì)于服務(wù)提供者)識(shí)別用戶��,所述假名對(duì)于用戶訪問服務(wù)的不同網(wǎng)絡(luò)而言是相同的�����。圖10示意性示出用戶是多于電信網(wǎng)絡(luò)(即����,ADSL接入網(wǎng)絡(luò)121、無(wú)線(WiFi接入網(wǎng)絡(luò)124��、GPRS/GSM網(wǎng)絡(luò)128和UMTS網(wǎng)絡(luò)126))的訂戶�。用戶可從網(wǎng)絡(luò)121、124�、126或128通過IP網(wǎng)絡(luò)120發(fā)送對(duì)在應(yīng)用服務(wù)器129的應(yīng)用服務(wù)的請(qǐng)求��。在第一網(wǎng)絡(luò)內(nèi)激活A(yù)P地址�����,在第一網(wǎng)絡(luò)中�,產(chǎn)生所述請(qǐng)求,并由總是位于第一網(wǎng)絡(luò)內(nèi)的AAA服務(wù)器(未示出)將其關(guān)聯(lián)到標(biāo)識(shí)符�。根據(jù)本發(fā)明的優(yōu)選實(shí)施例�����,將安全令牌注入器(STI)在邏輯上鏈接到每個(gè)第一網(wǎng)絡(luò)的訪問網(wǎng)關(guān)或接入點(diǎn)(例如��,BNAS�����、GGSN)����,其充當(dāng)?shù)絀P網(wǎng)絡(luò)的網(wǎng)關(guān)�����,其中�����,訂戶向所述第一網(wǎng)絡(luò)請(qǐng)求應(yīng)用服務(wù)����。STI的122、123�、125和127截取分別發(fā)源于網(wǎng)絡(luò)121�����、1 24���、126和127的訪問請(qǐng)求消息。盡管沒有在附圖中示出��,但是將每個(gè)STI在邏輯上鏈接到標(biāo)識(shí)局(IA)���,所述IA負(fù)責(zé)管理訂戶標(biāo)識(shí)�����,所述訂戶通過IP網(wǎng)絡(luò)訪問應(yīng)用服務(wù)���。將參照前面的實(shí)施例更加詳細(xì)地描述STI和IA的功能和邏輯操作。具體說(shuō)來(lái)����,每個(gè)第一網(wǎng)絡(luò)的IA從捕獲的IP地址得知訂戶標(biāo)識(shí)����,并將假名關(guān)聯(lián)到IP地址�,該IP地址不僅識(shí)別訂戶(通過它在第一網(wǎng)絡(luò)內(nèi)與訂戶標(biāo)識(shí)的關(guān)聯(lián))��,而且涉及請(qǐng)求的應(yīng)用服務(wù)�����。為了能夠?qū)⒄?qǐng)求的服務(wù)與假名關(guān)聯(lián)���,IA(或者在IA操作在應(yīng)用層情況下的STI)需要從訪問請(qǐng)求消息提取所請(qǐng)求的服務(wù)的URI�。通過得知URI����,可將訂戶標(biāo)識(shí)符關(guān)聯(lián)到涉及服務(wù)的假名,然后將其插入訪問請(qǐng)求消息����。可由運(yùn)行所請(qǐng)求的服務(wù)的服務(wù)提供者創(chuàng)建涉及服務(wù)的假名�,然后將其傳送到IA。有幾種解決方案可執(zhí)行所述傳送����。所述傳送也可通過以下方式來(lái)執(zhí)行通過由IA提供并由服務(wù)提供者使用的某些供應(yīng)工具的脫線方式,或者在運(yùn)行時(shí)間通過諸如由用于支持標(biāo)識(shí)聯(lián)盟的自由聯(lián)盟協(xié)會(huì)所指定的工具����。
應(yīng)注意到同樣在該實(shí)施例中�����,由第一網(wǎng)絡(luò)確保訂戶標(biāo)識(shí)�,其中��,用戶向所述第一網(wǎng)絡(luò)請(qǐng)求服務(wù)��。
多網(wǎng)絡(luò)訪問的可行方案可以是以下用戶的方案��,所述用戶為多個(gè)網(wǎng)絡(luò)的訂戶�����,例如�����,所述網(wǎng)絡(luò)為GPRS����、UMTS和固定接入網(wǎng)絡(luò)����,其中�����,所述固定接入網(wǎng)絡(luò)諸如通過PSTN的電話線路的xDSL���,這些網(wǎng)絡(luò)由多平臺(tái)運(yùn)營(yíng)商來(lái)管理。
申請(qǐng)人已注意到某些服務(wù)需要在客戶機(jī)(即�����,訂戶站)與服務(wù)器之間的相互驗(yàn)證�。換言之,當(dāng)采用通過諸如互聯(lián)網(wǎng)的外部網(wǎng)絡(luò)的某些服務(wù)時(shí)�����,用戶會(huì)需要或想要知道他或她是否真正與期望或正確的服務(wù)器進(jìn)行通信�����。如果遠(yuǎn)程計(jì)算機(jī)能夠模擬服務(wù)器的行為����,則會(huì)哄騙或欺騙用戶���,使其認(rèn)為他或她在與正確的服務(wù)器通信中。例如���,傳統(tǒng)上認(rèn)為關(guān)于金融機(jī)構(gòu)��、它們的客戶以及金融交易的信息對(duì)于安全性和可信度非常敏感?����,F(xiàn)在��,作為示例���,通常在互聯(lián)網(wǎng)銀行中使用非對(duì)稱密鑰對(duì)加密以確保安全性和秘密性。
圖11是示出根據(jù)本發(fā)明優(yōu)選實(shí)施例��,在相互驗(yàn)證的情況下����,通過PDN對(duì)在應(yīng)用服務(wù)器中主管的服務(wù)的訪問的簡(jiǎn)化處理示圖。在步驟113�����,可作為移動(dòng)站或CPE的訂戶站110請(qǐng)求在應(yīng)用服務(wù)器112中主管的服務(wù)。在該示例中���,所述消息是POST類型的HTTP訪問請(qǐng)求消息??偸窃诓襟E113,根據(jù)本發(fā)明的方法(在前面的實(shí)施例中更加詳細(xì)地描述)��,由STI 111截取所述消息��,創(chuàng)建令牌(即���,令牌-c)并將其關(guān)聯(lián)到所述消息����。STI隨后將帶有相關(guān)的令牌的消息發(fā)送到應(yīng)用服務(wù)器(步驟114)���。在接收到消息(并可選地檢驗(yàn)所述驗(yàn)證的有效期)之后��,服務(wù)器112創(chuàng)建應(yīng)答令牌(即����,令牌-c),其被輸入對(duì)接收POST消息的肯定響應(yīng)“Welcome”��。作為示例��,根據(jù)諸如SAML聲明的標(biāo)準(zhǔn)�����,令牌-s可以是通過運(yùn)行應(yīng)用服務(wù)(例如���,Java Servlet或微軟活動(dòng)服務(wù)器頁(yè))的軟件實(shí)現(xiàn)的字符串����?����;蛘?���,由邏輯上鏈接到服務(wù)器的邏輯實(shí)體(附圖中未示出)優(yōu)選地在服務(wù)提供者室內(nèi)產(chǎn)生令牌-s。應(yīng)用實(shí)體可以定位在應(yīng)用服務(wù)器前端的應(yīng)用防火墻��。
由STI 111來(lái)截取包括令牌-s并由應(yīng)用服務(wù)器112發(fā)送到訂戶站110的響應(yīng)消息����,所述STI 111從響應(yīng)消息提取令牌-s并檢驗(yàn)它的有效性���。可通過數(shù)字簽名或通過網(wǎng)絡(luò)運(yùn)營(yíng)商(假設(shè)STI位于運(yùn)營(yíng)商室內(nèi))與服務(wù)提供者之間共享的例如對(duì)稱密鑰的私鑰來(lái)檢驗(yàn)所述有效性���。如果令牌-s的有效性被肯定地驗(yàn)證,則STI將截取的肯定響應(yīng)消息“Welcome”發(fā)送到訂戶站(步驟116)����,或者STI創(chuàng)建將被發(fā)送到訂戶站10的新的肯定響應(yīng)消息。否則����,STI截取通信,并將出錯(cuò)消息發(fā)送到訂戶站(附圖中未示出)��。
在該實(shí)施例中����,假設(shè)STI操作在應(yīng)用層上,由此STI不僅可截取從應(yīng)用服務(wù)器發(fā)送的響應(yīng)消息����,而且提取令牌-s�����。應(yīng)理解到在STI最高操作到傳輸層的情況下�����,STI 111截取響應(yīng)消息�����,隨后將其發(fā)送到IA(在圖11中未示出)��,所述IA提取應(yīng)用層令牌-s并檢驗(yàn)它的有效性����。
優(yōu)選地�����,為了避免被未授權(quán)方截取或偷竊令牌-s���,可通過加密來(lái)保護(hù)所述令牌���,或?qū)⑺隽钆脐P(guān)聯(lián)到生存期��。
還值得注意到驗(yàn)證服務(wù)器的機(jī)制具有對(duì)端點(diǎn)用戶透明的優(yōu)點(diǎn)���。
權(quán)利要求
1.一種用于驗(yàn)證第一網(wǎng)絡(luò)的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的方法,其中��,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN)�����,并且對(duì)應(yīng)用服務(wù)的訪問是以封裝在數(shù)據(jù)包中的訪問請(qǐng)求消息的形式的����,所述數(shù)據(jù)包包括被分配給所述訂戶的所述第二網(wǎng)絡(luò)中的地址(訂戶地址)���,以及用符合應(yīng)用層協(xié)議的語(yǔ)法表示的所述訪問請(qǐng)求消息����,所述方法包括以下步驟a)截取到第二網(wǎng)絡(luò)的訪問請(qǐng)求消息��;b)識(shí)別應(yīng)用層協(xié)議�����;c)提供所述訂戶地址與第一網(wǎng)絡(luò)中的第一訂戶標(biāo)識(shí)符之間的映射;d)產(chǎn)生包括第二訂戶標(biāo)識(shí)符的第一驗(yàn)證令牌��;e)將所述第一驗(yàn)證令牌關(guān)聯(lián)到訪問請(qǐng)求消息���;以及f)將帶有所述第一關(guān)聯(lián)的驗(yàn)證令牌的訪問請(qǐng)求消息發(fā)送到第二網(wǎng)絡(luò)����。
2.如權(quán)利要求1所述的方法�����,其中����,第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò),訂戶地址是IP地址�。
3.如權(quán)利要求1或2所述的方法,其中����,第一網(wǎng)絡(luò)是移動(dòng)網(wǎng)絡(luò)。
4.如權(quán)利要求3所述的方法���,其中�����,移動(dòng)網(wǎng)絡(luò)是分組交換蜂窩式網(wǎng)絡(luò)���。
5.如權(quán)利要求4所述的方法�����,其中�����,分組交換蜂窩式網(wǎng)絡(luò)是GPRS網(wǎng)絡(luò)��。
6.如權(quán)利要求4所述的方法,其中����,分組交換蜂窩式網(wǎng)絡(luò)是EDGE或UMTS網(wǎng)絡(luò)。
7.如權(quán)利要求1所述的方法����,其中,第一訂戶標(biāo)識(shí)符與第二訂戶標(biāo)識(shí)符彼此不同�。
8.如權(quán)利要求7所述的方法����,其中����,第一網(wǎng)絡(luò)是GSM網(wǎng)絡(luò),第一訂戶標(biāo)識(shí)符是基于SIM的標(biāo)識(shí)�。
9.如權(quán)利要求8所述的方法,其中����,基于SIM的標(biāo)識(shí)是關(guān)聯(lián)到GSM網(wǎng)絡(luò)中的訂戶的IMSI。
10.如權(quán)利要求7所述的方法�����,其中����,第二訂戶標(biāo)識(shí)符是關(guān)聯(lián)到第一訂戶標(biāo)識(shí)符的假名。
11.如上述權(quán)利要求之一所述的方法�����,其中,步驟e)包括在訪問請(qǐng)求消息中包括第一驗(yàn)證令牌����。
12.如上述權(quán)利要求之一所述的方法,在步驟d)之后還包括以下步驟用數(shù)字簽名加密第一驗(yàn)證令牌��。
13.如上述權(quán)利要求之一所述的方法���,其中�,用符合訪問請(qǐng)求消息的應(yīng)用層協(xié)議的語(yǔ)法來(lái)表示所述第一驗(yàn)證令牌����。
14.如上述權(quán)利要求之一所述的方法,其中�,從SIP、HTTP和HTTP上的SOAP的組合中選擇應(yīng)用層協(xié)議�����。
15.如權(quán)利要求1所述的方法�����,其中����,應(yīng)用層協(xié)議是SIP或HTTP,根據(jù)SAML標(biāo)準(zhǔn)來(lái)指定所述第一驗(yàn)證令牌�。
16.如權(quán)利要求1所述的方法,其中��,第一網(wǎng)絡(luò)是固定接入網(wǎng)絡(luò)���。
17.如權(quán)利要求16所述的方法�����,其中���,固定接入網(wǎng)絡(luò)使用數(shù)字訂戶線路(xDSL)接入技術(shù)。
18.如權(quán)利要求16所述的方法���,其中�����,第一訂戶標(biāo)識(shí)符是登錄ID����。
19.如權(quán)利要求1所述的方法,在步驟f)之后還包括以下步驟g)在應(yīng)用服務(wù)通過所述第二網(wǎng)絡(luò)接收帶有所述關(guān)聯(lián)的第一驗(yàn)證令牌的所述訪問請(qǐng)求�����;h)產(chǎn)生對(duì)所述接收的訪問請(qǐng)求消息的第一響應(yīng)消息�����;i)產(chǎn)生第二驗(yàn)證令牌并將所述第二驗(yàn)證令牌包括在所述第一響應(yīng)消息中���;j)截取包括所述第二驗(yàn)證令牌的所述第一響應(yīng)消息��;k)從所述第一響應(yīng)消息提取所述第二驗(yàn)證令牌�,以及l(fā))檢驗(yàn)所述第二驗(yàn)證令牌����,如果驗(yàn)證是肯定的,則將第二響應(yīng)消息發(fā)送到第一網(wǎng)絡(luò)�����。
20.如權(quán)利要求19所述的方法�����,在步驟g)之后還包括以下步驟檢驗(yàn)所述第一驗(yàn)證令牌�����。
21.一種用于驗(yàn)證多個(gè)第一網(wǎng)絡(luò)的訂戶以訪問應(yīng)用服務(wù)的方法����,其中,通過權(quán)利要求1的方法實(shí)施對(duì)來(lái)自每個(gè)第一網(wǎng)絡(luò)的訂戶的驗(yàn)證���。
22.如權(quán)利要求1或21所述的方法�,還包括步驟提供第一驗(yàn)證令牌與所請(qǐng)求的應(yīng)用服務(wù)之間的映射�。
23.如權(quán)利要求22所述的方法,其中�����,在第一驗(yàn)證令牌與所請(qǐng)求的應(yīng)用服務(wù)之間的映射包括從訪問請(qǐng)求消息提取所請(qǐng)求的服務(wù)的URI��。
24.如權(quán)利要求22所述的方法����,其中,第二訂戶標(biāo)識(shí)符是關(guān)聯(lián)到第一訂戶標(biāo)識(shí)符并關(guān)聯(lián)到所請(qǐng)求的應(yīng)用服務(wù)的假名�����。
25.一種用于驗(yàn)證第一網(wǎng)絡(luò)的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的系統(tǒng),其中����,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN),所述系統(tǒng)包括訂戶站(2����、68),耦合到第一網(wǎng)絡(luò)��,并且適于產(chǎn)生封裝在數(shù)據(jù)包中的訪問請(qǐng)求消息����,用符合應(yīng)用層協(xié)議的語(yǔ)法來(lái)表示所述訪問請(qǐng)求消息;分配服務(wù)器(7�����、26)�,適于向所述訂戶分配在所述第二網(wǎng)絡(luò)中的地址(訂戶地址)并提供所述訂戶地址與第一網(wǎng)絡(luò)中的第一訂戶標(biāo)識(shí)符之間的映射;網(wǎng)關(guān)(6�����、29),適于執(zhí)行以下功能從訂戶站(2)接收訪問請(qǐng)求消息�����,將第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)并且向訂戶站分配訂戶地址����;第一邏輯實(shí)體(10���、65)�,與網(wǎng)關(guān)(6�、29)鏈接,并且適于截取從訂戶站(2�、18)產(chǎn)生的并通過網(wǎng)關(guān)(6、29)被定向到第二網(wǎng)絡(luò)的數(shù)據(jù)包����,并且至少在所述數(shù)據(jù)包中捕獲所述訂戶地址,以及第二邏輯實(shí)體(9��、64)��,與第一邏輯實(shí)體(10��、65)鏈接并適于執(zhí)行以下功能從第一邏輯實(shí)體接收訂戶地址和訪問請(qǐng)求消息,識(shí)別訪問請(qǐng)求消息的應(yīng)用層協(xié)議�����,向分配服務(wù)器請(qǐng)求第一訂戶標(biāo)識(shí)符��,以及根據(jù)應(yīng)用層協(xié)議產(chǎn)生第一驗(yàn)證令牌�����,所述令牌包括第二訂戶標(biāo)識(shí)符���,其中����,第一邏輯實(shí)體或第二邏輯實(shí)體適于將所述第一驗(yàn)證令牌關(guān)聯(lián)到訪問請(qǐng)求消息����。
26.如權(quán)利要求25所述的系統(tǒng),其中���,分配服務(wù)器(7��、26)和網(wǎng)關(guān)(6��、29)包括在第一網(wǎng)絡(luò)中��。
27.如權(quán)利要求25所述的系統(tǒng)����,其中,第一邏輯實(shí)體(10�、65)和第二邏輯實(shí)體(9��、64)包括在第一網(wǎng)絡(luò)中�。
28.如權(quán)利要求25所述的系統(tǒng),其中��,第一網(wǎng)絡(luò)是移動(dòng)網(wǎng)絡(luò)����,訂戶站(2)是經(jīng)由無(wú)線鏈路耦合到第一網(wǎng)絡(luò)的移動(dòng)站。
29.如權(quán)利要求28所述的系統(tǒng)���,其中�����,第一網(wǎng)絡(luò)是分組交換蜂窩式網(wǎng)絡(luò)�。
30.如權(quán)利要求28或29之一所述的系統(tǒng),其中���,網(wǎng)絡(luò)(6)是GGSN�����。
31.如權(quán)利要求25所述的系統(tǒng)�,其中�,分配服務(wù)器(7、26)是認(rèn)證-授權(quán)-計(jì)費(fèi)(AAA)服務(wù)器��。
32.如權(quán)利要求25所述的系統(tǒng)��,其中����,第二網(wǎng)絡(luò)是IP網(wǎng)絡(luò)(12、22) �����。
33.如權(quán)利要求25所述的系統(tǒng)�,還包括證明邏輯實(shí)體(8��、63)�,其在邏輯上鏈接到第二邏輯實(shí)體(9��、64)并適于加密第一驗(yàn)證令牌���。
34.如權(quán)利要求25所述的系統(tǒng)��,其中���,第一邏輯實(shí)體(10、65)是應(yīng)用層防火墻�����。
35.如權(quán)利要求25所述的系統(tǒng)��,其中����,第一網(wǎng)絡(luò)是固定接入網(wǎng)絡(luò)����,訂戶站是經(jīng)由有線鏈路(67)耦合到第一網(wǎng)絡(luò)的用戶宅室設(shè)備(68)。
36.如權(quán)利要求35所述的系統(tǒng),其中�����,第一用戶標(biāo)識(shí)符是登錄ID��。
37.如權(quán)利要求25所述的系統(tǒng)�,其中,所述第一邏輯實(shí)體(10�����、65)還適于截取通過第二網(wǎng)絡(luò)發(fā)送的并通過網(wǎng)關(guān)(6��、29)定向到所述訂戶站(2���、68)的響應(yīng)消息��。
38.如權(quán)利要求37所述的系統(tǒng)�����,其中�����,所述響應(yīng)消息包括第二驗(yàn)證令牌��。
全文摘要
本發(fā)明涉及一種用于驗(yàn)證第一網(wǎng)絡(luò)(例如�,GPRS/GSM網(wǎng)絡(luò))的訂戶以通過第二網(wǎng)絡(luò)訪問應(yīng)用服務(wù)的系統(tǒng)和方法,其中����,第二網(wǎng)絡(luò)是分組數(shù)據(jù)網(wǎng)絡(luò)(PDN),例如�����,互聯(lián)網(wǎng)��。根據(jù)本發(fā)明優(yōu)選實(shí)施例的系統(tǒng)包括移動(dòng)站MS(2)����,連接到蜂窩式網(wǎng)絡(luò)�,并且適于產(chǎn)生包含在數(shù)據(jù)包中的訪問請(qǐng)求消息,用符合應(yīng)用層協(xié)議的語(yǔ)法來(lái)表示所述訪問請(qǐng)求消息���;分配服務(wù)器AAA(7)���,適于向所述訂戶分配在所述第二網(wǎng)絡(luò)中的地址(訂戶地址)并提供訂戶地址與第一訂戶標(biāo)識(shí)符之間的映射����;網(wǎng)關(guān)(6)(例如����,GGSN),其將第一網(wǎng)絡(luò)連接到第二網(wǎng)絡(luò)并向MS 2分配訂戶地址�;服務(wù)令牌注入器STI(10),與網(wǎng)關(guān)(6)鏈接����,并適于截取從端點(diǎn)站產(chǎn)生并通過網(wǎng)關(guān)(6)被定向到第二網(wǎng)絡(luò)的數(shù)據(jù)包,在數(shù)據(jù)包中至少捕獲訂戶地址���;標(biāo)識(shí)局邏輯實(shí)體(9)�,與STI 10鏈接并適于執(zhí)行以下功能從第一邏輯實(shí)體接收訂戶地址和訪問請(qǐng)求消息�����,識(shí)別訪問請(qǐng)求消息的應(yīng)用層協(xié)議��,向分配服務(wù)器請(qǐng)求第一訂戶標(biāo)識(shí)符�,根據(jù)應(yīng)用層協(xié)議產(chǎn)生驗(yàn)證令牌,其中所述令牌包括第二訂戶標(biāo)識(shí)符�����,并將所述驗(yàn)證令牌關(guān)聯(lián)到訪問請(qǐng)求消息。
文檔編號(hào)H04L29/12GK101069402SQ200580041107
公開日2007年11月7日 申請(qǐng)日期2005年9月30日 優(yōu)先權(quán)日2004年10月26日
發(fā)明者保羅·德盧蒂斯, 加埃塔諾·迪卡普里奧, 科拉多·莫伊索 申請(qǐng)人:意大利電信股份公司