專利名稱:由網(wǎng)絡(luò)運(yùn)營(yíng)商提供的身份管理服務(wù)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明概括地涉及通信網(wǎng)絡(luò)����,并且更具體地涉及由網(wǎng)絡(luò)運(yùn)營(yíng)商提供身份服務(wù)的通信網(wǎng)絡(luò)。
背景技術(shù):
這個(gè)部分介紹可能有助于更好地理解本發(fā)明的方面�����。因此��,閱讀到的該部分的語句就此而論且不應(yīng)被理解為承認(rèn)什么是現(xiàn)有技術(shù)或者什么不是現(xiàn)有技術(shù)�。根據(jù)國(guó)際電信聯(lián)盟-電信標(biāo)準(zhǔn)部門(ITU-T),通過示例的方式��,下一代網(wǎng)絡(luò)(NGN) 是基于分組的網(wǎng)絡(luò)����,該網(wǎng)絡(luò)能夠提供包括電信服務(wù)的服務(wù)且能夠使用多個(gè)帶寬、允許服務(wù)質(zhì)量OioS)的傳輸技術(shù)���,以及其中與服務(wù)相關(guān)的功能獨(dú)立于基本的與傳輸相關(guān)的技術(shù)��。其可以為用戶提供對(duì)不同服務(wù)提供商的自由訪問�����。其可以支持廣泛的移動(dòng)性��,其中該移動(dòng)性可以允許為用戶提供一致和普遍存在規(guī)定的服務(wù)��。此外�����,ITU-T已經(jīng)開發(fā)出用于這些基于國(guó)際互聯(lián)網(wǎng)協(xié)議(IP)的下一代網(wǎng)絡(luò)(NGN) 的身份管理(IdM)標(biāo)準(zhǔn)��。標(biāo)題為“NGN身份管理框架”的ITU-T建議Y. 2720是這樣的標(biāo)準(zhǔn)��, 并說明了 IdM框架��。
發(fā)明內(nèi)容
本發(fā)明的實(shí)施方式提供用于能夠使通信網(wǎng)絡(luò)的運(yùn)營(yíng)商提供一個(gè)或多個(gè)諸如認(rèn)證服務(wù)的身份服務(wù)的技術(shù)�。在第一方面����,假設(shè)在通信網(wǎng)絡(luò)中,第一計(jì)算設(shè)備是客戶端設(shè)備����,第二計(jì)算設(shè)備是應(yīng)用服務(wù)器,以及第三計(jì)算設(shè)備是通信網(wǎng)絡(luò)運(yùn)營(yíng)商控制下的服務(wù)器�����,方法包括以下步驟。響應(yīng)于第一計(jì)算設(shè)備將資源請(qǐng)求發(fā)布給第二計(jì)算設(shè)備�,第一計(jì)算設(shè)備將用于第二計(jì)算設(shè)備認(rèn)證第一計(jì)算設(shè)備的第一標(biāo)識(shí)符提供給第二計(jì)算設(shè)備,并且響應(yīng)于第二計(jì)算設(shè)備不能認(rèn)證第一計(jì)算設(shè)備��,當(dāng)在由第一計(jì)算設(shè)備發(fā)送的第一標(biāo)識(shí)符和由作為用戶的第一計(jì)算設(shè)備訪問通信網(wǎng)絡(luò)所使用的第二標(biāo)識(shí)符之間存在相關(guān)性時(shí)�����,第三計(jì)算設(shè)備參與第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證,其中當(dāng)由第三方計(jì)算設(shè)備參與的認(rèn)證成功時(shí),第二計(jì)算設(shè)備能夠?qū)τ傻谝挥?jì)算設(shè)備發(fā)送的資源請(qǐng)求進(jìn)行答復(fù)��。在一個(gè)或多個(gè)解釋性的實(shí)施方式中,該方法可以進(jìn)一步包括下列步驟。第二計(jì)算設(shè)備促使第一計(jì)算設(shè)備將認(rèn)證請(qǐng)求發(fā)送給第三計(jì)算設(shè)備,其中第三計(jì)算設(shè)備從第一計(jì)算設(shè)備接收認(rèn)證請(qǐng)求�����。第三計(jì)算設(shè)備檢查由第一計(jì)算設(shè)備發(fā)送的第一標(biāo)識(shí)符和由作為用戶的第一計(jì)算設(shè)備訪問通信網(wǎng)絡(luò)所使用的第二標(biāo)識(shí)符之間的相關(guān)性����。
當(dāng)存在相關(guān)性時(shí)�����,第三計(jì)算設(shè)備將認(rèn)證挑戰(zhàn)(challenge)發(fā)送給第一計(jì)算設(shè)備。響應(yīng)于第一計(jì)算設(shè)備根據(jù)認(rèn)證挑戰(zhàn)將認(rèn)證響應(yīng)發(fā)送給第三計(jì)算設(shè)備����,第三計(jì)算設(shè)備嘗試對(duì)認(rèn)證響應(yīng)進(jìn)行驗(yàn)證。當(dāng)?shù)谌?jì)算設(shè)備驗(yàn)證了認(rèn)證響應(yīng)時(shí)����,第三計(jì)算設(shè)備將認(rèn)證結(jié)果發(fā)送給第一計(jì)算設(shè)備,使用第三計(jì)算設(shè)備和第二計(jì)算設(shè)備之間商定的密鑰對(duì)認(rèn)證結(jié)果進(jìn)行加密簽名��,使得第一計(jì)算設(shè)備然后可以將簽名的認(rèn)證結(jié)果發(fā)送給第二計(jì)算設(shè)備��,并且當(dāng)簽名的認(rèn)證結(jié)果通過驗(yàn)證時(shí)�����,第二計(jì)算設(shè)備能夠?qū)τ傻谝挥?jì)算設(shè)備發(fā)送的資源請(qǐng)求進(jìn)行響應(yīng)�。此外��,在一個(gè)或多個(gè)解釋性的實(shí)施方式中��,第一計(jì)算設(shè)備的第一標(biāo)識(shí)符可以包括基于開源的標(biāo)識(shí)符��,例如OpenID標(biāo)識(shí)符��。第一計(jì)算設(shè)備可以執(zhí)行網(wǎng)絡(luò)客戶端,第二計(jì)算設(shè)備可以是信賴方����,并且第三計(jì)算設(shè)備可以是身份提供方。第一計(jì)算設(shè)備可以支持實(shí)現(xiàn)認(rèn)證和密鑰協(xié)商(AKA)算法的用戶識(shí)別模塊(SIM)應(yīng)用���。第二標(biāo)識(shí)符可以由網(wǎng)絡(luò)運(yùn)營(yíng)商提供���, 并且第二標(biāo)識(shí)符包括國(guó)際移動(dòng)用戶識(shí)別(IMSI)標(biāo)識(shí)符或國(guó)際互聯(lián)網(wǎng)協(xié)議多媒體個(gè)人用戶身份(IMPI)標(biāo)識(shí)符。此外�,在一個(gè)或多個(gè)解釋性的實(shí)施方式中,第三計(jì)算設(shè)備可以從第四計(jì)算設(shè)備接收與第一計(jì)算設(shè)備的用戶相關(guān)聯(lián)的信息���,從而第三計(jì)算設(shè)備根據(jù)信息與第一計(jì)算設(shè)備進(jìn)行挑戰(zhàn)-響應(yīng)交互�����。挑戰(zhàn)-響應(yīng)交互可以根據(jù)認(rèn)識(shí)AKA的挑戰(zhàn)-響應(yīng)協(xié)議(例如����,RFC3310或 RFC4169)����。第四計(jì)算設(shè)備可以是歸屬位置寄存器(HLR)或歸屬用戶服務(wù)器(HSS)��。從HLR 或HSS接收的信息可以包括認(rèn)證向量��。認(rèn)證向量可以根據(jù)AKA算法產(chǎn)生�����。此外�����,在一個(gè)或多個(gè)解釋性實(shí)施方式中��,第三計(jì)算設(shè)備可以監(jiān)控認(rèn)證請(qǐng)求的頻率以確定拒絕服務(wù)(D0Q條件的存在�,并且當(dāng)確定條件存在時(shí)�����,可促使采取一個(gè)或多個(gè)動(dòng)作以減少DOS條件�。有利地�,本發(fā)明的解釋性實(shí)施方式在網(wǎng)絡(luò)運(yùn)營(yíng)商的通信網(wǎng)絡(luò)中提供類似網(wǎng)關(guān)的實(shí)體(例如,身份提供方)�����,其中網(wǎng)絡(luò)運(yùn)營(yíng)商將開源標(biāo)識(shí)符標(biāo)準(zhǔn)與一個(gè)或多個(gè)網(wǎng)絡(luò)安全協(xié)議相互配合或結(jié)合,從而運(yùn)營(yíng)商能夠提供身份提供功能的實(shí)現(xiàn)�����。從附圖和下列詳細(xì)說明中��,本發(fā)明的這些和其它特點(diǎn)和優(yōu)勢(shì)會(huì)變得更明顯���。
圖1是根據(jù)本發(fā)明的一個(gè)實(shí)施方式的可以由網(wǎng)絡(luò)運(yùn)營(yíng)商提供身份服務(wù)的通信網(wǎng)絡(luò)的示意圖�����;圖2是根據(jù)本發(fā)明的一個(gè)實(shí)施方式的用于包括開源識(shí)別標(biāo)準(zhǔn)的應(yīng)用方案的工作流的示意圖�����;圖3是根據(jù)本發(fā)明的一個(gè)實(shí)施方式的用于認(rèn)證方法專用交換的工作流的示意圖���;圖4是根據(jù)本發(fā)明的一個(gè)實(shí)施方式的適于實(shí)現(xiàn)身份服務(wù)的通信網(wǎng)絡(luò)硬件架構(gòu)的示意圖。
具體實(shí)施例方式可以認(rèn)識(shí)到����,身份管理(IdM)概念能夠激活諸如電信運(yùn)營(yíng)商或網(wǎng)絡(luò)運(yùn)營(yíng)商(注意這里可相互交換使用這兩個(gè)短語)的通信網(wǎng)絡(luò)運(yùn)營(yíng)商的新服務(wù)。這些運(yùn)營(yíng)商的示例可以包括但不局限于AT&T、Verizon, NTT�、中國(guó)移動(dòng)、法國(guó)電信/Orange����。實(shí)際上,由于認(rèn)識(shí)到電信運(yùn)營(yíng)商“擁有”網(wǎng)絡(luò)接入��,因此相比于與他們連接的用戶���,他們“擁有”更多的信息���。在這一點(diǎn)上,所有權(quán)可以包括(1)適當(dāng)和有效地對(duì)用戶進(jìn)行認(rèn)證(以及當(dāng)需要時(shí)�����,授權(quán))的能力��; (2)用戶數(shù)據(jù)的實(shí)際所有權(quán)���;和(3)與用戶建立信任。因此���,如在這里所使用的��,將“網(wǎng)絡(luò)運(yùn)營(yíng)商”(或“電信運(yùn)營(yíng)商”)定義為擁有并運(yùn)營(yíng)電信網(wǎng)絡(luò)且由此給用戶提供服務(wù)的公司���,例如��,NGN運(yùn)營(yíng)商是擁有并運(yùn)營(yíng)NGN網(wǎng)絡(luò)的網(wǎng)絡(luò)運(yùn)營(yíng)商�。因此�����,網(wǎng)絡(luò)運(yùn)營(yíng)商的兩個(gè)定義的特征可以是(1)擁有網(wǎng)絡(luò)���;和(2)給用戶提供收費(fèi)的服務(wù)��。第三個(gè)特征可以是網(wǎng)絡(luò)運(yùn)營(yíng)商典型地受到管制��,這可以使得他們?cè)诜缮蠈?duì)確保通信隱私性等負(fù)責(zé)�����。根據(jù)這些特點(diǎn)���,可以認(rèn)識(shí)到電信運(yùn)營(yíng)商處于將基于身份服務(wù)的領(lǐng)域(從家庭網(wǎng)絡(luò)到用于企業(yè)的直接認(rèn)證服務(wù))提供給復(fù)雜混合服務(wù)的獨(dú)特位置��,其中復(fù)雜混合服務(wù)包括金融和醫(yī)療處理(僅作為示例)����。相反��,還可以認(rèn)識(shí)到通過聯(lián)合來自多個(gè)應(yīng)用提供商的數(shù)據(jù)�����, 與單一注冊(cè)相耦合���,電信運(yùn)營(yíng)商可以為他們的用戶提供獨(dú)特的混合服務(wù)���。還可以認(rèn)識(shí)到,在上述引用的標(biāo)題為“NGN身份管理框架”的其公開內(nèi)容以引用方式引入本文的ITU-T建議Y. 2720提供的框架中�����,各種Web2. 0技術(shù)可以與諸如通用移動(dòng)電信系統(tǒng)(UMTS)或IP多媒體子系統(tǒng)(IMS)等的NGN技術(shù)協(xié)同工作�。可以認(rèn)識(shí)到由ITU-T建議Y. 2720概括的這種身份管理框架可能考慮到(i)最終用戶越來越多地使用多個(gè)身份���; ( )這些身份與不同的環(huán)境和服務(wù)優(yōu)惠相關(guān)聯(lián)�;(iii)身份僅可以部分識(shí)別最終用戶;和 (iv)身份可以在任何地點(diǎn)�����、任何時(shí)間使用�。在一個(gè)實(shí)施方式中���,可以認(rèn)識(shí)到被稱為OpenID的開放組織(開源)的身份標(biāo)準(zhǔn)可以用作在這種Web2. 0技術(shù)和NGN技術(shù)之間的相互協(xié)作功能���。OpenID是開放的、分散的����、自由的框架,用于以用戶為中心的數(shù)字身份�����,見網(wǎng)站 www. openid. net�。也就是,OpenID允許用戶利用相同的數(shù)字身份登錄多種服務(wù)�。從而,其取代了使用登錄名和口令的傳統(tǒng)登錄過程���。OpenID優(yōu)于已經(jīng)存在的國(guó)際互聯(lián)網(wǎng)技術(shù)(例如��, 統(tǒng)一資源標(biāo)識(shí)符-URI�、超文本傳輸協(xié)議-HTTP、安全套接層協(xié)議-SSL��、Diffie-Hellman協(xié)議)并實(shí)現(xiàn)了個(gè)人在各種網(wǎng)站上為他們自己創(chuàng)建身份���。OpenID允許從現(xiàn)有URI中的一個(gè)轉(zhuǎn)移到可在支持OpenID登錄的站點(diǎn)上使用的賬戶中��。OpenID由OpenID基金會(huì)(圣拉蒙San Ramon����,加利福尼亞州)管理���。標(biāo)準(zhǔn)在OpenID認(rèn)證2. 0和OpenID提供商認(rèn)證策略擴(kuò)展1. 0 中進(jìn)行詳細(xì)描述�����,以引用方式將其全部?jī)?nèi)容引入本文��。盡管本特定實(shí)施方式利用OpenID標(biāo)準(zhǔn)和規(guī)范的特征�����,但是可以理解的是OpenID 是開源識(shí)別標(biāo)準(zhǔn)的一個(gè)實(shí)例����,并可以使用基于開源的標(biāo)識(shí)符。因此����,可以認(rèn)為提供與OpenID 具有相似工具和特征的其他合適的識(shí)別標(biāo)準(zhǔn)也在本發(fā)明實(shí)施方式的范圍內(nèi)�。因此,本發(fā)明的示例性原理提供包括下列內(nèi)容的各種特征和優(yōu)勢(shì)�,但不局限于此1.最終用戶發(fā)布他或她自己的與3GPP(第三代合作伙伴計(jì)劃)用戶標(biāo)識(shí)符綁定的 OpenID標(biāo)識(shí)符,例如由NGN運(yùn)營(yíng)商(例如��,但僅為示例��,AT&T或Verizon)發(fā)布的國(guó)際移動(dòng)用戶識(shí)別(IMSI)或IP多媒體個(gè)人用戶標(biāo)識(shí)符(IMPI)���;2.當(dāng)OpenID由Web2. 0提供商(例如Yahoo �����!或VeriSign)支持并且信賴與NGN 運(yùn)營(yíng)商相關(guān)聯(lián)的傳統(tǒng)信任等級(jí)時(shí)�����,最終用戶以與他或她現(xiàn)在享受服務(wù)的相同方式�����,從由NGN 運(yùn)營(yíng)商支持的與OpenID相關(guān)聯(lián)的服務(wù)獲得好處����;3. NGN運(yùn)營(yíng)商利用所述的信任等級(jí)為新Web2. 0服務(wù)(例如,僅作為示例���,支付����、社交網(wǎng)絡(luò)����、衛(wèi)生保健服務(wù))提供的變化仿佛是無限的,并從廣告�、支付比例等產(chǎn)生合適的收入;4. NGN運(yùn)營(yíng)商確保所述服務(wù)(例如�����,僅通過實(shí)例的方式,保密性���、隱私��、和不可抵賴)的安全方面由經(jīng)過證實(shí)的UMTS或IMS安全機(jī)制支持�,其中重復(fù)使用安全機(jī)制不需要任何修改�����;5.確保模塊化和向后兼容性����,無論是最終用戶還是現(xiàn)有的NGN運(yùn)營(yíng)商的軟件都不需要修改����。同時(shí),新的獨(dú)立實(shí)體(作為實(shí)施例�����,在一個(gè)實(shí)施方式中�,實(shí)體可以是軟件對(duì)象或模塊;在另一實(shí)施方式中�,實(shí)體是硬件元件;在又一個(gè)實(shí)施方式中,實(shí)體是軟件和硬件的結(jié)合)持有新的軟件��,與現(xiàn)有軟件和設(shè)備有效地進(jìn)行相互協(xié)作���;6.通過僅使用在NGN中提供的最小功能能力集合確保實(shí)現(xiàn)的簡(jiǎn)化�����;和7.減輕針對(duì)NGN的拒絕服務(wù)(DOS)攻擊�����。圖1描述了根據(jù)本發(fā)明的一個(gè)實(shí)施方式的通信網(wǎng)絡(luò)100����,其中在通信網(wǎng)絡(luò)100中由網(wǎng)絡(luò)運(yùn)營(yíng)商提供身份服務(wù)�����。如圖所示�,用戶設(shè)備110運(yùn)行網(wǎng)絡(luò)瀏覽器(例如,僅僅是示例���,微軟國(guó)際互聯(lián)網(wǎng)探索者Explorer或者火狐Firefox)����、或一些其它應(yīng)用專用客戶端軟件(例如即時(shí)消息客戶端或基于語音的IP客戶端),最終用戶通過這些軟件訪問應(yīng)用(例如��,僅僅作為示例的支付���、 社交網(wǎng)絡(luò)��、或衛(wèi)生保健服務(wù))����。作為實(shí)例��,用戶設(shè)備可以是移動(dòng)電話����、便攜式計(jì)算機(jī)�����、無線電子郵件設(shè)備���、個(gè)人數(shù)字助理(PDA)或一些用戶通信設(shè)備��。在一個(gè)實(shí)施方式中�,假設(shè)UE應(yīng)用客戶端110支持認(rèn)知認(rèn)證和密鑰協(xié)商(AKA)算法的應(yīng)用協(xié)議,例如RFC 3310 “使用認(rèn)證和密鑰協(xié)商(AKA)的超文本傳輸協(xié)議(HTTP)數(shù)字認(rèn)證”��,2002年9月����,以引用方式將其全部?jī)?nèi)容引入本文;或者RFC 4169 “使用認(rèn)證和密鑰協(xié)商(AKA)第二版的超文本傳輸協(xié)議(HTTP)數(shù)字認(rèn)證”����,2005年11月,以引用方式將其全部?jī)?nèi)容引入本文����。此外,在該解釋性的實(shí)施方式中��,假設(shè)UE支持實(shí)現(xiàn)AKA算法的用戶識(shí)別模塊(SIM)應(yīng)用����。SIM應(yīng)用的細(xì)節(jié)可以在3GPP技術(shù)規(guī)范TS 31. 102和TS 31. 103中找到, 以引用方式將其全部?jī)?nèi)容引入本文��。AKA的細(xì)節(jié)可以在3GPP技術(shù)規(guī)范TS 33. 102中找到�����, 以引用方式將其全部?jī)?nèi)容引入本文。盡管該特定實(shí)施方式利用3GPP認(rèn)證協(xié)議的特征����,但是可以理解的是,這種協(xié)議是可使用的安全協(xié)議的一個(gè)實(shí)施例�。因此,在本發(fā)明實(shí)施方式的范圍內(nèi)可以考慮提供與3GPP 認(rèn)證協(xié)議相似設(shè)備和特征的其他合適的安全協(xié)議�����。還如圖1所示����,假設(shè)作為一個(gè)或多個(gè)網(wǎng)絡(luò)服務(wù)器(應(yīng)用服務(wù)器)上應(yīng)用的信賴方 (relying party) 120提供特定的應(yīng)用或服務(wù)(例如僅作為示例的支付、社交網(wǎng)絡(luò)�、或衛(wèi)生保健服務(wù))并支持OpenID (例如,在該特定的實(shí)施方式中)�����。還示出了身份提供方(IdP) 130��,其作為運(yùn)營(yíng)商網(wǎng)絡(luò)在其邊界中的有效網(wǎng)關(guān)實(shí)體��。 這種網(wǎng)絡(luò)的一個(gè)實(shí)例是由諸如AT&T或Verizon的網(wǎng)絡(luò)運(yùn)營(yíng)商所管理的IMS網(wǎng)絡(luò)��。也就是���, 身份提供方實(shí)體由網(wǎng)絡(luò)運(yùn)營(yíng)商控制和操作��。還應(yīng)當(dāng)注意的是���,身份提供方實(shí)體的實(shí)現(xiàn)實(shí)際上可以包括具有這種功能的指定數(shù)量的服務(wù)器(131-1至131-n),它們的載荷在前端服務(wù)器132的監(jiān)督下保持平衡���。前端服務(wù)器132的功能同樣是通過保持至少一個(gè)服務(wù)器按“良好”的請(qǐng)求(例如���,合法請(qǐng)求或者不是屬于DOS攻擊部分的請(qǐng)求)進(jìn)行處理,在拒絕服務(wù) (DOS)條件下確保系統(tǒng)功能(盡管性能下降)�����。
在一個(gè)實(shí)施方式中�,假設(shè)身份提供方130在用戶側(cè)支持認(rèn)知OpenID和AKA的 HTTP,和在運(yùn)營(yíng)商側(cè)用于從歸屬用戶服務(wù)器(HSS) 140等獲得特定認(rèn)證向量的基于直徑 (Diameter)的協(xié)議(例如�����,其細(xì)節(jié)在3GPP技術(shù)規(guī)范TS 29. 229中描述����,以引用方式將其全部?jī)?nèi)容引入本文)。由HSS等根據(jù)AKA算法產(chǎn)生認(rèn)證向量(例如�����,TS 33.102)�����。歸屬位置寄存器(HLR)或歸屬用戶服務(wù)器(HSS) 140等存儲(chǔ)最終用戶簡(jiǎn)檔(其包括3GPP用戶標(biāo)識(shí)符和相關(guān)的共享秘密)�,并可以根據(jù)請(qǐng)求產(chǎn)生AKA認(rèn)證向量����。在一個(gè)實(shí)施方式中���,根據(jù)本發(fā)明的解釋性原理執(zhí)行相互協(xié)作功能的軟件模塊或軟件對(duì)象僅駐留在身份提供方實(shí)體�����,并且從而將認(rèn)證過程僅隔離在一個(gè)點(diǎn)上?�?梢岳斫獾氖?��, 在一個(gè)實(shí)施方式中,身份提供方是軟件模塊(例如在諸如僅作為示例的Linux或Unix的任何操作系統(tǒng)的監(jiān)督下運(yùn)行的過程)�,其在運(yùn)營(yíng)商網(wǎng)絡(luò)中可以與在一個(gè)(集中式)服務(wù)器或幾個(gè)(分布式)服務(wù)器(例如,131-1至131-n��,132��,或其它沒有顯示的服務(wù)器)上執(zhí)行的任何其它NGN運(yùn)營(yíng)商軟件處于同一位置����。還可以理解的是,由該軟件模塊執(zhí)行的協(xié)議支持過載控制和負(fù)載平衡�����。圖2描述了根據(jù)本發(fā)明一個(gè)實(shí)施方式的包括OpenID的應(yīng)用方案的工作流程200�。 注意��,第一請(qǐng)求(步驟1)�、最后的響應(yīng)(步驟12)��、和認(rèn)證方法專用交換(步驟8)不是 OpenID標(biāo)準(zhǔn)的部分����;而在該實(shí)施方式中的其它步驟可以根據(jù)上述OpenID標(biāo)準(zhǔn)進(jìn)行操作 (雖然在一些情況下可修改,下面具體進(jìn)行描述)??梢岳斫獾氖牵趫D2中(和下面描述的圖3中)示出的實(shí)體之間發(fā)送的消息是根據(jù)由實(shí)體執(zhí)行的一個(gè)或多個(gè)通信協(xié)議發(fā)送和接收的信號(hào)�。還可以理解的是���,在仍提供屬于本發(fā)明原理的一個(gè)或多個(gè)優(yōu)點(diǎn)時(shí)�����,可重新安排或修改消息傳輸順序(以及一些要增加和 /或一些要?jiǎng)h除的附加消息)�。在步驟1中,網(wǎng)絡(luò)客戶端110(也就是,在用戶設(shè)備處執(zhí)行的應(yīng)用客戶端)將資源請(qǐng)求發(fā)送給信賴方120(也就是����,執(zhí)行最終用戶希望訪問的應(yīng)用或服務(wù)的網(wǎng)絡(luò)服務(wù)器��,應(yīng)用或服務(wù)例如支付���、社交網(wǎng)絡(luò)�、或衛(wèi)生保健服務(wù))�����。在步驟2中���,信賴方120將OpenID登錄頁發(fā)送給網(wǎng)絡(luò)客戶端110���。在步驟3中�,網(wǎng)絡(luò)客戶端110將其OpenID信息(也就是�����,OpenID標(biāo)識(shí)符)發(fā)送給信賴方120�����?��?梢岳斫獾氖?,OpenID標(biāo)識(shí)符可包括由網(wǎng)絡(luò)客戶端110的用戶輸入的信息���、存儲(chǔ)在用戶設(shè)備上的信息���,或者上述兩種信息��。在步驟4中�����,根據(jù)OpenID標(biāo)準(zhǔn)執(zhí)行標(biāo)準(zhǔn)化的發(fā)現(xiàn)過程�。概括地說���,如果在標(biāo)準(zhǔn)格式中存在任何不當(dāng)��,標(biāo)準(zhǔn)化的發(fā)現(xiàn)過程可以有效地糾正由網(wǎng)絡(luò)客戶端提供的標(biāo)識(shí)符�。在步驟5中����,在信賴方120和身份提供方130之間執(zhí)行Differ-HeIlman交換�。這是OpenID標(biāo)準(zhǔn)的一部分,并用于建立對(duì)從身份提供方130發(fā)送給網(wǎng)絡(luò)客戶端110的認(rèn)證響應(yīng)進(jìn)行簽名的密鑰�����。根據(jù)本發(fā)明的原理��,身份提供方可以優(yōu)選地包括一個(gè)或多個(gè)由網(wǎng)絡(luò)運(yùn)營(yíng)商操作的網(wǎng)絡(luò)服務(wù)器。在步驟6中�,信賴方120將重新定向響應(yīng)發(fā)送給網(wǎng)絡(luò)客戶端110。響應(yīng)將OpenID 認(rèn)證請(qǐng)求攜帶給身份提供方130�。在步驟7中,網(wǎng)絡(luò)客戶端110將認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)給身份提供方130�。在步驟8中,在網(wǎng)絡(luò)客戶端110和身份提供方130之間執(zhí)行認(rèn)證方法專用交換���?��?梢岳斫獾氖牵境隽嗽撜J(rèn)證方法專用交換的一個(gè)實(shí)施方式�,并在圖3的上下文中進(jìn)行說明。
在步驟9中�,身份提供方130發(fā)送具有簽名認(rèn)證響應(yīng)的重新定向響應(yīng)。在步驟10中����,網(wǎng)絡(luò)客戶端110將簽名的認(rèn)證響應(yīng)轉(zhuǎn)發(fā)給信賴方120。在步驟11中�����,由信賴方120執(zhí)行簽名驗(yàn)證過程����。在步驟12中��,信賴方120將資源響應(yīng)發(fā)送給網(wǎng)絡(luò)客戶端110(也就是���,對(duì)步驟1中由網(wǎng)絡(luò)客戶端發(fā)送的原始資源請(qǐng)求的響應(yīng))。圖3描述了用于認(rèn)證方法專用交換(例如�����,圖2中的步驟8)的工作流程300����。具體地,圖3是通用的基于AKA的工作流程���,其寬泛地限定通過HTTP�、會(huì)話初始化協(xié)議-SIP�����、 或多種使用HTTP摘要(S卩�����,RFC2617��,以引用方式將其全部?jī)?nèi)容引入本文)或基于哈希的消息認(rèn)證代碼-HMAC(即�����,RFC2104�,以引用方式將其全部?jī)?nèi)容引入本文)構(gòu)成的其它應(yīng)用協(xié)議支持網(wǎng)絡(luò)服務(wù)的通用協(xié)議族。在步驟1中���,由于自己不能對(duì)用戶(網(wǎng)絡(luò)客戶端110)進(jìn)行認(rèn)證����,信賴方120促使用戶從身份提供方130獲得認(rèn)證���。這可以通過使用諸如HTTP重新定向的方法實(shí)現(xiàn)���,也可以通過使用本地的應(yīng)用方法實(shí)現(xiàn)。無論在哪種情況下��,該方法攜帶在摘要RequestAuthn請(qǐng)求中��。在步驟2中,RequestAuthn請(qǐng)求促使UE處的客戶端在接收到時(shí)將這樣的請(qǐng)求(可能附有附加的自我識(shí)別信息元素)導(dǎo)向身份提供方130�����。身份提供方130檢查消息中的信息并試圖將所要求的用戶標(biāo)識(shí)符和IMPI或 IMSI (也就是���,3GPP用戶標(biāo)識(shí)符)相關(guān)聯(lián)�。如果存在這樣的關(guān)聯(lián)�����,在步驟3中�,身份提供方 130從HSS 140(或類似物)中獲得認(rèn)證向量,其中認(rèn)證向量包括對(duì)UE客戶端進(jìn)行認(rèn)證所需要的挑戰(zhàn)和針對(duì)該挑戰(zhàn)所預(yù)先計(jì)算的答案�����。如果沒有可能的相關(guān)���,過程終止���,其可以通過發(fā)送拒絕消息或簡(jiǎn)單忽略初始化請(qǐng)求(可能具有安全優(yōu)勢(shì)的步驟)來實(shí)現(xiàn)。身份提供方130還檢查請(qǐng)求的頻率(特別是具有錯(cuò)誤數(shù)據(jù)的必須登錄的請(qǐng)求)以發(fā)現(xiàn)DOS攻擊的主題�。當(dāng)這樣的頻率超過設(shè)置的門限時(shí)��, 在采取積極的手段在網(wǎng)關(guān)處阻礙到網(wǎng)絡(luò)的可疑業(yè)務(wù),還采用諸如卸載����、改變IP地址的手段來減小DOS攻擊。還應(yīng)當(dāng)注意的是���,身份提供方130實(shí)體的實(shí)現(xiàn)可以實(shí)際上包括多個(gè)具有這些功能的服務(wù)器����,其載荷在前端服務(wù)器的監(jiān)督下平均分配�。前端服務(wù)器的功能還能在DOS 攻擊下通過保持至少一個(gè)服務(wù)器根據(jù)“良好”的請(qǐng)求進(jìn)行處理(如上所述)以確保系統(tǒng)功能(盡管性能下降)。在步驟4中�,如果一切正常(例如,假設(shè)從HSS成功接收合適的認(rèn)證信息)�����,身份提供方130將認(rèn)證方法和認(rèn)證向量(包括挑戰(zhàn)和網(wǎng)絡(luò)認(rèn)證方���,即由身份提供方為認(rèn)證目的而提供的值)提供給UE處的網(wǎng)絡(luò)客戶端110�����。UE處的網(wǎng)絡(luò)客戶端110對(duì)身份提供方130進(jìn)行認(rèn)證����,計(jì)算答案和必要的加密會(huì)話密鑰(也就是,加密密鑰和完整性保護(hù)密鑰)�,并且計(jì)算可能包括在對(duì)身份提供方130的響應(yīng)中以認(rèn)證自己的量。該量可以是3GPP用戶識(shí)別(IMPI或IMSI)��、答案和會(huì)話密鑰的組合�、 以及諸如RFC 3310或RFC 4169中說明的其它元素?�;蛘?,該量可以是鍵入的消息認(rèn)證碼, 其中消息認(rèn)證碼是通過與摘要計(jì)算中相同的元素計(jì)算的����。在該情況下,簽名密鑰是會(huì)話密鑰的級(jí)聯(lián)��,并且算法是HMAC-SHA256(RFC2104����,F(xiàn)IPS180-2,以引用方式將其全部?jī)?nèi)容引入本文)��。在步驟5,網(wǎng)絡(luò)客戶端110向身份提供方130提供響應(yīng)���。在這一點(diǎn)上��,身份提供方130驗(yàn)證該響應(yīng)與認(rèn)證向量一致。如果不一致��,執(zhí)行步驟3的動(dòng)作����,包括檢測(cè)DOS。否則�����,在步驟6中�,身份提供方130準(zhǔn)備最終的認(rèn)證結(jié)果,根據(jù) OpenID標(biāo)準(zhǔn)為信賴方120對(duì)最終的認(rèn)證結(jié)果進(jìn)行簽名����,并將具有重新定向至信賴方的簽名結(jié)果返回給UE處的網(wǎng)絡(luò)客戶端。在步驟7中���,網(wǎng)絡(luò)客戶端110重新將認(rèn)證者發(fā)送給信賴方120���,其中在簽名通過驗(yàn)證時(shí)��,承認(rèn)該客戶端以使用合適的服務(wù)���。可以理解的是�����,網(wǎng)絡(luò)客戶端和身份提供方之間的所有或部分認(rèn)證過程可以對(duì)使用設(shè)備的用戶是透明的����。然而,這不是必要的����,也就是,用戶可以意識(shí)到在網(wǎng)絡(luò)客戶端和身份提供方之間的交換����。最后,圖4描述了根據(jù)本發(fā)明上述原理的適于實(shí)現(xiàn)身份服務(wù)(包括認(rèn)證過程)的通信網(wǎng)絡(luò)400的通用硬件架構(gòu)���。如圖所示�����,用戶設(shè)備410(例如�,對(duì)應(yīng)于網(wǎng)絡(luò)客戶端110)、網(wǎng)絡(luò)服務(wù)器420(例如�, 對(duì)應(yīng)于信賴方120)、和網(wǎng)絡(luò)服務(wù)器430(例如�����,對(duì)應(yīng)于身份提供方430)通過通信網(wǎng)絡(luò)媒介 450可操作地耦合����。網(wǎng)絡(luò)媒介可以是任何網(wǎng)絡(luò)媒介�����,其中用戶設(shè)備和網(wǎng)絡(luò)服務(wù)器希望通過該媒介進(jìn)行通信��。例如����,網(wǎng)絡(luò)媒介可以端到端地承載IP分組,并可以包括接入網(wǎng)絡(luò)中的UMTS 或WiFi或DSL(數(shù)字用戶線路)���、地鐵網(wǎng)絡(luò)中的以太網(wǎng)��、和骨干網(wǎng)中的MPLS(多協(xié)議標(biāo)簽交換)����。然而,本發(fā)明并不局限于特定類型的網(wǎng)絡(luò)媒介�。典型地,用戶設(shè)備410可以是客戶端機(jī)器�,并且網(wǎng)絡(luò)服務(wù)器420和430可以是服務(wù)器。盡管在這里沒有明確示出�����,但是可以理解的是��,與身份提供方420可操作地耦合的是HSS服務(wù)器140 (其可以具有與下面所述的相同的處理器/存儲(chǔ)器配置)���。本領(lǐng)域技術(shù)人員可以容易了解的是�,服務(wù)器和客戶端可以實(shí)現(xiàn)為在計(jì)算機(jī)程序代碼的控制下進(jìn)行操作的程序化計(jì)算機(jī)����。計(jì)算機(jī)程序代碼將存儲(chǔ)在計(jì)算機(jī)(或處理器或機(jī)器)可讀存儲(chǔ)介質(zhì)(例如存儲(chǔ)器)中,代碼可由計(jì)算機(jī)的處理器執(zhí)行。對(duì)于本發(fā)明的公開內(nèi)容����,本領(lǐng)域技術(shù)人員可容易生成合適的計(jì)算機(jī)程序代碼以實(shí)現(xiàn)這里描述的協(xié)議。然而�����,圖4概括地示出了每個(gè)設(shè)備通過網(wǎng)絡(luò)媒介進(jìn)行通信的示例性架構(gòu)��。如圖所示�����,用戶設(shè)備410包括I/O設(shè)備412��、處理器414和存儲(chǔ)器416�。信賴方網(wǎng)絡(luò)服務(wù)器420包括I/O設(shè)備422�、處理器似4和存儲(chǔ)器426。身份提供方網(wǎng)絡(luò)服務(wù)器420包括I/O設(shè)備432����、 處理器4;34和存儲(chǔ)器436��。應(yīng)當(dāng)了解的是��,這里使用的術(shù)語“處理器”意在包括一個(gè)或多個(gè)處理設(shè)備,包括中央處理單元(CPU)或其它處理電路����,包括但不局限于一個(gè)或多個(gè)信號(hào)處理器、一個(gè)或多個(gè)集成電路等��。同樣�,這里使用的術(shù)語“存儲(chǔ)器”意在包括與處理器或CPU相關(guān)聯(lián)的存儲(chǔ)器,例如RAM��、ROM���、固定存儲(chǔ)設(shè)備(例如���,硬盤驅(qū)動(dòng)器)、或可移動(dòng)存儲(chǔ)設(shè)備(例如����,磁盤或CDR0M)。 此外�,這里使用的術(shù)語“I/O設(shè)備”意在包括用于將數(shù)據(jù)輸入處理單元的一個(gè)或多個(gè)輸入設(shè)備(例如,鍵盤��、鼠標(biāo)),以及用于提供與處理單元相關(guān)聯(lián)的結(jié)果的一個(gè)或多個(gè)輸出設(shè)備(例如����,CRT顯示器)。因此���,這里描述的用于執(zhí)行本發(fā)明方法的軟件指令或代碼可以存儲(chǔ)在一個(gè)或多個(gè)諸如ROM�����、固定或可移動(dòng)存儲(chǔ)器的相關(guān)存儲(chǔ)設(shè)備中����,并且在準(zhǔn)備使用時(shí)��,由CPU裝入RAM中并進(jìn)行執(zhí)行�����。也就是�,圖4中所示的每個(gè)計(jì)算設(shè)備010���、420和430)可分別進(jìn)行編程以執(zhí)行圖2和圖3所示的它們各自的協(xié)議步驟��。盡管此處通過參考附圖描述了本發(fā)明示意性的實(shí)施方式����,但可以理解的是本發(fā)明不局限于這些具體的實(shí)施方式,并且本領(lǐng)域技術(shù)人員在不偏離本發(fā)明范圍或精神的條件下可以進(jìn)行各種變化和修改�����。
權(quán)利要求
1.一種方法�,包括在通信網(wǎng)絡(luò)中第一計(jì)算設(shè)備是客戶端設(shè)備,第二計(jì)算設(shè)備是應(yīng)用服務(wù)器����,以及第三計(jì)算設(shè)備是通信網(wǎng)絡(luò)運(yùn)營(yíng)商控制下的服務(wù)器,響應(yīng)于第一計(jì)算設(shè)備將資源請(qǐng)求發(fā)布給第二計(jì)算設(shè)備以及第一計(jì)算設(shè)備向第二計(jì)算設(shè)備提供第一標(biāo)志符以用于第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證�����,并且響應(yīng)于第二計(jì)算設(shè)備不能認(rèn)證第一計(jì)算設(shè)備�;當(dāng)在由第一計(jì)算設(shè)備發(fā)送的第一標(biāo)識(shí)符和由作為用戶的第一計(jì)算設(shè)備用于訪問通信網(wǎng)絡(luò)的第二標(biāo)識(shí)符之間存在相關(guān)性時(shí),第三計(jì)算設(shè)備幫助第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證����,其中當(dāng)由第三方計(jì)算設(shè)備幫助的認(rèn)證成功時(shí),第二計(jì)算設(shè)備能夠?qū)τ傻谝挥?jì)算設(shè)備發(fā)送的資源請(qǐng)求進(jìn)行答復(fù)�。
2.根據(jù)權(quán)利要求1所述的方法����,其中第三計(jì)算設(shè)備幫助第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證的步驟進(jìn)一步包括第三計(jì)算設(shè)備從第一計(jì)算設(shè)備接收認(rèn)證請(qǐng)求����。
3.根據(jù)權(quán)利要求2所述的方法,其中第三計(jì)算設(shè)備幫助第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證的步驟進(jìn)一步包括第三計(jì)算設(shè)備檢查由第一計(jì)算設(shè)備發(fā)送的第一標(biāo)識(shí)符和由作為用戶的第一計(jì)算設(shè)備用于訪問通信網(wǎng)絡(luò)的第二標(biāo)識(shí)符之間的相關(guān)性����。
4.根據(jù)權(quán)利要求3所述的方法,其中第三計(jì)算設(shè)備幫助第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證的步驟進(jìn)一步包括�����,當(dāng)存在相關(guān)性時(shí)����,第三計(jì)算設(shè)備將認(rèn)證挑戰(zhàn)發(fā)送給第一計(jì)算設(shè)備。
5.根據(jù)權(quán)利要求4所述的方法�,其中第三計(jì)算設(shè)備幫助第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證的步驟進(jìn)一步包括,響應(yīng)于第一計(jì)算設(shè)備根據(jù)認(rèn)證挑戰(zhàn)將認(rèn)證響應(yīng)發(fā)送給第三計(jì)算設(shè)備�����,第三計(jì)算設(shè)備嘗試對(duì)認(rèn)證響應(yīng)進(jìn)行驗(yàn)證���。
6.根據(jù)權(quán)利要求5所述的方法���,其中第三計(jì)算設(shè)備幫助第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證的步驟進(jìn)一步包括,當(dāng)?shù)谌?jì)算設(shè)備驗(yàn)證認(rèn)證響應(yīng)時(shí)�,第三計(jì)算設(shè)備將簽名的認(rèn)證結(jié)果發(fā)送給第一計(jì)算設(shè)備,其中第一計(jì)算設(shè)備于是將簽名的認(rèn)證結(jié)果發(fā)送給第二計(jì)算設(shè)備���,以及當(dāng)簽名的認(rèn)證結(jié)果通過驗(yàn)證時(shí)�,第二計(jì)算設(shè)備能夠?qū)τ傻谝挥?jì)算設(shè)備發(fā)送的資源請(qǐng)求進(jìn)行響應(yīng)�。
7.根據(jù)權(quán)利要求6所述的方法,其中由第三計(jì)算設(shè)備發(fā)送給第一計(jì)算設(shè)備的簽名的認(rèn)證結(jié)果使用在第三計(jì)算設(shè)備和第二計(jì)算設(shè)備之間協(xié)商的密鑰進(jìn)行加密簽名��。
8.根據(jù)權(quán)利要求1所述的方法���,其中第一計(jì)算設(shè)備的第一標(biāo)識(shí)符包括基于開源的標(biāo)識(shí)符�。
9.一種方法�,包括在通信網(wǎng)絡(luò)中,其中第一計(jì)算設(shè)備是客戶端設(shè)備�,第二計(jì)算設(shè)備是應(yīng)用服務(wù)器,以及第三計(jì)算設(shè)備是通信網(wǎng)絡(luò)運(yùn)營(yíng)商控制下的服務(wù)器��;第一計(jì)算設(shè)備向第二計(jì)算設(shè)備發(fā)布資源請(qǐng)求�;第一計(jì)算設(shè)備將第一標(biāo)識(shí)符提供給第二計(jì)算設(shè)備以用于第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證����;其中�,當(dāng)?shù)诙?jì)算設(shè)備不能對(duì)第一計(jì)算設(shè)備進(jìn)行認(rèn)證時(shí),請(qǐng)求第三計(jì)算設(shè)備以幫助第一計(jì)算設(shè)備的認(rèn)證����,在由第一計(jì)算設(shè)備發(fā)送的第一標(biāo)識(shí)符和由作為用戶的第一計(jì)算設(shè)備用于訪問通信網(wǎng)絡(luò)的第二標(biāo)識(shí)符之間存在相關(guān)性時(shí),第三計(jì)算設(shè)備能夠幫助認(rèn)證�����,以及其中在第三方計(jì)算設(shè)備幫助的認(rèn)證成功時(shí)�����,第二計(jì)算設(shè)備能夠?qū)τ傻谝挥?jì)算設(shè)備發(fā)送的資源請(qǐng)求進(jìn)行響應(yīng)�。
10. 一種方法,包括在通信網(wǎng)絡(luò)中���,其中第一計(jì)算設(shè)備是客戶端設(shè)備��,第二計(jì)算設(shè)備是應(yīng)用服務(wù)器���,以及第三計(jì)算設(shè)備是通信網(wǎng)絡(luò)運(yùn)營(yíng)商控制下的服務(wù)器�����;第二計(jì)算設(shè)備接收由第一計(jì)算設(shè)備發(fā)布的資源請(qǐng)求;第二計(jì)算設(shè)備從第一計(jì)算設(shè)備接收第一標(biāo)識(shí)符以用于第一計(jì)算設(shè)備到第二計(jì)算設(shè)備的認(rèn)證���;以及響應(yīng)于第二計(jì)算設(shè)備不能認(rèn)證第一計(jì)算設(shè)備�,第二計(jì)算設(shè)備請(qǐng)求第三計(jì)算設(shè)備幫助對(duì)第一計(jì)算設(shè)備進(jìn)行認(rèn)證�����,當(dāng)由第一計(jì)算設(shè)備發(fā)送的第一標(biāo)識(shí)符和由作為用戶的第一計(jì)算設(shè)備用于訪問通信網(wǎng)絡(luò)的第二標(biāo)識(shí)符之間存在相關(guān)性時(shí)�,第三計(jì)算設(shè)備能夠幫助認(rèn)證;在第三方計(jì)算設(shè)備幫助的認(rèn)證成功時(shí)���,第二計(jì)算設(shè)備對(duì)由第一計(jì)算設(shè)備發(fā)送的資源請(qǐng)求進(jìn)行響應(yīng)�����。
全文摘要
本發(fā)明公開了一種用于使通信網(wǎng)絡(luò)運(yùn)營(yíng)商提供一個(gè)或兩個(gè)諸如認(rèn)證服務(wù)的身份服務(wù)的技術(shù)���。例如,在通信網(wǎng)絡(luò)中���,假設(shè)第一計(jì)算設(shè)備是客戶端設(shè)備��,第二計(jì)算設(shè)備是應(yīng)用服務(wù)器��,以及第三計(jì)算設(shè)備是通信網(wǎng)絡(luò)運(yùn)營(yíng)商控制下的服務(wù)器�。該方法可包括以下步驟。響應(yīng)于第一計(jì)算設(shè)備將資源請(qǐng)求發(fā)布給第二計(jì)算設(shè)備�����,以及第一計(jì)算設(shè)備將用于第二計(jì)算設(shè)備認(rèn)證第一計(jì)算設(shè)備的第一標(biāo)識(shí)符提供給第二計(jì)算設(shè)備�����,并且響應(yīng)于第二計(jì)算設(shè)備不能認(rèn)證第一計(jì)算設(shè)備���;當(dāng)在由第一計(jì)算設(shè)備發(fā)送的第一標(biāo)識(shí)符和由作為用戶的第一計(jì)算設(shè)備用于訪問通信網(wǎng)絡(luò)的第二標(biāo)識(shí)符之間存在相關(guān)性時(shí)����,第三計(jì)算設(shè)備幫助第二計(jì)算設(shè)備對(duì)第一計(jì)算設(shè)備的認(rèn)證���,其中當(dāng)由第三方計(jì)算設(shè)備幫助的認(rèn)證成功時(shí)���,第二計(jì)算設(shè)備能夠?qū)τ傻谝挥?jì)算設(shè)備發(fā)送的資源請(qǐng)求進(jìn)行答復(fù)�。
文檔編號(hào)H04L29/06GK102388638SQ201080015636
公開日2012年3月21日 申請(qǐng)日期2010年3月18日 優(yōu)先權(quán)日2009年4月9日
發(fā)明者H-L·陸, I·凡博格 申請(qǐng)人:阿爾卡特朗訊公司