亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

用于鑒權(quán)的方法、裝置和設(shè)備的制作方法

文檔序號:7585907閱讀:227來源:國知局
專利名稱:用于鑒權(quán)的方法、裝置和設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及電信網(wǎng)絡(luò)中用于鑒權(quán)的方法。本發(fā)明也涉及電信網(wǎng)絡(luò)中用于完成鑒權(quán)操作的裝置以及在鑒權(quán)中使用的設(shè)備。
背景技術(shù)
有各種類型的通過電信網(wǎng)絡(luò)(或幾個(gè)網(wǎng)絡(luò))實(shí)施以及需要至少某種類型的鑒權(quán)的通信應(yīng)用和/或事項(xiàng)和/或業(yè)務(wù)。例如,當(dāng)用戶在通過電信網(wǎng)接入特定的應(yīng)用時(shí),可能需要鑒權(quán)以確保用戶接入的權(quán)利。此外,當(dāng)用戶已經(jīng)通過通信網(wǎng)使用應(yīng)用時(shí),可能需要驗(yàn)證用戶使用該應(yīng)用的權(quán)利和/或用戶進(jìn)行另外的某些事項(xiàng)的權(quán)利,諸如在使用期間重新配置或重新編程或更新操作,或從用戶接收應(yīng)答以便允許應(yīng)用進(jìn)行另外的某些事項(xiàng),諸如從應(yīng)用或有關(guān)的數(shù)據(jù)庫/記錄中檢索或轉(zhuǎn)移信息,或配置應(yīng)用或包含在應(yīng)用數(shù)據(jù)庫中的信息。
可能需要鑒權(quán)的應(yīng)用的例子包括通過分組交換的通信網(wǎng)(諸如互聯(lián)網(wǎng)、內(nèi)聯(lián)網(wǎng)或局域網(wǎng)(LAN))得到的各種商業(yè)和非商業(yè)的服務(wù)和/或數(shù)據(jù)庫或記錄。這些例子也包括通過分組交換通信網(wǎng)接入的、諸如付費(fèi)業(yè)務(wù)和銀行業(yè)務(wù)的應(yīng)用。應(yīng)用的例子也包括通過通信網(wǎng)的、諸如資源接入、遠(yuǎn)端編程或重新編程或軟件和/或數(shù)據(jù)庫的重新配置、更新或維護(hù)的事項(xiàng),以及通過通信網(wǎng)完成的保密文件和記錄等的發(fā)送事項(xiàng)。正如已指出的,甚至某些通過通信網(wǎng)得到的免費(fèi)業(yè)務(wù)也可能需要鑒權(quán)。
近年來,需要至少某種程度的對這樣的用戶和/或終端進(jìn)行鑒權(quán)的應(yīng)用的數(shù)量大大增加,其中所述用戶和/或終端試圖接入到應(yīng)用,或者所述用戶和/或終端已經(jīng)在使用這些應(yīng)用但在使用應(yīng)用期間需要被鑒權(quán)或檢驗(yàn),或者在使用應(yīng)用期間需要進(jìn)行確認(rèn)。對安全和可靠的鑒權(quán)的需要預(yù)期在將來還會進(jìn)一步增加。
現(xiàn)在的數(shù)據(jù)通信系統(tǒng)可以利用特定的密鑰或電子簽名(電子實(shí)現(xiàn)的簽名)來對通信系統(tǒng)的使用進(jìn)行鑒權(quán)。由此,在通信鑒權(quán)事項(xiàng)中在兩個(gè)通信數(shù)據(jù)處理設(shè)備的或計(jì)算機(jī)設(shè)備和/或服務(wù)器和/或節(jié)點(diǎn)等等數(shù)據(jù)通信設(shè)備之間使用了密鑰連同各種密碼技術(shù)和/或算法。
按照一種情況,隨機(jī)質(zhì)詢被賦予兩個(gè)計(jì)算機(jī)設(shè)備的加密函數(shù)。這兩個(gè)計(jì)算機(jī)都具有一個(gè)秘密,即加密密鑰,它也被賦予兩個(gè)計(jì)算機(jī)中的加密/解密函數(shù)。此后,兩個(gè)加密函數(shù)的計(jì)算結(jié)果被比較,并且如果比較結(jié)果是肯定的,則鑒權(quán)被認(rèn)為是有效的,以及如果比較給出否定的結(jié)果,則鑒權(quán)測試被認(rèn)為是失敗的。
在大多數(shù)情況下,密鑰是公共的或?qū)S玫拿荑€。在公共密鑰方法中,用戶可借助于密鑰(例如密碼字)而被識別。用戶和應(yīng)用可以使用公共密鑰來加密數(shù)據(jù)。在專用密鑰方法中,密鑰通常只被用戶知道。這樣,用戶只有在密鑰是在用戶與應(yīng)用之間共享(所謂的共享秘密)的情況下才被識別。所以在大多數(shù)情況下,專用密鑰只用于解密加密的數(shù)據(jù),而共享秘密的密鑰可被用于加密和解密操作。
此外,密鑰相對于時(shí)間可以是對稱或非對稱的。然而,在連接期間非對稱密鑰的使用可能使得鑒權(quán)裝置的運(yùn)行太繁重。因此,非對稱密鑰(或多個(gè)密鑰)通常只在建立連接時(shí)被使用,然后,對稱密鑰被用于連接本身。
電子的或數(shù)字的簽名是一個(gè)已經(jīng)通過使用某個(gè)秘密密鑰而創(chuàng)建的數(shù)據(jù)塊。公共密鑰可被用來驗(yàn)證簽名已經(jīng)通過使用相應(yīng)的秘密密鑰而被產(chǎn)生。用來產(chǎn)生簽名的算法必須使得在不知道實(shí)際的秘密密鑰的情況下,不可能創(chuàng)建或猜想這樣一個(gè)可被驗(yàn)證為有效簽名的簽名。
為了更好地理解背景情況,下面更詳細(xì)地說明一些技術(shù)術(shù)語,并概要地描述它們的某些缺點(diǎn)-用戶識別符(ID)。每個(gè)用戶有一個(gè)用戶識別符(ID),它有時(shí)也被稱為用戶名。用戶通常自己創(chuàng)建ID,并且它可以由例如用戶姓名的開頭字母、名字和/或姓、他/她的別名等等組成。這樣,用戶ID并不提供任何專門的和可靠的安全性來防止非授權(quán)地或非法地使用它們。ID可被除了它的實(shí)際擁有者以外的任何人使用。
-密碼?,F(xiàn)在把密碼或幾個(gè)密碼連同用戶ID一起使用是鑒權(quán)最經(jīng)常使用的方法。密碼被通過用戶接口,例如通過連接到通信網(wǎng)的計(jì)算機(jī)終端給予遠(yuǎn)端應(yīng)用。然而,這種解決辦法沒有考慮到網(wǎng)絡(luò)的脆弱性,因?yàn)槊艽a被暴露給接入到網(wǎng)絡(luò)的每個(gè)人(以及有足夠技巧能從消息中讀出密碼的人)。
-秘密。秘密可被描述為電子密碼或簽名或加密密鑰,它被用戶接口存儲和使用。即使秘密沒有暴露給網(wǎng)絡(luò),它也可能最終落入“錯(cuò)誤的手”中,以及可能被那些原先打算是秘密的用戶以外的某個(gè)另一方使用。
-用戶接口中的鑒權(quán)軟件。這是更先進(jìn)的用于鑒權(quán)的方法。密碼代碼被給予用戶接口中的程序,然后它以加密的方式對請求的應(yīng)用的接入自動鑒權(quán)。即使這比起以上的解決辦法提供了更安全的做法,但它仍舊留下從用戶接口獲取秘密的密碼的可能性。也有可能修改軟件而不通知實(shí)際的用戶。
以上的內(nèi)容已經(jīng)提到在實(shí)施本鑒權(quán)系統(tǒng)時(shí)可能涉及的某些當(dāng)事方。下面也對它們作概略的解釋-用戶通常是通過電信網(wǎng)絡(luò)或互相連接的幾個(gè)網(wǎng)絡(luò)來使用各種應(yīng)用或業(yè)務(wù)的人,即真實(shí)的個(gè)人。用戶可以借助于用戶ID連同只有他/她知道的密鑰(密碼或秘密)(公共密鑰方法),或借助于在用戶與應(yīng)用之間共享的密鑰(共享秘密密鑰方法)而被識別。
-應(yīng)用是想要確保用戶的鑒權(quán)的一方。應(yīng)用也可被稱為業(yè)務(wù)。從應(yīng)用的角度來看,鑒權(quán)問題可被分成四種不同的類別(問題)(1)在該時(shí)刻用戶在另一端嗎?(所謂的同等實(shí)體鑒權(quán)),(2)另外的消息和通信是從同一個(gè)用戶處接收的嗎?(消息流的完整性),(3)特定的消息和通信是從確定的用戶發(fā)起的嗎?(數(shù)據(jù)來源鑒權(quán)),以及(4)消息和通信是使得甚至第三方也會相信它來源于確定的用戶的嗎?(非-否定)。
-用戶接口是使得用戶能夠接入到應(yīng)用的設(shè)備或裝置。在大多數(shù)情況下,它也可被稱為終端,以及可包含計(jì)算機(jī)(例如,個(gè)人計(jì)算機(jī),PC)、工作站、諸如移動電話或無線電或?qū)ず魴C(jī)或移動電話與數(shù)據(jù)處理設(shè)備的組合的移動臺的電話終端、自動提款機(jī)和/或銀行機(jī)器等等。用戶接口提供輸入/輸出設(shè)施,并且它甚至可能提供一部分應(yīng)用。
-密鑰服務(wù)器是包含通信網(wǎng)的不同用戶的所有密鑰和簽名的服務(wù)器。在現(xiàn)有系統(tǒng)中,密鑰服務(wù)器位于全球的和開放的無連接的互聯(lián)網(wǎng)中,因此它可由所有那些正在接入互聯(lián)網(wǎng)的用戶接入。本密鑰服務(wù)器被安排成響應(yīng)于互聯(lián)網(wǎng)用戶發(fā)送的密鑰詢問。通常,程序步驟是互聯(lián)網(wǎng)用戶給出另一方的姓名(或ID),此后密鑰服務(wù)器從其數(shù)據(jù)庫檢索密鑰并發(fā)送這個(gè)密鑰作為對用戶的應(yīng)答。被包含在各個(gè)密鑰服務(wù)器中的信息可被能夠使用互聯(lián)網(wǎng)的任何人更新,或在密鑰服務(wù)器的接入只限于服務(wù)器的擁有者的情況下,只由服務(wù)器的擁有者更新。
發(fā)明概要現(xiàn)有系統(tǒng)的問題是所使用的通信系統(tǒng)和其用戶必須相信用戶一開始就把正確的用戶識別符(ID)給予系統(tǒng),例如密鑰服務(wù)器。此外,被存儲在互聯(lián)網(wǎng)密鑰服務(wù)器的數(shù)據(jù)庫中的信息可被第三方改變,因此這些開放的數(shù)據(jù)庫不能保持安全來對抗黑客(偷竊者)。
為了提高安全性而引入和使用了已驗(yàn)證的密鑰服務(wù)器以代替?zhèn)鹘y(tǒng)的未驗(yàn)證的密鑰服務(wù)器。已驗(yàn)證的密鑰服務(wù)器將不在分組交換通信網(wǎng)上接受用戶的密鑰,而是用戶必須通過“手拉手方法”把密鑰交給已驗(yàn)證的密鑰服務(wù)器的管理者。然而,這使得其使用更復(fù)雜,以及許多用戶感覺它不方便,因而不想使用它。
所以,本密鑰服務(wù)器被這樣利用以使得用戶通過ftp(文件傳送協(xié)議)來下載密鑰。除了相信已知的用戶ID的正確性以外,系統(tǒng)(例如使用的應(yīng)用)還必須相信沒有人曾經(jīng)改變過原先的密鑰。
電子簽名不一定是可信的,因?yàn)椴荒芙^對地確定位于密鑰服務(wù)器中的電子密鑰的正確性。用戶/系統(tǒng)必須相信用戶給出的是正確的用戶識別符。電子簽名對于黑客或類似的入侵者也是脆弱的。例如,在互聯(lián)網(wǎng)環(huán)境下,這些可以很容易地為每個(gè)用戶配置,以及任何人都可以改變公共密鑰,如果他/她想要這樣做的話。
電子密鑰/簽名的另一個(gè)問題是它們需要復(fù)雜的鑒權(quán)程序。但仍舊不能絕對地確定密鑰或簽名的正確性或來源。在應(yīng)用的接入被現(xiàn)有技術(shù)解決辦法做得盡可能安全的情況下,應(yīng)用從其結(jié)構(gòu)而言會容易變得極其復(fù)雜,以及在接入和使用時(shí)還會變得很復(fù)雜和很費(fèi)時(shí)間。
隨著安全水平被提高,所需要的硬件和軟件的數(shù)量也將增加,這將導(dǎo)致需要增加對它的維護(hù)和更新,因此鑒權(quán)的總費(fèi)用可能變得非常高。此外,可以認(rèn)為,所謂“絕對安全”的條件在現(xiàn)有開放的通信網(wǎng)中甚至是不存在的,因?yàn)榧夹g(shù)發(fā)展使得例如黑客有可能解密甚至比現(xiàn)在的安全裝置更復(fù)雜的裝置。
人們的問題在于,密鑰或簽名可能變得相當(dāng)復(fù)雜和/或太長,或可能有太多的密鑰或簽名要用戶正確地運(yùn)用和記住它們。典型地,在秘密密鑰方法中被認(rèn)為是安全的密鑰是128比特或更長,以及在公共/專用密鑰方法中安全密鑰被認(rèn)為是1024比特或更長。對于大多數(shù)人來說是不可能記住這類密鑰的。
除了如上面所討論的那樣、在開放的分組交換通信網(wǎng)上傳輸電子密鑰或簽名或密碼期間有捕獲這些電子密鑰或簽名或密碼的可能性以外,今天的解決辦法也沒有充分地注意用戶接口的脆弱性。用來形成接口的終端設(shè)備已經(jīng)發(fā)展成充滿復(fù)雜的技術(shù)和軟件以至大多數(shù)用戶不再能夠全面控制終端或甚至了解它們的運(yùn)行。此外,經(jīng)常是許多用戶共享同一個(gè)終端設(shè)備(例如終端是公用的PC)和/或某些外部維修人員能夠接入本身封閉的組織的計(jì)算機(jī)。
計(jì)算機(jī)終端在其存儲器裝置中包含存儲的狀態(tài)和程序,它們可以被修改。在現(xiàn)代的計(jì)算機(jī)中,有可能修改其軟件而甚至使用戶不注意到這一點(diǎn),以及甚至通過通信路徑而不用任何物理路徑來接入到設(shè)備本身。給出一個(gè)風(fēng)險(xiǎn)的例子,有可能在計(jì)算機(jī)終端處修改程序以使得它修改用戶發(fā)送給例如銀行的數(shù)據(jù),例如使得計(jì)算機(jī)將某一天的所有銀行轉(zhuǎn)帳修改到由用戶指定帳戶之外的另一個(gè)帳戶。當(dāng)針對普通單獨(dú)的用戶使用時(shí),特別是當(dāng)針對組織(諸如公司或公共行政機(jī)關(guān))使用時(shí),這種不通知的修改和重新編程可能造成嚴(yán)重的和巨大的損害。所有這些都意味著,普通的終端設(shè)備和通信路徑是不能被信任的。
所以,本發(fā)明的一個(gè)目的是克服現(xiàn)有技術(shù)解決辦法的缺點(diǎn),以及提供一種新型的用于鑒權(quán)的解決辦法。
一個(gè)目的是提供一種方法和裝置,借助于它,接入應(yīng)用的用戶接口可以以較之現(xiàn)有技術(shù)中可能有的更安全的方式來被鑒權(quán)。另一個(gè)目的是在使用已經(jīng)接入的應(yīng)用期間需要進(jìn)行鑒權(quán)時(shí),提供更安全的鑒權(quán)。
一個(gè)目的是提供一種解決辦法,其中應(yīng)用可以肯定用戶識別符和鑒權(quán)數(shù)據(jù)(諸如密鑰或簽名)是正確的。
本發(fā)明的一個(gè)目的是提供一種解決辦法,其中電話用戶號、移動臺的識別模塊、或移動設(shè)備識別符、或由智能卡或類似的裝置提供的識別符等在鑒權(quán)時(shí)可被利用。
一個(gè)目的是一種提供解決辦法,借助于這種辦法,在通信方之間的數(shù)據(jù)加密過程可以以新穎的和改進(jìn)的方式被實(shí)現(xiàn)。
這些目的是通過電信網(wǎng)絡(luò)中鑒權(quán)通信的方法而得到的,其中該方法包括把鑒權(quán)數(shù)據(jù)存儲在鑒權(quán)服務(wù)器中,把用戶接口識別數(shù)據(jù)存儲在鑒權(quán)服務(wù)器中以使得它與有關(guān)的鑒權(quán)數(shù)據(jù)結(jié)合在一起,把通信的用戶接口的識別數(shù)據(jù)發(fā)送到鑒權(quán)服務(wù)器,在鑒權(quán)服務(wù)器中接收識別數(shù)據(jù),從與接收的識別數(shù)據(jù)結(jié)合在一起的存儲的鑒權(quán)數(shù)據(jù)中檢索這樣的鑒權(quán)數(shù)據(jù),以及發(fā)送至少一部分來自鑒權(quán)服務(wù)器的檢索的鑒權(quán)數(shù)據(jù)作為對接收的識別數(shù)據(jù)的應(yīng)答。
按照一個(gè)替換例,電信通信網(wǎng)中鑒權(quán)通信的方法包括把鑒權(quán)數(shù)據(jù)存儲在鑒權(quán)服務(wù)器中,把用戶接口識別數(shù)據(jù)存儲在鑒權(quán)服務(wù)器中以使得它與有關(guān)的鑒權(quán)數(shù)據(jù)結(jié)合在一起,把用于通信的用戶接口的鑒權(quán)數(shù)據(jù)發(fā)送到鑒權(quán)服務(wù)器,在鑒權(quán)服務(wù)器中接收鑒權(quán)數(shù)據(jù),從與接收的鑒權(quán)數(shù)據(jù)結(jié)合在一起的存儲的用戶接口識別數(shù)據(jù)中檢索這樣的用戶接口識別數(shù)據(jù),以及發(fā)送至少一部分來自鑒權(quán)服務(wù)器的檢索的用戶接口識別數(shù)據(jù)作為對接收的鑒權(quán)數(shù)據(jù)的應(yīng)答。
此外,本發(fā)明提供在電信網(wǎng)絡(luò)中使用的裝置。該裝置包括被連接的第一電信網(wǎng)的用戶接口,所述用戶接口具有一個(gè)識別符,一個(gè)可通過第二電信網(wǎng)接入的應(yīng)用,一個(gè)使得用戶接口能夠通過第一電信網(wǎng)接入到第二電信網(wǎng)的接入服務(wù)器,以及一個(gè)鑒權(quán)服務(wù)器,其中該鑒權(quán)服務(wù)器包括其中以可檢索的方式存儲了用戶接口的識別符和需要的鑒權(quán)數(shù)據(jù)并因此使得它們被結(jié)合在一起的記錄或數(shù)據(jù)庫。
也提供了在電信網(wǎng)絡(luò)中使用的鑒權(quán)服務(wù)器。鑒權(quán)服務(wù)器包括數(shù)據(jù)庫或記錄,它被用來存儲用于連接到電信網(wǎng)的用戶接口終端的用戶接口識別數(shù)據(jù)和用于多個(gè)用戶接口終端的鑒權(quán)數(shù)據(jù),以使得用戶接口識別符與用于所述用戶接口終端的相關(guān)的鑒權(quán)數(shù)據(jù)結(jié)合在一起。
借助于本發(fā)明可以得到幾個(gè)益處,因?yàn)榻鉀Q辦法提供了簡單的、可靠的和可控制的鑒權(quán)方式。該解決辦法把分組交換網(wǎng)絡(luò)的安全級別提高到幾乎相當(dāng)于至少是公共交換電話網(wǎng)(PSTN)的安全級別的級別。提供鑒權(quán)的裝置是處在可信方,諸如網(wǎng)絡(luò)操作員(例如公共電話網(wǎng)操作員)的監(jiān)管下,或處在通常可被保持成這樣的可信方(它可以充分地確保連接到操作員的網(wǎng)絡(luò)的用戶接口的真實(shí)性)的類似的一方的監(jiān)管下。提供應(yīng)用的服務(wù)器的擁有者并不需要知道用戶的特征,但應(yīng)用提供者可依賴于操作員對用戶信任這樣的事實(shí),并因此準(zhǔn)備鑒權(quán)其使用。本發(fā)明為遠(yuǎn)端工作提供了改進(jìn)的可能性,因?yàn)殍b權(quán)事項(xiàng)更可靠而同時(shí)由鑒權(quán)過程對系統(tǒng)造成的運(yùn)行時(shí)間負(fù)荷減小,并且使得鑒權(quán)過程以及加密密鑰的供應(yīng)過程被更簡單地完成和對于用戶更透明,而同時(shí)仍舊可以提供連接的良好的安全性。
下面通過參照附圖以示例的方式來描述本發(fā)明及其其它目的和優(yōu)點(diǎn),其中在各個(gè)圖上相同的參考字符是指相同的特征。
附圖簡述

圖1是包括按照本發(fā)明的原理運(yùn)行的服務(wù)器的一個(gè)網(wǎng)絡(luò)裝置的示意圖;圖2是在圖1的服務(wù)器內(nèi)實(shí)施的表格的示意圖;圖3和4揭示了本發(fā)明的兩個(gè)實(shí)施例的運(yùn)行的流程圖;圖5和6顯示了在兩個(gè)不同的信令情形下在各方之間的信號流。
附圖詳細(xì)描述圖1是包括PSTN(公共交換電話網(wǎng))的裝置的示意圖,其中用戶通過他/她的用戶接口或終端1被連接到PSTN。PSTN是熟知的交換電話網(wǎng)裝置,它以本領(lǐng)域技術(shù)人員本來熟知的方式被用于話音和數(shù)據(jù)業(yè)務(wù),因此這里不再更詳細(xì)地解釋。只要注意到,PSTN通常包含各種交換機(jī)(本地分支交換機(jī)、專用分支交換機(jī)、中央交換機(jī)、網(wǎng)關(guān)交換機(jī)等等),以及在這些之間的連接(諸如中繼線)或到其它網(wǎng)絡(luò)和接口用于把用戶終端連接到PSTN的鏈路。
應(yīng)當(dāng)指出,本發(fā)明不打算限于這樣的情況中的使用,即其中用戶接口或終端被連接到PSTN從而通過PSTN網(wǎng)絡(luò)運(yùn)行,它也可以用在能夠提供在至少兩方之間的通信的其它類型的電信網(wǎng)中,諸如各種類型的PLMN(公共地面移動網(wǎng))。在這方面,應(yīng)當(dāng)指出,兩個(gè)通常使用的PLMN系統(tǒng)是分別基于CDMA(碼分多址)和TDMA(時(shí)分多址)的。例如,在美國使用的IS-95標(biāo)準(zhǔn)是基于CDMA的,而廣泛使用的GSM(全球移動通信系統(tǒng))標(biāo)準(zhǔn)是基于TDMA的。預(yù)期將來的PLMN是基于以上的寬帶解決方案的,諸如W-CDMA或W-TDMA。
在圖1的例子中,用戶終端1由一個(gè)數(shù)據(jù)處理設(shè)備構(gòu)成,更精確地是由個(gè)人計(jì)算機(jī)(PC)構(gòu)成。PC機(jī)通常包括中央處理單元(CPU)、存儲器(ROM,RAM)、鍵盤、顯示器和必要的用于通過工作的連接2把數(shù)據(jù)處理裝置連接和接口到諸如圖1的交換分機(jī)3的PSTN交換設(shè)備接口裝置。這些接口裝置可以包括,例如一個(gè)網(wǎng)絡(luò)板、適當(dāng)?shù)倪B接端口和耦合、調(diào)制解調(diào)器(在使用調(diào)制解調(diào)器連接的情況下)等,或者接口可以借助于ISDN(綜合業(yè)務(wù)數(shù)字網(wǎng))連接,或通過包括ADSL(非對稱數(shù)字用戶線)的xDSL(任何的數(shù)字用戶線),或通過IDSL(ISDN用戶線),或通過用于高速接入的ATM(異步傳輸模式)連接,或通過用于接入數(shù)據(jù)網(wǎng)的任何其它相應(yīng)的解決方案而被安排。
網(wǎng)絡(luò)接入服務(wù)器(NAS)5通過連接4被可操作地連接到PSTN交換機(jī)3。在某些情況下,接入服務(wù)器也可以被實(shí)現(xiàn)為形成網(wǎng)絡(luò)交換設(shè)備的一部分。在要被接入的網(wǎng)絡(luò)是利用TCP/IP協(xié)議組以及被稱為互聯(lián)網(wǎng)的全球分組數(shù)據(jù)網(wǎng)的情況下,接入服務(wù)器(AS)常常相應(yīng)地被稱為互聯(lián)網(wǎng)接入服務(wù)器(IAS)。
網(wǎng)絡(luò)接入服務(wù)器(NAS)被安排去識別由呼叫的電話預(yù)定(即由PC機(jī)1使用的預(yù)定)試圖與之建立連接的電話號碼。在目的地號碼是互聯(lián)網(wǎng)號碼(諸如用于辦公室網(wǎng)絡(luò)網(wǎng)關(guān)9的號碼,或用于在互聯(lián)網(wǎng)8以外的互聯(lián)網(wǎng)業(yè)務(wù)提供者9′的號碼)的情況下,呼叫將不作為普通的電路交換的呼叫被進(jìn)一步路由到公共交換電話網(wǎng)(PSTN),而是被終接到NAS 5,以及數(shù)據(jù)將接著作為分組交換的呼叫通常以數(shù)據(jù)分組的形式通過數(shù)據(jù)網(wǎng)被路由到互聯(lián)網(wǎng)8。換句話說,NAS 5被用來把來自終端1的電路交換網(wǎng)絡(luò)的信號變換成數(shù)據(jù)分組,然后數(shù)據(jù)分組可被發(fā)送到分組交換的網(wǎng)絡(luò),以及把這個(gè)數(shù)據(jù)分組發(fā)送到互聯(lián)網(wǎng)8。然而,除了上述的NAS以外的另外類型的適合的接入節(jié)點(diǎn)(AN)也是已知的,也可代替NAS而被用來提供從終端1到互聯(lián)網(wǎng)8的接入。
在圖1上,要被接入的應(yīng)用被顯示為辦公室網(wǎng)絡(luò)網(wǎng)關(guān)9或ISP 9′。在所使用的應(yīng)用是網(wǎng)關(guān)9的情況下,PC 1的用戶可被看成是在遠(yuǎn)端地工作(例如在家中)并且作為通過互聯(lián)網(wǎng)TCP/IP連接接入辦公室網(wǎng)絡(luò)網(wǎng)關(guān)9的用戶。然而,應(yīng)當(dāng)指出,需要鑒權(quán)的應(yīng)用可以是除了所顯示的以外的任何其它類型的、可通過分組數(shù)據(jù)網(wǎng)絡(luò)接入的應(yīng)用,例如由除了互聯(lián)網(wǎng)業(yè)務(wù)提供者(ISP)9′以外的某些其它方提供的業(yè)務(wù)或應(yīng)用。
裝置還包括鑒權(quán)節(jié)點(diǎn)或鑒權(quán)服務(wù)器,在本例中它被稱為域密鑰服務(wù)器(DKS),用10表示。鑒權(quán)服務(wù)器是在交換網(wǎng)和分組數(shù)據(jù)網(wǎng)之間的接口或連接點(diǎn)中實(shí)施的。這樣,如圖1所示,鑒權(quán)服務(wù)器10定位于與PSTN 4的較近聯(lián)系中,最好是使得它與接入點(diǎn)即在PSTN 4與互聯(lián)網(wǎng)8之間的NAS 5具有直接的連接。
鑒權(quán)服務(wù)器包含記錄或數(shù)據(jù)庫,它包括在要求鑒權(quán)的應(yīng)用中所需要的所有的密鑰和/或簽名,即鑒權(quán)數(shù)據(jù)。為了提供鑒權(quán),應(yīng)用被安排成使用由鑒權(quán)服務(wù)器10提供的鑒權(quán)業(yè)務(wù)。鑒權(quán)服務(wù)器10被安排來把鑒權(quán)數(shù)據(jù)結(jié)合或組合到作為通信或呼叫的發(fā)源地的用戶接口的識別符上。這個(gè)識別符可以是,例如電話預(yù)定識別符(例如E.164)、IMEI代碼(國際移動設(shè)備識別符)或SIM代碼(用戶識別模塊)、智能卡或類似的指明入呼叫的發(fā)源地的裝置的識別符。這些識別符也被存儲在鑒權(quán)服務(wù)器內(nèi),正如將參照圖2更詳細(xì)地說明的。
鑒權(quán)服務(wù)器的重要特性是,它是由可信的一方(諸如由PSTN的電話網(wǎng)操作員,或政府組織或提供網(wǎng)絡(luò)安全性業(yè)務(wù)或通常的網(wǎng)絡(luò)業(yè)務(wù)的公司)來實(shí)施、運(yùn)行、管理、維護(hù)和控制的。諸如公司、大學(xué)、協(xié)會等的各種組織也可以具有它們自己的密鑰服務(wù)器。服務(wù)器在物理上最好位于接入服務(wù)器內(nèi)或緊密地靠近接入服務(wù)器,這樣便沒有外來者可以接入到其中,因而它是可信任的。
圖2揭示了在鑒權(quán)服務(wù)器內(nèi)實(shí)施的表格的一個(gè)例子。表格20被用作存儲用于鑒權(quán)過程的必要數(shù)據(jù)/信息的記錄。在該例中,第一列是識別數(shù)據(jù)區(qū)或設(shè)備識別區(qū)22,它包括諸如E.164電話號碼、SIM(用戶識別模塊)或IMEI代碼(國際移動設(shè)備識別符)、或智能卡識別符的識別符。為了簡明起見,圖2的示例的區(qū)22只顯示了電話號碼。
如上所述,E.164號碼只是不同的號碼地址的一個(gè)例子,E.164是由ITU-T(國際電信聯(lián)盟)標(biāo)準(zhǔn)化的。其它的相應(yīng)的電話號碼自然也可以被用作用戶接口識別符。而SIM通常是被安裝在移動臺內(nèi)的一個(gè)卡或芯片,但在其它的終端中也可以使用相應(yīng)的識別模塊。IMEI是移動臺的唯一的識別符。
某些其它的識別符,諸如基于最終用戶帳號的解決方案,也可被用于識別目的。此外,終端的類型也可被使用于識別目的。舉一個(gè)后者的例子,終端可以按照其工作原理而被分成“愚笨的”和“智能的”終端?!坝薇康摹苯K端可以按照接口點(diǎn)(通常是固定線路連接點(diǎn))被識別?!奥斆鞯摹苯K端配備有SIM、IMEI、智能卡等等,并且識別是基于這種裝置而不是接口點(diǎn)。
表20的第二列構(gòu)成密鑰類型區(qū)24。密鑰的類型可以是例如公共密鑰、專用密鑰、簽名、對稱密鑰或非對稱密鑰。
表20的第三列構(gòu)成用于所使用的密碼算法的名稱的區(qū)26。所使用的算法可以是例如基于DES(數(shù)據(jù)加密標(biāo)準(zhǔn))、或RSA(Rivest,Shamir,Adleman-算法)、或IDEA(國際數(shù)據(jù)加密算法)的算法或任何適合于進(jìn)行鑒權(quán)過程中可能需要的密碼運(yùn)算的其它的算法。
表20的第四列構(gòu)成表示所使用的密鑰/簽名的鑒權(quán)數(shù)據(jù)區(qū)28。正如所看到的,在鑒權(quán)數(shù)據(jù)區(qū)28中的密鑰/簽名被結(jié)合到在識別符數(shù)據(jù)區(qū)22和其它可能的區(qū)中的各個(gè)識別符上。應(yīng)當(dāng)指出,一個(gè)用戶/識別符可以具有一個(gè)以上的密鑰和/或簽名,然后這些密鑰和簽名被按照所用的應(yīng)用的要求來使用。
按照一個(gè)替換的表格結(jié)構(gòu),識別數(shù)據(jù)區(qū)22可被分成單獨(dú)的區(qū),以使得電話號碼、SIM和IMEI、智能卡等,每個(gè)都被包括在它們自己的單獨(dú)的識別數(shù)據(jù)區(qū)。來自以上的單獨(dú)的區(qū)的數(shù)據(jù)可以在鑒權(quán)過程中被利用,以使得單獨(dú)的區(qū)在鑒權(quán)期間被互相比較。
在運(yùn)行時(shí),鑒權(quán)服務(wù)器被用來這樣地存儲適當(dāng)?shù)蔫b權(quán)數(shù)據(jù)或信息以及設(shè)備識別數(shù)據(jù),以使得各個(gè)數(shù)據(jù)按預(yù)定的方式被組合。在鑒權(quán)服務(wù)器10中,存儲的鑒權(quán)數(shù)據(jù)可被用來借助于設(shè)備識別數(shù)據(jù)或識別符來鑒權(quán)呼叫的設(shè)備(例如,通過把呼叫的電話號碼,或呼叫設(shè)備的SIM或IMSE與鑒權(quán)數(shù)據(jù)進(jìn)行驗(yàn)證)?;蛘?,呼叫設(shè)備識別數(shù)據(jù)可被鑒權(quán)數(shù)據(jù)用于鑒權(quán)目的(例如通過把密鑰或簽名與識別符進(jìn)行驗(yàn)證)。換句話說,呼叫設(shè)備識別符(即用戶接口識別)與鑒權(quán)數(shù)據(jù)的結(jié)合可以以這兩種方式來完成,這樣,真實(shí)性測試可以通過設(shè)備識別數(shù)據(jù)(鑒權(quán)數(shù)據(jù)的真實(shí)性)或通過鑒權(quán)數(shù)據(jù)(設(shè)備識別的真實(shí)性)來完成。
更精確地,以及參照圖3的流程圖,所需要的密鑰/簽名和設(shè)備識別符被包含在鑒權(quán)服務(wù)器數(shù)據(jù)庫或記錄中,并從鑒權(quán)服務(wù)器數(shù)據(jù)庫或記錄中檢索出來??梢赃@樣安排,即使得鑒權(quán)服務(wù)器和NAS都具有它們自己用來鑒權(quán)它們進(jìn)入另一個(gè)網(wǎng)絡(luò)設(shè)備的密鑰。
更精確地,在步驟100開始有鑒權(quán)的需要后,應(yīng)用(例如,圖1的9或9′)在步驟102通過使用例如客戶的IP(互聯(lián)網(wǎng)協(xié)議)號碼來從NAS處請求呼叫的終端的電話號碼或其它識別符。也可以從某個(gè)具有呼叫終端識別符的其它的可信的一方請求識別符。然而,第一個(gè)解決辦法在使用動態(tài)IP的情況下是特別優(yōu)選的。
然后在步驟104,NAS發(fā)送請求的電話號碼或其它識別符給應(yīng)用,在步驟106,應(yīng)用再把它發(fā)送給鑒權(quán)服務(wù)器(DKS 10)。也有可能安排這樣的階段,使得號碼被直接地從NAS發(fā)送到鑒權(quán)服務(wù)器。發(fā)送的識別符數(shù)據(jù)優(yōu)選地可以用鑒權(quán)服務(wù)器的公共密鑰來加密。
在步驟108在鑒權(quán)服務(wù)器中,識別符數(shù)據(jù)被接收。在相關(guān)的鑒權(quán)數(shù)據(jù)在步驟108被發(fā)現(xiàn)在鑒權(quán)服務(wù)器表格中和從該表格中被檢索出來的情況下,該鑒權(quán)數(shù)據(jù)在步驟110被返還作為對應(yīng)用的應(yīng)答。在這一階段,鑒權(quán)數(shù)據(jù)優(yōu)選地可以用應(yīng)用的公共密鑰來加密。
在應(yīng)用接收到鑒權(quán)數(shù)據(jù)和發(fā)現(xiàn)它是適當(dāng)?shù)暮驼_的(步驟112)以后,它可在步驟114被用于應(yīng)用事項(xiàng)。這樣,在鑒權(quán)數(shù)據(jù)由密鑰等組成的情況下,應(yīng)用將該密鑰用于可能的加密運(yùn)算。在鑒權(quán)數(shù)據(jù)是電子簽名的情況下,應(yīng)用可以例如把它與從用戶處接收的簽名進(jìn)行比較,以便確認(rèn)該用戶就是他/她所聲稱的那個(gè)用戶,以及根據(jù)該用戶是否被確認(rèn)而接著進(jìn)行。例如,在從鑒權(quán)服務(wù)器接收的簽名與來自用戶的簽名互相匹配的情況下,允許事項(xiàng)繼續(xù)進(jìn)行。在簽名不匹配的情況下,即它們是不同的,應(yīng)用就不允許完成任何進(jìn)一步的事項(xiàng),以及甚至可能立即斷開連接。其中可以使用簽名的應(yīng)用的一個(gè)例子是電子商務(wù)(E-Commerce),在其中簽名可被用作為預(yù)訂的驗(yàn)證,以使得銷售者可以確保用戶是真實(shí)的個(gè)人以及被授權(quán)成能夠使用預(yù)訂單來預(yù)訂產(chǎn)品和/或業(yè)務(wù)。
按照由圖4的流程圖說明的實(shí)施例,客戶在步驟120發(fā)送他/她的電話號碼給應(yīng)用,此后,在步驟122應(yīng)用(諸如圖1的辦公室網(wǎng)關(guān)9)請求NAS確認(rèn)這個(gè)電話號碼是正確的電話號碼。在NAS在步驟124確認(rèn)電話號碼(即設(shè)備識別)的情況下,應(yīng)用在步驟126發(fā)送該電話號碼給鑒權(quán)服務(wù)器。在電話號碼不被確認(rèn)的情況下,連接被斷開,或可以跟著進(jìn)行某些其它的過程,例如重新進(jìn)入。給鑒權(quán)服務(wù)器10的發(fā)送可以在這一階段通過使用應(yīng)用9的公共密鑰或鑒權(quán)服務(wù)器的公共密鑰來加密。加密也可以通過使用包含在鑒權(quán)服務(wù)器記錄中的用戶的公共密鑰來完成。
在鑒權(quán)服務(wù)器在步驟128接收到設(shè)備識別符以后,鑒權(quán)服務(wù)器檢索相應(yīng)的密鑰/簽名,以及在步驟130把這個(gè)密鑰/簽名作為應(yīng)答返還給應(yīng)用。如上所述,這個(gè)發(fā)送可在步驟132通過使用鑒權(quán)服務(wù)器或用戶的應(yīng)用服務(wù)器的公共密鑰而被加密。可能的加密/解密和簽名操作可以在例如互聯(lián)網(wǎng)接入點(diǎn)(即圖1中的NAS 5)中、或甚至在客戶(即用戶接口)中、或自然地在應(yīng)用本身中來完成。
如果在圖1的接入服務(wù)器5中完成解密,則接入服務(wù)器從鑒權(quán)服務(wù)器10請求用戶的專用密鑰。如果在PC機(jī)1中完成解密,則PC請求專用密鑰。這樣,專用密鑰只被給予可信的一方。而公共密鑰可以被給予請求要它的任何人。公共密鑰只可被使用于加密,而專用密鑰可被用于加密和解密數(shù)據(jù)。應(yīng)用給出它的公共密鑰或?qū)ΨQ的一次性的或唯一的會話密鑰。
為了提高安全性級別,有可能在應(yīng)用服務(wù)器與NAS以及使用本身已知的隧道技術(shù)的鑒權(quán)服務(wù)器之間的通信中使用各種隧道技術(shù),諸如L2TP(第2層隧道協(xié)議)或IPSEC(IP安全協(xié)議)。發(fā)送的數(shù)據(jù)分組在其發(fā)送期間也可以被封裝。一個(gè)可能性是使用IPv6協(xié)議,它使得能夠進(jìn)行數(shù)據(jù)頭加密。IPv6協(xié)議是熟知的IP(互聯(lián)網(wǎng)協(xié)議)的新版本。
應(yīng)當(dāng)指出,雖然圖3和4揭示了其中用戶接口識別數(shù)據(jù)被發(fā)送給鑒權(quán)服務(wù)器以便于接收相應(yīng)的鑒權(quán)數(shù)據(jù)的情形,但發(fā)送的信息也可以是由應(yīng)用從接入服務(wù)器或從用戶接口接收的鑒權(quán)數(shù)據(jù)。
在鑒權(quán)數(shù)據(jù)被正確地宣布的情況下,在發(fā)送這個(gè)鑒權(quán)數(shù)據(jù)給鑒權(quán)服務(wù)器以后,它接收設(shè)備識別。這個(gè)接收的設(shè)備識別必須匹配于在原先的與用戶接口的通信期間可能從接入服務(wù)器或用戶接口接收的設(shè)備識別符數(shù)據(jù)。
圖5和6揭示了在各方之間的可能的信令的示例的流程圖。未被加密的那些消息用虛線表示,以及加密的消息用實(shí)線表示。
在圖5上,連接被建立,以及電話號碼被作為識別符通過消息50從電話交換機(jī)發(fā)送到NAS。此后用戶接口通過消息51第一次建立一個(gè)到應(yīng)用的連接。消息51可以包括類似的設(shè)備識別符的電話號碼。消息50和51沒有被加密。
應(yīng)用通過消息52請求呼叫設(shè)備的預(yù)定號碼或類似的識別符。這個(gè)連接可用例如NAS的公共密鑰加密。隨后,NAS通過消息53回答詢問。這個(gè)消息可用應(yīng)用的公共密鑰加密。然后應(yīng)用通過消息54從鑒權(quán)服務(wù)器DKS請求用戶的密鑰。這個(gè)消息可能用DKS的公共密鑰加密。DKS通過消息55回答詢問,該消息可通過使用應(yīng)用的公共密鑰來加密。
在這個(gè)實(shí)施例中,甚至NAS也通過消息56從DKS請求用戶的密鑰。這個(gè)消息可用DKS的公共密鑰加密。DKS通過消息57回答詢問,該消息可用NAS的公共密鑰加密。
在用戶被成功地鑒權(quán)的情況下,在用戶接口和應(yīng)用之間建立了連接。正如可以看到的,在用戶接口與NAS之間的消息59不被加密,而在NAS與應(yīng)用之間的消息58被加密。NAS被安排來例如通過檢索出的密鑰或通過雙方之間已同意的會話密鑰來執(zhí)行所需要的加密和解密操作。
在圖6上,連接被建立,以及電話號碼等被作為識別符而通過消息60發(fā)送到NAS。然后用戶接口通過消息61第一次建立一個(gè)到應(yīng)用的連接。如上所述,消息61可包括類似的設(shè)備識別符的電話號碼。消息60和61沒有被加密。
應(yīng)用通過消息62請求呼叫設(shè)備的預(yù)定號碼或類似的識別符。這個(gè)連接可用例如NAS的公共密鑰加密。隨后,NAS通過消息63回答詢問。這個(gè)消息可用應(yīng)用的公共密鑰加密。然后應(yīng)用通過消息64從鑒權(quán)服務(wù)器DKS請求用戶的密鑰。這個(gè)消息可用DKS的公共密鑰加密。DKS通過消息65回答詢問,該消息可通過使用應(yīng)用的公共密鑰來加密。
在這個(gè)實(shí)施例中,用戶接口通過消息66從NAS請求用戶接口號碼。在用戶接口知道這個(gè)密鑰的情況下,這個(gè)消息可用NAS的公共密鑰加密。NAS通過消息67回答詢問。如果必要的話,在用戶接口隨詢問消息66一起提供一個(gè)一次性密鑰的情況下,這可以由這樣的一次性密鑰加密。
此后,用戶接口通過消息68從DKS請求用戶密鑰。如果用戶知道DKS的公共密鑰,則這可以用DKS的公共密鑰加密。此后,DKS通過消息69回答詢問。在用戶接口在消息68中提供一個(gè)一次性密鑰的情況下,這個(gè)消息可被加密。
最后,在用戶接口與應(yīng)用之間建立了連接。正如所看到的,在用戶接口與應(yīng)用之間的整個(gè)消息70被加密。用戶接口現(xiàn)在能夠例如通過檢索的密鑰或雙方之間已同意的會話密鑰來執(zhí)行所需要的加密和解密操作。
這樣,本發(fā)明提供了藉以達(dá)到在連接的安全性方面的重大改進(jìn)的設(shè)備和方法。由于鑒權(quán)服務(wù)器提供了密鑰持有者(識別符數(shù)據(jù))和鑒權(quán)數(shù)據(jù)(電子密鑰或簽名)的正確性的改進(jìn)的確定性,鑒權(quán)過程的安全性被提高。本發(fā)明使得能夠提供可靠的鏈路,在其中一部分連接以例如交換網(wǎng)完成且一部分以隧道分組網(wǎng)絡(luò)完成。因?yàn)樗沟糜脩裟軌蛟诮⑦B接時(shí)使用非對稱密鑰,并且在非對稱密鑰的使用使得處理過程的運(yùn)行太繁重而難以完成的情況下,發(fā)送一個(gè)一次性的對稱密鑰以用于連接本身。本發(fā)明提供了例如用于遠(yuǎn)端工作、遠(yuǎn)程教育或遠(yuǎn)程維護(hù)病人記錄、遠(yuǎn)端更新數(shù)據(jù)庫等的良好的可能性。
應(yīng)當(dāng)指出,本發(fā)明的實(shí)施例的以上實(shí)例不打算把本發(fā)明的范圍限制于以上給出的特定形式,而是本發(fā)明可以覆蓋包含于由所附的權(quán)利要求所定義的本發(fā)明的精神和范圍內(nèi)的所有的修改例、類似例、和替換例。
權(quán)利要求
1.電信網(wǎng)中鑒權(quán)通信的方法,包括把鑒權(quán)數(shù)據(jù)存儲在鑒權(quán)服務(wù)器中;把用戶接口識別數(shù)據(jù)存儲在鑒權(quán)服務(wù)器中以使得它與有關(guān)的鑒權(quán)數(shù)據(jù)結(jié)合在一起;把通信的用戶接口的識別數(shù)據(jù)發(fā)送到鑒權(quán)服務(wù)器;在鑒權(quán)服務(wù)器中接收識別數(shù)據(jù);從與接收的識別數(shù)據(jù)結(jié)合在一起的存儲的鑒權(quán)數(shù)據(jù)中檢索這樣的鑒權(quán)數(shù)據(jù);以及發(fā)送至少一部分來自鑒權(quán)服務(wù)器的檢索的鑒權(quán)數(shù)據(jù),作為對接收的識別數(shù)據(jù)的應(yīng)答。
2.電信網(wǎng)中用于鑒權(quán)通信的方法,包括把鑒權(quán)數(shù)據(jù)存儲在鑒權(quán)服務(wù)器中;把用戶接口識別數(shù)據(jù)存儲在鑒權(quán)服務(wù)器中以使得它與有關(guān)的鑒權(quán)數(shù)據(jù)結(jié)合在一起;把用于通信的用戶接口的鑒權(quán)數(shù)據(jù)發(fā)送到鑒權(quán)服務(wù)器;在鑒權(quán)服務(wù)器中接收鑒權(quán)數(shù)據(jù);從與接收的鑒權(quán)數(shù)據(jù)結(jié)合在一起的存儲的用戶接口識別數(shù)據(jù)中檢索這樣的用戶接口識別數(shù)據(jù);以及發(fā)送至少一部分來自鑒權(quán)服務(wù)器的檢索的用戶接口識別數(shù)據(jù),作為對接收的鑒權(quán)數(shù)據(jù)的應(yīng)答。
3.按照權(quán)利要求1或2的方法,其特征在于,其中用戶接口正在與在分組數(shù)據(jù)網(wǎng)中實(shí)施的應(yīng)用通信,用戶接口包括數(shù)據(jù)處理設(shè)備,并且它被連接到具有到分組數(shù)據(jù)網(wǎng)的可使用的連接的電路交換電信網(wǎng)。
4.按照權(quán)利要求1到3的任一項(xiàng)的方法,其特征在于,其中鑒權(quán)數(shù)據(jù)由電子密鑰或簽名組成,以及用戶接口識別數(shù)據(jù)是電信預(yù)定識別號碼、用戶識別模塊(SIM)、國際移動設(shè)備識別符(IMEI)、智能卡識別符或者至少兩個(gè)所述識別符的組合中的一個(gè)。
5.按照權(quán)利要求1到4的任一項(xiàng)的方法,其特征在于,其中在鑒權(quán)服務(wù)器與請求鑒權(quán)的網(wǎng)絡(luò)設(shè)備之間的通信是通過使用應(yīng)用或鑒權(quán)服務(wù)器或用戶的公共密鑰或?qū)S妹荑€來加密的。
6.按照權(quán)利要求1到5的任一項(xiàng)的方法,其特征在于,其中隧道被用于在鑒權(quán)服務(wù)器與請求鑒權(quán)的網(wǎng)絡(luò)設(shè)備之間的通信。
7.按照權(quán)利要求1到6的任一項(xiàng)的方法,其特征在于,其中從鑒權(quán)服務(wù)器檢索的密鑰在加密通信時(shí)被使用。
8.按照權(quán)利要求1到7的任一項(xiàng)的方法,其特征在于,其中通過以下的一個(gè)裝置來發(fā)送一個(gè)從鑒權(quán)服務(wù)器接收鑒權(quán)數(shù)據(jù)或用戶接口識別數(shù)據(jù)的請求,以作為對發(fā)送到鑒權(quán)服務(wù)器的數(shù)據(jù)的應(yīng)答用戶當(dāng)前正在與其通信的應(yīng)用,或?yàn)橛脩籼峁囊粋€(gè)電信網(wǎng)到另一個(gè)電信網(wǎng)的接入的接入服務(wù)器,或用戶接口。
9.按照權(quán)利要求1到8的任一項(xiàng)的方法,其特征在于,其中鑒權(quán)服務(wù)器由電話網(wǎng)操作員、政府組織、私人安全組織、或類似的提供對于鑒權(quán)服務(wù)器的可信任的操作和管理的組織來進(jìn)行管理和操作。
10.在電信網(wǎng)中使用的裝置,包括被連接到第一電信網(wǎng)的用戶接口,所述用戶接口具有它自己的識別符,可通過第二電信網(wǎng)接入的應(yīng)用,使得用戶接口能夠通過第一電信網(wǎng)接入第二電信網(wǎng)的接入服務(wù)器,以及鑒權(quán)服務(wù)器,其中鑒權(quán)服務(wù)器包括記錄或數(shù)據(jù)庫,在其中以可檢索的方式存儲用戶接口的識別符和相應(yīng)的鑒權(quán)數(shù)據(jù),并且使得它們被結(jié)合在一起。
11.按照權(quán)利要求10的裝置,其特征在于,其中第一電信網(wǎng)是電路交換的電話網(wǎng)和用戶接口包括數(shù)據(jù)處理設(shè)備,以及第二電信網(wǎng)是可操作地連接到所述第一網(wǎng)絡(luò)的分組數(shù)據(jù)網(wǎng),以及其中鑒權(quán)服務(wù)器被安排成與在所述第一網(wǎng)絡(luò)和第二網(wǎng)絡(luò)之間的接入服務(wù)器有直接連接。
12.按照權(quán)利要求10或11的裝置,其特征在于,其中鑒權(quán)服務(wù)器包含一個(gè)表格,它具有一個(gè)用于具有電子密鑰或簽名的形式的鑒權(quán)數(shù)據(jù)的區(qū),以及一個(gè)用于具有以下形式的識別數(shù)據(jù),即電話預(yù)定號碼、或用戶識別模塊(SIM)、或國際移動設(shè)備識別符(IMEI)、或智能卡識別符或類似的用于提供識別符的方式的區(qū)。
13.按照權(quán)利要求10到12的任一項(xiàng)的裝置,其特征在于,其中應(yīng)用是連到局域網(wǎng)的網(wǎng)關(guān),例如到辦公室網(wǎng)絡(luò)的網(wǎng)關(guān)。
14.按照權(quán)利要求10到13的任一項(xiàng)的裝置,其特征在于,其中第二電信網(wǎng)通過接入服務(wù)器被接入,所述接入服務(wù)器被用來終接電路交換的呼叫和用來把信息變換成分組數(shù)據(jù),以便能在分組數(shù)據(jù)網(wǎng)中進(jìn)行通信。
15.按照權(quán)利要求10到14的任一項(xiàng)的裝置,其特征在于,其中鑒權(quán)服務(wù)器是在第一電信網(wǎng)與第二電信網(wǎng)之間的接入點(diǎn)處被實(shí)施的。
16.按照權(quán)利要求10到15的任一項(xiàng)的裝置,其特征在于,其中在鑒權(quán)服務(wù)器與通信的其它方之間的至少一部分通信被加密和/或被隧道化。
17.按照權(quán)利要求10到16的任一項(xiàng)的裝置,其特征在于,其中鑒權(quán)服務(wù)器由電話網(wǎng)操作員、政府組織、私人安全組織或類似的提供對于鑒權(quán)服務(wù)器的可信任的操作和管理的組織來進(jìn)行管理和操作。
18.電信網(wǎng)中使用的鑒權(quán)服務(wù)器,它包括數(shù)據(jù)庫或記錄,所述數(shù)據(jù)庫或記錄被用來存儲用于連接到電信網(wǎng)的用戶接口終端的用戶接口識別數(shù)據(jù)和用于多個(gè)用戶接口終端的鑒權(quán)數(shù)據(jù),以使得用戶接口識別符與用于所述用戶接口終端的相關(guān)的鑒權(quán)數(shù)據(jù)結(jié)合在一起。
19.按照權(quán)利要求18的鑒權(quán)服務(wù)器,其特征在于,其中服務(wù)器被實(shí)施成具有與用戶接口終端所連接的電路交換電話網(wǎng)的接入服務(wù)器的直接連接,用戶接口終端包括數(shù)據(jù)處理設(shè)備,以及其中分組數(shù)據(jù)網(wǎng)被通過所述接入服務(wù)器可操作地連接到所述電路交換電話網(wǎng),以及其中應(yīng)用是通過所述分組數(shù)據(jù)網(wǎng)提供的。
20.按照權(quán)利要求18或19的鑒權(quán)服務(wù)器,其特征在于,其中鑒權(quán)服務(wù)器包含一個(gè)表格,它具有一個(gè)用于具有電子密鑰或簽名的形式的鑒權(quán)數(shù)據(jù)的區(qū),以及一個(gè)用于具有以下形式的識別數(shù)據(jù),即電話預(yù)定號、或用戶識別模塊(SIM)、或國際移動設(shè)備識別符(IMEI)、或智能卡識別符或類似的用于提供識別符的方式的區(qū)。
21.按照權(quán)利要求19或20的鑒權(quán)服務(wù)器,其特征在于,其中鑒權(quán)服務(wù)器是在電路交換電話網(wǎng)與分組數(shù)據(jù)網(wǎng)之間的接入點(diǎn)處被實(shí)施的。
22.按照權(quán)利要求18到21的任一項(xiàng)的鑒權(quán)服務(wù)器,其特征在于,其中在鑒權(quán)服務(wù)器與通信的其它方之間的至少一部分通信被加密和/或被隧道化。
23.按照權(quán)利要求18到22的任一項(xiàng)的鑒權(quán)服務(wù)器,其特征在于,其中鑒權(quán)服務(wù)器由電話網(wǎng)操作員、政府組織、私人安全組織或類似的提供對于鑒權(quán)服務(wù)器的可信任的操作和管理的組織來進(jìn)行管理和操作。
全文摘要
本發(fā)明涉及電信網(wǎng)絡(luò)中用于鑒權(quán)通信的方法和設(shè)備。所述方法包括把鑒權(quán)數(shù)據(jù)和用戶接口識別數(shù)據(jù)存儲在鑒權(quán)服務(wù)器中以使得識別數(shù)據(jù)與相關(guān)的鑒權(quán)數(shù)據(jù)結(jié)合在一起的步驟。通信的用戶接口的識別數(shù)據(jù)被發(fā)送到鑒權(quán)服務(wù)器,此后在鑒權(quán)服務(wù)器中接收識別數(shù)據(jù)。從與接收的識別數(shù)據(jù)結(jié)合在一起的存儲的鑒權(quán)數(shù)據(jù)中檢索這樣的鑒權(quán)數(shù)據(jù)。然后,至少一部分來自鑒權(quán)服務(wù)器的檢索的鑒權(quán)數(shù)據(jù)被發(fā)送,以作為對接收的識別數(shù)據(jù)的應(yīng)答。
文檔編號H04L29/06GK1298589SQ99805613
公開日2001年6月6日 申請日期1999年3月29日 優(yōu)先權(quán)日1998年4月29日
發(fā)明者J·M·梅倫 申請人:艾利森電話股份有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點(diǎn)贊!
1