專利名稱:與ip網(wǎng)絡(luò)接入相關(guān)的裝置和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及為最終用戶提供至IP網(wǎng)絡(luò)的接入����,即用于最終用戶登錄的裝置和方法。本發(fā)明還涉及借以提供接入的接入網(wǎng)接入服務(wù)器����,即最終用戶可借以登錄IP網(wǎng)絡(luò)的接入網(wǎng)接入服務(wù)器�。
現(xiàn)有技術(shù)一般來說為獲取對某種服務(wù)的訪問����,需要輸入密碼和用戶名��。但是���,在今天的社會里�����,一個(gè)用戶需要記憶并保持安全存儲等的密碼等信息的數(shù)量很大���,并且仍可能進(jìn)一步增加?��?赡苡欣缬糜赪LAN接入�����、用于因特網(wǎng)服務(wù)等的特殊密碼�。
WISP(無線因特網(wǎng)服務(wù)提供商)基于與用戶的Web對話提供IP網(wǎng)絡(luò)接入以便登錄Radius服務(wù)器并且與其進(jìn)行Radius通信。典型過程是使用用戶名和靜態(tài)密碼���。這如何實(shí)現(xiàn)可參見例如可從Wi-Fi聯(lián)盟論壇得到的WISPr最佳實(shí)施文檔���。所涉及的協(xié)議有IETF(WWW.ietf.org)定義的Radius和HTTP。但是����,登錄時(shí)通常采用靜態(tài)用戶名。靜態(tài)用戶名可以容易地被復(fù)制��,并因此可被多人使用�。解決此問題的一個(gè)嘗試在于使用只可以在有限的時(shí)間間隔內(nèi)使用、之后將被禁用的一次性密碼(OTP)����。為了在例如公共場所(如機(jī)場、火車站��、酒店等)接入或登錄因特網(wǎng)���,通?���?梢詫LAN用作接入網(wǎng)。通常�,覆蓋范圍不是那么大并依賴于建筑物的構(gòu)造等,再者也沒有如此多的頻率可用����。構(gòu)建并集成無線電網(wǎng)絡(luò)既復(fù)雜又昂貴。出于若干原因�����,接入問題對于運(yùn)行商��、用戶和網(wǎng)絡(luò)擁有者而言都很復(fù)雜�����。
發(fā)明概述因此需要一種可用以接入IP網(wǎng)絡(luò)的裝置��,以便從最終用戶的角度和運(yùn)行商的角度均可以容易的方式支持登錄�����。還需要一種可用以以最小濫用(例如通過復(fù)制用戶名����、查找寫在某處的用戶名或之類)風(fēng)險(xiǎn)實(shí)現(xiàn)登錄的裝置。還需要一種可用以實(shí)現(xiàn)接入/登錄而基本上不對接入服務(wù)器產(chǎn)生影響以及可借以利用現(xiàn)有接入服務(wù)器而不需要對其升級的裝置��。這是最重要的一個(gè)方面��,因?yàn)檫\(yùn)行接入服務(wù)器的機(jī)構(gòu)可以不同于控制Web和認(rèn)證節(jié)點(diǎn)的運(yùn)行商�,并與用戶具有商業(yè)關(guān)系。當(dāng)使用基于無線電的接入時(shí)�����,重用現(xiàn)有接入網(wǎng)特別有利�,因?yàn)楦郊拥臒o線電網(wǎng)絡(luò)可能對已安裝網(wǎng)絡(luò)產(chǎn)生干擾。還需要一種方法����,通過這種方法可以實(shí)現(xiàn)上述的一個(gè)或多個(gè)目的。還需要一種接入服務(wù)器�����,通過它可實(shí)現(xiàn)以上所述的一個(gè)或多個(gè)目的����,并可用于提供登錄。還需要一種裝置,可借以實(shí)現(xiàn)統(tǒng)一的登錄界面�����,即便在最終用戶由彼此獨(dú)立的不同WISPs提供服務(wù)的情況下亦如此�。
因此提供一開始提及的裝置,它包括用戶站��、接入網(wǎng)接入服務(wù)器���、Web服務(wù)器和認(rèn)證服務(wù)器�,且具有如權(quán)利要求1所述的特征���。因此,所述用戶站可以視為包括兩個(gè)設(shè)備��,即第一設(shè)備如PC及第二設(shè)備如移動(dòng)電話�,但主要是第一階段使用的一次性密碼等要通過移動(dòng)電信網(wǎng)絡(luò)提供或傳送給用戶,并且登錄過程按兩個(gè)步驟或階段來執(zhí)行�����。還提供一種為最終用戶提供至IP網(wǎng)絡(luò)的接入(登錄)的方法�����,它具有如權(quán)利要求26所述的特征。
因此�,還提供一種接入網(wǎng)接入服務(wù)器,它與最終用戶站通信����,以向所述最終用戶站提供至IP網(wǎng)絡(luò)的接入,以及與Web服務(wù)器和認(rèn)證服務(wù)器通信�����。所述接入服務(wù)器具有如權(quán)利要求24所述的特征�����。
優(yōu)選或有利的實(shí)施方式由所附從屬權(quán)利要求給出���。
因此��,根據(jù)本發(fā)明��,提出了一種用于提供最終用戶站��、接入網(wǎng)接入服務(wù)器�����、Web服務(wù)器和認(rèn)證服務(wù)器的裝置��。它包括最終用戶站�,所述最終用戶站具有與接入服務(wù)器通信的第一設(shè)備以及通過移動(dòng)電信系統(tǒng)與認(rèn)證服務(wù)器通信的第二設(shè)備,并且接入/登錄過程包括第一和第二階段����。所述認(rèn)證服務(wù)器控制所述第一階段,所述第一階段包括一次性密碼(OTP)登錄序列���,且所述第二登錄階段通過如下方式執(zhí)行創(chuàng)建/修改定義了相應(yīng)用戶憑證的臨時(shí)賬戶�,以便最終用戶登錄到所述接入服務(wù)器�。具體地說,所述第二登錄階段僅在所述OTP有效時(shí)才執(zhí)行��。對于所述第二階段�����,在所述認(rèn)證服務(wù)器中創(chuàng)建/修改用戶賬戶�,具體來說����,所述用戶賬戶是臨時(shí)性的����,即它僅在有限時(shí)間間隔內(nèi)允許登錄����。接入服務(wù)器(AS)具體由因特網(wǎng)服務(wù)提供商或WISP來運(yùn)營。所述第一階段中使用的一次性密碼(OTP)在一個(gè)實(shí)現(xiàn)方案中在所述第二階段重用���。具體來說�����,所述一次性密碼(OTP)由所述認(rèn)證服務(wù)器創(chuàng)建��,并通過所述移動(dòng)通信系統(tǒng)傳送到所述最終用戶站的所述第二設(shè)備��。所述最終用戶站的所述第一設(shè)備可包括PC����,以及所述第二設(shè)備可包括移動(dòng)電話�����。其它選擇也是可行的。
OTP最好借助字母數(shù)字文本消息(例如SMS或語音消息)傳送��,到用戶站的第二設(shè)備(例如移動(dòng)電話)����。當(dāng)傳送到用戶站(移動(dòng)電話)時(shí),要將OTP輸入到用戶站(PC)的第一設(shè)備�����,并提供給認(rèn)證服務(wù)器以進(jìn)行認(rèn)證/驗(yàn)證�。如果OTP有效,則來自所述第一階段的OTP可以在所述第二階段重用�。如果OTP有效,則具體定義所創(chuàng)建/修改帳戶的用戶名和密碼�,它唯一地綁定于OTP序列。所述第二階段可以不同的方式來執(zhí)行�,并且用戶名和密碼可以不同的方式使用。
在一個(gè)實(shí)施例中��,在所述第二階段�����,使用與所述第一階段中相同的用戶名����,而將所述OTP用作密碼。在另一個(gè)實(shí)施例中����,使用動(dòng)態(tài)用戶名,而將(所述第一階段的)所述OTP用作密碼���。還可以使用(對所有用戶通用的)靜態(tài)用戶名���,而將(所述第一階段的)所述OTP用作密碼。在另一個(gè)實(shí)施例中�����,使用(對所有用戶通用的)靜態(tài)用戶名�,而將隨機(jī)數(shù)用作密碼。還可以使用動(dòng)態(tài)用戶名�����,且可以將隨機(jī)數(shù)用作密碼���。其它替代方式也是可行的�。
最好在所述認(rèn)證服務(wù)器中已創(chuàng)建/修改了帳戶時(shí),Web服務(wù)器將登錄消息重定向到所述接入服務(wù)器登錄頁面�,然后將定時(shí)器設(shè)置為給定時(shí)間間隔,在其間對用戶憑證進(jìn)行檢查�����,如果它們無效��,則向所述用戶返回出錯(cuò)消息����。具體地說,如果所述用戶憑證包括用戶名和密碼�,并且如果它們在所述給定時(shí)間間隔內(nèi)通過驗(yàn)證/認(rèn)證,則給予所述用戶接入權(quán)�����,并刪除/禁用所述添加/修改的臨時(shí)用戶帳戶���。在一個(gè)實(shí)現(xiàn)方案中�,所述認(rèn)證服務(wù)器包括Radius服務(wù)器��,而在另一個(gè)實(shí)現(xiàn)方案中,則包括Diameter服務(wù)器��。但是�����,還可以采用任何適當(dāng)?shù)恼J(rèn)證服務(wù)器�����。在一些實(shí)施例中����,在所述接入服務(wù)器(AS)與所述認(rèn)證(Radius�、Diameter等)服務(wù)器之間設(shè)置一個(gè)或多個(gè)代理服務(wù)器。所述接入網(wǎng)具體包括WLAN�、以太網(wǎng)等。
登錄語法最好存儲在所述接入服務(wù)器中�,所述登錄語法傳送到Web服務(wù)器,以便隨后構(gòu)成重定向消息的一部分�����?����;蛘叩卿浾Z法存儲在運(yùn)行商處,但這更難以管理�����,因?yàn)檫\(yùn)行商需要有關(guān)(W)ISPs的不同接入服務(wù)器的詳細(xì)信息(對運(yùn)行商而言�����,通常要使用若干制造商的接入服務(wù)器)��。
本發(fā)明還公開了一種接入網(wǎng)中的接入服務(wù)器��,它與最終用戶站通信以向所述最終用戶站提供至IP網(wǎng)絡(luò)的接入�����,以及與Web服務(wù)器和認(rèn)證服務(wù)器通信�����。所述接入服務(wù)器允許任何用戶例如通過利用白清單功能�����、至所述運(yùn)行商的登錄鏈接來執(zhí)行對所述Web服務(wù)器的接入嘗試并支持認(rèn)證服務(wù)器漫游。所述接入服務(wù)器支持在其間給出一次性密碼的第一階段之后的登錄過程的第二階段��。對于所述第二階段�����,創(chuàng)建/修改臨時(shí)用戶帳戶�,定義其密碼和用戶名�,并唯一地將它們與所述第一階段中所述認(rèn)證服務(wù)器提供、并作為例如SMS����、語音消息等通過移動(dòng)通信系統(tǒng)提供給所述用戶站的一次性密碼相關(guān)聯(lián)。它可以是例如因特網(wǎng)服務(wù)提供商(例如無線ISP)運(yùn)營的WLAN����、以太網(wǎng)等的接入服務(wù)器。
本發(fā)明還提出一種通過包括接入服務(wù)器的接入網(wǎng)為最終用戶提供至IP網(wǎng)絡(luò)的接入的方法��。就登錄過程而言���,所述方法包括下列步驟-執(zhí)行登錄過程的第一階段��,藉此由認(rèn)證服務(wù)器提供一次性密碼(OTP)并將其通過移動(dòng)通信網(wǎng)絡(luò)傳送到所述最終用戶�,例如通過SMS或語音消息傳送給所述最終用戶;-檢查所述一次性密碼的有效性/真實(shí)性���,以及如果其有效����,-則在所述認(rèn)證服務(wù)器中添加/修改臨時(shí)帳戶����,對于所述登錄過程的第二階段,-定義唯一地綁定于所述第一階段的一次性密碼的用戶名和密碼�����,-在所述認(rèn)證服務(wù)器中檢查所述用戶名和密碼的有效性�;以及如果其有效,-則允許所述用戶的登錄請求��,-在經(jīng)過預(yù)定時(shí)間間隔后刪除/禁用所述臨時(shí)用戶帳戶���。
具體而言����,執(zhí)行所述登錄過程的所述第一階段的步驟包括如下步驟-從所述用戶站向接入服務(wù)器發(fā)送登錄請求���;-如果所述用戶站允許激活至所述運(yùn)行商Web(登錄)服務(wù)器的鏈接����,則從所述接入服務(wù)器接收響應(yīng);-接入所述Web服務(wù)器�;-在Web服務(wù)器中輸入最終用戶站標(biāo)識;-從所述認(rèn)證服務(wù)器提供一次性密碼(OTP)給所述用戶站���,并將其通過移動(dòng)通信網(wǎng)絡(luò)傳送到所述用戶站�����,例如通過SMS或語音消息傳送給所述最終用戶;-由Web服務(wù)器要求輸入所述一次性密碼���;-驗(yàn)證所述一次性密碼的有效性/真實(shí)性��,而所述第二階段最好包括如下步驟-將所述登錄請求重定向到所述接入服務(wù)器的登錄頁面�;
-設(shè)置定時(shí)器��;-在所述認(rèn)證服務(wù)器中檢查所述用戶憑證���,例如用戶名和密碼的有效性����;以及如果其有效,-在所述設(shè)置的定時(shí)器到期時(shí)刪除/禁用所述臨時(shí)用戶帳戶���。
最好可以在所述第二階段中使用與所述第一階段中相同的用戶名���,以及可將所述OTP用作密碼。在一個(gè)實(shí)施例中���,所述方法包括如下步驟在所述第二階段��,-使用動(dòng)態(tài)用戶名�����;-將所述第一階段的OTP用作密碼����。
或者還包括如下步驟-使用對所有用戶通用的靜態(tài)用戶名��;-將所述第一階段的OTP或隨機(jī)數(shù)用作密碼����。
此外���,還可以包括如下步驟在所述第二階段,-使用動(dòng)態(tài)用戶名�;-將隨機(jī)值用作密碼。
附圖簡介下文將參考附圖以非限定方式進(jìn)一步描述本發(fā)明�,附圖中
圖1是顯示根據(jù)本發(fā)明的裝置的示意框圖;圖2是描述本發(fā)明概念的示意流程圖�;圖3是描述本發(fā)明概念的一個(gè)實(shí)現(xiàn)方案的信令圖。
發(fā)明的詳細(xì)說明圖1顯示攜帶用戶站2的用戶1�����,用戶站2包括第一設(shè)備即終端(PC 2A)以及第二設(shè)備即移動(dòng)電話2B��。終端2A與ISP(因特網(wǎng)服務(wù)提供商)或WISP(無線ISP)運(yùn)營的接入服務(wù)器AS3通信����。接入服務(wù)器3是接入網(wǎng)如WLAN(無線本地接入網(wǎng))或以太網(wǎng)的AS����,它與Web服務(wù)器4和認(rèn)證服務(wù)器5通信。通過實(shí)施本發(fā)明的概念�,原理上可以不加修改地使用任何接入服務(wù)器,唯一需要的是對其進(jìn)行一些重新配置��。對該接入服務(wù)器僅有一些有限的小要求,如添加至運(yùn)行商的登錄鏈接��、支持認(rèn)證服務(wù)器漫游和指配白列表等�����,即用戶可以在成功認(rèn)證之前到達(dá)Web服務(wù)器�����。認(rèn)證服務(wù)器5可以是例如Radius(遠(yuǎn)程接入撥號服務(wù)器)服務(wù)器或Diameter服務(wù)器等�����。Radius可參見IEEE RFC(請求注釋)2865Radius��,其通過引用結(jié)合于本文中��。還可以有一個(gè)以上認(rèn)證服務(wù)器���。例如��,可以有兩個(gè)認(rèn)證服務(wù)器����,各支持登錄過程中的一個(gè)階段。
具有SMS-C(短消息服務(wù)中心)7的移動(dòng)通信系統(tǒng)6這里用于向用戶提供OTP���,下面將對此予以進(jìn)一步描述�。
為了啟動(dòng)該過程����,終端例如PC 2A與(W)ISP運(yùn)營的接入服務(wù)器3建立通信,接入服務(wù)器3允許用戶與Web服務(wù)器4聯(lián)系�,通過該服務(wù)器4可以向認(rèn)證服務(wù)器5請求OTP。認(rèn)證服務(wù)器隨后提供OTP�����,并借助SMS-C7通過移動(dòng)電話系統(tǒng)6將其傳送到用戶站(第二設(shè)備即移動(dòng)電話2B)����。登錄過程在第一和第二階段中處理,認(rèn)證服務(wù)器5控制的OTP序列在第一階段提供����。如果第一階段成功�����,即當(dāng)OTP被交付并通過驗(yàn)證時(shí),其后是第二登錄階段����,使用戶登錄到接入服務(wù)器3。在第一階段獲得并使用的OTP可在第二階段重用����。但是,其它替代方式也是可行的�,下文將對此予以進(jìn)一步描述。
根據(jù)本發(fā)明����,使擁有網(wǎng)絡(luò)并具有大量客戶的運(yùn)行商可以基于具有接入服務(wù)器的接入網(wǎng)提供商的合作協(xié)議,基于OTP向它們的客戶提供品牌服務(wù)���,而不需要對該接入服務(wù)器提出大量要求�??梢匀菀椎毓芾淼讲煌愋?品牌的接入服務(wù)器的登錄,因?yàn)榈卿浾Z法由(W)ISP來處理�����。根據(jù)本發(fā)明,提供允許在有限時(shí)間間隔內(nèi)接入的臨時(shí)帳戶���,并在第二登錄階段期間使用該臨時(shí)帳戶����。
在圖2所示流程圖中���,顯示了根據(jù)本發(fā)明概念的一般實(shí)現(xiàn)方案��。因此�����,假定請求登錄頁面的用戶在最終用戶站(即最終用戶站的第一設(shè)備��,例如PC)和接入服務(wù)器之間建立通信(步驟100)����。接入服務(wù)器通過向最終用戶提供登錄頁面來響應(yīng)該請求(步驟101)����。用戶隨后點(diǎn)擊接入服務(wù)器登錄頁面上的運(yùn)行商鏈接/按鈕,以到達(dá)Web服務(wù)器(步驟102)���。Web服務(wù)器隨后向最終用戶請求用戶標(biāo)識(步驟103)���。用戶接著在Web服務(wù)器頁面中輸入最終用戶標(biāo)識(步驟104)。之后��,認(rèn)證服務(wù)器可以檢查用戶標(biāo)識�����。但這是一個(gè)可選的步驟��,因此步驟105的方框在附圖中以虛線顯示���。除非給出了有效的用戶標(biāo)識��,否則該過程將被中斷��,并且用戶會接收到出錯(cuò)消息�����。
在一個(gè)有利的實(shí)現(xiàn)方案中����,所述認(rèn)證服務(wù)器是Radius服務(wù)器。在另一個(gè)實(shí)施例中����,它包括Diameter服務(wù)器。但它可以是任何認(rèn)證服務(wù)器�。
認(rèn)證服務(wù)器隨后通過移動(dòng)電話系統(tǒng)借助例如SMS或語音消息將OTP發(fā)送給最終用戶(步驟106)(這里,除非在給定時(shí)間間隔內(nèi)提供有效的用戶標(biāo)識��,否則過程會中斷�,例如會向接收器發(fā)送出錯(cuò)消息)。Web服務(wù)器隨后向最終用戶請求OTP(步驟107)�,最終用戶然后輸入通過例如SMS接收到的OTP(步驟108)。由此�����,認(rèn)證服務(wù)器檢查該OTP(步驟109)��。如果輸入了有效的OTP(步驟110)�����,則繼續(xù)登錄過程的第二階段�����,下面將對此予以描述(因此,登錄過程的第一階段包括步驟100-110)�。如果未輸入有效的OTP,則向用戶返回出錯(cuò)消息(步驟110A)���,并且登錄過程中斷。
在登錄過程的第二階段(假定用戶輸入了有效的OTP)��,則所述認(rèn)證服務(wù)器添加/修改臨時(shí)帳戶(步驟111)�。給出相應(yīng)于該臨時(shí)帳戶的用戶憑證(如用戶名和密碼)。Web服務(wù)器然后將所述登錄請求消息重定向到接入服務(wù)器登錄頁面(步驟112)�。然后啟動(dòng)定時(shí)器T1(步驟113)。認(rèn)證請求隨后從接入服務(wù)器發(fā)送到認(rèn)證服務(wù)器�,認(rèn)證服務(wù)器對該用戶憑證進(jìn)行檢查(步驟114),以驗(yàn)證它們是否有效���。如果其無效�����,則向最終用戶返回出錯(cuò)消息(步驟114A)��。如果其有效��,則在例如定時(shí)器T1到期(或更早)時(shí)����,刪除或禁用該臨時(shí)用戶帳戶(步驟115)。
現(xiàn)在將參考圖3的信令圖���,更透徹地描述一種實(shí)現(xiàn)方案�。HTTP請求首先從用戶站(第一設(shè)備)發(fā)送到接入服務(wù)器(步驟1)��。該請求隨后轉(zhuǎn)到接入服務(wù)器的登錄頁面��。接入服務(wù)器以登錄頁面響應(yīng)該用戶(步驟2)�����。該登錄頁面包含按鈕等��,激活它得到至運(yùn)行商登錄服務(wù)器的一條鏈接���。然后假定用戶點(diǎn)擊該鏈接�,然后到達(dá)運(yùn)行商Web服務(wù)器��,因?yàn)榘磁渲脤尤敕?wù)器中該Web服務(wù)器的接入是開放的(步驟3)�����。更具體地說,登錄過程第二階段中要使用的登錄消息的語法可以在該消息中傳遞���。Web服務(wù)器然后要求輸入用戶標(biāo)識(步驟4)���,作為響應(yīng),用戶輸入其標(biāo)識����,例如MSISDN(步驟5)���。該標(biāo)識被轉(zhuǎn)發(fā)給認(rèn)證服務(wù)器(步驟6)���,該認(rèn)證服務(wù)器提供OTP,并將其轉(zhuǎn)發(fā)給移動(dòng)通信系統(tǒng)的SMS-C��,SMS-C通過例如SMS將該OTP轉(zhuǎn)發(fā)給用戶(步驟7)����。其中信息提供給認(rèn)證服務(wù)器以及Web服務(wù)器(步驟8),認(rèn)證服務(wù)器隨后通過Web服務(wù)器(步驟9)要求用戶輸入該OTP(步驟10)����。用戶然后在用戶站的第一設(shè)備(例如PC)上輸入通過例如SMS或語音消息提供的OTP��,通過Web服務(wù)器將該OTP提供給認(rèn)證服務(wù)器(步驟11����、12)��。認(rèn)證服務(wù)器隨后對該OTP進(jìn)行驗(yàn)證以查看其是否有效�����。如果其有效����,則向Web服務(wù)器發(fā)送攜帶根據(jù)該事實(shí)的信息的消息(步驟13)。(在一個(gè)實(shí)現(xiàn)方案中���,可以在返回正確的OTP之前創(chuàng)建動(dòng)態(tài)帳戶�����,例如出于性能方面的原因)����。此時(shí),登錄過程的第一階段終止�,進(jìn)入第二登錄階段。
然后����,在本實(shí)現(xiàn)方案中,臨時(shí)用戶帳戶創(chuàng)建或修改為使用用戶ID和以O(shè)TP為密碼的帳戶(步驟14)��。然后將重定向消息與登錄URL一起發(fā)送到用戶站��,登錄URL例如為http//<接入服務(wù)器IP地址>/login��?user name=<用戶名>&<password=OTP�����,其中<>之間的內(nèi)容替換為當(dāng)前值(步驟15)�。登錄消息然后發(fā)送到(W)ISP運(yùn)營的接入服務(wù)器(步驟16)����。認(rèn)證請求然后發(fā)送到認(rèn)證服務(wù)器,可能要通過一個(gè)或多個(gè)代理服務(wù)器中繼(步驟17)����。在此特定實(shí)施例中,認(rèn)證服務(wù)器包括本申請之前提及的Radius服務(wù)器�。Radius服務(wù)器(在此情況下)以接入接受消息來響應(yīng)接入服務(wù)器����,接入服務(wù)器在驗(yàn)證該用戶憑證正確之后允許進(jìn)行通信(步驟18)���。當(dāng)/如果認(rèn)證成功時(shí)���,用戶會接收到響應(yīng)(步驟19)。該響應(yīng)可包含帶運(yùn)行商品牌標(biāo)記的強(qiáng)制Web入口和會話窗口���。
最后���,在用于防止多次登錄的給定時(shí)間間隔所對應(yīng)的延遲之后,刪除或禁用為第二登錄階段存儲的憑證����,除非其后緊接著是OTP登錄序列(步驟20)。在一個(gè)實(shí)現(xiàn)方案中�����,將定時(shí)器用于此目的��。其它方式也是可行的。
登錄過程的第二階段可以不同的方式執(zhí)行����。臨時(shí)帳戶的憑證(例如用戶名和密碼)可以根據(jù)不同實(shí)施例的不同方式來定義。它們可以具有靜態(tài)的或動(dòng)態(tài)的值����。用戶名和密碼的組合必須唯一地綁定于(第一登錄階段的)較早的OTP序列。在一個(gè)實(shí)現(xiàn)方案中�,采用與第一階段(OTP部分)相同的用戶名,而將OTP用作密碼�。在另一個(gè)實(shí)現(xiàn)方案中,使用動(dòng)態(tài)用戶名���,而將OTP用作密碼����。
此外��,還可以使用動(dòng)態(tài)用戶名����,而將隨機(jī)值用作密碼�。根據(jù)另一個(gè)實(shí)施例,采用對所有用戶通用的靜態(tài)用戶名。然后可以將OTP用作密碼�����,或可以將隨機(jī)值用作密碼�。其它一些替代方式也是可行的。同樣����,在其它方面本發(fā)明也不限于所述的具體實(shí)施例,而是可以在所附權(quán)利要求的范圍內(nèi)以多種方式加以變化��。
權(quán)利要求
1.一種用于向最終用戶提供至IP網(wǎng)絡(luò)的接入的裝置����,其包括用戶站、接入網(wǎng)接入服務(wù)器�、Web服務(wù)器和認(rèn)證服務(wù)器,其特征在于����,它包括最終用戶站,所述最終用戶站具有用于與接入服務(wù)器和Web服務(wù)器通信的第一設(shè)備�����、用于通過移動(dòng)通信系統(tǒng)與認(rèn)證服務(wù)器通信的第二設(shè)備;以及所述接入/登錄過程包括第一和第二階段�����,所述認(rèn)證服務(wù)器控制所述第一階段����,所述第一階段包括一次性密碼(OTP)登錄序列,以及所述第二登錄階段通過創(chuàng)建/修改定義了相應(yīng)用戶憑證的臨時(shí)帳戶來執(zhí)行��,以便所述最終用戶在所述接入服務(wù)器上登錄�。
2.如權(quán)利要求1所述的裝置,其特征在于����,對于所述第二階段,在所述認(rèn)證服務(wù)器中創(chuàng)建/修改用戶帳戶�����。
3.如權(quán)利要求2所述的裝置�,其特征在于��,所述創(chuàng)建/修改的帳戶是臨時(shí)的��,即它僅允許在有限時(shí)間間隔內(nèi)登錄。
4.如權(quán)利要求1-3中任一項(xiàng)所述的裝置�����,其特征在于��,所述接入服務(wù)器(AS)是由因特網(wǎng)服務(wù)提供商運(yùn)行的�。
5.如權(quán)利要求4所述的裝置,其特征在于��,所述因特網(wǎng)服務(wù)提供商提供無線服務(wù)(即是WISP)�。
6.如權(quán)利要求1-5中任一項(xiàng)所述的裝置,其特征在于���,在所述第一階段中使用的一次性密碼(OTP)在所述第二階段中重用��。
7.如權(quán)利要求1-6中任一項(xiàng)所述的裝置�����,其特征在于�����,所述用戶站的所述第一設(shè)備包括PC��,所述第二設(shè)備包括移動(dòng)電話��。
8.如以上權(quán)利要求中任一項(xiàng)所述的裝置���,其特征在于���,所述一次性密碼(OTP)由所述認(rèn)證服務(wù)器創(chuàng)建,并通過所述移動(dòng)通信系統(tǒng)從所述認(rèn)證服務(wù)器傳送到所述用戶站的所述第二設(shè)備�。
9.如權(quán)利要求8所述的裝置,其特征在于�����,所述OTP通過字母數(shù)字文本消息��,例如SMS或語音消息傳送到所述用戶站的所述第二設(shè)備�。
10.如權(quán)利要求7或8所述的裝置,其特征在于�,所述OTP在所述用戶站的所述第一設(shè)備上輸入,并提供給所述認(rèn)證服務(wù)器以進(jìn)行認(rèn)證/驗(yàn)證����。
11.如權(quán)利要求10所述的裝置,其特征在于���,如果所述OTP是有效的��,則在所述第二階段中重用所述第一階段的OTP�。
12.至少如權(quán)利要求2和10所述的裝置��,其特征在于��,如果所述OTP是有效的�,則定義所創(chuàng)建/修改的帳戶的用戶名和密碼,它們唯一地綁定于所述OTP序列����。
13.如權(quán)利要求12所述的裝置,其特征在于�,在所述第二階段中,使用與所述第一階段中相同的用戶名�����,而將所述OTP用作密碼��。
14.如權(quán)利要求12所述的裝置����,其特征在于����,對于所述第二階段�,使用動(dòng)態(tài)用戶名,而將(所述第一階段的)所述OTP用作密碼���。
15.如權(quán)利要求12所述的裝置�����,其特征在于���,對于所述第二階段,使用(對所有用戶通用的)靜態(tài)用戶名����,而將(所述第一階段的)所述OTP用作密碼。
16.如權(quán)利要求12所述的裝置��,其特征在于�,對于所述第二階段,使用(對所有用戶通用的)靜態(tài)用戶名��,而將隨機(jī)數(shù)用作密碼。
17.如權(quán)利要求12所述的裝置��,其特征在于�����,對于所述第二階段�,使用動(dòng)態(tài)用戶名��,而將隨機(jī)值用作密碼��。
18.如以上權(quán)利要求中任一項(xiàng)所述的裝置��,其特征在于�����,當(dāng)已在所述認(rèn)證服務(wù)器中創(chuàng)建/修改了帳戶時(shí)�����,所述Web服務(wù)器將所述登錄消息重定向到所述接入服務(wù)器的登錄頁面�����;然后將定時(shí)器設(shè)置為給定時(shí)間間隔,在其間對用戶憑證進(jìn)行檢查����;如果它們無效,則向所述用戶返回出錯(cuò)消息�。
19.如權(quán)利要求18所述的裝置,其特征在于����,如果所述用戶憑證包括用戶名和密碼,以及如果它們在所述給定時(shí)間間隔內(nèi)通過驗(yàn)證/認(rèn)證����,則刪除或禁用所述添加/修改的臨時(shí)用戶帳戶。
20.如以上權(quán)利要求中任一項(xiàng)所述的裝置���,其特征在于����,所述認(rèn)證服務(wù)器包括Radius服務(wù)器或Diameter服務(wù)器�。
21.如權(quán)利要求20所述的裝置,其特征在于����,在所述接入服務(wù)器(AS)與所述認(rèn)證(Radius,Diameter等)服務(wù)器之間設(shè)置一個(gè)或多個(gè)代理服務(wù)器。
22.如權(quán)利要求21所述的裝置���,其特征在于��,所述接入網(wǎng)包括WLAN��、以太網(wǎng)等�����。
23.如以上權(quán)利要求中任一項(xiàng)所述的裝置,其特征在于�,所述登錄語法存儲在所述接入服務(wù)器中,并且所述登錄語法傳送到所述Web服務(wù)器�,以便隨后構(gòu)成重定向消息的一部分。
24.一種接入網(wǎng)中的接入服務(wù)器��,它與最終用戶站通信以向所述最終用戶站提供至IP網(wǎng)絡(luò)的接入����,并且與Web服務(wù)器和認(rèn)證服務(wù)器通信,其特征在于��,所述接入服務(wù)器允許任何用戶例如通過利用白清單功能��、至所述操作員的登錄鏈接來執(zhí)行對所述Web服務(wù)器的接入嘗試,并且支持認(rèn)證服務(wù)器漫游�;以及所述接入服務(wù)器支持在其間給出一次性密碼的第一階段之后的登錄過程的第二階段;以及對于所述第二階段���,創(chuàng)建/修改臨時(shí)用戶帳戶����,定義其密碼和用戶名�����,并唯一地將它們與所述第一階段中由所述認(rèn)證服務(wù)器提供�、并通過移動(dòng)通信系統(tǒng)作為例如SMS、語音消息等提供給所述用戶站的所述一次性密碼相關(guān)聯(lián)�����。
25.如權(quán)利要求24所述的接入服務(wù)器���,其特征在于����,它是WLAN��、以太網(wǎng)等的接入服務(wù)器,且由因特網(wǎng)服務(wù)提供商如無線ISP運(yùn)營��。
26.一種通過包括接入服務(wù)器的接入網(wǎng)為最終用戶提供至IP網(wǎng)絡(luò)的接入的方法�,其特征在于,就登錄過程而言�,所述方法包括如下步驟-執(zhí)行所述登錄過程的第一階段,藉此由認(rèn)證服務(wù)器提供一次性密碼(OTP)����,并通過移動(dòng)通信網(wǎng)絡(luò)借助例如SMS或語音消息將其傳送到所述最終用戶;-檢查所述一次性密碼的有效性/真實(shí)性����,以及如果其有效,-則在所述認(rèn)證服務(wù)器中添加/修改臨時(shí)帳戶����,對于所述登錄過程的第二階段�����,-定義唯一地綁定于所述第一階段的所述一次性密碼的用戶名和密碼�,-在所述認(rèn)證服務(wù)器中檢查所述用戶名和密碼的有效性;以及如果其有效��,則允許所述用戶的登錄請求,-在預(yù)定的時(shí)間過去之后刪除/禁用所述臨時(shí)用戶帳戶��。
27.如權(quán)利要求26所述的方法�����,其特征在于���,執(zhí)行所述登錄過程的所述第一階段的步驟包括如下步驟-從所述用戶站向接入服務(wù)器發(fā)送登錄請求��;-如果所述用戶站激活至所述操作員Web(登錄)服務(wù)器的鏈接��,則從所述接入服務(wù)器接收響應(yīng)��;-接入所述Web服務(wù)器��;-在所述Web服務(wù)器中輸入最終用戶站標(biāo)識���;-從所述認(rèn)證服務(wù)器提供一次性密碼(OTP)給所述用戶站,并通過移動(dòng)通信網(wǎng)絡(luò)借助例如SMS或語音消息將其傳送到所述用戶站�����;由所述Web服務(wù)器要求輸入所述一次性密碼���;驗(yàn)證所述一次性密碼的有效性/真實(shí)性���。
28.如權(quán)利要求26或27所述的方法�����,其特征在于�,所述第二階段包括如下步驟-將所述登錄請求重定向到所述接入服務(wù)器的登錄頁面���;-設(shè)置定時(shí)器����;-在所述認(rèn)證服務(wù)器中檢查所述用戶憑證如用戶名和密碼的有效性�;以及如果其有效,-在所述設(shè)置的定時(shí)器到期時(shí)刪除/禁用所述臨時(shí)用戶帳戶�。
29.如權(quán)利要求26-28中任一項(xiàng)所述的方法,其特征在于���,它包括如下步驟-在所述第二階段使用與所述第一階段中相同的用戶名;-將所述OTP用作密碼�。
30.如權(quán)利要求26-28中任一項(xiàng)所述的方法,其特征在于���,它包括如下步驟在所述第二階段中��,-使用動(dòng)態(tài)用戶名����;-將所述第一階段的OTP用作密碼。
31.如權(quán)利要求26-28中任一項(xiàng)所述的方法�,其特征在于,它包括如下步驟在所述第二階段�,-使用對所有用戶通用的靜態(tài)用戶名;-將所述第一階段的OTP或隨機(jī)數(shù)用作密碼�。
32.如權(quán)利要求26-28中任一項(xiàng)所述的方法,其特征在于���,它包括如下步驟在所述第二階段����,-使用動(dòng)態(tài)用戶名��;-將隨機(jī)值用作密碼��。
33.如權(quán)利要求26-32中任一項(xiàng)所述的方法�����,其特征在于,所述接入網(wǎng)包括WLAN�����、以太網(wǎng)等����;所述認(rèn)證服務(wù)器包括例如Radius服務(wù)器或Diameter服務(wù)器。
全文摘要
本發(fā)明涉及一種用于向最終用戶提供至IP網(wǎng)絡(luò)的接入(登錄)的裝置和方法����。它包括用戶站、接入網(wǎng)接入服務(wù)器���、Web服務(wù)器和認(rèn)證服務(wù)器��。最終用戶站包括用于與接入服務(wù)器通信的第一設(shè)備和用于通過移動(dòng)通信系統(tǒng)與認(rèn)證服務(wù)器通信的第二設(shè)備�����。所述接入/登錄過程包括第一和第二階段�����,所述認(rèn)證服務(wù)器控制包括一次性密碼(OTP)登錄序列的第一階段�����,如果一次性密碼(OTP)是有效的�,則通過創(chuàng)建定義了相應(yīng)用戶憑證的臨時(shí)帳戶來執(zhí)行第二登錄階段�����,以便所述最終用戶在所述接入服務(wù)器上登錄����。
文檔編號G06F21/35GK1788244SQ03826627
公開日2006年6月14日 申請日期2003年6月18日 優(yōu)先權(quán)日2003年6月18日
發(fā)明者A·諾爾福斯, U·舒伯特 申請人:艾利森電話股份有限公司