專利名稱:允許在蜂窩通信系統(tǒng)中重新認(rèn)證的方法和裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通信系統(tǒng)中用于認(rèn)證和會話密鑰分發(fā)的可擴展認(rèn)證協(xié)議(EAP)機制,如用于通用移動通信系統(tǒng)(UMTS)的認(rèn)證和(會話)密鑰(分發(fā))協(xié)議(AKA)的EAP機制����,又如在全球移動通信系統(tǒng)(GSM)所用用戶識別模塊(SIM)中實現(xiàn)的用于AKA的EAP機制。更具體地來說��,本發(fā)明涉及將EAP機制用于GSMSIM或UMTSAKA認(rèn)證的通信系統(tǒng)中的重新認(rèn)證�。
背景技術(shù):
AKA基于查詢-響應(yīng)機制和對稱密碼術(shù)���,在UMTS中���,它可參見3GPP(第三代伙伴關(guān)系計劃)組織于2000年11月發(fā)布的3GPPTS(技術(shù)規(guī)范)33.102 V3.6.0“技術(shù)規(guī)范組服務(wù)和系統(tǒng)方面�����;3G安全性���;安全性體系結(jié)構(gòu)(1999版)”。AKA通常在UMTS用戶識別模塊(USIM)(類智能卡設(shè)備)中運行�����。但是AKA的應(yīng)用并不局限于含智能卡的客戶設(shè)備���;例如AKA還可以用主機軟件實現(xiàn)�。AKA還提供對GSM認(rèn)證機制的后向兼容���,GSM認(rèn)證機制是在歐洲電信標(biāo)準(zhǔn)協(xié)會于1997年8月發(fā)布的GSM03.20(ETS 300 534)“數(shù)字蜂窩電信系統(tǒng)(第2階段)�����;安全性相關(guān)的網(wǎng)絡(luò)功能”中提出的�����。與GSM機制比較�����,AKA提供長得多的密鑰長度并且提供對服務(wù)器端(以及客戶端)的認(rèn)證���。
為了使客戶設(shè)備如無線終端(更具體的例如移動臺)使用服務(wù)器(如運營商提供和管理的通信系統(tǒng)中的服務(wù)器)提供的服務(wù)(或包括如因特網(wǎng)的任何類型網(wǎng)絡(luò)的服務(wù)器的服務(wù))���,用戶終端在某些情況下(對于某些網(wǎng)絡(luò)和那些網(wǎng)絡(luò)的某些服務(wù))必須向服務(wù)器認(rèn)證自己,反之亦然����。(至少在一些網(wǎng)絡(luò)����,尤其是UMTS中服務(wù)器必須向客戶機認(rèn)證自己)��,即各方必須向另一方證明其宣稱的身份���。在撥號網(wǎng)絡(luò)、無線LAN���、有線LAN網(wǎng)絡(luò)和各種數(shù)字用戶線(xDSL)網(wǎng)絡(luò)上,網(wǎng)絡(luò)的運營商通常采用所謂的AAA(認(rèn)證�、授權(quán)和記帳)服務(wù)器來認(rèn)證客戶����,并認(rèn)證該客戶的服務(wù)請求所發(fā)往的運營商網(wǎng)絡(luò)的服務(wù)器(或認(rèn)證運營商網(wǎng)絡(luò)而無論任何特定的服務(wù)器)����。AAA服務(wù)器可以負(fù)責(zé)存儲共享的秘密和認(rèn)證用戶(具有特定于特定用戶并因此識別用戶的組件的終端)所需的其他保密信息,或者AAA服務(wù)器也可以使用單獨的用戶數(shù)據(jù)庫服務(wù)器��,用于存儲這些保密信息�。可擴展認(rèn)證協(xié)定(EAP)通常在采用AAA服務(wù)器來執(zhí)行AAA服務(wù)器和終端之間的認(rèn)證的網(wǎng)絡(luò)上使用�。如果網(wǎng)絡(luò)的運營商是UMTS或GSM網(wǎng)絡(luò)的蜂窩運營商,則EAP方法可以如在EAP SIM中封裝增強的GSM認(rèn)證和密鑰協(xié)定���,或者如在EAP AKA中封裝增強的UMTS認(rèn)證和密鑰協(xié)定�。終端與本地網(wǎng)絡(luò)上的值班設(shè)備交換認(rèn)證分組���。值班設(shè)備隨網(wǎng)絡(luò)類型不同而不同����,但它可以是例如無線LAN接入點���、以太網(wǎng)交換機和撥號網(wǎng)絡(luò)接入服務(wù)器(NAS)���。值班設(shè)備通常作為所謂的AAA客戶機運行�����,AAA客戶機和AAA服務(wù)器使用所謂的AAA協(xié)議來執(zhí)行認(rèn)證���。
在與EAP SIM或EAP AKA建立的通信會話開始時,終端和AAA服務(wù)器執(zhí)行本文所謂的完整認(rèn)證���,即認(rèn)證從終端或AAA服務(wù)器彼此均不作為認(rèn)證對方的任何基礎(chǔ)的狀態(tài)開始��。
在建立完整認(rèn)證之后�����,可能在一段預(yù)定時間或某個其他條件得到滿足的情況下�,需要重新認(rèn)證來降低如下可能性“壞蛋”利用某個其他設(shè)備(服務(wù)器設(shè)備或客戶設(shè)備)開始冒充最初通過認(rèn)證的實體��,或者甚至以某種方式獲得了最初通過認(rèn)證的設(shè)備的物理控制權(quán)(例如用戶離開時忘記關(guān)閉通過認(rèn)證的終端并走開)并開始發(fā)送請求���。為了確認(rèn)終端仍在使用網(wǎng)絡(luò)資源����,也可能需要根據(jù)本地網(wǎng)絡(luò)發(fā)送的記帳消息的要求重新進行認(rèn)證����。同樣,在密鑰有效期有限的情況下����,出于安全性原因也可能使用重新認(rèn)證來協(xié)商新的安全密鑰。重新認(rèn)證在EAP SIM(對應(yīng)于GSM)和EAP AKA(對應(yīng)于UMTS)中是完全相同的���。
現(xiàn)有技術(shù)的EAP SIM和EAP AKA協(xié)議利用分別從AAA服務(wù)器傳遞給正在被重新認(rèn)證的終端的重新認(rèn)證用戶身份提供重新認(rèn)證�����。重新認(rèn)證基于會話密鑰和完整認(rèn)證過程中建立的其他上下文信息��。
營運商可能基于均衡負(fù)載和其他原因在網(wǎng)絡(luò)中部署多個AAA服務(wù)器����。因為可以隨機選擇或通過某種預(yù)定機制如輪詢機制選擇AAA服務(wù)器來對終端進行認(rèn)證����,所以終端(用戶)可能不總是向同一個AAA服務(wù)器進行認(rèn)證。在這種網(wǎng)絡(luò)中,如果上下文信息只存儲在執(zhí)行過完整認(rèn)證的AAA服務(wù)器中���,則重新認(rèn)證就成了問題���。因為重新認(rèn)證假定完整認(rèn)證過程中提供的一些信息的有效性,所以如果終端的重新認(rèn)證AAA請求被轉(zhuǎn)發(fā)到不同于執(zhí)行過完整認(rèn)證的AAA服務(wù)器的另一個AAA服務(wù)器���,則重新認(rèn)證無法進行(即無法執(zhí)行)����。
因此����,需要有一種方法,使重新認(rèn)證可以在重新認(rèn)證請求可能轉(zhuǎn)發(fā)到不同于執(zhí)行過完整認(rèn)證的AAA服務(wù)器的另一個AAA服務(wù)器的網(wǎng)絡(luò)中執(zhí)行���。
發(fā)明的公開因此����,在本發(fā)明的第一方面中��,提供一種用于對涉及通過認(rèn)證網(wǎng)絡(luò)在一個終端和一個服務(wù)器之間交換信息的通信會話重新進行認(rèn)證的方法���,所述通信會話已經(jīng)由終端和認(rèn)證網(wǎng)絡(luò)的第一認(rèn)證服務(wù)器認(rèn)證過��,所述方法的特征在于對第一認(rèn)證服務(wù)器和其他認(rèn)證服務(wù)器分別分配相應(yīng)的唯一域名的步驟����;以及在終端和第一認(rèn)證服務(wù)器之間進行認(rèn)證期間�����,第一認(rèn)證服務(wù)器向終端發(fā)送重新認(rèn)證身份的步驟���,所述重新認(rèn)證身份含有分配給第一認(rèn)證服務(wù)器的唯一域名���。
根據(jù)本發(fā)明的第一方面,所述方法的特征還在于為執(zhí)行重新認(rèn)證�����,終端發(fā)送使用含唯一域名的重新認(rèn)證身份的重新認(rèn)證請求的步驟��;以及�����,收到重新認(rèn)證請求的認(rèn)證網(wǎng)元根據(jù)所述請求中包含的重新認(rèn)證身份確定指示執(zhí)行過完整認(rèn)證的認(rèn)證服務(wù)器的唯一域名的步驟。所述方法的特征還在于認(rèn)證網(wǎng)元將所述請求轉(zhuǎn)發(fā)到作為所述重新認(rèn)證身份的一部分包含的唯一域名所指示的認(rèn)證服務(wù)器的步驟��;以及終端和第一認(rèn)證服務(wù)器執(zhí)行重新認(rèn)證的步驟����。
在本發(fā)明的第二方面中,提供了蜂窩通信系統(tǒng)中的一種認(rèn)證服務(wù)器��,它包括用于重新認(rèn)證終端和內(nèi)容服務(wù)器之間的通信會話的裝置�����,所述認(rèn)證服務(wù)器的特征在于用于接收分配的唯一域名的裝置����;以及用于向終端發(fā)送包含唯一域名的重新認(rèn)證身份的裝置。
根據(jù)本發(fā)明的第一方面��,所述認(rèn)證服務(wù)器的特征還在于接收使用重新認(rèn)證身份的重新認(rèn)證請求�����,以及根據(jù)重新認(rèn)證身份確定唯一域名的裝置����。所述認(rèn)證服務(wù)器的特征還在于將所述請求轉(zhuǎn)發(fā)到作為重新認(rèn)證身份的一部分包含的唯一域名所指示的認(rèn)證服務(wù)器的裝置�����。
在本發(fā)明的第三方面中�,提供了一種計算機程序產(chǎn)品����,它包括其上含由認(rèn)證服務(wù)器中的計算機處理器執(zhí)行的計算機程序代碼的計算機可讀存儲結(jié)構(gòu),其中所述計算機程序代碼的特征在于它包括用于啟用根據(jù)本發(fā)明的第二方面的設(shè)備的裝置的指令����。
在本發(fā)明的第四方面中�,提供了一種系統(tǒng),它包括多個終端��、多個認(rèn)證服務(wù)器和至少一個內(nèi)容服務(wù)器�����;所述終端可操作以在通過一個或另一個所述認(rèn)證服務(wù)器的認(rèn)證和偶爾重新認(rèn)證之后向所述內(nèi)容服務(wù)器請求內(nèi)容����,所述系統(tǒng)的特征在于至少兩個所述認(rèn)證服務(wù)器均為如本發(fā)明第二方面所述的設(shè)備。
附圖簡介參考如下結(jié)合附圖的詳細(xì)說明�,可清楚本發(fā)明的上述和其他目的����、特征和優(yōu)點�����,附圖中
圖1是根據(jù)本發(fā)明�����,用于(向充當(dāng)認(rèn)證代理的認(rèn)證服務(wù)器)重新認(rèn)證終端的方法的流程圖�����;圖2是根據(jù)本發(fā)明��,終端認(rèn)證以及之后向認(rèn)證服務(wù)器重新認(rèn)證的框圖/流程圖�。
發(fā)明的最佳實施方式針對如何確保可以在重新認(rèn)證請求可能轉(zhuǎn)發(fā)到不同于執(zhí)行過完整認(rèn)證的AAA服務(wù)器的另一個AAA服務(wù)器的網(wǎng)絡(luò)中進行有效的重新認(rèn)證的問題����,本發(fā)明提供了一種解決方案。為解決此問題�,本發(fā)明使得可以選擇執(zhí)行過完整認(rèn)證的AAA服務(wù)器作為重新認(rèn)證時的AAA服務(wù)器。
下面結(jié)合用于通用移動電信系統(tǒng)(UMTS)認(rèn)證和密鑰協(xié)定(AKA)中的認(rèn)證和會話密鑰分發(fā)的可擴展認(rèn)證協(xié)議(EAP)機制來描述本發(fā)明�,上述協(xié)議可參見3GPP組織于2000年11月發(fā)布的3GPPTS33.102 V3.6.0“技術(shù)規(guī)范組服務(wù)和系統(tǒng)方面�����;3G安全性���;安全性體系結(jié)構(gòu)(1999版)”;以及J.Arkko和H.Haverinen于2002年6月提交的IETF(因特網(wǎng)工程任務(wù)組)草案文檔“EAPAKA認(rèn)證”(draft-arkko-pppext-eap-aka-04.txt)���。UMTS是全球第三代移動網(wǎng)絡(luò)標(biāo)準(zhǔn)�。本發(fā)明顯然還可以結(jié)合用于采用全球移動通信系統(tǒng)(GSM)用戶識別模塊(SIM)的認(rèn)證和會話密鑰分發(fā)的EAP機制�,此機制可參見歐洲電信標(biāo)準(zhǔn)協(xié)會于1997年8月發(fā)布的GSM技術(shù)規(guī)范GSM03.20(ETS 300 534)“數(shù)字蜂窩電信系統(tǒng)(第2階段);安全性相關(guān)的網(wǎng)絡(luò)功能”以及H.Haverinen于2002年7月2日提交的IETF草案文檔“EAPSIM認(rèn)證”(draft-haverinen-pppext-eap-sim-05.txt)��。雖然對本發(fā)明的描述具體參照與可擴展認(rèn)證協(xié)議的結(jié)合使用及其UMTS和GSM方法來進行����,但應(yīng)理解�,本發(fā)明并不限用于可擴展認(rèn)證協(xié)議或符合UMST或GSM標(biāo)準(zhǔn)的蜂窩通信系統(tǒng);本發(fā)明實際上可以可擴展認(rèn)證協(xié)議與AAA協(xié)議結(jié)合使用的類似或可比的方式用于提供認(rèn)證的任何通信系統(tǒng)中�����。在所述實施例的情況中���,本發(fā)明利用所謂的EAP(可擴展認(rèn)證協(xié)議)�,此EAP可參見IETF網(wǎng)絡(luò)工作組發(fā)布的標(biāo)題為“PPP可擴展認(rèn)證協(xié)議(EAP)”的RFC2284中。(PPP)EAP是一種通用的認(rèn)證協(xié)議����;它支持多種認(rèn)證機制。
現(xiàn)在參考圖1和圖2����,為確保重新認(rèn)證始終可行,本發(fā)明提出一種包括第一步驟11的方法����,在該步驟中,為每個AAA服務(wù)器23a和23b(位于相同或不同的營運商網(wǎng)絡(luò)中)分配一個唯一的域名�,在UMTS或GSM和IP服務(wù)認(rèn)證的情況中,它是可用于網(wǎng)絡(luò)接入標(biāo)識符(NAI)的類型的名稱(作為NAI的一部分�����,例如以user@realm的形式���,其中“realm”是唯一的域名)�����,NAI是AAA協(xié)議結(jié)合用于網(wǎng)絡(luò)接入認(rèn)證時使用的(終端)標(biāo)識符�����。在制定的EAP和AAA協(xié)議中���,認(rèn)證請求包含用戶的網(wǎng)絡(luò)接入標(biāo)識符�。在完整認(rèn)證的情況中���,EAP SIM和EAP AKA指定終端將用于請求完整認(rèn)證的身份格式���。根據(jù)指定的規(guī)范,NAI的用戶名部分包含國際移動用戶標(biāo)識符(IMSI)或EAP SIM和EAP AKA規(guī)范中稱為假名的臨時標(biāo)識符��。NAI中所用的域名通常是歸屬營運商的公用標(biāo)識符����??梢圆捎萌舾葾AA服務(wù)器來服務(wù)傳送到該域名的請求。因此����,根據(jù)現(xiàn)有技術(shù)�����,通常NAI中的域名可由幾個AAA服務(wù)器共享�����。例如MyOperator的用戶可以使用域名myoperator.com�,而AAA消息會路由到myoperator.com的這些AAA服務(wù)器之一���。在EAP SIM和EAP AKA完整認(rèn)證中����,域名可能指示一組AAA服務(wù)器���。但是����,根據(jù)本發(fā)明�����,將會為每個AAA服務(wù)器分配一個唯一的域名,例如���,serverX.myoperator.com�����,它是將用于重新認(rèn)證身份中的唯一域名�����。這里���,第三級名稱serverX使域名serverX.myoperator.com為唯一的域名。該域名的結(jié)構(gòu)化格式可以允許某些AAA網(wǎng)元將所有以myoperator.com結(jié)尾的域路由到正確的下一跳�,而無需考慮使域名唯一而必須添加的第三級名稱;例如����,值班設(shè)備21a可能不需要關(guān)心完整的域名,而是可以采用簡單的規(guī)則“將*.myoperator.com路由到MyOperator的AAA代理”(其中*用作通配符�,即,它表示名稱中允許的任何字符集)�����。
在下一步驟12中���,AAA服務(wù)器23a和23b中的第一服務(wù)器23a通過代理AAA服務(wù)器22從值班設(shè)備21a(即一個AAA客戶機��,具體為例如一個服務(wù)接入點)收到有關(guān)終端21的(全面)認(rèn)證請求�����,因此值班設(shè)備21a可以同意終端21接入網(wǎng)絡(luò)24(例如因特網(wǎng))��。圖2中(為清楚起見)未顯示一個或多個營運商網(wǎng)絡(luò)的使終端21與AAA服務(wù)器23a和23b之間的無線通信成為可能的各種網(wǎng)元(具體指每個營運商網(wǎng)絡(luò)的無線電接入網(wǎng))以及將通信信息路由到AAA服務(wù)器23a和23b之一或另一方的其他網(wǎng)元�。
在下一步驟13中��,第一AAA服務(wù)器23a(通過代理服務(wù)器22和值班設(shè)備221a)向終端21發(fā)送重新認(rèn)證身份(以供終端在稍后的重新認(rèn)證操作中使用)���,并且在所述重新認(rèn)證身份包含唯一域名��,它還包括用戶名部分�����。重新認(rèn)證身份不同于完整認(rèn)證時所用的基于IMSI的身份和假名身份����。步驟13作為完整認(rèn)證程序的一部分執(zhí)行,完整認(rèn)證程序還包括為簡明起見已在圖1中省略的其他步驟�����。重新認(rèn)證身份的用戶名部分是服務(wù)器選擇的一次性用戶名�。它可以是隨機選擇的數(shù)字或標(biāo)識符。因此重新認(rèn)證身份例如可以為1209834387@serverl5.myoperator.com�����。
在下一步驟14中�,為了進行重新認(rèn)證(通常基于某些已得到滿足的條件)���,終端21發(fā)送使用含唯一域名的重新認(rèn)證身份的重新認(rèn)證請求�����。一般來說�����,可以幾種方式啟動重新認(rèn)證���。一種方式是�����,可由值班設(shè)備21a啟動重新認(rèn)證。在此情況中����,在無線LAN上(其中根據(jù)唯一域名轉(zhuǎn)發(fā)的“重新認(rèn)證請求”包含EAP身份響應(yīng)分組),值班設(shè)備21a向終端21發(fā)送EAP身份請求分組��,該終端以含有重新認(rèn)證身份的EAP身份響應(yīng)來響應(yīng)�。然后通過AAA協(xié)議將該分組轉(zhuǎn)發(fā)到正確的AAA服務(wù)器?�;蛘?��,終端21本身可以啟動重新認(rèn)證����。在無線LAN上�����,終端21將EAPOL-Start(基于LAN的EAP啟動)分組發(fā)送到值班設(shè)備21a�����。在收到EAPOL-Start時,值班設(shè)備21a向該終端發(fā)送EAP身份請求分組�����,然后重新認(rèn)證交換如下所述繼續(xù)���。
在下一步驟15中����,收到該請求的任何AAA網(wǎng)元(值班設(shè)備21a�、代理22以及AAA服務(wù)器23a和23b)檢查該請求中所含的重新認(rèn)證身份,以確定要將該請求路由到哪里(根據(jù)通過域名指示第一AAA服務(wù)器23a的重新認(rèn)證身份)�。這種路由選擇基于路由表或適當(dāng)?shù)钠渌S肁AA路由方法。通常���,代理服務(wù)器22檢查域名并直接將請求路由到第一AAA服務(wù)器23a���。因此,執(zhí)行過完整認(rèn)證的AAA服務(wù)器(即第一AAA服務(wù)器23a)或早或晚都會收到該請求�����。
在下一步驟16中,第一AAA服務(wù)器23a根據(jù)制定的重新認(rèn)證協(xié)議響應(yīng)該重新認(rèn)證請求��。在下一步驟17中�,根據(jù)制定的AAA協(xié)議,終端21與第一AAA服務(wù)器23a之間的后續(xù)通信通過值班設(shè)備21a在終端21和第一AAA服務(wù)器23a之間進行�����。后續(xù)通信可以直接在值班設(shè)備21a和第一AAA服務(wù)器23a之間路由或通過中間AAA網(wǎng)元路由�。制定的AAA協(xié)議通常包括用于確保執(zhí)行認(rèn)證的AAA服務(wù)器23a不在認(rèn)證交換期間改變的裝置���。
在一些實例中���,終端21可以同時通過幾個不同的會話進行通信,對每個會話使用完整認(rèn)證程序�。這些會話可以由同一AAA服務(wù)器或由不同AAA服務(wù)器來認(rèn)證,并且可以利用相同或不同的無線電技術(shù)和相同或不同的用于執(zhí)行認(rèn)證的應(yīng)用程序�����。根據(jù)本發(fā)明�,為了適應(yīng)這種可變性,終端21維護每個此類會話各自的狀態(tài)信息��,于是終端21隨后可以分別對每個此類會話執(zhí)行重新認(rèn)證,如結(jié)合圖1所述的那樣�����。對應(yīng)地�,用于對一個或多個同時會話進行認(rèn)證的每個AAA服務(wù)器23a和23b維護每個此類會話各自的狀態(tài)信息。
注意����,雖然本發(fā)明涉及無線LAN認(rèn)證,但它與xDSL�����、撥號網(wǎng)絡(luò)���、以太網(wǎng)和其他認(rèn)證上下文相關(guān)���。用于UMTS和GSM認(rèn)證的可擴展認(rèn)證協(xié)議方法將是希望管理WLAN或其他輔助接入網(wǎng)的移動營運商的目標(biāo);本發(fā)明也可能從不會應(yīng)用于實際的UMTS或GSM網(wǎng)絡(luò)中�����。
要理解,上述安排僅是對本發(fā)明原理應(yīng)用的說明���。在不背離本發(fā)明范圍的前提下���,本領(lǐng)域技術(shù)人員可以設(shè)計出各種修改和替代安排,所附權(quán)利要求書旨在涵蓋這類修改和安排�。
權(quán)利要求
1.一種用于重新認(rèn)證涉及通過認(rèn)證網(wǎng)絡(luò)(28)在終端(21)和服務(wù)器(24)之間交換信息的通信會話的方法,所述通信會話已經(jīng)由所述終端(21)和所述認(rèn)證網(wǎng)絡(luò)(28)的第一認(rèn)證服務(wù)器(23a)認(rèn)證過����,所述方法的特征在于步驟(11)為所述第一認(rèn)證服務(wù)器(23a)和其他認(rèn)證服務(wù)器(23b)分別分配相應(yīng)的唯一域名�;以及步驟(13)在所述終端和所述第一認(rèn)證服務(wù)器(23a)之間的認(rèn)證期間,所速第一認(rèn)證服務(wù)器(23a)向所述終端(21)發(fā)送重新認(rèn)證身份��,所述重新認(rèn)證身份含有分配給所述第一認(rèn)證服務(wù)器的唯一域名���。
2.如權(quán)利要求1所述的方法���,其特征還在于步驟(14)為執(zhí)行重新認(rèn)證,所述終端(21)發(fā)送使用含所述唯一域名的所述重新認(rèn)證身份的重新認(rèn)證請求���;以及步驟(15)收到所述重新認(rèn)證請求的認(rèn)證網(wǎng)元(21a���、22����、23a�����、23b)根據(jù)所述請求中包含的所述重新認(rèn)證身份確定指示執(zhí)行過所述完整認(rèn)證的認(rèn)證服務(wù)器(23a)的所述唯一域名�。
3.如權(quán)利要求2所述的方法,其特征還在于步驟(15)認(rèn)證網(wǎng)元(21a�、22、23b)將所述請求轉(zhuǎn)發(fā)到作為所述重新認(rèn)證身份的一部分包含的所述唯一域名所指示的認(rèn)證服務(wù)器(23a)����;以及步驟(16和17)所述終端(21)和所述第一認(rèn)證服務(wù)器(23a)執(zhí)行重新認(rèn)證。
4.蜂窩通信系統(tǒng)中的一種認(rèn)證服務(wù)器(23a和23b)�����,包括用于重新認(rèn)證終端(21)和內(nèi)容服務(wù)器(25)之間的通信會話的裝置����,所述認(rèn)證服務(wù)器(23a和23b)的特征在于用于接收分配的唯一域名的裝置(11);以及用于向所述終端(21)發(fā)送包含所述唯一域名的重新認(rèn)證身份的裝置(13)�。
5.如權(quán)利要求4所述的認(rèn)證服務(wù)器��,其特征在于還包括用于執(zhí)行如下操作的裝置(15)接收使用所述重新認(rèn)證身份的重新認(rèn)證請求�����,以及根據(jù)所述重新認(rèn)證身份確定所述唯一域名��。
6.如權(quán)利要求5所述的認(rèn)證服務(wù)器���,其特征還在于用于執(zhí)行如下操作的裝置(16)將所述請求轉(zhuǎn)發(fā)到作為所述重新認(rèn)證身份的一部分包含的所述唯一域名所指示的認(rèn)證服務(wù)器(23a)。
7.一種計算機程序產(chǎn)品�,包括其上含由認(rèn)證服務(wù)器(23a)中的計算機處理器執(zhí)行的計算機程序代碼的計算機可讀存儲結(jié)構(gòu),其中所述計算機程序代碼的特征在于它包括用于啟用根據(jù)權(quán)利要求4的設(shè)備的裝置的指令�����。
8.一種計算機程序產(chǎn)品��,包括其上含由認(rèn)證服務(wù)器(23a)中的計算機處理器執(zhí)行的計算機程序代碼的計算機可讀存儲結(jié)構(gòu)��,其中所述計算機程序代碼的特征在于它包括用于啟用根據(jù)權(quán)利要求5的設(shè)備的裝置的指令�。
9.一種計算機程序產(chǎn)品���,包括其上含由認(rèn)證服務(wù)器(23a)中的計算機處理器執(zhí)行的計算機程序代碼的計算機可讀存儲結(jié)構(gòu)���,其中所述計算機程序代碼的特征在于它包括用于啟用根據(jù)權(quán)利要求6的設(shè)備的裝置的指令����。
10.一種系統(tǒng)����,包括多個終端(21)、多個認(rèn)證服務(wù)器(23a和23b)和至少一個內(nèi)容服務(wù)器(24)���;所述終端(21)可操作以在通過一個或另一個所述認(rèn)證服務(wù)器(23a和23b)的認(rèn)證和偶爾重新認(rèn)證之后向所述內(nèi)容服務(wù)器(24)請求內(nèi)容��,所述系統(tǒng)的特征在于至少兩個所述認(rèn)證服務(wù)器(23a和23b)如權(quán)利要求4所述����。
11.一種系統(tǒng)��,包括多個終端(21)�、多個認(rèn)證服務(wù)器(23a和23b)和至少一個內(nèi)容服務(wù)器(24);所述終端(21)可操作以在通過一個或另一個所述認(rèn)證服務(wù)器(23a和23b)的認(rèn)證和偶爾重新認(rèn)證之后向所述內(nèi)容服務(wù)器(24)請求內(nèi)容���,所述系統(tǒng)的特征在于至少兩個所述認(rèn)證服務(wù)器(23a和23b)如權(quán)利要求5所述���。
12.一種系統(tǒng)����,包括多個終端(21)�����、多個認(rèn)證服務(wù)器(23a和23b)和至少一個內(nèi)容服務(wù)器(24)����;所述終端(21)可操作以在通過一個或另一個所述認(rèn)證服務(wù)器(23a和23b)的認(rèn)證和偶爾重新認(rèn)證之后向所述內(nèi)容服務(wù)器(24)請求內(nèi)容,所述系統(tǒng)的特征在于至少兩個所述認(rèn)證服務(wù)器(23a和23b)如權(quán)利要求6所述����。
全文摘要
一種用于在由第一認(rèn)證服務(wù)器(23a)執(zhí)行第一次完整認(rèn)證之后對涉及在終端(21)和服務(wù)器(24)之間交換信息的通信會話重新進行認(rèn)證的方法(以及對應(yīng)的設(shè)備),所述方法包括如下步驟步驟(11)為第一認(rèn)證服務(wù)器(23a)和其他認(rèn)證服務(wù)器(23b)分別分配相應(yīng)的唯一域名�;步驟(13)在終端(21)和第一認(rèn)證服務(wù)器(23a)之間進行認(rèn)證期間,第一認(rèn)證服務(wù)器(23a)向終端(21)發(fā)送重新認(rèn)證身份�����,所述重新認(rèn)證身份含有分配給所述第一認(rèn)證服務(wù)器的唯一域名��。然后�,在稍后的重新認(rèn)證期間�,為了使該重新認(rèn)證操作可由執(zhí)行過完整認(rèn)證的同一認(rèn)證服務(wù)器(即第一認(rèn)證服務(wù)器(23a))來執(zhí)行�,將重新認(rèn)證身份包含在重新認(rèn)證請求中���。
文檔編號H04L9/32GK1698308SQ03823734
公開日2005年11月16日 申請日期2003年9月30日 優(yōu)先權(quán)日2002年10月3日
發(fā)明者H·哈韋里寧, K·阿馬瓦拉 申請人:諾基亞有限公司