專利名稱:接入方法、接入系統(tǒng)、信任服務(wù)中心��、網(wǎng)絡(luò)互信平臺(tái)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及無線網(wǎng)絡(luò)接入,特別涉及用于屬主網(wǎng)及異構(gòu)網(wǎng)絡(luò)下的接入方法 和系統(tǒng)。
背景技術(shù):
目前存在的各種無線技術(shù)�����,都可以視作不同的接入方式��。將各種無線異構(gòu)網(wǎng)絡(luò)�����,例如無線局域網(wǎng)��、移動(dòng)通信中的2.5G和3G等融合在一起,可以為用 戶提供各種服務(wù)���。目前,各種標(biāo)準(zhǔn)化組織分別定義了不同制式的無線接入網(wǎng)如何完成用戶的 安全接入���,其中包括如何防止(無線)接入鏈路的攻擊���、如何保護(hù)包括用戶身份 保密�����、實(shí)體鑒權(quán)、保密性、數(shù)據(jù)完整性等���,并詳細(xì)定義了一系列的密鑰交互流 程及密鑰協(xié)商體系���。各種無線網(wǎng)絡(luò)�����,例如WLAN、 GSM或者3G網(wǎng)絡(luò)�,雖然其接入控制機(jī)制 和安全性能各不相同�����,但是其接入框架是一樣的����,都是由接入網(wǎng)����、用戶身份認(rèn) 證中心及業(yè)務(wù)應(yīng)用模塊組成��。終端用戶在使用后臺(tái)業(yè)務(wù)系統(tǒng)之前只是進(jìn)行用戶 身份的認(rèn)i正。如圖1所示,圖1為無線網(wǎng)絡(luò)現(xiàn)有接入系統(tǒng)框圖�。雖然各種標(biāo)準(zhǔn)化組織定義了不同制式的無線接入網(wǎng)如何完成用戶的安全 接入����,但是均未考慮到用戶的可信接入問題。發(fā)明內(nèi)容為了解決用戶的安全可信接入問題�����,本發(fā)明提供了一種接入方法�,包括以 下步驟步驟IOI,用戶接受身份認(rèn)證�����;步驟102����,通過身份認(rèn)證后�,根據(jù)用戶歷史結(jié)算信任度集合中各個(gè)信任度 對(duì)用戶進(jìn)行信任度認(rèn)證����,通過認(rèn)證則繼續(xù)執(zhí)行步驟103,否則認(rèn)證失?���?���;步驟103�����,根據(jù)用戶歷史結(jié)算信任度集合中各個(gè)信任度��,授予用戶在目標(biāo) 應(yīng)用中的相應(yīng)權(quán)限�����。所述步驟103之后還包括步驟104����,計(jì)算出用戶在本次目標(biāo)應(yīng)用中產(chǎn)生的信任度集合���,并用本次信 任度集合與歷史結(jié)算信任度集合累加得到用戶當(dāng)前結(jié)算信任度集合����; 步驟105�,對(duì)當(dāng)前結(jié)算信任度集合進(jìn)行數(shù)字簽名���。 所述信任度集合為多維度��。 所述信任度集合存儲(chǔ)在用戶認(rèn)證票據(jù)中����。 本發(fā)明還提供了 一種接入異構(gòu)網(wǎng)絡(luò)的方法,包括以下步驟 步驟l,用戶接入當(dāng)前所在網(wǎng)絡(luò)并接受身份認(rèn)證,身份認(rèn)證中心發(fā)出認(rèn)證 請(qǐng)求信息�;步驟2,用戶當(dāng)前所在網(wǎng)絡(luò)通過網(wǎng)絡(luò)互信平臺(tái)將用戶認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至 用戶屬主網(wǎng)�����;步驟3,網(wǎng)絡(luò)互信平臺(tái)將屬主網(wǎng)用戶信任度處理成用戶當(dāng)前所在網(wǎng)絡(luò)的信 任度并發(fā)送至用戶當(dāng)前所在網(wǎng)絡(luò)�����,所述用戶認(rèn)證請(qǐng)求信息從屬主網(wǎng)攜帶有屬主 網(wǎng)用戶信任度����;步驟4,用戶當(dāng)前所在網(wǎng)絡(luò)對(duì)用戶當(dāng)前所在網(wǎng)絡(luò)的信任度進(jìn)行認(rèn)證�����。 所述步驟1具體包括步驟11�,位于用戶當(dāng)前所在網(wǎng)絡(luò)的第一身份認(rèn)證中心將用戶認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至位于用戶當(dāng)前所在網(wǎng)絡(luò)的第 一信任服務(wù)中心���;步驟12����,第一信任服務(wù)中心將用戶認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至網(wǎng)絡(luò)互信平臺(tái)�����; 步驟13,網(wǎng)絡(luò)互信平臺(tái)將認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至位于屬主網(wǎng)絡(luò)的第二信任服務(wù)中心����;步驟14,第二信任服務(wù)中心將認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至位于屬主網(wǎng)的第二身 份認(rèn)證中心。所述信任度儲(chǔ)存在于用戶認(rèn)證票據(jù)中�。 所述步驟2具體包括步驟21,第二身份認(rèn)證中心對(duì)身份進(jìn)行認(rèn)證��,認(rèn)證失敗,則返回失敗結(jié) 果�����,認(rèn)證成功���,則繼續(xù)執(zhí)行步驟22;步驟22���,第二身份認(rèn)證中心向第二信任服務(wù)中心返回用戶認(rèn)證請(qǐng)求信息 并申請(qǐng)用戶在屬主網(wǎng)內(nèi)的第二用戶認(rèn)證票據(jù)�����;步驟23,用戶認(rèn)證請(qǐng)求信息攜帶第二用戶認(rèn)證票據(jù)發(fā)送給網(wǎng)絡(luò)互信平臺(tái)���;步驟24,網(wǎng)絡(luò)互信平臺(tái)對(duì)第二用戶認(rèn)證票據(jù)進(jìn)行處理后發(fā)送給第一信任 服務(wù)中心�。所述步驟24具體包括步驟241 �,網(wǎng)絡(luò)互信平臺(tái)判斷出要將第二用戶認(rèn)證票據(jù)轉(zhuǎn)換為用戶在當(dāng)前 網(wǎng)絡(luò)內(nèi)的第 一用戶認(rèn)證票據(jù);步驟242,根據(jù)第一信任服務(wù)中心和第二信任服務(wù)中心之間的信任兌換關(guān) 系���,將第二用戶認(rèn)證票據(jù)轉(zhuǎn)換成第一用戶認(rèn)證票據(jù)�����;步驟243,對(duì)第一用戶認(rèn)證票據(jù)簽名并發(fā)送給第一信任服務(wù)中心��。所述步驟3具體包括步驟31,第一信任服務(wù)中心對(duì)第一用戶認(rèn)證票據(jù)進(jìn)行認(rèn)證����,通過認(rèn)證繼 續(xù)執(zhí)行步驟32,否則認(rèn)證失?�?���;步驟32,對(duì)通過認(rèn)證的用戶認(rèn)證票據(jù)進(jìn)行簽名�; 步驟33,對(duì)簽名后的用戶授予相應(yīng)權(quán)限����。 本發(fā)明還提供了一種接入系統(tǒng),包括 網(wǎng)絡(luò)接入層,用于將用戶接入網(wǎng)絡(luò)���;用戶身份認(rèn)證中心����,用于對(duì)接入網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證�; 后臺(tái)業(yè)務(wù)應(yīng)用模塊��,用于向授權(quán)用戶提供相應(yīng)權(quán)限的業(yè)務(wù)���; 還包括:信任服務(wù)中心����,用于計(jì)算通過身份認(rèn)證的用戶的結(jié)算信任度集合, 并根據(jù)用戶當(dāng)前所在網(wǎng)絡(luò)的結(jié)算信任度集合授予用戶相應(yīng)的訪問權(quán)限�。 本發(fā)明還提供了一種信任服務(wù)中心�����,包括信任度驗(yàn)證模塊���,用于根據(jù)歷史結(jié)算信任度集合驗(yàn)證用戶的信任度�����;授權(quán)模塊,用于根據(jù)歷史結(jié)算信任度集合中的各信任度對(duì)通過信任度驗(yàn)證 的用戶4受予目標(biāo)應(yīng)用的相應(yīng)權(quán)限����;信任度管理模塊,用于計(jì)算用戶在本次目標(biāo)應(yīng)用中產(chǎn)生的信任度集合��,并 用本次信任度集合與歷史結(jié)算信任度集合累加得到用戶當(dāng)前結(jié)算信任度集合�����;簽名模塊,用于對(duì)當(dāng)前信任度進(jìn)行數(shù)字簽名�����。所述用戶認(rèn)證票據(jù)為用戶結(jié)算信任度的集合�����。本發(fā)明還提供了一種異構(gòu)網(wǎng)絡(luò),至少包括第一子系統(tǒng)和第二子系統(tǒng)���,所述 第二子系統(tǒng)為用戶屬主網(wǎng)子系統(tǒng)��,所述第一子系統(tǒng)為非用戶屬主網(wǎng)子系統(tǒng),所述第 一子系統(tǒng)和第二子系統(tǒng)均包括網(wǎng)絡(luò)接入層����,用于將用戶接入網(wǎng)絡(luò);用戶身份認(rèn)證中心���,用于對(duì)接入網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證����; 后臺(tái)業(yè)務(wù)應(yīng)用模塊����,用于向授權(quán)用戶提供相應(yīng)權(quán)限的業(yè)務(wù)���; 所述第 一子系統(tǒng)和第二子系統(tǒng)還包括信任服務(wù)中心,用于計(jì)算通過身份認(rèn)證的用戶的結(jié)算信任度集合,并根據(jù) 用戶當(dāng)前所在網(wǎng)絡(luò)的結(jié)算信任度集合授予用戶相應(yīng)的訪問權(quán)限�����,所述接入系統(tǒng)還包括網(wǎng)絡(luò)互信平臺(tái)�����,用于向用戶屬主網(wǎng)絡(luò)路由認(rèn)證請(qǐng)求 信息,并將認(rèn)證請(qǐng)求信息從屬主網(wǎng)絡(luò)攜帶的用戶屬主網(wǎng)絡(luò)信任度轉(zhuǎn)換成用戶當(dāng) 前所在網(wǎng)絡(luò)的信任度;所述異構(gòu)網(wǎng)絡(luò)的信任服務(wù)中心的信任度之間的對(duì)應(yīng)關(guān)系發(fā)生變化時(shí)�,網(wǎng)絡(luò) 互信平臺(tái)對(duì)信任服務(wù)中心均進(jìn)行簽名之后����,該變化才能生效����。本發(fā)明還提供了一種網(wǎng)絡(luò)互信平臺(tái),包括信任服務(wù)中心管理4莫塊,用于對(duì)各個(gè)網(wǎng)絡(luò)中的信任服務(wù)中心進(jìn)行相互信任 管理和對(duì)認(rèn)證請(qǐng)求信息進(jìn)行路由管理�;信任度轉(zhuǎn)換模塊�����,用于根據(jù)信任服務(wù)中心提供的用戶信任度實(shí)現(xiàn)用戶在各 個(gè)網(wǎng)絡(luò)間的信任度轉(zhuǎn)換����;簽名模塊,用于對(duì)信任服務(wù)中心以及對(duì)信任度轉(zhuǎn)換后的用戶票據(jù)進(jìn)行數(shù)字 簽名�。與現(xiàn)有技術(shù)相比,本發(fā)明具有以下有益效果利用本發(fā)明的信任服務(wù)中心和網(wǎng)絡(luò)互信平臺(tái)����,通過身份認(rèn)證接入無線網(wǎng)絡(luò) 的用戶可以獲得上次在該網(wǎng)中的結(jié)算信任值,并且該用戶的信任值將隨著用戶 的不同操作而動(dòng)態(tài)變化�����,使得無線資源分配與用戶的優(yōu)先級(jí)相結(jié)合,從而可以 根據(jù)用戶的信任度來對(duì)不同安全級(jí)別的用戶業(yè)務(wù)進(jìn)行授權(quán)��。
圖1為無線網(wǎng)絡(luò)現(xiàn)有接入系統(tǒng)框圖;圖2為本發(fā)明的用于異構(gòu)網(wǎng)絡(luò)的接入方法流程圖;圖3為本發(fā)明的信任服務(wù)中心認(rèn)證流程圖;圖4為本發(fā)明的用于屬主網(wǎng)的接入方法流程圖�;圖5為本發(fā)明的屬主網(wǎng)接入系統(tǒng)框圖��;圖6為本發(fā)明的異構(gòu)網(wǎng)絡(luò)接入系統(tǒng)框圖���;圖7為本發(fā)明的網(wǎng)絡(luò)互信平臺(tái)框圖��。
具體實(shí)施方式
本發(fā)明基于信任度,提出了用戶通過信任服務(wù)中心和網(wǎng)絡(luò)互信平臺(tái)接入異 構(gòu)網(wǎng)絡(luò)的接入方法及接入系統(tǒng)。本發(fā)明的方法和系統(tǒng)應(yīng)用于GSM���、 3G�����、 WIMAX�����、 WLAN等無線網(wǎng)絡(luò)環(huán)境�。下面結(jié)合附圖對(duì)本發(fā)明的具體實(shí)施例作進(jìn)一步詳細(xì)說明�。 如圖2所示,圖2為本發(fā)明的用于異構(gòu)網(wǎng)絡(luò)的接入方法流程圖���,圖2中包 括以下步驟步驟l,用戶接入當(dāng)前所在網(wǎng)絡(luò)并接受身份認(rèn)證��,身份認(rèn)證中心發(fā)出認(rèn)證 請(qǐng)求信息;步驟2,用戶當(dāng)前所在網(wǎng)絡(luò)通過網(wǎng)絡(luò)互信平臺(tái)將用戶認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至 用戶屬主網(wǎng)���;步驟3,網(wǎng)絡(luò)互信平臺(tái)將屬主網(wǎng)用戶信任度處理成用戶當(dāng)前所在網(wǎng)絡(luò)的信 任度并發(fā)送至用戶當(dāng)前所在網(wǎng)絡(luò)��,所述用戶認(rèn)證請(qǐng)求信息從屬主網(wǎng)攜帶有屬主 網(wǎng)用戶信任度;步驟4���,用戶當(dāng)前所在網(wǎng)絡(luò)對(duì)用戶當(dāng)前所在網(wǎng)絡(luò)的信任度進(jìn)行認(rèn)證。 步驟3如圖3所示���,圖3為本發(fā)明的信任服務(wù)中心認(rèn)證流程圖�,圖3中具 體包括步驟31,第一信任服務(wù)中心對(duì)第一用戶認(rèn)證票據(jù)進(jìn)行認(rèn)證����,通過認(rèn)證則 繼續(xù)執(zhí)行步驟32,否則認(rèn)證失敗;步驟32,對(duì)通過認(rèn)證的用戶認(rèn)證票據(jù)進(jìn)行簽名��; 步驟33,對(duì)簽名后的用戶授予相應(yīng)權(quán)限���。用戶通過網(wǎng)絡(luò)接入層接入屬主網(wǎng)后�����,執(zhí)行圖4中的步驟,如圖4所示��,圖 4為本發(fā)明的用于屬主網(wǎng)的接入方法流程圖��,圖4中包括 步驟IOI,用戶接受身份認(rèn)證;步驟102,通過身份認(rèn)證后�����,根據(jù)用戶歷史結(jié)算信任度集合中各個(gè)信任度 對(duì)用戶進(jìn)行信任度認(rèn)證����,通過認(rèn)證則繼續(xù)執(zhí)行步驟103��,否則認(rèn)證失敗�����;步驟1(B,根據(jù)用戶歷史結(jié)算信任度集合中各個(gè)信任度����,授予用戶在目標(biāo) 應(yīng)用中的相應(yīng)權(quán)限;步驟104,計(jì)算出用戶在本次目標(biāo)應(yīng)用中產(chǎn)生的信任度集合�����,并用本次信 任度集合與歷史結(jié)算信任度集合累加得到用戶當(dāng)前結(jié)算信任度集合��;步驟105,對(duì)當(dāng)前結(jié)算信任度集合所在的用戶認(rèn)證票據(jù)簽名。如圖5所示�,圖5為本發(fā)明的屬主網(wǎng)接入系統(tǒng)框圖��。圖5是以終端用戶位 于屬主網(wǎng)為例進(jìn)行的說明��。圖5中包括無線網(wǎng)接入層、信任服務(wù)中心�����、用戶 身份認(rèn)證中心和業(yè)務(wù)應(yīng)用模塊����。終端用戶通過無線網(wǎng)接入層接入網(wǎng)絡(luò)后�,當(dāng)終端用戶只使用普通安全級(jí) 別業(yè)務(wù)時(shí)����,用戶通過網(wǎng)絡(luò)接入層��,經(jīng)由身份認(rèn)證中心進(jìn)行身份認(rèn)證后�����,就可以 使用后臺(tái)的相應(yīng)業(yè)務(wù)����,這種情況下����,與現(xiàn)有業(yè)務(wù)流程一樣,與信任服務(wù)中心沒 有關(guān)系。如果用戶要求使用高安全級(jí)別的業(yè)務(wù)�����,就需要在通過身份認(rèn)證的基礎(chǔ)上再 經(jīng)過信任服務(wù)中心的信任度驗(yàn)證����。用戶只有通過了信任度驗(yàn)證�����,信任服務(wù)中心才能根據(jù)該用戶的信任度大 小向用戶4受予相應(yīng)的應(yīng)用權(quán)限,同時(shí)在用戶退出該應(yīng)用時(shí)����,由信任服務(wù)中心更 新用戶的信任度�。同時(shí)��,用戶的信任度是動(dòng)態(tài)變化的�����,用戶的信任度可以根據(jù)其網(wǎng)絡(luò)行為、 業(yè)務(wù)行為�、身份認(rèn)證方式等因素實(shí)時(shí)更新�����。上述信任度-驗(yàn)^〖正的功能是有信任服務(wù)中心實(shí)現(xiàn)的����,信任服務(wù)中心的功能概 括起來包括兩個(gè)方面信任度計(jì)算和信任度使用��,信任度使用即根據(jù)信任度進(jìn) 行的認(rèn)證、簽名和i受權(quán)���。信任服務(wù)中心最少包括如下功能模塊信任度管理模塊���、信任度驗(yàn)證模 塊��、授權(quán)模塊和數(shù)字簽名模塊�。這些模塊的具體功能分別是信任度管理模塊通過對(duì)信任度的量化計(jì)算��,實(shí)現(xiàn)信任度量化的策略����。例如����,當(dāng)用戶在使用后臺(tái)某個(gè)安全級(jí)別要求高的業(yè)務(wù)時(shí)����,該應(yīng)用能夠根據(jù)信任 度量化計(jì)算模型檢測(cè)相關(guān)參數(shù)����,并且在該用戶離開此應(yīng)用時(shí),將相關(guān)參發(fā)送給 信任度管理模塊�,由信任度管理模塊根據(jù)量化算法����,計(jì)算出該用戶在這次業(yè)務(wù)使用過程中所產(chǎn)生的本次信任度集合v,,進(jìn)而算出經(jīng)過本次業(yè)務(wù)使用后���,該 用戶的結(jié)算信任度集合V����。用戶票據(jù)中的結(jié)算信任度V是用戶當(dāng)前可信程度的反映�����,在通過了身份 認(rèn)證的前提下���,結(jié)算信任度是用戶能夠登錄使用某個(gè)應(yīng)用的唯一依據(jù)�。信任度驗(yàn)證模塊當(dāng)用戶準(zhǔn)備訪問高安全級(jí)別的應(yīng)用時(shí),需要先通過信 任服務(wù)中心的信任度驗(yàn)證模塊進(jìn)行信任度驗(yàn)證,信任度驗(yàn)證模塊根據(jù)該用戶的 當(dāng)前結(jié)算信任度集合V中的各個(gè)信任度情況�,鑒別能不能訪問目標(biāo)應(yīng)用�����。授權(quán)模塊如果用戶通過了信任度驗(yàn)證模塊���,則授權(quán)模塊根據(jù)簽名后的 用戶的當(dāng)前結(jié)算信任度集合V中的各個(gè)信任度的大小情況���,授予該用戶在目 標(biāo)應(yīng)用中的相應(yīng)權(quán)限��。鑒于應(yīng)用中存在不同的信任類,而且用戶的信任度也是 包含多維的信任值�,所以在用戶通過了信任度驗(yàn)證后�����,依據(jù)用戶信任度中不同 的信任值���,針對(duì)用戶在這個(gè)具體應(yīng)用中進(jìn)行不同方式的授權(quán)�,授予不同的權(quán)限。簽名模塊用戶的信任度作為數(shù)值儲(chǔ)存在用戶的認(rèn)證票據(jù)中,在信任服 務(wù)中心����,信任度的變更只能由信任度管理模塊來操作����。授權(quán)模塊授予用戶相應(yīng) 的權(quán)限后����,用戶對(duì)相應(yīng)的業(yè)務(wù)進(jìn)行操作��。并由信任度管理模塊計(jì)算出本次使用 過程的信任度集合���,以及經(jīng)過本次業(yè)務(wù)使用后,該用戶的結(jié)算信任度集合���。為 了保障信任度的安全性和權(quán)威性�����,需要在用戶信任度每次變更之后由簽名模塊 對(duì)變更后的用戶認(rèn)證票據(jù)進(jìn)行數(shù)字簽名��。隨著通信水平的發(fā)展��,網(wǎng)絡(luò)融合是一個(gè)必然趨勢(shì)����,在網(wǎng)絡(luò)融合過程中���, 會(huì)涉及到一個(gè)網(wǎng)絡(luò)的終端用戶需要通過另外一個(gè)網(wǎng)絡(luò)進(jìn)行安全接入的問題�����?����;谶@種實(shí)際需求�����,將信任度應(yīng)用到異構(gòu)網(wǎng)絡(luò)環(huán)境下用戶的可信安全接 入中�,以用戶信任度為基礎(chǔ),實(shí)現(xiàn)終端用戶在異構(gòu)網(wǎng)絡(luò)中可信安全接入的目的���。為了實(shí)現(xiàn)異構(gòu)網(wǎng)絡(luò)的可信接入��,在屬主網(wǎng)接入系統(tǒng)的基礎(chǔ)上,增加了網(wǎng) 絡(luò)互信平臺(tái)����,用于終端用戶在異構(gòu)網(wǎng)絡(luò)環(huán)境下接入時(shí)的用戶認(rèn)證信息轉(zhuǎn)發(fā)和信 任度轉(zhuǎn)換����。如圖6所示�����,圖6為本發(fā)明的異構(gòu)網(wǎng)絡(luò)接入系統(tǒng)框圖����。圖6中包括終端 用戶�、網(wǎng)絡(luò)A和網(wǎng)絡(luò)B,網(wǎng)絡(luò)A為終端用戶的屬主網(wǎng)���。位于網(wǎng)絡(luò)A中的接入 系統(tǒng)和位于網(wǎng)絡(luò)B中的接入系統(tǒng)以及網(wǎng)絡(luò)互信平臺(tái)。位于網(wǎng)絡(luò)A中的接入系 統(tǒng)和位于網(wǎng)絡(luò)B中的接入系統(tǒng)與圖5中所示的接入系統(tǒng)相同����,在此不再贅述��。 網(wǎng)絡(luò)A的終端用戶漫游到網(wǎng)絡(luò)B,需要使用網(wǎng)絡(luò)B中的業(yè)務(wù)�����,流程如下 步驟ll���,網(wǎng)絡(luò)A的終端用戶漫游到網(wǎng)絡(luò)B覆蓋范圍,通過網(wǎng)絡(luò)B接入�; 步驟12,該終端用戶接受網(wǎng)絡(luò)B的認(rèn)證中心(Authentication Center, AUC ) 的認(rèn)證�����;步驟13,網(wǎng)絡(luò)B的AUC判斷出該用戶不是本網(wǎng)所屬用戶�,將用戶認(rèn)證 請(qǐng)求信息轉(zhuǎn)發(fā)至信任服務(wù)中心�;步驟14,網(wǎng)絡(luò)B的信任服務(wù)中心直接將該用戶認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至網(wǎng)絡(luò) 互4言平臺(tái);步驟15,網(wǎng)絡(luò)互信平臺(tái)判斷出該用戶的屬主網(wǎng)絡(luò)是網(wǎng)絡(luò)A,因此將該用 戶認(rèn)證請(qǐng)求信息發(fā)送至網(wǎng)絡(luò)A的信任服務(wù)中心�;步驟16�,網(wǎng)絡(luò)A的信任服務(wù)中心收到網(wǎng)絡(luò)互信平臺(tái)轉(zhuǎn)發(fā)過來的用戶認(rèn)證 請(qǐng)求信息����,并將該信息轉(zhuǎn)發(fā)至網(wǎng)絡(luò)A的AUC;步驟17, 網(wǎng)絡(luò)A的AUC對(duì)用戶身份進(jìn)行認(rèn)證,如果認(rèn)證失敗則返回失 敗結(jié)果�����;如果認(rèn)證成功�,AUC向信任服務(wù)中心申請(qǐng)用戶認(rèn)證票據(jù),票據(jù)中存 放有用戶的當(dāng)前信任度集合V,作為用戶的初始結(jié)算信任度���,用戶認(rèn)證請(qǐng)求信 息攜帶用戶認(rèn)證票據(jù)發(fā)送到網(wǎng)絡(luò)A的信任服務(wù)中心���;步驟18,網(wǎng)絡(luò)A的信任服務(wù)中心轉(zhuǎn)發(fā)用戶票據(jù)至網(wǎng)絡(luò)互信平臺(tái)����;步驟19,網(wǎng)絡(luò)互信平臺(tái)根據(jù)網(wǎng)絡(luò)A的信任服務(wù)中心及網(wǎng)絡(luò)B的信任服務(wù) 中心之間的信任兌換關(guān)系VB = f(VA)���,用VB替代用戶票據(jù)中Va的但����,并對(duì)這 個(gè)被修改過的票據(jù)進(jìn)行數(shù)字簽名后,發(fā)送給網(wǎng)絡(luò)B網(wǎng)絡(luò)的信任服務(wù)中心��;在該步驟中��,網(wǎng)絡(luò)互信平臺(tái)首先判斷出要將網(wǎng)絡(luò)A中的用戶認(rèn)證票據(jù)轉(zhuǎn) 換為網(wǎng)絡(luò)B中的用戶i人證票據(jù)���;然后�,根據(jù)網(wǎng)絡(luò)A的信任服務(wù)中心和網(wǎng)絡(luò)B的信任服務(wù)中心之間的信任 兌換關(guān)系,將網(wǎng)絡(luò)A的用戶認(rèn)證票據(jù)轉(zhuǎn)換成網(wǎng)絡(luò)B的用戶認(rèn)證票據(jù)����;對(duì)網(wǎng)絡(luò)B的用戶認(rèn)證票據(jù)簽名并發(fā)送給網(wǎng)絡(luò)B的信任服務(wù)中心�����。步驟20�,網(wǎng)絡(luò)B的信任服務(wù)中心根據(jù)用戶票據(jù)中的Vb植,按照預(yù)設(shè)的信 任度判斷用戶信任度驗(yàn)證是否成功��,如果成功則對(duì)儲(chǔ)存有VB值的用戶票據(jù)簽 名并授予用戶相應(yīng)權(quán)限�����。如圖7所示���,圖7為本發(fā)明的網(wǎng)絡(luò)互信平臺(tái)框圖���。網(wǎng)絡(luò)互信平臺(tái)最少包括 如下功能模塊信任服務(wù)中心管理模塊����、信任度轉(zhuǎn)換模塊和數(shù)字簽名模塊���。信任服務(wù)中心管理模塊����,用來對(duì)各個(gè)網(wǎng)絡(luò)中的信任服務(wù)中心進(jìn)行管理,包 括信任服務(wù)中心之間相互信任管理,例如�����,信任服務(wù)中心管理模塊判斷出網(wǎng)絡(luò) A中的信任度需要轉(zhuǎn)換成網(wǎng)絡(luò)B而不是其他網(wǎng)絡(luò)中的信任度���,網(wǎng)絡(luò)A的信任 服務(wù)中心與網(wǎng)絡(luò)B的信任服務(wù)中心的信任度之間的函數(shù)關(guān)系的管理,或者任 意兩個(gè)異構(gòu)網(wǎng)絡(luò)的信任服務(wù)中心的信任度之間的函數(shù)關(guān)系的管理等�,以及進(jìn)行 認(rèn)證請(qǐng)求信息的路由管理����;信任度轉(zhuǎn)換模塊����,包括用于進(jìn)行信任度的轉(zhuǎn)換���,比如VB-f(VA)關(guān)系的維護(hù)和實(shí)現(xiàn)�����;同時(shí)還能夠?qū)崿F(xiàn)用戶信任度的遷移功能�����,即�,對(duì)用戶票據(jù)中信任度 進(jìn)行修改����,比如通過用VB替代用戶票據(jù)中Va的但����,實(shí)現(xiàn)網(wǎng)絡(luò)A中的用戶能 夠通過網(wǎng)絡(luò)B中信任服務(wù)中心的信任驗(yàn)證����;簽名模塊����,用戶的信任度作為數(shù)值存放在用戶的認(rèn)證票據(jù)中,在異構(gòu)網(wǎng)絡(luò) 環(huán)境下,信任度的變更只能由信任服務(wù)中心和網(wǎng)絡(luò)互信平臺(tái)才能操作����。為了保障信任度的安全性和權(quán)威性�,這里的簽名包含兩層含義第一是對(duì)用戶票據(jù)進(jìn)行簽名��,即��,信任度轉(zhuǎn)換模塊在對(duì)用戶的信任度進(jìn)行 轉(zhuǎn)換并更改用戶票據(jù)后���,需要對(duì)變更后的用戶票據(jù)進(jìn)行數(shù)字簽名��;第二是對(duì)信任服務(wù)中心進(jìn)行簽名,即���,當(dāng)用戶從屬主網(wǎng)絡(luò)漫游到其他網(wǎng)絡(luò)時(shí)����,由于不同的網(wǎng)絡(luò)對(duì)安全性的要求不同,因此����,在將屬主網(wǎng)中的信任服務(wù)中 心與其他網(wǎng)絡(luò)中的信任服務(wù)中心的信任度之間的函數(shù)關(guān)系進(jìn)行對(duì)應(yīng)之前,需要 分別對(duì)屬主網(wǎng)的信任服務(wù)中心和其他網(wǎng)絡(luò)的信任服務(wù)中心進(jìn)行數(shù)字簽名����,然后 再改變兩個(gè)網(wǎng)絡(luò)之間的信任服務(wù)中心的信任度的函數(shù)對(duì)應(yīng)關(guān)系�。對(duì)于屬主網(wǎng)以 外的網(wǎng)絡(luò),也是這樣的��,即���,首先由網(wǎng)絡(luò)服務(wù)中心的簽名模塊對(duì)兩個(gè)異構(gòu)網(wǎng)絡(luò) 中的信任服務(wù)中心進(jìn)行數(shù)字簽名,然后才能改變兩個(gè)網(wǎng)絡(luò)的信任服務(wù)中心的信任度之間的函數(shù)關(guān)系��。另外�,由于網(wǎng)絡(luò)的安全性在不斷的發(fā)生變化�����,因此,當(dāng)任意兩個(gè)異構(gòu)網(wǎng)絡(luò)的信任服務(wù)中心的信任度之間的對(duì)應(yīng)關(guān)系隨著網(wǎng)絡(luò)的安全性發(fā)生變化時(shí)����,也要 對(duì)這兩個(gè)異構(gòu)網(wǎng)絡(luò)中的信任服務(wù)中心進(jìn)行簽名��,簽名之后才能變更信任服務(wù)中 心之間的對(duì)應(yīng)關(guān)系����。以上所述僅是本發(fā)明的優(yōu)選實(shí)施方式�,應(yīng)當(dāng)指出���,對(duì)于本技術(shù)領(lǐng)域的普通 技術(shù)人員來說���,在不脫離本發(fā)明原理的前提下�����,還可以作出若干改進(jìn)和潤(rùn)飾, 這些改進(jìn)和潤(rùn)飾也應(yīng)視為本發(fā)明的保護(hù)范圍����。
權(quán)利要求
1.一種接入方法����,其特征在于�,包括以下步驟步驟101,用戶接受身份認(rèn)證�;步驟102,通過身份認(rèn)證后,根據(jù)用戶歷史結(jié)算信任度集合中各個(gè)信任度對(duì)用戶進(jìn)行信任度認(rèn)證���,通過認(rèn)證則繼續(xù)執(zhí)行步驟103�,否則認(rèn)證失?���?��;步驟103���,根據(jù)用戶歷史結(jié)算信任度集合中各個(gè)信任度�����,授予用戶在目標(biāo)應(yīng)用中的相應(yīng)權(quán)限�。
2. 如權(quán)利要求1所述的接入方法��,其特征在于�����,所述步驟103之后還包括步驟104,計(jì)算出用戶在本次目標(biāo)應(yīng)用中產(chǎn)生的信任度集合���,并用本次信 任度集合與歷史結(jié)算信任度集合累加得到用戶當(dāng)前結(jié)算信任度集合; 步驟105,對(duì)當(dāng)前結(jié)算信任度集合進(jìn)行數(shù)字簽名���。
3. 如權(quán)利要求1所述的接入方法,其特征在于���,所述信任度集合為多維度�。
4. 如權(quán)利要求1所述的接入方法,其特征在于,所述信任度集合存儲(chǔ)在 用戶認(rèn)證票據(jù)中�。
5. —種接入異構(gòu)網(wǎng)絡(luò)的方法,其特征在于����,包括以下步驟步驟l,用戶接入當(dāng)前所在網(wǎng)絡(luò)并接受身份認(rèn)證�,身份認(rèn)證中心發(fā)出認(rèn)證 請(qǐng)求信息;步驟2,用戶當(dāng)前所在網(wǎng)絡(luò)通過網(wǎng)絡(luò)互信平臺(tái)將用戶認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至 用戶屬主網(wǎng)��;步驟3,網(wǎng)絡(luò)互信平臺(tái)將屬主網(wǎng)用戶信任度處理成用戶當(dāng)前所在網(wǎng)絡(luò)的信 任度并發(fā)送至用戶當(dāng)前所在網(wǎng)絡(luò)�����,所述用戶認(rèn)證請(qǐng)求信息從屬主網(wǎng)攜帶有屬主 網(wǎng)用戶信任度�;步驟4��,用戶當(dāng)前所在網(wǎng)絡(luò)對(duì)用戶當(dāng)前所在網(wǎng)絡(luò)的信任度進(jìn)行認(rèn)證���。
6. 如權(quán)利要求5所述的接入異構(gòu)網(wǎng)絡(luò)的方法����,其特征在于��,所述步驟1 具體包括步驟11�����,位于用戶當(dāng)前所在網(wǎng)絡(luò)的第一身份認(rèn)證中心將用戶認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至位于用戶當(dāng)前所在網(wǎng)絡(luò)的第一信任服務(wù)中心;步驟12,第一信任服務(wù)中心將用戶認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至網(wǎng)絡(luò)互信平臺(tái)��; 步驟13,網(wǎng)絡(luò)互信平臺(tái)將認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至位于屬主網(wǎng)絡(luò)的第二信任服務(wù)中心���;步驟14,第二信任服務(wù)中心將認(rèn)證請(qǐng)求信息轉(zhuǎn)發(fā)至位于屬主網(wǎng)的第二身 份認(rèn)證中心。
7. 如權(quán)利要求5或6所述的接入異構(gòu)網(wǎng)絡(luò)的方法�����,其特征在于����,所述信 任度儲(chǔ)存在于用戶認(rèn)證票據(jù)中�����。
8. 如權(quán)利要求5所述的接入異構(gòu)網(wǎng)絡(luò)的方法���,其特征在于,所述步驟2 具體包括步驟21,第二身份認(rèn)證中心對(duì)身份進(jìn)行認(rèn)證����,認(rèn)證失敗�,則返回失敗結(jié) 果����,認(rèn)證成功,則繼續(xù)執(zhí)行步驟22;步驟22���,第二身份認(rèn)證中心向第二信任服務(wù)中心返回用戶認(rèn)證請(qǐng)求信息 并申請(qǐng)用戶在屬主網(wǎng)內(nèi)的第二用戶認(rèn)證票據(jù)�;步驟23 �����,用戶認(rèn)證請(qǐng)求信息攜帶第二用戶認(rèn)證票據(jù)發(fā)送給網(wǎng)絡(luò)互信平臺(tái)���;步驟24,網(wǎng)絡(luò)互信平臺(tái)對(duì)第二用戶認(rèn)證票據(jù)進(jìn)行處理后發(fā)送給第一信任 服務(wù)中心��。
9. 如權(quán)利要求8所述的接入異構(gòu)網(wǎng)絡(luò)的方法����,其特征在于�,所述步驟24 具體包括步驟241,網(wǎng)絡(luò)互信平臺(tái)判斷出要將第二用戶認(rèn)證票據(jù)轉(zhuǎn)換為用戶在當(dāng)前 網(wǎng)絡(luò)內(nèi)的第 一用戶認(rèn)證票據(jù)�;步驟242,根據(jù)第一信任服務(wù)中心和第二信任服務(wù)中心之間的信任兌換關(guān) 系���,將第二用戶認(rèn)證票據(jù)轉(zhuǎn)換成第一用戶認(rèn)證票據(jù)�����;步驟243,對(duì)第一用戶認(rèn)證票據(jù)簽名并發(fā)送給第一信任服務(wù)中心���。
10. 如權(quán)利要求5所述的接入異構(gòu)網(wǎng)絡(luò)的方法�,其特征在于����,所述步驟3 具體包括步驟31����,第一信任服務(wù)中心對(duì)第一用戶認(rèn)證票據(jù)進(jìn)行認(rèn)證���,通過認(rèn)證繼 續(xù)執(zhí)行步驟32,否則認(rèn)證失敗�;步驟32,對(duì)通過認(rèn)證的用戶認(rèn)證票據(jù)進(jìn)行簽名��;步驟33,對(duì)簽名后的用戶授予相應(yīng)權(quán)限��。
11. 一種接入系統(tǒng)�����,包括 網(wǎng)絡(luò)接入層���,用于將用戶接入網(wǎng)絡(luò)��;用戶身份認(rèn)證中心��,用于對(duì)接入網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證; 后臺(tái)業(yè)務(wù)應(yīng)用模塊�����,用于向授權(quán)用戶提供相應(yīng)權(quán)限的業(yè)務(wù); 其特征在于��,還包括信任服務(wù)中心,用于計(jì)算通過身份認(rèn)證的用戶的結(jié)算信任度集合���,并根據(jù)用戶當(dāng)前所在網(wǎng)絡(luò)的結(jié)算信任度集合授予用戶相應(yīng)的訪問權(quán)限���。
12. —種信任服務(wù)中心��,其特征在于,包括信任度驗(yàn)證模塊�,用于根據(jù)歷史結(jié)算信任度集合驗(yàn)證用戶的信任度;授權(quán)模塊����,用于根據(jù)歷史結(jié)算信任度集合中的各信任度對(duì)通過信任度驗(yàn)證 的用戶授予目標(biāo)應(yīng)用的相應(yīng)權(quán)限;信任度管理模塊,用于計(jì)算用戶在本次目標(biāo)應(yīng)用中產(chǎn)生的信任度集合���,并 用本次信任度集合與歷史結(jié)算信任度集合累加得到用戶當(dāng)前結(jié)算信任度集合���;簽名模塊����,用于對(duì)當(dāng)前信任度進(jìn)行數(shù)字簽名��。
13. 如權(quán)利要求12所述的信任服務(wù)中心,其特征在于�����,所述用戶認(rèn)證票 據(jù)為用戶結(jié)算信任度的集合�。
14. 一種異構(gòu)網(wǎng)絡(luò),至少包括第一子系統(tǒng)和第二子系統(tǒng)�,所述第二子系統(tǒng)為用戶屬主網(wǎng)子系統(tǒng)����,所述第一子系統(tǒng)為非用戶屬主網(wǎng)子系統(tǒng)���,所述第一子系 統(tǒng)和第二子系統(tǒng)均包括網(wǎng)絡(luò)接入層�,用于將用戶接入網(wǎng)絡(luò)�;用戶身份認(rèn)證中心��,用于對(duì)接入網(wǎng)絡(luò)的用戶進(jìn)行身份認(rèn)證����;后臺(tái)業(yè)務(wù)應(yīng)用模塊���,用于向授權(quán)用戶提供相應(yīng)權(quán)限的業(yè)務(wù);其特征在于�,所述第一子系統(tǒng)和第二子系統(tǒng)還包括信任服務(wù)中心�����,用于計(jì)算通過身份認(rèn)證的用戶的結(jié)算信任度集合���,并根據(jù) 用戶當(dāng)前所在網(wǎng)絡(luò)的結(jié)算信任度集合授予用戶相應(yīng)的訪問權(quán)限,所述接入系統(tǒng)還包括網(wǎng)絡(luò)互信平臺(tái)����,用于向用戶屬主網(wǎng)絡(luò)路由認(rèn)證請(qǐng)求 信息�����,并將認(rèn)證請(qǐng)求信息從屬主網(wǎng)絡(luò)攜帶的用戶屬主網(wǎng)絡(luò)信任度轉(zhuǎn)換成用戶當(dāng) 前所在網(wǎng)絡(luò)的信任度�;
15. 如權(quán)利要求14所述的異構(gòu)網(wǎng)絡(luò)���,其特征在于�����,所述異構(gòu)網(wǎng)絡(luò)的信任 服務(wù)中心的信任度之間的對(duì)應(yīng)關(guān)系發(fā)生變化時(shí)���,網(wǎng)絡(luò)互信平臺(tái)對(duì)信任服務(wù)中心 均進(jìn)行簽名之后�,該變化才能生效。
16. —種網(wǎng)絡(luò)互信平臺(tái)�,其特征在于�����,包括信任服務(wù)中心管理模塊�����,用于對(duì)各個(gè)網(wǎng)絡(luò)中的信任服務(wù)中心進(jìn)行相互信任 管理和對(duì)認(rèn)證請(qǐng)求信息進(jìn)行路由管理����;信任度轉(zhuǎn)換模塊�,用于根據(jù)信任服務(wù)中心提供的用戶信任度實(shí)現(xiàn)用戶在各 個(gè)網(wǎng)絡(luò)間的信任度轉(zhuǎn)換�����;簽名模塊��,用于對(duì)信任服務(wù)中心以及對(duì)信任度轉(zhuǎn)換后的用戶票據(jù)進(jìn)行數(shù)字 簽名�。
全文摘要
本發(fā)明提供了一種接入方法,包括以下步驟步驟101�,用戶接受身份認(rèn)證�����;步驟102���,通過身份認(rèn)證后�,根據(jù)用戶歷史結(jié)算信任度集合中各個(gè)信任度對(duì)用戶進(jìn)行信任度認(rèn)證,通過認(rèn)證則繼續(xù)執(zhí)行步驟103����,否則認(rèn)證失?�?;步驟103��,根據(jù)用戶歷史結(jié)算信任度集合中各個(gè)信任度�,授予用戶在目標(biāo)應(yīng)用中的相應(yīng)權(quán)限。本發(fā)明具有以下有益效果利用本發(fā)明的信任服務(wù)中心和網(wǎng)絡(luò)互信平臺(tái)��,通過身份認(rèn)證接入無線網(wǎng)絡(luò)的用戶可以獲得上次在該網(wǎng)中的結(jié)算信任值�,并且該用戶的信任值將隨著用戶的不同操作而動(dòng)態(tài)變化,使得無線資源分配與用戶的優(yōu)先級(jí)相結(jié)合��,從而可以根據(jù)用戶的信任度來對(duì)不同安全級(jí)別的用戶業(yè)務(wù)進(jìn)行授權(quán)。
文檔編號(hào)H04L29/06GK101232424SQ20081010133
公開日2008年7月30日 申請(qǐng)日期2008年3月4日 優(yōu)先權(quán)日2008年3月4日
發(fā)明者吳興耀, 軍 崔, 琳 張, 張振濤, 李忠獻(xiàn), 杜雪濤 申請(qǐng)人:中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司;天津市國(guó)瑞數(shù)碼安全系統(tǒng)有限公司