專利名稱:由網絡運營商提供的身份管理服務的制作方法
技術領域:
本發(fā)明概括地涉及通信網絡�,并且更具體地涉及由網絡運營商提供身份服務的通信網絡。
背景技術:
這個部分介紹可能有助于更好地理解本發(fā)明的方面���。因此��,閱讀到的該部分的語句就此而論且不應被理解為承認什么是現(xiàn)有技術或者什么不是現(xiàn)有技術���。根據國際電信聯(lián)盟-電信標準部門(ITU-T),通過示例的方式���,下一代網絡(NGN) 是基于分組的網絡�,該網絡能夠提供包括電信服務的服務且能夠使用多個帶寬、允許服務質量OioS)的傳輸技術����,以及其中與服務相關的功能獨立于基本的與傳輸相關的技術。其可以為用戶提供對不同服務提供商的自由訪問�����。其可以支持廣泛的移動性�����,其中該移動性可以允許為用戶提供一致和普遍存在規(guī)定的服務��。此外�,ITU-T已經開發(fā)出用于這些基于國際互聯(lián)網協(xié)議(IP)的下一代網絡(NGN) 的身份管理(IdM)標準。標題為“NGN身份管理框架”的ITU-T建議Y. 2720是這樣的標準��, 并說明了 IdM框架�����。
發(fā)明內容
本發(fā)明的實施方式提供用于能夠使通信網絡的運營商提供一個或多個諸如認證服務的身份服務的技術��。在第一方面�����,假設在通信網絡中����,第一計算設備是客戶端設備,第二計算設備是應用服務器�����,以及第三計算設備是通信網絡運營商控制下的服務器�,方法包括以下步驟。響應于第一計算設備將資源請求發(fā)布給第二計算設備���,第一計算設備將用于第二計算設備認證第一計算設備的第一標識符提供給第二計算設備����,并且響應于第二計算設備不能認證第一計算設備���,當在由第一計算設備發(fā)送的第一標識符和由作為用戶的第一計算設備訪問通信網絡所使用的第二標識符之間存在相關性時�,第三計算設備參與第一計算設備到第二計算設備的認證��,其中當由第三方計算設備參與的認證成功時,第二計算設備能夠對由第一計算設備發(fā)送的資源請求進行答復�。在一個或多個解釋性的實施方式中,該方法可以進一步包括下列步驟��。第二計算設備促使第一計算設備將認證請求發(fā)送給第三計算設備�,其中第三計算設備從第一計算設備接收認證請求。第三計算設備檢查由第一計算設備發(fā)送的第一標識符和由作為用戶的第一計算設備訪問通信網絡所使用的第二標識符之間的相關性�����。
當存在相關性時���,第三計算設備將認證挑戰(zhàn)(challenge)發(fā)送給第一計算設備��。響應于第一計算設備根據認證挑戰(zhàn)將認證響應發(fā)送給第三計算設備���,第三計算設備嘗試對認證響應進行驗證。當?shù)谌嬎阍O備驗證了認證響應時���,第三計算設備將認證結果發(fā)送給第一計算設備��,使用第三計算設備和第二計算設備之間商定的密鑰對認證結果進行加密簽名���,使得第一計算設備然后可以將簽名的認證結果發(fā)送給第二計算設備�,并且當簽名的認證結果通過驗證時����,第二計算設備能夠對由第一計算設備發(fā)送的資源請求進行響應��。此外�����,在一個或多個解釋性的實施方式中�����,第一計算設備的第一標識符可以包括基于開源的標識符����,例如OpenID標識符。第一計算設備可以執(zhí)行網絡客戶端����,第二計算設備可以是信賴方,并且第三計算設備可以是身份提供方�����。第一計算設備可以支持實現(xiàn)認證和密鑰協(xié)商(AKA)算法的用戶識別模塊(SIM)應用。第二標識符可以由網絡運營商提供��, 并且第二標識符包括國際移動用戶識別(IMSI)標識符或國際互聯(lián)網協(xié)議多媒體個人用戶身份(IMPI)標識符����。此外,在一個或多個解釋性的實施方式中���,第三計算設備可以從第四計算設備接收與第一計算設備的用戶相關聯(lián)的信息����,從而第三計算設備根據信息與第一計算設備進行挑戰(zhàn)-響應交互����。挑戰(zhàn)-響應交互可以根據認識AKA的挑戰(zhàn)-響應協(xié)議(例如,RFC3310或 RFC4169)���。第四計算設備可以是歸屬位置寄存器(HLR)或歸屬用戶服務器(HSS)��。從HLR 或HSS接收的信息可以包括認證向量�。認證向量可以根據AKA算法產生�����。此外,在一個或多個解釋性實施方式中�����,第三計算設備可以監(jiān)控認證請求的頻率以確定拒絕服務(D0Q條件的存在���,并且當確定條件存在時,可促使采取一個或多個動作以減少DOS條件����。有利地,本發(fā)明的解釋性實施方式在網絡運營商的通信網絡中提供類似網關的實體(例如��,身份提供方)�����,其中網絡運營商將開源標識符標準與一個或多個網絡安全協(xié)議相互配合或結合��,從而運營商能夠提供身份提供功能的實現(xiàn)�����。從附圖和下列詳細說明中,本發(fā)明的這些和其它特點和優(yōu)勢會變得更明顯�����。
圖1是根據本發(fā)明的一個實施方式的可以由網絡運營商提供身份服務的通信網絡的示意圖�;圖2是根據本發(fā)明的一個實施方式的用于包括開源識別標準的應用方案的工作流的示意圖;圖3是根據本發(fā)明的一個實施方式的用于認證方法專用交換的工作流的示意圖���;圖4是根據本發(fā)明的一個實施方式的適于實現(xiàn)身份服務的通信網絡硬件架構的示意圖���。
具體實施例方式可以認識到,身份管理(IdM)概念能夠激活諸如電信運營商或網絡運營商(注意這里可相互交換使用這兩個短語)的通信網絡運營商的新服務��。這些運營商的示例可以包括但不局限于AT&T�����、Verizon, NTT��、中國移動��、法國電信/Orange��。實際上���,由于認識到電信運營商“擁有”網絡接入����,因此相比于與他們連接的用戶,他們“擁有”更多的信息���。在這一點上��,所有權可以包括(1)適當和有效地對用戶進行認證(以及當需要時���,授權)的能力���; (2)用戶數(shù)據的實際所有權��;和(3)與用戶建立信任���。因此,如在這里所使用的�����,將“網絡運營商”(或“電信運營商”)定義為擁有并運營電信網絡且由此給用戶提供服務的公司���,例如����,NGN運營商是擁有并運營NGN網絡的網絡運營商。因此�����,網絡運營商的兩個定義的特征可以是(1)擁有網絡���;和(2)給用戶提供收費的服務���。第三個特征可以是網絡運營商典型地受到管制,這可以使得他們在法律上對確保通信隱私性等負責���。根據這些特點����,可以認識到電信運營商處于將基于身份服務的領域(從家庭網絡到用于企業(yè)的直接認證服務)提供給復雜混合服務的獨特位置����,其中復雜混合服務包括金融和醫(yī)療處理(僅作為示例)。相反��,還可以認識到通過聯(lián)合來自多個應用提供商的數(shù)據, 與單一注冊相耦合���,電信運營商可以為他們的用戶提供獨特的混合服務����。還可以認識到��,在上述引用的標題為“NGN身份管理框架”的其公開內容以引用方式引入本文的ITU-T建議Y. 2720提供的框架中��,各種Web2. 0技術可以與諸如通用移動電信系統(tǒng)(UMTS)或IP多媒體子系統(tǒng)(IMS)等的NGN技術協(xié)同工作���?��?梢哉J識到由ITU-T建議Y. 2720概括的這種身份管理框架可能考慮到(i)最終用戶越來越多地使用多個身份�; ( )這些身份與不同的環(huán)境和服務優(yōu)惠相關聯(lián);(iii)身份僅可以部分識別最終用戶�����;和 (iv)身份可以在任何地點��、任何時間使用��。在一個實施方式中,可以認識到被稱為OpenID的開放組織(開源)的身份標準可以用作在這種Web2. 0技術和NGN技術之間的相互協(xié)作功能�����。OpenID是開放的�����、分散的����、自由的框架,用于以用戶為中心的數(shù)字身份�,見網站 www. openid. net。也就是�����,OpenID允許用戶利用相同的數(shù)字身份登錄多種服務�����。從而��,其取代了使用登錄名和口令的傳統(tǒng)登錄過程�����。OpenID優(yōu)于已經存在的國際互聯(lián)網技術(例如, 統(tǒng)一資源標識符-URI���、超文本傳輸協(xié)議-HTTP��、安全套接層協(xié)議-SSL��、Diffie-Hellman協(xié)議)并實現(xiàn)了個人在各種網站上為他們自己創(chuàng)建身份��。OpenID允許從現(xiàn)有URI中的一個轉移到可在支持OpenID登錄的站點上使用的賬戶中���。OpenID由OpenID基金會(圣拉蒙San Ramon,加利福尼亞州)管理��。標準在OpenID認證2. 0和OpenID提供商認證策略擴展1. 0 中進行詳細描述���,以引用方式將其全部內容引入本文。盡管本特定實施方式利用OpenID標準和規(guī)范的特征��,但是可以理解的是OpenID 是開源識別標準的一個實例�,并可以使用基于開源的標識符。因此����,可以認為提供與OpenID 具有相似工具和特征的其他合適的識別標準也在本發(fā)明實施方式的范圍內��。因此�,本發(fā)明的示例性原理提供包括下列內容的各種特征和優(yōu)勢��,但不局限于此1.最終用戶發(fā)布他或她自己的與3GPP(第三代合作伙伴計劃)用戶標識符綁定的 OpenID標識符���,例如由NGN運營商(例如�����,但僅為示例�,AT&T或Verizon)發(fā)布的國際移動用戶識別(IMSI)或IP多媒體個人用戶標識符(IMPI)���;2.當OpenID由Web2. 0提供商(例如Yahoo �����!或VeriSign)支持并且信賴與NGN 運營商相關聯(lián)的傳統(tǒng)信任等級時��,最終用戶以與他或她現(xiàn)在享受服務的相同方式�����,從由NGN 運營商支持的與OpenID相關聯(lián)的服務獲得好處�;3. NGN運營商利用所述的信任等級為新Web2. 0服務(例如,僅作為示例�����,支付�����、社交網絡�����、衛(wèi)生保健服務)提供的變化仿佛是無限的�����,并從廣告���、支付比例等產生合適的收入���;4. NGN運營商確保所述服務(例如���,僅通過實例的方式�,保密性、隱私�、和不可抵賴)的安全方面由經過證實的UMTS或IMS安全機制支持,其中重復使用安全機制不需要任何修改�����;5.確保模塊化和向后兼容性�,無論是最終用戶還是現(xiàn)有的NGN運營商的軟件都不需要修改。同時��,新的獨立實體(作為實施例��,在一個實施方式中��,實體可以是軟件對象或模塊��;在另一實施方式中�����,實體是硬件元件�;在又一個實施方式中,實體是軟件和硬件的結合)持有新的軟件,與現(xiàn)有軟件和設備有效地進行相互協(xié)作����;6.通過僅使用在NGN中提供的最小功能能力集合確保實現(xiàn)的簡化;和7.減輕針對NGN的拒絕服務(DOS)攻擊��。圖1描述了根據本發(fā)明的一個實施方式的通信網絡100���,其中在通信網絡100中由網絡運營商提供身份服務���。如圖所示,用戶設備110運行網絡瀏覽器(例如�����,僅僅是示例���,微軟國際互聯(lián)網探索者Explorer或者火狐Firefox)����、或一些其它應用專用客戶端軟件(例如即時消息客戶端或基于語音的IP客戶端)����,最終用戶通過這些軟件訪問應用(例如��,僅僅作為示例的支付�����、 社交網絡、或衛(wèi)生保健服務)���。作為實例��,用戶設備可以是移動電話����、便攜式計算機��、無線電子郵件設備��、個人數(shù)字助理(PDA)或一些用戶通信設備����。在一個實施方式中,假設UE應用客戶端110支持認知認證和密鑰協(xié)商(AKA)算法的應用協(xié)議��,例如RFC 3310 “使用認證和密鑰協(xié)商(AKA)的超文本傳輸協(xié)議(HTTP)數(shù)字認證”�,2002年9月�����,以引用方式將其全部內容引入本文�;或者RFC 4169 “使用認證和密鑰協(xié)商(AKA)第二版的超文本傳輸協(xié)議(HTTP)數(shù)字認證”�,2005年11月,以引用方式將其全部內容引入本文���。此外�����,在該解釋性的實施方式中���,假設UE支持實現(xiàn)AKA算法的用戶識別模塊(SIM)應用。SIM應用的細節(jié)可以在3GPP技術規(guī)范TS 31. 102和TS 31. 103中找到�����, 以引用方式將其全部內容引入本文�。AKA的細節(jié)可以在3GPP技術規(guī)范TS 33. 102中找到, 以引用方式將其全部內容引入本文�。盡管該特定實施方式利用3GPP認證協(xié)議的特征,但是可以理解的是�,這種協(xié)議是可使用的安全協(xié)議的一個實施例�����。因此�����,在本發(fā)明實施方式的范圍內可以考慮提供與3GPP 認證協(xié)議相似設備和特征的其他合適的安全協(xié)議。還如圖1所示��,假設作為一個或多個網絡服務器(應用服務器)上應用的信賴方 (relying party) 120提供特定的應用或服務(例如僅作為示例的支付�����、社交網絡、或衛(wèi)生保健服務)并支持OpenID (例如���,在該特定的實施方式中)。還示出了身份提供方(IdP) 130�����,其作為運營商網絡在其邊界中的有效網關實體���。 這種網絡的一個實例是由諸如AT&T或Verizon的網絡運營商所管理的IMS網絡�。也就是�, 身份提供方實體由網絡運營商控制和操作����。還應當注意的是���,身份提供方實體的實現(xiàn)實際上可以包括具有這種功能的指定數(shù)量的服務器(131-1至131-n)����,它們的載荷在前端服務器132的監(jiān)督下保持平衡���。前端服務器132的功能同樣是通過保持至少一個服務器按“良好”的請求(例如�,合法請求或者不是屬于DOS攻擊部分的請求)進行處理����,在拒絕服務 (DOS)條件下確保系統(tǒng)功能(盡管性能下降)�。
在一個實施方式中��,假設身份提供方130在用戶側支持認知OpenID和AKA的 HTTP,和在運營商側用于從歸屬用戶服務器(HSS) 140等獲得特定認證向量的基于直徑 (Diameter)的協(xié)議(例如���,其細節(jié)在3GPP技術規(guī)范TS 29. 229中描述�����,以引用方式將其全部內容引入本文)�。由HSS等根據AKA算法產生認證向量(例如,TS 33.102)��。歸屬位置寄存器(HLR)或歸屬用戶服務器(HSS) 140等存儲最終用戶簡檔(其包括3GPP用戶標識符和相關的共享秘密),并可以根據請求產生AKA認證向量�。在一個實施方式中���,根據本發(fā)明的解釋性原理執(zhí)行相互協(xié)作功能的軟件模塊或軟件對象僅駐留在身份提供方實體,并且從而將認證過程僅隔離在一個點上�?���?梢岳斫獾氖?�, 在一個實施方式中�,身份提供方是軟件模塊(例如在諸如僅作為示例的Linux或Unix的任何操作系統(tǒng)的監(jiān)督下運行的過程)�����,其在運營商網絡中可以與在一個(集中式)服務器或幾個(分布式)服務器(例如,131-1至131-n�����,132���,或其它沒有顯示的服務器)上執(zhí)行的任何其它NGN運營商軟件處于同一位置。還可以理解的是�����,由該軟件模塊執(zhí)行的協(xié)議支持過載控制和負載平衡�。圖2描述了根據本發(fā)明一個實施方式的包括OpenID的應用方案的工作流程200。 注意��,第一請求(步驟1)��、最后的響應(步驟12)�、和認證方法專用交換(步驟8)不是 OpenID標準的部分��;而在該實施方式中的其它步驟可以根據上述OpenID標準進行操作 (雖然在一些情況下可修改�,下面具體進行描述)?�?梢岳斫獾氖?,在圖2中(和下面描述的圖3中)示出的實體之間發(fā)送的消息是根據由實體執(zhí)行的一個或多個通信協(xié)議發(fā)送和接收的信號。還可以理解的是,在仍提供屬于本發(fā)明原理的一個或多個優(yōu)點時���,可重新安排或修改消息傳輸順序(以及一些要增加和 /或一些要刪除的附加消息)����。在步驟1中����,網絡客戶端110(也就是,在用戶設備處執(zhí)行的應用客戶端)將資源請求發(fā)送給信賴方120(也就是�����,執(zhí)行最終用戶希望訪問的應用或服務的網絡服務器����,應用或服務例如支付、社交網絡���、或衛(wèi)生保健服務)�。在步驟2中�����,信賴方120將OpenID登錄頁發(fā)送給網絡客戶端110。在步驟3中���,網絡客戶端110將其OpenID信息(也就是�,OpenID標識符)發(fā)送給信賴方120��?���?梢岳斫獾氖牵琌penID標識符可包括由網絡客戶端110的用戶輸入的信息�、存儲在用戶設備上的信息,或者上述兩種信息����。在步驟4中,根據OpenID標準執(zhí)行標準化的發(fā)現(xiàn)過程��。概括地說�,如果在標準格式中存在任何不當,標準化的發(fā)現(xiàn)過程可以有效地糾正由網絡客戶端提供的標識符�。在步驟5中����,在信賴方120和身份提供方130之間執(zhí)行Differ-HeIlman交換。這是OpenID標準的一部分,并用于建立對從身份提供方130發(fā)送給網絡客戶端110的認證響應進行簽名的密鑰���。根據本發(fā)明的原理�����,身份提供方可以優(yōu)選地包括一個或多個由網絡運營商操作的網絡服務器���。在步驟6中,信賴方120將重新定向響應發(fā)送給網絡客戶端110�。響應將OpenID 認證請求攜帶給身份提供方130。在步驟7中���,網絡客戶端110將認證請求轉發(fā)給身份提供方130��。在步驟8中���,在網絡客戶端110和身份提供方130之間執(zhí)行認證方法專用交換?����?梢岳斫獾氖?�,示出了該認證方法專用交換的一個實施方式,并在圖3的上下文中進行說明���。
在步驟9中�����,身份提供方130發(fā)送具有簽名認證響應的重新定向響應�。在步驟10中�����,網絡客戶端110將簽名的認證響應轉發(fā)給信賴方120�。在步驟11中,由信賴方120執(zhí)行簽名驗證過程����。在步驟12中,信賴方120將資源響應發(fā)送給網絡客戶端110(也就是����,對步驟1中由網絡客戶端發(fā)送的原始資源請求的響應)。圖3描述了用于認證方法專用交換(例如�,圖2中的步驟8)的工作流程300。具體地���,圖3是通用的基于AKA的工作流程�����,其寬泛地限定通過HTTP�����、會話初始化協(xié)議-SIP����、 或多種使用HTTP摘要(S卩�,RFC2617,以引用方式將其全部內容引入本文)或基于哈希的消息認證代碼-HMAC(即����,RFC2104,以引用方式將其全部內容引入本文)構成的其它應用協(xié)議支持網絡服務的通用協(xié)議族�����。在步驟1中����,由于自己不能對用戶(網絡客戶端110)進行認證�����,信賴方120促使用戶從身份提供方130獲得認證���。這可以通過使用諸如HTTP重新定向的方法實現(xiàn),也可以通過使用本地的應用方法實現(xiàn)�。無論在哪種情況下,該方法攜帶在摘要RequestAuthn請求中���。在步驟2中�����,RequestAuthn請求促使UE處的客戶端在接收到時將這樣的請求(可能附有附加的自我識別信息元素)導向身份提供方130�����。身份提供方130檢查消息中的信息并試圖將所要求的用戶標識符和IMPI或 IMSI (也就是�����,3GPP用戶標識符)相關聯(lián)����。如果存在這樣的關聯(lián),在步驟3中�����,身份提供方 130從HSS 140(或類似物)中獲得認證向量���,其中認證向量包括對UE客戶端進行認證所需要的挑戰(zhàn)和針對該挑戰(zhàn)所預先計算的答案。如果沒有可能的相關����,過程終止,其可以通過發(fā)送拒絕消息或簡單忽略初始化請求(可能具有安全優(yōu)勢的步驟)來實現(xiàn)���。身份提供方130還檢查請求的頻率(特別是具有錯誤數(shù)據的必須登錄的請求)以發(fā)現(xiàn)DOS攻擊的主題�。當這樣的頻率超過設置的門限時�����, 在采取積極的手段在網關處阻礙到網絡的可疑業(yè)務��,還采用諸如卸載��、改變IP地址的手段來減小DOS攻擊���。還應當注意的是���,身份提供方130實體的實現(xiàn)可以實際上包括多個具有這些功能的服務器����,其載荷在前端服務器的監(jiān)督下平均分配����。前端服務器的功能還能在DOS 攻擊下通過保持至少一個服務器根據“良好”的請求進行處理(如上所述)以確保系統(tǒng)功能(盡管性能下降)。在步驟4中�����,如果一切正常(例如���,假設從HSS成功接收合適的認證信息)���,身份提供方130將認證方法和認證向量(包括挑戰(zhàn)和網絡認證方,即由身份提供方為認證目的而提供的值)提供給UE處的網絡客戶端110�����。UE處的網絡客戶端110對身份提供方130進行認證,計算答案和必要的加密會話密鑰(也就是����,加密密鑰和完整性保護密鑰),并且計算可能包括在對身份提供方130的響應中以認證自己的量���。該量可以是3GPP用戶識別(IMPI或IMSI)��、答案和會話密鑰的組合���、 以及諸如RFC 3310或RFC 4169中說明的其它元素�����?���;蛘撸摿靠梢允擎I入的消息認證碼�, 其中消息認證碼是通過與摘要計算中相同的元素計算的。在該情況下���,簽名密鑰是會話密鑰的級聯(lián)���,并且算法是HMAC-SHA256(RFC2104�����,F(xiàn)IPS180-2�,以引用方式將其全部內容引入本文)��。在步驟5��,網絡客戶端110向身份提供方130提供響應���。在這一點上��,身份提供方130驗證該響應與認證向量一致�。如果不一致�,執(zhí)行步驟3的動作,包括檢測DOS��。否則�����,在步驟6中���,身份提供方130準備最終的認證結果�,根據 OpenID標準為信賴方120對最終的認證結果進行簽名,并將具有重新定向至信賴方的簽名結果返回給UE處的網絡客戶端�。在步驟7中,網絡客戶端110重新將認證者發(fā)送給信賴方120����,其中在簽名通過驗證時,承認該客戶端以使用合適的服務�����?���?梢岳斫獾氖?���,網絡客戶端和身份提供方之間的所有或部分認證過程可以對使用設備的用戶是透明的。然而�����,這不是必要的���,也就是�,用戶可以意識到在網絡客戶端和身份提供方之間的交換。最后����,圖4描述了根據本發(fā)明上述原理的適于實現(xiàn)身份服務(包括認證過程)的通信網絡400的通用硬件架構。如圖所示�����,用戶設備410(例如�,對應于網絡客戶端110)、網絡服務器420(例如�����, 對應于信賴方120)�����、和網絡服務器430(例如��,對應于身份提供方430)通過通信網絡媒介 450可操作地耦合���。網絡媒介可以是任何網絡媒介��,其中用戶設備和網絡服務器希望通過該媒介進行通信�����。例如��,網絡媒介可以端到端地承載IP分組���,并可以包括接入網絡中的UMTS 或WiFi或DSL(數(shù)字用戶線路)�、地鐵網絡中的以太網�、和骨干網中的MPLS(多協(xié)議標簽交換)。然而�����,本發(fā)明并不局限于特定類型的網絡媒介���。典型地,用戶設備410可以是客戶端機器����,并且網絡服務器420和430可以是服務器。盡管在這里沒有明確示出���,但是可以理解的是�����,與身份提供方420可操作地耦合的是HSS服務器140 (其可以具有與下面所述的相同的處理器/存儲器配置)�。本領域技術人員可以容易了解的是,服務器和客戶端可以實現(xiàn)為在計算機程序代碼的控制下進行操作的程序化計算機��。計算機程序代碼將存儲在計算機(或處理器或機器)可讀存儲介質(例如存儲器)中�����,代碼可由計算機的處理器執(zhí)行。對于本發(fā)明的公開內容,本領域技術人員可容易生成合適的計算機程序代碼以實現(xiàn)這里描述的協(xié)議�����。然而����,圖4概括地示出了每個設備通過網絡媒介進行通信的示例性架構���。如圖所示����,用戶設備410包括I/O設備412、處理器414和存儲器416����。信賴方網絡服務器420包括I/O設備422、處理器似4和存儲器426�����。身份提供方網絡服務器420包括I/O設備432����、 處理器4;34和存儲器436�����。應當了解的是����,這里使用的術語“處理器”意在包括一個或多個處理設備,包括中央處理單元(CPU)或其它處理電路�,包括但不局限于一個或多個信號處理器、一個或多個集成電路等�。同樣�����,這里使用的術語“存儲器”意在包括與處理器或CPU相關聯(lián)的存儲器,例如RAM���、ROM�����、固定存儲設備(例如���,硬盤驅動器)、或可移動存儲設備(例如����,磁盤或CDR0M)。 此外��,這里使用的術語“I/O設備”意在包括用于將數(shù)據輸入處理單元的一個或多個輸入設備(例如��,鍵盤��、鼠標)�����,以及用于提供與處理單元相關聯(lián)的結果的一個或多個輸出設備(例如,CRT顯示器)��。因此��,這里描述的用于執(zhí)行本發(fā)明方法的軟件指令或代碼可以存儲在一個或多個諸如ROM����、固定或可移動存儲器的相關存儲設備中,并且在準備使用時��,由CPU裝入RAM中并進行執(zhí)行�。也就是,圖4中所示的每個計算設備010���、420和430)可分別進行編程以執(zhí)行圖2和圖3所示的它們各自的協(xié)議步驟�。盡管此處通過參考附圖描述了本發(fā)明示意性的實施方式�,但可以理解的是本發(fā)明不局限于這些具體的實施方式,并且本領域技術人員在不偏離本發(fā)明范圍或精神的條件下可以進行各種變化和修改��。
權利要求
1.一種方法����,包括在通信網絡中第一計算設備是客戶端設備,第二計算設備是應用服務器,以及第三計算設備是通信網絡運營商控制下的服務器��,響應于第一計算設備將資源請求發(fā)布給第二計算設備以及第一計算設備向第二計算設備提供第一標志符以用于第一計算設備到第二計算設備的認證�,并且響應于第二計算設備不能認證第一計算設備����;當在由第一計算設備發(fā)送的第一標識符和由作為用戶的第一計算設備用于訪問通信網絡的第二標識符之間存在相關性時,第三計算設備幫助第一計算設備到第二計算設備的認證�����,其中當由第三方計算設備幫助的認證成功時�����,第二計算設備能夠對由第一計算設備發(fā)送的資源請求進行答復���。
2.根據權利要求1所述的方法��,其中第三計算設備幫助第一計算設備到第二計算設備的認證的步驟進一步包括第三計算設備從第一計算設備接收認證請求�。
3.根據權利要求2所述的方法��,其中第三計算設備幫助第一計算設備到第二計算設備的認證的步驟進一步包括第三計算設備檢查由第一計算設備發(fā)送的第一標識符和由作為用戶的第一計算設備用于訪問通信網絡的第二標識符之間的相關性���。
4.根據權利要求3所述的方法����,其中第三計算設備幫助第一計算設備到第二計算設備的認證的步驟進一步包括,當存在相關性時���,第三計算設備將認證挑戰(zhàn)發(fā)送給第一計算設備�。
5.根據權利要求4所述的方法����,其中第三計算設備幫助第一計算設備到第二計算設備的認證的步驟進一步包括,響應于第一計算設備根據認證挑戰(zhàn)將認證響應發(fā)送給第三計算設備����,第三計算設備嘗試對認證響應進行驗證。
6.根據權利要求5所述的方法���,其中第三計算設備幫助第一計算設備到第二計算設備的認證的步驟進一步包括���,當?shù)谌嬎阍O備驗證認證響應時,第三計算設備將簽名的認證結果發(fā)送給第一計算設備���,其中第一計算設備于是將簽名的認證結果發(fā)送給第二計算設備��,以及當簽名的認證結果通過驗證時��,第二計算設備能夠對由第一計算設備發(fā)送的資源請求進行響應�����。
7.根據權利要求6所述的方法��,其中由第三計算設備發(fā)送給第一計算設備的簽名的認證結果使用在第三計算設備和第二計算設備之間協(xié)商的密鑰進行加密簽名��。
8.根據權利要求1所述的方法�,其中第一計算設備的第一標識符包括基于開源的標識符����。
9.一種方法,包括在通信網絡中�����,其中第一計算設備是客戶端設備�,第二計算設備是應用服務器,以及第三計算設備是通信網絡運營商控制下的服務器�����;第一計算設備向第二計算設備發(fā)布資源請求;第一計算設備將第一標識符提供給第二計算設備以用于第一計算設備到第二計算設備的認證���;其中���,當?shù)诙嬎阍O備不能對第一計算設備進行認證時,請求第三計算設備以幫助第一計算設備的認證�,在由第一計算設備發(fā)送的第一標識符和由作為用戶的第一計算設備用于訪問通信網絡的第二標識符之間存在相關性時,第三計算設備能夠幫助認證���,以及其中在第三方計算設備幫助的認證成功時��,第二計算設備能夠對由第一計算設備發(fā)送的資源請求進行響應���。
10. 一種方法,包括在通信網絡中�,其中第一計算設備是客戶端設備,第二計算設備是應用服務器����,以及第三計算設備是通信網絡運營商控制下的服務器;第二計算設備接收由第一計算設備發(fā)布的資源請求�����;第二計算設備從第一計算設備接收第一標識符以用于第一計算設備到第二計算設備的認證;以及響應于第二計算設備不能認證第一計算設備��,第二計算設備請求第三計算設備幫助對第一計算設備進行認證��,當由第一計算設備發(fā)送的第一標識符和由作為用戶的第一計算設備用于訪問通信網絡的第二標識符之間存在相關性時��,第三計算設備能夠幫助認證��;在第三方計算設備幫助的認證成功時����,第二計算設備對由第一計算設備發(fā)送的資源請求進行響應����。
全文摘要
本發(fā)明公開了一種用于使通信網絡運營商提供一個或兩個諸如認證服務的身份服務的技術。例如�����,在通信網絡中���,假設第一計算設備是客戶端設備���,第二計算設備是應用服務器���,以及第三計算設備是通信網絡運營商控制下的服務器。該方法可包括以下步驟�����。響應于第一計算設備將資源請求發(fā)布給第二計算設備��,以及第一計算設備將用于第二計算設備認證第一計算設備的第一標識符提供給第二計算設備���,并且響應于第二計算設備不能認證第一計算設備�����;當在由第一計算設備發(fā)送的第一標識符和由作為用戶的第一計算設備用于訪問通信網絡的第二標識符之間存在相關性時��,第三計算設備幫助第二計算設備對第一計算設備的認證���,其中當由第三方計算設備幫助的認證成功時,第二計算設備能夠對由第一計算設備發(fā)送的資源請求進行答復���。
文檔編號H04L29/06GK102388638SQ201080015636
公開日2012年3月21日 申請日期2010年3月18日 優(yōu)先權日2009年4月9日
發(fā)明者H-L·陸, I·凡博格 申請人:阿爾卡特朗訊公司