認(rèn)證請(qǐng)求訪問至少一個(gè)資源的至少一個(gè)終端的方法和系統(tǒng)的制作方法
【專利說明】認(rèn)證請(qǐng)求訪問至少一個(gè)資源的至少一個(gè)終端的方法和系統(tǒng)
[0001] 本發(fā)明總體上涉及認(rèn)證請(qǐng)求訪問至少一個(gè)資源的至少一個(gè)終端��,由認(rèn)證服務(wù)器管 理對(duì)資源的訪問�����,網(wǎng)關(guān)裝置包括用于在一方的終端與另一方的認(rèn)證服務(wù)器和資源之間路由 數(shù)據(jù)的裝置���。
[0002] 由于使用認(rèn)證服務(wù)器�,可授權(quán)終端訪問資源�。通常,認(rèn)證服務(wù)器管理對(duì)多個(gè)資源的 訪問授權(quán)����。
[0003] 這些資源例如是無線通信時(shí)間和/或頻率資源�,這意味著���,對(duì)資源的訪問控制涉 及切換過程或建立兩個(gè)無線鄰居之間的協(xié)作方案��。根據(jù)另一個(gè)示例�,這些資源是用于游牧 服務(wù)(cyber-foraging)應(yīng)用或云計(jì)算的服務(wù)器的計(jì)算資源��。根據(jù)又一個(gè)示例��,資源是存儲(chǔ) 在數(shù)據(jù)服務(wù)器上的數(shù)據(jù)或由像傳感器一樣的另一個(gè)終端存儲(chǔ)的信息��,或者可以是另一個(gè)終 端執(zhí)行的應(yīng)用�����。
[0004] 為了允許集中管理這些資源��,網(wǎng)關(guān)裝置包括在終端��、認(rèn)證服務(wù)器和上述資源之間 路由數(shù)據(jù)的裝置���。通常���,終端向網(wǎng)關(guān)裝置發(fā)送訪問某個(gè)資源的請(qǐng)求。一旦網(wǎng)關(guān)裝置檢測(cè)到終 端訪問資源需要認(rèn)證�����,網(wǎng)關(guān)裝置就向認(rèn)證服務(wù)器發(fā)出是否允許終端合法訪問資源的請(qǐng)求����。 接著,認(rèn)證服務(wù)器對(duì)終端執(zhí)行認(rèn)證并且如果對(duì)終端的認(rèn)證失敗���,則認(rèn)證服務(wù)器拒絕網(wǎng)關(guān)裝 置的請(qǐng)求���,進(jìn)而拒絕終端的請(qǐng)求。否則���,認(rèn)證服務(wù)器就接受網(wǎng)關(guān)裝置的請(qǐng)求�����,進(jìn)而接受終端 的請(qǐng)求����,因此終端被授權(quán)訪問資源。
[0005] 考慮例如在3GPP LTE (長期演進(jìn))規(guī)范背景下資源涉及切換的情況���。通過也被稱 為eNodeB的基站由核心網(wǎng)絡(luò)服務(wù)UE (用戶設(shè)備)����。各eNodeB管理小區(qū)����,其中,小區(qū)是位于 小區(qū)中的UE可由有關(guān)基站操縱�����,即����,可通過經(jīng)由基站訪問核心網(wǎng)絡(luò)與遠(yuǎn)程電信裝置通信的 區(qū)域���。因此�,各eNodeB被視為網(wǎng)關(guān)裝置���,包括用于在UE���、核心網(wǎng)絡(luò)實(shí)體和相鄰eNodeB之間 路由數(shù)據(jù)的裝置��。當(dāng)UE從由第一基站管理的一個(gè)小區(qū)移動(dòng)到由第二基站管理的另一個(gè)小 區(qū)時(shí)�����,發(fā)生切換���。對(duì)第二基站服務(wù)的小區(qū)的訪問可限于預(yù)定用戶集合(閉合用戶組,CSG)�����。 在這種情況下���,為了執(zhí)行小區(qū)訪問控制�����,通過被稱為MME (移動(dòng)管理實(shí)體)的認(rèn)證服務(wù)器執(zhí) 行切換��。因此��,MME負(fù)責(zé)管理對(duì)第二基站服務(wù)的小區(qū)代理的資源的訪問����。
[0006] 然而,通過認(rèn)證服務(wù)器執(zhí)行系統(tǒng)性認(rèn)證是耗時(shí)的�,此外也消耗網(wǎng)絡(luò)資源,因?yàn)樗?要在網(wǎng)關(guān)裝置和認(rèn)證服務(wù)器之間進(jìn)行許多交換�����,尤其是在有眾多訪問由認(rèn)證服務(wù)器管理的 資源的并行請(qǐng)求的情況下��。此外����,通過認(rèn)證服務(wù)器執(zhí)行系統(tǒng)性認(rèn)證消耗了認(rèn)證服務(wù)器方的 處理資源。
[0007] 期望克服技術(shù)發(fā)展水平的上述問題�。
[0008] 特別地,期望提供一種允許縮短執(zhí)行關(guān)于終端請(qǐng)求通過網(wǎng)關(guān)裝置訪問至少一個(gè)資 源的認(rèn)證所需時(shí)間的解決方案�,所述至少一個(gè)資源的訪問是由連接到網(wǎng)關(guān)裝置的認(rèn)證服務(wù) 器管理的。
[0009] 此外���,期望提供一種允許分流認(rèn)證服務(wù)器的處理����,同時(shí)確?����?呻S時(shí)間推移而變化 的訪問控制有足夠水平�,同時(shí)確保終端的不可跟蹤性,即確保除了認(rèn)證服務(wù)器外的實(shí)體不 能夠建立給定終端訪問資源的歷史的解決方案���。
[0010] 此外��,期望提供一種容易實(shí)現(xiàn)并且有成本效益的解決方案����。
[0011] 為此目的��,本發(fā)明涉及一種認(rèn)證請(qǐng)求訪問至少一個(gè)資源的至少一個(gè)終端的方法���, 由認(rèn)證服務(wù)器管理對(duì)一個(gè)或多個(gè)資源的訪問��,網(wǎng)關(guān)裝置包括用于在一方的一個(gè)或多個(gè)終端 與另一方的所述認(rèn)證服務(wù)器和所述一個(gè)或多個(gè)資源之間路由數(shù)據(jù)的裝置��。所述方法使得所 述認(rèn)證服務(wù)器執(zhí)行:針對(duì)每個(gè)終端���,得到至少一條認(rèn)證信息�;向所述網(wǎng)關(guān)裝置發(fā)送至少一 個(gè)檢驗(yàn)函數(shù)或其系數(shù)�;其中,每條認(rèn)證信息代表使得當(dāng)被輸入到各個(gè)檢驗(yàn)函數(shù)時(shí)所述檢驗(yàn) 函數(shù)返回預(yù)定值的值��。所述方法還使得所述網(wǎng)關(guān)裝置執(zhí)行:從一個(gè)終端接收訪問所述一個(gè) 或多個(gè)資源的第一請(qǐng)求�����,所述第一請(qǐng)求是與所述終端提供的一條認(rèn)證信息結(jié)合地接收的�����; 在從所述認(rèn)證服務(wù)器接收的一個(gè)或多個(gè)檢驗(yàn)函數(shù)之中����,獲取可應(yīng)用于接收到的請(qǐng)求的檢驗(yàn) 函數(shù);將所述終端提供的所述一條認(rèn)證信息輸入到獲取的檢驗(yàn)函數(shù)���,以得到認(rèn)證結(jié)果��;當(dāng) 所述認(rèn)證結(jié)果等于所述預(yù)定值時(shí)���,接受訪問所述一個(gè)或多個(gè)資源的所述第一請(qǐng)求;并且當(dāng) 所述認(rèn)證結(jié)果不同于所述預(yù)定值時(shí)���,拒絕所述一個(gè)或多個(gè)訪問資源的所述第一請(qǐng)求��。因此��, 縮短了執(zhí)行關(guān)于終端請(qǐng)求通過網(wǎng)關(guān)裝置訪問資源的認(rèn)證所需的時(shí)間����,所述資源的訪問是由 連接到網(wǎng)關(guān)裝置的認(rèn)證服務(wù)器管理的�����。此外�,確保了足夠的訪問控制水平。
[0012] 根據(jù)特定特征���,所述認(rèn)證服務(wù)器執(zhí)行:針對(duì)每個(gè)終端����,確定一條或多條所述認(rèn)證信 息�;向每個(gè)終端發(fā)送各條認(rèn)證信息。因此��,認(rèn)證服務(wù)器可按靈活方式執(zhí)行認(rèn)證分流���。
[0013] 根據(jù)特定特征�,所述認(rèn)證服務(wù)器執(zhí)行:為每個(gè)終端確定不止一條認(rèn)證信息,每條認(rèn) 證信息代表使得當(dāng)被輸入到為所述終端確定的各檢驗(yàn)函數(shù)時(shí)確定的所述檢驗(yàn)函數(shù)返回所 述預(yù)定值的值���;選擇與已經(jīng)發(fā)送到所述終端的所述不止一條認(rèn)證信息不同的另一條認(rèn)證信 息�����;向所述終端發(fā)送選擇的所述另一條認(rèn)證信息��。此外�����,在接收到選擇的所述另一條認(rèn)證信 息時(shí)�,所述終端用選擇的所述另一條認(rèn)證信息取代之前接收的所述不止一條認(rèn)證信息���。因 此��,確保了不可跟蹤終端對(duì)資源的訪問��。
[0014] 根據(jù)特定特征�,所述認(rèn)證服務(wù)器執(zhí)行:針對(duì)每個(gè)終端���,用從所述終端接收的信息����, 推導(dǎo)一條或多條所述認(rèn)證信息;基于確定的各條認(rèn)證信息�,確定所述一個(gè)或多個(gè)檢驗(yàn)函數(shù)���。 此外�,所述終端執(zhí)行:用所述終端提供到所述認(rèn)證服務(wù)器的信息����,推導(dǎo)一條或多條所述認(rèn)證 信息,與所述認(rèn)證服務(wù)器針對(duì)所述終端執(zhí)行的推導(dǎo)相同�。因此,不出現(xiàn)發(fā)送所述一條或多條 認(rèn)證信息���,這樣使一個(gè)裝置攔截所述一條或多條認(rèn)證信息以后續(xù)惡意使用所述一條或多條 認(rèn)證信息的風(fēng)險(xiǎn)有限�����。
[0015] 根據(jù)特定特征�����,所述認(rèn)證服務(wù)器得到的每條認(rèn)證信息是所述認(rèn)證服務(wù)器發(fā)送的至 少一個(gè)檢驗(yàn)函數(shù)的根��,并且其特征在于��,所述預(yù)定值是空值��。因此���,方法容易實(shí)現(xiàn)���。
[0016] 根據(jù)特定特征,一旦預(yù)先執(zhí)行了所述方法的以下步驟���,所述認(rèn)證服務(wù)器就發(fā)送所 述一個(gè)或多個(gè)檢驗(yàn)函數(shù)或其系數(shù):所述網(wǎng)關(guān)裝置從所述終端接收訪問所述一個(gè)或多個(gè)資源 的第二請(qǐng)求���;所述網(wǎng)關(guān)裝置請(qǐng)求所述認(rèn)證服務(wù)器認(rèn)證訪問所述一個(gè)或多個(gè)資源的終端;在 成功認(rèn)證訪問所述一個(gè)或多個(gè)資源的終端時(shí)��,授權(quán)訪問所述一個(gè)或多個(gè)資源�����。因此,一旦認(rèn) 證服務(wù)器對(duì)終端執(zhí)行了至少一次認(rèn)證���,就執(zhí)行認(rèn)證分流�。
[0017] 根據(jù)特定特征�����,所述認(rèn)證服務(wù)器執(zhí)行:為每個(gè)終端確定不止一個(gè)檢驗(yàn)函數(shù)�,每個(gè)檢 驗(yàn)函數(shù)使得發(fā)送到所述終端的每條認(rèn)證信息代表使得當(dāng)被輸入到確定的各檢驗(yàn)函數(shù)時(shí)確 定的所述檢驗(yàn)函數(shù)返回所述預(yù)定值的值;選擇與已經(jīng)發(fā)送到所述網(wǎng)關(guān)裝置的檢驗(yàn)函數(shù)不同 的另一個(gè)檢驗(yàn)函數(shù)�����;向所述網(wǎng)關(guān)裝置發(fā)送選擇的檢驗(yàn)函數(shù)或其系數(shù)�����。另外��,在接收到選擇的 檢驗(yàn)函數(shù)或其系數(shù)時(shí)��,所述網(wǎng)關(guān)裝置用選擇的檢驗(yàn)函數(shù)或其系數(shù)取代之前接收的檢驗(yàn)函數(shù) 或其系數(shù)���。因此,增強(qiáng)了不可跟蹤終端對(duì)資源的訪問����。
[0018] 根據(jù)特定特征�,在至少第一終端和第二終端能夠請(qǐng)求訪問所述一個(gè)或多個(gè)資源的 情況下���,所述認(rèn)證服務(wù)器執(zhí)行:確定用于所述第一終端的至少一個(gè)第一檢驗(yàn)函數(shù)和當(dāng)被輸 入到任何第一檢驗(yàn)函數(shù)時(shí)所述第一檢驗(yàn)函數(shù)返回所述預(yù)定值的任何值的第一集合���;確定用 于所述第二終端的至少一個(gè)第二檢驗(yàn)函數(shù)和當(dāng)被輸入到一個(gè)或多個(gè)所述第二檢驗(yàn)函數(shù)中 的至少一個(gè)時(shí)一個(gè)或多個(gè)所述第二檢驗(yàn)函數(shù)返回所述預(yù)定值的任何值的第二集合。另外����, 所述第一集合和所述第二集合的交集是空集。因此���,限制甚至避免了一個(gè)終端惡意使用另 一個(gè)終端的一條認(rèn)證信息的風(fēng)險(xiǎn)�����。
[0019] 根據(jù)特定特征�����,每個(gè)檢驗(yàn)函數(shù)是多項(xiàng)式形式或是基于線性代碼����。
[0020] 根據(jù)特定特征,所述認(rèn)證服務(wù)器針對(duì)每個(gè)裝置向所述網(wǎng)關(guān)裝置與臨時(shí)標(biāo)識(shí)符結(jié)合 地發(fā)送至少一個(gè)檢驗(yàn)函數(shù)或其系數(shù)���,并且所述認(rèn)證服務(wù)器向任何終端與所述臨時(shí)標(biāo)識(shí)符結(jié) 合地發(fā)送至少一條認(rèn)證信息���。因此,當(dāng)網(wǎng)關(guān)裝置針對(duì)每個(gè)終端應(yīng)用校驗(yàn)函數(shù)時(shí)����,在必須建立 更多或更少終端的認(rèn)證分流時(shí),認(rèn)證服務(wù)器不需要更新校驗(yàn)函數(shù)�����。
[0021] 根據(jù)特定特征��,在所述網(wǎng)關(guān)裝置和所述終端之間進(jìn)行通信期間�����,所述網(wǎng)關(guān)裝置分 配用于識(shí)別每個(gè)終端的第一臨時(shí)標(biāo)識(shí)符���,所述認(rèn)證服務(wù)器針對(duì)每個(gè)裝置向所述網(wǎng)關(guān)裝置發(fā) 送至少一個(gè)檢驗(yàn)函數(shù)或其系數(shù),所述檢驗(yàn)函數(shù)與所述網(wǎng)關(guān)裝置和所述認(rèn)證服務(wù)器共享的第 二臨時(shí)標(biāo)識(shí)符關(guān)聯(lián),所述網(wǎng)關(guān)裝置保持所述第一臨時(shí)標(biāo)識(shí)符和所述第二臨時(shí)標(biāo)識(shí)符之間的 對(duì)應(yīng)關(guān)系�。因此,未通過認(rèn)證的終端惡意使用這