与用于访问数据网络的用户认证有关的方法和系统的制作方法
【专利说明】与用于访问数据网络的用户认证有关的方法和系统 发明领域
[0001] 本发明一般涉及用户通过计算机设备的数据访问、对用户的认证以及对被授予访 问该数据的用户记账(billing)。该上下文中的数据不包括可公开获得的数据,而仅包括对 其的访问根据某些约束受到限制的数据。更具体地,本发明涉及一种用户认证方法和系统。 本发明还涉及一种在核心网络和多个外部单元以及受限访问数据库之间进行通信的方法。 此外,本发明还涉及用于建立并保护权限和价格以及将权限和价格传达到核心网络的必要 部分的平台。 现有技术
[0002] 全球计算机网络具有大范围的访问个体触发了与对这些个体进行认证和授权有 关的一系列问题。对于将对其自身进行认证的用户,存在与认证相关联的若干问题(包括安 全相关问题和实际问题两者)。若干不同认证方法的存在导致针对用户的实际问题以及与 不同的受限访问区域、客户端等之间的通信有关的技术问题。需要一种通用标识和认证系 统。
[0003] 存在各种认证原理,诸如提及三个最常见的认证,即单因素认证、双因素认证和三 因素认证。在单因素认证中,用户将仅使用一个"证书"来对其自身进行认证,该仅一个证书 诸如例如为具有SIM卡的移动电话,其中SIM卡或移动电话传送唯一的硬件代码,该硬件代 码与特定用户相关联。在需要高安全性的情况下,诸如在对权限受保护的材料进行交易或 下载时,这一认证类型是不可接受的,因为必须是S頂卡或移动电话的实际登记所有者对其 自身进行认证。为了改善认证安全性,常见的是引入要在认证时使用的附加元素,使得两个 因素被使用。通常,第二元素将是用户记得的某物,即具有表示用户拥有的某物的因素以及 表示用户记得的某物的因素。与用户记得的某物有关的因素可以是PIN码,并且在通过电话 进行人工认证的情况下,其通常是已知问题的答案。
[0004] 与这些用于认证的因素有关的一个问题是其可变特性;"拥有"因素和"记得"因素 两者都可改变,并且记得因素也可能被忘记。不幸地是,不存在某人可以普遍地并独立于标 识工具来标识其自身的系统。
[0005] 本发明的一个目的是提供解决以上使用可变因素对易遭受安全问题的服务的用 户进行认证的问题的系统和方法。
[0006] 发明概述
[0007] 本发明的目的通过所附权利要求书中定义的方法和系统来实现。
[0008] 本发明将在计算机网络中进行通信所需的通信地址作为任选的标识符与认证用 户事实上是适当用户的任何类型的认证(单因素、双因素或三因素)技术一起使用。如果需 要一个以上的因素,则例如可将访问设备的硬件代码/身份用作附加因素。这通过为用户创 建密钥/向用户发送密钥的登录功能来确认,并且使得用户能够如在为通信配置的登录数 据库中被认证。登录数据库可与用户和/或不同的访问数据库和/或实际网络的访问处理程 序通信密钥。
[0009] 本发明允许用户使用通信地址(IP)来标识其自身,从而提供对任何访问、支付等 有用的单次登录、全局、通用标识/认证系统。
[0010] 对IP地址的使用确保适当用户在给定通信地址后面。一个目标是例如在尚未通过 使用唯一用户身份(诸如所分配的IP地址)安全地授权用户的情况下,该用户应当不能够访 问核心网络并通过该网络获得对受限访问数据的访问权。根据本发明的一实施例,如果没 有使用如上所述的唯一身份实施认证,则可拒绝该用户访问核心网络。通过这种方式,用户 的身份可与用户的权限直接相关,并且用户被防止获得对受限访问数据的访问权,除非该 用户对其自身进行了认证。
[0011] 通过使用本发明,用户被防止通过运营商(operator)的IP进行通信,该运营商与 已给予用户访问权的运营商具有不同的限制。在使用本发明时,尝试匿名化/不进行标识 (例如,代理、隐藏IP、使用另一 IP)以访问例如非法内容或规避核心网络中的限制是不可能 的,因为本发明防止用户通过网络来进行访问。本发明防止用户经由除访问运营商以外的 其他运营商的体系结构来访问全球网络。
[0012] 根据本发明的一方面,提供了一种对请求访问计算机网络中的服务的用户进行认 证的方法,该方法包括使用唯一通信地址来进行认证和标识。该方法还可包括向用户和设 备全局地分派唯一通信地址。该方法还可包括经由装置或设备使用登录功能,所述装置和 设备可经由诸如MACJMEI IMSI等硬件身份与唯一通信地址(诸如IPv6地址)相关联,所述 硬件身份被配置用于通过网络发送和接收信息。本发明的方法可包括使用硬件身份(即作 为以下通信地址中的至少一者的标识符:MACJMEI、代码、银行Id)或可用于对用户进行认 证的另一标识装置。
[0013] 该方法可进一步包括如果标识符之一被丢失或者用户退出,则向保持用户的记录 以及用户是否被授权的数据库发送信号,所述数据库被配置成确保所涉及的用户获得对计 算机网络的访问权或者在标识符不见时将这样的用户从计算机网络中移除。根据该方法, 数据库可被配置用于登记用户不再拥有所有标识符,并被配置用于在来自访问数据库或其 他外部单元的后续请求期间基于用户访问该数据库的请求而传送该数据库上的信息。根据 本发明的一实施例,该数据库可以是管理电话公司处的用户的订阅系统的一部分。
[0014] 本发明还包括一种用于对请求访问计算机网络中的服务的用户进行认证的系统, 包括对用于认证和标识的唯一通信地址的使用。根据该系统,该系统可包括到用户和设备 的唯一通信地址的全局分派。
[0015] 该系统可进一步包括登录系统以及能够与以下中的至少一者进行通信的订阅系 统:(a)各访问数据库,(b)访问处理程序,(c)用户处的密钥,(d)任何其他电子请求,诸如购 买认证、签名、协调和其他外部单元等。
[0016] 根据本发明的其他方面,提供了一种在核心网络和多个外部单元以及保护受限访 问数据、服务、信息、系统、应用等的访问数据库(ADB)之间进行通信的方法,包括:传达具有 访问权的用户的标识以及这些用户具有什么访问权,并由核心网络根据请求确定和传达用 户是否已经付费/应当被允许对推测使用(订阅系统/记账)贷款。该方法可包括用核心网络 和/或向ADB登记通知核心网络的话务。
[0017] 根据本发明的其他方面,提供了一种在核心网络和多个外部单元以及保护受限访 问数据、服务、信息、系统、应用等的访问数据库之间进行通信的系统,包括:具有访问权的 用户的标识以及这些用户具有什么访问权被传达,以及核心网络根据请求确定和传达用户 是否已经付费/应当被允许对推测使用(订阅系统/记账)贷款。该系统可包括向核心网络 和/或向ADB登记通知核心网络的话务。
[0018] 根据本发明的又一方面,提供了一种在核心网络和数字平台之间进行通信的方 法,该方法将关于内容、支付形式、使用条款、价格、价格/收入分布的信息提供给合适的实 体,并提供核心网络的功能(订阅、记账、阻挡、其他外部通信、向其他方支付)。
[0019] 根据本发明的再一方面,提供了一种在核心网络和数字平台之间进行通信的系 统,该系统将关于内容、支付形式、使用条款、价格、价格/收入分布的信息提供给合适的实 体,并提供核心网络的功能(订阅、记账、阻挡、其他外部通信、向其他方支付)。
[0020] 本发明的进一步特征和优点将从所附的从属权利要求中显而易见。
[0021] 附图简述
[0022] 在以下,提供附图的简要描述以促成对本发明的理解。后面的详细描述参考以下 附图,其中:
[0023] 图1示出IPv6分组头部,
[0024]图2示出包括数据库的网络,这些数据库包括需要认证以供访问的内容,
[0025]图3示出根