认证请求访问至少一个资源的至少一个终端的方法和系统的制作方法
【专利说明】认证请求访问至少一个资源的至少一个终端的方法和系统
[0001] 本发明总体上涉及认证请求访问至少一个资源的至少一个终端,由认证服务器管 理对资源的访问,网关装置包括用于在一方的终端与另一方的认证服务器和资源之间路由 数据的装置。
[0002] 由于使用认证服务器,可授权终端访问资源。通常,认证服务器管理对多个资源的 访问授权。
[0003] 这些资源例如是无线通信时间和/或频率资源,这意味着,对资源的访问控制涉 及切换过程或建立两个无线邻居之间的协作方案。根据另一个示例,这些资源是用于游牧 服务(cyber-foraging)应用或云计算的服务器的计算资源。根据又一个示例,资源是存储 在数据服务器上的数据或由像传感器一样的另一个终端存储的信息,或者可以是另一个终 端执行的应用。
[0004] 为了允许集中管理这些资源,网关装置包括在终端、认证服务器和上述资源之间 路由数据的装置。通常,终端向网关装置发送访问某个资源的请求。一旦网关装置检测到终 端访问资源需要认证,网关装置就向认证服务器发出是否允许终端合法访问资源的请求。 接着,认证服务器对终端执行认证并且如果对终端的认证失败,则认证服务器拒绝网关装 置的请求,进而拒绝终端的请求。否则,认证服务器就接受网关装置的请求,进而接受终端 的请求,因此终端被授权访问资源。
[0005] 考虑例如在3GPP LTE (长期演进)规范背景下资源涉及切换的情况。通过也被称 为eNodeB的基站由核心网络服务UE (用户设备)。各eNodeB管理小区,其中,小区是位于 小区中的UE可由有关基站操纵,即,可通过经由基站访问核心网络与远程电信装置通信的 区域。因此,各eNodeB被视为网关装置,包括用于在UE、核心网络实体和相邻eNodeB之间 路由数据的装置。当UE从由第一基站管理的一个小区移动到由第二基站管理的另一个小 区时,发生切换。对第二基站服务的小区的访问可限于预定用户集合(闭合用户组,CSG)。 在这种情况下,为了执行小区访问控制,通过被称为MME (移动管理实体)的认证服务器执 行切换。因此,MME负责管理对第二基站服务的小区代理的资源的访问。
[0006] 然而,通过认证服务器执行系统性认证是耗时的,此外也消耗网络资源,因为它需 要在网关装置和认证服务器之间进行许多交换,尤其是在有众多访问由认证服务器管理的 资源的并行请求的情况下。此外,通过认证服务器执行系统性认证消耗了认证服务器方的 处理资源。
[0007] 期望克服技术发展水平的上述问题。
[0008] 特别地,期望提供一种允许缩短执行关于终端请求通过网关装置访问至少一个资 源的认证所需时间的解决方案,所述至少一个资源的访问是由连接到网关装置的认证服务 器管理的。
[0009] 此外,期望提供一种允许分流认证服务器的处理,同时确保可随时间推移而变化 的访问控制有足够水平,同时确保终端的不可跟踪性,即确保除了认证服务器外的实体不 能够建立给定终端访问资源的历史的解决方案。
[0010] 此外,期望提供一种容易实现并且有成本效益的解决方案。
[0011] 为此目的,本发明涉及一种认证请求访问至少一个资源的至少一个终端的方法, 由认证服务器管理对一个或多个资源的访问,网关装置包括用于在一方的一个或多个终端 与另一方的所述认证服务器和所述一个或多个资源之间路由数据的装置。所述方法使得所 述认证服务器执行:针对每个终端,得到至少一条认证信息;向所述网关装置发送至少一 个检验函数或其系数;其中,每条认证信息代表使得当被输入到各个检验函数时所述检验 函数返回预定值的值。所述方法还使得所述网关装置执行:从一个终端接收访问所述一个 或多个资源的第一请求,所述第一请求是与所述终端提供的一条认证信息结合地接收的; 在从所述认证服务器接收的一个或多个检验函数之中,获取可应用于接收到的请求的检验 函数;将所述终端提供的所述一条认证信息输入到获取的检验函数,以得到认证结果;当 所述认证结果等于所述预定值时,接受访问所述一个或多个资源的所述第一请求;并且当 所述认证结果不同于所述预定值时,拒绝所述一个或多个访问资源的所述第一请求。因此, 缩短了执行关于终端请求通过网关装置访问资源的认证所需的时间,所述资源的访问是由 连接到网关装置的认证服务器管理的。此外,确保了足够的访问控制水平。
[0012] 根据特定特征,所述认证服务器执行:针对每个终端,确定一条或多条所述认证信 息;向每个终端发送各条认证信息。因此,认证服务器可按灵活方式执行认证分流。
[0013] 根据特定特征,所述认证服务器执行:为每个终端确定不止一条认证信息,每条认 证信息代表使得当被输入到为所述终端确定的各检验函数时确定的所述检验函数返回所 述预定值的值;选择与已经发送到所述终端的所述不止一条认证信息不同的另一条认证信 息;向所述终端发送选择的所述另一条认证信息。此外,在接收到选择的所述另一条认证信 息时,所述终端用选择的所述另一条认证信息取代之前接收的所述不止一条认证信息。因 此,确保了不可跟踪终端对资源的访问。
[0014] 根据特定特征,所述认证服务器执行:针对每个终端,用从所述终端接收的信息, 推导一条或多条所述认证信息;基于确定的各条认证信息,确定所述一个或多个检验函数。 此外,所述终端执行:用所述终端提供到所述认证服务器的信息,推导一条或多条所述认证 信息,与所述认证服务器针对所述终端执行的推导相同。因此,不出现发送所述一条或多条 认证信息,这样使一个装置拦截所述一条或多条认证信息以后续恶意使用所述一条或多条 认证信息的风险有限。
[0015] 根据特定特征,所述认证服务器得到的每条认证信息是所述认证服务器发送的至 少一个检验函数的根,并且其特征在于,所述预定值是空值。因此,方法容易实现。
[0016] 根据特定特征,一旦预先执行了所述方法的以下步骤,所述认证服务器就发送所 述一个或多个检验函数或其系数:所述网关装置从所述终端接收访问所述一个或多个资源 的第二请求;所述网关装置请求所述认证服务器认证访问所述一个或多个资源的终端;在 成功认证访问所述一个或多个资源的终端时,授权访问所述一个或多个资源。因此,一旦认 证服务器对终端执行了至少一次认证,就执行认证分流。
[0017] 根据特定特征,所述认证服务器执行:为每个终端确定不止一个检验函数,每个检 验函数使得发送到所述终端的每条认证信息代表使得当被输入到确定的各检验函数时确 定的所述检验函数返回所述预定值的值;选择与已经发送到所述网关装置的检验函数不同 的另一个检验函数;向所述网关装置发送选择的检验函数或其系数。另外,在接收到选择的 检验函数或其系数时,所述网关装置用选择的检验函数或其系数取代之前接收的检验函数 或其系数。因此,增强了不可跟踪终端对资源的访问。
[0018] 根据特定特征,在至少第一终端和第二终端能够请求访问所述一个或多个资源的 情况下,所述认证服务器执行:确定用于所述第一终端的至少一个第一检验函数和当被输 入到任何第一检验函数时所述第一检验函数返回所述预定值的任何值的第一集合;确定用 于所述第二终端的至少一个第二检验函数和当被输入到一个或多个所述第二检验函数中 的至少一个时一个或多个所述第二检验函数返回所述预定值的任何值的第二集合。另外, 所述第一集合和所述第二集合的交集是空集。因此,限制甚至避免了一个终端恶意使用另 一个终端的一条认证信息的风险。
[0019] 根据特定特征,每个检验函数是多项式形式或是基于线性代码。
[0020] 根据特定特征,所述认证服务器针对每个装置向所述网关装置与临时标识符结合 地发送至少一个检验函数或其系数,并且所述认证服务器向任何终端与所述临时标识符结 合地发送至少一条认证信息。因此,当网关装置针对每个终端应用校验函数时,在必须建立 更多或更少终端的认证分流时,认证服务器不需要更新校验函数。
[0021] 根据特定特征,在所述网关装置和所述终端之间进行通信期间,所述网关装置分 配用于识别每个终端的第一临时标识符,所述认证服务器针对每个装置向所述网关装置发 送至少一个检验函数或其系数,所述检验函数与所述网关装置和所述认证服务器共享的第 二临时标识符关联,所述网关装置保持所述第一临时标识符和所述第二临时标识符之间的 对应关系。因此,未通过认证的终端恶意使用这