专利名称:通过一个不信任接入网络的单点登陆验证的设备和方法
技术领域:
本发明通常涉及用于多个用户经由一个不信任的接入网络接入服务网络的单点登陆服务。更确切地说,本发明涉及一种用于在接入网络没有提供数据源验证的时候进行单点登陆验证的电信设备、用户设备和方法。
背景技术:
单点登陆(以下简称SSO)是一个新兴原则,它使用户能够接入不同的服务而不用对每个不同的特定服务都明确地验证这类用户。这个原则的提供意味着用户只用在一个给定身份提供商(以下简称IdP)实体处被验证一次,而且验证结果对于进入其它服务或服务提供商(SP)也有效。换言之,SSO的目的是允许用户安全地接入不同的服务和应用,而不用每次都被验证和授权。
用于支持SSO的方法基本上有两个,即一个所谓的以终端为中心的方法和一个所谓的以网络为中心的方法。
在以终端为中心的方法下,用户终端支持接入不同的服务所必需的不同的验证机制。例如,终端代替用户自己来存储不同的口令。在这方面,这个方法仍然将支持不同验证机制的负担放在用户或终端上。而且,用户需要向每个起服务提供商(SP)作用的实体进行注册,因此每个所述的实体都具有与用户相关的必要信息,例如类似于用户身份和口令、邮递地址、联系信息、付款模式等等。
在以网络为中心的方法下,用户只用向一个中央实体验证,该中央实体对所述用户起身份提供商(IdP)的作用。当用户想接入一个给定服务时,对应的服务提供商(SP)不需要新的验证。替代地,身份提供商(IdP)向服务提供商(SP)出示一个或多个服务凭证,从而统计用户已经被验证并且提供与用户相关的必要信息。当然,这个机制需要一个SP和IdP之间的业务关系。
一个特例是当同一个实体(例如一个移动网络运营商(以下简称MNO))控制接入验证时,还同时承担IdP的角色。例如,假如IdP具有从CN获得信息的装置,比如在通用分组无线电业务(GPRS)验证或电路交换验证期间,用户执行与核心网络(CN)的验证,以便获准接入该网络并且IdP依靠这个验证,因此不需要向IdP进行新的验证。
在这个特定情况下,如果用户接入所经过的接入网络提供数据源验证,则身份提供商(IdP)只得依靠核心网络(CN)验证。例如是这种情况,即当用户通过一个GPRS接入网络正在接入时。
在这里,数据源验证意指对于从接入网络接收的任何数据和任何一个始发者来说,所述数据的宣称的始发者可以被认为是可信的。
然而,诸如无线局域网(WLAN)之类的其它接入网络不提供数据源验证,从而在为了SSO验证接入网络的时候排除了所执行源验证的再使用。或者换言之,排除了为SSO目的的接入验证的再使用。
在传统的移动领域中,SSO原则意味着只要用户已经执行了核心网络(CN)验证,这类用户就可以借助于单点登陆(SSO)支持来接入各种网络中的服务而不用进一步的显式验证,并且其中,持有用户签署的归属网络承担这类用户的IdP任务。一般而言,用户可以通过用户持有签署的用户归属核心网络来验证,或者通过用户正在漫游的被访问核心网络来验证。为简化起见,当前描述在下文中指的是一个核心网络验证,而不管是归属还是被访问网络来验证用户。在这里,数据源验证因为依靠移动网络运营商的核心网络(CN)是一个可信网络这个事实而被确保,并且从而一个具有所述CN分配的IP地址的移动站(或用户设备、或用户终端)可以经由所述的可信IP地址来识别。来源于移动站的任何数据都可以被认为是可信的。此外,在所述的IP地址被分配给用户的移动站的期间,所述的IP地址可以被认为是该用户的伪身份。这个原则在一个SSO方法下被使用,以获得其它用户的身份,比如移动用户的目录号码(以下简称MSISDN)。
时下,单点登陆有两个主要的商业模型。第一个是所谓的围墙花园(walled-garden)SSO,指的是SSO用于提供SSO的同一实体提供的服务,即本说明当中的本地服务。支持这个商业模型的公开规范或标准技术并不存在。
另一个众所周知的模型是所谓的联合式SSO,其中,SSO服务由身份提供商(IdP)来提供,而服务由一个或多个服务提供商(SP)来提供,即本说明书中的外部服务。被称为自由联盟计划(LAP)的产业论坛已经开发了一组协议,以提供支持所谓的联合式SSO的情景。LAP不指定任何特定的验证机制,而是指定验证结果怎样从身份提供商(IdP)被传送到服务提供商(SP),后者最后向终端用户提供服务。然而,LAP没有建议IdP在用户正通过一个不信任的接入网络接入的时候该如何工作。
在上述的单点登陆(SSO)方案(围墙花园和联合式SSO方案)中,当一个移动网络运营商(MNO)承担核心网络(CN)验证提供商和身份提供商(IdP)两个角色时,并且假如接入网络提供数据源验证,则用户仅仅执行一个接入验证,并且一旦这个步骤已经完成,那么SSO可用于获准接入许多服务而不需要任何新的验证过程。
例如,假如接入网络是一个GPRS网络,只要GPRS验证已经被成功地执行,起身份提供商(IdP)作用的实体就已经保证,任何对从一个具有给定IP地址的用户接收的服务凭证的请求的确来自于那个用户,而不是来自于一个执行IP欺骗的攻击者。从而,IdP可以不执行任何额外的验证就向用户提供所请求的服务凭证。与这个可仿效的方案一致,US-6253327公开一个用户只要通过网络验证就被分配一个IP地址的设备和方法,这个IP地址被用作一个通过协商的点到点协议会话被验证的证据,从而消除了当用户接入公众或专用网络区域时进一步验证的需要。这在接入网络提供诸如点到点协议会话提供之类的数据源验证的时候,是一个可接受的解决方案。
然而,当前的技术发展水平没有提供在接入网络不提供数据源验证时单点登陆验证的保险的解决方案,因为识别用户的给定IP地址不在移动网络运营商(MNO)的控制之下并且可能被执行IP欺骗的攻击者使用。在这方面,在US-6571289中使用一个通过安全网关的隧道机制来验证接入专用网的用户,其添加和剥离专用网中的网络实体的IP地址并且绑定功能,来关联请求来源与对应响应的目标,以避免从接入网络对专用网的直接接入,这对接入网络不提供数据源验证的情况没有帮助,并且没有排除来自于执行IP欺骗的攻击者用户的侵扰。
因此,本发明意在用这样一个方法来克服这个限制,即通过不能提供数据源验证的接入网络(比如WLAN)提供接入的移动网络运营商(MNO)可以再使用对于SSO的原始接入验证。而且,本发明用于至少在一个以网络为中心的方法下来克服这个限制。
发明内容
上述目的根据本发明通过供给权利要求1的设备、权利要求14的用户设备、权利要求18的方法来实现,通过再使用与核心网络执行的原始接入验证,它们都用来向一个正通过不提供数据源验证的接入网络接入的用户提供单点登陆服务。设备、用户设备和方法从而形成一个同一的发明构思。
根据本发明的设备被安排用于在电信业务网络中经由一个不提供数据源验证的接入网络,从用户接收一个单点登陆服务请求,而该用户已经接收了通过核心网络验证的接入凭证。这个设备包括-装置,用于通过使用所述接入网络分配的一个外部IP地址经,由接入网络与用户建立一个安全隧道;-装置,用于在安全隧道建立期间检查从用户接收的接入凭证的有效性;-装置,用于只要接入凭证的有效性检查成功,就与该用户建立一个有效会话;-装置,用于分配一个内部IP地址,以用作安全隧道内的内部IP地址;和-装置,用于链接该用户的会话数据、接入凭证和被分配的内部IP地址。
优选地,该设备装备有产生服务凭证的装置,服务凭证可用于接入某些需要专门授权证据的服务的用户。另外,只要用户提出服务请求,这装置就被安排来在每一个服务基础上为用户产生服务凭证。
假定提供到服务网络的接入凭证可能被标记或没有被标记,该设备优选地配备有这样一个装置,当所述的接入凭证不是被识别的验证实体标记时,该装置用于与归属网络的验证服务器通信,以便检查从用户接收的接入凭证的有效性。
该设备可以用不同的元件来有利地实现,其中,用于与用户建立安全隧道的装置被包括在名为安全服务进入点的第一装置中,而用于为用户链接会话数据、接入凭证和被分配的内部IP地址的装置被包括在名为单点登陆服务器的第二装置中。在此方法下,该设备还包括用于互通所述第一和第二装置的装置,即安全服务进入点与单点登陆服务器。
另一方面,假定用户接入的服务网络可能不同于用户持有签署的归属网络,本发明的设备优选地包括,用于与负责归属网络中的所述用户的身份提供商进行额外协作的装置。用于附加协作的所述装置被优选地置于单点登陆服务器,然而它们也可以被替换地置于安全服务进入点。
在操作中,当用户正接入一个本地HTTP服务或一个不同于当前接入的服务网络的网络中的外部业务时,该设备包括用于检查用户之前是否已经被验证的装置。因此,该设备可以配备有用于与一个中间实体通信的装置,中间实体被安排来截获用户对HTTP本地服务、或对外部网络中的外部服务的接入。特别地,这个中间实体可以是一个HTTP代理,或一个为此而安排的通用防火墙。
在一个可仿效的操作中,当用户正在接入一个非HTTP的本地服务时,该设备还包括用于检查用户之前是否已经被验证的装置。然而在这个方法下,在用户和服务之间插入一个中间实体可能没有太可观的优点,所述装置用于检查服务和设备自身之间的共享。就这两个可仿效的运用而言,是HTTP服务或非HTTP服务的事实不确定具有中间实体所带来的优缺点,而是示出了适合本发明设备的不同的配置。
根据本发明的用户设备被安排来执行一个与核心网络的验证程序,并且包括用于经由不提供数据源验证的接入网络与服务网络建立一个安全隧道的装置,其中,安全隧道利用由所述接入网络分配的一个外部IP地址,并且用户设备还包括-装置,用于获得通过核心网络验证的接入凭证;和-装置,用于链接所述的接入凭证与安全隧道。
该用户设备有利地包括装置,用于链接在隧道业务内被接收为一个内部IP地址的内部IP地址与接入凭证和安全隧道。这样,对特定服务的进一步接入可以在用户设备处容易地遇到之前分配的IP地址,它是直接接入所述特定服务的一个伪身份。
尽管不同的机制可用来获得接入凭证,然而可以设想通过提供一个用户设备而得到附加的安全优点,其中,用于获得接入凭证的装置包括-装置,用于从核心网络接收一个验证询问;
-装置,用于产生一个验证响应并将其送返核心网络;-装置,用于产生一对公共和私人密钥对;和-装置,用于向核心网络递交公共密钥以及一个证明私人密钥所有权的数字签名。
替换地,在一个简化的用户设备和核心网络中,用于在用户设备处获得接入凭证的装置包括-装置,用于从核心网络接收一个验证询问;-装置,用于产生一个验证响应并将其送返核心网络;和-装置,用于请求一个可从核心网络获得的数字证书。
根据本发明还提供了一个方法,用于在电信服务网络中支持经由不能提供数据源验证的接入网络,接入所述服务网络的用户的单点登陆服务,该用户被核心网络验证,并且该方法包括下列步骤-向已经通过核心网络验证的用户设备端提供接入凭证;-通过使用所述接入网络分配的外部IP地址,经由接入网络在用户设备端和服务网络实体之间建立一个安全隧道;-在用户设备端链接所述的接入凭证与所述的安全隧道;-在安全隧道建立期间,检查在服务网络从用户设备端接收的接入凭证的有效性;-只要接入凭证的有效性检查成功,就与该用户建立一个有效会话;-在服务网络处为该用户分配一个内部IP地址,以用作隧道业务内的内部IP地址;和-在服务网络实体处链接该用户的会话数据、接入凭证和被分配的内部IP地址。
有利地并联合一个用户设备处的优选的对应特征,该方法进一步包括一个步骤,即在用户设备端链接一个内部IP地址与接入凭证和安全隧道,内部IP地址在隧道业务内被接收为一个内部IP地址。
此外,联合上述设备中的优选的对应特征,该方法还包括一个为用户产生服务凭证的步骤。这个步骤另外还可以包括一个步骤,即只要有服务请求,就在每一个服务基础上为用户产生服务凭证。
优选地,当所述接入凭证没有被一个识别的验证实体标记时,检查在服务网络从用户接收的接入凭证有效性的步骤,还包括一个与归属网络的验证服务器通信的步骤。
另一方面,并取决于根据本发明给予设备的特定配置,该方法还可以包括一个步骤,即互通名为安全服务进入点的负责安全隧道的第一装置与名为单点登陆服务器(N-42)的第二装置,其中发生了链接用户的会话数据、接入凭证和被分配的内部IP地址的步骤。
在一个可仿效运用中,当用户正接入本地服务或不同于当前接入的服务网络的网络中的外部服务时,该方法还包括用于检查用户之前是否已经被验证的装置。
本发明的特征、目的和优点将通过结合附图来阅读本说明书而变得明显,其中图1示出一个用于基于可扩展验证协议的接入控制的已知结构的基本概观。
图2说明了一个可仿效的结构和接口的概观,集中于当用户通过用户归属网络的验证时涉及的实体和接口,并且还正经由一个不提供数据源验证的接入网络接入一个服务网络,该服务网络再使用接入验证。
图3示出了一个当前的优选实施例的流程图,用于通过用户归属核心网络验证的用户获得接入凭证。
图4示出了图中所示的可仿效结构和接口的第一概观,集中于用户正接入一个本地HTTP服务时的优选操作。
图5示出了图2中所示的可仿效结构和接口的第二概观,集中于用户正在接入本地非HTTP服务、或一个无诸如HTTP代理或防火墙之类的任何中间实体帮助的本地HTTP服务时的一个优选操作。
图6示出了图2中所示的可仿效结构和接口的第三概观,集中于用户正在接入一个外部服务时的一个优选操作,外部服务在一个不同于当前接入的服务网络的网络中。
具体实施例方式
下文描述了一个设备、用户设备和方法的当前优选实施例,用于向正经由不提供数据源验证的接入网络接入的用户提供获得单点登陆(SSO)服务的可能性,比如正经由一个无线局域网(WLAN)接入的时候。
本发明给出了几个方面,结合了用户设备、尤其是归属服务网络的被访问服务网络、以及经由一个不提供数据源验证的接入网络在所述用户终端和所述被访问服务网络之间建立一个安全隧道。
根据本发明的第一方面提供了一个新的机制,用于在核心网络验证过程期间,在用户终端(N-10)处从核心网络(N-30)获得验证或接入凭证,并且用于在用户终端处(N-10)链接所述验证或接入凭证与一个到服务网络(N-40)的特定安全隧道(S-24),服务网络(N-40)尤其可能是一个归属服务网络或一个被访问的服务网络。为简明起见,验证或接入凭证在下文中简称为″接入凭证″。
因此,正如图2中的说明和图3中的程序,接入验证的执行通过接入网络(N-20)中的一个通用接入服务器(以下简称GAS)(N-22)来完成,然而通过使用一个可扩展验证协议框架(以下简称EAP,根据IETFRFC2284),验证自身在用户(N-10)和被置于核心网络(N-30)中的验证服务器(N-31)之间被端到端地执行。可扩展验证协议提供一个被安排来支持多个验证机制的验证框架。迄今为止,EAP已经用经由交换电路或经由使用点到点协议(PPP)的拨号线路互连的主机和路由器实现。而且,EAP还已经被用根据诸如8021X-2001之类的IEEE802标准的交换机实现,其中,EAP消息被封装。
EAP结构的一个优点是它的灵活性。例如,如图1所示的网络接入服务器(N-21)(通常已知为NAS),其通过PPP或IEEE802协议经由EAP被连接到一个在获准接入网络之前需要验证的用户(N-11),网络接入服务器(N-21)可以验证本地用户而同时充当一个通过实体,以用于非本地用户,以及不在NAS本地执行的那些验证方法。
从而,在图2说明的一个当前的优选实施例中,用户(N-10)尝试获得对网络的接入。一个PPP或基于IEEE802的连接(S-21)在接入网络(N-20)中被建立在客户端和GAS(N-22)之间。GAS通过在核心网络(N-30)中用适当的″验证、授权、计费″(以下简称AAA)协议(S-22)与验证服务器(N-31)通信来执行验证,并充当一个用于EAP消息的穿越。
一个通常适当的AAA协议(S-12;S-22)可以是一个远程验证拨入用户服务(以下简称RADIUS,根据IETFRFC2865)协议,该协议使用一个客户端/服务器模型,在图1说明的网络接入服务器(NAS)(N-21;N-22)和验证服务器(N-31)之间传送验证、授权和配置信息。通常,电信网连接提供商使用RADIUS,以便核实它们的用户的身份。因此,用户拨打一个众所周知的电话号码,并且用户和连接提供商这两端的调制解调器建立一个连接。服务器端中的调制解调器被连接到一个网络接入服务器(NAS),其需要用户在获准接入网络之前先进行一个要求(S-11)登录名和口令的验证。网络接入服务器(NAS)(N-21;N-22)使用RADIUS协议,在具有RADIUS服务器(N-31)的网络上通信(S-12)来验证用户,RADIUS服务器收集了从NAS转发的诸如登录名和口令之类的用户信息。验证过程可能需要或不需要RADIUS服务器向NAS发送许多询问,用户应该能够对这些询问做出响应。由于验证过程的结果,RADIUS服务器(N-31)向NAS(N-21;N-22)指出用户(N-10;N-11)是否被允许接入网络。另一个适用的AAA可以是DIAMETER,它是RADIUS的一个演变模式。
然后正如图2中所说明的,EAP验证经由接入网络(N-20)的通用接入服务器(N-22),在用户(N-10)和验证服务器(N-31)之间被端到端地执行(S-23),通用接入服务器(N-22)具体可能是图1的网络接入服务器(N-21)。
在图2中说明的EAP验证过程期间,一个或几个接入凭证,具体是在用户(N-10)和归属网络(N-30)之间被分配或商定,或者一般地说,是在用户和核心网络之间,而不管验证用户的核心网络是归属网络还是被访问网络。
这些接入凭证还被用来在用户(N-10)和服务网络(N-40)之间建立一个安全隧道(S-24),服务网络(N-40)可能是归属网络或被访问网络。本发明的这个第一方面的目的是,这个安全隧道(S-24),即一个安全通信信道,必须至少提供数据源验证或其等效功能。
用于分配或商定接入凭证的不同机制可能适合于本发明的目的,因为它们可以被有效地用于与一个安全隧道相链接或相关联。
虽然如此,根据一个现在的优选实施例,提供了一个图3说明的新的机制,用于获得短期证书以适用于本发明的目的。
在这个流程图中,当验证询问已经在用户终端(N-10)被接收时,并且除了产生验证响应之外还产生一对公共和私人密钥对。公共密钥与一个证明私人密钥所有权的数字签名一起,并连同验证响应被发送向核心网络中的验证服务器(N-31)。
然后,只要用户的验证成功,接收到的数字签名就被检查,并且如果它是正确的,则一个短期的数字证书被产生,以用于用户的公共密钥。这个证书从(N-31)连同一个指出成功验证的消息一起被送返用户终端(N-10)。
替换于产生一对公共和私人密钥并没有在任何附图中被说明的用户终端,用户终端(N-10)可以简单地产生一个对数字证书的请求,数字证书将用验证询问的响应来递交。
从而借助于这个或另一个优选实施例获得的短期数字证书是一种接入凭证,其将在用户终端与一个根据本发明这个第一方面的安全隧道链接。
虽然如此,不同的机制也可以被用来从对本发明目的有效的核心网络获得接入凭证。图2的优选实施例中所示出的一个可能性是如上述的短期证书之类的接入凭证从验证服务器(N-31)被分配给用户(N-10),验证服务器可以依次从一个分离的凭证提供商(N-32)获得它们。另一个可能性是,验证服务器(N-31)自己产生这类接入凭证。接入凭证可以被验证服务器(N-31)或凭证提供商(N-32)电子地标记。一个替换实施例是一些密码材料在验证服务器(N-31)和用户设备(N-10)都被导出,并且随后被用作一个接入凭证。在后一种情况中,把接入凭证从验证服务器分配到用户不是必需的,但是结果的接入凭证之后不会被核心网络(N-30)标记。
回到图2,在接入验证期间从核心网络(N-30)获得的接入凭证被用来在归属或被访问服务网络(N-40)中的用户(N-10)和实体(N-41)之间建立一个安全隧道(S-24),在即时规范中被称为安全服务进入点(以下简称SSEP)。如果接入凭证没有被核心网络标记,则在SSEP(N-41)和验证服务器(N-31)之间优选地需要通信信道(S-25),因此SSEP可以向验证服务器核实用户(N-10)提供的接入凭证是否可以接受。另一方面,假如接入凭证被标记,那么SSEP(N-41)优选地被安排来把它们接受为由验证服务器(N-31)或凭证提供商(N-32)标记的有效接入凭证。无论如何,用户(N-10)和SSEP(N-41)之间的安全通信信道(S-24)必须至少提供数据源验证。这样,在这个安全通信信道上接收的所有业务都被认为来自于要求用户而不是来自于一个假装用户的攻击者。
根据本发明的第二方面,在归属或被访问服务网络的实体处提供了一个新的机制,用于保持与用户有关的会话信息并用于链接所述的会话信息与安全隧道的建立和断开。在一个当前的优选实施例中,这个实体优选地是一个与上述安全服务进入点(SSEP)(N-41)合作的单点登陆(SSO)服务器(N-42),然而它也可能仅仅是它们中的一个。用这种方法,当用户(N-10)进一步尝试在安全通信信道(S-24)上接入服务,以便向用户提供单点登陆支持的时候,用户(N-10)、或服务自己、或者一个为此与服务合作的实体向SSO服务器(N-42)请求服务凭证。SSO服务器(N-42)保证,这类对所述用户(N-10)的服务凭证的请求的确来自于所述用户接入这类服务的企图,而不是来自于一个假装用户的攻击者。因此,SS0服务器(N-42)能够向请求者提供所请求的服务凭证,而不必执行任何额外的验证。
因此,并仍然参考图2,SSEP与SSO服务器(N-42)交换信息(S-26),以便向用户分配一个用于隧道业务的IP地址。这个IP地址可以属于一个由服务网络来处理的IP地址集合。然后,SSEP(N-41)让SSO服务器(N-42)知道所述的用户(N-10)已经建立了一个会话。
只要实现了分配给用户的IP地址已经与用户接入凭证和对应的会话信息链接,SSO服务器(N-42)就能够保证,用所述内部IP地址接收的进一步的服务凭证请求的确来自于对应的用户。
假如用户已经与被访问的服务网络建立了安全通信信道,那么SSO服务器需要与负责所述用户的身份提供商(IdP)进行一个附加协作,身份提供商(IdP)即在任何附图中都未示出的一个起IdP的作用归属服务网络的实体。为简化起见,以下解释假定用户已经连接到起用户IdP作用的归属服务网络。
目前,即使用户经由一个不能提供数据源验证的接入网络接入的时候,他也能够在其方便的时候享受单点登陆(SSO)服务。特别地,根据这之后描述的优选的相应实施例,用户(N-10)可以在上述的任何商业模型下操作,即可以在围墙花园模型或联合式单点登陆模型下操作。
在第一实施例中,在图4说明的一个围墙花园方案下,当用户接入一个HTTP本地服务(N-44)时,一个中间节点(N-43)截获到HTTP本地服务的接入(S-30,S-29)。这个优选地是一个HTTP代理(当然为此也可以安排一个通用防火墙)的中间节点(N-43)向SSO服务器(N-42)查询(S-28)用户之前是否已经被验证。在这种情况下,识别用户的伪身份是之前被分配来确保数据源验证的IP地址。接收这类查询的SSO服务器(N-42)检查是否存在一个用所述IP地址标记的活动会话,并向HTTP代理(N-43)发送一个确认或服务凭证,HTTP代理向用户(N-10)提供对HTTP本地服务(N-44)的接入并选择性地把一个cookie分配到用户的终端浏览器中。如果提供了这个cookie,则它可以被进一步用来识别用户(N-10),而不需要在随后的HTTP服务请求中进一步向SSO服务器(N-42)核实。
在第二实施例中,在图5说明的一个围墙花园方案下,当用户接入非HTTP服务(N-45)时,或一般而言,当用户接入一个不需要上述HTTP代理的本地服务(N-45)时,本地服务(N-45)可以直接从用户终端(N-10)或许经由SSEP(N-41)被接入(S-24,S-31)。所请求的本地服务(N-45)把之前分配的IP地址用作一个伪身份来直接向(S-32)SSO服务器(N-42)查询,用户之前是否已经被验证。接收这类查询的SSO服务器(N-42)检查是否存在一个用所述IP地址来标记的活动会话,并向本地服务(N-45)发送一个确认或一个服务凭证来允许用户(N-10)的接入。
在第三实施例中,在一个图6说明的联合式SSO方案下,用户(N-10)尝试接入一个外部服务(N-51),并且因此用户的浏览器(N-10)根据LAP协议被重定向(S-30,S-33)到一个第三方SP(N-51),即一个外部服务。然后,第三方SP(N-51)用一个给定的IP地址向SSO服务器(N-42)请求(S-33,S-28)服务授权,该IP地址之前在用户提供接入凭证的时候已经被分配。对于被分配了作为伪标识符的所述给定IP地址的用户,SSO服务器(N-42)在SSO的前提下检查其验证和授权状态,然后返回一个可用来登陆到所请求的第三方SP的服务凭证。SSO服务器也可能如上述的第一实施例那样分配一个cookie。
最后,当用户断开安全隧道时,SSEP与SSO服务器通信,以便释放内部IP地址并删除SSO服务器中与用户相关的会话信息。
本发明在上面关于几个实施例用一个说明性而非限制性的方法被描述。显然,按照上述教学对这些实施例做出更改和变化是可能的,并且任何属于权利要求范围的实施例更改都被定位包括在其中。
权利要求
1.一个设备(N-41,N-42),被安排用于在电信服务网络(N-40)中经由一个不能提供数据源验证的接入网络(N-20),从用户(N-10)接收单点登陆服务请求,通过核心网络(N-30)验证的用户(N-10)已经接收(S-23)了接入凭证(数字证书),该设备包括-装置,用于经由接入网络(N-20)从用户(N-10)接收(S-24)接入凭证;-装置,用于检查(N-41;S-25,N-31)从用户(N-10)接收的接入凭证的有效性;-装置,用于只要接入凭证的有效性检查成功,就与用户(N-10)建立一个有效会话;-装置,用于在服务网络(N-40)中分配一个内部IP地址来识别用户;和-装置,用于链接(N-41,S-26,N-42)用户(N-10)的会话数据、接入凭证和被分配的内部IP地址;而其特征在于包括-装置,用于当经由接入网络(N-20)接收接入凭证时,通过使用一个接入网络分配给用户来寻址用户的外部IP地址,并且通过把在服务网络(N-40)中分配来识别用户的内部IP地址用作隧道业务中的内部IP地址,从而与用户(N-10)建立一个安全隧道(S-24)。
2.权利要求1的设备,还包括用于产生服务凭证(N-41,S-26,N-42)的装置,用于授权用户在服务网络(N-40)中接入服务。
3.权利要求2的设备,其中,只要有服务请求,就在每一个服务基础上产生(N-41,S-26,N-42)服务凭证。
4.权利要求1的设备,还包括装置,当所述接入凭证没有被一个识别的验证实体(N-31)标记时,用于与归属网络(N-30)的验证服务器(N-31)通信,以便检查从用户(N-10)接收的接入凭证的有效性。
5.权利要求1的设备,其中,用于与用户(N-10)建立安全隧道(S-24)的装置被包括在一个名为安全服务进入点(N-41)的第一装置中,而用于链接用户(N-10)的会话数据、接入凭证和被分配的内部IP地址的装置被包括在一个名为单点登陆服务器(N-42)的第二装置中。
6.权利要求5的设备,还包括用于互通(S-26)安全服务进入点(N-41)与单点登陆服务器(N-42)的装置。
7.权利要求1的设备,还包括装置,用于当所述归属网络不同于设备是其进入点的服务网络(N-40)时,在设备(N-41;N-42)和在归属网络(N-30)中负责所述用户的身份提供商(N-31)之间进行一个附加协作(S-25)。
8.权利要求1的设备,用于当用户(N-10)正在接入本地HTTP服务(N-44)或外部服务(N-51)的时候,外部服务(N-51)在一个不同于当前接入的服务网络(N-40)的网络(N-50)中,该设备具有用于检查(N-41,S-30,N-43,S-28,N-42)用户之前是否已经被验证的装置。
9.权利要求8的设备,具有用于与一个中间实体(N-43)通信的装置(S-30,S-28),中间实体(N-43)被安排来截获用户对HTTP本地服务(N-44)或对外部网络(N-50)中的外部服务(N-51)的接入(S-29)。
10.权利要求9的设备,其中,中间实体(N-43)是一个HTTP代理。
11.权利要求9的设备,其中,中间实体(N-43)是一个防火墙。
12.权利要求1的设备,用于当用户(N-10)正在接入一个非HTTP本地服务(N-45)的时候,具有用于检查(N-41,S-31,N-45,S-32,N-42)用户之前是否已经被验证的装置。
13.权利要求1的设备,其中,用于接收接入凭证的装置包括装置,用于检查核心网络发出的数字证书是否被给出,以指出用户的成功验证。
14.一个用户设备(N-10;N-11),被安排来执行一个与核心网络(N-30)的验证程序,并被安排来经由一个不能提供数据源验证的接入网络(N-20),来接入一个电信服务网络(N-40),用户设备(N-10;N-11)包括-装置,用于作为已被核心网络(N-30)验证的结果来获得(S-23)接入凭证;-装置,用于当经由接入网络(N-20)接入时,向服务网络(N-40)发送(S-24)接入凭证;而其特征在于包括-装置,用于经由接入网络(N-20)与服务网络(N-40)建立一个安全隧道(S-24),安全隧道使用接入网络分配给用户的外部IP地址来寻址用户;-装置,用于接收(S-24)一个内部IP地址,其由服务网络(N-40)分配并作为一个内部IP地址被包括在隧道业务内,以识别服务网络中的用户;和-装置,用于链接所述的接入凭证与内部IP地址和安全隧道。
15.权利要求14的用户设备(N-10;N-11),其中,用于获得接入凭证的装置包括-装置,用于从核心网络接收一个验证询问;-装置,用于产生一个验证响应并将其送返核心网络;-装置,用于产生一对公共和私人密钥对;和-装置,用于向核心网络递交公共密钥以及一个证明私人密钥所有权的数字签名。
16.权利要求14的用户设备(N-10;N-11),其中,用于获得接入凭证的装置包括-装置,用于从核心网络接收一个验证询问;-装置,用于产生一个验证响应并将其送返核心网络;和-装置,用于请求一个可从核心网络获得的数字证书。
17.权利要求16的用户设备(N-10;N-11),其中,用于获得接入凭证的装置还包括装置,用于产生一个可用于获得数字证书的公共密钥。
18.一个方法,用于在电信服务网络(N-40)中,支持经由一个不能提供数据源验证的接入网络(N-20),接入所述服务网络(N-40)的用户(N-10)的单点登陆服务,通过核心网络(N-30)验证的用户(N-10)已经接收(S-23)接入凭证,该方法包括下列步骤-在服务网络(N-40)经由接入网络(N-20)从用户(N-10)接收(S-24)接入凭证;-检查(N-41,S-25,N-31)在服务网络(N-40)接收的接入凭证的有效性;-只要接入凭证的有效性检查成功,就与用户(N-10)建立(N-41,S-26,N-42)一个有效会话;-在服务网络为用户分配(N-41,S-26,N-42)一个内部IP地址,以在服务网络中接入服务的时候识别用户;和-在服务网络(N-40)的实体(N-41;N-42)处,链接(N-41,S-26,N-42)用户(N-10)的会话数据、接入凭证和被分配的内部IP地址;而其特征在于包括下列步骤通过使用接入网络分配来寻址用户的外部IP地址,并且通过把在服务网络(N-40)中被分配来识别用户的内部IP地址用作隧道业务中的内部IP地址,从而经由接入网络(N-20),在用户设备端(N-10)和服务网络(N-40)的实体(N-41)之间建立一个安全隧道(S-24);和-在用户设备端(N-10),链接所述的接入凭证与所述的内部IP地址和所述的安全隧道。
19.权利要求18的方法,还包括一个步骤,用于产生服务凭证(N-41,S-26,N-42),以授权用户在服务网络(N-40)中接入服务。
20.权利要求19的方法,其中,产生服务凭证的步骤包括一个步骤,即只要有服务请求,就在每一个服务基础上产生服务凭证。
21.权利要求18的方法,其中,检查(N-41;N-41,S-25,N-31)从用户(N-10)在服务网络(N-40)接收的接入凭证的有效性的步骤还包括一个步骤,即当所述接入凭证没有被一个识别的验证实体标记时,与归属网络(N-30)的验证服务器(N-31)通信。
22.权利要求18的方法,其中,链接用户(N-10)的会话数据、接入凭证和被分配的内部IP地址的步骤还包括一个步骤,即互通(S-26)名为安全服务进入点(N-41)的负责安全隧道(S-24)的第一装置与名为单点登陆服务器(N-42)的第二装置,在其中发生了链接步骤。
23.权利要求18的方法,被用于当用户(N-10)正在接入一个本地服务(N-44;N-45)或一个外部服务(N-51)的时候,外部服务(N-51)是在一个不同于当前接入的服务网络(N-40)的网络(N-50)中,该方法还包括一个步骤,即检查(S-28,N-42;S-32,N-42)用户之前是否已经被验证。
全文摘要
本发明提供一个电信设备、用户设备和方法,用于在接入网络没有提供数据源验证的时候进行单点登陆验证。本发明提出再使用与核心网络执行的原始接入验证,即与持有用户签署的归属网络或用户正在漫游的被访问网络的验证。因此,在用户与核心网络成功验证期间获得的接入凭证在用户设备端与安全隧道链接,安全隧道经由接入网络被建立通向一个服务网络。在服务网络的一个实体处接收的所述接入凭证在那里也与该安全隧道链接,并且与内部IP地址链接,从而安全地识别服务网络中的用户。
文档编号H04L12/46GK1813457SQ200480018065
公开日2006年8月2日 申请日期2004年6月23日 优先权日2003年6月26日
发明者L·巴里加卡切雷斯, L·拉莫斯罗布莱斯 申请人:艾利森电话股份有限公司