用於web應用通信的系統和方法

2023-07-04 16:50:01

專利名稱：用於web應用通信的系統和方法
技術領域：
本發明涉及用於web應用通信的系統和方法。
背景技術：
由於web技術的標準化和跨平臺的一致性,如今web應用的勢頭越來越大。本上下文中的web應用是跨越了客戶端和伺服器的協作電腦程式的集合。可以例如經由網絡(例如，網際網路)上的web瀏覽器來訪問web應用的客戶端側部分。該部分是以瀏覽器支持的語言(例如，HTML JavaScript等)來編碼的，並且依賴於普通的web瀏覽器來呈現可執行的應用。通常將web應用的伺服器側部分稱為web服務。其通常沒有n部分，是使用不同的程式語言(例如，Java、PHP、Ruby、Python、Perl等)來編碼的，並且在應用伺服器的基礎設施上執行。在該應用中，將web應用的客戶端和伺服器部分都稱為資源。web應用的一個顯著方面是其在其資源之間傳送消息並與和其他文本應用相對應的資源通信的能力。在這點上，通信的每個方向(即，客戶端至伺服器、伺服器至客戶端、客戶端至客戶端以及伺服器至伺服器)都是重要的，因為其每一個都是針對新類型的應用和/或用戶體驗而展開的。如今的大部分web應用利用(先天單向的)HTTP來用於TCP/IP網絡上的通信。然而，能夠運行web應用的設備(例如，行動電話、PDA、TV、MID等)的多樣性日益增加。被這些設備使用來與世界的剩餘部分通信的網絡(例如，3G、Wi-Fi、乙太網、藍牙等)和方法(HTTP、WebSockets、XMPP、BOSH、Bayeux, IMS, SIP、SMS 等)的變化也日益增加。當然，不是所有的設備都支持每種通信方式。因此，在這些不同種類的設備之間需要有改進的web應用通信。

發明內容
相應地，本發明的目的是提供不同種類設備之間的web應用通信。根據第一方面，提供了在接入網關(AG)中將客戶端註冊到AG中的方法。所述AG適於在用於經由所述AG和應用級路由器(AR)，在一個或更多個客戶端和一個或更多個服務提供商(SP)之間提供通信的系統中操作。此外，所述系統包括AG、AR和認證提供商(AP)。所述方法包括a)從所述客戶端接收第一註冊消息，所述第一註冊消息包括全球用戶標識符(GUID)和所述客戶端的公鑰，所述GUID是所述AP上的統一資源標識符(URI)，用於驗證所述客戶端的用戶的標識；b)發行本地用戶標識符(LUID)，所述LUID是所述AG的資源的URI，維持所述客戶端與所述AG的連接；c)經由所述AR向所述AP發送第二註冊消息，所述第二註冊消息包括所述⑶ID、客戶端的公鑰以及LUID。d)經由所述AR從所述AP接收第一認證挑戰消息；
e)向所述客戶端 轉發所述第一認證挑戰消息；f)從所述客戶端接收對所述第一認證挑戰消息的第一認證響應，以認證用戶的標識；g)經由所述AR向所述AP轉發所述第一認證響應；以及h)經由所述AR從所述AP接收結果消息，所述結果消息指示所述第一認證響應是否成功認證了所述用戶的標識，以及如果成功認證了所述用戶的標識，包括標識證書，所述表示證書包括所述LUID，所述客戶端的公鑰以及所述GUID，其中，所述標識證書是使用所述AP的私鑰來加密的。該方法還包括如果所述結果消息指示成功認證了所述用戶的標識，i)獲得所述AP的公鑰；j)解密和存儲所述標識證書；以及k)向所述客戶端發送所述LUID。此外，該方法還包括如果所述結果消息指示沒有成功認證所述用戶的標識，I)返回步驟d)。根據第二方面，提供了在AG中建立客戶端和SP之間的連接的方法。所述AG適於在用於經由所述AG和AR，在一個或更多個客戶端和一個或更多個SP之間提供通信的系統中操作。所述系統包括AG、AR和AP。所述方法包括使用根據第一方面的方法將所述客戶端註冊到所述AG中。此外，所述方法包括從所述客戶端接收請求建立所述連接的第一服務請求消息，其中，所述第一請求消息包括所述LUID以及所述SP的指示，以及包括經由所述AR向所述SP發送第二服務請求消息，所述第二服務請求消息包括所述LUID和所述標識證書在所述AG上的URI。此外,所述方法包括經由所述AR從所述SP接收包括所述標識證書的所述URI的證書請求消息，以及經由所述AR向所述SP發送所述標識證書，以允許所述SP使用所述AP的公鑰來驗證所述標識證書的真實性。此外，所述方法包括經由所述AR從所述SP接收第二認證挑戰消息，所述第二認證挑戰消息包括使用所述客戶端的公鑰來加密的共享秘密，以及包括向所述客戶端轉發所述第二認證挑戰消息。該方法還包括從所述客戶端接收第二認證響應，所述第二認證響應包括使用所述客戶端的私鑰從所述第二認證挑戰消息解密的共享秘密，以及包括經由所述AR向所述SP轉發所述第二認證響應。該方法還包括經由所述AR從所述SP接收服務響應消息，所述服務響應消息指示所述SP是否已經接受所請求的所述連接的建立，以及包括向所述客戶端轉發所述服務響應消息。根據第三方面，提供了在AG中移除客戶端在AG中的註冊的方法。所述AG適於在用於經由所述AG和AR，在一個或更多個客戶端和一個或更多個SP之間提供通信的系統中操作。所述系統包括AG、AR和AP。所述客戶端是已經使用根據第一方面的方法註冊到所述AG中的。所述方法包括從所述客戶端接收包括所述LUID的移除請求消息。此外，所述消息包括響應於接收所述移動請求消息，移除所述客戶端在所述AG中的註冊，以及向客戶端發送指示已經移除註冊的肯定應答消息。根據第四方面，提供了在AG中提供從客戶端到網絡實體(NE)的通信的方法，所述網絡實體是另一客戶端或者是SP。所述AG適於在用於經由所述AG和AR，在一個或更多個客戶端和一個或更多個SP之間提供通信的系統中操作。所述系統包括AG、AR和AP。所述客戶端已經使用根據第一方面的方法註冊到所述AG中。所述方法包括從所述客戶端接收包括至所述NE的地址、至所述NE上的資源的路徑以及消息本體在內的消息。此外，所述方法包括向所述NE發送包括所述NE的地址、所述至所述NE上的資源的路徑、所述消息本體以及所述AG上對所述客戶端的標識證書的URI在內的消息。根據第五方面，提供了在AG中提供從(NE)到客戶端的通信的方法，所述網絡實體是另一客戶端或者是SP。所述AG適於在用於經由所述AG和AR，在一個或更多個客戶端和一個或更多個SP之間提供通信的系統中操作。所述系統包括AG、AR和AP。所述客戶端是已經使用根據第一方面的方法註冊到所述AG中的。所述方法包括從所述NE接收包括針對所述客戶端發行的LUID、至所述客戶端上的資源的路徑以及消息本體在內的消息。此外，所述方法包括向所述客戶端發送包括所述LUID、所述至客戶端上的資源的路徑以及所述消息本體在內的消息。根據第六方面，提供了在AR中處理消息的方法，所述消息的目的地是所述AR所不知道的服務。所述AR適於在用於經由AG和所述AR，在一個或更多個客戶端和一個或更多個SP之間提供通信的系統中操作。所述系統包括所述AG、所述AR和查找服務(LS)，所述LS適於保持可用服務的描述符的註冊，所述描述符包括至提供所述服務的所述SP的物理地址。所述方法包括向所述LS發送查找消息，所述查找消息包括所述服務的標識符以及對應的SP的標識符。此外，所述方法包括從所述LS接收所述服務的描述符。根據第七方面，提供了在AG中對從SP到客戶端的消息應用服務質量(QoS)命令的方法。所述AG適於在用於經由所述AG和AR，在一個或更多個客戶端和一個或更多個SP之間提供通信的系統中操作。所述系統包括所述AG、所述AR、AP和LS，所述LS適於保持可用服務的描述符的註冊，所述描述符包括提供所述服務的所述SP的公鑰。所述客戶端是已經使用根據第一方面的方法註冊到所述AG中的。所述方法包括經由所述AR從所述SP接收至所述客戶端的消息。此外，所述方法包括從所述AR接收所述QoS命令。此外，所述方法包括向所述LS發送包括所述SP的標識符的查找消息。此外,所述方法包括從所述LS接收對所述查找消息的響應，所述響應包括所述SP的描述符。所述方法還包括使用所述SP的公鑰驗證所述QoS命令的完整性，以及確定是否允許所述SP請求所述QoS命令的應用。所述方法還包括如果允許所述SP請求所述QoS命令的應用，向所述客戶端發送具有所應用的QoS命令的消息。所述QoS命令可以包括在從所述SP發送的消息中。備選地，所述系統還可以包括QoS產生器，QoS產生器適於產生QoS命令，以及響應於所述AR從所述SP向所述QoS產生器發送消息，可以從所述QoS產生器向所述AR發送所述QoS命令。確定是否允許所述SP請求所述QoS命令的應用的步驟可以包括諮詢所述AG的內部列表，所述內部列表指示允許哪個SP請求哪個QoS命令的應用。備選地，確定是否允許所述SP請求所述QoS命令的應用的步驟可以包括諮詢所述AG外部的結伴服務(PS)，其中，所述PS適於跟蹤允許哪個SP請求哪個QoS命令的應用。
根據第八方面，提供了 AG，用於在一個或更多個客戶端與一個或更多個SP之間提供通信的系統中操作。所述系統包括所述AG、在客戶端和SP之間路由消息的AR、用於驗證客戶端的用戶標識的AP、以及用於保持當前可用服務的註冊的LS。針對與其連接的每個客戶端，所述AG適於針對一個或更多個接入網上在所述客戶端和所述AG之間的一個或更多個連接，維持特定的傳輸連接，以及向所述客戶端指派LUID，所述LUID是如下的URI :能夠使用來訪問所述客戶端的資源，而與所述客戶端經由哪個接入網來進行連接無關。所述AG還可以適於執行根據第一、第二、第三、第四、第五或第七方面的方法中的一個或更多個。根據第九方面，提供了 AR，用於在一個或更多個客戶端與一個或更多個SP之間提供通信的系統中操作。所述系統包括根據第八方面的AG、所述AR、用於驗證客戶端的用戶的標識的AP、以及用於保持當前可用的服務的註冊的LS。所述AR適於在客戶端和SP之間路由消息。所述AR還適於執行根據第六方面的方法。根據第十方面，提供了 AP，用於在一個或更多個客戶端與一個或更多個SP之間提供通信的系統中操作。所述系統包括根據第八方面的AG、根據第九方面的AR、所述AP、以及用於保持當前可用的服務的註冊的LS。所述AP適於驗證客戶端的用戶的標識。根據第十一方面，提供了用於在一個或更多個客戶端與一個或更多個SP之間提供通信的系統。所述系統包括根據第八方面的AG、根據第九方面的AR、根據第十方面的AP、以及用於保持當前可用的服務的註冊的LS。本發明的其他方面在從屬權利要求中進行了限定。應該強調，當在本說明書中使用時，採用術語「包括/包括了 」來指定所提到的特徵、整體、步驟或組件的存在，然而並不排除一個或多個其它特徵、整體、步驟、組件或其組群的存在或增加。


參考附圖，本方面的其他目的、特徵和優點將從以下詳細描述中顯現，在附圖中圖I示意性地示出了根據本發明的實施例的系統；圖2示意性地示出了根據本發明的實施例，連接到接入網關的客戶端；以及圖3-11示出了根據本發明的實施例，系統的各個組件之間的交互。
具體實施例方式圖I示意性地示出了根據本發明的實施例的系統。根據本實施例的系統包括接入網關(AG) 10、應用級路由器(AR) 20、查找表服務(LS) 30、以及與一個或更多個客戶端50和服務提供商(SP) 60通信的認證提供商(AP) 40。向應用資源全局指派可尋址的標識符，該標識符允許任何方向的應用間消息傳遞。AG 10是接入點，在連接到其的客戶端與其所屬於的接入網70之間維持傳輸特有的連接。AGIO將這些連接映射到其在連接初始化時向客戶端50指派的標識符。AGIO能夠維持至客戶端的多個連接，以用於QoS(服務質量)控制目的。AR 20執行通過網絡的消息尋路。從而，AR 20形成客戶端50和網絡資源之間的邏輯「總線」80。可選地，可以使用組合算法來擴展AR 20，該組合算法計算更複雜的消息路由以提供增值服務。LS 30是用於地址解析和探索的web應用及其特性的註冊處。根據下面描述的本發明的實施例，還提供了涉及該系統的特定數目的相關方法。web應用包括在客戶端側或在網絡中執行的資源。可以通過URI (統一資源標識符)的方式來標識資源，該URI使用以下的通用URI兼容語法 warp://〈provider〉:〈service〉[/]
資源URI包括其後是冒號和雙斜線的方案(warp://)、包括由冒號分隔開的提供商名和服務名的權威機構(:〈service>),以及可選的資源路徑(/〈path〉)。權威機構部分指定了保存(host)由URI標識的資源的服務(例如，web伺服器或者行動裝置web運行時間環境)，而路徑部分定位該服務上的資源。應該注意到，以上的語法僅是示例，在本發明的其他實施例中也可以使用其他語法。如圖2中所示，客戶端50通過使用其接入網連接層100經接入網70建立至AG 10的連接來附著到系統。從而AG 10對不同類型的接入網擔當了客戶端適配器，並專門對這些網絡執行連接維護。當客戶端連接到AG 10時，AG 10將客戶端的新產生的URI註冊到其內部的客戶端註冊資料庫120中。有效地，客戶端50變為系統中的新服務，暴露其經由客戶端50的URI的資源路徑可尋址的資源110。因為客戶端的URI獨立於客戶端經由其連接到AG 10的接入網70的連接方法和類型，在不同類型的接入網上尋址與該系統耦合的客戶端50並和其互通是可能的。 根據本發明的實施例，存在與每個客戶端50相關聯的兩種類型的標識符，該每個客戶端50經由AG 10進行連接。第一標識符是全球用戶標識符(⑶ID)，表示當前操作客戶端的用戶的標識。GUID是針對位於發行、維護和驗證用戶標識符的權威機構處的資源的URI。例如，warp://er:auth/leo可以是表示在由提供商er提供的權威機構服務auth處的用戶Ieo的⑶ID。可以檢索服務er:aut，以使用例如挑戰-響應機制來驗證Ieo的標識的真實性。第二種類型的客戶端標識符是本地用戶標識符(LUID)，由AG 10發行，持續時間為與客戶端50的會話。LUID是針對位於AG 10處的資源的URI，AG 10維護客戶端的連接。例如，warp://er:gw/leo_l可以是屬於用戶Ieo的客戶端在由er提供的網關gw處的LUID。GUID和LUID之間的映射可以由GUID權威機構來維護，並可以用於探索用戶客戶端的當前URI。圖3是示出根據實施例，在註冊過程期間，客戶端50與AG 10之間的對話的序列圖。消息130-160表示對應傳輸消息的有效載荷，該有效載荷是接入網特有的，並且在本上下文中被提煉出。消息包括首部的集合(例如，Method (方法)、To (去往)、From(來自於)等等)和任選對象。在第一消息130中，客戶端50要求AG 10使用註冊(REGISTER)方法來註冊，並在To首部中指定其GUID。回到客戶端的第二消息140包含To首部中新關聯的LUID以及認證(Authenticate)首部中由⑶ID權威機構發行的挑戰，客戶端50在第三消息150的Authenticate首部中對該挑戰進行響應。最後，從GUID權威機構到客戶端50的第四消息160在狀態(Status)首部中包含正面的註冊結果。認證過程的實施例的其他細節在圖10的上下文中呈現。根據本發明的實施例，提供了移除客戶端50在AG 10中的註冊的方法(或者「撤銷註冊過程」)。客戶端50發送移除請求消息，該移除請求消息被AG 10所接收到。移除請求消息包括客戶端的LUID。響應於此，AG 10移除客戶端50在AG 10中的註冊。此外，AG10向客戶端50發送指示已經移除註冊的肯定應答消息。圖4是根據本發明的實施例，撤銷註冊過程的序列圖。客戶端50發送消息170 (上述的「移除請求消息」)，在Method首部中將其自身的LUID指定為接受者以及指定刪除(DELETE)。向客戶端發送撤銷註冊結果消息180 (上述的「肯定應答消息」)，並且其LUID被無效掉，以及從AG 10移除註冊。
一旦註冊了，客戶端50可以向位於網絡或其他客戶端中的資源發送消息。例如，在圖5中，客戶端50上的信使應用(warp://er:gw/leo_l/mailer)與網絡中的郵件服務(warp://er:mailer/...)的資源進行交談。第一對消息190、200與郵件消息的郵遞相對應，以及第三消息210與客戶端應用從郵件服務接收新郵件消息相對應。
類似地，圖6在步驟212和214中示出了客戶端50a經由AG 10向另一客戶端50b發送消息的過程。From首部包含消息發起者的地址(warp://er:gw/leo_l/app/res),以及在 To 首部中規定目的地址(warp://er:gw/vlad-2/app/res)。為了促進服務地址解析和服務探索，可以利用中央服務註冊，圖7示出了該中央服務註冊。在初始化時，每個服務產生服務描述符(Service Descriptor),服務描述符包含服務的公開可接入特性集合。然後，服務將其描述符註冊220到預先配置的LS 30，使其可發現自身。當服務變為臨時性或永久性不可用時，服務也應該從LS 30解除其自身的註冊225。當AR 20接收目的地是AR20所不知曉的服務的消息(即，關於誰未被存儲在其高速緩存中的信息)時，AR 20查詢LS 30，以查找該服務的描述符。例如，AR 20可以向LS 30發送查找消息，該查找消息包括服務的標識符和對應SP 70的標識符。LS 30在235向AR20返回描述符。因此，在步驟235中，AR 20從LS 30接收描述符。從而，AR 20可以從該描述符推斷出促進消息的發送所需的可應用傳輸，方法以及URI。探索可用的服務、與給定的搜索準則相匹配的描述符也是可能的。在一些實施例中，所有的服務和資源訪問LS 30，以及因此其中的任何服務和資源可以使用這種探索機制。在一些實施例中，AR 20還可以依據部署場景執行比單純向目標目的地轉發消息更先進的路由。因為消息在共同格式化的首部中攜帶了相對巨大數量的元數據，所述首部可以進行自查(introspect)並採用更高級的決定作為結果。為了示出，可以由潛在的不可信源發送特定的消息。在轉發之前，AR 20可以決定通過向日誌服務發送該消息，將關於消息的發送者、時間以及其他信息(很可能包括消息自身)記入日誌。然後，為了確保消息免於惡意軟體，向惡意軟體移除服務發送該消息。然後，AR 20可以等待來自惡意軟體移除服務的已修改消息，向接受者發送該已修改的消息，而不是原始消息。AR 20自身不需要執行服務組合(service composition)。相反,在一個實施例中，決定引擎可供作為單獨服務使用。在遇到可能要求組合的消息時，AR 20將針對可應用的路由指令(如果有的話)來查詢決定引擎。此外，可以使用專用於特定應用或數據結構的一系列決定引擎。然後，決年個引擎可以自查消息，並與僅基於消息首部做出決定相比提出可能更好的路由集合。由於客戶端URI (或LUID)與客戶端50經由AG 10連接的接入網的連接方法和類型無關，可以對向客戶端50傳遞或從客戶端50傳遞的消息強加和強制服務質量要求。通過將若干傳輸連接引入到使用不同QoS參數配置的客戶端50並在連接的一端或兩端使用傳輸調度算法，可以實現這種強加和強制的服務質量要求。根據本發明的一些實施例，AG 10可以具有以下描述的兩種QoS模式中的一種或兩種。AG 10或者相關聯的決定引擎可以基於消息自查來嘗試對消息透明地應用QoS優先級，或者決定顯式地提供的QoS命令，如果有的話。圖8示出了根據本發明實施例的這種QoS強制，其中，消息包括QoS命令，例如作為消息首部的一部分。經由AR 20向AG 10發送這種消息(步驟245、250)。在特定的消息首部中規定QoS命令，該消息首部包括該命令、應用該命令首部的實體的提供商和服務名、以及使用添加了該QoS命令的服務的私鑰籤名的消息的散列。這些命令向AG 10建議其應該嘗試將什麼QoS應用到消息。然而，AG 10可以根據其判斷來忽視這些指示。在接受標記QoS的消息時，AG 10可以通過請求應用該QoS命令的實體的描述符(步驟255、260)來嘗試驗證QoS命令首部。從描述符提取實體的公鑰，並使用該公鑰來驗證QoS命令的完整性。如果顯示出QoS命令完整性受到損害，AG 10將忽視該QoS命令。如果QoS命令籤名與命令本身相匹配，AG 10決定是否允許應用該命令的實體請求這種QoS。這可以通過內部的列表或者通過查詢結伴伺服器(PS) 240來進行。對結伴伺服器(partnering server)的查詢可以包括服務提供商以及QoS應用實體的名稱(步驟 265)，響應(步驟270)可以是允許實體訪問的QoS命令的列表，以及很可能還有對每個QoS命令的訪問限制，例如，每小時的消息數目或者單個QoS命令上允許的總數據。最後，可以將批准的QoS應用到消息遞送方法(步驟275)。應用QoS命令的實體不需要與發起消息本身的實體是相同實體。圖9示意了該情況。步驟290對應於圖8中的步驟245，不同之處在於該消息不包括QoS命令。在AR 20使用決定引擎(0幻280來生成路由合成(步驟295、300)的部署中，該列表上的一跳可以是QoS產生實體。從而，可以向QoS產生器285發送消息(步驟305)，QoS產生器285可以基於一些內部規則集合來應用QoS命令，並將修改後的消息發送回AR 20(步驟310)。後續步驟315-340對應於圖8中的步驟250-275。在很多情況下，可信和/或加密連接的建立是通信基礎設施的關鍵部分。此外，當將行動裝置作為客戶端處理時，還必須考慮到建立安全連接所需的數據傳遞量，以及行動裝置的處理功率的限制。根據本發明的實施例，提供了將客戶端50註冊到AG 10中的方法。所提出的方法是涉及AP 40的SSO(單籤約)解決方案。客戶端50通過連接到AG 10來進行籤約，在認證階段期間，AG 10擔當用戶的AP 40的代理。在用戶已經與AP 40認證之後，AP 40產生標識的證書，該標識的證書將用戶的標識與連接到AG 10的客戶端50進行連結。將證書存儲在AG 10處，允許AG 10代表客戶端50安全地對網絡資源進行認證。在連接之前，客戶端50產生公共加密密鑰和私有加密密鑰的集合。根據一些實施例，在確保認證中的安全中將這些密鑰作為工具，並且可以不重複使用。此外，AP 40也可以具有公鑰和私鑰的集合，經由擔保裝置(例如，公鑰基礎設施)，AP的公鑰是可以自由獲得的。所提出的註冊方法允許客戶端50使用AP 40提供的標識信息來建立至任何給定SP 70的已認證會話。此外，以AG 10代表客戶端50執行一部分認證的這種方式進行識別，從而降低了在客戶端的網絡連接上傳輸的數據的量。撤回客戶端的證書與終止其所有會話可以是等效的，並且可被用於例如去激活被盜的客戶端設備。圖10示出了 SSO方法的實施例(可以看做圖3中示出的實施例的更詳細的實施例)。客戶端50連接到AG 10，指定用戶期望使用的AP的URI，以驗證其標識。所述URI是上述的⑶ID。在連接時，AG 10發行新產生的LUID，該新產生的LUID對於客戶端與AG 10的該會話是有效的。
在認證階段期間，AG 10擔當客戶端50和AP 40之間的代理。客戶端50和AP 40可以執行能夠抵擋中間人(man-in-the-middle)攻擊的任何認證機制。在認證過程中，向AP 40提供由客戶端50先前產生的公鑰。如果對用戶的標識的認證是成功的，AP 40為客戶端50創建標識證書,該標識證書包含客戶端的LUID和公鑰以及用戶的GUID。使用期滿時間來標記證書以及使用AP的私鑰來對證書籤名，允許任何方使用AP的 公鑰來驗證其真實性。向AG 10發送標識證書，AG10存儲標識證書以便將來使用。現在以AG 10認證客戶端50，並被完全連接上。在圖10中，經由AR 20發送AG 10和AP 40之間的通信，為了簡明起見，圖中已將其忽略。在步驟345中，客戶端50產生密鑰對。在步驟350 (對應於圖3中的步驟130)中，第一註冊消息從客戶端50發送，並被AG 10接收。第一註冊消息包括用戶的⑶ID和客戶端的公鑰。然後，AG 10發行LUID，並且在步驟355中，AG 10向AP 40發送第二註冊消息。第二註冊消息包括⑶ID、客戶端的公鑰和LUID。在步驟360中，AP 40發送認證挑戰消息，該消息由AG 10接收，並且在步驟365 (對應於圖3中的步驟140)中由AG 10向客戶端50發送。在步驟370中(對應於圖3的步驟150)，客戶端50發送對認證挑戰消息的認證響應，並由AG 10接收，該認證響應用於認證用戶標識。在步驟375中，AG 10向AP 40轉發認證響應。然後，AP 40驗證對用戶標識的認證，並向AG 10發送結果消息，該結果消息指示認證響應是否成功認證了用戶的標識。圖10示出了成功認證用戶標識的情況。在該情況下，在步驟380中產生所述證書，並且使用AP的私鑰來加密，所述證書包括所述LUID、客戶端的公鑰以及⑶ID。將證書包括在步驟385中發送的結果消息中。在步驟390處，AG 10存儲證書。步驟390還可以包括獲得AP的公鑰，並解密證書。此外，在步驟395 (對應於圖3中的步驟160)中，AG 10使用註冊響應消息向客戶端50發送LUID。另一方面，如果用戶標識的認證不成功，可以重複認證過程，例如，通過使用來自AP 40的新認證挑戰消息來從步驟360開始。根據本發明的一些實施例，提供了在客戶端50與SP 70之間建立連接的方法，客戶端50已根據以上所述註冊到AG 10。圖11示出了該方法的實施例。當客戶端50希望設置與SP 70的對話時，可以向SP 70發送定期的請求，而不關心認證，但是包括了其自己的LUID。SP 70可以查詢AG10，以查找客戶端的標識證書。從而，SP 70可以驗證證書是有效的(例如，客戶端LUID匹配，並且AP 40正確地對證書進行了籤名)。一旦滿足其有效性，SP 70可以通過證書中指定的⑶ID來識別用戶。如果SP70不希望為用戶提供服務，其可以在該階段拒絕該連接。假設SP 70決定接受對話，其可以決定是否發起與客戶端50的明文或加密通信會話。然後，SP 70產生隨機的字節序列，以構建客戶端50和SP 70之間的「共享秘密」。使用客戶端的公鑰來加密該共享秘密，並向客戶端50發送。從而，客戶端可以使用共享秘密來用於任何形式的現時認證(nonce authentication),例如,HTTP摘要，以向SP 70確認會話。在圖10中，經由AR 20發送AG 10和SP 70之間的通信，為了簡明起見，圖中已將其省略。在步驟400中，客戶端50發送請求與SP 70建立連接的第一服務請求消息，AG 10接收該第一服務請求消息。第一服務請求消息包括LUID和SP 70的指示。在步驟405處，AG 10向所指示的SP 70發送第二服務請求消息。第二服務請求消息包括客戶端的LUID，並且還可以包括客戶端的證書在AG 10上的URI。在步驟410中，從SP 70發送證書請求消息，並由AG 10接收到，證書請求消息包括例如LUID和/或客戶端證書的所述URI。響應於此，AG 10在步驟415中向SP 70發送客戶端證書。然後，SP 70可以使用請求消息向AP40請求AP的公鑰(步驟420)，並從AP 40接收AP的公鑰(步驟430)。然後，在步驟430中，SP 70可以使用SP 70從AP 40獲得的AP的公鑰來驗證客戶端的證書的真實性。在步驟435中，SP 70產生共享秘密，並使用客戶端公鑰來對其加密。在步驟440中，SP 70發送認證挑戰消息，認證挑戰消息由AG 10接收到。認證挑戰方法包括使用客戶端的公鑰來加密的共享秘密。在步驟445中向客戶端50轉發認證挑戰消息。然後，在步驟450中，客戶端50使用客戶端的私鑰來解密共享秘密。之後，在步驟455中 ，客戶端50發送認證響應，認證響應被AG 10接收到。認證消息包括使用客戶端的私鑰從認證挑戰消息解密的共享秘密。在步驟460中，AG 10向SP 70轉發認證響應。響應於此，SP 70發行服務響應消息，服務響應消息指示SP 70是否已經接受所請求的與客戶端50建立連接。SP 70在步驟465中發送服務響應消息，並由AG 10接收。在步驟470中，AG 10向客戶端50轉發服務響應消息。根據本發明的一些實施例，提供了從客戶端50向網絡實體(NE)提供通信的方法，客戶端50註冊到AG 10上，網絡實體(NE)可以是另一客戶端或者是SP 70。客戶端50可以發送包括至NE的地址、至NE上的資源的路徑以及消息本體在內的消息，該消息被AG 10接收到。這可以例如對應於步驟212 (圖6)或步驟400 (圖11)。然後，AG 10可以向NE發送包括所述至NE的地址、所述至NE上的資源的路徑，以及AG 10上對客戶端的證書的URI在內的消息。這可以例如對應於步驟214 (圖6)或步驟405 (圖11)。此外，根據一些實施例，提供了從這種NE向客戶端50提供通信的方法，客戶端50註冊到AG 10。NE可以發送包括針對客戶端50發行的LUID、至客戶端上的資源的路徑以及消息本體在內的消息，該消息被AG 10接收到。然後，AG 10可以向客戶端50發送包括所述LUID、所述至客戶端上的資源的路徑以及消息本體在內的消息。因此，NE可以僅經由LUID透明地訪問客戶端50上的資源，而無需知道客戶端50所使用的接入網70的特定傳輸的細節。以上已經參考特定的實施例描述了本發明。然而，在本發明的範圍內，除上述實施例之外的其他實施例是可能的。在本發明的範圍之內，可以提供與上述方法步驟不同的方法步驟，該方法步驟通過硬體或軟體來執行方法。可以通過除了所描述的那些組合之外的其他組合來對實施例不同特徵和步驟進行組合。本發明的範圍僅受所附的專利權利要求限制。
權利要求
1.一種接入網關AG(IO)中的方法，用於在所述AG(10)中註冊客戶端(50)，其中 所述AG(IO)適於在用於經由所述AG(IO)和應用級路由器AR(20)，在一個或更多個客戶端(50)和一個或更多個服務提供商SP(70)之間提供通信的系統中操作； 所述系統包括所述AG(10)、所述AR(20)以及認證提供商AP(40);以及 所述方法包括 a)從所述客戶端(50)接收第一註冊消息，所述第一註冊消息包括全球用戶標識符GUID和所述客戶端(50)的公鑰，所述GUID是所述AP (40)上的統一資源標識符URI，用於驗證所述客戶端(50)的用戶的標識； b)發行本地用戶標識符LUID，所述LUID是所述AG(10)的資源的URI，維持所述客戶端與所述AG (10)的連接； c)經由所述AR(20)向所述AP(40)發送第二註冊消息，所述第二註冊消息包括所述⑶ID、客戶端的公鑰、以及LUID。
d)經由所述AR(20)從所述AP(40)接收第一認證挑戰消息； e)向所述客戶端(50)轉發所述第一認證挑戰消息； f)從所述客戶端(50)接收對所述第一認證挑戰消息的第一認證響應，以認證用戶的標識； g)經由所述AR(20)向所述AP(40)轉發所述第一認證響應；以及 h)經由所述AR(20)從所述AP(40)接收結果消息，所述結果消息指示所述第一認證響應是否成功認證了所述用戶的標識，以及如果成功認證了所述用戶的標識，包括標識證書，所述標識證書包括所述LUID、所述客戶端的公鑰以及所述GUID，其中，用所述AP的私鑰對所述標識證書加密。
2.根據權利要求I所述的方法，還包括如果所述結果消息指示成功認證了所述用戶的標識， i)獲得所述AP的公鑰； j)解密和存儲所述標識證書；以及 k)向所述客戶端(50)發送所述LUID。
3.根據權利要求I或2所述的方法，還包括如果所述結果消息指示沒有成功認證所述用戶的標識， I)返回步驟d)。
4.一種在接入網關AG(IO)中建立客戶端與服務提供商SP(70)之間的連接的方法；其中， 所述AG(IO)適於在用於經由所述AG(IO)和應用級路由器AR(20)，在一個或更多個客戶端和一個或更多個SP之間提供通信的系統中操作； 所述系統包括所述AG (10)、所述AR(20)、以及認證提供商AP (40)；以及 所述方法包括 -使用根據權利要求1-3中任何一項所述的方法將所述客戶端(50)註冊到所述AG(IO)中； -從所述客戶端(50)接收請求建立所述連接的第一服務請求消息，其中，所述第一服務請求消息包括所述LUID以及所述SP (70)的指示；-經由所述AR(20)向所述SP(70)發送第二服務請求消息，所述第二服務請求消息包括所述LUID和所述標識證書在所述AG(IO)上的URI ； -經由所述AR(20)從所述SP(70)接收包括所述標識證書的所述URI的證書請求消息；-經由所述AR(20)向所述SP(70)發送所述標識證書，以允許所述SP(70)使用所述AP的公鑰來驗證所述標識證書的真實性； -經由所述AR(20)從所述SP(70)接收第二認證挑戰消息，所述第二認證挑戰消息包括使用所述客戶端的公鑰加密的共享秘密； -向所述客戶端(50)轉發所述第二認證挑戰消息； -從所述客戶端(50)接收第二認證響應，所述第二認證響應包括使用所述客戶端的私鑰從所述第二認證挑戰消息解密的共享秘密； -經由所述AR(20)向所述SP(70)轉發所述第二認證響應； -經由所述AR(20)從所述SP(70)接收服務響應消息，所述服務響應消息指示所述SP (70)是否已經接受所請求的所述連接的建立；以及-向所述客戶端(50)轉發所述服務響應消息。
5.一種接入網關AG(IO)中的方法，用於移除客戶端(50)在所述AG(IO)中的註冊，其中 所述AG(IO)適於在用於經由所述AG(IO)和應用級路由器AR(20)，在一個或更多個客戶端(50)和一個或更多個服務提供商SP(70)之間提供通信的系統中操作； 所述系統包括所述AG(IO)、所述AR (20)、以及認證提供商AP (40)； 所述客戶端(50)已被使用根據權利要求1-3中任何一項所述的方法註冊到所述AG (10)中；以及所述方法包括 從所述客戶端(50)接收包括所述LUID的移除請求消息；以及響應於所述移除請求消息， -移除所述客戶端(50)在所述AG (10)中的註冊；以及 -向客戶端(50)發送指示已經移除註冊的肯定應答消息。
6.一種在接入網關AG(IO)中提供從客戶端(50)到網絡實體NE的通信的方法，所述網絡實體NE是另一客戶端或者是服務提供商SP (70);其中 所述AG(IO)適於在用於經由所述AG(IO)和應用級路由器AR(20)，在一個或更多個客戶端(50)和一個或更多個SP(70)之間提供通信的系統中操作； 所述系統包括所述AG(IO)、所述AR (20)、以及認證提供商AP (40)； 所述客戶端(50)已被使用根據權利要求1-3中任何一項所述的方法註冊到所述AG (10)中；以及所述方法包括 從所述客戶端(50)接收包括至所述NE的地址、至所述NE上的資源的路徑以及消息本體在內的消息；以及 向所述NE發送包括至所述NE的所述地址、至所述NE上的資源的所述路徑、所述消息本體以及所述AG(IO)上對所述客戶端(50)的標識證書的URI在內的消息。
7.一種在接入網關AG(IO)中提供從網絡實體NE到客戶端(50)的通信的方法，所述網絡實體NE是另一客戶端或者是服務提供商SP (70);其中 所述AG(IO)適於在用於經由所述AG(IO)和應用級路由器AR(20)，在一個或更多個客戶端(50)和一個或更多個SP(70)之間提供通信的系統中操作； 所述系統包括所述AG(IO)、所述AR (20)、以及認證提供商AP (40)； 所述客戶端(50)已被使用根據權利要求1-3中任何一項所述的方法註冊到所述AG (10)中；以及所述方法包括 從所述NE接收包括針對所述客戶端(50)發行的LUID、至所述客戶端(50)上的資源的路徑以及消息本體在內的消息；以及 向所述客戶端(50)發送包括所述LUID、至所述客戶端(50)上的資源的所述路徑、以及所述消息本體在內的消息。
8.—種在應用級路由器AR(20)中處理消息的方法，所述消息的目的地是所述AR(20)所不知道的服務，其中 所述AG(IO)適於在用於經由接入網關AG(IO)和所述AR(20)，在一個或更多個客戶端(50)和一個或更多個服務提供商SP(70)之間提供通信的系統中操作； 所述系統包括所述AG (10)、所述AR(20)、和查找服務LS (30)，所述LS (30)適於保持可用服務的描述符的註冊，所述描述符包括至提供所述服務的所述SP (70)的物理地址；以及所述方法包括 向所述LS(30)發送查找消息，所述查找消息包括所述服務的標識符以及對應的SP (70)的標識符； 從所述LS(30)接收所述服務的描述符。
9.一種在接收網關AG(IO)中對從服務提供商SP (70)到客戶端(50)的消息應用服務質量QoS命令的方法，其中， 所述AG(IO)適於在用於經由所述AG(IO)和應用級路由器AR(20)，在一個或更多個客戶端(50)和一個或更多個SP(70)之間提供通信的系統中操作； 所述系統包括所述AG(10)、所述AR(20)、認證提供商AP(40)、和查找服務LS(30)，所述LS (30)適於保持可用服務的描述符的註冊，所述描述符包括提供所述服務的所述SP (70)的公鑰； 所述客戶端(50)已被使用根據權利要求1-3中任何一項所述的方法註冊到所述AG (10)中；以及所述方法包括 經由所述AR(20)從所述SP(70)接收至所述客戶端的消息； 從所述AR (20)接收所述QoS命令； 向所述LS (30)發送包括所述SP (70)的標識符的查找消息； 從所述LS (30)接收對所述查找消息的響應，所述響應包括所述SP (70)的描述符； 使用所述SP的公鑰驗證所述QoS命令的完整性； 確定是否允許所述SP (70)請求所述QoS命令的應用；以及 如果允許所述SP(70)請求所述QoS命令的應用，向所述客戶端(50)發送應用了 QoS命令的消息。
10.根據權利要求9所述的方法，其中，所述QoS命令包括在從所述SP(70)發送的消息中。
11.根據權利要求9所述的方法，其中，所述系統還包括QoS產生器(285)，QoS產生器(285)適於產生QoS命令，以及響應於所述AR(20)從所述SP(70)向所述QoS產生器(285)發送消息，從所述QoS產生器(285)向所述AR(20)發送所述QoS命令。
12.根據權利要求9-11中任何一項所述的方法，其中，確定是否允許所述SP(70)請求所述QoS命令的應用的步驟包括諮詢所述AG(IO)的內部列表，所述內部列表指示允許哪個SP (70)請求哪個QoS命令的應用。
13.根據權利要求9-11中任何一項所述的方法，其中，確定是否允許所述SP(70)請求所述QoS命令的應用的步驟包括諮詢所述AG (10)外部的結伴服務PS (240)，所述PS (240)適於跟蹤允許哪個SP (70)請求哪個QoS命令的應用。
14.一種接入網關AG(IO)，用於在一個或更多個客戶端(50)與一個或更多個服務提供商SP(70)之間提供通信的系統中操作，其中，所述系統包括 -所述 AG (10)； -應用級路由器AR(20)，在客戶端(50)和SP (70)之間路由消息； -認證提供商AP (40)，用於驗證客戶端(50)的用戶的標識；以及 -查找服務LS (30)，用於保持當前可用服務的註冊；以及 針對與其連接的每個客戶端(50)，所述AG(IO)適於 -針對所述客戶端(50)和所述AG(IO)之間通過一個或更多個接入網的一個或更多個連接，維持特定傳輸連接；以及 -向所述客戶端(50)指派本地用戶標識符LUID，所述LUID是如下的URI :能夠用來訪問所述客戶端(50)的資源，而與經由哪個接入網連接所述客戶端(50)無關。
15.根據權利要求14所述的AG(IO)，還適於執行根據權利要求1-7或9_13中任何一項所述的方法。
16.一種應用級路由器AR(20)，用於在一個或更多個客戶端(50)與一個或更多個服務提供商SP(70)之間提供通信的系統中操作，其中，所述系統包括 -根據權利要求14或15所述的AG(IO)； -所述 AR (20)； -認證提供商AP (40)，用於驗證客戶端(50)的用戶的標識；以及 -查找服務LS (30)，用於保持當前可用的服務的註冊；以及 其中，所述AR(20)適於在客戶端(50)和SP之間路由消息。
17.根據權利要求16所述的AR(20)，還適於執行根據權利要求8所述的方法。
18.—種認證提供商AP (40)，用於在一個或更多個客戶端(50)與一個或更多個服務提供商SP(70)之間提供通信的系統中操作，其中，所述系統包括 -根據權利要求14或15所述的AG(IO)； -根據權利要求16或17所述的AR(20)； -所述AP (40);以及 -查找服務LS (30)，用於保持當前可用的服務的註冊；以及 其中，所述AP (40)適於驗證客戶端(50)的用戶的標識。
19.一種用於在一個或更多個客戶端(50)和一個或更多個服務提供商SP(70)之間提供通信的系統，所述系統包括 -根據權利要求14或15所述的AG(IO)； -根據權利要求16或17所述的AR(20)； -根據權利要求18所述的AP (40)； -查找服務LS (30)，用於保持當前可用的服務的註冊。
全文摘要
本發明公開了用於在一個或更多個客戶端(50)和一個或更多個服務提供商SP(70)之間提供通信的系統。該系統包括用於針對客戶端(50)和接入網關(10)之間的一個或更多個連接來維持特定傳輸的連接的接入網關(10)，用於在客戶端(50)和服務提供商(70)之間路由消息的應用級路由器(20)，用於驗證客戶端(50)的用戶的標識的認證提供商(40)，以及用於保持當前可用的服務的註冊的查找服務(30)。還公開了涉及該系統的各種方法。
文檔編號H04L9/32GK102640449SQ200980162325
公開日2012年8月15日 申請日期2009年11月6日 優先權日2009年11月6日
發明者列昂尼德·莫克羅申, 弗拉迪米爾·卡塔傑夫 申請人:瑞典愛立信有限公司