通過一個不信任接入網絡的單點登陸驗證的設備和方法

2023-09-11 15:41:10

專利名稱：通過一個不信任接入網絡的單點登陸驗證的設備和方法
技術領域：
本發明通常涉及用於多個用戶經由一個不信任的接入網絡接入服務網絡的單點登陸服務。更確切地說，本發明涉及一種用於在接入網絡沒有提供數據源驗證的時候進行單點登陸驗證的電信設備、用戶設備和方法。
背景技術：
單點登陸(以下簡稱SSO)是一個新興原則，它使用戶能夠接入不同的服務而不用對每個不同的特定服務都明確地驗證這類用戶。這個原則的提供意味著用戶只用在一個給定身份提供商(以下簡稱IdP)實體處被驗證一次，而且驗證結果對於進入其它服務或服務提供商(SP)也有效。換言之，SSO的目的是允許用戶安全地接入不同的服務和應用，而不用每次都被驗證和授權。
用於支持SSO的方法基本上有兩個，即一個所謂的以終端為中心的方法和一個所謂的以網絡為中心的方法。
在以終端為中心的方法下，用戶終端支持接入不同的服務所必需的不同的驗證機制。例如，終端代替用戶自己來存儲不同的口令。在這方面，這個方法仍然將支持不同驗證機制的負擔放在用戶或終端上。而且，用戶需要向每個起服務提供商(SP)作用的實體進行註冊，因此每個所述的實體都具有與用戶相關的必要信息，例如類似於用戶身份和口令、郵遞地址、聯繫信息、付款模式等等。
在以網絡為中心的方法下，用戶只用向一個中央實體驗證，該中央實體對所述用戶起身份提供商(IdP)的作用。當用戶想接入一個給定服務時，對應的服務提供商(SP)不需要新的驗證。替代地，身份提供商(IdP)向服務提供商(SP)出示一個或多個服務憑證，從而統計用戶已經被驗證並且提供與用戶相關的必要信息。當然，這個機制需要一個SP和IdP之間的業務關係。
一個特例是當同一個實體(例如一個行動網路運營商(以下簡稱MNO))控制接入驗證時，還同時承擔IdP的角色。例如，假如IdP具有從CN獲得信息的裝置，比如在通用分組無線電業務(GPRS)驗證或電路交換驗證期間，用戶執行與核心網絡(CN)的驗證，以便獲準接入該網絡並且IdP依靠這個驗證，因此不需要向IdP進行新的驗證。
在這個特定情況下，如果用戶接入所經過的接入網絡提供數據源驗證，則身份提供商(IdP)只得依靠核心網絡(CN)驗證。例如是這種情況，即當用戶通過一個GPRS接入網絡正在接入時。
在這裡，數據源驗證意指對於從接入網絡接收的任何數據和任何一個始發者來說，所述數據的宣稱的始發者可以被認為是可信的。
然而，諸如無線區域網(WLAN)之類的其它接入網絡不提供數據源驗證，從而在為了SSO驗證接入網絡的時候排除了所執行源驗證的再使用。或者換言之，排除了為SSO目的的接入驗證的再使用。
在傳統的移動領域中，SSO原則意味著只要用戶已經執行了核心網絡(CN)驗證，這類用戶就可以藉助於單點登陸(SSO)支持來接入各種網絡中的服務而不用進一步的顯式驗證，並且其中，持有用戶籤署的歸屬網絡承擔這類用戶的IdP任務。一般而言，用戶可以通過用戶持有籤署的用戶歸屬核心網絡來驗證，或者通過用戶正在漫遊的被訪問核心網絡來驗證。為簡化起見，當前描述在下文中指的是一個核心網絡驗證，而不管是歸屬還是被訪問網絡來驗證用戶。在這裡，數據源驗證因為依靠行動網路運營商的核心網絡(CN)是一個可信網絡這個事實而被確保，並且從而一個具有所述CN分配的IP位址的移動站(或用戶設備、或用戶終端)可以經由所述的可信IP位址來識別。來源於移動站的任何數據都可以被認為是可信的。此外，在所述的IP位址被分配給用戶的移動站的期間，所述的IP位址可以被認為是該用戶的偽身份。這個原則在一個SSO方法下被使用，以獲得其它用戶的身份，比如移動用戶的目錄號碼(以下簡稱MSISDN)。
時下，單點登陸有兩個主要的商業模型。第一個是所謂的圍牆花園(walled-garden)SSO，指的是SSO用於提供SSO的同一實體提供的服務，即本說明當中的本地服務。支持這個商業模型的公開規範或標準技術並不存在。
另一個眾所周知的模型是所謂的聯合式SSO，其中，SSO服務由身份提供商(IdP)來提供，而服務由一個或多個服務提供商(SP)來提供，即本說明書中的外部服務。被稱為自由聯盟計劃(LAP)的產業論壇已經開發了一組協議，以提供支持所謂的聯合式SSO的情景。LAP不指定任何特定的驗證機制，而是指定驗證結果怎樣從身份提供商(IdP)被傳送到服務提供商(SP)，後者最後向終端用戶提供服務。然而，LAP沒有建議IdP在用戶正通過一個不信任的接入網絡接入的時候該如何工作。
在上述的單點登陸(SSO)方案(圍牆花園和聯合式SSO方案)中，當一個行動網路運營商(MNO)承擔核心網絡(CN)驗證提供商和身份提供商(IdP)兩個角色時，並且假如接入網絡提供數據源驗證，則用戶僅僅執行一個接入驗證，並且一旦這個步驟已經完成，那麼SSO可用於獲準接入許多服務而不需要任何新的驗證過程。
例如，假如接入網絡是一個GPRS網絡，只要GPRS驗證已經被成功地執行，起身份提供商(IdP)作用的實體就已經保證，任何對從一個具有給定IP位址的用戶接收的服務憑證的請求的確來自於那個用戶，而不是來自於一個執行IP欺騙的攻擊者。從而，IdP可以不執行任何額外的驗證就向用戶提供所請求的服務憑證。與這個可仿效的方案一致，US-6253327公開一個用戶只要通過網絡驗證就被分配一個IP位址的設備和方法，這個IP位址被用作一個通過協商的點到點協議會話被驗證的證據，從而消除了當用戶接入公眾或專用網絡區域時進一步驗證的需要。這在接入網絡提供諸如點到點協議會話提供之類的數據源驗證的時候，是一個可接受的解決方案。
然而，當前的技術發展水平沒有提供在接入網絡不提供數據源驗證時單點登陸驗證的保險的解決方案，因為識別用戶的給定IP位址不在行動網路運營商(MNO)的控制之下並且可能被執行IP欺騙的攻擊者使用。在這方面，在US-6571289中使用一個通過安全網關的隧道機制來驗證接入專用網的用戶，其添加和剝離專用網中的網絡實體的IP位址並且綁定功能，來關聯請求來源與對應響應的目標，以避免從接入網絡對專用網的直接接入，這對接入網絡不提供數據源驗證的情況沒有幫助，並且沒有排除來自於執行IP欺騙的攻擊者用戶的侵擾。
因此，本發明意在用這樣一個方法來克服這個限制，即通過不能提供數據源驗證的接入網絡(比如WLAN)提供接入的行動網路運營商(MNO)可以再使用對於SSO的原始接入驗證。而且，本發明用於至少在一個以網絡為中心的方法下來克服這個限制。

發明內容
上述目的根據本發明通過供給權利要求1的設備、權利要求14的用戶設備、權利要求18的方法來實現，通過再使用與核心網絡執行的原始接入驗證，它們都用來向一個正通過不提供數據源驗證的接入網絡接入的用戶提供單點登陸服務。設備、用戶設備和方法從而形成一個同一的發明構思。
根據本發明的設備被安排用於在電信業務網絡中經由一個不提供數據源驗證的接入網絡，從用戶接收一個單點登陸服務請求，而該用戶已經接收了通過核心網絡驗證的接入憑證。這個設備包括-裝置，用於通過使用所述接入網絡分配的一個外部IP位址經，由接入網絡與用戶建立一個安全隧道；-裝置，用於在安全隧道建立期間檢查從用戶接收的接入憑證的有效性；-裝置，用於只要接入憑證的有效性檢查成功，就與該用戶建立一個有效會話；-裝置，用於分配一個內部IP位址，以用作安全隧道內的內部IP位址；和-裝置，用於連結該用戶的會話數據、接入憑證和被分配的內部IP位址。
優選地，該設備裝備有產生服務憑證的裝置，服務憑證可用於接入某些需要專門授權證據的服務的用戶。另外，只要用戶提出服務請求，這裝置就被安排來在每一個服務基礎上為用戶產生服務憑證。
假定提供到服務網絡的接入憑證可能被標記或沒有被標記，該設備優選地配備有這樣一個裝置，當所述的接入憑證不是被識別的驗證實體標記時，該裝置用於與歸屬網絡的驗證伺服器通信，以便檢查從用戶接收的接入憑證的有效性。
該設備可以用不同的元件來有利地實現，其中，用於與用戶建立安全隧道的裝置被包括在名為安全服務進入點的第一裝置中，而用於為用戶連結會話數據、接入憑證和被分配的內部IP位址的裝置被包括在名為單點登陸伺服器的第二裝置中。在此方法下，該設備還包括用於互通所述第一和第二裝置的裝置，即安全服務進入點與單點登陸伺服器。
另一方面，假定用戶接入的服務網絡可能不同於用戶持有籤署的歸屬網絡，本發明的設備優選地包括，用於與負責歸屬網絡中的所述用戶的身份提供商進行額外協作的裝置。用於附加協作的所述裝置被優選地置於單點登陸伺服器，然而它們也可以被替換地置於安全服務進入點。
在操作中，當用戶正接入一個本地HTTP服務或一個不同於當前接入的服務網絡的網絡中的外部業務時，該設備包括用於檢查用戶之前是否已經被驗證的裝置。因此，該設備可以配備有用於與一個中間實體通信的裝置，中間實體被安排來截獲用戶對HTTP本地服務、或對外部網絡中的外部服務的接入。特別地，這個中間實體可以是一個HTTP代理，或一個為此而安排的通用防火牆。
在一個可仿效的操作中，當用戶正在接入一個非HTTP的本地服務時，該設備還包括用於檢查用戶之前是否已經被驗證的裝置。然而在這個方法下，在用戶和服務之間插入一個中間實體可能沒有太可觀的優點，所述裝置用於檢查服務和設備自身之間的共享。就這兩個可仿效的運用而言，是HTTP服務或非HTTP服務的事實不確定具有中間實體所帶來的優缺點，而是示出了適合本發明設備的不同的配置。
根據本發明的用戶設備被安排來執行一個與核心網絡的驗證程序，並且包括用於經由不提供數據源驗證的接入網絡與服務網絡建立一個安全隧道的裝置，其中，安全隧道利用由所述接入網絡分配的一個外部IP位址，並且用戶設備還包括-裝置，用於獲得通過核心網絡驗證的接入憑證；和-裝置，用於連結所述的接入憑證與安全隧道。
該用戶設備有利地包括裝置，用於連結在隧道業務內被接收為一個內部IP位址的內部IP位址與接入憑證和安全隧道。這樣，對特定服務的進一步接入可以在用戶設備處容易地遇到之前分配的IP位址，它是直接接入所述特定服務的一個偽身份。
儘管不同的機制可用來獲得接入憑證，然而可以設想通過提供一個用戶設備而得到附加的安全優點，其中，用於獲得接入憑證的裝置包括-裝置，用於從核心網絡接收一個驗證詢問；
-裝置，用於產生一個驗證響應並將其送返核心網絡；-裝置，用於產生一對公共和私人密鑰對；和-裝置，用於向核心網絡遞交公共密鑰以及一個證明私人密鑰所有權的數字籤名。
替換地，在一個簡化的用戶設備和核心網絡中，用於在用戶設備處獲得接入憑證的裝置包括-裝置，用於從核心網絡接收一個驗證詢問；-裝置，用於產生一個驗證響應並將其送返核心網絡；和-裝置，用於請求一個可從核心網絡獲得的數字證書。
根據本發明還提供了一個方法，用於在電信服務網絡中支持經由不能提供數據源驗證的接入網絡，接入所述服務網絡的用戶的單點登陸服務，該用戶被核心網絡驗證，並且該方法包括下列步驟-向已經通過核心網絡驗證的用戶設備端提供接入憑證；-通過使用所述接入網絡分配的外部IP位址，經由接入網絡在用戶設備端和服務網絡實體之間建立一個安全隧道；-在用戶設備端連結所述的接入憑證與所述的安全隧道；-在安全隧道建立期間，檢查在服務網絡從用戶設備端接收的接入憑證的有效性；-只要接入憑證的有效性檢查成功，就與該用戶建立一個有效會話；-在服務網絡處為該用戶分配一個內部IP位址，以用作隧道業務內的內部IP位址；和-在服務網絡實體處連結該用戶的會話數據、接入憑證和被分配的內部IP位址。
有利地並聯合一個用戶設備處的優選的對應特徵，該方法進一步包括一個步驟，即在用戶設備端連結一個內部IP位址與接入憑證和安全隧道，內部IP位址在隧道業務內被接收為一個內部IP位址。
此外，聯合上述設備中的優選的對應特徵，該方法還包括一個為用戶產生服務憑證的步驟。這個步驟另外還可以包括一個步驟，即只要有服務請求，就在每一個服務基礎上為用戶產生服務憑證。
優選地，當所述接入憑證沒有被一個識別的驗證實體標記時，檢查在服務網絡從用戶接收的接入憑證有效性的步驟，還包括一個與歸屬網絡的驗證伺服器通信的步驟。
另一方面，並取決於根據本發明給予設備的特定配置，該方法還可以包括一個步驟，即互通名為安全服務進入點的負責安全隧道的第一裝置與名為單點登陸伺服器(N-42)的第二裝置，其中發生了連結用戶的會話數據、接入憑證和被分配的內部IP位址的步驟。
在一個可仿效運用中，當用戶正接入本地服務或不同於當前接入的服務網絡的網絡中的外部服務時，該方法還包括用於檢查用戶之前是否已經被驗證的裝置。


本發明的特徵、目的和優點將通過結合附圖來閱讀本說明書而變得明顯，其中圖1示出一個用於基於可擴展驗證協議的接入控制的已知結構的基本概觀。
圖2說明了一個可仿效的結構和接口的概觀，集中於當用戶通過用戶歸屬網絡的驗證時涉及的實體和接口，並且還正經由一個不提供數據源驗證的接入網絡接入一個服務網絡，該服務網絡再使用接入驗證。
圖3示出了一個當前的優選實施例的流程圖，用於通過用戶歸屬核心網絡驗證的用戶獲得接入憑證。
圖4示出了圖中所示的可仿效結構和接口的第一概觀，集中於用戶正接入一個本地HTTP服務時的優選操作。
圖5示出了圖2中所示的可仿效結構和接口的第二概觀，集中於用戶正在接入本地非HTTP服務、或一個無諸如HTTP代理或防火牆之類的任何中間實體幫助的本地HTTP服務時的一個優選操作。
圖6示出了圖2中所示的可仿效結構和接口的第三概觀，集中於用戶正在接入一個外部服務時的一個優選操作，外部服務在一個不同於當前接入的服務網絡的網絡中。
具體實施例方式
下文描述了一個設備、用戶設備和方法的當前優選實施例，用於向正經由不提供數據源驗證的接入網絡接入的用戶提供獲得單點登陸(SSO)服務的可能性，比如正經由一個無線區域網(WLAN)接入的時候。
本發明給出了幾個方面，結合了用戶設備、尤其是歸屬服務網絡的被訪問服務網絡、以及經由一個不提供數據源驗證的接入網絡在所述用戶終端和所述被訪問服務網絡之間建立一個安全隧道。
根據本發明的第一方面提供了一個新的機制，用於在核心網絡驗證過程期間，在用戶終端(N-10)處從核心網絡(N-30)獲得驗證或接入憑證，並且用於在用戶終端處(N-10)連結所述驗證或接入憑證與一個到服務網絡(N-40)的特定安全隧道(S-24)，服務網絡(N-40)尤其可能是一個歸屬服務網絡或一個被訪問的服務網絡。為簡明起見，驗證或接入憑證在下文中簡稱為″接入憑證″。
因此，正如圖2中的說明和圖3中的程序，接入驗證的執行通過接入網絡(N-20)中的一個通用接入伺服器(以下簡稱GAS)(N-22)來完成，然而通過使用一個可擴展驗證協議框架(以下簡稱EAP，根據IETFRFC2284)，驗證自身在用戶(N-10)和被置於核心網絡(N-30)中的驗證伺服器(N-31)之間被端到端地執行。可擴展驗證協議提供一個被安排來支持多個驗證機制的驗證框架。迄今為止，EAP已經用經由交換電路或經由使用點到點協議(PPP)的撥號線路互連的主機和路由器實現。而且，EAP還已經被用根據諸如8021X-2001之類的IEEE802標準的交換機實現，其中，EAP消息被封裝。
EAP結構的一個優點是它的靈活性。例如，如圖1所示的網絡接入伺服器(N-21)(通常已知為NAS)，其通過PPP或IEEE802協議經由EAP被連接到一個在獲準接入網絡之前需要驗證的用戶(N-11)，網絡接入伺服器(N-21)可以驗證本地用戶而同時充當一個通過實體，以用於非本地用戶，以及不在NAS本地執行的那些驗證方法。
從而，在圖2說明的一個當前的優選實施例中，用戶(N-10)嘗試獲得對網絡的接入。一個PPP或基於IEEE802的連接(S-21)在接入網絡(N-20)中被建立在客戶端和GAS(N-22)之間。GAS通過在核心網絡(N-30)中用適當的″驗證、授權、計費″(以下簡稱AAA)協議(S-22)與驗證伺服器(N-31)通信來執行驗證，並充當一個用於EAP消息的穿越。
一個通常適當的AAA協議(S-12；S-22)可以是一個遠程驗證撥入用戶服務(以下簡稱RADIUS，根據IETFRFC2865)協議，該協議使用一個客戶端/伺服器模型，在圖1說明的網絡接入伺服器(NAS)(N-21；N-22)和驗證伺服器(N-31)之間傳送驗證、授權和配置信息。通常，電信網連接提供商使用RADIUS，以便核實它們的用戶的身份。因此，用戶撥打一個眾所周知的電話號碼，並且用戶和連接提供商這兩端的數據機建立一個連接。伺服器端中的數據機被連接到一個網絡接入伺服器(NAS)，其需要用戶在獲準接入網絡之前先進行一個要求(S-11)登錄名和口令的驗證。網絡接入伺服器(NAS)(N-21；N-22)使用RADIUS協議，在具有RADIUS伺服器(N-31)的網絡上通信(S-12)來驗證用戶，RADIUS伺服器收集了從NAS轉發的諸如登錄名和口令之類的用戶信息。驗證過程可能需要或不需要RADIUS伺服器向NAS發送許多詢問，用戶應該能夠對這些詢問做出響應。由於驗證過程的結果，RADIUS伺服器(N-31)向NAS(N-21；N-22)指出用戶(N-10；N-11)是否被允許接入網絡。另一個適用的AAA可以是DIAMETER，它是RADIUS的一個演變模式。
然後正如圖2中所說明的，EAP驗證經由接入網絡(N-20)的通用接入伺服器(N-22)，在用戶(N-10)和驗證伺服器(N-31)之間被端到端地執行(S-23)，通用接入伺服器(N-22)具體可能是圖1的網絡接入伺服器(N-21)。
在圖2中說明的EAP驗證過程期間，一個或幾個接入憑證，具體是在用戶(N-10)和歸屬網絡(N-30)之間被分配或商定，或者一般地說，是在用戶和核心網絡之間，而不管驗證用戶的核心網絡是歸屬網絡還是被訪問網絡。
這些接入憑證還被用來在用戶(N-10)和服務網絡(N-40)之間建立一個安全隧道(S-24)，服務網絡(N-40)可能是歸屬網絡或被訪問網絡。本發明的這個第一方面的目的是，這個安全隧道(S-24)，即一個安全通信信道，必須至少提供數據源驗證或其等效功能。
用於分配或商定接入憑證的不同機制可能適合於本發明的目的，因為它們可以被有效地用於與一個安全隧道相連結或相關聯。
雖然如此，根據一個現在的優選實施例，提供了一個圖3說明的新的機制，用於獲得短期證書以適用於本發明的目的。
在這個流程圖中，當驗證詢問已經在用戶終端(N-10)被接收時，並且除了產生驗證響應之外還產生一對公共和私人密鑰對。公共密鑰與一個證明私人密鑰所有權的數字籤名一起，並連同驗證響應被發送向核心網絡中的驗證伺服器(N-31)。
然後，只要用戶的驗證成功，接收到的數字籤名就被檢查，並且如果它是正確的，則一個短期的數字證書被產生，以用於用戶的公共密鑰。這個證書從(N-31)連同一個指出成功驗證的消息一起被送返用戶終端(N-10)。
替換於產生一對公共和私人密鑰並沒有在任何附圖中被說明的用戶終端，用戶終端(N-10)可以簡單地產生一個對數字證書的請求，數字證書將用驗證詢問的響應來遞交。
從而藉助於這個或另一個優選實施例獲得的短期數字證書是一種接入憑證，其將在用戶終端與一個根據本發明這個第一方面的安全隧道連結。
雖然如此，不同的機制也可以被用來從對本發明目的有效的核心網絡獲得接入憑證。圖2的優選實施例中所示出的一個可能性是如上述的短期證書之類的接入憑證從驗證伺服器(N-31)被分配給用戶(N-10)，驗證伺服器可以依次從一個分離的憑證提供商(N-32)獲得它們。另一個可能性是，驗證伺服器(N-31)自己產生這類接入憑證。接入憑證可以被驗證伺服器(N-31)或憑證提供商(N-32)電子地標記。一個替換實施例是一些密碼材料在驗證伺服器(N-31)和用戶設備(N-10)都被導出，並且隨後被用作一個接入憑證。在後一種情況中，把接入憑證從驗證伺服器分配到用戶不是必需的，但是結果的接入憑證之後不會被核心網絡(N-30)標記。
回到圖2，在接入驗證期間從核心網絡(N-30)獲得的接入憑證被用來在歸屬或被訪問服務網絡(N-40)中的用戶(N-10)和實體(N-41)之間建立一個安全隧道(S-24)，在即時規範中被稱為安全服務進入點(以下簡稱SSEP)。如果接入憑證沒有被核心網絡標記，則在SSEP(N-41)和驗證伺服器(N-31)之間優選地需要通信信道(S-25)，因此SSEP可以向驗證伺服器核實用戶(N-10)提供的接入憑證是否可以接受。另一方面，假如接入憑證被標記，那麼SSEP(N-41)優選地被安排來把它們接受為由驗證伺服器(N-31)或憑證提供商(N-32)標記的有效接入憑證。無論如何，用戶(N-10)和SSEP(N-41)之間的安全通信信道(S-24)必須至少提供數據源驗證。這樣，在這個安全通信信道上接收的所有業務都被認為來自於要求用戶而不是來自於一個假裝用戶的攻擊者。
根據本發明的第二方面，在歸屬或被訪問服務網絡的實體處提供了一個新的機制，用於保持與用戶有關的會話信息並用於連結所述的會話信息與安全隧道的建立和斷開。在一個當前的優選實施例中，這個實體優選地是一個與上述安全服務進入點(SSEP)(N-41)合作的單點登陸(SSO)伺服器(N-42)，然而它也可能僅僅是它們中的一個。用這種方法，當用戶(N-10)進一步嘗試在安全通信信道(S-24)上接入服務，以便向用戶提供單點登陸支持的時候，用戶(N-10)、或服務自己、或者一個為此與服務合作的實體向SSO伺服器(N-42)請求服務憑證。SSO伺服器(N-42)保證，這類對所述用戶(N-10)的服務憑證的請求的確來自於所述用戶接入這類服務的企圖，而不是來自於一個假裝用戶的攻擊者。因此，SS0伺服器(N-42)能夠向請求者提供所請求的服務憑證，而不必執行任何額外的驗證。
因此，並仍然參考圖2，SSEP與SSO伺服器(N-42)交換信息(S-26)，以便向用戶分配一個用於隧道業務的IP位址。這個IP位址可以屬於一個由服務網絡來處理的IP位址集合。然後，SSEP(N-41)讓SSO伺服器(N-42)知道所述的用戶(N-10)已經建立了一個會話。
只要實現了分配給用戶的IP位址已經與用戶接入憑證和對應的會話信息連結，SSO伺服器(N-42)就能夠保證，用所述內部IP位址接收的進一步的服務憑證請求的確來自於對應的用戶。
假如用戶已經與被訪問的服務網絡建立了安全通信信道，那麼SSO伺服器需要與負責所述用戶的身份提供商(IdP)進行一個附加協作，身份提供商(IdP)即在任何附圖中都未示出的一個起IdP的作用歸屬服務網絡的實體。為簡化起見，以下解釋假定用戶已經連接到起用戶IdP作用的歸屬服務網絡。
目前，即使用戶經由一個不能提供數據源驗證的接入網絡接入的時候，他也能夠在其方便的時候享受單點登陸(SSO)服務。特別地，根據這之後描述的優選的相應實施例，用戶(N-10)可以在上述的任何商業模型下操作，即可以在圍牆花園模型或聯合式單點登陸模型下操作。
在第一實施例中，在圖4說明的一個圍牆花園方案下，當用戶接入一個HTTP本地服務(N-44)時，一個中間節點(N-43)截獲到HTTP本地服務的接入(S-30，S-29)。這個優選地是一個HTTP代理(當然為此也可以安排一個通用防火牆)的中間節點(N-43)向SSO伺服器(N-42)查詢(S-28)用戶之前是否已經被驗證。在這種情況下，識別用戶的偽身份是之前被分配來確保數據源驗證的IP位址。接收這類查詢的SSO伺服器(N-42)檢查是否存在一個用所述IP位址標記的活動會話，並向HTTP代理(N-43)發送一個確認或服務憑證，HTTP代理向用戶(N-10)提供對HTTP本地服務(N-44)的接入並選擇性地把一個cookie分配到用戶的終端瀏覽器中。如果提供了這個cookie，則它可以被進一步用來識別用戶(N-10)，而不需要在隨後的HTTP服務請求中進一步向SSO伺服器(N-42)核實。
在第二實施例中，在圖5說明的一個圍牆花園方案下，當用戶接入非HTTP服務(N-45)時，或一般而言，當用戶接入一個不需要上述HTTP代理的本地服務(N-45)時，本地服務(N-45)可以直接從用戶終端(N-10)或許經由SSEP(N-41)被接入(S-24，S-31)。所請求的本地服務(N-45)把之前分配的IP位址用作一個偽身份來直接向(S-32)SSO伺服器(N-42)查詢，用戶之前是否已經被驗證。接收這類查詢的SSO伺服器(N-42)檢查是否存在一個用所述IP位址來標記的活動會話，並向本地服務(N-45)發送一個確認或一個服務憑證來允許用戶(N-10)的接入。
在第三實施例中，在一個圖6說明的聯合式SSO方案下，用戶(N-10)嘗試接入一個外部服務(N-51)，並且因此用戶的瀏覽器(N-10)根據LAP協議被重定向(S-30，S-33)到一個第三方SP(N-51)，即一個外部服務。然後，第三方SP(N-51)用一個給定的IP位址向SSO伺服器(N-42)請求(S-33，S-28)服務授權，該IP位址之前在用戶提供接入憑證的時候已經被分配。對於被分配了作為偽標識符的所述給定IP位址的用戶，SSO伺服器(N-42)在SSO的前提下檢查其驗證和授權狀態，然後返回一個可用來登陸到所請求的第三方SP的服務憑證。SSO伺服器也可能如上述的第一實施例那樣分配一個cookie。
最後，當用戶斷開安全隧道時，SSEP與SSO伺服器通信，以便釋放內部IP位址並刪除SSO伺服器中與用戶相關的會話信息。
本發明在上面關於幾個實施例用一個說明性而非限制性的方法被描述。顯然，按照上述教學對這些實施例做出更改和變化是可能的，並且任何屬於權利要求範圍的實施例更改都被定位包括在其中。
權利要求
1.一個設備(N-41，N-42)，被安排用於在電信服務網絡(N-40)中經由一個不能提供數據源驗證的接入網絡(N-20)，從用戶(N-10)接收單點登陸服務請求，通過核心網絡(N-30)驗證的用戶(N-10)已經接收(S-23)了接入憑證(數字證書)，該設備包括-裝置，用於經由接入網絡(N-20)從用戶(N-10)接收(S-24)接入憑證；-裝置，用於檢查(N-41；S-25，N-31)從用戶(N-10)接收的接入憑證的有效性；-裝置，用於只要接入憑證的有效性檢查成功，就與用戶(N-10)建立一個有效會話；-裝置，用於在服務網絡(N-40)中分配一個內部IP位址來識別用戶；和-裝置，用於連結(N-41，S-26，N-42)用戶(N-10)的會話數據、接入憑證和被分配的內部IP位址；而其特徵在於包括-裝置，用於當經由接入網絡(N-20)接收接入憑證時，通過使用一個接入網絡分配給用戶來尋址用戶的外部IP位址，並且通過把在服務網絡(N-40)中分配來識別用戶的內部IP位址用作隧道業務中的內部IP位址，從而與用戶(N-10)建立一個安全隧道(S-24)。
2.權利要求1的設備，還包括用於產生服務憑證(N-41，S-26，N-42)的裝置，用於授權用戶在服務網絡(N-40)中接入服務。
3.權利要求2的設備，其中，只要有服務請求，就在每一個服務基礎上產生(N-41，S-26，N-42)服務憑證。
4.權利要求1的設備，還包括裝置，當所述接入憑證沒有被一個識別的驗證實體(N-31)標記時，用於與歸屬網絡(N-30)的驗證伺服器(N-31)通信，以便檢查從用戶(N-10)接收的接入憑證的有效性。
5.權利要求1的設備，其中，用於與用戶(N-10)建立安全隧道(S-24)的裝置被包括在一個名為安全服務進入點(N-41)的第一裝置中，而用於連結用戶(N-10)的會話數據、接入憑證和被分配的內部IP位址的裝置被包括在一個名為單點登陸伺服器(N-42)的第二裝置中。
6.權利要求5的設備，還包括用於互通(S-26)安全服務進入點(N-41)與單點登陸伺服器(N-42)的裝置。
7.權利要求1的設備，還包括裝置，用於當所述歸屬網絡不同於設備是其進入點的服務網絡(N-40)時，在設備(N-41；N-42)和在歸屬網絡(N-30)中負責所述用戶的身份提供商(N-31)之間進行一個附加協作(S-25)。
8.權利要求1的設備，用於當用戶(N-10)正在接入本地HTTP服務(N-44)或外部服務(N-51)的時候，外部服務(N-51)在一個不同於當前接入的服務網絡(N-40)的網絡(N-50)中，該設備具有用於檢查(N-41，S-30，N-43，S-28，N-42)用戶之前是否已經被驗證的裝置。
9.權利要求8的設備，具有用於與一個中間實體(N-43)通信的裝置(S-30，S-28)，中間實體(N-43)被安排來截獲用戶對HTTP本地服務(N-44)或對外部網絡(N-50)中的外部服務(N-51)的接入(S-29)。
10.權利要求9的設備，其中，中間實體(N-43)是一個HTTP代理。
11.權利要求9的設備，其中，中間實體(N-43)是一個防火牆。
12.權利要求1的設備，用於當用戶(N-10)正在接入一個非HTTP本地服務(N-45)的時候，具有用於檢查(N-41，S-31，N-45，S-32，N-42)用戶之前是否已經被驗證的裝置。
13.權利要求1的設備，其中，用於接收接入憑證的裝置包括裝置，用於檢查核心網絡發出的數字證書是否被給出，以指出用戶的成功驗證。
14.一個用戶設備(N-10；N-11)，被安排來執行一個與核心網絡(N-30)的驗證程序，並被安排來經由一個不能提供數據源驗證的接入網絡(N-20)，來接入一個電信服務網絡(N-40)，用戶設備(N-10；N-11)包括-裝置，用於作為已被核心網絡(N-30)驗證的結果來獲得(S-23)接入憑證；-裝置，用於當經由接入網絡(N-20)接入時，向服務網絡(N-40)發送(S-24)接入憑證；而其特徵在於包括-裝置，用於經由接入網絡(N-20)與服務網絡(N-40)建立一個安全隧道(S-24)，安全隧道使用接入網絡分配給用戶的外部IP位址來尋址用戶；-裝置，用於接收(S-24)一個內部IP位址，其由服務網絡(N-40)分配並作為一個內部IP位址被包括在隧道業務內，以識別服務網絡中的用戶；和-裝置，用於連結所述的接入憑證與內部IP位址和安全隧道。
15.權利要求14的用戶設備(N-10；N-11)，其中，用於獲得接入憑證的裝置包括-裝置，用於從核心網絡接收一個驗證詢問；-裝置，用於產生一個驗證響應並將其送返核心網絡；-裝置，用於產生一對公共和私人密鑰對；和-裝置，用於向核心網絡遞交公共密鑰以及一個證明私人密鑰所有權的數字籤名。
16.權利要求14的用戶設備(N-10；N-11)，其中，用於獲得接入憑證的裝置包括-裝置，用於從核心網絡接收一個驗證詢問；-裝置，用於產生一個驗證響應並將其送返核心網絡；和-裝置，用於請求一個可從核心網絡獲得的數字證書。
17.權利要求16的用戶設備(N-10；N-11)，其中，用於獲得接入憑證的裝置還包括裝置，用於產生一個可用於獲得數字證書的公共密鑰。
18.一個方法，用於在電信服務網絡(N-40)中，支持經由一個不能提供數據源驗證的接入網絡(N-20)，接入所述服務網絡(N-40)的用戶(N-10)的單點登陸服務，通過核心網絡(N-30)驗證的用戶(N-10)已經接收(S-23)接入憑證，該方法包括下列步驟-在服務網絡(N-40)經由接入網絡(N-20)從用戶(N-10)接收(S-24)接入憑證；-檢查(N-41，S-25，N-31)在服務網絡(N-40)接收的接入憑證的有效性；-只要接入憑證的有效性檢查成功，就與用戶(N-10)建立(N-41，S-26，N-42)一個有效會話；-在服務網絡為用戶分配(N-41，S-26，N-42)一個內部IP位址，以在服務網絡中接入服務的時候識別用戶；和-在服務網絡(N-40)的實體(N-41；N-42)處，連結(N-41，S-26，N-42)用戶(N-10)的會話數據、接入憑證和被分配的內部IP位址；而其特徵在於包括下列步驟通過使用接入網絡分配來尋址用戶的外部IP位址，並且通過把在服務網絡(N-40)中被分配來識別用戶的內部IP位址用作隧道業務中的內部IP位址，從而經由接入網絡(N-20)，在用戶設備端(N-10)和服務網絡(N-40)的實體(N-41)之間建立一個安全隧道(S-24)；和-在用戶設備端(N-10)，連結所述的接入憑證與所述的內部IP位址和所述的安全隧道。
19.權利要求18的方法，還包括一個步驟，用於產生服務憑證(N-41，S-26，N-42)，以授權用戶在服務網絡(N-40)中接入服務。
20.權利要求19的方法，其中，產生服務憑證的步驟包括一個步驟，即只要有服務請求，就在每一個服務基礎上產生服務憑證。
21.權利要求18的方法，其中，檢查(N-41；N-41，S-25，N-31)從用戶(N-10)在服務網絡(N-40)接收的接入憑證的有效性的步驟還包括一個步驟，即當所述接入憑證沒有被一個識別的驗證實體標記時，與歸屬網絡(N-30)的驗證伺服器(N-31)通信。
22.權利要求18的方法，其中，連結用戶(N-10)的會話數據、接入憑證和被分配的內部IP位址的步驟還包括一個步驟，即互通(S-26)名為安全服務進入點(N-41)的負責安全隧道(S-24)的第一裝置與名為單點登陸伺服器(N-42)的第二裝置，在其中發生了連結步驟。
23.權利要求18的方法，被用於當用戶(N-10)正在接入一個本地服務(N-44；N-45)或一個外部服務(N-51)的時候，外部服務(N-51)是在一個不同於當前接入的服務網絡(N-40)的網絡(N-50)中，該方法還包括一個步驟，即檢查(S-28，N-42；S-32，N-42)用戶之前是否已經被驗證。
全文摘要
本發明提供一個電信設備、用戶設備和方法，用於在接入網絡沒有提供數據源驗證的時候進行單點登陸驗證。本發明提出再使用與核心網絡執行的原始接入驗證，即與持有用戶籤署的歸屬網絡或用戶正在漫遊的被訪問網絡的驗證。因此，在用戶與核心網絡成功驗證期間獲得的接入憑證在用戶設備端與安全隧道連結，安全隧道經由接入網絡被建立通向一個服務網絡。在服務網絡的一個實體處接收的所述接入憑證在那裡也與該安全隧道連結，並且與內部IP位址連結，從而安全地識別服務網絡中的用戶。
文檔編號H04L12/46GK1813457SQ200480018065
公開日2006年8月2日 申請日期2004年6月23日 優先權日2003年6月26日
發明者L·巴裡加卡切雷斯, L·拉莫斯羅布萊斯 申請人:艾利森電話股份有限公司