本公开描述一种解决方案,其允许移动设备指定某些站点被允许仅仅基于设备证书被登入。该解决方案将OpenID与电信网络整合以便验证用户的身份。此验证基于电信载体为了在GGSN处识别用户所具有的信任。该解决方案将OpenID提供器(OP)分割成为两个系统,内部OP和外部OP。外部OP可以存在于公共网络并且可以允许用户利用密码认证。内部OP存在于载体的私有网络并且被直接连接到GGSN以使得它仅仅可从GGSN到达。
【技术实现步骤摘要】
【国外来华专利技术】版权通知本专利文件的公开的一部分包含受版权保护的材料。版权所有者不反对任何人对专利文件或专利公开的传真复制,因为它出现在专利者标局专利文档或记录中,但在别的方面保留所有任何版权。
本专利技术一般涉及移动通信和电信网络,并且具体地涉及在电信网络中认证移动设备。
技术介绍
近年来,人们已经越来越频繁地从它们的移动设备访问互联网服务。例如,智能电话、平板、个人数字助理(PDA)和其它手持式计算机现在已经变得几乎完全与大部分网站整合并且可以访问互联网上的多种服务。这些服务中许多需要移动设备的用户被认证,诸如通过给用户分配用户名、密码。但是,由于此类设备的紧凑的尺寸和有限的键盘能力,用户利用设备输入用户名和密码或其它认证信息可能是相当不合意的。已有提出的许多标准,其中一些试图至少部分地为移动设备解决认证问题。一个此类现有的标准是一般引导指令架构(GBA),其利用SIM卡提供认证来允许手持机上的应用认证它们自己以便进行网络服务。在此标准之下,如果用户拥有关于本地位置寄存器(HLR)或本地用户服务器(HSS)的有效身份,则他们可以被认证。认证基于共享的秘密密钥,其中一个密钥位于用户的移动电话中并且另一个在HLR/HSS上。称作OpenID的另一个标准已经试图通过允许用户巩固他们的数字身份来减少每个拥有者具备的身份数目。在此开放标准之下,用户可以以分散方式被认证。例如,当用户代理(UA)调用特定服务时,该服务可以查询开放ID提供器(0P),开放ID提供器将代表依赖于OP的服务认证用户代理。以这样的方式,依赖方或服务可以保证基于共享的秘密认证用户,共享的秘密已经在依赖方和OP之间预先被建立。甚至考虑到此类标准,仍然留下许多局限性和缺陷未解决。例如,用于OpenID实施方式的大部分常见的认证机制仍然是用户名和密码组合,由于先前提及的原因,其对移动用户可能是难于负担的。已经提出将OpenID与GBA整合的至少一个解决方案,但是相当有可能此类解决方案将需要电信公司购买附加网络硬件、需要应用开发者修改他们的代码并且还需要手持机单元也改变。不惊奇,需要在电信网络的整个生态系统方面的此类改变的解决方案没有能够到达显著的牵引。电信公司和移动网络运营者(MNO)已经与移动设备和用户具有信任关系。将期望将信任关系从手持机输出到互联网服务。在最小化涉及的许多实体当中的数目变化的同时并在解决上述缺陷的同时,输出此信任将也是有益的。 申请人:在构思本公开的主题时已经认识到这些,以及当前存在于本领域的其它需要。
技术实现思路
根据各种实施例,描述允许移动设备的用户指定仅仅基于设备证书允许登入某些站点。解决方案将OpenID与电信网络整合以便认证用户的身份。此验证基于电信载体具有并且可以使用以在网关GPRS支持节点(GGSN)处识别移动设备和用户的信任。用于识别用户的处理基于将OpenID提供器(OP)分割成为两个系统,内部OP和外部0P。外部OP可以存在于公共网络并且可以允许用户利用密码认证。内部OP存在于载体的私有网络并且被直接连接到GGSN以使得它仅仅可从GGSN中到达。用于识别用户的处理在移动设备(用户代理)调用依赖方(RP)服务时开始。RP可以查询外部0P,请求对用户的验证统一资源定位符(URL)。RP将用户代理(UA)重定向到内部OP提供器上的验证URL。内部OP可以通过IP地址,或如果用户选择,则通过用户名和密码,来验证用户。内部OP将US重定向回到由RP提供的接受的URL。RP然后可以利用外部OP验证响应。【附图说明】图1是根据本专利技术的各种实施例的将OpenID与电信网络整合的系统级例示。图2是根据本专利技术的各种实施例的一旦UA被重定向到内部OP呈现给UA的页面的例示。图3是根据本专利技术的种实施例的将OpenID与电信网络整合的流程图例示。图4是根据本专利技术的各种实施例的将OpenID与电信网络整合的序列图。【具体实施方式】本专利技术通过示例方式而不是通过限制方式来在附图的图示中示出,在附图中,相似的参考指示相似的元件。在此公开中提及实施例不一定是指相同的实施例,这样的提及意味着至少一个。虽然讨论特定的实施方式,但是应当理解,这仅仅是为了示例目的而进行的。本领域技术人员将理解,在不脱离本专利技术的范围和精神的情况下,可以使用其它组件和配置。在下面的描述中,阐述许多特定细节以提供本专利技术的详尽的描述。但是,本领域技术人员显然可知,可以不用这些特定的细节来实践本专利技术。在其它实例中,没有详细描述公知的特征以便不模糊本专利技术。根据贯穿此公开描述的各种实施例,描述能使移动设备的用户指定仅仅基于设备证书允许登陆某些站点的解决方案。解决方案将OpenID与电信网络整合以便验证用户的身份。此验证基于电信载体具有并且可以使用以在网关GPRS支持节点(GGSN)处识别移动设备和用户的信任。目前,OpenID常常需要用户利用用户名和密码登陆。典型的OpenID流程可以如下工作:1.用户代理(UA)调用依赖方(RP),提供标识符2.RP查询OpenID提供器(0P),请求对用户的验证统一资源定位符(URL)[0021 ] 3.RP将UA重定向到OP上的验证URL4.0P以任何手段,通常用户名/密码组合,验证用户5.0P将UA重定向回到由RP提供的“接受的” URL6.RP向OP验证响应在此情况中的改变可以利用载体具有的并且可以在网关一般分组无线电服务支持节点(GGSN)处识别电话(并且因此用户)的信任。如果GGSN可以识别用户,则它应该能将该信任输出给RP。为了输出此信任,Open ID流程可以变为以下:I? UA调用RP,提供标识符2.RP查询外部OpenID提供器(OP),请求对用户的验证URL3.RP将UA重定向到内部OP上的验证URL4.内部OpenID提供器(OP)通过IP地址,或如果用户已经选择,则通过用户名/密码,验证用户5.内部OP将UA重定向回到由RP提供的“接受的”URL6.RP向外部OP验证响应图1是根据本专利技术的各个实施例的将OpenID与电信网络整合的系统级例示。虽然此图将组件描述为逻辑上分离的,但是这样的描述仅仅用于说明性的目的。对本领域技术人员清楚的是,在此图中描绘的组件能够被组合或划分成分离的软件、固件和/或硬件。此外,对本领域技术人员还清楚是,这样的组件不管它们被如何组合或划分,能够在相同的计算设备上执行或能够分布在由一个或多个网络或其它合适的通信手段连接的不同的计算设备之间。如示出的,OpenID提供器(OP)可以被分为两个单独的系统,内部0P112和外部0P114。术语网络可以涵盖至少两个单独的网络-所有实体可访问的公共网络(例如互联网)120 ;和电信提供器的内部私有网络122。控制对私有网络的访问并且其通常与公共网络通过防火墙116或其它安全措施分隔。外部OP可以存在于公共网络并且可以允许用户100利用密码认证。内部OP存在于载体的私有网络并且被直接连接到GGSN104以使得它仅仅可从GGSN中到达。用于识别用户的处理在移动设备(UA102)调用依赖方(RP)服务118时开始。RP可以查询外部OPl 14,请求对用户的验证URL。RP将用户代理(UA)重定向到内部OP提供器112上的验证URL。内部OP可以通过I本文档来自技高网...
【技术保护点】
一种用于在电信网络中认证用户的系统,所述系统包括:网关节点,用于认证移动设备,每个移动设备具有与之关联的标识符;内部提供器,连接到网关节点,其中内部提供器仅仅能够从所述网关节点到达;以及外部提供器,其从至少一个依赖方服务接收验证移动设备的用户的请求,并且响应于已经接收到所述请求,将移动设备重定向到内部提供器上的验证统一资源标识符(URI),其中移动设备被验证,并且其中在所述验证之后,内部提供器将移动设备重定向到由依赖方服务提供的接受的URI。
【技术特征摘要】
【国外来华专利技术】2011.06.15 US 13/161,0281.一种用于在电信网络中认证用户的系统,所述系统包括: 网关节点,用于认证移动设备,每个移动设备具有与之关联的标识符; 内部提供器,连接到网关节点,其中内部提供器仅仅能够从所述网关节点到达;以及 外部提供器,其从至少一个依赖方服务接收验证移动设备的用户的请求,并且响应于已经接收到所述请求,将移动设备重定向到内部提供器上的验证统一资源标识符(URI),其中移动设备被验证,并且其中在所述验证之后,内部提供器将移动设备重定向到由依赖方服务提供的接受的URI。2.如权利要求1所述的系统,其中移动设备由执行深度分组检测的网关节点验证,其中与用户相关联的移动站国际用户电话号码(MSISDN)被编码到对内部提供器的请求中,并且其中网关节点通过丢弃不包含匹配所述移动设备的用户的MSISDN的所有请求来验证所述请求。3.如权利要求1所述的系统,其中移动设备通过网关节点接收具有指定地址和端口的实时规则更新来被验证,其中外部提供器在内部提供器上分配端口并且构建用于与用户相关联的移动站国际用户电话号码(MSISDN)的规则,所述规则对于所述MSISDN授予对所述端口的访问,并且其中所述规则被传递到网关节点。4.如权利要求1所述的系统,其中移动设备通过网关节点发起新计费会话来被验证,其中外部提供器在内部提供器上分配端口并且向在线计费服务器(OCS)通知端口分配,其中OCS更新与所述用户相关联的简档,并且其中OCS基于所述端口分配来验证移动设备。5.如权利要求1所述 的系统,其中网关节点是充当GPRS无线数据网络和一个或多个其它网络之间的网关的一般分组无线电服务(GPRS)支持节点(GGSN)网关,并且其中网关节点还包括: 策略和计费执行功能(PCEF);和 策略控制和计费规则功能(PCRF )。6.如权利要求1所述的系统,其中内部提供器呈现请求用户名和密码的页面,所述页面还包括允许移动设备对于后续请求在没有密码的情况下登陆的选项。7.如权利要求1所述的系统,其中在移动设备被重定向到由依赖方服务提供的接受的URI之后,依赖方服务确认利用外部提供器对用户的验证。8.一种用于在电信网络中认证用户的方法,所述方法包括: 从依赖方服务接收向外部提供器验证移动设备的用户的请求; 由依赖方将用户代理重定向到内部提供器; 验证用户代理; 将用户代理重定向到由依赖方提供的接受的统一资源标识符(URI);以及 由依赖方利用...
【专利技术属性】
技术研发人员:J·波洛克,
申请(专利权)人:甲骨文国际公司,
类型:
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。