一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法,所述方法包括:为用户分配用于访问各个服务的多个服务专用标识;从所述用户发出请求,该请求标识出将要访问的服务并且包含该用户的公开密钥;在认证机构处,对所述请求进行鉴权,发出用于将所述服务专用标识与所述请求中的公开密钥绑定的公开密钥证书,并且将所述公开密钥证书返回给所述用户。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及用户鉴权,尤其是在为无线通信网络的用户(订户)提供服务的环境中的用户鉴权。
技术介绍
一种能够保护用户隐私的方法,可以为用户提供对于不同服务提供商的不同标识。在此,所述标识指的是服务专用标识。但是,在这样的情况下,网络运营商需要为用户提供标识管理服务,所述标识管理服务可以将服务专用标识与被授权的用户相关联。如果标识管理提供者不仅能够代表其本身进行授权,还能够代表其它服务提供商进行授权,那么会很有用。这意味着用户不用必须分别在每一个服务简档站点注册,就能够调用私人服务。这种方案被称为标识联盟,并且允许服务提供商从集中的地方读取用户的标识。用户不必向所有服务提供商提供特定标识信息。目前,存在两种专门用于无线通信网络的代表性鉴权程序,在所述无线通信网络中,移动终端形式的用户设备希望访问来自服务提供商的服务。所谓的自由联盟(LA)标准使用了这样的鉴权程序,其中,自由许可代理(LEC)具有或者知道怎样获取,关于用户希望与服务提供商使用的标识提供方的信息。自由许可代理规定了映射在标识提供方(IDP)处的服务专用标识。每一个用户有多个用于访问服务提供商(SP)的标识。标识提供方的联合名录存储了用户、用户的标识以及服务之间的关系。所述标识提供方向所述服务提供商声明服务专用标识,该服务提供商通过所述服务专用标识来识别所述用户。这种把不同的标识呈现给不同服务提供商的能力允许维护用户的隐私。根据所述自由联盟标准,所述用户可以避免在调用服务时暴露其真实身份。用户可以匿名调用服务或者使用化名来调用服务(服务专用标识),而不用暴露其真实身份。所述联合名录将用户的真实身份映射到其化名或者服务专用标识,从而使得服务提供商将不会知道真实身份。通过化名和映射服务,服务提供商可以访问,例如用户的位置或者当前状态。这使得服务提供商可以利用所述化名经由联合数据库中的映射从标识服务提供商访问所述用户的位置。所述自由联盟标准规定了带符号的HTTP/soap绑定以用于声明。然而,有很多现有服务并不知道自由声明,而是依靠其它的形式的“声明”来访问,例如传统的公开密钥证书。这种服务例如对企业虚拟专用网(VPN)的访问控制。另外一种现有的鉴权形式是用于支持3GPP的用户证书(SSC),其作为3GPP通用鉴权架构(GAA)而实现,并且规定了向认证机构(CA)请求用于特定标识的用户证书的方法。在这种情况中,所述特定标识是所述用户的标识,而不是服务专用的。根据GAA/SSC技术,植入所述用户设备中的通用自举架构(GBA)结合所述服务提供商处的鉴权服务器,对所述用户设备进行鉴权,并且它们约定共享密钥资料。所述通用自举架构将所述共享密钥资料传送给认证机构CA。所述用户设备生成不对称的公开/私有密钥对,并且向所述认证机构请求认证。如果被授权,则返回将所述公开密钥和所述请求用户的标识相关联的证书。所述认证过程受所述共享密钥资料的保护。移动运营商可以使用USIM、ISIM、用户名/口令对或X.509公开密钥证书,对其移动用户进行鉴权。在使用证书的情况下,被鉴权的标识位于subjectName域中,或者位于所述证书的SubjectAltName扩展中。所述3GPP/GAA/SSC鉴权程序没有用于指明用户想要访问的服务提供商的机制。通过所述证书仅可以指明和鉴权所述用户的标识。但并不支持基于所述证书的多标识或服务专用标识的鉴权。尽管所述SubjectAltName扩展能够用来承载多个标识和服务专用标识,但问题是在所述认证过程中,所述用户设备需要能够指明想要的单个标识或多个标识,即所述用户设备计划使用所述证书的单个服务或多个服务。用户设备不想把所有可能的标识都放在一个证书里,原因是由于所述证书是公开的,发现不同标识之间的绑定将会变得非常容易。
技术实现思路
本专利技术的目的是提供一种不会受到上述两系统的限制的鉴权系统。根据本专利技术的一个方面,提供一种在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法,所述方法包括给用户分配用于访问各个服务的多个服务专用标识;从所述用户发出请求,该请求标识出将要访问的服务并且包含所述用户的公开密钥;在认证机构处,对所述请求进行鉴权,并且发出用于将所述服务专用标识与所述请求中的公开密钥绑定的公开密钥证书,以及将所述公开密钥证书返回给所述用户。在下面描述的实施例中,所述请求包括用于标识出将要访问的服务的服务标识符,以及用于标识出所述用户的请求者标识符。所述方法包括进一步的步骤在所述认证机构处,将所述服务标识符、请求者标识符对映射到将要鉴权的服务专用标识。尽管如此,还有可能这样实现本专利技术,其中所述请求标识出所述服务专用标识,并且其中所述方法包括进一步的步骤所述认证机构验证所述用户是否被授权使用所述服务专用标识。在优选实施例中,在用户终端产生所述公开密钥,其作为不对称密钥对的一部分,其中,所述不对称密钥对包括所述公开密钥和私有密钥。然而,可以通过其它方式获得密钥对,例如通过所述认证机构产生或者来自附装在所述用户终端上的安全单元。本专利技术在无线通信网络的环境中特别有用,然而应理解,本专利技术还可以应用在其它类型的通信网络中。本专利技术的另一方面为用户提供一种在通信网络中的用户终端,所述用户终端包括用于发出请求的装置,所述请求标识出将要经由无线通信网络访问的服务并且含有公开密钥;用于接收由认证机构发出的公开密钥证书的装置,所述公开密钥证书将对于所述将要访问的服务的服务专用标识与所述公开密钥相关联;以及用于将所述公开密钥证书转发给服务提供商以便对所述用户的服务专用标识进行鉴权,并由此授权访问所述服务的装置。本专利技术的进一步的方面提供一种用于在通信网络中允许访问来自服务提供商的服务的鉴权系统,所述系统包括用于接收用户请求的装置,所述请求标识出将要访问的服务并且包含所述用户的公开密钥;以及,认证机构,其被配置为认证所述请求,发出对于所述将要访问的服务的服务专用标识的公开密钥证书,以及将所述公开密钥证书返回给所述用户。为了更好地理解本专利技术,现将参考以下附图通过例子来示出怎样有效地实现本专利技术。附图说明图1示出了通信网络的示意图,其中用户可以访问一个或多个服务;图2示出了实现本专利技术实施例的示例性体系结构;图3示出了联合名录的示意图表;图4示出了用户和鉴权服务器之间的消息流程图;以及图5示出了用户和认证机构之间的消息流程图;具体实施方式图1是用于为用户提供服务的无线通信网络的示意性框图。所述用户以用户设备(UE)的形式指示,该用户设备可能是例如移动电话的移动终端、个人计算机或任何其它类型的移动通信设备。用户设备UE具有接收/发送电路50,该电路能够通过有能力支持无线通信的无线链路RL接收和发送数据(例如请求和回复信息)到所述网络。用户设备UE还包括存储器52,其用于存储如下详述的鉴权信息。所述移动终端能够执行如下详述的客户端软件。用户UE通过运营商网络和多个不同的服务提供商SP1,SP2...SPN进行通信。所述网络包括或具有到鉴权系统26的接入,该鉴权系统26担当接入所述网络的服务提供者的集中标识提供方。将基于希望访问服务的用户的被鉴权的标识,而对其进行授权。图2示出了用于实现本专利技术实施例的示例性体系结构。本图示出了包含通用自举架构(GBA)客户端4的本文档来自技高网...
【技术保护点】
一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法,所述方法包括: 给用户分配用于访问各个服务的多个服务专用标识; 从所述用户发出请求,所述请求标识出将要访问的服务并且包含所述用户的公开密钥; 在认证机构处,对所述请求进行鉴权,并且发出用于将服务专用标识与所述请求中的所述公开密钥绑定的公开密钥证书,并且将所述公开密钥证书返回给所述用户。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:R莫诺宁,N阿索坎,P莱蒂宁,
申请(专利权)人:诺基亚公司,
类型:发明
国别省市:FI[芬兰]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。