分组网络中的应用层认证制造技术

本发明专利技术公开了用于在通信网络的应用服务器处进行终端用户设备的有效认证的技术。例如其中假设，在通信网络中，第一计算设备是终端用户设备，第二计算设备是网关服务器，而第三计算设备是应用服务器，一种方法包括如下步骤。第二计算设备对从第一计算设备接收的一个或多个分组进行认证。第二计算设备在将该一个或多个分组路由至第三计算设备之前，利用第一层身份对一个或多个分组进行标记，使得所述第三计算设备能够通过确认第一层身份与第二层身份之间的关联，对来自第一计算设备的一个或多个分组进行认证。例如，第一层身份可包括分配给第一计算设备（例如，由网关服务器或一些其他服务器分配的）的链路层身份，并且第二层身份可包括分配给第一计算设备的应用层身份（例如，由网关服务器或一些其他服务器之前分配的）。

【技术实现步骤摘要】
【国外来华专利技术】
本专利技术一般涉及通信网络，并且更具体地涉及通信网络中的认证技术。
技术介绍
本部分介绍能够便于更好地理解本专利技术的内容。因此，应当从这个角度来阅读本部分的论述，并且不应当将其理解为承认其中哪些内容是现有技术，或哪些内容不是现有技术。通常地，在现有的认证方法中，通过特定通信网络寻找接入到应用的用户设备(终端用户)首先必须经过通信网络自身的认证，并且然后其次它们必须经过应用服务器再一次认证(重新认证)，该应用服务器为应当由终端用户接入的应用提供服务。 通用自举架构(GBA,Generic Bootstrapping Architecture)是一种能够实现终端用户的认证的技术。GBA由有第三代合作伙伴计划(3GPP)进行标准化，其符合3GPP技术规范(TS) 33. 220，其中此处通过引用方式合并其公开的全部内容。一般地，当终端用户设备尝试获取网络的接入时，GBA通过初始网络组件来挑战该终端用户设备来进行认证，并且验证挑战响应是否与归属位置寄存器(HLR)或归属用户服务器(HSS)所预测的挑战响应相类似。然而，GBA还需要在应用层有更明确的终端用户重新认证。这种重新认证的执行符合3GPP认证和密钥协商(AKA)协议，参见RFC 3310 HypertextTransfer Protocol (HTTP)Digest Authentication Using Authentication and KeyAgreement (AKA) ”(使用认证和密钥协商(AKA)的超文本传输协议(HTTP协议)摘要认证)2002年9月，其中此处通过引用方式合并其公开的全部内容；以及RFC 4169 HypertextTransfer Protocol (HTTP)Digest Authentication Using Authentication and KeyAgreement (AKA) Version-2”(使用认证和密钥协定(AKA)的超文本传输协议(HTTP协议)摘要认证)2005年11月，此处通过引用方式合并其公开的全部内容。这种重复认证引发了诸多问题，例如，需要额外访问HLR/HSS数据库，以及需要进行由AKA序列号(SQN, Sequence Number parameter)参数的潜在问题所引起的重复同步。进一步，GBA使用AKA摘要协议，其中标准的网页浏览器并不支持该协议。因此，需要改进的终端用户认证技术。
技术实现思路
本专利技术的实施方式提供了用于在通信网络的应用服务器处进行终端用户设备的有效认证的技术。在第一方面中，其中假设，在通信网络中，第一计算设备是终端用户设备，第二计算设备是网关服务器，并且第三计算设备是应用服务器，该方法包括如下步骤。所述第二计算设备从所述第一计算设备接收的一个或多个分组进行认证。所述第二计算设备在将该一个或多个分组路由至第三计算设备前用第一层身份来标记该一个或多个分组，使得所述第三计算设备能够通过确认第一层身份与第二层身份之间的关联，对来自所述第一计算设备的一个或多个分组进行认证。在第二方面中，其中再一次假设，在通信网络中，第一计算设备是终端用户设备，第二计算设备是网关服务器，并且第三计算设备是应用服务器，该方法包括如下步骤。所述第三计算设备从所述第二计算设备接收一个或多个分组，所述第二计算设备已对从所述第一计算设备接收的一个或多个分组进行认证，并且在将该一个或多个分组路由至所述第三所计算设备之前已使用第一层身份对所述一个或多个分组进行标记。所述第三计算设备通过确认第一层身份与第二层身份之间的关联，对来自所述第一计算设备的一个或多个分组进行认证。 在一个实施方式中，第一层身份包括分配给第一计算设备(例如，由网关服务器或一些其他服务器分配)的链路层身份，并且第二层身份包括分配给第一计算设备的应用层身份(例如，之前由应用服务器或一些其他服务器分配)。根据装置来提供其它方面，所述装置包括存储器和与存储器耦合的处理器，并且可操作地执行上述相应方法的步骤。根据制品来提供其它方面，所述制品包括存储了一个或多个软件程序的处理器可读存储介质，当由于计算设备相关联的处理器执行时，实现上述相应方法的步骤。有利地，本专利技术的示例性实施方式提供了用于消除终端用户的认证的重复。替代地，本专利技术的示例性原理是建立在这样的事实上，即每个分组通过网关进入网络，该网关已经在链路层对分组进行认证。因此，简单地通过应用服务器确认终端用户的链路层身份(通过标记或标注的分组来确定，此处称为“分组着色(packet painting)”)与终端用户的应用层身份之间存在的关联(例如，匹配)，可以在应用层级别对终端用户进行认证，而不需要执行另一个完整的AKA认证过程。通过附图和下面的详细说明，本专利技术的这些以及其他的特征和优点将变得更加明了。附图说明图I是依据本专利技术第一实施方式的可以执行分组着色的通信网络的一部分的示意图。图2是依据本专利技术第二实施方式的可以执行分组着色的通信网络的一部分的示意图。图3是依据本专利技术第三实施方式的可以执行分组着色通信网络的一部分的示意图。图4是依据本专利技术第四实施方式的可以执行分组着色的通信网络的一部分的示意图。图5是依据本专利技术第五实施方式的可以执行分组着色的通信网络的一部分的示意图。图6是依据本专利技术第六实施方式的可以执行分组着色的通信网络的一部分的示意图。图7是依据本专利技术第七实施方式的可以执行分组着色的通信网络的一部分的示意图。图8是依据本专利技术第八实施方式的可以执行分组着色的通信网络的一部分的示意图。图9是依据本专利技术第九实施方式的可以执行分组着色的通信网络的一部分的示意图。图10是据本专利技术的实施方式的适于实现分组着色的通信网络的硬件架构。具体实施方式 本专利技术的示例性实施方式提供了一种用于基于在网络网关处执行的链路层认证在分组网络应用层之上进行的终端用户设备(终端用户)的认证。因此，不再需要在分组网络侧的任何服务器处进行终端用户的明确重复认证，即不需要在应用层级别执行AKA认证过程。本专利技术的认证通过使用分组标记、标注或增强技术来实现，此处解释性地称为“分组 着色(packet painting)，，。这里所使用的短语“终端用户设备”(或“用户设备”)通常被定义为这样的设备，人类使用该设备进行交互从而接入网络以及其服务。仅通过实例的方式，这样的设备能够是移动电话，个人计算机，或互联网工具。优选地，这样的设备还应当具有可能通过另一设备进行交互的装置，所述另一设备具有保持安全证书(例如，AKA证书)的智能卡(诸如，用户身份模块或SM卡)这里所使用的术语“网关”或“网络网关”通常被定义为这样的计算网络设备，该设备属于特定提供商的网络，但还与一个或多个其他的网络相连接，这些网络例如是另一个提供商的网络或者是互联网。结合这些设备，才能够在物理级别进行与外部网络的连接(由无线基站来实现的)，或者在应用级别下以HTTP或SIP (会话启动协议)代理或HTTP或SIP服务器的情况出现。这里所使用的短语“应用服务器”通常被定义为这样的计算网络设备，该设备在客户端/服务器应用协议中充当服务器的角色，仅通过实例的方式，该协议例如是HTTP或SIP。应当理解的是，尽管此处描述的示例性实施方式涉及应用层和链路层，但本本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】2010.05.28 US 12/790,1431.一种方法，包括 在通信网络中，其中第一计算设备是终端用户设备，第二计算设备是网关服务器，以及第三计算设备是应用服务器； 所述第二计算设备对从所述第一计算设备接收的一个或多个分组进行认证；以及所述第二计算设备在将所述一个或多个分组路由至所述第三计算设备之前，利用第一层身份来对一个或多个分组进行标记，使得所述第三计算设备能够通过确认第一层身份与第二层身份之间的关联对来自所述第一计算设备的一个或多个分组进行认证。2.根据权利要求I所述的方法，其中所述第一层身份包括分配给所述第一计算设备的链路层身份。3.根据权利要求I所述的方法，其中所述第二层身份包括分配给所述第一计算设备的应用层身份。4.根据权利要求I所述的方法，其中所述对一个或多个分组进行标记包括将第一层身份附加到所述一个或多个分组中的每一个。5.根据权利要求I所述的方法，其中所述对一个或多个分组进行标记包括将第一层身份插入到所述一个或多个分组中的每一个。6.根据权利要求I所述的方法，其中利用第一层身份对一个或多个分组进行标记响应于深度分组检测。7.根据权利要求I所述的方法，其中利用第一层身份对一个或多个分组进行标记响应于至少一个条件的出现。8.一种方法，包括 在通信网络中，其中第一计算设备是终端用户设备，第二计算设备是网关服务器，以及第三计算设备是应用服务器； 所述第三计算设备从所...

【专利技术属性】
技术研发人员：I·凡博格，HL·陆，
申请(专利权)人：阿尔卡特朗讯公司，
类型：
国别省市：