способ аутентификации пользовательского терминала в сервере интерфейса, а также сервер интерфейса и пользовательский терминал для его осуществления
Классы МПК: | H04W12/06 идентификация H04L9/32 со средствами для установления личности или полномочий пользователя системы |
Автор(ы): | КИМ Соо-Дзин (KR), ЛИ Дук-Кей (KR), БАНГ Дзунг-Хее (KR) |
Патентообладатель(и): | КейТи КОРПОРЕЙШН (KR) |
Приоритеты: |
подача заявки:
2009-11-30 публикация патента:
27.08.2013 |
Изобретение относится к способам аутентификации, а именно к способу аутентификации (СА) пользовательского терминала (ПТ). Техническим результатом является решение технической проблемы, вызванной тем, что сервер обеспечения услуг доступа к приложениям (СОУДП) не распознает СА между ПТ и сервером интерфейса (СИ). Технический результат достигается тем, что в заявленном способе принимают информацию запроса аутентификации от СОУДП для запрашивания СИ выполнить аутентификацию ПТ, который принимает услугу доступа к приложениям, предоставляемую СОУДП; выполняют аутентификацию ПТ согласно информации запроса аутентификации; и передают информацию ответа на запрос аутентификации, включающую в себя результат аутентификации при выполнении упомянутого СА, на СОУДП, причем СИ обеспечивает интерфейс с сетью для СОУДП, причем способ аутентификации выбирается СИ или пользователем ПТ без вмешательства поставщика услуг доступа к приложениям (ПУДП), для успешной аутентификации ПТ, когда СА, выбранный ПУДП, является неприемлемым для системы СИ, причем информация о СА, выбранном пользователем ПТ, используется совместно с СИ. 4 н. и 15 з.п. ф-лы, 9 ил., 5 табл.
Формула изобретения
1. Способ аутентификации пользовательского терминала в сервере интерфейса, содержащий этапы, на которых
принимают информацию запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям;
выполняют аутентификацию пользовательского терминала согласно информации запроса аутентификации, используя способ аутентификации, выбранный сервером интерфейса или пользователем пользовательского терминала; и
передают информацию ответа на запрос аутентификации, включающую в себя результат аутентификации при выполнении упомянутого способа аутентификации, на сервер обеспечения услуг доступа к приложениям,
причем сервер интерфейса обеспечивает интерфейс с сетью для сервера обеспечения услуг доступа к приложениям,
причем информацию запроса аутентификации принимают так, что она проходит через пользовательский терминал, и информацию ответа на запрос аутентификации передают так, что она проходит через пользовательский терминал,
причем способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала без вмешательства поставщика услуг доступа к приложениям, для успешной аутентификации пользовательского терминала, когда способ аутентификации, выбранный поставщиком услуг доступа к приложениям, является неприемлемым для системы сервера интерфейса,
причем информация о способе аутентификации, выбранном пользователем пользовательского терминала, используется совместно с системой сервера интерфейса.
2. Способ по п.1, в котором для передачи и приема информации запроса аутентификации так, что она проходит через пользовательский терминал, используют способ перенаправления протокола передачи гипертекста (HTTP).
3. Способ по п.1, в котором способ аутентификации выбирают с помощью политики поставщика услуг, который обеспечивает сеть, или с помощью выбора со стороны пользователя пользовательского терминала.
4. Способ по п.1, в котором способ аутентификации включает в себя один из способа аутентификации на основе IP-адреса, в котором аутентификацию пользовательского терминала выполняют на основе IP-адреса, способа аутентификации на основе сертификата, в котором аутентификацию пользовательского терминала выполняют, основываясь на сертификате, или способа аутентификации на основе вводимой пользователем информации, в котором аутентификацию пользовательского терминала выполняют, основываясь на информации, вводимой пользователем пользовательского терминала.
5. Способ по п.1, в котором способ аутентификации включает в себя способ аутентификации на основе ввода ID и пароля, в котором аутентификацию пользовательского терминала выполняют, основываясь на вводе ID/ПАРОЛЯ пользовательского терминала, и информацию запроса аутентификации перенаправляют на устройство для аутентификации пользовательского терминала на основе ввода ID/ПАРОЛЯ, используя способ перенаправления по протоколу передачи гипертекста (HTTP).
6. Способ по п.1, в котором когда пользовательский терминал успешно аутентифицирован, информация ответа на запрос аутентификации включает в себя идентификационную информацию и информацию о результате аутентификации пользовательского терминала в сети.
7. Способ по п.1, в котором сеть является сетью стандарта всемирной совместимости широкополосного беспроводного доступа (WiMAX).
8. Способ по п.1, в котором информацию запроса аутентификации генерируют в сервере обеспечения услуг доступа к приложениям, когда пользовательский терминал запрашивает доступ к серверу обеспечения услуг доступа к приложениям.
9. Сервер интерфейса, содержащий: приемник, сконфигурированный принимать информацию запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям;
контроллер аутентификации, сконфигурированный для аутентификации пользовательского терминала согласно информации запроса аутентификации, используя способ аутентификации, выбранный сервером интерфейса или пользователем пользовательского терминала; и
передатчик, сконфигурированный передавать информацию ответа на запрос аутентификации, включающую в себя результат аутентификации при выполнении упомянутого способа аутентификации, на сервер обеспечения услуг доступа к приложениям,
причем сервер интерфейса обеспечивает интерфейс с сетью для сервера обеспечения услуг доступа к приложениям,
причем способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала без вмешательства поставщика услуг доступа к приложениям, для успешной аутентификации пользовательского терминала, когда способ аутентификации, выбранный поставщиком услуг доступа к приложениям, является неприемлемым для системы сервера интерфейса,
причем информация о способе аутентификации, выбранном пользователем пользовательского терминала, используется совместно с системой сервера интерфейса.
10. Способ аутентификации пользовательского терминала в сервере интерфейса, содержащий этапы, на которых
принимают информацию запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям;
передают информацию запроса аутентификации на сервер интерфейса;
принимают информацию ответа на запрос аутентификации, включающую в себя результат аутентификации при выполнении способа аутентификации согласно информации запроса аутентификации, в сервере интерфейса, при этом способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала; и
передают принятую информацию ответа на запрос аутентификации на сервер обеспечения услуг доступа к приложениям,
причем сервер интерфейса является сервером, обеспечивающим интерфейс с сетью для сервера обеспечения услуг доступа к приложениям,
причем способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала без вмешательства поставщика услуг доступа к приложениям, для успешной аутентификации пользовательского терминала, когда способ аутентификации, выбранный поставщиком услуг доступа к приложениям, является неприемлемым для системы сервера интерфейса,
причем информация о способе аутентификации, выбранном пользователем пользовательского терминала, используется совместно с системой сервера интерфейса.
11. Способ по п.10 в котором информацию запроса аутентификации передают на сервер интерфейса, используя способ перенаправления по протоколу передачи гипертекста (HTTP), и информацию ответа на запрос аутентификации передают на сервер обеспечения услуг доступа к приложениям, используя данный способ перенаправления HTTP.
12. Способ по п.10, в котором способ аутентификации выбирают с помощью политики поставщика услуг, который обеспечивает сеть, или с помощью выбора со стороны пользователя пользовательского терминала.
13. Способ по п.10, в котором способом аутентификации является один из способа аутентификации на основе IP-адреса, в котором аутентификацию пользовательского терминала выполняют, основываясь на IP-адресе, способа аутентификации на основе сертификата, в котором аутентификацию пользовательского терминала выполняют, основываясь на сертификате, или способа аутентификации на основе пользовательского ввода, в котором аутентификацию пользовательского терминала выполняют, основываясь на вводе пользователем информации пользовательского терминала.
14. Способ по п.10, в котором в способе аутентификации аутентификацию пользовательского терминала выполняют с помощью взаимного обмена информацией между сервером интерфейса и пользовательским терминалом.
15. Способ по п.14, в котором способ аутентификации включает в себя способ аутентификации, основанный на вводе ID и пароля, в котором аутентификацию пользовательского терминала выполняют, основываясь на ID и пароле пользовательского терминала, причем для аутентификации пользовательского терминала на основе ID и пароля способ дополнительно содержит этапы, на которых
принимают запрос ввода информации ID и пароля oт устройства для аутентификации пользовательского терминала на основе информации ID и пароля;
принимают информацию ID и пароля; и
передают принятую информацию ID и пароля на сервер интерфейса, причем упомянутое устройство принимает информацию запроса
аутентификации от сервера интерфейса, используя способ перенаправления по
протоколу передачи гипертекста (HTTP).
16. Способ по п.10, в котором, когда пользовательский терминал успешно аутентифицировали согласно способу аутентификации, информация ответа на запрос аутентификации включает в себя идентификационную информацию и информацию о результате аутентификации пользовательского терминала в сети.
17. Способ по п.10, в котором сетью является сеть WiMAX.
18. Способ по п.10, в котором информация запроса аутентификации генерируется сервером обеспечения услуг доступа к приложениям, когда пользовательский терминал запрашивает доступ к серверу обеспечения услуг доступа к приложениям.
19. Пользовательский терминал, содержащий приемник, сконфигурированный принимать информацию запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям; и
передатчик, сконфигурированный передавать информацию запроса аутентификации на сервер интерфейса,
причем приемник принимает информацию ответа на запрос аутентификации, которая включает в себя результат аутентификации при выполнении способа аутентификации согласно информации запроса аутентификации в сервере интерфейса, при этом способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала,
причем передатчик передает принятую информацию ответа на запрос аутентификации на сервер обеспечения услуг доступа к приложениям,
причем сервер интерфейса обеспечивает интерфейс с сетью для сервера обеспечения услуг доступа к приложениям,
причем способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала без вмешательства поставщика услуг доступа к приложениям, для успешной аутентификации пользовательского терминала, когда способ аутентификации, выбранный поставщиком услуг доступа к приложениям, является неприемлемым для системы сервера интерфейса,
причем информация о способе аутентификации, выбранном пользователем пользовательского терминала, используется совместно с системой сервера интерфейса.
Описание изобретения к патенту
Область техники, к которой относится изобретение
Настоящее изобретение относится к способу аутентификации пользовательского терминала; а более конкретно - к способу аутентификации пользовательского терминала в сервере интерфейса, и к серверу интерфейса и пользовательскому терминалу, которые его используют.
Предшествующий уровень техники
В результате разработки систем связи были реализованы сети различного типа. Среда, которая включает в себя сети множества типов, упоминается как мультисетевая среда. В мультисетевой среде пользовательский терминал может осуществлять доступ к одной из сетей, такой как беспроводная локальная сеть (WLAN), сеть множественного доступа с кодовым разделением каналов (CDMA) и сеть всемирной совместимости широкополосного беспроводного доступа (WiMAX).
В дальнейшем в качестве примера будет описана сеть WiMAX как один из типичных представителей сетей связи. Сеть WiMAX обеспечивает услуги связи, которые предоставляют возможность пользователю осуществлять доступ к Интернету на высокой скорости и принимать данные или мультимедийный контент не только в помещении, но также и вне помещения и даже во время путешествия, используя пользовательские терминалы различного типа, такие как персональный компьютер, портативный компьютер, карманный персональный компьютер (КПК), переносной мультимедийный плеер (PMP), мобильный телефон и интеллектуальный телефон (смартфон). Такая услуга WiMAX предоставляет возможность пользователю использовать Интернет даже вне помещений, например, на улицах, в парках и в транспортных средствах во время путешествий, в отличие от высокоскоростных услуг Интернет, которые предоставляют возможность пользователю использовать Интернет только в помещении с помощью установленного кабельного подключения к Интернету, например, дома, в школе и в офисе.
Форум WiMAX был создан провайдерами услуг связи, изготовителями оборудования связи и изготовителями полупроводниковых устройств для обеспечения возможности сравнения между собой оборудования, использующего технологию WiMAX. Форум WiMAX использует стандарт 802.16 Института инженеров по электротехнике и электронике (IEEE) технологии широкополосного беспроводного доступа в качестве основной технологии. Форум WiMAX пытается развивать родственные технологии от стандарта фиксированной связи 802.16d к стандарту мобильной связи 802.16e.
Сеть WiMAX - технология беспроводной локальной сети масштаба города (WMAN), основанная на стандарте IEEE 802.16. В общем случае сеть WiMAX включает в себя сеть доступа (ASN) и сеть обеспечения услуг связи (CSN). Сеть доступа (ASN) включает в себя пользовательский терминал, например, мобильную станцию (MS), которая является клиентом, базовую станцию (BS) и шлюз сети доступа к услугам (ASN-GW). Сеть обеспечения услуг связи (CSN) включает в себя логические элементы, такие как функциональный элемент политики (PF), сервер аутентификации, авторизации и учета (AAA) и функциональный элемент доступа к приложениям (AF).
Далее будет описана логическая структура сети WiMAX.
Мобильная станция (MS) упоминается, как терминал WiMAX, который осуществляет доступ к ASN через беспроводную линию связи. Стандарт IEEE 802.16D/E технологии доступа WMAN используется главным образом на беспроводной стороне сети WiMAX.
ASN обеспечивает установление соединения между терминалом WiMAX и базовой станцией (BS) WiMAX. ASN управляет беспроводными ресурсами, находит сеть, выбирает оптимального поставщика сетевых услуг (NSP) для абонента WiMAX, работает в качестве прокси-сервера для управления аутентификацией, авторизацией и учетом (AAA) абонента WiMAX в прокси мобильном Интернет-протоколе (MIP), и осуществляет доступ к приложению через терминал WiMAX.
CSN выделяет адрес Интернет-протокола (IP) для сеанса абонента WiMAX, обеспечивает доступ для Интернет, работает как прокси-сервер AAA или сервер AAA, выполняет политики и управляет доступом, основываясь на данных подписки абонента, обеспечивает установление туннеля между ASN и CSN, генерирует счет для абонента WiMAX, поддерживает политику услуги WiMAX через оператора, обеспечивает формирование прослеживаемого туннеля между CSN, поддерживает мобильность между сетями ASN, предоставляет услуги на основе местоположения, предоставляет сквозные услуги и поддерживает различные услуги WiMAX, такие как услуга мультимедийного широковещания и услуга мультимедийного широковещания/группового вещания (MBMS).
Фиг. 1 - схема, на которой показана сетевая система согласно соотнесенному уровню техники.
Обращаясь к фиг. 1, сетевая система согласно соотнесенному уровню техники включает в себя пользовательский терминал 110, систему 120 связи, сеть 130 Интернет и средство 140 обеспечения услуг доступа к приложениям.
Пользовательский терминал 110 является любым устройством, которое может осуществлять доступ к сети, включающей в себя систему связи. Например, пользовательский терминал 110 может быть портативным компьютером, персональным компьютером, карманным персональным компьютером (КПК), мобильным телефоном или персональным мультимедийным плеером (PMP).
Система 120 связи включает в себя базовую станцию 121 или станцию радиодоступа (RAS) для управления соединением физического канала связи, шлюз 122 сети доступа к услугам (ASN-GW) или контроллер базовых станций/обслуживающий узел поддержки GPRS (BSC/SGSN) для управления доступом к среде (MAC) сети доступа, сеть 123 обеспечения услуг связи (CSN) или узел услуг пакетной передачи данных/шлюзовой узел поддержки GPRS (PDSN/GGSN) для управления соединением сетевого уровня. Система 120 связи может дополнительно включать в себя сервер информации местоположения (LIS), сервер функциональных возможностей устройства, сервер профиля пользователя, сервер качества обслуживания (QoS) и сервер биллинга.
Средство 140 обеспечения услуг доступа к приложениям имеет серверы для предоставления предварительно определенной услуги пользовательскому терминалу 110. Средство 140 обеспечения услуг доступа к приложениям может включать в себя сервер телевизионного вещания по Интернет-протоколу (IPTV) для обеспечения телевизионных программ на основе Интернет на пользовательский терминал 110 доступа к сети 130 Интернет, сервер контента для обеспечения музыки/видеоинформации в режиме реального времени, сервер поисковой машины для обеспечения результата для запроса поиска в ответ на запрос пользовательского терминала 110, сервер рекламы для обеспечения рекламы и сервер 139 услуг для обеспечения услуг.
Далее будет описана работа сетевой системы согласно соотнесенному уровню техники. Например, сетевая система согласно соотнесенному уровню техники выполняет следующие операции, когда пользователь пользовательского терминала 110 запрашивает услугу отображения карты от средства 140 обеспечения услуг доступа к приложениям.
Пользователь пользовательского терминала 110 расположен в области A. Пользовательский терминал 110 запрашивает услугу отображения карты от средства 140 обеспечения услуг доступа к приложениям через систему 120 связи и сеть 130 Интернет. Средство 140 обеспечения услуг доступа к приложениям предоставляет Web-страницу (или Web-сайт) в качестве услуги отображения карты на пользовательский терминал 110.
Средство 140 обеспечения услуг доступа к приложениям обеспечивает начальное изображение карты предварительно определенной области, которая первоначально выбрана в сервере услуги отображения карты независимо от текущего расположения пользовательского терминала 110. Когда пользователь запрашивает изображение карты определенной области после передачи начального изображения карты предварительно определенной области, средство 140 обеспечения услуг доступа к приложениям предоставляет изображение карты соответствующей области пользователю.
Если средство 140 обеспечения услуг доступа к приложениям предоставляет изображение карты текущего расположения пользовательского терминала, когда пользовательский терминал 110 осуществляет доступ к серверу средства 140 обеспечения услуг доступа к приложениям, который обеспечивает услугу отображения карты, средство обеспечения услуг доступа к приложениям может обеспечивать пользователю персонализированную услугу отображения карты. Таким образом, пользователю может быть предоставлено наилучшее обслуживание. Для обеспечения такой персонализированной услуги средству 140 обеспечения услуг доступа к приложениям необходима персональная информация. Поэтому существует потребность в способе приема персональной информации, такой как информация расположения пользовательского терминала 110, когда средство 140 обеспечения услуг доступа к приложениям предоставляет персонализированную услугу пользовательскому терминалу 110.
Когда средство 140 обеспечения услуг доступа к приложениям запрашивает персональную информацию, такую как информация расположения пользовательского терминала 110, от системы связи 120 после доступа к системе связи 120, необходимо установить интерфейс и выполнить взаимную аутентификацию между средством 140 обеспечения услуг доступа к приложениям, пользовательским терминалом 110 и системой 120 связи.
РАСКРЫТИЕ ИЗОБРЕТЕНИЯ
ТЕХНИЧЕСКАЯ ПРОБЛЕМА
Один из вариантов осуществления настоящего изобретения направлен на обеспечение интерфейса для предоставления возможности средству обеспечения услуг доступа к приложениям использовать уникальную информацию предварительно определенной сети с помощью доступа к системе связи, которая управляет этой предварительно определенной сетью.
Один из вариантов осуществления настоящего изобретения направлен на обеспечение способа взаимной аутентификации между средством обеспечения услуг доступа к приложениям, пользовательским терминалом и системой связи, которая функционирует в предварительно определенной сети.
Другие задачи и преимущества настоящего изобретения можно понять с помощью последующего описания, и они будут очевидны при обращении к вариантам осуществления настоящего изобретения. Кроме того, специалистам будет очевидно, что задачи и преимущества настоящего изобретения можно реализовывать с помощью заявленных средств и их комбинаций.
РЕШЕНИЕ ПРОБЛЕМЫ
В соответствии с одним из аспектов настоящего изобретения предложен способ аутентификации пользовательского терминала в сервере интерфейса, который включает в себя: прием информации запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям; аутентификацию пользовательского терминала согласно информации запроса аутентификации, используя способ аутентификации, выбранный сервером интерфейса или пользователем пользовательского терминала; и передачу информации ответа на запрос аутентификации, включающей в себя результат аутентификации при выполнении способа аутентификации, на сервер обеспечения услуг доступа к приложениям, причем сервер интерфейса обеспечивает интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
В соответствии с другим аспектом настоящего изобретения предложен сервер интерфейса, включающий в себя: приемник, конфигурированный для приема информации запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям; контроллер аутентификации, сконфигурированный для аутентификации пользовательского терминала согласно информации запроса аутентификации, используя способ аутентификации, выбранный сервером интерфейса или пользователем пользовательского терминала; и передатчик, сконфигурированный для передачи информации ответа на запрос аутентификации, включающей в себя результат аутентификации при выполнении способа аутентификации, на сервер обеспечения услуг доступа к приложениям, причем сервер интерфейса обеспечивает интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
В соответствии с другим аспектом настоящего изобретения предложен способ аутентификации пользовательского терминала в сервере интерфейса, включающий в себя: прием информации запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям; передачу информации запроса аутентификации на сервер интерфейса; прием информации ответа на запрос аутентификации, включающей в себя результат аутентификации при выполнении способа аутентификации согласно информации запроса аутентификации в сервере интерфейса, при этом способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала; и передачу принятой информации ответа на запрос аутентификации на сервер обеспечения услуг доступа к приложениям, причем сервером интерфейса является сервер, обеспечивающий интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
В соответствии с другим аспектом настоящего изобретения предложен пользовательский терминал, включающий в себя: приемник, сконфигурированный для приема информации запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям; и передатчик, сконфигурированный для передачи информации запроса аутентификации на сервер интерфейса, причем приемник принимает информацию ответа на запрос аутентификации, включающую в себя результат аутентификации при выполнении способа аутентификации согласно информации запроса аутентификации в сервере интерфейса, и способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала, причем передатчик передает принятую информацию ответа на запрос аутентификации на сервер обеспечения услуг доступа к приложениям, при этом сервер интерфейса обеспечивает интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
В соответствии с другим аспектом настоящего изобретения предложен считываемый компьютером носитель записи, на котором воплощен способ аутентификации пользовательского терминала в сервере интерфейса, включающий в себя: прием информации запроса аутентификации для запрашивания аутентификации пользовательского терминала, который принимает услугу доступа к приложениям от сервера обеспечения услуг доступа к приложениям; аутентификацию пользовательского терминала согласно информации запроса аутентификации, используя способ аутентификации, выбранный сервером интерфейса или пользователем пользовательского терминала; и передачу информации ответа на запрос аутентификации, включающей в себя результат аутентификации при выполнении способа аутентификации, на сервер обеспечения услуг доступа к приложениям, причем сервер интерфейса обеспечивает интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
В соответствии с другим аспектом настоящего изобретения предложен считываемый компьютером носитель записи, на котором воплощен способ аутентификации пользовательского терминала в сервере интерфейса, включающий в себя: прием информации запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям; передачу информации запроса аутентификации на сервер интерфейса; прием информации ответа на запрос аутентификации, включающей в себя результат аутентификации при выполнении способа аутентификации, выбранного сервером интерфейса или пользователем пользовательского терминала согласно информации запроса аутентификации в сервере интерфейса; и передачу принятой информации ответа на запрос аутентификации на сервер обеспечения услуг доступа к приложениям, причем сервером интерфейса является сервер, обеспечивающий интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
ПОЛЕЗНЫЙ ЭФФЕКТ ИЗОБРЕТЕНИЯ
Сервер интерфейса согласно настоящему изобретению обеспечивает интерфейс, который предоставляет возможность средству обеспечения услуг доступа к приложениям использовать информацию предварительно определенной сети. Дополнительно, в способе аутентификации согласно настоящему изобретению выполняют взаимную аутентификацию между средством обеспечения услуг доступа к приложениям, пользовательским терминалом и системой связи, которая управляет предварительно определенной сетью.
КРАТКОЕ ОПИСАНИЕ ЧЕРТЕЖЕЙ
Фиг. 1 - схема, на которой показана сетевая система согласно соотнесенному уровню техники.
Фиг. 2 - схема, на которой показана аутентификация средства обеспечения услуг доступа к приложениям.
Фиг. 3 - схема, на которой показана аутентификация пользовательского терминала.
Фиг. 4 - схема, на которой показан способ аутентификации пользовательского терминала в сервере интерфейса в соответствии с одним из вариантов осуществления настоящего изобретения.
Фиг. 5 - схема, на которой показан сервер интерфейса, выполняющий аутентификацию пользовательского терминала в соответствии с одним из вариантов осуществления настоящего изобретения.
Фиг. 6 - схема, на которой показана процедура аутентификации, выполняемая в пользовательском терминале, в способе аутентификации пользовательского терминала в сервере интерфейса.
Фиг. 7 - схема, на которой показан пользовательский терминал, который задействуется в способе аутентификации пользовательского терминала в сервере интерфейса в соответствии с одним из вариантов осуществления настоящего изобретения.
Фиг. 8 - схема, на которой показан процесс выполнения способа аутентификации пользовательского терминала в сервере интерфейса в соответствии с одним из вариантов осуществления настоящего изобретения.
Фиг. 9 - схема, на которой показана система аутентификации пользовательского терминала в сервере интерфейса в соответствии с одним из вариантов осуществления настоящего изобретения.
ПРЕДПОЧТИТЕЛЬНЫЙ ВАРИАНТ ОСУЩЕСТВЛЕНИЯ ИЗОБРЕТЕНИЯ
Последующее описание иллюстрирует только принципы настоящего изобретения. Даже если они не описаны или не показаны явно в настоящем описании, специалисты могут воплощать принципы настоящего изобретения и изобретать различные устройства в пределах концепции и объема настоящего изобретения. Использование условных терминов и вариантов осуществления, представленных в настоящем описании, предназначено только для обеспечения понимания концепции настоящего изобретения, и они не ограничены вариантами осуществления и условиями, указанными в данном описании.
Кроме того, подробное описание всех принципов, точек зрения, вариантов осуществления и конкретных вариантов осуществления настоящего изобретения, как следует понимать, включает в себя их структурные и функциональные эквиваленты. Эквиваленты включают в себя не только известные в настоящее время эквиваленты, но также и те, которые будут разработаны в будущем, т.е. все устройства, изобретенные для выполнения той же самой функциональной особенности, независимо от их структур.
Например, структурные схемы настоящего изобретения, как следует понимать, показывают концептуальную точку зрения на примерную схему, которая воплощает принципы настоящего изобретения. Точно так же все последовательности операций, схемы изменения состояний, псевдокоды и т.п. можно представлять по существу на считываемом компьютером носителе, и независимо от того, описаны явно или нет компьютер или процессор, они, как следует понимать, выражают различные процессы, которыми управляет компьютер или процессор.
Функциональные особенности различных устройств, показанных на чертежах, включающих в себя функциональный блок, выраженный как процессор или аналогичное решение, можно обеспечивать не только при использовании аппаратных средств, специализированных для данной функциональной особенности, но также и при использовании аппаратных средств, которые могут исполнять соответствующее программное обеспечение для таких функциональных особенностей. Когда функциональная особенность обеспечивается с помощью процессора, данную функциональную особенность можно обеспечивать с помощью одного специализированного процессора, одного совместно используемого процессора или множества отдельных процессоров, часть из которых можно совместно использовать.
Явное использование терминов «процессор», «управление» или аналогичных понятий не следует понимать так, что они относятся исключительно к части аппаратных средств, на которых можно исполнять программное обеспечение, но следует понимать, что они включают в себя процессор цифровой обработки сигналов (DSP), аппаратные средства и ROM (постоянное запоминающее устройство), RAM (оперативную память) и энергонезависимую память для хранения программного обеспечения, как подразумевается. Они могут также включать в себя другие известные и обычно используемые аппаратные средства.
В формуле изобретения настоящей заявки элемент, который выражен как средство для выполнения функции, описанной в подробном описании, подразумевается охватывающим все способы выполнения данной функции, включая все форматы программного обеспечения, например, комбинации схем для выполнения намеченной функции, встроенного программного обеспечения (firmware)/микрокода и т.п.
Для выполнения намеченной функции такой элемент совместно работает с соответствующей схемой для исполнения программного обеспечения. Настоящее изобретение, определяемое формулой изобретения, включает в себя разнообразные средства для выполнения определенных функций, и такие средства осуществляют связь друг с другом способом, который заявлен в формуле изобретения. Поэтому любое средство, которое может обеспечивать такую функцию, как следует понимать, является эквивалентом тому, что можно понять из данного описания.
Настоящее изобретение относится к интерфейсу, который предоставляет возможность средству обеспечения услуг доступа к приложениям передавать и принимать информацию с помощью доступа к предварительно определенной сети, используя систему связи, которая управляет данной предварительно определенной сетью, и способ взаимной аутентификации между средством 140 обеспечения услуг доступа к приложениям, пользовательским терминалом и системой связи, которая управляет предварительно определенной сетью.
В настоящем изобретении система связи, которая управляет предварительно определенной сетью, включает в себя сервер интерфейса. Сервер интерфейса обеспечивает интерфейс для беспрепятственного обмена данными между средством обеспечения услуг доступа к приложениям и предварительно определенной сетью. Сервер интерфейса должен защищать поставщика сетевых услуг (NSP) от атак на обеспечение безопасности. Поэтому необходимо выполнять аутентификацию поставщика сетевых услуг (NSP) и средства обеспечения услуг доступа к приложениям. Сервер интерфейса обеспечивает безопасность и целостность персональной информации и невозможность отказа от авторства при обмене сообщениями.
Далее в отношении сопроводительных чертежей будет описан способ аутентификации пользовательского терминала в сервере интерфейса, сервер интерфейса и пользовательский терминал согласно вариантам осуществления настоящего изобретения.
Фиг. 2 - схема, на которой показывают выполнение аутентификации средства обеспечения услуг доступа к приложениям.
Обращаясь к фиг. 2, сервер 210 аутентификации, сервер 220 интерфейса и сервер 230 обеспечения услуг доступа к приложениям обмениваются друг с другом информацией для выполнения взаимной аутентификации.
Сервер 210 аутентификации выполняет аутентификацию различного типа. Например, сервер 210 аутентификации может быть сервером аутентификации, авторизации и учета (AAA). На фиг. 2 сервер 210 аутентификации описан как выполняющий аутентификацию сервера 230 обеспечения услуг доступа к приложениям.
Сервер 220 интерфейса обеспечивает среду интерфейса для предоставления возможности серверу 230 обеспечения услуг доступа к приложениям осуществлять доступ к сети и обмениваться информацией через сеть. Сервер 220 интерфейса может предоставить информацию о возможностях сети и информацию о пользовательском терминале на сервер 230 обеспечения услуг доступа к приложениям.
Сервер 230 обеспечения услуг доступа к приложениям предоставляет предварительно определенную услугу пользовательскому терминалу. Например, предварительно определенная услуга может включать в себя услугу на основе Интернет. Сервер 230 обеспечения услуг доступа к приложениям реализуется с помощью средства обеспечения услуг доступа к приложениям (ASP). Сервер 230 обеспечения услуг доступа к приложениям может предоставлять различный контент и рекламные объявления.
Средство обеспечения услуг доступа к приложениям (ASP) включает в себя средство обеспечения услуг доступа к Интернет-приложениям (iASP). Средство обеспечения услуг доступа к Интернет-приложениям может предоставлять контент или прикладные программы, собранные с помощью общедоступного Интернет, например, Yahoo, Google или E-bay. Средство обеспечения услуг доступа к Интернет-приложениям может иметь дополнительные взаимоотношения с поставщиками контента (CP) или рекламодателями в Интернет (IA).
Средство обеспечения услуг доступа к приложениям аутентифицируется поставщиком сетевых услуг. Для аутентификации средства обеспечения сетевых услуг на этапе S241 сервер 230 обеспечения услуг доступа к приложениям передает информацию запроса аутентификации на сервер 220 интерфейса. Информация запроса аутентификации может включать в себя маркер аутентификации. Поставщик сетевых услуг использует маркер аутентификации для определения того, какое средство обеспечения услуг доступа к приложениям имеет право запроса аутентификации. Маркер аутентификации включает в себя сертификат с подписью средства обеспечения услуг доступа к приложениям.
На этапе S242 сервер 220 интерфейса выполняет аутентификацию сервера 230 обеспечения услуг доступа к приложениям с помощью сервера 210 аутентификации, используя информацию запроса аутентификации, принимаемую от сервера 230 обеспечения услуг доступа к приложениям. Маркер аутентификации можно использовать для выполнения такого процесса аутентификации.
На этапе S243 сервер 220 интерфейса передает информацию ответа на запрос аутентификации, которая включает в себя результат аутентификации, на сервер 230 обеспечения услуг доступа к приложениям.
Фиг. 3 - схема, на которой показано выполнение аутентификации пользовательского терминала.
Обращаясь к фиг. 3, сервер 310 интерфейса, пользовательский терминал 320 и сервер 330 обеспечения услуг доступа к приложениям обмениваются информацией друг с другом для аутентификации пользовательского терминала.
Сервер 310 интерфейса обеспечивает среду интерфейса, которая предоставляет возможность серверу 330 обеспечения услуг доступа к приложениям осуществлять доступ к сети и обмениваться информацией через сеть. Сервер 310 интерфейса может предоставлять информацию о возможностях сети и о пользовательском терминале на сервер 330 обеспечения услуг доступа к приложениям.
Пользовательский терминал 320 может быть любым устройством, которое имеет возможность доступа к сети. Пользовательский терминал 320 может быть персональным компьютером, портативным компьютером, карманным персональным компьютером (КПК), переносным мультимедийным плеером (PMP), мобильным телефоном и интеллектуальным телефоном.
Сервер 330 обеспечения услуг доступа к приложениям предоставляет предварительно определенную услугу, включающую в себя основанную на Интернет услугу. Сервер 330 обеспечения услуг доступа к приложениям является сервером, реализованным с помощью средства обеспечения услуг доступа к приложениям. Сервер 230 обеспечения услуг доступа к приложениям может предоставлять различные контенты и рекламные объявления. Средство обеспечения услуг доступа к приложениям (ASP) включает в себя средство обеспечения услуг доступа к Интернет-приложениям (iASP). Средство обеспечения услуг доступа к Интернет-приложениям может предоставлять контент или прикладные программы, собранные с помощью общедоступного Интернет, например, Yahoo, Google или E-bay. Средство обеспечения услуг доступа к Интернет-приложениям может иметь дополнительные взаимоотношения с поставщиками информационного наполнения (CP) или с рекламодателями в Интернет (IA).
Сервер 330 обеспечения услуг доступа к приложениям передает информацию запроса аутентификации на сервер 310 интерфейса. Информация запроса аутентификации может проходить через пользовательский терминал 320 на сервер 310 интерфейса. Таким образом, на этапе S341 сервер 330 обеспечения услуг доступа к приложениям передает информацию запроса аутентификации на пользовательский терминал 320, и пользовательский терминал 320 передает принятую информацию аутентификации на сервер 310 интерфейса. Пользовательский терминал 320 может использовать способ перенаправления по протоколу передачи гипертекста (HTTP) для передачи принятой информации запроса аутентификации на сервер 310 интерфейса.
Информация аутентификации включает в себя информацию для запрашивания аутентификации пользовательского терминала 320, который принимает услугу доступа к приложениям от сервера 330 обеспечения услуг доступа к приложениям, на сервер 310 интерфейса. Услуга доступа к приложениям обозначает услугу, предоставляемую сервером 330 обеспечения услуг доступа к приложениям. Однако услуга доступа к приложениям не ограничена приложениями. Информация запроса аутентификации включает в себя информацию запроса аутентификации для обнаружения идентификационной информации пользовательского терминала от сервера обеспечения услуг доступа к приложениям.
Информация запроса аутентификации может включать в себя информацию о требующемся способе аутентификации от сервера 330 обеспечения услуг доступа к приложениям. Однако, способ аутентификации от сервера 310 интерфейса не ограничен им. Хотя информация запроса аутентификации включает в себя информацию о требующемся способе аутентификации от сервера 330 обеспечения услуг доступа к приложениям, ее можно игнорировать.
На этапе S343 сервер 310 интерфейса выполняет аутентификацию пользовательского терминала 320, используя предварительно определенный способ аутентификации, основываясь на принятой информации запроса аутентификации. Предварительно определенный способ аутентификации включает в себя способ аутентификации, выбранный сервером 310 интерфейса, или способ аутентификации, выбранный пользователем пользовательского терминала 320. Способ аутентификации, выбранный сервером 310 интерфейса, может быть определен на основе политики поставщика сетевых услуг (NSP), который обеспечивает сеть. Способ аутентификации, установленный пользователем пользовательского терминала 320, можно выбирать, основываясь на подписке пользователя.
Способ аутентификации может быть способом аутентификации на основе IP-адреса, способом аутентификации на основе сертификата или способом аутентификации на основе вводимой пользователем информации. В дальнейшем эти способы аутентификации будут подробно описаны.
Сначала, способ аутентификации на основе IP-адреса предписывает команду серверу 310 интерфейса, чтобы он обратился к IP-адресу пользовательского терминала 320 для аутентификации пользовательского терминала 320. В этом случае можно использовать дополнительный сервер аутентификации, такой как сервер AAA. Способ аутентификации на основе IP-адреса очень удобен. Однако способ аутентификации на основе IP-адреса имеет недостаток, заключающийся в слабом обеспечении безопасности.
Способ аутентификации на основе сертификата использует сертификат стороны пользовательского терминала для аутентификации пользовательского терминала. Способ аутентификации на основе сертификата имеет преимущество, заключающееся в высокой степени обеспечения безопасности. Однако его не удобно использовать, и также трудно воплощать. Сертификат может включать в себя сертификат для сети стороны пользовательского терминала.
В способе аутентификации на основе вводимой пользователем информации аутентификацию пользовательского терминала выполняют, основываясь на информации, вводимой пользователем пользовательского терминала. Вводимая пользователем информация может включать в себя ID (идентификатор) пользователя или пользовательского терминала и соответствующий пароль. В качестве ID для соответствующей аутентификации, один из постоянного ID и временного ID определяют политики поставщика сетевых услуг (NSP). В способе аутентификации на основе вводимой пользователем информации информацию запроса аутентификации, принимаемую от сервера 330 обеспечения услуг доступа к приложениям, перенаправляют на устройство аутентификации на основе ввода ID/ПАРОЛЯ, используя способ перенаправления по протоколу передачи гипертекста (HTTP), для аутентификации на основе ввода ID/ПАРОЛЯ. В данном случае устройство на основе ввода ID/ПАРОЛЯ может включать в себя Web-портал, поддерживающий аутентификацию на основе ID/ПАРОЛЯ.
После выполнения аутентификации, основываясь на информации запроса аутентификации, сервер 310 интерфейса передает информацию ответа на запрос аутентификации, которая включает в себя результат аутентификации, на сервер 330 обеспечения услуг доступа к приложениям. Информацию ответа на запрос аутентификации передают на сервер 330 обеспечения услуг доступа к приложениям так, что она проходит через пользовательский терминал 320. Таким образом, на этапе S344 сервер 310 интерфейса передает информацию ответа на запрос аутентификации на пользовательский терминал 320, и на этапе S345 пользовательский терминал 320 передает принятую информацию ответа на запрос аутентификации на сервер 330 обеспечения услуг доступа к приложениям. Пользовательский терминал 320 может использовать способ перенаправления по протоколу передачи гипертекста (HTTP) для передачи принятой информации ответа на запрос аутентификации на сервер 330 обеспечения услуги.
Если пользовательский терминал успешно аутентифицирован, то информация ответа на запрос аутентификации может включать в себя идентификационную информацию и информацию о результате аутентификации в сети пользовательского терминала. В противном случае, информация ответа на запрос аутентификации может включать в себя информацию о неудачной аутентификации.
Далее будет описана информация, которую включает в себя информация запроса аутентификации, на основе сообщения SAML. SAML обозначает язык разметки утверждений безопасности. SAML является стандартом для расширяемого языка разметки для обмена информацией обеспечения безопасности предпринимательской деятельности в Интернет. SAML является общим языком для взаимных операций услуги обеспечения безопасности между различными системами и описывает информацию XML. В последнее время информация обеспечения безопасности требуется для различных видов бизнес-деятельности в Интернет, потому что бизнес в Интернет был расширен, например, с помощью B2C (бизнеса для потребителя) и B2B (бизнеса для бизнеса), и сайт начала бизнеса отличается от сайта завершения бизнеса. Соответственно, SAML является языком, который обеспечивает функциональную особенность однократной регистрации (SSO), которая предоставляет возможность открытого решения, имеющего функциональную совместимость и сопоставимость с различными протоколами и простой доступ к ресурсу.
Например, в SAML синтаксическую структуру <AuthnRequest> используют в качестве запроса аутентификации. Информация запроса аутентификации может включать в себя ASP идентификатор ASP сервера обеспечения услуг доступа к приложениям, информацию ID в сети пользовательского терминала (USI ID пользователя/MS для аутентификации), информацию указания постоянного ID и временного ID (указание запроса L-ID/S-ID), внутреннюю подпись средства обеспечения услуг доступа к приложениям (подпись iASP). В таблице 1 подробно показана информация, которую включает в себя информация запроса аутентификации.
Таблица 1 | |
Параметр | Элемент SAML |
ASP идентификатор | <Issuer> |
USI ID пользователя/MS для аутентификации | <Subject> |
Указание запроса L-ID/S-ID | <NameIDPolicy> |
Подпись iASP | <ds:Signature> |
Можно ли выполнять аутентификацию, основываясь на предыдущей аутентификации, такой как сетевая запись + IP-адрес | ForceAuthn |
Таблица 2 подробно показывает постоянный ID и временный ID.
Таблица 2 | |
Значение | Смысл |
urn:oasis:names:tc:SAML:2.0:nameid-format:persistent | Идентификационной информацией USI является L-ID |
urn:oasis:names:tc:SAML:2.0:nameid-format:transient | Идентификационной информацией USI является S-ID |
Тем временем, информация запроса аутентификации может включать в себя информацию с помощью синтаксической структуры <AuthzDecisionStatement>. Таблица 3 показывает информацию синтаксической структуры <AuthzDecisionStatement>.
Таблица 3 | |
Параметр | Элемент SAML |
Идентификационная информация авторизации iASP | <Issuer> |
Ссылка на запрос | <Resource> |
Подпись iASP | <ds:Signature> |
Информация ответа на запрос аутентификации может включать в себя информацию с помощью синтаксической структуры <AuthnStatement>. Таблица 4 подробно показывает информацию синтаксической структуры <AuthnStatement>.
Таблица 4 | ||
Параметр | Элемент SAML | Комментарии |
Идентификационная информация USI системы | <Issuer> | |
USI ID пользователя | <Subject> | Также содержит указание L-ID/S-ID. (идентификаторы формата идентифи-катора названия) |
Используемый способ аутентификации | <AuthnContext> | Значения URI определяют контексты аутентификации (например, URI, определяющие аутентификацию EAP-TTLS). Значения для <AuthnContext> в <AuthnStatement> |
Подпись системы USI | <ds:Signature> |
Информация ответа на запрос аутентификации может включать в себя информацию с помощью синтаксической структуры <AuthzDecisionStatement>. Таблица 5 подробно показывает информацию синтаксической структуры <AuthzDecisionStatement>.
Таблица 5 | ||
Параметр | Элемент SAML | |
Идентификационная информация авторизации системы USI | <Issuer> | |
Обращение к запросу | <Resource> | Определяет, авторизирован или нет контент |
Идентификационная информация целевой системы или систем USI | <Conditions> | Определяет, является ли это авторизацией для контентной системы или систем USI |
Целевые USI ID пользователя(ей) или станции (станций) MS | <Conditions> | Определяет, является ли это универсальной авторизацией для любого, кто представляет определенные USI запросы для этих целевых объектов |
Идентификационная информация/авторизация ASP для USI запроса | <Subject> | |
Подпись системы USI | <ds:Signature> |
В таблицах 1-5, USI обозначает интерфейс универсальной услуги. Сервер системы USI может быть сервером интерфейса.
Как описано выше, сервер интерфейса выполняет аутентификацию пользовательского терминала, не взаимодействуя со средством обеспечения услуг доступа к приложениям. Поэтому можно решить проблемы, вызванные тем, что средство обеспечения услуг доступа к приложениям не распознает доступные способы аутентификации между пользовательским терминалом и сервером интерфейса.
Традиционно, сервер интерфейса использует способ аутентификации, определяемый средством обеспечения услуг доступа к приложениям. В этом случае система сервера интерфейса или пользовательский терминал могут быть не приспособлены использовать такой способ аутентификации. Это приводит к ненужной новой процедуре аутентификации или ограничивает пользователя в использовании услуги из-за неудачной аутентификации. Поэтому использование способа аутентификации, определяемого средством обеспечения услуг доступа к приложениям, не является эффективным подходом.
Поэтому способ аутентификации согласно настоящему варианту осуществления предоставляет возможность серверу интерфейса выбирать способ аутентификации без вмешательства средства обеспечения услуг доступа к приложениям или предоставляет возможность пользователю выбирать способ аутентификации. Соответственно, в том случае, когда для системы сервера интерфейса способ аутентификации, выбранный средством обеспечения услуг доступа к приложениям, не приемлем, аутентификация не завершается неудачно. В данном случае, когда пользователь выбирает способ аутентификации, информацию о выбранном пользователем способе аутентификации можно совместно использовать с системой сервера интерфейса.
Так как способ аутентификации согласно настоящему варианту осуществления включает в себя способ идентификации, основанный на ID и пароле пользователя, способ аутентификации согласно настоящему варианту осуществления удобен для пользователя и его можно просто воплощать, обеспечивая необходимую безопасность.
Далее варианты осуществления настоящего изобретения будут подробно описаны в отношении сопроводительных чертежей.
<Первый примерный способ аутентификации пользовательского терминала в сервере интерфейса>
Фиг. 4 - схема, на которой показан способ аутентификации пользовательского терминала в сервере интерфейса в соответствии с одним из вариантов осуществления настоящего изобретения.
Обращаясь к фиг. 4, на этапе S401 информацию запроса аутентификации принимают от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям от сервера обеспечения услуг доступа к приложениям. На этапе S403 способ аутентификации для аутентификации пользовательского терминала выбирают согласно принятой информации запроса аутентификации. На этапе S405 способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала, и пользовательский терминал аутентифицируют, используя выбранный способ аутентификации. Способ аутентификации может быть выбран с помощью логического алгоритма. На этапе S405 информацию ответа на запрос аутентификации, которая включает в себя результат аутентификации, передают на сервер обеспечения услуг доступа к приложениям.
В данном случае сервером интерфейса является сервер, обеспечивающий интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
Информацию запроса аутентификации и информацию ответа на запрос аутентификации можно принимать или передавать через пользовательский терминал. Для передачи информации запроса аутентификации и информации ответа на запрос аутентификации, проходящей через пользовательский терминал, можно использовать способ перенаправления по протоколу передачи гипертекста (HTTP).
Способ аутентификации можно выбирать с помощью политики поставщика услуг, который обеспечивает сеть, или с помощью выбора пользователя пользовательского терминала.
Способ аутентификации может быть одним из способа аутентификации на основе IP-адреса, способа аутентификации на основе сертификата и способа аутентификации на основе вводимой пользователем информации.
Более подробно, способ аутентификации может включать в себя способ аутентификации на основе ввода ID/ПАРОЛЯ терминала пользователя. В этом случае информацию запроса аутентификации можно перенаправлять на устройство аутентификации на основе ввода информации ID/ПАРОЛЯ, используя способ перенаправления HTTP.
Если пользовательский терминал успешно аутентифицирован, то информация ответа на запрос аутентификации может включать в себя результат аутентификации и сетевую информацию идентификации пользовательского терминала.
В данном случае сеть включает в себя сеть WiMAX.
Информацию запроса аутентификации можно генерировать в сервере обеспечения услуг доступа к приложениям, если пользовательский терминал запрашивает доступ к серверу обеспечения услуг доступа к приложениям. В данном случае пользовательскому терминалу может потребоваться доступ к серверу обеспечения услуг доступа к приложениям для запроса качества обслуживания (QoS).
<Сервер интерфейса>
Фиг. 5 - схема, на которой показан сервер интерфейса, выполняющий аутентификацию пользовательского терминала в соответствии с одним из вариантов осуществления настоящего изобретения.
Обращаясь к фиг. 5, сервер 501 интерфейса включает в себя приемник 503, контроллер 507 аутентификации и передатчик 505. Приемник 503 принимает информацию запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания аутентификации пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям. Контроллер 507 аутентификации выполняет аутентификацию пользовательского терминала согласно принятой информации запроса аутентификации, используя способ аутентификации, установленный сервером 501 интерфейса или пользователем пользовательского терминала. Передатчик 505 передает информацию ответа на запрос аутентификации, которая включает в себя результат аутентификации, на сервер обеспечения услуг доступа к приложениям. Сервером 501 интерфейса является сервер, обеспечивающий интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
Информацию запроса аутентификации и информацию ответа на запрос аутентификации можно принимать или передавать через пользовательский терминал. Чтобы передать информацию запроса аутентификации и информацию ответа на запрос аутентификации так, чтобы она проходила через пользовательский терминал, можно использовать способ перенаправления по протоколу передачи гипертекста (HTTP).
Способ аутентификации может выбираться согласно политике поставщика услуг, который обеспечивает сеть, или пользователем пользовательского терминала.
Способ аутентификации может быть одним из способа аутентификации на основе IP-адреса, способа аутентификации на основе сертификата и способа аутентификации на основе вводимой пользователем информации.
Более подробно, способ аутентификации может включать в себя способ аутентификации на основе ID/ПАРОЛЯ терминала пользователя. В этом случае информацию запроса аутентификации можно перенаправлять на устройство аутентификации на основе ID/ПАРОЛЯ, используя способ перенаправления HTTP.
Если пользовательский терминал успешно аутентифицирован, то информация ответа на запрос аутентификации может включать в себя результат аутентификации и информацию идентификации пользовательского терминала в сети.
В данном случае сеть включает в себя сеть WiMAX.
Информацию запроса аутентификации можно генерировать в сервере обеспечения услуг доступа к приложениям, если пользовательский терминал запрашивает доступ к серверу обеспечения услуг доступа к приложениям. В данном случае пользовательскому терминалу может потребоваться доступ к серверу обеспечения услуг доступа к приложениям для запроса качества обслуживания (QoS).
<Второй примерный способ аутентификации пользовательского терминала в сервере интерфейса>
Фиг. 6 - схема, на которой показан процесс аутентификации, выполняемый в пользовательском терминале в способе аутентификации пользовательского терминала в сервере интерфейса согласно одному из вариантов осуществления настоящего изобретения.
Обращаясь к фиг. 6, на этапе S601 пользовательский терминал принимает информацию запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую от сервера обеспечения услуг доступа к приложениям. На этапе S603 пользовательский терминал передает принятую информацию запроса аутентификации на сервер интерфейса. На этапе S605 сервер интерфейса выполняет процесс аутентификации. На этапе S607 пользовательский терминал принимает информацию ответа на запрос аутентификации, которая включает в себя результат аутентификации при выполнении способа аутентификации, выбранного сервером интерфейса или пользователем пользовательского терминала согласно информации запроса аутентификации в сервере интерфейса. Таким образом пользовательский терминал принимает информацию ответа на запрос аутентификации, которая включает в себя результат аутентификации при выполнении способа аутентификации согласно информации запроса аутентификации в сервере интерфейса, и способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала. На этапе S609 принятую информацию ответа на запрос аутентификации передают на сервер обеспечения услуг доступа к приложениям. Сервером интерфейса является сервер, обеспечивающий интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
Пользовательский терминал использует способ перенаправления HTTP для передачи информации запроса аутентификации на сервер интерфейса. Дополнительно, пользовательский терминал использует способ перенаправления HTTP для передачи информации ответа на запрос аутентификации на сервер обеспечения услуг доступа к приложениям.
Способ аутентификации может выбираться согласно политике поставщика услуг, который обеспечивает сеть, или пользователем пользовательского терминала.
Способ аутентификации может быть одним из способа аутентификации на основе IP-адреса, способа аутентификации на основе сертификата и способа аутентификации на основе вводимой пользователем информации.
Более конкретно, способ аутентификации может включать в себя способ аутентификации на основе ID/ПАРОЛЯ терминала пользователя. В этом случае информацию запроса аутентификации можно перенаправлять на устройство аутентификации на основе ID/ПАРОЛЯ, используя способ перенаправления HTTP.
Если пользовательский терминал успешно аутентифицирован, то информация ответа на запрос аутентификации может включать в себя результат аутентификации и идентификационную информацию пользовательского терминала в сети.
В данном случае сеть включает в себя сеть WiMAX.
Информацию запроса аутентификации можно генерировать в сервере обеспечения услуг доступа к приложениям, если пользовательский терминал запрашивает доступ к серверу обеспечения услуг доступа к приложениям. В данном случае пользовательскому терминалу может потребоваться доступ к серверу обеспечения услуг доступа к приложениям, когда он запрашивает качество обслуживания (QoS).
<Пользовательский терминал>
Фиг. 7 - схема, на которой показан пользовательский терминал при аутентификации пользовательского терминала в сервере интерфейса в соответствии с одним из вариантов осуществления настоящего изобретения.
Обращаясь к фиг. 7, пользовательский терминал 701 включает в себя приемник 703 для приема информации запроса аутентификации для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала 701 от сервера обеспечения услуг доступа к приложениям и передатчик 705 для передачи информации запроса аутентификации на сервер интерфейса. Приемник 703 принимает информацию ответа на запрос аутентификации, которая включает в себя результат аутентификации при выполнении способа аутентификации, выбранного сервером интерфейса или пользователем пользовательского терминала 701 согласно информации запроса аутентификации от сервера интерфейса. Таким образом, приемник 703 принимает информацию ответа на запрос аутентификации, которая включает в себя результат аутентификации при выполнении способа аутентификации согласно информации запроса аутентификации в сервере интерфейса, причем способ аутентификации выбирается сервером интерфейса или пользователем пользовательского терминала 701.
Передатчик 705 передает принятую информацию ответа на запрос аутентификации на сервер обеспечения услуг доступа к приложениям. Сервером интерфейса является сервер, обеспечивающий интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
Пользовательский терминал 701 использует способ перенаправления по протоколу передачи гипертекста (HTTP) для передачи информации запроса аутентификации и передачи информации ответа на запрос аутентификации на сервер обеспечения услуг доступа к приложениям.
Способ аутентификации может выбираться согласно политике поставщика услуг, который обеспечивает сеть, или пользователем пользовательского терминала 701.
Способ аутентификации может быть одним из способа аутентификации на основе IP-адреса, способа аутентификации на основе сертификата или способа аутентификации на основе вводимой пользователем информации пользовательского терминала 701.
Способ аутентификации дополнительно включает в себя способ взаимного обмена информацией между сервером интерфейса и пользовательским терминалом 701. В этом случае пользовательский терминал 701 дополнительно включает в себя блок 707 аутентификации для взаимного обмена информацией. Блок 707 аутентификации включает в себя блок 709 ввода информации для приема информации ID/ПАРОЛЯ. Способ аутентификации включает в себя способ аутентификации, в котором используют информацию ID/ПАРОЛЯ пользовательского терминала 701. Приемник 703 принимает запрос ввода информации ID/ПАРОЛЯ от блока аутентификации на основе ввода ID/ПАРОЛЯ. Передатчик 705 передает вводимую информацию ID/ПАРОЛЯ на сервер интерфейса. Устройство аутентификации на основе ввода информации ID/ПАРОЛЯ принимает информацию запроса аутентификации от сервера интерфейса, основываясь на способе перенаправления по протоколу передачи гипертекста (HTTP).
Если пользовательский терминал 701 успешно аутентифицирован согласно способу аутентификации, то информация ответа на запрос аутентификации может включать в себя идентификационную информацию и информацию о результате аутентификации в сети пользовательского терминала 701.
Сеть включает в себя сеть WiMAX.
Когда пользовательский терминал 701 запрашивает доступ к серверу обеспечения услуг доступа к приложениям, информация запроса аутентификации может генерироваться сервером обеспечения услуг доступа к приложениям. В данном случае пользовательский терминал запрашивает доступ к серверу обеспечения услуг доступа к приложениям для запроса качества обслуживания (QoS) от сервера обеспечения услуг доступа к приложениям.
<Вариант осуществления настоящего изобретения>
Фиг. 8 - схема, на которой показан служебный поток обмена информацией для аутентификации пользовательского терминала в сервере интерфейса согласно одному из вариантов осуществления настоящего изобретения.
Обращаясь к фиг. 8, мобильная станция (MS) 801, маршрутизатор 802 управления доступом (ACR), средство 803 управления качеством (QM), сервер 804 AAA, система 805 USI и iASP 806 обмениваются информацией друг с другом для аутентификации пользовательского терминала. MS 801 может быть пользовательским терминалом, и система 805 USI обозначает сервер интерфейса. iASP 806 обозначает сервер обеспечения услуг доступа к приложениям.
MS 801 запрашивает доступ к сети. Затем на этапе S811 ACR 802 и сервер 804 AAA выполняют аутентификацию доступа. На этапе S812 сервер 804 AAA осуществляет связь с системой 805 USI и выполняет запрос/подтверждение регистрации USI. На этапе S813 MS 801 запрашивает услугу QoS от iASP 806.
На этапе S814 iASP 806 передает запрос USI, включающий в себя информацию запроса аутентификации <AuthnRequest>, в MS. На этапе S815 MS 801 передает принятый запрос USI в систему 805 USI, используя способ перенаправления. На этапе S816 система 805 USI выполняет аутентификацию и идентификацию MS 801 для принятого запроса USI. Способ аутентификации может быть одним из способа аутентификации на основе IP-адреса, способа аутентификации на основе сертификата или способа аутентификации на основе вводимой пользователем информации. Такие способы аутентификации выполняются между системой USI 805 и MS 801 без вмешательства IAS 806. После идентификации на этапе S817 система 805 USI передает ответ USI, включающий в себя результат аутентификации <Response>, на MS 801. На этапе S818 MS 801 передает принятый ответ USI на IASP 806, используя способ перенаправления.
На этапе S819 iASP 806 передает запрос USI в систему 805 USI для генерации сеанса QoS. На этапе S820 система 805 USI генерирует права услуги QoS согласно запросу USI генерации сеанса QoS и на этапе S821 запрашивает QM 803 сгенерировать ресурс. На этапе S822 QM 803 дает команду ACR 802 сгенерировать ресурс, и на этапе S823 ACR 802 генерирует ресурс. На этапе S824 ACR 802, QM 803, AAA 804 и система 805 USI отвечают на запрос генерации ресурса. На этапе S825 система 805 USI передает на iASP 806 ответ USI, включающий в себя информацию ответа на запрос генерации ресурса. На этапе S826 iASP 806 предоставляет услугу QoS через сгенерированный ресурс на MS 801 согласно ответу USI, включающему в себя информацию ответа на запрос генерации ресурса.
Фиг. 9 - схема, на которой показана система для выполнения аутентификации пользовательского терминала в сервере интерфейса в соответствии с одним из вариантов осуществления настоящего изобретения.
Обращаясь к фиг. 9, система включает в себя MS 901, сетевую систему 920 связи и сервер 930 обеспечения услуг доступа к приложениям. Сервером 830 обеспечения услуг доступа к приложениям может быть Google как стороннее ASP.
Сетевая система 920 связи включает в себя систему 921 USI, RAS 922, ACR 923 и сервер 924 аутентификации USI. Сетевая система 920 связи дополнительно включает в себя LGW, PCFR, сервер электронных платежей, сервер определения функциональных возможностей устройств, сервер DCR, систему учета/биллинга Wibro (Wimax), систему абонентского обслуживания Wibro (Wimax).
Для выполнения аутентификации пользовательского терминала, описанной на фиг. 2, сервер 930 обеспечения услуг доступа к приложениям, система 921 USI и сервер 924 аутентификации USI взаимно обменивается информацией для выполнения аутентификации сервера 930 обеспечения услуг доступа к приложениям. Сервер 924 аутентификации USI может выполнять роль сервера AAA.
Для выполнения аутентификации пользовательского терминала, описанной на фиг. 3, MS 910, система 921 USI и сервер 930 обеспечения услуг доступа к приложениям могут взаимно обмениваться информацией для аутентификации пользовательского терминала. MS 910 подсоединяется к серверу 930 обеспечения услуг доступа к приложениям, используя HTTP, и она обменивается информацией с сервером 930 обеспечения услуг доступа к приложениям. Система 921 USI выполняет аутентификацию MS 910, используя способ аутентификации, выбранный с помощью политики поставщика услуг или пользователем пользовательского терминала без вмешательства сервера 930 обеспечения услуги доступа к приложениям. Способ аутентификации может быть одним из способа аутентификации на основе IP-адреса, способа аутентификации на основе сертификата и способа аутентификации на основе вводимой пользователем информации.
Например, пользователь MS 910 расположен в области A. Пользователь обращается к серверу 930 Google, который является сервером обеспечения услуг доступа к приложениям, и ищет банк через сервер Google. Сервер 930 Google передает информацию о банках, расположенных вокруг области A, среди результатов поиска банков. В данном случае сервер 930 Google обращается к системе 921 USI и запрашивает системную информацию или информацию MS 910 от системы 921 USI. В данном случае сервер Google запрашивает информацию местоположения MS 910 от системы 921 USI. Для этого система 921 USI выполняет аутентификацию MS 910. Система 921 USI выполняет аутентификацию MS 910 без вмешательства сервера 930 Google для предотвращения атак на обеспечение безопасности или неправильного ID, когда MS 910 аутентифицируется.
ВАРИАНТ ОСУЩЕСТВЛЕНИЯ ИЗОБРЕТЕНИЯ
Способ описанного выше настоящего изобретения можно реализовывать как программу и хранить на считываемом компьютером носителе записи, таком как CD-ROM, RAM, ROM, гибкие диски, жесткие диски, магнитооптические диски и т.п. Так как процесс можно легко осуществлять специалистам в области техники, к которой принадлежит настоящее изобретение, дополнительное описание не будет приведено в данном документе.
Например, способ аутентификации пользовательского терминала в сервере интерфейса согласно настоящему изобретению можно воплощать как считываемый компьютером носитель записи. На считываемом компьютером носителе записи реализуется способ, включающий в себя: прием информации запроса аутентификации для запрашивания аутентификации пользовательского терминала, который принимает услугу доступа к приложениям от сервера обеспечения услуг доступа к приложениям; аутентификацию пользовательского терминала согласно информации запроса аутентификации, используя способ аутентификации, выбранный сервером интерфейса или пользователем пользовательского терминала; и передачу информации ответа на запрос аутентификации, включающей в себя результат аутентификации при выполнении способа аутентификации, на сервер обеспечения услуг доступа к приложениям, причем сервер интерфейса обеспечивает интерфейс с сетью для сервера обеспечения услуг доступа к приложениям. Дополнительно, способ аутентификации пользовательского терминала в сервере интерфейса согласно настоящему изобретению можно воплощать как считываемый компьютером носитель записи. На считываемом компьютером носителе записи реализуется способ, включающий в себя: прием информации запроса аутентификации от сервера обеспечения услуг доступа к приложениям для запрашивания сервера интерфейса выполнить аутентификацию пользовательского терминала, который принимает услугу доступа к приложениям, предоставляемую сервером обеспечения услуг доступа к приложениям; передачу информации запроса аутентификации на сервер интерфейса; прием информации ответа на запрос аутентификации, включающей в себя результат аутентификации при выполнении способа аутентификации, выбранного сервером интерфейса или пользователем пользовательского терминала согласно информации запроса аутентификации в сервере интерфейса; и передачу принятой информации ответа на запрос аутентификации на сервер обеспечения услуг доступа к приложениям, причем сервером интерфейса является сервер, обеспечивающий интерфейс с сетью для сервера обеспечения услуг доступа к приложениям.
Хотя настоящее изобретение описано относительно конкретных вариантов осуществления, специалистам будет очевидно, что различные изменения и модификации можно выполнять, не отступая от сущности и объема изобретения, которые определены последующей формулой изобретения.
ПРОМЫШЛЕННАЯ ПРИМЕНИМОСТЬ
Способ аутентификации пользовательского терминала в сервере интерфейса, а также сервер интерфейса и пользовательский терминал, использующие данный способ согласно настоящему изобретению, можно применять в системе связи, используя сеть для процедуры аутентификации.
Класс H04L9/32 со средствами для установления личности или полномочий пользователя системы