Способ доступа к службам, системам и устройствам на основе аутентификации доступа wlan
Изобретение относится к области радиосвязи. Технический результат - защита доступа к прикладным системам за счет аутентификации пользователя. Способ сервисного доступа на основе аутентификации доступа к беспроводной сети, которая включает в себя: в процессе выполнения аутентификации доступа к беспроводной сети сервер портала беспроводной локальной сети передает первый cookie-файл на терминал, прошедший проверку подлинности доступа к беспроводной сети, терминал запрашивает доступ к службе прикладной системы и сервисный центр аутентификации, связанный с прикладной системой, определяет, что терминал прошел аутентификацию доступа к беспроводной сети в соответствии с первым cookie-файлом; связанный сервисный центр аутентификации передает полученный идентификационный маркер терминала на прикладную систему; и в соответствии с идентификационным маркером терминала прикладная система обеспечивает услугу доступа для терминала. 3 н. и 17 з.п. ф-лы, 17 ил.
Область применения изобретения.
Настоящее изобретение относится к области радиосвязи и, в особенности, к способам доступа к службам, системам и устройствам на основе аутентификации доступа через беспроводную локальную вычислительную сеть (БЛВС) (англ. Wireless local Area Network (WLAN).
Предпосылки
В ходе развития технологий радиосвязи и информатизации общества увеличилось число требований в отношении доступа к прикладным системам, обеспечивающим дополнительные услуги через WLAN, с одной стороны, и в отношении увеличения количества прикладных систем, способных предоставлять доступ к службам, с другой стороны.
Фиг.1 иллюстрирует структуру системы 1 аутентификации доступа через WLAN, которая может включать пользовательское оборудование 11, точку доступа (AP) 12, контроллер доступа (AC) 13, сервер аутентификации доступа 14 сервер портала 15. В системе 1, точка доступа 12 может обеспечивать радиодоступ пользовательского оборудования 11. Контроллер доступа 13 управляет доступом пользовательского оборудования 11 к WLAN. Контроллер доступа 13, сервер аутентификации доступа 14 и сервер портала 15 совместно действуют для выполнения аутентификации доступа Пользовательского оборудования 11. Данный способ аутентификации доступа через WLAN подробно описан в находящейся на рассмотрении в Китае заявке на патент №200610169785.0 (Публикация №CN 101212297 A) настоящего заявителя, и включен в настоящую заявку во всей полноте посредством ссылки и в дальнейшем более не будет здесь описан.
Фиг.2 иллюстрирует сосредоточенную систему регистрации 2, активирующую пользовательское оборудование для подключения служб множества прикладных систем посредством одного процесса службы аутентификации. Система 2 может включать прикладные системы, центры службы аутентификации и базы данных пользовательского оборудования. Прикладные системы могут быть разделены на прикладную систему первого уровня 21 и прикладную систему второго уровня 22, которые связаны с центром аутентификации первого уровня 23 и центром аутентификации второго уровня 24 соответственно. Прикладная система может запросить соответствующий маркер идентичности пользовательского оборудования через связанный центр службы аутентификации и предоставить пользовательскому оборудованию доступ к службам в соответствии с маркером идентичности пользовательского оборудования. Каждый центр службы аутентификации второго уровня 24 связан с базой данных пользовательского оборудования 25, в которой записывается множество информации пользовательского оборудования. Данная сосредоточенная система регистрации подробно описана в неопубликованной, находящейся на рассмотрении в Китае, заявке на патент №200810116578.8 настоящего заявителя, и включена в настоящую заявку во всей полноте посредством ссылки и в дальнейшем более не будет здесь описана.
Тем не менее, поскольку аутентификация доступа через WLAN производится отдельно от услуги аутентификации сосредоточенной системы регистрации, пользовательскому оборудованию, прошедшему аутентификацию доступа WLAN, необходимо выполнить, по крайней мере, один процесс службы аутентификации для предоставления прикладной системой доступа к службе. Такая повторная аутентификация затрудняет работу пользователя и увеличивает количество служебных сигналов прикладной системы, поскольку она должна поддерживать данные пользовательского оборудования необходимые для службы аутентификации.
Технический результат.
Чтобы решить вышеизложенную проблему повторной аутентификации на известном уровне техники, предлагается вариант осуществления изобретения по доступу к услугам при помощи способа на основе аутентификации доступа через беспроводную локальную вычислительную сеть WLAN, который включает: сервер портала WLAN, передающий первые куки-файлы на пользовательское оборудование, прошедшее аутентификацию доступа WLAN посредством аутентификации доступа WLAN пользовательского оборудования; центр службы аутентификации, связанный с прикладной системой, определяющей, что пользовательское оборудование прошло аутентификацию доступа WLAN по первому куки-файлу, на пользовательском оборудовании, прошедшее аутентификацию доступа WLAN, когда пользовательское оборудование запрашивает доступ к службе прикладной системы; связанный центр службы аутентификации, запрашивающий маркер идентичности пользовательского оборудования, использущего первый куки-файл; связанный центр службы аутентификации, передающий запрошенный маркер идентичности пользовательского оборудования прикладной системе; и прикладную систему, предоставляющую пользовательскому оборудованию доступ к службам в соответствии с маркером идентичности пользовательского оборудования.
Данное приложение предоставляет доступ к службам систем на основе аутентификации доступа через беспроводную локальную вычислительную сеть, WLAN, что включает:
Сервер портала WLAN конфигурированный для передачи первого куки-файла на пользовательское оборудование, прошедшее аутентификацию доступа WLAN при аутентификации доступа пользовательского оборудования через WLAN;
связанный центр службы аутентификации, конфигурированный для определения того, что пользовательское оборудование прошло аутентификацию доступа WLAN после получения первого куки-файла, отправленного на пользовательское оборудование, прошедшее аутентификацию доступа WLAN; запроса маркера идентичности пользовательского оборудования, используя первый куки-файл и передачи запрошенного маркера идентичности пользовательского оборудования прикладной системе, когда пользовательское оборудование запрашивает доступ к службе прикладной системы; а также
прикладную систему, конфигурированную для предоставления пользовательскому оборудованию доступа к услугам в соответствии с маркером идентичности пользовательского оборудования.
Данное приложение обеспечивает устройство доступа к услугам на основе аутентификации доступа по беспроводной локальной вычислительной сети, WLAN, что включает:
определяющий модуль, конфигурированный для определения того, что пользовательское оборудование прошло аутентификацию доступа WLAN по первому куки-файлу, отправленному на пользовательское оборудование, прошедшее аутентификацию доступа WLAN, при которой первый куки-файл передается с сервера портала WLAN на пользовательское оборудование, прошедшее аутентификацию доступа пользовательского оборудования через WLAN;
запрашивающий модуль, конфигурированный для запроса маркера идентичности пользовательского оборудования для пользовательского оборудования, используя первый куки-файл; а также
первый передающий модуль, конфигурированный для передачи запрошенного маркера идентичности пользовательского оборудования прикладной системе.
Данное приложение обеспечивает устройство доступа к службам на основе аутентификации доступа по беспроводной локальной вычислительной сети, WLAN, что включает:
генерирующий модуль, конфигурированный для генерирования при аутентификации доступа пользовательского оборудования через WLAN первого куки-файла для пользовательского оборудования, прошедшего аутентификацию доступа WLAN; а также
второй передающий модуль, конфигурированный для передачи первого куки-файла на пользовательское оборудование, прошедшее аутентификацию доступа WLAN, чтобы пользовательское оборудование, при запросе доступа к службе прикладной системы получало маркер идентичности пользовательского оборудования для пользовательского оборудования, использующего первый куки-файл.
Посредством вышеизложенного способа пользовательскому оборудованию, прошедшему аутентификацию доступа через WLAN, может быть предоставлен доступ к службам множеством прикладных систем, минуя службу аутентификации, таким образом, улучшая работу пользователя и снижая количество служебных сигналов прикладных систем.
Краткое описание чертежей
Фиг.1 является принципиальной структурной схемой системы аутентификации доступа через WLAN;
Фиг.2 является принципиальной структурной схемой сосредоточенной системы регистрации;
Фиг.3 является блок-схемой доступа к службам на основании аутентификации доступа через WLAN в соответствии с первым решением согласно внедрению изобретения;
Фиг.4 является блок-схемой доступа к службам на основании аутентификации доступа через WLAN в соответствии со вторым решением согласно внедрению изобретения;
Фиг.5 является блок-схемой доступа к службам на основании аутентификации доступа через WLAN в соответствии с третьим решением согласно внедрению изобретения;
Фиг.6 является блок-схемой доступа к службам на основании аутентификации доступа через WLAN в соответствии с четвертым решением согласно внедрению изобретения;
Фиг.7 является блок-схемой доступа к службам на основании аутентификации доступа через WLAN в соответствии с пятым вариантом изобретения;
Фиг.8 является блок-схемой процесса доступа к службам на основании аутентификации доступа через WLAN по демонстрационному сценарию применения согласно изобретения;
Фиг.9 является блок-схемой процесса доступа к службам на основании аутентификации доступа через WLAN по другому демонстрационному сценарию применения согласно изобретения;
Фиг.10 является блок-схемой доступа к службам на основании аутентификации доступа через WLAN в соответствии с первым решением согласно внедрению изобретения;
Фиг.11 является блок-схемой доступа к службам на основании аутентификации доступа через WLAN в соответствии со вторым решением согласно внедрению изобретения;
Фиг.12 является блок-схемой доступа к службам на основании аутентификации доступа через WLAN в соответствии с третьим решением согласно внедрению изобретения;
Фиг.13 является блок-схемой доступа к службам на основании аутентификации доступа через WLAN в соответствии с четвертым решением согласно внедрению изобретения;
Фиг.14 является блок-схемой процесса доступа к службам на основании аутентификации доступа через WLAN по специальному сценарию применения согласно изобретения;
Фиг.15 является принципиальной структурной схемой доступа к службам системы на основе аутентификации доступа через беспроводную локальную вычислительную сеть (WLAN) в соответствии с изобретением;
Фиг.16 является принципиальной структурной схемой устройства доступа к службе на основе аутентификации доступа через беспроводную локальную вычислительную сеть (WLAN) в соответствии с изобретением; а также
Фиг.17 является принципиальной структурной схемой другого устройства доступа к службе на основе аутентификации доступа через беспроводную локальную вычислительную сеть (WLAN) в соответствии с изобретением.
Подробное описание изобретения.
В соответствии с изобретением, когда пользовательское оборудование инициирует запрос на доступ к службе прикладной системы при прохождении пользовательским оборудованием аутентификации доступа через WLAN, прикладная система может запросить маркер идентичности пользовательского оборудования через центр службы аутентификации, связанный с пользовательским оборудованием, и предоставить пользовательскому оборудованию доступ к службам в соответствии с маркером идентичности пользовательского оборудования, минуя службу аутентификации. Специалисты в данной области могут понять, что маркер идентичности пользовательского оборудования является информацией, необходимой для прикладной системе для предоставления пользовательскому оборудованию доступа к службам, например, номеру международной мобильной станции ISDN (MSISDN) пользовательского оборудования, тарифной информации, и т.д.
При существующем способе доступа сервер портала может передавать страницу результатов аутентификации доступа на пользовательское оборудование. В соответствии с вариантом осуществления изобретения, кроме передачи на пользовательское оборудование, прошедшее аутентификацию доступа WLAN, страницы результатов аутентификации доступа, сервер портала может передавать на него куки-файл. Данный куки-файл является текстовым файлом, хранящемся на пользовательском оборудовании, а содержание куки-файла, переданное с сервера портала на пользовательское оборудование, может включать идентификатор пользовательского оборудования и индикатор прохождения аутентификации доступа. В соответствии с вариантами изобретения идентификатор пользовательского оборудования - это идентификационный код, являющийся уникальным идентификатором пользовательского оборудования, например, номер MSISDN пользовательского оборудования, и т.д. Индикатор прохождения аутентификации доступа может представлять собой информацию различного рода, указывающую, что пользовательское оборудование прошло аутентификацию доступа WLAN, идентификатор сервера портала (например, имя или адрес сервера портала и т.д.) в качестве примера, не имеющего ограничительного характера. Как можно понять, сервер портала может передавать на пользовательское оборудование куки-файл вместе со страницей результатов аутентификации доступа, любо передавать куки-файл на пользовательское оборудование отдельно, до или после того, как будет передана страница результатов аутентификации доступа.
Доступ к службам на основании аутентификации доступа через WLAN в соответствии с изобретением будет описан ниже со ссылкой на Фиг.3-7, где система, обеспечивающая доступ к службам, имеет двухуровневую архитектуру, как показано на Фиг.2. Первый процесс в соответствии с способом показанный на Фиг.3-7 (процесс 301 на Фиг.3, процесс 401 на Фиг.4, процесс 501 на Фиг.5, процесс 601 на Фиг.6 и процесс 701 на Фиг.7), может представлять собой процесс, описанный выше, при котором сервер портала передает куки-файл на пользовательское оборудование, прошедшее аутентификацию доступа WLAN. Как можно понять, после того, как пользовательское оборудование передает запрос о доступе к службам на прикладную систему, прикладная система может проверить наличие маркера идентичности пользовательского оборудования, и в случае его наличия она может предоставить пользовательскому оборудованию непосредственный доступ к службам. Поэтому процессы, следующие в соответствии с способом после первого процесса, как показано на Фиг.3-7, при которых сервер портала передает куки-файл на пользовательское оборудование, прошедшее аутентификацию доступа WLAN, выполняются только в случае, если маркер идентичности пользовательского оборудования, запрашивающего доступ к службам отсутствует в прикладной системе.
По способу в соответствии с первым решением согласно внедрению изобретения, показанному на Фиг.3, когда пользовательское оборудование инициирует запрос на доступ к службе прикладной системы после процесса 301, центр службы аутентификации, связанный с прикладной системой, может определить по куки-файлу пользовательского оборудования прошло ли оно аутентификацию доступа WLAN (процесс 302). В этот момент прикладная система перенаправляет запрос о доступе к службам в центр службы аутентификации, связанный с прикладной системой. Например, если пользовательское оборудование должно получить доступ к службе прикладной системы первого уровня, центр службы аутентификации первого уровня определяет, прошло ли пользовательское оборудование аутентификацию доступа WLAN; а если пользовательское оборудование должно получить доступ к службе прикладной системы второго уровня, центр службы аутентификации второго уровня, связанный с прикладной системой второго уровня, определяет, прошло ли пользовательское оборудование аутентификацию доступа WLAN. Как описано выше, во время аутентификации доступа пользовательского оборудования через WLAN, сервер портала передает на пользовательское оборудование, прошедшее аутентификацию доступа через WLAN, куки-файл, включающий идентификатор пользовательского оборудования и индикатор прохождения аутентификации доступа. Таким образом, центр службы аутентификации может определить по индикатору прохождения аутентификации доступа, включенному в куки-файл пользовательского оборудования, что пользовательское оборудование прошло аутентификацию доступа через WLAN.
После этого центр службы аутентификации может запросить соответствующий маркер идентичности пользовательского оборудования, использующего куки-файл (процесс 303). После его получения центр службы аутентификации передает маркер идентичности пользовательского оборудования на прикладную систему (процесс 304), а прикладная система может предоставить пользовательскому оборудованию доступ к службам в соответствии с маркером идентичности пользовательского оборудования (процесс 305). Как можно понять, в качестве альтернативы в процессе 304, когда центр службы аутентификаций передает маркер идентичности пользовательского оборудования на прикладную систему, центр службы аутентификации может сначала передать маркер идентичности пользовательского оборудования на пользовательское оборудование, которое, в свою очередь, передает его на прикладную систему, после чего приложение может предоставить пользовательскому оборудованию доступ к необходимым службам.
В соответствии со вторым решением внедрения изобретения, как показано на Фиг.4, сервер портала передает куки-файл на пользовательское оборудование, прошедшее аутентификацию доступа WLAN по процессу 401. После того как центр службы аутентификации определит по куки-файлу пользовательского оборудования, что оно прошло аутентификацию доступа через WLAN (процесс 402), центр службы аутентификации может запросить маркер идентичности пользовательского оборудования, используя куки-файл таким образом, что центр службы аутентификации может запросить идентификатор пользовательского оборудования из куки-файла и маркер идентичности пользовательского оборудования из центра службы аутентификации второго уровня, который является для пользовательского оборудования домашним в соответствии с его идентификатором (процесс 403). После получения маркера идентичности пользовательского оборудования центр службы аутентификации передает его на прикладную систему (процесс 404). Прикладная система может предоставить пользовательскому оборудованию доступ к службам в соответствии с его маркером идентичности (процесс 405).
Как описано выше, каждый центр службы аутентификации второго уровня связан с базой данных пользовательского оборудования, в которой записывается информация данного пользовательского оборудования. В соответствии с вариантами изобретения пользовательское оборудование, для которого является «домашним» специальный центр службы аутентификации второго уровня, ссылается на данную информацию записанную в его базе данных, связанной с центром службы аутентификации второго уровня. Центр службы аутентификации должен сперва определить, какой центр службы аутентификации второго уровня является домашним для пользовательского оборудования, чтобы запросить маркер идентичности пользовательского оборудования в центре службы аутентификации второго уровня, являющемся домашним для данного пользовательского оборудования, а центр службы аутентификации может определить центр службы аутентификации второго уровня, являющийся домашним для данного пользовательского оборудования, в соответствии с идентификатором пользовательского оборудования, запрашиваемого из куки-файла различными способами, ни один из которых не описан в изобретении подробно в целях краткости изложения. Центр службы аутентификации передает идентификатор пользовательского оборудования в центр службы аутентификации второго уровня, являющийся домашним для данного пользовательского оборудования, чтобы запросить маркер идентичности пользовательского оборудования, и, таким образом, центр службы аутентификации второго уровня, являющийся домашним для данного пользовательского оборудования, может запросить соответствующий маркер идентичности пользовательского оборудования в соответствии с идентификатором пользовательского оборудования и передать его в центр службы аутентификации. Специалисты в данной области могут оценить, что центр службы аутентификации второго уровня, являющийся домашним для данного пользовательского оборудования, может выполнять поиск в связанной с ним базе данных пользовательского оборудования для получения маркера идентичности пользовательского оборудования в соответствии с идентификатором пользовательского оборудования, используя различные способы, ни один изкоторых не будет описан здесь далее.
Опционально маркер идентичности пользовательского оборудования может быть сохранен в центре службы аутентификации. Таким образом, в ходе процесса 403, показанного на Фиг.4, центр службы аутентификации может сперва определить, соответствует ли маркер идентичности пользовательского оборудования локально сохраненному после запроса из куки-файла идентификатору пользовательского оборудования, и если нет, центр службы аутентификации запрашивает маркер идентичности пользовательского оборудования из центра службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования в соответствии с идентификатором пользовательского оборудования. Иными словами, процесс запроса маркера идентичности пользовательского оборудования из центра службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования, может быть опущен. Например, таблица маркеров идентичности пользовательского оборудования, в которой сохранены маркеры идентичности пользовательского оборудования, может быть конфигурирована в центре службы аутентификации. Как можно понять, каждый маркер идентичности пользовательского оборудования может быть проиндексирован при помощи идентификатора пользовательского оборудования в таблице маркеров идентичности пользовательского оборудования. Иными словами, соответствие между идентификаторами пользовательского оборудования и маркерами идентичности пользовательского оборудования может быть записано в таблице маркеров идентичности пользовательского оборудования. Поэтому центр службы аутентификации может осуществлять поиск соответствующего маркера идентичности пользовательского оборудования в соответствии с идентификатором пользовательского оборудования в таблице маркеров идентичности пользовательского оборудования.
В целях повышения безопасности, куки-файл переданный с сервера портала на пользовательское оборудование может включать зашифрованный идентификатор пользовательского оборудования, и, таким образом, центр службы аутентификации запрашивает идентификатор пользовательского оборудования только после расшифровки зашифрованного идентификатора пользовательского оборудования из куки-файла. Специалисты в данной области могут зашифровывать и расшифровывать идентификатор пользовательского оборудования при помощи различных систем шифрования. В соответствии со специальным вариантом может быть принят алгоритм симметричного шифра, то есть, сервер портала и центр службы аутентификации имеют совместный доступ к ключу Ka. В частности, куки-файл пользовательского оборудования, прошедший аутентификацию доступа через WLAN включает зашифрованный текст, генерированный сервером портала, зашифровывающим идентификатор пользовательского оборудования при помощи ключа Ka, а центр службы аутентификации запрашивает точный идентификатор пользовательского оборудования после расшифровки зашифрованного идентификатора при помощи ключа Ka при получении куки-файла. Могут быть приняты различные алгоритмы симметричного шифра, например, алгоритм DES, алгоритм 3-DES, алгоритм AES и т.д. В соответствии с другим специальным вариантом может быть принят алгоритм ассиметричного шифра. То есть, куки-файл пользовательского оборудования, прошедшего аутентификацию доступа через WLAN включает зашифрованный текст, генерированный сервером портала, зашифровывающим идентификатор пользовательского оборудования при помощи открытого ключа Kp, а центр службы аутентификации может расшифровать зашифрованный идентификатор пользовательского оборудования при помощи закрытого ключа Ks после получения куки-файла. Могут быть приняты различные алгоритмы асимметричного шифра, например, алгоритм RSA, алгоритм ElGmal, алгоритм ECC и т.д.
Как можно понять, взлом защиты путем замещения оригинала все еще может произойти, хотя безопасность может быть в некоторой степени повышена, поскольку идентификатор пользовательского оборудования добавляется к куки-файлу после зашифровывания. В связи с этим центр службы аутентификации может сохранять идентификатор пользовательского оборудования после запроса его из куки-файла и размещения индекса идентификатора пользовательского оборудования на каждом идентификаторе пользовательского оборудования в соответствии с одним из вариантов изобретения. В данном случае центр службы аутентификации может передавать переписанный куки-файл на пользовательское оборудование для замены куки-файла, ранее полученного с сервера портала, а переписанный куки-файл может включать идентификатор центра службы аутентификации (например, имя и адрес центра службы аутентификации и т.д.) и индекс идентификатора пользовательского оборудования, соответствующий идентификатору пользовательского оборудования. Как описано выше, центр службы аутентификации может сначала передать маркер идентичности пользовательского оборудования на пользовательское оборудование, которое, в свою очередь, передает его на прикладную систему, в процессе чего центр службы аутентификации передает маркер идентичности пользовательского оборудования на прикладную систему. Поэтому переписанный куки-файл может быть передан на пользовательское оборудование для замены исходного куки-файла, в то время как центр службы аутентификации передает маркер идентичности пользовательского оборудования на прикладную систему через пользовательское оборудование. Таким образом, когда пользовательское оборудование запрашивает доступ к службе другой прикладной системы, центр службы аутентификации, связанный с другой прикладной системой может передать индекс идентификатора пользовательского оборудования, включенный в переписанный куки-файл, в центр службы аутентификации, представленный идентификатором центра службы аутентификации, включенным в переписанный куки-файл в соответствии с идентификатором центра службы аутентификации и индексом идентификатора пользовательского оборудования, а центр службы аутентификации, представленный идентификатором центра службы аутентификации, запрашивает соответствующий идентификатор пользовательского оборудования в соответствии с индексом идентификатора пользовательского оборудования, чтобы, таким образом, получить необходимый маркер идентичности пользовательского оборудования. В описанном выше случае, когда в таблице маркеров идентичности пользовательского оборудования сохранены маркеры идентичности пользовательского оборудования, создается центр службы аутентификации, таблица маркеров идентичности пользовательского оборудования может быть изменена посредством включения в нее записи, содержащей индекс идентификатора пользовательского оборудования, соответствующий идентификатору пользовательского оборудования. Таким образом, центр службы аутентификации, представленный идентификатором центра службы аутентификации в переписанном куки-файле, может осуществлять поиск в таблице маркеров идентичности пользовательского оборудования в соответствии с индексом идентификатора пользовательского оборудования, а если соответствующий маркер идентичности пользовательского оборудования не будет найден, центр службы аутентификации может запросить соответствующий идентификатор пользовательского оборудования из таблицы маркеров идентичности пользовательского оборудования и получить необходимый маркер идентичности пользовательского оборудования в соответствии с идентификатором пользовательского оборудования. Таким образом, куки-файл, включающий идентификатор пользовательского оборудования будет использоваться только один раз при первом запросе пользовательским оборудованием доступа к службам после прохождения аутентификации доступа через WLAN, чтобы таким образом избежать взлома защиты путем замещения оригинала.
Как можно понять, между центром службы аутентификации и центром службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования, а также между центром службы аутентификации и связанной прикладной системой для передачи идентификатора пользовательского оборудования и/или маркера идентичности пользовательского оборудования могут быть установлены каналы безопасной передачи данных. Например, каналом безопасной передачи может быть виртуальная частная сеть (VPN), безопасный туннель SSL и т.д.
Фиг.5 и 6 показывают доступ к службам на основании аутентификации доступа через WLAN в соответствии с третьим и четвертым решениями внедрения изобретения, при которых центр службы аутентификации второго уровня запрашивает через центр службы аутентификации первого уровня маркер идентичности пользовательского оборудования из центра службы аутентификации второго уровня, являющегося домашним для пользовательского оборудования, вместо запроса маркера идентичности пользовательского оборудования непосредственно из центра службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования. Кроме того, это может помочь избежать условия смешанного доступа в связи с взаимосвязанностью различных центров служб аутентификации второго уровня и, следовательно, избежать информационной перегрузки.
В частности, сервер портала передает куки-файл на пользовательское оборудование, прошедшее аутентификацию доступа через WLAN (процесс 501 на Фиг.5 и процесс 601 на Фиг.6), а центр службы аутентификации определяет по куки-файлу пользовательского оборудования, что пользовательское оборудование прошло аутентификацию доступа через WLAN (процесс 502 на Фиг.5 и процесс 602 на Фиг.6). После этого можно определить, к первому или второму уровню относится центр службы аутентификации (процесс 503 на Фиг.5 и процесс 603 на Фиг.6). Если центр службы аутентификации определен как центр службы аутентификации первого уровня, центр службы аутентификации первого уровня получает идентификатор пользовательского оборудования из куки-файла и запрашивает маркер идентичности пользовательского оборудования из центра службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования, в соответствии с идентификатором пользовательского оборудования (процесс 504 на Фиг.5 и процесс 604 на Фиг.6). Если центр службы аутентификации определен как центр службы аутентификации второго уровня, способ выполнения процесса, показанный на Фиг.5 несколько отличается от способа, показанного на Фиг.6.
В случае если центр службы аутентификации определен в качестве центра службы аутентификации второго уровня, как показано на Фиг.5, центр службы аутентификации второго уровня передает идентификатор пользовательского оборудования в центр службы аутентификации первого уровня после получения идентификатора пользовательского оборудования из куки-файла (процесс 505), а центр службы аутентификации первого уровня запрашивает маркер идентичности пользовательского оборудования из центра службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования в соответствии с идентификатором пользовательского оборудования (процесс 506), и передает маркер идентичности пользовательского оборудования в центр службы аутентификации второго уровня, запрашивающий маркер идентичности пользовательского оборудования (процесс 507). Кроме того, как показано на Фиг.6, центр службы аутентификации второго уровня передает куки-файл в центр службы аутентификации первого уровня (процесс 605), а центр службы аутентификации первого уровня получает идентификатор пользовательского оборудования из куки-файла и передает маркер идентичности пользовательского оборудования из центра службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования в соответствии с идентификатором пользовательского оборудования (процесс 606), а также передает маркер идентичности пользовательского оборудования в центр службы аутентификации второго уровня, запрашивающий маркер идентичности пользовательского оборудования (процесс 607). Как видно, центр службы аутентификации второго уровня отвечает за получение идентификатора пользовательского оборудования из куки-файла по способу, показанному на Фиг.5, а центр службы аутентификации первого уровня получает идентификатор пользовательского оборудования из куки-файла по способу, показанному на Фиг.6.
Центр службы аутентификации должен выполнять такой же процесс, как показан на Фиг.5, поскольку процесс по способу, показанному на Фиг.6, заключается в получении маркера идентичности пользовательского оборудования, при котором центр службы аутентификации передает маркер идентичности пользовательского оборудования на прикладную систему (процесс 508 на Фиг.5 и процесс 608 на Фиг.6), а прикладная система может предоставить пользовательскому оборудованию доступ к службам в соответствии с маркером идентичности пользовательского оборудования (процесс 509 на Фиг.5 и процесс 609 на Фиг.6).
В качестве альтернативы в центре службы аутентификации может быть сохранен маркер идентичности пользовательского оборудования и создана таблица маркеров идентичности пользовательского оборудования, в которой отмечены связи соответствия между идентификаторами пользовательского оборудования и маркерами идентичности пользовательского оборудования. Таким образом, если в процессе 503, показанном на Фиг.503 или в процессе 603, показанном на Фиг.6, центр службы аутентификации определен как центр службы аутентификации первого уровня, центр службы аутентификации первого уровня может сперва определить, сохранен ли локально необходимый маркер идентичности пользовательского оборудования в центре службы аутентификации первого уровня после того, как идентификатор пользовательского оборудования получен из куки-файла, а если нет, центр службы аутентификации может запросить маркер идентичности пользовательского оборудования из центра службы аутентификации второго уровня являющегося домашним для данного пользовательского оборудования в соответствии с идентификатором пользовательского оборудования. Иными словами, процесс запроса маркера идентичности пользовательского оборудования из центра службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования, может быть опущен. С другой стороны, в случае если центр службы аутентификации является центром службы аутентификации второго уровня, по способу, показанному на Фиг.5, центр службы аутентификации второго уровня может определить, сохранен ли локально маркер идентичности пользовательского оборудования после того, как идентификатор пользовательского оборудования будет получен из куки-файла, и если так, последующий процесс, в котором центр службы аутентификации первого уровня запрашивает маркер идентичности пользовательского оборудования из центра службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования, может быть опущен. Кроме того, по способу, показанному на Фиг.6, центр службы аутентификации первого уровня определяет сохранен ли необходимый маркер идентичности пользовательского оборудования в центре службы аутентификации первого уровня после того, как идентификатор пользовательского оборудования запрошен из куки-файла, полученного из центра службы аутентификации второго уровня, и если так, процесс запроса маркера идентичности пользовательского оборудования из центра службы аутентификации второго уровня, являющегося домашним для данного пользовательского оборудования, может быть опущен.
Подобным образом, для передачи идентификатора пользовательского оборудования и/или маркера идентичности пользовательского оборудования, также может быть установлен канал безопасной передачи. Например, канал безопасной передачи может представлять собой безопасный туннель VPN, SSL и т.д.
Как вариант, куки-файл, переданный с сервера портала WLAN на пользовательское оборудование, может включать зашифрованный идентификатор пользовательского оборудования. Как можно понять, в случае если идентификатор пользовательского оборудования зашифрован, центр службы аутентификации первого уровня запрашивает идентификатор пользовательского оборудования из куки-файла по способу, показанному на Фиг.6; таким образом, нет необходимости, чтобы центр службы аутентификации второго уровня сохранял ключ Ka (алгоритм симметричного шифра) или закрытый ключ Ks (алгоритм асимметричного шифра), необходимый для дешифрования, и, таким образом, количество сохраненных данных и количество расчетов центра службы аутентификации второго уровня может быть уменьшено.
Как можно понять, способ, показанный на Фиг.5 и Фиг.6, может в дальнейшем включать процесс, в котором центр службы аутентификации передает переписанный куки-файл на пользовательское оборудование для замены куки-файла, ранее полученного с сервера портала. При этом переписанный куки-файл может включать идентификатор центра службы аутентификации и индекс идентификатора пользовательского оборудования, соответствующий идентификатору пользовательского оборудования. Следует отметить, что по способу, показанному на Фиг.6, если центр службы аутентификации является центром аутентификации второго уровня, центр службы аутентификации первого уровня может альтернативно передать идентификатор пользовательского оборудования в центр службы аутентификации второго уровня при передаче маркера идентификатора пользовательского оборудования в центр службы аутентификации второго уровня, хотя центр службы аутентификации первого уровня запрашивает идентификатор пользовательского оборудования из куки-файла. Поэтому центр службы аутентификации может сохранить идентификатор пользовательского оборудования и разместить индекс идентификатора пользовательского оборудования на каждом идентификаторе пользовательского оборудования, после его получения.
По вышеописанному способу со ссылкой на Фиг.3-6 после получения маркера идентификатора пользовательского оборудования центр службы аутентификации передает его на прикладную систему. В качестве альтернативы, в случае если центр службы аутентификации может, например, конфигурировать таблицу маркеров идентификаторов пользовательского оборудования, в которой сохранены запрашиваемые маркеры идентификаторов пользовательского оборудования, центр службы аутентификации может установить соответствующий номер маркера идентификатора пользовательского оборудования на каждый сохраненный маркер идентификатора пользовательского оборудования. На Фиг.7 показано внедрение такого способа: после процесса 701, при котором сервер портала передает куки-файл на пользовательское оборудование, прошедшее аутентификацию доступа через WLAN, процесса 702, при котором центр службы аутентификации определяет по куки-файлу пользовательского оборудования, что пользовательское оборудование прошло аутентификацию доступа через WLAN и процесса 703, при котором центр службы аутентификации запрашивает маркер идентичности пользовательского оборудования, а центр службы аутентификации сохраняет маркер идентичности пользовательского оборудования, например, в таблице маркеров идентичности пользовательского оборудования вместо того, чтобы передать маркер идентичности пользовательского оборудования непосредственно на прикладную систему, и устанавливает на него соответствующий номер маркера идентичности пользовательского оборудования. Поэтому центр службы аутентификации передает номер маркера идентичности пользовательского оборудования на прикладную систему (процесс 704) вместо того, чтобы передавать маркер идентичности пользовательского оборудования непосредственно. После получения номера маркера идентичности пользовательского оборудования прикладная система устанавливает канал безопасной передачи в центр службы аутентификации и предоставляет центру службы аутентификации номер маркера идентичности пользовательского оборудования; а центр службы аутентификации выполняет поиск соответствующего маркера идентичности пользовательского оборудования в таблице маркеров идентичности пользовательского оборудования и в дальнейшем передает маркер идентичности пользовательского оборудования на прикладную систему через канал безопасной передачи (процесс 705). К примеру, для передачи маркера идентичности пользовательского оборудования между центром службы аутентификации и прикладной системой может быть установлен безопасный туннель VPN, SSL и т.д. После получения маркера идентичности пользовательского оборудования прикладная система может предоставить пользовательскому оборудованию доступ к службам в соответствии с маркером идентичности пользовательского оборудования (процесс 706).
Как описывалось ранее, центр службы аутентификации может передать маркер идентичности пользовательского оборудования на прикладную систему через пользовательское оборудование, а после этого прикладная система может предоставить пользовательскому оборудованию доступ к необходимым службам. Тем не менее, безопасность канала передачи между центром службы аутентификации и пользовательским оборудованием и канала передачи между пользовательским оборудованием и прикладной системой, как правило, недостаточна. Таким образом, передача маркера идентичности пользовательского оборудования может подвергаться такому потенциальному риску безопасности, при котором маркер идентичности пользовательского оборудования может быть похищен. По способу, показанному на Фиг.7, центр службы аутентификации передает на прикладную систему через пользовательское оборудование только номер маркера идентичности пользовательского оборудования, а маркер идентичности пользовательского оборудования передается по каналам безопасной передачи, таким образом, обеспечивая безопасность.
Для лучшего понимания, специальный процесс доступа к службам на основании аутентификации доступа через WLAN в соответствии с вариантом изобретения будет описан ниже в двух специальных сценариях применения со ссылкой на Фиг.8 и Фиг.9.
Фиг.8 иллюстрирует сценарий, при котором пользовательское оборудование 'a', прошедшее аутентификацию доступа через WLAN получает доступ на первый уровень прикладной системы A, в которой первый уровень прикладной системы A связан с центром службы аутентификации первого уровня 1, а центр службы аутентификации второго уровня 2 связан с базой данных пользовательского оборудования B, в которой записывается информация пользовательского оборудования 'a'. То есть, для пользовательского оборудования 'a' домашним является центр службы аутентификации второго уровня 2. При аутентификации доступа пользовательского оборудования через WLAN 'a', сервер портала WLAN передает куки-файл, включающий индикатор прохождения аутентификации доступа и зашифрованный идентификатор пользовательского оборудования на пользовательское оборудование 'a', прошедшее аутентификацию доступа через WLAN. Фиг.8 иллюстрирует следующую последовательность процессов:
Процесс 801: Пользовательское оборудование 'a' инициирует запрос на доступ к службам первого уровня прикладной системы A;
Процесс 802: Прикладная система первого уровня A проверяет наличие маркера идентичности пользовательского оборудования 'a', и в случае наличия, производится переход к процессу 814;
Процесс 803: Прикладная система первого уровня A перенаправляет запрос пользовательского оборудования 'a' на доступ к службам в центр службы аутентификации первого уровня 1;
Процесс 804: Центр службы аутентификации первого уровня 1 определяет, прошло ли пользовательское оборудование 'a' аутентификацию доступа через WLAN на основании наличия в куки-файле пользовательского оборудования 'a' индикатора прохождения аутентификации доступа, в случае прохождения, центр службы аутентификации первого уровня 1 дешифрует зашифрованный идентификатор пользовательского оборудования, содержащийся в куки-файле, запрашивает идентификатор пользовательского оборудования, сохраняет идентификатор пользовательского оборудования и устанавливает на него соответствующий индекс идентификатора пользовательского оборудования. Иными словами, центр службы аутентификации первого уровня 1 выполняет аутентификацию доступа пользовательского оборудования 'a' через WLAN;
Процесс 805: Центр службы аутентификации первого уровня 1 устанавливает канал безопасной передачи в центр службы аутентификации второго уровня 2 и передает идентификатор пользовательского оборудования в центр службы аутентификации второго уровня 2, чтобы запросить маркер идентичности пользовательского оборудования;
Процесс 806: Центр службы аутентификации второго уровня 2 передает запрос маркера идентичности пользовательского оборудования на базу данных пользовательского оборудования B;
Процесс 807: База данных пользовательского оборудования B передает маркер идентичности пользовательского оборудования в центр службы аутентификации второго уровня 2;
Процесс 808: Центр службы аутентификации второго уровня 2 передает маркер идентичности пользовательского оборудования в центр службы аутентификации первого уровня 1 по каналу безопасной передачи, установленному в ходе процесса 805;
Процесс 809: Центр службы аутентификации первого уровня 1 сохраняет маркер идентичности пользовательского оборудования, устанавливает номер маркера идентичности пользовательского оборудования на маркер идентичности пользовательского оборудования и генерирует новый куки-файл, включающий идентификатор центра службы аутентификации первого уровня 1 индекс идентификатора пользовательского оборудования;
Процесс 810: Центр службы аутентификации первого уровня 1 перенаправялет запрос доступа пользовательского оборудования 'a' к службам прикладной системы первого уровня A, при этом передавая номер маркера идентичности пользовательского оборудования на прикладную систему первого уровня A, и передает новый куки-файл на пользовательское оборудование 'a' для замены куки-файла, прежде предоставленного сервером портала;
Процесс 811: Прикладная система первого уровня A устанавливает канал безопасной передачи с центром службы аутентификации первого уровня 1 и передает номер маркера идентичности пользовательского оборудования в центр службы аутентификации первого уровня 1 для запроса маркера идентичности пользовательского оборудования;
Процесс 812: Центр службы аутентификации первого уровня 1 запрашивает маркер идентичности пользовательского оборудования в соответствии с номером маркера идентичности пользовательского оборудования;
Процесс 813: Центр службы аутентификации первого уровня 1 передает маркер идентичности пользовательского оборудования на прикладную систему первого уровня A по каналу безопасной передачи, установленному в ходе процесса 811; а также
Процесс 814: Прикладная система первого уровня A предоставляет пользовательскому оборудованию 'a' доступ к службам в соответствии с маркером идентичности пользовательского оборудования.
На Фиг.9 показан иллюстративный сценарий, при котором пользовательское оборудование 'a', прошедшее аутентификацию доступа через WLAN, получает доступ к прикладной системе второго уровня A', при этом, прикладная система второго уровня A' связана с центром службы аутентификации второго уровня 3, который связан с центром службы аутентификации первого уровня 1. Центр службы аутентификации второго уровня 2 связан с базой данных пользовательского оборудования B, где записывается информация пользовательского оборудования 'a', то есть, для пользовательского оборудования 'a' домашним является центр службы аутентификации второго уровня 2. Во время аутентификации доступа пользовательского оборудования 'a' через WLAN, сервер портала WLAN передает на пользовательское оборудование 'a', прошедшее аутентификацию доступа через WLAN, куки-файл, включающий индикатор прохождения аутентификации доступа и зашифрованный идентификатор пользовательского оборудования. Фиг.9 иллюстрирует следующую последовательность процессов:
Процесс 901: Пользовательское оборудование 'a' инициирует запрос доступа к службам прикладной системы второго уровня A';
Процесс 902: Прикладная система второго уровня A проверяет наличие маркера идентичности пользовательского оборудования на пользовательском оборудовании 'a', и если он есть, производится переход к процессу 917;
Процесс 903: Прикладная система второго уровня A' перенаправляет запрос пользовательского оборудования 'a' на доступ к службам в центр службы аутентификации второго уровня 3;
Процесс 904: Центр службы аутентификации второго уровня 3 определяет, прошло ли пользовательское оборудование 'a' аутентификацию доступа через WLAN, исходя из того, включает ли куки-файл пользовательского оборудования 'a' индикатор прохождения аутентификации доступа, и если нет, центр службы аутентификации второго уровня 3 выполняет аутентификацию доступа пользовательского оборудования 'a' через WLAN;
Процесс 905: Центр службы аутентификации второго уровня 3 передает куки-файл в центр службы аутентификации первого уровня 1 для запроса маркера идентификатора пользовательского оборудования из центра службы аутентификации первого уровня 1;
Процесс 906: Центр службы аутентификации первого уровня 1 дешифрует зашифрованный идентификатор пользовательского оборудования, содержащийся в куки-файле, запрашивает идентификатор пользовательского оборудования и сохраняет его;
Процесс 907: Центр службы аутентификации первого уровня 1 устанавливает канал безопасной передачи в центр службы аутентификации второго уровня 2 и передает идентификатор пользовательского оборудования в центр службы аутентификации второго уровня 2 для запроса маркера идентичности пользовательского оборудования;
Процесс 908: Центр службы аутентификации второго уровня 2 передает запрос маркера идентичности пользовательского оборудования на базу данных пользовательского оборудования B;
Процесс 909: База данных пользовательского оборудования B передает маркер идентичности пользовательского оборудования в центр службы аутентификации второго уровня 2;
Процесс 910: Центр службы аутентификации второго уровня 2 передает маркер идентичности пользовательского оборудования в центр службы аутентификации первого уровня 1 по каналу безопасной передачи, установленному в ходе процесса 907;
Процесс 911: Центр службы аутентификации первого уровня 1 передает маркер идентичности пользовательского оборудования и идентификатор пользовательского оборудования в центр службы аутентификации второго уровня 3;
Процесс 912: Центр службы аутентификации второго уровня 3 сохраняет маркер идентичности пользовательского оборудования и идентификатор пользовательского оборудования, устанавливает номер маркера идентичности пользовательского оборудования для маркера идентичности пользовательского оборудования и индекс идентификатора пользовательского оборудования для идентификатора пользовательского оборудования, а также генерирует новый куки-файл, включающий идентификатор центра службы аутентификации второго уровня 3 и индекс идентификатора пользовательского оборудования;
Процесс 913: Центр службы аутентификации второго уровня 3 перенаправляет запрос пользовательского оборудования 'a' на доступ к службам прикладной системы второго уровня A', при этом передавая номер маркера идентичности пользовательского оборудования на прикладную систему второго уровня A', и передает на пользовательское оборудование 'a' новый куки-файл для замены куки-файла прежде предоставленного сервером портала;
Процесс 914: Прикладная система второго уровня A устанавливает канал безопасной передачи с центром службы аутентификации второго уровня 3 и передает номер маркера идентичности пользовательского оборудования в центр службы аутентификации второго уровня 3 для запроса маркера идентичности пользовательского оборудования;
Процесс 915: Центр службы аутентификации второго уровня 3 запрашивает маркер идентичности пользовательского оборудования в соответствии с номером маркера идентичности пользовательского оборудования;
Процесс 916: Центр службы аутентификации второго уровня 3 передает маркер идентичности пользовательского оборудования на прикладную систему второго уровня A' по каналу безопасной передачи, установленному в ходе процесса 914; а также
Процесс 917: Прикладная система второго уровня A' предоставляет пользовательскому оборудованию доступ к службам в соответствии с маркером идентичности пользовательского оборудования.
Как вариант изобретения, когда пользовательское оборудование инициирует запрос доступа к службам специальной прикладной системы, если оно прошло аутентификацию доступа через WLAN, прикладная система может запросить маркер идентичности пользовательского оборудования через связанный центр службы аутентификации, который может запросить маркер идентичности пользовательского оборудования через сервер портала WLAN, а после получения маркера идентичности пользовательского оборудования, сервер приложений может предоставить пользовательскому оборудованию доступ к службам в соответствии с маркером идентичности пользовательского оборудования, минуя службы аутентификации. Кроме того, специалисты в данной области могут понять, что маркер идентичности пользовательского оборудования является информацией, необходимой прикладной системе для предоставления пользовательскому оборудованию доступа к службам, например, номеру Международной мобильной станции ISDN (MSISDN) пользовательского оборудования, тарифной информации и т.д.
Более того, при существующем способе доступа сервер портала может передавать страницу результатов аутентификации доступа на пользовательское оборудование. В соответствии с вариантом осуществления изобретения, кроме страницы результатов аутентификации доступа, сервер портала может передавать на пользовательское оборудование, прошедшее аутентификацию доступа через WLAN, куки-файл. Куки-файл является текстовым файлом, сохраненным на пользовательском оборудовании, а содержание куки-файла, переданного с сервера портала на пользовательское оборудование может включать индикатор прохождения аутентификации доступа, который может представлять собой информацию различного типа, указывающую на то, что пользовательское оборудование прошло аутентификацию доступа через WLAN, иденитификатор сервера портала WLAN (например, имя или адрес сервера портала и т.д.) может служить примером, не имеющим ограничительного характера. Более того, куки-файл, переданный с сервера портала на пользовательское оборудование может еще включать индекс идентификатора пользовательского оборудования. В соответствии с вариантами изобретения идентификатор пользовательского оборудования может быть идентификационным кодом, являющимся уникальным иденитификатором пользовательского оборудования, например, MSISDN пользовательского оборудования и т.д. А индекс идентификатора пользовательского оборудования ссылается на информацию, по которой сервер портала может определить идентификатор пользовательского оборудования. Как вариант, на сервере портала устанавливается таблица идентификаторов пользовательского оборудования, в которой каждому идентификатору пользовательского оборудования соответствует один индекс идентификатора пользовательского оборудования, и, таким образом, сервер портала может осуществлять в данной таблице поиск соответствующего идентификатора пользовательского оборудования по его индексу. Как можно понять, сервер портала может запросить идентификатор пользовательского оборудования во время аутентификации доступа пользовательского оборудования через WLAN, и, таким образом, сервер портала может добавлять соответствующую связь между идентификатором пользовательского оборудования и индексом идентификатора в таблицу идентификаторов пользовательского оборудования при каждом получении идентификатора пользовательского оборудования.
Поэтому на пользовательском оборудовании, прошедшем аутентификацию доступа WLAN сохраняется куки-файл, включающий индикатор прохождения аутентификации доступа и индекс идентификатора пользовательского оборудования. Как можно понять, сервер портала может передавать на пользовательское оборудование куки-файл вместе со страницей результатов аутентификации доступа, либо передавать куки-файл на пользовательское оборудование отдельно, перед тем как будет передана страница результатов аутентификации доступа, либо после.
Способ доступа к услуге WLAN основанный на аутентификации при доступе (в соответствии с изобретением) будет подробно рассмотрен ниже со ссылкой на Фиг.10 и Фиг.13, где система предоставления услуги доступа представлена в двухуровневой схеме, как показано на Фиг.2. Первая функция способа показана на Фиг.10. Фиг.13 (1001 операция на Фиг.10, 1101 операция на Фиг.11, 1201 операция на Фиг.12 и операция 1301 в Фиг.13) может быть операцией, как описано выше, при которой сервер-портал передает «cookie» пользовательское оборудование, которое прошло WLAN доступ аутентификации.
Это будет оценено после того как пользователь оборудования посылает запрос доступа к прикладной системе, прикладная системы может проверить идентичность маркеров пользовательского оборудования, присутствующих в прикладной системе, и если они в наличии, то система предоставляет доступ. Поэтому соответствующие операции после первой, способом, показанным на Фиг.10 и Фиг, 13 будут производиться только в том случае, если маркер пользовательского оборудования запрашивающий доступ к услуге отсутствует в прикладной системе.
В этом способе отображается первое возможное решение, как показано на Фиг.10, когда пользователь оборудования инициирует запрос доступа к службе прикладной системы после Операции 1001, сервисный центр аутентификации, связанный с прикладной системой может определить, из файла «cookie» на пользовательском оборудовании, прошло ли пользовательское оборудование проверку подлинности доступа к беспроводной сети (Операция 1002). В это время система перенаправляет запрос доступа к сервисному центру аутентификации, связанному с прикладной системой. Например, если пользователь оборудования инициирует запрос доступа к службе на первом уровне приложений, то первый уровень сервиса - центр аутентификации, связанный с первой системой уровня приложения определяет, прошло ли оборудование пользователя проверку подлинности доступа к беспроводной сети, или если пользователь оборудования желает получить доступ к службе второй системы на уровне приложений, то второй уровень сервиса аутентификации центр, связанный с второй системой на уровне приложений определяет, прошло ли оборудование пользователя проверку подлинности доступа к беспроводной сети. Как описано выше, файл «cookie» может включать в себя, например, индикатор прохождения доступа аутентификации и идентификатор индекса пользователя оборудования, таким образом, сервисный центр аутентификации может определить, через аутентификацию доступа указание включить в файл «cookie» в пользовательском оборудовании, данные о том что пользовательское оборудование прошло проверку подлинности доступа к беспроводной сети.
Тогда сервисный центр аутентификации может передать запрос на сервер с помощью портала печенье, и портал сервер обеспечивает идентичность пользовательского оборудования маркера (операция 1003). Сервисный центр аутентификации передает идентификации пользователей оборудования маркера с применением системы после получения его (операция 1004), а также применение системы может предоставить пользователю оборудования Доступа к услугам в соответствии с идентификацией пользователей оборудования маркера (операция 1005). Как можно оценить, в качестве альтернативы в эксплуатацию 1004, в которых сервис-центр аутентификации передает идентификации пользователей оборудования маркер прикладной системы, сервисный центр аутентификации во-первых передать идентификации пользователей оборудования маркером для пользователей оборудования, которое в свою очередь, передает его на применение системы, с тем, что приложение может предоставить пользователю оборудования с требуемой услуги доступа.
Как можно заметить, защищенные каналы передачи могут быть установлены между центром и службой проверки подлинности сервера портала, а также между сервисным центром аутентификации и применением системы для передачи идентификатора пользовательского оборудования и маркировочной идентификации пользователей оборудования. Например, виртуальные частные сети (VPN), например, SSL безопасный туннель и т.д., могут быть установлены между центром и службой проверки подлинности сервера портала, а также между сервисным центром аутентификации и прикладными системами передачи пользовательского оборудования идентификатора и маркировочной идентификации пользователей оборудования.
Во втором варианте решения данного изобретения, после операции 1101, сервисный центр аутентификации определяется исходя из файла «cookie» в пользовательском оборудовании. Также определяет, что пользовательское оборудование прошло проверку подлинности доступа к беспроводной сети (операция 1102), а также для определения сервисным центром аутентификации запроса относительно идентичности маркера пользовательского оборудования. Как описано выше, файл «cookie» передаваемый от портала сервера для пользователей оборудования может включать в себя идентификатор пользователя оборудования, индекс пользовательского оборудования. Также портал настраивает сервер и поддерживает таблицу идентификаторов пользователей оборудования, в которой фиксируется передача данных между пользовательским оборудованием и идентификатором индексов. Таким образом, портал сервер может осуществить поиск в таблице идентификаторов пользователей оборудования для соответствующего идентификатора пользовательского оборудования в соответствии с идентификатором индекса пользовательского оборудования, полученного от центра службы аутентификации. Также может осуществлять запрос идентификации маркировочного оборудования из второго уровня сервиса центра аутентификации (операция 1104). Сервисный центр аутентификации передает идентификацию пользователям оборудования посредством приложения системы и маркера (операция 1105), а также применение системы может предоставить пользователю оборудования доступ к услугам в соответствии с идентификацией маркера пользователя оборудования (операция 1106).
Как описано выше, каждый второй уровень сервиса аутентификации центр связан с пользователем базы данных оборудования, в которой информация пользователя оборудования записывается. В вариантах осуществления поставленных задач, пользователь оборудования, «крепится» к конкретному центру службы проверки подлинности, второго уровня, записывается в базу данных пользовательского оборудования, связанную с сервис центром второго уровня проверки подлинности.
Портал сервер может определить, какие службы второго уровня, центра проверки подлинности пользовательского оборудования и идентификации пользователей оборудования были задействованы до того как пользователь получит ответ от исходного центра аутентификации.
Как может быть очевидным для специалиста в данной области, портал сервер может определить, принадлежность центра аутентификации ко второму уровню, в котором пользователь помечен адресами, по идентификатору пользователя оборудования и другими различными способами, которые не рассматриваются в данной статье. Портал сервер может передать идентификатор пользовательского оборудования на второй уровень сервиса центра аутентификации, к которому прикреплен пользователь оборудования, требовать идентификации пользователей со второго сервисного центра. Таким образом, второй уровень сервиса центра аутентификации может приобрести соответствующее абонентское оборудование, знаки идентичности, в соответствии с идентификатором оборудования пользователя и передать его на сервер портала. Специалист в данной области может понять, что второй уровень сервиса центра аутентификации, к которому прикреплен пользователь оборудования может найти в соответствующей базе данных пользовательского оборудования для удостоверения знаков пользовательского оборудования в соответствии с идентификатором пользователя оборудования и различных существующих способов, которые не рассматриваются здесь.
Альтернативное решение показано на Фиг.11, и Фиг.12 иллюстрирует способ в соответствии с третьим вариантом, в котором данные идентичности пользователя оборудования могут быть сохранены на сервере портала, а также портал сервер может расширить таблицу идентификаторов пользователей оборудования, описанного ранее, в которой переписка отношения между пользователем и идентификатором оборудования, индексы, идентификаторы пользователей оборудования а также хранится маркеры идентификации и идентификаторы пользователей оборудования. Таким образом, сервер портала может искать в расширенной таблице идентификаторов пользователей оборудования через соответствующий знак идентификации оборудования пользователя по идентификатору оборудования пользователя. Конкретные операции этого способа показаны на Фиг.12 и будут подробно описаны ниже.
Во-первых, портал сервера передает cookie-файл на пользовательское оборудование, прошедшее аутентификацию доступа к беспроводной сети (операция 1201), а затем центр службы аутентификации может определить из cookie-файла в пользовательском оборудовании, что оборудование пользователя, запрашивающее сервисный доступ прошло аутентификацию доступа к беспроводной сети (операция 1202), получает из cookie-файла и передает индекс идентификатора пользовательского оборудования на сервера портала для запроса идентификационного маркера пользовательского оборудования (операция 1203). Сервер портала может получить соответствующий идентификатор пользовательского оборудования в соответствии с полученным индексом идентификатора пользовательского оборудования и определить по идентификатору пользовательского оборудовании сохраняется ли идентификационный маркер пользовательского оборудования локально на сервере по операции 1204 этого способа, как показано на Фиг.12.
Как можно судить, сервер портала может найти в расширенной таблице идентификаторов пользовательского оборудовании для определения того, сохраняется ли соответствующий идентификационный маркер пользовательского оборудования. Если соответствующий идентификационный маркер пользовательского локально хранится на сервере портала, то идентификационный маркер пользовательского оборудования может быть передан в центр службы аутентификации (операция 1205).
С другой стороны, если соответствующий идентификационный маркер пользовательского оборудования локально не сохранен на сервере портала, то идентификационный маркер пользовательского оборудования может быть запрошен со второго уровня службы центра аутентификации, к которому адресовано пользовательское оборудование, в соответсвии с идентификатором пользовательского оборудования, а идентификационный маркер пользовательского оборудования передается в службу центра проверки подлинности, запрашивающую идентификационный маркер пользовательского оборудования идентификации пользователей оборудовании маркера, а также локально сохраняется на сервере портала до его распределения (извлечения) (Операция 1206).
Центр службы проверки подлинности передает идентификационный маркер пользовательского оборудования на прикладную систему до его распределения (извлечения) (Операция 1207), а прикладная система может предоставить пользовательскому оборудованию сервисный доступ в соответствии с идентификационным маркером пользовательского оборудования (Операция 1208).
Как можно судить, сервер портала может обновлять соответствие связей между идентификационным маркером пользовательского оборудования и идентификатором пользовательского оборудования в расширенной таблице идентификаторов пользовательского оборудовании каждый раз, когда сохраняется идентификационный маркер пользовательского оборудования.
Как можно судить, защищенные каналы передачи могут быть установлены между сервисным центром аутентификации и сервером портала, между сервером портала и вторым уровнем сервисного центра аутентификации, к которому адресовано пользовательское оборудование и между сервисным центром аутентификации и прикладной системой для передачи идентификатора пользовательского оборудования и идентификационного маркера пользовательского оборудования способом, изображенным на Фиг.11 и Фиг.12.
Например, виртуальная частная сеть, защищенный туннель SSL, могут быть установлены между сервисным центром аутентификации и сервером портала, между сервером портала и вторым уровнем сервисного центра аутентификации, к которому адресовано пользовательское оборудование и между сервисным центром аутентификации и прикладной системой, для передачи идентификатора пользовательского оборудования и идентификационного маркера пользовательского оборудования.
В способе, описанном выше со ссылкой на Фиг.10 и Фиг.12, сервисный центр аутентификации передает идентификационный маркер пользовательского оборудования на прикладную систему после того, как последний получен через сервер портала.
В качестве альтернативы, сервисный центр аутентификации может хранить полученный идентификационный маркер пользовательского оборудования, например, настроить таблицу идентификационных маркеров пользовательского оборудования и установить соответствующий номер идентификационного маркера пользовательского оборудования для каждого идентификационного маркера пользовательского оборудования.
Фиг.13 иллюстрирует способ осуществления этого решения, в котором портал сервера передает cookie-файл на пользовательское оборудование, которое прошло аутентификацию доступа к беспроводной сети WLAN посредством аутентификации доступа пользовательского оборудования к сети WLAN (Операция 1301).
Затем сервисный центр аутентификации определяет из cookie-файла, что оборудование пользователя прошло аутентификацию доступа к беспроводной сети (Операция 1302) и портал сервера получает запрос из сервисного центра аутентификации на получение идентификационного маркера пользовательского оборудования и передает идентификационный маркер пользовательского оборудования в сервисный центр аутентификации (Операция 1303), а затем в сервисный центр проверки подлинности сохраняет идентификационный маркер пользовательского оборудования, например, в таблицу идентификационных маркеров пользовательского оборудования вместо передачи идентификационного маркера пользовательского оборудования прямиком к прикладной системе и устанваливает его соответствующий номер.
Поэтому сервисный центр аутентификации передает идентификационный маркер пользовательского оборудования прикладной системе (Операция 1304) вместо того, чтобы передать идентификационный маркер пользовательского оборудования напрямую.
Прикладная система устанавливает защищенный канал передачи с сервисным центром аутентификации после получения номера идентификационного маркера пользовательского оборудования и предоставляет номер идентификационного маркера пользовательского оборудования сервисному центру аутентификации; сервисный центр аутентификации ищет соответствующий идентификационный маркер пользовательского оборудования в таблице идентификационных маркеров пользовательского оборудования и далее передает идентификационный маркер пользовательского оборудования прикладной системе через защищенный канал передачи (Операция 1305).
Например, виртуальная частная сеть, защищенный туннель SSL, могут быть установлены между сервисным центром аутентификации и прикладной системой, для передачи идентификационного маркера пользовательского оборудования. Прикладная система может обеспечить сервисный доступ для пользовательского оборудования, в соответствии с идентификационным маркером пользовательского оборудования, после того, как идентификационный маркер пользовательского оборудования получен (Операция 1306).
Как описано выше, сервисный центр аутентификации может передать идентификационный маркер пользовательского оборудования прикладной системе через пользовательское оборудование, таким образов, прикладная система может предоставить пользовательскому оборудованию желаемую услугу доступа.
Однако безопасность канала передачи между сервисным центром аутентификации и оборудованием пользователя, а также канала передачи между оборудованием пользователя и прикладной системой как правило, недостаточна, поэтому передача идентификационного маркера пользовательского оборудования может привести к такому потенциальному риску, как кража идентификационного маркер пользовательского оборудования.
В способе, показанном на Фиг.13, сервисный центр аутентификации передает только номер идентификационного маркера пользовательского оборудования прикладной системе через пользовательское оборудование, а идентификационный маркер пользовательского оборудования передается по защищенным каналам передачи, тем самым повышая безопасность.
Для того, чтобы облегчить понимание, специфический процесс способа сервисного доступа, основанного на аутентификации в соответствии с вариантом изобретения будет описан ниже, в приложении со ссылкой на Фиг.14.
В конкретном примере, показанном на Фиг.14, прикладная система A связывается с сервисным центром аутентификации 1, где прикладная система A может выступать в роли прикладной системой первого или второго уровня, а в соответствии с этим, сервисный центр аутентификации также может быть первого или второго уровня.
Второй уровень сервисного центра аутентификации связывается с базой данных пользовательского оборудования B, в которой записана информация о пользовательском оборудовании, то есть, пользовательское оборудование 'a' адресуется ко второму уровню сервисного центра аутентификации 2.
Сервер портала P передает cookie-файл, включая индикацию прохождения аутентификации доступа и индекс идентификатора пользовательского оборудования на пользовательское оборудование 'a', которое прошло аутентификацию доступа к беспроводной сети WLAN и сервер портала P может хранить идентификационные маркеры пользовательского оборудования. Фиг.14 иллюстрирует следующую последовательность операций процесса на конкретном примере:
Операция 1401: Пользовательское оборудование 'a' инициирует запрос услуги доступа у прикладной системы A;
Операция 1402: Прикладная система A проверяет присутствует ли идентификационный маркер пользовательского оборудования 'a', если да, то переходит к операции 1418;
Операция 1403: Прикладная система A перенаправляет запрос доступа для пользовательского оборудования 'a' на сервисный центр аутентификации 1;
Операция 1404: Сервисный центр аутентификации 1 определяет прошло ли пользовательское оборудование 'a' аутентификацию доступа к беспроводной сети, в зависимости от того, содержит ли cookie-файл на пользовательском оборудовании 'a' индикация прохождения аутентификации доступа и если нет, то сервисный центр аутентификации 1 осуществляет аутентификацию доступа к WLAN для пользовательского оборудования 'a';
Операция 1405: Сервисный центр аутентификации 1 устанавливает устанавливает защищенный канал передачи с сервером портала P и передает индекс идентификатора пользовательского оборудования, полученный из cookie-файла для запроса идентификационного маркера пользовательского оборудования;
Операция 1406: Сервер портала Р проверяет сохранен ли локально идентификационный маркер пользовательского оборудования 'a', в соответствии с идентификатором пользовательского оборудования, соответствующий идентификационному маркеру пользовательского оборудования и если да, то переходит к операции 1412;
Операция 1407: Сервер портала Р устанавливает защищенный канал передачи со вторым уровнем сервисного центра аутентификации 2 и передает запрос идентификационного маркера пользовательского оборудования на второй уровень сервисного центра аутентификации 2;
Операция 1408: Второй уровень сервисного центра аутентификации 2 передает запрос идентификационного маркера пользовательского оборудования к базе данных пользовательского оборудования B;
Операция 1409: База данных пользовательского оборудования B передает идентификационный маркер пользовательского оборудования на второй уровень сервисного центра аутентификации 2;
Операция 1410: Второй уровень сервисного центра аутентификации 2 передает запрос идентификационного маркера пользовательского оборудования на сервер портала P по защищенному каналу передачи, установленному в Операции 1407;
Операция 1411: Сервер портала P локально сохраняет полученный идентификационный маркер пользовательского оборудования;
Операция 1412: Сервер портала P передает идентификационный маркер пользовательского оборудования на второй уровень сервисного центра аутентификации 2 по защищенному каналу передачи, установленному в Операции 1405;
Операция 1413: Сервисный центр аутентификации 1 сохраняет полученный идентификационный маркер пользовательского оборудования и устанавливает номер идентификационного маркера пользовательского оборудования для идентификационного маркера пользовательского оборудования;
Операция 1414: Сервисный центр аутентификации 1 перенаправляет запрос сервисного доступа пользовательского оборудования 'a' на прикладную систему A, здесь за счет передачи номера идентификационного маркера пользовательского оборудования на прикладную систему A;
Операция 1415: Прикладная система A устанавливает защищенный канал передачи с сервисным центром аутентификации 1 и передает номер идентификационного маркера пользовательского оборудования на сервисный центр аутентификации 1 для запроса идентификационного маркера пользовательского оборудования;
Операция 1416: Сервисный центр аутентификации 1 получает идентификационный маркер пользовательского оборудования, в соответствии с номером идентификационного маркера пользовательского оборудования;
Операция 1417: Сервисный центр аутентификации 1 передает идентификационный маркер пользовательского оборудования на прикладную систему, по защищенному каналу передачи, установленному в Операции 1415; и
Операция 1418: Прикладная система A обеспечивает пользовательскому оборудованию 'a' сервисный доступ, в соответствии с идентификационным маркером пользовательского оборудования.
Фиг.15 является схематической структурной диаграммой системы сервисного доступа на основе беспроводной локальной сети (WLAN), установления подлинности доступа в соответствии с изобретением, и система включает в себя:
Сервер портала WLAN 150 настроен на передачу первого cookie-файла на оборудование пользователя, прошедшее аутентификацию доступа к беспроводной сети WLAN посредством аутентификации доступа пользовательского оборудования;
Пользовательское оборудование 151 настроено на получение первого cookie-файла, переданного с сервера портала WLAN 150;
Связанный сервисный центр аутентификации 152 настроен на определение из первого cookie-файла на пользовательском оборудовании, которое прошло аутентификацию доступа к беспроводной сети WLAN, что оборудование пользователя прошло аутентификацию доступа к сети WLAN, получает идентификационный маркер пользовательского оборудования, используя первый cookie-файл и передает полученный идентификационный маркер пользовательского оборудования на прикладную систему 153, при запросах пользовательского оборудования доступа к службе прикладной системы 153; и
Прикладная система 153 настроена на обеспечение услуги доступа, в соответствии с идентификационным маркером пользовательского оборудования.
Связанный сервисный центр аутентификации 152 в частности настроен на получение идентификатора пользовательского оборудования из первого cookie-файла и запрашивать идентификационный маркер пользовательского оборудования от второго уровня сервисного центра аутентификации, к которому адресовано пользовательское оборудование, в соответствии с идентификатором пользовательского оборудования.
Когда связанный сервисный центр аутентификации является вторым уровнем сервисного центра аутентификации, система дополнительно включает в себя первый уровень сервисного центра аутентификации 154;
Связанный сервисный центр аутентификации 152 в частности настроен на получение идентификационного маркера пользовательского оборудования через первый уровень сервисного центра аутентификации 154; и
Первый уровень сервисного центра аутентификации 154 настроен на запрос от второго уровня сервисного центра аутентификации, к которому адресовано пользовательское оборудование, используя первый cookie-файл, идентификационный маркер пользовательского оборудования предоставляется связанному сервисному центру аутентификации 152.
Когда связанный сервисный центр аутентификации является вторым уровнем сервисного центра аутентификации, связанный сервисный центр аутентификации в частности настроен на передачу первого cookie-файла первому уровню сервисного центра аутентификации 154; и
Первый уровень сервисного центра аутентификации 154 дополнительно настроен для получения идентификатора пользовательского оборудования из первого cookie-файла, для запроса идентификационного маркера пользовательского оборудования от второго уровня сервисного центра аутентификации, к которому адресовано пользовательское оборудование, в соответствии с идентификатором и для передачи идентификационного маркера пользовательского оборудования и идентификатора пользовательского оборудования на связанный сервисный центр аутентификации 152.
Связанный сервисный центр аутентификации 152 дополнительно настроен на хранение идентификатора оборудования пользователя переданного с первого уровня сервисного центра аутентификации 154 и выделяет индекс идентификатора оборудования пользователя при получении идентификатора оборудования пользователя, и для передачи второго cookie-файла, включая идентификатор связанного сервисного центра аутентификации 152 и индекс идентификатора пользовательского оборудования на пользовательское оборудование для замены первого cookie-файла.
Когда связанный сервисный центр аутентификации 152 является вторым уровнем сервисного центра аутентификации, связанный сервисный центр аутентификации 152, в частности настроен на получение идентификатора оборудования пользователя из первого cookie-файла и на передачу идентификатора оборудования пользователя на первый уровень сервисного центра аутентификации 154; и
Первый уровень сервисного центра аутентификации 154 дополнительно настроен для запроса идентификационного маркера пользовательского оборудования у второго уровня сервисного центра аутентификации, к которому адресовано пользовательское оборудование, в соответствии с идентификатором пользовательского оборудования и для передачи идентификационного маркера пользовательского оборудования на второй уровень сервисного центра аутентификации 152.
Связанный сервисный центр аутентификации 152 дополнительно настроен на хранение идентификатора оборудования пользователя и определение индекса идентификатора оборудования пользователя после того, как последний был получен из первого cookie-файла и для передачи второго cookie-файла, включая идентификатор связанного сервисного центра аутентификации 152 и индекс идентификатора пользовательского оборудования на пользовательское оборудование для замены первого cookie-файла.
Связанный сервисный центр аутентификации 152 дополнительно настроен на передачу запроса к серверу портала WLAN, используя первый cookie-файл и на получение идентификационного маркера пользовательского оборудования от сервера портала WLAN; и
Сервер портала WLAN 150 дополнительно настроен на получение идентификационного маркера пользовательского оборудования для передачи последнего на связанный сервисный центр аутентификации 152.
Сервер портала WLAN 150 дополнительно настроен на обслуживание таблицы идентификаторов пользовательского оборудования, в котором записано соответствие отношений между индексами идентификационного маркера пользовательского оборудования.
Сервер портала WLAN 150 в частности настроен на получение идентификатора пользовательского оборудования из таблицы идентификаторов пользовательского оборудования, соответствующего индексу идентификатора пользовательского оборудования, переданному из связанного сервисного центра аутентификации 152, в соответствии с индексом идентификатора пользовательского оборудования, где индекс идентификатора пользовательского оборудования получается связанным сервисным центром аутентификации 152 из первого cookie-файла, для запроса идентификационного маркера пользовательского оборудования из второго уровня сервисного центра аутентификации, к которому адресовано пользовательское оборудование, в соответствии с определенным идентификационным маркером пользовательского оборудования и для передачи полученного идентификационного маркера пользовательского оборудования в связанный сервисный центр аутентификации 152.
Сервер портала WLAN 150 дополнительно настроен на хранение идентификационного маркера пользовательского оборудования, а таблица идентификаторов пользовательского оборудования дополнительно включает в себя соответствие отношений между идентификационный маркер пользовательского оборудования и идентификаторами оборудования пользователя.
Сервер портала WLAN 150 в частности настроен на поиск в таблице идентификаторов пользовательского оборудования идентификатора пользовательского оборудования, в соответствии с индексом идентификатора пользовательского оборудования, переданному из связанного сервисного центра аутентификации 152, где индекс идентификатора пользовательского оборудования получается связанным сервисным центром аутентификации 152 из первого cookie-файла и если идентификационный маркер пользовательского оборудования соответствующий идентификатору пользовательского оборудования локально не сохранен, тогда запрашивает идентификационный маркер пользовательского оборудования из второго уровня сервисного центра аутентификации, к которому адресовано пользовательское оборудование, в соответствии с определенным идентификационным маркером пользовательского оборудования и локально сохраняет и передает полученный идентификационный маркер пользовательского оборудования в связанный сервисный центр аутентификации 152; или, в случае если идентификационный маркер пользовательского оборудования соответствующий идентификатору пользовательского оборудования локально сохранен, тогда соответствующий идентификационный маркер пользовательского оборудования передается в связанный сервисный центр аутентификации 152.
Связанный сервисный центр аутентификации 152 дополнительно настроен для установления защищенного канала передачи с сервером портала WLAN 150 и прикладной системой 153 и для передачие идентификационного маркера пользовательского оборудования, посредством защищенного канала передачи.
Связанный сервисный центр аутентификации 152 дополнительно настроен для хранения идентификационного маркера пользовательского оборудования и для установки номера идентификационного маркера пользовательского оборудования, соответствующего идентификационному маркеру пользовательского оборудования; и
Связанный сервисный центр аутентификации 152, в частности настроен для передачи номера идентификационного маркера пользовательского оборудования на прикладную систему 153 и для передачи идентификационного маркера пользовательского оборудования, соответствующего номеру идентификационного маркера пользовательского оборудования на прикладную систему 153, посредством защищенного канала передачи, установленного с прикладной системой 153, в соответствии с номером идентификационного маркера пользовательского оборудования, переданным из прикладной системы 153 для запроса идентификационного маркера пользовательского оборудования.
Фиг.16 является схематической структурной диаграммой устройства сервисного доступа на основе беспроводной локальной сети (WLAN), установления подлинности доступа в соответствии с изобретением, и устройство включает в себя:
Определяющий модуль 161 настроен для определения из первого cookie-файла на пользовательском оборудовании, что оборудование пользователя прошло аутентификацию доступа к сети WLAN, где первый cookie-файл был передан с сервера портала WLAN на оборудование пользователя, которое прошло аутентификацию доступа к беспроводной сети WLAN посредством аутентификации доступа пользовательского оборудования к сети WLAN;
Получающий модуль 162 настроен на получение идентификационного маркера пользовательского оборудования с использованием первого cookie-файла; и
Первый передающий модуль 163 настроен на передачу полученного идентификационного маркера пользовательского оборудования на прикладную систему.
Получающий модуль 162 содержит:
первый получающий блок 1621, который настроен на получение идентификатора пользовательского оборудования из первого cookie-файла; и
Второй получающий блок 1622, который настроен на запрос идентификационного маркера пользовательского оборудования со второго уровня сервисного центра аутентификации, к которому адресовано пользовательское оборудование, в соответствии с идентификатором оборудования пользователя.
Устройство также включает в себя:
Модуль хранения и передачи 164 настроен на хранение идентификатора пользовательского оборудования и выделение индекса идентификатора пользовательского оборудования для идентификатора пользовательского оборудования после того, как идентификатор пользовательского оборудования получается из первого cookie-файла и для передачи второго cookie-файла, включая идентификатор связанного сервисного центра аутентификации и индекс идентификатора пользовательского оборудования.
Получающий модуль 162, в частности, настроен на передачу запроса серверу портала WLAN, с использованием первого cookie-файла и на получение идентификационного маркера пользовательского оборудования от сервера портала WLAN;
Модуль хранения и передачи 164 дополнительно настроен на хранение полученного идентификационного маркера пользовательского оборудования и на установку соответствующего номера идентификационного маркера пользовательского оборудования для каждого идентификационного маркера пользовательского оборудования.
В устройстве,
Первый передающий модуль 163 дополнительно настроен на передачу номера идентификационного маркера пользовательского оборудования прикладной системе и на передачу идентификационного маркера пользовательского оборудования, соответствующего номеру идентификационного маркера пользовательского оборудования прикладной системе по защищенному каналу передачи, установленному с прикладной системой, в соответствии с номером идентификационного маркера пользовательского оборудования, полученным из прикладной системы для запроса идентификационного маркера пользовательского оборудования.
Фиг.17 является схематической структурной диаграммой устройства сервисного доступа на основе беспроводной локальной сети (WLAN), установления подлинности доступа в соответствии с изобретением, и устройство включает в себя:
Создающий модуль 171 настроен на создание первого cookie-файла для пользовательского оборудования, прошедшего аутентификацию доступа к беспроводной сети WLAN, посредством аутентификации доступа пользовательского оборудования к сети WLAN; и
Второй передающий модуль 172 настроен на передачу первого cookie-файла, пользовательскому оборудованию, прошедшему аутентификацию доступа к беспроводной сети WLAN, так что пользовательское оборудовании запрашивающее доступ к службе прикладной системы получает идентификационный маркер пользовательского оборудования, используя первый cookie-файл.
Устройство также включает в себя:
Второй получающий модуль 173, настроенный на получение идентификационного маркера пользовательского оборудования в ответ на запрос переданный из связанного сервисного центра аутентификации.
Устройство также включает в себя:
Модуль хранения 174, настроенный на управление и обслуживание таблицы идентификационных маркеров пользовательского оборудования в которой учитываются соответствия отношений между индексами идентификатора оборудование пользователя и идентификаторами пользовательского оборудования.
Второй накопительный модуль 1731 включает в ссебя:
Блок, получающий идентификатор 1731, настроенный на получение идентификатора пользовательского оборудования из таблицы идентификаторов пользовательского оборудования, соответствующего индексу идентификатора пользовательского оборудования, переданному из связанного сервисного центра аутентификации, в соответствии с индексом идентификатора пользовательского оборудования, где этот индекс получается связанным сервисным центром аутентификации из первого cookie-файла; и
Блок, получающий маркер 1732, настроенный на получение идентификационного маркера пользовательского оборудования со второго уровня сервисного центра аутентификации, к которому адресовано пользовательское оборудование, в соответствии с идентификатором оборудования пользователя и на передачу идентификационного маркера пользовательского оборудования в связанный сервисный центр аутентификации через второй передающий модуль 172.
Модуль хранения 174 дополнительно настроен на хранение идентификационного маркера пользовательского оборудования и таблица идентификаторов маркера пользовательского оборудования дополнительно включает в себя соответствия отношений между идентификационными маркерами пользовательского оборудования и идентификаторами пользовательского оборудования.
В устройстве,
блок, получающий идентификатор 1731 дополнительно настроен на поиск в таблице идентификаторов пользовательского оборудования идентификатора пользовательского оборудования, в соответствии с индексом идентификатора пользовательского оборудования, переданному из связанного сервисного центра аутентификации, где этот индекс получается связанным сервисным центром аутентификации из первого cookie-файла; и
блок, получающий маркер 1732 дополнительно настроен на, если идентификационный маркер пользовательского оборудования соответствующий идентификатору пользовательского оборудования локально не сохранен, тогда блок запрашивает идентификационный маркер пользовательского оборудования из второго уровня сервисного центра аутентификации, к которому адресовано пользовательское оборудование, в соответствии с определенным идентификационным маркером пользовательского оборудования и локально сохраняет и передает полученный идентификационный маркер пользовательского оборудования в связанный сервисный центр аутентификации через второй передающий блок 172; если идентификационный маркер пользовательского оборудования соответствующий идентификатору пользовательского оборудования локально сохранен, тогда блок передает идентификационный маркер пользовательского оборудования в связанный сервисный центр аутентификации через второй передающий блок 172.
Выше были описаны иллюстративные решения реализации изобретения со ссылками на чертежи (рисунки). Специалисты в данной области должны понимать, что вышеизложенные решения осуществления являются лишь примерами, представленными для описания, но не для ограничения. Любые изменения, эквивалентные замены, и т.д., сделанные не отходя от заявленной сферы обучения или формулы изобретения выступают в заявленном объеме изобретения.
1. Способ сервисного доступа основан на Беспроводной Локальной Вычислительной Сети, WLAN, установлении подлинности доступа, включая:
- сервер портала WLAN, передающий первый cookie-файл на пользовательское оборудование, которое прошло аутентификацию доступа к беспроводной сети WLAN посредством аутентификации доступа пользовательского оборудования к сети WLAN;
- сервисный центр аутентификации связан с прикладной системой и определяет по первому cookie-файлу пользовательского оборудования, прошедшего аутентификацию доступа к беспроводной сети, что пользовательское оборудование прошло проверку подлинности доступа к беспроводной сети, когда пользовательское оборудование запрашивает доступ к службе прикладной системы;
- связанный сервисный центр проверки подлинности запрашивает идентификационный маркер (токен) пользовательского оборудования, используя первый cookie-файл;
- связанный сервисный центр проверки подлинности передает полученный идентификационный токен пользовательского оборудования службе прикладной системы;
- прикладная система обеспечивает доступ к услугам, в соответствии с идентификационным мандатом (токеном).
2. Способ по п.1, отличающийся тем, что первый cookie-файл включает в себя:
доступ с указанием идентификационного ключа и опознавателем пользовательского оборудования.
3. Способ по п.2, отличающийся тем, что связанный сервисный центр проверки подлинности запрашивает идентификационный маркер (токен) пользовательского оборудования, используя первый cookie-файл, включает в себя:
связанный сервисный центр проверки подлинности, получающий идентификатор пользовательского оборудования из первого cookie-файла; и
запрашивающий идентификационный маркер (токен) пользовательского оборудования у центра службы проверки подлинности второго уровня, к которому адресовано данное пользовательское оборудование в соответствии с идентификатором пользовательского оборудования.
4. Способ по п.3 дополнительно содержит:
связанный сервисный центр проверки подлинности сохраняет идентификатор пользовательского оборудования после того, как идентификатор пользовательского оборудования получен из первого cookie-файла; и
выделяет индекс идентификатора пользовательского оборудования для идентификатора пользовательского оборудования и передает второй cookie-файл, включая идентификатор связанного сервисного центра аутентификации и индекс идентификатора пользовательского оборудования в пользовательское оборудование для замены первого cookie-файла.
5. Способ по п.3, отличающийся тем, что связанный сервисный центр проверки подлинности является вторым уровнем службы аутентификационного центра, запрашивающий идентификационный маркер (токен) пользовательского оборудования у центра службы проверки подлинности второго уровня, к которому адресовано данное пользовательское оборудование в соответствии с идентификатором пользовательского оборудования, содержит:
связанный сервисный центр проверки подлинности запрашивает идентификационный маркер (токен) пользовательского оборудования у центра службы проверки подлинности второго уровня, к которому адресовано данное пользовательское оборудование, используя первый cookie-файл через сервисный центр проверки подлинности первого уровня.
6. Способ по п.5, отличающийся тем, что связанный сервисный центр проверки подлинности является вторым уровнем службы аутентификационного центра, запрашивающий идентификационный маркер (токен) пользовательского оборудования у центра службы проверки подлинности второго уровня, к которому адресовано данное пользовательское оборудование, используя первый cookie-файл, включает в себя:
первый уровень связанного центра службы проверки подлинности, получающий первый cookie-файл, переданный из связанного центра службы проверки подлинности; и
первый уровень связанного центра службы проверки подлинности, получающий идентификатор пользовательского оборудования из первого cookie-файла, запрашивает идентификационный маркер (токен) пользовательского оборудования у второго уровня центра службы проверки подлинности и передает идентификационный токен пользовательского оборудования и идентификатор пользовательского оборудования в связанный сервисный центр проверки подлинности;
или включает в себя:
первый уровень связанного центра службы проверки подлинности, получающий идентификатор пользовательского оборудования, переданный из связанного центра службы проверки подлинности, полученный из первого cookie-файла; и
первый уровень службы, запрашивающий идентификационный маркер (токен) пользовательского оборудования у второго уровня центра службы проверки подлинности, к которому адресовано данное пользовательское оборудование, в соответствии с идентификатором пользовательского оборудования, и передающий идентификационный маркер (токен) пользовательского оборудования в связанный сервисный центр проверки подлинности.
7. Способ по п.1, отличающийся тем, что связанный сервисный центр проверки подлинности, получающий идентификационный маркер пользовательского оборудования, посредством первого cookie-файла содержит:
связанный сервисный центр проверки подлинности, передающий запрос к серверу портала беспроводной локальной сети, используя идентификационный токен пользовательского оборудования из сервера портала беспроводной локальной сети.
8. Способ по п.7, отличающийся тем, что первый cookie-файл включает в себя:
доступ с указанием идентификационного ключа и опознавателем номера пользовательского оборудования.
9. Способ по п.8, отличающийся тем, что сервер портала беспроводной локальной сети настраивает и поддерживает таблицу идентификаторов пользовательского оборудования, в которой соответствие отношений между индексами идентификаторов пользовательского оборудования и идентификаторами пользовательского оборудования учитываются, и
получение идентификационного токена пользовательского оборудования от сервера портала беспроводной локальной сети включает в себя:
сервер портала беспроводной локальной сети, получающий идентификатор пользовательского оборудования из поддерживаемой таблицы идентификаторов пользовательского оборудования, соответствующий индексу идентификатора пользовательского оборудования переданному от соответствующего центра службы проверки подлинности в соответствии с индексом идентификатора пользовательского оборудования, в котором индекс идентификатора пользовательского оборудования получается связанным центром службы проверки подлинности из первого cookie-файла; и
сервер портала беспроводной локальной сети, запрашивающий идентификационный маркер пользовательского оборудования из второго уровня связанного центра службы проверки подлинности, к которому адресовано пользовательское оборудование, в соответствии с определенным идентификатором пользовательского оборудования и передающий полученный идентификационный токен пользовательского оборудования в связанный сервисный центр проверки подлинности.
10. Способ по п.9, отличающийся тем, что сервер портала беспроводной локальной сети хранит идентификационный маркер пользовательского оборудования, а таблица идентификаторов пользовательского оборудования также включает соответствие отношений между идентификационными токенами пользовательского оборудования и идентификаторами пользовательского оборудования; и
получение идентификационного токена пользовательского оборудования от сервера портала беспроводной локальной сети включает в себя:
сервер портала беспроводной локальной сети ищет идентификатор пользовательского оборудование в таблице идентификаторов пользовательского оборудования, соответствующий индексу идентификатора пользовательского оборудования, переданному из связанного центра службы проверки подлинности, в соответствии с индексом идентификатора пользовательского оборудования, в котором индекс идентификатора пользовательского оборудования получается связанным центром службы проверки подлинности из первого cookie-файла; и
если идентификационный токен пользовательского оборудования соответсвует определенному идентификатору пользовательского оборудования;
если идентификационный маркер пользовательского оборудования, соответствует определенному идентификатору пользовательского оборудования и не хранится на сервере портала беспроводной локальной сети, то тогда сервер портала беспроводной локальной сети запрашивает идентификационный маркер пользовательского оборудования со второго уровня центра службы проверки подлинности, к которому адресовано пользовательское оборудование, в соответствии с идентификатором пользовательского оборудования и сохраняет и передает полученный идентификационный маркер пользовательского оборудования на связанный сервисный центр проверки подлинности; или если идентификационный маркер пользовательского оборудования соответсвует определенному идентификатору пользовательского оборудования и хранится на сервере портала беспроводной локальной сети, то тогда сервер портала беспроводной локальной сети передает соответствующий идентификационный маркер пользовательского оборудования на связанный сервисный центр проверки подлинности.
11. Способ по п.1, дополнительно содержит:
связанный сервисный центр проверки подлинности хранит полученный идентификационный маркер пользовательского оборудования и устанавливает соответствующее число (номер) идентификационного маркера пользовательского оборудования для каждого идентификационного маркера пользовательского оборудования; и
связанный сервисный центр проверки подлинности, передающий полученный идентификационный маркер пользовательского оборудования на прикладную систему, включает в себя:
связанный сервисный центр проверки подлинности, передающий номер идентификационного маркера пользовательского оборудования на прикладную систему; и
связанный сервисный центр проверки подлинности, передающий идентификационный маркер пользовательского оборудования, соответствующий номеру идентификационного маркера пользовательского оборудования на прикладную систему по защищенному каналу передачи, установленному с прикладной системой, соответствующим номером идентификационного маркера пользовательского оборудования, переданному от прикладной системы для запроса идентификационного маркера пользовательского оборудования.
12. Устройство доступа к услугам основано на беспроводной локальной сети, WLAN, установлении подлинности доступа, включает в себя:
модуль определения настроен на определение по первому cookie-файлу пользовательского оборудования, что пользовательское оборудование прошло процедуру аутентификации доступа к беспроводной сети, где первый cookie-файл передается с сервера портала беспроводной локальной сети на пользовательское оборудование, получившее доступ к беспроводной сети WLAN посредством определения сетью WLAN подлинности пользовательского оборудования;
получающий модуль настроен на получение идентификационного маркера пользовательского оборудования, используя первый cookie-файл; и
первый передающий модуль настроен на передачу полученного идентификационного маркера пользовательского оборудования на прикладную систему.
13. Устройство по п.12, в котором получающий модуль включает в себя:
первый получающий блок настроен на получение идентификатора пользовательского оборудования из первого cookie-файла; и
второй получающий блок настроен на запрос идентификационного маркера пользовательского оборудования у второго уровня центра службы проверки подлинности, к которому адресовано пользовательское оборудование, в соответствии с идентификатором пользовательского оборудования.
14. Устройство по п.12 дополнительно содержит:
модуль хранения и передачи настроен на хранение идентификатора пользовательского оборудования и выделение индекса идентификатора пользовательского оборудования для идентификатора пользовательского оборудования после того, как идентификатор пользовательского оборудования получается из первого cookie-файла и для передачи второго cookie-файла, включающего идентификатор связанного центра службы проверки подлинности и индекса идентификатора пользовательского оборудования на пользовательское оборудование.
15. Устройство по п.12, отличающееся тем, что получающий модуль настроен, в частности, на передачу запроса на сервер портала беспроводной локальной сети, используя первый cookie-файл, и на получение идентификационного маркера пользовательского оборудования с сервера портала беспроводной локальной сети.
16. Устройство по п.12, отличающееся тем, что модуль хранения и передачи дополнительно настроен на хранение полученного идентификационного маркера пользовательского оборудования и на установку соответствующего номера идентификационного маркера пользовательского оборудования для каждого идентификационного маркера пользовательского оборудования; и
первый передающий модуль дополнительно настроен на передачу номера идентификационного маркера пользовательского оборудования на прикладную систему и на передачу идентификационного маркера пользовательского оборудования, включающего номер идентификационного маркера пользовательского оборудования на прикладную систему по защищенному каналу передачи, установленному с прикладной системой, в соответствии с номером идентификационного маркера пользовательского оборудования, переданным с прикладной системы для запроса идентификационного маркера пользовательского оборудования.
17. Устройство доступа к услугам основано на беспроводной локальной сети, WLAN, установлении подлинности доступа, включает в себя:
создающий модуль настроен на создание первого cookie-файла для пользовательского оборудования, получившего доступ к беспроводной сети WLAN посредством определения сетью WLAN подлинности пользовательского оборудования; и
второй передающий модуль настроен на передачу первого cookie-файла для пользовательского оборудования, получившего доступ к беспроводной сети WLAN так, что пользовательское оборудование, запрашивающее доступ к службе прикладной системы приобретает идентификационный маркер пользовательского оборудования, используя первый cookie-файл.
18. Устройство по п.17 дополнительно содержит:
второй получающий модуль настроен на получение идентификационного маркера пользовательского оборудования в ответ на запрос, переданный от связанного центра службы проверки подлинности.
19. Устройство по п.18 дополнительно содержит:
модуль хранения настроен на настройку и обслуживание таблицы идентификаторов пользовательского оборудования, в которой учитывается соответствие отношений между индексами идентификатора пользовательского оборудования идентификаторами пользовательского оборудования; и
второй получающий модуль состоит из:
блок получения идентификатора настроен на получение идентификатора пользовательского оборудования из таблицы идентификаторов пользовательского оборудования, соответствующий индексу идентификатора пользовательского оборудования, переданному из связанного центра службы проверки подлинности в соответствии с индексом идентификатора пользовательского оборудования, в котором индекс идентификатора пользовательского оборудования получается связанным центром службы проверки подлинности из первого cookie-файла; и
блок получения маркера настроен на запрос идентификационного маркера пользовательского оборудования со второго уровня службы аутентификационного центра, к которому адресовано пользовательское оборудование, в соответствии с определенным идентификатором пользовательского оборудования и для передачи полученного идентификационного маркера пользовательского оборудования в связанный сервисный центр проверки подлинности.
20. Устройство по п.19, где модуль хранения дополнительно настроен на хранение идентификационного маркера пользовательского оборудования и таблицы идентификаторов пользовательского оборудования, также включает соответствие отношений между маркерами идентификации пользовательского оборудования и идентификаторами пользовательского оборудования;
блок получения идентификатора дополнительно настроен на поиск идентификатора пользовательского оборудования в таблице идентификаторов пользовательского оборудования, соответствующий индексу идентификатора пользовательского оборудования, переданному из связанного центра службы проверки подлинности, где индекс идентификатора пользовательского оборудования получается связанным центром службы проверки подлинности из первого cookie-файла; и
блок получения маркера настроен на то, чтобы в случае если идентификационный маркер пользовательского оборудования, соответствующий идентификатору пользовательского оборудования и местно не хранится, то тогда блок запрашивает идентификационный маркер пользовательского оборудования со второго уровня центра службы проверки подлинности, к которому адресовано пользовательское оборудование, в соответствии с идентификатором пользовательского оборудования, хранится локально и идентификационный маркер пользовательского оборудования затем передается на связанный сервисный центр проверки подлинности.
