Область техники
Настоящее изобретение относится к телекоммуникационным системам и способам для доступа к сети Интернет с использованием провайдера услуг сети Интернет и, более конкретно, к аутентификации и авторизации пользователей ресурсов и услуг, предоставляемых провайдером услуг сети Интернет.
Предшествующий уровень техники и задачи настоящего изобретения
Совместное влияние двух факторов - отмена регулирования и влияние протокола сети Интернет (IP) сделали возможным сегментирование по горизонтали рынка телекоммуникационных систем. Прежние попытки горизонтального деления рынка телекоммуникационных систем за счет отмены ограничений на терминалы и на услуги междугородней связи оказались медленно действующими и довольно неубедительными для абонента.
В настоящее время развязывание локального контура и отделение услуг от инфраструктуры, вместе с принятием протокола IP, существенным образом изменили соотношение между абонентом и провайдером услуг. Прозрачные сети, основанные на протоколе IP, поддерживаемые провайдерами услуг сети Интернет, что обеспечивает обмен услугами, принимая во внимание стратегии учета сетевых ресурсов, сделали возможными перемещения абонента относительно провайдера услуг сети Интернет (ПУИ), т.е. позволили оператору обслуживать абонентов в любом их местоположении, практически в любой сети в мире.
Например, новые сегменты потребителей могут быть созданы в соответствии с критериями иными, чем физическое местоположение, такими как национальность, корпоративная принадлежность, религия, культура, конкретные интересы и т.д. Кроме того, виртуальные частные сети (ВЧС), основанные на протоколе IP, могут без труда создаваться для обслуживания рассредоточенных индивидуальных лиц и групп абонентов.
Ключом к такому окончательному отделению услуг от инфраструктуры является существование локального пункта обеспечения выполнения установленных правил (ПОВУП). Данный ПОВУП несет ответственность за обеспечение выполнения стратегии, т.е. установленных правил в отношении аутентификации абонентов, авторизации доступа и услуг, учета сетевых ресурсов и мобильности и т.п. Обычно ПОВУП должен располагаться на сервере локального доступа или в пограничном маршрутизаторе провайдера услуг сети Интернет (ПУИ). Однако реализация ПОВУП на пограничном маршрутизаторе в типовом случае требует существенных инвестиций и урегулирования множества практических договоренностей с провайдерами локального доступа и в зависимости от них, принимая во внимание обеспечение выполнения установленных правил.
Поэтому задачей настоящего изобретения является снижение объема инвестиций для провайдеров услуг сети Интернет, реализующих пункт обеспечения выполнения установленных правил.
Сущность изобретения
Настоящее изобретение направлено на телекоммуникационные системы и способы для реализации пункта обеспечения выполнения установленных правил (ПОВУП) для провайдера услуг сети Интернет (ПУИ) в абонентских помещениях. ПОВУП несет ответственность за обеспечение выполнения стратегии, т.е. установленных правил в отношении аутентификации абонентов, авторизации доступа и услуг, учета сетевых ресурсов и мобильности. Эти установленные правила определяются оператором ПУИ в пункте принятия решения о выполнении установленных правил (ПРВУП), который представляет собой сервер, соединенный с сетью Интернет и осуществляющий связь с ПОВУП. Кроме того, ПУИ может предоставить ключ шифрования для ПОВУП и ключ шифрования для конкретного абонента. Таким образом, все передачи данных между абонентом и ПОВУП, а также между ПОВУП и ПРВУП, могут быть зашифрованными.
Краткое описание чертежей
Заявленное изобретение описывается ниже со ссылкам на чертежи, которые иллюстрируют наиболее важные отдельные варианты осуществления изобретения и которые приведены в настоящем описании только для ссылки. На чертежах показано следующее:
фиг.1 - блок-схема, иллюстрирующая традиционное обеспечение выполнения установленных правил провайдером слуг сети Интернет;
фиг.2 - блок-схема, иллюстрирующая пример реализации локального пункта обеспечения выполнения установленных правил (ПОВУП) в абонентских помещениях согласно предпочтительным вариантам осуществления изобретения;
фиг.3 - детальный вид локального ПОВУП в соответствии с вариантами осуществления настоящего изобретения;
фиг.4 - пример диаграммы сигнализации, иллюстрирующий сигнализацию, используемую в сеансе связи в сети Интернет в соответствии с вариантами осуществления настоящего изобретения.
Детальное описание предпочтительных вариантов осуществления изобретения
Различные новые признаки заявленного изобретения раскрыты ниже с конкретными ссылками на примеры осуществления, являющиеся на сегодняшний день наиболее предпочтительными. Однако следует иметь в виду, что данный класс вариантов осуществления обеспечивает лишь несколько примеров из множества предпочтительных вариантов использования новых принципов изобретения. Сведения, приведенные в описании изобретения, в принципе не накладывают обязательных ограничений на любое из различных заявленных изобретений. Более того, некоторые утверждения могут применяться для некоторых новых признаков и не применяться для других.
Как показано на фиг.1, одиночный абонент 100а или компания 110, имеющая множество абонентов 100b и 100с, из которых показано только два, соединенных вместе локальной сетью (ЛС) 120, получают доступ к сети Интернет 140 обычным образом, через сервер 130 локального доступа (или пограничный маршрутизатор) провайдера услуг сети Интернет (ПУИ) 135. Сервер 130 локального доступа служит в качестве локального пункта обеспечения выполнения установленных правил (ПОВУП) 160 для ПУИ 135 в области 150, которую обслуживает сервер 130 локального доступа. ПОВУП 160 несет ответственность за обеспечение выполнения стратегии, т.е. установленных правил в отношении аутентификации абонентов 100а-с в указанной области, авторизации доступа и услуг, учета сетевых ресурсов и мобильности.
Перед началом сеанса связи в сети Интернет ПОВУП 160 должен провести аутентификацию абонента, например, абонента 100b. В типовом случае абонент 100b вводит информацию аутентификации 105а, такую как номер счета и персональный идентификационный номер (PIN) в сервер 130 локального доступа ПУИ 135. После этого ПОВУП 160 в сервере 130 локального доступа проводит аутентификацию абонента 100b путем сравнения принятой информации аутентификации (ИА) 105а, введенной абонентом 100b, с информацией аутентификации 105а, связанной с абонентом 100b, сохраненной в ПОВУП 160. Следует заметить, что ПОВУП 160 в сервере локального доступа (СЛД) 130 сохраняет информацию аутентификации 105 для каждого абонента 100а-с, которого он обслуживает. После проведения аутентификации абонент 100b может получить доступ к сети Интернет 140 и просмотреть Web-сайты через локальный сервер доступа 130. После завершения сеанса связи в сети Интернет ПОВУП 160 осуществляет сбор и сохранение информации 115 о доступе к ресурсам и выставлении счета (учетной информации (УИ) 115) за проведение сеанса связи в сети Интернет.
В настоящее время ни один из видов информации, передаваемых между абонентом 100b и сервером 130 локального доступа или ПОВУП 160 в течение сеанса связи в сети Интернет, не шифруется. Поэтому данная информация, включающая информацию аутентификации 105, может быть перехвачена несанкционированной стороной. Современные механизмы обеспечения выполнения установленных правил провайдером 135 услуг сети Интернет не учитывают несанкционированного доступа данного типа. Поэтому ПУИ должен опираться на механизмы обеспечения выполнения установленных правил сервера локального доступа в области 150, чтобы обеспечить надежную аутентификацию, что увеличивает затраты для ПУИ 135 и абонентов 100а-с, которые используют услуги, предоставляемые ПУИ 135. Кроме того, некоторая информация учета и выставления счетов, требуемая провайдером 135 услуг сети Интернет, может быть обеспечена только провайдером локального доступа, что также увеличивает затраты для ПУИ 135.
Однако если, как показано на фиг.2, ПОВУП 160 размещен в абонентских помещениях 110, например, будучи подсоединенным к ЛС 160, к которой подключен абонент 100, то оплачиваемые авансом затраты, требуемые для провайдера 135 услуг сети Интернет, будут снижены. Кроме того, ПУИ 135 будет становиться в меньшей степени зависимым от провайдера локального доступа. Поэтому, в соответствии с предпочтительными вариантами осуществления настоящего изобретения, ПОВУП может быть реализован в сервере (или в серверном узле) 180, соединенном с локальной сетью 120 абонента (абонентов) 100, как показано на фиг.2. Как вариант, если абонент 100 является одиночным абонентом, то ПОВУП 160 может быть реализован на компьютере или терминале, связанном с данным абонентом 100.
Для реализации ПОВУП 160 в абонентских помещениях 110, когда абонент 100 или группа абонентов регистрируется у ПУИ 135, ПУИ 135 может обеспечить программное обеспечение для ПОВУП 160 абоненту (абонентам) 100. Это программное обеспечение может загружаться от ПУИ 135 по сети Интернет или может быть послано абоненту (абонентам) 100 по электронной почте. Программное обеспечение содержит индивидуальный абонентский ключ для каждого из абонентов 100 и ключ ПОВУП для ПОВУП 160. Это программное обеспечение для ПОВУП 160 может быть загружено в сервер 180, обслуживающий множество абонентов 100, как показано на чертеже, или в терминал, связанный с одиночным абонентом 100, для выполнения функций ПОВУП 160. Например, программное обеспечение может быть загружено в почтовый ящик электронной почты, который представляет собой защищенный сервер 180 с встроенными межсетевыми средствами защиты (брандмауэром), которые имеют интерфейс с ЛС 120. После загрузки абонентам может быть присвоен один из абонентских ключей, и ПОВУП 160 может регистрировать ключ ПОВУП на сервере 130 локального доступа.
Как пояснено выше, ПОВУП 160 способствует выполнению установленных правил в отношении аутентификации абонентов, авторизации доступа и услуг, учета сетевых ресурсов и мобильности для абонентов, которых обслуживает ПОВУП 160. Эти установленные правила определяются оператором ПУИ 135 в пункте принятия решения о выполнении установленных правил (ПРВУП) 170, который представляет собой сервер, управляемый оператором, который может находиться где угодно в мире. ПРВУП 170 осуществляет связь с различными ПОВУП и с другими сетевыми ПРВУП (не показаны) для аутентификации абонентов 100, совершающих роуминг вне своей исходной сети.
Например, если ЛС 120 является частью компании, которая имеет офисы в различных местоположениях, и абонент 100, связанный с одним из этих местоположений, посещает место, где расположена ЛС 120, то информация аутентификации 105, связанная с данным абонентом 100, может не сохраняться в ПОВУП 160 ЛС 120. Вместо этого информация аутентификации 105 может сохраняться в другом ПОВУП (не показан) данного провайдера 135 услуг сети Интернет. Поэтому когда прибывший абонент 100 пытается получить доступ к сети Интернет 140 через ПУИ 135, ПОВУП 160 может послать информацию аутентификации 105, полученную от данного абонента 100, в ПРВУП 170 через сервер 130 локального доступа и сеть Интернет 140, чтобы провести аутентификацию абонента 100. Основываясь на информации аутентификации 105, связанной с прибывшим абонентом 100, ПРВУП 170 может непосредственно провести аутентификацию абонента 100 (если ПРВУП 170 сохраняет всю информацию аутентификации 105 для каждого из абонентов 100, зарегистрированных у провайдера 135 сети Интернет). Как вариант, ПРВУП 170 может определить ПОВУП (не показан), связанный с прибывшим абонентом 100, передать эту информацию аутентификации 105 к данному ПОВУП и запросить аутентификацию и авторизацию от этого ПОВУП.
В другом примере, если абонент 100, соединенный с локальной сетью 120, имеет счет у другого провайдера услуг сети Интернет (не показан), но пытается получить доступ к сети Интернет 140 через данного провайдера 135 услуг сети Интернет локальной сети 120, то ПОВУП 160 может установить связь с ПРВУП 170 через сервер 130 локального доступа, связанный с ПУИ 135 и сетью Интернет 140, чтобы провести аутентификацию абонента и получить авторизацию для доступа к ПУИ 135. ПРВУП 170 может установить связь с другим ПРВУП (не показан) данного провайдера услуг сети Интернет, у которого абонент 100 имеет свой счет, чтобы проверить наличие у абонента счета у данного провайдера и получить авторизацию в целях выставления счетов и списывания со счета.
Структура и принцип работы возможного варианта осуществления ПОВУП 160 описаны ниже более детально со ссылками на фиг.3. Каждый ПОВУП 160 имеет отдельный ключ 162, связанный с ним. Этот ключ 162 идентифицирует ПОВУП 160 для ПРВУП 170 и сервера 130 локального доступа данного провайдера 135 услуг сети Интернет. Поэтому вместо того, чтобы сохранять информацию аутентификации 105 для каждого абонента 100, серверу 130 локального доступа необходимо только сохранить ключи 162 для всех ПОВУП 160, которых он обслуживает. Ключи 162 ПОВУП могут также использоваться для шифрования информации, передаваемой между ПОВУП 160 и сервером 130 локального доступа и между ПОВУП 160 и ПРВУП 170, что в значительной степени снижает возможность перехвата информации неавторизованной стороной.
Для инициирования сеанса связи в сети Интернет, ПОВУП 160 предоставляет этот ключ 162 ПОВУП серверу 130 локального доступа, чтобы провести аутентификацию ПОВУП 160. После этого ПОВУП 160 и сервер 130 локального доступа могут использовать этот ключ 162 ПОВУП для шифрования всей информации, передаваемой между ними. Аналогичным образом, ключ 162 ПОВУП может быть использован ПОВУП 160 и ПРВУП 170 для шифрования информации, передаваемой между ними. Такая информация может включать в себя, например, информацию аутентификации 105 и информацию авторизации прибывших абонентов или абонентов 100, совершающих роуминг, или учетную информацию 115 и информацию по расчетам при завершении сеанса связи в сети Интернет.
ПОВУП 160 также включает в себя память или базу данных 165 для хранения отличающегося абонентского ключа 164 для каждого абонента 100, которого он обслуживает. Например, в базе данных 165 ПОВУП 160 может сохранять список имен абонентов или номера счетов 163 и ключи 164 связанных с ними абонентов. Для инициирования сеанса связи в сети Интернет абонент 100 может ввести свой номер счета 163, вместе со своим абонентским ключом 164 в ПОВУП 160. ПОВУП 160 обращается к базе данных 165 и сравнивает принятый номер счета 163 и ключ 164 для аутентификации абонента 100. Этот абонентский ключ 164 может также использоваться для шифрования всей информации, передаваемой между ПОВУП 160 и абонентом 100.
Кроме того, ПОВУП 160 может также хранить базу данных 168 авторизации, которая содержит информацию авторизации 169 для каждого абонента 100, которого он обслуживает. Некоторые услуги, предоставляемые ПУИ 135, могут быть недоступными для каждого абонента 100. Поэтому после аутентификации, когда абонент 100 запрашивает услугу от ПУИ 135, ПОВУП 160 может обратиться к базе данных 168, чтобы определить имеет ли право данный абонент пользоваться данной услугой, основываясь на информации авторизации 169.
В процессе сеанса связи в сети Интернет ПОВУП 160 поддерживает регистрационный файл 166, содержащий информацию 167, относящуюся к этому сеансу связи, включая время начала, время завершения, используемые услуги. Этот регистрационный файл 166 используется провайдером 135 услуг сети Интернет в целях аудита и выставления счетов. По завершении сеанса связи в сети Интернет ПОВУП 160 направляет этот регистрационный файл 166 с использованием ключа 162 ПОВУП к ПРВУП 170. Как вариант, регистрационный файл 166 для всех абонентов 100, обслуживаемых данным ПОВУП 160, может передаваться с регулярными интервалами, например, в конце дня.
За счет размещения ПОВУП 160 в помещениях 110 абонента 100, непроизводительные расходы могут быть снижены ввиду уменьшения числа сообщений, передаваемых между абонентом 100 и сервером 130 локального доступа. Кроме того, повышается защищенность и снижается задержка во всех передачах между абонентом 100 и ПОВУП 160.
На фиг.4 представлена диаграмма сигнализации, которая описана ниже во взаимосвязи с блок-схемами, показанными на фиг.2 и 3. Для инициирования сеанса связи в сети Интернет абонент 100 посылает запрос на аутентификацию (этап 400), включающий номер счета 163 и абонентский ключ 164, к ПОВУП 160. После этого ПОВУП 160 устанавливает соединение с сервером 130 локального доступа данного ПУИ 135 и передает запрос аутентификации для доступа (этап 405), включающий ключ 162 ПОВУП, к серверу 130 локального доступа.
После аутентификации ПОВУП 160 сервер 130 локального доступа посылает сообщение ответа аутентификации для доступа (этап 410) к ПОВУП 160, указывающий на то, что ПОВУП 160 авторизован для проведения сеанса связи в сети Интернет с данным ПУИ 135. Когда ПОВУП 160 получает сообщение ответа аутентификации от сервера 130 локального доступа, ПОВУП проводит аутентификацию абонента с использованием номера счета 163 и абонентского ключа 164, предоставленного абонентом 100, и передает сообщение ответа аутентификации (этап 415) абоненту 100.
Если абонент 100 совершает роуминг, как пояснено выше, то, чтобы аутентифицировать абонента 100, ПОВУП 160 передает сообщение аутентификации, включающее в себя ключ 162 ПОВУП и номер счета 163, а также абонентский ключ 164 для абонента 100, к ПРВУП 170 через сервер 130 локального доступа и сеть 140 Интернет (этап 412). Следует иметь в виду, что если абонент 100, совершающий роуминг, имеет счет для другого ПУИ (не показан), то идентификация этого ПУИ, вместе с номером счета абонента 100, передается в ПРВУП 170. Для того чтобы абонент 100, совершающий роуминг, получил доступ к ПУИ 135 данного ПОВУП 160, оба ПУИ в типовом случае должны иметь договор, позволяющий абоненту получать доступ к любому ПУИ. Кроме того, учетная информация и информация, относящаяся к начислениям оплаты за услуги, также должна быть отражена в этом договоре.
Затем ПРВУП 170 проводит аутентификацию абонента 100 либо непосредственно, либо путем направления запроса в другой ПОВУП (не показан), содержащий номер счета 163 и абонентский ключ 164 для абонента 100, либо путем направления запроса в другой ПРВУП (не показан). После проведения аутентификации ПРВУП 170 возвращает ответное сообщение аутентификации в ПОВУП 160 (этап 413), который, в свою очередь, посылает ответное сообщение аутентификации абоненту 100 (этап 415).
После того как абонент 100 получит ответное сообщение аутентификации, он может передать запрос на представление услуги (этап 420) в ПОВУП 160. Запрос на предоставление услуги может представлять собой, например, запрос доступа к Web-сайту 190 или получение абонентской или сетевой информации. Если ПОВУП 160 определяет, что запрошенная услуга не авторизована, то ПОВУП 160 посылает ответное сообщение авторизации (этап 425), показывающее, что данная услуга не доступна. Однако если запрошенная услуга доступна, то ПОВУП 160 посылает ответное сообщение авторизации (этап 425), указывающее, что данная услуга доступна, и передает сообщение запроса ресурсов (этап 430), включающий запрос услуги, в сервер 130 локального доступа.
Если запрошенная услуга не может быть предоставлена абоненту 100, сервер 130 локального доступа уведомляет абонента 100 путем посылки через ПОВУП 160 сообщения подтверждения выделения ресурса (этап 435), показывающего, что данная услуга не может быть предоставлена для абонента 100. Запрошенная услуга не может быть предоставлена, если, например, сеть занята, или если услуга не доступна в текущее время. Однако если запрошенная услуга может быть предоставлена абоненту 100, то сообщения подтверждения выделения ресурса (этап 435) показывает, что данная услуга доступна. После этого абонент 100 может провести сеанс связи в сети Интернет (этап 440), например, путем считывания информации с Web-сайта или путем предоставления информации на Web-сайт в сети Интернет. Предпочтительно, вся информация, передаваемая между абонентом 100 и сервером 130 локального доступа, может быть зашифрована с использованием абонентского ключа 164 и ключа 162 ПОВУП, что предотвращает неавторизованный доступ к этой информации.
В процессе осуществления сеанса связи в сети Интернет (этап 440) ПОВУП 160 регистрирует в регистрационном файле 166 всю информацию 167 о сеансе связи в сети Интернет, такую как время начала, время завершения и запрашиваемая услуга. С периодическими интервалами ПРВУП 170 может передавать сообщение запроса учетной информации (этап 445) к ПОВУП 160, в котором запрашивается регистрационный файл 166 для всех сеансов связи в сети Интернет, которые были проведены с момента передачи предыдущего сообщения запроса учетной информации. В ответ ПОВУП 160 передает регистрационный файл (этап 450), который включает в себя записи всех сеансов связи в сети Интернет, завершенных до приема данного сообщения запроса учетной информации, в ПРВУП 170. Как вариант, по завершении сеанса связи в сети Интернет, ПОВУП 160 может считать регистрационный файл 166 и переслать этот регистрационный файл 166 в ПРВУП 170 (этап 450), не ожидая получения сообщения запроса учетной информации (этап 445). Следует иметь в виду, что регистрационный файл может быть зашифрован для передачи от ПОВУП 160 к ПРВУП 170 с использованием ключа 162 ПОВУП.
Специалистам в данной области техники должно быть ясно, что новые принципы, описанные в настоящей заявке, могут быть модифицированы и видоизменены в широком диапазоне применений. Соответственно, объем заявленной сущности изобретения не должен ограничиваться никакими из приведенных для примера вариантами осуществления, а должен определяться пунктами формулы изобретения.
Изобретение относится к телекоммуникационным системам и способам доступа к сети Интернет. Технический результат заключается в расширении функциональных возможностей. Пункт обеспечения выполнения установленных правил обеспечивает выполнение установленных правил в отношении аутентификации абонентов, авторизации доступа и услуг, учета сетевых ресурсов и мобильности. Эти установленные правила определяются провайдером услуг сети Интернет в пункте принятия решения о выполнении установленных правил, который представляет собой сервер, соединенный с сетью Интернет и осуществляющий связь с указанным пунктом обеспечения. Провайдер услуг сети Интернет может предоставить ключ шифрования для указанного пункта обеспечения и ключ шифрования для конкретного абонента. 3 н. и 30 з.п. ф-лы, 4 ил.
СПОСОБ ДОСТУПА К РЕСУРСАМ "ВСЕМИРНОЙ ПАУТИНЫ" ЧЕРЕЗ ШЛЮЗЫ-ПРЕДСТАВИТЕЛИ | 1996 |
|
RU2118051C1 |
ИНТЕГРИРОВАННАЯ АВТОМАТИЗИРОВАННАЯ СИСТЕМА ДЛЯ ПРЕДОСТАВЛЕНИЯ ПОЧТОВО-БАНКОВСКИХ УСЛУГ | 1997 |
|
RU2100841C1 |
WO 9832301 А1, 23.07.1998 | |||
WO 9802828 А1, 22.01.1998. |
Авторы
Даты
2005-05-27—Публикация
2000-07-11—Подача