TWI426762B - 網路身分管理方法與系統 - Google Patents
網路身分管理方法與系統 Download PDFInfo
- Publication number
- TWI426762B TWI426762B TW097129549A TW97129549A TWI426762B TW I426762 B TWI426762 B TW I426762B TW 097129549 A TW097129549 A TW 097129549A TW 97129549 A TW97129549 A TW 97129549A TW I426762 B TWI426762 B TW I426762B
- Authority
- TW
- Taiwan
- Prior art keywords
- network
- server
- mobile device
- short
- identity
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3263—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements
- H04L9/3268—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving certificates, e.g. public key certificate [PKC] or attribute certificate [AC]; Public key infrastructure [PKI] arrangements using certificate validation, registration, distribution or revocation, e.g. certificate revocation list [CRL]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0892—Network architectures or network communication protocols for network security for authentication of entities by using authentication-authorization-accounting [AAA] servers or protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
- H04W12/069—Authentication using certificates or pre-shared keys
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/42—Anonymization, e.g. involving pseudonyms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/166—Implementing security features at a particular protocol layer at the transport layer
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Accounting & Taxation (AREA)
- Mobile Radio Communication Systems (AREA)
Description
本發明是有關於一種網路身分管理方法與系統,且特別是有關於一種不可追蹤的網路身分管理方法與系統。
目前有許多無線技術,例如全球微波互聯網路(Worldwide Interoperability for Microwave Access,WiMAX)和無線區域網路(Wireless Local Area Network,WLAN)都使用延伸認證協定(Extensible Authentication Protocol,EAP)架構。圖1為習知的包含三個角色的EAP認證模型示意圖,其中行動裝置101相當於請求裝置角色(supplicant),存取點(access point,AP)102相當於認證裝置角色(authenticator),認證授權計費伺服器(authentication,authorization and aecounting server,簡稱為AAA伺服器)103相當於認證伺服器角色(authentication server)。當使用者想用行動裝置101連接網路,必須提供身分代碼(identification,ID)給存取點102,然後存取點102將身分代碼傳送至AAA伺服器103,以進行使用者的身分認證、授權、計費等事宜。
圖1的認證模型假設三個角色都位在同一個網路業者(network operator)或同一個網際網路服務供應者(Internet service provider,ISP)所經營的同一個網路,其實EAP可應用在跨網域網路(inter一domain network),如圖2所示。圖2
有三個網路,分別是使用者最初建立帳號的原網路(home network)230、使用者想連接的受訪網路(visited network)210、以及位於上述兩個網路之間的代理網路(proxy networkk))220。以上三個網路各由不同的網路業者或ISP所經營。舉例來說,原網路是使用者家中的網路,而受訪網路是使用者辦公室的網路。
當使用者想連接受訪網路210,必須用行動裝置201提供身分代碼給受訪網路210的存取點211。受訪網路210沒有使用者的身分資料,原網路230才有,因此存取點211必須將身分代碼一路傳送至原網路230的AAA伺服器231以進行認證、授權、計費等事宜。受訪網路210的存取點211、AAA伺服器212、以及代理網路220的AAA伺服器221只是居中轉送封包,並不參與行動裝置201和AAA伺服器231之間的認證過程。
隨著隱私(privacy)越來越受重視,使用者普遍希望在不受信任的網路環境可以用暫時身分代碼(temporary ID)以避免上網位置及隱私(例如上了什麼網站)暴露。上述不受信任的網路環境,可以泛指原網路以外的所有受訪網路,尤其在公共無線區域網路環境,會有惡意的假存取點存在,讓隱私問題更加重要。
同一個網域中的隱私問題可以用延伸認證協定通道傳輸層安全標準(Extensible Authentication Protocol-Tunneled Transport Layer Security,EAP一TTLS)或保護延伸認證協定(Protected Extensible Authentication Protocol,
PEAP)等協定解決,但是在圖2的跨網域環境,現有的EAP就不盡理想。為了隱私問題,行動裝置201可以用匿名的暫時身分代碼和延伸認證協定傳輸層安全標準(Extensible Authentication Protocol一Transport Layer Security,EAP一TLS)或EAP一TTLS,和原網路的AAA伺服器231建立安全通道(secure tunnel),然後將經過加密(encrypted)的真實身分代碼傳送給AAA伺服器231作認證。但是這樣一來,居中的受訪網路AAA伺服器212無法解讀經過加密的使用者真實身分代碼,因此沒辦法作計費和授權。
因為EAP架構無法同時提供隱私、計費、及授權,因此網際網路工程任務小組(Internet Engineering Task Force,IETF)提出RFC 4372標準來解決這問題。在這標準中,引進了可付費使用者身分代號(Chargeable User Identity,CUI),在EAP封包中新增一欄位來攜帶一個可供ISP收費用的暫時身分代號。然而CUI還是有一些問題,例如CUI只能暫時使用,若是長時間使用,還是可以用來識別使用者。只有發行使用者真實身分代號的原網路ISP知道CUI與真實身分代號如何對應,因此CUI必須以明文(plain text)形式傳遞,才能讓受訪網路的業者用CUI來向使用者的原網路ISP收費。這主要是由於EAP尚缺少有效管理CUI的機制。
本發明提供一種網路身分管理方法與系統,用以管理
使用者的暫時身分代碼以及真實身分代碼,可同時達成匿名、計費、以及授權等功能。
本發明提出一種網路身分管理方法,包括下列步驟。首先,一行動裝置向一身分管理伺服器(ID management server,IMS)申請一第一短期憑證(certificate)。此第一短期憑證包括行動裝置的使用者的暫時身分代碼。然後行動裝置使用暫時身分代碼登入一認證裝置所屬的受訪網路,並且使用第一短期憑證和認證裝置建立安全通道。行動裝置藉由安全通道使用受訪網路,行動裝置的網路封包皆經由認證裝置轉發。
本發明另提出一種網路身分管理系統,包括行動裝置、認證裝置、以及身分管理伺服器。行動裝置向身分管理伺服器申請第一短期憑證。此第一短期憑證包括行動裝置的使用者的暫時身分代碼。行動裝置使用暫時身分代碼登入認證裝置所屬的受訪網路,並且使用第一短期憑證和認證裝置建立安全通道。行動裝置藉由安全通道使用受訪網路,行動裝置的網路封包皆經由認證裝置轉發。
本發明的網路身分管理方法與系統實現了一個暫時身分代碼與真實身分代碼的管理機制,可同時達成匿名、計費、以及授權等功能。此外,本發明可保’護暫時身分代碼不受冒用,可避免計費方面的風險,可以降低網路業者整合的難度,而且可對使用者作快速認證。
為讓本發明之上述特徵和優點能更明顯易懂,下文特舉較佳實施例,並配合所附圖式,作詳細說明如下。
圖3繪示依照本發明一實施例的網路身分管理系統,與其執行的網路身分管理方法流程。本實施例的網路身分管理系統包括行動裝置301、存取點(認證裝置)311、AAA伺服器(也可以稱為計費伺服器)312、321、身分代碼記錄伺服器(ID recorder,IDR)322、以及身分管理伺服器(identity management server,IMS)323。以上六個網路設備透過網路相連,其中存取點311和AAA伺服器312屬於受訪網路310,AAA伺服器321、身分代碼記錄伺服器322、以及身分管理伺服器323屬於使用者最初建立帳號的原網路320。原網路320和受訪網路310由不同的網路業者或ISP所經營。
行動裝置301是使用者用來連接網路的裝置,可以是行動電話、個人數位助理(personal digital assistant,PDA)、筆記型電腦,或其他可連接有線或無線網路的行動電子產品。存取點311的作用是認證使用者的身分,並且轉發行動裝置301的所有網路封包。在本實施例中,行動裝置301連接無線網路,所以用存取點311來認證使用者。在本發明其他實施例中,行動裝置301也可以連接有線網路,此時可將存取點311置換為具有相同認證功能的其他認證裝置,例如交換器(switch)或路由器(router)。
受訪網路310使用AAA伺服器312來計費,原網路320使用AAA伺服器321來確認使用者身分並且計費。身分代碼記錄伺服器322是用來記錄使用者的暫時身分代碼
和真實身分代碼的對應關係。身分管理伺服器323是用來發行使用者的短期憑證。以下逐步說明圖3的網路身分管理方法流程。
首先,在步驟S301,使用者想連接受訪網路310之前,可以透過行動裝置301向原網路320的身分管理伺服器323申請短期憑證。這個短期憑證包括使用者的暫時身分代碼,這個暫時身分代碼可讓使用者匿名使用受訪網路310,而且此暫時身分代碼可用來付費。行動裝置301可提供使用者原有的長期憑證向身分管理伺服器323申請短期憑證,或提供使用者的真實身分代碼和密碼向身分管理伺服器323申請短期憑證。
長期憑證和短期憑證的差別在於有效時間。長期憑證的有效時間較長,例如一年或兩年;短期憑證的有效時間較短,例如半天或一天。短期憑證需要定期重新申請,或在每次使用受訪網路之前重新申請。長期憑證是傳統公開金鑰架構(public key infrastructure,PKI)認證方法使用的憑證,在這架構中,雙方除了互相認證外,還要去特定的伺服器查詢憑證廢止清單(certificate revocation list,CRL),以確定對方的憑證還有效。短期憑證用完即丟,有效期短,所以相對安全,可達到不可追蹤的匿名效果。而且因為短期憑證的有效期很短,認證時不需要查詢憑證廢止清單,可以簡化管理和維護。
行動裝置301申請短期憑證之後,在步驟S302,身分管理伺服器323將使用者的暫時身分代碼以及真實身分代
碼存入身分代碼記錄伺服器322,以備查詢。
接下來,在步驟S303,行動裝置301使用短期憑證內的暫時身分代碼,經由存取點311登入受訪網路310。存取點311藉由使用者申請的短期憑證認證行動裝置301。存取點311也自備一個短期憑證以供行動裝置301認證。存取點311自備的短期憑證可由受訪網路310的AAA伺服器312定期發放給存取點311(即認證裝置),或是由存取點311定期向AAA伺服器312申請。然後行動裝置301和存取點311使用延伸認證協定傳輸層安全標準(以下簡稱EAP一TLS)建立一個加密的安全通道。步驟S303類似傳統的EAP一TLS認證過程,但有兩個主要區別。其一是認證程序從行動裝置和AAA伺服器之間移到行動裝置和存取點之間,也就是說本實施例的存取點311支援EAP一TLS的認證程序,如此可減少網路傳遞時間。其二是使用短期憑證,而不用傳統的長期憑證。短期憑證因為有效時間很短,沒有被破解盜用之虞,認證的雙方可以直接採信,不需要查詢憑證廢止清單,如此可以去除骨幹網路的傳輸時間,進而減少認證延遲。
建立安全通道後,在步驟S304,存取點311傳送費用訊息至行動裝置301,以告知使用受訪網路310的費用計算方式。步驟S304是讓使用者和受訪網路310協商使用費率。例如行動裝置301接收費用訊息後,可以顯示一個說明計費方式的對話盒,詢問使用者是否接受。行動裝置301也可以在上述對話盒同時顯示多種計費方式,供使用
者選擇或拒絕。
在步驟S305,當使用者接受受訪網路310的使用費率之後,行動裝置301傳送一個回應的使用訊息至存取點311。這個使用訊息包括使用者的短期憑證以及數位簽章,表示使用者接受受訪網路310的費用計算方式。存取點311可利用使用者的短期憑證其中的公開金鑰來驗證使用者的數位簽章,驗證通過後就能確認使用者的身分。存取點311驗證過使用者的數位簽章之後,如步驟S307所示,使用者已經可藉由行動裝置301和存取點311之間的安全通道使用受訪網路310。步驟S306中,則是透過存取點311傳送使用訊息至AAA伺服器312,AAA伺服器312驗證過使用者的數位簽章後,則可開始根據使用訊息建立使用記錄,記錄使用者使用受訪網路310的時間與費用。
之後,受訪網路310的AAA伺服器312可以和原網路320的AAA伺服器321進行上述費用的清算(settlement),如步驟S308至S313所示。步驟S308至S313的清算可以是線上清算(online settlement)或離線清算(off-line settlement)。線上清算是在行動裝置301使用受訪網路310時同時進行,而離線清算是在行動裝置301登出受訪網路310之後進行。離線清算可以定期進行,例如一天一次或一月一次。
如步驟S308,AAA伺服器312將上述使用訊息傳送至AAA伺服器321。行動裝置301在使用者同意受訪網路310的使用費率後,會產生使用者的數位簽章送出,因此
使用者無法否認使用過受訪網路310。如此受訪網路310不需要和原網路320之間有直接的漫遊協定,也可以向原網路計費。
接下來,在步驟S309,AAA伺服器321接收使用訊息,其中的短期憑證包括使用者的公開金鑰,AAA伺服器321使用這個公開金鑰驗證使用者的數位簽章。如果數位簽章沒通過驗證,AAA伺服器321在步驟SS3310-1回覆失敗訊息至AAA伺服器312。
如果數位簽章通過驗證,AAA伺服器321在步驟S311根據使用者的暫時身分代碼向身分代碼記錄伺服器322查詢使用者的真實身分代碼。如果查詢到真實身分代碼,就確認了使用者的身分。接下來,AAA伺服器321在步驟S312使用真實身分代碼建立使用記錄,然後在步驟SS3310-2回覆成功訊息至AAA伺服器312。
在步驟S313,受訪網路310的AAA伺服器312收到成功訊息之後,可以向原網路320的AAA伺服器321收取受訪網路310的使用費用。存取點311可根據行動裝置301送出的使用訊息記錄使用者使用受訪網路310的時間,然後AAA伺服器312可自存取點311取得使用者的暫時身分代碼以及使用受訪網路310的時間與費用,藉以向AAA伺服器321要求收費。AAA伺服器321已經在步驟S312建立對應的使用記錄,而且可以向身分代碼記錄伺服器322查詢暫時身分代碼和真實身分代碼的對應關係,用以檢查AAA伺服器312提供的計費方式是否正確。
由於受訪網路業者要有使用者的暫時身分代碼與數位簽章才能用來計費,避免了冒用身分代碼和浮報費用等風險。
綜上所述,本發明的網路身分管理方法與系統實現了一個暫時身分代碼與真實身分代碼的管理機制,可同時達成匿名、計費、以及授權等功能。
本發明使用短期憑證及相對應的公開/私密金鑰對(public/private key pair)來保護一個可付費的暫時身分代碼,可避免此暫時身分代碼被冒用的風險。
在本發明中,使用者對受訪網路傳來的使用費說明訊息產生數位簽章。此程序加入現有的EAP一TLS架構認證方法,可以達成不可否認的付費機制,可用於多個網路業者的跨網域網路。同時這些業者不需有一對一的商業協議(business agreement),可以降低網路業者整合的難度。
本發明提出的網路身分管理方法和系統不需要查詢電子憑證廢止清單,這使得認證程序只發生在使用者的行動裝置和認證裝置(例如無線區域網路的存取點)之間,因此不會增加認證時間,有利於網際網路電話(Voice over Internet Protocol,VoIP)或多媒體串流(multimedia streaming)的即時服務。
雖然本發明已以較佳實施例揭露如上,然其並非用以限定本發明,任何所屬技術領域中具有通常知識者,在不脫離本發明之精神和範圍內,當可作些許之更動與潤飾,因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。
101‧‧‧行動裝置
102‧‧‧存取點
103‧‧‧AAA伺服器
201‧‧‧行動裝置
210‧‧‧受訪網路
211‧‧‧存取點
212‧‧‧AAA伺服器
220‧‧‧代理網路
221‧‧‧AAA伺服器
230‧‧‧原網路
231‧‧‧AAA伺服器
301‧‧‧行動裝置
310‧‧‧受訪網路
311‧‧‧存取點
312‧‧‧AAA伺服器
320‧‧‧原網路
321‧‧‧AAA伺服器
322‧‧‧身分代碼記錄伺服器
323‧‧‧身分管理伺服器
S301-S313‧‧‧流程步驟
圖1是習知的包含三個角色的EAP認證模型示意圖。
圖2是習知的AAA跨網路應用示意圖。
圖3是依照本發明一實施例的網路身分管理方法流程圖。
301‧‧‧行動裝置
310‧‧‧受訪網路
311‧‧‧存取點
312‧‧‧AAA伺服器
320‧‧‧原網路
321‧‧‧AAA伺服器
322‧‧‧身分代碼記錄伺服器
323‧‧‧身分管理伺服器
S301一S313‧‧‧流程步驟
Claims (24)
- 一種網路身分管理方法,包括:一行動裝置向一身分管理伺服器申請一第一短期憑證,該第一短期憑證包括該行動裝置的使用者的一暫時身分代碼;該行動裝置使用該暫時身分代碼登入一認證裝置所屬的受訪網路,並且使用該第一短期憑證和該認證裝置建立一安全通道;以及該行動裝置藉由該安全通道使用該受訪網路,該行動裝置的網路封包皆經由該認證裝置轉發,其中該第一短期憑證用完即丟而且在每一次該行動裝置使用該受訪網路之前重新申請。
- 如申請專利範圍第1項所述的網路身分管理方法,其中該行動裝置使用一長期憑證向該身分管理伺服器申請該第一短期憑證,該長期憑證的有效時間大於該第一短期憑證的有效時間,該長期憑證在驗證時需要查詢一憑證廢止清單,而該第一短期憑證在驗證時不需要查詢該憑證廢止清單。
- 如申請專利範圍第1項所述的網路身分管理方法,其中該行動裝置使用該使用者的真實身分代碼和一密碼向該身分管理伺服器申請該第一短期憑證。
- 如申請專利範圍第1項所述的網路身分管理方法,其中在建立該安全通道時,該認證裝置藉由該第一短期憑證認證該行動裝置,該行動裝置藉由該認證裝置的一第二 短期憑證認證該認證裝置。
- 如申請專利範圍第4項所述的網路身分管理方法,其中該認證裝置的該第二短期憑證可由一第一計費伺服器定期發放給該認證裝置,或由該認證裝置定期向該第一計費伺服器申請。
- 如申請專利範圍第1項所述的網路身分管理方法,其中該行動裝置和該認證裝置使用延伸認證協定傳輸層安全標準建立該安全通道。
- 如申請專利範圍第1項所述的網路身分管理方法,更包括:建立該安全通道後,該行動裝置傳送一使用訊息至該認證裝置,該使用訊息包括該第一短期憑證以及該使用者的一數位簽章;該認證裝置驗證該數位簽章後,傳送該使用訊息至一第一計費伺服器;以及該第一計費伺服器接收該使用訊息,驗證該數位簽章,並且根據該使用訊息建立一第一使用記錄。
- 如申請專利範圍第7項所述的網路身分管理方法,其中該行動裝置傳送該使用訊息的步驟包括:該認證裝置傳送一費用訊息至該行動裝置,告知使用該受訪網路的費用計算方式;以及該行動裝置傳送該使用訊息至該認證裝置,表示接受該費用計算方式。
- 如申請專利範圍第7項所述的網路身分管理方法, 更包括:該第一計費伺服器傳送該使用訊息至一第二計費伺服器;該第二計費伺服器接收該使用訊息,使用該第一短期憑證驗證該數位簽章;若該數位簽章未通過驗證,該第二計費伺服器回覆一失敗訊息至該第一計費伺服器;以及若該數位簽章通過驗證,該第二計費伺服器根據該使用訊息建立一第二使用記錄,並且回覆一成功訊息至該第一計費伺服器。
- 如申請專利範圍第9項所述的網路身分管理方法,其中該第二計費伺服器驗證該數位簽章的步驟、該第二計費伺服器回覆該失敗訊息的步驟、該第二計費伺服器建立該第二使用記錄的步驟、以及該第二計費伺服器回覆該成功訊息的步驟都是離線進行。
- 如申請專利範圍第9項所述的網路身分管理方法,更包括:該行動裝置申請該第一短期憑證之後,該身分管理伺服器將該暫時身分代碼以及該使用者的一真實身分代碼存入一身分代碼記錄伺服器;以及該第二計費伺服器接收該使用訊息之後,根據該暫時身分代碼向該身分代碼記錄伺服器查詢該真實身分代碼,並且使用該真實身分代碼建立該第二使用記錄。
- 如申請專利範圍第9項所述的網路身分管理方 法,更包括:該認證裝置根據該使用訊息記錄該使用者使用該受訪網路的時間;以及該第一計費伺服器自該認證裝置取得該暫時身分代碼以及該使用者使用該受訪網路的時間與費用,藉以向該第二計費伺服器收費;其中該第二計費伺服器、該身分管理伺服器、以及身分代碼記錄伺服器屬於該使用者的原網路,該認證裝置以及該第一計費伺服器屬於該受訪網路,該原網路和該受訪網路由不同網路業者經營。
- 一種網路身分管理系統,包括:一行動裝置;一認證裝置;以及一身分管理伺服器;其中該行動裝置向該身分管理伺服器申請一第一短期憑證,該第一短期憑證包括該行動裝置的使用者的一暫時身分代碼;該行動裝置使用該暫時身分代碼登入該認證裝置所屬的受訪網路,並且使用該第一短期憑證和該認證裝置建立一安全通道;該行動裝置藉由該安全通道使用該受訪網路,該行動裝置的網路封包皆經由該認證裝置轉發,其中該第一短期憑證用完即丟而且在每一次該行動裝置使用該受訪網路之前重新申請。
- 如申請專利範圍第13項所述的網路身分管理系統,其中該行動裝置使用一長期憑證向該身分管理伺服器申請該第一短期憑證,該長期憑證的有效時間大於該第一短期憑證的有效時間,該長期憑證在驗證時需要查詢一憑證廢止清單,而該第一短期憑證在驗證時不需要查詢該憑證廢止清單。
- 如申請專利範圍第13項所述的網路身分管理系統,其中該行動裝置使用該使用者的真實身分代碼和一密碼向該身分管理伺服器申請該第一短期憑證。
- 如申請專利範圍第13項所述的網路身分管理系統,其中在建立該安全通道時,該認證裝置藉由該第一短期憑證認證該行動裝置,該行動裝置藉由該認證裝置的一第二短期憑證認證該認證裝置。
- 如申請專利範圍第16項所述的網路身分管理系統,其中該認證裝置的該第二短期憑證可由一第一計費伺服器定期發放給該認證裝置,或由該認證裝置定期向該第一計費伺服器申請。
- 如申請專利範圍第13項所述的網路身分管理系統,其中該行動裝置和該認證裝置使用延伸認證協定傳輸層安全標準建立該安全通道。
- 如申請專利範圍第13項所述的網路身分管理系統,更包括一第一計費伺服器,其中,建立該安全通道後,該行動裝置傳送一使用訊息至該認證裝置,該使用訊息包括該第一短期憑證以及該使用者的一數位簽章;該認證裝 置驗證該數位簽章後,傳送該使用訊息至該第一計費伺服器;該第一計費伺服器接收該使用訊息,驗證該數位簽章,並且根據該使用訊息建立一第一使用記錄。
- 如申請專利範圍第19項所述的網路身分管理系統,其中該認證裝置傳送一費用訊息至該行動裝置,告知使用該受訪網路的費用計算方式,然後該行動裝置傳送該使用訊息至該認證裝置,表示接受該費用計算方式。
- 如申請專利範圍第19項所述的網路身分管理系統,更包括一第二計費伺服器,其中該第一計費伺服器傳送該使用訊息至該第二計費伺服器;該第二計費伺服器接收該使用訊息,並使用該第一短期憑證驗證該數位簽章;若該數位簽章未通過驗證,該第二計費伺服器回覆一失敗訊息至該第一計費伺服器;若該數位簽章通過驗證,該第二計費伺服器根據該使用訊息建立一第二使用記錄,並且回覆一成功訊息至該第一計費伺服器。
- 如申請專利範圍第21項所述的網路身分管理系統,其中該第二計費伺服器以離線方式驗證該數位簽章、回覆該失敗訊息或該成功訊息、並且建立該第二使用記錄。
- 如申請專利範圍第21項所述的網路身分管理系統,更包括一身分代碼記錄伺服器;該行動裝置申請該第一短期憑證之後,該身分管理伺服器將該暫時身分代碼以及該使用者的一真實身分代碼存入該身分代碼記錄伺服器;該第二計費伺服器接收該使用訊息之後,根據該暫時身分代碼向該身分代碼記錄伺服器查詢該真實身分代碼, 並且使用該真實身分代碼建立該第二使用記錄。
- 如申請專利範圍第21項所述的網路身分管理系統,其中該認證裝置根據該使用訊息記錄該使用者使用該受訪網路的時間;該第一計費伺服器自該認證裝置取得該暫時身分代碼以及該使用者使用該受訪網路的時間與費用,藉以向該第二計費伺服器要求收費;該第二計費伺服器、該身分管理伺服器、以及身分代碼記錄伺服器屬於該使用者的原網路,該認證裝置以及該第一計費伺服器屬於該受訪網路,該原網路和該受訪網路由不同網路業者經營。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW097129549A TWI426762B (zh) | 2008-08-04 | 2008-08-04 | 網路身分管理方法與系統 |
US12/254,817 US8694772B2 (en) | 2008-08-04 | 2008-10-20 | Method and system for managing network identity |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
TW097129549A TWI426762B (zh) | 2008-08-04 | 2008-08-04 | 網路身分管理方法與系統 |
Publications (2)
Publication Number | Publication Date |
---|---|
TW201008211A TW201008211A (en) | 2010-02-16 |
TWI426762B true TWI426762B (zh) | 2014-02-11 |
Family
ID=41609534
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW097129549A TWI426762B (zh) | 2008-08-04 | 2008-08-04 | 網路身分管理方法與系統 |
Country Status (2)
Country | Link |
---|---|
US (1) | US8694772B2 (zh) |
TW (1) | TWI426762B (zh) |
Families Citing this family (66)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8359278B2 (en) * | 2006-10-25 | 2013-01-22 | IndentityTruth, Inc. | Identity protection |
US20080103798A1 (en) * | 2006-10-25 | 2008-05-01 | Domenikos Steven D | Identity Protection |
US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
US8391834B2 (en) | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
US8250207B2 (en) | 2009-01-28 | 2012-08-21 | Headwater Partners I, Llc | Network based ambient services |
US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
US9609510B2 (en) | 2009-01-28 | 2017-03-28 | Headwater Research Llc | Automated credential porting for mobile devices |
US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
US9571559B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners I Llc | Enhanced curfew and protection associated with a device group |
US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
US11985155B2 (en) | 2009-01-28 | 2024-05-14 | Headwater Research Llc | Communications device with secure data path processing agents |
US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US11973804B2 (en) | 2009-01-28 | 2024-04-30 | Headwater Research Llc | Network service plan design |
US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US9652802B1 (en) | 2010-03-24 | 2017-05-16 | Consumerinfo.Com, Inc. | Indirect monitoring and reporting of a user's credit data |
WO2012112781A1 (en) | 2011-02-18 | 2012-08-23 | Csidentity Corporation | System and methods for identifying compromised personally identifiable information on the internet |
US9154826B2 (en) | 2011-04-06 | 2015-10-06 | Headwater Partners Ii Llc | Distributing content and service launch objects to mobile devices |
US8819793B2 (en) | 2011-09-20 | 2014-08-26 | Csidentity Corporation | Systems and methods for secure and efficient enrollment into a federation which utilizes a biometric repository |
US11030562B1 (en) | 2011-10-31 | 2021-06-08 | Consumerinfo.Com, Inc. | Pre-data breach monitoring |
US9232400B2 (en) * | 2012-11-13 | 2016-01-05 | Alcatel Lucent | Restricted certificate enrollment for unknown devices in hotspot networks |
US8812387B1 (en) | 2013-03-14 | 2014-08-19 | Csidentity Corporation | System and method for identifying related credit inquiries |
US9142074B2 (en) * | 2013-08-20 | 2015-09-22 | Cellco Partnership | System for and method of paper note authentication and tracking through NFC |
TWI649707B (zh) * | 2014-09-23 | 2019-02-01 | 中華電信股份有限公司 | Anonymous subsidiary certificate combined with proxy authorization mechanism to realize the method of virtual identity authentication |
US10339527B1 (en) | 2014-10-31 | 2019-07-02 | Experian Information Solutions, Inc. | System and architecture for electronic fraud detection |
US11151468B1 (en) | 2015-07-02 | 2021-10-19 | Experian Information Solutions, Inc. | Behavior analysis using distributed representations of event data |
US10063536B2 (en) * | 2016-03-25 | 2018-08-28 | Ca, Inc. | Short term or one-time-use X.509 digital certificates |
US10699028B1 (en) | 2017-09-28 | 2020-06-30 | Csidentity Corporation | Identity security architecture systems and methods |
US10896472B1 (en) | 2017-11-14 | 2021-01-19 | Csidentity Corporation | Security and identity verification system and architecture |
US10868677B2 (en) * | 2018-06-06 | 2020-12-15 | Blackberry Limited | Method and system for reduced V2X receiver processing load using certificates |
US11669639B2 (en) * | 2021-02-25 | 2023-06-06 | Dell Products L.P. | System and method for multi-user state change |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6233341B1 (en) * | 1998-05-19 | 2001-05-15 | Visto Corporation | System and method for installing and using a temporary certificate at a remote site |
US20010032310A1 (en) * | 2000-01-14 | 2001-10-18 | Francisco Corella | Public key validation service |
US6856800B1 (en) * | 2001-05-14 | 2005-02-15 | At&T Corp. | Fast authentication and access control system for mobile networking |
WO2005027560A1 (en) * | 2003-09-12 | 2005-03-24 | Ntt Docomo, Inc. | Secure intra- and inter-domain handover |
US20060286967A1 (en) * | 2005-06-15 | 2006-12-21 | Samsung Electronics Co., Ltd. | System and method for performing authentication in a communication system |
TW200726170A (en) * | 2005-12-29 | 2007-07-01 | Ind Tech Res Inst | Method and system for secure authentication in a wireless network |
WO2007099608A1 (ja) * | 2006-02-28 | 2007-09-07 | Matsushita Electric Industrial Co., Ltd. | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 |
US7340600B1 (en) * | 2000-01-14 | 2008-03-04 | Hewlett-Packard Development Company, L.P. | Authorization infrastructure based on public key cryptography |
Family Cites Families (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5982898A (en) | 1997-03-07 | 1999-11-09 | At&T Corp. | Certification process |
AU2452699A (en) | 1998-01-09 | 1999-07-26 | Cybersafe Corporation | Client side public key authentication method and apparatus with short-lived certificates |
US7849008B1 (en) * | 1999-07-15 | 2010-12-07 | Cgi Technologies And Solutions Inc. | Real-time charge calculation system |
ATE359652T1 (de) | 2001-02-06 | 2007-05-15 | Certicom Corp | Mobile zertifikatverteilung in einer infrastruktur mit öffentlichem schlüssel |
JP2006011989A (ja) | 2004-06-28 | 2006-01-12 | Ntt Docomo Inc | 認証方法、端末装置、中継装置及び認証サーバ |
US7933596B2 (en) * | 2007-08-31 | 2011-04-26 | Sony Ericsson Mobile Communications Ab | Providing and charging for data services in roaming network environments |
-
2008
- 2008-08-04 TW TW097129549A patent/TWI426762B/zh active
- 2008-10-20 US US12/254,817 patent/US8694772B2/en active Active
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6233341B1 (en) * | 1998-05-19 | 2001-05-15 | Visto Corporation | System and method for installing and using a temporary certificate at a remote site |
US20010032310A1 (en) * | 2000-01-14 | 2001-10-18 | Francisco Corella | Public key validation service |
US7340600B1 (en) * | 2000-01-14 | 2008-03-04 | Hewlett-Packard Development Company, L.P. | Authorization infrastructure based on public key cryptography |
US6856800B1 (en) * | 2001-05-14 | 2005-02-15 | At&T Corp. | Fast authentication and access control system for mobile networking |
WO2005027560A1 (en) * | 2003-09-12 | 2005-03-24 | Ntt Docomo, Inc. | Secure intra- and inter-domain handover |
US20060286967A1 (en) * | 2005-06-15 | 2006-12-21 | Samsung Electronics Co., Ltd. | System and method for performing authentication in a communication system |
TW200726170A (en) * | 2005-12-29 | 2007-07-01 | Ind Tech Res Inst | Method and system for secure authentication in a wireless network |
WO2007099608A1 (ja) * | 2006-02-28 | 2007-09-07 | Matsushita Electric Industrial Co., Ltd. | 認証システム、ce機器、携帯端末、鍵証明発行局および鍵証明取得方法 |
Non-Patent Citations (1)
Title |
---|
Adrangi, F. et al., RFC 4372 , January 2006. * |
Also Published As
Publication number | Publication date |
---|---|
US8694772B2 (en) | 2014-04-08 |
TW201008211A (en) | 2010-02-16 |
US20100031030A1 (en) | 2010-02-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
TWI426762B (zh) | 網路身分管理方法與系統 | |
US10742631B2 (en) | Using an IP multimedia subsystem for HTTP session authentication | |
TWI293844B (en) | A system and method for performing application layer service authentication and providing secure access to an application server | |
US7298847B2 (en) | Secure key distribution protocol in AAA for mobile IP | |
CN105743932B (zh) | 基于票据的配置参数验证 | |
KR101158956B1 (ko) | 통신 시스템에 증명서를 배분하는 방법 | |
JP5090354B2 (ja) | ネットワークリソース使用記録を検証する方法及びシステム | |
CN101156352B (zh) | 基于移动网络端到端通信的认证方法、***及认证中心 | |
JP4296150B2 (ja) | ローカルエリアネットワークへの有料アクセス | |
US20090240941A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
US20070220598A1 (en) | Proactive credential distribution | |
JP4170912B2 (ja) | ネットワークプロバイダ及びビジネスパートナーに対する遠隔通信加入者の認証及び許可のための端末における公開鍵ペアの利用 | |
US20090063851A1 (en) | Establishing communications | |
CN105007579A (zh) | 一种无线局域网接入认证方法及终端 | |
WO2004107650A1 (fr) | Systeme et procede d'authentification de reseau, d'autorisation et de comptabilite | |
CN101371550A (zh) | 自动安全地向移动通信终端的用户供给在线服务的服务访问凭证的方法和*** | |
CN101064605B (zh) | 一种多主机网络的aaa***及认证方法 | |
US20040010713A1 (en) | EAP telecommunication protocol extension | |
WO2008002081A1 (en) | Method and apparatus for authenticating device in multi domain home network environment | |
JP4987820B2 (ja) | 認証システム、接続制御装置、認証装置および転送装置 | |
US8516555B2 (en) | Method and system for authenticating pay-per-use service using EAP | |
JP2020529754A (ja) | サービス検証メッセージを送信するように適合されるue | |
CN101656963B (zh) | 网络身份管理方法与*** | |
WO2011063658A1 (zh) | 统一安全认证的方法和*** | |
CN101094064A (zh) | 一种ip终端安全接入网络的方法 |