TWI426762B

TWI426762B - 網路身分管理方法與系統

Info

Publication number: TWI426762B
Application number: TW097129549A
Authority: TW
Inventors: Min Chih Kuo; Ya Wen Lee
Original assignee: Ind Tech Res Inst
Priority date: 2008-08-04
Filing date: 2008-08-04
Publication date: 2014-02-11
Also published as: US8694772B2; TW201008211A; US20100031030A1

Description

網路身分管理方法與系統

本發明是有關於一種網路身分管理方法與系統，且特別是有關於一種不可追蹤的網路身分管理方法與系統。

目前有許多無線技術，例如全球微波互聯網路(Worldwide Interoperability for Microwave Access,WiMAX)和無線區域網路(Wireless Local Area Network,WLAN)都使用延伸認證協定(Extensible Authentication Protocol,EAP)架構。圖1為習知的包含三個角色的EAP認證模型示意圖，其中行動裝置101相當於請求裝置角色(supplicant)，存取點(access point,AP)102相當於認證裝置角色(authenticator)，認證授權計費伺服器(authentication,authorization and aecounting server，簡稱為AAA伺服器)103相當於認證伺服器角色(authentication server)。當使用者想用行動裝置101連接網路，必須提供身分代碼(identification,ID)給存取點102，然後存取點102將身分代碼傳送至AAA伺服器103，以進行使用者的身分認證、授權、計費等事宜。

圖1的認證模型假設三個角色都位在同一個網路業者(network operator)或同一個網際網路服務供應者(Internet service provider,ISP)所經營的同一個網路，其實EAP可應用在跨網域網路(inter一domain network)，如圖2所示。圖2 有三個網路，分別是使用者最初建立帳號的原網路(home network)230、使用者想連接的受訪網路(visited network)210、以及位於上述兩個網路之間的代理網路(proxy networkk))220。以上三個網路各由不同的網路業者或ISP所經營。舉例來說，原網路是使用者家中的網路，而受訪網路是使用者辦公室的網路。

當使用者想連接受訪網路210，必須用行動裝置201提供身分代碼給受訪網路210的存取點211。受訪網路210沒有使用者的身分資料，原網路230才有，因此存取點211必須將身分代碼一路傳送至原網路230的AAA伺服器231以進行認證、授權、計費等事宜。受訪網路210的存取點211、AAA伺服器212、以及代理網路220的AAA伺服器221只是居中轉送封包，並不參與行動裝置201和AAA伺服器231之間的認證過程。

隨著隱私(privacy)越來越受重視，使用者普遍希望在不受信任的網路環境可以用暫時身分代碼(temporary ID)以避免上網位置及隱私(例如上了什麼網站)暴露。上述不受信任的網路環境，可以泛指原網路以外的所有受訪網路，尤其在公共無線區域網路環境，會有惡意的假存取點存在，讓隱私問題更加重要。

同一個網域中的隱私問題可以用延伸認證協定通道傳輸層安全標準(Extensible Authentication Protocol－Tunneled Transport Layer Security,EAP一TTLS)或保護延伸認證協定(Protected Extensible Authentication Protocol, PEAP)等協定解決，但是在圖2的跨網域環境，現有的EAP就不盡理想。為了隱私問題，行動裝置201可以用匿名的暫時身分代碼和延伸認證協定傳輸層安全標準(Extensible Authentication Protocol一Transport Layer Security,EAP一TLS)或EAP一TTLS，和原網路的AAA伺服器231建立安全通道(secure tunnel)，然後將經過加密(encrypted)的真實身分代碼傳送給AAA伺服器231作認證。但是這樣一來，居中的受訪網路AAA伺服器212無法解讀經過加密的使用者真實身分代碼，因此沒辦法作計費和授權。

因為EAP架構無法同時提供隱私、計費、及授權，因此網際網路工程任務小組(Internet Engineering Task Force,IETF)提出RFC 4372標準來解決這問題。在這標準中，引進了可付費使用者身分代號(Chargeable User Identity,CUI)，在EAP封包中新增一欄位來攜帶一個可供ISP收費用的暫時身分代號。然而CUI還是有一些問題，例如CUI只能暫時使用，若是長時間使用，還是可以用來識別使用者。只有發行使用者真實身分代號的原網路ISP知道CUI與真實身分代號如何對應，因此CUI必須以明文(plain text)形式傳遞，才能讓受訪網路的業者用CUI來向使用者的原網路ISP收費。這主要是由於EAP尚缺少有效管理CUI的機制。

本發明提供一種網路身分管理方法與系統，用以管理使用者的暫時身分代碼以及真實身分代碼，可同時達成匿名、計費、以及授權等功能。

本發明提出一種網路身分管理方法，包括下列步驟。首先，一行動裝置向一身分管理伺服器(ID management server,IMS)申請一第一短期憑證(certificate)。此第一短期憑證包括行動裝置的使用者的暫時身分代碼。然後行動裝置使用暫時身分代碼登入一認證裝置所屬的受訪網路，並且使用第一短期憑證和認證裝置建立安全通道。行動裝置藉由安全通道使用受訪網路，行動裝置的網路封包皆經由認證裝置轉發。

本發明另提出一種網路身分管理系統，包括行動裝置、認證裝置、以及身分管理伺服器。行動裝置向身分管理伺服器申請第一短期憑證。此第一短期憑證包括行動裝置的使用者的暫時身分代碼。行動裝置使用暫時身分代碼登入認證裝置所屬的受訪網路，並且使用第一短期憑證和認證裝置建立安全通道。行動裝置藉由安全通道使用受訪網路，行動裝置的網路封包皆經由認證裝置轉發。

本發明的網路身分管理方法與系統實現了一個暫時身分代碼與真實身分代碼的管理機制，可同時達成匿名、計費、以及授權等功能。此外，本發明可保’護暫時身分代碼不受冒用，可避免計費方面的風險，可以降低網路業者整合的難度，而且可對使用者作快速認證。

為讓本發明之上述特徵和優點能更明顯易懂，下文特舉較佳實施例，並配合所附圖式，作詳細說明如下。

圖3繪示依照本發明一實施例的網路身分管理系統，與其執行的網路身分管理方法流程。本實施例的網路身分管理系統包括行動裝置301、存取點(認證裝置)311、AAA伺服器(也可以稱為計費伺服器)312、321、身分代碼記錄伺服器(ID recorder,IDR)322、以及身分管理伺服器(identity management server,IMS)323。以上六個網路設備透過網路相連，其中存取點311和AAA伺服器312屬於受訪網路310，AAA伺服器321、身分代碼記錄伺服器322、以及身分管理伺服器323屬於使用者最初建立帳號的原網路320。原網路320和受訪網路310由不同的網路業者或ISP所經營。

行動裝置301是使用者用來連接網路的裝置，可以是行動電話、個人數位助理(personal digital assistant,PDA)、筆記型電腦，或其他可連接有線或無線網路的行動電子產品。存取點311的作用是認證使用者的身分，並且轉發行動裝置301的所有網路封包。在本實施例中，行動裝置301連接無線網路，所以用存取點311來認證使用者。在本發明其他實施例中，行動裝置301也可以連接有線網路，此時可將存取點311置換為具有相同認證功能的其他認證裝置，例如交換器(switch)或路由器(router)。

受訪網路310使用AAA伺服器312來計費，原網路320使用AAA伺服器321來確認使用者身分並且計費。身分代碼記錄伺服器322是用來記錄使用者的暫時身分代碼和真實身分代碼的對應關係。身分管理伺服器323是用來發行使用者的短期憑證。以下逐步說明圖3的網路身分管理方法流程。

首先，在步驟S301，使用者想連接受訪網路310之前，可以透過行動裝置301向原網路320的身分管理伺服器323申請短期憑證。這個短期憑證包括使用者的暫時身分代碼，這個暫時身分代碼可讓使用者匿名使用受訪網路310，而且此暫時身分代碼可用來付費。行動裝置301可提供使用者原有的長期憑證向身分管理伺服器323申請短期憑證，或提供使用者的真實身分代碼和密碼向身分管理伺服器323申請短期憑證。

長期憑證和短期憑證的差別在於有效時間。長期憑證的有效時間較長，例如一年或兩年；短期憑證的有效時間較短，例如半天或一天。短期憑證需要定期重新申請，或在每次使用受訪網路之前重新申請。長期憑證是傳統公開金鑰架構(public key infrastructure,PKI)認證方法使用的憑證，在這架構中，雙方除了互相認證外，還要去特定的伺服器查詢憑證廢止清單(certificate revocation list,CRL)，以確定對方的憑證還有效。短期憑證用完即丟，有效期短，所以相對安全，可達到不可追蹤的匿名效果。而且因為短期憑證的有效期很短，認證時不需要查詢憑證廢止清單，可以簡化管理和維護。

行動裝置301申請短期憑證之後，在步驟S302，身分管理伺服器323將使用者的暫時身分代碼以及真實身分代碼存入身分代碼記錄伺服器322，以備查詢。

接下來，在步驟S303，行動裝置301使用短期憑證內的暫時身分代碼，經由存取點311登入受訪網路310。存取點311藉由使用者申請的短期憑證認證行動裝置301。存取點311也自備一個短期憑證以供行動裝置301認證。存取點311自備的短期憑證可由受訪網路310的AAA伺服器312定期發放給存取點311(即認證裝置)，或是由存取點311定期向AAA伺服器312申請。然後行動裝置301和存取點311使用延伸認證協定傳輸層安全標準(以下簡稱EAP一TLS)建立一個加密的安全通道。步驟S303類似傳統的EAP一TLS認證過程，但有兩個主要區別。其一是認證程序從行動裝置和AAA伺服器之間移到行動裝置和存取點之間，也就是說本實施例的存取點311支援EAP一TLS的認證程序，如此可減少網路傳遞時間。其二是使用短期憑證，而不用傳統的長期憑證。短期憑證因為有效時間很短，沒有被破解盜用之虞，認證的雙方可以直接採信，不需要查詢憑證廢止清單，如此可以去除骨幹網路的傳輸時間，進而減少認證延遲。

建立安全通道後，在步驟S304，存取點311傳送費用訊息至行動裝置301，以告知使用受訪網路310的費用計算方式。步驟S304是讓使用者和受訪網路310協商使用費率。例如行動裝置301接收費用訊息後，可以顯示一個說明計費方式的對話盒，詢問使用者是否接受。行動裝置301也可以在上述對話盒同時顯示多種計費方式，供使用者選擇或拒絕。

在步驟S305，當使用者接受受訪網路310的使用費率之後，行動裝置301傳送一個回應的使用訊息至存取點311。這個使用訊息包括使用者的短期憑證以及數位簽章，表示使用者接受受訪網路310的費用計算方式。存取點311可利用使用者的短期憑證其中的公開金鑰來驗證使用者的數位簽章，驗證通過後就能確認使用者的身分。存取點311驗證過使用者的數位簽章之後，如步驟S307所示，使用者已經可藉由行動裝置301和存取點311之間的安全通道使用受訪網路310。步驟S306中，則是透過存取點311傳送使用訊息至AAA伺服器312，AAA伺服器312驗證過使用者的數位簽章後，則可開始根據使用訊息建立使用記錄，記錄使用者使用受訪網路310的時間與費用。

之後，受訪網路310的AAA伺服器312可以和原網路320的AAA伺服器321進行上述費用的清算(settlement)，如步驟S308至S313所示。步驟S308至S313的清算可以是線上清算(online settlement)或離線清算(off－line settlement)。線上清算是在行動裝置301使用受訪網路310時同時進行，而離線清算是在行動裝置301登出受訪網路310之後進行。離線清算可以定期進行，例如一天一次或一月一次。

如步驟S308，AAA伺服器312將上述使用訊息傳送至AAA伺服器321。行動裝置301在使用者同意受訪網路310的使用費率後，會產生使用者的數位簽章送出，因此使用者無法否認使用過受訪網路310。如此受訪網路310不需要和原網路320之間有直接的漫遊協定，也可以向原網路計費。

接下來，在步驟S309，AAA伺服器321接收使用訊息，其中的短期憑證包括使用者的公開金鑰，AAA伺服器321使用這個公開金鑰驗證使用者的數位簽章。如果數位簽章沒通過驗證，AAA伺服器321在步驟SS3310－1回覆失敗訊息至AAA伺服器312。

如果數位簽章通過驗證，AAA伺服器321在步驟S311根據使用者的暫時身分代碼向身分代碼記錄伺服器322查詢使用者的真實身分代碼。如果查詢到真實身分代碼，就確認了使用者的身分。接下來，AAA伺服器321在步驟S312使用真實身分代碼建立使用記錄，然後在步驟SS3310－2回覆成功訊息至AAA伺服器312。

在步驟S313，受訪網路310的AAA伺服器312收到成功訊息之後，可以向原網路320的AAA伺服器321收取受訪網路310的使用費用。存取點311可根據行動裝置301送出的使用訊息記錄使用者使用受訪網路310的時間，然後AAA伺服器312可自存取點311取得使用者的暫時身分代碼以及使用受訪網路310的時間與費用，藉以向AAA伺服器321要求收費。AAA伺服器321已經在步驟S312建立對應的使用記錄，而且可以向身分代碼記錄伺服器322查詢暫時身分代碼和真實身分代碼的對應關係，用以檢查AAA伺服器312提供的計費方式是否正確。由於受訪網路業者要有使用者的暫時身分代碼與數位簽章才能用來計費，避免了冒用身分代碼和浮報費用等風險。

綜上所述，本發明的網路身分管理方法與系統實現了一個暫時身分代碼與真實身分代碼的管理機制，可同時達成匿名、計費、以及授權等功能。

本發明使用短期憑證及相對應的公開/私密金鑰對(public/private key pair)來保護一個可付費的暫時身分代碼，可避免此暫時身分代碼被冒用的風險。

在本發明中，使用者對受訪網路傳來的使用費說明訊息產生數位簽章。此程序加入現有的EAP一TLS架構認證方法，可以達成不可否認的付費機制，可用於多個網路業者的跨網域網路。同時這些業者不需有一對一的商業協議(business agreement)，可以降低網路業者整合的難度。

本發明提出的網路身分管理方法和系統不需要查詢電子憑證廢止清單，這使得認證程序只發生在使用者的行動裝置和認證裝置(例如無線區域網路的存取點)之間，因此不會增加認證時間，有利於網際網路電話(Voice over Internet Protocol,VoIP)或多媒體串流(multimedia streaming)的即時服務。

雖然本發明已以較佳實施例揭露如上，然其並非用以限定本發明，任何所屬技術領域中具有通常知識者，在不脫離本發明之精神和範圍內，當可作些許之更動與潤飾，因此本發明之保護範圍當視後附之申請專利範圍所界定者為準。

101‧‧‧行動裝置

102‧‧‧存取點

103‧‧‧AAA伺服器

201‧‧‧行動裝置

210‧‧‧受訪網路

211‧‧‧存取點

212‧‧‧AAA伺服器

220‧‧‧代理網路

221‧‧‧AAA伺服器

230‧‧‧原網路

231‧‧‧AAA伺服器

301‧‧‧行動裝置

310‧‧‧受訪網路

311‧‧‧存取點

312‧‧‧AAA伺服器

320‧‧‧原網路

321‧‧‧AAA伺服器

322‧‧‧身分代碼記錄伺服器

323‧‧‧身分管理伺服器

S301-S313‧‧‧流程步驟

圖1是習知的包含三個角色的EAP認證模型示意圖。

圖2是習知的AAA跨網路應用示意圖。

圖3是依照本發明一實施例的網路身分管理方法流程圖。