公共設備におけるネットワークアクセス方法及びシステム
本発明は公共設備にネットワークにアクセスする方法及びシステムを提供し、この方法は、アクセスサーバー(ASN)が、ユーザが公共設備で送信する前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信すること、前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信すること、及び前記ASNが前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備が前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して前記ユーザのメッセージを送受信すること、を含む。本発明は公共設備でネットワークにアクセスするユーザを有効的に追跡・トレーサビリティすることができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は移動通信分野及びインターネット分野に関し、特に公共設備におけるネットワークアクセス方法及びシステムに関する。
【背景技術】
【0002】
現有のインターネットプロトコル(IP)ネットワークにおいて、人々が公共設備でネットワークにアクセスする時、直接に公共設備のIPアドレスを使用して他のユーザと通信し、ネットワーク監督機関は公共設備でネットワークにアクセスしたユーザを追跡・トレーサビリティすることができない。例えば、現有のネットワークにおいて、インターネットにアクセスする時に身分証明書を見せる必要があるが、多くのインターネットカフェは依然として証明書の真偽を識別できず、ひいては、合法証明書がなくても、インターネットカフェが提供するある公用証明書でインターネットにアクセスすることができる。これはネットワーク監督機関の追跡とトレーサビリティに大きな困難をもたらす。
【0003】
そして、現有のネットワークにおいて、従来のIPアドレスには身分と位置との曖昧性が存在するため、ユーザは公共設備で自体のサービスアカウント、例えば、メール、ネットワーク銀行などなどをサインインすることができるが、ユーザネットワーク層IPとアプリケーション層とのサービスバインドを実現できず、アカウントを失うと、ユーザに大きな損失をもたらす。従来のIP技術にユーザネットワーク層IPとアプリケーション層とのサービスバインドを実現すると、ユーザが公共設備でネットワークにアクセスする時に、ネットワーク層IPアドレスが異なるため、自体のアプリケーション層サービスにアクセスすることができない。ネットワーク監督機関監督・管理機関に対して、アカウントとユーザIPをバインドすることができないため、ユーザに対する監督・管理強度も弱められる。
【0004】
以上のように通りであり、目下の従来のIP技術は以下のような問題を存在する。
【0005】
1、従来のIPアドレスには身分と位置との曖昧性が存在するため、監督機関監督・管理機関は公共設備でネットワークにアクセスしたユーザを有効的に追跡・トレーサビリティすることができず、セキュリティリスクを存在するだけでなく、違法犯罪活動を打撃することに困難に及ぼす。
【0006】
2、なお、従来のIPアドレスの身分と位置との曖昧性のため、さらにユーザがネットワーク層IPによってアプリケーション層サービスとバインドすることができず、これによって、より有効的にアプリケーション層サービスの安全性を保障できない。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明が解決しようとする技術問題について、公共設備におけるネットワークアクセス方法及びシステムを提供し、身分識別子及び位置分離ネットワークにおいて公共設備でネットワークにアクセスするユーザを有効的にトレーサビリティ・追跡することができる。
【課題を解決するための手段】
【0008】
上記問題を解決するために、本発明は公共設備におけるネットワークアクセス方法を提供し、身分識別子及び位置分離ネットワークに応用し、この方法は、
アクセスサーバー(ASN)が、ユーザが公共設備で送信する前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信すること、
前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させて、検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信すること、及び
前記ASNが前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備が前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して前記ユーザのメッセージを送受信すること、を含む。
【0009】
好ましくは、前記身分情報は少なくとも前記ユーザの身分証明書番号又はパスポート番号を含む。
【0010】
好ましくは、前記ネットワークアクセス要求メッセージ中に前記IICが前記ユーザの身分情報を収集する時に設置した検証情報をさらに含み、前記検証情報はパスワード、検証コード又は前記ユーザの指紋情報を含む。
【0011】
好ましくは、前記IICは前記ACが行った検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻し、及び
前記ACは前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しない。
【0012】
好ましくは、前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するステップにおいて、
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻し、
前記ACが前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しない。
【0013】
好ましくは、前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザの身分識別子及び位置登録レジスター(ILR)に報告する。
【0014】
好ましくは、前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDとのマッピング表を確立し、且つ前記ユーザのAID属性を仮想AIDに設置し、及び
前記ASNは前記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、前記マッピング表を検索して前記公共設備のAIDを獲得し、且つ前記公共設備に対して流量統計又は課金を行う。
【0015】
好ましくは、前記ASNは管理された公共設備が前記AC以外のユーザ或いは設備をアクセスすることを禁止する。
【0016】
本発明は公共設備におけるネットワークアクセスシステムをさらに提供し、身分識別子及び位置分離ネットワークに応用し、このシステムはアクセスサーバー(ASN)、公共設備、認証センター(AC)及び身分情報センター(IIC)を含み、
前記ASNは、ユーザが公共設備で送信する、前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、前記ACに送信し、及び、前記ユーザのAIDを受信した後、前記公共設備にプッシュするように設置され、
前記ACは、前記ネットワークアクセス要求メッセージを受信した後、その中の前記ユーザの身分情報に基づいて前記IICに検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するように設置され、
前記公共設備は、前記ASNがプッシュする前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージを送受信するように設置される。
【0017】
好ましくは、前記IICは、前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻すように設置され、
前記ACは、前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しないように設置される。
【0018】
好ましくは、前記ネットワークアクセス要求メッセージ中に検証情報をさらに含み、
前記IICは、さらに、ユーザの身分情報を収集すると同時に、前記ユーザの検証情報を設置し、前記ACが行った前記ユーザの検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すように設置され、
前記ACは、さらに、前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないように設置される。
【0019】
好ましくは、前記システムは身分識別子及び位置登録レジスター(ILR)をさらに含み、
前記ASNは、さらに、受信された、前記ACが送信する前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは、前記ユーザのAIDと前記ASNのRIDとのマッピング関係を保存し、及び、ユーザのAIDに基づいて他のASNが行ったマッピング関係検索要求を受信した後、前記ユーザのAIDが対応するRIDを、検索要求を開始させる前記ASNに戻すように設置される。
【発明の効果】
【0020】
上記実施案は身分識別子及び位置分離ネットワークに基づいて、ユーザAIDのネットワーク全体の唯一性を利用してユーザが公共設備でネットワークにアクセスすることを実現するものである。目下の従来のIPネットワークに比べ、上記実施案を採用し、身分識別子及び位置識別子分離ネットワークの優越性を十分に利用し、ネットワーク全体のAIDの唯一に基づいて、公共設備でネットワークにアクセスしたユーザを有効的に追跡・トレーサビリティすることができる。
【図面の簡単な説明】
【0021】
【図1】本発明の実施例のSILSNのアーキテクチャ模式図である。
【図2】本発明の実施例のユーザが公共設備でネットワークにアクセスするフロー模式図である。
【図3】本発明の実施例のユーザが公共設備でインターネットにアクセスするメッセージが転送されるフロー模式図である。
【図4】本発明の実施例のASNが公共設備からのメッセージを処理するフロー模式図である。
【図5】本発明の実施例のASNが他のASNからのメッセージを処理するフロー模式図である。
【図6】本発明の実施例のユーザがオフラインするフロー模式図である。
【発明を実施するための形態】
【0022】
現有の従来のIPアドレスの身分と位置との曖昧性の問題を解決するために、本発明は図1に示すような身分識別子及び位置分離ネットワーク(Subscriber Identifier & Locator Separation Network、SILSNと略称する)システムアーキテクチャを提案し、図1において、このSILSNシステムはアクセスサーバー(Access Service Node、ASNと略称する)、ユーザ(User)、認証センター(Authentication Center、ACと略称する)11、身分情報センター(Identifier Information Center、IICと略称する)12及び身分識別子及び位置登録レジスター(Identification & Location Register、ILRと略称する)13等からなる。
【0023】
その中、ASNはユーザのアクセスを主に担当し、且つ課金、切替等の機能を引き受け、ILRは、ユーザの位置登録と身分位置識別、及び位置検索機能を引き受けるように設置され、ACはユーザのアクセスの認証を主に担当し、IICはユーザの身分情報の保存を主に担当する。
【0024】
上記SILSNアーキテクチャネットワーク中にアクセス身分識別子(Access Identifier、AIDと略称する)及びルーティング識別子(Routing Identifier、RIDと略称する)という2種類の識別子タイプを有する。その中、AIDはユーザの身分識別子であり、この識別子がこのユーザのみに割り振って使用され、且つネットワーク全体で唯一であり、且つこの身分識別子がネットワークの伝送中に唯一に変わらないことができ、且つユーザがネットワーク中に移動する場合、このAIDも変わらず、ネットワーク全体で唯一である。ユーザとユーザとの間が各自の添付されたASNのRIDを使用して通信メッセージのルーティングを行う。なお、身分識別子及び位置識別子は異なるSILSNアーキテクチャで異なる名称を有することができるが、実質的には同じである。
【0025】
上記SILSNネットワークは、このネットワーク内の各ユーザが厳格に認証されるだけ、アクセスすることができる、ユーザが、各種のサービス中に、送信されたパケット中にいずれも自体のAIDを同時に載せ、且つユーザが送信する各パケットはいずれも必ずASN検証を行わなければならず、ユーザが送信するパケットが載せるのは自体のアクセス身分識別子であり、他のユーザAIDを偽証してネットワークにアクセスせず、且つこのアクセス身分識別子がネットワーク中に伝送された時にずっと変わらず、ユーザが移動又は切り替える場合に、この識別子も変わらないという特徴を有する。
【0026】
図1の例示において、ユーザUser1及びUser2はそれぞれ唯一のアクセス身分識別子AID1及びAID2が存在し、User1及びUser2はそれぞれASN1及びASN2によってネットワークにアクセスする。その中、User2は正常にネットワークにアクセスし、即ち自身のユーザ設備(User Equipment、UEと略称する)によってネットワークにアクセスし、そのUEのAIDはUser2がサービスとバインドするためのAIDである。User1が公共設備でネットワークにアクセスし、公共設備のAIDはUser1が持っているAIDでなく、このため、ユーザのアプリケーションサービスとバインドすることができない。
【0027】
上記で提案されたSILSNネットワークに対して、この問題を解決するために、本発明は、ユーザが公共設備に身分情報を入力し、ネットワークにアクセスすることを要求し、ACはIICに対してこのユーザの身分情報を検索し、このユーザのネットワークアクセス要求を検証し、検証に成功すると、ユーザのAIDをユーザが所在する公共設備にプッシュし、その後、ユーザのAIDを仮想AIDとして公共設備にバインドするという基本的な実現思想を有する。
【0028】
このように、ユーザのAIDとアプリケーションサービスとのバインドを実現でき、公共設備がユーザのAIDを本機のAIDとし、設備におけるアプリケーションプログラムはネットワークと関連する事件を処理する時に、いずれもこのユーザのAIDを使用する。
【0029】
より具体的には、本発明は、以下のような案を採用してSILSNネットワークに基づく、公共設備におけるネットワークアクセス問題を解決する。
【0030】
ASNはユーザが公共設備で送信するネットワークアクセス要求メッセージを受信した後、ACに送信し、上記ネットワークアクセス要求メッセージ中にこのユーザの身分情報を含み、
ACがこのユーザの身分情報に基づいてIICに検索を開始させ、且つ検索結果に基づいてこのユーザの合法性を検証し、検証を通過すると、このユーザのAIDを上記ASNに送信し、
上記ASNが上記ユーザのAIDを上記公共設備にプッシュし、上記公共設備が上記ユーザのAIDを仮想AIDとし、上記仮想AIDを使用してこのユーザのメッセージを送受信する。
【0031】
その中、上記身分情報は少なくとも上記ユーザの身分証明書番号又はパスポート番号を含む。
【0032】
なお、上記ネットワークアクセス要求中にIICが上記ユーザの身分情報を収集する時に設置された検証情報をさらに含むことができ、上記検証情報はパスワード、検証コード又はユーザの指紋情報であってもよい。
【0033】
さらには、IICはACが行った検索要求を受信した後、上記ユーザの検証情報を検索結果としてACに戻し、
ACが上記検索結果に基づいて上記ユーザの合法性を検証し、ネットワークアクセス要求中の検証情報が上記検索結果と一致すると、上記ユーザの検証を通過し、一致しないと、上記ユーザの検証を通過しない。
【0034】
なお、上記IICは上記ACが行った検索要求を受信した後、上記ユーザの身分証明書の有効期間を検索結果として上記ACに戻してもよく、
上記ACが上記身分証明書の有効期間に基づいて上記ユーザの合法性を検証し、有効期間内であると、上記ユーザの検証を通過し、でないと、上記ユーザの検証を通過しない。
【0035】
さらには、ユーザの合法性検証を通過すると、ASNが上記ユーザのAIDと上記公共設備のAIDとのマッピング表を確立し、同時に、上記ユーザのAID属性を仮想AIDに設置し、上記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、上記マッピング表を検索して上記公共設備のAIDを獲得し、且つ上記公共設備に対して流量統計を行う。
【0036】
さらには、ASNは公共設備がAC以外のユーザをアクセスすることを禁止する。
【0037】
以下、図面及び具体的な実施例を結び付けて本発明技術案の実施をさらに詳細に説明する。なお、本発明内容を以下の実施例によって解釈することができるが、以下の実施例に限られない。
【0038】
図2にユーザが身分証明書を使用して公共設備でネットワークにアクセスするフローを示す。このフローは具体的に以下のようなステップを含むことができる。
【0039】
S200 、ユーザが公共設備で身分情報を入力し、その後、ネットワークアクセス要求メッセージを送信し、このメッセージ中のソースAIDが公共設備のAIDであり、送信先がACである。
【0040】
上記の身分情報が身分証明書番号及びパスワード等であってもよく、例えば、ユーザが自体の第2世代身分証明書を使用して公共設備で身分情報を読み取り、且つパスワードを入力し、ネットワークにアクセスすることを申請する。
【0041】
S210、ASNが公共設備からのネットワークアクセス要求メッセージを受信し、この要求メッセージをACに転送して処理する。
【0042】
S220、ACが公共設備からのユーザネットワークアクセス要求メッセージを受信し、この要求情報中の身分情報(例えば、ユーザの身分証明書番号及びパスワード)を抽出し、且つ身分証明書番号に基づいてIICへユーザ身分情報の検索要求を送信する。
【0043】
S230、IICはACが提供する身分証明書番号に基づいて、このユーザの詳細な情報を検索し、ユーザの身分証明書の有効期間、AID、パスワード及び姓名性別等等を含み、その後、ACへ検索応答メッセージを送信し、この検索応答メッセージ中にこのユーザの身分証明書の有効期間、AID、パスワード及び姓名性別等の情報を含む。
【0044】
S240、ACがIICからのユーザ身分情報検索応答メッセージを受信し、この応答メッセージ中のパスワード等の情報及び身分証明書の有効期間に基づいてユーザが合法的にネットワークにアクセスするかどうかを検証し、ユーザの身分情報が真実であり、且つ身分証明書が有効期間内であると、ユーザのネットワークアクセス要求を受け取り、ユーザの身分証明書の有効期間が満期になる或いはパスワード(又は姓名性別)等の情報が正確ではないと、ACはユーザがネットワークにアクセスすることを断る。
【0045】
S250、ACが公共設備へ認証応答情報を送信する。
【0046】
S260、ASNがACからのユーザのネットワークアクセス認証応答情報を受信した後、認証を通過すると、ASNがユーザのAIDを添付し、ASN自身のRIDと<AID, RID>マッピング関係を確立し、同時にユーザ及び公共設備に対して形式が<AID, AID>であるAIDマッピング表を確立し、選択すれば、ASNがユーザのAID属性をユーザ仮想AIDに設置し、認証を通過しないと、ASNが直接にACからのネットワークアクセス認証応答メッセージを転送する。
【0047】
S270、公共設備が身分情報認証要求応答メッセージを受信し、認証を通過すると、公共設備がユーザのAIDを、自身のシステム中に1つの仮想AIDとし、ユーザが公共設備で発生するネットワーク動作はいずれもこの仮想AIDをソースAIDとする。
【0048】
例えば、ユーザはファイル転送プロトコル(FTP)サーバーをアクセスする時に、送信したアクセス要求メッセージ中にソースAIDが仮想AIDである。
【0049】
S280、ASNがILRへこのユーザの<AID, RID>マッピング関係を報告する。
【0050】
その中、ASNがユーザの<AID,RID>マッピング関係を確立し、且つILRに報告する目的は、UserのAIDがこのASNに添付され、他のユーザ及びASNがこのユーザのAIDに基づいてILRに対して検索して対応するRID情報を獲得することに便利であり、さらに検索されたRID情報に基づいてメッセージをこのASNに送信することである。
【0051】
S290、ILRがこのUserの<AID, RID>マッピング関係を記録又は更新した後、ASNへマッピング関係応答情報を戻して報告する。
【0052】
その後、ILRは他のユーザ又はASNがこのユーザへのマッピング関係検索要求を受信した後、このユーザのAIDが対応するRIDを検索方に戻す。
【0053】
なお、以上のステップにおいて、S280及びS290はS270の前に実現されてもよい。実現の前後関係はASNの内部実現方法に依存する。
【0054】
図3にユーザが公共設備でインターネットするメッセージ転送フローを示す。ユーザが公共設備でインターネットにアクセスする行為とユーザが自身の設備でインターネットにアクセスする行為とが基本的に一致し、ネットワーク管理者及び監督機関監督・管理機関がユーザを追跡・トレーサビリティする需要に合わせ、同時にユーザネットワーク層AIDとアプリケーション層サービスとの間のバインド問題も解決する。それは、公共設備への管理を実現するように、ASNが公共設備の流量を総計する必要があるという相違点を有する。このフローは具体的に以下のようなステップを含むことができる。
【0055】
S300、User1が公共設備でUser2へ通信要求メッセージを送信し、メッセージ中のソースAIDがUser1のAIDであり、送信先AIDがUser2のAIDである。
【0056】
その中、公共設備が自体のAIDを有する以外、そのシステムは公共設備でネットワークに成功にアクセスしたユーザがそのAIDを公共設備に添付することをさらに許可する。つまり、ユーザのAIDが公共設備に添付される時に、公共設備がメッセージを送受信するためのAIDはいずれもこのユーザ仮想AIDであり、公共設備の自体のAIDでない。ユーザがネットワークをログアウトする時に、仮想AIDも削除され、その後、公共設備がメッセージを送受信するためのAIDは自体のAIDである。
【0057】
S310、ASN1が公共設備からのメッセージを受信し、ASNが設置する、UserのAIDを添付する属性に基づいてソースAIDが仮想AIDであることを検査した後、上記AIDによってUser1と公共設備とのAIDマッピング表を検索し、検索で公共設備のAIDを獲得し、且つ公共設備に対して流量統計を行う。
【0058】
S320、 ASN1はUser1の通信要求メッセージ中の送信先AID、即ちUser2のAIDに基づいてILRに対して検索して対応するRID(ASN2のRID)を獲得し、且つASN1のRIDを送信元RIDとし、ASN2のRIDを送信先RIDとしてメッセージにカプセル化し、ASN2にルーティング転送する。
【0059】
S330、ASN2が上記メッセージを受信した後、カプセル化されたRIDを解除した後、User1の通信要求メッセージをUser2に転送する。
【0060】
S340、User2がUser1の通信要求を応答し、応答メッセージ中の送信元アドレスがUser2のAIDであり、送信先アドレスがUser1のAIDである。
【0061】
S350、ASN2が応答メッセージ中に送信元RID(ASN2のRID)和送信先RID(ASN1のRID)をカプセル化した後、ASN1に転送する。
【0062】
本例示はUser1がUser2に対して通信を開始させることを例として説明し、User2がUser1に対して通信を開始させると、ASN2がUser2の通信要求メッセージ中の送信先アドレス、即ちUser1のAIDに基づいてILRを検索し、対応するASN1のRIDが得られた後、メッセージ中にカプセル化され、ASN1に転送ルーティングし、その通信フローが本例示と類似し、ここで再び贅言しない。
【0063】
S360、ASN1がASN2からのメッセージを受信し、検査で送信先AIDが仮想AIDであることを獲得し、その後、上記AIDによってUser1と公共設備とのAIDマッピング表を検索し、検索で公共設備のAIDを獲得し、且つ公共設備に対して流量統計を行う。
【0064】
S370、ASN1がメッセージ中にカプセル化されるRIDを解除した後、User2の応答メッセージをUser1に転送する。
【0065】
ここまで、ユーザの公共設備におけるメッセージ転送フローが終了する。
【0066】
説明する必要のは、ASN1はUser1のAIDと公共設備のAIDとのマッピング表を利用し、検索で公共設備のAIDを獲得して流量統計を行うことはただASNの中の1つの機能である。ASN1がAIDマッピング表に基づいて持つ可能な機能は流量統計に限られず、User1がネットワークにアクセスする具体的な位置の記録、公共設備の課金等の機能をさらに含む。
【0067】
図4にASNが公共設備からのメッセージを処理するフローを示す。この例示において、ASNはソースAIDが公共設備のAIDであるかどうかを検査する必要がある。であると、公共設備が直接に非ACの目的地をアクセスすることを禁止する。このフローは具体的に以下のようなステップを含むことができる。
【0068】
S400、ASNが公共設備からのメッセージを受信する。
【0069】
S410、ASNがメッセージ中のソースAIDを抽出し、公共設備のAIDであるかどうかを判断し、であると、S420ステップにジャンプし、でないと、S430ステップにジャンプする。
【0070】
このステップにおいて、ASNはその上の全てのAIDのリストに基づいて上記ソースAIDを見つけ、さらにこのソースAIDの属性を調べることによって、このソースAIDが公共設備であるかどうかを判断することができる。AIDの属性は多種を有する可能性があり、例えば、上記の公共設備の属性、及び仮想AID、リダイレクト必要なAID等等である。
【0071】
なお、AIDは他の多種の方式によって上記ソースAIDが公共設備であるかどうかを判断してもよく、例えば、ASNはその上の全ての公共設備のAIDを記録し、且つ公共設備のAIDリストに独立に保存することができること、メッセージを受信する時に、記録された公共設備のAIDリストに基づいてこのソースAIDが公共設備であるかどうかを判断すること、等等。ここで再び1つずつ挙げられない。
【0072】
S420、ASNがこのメッセージの目的地がACであるかどうかを判断し、であると、S470ステップにジャンプし、メッセージを正常に転送し、でないと、S460ステップにジャンプし、メッセージを廃棄する。
【0073】
S430、このAIDが公共設備のAIDでないと、ASNはこのAID属性が仮想ユーザであるかどうか、即ちユーザが公共設備でネットワークにアクセスする仮想AIDであるかどうかを判断し、であると、S440ステップにジャンプし、でないと、S470ステップにジャンプし、正常に転送する。
【0074】
S440、ユーザが公共設備でネットワークにアクセスする仮想AIDに基づいて、公共設備AIDとの間の対応するAIDマッピング表が存在するかどうかを検索し、AIDマッピング表が存在すると、S450ステップにジャンプし、存在しないと、S460ステップにジャンプし、メッセージを廃棄する。
【0075】
S450、ASNが検索されたAIDマッピング表に基づいて、公共設備に対して流量統計を行い、ステップ470に移行する。
【0076】
S460、メッセージを廃棄し、終了する。
【0077】
S470、メッセージを正常に転送する。説明する必要のは、S470はステップS420、S430或いはS450のジャンプによって得られる。
ここまで、ASNが公共設備からのメッセージを処理するフローは終了する。
【0078】
図5にASNが他のASNからのメッセージを処理するフローを示す。この例示において、ASNは送信先AIDが公共設備でネットワークにアクセスするユーザ仮想AIDであるかどうかを判断する必要がある。このフローは具体的に以下のようなステップを含むことができる。
【0079】
S500、ASNがメッセージのソースAID及び送信先AIDを抽出する。
【0080】
S510、ASNは送信先AIDが公共設備AIDであるかどうかを判断し、であると、S520ステップにジャンプし、でないと、S530ステップにジャンプする。
【0081】
S520、 ASNはこのメッセージがACからのものであるかどうかを判断し、であると、S570ステップにジャンプし、メッセージを正常に転送し、でないと、S560ステップにジャンプし、メッセージを廃棄する。
【0082】
S530、ASNはこのメッセージの送信先AIDに公共設備でネットワークにアクセスするユーザ仮想AIDであるかどうかを判断し、であると、S540ステップにジャンプし、でないと、S570ステップにジャンプし、メッセージを正常に転送する。
【0083】
S540、メッセージの送信先AIDは公共設備でネットワークにアクセスするユーザ仮想AIDであり、ASNがこのAIDに基づいて公共設備AIDとの間のAIDマッピング表を有するかどうかを検索し、有すると、S550ステップにジャンプし、有しないと、S560ステップにジャンプし、メッセージを廃棄する。
【0084】
S550、ASNが公共設備のAIDに基づいて公共設備の流量を総計し、ステップ570に移行する。
【0085】
S560、ASNがメッセージを廃棄し、終了する。
【0086】
S570、ASNがメッセージを正常に転送し、なお、上記ステップがステップS520、S530及びS550のジャンプによって得られる。
【0087】
ここまで、ASNが他のASNからのメッセージを処理するフローは終了する。
【0088】
図6にユーザがオフラインするフローを示す。ユーザがすでに公共設備でネットワークにアクセスし、オンライン状態になった後、ユーザがオフラインする必要がある時に、ACへオフライン要求を送信し、AC、ILR及びASNがいずれもこのユーザAIDと関連する記録を削除する必要がある。このフローは具体的に以下のようなステップを含む。
【0089】
S600、公共設備でネットワークにアクセスしたユーザUser1がASNによってACへオフライン要求を送信する。
【0090】
S610、ASNがUser1の上記オフライン要求を受信し、ACに転送して処理する。
【0091】
S620、ACがUser1のオフライン要求を受信し、User1のネットワーク中のオンライン状態を削除する。
【0092】
S630、ACはASNへオフライン要求応答を送信し、ASNがUser1と関連する情報を削除することを通知する。
【0093】
S640、ASNがACからのオフライン要求応答メッセージを受信し、User1のAIDの添付を解除し、同時にUser1のAIDと公共設備のAIDとの間のAIDマッピング表を削除する。
【0094】
S650、ASNがILRへUser1の<AID,RID>マッピング関係の更新を報告し、User1の<AID,RID>マッピング関係を削除することを要求する。
【0095】
S660、ILRがUser1の<AID, RID>マッピング関係を削除し、ASNへマッピング関係削除応答を送信する。
【0096】
S670、ASNが公共設備へオフラインでの成功の応答メッセージを送信し、公共設備に添付されたUser1の仮想AIDを削除する。
【0097】
ここまで、ユーザがオフラインするフローは終了する。
【0098】
なお、本発明は公共設備におけるネットワークアクセスシステム(図示せず)をさらに提供し、身分識別子及び位置分離ネットワークに応用し、このシステムは、アクセスサーバー(ASN)、公共設備、認証センター(AC)及び身分情報センター(IIC)を含み、
上記ASNは、ユーザが公共設備で送信する、上記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、上記ACに送信し、及び、上記ユーザのAIDを受信した後、上記公共設備にプッシュするように設置され、
上記ACは、上記ネットワークアクセス要求を受信した後、その中の上記ユーザの身分情報に基づいて上記IICに検索を開始させ、且つ検索結果に基づいて上記ユーザの合法性を検証し、検証を通過すると、上記ユーザのアクセス身分識別子(AID)を上記ASNに送信するように設置され、
上記公共設備は、上記ASNがプッシュする上記ユーザのAIDを受信した後、上記ユーザのAIDを仮想AIDとし、且つ上記仮想AIDを使用して上記ユーザのメッセージを上記ASNに送受信するように設置される。
【0099】
さらには、上記IICは、上記ACが行った検索要求を受信した後、上記ユーザの身分証明書の有効期間を検索結果として上記ACに戻すように設置され、
上記ACは、さらに、上記身分証明書の有効期間に基づいて上記ユーザの合法性を検証し、有効期間内であると、上記ユーザの検証を通過し、でないと、上記ユーザの検証を通過しないように設置される。
【0100】
さらには、上記ネットワークアクセス要求中に検証情報をさらに含み、
上記IICは、さらに、ユーザの身分情報を収集すると同時に上記ユーザの検証情報を設置し、上記ACが行った上記ユーザの検索要求を受信した後、上記ユーザの検証情報を検索結果として上記ACに戻すように設置され、
上記ACは、さらに、上記検索結果に基づいて上記ユーザの合法性を検証し、上記ネットワークアクセス要求中の検証情報が上記検索結果と一致すると、上記ユーザの検証を通過し、一致しないと、上記ユーザの検証を通過しないように設置される。
【0101】
さらには、上記システムは身分識別子及び位置登録レジスター(ILR)をさらに含み、
上記ASNは、さらに、受信した上記ACが送信する上記ユーザのAIDを添付し、上記ユーザのAIDと上記ASNのRIDとのマッピング関係を確立し、且つ上記ユーザのILRに報告するように設置され、
上記ILRは、上記ユーザのAIDと上記ASNのRIDとのマッピング関係を保存し、及び、他のASNがユーザのAIDに基づいて行ったマッピング関係検索要求を受信した後、検索要求を開始させる上記ASNに上記ユーザのAIDが対応するRIDを戻すように設置される。
【0102】
本分野の普通の技術スタッフは、上記方法における全部又は一部のステップはプログラムによって関連ハードウェアを指令して完了することができ、上記プログラムはコンピュータ読み取り可能な記憶メディア、例えば、読み取り専用メモリ、磁気ディスク又は光学ディスク等に記憶されることができることを理解することができる。選択すれば、上記実施例の全部又は一部のステップは1つ又は複数の集積回路を使用して実現することもできる。それに応じて、上記実施例の各モジュール/ユニットはハードウェアの形式を採用して実現してもよく、ソフトウェア機能モジュールの形式を採用して実現してもよい。本発明は、いずれかの特定形式のハードウェアとソフトウェアとの結合に限定されない。
【0103】
以上の内容は本発明の好適な実施例に過ぎなく、本発明を限定するためのものではなく、当業者にとっては、本発明が各種の変更及び変化を有し得る。本発明の精神及び原則の内において、行った如何なる修正、同等交替、改善等は、いずれも本発明の保護範囲の内に含まれるべきである。
【産業上の利用可能性】
【0104】
本発明が提供する公共設備におけるネットワークアクセス方法及びシステムは、ユーザAIDのネットワーク全体の唯一性を利用してユーザが公共設備でネットワークにアクセスすることを実現し、且つ上記実施案を採用し、身分識別子及び位置識別子分離ネットワークの優越性を十分に利用し、ネットワーク全体のAIDの唯一に基づいて、公共設備でネットワークにアクセスするユーザを有効的に追跡・トレーサビリティすることができる。
【技術分野】
【0001】
本発明は移動通信分野及びインターネット分野に関し、特に公共設備におけるネットワークアクセス方法及びシステムに関する。
【背景技術】
【0002】
現有のインターネットプロトコル(IP)ネットワークにおいて、人々が公共設備でネットワークにアクセスする時、直接に公共設備のIPアドレスを使用して他のユーザと通信し、ネットワーク監督機関は公共設備でネットワークにアクセスしたユーザを追跡・トレーサビリティすることができない。例えば、現有のネットワークにおいて、インターネットにアクセスする時に身分証明書を見せる必要があるが、多くのインターネットカフェは依然として証明書の真偽を識別できず、ひいては、合法証明書がなくても、インターネットカフェが提供するある公用証明書でインターネットにアクセスすることができる。これはネットワーク監督機関の追跡とトレーサビリティに大きな困難をもたらす。
【0003】
そして、現有のネットワークにおいて、従来のIPアドレスには身分と位置との曖昧性が存在するため、ユーザは公共設備で自体のサービスアカウント、例えば、メール、ネットワーク銀行などなどをサインインすることができるが、ユーザネットワーク層IPとアプリケーション層とのサービスバインドを実現できず、アカウントを失うと、ユーザに大きな損失をもたらす。従来のIP技術にユーザネットワーク層IPとアプリケーション層とのサービスバインドを実現すると、ユーザが公共設備でネットワークにアクセスする時に、ネットワーク層IPアドレスが異なるため、自体のアプリケーション層サービスにアクセスすることができない。ネットワーク監督機関監督・管理機関に対して、アカウントとユーザIPをバインドすることができないため、ユーザに対する監督・管理強度も弱められる。
【0004】
以上のように通りであり、目下の従来のIP技術は以下のような問題を存在する。
【0005】
1、従来のIPアドレスには身分と位置との曖昧性が存在するため、監督機関監督・管理機関は公共設備でネットワークにアクセスしたユーザを有効的に追跡・トレーサビリティすることができず、セキュリティリスクを存在するだけでなく、違法犯罪活動を打撃することに困難に及ぼす。
【0006】
2、なお、従来のIPアドレスの身分と位置との曖昧性のため、さらにユーザがネットワーク層IPによってアプリケーション層サービスとバインドすることができず、これによって、より有効的にアプリケーション層サービスの安全性を保障できない。
【発明の概要】
【発明が解決しようとする課題】
【0007】
本発明が解決しようとする技術問題について、公共設備におけるネットワークアクセス方法及びシステムを提供し、身分識別子及び位置分離ネットワークにおいて公共設備でネットワークにアクセスするユーザを有効的にトレーサビリティ・追跡することができる。
【課題を解決するための手段】
【0008】
上記問題を解決するために、本発明は公共設備におけるネットワークアクセス方法を提供し、身分識別子及び位置分離ネットワークに応用し、この方法は、
アクセスサーバー(ASN)が、ユーザが公共設備で送信する前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信すること、
前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させて、検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信すること、及び
前記ASNが前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備が前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して前記ユーザのメッセージを送受信すること、を含む。
【0009】
好ましくは、前記身分情報は少なくとも前記ユーザの身分証明書番号又はパスポート番号を含む。
【0010】
好ましくは、前記ネットワークアクセス要求メッセージ中に前記IICが前記ユーザの身分情報を収集する時に設置した検証情報をさらに含み、前記検証情報はパスワード、検証コード又は前記ユーザの指紋情報を含む。
【0011】
好ましくは、前記IICは前記ACが行った検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻し、及び
前記ACは前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しない。
【0012】
好ましくは、前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するステップにおいて、
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻し、
前記ACが前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しない。
【0013】
好ましくは、前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザの身分識別子及び位置登録レジスター(ILR)に報告する。
【0014】
好ましくは、前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDとのマッピング表を確立し、且つ前記ユーザのAID属性を仮想AIDに設置し、及び
前記ASNは前記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、前記マッピング表を検索して前記公共設備のAIDを獲得し、且つ前記公共設備に対して流量統計又は課金を行う。
【0015】
好ましくは、前記ASNは管理された公共設備が前記AC以外のユーザ或いは設備をアクセスすることを禁止する。
【0016】
本発明は公共設備におけるネットワークアクセスシステムをさらに提供し、身分識別子及び位置分離ネットワークに応用し、このシステムはアクセスサーバー(ASN)、公共設備、認証センター(AC)及び身分情報センター(IIC)を含み、
前記ASNは、ユーザが公共設備で送信する、前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、前記ACに送信し、及び、前記ユーザのAIDを受信した後、前記公共設備にプッシュするように設置され、
前記ACは、前記ネットワークアクセス要求メッセージを受信した後、その中の前記ユーザの身分情報に基づいて前記IICに検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するように設置され、
前記公共設備は、前記ASNがプッシュする前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージを送受信するように設置される。
【0017】
好ましくは、前記IICは、前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻すように設置され、
前記ACは、前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しないように設置される。
【0018】
好ましくは、前記ネットワークアクセス要求メッセージ中に検証情報をさらに含み、
前記IICは、さらに、ユーザの身分情報を収集すると同時に、前記ユーザの検証情報を設置し、前記ACが行った前記ユーザの検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すように設置され、
前記ACは、さらに、前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないように設置される。
【0019】
好ましくは、前記システムは身分識別子及び位置登録レジスター(ILR)をさらに含み、
前記ASNは、さらに、受信された、前記ACが送信する前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは、前記ユーザのAIDと前記ASNのRIDとのマッピング関係を保存し、及び、ユーザのAIDに基づいて他のASNが行ったマッピング関係検索要求を受信した後、前記ユーザのAIDが対応するRIDを、検索要求を開始させる前記ASNに戻すように設置される。
【発明の効果】
【0020】
上記実施案は身分識別子及び位置分離ネットワークに基づいて、ユーザAIDのネットワーク全体の唯一性を利用してユーザが公共設備でネットワークにアクセスすることを実現するものである。目下の従来のIPネットワークに比べ、上記実施案を採用し、身分識別子及び位置識別子分離ネットワークの優越性を十分に利用し、ネットワーク全体のAIDの唯一に基づいて、公共設備でネットワークにアクセスしたユーザを有効的に追跡・トレーサビリティすることができる。
【図面の簡単な説明】
【0021】
【図1】本発明の実施例のSILSNのアーキテクチャ模式図である。
【図2】本発明の実施例のユーザが公共設備でネットワークにアクセスするフロー模式図である。
【図3】本発明の実施例のユーザが公共設備でインターネットにアクセスするメッセージが転送されるフロー模式図である。
【図4】本発明の実施例のASNが公共設備からのメッセージを処理するフロー模式図である。
【図5】本発明の実施例のASNが他のASNからのメッセージを処理するフロー模式図である。
【図6】本発明の実施例のユーザがオフラインするフロー模式図である。
【発明を実施するための形態】
【0022】
現有の従来のIPアドレスの身分と位置との曖昧性の問題を解決するために、本発明は図1に示すような身分識別子及び位置分離ネットワーク(Subscriber Identifier & Locator Separation Network、SILSNと略称する)システムアーキテクチャを提案し、図1において、このSILSNシステムはアクセスサーバー(Access Service Node、ASNと略称する)、ユーザ(User)、認証センター(Authentication Center、ACと略称する)11、身分情報センター(Identifier Information Center、IICと略称する)12及び身分識別子及び位置登録レジスター(Identification & Location Register、ILRと略称する)13等からなる。
【0023】
その中、ASNはユーザのアクセスを主に担当し、且つ課金、切替等の機能を引き受け、ILRは、ユーザの位置登録と身分位置識別、及び位置検索機能を引き受けるように設置され、ACはユーザのアクセスの認証を主に担当し、IICはユーザの身分情報の保存を主に担当する。
【0024】
上記SILSNアーキテクチャネットワーク中にアクセス身分識別子(Access Identifier、AIDと略称する)及びルーティング識別子(Routing Identifier、RIDと略称する)という2種類の識別子タイプを有する。その中、AIDはユーザの身分識別子であり、この識別子がこのユーザのみに割り振って使用され、且つネットワーク全体で唯一であり、且つこの身分識別子がネットワークの伝送中に唯一に変わらないことができ、且つユーザがネットワーク中に移動する場合、このAIDも変わらず、ネットワーク全体で唯一である。ユーザとユーザとの間が各自の添付されたASNのRIDを使用して通信メッセージのルーティングを行う。なお、身分識別子及び位置識別子は異なるSILSNアーキテクチャで異なる名称を有することができるが、実質的には同じである。
【0025】
上記SILSNネットワークは、このネットワーク内の各ユーザが厳格に認証されるだけ、アクセスすることができる、ユーザが、各種のサービス中に、送信されたパケット中にいずれも自体のAIDを同時に載せ、且つユーザが送信する各パケットはいずれも必ずASN検証を行わなければならず、ユーザが送信するパケットが載せるのは自体のアクセス身分識別子であり、他のユーザAIDを偽証してネットワークにアクセスせず、且つこのアクセス身分識別子がネットワーク中に伝送された時にずっと変わらず、ユーザが移動又は切り替える場合に、この識別子も変わらないという特徴を有する。
【0026】
図1の例示において、ユーザUser1及びUser2はそれぞれ唯一のアクセス身分識別子AID1及びAID2が存在し、User1及びUser2はそれぞれASN1及びASN2によってネットワークにアクセスする。その中、User2は正常にネットワークにアクセスし、即ち自身のユーザ設備(User Equipment、UEと略称する)によってネットワークにアクセスし、そのUEのAIDはUser2がサービスとバインドするためのAIDである。User1が公共設備でネットワークにアクセスし、公共設備のAIDはUser1が持っているAIDでなく、このため、ユーザのアプリケーションサービスとバインドすることができない。
【0027】
上記で提案されたSILSNネットワークに対して、この問題を解決するために、本発明は、ユーザが公共設備に身分情報を入力し、ネットワークにアクセスすることを要求し、ACはIICに対してこのユーザの身分情報を検索し、このユーザのネットワークアクセス要求を検証し、検証に成功すると、ユーザのAIDをユーザが所在する公共設備にプッシュし、その後、ユーザのAIDを仮想AIDとして公共設備にバインドするという基本的な実現思想を有する。
【0028】
このように、ユーザのAIDとアプリケーションサービスとのバインドを実現でき、公共設備がユーザのAIDを本機のAIDとし、設備におけるアプリケーションプログラムはネットワークと関連する事件を処理する時に、いずれもこのユーザのAIDを使用する。
【0029】
より具体的には、本発明は、以下のような案を採用してSILSNネットワークに基づく、公共設備におけるネットワークアクセス問題を解決する。
【0030】
ASNはユーザが公共設備で送信するネットワークアクセス要求メッセージを受信した後、ACに送信し、上記ネットワークアクセス要求メッセージ中にこのユーザの身分情報を含み、
ACがこのユーザの身分情報に基づいてIICに検索を開始させ、且つ検索結果に基づいてこのユーザの合法性を検証し、検証を通過すると、このユーザのAIDを上記ASNに送信し、
上記ASNが上記ユーザのAIDを上記公共設備にプッシュし、上記公共設備が上記ユーザのAIDを仮想AIDとし、上記仮想AIDを使用してこのユーザのメッセージを送受信する。
【0031】
その中、上記身分情報は少なくとも上記ユーザの身分証明書番号又はパスポート番号を含む。
【0032】
なお、上記ネットワークアクセス要求中にIICが上記ユーザの身分情報を収集する時に設置された検証情報をさらに含むことができ、上記検証情報はパスワード、検証コード又はユーザの指紋情報であってもよい。
【0033】
さらには、IICはACが行った検索要求を受信した後、上記ユーザの検証情報を検索結果としてACに戻し、
ACが上記検索結果に基づいて上記ユーザの合法性を検証し、ネットワークアクセス要求中の検証情報が上記検索結果と一致すると、上記ユーザの検証を通過し、一致しないと、上記ユーザの検証を通過しない。
【0034】
なお、上記IICは上記ACが行った検索要求を受信した後、上記ユーザの身分証明書の有効期間を検索結果として上記ACに戻してもよく、
上記ACが上記身分証明書の有効期間に基づいて上記ユーザの合法性を検証し、有効期間内であると、上記ユーザの検証を通過し、でないと、上記ユーザの検証を通過しない。
【0035】
さらには、ユーザの合法性検証を通過すると、ASNが上記ユーザのAIDと上記公共設備のAIDとのマッピング表を確立し、同時に、上記ユーザのAID属性を仮想AIDに設置し、上記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、上記マッピング表を検索して上記公共設備のAIDを獲得し、且つ上記公共設備に対して流量統計を行う。
【0036】
さらには、ASNは公共設備がAC以外のユーザをアクセスすることを禁止する。
【0037】
以下、図面及び具体的な実施例を結び付けて本発明技術案の実施をさらに詳細に説明する。なお、本発明内容を以下の実施例によって解釈することができるが、以下の実施例に限られない。
【0038】
図2にユーザが身分証明書を使用して公共設備でネットワークにアクセスするフローを示す。このフローは具体的に以下のようなステップを含むことができる。
【0039】
S200 、ユーザが公共設備で身分情報を入力し、その後、ネットワークアクセス要求メッセージを送信し、このメッセージ中のソースAIDが公共設備のAIDであり、送信先がACである。
【0040】
上記の身分情報が身分証明書番号及びパスワード等であってもよく、例えば、ユーザが自体の第2世代身分証明書を使用して公共設備で身分情報を読み取り、且つパスワードを入力し、ネットワークにアクセスすることを申請する。
【0041】
S210、ASNが公共設備からのネットワークアクセス要求メッセージを受信し、この要求メッセージをACに転送して処理する。
【0042】
S220、ACが公共設備からのユーザネットワークアクセス要求メッセージを受信し、この要求情報中の身分情報(例えば、ユーザの身分証明書番号及びパスワード)を抽出し、且つ身分証明書番号に基づいてIICへユーザ身分情報の検索要求を送信する。
【0043】
S230、IICはACが提供する身分証明書番号に基づいて、このユーザの詳細な情報を検索し、ユーザの身分証明書の有効期間、AID、パスワード及び姓名性別等等を含み、その後、ACへ検索応答メッセージを送信し、この検索応答メッセージ中にこのユーザの身分証明書の有効期間、AID、パスワード及び姓名性別等の情報を含む。
【0044】
S240、ACがIICからのユーザ身分情報検索応答メッセージを受信し、この応答メッセージ中のパスワード等の情報及び身分証明書の有効期間に基づいてユーザが合法的にネットワークにアクセスするかどうかを検証し、ユーザの身分情報が真実であり、且つ身分証明書が有効期間内であると、ユーザのネットワークアクセス要求を受け取り、ユーザの身分証明書の有効期間が満期になる或いはパスワード(又は姓名性別)等の情報が正確ではないと、ACはユーザがネットワークにアクセスすることを断る。
【0045】
S250、ACが公共設備へ認証応答情報を送信する。
【0046】
S260、ASNがACからのユーザのネットワークアクセス認証応答情報を受信した後、認証を通過すると、ASNがユーザのAIDを添付し、ASN自身のRIDと<AID, RID>マッピング関係を確立し、同時にユーザ及び公共設備に対して形式が<AID, AID>であるAIDマッピング表を確立し、選択すれば、ASNがユーザのAID属性をユーザ仮想AIDに設置し、認証を通過しないと、ASNが直接にACからのネットワークアクセス認証応答メッセージを転送する。
【0047】
S270、公共設備が身分情報認証要求応答メッセージを受信し、認証を通過すると、公共設備がユーザのAIDを、自身のシステム中に1つの仮想AIDとし、ユーザが公共設備で発生するネットワーク動作はいずれもこの仮想AIDをソースAIDとする。
【0048】
例えば、ユーザはファイル転送プロトコル(FTP)サーバーをアクセスする時に、送信したアクセス要求メッセージ中にソースAIDが仮想AIDである。
【0049】
S280、ASNがILRへこのユーザの<AID, RID>マッピング関係を報告する。
【0050】
その中、ASNがユーザの<AID,RID>マッピング関係を確立し、且つILRに報告する目的は、UserのAIDがこのASNに添付され、他のユーザ及びASNがこのユーザのAIDに基づいてILRに対して検索して対応するRID情報を獲得することに便利であり、さらに検索されたRID情報に基づいてメッセージをこのASNに送信することである。
【0051】
S290、ILRがこのUserの<AID, RID>マッピング関係を記録又は更新した後、ASNへマッピング関係応答情報を戻して報告する。
【0052】
その後、ILRは他のユーザ又はASNがこのユーザへのマッピング関係検索要求を受信した後、このユーザのAIDが対応するRIDを検索方に戻す。
【0053】
なお、以上のステップにおいて、S280及びS290はS270の前に実現されてもよい。実現の前後関係はASNの内部実現方法に依存する。
【0054】
図3にユーザが公共設備でインターネットするメッセージ転送フローを示す。ユーザが公共設備でインターネットにアクセスする行為とユーザが自身の設備でインターネットにアクセスする行為とが基本的に一致し、ネットワーク管理者及び監督機関監督・管理機関がユーザを追跡・トレーサビリティする需要に合わせ、同時にユーザネットワーク層AIDとアプリケーション層サービスとの間のバインド問題も解決する。それは、公共設備への管理を実現するように、ASNが公共設備の流量を総計する必要があるという相違点を有する。このフローは具体的に以下のようなステップを含むことができる。
【0055】
S300、User1が公共設備でUser2へ通信要求メッセージを送信し、メッセージ中のソースAIDがUser1のAIDであり、送信先AIDがUser2のAIDである。
【0056】
その中、公共設備が自体のAIDを有する以外、そのシステムは公共設備でネットワークに成功にアクセスしたユーザがそのAIDを公共設備に添付することをさらに許可する。つまり、ユーザのAIDが公共設備に添付される時に、公共設備がメッセージを送受信するためのAIDはいずれもこのユーザ仮想AIDであり、公共設備の自体のAIDでない。ユーザがネットワークをログアウトする時に、仮想AIDも削除され、その後、公共設備がメッセージを送受信するためのAIDは自体のAIDである。
【0057】
S310、ASN1が公共設備からのメッセージを受信し、ASNが設置する、UserのAIDを添付する属性に基づいてソースAIDが仮想AIDであることを検査した後、上記AIDによってUser1と公共設備とのAIDマッピング表を検索し、検索で公共設備のAIDを獲得し、且つ公共設備に対して流量統計を行う。
【0058】
S320、 ASN1はUser1の通信要求メッセージ中の送信先AID、即ちUser2のAIDに基づいてILRに対して検索して対応するRID(ASN2のRID)を獲得し、且つASN1のRIDを送信元RIDとし、ASN2のRIDを送信先RIDとしてメッセージにカプセル化し、ASN2にルーティング転送する。
【0059】
S330、ASN2が上記メッセージを受信した後、カプセル化されたRIDを解除した後、User1の通信要求メッセージをUser2に転送する。
【0060】
S340、User2がUser1の通信要求を応答し、応答メッセージ中の送信元アドレスがUser2のAIDであり、送信先アドレスがUser1のAIDである。
【0061】
S350、ASN2が応答メッセージ中に送信元RID(ASN2のRID)和送信先RID(ASN1のRID)をカプセル化した後、ASN1に転送する。
【0062】
本例示はUser1がUser2に対して通信を開始させることを例として説明し、User2がUser1に対して通信を開始させると、ASN2がUser2の通信要求メッセージ中の送信先アドレス、即ちUser1のAIDに基づいてILRを検索し、対応するASN1のRIDが得られた後、メッセージ中にカプセル化され、ASN1に転送ルーティングし、その通信フローが本例示と類似し、ここで再び贅言しない。
【0063】
S360、ASN1がASN2からのメッセージを受信し、検査で送信先AIDが仮想AIDであることを獲得し、その後、上記AIDによってUser1と公共設備とのAIDマッピング表を検索し、検索で公共設備のAIDを獲得し、且つ公共設備に対して流量統計を行う。
【0064】
S370、ASN1がメッセージ中にカプセル化されるRIDを解除した後、User2の応答メッセージをUser1に転送する。
【0065】
ここまで、ユーザの公共設備におけるメッセージ転送フローが終了する。
【0066】
説明する必要のは、ASN1はUser1のAIDと公共設備のAIDとのマッピング表を利用し、検索で公共設備のAIDを獲得して流量統計を行うことはただASNの中の1つの機能である。ASN1がAIDマッピング表に基づいて持つ可能な機能は流量統計に限られず、User1がネットワークにアクセスする具体的な位置の記録、公共設備の課金等の機能をさらに含む。
【0067】
図4にASNが公共設備からのメッセージを処理するフローを示す。この例示において、ASNはソースAIDが公共設備のAIDであるかどうかを検査する必要がある。であると、公共設備が直接に非ACの目的地をアクセスすることを禁止する。このフローは具体的に以下のようなステップを含むことができる。
【0068】
S400、ASNが公共設備からのメッセージを受信する。
【0069】
S410、ASNがメッセージ中のソースAIDを抽出し、公共設備のAIDであるかどうかを判断し、であると、S420ステップにジャンプし、でないと、S430ステップにジャンプする。
【0070】
このステップにおいて、ASNはその上の全てのAIDのリストに基づいて上記ソースAIDを見つけ、さらにこのソースAIDの属性を調べることによって、このソースAIDが公共設備であるかどうかを判断することができる。AIDの属性は多種を有する可能性があり、例えば、上記の公共設備の属性、及び仮想AID、リダイレクト必要なAID等等である。
【0071】
なお、AIDは他の多種の方式によって上記ソースAIDが公共設備であるかどうかを判断してもよく、例えば、ASNはその上の全ての公共設備のAIDを記録し、且つ公共設備のAIDリストに独立に保存することができること、メッセージを受信する時に、記録された公共設備のAIDリストに基づいてこのソースAIDが公共設備であるかどうかを判断すること、等等。ここで再び1つずつ挙げられない。
【0072】
S420、ASNがこのメッセージの目的地がACであるかどうかを判断し、であると、S470ステップにジャンプし、メッセージを正常に転送し、でないと、S460ステップにジャンプし、メッセージを廃棄する。
【0073】
S430、このAIDが公共設備のAIDでないと、ASNはこのAID属性が仮想ユーザであるかどうか、即ちユーザが公共設備でネットワークにアクセスする仮想AIDであるかどうかを判断し、であると、S440ステップにジャンプし、でないと、S470ステップにジャンプし、正常に転送する。
【0074】
S440、ユーザが公共設備でネットワークにアクセスする仮想AIDに基づいて、公共設備AIDとの間の対応するAIDマッピング表が存在するかどうかを検索し、AIDマッピング表が存在すると、S450ステップにジャンプし、存在しないと、S460ステップにジャンプし、メッセージを廃棄する。
【0075】
S450、ASNが検索されたAIDマッピング表に基づいて、公共設備に対して流量統計を行い、ステップ470に移行する。
【0076】
S460、メッセージを廃棄し、終了する。
【0077】
S470、メッセージを正常に転送する。説明する必要のは、S470はステップS420、S430或いはS450のジャンプによって得られる。
ここまで、ASNが公共設備からのメッセージを処理するフローは終了する。
【0078】
図5にASNが他のASNからのメッセージを処理するフローを示す。この例示において、ASNは送信先AIDが公共設備でネットワークにアクセスするユーザ仮想AIDであるかどうかを判断する必要がある。このフローは具体的に以下のようなステップを含むことができる。
【0079】
S500、ASNがメッセージのソースAID及び送信先AIDを抽出する。
【0080】
S510、ASNは送信先AIDが公共設備AIDであるかどうかを判断し、であると、S520ステップにジャンプし、でないと、S530ステップにジャンプする。
【0081】
S520、 ASNはこのメッセージがACからのものであるかどうかを判断し、であると、S570ステップにジャンプし、メッセージを正常に転送し、でないと、S560ステップにジャンプし、メッセージを廃棄する。
【0082】
S530、ASNはこのメッセージの送信先AIDに公共設備でネットワークにアクセスするユーザ仮想AIDであるかどうかを判断し、であると、S540ステップにジャンプし、でないと、S570ステップにジャンプし、メッセージを正常に転送する。
【0083】
S540、メッセージの送信先AIDは公共設備でネットワークにアクセスするユーザ仮想AIDであり、ASNがこのAIDに基づいて公共設備AIDとの間のAIDマッピング表を有するかどうかを検索し、有すると、S550ステップにジャンプし、有しないと、S560ステップにジャンプし、メッセージを廃棄する。
【0084】
S550、ASNが公共設備のAIDに基づいて公共設備の流量を総計し、ステップ570に移行する。
【0085】
S560、ASNがメッセージを廃棄し、終了する。
【0086】
S570、ASNがメッセージを正常に転送し、なお、上記ステップがステップS520、S530及びS550のジャンプによって得られる。
【0087】
ここまで、ASNが他のASNからのメッセージを処理するフローは終了する。
【0088】
図6にユーザがオフラインするフローを示す。ユーザがすでに公共設備でネットワークにアクセスし、オンライン状態になった後、ユーザがオフラインする必要がある時に、ACへオフライン要求を送信し、AC、ILR及びASNがいずれもこのユーザAIDと関連する記録を削除する必要がある。このフローは具体的に以下のようなステップを含む。
【0089】
S600、公共設備でネットワークにアクセスしたユーザUser1がASNによってACへオフライン要求を送信する。
【0090】
S610、ASNがUser1の上記オフライン要求を受信し、ACに転送して処理する。
【0091】
S620、ACがUser1のオフライン要求を受信し、User1のネットワーク中のオンライン状態を削除する。
【0092】
S630、ACはASNへオフライン要求応答を送信し、ASNがUser1と関連する情報を削除することを通知する。
【0093】
S640、ASNがACからのオフライン要求応答メッセージを受信し、User1のAIDの添付を解除し、同時にUser1のAIDと公共設備のAIDとの間のAIDマッピング表を削除する。
【0094】
S650、ASNがILRへUser1の<AID,RID>マッピング関係の更新を報告し、User1の<AID,RID>マッピング関係を削除することを要求する。
【0095】
S660、ILRがUser1の<AID, RID>マッピング関係を削除し、ASNへマッピング関係削除応答を送信する。
【0096】
S670、ASNが公共設備へオフラインでの成功の応答メッセージを送信し、公共設備に添付されたUser1の仮想AIDを削除する。
【0097】
ここまで、ユーザがオフラインするフローは終了する。
【0098】
なお、本発明は公共設備におけるネットワークアクセスシステム(図示せず)をさらに提供し、身分識別子及び位置分離ネットワークに応用し、このシステムは、アクセスサーバー(ASN)、公共設備、認証センター(AC)及び身分情報センター(IIC)を含み、
上記ASNは、ユーザが公共設備で送信する、上記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、上記ACに送信し、及び、上記ユーザのAIDを受信した後、上記公共設備にプッシュするように設置され、
上記ACは、上記ネットワークアクセス要求を受信した後、その中の上記ユーザの身分情報に基づいて上記IICに検索を開始させ、且つ検索結果に基づいて上記ユーザの合法性を検証し、検証を通過すると、上記ユーザのアクセス身分識別子(AID)を上記ASNに送信するように設置され、
上記公共設備は、上記ASNがプッシュする上記ユーザのAIDを受信した後、上記ユーザのAIDを仮想AIDとし、且つ上記仮想AIDを使用して上記ユーザのメッセージを上記ASNに送受信するように設置される。
【0099】
さらには、上記IICは、上記ACが行った検索要求を受信した後、上記ユーザの身分証明書の有効期間を検索結果として上記ACに戻すように設置され、
上記ACは、さらに、上記身分証明書の有効期間に基づいて上記ユーザの合法性を検証し、有効期間内であると、上記ユーザの検証を通過し、でないと、上記ユーザの検証を通過しないように設置される。
【0100】
さらには、上記ネットワークアクセス要求中に検証情報をさらに含み、
上記IICは、さらに、ユーザの身分情報を収集すると同時に上記ユーザの検証情報を設置し、上記ACが行った上記ユーザの検索要求を受信した後、上記ユーザの検証情報を検索結果として上記ACに戻すように設置され、
上記ACは、さらに、上記検索結果に基づいて上記ユーザの合法性を検証し、上記ネットワークアクセス要求中の検証情報が上記検索結果と一致すると、上記ユーザの検証を通過し、一致しないと、上記ユーザの検証を通過しないように設置される。
【0101】
さらには、上記システムは身分識別子及び位置登録レジスター(ILR)をさらに含み、
上記ASNは、さらに、受信した上記ACが送信する上記ユーザのAIDを添付し、上記ユーザのAIDと上記ASNのRIDとのマッピング関係を確立し、且つ上記ユーザのILRに報告するように設置され、
上記ILRは、上記ユーザのAIDと上記ASNのRIDとのマッピング関係を保存し、及び、他のASNがユーザのAIDに基づいて行ったマッピング関係検索要求を受信した後、検索要求を開始させる上記ASNに上記ユーザのAIDが対応するRIDを戻すように設置される。
【0102】
本分野の普通の技術スタッフは、上記方法における全部又は一部のステップはプログラムによって関連ハードウェアを指令して完了することができ、上記プログラムはコンピュータ読み取り可能な記憶メディア、例えば、読み取り専用メモリ、磁気ディスク又は光学ディスク等に記憶されることができることを理解することができる。選択すれば、上記実施例の全部又は一部のステップは1つ又は複数の集積回路を使用して実現することもできる。それに応じて、上記実施例の各モジュール/ユニットはハードウェアの形式を採用して実現してもよく、ソフトウェア機能モジュールの形式を採用して実現してもよい。本発明は、いずれかの特定形式のハードウェアとソフトウェアとの結合に限定されない。
【0103】
以上の内容は本発明の好適な実施例に過ぎなく、本発明を限定するためのものではなく、当業者にとっては、本発明が各種の変更及び変化を有し得る。本発明の精神及び原則の内において、行った如何なる修正、同等交替、改善等は、いずれも本発明の保護範囲の内に含まれるべきである。
【産業上の利用可能性】
【0104】
本発明が提供する公共設備におけるネットワークアクセス方法及びシステムは、ユーザAIDのネットワーク全体の唯一性を利用してユーザが公共設備でネットワークにアクセスすることを実現し、且つ上記実施案を採用し、身分識別子及び位置識別子分離ネットワークの優越性を十分に利用し、ネットワーク全体のAIDの唯一に基づいて、公共設備でネットワークにアクセスするユーザを有効的に追跡・トレーサビリティすることができる。
【特許請求の範囲】
【請求項1】
身分識別子及び位置分離ネットワークに応用する公共設備におけるネットワークアクセス方法であって、
アクセスサーバー(ASN)が、ユーザが公共設備で送信する前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信すること、
前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させて、検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信すること、及び
前記ASNが前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備が前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して前記ユーザのメッセージを送受信すること、を含む。
【請求項2】
前記身分情報は少なくとも前記ユーザの身分証明書番号又はパスポート番号を含む請求項1に記載の方法。
【請求項3】
前記ネットワークアクセス要求メッセージ中に前記IICが前記ユーザの身分情報を収集する時に設置した検証情報をさらに含み、前記検証情報はパスワード、検証コード又は前記ユーザの指紋情報を含む請求項2に記載の方法。
【請求項4】
前記方法は、
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すこと、及び
前記ACは前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないこと、をさらに含む請求項3に記載の方法。
【請求項5】
前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するステップにおいて、
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻し、
前記ACが前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しない請求項1、2、又は4に記載の方法。
【請求項6】
前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立して、前記ユーザの身分識別子及び位置登録レジスター(ILR)に報告することをさらに含む請求項1〜4のいずれかに記載の方法。
【請求項7】
前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDとのマッピング表を確立して、前記ユーザのAID属性を仮想AIDに設置すること、及び
前記ASNは前記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、前記マッピング表を検索して前記公共設備のAIDを獲得し、且つ前記公共設備に対して流量統計又は課金を行うこと、をさらに含む請求項6に記載の方法。
【請求項8】
前記ASNは管理した公共設備が前記AC以外のユーザ或いは設備をアクセスすることを禁止するをさらに含む請求項1〜4のいずれかに記載の方法。
【請求項9】
身分識別子及び位置分離ネットワークに応用し、アクセスサーバー(ASN)、公共設備、認証センター(AC)及び身分情報センター(IIC)を含む公共設備におけるネットワークアクセスシステムであって、
前記ASNは、ユーザが公共設備で送信する、前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、前記ACに送信し、及び、前記ユーザのAIDを受信した後、前記公共設備にプッシュするように設置され、
前記ACは、前記ネットワークアクセス要求メッセージを受信した後、その中の前記ユーザの身分情報に基づいて前記IICに検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するように設置され、
前記公共設備は、前記ASNがプッシュする前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージを送受信するように設置される。
【請求項10】
前記IICは、前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻すように設置され、
前記ACは、前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しないように設置される請求項9に記載のシステム。
【請求項11】
前記ネットワークアクセス要求メッセージ中に検証情報をさらに含み、
前記IICは、さらに、ユーザの身分情報を収集すると同時に、前記ユーザの検証情報を設置し、前記ACが行った前記ユーザの検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すように設置され、
前記ACは、さらに、前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないように設置される請求項10に記載のシステム。
【請求項12】
前記システムは身分識別子及び位置登録レジスター(ILR)をさらに含み、
前記ASNは、さらに、受信された前記ACが送信する前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは、前記ユーザのAIDと前記ASNのRIDとのマッピング関係を保存し、及び、ユーザのAIDに基づいて他のASNが行ったマッピング関係検索要求を受信した後、前記ユーザのAIDが対応するRIDを、検索要求を開始させる前記ASNに戻すように設置される請求項9に記載のシステム。
【請求項1】
身分識別子及び位置分離ネットワークに応用する公共設備におけるネットワークアクセス方法であって、
アクセスサーバー(ASN)が、ユーザが公共設備で送信する前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、認証センター(AC)に送信すること、
前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させて、検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信すること、及び
前記ASNが前記ユーザのAIDを受信した後、前記公共設備にプッシュし、前記公共設備が前記ユーザのAIDを仮想AIDとし、且つ前記仮想AIDを使用して前記ユーザのメッセージを送受信すること、を含む。
【請求項2】
前記身分情報は少なくとも前記ユーザの身分証明書番号又はパスポート番号を含む請求項1に記載の方法。
【請求項3】
前記ネットワークアクセス要求メッセージ中に前記IICが前記ユーザの身分情報を収集する時に設置した検証情報をさらに含み、前記検証情報はパスワード、検証コード又は前記ユーザの指紋情報を含む請求項2に記載の方法。
【請求項4】
前記方法は、
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すこと、及び
前記ACは前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないこと、をさらに含む請求項3に記載の方法。
【請求項5】
前記ACが前記ユーザの身分情報に基づいて身分情報センター(IIC)に検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するステップにおいて、
前記IICは前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻し、
前記ACが前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しない請求項1、2、又は4に記載の方法。
【請求項6】
前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立して、前記ユーザの身分識別子及び位置登録レジスター(ILR)に報告することをさらに含む請求項1〜4のいずれかに記載の方法。
【請求項7】
前記ASNが前記ユーザのAIDを受信した後、前記ユーザのAIDと前記公共設備のAIDとのマッピング表を確立して、前記ユーザのAID属性を仮想AIDに設置すること、及び
前記ASNは前記仮想AIDを送信元アドレス又は送信先アドレスとするメッセージを受信した時に、前記マッピング表を検索して前記公共設備のAIDを獲得し、且つ前記公共設備に対して流量統計又は課金を行うこと、をさらに含む請求項6に記載の方法。
【請求項8】
前記ASNは管理した公共設備が前記AC以外のユーザ或いは設備をアクセスすることを禁止するをさらに含む請求項1〜4のいずれかに記載の方法。
【請求項9】
身分識別子及び位置分離ネットワークに応用し、アクセスサーバー(ASN)、公共設備、認証センター(AC)及び身分情報センター(IIC)を含む公共設備におけるネットワークアクセスシステムであって、
前記ASNは、ユーザが公共設備で送信する、前記ユーザの身分情報を含むネットワークアクセス要求メッセージを受信した後、前記ACに送信し、及び、前記ユーザのAIDを受信した後、前記公共設備にプッシュするように設置され、
前記ACは、前記ネットワークアクセス要求メッセージを受信した後、その中の前記ユーザの身分情報に基づいて前記IICに検索を開始させ、且つ検索結果に基づいて前記ユーザの合法性を検証し、検証を通過すると、前記ユーザのアクセス身分識別子(AID)を前記ASNに送信するように設置され、
前記公共設備は、前記ASNがプッシュする前記ユーザのAIDを受信した後、前記ユーザのAIDを仮想AIDとし、前記仮想AIDを使用して前記ユーザのメッセージを送受信するように設置される。
【請求項10】
前記IICは、前記ACが行った検索要求を受信した後、前記ユーザの身分証明書の有効期間を検索結果として前記ACに戻すように設置され、
前記ACは、前記身分証明書の有効期間に基づいて前記ユーザの合法性を検証し、身分証明書が有効期間内であると、前記ユーザの検証を通過し、身分証明書が有効期間内でないと、前記ユーザの検証を通過しないように設置される請求項9に記載のシステム。
【請求項11】
前記ネットワークアクセス要求メッセージ中に検証情報をさらに含み、
前記IICは、さらに、ユーザの身分情報を収集すると同時に、前記ユーザの検証情報を設置し、前記ACが行った前記ユーザの検索要求を受信した後、前記ユーザの検証情報を検索結果として前記ACに戻すように設置され、
前記ACは、さらに、前記検索結果に基づいて前記ユーザの合法性を検証し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致すると、前記ユーザの検証を通過し、前記ネットワークアクセス要求メッセージ中の検証情報が前記検索結果と一致しないと、前記ユーザの検証を通過しないように設置される請求項10に記載のシステム。
【請求項12】
前記システムは身分識別子及び位置登録レジスター(ILR)をさらに含み、
前記ASNは、さらに、受信された前記ACが送信する前記ユーザのAIDを添付し、前記ユーザのAIDと前記ASNのルーティング識別子(RID)とのマッピング関係を確立し、且つ前記ユーザのILRに報告するように設置され、
前記ILRは、前記ユーザのAIDと前記ASNのRIDとのマッピング関係を保存し、及び、ユーザのAIDに基づいて他のASNが行ったマッピング関係検索要求を受信した後、前記ユーザのAIDが対応するRIDを、検索要求を開始させる前記ASNに戻すように設置される請求項9に記載のシステム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図2】
【図3】
【図4】
【図5】
【図6】
【公表番号】特表2013−517717(P2013−517717A)
【公表日】平成25年5月16日(2013.5.16)
【国際特許分類】
【出願番号】特願2012−549234(P2012−549234)
【出願日】平成22年10月19日(2010.10.19)
【国際出願番号】PCT/CN2010/077854
【国際公開番号】WO2011/088694
【国際公開日】平成23年7月28日(2011.7.28)
【出願人】(506073915)中興通訊股▲ふん▼有限公司 (105)
【Fターム(参考)】
【公表日】平成25年5月16日(2013.5.16)
【国際特許分類】
【出願日】平成22年10月19日(2010.10.19)
【国際出願番号】PCT/CN2010/077854
【国際公開番号】WO2011/088694
【国際公開日】平成23年7月28日(2011.7.28)
【出願人】(506073915)中興通訊股▲ふん▼有限公司 (105)
【Fターム(参考)】
[ Back to top ]