[发明专利]用于SSO订户从家庭网络外部接入服务的安全方法

说明书

技术领域

本发明涉及使单点登录(SSO)服务订户在其转移(transit)到也向用户提供SSO服务的家庭第三代合作伙伴计划(3GPP)网络域外时继续接入服务的机制。该机制在用户行进时提供SSO服务，并且在接入来自服务提供商(SP)的服务同时，使得能够进行透明并且无缝的转移。这防止了在被访问的网络中或者非法被访问的网络中对用户及其订阅的攻击。该机制还可以直接通过被访问的网络提供服务来增强用户体验。

背景技术

单点登录服务通过仅一次输入用户名和密码来向用户提供了登入所有订阅的服务的新的体验。在第三代合作伙伴计划(3GPP)中正在研究SSO，目的是使3GPP运营商作为SSO服务提供商继续拧操作(参见NPL 1)。3GPP所设想的解决方案之一是将移动运营商提供为SSO业务的一部分，使得运营方能够存储可以用于在网络认识时对用户进行认证的用户SSO证书。因此，移动运营方不仅是身份提供商(IdP)，而且是SSO服务提供商。以与正常SSO服务情景相同的方式，SSO提供商(家庭3GPP网络)向服务提供商(SP)提供UE(用户设备)/用户认证的声明，使得用户能够接入订阅的服务。

UE能够从当前3GPP网络漫游/转移到提供设想的SSO服务的另一网络。被访问的网络可以是不同提供SSO服务的3GPP网络或非3GPP网络。期望UE/用户应当能够在没有介入的情况下使用当前服务。

引用列表

非专利文献

NPL1：3GPP TR 22.895：“Study on Service aspects of integration of Single Sign-On(SSO)frameworks with 3GPP operator-controlled resources and mechanisms；(版本11)”，V1.2.0,2011-11。

发明内容

技术问题

从被访问的网络接入的UE/用户想要连续地并且以与如在家庭网络中相同质量地使用该服务。在设想的解决方案中，家庭3GPP网络存储用户的SSO证书，由此出现了下列问题：

1.对于转移出其家庭3GPP网络的用户，家庭3GPP网络将必须向该用户连续提供SSO服务，并且应当知道并能够验证UE的当前位置。

2.用于给定服务的数据总是在UE处于被访问的网络中的同时经由家庭MNO(移动网络运营商)。这对家庭MNO产生了业务负载以及从而困扰，并且导致对用户提供的服务质量差。

3.SP可以请求新的声明，并且家庭3GPP网络应当能够提供该声明。

4.在用户从家庭MNO域的外部接入服务时，SP可能需要用户重新认证。这将需要家庭MNO被包含到重新认证过程中。

本发明的一个方面考虑用户从家庭网络外部接入服务。UE/用户在使用由给定SP提供的服务的同时从其家庭3GPP网络离开到被访问的网络。该被访问的网络可以是另一3GPP网络(支持或不支持SSO服务)或者非3GPP网络。

UE将其位置信息发送到家庭3GPP网络。家庭3GPP网络将验证该位置信息以及UE的真实性(authenticity)，使得基于其有效性，家庭3GPP网络可以继续提供SSO服务。而且，如果被访问的网络还能够提供SSO服务，并且两个网络达成协定，则家庭3GPP网络可以向被访问的网络发送声明，使得可以经由被访问的网络将该服务提供给用户。当需要新的声明或用户重新认证时，如果家庭3GPP网络和被访问的网络达成协定，则家庭3GPP网络可以提供这些。或者，用户认证的声明或证明将必须被发送到UE并重新引导到SP。

本发明的优点

根据本发明，能够解决上述问题。

附图说明

图1是示出根据本发明的示例性实施例的系统的配置示例的框图。

图2是示出根据本发明的示例性实施例的系统中的操作的一个示例的序列图。

图3是示出根据本发明的示例性实施例的系统中的操作的另一示例的序列图。

图4是示出根据本发明的示例性实施例的UE的配置示例的框图。

图5是示出根据本发明的示例性实施例的用于家庭网络的节点的配置示例的框图。

图6是示出根据本发明的示例性实施例的用于被访问的网络的节点的配置示例的框图。

具体实施方式

本发明考虑上述问题并且在该部分中给出更多细节。

下文中，将参考图1至6描述本发明的示例性实施例。