用于因特网业务提供者的本地政策执行的系统和方法.pdf

用于因特网业务提供者的本地政策执行的系统和方法
    本发明的背景

    【发明领域】

    本发明通常涉及使用因特网业务提供者(ISP)接入因特网的电信系统和方法，尤其涉及认证和授权用户使用ISP资源和业务。

    本发明的背景和目的

    解除管制及因特网协议(IP)的影响这两种力量的汇合正在使电信市场的水平分割成为可能。通过开放终端和长途来水平分割电信市场的早期尝试已被证明很慢且对用户相当不合理。

    如今，本地环路的分类计价、业务从基础设施上分离，以及IP的出现，已经彻底改变了用户和业务提供者之间的关系。由因特网业务提供者(ISP)提供的、允许在网络分段间交换业务和记帐政策的基于IP的透明网络已经允许用户从ISP上进行物理转移。因此，可允许运营商拥有任何地方以及几乎世界上任何网络中的用户。

    例如，新的用户段可依照不同于物理位置地准则创建，比如国籍、公司联营、信仰、文化、特殊兴趣等。另外，基于IP的虚拟专网(VPN)可以很容易地被创建来迎合分散的个人和组。

    这种将业务从基础设施中最终分离出来的关键在于本地政策执行点(PEP)的存在。PEP负责执行关于用户认证、接入及业务授权、记帐和移动性等政策。通常，PEP将被放置在一个本地接入服务器中或ISP的边缘路由器中。但是，在边缘路由器中实现PEP尤其需要向与政策执行相关的本地接入提供者进行大量的投资和很多实际的安排，而且要依赖于它们。

    因此，本发明的一个目的就是削减ISP实现PEP的投资经费。

    发明概述

    本发明针对在用户驻地为因特网业务提供者(ISP)实现政策执行点(PEP)的电信系统和方法。PEP负责执行关于用户认证、接入及业务授权、记帐和用户移动性的政策。这些政策由ISP运营商在政策确定点(PDP)定义，PDP是一个连至与PEP通信的因特网的服务器。另外，ISP可以提供一个加密密钥给PEP，提供一个加密密钥给一个特定用户。因此，用户与PEP间、以及PEP和PDP之间的所有通信都能够被加密。

    附图简述

    该公开的发明将参照附图来说明，附图显示了本发明的重要示范实施方案，并被引入本说明书以供参考，其中：

    图1是描述了因特网业务提供者(ISP)的常规的政策执行的框图；

    图2是描述了依照本发明的优选实施方案，在用户驻地实现本地政策执行点(PEP)的示例性方框图。

    图3是依照本发明的实施方案的本地PEP的详细描述；以及

    图4是描述了依照本发明的实施方案，包括在示范因特网会话中的信号的示例性信号图。

    本优选示范实施方案的详细说明

    本申请的许多创新教导将通过对本优选的示范实施方案的特定说明来描述。但是应该明白，该类实施方案在这里仅仅给出了创新教导的许多有利用途中的几个例子。通常，在本申请的说明书中所作的叙述不是必定地限定各个要求权利的发明中的任何发明。而是，有的叙述可能应用于一些创造性的特征，而不应用于其它特征。

    现在参照附图1，通常，一个单个用户100a，或有经本地局域网(LAN)120连接在一起的若干用户100b和100c(图中只显示了两个用户)的公司110，通过因特网业务提供者(ISP)135的一个本地接入服务器130(或边缘路由器)接入因特网140。本地接入服务器130在本地接入服务器130所服务的区域150里作为ISP135的一个本地政策执行点(PEP)160。PEP160负责执行关于区域内用户100a-c的认证、接入及业务授权、记帐和移动性的政策。

    在发起一次因特网会话之前，PEP160必须对一个用户，例如用户100b进行认证。典型地，用户100b提供诸如帐号号码和个人识别码(PIN)的认证信息105a给ISP135的本地接入服务器130。之后，本地接入服务器130内的PEP160通过对接收到的用户100b所提供的认证信息105a，和被存储在PEP160内的、与该用户100b相关联的认证信息105b进行比较来对用户100b认证。值得注意的是本地接入服务器130内的PEP160存储了它所服务的每个用户100a-c的认证信息105。一旦经过认证，用户100b就可以通过本地接入服务器130接入因特网140并浏览网页。当因特网会话结束后，PEP160就收集并存储该因特网会话的记帐和计费信息115。

    目前，在一次因特网会话期间，用户100b和本地接入服务器130或PEP160之间所传送的信息都不是被加密的。因此，包括认证信息105的这种信息可以被一些未授权方轻易侦听到。ISP135目前的管制机制不考虑此类未授权的接入。因此，ISP135必须依靠区域150中的本地接入提供者的管制机制来帮助确保认证，这将增加ISP135和使用ISP135业务的用户100a-c的费用。另外，ISP135所需要的某些记帐和计费信息只能由本地接入提供者提供，这又增加了ISP135的费用。

    但是，如果象图2所示的，PEP160被设置在用户驻地110处，例如将其连至用户100所连接的LAN120上，那么成为一个ISP135所需要的前期投资就会减少。另外，ISP135将会较少地依赖于本地接入提供者。因此，如图所示，依照本发明的优选实施方案，PEP160可在与用户100的LAN120连接的服务器(或业务节点)180内实现。另外，如果用户100是一个单个用户，那么PEP160可以在与用户100相关联的计算机或终端内实现。

    为了在用户驻地110实现PEP160，当一个用户100或一组用户向ISP135注册后，ISP135可提供PEP160的软件给用户100。这个软件可在因特网140上从ISP135下载，或可邮寄给用户100。该软件包含给每个用户100的一个单独用户密钥，和给PEP160的一个PEP密钥。如图所示，这种PEP160的软件可被加载到服务器180上为多个用户100服务，或加载到与一个单个用户100相关联的终端上来执行PEP160的功能。例如，该软件可被加载到一个电子盒(e-Box)上，即具有内置防火墙功能并有一个到LAN120的接口的安全服务器180。一旦加载以后，用户100就可以被分配给其中一个用户密钥，同时PEP160可以向本地接入服务器130注册该PEP密钥。

    如以上所讨论的，PEP160执行关于用户100的认证、接入及业务授权、PEP160所服务的用户记帐和移动性政策。这些政策是由ISP135运营商在政策确定点(PDP)170定义的，PDP是一个在运营商控制下的、可以位于世界任何地方的服务器。PDP170与PEP160以及其它网络PDP(没有示意出来)通信，来对漫游出其归属网络的用户100认证。

    例如，如果LAN120是一个在多个地点有办公室的公司的一部分，而且与其中一处地点相关联的一个用户100正在访问LAN120的地点，那么与那个用户100相关联的认证信息105可能不会存储在LAN120的PEP160里。相反，认证信息105可能被存储在ISP135的另一个PEP(没有示意出来)里。因此，当访问用户100试图通过ISP135接入因特网140时，PEP160就把从用户100接收到的认证信息105，通过本地接入服务器130和因特网140发送给PDP170来认证用户100。基于访问用户的认证信息105，PDP170可以直接认证用户100(如果该PDP170存储了在ISP(135)上注册过的所有用户100的所有认证信息105)。或者，PDP170可以确定与该访问用户100相关的PEP(没有示意出来)，把这个认证信息105传送给那个PEP并要求从那个PEP进行认证和授权。

    另外一例，如果连至LAN120的用户100有一个其它ISP(没有示意出来)的帐号，但却试图通过LAN120的ISP135接入因特网140，那么PEP160就通过与ISP135相关联的本地接入服务器130和因特网140来联系PDP170，以认证用户100并获得接入ISP135的授权。PDP170可以与用户100的帐号所在ISP的PDP(没有示意出来)通信，来核实用户100具有那个ISP的帐号并获得授权以便进行计费和收费。

    现在结合图3来就PEP160的一个示范实施方案的结构和操作做更详细地说明。每个PEP160有一个与之相关联的单独密钥162。该密钥162向PDP170和ISP135的本地接入服务器130标识该PEP160。因此，本地接入服务器130不必存储每个用户100的认证信息105，只需要存储它所服务的PEP160的PEP密钥162。该PEP密钥162也可被用来对PEP160和本地接入服务器130，及PEP160和PDP170之间所传送的信息进行加密，这大大减少了未授权方侦听的可能性。

    为了发起一次因特网会话，PEP160把此PEP密钥162提供给本地接入服务器130来认证PEP160。然后，PEP160和本地接入服务器130就可用此PEP密钥162来对它们之间所传送的所有信息进行加密。同样地，该PEP密钥162可被PEP160和PDP170用来对它们之间所传送的信息进行加密。这些信息包括，例如认证信息105、访问或漫游用户100的授权信息，以及因特网会话结束后的记帐和计费信息115。

    PEP160也包括一个存储它所服务的每个用户100的不同用户密钥164的存储器或数据库。例如，在数据库165里，PEP160可存储一个用户的用户名或帐号号码163以及相关联的用户密钥164的列表。为了发起一次因特网会话，用户100必须把他们的帐号号码163，连同他们的用户密钥164提供给PEP160。PEP160接入数据库165，并把接收到的帐号号码163和密钥164同所存储的帐号号码163和密钥164进行比较来认证用户100。此用户密钥164也可被用来对PEP160和用户100间所传送的所有信息进行加密。

    另外，PEP160也可存储一个包含它所服务的每个用户100的授权信息169的授权数据库168。由ISP135提供的某些业务可能不对每个用户100都有效。因此，认证之后，当一个用户100从ISP135请求一项业务时，PEP160可以接入该授权数据库168，基于授权信息169来确定该用户是否被允许使用此项业务。

    在因特网会话期间，PEP160维护一个包含有关这次会话的信息167的记帐日志166，例如开始时间，停止时间及所使用的业务。此记帐日志166被ISP135用来进行计费和审计。在这次因特网会话结束后，PEP160使用PEP密钥162把该记帐日志166转发给PDP170。或者可把PEP160所服务的所有用户100的记帐日志166以固定的间隔，例如每天末，进行传送。

    通过把PEP160置于用户100的驻地110，降低了用户100和本地接入服务器130间传送信息的数量，从而使额外开销降低。另外，提高了安全性，而且在用户100和PEP160间的所有通信的延迟被减小了。

    现在参照图4所示的信号框图，将结合图2和3所示的框图对该图作说明，为了发起一次因特网会话，用户100把包括帐号号码163和用户密钥164的认证请求(步骤400)发给PEP160。然后，PEP160与ISP135的本地接入服务器130建立连接，并向本地接入服务器130发送一个包括PEP密钥162的接入认证请求(步骤405)。

    对PEP160的认证完成之后，本地接入服务器130向PEP160发送一个接入认证应答消息(步骤410)，指示PEP160被授权去执行与ISP135的一次因特网会话。当PEP160从本地接入服务器130收到该认证应答消息后，PEP160使用用户100提供的帐号号码163和用户密钥164来认证该用户，并向用户100发送一个认证应答消息(步骤415)。

    如果用户100是一个漫游用户100，则如上面所讨论的，为了对该用户100进行认证，PEP160通过本地接入服务器130和因特网140向PDP170发送一个认证信息，该消息中包含PEP密钥162和用户100的帐号号码163及用户密钥164(步骤412)。应该明白的是，如果该漫游用户100有一个其它ISP(没有示意出来)的帐号，那么该ISP的鉴别，连同用户100在该ISP上的帐号号码被送往PDP170。为了使那个漫游用户100可以接入PEP160的ISP135，两个ISP通常要签一个合同以允许用户可接入两个中的任何一个ISP。另外，收费和记帐信息也需要列入合同里。

    然后，PDP170直接地，或通过询问另一个包含用户100的帐号号码163和用户密钥164的PEP(没有示意出来)，或通过询问另一个PDP(没有示意出来)来认证用户100。一旦认证以后，PDP170返回认证应答消息给PEP160(步骤413)，PEP160进而又发送认证应答消息给用户100(步骤415)。

    一旦用户100收到认证应答消息，用户100就可传送一个业务请求(步骤420)给PEP160。业务请求可以是例如请求接入一个网站190，或检索用户或网络信息。如果PEP160确定这个被请求的业务没有被授权，PEP160就发送一个授权应答(步骤425)来指示业务没有被允许。然而，如果所请求的业务被允许了，PEP160就发送授权应答消息(步骤425)来指示此业务被允许了，并发送一个包括业务请求的资源请求消息(步骤430)给本地接入服务器130。

    如果所请求的业务不能被提供给用户100，那么本地接入服务器130就通过经PEP160发送一个资源确认消息(步骤435)来通知用户100，该消息指示此业务对于用户100不可用。如果例如网络忙或业务当时不可用时，所请求的业务就不一定能够被提供。然而，如果所请求的业务可以被提供，资源确认消息(步骤435)就指示业务可用。然后，用户100就可执行因特网会话(步骤440)，例如在因特网140上从一个网站190检索信息或给其提供信息。有利的是，通过使用用户密钥164和PEP密钥162，用户100和本地接入服务器130之间所传送的所有信息都可以被加密，以阻止对此信息的未授权接入。

    在因特网会话期间(步骤440)，PEP160在记帐日志166中记录了例如开始时间，停止时间和所请求的业务等关于因特网会话的所有信息167。以周期的间隔，PDP170把一个记帐轮循消息(步骤445)传送给PEP160，以请求自上次记帐轮循消息以来所发生的所有因特网会话的记帐日志166。作为应答，PEP160传送记帐日志(步骤450)给PDP170，该日志包括在接收到记帐轮循消息以前所完成的每个因特网会话的记录。或者在因特网会话完成时，不用等待记帐轮循消息(步骤445)，PEP160就可检索记帐日志166并将此记帐日志166发送给PDP170(步骤450)。应该理解的是，记帐日志166从PEP160传送到PDP170时可以使用PEP密钥162进行加密。

    正如本领域的技术人员所认识到的，在本申请中所说明的创新概念可以被修改并适用于广范围的应用中。因此，申请专利的主题的范围不应被局限于讨论过的任何特定示范教导中，而是由下面的权利要求来定义。