[发明专利]认证请求访问至少一个资源的至少一个终端的方法和系统

说明书

本发明总体上涉及认证请求访问至少一个资源的至少一个终端，由认证服务器管理对资源的访问，网关装置包括用于在一方的终端与另一方的认证服务器和资源之间路由数据的装置。

由于使用认证服务器，可授权终端访问资源。通常，认证服务器管理对多个资源的访问授权。

这些资源例如是无线通信时间和/或频率资源，这意味着，对资源的访问控制涉及切换过程或建立两个无线邻居之间的协作方案。根据另一个示例，这些资源是用于游牧服务(cyber-foraging)应用或云计算的服务器的计算资源。根据又一个示例，资源是存储在数据服务器上的数据或由像传感器一样的另一个终端存储的信息，或者可以是另一个终端执行的应用。

为了允许集中管理这些资源，网关装置包括在终端、认证服务器和上述资源之间路由数据的装置。通常，终端向网关装置发送访问某个资源的请求。一旦网关装置检测到终端访问资源需要认证，网关装置就向认证服务器发出是否允许终端合法访问资源的请求。接着，认证服务器对终端执行认证并且如果对终端的认证失败，则认证服务器拒绝网关装置的请求，进而拒绝终端的请求。否则，认证服务器就接受网关装置的请求，进而接受终端的请求，因此终端被授权访问资源。

考虑例如在3GPP LTE(长期演进)规范背景下资源涉及切换的情况。通过也被称为eNodeB的基站由核心网络服务UE(用户设备)。各eNodeB管理小区，其中，小区是位于小区中的UE可由有关基站操纵，即，可通过经由基站访问核心网络与远程电信装置通信的区域。因此，各eNodeB被视为网关装置，包括用于在UE、核心网络实体和相邻eNodeB之间路由数据的装置。当UE从由第一基站管理的一个小区移动到由第二基站管理的另一个小区时，发生切换。对第二基站服务的小区的访问可限于预定用户集合(闭合用户组，CSG)。在这种情况下，为了执行小区访问控制，通过被称为MME(移动管理实体)的认证服务器执行切换。因此，MME负责管理对第二基站服务的小区代理的资源的访问。

然而，通过认证服务器执行系统性认证是耗时的，此外也消耗网络资源，因为它需要在网关装置和认证服务器之间进行许多交换，尤其是在有众多访问由认证服务器管理的资源的并行请求的情况下。此外，通过认证服务器执行系统性认证消耗了认证服务器方的处理资源。

期望克服技术发展水平的上述问题。

特别地，期望提供一种允许缩短执行关于终端请求通过网关装置访问至少一个资源的认证所需时间的解决方案，所述至少一个资源的访问是由连接到网关装置的认证服务器管理的。

此外，期望提供一种允许分流认证服务器的处理，同时确保可随时间推移而变化的访问控制有足够水平，同时确保终端的不可跟踪性，即确保除了认证服务器外的实体不能够建立给定终端访问资源的历史的解决方案。

此外，期望提供一种容易实现并且有成本效益的解决方案。

为此目的，本发明涉及一种认证请求访问至少一个资源的至少一个终端的方法，由认证服务器管理对一个或多个资源的访问，网关装置包括用于在一方的一个或多个终端与另一方的所述认证服务器和所述一个或多个资源之间路由数据的装置。所述方法使得所述认证服务器执行：针对每个终端，得到至少一条认证信息；向所述网关装置发送至少一个检验函数或其系数；其中，每条认证信息代表使得当被输入到各个检验函数时所述检验函数返回预定值的值。所述方法还使得所述网关装置执行：从一个终端接收访问所述一个或多个资源的第一请求，所述第一请求是与所述终端提供的一条认证信息结合地接收的；在从所述认证服务器接收的一个或多个检验函数之中，获取可应用于接收到的请求的检验函数；将所述终端提供的所述一条认证信息输入到获取的检验函数，以得到认证结果；当所述认证结果等于所述预定值时，接受访问所述一个或多个资源的所述第一请求；并且当所述认证结果不同于所述预定值时，拒绝所述一个或多个访问资源的所述第一请求。因此，缩短了执行关于终端请求通过网关装置访问资源的认证所需的时间，所述资源的访问是由连接到网关装置的认证服务器管理的。此外，确保了足够的访问控制水平。

根据特定特征，所述认证服务器执行：针对每个终端，确定一条或多条所述认证信息；向每个终端发送各条认证信息。因此，认证服务器可按灵活方式执行认证分流。