据本发明的一实施例的登录(sign-on/login)认证例程的示图,
[0026]图4示出根据图3所述的实施例的变型的登录认证例程的示图,
[0027]图5示出描述认证方法的流程图,
[0028]图6示出描述图5所述的方法的替换认证方法的流程图。
[0029] 图7示出核心网络和多个外部单元及保护受限访问数据的访问数据库之间的示例 性通信,
[0030] 图8示出图7的通信的替换示例,以及
[0031] 图9示出用于核心网络和记账系统之间的交互的示例性平台。
[0032]本发明的详细描述
[0033] 在以下,描述了根据本发明的第一概括实施例,并且随后将描述特定的示例性实 施例。在可能的情况下,将对这些附图作出参考,并且如果可能,使用这些附图的参考标记。 然而,应注意,附图仅示出了示例性实施例,并且如所描述的,其他细节和实施例也可在本 发明的范围内。
[0034] 术语受限访问数据应当被理解为受版权法和其他法律保护的任何材料、系统、月艮 务、应用、程序、视频、音频等,并且该术语还应包括通过私法协议(诸如许可证协议、经销协 议、代理协议等)保护的数据以及所有者选择对其应用访问限制而不管权限和法律框架如 何的数据。由于本发明涉及通过计算机网络对受限访问数据的访问控制,术语受限访问数 据不将包括具有有形特性的材料。然而,该术语包括对版权保护的有形材料的任何数字演 绎或呈现。这样的有形材料可包括但不限于相片、绘画,但还包括雕塑和例如其数字演绎可 用于产生和开发三维材料的其他三维材料。
[0035] 术语电话公司在本发明的上下文中应当包括有权仲裁去往和来自用户的数据话 务,且同时能够直接或间接向一个或多个用户传达受限访问数据的任何网络访问提供方。
[0036] 权限持有者意指合法拥有对受限访问数据和服务的权限的一个或多个实体。对于 电话公司提供其自己的受限访问数据材料和服务的情况,电话公司也可能是权限持有者。 这样的材料可以是例如计算机软件平台或应用,其中计算机应当根据本文中提供的定义来 解释。
[0037]权限提供者意指可合法地仲裁受限访问数据的一个或多个实体。电话公司可以是 权限提供者。
[0038] 计算机应当被理解为能够连接到计算机网络且同时可通过唯一身份标识的任何 设备。唯一身份可例如作为硬件身份(诸如,MAC地址、頂SI或頂EI身份)与该设备相关联。在 本发明的一实施例中,计算机被直接映射到用户的身份,其中用户的身份是唯一的并且由 电话公司或认证团体分配。
[0039] 核心网络1应当被理解为电话公司或服务提供者的网络,其是针对在该运营商本 身之外的用户的话务载体;在一些领域中,它也被称为主干网络。
[0040] IP,IP意指网际协议,其是关于网络层的网际协议。网络层上存在若干网际协议, 最常用的是IPV4<JP V4已被使用了很长时间,并且其基本问题之一是可用地址数的限制。需 要分开的IP地址的设备的数目的增加已爆发,并且IPv4正用完一些地址范围内的地址。可 造成IPv4即将变得过时的事实的另一弱点是该协议对于增加的对认证、数据完整性和数据 安全性的需求并不缩放得非常好,其中这些增加的需求主要由目前"网络"上可获得的巨大 量的交易造成,该巨大量的交易包括货币交易和对受权限保护的材料(诸如游戏、音乐、电 影和书籍等等)的交易两者。为了克服IPv4的缺点,已经在1994建议了转变到具有更大地址 范围和更大灵活性的协议,该协议被称为IPv6<JP V6具有128比特的地址空间,而IPv4仅具 有32比特。
[0041] 在许多上下文中,IPv6地址被划分成两个部分,64比特的网络前缀以及对主机进 行寻址的64比特部分。最后部分(为接口标识符)通常将从网络适配器的MAC地址被自动生 成。MAC地址包括48比特,并且在RFC 4291的2.5.1中描述了从48比特转换到64比特以供用 作接口标识符。IPv6地址通常以十六进制的形式被指定成通过冒号分隔的八个有四个十六 进制数字的群组。
[0042] IPv6分组包括两个部分,如图1所述的头部以及有效载荷。该头部包括分组的前40 个字符,并包含各种字段。在本发明的上下文中,主要是头部的源地址字段是引人注意的, 该字段包含源地址。
[0043] 与IPv4-样,IPv6支持全局唯一的IP地址,使得任何设备的网络活动都可被跟踪 (至少在理论上可被跟踪)。
[0044] IPv6的目的是将唯一地址分配给"网络"上存在的每一设备。因此,因特网上的每 一设备都将具有可直接从因特网上的任何其他地址寻址的唯一的全局地址。以IPv4来保存 地址的需要已导致网络地址转换(NAT)的引入,其已遮掩了具有位于网络接口后面的IP地 址的设备,使得这样的设备尚不可直接从该网络接口之外被识别出。
[0045] 在IPv6中,没有必要使用NAT或地址自动配置,但是基于MAC地址的自动配置是可 能的。即使在地址不基于MAC地址时,接口地址仍将是全局唯一的,这与在NAT遮掩的IPv4网 络中看见的相反。即使IPv6制度可因损害"隐私"而受到批评,但其大地址空间和唯一可跟 踪性形式的特征使其成为引人注意的认证候选。
[0046]根据本发明,一个目的是提供认证系统和认证方法,在该认证系统和认证方法中, 一个因素是基于通信地址(诸如IPv6)。如以上所指示的,通常将MAC地址、頂SI或頂EI身份 用作生成认证代码的因素之一。然而,如还指示的,存在与这个方法相关联的若干缺点。例 如,硬件单元(拥有因素)可被若干用户使用。如果以与社会保障号码/电话号码相同的方式 向用户分配了不可变的全局唯一地址,则这样的地址可被用作认证算法(不管为"单因素、 双因素、还是三因素算法")中的因素。这样的唯一地址可以是IPv6地址。
[0047] IPv6地址可分配自被授权分发证书的ISP、运营商或经证实的各方,如从其中诸如 Symantec等个体参与者可用作为认证机构(CA)的能力来验证真实性、分发PKI的当前系统 中获知的。IPv6地址的分配被假设以安全方式实施。
[0048]在各个体已接收了个人和全局唯一 IPv6地址后,根据本发明的一方面,用户将能 够在单因素认证系统中使用该唯一 IPv6地址来认证。
[0049] 根据本发明的另一方面,唯一 IPv6地址可构成双因素认证中的一个因素,其中另 一因素可以是MAC地址、頂SI或頂EI代码。根据本发明的一方面,硬件代码和IPv6地址可以 是生成唯一认证代码的算法的输入。
[0050] 类似地,根据本发明的第三方面,可使用三个因素。
[0051] 如果用户将实施交易或执行需要人的身份确认的其他动作,则认证将是必须的。
[0052] ID+IP =验证的/启用的/标识的IP-其通过登录功能来指定一在标识被丢失/密 钥被"破坏"的情况下,进行警告并自动禁用。(在你在所有时间都没有被标识出,你被断开 连接的情况下),取消/禁用对网络和/或对受保护资源的访问。
[0053]根据本发明的一实施例(图4),本发明包括用于访问因特网/另一网络的登录 (sign_on/login)功能。
[0054]在双因素方案被采用时,登录功能与保持通信地址的记录的数据库通信,并在不 同的通信地址后面标识可如何认证这些身份(DB1)。可使用包括发射器和接收机的电子设 备,该电子设备具有允许其具有通信地址的通信接口,使用该通信地址,该电子设备可在网 络(ΠΙΕΙ、頂SI MAC)上进行通信。
[0055]通信地址可被列在各种访问数据库(DBx)中,这些访问数据库被连接到计算机网 络并保护URL、链接、或特定数据卷、服务或其他受限访问材料。