ES2287534T3 - Medios y metodo para controlar la progresion de servicios entre diferentes dominios. - Google Patents
Medios y metodo para controlar la progresion de servicios entre diferentes dominios. Download PDFInfo
- Publication number
- ES2287534T3 ES2287534T3 ES03770191T ES03770191T ES2287534T3 ES 2287534 T3 ES2287534 T3 ES 2287534T3 ES 03770191 T ES03770191 T ES 03770191T ES 03770191 T ES03770191 T ES 03770191T ES 2287534 T3 ES2287534 T3 ES 2287534T3
- Authority
- ES
- Spain
- Prior art keywords
- service
- module
- user
- authorization
- instance
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/08—Access security
- H04W12/082—Access security using revocation of authorisation
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Electrical Discharge Machining, Electrochemical Machining, And Combined Machining (AREA)
- Mobile Radio Communication Systems (AREA)
- Multi Processors (AREA)
- Harvester Elements (AREA)
- Road Repair (AREA)
Abstract
Un colchón que comprende resortes o muelles helicoidales (1), dispuestos como unidades de muelle dentro de unos bolsillos de cubierta (2), de tal modo que dichas unidades de muelle (3, 30, 31) están dispuestas sucesivamente en cadenas alargadas (4) y el colchón comprende una pluralidad de dichas cadenas (4), unidas entre sí y dispuestas lado con lado, caracterizado porque al menos una unidad de muelle (30) situada dentro de al menos una cadena (4), tiene una altura que difiere de la altura de las otras unidades de muelle (31) situadas dentro de la misma cadena (4).
Description
Medios y método para controlar la progresión de
servicios entre diferentes dominios.
El presente invento se refiere, en general, al
control de la progresión de un servicio cuando un primer dominio es
responsable de autorizar a un usuario para que acceda a un servicio
ofrecido por un proveedor de servicios en un segundo dominio. Más
particularmente, el presente invento se refiere al control de la
progresión del servicio cuando una red de servicios autoriza al
usuario para acceder a un servicio ofrecido por un proveedor de
servicios, y el proveedor de servicios factura al usuario a través
de los recursos del operador por el uso del servicio.
Los operadores de redes, en general, y los
operadores de móviles en particular, ofrecen en la actualidad una
amplia gama de servicios a sus usuarios y, muy frecuentemente, estos
servicios son proporcionados, realmente, por proveedores de
servicios externos (SP). Así, un operador de red actúa como
proveedor de servicios virtual para sus usuarios y les factura
apropiadamente por el uso de los servicios, mientras que los
proveedores de servicios externo proporcionan realmente dichos
servicios y generan cuantas de cargo al operador por la provisión
de sus servicios. Un operador de red de esta clase, que actúe como
proveedor de servicios para sus usuarios se denominará, en lo que
sigue, "operador de red de servicios" (SNO).
En esta situación, un primer dominio,
representado por la red del SNO es responsable de autenticar a un
usuario que solicite un servicio, así como de autorizarle para
acceder al servicio solicitado. Este servicio es proporcionado,
realmente, por un segundo dominio propiedad de un proveedor de
servicios externo que, probablemente tenga una relación comercial
con el operador de red, pero es probable que uno y otro dominios
sean propiedad de compañías separadas.
Una iniciativa conocida en la actualidad que
soporta el anterior escenario, es la plataforma Ericsson de
prestación de servicios (denominada, en adelante, ESDP), cuyo
objetivo es ayudar a los operadores de red a ofrecer servicios
independientes del acceso a sus abonados. En términos generales, la
ESDP considera que un abonado accede a servicios disponibles en una
red de servicios a través lo que, industrialmente, se denomina
"servidor representante inverso de http". En este enfoque
conocido, el usuario es autenticado en un servidor de
autenticación-autorización-contabilización
(AAA) y, en virtud de este procedimiento de autenticación, se crea
una sesión principal. Una sesión principal incluye, típicamente
información acerca del tipo de acceso, identificadores de usuario,
mecanismo de autenticación a utilizar, tiempo de establecimiento de
sesión, etc. Una sesión principal activa garantiza que el usuario
ha sido autenticado. Sin embargo, la sesión principal carece de
información acerca de los servicios utilizado por el usuario. Así,
siempre que un usuario intenta acceder a un servicio en su perfil,
se comprueba la sesión principal para determinar si el usuario ha
sido autenticado antes de autorizar el servicio.
Esta ESDP, al igual que otras plataformas
conocidas en la industria, soporta lo que, de una manera general,
ha dado en denominarse funcionalidad de registro único, en virtud de
la cual, un usuario que acceda a la red del SNO a través de una red
de acceso fiable es autenticado solamente una vez para todos los
servicios ofrecidos por el operador de red de servicios (SNO).
Por ejemplo, un escenario ilustrativo ocurre
cuando la red de acceso fiable es una red de radio por paquetes
como una red del servicio general de radio por paquetes (GPRS) y al
usuario se le asigna un nodo pasarela de soporte GPRS (GSSN) para
proporcionarle conectividad con el dominio de un operador de red de
servicios (SNO).
En este escenario, el soporte para servicios de
registro único (SSO) se basa en un mecanismo denominado
"transmisión MSISDN", en el que el MSISDN espera,
tradicionalmente, un número ISDN de abonado de móvil aunque, en un
sentido amplio, puede suponerse como un número de directorio de
abonado. En pocas palabras, el mecanismo de "transmisión
MSISDN" se inicia a partir de un nodo pasarela de soporte GPRS
(GGSN) en un dominio de red central doméstica enviando un mensaje
de petición de acceso RADIUS que incluye un MSISDN y una dirección
de IP para el usuario, a un servidor de "autenticación,
autorización y contabilización" (AAA) del dominio de red de
servicios doméstica. Esta información le permite al servido de AAA
crear una sesión principal para el usuario, de manera que, siempre
que dicho usuario solicite acceder a un servicio, se compruebe la
sesión principal para confirmar que el usuario ya ha sido
autenticado en forma apropiada. Más particularmente, la solicitud
internacional, con número de publicación WO 01/67716 A1, describe
un mecanismo de "transmisión MSISDN" basado en un mensaje de
iniciar contabilización RADIUS, que puede ser de aplicación en
algunos escenarios. Esta solicitud internacional describe
características para soportar y, así, autenticar al usuario
solamente una vez en algunas circunstancias particulares.
Sin embargo, en lo que respecta a la
autorización del servicio, cuando un usuario ha sido autenticado una
vez en la red del SNO, al usuario se le concede, de forma
transparente para él, el derecho a lanzar cualquier servicio
ofrecido. Así, una vez autorizado un servicio, el operador de la red
de servicios pierde el control sobre el servicio. Es decir, el
operador de la red de servicios no puede controlar ya la progresión
del servicio, no es puesto al corriente de las acciones ejecutadas
por las partes implicadas durante la ejecución del servicio, ni
puede llevar a cabo acción alguna durante esta ejecución, tal como
la desconexión de la sesión de servicio a fin de evitar un uso
fraudulento del mismo.
Un mecanismo actualmente existente para
autorizar un servicio para un usuario, que se ilustra en la Fig. 1,
se pone en marcha cuando el usuario emite una petición de servicio
hacia una red de acceso que, en particular, puede ser una red GPRS,
siendo un GGSN el nodo GPRS específico que recibe dicha petición. El
receptor envía esta petición de servicio hacia un módulo de
pasarela de aplicaciones (AGM) de la red de servicios que,
generalmente, está a cargo de la intercepción de mensajes de
aplicación entre el usuario y el servicio, y de la identificación
del citado usuario y el citado servicio. Este módulo de pasarela de
aplicaciones (AGM) que, en particular, podría ser el antes citado
"servidor representante de http", está provisto, usualmente, de
medios para obtener una decisión de autorización de un, denominado,
módulo de autorización (AM), sobre si se le permite o no al usuario
acceder al servicio. Este módulo de autorización (AM) que, en
particular, podría ser el antes citado servidor AAA está encargado,
generalmente, de decidir si el usuario es autorizado, o no, a
acceder a un servicio dependiendo de varias condiciones. Ambas
entidades, el módulo de pasarela de aplicaciones y el módulo de
autorización, pueden preverse en modo autónomo o integradas con
otras entidades; en particular, ambas pueden integrarse en una
misma entidad.
El documento WO 03/047294 A1 describe la
autenticación, autorización y contabilización de servicios prestados
cuando un terminal de usuario registrado en un servidor de AAA
doméstico, en su dominio local, visita otro dominio de AAA.
No obstante, los mecanismos existentes siguen
siendo válidos para la mayoría de los servicios hoy en día
existentes, basados en una petición y una respuesta, por ejemplo la
petición de una melodía de llamada y la descarga de la misma, pero
para servicios transaccionales más sofisticados, por ejemplo
servicios que incluyan secuencias respectivas de
sub-servicios asociados, las técnicas existentes
presentan las importantes limitaciones antes citadas para que los
operadores controlen por completo la progresión de los
servicios.
Una solución sencilla para servicios
transaccionales puede lograrse forzando a que cualquier transacción
entre usuario y servicio, sea autorizada con independencia de
cualquier autorización previa. Sin embargo, esta solución potencial
sobrecargaría notablemente cualquier modelo de tráfico y, por tanto,
puede considerarse como un inconveniente más a resolver.
Por otra parte, dado que el operador de la red
de servicios (SNO) no aprecia cuando tienen lugar diferentes
transacciones de un servicio, el operador de la red de servicios no
puede enterarse de las diferentes acciones llevadas a cabo por las
partes, a saber, usuario y servicio, y no puede aplicar políticas
específicas dependiendo de tales acciones diferentes. Además, el
operador de la red de servicios (SNO) no puede, incluso, ni
desconectar a un usuario en tiempo real para impedir que utilice un
servicio una vez que el usuario ha sido autorizado a hacerlo.
Por tanto, un objeto importante del presente
invento es la provisión de medios y de métodos para controlar la
progresión de un servicio en un primer dominio donde ha sido
autorizado el servicio mientras el usuario está utilizando dicho
servicio proporcionado por un segundo dominio.
Otro objeto del presente invento es conseguir
una solución adecuada en la que tal control incluye otro mecanismo
de verificación para verificar el uso del servicio.
Los anteriores objetos, entre otras cosas, se
logran de acuerdo con el invento merced a la provisión de un método
y de medios para controlar la progresión de un servicio, requiriendo
dicho servicio una pluralidad de transacciones, en un primer
dominio donde ha sido autorizado el servicio mientras el usuario
está utilizando dicho servicio proporcionado por un segundo
dominio, así como un mecanismo de verificación para verificar el
uso del servicio entre el operador de la red de servicios y el
proveedor de servicios.
De acuerdo con un primer aspecto del presente
invento, se proporciona un módulo de pasarela de aplicaciones
adecuado para uso en un sistema de telecomunicaciones en el que una
red de servicios autentica a un usuario y le autoriza para acceder
a un servicio ofrecido por un proveedor de servicios, cuyo módulo de
pasarela de aplicaciones está dispuesto para interceptar mensajes
de aplicaciones entre el usuario y el servicio y para identificar a
dicho usuario y a dicho servicio. Este módulo de pasarela de
aplicaciones incluye, tradicionalmente, medios para obtener una
decisión de autorización pare ver si se le autoriza al usuario a
acceder al servicio y que, de acuerdo con el invento,
comprende:
comprende:
- -
- medios para asignar un identificador de sesión de servicio destinado a identificar los mensajes de aplicaciones intercambiados entre el usuario y el servicio y que pertenecen a una misma prestación de servicio autorizada para dicho usuario;
- -
- medios para configurar una primera máquina de estados finitos con varios estados, destinada a identificar sucesos específicos en la prestación del servicio cuando puede controlarse la progresión del servicio; y
- -
- medios para activar políticas de servicio aplicables a dichos sucesos específicos y que tienen como consecuencia una transición de estado.
\newpage
En este módulo de pasarela de aplicaciones, los
medios para asignar un identificador de sesión de servicio pueden
incluir medios para iniciar una instancia específica de la primera
máquina de estados finitos, identificándose dicha instancia
específica mediante el identificador de sesión de servicio
asignado.
Ventajosamente, los medios para activar las
políticas de servicio en este módulo de pasarela de aplicaciones,
incluyen medios para establecer al menos un elemento seleccionado de
una lista no exhaustiva de referencias y atributos, que comprende:
varios valores de campo de mensaje para coincidencia, varias
acciones específicas para llevar a cabo en caso de coincidencia,
varios valores de temporización a ejecutar, varias transacciones a
supervisar. Además, estos medios para activar políticas de servicio
incluyen medios para activar una política de servicio global con
independencia de cualquier prestación de servicio en progreso.
Además, los medios para activar las políticas de servicio pueden
incluir, preferiblemente, medios para iniciar una instancia de una
política de servicio global a aplicar como política de servicio
individual dentro de una instancia específica de la primera máquina
de estados finitos, heredando la política de servicio individual las
referencias y los atributos de la política de servicio global. Con
el fin de permitir una actualización dinámica de las políticas de
servicio, el módulo de pasarela de aplicaciones comprende, además,
medios para reemplazar referencias y atributos de una política de
servicio individual por nuevas referencias y atributos durante una
progresión de servicio gestionada dentro de una instancia
específica de la primera máquina de estados finitos.
En este módulo de pasarela de aplicaciones, un
estado particular puede asociarse con varias políticas de servicio
individuales dentro de una instancia específica de la primera
máquina de estados finitos, viniendo identificada dicha instancia
por un identificador de sesión de servicio dado.
Además, y por motivos de claridad, los medios
para obtener una decisión de autorización en el módulo de pasarela
de aplicaciones, pueden incluir medios para solicitar una
autorización de servicio de un módulo separado, a saber, un módulo
de autorización, que podría integrarse con el módulo de pasarela de
aplicaciones en una sola entidad o estando, ambos, previstos como
módulos autónomos.
Suponiendo que ambos módulos separados
coexistan, los medios para activar políticas de servicio en el
módulo de pasarela de aplicaciones incluyen, de preferencia, medios
para recibir de dicho módulo de autorización, al menos un elemento
aplicable para establecer una política de servicio, cuyo elemento
seleccionado de una lista no exhaustiva de referencias y de
atributos, comprende: varios valores de campo de mensaje para
coincidencia, varias acciones específicas para ejecutar en caso de
coincidencia, varios valores de temporización para ejecutar, y
varias transacciones a supervisar. Además, estos medios para activar
políticas de servicio, también incluyen medios para recibir una
política de servicio global procedente de dicho módulo de
autorización. A este respecto, un módulo de pasarela de
aplicaciones separado de un módulo de autorización también comprende
medios para recibir referencias y atributos del módulo de
autorización, aplicables para reemplazar una política de servicio
individual con nuevas referencias y atributos durante una progresión
de servicio gestionada dentro de una instancia específica de la
primera máquina de estados finitos. En consecuencia, el módulo de
pasarela de aplicaciones comprende, también, medios para notificar
al módulo de autorización, un suceso específico en la progresión
del servicio, así como medios para solicitar del módulo de
autorización un tratamiento ulterior para determinar una acción
apropiada a ejecutar con la progresión del servicio. En línea con la
última característica anterior, el módulo de pasarela de
aplicaciones comprende, de preferencia, medios para recibir, desde
el módulo de autorización, una instrucción seleccionada de entre:
concedido acceso sin restricciones; otro servicio para sustituir a
un servicio previo solicitado, una desconexión forzada, y la
indicación de una transición de estado.
Así, de acuerdo con un segundo aspecto del
presente invento, ya introducido, se proporciona un módulo de
autorización adecuado para uso en un sistema de telecomunicaciones
en el que una red de servicios autentica a un usuario y le autoriza
a acceder a un servicio ofrecido por un proveedor de servicios, cuyo
módulo de autorización está dispuesto para decidir si se le permite
al usuario acceder a un servicio y que, tradicionalmente, tiene
medios para recibir una petición de autorización de servicio
procedente de un módulo de pasarela de aplicaciones, y medios para
devolver al módulo de pasarela de aplicaciones una respuesta acerca
de si se le concede, o no, al usuario acceso al servicio
solicitado. Este módulo de autorización, de acuerdo con el invento,
comprende:
- -
- medios para generar un identificador de sesión de servicio destinado a correlacionar los mensajes de aplicaciones intercambiados entre el usuario y el servicio y que pertenecen a una misma prestación de servicio autorizada para el mencionado usuario;
- -
- medios para configurar una segunda máquina de estados finitos con varios estados destinados a identificar sucesos específicos en la progresión de un servicio cuando el módulo de autorización puede actuar sobre el módulo de pasarela de aplicaciones para controlar la progresión del servicio; y
- -
- medios para determinar políticas de servicio aplicables a dichos sucesos específicos y con la consecuencia de una transición de estado.
En este módulo de autorización, los medios para
generar un identificador de sesión de servicio comprenden medios
para incluir dicho identificador de sesión de servicio en una
respuesta a devolver al módulo de pasarela de aplicaciones
informando acerca de si se le concede al usuario acceso al servicio
solicitado. En línea con las características previas del módulo de
pasarela de servicios, los medios para generar un identificador de
sesión de servicio incluyen, preferiblemente, medios para iniciar
una instancia específica de la segunda máquina de estados finitos,
siendo identificado, también, dicha instancia específica por dicho
identificador de sesión de servicio. Así, un estado particular
dentro de una instancia específica de la segunda máquina de estados
finitos, puede asociarse con varias políticas de servicio, estando
identificada la instancia por un identificador de sesión de
servicio dado.
Además, los medios para determinar políticas de
servicio en este módulo de autorización, comprenden medios para
incluir, en una respuesta hacia el anterior módulo de pasarela de
aplicaciones, al menos un elemento de información para activar una
política de servicios dentro de un estado específico del módulo de
pasarela de aplicaciones, seleccionándose dicho al menos un
elemento de información de entre:
- -
- varios valores de campo de mensaje para casar;
- -
- un conjunto de acciones a llevar a cabo al coincidir un valor de campo de mensaje dado;
- -
- varios valores de temporización nuevos; y
- -
- varias transacciones a supervisar.
Aparte de los elementos anteriores a incluir en
la respuesta del módulo de autorización hacia el módulo de pasarela
de aplicaciones, están previstos medios adicionales para indicar si
se trata de una política de servicio global a aplicar con
independencia de cualquier prestación de servicio en progreso.
Además, y por motivos de coherencia cuando ambos
módulos están presentes, al menos funcionalmente, el módulo de
autorización comprende, además, medios para recibir una notificación
del módulo de pasarela de aplicaciones que indica un suceso
específico detectado en la progresión del servicio. Además, el
módulo de autorización comprende, también, medios para recibir una
petición del módulo de pasarela de aplicaciones solicitando una
instrucción para proceder con la progresión de un servicio. A este
respecto, al módulo de autorización puede comprender,
ventajosamente, medios para enviar al módulo de pasarela de
aplicaciones, una instrucción seleccionada de entre: concedido
acceso sin restricciones; otro servicio para sustituir a un servicio
previo solicitado; una desconexión forzada e indicación de una
transición de estado.
Adicionalmente, el módulo de autorización puede
comprender, además y ventajosamente, medios para recibir un mensaje
de aplicación procedente de, al menos, una entidad seleccionada de
entre varios servidores de aplicaciones y de sistemas de
suministro, incluyendo el mensaje de aplicación un identificador de
sesión de servicio dado destinado a identificar una instancia
específica de la segunda máquina de estados finitos del módulo de
autoriza-
ción.
ción.
El presente invento propone, también, un método
para autorizar a un usuario de una red de servicios a acceder a un
servicio ofrecido por un servidor de servicios de un proveedor de
servicios, habiendo sido el usuario autenticado ya por la red de
servicios, cuyo servidor está dispuesto a prestar un servicio que
comprende una pluralidad de transacciones mediante el intercambio
de una pluralidad de mensajes de aplicación con el usuario, y cuyo
método comprende, tradicionalmente, el paso de obtener una primera
decisión de autorización sobre si se le permite al usuario acceder
al servicio. De acuerdo con el invento, este método comprende,
también, los pasos de:
- -
- generar y asignar un identificador de sesión de servicio destinado a identificar los mensajes de aplicaciones intercambiados entre el usuario y el servicio y que pertenecen a una misma prestación de servicio autorizada para el mencionado usuario;
- -
- configurar al menos una máquina de estados finitos con varios estados destinados a identificar sucesos específicos en una prestación de servicio cuando puede controlarse la progresión del servicio; y
- -
- activar políticas de servicio aplicables a dichos sucesos específicos y que tienen como consecuencia una transición de estado.
El paso de generar y asignar un identificador de
sesión de servicio en este método incluye el paso de iniciar una
instancia específica de dicha al menos una máquina de estados
finitos, siendo identificada dicha instancia específica por el
identificador de sesión de servicio asignado. Además, un estado
particular dentro de esta instancia específica puede asociarse con
varias políticas de servicio.
Además, el paso de activar políticas de
servicio, en este método, puede incluir el paso de establecer al
menos un elemento seleccionado de entre una lista no exhaustiva de
referencias y atributos que comprende: varios valores de campos de
mensaje para coincidencia, varias acciones específicas a llevar a
cabo en caso de coincidencia, varios valores de temporización a
ejecutar, y varias transacciones a supervisar.
Además, este método puede comprender, todavía,
el paso de recibir en la red de servicios un mensaje de aplicación
originado en una entidad seleccionada de entre; varios servidores de
servicios de un proveedor de servicios, y varias entidades de un
sistema de suministro, incluyendo el mensaje de aplicación un
identificador de sesión de servicio dado destinado a identificar
una instancia específica de dicha el menos una máquina de estados
finitos.
Por otro lado, y por motivos de coherencia con
los dos módulos anteriores, el paso de configurar al menos una
máquina de estados finitos, en este método, comprende el paso de
configurar una primera máquina de estados finitos en el antes
citado módulo de pasarela de aplicaciones y el paso de configurar
una segunda máquina de estados finitos en el antes citado módulo de
autorización.
Las características, objetos y ventajas del
invento resultarán evidentes a partir de la lectura de esta
descripción en conjunto con los dibujos anejos, en los que:
La Fig. 1 representa esquemáticamente una
arquitectura en la que una red de servicios autoriza a un usuario
autenticado a acceder a un servicio ofrecido por un proveedor de
servicios cuando el servicio se basa en una petición con una
respuesta.
La Fig. 2 ilustra una vista simplificada de la
arquitectura de la Fig. 1 con interconexiones mejoradas y entidades
de acuerdo con el invento.
La Fig. 3A y la Fig. 3B muestran diagramas de
transición ilustrativos entre estados básicos asignados durante la
progresión de un servicio en un módulo de pasarela de aplicaciones y
en un módulo de autorización, respectivamente.
La Fig. 4 presenta un diagrama ilustrativo que
muestra varios filtros de servicios, a saber políticas de servicios,
que pueden ser activados en relación con estados asignados durante
la progresión de un servicio, así como varias transiciones que
pueden encontrarse al aplicar los filtros de servicios.
La Fig. 5 ilustra básicamente el procedimiento
seguido durante una autorización de servicio, en el que se inician,
respectivamente, nuevas instancias de una primera máquina de estados
en un módulo de pasarela de aplicaciones y una segunda máquina de
estados en el módulo de autorización, y se genera y asigna un
identificador de sesión de servicio para correlacionar ambas
instancias.
La Fig. 6 ilustra un procedimiento seguido
durante una invocación subsiguiente ilustrativa dentro de una
prestación de servicio dada, en el que un módulo de autorización
instruye a un módulo de pasarela de aplicaciones para que active
una política de servicio para una transacción específica, de manera
que se le notifique al módulo de autorización cuando el usuario
solicita dicha transacción específica.
La Fig. 7 ilustra otro procedimiento seguido
durante una invocación subsiguiente ilustrativa dentro de una
prestación de servicio dada, en el que el usuario solicita
explícitamente una desconexión de la prestación de servicio
identificada por un identificador de sesión de servicio dado.
La Fig. 8 ilustra otro procedimiento seguido
tras haber llevado a cabo una invocación subsiguiente ilustrativa
dentro de una prestación de servicio dada, en el que el módulo de
pasarela de aplicaciones detecta la expiración de un tiempo de
espera y se lo notifica al módulo de autorización para la prestación
de servicio identificada por un identificador de sesión de servicio
dado.
La Fig. 9 ilustra básicamente todavía otro
procedimiento seguido durante una invocación subsiguiente
ilustrativa dentro de una prestación de servicio dada, por lo que
el operador de la red de servicios, que actúa a través del módulo
de autorización, puede interrumpir en cualquier momento la
progresión de una prestación de servicio identificada mediante un
identificador de servicio dado.
En lo que sigue se describen las realizaciones
actualmente preferidas de medios y métodos para permitir que un
operador (20) de red de servicios controle la progresión de una
prestación de servicio, incluyendo cada prestación de servicio,
probablemente, múltiples transacciones, para servicios
proporcionados por un proveedor de servicios externo (30) y
utilizados por usuarios de dicho operador de red de servicios.
Por tanto, y de acuerdo con un primer aspecto
del presente invento, se proporciona un módulo de pasarela de
aplicaciones (AGM) (2) que tiene una máquina de estados finitos, tal
como la ilustrada en la Fig. 3A, para seguir mensajes que
pertenecen a una misma prestación de servicio y para vigilar la
progresión del servicio. Es decir, mensajes intercambiados entre un
cliente (1; 9) y un servidor (5; 6) de servicios, desde el momento
en que un usuario es autorizado para acceder a un servicio hasta que
finaliza el servicio, o el usuario abandona explícitamente el
servicio o expira un tiempo de espera. Por motivos de sencillez, el
término "cliente" (1; 9) y el término "usuario" (1; 9) se
utilizan indistintamente en toda esta memoria para referirse, en
ambos casos, al lado del terminal de usuario, cualquiera que sea el
equipo (1; 9) que se utilice para comunicar con una red de
servicios (20), probablemente a través de una red de acceso
(10).
De acuerdo con un segundo aspecto del presente
invento, se proporciona un módulo de autorización (AM) (3) que,
igualmente, está mejorado con otra máquina de estados finitos, tal
como la ilustrada en la Fig. 3B, para controlar la progresión de la
prestación del servicio.
En una realización actualmente preferida, ambas
entidades AGM (2) y AM (3) están previstas, respectivamente, en un
modo autónomo, si bien pueden integrarse en una sola entidad
compartiendo, probablemente, una única máquina de estados finitos.
Partiendo de que se prefiere una realización con las entidades AGM y
AM separadas, como la mostrada en la Fig. 2, se prevé una nueva
interconexión (I-3x) entre las dos máquinas de
estados finitos. Esta nueva interconexión permite que el módulo (2)
de pasarela de aplicaciones solicite del módulo (3) de autorización
la autorización para un servicio y que informe de los sucesos
pertinentes que se producen durante la progresión del servicio. Por
otro lado, esta interconexión le permite al módulo de autorización
(3) conceder y revocar una autorización de servicio y tomar parte
en el control de la progresión de la prestación del servicio.
La máquina de estados finitos del módulo (2) de
pasarela de aplicaciones, denominada máquina de estados de contexto
de servicios (SCSM) en esta memoria, incluye varios estados que
pueden ser asignados en el módulo (2) de pasarela de servicios a
una prestación de servicio particular para un usuario, durante la
progresión del servicio. Así, todos los mensajes de aplicación
intercambiados (I-2X, I-4X) entre un
usuario (1; 9) y un servidor de servicios (5; 6), pasan por una
instancia de una máquina de estados de contexto de servicios (SCSM)
en un módulo (2) de pasarela de servicios interpuesto entre el
usuario y el servidor de servicios, en el que hay una instancia de
SCSM para cada prestación de servicio. Como se ha comentado en lo
que antecede, una prestación de servicio puede implicar diversas
transacciones, a saber transacciones de servicios.
La máquina de estados finitos del módulo (3) de
autorización, denominada máquina de estados de progresión de
servicios (SPSM) en esta memoria, incluye aquellos estados que se le
pueden asignar a una prestación de servicio particular para un
usuario en el módulo (3) de autorización, durante la progresión del
servicio. Además, esta máquina de estados de progresión de
servicios (SPSM) se utiliza para hacer que la red de servicios (20)
esté al tanto de la progresión de la prestación del servicio.
Además, esta máquina de estados de progresión de servicios (SPSM)
del módulo (3) de autorización, puede utilizarse, también, para
hacer que la red de servicios tome parte en la prestación de
servicio solicitando la notificación de determinados sucesos durante
la progresión del servicio, o desconectando al usuario del
servicio. Como para la antes mencionada SCSM de un módulo (2) de
pasarela de aplicaciones, existe una instancia de la SPSM en el
módulo (3) de autorización para cada prestación de servicio,
incluyendo la prestación de servicio, igualmente, varias
transacciones de servicio.
De acuerdo con el presente invento, y con el fin
de permitir que la SCSM del módulo (2) de pasarela de aplicaciones
siga los mensajes de aplicación que pertenecen a una misma
prestación de servicio, todos los mensajes de aplicación
intercambiados entre el usuario (1; 9) y el servidor (5; 6) de
servicios, incluyen un identificador de sesión de servicio
individual generado sobre una base de petición de servicio, y activo
durante la progresión del servicio hasta que el usuario abandona el
servicio explícitamente, el servicio expira o finaliza el tiempo de
espera. Este identificador de sesión de servicio
(ID_contexto_servicio) se utiliza, así, para identificar de manera
singular, mensajes que pertenezcan a una misma prestación de
servicio. Para ello, se prevén medios para generar identificadores
de sesiones de servicios sobre una base de petición de servicio,
estando situados estos medios, preferiblemente, en el módulo (3) de
autorización, y medios para asignar un identificador de sesión de
servicio individual a una prestación de servicio específica, como
recibir en el módulo de pasarela de aplicaciones una petición de
servicio de un usuario que no incluye ningún identificador de sesión
de servicio (ID_contexto_servicio).
El diagrama de transición de la Fig. 3A muestra
estados básicos asignados durante la progresión de un servicio en
el módulo de pasarela de aplicaciones (AGM). Al interceptarse un
mensaje procedente de un usuario (1; 9) en el AGM (2) sin
identificador de sesión de servicio activo (ID_contexto_servicio),
se envía una petición de autorización al módulo (3) de autorización
mientras ocurre una transición entre un estado inicial "NULO"
y un estado de "autorización de servicio". Una vez que se ha
autorizado el servicio para el usuario, en el módulo (3) de
autorización se genera un identificador de sesión de servicio
(ID_contexto_servicio) que es devuelto al módulo (2) de pasarela de
aplicaciones mientras se produce una transición entre los estados
"autorización de servicio" y "servicio activo". En esta
etapa, los mensajes de aplicación desde el usuario (1; 9) hacia el
servidor de servicios (5; 6) que incluyan este identificador de
sesión de servicio activo (ID_contexto_servicio), cuando son
interceptados por el módulo (2) de pasarela de aplicaciones, no
provocan transición alguna en el diagrama ilustrativo de la Fig.
3A, si bien cualquier experto en la técnica podría distinguir otros
estados que pudieran ser útiles en ejecuciones prácticas
particulares o ventajosas. Así, esta instancia de la máquina de
estados de contexto de servicios (SCSM) ilustrada en la Fig. 3A, se
mantiene en el estado de "servicio activo" hasta que se
produce una desconexión del servicio o expira un tiempo de espera o
se presenta una petición de desconexión, que dispara una transición
hacia un estado de "servicio desconectado" hasta que el
identificador de sesión de servicio (ID_contexto_servicio) y las
referencias y los atributos correspondientes se supriman
definitivamente. Una vez que se han suprimido definitivamente el
identificador de sesión de servicio individual
(ID_contexto_servicio) y dichas referencias y atributos
correspondientes, se lleva a cabo una transición final en esta
instancia de la máquina de estados de contexto de servicios (SCSM),
entre el estado de "servicio desconectado" y el estado de
"NULO", considerándose este último el estado inicial cuando se
solicita el servicio y el estado final cuando ha terminado el
servicio.
La máquina de estados de progresión de servicios
(SPSM) trabaja de manera similar a como lo hace la antes mencionada
máquina de estados de contexto de servicios (SCSM) en el módulo (2)
de pasarela de aplicaciones. La máquina de estados de progresión de
servicios (SPSM), como se ilustra básicamente en la Fig. 3B, incluye
los mismos estados sustanciales y las transiciones correspondientes
que la anterior máquina de estados de contexto de servicios (SCSM)
de la Fig. 3A, con ligeras modificaciones necesarias para lograr las
ventajas adicionales que se explican más adelante.
La máquina de estados de contexto de servicios
(SCSM) del módulo (2) de pasarela de aplicaciones incorpora medios
para identificar puntos en la progresión del servicio, en los que el
módulo (2) de pasarela de servicios y el módulo (3) de autorización
pueden comunicarse uno con otro para llevara a cabo,
respectivamente, transiciones de estado adecuadas y
correspondientes entre la máquina de estados de contexto de
servicios (SCSM) y la máquina de estados de progresión de servicios
(SPSM).
Además, hay previstos medios para establecer
políticas en estos puntos, de aplicación sobre los mensajes de
aplicación entrantes. Una política, denominada en lo que sigue
filtro de servicio (SF), puede entenderse como una colección de
criterios a satisfacer y un conjunto de acciones a llevar a cabo
sobre un mensaje de aplicación particular al que es aplicable la
política. En particular, un criterio puede ser la expiración del
tiempo a contar por un temporizador ("tiempo de espera") y una
política en la que fuese de aplicación dicho criterio podría tener
asociada, también, una acción para forzar una desconexión.
Un filtro de servicio (SF-1,
SF-2, SF-3, SF-4)
puede armarse, es decir, activarse, de tal manera que un mensaje de
aplicación entrante, procedente del usuario (1; 9) o del servicio
(5; 6) sea evaluado en relación con dichos criterios y, en caso de
que el resultado sea satisfactorio, la evaluación puede tener como
consecuencia, un cierto tipo de notificación, o petición,
intercambiada entre el módulo (2) de pasarela de aplicaciones y el
módulo (3) de autorización así como, probablemente, activar una
transición de estado. Si no se ha armado, o no se ha establecido,
un filtro de servicio (SF-1, SF-2,
SF-3, SF-4) para un mensaje de
aplicación entrante, la máquina de estados de contexto de servicios
(SCSM) continúa con el tratamiento del mensaje de aplicación
entrante, sin interacción alguna.
Corrientemente, se identifican diferentes
conjuntos de tipos de filtros de servicio. Un primer tipo de filtro
de servicio que proporciona el presente invento, es el tipo de
"activación", en virtud del cual un filtro de servicio así
definido es armado estáticamente para entrar en funcionamiento. Un
segundo tipo de filtro de servicio que proporciona el presente
invento es el tipo de "suceso", en virtud del cual un filtro de
servicio así definido es armado dinámicamente para entrar en
funcionamiento. Para los fines del presente invento, por "armado
estáticamente" ha de entenderse como activado durante la
configuración aplicable del módulo (2) de pasarela de aplicaciones
y del módulo (3) de autorización, lo que puede ocurrir, por ejemplo,
durante el suministro de datos operativos, mientras que por
"armado dinámicamente" ha de entenderse como activado durante
la progresión del servicio.
Además, para un tipo particular también pueden
definirse subtipos, tales como "petición" y
"notificación". El primero es aplicable cuando se suspende el
tratamiento de la progresión de un servicio hasta que se reciba una
orden apropiada para su reanudación, mientras que el segundo no
implica, necesariamente, la suspensión de un servicio.
De acuerdo con la anterior clasificación, en una
realización actualmente preferida pueden considerarse los
siguientes grupos de filtros de servicio:
- -
- "activar-petición" (SF-TR), que es un filtro de servicio armado estáticamente y responsable de la activación de una transición de estado en una instancia de SCSM y de la suspensión de la progresión del servicio cuando se encuentra, tal como un grupo de filtros para activar la autorización de servicio propiamente dicha;
- -
- "activar-notificación" (SF-TN), que es un filtro de servicio armado estáticamente y responsable de activar una notificación hacia otra entidad mientras se continúa con la progresión del servicio, tal como, por ejemplo, una indicación de tiempo de espera sometida al módulo (3) de autorización;
- -
- "suceso-petición" (SFER), que es un filtro de servicio armado dinámicamente con criterios específicos establecidos por medios funcionales adicionales y responsable de suspender la progresión del servicio cuando es encontrado, hasta que se reciban otras instrucciones desde otra entidad, tal como, por ejemplo, un módulo (2) de pasarela de aplicaciones en espera de instrucciones de un módulo (3) de autorización en relación con una nueva petición de un sub-servicio para una descarga prepago; y
- -
- "suceso-notificación" (SF-EN), que es un filtro de servicio armado dinámicamente con criterios específicos establecidos por medios funcionales adicionales y responsable de activar una notificación hacia otra entidad mientras se continúa con la progresión del servicio, tal como, por ejemplo, una indicación de la aceptación de un usuario para recibir avisos adicionales sometidos al módulo (3) de autorización.
Por ejemplo, la Fig. 4 muestra varios filtros de
servicios que pueden ser armados sobre la máquina de estados de
contexto de servicios (SCSM) del módulo (2) de pasarela de
aplicaciones. En esta realización, los filtros de servicio
"autorización-petición" (SF-1)
y "tiempo de espera" (SF-32) son armados antes
de la llegada del primer mensaje para invocar el servicio. Uno se
podría preguntar cómo pueden armarse estos filtros de servicio
(SF-1; SF-32) antes de la llegada
del primer mensaje ya que, en ese momento, todavía no se ha creado
una instancia de la SCSM. Sin embargo, una realización actualmente
preferida del invento permite que un cierto tipo de filtros de
servicios globales, que se arman estáticamente como se ha comentado
en lo que antecede, sean así operativos antes de iniciarse una
instancia de la SCSM. En el momento de iniciarse una instancia
particular de la SCSM, también se inicia la ejecución de instancias
de filtros de servicios individuales correspondientes debido a
atributos y referencias heredados de dichos filtros de servicios
globales y, en particular, se proporcionan otros medios funcionales
adicionales para sobreescribir un filtro de servicio individual, tal
como "tiempo de espera" (SF-32) en
determinadas circunstancias dentro de una instancia de SCSM,
mientras que otros filtros de servicios tales como
"información-análisis" (SF-2) y
"desconexión-petición" (SF-31),
que están dispuestos para ser armados dinámicamente, pueden ser
armados sucesivamente durante la progresión del servicio.
En relación con otras características técnicas,
pueden utilizarse los filtros de servicios
"autorización-petición" (SF-1)
e "información-análisis" (SF-2)
para evaluar campos en los mensajes recibidos en una prestación de
servicio particular identificada mediante un identificador de sesión
de servicio individual (ID_contexto_servicio) para la que se
utilizó la instancia de la SCSM. Si el contenido de los campos
sometidos a inspección coincide con los valores de filtro
aplicables cuando se pasa por una instancia de SCSM, el módulo (2)
de pasarela de servicios envía un mensaje hacia el módulo (3) de
autorización mientras que, dependiendo del subtipo de filtro
evaluado, la progresión del servicio continúa sin interrupciones, o
es interrumpida hasta la llegada de una respuesta correspondiente
desde el módulo (3) de autorización.
Se describen, además, varios casos de uso en
forma ilustrativa y no restrictiva, en términos de procedimientos
seguidos para una autorización de servicio, para tratar mensajes
subsiguientes de una misma prestación de servicio, para una
desconexión de servicio, la expiración de un tiempo de espera y la
desconexión de un servicio.
En un primer caso de uso ilustrado en la Fig. 5
y con referencia, también, a la Fig. 2, nuevas instancias de una
primera máquina de estados (SCSM) en un módulo (2) de pasarela de
aplicaciones y de una segunda máquina de estados (SPSM) en un
módulo (3) de autorización, son iniciados, respectivamente, durante
una autorización de un servicio, en el que un identificador de
contexto de servicio (ID_contexto_servicio) es generado y asignado
para correlacionar dichas otras instancias de máquinas de estados
(SCSM, SPSM) primera y segunda. El procedimiento se inicia cuando
un usuario (9) intenta acceder a un servicio (5) ofrecido a través
de una red (20) de servicios de un operador. Por tanto, el usuario
emite una petición de servicio (S-510) que incluye
un identificador de servicio, tal como una
petición-URI de http junto con un identificador de
usuario.
Al recibirse este mensaje entrante, a saber una
petición de servicio, el módulo (2) de pasarela de aplicaciones
comprueba si hay un identificador de sesión de servicio activo
(ID_contexto_servicio) para esta petición. Como esta es la primera
petición de servicio recibida del usuario (9) para acceder a este
servicio, no existe identificador de sesión de servicio asociado,
de manera que se inicia una nueva instancia de SCSM.
En este punto, y de acuerdo con una realización
del invento, se inician correspondientemente instancias de filtros
de servicios globales como filtros de servicios individuales, con
las relaciones heredadas requeridas. Por ejemplo, un filtro de
servicio "autorización-petición"
(SF-1) del tipo "activación" es aplicado como
resultado del estado "NULO" para invocar una petición de
autorización de servicio hacia el módulo (3) de autorización. No
obstante, y de acuerdo con otra realización del invento, estos
filtros de servicios globales pueden ser tratados y entendidos,
simplemente, como políticas generales a aplicar adicionalmente a
todos los mensajes que encuentren un estado predeterminado en su
instancia de SCSM particular. Por ejemplo, una vez que la prestación
del servicio particular está en estado "NULO", la primera
acción a considerar es la invocación de una petición de
autorización de servicio hacia el módulo (3) de autorización. Puede
incorporarse todavía otra realización en la que todos los filtros
de servicios sean descargados por medios de suministro, en la que
los armados estáticamente ya sean activos a partir del momento de
su alimentación, y los denominados armados dinámicamente sean
activados durante la progresión del servicio, al recibirse órdenes
individuales y, probablemente, valores individuales para coincidir
con este fin.
Independientemente de la elección entre las
realizaciones previas para suministrar y armar filtros de servicios,
se produce así una transición en esta nueva instancia de SCSM de un
estado "NULO" a un estado de
"servicio-autorización", cuando el módulo (2)
de pasarela de aplicaciones solicita (S-511) del
módulo (3) de autorización la autorización del servicio solicitado
por el usuario. A tal fin, el módulo (2) de pasarela de aplicaciones
puede incluir en la petición de autorización de servicio al menos
un elemento de información seleccionado de entre: protocolo
utilizado, tal como, por ejemplo, http; tipo de mensaje, tal como,
por ejemplo, POST; servicio solicitado, tal como, por ejemplo, un
URI solicitado; un identificador de usuario; y un filtro de servicio
posiblemente aplicable.
Al recibirse la petición de autorización de
servicio, el módulo (3) de autorización identifica al usuario,
aplica las políticas correspondientes al usuario para el servicio
solicitado y, basándose en eso, el módulo de autorización concede o
deniega el acceso al servicio. Siempre que se autorice el acceso, y
suponiendo que el módulo de autorización haya sido configurado para
controlar la progresión del servicio entre el módulo (3) de
autorización y el módulo (2) de pasarela de aplicaciones, el módulo
de autorización inicia una nueva instancia de una máquina de
estados de progresión de servicios (SPSM), en la que ocurre una
transición desde un estado "NULO" a un estado de
"servicio-autorización", y genera un nuevo
identificador de sesión de servicio (ID_contexto_servicio) para
esta prestación de servicio a ser descargado hacia el módulo (3) de
pasarela de aplicaciones.
Además y en asociación con diferentes estados
incluidos en la máquina de estados de progresión de servicios
(SPSM), hay previstos medios para armar filtros de servicio
específicos dentro de estados indicados de la máquina de estados de
contexto de servicios (SCSM). Por tanto, en asociación con un estado
particular de la SPSM, puede haber varios valores de campos de
mensajes que, una vez recibidos en el módulo (2) de pasarela de
aplicaciones, son utilizados además para armar dinámicamente un
filtro de servicio específico dentro de un estado indicado de la
SCSM. Estos valores de los campos de mensajes, cuando coinciden
durante un análisis en una instancia de SCSM determinada, pueden
provocar una "iniciación" o una entrada en funcionamiento de
un "suceso".
En otra realización alternativa, el acceso a un
servicio puede ser autorizado sin necesidad de control sobre la
progresión del servicio, en cuyo caso no se inicia instancia de SPSM
y el identificador de sesión de servicio, si se genera, es
utilizado, simplemente, con fines de correlación en el módulo (2) de
pasarela de aplicaciones.
Todavía con referencia a la Fig. 5, se envía una
respuesta (S-512) desde el módulo (3) de
autorización de vuelta al módulo (2) de pasarela de aplicaciones,
la cual incluye al menos un elemento de información seleccionado
de:
- -
- un identificador de servicio que puede ser el originalmente recibido o uno modificado;
- -
- un identificador de sesión de servicio (ID_contexto_servicio) que identifica una prestación de servicio en el módulo (2) de pasarela de aplicaciones y, probablemente, también en el módulo (3) de autorización, durante su vida útil;
- -
- varios identificadores de campos de mensajes y valores correspondientes (análisis-info-SF-valor) que se utilizan, además, para armar un filtro de servicio "información-análisis" (SF-2) dentro de un estado de "servicio activo" de la instancia de SCSM aplicable, siendo este filtro de servicio, probablemente, persistente durante la vida útil del contexto del servicio;
- -
- varios identificadores de campos de mensajes y valores correspondientes (desconexión-SF-valor) que se utilizan, además, para armar un filtro de servicio "desconexión" (SF-31) dentro de un estado de "servicio activo" de la instancia de SCSM aplicable, este filtro de servicio puede utilizarse para notificar al AM (3) cuando el usuario ha realizado una desconexión, y es probablemente persistente durante la vida útil de progresión del servicio;
- -
- un nuevo valor de tiempo de espera (tiempo de espera-valor) que se utiliza para armar dinámicamente un filtro de servicio "tiempo de espera" (SF-32) ya armado, sobreescribiendo un valor de tiempo de espera previo estáticamente armado, siendo probablemente persistente este filtro de servicio durante la vida útil de progresión del servicio, a no ser que sea sobreescrito de nuevo; y
- -
- varias transacciones para supervisar, puramente en términos de número, o en términos de lista de indicaciones específicas.
Al someter esta respuesta del módulo (3) de
autorización de vuelta al módulo (2) de pasarela de aplicaciones,
la instancia de SPSM en el módulo (3) de autorización cambia a un
estado de "servicio activo".
Sin embargo, suponiendo que se deniegue el
servicio, se envía una respuesta negativa, no mostrada en los
dibujos, de vuelta al módulo (2) de pasarela de aplicaciones, en la
que la instancia de SCSM cambia a estado "NULO" y, además, se
da por terminada la instancia de SCSM o, simplemente, se termina la
instancia de SCSM.
Al recibirse una respuesta positiva
(S-512) en el módulo (2) de pasarela de
aplicaciones, un identificador de sesión de servicio
(ID_contexto_servicio) recibido en el mensaje de respuesta, es
asociado con una instancia de SCSM. Si no se recibe identificador
de sesión de servicio (ID_contexto_servicio), entonces se deja que
la petición de servicio continúe y se suprime la SCSM asociada,
teniendo así la posibilidad de inhabilitar las características
principales del invento para los usuarios (1; 9) y proveedores de
servicios (30) sobre los que descansa absolutamente el operador
(20) de redes de servicios.
Los filtros de servicios recibidos son armados
como filtros de servicios "suceso" dentro de esta instancia de
SCSM pero, el filtro de servicio "tiempo de espera"
(SF-32) que se arma estáticamente, puede ser
sobreescrito igualmente. Entonces, la instancia de SCSM progresa a
un estado de "servicio activo". El identificador de sesión de
servicio recibido (ID_contexto_servicio) es incorporado en la
petición de servicio que se está encaminando
(S-513) hacia un servidor (5) encargado de
proporcionar (S-514, S-515) el
servicio solicitado por el usuario (9). Con este fin, puede
recibirse una dirección de dicho servidor (5) en la respuesta
procedente del módulo (3) de autorización. En caso de que se
recibiese, en su lugar, una respuesta negativa, el módulo (2) de
pasarela de aplicaciones, por sí mismo, devuelve una respuesta
negativa al usuario (9) indicándole que no está autorizado a
acceder al servicio solicitado.
En un segundo caso de uso ilustrado en la Fig. 6
y con referencia, también, a la Fig. 2, se tiene una invocación
ilustrativa de una petición de servicio
subsiguiente(S-610 a S-613)
procedente del usuario y una entrega de contenido dentro del mismo
proceso de prestación de servicio, teniendo así cualquiera de estas
peticiones de servicios y correspondientes entregas de contenido un
identificador de sesión de servicio activo (ID_contexto_servicio)
proyectado, al menos, con fines de correlación dentro del proceso de
prestación de servicio.
En este segundo caso de uso, se realiza una
suposición ilustrativa sobre si el módulo (3) de autorización ha
incluido, previamente, un valor de filtro de servicio
(análisis-info-SF-valor)
en una respuesta devuelta (S-512) al módulo (2) de
pasarela de aplicaciones durante el proceso de autorización
ilustrado en la Fig. 5. Este valor de filtro de servicio
(análisis-info-SF-valor)
estaba destinado a armar un filtro de servicio en dicho módulo (2)
de pasarela de aplicaciones para activar, nuevamente, una petición
de análisis para el módulo (3) de autorización cuando el usuario
(9) solicita un servicio particularmente específico (servicioBIS)
dentro de la misma prestación de servicio.
Así, en tanto el usuario accede
(S-610 a S-613) al mismo servicio o
a otro servicio diferente del antes citado servicio específico
(servicioBIS) para ser tratado específicamente, la progresión del
servicio continúa correlacionando la autorización merced a la
identificación del identificador de sesión de servicio
(ID_contexto_servicio) recibido. Por tanto, al recibirse un mensaje
entrante, el módulo de pasarela de aplicaciones accede a la
instancia de SCSM a través del identificador de sesión de servicio
(ID_contexto_servicio) incluido en el mensaje que, en este caso, es
un estado de "servicio activo". En esta etapa, los filtros de
servicios "información-análisis"
(SF-2) y "desconexión" (SF-31)
se evalúan para el mensaje entrante con el identificador de sesión
de servicio (ID_contexto_servicio) dado.
Al recibirse una petición de servicio
(S-614) procedente del usuario (9), que solicita el
anterior servicio específico (servicioBIS), el módulo (2) de
pasarela de aplicaciones encuentra un filtro de servicio
"información-análisis" (SF-2)
armado bajo la instancia de SCSM identificada por el identificador
de sesión de servicio (ID_contexto_servicio) recibido. El servicio
(servicioBIS) solicitado por el usuario coincide con el valor del
filtro de servicio recibido
(análisis-info-SF-valor)
procedente del módulo (3) de autorización para armar dicho filtro, y
el módulo de pasarela de aplicaciones activa
(S-615) una petición de análisis específico de
vuelta al módulo de autorización, como se ha descrito en lo que
antecede. Esta petición de análisis específico incluye, al menos,
un elemento seleccionado de entre: protocolo utilizado, tal como,
por ejemplo, http; tipo de mensaje, tal como, por ejemplo, POST;
servicio solicitado (servicioBIS); un identificador de usuario; un
identificador de sesión de servicio (ID_contexto_servicio); y un
filtro de servicio aplicable, aplicado.
El módulo de autorización que recibe la petición
de análisis (S-615) para este servicio específico
(servicioBIS), accede a la instancia de SCSM identificada por el
identificador de sesión de servicio (ID_contexto_servicio) recibido
y, basándose en el estado particular aplicable en ese momento, al
usuario y al servicio solicitado les serían de aplicación
diferentes políticas. A este respecto, y de acuerdo con una
realización actualmente preferida, estas políticas se incorporan en
términos de filtros de servicios globales que pueden ser ejecutados
como filtros de servicios individuales con atributos particulares y
asignables a instancias de SPSM particulares. Esta realización
permite un suministro armonizado de filtros de servicios globales en
el módulo (3) de autorización, tanto propiamente aplicables como
aplicables externamente, como los que han de establecerse en el
módulo (2) de pasarela de aplicaciones. En otra realización, estas
políticas así como las originalmente aplicadas para determinar si
puede concederse o no una prestación de servicio, pueden ser
llevadas a la práctica disponiendo de medios de tratamiento para
determinar si un usuario, al que se le ha concedido una prestación
de servicio completa, puede acceder en ese momento a un servicio
particularmente específico (servicioBIS), así marcado para
autorización adicional cuando es solicitado por el usuario.
Como resultado de la aplicación de, al menos,
una de estas políticas en el módulo (3) de autorización, el acceso
puede concederse sin restricciones, o puede devolverse otro servicio
específico (servicioTER) para reemplazar a un servicio previo
solicitado (servicioBIS), o puede activarse una desconexión forzada.
Un ejemplo de esta situación se tendría cuando un usuario al que se
le ha concedido acceso a un
"servicio-ver-TV" a través de
Internet, en cuyo servicio se incluyen varios canales que pueden ser
seleccionados de forma alternativa por el usuario y que no requiere
más autorización ya que la petición del usuario incluye un
identificador de sesión de servicio (ID_contexto_servicio). Además,
este servicio "servicio-ver-TV"
podría incluir, eventualmente, otros varios canales que el usuario
puede seleccionar alternativamente y por los cuales se le factura
por separado al usuario (servicioBIS). Por tanto, al seleccionar
uno de estos últimos canales, podría remitirse al usuario a otro
servicio (servicioTER) en el que se le facturase de forma apropiada
o en el que se pediría al usuario su registro o datos de
autorización.
Luego, cuando el módulo de autorización ha
tratado la política aplicable al usuario y al servicio,
preferiblemente en términos de filtros de servicios, y ha
determinado uno de los anteriores resultados: acceso concedido;
desconexión o conexión a otro servicio (servicioTER), el módulo (3)
de autorización devuelve (S-616) al módulo (2) de
pasarela de aplicaciones, la respuesta correspondiente. El módulo de
pasarela de aplicaciones encamina entonces (S-617)
la petición de servicio a un servidor encargado del nuevo servicio
indicado (servicioTER), siendo el servidor, en particular, el mismo
(5) que antes, y dicho servidor proporciona (S-618,
S-619) al usuario el contenido adecuado para el
servicio solicitado.
En términos más generales, y de forma aplicable
a otros servicios más sofisticados que el descrito en forma
ilustrativa en lo que antecede, la respuesta (S-616)
del módulo de autorización al módulo de pasarela de aplicaciones
incluye, al menos, un elemento seleccionado de entre:
- -
- un identificador de servicio que puede ser el recibido originalmente o uno modificado;
- -
- varios identificadores nuevos de campos de mensajes y/o nuevos valores correspondientes (análisis-info_SF-valor) que se utilizan, además, para armar un filtro de servicio "información-análisis" (SF-2) dentro de un estado de "servicio activo" de la instancia de SCSM aplicable;
- -
- varios identificadores nuevos de campos de mensajes y/o nuevos valores correspondientes (desconexión-SF-valor) que se utilizan, además, para armar un filtro de servicio "desconexión" (SF-11) dentro de un estado de "servicio-activo" de la instancia de SCSM aplicable; y
- -
- un nuevo valor de tiempo de espera (tiempo de espera-valor) que se utiliza para armar dinámicamente un filtro de servicio "tiempo de espera" (SF-32) ya armado, sobreescribiendo un valor previo de tiempo de espera.
En la Fig. 7 se ilustra un tercer caso de uso,
también con referencia a la Fig. 2. Este tercer caso de uso, como
el segundo caso de uso representado en la Fig. 6, comienza con una
invocación ilustrativa de una petición de servicio subsiguiente
(S-610, S-611) del usuario y una
entrega de contenido (S-612, S-613)
dentro del mismo proceso de prestación de servicio, incluyendo
tanto la petición de servicio como la entrega de contenido, el
identificador de sesión de servicio activo dado
(ID_contexto_servicio) con fines de correlación dentro de dicho
proceso de prestación de servicio.
En este tercer caso de uso ilustrado en la Fig.
7, el usuario (9) inicia explícitamente una desconexión enviando
(S-714) una petición de servicio que indica una
desconexión deseada (servicioDESCONEXIÓN solicitado).
Cuando se recibe dicha petición de desconexión
(S-714) en el módulo (2) de pasarela de aplicaciones
(AGM), el filtro de servicio
"desconexión-petición" (SF-31),
que se armó previamente dentro de la correspondiente instancia de
SCSM en el AGM (2) al recibir una indicación correspondiente del
módulo (3) de autorización (AM) durante el proceso de autorización,
o durante una petición de servicio previa, se encuentra aplicable y,
en consecuencia, con los valores
(desconexión-SF-valor) establecidos
para este filtro, dicho suceso es comunicado
(S-715) al AM (3). Por tanto, la comunicación de
dicho suceso incluye, al menos, un elemento seleccionado de entre:
protocolo utilizado, tal como, por ejemplo, http; tipo de mensaje,
tal como, por ejemplo, POST; servicio solicitado, tal como, por
ejemplo, un URI solicitado; un identificador de usuario; un
identificador de sesión de servicio (ID_contexto_servicio); y un
filtro de servicio posiblemente detectado.
Al recibirse dicha petición, la instancia de
SPSM en el AM (3) lleva a cabo una transición desde el estado de
"servicio activo" al estado de "desconectar servicio". Se
suprime el identificador de sesión de servicio
(ID_contexto_servicio) y desaparece la instancia de SPSM. Se
devuelve una respuesta (S-716) al AGM (2) y,
también, ocurre una transición en la instancia de SCSM, desde el
estado de "servicio activo" al estado de "desconectar
servicio", al igual que una supresión de las referencias al
identificador corriente de sesión de servicio
(ID_contexto_servicio) en la instancia de SCSM.
Si dicha comunicación anterior respondía a una
petición, la SCSM del AGM (2) espera instrucciones
(S-716) del AM. De otro modo, en caso de una
notificación, se lleva a cabo un estado de transición en la
instancia de SCSM, entre los estados de "servicio activo" y
"desconectar servicio", sin esperar acuse de recibo.
Se puede informar (S-717) de la
desconexión del usuario, dependiendo de características particulares
del proceso de prestación de servicio individual, al servidor
encargado del servicio (5), que puede entregar
(S-718, S-719) un contenido final
al usuario, tal como un cierto tipo de página de "adiós", por
ejemplo.
Un cuarto caso de uso se ilustra en l Fig. 8,
también con referencia a la Fig. 2. Este cuarto caso de uso, como
los anteriores, se inicia con una invocación ilustrativa de una
petición de servicio subsiguiente (S-610,
S-611) procedente del usuario y una entrega de
contenido (S-612, S-613) dentro del
mismo proceso de prestación de servicio con un identificador de
sesión de servicio activo (ID_contexto_servicio).
Durante este caso de uso, el usuario (5) ha sido
conectado con un servicio (5) y tiene un identificador de sesión de
servicio (ID_contexto_servicio) asignado, pero el usuario no ha
accedido al servicio durante un largo período. Durante este período
de inactividad corre un temporizador de inactividad y, al expirar,
es activado un filtro de servicio "tiempo de espera" para la
instancia de SCSM aplicable en el módulo (2) de pasarela de
aplicaciones (AGM). Luego, el AGM (2) comunica tal suceso, a saber,
que ningún mensaje ha pasado por el AGM con un identificador de
sesión de servicio dado (ID_contexto_servicio), al módulo (3) de
autorización (AM), incluyendo esta comunicación
(S-815) al menos un elemento seleccionado de entre:
el identificador de sesión de servicio dado (ID_contexto_servicio);
y el filtro de servicio detectado "tiempo de espera".
Al recibirse dicha comunicación, la instancia de
SPSM correlacionada en el módulo (3) de autorización lleva a cabo
una transición al estado "desconectar servicio", suprime las
referencias al identificador de sesión de servicio dado
(ID_contexto_servicio), y devuelve un acuse de recibo
correspondiente (S-816) al módulo (2) de pasarela
de aplicaciones (AGM). Al recibirse esta respuesta, la instancia de
SCSM en el AGM pasa del estado de "servicio activo" al estado
de "desconectar servicio" y suprime, asimismo, las referencias
al identificador de sesión de servicio dado
(ID_contexto_servicio).
Cualquier otra petición de servicio recibida
(S-810) desde el usuario (5) con dicho identificador
de sesión de servicio (ID_contexto_servicio) suprimido, devuelve
(S-819) una respuesta negativa que indica la
finalización del tiempo de espera u otras razones para no autorizar
la petición de servicio (desautorizada).
En la Fig. 9 se ilustra un quinto caso de uso,
también con referencias a la Fig. 2. Este quinto caso de uso, como
los anteriores, comienza con una invocación ilustrativa de una
petición de servicio subsiguiente (S-610,
S-611) procedente del usuario y entrega contenidos
(S-612, S-613) dentro del mismo
proceso de prestación de servicio con un identificador
(ID_contexto_servicio) de sesión de servicio activo.
Este caso de uso ilustrativo presenta un
mecanismo por el que el operador de redes de servicios puede
interrumpir la progresión de un servicio en cualquier momento. Por
tanto, en el módulo (3) de autorización (AM) hay previstos medios
para establecer otras políticas de operador, que pueden ser
globalmente aplicables tanto sobre una base por usuario como una
base por servicio, que le permiten al operador detener un servicio
autorizado evitando su progresión a través de medios de control del
módulo (3) de autorización. De acuerdo con una realización
actualmente preferida ya introducida en lo que antecede para un caso
de uso previo, estas políticas pueden incorporarse en términos de
filtros de servicios globales que pueden ser ejecutados como filtros
de servicios con atributos particulares y asignables a instancias
de SPSM particulares. Además, también de acuerdo con otra
realización ya introducida en lo que antecede, estas políticas
pueden ser llevadas a cabo disponiendo de medios de tratamiento
para determinar si un usuario, al que se le ha concedido una
prestación de servicio completa, puede continuar en ese momento con
dicho servicio. En otras palabras, debido a la aplicación de, al
menos, una de estas políticas al módulo (3) de autorización (AM),
puede activarse una desconexión de servicio o una desconexión
forzada hacia el módulo (2) de pasarela de aplicaciones (AGM), una
vez que se ha realizado una transición entre los estados de
"servicio activo" y "desconectar servicio" en la
correspondiente instancia de SPSM y se han terminado tanto dicha
instancia de SPSM como el identificador de sesión de servicio
(ID_contexto_servicio). Luego, la Fig. 9 ilustra como el AGM (2)
envía una petición de desconexión (S-908) hacia el
AGM (2), que incluye al menos un elemento seleccionado de entre:
identificador de usuario, e identificador de sesión de servicio
(ID_contexto_servicio).
Al recibirse (S-908) dicha
petición de desconexión en el AGM (2), se identifica una instancia
de SCSM utilizando el identificador de sesión de servicio
(ID_contexto_servicio) dado, se lleva a cabo una transición entre
los estados "servicio activo" y "desconectar servicio" en
dicha instancia de SCSM, se suprimen tanto dicha instancia de SCSM
como dicho identificador de sesión de servicio
(ID_contexto_servicio) dado, así como sus referencias, y se
devuelve una respuesta (S-909) al módulo (3) de
autorización. Como en el caso de uso previo, cualquier otra
petición de servicio es recibida (S-910) desde el
usuario (5) con el identificador de sesión de servicio
(ID_contexto_servicio) recientemente terminado, devuelve
(S-819) una respuesta negativa que indica,
posiblemente, la razón por la que se ha finalizado el servicio
(desautorizado).
Aparte de los casos de uso anteriores, otros
servidores (7; 8) de aplicaciones y otros sistemas de suministro,
no mostrándose los últimos en los dibujos, pueden interactuar
también con el módulo (3) de autorización, con el fin de llevar a
cabo acciones como las enumeradas más adelante en forma no
exhaustiva:
- -
- leer datos asociados con una instancia de servicio específico identificada mediante un identificador de sesión de servicio dado, a saber, una instancia de SPSM o una instancia de SCSM, incluyendo datos establecidos para filtros de servicios aplicables dentro de dicha instancia de servicio particular;
- -
- solicitar la desconexión de una instancia de servicio particular identificada mediante un identificador de sesión de servicio dado, por lo que el módulo (3) de autorización, al llegar este mensaje, activa una petición de desconexión hacia el módulo (2) de pasarela de aplicaciones; y
- -
- suministrar nuevos valores aplicables a un filtro de servicio dado, en términos de, al menos, un elemento seleccionado de entre: varios criterios de coincidencia y varias acciones a realizar en caso de coincidencia, asociados con una instancia de servicio dada identificada por un identificador de sesión de servicio dado, siendo la instancia de servicio una instancia de SPSM, o una instancia de SCSM, o ambas.
Los servidores de aplicaciones (7; 8) o sistemas
de suministro, que desean interactuar con el módulo (3) de
autorización para llevar a cabo acciones relacionadas con una
instancia de servicio, sobre una base de datos o de estados,
necesitan un identificador (ID_contexto_servicio) de sesión de
servicio con el fin de identificar dicha instancia de servicio.
En lo que sigue se describen varios casos de uso
básicos que se ilustran, básicamente, en la Fig. 2, en forma
ilustrativa para mostrar mejor cómo el uso de un servicio por un
usuario puede ser verificado dentro de la red de servicios
(20).
Un primer caso de uso de un mecanismo de
verificación puede ser, por ejemplo, un tipo de "facturación en
tiempo real" para un servicio ofrecido por un operador (20) de
redes de servicios, pero desplegado por un tercero, proveedor de
servicios (30). A este respecto, el operador es responsable de
facturar al usuario por el uso del servicio; sin embargo, la
información de tal uso del servicio procede del tercero proveedor de
servicios (SP). El operador tiene que garantizar que el usuario al
que se facturará está accediendo corrientemente a este servicio.
Para ello, un acuerdo de nivel de servicio (SLA) firmado entre un
operador y un proveedor de servicios, establece que un
identificador (ID_contexto_servicio) de sesión de servicio asignado,
que siempre se incluye en los mensajes de aplicación intercambiados
(I-1x; I-2x; I-4x)
entre el usuario (1; 9) y el servidor de servicios (5; 6) también
se incluye en mensajes (I-6x) desde el proveedor se
servicios a un sistema (8) de facturación del operador y que afecta
a los registros de facturación del mismo. Este identificador de
sesión de servicios (ID_contexto_servicio) es utilizado para
preguntar (I-8x) al módulo (3) de autorización con
el fin de comprobar y garantizar que el identificador de sesión de
servicio dado (ID_contexto_servicio) pertenece a una instancia de
servicio activa (ID_contexto_servicio). Suponiendo que la cuenta de
usuario se haya agotado, el sistema (8) de facturación puede
activar una petición de desconexión para el usuario hacia el módulo
(3) de autorización y el último aplica, de preferencia, un
procedimiento similar al descrito anteriormente en un caso de uso
general previo hacia el módulo (2) de pasarela de aplicaciones. El
sistema (8) de facturación, el módulo (3) de autorización y el
módulo (2) de pasarela de aplicaciones, hacen uso, todos ellos, del
identificador de sesión de servicio (ID_contexto_servicio) dado
para identificar la instancia de servicio involucrada, a saber, la
instancia de SPSM y la instancia de SCSM.
Un segundo caso de uso de un mecanismo de
verificación puede ser, por ejemplo, el uso de un habilitador (7)
de servicio, perteneciente a la red (20) de servicios, por un
tercero proveedor de servicios (30). A este respecto, el operador
de las redes de servicios puede haber firmado un acuerdo de nivel de
servicio (SLA) con el tercero proveedor de servicios para permitir
que el último haga uso de un habilitador de servicio solamente
cuando el usuario accede a un servicio que requiera características
proporcionadas por dicho habilitador de servicio. Por tanto, el
operador de redes de servicios requiere que las preguntas
(I-5x) del proveedor de servicios (5) dirigidas al
habilitador de servicios (7) incluyan, siempre, un identificador de
sesión de servicio (ID_contexto_servicio) para identificar la
instancia de servicio implicada, a saber la instancia de SPSM o la
instancia de SCSM, o ambas. De forma similar que para el mecanismo
de verificación previo, el habilitador de servicios hace uso de
dicho identificador de sesión de servicio (ID_contexto_servicio)
para preguntar (I-7x) al módulo (3) de autorización
con el fin de comprobar y garantizar que el identificador de sesión
de servicio (ID_contexto_servicio) dado pertenece a una instancia
de servicio activa.
El invento del solicitante se ha descrito en lo
que antecede en relación con diversas realizaciones que se pretende
que sean ilustrativas y no restrictivas. Se espera que los expertos
normales en esta técnica puedan modificar estas realizaciones. El
alcance del invento del solicitante está definido por las
reivindicaciones en conjunto con la descripción y los dibujos y se
pretende que todas las modificaciones que caigan dentro de alcance
de estas reivindicaciones estén incluidas en ellas.
Claims (30)
1. Un módulo (2) de pasarela de aplicaciones
adecuado para uso en un sistema de telecomunicaciones en el que una
red (20) de servicios está dispuesta para autenticar un usuario (1;
9) y autorizar al usuario para acceder a un servicio (5; 6)
ofrecido por un proveedor de servicios (30), estando dispuesto el
módulo (2) de pasarela de aplicaciones para interceptar
(I-2, I-4; I-2x,
I-4x) mensajes de aplicación entre el usuario y el
servicio y para identificar dicho usuario y dicho servicio, y que
incluye:
- -
- medios para obtener una decisión de autorización (I-3; I-3x) sobre si se le permite al usuario acceder al servicio;
cuyo módulo (2) de pasarela de aplicaciones se
caracteriza porque comprende:
- -
- medios para asignar un identificador de sesión de servicio (ID_contexto_servicio) destinado a identificar los mensajes de aplicación intercambiados entre el usuario y el servicio y porque pertenece a una misma prestación de servicio autorizada para dicho usuario;
- -
- medios para configurar una primera máquina de estados finitos (SCSM) con varios estados destinados a identificar sucesos específicos en la prestación de servicio cuando puede controlarse la progresión del servicio; y
- -
- medios para activar políticas de servicio (SF) aplicables a dichos sucesos específicos y que tienen como resultado un estado de transición.
2. El módulo de pasarela de aplicaciones de la
reivindicación 1, en el que los medios para asignar un identificador
de sesión de servicio (ID_contexto_servicio) incluyen medios para
iniciar una instancia específica de la primera máquina de estados
finitos (SCSM), identificándose dicha instancia específica mediante
el identificador de sesión de servicio asignado
(ID_contexto_servicio).
3. El módulo de pasarela de servicios de la
reivindicación 2, en el que los medios para activar políticas de
servicio (SF) incluyen medios para establecer al menos un elemento
seleccionado de entre una lista no exhaustiva de referencias y
atributos que comprende: varios valores de campos de mensajes para
coincidencia, varias acciones específicas para llevar a cabo en
caso de coincidencia, diversos valores de temporizador a ejecutar y
varias transacciones a supervisar.
4. El módulo de pasarela de servicios de la
reivindicación 2, en el que los medios para activar políticas de
servicio (SF) incluyen medios para activar una política de servicio
global independientemente de cualquier prestación de servicio en
progreso.
5. El módulo de pasarela de servicios de la
reivindicación 2, en el que los medios para activar políticas de
servicio (SF) incluyen medios para iniciar una instancia de una
política de servicio global para aplicar, como política de servicio
individual dentro de una instancia específica de la primera máquina
de estados finitos (SCSM), los atributos y las referencias
heredados de política de servicio individual de la política de
servicio global.
6. El módulo de pasarela de servicios de la
reivindicación 5, que comprende además medios para sobreescribir
referencias y atributos de una política de servicio individual con
nuevas referencias y atributos durante la progresión de un servicio
gestionado con una instancia específica de la primera máquina de
estados finitos (SCSM).
7. El módulo de pasarela de servicios de la
reivindicación 5, en el que un estado particular está asociado con
varias políticas de servicio individuales (SF-31;
SF-32) dentro de una instancia específica de la
primera máquina de estados finitos (SCSM), viniendo identificada
dicha instancia por un identificador de sesión de servicio dado
(ID_contexto_servicio).
8. El módulo de pasarela de servicios de la
reivindicación 2, en el que los medios para obtener una decisión de
autorización incluyen medios para solicitar una autorización de
servicio de un módulo (3) de autorización como se reivindica en la
reivindicación 15.
9. El módulo de pasarela de servicios de la
reivindicación 8, en el que los medios para activar políticas de
servicio (SF) incluyen medios para recibir, del módulo (3) de
autorización, al menos un elemento aplicable para establecer una
política de servicio, el elemento seleccionado de entre una lista no
exhaustiva de referencias y atributos que comprende: varios valores
de campos de mensajes para coincidencia, varias acciones específicas
para ejecutarlas ante una coincidencia, diversos valores de
temporizador para su ejecución, y varias transacciones a
supervisar.
10. El módulo de pasarela de servicios de la
reivindicación 8, en el que los medios para activar políticas de
servicio (SF) incluyen medios para recibir una política de servicio
global desde el módulo (3) de autorización.
11. El módulo de pasarela de servicios de la
reivindicación 8, que comprende, además, medios para recibir
referencias y atributos desde el módulo (3) de autorización,
aplicables para sobreescribir una política de servicio individual
con nuevas referencias y atributos durante la progresión de un
servicio gestionado dentro de una instancia específica de la
primera máquina de estados finitos (SCSM).
12. El módulo de pasarela de servicios de la
reivindicación 8, que comprende además medios para notificar al
módulo (3) de autorización, un suceso específico en la progresión de
un servicio.
13. El módulo de pasarela de servicios de la
reivindicación 8, que comprende además medios para solicitar el
módulo (3) de autorización un tratamiento ulterior para determinar
una acción apropiada para continuar con la progresión del
servicio.
14. El módulo de pasarela de servicios de la
reivindicación 13, que comprende además medios para recibir del
módulo (3) de autorización una instrucción seleccionada de entre:
acceso concedido sin restricciones, otro servicio (servicioTER)
para sustituir a un servicio previamente solicitado (servicioBIS),
desconexión forzada e indicación de una transición de estado.
15. Un módulo (3) de autorización adecuado para
uso en un sistema de telecomunicaciones en el que una red de
servicios (20) está dispuesta para autenticar a un usuario (1; 9) y
para autorizar al usuario para que acceda a un servicio (5; 6)
ofrecido por un proveedor (30) de servicios, cuyo módulo (3) de
autorización está dispuesto para decidir si a un usuario (1; 9) se
le permite, o no, acceder a un servicio (5, 6) y que tiene:
- -
- medios para recibir una petición de autorización de servicio (S-511) desde un módulo (2) de pasarela de servicios como se reivindica en la reivindicación 1; y
- -
- medios para devolver al módulo (2) de pasarela de aplicaciones una respuesta sobre si al usuario (1; 9) se le concede, o no, acceso al servicio solicitado (5; 6);
cuyo módulo (3) de autorización, se
caracteriza porque comprende:
- -
- medios para generar un identificador de sesión de servicio (ID_contexto_servicio) destinado a correlacionar los mensajes de aplicación intercambiados entre el usuario y el servicio y que pertenecen a una misma prestación de servicio autorizada para dicho usuario;
- -
- medios para configurar una segunda máquina de estados finitos (SPSM) con varios estados destinados a identificar sucesos específicos en una progresión de un servicio cuando el módulo de autorización está dispuesto para actuar sobre el módulo de pasarela de aplicaciones a fin de controlar la progresión del servicio; y
- -
- medios para determinar políticas de servicio (SF) aplicables a dichos sucesos específicos y cuya consecuencia es una transición de estado.
16. El módulo de autorización de la
reivindicación 15, en el que los medios para generar un
identificador de sesión de servicio (ID_contexto_servicio)
comprenden medios para incluir dicho identificador de sesión de
servicio (ID_contexto_servicio) en la respuesta
(S-512) que ha de devolverse al módulo (2) de
pasarela de aplicaciones acerca de si al usuario (1; 9) se le
concede acceso al servicio solicitado (5; 6).
17. El módulo de autorización de la
reivindicación 16, en el que los medios para generar un
identificador de sesión de servicio (ID_contexto_servicio) incluyen
medios para iniciar una instancia específica de la segunda máquina
de estados finitos (SPSM), identificándose dicha instancia
específica mediante dicho identificador de sesión de servicio
(ID_contexto_servicio).
18. El módulo de autorización de la
reivindicación 17, en el que un estado particular está asociado con
varias políticas de servicio dentro de una instancia específica de
la segunda máquina de estados finitos (SPSM), identificándose dicha
instancia mediante un identificador de sesión de servicio
(ID_contexto_servicio) dado.
19. El módulo de autorización de la
reivindicación 15, en el que los medios para determinar políticas de
servicio comprenden medios para incluir en la respuesta
(S-512) dirigida al módulo (2) de pasarela de
aplicaciones, al menos un elemento de información para activar una
política de servicio (SF-2) dentro de un estado
específico del módulo de pasarela de aplicaciones, seleccionándose
dicho al menos un elemento de información de entre una lista no
exhaustiva de referencias y atributos que comprende:
- -
- diversos valores de campos de mensajes (análisis-info-SF-valor; desconexión-SF-valor) para coincidencia;
- -
- un conjunto de acciones a ejecutar en caso de coincidencia de un valor de campo de mensaje dado;
- -
- varios valores nuevos de temporizador (tiempo de espera-valor) a ejecutar; y
- -
- diversas transacciones a supervisar.
20. El módulo de autorización de la
reivindicación 19, en el que los medios para incluir en la respuesta
(S-512) dirigida al módulo (2) de pasarela de
aplicaciones al menos un elemento de información para activar una
política de servicio, incluye medios para indicar que se trata de
una política de servicio global a aplicar con independencia de
cualquier prestación de servicio en progreso.
21. El módulo de autorización de la
reivindicación 16, que comprende además medios para recibir una
notificación, de un módulo (2) de pasarela de aplicaciones como se
reivindica en la reivindicación 1, que indica un suceso específico
detectado en una progresión de un servicio.
22. El módulo de autorización de la
reivindicación 16, que comprende además medios para recibir una
petición, procedente de un módulo (2) de pasarela de aplicaciones
como se reivindica en la reivindicación 1, que solicita una
instrucción para proceder con la progresión de un servicio.
23. El módulo de autorización de la
reivindicación 22, que comprende además medios para enviar al módulo
(2) de pasarela de aplicaciones una instrucción seleccionada de
entre: acceso concedido sin restricciones, otro servicio
(servicioTER) para sustituir a un servicio previo solicitado
(servicioBIS), desconexión forzada, e indicación de una transición
de estado.
24. El módulo de autorización de la
reivindicación 16, que comprende además medios para recibir un
mensaje de aplicación (I-7x; I-8x)
de al menos una entidad seleccionada de entre varios servidores (7;
8) de aplicaciones y sistemas proveedores, incluyendo el mensaje de
aplicación un identificador de sesión de servicio
(ID_contexto_servicio) dado para identificar una instancia
específica de la segunda máquina de estados finitos (SPSM) del
módulo (3) de autorización.
25. Un método para autorizar a un usuario (1; 9)
de una red (20) de servicios a acceder a un servicio ofrecido por
un servidor (5; 6) de servicios de un proveedor (30) de servicios,
cuyo usuario (1; 9) ya ha sido autenticado por la red de servicios,
estando dispuesto el servidor (5; 6) para entregar un servicio que
comprende una pluralidad de transacciones intercambiando una
pluralidad de mensajes de aplicación con el usuario (1; 9), cuyo
método comprende el paso de:
- -
- obtener una primera decisión (I-3; I-3x) de autorización sobre si se le permite o no al usuario acceder al servicio;
cuyo método se caracteriza porque
comprende los pasos de:
- -
- generar y asignar un identificador de sesión de servicio (ID_contexto_servicio) destinado a identificar los mensajes de aplicación intercambiados entre el usuario y el servicio y que pertenecen a una misma prestación de servicio autorizada para dicho usuario;
- -
- configurar al menos una máquina de estados finitos (SCSM; SPSM) con varios estados destinados a identificar sucesos específicos en la prestación del servicio cuando puede controlarse la progresión del servicio; y
- -
- activar políticas de servicio (SF) aplicables a dichos sucesos específicos y que tienen como consecuencia una transición de estado.
26. El método de la reivindicación 25, en el que
el paso de generar y asignar un identificador de sesión de servicio
(ID_contexto_servicio) incluye iniciar una instancia específica de
dicha al menos una máquina de estados finitos (SPSM; SCSM),
identificándose dicha instancia específica mediante el identificador
de sesión de servicio asignado (ID_contexto_servicio).
27. El método de la reivindicación 26, en el que
un estado particular dentro de la instancia específica de dicha al
menos una máquina de estados finitos (SCSM; SPSM) está asociado con
varias políticas de servicios (SF-1;
SF-2; SF-31;
SF-32).
28. El método de la reivindicación 25, en el que
el paso de activar políticas de servicio (SF) incluye establecer al
menos un elemento seleccionado de entre una lista no exhaustiva de
referencias y atributos que comprende: diversos valores de campos
de mensajes para coincidencia, varias acciones específicas a
ejecutar en caso de coincidencia, diversos valores de temporizador
a ejecutar, y varias transacciones a supervisar.
29. El método de la reivindicación 25, que
comprende además recibir, en la red (20) de servicios, un mensaje
de aplicación originado en una entidad seleccionada de entre: varios
servidores (5; 6) de servicios de un proveedor (30) de servicios y
varias entidades de un sistema proveedor, incluyendo el mensaje de
aplicación un identificador de sesión de servicio
(ID_contexto_servicio) dado destinado a identificar una instancia
específica de dicha al menos una máquina de estados finitos (SCSM;
SPSM).
30. El método de la reivindicación 25, en el que
el paso de configurar dicha al menos una máquina de estados finitos
comprende configurar una primera máquina de estados finitos (SCSM)
en un módulo (2) de pasarela de aplicaciones como se reivindica en
la reivindicación 1, y configurar una segunda máquina de estados
finitos (SPSM) en un módulo (3) de autorización como se reivindica
en la reivindicación 15.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/SE2003/001654 WO2005041530A1 (en) | 2003-10-24 | 2003-10-24 | Means and method for controlling service progression between different domains |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| ES2287534T3 true ES2287534T3 (es) | 2007-12-16 |
Family
ID=34511396
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| ES03770191T Expired - Lifetime ES2287534T3 (es) | 2003-10-24 | 2003-10-24 | Medios y metodo para controlar la progresion de servicios entre diferentes dominios. |
Country Status (9)
| Country | Link |
|---|---|
| US (1) | US8064891B2 (es) |
| EP (1) | EP1676410B1 (es) |
| JP (1) | JP4491652B2 (es) |
| CN (1) | CN100592735C (es) |
| AT (1) | ATE366023T1 (es) |
| AU (1) | AU2003278659A1 (es) |
| DE (1) | DE60314673T2 (es) |
| ES (1) | ES2287534T3 (es) |
| WO (1) | WO2005041530A1 (es) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1891821A2 (en) * | 2005-06-15 | 2008-02-27 | TELEFONAKTIEBOLAGET LM ERICSSON (publ) | Method and apparatus for providing a telecommunications service |
| US8141138B2 (en) * | 2005-10-17 | 2012-03-20 | Oracle International Corporation | Auditing correlated events using a secure web single sign-on login |
| US7613426B2 (en) * | 2005-12-20 | 2009-11-03 | Microsoft Corporation | Proximity service discovery in wireless networks |
| US8478300B2 (en) * | 2005-12-20 | 2013-07-02 | Microsoft Corporation | Proximity service discovery in wireless networks |
| US8559350B2 (en) * | 2005-12-20 | 2013-10-15 | Microsoft Corporation | Mechanism to convey discovery information in a wireless network |
| US8955094B2 (en) * | 2006-01-17 | 2015-02-10 | International Business Machines Corporation | User session management for web applications |
| US10681151B2 (en) | 2006-05-15 | 2020-06-09 | Microsoft Technology Licensing, Llc | Notification framework for wireless networks |
| GB2443889A (en) | 2006-11-20 | 2008-05-21 | Skype Ltd | Method and system for anonymous communication |
| GB0623621D0 (en) * | 2006-11-27 | 2007-01-03 | Skype Ltd | Communication system |
| GB0623622D0 (en) * | 2006-11-27 | 2007-01-03 | Skype Ltd | Communication system |
| JP5295120B2 (ja) * | 2006-12-06 | 2013-09-18 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ジッタバッファ制御 |
| CN101589573B (zh) * | 2007-01-26 | 2012-03-21 | 艾利森电话股份有限公司 | 用于向内容提供商提供网络资源的方法和设备 |
| US10110530B2 (en) * | 2007-02-02 | 2018-10-23 | Iconix, Inc. | Authenticating and confidence marking e-mail messages |
| CN101056185A (zh) * | 2007-03-26 | 2007-10-17 | 华为技术有限公司 | 订购业务处理方法和系统、及网关设备 |
| US8107921B2 (en) | 2008-01-11 | 2012-01-31 | Seven Networks, Inc. | Mobile virtual network operator |
| JP5052367B2 (ja) | 2008-02-20 | 2012-10-17 | 株式会社リコー | 画像処理装置、認証パッケージインストール方法、認証パッケージインストールプログラム、及び記録媒体 |
| US9105031B2 (en) | 2008-02-22 | 2015-08-11 | Microsoft Technology Licensing, Llc | Authentication mechanisms for wireless networks |
| CN102292933B (zh) * | 2008-11-26 | 2014-05-07 | 意大利电信股份公司 | 用于监视经由基于分组的网络提供的业务的系统与方法 |
| US8363599B2 (en) * | 2009-10-07 | 2013-01-29 | Telefonaktiebolaget L M Ericsson (Publ) | Method and internet protocol short message gateway (IP-SM-GW) for providing an interworking service between converged IP messaging (CPM) and short message service (SMS) |
| US9497088B2 (en) * | 2013-08-29 | 2016-11-15 | Oracle International Corporation | Method and system for end-to-end classification of level 7 application flows in networking endpoints and devices |
| US20150134818A1 (en) * | 2013-11-13 | 2015-05-14 | CubeITz Ltd | Data sharing method and data sharing gateway configuration |
| CN104158722B (zh) * | 2014-07-21 | 2016-11-09 | 小米科技有限责任公司 | 用于轻应用的消息推送方法、装置、终端及服务器 |
| US11290425B2 (en) * | 2016-02-01 | 2022-03-29 | Airwatch Llc | Configuring network security based on device management characteristics |
| US10567276B2 (en) | 2016-08-05 | 2020-02-18 | Huawei Technologies Co., Ltd. | Virtual network pre-configuration in support of service-based traffic forwarding |
| US10855793B2 (en) * | 2017-09-25 | 2020-12-01 | Splunk Inc. | Proxying hypertext transfer protocol (HTTP) requests for microservices |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6563915B1 (en) * | 1998-01-09 | 2003-05-13 | At&T Corp. | Method and apparatus for an automatic barge-in system |
| WO2000046963A1 (en) * | 1999-02-04 | 2000-08-10 | Apion Telecoms Limited | A telecommunications gateway |
| US6441778B1 (en) * | 1999-06-18 | 2002-08-27 | Jennifer Durst | Pet locator |
| US6925297B2 (en) * | 2000-09-19 | 2005-08-02 | Nortel Networks, Limited | Use of AAA protocols for authentication of physical devices in IP networks |
| WO2002091756A1 (en) * | 2001-05-07 | 2002-11-14 | Telefonaktiebolaget, L. M. Ericsson (Publ) | Service triggering framework |
| US20020176378A1 (en) * | 2001-05-22 | 2002-11-28 | Hamilton Thomas E. | Platform and method for providing wireless data services |
| GB2376845B (en) | 2001-06-19 | 2006-02-08 | Ericsson Telefon Ab L M | Association of charging between communication systems |
| US7139811B2 (en) * | 2001-08-01 | 2006-11-21 | Actona Technologies Ltd. | Double-proxy remote data access system |
| US7631084B2 (en) * | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
| EP1317159A1 (en) | 2001-11-30 | 2003-06-04 | Motorola, Inc. | Authentication, authorisation and accounting for a roaming user terminal |
| AUPS339102A0 (en) * | 2002-07-04 | 2002-08-01 | Three Happy Guys Pty Ltd | Method of monitoring volumes of data between multiple terminals and an external communication network |
| JP2004220120A (ja) * | 2003-01-09 | 2004-08-05 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
| CN1202638C (zh) * | 2003-01-16 | 2005-05-18 | 上海交通大学 | 链路状态信息穿越网络传达的方法 |
| US7448080B2 (en) * | 2003-06-30 | 2008-11-04 | Nokia, Inc. | Method for implementing secure corporate communication |
| US7324473B2 (en) * | 2003-10-07 | 2008-01-29 | Accenture Global Services Gmbh | Connector gateway |
-
2003
- 2003-10-24 JP JP2005509894A patent/JP4491652B2/ja not_active Expired - Fee Related
- 2003-10-24 CN CN200380110588A patent/CN100592735C/zh not_active Expired - Fee Related
- 2003-10-24 ES ES03770191T patent/ES2287534T3/es not_active Expired - Lifetime
- 2003-10-24 EP EP03770191A patent/EP1676410B1/en not_active Expired - Lifetime
- 2003-10-24 AU AU2003278659A patent/AU2003278659A1/en not_active Abandoned
- 2003-10-24 DE DE60314673T patent/DE60314673T2/de not_active Expired - Lifetime
- 2003-10-24 WO PCT/SE2003/001654 patent/WO2005041530A1/en not_active Ceased
- 2003-10-24 US US10/595,496 patent/US8064891B2/en not_active Expired - Fee Related
- 2003-10-24 AT AT03770191T patent/ATE366023T1/de not_active IP Right Cessation
Also Published As
| Publication number | Publication date |
|---|---|
| CN1860760A (zh) | 2006-11-08 |
| WO2005041530A1 (en) | 2005-05-06 |
| JP4491652B2 (ja) | 2010-06-30 |
| EP1676410B1 (en) | 2007-06-27 |
| ATE366023T1 (de) | 2007-07-15 |
| US8064891B2 (en) | 2011-11-22 |
| EP1676410A1 (en) | 2006-07-05 |
| CN100592735C (zh) | 2010-02-24 |
| US20070117548A1 (en) | 2007-05-24 |
| DE60314673D1 (de) | 2007-08-09 |
| AU2003278659A1 (en) | 2005-05-11 |
| DE60314673T2 (de) | 2008-04-17 |
| JP2007529038A (ja) | 2007-10-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| ES2287534T3 (es) | Medios y metodo para controlar la progresion de servicios entre diferentes dominios. | |
| US7882346B2 (en) | Method and apparatus for providing authentication, authorization and accounting to roaming nodes | |
| EP2719202B1 (en) | Methods, apparatuses and computer program products for identity management in a multi-network system | |
| CN1813457B (zh) | 通过一个不信任接入网络的单点登陆验证的设备和方法 | |
| JP4629679B2 (ja) | 無料のインターネットプロトコル通信サービスのための方法及びシステム | |
| ES2282461T3 (es) | Procedimiento y sistema de facturacion gsm para itinerancia wlan. | |
| US7149229B1 (en) | Mobile IP accounting | |
| JP5308459B2 (ja) | 電気通信ネットワークおよび時間に基づくネットワーク・アクセス方法 | |
| JP5144749B2 (ja) | 改良型サービス許可方法及び装置 | |
| ES2389701T3 (es) | Método y sistema para comunicación en itinerancia | |
| JP2008512958A (ja) | 無線アクセスゲートウェイのためのダイナミック・ファイアウォール機能 | |
| US9350877B2 (en) | Method and apparatus for providing internet service carrying out fee payment in wireless communication network | |
| ES2300850T3 (es) | Aparato y metodo para la prevencion del fraude cuando se accede a traves de redes de area local inalambricas. | |
| ES2366649T3 (es) | Método y dispositivo para poner en práctica una autentificación de dominio y de privilegio de acceso a red. | |
| KR100454687B1 (ko) | 다이어미터 기반 aaa 인증서버와 분리된 과금서버의연동처리 방법 | |
| JP4817602B2 (ja) | ペイ・パー・ユース公衆データ・アクセス・システムでの接続性の区別 | |
| JP4339894B2 (ja) | 移動体コネクションブローカ | |
| CN101056307B (zh) | 一种使用代理移动ip节点进行安全注册的方法 | |
| WO2011153871A1 (zh) | 一种实现分组预付费的方法及系统 | |
| ES3052870T3 (en) | Method for dynamic allocation of identifiers to an embedded universal integrated circuit card (euicc) of a user device and associated system | |
| CN101009611A (zh) | 一种终端接入不同服务网络的方法 | |
| Hasan et al. | The design of an extended AAAC architecture | |
| KR20050088988A (ko) | 통신 단말장치의 식별 방법 |