漫游期间经由基于联盟的网络的服务保证的制作方法

漫游期间经由基于联盟的网络的服务保证
1.相关申请交叉引用
2.本技术涉及2021年3月8日提交的、标题为“提供漫游期间经由基于联盟的网络的安全服务”第17/249,644号美国专利。前述相关专利申请通过引用被整体合并于此。
技术领域
3.本公开中呈现的实施例总体涉及无线联网，更具体地，涉及用于在漫游时向客户端设备提供基于网络的服务的保证的技术。


背景技术：

4.消费者越来越期望不管他们的位置如何，他们的计算设备都保持连接到基于网络的服务。然而，诸如4g lte和5g之类的蜂窝服务对于在室内、远离蜂窝塔和/或以其他方式被阻挡的某些位置提供的连接可能较不理想。诸如无线宽带联盟(wireless broadband alliance，wba)的开放式漫游(openroaming
tm
)之类的技术使用基于联盟(federation)的框架来允许消费者无缝地漫游到wi-fi网络上。
附图说明
5.为了以能够详细理解本公开的以上记载的特征的方式，可以通过参考实施例来对以上简要概括的本公开进行更具体的描述，这些实施例中的一部分在所附附图中被示出。然而，应当注意，所附附图示出了典型的实施例，因此不应该被认为是限制性的；其他等效的实施例被考虑。
6.图1是示出根据一个或多个实施例的在漫游时客户端设备到基于联盟的网络的连接的图示。
7.图2是示出根据一个或多个实施例的针对客户端设备到基于联盟的网络的连接的顺序的图示。
8.图3是示出根据一个或多个实施例的接入基于网络的安全服务的图示。
9.图4是根据一个或多个实施例的向客户端设备提供基于网络的服务的方法。
10.图5是根据一个或多个实施例的向客户端设备提供基于网络的服务的方法。
11.图6是确定基于网络的服务是否正在被提供给客户端设备的方法。
12.图7是确定基于网络的服务是否正在被提供给客户端设备的方法。
13.为了便于理解，在可能的地方使用了相同的附图标记来表示附图中公共的相同元件。可以预见在一个实施例中公开的元件在没有特定记载的情况下可以有益地用于其他实施例中。
具体实施方式
14.概览
15.本公开中呈现的实施例是一种方法，该方法包括在客户端设备与接入网络提供者
相关联之后认证客户端设备的用户的身份。认证用户的身份包括从身份提供者接收与身份相关联的凭证，以及从身份提供者接收信息，该信息标识要向客户端设备的网络流量应用基于网络的服务。该方法还包括使用凭证和接收到的信息在接入网络提供者和服务提供者之间建立安全连接，该服务提供者能够提供基于网络的服务。该方法还包括从服务提供者接收网络流量。网络流量的分组包括保证值，该保证值使得客户端设备能够确定基于网络的服务正在由服务提供者提供。
16.本公开中呈现的另一实施例是一种网络设备，该网络设备包括一个或多个计算机处理器，该一个或多个计算机处理器被配置为在客户端设备与接入网络提供者相关联之后执行包括认证客户端设备的用户的身份的操作。认证用户的身份包括从身份提供者接收与身份相关联的凭证，以及从身份提供者接收信息，该信息标识要向客户端设备的网络流量应用的基于网络的服务。该操作还包括使用凭证和接收到的信息在接入网络提供者和服务提供者之间建立安全连接，该服务提供者能够提供基于网络的服务。该操作还包括从服务提供者接收网络流量。网络流量的分组包括保证值，该保证值使得客户端设备能够确定基于网络的服务正在由服务提供者提供。
17.本公开中呈现的另一实施例是一种包括将客户端设备与接入网络提供者相关联的方法。关联客户端设备包括将客户端设备的用户的身份传输到接入网络提供者。该身份使得接入网络提供者能够从身份提供者接收(i)与身份相关联的凭证和(ii)标识要向客户端设备的网络流量应用的基于网络的服务的信息。该方法还包括经由服务提供者和接入网络提供者之间的安全连接从能够提供基于网络的服务的服务提供者接收网络流量。使用凭证和接收到的信息来建立安全连接。该方法还包括基于网络流量确定基于网络的服务是否正在由服务提供者提供。
18.示例实施例
19.诸如openroaming
tm
之类的技术允许客户端设备漫游到不同的接入网络提供者，而不需要重复登录或认证。身份提供者可以寻求提议漫游之外的附加服务，例如，将基于网络的(例如，基于云的)服务提供给客户端设备。
20.在本文描述的一些实施例中，一种方法包括在客户端设备与接入网络提供者相关联之后认证客户端设备的用户的身份。认证用户的身份包括从身份提供者接收与身份相关联的凭证和标识要利用客户端设备应用到网络流量的基于网络的服务的信息。该方法还包括使用凭证和接收到的信息在接入网络提供者和能够提供基于网络的服务的服务提供者之间建立安全连接。该方法还包括从服务提供者接收网络流量。网络流量的分组包括使得客户端设备能够确定基于网络的服务(例如，安全服务)正在由服务提供者提供的保证值。
21.在其他实施例中，客户端设备通过建立从客户端设备到服务提供者(经由接入网络提供者)的单独信道以及经由该单独信道传输网络流量的表征信息，来确定基于网络的服务是否正在由服务提供者提供。客户端设备从服务提供者接收基于表征信息的响应，该表征信息指示基于网络的服务是否正在由服务提供者提供。
22.有益地，该方法使得用户能够验证(一个或多个)基于网络的服务正在由服务提供者主动地提供给他们的客户端设备的网络流量。该方法解决了各种困难，例如接入网络提供者不能使用来自身份提供者的凭证成功地建立安全连接，安全连接在使用期间被终止，以及接入网络提供者欺骗对(一个或多个)基于网络的服务的支持以吸引顾客。
authentication protocol，eap)过程，通过将一个或多个可接受的认证类型230传送到客户端设备105来开始对用户的认证。客户端设备105可以搜索存储在其上的简档的列表，并且可以自动地选择身份235，身份235与可接受的凭证类型230(例如，令牌、证书、用户名/密码、sim等)相对应并且与由接入提供者205指定(例如，经由信标220)的一个或多个要求最佳匹配。在一些实施例中，身份235包括统一资源定位符(uniform resource locator，url)的元素，例如域名。客户端设备105可以使用任何适当的技术来选择最佳匹配。
32.客户端设备105将所选身份235提供给接入提供者205，并且接入提供者205使用身份235来联系域名服务(domain name service，dns)服务器210。如图示200所示，由客户端设备105选择的身份235是“bob@newco.com”，其可以是响应于由接入提供者205传输的信标220的公共身份或专用身份。接入提供者205向dns服务器210查找240“newco.com”。使用来自dns服务器210的结果，接入提供者205建立到身份提供者215(图1的身份提供者130的一个示例)的、被加密和认证的传输层安全(transport layer security，tls)隧道245，身份提供者215与所选身份235相对应。身份提供者215使用远程认证拨入用户服务(remote authentication dial in user service，radius)属性将eap授权250提供给接入提供者205，并且接入提供者205使用lan上的eap(eap over lan，eapol)将eap授权255提供给客户端设备105。
33.图3是示出根据一个或多个实施例的接入基于网络的服务的图示300。在图示300中示出的特征可以与其他实施例结合使用。例如，图3的客户端设备305、接入提供者325和身份提供者360可以是图1的客户端设备105、接入提供者120和身份提供者130的相应示例。
34.在图示300中，客户端设备305经由无线通信链路连接到接入提供者325。使用任何(一个或多个)适当的类型的通信链路互连接入提供者325、身份提供者360和服务提供者345。客户端设备305、接入提供者325、身份提供者360和服务提供者345中的每一者可以以任何适当的(一个或多个)形式相应地被实现为一个或多个计算设备。例如，客户端设备305可以被实现为用户的移动计算设备，而接入提供者325、身份提供者360和服务提供者345可以被实现为服务器计算机。
35.客户端设备305、接入提供者325、身份提供者360和安全服务提供者345中的每一者包括相应的一个或多个计算机处理器310、330、365、350和相应的存储器315、335、370、355。一个或多个计算机处理器310、330、365、350可以以任何适当的形式实现，例如，通用微处理器、控制器、专用集成电路(asic)等。存储器315、335、370、355可以包括针对它们的尺寸、相对性能或其它能力(易失性和/或非易失性介质、可移动和/或不可移动介质等)选择的各种计算机可读介质。
36.接入提供者325、身份提供者360和服务提供者345的互连可以表示图1的基于联盟的网络115的一个示例，并且可以表示任何合适类型的一个或多个网络，例如互联网、局域网(lan)、广域网(wan)和/或无线网络。接入提供者325、身份提供者360和服务提供者345之间的各种通信链路可以具有任何适当的实现方式，例如(一个或多个)铜传输电缆、(一个或多个)光传输光纤、无线传输、(一个或多个)路由器、(一个或多个)防火墙、(一个或多个)交换机、(一个或多个)网关计算机和/或(一个或多个)边缘服务器。
37.存储器315、335、355、370可以包括用于执行本文描述的各种功能的一个或多个模块。在一个实施例中，每个模块包括可以由相应的一个或多个计算机处理器310、330、350、
365执行的程序代码。在另一实施例中，每个模块部分地或全部地被实现在客户端设备305、接入提供者325、身份提供者360和/或服务提供者345的硬件(即，电路)或固件中(例如，作为一个或多个计算机处理器310、330、365、350内的电路)。然而，图示300的其他实施例可以包括部分地或全部地被实现在其他硬件或固件中的模块，例如被包括在与接入提供者320连接的一个或多个其他计算设备中的硬件或固件等。换言之，一个或多个模块的整体功能可以被分布在图示300的其他设备中。
38.如图所示，接入提供者325的存储器335包括保证模块340，服务提供者345的存储器355包括服务模块356，并且身份提供者360的存储器370包括身份服务模块372。
39.保证模块340通常与客户端设备305、身份提供者360和服务提供者345通信以建立与服务提供者345的安全连接，用以将一个或多个基于网络的服务提供给客户端设备305的网络流量。服务模块356通常将这一个或多个基于网络的服务提供给网络流量。在一些实施例中，服务模块356使用可以被按需提供和/或发行的分布式和/或可扩展计算资源来提供(一个或多个)基于云的服务。
40.可以以任何适当的形式提供该一个或多个基于网络的服务。在一些实施例中，该一个或多个基于网络的服务包括任何(一个或多个)适当的类型的(一个或多个)安全服务，例如防火墙、内容过滤器、反恶意软件、针对已知恶意站点的保护等。在一些实施例中，服务模块356可以被实现为安全互联网或网络(web)网关。
41.身份服务模块372通常操作以创建、维护和/或管理不同用户的身份信息。身份服务模块372还可以为不同用户提供认证服务。在一些实施例中，身份服务模块372发布用于认证用户的凭证375。凭证375可以以任何适当的形式实现，例如对与用户的特定会话而言唯一的安全令牌。在一些实施例中，该安全令牌包括(i)由身份提供者360提供的值，(ii)身份提供者360的标识符，和/或(iii)由服务提供者345提供的值。例如，该安全令牌可以被实现为(i)、(ii)和(iii)的串接。
42.每个用户与一个或多个身份316相关联。每个身份316大致包括上文关于图2描述的身份235的特性。在一些实施例中，用户配置由身份提供者360存储的一个或多个策略380(例如，与一个或多个身份316相对应)。因此，可以关于客户端设备305何时漫游到接入提供者325来预定义一个或多个策略380。每个策略380指定在相对应的身份316被选择时要应用的一个或多个基于网络的服务(或能力或特征)。上文关于图2讨论了一些用于选择身份316的示例技术。在一些实施例中，策略380可以指定特定服务提供者345以使用，可以指定用于从多个服务提供者中选择服务提供者345的优先级(例如，顺序)等。每个策略380可以由身份提供者360以任何适当的格式(例如yaml、xml等)存储。
43.因此，当用户漫游到有能力的接入提供者325时，身份提供者360能够提议基于云的服务(例如，指示哪些基于云的服务可用)。例如，身份提供者360可以具有与一个或多个服务提供者345的收益共享协议。在一些实施例中，由身份提供者360提议的基于云的服务可以包括可由用户选择的多个安全级别或等级。这样，用户可以定制应用到客户端设备与接入网络提供者的连接的(一个或多个)安全服务，并且可以确认那些(一个或多个)所定制的安全服务实际上正在由(一个或多个)服务提供者345提供。
44.与用户相关联的每个身份316可以与一个或多个基于云的服务的集合相关联。与用户相关联的身份316可以基于用户优先级而被分类或优先。此外，基于云的安全服务可以
由用户直接选择和/或购买，或者可以由接入提供者325直接提议。
45.根据本文描述的各种实施例，保证模块340独立地或与服务模块356结合地操作以与客户端设备305通信，从而使得客户端设备305能够确定一个或多个基于网络的服务实际上是否正在由服务提供者345提供。在一些实施例中，当客户端设备305确定一个或多个基于网络的服务服务没有由提供者345提供时，客户端设备305可以忽略或丢弃接收到的网络流量。
46.在一些实施例中，从服务提供者345传输的网络流量的分组包括保证值390。保证值390可以基于分配给图示300的各个组件和/或由图示300的各个组件生成的一个或多个令牌。
47.在一些实施例中，保证值390是由身份提供者360生成并被传输到服务提供者345和客户端设备305两者的第一令牌。服务提供者345可以将第一令牌嵌入到分组的报头中，并且客户端设备305可以检查接收到的分组中是否存在第一令牌。
48.在一些实施例中，保证值390基于第一令牌，并且还基于由服务提供者345生成(和/或分配给服务提供者345)的第二令牌，以及由客户端设备305生成(和/或分配给客户端设备305)的第三令牌。例如，客户端设备305可以将第三令牌包括在传输到服务提供者345的分组中，使得服务提供者345学习第三令牌。在一些实施例中，客户端设备305存储保证值390的多个值，并且还可以存储与多个值相对应的多个索引。
49.在一些实施例中，服务模块356包括预定义函数，并且将第一令牌、第二令牌和第三令牌应用到预定义函数以生成结果。预定义函数可以包括任何适当的逻辑和/或算术函数。在一个非限制性示例中，预定义函数是线性函数，表示为：
50.f(x)＝mx+c， (1)
51.其中m表示第一令牌，x表示第二令牌，并且c表示第三令牌。其他函数也被考虑，其可以提供针对实时反向工程的更大的健壮性和/或其他益处。在一些实施例中，由服务模块356计算出的预定义函数的结果是从服务提供者345传输到客户端设备305的保证值390。在一些实施例中，客户端设备305接收并学习第二令牌，并且还包括预定义函数。客户端设备305可以将第一令牌、第二令牌和第三令牌应用到预定义函数以生成结果，并且将该结果与保证值390进行比较以确定一个或多个基于网络的服务实际上是否正在由服务提供者345提供。
52.在一些实施例中，来自客户端设备305的网络流量的分组包括由服务提供者345使用以生成保证值390的值。在一些实施例中，该值被包括在分组的带内(原位)操作、管理和维护(oam)报头，带内网络遥测(int)，cookie或其他元数据报头中的任何一者中。
53.在一些实施例中，服务模块356存储保证值390的多个值(以及索引)，并且从客户端设备305接收到的值是由服务模块356使用以查找和返回相对应的保证值390的索引值。在其他实施例中，从客户端设备305接收到的值是第三令牌，并且服务模块356将第三令牌(与第一令牌和第二令牌一起)应用到预定义函数以生成并返回保证值390。在一些实施例中，服务模块356处理从客户端设备305接收到的值以确定该值是索引(查找)值还是第三令牌。客户端设备305可以使用从服务模块356接收到的保证值390以确定一个或多个基于网络的服务实际上是否正在由服务提供者345提供。
54.在一些实施例中，客户端设备305建立到服务提供者345的单独信道385(经由接入
提供者325)，其在一些情况下可以是专用保证信道。单独信道385可以具有任何适当的形式，例如传输控制协议(tcp)连接、用户数据报协议(udp)连接、快速udp互联网连接(quic)、互联网控制消息协议(icmp)连接等。
55.客户端设备305经由原始连接从服务提供者345接收网络流量，并且经由单独信道385传输网络流量的表征信息395。表征信息395可以具有任何适当的格式。例如，表征信息395可以包括净流量统计或其他流量监视统计。在一些实施例中，接入提供者325生成表征信息395并将表征信息395传输到客户端设备305。客户端设备305可以经由单独信道385将表征信息395传输到服务提供者345。
56.客户端设备305可以接收来自服务提供者345的基于表征信息395的响应。在一些实施例中，服务模块356确定由表征信息395所指示的流是否存在于服务提供者345的本地缓存表中，其可以被缓存至少预定的时间。如果流存在于本地缓存表中，则来自服务提供者345的响应是肯定的。然而，如果流不存在，则来自服务提供者345的响应是错误消息，其可以指定关于(一个或多个)丢失流的信息。
57.图4是根据一个或多个实施例的向客户端设备提供基于网络的服务的方法400。方法400可以与其他实施例结合执行。例如，当向图3的客户端设备305提供基于网络的服务时，方法400可以由图3的接入提供者325执行。
58.方法400在框405处开始，在框405处，接入网络提供者传输通告用于连接到接入网络提供者的一个或多个要求的信标。例如，该信标可以指定要由用户提供的标识类型(公共或专用)。
59.在框415处，接入网络提供者从客户端设备接收查询。在一些实施例中，该查询符合接入网络查询协议(access network query protocol，anqp)。在框425处，接入网络提供者传输指示接入网络提供者支持基于网络的服务的信息。在一些实施例中，接入网络提供者使用新的anqp元素来通告对基于联盟的网络、对用户定义的网络(udn)的自动分组、对基于网络的服务等的支持。
60.在框435处，接入网络提供者认证客户端设备的用户的身份。接入网络提供者与身份提供者(例如，图3的身份提供者360)通信，身份提供者可以是云提供者、服务提供者、设备制造者等。身份提供者可以使用任何适当的认证协议，例如oauth、远程认证拨入用户服务(radius)、安全断言标记语言(saml)等。
61.在一些实施例中，认证用户的身份包括：在框445处，接入网络提供者从身份提供者接收与身份相关联的凭证。该凭证可以以任何适当的形式实现，例如对与用户的特定会话而言唯一的安全令牌。在一些实施例中，该安全令牌包括由身份提供者提供的值、身份提供者的标识符、和/或由基于网络的服务的提供者提供的值。在一些实施例中，认证用户的身份还包括：在框455处，接入网络提供者从身份提供者接收信息，该信息标识要向客户端设备的网络流量应用基于网络的服务。在一些实施例中，接入网络提供者从身份提供者接收radius访问接受(access-accept)响应。
62.在框465处，接入网络提供者使用凭证和接收到的信息在接入网络提供者和能够提供基于网络的服务的服务提供者之间建立安全连接。在一些实施例中，该安全连接包括虚拟专用网络(vpn)。在一些实施例中，建立安全连接包括将(i)标识身份提供者的信息和(ii)凭证传输到服务提供者。接入网络提供者使用标识基于网络的服务的信息(例如，
radius属性)以建立到服务提供者的安全连接。
63.在框475处，接入网络提供者从客户端设备接收网络流量。网络流量的分组包括诸如索引值或客户端设备所生成的令牌之类的值，该值被传输到服务提供者以确定保证值。在框485处，接入网络提供者从服务提供者接收网络流量。网络流量的分组包括保证值，该保证值使得客户端设备能够确定基于网络的服务正在由服务提供者提供。方法400在完成框485之后结束。
64.图5是根据一个或多个实施例的向客户端设备提供基于网络的服务的方法500。方法500可以与其他实施例结合执行。例如，方法500可以由图3的客户端设备305执行，以确定基于网络的服务正在由图3的服务提供者345提供。
65.方法500在框505处开始，在框505处，客户端设备接收信标，该信标通告用于连接到接入网络提供者的一个或多个要求。框505大致与图4的框405相对应。在框515处，客户端设备与接入网络提供者相关联。在一些实施例中，与接入网络提供者相关联包括框525处的向接入网络提供者传输查询。框525大致与图4的框415相对应。
66.在框535处，客户端设备接收指示接入网络提供者支持基于网络的服务的信息。框535大致与图4的框425相对应。在框545处，客户端设备向接入网络提供者传输用户的身份。用户的身份可以由接入网络提供者使用以利用身份提供者认证该身份(例如，在图4的框435处)。
67.在框555处，客户端设备经由安全连接从能够提供基于网络的服务的服务提供者接收网络流量。在框565处，客户端设备基于网络流量确定基于网络的服务是否正在由服务提供者提供。方法500在完成框565之后结束。
68.图6是确定基于网络的服务是否正在被提供给客户端设备的方法600。在一些实施例中，方法600作为图5的框565的一部分来执行。
69.方法600在框605处开始，在框605处，客户端设备传输网络流量，网络流量包括使得服务提供者能够确定保证值的值(例如索引值或客户端设备所生成的令牌)。在框615处，客户端设备接收基于由身份提供者生成的第一令牌的保证值。在框625处，客户端设备接收由服务提供者生成的第二令牌，并且生成第三令牌。
70.在框645处，客户端设备将第一令牌、第二令牌和第三令牌应用到预定义函数，并且在框655处将预定义函数的结果与保证值进行比较。方法600在完成框655之后结束。
71.图7是确定基于网络的服务是否正在被提供给客户端设备的方法700。在一些实施例中，方法700作为图5的框565的一部分来执行。
72.方法700在框705处开始，在框705处，客户端设备经由接入网络提供者建立到服务提供者的单独信道。在一些实施例中，该单独信道可以作为专用保证信道操作。在框715处，网络流量的表征信息经由单独信道被传输到服务提供者。在一些实施例中，表征信息包括净流量统计或其他流量监视统计。
73.在框725处，客户端设备从服务提供者接收基于表征信息的响应。在一些实施例中，服务提供者确定由表征信息所指示的流是否存在于服务提供者的本地缓存表中。如果流存在，则来自服务提供者的响应是肯定的，确认基于网络的服务正在利用客户端设备被提供给网络流量。如果流不存在，则来自服务提供者的响应可以是错误消息，其可以指定关于(一个或多个)丢失流的信息。方法700在完成框725之后结束。
74.在本公开中，参考了各种实施例。然而，本公开的范围不限于特定描述的实施例。而是，无论是否涉及不同的实施例，所描述的特征和元件的任何组合都被考虑用于实现和实践被考虑的实施例。另外，当以“a和b中的至少一个”的形式描述实施例的要素时，应当理解的是，仅包括要素a，仅包括要素b以及包括要素a和b的实施例均被考虑。此外，虽然本文公开的实施例可以实现优于其他可能的方案或优于现有技术的优点，但是通过给定的实施例是否实现特定的优点并不限制本公开的范围。因此，本文公开的各方面、特征、实施例和优点仅是说明性的，除非在权利要求中明确记载，否则不被视为所附权利要求的要素或限制。同样，对“本发明”的提及不应被解释为对本文公开的任何发明主题的概括，除非在权利要求中明确记载，否则不应被视为所附权利要求的要素或限制。
75.如本领域技术人员将清楚的，本文公开的实施例可以体现为系统、方法或计算机程序产品。因此，各实施例可以采取完全硬件实施例、完全软件实施例(包括固件、驻留软件、微代码等)、或结合软件和硬件方面的实施例的形式，这些实施例在本文中均被总体地称为“电路”、“模块”或“系统”。此外，各实施例可以采取被体现在一个或多个计算机可读介质中的计算机程序产品的形式，该一个或多个计算机可读介质具有体现在其上的计算机可读/可执行程序代码。作为示例，计算机可读介质可以承载计算机可执行程序代码，该计算机可执行程序代码被布置为在由一个或多个处理器执行时使得本文描述的任何方法被执行。
76.体现在计算机可读介质上的程序代码可以使用任何适当的介质来传输，该介质包括但不限于无线、有线、光纤线缆、rf等，或前述项的任何适当组合。
77.用于执行本公开的各实施例的操作的计算机程序代码可以以包括面向对象的编程语言(例如，java、smalltalk、c++等)以及常规的过程式编程语言(例如，“c”编程语言或类似的编程语言)的一种或多种编程语言的任何组合来编写。该程序代码可以完全在用户的计算机上执行、部分地在用户的计算机上执行、作为独立式软件包执行、部分地在用户的计算机上并且部分地在远程计算机上执行、或完全在远程计算机或服务器上执行。在后一场景中，远程计算机可以通过任何类型的网络(包括局域网(lan)或广域网(wan)))连接到用户的计算机，或可以进行到外部计算机(例如，通过使用互联网服务提供者的互联网)的连接。
78.参照根据本公开中呈现的实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图，描述了本公开的各方面。应当理解，可以通过计算机程序指令来实现流程图和/或框图中的每个框、以及流程图和/或框图中的框的组合。应当理解，可以通过计算机程序指令来实现流程图和/或框图中的每个框、以及流程图和/或框图中的框的组合。这些计算机程序指令可以被提供到通用计算机、专用计算机或其他可编程数据处理装置的处理器以生产机器，以使得经由计算机或其他可编程数据处理装置的处理器执行的指令创建用于实现流程图和/或框图的框中指定的功能/动作的装置。
79.这些计算机程序指令还可以存储在计算机可读介质中，该计算机可读介质可以引导计算机、其他可编程数据处理装置或其他设备以特定方式运行，以使得存储在计算机可读介质中的指令产生制造品，包括实现流程图和/或框图的框中指定的功能/动作的指令。
80.计算机程序指令还可以被加载到计算机、其他可编程数据处理装置或其他设备上，以使得在计算机、其他可编程装置或其他设备上执行一系列操作步骤以产生计算机实
现的过程，因此在计算机、其他可编程数据处理装置或其他设备上执行的指令提供用于实现在流程图和/或框图的框中指定的功能/动作的过程。
81.附图中的流程图和框图示出了根据各种实施例的系统、方法和计算机程序产品的可能实现方式的架构、功能和操作。在这点上，流程图或框图中的每个框都可以表示模块、片段或代码的一部分，其包含用于实现(一个或多个)特定逻辑功能的一个或多个可执行指令。还应当注意，在一些替代实现方式中，在框中提到的功能可以按照不同于在附图中提到的顺序出现。例如，取决于所涉及的功能，连续示出的两个框实际上可以基本上同时执行，或者框有时可以以相反的顺序执行。还应当注意，框图和/或流程图中的每个框、以及框图和/或流程图中的框的组合可以通过执行特定功能或动作的专用的基于硬件的系统来实现，或通过专用硬件和计算机指令的组合来实现。
82.鉴于前述内容，本公开的范围由所附权利要求确定。

技术特征：
1.一种方法，包括：在客户端设备与接入网络提供者相关联之后认证所述客户端设备的用户的身份，其中，认证所述用户的所述身份包括：从身份提供者接收与所述身份相关联的凭证；从所述身份提供者接收信息，该信息标识要向所述客户端设备的网络流量应用基于网络的服务；使用所述凭证和接收到的信息在所述接入网络提供者和服务提供者之间建立安全连接，所述服务提供者能够提供所述基于网络的服务；以及从所述服务提供者接收网络流量，其中，所述网络流量的分组包括保证值，所述保证值使得所述客户端设备能够确定所述基于网络的服务正由所述服务提供者提供。2.根据权利要求1所述的方法，其中，所述基于网络的服务包括在针对所述身份的安全策略中指定的安全服务，其中，所述安全策略由所述身份提供者存储。3.根据权利要求1或2所述的方法，其中，所述保证值基于第一令牌，所述第一令牌(i)由所述身份提供者生成，(ii)被传输到所述服务提供者，以及(iii)经由所述接入网络提供者被传输到所述客户端设备。4.根据权利要求3所述的方法，其中，所述保证值是所述第一令牌。5.根据权利要求3所述的方法，其中，所述保证值还基于：由所述服务提供者生成的第二令牌；以及由所述客户端设备生成的第三令牌。6.根据权利要求5所述的方法，其中，所述保证值是所述第一令牌、所述第二令牌和所述第三令牌被应用到预定义函数的结果。7.根据任一前述权利要求所述的方法，还包括：从所述客户端设备接收网络流量，其中，所述网络流量的分组包括第二值，其中，所述保证值基于所述第二值。8.一种网络设备，包括：一个或多个计算机处理器，被配置为执行操作，所述操作包括：在客户端设备与接入网络提供者相关联之后认证所述客户端设备的用户的身份，其中，认证所述用户的身份包括：从身份提供者接收与所述身份相关联的凭证；以及从所述身份提供者接收信息，该信息标识要向所述客户端设备的网络流量应用的基于网络的服务；使用所述凭证和接收到的信息在所述接入网络提供者和服务提供者之间建立安全连接，所述服务提供者能够提供所述基于网络的服务；以及从所述服务提供者接收网络流量，其中，所述网络流量的分组包括保证值，所述保证值使得所述客户端设备能够确定所述基于网络的服务正由所述服务提供者提供。9.根据权利要求8所述的网络设备，其中，所述基于网络的服务包括在针对所述身份的安全策略中指定的安全服务，其中，所述安全策略由所述身份提供者存储。10.根据权利要求8或9所述的网络设备，其中，所述保证值基于第一令牌，所述第一令牌(i)由所述身份提供者生成，(ii)被传输到所述服务提供者，以及(iii)经由所述接入网
络提供者被传输到所述客户端设备。11.根据权利要求10所述的网络设备，其中，所述保证值是所述第一令牌。12.根据权利要求10所述的网络设备，其中，所述保证值还基于：由所述服务提供者生成的第二令牌；以及由所述客户端设备生成的第三令牌。13.根据权利要求12所述的网络设备，其中，所述保证值是所述第一令牌、所述第二令牌和所述第三令牌被应用到预定义函数的结果。14.根据权利要求8至13中任一项所述的网络设备，所述操作还包括：从所述客户端设备接收网络流量，其中，所述网络流量的分组包括第二值，其中，所述保证值基于所述第二值。15.一种方法，包括：关联客户端设备与接入网络提供者，其中，关联所述客户端设备包括将所述客户端设备的用户的身份传输到所述接入网络提供者，其中，所述身份使得所述接入网络提供者能够从身份提供者接收(i)与所述身份相关联的凭证和(ii)标识要向所述客户端设备的网络流量应用的基于网络的服务的信息；经由能够提供所述基于网络的服务的服务提供者与所述接入网络提供者之间的安全连接从所述服务提供者接收网络流量，其中，所述安全连接是使用所述凭证和接收到的信息而被建立的；以及基于所述网络流量确定所述基于网络的服务是否正由所述服务提供者提供。16.根据权利要求15所述的方法，其中，所述网络流量的分组包括基于第一令牌的保证值，所述第一令牌(i)由所述身份提供者生成，(ii)被传输到所述服务提供者，以及(iii)经由所述接入网络提供者被传输到所述客户端设备。17.根据权利要求16所述的方法，其中，所述保证值是所述第一令牌，并且其中，确定所述基于网络的服务是否正由所述服务提供者提供包括：将在所述网络流量中接收到的所述保证值与由所述客户端设备接收到的所述第一令牌进行比较。18.根据权利要求16所述的方法，还包括：接收由所述服务提供者生成的第二令牌；生成第三令牌；将所述第一令牌、由所述服务提供者生成的第二令牌和由所述客户端设备生成的第三令牌应用到预定义函数；以及将所述预定义函数的结果与所述保证值进行比较。19.根据权利要求16至18中任一项所述的方法，还包括：从所述客户端设备传输包括第二值的网络流量，其中，所述保证值基于所述第二值而被生成。20.根据权利要求15至19中任一项所述的方法，其中，确定所述基于网络的服务是否正由所述服务提供者提供包括：建立从所述客户端设备到所述服务提供者的单独信道；经由所述单独信道传输所述网络流量的表征信息；以及
接收来自所述服务提供者的基于所述表征信息的响应。21.一种装置或系统，被设置为执行根据权利要求15至20中任一项所述的方法。22.一种计算机可读介质，承载计算机可执行程序代码，所述计算机可执行程序代码在由一个或多个处理器执行时被布置为使得根据权利要求1至7和/或15至20中任一项所述的方法被执行。

技术总结
本公开的各方面包括一种方法和相关联的网络设备。该方法包括在客户端设备与接入网络提供者被关联之后认证客户端设备的用户的身份。认证用户的身份包括从身份提供者接收与身份相关联的凭证，以及从身份提供者接收标识要向客户端设备的网络流量应用基于网络的服务的信息。该方法还包括使用凭证和接收到的信息在接入网络提供者和能够提供基于网络的服务的服务提供者之间建立安全连接。该方法还包括从服务提供者接收网络流量。网络流量的分组包括保证值，该保证值使得客户端设备能够确定基于网络的服务正在由服务提供者提供。于网络的服务正在由服务提供者提供。于网络的服务正在由服务提供者提供。


技术研发人员：纳根德拉
受保护的技术使用者：思科技术公司
技术研发日：2022.08.10
技术公布日：2023/8/9