專利名稱:一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)及其鑒權(quán)方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域和下一代網(wǎng)絡(luò)(NGN��,Next GenerationNetworks)技術(shù)領(lǐng)域以及第三代合作伙伴計劃(3GPP����,The ThirdGeneration Partnership Project)技術(shù)領(lǐng)域��,具體涉及一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)(ID-WSF����,Identity Web Service Framework)及其鑒權(quán)方法。
背景技術(shù):
如圖1所示����,3GPP定義了一種通用鑒權(quán)架構(gòu)(GBA,GenericBootstrapping Architecture)����,通用鑒權(quán)架構(gòu)通常由IP多媒體業(yè)務(wù)子系統(tǒng)(IMS,IP Multimedia Core Network Subsystem)用戶終端(UE���,UserEquipment)�����、引導(dǎo)服務(wù)功能實體(BSF��,Bootstrapping Server Function)��、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS����,Home Subscribe Server)、用戶定位功能實體(SLF��,Subscriber Locator Function)和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能實體(NAF��,Network Application Function)組成��。UE與BSF通過Ub接口連接����,UE與NAF通過Ua接口連接��,BSF與HSS通過Zh接口連接�����,BSF與NAF通過Zn接口連接�,BSF與SLF通過Dz接口連接。BSF用于與UE執(zhí)行引導(dǎo)過程(bootstrapping)時進行互驗證身份��,同時生成BSF與用戶的共享密鑰Ks;HSS中存儲用于描述用戶信息的簽約文件���,同時HSS還兼有產(chǎn)生鑒權(quán)信息的功能��;SLF用于當(dāng)存在多個HSS時��,協(xié)助BSF查找相應(yīng)的HSS�;NAF用于為UE提供網(wǎng)絡(luò)業(yè)務(wù)�����。
在Ub接口中�,UE執(zhí)行引導(dǎo)過程(bootstrapping)的流程如圖2所示,說明如下步驟1UE需要使用某種業(yè)務(wù)時�,如果知道該業(yè)務(wù)需要到BSF進行相互鑒權(quán)過程,則直接發(fā)送鑒權(quán)請求到BSF進行相互鑒權(quán)�。否則,UE會首先和該業(yè)務(wù)對應(yīng)的NAF聯(lián)系�,如果該NAF使用GBA通用鑒權(quán)架構(gòu),并且發(fā)現(xiàn)該UE還未到BSF進行互認(rèn)證過程�����,NAF則通知該UE到BSF進行互鑒權(quán)以驗證身份,然后UE再直接發(fā)送鑒權(quán)請求到BSF進行相互鑒權(quán)��;步驟2BSF接到UE的鑒權(quán)請求后���,首先到HSS獲取該UE的鑒權(quán)向量信息(AUTN�����,RAND��,IK��,CK�����,XRES)五元組;步驟3~步驟6BSF采用HTTP digest AKA協(xié)議與UE進行雙向認(rèn)證以及密鑰協(xié)商���,完成UE和BSF之間身份的互相認(rèn)證����;步驟7BSF生成共享根密鑰Ks���,BSF還為共享密鑰Ks定義了一個有效期限�,以便對Ks進行定期更新;步驟8BSF分配一個引導(dǎo)事務(wù)標(biāo)識(B-TID�����,bootstrapping transactionidentifier)��,用于標(biāo)識BSF和UE之間的本次鑒權(quán)交互事務(wù)��;BSF將該B-TID與根密鑰Ks���、UE的私有用戶標(biāo)識(IMPI����,IMS Private identity)相關(guān)聯(lián)��,以便以后BSF可以根據(jù)該B-TID查找出相應(yīng)的Ks����,然后BSF將引導(dǎo)事務(wù)標(biāo)識和Ks的有效期限一起明文發(fā)送給UE;步驟9UE也生成和BSF側(cè)相同的共享根密鑰Ks�����。
完成上述步驟后,UE和BSF之間就共享了一個根密鑰Ks����,并且UE可以利用公式Ks_NAF=KDF(Ks,″gba-me″��,RAND���,IMPI���,NAF_Id)或者Ks_Ext_NAF=KDF(Ks,″gba-me″��,RAND����,IMPI,NAF_Id)�����、Ks_Int_NAF=KDF(Ks����,″gba-u″,RAND�����,IMPI�,NAF_Id),推導(dǎo)出與想要訪問的NAF之間的衍生的共享密鑰Ks_(Ext/Int)_NAF�,其中NAF_Id是由要訪問的NAF以及Ua接口上的協(xié)議標(biāo)識(UaID)連接而成,RAND是一個隨機數(shù),IMPI是UE的私有用戶標(biāo)識�����,″gba-me″和″gba-u″代表字符串�,KDF是密鑰導(dǎo)出函數(shù)的縮寫��,這樣UE側(cè)就獲取了該衍生的共享密鑰Ks_(Ext/Int)_NAF。剩下的任務(wù)就是NAF如何獲取該衍生的共享密鑰Ks_(Ext/Int)_NAF�。只有NAF和UE都獲取了Ks_(Ext/Int)_NAF���,才能建立雙方通訊的安全通道����。
NAF獲取Ks_(Ext/Int)_NAF的流程如圖3所示��,說明如下步驟1UE首先根據(jù)上述公式推導(dǎo)出衍生的共享密鑰Ks_(Ext/Int)_NAF����,B-TID為用戶名���,Ks_(Ext/Int)_NAF為口令向NAF發(fā)送連接請求,本步驟之前可能會事先建立TLS鏈接���,以保證Ua接口的通訊安全;步驟2NAF收到UE的連接請求后,給BSF發(fā)出認(rèn)證請求消息���,其中攜帶引導(dǎo)事務(wù)標(biāo)識B-TID和NAF主機名�����;步驟3BSF上保留有B-TID����、IMPI、Ks�、密鑰有效期、BSF與UE之間的相互鑒權(quán)的開始時間��、應(yīng)用相關(guān)的GBA用戶安全設(shè)置(GUSS����,GBA User security setting)等信息,如果BSF能夠根據(jù)該B-TID查找到相應(yīng)的Ks�����,則完成相應(yīng)用戶的認(rèn)證�,然后BSF再使用與用戶側(cè)相同的上述公式計算出衍生的共享密鑰Ks_(Ext/Int)_NAF�,然后在認(rèn)證響應(yīng)消息中把Ks_(Ext/Int)_NAF、Ks_(Ext/Int)_NAF的有效期限�、BSF與UE之間的相互鑒權(quán)的開始時間�����、以及與其它應(yīng)用相關(guān)的用戶安全設(shè)置(USS�����,User security setting)信息發(fā)給NAF���,一個GUSS中可能包含多個USS,NAF收到后�����,保存這些信息。
這樣NAF和UE也就共享了由Ks衍生的密鑰Ks_(Ext/Int)_NAF,從而這兩者在后續(xù)的通信中可以進行安全通信��。
另外��,自由聯(lián)盟工程(LAP,Liberty Alliance Project)組織也定義了一些網(wǎng)絡(luò)架構(gòu)和規(guī)范,用于實現(xiàn)對Web業(yè)務(wù)的訪問,其主要包含三個子網(wǎng)絡(luò)架構(gòu)身份標(biāo)識聯(lián)盟網(wǎng)絡(luò)架構(gòu)(ID-FF�,Identity Federation Framework)��;身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)(ID-WSF��,Identity Web Service Framework)身份標(biāo)識業(yè)務(wù)接口規(guī)范(ID-SIS,Identity Services Interface Specifications);其中ID-FF主要包含身份標(biāo)識聯(lián)盟(Identity Federation)功能和單點認(rèn)證功能(SSO����,Single Sign On)���。ID-WSF主要在ID-FF的基礎(chǔ)上定義一些基于身份標(biāo)識的Web業(yè)務(wù)架構(gòu)����,以便提供一些簡單的���、用戶可以定制的Web業(yè)務(wù)。ID-SIS則定義一些與Web業(yè)務(wù)相關(guān)的接口規(guī)范。ID-FF的架構(gòu)如圖4所示,它主要包含三個實體UE���、身份鑒權(quán)提供商實體(IdP�,Identity Provider)、業(yè)務(wù)提供商實體(SP�,Service Provider)���。身份標(biāo)識聯(lián)盟功能是指UE在IdP和SP上都有自己的身份標(biāo)識��,即用戶標(biāo)識�����。這些身份標(biāo)識可以結(jié)成一個聯(lián)盟����。SSO是指在上述身份標(biāo)識聯(lián)盟功能的基礎(chǔ)上�����,只要UE在IdP上通過了鑒權(quán)����,就等于同時在所有結(jié)成聯(lián)盟的SP上也同時通過了鑒權(quán)��。
ID-FF和GBA互通架構(gòu)如圖5所示,在該架構(gòu)中UE有兩種鑒權(quán)方式一種是UE在IdP上鑒權(quán)通過后,IdP會將該UE的鑒權(quán)申明(Assertion)直接返回給UE;UE再將該Assertion發(fā)給SP;SP通過分析Assertion來對UE進行鑒權(quán)。另一種是UE在IdP上鑒權(quán)通過后��,IdP會將該UE的鑒權(quán)申明鏈接(Artifact)返回給UE�;UE再將該Artifact發(fā)給SP��;SP再將該Artifact通過SOAP協(xié)議發(fā)給IdP����;IdP根據(jù)該Artifact查詢相應(yīng)的Assertion��,并返回給SP;最后SP通過分析Assertion來對UE進行鑒權(quán)��。
ID-WSF的架構(gòu)如圖6所示�,其主要包含如下幾個實體用戶終端(UE)、身份鑒權(quán)提供商(IdP)、業(yè)務(wù)提供商(SP)�����、用于使用Web業(yè)務(wù)的Web業(yè)務(wù)消費者實體(WSC,Web Service Consumer)、用于提供Web業(yè)務(wù)的Web業(yè)務(wù)提供者實體(WSP,Web Service Provider)、發(fā)現(xiàn)業(yè)務(wù)實體(DS����,Discover Service)���。
這些實體配合工作的過程如下首先WSP在DS上注冊其所能夠提供的Web業(yè)務(wù)類型;當(dāng)UE訪問WSC時����,WSC到DS上去查詢可訪問的WSP;DS匹配相關(guān)的WSP地址�����,并提供給WSC�;然后WSC即可代表UE訪問相關(guān)的WSP�����。WSC和WSP(或者SP)的功能是相對的��,也就是說WSC在作為某個WEB業(yè)務(wù)消費者的同時����,也可以作為另外一個Web業(yè)務(wù)提供者(WSP或者SP)��。WSP或者SP在作為某個Web業(yè)務(wù)提供者的同時�����,也可以另外一個WEB業(yè)務(wù)消費者(WSC)。
上述架構(gòu)的進一步簡化形式如圖7所示��,其中WSC的功能在UE上實現(xiàn)�����,并且某個WSP可以提供認(rèn)證業(yè)務(wù)實體(AS���,AuthenticationService)的功能���。這里ID-WSF中的AS功能與ID-FF中的IdP功能相當(dāng)�����,用于完成身份標(biāo)識Web業(yè)務(wù)網(wǎng)鑒權(quán)功能��。由于圖7主要涉及ID-WSF的鑒權(quán)事務(wù)��,因此略去DS����。
圖8介紹了增加單點認(rèn)證業(yè)務(wù)實體(SSOS����,Single-Sign-On Service)的ID-WSF的網(wǎng)絡(luò)架構(gòu)�,其主要的工作流程如下首先UE和AS通過SASL協(xié)議交互,完成AS鑒權(quán)���;鑒權(quán)通過后AS給UE返回SSOS的地址以及訪問SSOS所需要的信任狀(Credentials);UE利用從AS獲取的Credentials訪問SSOS,進行SSOS鑒權(quán),SSOS對UE鑒權(quán)成功后給UE返回相應(yīng)的Assertion;UE利用該Assertion去訪問相關(guān)的SP。
從上面的介紹可以看出�����,一方面��,通用鑒權(quán)架構(gòu)中UE與BSF交互獲取根密鑰Ks和B-TID以后���,都需要分別以B-TID為用戶名�,Ks_(Ext/Int)_NAF為口令在各個NAF上鑒權(quán)�,以便訪問各個NAF�����。這種頻繁的認(rèn)證增強了安全性�����,但增加了終端操作的復(fù)雜性和不方便性����。另一方面���,身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)中通過單點認(rèn)證功能在各個SP與SSOS之間建立身份標(biāo)識安全聯(lián)盟���,并組成一個安全信任圈���,只要在SSOS上通過了鑒權(quán)��,就等于在SSOS所屬的安全信任圈內(nèi)的所有SP上也通過了鑒權(quán)?���,F(xiàn)有技術(shù)中沒有實現(xiàn)這兩種網(wǎng)絡(luò)架構(gòu)之間互通的方法,致使ID-WSF通信的安全性不夠高���,通用鑒權(quán)架構(gòu)用戶終端操作也不夠簡便�,對擴展用戶終端的應(yīng)用場景,方便用戶終端應(yīng)用已有的多種多樣的WEB業(yè)務(wù)造成諸多限制。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)及其鑒權(quán)方法��,克服現(xiàn)有技術(shù)在對ID-WSF的UE進行鑒權(quán)的過程中無法使用GBA鑒權(quán)方式,通信安全性低的缺點�。
本發(fā)明采用如下的技術(shù)方案一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng),包括通用鑒權(quán)架構(gòu)的用戶歸屬網(wǎng)絡(luò)服務(wù)器和引導(dǎo)服務(wù)功能實體、業(yè)務(wù)提供商實體、用戶終端�,用戶歸屬網(wǎng)絡(luò)服務(wù)器和引導(dǎo)服務(wù)功能實體之間通過Zh接口進行通信�,引導(dǎo)服務(wù)功能實體與用戶終端之間通過Ub接口進行通信,其特征在于包括網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體�,其包括網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊、鑒權(quán)服務(wù)模塊��、單點認(rèn)證業(yè)務(wù)模塊���,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊用于提供網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能實體功能���,鑒權(quán)服務(wù)模塊用于提供鑒權(quán)服務(wù)實體功能�,單點認(rèn)證業(yè)務(wù)模塊用于提供單點認(rèn)證業(yè)務(wù)實體功能,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊與引導(dǎo)服務(wù)功能實體之間通過Zn接口進行通信�,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊與用戶終端之間通過Ua接口進行通信�。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)�����,其中單點認(rèn)證業(yè)務(wù)模塊與用戶終端采用安全申明標(biāo)記語言描述的單點認(rèn)證和身份標(biāo)識聯(lián)盟協(xié)議進行兩者之間的通信,采用簡單對象訪問協(xié)議或超文本傳輸協(xié)議封裝通信消息���;鑒權(quán)服務(wù)模塊與用戶終端采用簡單鑒權(quán)和安全層協(xié)議進行兩者之間的通信��,采用簡單對象訪問協(xié)議或超文本傳輸協(xié)議封裝通信消息����;單點認(rèn)證業(yè)務(wù)模塊與業(yè)務(wù)提供商實體之間進行通信時,采用簡單對象訪問協(xié)議封裝通信消息���;用戶終端與業(yè)務(wù)提供商實體之間進行通信時��,采用簡單對象訪問協(xié)議或超文本傳輸協(xié)議封裝通信消息����。
一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法����,包括步驟身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)的用戶終端和業(yè)務(wù)提供商實體的通信過程中包括兩種鑒權(quán)過程����,分別是通用鑒權(quán)架構(gòu)鑒權(quán)過程和身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程,在通用鑒權(quán)架構(gòu)鑒權(quán)過程中����,引導(dǎo)服務(wù)功能實體生成引導(dǎo)事務(wù)標(biāo)識��、根密鑰有效期�����,并且發(fā)送給用戶終端�����,引導(dǎo)服務(wù)功能實體和用戶終端都生成根密鑰��;在身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程中�����,鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊生成用戶終端訪問單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊所需要的信任狀;單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊生成鑒權(quán)申明并發(fā)送給用戶終端�,或者單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊生成鑒權(quán)申明及相應(yīng)的鑒權(quán)申明鏈接,保存鑒權(quán)申明和鑒權(quán)申明鏈接的對應(yīng)關(guān)系表�,將鑒權(quán)申明鏈接發(fā)送給用戶終端。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法��,其中包括步驟用戶終端向相應(yīng)的鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)請求消息�,鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊向用戶終端發(fā)送要求其進行通用鑒權(quán)架構(gòu)鑒權(quán)的挑戰(zhàn)響應(yīng)消息,引導(dǎo)服務(wù)功能實體對用戶終端進行通用鑒權(quán)架構(gòu)鑒權(quán)���,鑒權(quán)成功后向用戶終端發(fā)送通用鑒權(quán)架構(gòu)鑒權(quán)成功響應(yīng)消息�,該鑒權(quán)成功響應(yīng)消息中包含引導(dǎo)事務(wù)標(biāo)識和根密鑰有效期��;用戶終端向鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送應(yīng)用請求消息�����,鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊根據(jù)該應(yīng)用請求消息對用戶終端進行鑒權(quán)���,鑒權(quán)通過后�,向用戶終端發(fā)送響應(yīng)消息���,其中包含單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的地址和信任狀�。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法����,其中包括步驟單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊對用戶終端進行身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán),鑒權(quán)成功后向用戶終端發(fā)送身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)成功響應(yīng)消息����,該鑒權(quán)成功響應(yīng)消息中包含鑒權(quán)申明。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法���,其中包括步驟單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊對用戶終端進行身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)�����,生成鑒權(quán)申明及相應(yīng)的鑒權(quán)申明鏈接��,保存鑒權(quán)申明和鑒權(quán)申明鏈接的對應(yīng)關(guān)系表��,在隨后發(fā)送給用戶終端的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)成功響應(yīng)消息中包含鑒權(quán)申明鏈接�����。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法���,其中包括步驟A1����、用戶終端向業(yè)務(wù)提供商實體發(fā)送應(yīng)用請求消息�����;A2�����、業(yè)務(wù)提供商實體收到該應(yīng)用請求消息后�����,首先獲取鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊的地址�,然后發(fā)送響應(yīng)消息給用戶終端,其中攜帶鑒權(quán)請求頭域��;A3�����、用戶終端向鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送應(yīng)用請求消息�,其中包含簡單鑒權(quán)和安全層協(xié)議請求頭域�,其包含鑒權(quán)機制頭域�����,鑒權(quán)機制頭域中包含用戶終端支持的鑒權(quán)方式列表�����;A4��、鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊給用戶終端發(fā)送挑戰(zhàn)響應(yīng)消息���,其中包含簡單鑒權(quán)和安全層協(xié)議響應(yīng)頭域,其包含服務(wù)器鑒權(quán)機制頭域和挑戰(zhàn)頭域���,服務(wù)器鑒權(quán)機制頭域中記錄鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊選擇的鑒權(quán)方式����。
A5�、用戶終端與引導(dǎo)服務(wù)功能實體交互,進行通用鑒權(quán)架構(gòu)鑒權(quán)�;A6、用戶終端向鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送應(yīng)用請求消息��,其中包含簡單鑒權(quán)和安全層協(xié)議請求頭域,簡單鑒權(quán)和安全層協(xié)議請求頭域包含挑戰(zhàn)響應(yīng)頭域����,挑戰(zhàn)響應(yīng)頭域包含引導(dǎo)事務(wù)標(biāo)識和鑒權(quán)響應(yīng)摘要信息;A7�、鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊通過Zn接口向引導(dǎo)服務(wù)功能實體獲取共享密鑰、用戶安全設(shè)置����、密鑰有效期、引導(dǎo)時間等信息����,鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊根據(jù)收到簡單鑒權(quán)和安全層協(xié)議請求頭域?qū)τ脩艚K端進行鑒權(quán),鑒權(quán)通過后��,向用戶終端發(fā)送響應(yīng)消息����,其中包含簡單鑒權(quán)和安全層協(xié)議響應(yīng)頭域,該頭域中有單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的地址和信任狀���。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法���,其中同時支持通用鑒權(quán)架構(gòu)鑒權(quán)和身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)的用戶終端在向鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送的應(yīng)用請求消息中設(shè)置通用鑒權(quán)架構(gòu)標(biāo)識�����,若鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)現(xiàn)此通用鑒權(quán)架構(gòu)標(biāo)識���,則通知用戶終端先啟動通用鑒權(quán)架構(gòu)鑒權(quán)過程,再啟動用戶身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程�����,否則通知用戶終端只啟動用戶身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程��。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法�,其中所述步驟A5包括步驟B1���、用戶終端向引導(dǎo)服務(wù)功能實體發(fā)送通用鑒權(quán)架構(gòu)鑒權(quán)請求消息�����,其中包含私有用戶標(biāo)識���;B2、引導(dǎo)服務(wù)功能實體收到該通用鑒權(quán)架構(gòu)鑒權(quán)請求消息后��,從用戶歸屬網(wǎng)絡(luò)服務(wù)器獲取用戶終端的認(rèn)證矢量;B3��、引導(dǎo)服務(wù)功能實體向用戶終端發(fā)送挑戰(zhàn)消息��,其中攜帶鑒權(quán)序號參數(shù)和隨機參數(shù)��;B4���、用戶終端檢查鑒權(quán)序號參數(shù)有效性并生成期望結(jié)果�;B5�、用戶終端向引導(dǎo)服務(wù)功能實體發(fā)送消息,其中攜帶私有用戶標(biāo)識����、期望結(jié)果;B6����、引導(dǎo)服務(wù)功能實體檢查期望結(jié)果的有效性并生成根密鑰;B7�、引導(dǎo)服務(wù)功能實體向用戶終端發(fā)送通用鑒權(quán)架構(gòu)成功響應(yīng)消息,其中攜帶引導(dǎo)事務(wù)標(biāo)識和根密鑰有效期���;
B8�、用戶終端保存引導(dǎo)事務(wù)標(biāo)識和根密鑰有效期,生成并保存根密鑰和共享密鑰����。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法,其中包括步驟C1�、用戶終端根據(jù)單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的地址向單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊發(fā)送應(yīng)用請求消息;C2��、單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊根據(jù)收到的應(yīng)用請求消息內(nèi)容進行鑒權(quán)處理��,鑒權(quán)成功后向用戶終端發(fā)送成功響應(yīng)消息���,其中包含鑒權(quán)申明,鑒權(quán)申明中有單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的數(shù)字簽名�;C3、用戶終端向業(yè)務(wù)提供商實體發(fā)送應(yīng)用請求消息�����,其中包含鑒權(quán)申明�;C4、業(yè)務(wù)提供商實體處理鑒權(quán)申明�����,驗證單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的數(shù)字簽名,完成對用戶終端的鑒權(quán)后�,向用戶終端發(fā)送響應(yīng)消息。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法����,其中包括步驟D1、用戶終端根據(jù)單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的地址向單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊發(fā)送應(yīng)用請求消息����;D2、單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊根據(jù)收到的應(yīng)用請求消息內(nèi)容進行鑒權(quán)處理�,生成鑒權(quán)申明和相應(yīng)的鑒權(quán)申明鏈接,保存鑒權(quán)申明�����、鑒權(quán)申明和相應(yīng)的鑒權(quán)申明鏈接的對應(yīng)關(guān)系���,鑒權(quán)成功后向用戶終端發(fā)送成功響應(yīng)消息�����,其中包含鑒權(quán)申明鏈接�。
D3��、用戶終端向業(yè)務(wù)提供商實體發(fā)送應(yīng)用請求消息,其中包含鑒權(quán)申明鏈接��;D4����、業(yè)務(wù)提供商實體向單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊發(fā)送應(yīng)用請求消息,其中包含鑒權(quán)申明鏈接���;D5��、單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊根據(jù)鑒權(quán)申明鏈接找到對應(yīng)的鑒權(quán)申明���,向業(yè)務(wù)提供商實體發(fā)送響應(yīng)消息,其中包含鑒權(quán)申明�,鑒權(quán)申明中有單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的數(shù)字簽名����;D6、業(yè)務(wù)提供商實體處理鑒權(quán)申明�����,驗證單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的數(shù)字簽名�,完成對用戶終端的鑒權(quán)后�,向用戶終端發(fā)送響應(yīng)消息��。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法���,其中簡單鑒權(quán)和安全層協(xié)議請求頭域和簡單鑒權(quán)和安全層協(xié)議響應(yīng)頭域由簡單對象訪問協(xié)議封裝��。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法��,其中當(dāng)業(yè)務(wù)提供商實體收到用戶終端�、單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊發(fā)送的退出鏈接請求消息時��,或者當(dāng)業(yè)務(wù)提供商實體和用戶終端之間的會話正常終止時�����,或者當(dāng)業(yè)務(wù)提供商實體收到的鑒權(quán)申明中的重新認(rèn)證期限頭域?qū)?yīng)的時間過期時���,或者當(dāng)業(yè)務(wù)提供商實體收到的鑒權(quán)申明中的期限頭域?qū)?yīng)的時間過期時�,業(yè)務(wù)提供商實體在隨后與用戶終端的通信過程中要求用戶終端重新鑒權(quán)���。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法����,其中在鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊上配置如下的本地安全策略在對用戶終端重新鑒權(quán)時,若雙方的共享密鑰沒有過期�����,則只對用戶終端進行身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)�。
所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法,其中在鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊上配置如下的本地安全策略在對用戶終端重新鑒權(quán)時���,若雙方的共享密鑰沒有過期����,對用戶終端進行通用鑒權(quán)架構(gòu)鑒權(quán)和身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)��。
本發(fā)明的技術(shù)方案對現(xiàn)有技術(shù)的ID-WSF進行了改進和擴充����,增加用戶歸屬網(wǎng)絡(luò)服務(wù)器和引導(dǎo)服務(wù)功能實體和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能實體,并將原有的鑒權(quán)服務(wù)實體���、單點認(rèn)證業(yè)務(wù)實體的功能以及新增的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能分別由網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體的網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊、鑒權(quán)服務(wù)模塊�、單點認(rèn)證業(yè)務(wù)模塊實現(xiàn),從而實現(xiàn)了ID-WSF和GBA的互通,克服了現(xiàn)有技術(shù)ID-WSF對UE進行鑒權(quán)的過程中無法使用GBA方式鑒權(quán)的缺點��;提供了一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)和對UE進行鑒權(quán)的方法�����,在增加的通用鑒權(quán)架構(gòu)鑒權(quán)過程中�����,引導(dǎo)服務(wù)功能實體生成引導(dǎo)事務(wù)標(biāo)識���、根密鑰有效期����,并且發(fā)送給用戶終端�,引導(dǎo)服務(wù)功能實體和用戶終端都生成根密鑰,因此增強了UE與業(yè)務(wù)提供商實體之間通信的安全性�。
本發(fā)明包括如下附圖圖1是現(xiàn)有技術(shù)通用鑒權(quán)架構(gòu)(GBA)示意圖;圖2是現(xiàn)有技術(shù)通用鑒權(quán)架構(gòu)中UE執(zhí)行引導(dǎo)過程(bootstrapping)的流程圖����;圖3是現(xiàn)有技術(shù)NAF獲取共享密鑰Ks_(Ext/Int)_NAF的流程圖;圖4是現(xiàn)有技術(shù)身份標(biāo)識聯(lián)盟網(wǎng)絡(luò)架構(gòu)(ID-FF)示意圖���;圖5是現(xiàn)有技術(shù)ID-FF和GBA互通架構(gòu)示意圖���;圖6是現(xiàn)有技術(shù)身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)(ID-WSF)示意圖����;圖7是現(xiàn)有技術(shù)ID-WSF的簡化形式示意圖���;圖8是現(xiàn)有技術(shù)包含單點認(rèn)證業(yè)務(wù)實體(SSOS)的ID-WSF示意圖����;圖9是現(xiàn)有技術(shù)GBA和ID-WSF互通的網(wǎng)絡(luò)架構(gòu)示意圖��;
圖10是本發(fā)明網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體示意圖���;圖11是本發(fā)明的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)示意圖���;圖12是本發(fā)明當(dāng)AS和SSOS為不同的實體時給UE返回Assertion的鑒權(quán)方法流程圖;圖13是本發(fā)明當(dāng)AS和SSOS為不同的實體時給UE返回Artifact的鑒權(quán)方法流程圖���;圖14是本發(fā)明使用網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體并給UE返回Assertion的鑒權(quán)方法流程圖��;圖15是本發(fā)明使用網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體并給UE返回Artifact的鑒權(quán)方法流程圖��。
具體實施例方式
下面結(jié)合附圖和實施例對本發(fā)明作進一步詳細說明為了提高現(xiàn)有技術(shù)ID-WSF網(wǎng)絡(luò)通信的安全性��,實現(xiàn)ID-WSF和GBA的互通����,如圖10所示�,本發(fā)明提供了一種網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體,其包括網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊����、鑒權(quán)服務(wù)模塊、單點認(rèn)證業(yè)務(wù)模塊��,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊用于提供網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能實體功能�,鑒權(quán)服務(wù)模塊用于提供鑒權(quán)服務(wù)實體功能,單點認(rèn)證業(yè)務(wù)模塊用于提供單點認(rèn)證業(yè)務(wù)實體功能���。如圖11所示���,本發(fā)明提供了一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng),其包括通用鑒權(quán)架構(gòu)的用戶歸屬網(wǎng)絡(luò)服務(wù)器和引導(dǎo)服務(wù)功能實體�����、網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體、業(yè)務(wù)提供商實體�、用戶終端,用戶歸屬網(wǎng)絡(luò)服務(wù)器和引導(dǎo)服務(wù)功能實體之間通過Zh接口進行通信���,引導(dǎo)服務(wù)功能實體與用戶終端之間通過Ub接口進行通信�,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊與引導(dǎo)服務(wù)功能實體之間通過Zn接口進行通信�,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊與用戶終端之間通過Ua接口進行通信;單點認(rèn)證業(yè)務(wù)模塊與用戶終端采用安全申明標(biāo)記語言描述的單點認(rèn)證和身份標(biāo)識聯(lián)盟協(xié)議進行兩者之間的通信��,并可采用簡單對象訪問協(xié)議或超文本傳輸協(xié)議封裝通信消息�;用戶終端與鑒權(quán)服務(wù)模塊采用簡單鑒權(quán)和安全層協(xié)議進行兩者之間的通信,并可采用簡單對象訪問協(xié)議或超文本傳輸協(xié)議封裝通信消息���;單點認(rèn)證業(yè)務(wù)模塊與業(yè)務(wù)提供商實體之間���、用戶終端與業(yè)務(wù)提供商實體之間進行通信時,采用簡單對象訪問協(xié)議或超文本傳輸協(xié)議封裝通信消息��。
如圖9所示�,現(xiàn)有技術(shù)給出了一種當(dāng)AS和SSOS為不同的實體時的GBA和ID-WSF互通的網(wǎng)絡(luò)架構(gòu),但是并沒有相應(yīng)的鑒權(quán)方法�。
如圖12所示,本發(fā)明提供了當(dāng)AS和SSOS為不同的實體時����,對UE進行鑒權(quán)并給UE返回Assertion的鑒權(quán)方法實施例1����;圖13所示�,本發(fā)明提供了當(dāng)AS和SSOS為不同的實體時�����,對UE進行鑒權(quán)并給UE返回Artifact的鑒權(quán)方法實施例2�;如圖14所示,本發(fā)明提供了使用網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體并給UE返回Assertion的鑒權(quán)方法實施例3����;如圖15所示,本發(fā)明提供了使用網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體并給UE返回Artifact的鑒權(quán)方法實施例4��。實施例1和實施例3以及實施例2和實施例4的步驟是相同的��,只是實施例1和實施例2中單點認(rèn)證業(yè)務(wù)實體以及鑒權(quán)服務(wù)實體實現(xiàn)的功能�����,在實施例3和實施例4中由本發(fā)明的單點認(rèn)證業(yè)務(wù)模塊和鑒權(quán)服務(wù)模塊實現(xiàn)���。
下面通過對實施例1和實施例2的具體說明���,闡述本發(fā)明鑒權(quán)方法的實現(xiàn)過程本發(fā)明鑒權(quán)方法的要點是為了實現(xiàn)GBA與ID-WSF的互通�,提高ID-WSF網(wǎng)絡(luò)通信的安全性和應(yīng)用方便性���,在身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)的用戶終端和業(yè)務(wù)提供商實體的通信過程中包括兩種鑒權(quán)過程����,分別是通用鑒權(quán)架構(gòu)鑒權(quán)過程和身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程�,在通用鑒權(quán)架構(gòu)鑒權(quán)過程中,引導(dǎo)服務(wù)功能實體生成引導(dǎo)事務(wù)標(biāo)識��、根密鑰有效期�,并且發(fā)送給用戶終端,引導(dǎo)服務(wù)功能實體和用戶終端都生成根密鑰��;在身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程中�,鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊生成用戶終端訪問單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊所需要的信任狀;單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊生成鑒權(quán)申明并發(fā)送給用戶終端��,或者單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊生成鑒權(quán)申明及相應(yīng)的鑒權(quán)申明鏈接���,保存鑒權(quán)申明���、鑒權(quán)申明和鑒權(quán)申明鏈接的對應(yīng)關(guān)系��,將鑒權(quán)申明鏈接發(fā)送給用戶終端�����。
在實施例1和實施例2中,UE和AS通過SASL協(xié)議進行協(xié)商�����,采用HTTP DIGEST鑒權(quán)方式���,如果采用其他鑒權(quán)方式�,則digest-challenge頭域(挑戰(zhàn)頭域)和digest-response頭域(挑戰(zhàn)響應(yīng)頭域)改成相應(yīng)鑒權(quán)方式的挑戰(zhàn)頭域和挑戰(zhàn)響應(yīng)頭域�����。
下面是對實施例1的說明步驟1UE向SP發(fā)送HTTP Request消息(應(yīng)用請求消息)����;為保證安全,UE和SP之間可以事先建立TLS安全隧道����。
步驟2SP收到該HTTP Request消息后�����,首先獲取AS的地址�����,然后發(fā)送一個HTTP Response響應(yīng)消息給UE����,其中攜帶AuthnRequest頭域(鑒權(quán)請求頭域)�;步驟3由于UE集成了WSC實體功能,收到SP返回的包含AuthnRequest頭域的響應(yīng)消息后����,UE通過其上的WSC知道應(yīng)該通過SASL(SimpleAuthentication and Security Layer,簡單鑒權(quán)和安全層)協(xié)議向AS進行鑒權(quán)��,而不是通過HTTP DIGEST協(xié)議向IdP進行鑒權(quán)���,UE向AS發(fā)送一個HTTP Request消息���,其中攜帶SOAP(Simple Object Access Protocol���,簡單對象訪問協(xié)議)封裝的SASLRequest頭域(簡單鑒權(quán)和安全層協(xié)議請求頭域),其中SASLRequest頭域的mechanism頭域(鑒權(quán)機制頭域)中包含UE支持的鑒權(quán)方式列表�����,例如mechanism=“CRAM-MD5DIGEST-MD5”����,其中DIGEST-MD5表示HTTP DIGEST鑒權(quán)方式;步驟4AS返回一個HTTP Response響應(yīng)消息給UE�,其中攜帶SOAP協(xié)議封裝的SASLResponse頭域(簡單鑒權(quán)和安全層協(xié)議響應(yīng)頭域)�,SASLResponse頭域的serverMechanism頭域中記錄AS從UE支持的鑒權(quán)方式列表中選擇的鑒權(quán)方式(例如serverMechanism=“DIGEST-MD5”表示AS選擇的鑒權(quán)方式為HTTP DIGEST),以及digest-challenge頭域(挑戰(zhàn)頭域)��;步驟5UE向BSF發(fā)送GBA鑒權(quán)請求消息���,其中包含私有用戶標(biāo)識(IMPI)�,要求與BSF進行相互鑒權(quán)�;步驟6BSF收到UE的GBA鑒權(quán)請求消息后,首先到HSS獲取該UE的鑒權(quán)向量信息����,即認(rèn)證矢量(鑒權(quán)序號參數(shù)AUTN�����,隨機參數(shù)RAND��,完整性密鑰IK��,機密性密鑰CK�����,_預(yù)期結(jié)果XRES)���;步驟7BSF保存XRES、IK�����、CK�����,并向UE發(fā)送消息�����,其中攜帶AUTN和RAND;步驟8UE運行AKA算法���,檢查AUTN有效性以鑒權(quán)BSF�����,并生成期望結(jié)果RES��,并且利用RAND生成完整性密鑰IK和機密性密鑰CK��;步驟9UE向BSF發(fā)送消息�����,其中攜帶IMPI���、期望結(jié)果RES���;步驟10BSF將RES和保存的XRES比較�,如果兩者一致的話完成對UE的鑒權(quán)����,并利用保存的IK和CK生成根密鑰Ks�;步驟11BSF向UE發(fā)送GBA成功響應(yīng)消息�,其中攜帶引導(dǎo)事務(wù)標(biāo)識(B-TID)和根密鑰Ks有效期;步驟12UE保存B-TID和根密鑰Ks有效期�����,并利用IK和CK生成根密鑰Ks�,然后生成并保存共享密鑰Ks(Ext/Int)NAF;步驟13UE再次向AS發(fā)送一個HTTP Request消息�,其中攜帶SOAP協(xié)議封裝的SASLRequest頭域,SASLRequest頭域的mechanism頭域填寫步驟4中AS選擇的鑒權(quán)方式(這里的鑒權(quán)方式為HTTP DIGEST)��,SASLRequest頭域的digest-response頭域(挑戰(zhàn)響應(yīng)頭域)中包含username頭域����,username頭域中填寫B(tài)-TID以及用密鑰Ks(Ext/Int)NAF計算出來的鑒權(quán)響應(yīng)摘要信息;步驟14AS和NAF在一個實體上����,如果AS中沒有相關(guān)的Ks_(Ext/Int)_NAF密鑰等信息,則可以通過Zn接口向BSF獲取Ks_(Ext/Int)_NAF����、USS��、密鑰有效期��、引導(dǎo)時間等信息�����,其中USS可能包含一些身份標(biāo)識聯(lián)盟相關(guān)信息����;步驟15根據(jù)獲取的Ks_(Ext/Int)_NAF密鑰信息����,AS對上述SASLRequest頭域中的digest-response進行處理,AS鑒權(quán)通過后�����,向UE發(fā)送HTTPResponse響應(yīng)消息�����,其中攜帶SOAP協(xié)議封裝的SASLResponse頭域��,其中SASLResponse頭域中的ID-WSF EPR(EndpointReference)頭域中包含SSOS地址和ServiceType域�����,ServiceType域中的內(nèi)容包括urn:liberty:ssos:2004-04��、以及訪問SSOS所需要的信任狀(Credentials)等其他SSO相關(guān)信息�;步驟16UE根據(jù)步驟15得到的SS0S地址向SSOS發(fā)送HTTP Request消息,以請求訪問SP所需要的Assertion���,其中攜帶SOAP協(xié)議封裝的samlp2:AuthnRequest頭域�、sb:Correlation頭域���、wsse:security頭域���,根據(jù)具體的應(yīng)用程序和網(wǎng)絡(luò)模型,AuthnRequest頭域可能是步驟2中SP返回的�����,也可能由UE自己生成��,其中包含一些要求AuthnRequest接收方采取的鑒權(quán)操作����,其中ProtocolBinding頭域設(shè)置成urn:liberty:iff:profiles:id-wsf�����,以表示要使用SAML協(xié)議綁定�����,wsse:security頭域包含上一步中返回的訪問SSOS所需要的信任狀(Credentials)信息�����,sb:Correlation頭域主要用于將SSOS返回的響應(yīng)消息和相應(yīng)的請求消息關(guān)聯(lián)起來��;步驟17SSOS根據(jù)收到的HTTP Request消息內(nèi)容進行鑒權(quán)處理�,鑒權(quán)成功后SSOS可能告訴UE可以和哪些SP結(jié)成身份標(biāo)識聯(lián)盟��,UE同意并完成和SP的身份標(biāo)識聯(lián)盟�,然后SSOS返回HTTP Response響應(yīng)消息,其中攜帶SOAP協(xié)議封裝的samlp2:Response頭域���,其中Response頭域包含訪問SP所需要的saml:Assertion頭域(其中包含SSOS的數(shù)字簽名)�����;步驟18UE再次向SP發(fā)送HTTP Request消息�,其中攜帶SOAP協(xié)議封裝的上一步中返回的saml:Assertion頭域����;步驟19SP處理上述saml:Assertion頭域,并驗證SSOS的數(shù)字簽名����,根據(jù)和SSOS的身份標(biāo)識聯(lián)盟信息對UE完成鑒權(quán),成功后返回一個HTTPResponse消息�����。
另外的幾點說明根據(jù)AuthnRequest中的身份標(biāo)識策略����,AS可能每次都要求UE必須先執(zhí)行步驟5~步驟12,再執(zhí)行步驟13�,以保證每次的用戶標(biāo)識B-TID和密鑰Ks_(Ext/Int)_NAF都是重新生成的。
或者�,如果UE和AS之間已經(jīng)建立了安全聯(lián)盟,并且Ks_(Ext/Int)_NAF密鑰沒有過期�����,則不執(zhí)行步驟3~步驟12,直接執(zhí)行步驟13����,即UE給AS發(fā)送的HTTP Request請求消息的SASLRequest頭域中的digest-response頭域中包含username頭域,username頭域中填寫B(tài)-TID以及用共享密鑰Ks_(Ext/Int)_NAF計算出來的鑒權(quán)響應(yīng)摘要信息�。
如果UE和AS之間還沒有建立安全聯(lián)盟,則需要先執(zhí)行步驟3~步驟12���,進行正常的GBA引導(dǎo)過程獲取B-TID和密鑰信息Ks_(Ext/Int)_NAF�����,然后再執(zhí)行步驟13�����。
如果UE和AS之間已經(jīng)建立了安全聯(lián)盟����,但是Ks_(Ext/Int)_NAF密鑰已經(jīng)或者將要過期��,則步驟3中也帶有已有的B-TID��,以及用密鑰Ks_(Ext/Int)_NAF計算出來的鑒權(quán)響應(yīng)摘要信息��,然后AS通過步驟4挑戰(zhàn)UE,UE再執(zhí)行步驟5~步驟12�����,進行正常的GBA鑒權(quán)過程獲取更新的B-TID和共享密鑰Ks_(Ext/Int)_NAF���,然后再執(zhí)行步驟13。
另外��,對于本發(fā)明中GBA和SSO兩種機制都支持的UE來講UE在步驟3中向AS發(fā)送HTTP請求時�����,需要攜帶一個表示支持GBA機制的標(biāo)識�,例如對于基于ME(Mobile Equipment,移動設(shè)備)的應(yīng)用�����,在User-Agent頭域中設(shè)置成“3gpp-gba”�����;對基于UICC(Universal IntegratedCircuit Card�,通用集成電路卡)的應(yīng)用,在User-Agent頭域中設(shè)置成“3gpp-gba-uicc”。AS發(fā)現(xiàn)UE支持GBA后��,在步驟4的挑戰(zhàn)響應(yīng)中也攜帶一個表示需要UE執(zhí)行GBA機制的標(biāo)識�,例如對于基于ME的應(yīng)用,在digest-challenge頭域中的realm參數(shù)中設(shè)置“3gpp-gba@NAF的域名”�����,對于基于UICC的應(yīng)用���,在digest-challenge頭域的realm參數(shù)中設(shè)置“3gpp-gba-uicc@NAF的域名”���。
UE如果在挑戰(zhàn)響應(yīng)中發(fā)現(xiàn)此標(biāo)識,則知道需要先執(zhí)行GBA過程(步驟3~步驟12)����,然后再執(zhí)行步驟13,否則直接執(zhí)行步驟13�����,其中的用戶名���、密碼的獲取通過現(xiàn)有SSO機制處理�,例如可以給用戶彈一個對話框,由用戶直接輸入用戶名和密碼��。
UE在步驟13中再次向AS發(fā)送HTTP請求時�,同步驟3一樣,也需要攜帶一個表示支持GBA機制的標(biāo)識�,如果AS發(fā)現(xiàn)此標(biāo)識,則知道需要先執(zhí)行步驟14����,然后執(zhí)行步驟15�;否則直接執(zhí)行步驟15。
另外��,也可以通過配置AS來達到上述同樣目的��。上述幾點同樣適用于下面的實施例2��。
下面是對實施例2的說明步驟1UE向SP發(fā)送HTTP Request消息�;步驟2SP收到該HTTP Request消息后,首先獲取AS的地址���,然后發(fā)送一個HTTP Response響應(yīng)消息給UE���,其中攜帶AuthnRequest頭域��;步驟3由于UE集成了WSC實體功能��,收到SP返回的包含AuthnRequest頭域的響應(yīng)消息后��,UE通過其上的WSC知道應(yīng)該通過SASL協(xié)議向AS進行鑒權(quán)����,而不是通過HTTP DIGEST協(xié)議向IdP進行鑒權(quán)���,UE向AS發(fā)送一個HTTP Request消息�����,其中攜帶SOAP協(xié)議封裝的SASLRequest頭域����,其中SASLRequest頭域的mechanism頭域中包含UE支持的鑒權(quán)方式列表���,例如mechanism=“CRAM-MD5DIGEST-MD5”�,其中DIGEST-MD5表示HTTP DIGEST鑒權(quán)方式�����;步驟4AS返回一個HTTP Response響應(yīng)消息給UE,其中攜帶SOAP協(xié)議封裝的SASLResponse頭域�,SASLResponse頭域的serverMechanism頭域(服務(wù)器鑒權(quán)機制頭域)中記錄AS從UE支持的鑒權(quán)方式列表中選擇的鑒權(quán)方式(例如serverMechanism=“DIGEST-MD5”表示AS選擇的鑒權(quán)方式為HTTP DIGEST),以及挑戰(zhàn)頭域digest-challenge����;步驟5UE向BSF發(fā)送GBA鑒權(quán)請求消息,其中包含私有用戶標(biāo)識(IMPI)����,要求與BSF進行相互鑒權(quán);步驟6BSF收到UE的GBA鑒權(quán)請求消息后���,首先到HSS獲取該UE的鑒權(quán)向量信息�,即認(rèn)證矢量(鑒權(quán)序號參數(shù)AUTN�����,隨機參數(shù)RAND�,完整性密鑰IK�����,機密性密鑰CK���,_預(yù)期結(jié)果XRES)�����;步驟7BSF保存XRES���、IK�、CK�����,并向UE發(fā)送消息����,其中攜帶AUTN和RAND;步驟8UE運行AKA算法���,檢查AUTN有效性以鑒權(quán)BSF���,并生成期望結(jié)果RES,并且利用RAND生成完整性密鑰IK和機密性密鑰CK�;步驟9UE向BSF發(fā)送消息,其中攜帶IMPI�、期望結(jié)果RES�;步驟10BSF將RES和保存的XRES比較�����,如果兩者一致的話完成對UE的鑒權(quán)�,并利用保存的IK和CK生成根密鑰Ks;步驟11BSF向UE發(fā)送GBA成功響應(yīng)消息��,其中攜帶引導(dǎo)事務(wù)標(biāo)識(B-TID)和根密鑰Ks有效期�;步驟12UE保存B-TID和根密鑰Ks有效期,并利用IK和CK生成根密鑰Ks����,然后生成并保存共享密鑰Ks_(Ext/Int)_NAF;
步驟13UE再次向AS發(fā)送一個HTTP Request消息�����,其中攜帶SOAP協(xié)議封裝的SASLRequest頭域��,其中SASLRequest頭域中的mechanism頭域填寫步驟4中AS選擇的鑒權(quán)方式(本實施例中的鑒權(quán)方式為HTTPDIGEST)�,挑戰(zhàn)響應(yīng)頭域digest-response中包含username頭域�����,username頭域中填寫B(tài)-TID,以及用密鑰Ks_(Ext/Int)_NAF計算出來的鑒權(quán)響應(yīng)摘要信息�;步驟14AS和NAF在一個實體上,如果AS中沒有相關(guān)的Ks_(ext)_NAF密鑰等信息����,則可以通過Zn接口向BSF獲取Ks_(Ext/Int)_NAF、USS�����、密鑰有效期�、引導(dǎo)時間等信息����,其中USS可能包含一些身份標(biāo)識聯(lián)盟相關(guān)信息��;步驟15AS對上述SASLRequest頭域進行處理���,AS鑒權(quán)通過后,向UE發(fā)送HTTP Response響應(yīng)消息�,其中攜帶SOAP封裝的SASLResponse頭域,SASLResponse頭域中的ID-WSF EPR(EndpointReference頭域)中包含SSOS地址�、SASLResponse頭域中的ServiceType域設(shè)置為urn:liberty:ssos:2004-04、訪問SSOS所需要的信任狀;步驟16UE向上一步得到的SSOS發(fā)送HTTP Request消息��,以請求訪問SP所需要的Assertion���,其中攜帶SOAP協(xié)議封裝的samlp2:AuthnRequest頭域����、sb:Correlation頭域���、wsse:security頭域����,根據(jù)具體的應(yīng)用程序和網(wǎng)絡(luò)模型����,AuthnRequest頭域可能是步驟2中SP返回的,也可能由UE自己生成���,其中包含一些要求AuthnRequest接收方采取的鑒權(quán)操作�,其中ProtocolBinding頭域設(shè)置成urn:liberty:iff:profiles:id-wsf��,以表示要使用的SAML協(xié)議綁定���,wsse:security頭域包含上一步中返回的訪問SSOS所需要的信任狀(Credentials頭域)信息����,sb:Correlation頭域主要用于將SSOS返回的響應(yīng)消息和相應(yīng)的請求消息關(guān)聯(lián)起來����;步驟17SSOS處理收到的HTTP Request消息,生成相應(yīng)的Artifact和Assertion��,并保存兩者之間的關(guān)系����,然后返回HTTP Response成功響應(yīng)消息,其中攜帶SOAP協(xié)議封裝的samlp2:Response頭域����;其中Response頭域包含訪問SP所需要的saml:Assertion對應(yīng)的Artifact頭域;步驟18UE再次向SP發(fā)送HTTPRequest消息����,其中攜帶SOAP協(xié)議封裝的步驟17中返回的Artifact頭域;步驟19SP向SSOS發(fā)送HTTP Request消息��,其中攜帶SOAP協(xié)議封裝的上一步得到的Artifact頭域�����,請求用于對UE鑒權(quán)處理的Assertion;步驟20SSOS根據(jù)Artifact找到對應(yīng)的Assertion����,然后返回HTTP Response消息,其中攜帶SOAP協(xié)議封裝的saml:Assertion(其中包含SSOS的數(shù)字簽名)�;步驟21SP處理上述saml:Assertion頭域,并驗證其數(shù)字簽名�,根據(jù)和SSOS的身份標(biāo)識聯(lián)盟信息對UE完成鑒權(quán),成功后返回一個HTTPResponse消息��。
完成了上述實施例1或?qū)嵤├?的鑒權(quán)過程后�,UE和SP可以繼續(xù)進行通訊,當(dāng)出現(xiàn)下列情況時則必須對UE重新進行鑒權(quán)1���、SP收到UE或者SSOS發(fā)來的LogoutRequest消息(退出鏈接請求消息)時�;2��、SP和UE之間的會話正常中止時����;3、SP收到的Assertion中的AuthenticationStatement頭域(認(rèn)證聲明頭域)中的ReauthenticateOnOrAfter頭域(重新認(rèn)證期限頭域)對應(yīng)的時間過期時��;4、SP收到的Assertion中的Conditions頭域(條件頭域)中的NotOnOrAfter頭域(期限頭域)對應(yīng)的時間過期時�。
SP需要在和UE進行下一次交互時,發(fā)送一個新的攜帶AuthnRequest的HTTP Response響應(yīng)消息給UE�����,指示其需要重新鑒權(quán)�,以后進行實施例1或?qū)嵤├?中從步驟3開始的流程����。
對于ID-WSF,步驟4中當(dāng)AS收到UE發(fā)來的HTTP Request消息時��,如果Ks(ext)NAF還沒有過期����,則根據(jù)AS上配置的本地安全策略,可以不進行新的GBA鑒權(quán)過程���,也可以進行一個新的GBA鑒權(quán)過程����。如果不進行新的GBA鑒權(quán)過程�����,則步驟3~步驟12、步驟14可以省略�����,步驟13���、步驟15����、步驟16同上次對應(yīng)的消息內(nèi)容相同�,步驟17中SSOS需要產(chǎn)生一個新的Assertion(對于實施例2,還要產(chǎn)生新的Artifact)�����,其余步驟不變�����。
如果要進行新的GBA過程���,則將重新執(zhí)行實施例1或?qū)嵤├?中其余的所有步驟����。
雖然通過參照本發(fā)明的優(yōu)選實施例,已經(jīng)對本發(fā)明進行了圖示和描述�,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白,可以在形式上和細節(jié)上對其作各種各樣的改變��,而不偏離所附權(quán)利要求書所限定的本發(fā)明的精神和范圍�。
權(quán)利要求
1.一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)�,包括通用鑒權(quán)架構(gòu)的用戶歸屬網(wǎng)絡(luò)服務(wù)器和引導(dǎo)服務(wù)功能實體、業(yè)務(wù)提供商實體���、用戶終端��,用戶歸屬網(wǎng)絡(luò)服務(wù)器和引導(dǎo)服務(wù)功能實體之間通過Zh接口進行通信����,引導(dǎo)服務(wù)功能實體與用戶終端之間通過Ub接口進行通信����,其特征在于包括網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體,其包括網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊���、鑒權(quán)服務(wù)模塊�����、單點認(rèn)證業(yè)務(wù)模塊�,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊用于提供網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能實體功能,鑒權(quán)服務(wù)模塊用于提供鑒權(quán)服務(wù)實體功能�,單點認(rèn)證業(yè)務(wù)模塊用于提供單點認(rèn)證業(yè)務(wù)實體功能,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊與引導(dǎo)服務(wù)功能實體之間通過Zn接口進行通信��,網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能模塊與用戶終端之間通過Ua接口進行通信����。
2.根據(jù)權(quán)利要求1所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng),其特征在于單點認(rèn)證業(yè)務(wù)模塊與用戶終端采用安全申明標(biāo)記語言描述的單點認(rèn)證和身份標(biāo)識聯(lián)盟協(xié)議進行兩者之間的通信�,采用簡單對象訪問協(xié)議或超文本傳輸協(xié)議封裝通信消息;鑒權(quán)服務(wù)模塊與用戶終端采用簡單鑒權(quán)和安全層協(xié)議進行兩者之間的通信��,采用簡單對象訪問協(xié)議或超文本傳輸協(xié)議封裝通信消息�����;單點認(rèn)證業(yè)務(wù)模塊與業(yè)務(wù)提供商實體之間進行通信時�����,采用簡單對象訪問協(xié)議封裝通信消息;用戶終端與業(yè)務(wù)提供商實體之間進行通信時���,采用簡單對象訪問協(xié)議或超文本傳輸協(xié)議封裝通信消息�。
3.一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法���,其特征在于�,包括步驟身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)的用戶終端和業(yè)務(wù)提供商實體的通信過程中包括兩種鑒權(quán)過程�,分別是通用鑒權(quán)架構(gòu)鑒權(quán)過程和身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程,在通用鑒權(quán)架構(gòu)鑒權(quán)過程中��,引導(dǎo)服務(wù)功能實體生成引導(dǎo)事務(wù)標(biāo)識�����、根密鑰有效期��,并且發(fā)送給用戶終端�����,引導(dǎo)服務(wù)功能實體和用戶終端都生成根密鑰�����;在身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程中�����,鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊生成用戶終端訪問單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊所需要的信任狀�;單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊生成鑒權(quán)申明并發(fā)送給用戶終端,或者單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊生成鑒權(quán)申明及相應(yīng)的鑒權(quán)申明鏈接�,保存鑒權(quán)申明和鑒權(quán)申明鏈接的對應(yīng)關(guān)系表,將鑒權(quán)申明鏈接發(fā)送給用戶終端���。
4.根據(jù)權(quán)利要求3所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法��,其特征在于����,包括步驟用戶終端向相應(yīng)的鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)請求消息���,鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊向用戶終端發(fā)送要求其進行通用鑒權(quán)架構(gòu)鑒權(quán)的挑戰(zhàn)響應(yīng)消息����,引導(dǎo)服務(wù)功能實體對用戶終端進行通用鑒權(quán)架構(gòu)鑒權(quán)����,鑒權(quán)成功后向用戶終端發(fā)送通用鑒權(quán)架構(gòu)鑒權(quán)成功響應(yīng)消息,該鑒權(quán)成功響應(yīng)消息中包含引導(dǎo)事務(wù)標(biāo)識和根密鑰有效期;用戶終端向鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送應(yīng)用請求消息�,鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊根據(jù)該應(yīng)用請求消息對用戶終端進行鑒權(quán),鑒權(quán)通過后���,向用戶終端發(fā)送響應(yīng)消息��,其中包含單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的地址和信任狀���。
5.根據(jù)權(quán)利要求4所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法,其特征在于��,包括步驟單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊對用戶終端進行身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)��,鑒權(quán)成功后向用戶終端發(fā)送身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)成功響應(yīng)消息���,該鑒權(quán)成功響應(yīng)消息中包含鑒權(quán)申明。
6.根據(jù)權(quán)利要求4所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法�,其特征在于,包括步驟單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊對用戶終端進行身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)��,生成鑒權(quán)申明及相應(yīng)的鑒權(quán)申明鏈接����,保存鑒權(quán)申明和鑒權(quán)申明鏈接的對應(yīng)關(guān)系表,在隨后發(fā)送給用戶終端的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)成功響應(yīng)消息中包含鑒權(quán)申明鏈接。
7.根據(jù)權(quán)利要求4所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法�,其特征在于,包括步驟A1��、用戶終端向業(yè)務(wù)提供商實體發(fā)送應(yīng)用請求消息�;A2、業(yè)務(wù)提供商實體收到該應(yīng)用請求消息后����,首先獲取鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊的地址,然后發(fā)送響應(yīng)消息給用戶終端��,其中攜帶鑒權(quán)請求頭域�;A3、用戶終端向鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送應(yīng)用請求消息����,其中包含簡單鑒權(quán)和安全層協(xié)議請求頭域,其包含鑒權(quán)機制頭域��,鑒權(quán)機制頭域中包含用戶終端支持的鑒權(quán)方式列表��;A4����、鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊給用戶終端發(fā)送挑戰(zhàn)響應(yīng)消息���,其中包含簡單鑒權(quán)和安全層協(xié)議響應(yīng)頭域,其包含服務(wù)器鑒權(quán)機制頭域和挑戰(zhàn)頭域�,服務(wù)器鑒權(quán)機制頭域中記錄鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊選擇的鑒權(quán)方式。A5����、用戶終端與引導(dǎo)服務(wù)功能實體交互,進行通用鑒權(quán)架構(gòu)鑒權(quán)��;A6��、用戶終端向鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送應(yīng)用請求消息�����,其中包含簡單鑒權(quán)和安全層協(xié)議請求頭域�����,簡單鑒權(quán)和安全層協(xié)議請求頭域包含挑戰(zhàn)響應(yīng)頭域�����,挑戰(zhàn)響應(yīng)頭域包含引導(dǎo)事務(wù)標(biāo)識和鑒權(quán)響應(yīng)摘要信息����;A7、鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊通過Zn接口向引導(dǎo)服務(wù)功能實體獲取共享密鑰�����、用戶安全設(shè)置�、密鑰有效期、引導(dǎo)時間等信息�,鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊根據(jù)收到簡單鑒權(quán)和安全層協(xié)議請求頭域?qū)τ脩艚K端進行鑒權(quán),鑒權(quán)通過后�,向用戶終端發(fā)送響應(yīng)消息,其中包含簡單鑒權(quán)和安全層協(xié)議響應(yīng)頭域�����,該頭域中有單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的地址和信任狀�。
8.根據(jù)權(quán)利要求7所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法,其特征在于同時支持通用鑒權(quán)架構(gòu)鑒權(quán)和身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)的用戶終端在向鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)送的應(yīng)用請求消息中設(shè)置通用鑒權(quán)架構(gòu)標(biāo)識�����,若鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊發(fā)現(xiàn)此通用鑒權(quán)架構(gòu)標(biāo)識�,則通知用戶終端先啟動通用鑒權(quán)架構(gòu)鑒權(quán)過程,再啟動用戶身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程����,否則通知用戶終端只啟動用戶身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)過程�。
9.根據(jù)權(quán)利要求7所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法���,其特征在于�����,所述步驟A5包括步驟B1�����、用戶終端向引導(dǎo)服務(wù)功能實體發(fā)送通用鑒權(quán)架構(gòu)鑒權(quán)請求消息�����,其中包含私有用戶標(biāo)識���;B2、引導(dǎo)服務(wù)功能實體收到該通用鑒權(quán)架構(gòu)鑒權(quán)請求消息后����,從用戶歸屬網(wǎng)絡(luò)服務(wù)器獲取用戶終端的認(rèn)證矢量;B3���、引導(dǎo)服務(wù)功能實體向用戶終端發(fā)送挑戰(zhàn)消息����,其中攜帶鑒權(quán)序號參數(shù)和隨機參數(shù)����;B4、用戶終端檢查鑒權(quán)序號參數(shù)有效性并生成期望結(jié)果���;B5�、用戶終端向引導(dǎo)服務(wù)功能實體發(fā)送消息�����,其中攜帶私有用戶標(biāo)識���、期望結(jié)果�;B6�、引導(dǎo)服務(wù)功能實體檢查期望結(jié)果的有效性并生成根密鑰;B7�、引導(dǎo)服務(wù)功能實體向用戶終端發(fā)送通用鑒權(quán)架構(gòu)成功響應(yīng)消息,其中攜帶引導(dǎo)事務(wù)標(biāo)識和根密鑰有效期�����;B8、用戶終端保存引導(dǎo)事務(wù)標(biāo)識和根密鑰有效期�����,生成并保存根密鑰和共享密鑰�。
10.根據(jù)權(quán)利要求5所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法,其特征在于�����,包括步驟C1����、用戶終端根據(jù)單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的地址向單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊發(fā)送應(yīng)用請求消息;C2�����、單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊根據(jù)收到的應(yīng)用請求消息內(nèi)容進行鑒權(quán)處理��,鑒權(quán)成功后向用戶終端發(fā)送成功響應(yīng)消息����,其中包含鑒權(quán)申明���,鑒權(quán)申明中有單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的數(shù)字簽名;C3����、用戶終端向業(yè)務(wù)提供商實體發(fā)送應(yīng)用請求消息�����,其中包含鑒權(quán)申明����;C4、業(yè)務(wù)提供商實體處理鑒權(quán)申明��,驗證單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的數(shù)字簽名��,完成對用戶終端的鑒權(quán)后��,向用戶終端發(fā)送響應(yīng)消息����。
11.根據(jù)權(quán)利要求6所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法,其特征在于,包括步驟D1�、用戶終端根據(jù)單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的地址向單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊發(fā)送應(yīng)用請求消息;D2�����、單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊根據(jù)收到的應(yīng)用請求消息內(nèi)容進行鑒權(quán)處理�,生成鑒權(quán)申明和相應(yīng)的鑒權(quán)申明鏈接,保存鑒權(quán)申明�����、鑒權(quán)申明和相應(yīng)的鑒權(quán)申明鏈接的對應(yīng)關(guān)系��,鑒權(quán)成功后向用戶終端發(fā)送成功響應(yīng)消息����,其中包含鑒權(quán)申明鏈接。D3���、用戶終端向業(yè)務(wù)提供商實體發(fā)送應(yīng)用請求消息����,其中包含鑒權(quán)申明鏈接��;D4、業(yè)務(wù)提供商實體向單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊發(fā)送應(yīng)用請求消息��,其中包含鑒權(quán)申明鏈接����;D5��、單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊根據(jù)鑒權(quán)申明鏈接找到對應(yīng)的鑒權(quán)申明���,向業(yè)務(wù)提供商實體發(fā)送響應(yīng)消息,其中包含鑒權(quán)申明�,鑒權(quán)申明中有單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的數(shù)字簽名;D6�����、業(yè)務(wù)提供商實體處理鑒權(quán)申明�����,驗證單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊的數(shù)字簽名�����,完成對用戶終端的鑒權(quán)后,向用戶終端發(fā)送響應(yīng)消息�����。
12.根據(jù)權(quán)利要求7�、8、10����、11任一所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法,其特征在于簡單鑒權(quán)和安全層協(xié)議請求頭域和簡單鑒權(quán)和安全層協(xié)議響應(yīng)頭域由簡單對象訪問協(xié)議封裝��。
13.根據(jù)權(quán)利要求5所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法����,其特征在于當(dāng)業(yè)務(wù)提供商實體收到用戶終端、單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊發(fā)送的退出鏈接請求消息時��,或者當(dāng)業(yè)務(wù)提供商實體和用戶終端之間的會話正常終止時�,或者當(dāng)業(yè)務(wù)提供商實體收到的鑒權(quán)申明中的重新認(rèn)證期限頭域?qū)?yīng)的時間過期時,或者當(dāng)業(yè)務(wù)提供商實體收到的鑒權(quán)申明中的期限頭域?qū)?yīng)的時間過期時��,業(yè)務(wù)提供商實體在隨后與用戶終端的通信過程中要求用戶終端重新鑒權(quán)�����。
14.根據(jù)權(quán)利要求6所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法,其特征在于當(dāng)業(yè)務(wù)提供商實體收到用戶終端����、單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊發(fā)送的退出鏈接請求消息時,或者當(dāng)業(yè)務(wù)提供商實體和用戶終端之間的會話正常終止時��,或者當(dāng)業(yè)務(wù)提供商實體收到的鑒權(quán)申明中的重新認(rèn)證期限頭域?qū)?yīng)的時間過期時�,或者當(dāng)業(yè)務(wù)提供商實體收到的鑒權(quán)申明中的期限頭域?qū)?yīng)的時間過期時,業(yè)務(wù)提供商實體在隨后與用戶終端的通信過程中要求用戶終端重新鑒權(quán)�。
15.根據(jù)權(quán)利要求13或14所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法,其特征在于在鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊上配置如下的本地安全策略在對用戶終端重新鑒權(quán)時���,若雙方的共享密鑰沒有過期,則只對用戶終端進行身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)�����。
16.根據(jù)權(quán)利要求13或14所述的身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)鑒權(quán)方法����,其特征在于在鑒權(quán)服務(wù)實體或鑒權(quán)服務(wù)模塊上配置如下的本地安全策略在對用戶終端重新鑒權(quán)時,若雙方的共享密鑰沒有過期���,對用戶終端進行通用鑒權(quán)架構(gòu)鑒權(quán)和身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)絡(luò)架構(gòu)鑒權(quán)���。
全文摘要
本發(fā)明公開了一種身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)及其鑒權(quán)方法����。身份標(biāo)識網(wǎng)頁業(yè)務(wù)網(wǎng)系統(tǒng)包括HSS����、BSF、網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能/鑒權(quán)服務(wù)/單點認(rèn)證業(yè)務(wù)實體���、SP���、UE。鑒權(quán)方法包括步驟UE和SP的通信過程中包括GBA鑒權(quán)過程和ID-WSF鑒權(quán)過程�,在GBA鑒權(quán)過程中,引導(dǎo)服務(wù)功能實體生成引導(dǎo)事務(wù)標(biāo)識��、根密鑰有效期��,并且發(fā)送給UE����,引導(dǎo)服務(wù)功能實體和UE都生成根密鑰;在ID-WSF鑒權(quán)過程中�����,AS實體或AS模塊生成用戶終端訪問SSOS實體或SSOS模塊所需要的信任狀;單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊生成鑒權(quán)申明并發(fā)送給UE����,或者單點認(rèn)證業(yè)務(wù)實體或單點認(rèn)證業(yè)務(wù)模塊生成鑒權(quán)申明及相應(yīng)的鑒權(quán)申明鏈接,保存鑒權(quán)申明和鑒權(quán)申明鏈接的對應(yīng)關(guān)系表�,將鑒權(quán)申明鏈接發(fā)送給UE。
文檔編號H04L9/32GK101039311SQ20061003449
公開日2007年9月19日 申請日期2006年3月16日 優(yōu)先權(quán)日2006年3月16日
發(fā)明者何承東 申請人:華為技術(shù)有限公司