專利名稱:一種WAPI終端訪問Web應(yīng)用站點(diǎn)的系統(tǒng)及方法
技術(shù)領(lǐng)域:
本發(fā)明涉及WAPI(WLAN Authentication and Privacy Infrastructure,無線局域 網(wǎng)認(rèn)證與保密基礎(chǔ)結(jié)構(gòu))技術(shù)�,具體涉及一種WAPI終端訪問Web應(yīng)用站點(diǎn)的系統(tǒng)及方法。
背景技術(shù):
為了解決無線局域網(wǎng)國際標(biāo)準(zhǔn)IS0/IEC 8802-11中定義的WEP(WiredEquivalent Privacy)安全機(jī)制存在的安全漏洞�����,我國頒布了無線局域網(wǎng)國家標(biāo)準(zhǔn)及其第一號(hào)修改單����, 采用無線局域網(wǎng)認(rèn)證與保密基礎(chǔ)結(jié)構(gòu)WAPI替代WEP,解決無線局域網(wǎng)的安全問題����。WAPI由 無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)(WAIWLAN Authentication Infrastructure)和無線局域網(wǎng)保密 基礎(chǔ)結(jié)構(gòu)(WPIWLAN Privacy Infrastructure)組成。WAI采用了公開密鑰加密技術(shù)����,用于 WAPI終端與接入點(diǎn)之間的互相身份鑒別;WPI采用國家密碼管理委員會(huì)辦公室批準(zhǔn)的用于 WLAN的對(duì)稱密碼算法實(shí)現(xiàn)數(shù)據(jù)保護(hù)�����,對(duì)MAC (MediaAccess Control �����,媒體訪問控制)子層的 MAC服務(wù)數(shù)據(jù)模塊(MSDU, MACService Data Unit)進(jìn)行加���、解密處理。規(guī)范中介紹的基礎(chǔ) 結(jié)構(gòu)包括了幾個(gè)功能實(shí)體���,接入點(diǎn)(AP�,access point)是指任何一個(gè)具備站點(diǎn)功能��,通過無 線媒體為關(guān)聯(lián)的站點(diǎn)提供訪問分布式服務(wù)的實(shí)體�;鑒別請(qǐng)求者實(shí)體(ASUE,authentication su卯licant entity)是在接入服務(wù)之前請(qǐng)求進(jìn)行鑒別操作的實(shí)體���;鑒別器實(shí)體(AE��, authenticator entity)為鑒別請(qǐng)求者在接入服務(wù)之前提供鑒別操作的實(shí)體��。該實(shí)體主流 在接入點(diǎn)或WAPI終端內(nèi)�����;鑒別服務(wù)模塊(ASU���,authentication service unit)的基本功能 是實(shí)現(xiàn)對(duì)用戶證書的管理和用戶身份的鑒別等����,是基于公開密鑰密碼技術(shù)的WAI鑒別基礎(chǔ) 結(jié)構(gòu)中重要的組成部分�����;鑒別服務(wù)實(shí)體(ASE����, authentication service entity)為鑒別器 和鑒別請(qǐng)求者提供身份鑒別服務(wù)的實(shí)體。該實(shí)體駐留在鑒別服務(wù)模塊中����,鑒別服務(wù)模塊對(duì) 應(yīng)網(wǎng)絡(luò)中的節(jié)點(diǎn)為WAPI鑒別服務(wù)器。用戶證書為公開密鑰證書�,它是WAI系統(tǒng)構(gòu)造中重要 的環(huán)節(jié)。公開密鑰證書是網(wǎng)絡(luò)用戶的數(shù)字身份憑證����,通過私有密鑰驗(yàn)證可以唯一地確定網(wǎng) 絡(luò)用戶的身份。 SAML(Security Assertion Markup Language,安全斷言標(biāo)記語言)基于 XML (Extensible Markup Language,可擴(kuò)展標(biāo)記語言)實(shí)現(xiàn)���,是一種控制主體訪問資源的安 全機(jī)制���。SAML封裝了安全域(security domain)之間交換的鑒別和授權(quán)信息��,通常安全域 是指身份提供者(identity provider)和業(yè)務(wù)提供者(Service provider) ����。 SAML假定主 體(principal)至少由一家身份提供者提供身份��,并且提供主體的身份鑒別服務(wù)��,而具體 使用何種鑒別服務(wù)�,SAML規(guī)范并未提及��。SAML以提供多個(gè)關(guān)于主體的斷言的形式來表述安 全性��,由接受請(qǐng)求的應(yīng)用提供者決定���,如果它信任斷言�,則接受主題的請(qǐng)求或數(shù)據(jù)�����。SAML要 求在傳輸斷言和消息時(shí)使用安全套接字層(SSL�,SecureSocket Layer)加密,以防止斷言被 攔截�。此外��,SAML還提供了數(shù)字簽名機(jī)制�����,使得斷言具有有效時(shí)間范圍����,防止斷言被重播�����。
隨著WAPI的部署和實(shí)施�����,越來越多的移動(dòng)WAPI終端支持無線局域網(wǎng)接入�����,同時(shí)也 將會(huì)支持越來越多的互聯(lián)網(wǎng)業(yè)務(wù)功能����。通過WAPI終端訪問互聯(lián)網(wǎng)上Web應(yīng)用站點(diǎn)將越來越 普遍,眾多Web應(yīng)用站點(diǎn)網(wǎng)站通常會(huì)有自己的登錄機(jī)制��,比如要求用戶提供用戶名密碼以辨明身份,移動(dòng)WAPI終端在接入網(wǎng)絡(luò)時(shí)已經(jīng)完成了身份鑒別過程�,如果Web應(yīng)用站點(diǎn)可以 參考接入過程的鑒別結(jié)果,可以簡(jiǎn)化WAPI終端用戶在訪問Web應(yīng)用站點(diǎn)時(shí)的操作��,也使得 部署WAPI的運(yùn)營商可以充分利用接入設(shè)備資源和用戶資源��,向移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)提供統(tǒng)一�、 安全、便捷的用戶鑒別服務(wù)�。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問題是提供一種WAPI終端訪問Web應(yīng)用站點(diǎn)的系統(tǒng)及方法�����, 簡(jiǎn)化了現(xiàn)有SAML中Web應(yīng)用站點(diǎn)的單點(diǎn)登錄過程����。 為了解決上述問題,本發(fā)明提供了一種WAPI終端訪問Web應(yīng)用站點(diǎn)的方法�����,包括 當(dāng)WAPI終端訪問Web應(yīng)用站點(diǎn)上受保護(hù)的內(nèi)容時(shí)��,所述Web應(yīng)用站點(diǎn)向WAPI終端發(fā)送安 全斷言請(qǐng)求�,所述WAPI終端將所述安全斷言請(qǐng)求發(fā)送至WAPI鑒別服務(wù)器�����,所述WAPI鑒別 服務(wù)器收到安全斷言請(qǐng)求后返回安全斷言響應(yīng)�����,所述WAPI終端將接收的安全斷言響應(yīng)發(fā) 送至Web應(yīng)用站點(diǎn)站�����,所述Web應(yīng)用站點(diǎn)站根據(jù)安全斷言響應(yīng)向WAPI終端返回授權(quán)響應(yīng)����。
進(jìn)一步地�����,所述Web應(yīng)用站點(diǎn)是在向WAPI終端返回重定向消息時(shí)攜帶安全斷言請(qǐng) 求�,并在所述重定向消息中指定WAPI鑒別服務(wù)器的統(tǒng)一資源定位符(URL)以及在所述安全 斷言請(qǐng)求中攜帶WAPI終端標(biāo)識(shí)。 進(jìn)一步地�����,所述WAPI終端向WAPI鑒別服務(wù)器發(fā)送HTTP GET消息時(shí)將所述安全斷 言請(qǐng)求經(jīng)過BASE64編碼后以URL參數(shù)的方式發(fā)送至WAPI鑒別服務(wù)器。
進(jìn)一步地�,所述WAPI鑒別服務(wù)器收到安全斷言請(qǐng)求后根據(jù)所述WAPI終端標(biāo)識(shí)查 找本地記錄的鑒別狀態(tài)記錄,若記錄所述WAPI終端已完成鑒別則生成安全斷言響應(yīng)�����,其中 包含對(duì)WAPI終端的鑒別結(jié)果及對(duì)安全斷言響應(yīng)的數(shù)字簽名��。 進(jìn)一步地�,若所述WAPI鑒別服務(wù)器收到安全斷言請(qǐng)求通過查找本地記錄的鑒別 狀態(tài)記錄發(fā)現(xiàn)未對(duì)所述WAPI終端進(jìn)行鑒別,則向接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送鑒別 查詢請(qǐng)求�,其中攜帶WAPI終端標(biāo)識(shí),若所述接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器記錄顯示已完成 對(duì)所述WAPI終端的鑒別����,則向WAPI鑒別服務(wù)器返回鑒別查詢響應(yīng)時(shí)攜帶鑒別結(jié)果�����,所述 WAPI鑒別服務(wù)器收到鑒別查詢響應(yīng)后生成安全斷言響應(yīng)�,其中包含對(duì)WAPI終端的鑒別結(jié) 果及對(duì)安全斷言響應(yīng)的數(shù)字簽名。 進(jìn)一步地�,所述Web應(yīng)用站點(diǎn)收到安全斷言響應(yīng)后對(duì)所述數(shù)字簽名進(jìn)行驗(yàn)證,驗(yàn) 證通過后根據(jù)所述鑒別結(jié)果及本地生成的規(guī)則判定所述WAPI終端是否有權(quán)限訪問所述受 保護(hù)的內(nèi)容���,并向所述WAPI終端返回授權(quán)響應(yīng)時(shí)攜帶判定結(jié)果�����。 本發(fā)明還提供一種WAPI終端訪問Web應(yīng)用站點(diǎn)的系統(tǒng)����,包括WAPI終端、Web應(yīng)用 站點(diǎn)及WAPI鑒別服務(wù)器��; 所述Web應(yīng)用站點(diǎn)���,用于當(dāng)WAPI終端訪問受保護(hù)的內(nèi)容時(shí)向所述WAPI終端發(fā)送 安全斷言請(qǐng)求��;以及收到安全斷言響應(yīng)后向所述WAPI終端返回授權(quán)響應(yīng)�;
所述WAPI終端����,用于將所述安全斷言請(qǐng)求發(fā)送至WAPI鑒別服務(wù)器,以及將接收的 安全斷言響應(yīng)發(fā)送至所述Web應(yīng)用站點(diǎn)��; 所述WAPI鑒別服務(wù)器�,用于收到所述安全斷言請(qǐng)求后向所述WAPI終端返回安全 斷言響應(yīng)。 進(jìn)一步地�,所述Web應(yīng)用站點(diǎn)包括控制模塊及發(fā)送模塊��;
所述控制模塊��,用于判斷WAPI終端訪問的內(nèi)容是否為受保護(hù)的內(nèi)容�����,判定是則通 知發(fā)送模塊發(fā)送安全斷言請(qǐng)求����; 所述發(fā)送模塊�����,用于收到所述發(fā)送安全斷言請(qǐng)求的通知后向WAPI終端返回重定 向消息時(shí)攜帶安全斷言請(qǐng)求����,并在所述重定向消息中指定WAPI鑒別服務(wù)器的統(tǒng)一資源定 位符(URL)以及在所述安全斷言請(qǐng)求中攜帶終端標(biāo)識(shí)。 進(jìn)一步地�,所述WAPI終端還用于向WAPI鑒別服務(wù)器發(fā)送HTTP GET消息時(shí)將所述 安全斷言請(qǐng)求經(jīng)過BASE64編碼��,編碼后的安全斷言請(qǐng)求以URL參數(shù)的方式發(fā)送至WAPI鑒 別服務(wù)器���。 進(jìn)一步地��,所述WAPI鑒別服務(wù)器包括單點(diǎn)登錄服務(wù)模塊��; 所述WAPI鑒別服務(wù)器收到安全斷言請(qǐng)求后向所述WAPI終端返回安全斷言響應(yīng)是 指�,所述單點(diǎn)登錄服務(wù)模塊提取出所述安全斷言請(qǐng)求中的WAPI終端標(biāo)識(shí),根據(jù)所述WAPI終 端標(biāo)識(shí)查找本地記錄的鑒別狀態(tài)記錄�,若記錄顯示所述WAPI終端已完成鑒別則生成安全 斷言響應(yīng)后返回至所述WAPI終端; 所述安全斷言響應(yīng)中包含對(duì)所述WAPI終端的鑒別結(jié)果及對(duì)安全斷言響應(yīng)的數(shù)字 簽名�����。 進(jìn)一步地�,所述系統(tǒng)還包括接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器;
所述WAPI鑒別服務(wù)器還包括遠(yuǎn)端撥入驗(yàn)證服務(wù)模塊�����; 所述遠(yuǎn)端撥入驗(yàn)證服務(wù)模塊��,用于當(dāng)所述鑒別狀態(tài)記錄中未包含所述WAPI終端 的鑒別記錄時(shí)向所述接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送鑒別查詢請(qǐng)求����,其中攜帶WAPI終 端標(biāo)識(shí); 所述接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器���,用于收到所述鑒別查詢請(qǐng)求后查找本地記錄 的鑒別狀態(tài)記錄���,若記錄顯示所述WAPI終端已完成鑒別則向所述WAPI鑒別服務(wù)器返回鑒 別查詢響應(yīng)�����,其中攜帶對(duì)WAPI終端的鑒別結(jié)果�; 所述單點(diǎn)登錄服務(wù)模塊還用于收到鑒別查詢響應(yīng)后生成安全斷言響應(yīng)���,其中包含 對(duì)所述WAPI終端的鑒別結(jié)果及對(duì)安全斷言響應(yīng)的數(shù)字簽名�����。 進(jìn)一步地�����,所述Web應(yīng)用站點(diǎn)包括斷言驗(yàn)證模塊�����,用于收到所述安全斷言響應(yīng)后 對(duì)所述數(shù)字簽名進(jìn)行驗(yàn)證����,并于驗(yàn)證通過后根據(jù)預(yù)設(shè)的訪問規(guī)則及鑒別結(jié)果判定所述WAPI 終端是否有權(quán)限訪問所述受保護(hù)的內(nèi)容�����,并向所述WAPI終端返回授權(quán)響應(yīng)時(shí)攜帶判定結(jié) 果���。 綜上所述����,本發(fā)明提供一種WAPI終端訪問Web應(yīng)用站點(diǎn)的系統(tǒng)及方法����,此方法使 用安全斷言標(biāo)記語言SAML(Security Assertion MarkupLanguage)的單點(diǎn)登錄技術(shù)。Web應(yīng) 用站點(diǎn)服務(wù)器利用無線WAPI終端接入鑒別的結(jié)果���,完成對(duì)用戶登錄的認(rèn)證���。WAPI客戶端用 戶在完成了無線局域網(wǎng)鑒別基礎(chǔ)結(jié)構(gòu)WAI(WLAN Authentication Infrastructure)鑒別, 通過局域網(wǎng)或者局域網(wǎng)數(shù)據(jù)傳輸鏈路上的某種隧道機(jī)制接入到應(yīng)用服務(wù)器之后����,無需參與 交互即完成登錄過程。本發(fā)明簡(jiǎn)化了原有SAML中Web應(yīng)用站點(diǎn)的單點(diǎn)登錄過程����,WAPI終端 無需增加額外的功能��,Web應(yīng)用站點(diǎn)可將所有用戶的登錄認(rèn)證工作委托給獨(dú)立鑒別機(jī)構(gòu)完 成���,WAPI鑒別服務(wù)器通過擴(kuò)展功能,將可以充當(dāng)提供Web應(yīng)用站點(diǎn)訪問鑒別服務(wù)的獨(dú)立機(jī) 構(gòu)����。另外,WAPI鑒別服務(wù)器增加與鑒權(quán)授權(quán)計(jì)費(fèi)服務(wù)器(Authentication, Authorization andAccounting Server)的查詢接口 ����,使得WAPI終端在采用其他無線局域網(wǎng)鑒別方式接入或CDMA無線數(shù)據(jù)鏈路接入時(shí),可以查詢到WAPI終端用戶的鑒別狀態(tài)而無需再次發(fā)起對(duì)用 戶的證書鑒別操作�。
圖1是網(wǎng)絡(luò)結(jié)構(gòu)示意圖;
圖2是本發(fā)明系統(tǒng)結(jié)構(gòu)示意圖�����; 圖3是本發(fā)明方法WAPI終端實(shí)現(xiàn)Web應(yīng)用站點(diǎn)單點(diǎn)登錄流程圖���。
具體實(shí)施例方式
下面結(jié)合圖例詳細(xì)說明本發(fā)明的具體實(shí)施過程��。 本實(shí)施例提供一種WAPI終端訪問Web應(yīng)用站點(diǎn)的系統(tǒng)�����,如圖2所示��,包括WAPI終 端�、Web應(yīng)用站點(diǎn)���、WAPI鑒別服務(wù)器及AN-AAA服務(wù)器��; Web應(yīng)用站點(diǎn)�,用于當(dāng)WAPI終端訪問受保護(hù)的內(nèi)容時(shí)向WAPI終端發(fā)送安全斷言請(qǐng) 求�;以及收到安全斷言響應(yīng)后向WAPI終端返回授權(quán)響應(yīng); WAPI終端����,用于將安全斷言請(qǐng)求發(fā)送至WAPI鑒別服務(wù)器,以及將接收的安全斷言 響應(yīng)發(fā)送至Web應(yīng)用站點(diǎn)����; WAPI鑒別服務(wù)器,用于收到安全斷言請(qǐng)求后向WAPI終端返回安全斷言響應(yīng)���。
Web應(yīng)用站點(diǎn)包括控制模塊及發(fā)送模塊����; 控制模塊,用于判斷WAPI終端訪問的內(nèi)容是否為受保護(hù)的內(nèi)容�����,判定是則通知發(fā) 送模塊發(fā)送安全斷言請(qǐng)求��; 發(fā)送模塊���,用于收到發(fā)送安全斷言請(qǐng)求的通知后向WAPI終端返回重定向消息時(shí) 攜帶安全斷言請(qǐng)求���,并在所述重定向消息中指定WAPI鑒別服務(wù)器的統(tǒng)一資源定位符(URL) 以及在所述安全斷言請(qǐng)求中攜帶終端標(biāo)識(shí)。 WAPI終端還用于向WAPI鑒別服務(wù)器發(fā)送HTTP GET消息時(shí)將安全斷言請(qǐng)求經(jīng)過 BASE64編碼��,編碼后的安全斷言請(qǐng)求以URL參數(shù)的方式發(fā)送至WAPI鑒別服務(wù)器���。
WAPI鑒別服務(wù)器包括單點(diǎn)登錄服務(wù)模塊�; WAPI鑒別服務(wù)器收到安全斷言請(qǐng)求后向WAPI終端返回安全斷言響應(yīng)是指��,單點(diǎn) 登錄服務(wù)模塊提取出所述安全斷言請(qǐng)求中的WAPI終端標(biāo)識(shí)����,根據(jù)WAPI終端標(biāo)識(shí)查找本 地記錄的鑒別狀態(tài)記錄,若記錄顯示W(wǎng)API終端已完成鑒別則生成安全斷言響應(yīng)后返回至 WAPI終端; 安全斷言響應(yīng)中包含對(duì)WAPI終端的鑒別結(jié)果及對(duì)安全斷言響應(yīng)的數(shù)字簽名����。
WAPI鑒別服務(wù)器還包括遠(yuǎn)端撥入驗(yàn)證服務(wù)模塊(RADIUS, RemoteAuthentication Dial In User Service),用于當(dāng)鑒別狀態(tài)記錄中未包含所述WAPI終端的鑒別記錄時(shí)向 AN-AAA服務(wù)器發(fā)送鑒別查詢請(qǐng)求����,其中攜帶WAPI終端標(biāo)識(shí)�; AN-AAA服務(wù)器,用于收到鑒別查詢請(qǐng)求后查找本地記錄的鑒別狀態(tài)記錄�,若記錄 顯示W(wǎng)API終端已完成鑒別則向WAPI鑒別服務(wù)器返回鑒別查詢響應(yīng),其中攜帶對(duì)WAPI終端 的鑒別結(jié)果��; 單點(diǎn)登錄服務(wù)模塊還用于收到鑒別查詢響應(yīng)后生成安全斷言響應(yīng)���,其中包含對(duì)所 述WAPI終端的鑒別結(jié)果及對(duì)安全斷言響應(yīng)的數(shù)字簽名�����。
7
Web應(yīng)用站點(diǎn)包括斷言驗(yàn)證模塊�,用于收到安全斷言響應(yīng)后對(duì)數(shù)字簽名進(jìn)行驗(yàn)證�, 并于驗(yàn)證通過后根據(jù)預(yù)設(shè)的訪問規(guī)則及鑒別結(jié)果判定WAPI終端是否有權(quán)限訪問所述受保 護(hù)的內(nèi)容,并向WAPI終端返回授權(quán)響應(yīng)時(shí)攜帶判定結(jié)果��。 本實(shí)施例提供一種WAPI終端訪問Web應(yīng)用站點(diǎn)的方法,如圖3所示��,包括以下步 驟 步驟301 :WAPI終端上瀏覽器訪問Web應(yīng)用站點(diǎn)的內(nèi)容�; 步驟302 :當(dāng)請(qǐng)求獲取受保護(hù)內(nèi)容時(shí),觸發(fā)Web應(yīng)用站點(diǎn)對(duì)WAPI終端用戶的登錄 認(rèn)證過程���,應(yīng)用站點(diǎn)向WAPI終端返回重定向消息���,消息狀態(tài)值為表示重定向響應(yīng)的302或 303。 HTTP重定向消息頭部中Location頭字段中指定了單點(diǎn)登錄服務(wù)模塊所在的WAPI 鑒別服務(wù)器的URL (Uniform Resource Locator,統(tǒng)一資源定位符)該Web應(yīng)用站點(diǎn)認(rèn)可的 WAPI鑒別服務(wù)器����,并在消息中攜帶了 SAML的安全斷言請(qǐng)求,ID字段值標(biāo)記為移動(dòng)WAPI終
端用戶身份標(biāo)識(shí)�����;示例如下
〈samlp:AuthnRequestxmlns:samlp =〃 urn:oasis:names:tc:SAML:2. 0:protocol〃
xmlns:saml=〃 urn:oasis:names:tc:SAML:2. O:assertion"
ID =〃 WAPIUserID"
Version =〃 2.0〃 Issuelnstant =〃 2004-12-05T09:21:59Z" AssertionConsumerServicelndex = 〃 1〃 > 〈saml: Issuer>htt��。s: 〃s�。. example. com/SAML2〈/saml: Issuer> 〈samlp:NameIDPolicy
AllowCreate = 〃 False"Format =〃 urn:oasis:names:tc:SAML:2. O:nameid-format:transient〃 />
〈/samlp:AuthnRequest> 步驟303 :根據(jù)HTTP相關(guān)協(xié)議規(guī)定,客戶端在接收此重定向消息后���,向WAPI鑒別 服務(wù)器發(fā)送HTTP GET消息時(shí)攜帶安全斷言請(qǐng)求�,按照SAML規(guī)范要求,如上述示例的安全斷 言請(qǐng)求經(jīng)過BASE64編碼后以URL參數(shù)的方式發(fā)送����,示例如下 htt。s : 〃id�。. wapi—server. com/SAML2/SS0/Redirect SAMLRequest =
requeststr&RelayState = token 編碼后的數(shù)據(jù)替換上述URL中requeSt_Str部分。在WAPI終端與WAPI鑒別服務(wù) 器單點(diǎn)登錄模塊之間的HTTP交互依靠傳輸層安全(TLS��, TransportLayer Security)提供 安全保障����。TLS基于WAPI證書創(chuàng)建����,因?yàn)閃API證書類型即為TLS所要求的X. 509v3類型的 證書,WAPI終端瀏覽器需具備創(chuàng)建TLS所需的算法���,其具體過程不再詳述�����。
步驟304 :WAPI鑒別服務(wù)器中的單點(diǎn)登錄服務(wù)模塊在收到請(qǐng)求后����,分離出安全斷 言請(qǐng)求,并根據(jù)該安全斷言請(qǐng)求獲取WAPI終端ID���,與正常SAML不同的是��,此時(shí)單點(diǎn)登錄服 務(wù)模塊無需再次和用戶交互完成基于WAPI證書的鑒別過程���,而是根據(jù)WAPI終端標(biāo)識(shí)查找 本地記錄的鑒別狀態(tài)記錄,若記錄顯示該WAPI終端已完成鑒別則執(zhí)行步驟307�,若記錄顯 示該WAPI終端未完成鑒別則執(zhí)行步驟305。
8
單點(diǎn)登錄服務(wù)模塊可以作為WAPI鑒別服務(wù)器上的一個(gè)邏輯功能實(shí)體�����,由安全斷 言請(qǐng)求觸發(fā)的鑒別狀態(tài)的查詢發(fā)生于鑒別服務(wù)器本地����,無需客戶端交互,查詢效率和準(zhǔn)確 性都有保證����。安全斷言響應(yīng)通過HTTP GET命令的成功響應(yīng)帶回,并利用規(guī)范中提及的客戶 端瀏覽器腳本技術(shù)�。 步驟305 :如果WAPI終端通過非WAPI鑒別技術(shù)接入無線局域網(wǎng)絡(luò),如EAP-TLS或 WPA方式進(jìn)行身份鑒別����,在服務(wù)器完成鑒別之后�,會(huì)在接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)(AN-AAA)服 務(wù)器中記錄其鑒別狀態(tài)����,WAPI鑒別服務(wù)器向AN-AAA服務(wù)器發(fā)送鑒別查詢請(qǐng)求,其中攜帶 WAPI終端標(biāo)識(shí)��。 該步驟中�����,WAPI鑒別服務(wù)器如何選擇AN-AAA服務(wù)器本發(fā)明不作限制����,如可以是在 WAPI鑒別服務(wù)器設(shè)置一個(gè)或多個(gè)AN-AAA服務(wù)器的信息����,WAPI鑒別服務(wù)器可選擇向其中任 意一個(gè)發(fā)送鑒別查詢請(qǐng)求,也可以是向最近的某個(gè)AN-AAA服務(wù)器發(fā)送鑒別查詢請(qǐng)求���。
步驟306 :AN-AAA服務(wù)器收到鑒別查詢請(qǐng)求��,根據(jù)其中的WAPI終端標(biāo)識(shí)查找本地 記錄的鑒別狀態(tài)記錄判斷該WAPI終端是否已通過鑒別�,若通過鑒別則執(zhí)行步驟307,若未 通過鑒別則執(zhí)行步驟311���。 步驟307 :AN-AAA服務(wù)器向WAPI鑒別服務(wù)器返回鑒別查詢響應(yīng)時(shí)攜帶鑒別結(jié)果�����, 然后執(zhí)行步驟308���。 步驟308 :WAPI鑒別服務(wù)器生成SAML的安全斷言響應(yīng)后發(fā)送至WAPI終端;
安全斷言響應(yīng)包含了 WAPI鑒別服務(wù)器對(duì)用戶身份鑒別的結(jié)果和WAPI鑒別服務(wù)器 對(duì)此安全斷言響應(yīng)的數(shù)字簽名����。例如, 〈samlp:Response xmlns:samlp =〃 urn:oasis:names:tc:SAML:2. 0:protocol〃 xmlns:saml=〃 urn:oasis:names:tc:SAML:2. O:assertion" ID=〃 WAPIUserID" InResponseTo = 〃 identif ier_l 〃 Version =〃 2.0〃 Issuelnstant = 〃 2004-12-05T09:22:05Z" Destination = " https:〃sp. example. com/SAML2/SS0/P0ST" > 〈saml: Issuer>htt����。s: 〃id。. example. org/SAML2〈/saml: Issuer> 〈samlp:Status> 〈samlp:StatusCode Value =〃 urn:oasis:names:tc:SAML:2. 0:status:Success〃 /> 〈/samlp:Status> 〈saml: Assertion xmlns:saml = 〃 urn:oasis:names:tc:SAML:2. 0:
assertion" ID =" WAPI-Server" Version = 〃 2.0〃 Issuelnstant = 〃 2004-12-05T09:22:05Z〃 > 〈saml: Issuer>htt��。s: 〃id�����。. example. org/SAML2〈/saml: Issuer> 〈 ����! 一a POSTed assertion MUST be signed__> 〈ds:Signature xmlns:ds=〃 htt��?!╳ww. w3. org/2000/09/xmldsig#" > 〈/ds:Signature) 〈saml:Subject>
〈saml:NameID Format =〃 urn:oasis:names:tc:SAML:2. O:nameid-format:transient〃 > 3f7b3dcf-1674-4ecd-92c8-1544f346baf8 〈/saml:NameID> 〈saml:SubjectConfirmation Method =〃 urn:oasis:names:tc:SAML:2. 0:cm:bearer〃 > 〈saml:SubjectConfirmationData InResponseTo =〃 identifier—I 〃 Recipient =〃 https:〃sp. example. com/SAML2/SS0/ POST" Not0n0rAfter =〃 2004-12-05T09:27:05Z〃 /> 〈/saml:SubjectConfirmation> 〈/saml: Sub ject> 〈saml: Conditions NotBefore =〃 2004_12_05T09:17:05Z〃 NotOnOrAfter = 〃 2004-12-05T09:27:05Z〃 > 〈saml:AudienceRestriction〉 〈saml: Audience>https: 〃sp. example. com/SAML2〈/saml: Audience〉 〈/saml:AudienceRestriction〉 〈/saml: Conditiohs> 〈saml:AuthnStatement Authnlnstant=〃 2004-12-05T09:22:00Z〃 Sessionlndex =〃 identifier_3〃 > 〈saml:AuthnContext> 〈saml:AuthnContextClassRef> urn:oasis:names:tc:SAML:2. 0:ac:classes:Certf icateProtectedTransport 〈/saml:AuthnContextClassRef> 〈/saml:AuthnContext> 〈/saml:AuthnStatement〉 〈/saml:Assertion) 〈/samlp:Response> 步驟309 :WAPI終端將接收的安全斷言響應(yīng)發(fā)送至WEB應(yīng)用站點(diǎn)�����。 步驟310 :WEB應(yīng)用站點(diǎn)接收到安全斷言響應(yīng)后進(jìn)行簽名驗(yàn)證���,驗(yàn)證通過后根據(jù)安
全斷言響應(yīng)中的鑒別結(jié)果查找預(yù)設(shè)規(guī)則判定WAPI終端是否有權(quán)限訪問指定的資源���,并通 過2000K消息將訪問權(quán)限返回給WAPI終端。 設(shè)置的規(guī)則可以但不限于是所有通過鑒別的WAPI終端均有權(quán)限訪問某些URL指 向的內(nèi)容���,而某些URL指向的內(nèi)容僅在某些時(shí)間段內(nèi)允許通過鑒別的WAPI終端訪問等���;Web 應(yīng)用站點(diǎn)可根據(jù)實(shí)際需要靈活設(shè)置此訪問規(guī)則��,本發(fā)明對(duì)Web應(yīng)用站點(diǎn)具體如何設(shè)置訪問 規(guī)則不作限制���。 并解析安全斷言響應(yīng)的具體內(nèi)容��,綜合斷言響應(yīng)內(nèi)容和訪問規(guī)則����,決定如何向訪 問者提供服務(wù)。
步驟311 :AN-AAA服務(wù)器向WAPI鑒別服務(wù)器返回鑒別查詢響應(yīng)時(shí)告知該WAPI終 端未通過鑒別�����,然后執(zhí)行步驟312��。 步驟312 :WAPI鑒別服務(wù)器向WAPI終端返回GET消息的成功響應(yīng)消息時(shí)攜帶安全 斷言失敗的消息����; 步驟313 :WAPI終端將安全斷言失敗的消息發(fā)送至Web應(yīng)用站點(diǎn)。 步驟314 :Web應(yīng)用站點(diǎn)判定用戶單點(diǎn)登錄過程失敗���,可以提示用戶利用其它驗(yàn)證
方法重新登錄�,或直接給出登錄失敗提示����。
權(quán)利要求
一種WAPI終端訪問Web應(yīng)用站點(diǎn)的方法,包括當(dāng)WAPI終端訪問Web應(yīng)用站點(diǎn)上受保護(hù)的內(nèi)容時(shí)�����,所述Web應(yīng)用站點(diǎn)向WAPI終端發(fā)送安全斷言請(qǐng)求,所述WAPI終端將所述安全斷言請(qǐng)求發(fā)送至WAPI鑒別服務(wù)器�,所述WAPI鑒別服務(wù)器收到安全斷言請(qǐng)求后返回安全斷言響應(yīng),所述WAPI終端將接收的安全斷言響應(yīng)發(fā)送至Web應(yīng)用站點(diǎn)站�����,所述Web應(yīng)用站點(diǎn)站根據(jù)安全斷言響應(yīng)向WAPI終端返回授權(quán)響應(yīng)�����。
2. 如權(quán)利要求1所述的方法�����,其特征在于所述Web應(yīng)用站點(diǎn)是在向WAPI終端返回重定向消息時(shí)攜帶安全斷言請(qǐng)求����,并在所述重 定向消息中指定WAPI鑒別服務(wù)器的統(tǒng)一資源定位符(URL)以及在所述安全斷言請(qǐng)求中攜 帶WAPI終端標(biāo)識(shí)。
3. 如權(quán)利要求l所述的方法���,其特征在于所述WAPI終端向WAPI鑒別服務(wù)器發(fā)送HTTP GET消息時(shí)將所述安全斷言請(qǐng)求經(jīng)過 BASE64編碼后以URL參數(shù)的方式發(fā)送至WAPI鑒別服務(wù)器�。
4. 如權(quán)利要求2所述的方法����,其特征在于所述WAPI鑒別服務(wù)器收到安全斷言請(qǐng)求后根據(jù)所述WAPI終端標(biāo)識(shí)查找本地記錄的鑒 別狀態(tài)記錄,若記錄所述WAPI終端已完成鑒別則生成安全斷言響應(yīng)�,其中包含對(duì)WAPI終端 的鑒別結(jié)果及對(duì)安全斷言響應(yīng)的數(shù)字簽名。
5. 如權(quán)利要求2所述的方法�����,其特征在于若所述WAPI鑒別服務(wù)器收到安全斷言請(qǐng)求通過查找本地記錄的鑒別狀態(tài)記錄發(fā)現(xiàn)未 對(duì)所述WAPI終端進(jìn)行鑒別��,則向接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送鑒別查詢請(qǐng)求�,其中攜 帶WAPI終端標(biāo)識(shí),若所述接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器記錄顯示已完成對(duì)所述WAPI終端 的鑒別�����,則向WAPI鑒別服務(wù)器返回鑒別查詢響應(yīng)時(shí)攜帶鑒別結(jié)果�����,所述WAPI鑒別服務(wù)器收 到鑒別查詢響應(yīng)后生成安全斷言響應(yīng)�����,其中包含對(duì)WAPI終端的鑒別結(jié)果及對(duì)安全斷言響 應(yīng)的數(shù)字簽名���。
6. 如權(quán)利要求4或5所述的方法�����,其特征在于所述Web應(yīng)用站點(diǎn)收到安全斷言響應(yīng)后對(duì)所述數(shù)字簽名進(jìn)行驗(yàn)證���,驗(yàn)證通過后根據(jù)所 述鑒別結(jié)果及本地生成的規(guī)則判定所述WAPI終端是否有權(quán)限訪問所述受保護(hù)的內(nèi)容��,并 向所述WAPI終端返回授權(quán)響應(yīng)時(shí)攜帶判定結(jié)果�。
7. —種WAPI終端訪問Web應(yīng)用站點(diǎn)的系統(tǒng)��,包括WAPI終端��、Web應(yīng)用站點(diǎn)及WAPI鑒 別服務(wù)器�����;其特征在于所述Web應(yīng)用站點(diǎn)�,用于當(dāng)WAPI終端訪問受保護(hù)的內(nèi)容時(shí)向所述WAPI終端發(fā)送安全 斷言請(qǐng)求;以及收到安全斷言響應(yīng)后向所述WAPI終端返回授權(quán)響應(yīng)����;所述WAPI終端,用于將所述安全斷言請(qǐng)求發(fā)送至WAPI鑒別服務(wù)器�����,以及將接收的安全 斷言響應(yīng)發(fā)送至所述Web應(yīng)用站點(diǎn);所述WAPI鑒別服務(wù)器��,用于收到所述安全斷言請(qǐng)求后向所述WAPI終端返回安全斷言 響應(yīng)�。
8. 如權(quán)利要求7所述的系統(tǒng)����,其特征在于 所述Web應(yīng)用站點(diǎn)包括控制模塊及發(fā)送模塊;所述控制模塊���,用于判斷WAPI終端訪問的內(nèi)容是否為受保護(hù)的內(nèi)容���,判定是則通知發(fā)送模塊發(fā)送安全斷言請(qǐng)求;所述發(fā)送模塊��,用于收到所述發(fā)送安全斷言請(qǐng)求的通知后向WAPI終端返回重定向消 息時(shí)攜帶安全斷言請(qǐng)求�����,并在所述重定向消息中指定WAPI鑒別服務(wù)器的統(tǒng)一資源定位符 (URL)以及在所述安全斷言請(qǐng)求中攜帶終端標(biāo)識(shí)�����。
9. 如權(quán)利要求7所述的系統(tǒng),其特征在于所述WAPI終端還用于向WAPI鑒別服務(wù)器發(fā)送HTTP GET消息時(shí)將所述安全斷言請(qǐng)求 經(jīng)過BASE64編碼�,編碼后的安全斷言請(qǐng)求以URL參數(shù)的方式發(fā)送至WAPI鑒別服務(wù)器。
10. 如權(quán)利要求8所述的系統(tǒng)���,其特征在于 所述WAPI鑒別服務(wù)器包括單點(diǎn)登錄服務(wù)模塊��;所述WAPI鑒別服務(wù)器收到安全斷言請(qǐng)求后向所述WAPI終端返回安全斷言響應(yīng)是指��, 所述單點(diǎn)登錄服務(wù)模塊提取出所述安全斷言請(qǐng)求中的WAPI終端標(biāo)識(shí)����,根據(jù)所述WAPI終端 標(biāo)識(shí)查找本地記錄的鑒別狀態(tài)記錄����,若記錄顯示所述WAPI終端已完成鑒別則生成安全斷 言響應(yīng)后返回至所述WAPI終端;所述安全斷言響應(yīng)中包含對(duì)所述WAPI終端的鑒別結(jié)果及對(duì)安全斷言響應(yīng)的數(shù)字簽名���。
11. 如權(quán)利要求IO所述的系統(tǒng)�,其特征在于 所述系統(tǒng)還包括接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器����; 所述WAPI鑒別服務(wù)器還包括遠(yuǎn)端撥入驗(yàn)證服務(wù)模塊;所述遠(yuǎn)端撥入驗(yàn)證服務(wù)模塊�����,用于當(dāng)所述鑒別狀態(tài)記錄中未包含所述WAPI終端的鑒 別記錄時(shí)向所述接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器發(fā)送鑒別查詢請(qǐng)求,其中攜帶WAPI終端標(biāo) 識(shí)���;所述接入網(wǎng)絡(luò)鑒別授權(quán)計(jì)費(fèi)服務(wù)器�����,用于收到所述鑒別查詢請(qǐng)求后查找本地記錄的鑒 別狀態(tài)記錄,若記錄顯示所述WAPI終端已完成鑒別則向所述WAPI鑒別服務(wù)器返回鑒別查 詢響應(yīng)���,其中攜帶對(duì)WAPI終端的鑒別結(jié)果��;所述單點(diǎn)登錄服務(wù)模塊還用于收到鑒別查詢響應(yīng)后生成安全斷言響應(yīng)����,其中包含對(duì)所 述WAPI終端的鑒別結(jié)果及對(duì)安全斷言響應(yīng)的數(shù)字簽名��。
12. 如權(quán)利要求10或11所述的系統(tǒng)��,其特征在于所述Web應(yīng)用站點(diǎn)包括斷言驗(yàn)證模塊��,用于收到所述安全斷言響應(yīng)后對(duì)所述數(shù)字簽名 進(jìn)行驗(yàn)證�����,并于驗(yàn)證通過后根據(jù)預(yù)設(shè)的訪問規(guī)則及鑒別結(jié)果判定所述WAPI終端是否有權(quán) 限訪問所述受保護(hù)的內(nèi)容,并向所述WAPI終端返回授權(quán)響應(yīng)時(shí)攜帶判定結(jié)果�。
全文摘要
本發(fā)明提供了一種WAPI終端訪問Web應(yīng)用站點(diǎn)的系統(tǒng)及方法,該方法包括當(dāng)WAPI終端訪問Web應(yīng)用站點(diǎn)上受保護(hù)的內(nèi)容時(shí)�����,所述Web應(yīng)用站點(diǎn)向WAPI終端發(fā)送安全斷言請(qǐng)求�����,所述WAPI終端將所述安全斷言請(qǐng)求發(fā)送至WAPI鑒別服務(wù)器��,所述WAPI鑒別服務(wù)器收到安全斷言請(qǐng)求后返回安全斷言響應(yīng)���,所述WAPI終端將接收的安全斷言響應(yīng)發(fā)送至Web應(yīng)用站點(diǎn)站��,所述Web應(yīng)用站點(diǎn)站根據(jù)安全斷言響應(yīng)向WAPI終端返回授權(quán)響應(yīng)���。采用本發(fā)明的技術(shù)方案,簡(jiǎn)化了現(xiàn)有SAML中Web應(yīng)用站點(diǎn)的單點(diǎn)登錄過程���。
文檔編號(hào)H04L29/08GK101771722SQ20091021532
公開日2010年7月7日 申請(qǐng)日期2009年12月25日 優(yōu)先權(quán)日2009年12月25日
發(fā)明者施元慶 申請(qǐng)人:中興通訊股份有限公司