CN101039311B - 一种身份标识网页业务网***及其鉴权方法 - Google Patents
一种身份标识网页业务网***及其鉴权方法 Download PDFInfo
- Publication number
- CN101039311B CN101039311B CN200610034493A CN200610034493A CN101039311B CN 101039311 B CN101039311 B CN 101039311B CN 200610034493 A CN200610034493 A CN 200610034493A CN 200610034493 A CN200610034493 A CN 200610034493A CN 101039311 B CN101039311 B CN 101039311B
- Authority
- CN
- China
- Prior art keywords
- authentication
- user terminal
- service
- declaration
- entity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 101
- 230000008569 process Effects 0.000 claims abstract description 47
- 230000006854 communication Effects 0.000 claims abstract description 34
- 230000004044 response Effects 0.000 claims description 106
- 230000006870 function Effects 0.000 claims description 90
- 238000004891 communication Methods 0.000 claims description 26
- 230000007246 mechanism Effects 0.000 claims description 18
- 238000004846 x-ray emission Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 8
- 238000005538 encapsulation Methods 0.000 description 3
- 239000003795 chemical substances by application Substances 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- GVVPGTZRZFNKDS-JXMROGBWSA-N geranyl diphosphate Chemical compound CC(C)=CCC\C(C)=C\CO[P@](O)(=O)OP(O)(O)=O GVVPGTZRZFNKDS-JXMROGBWSA-N 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/06—Authentication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0869—Network architectures or network communication protocols for network security for authentication of entities for achieving mutual authentication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本发明公开了一种身份标识网页业务网***及其鉴权方法。身份标识网页业务网***包括HSS、BSF、网络业务应用功能/鉴权服务/单点认证业务实体、SP、UE。鉴权方法包括步骤:UE和SP的通信过程中包括GBA鉴权过程和ID-WSF鉴权过程,在GBA鉴权过程中,引导服务功能实体生成引导事务标识、根密钥有效期,并且发送给UE,引导服务功能实体和UE都生成根密钥;在ID-WSF鉴权过程中,AS实体或AS模块生成用户终端访问SSOS实体或SSOS模块所需要的信任状;单点认证业务模块生成鉴权申明并发送给UE,或者单点认证业务模块生成鉴权申明及相应的鉴权申明链接,保存鉴权申明和鉴权申明链接的对应关系表,将鉴权申明链接发送给UE。
Description
技术领域
本发明涉及互联网技术领域和下一代网络(NGN,Next GenerationNetworks)技术领域以及第三代合作伙伴计划(3GPP,The ThirdGeneration Partnership Project)技术领域,具体涉及一种身份标识网页业务网***(ID-WSF,Identity Web Service Framework)及其鉴权方法。
背景技术
如图1所示,3GPP定义了一种通用鉴权架构(GBA,GenericBootstrapping Architecture),通用鉴权架构通常由IP多媒体业务子***(IMS,IP Multimedia Core Network Subsystem)用户终端(UE,UserEquipment)、引导服务功能实体(BSF,Bootstrapping Server Function)、用户归属网络服务器(HSS,Home Subscribe Server)、用户定位功能实体(SLF,Subscriber Locator Function)和网络业务应用功能实体(NAF,Network Application Function)组成。UE与BSF通过Ub接口连接,UE与NAF通过Ua接口连接,BSF与HSS通过Zh接口连接,BSF与NAF通过Zn接口连接,BSF与SLF通过Dz接口连接。BSF用于与UE执行引导过程(bootstrapping)时进行互验证身份,同时生成BSF与用户的共享密钥Ks;HSS中存储用于描述用户信息的签约文件,同时HSS还兼有产生鉴权信息的功能;SLF用于当存在多个HSS时,协助BSF查找相应的HSS;NAF用于为UE提供网络业务。
在Ub接口中,UE执行引导过程(bootstrapping)的流程如图2所示,说明如下:
步骤1:UE需要使用某种业务时,如果知道该业务需要到BSF进行相互鉴权过程,则直接发送鉴权请求到BSF进行相互鉴权。否则,UE会首先和该业务对应的NAF联系,如果该NAF使用GBA通用鉴权架构,并且发现该UE还未到BSF进行互认证过程,NAF则通知该UE到BSF进行互鉴权以验证身份,然后UE再直接发送鉴权请求到BSF进行相互鉴权;
步骤2:BSF接到UE的鉴权请求后,首先到HSS获取该UE的鉴权向量信息(AUTN,RAND,IK,CK,XRES)五元组;
步骤3~步骤6:BSF采用HTTP digest AKA协议与UE进行双向认证以及密钥协商,完成UE和BSF之间身份的互相认证;
步骤7:BSF生成共享根密钥Ks,BSF还为共享密钥Ks定义了一个有效期限,以便对Ks进行定期更新;
步骤8:BSF分配一个引导事务标识(B-TID,bootstrapping transactionidentifier),用于标识BSF和UE之间的本次鉴权交互事务;BSF将该B-TID与根密钥Ks、UE的私有用户标识(IMPI,IMS Private identity)相关联,以便以后BSF可以根据该B-TID查找出相应的Ks,然后BSF将引导事务标识和Ks的有效期限一起明文发送给UE;
步骤9:UE也生成和BSF侧相同的共享根密钥Ks。
完成上述步骤后,UE和BSF之间就共享了一个根密钥Ks,并且UE可以利用公式:
Ks_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id)或者
Ks_Ext_NAF=KDF(Ks,″gba-me″,RAND,IMPI,NAF_Id)、
Ks_Int_NAF=KDF(Ks,″gba-u″,RAND,IMPI,NAF_Id),
推导出与想要访问的NAF之间的衍生的共享密钥Ks_(Ext/Int)_NAF,其中NAF_Id是由要访问的NAF以及Ua接口上的协议标识(UaId)连接而成,RAND是一个随机数,IMPI是UE的私有用户标识,″gba-me″和″gba-u″代表字符串,KDF是密钥导出函数的缩写,这样UE侧就获取了该衍生的共享密钥Ks_(Ext/Int)_NAF。剩下的任务就是NAF如何获取该衍生的共享密钥Ks_(Ext/Int)_NAF。只有NAF和UE都获取了Ks_(Ext/Int)_NAF,才能建立双方通讯的安全通道。
NAF获取Ks_(Ext/Int)_NAF的流程如图3所示,说明如下:
步骤1:UE首先根据上述公式推导出衍生的共享密钥Ks_(Ext/Int)_NAF,B-TID为用户名,Ks_(Ext/Int)_NAF为口令向NAF发送连接请求,本步骤之前可能会事先建立TLS链接,以保证Ua接口的通讯安全;
步骤2:NAF收到UE的连接请求后,给BSF发出认证请求消息,其中携带引导事务标识B-TID和NAF主机名;
步骤3:BSF上保留有B-TID、IMPI、Ks、密钥有效期、BSF与UE之间的相互鉴权的开始时间、应用相关的GBA用户安全设置(GUSS,GBA User security setting)等信息,如果BSF能够根据该B-TID查找到相应的Ks,则完成相应用户的认证,然后BSF再使用与用户侧相同的上述公式计算出衍生的共享密钥Ks_(Ext/Int)_NAF,然后在认证响应消息中把Ks_(Ext/Int)_NAF、Ks_(Ext/Int)_NAF的有效期限、BSF与UE之间的相互鉴权的开始时间、以及与其它应用相关的用户安全设置(USS,User security setting)信息发给NAF,一个GUSS中可能包含多个USS,NAF收到后,保存这些信息。
这样NAF和UE也就共享了由Ks衍生的密钥Ks_(Ext/Int)_NAF,从而这两者在后续的通信中可以进行安全通信。
另外,自由联盟工程(LAP,Liberty Alliance Project)组织也定义了一些网络架构和规范,用于实现对Web业务的访问,其主要包含三个子网络架构:
身份标识联盟网络架构(ID-FF,Identity Federation Framework);身份标识网页业务网络架构(ID-WSF,Identity Web Service Framework);身份标识业务接口规范(ID-SIS,Identity Services Interface Specifications);其中ID-FF主要包含身份标识联盟(Identity Federation)功能和单点认证功能(SSO,Single Sign On)。ID-WSF主要在ID-FF的基础上定义一些基于身份标识的Web业务架构,以便提供一些简单的、用户可以定制的Web业务。ID-SIS则定义一些与Web业务相关的接口规范。ID-FF的架构如图4所示,它主要包含三个实体:UE、身份鉴权提供商实体(IdP,Identity Provider)、业务提供商实体(SP,Service Provider)。身份标识联盟功能是指UE在IdP和SP上都有自己的身份标识,即用户标识。这些身份标识可以结成一个联盟。SSO是指在上述身份标识联盟功能的基础上,只要UE在IdP上通过了鉴权,就等于同时在所有结成联盟的SP上也同时通过了鉴权。
ID-FF和GBA互通架构如图5所示,在该架构中UE有两种鉴权方式:一种是UE在IdP上鉴权通过后,IdP会将该UE的鉴权申明(Assertion)直接返回给UE;UE再将该Assertion发给SP;SP通过分析Assertion来对UE进行鉴权.另一种是UE在IdP上鉴权通过后,IdP会将该UE的鉴权申明链接(Artifact)返回给UE;UE再将该Artifact发给SP;SP再将该Artifact通过SOAP协议发给IdP;IdP根据该Artifact查询相应的Assertion,并返回给SP;最后SP通过分析Assertion来对UE进行鉴权.
ID-WSF的架构如图6所示,其主要包含如下几个实体:用户终端(UE)、身份鉴权提供商(IdP)、业务提供商(SP)、用于使用Web业务的Web业务消费者实体(WSC,Web Service Consumer)、用于提供Web业务的Web业务提供者实体(WSP,Web Service Provider)、发现业务实体(DS,Discover Service)。
这些实体配合工作的过程如下:首先WSP在DS上注册其所能够提供的Web业务类型;当UE访问WSC时,WSC到DS上去查询可访问的WSP;DS匹配相关的WSP地址,并提供给WSC;然后WSC即可代表UE访问相关的WSP。WSC和WSP(或者SP)的功能是相对的,也就是说WSC在作为某个WEB业务消费者的同时,也可以作为另外一个Web业务提供者(WSP或者SP)。WSP或者SP在作为某个Web业务提供者的同时,也可以另外一个WEB业务消费者(WSC)。
上述架构的进一步简化形式如图7所示,其中WSC的功能在UE上实现,并且某个WSP可以提供认证业务实体(AS,AuthenticationService)的功能。这里ID-WSF中的AS功能与ID-FF中的IdP功能相当,用于完成身份标识Web业务网鉴权功能。由于图7主要涉及ID-WSF的鉴权事务,因此略去DS。
图8介绍了增加单点认证业务实体(SSOS,Single-Sign-On Service)的ID-WSF的网络架构,其主要的工作流程如下:首先UE和AS通过SASL协议交互,完成AS鉴权;鉴权通过后AS给UE返回SSOS的地址以及访问SSOS所需要的信任状(Credentials);UE利用从AS获取的Credentials访问SSOS,进行SSOS鉴权,SSOS对UE鉴权成功后给UE返回相应的Assertion;UE利用该Assertion去访问相关的SP。
从上面的介绍可以看出,一方面,通用鉴权架构中UE与BSF交互获取根密钥Ks和B-TID以后,都需要分别以B-TID为用户名,Ks(Ext/Int)NAF为口令在各个NAF上鉴权,以便访问各个NAF。这种频繁的认证增强了安全性,但增加了终端操作的复杂性和不方便性。另一方面,身份标识网页业务网络架构中通过单点认证功能在各个SP与SSOS之间建立身份标识安全联盟,并组成一个安全信任圈,只要在SSOS上通过了鉴权,就等于在SSOS所属的安全信任圈内的所有SP上也通过了鉴权。现有技术中没有实现这两种网络架构之间互通的方法,致使ID-WSF通信的安全性不够高,通用鉴权架构用户终端操作也不够简便,对扩展用户终端的应用场景,方便用户终端应用已有的多种多样的WEB业务造成诸多限制。
发明内容
本发明要解决的技术问题是提供一种身份标识网页业务网***及其鉴权方法,克服现有技术在对ID-WSF的UE进行鉴权的过程中无法使用GBA鉴权方式,通信安全性低的缺点。
本发明采用如下的技术方案:
一种身份标识网页业务网***,包括通用鉴权架构的用户归属网络服务器和引导服务功能实体、业务提供商实体和用户终端,用户归属网络服务器和引导服务功能实体之间通过Zh接口进行通信,引导服务功能实体与用户终端之间通过Ub接口进行通信,还包括网络业务应用功能、鉴权服务和单点认证业务实体,所述网络业务应用功能、鉴权服务和单点认证业务实体包括网络业务应用功能模块、鉴权服务模块和单点认证业务模块,其中网络业务应用功能模块用于提供网络业务应用功能实体功能,鉴权服务模块用于提供鉴权服务实体功能,单点认证业务模块用于提供单点认证业务实体功能,网络业务应用功能模块与引导服务功能实体之间通过Zn接口进行通信,网络业务应用功能模块与用户终端之间通过Ua接口进行通信.
其中单点认证业务模块与用户终端采用安全申明标记语言描述的单点认证和身份标识联盟协议进行两者之间的通信,采用简单对象访问协议或超文本传输协议封装通信消息;鉴权服务模块与用户终端采用简单鉴权和安全层协议进行两者之间的通信,采用简单对象访问协议或超文本传输协议封装通信消息;单点认证业务模块与业务提供商实体之间进行通信时,采用简单对象访问协议封装通信消息;用户终端与业务提供商实体之间进行通信时,采用简单对象访问协议或超文本传输协议封装通信消息。
一种身份标识网页业务网***鉴权方法,包括步骤:身份标识网页业务网***的用户终端和业务提供商实体的通信过程中包括两种鉴权过程:通用鉴权架构鉴权过程和身份标识网页业务网络架构鉴权过程,其中
在通用鉴权架构鉴权过程中,引导服务功能实体生成引导事务标识和根密钥有效期,并且发送给用户终端,引导服务功能实体和用户终端都生成根密钥;
在身份标识网页业务网络架构鉴权过程中,鉴权服务模块生成用户终端访问单点认证业务模块所需要的信任状;单点认证业务模块生成鉴权申明并发送给用户终端,或者单点认证业务模块生成鉴权申明及相应的鉴权申明链接,保存鉴权申明和鉴权申明链接的对应关系表,将鉴权申明链接发送给用户终端。
其中在所述在身份标识网页业务网络架构鉴权过程中,所述鉴权服务模块生成用户终端访问单点认证业务模块所需要的信任状之前还包括:
鉴权服务模块接收用户终端的身份标识网页业务网络架构鉴权请求消息,鉴权服务模块向用户终端发送要求其进行通用鉴权架构鉴权的挑战响应消息;
引导服务功能实体对用户终端进行通用鉴权架构鉴权,鉴权成功后向用户终端发送通用鉴权架构鉴权成功响应消息,该鉴权成功响应消息中包含引导事务标识和根密钥有效期;
鉴权服务模块再次接收用户终端的身份标识网页业务网络架构鉴权请求消息,鉴权服务模块对用户终端进行鉴权;鉴权通过后,向用户终端发送鉴权响应消息,其中包含单点认证业务模块的地址和信任状。
其中所述单点认证业务模块生成鉴权申明并发送给用户终端包括步骤:
单点认证业务模块接收用户终端的应用请求消息,单点认证业务模块对用户终端进行身份标识网页业务网络架构鉴权,鉴权成功后向用户终端发送身份标识网页业务网络架构鉴权成功响应消息,该鉴权成功响应消息中包含鉴权申明,其中所述鉴权申明中包含单点认证业务模块的数字签名。
其中所述单点认证业务模块生成鉴权申明及相应的鉴权申明链接,保存鉴权申明和鉴权申明链接的对应关系表,将鉴权申明链接发送给用户终端包括:
单点认证业务模块接收用户终端的应用请求消息,单点认证业务模块对用户终端进行身份标识网页业务网络架构鉴权,生成鉴权申明及相应的鉴权申明链接,保存鉴权申明和鉴权申明链接的对应关系表,在随后发送给用户终端的身份标识网页业务网络架构鉴权成功响应消息中包含鉴权申明链接。
其中所述鉴权服务模块接收用户终端的身份标识网页业务网络架构鉴权请求消息之前还包括:
A1、用户终端向业务提供商实体发送应用请求消息;
A2、业务提供商实体收到该应用请求消息后,首先获取鉴权服务实体或鉴权服务模块的地址,然后发送响应消息给用户终端,其中携带鉴权请求头域。
本发明实施例所提供的身份标识网页业务网***鉴权方法,具体包括:
A3、用户终端向鉴权服务模块发送身份标识网页业务网络架构鉴权请求消息,其中包含简单鉴权和安全层协议请求头域,该头域包含鉴权机制头域,鉴权机制头域中包含用户终端支持的鉴权方式列表;
A4、鉴权服务模块给用户终端发送挑战响应消息,其中包含简单鉴权和安全层协议响应头域,该头域包含服务器鉴权机制头域和挑战头域,服务器鉴权机制头域中记录鉴权服务实体或鉴权服务模块选择的鉴权方式。
A5、用户终端与引导服务功能实体交互,进行通用鉴权架构鉴权,鉴权成功后向用户终端发送通用鉴权架构鉴权成功响应消息,该鉴权成功响应消息中包含引导事务标识和根密钥有效期;
A6、用户终端再次向鉴权服务模块发送应用请求消息,其中包含简单鉴权和安全层协议请求头域,该头域包含挑战响应头域,挑战响应头域包含引导事务标识和鉴权响应摘要信息;
A7、鉴权服务模块通过Zn接口向引导服务功能实体获取共享密钥、用户安全设置、密钥有效期和引导时间信息;
A8、鉴权服务模块根据收到简单鉴权和安全层协议请求头域对用户终端进行鉴权,鉴权通过后,向用户终端发送响应消息,其中包含简单鉴权和安全层协议响应头域,该头域中有单点认证业务模块的地址和信任状。
其中同时支持通用鉴权架构鉴权和身份标识网页业务网络架构鉴权的用户终端在向鉴权服务模块发送的应用请求消息中设置通用鉴权架构标识,若鉴权服务模块发现此通用鉴权架构标识,则通知用户终端先启动通用鉴权架构鉴权过程,再启动用户身份标识网页业务网络架构鉴权过程,否则通知用户终端只启动用户身份标识网页业务网络架构鉴权过程。
其中所述步骤A5包括:
B1、用户终端向引导服务功能实体发送通用鉴权架构鉴权请求消息,其中包含私有用户标识;
B2、引导服务功能实体收到该通用鉴权架构鉴权请求消息后,从用户归属网络服务器获取用户终端的认证矢量;
B3、引导服务功能实体向用户终端发送挑战消息,其中携带鉴权序号参数和随机参数;
B4、用户终端检查鉴权序号参数有效性并生成期望结果;
B5、用户终端向引导服务功能实体发送消息,其中携带私有用户标识和期望结果;
B6、引导服务功能实体检查期望结果的有效性并生成根密钥;
B7、引导服务功能实体向用户终端发送通用鉴权架构成功响应消息,其中携带引导事务标识和根密钥有效期;
B8、用户终端保存引导事务标识和根密钥有效期,生成并保存根密钥和共享密钥。
其中所述的身份标识网页业务网***鉴权方法,包括:
C1、用户终端根据单点认证业务模块的地址向单点认证业务实体或单点认证业务模块发送应用请求消息;
C2、单点认证业务模块根据收到的应用请求消息内容进行鉴权处理,鉴权成功后向用户终端发送成功响应消息,其中包含鉴权申明,鉴权申明中包含单点认证业务模块的数字签名;
C3、用户终端向业务提供商实体发送应用请求消息,其中包含鉴权申明;
C4、业务提供商实体处理鉴权申明,验证单点认证业务实体或单点认证业务模块的数字签名,完成对用户终端的鉴权后,向用户终端发送响应消息。
其中所述的身份标识网页业务网***鉴权方法,包括:
D1、用户终端根据单点认证业务模块的地址向单点认证业务模块发送应用请求消息;
D2、单点认证业务模块根据收到的应用请求消息内容进行鉴权处理,生成鉴权申明和相应的鉴权申明链接,保存鉴权申明、鉴权申明和相应的鉴权申明链接的对应关系,鉴权成功后向用户终端发送成功响应消息,其中包含鉴权申明链接。
D3、用户终端向业务提供商实体发送应用请求消息,其中包含鉴权申明链接;
D4、业务提供商实体向单点认证业务模块发送应用请求消息,其中包含鉴权申明链接;
D5、单点认证业务模块根据鉴权申明链接找到对应的鉴权申明,向业务提供商实体发送响应消息,其中包含鉴权申明,鉴权申明中有单点认证业务实体或单点认证业务模块的数字签名;
D6、业务提供商实体处理鉴权申明,验证单点认证业务模块的数字签名,完成对用户终端的鉴权后,向用户终端发送响应消息。
其中简单鉴权和安全层协议请求头域和简单鉴权,以及安全层协议响应头域由简单对象访问协议封装。
其中当业务提供商实体收到用户终端或者单点认证业务模块发送的退出链接请求消息时,或者当业务提供商实体和用户终端之间的会话正常终止时,或者当业务提供商实体收到的鉴权申明中的重新认证期限头域对应的时间过期时,或者当业务提供商实体收到的鉴权申明中的期限头域对应的时间过期时,业务提供商实体在随后与用户终端的通信过程中要求用户终端重新鉴权。
其中当业务提供商实体收到用户终端或者单点认证业务模块发送的退出链接请求消息时,或者当业务提供商实体和用户终端之间的会话正常终止时,或者当业务提供商实体收到的鉴权申明中的重新认证期限头域对应的时间过期时,或者当业务提供商实体收到的鉴权申明中的期限头域对应的时间过期时,业务提供商实体在随后与用户终端的通信过程中要求用户终端重新鉴权.
其中在鉴权服务模块上配置如下的本地安全策略:在对用户终端重新鉴权时,若双方的共享密钥没有过期,则只对用户终端进行身份标识网页业务网络架构鉴权。
其中在鉴权服务模块上配置如下的本地安全策略:在对用户终端重新鉴权时,若双方的共享密钥没有过期,对用户终端进行通用鉴权架构鉴权和身份标识网页业务网络架构鉴权。
本发明的技术方案对现有技术的ID-WSF进行了改进和扩充,增加用户归属网络服务器和引导服务功能实体和网络业务应用功能实体,并将原有的鉴权服务实体、单点认证业务实体的功能以及新增的网络业务应用功能分别由网络业务应用功能/鉴权服务/单点认证业务实体的网络业务应用功能模块、鉴权服务模块、单点认证业务模块实现,从而实现了ID-WSF和GBA的互通,克服了现有技术ID-WSF对UE进行鉴权的过程中无法使用GBA方式鉴权的缺点;提供了一种身份标识网页业务网***和对UE进行鉴权的方法,在增加的通用鉴权架构鉴权过程中,引导服务功能实体生成引导事务标识、根密钥有效期,并且发送给用户终端,引导服务功能实体和用户终端都生成根密钥,因此增强了UE与业务提供商实体之间通信的安全性。
附图说明
本发明包括如下附图:
图1是现有技术通用鉴权架构(GBA)示意图;
图2是现有技术通用鉴权架构中UE执行引导过程(bootstrapping)的流程图;
图3是现有技术NAF获取共享密钥Ks_(Ext/Int)_NAF的流程图;
图4是现有技术身份标识联盟网络架构(ID-FF)示意图;
图5是现有技术ID-FF和GBA互通架构示意图;
图6是现有技术身份标识网页业务网络架构(ID-WSF)示意图;
图7是现有技术ID-WSF的简化形式示意图;
图8是现有技术包含单点认证业务实体(SSOS)的ID-WSF示意图;
图9是现有技术GBA和ID-WSF互通的网络架构示意图;
图10是本发明网络业务应用功能/鉴权服务/单点认证业务实体示意图;
图11是本发明的身份标识网页业务网***示意图;
图12是本发明当AS和SSOS为不同的实体时给UE返回Assertion的鉴权方法流程图;
图13是本发明当AS和SSOS为不同的实体时给UE返回Artifact的鉴权方法流程图;
图14是本发明使用网络业务应用功能/鉴权服务/单点认证业务实体并给UE返回Assertion的鉴权方法流程图;
图15是本发明使用网络业务应用功能/鉴权服务/单点认证业务实体并给UE返回Artifact的鉴权方法流程图。
具体实施方式
下面结合附图和实施例对本发明作进一步详细说明:
为了提高现有技术ID-WSF网络通信的安全性,实现ID-WSF和GBA的互通,如图10所示,本发明提供了一种网络业务应用功能、鉴权服务和单点认证业务实体,其包括网络业务应用功能模块、鉴权服务模块、单点认证业务模块,网络业务应用功能模块用于提供网络业务应用功能实体功能,鉴权服务模块用于提供鉴权服务实体功能,单点认证业务模块用于提供单点认证业务实体功能。如图11所示,本发明提供了一种身份标识网页业务网***,其包括通用鉴权架构的用户归属网络服务器和引导服务功能实体、网络业务应用功能、鉴权服务和单点认证业务实体、业务提供商实体、用户终端,用户归属网络服务器和引导服务功能实体之间通过Zh接口进行通信,引导服务功能实体与用户终端之间通过Ub接口进行通信,网络业务应用功能模块与引导服务功能实体之间通过Zn接口进行通信,网络业务应用功能模块与用户终端之间通过Ua接口进行通信;单点认证业务模块与用户终端采用安全申明标记语言描述的单点认证和身份标识联盟协议进行两者之间的通信,并可采用简单对象访问协议或超文本传输协议封装通信消息;用户终端与鉴权服务模块采用简单鉴权和安全层协议进行两者之间的通信,并可采用简单对象访问协议或超文本传输协议封装通信消息;单点认证业务模块与业务提供商实体之间、用户终端与业务提供商实体之间进行通信时,采用简单对象访问协议或超文本传输协议封装通信消息。
如图9所示,现有技术给出了一种当AS和SSOS为不同的实体时的GBA和ID-WSF互通的网络架构,但是并没有相应的鉴权方法。
如图12所示,本发明提供了当AS和SSOS为不同的实体时,对UE进行鉴权并给UE返回Assertion的鉴权方法实施例1;图13所示,本发明提供了当AS和SSOS为不同的实体时,对UE进行鉴权并给UE返回Artifact的鉴权方法实施例2;如图14所示,本发明提供了使用网络业务应用功能/鉴权服务/单点认证业务实体并给UE返回Assertion的鉴权方法实施例3;如图15所示,本发明提供了使用网络业务应用功能/鉴权服务/单点认证业务实体并给UE返回Artifact的鉴权方法实施例4。实施例1和实施例3以及实施例2和实施例4的步骤是相同的,只是实施例1和实施例2中单点认证业务实体以及鉴权服务实体实现的功能,在实施例3和实施例4中由本发明的单点认证业务模块和鉴权服务模块实现。
下面通过对实施例1和实施例2的具体说明,阐述本发明鉴权方法的实现过程:
本发明鉴权方法的要点是为了实现GBA与ID-WSF的互通,提高ID-WSF网络通信的安全性和应用方便性,在身份标识网页业务网***的用户终端和业务提供商实体的通信过程中包括两种鉴权过程,分别是通用鉴权架构鉴权过程和身份标识网页业务网络架构鉴权过程,在通用鉴权架构鉴权过程中,引导服务功能实体生成引导事务标识、根密钥有效期,并且发送给用户终端,引导服务功能实体和用户终端都生成根密钥;在身份标识网页业务网络架构鉴权过程中,鉴权服务实体或鉴权服务模块生成用户终端访问单点认证业务实体或单点认证业务模块所需要的信任状;单点认证业务实体或单点认证业务模块生成鉴权申明并发送给用户终端,或者单点认证业务实体或单点认证业务模块生成鉴权申明及相应的鉴权申明链接,保存鉴权申明、鉴权申明和鉴权申明链接的对应关系,将鉴权申明链接发送给用户终端.
在实施例1和实施例2中,UE和AS通过SASL协议进行协商,采用HTTP DIGEST鉴权方式,如果采用其他鉴权方式,则digest-challenge头域(挑战头域)和digest-response头域(挑战响应头域)改成相应鉴权方式的挑战头域和挑战响应头域。
下面是对实施例1的说明:
步骤1:UE向SP发送HTTP Request消息(应用请求消息);为保证安全,UE和SP之间可以事先建立TLS安全隧道。
步骤2:SP收到该HTTP Request消息后,首先获取AS的地址,然后发送一个HTTP Response响应消息给UE,其中携带AuthnRequest头域(鉴权请求头域);
步骤3:由于UE集成了WSC实体功能,收到SP返回的包含AuthnRequest头域的响应消息后,UE通过其上的WSC知道应该通过SASL(SimpleAuthentication and Security Layer,简单鉴权和安全层)协议向AS进行鉴权,而不是通过HTTP DIGEST协议向IdP进行鉴权,UE向AS发送一个HTTP Request消息,其中携带SOAP(Simple Object Access Protocol,简单对象访问协议)封装的SASLRequest头域(简单鉴权和安全层协议请求头域),其中SASLRequest头域的mechanism头域(鉴权机制头域)中包含UE支持的鉴权方式列表,例如mechanism=“CRAM-MD5DIGEST-MD5”,其中DIGEST-MD5表示HTTP DIGEST鉴权方式;步骤4:AS返回一个HTTP Response响应消息给UE,其中携带SOAP协议封装的SASLResponse头域(简单鉴权和安全层协议响应头域),SASLResponse头域的serverMechanism头域中记录AS从UE支持的鉴权方式列表中选择的鉴权方式(例如serverMechanism=“DIGEST-MD5”表示AS选择的鉴权方式为HTTP DIGEST),以及digest-challenge头域(挑战头域);
步骤5:UE向BSF发送GBA鉴权请求消息,其中包含私有用户标识(IMPI),要求与BSF进行相互鉴权;
步骤6:BSF收到UE的GBA鉴权请求消息后,首先到HSS获取该UE的鉴权向量信息,即认证矢量(鉴权序号参数AUTN,随机参数RAND,完整性密钥IK,机密性密钥CK,预期结果XRES);
步骤7:BSF保存XRES、IK、CK,并向UE发送消息,其中携带AUTN和RAND;
步骤8:UE运行AKA算法,检查AUTN有效性以鉴权BSF,并生成期望结果RES,并且利用RAND生成完整性密钥IK和机密性密钥CK;
步骤9:UE向BSF发送消息,其中携带IMPI、期望结果RES;
步骤10:BSF将RES和保存的XRES比较,如果两者一致的话完成对UE的鉴权,并利用保存的IK和CK生成根密钥Ks;
步骤11:BSF向UE发送GBA成功响应消息,其中携带引导事务标识(B-TID)和根密钥Ks有效期;
步骤12:UE保存B-TID和根密钥Ks有效期,并利用IK和CK生成根密钥Ks,然后生成并保存共享密钥Ks_(Ext/Int)_NAF;
步骤13:UE再次向AS发送一个HTTP Request消息,其中携带SOAP协议封装的SASLRequest头域,SASLRequest头域的mechanism头域填写步骤4中AS选择的鉴权方式(这里的鉴权方式为HTTP DIGEST),SASLRequest头域的digest-response头域(挑战响应头域)中包含username头域,username头域中填写B-TID以及用密钥Ks_(Ext/Int)_NAF计算出来的鉴权响应摘要信息;
步骤14:AS和NAF在一个实体上,如果AS中没有相关的Ks_(Ext/Int)_NAF密钥等信息,则可以通过Zn接口向BSF获取Ks_(Ext/Int)_NAF、USS、密钥有效期、引导时间等信息,其中USS可能包含一些身份标识联盟相关信息;
步骤15:根据获取的Ks_(Ext/Int)_NAF密钥信息,AS对上述SASLRequest头域中的digest-response进行处理,AS鉴权通过后,向UE发送HTTPResponse响应消息,其中携带SOAP协议封装的SASLResponse头域,其中SASLResponse头域中的ID-WSF EPR(EndpointReference)头域中包含SSOS地址和ServiceType域,ServiceType域中的内容包括urn:liberty:ssos:2004-04、以及访问SSOS所需要的信任状(Credentials)等其他SSO相关信息;
步骤16:UE根据步骤15得到的SSOS地址向SSOS发送HTTP Request消息,以请求访问SP所需要的Assertion,其中携带SOAP协议封装的samlp2:AuthnRequest头域、sb:Correlation头域、wsse:security头域,根据具体的应用程序和网络模型,AuthnRequest头域可能是步骤2中SP返回的,也可能由UE自己生成,其中包含一些要求AuthnRequest接收方采取的鉴权操作,其中ProtocolBinding头域设置成urn:liberty:iff:profiles:id-wsf,以表示要使用SAML协议绑定,wsse:security头域包含上一步中返回的访问SSOS所需要的信任状(Credentials)信息,sb:Correlation头域主要用于将SSOS返回的响应消息和相应的请求消息关联起来;
步骤17:SSOS根据收到的HTTP Request消息内容进行鉴权处理,鉴权成功后SSOS可能告诉UE可以和哪些SP结成身份标识联盟,UE同意并完成和SP的身份标识联盟,然后SSOS返回HTTP Response响应消息,其中携带SOAP协议封装的samlp2:Response头域,其中Response头域包含访问SP所需要的saml:Assertion头域(其中包含SSOS的数字签名);
步骤18:UE再次向SP发送HTTP Request消息,其中携带SOAP协议封装的上一步中返回的saml:Assertion头域;
步骤19:SP处理上述saml:Assertion头域,并验证SSOS的数字签名,根据和SSOS的身份标识联盟信息对UE完成鉴权,成功后返回一个HTTPResponse消息。
另外的几点说明:
根据AuthnRequest中的身份标识策略,AS可能每次都要求UE必须先执行步骤5~步骤12,再执行步骤13,以保证每次的用户标识B-TID和密钥Ks(Ext/Int)NAF都是重新生成的。或者,
如果UE和AS之间已经建立了安全联盟,并且Ks_(Ext/Int)_NAF密钥没有过期,则不执行步骤3~步骤12,直接执行步骤13,即UE给AS发送的HTTP Request请求消息的SASLRequest头域中的digest-response头域中包含username头域,username头域中填写B-TID以及用共享密钥Ks_(Ext/Int)_NAF计算出来的鉴权响应摘要信息。
如果UE和AS之间还没有建立安全联盟,则需要先执行步骤3~步骤12,进行正常的GBA引导过程获取B-TID和密钥信息Ks_(Ext/Int)_NAF,然后再执行步骤13。
如果UE和AS之间已经建立了安全联盟,但是Ks_(Ext/Int)_NAF密钥已经或者将要过期,则步骤3中也带有已有的B-TID,以及用密钥Ks_(Ext/Int)_NAF计算出来的鉴权响应摘要信息,然后AS通过步骤4挑战UE,UE再执行步骤5~步骤12,进行正常的GBA鉴权过程获取更新的B-TID和共享密钥Ks_(Ext/Int)_NAF,然后再执行步骤13.
另外,对于本发明中GBA和SSO两种机制都支持的UE来讲:UE在步骤3中向AS发送HTTP请求时,需要携带一个表示支持GBA机制的标识,例如对于基于ME(Mobile Equipment,移动设备)的应用,在User-Agent头域中设置成“3gpp-gba”;对基于UICC(Universal IntegratedCircuit Card,通用集成电路卡)的应用,在User-Agent头域中设置成“3gpp-gba-uicc”。AS发现UE支持GBA后,在步骤4的挑战响应中也携带一个表示需要UE执行GBA机制的标识,例如对于基于ME的应用,在digest-challenge头域中的realm参数中设置“3gpp-gba@NAF的域名”,对于基于UICC的应用,在digest-challenge头域的realm参数中设置“3gpp-gba-uicc@NAF的域名”。
UE如果在挑战响应中发现此标识,则知道需要先执行GBA过程(步骤3~步骤12),然后再执行步骤13,否则直接执行步骤13,其中的用户名、密码的获取通过现有SSO机制处理,例如可以给用户弹一个对话框,由用户直接输入用户名和密码。
UE在步骤13中再次向AS发送HTTP请求时,同步骤3一样,也需要携带一个表示支持GBA机制的标识,如果AS发现此标识,则知道需要先执行步骤14,然后执行步骤15;否则直接执行步骤15。
另外,也可以通过配置AS来达到上述同样目的。上述几点同样适用于下面的实施例2。
下面是对实施例2的说明:
步骤1:UE向SP发送HTTP Request消息;
步骤2:SP收到该HTTP Request消息后,首先获取AS的地址,然后发送一个HTTP Response响应消息给UE,其中携带AuthnRequest头域;
步骤3:由于UE集成了WSC实体功能,收到SP返回的包含AuthnRequest头域的响应消息后,UE通过其上的WSC知道应该通过SASL协议向AS进行鉴权,而不是通过HTTP DIGEST协议向IdP进行鉴权,UE向AS发送一个HTTP Request消息,其中携带SOAP协议封装的SASLRequest头域,其中SASLRequest头域的mechanism头域中包含UE支持的鉴权方式列表,例如mechanism=“CRAM-MD5DIGEST-MD5”,其中DIGEST-MD5表示HTTP DIGEST鉴权方式;步骤4:AS返回一个HTTP Response响应消息给UE,其中携带SOAP协议封装的SASLResponse头域,SASLResponse头域的serverMechanism头域(服务器鉴权机制头域)中记录AS从UE支持的鉴权方式列表中选择的鉴权方式(例如serverMechanism=“DIGEST-MD5”表示AS选择的鉴权方式为HTTP DIGEST),以及挑战头域digest-challenge;
步骤5:UE向BSF发送GBA鉴权请求消息,其中包含私有用户标识(IMPI),要求与BSF进行相互鉴权;
步骤6:BSF收到UE的GBA鉴权请求消息后,首先到HSS获取该UE的鉴权向量信息,即认证矢量(鉴权序号参数AUTN,随机参数RAND,完整性密钥IK,机密性密钥CK,预期结果XRES);
步骤7:BSF保存XRES、IK、CK,并向UE发送消息,其中携带AUTN和RAND;
步骤8:UE运行AKA算法,检查AUTN有效性以鉴权BSF,并生成期望结果RES,并且利用RAND生成完整性密钥IK和机密性密钥CK;
步骤9:UE向BSF发送消息,其中携带IMPI、期望结果RES;
步骤10:BSF将RES和保存的XRES比较,如果两者一致的话完成对UE的鉴权,并利用保存的IK和CK生成根密钥Ks;
步骤11:BSF向UE发送GBA成功响应消息,其中携带引导事务标识(B-TID)和根密钥Ks有效期;
步骤12:UE保存B-TID和根密钥Ks有效期,并利用IK和CK生成根密钥Ks,然后生成并保存共享密钥Ks_(Ext/Int)_NAF;
步骤13:UE再次向AS发送一个HTTP Request消息,其中携带SOAP协议封装的SASLRequest头域,其中SASLRequest头域中的mechanism头域填写步骤4中AS选择的鉴权方式(本实施例中的鉴权方式为HTTPDIGEST),挑战响应头域digest-response中包含username头域,username头域中填写B-TID,以及用密钥Ks_(Ext/Int)_NAF计算出来的鉴权响应摘要信息;
步骤14:AS和NAF在一个实体上,如果AS中没有相关的Ks_(ext)_NAF密钥等信息,则可以通过Zn接口向BSF获取Ks_(Ext/Int)_NAF、USS、密钥有效期、引导时间等信息,其中USS可能包含一些身份标识联盟相关信息;
步骤15:AS对上述SASLRequest头域进行处理,AS鉴权通过后,向UE发送HTTP Response响应消息,其中携带SOAP封装的SASLResponse头域,SASLResponse头域中的ID-WSF EPR(EndpointReference头域)中包含SSOS地址、SASLResponse头域中的ServiceType域设置为urn:liberty:ssos:2004-04、访问SSOS所需要的信任状;
步骤16:UE向上一步得到的SSOS发送HTTP Request消息,以请求访问SP所需要的Assertion,其中携带SOAP协议封装的samlp2:AuthnRequest头域、sb:Correlation头域、wsse:security头域,根据具体的应用程序和网络模型,AuthnRequest头域可能是步骤2中SP返回的,也可能由UE自己生成,其中包含一些要求AuthnRequest接收方采取的鉴权操作,其中ProtocolBinding头域设置成urn:liberty:iff:profiles:id-wsf,以表示要使用的SAML协议绑定,wsse:security头域包含上一步中返回的访问SSOS所需要的信任状(Credentials头域)信息,sb:Correlation头域主要用于将SSOS返回的响应消息和相应的请求消息关联起来;
步骤17:SSOS处理收到的HTTP Request消息,生成相应的Artifact和Assertion,并保存两者之间的关系,然后返回HTTP Response成功响应消息,其中携带SOAP协议封装的samlp2:Response头域;其中Response头域包含访问SP所需要的saml:Assertion对应的Artifact头域;
步骤18:UE再次向SP发送HTTP Request消息,其中携带SOAP协议封装的步骤17中返回的Artifact头域;
步骤19:SP向SSOS发送HTTP Request消息,其中携带SOAP协议封装的上一步得到的Artifact头域,请求用于对UE鉴权处理的Assertion;
步骤20:SSOS根据Artifact找到对应的Assertion,然后返回HTTP Response消息,其中携带SOAP协议封装的saml:Assertion(其中包含SSOS的数字签名);
步骤21:SP处理上述saml:Assertion头域,并验证其数字签名,根据和SSOS的身份标识联盟信息对UE完成鉴权,成功后返回一个HTTPResponse消息.
完成了上述实施例1或实施例2的鉴权过程后,UE和SP可以继续进行通讯,当出现下列情况时则必须对UE重新进行鉴权:
1、SP收到UE或者SSOS发来的LogoutRequest消息(退出链接请求消息)时;
2、SP和UE之间的会话正常中止时;
3、SP收到的Assertion中的AuthenticationStatement头域(认证声明头域)中的ReauthenticateOnOrAfter头域(重新认证期限头域)对应的时间过期时;
4、SP收到的Assertion中的Conditions头域(条件头域)中的NotOnOrAfter头域(期限头域)对应的时间过期时。
SP需要在和UE进行下一次交互时,发送一个新的携带AuthnRequest的HTTP Response响应消息给UE,指示其需要重新鉴权,以后进行实施例1或实施例2中从步骤3开始的流程。
对于ID-WSF,步骤4中当AS收到UE发来的HTTP Request消息时,如果Ks_(ext)_NAF还没有过期,则根据AS上配置的本地安全策略,可以不进行新的GBA鉴权过程,也可以进行一个新的GBA鉴权过程。如果不进行新的GBA鉴权过程,则步骤3~步骤12、步骤14可以省略,步骤13、步骤15、步骤16同上次对应的消息内容相同,步骤17中SSOS需要产生一个新的Assertion(对于实施例2,还要产生新的Artifact),其余步骤不变。
如果要进行新的GBA过程,则将重新执行实施例1或实施例2中其余的所有步骤。
虽然通过参照本发明的优选实施例,已经对本发明进行了图示和描述,但本领域的普通技术人员应该明白,可以在形式上和细节上对其作各种各样的改变,而不偏离所附权利要求书所限定的本发明的精神和范围。
Claims (17)
1.一种身份标识网页业务网***,包括通用鉴权架构的用户归属网络服务器和引导服务功能实体、业务提供商实体和用户终端,用户归属网络服务器和引导服务功能实体之间通过Zh接口进行通信,引导服务功能实体与用户终端之间通过Ub接口进行通信,其特征在于:包括网络业务应用功能、鉴权服务和单点认证业务实体,所述网络业务应用功能、鉴权服务和单点认证业务实体包括网络业务应用功能模块、鉴权服务模块和单点认证业务模块,其中网络业务应用功能模块用于提供网络业务应用功能实体功能,鉴权服务模块用于提供鉴权服务实体功能,单点认证业务模块用于提供单点认证业务实体功能,网络业务应用功能模块与引导服务功能实体之间通过Zn接口进行通信,网络业务应用功能模块与用户终端之间通过Ua接口进行通信。
2.根据权利要求1所述的身份标识网页业务网***,其特征在于:单点认证业务模块与用户终端采用安全申明标记语言描述的单点认证和身份标识联盟协议进行两者之间的通信,采用简单对象访问协议或超文本传输协议封装通信消息;鉴权服务模块与用户终端采用简单鉴权和安全层协议进行两者之间的通信,采用简单对象访问协议或超文本传输协议封装通信消息;单点认证业务模块与业务提供商实体之间进行通信时,采用简单对象访问协议封装通信消息;用户终端与业务提供商实体之间进行通信时,采用简单对象访问协议或超文本传输协议封装通信消息。
3.一种身份标识网页业务网***鉴权方法,其特征在于,包括步骤:身份标识网页业务网***的用户终端和业务提供商实体的通信过程中包括两种鉴权过程:通用鉴权架构鉴权过程和身份标识网页业务网络架构鉴权过程,其中
在通用鉴权架构鉴权过程中,引导服务功能实体生成引导事务标识和根密钥有效期,并且发送给用户终端,引导服务功能实体和用户终端都生成根密钥;
在身份标识网页业务网络架构鉴权过程中,鉴权服务模块生成用户终端访问单点认证业务模块所需要的信任状;单点认证业务模块生成鉴权申明并发送给用户终端,或者单点认证业务模块生成鉴权申明及相应的鉴权申明链接,保存鉴权申明和鉴权申明链接的对应关系表,将鉴权申明链接发送给用户终端。
4.根据权利要求3所述的身份标识网页业务网***鉴权方法,其特征在于,在所述在身份标识网页业务网络架构鉴权过程中,所述鉴权服务模块生成用户终端访问单点认证业务模块所需要的信任状之前还包括:
鉴权服务模块接收用户终端的身份标识网页业务网络架构鉴权请求消息,鉴权服务模块向用户终端发送要求其进行通用鉴权架构鉴权的挑战响应消息;
引导服务功能实体对用户终端进行通用鉴权架构鉴权,鉴权成功后向用户终端发送通用鉴权架构鉴权成功响应消息,该鉴权成功响应消息中包含引导事务标识和根密钥有效期;
鉴权服务模块再次接收用户终端的身份标识网页业务网络架构鉴权请求消息,鉴权服务模块对用户终端进行鉴权;鉴权通过后,向用户终端发送鉴权响应消息,其中包含单点认证业务模块的地址和信任状。
5.根据权利要求3所述的身份标识网页业务网***鉴权方法,其特征在于,所述单点认证业务模块生成鉴权申明并发送给用户终端包括步骤:
单点认证业务模块接收用户终端的应用请求消息,单点认证业务模块对用户终端进行身份标识网页业务网络架构鉴权,鉴权成功后向用户终端发送身份标识网页业务网络架构鉴权成功响应消息,该鉴权成功响应消息中包含鉴权申明,其中所述鉴权申明中包含单点认证业务模块的数字签名.
6.根据权利要求3所述的身份标识网页业务网***鉴权方法,其特征在于,所述单点认证业务模块生成鉴权申明及相应的鉴权申明链接,保存鉴权申明和鉴权申明链接的对应关系表,将鉴权申明链接发送给用户终端包括:
单点认证业务模块接收用户终端的应用请求消息,单点认证业务模块对用户终端进行身份标识网页业务网络架构鉴权,生成鉴权申明及相应的鉴权申明链接,保存鉴权申明和鉴权申明链接的对应关系表,在随后发送给用户终端的身份标识网页业务网络架构鉴权成功响应消息中包含鉴权申明链接。
7.根据权利要求4所述的身份标识网页业务网***鉴权方法,其特征在于,所述鉴权服务模块接收用户终端的身份标识网页业务网络架构鉴权请求消息之前还包括:
A1、用户终端向业务提供商实体发送应用请求消息;
A2、业务提供商实体收到该应用请求消息后,首先获取鉴权服务实体或鉴权服务模块的地址,然后发送响应消息给用户终端,其中携带鉴权请求头域。
8.根据权利要求4所述的身份标识网页业务网***鉴权方法,其特征在于,所述方法具体包括:
A3、用户终端向鉴权服务模块发送身份标识网页业务网络架构鉴权请求消息,其中包含简单鉴权和安全层协议请求头域,该头域包含鉴权机制头域,鉴权机制头域中包含用户终端支持的鉴权方式列表;
A4、鉴权服务模块给用户终端发送挑战响应消息,其中包含简单鉴权和安全层协议响应头域,该头域包含服务器鉴权机制头域和挑战头域,服务器鉴权机制头域中记录鉴权服务实体或鉴权服务模块选择的鉴权方式。
A5、用户终端与引导服务功能实体交互,进行通用鉴权架构鉴权,鉴权成功后向用户终端发送通用鉴权架构鉴权成功响应消息,该鉴权成功响应消息中包含引导事务标识和根密钥有效期;
A6、用户终端再次向鉴权服务模块发送应用请求消息,其中包含简单鉴权和安全层协议请求头域,该头域包含挑战响应头域,挑战响应头域包含引导事务标识和鉴权响应摘要信息;
A7、鉴权服务模块通过Zn接口向引导服务功能实体获取共享密钥、用户安全设置、密钥有效期和引导时间信息;
A8、鉴权服务模块根据收到简单鉴权和安全层协议请求头域对用户终端进行鉴权,鉴权通过后,向用户终端发送响应消息,其中包含简单鉴权和安全层协议响应头域,该头域中有单点认证业务模块的地址和信任状。
9.根据权利要求8所述的身份标识网页业务网***鉴权方法,其特征在于:同时支持通用鉴权架构鉴权和身份标识网页业务网络架构鉴权的用户终端在向鉴权服务模块发送的应用请求消息中设置通用鉴权架构标识,若鉴权服务模块发现此通用鉴权架构标识,则通知用户终端先启动通用鉴权架构鉴权过程,再启动用户身份标识网页业务网络架构鉴权过程,否则通知用户终端只启动用户身份标识网页业务网络架构鉴权过程。
10.根据权利要求8所述的身份标识网页业务网***鉴权方法,其特征在于,所述步骤A5包括:
B1、用户终端向引导服务功能实体发送通用鉴权架构鉴权请求消息,其中包含私有用户标识;
B2、引导服务功能实体收到该通用鉴权架构鉴权请求消息后,从用户归属网络服务器获取用户终端的认证矢量;
B3、引导服务功能实体向用户终端发送挑战消息,其中携带鉴权序号参数和随机参数;
B4、用户终端检查鉴权序号参数有效性并生成期望结果;
B5、用户终端向引导服务功能实体发送消息,其中携带私有用户标识和期望结果;
B6、引导服务功能实体检查期望结果的有效性并生成根密钥;
B7、引导服务功能实体向用户终端发送通用鉴权架构成功响应消息,其中携带引导事务标识和根密钥有效期;
B8、用户终端保存引导事务标识和根密钥有效期,生成并保存根密钥和共享密钥。
11.根据权利要求5所述的身份标识网页业务网***鉴权方法,其特征在于,包括:
C1、用户终端根据单点认证业务模块的地址向单点认证业务实体或单点认证业务模块发送应用请求消息;
C2、单点认证业务模块根据收到的应用请求消息内容进行鉴权处理,鉴权成功后向用户终端发送成功响应消息,其中包含鉴权申明,鉴权申明中包含单点认证业务模块的数字签名;
C3、用户终端向业务提供商实体发送应用请求消息,其中包含鉴权申明;
C4、业务提供商实体处理鉴权申明,验证单点认证业务实体或单点认证业务模块的数字签名,完成对用户终端的鉴权后,向用户终端发送响应消息。
12.根据权利要求6所述的身份标识网页业务网***鉴权方法,其特征在于,包括:
D1、用户终端根据单点认证业务模块的地址向单点认证业务模块发送应用请求消息;
D2、单点认证业务模块根据收到的应用请求消息内容进行鉴权处理,生成鉴权申明和相应的鉴权申明链接,保存鉴权申明、鉴权申明和相应的鉴权申明链接的对应关系,鉴权成功后向用户终端发送成功响应消息,其中包含鉴权申明链接。
D3、用户终端向业务提供商实体发送应用请求消息,其中包含鉴权申明链接;
D4、业务提供商实体向单点认证业务模块发送应用请求消息,其中包含鉴权申明链接;
D5、单点认证业务模块根据鉴权申明链接找到对应的鉴权申明,向业务提供商实体发送响应消息,其中包含鉴权申明,鉴权申明中有单点认证业务实体或单点认证业务模块的数字签名;
D6、业务提供商实体处理鉴权申明,验证单点认证业务模块的数字签名,完成对用户终端的鉴权后,向用户终端发送响应消息。
13.根据权利要求7、8、9、11、12任一所述的身份标识网页业务网***鉴权方法,其特征在于:简单鉴权和安全层协议请求头域,以及简单鉴权和安全层协议响应头域由简单对象访问协议封装。
14.根据权利要求5所述的身份标识网页业务网***鉴权方法,其特征在于:当业务提供商实体收到用户终端或者单点认证业务模块发送的退出链接请求消息时,或者当业务提供商实体和用户终端之间的会话正常终止时,或者当业务提供商实体收到的鉴权申明中的重新认证期限头域对应的时间过期时,或者当业务提供商实体收到的鉴权申明中的期限头域对应的时间过期时,业务提供商实体在随后与用户终端的通信过程中要求用户终端重新鉴权。
15.根据权利要求6所述的身份标识网页业务网***鉴权方法,其特征在于:当业务提供商实体收到用户终端或者单点认证业务模块发送的退出链接请求消息时,或者当业务提供商实体和用户终端之间的会话正常终止时,或者当业务提供商实体收到的鉴权申明中的重新认证期限头域对应的时间过期时,或者当业务提供商实体收到的鉴权申明中的期限头域对应的时间过期时,业务提供商实体在随后与用户终端的通信过程中要求用户终端重新鉴权。
16.根据权利要求15或14所述的身份标识网页业务网***鉴权方法,其特征在于:在鉴权服务模块上配置如下的本地安全策略:在对用户终端重新鉴权时,若双方的共享密钥没有过期,则只对用户终端进行身份标识网页业务网络架构鉴权。
17.根据权利要求15或14所述的身份标识网页业务网***鉴权方法,其特征在于:在鉴权服务模块上配置如下的本地安全策略:在对用户终端重新鉴权时,若双方的共享密钥没有过期,对用户终端进行通用鉴权架构鉴权和身份标识网页业务网络架构鉴权。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610034493A CN101039311B (zh) | 2006-03-16 | 2006-03-16 | 一种身份标识网页业务网***及其鉴权方法 |
| PCT/CN2007/000762 WO2007104245A1 (fr) | 2006-03-16 | 2007-03-09 | Système de cadre de référence pour développement des services web et son procédé d'authentification |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200610034493A CN101039311B (zh) | 2006-03-16 | 2006-03-16 | 一种身份标识网页业务网***及其鉴权方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101039311A CN101039311A (zh) | 2007-09-19 |
| CN101039311B true CN101039311B (zh) | 2010-05-12 |
Family
ID=38509049
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200610034493A Expired - Fee Related CN101039311B (zh) | 2006-03-16 | 2006-03-16 | 一种身份标识网页业务网***及其鉴权方法 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN101039311B (zh) |
| WO (1) | WO2007104245A1 (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101822082B (zh) * | 2007-10-05 | 2013-06-12 | 交互数字技术公司 | 用于uicc和终端之间安全信道化的技术 |
| US8813171B2 (en) * | 2009-05-01 | 2014-08-19 | Nokia Corporation | Systems, methods, and apparatuses for facilitating authorization of a roaming mobile terminal |
| KR102051492B1 (ko) * | 2011-04-15 | 2020-01-08 | 삼성전자주식회사 | 머신-대-머신 서비스 제공 방법 및 장치 |
| CN102869010A (zh) * | 2011-07-04 | 2013-01-09 | 中兴通讯股份有限公司 | 单点登录方法及*** |
| CN103051594A (zh) * | 2011-10-13 | 2013-04-17 | 中兴通讯股份有限公司 | 一种标识网端到端安全建立的方法、网络侧设备及*** |
| CN105553923A (zh) * | 2014-11-04 | 2016-05-04 | 中兴通讯股份有限公司 | 一种获取用户标识的方法及网络侧设备 |
| US9736165B2 (en) | 2015-05-29 | 2017-08-15 | At&T Intellectual Property I, L.P. | Centralized authentication for granting access to online services |
| EP3414927B1 (en) * | 2016-02-12 | 2020-06-24 | Telefonaktiebolaget LM Ericsson (PUBL) | Securing an interface and a process for establishing a secure communication link |
| EP3253020A1 (en) * | 2016-06-03 | 2017-12-06 | Gemalto Sa | A method and an apparatus for publishing assertions in a distributed database of a mobile telecommunication network |
| CN108353279B (zh) * | 2016-07-14 | 2020-08-14 | 华为技术有限公司 | 一种认证方法和认证*** |
| CN110399713B (zh) * | 2018-07-27 | 2024-06-25 | 腾讯科技(北京)有限公司 | 一种信息认证的方法及相关装置 |
| CN111404933B (zh) * | 2020-03-16 | 2022-04-15 | 维沃移动通信有限公司 | 鉴权方法、电子设备及鉴权服务器 |
| CN113840280A (zh) * | 2020-06-04 | 2021-12-24 | 中国电信股份有限公司 | 通话加密方法、***、引导服务器、终端和电子设备 |
| CN111756733A (zh) * | 2020-06-23 | 2020-10-09 | 恒生电子股份有限公司 | 一种身份认证方法和相关装置 |
| CN114338618A (zh) * | 2020-10-10 | 2022-04-12 | 中国电信股份有限公司 | 多方通话的方法、***、会议服务器以及电子设备 |
| CN113518349A (zh) * | 2020-10-23 | 2021-10-19 | ***通信有限公司研究院 | 业务管理方法、装置、***及存储介质 |
| CN112311543B (zh) * | 2020-11-17 | 2023-04-18 | 中国联合网络通信集团有限公司 | Gba的密钥生成方法、终端和naf网元 |
| CN113596830B (zh) * | 2021-07-27 | 2023-03-24 | 中国联合网络通信集团有限公司 | 通信方法、装置、电子设备、存储介质及程序产品 |
| CN114422258A (zh) * | 2022-01-25 | 2022-04-29 | 百安居信息技术(上海)有限公司 | 一种基于多认证协议的单点登录方法、介质及电子设备 |
| CN116055153B (zh) * | 2023-01-04 | 2024-07-23 | 浙江网商银行股份有限公司 | 一种防止越权访问的方法、装置和设备 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040117493A1 (en) * | 2002-11-28 | 2004-06-17 | International Business Machines Corporation | Method and system for accessing internet resources through a proxy using the form-based authentication |
| CN1614903A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| CN1642079A (zh) * | 2004-01-16 | 2005-07-20 | 华为技术有限公司 | 一种网络应用实体获取用户身份标识信息的方法 |
| US20060021004A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for externalized HTTP authentication |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6286104B1 (en) * | 1999-08-04 | 2001-09-04 | Oracle Corporation | Authentication and authorization in a multi-tier relational database management system |
-
2006
- 2006-03-16 CN CN200610034493A patent/CN101039311B/zh not_active Expired - Fee Related
-
2007
- 2007-03-09 WO PCT/CN2007/000762 patent/WO2007104245A1/zh active Application Filing
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040117493A1 (en) * | 2002-11-28 | 2004-06-17 | International Business Machines Corporation | Method and system for accessing internet resources through a proxy using the form-based authentication |
| CN1614903A (zh) * | 2003-11-07 | 2005-05-11 | 华为技术有限公司 | 一种验证用户合法性的方法 |
| CN1642079A (zh) * | 2004-01-16 | 2005-07-20 | 华为技术有限公司 | 一种网络应用实体获取用户身份标识信息的方法 |
| US20060021004A1 (en) * | 2004-07-21 | 2006-01-26 | International Business Machines Corporation | Method and system for externalized HTTP authentication |
Also Published As
| Publication number | Publication date |
|---|---|
| CN101039311A (zh) | 2007-09-19 |
| WO2007104245A1 (fr) | 2007-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101039311B (zh) | 一种身份标识网页业务网***及其鉴权方法 | |
| CN101022651B (zh) | 一种组合鉴权架构及其实现方法 | |
| US8543814B2 (en) | Method and apparatus for using generic authentication architecture procedures in personal computers | |
| US10411884B2 (en) | Secure bootstrapping architecture method based on password-based digest authentication | |
| EP2255507B1 (en) | A system and method for securely issuing subscription credentials to communication devices | |
| JP5579872B2 (ja) | 安全な複数uim認証および鍵交換 | |
| US11895487B2 (en) | Method for determining a key for securing communication between a user apparatus and an application server | |
| KR20050064119A (ko) | 인터넷접속을 위한 확장인증프로토콜 인증시 단말에서의서버인증서 유효성 검증 방법 | |
| MX2008012363A (es) | Certificacion de una aplicacion. | |
| EP2572527A1 (en) | Generic bootstrapping architecture usage with web applications and web pages | |
| CN109121135A (zh) | 基于gba的客户端注册和密钥共享方法、装置及*** | |
| WO2012058896A1 (zh) | 单点登录方法及*** | |
| WO2013044766A1 (zh) | 无卡终端的业务访问方法及设备 | |
| WO2013023475A1 (zh) | 共享网络中用户数据的方法和身份提供服务器 | |
| CN103067345A (zh) | 一种变异gba的引导方法及*** | |
| CN102694779B (zh) | 组合认证***及认证方法 | |
| CN114158046B (zh) | 一键登录业务的实现方法和装置 | |
| EP2274927A1 (en) | Service reporting | |
| WO2013127342A2 (zh) | 一种ims单点登录组合鉴权方法和*** | |
| US10148443B2 (en) | Authentication infrastructure for IP phones of a proprietary TOIP system by an open EAP-TLS system | |
| CN103428694A (zh) | 一种分离终端单点登录组合鉴权方法和*** | |
| TWI755951B (zh) | 通訊系統及通訊方法 | |
| CN1953371A (zh) | 一种对自由使能的客户端或者代理进行鉴权的方法 | |
| WO2011017851A1 (zh) | 客户端安全访问消息存储服务器的方法和相关设备 | |
| CN103095649A (zh) | 一种ims单点登录的组合鉴权方法及*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100512 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |