发明内容
本发明提供了一种共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备,以解决现有的业务提供服务器无法安全地共享电信运营商的用户数据的问题。
本发明提供了一种共享网络中用户数据的方法,该方法包括:
所述网络包括身份提供服务器和资源服务器(RS),该方法包括:
业务提供服务器接收用户设备(UE)的访问;
所述业务提供服务器从所述RS直接或间接地获取用户授权的用户共享数据。
优选地,所述业务提供服务器接收UE的访问之前,所述方法还包括:
所述业务提供服务器直接或间接地完成对所述UE的业务接入认证。
优选地,所述业务提供服务器直接地完成对UE的业务接入认证包括:
所述业务提供服务器从所述身份提供服务器获得用户安全参数,根据所述用户安全参数完成对所述UE的业务接入认证。
优选地,所述业务提供服务器间接地完成对UE的业务接入认证包括:
所述业务提供服务器从所述身份提供服务器获得所述身份提供服务器对所述UE的业务接入认证结果。
优选地,所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获得的。
优选地,所述业务接入认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结果完成的。
优选地,所述业务提供服务器从所述RS直接地获取用户授权的用户共享数据包括:
所述业务提供服务器从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接地获取用户授权的用户共享数据。
优选地,所述业务提供服务器从所述RS间接地获取用户授权的用户共享数据包括:
所述业务提供服务器通过所述身份提供服务器获取用户授权的用户共享数据。
本发明还提供了一种业务提供服务器,该业务提供服务器包括:
接收模块,用于接收用户设备(UE)的访问;
获取模块,用于从资源服务器(RS)直接或间接地获取用户授权的用户共享数据。
优选地,所述业务提供服务器还包括:
业务接入认证模块,用于在所述接收模块接收UE的访问之前,直接或间接地完成对所述UE的业务接入认证。
优选地,所述业务接入认证模块,是用于从身份提供服务器获得用户安全参数,根据所述用户安全参数完成对所述UE的业务接入认证;或者,从所述身份提供服务器获得所述身份提供服务器对所述UE的业务认证结果。
优选地,所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获得的;或者
所述业务认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结果完成的。
优选地,所述获取模块,是用于从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接地获取用户授权的用户共享数据;或者通过所述身份提供服务器获取用户授权的用户共享数据。
本发明还提供了一种身份提供服务器,该身份提供服务器包括:
网络接入认证模块,用于对用户设备(UE)接入网络进行认证,并获得用户安全参数;
业务接入认证模块,用于根据所述网络接入认证模块获得的用户安全参数完成对所述UE的业务接入认证,并将业务接入认证结果发送给业务提供服务器。
优选地,所述身份提供服务器还包括:
发送模块,用于将所述网络接入认证模块获得的用户安全参数发送给所述业务提供服务器。
优选地,所述用户安全参数包括会话密钥。
优选地,所述身份提供服务器还包括:
数据发送模块,用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的数据请求,根据所述数据请求从资源服务器(RS)获得用户授权的用户共享数据,并将所述用户共享数据发送给所述业务提供服务器。
优选地,所述数据发送模块,还用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的令牌请求,根据所述令牌请求向所述业务提供服务器发送令牌,以便所述业务提供服务器根据所述令牌从所述RS中获得用户授权的用户共享数据。
本发明还提供了一种用户设备(UE),该UE包括:
访问模块,用于访问业务提供服务器;
数据处理模块,用于接收身份提供服务器根据所述业务提供服务器发送的数据请求发送的用户数据授权请求,根据用户对该用户数据授权请求中携带的用户数据的授权结果,向所述身份提供服务器返回用户授权的用户共享数据。
优选地,所述访问模块,是用于所述UE采用标识成功接入网络并获得所述业务提供服务器的业务接入认证后,访问所述业务提供服务器。
上述共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备,使得业务提供服务器安全地共享电信运营商的用户数据。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
如图1所示,为本发明共享网络中用户数据的场景示意图,在该实施例中,社交网络安全地共享用户在网络中的数据,如联系人列表,该共享过程包括:
步骤10、用户100接入到网络102,通过了网络102的认证;
步骤12、用户100访问社交网站104;
步骤14、社交网站104没有用户100的身份信息,社交网站104根据配置信息找到网络102或利用动态发现协议找到网络102;
步骤16、网络102联系用户100,由用户100授权是否共享用户数据,如联系人列表;
步骤18、用户100授权共享的用户数据后,由网络102继续后面的处理;
步骤20、网络102向社交网络104返回用户100共享的信息,如联系人列表;
步骤22、用户106通过网络102访问社交网站104时,使用用户100共享的用户数据,如联系人列表。
如图2所示,为本发明共享网络中用户数据实施例一的架构示意图,网络通过接入服务节点(ASN,Access Serving Node)完成数据包的路由;用户设备(UE)200用ID来标识。在网络中,由身份提供服务器对用户设备200进行认证,支持从资源服务器(Resource Server,RS)206直接获取用户共享的数据,或通过身份提供服务器204获取用户共享的数据。所述的网络包括但不限于移动通信网络,标识网。所述UE 200与业务提供服务器208之间的认证是基于用户接入认证的结果。该架构中,网络不会把用户的安全凭证传递到业务提供服务器208,从而业务提供服务器208不能直接对用户设备200进行认证,需要通过UE 200和身份提供服务器204之间的接口完成对用户认证。
用户设备200指用户节点,如手机、个人电脑等;用户设备预先配置或从网络获取标识ID;用户设备拥有安全凭证,与网络预共享根密钥,或者设置数字证书。在移动通信网络中,用户设备的ID可以用国际移动用户识别码(IMSI)或移动用户综合业务数字网(MSISDN)来标识;在标识网中,用户设备的ID是接入标识符(Access Identifier,AID)。用户设备的能力包括但不限于:支持超文本传输协议(HTTP)摘要(Digest)认证协议;支持会话初始协议(SIP)Digest认证协议;支持扩展认证协议(ExtensibleAuthentication Protocol,EAP)和EAP认证方法;能够推导出新的密钥材料。
接入服务节点202位于网络的边界处,用于为用户设备200提供接入服务、维护终端与网络的连接,实现数据报文的路由和转发等功能,与身份提供服务器204配合完成对UE 200的接入认证。在移动通信网络中,接入服务节点是GPRS服务支持节点(Serving GPRS SUPPORT NODE,SGSN)和/或网关GPRS支持节点(Gateway GPRS Support Node,GGSN),在标识网中,接入服务节点是ASN。
身份提供服务器204在网络中是以用户身份ID为核心,负责创建、维护、管理用户的身份信息,提供用户身份验证服务。身份提供服务器204的能力包括但不限于:提供网络接入认证服务;提供业务接入认证服务;支持EAP的功能;能够从RS获取用户信息;具体实现时可以对认证中心的功能增强实现身份管理的功能,如支持Web功能、HTTP(Hypertext TransferProtocol,超文本传输协议)、HTTP摘要认证协议、安全断言标记语言(SecurityAssertion Markup Language,SAML)。
资源服务器(RS)206存储用户的安全信息,提供用户的属性数据和其他数据,如联系人列表、头像、照片、视频等。
业务提供服务器208向用户节点200提供业务,可以是Web类业务,如门户网站、电子商城,这类业务通常采用超文本传输标记语言(HTML)/HTTP;也可以是非Web类业务,如电子邮件,即时通信,这类业务通常基于传输层的协议,如传输控制协议(Transmission Control Protocol,TCP)。
下面对图2中各接口进行介绍:
接口A:位于UE 200和ASN 202之间,提供UE 200和ASN 202的双向认证,支持但不限于EAP协议;
接口B:位于ASN 202和身份提供服务器204之间,从身份提供服务器204传输主会话密钥到ASN 202;支持但不限于通过鉴别授权计费(AAA)协议传递EAP载荷;
接口C:位于身份提供服务器204和RS 206之间,身份提供服务器204通过C 214接口获取用户的安全信息以及其他用户数据。该接口的协议包括但不限于:支持Diameter协议。
接口D:位于UE 200和身份提供服务器204之间,支持用户的单点登录服务,支持安全共享数据。该接口的协议包括但不限于:支持HTTP Digest协议;支持SIP Digest协议;支持SAML协议。
接口E:位于UE 200和业务提供服务器208之间,UE 200通过该接口访问业务提供服务器208提供的业务,该接口的协议包括但不限于:支持HTTP协议;支持传输层协议,如TCP;支持SAML协议;支持Diameter协议;支持HTTPS协议。
接口F:位于身份提供服务器204和业务提供服务器208之间,提供单点登录服务,支持安全共享数据。该接口的协议包括但不限于:支持HTTP协议,支持AAA协议。
接口G:位于业务提供服务器208和RS 206之间,业务提供服务器208通过该接口获取用户相关数据。该接口的协议包括但不限于:支持Diameter协议。
如图3所示,为本发明共享网络中用户数据实施例二的架构示意图,该架构图与图2所示架构图的区别在于,本实施例中的架构图中,UE和身份提供服务器之间没有接口;但网络可以把用户安全信息(如标识,主会话密钥,密钥生命周期等)传递到业务提供服务器208,从而业务提供服务器208能直接对用户设备200进行认证。其中,所述UE 200与业务提供服务器208之间的认证所使用的用户安全信息是基于用户的网络接入认证的结果。
如图4所示,为本发明共享网络中用户数据实施例一的信令流程图,该流程图是基于图2所示架构完成的,在该实施例中,由身份提供服务器204对UE 200进行认证,业务提供服务器208从身份提供服务器204获取令牌,从RS 206直接获取用户共享的数据,身份提供服务器204和RS 206已经预先配置了用户数据共享的模板,具体共享哪些数据由用户来授权。
该流程进行的前提条件是UE 200和ASN202之间的链路已经建立,UE200已预先配置了用户的身份标识ID;该共享网络中用户数据过程包括:
步骤220、ASN 202发送身份请求至UE 200;
步骤222、UE 200发送响应至ASN 202,在响应中携带用户的身份ID;
步骤224、ASN 202发送所述响应报文至身份提供服务器204,所述报文携带用户身份ID;
步骤226、身份提供服务器204发送携带ID的报文至RS 206请求密钥材料;
步骤228、RS 206向身份提供服务器204返回密钥材料;
步骤230、UE 200和身份提供服务器204协商安全参数,包括双方支持的安全协议和会话密钥;
上述步骤220-230为网络对UE的接入认证过程;
步骤232、UE 200访问业务提供服务器208的业务,业务提供服务器208通过静态配置或动态发现身份提供服务器204的位置;
步骤234、业务提供服务器208发送重定向消息至UE 200,UE 200根据重定向消息头中身份提供服务器的地址把该消息发送至身份提供服务器204;
步骤236、身份提供服务器204向UE 200发送未授权消息;
步骤238、UE200向身份提供服务器204发送摘要认证消息,用ID作为用户名,会话密钥作为密码;
步骤240、身份提供服务器204收到摘要认证消息后验证用户的身份;
步骤242、身份提供服务器204向RS 206请求用户数据列表,该请求中携带用户的身份;
步骤244、RS 206向身份提供服务器204返回用户列表;
步骤246、身份提供服务器204通过向UE200发送用户数据的列表,请求用户授权;
步骤248、UE 200向身份提供服务器204返回用户授权结果;
步骤250、身份提供服务器204发送重定向消息至UE 200,UE 200根据消息头中的地址联系业务提供服务器208,所述消息包括索引和授权码;
步骤252、业务提供服务器208向身份提供服务器204请求访问令牌,所述请求中包含索引和授权码;
步骤254、身份提供服务器204向业务提供服务器208返回访问令牌,该令牌包含密钥、密钥生命周期等信息;
步骤256、业务提供服务器208从RS206中批量获取共享用户数据,RS206对这些数据进行安全保护,如机密性保护、完整性保护;业务提供服务器208收到这些用户数据后,用访问令牌读取这些受保护的数据;
步骤258、业务提供服务器208返回结果消息至UE 200。
下面以EAP、AAA、HTTP和SAML协议为例,对图4所示的安全共享网络中用户数据流程以应用示例的形式进行描述:
步骤220a、ASN 202发送EAP-Identity身份请求至UE 200;
步骤222a、UE 200发送EAP-Identity响应至ASN 202,在响应中携带用户的身份ID,其中EAP-Identity响应中Type-Data设置为ID;
步骤224a、ASN 202通过AAA协议发送EAP载荷(EAP-Payload)至身份提供服务器204。对于Diameter协议,采用Diameter-EAP-Request消息的EAP-Payload AVP(Attribute-Value Pair,属性-值对)来封装EAP-Identity载荷;对于远程用户拨号认证服务(RADIUS)协议,采用RADIUSAccess-Request消息的EAP-Message属性来封装EAP-Identity载荷;
步骤226a、身份提供服务器204通过Diameter协议发送ID至RS 206获取密钥材料,具体可采用多媒体授权请求(Multimedia-Auth-Request,MAR)携带ID;
步骤228a、RS 206通过Diameter协议向身份提供服务器204返回密钥材料,具体可采用多媒体授权应答(Multimedia-Auth-Answer,MAA)消息携带密钥材料,其中ID映射为用户名(User-Name)属性;
步骤230a、UE 200和身份提供服务器204协商安全参数:(1)协商EAP方法(Method),如EAP-认证和密钥协商(AKA),EAK-安全传输层协议(TLS)等,对于Diameter协议,采用Diameter-EAP-Request消息的EAP-Payload AVP(Attribute-Value Pair,属性-值对)来封装EAP-AKA,EAP-TLS等载荷;对于RADIUS协议,采用RADIUS Access-Challenge和Access-Accept封装EAP-AKA,EAP-TLS等载荷。(2)UE 200和身份提供服务器204协商MSK(Master Session Key,主会话密钥),对于Diameter协议,采用Diameter-EAP-Request消息的EAP-Master-Session-Key AVP来携带密钥材料;对于RADIUS协议,通过RADIUS Accept消息中VSA(Vendor业务提供服务器ecific Attribute,特定供应商属性)来携带MSK;
步骤232a、UE 200发送HTTP请求至业务提供服务器208,在业务提供服务器208上选择通过身份提供服务器204登录。在HTTP请求的头字段中带有身份提供服务器的URL(Uniform Resource Locator,统一资源定位符)地址,业务提供服务器208通过静态配置或动态发现身份提供服务器204的URL地址,所述请求消息中携带<lib:AuthnRequest>;
步骤234a、业务提供服务器208发送HTTP重定向消息至UE 200,UE200根据HTTP重定向消息头中身份提供服务器的URL地址把该消息发送至身份提供服务器204;
步骤236a、身份提供服务器204向UE 200发送HTTP 401未授权(Unauthorized)消息;
步骤238a、UE200向身份提供服务器204发送HTTP请求消息,用ID作为用户名,MSK作为密码,进行HTTP Digest认证;
步骤240a、身份提供服务器204收到HTTP摘要认证消息后,根据ID检查本地的ID/MSK,进行同样的HTTP Digest认证算法,计算的结果一致时,则验证通过;
步骤242a、身份提供服务器204通过Diameter协议发送ID至RS 206请求用户数据列表,采用Push-Profile-Request消息User Data属性来携带用户数据的列表,其中ID映射为User-Name属性;
步骤244a、RS 206通过Diameter协议向身份提供服务器204返回用户数据列表,采用Push-Profile-Answer消息User Data属性来携带用户数据的列表,其中ID映射为User-Name属性;
步骤246a、身份提供服务器204通过HTTPS发送用户数据的列表至UE200请求用户授权;
步骤248a、用户授权后由UE 200把用户授权数据列表返回至身份提供服务器204;
步骤250a、身份提供服务器204生成SAML Artifact(工件)和授权码,通过HTTPS把消息重定向至UE 200,UE 200根据消息头中的URL联系业务提供服务器208,其中SAML Artifact指向SAML协议消息的结构化数据对象,SAML Artifact比较小,可以嵌在HTTP消息中;
步骤252a、业务提供服务器208通过HTTPS发送HTTP GET请求至从身份提供服务器204,该消息中包含SAML Artifact和授权码;
步骤254a、身份提供服务器204通过HTTPS响应消息向业务提供服务器208返回访问令牌,该令牌包含密钥、密钥生命周期等信息;
步骤256a、业务提供服务器208通过Diameter协议从RS 206中批量获取共享用户数据,采用Diameter推送签约请求(Push-Profile-Request)/应答(Answer)消息User Data属性来批量获取用户共享的数据。RS 206对这些数据进行安全保护,如机密性保护、完整性保护;业务提供服务器208收到这些用户数据后,用访问令牌读取这些受保护的数据;
步骤258a、业务提供服务器返回HTTP 200OK消息至UE 200。
上述流程适用于ADSL、WLAN和以太网等支持EAP认证的接入。对于3G接入过程来说,采用AKA认证过程,认证过程结束后设置MSK=CK||IK。
身份位置分离网络支持与现有的终端和接入技术兼容,即不改变终端和接入网。在这种情况下,UE 200按照现有的方式接入网络,通过接入认证后,网络给用户设备分配接入标识ID,此时用户设备和网络共享会话密钥。后续的处理流程完全一致。
如图5所示,为本发明共享网络中用户数据实施例二的信令流程图,该实施例也是基于图2所示架构完成的,在该实施例中,由身份提供服务器204对UE 200进行认证,业务提供服务器208通过身份提供服务器204获取用户共享的数据,具体共享哪些数据由用户来授权,用户的真实身份信息可以不向业务提供服务器透露。
该流程进行的前提条件是UE 200和ASN 202之间的链路已经建立,UE200已预先配置了用户的身份标识ID或者由网络给用户分配ID;该共享网络中用户数据过程包括:
步骤302、UE 200通过了网络的接入认证,认证结束后UE 200与身份提供服务器204共享会话密钥;
步骤302具体可以包括图4中的步骤220-步骤230,此处不再赘述;
步骤304、UE 200访问业务提供服务器208的业务,业务提供服务器208通过静态配置或动态发现身份提供服务器204的位置;
步骤306、业务提供服务器208发送重定向消息至UE 200,UE 200根据重定向消息头中身份提供服务器的地址把该消息发送至身份提供服务器204;
步骤308、身份提供服务器204向UE 200发送未授权消息;
步骤310、UE200向身份提供服务器204发送摘要认证消息,用ID作为用户名,会话密钥作为密码;
步骤312、身份提供服务器204收到摘要认证消息后验证用户的身份;
步骤314、身份提供服务器204向业务提供服务器208发送重定向消息,所述消息包括索引;
步骤316、业务提供服务器208向身份提供服务器204发送请求以认证用户的身份,消息中包括索引;
步骤318、身份提供服务器204向业务提供服务器208返回认证结果;
步骤320、业务提供服务器208向身份提供服务器204请求用户共享数据,所述消息包括索引;
步骤322、身份提供服务器204向RS 208请求用户数据,所述请求包括用户ID;
步骤324、RS 206向身份提供服务器返回用户数据;
步骤326、身份提供服务器204发送请求至UE 200,请求用户授权数据;
步骤328、UE 200向身份提供服务器204返回用户授权的数据;
步骤330、身份提供服务器204向业务提供服务器208返回用户授权的数据;
步骤332、业务提供服务器208返回结果消息至UE 200。
下面以HTTP和SAML协议为例,对图5所示的安全共享网络中用户数据流程以应用示例的形式进行描述:
步骤302a、UE 200通过了网络的接入认证,认证结束后UE 200与身份提供服务器204共享会话密钥MSK;
步骤304a、UE 200发送HTTP请求至业务提供服务器208,在业务提供服务器208上选择通过身份提供服务器204登录。在HTTP请求的头字段中带有身份提供服务器的URL(Uniform Resource Locator,统一资源定位符)地址,业务提供服务器208通过静态配置或动态发现身份提供服务器204的URL地址,携带<lib:AuthnRequest>;
步骤306a、业务提供服务器208发送HTTP重定向消息至UE 200,UE200根据HTTP重定向消息头中身份提供服务器的URL地址把该消息发送至身份提供服务器204;
步骤308a、身份提供服务器204向UE 200发送HTTP 401 Unauthorized消息;
步骤310a、UE 200向身份提供服务器204发送HTTP请求消息,用ID作为用户名,MSK作为密码,进行HTTP Digest认证;
步骤312a、身份提供服务器204收到HTTP摘要认证消息后,根据ID检查本地的ID/MSK,进行同样的HTTP Digest认证算法,计算的结果一致时,则验证通过;
步骤314a、身份提供服务器204生成SAML Artifact,向业务提供服务器208发送HTTPS重定向消息,消息中携带SAML Artifact,其中SAMLArtifact指向SAML协议消息的结构化数据对象,SAML Artifact比较小,可以嵌在HTTP消息中;
步骤316a、业务提供服务器208收到SAML Artifact后,向身份提供服务器204发送HTTPS请求,消息中携带SAML Artifact;身份提供服务器204收到该消息后,构造SAML断言;
步骤318a、身份提供服务器204把SAML断言通过HTTPS返回给业务提供服务器208;
步骤320a、业务提供服务器208验证SAML断言的签名后,发送HTTPS请求至身份提供服务器204,请求共享用户数据,消息中携带SAML Artifact;
步骤322a、身份提供服务器204根据SAML Artifact,获取ID,通过Diameter Push-Profile-Request向RS206请求用户共享数据;
步骤324a、RS206向身份提供服务器204返回用户共享数据,通过Diameter Push-Profile-Answer消息User Data属性来携带用户数据;
步骤326a、身份提供服务器204发送HTTPS请求至UE 200,请求用户授权共享的数据;
步骤328a、用户授权共享的用户数据后,结果返回身份提供服务器204;
步骤330a、用户授权后,由身份提供服务器204向业务提供服务器208返回用户授权的数据;
步骤332a、业务提供服务器208返回HTTP 200OK消息至UE 200。
如图6所示,为本发明安全共享网络中用户数据实施例三的信令流程图,该流程图是基于图3所示架构完成的,在该实施例中,由身份提供服务器204对UE 200进行接入认证,业务提供服务器208验证用户身份,然后进行安全共享网络中用户数据过程。
该流程进行的前提条件是UE 200和ASN 202之间的链路已经建立,UE200已预先配置了用户的身份标识ID或者由网络给用户分配ID;该过程包括:
步骤402、UE 200通过了网络的接入认证,认证结束后UE 200与身份提供服务器204共享会话密钥;
步骤404、UE 200访问业务提供服务器208的业务,业务提供服务器208通过静态配置或动态发现身份提供服务器204的位置;
步骤406、业务提供服务器208向UE 200发送未授权消息;
步骤408、UE200向业务提供服务器208发送摘要认证消息,用ID作为用户名,会话密钥作为密码;
步骤410、业务提供服务器208向身份提供服务器204请求用户的安全参数;
步骤412、身份提供服务器204向业务提供服务器208返回用户的安全参数;
步骤414、业务提供服务器208验证用户的身份,所述验证过程根据收到的摘要认证消息和用户的安全参数;
步骤416、业务提供服务器208,RS 206,身份提供服务器204和UE 200进行安全共享网络中用户数据过程。
其中,安全共享数据的过程可以和图4中的步骤252-258相同,也可以和图5中的步骤320-332相同,此处不再赘述。
本发明还提供了一种业务提供服务器,该业务提供服务器包括:
接收模块,用于接收用户设备(UE)的访问;
获取模块,用于从资源服务器(RS)直接或间接地获取用户授权的用户共享数据。
另外,所述业务提供服务器还可以包括:业务接入认证模块,用于在所述接收模块接收UE的访问之前,直接或间接地完成对所述UE的业务接入认证。
具体地,所述业务接入认证模块,是用于从身份提供服务器获得用户安全参数,根据所述用户安全参数完成对所述UE的业务接入认证;或者,从所述身份提供服务器获得所述身份提供服务器对所述UE的业务认证结果。其中,所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获得的;所述业务认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结果完成的。
进一步地,所述获取模块,是用于从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接地获取用户授权的用户共享数据;或者通过所述身份提供服务器获取用户授权的用户共享数据。
该业务提供服务器可以共享网络中用户授权的用户共享数据,具体实现过程可参见图4-图6,此处不再赘述。
本发明还提供了一种身份提供服务器,该身份提供服务器包括:
网络接入认证模块,用于对用户设备(UE)接入网络进行认证,并获得用户安全参数;
业务接入认证模块,用于根据所述网络接入认证模块获得的用户安全参数完成对所述UE的业务接入认证,并将业务接入认证结果发送给业务提供服务器。
其中,所述用户安全参数包括会话密钥。
另外,所述身份提供服务器还可以包括:发送模块,用于将所述网络接入认证模块获得的用户安全参数发送给所述业务提供服务器。
进一步地,所述身份提供服务器还可以包括:数据发送模块,用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的数据请求,根据所述数据请求从资源服务器(RS)获得用户授权的用户共享数据,并将所述用户共享数据发送给所述业务提供服务器。所述数据发送模块,还用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的令牌请求,根据所述令牌请求向所述业务提供服务器发送令牌,以便所述业务提供服务器根据所述令牌从所述RS中获得用户授权的用户共享数据。
该身份提供服务器为实现UE访问业务提供服务器奠定了基础,同时,也为业务提供服务器提供用户授权的用户共享数据,或者,为业务提供服务器提供令牌,使得业务提供服务器根据令牌可以获得用户授权的用户共享数据。
本发明还提供了一种用户设备(UE),该UE包括:
访问模块,用于访问业务提供服务器;
数据处理模块,用于接收身份提供服务器根据所述业务提供服务器发送的数据请求发送的用户数据授权请求,根据用户对该用户数据授权请求中携带的用户数据的授权结果,向所述身份提供服务器返回用户授权的用户共享数据。
具体地,所述访问模块,是用于所述UE采用标识成功接入网络并获得所述业务提供服务器的业务接入认证后,访问所述业务提供服务器。
该UE可以在成功地接入网络并获得业务提供服务器的业务接入认证后,访问业务提供服务器,并由自己授权业务提供服务器可以共享网络中的哪些数据,然后业务提供服务器可以共享网络中用户通过UE授权的用户共享数据,具体交互过程可参见图4-图6。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,上述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
以上实施例仅用以说明本发明的技术方案而非限制,仅仅参照较佳实施例对本发明进行了详细说明。本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,均应涵盖在本发明的权利要求范围当中。