CN103078834A - 一种安全连接的方法、***及网元 - Google Patents
一种安全连接的方法、***及网元 Download PDFInfo
- Publication number
- CN103078834A CN103078834A CN2011103298536A CN201110329853A CN103078834A CN 103078834 A CN103078834 A CN 103078834A CN 2011103298536 A CN2011103298536 A CN 2011103298536A CN 201110329853 A CN201110329853 A CN 201110329853A CN 103078834 A CN103078834 A CN 103078834A
- Authority
- CN
- China
- Prior art keywords
- idp
- identity information
- authentication
- identity
- bill
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种安全连接的方法、***及网元。所述方法包括:UE在访问SP提供的业务过程中,与该SP共享第一密钥的具有TGS功能的IdP在接收到该SP发送的重定向消息后,将该UE重定向到AS进行认证,该IdP与AS共享第二密钥,该重定向消息中包含认证请求信息,认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息;该IdP根据从经由UE传递的来自AS的第一票据中的信息判断该UE如果通过AS的认证,则生成第二票据,经该UE传递给SP,由SP根据该第二票据中的内容,完成对该UE的认证。本发明使得运营商可以很好地为用户解决UE和SP之间的安全连接问题,保障端点之间通信的安全。
Description
技术领域
本发明涉及网络通信领域,具体涉及一种安全连接的方法、***及网元。
背景技术
在现有TCP/IP体系中,IP地址具有双重功能,既作为网络层主机的网络接口在网络拓扑中的位置标识,又作为传输层的主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况,但随着移动互联网技术和信息技术的发展,主机移动越来越普遍,这种情况下,IP地址的语义缺陷日益明显。当主机的IP地址发生变化时,不仅路由要发生变化,通信终端主机的身份标识也会发生变化,这样会导致路由负载越来越重,而且主机标识的变化会导致应用和连接的中断。
身份标识和位置分离问题提出的目的是为了解决IP地址的语义过载和路由负载严重等问题,将IP地址的双重功能进行分离,实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。
为了解决上述问题,目前已经提出了一种身份标识和位置分离网络架构。该架构中包含接入服务路由器(ASR,Access Service Router)、用户终端(UE,User Equipment)、身份位置寄存器(ILR,Identification&Location Register)、互连服务路由器(ISR,Interconnect Service Router)等。其中,接入服务路由器负责实现用户终端的接入,并承担计费以及切换等功能;ILR承担用户的位置注册和身份识别的功能,每一个用户终端都存在唯一的身份标识符,即身份标识(AID)。
在身份标识和位置分离网络中,数据报文在传输中需要经过很多中间节点转发,如经过通用路由器或互连服务路由器等。在数据报文未被加密处理的情况下,攻击者很容易就可以获取到这些信息,从而给用户带来极大的危害。但目前身份标识和位置分离网络架构还没有很好的办法。
发明内容
本发明要解决的技术问题是提供一种安全连接的方法、***及网元。
为解决上述技术问题,本发明提供了一种安全连接的方法,包括:
终端(UE)在访问SP提供的业务过程中,与该业务提供服务器(SP)共享第一密钥的具有票据服务器(TGS)功能的身份提供服务器(IdP)在接收到该SP发送的重定向消息后,将该UE重定向到认证服务器(AS)进行认证,该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP,该IdP与AS共享第二密钥,该重定向消息中包含认证请求信息,所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息;
该IdP根据从经由UE传递的来自AS的第一票据中的信息判断该UE是否通过AS的认证,如果通过,则生成第二票据,经该UE传递给SP,由SP根据该第二票据中的内容,完成对该UE的认证。
进一步地,所述SP位于身份位置分离网络内时,所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的接入标识(AID)。
进一步地,所述SP位于身份位置分离网络外时,所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。
进一步地,所述IdP在接收到该SP发送的重定向消息后,所述方法还包括:所述IdP根据UE的身份信息从IP地址池中查询UE的AID,利用所述UE的AID将所述UE重定向到AS进行认证。
进一步地,所述IdP在将UE重定向到AS之前,所述方法还包括:所述IdP先与该UE协商认证能力,确认UE支持Kerberos认证。
进一步地,所述IdP根据从经由UE传递的来自AS的第一票据中的信息判断UE是否通过AS的认证,包括:该IdP从经由UE传递的来自AS的第一票据中获取以下信息:UE认证结果、该UE的身份信息、该AS的身份信息、该IdP的身份信息以及时间戳,验证该UE的身份信息、该AS的身份信息、该IdP的身份信息是否与本地保存的一致,以及时间戳是否在限定范围内,如果验证通过,则确认该UE通过AS的认证,所述UE的身份信息包括UE的AID。
进一步地,所述IdP生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。
进一步地,所述SP位于身份位置分离网络外时,所述IdP将所述UE的AID对应的IP地址和端口号作为该UE的身份信息。
进一步地,所述SP根据该第二票据中的内容,完成对该UE的认证,包括:所述SP用与IdP的共享密钥得到第二票据,从该第二票据中获取UE认证结果、该IdP的身份信息、该UE的身份信息、时间戳,比较该UE的身份信息、该IdP的身份信息、该SP的身份信息是否与本地保存的一致,以及时间戳是否在限定范围内,若都通过,则确认该UE通过所述IdP的认证。
为解决上述技术问题,本发明还提供了一种实现安全连接的***,包括业务提供服务器(SP)、具有票据服务器(TGS)功能的身份提供服务器(IdP),其中:
所述SP,用于在终端(UE)访问本SP提供的业务过程中,向IdP发送重定向消息,该重定向消息中包含认证请求信息,所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息;该SP还用于在接收到所述IdP发送的第二票据后,根据该第二票据中的内容,完成对该UE的认证;
所述具有TGS功能的IdP,用于接收SP发送的重定向消息,将该UE重定向到认证服务器(AS)进行认证,该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP,该IdP与所述SP共享第一密钥,该IdP与所述AS共享第二密钥;该IdP还用于根据从经由UE传递的来自AS的第一票据中的信息判断该UE如果通过AS的认证,则生成第二票据,经该UE传递给SP。
进一步地,所述SP位于身份位置分离网络内,所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的接入标识(AID);或者,所述SP位于身份位置分离网络外,所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。
进一步地,所述SP位于身份位置分离网络外时,所述IdP还用于,在接收到该SP发送的重定向消息后,根据UE的身份信息从IP地址池中查询UE的AID,利用所述UE的AID将所述UE重定向到AS进行认证。
进一步地,所述IdP还用于,在将UE重定向到AS之前,先与该UE协商认证能力,确认UE支持Kerberos认证。
进一步地,所述IdP生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。
进一步地,所述SP位于身份位置分离网络外时,所述IdP将所述UE的AID对应的IP地址和端口号作为该UE的身份信息。
进一步地,所述SP是用于采用以下方式根据该第二票据中的内容完成对该UE的认证:所述SP用与IdP的共享密钥得到第二票据,从该第二票据中获取UE认证结果、该IdP的身份信息、该UE的身份信息、时间戳,比较该UE的身份信息、该IdP的身份信息、该SP的身份信息是否与本地保存的一致,以及时间戳是否在限定范围内,若都通过,则确认该UE通过所述IdP的认证。
为解决上述技术问题,本发明还提供了一种实现安全连接的具有票据服务器(TGS)功能的身份提供服务器(IdP),所述IdP为部署在该UE归属的运营商网络的IdP,包括接收模块、重定向模块、认证模块,其中:
所述接收模块,用于在终端(UE)访问业务提供服务器(SP)提供的业务过程中,接收该SP发送的重定向消息,该重定向消息中包含认证请求信息,所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息;该SP与本IdP共享第一密钥;
所述重定向模块,用于将该UE重定向到认证服务器(AS)进行认证,该AS与本IdP共享第二密钥;
所述认证模块,用于根据从经由UE传递的来自AS的第一票据中的信息判断该UE如果通过AS的认证,则生成第二票据,经该UE传递给SP。
进一步地,所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的接入标识(AID),或者,所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。
进一步地,所述UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号时,所述IdP还包括查询模块,其用于,在接收到该SP发送的重定向消息后,根据UE的身份信息从IP地址池中查询UE的AID;所述重定向模块用于利用所述UE的AID将所述UE重定向到AS进行认证。
进一步地,所述IdP还包括协商模块,其用于在将UE重定向到AS之前,先与该UE协商认证能力,确认UE支持Kerberos认证。
进一步地,所述认证模块生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳,所述UE的身份信息为该UE的AID对应的IP地址和端口号。
通过改进Kerberos(一种网络认证协议,无中文术语)并结合身份管理技术,从而使得运营商可以很好地为用户解决UE和SP之间的安全连接问题,保障端点之间通信的安全。
附图说明
图1为本发明所涉及的网元架构示意图;
图2为本发明实施例一种安全连接的方法流程示意图;
图3为SP在身份位置分离网络内的安全连接方法流程示意图;
图4为SP在身份位置分离网络外的安全连接方法流程示意图;
图5为本发明实施例***结构示意图;
图6为本发明实施例IdP结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中的特征可以相互任意组合。
为了更好的理解本发明,首先介绍一下本发明所涉及的网元架构。图1为本发明所涉及的网元架构示意图。
网元101为用户终端UE(User Equipment),接入网络的终端可以是移动终端、固定终端中的一种或多种,如手机、固定电话、电脑和应用服务器等;
网元102为接入服务路由器ASR(Access Service Router),用于为用户终端提供接入服务、维护终端与网络的连接,为终端分配RID(RoutingIdentifier,路由标识),并到ILR/PTF登记注册和查询终端的RID,维护AID(Access Identifier,接入标识)-RID映射信息,以及实现数据报文的路由和转发;
网元103为认证服务器AS(Authentication Server),支持Kerberos认证类型,用于对用户终端进行改进的Kerberos认证;
网元104为票据服务器TGS(Ticket Granting Server)和身份提供服务器IdP(Identity Provider)的融合,向SP提供对用户终端的认证结果,并检查SP的合法性;
网元105为IP地址池(IP Address Pool),为ISR提供地址转换和地址映射的资源池,该网元可以独立部署,也可以和ISR合并部署;
网元106为业务提供服务器SP(Service Provider),是网络中为用户终端提供业务的应用***。
上述融合了TGS和IdP的网元,以及SP,详见下文中图5和图6的对应说明。
图2为本发明一种安全连接的方法流程示意图,如图2所示,所述方法包括以下步骤:
步骤201:终端在访问SP提供的业务过程中,与该SP共享第一密钥的具有TGS功能的IdP在接收到该SP发送的重定向消息后,将该终端重定向到AS进行认证,该具有TGS功能的IdP为部署在该终端归属的运营商网络的IdP,该IdP与AS共享第二密钥,该重定向消息中包含认证请求信息,其中携带UE的身份信息(以下简称UE身份)、该SP的身份信息(以下简称SP身份)和具有TGS功能的IdP的身份信息(以下简称IdP身份);
优选地,IdP在将终端重定向到AS之前,IdP先与该终端协商认证能力,确认终端优先支持Kerberos认证时,再将终端重定向到AS。
如果SP在身份位置分离网络内,则SP可以与UE直接通信,SP收到的UE发送的业务访问请求中携带的UE身份为AID,则SP向IdP发送的认证请求消息中携带的UE身份也为AID,IdP则直接根据AID与终端进行协商;
如果SP在身份位置分离网络外,则UE发送给SP的业务访问请求需要经过ISR的地址转换,即将UE的AID转换为ISR为其分配的与AID对应的IP地址和端口号(下文中用[IP:port]表示),SP收到的业务访问请求中携带的UE身份为与UE的AID对应的IP地址和端口号,则SP向IdP发送的认证请求消息中携带的UE身份也为与UE的AID对应的IP地址和端口号,IdP则先从IP地址池中查找到该UE的AID,再使用该AID与终端进行协商。
如无特别说明,本文中所述IdP为兼具Kerberos认证中的票据服务器TGS(Ticket Granting Server)功能的IdP。下文中将具有TGS功能的IdP简称为IdP,将具有TGS功能的IdP身份简称为IdP身份。
步骤202:该IdP根据从经由终端传递的来自AS的第一票据中的信息判断终端如果通过AS的认证,则生成第二票据,经终端传递给SP,由SP根据该第二票据中的内容,完成对该终端的认证。
该IdP根据从经由终端传递的来自AS的第一票据中的信息判断终端如果通过AS的认证,具体包括以下步骤:
(a)AS生成会话密钥K0和票据T0(即第一票据),票据中包含认证结果、K0、AS身份、具有TGS功能的IdP身份、终端身份(例如为AID)、时间戳等,并根据接入认证过程中产生的主会话密钥MSK加密会话密钥K0,用和IdP之间的共享密钥加密票据T0;
具体地,IdP通过验证AS身份、具有TGS功能的IdP身份、终端身份、时间戳来确定AS传递过来的内容是否可信,如果可信,则信任AS对UE的认证结果,可以把这个认证结果重用到IdP传递给SP的消息中。
(b)终端通过与AS共享的主会话密钥MSK获取会话密钥K0,生成会话密钥K1,并用K0加密K1,将加密后的K1和票据T0传递给IdP;
(c)IdP用与AS的共享密钥得到票据T0,从票据中获取终端认证结果、IdP身份、UE身份、时间戳和会话密钥K1,比较UE身份(AID)、IdP身份、SP身份是否与本地保存的一致,以及时间戳是否在限定范围内,若都通过,则确认终端通过认证。
IdP生成的第二票据包含认证结果、生成的会话密钥K2、IdP身份、SP身份、终端身份(AID或IP:Port)和时间戳等,并用K0加密K2,IdP与SP之间的共享密钥加密该票据。
第二票据经终端传递给SP的过程中,优选地,终端通过会话密钥K0获取会话密钥K2,并生成随机数nonce,用K2加密nonce,并发送给SP。
SP根据该第二票据中的内容,完成对该终端的认证的过程包括:
SP用与IdP的共享密钥得到第二票据,从该第二票据中获取终端认证结果、IdP身份、UE身份、时间戳和会话密钥K2,比较UE身份(AID或IP:Port)、IdP身份、SP身份是否与本地保存的一致,以及时间戳是否在限定范围内,若都通过,则确认终端通过认证。
SP确认终端通过认证后,用K2或K2进一步派生得到的密钥保护随后的SP和终端之间的通信。
如果UE在将第二票据传递给SP的过程中增加了随机数,则SP使用K2解析得到随机数nonce,并对其进行运算得到cnonce,将该cnonce返回给UE,UE对该cnonce进行验证,以确认该SP即为终端请求的SP。
图3为SP在身份位置分离网络内的一种安全连接的方法流程示意图,如图3所示,所述方法包括以下步骤:
步骤301:终端用户UE和接入服务节点ASR,以及认证中心之间进行接入认证,认证通过后,身份位置分离网络为用户分配接入标识AID;
此后,终端用户发送的报文通过AID进行传输,ASR为终端用户分配RID,并通过RID进行路由选路找到ISR,ISR从报文中获取终端用户的AID,并转换成IPv4或IPv6地址发送到传统IP网络。
步骤302:终端用户UE和认证服务器AS之间根据接入认证产生的密钥材料,派生出主会话密钥MSK,作为UE和AS之间的共享密钥;
步骤303:终端用户UE向业务提供服务器SP发起业务访问请求;
步骤304:终端用户UE在业务提供服务器SP的页面上选择相应的IdP,该IdP为部署在该UE归属的运营商网络的IdP;
步骤305:SP将UE重定向到IdP,重定向消息中包含认证请求消息,该认证请求消息中携带UE身份、SP身份、IdP身份;
由于本实施例中SP在身份位置分离网络内,因此携带的UE身份为UE的AID。SP的身份可以是SP的AID或者是应用层的URL。该具有TGS功能的IdP的身份可以是该IdP的AID或者是URL。
步骤306:IdP接收到认证请求消息后,检查和SP之间是否存在共享密钥Kts,如果不存在,则认证SP,并生成Kts,该Kts为IdP和SP的共享密钥,如果存在,则执行步骤307;
如果IdP和SP之间存在共享密钥,则说明该SP已经通过认证,如果不存在共享密钥,则对该SP进行认证。认证的方法可以采用现有技术如TLS、IPsec或Diffie Hellman等实现。
步骤307:IdP和UE进行认证能力协商;
由于IdP或UE可能支持多种认证方式,如Kerberos、IPsec、TLS、GBA等,通过与UE的认证能力协商判断UE是否支持kerberos认证,如果确认UE不支持Kerberos认证方式,则不会执行以下的步骤,可能认证终止或执行其他协商出来的认证方式进行认证。
步骤308:如果都支持Kerberos,那么IdP将认证请求消息通过UE重定向到AS,消息中携带UE身份AID和认证类型Kerberos;
其中IdP和AS共享密钥Kat。
由于IdP与AS均在身份位置分离网络内,因此可用AID来标识UE身份。
步骤309:AS生成会话密钥K0以及票据T0,用MSK保护K0,Kat保护T0,票据T0中包含会话密钥K0、UE身份(AID)、AS身份、IdP身份、时间戳和认证结果;
由于这里UE通过接入认证,并且存在AS和UE共享的MSK,因此确认UE通过认证。
步骤310:AS向UE发送Kerberos认证响应消息,消息中携带用MSK保护的K0和用Kat保护的T0;
步骤311:UE通过MSK解析该Kerberos认证响应消息,获得会话密钥K0,并生成会话密钥K1,用K0保护会话密钥K1;
步骤312:UE向IdP发送票据请求消息,消息中携带K0保护的K1和Kat保护的T0;
除了携带上述K1和T0外,还可在该消息中携带其他参数。
步骤313:IdP用和AS共享的密钥Kat解析得到票据T0,将消息源的身份AID和票据中的UE身份AID进行比较是否一致,AS身份、IdP身份是否相符,以及时间戳是否在有效时间内,如果都一致且在有效时间内,则信任票据T0是由AS生成,并用票据T0中的会话密钥K0解析得到受保护的K1,生成会话密钥K2以及票据T1,票据T1中包含K2、IdP身份、SP身份、UE身份(AID)、时间戳和认证结果。
步骤314:IdP向UE发送票据响应消息,消息中包含K1保护的K2,Kts保护的T1;
除了携带上述K2和T1外,还可在该消息中携带其他参数。
步骤315:UE通过K1获取会话密钥K2,生成随机数nonce,用K2保护nonce;
步骤316:UE向SP发送认证响应消息,消息中包含K2保护的nonce和Kts保护的T1;
步骤317:SP通过Kts解析获得票据T1,将消息源的身份AID和票据中的UE身份AID进行比较是否一致,SP身份、IdP身份是否相符,以及时间戳是否在有效时间内,如果一致且在有效时间内,则信任票据T1来自IdP,检查认证结果,如果认证通过,则用票据中的会话密钥K2解析得到nonce,计算cnonce=nonce+1;
在其他实施例中,也可采用其他计算方法。
步骤318:SP向UE发送业务访问响应消息,消息中携带K2保护的cnonce;
步骤319:UE解析得到cnonce,比较cnonce和nonce+1是否一致,一致则确认SP就是自己要访问的SP。此后SP和UE通过K2保护两者之间的通信,或者通过K2进一步派生的密钥保护两者之间的通信。
图4为SP在身份位置分离网络外的一种安全连接的方法流程示意图,如图4所示,所述方法包括以下步骤:
步骤401:终端用户UE和接入服务节点ASR,以及认证中心之间进行接入认证,认证通过后,身份位置分离网络为用户分配接入标识AID;
此后,终端用户发送的报文通过AID进行传输,ASR为终端用户分配RID,并通过RID进行路由选路找到ISR,ISR从报文中获取终端用户的AID,并转换成IPv4或IPv6地址发送到传统IP网络。
步骤402:终端用户UE和认证服务器AS之间根据接入认证产生的密钥材料,派生出主会话密钥MSK,作为UE和AS之间的共享密钥;
步骤403:终端用户UE向业务提供服务器SP发起业务访问请求;
步骤404:终端用户UE在业务提供服务器SP的页面上选择相应的身份提供服务器IdP,该IdP为部署在该UE归属的运营商网络的IdP;
步骤405:SP将UE重定向到IdP,重定向消息中包含认证请求消息,该认证请求消息中携带UE身份[IP:Port]、SP身份、IdP身份;
本实施例中SP在身份位置分离网络外,因此传递过程中经过了ISR的转换隐藏了UE的AID。在身份位置分离网络中,ISR位于身份位置分离网络和传统网络的边界,AID只在身份位置分离网络内有效,不传递到身份位置分离网络外,因此在访问身份位置分离网络外的SP时,ISR会将终端的AID转换为对应的IPv4或IPv6地址来访问SP。也就是说,本步骤中UE的身份采用ISR为该UE分配的与该UE的AID对应的IP地址和端口号。SP的身份可以是SP的AID或者是应用层的URL。该具有TGS功能的IdP的身份可以是该IdP的AID或者是URL。
步骤406:IdP接收到认证请求消息后,检查和SP之间是否存在共享密钥Kts,如果不存在,则认证SP,并生成Kts,如果存在,则执行步骤407;
步骤407:IdP根据UE身份[IP:Port]从IP地址池(IP Address Pool)中查询得到UE在身份位置分离网络内的身份AID;
步骤408:IdP和UE进行认证能力协商;
步骤409:如果都支持Kerberos,那么IdP将认证请求消息通过UE重定向到AS,消息中携带UE身份AID和认证类型Kerberos;
其中IdP和AS共享密钥Kat。
步骤410:AS生成会话密钥K0以及票据T0,用MSK保护K0,Kat保护T0,票据T0中包含会话密钥K0、UE身份AID、AS身份、IdP身份、时间戳和认证结果;
由于这里UE通过接入认证,并且存在AS和UE共享的MSK,因此确认UE通过认证。
步骤411:AS向UE发送会话密钥生成消息,消息中携带用MSK保护的K0和用Kat保护的T0;
步骤412:UE通过MSK解析该会话密钥生成消息,获得会话密钥K0,并生成会话密钥K1,用K0保护会话密钥K1;
步骤413:UE向IdP发送票据请求消息,消息中携带K0保护的K1和Kat保护的T0;
步骤414:IdP用和AS共享的密钥Kat解析得到票据T0,将消息源的身份AID和票据中的UE身份AID进行比较是否一致,AS身份、IdP身份是否相符,以及时间戳是否在有效时间内,如果一致且在有效时间内,则信任票据T0是由AS生成,并用票据T0中的会话密钥K0解析得到受保护的K1,生成会话密钥K2以及票据T1,票据T1中包含K2、IdP身份、SP身份、UE身份[IP:Port]、时间戳和认证结果。
由于SP在身份位置分离网络外,因此IdP将UE的AID对应的IP地址和端口号作为UE身份。
步骤415:IdP向UE发送票据响应消息,消息中包含K1保护的K2,Kts保护的T1;
步骤416:UE通过K1获取会话密钥K2,生成随机数nonce,用K2保护nonce;
UE生成nonce是一种优选方式,在一些实施例中,UE也可不生成nonce。
步骤417:UE向SP发送认证响应消息,消息中包含K2保护的nonce和Kts保护的T1,由于该消息经过ISR,因此UE的源地址AID被ISR转换成IP和端口号;
通常在一次会话中,端口是一致的。
步骤418:SP通过Kts解析获得票据T1,将消息源的身份IP:Port和票据中的UE身份IP:Port进行比较是否一致,SP身份、IdP身份是否相符,以及时间戳是否在有效时间内,如果一致且在有效时间内,则信任票据T1来自IdP,检查认证结果,如果认证通过,则用票据中的会话密钥K2解析得到nonce,计算cnonce=nonce+1;
步骤419:SP向UE发送业务访问响应消息,消息中携带K2保护的cnonce;
步骤420:UE解析得到cnonce,比较cnonce和nonce+1是否一致,一致则确认SP就是自己要访问的SP。此后SP和UE通过K2保护两者之间的通信,或者通过K2进一步派生的密钥保护两者之间的通信。
通过将AID转换为IP地址和端口号来标识UE,使位于身份位置分离网络外的SP也能实现对UE的认证,解决了现有网络中Kerberos不能穿越NAT的问题。
实现上述安全连接的方法的安全连接的***,如图5所示,包括SP、具有TGS功能的IdP,其中:
所述SP,用于在UE访问本SP提供的业务过程中,向IdP发送重定向消息,该重定向消息中包含认证请求信息,所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息;该SP还用于在接收到所述IdP发送的第二票据后,根据该第二票据中的内容,完成对该UE的认证;
所述具有TGS功能的IdP,用于接收SP发送的重定向消息,将该UE重定向到AS进行认证,该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP,该IdP与所述SP共享第一密钥,该IdP与所述AS共享第二密钥;该IdP还用于根据从经由UE传递的来自AS的第一票据中的信息判断该UE如果通过AS的认证,则生成第二票据,经该UE传递给SP。
当SP位于身份位置分离网络内,该认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,该业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的AID;当SP位于身份位置分离网络外,该认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,该业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。
当该SP位于身份位置分离网络外时,该IdP还用于,在接收到该SP发送的重定向消息后,根据UE的身份信息从IP地址池中查询UE的AID,利用所述UE的AID将所述UE重定向到AS进行认证。
优选地,该IdP还用于,在将UE重定向到AS之前,先与该UE协商认证能力,确认UE支持Kerberos认证。
优选地,该IdP生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。当SP位于身份位置分离网络外时,IdP将所述UE的AID对应的IP地址和端口号作为该UE的身份信息。
优选地,该SP是用于采用以下方式根据该第二票据中的内容完成对该UE的认证:SP用与IdP的共享密钥得到第二票据,从该第二票据中获取UE认证结果、该IdP的身份信息、该UE的身份信息、时间戳,比较该UE的身份信息、该IdP的身份信息、该SP的身份信息是否与本地保存的一致,以及时间戳是否在限定范围内,若都通过,则确认该UE通过IdP的认证。
具体地,实现安全连接的具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP,如图6所示,包括接收模块、重定向模块、认证模块,其中:
该接收模块,用于在UE访问SP提供的业务过程中,接收该SP发送的重定向消息,该重定向消息中包含认证请求信息,所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息;该SP与本IdP共享第一密钥;
该重定向模块,用于将该UE重定向到AS进行认证,该AS与本IdP共享第二密钥;
该认证模块,用于根据从经由UE传递的来自AS的第一票据中的信息判断该UE如果通过AS的认证,则生成第二票据,经该UE传递给SP。
优选地,该认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的AID,或者,所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。
优选地,该UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号时,所述IdP还包括查询模块,其用于,在接收到该SP发送的重定向消息后,根据UE的身份信息从IP地址池中查询UE的AID;所述重定向模块用于利用所述UE的AID将所述UE重定向到AS进行认证。
优选地,该IdP还包括协商模块,其用于在将UE重定向到AS之前,先与该UE协商认证能力,确认UE支持Kerberos认证。
优选地,该认证模块生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳,所述UE的身份信息为该UE的AID对应的IP地址和端口号。
本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序来指令相关硬件完成,所述程序可以存储于计算机可读存储介质中,如只读存储器、磁盘或光盘等。可选地,上述实施例的全部或部分步骤也可以使用一个或多个集成电路来实现。相应地,上述实施例中的各模块/单元可以采用硬件的形式实现,也可以采用软件功能模块的形式实现。本发明不限制于任何特定形式的硬件和软件的结合。
当然,本发明还可有其他多种实施例,在不背离本发明精神及其实质的情况下,熟悉本领域的技术人员当可根据本发明作出各种相应的改变和变形,但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
Claims (21)
1.一种安全连接的方法,包括:
终端(UE)在访问业务提供服务器(SP)提供的业务过程中,与该SP共享第一密钥的具有票据服务器(TGS)功能的身份提供服务器(IdP)在接收到该SP发送的重定向消息后,将该UE重定向到认证服务器(AS)进行认证,该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP,该IdP与AS共享第二密钥,该重定向消息中包含认证请求信息,所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息;
该IdP根据从经由UE传递的来自AS的第一票据中的信息判断该UE是否通过AS的认证,如果通过,则生成第二票据,经该UE传递给SP,由SP根据该第二票据中的内容,完成对该UE的认证。
2.如权利要求1所述的方法,其特征在于:
所述SP位于身份位置分离网络内时,所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的接入标识(AID)。
3.如权利要求1所述的方法,其特征在于:
所述SP位于身份位置分离网络外时,所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。
4.如权利要求3所述的方法,其特征在于:
所述IdP在接收到该SP发送的重定向消息后,所述方法还包括:
所述IdP根据UE的身份信息从IP地址池中查询UE的AID,利用所述UE的AID将所述UE重定向到AS进行认证。
5.如权利要求1-4中任一权利要求所述的方法,其特征在于:
所述IdP在将UE重定向到AS之前,所述方法还包括:
所述IdP先与该UE协商认证能力,确认UE支持Kerberos认证。
6.如权利要求1-4中任一权利要求所述的方法,其特征在于:
所述IdP根据从经由UE传递的来自AS的第一票据中的信息判断UE是否通过AS的认证,包括:
该IdP从经由UE传递的来自AS的第一票据中获取以下信息:UE认证结果、该UE的身份信息、该AS的身份信息、该IdP的身份信息以及时间戳,验证该UE的身份信息、该AS的身份信息、该IdP的身份信息是否与本地保存的一致,以及时间戳是否在限定范围内,如果验证通过,则确认该UE通过AS的认证,所述UE的身份信息包括UE的AID。
7.如权利要求1-4中任一权利要求所述的方法,其特征在于:
所述IdP生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。
8.如权利要求7所述的方法,其特征在于:
所述SP位于身份位置分离网络外时,所述IdP将所述UE的AID对应的IP地址和端口号作为该UE的身份信息。
9.如权利要求7所述的方法,其特征在于:
所述SP根据该第二票据中的内容,完成对该UE的认证,包括:
所述SP用与IdP的共享密钥得到第二票据,从该第二票据中获取UE认证结果、该IdP的身份信息、该UE的身份信息、时间戳,比较该UE的身份信息、该IdP的身份信息、该SP的身份信息是否与本地保存的一致,以及时间戳是否在限定范围内,若都通过,则确认该UE通过所述IdP的认证。
10.一种实现安全连接的***,包括业务提供服务器(SP)、具有票据服务器(TGS)功能的身份提供服务器(IdP),其中:
所述SP,用于在终端(UE)访问本SP提供的业务过程中,向IdP发送重定向消息,该重定向消息中包含认证请求信息,所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息;该SP还用于在接收到所述IdP发送的第二票据后,根据该第二票据中的内容,完成对该UE的认证;
所述具有TGS功能的IdP,用于接收SP发送的重定向消息,将该UE重定向到认证服务器(AS)进行认证,该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP,该IdP与所述SP共享第一密钥,该IdP与所述AS共享第二密钥;该IdP还用于根据从经由UE传递的来自AS的第一票据中的信息判断该UE如果通过AS的认证,则生成第二票据,经该UE传递给SP。
11.如权利要求10所述的***,其特征在于:
所述SP位于身份位置分离网络内,所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的接入标识(AID);或者
所述SP位于身份位置分离网络外,所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。
12.如权利要求11所述的***,其特征在于:
所述SP位于身份位置分离网络外时,所述IdP还用于,在接收到该SP发送的重定向消息后,根据UE的身份信息从IP地址池中查询UE的AID,利用所述UE的AID将所述UE重定向到AS进行认证。
13.如权利要求10-12中任一权利要求所述的***,其特征在于:
所述IdP还用于,在将UE重定向到AS之前,先与该UE协商认证能力,确认UE支持Kerberos认证。
14.如权利要求10-12中任一权利要求所述的***,其特征在于:
所述IdP生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。
15.如权利要求14所述的***,其特征在于:
所述SP位于身份位置分离网络外时,所述IdP将所述UE的AID对应的IP地址和端口号作为该UE的身份信息。
16.如权利要求14所述的***,其特征在于:
所述SP是用于采用以下方式根据该第二票据中的内容完成对该UE的认证:
所述SP用与IdP的共享密钥得到第二票据,从该第二票据中获取UE认证结果、该IdP的身份信息、该UE的身份信息、时间戳,比较该UE的身份信息、该IdP的身份信息、该SP的身份信息是否与本地保存的一致,以及时间戳是否在限定范围内,若都通过,则确认该UE通过所述IdP的认证。
17.一种实现安全连接的具有票据服务器(TGS)功能的身份提供服务器(IdP),所述IdP为部署在该UE归属的运营商网络的IdP,包括接收模块、重定向模块、认证模块,其中:
所述接收模块,用于在终端(UE)访问业务提供服务器(SP)提供的业务过程中,接收该SP发送的重定向消息,该重定向消息中包含认证请求信息,所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息;该SP与本IdP共享第一密钥;
所述重定向模块,用于将该UE重定向到认证服务器(AS)进行认证,该AS与本IdP共享第二密钥;
所述认证模块,用于根据从经由UE传递的来自AS的第一票据中的信息判断该UE如果通过AS的认证,则生成第二票据,经该UE传递给SP。
18.如权利要求17所述的IdP,其特征在于:
所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息,所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的接入标识(AID),或者,所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。
19.如权利要求18所述的IdP,其特征在于:
所述UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号时,所述IdP还包括查询模块,其用于,在接收到该SP发送的重定向消息后,根据UE的身份信息从IP地址池中查询UE的AID;所述重定向模块用于利用所述UE的AID将所述UE重定向到AS进行认证。
20.如权利要求17或18或19所述的IdP,其特征在于:
所述IdP还包括协商模块,其用于在将UE重定向到AS之前,先与该UE协商认证能力,确认UE支持Kerberos认证。
21.如权利要求19所述的IdP,其特征在于:
所述认证模块生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳,所述UE的身份信息为该UE的AID对应的IP地址和端口号。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103298536A CN103078834A (zh) | 2011-10-26 | 2011-10-26 | 一种安全连接的方法、***及网元 |
| PCT/CN2012/082551 WO2013060224A1 (zh) | 2011-10-26 | 2012-10-08 | 一种安全连接的方法、***及网元 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2011103298536A CN103078834A (zh) | 2011-10-26 | 2011-10-26 | 一种安全连接的方法、***及网元 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103078834A true CN103078834A (zh) | 2013-05-01 |
Family
ID=48155242
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011103298536A Pending CN103078834A (zh) | 2011-10-26 | 2011-10-26 | 一种安全连接的方法、***及网元 |
Country Status (2)
| Country | Link |
|---|---|
| CN (1) | CN103078834A (zh) |
| WO (1) | WO2013060224A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107508822A (zh) * | 2017-09-06 | 2017-12-22 | 迈普通信技术股份有限公司 | 访问控制方法及装置 |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104852891B (zh) * | 2014-02-19 | 2018-07-20 | 华为技术有限公司 | 一种密钥生成的方法、设备及*** |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101567878A (zh) * | 2008-04-26 | 2009-10-28 | 华为技术有限公司 | 提高网络身份认证安全性的方法和装置 |
| US20100082979A1 (en) * | 2005-09-23 | 2010-04-01 | Scansafe Limited | Method for the provision of a network service |
| CN101809584A (zh) * | 2007-09-25 | 2010-08-18 | 日本电气株式会社 | 证书生成/分发***、证书生成/分发方法和证书生成/分发程序 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101563828B1 (ko) * | 2009-09-14 | 2015-10-27 | 인터디지탈 패튼 홀딩스, 인크 | 신뢰성있는 인증 및 로그온을 위한 방법 및 장치 |
| CN102025495A (zh) * | 2009-09-17 | 2011-04-20 | 成都康赛电子科大信息技术有限责任公司 | 基于saml2.0的身份认证和管理 |
| CN101651597B (zh) * | 2009-09-23 | 2011-06-22 | 北京交通大学 | 一种地址分离映射网络中IPSec-VPN的部署方法 |
-
2011
- 2011-10-26 CN CN2011103298536A patent/CN103078834A/zh active Pending
-
2012
- 2012-10-08 WO PCT/CN2012/082551 patent/WO2013060224A1/zh active Application Filing
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20100082979A1 (en) * | 2005-09-23 | 2010-04-01 | Scansafe Limited | Method for the provision of a network service |
| CN101809584A (zh) * | 2007-09-25 | 2010-08-18 | 日本电气株式会社 | 证书生成/分发***、证书生成/分发方法和证书生成/分发程序 |
| CN101567878A (zh) * | 2008-04-26 | 2009-10-28 | 华为技术有限公司 | 提高网络身份认证安全性的方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 邱航 等: "基于Kerberos的单点登录***研究与设计", 《计算机应用》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107508822A (zh) * | 2017-09-06 | 2017-12-22 | 迈普通信技术股份有限公司 | 访问控制方法及装置 |
| CN107508822B (zh) * | 2017-09-06 | 2020-06-12 | 迈普通信技术股份有限公司 | 访问控制方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2013060224A1 (zh) | 2013-05-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11178125B2 (en) | Wireless network connection method, wireless access point, server, and system | |
| CN101616410B (zh) | 一种蜂窝移动通信网络的接入方法和*** | |
| CN110800331B (zh) | 网络验证方法、相关设备及*** | |
| KR102021213B1 (ko) | 엔드 투 엔드 서비스 계층 인증 | |
| EP3668042B1 (en) | Registration method and apparatus based on service-oriented architecture | |
| JP4777729B2 (ja) | 設定情報配布装置、方法、プログラム及び媒体 | |
| US20180199205A1 (en) | Wireless network connection method and apparatus, and storage medium | |
| JP2020080530A (ja) | データ処理方法、装置、端末及びアクセスポイントコンピュータ | |
| KR100749846B1 (ko) | 무선 휴대 인터넷 시스템의 mac 계층에서 보안 기능을 구현하기 위한 장치 및 이를 이용한 인증 방법 | |
| WO2019137030A1 (zh) | 安全认证方法、相关设备及*** | |
| WO2020174121A1 (en) | Inter-mobile network communication authorization | |
| EP2767029B1 (en) | Secure communication | |
| JP2009533932A (ja) | キー導出におけるパラメータ結合に基づくチャネル結合機構 | |
| KR20110103473A (ko) | 가상 가입자 식별 모듈 | |
| WO2010046178A1 (en) | Methods and devices for a client node to access an information object located at a node of a secured network via a network of information | |
| JP2004241976A (ja) | 移動通信ネットワークシステムおよび移動端末認証方法 | |
| WO2013040957A1 (zh) | 单点登录的方法、***和信息处理方法、*** | |
| WO2023083170A1 (zh) | 密钥生成方法、装置、终端设备及服务器 | |
| CN103078834A (zh) | 一种安全连接的方法、***及网元 | |
| WO2011131002A1 (zh) | 身份管理方法及*** | |
| US20150381387A1 (en) | System and Method for Facilitating Communication between Multiple Networks | |
| CN103916849A (zh) | 用于无线局域网通信的方法和设备 | |
| KR102558364B1 (ko) | 5g lan 서비스 제공 방법 | |
| JP7268239B2 (ja) | 通信ネットワークコンポーネント及び方法 | |
| Santos et al. | A federated lightweight authentication protocol for the internet of things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20130501 |