WO2012126299A1 - 组合认证***及认证方法 - Google Patents

Description

组合认证***及认证方法 技术领域

本发明涉及单点登录（ SSO, Single Sign On )架构及 OpenID架构融合 技术， 尤其涉及一种 SSO架构及 OpenID架构融合***， 及应用于该融合 ***中的认证方法。 背景技术

目前第三代合作伙伴计戈¹ J ( 3 GPP, 3rd Generation Partnership Project ) 组织提出了在非通用集成电路卡（ UICC, Universal Integrated Circuit Card ) 环境下的统一 IP多媒体子***（ IMS , IP Multimedia Subsystem )终端利用 会话初始协议 ( SIP, Session Initiation Protocol )摘要 ( Digest )认证机制实 现 IMS终端访问应用服务器（AS, Application Server ) 的 SSO的功能， 其 中， 通过在 SSO_APS中设计的 SSO架构可以实现该功能。 SSO架构通常 由统一 IMS用户、 归属用户服务器（HSS, Home Subscriber Server ), AS 和身份鉴权认证提供者实体（ MP )构成。 用户设备 ( UE, User Equipment ) 与 IdP通过 SSOb接口连接； UE与 AS通过 SSOa接口连接； IdP与 HSS 通过 SSOh接口连接。 IdP用于与 UE利用 SIP Digest进行交互验证身份， 并且对 AS进行认证， IdP与用户之间的共享密钥为 。； HSS中存储用于描 述用户信息的签约文件， 同时 HSS还兼有产生鉴权信息的功能。 AS为 UE 提供网络服务业务。

在该 SSO_APS中的 SSO架构的实现方案中， 针对的是运营商未部署 通用认证机制 ( GBA, Generic Bootstrapping Architecture )的†青况， 同时 IMS 终端不具有通用集成电路卡（UICC, Universal Integrated Circuit Card )的场 景下， 利用会话初始协议摘要（SIP Digest )认证机制对 UE进行认证， 实 现该 IMS终端对 AS的 SSO功能， 具体实现如下：

IMS终端（ UE )向 AS发送超文本传输协议 ( HTTP, Hypertext Transfer Protocol )服务请求， 应用服务器 AS向 UE回应一个 401未授权的超文本 传输安全协议（HTTPS , Hypertext Transfer Protocol Secure )响应， 要求 UE 终端去认证中心进行身份认证； 同时在该响应中包含由 AS和认证中心 MP 共享密钥加密的 AS身份信息； UE终端向认证中心 IdP发送 HTTP请求消 息， 请求 IdP对 UE终端进行身份认证。 同时该消息中携带 UE终端的身份 标识和加密的 AS身份信息； IdP依据获得到的 AS私有身份标识符对该 AS 进行认证， 存储认证结果， 同时判断是否存在对应 UE的 。， 若存在该密 钥则该 UE已认证过， 不需要再次利用 SIP Digest机制进行认证， 跳过该认 证直接执行后续步驟； 若 IdP判断不存在对应 UE的 Ko, 则 IdP基于 IMS 身份标识信息从 HSS取得 SIP Digest认证向量以及 UE信息内容； IdP产生 随机数 nonce, 并且存储该 nonce和从 HSS下载的哈希函数值 H ( A1 ); IdP 使用 SIP Digest机制向 UE发送 401认证挑战； UE产生随机数 cnonce和生 成 H ( A1 ), 进而产生密钥 。， 并利用参数计算响应值 response; UE针对 挑战向 IdP发送响应， IdP完成对 UE的认证， 并产生共享密钥 Ko; IdP再 次产生随机数 nonce 1 , 利用 nonce 1和 。产生共享密钥加密 , IdP利用密 钥 Ko加密 noncel等信息，利用 IdP和 AS共享密钥加密 和 UE认证结果， 所述 IdP向所述 UE发送 200OK消息，若 200OK消息中包含 Ko加密 noncel 等信息， 则表明所述 UE认证成功； 同时所述 IdP将 AS和 IdP共享密钥加 密的 和对 UE的认证结果重定向到 AS ; UE解密获得 noncel , 并产生共 享密钥 ; AS解密信息， 获得 UE的认证结果和密钥 ; 此时 UE和 AS 之间拥有共享密钥 i , 从而两者后续的通信可以利用 进行加密， 保证两 者之间的通信安全。

另外， OpenID也定义了自身架构和规范，用于实现对 Web业务的访问， 其架构主要包括三个实体： UE、 OpenID 身份提供实体 （ OP , OpenID Provider ), 服务依赖提供商 （RP )。

该 OpenID架构是利用每个终端用户都有在 OpenID Provider处注册时 分发的用户标识符， 当 UE访问支持 OpenID的服务依赖提供商 RP时， 只 需将该用户标识符输入， RP对该标识符进行标准化； 接着 RP利用发现机 制 , 以及标识符获得 OP的终点统一资源定位符 ( URL, Uniform I Universal Resource Locator ); RP和 OP之间进行关联，使得 OP和 RP之间建立共享 密钥， 该密钥使得 OP标记后续的消息， 使得 RP识别后续的消息， 该关联 过程是可选的，当 OP和 RP两者处于不同的移动网络运营商（MNO, Mobile Network Operator ) 网络时， 该过程产生的共享密钥对消息的安全传输是 4艮 重要的； RP请求 OP对该 UE进行认证； OP根据 UE的授权信息确立是否 其被授权执行 OpenID认证和期望被授权使用， OP依据 UE的授权信息， 完成对 OpenID 用户的认证过程， 并且根据认证结果产生认证断言返回给 RP; RP对该断言进行确认操作， 来决定是否为该 UE提供服务。

在 SSO_APS中 SSO架构中最终 AS获得共享密钥和终端认证结果授权 信息， 同时 OpenID架构支持 Web业务，并且为每个 UE提供唯一的身份标 识符； 若这两种架构之间能够实现互通， 既不会降低原有的安全性， 还可 以增加终端操作的简便性， 并能扩展终端的应用场景， 以便使用已有的多 种多样的 WEB业务。

目前 3GPP规范 33.924中定义了 GBA架构和 OpenID架构实现互通的 场景， 即网络应用功能（ NAF, Network Application Function )和 OP为实 体。 其特点是原 GBA架构的 Ub和 Zn接口功能基本不变， OpenID架构的 OP和 UE需增加 GBA功能。 UE访问每个 RP时 , 首先在 OP/NAF上通过 鉴权认证， 而要在 OP/NAF上通过鉴权认证， 需要 UE和引导服务器功能 ( BSF, Bootstrapping Server Function )之间进行引导过程。 对于在非 UICC环境下的统一 IMS终端，其不能使用 GBA架构进行鉴 权认证，针对该类 IMS终端， 在 SSO_APS中设计了利用 SIP Digest机制实 现 SSO功能的架构， 目前亟需解决 SSO架构和 OpenlD架构之间不能融合 互通的问题， 使得该类 IMS终端支持 OpenlD机制， 进而获得多种多样的 WEB业务。 发明内容

有鉴于此， 本发明的主要目的在于提供一种组合认证***及认证方法， 能使 SSO架构及 OpenlD架构融合为 UE提供更丰富的 WEB业务。

为达到上述目的， 本发明的技术方案是这样实现的：

一种组合认证***， 包括 SSO架构及 OpenlD架构， 所述 SSO架构及 OpenlD架构之间通过共用 SSO架构中的应用服务器 AS和 OpenlD架构中 的 OpenlD身份提供实体 OP而实现融合互通。

优选地， 所述 OpenlD架构中还包括服务依赖提供商 RP; 其中， 所述 RP用于， 在接收到 IP多媒体业务子*** IMS用户设备 UE的服 务请求后， 携带 OpenlD认证请求重定向所述 UE到所述 OP;

所述 OP用于， 在接收到所述 UE超文本传输协议 HTTP获取请求后， 向所述 UE返回未授权的响应， 要求所述 UE使用所述 SSO架构中的初始 会话摘要认证 SIP Digest机制进行认证；

所述 UE用于， 在未实现所述 SIP Digest认证时， 通过所述 SSO架构 实现 SIP Digest认证；

所述 OP进一步用于， 获取 SIP Digest认证后所述 UE的授权信息， 根 据所述 UE的授权信息， 完成对所述 UE的 OpenlD认证， 并根据认证结果 产生认证断言； 将所述认证断言发送给所述 RP;

所述 RP进一步用于， 确认所述断言正确时为所述 UE提供服务。

优选地， 所述 RP进一步用于， 在接收到所述 UE的服务请求后， 基于 所述服务请求中携带的所述 UE的标识信息获得所述 OP的地址信息和发现 所述 OP终点 URL, 通过所述 URL完成对所述 UE的认证。

优选地， 所述 RP和所述 OP进行信息交互前， 进一步协商用于通信安 全保护的密钥。

优选地，所述 SSO架构中还包括归属用户服务器 HSS和身份鉴权认证 提供者实体 IdP; 其中，

所述 AS , 用于请求所述 UE到所述 IdP去认证， 其中请求认证信息流 中包含 UE和 AS的标识信息；

所述 IdP, 用于根据所述 AS的标识信息对该 AS进行认证， 并存储 AS 认证结果，并在确认所述 UE未经 SIP Digest认证时，从 HSS取得 SIP Digest 认证向量和所述 UE的信息内容， 产生随机数 nonce; 向所述 UE发送认证 挑战；

所述 UE, 用于产生随机数 cnonce和生成哈希函数值， 进而生成共享 密钥 Ko , 并向所述 IdP回复响应；

所述 IdP, 用于接收到所述 UE的响应后完成对所述 UE的认证， 并生 成 。； 以及， 再次产生随机数 nonce 1 , 利用 noncel和 。生成密钥 i , 并 利用 Ko加密 noncel等信息， 并利用 AS与 IdP之间的共享密钥对 和对 UE的认证结果进行加密后， 所述 IdP向所述 UE发送 200OK消息， 200OK 消息包含 。加密 noncel等信息， 表明所述 UE认证成功； 同时所述 IdP重 定向该利用 AS与 IdP之间的共享密钥加密后的信息到所述 AS;

所述 UE进一步用于， 在获得所述的 200OK消息后， 生成 , 使所述 UE和所述 AS之间拥有共享密钥 Ki。

一种认证方法， 应用于 SSO架构及 OpenID架构融合的***中， 其中， 所述 SSO架构及 OpenID架构之间通过共用 SSO架构中的 AS和 OpenID 架构中的 OP而实现融合互通； 所述方法还包括： 所述 RP在接收到 IMS UE的服务请求后， 携带 OpenID认证请求重定 向所述 UE到所述 OP;

所述 OP在接收到所述 UE的 HTTP获取请求后， 向所述 UE返回未授 权的响应， 要求所述 UE使用所述 SSO架构中的初始会话认证 SIP Digest 机制进行认证；

所述 UE在未实现所述 SIP Digest认证时，通过所述 SSO架构实现 SIP Digest认证；

所述 OP获取 SIP Digest认证后所述 UE的授权信息， 根据所述 UE的 授权信息，完成对所述 UE的 OpenID认证，并根据认证结果产生认证断言； 将所述认证断言发送给所述 RP;

所述 RP确认所述断言正确时为所述 UE提供服务。

优选地， 所述方法还包括：

所述 RP在接收到所述 UE的服务请求后， 基于所述服务请求中携带的 所述 UE的标识信息获得所述 OP的地址信息和发现所述 OP终点 URL,通 过所述 URL完成对所述 UE的认证。

优选地， 所述方法还包括：

所述 RP和所述 OP进行信息交互前， 协商用于通信安全保护的密钥。 优选地， 所述 UE在未实现所述 SIP Digest认证时， 通过所述 SSO架 构实现 SIP Digest认证， 为：

所述 AS将请求所述 UE到所述认证中心 IdP去认证， 请求认证信息流 中包含 UE和 AS的标识信息；

所述 IdP根据所述 AS的标识信息对该 AS进行认证， 并存储 AS认证 结果， 并在确认所述 UE未经 SIP Digest认证时， 从 HSS取得 SIP Digest 认证向量、 所述 UE的信息内容以及哈希函数值， 产生随机数 nonce; 向所 述 UE发送认证挑战； 所述 UE产生随机数 cnonce和生成哈希函数值，进而生成共享密钥 Ko , 并向所述 IdP回复响应；

所述 IdP接收到所述 UE的响应后完成对所述 UE的认证， 并生成 Ko 以及， 再次产生随机数 noncel , 利用 noncel和 。生成密钥 i , 并利用 。 加密 noncel等信息， 并利用 AS与 IdP之间的共享密钥对 和对 UE的认 证结果进行加密后， 所述 IdP向所述 UE发送 200OK消息， 200OK消息包 含 。加密 noncel等信息， 表明所述 UE认证成功； 同时所述 IdP重定向该 利用 。及 AS与 IdP之间的共享密钥加密后的信息到所述 AS;

所述 UE在获得所述的 200OK消息后，生成 使所述 UE和所述 AS 之间拥有共享密钥 。

本发明中， SSO架构及 OpenID架构之间通过共用 SSO架构中的 AS 和 OpenID架构中的 OP而实现融合，这样， UE向 OpenID架构发起业务请 求时， OpenID架构将触发 UE发起到 SSO架构的 SIP Digest, 在对 UE用 户加强监管的同时， 也为 SSO架构下的用户提供了更为丰富的 WEB业务。 附图说明

图 1为本发明 SSO架构及 OpenID架构融合的***的组成结构示意图； 图 2为应用于图 1所示***的认证方法流程图。 具体实施方式

本发明的基本思想是， SSO架构及 OpenID架构之间通过共用 SSO架 构中的 AS和 OpenID架构中的 OP而实现融合， 这样， UE向 OpenID架构 发起业务请求时， OpenID架构将触发 UE发起到 SSO架构的 SIP Digest, 在对 UE用户加强监管的同时， 也为 SSO架构下的用户提供了更为丰富的 WEB业务。

为使本发明的目的、 技术方案和优点更加清楚明白， 以下举实施例并 参照附图， 对本发明进一步详细说明。

图 1为本发明 SSO架构及 OpenID架构融合的***的组成结构示意图， 如图 1 所示， 本发明提出了一种组合鉴权认证架构， 以实现 SSO_APS 中 SSO架构和 OpenID架构的互通， 满足 UlCCless环境下的统一 IMS终端利 用该组合鉴权架构实现对应用服务器的 SSO功能， 其中， UE为 IMS终端， OpenID提供商实体（OP )和 SSO_APS中 SSO架构上的应用服务器实体为 一个实体， 即 OP/AS , RP对应于 IMS终端要访问的融合***的 OpenID的 最终应用服务器， IdP为用户认证中心， 完成 SSO_APS 中 SSO架构中对 UE的认证。 本发明中， SSO架构及 OpenID架构中的各网元基本保持了原 有的功能及结构， 变动较大的是 OP和 AS进行了融合。 由于上述各网元所 能实现的功能均为现有技术， 这里不再赘述各网元的功能及具体结构。 本 发明仅对上述融合***中 UE如何实现认证进行说明。

图 2为应用于图 1所示***的认证方法流程图， 如图 2所示， 本发明 的认证方法具体包括以下步驟：

步驟 1 , 用户通过 UE的浏览器发送用户提供方标识符（User-supplied

Identifier )给 RP, 发起业务请求。

步驟 2, RP初始化 User-Supplied Identifier, 基于该用户提供方标识符 获得 OP的地址和发现 OP终点统一资源定位符 ( URL, Uniform I Universal Resource Locator ), 并且， UE希望使用该 URL完成认证。

步驟 3 , RP和 OP之间利用 Diffie-hdlman密钥交换协议建立共享密钥， 该共享密钥建立的目的是使得 OP可以加密后续的消息， RP可以证实所接 收消息（此密钥是可选的属性， 不是互通必须的操作）。 若 OP和 RP两者 位于不同的移动网络运营商（MNO, Mobile Network Operator )的控制域内 时， 则该协商密钥是必要的。

步驟 4, RP携带 OpenID的认证请求重定向 UE的浏览器到 OP。 RP将 步驟 1中接收的 User-Supplied Identifier***到 OpenID认证请求消息中的 openid. claimed—id和 openid.identity字段中。

步驟 5, 紧随着该重定向， UE向 OP发送 HTTP GET请求。

步驟 6, OP/AS初始化 UE认证， 并且回应 401未授权的 HTTPS响应， 在该 HTTPS响应消息中包含携带有挑战信息的认证消息头， UE使用 SIP Digest机制与服务器进行认证； 同时该响应消息中携带有 OP/AS和 IdP共 享密钥加密的 OP/AS 身份标识 （ OP/AS_credential ) , 即 E 。，i ( OP/AS_credential )。 OP/AS和 IdP之间利用现有机制拥有共享密钥 K。，i , 由于该 Ko'i的获得属于现有技术， 本发明不再赘述获取其的实现细节。

步驟 7 , 如果 UE没有有效的密钥 Ko可用， 那么 UE向 IdP发送 HTTP 请求消息以进行对 UE的身份认证过程， 同时该 HTTP请求消息中携带 UE 的身份标识 ( U_credential )和 EK。，i ( OP/AS_credential )。

步驟 8, IdP解密 E 。，i ( OP/AS_credential ), 获得 OP/AS身份标识， 基 于该 OP/AS 身份标识对 OP/AS 进行认证， 产生并存储 OP/AS认证结果 OP/AS_Auth。 同时， IdP根据所接收到的 UE身份标识符 U_credential, 首 先检查是否存在与其对应的 UE与 IdP共享密钥 Ko , 若 存在， 则直接跳 转到步驟 15 , 否则执行步驟 9。

步驟 9, IdP向 HSS发送认证请求， 基于 U_credential, IdP到 HSS中 查找并下载对应的 SIP Digest认证向量（SD-AV )和用户配置信息。 SD-AV 中包括 U_credential、领域 ( realm )、质量保证 ( qop )、认证算法 ( algorithm ) 和 H ( A1 ), 其中 H ( A1 )是由 U_credentiaK realm和密码 ( assword )组 成的哈希函数值。 在多 HSS环境下， IdP可以通过询问订购关系定位功能 ( SLF, Subscription Locator Function )获得对应的存储用户信息的 HSS地 址， 找到该对应的 HSS。

步驟 10, IdP产生随机数 nonce, 并将针对该 U_credential的、 从 HSS 下载的 H ( Al ) 与该 nonce—起存储。

步驟 11 , IdP向 UE发送 401未认证挑战消息， 该 401未认证挑战消息 中包含 U_credential、 realm、 qop, algorithm和 nonce。

步驟 12, 当收到该 401未认证 4 战消息时， UE产生随机数 cnonce和 H ( A1 ); 然后再利用 cnonce和 H ( Al )等产生 UE和 IdP共享密钥 K 通 过单向哈希函数 F计算 response值。 response=F ( H ( Al )， cnonce, nonce, qop, nonce-count )。 UE用 cnonce进行网络认证和避免屯文本攻击 ( "chosen plaintext" )。 nonce-count是计数器，用户每使用与 nonce计算一次 response, nonce-count 4寻增力口 1， 使用 nonce-count参与 response计算， 可以降氐重放 攻击的可能性。

步驟 13 , UE针对步驟 11中的挑战消息向 IdP发送响应消息 response, 该响应消息中包含 cnonce、 nonce、 response , realm、 U_credential、 qop, algorithm, Digest-url和 nonce-count„

步驟 14， 接收到步驟 13中的响应消息后， IdP利用存储的 nonce值对 响应消息中的 nonce值进行检验， 若检验正确， 则 IdP利用接收到的响应消 息内的参数 cnonce、 nonce-count、 qop等和原存 4诸在 IdP内的 nonce及 H( Al ) 计算 Xresponse, 将计算的 Xresponse与接收到的 response值进行比较， 若 两者比较结果相同则 UE认证通过； 否则 UE认证失败， IdP存储 UE的认 证结果相关信息 UE_Auth。 若 UE认证成功， 则 IdP利用 H ( Al )和 cnonce 等产生共享密钥 K

步驟 15 , IdP再产生随机数 noncel ; 然后利用 。和 noncel等产生密钥 ^i;共享密钥 。对 noncel等信息进行加密操作产生 E ¾( noncel );用 OP/AS 和 IdP共享密钥 K。,i加密 和 UE_Auth产生 E 。，i ( Κι , UE_Auth )₀

步驟 16, IdP向 UE发送 200OK消息， 该 200OK消息中包含 Ko加密 noncel等信息， 表明 UE认证成功； 同时 IdP重定向 UE到 OP/AS; 该重定 向的消息中携带 E 。，i ( Ki , UE_Auth )。

步驟 17 , UE解密 EKo ( noncel ), 获得 noncel值同时利用 和 noncel 等产生密钥 ι。

步驟 18 , IdP发送的消息被重定向到 OP/AS , 该被重定向消息中携带 ΕΚο,ϊ ( K UE_Auth )。

步驟 19 , OP/AS收到该被重定向消息后，利用共享密钥解密 E 。，i ( i , UE_Auth ), 获得 和 UE_Auth; OP/AS依据 UE_Auth, 获知该 UE的相关 授权信息， OP/AS根据授权信息确立是否该 UE被授权执行 OpenID认证和 期望被授权使用； 同时也可能从 UE_Auth获知关于信息类型的消息， 该信 息类型允许与 RP共享。 OP/AS依据 UE的授权信息， 利用 UE和 OP/AS 两者共享密钥 作用的 SSOa 完成对 OpenID用户的认证过程， 并且根据 认证结果产生认证断言。

步驟 20, OP/AS重定向浏览器到 OpenID的返回地址， 即 OP/AS重定 向 UE的浏览器返回到 RP, 其中该重定向的响应消息中要么携带认证被批 准的断言， 要么携带认证失败的断言。 在该重定向响应消息头包含一系列 定义认证断言信息的字段， 这些字段也被 OP/AS和 RP之间的密钥加密保 护。这种密钥保护机制对 OP/AS和 RP两者位于不同的 MNO网络时尤其重 要。

步驟 21 , RP确认接收到的断言； 即检验认证是否被赞成。 UE的认证 身份在发给 RP的响应消息中被提供。如果 OP/AS和 RP两者在步驟 3时建 立了共享密钥， 那么该密钥现在被用来确认来自 OP/AS的消息。 如果断言 为肯定断言和信息确认都成功， 那么 UE将获得 RP的服务。

需要说明的是，若上述步驟 1~步驟 21中任一步驟执行失败， 则整个过 程停止执行。

在 UE访问 RP应用服务器的过程中， 若遭遇意外断网情况， 当 UE还 未完成 UE和 RP之间访问服务过程， 在当网络恢复后 UE要访问应用服务 器则需要重新开始请求服务过程； 当 UE已经完成访问服务过程，若恢复网 络用时未到达 Cookie和共享密钥的生命周期， 则网络恢复后 UE和 RP之 间可以继续利用该共享密钥和 Cookie进行应用服务的获取， 否则需要重新 产生共享密钥过程。 在 UE访问 RP应用服务器后， 若遭遇用户主动关闭注 销 UE或断电等特殊情况， 则用户需要重新完成整个执行流程。

本发明中， 上述的密钥生成方式可以采用现有的任一种密钥生成方法， 本发明并不限定所采用的密钥生成方法。

以上所述， 仅为本发明的较佳实施例而已， 并非用于限定本发明的保 护范围。

工业实用性

本发明通过 SSO架构及 OpenID架构共用 SSO架构中的 AS和 OpenID 架构中的 OP而实现融合，这样， UE向 OpenID架构发起业务请求时， OpenID 架构将触发 UE发起到 SSO架构的 SIP Digest, 在对 UE用户加强监管的同 时， 也为 SSO架构下的用户提供了更为丰富的 WEB业务。

Claims

权利要求书

1、 一种组合认证***， 包括单点登录 SSO架构及 OpenlD架构， 其特 征在于， 所述 SSO架构及 OpenlD架构之间通过共用 SSO架构中的应用服 务器 AS和 OpenlD架构中的 OpenlD身份提供实体 OP而实现融合互通。

2、 根据权利要求 1所述的***， 其特征在于， 所述 OpenlD架构中还 包括服务依赖提供商 RP; 其中，

所述 RP用于， 在接收到 IP多媒体业务子*** IMS用户设备 UE的服 务请求后， 携带 OpenlD认证请求重定向所述 UE到所述 OP;

所述 OP用于， 在接收到所述 UE超文本传输协议 HTTP获取请求后， 向所述 UE返回未授权的响应， 要求所述 UE使用所述 SSO架构中的初始 会话认证 SIP Digest机制进行认证；

所述 UE用于， 在未实现所述 SIP Digest认证时， 通过所述 SSO架构 实现 SIP Digest认证；

所述 OP进一步用于， 获取 SIP Digest认证后所述 UE的授权信息， 根 据所述 UE的授权信息， 完成对所述 UE的 OpenlD认证， 并根据认证结果 产生认证断言； 将所述认证断言发送给所述 RP;

所述 RP进一步用于， 确认所述断言正确时为所述 UE提供服务。

3、 根据权利要求 2所述的***， 其特征在于， 所述 RP进一步用于， 在接收到所述 UE的服务请求后，基于所述服务请求中携带的所述 UE的标 识信息获得所述 OP的地址信息和发现所述 OP终点统一资源定位符 URL, 通过所述 URL完成对所述 UE的认证。

4、 根据权利要求 2所述的***， 其特征在于， 所述 RP和所述 OP进 行信息交互前， 进一步协商用于通信安全保护的密钥。

5、根据权利要求 1所述的***， 其特征在于， 所述 SSO架构中还包括 归属用户服务器 HSS和身份鉴权认证提供者实体 IdP; 其中， 所述 AS , 用于请求所述 UE到所述 IdP进行认证， 请求认证信息流中 包含 UE和 AS的标识信息；

所述 IdP, 用于根据所述 AS的标识信息对该 AS进行认证， 并存储 AS 认证结果，并在确认所述 UE未经 SIP Digest认证时，从 HSS取得 SIP Digest 认证向量和所述 UE的信息内容， 产生随机数 nonce; 向所述 UE发送认证 挑战；

所述 UE, 用于产生随机数 cnonce和生成哈希函数值， 进而生成共享 密钥 , 并向所述 IdP回复响应；

所述 IdP, 用于接收到所述 UE的响应后完成对所述 UE的认证， 并生 成 。； 以及， 再次产生随机数 nonce 1 , 利用 noncel和 。生成密钥 i , 并 利用 Ko加密 noncel , 并利用 AS与 IdP之间的共享密钥对 和对 UE的认 证结果进行加密后， 向所述 UE发送 200OK消息， 所述 200OK消息包含 Ko加密 noncel信息； 以及， 重定向该利用 AS与 IdP之间的共享密钥加密 后的信息到所述 AS ;

所述 UE进一步用于， 在获得所述的 200OK消息后， 生成 , 使所述 UE和所述 AS之间拥有共享密钥 Ki。

6、 一种认证方法， 其特征在于， 应用于 SSO架构及 OpenID架构融合 的***中， 其中， 所述 SSO架构及 OpenID架构之间通过共用 SSO架构中 的 AS和 OpenID架构中的 OP而实现融合互通； 所述方法还包括：

所述 RP在接收到 IMS UE的服务请求后， 携带 OpenID认证请求重定 向所述 UE到所述 OP;

所述 OP在接收到所述 UE的 HTTP获取请求后， 向所述 UE返回未授 权的响应， 要求所述 UE使用所述 SSO架构中的初始会话认证 SIP Digest 机制进行认证；

所述 UE在未实现所述 SIP Digest认证时，通过所述 SSO架构实现 SIP Digest认证；

所述 OP获取 SIP Digest认证后所述 UE的授权信息， 根据所述 UE的 授权信息，完成对所述 UE的 OpenID认证，并根据认证结果产生认证断言； 将所述认证断言发送给所述 RP;

所述 RP确认所述断言正确时为所述 UE提供服务。

7、 根据权利要求 6所述的方法， 其特征在于， 所述方法还包括： 所述 RP在接收到所述 UE的服务请求后， 基于所述服务请求中携带的 所述 UE的标识信息获得所述 OP的地址信息和发现所述 OP终点 URL,通 过所述 URL完成对所述 UE的认证。

8、 根据权利要求 6所述的方法， 其特征在于， 所述方法还包括： 所述 RP和所述 OP进行信息交互前， 协商用于通信安全保护的密钥。

9、 根据权利要求 6所述的方法， 其特征在于， 所述 UE在未实现所述 SIP Digest认证时， 通过所述 SSO架构实现 SIP Digest认证， 为：

所述 AS请求所述 UE到所述 IdP认证， 该请求认证信息流中包含 UE 和 AS的标识信息；

所述 IdP根据所述 AS的标识信息对该 AS进行认证， 并存储 AS认证 结果， 并在确认所述 UE未经 SIP Digest认证时， 从 HSS取得 SIP Digest 认证向量和所述 UE的信息内容， 产生随机数 nonce; 向所述 UE发送认证 挑战；

所述 UE产生随机数 cnonce和生成哈希函数值，进而生成共享密钥 Ko , 并向所述 IdP回复响应；

所述 IdP接收到所述 UE的响应后完成对所述 UE的认证， 并生成 Ko 以及， 再次产生随机数 noncel , 利用 noncel和 。生成密钥 i , 并利用 。 加密随机数 noncel , 并利用 AS与 IdP之间的共享密钥对 和对 UE的认 证结果进行加密后， 所述 IdP向所述 UE发送 200OK消息， 所述 200OK消 息包含 。加密 noncel信息； 以及， 重定向该利用 AS与 IdP之间的共享密 钥加密后的信息到所述 AS;

所述 UE在获得所述的 200OK消息后，生成 使所述 UE和所述 AS 之间拥有共享密钥 。