專利名稱:一種對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法
技術(shù)領(lǐng)域:
本發(fā)明涉及互聯(lián)網(wǎng)技術(shù)領(lǐng)域和下一代網(wǎng)絡(luò)(NGN����,Next GenerationNetworks)技術(shù)領(lǐng)域以及第三代移動(dòng)通信系統(tǒng)組織(3GPP���,The ThirdGeneration Partnership Project)技術(shù)領(lǐng)域,具體涉及一種對(duì)自由使能的客戶端或者代理(LECP��,Liberty-enabled client or proxy)進(jìn)行鑒權(quán)的方法����。
背景技術(shù):
如圖1所示,3GPP定義了一種通用鑒權(quán)架構(gòu)(GBA)����,通用鑒權(quán)架構(gòu)通常由IP多媒體業(yè)務(wù)子系統(tǒng)(IMS,IP Multimedia Core NetworkSubsystem)用戶(UE)�����、引導(dǎo)服務(wù)功能實(shí)體(BSF���,Bootstrapping ServerFunction)����、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS,Home Subscribe Server)���、用戶定位功能實(shí)體(SLF����,Subscriber Locator Function)和網(wǎng)絡(luò)業(yè)務(wù)應(yīng)用功能實(shí)體(NAF��,Network Application Function)組成����。UE與BSF通過(guò)Ub接口連接;UE與NAF通過(guò)Ua接口連接����;BSF與HSS通過(guò)Zh接口連接,BSF與NAF通過(guò)Zn接口連接��,BSF與SLF通過(guò)Dz接口連接��。BSF用于與UE執(zhí)行引導(dǎo)過(guò)程(bootstrapping)時(shí)進(jìn)行互驗(yàn)證身份���,同時(shí)生成BSF與用戶的共享密鑰Ks�;HSS中存儲(chǔ)用于描述用戶信息的簽約文件���,同時(shí)HSS還兼有產(chǎn)生鑒權(quán)信息的功能����。SLF用于當(dāng)存在多個(gè)HSS時(shí)�����,協(xié)助BSF查找相應(yīng)的HSS�。NAF用于為UE提供網(wǎng)絡(luò)業(yè)務(wù)。
在Ub接口中�����,UE執(zhí)行引導(dǎo)過(guò)程(bootstrapping)的流程如圖2所示����,說(shuō)明如下
步驟1UE需要使用某種業(yè)務(wù)時(shí),如果知道該業(yè)務(wù)需要到BSF進(jìn)行相互鑒權(quán)過(guò)程�����,則直接發(fā)送鑒權(quán)請(qǐng)求到BSF進(jìn)行相互鑒權(quán)��。否則��,UE會(huì)首先和該業(yè)務(wù)對(duì)應(yīng)的NAF聯(lián)系,如果該NAF使用GBA通用鑒權(quán)架構(gòu)�,并且發(fā)現(xiàn)該UE還未到BSF進(jìn)行互認(rèn)證過(guò)程,NAF則通知該UE到BSF進(jìn)行互鑒權(quán)以驗(yàn)證身份�����,然后UE再直接發(fā)送鑒權(quán)請(qǐng)求到BSF進(jìn)行相互鑒權(quán)����;步驟2BSF接到UE的鑒權(quán)請(qǐng)求后,首先到HSS獲取該UE的鑒權(quán)向量信息(AUTN��,RAND�,IK,CK�����,XRES)五元組����;步驟3~步驟6BSF采用HTTP digest AKA協(xié)議與UE進(jìn)行雙向認(rèn)證以及密鑰協(xié)商,完成UE和BSF之間身份的互相認(rèn)證��;步驟7BSF生成共享根密鑰Ks���,BSF還為共享密鑰Ks定義了一個(gè)有效期限�,以便對(duì)Ks進(jìn)行定期更新����;步驟8BSF分配一個(gè)引導(dǎo)事務(wù)標(biāo)識(shí)(B-TID,bootstrapping transactionidentifier)��,用于標(biāo)識(shí)BSF和UE之間的本次鑒權(quán)交互事務(wù)���;BSF將該B-TID與根密鑰Ks�、UE的私有用戶標(biāo)識(shí)(IMPI�,IMS Private identity)相關(guān)聯(lián),以便以后BSF可以根據(jù)該B-TID查找出相應(yīng)的Ks�����,然后BSF將引導(dǎo)事務(wù)標(biāo)識(shí)和Ks的有效期限一起明文發(fā)送給UE����;步驟9UE也生成和BSF側(cè)相同的共享根密鑰Ks。
完成上述步驟后��,UE和BSF之間就共享了一個(gè)根密鑰Ks���,并且UE可以利用公式Ks_NAF=KDF(Ks��,″gba-me″�����,RAND���,IMPI�����,NAF_Id)或者Ks_Ext_NAF=KDF(Ks�,″gba-me″�,RAND,IMPI���,NAF_Id)����、Ks_Int_NAF=KDF(Ks�,″gba-u″,RAND�,IMPI��,NAF_Id)����,推導(dǎo)出與想要訪問(wèn)的NAF之間的衍生的共享密鑰Ks_(Ext/Int)_NAF�����,其中NAF_Id是由要訪問(wèn)的NAF以及Ua接口上的協(xié)議標(biāo)識(shí)(UaID)連接而成�,RAND是一個(gè)隨機(jī)數(shù)���,IMPI是UE的私有用戶標(biāo)識(shí)��,″gba-me″和″gba-u″代表字符串�;KDF是密鑰導(dǎo)出函數(shù)的縮寫(xiě)�����。這樣��,UE側(cè)就獲取了該衍生的共享密鑰Ks_(Ext/Int)_NAF���。剩下的任務(wù)就是NAF如何獲取該衍生的共享密鑰Ks_(Ext/Int)_NAF��。只有NAF和UE都獲取了Ks_(Ext/Int)_NAF����,才能建立雙方通訊的安全通道。
NAF獲取Ks_(Ext/Int)_NAF的流程如圖3所示��,說(shuō)明如下步驟1UE首先根據(jù)上述公式推導(dǎo)出衍生的共享密鑰Ks_(Ext/Int)_NAF�����,然后以引導(dǎo)事務(wù)標(biāo)識(shí)(B-TID)為用戶名��,Ks_(Ext/Int)_NAF為口令向NAF發(fā)送連接請(qǐng)求��,本步驟之前可能會(huì)事先建立TLS鏈接��,以保證Ua接口的通訊安全����;步驟2NAF收到UE的連接請(qǐng)求后,給BSF發(fā)出認(rèn)證請(qǐng)求消息�,其中攜帶引導(dǎo)事務(wù)標(biāo)識(shí)B-TID和NAF主機(jī)名;步驟3BSF上保留有B-TID���、IMPI�����、Ks�、密鑰有效期、BSF與UE之間的相互鑒權(quán)的開(kāi)始時(shí)間��、應(yīng)用相關(guān)的GBA用戶安全設(shè)置(GUSS���,GBA User security setting)等信息��,如果BSF能夠根據(jù)該B-TID查找到相應(yīng)的Ks,則完成相應(yīng)用戶的認(rèn)證�����,然后BSF再使用與用戶側(cè)相同的上述公式計(jì)算出衍生的共享密鑰Ks_(Ext/Int)_NAF�,然后在認(rèn)證響應(yīng)消息中把Ks_(Ext/Int)_NAF、Ks_(Ext/Int)_NAF的有效期限��、BSF與UE之間的相互鑒權(quán)的開(kāi)始時(shí)間����、以及與其它應(yīng)用相關(guān)的用戶安全設(shè)置信息(USS,User security setting)發(fā)給NAF�����,一個(gè)GUSS中可能包含多個(gè)USS,NAF收到后�����,保存這些信息�����。
這樣NAF和UE也就共享了由Ks衍生的密鑰Ks_(Ext/Int)_NAF����,從而這兩者在后續(xù)的通信中可以進(jìn)行安全通信。
另外��,自由聯(lián)盟工程(LAP����,Liberty Alliance Project)組織也定義了一些架構(gòu)和規(guī)范,用于實(shí)現(xiàn)對(duì)Web業(yè)務(wù)的訪問(wèn)���,其主要包含三個(gè)子架構(gòu)身份標(biāo)識(shí)聯(lián)盟架構(gòu)(ID-FF�����,Identity Federation Framework)�;身份標(biāo)識(shí)Web業(yè)務(wù)架構(gòu)(ID-WSF,Identity Web Service Framework)����;身份標(biāo)識(shí)業(yè)務(wù)接口規(guī)范(ID-SIS,Identity Services Interface Specifications)��;其中ID-FF主要包含身份標(biāo)識(shí)聯(lián)盟(Identity Federation)功能和單點(diǎn)認(rèn)證功能(SSO����,Single Sign On)。ID-WSF主要在ID-FF的基礎(chǔ)上定義一些基于身份標(biāo)識(shí)的Web業(yè)務(wù)架構(gòu)�����,以便提供一些簡(jiǎn)單的��、用戶可以定制的Web業(yè)務(wù)����。ID-SIS則定義一些與Web業(yè)務(wù)相關(guān)的接口規(guī)范�。ID-FF的架構(gòu)如圖4所示�����,它主要包含三個(gè)實(shí)體UE�����、身份鑒權(quán)提供商實(shí)體(IdP�,Identity Provider)、業(yè)務(wù)提供商實(shí)體(SP���,Service Provider)���。身份標(biāo)識(shí)聯(lián)盟功能是指UE在IdP和SP上都有自己的身份標(biāo)識(shí),即用戶標(biāo)識(shí)����。這些身份標(biāo)識(shí)可以結(jié)成一個(gè)聯(lián)盟。SSO是指在上述身份標(biāo)識(shí)聯(lián)盟功能的基礎(chǔ)上��,只要UE在IdP上通過(guò)了鑒權(quán)�,就等于同時(shí)在所有結(jié)成聯(lián)盟的SP上也同時(shí)通過(guò)了鑒權(quán)。
對(duì)于UE�,有兩種鑒權(quán)方式一種是UE在IdP上鑒權(quán)通過(guò)后,IdP會(huì)將該UE的鑒權(quán)申明(Assertion)直接返回給UE��。UE再將該Assertion發(fā)給SP。SP通過(guò)分析Assertion來(lái)對(duì)終端進(jìn)行鑒權(quán)��。另一種是UE在IdP上鑒權(quán)通過(guò)后�����,IdP會(huì)將該UE的鑒權(quán)申明鏈接(Artifact)返回給UE��。UE再將該Artifact發(fā)給SP����。SP再將該Artifact通過(guò)SOAP協(xié)議發(fā)給IdP。IdP根據(jù)該Artifact查詢相應(yīng)的Assertion�����,并返回給SP����。最后SP通過(guò)分析Assertion來(lái)對(duì)終端進(jìn)行鑒權(quán)。
從上面的介紹可以看出����,一方面�,通用鑒權(quán)架構(gòu)中UE與BSF交互獲取根密鑰Ks和B-TID以后��,都需要分別以B-TID為用戶名�����,Ks_(Ext/Int)_NAF為口令在各個(gè)NAF上鑒權(quán)�����,以便訪問(wèn)各個(gè)NAF���。這種頻繁的認(rèn)證增強(qiáng)了安全性,但增加了終端操作的復(fù)雜性和不方便性���。另一方面�����,身份標(biāo)識(shí)聯(lián)盟架構(gòu)中通過(guò)身份標(biāo)識(shí)聯(lián)盟功能在各個(gè)SP與IdP之間建立身份標(biāo)識(shí)安全聯(lián)盟���,并組成一個(gè)安全信任圈。只要在IdP上通過(guò)了鑒權(quán)�����,就等于在IdP所屬的安全信任圈內(nèi)的所有SP上也通過(guò)了鑒權(quán)。因此���,如果這兩種架構(gòu)之間能夠?qū)崿F(xiàn)互通���,既不會(huì)降低原有的安全性,也可以增加終端操作的簡(jiǎn)便性��,并擴(kuò)展終端的應(yīng)用場(chǎng)景��,以使用已有的多種多樣的WEB業(yè)務(wù)���?���;ネǖ膱?chǎng)景有兩種圖5給出了IdP和NAF為一個(gè)實(shí)體的互通場(chǎng)景�,圖6給出了IdP和BSF為一個(gè)實(shí)體的互通場(chǎng)景。
身份標(biāo)識(shí)聯(lián)盟架構(gòu)中還有一種稱為“自由使能的客戶端或者代理(LECP)”的實(shí)體�,它分為自由使能的客戶端(LEC,Liberty-enabled client)���、自由使能的代理(LEP���,Liberty-enabled proxy)。LEP本質(zhì)上是模擬LEC的行為����,除非特別指明,一般認(rèn)為兩者是一樣的��。和現(xiàn)有終端相比��,其主要特點(diǎn)如下1�����、沒(méi)有Liberty協(xié)議消息包大小的限制�����,因此不需要考慮Artifact模式的流程��。
2�、它事先知道用來(lái)鑒權(quán)的IdP的地址,因此SP不需要再設(shè)法獲取IdP的地址���。
3��、它與IdP交互時(shí)采用由SOAP(Simple Object Access Protocol��,簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議)封裝鑒權(quán)信息的HTTP消息�����。
4�、所有的Liberty協(xié)議交互消息中(LECP<-->IdP、LECP<-->SP)都必須帶有唯一的Liberty-Enabled消息頭域�,也就是說(shuō),如果在LEC和SP(IdP)之間存在一個(gè)LEP���,那么只能是LEC和LEP其中之一添加Liberty-Enabled����,但是LEP可以修改Liberty-Enabled頭域����,因此我們一般認(rèn)為L(zhǎng)EC/LEP是一體的,稱為L(zhǎng)ECP��。
發(fā)明內(nèi)容
本發(fā)明要解決的技術(shù)問(wèn)題是克服現(xiàn)有技術(shù)在對(duì)ID-FF的LECP進(jìn)行鑒權(quán)的過(guò)程中無(wú)法使用GBA方式鑒權(quán)的缺點(diǎn)�����,提供一種對(duì)LECP進(jìn)行鑒權(quán)的方法。
本發(fā)明采用如下的技術(shù)方案
這種對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�,包括步驟自由使能的客戶端或者代理和業(yè)務(wù)提供商實(shí)體的通信過(guò)程中包括兩種鑒權(quán)過(guò)程,分別是通用鑒權(quán)架構(gòu)鑒權(quán)過(guò)程和身份標(biāo)識(shí)聯(lián)盟鑒權(quán)過(guò)程���,在通用鑒權(quán)架構(gòu)鑒權(quán)過(guò)程中,引導(dǎo)服務(wù)功能實(shí)體生成引導(dǎo)事務(wù)標(biāo)識(shí)�、根密鑰有效期,并且發(fā)送給自由使能的客戶端或者代理��,引導(dǎo)服務(wù)功能實(shí)體和自由使能的客戶端或者代理兩端都生成根密鑰�;在身份標(biāo)識(shí)聯(lián)盟鑒權(quán)過(guò)程中,身份鑒權(quán)提供商實(shí)體生成鑒權(quán)申明���,并且發(fā)送給自由使能的客戶端或者代理�。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法��,其中自由使能的客戶端或者代理向業(yè)務(wù)提供商實(shí)體發(fā)送應(yīng)用請(qǐng)求消息��,業(yè)務(wù)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送響應(yīng)消息�����,該響應(yīng)消息中包含要求自由使能的客戶端或者代理到相應(yīng)的身份鑒權(quán)提供商實(shí)體和引導(dǎo)服務(wù)功能實(shí)體上進(jìn)行鑒權(quán)的信息�����。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法,其中自由使能的客戶端或者代理向相應(yīng)的身份鑒權(quán)提供商實(shí)體發(fā)送身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求消息���,身份鑒權(quán)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送要求其進(jìn)行通用鑒權(quán)架構(gòu)鑒權(quán)的響應(yīng)消息����,引導(dǎo)服務(wù)功能實(shí)體對(duì)自由使能的客戶端或者代理進(jìn)行通用鑒權(quán)架構(gòu)鑒權(quán)�����,鑒權(quán)成功后向自由使能的客戶端或者代理發(fā)送通用鑒權(quán)架構(gòu)鑒權(quán)成功響應(yīng)消息���,該鑒權(quán)成功響應(yīng)消息中包含引導(dǎo)事務(wù)標(biāo)識(shí)��。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�,其中身份鑒權(quán)提供商實(shí)體對(duì)自由使能的客戶端或者代理進(jìn)行身份標(biāo)識(shí)聯(lián)盟鑒權(quán)��,鑒權(quán)成功后向自由使能的客戶端或者代理發(fā)送身份標(biāo)識(shí)聯(lián)盟鑒權(quán)成功響應(yīng)消息�,該鑒權(quán)成功響應(yīng)消息中包含鑒權(quán)申明。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法���,其中包括步驟A1����、自由使能的客戶端或者代理向業(yè)務(wù)提供商實(shí)體發(fā)送應(yīng)用請(qǐng)求消息,其中包含自由使能頭域�;A2、業(yè)務(wù)提供商實(shí)體發(fā)現(xiàn)應(yīng)用請(qǐng)求消息中包含自由使能頭域�����,確認(rèn)不需要獲取身份鑒權(quán)提供商實(shí)體地址����;A3��、業(yè)務(wù)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送成功響應(yīng)消息�,其中包含身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求信封頭域和自由使能頭域;A4���、自由使能的客戶端或者代理向給相應(yīng)的身份鑒權(quán)提供商實(shí)體發(fā)送身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求消息��,其中包含身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域和自由使能頭域�;A5��、身份鑒權(quán)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送挑戰(zhàn)響應(yīng)消息�,其中包含自由使能頭域。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法,其中身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求信封頭域包含鑒權(quán)請(qǐng)求頭域和業(yè)務(wù)提供商實(shí)體統(tǒng)一資源定位系統(tǒng)頭域��。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�,其中業(yè)務(wù)提供商實(shí)體和自由使能的客戶端或者代理使用超文本傳輸協(xié)議發(fā)送和接收消息。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�����,其中身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域由簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議封裝�����。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�,其中包括步驟B1、自由使能的客戶端或者代理向引導(dǎo)服務(wù)功能實(shí)體發(fā)送通用鑒權(quán)架構(gòu)鑒權(quán)請(qǐng)求消息�,其中包含私有用戶標(biāo)識(shí);B2�、引導(dǎo)服務(wù)功能實(shí)體收到該通用鑒權(quán)架構(gòu)鑒權(quán)請(qǐng)求消息后,從用戶歸屬網(wǎng)絡(luò)服務(wù)器獲取自由使能的客戶端或者代理的認(rèn)證矢量����;B3、引導(dǎo)服務(wù)功能實(shí)體向自由使能的客戶端或者代理發(fā)送消息�,其中攜帶鑒權(quán)序號(hào)參數(shù)和隨機(jī)參數(shù);B4���、自由使能的客戶端或者代理檢查鑒權(quán)序號(hào)參數(shù)有效性并生成期望結(jié)果�;B5、自由使能的客戶端或者代理向引導(dǎo)服務(wù)功能實(shí)體發(fā)送消息��,其中攜帶私有用戶標(biāo)識(shí)�����、期望結(jié)果��;B6���、引導(dǎo)服務(wù)功能實(shí)體檢查期望結(jié)果的有效性并完成對(duì)自由使能的客戶端或者代理的鑒權(quán);B7�、引導(dǎo)服務(wù)功能實(shí)體生成根密鑰;B8����、引導(dǎo)服務(wù)功能實(shí)體向自由使能的客戶端或者代理發(fā)送通用鑒權(quán)架構(gòu)成功響應(yīng)消息,其中攜帶引導(dǎo)事務(wù)標(biāo)識(shí)和根密鑰有效期�����;B9����、自由使能的客戶端或者代理保存引導(dǎo)事務(wù)標(biāo)識(shí)和根密鑰有效期��,生成并保存根密鑰���;B10、自由使能的客戶端或者代理生成并保存共享密鑰���。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法����,其中包括步驟C1�����、自由使能的客戶端或者代理向身份鑒權(quán)提供商實(shí)體發(fā)送鑒權(quán)請(qǐng)求消息���,其中攜帶引導(dǎo)事務(wù)標(biāo)識(shí)���、身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域和自由使能頭域;C2��、身份鑒權(quán)提供商實(shí)體根據(jù)鑒權(quán)請(qǐng)求消息內(nèi)容中的引導(dǎo)事務(wù)標(biāo)識(shí)����,對(duì)自由使能的客戶端或者代理進(jìn)行通用鑒權(quán)架構(gòu)鑒權(quán)�;C3�����、身份鑒權(quán)提供商實(shí)體根據(jù)鑒權(quán)請(qǐng)求頭域內(nèi)容中的身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域和自由使能頭域?qū)ψ杂墒鼓艿目蛻舳嘶蛘叽磉M(jìn)行身份標(biāo)識(shí)聯(lián)盟鑒權(quán)��;
C4�����、身份鑒權(quán)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送鑒權(quán)成功響應(yīng)消息����,其中包含身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)信封頭域、自由使能頭域��,身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)信封頭域中包含身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)頭域�����、業(yè)務(wù)提供商實(shí)體統(tǒng)一資源定位系統(tǒng)頭域�,身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)頭域包含相應(yīng)的鑒權(quán)申明��;C5、自由使能的客戶端或者代理向業(yè)務(wù)提供商實(shí)體發(fā)送應(yīng)用請(qǐng)求消息���,其中包含身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)頭域���、自由使能頭域;C6�、業(yè)務(wù)提供商實(shí)體對(duì)鑒權(quán)申明進(jìn)行處理,根據(jù)身份標(biāo)識(shí)聯(lián)盟信息對(duì)自由使能的客戶端或者代理完成鑒權(quán)��;C7�����、業(yè)務(wù)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送成功響應(yīng)消息���,其中包含自由使能頭域�。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�,其中自由使能的客戶端或者代理、業(yè)務(wù)提供商實(shí)體和身份鑒權(quán)提供商實(shí)體使用超文本傳輸協(xié)議發(fā)送和接收消息�����。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法���,其中身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域�����、身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)信封頭域由簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議封裝����。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法,其中所述步驟C2包括步驟身份鑒權(quán)提供商實(shí)體從引導(dǎo)服務(wù)功能實(shí)體上獲取與自由使能的客戶端或者代理的共享密鑰�、用戶安全設(shè)置信息、根密鑰有效期�、引導(dǎo)時(shí)間。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法���,其中所述步驟C3包括步驟鑒權(quán)成功后身份鑒權(quán)提供商實(shí)體通知自由使能的客戶端或者代理可以結(jié)成身份標(biāo)識(shí)聯(lián)盟的業(yè)務(wù)提供商實(shí)體����,自由使能的客戶端或者代理同意后�����,進(jìn)行身份標(biāo)識(shí)聯(lián)盟的相關(guān)處理�����。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法��,其中鑒權(quán)申明包含身份鑒權(quán)提供商的數(shù)字簽名�。
所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法,其中業(yè)務(wù)提供商實(shí)體的地址由所述步驟C4中的業(yè)務(wù)提供商實(shí)體統(tǒng)一資源定位系統(tǒng)頭域內(nèi)容確定�����。
本發(fā)明的技術(shù)方案克服了現(xiàn)有技術(shù)在對(duì)ID-FF的LECP進(jìn)行鑒權(quán)的過(guò)程中無(wú)法使用GBA方式鑒權(quán)的缺點(diǎn)����,提供了一種新的對(duì)LECP進(jìn)行鑒權(quán)的方法,增強(qiáng)了LECP與業(yè)務(wù)提供商實(shí)體之間通信的安全性���,使ID-FF和GBA的互通更加完善�。
圖1是現(xiàn)有技術(shù)通用鑒權(quán)架構(gòu)(GBA)示意圖��;圖2是現(xiàn)有技術(shù)UE執(zhí)行引導(dǎo)過(guò)程(bootstrapping)的流程圖���;圖3是現(xiàn)有技術(shù)NAF獲取共享密鑰Ks_(Ext/Int)_NAF的流程圖�����;圖4是現(xiàn)有技術(shù)身份標(biāo)識(shí)聯(lián)盟架構(gòu)(ID-FF)示意圖��;圖5是現(xiàn)有技術(shù)IdP和NAF為一個(gè)實(shí)體時(shí)ID-FF與GBA的互通場(chǎng)景示意圖����;圖6是現(xiàn)有技術(shù)IdP和BSF為一個(gè)實(shí)體時(shí)ID-FF與GBA的互通場(chǎng)景示意圖;圖7是本發(fā)明IdP和NAF為一個(gè)實(shí)體時(shí)LECP應(yīng)用GBA的流程圖�;圖8是本發(fā)明IdP和BSF為一個(gè)實(shí)體時(shí)LECP應(yīng)用GBA的流程圖。
具體實(shí)施例方式
下面結(jié)合附圖和實(shí)施例對(duì)本發(fā)明作進(jìn)一步詳細(xì)說(shuō)明本發(fā)明的要點(diǎn)在于為了增強(qiáng)LECP與業(yè)務(wù)提供商實(shí)體之間通信的安全性��,配合身份標(biāo)識(shí)聯(lián)盟架構(gòu)和通用鑒權(quán)架構(gòu)的互通��,在LECP與業(yè)務(wù)提供商實(shí)體的通信過(guò)程中增加通用鑒權(quán)架構(gòu)鑒權(quán)方式���,相應(yīng)的在兩者的通信消息中增加可以進(jìn)行通用鑒權(quán)架構(gòu)鑒權(quán)的消息頭域�����,在通用鑒權(quán)架構(gòu)鑒權(quán)過(guò)程中�,引導(dǎo)服務(wù)功能實(shí)體生成引導(dǎo)事務(wù)標(biāo)識(shí)�����、根密鑰有效期���,并且發(fā)送給自由使能的客戶端或者代理����,引導(dǎo)服務(wù)功能實(shí)體和自由使能的客戶端或者代理兩端都生成根密鑰�����;在身份標(biāo)識(shí)聯(lián)盟鑒權(quán)過(guò)程中��,身份鑒權(quán)提供商實(shí)體生成鑒權(quán)申明�����,并且發(fā)送給自由使能的客戶端或者代理�����。
當(dāng)IdP和NAF由一個(gè)實(shí)體實(shí)現(xiàn)其兩者功能時(shí)�,本發(fā)明的對(duì)LECP的鑒權(quán)過(guò)程包括如圖7所示的步驟;當(dāng)IdP和BSF由一個(gè)實(shí)體實(shí)現(xiàn)其兩者功能時(shí)����,本發(fā)明的對(duì)LECP的鑒權(quán)過(guò)程包括如圖8所示的步驟;下面通過(guò)對(duì)圖7和圖8所示步驟的具體說(shuō)明�,闡述本發(fā)明的實(shí)現(xiàn)過(guò)程。
首先對(duì)圖7所示步驟進(jìn)行說(shuō)明,圖7介紹了本發(fā)明當(dāng)IdP和NAF由一個(gè)實(shí)體實(shí)現(xiàn)其兩者功能時(shí)的實(shí)施例1��,包括下面的步驟步驟1為了保證通信安全����,LECP和SP之間事先建立TLS(TransportLayer Security,傳輸層安全協(xié)議)安全隧道�����。LECP向SP發(fā)出HTTP應(yīng)用請(qǐng)求消息�����,其中包含Liberty-Enabled頭域(自由使能頭域)�����。
步驟2SP發(fā)現(xiàn)HTTP應(yīng)用請(qǐng)求消息中包含上述Liberty-Enabled頭域�,確認(rèn)不需要獲取IdP的地址。
步驟3SP發(fā)現(xiàn)HTTP應(yīng)用請(qǐng)求消息中沒(méi)有包含AuthnResponse頭域(身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)頭域)����,給LECP發(fā)送HTTP 200 OK響應(yīng)消息,其中包含AuthnRequestEnvelope頭域(身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求信封頭域)和Liberty-Enabled頭域����,請(qǐng)求LECP先到相應(yīng)的IdP上進(jìn)行鑒權(quán)����;AuthnRequestEnvelope頭域包含AuthnRequest頭域(身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域)�����、AssertionConsumerServiceURL頭域(業(yè)務(wù)提供商實(shí)體統(tǒng)一資源定位系統(tǒng)頭域�,即SP本身的URL�����,以便鑒權(quán)成功以后LECP可以重新定向到該SP)等內(nèi)容�����。
步驟4LECP事先知道應(yīng)該到哪個(gè)IdP上去鑒權(quán)以便訪問(wèn)該SP����,因此給相應(yīng)的IdP發(fā)送HTTP POST鑒權(quán)請(qǐng)求消息,其中包含步驟3中獲取的并且由SOAP協(xié)議封裝的AuthnRequest頭域和Liberty-Enabled頭域�。
步驟5IdP向LECP發(fā)送HTTP挑戰(zhàn)響應(yīng)消息,其中包含Liberty-Enabled頭域��,通知LECP到BSF進(jìn)行相互鑒權(quán)以驗(yàn)證身份。
步驟6LECP向BSF發(fā)送GBA鑒權(quán)請(qǐng)求消息��,其中包含私有用戶標(biāo)識(shí)(IMPI)���,要求與BSF進(jìn)行相互鑒權(quán)�����。
步驟7BSF收到LECP的GBA鑒權(quán)請(qǐng)求消息后��,首先到HSS獲取該LECP的鑒權(quán)向量信息�,即認(rèn)證矢量(鑒權(quán)序號(hào)參數(shù)AUTN����,隨機(jī)參數(shù)RAND,完整性密鑰IK�,機(jī)密性密鑰CK,預(yù)期結(jié)果XRES)�����。
步驟8BSF保存XRES�����、IK、CK���,并向LECP發(fā)送消息���,其中攜帶AUTN和RAND。
步驟9LECP運(yùn)行AKA算法���,檢查AUTN有效性以鑒權(quán)BSF,并生成期望結(jié)果RES�。并且利用RAND生成完整性密鑰IK和機(jī)密性密鑰CK。
步驟10LECP向BSF發(fā)送消息��,其中攜帶IMPI��、期望結(jié)果RES���。
步驟11BSF將RES和保存的XRES比較�����,如果兩者一致的話完成對(duì)LECP的鑒權(quán)�。
步驟12BSF利用保存的IK和CK生成根密鑰Ks�。
步驟13BSF向LECP發(fā)送GBA成功響應(yīng)消息�����,其中攜帶引導(dǎo)事務(wù)標(biāo)識(shí)(B-TID)和根密鑰Ks有效期�。
步驟14LECP保存B-TID和根密鑰Ks有效期�����,并利用IK和CK生成根密鑰Ks���。
步驟15LECP生成并保存共享密鑰Ks_(Ext/Int)_NAF����。
步驟16LECP再次向IdP發(fā)送HTTP POST鑒權(quán)請(qǐng)求消息�,其中攜帶B-TID、SOAP協(xié)議封裝的AuthnRequest頭域和Liberty-Enabled頭域�。
步驟17由于IdP和NAF為一個(gè)實(shí)體,因此IdP需要象正常的GBA流程一樣通過(guò)Zn接口向BSF獲取Ks_(Ext/Int)_NAF�、用戶安全設(shè)置信息(USS)、根密鑰Ks有效期�、引導(dǎo)時(shí)間等信息,其中USS可能包含有一些身份標(biāo)識(shí)聯(lián)盟相關(guān)的信息�,然后對(duì)LECP進(jìn)行GBA過(guò)程的鑒權(quán)。
步驟18IdP去除SOAP協(xié)議封裝����,得到AuthnRequest頭域內(nèi)容�;IdP根據(jù)AuthnRequest頭域內(nèi)容對(duì)LECP進(jìn)行身份標(biāo)識(shí)聯(lián)盟鑒權(quán)�;鑒權(quán)成功后IdP告訴LECP可以和哪些SP結(jié)成身份標(biāo)識(shí)聯(lián)盟,如果LECP同意��,則完成和SP的身份標(biāo)識(shí)聯(lián)盟��。
步驟19IdP向LECP返回HTTP 200 OK鑒權(quán)成功響應(yīng)消息�����,其中包含SOAP協(xié)議封裝的AuthnResponseEnvelope頭域��、Libeny Enabled頭域���,AuthnResponseEnvelope頭域中包含AuthnResponse頭域、AssertionConsumerServiceURL頭域等內(nèi)容��,其中AuthnResponse頭域包含相應(yīng)的鑒權(quán)申明Assertion(里面有IdP的數(shù)字簽名以及該用戶的有關(guān)信息)����,AssertionConsumerServiceURL頭域的內(nèi)容則和步驟3中AssertionConsumerServiceURL頭域的內(nèi)容一樣。
步驟20LECP重新向步驟19中AssertionConsumerServiceURL頭域確定的SP發(fā)送HTTP POST應(yīng)用請(qǐng)求消息���,其中包括步驟19返回的AuthnResponse頭域����、Liberty-Enabled頭域,其中AuthnResponse頭域攜帶步驟19中得到的鑒權(quán)申明Assertion(里面有IdP的數(shù)字簽名以及該用戶的有關(guān)信息)���。
步驟21SP對(duì)Assertion進(jìn)行處理�����,根據(jù)和IdP的身份標(biāo)識(shí)聯(lián)盟信息對(duì)LECP完成身份標(biāo)識(shí)聯(lián)盟鑒權(quán)��。
步驟22SP向LECP發(fā)送HTTP成功響應(yīng)消息�,其中包含Liberty-Enabled頭域����。
這以后LECP和SP可以繼續(xù)進(jìn)行通訊,直到密鑰過(guò)期或者即將過(guò)期為止���。
圖8介紹了本發(fā)明當(dāng)IdP和BSF由一個(gè)實(shí)體實(shí)現(xiàn)其兩者功能時(shí)的實(shí)施例2����,實(shí)施例2的流程與實(shí)施例1的主要區(qū)別,體現(xiàn)在實(shí)施例2的步驟17上步驟17由于IdP和BSF為一個(gè)實(shí)體��,因此IdP不需要象正常的GBA流程一樣通過(guò)Zn接口向BSF獲取Ks_(Ext/Int)_NAF�����、USS�����、密鑰有效期�����、引導(dǎo)時(shí)間等信息����,而是直接在本地獲取,其中USS可能包含有一些身份標(biāo)識(shí)聯(lián)盟相關(guān)的信息���;然后對(duì)LECP進(jìn)行GBA過(guò)程的鑒權(quán)。
需要注意的是由于IdP和BSF為一體��,因此計(jì)算Ks_(Ext/Int)_NAF時(shí)BSF總是知道“NAF_ID”的����。本步驟在BSF上執(zhí)行時(shí)�,也可以放到步驟12-步驟16之間����,效果是一樣的。
另外�����,實(shí)施例1中LECP和IdP(NAF)交互時(shí)是在Ua接口�,而實(shí)施例2中LECP和IdP(BSF)交互時(shí)是在Ub接口,因此實(shí)施例2中LECP和IdP交互時(shí)的相關(guān)步驟雖然和實(shí)施例1的一樣����,但是實(shí)際上發(fā)生在不同的接口。
雖然通過(guò)參照本發(fā)明的優(yōu)選實(shí)施例��,已經(jīng)對(duì)本發(fā)明進(jìn)行了圖示和描述�����,但本領(lǐng)域的普通技術(shù)人員應(yīng)該明白����,可以在形式上和細(xì)節(jié)上對(duì)其作各種各樣的改變���,而不偏離所附權(quán)利要求書(shū)所限定的本發(fā)明的精神和范圍。
權(quán)利要求
1.一種對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法���,其特征在于����,包括步驟自由使能的客戶端或者代理和業(yè)務(wù)提供商實(shí)體的通信過(guò)程中包括兩種鑒權(quán)過(guò)程����,分別是通用鑒權(quán)架構(gòu)鑒權(quán)過(guò)程和身份標(biāo)識(shí)聯(lián)盟鑒權(quán)過(guò)程,在通用鑒權(quán)架構(gòu)鑒權(quán)過(guò)程中�����,引導(dǎo)服務(wù)功能實(shí)體生成引導(dǎo)事務(wù)標(biāo)識(shí)�����、根密鑰有效期�,并且發(fā)送給自由使能的客戶端或者代理,引導(dǎo)服務(wù)功能實(shí)體和自由使能的客戶端或者代理兩端都生成根密鑰��;在身份標(biāo)識(shí)聯(lián)盟鑒權(quán)過(guò)程中��,身份鑒權(quán)提供商實(shí)體生成鑒權(quán)申明����,并且發(fā)送給自由使能的客戶端或者代理。
2.根據(jù)權(quán)利要求1所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法��,其特征在于�����,包括步驟自由使能的客戶端或者代理向業(yè)務(wù)提供商實(shí)體發(fā)送應(yīng)用請(qǐng)求消息�����,業(yè)務(wù)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送響應(yīng)消息�,該響應(yīng)消息中包含要求自由使能的客戶端或者代理到相應(yīng)的身份鑒權(quán)提供商實(shí)體和引導(dǎo)服務(wù)功能實(shí)體上進(jìn)行鑒權(quán)的信息。
3.根據(jù)權(quán)利要求2所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法����,其特征在于,包括步驟自由使能的客戶端或者代理向相應(yīng)的身份鑒權(quán)提供商實(shí)體發(fā)送身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求消息���,身份鑒權(quán)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送要求其進(jìn)行通用鑒權(quán)架構(gòu)鑒權(quán)的響應(yīng)消息��,引導(dǎo)服務(wù)功能實(shí)體對(duì)自由使能的客戶端或者代理進(jìn)行通用鑒權(quán)架構(gòu)鑒權(quán)����,鑒權(quán)成功后向自由使能的客戶端或者代理發(fā)送通用鑒權(quán)架構(gòu)鑒權(quán)成功響應(yīng)消息,該鑒權(quán)成功響應(yīng)消息中包含引導(dǎo)事務(wù)標(biāo)識(shí)��。
4.根據(jù)權(quán)利要求3所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�����,其特征在于�����,包括步驟身份鑒權(quán)提供商實(shí)體對(duì)自由使能的客戶端或者代理進(jìn)行身份標(biāo)識(shí)聯(lián)盟鑒權(quán)����,鑒權(quán)成功后向自由使能的客戶端或者代理發(fā)送身份標(biāo)識(shí)聯(lián)盟鑒權(quán)成功響應(yīng)消息,該鑒權(quán)成功響應(yīng)消息中包含鑒權(quán)申明��。
5.根據(jù)權(quán)利要求2所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法����,其特征在于,包括步驟A1�、自由使能的客戶端或者代理向業(yè)務(wù)提供商實(shí)體發(fā)送應(yīng)用請(qǐng)求消息,其中包含自由使能頭域����;A2、業(yè)務(wù)提供商實(shí)體發(fā)現(xiàn)應(yīng)用請(qǐng)求消息中包含自由使能頭域��,確認(rèn)不需要獲取身份鑒權(quán)提供商實(shí)體地址��;A3�、業(yè)務(wù)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送成功響應(yīng)消息,其中包含身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求信封頭域和自由使能頭域���;A4�、自由使能的客戶端或者代理向給相應(yīng)的身份鑒權(quán)提供商實(shí)體發(fā)送鑒權(quán)請(qǐng)求消息����,其中包含身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域和自由使能頭域;A5�����、身份鑒權(quán)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送挑戰(zhàn)響應(yīng)消息�����,其中包含自由使能頭域�。
6.根據(jù)權(quán)利要求5所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法����,其特征在于身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求信封頭域包含鑒權(quán)請(qǐng)求頭域和業(yè)務(wù)提供商實(shí)體統(tǒng)一資源定位系統(tǒng)頭域��。
7.根據(jù)權(quán)利要求5所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�,其特征在于業(yè)務(wù)提供商實(shí)體和自由使能的客戶端或者代理使用超文本傳輸協(xié)議發(fā)送和接收消息。
8.根據(jù)權(quán)利要求5所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法���,其特征在于身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域由簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議封裝���。
9.根據(jù)權(quán)利要求3所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法,其特征在于����,包括步驟B1、自由使能的客戶端或者代理向引導(dǎo)服務(wù)功能實(shí)體發(fā)送通用鑒權(quán)架構(gòu)鑒權(quán)請(qǐng)求消息��,其中包含私有用戶標(biāo)識(shí)��;B2���、引導(dǎo)服務(wù)功能實(shí)體收到該通用鑒權(quán)架構(gòu)鑒權(quán)請(qǐng)求消息后����,從用戶歸屬網(wǎng)絡(luò)服務(wù)器獲取自由使能的客戶端或者代理的認(rèn)證矢量;B3��、引導(dǎo)服務(wù)功能實(shí)體向自由使能的客戶端或者代理發(fā)送消息�,其中攜帶鑒權(quán)序號(hào)參數(shù)和隨機(jī)參數(shù);B4�、自由使能的客戶端或者代理檢查鑒權(quán)序號(hào)參數(shù)有效性并生成期望結(jié)果��;B5���、自由使能的客戶端或者代理向引導(dǎo)服務(wù)功能實(shí)體發(fā)送消息��,其中攜帶私有用戶標(biāo)識(shí)�、期望結(jié)果�;B6、引導(dǎo)服務(wù)功能實(shí)體檢查期望結(jié)果的有效性并完成對(duì)自由使能的客戶端或者代理的鑒權(quán)���;B7�����、引導(dǎo)服務(wù)功能實(shí)體生成根密鑰�����;B8�、引導(dǎo)服務(wù)功能實(shí)體向自由使能的客戶端或者代理發(fā)送通用鑒權(quán)架構(gòu)成功響應(yīng)消息,其中攜帶引導(dǎo)事務(wù)標(biāo)識(shí)和根密鑰有效期����;B9、自由使能的客戶端或者代理保存引導(dǎo)事務(wù)標(biāo)識(shí)和根密鑰有效期����,生成并保存根密鑰;B10�����、自由使能的客戶端或者代理生成并保存共享密鑰�。
10.根據(jù)權(quán)利要求4所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法,其特征在于����,包括步驟C1、自由使能的客戶端或者代理向身份鑒權(quán)提供商實(shí)體發(fā)送鑒權(quán)請(qǐng)求消息��,其中攜帶引導(dǎo)事務(wù)標(biāo)識(shí)����、身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域和自由使能頭域����;C2�、身份鑒權(quán)提供商實(shí)體根據(jù)鑒權(quán)請(qǐng)求消息內(nèi)容中的引導(dǎo)事務(wù)標(biāo)識(shí),對(duì)自由使能的客戶端或者代理進(jìn)行通用鑒權(quán)架構(gòu)鑒權(quán)��;C3��、身份鑒權(quán)提供商實(shí)體根據(jù)鑒權(quán)請(qǐng)求頭域內(nèi)容中的身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域和自由使能頭域?qū)ψ杂墒鼓艿目蛻舳嘶蛘叽磉M(jìn)行身份標(biāo)識(shí)聯(lián)盟鑒權(quán)���;C4、身份鑒權(quán)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送鑒權(quán)成功響應(yīng)消息�����,其中包含身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)信封頭域�、自由使能頭域,身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)信封頭域中包含身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)頭域���、業(yè)務(wù)提供商實(shí)體統(tǒng)一資源定位系統(tǒng)頭域�����,身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)頭域包含相應(yīng)的鑒權(quán)申明���;C5�、自由使能的客戶端或者代理向業(yè)務(wù)提供商實(shí)體發(fā)送應(yīng)用請(qǐng)求消息����,其中包含所述身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)頭域、自由使能頭域���;C6���、業(yè)務(wù)提供商實(shí)體對(duì)鑒權(quán)申明進(jìn)行處理,根據(jù)身份標(biāo)識(shí)聯(lián)盟信息對(duì)自由使能的客戶端或者代理完成鑒權(quán)���;C7��、業(yè)務(wù)提供商實(shí)體向自由使能的客戶端或者代理發(fā)送成功響應(yīng)消息��,其中包含自由使能頭域�。
11.根據(jù)權(quán)利要求10所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�,其特征在于自由使能的客戶端或者代理、業(yè)務(wù)提供商實(shí)體和身份鑒權(quán)提供商實(shí)體使用超文本傳輸協(xié)議發(fā)送和接收消息����。
12.根據(jù)權(quán)利要求10所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�,其特征在于身份標(biāo)識(shí)聯(lián)盟鑒權(quán)請(qǐng)求頭域����、身份標(biāo)識(shí)聯(lián)盟鑒權(quán)響應(yīng)信封頭域由簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議封裝。
13.根據(jù)權(quán)利要求10所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�����,其特征在于��,所述步驟C2包括步驟身份鑒權(quán)提供商實(shí)體從引導(dǎo)服務(wù)功能實(shí)體上獲取與自由使能的客戶端或者代理的共享密鑰��、用戶安全設(shè)置信息���、根密鑰有效期、引導(dǎo)時(shí)間����。
14.根據(jù)權(quán)利要求10所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法,其特征在于��,所述步驟C3包括步驟鑒權(quán)成功后身份鑒權(quán)提供商實(shí)體通知自由使能的客戶端或者代理可以結(jié)成身份標(biāo)識(shí)聯(lián)盟的業(yè)務(wù)提供商實(shí)體����,自由使能的客戶端或者代理同意后���,進(jìn)行身份標(biāo)識(shí)聯(lián)盟的相關(guān)處理。
15.根據(jù)權(quán)利要求10所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�,其特征在于鑒權(quán)申明包含身份鑒權(quán)提供商的數(shù)字簽名。
16.根據(jù)權(quán)利要求10所述的對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�����,其特征在于業(yè)務(wù)提供商實(shí)體的地址由所述步驟C4中的業(yè)務(wù)提供商實(shí)體統(tǒng)一資源定位系統(tǒng)頭域內(nèi)容確定�����。
全文摘要
本發(fā)明公開(kāi)了一種對(duì)自由使能的客戶端或者代理進(jìn)行鑒權(quán)的方法�����,包括步驟自由使能的客戶端或者代理和業(yè)務(wù)提供商實(shí)體的通信過(guò)程中包括兩種鑒權(quán)過(guò)程����,分別是通用鑒權(quán)架構(gòu)鑒權(quán)過(guò)程和身份標(biāo)識(shí)聯(lián)盟鑒權(quán)過(guò)程,在通用鑒權(quán)架構(gòu)鑒權(quán)過(guò)程中�,引導(dǎo)服務(wù)功能實(shí)體生成引導(dǎo)事務(wù)標(biāo)識(shí)、根密鑰有效期��,并且發(fā)送給自由使能的客戶端或者代理,引導(dǎo)服務(wù)功能實(shí)體和自由使能的客戶端或者代理兩端都生成根密鑰�;在身份標(biāo)識(shí)聯(lián)盟鑒權(quán)過(guò)程中,身份鑒權(quán)提供商實(shí)體生成鑒權(quán)申明��,并且發(fā)送給自由使能的客戶端或者代理�����。本發(fā)明的技術(shù)方案克服了現(xiàn)有技術(shù)在對(duì)ID-FF的LECP進(jìn)行鑒權(quán)的過(guò)程中無(wú)法使用GBA方式鑒權(quán)的缺點(diǎn)���,提供了一種新的對(duì)LECP進(jìn)行鑒權(quán)的方法�����,使ID-FF和GBA的互通更加完善�。
文檔編號(hào)H04L9/08GK1953371SQ20061003366
公開(kāi)日2007年4月25日 申請(qǐng)日期2006年2月13日 優(yōu)先權(quán)日2006年2月13日
發(fā)明者何承東 申請(qǐng)人:華為技術(shù)有限公司