亚洲成年人黄色一级片,日本香港三级亚洲三级,黄色成人小视频,国产青草视频,国产一区二区久久精品,91在线免费公开视频,成年轻人网站色直接看

對請求消息的鑒權(quán)方法和相關(guān)設(shè)備的制作方法

文檔序號:7663324閱讀:110來源:國知局
專利名稱:對請求消息的鑒權(quán)方法和相關(guān)設(shè)備的制作方法
技術(shù)領(lǐng)域
本發(fā)明涉及通信技術(shù)領(lǐng)域,具體涉及鑒權(quán)服務(wù)設(shè)備對請求消息的鑒權(quán)方 法、應(yīng)用服務(wù)器對終端請求的鑒權(quán)方法、終端的鑒權(quán)方法以及相應(yīng)的鑒權(quán)服務(wù) 設(shè)備、應(yīng)用服務(wù)器和終端。
背景技術(shù)
隨著通信業(yè)務(wù)的不斷豐富和發(fā)展,運營商和用戶都需要可靠的安全機(jī)制來保證業(yè)務(wù)的合法使用。例如,在基于網(wǎng)際協(xié)議(IP: Internet Protocol)多媒體 子系統(tǒng)(IMS: IP Multimedia Subsystem)的多媒體廣播/多播業(yè)務(wù)(MBMS: Multimedia Broadcast / Multicast Service)中,當(dāng)用戶需要通過終端設(shè)備訪問受 保護(hù)的MBMS業(yè)務(wù)時,通常會對終端進(jìn)行鑒權(quán)認(rèn)證。目前一種常用的認(rèn)證過 程可參考圖l,主要包括以下兩個環(huán)節(jié)一、 密鑰協(xié)商通過該過程,終端(UE: User Equipment)與提供安全機(jī)制的鑒權(quán)服務(wù)設(shè) 備協(xié)商共享的密鑰相關(guān)數(shù)據(jù)。具體協(xié)商方式通??刹捎猛ㄓ靡龑?dǎo)架構(gòu)(GBA: Generic Bootstrapping Architecture)來進(jìn)行,在GBA中提供安全機(jī)制的設(shè)備為 引導(dǎo)服務(wù)功能(BSF: Bootstrapping Server Function)實體。完成GBA過程后, UE和BSF都記錄了本次GBA過程的密鑰相關(guān)數(shù)據(jù),包括Bootstrapping事務(wù) 標(biāo)識(B-TID: Bootstrapping Transaction IDentifier )、 IMS用戶私有標(biāo)志符(IMPI: IP Multimedia Private Identity )、加密密鑰(CK: Cipher Key ),完整性密鑰(IK: Interity Key )等。UE和BSF可利用CK和IK生成彼此共享的密鑰資料Ks。二、 安全關(guān)聯(lián)此過程將UE與BSF協(xié)商的密鑰資料Ks關(guān)聯(lián)到提供網(wǎng)絡(luò)應(yīng)用功能(NAF: Network Application Function)的應(yīng)用月艮務(wù)器(AS: Application Server )。在GBA 完成以后,UE和BSF之間達(dá)成了共享密鑰Ks, UE可利用AS的標(biāo)識NAF—Id 和Ks計算出相關(guān)密鑰Ks一NAF。然而AS還沒有獲得該密鑰的有關(guān)信息,為 了在UE和AS之間達(dá)成共享密鑰以進(jìn)行通信,還需要執(zhí)行如下步驟
1 、 UE向AS發(fā)送超文本傳輸協(xié)議(HTTP: Hypertext Transfer Protocol) 請求,請求中包含B-TID。2、 AS向BSF發(fā)送HTTP請求,請求中包含B-TID和自身的主機(jī)名。3、 BSF驗證AS的請求后,根據(jù)已經(jīng)與UE達(dá)成的Ks以及收到的主機(jī)名 計算出相關(guān)密鑰Ks_NAF,然后通過HTTP響應(yīng)發(fā)送給AS, —起發(fā)送的還可 包括密鑰的有效時間以及用戶安全設(shè)置等。4、 AS收到BSF的響應(yīng)后,根據(jù)Ks_NAF計算鑒權(quán)響應(yīng)數(shù)據(jù),通過HTTP 響應(yīng)發(fā)送給UE。UE根據(jù)自身記錄的Ks—NAF驗證了 AS的響應(yīng)后,即完成鑒權(quán)過程,UE 和AS可憑借已建立的共享密鑰Ks_NAF開始安全通信。在對現(xiàn)有技術(shù)的研究和實踐過程中,本發(fā)明的發(fā)明人發(fā)現(xiàn),對于比較復(fù)雜 的業(yè)務(wù)而言,在服務(wù)器側(cè)往往需要由多個特定功能的服務(wù)協(xié)同配合才能完成, 即由多個AS構(gòu)成一個完整的業(yè)務(wù)。例如,對于移動網(wǎng)絡(luò)上的MBMS業(yè)務(wù), 可以由提供展現(xiàn)接口 ( Portal)的AS1實現(xiàn)UE上業(yè)務(wù)導(dǎo)4元(Service Guide) 的獲取,由提供訂購Portal的AS2實現(xiàn)用戶對MBMS業(yè)務(wù)的訂購等。在這種 情況下,按照現(xiàn)有的鑒權(quán)方式,UE需要根據(jù)不同的AS分別執(zhí)行上述密鑰協(xié) 商和安全關(guān)聯(lián)的過程,交互消息過多,增加了應(yīng)用響應(yīng)的延遲。發(fā)明內(nèi)容本發(fā)明實施例提供能夠簡化終端與多個應(yīng)用之間鑒權(quán)過程的請求消息鑒 權(quán)方案,包括一種對請求消息的鑒權(quán)方法,包括與終端協(xié)商密鑰信息,為終端分配與 所述密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);接收應(yīng)用服務(wù)器的關(guān)聯(lián)請 求,所述關(guān)聯(lián)請求攜帶有鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);根據(jù)所述關(guān)聯(lián)請求攜帶 的鑒權(quán)事務(wù)標(biāo)識對所述關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證;在驗證通過后, 查找與所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的密鑰信息,向所述應(yīng)用服務(wù)器 返回與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng),所述關(guān)聯(lián)響應(yīng)攜帶有根據(jù)所述查找到的 密鑰信息生成的鑒權(quán)密鑰。一種應(yīng)用服務(wù)器對終端請求的鑒權(quán)方法,包括接收終端的認(rèn)證請求,所
述認(rèn)證請求攜帶有鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);根據(jù)所述認(rèn)證請求向鑒權(quán)服務(wù)設(shè)備發(fā)送關(guān)聯(lián)請求,f斤述關(guān)聯(lián)請求攜帶有所述鑒權(quán)事務(wù)標(biāo)識和所述鑒權(quán)隨機(jī)數(shù);接收所述鑒權(quán)服務(wù)設(shè)備返回的與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng),所述關(guān)聯(lián) 響應(yīng)攜帶有鑒權(quán)密鑰;向所述終端返回與所述認(rèn)證請求對應(yīng)的成功響應(yīng),所述 成功響應(yīng)攜帶有根據(jù)所述鑒權(quán)密鑰生成的鑒權(quán)響應(yīng)數(shù)據(jù)。一種終端的鑒權(quán)方法,包括判斷是否保存有密鑰信息以及與所述密鑰信 息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù),若否,則與鑒權(quán)服務(wù)設(shè)備協(xié)商密鑰信息, 獲得所述鑒權(quán)服務(wù)設(shè)備分配的與所述密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨 機(jī)數(shù);然后執(zhí)行"若是"的步驟;若是,則向應(yīng)用服務(wù)器發(fā)送認(rèn)證請求,所述 認(rèn)證請求攜帶有所述鑒權(quán)事務(wù)標(biāo)識和所述鑒權(quán)隨機(jī)數(shù);接收所述應(yīng)用服務(wù)器返 回的與所述認(rèn)i正請求對應(yīng)的成功響應(yīng),所述成功響應(yīng)攜帶有鑒權(quán)響應(yīng)數(shù)據(jù),沖艮 據(jù)所述密鑰信息對所述鑒權(quán)響應(yīng)數(shù)據(jù)進(jìn)行驗證。一種鑒權(quán)服務(wù)設(shè)備,包括鑒權(quán)服務(wù)模塊,用于與終端協(xié)商密鑰信息,為 終端分配與所述密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);統(tǒng)一鑒權(quán)^t塊, 用于接收應(yīng)用服務(wù)器的關(guān)聯(lián)請求,獲得所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識和鑒 權(quán)隨機(jī)數(shù);根據(jù)所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識,按照所述鑒權(quán)服務(wù)模塊提 供的數(shù)據(jù)對所述關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證;在驗證通過后,查找與 所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的密鑰信息,向所述應(yīng)用服務(wù)器返回與 所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng),在所述關(guān)聯(lián)響應(yīng)中攜帶根據(jù)所述查找到的密鑰 信息生成的鑒權(quán)密鑰。一種應(yīng)用服務(wù)器,包括接口模塊,用于接收終端的認(rèn)證請求;向鑒權(quán)服 務(wù)設(shè)備發(fā)送關(guān)聯(lián)請求;接收所述鑒權(quán)服務(wù)設(shè)備返回的與所述關(guān)聯(lián)請求對應(yīng)的關(guān) 聯(lián)響應(yīng);向所述終端返回與所述認(rèn)^i正請求對應(yīng)的成功響應(yīng);安全關(guān)聯(lián)^^莫塊,用 于獲得所述認(rèn)證請求中攜帶的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù),根據(jù)所述認(rèn)證請求 生成所述需要向鑒權(quán)服務(wù)設(shè)備發(fā)送的關(guān)聯(lián)請求,在所述關(guān)聯(lián)請求中攜帶所述鑒 權(quán)事務(wù)標(biāo)識和所述鑒權(quán)隨機(jī)數(shù);獲得所述關(guān)聯(lián)響應(yīng)攜帶的鑒權(quán)密鑰,根據(jù)所述關(guān)聯(lián)響應(yīng)攜帶的鑒權(quán)密鑰生成鑒權(quán)響應(yīng)數(shù)據(jù),生成所述需要向終端返回的成功 響應(yīng),在所述成功響應(yīng)中攜帶所述鑒權(quán)響應(yīng)數(shù)據(jù)。一種終端,包括安全服務(wù)模塊,用于與鑒權(quán)服務(wù)設(shè)備協(xié)商密鑰信息,獲 得所述鑒權(quán)服務(wù)設(shè)備分配的與所述密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī) 數(shù);應(yīng)用服務(wù)模塊,用于向應(yīng)用服務(wù)器發(fā)起認(rèn)證請求,在所述認(rèn)證請求中攜帶 所述鑒權(quán)事務(wù)標(biāo)識和所述鑒權(quán)隨機(jī)數(shù);獲得所述應(yīng)用服務(wù)器返回的與所述認(rèn)證 請求對應(yīng)的成功響應(yīng),獲得所述成功響應(yīng)中攜帶的鑒權(quán)響應(yīng)數(shù)據(jù),根據(jù)所述密 鑰信息對所述鑒權(quán)響應(yīng)數(shù)據(jù)進(jìn)行驗證;鑒權(quán)控制模塊,用于在需要向應(yīng)用服務(wù) 器發(fā)送認(rèn)證請求時,判斷是否保存有密鑰信息以及與所述密鑰信息對應(yīng)的鑒權(quán) 事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);若否,則控制所述安全服務(wù)模塊獲取所需數(shù)據(jù);若是, 則控制所述應(yīng)用服務(wù)模塊發(fā)起認(rèn)證請求。本發(fā)明實施例采用由鑒權(quán)服務(wù)設(shè)備對鑒權(quán)隨機(jī)數(shù)進(jìn)行集中分配和管理的 方式,當(dāng)終端使用受保護(hù)業(yè)務(wù)時,只需要執(zhí)行一次密鑰協(xié)商過程,即可按照鑒 權(quán)隨機(jī)數(shù)的使用策略,依次完成與多個應(yīng)用服務(wù)器的鑒權(quán),簡化了終端與應(yīng)用 之間的鑒權(quán)過程,提高了應(yīng)用響應(yīng)的速度。


圖l是現(xiàn)有鑒權(quán)認(rèn)證方法流程示意圖;圖2是本發(fā)明實施例的鑒權(quán)服務(wù)設(shè)備對請求消息的鑒權(quán)方法流程示意圖; 圖3是本發(fā)明實施例的鑒權(quán)服務(wù)設(shè)備邏輯結(jié)構(gòu)示意圖; 圖4是本發(fā)明實施例的 一種系統(tǒng)架構(gòu)示意圖;圖5是本發(fā)明實施例的應(yīng)用服務(wù)器對終端請求的鑒權(quán)方法流程示意圖;圖6是本發(fā)明實施例的應(yīng)用服務(wù)器邏輯結(jié)構(gòu)示意圖;圖7是本發(fā)明實施例的終端的鑒權(quán)方法流程示意圖;圖8是本發(fā)明實施例的終端邏輯結(jié)構(gòu)示意圖;圖9是采用本發(fā)明實施例的 一個GBA過程示意圖;圖IO是采用本發(fā)明實施例的一個鑒權(quán)成功過程示意圖;圖ll是采用本發(fā)明實施例的一個鑒權(quán)不成功過程示意圖;圖12是采用本發(fā)明實施例的另 一個鑒權(quán)不成功過程示意圖。
具體實施例方式
本發(fā)明實施例提供了 一種對請求消息的鑒權(quán)方案,以下分別從鑒權(quán)服務(wù)設(shè) 備、應(yīng)用服務(wù)器和終端的角度對該方案進(jìn)行詳細(xì)說明。本發(fā)明實施例的鑒權(quán)服務(wù)設(shè)備對請求消息的鑒權(quán)方法參考圖2,包括 Al、與終端協(xié)商密鑰信息,為終端分配與該密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo) 識和鑒一又隨一幾lt。本實施例不限定鑒權(quán)服務(wù)設(shè)備與終端之間的密鑰協(xié)商方式,只要雙方通過 協(xié)商能夠獲得共享的密鑰信息即可,只是需要對所使用的協(xié)商方式進(jìn)行擴(kuò)展, 使得能夠?qū)㈣b權(quán)服務(wù)設(shè)備分配的鑒權(quán)隨機(jī)數(shù)遞交給終端。例如,若采用GBA過程進(jìn)行密鑰協(xié)商,可將Ks視為共享的密鑰信息,將 GBA過程中分配的B-TID作為鑒權(quán)事務(wù)標(biāo)識,至于鑒權(quán)隨機(jī)數(shù),可通過在對終 端的響應(yīng)消息中擴(kuò)展一個新的參數(shù),例如nextnonce來攜帶。鑒權(quán)服務(wù)設(shè)備對鑒權(quán)隨機(jī)數(shù)可以采用兩種管理模式① 更新管理鑒權(quán)服務(wù)設(shè)備可以為終端后續(xù)的每次認(rèn)證請求都分配新的鑒權(quán)隨機(jī)數(shù)。例 如,可以在完成密鑰協(xié)商時,通過成功響應(yīng)分配給終端第一個鑒權(quán)隨機(jī)數(shù),用 于終端第 一次向應(yīng)用服務(wù)器的認(rèn)證請求;在后續(xù)每次成功響應(yīng)應(yīng)用服務(wù)器的關(guān) 聯(lián)請求時,返回新分配的鑒權(quán)隨機(jī)數(shù),該新分配的鑒權(quán)隨機(jī)數(shù)將通過應(yīng)用服務(wù) 器遞交給終端,用于終端下一次的認(rèn)證請求。② 計次管理鑒權(quán)服務(wù)設(shè)備也可以記錄所分配的鑒權(quán)隨機(jī)數(shù)的使用次數(shù)。例如,可以在 完成密鑰協(xié)商時,通過成功響應(yīng)分配給終端第一個鑒權(quán)隨機(jī)數(shù),并初始化其使 用次數(shù)為l;在后續(xù)每次成功響應(yīng)應(yīng)用服務(wù)器的關(guān)聯(lián)請求時,對鑒權(quán)隨機(jī)數(shù)的 使用次數(shù)進(jìn)行累加。當(dāng)然,這種模式下,終端也需要記錄鑒權(quán)隨機(jī)數(shù)的使用次 數(shù)和根據(jù)使用情況進(jìn)行累加,并在向應(yīng)用服務(wù)器的認(rèn)證請求中攜帶鑒權(quán)隨機(jī)數(shù) 的使用次數(shù),通過應(yīng)用服務(wù)器的關(guān)聯(lián)請求攜帶給鑒權(quán)服務(wù)設(shè)備,作為鑒權(quán)服務(wù) 設(shè)備對請求消息的驗證依據(jù)。A2、接收應(yīng)用服務(wù)器的關(guān)聯(lián)請求,所述關(guān)聯(lián)請求攜帶有鑒權(quán)事務(wù)標(biāo)識和 鑒權(quán)隨機(jī)數(shù)。
當(dāng)然,若基于管理模式②,鑒權(quán)服務(wù)設(shè)備接收的關(guān)聯(lián)請求還攜帶有鑒權(quán)隨 機(jī)數(shù)的使用次數(shù)。 —A3 、根據(jù)收到的關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對該關(guān)聯(lián)請求攜帶的鑒權(quán) 隨機(jī)數(shù)進(jìn)行驗證,若驗證通過則執(zhí)行步驟A4,若驗證失敗則執(zhí)行步驟A5?;诠芾砟J舰伲b權(quán)服務(wù)設(shè)備對鑒權(quán)隨機(jī)數(shù)的具體驗證方式為查找與 該關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的鑒權(quán)隨機(jī)數(shù),驗證該關(guān)聯(lián)請求攜帶的鑒 權(quán)隨機(jī)數(shù)與查找到的鑒權(quán)隨機(jī)數(shù)是否一致?;诠芾砟J舰?,鑒權(quán)服務(wù)設(shè)備對鑒權(quán)隨機(jī)數(shù)的具體驗證方式為查找與 該關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的鑒權(quán)隨機(jī)數(shù)及其使用次數(shù),驗證該關(guān)聯(lián) 請求攜帶的鑒權(quán)隨機(jī)數(shù)及其使用次數(shù)與查找到的鑒權(quán)隨機(jī)數(shù)及其使用次數(shù)是 否一致。A4、在驗證通過后,查找與關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的密鑰信 息,向應(yīng)用服務(wù)器返回與該關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng),所返回的關(guān)聯(lián)響應(yīng)攜帶 有根據(jù)查找到的密鑰信息生成的鑒權(quán)密鑰。例如,若采用GBA過程進(jìn)行MBMS請求密鑰(MRK: MBMS R叫uest Key ) 協(xié)商,可根據(jù)關(guān)聯(lián)請求攜帶的B-TID查到對應(yīng)的Ks,根據(jù)Ks計算MRK,把MRK 作為鑒權(quán)密鑰返回給應(yīng)用服務(wù)器。基于管理模式①,在驗證通過后,鑒權(quán)服務(wù)設(shè)備需要分配新的鑒權(quán)隨機(jī)數(shù) 來更新查找到的鑒權(quán)隨機(jī)數(shù),并且在返回的關(guān)聯(lián)響應(yīng)中攜帶該新的鑒權(quán)隨機(jī) 數(shù)?;诠芾砟J舰?,在驗證通過后,鑒權(quán)服務(wù)設(shè)備需要累加查找到的鑒權(quán)隨 機(jī)數(shù)的使用次數(shù)。A5、在驗證失敗后,向應(yīng)用服務(wù)器返回與關(guān)聯(lián)請求對應(yīng)的錯誤響應(yīng)。 所稱驗證失敗,包括需要驗證的信息與查找到的信息不一致(例如鑒權(quán)隨 機(jī)數(shù)與所保存的鑒權(quán)隨機(jī)數(shù)不一致,或者鑒權(quán)隨機(jī)數(shù)的使用次數(shù)與所保存的使 用次數(shù)不一致),或者根據(jù)鑒權(quán)事務(wù)標(biāo)識檢索不到相關(guān)信息等情況。在驗證失敗后,鑒權(quán)服務(wù)設(shè)備可直接返回指示驗證失敗的關(guān)聯(lián)失敗響應(yīng), 通過應(yīng)用服務(wù)器要求終端重新執(zhí)行密鑰協(xié)商過程。當(dāng)然,為進(jìn)一步節(jié)省流程, 鑒權(quán)服務(wù)設(shè)備也可以對失敗情況進(jìn)行細(xì)分,根據(jù)具體情況返回不同的錯誤響 應(yīng)。例如,可進(jìn)一步判斷是否存在與關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的密鑰 信息,若是,則說明與終端共享的密鑰信息還存在(當(dāng)然鑒權(quán)服務(wù)設(shè)備還可進(jìn)一 步判斷該密鑰信息的有效性),因此可以重新分配鑒權(quán)隨機(jī)數(shù)作為與關(guān)聯(lián)請求 攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的鑒權(quán)隨機(jī)數(shù),向應(yīng)用服務(wù)器返回與該關(guān)聯(lián)請求對應(yīng) 的關(guān)聯(lián)重置響應(yīng),在該關(guān)聯(lián)重置響應(yīng)中攜帶重新分配的鑒權(quán)隨機(jī)數(shù)(當(dāng)然同時還可攜帶錯誤原因等);這樣,終端可以使用重新分配的鑒權(quán)隨機(jī)數(shù)重新向應(yīng) 用服務(wù)器發(fā)起認(rèn)證請求;若否,則向應(yīng)用服務(wù)器返回與關(guān)聯(lián)請求對應(yīng)的,指示驗證失敗的關(guān)聯(lián)失敗 響應(yīng)(當(dāng)然同時還可攜帶錯誤原因等),要求終端重新執(zhí)行密鑰協(xié)商過程。上述細(xì)分的錯誤響應(yīng)方式對管理模式①和②都適用,只是在管理模式② 下,鑒權(quán)服務(wù)設(shè)備和終端除了更新所保存的鑒權(quán)隨機(jī)數(shù),還需要初始化鑒權(quán)隨 機(jī)數(shù)的使用次數(shù)。下面給出用于執(zhí)行上述對請求消息的鑒權(quán)方法的鑒權(quán)服務(wù)設(shè)備的實施例。 為盡量減少對現(xiàn)有設(shè)備的改動,本實施例鑒權(quán)服務(wù)設(shè)備是通過在提供現(xiàn)有鑒權(quán) 服務(wù)功能的模塊基礎(chǔ)上,增加提供擴(kuò)展功能的統(tǒng)一鑒權(quán)模塊來實現(xiàn),結(jié)構(gòu)參考 圖3,包括鑒權(quán)服務(wù)模塊101,用于與終端協(xié)商密鑰信息,為終端分配與密鑰信息對 應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù)。該模塊基本執(zhí)行通常的鑒權(quán)服務(wù)功能,擴(kuò)展 之處在于將鑒權(quán)隨機(jī)數(shù)遞交給終端。統(tǒng)一鑒權(quán)模塊102,用于接收應(yīng)用服務(wù)器的關(guān)聯(lián)請求,獲得該關(guān)聯(lián)請求攜 帶的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);根據(jù)關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識,按照鑒 權(quán)服務(wù)模塊10l提供的數(shù)據(jù)對關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證;在驗證通 過后,查找與關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的密鑰信息,向應(yīng)用服務(wù)器返 回與關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng),在該關(guān)聯(lián)響應(yīng)中攜帶根據(jù)查找到的密鑰信息生 成的鑒權(quán)密鑰。為減少模塊間的信息查詢量,統(tǒng)一鑒權(quán)模塊102可進(jìn)一步用于,保存為驗
證關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)從鑒權(quán)服務(wù)模塊101查詢到的數(shù)據(jù)。這樣當(dāng)統(tǒng)一
鑒權(quán)模塊102在對關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證時,可先在自身已保存 的數(shù)據(jù)中查詢,若查詢不到再到鑒權(quán)服務(wù)模塊101中查詢。當(dāng)然,鑒權(quán)服務(wù)模 塊101在收到統(tǒng)一鑒權(quán)模塊102的查詢請求后,可以將對應(yīng)的鑒權(quán)隨機(jī)數(shù)、密鑰 信息等數(shù)據(jù)一并響應(yīng),這樣統(tǒng)一鑒權(quán)模塊102在驗證通過后即可直接在自身保 存的數(shù)據(jù)中查詢密鑰信息。
基于前述不同的鑒權(quán)隨機(jī)數(shù)管理模式,統(tǒng)一鑒權(quán)模塊102對關(guān)聯(lián)請求攜帶 的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證,可以是對關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)與自身所保存的 鑒權(quán)隨機(jī)數(shù)是否一致進(jìn)行驗證;也可以是對關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)及其使 用次數(shù)與自身所保存的鑒權(quán)隨機(jī)數(shù)及其使用次數(shù)是否一致進(jìn)行驗證(這種情況 下,統(tǒng)一鑒權(quán)模塊102還獲得關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)的使用次數(shù))。在前一 情況下,統(tǒng)一鑒權(quán)模塊102還用于,在驗證通過后分配新的鑒權(quán)隨機(jī)數(shù)來更新 自身所保存的鑒權(quán)隨機(jī)數(shù),并在返回的關(guān)聯(lián)響應(yīng)中攜帶該新的鑒權(quán)隨機(jī)數(shù),用 于指示終端以所述新的鑒權(quán)隨機(jī)數(shù)向下一個應(yīng)用服務(wù)器發(fā)送認(rèn)證請求。在后一 情況下,統(tǒng)一鑒權(quán)模塊102還用于,在驗證通過后累加自身所保存的鑒權(quán)隨機(jī) 數(shù)的使用次數(shù)。
此外,為處理驗證失敗的情況,統(tǒng)一鑒權(quán)模塊102還可用于在驗證失敗后, 向應(yīng)用服務(wù)器返回與之前收到的關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)失敗響應(yīng),在該關(guān)聯(lián)失敗 響應(yīng)中攜帶表示驗證失敗要求終端重新進(jìn)行密鑰信息協(xié)商的指示。當(dāng)然,統(tǒng)一 鑒權(quán)模塊102也可以用于執(zhí)行前述細(xì)致化的錯誤響應(yīng)方案,即用于在驗證失敗 后,判斷是否存在與關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的密鑰信息,若是,則 重新分配鑒權(quán)隨機(jī)數(shù)來更新自身所保存的與關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對 應(yīng)的鑒權(quán)隨機(jī)數(shù),向應(yīng)用服務(wù)器返回與關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)重置響應(yīng),在該關(guān) 聯(lián)重置響應(yīng)中攜帶重新分配的鑒權(quán)隨機(jī)數(shù),用于指示終端以該重新分配的鑒權(quán) 隨機(jī)數(shù)重新向應(yīng)用服務(wù)器發(fā)送認(rèn)證請求;若否,則參照前述處理驗證失敗的情 況,向應(yīng)用服務(wù)器返回與關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)失敗響應(yīng)。
基于通用i人"i正架構(gòu)(GAA: Generic Authentication Architecture),本實施 例中的鑒權(quán)服務(wù)模塊可參考BSF來實現(xiàn),新增的統(tǒng)一鑒權(quán)模塊(AuthS:
Authentication Server)可以與BSF合設(shè),也可以作為獨立的鑒權(quán)服務(wù)器與BSF 分別設(shè)置。采用合設(shè)方式時的系統(tǒng)架構(gòu)如圖4所示,BSF與UE之間采用GAA的 Ub接口 , UE與各個AS之間采用GAA的Ua接口 , AuthS與各個AS之間的接口消 息可以參考UE與AS之間的消息形式,當(dāng)然也可以采用XML等格式,具體承載 協(xié)議不作限定(例如HTTP、 HTTPS等),AuthS與BSF之間屬于內(nèi)部接口 ,不 必定義。若AuthS獨立設(shè)置時,AuthS與BSF之間的接口可參考GAA中AS與BSF 之間的Zn接口。需要說明的是,清楚起見,圖4中并沒有畫出AS與BSF的連接, 若考慮兼容現(xiàn)有的GAA認(rèn)證方式,AS可保留與BSF的連接,在業(yè)務(wù)執(zhí)行過程
本發(fā)明實施例提供的認(rèn)證方式(使用與AuthS的接口 )。
法與前述實施例的鑒權(quán)服務(wù)設(shè)備對請求消息的鑒權(quán)方法相應(yīng),步驟包括
Bl、接收終端的認(rèn)證請求,該認(rèn)證請求攜帶有鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù)。
當(dāng)然,若基于管理模式②,該認(rèn)證請求還攜帶有鑒權(quán)隨機(jī)數(shù)的使用次數(shù)。 若進(jìn)一步考慮到兼容現(xiàn)有的認(rèn)證方式,應(yīng)用服務(wù)器在收到終端的認(rèn)證請求 后,可以先根據(jù)該認(rèn)證請求的具體情況進(jìn)行判斷,選擇適配的認(rèn)證方式。例如, 在目前的GAA過程中,終端發(fā)送的認(rèn)證請求還攜帶有鑒權(quán)該請求的服務(wù)器的 域名,通常放置在realm參數(shù)的后半部分,以@符號與前半部分分隔。應(yīng)用服 務(wù)器在收到請求后可首先檢查realm參數(shù)(^符號后的域名是否與自己的域名一 致,如果一致則采用現(xiàn)有的GAA認(rèn)證過程;如果不一致并且確定是鑒權(quán)服務(wù) 設(shè)備的域名(例如BSF的域名),則執(zhí)行本實施例提供的認(rèn)證過程。
B2、根據(jù)收到的認(rèn)證請求向鑒權(quán)服務(wù)設(shè)備發(fā)送關(guān)聯(lián)請求,該關(guān)聯(lián)請求攜 帶有認(rèn)證請求中的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù)。
當(dāng)然,若基于管理模式②,該關(guān)聯(lián)請求還攜帶有鑒權(quán)隨機(jī)數(shù)的使用次數(shù)。 B3、根據(jù)鑒權(quán)服務(wù)設(shè)備的不同響應(yīng)結(jié)果,執(zhí)行相應(yīng)的后續(xù)操作,包括 B31、請求成功接收鑒權(quán)服務(wù)設(shè)備返回的與之前發(fā)送的關(guān)聯(lián)請求對應(yīng)的 關(guān)聯(lián)響應(yīng),該關(guān)聯(lián)響應(yīng)攜帶有鑒權(quán)密鑰。應(yīng)用服務(wù)器記錄鑒權(quán)密鑰,并根據(jù)鑒
權(quán)密鑰計算鑒權(quán)響應(yīng)數(shù)據(jù),然后向終端返回與該終端發(fā)送的認(rèn)證請求對應(yīng)的成 功響應(yīng),在成功響應(yīng)中攜帶所生成的鑒權(quán)響應(yīng)數(shù)據(jù)。進(jìn)一步的,應(yīng)用服務(wù)器可 以先使用鑒權(quán)密鑰對終端的認(rèn)證請求進(jìn)行鑒權(quán),鑒權(quán)成功后才向終端返回成功 響應(yīng)。當(dāng)然,若基于管理模式①,收到的關(guān)聯(lián)響應(yīng)還攜帶有新的鑒權(quán)隨機(jī)數(shù), 因此在返回給終端的成功響應(yīng)中,還需要攜帶該新的鑒權(quán)隨機(jī)數(shù),用于指示終 端以該新的鑒權(quán)隨機(jī)數(shù)向下一個應(yīng)用服務(wù)器發(fā)送認(rèn)證請求。
B32、請求失敗接收鑒權(quán)服務(wù)設(shè)備返回的與之前發(fā)送的關(guān)聯(lián)請求對應(yīng)的 關(guān)聯(lián)失敗響應(yīng);根據(jù)關(guān)聯(lián)失敗響應(yīng)向終端返回與該終端發(fā)送的iU正請求對應(yīng)的 失敗響應(yīng),在失敗響應(yīng)中攜帶要求終端重新進(jìn)行密鑰信息協(xié)商的指示。
B33、請求重置接收鑒權(quán)服務(wù)設(shè)備返回的與之前發(fā)送的關(guān)聯(lián)請求對應(yīng)的 關(guān)聯(lián)重置響應(yīng),該關(guān)聯(lián)重置響應(yīng)攜帶有重新分配的鑒權(quán)隨機(jī)數(shù)。應(yīng)用服務(wù)器向 終端返回與該終端發(fā)送的認(rèn)證請求對應(yīng)的重置響應(yīng),在重置響應(yīng)中攜帶該重新 分配的鑒權(quán)隨機(jī)數(shù),以此指示終端使用該重新分配的鑒權(quán)隨機(jī)數(shù)重新發(fā)起認(rèn)證 請求。
構(gòu)參考圖6,包括
接口模塊201,用于接收終端的認(rèn)證請求;向鑒權(quán)服務(wù)設(shè)備發(fā)送關(guān)聯(lián)請求; 接收鑒權(quán)服務(wù)設(shè)備返回的與之前發(fā)送的關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng);向終端返回 與該終端發(fā)送的認(rèn)證請求對應(yīng)的成功響應(yīng)。
對應(yīng)于鑒權(quán)服務(wù)設(shè)備返回錯誤響應(yīng)的情況,接口模塊201還用于,接收鑒 權(quán)服務(wù)設(shè)備返回的與之前發(fā)送的關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)失敗響應(yīng)或者關(guān)聯(lián)重置 響應(yīng);向終端返回與該終端發(fā)送的認(rèn)證請求對應(yīng)的失敗響應(yīng)或重置響應(yīng)。
安全關(guān)聯(lián)模塊202,用于根據(jù)接口模塊201收到的認(rèn)證請求,獲得該認(rèn)證請 求攜帶的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù),生成需要向鑒權(quán)服務(wù)設(shè)備發(fā)送的關(guān)聯(lián)請 求,所稱關(guān)聯(lián)請求攜帶有認(rèn)證請求中的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);根據(jù)接口 模塊201收到的關(guān)聯(lián)響應(yīng)獲得該關(guān)聯(lián)響應(yīng)攜帶的鑒權(quán)密鑰,根據(jù)該鑒權(quán)密鑰計 算鑒權(quán)響應(yīng)數(shù)據(jù),生成需要向終端返回的成功響應(yīng),在該成功響應(yīng)中攜帶該鑒 權(quán)響應(yīng)數(shù)據(jù)。進(jìn)一步的,安全關(guān)聯(lián)模塊202可以先使用鑒權(quán)密鑰對終端的認(rèn)證
請求進(jìn)行鑒權(quán),鑒4又成功后再生成成功響應(yīng)。
對應(yīng)于鑒權(quán)服務(wù)設(shè)備返回錯誤響應(yīng)的情況,安全關(guān)聯(lián)模塊202還用于,根 據(jù)接口模塊201收到的關(guān)聯(lián)失敗響應(yīng)生成需要向終端返回的失敗響應(yīng),在該失 敗響應(yīng)中攜帶要求終端重新進(jìn)行密鑰信息協(xié)商的指示;根據(jù)接口模塊201收到 的關(guān)聯(lián)重置響應(yīng)獲得該關(guān)聯(lián)重置響應(yīng)攜帶得重新分配的鑒權(quán)隨機(jī)數(shù),生成需要 向終端返回的重置響應(yīng),所稱重置響應(yīng)攜帶有該重新分配的鑒權(quán)隨機(jī)數(shù),用于 指示所述終端以所述重新分配的鑒權(quán)隨機(jī)數(shù)重新發(fā)送認(rèn)證請求。
進(jìn)一步考慮到兼容現(xiàn)有的認(rèn)證方式,安全關(guān)聯(lián)模塊202還用于,獲得認(rèn)證 請求中攜帶的鑒權(quán)該請求的服務(wù)器的域名。這種情況下,安全關(guān)聯(lián);f莫塊202還 可用于,先確認(rèn)認(rèn)證請求攜帶的鑒權(quán)該請求的服務(wù)器的域名為鑒權(quán)服務(wù)設(shè)備的 域名,再生成需要向該鑒權(quán)服務(wù)設(shè)備發(fā)送的關(guān)聯(lián)請求;若確認(rèn)認(rèn)證請求攜帶的 鑒權(quán)該請求的服務(wù)器的域名為自己的域名,則可按照現(xiàn)有認(rèn)證方式執(zhí)行后續(xù)操 作。
本發(fā)明實施例的終端的鑒權(quán)方法參考圖7,本實施例方法與前述實施例的 鑒權(quán)服務(wù)設(shè)備對請求消息的鑒權(quán)方法,以及應(yīng)用服務(wù)器對終端請求的鑒權(quán)方法 相應(yīng),步驟包括
Cl、判斷是否保存有密鑰信息以及與該密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和 鑒權(quán)隨機(jī)數(shù),若否,則執(zhí)行步驟C2,若是,則執(zhí)行步驟C3。
C2、與鑒權(quán)服務(wù)設(shè)備協(xié)商密鑰信息,獲得鑒權(quán)服務(wù)設(shè)備分配的與該密鑰 信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);然后執(zhí)行步驟C3 。
C3、向應(yīng)用服務(wù)器發(fā)送認(rèn)證請求,該認(rèn)證請求攜帶有所保存的鑒權(quán)事務(wù) 標(biāo)識和鑒權(quán)隨機(jī)數(shù)。
當(dāng)然,若基于管理模式②,該認(rèn)證請求還攜帶有鑒權(quán)隨機(jī)數(shù)的使用次數(shù)。 C4、根據(jù)應(yīng)用服務(wù)器的不同響應(yīng)結(jié)果,執(zhí)行相應(yīng)的后續(xù)操作,包括 C41、請求成功接收應(yīng)用服務(wù)器返回的與之前發(fā)送的認(rèn)證請求對應(yīng)的成 功響應(yīng),該成功響應(yīng)攜帶有鑒權(quán)響應(yīng)數(shù)據(jù),根據(jù)所保存的密鑰信息對該鑒權(quán)響 應(yīng)數(shù)據(jù)進(jìn)行驗證。當(dāng)然,若基于管理模式①,收到的成功響應(yīng)還攜帶有新的鑒
于管理模式②,則終端累加所保存的鑒權(quán)隨機(jī)數(shù)的使用次數(shù)。
C42、請求失敗接收應(yīng)用服務(wù)器返回的與之前發(fā)送的認(rèn)證請求對應(yīng)的失 敗響應(yīng),該失敗響應(yīng)攜帶有要求終端重新進(jìn)行密鑰信息協(xié)商的指示。終端根據(jù) 該指示清除所保存的密鑰信息以及對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù),重新與 鑒權(quán)服務(wù)設(shè)備協(xié)商密鑰信息,然后以重新協(xié)商的密鑰信息向應(yīng)用服務(wù)器發(fā)送認(rèn) 證請求,即重新從步驟C2開始執(zhí)行。
C43、請求重置接收應(yīng)用服務(wù)器返回的與之前發(fā)送的認(rèn)證請求對應(yīng)的重 置響應(yīng),該重置響應(yīng)攜帶有重新分配的鑒權(quán)隨機(jī)數(shù);使用該重新分配的鑒權(quán)隨 機(jī)數(shù)來更新所保存的鑒權(quán)隨機(jī)數(shù),然后以重新分配的鑒權(quán)隨機(jī)數(shù)向應(yīng)用服務(wù)器 發(fā)送認(rèn)證請求,即重新從步驟C3開始執(zhí)行。當(dāng)然,若基于管理模式②,終端 在更新所保存的鑒權(quán)隨機(jī)數(shù)時,還需要初始化鑒權(quán)隨機(jī)數(shù)的使用次數(shù)。
下面給出用于執(zhí)行上述鑒權(quán)方法的終端的實施例,結(jié)構(gòu)參考圖8,包括
安全服務(wù)模塊301,用于與鑒權(quán)服務(wù)設(shè)備協(xié)商密鑰信息,獲得鑒權(quán)服務(wù)設(shè) 備分配的與該密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù)。
應(yīng)用服務(wù)模塊302,用于向應(yīng)用服務(wù)器發(fā)起認(rèn)證請求,在該認(rèn)證請求種攜 帶安全服務(wù)^f莫塊301獲得的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);獲得應(yīng)用服務(wù)器返回 的與之前發(fā)送的認(rèn)證請求對應(yīng)的成功響應(yīng),獲得該成功響應(yīng)中攜帶的鑒權(quán)響應(yīng) 數(shù)據(jù),根據(jù)安全服務(wù)模塊301獲得的密鑰信息對該鑒權(quán)響應(yīng)數(shù)據(jù)進(jìn)行驗證。
鑒權(quán)控制模塊303,用于在需要向應(yīng)用服務(wù)器發(fā)送認(rèn)證請求時,判斷是否 保存有密鑰信息以及與該密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);若否,
則控制安全服務(wù)模塊301獲取所需數(shù)據(jù);若是,則控制應(yīng)用服務(wù)模塊302發(fā)起認(rèn) 證請求。
進(jìn)一步的,若基于管理模式①,應(yīng)用服務(wù)模塊302還用于從成功響應(yīng)中獲 得新的鑒權(quán)隨機(jī)數(shù);這種情況下,鑒權(quán)控制模塊303還用于,使用該新的鑒權(quán) 隨機(jī)數(shù)來更新所保存的鑒權(quán)隨機(jī)數(shù)。
進(jìn)一步的,若基于管理模式②,應(yīng)用服務(wù)模塊302還用于在發(fā)起的認(rèn)證請 求中攜帶鑒權(quán)隨機(jī)數(shù)的使用次數(shù);這種情況下,鑒權(quán)控制模塊303還用于,在 應(yīng)用服務(wù)模塊302獲得成功響應(yīng)后,累加所保存的鑒權(quán)隨機(jī)數(shù)的使用次數(shù)。
對應(yīng)于請求不成功的情況,應(yīng)用服務(wù)模塊302還用于,獲得應(yīng)用服務(wù)器返 回的與之前發(fā)送的認(rèn)證請求對應(yīng)的失敗響應(yīng)或者重置響應(yīng),獲得該失敗響應(yīng)中 攜帶的要求終端重新進(jìn)行密鑰信息協(xié)商的指示,獲得該重置響應(yīng)中攜帶的重新 分配的鑒權(quán)隨機(jī)數(shù)。鑒權(quán)控制模塊303還用于,根據(jù)失敗響應(yīng)的指示清除所保 存的密鑰信息以及對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù),控制安全服務(wù)模塊301 重新獲取所需數(shù)據(jù),然后控制應(yīng)用服務(wù)模塊302重新發(fā)起認(rèn)證請求;或者根據(jù) 重置響應(yīng)的指示使用重新分配的鑒權(quán)隨機(jī)數(shù)來更新所保存的鑒權(quán)隨機(jī)數(shù),然后 控制應(yīng)用服務(wù)模塊302重新發(fā)起認(rèn)證請求。上述實施例中采用由鑒權(quán)服務(wù)設(shè)備對鑒權(quán)隨機(jī)數(shù)進(jìn)行集中分配和管理的 方式,當(dāng)終端使用受保護(hù)業(yè)務(wù)時,只需要執(zhí)行一次密鑰協(xié)商過程,即可按照鑒 權(quán)隨機(jī)數(shù)的使用策略,依次完成與多個應(yīng)用服務(wù)器的鑒權(quán),簡化了終端與應(yīng)用 之間的鑒權(quán)過程,提高了應(yīng)用響應(yīng)的速度。進(jìn)一步的,可通過應(yīng)用服務(wù)器對終式,增強(qiáng)了本發(fā)明實施例方案的兼容性。為更好的理解上述實施例,下面給出上述實施例方案的具體應(yīng)用例。假設(shè) 以GAA為基礎(chǔ),采用圖4所示的系統(tǒng)架構(gòu),AuthS采用模式②管理鑒權(quán)隨機(jī) 數(shù)。一、GBA過程UE在使用受保護(hù)的業(yè)務(wù)時,首先訪問BSF執(zhí)行按本發(fā)明實施例提供方法 擴(kuò)展后的GBA過程,協(xié)商與AS的共享密鑰數(shù)據(jù)。該流程參考圖9,包括1 、 UE向BSF發(fā)送HTTP請求,初始化Bootstrapping過程。該請求消息 中包含BSF可識別的用戶的標(biāo)識信息,例如國際移動用戶識別碼(IMSI: International Mobile Subscriber Identification Number )。 UE通常會在請求消息的 Authorization頭的realm參數(shù)中放置期望訪問的BSF的全域名(FQDN: Fully Qualified Domain Name )。2、 BSF通過參考點Zh從歸屬用戶服務(wù)器(HSS: Home Subscriber Server) 中獲得用戶的安全信息,例如鑒權(quán)向量(AV: Authentication Vector), AV中 包含有CK、 IK等數(shù)據(jù)。詳細(xì)信令過程可參見3GPP TS 29.109。3、 BSF選擇一個鑒權(quán)向量,計算鑒權(quán)相關(guān)數(shù)據(jù)后,通過HTTP 401 Unauthorized響應(yīng)消息發(fā)送給UE。響應(yīng)消息的構(gòu)造過程可參見3GPP TS 24.109。4、 UE根據(jù)自身存儲的數(shù)據(jù)(例如SIM卡中的數(shù)據(jù))對BSF的響應(yīng)消息 進(jìn)行檢查,如果鑒權(quán)4企查成功,則成功認(rèn)證網(wǎng)絡(luò);UE計算出CK、 IK,這樣, BSF和UE都擁有了密鑰IK和CK。5、 UE計算生成Authorization頭中的數(shù)據(jù),重新發(fā)起HTTP請求到BSF。6、 BSF對UE的請求消息進(jìn)行鑒權(quán),成功后,記錄用戶的標(biāo)識,生成并 存儲本次GBA過程的密鑰相關(guān)lt據(jù),包括B-TID、 IMPI、 CK、 IK等,并通 過CK和IK產(chǎn)生密鑰信息Ks。詳細(xì)的密鑰相關(guān)數(shù)據(jù)的生成過程參見3GPPTS 33.220。7、 BSF發(fā)送200 OK響應(yīng)消息到UE通知認(rèn)證成功,該消息中包含B-TID、 Ks的生存期,以及擴(kuò)展增加的"nextnonce"參數(shù),該參數(shù)攜帶鑒權(quán)隨機(jī)數(shù)。8、 UE收到響應(yīng)消息,驗證通過后,存儲B-TID、 nextnonce等參數(shù),在 UE中也根據(jù)CK和IK產(chǎn)生Ks。二、鑒權(quán)成功的過程假設(shè)UE根據(jù)業(yè)務(wù)流程需要依次訪問AS1 、 AS2兩個應(yīng)用服務(wù),該流程參 考圖10(由于AuthS和BSF共同構(gòu)成鑒權(quán)服務(wù)設(shè)備,因此在圖IO中將該兩個 網(wǎng)元以及它們之間的交互用虛線框出,下同),包括1、 UE訪問受保護(hù)的業(yè)務(wù),AS1要求對請求消息鑒權(quán)。UE檢查是否存在 GBA過程產(chǎn)生的密鑰相關(guān)數(shù)據(jù),如果存在,則計算用于請求消息鑒權(quán)的密鑰 MRK 1 ,計算方法可參見3GPPTS 33.220 Annex B,其中NAFId可選擇由BSF 的FQDN與Ua接口的安全協(xié)議標(biāo)識連接構(gòu)成,而不使用AS 1的標(biāo)識。當(dāng)然, 若不存在密鑰相關(guān)數(shù)據(jù),則UE需要先執(zhí)行前述GBA過程。2、 UE向AS1發(fā)起帶Authorization頭的HTTP請求。Authorization頭中 定義了 AS1驗證該消息的必要參數(shù)username參數(shù)指示GBA過程中由BSF 分配的B-TID; realm參數(shù)以@符號分隔的后半部分指明鑒權(quán)該消息的服務(wù)器 的域名,即BSF的FQDN; nonce參數(shù)為GBA過程中由BSF響應(yīng)消息中返回
的nextnonce參凄t的4直,nc參凄丈指明nextnonce使用的次H其余參凄t可參見 3GPPTS 24.109。 '3、 AS1收到UE的請求消息后,根據(jù)Authorization頭中的參數(shù),首先檢 查域名是否與自己的域名一致,如果一致則采用標(biāo)準(zhǔn)定義的消息鑒權(quán)流程,如 果不一致并且是BSF的域名,則采用本發(fā)明實施例提供的鑒權(quán)流程。假定為 BSF的域名,AS1向AuthS發(fā)起對MRK的請求,請求消息中包括B-TID、nonce、 nc等鑒權(quán)相關(guān)的參數(shù)。4、 AuthS接收到請求消息后,根據(jù)B-TID檢索AuthS存儲的相關(guān)數(shù)據(jù), 如果檢索失敗,并且根據(jù)請求消息的nc = 1,確定是UE的第 一次鑒權(quán)請求, 則向BSF發(fā)起獲取GBA過程協(xié)商的Ks等相關(guān)數(shù)據(jù)的請求。5、 BSF響應(yīng)AuthS的查詢i青求,響應(yīng)消息中包4舌與B-TID對應(yīng)的Ks、 Nonce、數(shù)據(jù)有效期等數(shù)據(jù),AuthS保存相關(guān)的數(shù)據(jù)項,初始化記錄項中的nc =1。6、 AuthS檢測AS1的請求消息中的nonce和nc與自身保存的數(shù)據(jù)是否一 致。如果檢驗成功,則按照與UE相同的方式生成MRK,并響應(yīng)給ASl,累 加記錄項中的nc的值。當(dāng)然,若基于管理模式①,同時還可以通過nextnonce 參數(shù),返回用于下次鑒權(quán)時使用的nonce。7、 AS1收到AuthS的響應(yīng)后,產(chǎn)生對UE的響應(yīng)消息,根據(jù)MRK計算 響應(yīng)消息中的鑒權(quán)響應(yīng)數(shù)據(jù)。8、 UE對AS1的鑒權(quán)響應(yīng)數(shù)據(jù)進(jìn)行驗證,驗證通過后對UE存儲的nc進(jìn) 行累加,表示nonce已經(jīng)用于一次請求消息的鑒權(quán),然后根據(jù)業(yè)務(wù)流程需要, 訪問第二個應(yīng)用服務(wù)AS2。9、 UE向AS2發(fā)起帶Authorization頭的HTTP請求。與步驟2相比,區(qū) 別主要是nc為更新后的值。10、 參照步驟3, AS2收到UE的請求消息后,向AuthS發(fā)起對MRK的 請求,請求消息中包括B-TID、 nonce、 nc等鑒權(quán)相關(guān)的參數(shù)。11 、 AuthS接收到請求消息后,根據(jù)B-TID檢索AuthS存儲的相關(guān)數(shù)據(jù), 由于之前已經(jīng)保存了該B-TID的相關(guān)數(shù)據(jù),因此檢索成功。AuthS驗證請求消
息中的nonce、 nc與存儲的值是否一致,驗證正確,則AuthS響應(yīng)AS2的MRK請'求,累加記錄項中的I1C的值。12、參照步驟7, AS2收到AuthS的響應(yīng)后,產(chǎn)生對UE的響應(yīng)消息,根 據(jù)MRK計算響應(yīng)消息中的鑒權(quán)響應(yīng)數(shù)據(jù)。UE對AS2的鑒權(quán)響應(yīng)數(shù)據(jù)進(jìn)行驗 證,驗證通過后對UE存儲的nc進(jìn)行累加,表示nonce已經(jīng)用于一次請求消 息的鑒權(quán)。三、 鑒權(quán)不成功的過程之一 該流程參考圖11,包括1 ~ 3、參照"二"中的步驟1 ~ 3。4、 AuthS接收到請求消息后,根據(jù)B-TID檢索AuthS存儲的相關(guān)數(shù)據(jù), 如果檢索失敗,并且nc> 1;或者根據(jù)B-TID從BSF 4全索不到相關(guān)的參數(shù); 或者檢索成功,但是存儲的nonce, nc與請求消息中的nonce和nc不一致, 則向AS返回錯誤原因,要求UE重新進(jìn)行GBA過程,重新協(xié)商UE與應(yīng)用服 務(wù)器之間的共享密鑰數(shù)據(jù)。5、 AS發(fā)送錯誤響應(yīng)消息401 Unauthorized給UE,消息中包含WWW-Authenticate頭,其中nonce指示為NULL,用于指示UE重新開始GBA過程。6、 UE接收到響應(yīng)消息,清除原有的GBA過程協(xié)商的共享密鑰數(shù)據(jù)。7、 UE與BSF之間執(zhí)行"一"中描述的GBA過程。GBA過程完成后, UE重新初始化鑒權(quán)需要的數(shù)據(jù),用于重新向AS發(fā)起請求。8 ~ 13 、參照"二,,中的步驟2-7。四、 鑒權(quán)不成功的過程之二 該流程參考圖12,包括1 ~ 3、參照"二"中的步驟1 ~ 3。4、 AuthS接收到請求消息后,如果根據(jù)B-TID檢索AuthS存儲的相關(guān)數(shù) 據(jù)失敗,并且nc> 1;或者根據(jù)B-TID從BSF檢索不到相關(guān)的參數(shù);則參照 "三"中的步驟4進(jìn)行處理。如果檢索成功(包括檢索AuthS存儲成功和檢索 BSF成功),存儲有與B-TID對應(yīng)的Ks,但是存儲的nonce, nc與請求消息中 的nonce禾口 nc不一致,貝寸重新分國己nonce,并初始4b nc = 1 。5、 AuthS向AS返回錯-溪原因和重新分配的nonce。6、 AS發(fā)送錯誤響應(yīng)消息401 Unauthorized給UE,消息中包含WWW-Authenticate頭,其中nonce指示為AuthS重新分配的nonce,用于指示UE重 新開始對AS的請求過程。7、 UE4妄收到響應(yīng)消息,更新nonce、 nc。 8-11、參照"二"中的步驟9~12。以上對本發(fā)明實施例所提供的鑒權(quán)服務(wù)設(shè)備對請求消息的鑒權(quán)方法、應(yīng)用 服務(wù)器對終端請求的鑒權(quán)方法、終端的鑒權(quán)方法以及相應(yīng)的鑒權(quán)服務(wù)設(shè)備、應(yīng) 用服務(wù)器和終端進(jìn)行了詳細(xì)介紹,本文中應(yīng)用了具體個例對本發(fā)明的原理及實 施方式進(jìn)行了闡述,以上實施例的說明只是用于幫助理解本發(fā)明的方法及其核 心思想;同時,對于本領(lǐng)域的一般技術(shù)人員,依據(jù)本發(fā)明的思想,在具體實施 方式及應(yīng)用范圍上均會有改變之處,綜上所述,本說明書內(nèi)容不應(yīng)理解為對本 發(fā)明的限制。
權(quán)利要求
1、一種對請求消息的鑒權(quán)方法,其特征在于,包括與終端協(xié)商密鑰信息,為終端分配與所述密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);接收應(yīng)用服務(wù)器的關(guān)聯(lián)請求,所述關(guān)聯(lián)請求攜帶有鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);根據(jù)所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對所述關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證;在驗證通過后,查找與所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的密鑰信息,向所述應(yīng)用服務(wù)器返回與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng),所述關(guān)聯(lián)響應(yīng)攜帶有根據(jù)所述查找到的密鑰信息生成的鑒權(quán)密鑰。
2、 根據(jù)權(quán)利要求l所述的對請求消息的鑒權(quán)方法,其特征在于,所述根據(jù) 鑒權(quán)事務(wù)標(biāo)識對鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證的步驟具體為查找與所述關(guān)聯(lián)請求攜帶 的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的鑒權(quán)隨機(jī)數(shù),驗證所述關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)與所 述查找到的鑒權(quán)隨機(jī)數(shù)是否 一致;所述對請求消息的鑒權(quán)方法還包括在驗證通過后,分配新的鑒權(quán)隨機(jī)數(shù) 來更新所述查找到的鑒權(quán)隨機(jī)數(shù),所述關(guān)聯(lián)響應(yīng)還攜帶有所述新的鑒權(quán)隨機(jī) 數(shù),用于指示終端以所述新的鑒權(quán)隨機(jī)數(shù)向下一個應(yīng)用服務(wù)器發(fā)送認(rèn)證請求。
3、 根據(jù)權(quán)利要求l所述的對請求消息的鑒權(quán)方法,其特征在于,所述關(guān)聯(lián) 請求還攜帶有鑒權(quán)隨機(jī)數(shù)的使用次數(shù);所述根據(jù)鑒權(quán)事務(wù)標(biāo)識對鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證的步驟具體為查找與所述 關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的鑒權(quán)隨機(jī)數(shù)及其使用次數(shù),驗證所述關(guān)聯(lián) 請求攜帶的鑒權(quán)隨機(jī)數(shù)及其使用次數(shù)與所述查找到的鑒權(quán)隨機(jī)數(shù)及其使用次數(shù)是否一致;所述對請求消息的鑒權(quán)方法還包括在驗證通過后,累加所述查找到的鑒 權(quán)隨機(jī)數(shù)的使用次數(shù)。
4、 根據(jù)權(quán)利要求l-3任意一項所述的對請求消息的鑒權(quán)方法,其特征在 于,還包括在驗證失敗后,向所述應(yīng)用服務(wù)器返回與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)失敗響 應(yīng),所述關(guān)聯(lián)失敗響應(yīng)攜帶有表示驗證失敗要求終端重新進(jìn)行密鑰信息協(xié)商的 指示。 —
5、 根據(jù)權(quán)利要求l-3任意一項所述的對請求消息的鑒權(quán)方法,其特征在 于,還包括在驗證失敗后,判斷是否存在與所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的 密鑰信息,若是,則重新分配鑒權(quán)隨機(jī)數(shù)作為與所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對 應(yīng)的鑒權(quán)隨機(jī)數(shù),向所述應(yīng)用服務(wù)器返回與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)重置響 應(yīng),所述關(guān)聯(lián)重置響應(yīng)攜帶有所述重新分配的鑒權(quán)隨機(jī)數(shù),用于指示終端以所 述重新分配的鑒權(quán)隨機(jī)數(shù)向所述應(yīng)用服務(wù)器重新發(fā)送認(rèn)證請求;若否,則向所述應(yīng)用服務(wù)器返回與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)失敗響應(yīng),所 述關(guān)聯(lián)失敗響應(yīng)攜帶有表示驗證失敗要求終端重新進(jìn)行密鑰信息協(xié)商的指示。
6、 一種應(yīng)用服務(wù)器對終端請求的鑒權(quán)方法,其特征在于,包括 接收終端的認(rèn)證請求,所述認(rèn)證請求攜帶有鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù); 根據(jù)所述認(rèn)證請求向鑒權(quán)服務(wù)設(shè)備發(fā)送關(guān)聯(lián)請求,所述關(guān)聯(lián)請求攜帶有所述鑒權(quán)事務(wù)標(biāo)識和所述鑒權(quán)隨機(jī)數(shù);接收所述鑒權(quán)服務(wù)設(shè)備返回的與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng),所述關(guān)聯(lián) 響應(yīng)攜帶有鑒權(quán)密鑰;向所述終端返回與所述認(rèn)證請求對應(yīng)的成功響應(yīng),所述成功響應(yīng)攜帶有才艮 據(jù)所述鑒權(quán)密鑰生成的鑒權(quán)響應(yīng)數(shù)據(jù)。
7、 根據(jù)權(quán)利要求6所述的應(yīng)用服務(wù)器對終端請求的鑒權(quán)方法,其特征在于, 所述關(guān)聯(lián)響應(yīng)還攜帶有新的鑒權(quán)隨機(jī)數(shù);所述向終端返回與認(rèn)證請求對應(yīng)的成功響應(yīng)的步驟中,所述成功響應(yīng)還攜 帶有所述新的鑒權(quán)隨機(jī)數(shù),用于指示終端以所述新的鑒權(quán)隨機(jī)數(shù)向下一個應(yīng)用 服務(wù)器發(fā)送認(rèn)證請求。
8、 根據(jù)權(quán)利要求6所述的應(yīng)用服務(wù)器對終端請求的鑒權(quán)方法,其特征在于, 所述認(rèn)證請求還攜帶有鑒權(quán)隨機(jī)數(shù)的使用次數(shù);所述根據(jù)認(rèn)證請求向鑒權(quán)服務(wù)設(shè)備發(fā)送關(guān)聯(lián)請求的步驟中,所述關(guān)聯(lián)請求 還攜帶有所述鑒權(quán)隨機(jī)數(shù)的使用次數(shù)。
9、 根據(jù)權(quán)利要求6 ~ 8任意一項所述的應(yīng)用服務(wù)器對終端請求的鑒權(quán)方法, 其特征在于所述認(rèn)證請求還攜帶有鑒權(quán)該請求的服務(wù)器的域名;在收到終端的認(rèn)證請求后,先確認(rèn)所述認(rèn)證請求攜帶的鑒權(quán)該請求的服務(wù) 器的域名為所述鑒權(quán)服務(wù)設(shè)備的域名,再向所述鑒權(quán)服務(wù)設(shè)備發(fā)送所述關(guān)聯(lián)請 求。
10、 根據(jù)權(quán)利要求6 ~ 8任意一項所述的應(yīng)用服務(wù)器對終端請求的鑒權(quán)方 法,其特征在于,還包括所述關(guān)聯(lián)失敗響應(yīng)向所述終端返回與所述認(rèn)-汪請求對應(yīng)的失敗響應(yīng),所述失敗 響應(yīng)攜帶有要求終端重新進(jìn)行密鑰信息協(xié)商的指示;或者,接收所述鑒權(quán)服務(wù)設(shè)備返回的與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)重置響應(yīng),所述 關(guān)聯(lián)重置響應(yīng)攜帶有重新分配的與所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的 鑒權(quán)隨才幾數(shù);向所述終端返回與所述認(rèn)證請求對應(yīng)的重置響應(yīng),所述重置響應(yīng) 攜帶有所述重新分配的鑒權(quán)隨機(jī)數(shù),用于指示所述終端以所述重新分配的鑒權(quán)隨機(jī)數(shù)重新發(fā)送認(rèn)i正請求。
11、 一種終端的鑒權(quán)方法,其特征在于,包括判斷是否保存有密鑰信息以及與所述密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒 權(quán)隨機(jī)數(shù),若否,則與鑒權(quán)服務(wù)設(shè)備協(xié)商密鑰信息,獲得所述鑒權(quán)服務(wù)設(shè)備分配的與 所述密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);然后執(zhí)行"若是"的步驟;若是,則向應(yīng)用服務(wù)器發(fā)送認(rèn)證請求,所述認(rèn)證請求攜帶有所述鑒權(quán)事務(wù) 標(biāo)識和所述鑒權(quán)隨機(jī)數(shù);接收所述應(yīng)用服務(wù)器返回的與所述認(rèn)證請求對應(yīng)的成功響應(yīng),所述成功響 應(yīng)攜帶有鑒權(quán)響應(yīng)數(shù)據(jù),根據(jù)所述密鑰信息對所述鑒權(quán)響應(yīng)數(shù)據(jù)進(jìn)行驗證。
12、 根據(jù)權(quán)利要求ll所述的終端的鑒權(quán)方法,其特征在于,所述成功響應(yīng) 還攜帶有新的鑒權(quán)隨機(jī)數(shù);所述終端的鑒權(quán)方法還包括使用所述新的鑒權(quán)隨機(jī)數(shù)來更新所保存的鑒 權(quán)隨機(jī)數(shù)。
13、 根據(jù)權(quán)利要求ll所述的終端的鑒權(quán)方法,其特征在于,所述認(rèn)證請求還攜帶有鑒權(quán)隨機(jī)數(shù)的使用次數(shù);所述終端的鑒權(quán)方法還包括在收到所述成功響應(yīng)后,累加所保存的鑒權(quán) 隨機(jī)數(shù)的使用次數(shù)。
14、 根據(jù)權(quán)利要求ll所述的終端的鑒權(quán)方法,其特征在于,還包括 接收所述應(yīng)用服務(wù)器返回的與所述認(rèn)證請求對應(yīng)的失敗響應(yīng),所述失敗響應(yīng)攜帶有要求終端重新進(jìn)行密鑰信息協(xié)商的指示;根據(jù)所述指示清除所保存的密鑰信息以及對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù),重新與所述鑒權(quán)服務(wù)設(shè)備協(xié) 商密鑰信息,然后以所述重新協(xié)商的密鑰信息向所述應(yīng)用服務(wù)器發(fā)送認(rèn)證請 求。
15、 根據(jù)權(quán)利要求ll所述的終端的鑒權(quán)方法,其特征在于,還包括 接收所述應(yīng)用服務(wù)器返回的與所述認(rèn)證請求對應(yīng)的重置響應(yīng),所述重置響應(yīng)攜帶有重新分配的鑒權(quán)隨機(jī)數(shù);使用所述重新分配的鑒權(quán)隨機(jī)數(shù)來更新所保 存的鑒權(quán)隨機(jī)數(shù),然后以所述重新分配的鑒權(quán)隨機(jī)數(shù)向所述應(yīng)用服務(wù)器發(fā)送認(rèn) 證請求。
16、 一種鑒權(quán)服務(wù)設(shè)備,其特征在于,包括鑒權(quán)服務(wù)模塊,用于與終端協(xié)商密鑰信息,為終端分配與所述密鑰信息對 應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);統(tǒng)一鑒權(quán)模塊,用于接收應(yīng)用服務(wù)器的關(guān)聯(lián)請求,獲得所述關(guān)聯(lián)請求攜帶 的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);根據(jù)所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識,按照 所述鑒權(quán)服務(wù)模塊提供的數(shù)據(jù)對所述關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證;在 驗證通過后,查找與所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的密鑰信息,向所 述應(yīng)用服務(wù)器返回與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng),在所述關(guān)聯(lián)響應(yīng)中攜帶根 據(jù)所述查找到的密鑰信息生成的鑒權(quán)密鑰。
17、 根據(jù)權(quán)利要求16所述的鑒權(quán)服務(wù)設(shè)備,其特征在于 所述統(tǒng)一鑒權(quán)模塊還用于,保存為驗證所述關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)從所述鑒權(quán)服務(wù)模塊查詢到的數(shù)據(jù); 所述統(tǒng)一鑒權(quán)模塊在對所述關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證時,是先 在自身已保存的數(shù)據(jù)中查詢,若查詢不到再到所述鑒權(quán)服務(wù)模塊中查詢。
18、 根據(jù)權(quán)利要求17所述的鑒權(quán)服務(wù)設(shè)備,其特征在于 所述統(tǒng)一鑒權(quán)模塊對關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證,是對所述關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)與自身所保存的鑒權(quán)隨機(jī)數(shù)是否一致進(jìn)行驗證;所述統(tǒng)一鑒權(quán)模塊還用于,在驗證通過后,分配新的鑒權(quán)隨機(jī)數(shù)來更新自 身所保存的鑒權(quán)隨機(jī)數(shù);在所述關(guān)聯(lián)響應(yīng)中攜帶所述新的鑒權(quán)隨機(jī)數(shù),用于指 示終端以所述新的鑒權(quán)隨機(jī)數(shù)向下一個應(yīng)用服務(wù)器發(fā)送認(rèn)證請求。
19、 根據(jù)權(quán)利要求17所述的鑒權(quán)服務(wù)設(shè)備,其特征在于 所述統(tǒng)一鑒權(quán)模塊還用于,獲得所述關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)的使用次數(shù);所述統(tǒng)一鑒權(quán)模塊對關(guān)聯(lián)請求攜帶的鑒權(quán)隨機(jī)數(shù)進(jìn)行驗證,是對所述關(guān)聯(lián) 請求攜帶的鑒權(quán)隨機(jī)數(shù)及其使用次數(shù)與自身所保存的鑒權(quán)隨機(jī)數(shù)及其使用次 數(shù)是否一致進(jìn)行驗證;所述統(tǒng)一鑒權(quán)模塊還用于,在驗證通過后,累加自身所保存的鑒權(quán)隨^L數(shù) 的使用次數(shù)。
20、 根據(jù)權(quán)利要求17所述的鑒權(quán)服務(wù)設(shè)備,其特征在于 所述統(tǒng)一鑒權(quán)模塊還用于,在驗證失敗后,向所述應(yīng)用服務(wù)器返回與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)失敗響應(yīng),在所述關(guān)聯(lián)失敗響應(yīng)中攜帶表示驗證失敗要求 終端重新進(jìn)行密鑰信息協(xié)商的指示;或者,所述統(tǒng)一鑒權(quán)模塊還用于,在驗證失敗后,判斷是否存在與所述關(guān)聯(lián)請求 攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的密鑰信息,若是,則重新分配鑒權(quán)隨機(jī)數(shù)來更新自 身所保存的與所述關(guān)聯(lián)請求攜帶的鑒權(quán)事務(wù)標(biāo)識對應(yīng)的鑒權(quán)隨機(jī)數(shù),向所述應(yīng) 用服務(wù)器返回與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)重置響應(yīng),在所述關(guān)聯(lián)重置響應(yīng)中攜 帶所述重新分配的鑒權(quán)隨機(jī)數(shù),用于指示終端以所述重新分配的鑒權(quán)隨機(jī)數(shù)重 新向所述應(yīng)用服務(wù)器發(fā)送認(rèn)證請求;若否,則向所述應(yīng)用服務(wù)器返回與所述關(guān) 聯(lián)請求對應(yīng)的所述關(guān)聯(lián)失敗響應(yīng)。
21、 一種應(yīng)用服務(wù)器,其特征在于,包括接口模塊,用于接收終端的認(rèn)證請求;向鑒權(quán)服務(wù)設(shè)備發(fā)送關(guān)聯(lián)請求;接 收所述鑒權(quán)服務(wù)設(shè)備返回的與所述關(guān)聯(lián)請求對應(yīng)的關(guān)聯(lián)響應(yīng);向所述終端返回 與所述i人證請求對應(yīng)的成功響應(yīng);安全關(guān)聯(lián)模塊,用于獲得所述認(rèn)證請求中攜帶的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī) 數(shù),根據(jù)所述認(rèn)證請求生成所迷需要向鑒權(quán)服務(wù)設(shè)備發(fā)送的關(guān)聯(lián)請求,在所述 關(guān)聯(lián)請求中攜帶所述鑒權(quán)事務(wù)標(biāo)識和所述鑒權(quán)隨機(jī)數(shù);獲得所述關(guān)聯(lián)響應(yīng)攜帶 的鑒權(quán)密鑰,根據(jù)所述關(guān)聯(lián)響應(yīng)攜帶的鑒權(quán)密鑰生成鑒權(quán)響應(yīng)數(shù)據(jù)/生成所述 需要向終端返回的成功響應(yīng),在所述成功響應(yīng)中攜帶所述鑒權(quán)響應(yīng)數(shù)據(jù)。
22、 根據(jù)權(quán)利要求21所述的應(yīng)用服務(wù)器,其特征在于 所述安全關(guān)聯(lián)模塊還用于,獲得所述認(rèn)證請求中攜帶的鑒權(quán)該請求的服務(wù)器的域名,先確認(rèn)所述認(rèn)證請求攜帶的鑒權(quán)該請求的服務(wù)器的域名為所述鑒權(quán) 服務(wù)設(shè)備的域名,再生成所述需要向鑒權(quán)服務(wù)設(shè)備發(fā)送的關(guān)聯(lián)請求。
23、 根據(jù)權(quán)利要求21所述的應(yīng)用服務(wù)器,其特征在于所述接口模塊還用于,接收所述鑒權(quán)服務(wù)設(shè)備返回的與所述關(guān)聯(lián)請求對應(yīng) 的關(guān)聯(lián)失敗響應(yīng)或者關(guān)聯(lián)重置響應(yīng);向所述終端返回與所述認(rèn)證請求對應(yīng)的失 敗響應(yīng)或者重置響應(yīng);所述安全關(guān)聯(lián)模塊還用于,根據(jù)所述關(guān)聯(lián)失敗響應(yīng)生成所述需要向終端返 回的失敗響應(yīng),所述失敗響應(yīng)攜帶有要求終端重新進(jìn)行密鑰信息協(xié)商的指示; 獲得所述關(guān)聯(lián)重置響應(yīng)攜帶的重新分配的鑒權(quán)隨機(jī)數(shù),根據(jù)所述關(guān)聯(lián)重置響應(yīng) 生成所述需要向終端返回的重置響應(yīng),在所述重置響應(yīng)中攜帶所述重新分配的 鑒權(quán)隨機(jī)數(shù),用于指示所述終端以所述重新分配的鑒權(quán)隨機(jī)數(shù)重新發(fā)送認(rèn)證請 求。
24、 一種終端,其特征在于,包括安全服務(wù)模塊,用于與鑒權(quán)服務(wù)設(shè)備協(xié)商密鑰信息,獲得所述鑒權(quán)服務(wù)設(shè) 備分配的與所述密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù);應(yīng)用服務(wù)模塊,用于向應(yīng)用服務(wù)器發(fā)起認(rèn)證請求,在所述認(rèn)證請求中攜帶 所述鑒權(quán)事務(wù)標(biāo)識和所述鑒權(quán)隨機(jī)數(shù);獲得所述應(yīng)用服務(wù)器返回的與所述認(rèn)證 請求對應(yīng)的成功響應(yīng),獲得所述成功響應(yīng)中攜帶的鑒權(quán)響應(yīng)數(shù)據(jù),根據(jù)所述密 鑰信息對所述鑒權(quán)響應(yīng)數(shù)據(jù)進(jìn)行驗證;鑒權(quán)控制模塊,用于在需要向應(yīng)用服務(wù)器發(fā)送認(rèn)證請求時,判斷是否保存有密鑰信息以及與所述密鑰信息對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)lt;若否,則 控制所述安全服務(wù)模塊獲取所需數(shù)據(jù);若是,則控制所述應(yīng)用服務(wù)模塊發(fā)起認(rèn) 證請求。
25、 根據(jù)權(quán)利要求24所述的終端,其特征在于所述應(yīng)用服務(wù)模塊還用于,從所述成功響應(yīng)中獲得新的鑒權(quán)隨機(jī)數(shù); 所述鑒權(quán)控制模塊還用于,使用所述新的鑒權(quán)隨機(jī)數(shù)來更新所保存的鑒權(quán) 隨機(jī)數(shù)。
26、 根據(jù)權(quán)利要求24所述的終端,其特征在于所述應(yīng)用服務(wù)模塊還用于,在所述認(rèn)證請求中攜帶鑒權(quán)隨機(jī)數(shù)的使用次數(shù);所述鑒權(quán)控制模塊還用于,在所述應(yīng)用服務(wù)模塊獲得所述成功響應(yīng)后,累 加所保存的鑒權(quán)隨機(jī)數(shù)的使用次數(shù)。
27、 根據(jù)權(quán)利要求24所述的終端,其特征在于所述應(yīng)用服務(wù)模塊還用于,獲得所述應(yīng)用服務(wù)器返回的與所述認(rèn)證請求對 應(yīng)的失敗響應(yīng),獲得所述失敗響應(yīng)中攜帶的要求終端重新進(jìn)行密鑰信息協(xié)商的 指示;所述鑒權(quán)控制模塊還用于,根據(jù)所述失敗響應(yīng)的指示清除所保存的密鑰信 息以及對應(yīng)的鑒權(quán)事務(wù)標(biāo)識和鑒權(quán)隨機(jī)數(shù),控制所述安全服務(wù)模塊重新獲取所 需數(shù)據(jù),然后控制所述應(yīng)用服務(wù)模塊重新發(fā)起認(rèn)證請求。
28、 根據(jù)權(quán)利要求24所述的終端,其特征在于所述應(yīng)用服務(wù)模塊還用于,獲得所述應(yīng)用服務(wù)器返回的與所述認(rèn)證請求對 應(yīng)的重置響應(yīng),獲得所述重置響應(yīng)中攜帶的重新分配的鑒權(quán)隨機(jī)數(shù);所述鑒權(quán)控制才莫塊還用于,使用所述重新分配的鑒權(quán)隨機(jī)數(shù)來更新所保存 的鑒權(quán)隨機(jī)數(shù),然后控制所述應(yīng)用服務(wù)模塊重新發(fā)起認(rèn)證請求。
全文摘要
本發(fā)明公開了對請求消息的鑒權(quán)方法,由鑒權(quán)服務(wù)設(shè)備對鑒權(quán)隨機(jī)數(shù)進(jìn)行集中分配和管理,當(dāng)終端使用受保護(hù)業(yè)務(wù)時,只需要執(zhí)行一次密鑰協(xié)商過程,即可按照鑒權(quán)隨機(jī)數(shù)的使用策略,依次完成與多個應(yīng)用服務(wù)器的鑒權(quán)。本發(fā)明還提供相應(yīng)的鑒權(quán)服務(wù)設(shè)備、應(yīng)用服務(wù)器和終端。本發(fā)明簡化了終端與應(yīng)用之間的鑒權(quán)過程,提高了應(yīng)用響應(yīng)的速度。
文檔編號H04L9/32GK101163010SQ20071016598
公開日2008年4月16日 申請日期2007年11月14日 優(yōu)先權(quán)日2007年11月14日
發(fā)明者超 孫 申請人:華為軟件技術(shù)有限公司
網(wǎng)友詢問留言 已有0條留言
  • 還沒有人留言評論。精彩留言會獲得點贊!
1