專利名稱:一種ims單點登錄的組合鑒權(quán)方法及系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及網(wǎng)絡(luò)通信安全技術(shù)�����,尤其涉及一種IMS單點登錄的組合鑒權(quán)方法及系統(tǒng)��。
背景技術(shù):
現(xiàn)在3GPP組織中��,有研究項目為在非通用集成電路卡(UICC��,UniversalIntegrated Circuit Card)環(huán)境下的統(tǒng) 一 IP 多媒體子系統(tǒng)(IMS, IP MultimediaSubsystem)UE 利用 SIP 摘要(SIP Digest, Session Initiation Protocol Digest)認(rèn)證機制實現(xiàn)其訪問應(yīng)用服務(wù)器(AS, Application Server)的單點登錄(SS0, Single SignOn)功能��,其中的一個在SS0_APS中的SSO架構(gòu)可以實現(xiàn)該功能�,架構(gòu)通常由統(tǒng)一 MS用戶(如MS UE或IP多媒體業(yè)務(wù)子系統(tǒng)用戶)、用戶歸屬網(wǎng)絡(luò)服務(wù)器(HSS�����,Home SubscriberServer)���、AS和身份鑒權(quán)認(rèn)證提供者實體(IdP);其中����,MS UE與IdP通過SSOb接口連接,IMS UE與AS通過SSOa接口連接�����,IdP與HSS通過SSOh接口連接���;IdP用于與IMS UE利用SIP Digest認(rèn)證機制進行交互驗證身份����,并認(rèn)證AS�����,同時生成IdP與MS UE的共享密鑰K��。���;HSS中存儲用于描述用戶信息的簽約文件��,同時HSS還兼有產(chǎn)生鑒權(quán)信息的功能;AS為IMSUE提供網(wǎng)絡(luò)服務(wù)業(yè)務(wù)�����。在該SS0_APS中的SSO架構(gòu)的實現(xiàn)方案中�����,針對運營商未部署通用引導(dǎo)體系(GBA���,Generic Bootstrapping Architecture),同時 IMS UE 不具有 UICC 的場景下,利用 SIPDigest認(rèn)證機制對MS UE進行認(rèn)證�����,實現(xiàn)該MS UE對AS的SSO功能?���,F(xiàn)有技術(shù)中,上述的具體過程如下:MS UE向AS(RP)發(fā)送服務(wù)請求����;AS重定向該服務(wù)請求到一個統(tǒng)一的認(rèn)證中心IdP,該重定向信息流中包含MS UE和AS的私有身份標(biāo)識符����;IdP依據(jù)接收到的AS的私有身份標(biāo)識符對該AS進行認(rèn)證,并保存認(rèn)證結(jié)果,同時判斷是否存在對應(yīng)IMS UE的密鑰Ktl����,如果存在該密鑰,則該MS UE已認(rèn)證過��,不需要再次利用SIP Digest認(rèn)證機制進行認(rèn)證�,跳過該認(rèn)證,直接執(zhí)行后續(xù)步驟����;IdP從HSS取得SIP Digest認(rèn)證向量以及基于MPI的用戶終端信息;IdP產(chǎn)生一個隨機數(shù)nonce�,并儲存該nonce和從HSS下載的H(Al) ;IdP使用SIP Digest認(rèn)證機制向MS UE發(fā)送一個401認(rèn)證挑戰(zhàn)消息�����;MS UE產(chǎn)生一個隨機數(shù)cnonce并生成H(Al),進而產(chǎn)生密鑰Ktl,利用參數(shù)計算響應(yīng)值response �;IMS UE對401認(rèn)證挑戰(zhàn)消息向IdP發(fā)送一個響應(yīng)消息,在IdP中完成對MS UE的認(rèn)證��,并產(chǎn)生共享密鑰K����。����;IdP再次產(chǎn)生一個隨機數(shù)noncel����,利用noncel和Ktl產(chǎn)生密鑰K1, IdP利用密鑰Ktl加密密鑰K1和AS的認(rèn)證結(jié)果,利用AS和IdP的共享密鑰加密K1和對MSUE的認(rèn)證結(jié)果�;IdP將加密后的K1和對MS UE的認(rèn)證結(jié)果重定向到AS ;IMSUE解密獲得AS的認(rèn)證結(jié)果�,并產(chǎn)生共享密鑰K115信息被重定向到AS �;AS解密信息,獲得MS UE的認(rèn)證結(jié)果和密鑰K1 ;此時MS UE和AS之間擁有共享密鑰K1�,從而IMS UE與AS之間后續(xù)的通信可以安全的進行。另外���,自由聯(lián)盟工程(LAP, Liberty Alliance Project)組織也定義了一些架構(gòu)和規(guī)范�,用于實現(xiàn)對Web業(yè)務(wù)的訪問��,其架構(gòu)主要包括三個子架構(gòu):身份標(biāo)識聯(lián)盟架構(gòu)(ID-FF, Identity Federation Framework)�����、身份標(biāo)識 Web 業(yè)務(wù)架構(gòu)(ID-WSF, IdentityWeb Service Framework)�、身份標(biāo)識業(yè)務(wù)接 口規(guī)范(ID-SIS, Identity Services InterfaceSpecification);其中ID-FF主要包含身份標(biāo)識聯(lián)盟(Identity Federation)功能和SSO功能�����,ID-FF架構(gòu)主要包含三個實體:MS UE�、身份鑒權(quán)提供商IdP���、業(yè)務(wù)提供商SP����。身份標(biāo)識聯(lián)盟功能是指MS UE在IdP和SP上都有自己的身份標(biāo)識�,即用戶標(biāo)識,這些身份標(biāo)識可以結(jié)成一個聯(lián)盟�。SSO功能是指在上述身份標(biāo)識聯(lián)盟功能的基礎(chǔ)上,只要MS UE在IdP上通過了鑒權(quán)���,就等于同時在所有結(jié)成聯(lián)盟的SP上也同時通過了鑒權(quán)。對于MS UE,有兩種鑒權(quán)方式:一種是MS UE在IdP上鑒權(quán)通過后�����,IdP會將MSUE的鑒權(quán)申明Assertion直接返回給MS UE, IMS UE再將該鑒權(quán)申明Assertion發(fā)給SP��,SP通過分析Assertion來對MS UE進行鑒權(quán)。另一種是MS UE在IdP上鑒權(quán)通過后��,IdP會將該MS UE的鑒權(quán)申明鏈接Artiface返回給MS UE ����;IMS UE再將該鑒權(quán)申明鏈接Artifact 發(fā)給 SP, SP 將該 Artifact 通過簡單對象訪問協(xié)議(SOAP, Simple Object AccessProtocol)發(fā)給IdP, IdP根據(jù)該Artifact查詢相應(yīng)的Assertion,并返回給SP ;最后SP通過分析Assertion來對IMS UE進行鑒權(quán)��。一方面,SS0_APS架構(gòu)中MS UE和SSO服務(wù)器交互進行認(rèn)證獲得共享密鑰K�����。�,可以為后續(xù)訪問RP應(yīng)用提供安全會話密鑰����,可以方便的完成單點認(rèn)證過程�����,增強了認(rèn)證的安全性和消息傳遞的安全性�����,但增加了 MS UE操做的復(fù)雜性和不方便性。另一方面�,身份標(biāo)識聯(lián)盟架構(gòu)中通過身份標(biāo)識聯(lián)盟功能在各個SP與IdP之間建立身份標(biāo)識安全聯(lián)盟�,并組成一個安全信任圈�,只要在IdP上通過了鑒權(quán),就等于在IdP所屬的安全信任圈內(nèi)的所有SP上也通過了鑒權(quán)��。因此�����,如果這兩種架構(gòu)之間能夠?qū)崿F(xiàn)互通�,既不會降低原有的安全性,還可以增加IMS UE操作的簡便性���,并擴展MS UE的應(yīng)用場景��,以便用已有的多種多樣的WEB業(yè)務(wù)��。目前3GPP規(guī)范33.980中定義了 GBA架構(gòu)和身份標(biāo)識聯(lián)盟架構(gòu)實現(xiàn)互通的典型場景���,S卩IdP和NAF為一個實體��。其特點是原GBA架構(gòu)的Ub接口和Zn接口功能基本不變���,身份標(biāo)識聯(lián)盟架構(gòu)的IdP和MS UE需增加GBA功能����;相關(guān)的SP和IdP/NAF通過身份標(biāo)識聯(lián)盟功能組成一個安全信任圈UE訪問每個SP時,首先在IdP/NAF上通過鑒權(quán)認(rèn)證后�,就等于在所有相關(guān)的其他SP上也通過了鑒權(quán)認(rèn)證。對于在非ULCC環(huán)境下的統(tǒng)一 MS UE,其不能使用GBA架構(gòu)進行鑒權(quán)認(rèn)證�����,針對該類MS UE���,在SS0_APS中設(shè)計了利用SIP Digest認(rèn)證機制實現(xiàn)SSO功能的架構(gòu)����,現(xiàn)在需要解決該SSO架構(gòu)和自由聯(lián)盟架構(gòu)的融合互通����,使得該類IMS UE能夠支持自由聯(lián)盟架構(gòu),進而獲得多種多樣的WEB業(yè)務(wù)����。
發(fā)明內(nèi)容
有鑒于此,本發(fā)明的主要目的在于提供一種MS單點登錄的組合鑒權(quán)方法及系統(tǒng)����,能夠?qū)崿F(xiàn)SS0_APS中�,SSO架構(gòu)和自由聯(lián)盟架構(gòu)的融合互通��。為達到上述目的���,本發(fā)明的技術(shù)方案是這樣實現(xiàn)的:本發(fā)明提供一種IMS單點登錄的組合鑒權(quán)方法���,包括:SP向IMS UE發(fā)送響應(yīng)消息,其中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest和L_IdP/AS的地址信息;IMS UE根據(jù)所述L_IdP/AS的地址信息��,向L_IdP/AS發(fā)送HTTP服務(wù)請求消息���,其中攜帶所述AuthnRequest �;L_IdP/AS向MS UE發(fā)送挑戰(zhàn)響應(yīng)消息���,MS UE采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證����;IMS UE認(rèn)證成功后�����,L_IdP/AS對MS UE進行身份標(biāo)識鑒權(quán)���,如果鑒權(quán)成功����,L_IdP/AS和MS UE之間建立安全聯(lián)盟�����。上述方法中�,該方法還包括:MS UE與SP進行交互,完成SSO鑒權(quán)���。上述方法中���,所述向L_IdP/AS發(fā)送HTTP服務(wù)請求消息,其中攜帶所述AuthnRequest 為:IMS UE向L-IdP/AS發(fā)送HTTP服務(wù)請求消息���,其中攜帶從SP獲取的AuthnRequest和表示自身支持SS0_APS認(rèn)證機制的標(biāo)識����。上述方法中���,所述L_IdP/AS向MS UE發(fā)送挑戰(zhàn)響應(yīng)消息為:收到MS UE發(fā)送的HTTP服務(wù)請求消息后���,L_IdP/AS找到對應(yīng)的IdP的地址信息�,并向MS UE發(fā)送重定向 HTTP挑戰(zhàn)響應(yīng)消息��,要求MS UE攜帶身份標(biāo)識信息到相應(yīng)的IdP上進行認(rèn)證�����,還需要攜帶IdP的地址信息���、L_IdP/AS的身份標(biāo)識信息以及表示需要MS UE執(zhí)行SS0_APS認(rèn)證機制的標(biāo)識���。上述方法中,所述MS UE采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證為:IMS UE向IdP發(fā)送認(rèn)證請求消息��,IdP對L_IdP/AS進行認(rèn)證����;如果IdP判斷出存在UE與IdP的共享密鑰Ktl,則利用共享密鑰Ktl生成Ekci(noncel,0P/AS_Auth)�,利用預(yù)先生成的L_IdP/AS和IdP的共享密鑰K。, i生成EK��。, i (K1, UE_Auth);IdP將MS UE重定向到L_IdP/AS ;其中的重定向消息中攜帶Ekq(noncel�,0P/AS_Auth)和 Eltaii (K1, UE_Auth)和 rapauth ����;IMS UE 根據(jù) Ekq (noncel,0P/AS_Auth)判斷 L_IdP/AS 的合法性��,如果合法�,IMS UE計算rspauth,并根據(jù)rspauth和收到的rapauth對網(wǎng)絡(luò)進行認(rèn)證,認(rèn)證成功時,生成密鑰
K10上述方法中�����,如果IdP判斷出不存在UE與IdP的共享密鑰Ktl����,所述利用共享密鑰K0生成Ekci (noncel, 0P/AS_Auth)之前,該方法還包括:IdP從HSS獲取SIP Digest認(rèn)證向量(SD-AV),并生成隨機數(shù)nonce,保存該nonce和SD-AV中的哈希函數(shù)值H(Al);IdP向MS UE發(fā)送401未認(rèn)證挑戰(zhàn)消息���,IMS UE生成隨機數(shù)cnonce和H(Al)�����,利用cnonce和H(Al)生成IMS UE和IdP的共享密鑰Ktl,并計算response �����;IMS UE向IdP發(fā)送401未認(rèn)證挑戰(zhàn)消息的響應(yīng)消息����,IdP對響應(yīng)消息中的nonce進行檢驗,如果校驗正確����,IdP計算Xresponse,并利用Xresponse對IMSUE進行認(rèn)證,如果認(rèn)證通過,IdP計算rspauth,并利用H(Al)和cnonce生成共享密鑰KQ��。 上述方法中�����,所述MS UE認(rèn)證成功后�����,L_IdP/AS對MS UE進行身份標(biāo)識鑒權(quán)����,如果鑒權(quán)成功,L_IdP/AS和MS UE之間建立安全聯(lián)盟為:IdP將MS UE重定向到L_IdP/AS的過程中�����,發(fā)送的消息被重定向到L_IdP/AS,該消息中攜帶E1^i (K1���,UE_Auth);緊隨重定向過程中的消息�����,MS UE向L_IdP/AS發(fā)送HTTP請求消息;
L_IdP/AS收到請求消息后�,利用共享密鑰解密EK。, i (K1, UE_Auth);同時L_IdP/AS根據(jù)所述AuthnRequest對MS UE進行身份標(biāo)識鑒權(quán)�����,如果鑒權(quán)成功����,L_IdP/AS將通知MSUE可以結(jié)成身份標(biāo)識聯(lián)盟的SP,IMS UE接受并完成與SP的身份標(biāo)識聯(lián)盟�,IMS UE和L_IdP/AS之間建立安全聯(lián)盟。上述方法中�,所述MS UE與SP進行交互,完成SSO鑒權(quán)為:L_IdP/AS向MS UE返回HTTP鑒權(quán)成功響應(yīng)消息����,其中攜帶Assertion �����;IMS UE重新向SP發(fā)起HTTP應(yīng)用請求消息���,其中攜帶Assertion ;SP對Assertion進行處理�,并根據(jù)MS UE和L_IdP/AS之間建立安全聯(lián)盟過程中產(chǎn)生的L_IdP/AS的身份標(biāo)識聯(lián)盟信息,對MS UE完成SSO鑒權(quán)���,并向MS UE返回成功的HTTP響應(yīng)消息���。上述方法中,所述MS UE與SP進行交互�,完成SSO鑒權(quán)為:L_IdP/AS生成對應(yīng)的Artifact和Assertion,并保存兩者之間的對應(yīng)關(guān)系,向IMSUE返回HTTP鑒權(quán)成功響應(yīng)消息,其中攜帶所述Artifact ���;IMS UE重新向SP發(fā)起HTTP應(yīng)用請求消息���,其中攜帶Artifact ;SP向L_IdP/AS發(fā)送HTTP請求消息,其中攜帶Artifact ��;L_IdP/AS根據(jù)Artifact找到對應(yīng)的Assertion,并向SP返回HTTP響應(yīng)消息����,其中攜帶Assertion ;SP對Assertion進行處理,根據(jù)IMS UE和L_IdP/AS之間建立安全聯(lián)盟過程中產(chǎn)生的L_IdP/AS的身份標(biāo)識聯(lián)盟信息,對MS UE完成SSO鑒權(quán)����,并向MS UE返回成功的HTTP響應(yīng)消息。本發(fā)明還提供一種MS單點登錄的組合鑒權(quán)系統(tǒng)�,包括:SP、MS UE����、L_IdP/AS ;其中�,SP,用于向IMS UE發(fā)送響應(yīng)消息,其中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest和L_IdP/AS的地址信息;IMS UE,用于根據(jù)所述L_IdP/AS的地址信息����,向L_IdP/AS發(fā)送HTTP服務(wù)請求消息,其中攜帶所述AuthnRequest ���;L_IdP/AS,用于向MS UE發(fā)送挑戰(zhàn)響應(yīng)消息���;IMS UE�,還用于采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證�����;L_IdP/AS,還用于MS UE認(rèn)證成功后����,對MS UE進行身份標(biāo)識鑒權(quán),如果鑒權(quán)成功�,L_IdP/AS和MS UE之間建立安全聯(lián)盟。上述系統(tǒng)中�,所述MS UE還用于,與所述SP進行交互����,完成SSO鑒權(quán)。本發(fā)明提供的MS單點登錄的組合鑒權(quán)方法及系統(tǒng)�����,SP向MS UE發(fā)送響應(yīng)消息�����,其中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest和L_IdP/AS的地址信息;MS UE根據(jù)所述L_IdP/AS的地址信息�,向L_IdP/AS發(fā)送HTTP服務(wù)請求消息,其中攜帶所述AuthnRequest ���;L_IdP/AS向MS UE發(fā)送挑戰(zhàn)響應(yīng)消息�����,MS UE采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證UE認(rèn)證成功后���,L_IdP/AS對MS UE進行身份標(biāo)識鑒權(quán),如果鑒權(quán)成功���,L_IdP/AS和MS UE之間建立安全聯(lián)盟��,能夠?qū)崿F(xiàn)SS0_APS中,SSO架構(gòu)和自由聯(lián)盟架構(gòu)的融合互通以滿足非nCC場景中統(tǒng)一 IMS UE利用該組合鑒權(quán)方法和系統(tǒng)實現(xiàn)對應(yīng)用服務(wù)器的SSO功能����。
圖1是本發(fā)明實現(xiàn)MS單點登錄的組合鑒權(quán)方法的流程示意圖;圖2是本發(fā)明實現(xiàn)步驟104的方法的流程示意圖����;圖3是本發(fā)明實現(xiàn)步驟106的方法的實施例一的流程示意圖;圖4是本發(fā)明實現(xiàn)步驟106的方法的實施例二的流程示意圖;圖5是本發(fā)明實現(xiàn)IMS單點登錄的組合鑒權(quán)系統(tǒng)的結(jié)構(gòu)示意圖����。
具體實施例方式本發(fā)明的基本思想是:SP向MS UE發(fā)送響應(yīng)消息,其中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest和L_IdP/AS的地址信息�;MS UE根據(jù)所述L_IdP/AS的地址信息,向L_IdP/AS發(fā)送HTTP服務(wù)請求消息��,其中攜帶所述AuthnRequest ��;L_IdP/AS向MS UE發(fā)送挑戰(zhàn)響應(yīng)消息����,頂S UE采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證;MS UE認(rèn)證成功后�,L_IdP/AS對MS UE進行身份標(biāo)識鑒權(quán),如果鑒權(quán)成功���,L_IdP/AS和MS UE之間建立安全聯(lián)盟�����。下面通過附圖及具體實施例對本發(fā)明再做進一步的詳細(xì)說明���。本發(fā)明提供一種MS單點登錄的組合鑒權(quán)方法,圖1是本發(fā)明實現(xiàn)MS單點登錄的組合鑒權(quán)方法的流程示意圖,如圖1所示����,該方法包括以下步驟:步驟101,SP向MS UE發(fā)送響應(yīng)消息��,其中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest 和 L_IdP/AS 的地址信息�;具體的,IP多媒體業(yè)務(wù)子系統(tǒng)用戶(MS UE)向SP發(fā)送應(yīng)用請求消息��;SP收到請求后�����,獲取L_IdP/AS的地址�����;SP發(fā)送響應(yīng)消息給MS UE,要求MSUE在相應(yīng)的L_IdP/AS上進行認(rèn)證���,所述響應(yīng)消息中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest和L_IdP/AS的地址信息。步驟102����,收到響應(yīng)消息后,根據(jù)其中的L_IdP/AS的地址信息,MS UE向L_IdP/AS發(fā)送HTTP服務(wù)請求消息,其中攜帶獲取的AuthnRequest ����;具體的,收到SP發(fā)送的響應(yīng)消息后���,根據(jù)其中的L_IdP/AS的地址信息���,IMS UE向該L_IdP/AS發(fā)送HTTP服務(wù)請求消息,其中攜帶從SP獲取的AuthnRequest,還攜帶表示自身支持SS0_APS認(rèn)證機制的標(biāo)識。步驟103��,L_IdP/AS向MS UE發(fā)送挑戰(zhàn)響應(yīng)消息����;具體的,收到MS UE發(fā)送的HTTP服務(wù)請求消息后�����,L_I dP/AS發(fā)現(xiàn)MSUE支持SS0_APS認(rèn)證機制��,并找到對應(yīng)的IdP的地址信息�;L_IdP/AS與IdP利用現(xiàn)有機制如Diffie-Hellman密鑰交換機制或預(yù)配置密鑰等方式在兩者之間生成共享密鑰K。, i����,然后L_IdP/AS向IMS UE發(fā)送一個重定向HTTP挑戰(zhàn)響應(yīng)消息���,要求MS UE攜帶身份標(biāo)識信息到相應(yīng)的IdP上進行認(rèn)證,同時還需要攜帶IdP的地址信息�����、L_IdP/AS的身份標(biāo)識信息以及一個表示需要MS UE執(zhí)行SS0_APS認(rèn)證機制的標(biāo)識����。步驟104,IMS UE收到挑戰(zhàn)響應(yīng)消息后�����,采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證����。步驟105,IMS UE認(rèn)證成功后�,L_IdP/AS對MS UE進行身份標(biāo)識鑒權(quán),如果鑒權(quán)成功�,L_IdP/AS和MS UE之間建立安全聯(lián)盟;
具體的����,IdP將MS UE重定向到L_IdP/AS的過程中,發(fā)送的消息被重定向到L_IdP/AS��,該消息中攜帶有E1^i (KpUE.Auth);緊隨重定向過程中的消息�,MS UE向L_IdP/AS發(fā)送HTTP請求消息,該請求消息中攜帶認(rèn)證請求AuthnRequest,該AuthnRequest是原有認(rèn)證架構(gòu)Liberty Alliance定義的固定格式和命名方式;L_IdP/AS收到請求消息后�,利用共享密鑰解密EK。, i (K1, UE_Auth)��,得到K1和UE_Auth ;同時L_IdP/AS根據(jù)AuthnRequest對MS UE進行身份標(biāo)識鑒權(quán)�,如果鑒權(quán)成功,L_IdP/AS將通知IMS UE可以結(jié)成身份標(biāo)識聯(lián)盟的SP��,IMS UE接受并完成與SP的身份標(biāo)識聯(lián)盟�,此時在MS UE和業(yè)務(wù)鑒權(quán)提供商L_IdP/AS之間建立了安全聯(lián)盟,此后MS UE可以和相應(yīng)的SP進行SSO鑒權(quán)��。步驟106��,IMS UE與SP進行交互��,完成SSO鑒權(quán)�。圖2是本發(fā)明實現(xiàn)步驟104的方法的流程示意圖,S卩IMS UE收到挑戰(zhàn)響應(yīng)消息后��,采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證的具體實現(xiàn)方法,如圖2所示�,該方法包括以下步驟:步驟201,IMS UE向IdP發(fā)送認(rèn)證請求消息�����,IdP對L_IdP/AS進行認(rèn)證���;具體的��,IMS UE根據(jù)從L_IdP/AS獲得的IdP的地址信息找到對應(yīng)的IdP����,向該IdP發(fā)送認(rèn)證請求消息���,其中攜帶身份標(biāo)識信息U_credential和L_IdP/AS的身份標(biāo)識信息����;IdP從認(rèn)證請求消息中獲得L_IdP/AS的身份標(biāo)識信息��,并根據(jù)該身份標(biāo)識信息對L_IdP/AS進行認(rèn)證�,生成L_IdP/AS的認(rèn)證結(jié)果L_IdP/AS_Auth,并保存該認(rèn)證結(jié)果����。步驟202�����,IdP判斷是否存在UE與IdP的共享密鑰Ktl,如果存在,執(zhí)行步驟203�����,如果不存在���,執(zhí)行步驟208 �����;具體的�,IdP根據(jù)IMS UE發(fā)送的認(rèn)證請求消息中攜帶的U_credential,檢查是否存在與該[credential對應(yīng)的MS UE與IdP的共享密鑰Ktl,如果存在�����,執(zhí)行步驟202�����,如果不存在,執(zhí)行步驟208���。步驟203����,IdP從HSS獲取SIP Digest認(rèn)證向量(SD-AV)和用戶配置信息����,并生成隨機數(shù)nonce,保存該nonce和SD-AV中的哈希函數(shù)值H(Al);具體的���,IdP向HSS發(fā)送一個認(rèn)證請求�,根據(jù)MS UE發(fā)送的U_credential�����,IdP在HSS中查找并下載與該[credential對應(yīng)的SIP Digest認(rèn)證向量(SD-AV)和用戶配置信息��;其中�,SD-AV中包括U_credential、領(lǐng)域(realm)���、質(zhì)量保證(qop)����、認(rèn)證算法(algorithm)和 H(Al);其中,H(Al)是由 U_credential�、realm 和密碼(password)組成的一個哈希函數(shù)值;如果場景中存在多HSS��,IdP可以通過詢問SLF獲得對應(yīng)的儲存用戶信息的HSS的地址��,從而找到該對應(yīng)的HSS ��;IdP生成一個隨機數(shù)nonce,并把根據(jù)U_credential從HSS獲取的SD-AV中的H(Al)和該nonce —并存儲�����。步驟204, IdP向IMS UE發(fā)送401未認(rèn)證挑戰(zhàn)消息��,其中攜帶U_credential��、realm�����、qop���、algorithm 和 nonce��。步驟 205���,IMS UE 生成隨機數(shù) cnonce 和 H(Al),利用 cnonce 和 H(Al)生成 IMS UE和IdP的共享密鑰K�。,并計算response ��;具體的�����,收到401未認(rèn)證挑戰(zhàn)消息后���,IMS UE生成隨機數(shù)cnonce和H(Al)���,利用cnonce和H(Al)生成MS UE和IdP的共享密鑰Ktl, IMS UE利用單向哈希函數(shù)F計算 response 值,即 response = F(H(Al)��,cnonce, nonce, qop, nonce-count);這里��,IMSUE可以利用cnonce進行網(wǎng)絡(luò)認(rèn)證和避免純文本攻擊(“chosen plaintext”);其中�����,nonce-count為計數(shù)器,每使用同一個nonce計算一次response值��,nonce-count將加I,利用nonce-count參與response值的計算,能夠降低重放攻擊的可能性�。步驟206, IMS UE向IdP發(fā)送401未認(rèn)證挑戰(zhàn)消息的響應(yīng)消息,其中攜帶cnonce、nonce��、response����、realm、U_credential���、qop、algorithm����、Digest-url 和 nonce-count ;其中,所述Digest-url為地址標(biāo)識����,IMS UE根據(jù)該地址標(biāo)識確定需要發(fā)送響應(yīng)消息的IdP。步驟207, IdP對響應(yīng)消息中的nonce進行檢驗�,如果校驗正確,IdP計算Xresponse,并利用Xresponse對IMS UE進行認(rèn)證,如果認(rèn)證通過,IdP計算rspauth,并利用H(Al)和cnonce生成共享密鑰K0 ��;具體的��,收到401未認(rèn)證挑戰(zhàn)消息的響應(yīng)消息后���,IdP利用之前存儲的nonce對響應(yīng)消息中的nonce進行檢驗,如果兩個nonce相同�,則檢驗正確�,IdP利用響應(yīng)消息中的參數(shù)cnonce、nonce-count�����、qop等�、以及之前儲存在本地的nonce和H(Al)計算期望值Xresponse,將計算的Xresponse與收到的response進行比較,如果兩者的比較結(jié)果是相同�,則MS UE的認(rèn)證通過;反之����,MS UE認(rèn)證失敗�;MS UE認(rèn)證通過后,IdP依據(jù)RFC2617中的方法利用 cnonce 生成 rspauth 值����,即 rspauth = “response-digest�,��,=〈” >*LHEX〈” >,并利用H(Al)和cnonce等參數(shù)生成共享密鑰K�����。�����。步驟208�����,IdP 利用共享密鑰 Ktl 生成 Ekci(noncel�����,0P/AS_Auth)��,利用 L_IdP/AS 和IdP 的共享密鑰 K�����。, i 生成 EKo��,i (K1, UE_Auth)�����;具體的����,IdP保存MS UE認(rèn)證結(jié)果的相關(guān)信息UE_Auth,IdP生成一個隨機數(shù)noncel�����,利用共享密鑰Ktl和noncel生成密鑰K1 ;利用共享密鑰Ktl對noncel和之前保存的L_IdP/AS_Auth 信息進行加密操作�����,生成 EKCI(noncel��,0P/AS_Auth);利用 L_IdP/AS 和 IdP 的共享密鑰 K�。, i 加密 K1 和 UE_Auth,生成 EKo���,i (K1, UE_Auth)����。步驟209,IdP將MS UE重定向到L_IdP/AS ;其中的重定向消息中攜帶Eko(noncel, 0P/AS_Auth)和 EKo, i (K1, UE_Auth)和 rapauth��。步驟210���,IMS UE 根據(jù) Ekq (noncel, 0P/AS_Auth)判斷 L_IdP/AS 的合法性��,如果合法���,IMS UE計算rspauth,并根據(jù)rspauth和收到的rapauth對網(wǎng)絡(luò)進行認(rèn)證,認(rèn)證成功時,生成密鑰K1 ��;具體的�����,MSUE 解密收到的 Ekq(noncel����,0P/AS_Auth)�,獲得 noncel 和 L_IdP/AS的認(rèn)證結(jié)果L_IdP/AS_Auth,根據(jù)L_IdP/AS_Auth判斷L_IdP/AS的合法性��,如果非法,IMSUE停止訪問AS ;如果合法��,IMS UE使用同步驟206中一樣的方法計算rspauth值���,并將該rspauth值與從IdP收到的rspauth值進行比較,如果兩者相同�����,認(rèn)證網(wǎng)絡(luò)成功��,反之���,認(rèn)證網(wǎng)絡(luò)失敗��;網(wǎng)絡(luò)認(rèn)證成功后��,IMS UE將按照步驟208中的方法生成密鑰I����。圖3是本發(fā)明實現(xiàn)步驟106的方法的實施例一的流程示意圖,針對L_IdP/AS返回給IMS UE的認(rèn)證響應(yīng)中不包含Artifact時的情景,如圖3所示,該方法包括:步驟301�,L_IdP/AS向MS UE返回HTTP鑒權(quán)成功響應(yīng)消息,其中認(rèn)證響應(yīng)消息AuthnResponse中攜帶對應(yīng)的斷言Assertion,該Assertion包含L_IdP/AS的數(shù)字簽名�����;這里,AuthnResponse是原有認(rèn)證架構(gòu)Liberty Alliance定義的固定格式和命名方式��。步驟302�����,MS UE重新向SP發(fā)起HTTP應(yīng)用請求消息�����,其中AuthnResponse為在上一步中返回的AuthnResponse,其中攜帶對應(yīng)的Assertion,Assertion中包含L_IdP/AS的數(shù)字簽名���。步驟303����,SP對Assertion進行相應(yīng)處理����,即SP識別Assertion的數(shù)據(jù)簽名,判斷該Assertion的正確性和擁有者�����,SP根據(jù)步驟105中MS UE和L_IdP/AS之間建立安全聯(lián)盟過程中產(chǎn)生的L_IdP/AS的身份標(biāo)識聯(lián)盟信息�����,對MS UE完成SSO鑒權(quán)�。步驟304,SP向MS UE返回成功的HTTP響應(yīng)消息���。此后���,IMS UE和SP之間繼續(xù)進行通訊,直到密鑰過期或即將過期為止����。圖4是本發(fā)明實現(xiàn)步驟106的方法的實施例二的流程示意圖,針對L_IdP/AS返回給IMS UE的認(rèn)證響應(yīng)中包含Artifact時的情景,如圖4所示,該方法包括:步驟401, L_IdP/AS生成對應(yīng)的診斷文件Artifact和Assertion,并保存兩者之間的對應(yīng)關(guān)系����,L_IdP/AS向MS UE返回HTTP鑒權(quán)成功響應(yīng)消息,其中攜帶生成的Artifact����。步驟402,MS UE重新向SP發(fā)起HTTP應(yīng)用請求消息,其中AuthnResponse為上一步中返回的AuthnResponse,其中攜帶對應(yīng)的Artifact, Artifact中包含Assertion的鏈接�����。步驟403����,SP向L_IdP/AS發(fā)送通過SOAP協(xié)議封裝的HTTP請求消息;其中攜帶對應(yīng)的 Artifact��。步驟404,L_IdP/AS根據(jù)Artifact找到對應(yīng)的Assertion,并向SP返回通過SOAP協(xié)議封裝的HTTP響應(yīng)消息��,其中攜帶對應(yīng)的Assertion��,其包含IdP的數(shù)字簽名�。步驟405,SP對Assertion進行相應(yīng)處理���,根據(jù)MS UE和L_IdP/AS之間建立安全聯(lián)盟過程中產(chǎn)生的L_IdP/AS的身份標(biāo)識聯(lián)盟信息����,對MS UE完成SSO鑒權(quán)���。步驟406�����,SP向MS UE返回成功的HTTP響應(yīng)消息����。此后����,IMS UE和SP之間繼續(xù)進行通訊,直到密鑰過期或者即將過期為止��。為實現(xiàn)上述方法����,本發(fā)明還提供一種MS單點登錄的組合鑒權(quán)系統(tǒng),圖5是本發(fā)明實現(xiàn)MS單點登錄的組合鑒權(quán)系統(tǒng)的結(jié)構(gòu)示意圖�,如圖5所示,該系統(tǒng)包括:SP 51�、IMS UE52、L IdP/AS 53 ;其中�,SP 51,用于向MS UE 52發(fā)送響應(yīng)消息�����,其中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest 和 L_IdP/AS 的地址信息;IMS UE 52�����,用于根據(jù)所述L_IdP/AS 53的地址信息�,向L_IdP/AS 53發(fā)送HTTP服務(wù)請求消息,其中攜帶所述AuthnRequest ��;L_IdP/AS 53�����,用于向MS UE 52發(fā)送挑戰(zhàn)響應(yīng)消息���;IMS UE 52�����,還用于采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證����;L_IdP/AS 53�����,還用于MS UE 52認(rèn)證成功后,對MS UE 52進行身份標(biāo)識鑒權(quán)����,如果鑒權(quán)成功,L_IdP/AS 53和MS UE 52之間建立安全聯(lián)盟����。所述MS UE 52還用于���,與所述SP 51進行交互,完成SSO鑒權(quán)����。所述MS UE 52向L_IdP/AS 53發(fā)送HTTP服務(wù)請求消息,其中攜帶所述AuthnRequest為:MS UE向L_IdP/AS發(fā)送HTTP服務(wù)請求消息�,其中攜帶從SP獲取的AuthnRequest和表示自身支持SS0_APS認(rèn)證機制的標(biāo)識。所述L_IdP/AS 53向MS UE 52發(fā)送挑戰(zhàn)響應(yīng)消息為:收到MS UE發(fā)送的HTTP服務(wù)請求消息后��,L_IdP/AS找到對應(yīng)的IdP的地址信息��,并向MS UE發(fā)送重定向HTTP挑戰(zhàn)響應(yīng)消息�,要求MS UE攜帶身份標(biāo)識信息到相應(yīng)的IdP上進行認(rèn)證,還需要攜帶IdP的地址信息�、L_IdP/AS的身份標(biāo)識信息以及表示需要MS UE執(zhí)行SSO_APS認(rèn)證機制的標(biāo)識�。所述頂S UE 52采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證為:IMS UE向IdP發(fā)送認(rèn)證請求消息�����,IdP對L_IdP/AS進行認(rèn)證��;如果IdP判斷出存在UE與IdP的共享密鑰Ktl,則利用共享密鑰Ktl生成Ekci(noncel�,0P/AS_Auth),利用預(yù)先生成的L_IdP/AS 和 IdP 的共享密鑰 K��。, i 生成 EK�。, i (K1, UE_Auth) ;IdP 將 MS UE 重定向到 L_IdP/AS ;其中的重定向消息中攜帶 Ekq(noncel, 0P/AS_Auth)和 EK�。, JK1, UE_Auth)和 rapauth ;IMSUE根據(jù) Ekci(noncel, 0P/AS_Auth)判斷 L_IdP/AS 的合法性,如果合法����,IMS UE 計算rspauth,并根據(jù)rspauth和收到的rapauth對網(wǎng)絡(luò)進行認(rèn)證,認(rèn)證成功時,生成密鑰K1 ;如果IdP判斷出不存在UE與IdP的共享密鑰Ktl��,所述利用共享密鑰Ktl生成Eko (noncel, 0P/AS_Auth)之前���,還包括:IdP從HSS 獲取 SIP Digest 認(rèn)證向量(SD-AV)����,并生成隨機數(shù)nonce,保存該nonce和SD-AV中的哈希函數(shù)值H(Al) ;IdP向MS UE發(fā)送401未認(rèn)證挑戰(zhàn)消息����,IMS UE生成隨機數(shù)cnonce和H(Al),利用cnonce和H(Al)生成IMS UE和IdP的共享密鑰Ktl,并計算response ���;IMS UE向IdP發(fā)送401未認(rèn)證挑戰(zhàn)消息的響應(yīng)消息�����,IdP對響應(yīng)消息中的nonce進行檢驗,如果校驗正確�����,IdP計算Xresponse,并利用Xresponse對IMS UE進行認(rèn)證,如果認(rèn)證通過,IdP計算rspauth,并利用H(Al)和cnonce生成共享密鑰K0��?��!に鯩S UE 52認(rèn)證成功后���,L_IdP/AS 53對MS UE 52進行身份標(biāo)識鑒權(quán),如果鑒權(quán)成功�����,L_IdP/AS 53和MS UE 52之間建立安全聯(lián)盟為:IdP將MSUE重定向到L_IdP/AS的過程中,發(fā)送的消息被重定向到L_IdP/AS��,該消息中攜帶E1^i (Kl��,UE_Auth);緊隨重定向過程中的消息���,IMS UE向L_IdP/AS發(fā)送HTTP請求消息����;L_IdP/AS收到請求消息后����,利用共享密鑰解密E1^i(KnUE-Auth);同時L_IdP/AS根據(jù)所述AuthnRequest對MS UE進行身份標(biāo)識鑒權(quán),如果鑒權(quán)成功�,L_IdP/AS將通知MS UE可以結(jié)成身份標(biāo)識聯(lián)盟的SP’ IMS UE接受并完成與SP的身份標(biāo)識聯(lián)盟,IMS UE和L_IdP/AS之間建立安全聯(lián)盟���。所述MS UE 52與SP 51進行交互��,完成SSO鑒權(quán)為:L_IdP/AS向MS UE返回HTTP鑒權(quán)成功響應(yīng)消息�,其中攜帶Assertion ;IMS UE重新向SP發(fā)起HTTP應(yīng)用請求消息��,其中攜帶Assertion ;SP對Assertion進行處理,并根據(jù)IMS UE和L_IdP/AS之間建立安全聯(lián)盟過程中產(chǎn)生的L_IdP/AS的身份標(biāo)識聯(lián)盟信息�,對MS UE完成SSO鑒權(quán),并向MS UE返回成功的HTTP響應(yīng)消息��?;颍鯩S UE 52與SP 51進行交互����,完成SSO鑒權(quán)為:L_IdP/AS生成對應(yīng)的Artifact和Assertion,并保存兩者之間的對應(yīng)關(guān)系����,L_IdP/AS向MS UE返回HTTP鑒權(quán)成功響應(yīng)消息,其中攜帶所述Artifact �����;IMS UE重新向SP發(fā)起HTTP應(yīng)用請求消息�,其中攜帶Artifact ����;SP向L_IdP/AS發(fā)送HTTP請求消息,其中攜帶Artifact ;L_IdP/AS根據(jù)Artifact找到對應(yīng)的Assertion,并向SP返回HTTP響應(yīng)消息���,其中攜帶Assertion ����;SP對Assertion進行處理���,根據(jù)MS UE和L_IdP/AS之間建立安全聯(lián)盟過程中產(chǎn)生的L_IdP/AS的身份標(biāo)識聯(lián)盟信息�����,對頂S UE完成SSO鑒權(quán)�����,并向MS UE返回成功的HTTP響應(yīng)消息���。以上所述,僅為本發(fā)明的較佳實施例而已�,并非用于限定本發(fā)明的保護范圍,凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改�、等同替換和改進等,均應(yīng)包含在本發(fā)明的保護范圍之內(nèi)�。
權(quán)利要求
1.一種IMS單點登錄的組合鑒權(quán)方法,其特征在于,該方法包括: SP向IMS UE發(fā)送響應(yīng)消息,其中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest和L_IdP/AS的地址信息�; IMS UE根據(jù)所述L_IdP/AS的地址信息,向L_IdP/AS發(fā)送HTTP服務(wù)請求消息����,其中攜帶所述 AuthnRequest ; L_IdP/AS向MS UE發(fā)送挑戰(zhàn)響應(yīng)消息����,MS UE采用基于SSO_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證; IMS UE認(rèn)證成功后�,L_IdP/AS對MS UE進行身份標(biāo)識鑒權(quán),如果鑒權(quán)成功�,L_IdP/AS和MS UE之間建立安全聯(lián)盟。
2.根據(jù)權(quán)利要求1所述的方法�,其特征在于,該方法還包括:MSUE與SP進行交互���,完成SSO鑒權(quán)����。
3.根據(jù)權(quán)利要求1所述的方法��,其特征在于��,所述向L_IdP/AS發(fā)送HTTP服務(wù)請求消息��,其中攜帶所述AuthnRequest為: IMS UE向L_IdP/AS發(fā)送HTTP服務(wù)請求消息�����,其中攜帶從SP獲取的AuthnRequest和表示自身支持SS0_APS認(rèn)證機制的標(biāo)識��。
4.根據(jù)權(quán)利要求1所述的方法���,其特征在于��,所述L_IdP/AS向IMSUE發(fā)送挑戰(zhàn)響應(yīng)消息為: 收到MS UE發(fā)送的HTTP服務(wù)請求消息后�����,L_IdP/AS找到對應(yīng)的IdP的地址信息��,并向MS UE發(fā)送重定向HTTP挑戰(zhàn)響應(yīng)消息�����,要求MS UE攜帶身份標(biāo)識信息到相應(yīng)的IdP上進行認(rèn)證�����,還需要攜帶IdP的地址信息��、L_IdP/AS的身份標(biāo)識信息以及表示需要MS UE執(zhí)行SS0_APS認(rèn)證機制的標(biāo)識���。
5.根據(jù)權(quán)利要求1所述的方法����,其特征在于�,所述IMSUE采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證為: IMS UE向IdP發(fā)送認(rèn)證請求消息,IdP對L_IdP/AS進行認(rèn)證��; 如果IdP判斷出存在UE與IdP的共享密鑰Ktl,則利用共享密鑰Ktl生成Ekci (nonceI��,OP/AS_Auth)���,利用預(yù)先生成的L_IdP/AS和IdP的共享密鑰K�����。, i生成EK�����。, i (K1, UE_Auth)��; IdP將MS UE重定向到1^_1(^/^ ;其中的重定向消息中攜帶EKQ(noncel����,OP/AS_Auth)和 EK�。, J (K1, UE_Auth)和 rapauth ; IMS UE 根據(jù) Ekq (nonceI��,0P/AS_Auth)判斷 L_IdP/AS 的合法性�,如果合法,MS UE 計算rspauth,并根據(jù)rspauth和收到的rapauth對網(wǎng)絡(luò)進行認(rèn)證,認(rèn)證成功時�����,生成密鑰K1���。
6.根據(jù)權(quán)利要求5所述的方法����,其特征在于�����,如果IdP判斷出不存在UE與IdP的共享密鑰Ktl�����,所述利用共享密鑰Ktl生成EK(l(nonCel,0P/AS_Auth)之前����,該方法還包括: IdP從HSS獲取SIP Digest認(rèn)證向量(SD-AV),并生成隨機數(shù)nonce,保存該nonce和SD-AV中的哈希函數(shù)值H(Al); IdP向MS UE發(fā)送401未認(rèn)證挑戰(zhàn)消息��,MS UE生成隨機數(shù)cnonce和H(Al)�,利用cnonce和H(Al)生成IMS UE和IdP的共享密鑰K0,并計算response ; IMS UE向IdP發(fā)送401未認(rèn)證挑戰(zhàn)消息的響應(yīng)消息���,IdP對響應(yīng)消息中的nonce進行檢驗���,如果校驗正確,IdP計算Xresponse,并利用Xresponse對IMSUE進行認(rèn)證,如果認(rèn)證通過��,IdP計算rspauth,并利用H(Al)和cnonce生成共享密鑰K����。。
7.根據(jù)權(quán)利要求1所述的方法�,其特征在于,所述IMSUE認(rèn)證成功后����,L_IdP/AS對IMSUE進行身份標(biāo)識鑒權(quán)�����,如果鑒權(quán)成功��,L_IdP/AS和MS UE之間建立安全聯(lián)盟為: IdP將MS UE重定向到L_IdP/AS的過程中,發(fā)送的消息被重定向到L_IdP/AS�����,該消息中攜帶E1^i (K1, UE_Auth);緊隨重定向過程中的消息�,IMS UE向L_IdP/AS發(fā)送HTTP請求消息; L_IdP/AS收到請求消息后��,利用共享密鑰解密E1^i (K1, UE_Auth);同時L_IdP/AS根據(jù)所述AuthnRequest對MS UE進行身份標(biāo)識鑒權(quán)����,如果鑒權(quán)成功,L_IdP/AS將通知MS UE可以結(jié)成身份標(biāo)識聯(lián)盟的SP����,IMS UE接受并完成與SP的身份標(biāo)識聯(lián)盟,IMS UE和L_IdP/AS之間建立安全聯(lián)盟�。
8.根據(jù)權(quán)利要求2所述的方法�,其特征在于�����,所述IMSUE與SP進行交互��,完成SSO鑒權(quán)為: L_IdP/AS向MS UE返回HTTP鑒權(quán)成功響應(yīng)消息�,其中攜帶Assertion ; IMS UE重新向SP發(fā)起HTTP應(yīng)用請求消息�,其中攜帶Assertion ; SP對Assertion進行處理���,并根據(jù)MS UE和L_IdP/AS之間建立安全聯(lián)盟過程中產(chǎn)生的L_IdP/AS的身份標(biāo)識聯(lián)盟 信息�,對MS UE完成SSO鑒權(quán)����,并向MS UE返回成功的HTTP響應(yīng)消息。
9.根據(jù)權(quán)利要求2所述的方法���,其特征在于�,所述IMSUE與SP進行交互��,完成SSO鑒權(quán)為: L_IdP/AS生成對應(yīng)的Artifact和Assertion,并保存兩者之間的對應(yīng)關(guān)系����,向MS UE返回HTTP鑒權(quán)成功響應(yīng)消息,其中攜帶所述Artifact ; IMS UE重新向SP發(fā)起HTTP應(yīng)用請求消息����,其中攜帶Artifact ;SP向L_IdP/AS發(fā)送HTTP請求消息,其中攜帶Artifact ��; L_IdP/AS根據(jù)Artifact找到對應(yīng)的Assertion���,并向SP返回HTTP響應(yīng)消息,其中攜帶Assertion ;SP對Assertion進行處理,根據(jù)IMS UE和L_IdP/AS之間建立安全聯(lián)盟過程中產(chǎn)生的L_IdP/AS的身份標(biāo)識聯(lián)盟信息�,對MS UE完成SSO鑒權(quán),并向MS UE返回成功的HTTP響應(yīng)消息����。
10.一種MS單點登錄的組合鑒權(quán)系統(tǒng),其特征在于�,該系統(tǒng)包括:SP、IMS UE����、L_IdP/AS ;其中, SP,用于向IMS UE發(fā)送響應(yīng)消息,其中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest和L_IdP/AS的地址信息; IMS UE�,用于根據(jù)所述L_IdP/AS的地址信息,向L_IdP/AS發(fā)送HTTP服務(wù)請求消息��,其中攜帶所述AuthnRequest �; L_IdP/AS,用于向MS UE發(fā)送挑戰(zhàn)響應(yīng)消息�; IMS UE,還用于采用基于SS0_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證���; L_IdP/AS��,還用于MS UE認(rèn)證成功后�����,對MS UE進行身份標(biāo)識鑒權(quán)��,如果鑒權(quán)成功��,L_IdP/AS和MS UE之間建立安全聯(lián)盟��。
11.根據(jù)權(quán)利要求10所述的系統(tǒng)����,其特征在于,所述IMSUE還用于��,與所述SP進行交互�,完成SSO鑒權(quán)。
全文摘要
本發(fā)明公開一種IMS單點登錄的組合鑒權(quán)方法���,包括SP向IMS UE發(fā)送響應(yīng)消息��,其中攜帶身份標(biāo)識鑒權(quán)請求信息AuthnRequest和L_IdP/AS的地址信息���;IMS UE根據(jù)所述L_IdP/AS的地址信息,向L_IdP/AS發(fā)送HTTP服務(wù)請求消息�,其中攜帶所述AuthnRequest;L_IdP/AS向IMS UE發(fā)送挑戰(zhàn)響應(yīng)消息����,IMS UE采用基于SSO_ASP中的SSO架構(gòu)的認(rèn)證方法進行自身的認(rèn)證���;IMS UE認(rèn)證成功后�����,L_IdP/AS對IMS UE進行身份標(biāo)識鑒權(quán)�����,如果鑒權(quán)成功�,L_IdP/AS和IMS UE之間建立安全聯(lián)盟;本發(fā)明還提供一種IMS單點登錄的組合鑒權(quán)系統(tǒng)���。根據(jù)本發(fā)明的技術(shù)方案��,能夠?qū)崿F(xiàn)SSO_APS中����,SSO架構(gòu)和自由聯(lián)盟架構(gòu)的融合互通����。
文檔編號H04L29/06GK103095649SQ20111033824
公開日2013年5月8日 申請日期2011年10月31日 優(yōu)先權(quán)日2011年10月31日
發(fā)明者張孟旺, 田甜 申請人:中興通訊股份有限公司