一種分離終端單點(diǎn)登錄組合鑒權(quán)方法和系統(tǒng)的制作方法
【專利摘要】本發(fā)明公開了一種分離終端單點(diǎn)登錄組合鑒權(quán)方法和系統(tǒng)�,RP將OpenID中的BA重定向到OP,OP生成Session?Id并推送給BA��;AA根據(jù)獲得的Session?Id與OP進(jìn)行通信��,OP指示AA進(jìn)行SDALS認(rèn)證����,AA與IdPDALS認(rèn)證后�����,OP根據(jù)獲取到的與AA之間的會(huì)話密鑰K1和AA的認(rèn)證結(jié)果,生成隨機(jī)數(shù)Nonce2發(fā)送給AA���;AA將Session?Id�����、獲取到的會(huì)話密鑰K1��,以及收到的隨機(jī)數(shù)Nonce2發(fā)送給BA�����;BA根據(jù)Session?Id��、會(huì)話密鑰K1����,以及隨機(jī)數(shù)Nonce2向OP及RP進(jìn)行OpenID認(rèn)證����。本發(fā)明實(shí)現(xiàn)了在未部署GBA且分離終端場(chǎng)景下的單點(diǎn)登錄�,進(jìn)而可使用多種多樣的WEB業(yè)務(wù)���。
【專利說明】一種分離終端單點(diǎn)登錄組合鑒權(quán)方法和系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及移動(dòng)通信系統(tǒng)的場(chǎng)景互通領(lǐng)域��,尤其涉及一種分離終端單點(diǎn)登錄組合鑒權(quán)方法和系統(tǒng)���。
【背景技術(shù)】
[0002]目前,第三代合作伙伴計(jì)劃(3rd Generation Partnership Project,簡(jiǎn)稱為3GPP)組織中具有如下研究項(xiàng)目:利用會(huì)話初始協(xié)議摘要(簡(jiǎn)稱為SIP Digest)認(rèn)證機(jī)制實(shí)現(xiàn)在非通用集成電路卡(簡(jiǎn)稱為UICCless)環(huán)境下的統(tǒng)一 IP多媒體系統(tǒng)(IP MultimediaSubsystem,簡(jiǎn)稱為IMS)終端訪問應(yīng)用服務(wù)器(Application Server,簡(jiǎn)稱為AS)的單點(diǎn)登錄(SSO, Single Sign On)功能�����。
[0003]其中�����,一種在SS0_APS (應(yīng)用支持子層)中的SSO架構(gòu)可以實(shí)現(xiàn)上述功能��。該SSO架構(gòu)通常由統(tǒng)一 MS終端�����、用戶歸屬服務(wù)器(簡(jiǎn)稱為HSS)����、AS和身份鑒權(quán)提供者實(shí)體(簡(jiǎn)稱為IdP)組成�。MS終端與IdP通過SSOb接口連接���、MS終端與AS通過SSOa接口連接���、IdP與HSS通過SSOh接口連接�。IdP用于與MS終端利用SIP Digest認(rèn)證機(jī)制進(jìn)行交互、驗(yàn)證身份���,并且鑒權(quán)AS�,同時(shí)IdP與IMS終端有一個(gè)共享密鑰Ktl ����;HSS中存儲(chǔ)描述用戶信息的簽約文件,同時(shí)HSS還兼有產(chǎn)生鑒權(quán)信息的功能;AS為MS終端提供網(wǎng)絡(luò)服務(wù)業(yè)務(wù)��。
[0004]在該SSO架構(gòu)的實(shí)現(xiàn)方案中,針對(duì)運(yùn)營(yíng)商未部署一般引導(dǎo)架構(gòu)(簡(jiǎn)稱為GBA)���、同時(shí)IMS終端不具有HCCless的場(chǎng)景下�����,利用SIP Digest認(rèn)證機(jī)制對(duì)MS終端進(jìn)行鑒權(quán)���,實(shí)現(xiàn)該IMS終端對(duì)AS應(yīng)用服務(wù)器的SSO功能��。其相關(guān)技術(shù)概述如下:
[0005]IMS終端向AS發(fā)送一個(gè)認(rèn)證請(qǐng)求�����;AS重定向該認(rèn)證請(qǐng)求到一個(gè)統(tǒng)一鑒權(quán)中心�,即IdP,該重定向信息流中包含IMS終端和AS的私有身份標(biāo)識(shí)符�����;IdP依據(jù)接收到的AS私有身份標(biāo)識(shí)符對(duì)AS進(jìn)行鑒權(quán)���,保存對(duì)AS的鑒權(quán)結(jié)果����,同時(shí)判斷是否存在IdP和該MS終端的共享密鑰Ktl�����,若存在�,則該MS終端已鑒權(quán)過���,不需要再次鑒權(quán),直接執(zhí)行后續(xù)步驟�����;否則����,需要利用SIPDigest認(rèn)證機(jī)制對(duì)該MS終端進(jìn)行鑒權(quán),包括:IdP從HSS取得SIP Digest鑒權(quán)向量以及基于IP多媒體私有標(biāo)識(shí)(簡(jiǎn)稱為頂PI)的用戶終端信息內(nèi)容��;IdP產(chǎn)生一個(gè)隨機(jī)數(shù)nonce,并且儲(chǔ)存該nonce和從HSS下載的H(Al) ;IdP使用SIP Digest認(rèn)證機(jī)制向IMS終端發(fā)送一個(gè)401鑒權(quán)挑戰(zhàn)�����;MS終端產(chǎn)生一個(gè)隨機(jī)數(shù)cnonce和生成H(Al)�����,進(jìn)而產(chǎn)生共享密鑰Ktl���,利用參數(shù)計(jì)算響應(yīng)值response ;IMS終端對(duì)鑒權(quán)挑戰(zhàn)向IdP發(fā)送一個(gè)響應(yīng)�����,在IdP中完成對(duì)MS終端的鑒權(quán),并產(chǎn)生共享密鑰Ktl ��;IdP再次產(chǎn)生一個(gè)隨機(jī)數(shù)noncel�����,利用noncel和共享密鑰Ktl產(chǎn)生密鑰K1, IdP利用共享密鑰Ktl對(duì)密鑰K1和AS的鑒權(quán)結(jié)果進(jìn)行加密���,利用AS和IdP的共享密鑰Ka, i加密密鑰K1和對(duì)IMS終端的鑒權(quán)結(jié)果);IdP將上述加密的信息通過頂S終端重定向到AS ����;IMS終端解密獲得AS的鑒權(quán)結(jié)果����,并產(chǎn)生共享密鑰K1 ;信息被重定向到AS �����;AS解密信息�����,獲得MS終端的鑒權(quán)結(jié)果和密鑰K1 ;此時(shí)MS終端和AS之間擁有共享密鑰K1,從而兩者后續(xù)的通信可以安全的進(jìn)行��。
[0006]另外�,OpenID (開放身份聯(lián)盟)也定義了自身架構(gòu)和規(guī)范,用于實(shí)現(xiàn)對(duì)Web業(yè)務(wù)的訪問��,其架構(gòu)主要包括三個(gè)實(shí)體:UE���、0penID身份提供實(shí)體(OpenID Provider���,簡(jiǎn)稱為0P)、服務(wù)依賴提供商(簡(jiǎn)稱為RP)�����。
[0007]該OpenID架構(gòu)是利用每個(gè)終端用戶在OP處注冊(cè)時(shí)分發(fā)的用戶標(biāo)識(shí)符���,當(dāng)UE訪問支持OpenID的服務(wù)依賴提供商RP時(shí),只需將該用戶標(biāo)識(shí)符輸入�����,RP對(duì)該用戶標(biāo)識(shí)符進(jìn)行標(biāo)準(zhǔn)化;接著RP利用發(fā)現(xiàn)機(jī)制�,以及用戶標(biāo)識(shí)符獲得OP的終點(diǎn)統(tǒng)一資源定位符(Uniform/Universal Resource Locator,簡(jiǎn)稱為URL) ;RP和OP之間進(jìn)行關(guān)聯(lián),使得OP和RP之間建立共享密鑰���,該密鑰使得OP標(biāo)記后續(xù)的消息����,使得RP識(shí)別后續(xù)的消息�����,該關(guān)聯(lián)過程是可選的�,當(dāng)OP和RP兩者處于不同的移動(dòng)網(wǎng)絡(luò)運(yùn)營(yíng)商(Mobile Network Operator,簡(jiǎn)稱為MN0)網(wǎng)絡(luò)時(shí),該過程產(chǎn)生的共享密鑰對(duì)消息的安全傳輸是很重要的�;RP請(qǐng)求OP對(duì)該UE進(jìn)行認(rèn)證;0P根據(jù)UE的授權(quán)信息確立是否其被授權(quán)執(zhí)行OpenID認(rèn)證和期望被授權(quán)使用����,OP依據(jù)UE的授權(quán)信息,完成對(duì)OpenID用戶的認(rèn)證過程�����,并且根據(jù)認(rèn)證結(jié)果產(chǎn)生認(rèn)證斷言返回給RP ��;RP對(duì)該斷言進(jìn)行確認(rèn)操作,來決定是否為該UE提供服務(wù)�。
[0008]在TR33.924中,描述了一種GBA和OpenID融合后的分離終端(簡(jiǎn)稱為splitterminal)的場(chǎng)景�,所謂分離終端,即網(wǎng)絡(luò)認(rèn)證的實(shí)體和瀏覽器不位于同一終端上����。在分離終端場(chǎng)景中,傳統(tǒng)的UE被分成了瀏覽代理(Browsing Agent,簡(jiǎn)稱為BA),例如,位于個(gè)人電腦上瀏覽器���,和認(rèn)證代理(Authenticating Agent,簡(jiǎn)稱為AA),該AA位于可以直接訪問SIM卡的設(shè)備上�����,例如移動(dòng)終端或UE���。
[0009]對(duì)于在非環(huán)境下的分離終端,由于不能使用GBA架構(gòu)進(jìn)行鑒權(quán)認(rèn)證�����,針對(duì)該類MS終端�,在SS0_APS中設(shè)計(jì)了利用SIP Digest機(jī)制實(shí)現(xiàn)SSO功能的架構(gòu)�,且在TR33.914中也已有該架構(gòu)和OpenID架構(gòu)融合互通的架構(gòu),但現(xiàn)有技術(shù)中存在的問題是:目前還沒有針對(duì)分離終端場(chǎng)景下對(duì)終端進(jìn)行鑒權(quán)認(rèn)證的具體解決方案。
【發(fā)明內(nèi)容】
[0010]本發(fā)明解決的技術(shù)問題是提供一種分離終端單點(diǎn)登錄組合鑒權(quán)方法和系統(tǒng)�����,實(shí)現(xiàn)在未部署GBA且分離終端場(chǎng)景下的單點(diǎn)登錄�,進(jìn)而可以使用WEB業(yè)務(wù)。
[0011]為解決上述技術(shù)問題���,本發(fā)明提供了一種分離終端單點(diǎn)登錄組合鑒權(quán)方法�,
[0012]服務(wù)依賴提供商(RP)將開放身份聯(lián)盟(OpenID)中的瀏覽代理(BA)重定向到OpenID提供實(shí)體(OP),所述OP生成會(huì)話標(biāo)識(shí)(Session Id)并推送給所述BA ;
[0013]認(rèn)證代理(AA)根據(jù)獲得的所述Session Id與所述OP進(jìn)行通信�����,所述OP指示所述AA進(jìn)行SDALS認(rèn)證���,所述AA與身份鑒權(quán)提供者實(shí)體(IdP) SDALS認(rèn)證后�����,所述OP根據(jù)獲取到的與所述AA之間的會(huì)話密鑰K1和AA的認(rèn)證結(jié)果��,生成隨機(jī)數(shù)Nonce2發(fā)送給所述AA �����;所述AA將Session Id�、獲取到的會(huì)話密鑰K1,以及收到的所述隨機(jī)數(shù)Nonce2發(fā)送給所述BA ;
[0014]所述BA根據(jù)所述Session Id�����、會(huì)話密鑰K1,以及隨機(jī)數(shù)Nonce2向所述OP及所述RP進(jìn)行OpenID認(rèn)證�。
[0015]進(jìn)一步地,所述OP收到所述RP的重定向請(qǐng)求時(shí),生成所述Session Id,并向BA發(fā)送響應(yīng)消息,所述響應(yīng)消息中攜帶生成的所述Session Id ���;
[0016]所述BA通過本地連接將所述Session Id發(fā)送給所述AA�。
[0017]進(jìn)一步地,所述AA收到所述Session Id時(shí)���,向所述OP發(fā)起HTTP請(qǐng)求消息,攜帶所述Session Id和支持SDALS認(rèn)證方法的標(biāo)識(shí)����;[0018]所述AS/ΟΡ向所述AA返回HTTP響應(yīng)消息�����,指示所述AA進(jìn)行SDALS認(rèn)證���。
[0019]進(jìn)一步地���,所述OP向AA發(fā)送HTTP響應(yīng)消息,將生成的所述隨機(jī)數(shù)Nonce2發(fā)送給所述AA ��;
[0020]所述AA通過本地接口將所述SessionID��、所述Nonce2及所述會(huì)話密鑰K1發(fā)送給所述BA���。
[0021]進(jìn)一步地,所述OpenID認(rèn)證,具體包括:
[0022]所述BA向所述OP發(fā)起授權(quán)請(qǐng)求,攜帶所述Session Id�、所述Nonce2以及所述會(huì)話密鑰K1 �;
[0023]所述OP驗(yàn)證比較所述Session Id、以及所述隨機(jī)數(shù)Nonce2和會(huì)話密鑰K1����,確認(rèn)所述BA和所述AA認(rèn)證通過;
[0024]所述OP將所述BA重定向到所述RP���,攜帶認(rèn)證斷言�����;
[0025]所述RP檢查所述認(rèn)證斷言,確認(rèn)所述BA認(rèn)證通過����。
[0026]進(jìn)一步地,所述本地接口包括藍(lán)牙、Wifi����。
[0027]本發(fā)明還提供了一種分離終端單點(diǎn)登錄組合鑒權(quán)系統(tǒng),所述系統(tǒng)包括:AA中的代理認(rèn)證處理模塊和認(rèn)證信息傳遞模塊��,RP中的訪問處理模塊和斷言認(rèn)證模塊�����,BA中的代理認(rèn)證請(qǐng)求模塊和認(rèn)證發(fā)起模塊����,以及OP中的認(rèn)證處理模塊和隨機(jī)數(shù)生成模塊,
[0028]所述訪問處理模塊用于�����,收到OpenID中的BA的訪問請(qǐng)求時(shí)�����,將所述BA重定向給OP ����;
[0029]所述認(rèn)證處理模塊用于,收到RP重定向的BA時(shí),生成Session Id并推送給BA;指示所述AA進(jìn)行SDALS認(rèn)證��;以及,對(duì)所述Session Id���、會(huì)話密鑰K1,以及隨機(jī)數(shù)Nonce2進(jìn)行驗(yàn)證�,產(chǎn)生認(rèn)證斷言并重定向給所述RP ;
[0030]所述代理認(rèn)證請(qǐng)求模塊用于�,將收到的所述Session Id發(fā)送給所述AA ;
[0031 ] 所述代理認(rèn)證處理模塊用于���,根據(jù)獲得的所述Session Id與所述OP進(jìn)行通信���,并根據(jù)所述OP的指示與IdP進(jìn)行SDALS認(rèn)證;
[0032]所述隨機(jī)數(shù)生成模塊用于�,根據(jù)獲取到的與所述AA之間的會(huì)話密鑰K1和AA的認(rèn)證結(jié)果,生成隨機(jī)數(shù)Nonce2發(fā)送給所述AA ����;
[0033]所述認(rèn)證信息傳遞模塊用于,將Session Id�����、獲取到的會(huì)話密鑰K1,以及收到的所述隨機(jī)數(shù)Nonce2發(fā)送給所述BA �;
[0034]所述認(rèn)證發(fā)起模塊用于,根據(jù)所述Session Id���、會(huì)話密鑰&,以及隨機(jī)數(shù)Nonce2向所述OP及所述RP進(jìn)行OpenID認(rèn)證;
[0035]所述斷言認(rèn)證模塊用于�����,檢查所述OP重定向的認(rèn)證斷言���,對(duì)BA進(jìn)行認(rèn)證���。
[0036]進(jìn)一步地,所述認(rèn)證處理模塊收到所述RP的重定向請(qǐng)求時(shí),生成所述SessionId,并向所述BA發(fā)送響應(yīng)消息,所述響應(yīng)消息中攜帶生成的所述Session Id �����;
[0037]所述代理認(rèn)證請(qǐng)求模塊用于�����,通過本地連接將所述Session Id發(fā)送給所述代理認(rèn)證處理模塊��。
[0038]進(jìn)一步地,所述代理認(rèn)證處理模塊用于,收到所述Session Id時(shí)�����,向所述OP發(fā)起HTTP請(qǐng)求消息,攜帶所述Session Id和支持SDALS認(rèn)證方法的標(biāo)識(shí);
[0039]所述認(rèn)證處理模塊用于����,向所述AA返回HTTP響應(yīng)消息,指示所述AA進(jìn)行SDALS認(rèn)證����。[0040]進(jìn)一步地���,所述隨機(jī)數(shù)生成模塊用于�,向所述AA發(fā)送HTTP響應(yīng)消息���,將生成的所述隨機(jī)數(shù)Nonce2發(fā)送給所述AA �;
[0041]所述認(rèn)證信息傳遞模塊用于,通過本地接口將所述SessionID�、所述Nonce2及所述會(huì)話密鑰K1發(fā)送給所述BA ;
[0042]所述認(rèn)證發(fā)起模塊用于�����,向所述OP發(fā)起HTTP授權(quán)請(qǐng)求,攜帶所述Session Id�、會(huì)話密鑰K1,以及隨機(jī)數(shù)Nonce2,向所述OP及所述RP發(fā)起OpenID認(rèn)證。
[0043]本發(fā)明中����,ΟΡ/AS通過Session Id來關(guān)聯(lián)AA和BA,并指示AA進(jìn)行SDALS認(rèn)證��,在AA通過SDALS認(rèn)證后��,再根據(jù)會(huì)話密鑰K1和隨機(jī)數(shù)Nonce2來驗(yàn)證BA和AA的關(guān)聯(lián)以及認(rèn)證結(jié)果�。本發(fā)明實(shí)現(xiàn)了在未部署GBA且分離終端場(chǎng)景下的單點(diǎn)登錄,進(jìn)而可使用多種多樣的WEB業(yè)務(wù)��。
【專利附圖】
【附圖說明】
[0044]此處所說明的附圖用來提供對(duì)本發(fā)明的進(jìn)一步理解���,構(gòu)成本申請(qǐng)的一部分���,本發(fā)明的示意性實(shí)施例及其說明用于解釋本發(fā)明,并不構(gòu)成對(duì)本發(fā)明的不當(dāng)限定�����。在附圖中:
[0045]圖1為SSO架構(gòu)和OpenID架構(gòu)融合互通的架構(gòu)圖�;
[0046]圖2為SSO架構(gòu)和OpenID架構(gòu)在分離終端場(chǎng)景下的架構(gòu)圖;
[0047]圖3為本發(fā)明實(shí)施例的IMS分離終端單點(diǎn)登錄方法的流程示意圖����;
[0048]圖4為本發(fā)明實(shí)施例的MS分離終端單點(diǎn)登錄系統(tǒng)的組成示意圖���。
【具體實(shí)施方式】
[0049]圖1所示為SSO架構(gòu)和OpenID架構(gòu)融合互通的架構(gòu)圖,其中�,OpenID提供商實(shí)體(OP)和SS0_APS中SSO架構(gòu)上的應(yīng)用服務(wù)器(AS)實(shí)體作為一個(gè)實(shí)體,本發(fā)明中稱為0P/AS或者OP(下文中如無特殊說明�����,0P���、AS、0P/AS均指相同的含義);UE為IMS終端����;RP對(duì)應(yīng)于MS終端要訪問的融合系統(tǒng)的OpenID的最終應(yīng)用服務(wù)器;IdP作為用戶認(rèn)證中心��,用于完成SS0_APS中SSO架構(gòu)中對(duì)UE的認(rèn)證��。
[0050]圖2所示分離終端場(chǎng)景下的架構(gòu)示意圖�,其中UE被分為BA和AA,兩者不在同一物理實(shí)體上��,如BA位于個(gè)人電腦上,AA位于移動(dòng)終端上���。BA和AA可能通過本地接口進(jìn)行通信�����,如藍(lán)牙�����、Wifi等等��。
[0051]針對(duì)圖2所示場(chǎng)景下的分離終端���,本實(shí)施方式提供一種分離終端單點(diǎn)登錄組合鑒權(quán)方法,主要包括如下步驟:
[0052]步驟I�����,RP將OpenID中的BA重定向到0P/AS����,ΟΡ/AS生成Session Id (會(huì)話標(biāo)識(shí))并推送給BA ;
[0053]步驟2��,AA根據(jù)獲得的Session Id與0P/AS進(jìn)行通信,0P/AS指示AA進(jìn)行SDALS認(rèn)證(即TR33.914中SS0_APS的SSO架構(gòu)實(shí)現(xiàn)的認(rèn)證方法)�,AA與IdP進(jìn)行SDALS認(rèn)證后,0P/AS根據(jù)獲取到的0P/AS和AA之間的會(huì)話密鑰K1和AA的認(rèn)證結(jié)果生成隨機(jī)數(shù)Nonce2發(fā)送給AA ���;AA將Sessionld�����、獲取到的會(huì)話密鑰K1,以及收到的隨機(jī)數(shù)Nonce2發(fā)送給BA �����;
[0054]步驟3�����,BA根據(jù)Session Id、會(huì)話密鑰K1,以及隨機(jī)數(shù)Nonce2向0P/AS及RP進(jìn)行OpenID 認(rèn)證���。
[0055]進(jìn)一步地��,上述的步驟1�,又分為如下步驟:[0056]步驟1.1�,BA向RP發(fā)送訪問請(qǐng)求,請(qǐng)求消息中攜帶OpenID標(biāo)識(shí)��;
[0057]步驟1.2��,RP將BA重定向到OP ;
[0058]步驟1.3, OP生成Session Id,并向BA發(fā)送響應(yīng)消息,消息中攜帶生成的SessionId���;
[0059]步驟1.4, BA 將 Session Id 發(fā)送給 AA。
[0060]進(jìn)一步地�,上述的步驟2,又分為如下步驟:
[0061]步驟2.1�,AA向OP發(fā)起HTTP請(qǐng)求消息,消息中攜帶OP生成的Session Id和表明AA支持SDALS認(rèn)證方法的標(biāo)識(shí)�;
[0062]步驟2.2,OP指示AA進(jìn)行SDALS認(rèn)證���。
[0063]步驟2.3��,AA和IdP (SSO Server)之間進(jìn)行SDALS認(rèn)證過程��;
[0064]步驟2.4��,經(jīng)過SDALS認(rèn)證后���,AA獲取到會(huì)話密鑰K1以及ΟΡ/AS的認(rèn)證結(jié)果0P_Auth ;
[0065]步驟2.5���,SDALS認(rèn)證后��,ΟΡ/AS獲取到會(huì)話密鑰K1以及AA的認(rèn)證結(jié)果UE_Auth�����,并生成隨機(jī)數(shù)Nonce2 �����;
[0066]步驟2.6���,ΟΡ/AS向AA發(fā)送HTTP響應(yīng)消息�����,消息中攜帶隨機(jī)數(shù)Nonce2 ��;
[0067]步驟2.7��,AA 將 SessionID 和 Nonce2 | | K1 發(fā)送給 BA。
[0068]進(jìn)一步地���,上述的步驟3�����,又分為如下步驟:
[0069]步驟3.1, BA向OP發(fā)起授權(quán)請(qǐng)求,請(qǐng)求消息中攜帶OP生成的Session Id和隨機(jī)數(shù)Nonce2以及會(huì)話密鑰K1 �;
[0070]步驟3.2,OP驗(yàn)證比較Session Id和Nonce2以及會(huì)話密鑰K1��,確認(rèn)AA和BA認(rèn)證通過��;
[0071]步驟3.3��,OP將BA重定向到RP�,重定向消息中攜帶認(rèn)證斷言;
[0072]步驟3.4�,RP檢查斷言,確認(rèn)BA認(rèn)證通過��,向BA提供服務(wù)�。
[0073]為使本發(fā)明的目的、技術(shù)方案和優(yōu)點(diǎn)更加清楚明白���,下文中將結(jié)合附圖對(duì)本發(fā)明的實(shí)施例進(jìn)行詳細(xì)說明�����。需要說明的是�,在不沖突的情況下,本申請(qǐng)中的實(shí)施例及實(shí)施例中的特征可以相互任意組合����。
[0074]圖3為本發(fā)明實(shí)施例的IMS分離終端單點(diǎn)登錄方法的示意流程,具體流程描述如下:
[0075]步驟301:BA向RP發(fā)送訪問請(qǐng)求,請(qǐng)求消息中攜帶OpenID標(biāo)識(shí)�;
[0076]步驟302:RP標(biāo)準(zhǔn)化OpenID標(biāo)識(shí),并檢索0P/AS地址��;
[0077]步驟303 (可選):RP和0P/AS之間建立共享密鑰�;
[0078]步驟304: RP將BA重定向到0P/AS ;
[0079]步驟305:0P/AS 生成 Session Id ���;
[0080]步驟306:0P/AS向BA發(fā)送HTTP響應(yīng)�,響應(yīng)消息中攜帶Session Id �����;
[0081]步驟307:BA通過本地接口安全地將Session Id發(fā)送給AA �;
[0082]步驟308:AA向0P/AS發(fā)送HTTP請(qǐng)求消息,消息中攜帶AA支持SDALS認(rèn)證方法和Session Id �;
[0083]步驟309:0P/AS對(duì)AA的HTTP請(qǐng)求作出響應(yīng),指示AA進(jìn)行SDALS認(rèn)證��;
[0084]步驟310:AA和IdP (SSO Server)之間進(jìn)行SDALS認(rèn)證過程;[0085]步驟311:經(jīng)過SDALS認(rèn)證后����,AA獲取到會(huì)話密鑰K1以及ΟΡ/AS的認(rèn)證結(jié)果0P_Auth ; IdP通過AA將把對(duì)會(huì)話密鑰Kl和認(rèn)證結(jié)果UE_Auth加密后產(chǎn)生的信息重定向到OP/AS�����,ΟΡ/AS也獲取到會(huì)話密鑰K1以及AA的認(rèn)證結(jié)果UE_Auth����,并生成隨機(jī)數(shù)Nonce2 ;
[0086]步驟312:0P/AS向AA發(fā)送HTTP響應(yīng)消息�����,消息中攜帶隨機(jī)數(shù)Nonce2 �;
[0087]步驟313:AA通過本地接口安全地將SessionID和Nonce2 | K1發(fā)送給BA ;
[0088]步驟314:BA向ΟΡ/AS發(fā)送HTTP授權(quán)請(qǐng)求���,請(qǐng)求消息中攜帶Session Id和Nonce2 |K1�;
[0089]步驟315:0P/AS驗(yàn)證比較Session Id和Nonce2 | | K1,確認(rèn)AA和BA認(rèn)證通過;
[0090]步驟316:0P/AS將BA重定向到RP�����,重定向消息中攜帶認(rèn)證斷言;
[0091]步驟317:RP檢查斷言����,確認(rèn)認(rèn)證通過后,向BA提供服務(wù)�。
[0092]此外,本發(fā)明實(shí)施例中還提供了一種系統(tǒng)���,如圖4所示����,該系統(tǒng)主要包括:AA中的代理認(rèn)證處理模塊和認(rèn)證信息傳遞模塊����,RP中的訪問處理模塊和斷言認(rèn)證模塊,BA中的代理認(rèn)證請(qǐng)求模塊和認(rèn)證發(fā)起模塊��,以及OP中的認(rèn)證處理模塊和隨機(jī)數(shù)生成模塊�����,其中�����,
[0093]所述訪問處理模塊用于,收到OpenID中的BA的訪問請(qǐng)求時(shí)����,將所述BA重定向給OP ;
[0094]所述認(rèn)證處理模塊用于,收到RP重定向的BA時(shí),生成Session Id并推送給BA;指示所述AA進(jìn)行SDALS認(rèn)證��;以及,對(duì)所述Session Id����、會(huì)話密鑰K1,以及隨機(jī)數(shù)Nonce2進(jìn)行驗(yàn)證���,產(chǎn)生認(rèn)證斷言并重定向給所述RP ����;
[0095]所述代理認(rèn)證請(qǐng)求模塊用于����,將收到的所述Session Id發(fā)送給所述AA ;
[0096]所述代理認(rèn)證處理模塊用于�����,根據(jù)獲得的所述Session Id與所述OP進(jìn)行通信��,并根據(jù)所述OP的指示與IdP進(jìn)行SDALS認(rèn)證;
[0097]所述隨機(jī)數(shù)生成模塊用于����,根據(jù)獲取到的與所述AA之間的會(huì)話密鑰K1和AA的認(rèn)證結(jié)果,生成隨機(jī)數(shù)Nonce2發(fā)送給所述AA ����;
[0098]所述認(rèn)證信息傳遞模塊用于,將Session Id��、獲取到的會(huì)話密鑰K1,以及收到的所述隨機(jī)數(shù)Nonce2發(fā)送給所述BA ��;
[0099]所述認(rèn)證發(fā)起模塊用于,根據(jù)所述Session Id����、會(huì)話密鑰&,以及隨機(jī)數(shù)Nonce2向所述OP及所述RP進(jìn)行OpenID認(rèn)證;
[0100]所述斷言認(rèn)證模塊用于����,檢查所述OP重定向的認(rèn)證斷言,對(duì)BA進(jìn)行認(rèn)證��。
[0101]進(jìn)一步地,所述認(rèn)證處理模塊收到所述RP的重定向請(qǐng)求時(shí)���,生成所述SessionId,并向所述BA發(fā)送響應(yīng)消息,所述響應(yīng)消息中攜帶生成的所述Session Id ��;
[0102]所述代理認(rèn)證請(qǐng)求模塊用于�����,通過本地連接將所述Session Id發(fā)送給所述代理認(rèn)證處理模塊���。
[0103]進(jìn)一步地,所述代理認(rèn)證處理模塊用于,收到所述Session Id時(shí)���,向所述OP發(fā)起HTTP請(qǐng)求消息,攜帶所述Session Id和支持SDALS認(rèn)證方法的標(biāo)識(shí)�����;
[0104]所述認(rèn)證處理模塊用于���,向所述AA返回HTTP響應(yīng)消息���,指示所述AA進(jìn)行SDALS認(rèn)證。
[0105]進(jìn)一步地��,所述隨機(jī)數(shù)生成模塊用于�����,向所述AA發(fā)送HTTP響應(yīng)消息,將生成的所述隨機(jī)數(shù)Nonce2發(fā)送給所述AA �����;
[0106]所述認(rèn)證信息傳遞模塊用于,通過本地接口將所述SessionID�、所述Nonce2及所述會(huì)話密鑰K1發(fā)送給所述BA ;
[0107]所述認(rèn)證發(fā)起模塊用于��,向所述OP發(fā)起HTTP授權(quán)請(qǐng)求,攜帶所述Session Id�����、會(huì)話密鑰K1,以及隨機(jī)數(shù)Nonce2����,向所述OP及所述RP發(fā)起OpenID認(rèn)證。
[0108]以上僅為本發(fā)明的優(yōu)選實(shí)施案例而已�,并不用于限制本發(fā)明,本發(fā)明還可有其他多種實(shí)施例�,在不背離本發(fā)明精神及其實(shí)質(zhì)的情況下,熟悉本領(lǐng)域的技術(shù)人員可根據(jù)本發(fā)明做出各種相應(yīng)的改變和變形�����,但這些相應(yīng)的改變和變形都應(yīng)屬于本發(fā)明所附的權(quán)利要求的保護(hù)范圍���。
[0109]顯然��,本領(lǐng)域的技術(shù)人員應(yīng)該明白�����,上述的本發(fā)明的各模塊或各步驟可以用通用的計(jì)算裝置來實(shí)現(xiàn)���,它們可以集中在單個(gè)的計(jì)算裝置上���,或者分布在多個(gè)計(jì)算裝置所組成的網(wǎng)絡(luò)上,可選地��,它們可以用計(jì)算裝置可執(zhí)行的程序代碼來實(shí)現(xiàn)����,從而�,可以將它們存儲(chǔ)在存儲(chǔ)裝置中由計(jì)算裝置來執(zhí)行,并且在某些情況下����,可以以不同于此處的順序執(zhí)行所示出或描述的步驟,或者將它們分別制作成各個(gè)集成電路模塊����,或者將它們中的多個(gè)模塊或步驟制作成單個(gè)集成電路模塊來實(shí)現(xiàn)��。這樣���,本發(fā)明不限制于任何特定的硬件和軟件結(jié)合。
【權(quán)利要求】
1.一種分離終端單點(diǎn)登錄組合鑒權(quán)方法��,其特征在于���, 服務(wù)依賴提供商(RP)將開放身份聯(lián)盟(OpenID)中的瀏覽代理(BA)重定向到OpenID提供實(shí)體(OP),所述OP生成會(huì)話標(biāo)識(shí)(Session Id)并推送給所述BA ; 認(rèn)證代理(AA)根據(jù)獲得的所述Session Id與所述OP進(jìn)行通信�,所述OP指示所述AA進(jìn)行SDALS認(rèn)證��,所述AA與身份鑒權(quán)提供者實(shí)體(IdP) SDALS認(rèn)證后�,所述OP根據(jù)獲取到的與所述AA之間的會(huì)話密鑰K1和AA的認(rèn)證結(jié)果,生成隨機(jī)數(shù)Nonce2發(fā)送給所述AA ;所述AA將Session Id���、獲取到的會(huì)話密鑰K1,以及收到的所述隨機(jī)數(shù)Nonce2發(fā)送給所述BA ���;所述BA根據(jù)所述Session Id、會(huì)話密鑰K1,以及隨機(jī)數(shù)Nonce2向所述OP及所述RP進(jìn)行OpenID認(rèn)證�����。
2.如權(quán)利要求1所述的方法,其特征在于����, 所述OP收到所述RP的重定向請(qǐng)求時(shí),生成所述Session Id,并向BA發(fā)送響應(yīng)消息,所述響應(yīng)消息中攜帶生成的所述Session Id; 所述BA通過本地連接將所述Session Id發(fā)送給所述AA����。
3.如權(quán)利要求1所述的方法,其特征在于���, 所述AA收到所述Session Id時(shí)��,向所述OP發(fā)起HTTP請(qǐng)求消息,攜帶所述Session Id和支持SDALS認(rèn)證方法的標(biāo)識(shí)��; 所述AS/0P向所述AA返回HTTP響應(yīng)消息��,指示所述AA進(jìn)行SDALS認(rèn)證��。
4.如權(quán)利要求3所述的方法,其特征在于����,` 所述OP向AA發(fā)送HTTP響應(yīng)消息,將生成的所述隨機(jī)數(shù)Nonce2發(fā)送給所述AA �; 所述AA通過本地接口將所述SessionID�����、所述Nonce2及所述會(huì)話密鑰K1發(fā)送給所述BA��。
5.如權(quán)利要求3所述的方法����,其特征在于���,所述OpenID認(rèn)證�����,具體包括: 所述BA向所述OP發(fā)起授權(quán)請(qǐng)求,攜帶所述Session Id�、所述Nonce2以及所述會(huì)話密鑰1 �����; 所述OP驗(yàn)證比較所述Session Id����、以及所述隨機(jī)數(shù)Nonce2和會(huì)話密鑰K1,確認(rèn)所述BA和所述AA認(rèn)證通過; 所述OP將所述BA重定向到所述RP,攜帶認(rèn)證斷言�; 所述RP檢查所述認(rèn)證斷言,確認(rèn)所述BA認(rèn)證通過��。
6.如權(quán)利要求2或4所述的方法�����,其特征在于��, 所述本地接口包括藍(lán)牙�����、Wifi�����。
7.一種分離終端單點(diǎn)登錄組合鑒權(quán)系統(tǒng)�����,其特征在于�,所述系統(tǒng)包括:AA中的代理認(rèn)證處理模塊和認(rèn)證信息傳遞模塊���,RP中的訪問處理模塊和斷言認(rèn)證模塊����,BA中的代理認(rèn)證請(qǐng)求模塊和認(rèn)證發(fā)起模塊,以及OP中的認(rèn)證處理模塊和隨機(jī)數(shù)生成模塊�, 所述訪問處理模塊用于,收到OpenID中的BA的訪問請(qǐng)求時(shí)�,將所述BA重定向給OP ;所述認(rèn)證處理模塊用于���,收到RP重定向的BA時(shí),生成Session Id并推送給BA ;指示所述AA進(jìn)行SDALS認(rèn)證����;以及,對(duì)所述Session Id����、會(huì)話密鑰K1,以及隨機(jī)數(shù)Nonce2進(jìn)行驗(yàn)證,產(chǎn)生認(rèn)證斷言并重定向給所述RP ��; 所述代理認(rèn)證請(qǐng)求模塊用于�,將收到的所述Session Id發(fā)送給所述AA ; 所述代理認(rèn)證處理模塊用于��,根據(jù)獲得的所述Session Id與所述OP進(jìn)行通信���,并根據(jù)所述OP的指示與IdP進(jìn)行SDALS認(rèn)證����; 所述隨機(jī)數(shù)生成模塊用于,根據(jù)獲取到的與所述AA之間的會(huì)話密鑰K1和AA的認(rèn)證結(jié)果���,生成隨機(jī)數(shù)Nonce2發(fā)送給所述AA �����; 所述認(rèn)證信息傳遞模塊用于��,將Session Id���、獲取到的會(huì)話密鑰K1,以及收到的所述隨機(jī)數(shù)Nonce2發(fā)送給所述BA ; 所述認(rèn)證發(fā)起模塊用于�,根據(jù)所述Session Id、會(huì)話密鑰K1�,以及隨機(jī)數(shù)Nonce2向所述OP及所述RP進(jìn)行OpenID認(rèn)證; 所述斷言認(rèn)證模塊用于�,檢查所述OP重定向的認(rèn)證斷言,對(duì)BA進(jìn)行認(rèn)證�����。
8.如權(quán)利要求7所述的系統(tǒng),其特征在于����, 所述認(rèn)證處理模塊收到所述RP的重定向請(qǐng)求時(shí)�����,生成所述Session Id��,并向所述BA發(fā)送響應(yīng)消息�,所述響應(yīng)消息中攜帶生成的所述Session Id ; 所述代理認(rèn)證請(qǐng)求模塊用于���,通過本地連接將所述Session Id發(fā)送給所述代理認(rèn)證處理模塊����。
9.如權(quán)利要求7或8所述的系統(tǒng)����,其特征在于, 所述代理認(rèn)證處理模塊用于���,收到所述Session Id時(shí)�,向所述OP發(fā)起HTTP請(qǐng)求消息,攜帶所述Session Id和支持SDALS認(rèn)證方法的標(biāo)識(shí)���; 所述認(rèn)證處理模塊用于���,向所述AA返回HTTP響應(yīng)消息,指示所述AA進(jìn)行SDALS認(rèn)證�����。
10.如權(quán)利要求9 所述的系統(tǒng)��,其特征在于����, 所述隨機(jī)數(shù)生成模塊用于,向所述AA發(fā)送HTTP響應(yīng)消息����,將生成的所述隨機(jī)數(shù)Nonce2發(fā)送給所述AA; 所述認(rèn)證信息傳遞模塊用于,通過本地接口將所述SessionID�����、所述Nonce2及所述會(huì)話密鑰K1發(fā)送給所述BA �����; 所述認(rèn)證發(fā)起模塊用于,向所述OP發(fā)起HTTP授權(quán)請(qǐng)求,攜帶所述Session Id����、會(huì)話密鑰K1,以及隨機(jī)數(shù)Nonce2���,向所述OP及所述RP發(fā)起OpenID認(rèn)證����。
【文檔編號(hào)】H04W12/06GK103428694SQ201210151486
【公開日】2013年12月4日 申請(qǐng)日期:2012年5月16日 優(yōu)先權(quán)日:2012年5月16日
【發(fā)明者】夏正雪 申請(qǐng)人:中興通訊股份有限公司