一种身份标识网页业务网系统及其鉴权方法

专利名称：一种身份标识网页业务网系统及其鉴权方法
技术领域：
本发明涉及互联网技术领域和下一代网络(NGN，Next GenerationNetworks)技术领域以及第三代合作伙伴计划(3GPP，The ThirdGeneration Partnership Project)技术领域，具体涉及一种身份标识网页业务网系统(ID-WSF，Identity Web Service Framework)及其鉴权方法。
背景技术：
如图1所示，3GPP定义了一种通用鉴权架构(GBA，GenericBootstrapping Architecture)，通用鉴权架构通常由IP多媒体业务子系统(IMS，IP Multimedia Core Network Subsystem)用户终端(UE，UserEquipment)、引导服务功能实体(BSF，Bootstrapping Server Function)、用户归属网络服务器(HSS，Home Subscribe Server)、用户定位功能实体(SLF，Subscriber Locator Function)和网络业务应用功能实体(NAF，Network Application Function)组成。UE与BSF通过Ub接口连接，UE与NAF通过Ua接口连接，BSF与HSS通过Zh接口连接，BSF与NAF通过Zn接口连接，BSF与SLF通过Dz接口连接。BSF用于与UE执行引导过程(bootstrapping)时进行互验证身份，同时生成BSF与用户的共享密钥Ks；HSS中存储用于描述用户信息的签约文件，同时HSS还兼有产生鉴权信息的功能；SLF用于当存在多个HSS时，协助BSF查找相应的HSS；NAF用于为UE提供网络业务。
在Ub接口中，UE执行引导过程(bootstrapping)的流程如图2所示，说明如下步骤1UE需要使用某种业务时，如果知道该业务需要到BSF进行相互鉴权过程，则直接发送鉴权请求到BSF进行相互鉴权。否则，UE会首先和该业务对应的NAF联系，如果该NAF使用GBA通用鉴权架构，并且发现该UE还未到BSF进行互认证过程，NAF则通知该UE到BSF进行互鉴权以验证身份，然后UE再直接发送鉴权请求到BSF进行相互鉴权；步骤2BSF接到UE的鉴权请求后，首先到HSS获取该UE的鉴权向量信息(AUTN，RAND，IK，CK，XRES)五元组；步骤3～步骤6BSF采用HTTP digest AKA协议与UE进行双向认证以及密钥协商，完成UE和BSF之间身份的互相认证；步骤7BSF生成共享根密钥Ks，BSF还为共享密钥Ks定义了一个有效期限，以便对Ks进行定期更新；步骤8BSF分配一个引导事务标识(B-TID，bootstrapping transactionidentifier)，用于标识BSF和UE之间的本次鉴权交互事务；BSF将该B-TID与根密钥Ks、UE的私有用户标识(IMPI，IMS Private identity)相关联，以便以后BSF可以根据该B-TID查找出相应的Ks，然后BSF将引导事务标识和Ks的有效期限一起明文发送给UE；步骤9UE也生成和BSF侧相同的共享根密钥Ks。
完成上述步骤后，UE和BSF之间就共享了一个根密钥Ks，并且UE可以利用公式Ks_NAF＝KDF(Ks，″gba-me″，RAND，IMPI，NAF_Id)或者Ks_Ext_NAF＝KDF(Ks，″gba-me″，RAND，IMPI，NAF_Id)、Ks_Int_NAF＝KDF(Ks，″gba-u″，RAND，IMPI，NAF_Id)，推导出与想要访问的NAF之间的衍生的共享密钥Ks_(Ext/Int)_NAF，其中NAF_Id是由要访问的NAF以及Ua接口上的协议标识(UaID)连接而成，RAND是一个随机数，IMPI是UE的私有用户标识，″gba-me″和″gba-u″代表字符串，KDF是密钥导出函数的缩写，这样UE侧就获取了该衍生的共享密钥Ks_(Ext/Int)_NAF。剩下的任务就是NAF如何获取该衍生的共享密钥Ks_(Ext/Int)_NAF。只有NAF和UE都获取了Ks_(Ext/Int)_NAF，才能建立双方通讯的安全通道。
NAF获取Ks_(Ext/Int)_NAF的流程如图3所示，说明如下步骤1UE首先根据上述公式推导出衍生的共享密钥Ks_(Ext/Int)_NAF，B-TID为用户名，Ks_(Ext/Int)_NAF为口令向NAF发送连接请求，本步骤之前可能会事先建立TLS链接，以保证Ua接口的通讯安全；步骤2NAF收到UE的连接请求后，给BSF发出认证请求消息，其中携带引导事务标识B-TID和NAF主机名；步骤3BSF上保留有B-TID、IMPI、Ks、密钥有效期、BSF与UE之间的相互鉴权的开始时间、应用相关的GBA用户安全设置(GUSS，GBA User security setting)等信息，如果BSF能够根据该B-TID查找到相应的Ks，则完成相应用户的认证，然后BSF再使用与用户侧相同的上述公式计算出衍生的共享密钥Ks_(Ext/Int)_NAF，然后在认证响应消息中把Ks_(Ext/Int)_NAF、Ks_(Ext/Int)_NAF的有效期限、BSF与UE之间的相互鉴权的开始时间、以及与其它应用相关的用户安全设置(USS，User security setting)信息发给NAF，一个GUSS中可能包含多个USS，NAF收到后，保存这些信息。
这样NAF和UE也就共享了由Ks衍生的密钥Ks_(Ext/Int)_NAF，从而这两者在后续的通信中可以进行安全通信。
另外，自由联盟工程(LAP，Liberty Alliance Project)组织也定义了一些网络架构和规范，用于实现对Web业务的访问，其主要包含三个子网络架构身份标识联盟网络架构(ID-FF，Identity Federation Framework)；身份标识网页业务网络架构(ID-WSF，Identity Web Service Framework)身份标识业务接口规范(ID-SIS，Identity Services Interface Specifications)；其中ID-FF主要包含身份标识联盟(Identity Federation)功能和单点认证功能(SSO，Single Sign On)。ID-WSF主要在ID-FF的基础上定义一些基于身份标识的Web业务架构，以便提供一些简单的、用户可以定制的Web业务。ID-SIS则定义一些与Web业务相关的接口规范。ID-FF的架构如图4所示，它主要包含三个实体UE、身份鉴权提供商实体(IdP，Identity Provider)、业务提供商实体(SP，Service Provider)。身份标识联盟功能是指UE在IdP和SP上都有自己的身份标识，即用户标识。这些身份标识可以结成一个联盟。SSO是指在上述身份标识联盟功能的基础上，只要UE在IdP上通过了鉴权，就等于同时在所有结成联盟的SP上也同时通过了鉴权。
ID-FF和GBA互通架构如图5所示，在该架构中UE有两种鉴权方式一种是UE在IdP上鉴权通过后，IdP会将该UE的鉴权申明(Assertion)直接返回给UE；UE再将该Assertion发给SP；SP通过分析Assertion来对UE进行鉴权。另一种是UE在IdP上鉴权通过后，IdP会将该UE的鉴权申明链接(Artifact)返回给UE；UE再将该Artifact发给SP；SP再将该Artifact通过SOAP协议发给IdP；IdP根据该Artifact查询相应的Assertion，并返回给SP；最后SP通过分析Assertion来对UE进行鉴权。
ID-WSF的架构如图6所示，其主要包含如下几个实体用户终端(UE)、身份鉴权提供商(IdP)、业务提供商(SP)、用于使用Web业务的Web业务消费者实体(WSC，Web Service Consumer)、用于提供Web业务的Web业务提供者实体(WSP，Web Service Provider)、发现业务实体(DS，Discover Service)。
这些实体配合工作的过程如下首先WSP在DS上注册其所能够提供的Web业务类型；当UE访问WSC时，WSC到DS上去查询可访问的WSP；DS匹配相关的WSP地址，并提供给WSC；然后WSC即可代表UE访问相关的WSP。WSC和WSP(或者SP)的功能是相对的，也就是说WSC在作为某个WEB业务消费者的同时，也可以作为另外一个Web业务提供者(WSP或者SP)。WSP或者SP在作为某个Web业务提供者的同时，也可以另外一个WEB业务消费者(WSC)。
上述架构的进一步简化形式如图7所示，其中WSC的功能在UE上实现，并且某个WSP可以提供认证业务实体(AS，AuthenticationService)的功能。这里ID-WSF中的AS功能与ID-FF中的IdP功能相当，用于完成身份标识Web业务网鉴权功能。由于图7主要涉及ID-WSF的鉴权事务，因此略去DS。
图8介绍了增加单点认证业务实体(SSOS，Single-Sign-On Service)的ID-WSF的网络架构，其主要的工作流程如下首先UE和AS通过SASL协议交互，完成AS鉴权；鉴权通过后AS给UE返回SSOS的地址以及访问SSOS所需要的信任状(Credentials)；UE利用从AS获取的Credentials访问SSOS，进行SSOS鉴权，SSOS对UE鉴权成功后给UE返回相应的Assertion；UE利用该Assertion去访问相关的SP。
从上面的介绍可以看出，一方面，通用鉴权架构中UE与BSF交互获取根密钥Ks和B-TID以后，都需要分别以B-TID为用户名，Ks_(Ext/Int)_NAF为口令在各个NAF上鉴权，以便访问各个NAF。这种频繁的认证增强了安全性，但增加了终端操作的复杂性和不方便性。另一方面，身份标识网页业务网络架构中通过单点认证功能在各个SP与SSOS之间建立身份标识安全联盟，并组成一个安全信任圈，只要在SSOS上通过了鉴权，就等于在SSOS所属的安全信任圈内的所有SP上也通过了鉴权。现有技术中没有实现这两种网络架构之间互通的方法，致使ID-WSF通信的安全性不够高，通用鉴权架构用户终端操作也不够简便，对扩展用户终端的应用场景，方便用户终端应用已有的多种多样的WEB业务造成诸多限制。

发明内容
本发明要解决的技术问题是提供一种身份标识网页业务网系统及其鉴权方法，克服现有技术在对ID-WSF的UE进行鉴权的过程中无法使用GBA鉴权方式，通信安全性低的缺点。
本发明采用如下的技术方案一种身份标识网页业务网系统，包括通用鉴权架构的用户归属网络服务器和引导服务功能实体、业务提供商实体、用户终端，用户归属网络服务器和引导服务功能实体之间通过Zh接口进行通信，引导服务功能实体与用户终端之间通过Ub接口进行通信，其特征在于包括网络业务应用功能/鉴权服务/单点认证业务实体，其包括网络业务应用功能模块、鉴权服务模块、单点认证业务模块，网络业务应用功能模块用于提供网络业务应用功能实体功能，鉴权服务模块用于提供鉴权服务实体功能，单点认证业务模块用于提供单点认证业务实体功能，网络业务应用功能模块与引导服务功能实体之间通过Zn接口进行通信，网络业务应用功能模块与用户终端之间通过Ua接口进行通信。
所述的身份标识网页业务网系统，其中单点认证业务模块与用户终端采用安全申明标记语言描述的单点认证和身份标识联盟协议进行两者之间的通信，采用简单对象访问协议或超文本传输协议封装通信消息；鉴权服务模块与用户终端采用简单鉴权和安全层协议进行两者之间的通信，采用简单对象访问协议或超文本传输协议封装通信消息；单点认证业务模块与业务提供商实体之间进行通信时，采用简单对象访问协议封装通信消息；用户终端与业务提供商实体之间进行通信时，采用简单对象访问协议或超文本传输协议封装通信消息。
一种身份标识网页业务网系统鉴权方法，包括步骤身份标识网页业务网系统的用户终端和业务提供商实体的通信过程中包括两种鉴权过程，分别是通用鉴权架构鉴权过程和身份标识网页业务网络架构鉴权过程，在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识、根密钥有效期，并且发送给用户终端，引导服务功能实体和用户终端都生成根密钥；在身份标识网页业务网络架构鉴权过程中，鉴权服务实体或鉴权服务模块生成用户终端访问单点认证业务实体或单点认证业务模块所需要的信任状；单点认证业务实体或单点认证业务模块生成鉴权申明并发送给用户终端，或者单点认证业务实体或单点认证业务模块生成鉴权申明及相应的鉴权申明链接，保存鉴权申明和鉴权申明链接的对应关系表，将鉴权申明链接发送给用户终端。
所述的身份标识网页业务网系统鉴权方法，其中包括步骤用户终端向相应的鉴权服务实体或鉴权服务模块发送身份标识网页业务网络架构鉴权请求消息，鉴权服务实体或鉴权服务模块向用户终端发送要求其进行通用鉴权架构鉴权的挑战响应消息，引导服务功能实体对用户终端进行通用鉴权架构鉴权，鉴权成功后向用户终端发送通用鉴权架构鉴权成功响应消息，该鉴权成功响应消息中包含引导事务标识和根密钥有效期；用户终端向鉴权服务实体或鉴权服务模块发送应用请求消息，鉴权服务实体或鉴权服务模块根据该应用请求消息对用户终端进行鉴权，鉴权通过后，向用户终端发送响应消息，其中包含单点认证业务实体或单点认证业务模块的地址和信任状。
所述的身份标识网页业务网系统鉴权方法，其中包括步骤单点认证业务实体或单点认证业务模块对用户终端进行身份标识网页业务网络架构鉴权，鉴权成功后向用户终端发送身份标识网页业务网络架构鉴权成功响应消息，该鉴权成功响应消息中包含鉴权申明。
所述的身份标识网页业务网系统鉴权方法，其中包括步骤单点认证业务实体或单点认证业务模块对用户终端进行身份标识网页业务网络架构鉴权，生成鉴权申明及相应的鉴权申明链接，保存鉴权申明和鉴权申明链接的对应关系表，在随后发送给用户终端的身份标识网页业务网络架构鉴权成功响应消息中包含鉴权申明链接。
所述的身份标识网页业务网系统鉴权方法，其中包括步骤A1、用户终端向业务提供商实体发送应用请求消息；A2、业务提供商实体收到该应用请求消息后，首先获取鉴权服务实体或鉴权服务模块的地址，然后发送响应消息给用户终端，其中携带鉴权请求头域；A3、用户终端向鉴权服务实体或鉴权服务模块发送应用请求消息，其中包含简单鉴权和安全层协议请求头域，其包含鉴权机制头域，鉴权机制头域中包含用户终端支持的鉴权方式列表；A4、鉴权服务实体或鉴权服务模块给用户终端发送挑战响应消息，其中包含简单鉴权和安全层协议响应头域，其包含服务器鉴权机制头域和挑战头域，服务器鉴权机制头域中记录鉴权服务实体或鉴权服务模块选择的鉴权方式。
A5、用户终端与引导服务功能实体交互，进行通用鉴权架构鉴权；A6、用户终端向鉴权服务实体或鉴权服务模块发送应用请求消息，其中包含简单鉴权和安全层协议请求头域，简单鉴权和安全层协议请求头域包含挑战响应头域，挑战响应头域包含引导事务标识和鉴权响应摘要信息；A7、鉴权服务实体或鉴权服务模块通过Zn接口向引导服务功能实体获取共享密钥、用户安全设置、密钥有效期、引导时间等信息，鉴权服务实体或鉴权服务模块根据收到简单鉴权和安全层协议请求头域对用户终端进行鉴权，鉴权通过后，向用户终端发送响应消息，其中包含简单鉴权和安全层协议响应头域，该头域中有单点认证业务实体或单点认证业务模块的地址和信任状。
所述的身份标识网页业务网系统鉴权方法，其中同时支持通用鉴权架构鉴权和身份标识网页业务网络架构鉴权的用户终端在向鉴权服务实体或鉴权服务模块发送的应用请求消息中设置通用鉴权架构标识，若鉴权服务实体或鉴权服务模块发现此通用鉴权架构标识，则通知用户终端先启动通用鉴权架构鉴权过程，再启动用户身份标识网页业务网络架构鉴权过程，否则通知用户终端只启动用户身份标识网页业务网络架构鉴权过程。
所述的身份标识网页业务网系统鉴权方法，其中所述步骤A5包括步骤B1、用户终端向引导服务功能实体发送通用鉴权架构鉴权请求消息，其中包含私有用户标识；B2、引导服务功能实体收到该通用鉴权架构鉴权请求消息后，从用户归属网络服务器获取用户终端的认证矢量；B3、引导服务功能实体向用户终端发送挑战消息，其中携带鉴权序号参数和随机参数；B4、用户终端检查鉴权序号参数有效性并生成期望结果；B5、用户终端向引导服务功能实体发送消息，其中携带私有用户标识、期望结果；B6、引导服务功能实体检查期望结果的有效性并生成根密钥；B7、引导服务功能实体向用户终端发送通用鉴权架构成功响应消息，其中携带引导事务标识和根密钥有效期；
B8、用户终端保存引导事务标识和根密钥有效期，生成并保存根密钥和共享密钥。
所述的身份标识网页业务网系统鉴权方法，其中包括步骤C1、用户终端根据单点认证业务实体或单点认证业务模块的地址向单点认证业务实体或单点认证业务模块发送应用请求消息；C2、单点认证业务实体或单点认证业务模块根据收到的应用请求消息内容进行鉴权处理，鉴权成功后向用户终端发送成功响应消息，其中包含鉴权申明，鉴权申明中有单点认证业务实体或单点认证业务模块的数字签名；C3、用户终端向业务提供商实体发送应用请求消息，其中包含鉴权申明；C4、业务提供商实体处理鉴权申明，验证单点认证业务实体或单点认证业务模块的数字签名，完成对用户终端的鉴权后，向用户终端发送响应消息。
所述的身份标识网页业务网系统鉴权方法，其中包括步骤D1、用户终端根据单点认证业务实体或单点认证业务模块的地址向单点认证业务实体或单点认证业务模块发送应用请求消息；D2、单点认证业务实体或单点认证业务模块根据收到的应用请求消息内容进行鉴权处理，生成鉴权申明和相应的鉴权申明链接，保存鉴权申明、鉴权申明和相应的鉴权申明链接的对应关系，鉴权成功后向用户终端发送成功响应消息，其中包含鉴权申明链接。
D3、用户终端向业务提供商实体发送应用请求消息，其中包含鉴权申明链接；D4、业务提供商实体向单点认证业务实体或单点认证业务模块发送应用请求消息，其中包含鉴权申明链接；D5、单点认证业务实体或单点认证业务模块根据鉴权申明链接找到对应的鉴权申明，向业务提供商实体发送响应消息，其中包含鉴权申明，鉴权申明中有单点认证业务实体或单点认证业务模块的数字签名；D6、业务提供商实体处理鉴权申明，验证单点认证业务实体或单点认证业务模块的数字签名，完成对用户终端的鉴权后，向用户终端发送响应消息。
所述的身份标识网页业务网系统鉴权方法，其中简单鉴权和安全层协议请求头域和简单鉴权和安全层协议响应头域由简单对象访问协议封装。
所述的身份标识网页业务网系统鉴权方法，其中当业务提供商实体收到用户终端、单点认证业务实体或单点认证业务模块发送的退出链接请求消息时，或者当业务提供商实体和用户终端之间的会话正常终止时，或者当业务提供商实体收到的鉴权申明中的重新认证期限头域对应的时间过期时，或者当业务提供商实体收到的鉴权申明中的期限头域对应的时间过期时，业务提供商实体在随后与用户终端的通信过程中要求用户终端重新鉴权。
所述的身份标识网页业务网系统鉴权方法，其中在鉴权服务实体或鉴权服务模块上配置如下的本地安全策略在对用户终端重新鉴权时，若双方的共享密钥没有过期，则只对用户终端进行身份标识网页业务网络架构鉴权。
所述的身份标识网页业务网系统鉴权方法，其中在鉴权服务实体或鉴权服务模块上配置如下的本地安全策略在对用户终端重新鉴权时，若双方的共享密钥没有过期，对用户终端进行通用鉴权架构鉴权和身份标识网页业务网络架构鉴权。
本发明的技术方案对现有技术的ID-WSF进行了改进和扩充，增加用户归属网络服务器和引导服务功能实体和网络业务应用功能实体，并将原有的鉴权服务实体、单点认证业务实体的功能以及新增的网络业务应用功能分别由网络业务应用功能/鉴权服务/单点认证业务实体的网络业务应用功能模块、鉴权服务模块、单点认证业务模块实现，从而实现了ID-WSF和GBA的互通，克服了现有技术ID-WSF对UE进行鉴权的过程中无法使用GBA方式鉴权的缺点；提供了一种身份标识网页业务网系统和对UE进行鉴权的方法，在增加的通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识、根密钥有效期，并且发送给用户终端，引导服务功能实体和用户终端都生成根密钥，因此增强了UE与业务提供商实体之间通信的安全性。


本发明包括如下附图图1是现有技术通用鉴权架构(GBA)示意图；图2是现有技术通用鉴权架构中UE执行引导过程(bootstrapping)的流程图；图3是现有技术NAF获取共享密钥Ks_(Ext/Int)_NAF的流程图；图4是现有技术身份标识联盟网络架构(ID-FF)示意图；图5是现有技术ID-FF和GBA互通架构示意图；图6是现有技术身份标识网页业务网络架构(ID-WSF)示意图；图7是现有技术ID-WSF的简化形式示意图；图8是现有技术包含单点认证业务实体(SSOS)的ID-WSF示意图；图9是现有技术GBA和ID-WSF互通的网络架构示意图；
图10是本发明网络业务应用功能/鉴权服务/单点认证业务实体示意图；图11是本发明的身份标识网页业务网系统示意图；图12是本发明当AS和SSOS为不同的实体时给UE返回Assertion的鉴权方法流程图；图13是本发明当AS和SSOS为不同的实体时给UE返回Artifact的鉴权方法流程图；图14是本发明使用网络业务应用功能/鉴权服务/单点认证业务实体并给UE返回Assertion的鉴权方法流程图；图15是本发明使用网络业务应用功能/鉴权服务/单点认证业务实体并给UE返回Artifact的鉴权方法流程图。
具体实施例方式
下面结合附图和实施例对本发明作进一步详细说明为了提高现有技术ID-WSF网络通信的安全性，实现ID-WSF和GBA的互通，如图10所示，本发明提供了一种网络业务应用功能/鉴权服务/单点认证业务实体，其包括网络业务应用功能模块、鉴权服务模块、单点认证业务模块，网络业务应用功能模块用于提供网络业务应用功能实体功能，鉴权服务模块用于提供鉴权服务实体功能，单点认证业务模块用于提供单点认证业务实体功能。如图11所示，本发明提供了一种身份标识网页业务网系统，其包括通用鉴权架构的用户归属网络服务器和引导服务功能实体、网络业务应用功能/鉴权服务/单点认证业务实体、业务提供商实体、用户终端，用户归属网络服务器和引导服务功能实体之间通过Zh接口进行通信，引导服务功能实体与用户终端之间通过Ub接口进行通信，网络业务应用功能模块与引导服务功能实体之间通过Zn接口进行通信，网络业务应用功能模块与用户终端之间通过Ua接口进行通信；单点认证业务模块与用户终端采用安全申明标记语言描述的单点认证和身份标识联盟协议进行两者之间的通信，并可采用简单对象访问协议或超文本传输协议封装通信消息；用户终端与鉴权服务模块采用简单鉴权和安全层协议进行两者之间的通信，并可采用简单对象访问协议或超文本传输协议封装通信消息；单点认证业务模块与业务提供商实体之间、用户终端与业务提供商实体之间进行通信时，采用简单对象访问协议或超文本传输协议封装通信消息。
如图9所示，现有技术给出了一种当AS和SSOS为不同的实体时的GBA和ID-WSF互通的网络架构，但是并没有相应的鉴权方法。
如图12所示，本发明提供了当AS和SSOS为不同的实体时，对UE进行鉴权并给UE返回Assertion的鉴权方法实施例1；图13所示，本发明提供了当AS和SSOS为不同的实体时，对UE进行鉴权并给UE返回Artifact的鉴权方法实施例2；如图14所示，本发明提供了使用网络业务应用功能/鉴权服务/单点认证业务实体并给UE返回Assertion的鉴权方法实施例3；如图15所示，本发明提供了使用网络业务应用功能/鉴权服务/单点认证业务实体并给UE返回Artifact的鉴权方法实施例4。实施例1和实施例3以及实施例2和实施例4的步骤是相同的，只是实施例1和实施例2中单点认证业务实体以及鉴权服务实体实现的功能，在实施例3和实施例4中由本发明的单点认证业务模块和鉴权服务模块实现。
下面通过对实施例1和实施例2的具体说明，阐述本发明鉴权方法的实现过程本发明鉴权方法的要点是为了实现GBA与ID-WSF的互通，提高ID-WSF网络通信的安全性和应用方便性，在身份标识网页业务网系统的用户终端和业务提供商实体的通信过程中包括两种鉴权过程，分别是通用鉴权架构鉴权过程和身份标识网页业务网络架构鉴权过程，在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识、根密钥有效期，并且发送给用户终端，引导服务功能实体和用户终端都生成根密钥；在身份标识网页业务网络架构鉴权过程中，鉴权服务实体或鉴权服务模块生成用户终端访问单点认证业务实体或单点认证业务模块所需要的信任状；单点认证业务实体或单点认证业务模块生成鉴权申明并发送给用户终端，或者单点认证业务实体或单点认证业务模块生成鉴权申明及相应的鉴权申明链接，保存鉴权申明、鉴权申明和鉴权申明链接的对应关系，将鉴权申明链接发送给用户终端。
在实施例1和实施例2中，UE和AS通过SASL协议进行协商，采用HTTP DIGEST鉴权方式，如果采用其他鉴权方式，则digest-challenge头域(挑战头域)和digest-response头域(挑战响应头域)改成相应鉴权方式的挑战头域和挑战响应头域。
下面是对实施例1的说明步骤1UE向SP发送HTTP Request消息(应用请求消息)；为保证安全，UE和SP之间可以事先建立TLS安全隧道。
步骤2SP收到该HTTP Request消息后，首先获取AS的地址，然后发送一个HTTP Response响应消息给UE，其中携带AuthnRequest头域(鉴权请求头域)；步骤3由于UE集成了WSC实体功能，收到SP返回的包含AuthnRequest头域的响应消息后，UE通过其上的WSC知道应该通过SASL(SimpleAuthentication and Security Layer，简单鉴权和安全层)协议向AS进行鉴权，而不是通过HTTP DIGEST协议向IdP进行鉴权，UE向AS发送一个HTTP Request消息，其中携带SOAP(Simple Object Access Protocol，简单对象访问协议)封装的SASLRequest头域(简单鉴权和安全层协议请求头域)，其中SASLRequest头域的mechanism头域(鉴权机制头域)中包含UE支持的鉴权方式列表，例如mechanism＝“CRAM-MD5DIGEST-MD5”，其中DIGEST-MD5表示HTTP DIGEST鉴权方式；步骤4AS返回一个HTTP Response响应消息给UE，其中携带SOAP协议封装的SASLResponse头域(简单鉴权和安全层协议响应头域)，SASLResponse头域的serverMechanism头域中记录AS从UE支持的鉴权方式列表中选择的鉴权方式(例如serverMechanism＝“DIGEST-MD5”表示AS选择的鉴权方式为HTTP DIGEST)，以及digest-challenge头域(挑战头域)；步骤5UE向BSF发送GBA鉴权请求消息，其中包含私有用户标识(IMPI)，要求与BSF进行相互鉴权；步骤6BSF收到UE的GBA鉴权请求消息后，首先到HSS获取该UE的鉴权向量信息，即认证矢量(鉴权序号参数AUTN，随机参数RAND，完整性密钥IK，机密性密钥CK，_预期结果XRES)；步骤7BSF保存XRES、IK、CK，并向UE发送消息，其中携带AUTN和RAND；步骤8UE运行AKA算法，检查AUTN有效性以鉴权BSF，并生成期望结果RES，并且利用RAND生成完整性密钥IK和机密性密钥CK；步骤9UE向BSF发送消息，其中携带IMPI、期望结果RES；步骤10BSF将RES和保存的XRES比较，如果两者一致的话完成对UE的鉴权，并利用保存的IK和CK生成根密钥Ks；步骤11BSF向UE发送GBA成功响应消息，其中携带引导事务标识(B-TID)和根密钥Ks有效期；步骤12UE保存B-TID和根密钥Ks有效期，并利用IK和CK生成根密钥Ks，然后生成并保存共享密钥Ks(Ext/Int)NAF；步骤13UE再次向AS发送一个HTTP Request消息，其中携带SOAP协议封装的SASLRequest头域，SASLRequest头域的mechanism头域填写步骤4中AS选择的鉴权方式(这里的鉴权方式为HTTP DIGEST)，SASLRequest头域的digest-response头域(挑战响应头域)中包含username头域，username头域中填写B-TID以及用密钥Ks(Ext/Int)NAF计算出来的鉴权响应摘要信息；步骤14AS和NAF在一个实体上，如果AS中没有相关的Ks_(Ext/Int)_NAF密钥等信息，则可以通过Zn接口向BSF获取Ks_(Ext/Int)_NAF、USS、密钥有效期、引导时间等信息，其中USS可能包含一些身份标识联盟相关信息；步骤15根据获取的Ks_(Ext/Int)_NAF密钥信息，AS对上述SASLRequest头域中的digest-response进行处理，AS鉴权通过后，向UE发送HTTPResponse响应消息，其中携带SOAP协议封装的SASLResponse头域，其中SASLResponse头域中的ID-WSF EPR(EndpointReference)头域中包含SSOS地址和ServiceType域，ServiceType域中的内容包括urn:liberty:ssos:2004-04、以及访问SSOS所需要的信任状(Credentials)等其他SSO相关信息；步骤16UE根据步骤15得到的SS0S地址向SSOS发送HTTP Request消息，以请求访问SP所需要的Assertion，其中携带SOAP协议封装的samlp2:AuthnRequest头域、sb:Correlation头域、wsse:security头域，根据具体的应用程序和网络模型，AuthnRequest头域可能是步骤2中SP返回的，也可能由UE自己生成，其中包含一些要求AuthnRequest接收方采取的鉴权操作，其中ProtocolBinding头域设置成urn:liberty:iff:profiles:id-wsf，以表示要使用SAML协议绑定，wsse:security头域包含上一步中返回的访问SSOS所需要的信任状(Credentials)信息，sb:Correlation头域主要用于将SSOS返回的响应消息和相应的请求消息关联起来；步骤17SSOS根据收到的HTTP Request消息内容进行鉴权处理，鉴权成功后SSOS可能告诉UE可以和哪些SP结成身份标识联盟，UE同意并完成和SP的身份标识联盟，然后SSOS返回HTTP Response响应消息，其中携带SOAP协议封装的samlp2:Response头域，其中Response头域包含访问SP所需要的saml:Assertion头域(其中包含SSOS的数字签名)；步骤18UE再次向SP发送HTTP Request消息，其中携带SOAP协议封装的上一步中返回的saml:Assertion头域；步骤19SP处理上述saml:Assertion头域，并验证SSOS的数字签名，根据和SSOS的身份标识联盟信息对UE完成鉴权，成功后返回一个HTTPResponse消息。
另外的几点说明根据AuthnRequest中的身份标识策略，AS可能每次都要求UE必须先执行步骤5～步骤12，再执行步骤13，以保证每次的用户标识B-TID和密钥Ks_(Ext/Int)_NAF都是重新生成的。
或者，如果UE和AS之间已经建立了安全联盟，并且Ks_(Ext/Int)_NAF密钥没有过期，则不执行步骤3～步骤12，直接执行步骤13，即UE给AS发送的HTTP Request请求消息的SASLRequest头域中的digest-response头域中包含username头域，username头域中填写B-TID以及用共享密钥Ks_(Ext/Int)_NAF计算出来的鉴权响应摘要信息。
如果UE和AS之间还没有建立安全联盟，则需要先执行步骤3～步骤12，进行正常的GBA引导过程获取B-TID和密钥信息Ks_(Ext/Int)_NAF，然后再执行步骤13。
如果UE和AS之间已经建立了安全联盟，但是Ks_(Ext/Int)_NAF密钥已经或者将要过期，则步骤3中也带有已有的B-TID，以及用密钥Ks_(Ext/Int)_NAF计算出来的鉴权响应摘要信息，然后AS通过步骤4挑战UE，UE再执行步骤5～步骤12，进行正常的GBA鉴权过程获取更新的B-TID和共享密钥Ks_(Ext/Int)_NAF，然后再执行步骤13。
另外，对于本发明中GBA和SSO两种机制都支持的UE来讲UE在步骤3中向AS发送HTTP请求时，需要携带一个表示支持GBA机制的标识，例如对于基于ME(Mobile Equipment，移动设备)的应用，在User-Agent头域中设置成“3gpp-gba”；对基于UICC(Universal IntegratedCircuit Card，通用集成电路卡)的应用，在User-Agent头域中设置成“3gpp-gba-uicc”。AS发现UE支持GBA后，在步骤4的挑战响应中也携带一个表示需要UE执行GBA机制的标识，例如对于基于ME的应用，在digest-challenge头域中的realm参数中设置“3gpp-gba@NAF的域名”，对于基于UICC的应用，在digest-challenge头域的realm参数中设置“3gpp-gba-uicc@NAF的域名”。
UE如果在挑战响应中发现此标识，则知道需要先执行GBA过程(步骤3～步骤12)，然后再执行步骤13，否则直接执行步骤13，其中的用户名、密码的获取通过现有SSO机制处理，例如可以给用户弹一个对话框，由用户直接输入用户名和密码。
UE在步骤13中再次向AS发送HTTP请求时，同步骤3一样，也需要携带一个表示支持GBA机制的标识，如果AS发现此标识，则知道需要先执行步骤14，然后执行步骤15；否则直接执行步骤15。
另外，也可以通过配置AS来达到上述同样目的。上述几点同样适用于下面的实施例2。
下面是对实施例2的说明步骤1UE向SP发送HTTP Request消息；步骤2SP收到该HTTP Request消息后，首先获取AS的地址，然后发送一个HTTP Response响应消息给UE，其中携带AuthnRequest头域；步骤3由于UE集成了WSC实体功能，收到SP返回的包含AuthnRequest头域的响应消息后，UE通过其上的WSC知道应该通过SASL协议向AS进行鉴权，而不是通过HTTP DIGEST协议向IdP进行鉴权，UE向AS发送一个HTTP Request消息，其中携带SOAP协议封装的SASLRequest头域，其中SASLRequest头域的mechanism头域中包含UE支持的鉴权方式列表，例如mechanism＝“CRAM-MD5DIGEST-MD5”，其中DIGEST-MD5表示HTTP DIGEST鉴权方式；步骤4AS返回一个HTTP Response响应消息给UE，其中携带SOAP协议封装的SASLResponse头域，SASLResponse头域的serverMechanism头域(服务器鉴权机制头域)中记录AS从UE支持的鉴权方式列表中选择的鉴权方式(例如serverMechanism＝“DIGEST-MD5”表示AS选择的鉴权方式为HTTP DIGEST)，以及挑战头域digest-challenge；步骤5UE向BSF发送GBA鉴权请求消息，其中包含私有用户标识(IMPI)，要求与BSF进行相互鉴权；步骤6BSF收到UE的GBA鉴权请求消息后，首先到HSS获取该UE的鉴权向量信息，即认证矢量(鉴权序号参数AUTN，随机参数RAND，完整性密钥IK，机密性密钥CK，_预期结果XRES)；步骤7BSF保存XRES、IK、CK，并向UE发送消息，其中携带AUTN和RAND；步骤8UE运行AKA算法，检查AUTN有效性以鉴权BSF，并生成期望结果RES，并且利用RAND生成完整性密钥IK和机密性密钥CK；步骤9UE向BSF发送消息，其中携带IMPI、期望结果RES；步骤10BSF将RES和保存的XRES比较，如果两者一致的话完成对UE的鉴权，并利用保存的IK和CK生成根密钥Ks；步骤11BSF向UE发送GBA成功响应消息，其中携带引导事务标识(B-TID)和根密钥Ks有效期；步骤12UE保存B-TID和根密钥Ks有效期，并利用IK和CK生成根密钥Ks，然后生成并保存共享密钥Ks_(Ext/Int)_NAF；
步骤13UE再次向AS发送一个HTTP Request消息，其中携带SOAP协议封装的SASLRequest头域，其中SASLRequest头域中的mechanism头域填写步骤4中AS选择的鉴权方式(本实施例中的鉴权方式为HTTPDIGEST)，挑战响应头域digest-response中包含username头域，username头域中填写B-TID，以及用密钥Ks_(Ext/Int)_NAF计算出来的鉴权响应摘要信息；步骤14AS和NAF在一个实体上，如果AS中没有相关的Ks_(ext)_NAF密钥等信息，则可以通过Zn接口向BSF获取Ks_(Ext/Int)_NAF、USS、密钥有效期、引导时间等信息，其中USS可能包含一些身份标识联盟相关信息；步骤15AS对上述SASLRequest头域进行处理，AS鉴权通过后，向UE发送HTTP Response响应消息，其中携带SOAP封装的SASLResponse头域，SASLResponse头域中的ID-WSF EPR(EndpointReference头域)中包含SSOS地址、SASLResponse头域中的ServiceType域设置为urn:liberty:ssos:2004-04、访问SSOS所需要的信任状；步骤16UE向上一步得到的SSOS发送HTTP Request消息，以请求访问SP所需要的Assertion，其中携带SOAP协议封装的samlp2:AuthnRequest头域、sb:Correlation头域、wsse:security头域，根据具体的应用程序和网络模型，AuthnRequest头域可能是步骤2中SP返回的，也可能由UE自己生成，其中包含一些要求AuthnRequest接收方采取的鉴权操作，其中ProtocolBinding头域设置成urn:liberty:iff:profiles:id-wsf，以表示要使用的SAML协议绑定，wsse:security头域包含上一步中返回的访问SSOS所需要的信任状(Credentials头域)信息，sb:Correlation头域主要用于将SSOS返回的响应消息和相应的请求消息关联起来；步骤17SSOS处理收到的HTTP Request消息，生成相应的Artifact和Assertion，并保存两者之间的关系，然后返回HTTP Response成功响应消息，其中携带SOAP协议封装的samlp2:Response头域；其中Response头域包含访问SP所需要的saml:Assertion对应的Artifact头域；步骤18UE再次向SP发送HTTPRequest消息，其中携带SOAP协议封装的步骤17中返回的Artifact头域；步骤19SP向SSOS发送HTTP Request消息，其中携带SOAP协议封装的上一步得到的Artifact头域，请求用于对UE鉴权处理的Assertion；步骤20SSOS根据Artifact找到对应的Assertion，然后返回HTTP Response消息，其中携带SOAP协议封装的saml:Assertion(其中包含SSOS的数字签名)；步骤21SP处理上述saml:Assertion头域，并验证其数字签名，根据和SSOS的身份标识联盟信息对UE完成鉴权，成功后返回一个HTTPResponse消息。
完成了上述实施例1或实施例2的鉴权过程后，UE和SP可以继续进行通讯，当出现下列情况时则必须对UE重新进行鉴权1、SP收到UE或者SSOS发来的LogoutRequest消息(退出链接请求消息)时；2、SP和UE之间的会话正常中止时；3、SP收到的Assertion中的AuthenticationStatement头域(认证声明头域)中的ReauthenticateOnOrAfter头域(重新认证期限头域)对应的时间过期时；4、SP收到的Assertion中的Conditions头域(条件头域)中的NotOnOrAfter头域(期限头域)对应的时间过期时。
SP需要在和UE进行下一次交互时，发送一个新的携带AuthnRequest的HTTP Response响应消息给UE，指示其需要重新鉴权，以后进行实施例1或实施例2中从步骤3开始的流程。
对于ID-WSF，步骤4中当AS收到UE发来的HTTP Request消息时，如果Ks(ext)NAF还没有过期，则根据AS上配置的本地安全策略，可以不进行新的GBA鉴权过程，也可以进行一个新的GBA鉴权过程。如果不进行新的GBA鉴权过程，则步骤3～步骤12、步骤14可以省略，步骤13、步骤15、步骤16同上次对应的消息内容相同，步骤17中SSOS需要产生一个新的Assertion(对于实施例2，还要产生新的Artifact)，其余步骤不变。
如果要进行新的GBA过程，则将重新执行实施例1或实施例2中其余的所有步骤。
虽然通过参照本发明的优选实施例，已经对本发明进行了图示和描述，但本领域的普通技术人员应该明白，可以在形式上和细节上对其作各种各样的改变，而不偏离所附权利要求书所限定的本发明的精神和范围。
权利要求
1.一种身份标识网页业务网系统，包括通用鉴权架构的用户归属网络服务器和引导服务功能实体、业务提供商实体、用户终端，用户归属网络服务器和引导服务功能实体之间通过Zh接口进行通信，引导服务功能实体与用户终端之间通过Ub接口进行通信，其特征在于包括网络业务应用功能/鉴权服务/单点认证业务实体，其包括网络业务应用功能模块、鉴权服务模块、单点认证业务模块，网络业务应用功能模块用于提供网络业务应用功能实体功能，鉴权服务模块用于提供鉴权服务实体功能，单点认证业务模块用于提供单点认证业务实体功能，网络业务应用功能模块与引导服务功能实体之间通过Zn接口进行通信，网络业务应用功能模块与用户终端之间通过Ua接口进行通信。
2.根据权利要求1所述的身份标识网页业务网系统，其特征在于单点认证业务模块与用户终端采用安全申明标记语言描述的单点认证和身份标识联盟协议进行两者之间的通信，采用简单对象访问协议或超文本传输协议封装通信消息；鉴权服务模块与用户终端采用简单鉴权和安全层协议进行两者之间的通信，采用简单对象访问协议或超文本传输协议封装通信消息；单点认证业务模块与业务提供商实体之间进行通信时，采用简单对象访问协议封装通信消息；用户终端与业务提供商实体之间进行通信时，采用简单对象访问协议或超文本传输协议封装通信消息。
3.一种身份标识网页业务网系统鉴权方法，其特征在于，包括步骤身份标识网页业务网系统的用户终端和业务提供商实体的通信过程中包括两种鉴权过程，分别是通用鉴权架构鉴权过程和身份标识网页业务网络架构鉴权过程，在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识、根密钥有效期，并且发送给用户终端，引导服务功能实体和用户终端都生成根密钥；在身份标识网页业务网络架构鉴权过程中，鉴权服务实体或鉴权服务模块生成用户终端访问单点认证业务实体或单点认证业务模块所需要的信任状；单点认证业务实体或单点认证业务模块生成鉴权申明并发送给用户终端，或者单点认证业务实体或单点认证业务模块生成鉴权申明及相应的鉴权申明链接，保存鉴权申明和鉴权申明链接的对应关系表，将鉴权申明链接发送给用户终端。
4.根据权利要求3所述的身份标识网页业务网系统鉴权方法，其特征在于，包括步骤用户终端向相应的鉴权服务实体或鉴权服务模块发送身份标识网页业务网络架构鉴权请求消息，鉴权服务实体或鉴权服务模块向用户终端发送要求其进行通用鉴权架构鉴权的挑战响应消息，引导服务功能实体对用户终端进行通用鉴权架构鉴权，鉴权成功后向用户终端发送通用鉴权架构鉴权成功响应消息，该鉴权成功响应消息中包含引导事务标识和根密钥有效期；用户终端向鉴权服务实体或鉴权服务模块发送应用请求消息，鉴权服务实体或鉴权服务模块根据该应用请求消息对用户终端进行鉴权，鉴权通过后，向用户终端发送响应消息，其中包含单点认证业务实体或单点认证业务模块的地址和信任状。
5.根据权利要求4所述的身份标识网页业务网系统鉴权方法，其特征在于，包括步骤单点认证业务实体或单点认证业务模块对用户终端进行身份标识网页业务网络架构鉴权，鉴权成功后向用户终端发送身份标识网页业务网络架构鉴权成功响应消息，该鉴权成功响应消息中包含鉴权申明。
6.根据权利要求4所述的身份标识网页业务网系统鉴权方法，其特征在于，包括步骤单点认证业务实体或单点认证业务模块对用户终端进行身份标识网页业务网络架构鉴权，生成鉴权申明及相应的鉴权申明链接，保存鉴权申明和鉴权申明链接的对应关系表，在随后发送给用户终端的身份标识网页业务网络架构鉴权成功响应消息中包含鉴权申明链接。
7.根据权利要求4所述的身份标识网页业务网系统鉴权方法，其特征在于，包括步骤A1、用户终端向业务提供商实体发送应用请求消息；A2、业务提供商实体收到该应用请求消息后，首先获取鉴权服务实体或鉴权服务模块的地址，然后发送响应消息给用户终端，其中携带鉴权请求头域；A3、用户终端向鉴权服务实体或鉴权服务模块发送应用请求消息，其中包含简单鉴权和安全层协议请求头域，其包含鉴权机制头域，鉴权机制头域中包含用户终端支持的鉴权方式列表；A4、鉴权服务实体或鉴权服务模块给用户终端发送挑战响应消息，其中包含简单鉴权和安全层协议响应头域，其包含服务器鉴权机制头域和挑战头域，服务器鉴权机制头域中记录鉴权服务实体或鉴权服务模块选择的鉴权方式。A5、用户终端与引导服务功能实体交互，进行通用鉴权架构鉴权；A6、用户终端向鉴权服务实体或鉴权服务模块发送应用请求消息，其中包含简单鉴权和安全层协议请求头域，简单鉴权和安全层协议请求头域包含挑战响应头域，挑战响应头域包含引导事务标识和鉴权响应摘要信息；A7、鉴权服务实体或鉴权服务模块通过Zn接口向引导服务功能实体获取共享密钥、用户安全设置、密钥有效期、引导时间等信息，鉴权服务实体或鉴权服务模块根据收到简单鉴权和安全层协议请求头域对用户终端进行鉴权，鉴权通过后，向用户终端发送响应消息，其中包含简单鉴权和安全层协议响应头域，该头域中有单点认证业务实体或单点认证业务模块的地址和信任状。
8.根据权利要求7所述的身份标识网页业务网系统鉴权方法，其特征在于同时支持通用鉴权架构鉴权和身份标识网页业务网络架构鉴权的用户终端在向鉴权服务实体或鉴权服务模块发送的应用请求消息中设置通用鉴权架构标识，若鉴权服务实体或鉴权服务模块发现此通用鉴权架构标识，则通知用户终端先启动通用鉴权架构鉴权过程，再启动用户身份标识网页业务网络架构鉴权过程，否则通知用户终端只启动用户身份标识网页业务网络架构鉴权过程。
9.根据权利要求7所述的身份标识网页业务网系统鉴权方法，其特征在于，所述步骤A5包括步骤B1、用户终端向引导服务功能实体发送通用鉴权架构鉴权请求消息，其中包含私有用户标识；B2、引导服务功能实体收到该通用鉴权架构鉴权请求消息后，从用户归属网络服务器获取用户终端的认证矢量；B3、引导服务功能实体向用户终端发送挑战消息，其中携带鉴权序号参数和随机参数；B4、用户终端检查鉴权序号参数有效性并生成期望结果；B5、用户终端向引导服务功能实体发送消息，其中携带私有用户标识、期望结果；B6、引导服务功能实体检查期望结果的有效性并生成根密钥；B7、引导服务功能实体向用户终端发送通用鉴权架构成功响应消息，其中携带引导事务标识和根密钥有效期；B8、用户终端保存引导事务标识和根密钥有效期，生成并保存根密钥和共享密钥。
10.根据权利要求5所述的身份标识网页业务网系统鉴权方法，其特征在于，包括步骤C1、用户终端根据单点认证业务实体或单点认证业务模块的地址向单点认证业务实体或单点认证业务模块发送应用请求消息；C2、单点认证业务实体或单点认证业务模块根据收到的应用请求消息内容进行鉴权处理，鉴权成功后向用户终端发送成功响应消息，其中包含鉴权申明，鉴权申明中有单点认证业务实体或单点认证业务模块的数字签名；C3、用户终端向业务提供商实体发送应用请求消息，其中包含鉴权申明；C4、业务提供商实体处理鉴权申明，验证单点认证业务实体或单点认证业务模块的数字签名，完成对用户终端的鉴权后，向用户终端发送响应消息。
11.根据权利要求6所述的身份标识网页业务网系统鉴权方法，其特征在于，包括步骤D1、用户终端根据单点认证业务实体或单点认证业务模块的地址向单点认证业务实体或单点认证业务模块发送应用请求消息；D2、单点认证业务实体或单点认证业务模块根据收到的应用请求消息内容进行鉴权处理，生成鉴权申明和相应的鉴权申明链接，保存鉴权申明、鉴权申明和相应的鉴权申明链接的对应关系，鉴权成功后向用户终端发送成功响应消息，其中包含鉴权申明链接。D3、用户终端向业务提供商实体发送应用请求消息，其中包含鉴权申明链接；D4、业务提供商实体向单点认证业务实体或单点认证业务模块发送应用请求消息，其中包含鉴权申明链接；D5、单点认证业务实体或单点认证业务模块根据鉴权申明链接找到对应的鉴权申明，向业务提供商实体发送响应消息，其中包含鉴权申明，鉴权申明中有单点认证业务实体或单点认证业务模块的数字签名；D6、业务提供商实体处理鉴权申明，验证单点认证业务实体或单点认证业务模块的数字签名，完成对用户终端的鉴权后，向用户终端发送响应消息。
12.根据权利要求7、8、10、11任一所述的身份标识网页业务网系统鉴权方法，其特征在于简单鉴权和安全层协议请求头域和简单鉴权和安全层协议响应头域由简单对象访问协议封装。
13.根据权利要求5所述的身份标识网页业务网系统鉴权方法，其特征在于当业务提供商实体收到用户终端、单点认证业务实体或单点认证业务模块发送的退出链接请求消息时，或者当业务提供商实体和用户终端之间的会话正常终止时，或者当业务提供商实体收到的鉴权申明中的重新认证期限头域对应的时间过期时，或者当业务提供商实体收到的鉴权申明中的期限头域对应的时间过期时，业务提供商实体在随后与用户终端的通信过程中要求用户终端重新鉴权。
14.根据权利要求6所述的身份标识网页业务网系统鉴权方法，其特征在于当业务提供商实体收到用户终端、单点认证业务实体或单点认证业务模块发送的退出链接请求消息时，或者当业务提供商实体和用户终端之间的会话正常终止时，或者当业务提供商实体收到的鉴权申明中的重新认证期限头域对应的时间过期时，或者当业务提供商实体收到的鉴权申明中的期限头域对应的时间过期时，业务提供商实体在随后与用户终端的通信过程中要求用户终端重新鉴权。
15.根据权利要求13或14所述的身份标识网页业务网系统鉴权方法，其特征在于在鉴权服务实体或鉴权服务模块上配置如下的本地安全策略在对用户终端重新鉴权时，若双方的共享密钥没有过期，则只对用户终端进行身份标识网页业务网络架构鉴权。
16.根据权利要求13或14所述的身份标识网页业务网系统鉴权方法，其特征在于在鉴权服务实体或鉴权服务模块上配置如下的本地安全策略在对用户终端重新鉴权时，若双方的共享密钥没有过期，对用户终端进行通用鉴权架构鉴权和身份标识网页业务网络架构鉴权。
全文摘要
本发明公开了一种身份标识网页业务网系统及其鉴权方法。身份标识网页业务网系统包括HSS、BSF、网络业务应用功能/鉴权服务/单点认证业务实体、SP、UE。鉴权方法包括步骤UE和SP的通信过程中包括GBA鉴权过程和ID－WSF鉴权过程，在GBA鉴权过程中，引导服务功能实体生成引导事务标识、根密钥有效期，并且发送给UE，引导服务功能实体和UE都生成根密钥；在ID－WSF鉴权过程中，AS实体或AS模块生成用户终端访问SSOS实体或SSOS模块所需要的信任状；单点认证业务实体或单点认证业务模块生成鉴权申明并发送给UE，或者单点认证业务实体或单点认证业务模块生成鉴权申明及相应的鉴权申明链接，保存鉴权申明和鉴权申明链接的对应关系表，将鉴权申明链接发送给UE。
文档编号H04L9/32GK101039311SQ20061003449
公开日2007年9月19日 申请日期2006年3月16日 优先权日2006年3月16日
发明者何承东 申请人:华为技术有限公司