不同认证基础设施的集成的方法和布置的制作方法

专利名称：不同认证基础设施的集成的方法和布置的制作方法
技术领域：
一般来说，本发明涉及尝试访问在通信网络中提供的服务的用户 的认证。具体来说，本发明涉及集成服务访问的不同基础设施的网络 中的认证。
背景技术：
在电信系统中，用户必须使用网络认证的某种方法进行认证，以 便访问电信网络。3GPP已经标准化认证和密钥协议架构(AKA),其中 用户设备(UE)和网络功能性共享作为认证的基础的公共密钥。密钥在 预订网络服务时被管理，优选地存储在安全卡(例如SIM卡)上。
此外，请求访问网络服务的用户必须再次向服务进行认证，例如 以便建立计费的基础。本领域常见的是将服务提供商与终端用户之间 的置信基于共享安全密钥。因此，在管理这类密钥中存在相当大的问 题，这将妨碍新服务的开发和提供。
为了纠正密钥管理问题，3GPP已经开发了通用引导架构(GBA)。 基本上，网络认证方法在引导过程(bootstrapping procedure)中再使用， 以便创建作为用于生成与网络服务相关的其它密钥的基础的通用密 钥。因此，实现网络服务并且属于特定运营商网络的网络应用功能 (NAF)可与网络"引导服务器功能"(BSF)进行通信，以便接收与NAF 实体相关的会话密钥。实现与网络相同的认证方法的用户设备UE可 得出相同的通用密钥，并且从其中得出相同的会话密钥。
因此，引导过程(例如GBA引导)提供可相对网络运营商所提供的 服务来使用的便捷密钥管理。在本文档的其余部分，这类服务将称作 内部服务。通过建立使漫游用户UE建立与漫游网络中网络服务共享的密钥成为可能的互信模型(inter trust model)，以上所述的密钥管理过 程的域可扩展成结合不同的网络运营商域。
GBA描述用于来自3GPP AKA机制(3GPP TS 33.220通用引导架 构)的应用安全性的引导认证和密钥协议的机制和安全特征。GBA架 构实现向用户设备UE和网络应用功能NAF分发共享秘密。GBA意味 着例如"归属订户服务器"(HSS)和"订户定位符功能"(SLF)等某些 网络实体的修改，并且引入实现密钥管理功能性的新元素"引导服务 器功能"(BSF)。
3GPP还开发演进GBA基础设施"通用认证架构"(GAA),将GBA 的范围扩展到包括终端用户与应用之间的附加认证过程(3GPP TR 33.919通用认证架构)。运营商强调其中通过http代理部署GBA/GAA 的结构。TS 33.222规定认证代理(AP),它^皮定义为代表一个或多个应 用服务器作为UE的NAF实体进行操作的反向http代理。认证代理 AP的使用是有利的，例如提供
-降低的认证矢量(AV)消耗和同步故障
-使应用服务器(AS)免于执行安全任务(AP处理用于向UE的安 全传输和用户认证的TLS协议)
-应用服务器对SSO的感知(perception)。
只要GBA基础设施提供对内部服务的便捷访问，则存在通过公共 网络(例如因特网)所提供的增长数量的服务。这种类型的服务将称作 外部服务。
为了影响(leverage)公共网络中的置信关系，自由联盟联合会已经 开发了提供单点登入(SSO)和会话管理的基础设施(自由联盟身份联合 框架(ID-FF))。基本上，用户应当仅需要向联合提供商的网络内的任一 个服务提供商(SP)认证 一 次。身份提供商(IdP)保存与作为该联合的成 员的所有服务提供商有关的信息。IdP根据来自通过,i名(pseudonym) 所标识的用户的请求来断言用户已经向指定SP进行i人证。4皮访问的 SP检验该断言，并且允许服务访问。自由联盟联合会致力于开发联合网络身份的开放标准，从而为企 业、政府、员工和消费者提供控制身4分信息的更便捷且安全的方式。
它是推动使用电子商务和个性化数据服务以及基于Web的服务的关键
组成部分。
ID-FF框架引起作为身份提供商IdP的商业角色中的移动运营商 的极大关注。因此，移动运营商使用标准协议来实现SSO,以便于与 外部服务提供商SP的互通性(inter叩erability)。
在一种情况下，移动运营商提供对外部服务的WAP访问。为此， 自由联盟引入设置在身份提供商域中并且通常在WAP网关或HTTP 代理内部运行的称作"自由使能代理"(Liberty-Enabled Proxy, LEP)的 实体。
规范 "自 由 ID-FF 绑定和 简 档 " (http:〃www.projectliberty.org/specs/draft-liberty-idff-bindings-profiles-1.2-errata-v2.0.pdf)定义对基于HTTP的通信框架的自由协议和消息的绑定 (binding)和简档。此外，规范"自由ID-FF协议和方案" (http :〃www. proj ectliberty. org/ specs/draft-liberty-idff-protocols-schema-1.2 -errata-v3.0.pdf)定义共同提供身份联合管理、跨域认证和会话管理的解 决方案的协议的核心集合。
自由请求-响应协议元素根据协议"简单对象访问协议"(SOAP) 包含在消息主体中。SOAP是用于在分散、分布式环境中交换信息的 轻型协议，由万维网联盟W3C开发(http:〃www.w3.org/TR/SOAP)。
要求运营商支持两种基础设施(GBA/GAA和自由ID-FF SSO)。为 了影响这两种基础设施之间的互配(mter work), 3GPP TR 33.980研究 了可能的互配方法。需要改进两种基础设施之间的互配方法，以便降 低实现的复杂度和成本。

发明内容
本发明的第一实施例公开一种例如自由ID-FF等"联合单点登入"基础设施(FSSO)与例如提供过程、参数和基础设施组件的改进再利用 的3GPPGAA/GBA基础设施等"认证/引导架构"(AA/BA)之间的汇聚 互配布置。
本发明包括"集成认证代理"(IAP),它组合例如3GPPGAA/GBA 认证代理等AA/BA认证代理AP和例如"自由使能代理"(LEP)等FSSO 使能代理的作用。代理IAP截取(interc印t)访问服务的用户UE请求， 并且其特征在于具有确定用户是在FSSO使能服务提供商SP(例如，自 由使能服务提供商)处尝试访问外部服务还是访问代理服务器的域内 的内部应用的能力。根据访问的类型，代理IAP设置在对应的操作状
基于AKA的3GPP GBA认证、公有密钥基础设施认证(PKI)、基于生 4勿纟克^十方法的i人"i正或者强i人寸正(strong authentication)。
公开一种方法，其中，在第一阶段，代理IAP最初设置在充当 AA/BA认证代理(例如GAA/GBA认证代理)的状态。截取服务访问的 用户请求的IAP代理可请求用户发起采用引导服务器功能BSF的 AA/BA认证和31导(例如GAA/GBA认证和3)导)。仅当没有先前5)导 信息可用时或者它已过期时，才需要引导。
IAP代理示范地从与请求关联的元数据来确定使用哪一种弓1导方 法，例如GBA引导、基于PKI的引导、基于生物统计认证或强认证的 引导。引导过程产生临时身份"引导事务标识符"(B—TID)，它包含对 所产生键控资料(Ks)的引用。将引用B一TID提供给能够计算相同密钥 Ks的用户实体UE。
服务的请求通过用户设备UE向代理IAP提供B一TID继续进行， 代理IAP可使用B—TID向BSF请求从密钥Ks得出的会话密钥。根据 该会话密钥(也可由UE计算)，IAP认证用户UE。这是根据本发明在 应用级所需的-眷一i人i正。
这完成根据本发明的服务访问的第一阶段。具体来说，大家注意 到，IAP代理集成联合单点登入FSSO和认证/引导功能性AA/BA。
9在一个备选实施例中，IAP代理将服务访问请求转发给BSF，供 直接发起引导。
根据本发明，BSF功能性在进一步实现HSS功能性和标准 BSF/HSS接口的"引导身^i人证和会话管理基础设施"(BIAS)中实现， 但是，其中标准"通用用户安全设定，，(GUSS)扩展为包括附加信息， 优选地为不同服务提供商SP处的用户联合假名的关系。认证代理IAP 已经执行AA/BA过程之后的结果是
- 一组安全密钥由用户设备UE和集成认证代理IAP共享。
-用户UE已经由集成认证代理IAP进行认证。
-BIAS中的BSF已经下载增强的GUSS,包括可用用户联合假名 的列表。
-IAP保存在引导过程期间得出的附加用户标识符(即标识符 B-TID)。
利用本发明的特征，服务访问的第二阶段由IAP确定服务访问的 类型来发起。如果请求涉及访问内部应用，则不需要进一步认证，并 且允许用户访问服务提供商SP。否则，如果请求涉及外部FSSO使能 应用(例如自由使能)，则代理IAP设置成FSSO使能状态，并且对应认 证过程被发起。这是可从与服务访问的用户请求关联的元数据确定的 情况。在FSSO情况下，IAP将访问请求转发给服务节点SP,它返回 认证请求。IAP代理确定身份提供商IdP，并且提供临时身份B一TID。 IdP核对B—TID的BSF有效性，以及如果有效性被确认，则从HSS检 索B—TID所引用的GUSS。 IdP检验与所访问的服务关联的联合假名， 并且生成用户被认证以便访问服务的断言。如果对于所访问的服务不 存在联合假名，则认证请求可指明将执行联合(federation)。如果情况 是那样，则IdP为服务生成新假名，并且将新假名存储在GUSS中。
此后，将断言返回给IAP代理，它将断言转发给服务提供商SP。 确认断言的服务提供商响应集成代理IAP,此后，集成代理IAP在用 户与服务之间的路径中起作用。这完成服务访问的第二阶段。这个阶段的特征要素包括IAP确定
服务访问的类型、改变操作状态以及使用引用B一TID作为临时用户身 份来检索认证信息。
根据第二实施例，第一阶段在IMS和FSSO的上下文中执行，由 此集成这些基础设施。更具体来说，在这个实施例中，没有对AA/BA 基础设施(例如GBA/GAA)的显式支持，但是等效功能集成在IMS的 扩展中。具体来说，IMS的S-CSCF节点修改为包括与BSF对应的用 于生成密钥Ks和引用B—TID的功能。在第一阶段，进行普通IMS登 记和IMS认证。第一阶段例如根据GBA方法继续进行引导，以及向 示范地可与IMS系统的P-CSCF功能性共存的IAP服务器进行认证。 此后发起第二阶段，它与前面所述的第一实施例的第二阶段相同。
本发明还包括引导、身份、认证和会话管理实体BIAS，它有效地 组合来自GAA/GBA、自由ID-FF和现有HSS及GBA用户安全设定 GUSS的特征。值得注意的是，S-CSCF功能性则修改为包括用于生成 和管理密钥Ks和身份B—TID的功能性。


图1示出使用自由使能代理的现有技术单点登入系统中的信令的概览。
图2示出GBA/GAA基础设施的基本组件。
图3示出用于集成自由单点登入基础设施和GBA/GAA基础设施 的现有技术示范布置。
图4示出本发明的一个实施例。
图5示出本发明的另一个实施例。
图6示出根据本发明的集成认证代理的示范布置。
具体实施例方式
图1示出根据自由ID-FF框架的信令的概览。在110处，用户实
ii体101 UE进行H务提供商102 SP处服务的请求，该请求经过自由使 能代理104LEP。在120处，SP请求认证。在130处，认证请求-响应 通信示为与身份提供商103 IdP进行，身份提供商103 IdP在131处理 认证请求。认证响应包括关于UE ^皮i人证的断言。在140处，断言的 通信与服务提供商SP进行，服务提供商SP在141处理断言。在150， 代理LEP对请求110进行关于UE被认证以便访问SP处的服务的响应。
图2示出通过相对于GBA/GAA基础设施充当网络应用功能NAF 的认证代理260的GBA/GAA的现有技术部署。通用引导服务器功能 210 BSF和用户实体101 UE使用AKA协议相互认证。UE通过接口 220 Ub与BSF进行通信。UE和归属用户系统230(HSS)共享作为HSS 生成通过接口 270 Zh提供给BSF的认证矢量的基础的密钥。根据AKA 协议，BSF向UE发送询问(challenge),并且UE向BSF返回响应。认 证通过BSF将UE响应与HSS所提供的预计响应进行比较来4企验。成 功认证发起在BSF和UE处生成共享密钥Ks。 BSF存储密钥Ks和关 联引用B—TID。此后，在完成消息中将引用B一TID和诸如密钥使用期 等其它数据提供给UE。订户定位符功能240 SLF由BSF通过接口 291 Dz结合Zh接口操作来查询，以便获得包含所需订户(subscnber)特定 数据的HSS的名称。UE可通过网络应用功能认证代理NAF 260同时 连接到至少一个应用服务器250一nAS。连接包括UE与NAF之间的认 证的笫一步骤。由此，UE将引用B一TID提供给NAF，NAF使用B一TID 通过接口 290 Zn向BSF请求密钥(Ks—NAF)。密钥Ks—NAF从密钥Ks 得出。相同密钥可在UE得出。此后，根据得出的密钥Ks—NAF来进 行认证。UE与NAF之间的通信通过接口 280 Ua进行。
因此，根据图1和图2的现有技术基础设施适合于特定类型的访 问，即分别为GBANAF类型的访问和自由类型的访问。
3GPP TR 33.980研究了如图3所示的自由ID-FF与GBA/GAA之 间的可能的互配方法的细节。图3示出自由基础设施中的301 IdP还如 何表现为GBA/GAA世界中的NAF，以便使用GBA过程来认证用户。在310处，用户101 UE进行访问服务提供商102 SP的请求、如http 请求。服务提供商SP用认证请求进行响应，于是UE联络301 IdP(NAF) 以便发起认证。这些步骤如图3的311所示。IdP(NAF)确定需要认证， 并且请求UE在210 BSF发起(initiate)包括GBA引导的GBA阶段。这 些步骤如图3的320所示。大家注意到，在没有引导信息包含在认证 请求311中或者所提供的引导信息不是最新的情况下，IdP/NAF只需 要发起引导过程。但是，根据3GPPTR 33.980，每当进行自由认证请 求311时，IdP/NAF看起来好像根据《1导资料来请求？ 1导和认证用户。 发明的解决方案不具有这个缺点。
在321处，BSF向归属订户服务器HSS请求认证矢量AV和GBA 用户安全设定GUSS。在322处，BSF例如根据http digest AKA来认 证UE。此外，在这个步骤中，UE接收来自BSF的引导信息。此后， 自由ID-FF过程继续进行，以及在312处，UE向IdP(NAF)提供引导 信息，以便被认证。在313处，IdP(NAF)向BSF请求引导信息。在314, IdP(NAF)和UE执行认证机制。在315处，IdP生成关于UE已经被认 证的断言，并且将断言发送给UE。在316处，l正请求由月l务提供商 102 SP进行认证，于是SP向IdP请求用户^人证的断言。这种情况如图 3的317所示。在318处，SP4t睑断言，并且在319响应初始请求310。
根据现有技术图3,自由ID-FF和GAA基础设施通过允许自由IdP 使用GAA基础设施认证终端用户来进行互配。通过部署完全自由 ID-FF和3GPP GBA基础设施，并且实现特定自适应，以便使自由IdP 能够链接(lmk)3GPP GAA终端用户认证过程，来实现互配。用于 GBA/GAA与ID-FF之间的互配的现有技术图3的缺点是因完全实现 这两个基础设施的要求以及允许进行互配的附加自适应而引起的增加 的计算负荷。因此，现有技术布置图3引起额外费用和系统复杂度。
总之，用于GBA/GAA与ID-FF之间的互配的现有技术图3的主 要缺点是
-重复的基础功能性。纵向地(vertically)为GBA/GAA和ID-FF部署完全基础设施，即使IdP/NAF与BSF共存(colocated)。
-重复的认证。BSF为引导认证一次(步骤311),并且IdP/NAF又 一次认证(步骤314),这在运营商实现IdP和GBA/GAA基础设施时不 是有效的。
-重复的会话。IdP和BSF均保持认证会话，其中许多会话信息 是两者共有的，例如密钥使用期。
图4示出本发明的第一实施例。图4可与图3相比，但在图4中， 新集成认证代理服务器410 IAP被插入在用户设备UE与服务提供商 102 SP之间的路径。相似参考标号对应于图3和图4中的相似实体。
代理410实现LEP/AP功能性以及下面进一步描述的新功能性。 在420处，示出汇聚引导身份认证和会话管理基础设施BIAS,它包括 三个基础组件IdP、 BSF和HSS。组件可使用系统内部通信链路进行 通信。假定代理410和基础设施BIAS属于同一个运营商域。下面为 了筒洁起见我们将会假定，联合单点登入是根据自由联盟ID-FF框架， 以及认证和引导是根据GBA标准。但是，这只是示范限制，并且本发 明可适用于任何通用联合单点登入FSSO和认证/引导基础设施 AA/BA。
在310处，用户实体UE向特定服务提供商SP传送访问请求。该 请求可示范地是HTTP请求。在这点上，本发明不同于现有技术图3， 并且请求由代理410截取，代理410最初充当具有随后用于认证用户 的NAF功能性的3GPP-GAA/GBA认证代理AP。
在401处，如果没有先前有效的引导资料可用，则代理请求UE 执行GBA/GAA引导。如果需要，则在320处，UE执行TS 33.222中 规定的标准过程，并且执行步骤321和322。如图3的对应步骤321 中那样，图4的步骤321包括BSF从HSS获得GBA用户安全设定 GUSS,但是根据本发明用当前联合用户假名的列表来扩展。
在引导发起信号320的备选布置中，代理服务器410截取来自UE 的所有信令，并且配置成透明地将信号针对BSF转发。在信号320的另 一个备选布置中，UE配置成绕过代理服务器410 直接与BSF进行通信。
根据3GPP TS 33.220通用引导架构GBA，引导事务标识符B—TID 被生成，并且在步骤322中被转发给UE。标识符B一TID不是永久的， 而是可例如在重新认证时改变。但是，标识符B_TID在BSF中与UE 的永久身份(例如国际移动订户身份(IMSI)或私有用户身份(IMPI))关 联。
在402处，将标识符BJID提供给代理服务器410,根据本发明， 代理服务器410还具有NAF功能性。依据通用引导架构3GPP TS 33.220,在403,代理服务器410从BSF得到会话密钥Ks_NAF,以及 在步骤404例如使用http digest协议来认证UE。
在这里要记住，代理服务器410仅在最初设置为充当 3GPP-GAA/GBA认证代理，而只要UE在310向IAP提供有效引导信 息，则不需要执行引导320和认证404。然后，该过程直4妾进入步骤 421。
在步骤421,代理410判定哪一个^莫型要应用于访问SP。如果SP 代表与代理410和BIAS 420相同的运营商域内的内部服务节点，则 SP可接受由代理服务器410在步骤404进行的认证，并且允许UE访 问服务而无需进一 步认证。
但是，如果SP代表公共域中的外部服务，则代理服务器410发起 自由ID-FF登入，并且在422向SP发送请求，例如包含向SP指明代 理为自由使能的自由使能报头(LEH)的http请求。
根据本发明的一个备选实施例，代理服务器410有权访问内部和 外部服务提供商SP的运营商定义目录(directory)，以便确定哪一个模 型要应用于服务访问。与外部服务提供商相关的信息可包括对应服务 级协议(SLA)。
在接收到请求422时，SP示范地使用报头LEH中提供的简档信 息来发起自由ID-FF认证请求过程。响应在423接收到认证请求，代理410选择身份提供商IdP，根据 本发明，身份提供商IdP集成在BIAS基础设施420中。消息423具有 信封(envelope)的形式，它除了请求之外还包括例如服务提供商413的 身份SP-ID。在424处，例如在SOAP消息中，把从信封消息所提取 的请求转发给BIAS基础设施420的IdP功能性。
信号424可包括标识符B-TID，例如作为http报头或者URL参数。 这是本发明的关键方面，由此，GBA相关信息在自由域中再使用，在 这种情况下作为BIAS IdP功能性处的用户标识和会话管理的部件。标 识符B-TID可由BIAS(IdP)使用，以便检验用户的认证状态。
备选地，IdP可将用户标识基于信号424中提供的其它身份，例如 用户MSISDN号、IP地址，或者转发在步骤320、 322的初始引导时 由BIAS 420示范地以前设置的cookie。
在425处，BIAS生成用户假名的断言。具体来说，IdP可使用标 识符B—TID请求BIAS的BSF功能性来检索用户假名，例如IMPI。回 想步骤321,HSS为BSF提供联合用户假名的列表。有效标识符B一TID 在BSF功能性是可用的事实足以使BSF确定用户已经被认证。
响应认证请求消息424,在426处，IdP返回i人证响应消息，其中 包括用户身份的断言或者伪像(artefact),例如根据OASIS (http:〃www.oasis-open.org/home/index.php)才示准"安全断言木亍i己i吾言" SAML。消息426具有重定向消息的形式，以及代理服务器410在接 收到信号426时，在427执行断言或伪像到SP的重定向。消息424、 426和427可使用HTTP GET、 POST或WML浏览器。
在步骤429处，服务提供商SP检验断言。如果消息427包含伪像， 则SP可通过附加通信向IdP请求断言验证，示范地与IdP交换SOAP 消息428用于请求和验证身份的断言。
在430处，代理服务器410接收用户认证的验证，例如HTTP请 求响应消息(HTTP Request Response message),由此完成原始请求422。 最后，消息431完成原始请求310。根据第二实施例，本发明在图5所示的MS基础设施中来实现。
图5和图4中，相似标号表示相同实体。
在IMS架构中，假定代理服务器410驻留在P-CSCF 510附近， 并因此它们可如图5所示来集成。但是，这不是使这种布置进行工作 所必需的。
第一 IMS认证和引导阶段由发往P-CSCF功能并且还转发给根据 本实施例在BIAS 520处所实现的S-CSCF的SEP登记消息511来发起。 登记消息可包括用户身份，例如公有用户身份IMPU。在321处，向 HSS请求认证矢量。在512、 513的信令交换包括用于执行用户UE的 AKA认证的标准信令。GBA引导在步骤514中指出。在这个步骤中， 引导密钥Ks与引用B—TID共同形成，并且连同公有用户身份IMPU 一起存储在BIAS。从GBA方法众所周知，这个步骤包括向用户UE 提供引用B—TID。可以看到，BIAS 520与BIAS 420的不同之处在于， 没有实现BSF,而某些BSF功能在这里结合在S-CSCF中，优选地用 于创建密钥Ks和引用B—TID。
在第二阶段，用户在402发起包舍引用B_TID的服务请求。该服 务请求还可包含预期服务提供商SP的身份SPJD。请求由代理IAP 截取，如前面所述，并且运行步骤403、 404,其中用户使用GBA方 法向代理服务器510认证，但是注意S-CSCF起BSF的作用。其余步 骤与相对于图4所述的那些相同。
在备选实施例中，GAA/GBA方法由提供引导密钥Ks及关联的引 用B—TID的任何其它认证和引导架构AA/BA取代。具体来说，认证 可示范地基于AKA标准、公有密钥基础设施、生物统计方法或者强认 证方法。特定情况中使用的方法可从与服务请求(例如服务请求310) 关联的元数据来确定。
此外，根据一个备选实施例，使用生成身份的断言的任何联合单 点登入FSSO架构。
图6示意示出适合于基础设施GAA/GBA和自由ID-FF的发明的集成认证代理服务器410的示范布置。图6示出用于通信610的部件， 代理410服务器可通过它与其它网络实体通信。代理服务器410集成 部件630和650，用于分别处理GAA7GBA格式化请求和自由ID-FF 格式化请求。访问类型和状态控制部件620确定在通信部件610所接 收的服务请求的类型，并且将代理410设置在对应状态。存储部件640 存储例如引用B—TID。
大家易于理解，用于处理GAA/GBA和自由ID-FF格式化请求的 部件可由如上所述分别适合于任何其它框架AA/BA和FSSO的部件取 代。
虽然已经参照具体的示范实施例描迷了本发明，但是，描述一般 仅意在说明本发明的概念，而不应当被理解为限制本发明的范围。本 发明由所附权利要求书定义。
权利要求
1.一种用于认证工作在提供对联合单点登入基础设施(FSSO)和认证及引导基础设施(AA/BA)的支持的电信域的用户设备(UE)以便访问服务提供商(SP)的方法，其特征在于-在所述电信域中，最初设置在支持AA/BA基础设施的状态的集成代理(IAP)截取UE的服务请求，由此根据所述AA/BA基础设施在引导身份认证和会话基础设施(BIAS)处发起引导，因而UE和BIAS生成至少一个共享密钥Ks及关联临时身份B_TID，以及BIAS还为UE提供B_TID；-UE向所述集成代理IAP提供B_TID以便根据所述AA/BA架构进行认证；-所述集成代理IAP响应确定所述服务提供商SP是否在所述电信域的外部而改变状态以充当FSSO代理；-所述集成代理IAP充当UE与SP之间的中介，由此，如果所述SP处于所述电信域中，则SP接受用于服务访问的所述认证，而如果SP处于外部，则SP请求所述集成代理IAP发起根据所述FSSO架构的认证。
2. 如权利要求l所述的方法，其特征在于，发起引导的步骤包括 代理IAP请求用户设备UE进行所述发起。
3. 如权利要求l所述的方法，其特征在于，所述集成代理IAP配 置成在来自UE的消息针对BIAS时透明地转发该消息。
4. 如权利要求2所述的方法，其特征在于，在IAP请求用户设备 UE发起引导的步骤中，UE配置成直接访问BIAS而没有由IAP截取。
5. 如权利要求l所述的方法，其特征在于，对所述FSSO基础设 施的支持在BIAS中来实现，以及根据FSSO架构的所述认证还包括以 下步骤-所述集成代理IAP向BIAS进行请求以1更断言通过临时身4分B_TID所标识的用户UE的认证，所述请求至少包含SP的身份 (SP—ID);-所述基础设施BIAS使用引用B—TID来检索用户身份(IMPI)和 与对IMPI-SP_ID关联的已登记联合假名，并且返回向IAP认证的至少 一个假名的断言，所述IAP将所述断言转发给所述服务提供商SP。
6. 如权利要求l所述的方法，其特征在于，所述服务请求包括有 效引用B—TID，由此代理IAP直接执行认证的步骤。
7. 如权利要求l所述的方法，其特征在于，确定的步骤依赖于从
8. 如权利要求5所述的方法，其特征在于，BIAS响应在检索联 合假名的步骤中确定对于所述对IMPI-SP—ID不存在联合用户假名而 创建假名以供登记。
9. 如权利要求l所述的方法，其特征在于，所述联合单点登入根 据自由ID-FF标准来4丸行。
10. 如权利要求1所述的方法，其特征在于，所述联合单点登入 根据OASIS SAML标准来执行。
11. 如权利要求l所述的方法，其特征在于，所述AA/BA架构根 据所述GBA/GAA标准来实现。
12. 如权利要求5所述的方法，其特征在于，所述请求包括用户 MSISDN或用户IP地址或用户URL。
13. 如权利要求5所述的方法，其特征在于，所述基础i殳施BIAS 集成功能IdP、 BSF、 AAA和HSS。
14. 如权利要求13所述的方法，其特征在于，请求包括先前由所 述功能IdP所设置的cookie。
15. 如权利要求13所述的方法，其特征在于，联合用户假名的所 述检索包括所述功能BSF在扩展通用用户安全设定GUSS记录中接收 来自所迷功能HSS的联合假名，以及至少一个假名的所述断言由所述 功能BSF来执行。
16. 如权利要求2所述的方法，其中，所述域支持IMS基础设施， 以及所述集成代理IAP还具有IMS P-CSCF功能性，并且BIAS实现 S-CSCF功能性，其特征在于，引导的所述发起包括UE将IMSSIP登 记指引到BIAS的S-CSCF功能性，所述登记由代理IAP的P-CSCF功能性截取。
17. 如权利要求16所述的方法，其特征在于，在BIAS处密钥Ks 的所述生成在其中所实现的所述S-CSCF功能性处进行。
18. —种在提供对联合单点登入基础设施(FSSO)和认证及引导基 础设施(AA/BA)的支持的电信域中用于认证对服务提供商(SP)的访问 的集成代理(IAP)，其特征在于-用于实现AA/BA认证和代理功能性的部件；-用于实现对联合单点登入基础设施FSSO支持的部件，-用于在所述电信域中进行通信的部件；-用于确定用户访问类型以及用于将所述代理IAP设置在AA/BA 或FSSO操作状态的部件。
19. 如权利要求18所述的集成代理，其特征在于，所述联合单点 登入基础设施是自由联盟框架ID-FF,以及代理IAP是自由使能代理 (LEP)。
20. 如权利要求18所述的集成代理，其特征在于，所述联合单点 登入基础设施是OASIS SAML基础设施，以及代理IAP是SAML扩展 代理。
21. —种在具有对联合单点登入基础设施(FSSO)和认证及引导基 础设施(AA/BA)的支持的电信网络中实现的引导、身份、认证和会话 管理基础设施(BIAS)，所述基础设施BIAS设置成提供对进行访问服务 提供商(SP)的用户(UE)的认证的支持，包括-用于存储用户凭证以及包括所述FSSO基础设施中的联合用户 假名的列表的通用用户安全设定(GUSS)的部件；-用于生成认证信息以及用于向网络节点提供认证信息以便认证用户UE的部件；-用于在所述基础设施AA/BA中生成密钥Ks以及对所述密钥的 引用B一TID的部件，其中B一TID表示用户UE的身份；-用于在认证请求消息中接收引用B_TTD以及用于生成与由引用 B TID所标识的用户关联的断言用户々i名的部件。
全文摘要
公开一种方法，它提供联合单点登入的基础设施(如自由ID-FF框架)和通用引导架构(如3GPP GAA/GBA架构)的有效集成。集成代理服务器(IAP)插入在用户与服务提供商(SP)之间的路径中。代理服务器区分访问类型，并且确定对应操作状态，以便充当自由使能服务器或者GAA/GBA网络应用功能。引导、身份、认证和会话管理布置(BIAS)影响3GPP GAA/GBA基础设施，以便提供用于同时处理自由联合SSO和3GPP GAA/GBA引导过程的集成系统。方法和布置提供改进的基础设施元件的使用和认证服务访问的性能。
文档编号H04W80/12GK101569217SQ200680056805
公开日2009年10月28日 申请日期2006年12月28日 优先权日2006年12月28日
发明者D·卡斯特拉诺斯-扎莫拉, L·巴里加 申请人:艾利森电话股份有限公司