专利名称:一种WAPI终端访问Web应用站点的系统及方法
技术领域:
本发明涉及WAPI(WLAN Authentication and Privacy Infrastructure,无线局域 网认证与保密基础结构)技术,具体涉及一种WAPI终端访问Web应用站点的系统及方法。
背景技术:
为了解决无线局域网国际标准IS0/IEC 8802-11中定义的WEP(WiredEquivalent Privacy)安全机制存在的安全漏洞,我国颁布了无线局域网国家标准及其第一号修改单, 采用无线局域网认证与保密基础结构WAPI替代WEP,解决无线局域网的安全问题。WAPI由 无线局域网鉴别基础结构(WAIWLAN Authentication Infrastructure)和无线局域网保密 基础结构(WPIWLAN Privacy Infrastructure)组成。WAI采用了公开密钥加密技术,用于 WAPI终端与接入点之间的互相身份鉴别;WPI采用国家密码管理委员会办公室批准的用于 WLAN的对称密码算法实现数据保护,对MAC (MediaAccess Control ,媒体访问控制)子层的 MAC服务数据模块(MSDU, MACService Data Unit)进行加、解密处理。规范中介绍的基础 结构包括了几个功能实体,接入点(AP,access point)是指任何一个具备站点功能,通过无 线媒体为关联的站点提供访问分布式服务的实体;鉴别请求者实体(ASUE,authentication su卯licant entity)是在接入服务之前请求进行鉴别操作的实体;鉴别器实体(AE, authenticator entity)为鉴别请求者在接入服务之前提供鉴别操作的实体。该实体主流 在接入点或WAPI终端内;鉴别服务模块(ASU,authentication service unit)的基本功能 是实现对用户证书的管理和用户身份的鉴别等,是基于公开密钥密码技术的WAI鉴别基础 结构中重要的组成部分;鉴别服务实体(ASE, authentication service entity)为鉴别器 和鉴别请求者提供身份鉴别服务的实体。该实体驻留在鉴别服务模块中,鉴别服务模块对 应网络中的节点为WAPI鉴别服务器。用户证书为公开密钥证书,它是WAI系统构造中重要 的环节。公开密钥证书是网络用户的数字身份凭证,通过私有密钥验证可以唯一地确定网 络用户的身份。 SAML(Security Assertion Markup Language,安全断言标记语言)基于 XML (Extensible Markup Language,可扩展标记语言)实现,是一种控制主体访问资源的安 全机制。SAML封装了安全域(security domain)之间交换的鉴别和授权信息,通常安全域 是指身份提供者(identity provider)和业务提供者(Service provider) 。 SAML假定主 体(principal)至少由一家身份提供者提供身份,并且提供主体的身份鉴别服务,而具体 使用何种鉴别服务,SAML规范并未提及。SAML以提供多个关于主体的断言的形式来表述安 全性,由接受请求的应用提供者决定,如果它信任断言,则接受主题的请求或数据。SAML要 求在传输断言和消息时使用安全套接字层(SSL,SecureSocket Layer)加密,以防止断言被 拦截。此外,SAML还提供了数字签名机制,使得断言具有有效时间范围,防止断言被重播。
随着WAPI的部署和实施,越来越多的移动WAPI终端支持无线局域网接入,同时也 将会支持越来越多的互联网业务功能。通过WAPI终端访问互联网上Web应用站点将越来越 普遍,众多Web应用站点网站通常会有自己的登录机制,比如要求用户提供用户名密码以辨明身份,移动WAPI终端在接入网络时已经完成了身份鉴别过程,如果Web应用站点可以 参考接入过程的鉴别结果,可以简化WAPI终端用户在访问Web应用站点时的操作,也使得 部署WAPI的运营商可以充分利用接入设备资源和用户资源,向移动互联网业务提供统一、 安全、便捷的用户鉴别服务。
发明内容
本发明要解决的技术问题是提供一种WAPI终端访问Web应用站点的系统及方法, 简化了现有SAML中Web应用站点的单点登录过程。 为了解决上述问题,本发明提供了一种WAPI终端访问Web应用站点的方法,包括 当WAPI终端访问Web应用站点上受保护的内容时,所述Web应用站点向WAPI终端发送安 全断言请求,所述WAPI终端将所述安全断言请求发送至WAPI鉴别服务器,所述WAPI鉴别 服务器收到安全断言请求后返回安全断言响应,所述WAPI终端将接收的安全断言响应发 送至Web应用站点站,所述Web应用站点站根据安全断言响应向WAPI终端返回授权响应。
进一步地,所述Web应用站点是在向WAPI终端返回重定向消息时携带安全断言请 求,并在所述重定向消息中指定WAPI鉴别服务器的统一资源定位符(URL)以及在所述安全 断言请求中携带WAPI终端标识。 进一步地,所述WAPI终端向WAPI鉴别服务器发送HTTP GET消息时将所述安全断 言请求经过BASE64编码后以URL参数的方式发送至WAPI鉴别服务器。
进一步地,所述WAPI鉴别服务器收到安全断言请求后根据所述WAPI终端标识查 找本地记录的鉴别状态记录,若记录所述WAPI终端已完成鉴别则生成安全断言响应,其中 包含对WAPI终端的鉴别结果及对安全断言响应的数字签名。 进一步地,若所述WAPI鉴别服务器收到安全断言请求通过查找本地记录的鉴别 状态记录发现未对所述WAPI终端进行鉴别,则向接入网络鉴别授权计费服务器发送鉴别 查询请求,其中携带WAPI终端标识,若所述接入网络鉴别授权计费服务器记录显示已完成 对所述WAPI终端的鉴别,则向WAPI鉴别服务器返回鉴别查询响应时携带鉴别结果,所述 WAPI鉴别服务器收到鉴别查询响应后生成安全断言响应,其中包含对WAPI终端的鉴别结 果及对安全断言响应的数字签名。 进一步地,所述Web应用站点收到安全断言响应后对所述数字签名进行验证,验 证通过后根据所述鉴别结果及本地生成的规则判定所述WAPI终端是否有权限访问所述受 保护的内容,并向所述WAPI终端返回授权响应时携带判定结果。 本发明还提供一种WAPI终端访问Web应用站点的系统,包括WAPI终端、Web应用 站点及WAPI鉴别服务器; 所述Web应用站点,用于当WAPI终端访问受保护的内容时向所述WAPI终端发送 安全断言请求;以及收到安全断言响应后向所述WAPI终端返回授权响应;
所述WAPI终端,用于将所述安全断言请求发送至WAPI鉴别服务器,以及将接收的 安全断言响应发送至所述Web应用站点; 所述WAPI鉴别服务器,用于收到所述安全断言请求后向所述WAPI终端返回安全 断言响应。 进一步地,所述Web应用站点包括控制模块及发送模块;
所述控制模块,用于判断WAPI终端访问的内容是否为受保护的内容,判定是则通 知发送模块发送安全断言请求; 所述发送模块,用于收到所述发送安全断言请求的通知后向WAPI终端返回重定 向消息时携带安全断言请求,并在所述重定向消息中指定WAPI鉴别服务器的统一资源定 位符(URL)以及在所述安全断言请求中携带终端标识。 进一步地,所述WAPI终端还用于向WAPI鉴别服务器发送HTTP GET消息时将所述 安全断言请求经过BASE64编码,编码后的安全断言请求以URL参数的方式发送至WAPI鉴 别服务器。 进一步地,所述WAPI鉴别服务器包括单点登录服务模块; 所述WAPI鉴别服务器收到安全断言请求后向所述WAPI终端返回安全断言响应是 指,所述单点登录服务模块提取出所述安全断言请求中的WAPI终端标识,根据所述WAPI终 端标识查找本地记录的鉴别状态记录,若记录显示所述WAPI终端已完成鉴别则生成安全 断言响应后返回至所述WAPI终端; 所述安全断言响应中包含对所述WAPI终端的鉴别结果及对安全断言响应的数字 签名。 进一步地,所述系统还包括接入网络鉴别授权计费服务器;
所述WAPI鉴别服务器还包括远端拨入验证服务模块; 所述远端拨入验证服务模块,用于当所述鉴别状态记录中未包含所述WAPI终端 的鉴别记录时向所述接入网络鉴别授权计费服务器发送鉴别查询请求,其中携带WAPI终 端标识; 所述接入网络鉴别授权计费服务器,用于收到所述鉴别查询请求后查找本地记录 的鉴别状态记录,若记录显示所述WAPI终端已完成鉴别则向所述WAPI鉴别服务器返回鉴 别查询响应,其中携带对WAPI终端的鉴别结果; 所述单点登录服务模块还用于收到鉴别查询响应后生成安全断言响应,其中包含 对所述WAPI终端的鉴别结果及对安全断言响应的数字签名。 进一步地,所述Web应用站点包括断言验证模块,用于收到所述安全断言响应后 对所述数字签名进行验证,并于验证通过后根据预设的访问规则及鉴别结果判定所述WAPI 终端是否有权限访问所述受保护的内容,并向所述WAPI终端返回授权响应时携带判定结 果。 综上所述,本发明提供一种WAPI终端访问Web应用站点的系统及方法,此方法使 用安全断言标记语言SAML(Security Assertion MarkupLanguage)的单点登录技术。Web应 用站点服务器利用无线WAPI终端接入鉴别的结果,完成对用户登录的认证。WAPI客户端用 户在完成了无线局域网鉴别基础结构WAI(WLAN Authentication Infrastructure)鉴别, 通过局域网或者局域网数据传输链路上的某种隧道机制接入到应用服务器之后,无需参与 交互即完成登录过程。本发明简化了原有SAML中Web应用站点的单点登录过程,WAPI终端 无需增加额外的功能,Web应用站点可将所有用户的登录认证工作委托给独立鉴别机构完 成,WAPI鉴别服务器通过扩展功能,将可以充当提供Web应用站点访问鉴别服务的独立机 构。另外,WAPI鉴别服务器增加与鉴权授权计费服务器(Authentication, Authorization andAccounting Server)的查询接口 ,使得WAPI终端在采用其他无线局域网鉴别方式接入或CDMA无线数据链路接入时,可以查询到WAPI终端用户的鉴别状态而无需再次发起对用 户的证书鉴别操作。
图1是网络结构示意图;
图2是本发明系统结构示意图; 图3是本发明方法WAPI终端实现Web应用站点单点登录流程图。
具体实施例方式
下面结合图例详细说明本发明的具体实施过程。 本实施例提供一种WAPI终端访问Web应用站点的系统,如图2所示,包括WAPI终 端、Web应用站点、WAPI鉴别服务器及AN-AAA服务器; Web应用站点,用于当WAPI终端访问受保护的内容时向WAPI终端发送安全断言请 求;以及收到安全断言响应后向WAPI终端返回授权响应; WAPI终端,用于将安全断言请求发送至WAPI鉴别服务器,以及将接收的安全断言 响应发送至Web应用站点; WAPI鉴别服务器,用于收到安全断言请求后向WAPI终端返回安全断言响应。
Web应用站点包括控制模块及发送模块; 控制模块,用于判断WAPI终端访问的内容是否为受保护的内容,判定是则通知发 送模块发送安全断言请求; 发送模块,用于收到发送安全断言请求的通知后向WAPI终端返回重定向消息时 携带安全断言请求,并在所述重定向消息中指定WAPI鉴别服务器的统一资源定位符(URL) 以及在所述安全断言请求中携带终端标识。 WAPI终端还用于向WAPI鉴别服务器发送HTTP GET消息时将安全断言请求经过 BASE64编码,编码后的安全断言请求以URL参数的方式发送至WAPI鉴别服务器。
WAPI鉴别服务器包括单点登录服务模块; WAPI鉴别服务器收到安全断言请求后向WAPI终端返回安全断言响应是指,单点 登录服务模块提取出所述安全断言请求中的WAPI终端标识,根据WAPI终端标识查找本 地记录的鉴别状态记录,若记录显示WAPI终端已完成鉴别则生成安全断言响应后返回至 WAPI终端; 安全断言响应中包含对WAPI终端的鉴别结果及对安全断言响应的数字签名。
WAPI鉴别服务器还包括远端拨入验证服务模块(RADIUS, RemoteAuthentication Dial In User Service),用于当鉴别状态记录中未包含所述WAPI终端的鉴别记录时向 AN-AAA服务器发送鉴别查询请求,其中携带WAPI终端标识; AN-AAA服务器,用于收到鉴别查询请求后查找本地记录的鉴别状态记录,若记录 显示WAPI终端已完成鉴别则向WAPI鉴别服务器返回鉴别查询响应,其中携带对WAPI终端 的鉴别结果; 单点登录服务模块还用于收到鉴别查询响应后生成安全断言响应,其中包含对所 述WAPI终端的鉴别结果及对安全断言响应的数字签名。
7
Web应用站点包括断言验证模块,用于收到安全断言响应后对数字签名进行验证, 并于验证通过后根据预设的访问规则及鉴别结果判定WAPI终端是否有权限访问所述受保 护的内容,并向WAPI终端返回授权响应时携带判定结果。 本实施例提供一种WAPI终端访问Web应用站点的方法,如图3所示,包括以下步 骤 步骤301 :WAPI终端上浏览器访问Web应用站点的内容; 步骤302 :当请求获取受保护内容时,触发Web应用站点对WAPI终端用户的登录 认证过程,应用站点向WAPI终端返回重定向消息,消息状态值为表示重定向响应的302或 303。 HTTP重定向消息头部中Location头字段中指定了单点登录服务模块所在的WAPI 鉴别服务器的URL (Uniform Resource Locator,统一资源定位符)该Web应用站点认可的 WAPI鉴别服务器,并在消息中携带了 SAML的安全断言请求,ID字段值标记为移动WAPI终
端用户身份标识;示例如下
〈samlp:AuthnRequestxmlns:samlp =〃 urn:oasis:names:tc:SAML:2. 0:protocol〃
xmlns:saml=〃 urn:oasis:names:tc:SAML:2. O:assertion"
ID =〃 WAPIUserID"
Version =〃 2.0〃 Issuelnstant =〃 2004-12-05T09:21:59Z" AssertionConsumerServicelndex = 〃 1〃 > 〈saml: Issuer>htt。s: 〃s。. example. com/SAML2〈/saml: Issuer> 〈samlp:NameIDPolicy
AllowCreate = 〃 False"Format =〃 urn:oasis:names:tc:SAML:2. O:nameid-format:transient〃 />
〈/samlp:AuthnRequest> 步骤303 :根据HTTP相关协议规定,客户端在接收此重定向消息后,向WAPI鉴别 服务器发送HTTP GET消息时携带安全断言请求,按照SAML规范要求,如上述示例的安全断 言请求经过BASE64编码后以URL参数的方式发送,示例如下 htt。s : 〃id。. wapi—server. com/SAML2/SS0/Redirect SAMLRequest =
requeststr&RelayState = token 编码后的数据替换上述URL中requeSt_Str部分。在WAPI终端与WAPI鉴别服务 器单点登录模块之间的HTTP交互依靠传输层安全(TLS, TransportLayer Security)提供 安全保障。TLS基于WAPI证书创建,因为WAPI证书类型即为TLS所要求的X. 509v3类型的 证书,WAPI终端浏览器需具备创建TLS所需的算法,其具体过程不再详述。
步骤304 :WAPI鉴别服务器中的单点登录服务模块在收到请求后,分离出安全断 言请求,并根据该安全断言请求获取WAPI终端ID,与正常SAML不同的是,此时单点登录服 务模块无需再次和用户交互完成基于WAPI证书的鉴别过程,而是根据WAPI终端标识查找 本地记录的鉴别状态记录,若记录显示该WAPI终端已完成鉴别则执行步骤307,若记录显 示该WAPI终端未完成鉴别则执行步骤305。
8
单点登录服务模块可以作为WAPI鉴别服务器上的一个逻辑功能实体,由安全断 言请求触发的鉴别状态的查询发生于鉴别服务器本地,无需客户端交互,查询效率和准确 性都有保证。安全断言响应通过HTTP GET命令的成功响应带回,并利用规范中提及的客户 端浏览器脚本技术。 步骤305 :如果WAPI终端通过非WAPI鉴别技术接入无线局域网络,如EAP-TLS或 WPA方式进行身份鉴别,在服务器完成鉴别之后,会在接入网络鉴别授权计费(AN-AAA)服 务器中记录其鉴别状态,WAPI鉴别服务器向AN-AAA服务器发送鉴别查询请求,其中携带 WAPI终端标识。 该步骤中,WAPI鉴别服务器如何选择AN-AAA服务器本发明不作限制,如可以是在 WAPI鉴别服务器设置一个或多个AN-AAA服务器的信息,WAPI鉴别服务器可选择向其中任 意一个发送鉴别查询请求,也可以是向最近的某个AN-AAA服务器发送鉴别查询请求。
步骤306 :AN-AAA服务器收到鉴别查询请求,根据其中的WAPI终端标识查找本地 记录的鉴别状态记录判断该WAPI终端是否已通过鉴别,若通过鉴别则执行步骤307,若未 通过鉴别则执行步骤311。 步骤307 :AN-AAA服务器向WAPI鉴别服务器返回鉴别查询响应时携带鉴别结果, 然后执行步骤308。 步骤308 :WAPI鉴别服务器生成SAML的安全断言响应后发送至WAPI终端;
安全断言响应包含了 WAPI鉴别服务器对用户身份鉴别的结果和WAPI鉴别服务器 对此安全断言响应的数字签名。例如, 〈samlp:Response xmlns:samlp =〃 urn:oasis:names:tc:SAML:2. 0:protocol〃 xmlns:saml=〃 urn:oasis:names:tc:SAML:2. O:assertion" ID=〃 WAPIUserID" InResponseTo = 〃 identif ier_l 〃 Version =〃 2.0〃 Issuelnstant = 〃 2004-12-05T09:22:05Z" Destination = " https:〃sp. example. com/SAML2/SS0/P0ST" > 〈saml: Issuer>htt。s: 〃id。. example. org/SAML2〈/saml: Issuer> 〈samlp:Status> 〈samlp:StatusCode Value =〃 urn:oasis:names:tc:SAML:2. 0:status:Success〃 /> 〈/samlp:Status> 〈saml: Assertion xmlns:saml = 〃 urn:oasis:names:tc:SAML:2. 0:
assertion" ID =" WAPI-Server" Version = 〃 2.0〃 Issuelnstant = 〃 2004-12-05T09:22:05Z〃 > 〈saml: Issuer>htt。s: 〃id。. example. org/SAML2〈/saml: Issuer> 〈 ! 一a POSTed assertion MUST be signed__> 〈ds:Signature xmlns:ds=〃 htt。〃www. w3. org/2000/09/xmldsig#" > 〈/ds:Signature) 〈saml:Subject>
〈saml:NameID Format =〃 urn:oasis:names:tc:SAML:2. O:nameid-format:transient〃 > 3f7b3dcf-1674-4ecd-92c8-1544f346baf8 〈/saml:NameID> 〈saml:SubjectConfirmation Method =〃 urn:oasis:names:tc:SAML:2. 0:cm:bearer〃 > 〈saml:SubjectConfirmationData InResponseTo =〃 identifier—I 〃 Recipient =〃 https:〃sp. example. com/SAML2/SS0/ POST" Not0n0rAfter =〃 2004-12-05T09:27:05Z〃 /> 〈/saml:SubjectConfirmation> 〈/saml: Sub ject> 〈saml: Conditions NotBefore =〃 2004_12_05T09:17:05Z〃 NotOnOrAfter = 〃 2004-12-05T09:27:05Z〃 > 〈saml:AudienceRestriction〉 〈saml: Audience>https: 〃sp. example. com/SAML2〈/saml: Audience〉 〈/saml:AudienceRestriction〉 〈/saml: Conditiohs> 〈saml:AuthnStatement Authnlnstant=〃 2004-12-05T09:22:00Z〃 Sessionlndex =〃 identifier_3〃 > 〈saml:AuthnContext> 〈saml:AuthnContextClassRef> urn:oasis:names:tc:SAML:2. 0:ac:classes:Certf icateProtectedTransport 〈/saml:AuthnContextClassRef> 〈/saml:AuthnContext> 〈/saml:AuthnStatement〉 〈/saml:Assertion) 〈/samlp:Response> 步骤309 :WAPI终端将接收的安全断言响应发送至WEB应用站点。 步骤310 :WEB应用站点接收到安全断言响应后进行签名验证,验证通过后根据安
全断言响应中的鉴别结果查找预设规则判定WAPI终端是否有权限访问指定的资源,并通 过2000K消息将访问权限返回给WAPI终端。 设置的规则可以但不限于是所有通过鉴别的WAPI终端均有权限访问某些URL指 向的内容,而某些URL指向的内容仅在某些时间段内允许通过鉴别的WAPI终端访问等;Web 应用站点可根据实际需要灵活设置此访问规则,本发明对Web应用站点具体如何设置访问 规则不作限制。 并解析安全断言响应的具体内容,综合断言响应内容和访问规则,决定如何向访 问者提供服务。
步骤311 :AN-AAA服务器向WAPI鉴别服务器返回鉴别查询响应时告知该WAPI终 端未通过鉴别,然后执行步骤312。 步骤312 :WAPI鉴别服务器向WAPI终端返回GET消息的成功响应消息时携带安全 断言失败的消息; 步骤313 :WAPI终端将安全断言失败的消息发送至Web应用站点。 步骤314 :Web应用站点判定用户单点登录过程失败,可以提示用户利用其它验证
方法重新登录,或直接给出登录失败提示。
权利要求
一种WAPI终端访问Web应用站点的方法,包括当WAPI终端访问Web应用站点上受保护的内容时,所述Web应用站点向WAPI终端发送安全断言请求,所述WAPI终端将所述安全断言请求发送至WAPI鉴别服务器,所述WAPI鉴别服务器收到安全断言请求后返回安全断言响应,所述WAPI终端将接收的安全断言响应发送至Web应用站点站,所述Web应用站点站根据安全断言响应向WAPI终端返回授权响应。
2. 如权利要求1所述的方法,其特征在于所述Web应用站点是在向WAPI终端返回重定向消息时携带安全断言请求,并在所述重 定向消息中指定WAPI鉴别服务器的统一资源定位符(URL)以及在所述安全断言请求中携 带WAPI终端标识。
3. 如权利要求l所述的方法,其特征在于所述WAPI终端向WAPI鉴别服务器发送HTTP GET消息时将所述安全断言请求经过 BASE64编码后以URL参数的方式发送至WAPI鉴别服务器。
4. 如权利要求2所述的方法,其特征在于所述WAPI鉴别服务器收到安全断言请求后根据所述WAPI终端标识查找本地记录的鉴 别状态记录,若记录所述WAPI终端已完成鉴别则生成安全断言响应,其中包含对WAPI终端 的鉴别结果及对安全断言响应的数字签名。
5. 如权利要求2所述的方法,其特征在于若所述WAPI鉴别服务器收到安全断言请求通过查找本地记录的鉴别状态记录发现未 对所述WAPI终端进行鉴别,则向接入网络鉴别授权计费服务器发送鉴别查询请求,其中携 带WAPI终端标识,若所述接入网络鉴别授权计费服务器记录显示已完成对所述WAPI终端 的鉴别,则向WAPI鉴别服务器返回鉴别查询响应时携带鉴别结果,所述WAPI鉴别服务器收 到鉴别查询响应后生成安全断言响应,其中包含对WAPI终端的鉴别结果及对安全断言响 应的数字签名。
6. 如权利要求4或5所述的方法,其特征在于所述Web应用站点收到安全断言响应后对所述数字签名进行验证,验证通过后根据所 述鉴别结果及本地生成的规则判定所述WAPI终端是否有权限访问所述受保护的内容,并 向所述WAPI终端返回授权响应时携带判定结果。
7. —种WAPI终端访问Web应用站点的系统,包括WAPI终端、Web应用站点及WAPI鉴 别服务器;其特征在于所述Web应用站点,用于当WAPI终端访问受保护的内容时向所述WAPI终端发送安全 断言请求;以及收到安全断言响应后向所述WAPI终端返回授权响应;所述WAPI终端,用于将所述安全断言请求发送至WAPI鉴别服务器,以及将接收的安全 断言响应发送至所述Web应用站点;所述WAPI鉴别服务器,用于收到所述安全断言请求后向所述WAPI终端返回安全断言 响应。
8. 如权利要求7所述的系统,其特征在于 所述Web应用站点包括控制模块及发送模块;所述控制模块,用于判断WAPI终端访问的内容是否为受保护的内容,判定是则通知发送模块发送安全断言请求;所述发送模块,用于收到所述发送安全断言请求的通知后向WAPI终端返回重定向消 息时携带安全断言请求,并在所述重定向消息中指定WAPI鉴别服务器的统一资源定位符 (URL)以及在所述安全断言请求中携带终端标识。
9. 如权利要求7所述的系统,其特征在于所述WAPI终端还用于向WAPI鉴别服务器发送HTTP GET消息时将所述安全断言请求 经过BASE64编码,编码后的安全断言请求以URL参数的方式发送至WAPI鉴别服务器。
10. 如权利要求8所述的系统,其特征在于 所述WAPI鉴别服务器包括单点登录服务模块;所述WAPI鉴别服务器收到安全断言请求后向所述WAPI终端返回安全断言响应是指, 所述单点登录服务模块提取出所述安全断言请求中的WAPI终端标识,根据所述WAPI终端 标识查找本地记录的鉴别状态记录,若记录显示所述WAPI终端已完成鉴别则生成安全断 言响应后返回至所述WAPI终端;所述安全断言响应中包含对所述WAPI终端的鉴别结果及对安全断言响应的数字签名。
11. 如权利要求IO所述的系统,其特征在于 所述系统还包括接入网络鉴别授权计费服务器; 所述WAPI鉴别服务器还包括远端拨入验证服务模块;所述远端拨入验证服务模块,用于当所述鉴别状态记录中未包含所述WAPI终端的鉴 别记录时向所述接入网络鉴别授权计费服务器发送鉴别查询请求,其中携带WAPI终端标 识;所述接入网络鉴别授权计费服务器,用于收到所述鉴别查询请求后查找本地记录的鉴 别状态记录,若记录显示所述WAPI终端已完成鉴别则向所述WAPI鉴别服务器返回鉴别查 询响应,其中携带对WAPI终端的鉴别结果;所述单点登录服务模块还用于收到鉴别查询响应后生成安全断言响应,其中包含对所 述WAPI终端的鉴别结果及对安全断言响应的数字签名。
12. 如权利要求10或11所述的系统,其特征在于所述Web应用站点包括断言验证模块,用于收到所述安全断言响应后对所述数字签名 进行验证,并于验证通过后根据预设的访问规则及鉴别结果判定所述WAPI终端是否有权 限访问所述受保护的内容,并向所述WAPI终端返回授权响应时携带判定结果。
全文摘要
本发明提供了一种WAPI终端访问Web应用站点的系统及方法,该方法包括当WAPI终端访问Web应用站点上受保护的内容时,所述Web应用站点向WAPI终端发送安全断言请求,所述WAPI终端将所述安全断言请求发送至WAPI鉴别服务器,所述WAPI鉴别服务器收到安全断言请求后返回安全断言响应,所述WAPI终端将接收的安全断言响应发送至Web应用站点站,所述Web应用站点站根据安全断言响应向WAPI终端返回授权响应。采用本发明的技术方案,简化了现有SAML中Web应用站点的单点登录过程。
文档编号H04L29/08GK101771722SQ20091021532
公开日2010年7月7日 申请日期2009年12月25日 优先权日2009年12月25日
发明者施元庆 申请人:中兴通讯股份有限公司