专利名称:统一安全认证的方法和系统的制作方法
技术领域:
本发明涉及移动通讯领域和互联网领域,涉及一种统一安全认证的方法和系统。
背景技术:
各种各样的认证帐号以及各种各样的身份信息,如论坛注册信息,让人们很容易 就忘记和丢失已注册的帐号或者注册的身份信息。为了解决这样的问题,现在很多统一认 证登录(或者叫单点认证和登录)技术在各政府,企业和学校等机构广泛使用。统一认证和登录技术是指用户只需要记住一对帐号和密码,只要登录一次,便可 以直接访问各种各样的应用服务。统一登录技术的好处如下减少了用户依次对各个应用进行登录的操作时间,从而降低了人工操作的失误 率;减少了用户需要记忆的帐号和密码对,从而提高了系统的安全性;对多个应用统一身份管理,方便了系统管理员对用户身份的管理操作,提高了系 统的反馈性能。统一认证和登录技术在目前来看具有很大的优越性。但对于某些需要二次认证的 敏感业务来说,仍然存在需要终端参与的认证过程,从而无法从根本上实现统一认证,另外 其安全性也无法得到很好的保证。
发明内容
本发明要解决的技术问题是提供一种统一安全认证的方法和系统,以保证二次认 证的安全性。为解决以上技术问题,本发明提供一种统一安全认证的方法,该方法包括A、认证中心(AC)对应用服务器(ASQ进行认证后建立与所述ASS之间的安全通 道;B、所述AC对终端进行认证后,所述终端访问所述ASS ;C、需要对所述终端二次认证时,所述ASS向所述AC获取所述终端的身份信息,并 根据所述AC通过所述安全通道返回的所述终端的身份信息进行二次认证。进一步地,步骤A中所述AC与所述ASS建立安全通道的流程包括Al、所述AC向所述ASS发起安全通道协商请求,其中携带安全通道类型;A2、所述ASS向所述AC发送安全通道协商响应,其中携带加密认证参数;A3、所述AC收到所述ASS的响应消息后,向所述ASS返回确认消息。进一步地,所述身份信息中心(IIC)预置各应用服务器及终端的类型信息,所述 AC对所述ASS或终端进行认证后,向所述IIC查询认证对象的类型,若IIC回复所述认证对 象是应用服务器,再建立所述安全通道。进一步地,所述IIC存储各ASS的权限级别信息,且各终端的身份信息以分级的方 式进行存储;步骤C中,所述ASS获取的身份信息是与所述ASS的权限级别相应级别的所述终端的身份信息。进一步地,所述终端的身份信息包括注册信息和业务信息,是所述终端在所述ASS 注册或订购业务后由所述ASS经所述AC发送到所述IIC的。进一步地,所述方法基于用户身份标识和位置分离网络实现,所述ASS及所述终 端均具有全网唯一的接入身份标识(AID),步骤C具体包括所述终端向所述ASS申请需要二次认证的业务时,所述ASS向所述AC发送终端身 份信息查询请求,其中携带所述ASS的AID及所述终端的AID ;所述AC向所述IIC转发所述查询请求,所述IIC根据所述ASS的AID查询所述 ASS的权限级别以及根据所述终端的AID查询所述终端的身份信息,向所述AC发送查询响 应,其中携带所述ASS的权限级别对应的所述终端的相应的身份信息;所述AC通过所述安全通道将所述查询响应转发给所述ASS ;所述ASS根据所述AC返回的所述终端的身份信息进行二次认证。为解决以上技术问题,本发明还提供一种统一安全认证的系统,该系统包括通过 网络连接的应用服务器(ASS)、认证中心(AC)及身份信息中心(IIC),其中,所述ASS包括相连接的接入认证模块、安全通道协商模块及二次认证模块,其中, 所述接入认证模块用于与所述AC交互完成接入认证;所述安全通道协商模块用于与所述 AC协商建立安全通道;所述二次认证模块,用于向所述AC请求获取需二次认证的终端的身 份信息,以及根据获取的所述终端的身份信息进行二次认证;所述AC包括相连接的认证模块、安全通道协商模块及终端身份信息转发模块,其 中,所述认证模块用于对所述终端及应用服务器进行认证;所述安全通道协商模块用于与 所述ASS协商建立安全通道;所述终端身份信息转发模块,用于根据所述ASS的请求将从所 述IIC获取所述终端的身份信息通过所述安全通道转发给所述ASS ;所述IIC,用于保存终端的身份信息以及向所述AC提供所述身份信息。进一步地,所述IIC还用于保存所述ASS及终端的类型信息;所述AC还包括与所 述认证模块和安全通道协商模块连接的认证对象识别模块,用于根据接入认证对象的标识 信息从所述IIC获取所述认证对象的类型,当认证对象的类型是ASS时,还用于通知所述安 全通道协商模块发起安全通道协商流程。进一步地,所述终端的身份信息以分级的方式存储;所述IIC还保存所述ASS的权 限级别信息;所述ASS获取的所述终端的身份信息是与所述ASS的权限级别相应级别的所 述终端的身份信息。进一步地,所述系统基于用户身份标识和位置分离网络实现,所述ASS及所述终 端均具有全网唯一的接入身份标识(AID),所述ASS的二次认证模块向所述AC请求获取需 二次认证的终端的身份信息时,向所述AC发送终端身份信息查询请求,其中携带所述ASS 的AID及所述终端的AID ;所述AC的终端身份信息转发模块向所述IIC转发所述查询请求,所述IIC向所述 AC提供所述身份信息时,先根据所述ASS的AID查询所述ASS的权限级别以及根据所述终 端的AID查询所述终端的身份信息,再向所述AC发送查询响应,其中携带所述ASS的权限 级别对应的所述终端的相应的身份信息。本发明统一安全认证的方法和系统通过在ASS和AC之间建立安全通道,AC通过该安全通道向ASS发送终端相关身份信息,以便ASS对终端访问的敏感业务进行二次认证,从 而在的统一认证的基础上,保证终端身份信息不会在认证过程中被截获,提高了终端业务 的安全性。另外对用户身份信息以及ASS的身份信息读取权限进行分级,从而保证ASS不 会获取到超出权限的身份信息。相对于以前IP网络的统一认证技术,采用身份标识和位置 分离架构网络实现本发明方法和系统,可以利用利用用户AID的全网唯一性,实现承载和 业务进行统一安全认证,不再局限与小范围应用层的单点认证和登陆。
图1是本发明统一安全认证的方法示意图。图2是实现本发明统一安全认证的SILSN的系统架构图。图3是本发明终端身份信息分级存储的示意图。图4是本发明认证中心对应用服务器进行认证的认证流程示意图。图5是本发明终端访问敏感业务的二次认证流程示意图。图6是本发明统一安全认证的系统示意图。
具体实施例方式本发明统一安全认证的主要思想是在认证中心(Authentication Center, AC)和 应用服务器(Application Server System, ASS)之间建立安全通道,认证中心通过该安全 通道向应用服务器发送终端相关身份信息,以便应用服务器对终端访问的敏感业务进行二 次认证,从而在实现统一认证的基础上,保证终端业务的安全性。如图1所示,本发明统一安全认证的方法包括步骤101 认证中心(AC)对应用服务器(ASQ进行认证后建立与所述ASS之间的 安全通道;步骤102 所述AC对终端进行认证后,所述终端访问所述ASS ;所述身份信息中心(IIC)预置各应用服务器及终端的类型信息,AC对ASS或终端 进行认证后,向所述IIC查询认证对象的类型,若IIC回复所述认证对象是应用服务器,再 建立所述安全通道。本发明方法和系统适用于现有通信网络。在现有通信网络中,AC根据ASS或终端 的标识信息(如用户名)向Iic查询确认该认证对象的类型(ASS或普通终端),如果ASS, AC再与ASS协商建立安全通道。建立安全通道时,AC和ASS协商的内容包括安全通道类型,加密和认证参数等等。步骤103 需要对所述终端二次认证时,所述ASS向所述AC获取所述终端的身份 信息,并根据所述AC通过所述安全通道返回的所述终端的身份信息进行二次认证。所述IIC存储各ASS的权限级别信息,且各终端的身份信息以分级的方式进行存 储;步骤C中,所述ASS获取的身份信息是与所述ASS的权限级别相应级别的所述终端的身 份fe息。举例来说,终端身份信息可以分三个级别存储,分别是机密信息,秘密信息和公开 信息。终端身份信息的查询必须根据查询者的读取权限进行。进一步说明,监管机构,即公 安等国家机构,可以查询终端信息表中所有级别的信息,而其它一些查询者,如应用服务器等可以根据自身查询级别查询用户的其它级别身份信息。所述终端的身份信息包括注册信息和业务信息,是所述终端在所述ASS注册或订 购业务后由所述ASS经所述AC发送到所述IIC的。建立安全通道并通过安全通道来传输用于二次认证的身份信息,虽然在实现统一 认证的基础上进一步保证了业务认证的安全性,但仍存在以下缺点(1)由于该技术需要应用层软件支持,只能在小范围内部署,如企业内部资源统一 认证和登录,政府政务系统统一认证和登录等等,但无法做到跨企业,跨机构的统一认证和登录。(2)由于IP地址存在身份和位置的二义性,也就是说IP地址无法确定一个用户的 身份,使得该技术无法做到承载(网络层)和业务(应用层)统一登录认证。为了实现承载业务统一安全认证,本发明还提供了一种基于用户身份标识和位置 分离架构的网络实现方法和系统,为描述方便,下文将此用户身份标识和位置分离网络简 称为 SILSN (Subscriber Identifier & Locator Separation Network)。以下结合图 2 对 SILSN进行说明。图2所示网络有如下特征此网络内每个用户只有经过严格认证才能接入,用户 在发送每个数据包时,都同时携带自己的真实接入身份标识AID,此符号仅分配给该用户使 用且全网唯一,用户在各种业务中所发送的数据包都一直携带此标识符,用户发送的每个 数据包都必须经过接入服务器ASN验证,保证用户发出的数据包携带的是自己的接入身份 标识,不会假冒其他用户AID接入网络,并且此标识符在网内传送时将一直保持不变,当用 户在移动或切换时,此标识符也不会发生变化。如图2所示的身份标识和位置分离架构网络由接入服务器ASN(Access Service Node)和用户终端UE(User Equipment)、身份标识和位置登记寄存器ILR(Identification & Location Register)、身份信息中心 IIC (Identification Information Center)禾口认证
(Authentication Center, AC) · @。胃巾UE 存在唯一的接入身份标识(Access Identification, AID);接入服务器ASN用来接入用户终端设备UE,负责为用户终端实现接入,并承担计 费、切换等功能;ILR承担用户的位置注册和身份识别功能;AC用于对终端和应用服务器进行严格认证,同时对应用服务器的权限进行人为定 义;同时认证中心与应用服务器之间需要建立安全通道,防止在传输过程中,身份信息被攻 击者截获。另外,需要确认其对其它终端身份的读取的权限界别;IIC用于保存提前录入的终端和ASS的身份信息,ASS的身份信息包括其权限级 别,终端的身份信息在IIC中分级存储,用以应对不同权限级别的ASS的查询;终端信息表 根据终端的AID进行检索。IIC也可以分机密信息,秘密信息和公开信息三个级别来存储终端身份信息,如图 3所示。比如机密信息由网络管理者事先人工录入,秘密信息通常是用户订购的SID等通 常是付费之类的用户信息,由ASS发送到AC并送IIC保存。而公开信息通常是用户的一些 兴趣爱好之类,也是用户注册填写,由ASS发送到AC并送IIC保存。秘密信息和公开信息 由ASS发送,并分别做不同的标记,便于AC和IIC识别。具体实现中可以根据实际情况添加或者减少级别。IIC和AC可以分开设置也可以合并设置,其对本发明的实现没有影响。ASS(Application Server System)是位于SILSN网络的应用服务器(如网页服 务、邮件服务和银行服务等等),UE是ASS的用户。终端在ASS注册成功或业务(如视频, 技术资料等付费业务)订购成功后,ASS会将该用户的身份信息以及订购信息经认证中心 发送到IIC存储。终端成功接入网络,经过认证中心的严格认证之后,如果访问ASS的业务,ASS只 需要查询本地数据库看该终端是否订购该业务。如果该业务属于敏感业务,则ASS将会通 过AC向IIC查询该终端的身份信息,身份信息中心IIC根据应用服务器的ASS身份信息权 限级别将相应级别的身份信息发送给ASS,ASS据此进一步步确认该终端的真实身份,实现 二次认证。用户接入网络时通过AC进行承载和业务统一严格认证,无需再进行业务认证。这 里所说的严格认证也可称为接入认证,是指SILSN网络的AC对用户身份的认证,保证其 合法才能允许该用户接入网络。典型的有,在移动网络中,UE的AID与SIM卡绑定,SIM 卡中预存有密钥K。而在AC同样存有该UE的AID与密钥K。UE在接入时,只需要采用 AKA(Authentication and Key Agreement)机制进行接入认证,可以有效的防止SIM卡被复 制。当然也可以采用其他认证方式,如共享密钥认证等等。下面根据附图介绍各实施例。需要说明的是,本发明内容可以用以下实施例解释, 但不限于以下的实施例。下面给出具体说明。图4所示为认证中心AC对ASS的认证流程。在该实施例中,AC对ASS进行接入 认证和身份识别。识别出其身份为ASS,则与ASS之间建立安全通道。具体包括以下步骤S400 认证中心携带ASS的AID,向身份信息中心IIC发送AID类型查询报文;在ASS通过接入认证(承载层认证)之后,认证中心读取ASS的AID。S410 :IIC根据AID查询到其类型,返回查询响应报文,说明该AID属于ASS ;S420, AC向ASS发起安全通道协商请求,携带安全通道类型;AID类型分为服务器和普通终端两种,AC接收到响应报文,得知该AID的类型是 ASS,则向ASS发起安全通道协商流程。协商的内容包括安全通道类型,加密和认证参数等寸。S430 =ASS响应安全通道协商请求消息;如果ASS不支持该安全通道类型,则返回表示不支持的消息;如果支持该安全通 道类型,ASS则返回响应消息,同时携带加密认证等参数。S440, AC收到ASS的响应消息,向ASS返回确认消息。安全通道协商流程结束,AC和ASS之间建立安全通道。本发明不限定义安全通道的类型,如IPkc IP Security, TLS Transport Layer Security均适用。图5所示为终端访问敏感业务时,ASS对终端进行的加强认证流程。由于终端AID的唯一性,承载与业务统一认证,使得一旦终端在已通过承载认证 的情况下遭到盗用,用户的业务将无防范措施。对于用户的一些重要业务,需进行加强保 护。当用户访问ASS上的敏感业务,如用户通过网络访问银行业务,进行转账等敏感操作,ASS需要对用户进行进一步的认证。UE通过AC的统一认证之后,除需要二次认证的敏感业务外,其他在AC认证过的 ASS上的业务(如E-MAIL、BBS)都可以直接访问。如图5所示,UE已通过承载接入认证,ASS也已经通过接入认证,且与AC已建立安 全通道。UE与AC完成认证后,AC也要向IIC查询UE的AID的类型,因查询其类型为普通 终端,故不需要建立安全通道。二次认证的流程包括S500 =UE向ASS发送业务请求;UE向ASS申请敏感业务,如,UE要求进行银行转账操作。UE填写一些私人身份信 息,如用户银行卡密码。S510 =ASS收到该业务请求,向AC发送UE身份信息查询请求,其中携带UE的AID 以及该ASS的AID ;ASS判断UE申请敏感业务,则向AC查询该UE部分身份信息,用以与用户提交的个 人信息进行比较认证。S520 =AC向IIC转发查询信息;S530 =IIC接收到AC转发的身份查询消息,识别ASS的身份,并根据ASS的AID查 得该ASS的权限级别,IIC根据查询消息中携带的UE的AID查得UE的身份信息,并根据ASS 的查询权限,将ASS可以读取的UE身份信息发送到AC ;S540 =AC通过建立的安全通道将IIC的响应消息转发给ASS ;S550 =ASS接收到IIC的响应消息,读取UE身份信息,与UE提交的个人身份信息 进行比较,如果身份信息一致,则向UE发送操作成功的消息;如果不一致,则向UE发送拒绝 消息。业务操作流程结束。为实现以上方法,本发明还提供一种统一安全认证的系统,如图6所示,该系统包 括通过网络连接的应用服务器(ASS)、认证中心(AC)及身份信息中心(IIC),其中,ASS包括相连接的接入认证模块、安全通道协商模块及二次认证模块,其中,所述 接入认证模块用于与所述AC交互完成接入认证;所述安全通道协商模块用于与所述AC协 商建立安全通道;所述二次认证模块,用于向所述AC请求获取需二次认证的终端的身份信 息,以及根据获取的所述终端的身份信息进行二次认证;AC包括相连接的认证模块、安全通道协商模块、终端身份信息转发模块及认证对 象识别模块,其中所述认证模块用于对所述终端及应用服务器进行认证;所述安全通道协商模块用 于与所述ASS协商建立安全通道;所述终端身份信息转发模块,用于根据所述ASS的请求将 从所述IIC获取所述终端的身份信息通过所述安全通道转发给所述ASS ;认证对象识别模块,用于根据接入认证对象的标识信息从所述IIC获取所述认证 对象的类型,当认证对象的类型是ASS时,还用于通知所述安全通道协商模块发起安全通 道协商流程。所述IIC,用于保存终端的身份信息以及向所述AC提供所述身份信息,且终端的身份信息以分级的方式存储。所述IIC还用于保存所述ASS及终端的类型信息,以及所述ASS的权限级别信息;所述IIC还保存所述ASS获取的所述终端的身份信息是与所述ASS的权限级别相 应级别的所述终端的身份信息。为了实现承载和业务的统一安全认证,所述系统可基于用户身份标识和位置分离 网络实现,所述ASS及所述终端均具有全网唯一的接入身份标识(AID),所述ASS的二次认 证模块向所述AC请求获取需二次认证的终端的身份信息时,向所述AC发送终端身份信息 查询请求,其中携带所述ASS的AID及所述终端的AID ;所述AC的终端身份信息转发模块向所述IIC转发所述查询请求,所述IIC向所述 AC提供所述身份信息时,先根据所述ASS的AID查询所述ASS的权限级别以及根据所述终 端的AID查询所述终端的身份信息,再向所述AC发送查询响应,其中携带所述ASS的权限 级别对应的所述终端的相应的身份信息。本发明所说的ASS包括邮箱、BBS、网络银行等各种业务的应用服务器,但适用于 进行图4的二次认证的ASS特指涉及敏感业务对的网络银行或商务交易网站的应用服务器。本发明统一安全认证的方法和系统通过在ASS和AC之间建立安全通道,AC通过该 安全通道向ASS发送终端相关身份信息,以便ASS对终端访问的敏感业务进行二次认证,从 而在的统一认证的基础上,保证终端身份信息不会在认证过程中被截获,提高了终端业务 的安全性。另外对用户身份信息以及ASS的身份信息读取权限进行分级,从而保证ASS不 会获取到超出权限的身份信息。相对于以前IP网络的统一认证技术,采用身份标识和位置 分离架构网络实现本发明方法和系统,可以利用利用用户AID的全网唯一性,实现承载和 业务进行统一安全认证,不再局限与小范围应用层的单点认证和登陆。
权利要求
1.一种统一安全认证的方法,其特征在于,该方法包括A、认证中心(AC)对应用服务器(ASQ进行认证后建立与所述ASS之间的安全通道;B、所述AC对终端进行认证后,所述终端访问所述ASS;C、需要对所述终端二次认证时,所述ASS向所述AC获取所述终端的身份信息,并根据 所述AC通过所述安全通道返回的所述终端的身份信息进行二次认证。
2.如权利要求1所述的方法,其特征在于,步骤A中所述AC与所述ASS建立安全通道 的流程包括Al、所述AC向所述ASS发起安全通道协商请求,其中携带安全通道类型; A2、所述ASS向所述AC发送安全通道协商响应,其中携带加密认证参数; A3、所述AC收到所述ASS的响应消息后,向所述ASS返回确认消息。
3.如权利要求1所述的方法,其特征在于所述身份信息中心(IIC)预置各应用服务 器及终端的类型信息,所述AC对所述ASS或终端进行认证后,向所述IIC查询认证对象的 类型,若IIC回复所述认证对象是应用服务器,再建立所述安全通道。
4.如权利要求1所述的方法,其特征在于所述IIC存储各ASS的权限级别信息,且各 终端的身份信息以分级的方式进行存储;步骤C中,所述ASS获取的身份信息是与所述ASS 的权限级别相应级别的所述终端的身份信息。
5.如权利要1求所述的方法,其特征在于所述终端的身份信息包括注册信息和业务 信息,是所述终端在所述ASS注册或订购业务后由所述ASS经所述AC发送到所述IIC的。
6.如权利要求1所述的方法,其特征在于所述方法基于用户身份标识和位置分离网 络实现,所述ASS及所述终端均具有全网唯一的接入身份标识(AID),步骤C具体包括所述终端向所述ASS申请需要二次认证的业务时,所述ASS向所述AC发送终端身份信 息查询请求,其中携带所述ASS的AID及所述终端的AID ;所述AC向所述IIC转发所述查询请求,所述IIC根据所述ASS的AID查询所述ASS的 权限级别以及根据所述终端的AID查询所述终端的身份信息,向所述AC发送查询响应,其 中携带所述ASS的权限级别对应的所述终端的相应的身份信息; 所述AC通过所述安全通道将所述查询响应转发给所述ASS ; 所述ASS根据所述AC返回的所述终端的身份信息进行二次认证。
7.一种统一安全认证的系统,其特征在于,该系统包括通过网络连接的应用服务器 (ASS)、认证中心(AC)及身份信息中心(IIC),其中所述ASS包括相连接的接入认证模块、安全通道协商模块及二次认证模块,其中,所述 接入认证模块用于与所述AC交互完成接入认证;所述安全通道协商模块用于与所述AC协 商建立安全通道;所述二次认证模块,用于向所述AC请求获取需二次认证的终端的身份信 息,以及根据获取的所述终端的身份信息进行二次认证;所述AC包括相连接的认证模块、安全通道协商模块及终端身份信息转发模块,其中, 所述认证模块用于对所述终端及应用服务器进行认证;所述安全通道协商模块用于与所述 ASS协商建立安全通道;所述终端身份信息转发模块,用于根据所述ASS的请求将从所述 IIC获取所述终端的身份信息通过所述安全通道转发给所述ASS ;所述IIC,用于保存终端的身份信息以及向所述AC提供所述身份信息。
8.如权利要求7所述的系统,其特征在于所述IIC还用于保存所述ASS及终端的类型信息;所述AC还包括与所述认证模块和安全通道协商模块连接的认证对象识别模块,用 于根据接入认证对象的标识信息从所述IIC获取所述认证对象的类型,当认证对象的类型 是ASS时,还用于通知所述安全通道协商模块发起安全通道协商流程。
9.如权利要求7所述的系统,其特征在于所述终端的身份信息以分级的方式存储;所 述IIC还保存所述ASS的权限级别信息;所述ASS获取的所述终端的身份信息是与所述ASS 的权限级别相应级别的所述终端的身份信息。
10.如权利要求7所述的系统,其特征在于所述系统基于用户身份标识和位置分离网 络实现,所述ASS及所述终端均具有全网唯一的接入身份标识(AID),所述ASS的二次认证 模块向所述AC请求获取需二次认证的终端的身份信息时,向所述AC发送终端身份信息查 询请求,其中携带所述ASS的AID及所述终端的AID ;所述AC的终端身份信息转发模块向所述IIC转发所述查询请求,所述IIC向所述AC 提供所述身份信息时,先根据所述ASS的AID查询所述ASS的权限级别以及根据所述终端 的AID查询所述终端的身份信息,再向所述AC发送查询响应,其中携带所述ASS的权限级 别对应的所述终端的相应的身份信息。
全文摘要
本发明统一安全认证的方法包括A、认证中心(AC)对应用服务器(ASS)进行认证后建立与所述ASS之间的安全通道;B、所述AC对终端进行认证后,所述终端访问所述ASS;C、需要对所述终端二次认证时,所述ASS向所述AC获取所述终端的身份信息,并根据所述AC通过所述安全通道返回的所述终端的身份信息进行二次认证。本发明统一安全认证的方法和系统可以保证二次认证的安全性。
文档编号H04W28/18GK102083066SQ20091024672
公开日2011年6月1日 申请日期2009年11月26日 优先权日2009年11月26日
发明者张世伟, 符涛, 颜正清 申请人:中兴通讯股份有限公司