一种分离终端单点登录组合鉴权方法和系统的制作方法

一种分离终端单点登录组合鉴权方法和系统的制作方法
【专利摘要】本发明公开了一种分离终端单点登录组合鉴权方法和系统，RP将OpenID中的BA重定向到OP，OP生成Session?Id并推送给BA；AA根据获得的Session?Id与OP进行通信，OP指示AA进行SDALS认证，AA与IdPDALS认证后，OP根据获取到的与AA之间的会话密钥K1和AA的认证结果，生成随机数Nonce2发送给AA；AA将Session?Id、获取到的会话密钥K1，以及收到的随机数Nonce2发送给BA；BA根据Session?Id、会话密钥K1，以及随机数Nonce2向OP及RP进行OpenID认证。本发明实现了在未部署GBA且分离终端场景下的单点登录，进而可使用多种多样的WEB业务。
【专利说明】一种分离终端单点登录组合鉴权方法和系统
【技术领域】
[0001]本发明涉及移动通信系统的场景互通领域，尤其涉及一种分离终端单点登录组合鉴权方法和系统。
【背景技术】
[0002]目前，第三代合作伙伴计划(3rd Generation Partnership Project,简称为3GPP)组织中具有如下研究项目:利用会话初始协议摘要(简称为SIP Digest)认证机制实现在非通用集成电路卡(简称为UICCless)环境下的统一 IP多媒体系统(IP MultimediaSubsystem,简称为IMS)终端访问应用服务器(Application Server,简称为AS)的单点登录(SSO, Single Sign On)功能。
[0003]其中，一种在SS0_APS (应用支持子层)中的SSO架构可以实现上述功能。该SSO架构通常由统一 MS终端、用户归属服务器(简称为HSS)、AS和身份鉴权提供者实体(简称为IdP)组成。MS终端与IdP通过SSOb接口连接、MS终端与AS通过SSOa接口连接、IdP与HSS通过SSOh接口连接。IdP用于与MS终端利用SIP Digest认证机制进行交互、验证身份，并且鉴权AS，同时IdP与IMS终端有一个共享密钥Ktl ；HSS中存储描述用户信息的签约文件，同时HSS还兼有产生鉴权信息的功能;AS为MS终端提供网络服务业务。
[0004]在该SSO架构的实现方案中,针对运营商未部署一般引导架构(简称为GBA)、同时IMS终端不具有HCCless的场景下，利用SIP Digest认证机制对MS终端进行鉴权，实现该IMS终端对AS应用服务器的SSO功能。其相关技术概述如下:
[0005]IMS终端向AS发送一个认证请求；AS重定向该认证请求到一个统一鉴权中心，即IdP,该重定向信息流中包含IMS终端和AS的私有身份标识符；IdP依据接收到的AS私有身份标识符对AS进行鉴权，保存对AS的鉴权结果，同时判断是否存在IdP和该MS终端的共享密钥Ktl，若存在，则该MS终端已鉴权过，不需要再次鉴权，直接执行后续步骤；否则，需要利用SIPDigest认证机制对该MS终端进行鉴权，包括:IdP从HSS取得SIP Digest鉴权向量以及基于IP多媒体私有标识(简称为頂PI)的用户终端信息内容；IdP产生一个随机数nonce,并且储存该nonce和从HSS下载的H(Al) ;IdP使用SIP Digest认证机制向IMS终端发送一个401鉴权挑战；MS终端产生一个随机数cnonce和生成H(Al)，进而产生共享密钥Ktl，利用参数计算响应值response ；IMS终端对鉴权挑战向IdP发送一个响应，在IdP中完成对MS终端的鉴权，并产生共享密钥Ktl ；IdP再次产生一个随机数noncel，利用noncel和共享密钥Ktl产生密钥K1, IdP利用共享密钥Ktl对密钥K1和AS的鉴权结果进行加密，利用AS和IdP的共享密钥Ka, i加密密钥K1和对IMS终端的鉴权结果);IdP将上述加密的信息通过頂S终端重定向到AS ；IMS终端解密获得AS的鉴权结果，并产生共享密钥K1 ；信息被重定向到AS ；AS解密信息，获得MS终端的鉴权结果和密钥K1 ;此时MS终端和AS之间拥有共享密钥K1，从而两者后续的通信可以安全的进行。
[0006]另外，OpenID (开放身份联盟)也定义了自身架构和规范，用于实现对Web业务的访问，其架构主要包括三个实体:UE、0penID身份提供实体(OpenID Provider，简称为0P)、服务依赖提供商(简称为RP)。
[0007]该OpenID架构是利用每个终端用户在OP处注册时分发的用户标识符，当UE访问支持OpenID的服务依赖提供商RP时，只需将该用户标识符输入，RP对该用户标识符进行标准化；接着RP利用发现机制，以及用户标识符获得OP的终点统一资源定位符(Uniform/Universal Resource Locator,简称为URL) ;RP和OP之间进行关联，使得OP和RP之间建立共享密钥，该密钥使得OP标记后续的消息，使得RP识别后续的消息，该关联过程是可选的，当OP和RP两者处于不同的移动网络运营商(Mobile Network Operator,简称为MN0)网络时，该过程产生的共享密钥对消息的安全传输是很重要的；RP请求OP对该UE进行认证；0P根据UE的授权信息确立是否其被授权执行OpenID认证和期望被授权使用，OP依据UE的授权信息，完成对OpenID用户的认证过程，并且根据认证结果产生认证断言返回给RP ；RP对该断言进行确认操作，来决定是否为该UE提供服务。
[0008]在TR33.924中，描述了一种GBA和OpenID融合后的分离终端(简称为splitterminal)的场景，所谓分离终端，即网络认证的实体和浏览器不位于同一终端上。在分离终端场景中，传统的UE被分成了浏览代理(Browsing Agent,简称为BA),例如,位于个人电脑上浏览器，和认证代理(Authenticating Agent,简称为AA),该AA位于可以直接访问SIM卡的设备上，例如移动终端或UE。
[0009]对于在非环境下的分离终端，由于不能使用GBA架构进行鉴权认证，针对该类MS终端，在SS0_APS中设计了利用SIP Digest机制实现SSO功能的架构，且在TR33.914中也已有该架构和OpenID架构融合互通的架构，但现有技术中存在的问题是:目前还没有针对分离终端场景下对终端进行鉴权认证的具体解决方案。

【发明内容】

[0010]本发明解决的技术问题是提供一种分离终端单点登录组合鉴权方法和系统，实现在未部署GBA且分离终端场景下的单点登录，进而可以使用WEB业务。
[0011]为解决上述技术问题，本发明提供了一种分离终端单点登录组合鉴权方法，
[0012]服务依赖提供商(RP)将开放身份联盟(OpenID)中的浏览代理(BA)重定向到OpenID提供实体(OP),所述OP生成会话标识(Session Id)并推送给所述BA ;
[0013]认证代理(AA)根据获得的所述Session Id与所述OP进行通信，所述OP指示所述AA进行SDALS认证，所述AA与身份鉴权提供者实体(IdP) SDALS认证后，所述OP根据获取到的与所述AA之间的会话密钥K1和AA的认证结果，生成随机数Nonce2发送给所述AA ；所述AA将Session Id、获取到的会话密钥K1,以及收到的所述随机数Nonce2发送给所述BA ；
[0014]所述BA根据所述Session Id、会话密钥K1,以及随机数Nonce2向所述OP及所述RP进行OpenID认证。
[0015]进一步地,所述OP收到所述RP的重定向请求时,生成所述Session Id,并向BA发送响应消息，所述响应消息中携带生成的所述Session Id ；
[0016]所述BA通过本地连接将所述Session Id发送给所述AA。
[0017]进一步地,所述AA收到所述Session Id时，向所述OP发起HTTP请求消息,携带所述Session Id和支持SDALS认证方法的标识；[0018]所述AS/ΟΡ向所述AA返回HTTP响应消息，指示所述AA进行SDALS认证。
[0019]进一步地，所述OP向AA发送HTTP响应消息，将生成的所述随机数Nonce2发送给所述AA ；
[0020]所述AA通过本地接口将所述SessionID、所述Nonce2及所述会话密钥K1发送给所述BA。
[0021]进一步地,所述OpenID认证,具体包括:
[0022]所述BA向所述OP发起授权请求,携带所述Session Id、所述Nonce2以及所述会话密钥K1 ；
[0023]所述OP验证比较所述Session Id、以及所述随机数Nonce2和会话密钥K1，确认所述BA和所述AA认证通过；
[0024]所述OP将所述BA重定向到所述RP，携带认证断言；
[0025]所述RP检查所述认证断言,确认所述BA认证通过。
[0026]进一步地,所述本地接口包括蓝牙、Wifi。
[0027]本发明还提供了一种分离终端单点登录组合鉴权系统，所述系统包括:AA中的代理认证处理模块和认证信息传递模块，RP中的访问处理模块和断言认证模块，BA中的代理认证请求模块和认证发起模块，以及OP中的认证处理模块和随机数生成模块，
[0028]所述访问处理模块用于，收到OpenID中的BA的访问请求时，将所述BA重定向给OP ；
[0029]所述认证处理模块用于,收到RP重定向的BA时,生成Session Id并推送给BA;指示所述AA进行SDALS认证；以及,对所述Session Id、会话密钥K1,以及随机数Nonce2进行验证，产生认证断言并重定向给所述RP ；
[0030]所述代理认证请求模块用于，将收到的所述Session Id发送给所述AA ；
[0031 ] 所述代理认证处理模块用于，根据获得的所述Session Id与所述OP进行通信，并根据所述OP的指示与IdP进行SDALS认证；
[0032]所述随机数生成模块用于，根据获取到的与所述AA之间的会话密钥K1和AA的认证结果，生成随机数Nonce2发送给所述AA ；
[0033]所述认证信息传递模块用于，将Session Id、获取到的会话密钥K1,以及收到的所述随机数Nonce2发送给所述BA ；
[0034]所述认证发起模块用于,根据所述Session Id、会话密钥&,以及随机数Nonce2向所述OP及所述RP进行OpenID认证；
[0035]所述断言认证模块用于，检查所述OP重定向的认证断言，对BA进行认证。
[0036]进一步地,所述认证处理模块收到所述RP的重定向请求时，生成所述SessionId,并向所述BA发送响应消息,所述响应消息中携带生成的所述Session Id ；
[0037]所述代理认证请求模块用于，通过本地连接将所述Session Id发送给所述代理认证处理模块。
[0038]进一步地,所述代理认证处理模块用于,收到所述Session Id时，向所述OP发起HTTP请求消息,携带所述Session Id和支持SDALS认证方法的标识；
[0039]所述认证处理模块用于，向所述AA返回HTTP响应消息，指示所述AA进行SDALS认证。[0040]进一步地，所述随机数生成模块用于，向所述AA发送HTTP响应消息，将生成的所述随机数Nonce2发送给所述AA ；
[0041]所述认证信息传递模块用于,通过本地接口将所述SessionID、所述Nonce2及所述会话密钥K1发送给所述BA ；
[0042]所述认证发起模块用于，向所述OP发起HTTP授权请求,携带所述Session Id、会话密钥K1,以及随机数Nonce2，向所述OP及所述RP发起OpenID认证。
[0043]本发明中，ΟΡ/AS通过Session Id来关联AA和BA，并指示AA进行SDALS认证，在AA通过SDALS认证后，再根据会话密钥K1和随机数Nonce2来验证BA和AA的关联以及认证结果。本发明实现了在未部署GBA且分离终端场景下的单点登录，进而可使用多种多样的WEB业务。
【专利附图】

【附图说明】
[0044]此处所说明的附图用来提供对本发明的进一步理解，构成本申请的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中:
[0045]图1为SSO架构和OpenID架构融合互通的架构图；
[0046]图2为SSO架构和OpenID架构在分离终端场景下的架构图；
[0047]图3为本发明实施例的IMS分离终端单点登录方法的流程示意图；
[0048]图4为本发明实施例的MS分离终端单点登录系统的组成示意图。
【具体实施方式】
[0049]图1所示为SSO架构和OpenID架构融合互通的架构图，其中，OpenID提供商实体(OP)和SS0_APS中SSO架构上的应用服务器(AS)实体作为一个实体，本发明中称为0P/AS或者OP(下文中如无特殊说明，0P、AS、0P/AS均指相同的含义);UE为IMS终端；RP对应于MS终端要访问的融合系统的OpenID的最终应用服务器；IdP作为用户认证中心，用于完成SS0_APS中SSO架构中对UE的认证。
[0050]图2所示分离终端场景下的架构示意图，其中UE被分为BA和AA，两者不在同一物理实体上，如BA位于个人电脑上，AA位于移动终端上。BA和AA可能通过本地接口进行通信，如蓝牙、Wifi等等。
[0051]针对图2所示场景下的分离终端，本实施方式提供一种分离终端单点登录组合鉴权方法，主要包括如下步骤:
[0052]步骤I，RP将OpenID中的BA重定向到0P/AS，ΟΡ/AS生成Session Id (会话标识)并推送给BA ；
[0053]步骤2，AA根据获得的Session Id与0P/AS进行通信，0P/AS指示AA进行SDALS认证(即TR33.914中SS0_APS的SSO架构实现的认证方法)，AA与IdP进行SDALS认证后，0P/AS根据获取到的0P/AS和AA之间的会话密钥K1和AA的认证结果生成随机数Nonce2发送给AA ；AA将Sessionld、获取到的会话密钥K1,以及收到的随机数Nonce2发送给BA ；
[0054]步骤3，BA根据Session Id、会话密钥K1,以及随机数Nonce2向0P/AS及RP进行OpenID 认证。
[0055]进一步地，上述的步骤1，又分为如下步骤:[0056]步骤1.1，BA向RP发送访问请求,请求消息中携带OpenID标识；
[0057]步骤1.2，RP将BA重定向到OP ;
[0058]步骤1.3, OP生成Session Id,并向BA发送响应消息,消息中携带生成的SessionId；
[0059]步骤1.4, BA 将 Session Id 发送给 AA。
[0060]进一步地，上述的步骤2，又分为如下步骤:
[0061]步骤2.1，AA向OP发起HTTP请求消息，消息中携带OP生成的Session Id和表明AA支持SDALS认证方法的标识；
[0062]步骤2.2，OP指示AA进行SDALS认证。
[0063]步骤2.3，AA和IdP (SSO Server)之间进行SDALS认证过程；
[0064]步骤2.4，经过SDALS认证后，AA获取到会话密钥K1以及ΟΡ/AS的认证结果0P_Auth ；
[0065]步骤2.5，SDALS认证后，ΟΡ/AS获取到会话密钥K1以及AA的认证结果UE_Auth，并生成随机数Nonce2 ；
[0066]步骤2.6，ΟΡ/AS向AA发送HTTP响应消息，消息中携带随机数Nonce2 ；
[0067]步骤2.7，AA 将 SessionID 和 Nonce2 | | K1 发送给 BA。
[0068]进一步地，上述的步骤3，又分为如下步骤:
[0069]步骤3.1, BA向OP发起授权请求,请求消息中携带OP生成的Session Id和随机数Nonce2以及会话密钥K1 ；
[0070]步骤3.2，OP验证比较Session Id和Nonce2以及会话密钥K1，确认AA和BA认证通过；
[0071]步骤3.3，OP将BA重定向到RP，重定向消息中携带认证断言；
[0072]步骤3.4，RP检查断言，确认BA认证通过，向BA提供服务。
[0073]为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互任意组合。
[0074]图3为本发明实施例的IMS分离终端单点登录方法的示意流程，具体流程描述如下:
[0075]步骤301:BA向RP发送访问请求,请求消息中携带OpenID标识；
[0076]步骤302:RP标准化OpenID标识，并检索0P/AS地址；
[0077]步骤303 (可选):RP和0P/AS之间建立共享密钥；
[0078]步骤304: RP将BA重定向到0P/AS ；
[0079]步骤305:0P/AS 生成 Session Id ；
[0080]步骤306:0P/AS向BA发送HTTP响应，响应消息中携带Session Id ；
[0081]步骤307:BA通过本地接口安全地将Session Id发送给AA ；
[0082]步骤308:AA向0P/AS发送HTTP请求消息，消息中携带AA支持SDALS认证方法和Session Id ；
[0083]步骤309:0P/AS对AA的HTTP请求作出响应，指示AA进行SDALS认证；
[0084]步骤310:AA和IdP (SSO Server)之间进行SDALS认证过程；[0085]步骤311:经过SDALS认证后，AA获取到会话密钥K1以及ΟΡ/AS的认证结果0P_Auth ; IdP通过AA将把对会话密钥Kl和认证结果UE_Auth加密后产生的信息重定向到OP/AS，ΟΡ/AS也获取到会话密钥K1以及AA的认证结果UE_Auth，并生成随机数Nonce2 ；
[0086]步骤312:0P/AS向AA发送HTTP响应消息，消息中携带随机数Nonce2 ；
[0087]步骤313:AA通过本地接口安全地将SessionID和Nonce2 | K1发送给BA ；
[0088]步骤314:BA向ΟΡ/AS发送HTTP授权请求，请求消息中携带Session Id和Nonce2 |K1；
[0089]步骤315:0P/AS验证比较Session Id和Nonce2 | | K1,确认AA和BA认证通过;
[0090]步骤316:0P/AS将BA重定向到RP，重定向消息中携带认证断言；
[0091]步骤317:RP检查断言，确认认证通过后，向BA提供服务。
[0092]此外，本发明实施例中还提供了一种系统，如图4所示，该系统主要包括:AA中的代理认证处理模块和认证信息传递模块，RP中的访问处理模块和断言认证模块，BA中的代理认证请求模块和认证发起模块，以及OP中的认证处理模块和随机数生成模块，其中，
[0093]所述访问处理模块用于，收到OpenID中的BA的访问请求时，将所述BA重定向给OP ；
[0094]所述认证处理模块用于,收到RP重定向的BA时,生成Session Id并推送给BA;指示所述AA进行SDALS认证；以及,对所述Session Id、会话密钥K1,以及随机数Nonce2进行验证，产生认证断言并重定向给所述RP ；
[0095]所述代理认证请求模块用于，将收到的所述Session Id发送给所述AA ；
[0096]所述代理认证处理模块用于，根据获得的所述Session Id与所述OP进行通信，并根据所述OP的指示与IdP进行SDALS认证；
[0097]所述随机数生成模块用于，根据获取到的与所述AA之间的会话密钥K1和AA的认证结果，生成随机数Nonce2发送给所述AA ；
[0098]所述认证信息传递模块用于，将Session Id、获取到的会话密钥K1,以及收到的所述随机数Nonce2发送给所述BA ；
[0099]所述认证发起模块用于,根据所述Session Id、会话密钥&,以及随机数Nonce2向所述OP及所述RP进行OpenID认证；
[0100]所述断言认证模块用于，检查所述OP重定向的认证断言，对BA进行认证。
[0101]进一步地,所述认证处理模块收到所述RP的重定向请求时，生成所述SessionId,并向所述BA发送响应消息,所述响应消息中携带生成的所述Session Id ；
[0102]所述代理认证请求模块用于，通过本地连接将所述Session Id发送给所述代理认证处理模块。
[0103]进一步地,所述代理认证处理模块用于,收到所述Session Id时，向所述OP发起HTTP请求消息,携带所述Session Id和支持SDALS认证方法的标识；
[0104]所述认证处理模块用于，向所述AA返回HTTP响应消息，指示所述AA进行SDALS认证。
[0105]进一步地，所述随机数生成模块用于，向所述AA发送HTTP响应消息，将生成的所述随机数Nonce2发送给所述AA ；
[0106]所述认证信息传递模块用于,通过本地接口将所述SessionID、所述Nonce2及所述会话密钥K1发送给所述BA ；
[0107]所述认证发起模块用于，向所述OP发起HTTP授权请求,携带所述Session Id、会话密钥K1,以及随机数Nonce2，向所述OP及所述RP发起OpenID认证。
[0108]以上仅为本发明的优选实施案例而已，并不用于限制本发明，本发明还可有其他多种实施例，在不背离本发明精神及其实质的情况下，熟悉本领域的技术人员可根据本发明做出各种相应的改变和变形，但这些相应的改变和变形都应属于本发明所附的权利要求的保护范围。
[0109]显然，本领域的技术人员应该明白，上述的本发明的各模块或各步骤可以用通用的计算装置来实现，它们可以集中在单个的计算装置上，或者分布在多个计算装置所组成的网络上，可选地，它们可以用计算装置可执行的程序代码来实现，从而，可以将它们存储在存储装置中由计算装置来执行，并且在某些情况下，可以以不同于此处的顺序执行所示出或描述的步骤，或者将它们分别制作成各个集成电路模块，或者将它们中的多个模块或步骤制作成单个集成电路模块来实现。这样，本发明不限制于任何特定的硬件和软件结合。
【权利要求】
1.一种分离终端单点登录组合鉴权方法，其特征在于， 服务依赖提供商(RP)将开放身份联盟(OpenID)中的浏览代理(BA)重定向到OpenID提供实体(OP),所述OP生成会话标识(Session Id)并推送给所述BA ; 认证代理(AA)根据获得的所述Session Id与所述OP进行通信，所述OP指示所述AA进行SDALS认证，所述AA与身份鉴权提供者实体(IdP) SDALS认证后，所述OP根据获取到的与所述AA之间的会话密钥K1和AA的认证结果，生成随机数Nonce2发送给所述AA ;所述AA将Session Id、获取到的会话密钥K1,以及收到的所述随机数Nonce2发送给所述BA ；所述BA根据所述Session Id、会话密钥K1,以及随机数Nonce2向所述OP及所述RP进行OpenID认证。
2.如权利要求1所述的方法，其特征在于， 所述OP收到所述RP的重定向请求时，生成所述Session Id,并向BA发送响应消息,所述响应消息中携带生成的所述Session Id; 所述BA通过本地连接将所述Session Id发送给所述AA。
3.如权利要求1所述的方法，其特征在于， 所述AA收到所述Session Id时，向所述OP发起HTTP请求消息,携带所述Session Id和支持SDALS认证方法的标识； 所述AS/0P向所述AA返回HTTP响应消息，指示所述AA进行SDALS认证。
4.如权利要求3所述的方法，其特征在于，` 所述OP向AA发送HTTP响应消息，将生成的所述随机数Nonce2发送给所述AA ； 所述AA通过本地接口将所述SessionID、所述Nonce2及所述会话密钥K1发送给所述BA。
5.如权利要求3所述的方法，其特征在于，所述OpenID认证，具体包括: 所述BA向所述OP发起授权请求,携带所述Session Id、所述Nonce2以及所述会话密钥1 ； 所述OP验证比较所述Session Id、以及所述随机数Nonce2和会话密钥K1,确认所述BA和所述AA认证通过； 所述OP将所述BA重定向到所述RP，携带认证断言； 所述RP检查所述认证断言，确认所述BA认证通过。
6.如权利要求2或4所述的方法，其特征在于， 所述本地接口包括蓝牙、Wifi。
7.一种分离终端单点登录组合鉴权系统，其特征在于，所述系统包括:AA中的代理认证处理模块和认证信息传递模块，RP中的访问处理模块和断言认证模块，BA中的代理认证请求模块和认证发起模块，以及OP中的认证处理模块和随机数生成模块， 所述访问处理模块用于，收到OpenID中的BA的访问请求时，将所述BA重定向给OP ；所述认证处理模块用于，收到RP重定向的BA时,生成Session Id并推送给BA ;指示所述AA进行SDALS认证；以及,对所述Session Id、会话密钥K1,以及随机数Nonce2进行验证，产生认证断言并重定向给所述RP ； 所述代理认证请求模块用于，将收到的所述Session Id发送给所述AA ； 所述代理认证处理模块用于，根据获得的所述Session Id与所述OP进行通信，并根据所述OP的指示与IdP进行SDALS认证； 所述随机数生成模块用于，根据获取到的与所述AA之间的会话密钥K1和AA的认证结果，生成随机数Nonce2发送给所述AA ； 所述认证信息传递模块用于，将Session Id、获取到的会话密钥K1,以及收到的所述随机数Nonce2发送给所述BA ； 所述认证发起模块用于，根据所述Session Id、会话密钥K1，以及随机数Nonce2向所述OP及所述RP进行OpenID认证； 所述断言认证模块用于，检查所述OP重定向的认证断言，对BA进行认证。
8.如权利要求7所述的系统，其特征在于， 所述认证处理模块收到所述RP的重定向请求时，生成所述Session Id，并向所述BA发送响应消息，所述响应消息中携带生成的所述Session Id ； 所述代理认证请求模块用于，通过本地连接将所述Session Id发送给所述代理认证处理模块。
9.如权利要求7或8所述的系统，其特征在于， 所述代理认证处理模块用于，收到所述Session Id时，向所述OP发起HTTP请求消息，携带所述Session Id和支持SDALS认证方法的标识； 所述认证处理模块用于，向所述AA返回HTTP响应消息，指示所述AA进行SDALS认证。
10.如权利要求9 所述的系统，其特征在于， 所述随机数生成模块用于，向所述AA发送HTTP响应消息，将生成的所述随机数Nonce2发送给所述AA; 所述认证信息传递模块用于，通过本地接口将所述SessionID、所述Nonce2及所述会话密钥K1发送给所述BA ； 所述认证发起模块用于，向所述OP发起HTTP授权请求,携带所述Session Id、会话密钥K1,以及随机数Nonce2，向所述OP及所述RP发起OpenID认证。
【文档编号】H04W12/06GK103428694SQ201210151486
【公开日】2013年12月4日 申请日期:2012年5月16日 优先权日:2012年5月16日
【发明者】夏正雪 申请人:中兴通讯股份有限公司