CN101022651A - 一种组合鉴权架构及其实现方法 - Google Patents

Abstract

本发明提供了一种组合鉴权架构，其业务鉴权提供商和启动引导服务器功能为一个实体，本发明还提供了一种组合鉴权架构的实现方法，在IP多媒体业务子系统用户和业务提供商实体的通信过程中包括通用鉴权架构鉴权过程和身份标识联盟鉴权过程；从而实现了身份标识联盟架构和通用鉴权架构的互通，并且提供了一种解决方法，解决了现有技术中存在的UE和IdP如何知道是否需要先执行GBA过程，然后再执行SSO过程的缺陷，因此在保持原有鉴权架构的安全性的同时，增加了终端操作的简便性，并扩展终端的应用场景，以使用已有的各种WEB业务。

Description

一种组合鉴权架构及其实现方法

技术领域

本发明涉及一种移动通信系统的场景互通的架构，尤其涉及的是，一种身份标识联盟架构和通用鉴权架构实现互通的组合鉴权架构及其实现方法。

背景技术

3GPP组织中定义了一种通用鉴权架构(GBA)，如附图1所示，其通常由IMS用户(UE，IP多媒体业务子系统用户)、引导服务功能实体(BSF)、用户归属网络服务器(HSS)、用户定位功能实体(SLF)和网络业务应用实体(NAF)组成。UE与BSF通过Ub接口连接；UE与NAF通过Ua接口连接；BSF与HSS通过Zh接口连接，与NAF通过Zn接口连接，与SLF通过Dz接口连接。BSF用于与UE执行引导过程(bootstrapping)时进行互验证身份，同时生成BSF与用户的共享密钥Ks；HSS中存储用于描述用户信息的签约文件，同时HSS还兼有产生鉴权信息的功能。SLF用于当存在多个HSS时，协助BSF查找相应的HSS。NAF用于为UE提供网络业务。

在Ub接口中，UE执行引导过程(bootstrapping)的流程图如附图2所示，步骤1、用户UE需要使用某种业务时，如果用户知道该业务需要到BSF进行相互鉴权过程，则直接发送鉴权请求到BSF进行相互鉴权。否则，用户会首先和该业务对应的NAF联系，如果该NAF使用GBA通用鉴权架构，并且发现该用户还未到BSF进行互认证过程，NAF则通知该UE到BSF进行互鉴权以验证身份，然后用户UE再直接发送鉴权请求到BSF进行相互鉴权。步骤2、BSF接到鉴权请求后，首先到HSS获取该用户的鉴权向量信息(AUTN，RAND，IK，CK，XRES)五元组；步骤3～6、BSF采用HTTP digest AKA协议与用户UE进行双向认证以及密钥协商，完成用户UE和BSF之间身份的互相认证。步骤7、BSF生成共享根密钥Ks。BSF还为共享密钥Ks定义了一个有效期限，以便Ks进行定期更新。步骤8、BSF分配一个引导事务标识(B-TID)，用于标识BSF和UE之间的本次鉴权交互事务。BSF将该B-TID与根密钥Ks、UE的私有用户标识(IMPI)相关联，以便以后BSF可以根据该B-TID查找出相应的Ks。然后BSF将引导事务标识(B-TID)和Ks的有效期限一起明文发送给用户UE。步骤9、UE也生成和BSF侧相同的共享根密钥Ks。完成了这个过程后，UE和BSF之间就共享了一个根密钥Ks，并且UE可以利用公式

Ks_NAF＝KDF(Ks，″gba-me″，RAND，IMPI，NAF_Id)或者

Ks_Ext_NAF＝KDF(Ks，″gba-me″，RAND，IMPI，NAF_Id)

Ks_Int_NAF＝KDF(Ks，″gba-u″，RAND，IMPI，NAF_Id)

推导出与想要访问的NAF之间的衍生的共享密钥Ks_(Ext/Int)_NAF，其中NAF_Id是由要访问的NAF以及要Ua接口上的协议标识(UaID)连接而成，RAND是一个随机数，IMPI是指UE的私有身份标识，″gba-me″和″gba-u″代表字符串；KDF是密钥导出函数的缩写。这样，UE就获取了该衍生的共享密钥Ks_(Ext/Int)_NAF。剩下的任务就是NAF如何获取该衍生的共享密钥Ks_(Ext/Int)_NAF。只有NAF和UE都获取了Ks_(Ext/Int)_NAF，才能建立双方通讯的安全通道。

NAF获取Ks_(Ext/Int)_NAF的流程图如附图3所示，步骤1、UE首先根据上述公式推导出衍生的共享密钥Ks_(Ext/Int)_NAF，然后以引导事务标识(B-TID)为用户名，Ks_(Ext/Int)_NAF为口令向NAF发送连接请求。本步骤之前可能会事先建立TLS链接，以保证Ua接口的通讯安全。步骤2、NAF收到用户的连接请求后，给BSF发出认证请求消息。其中携带引导事务标识B-TID和NAF主机名。步骤3、BSF上保留有B-TID、IMPI、Ks、密钥有效期、BSF与UE之间的相互鉴权的开始时间、应用相关的GBA用户安全设置信息(GUSS)等信息。如果BSF能够根据该B-TID查找到相应的Ks，则完成相应用户的认证，然后BSF再使用与用户侧相同的上述公式计算出衍生的共享密钥Ks_(Ext/Int)_NAF，然后在认证响应消息中把Ks_(Ext/Int)_NAF、Ks_(Ext/Int)_NAF的有效期限、BSF与UE之间的相互鉴权的开始时间、以及其他应用相关的用户安全设置信息(USS，一个GUSS中可能包含多个USS)发给NAF。NAF收到后，保存这些信息。

这样NAF和UE也就共享了由Ks衍生的密钥Ks_(Ext/Int)_NAF，从而这两者在后续的通信中可以进行安全通信。

另外，自由联盟工程(LAP，Liberty Alliance Project)组织也定义了一些架构和规范，用于实现对Web业务的访问。其主要包含三个子架构：ID-FF(Identity Federation Framework，身份标识联盟架构)、ID-WSF(Identity Web Service Framework，身份标识Web业务架构)、ID-SIS(Identity Services Interface Specifications，身份标识业务接口规范)。其中ID-FF主要包含身份标识联盟(Identity Federation)功能和单点认证(Single Sign On)功能。ID-FF的架构如附图4所示：主要包含三个实体：终端UE、身份鉴权提供商IdP、业务提供商SP。身份标识联盟功能是指终端UE在IdP和SP上都有自己的身份标识，即用户标识。这些身份标识可以结成一个联盟。单点认证功能是指在上述身份标识联盟功能的基础上，只要终端在IdP上通过了鉴权，就等于同时在所有结成联盟的SP上也同时通过了鉴权。

对于终端UE，有两种鉴权方式：一种是UE在IdP上鉴权通过后，IdP会将该UE的鉴权申明Assertion直接返回给UE。UE再将该鉴权申明Assertion发给SP。SP通过分析Assertion来对终端进行鉴权。另一种是UE在IdP上鉴权通过后，IdP会将该UE的鉴权申明链接Artifact返回给UE。UE再将该鉴权申明链接Artifact发给SP。SP再将该Artifact通过SOAP协议发给IdP。IdP根据该Artifact查询相应的Assertion，并返回给SP。最后SP通过分析Assertion来对终端进行鉴权。

一方面，通用鉴权架构中UE与BSF交互获取根密钥Ks和B-TID以后，以后都需要分别以B-TID为用户名，Ks_(Ext/Int)_NAF为口令在各个NAF上鉴权，以便访问各个NAF。这种频繁的认证增强了安全性，但增加了终端操作的复杂性和不方便性。

另一方面，身份标识联盟架构中通过身份标识联盟功能在各个SP与IdP之间建立身份标识安全联盟，并组成一个安全信任圈。只要在IdP上通过了鉴权，就等于在IdP所属的安全信任圈内的所有SP上也通过了鉴权。

因此，如果这两种架构之间能够实现互通，既不会降低原有的安全性，也可以增加终端操作的简便性，并扩展终端的应用场景，以使用已有的多种多样的WEB业务。

目前3GPP规范33.980中只定义了一种互通场景，即IdP和NAF为一个实体，如附图5所示。其主要特点是：1、原通用鉴权架构的Ub和Zn接口功能基本上不变，身份标识联盟架构的IdP和UE需要增加GBA功能。2、相关的SP和IdP/NAF通过身份标识联盟功能组成一个安全信任圈。UE访问各个SP时，首先在此IdP(NAF)上通过鉴权认证后，就等于在所有相关的其他SP上也通过了鉴权认证。

对于GBA和单点认证(SSO，Single Sign On)两种机制都支持的UE来说，现有技术存在以下问题未能解决：当UE收到IdP的挑战响应后，如何知道是否需要先进行GBA过程，然后再继续进行SSO认证请求过程，还是跳过GBA过程，直接进行SSO认证请求过程？当IdP收到UE的SSO再次认证请求后，如何知道是否需要先通过Zn接口到BSF取相关的密钥等信息，然后再进行SSO认证响应，还是直接进行SSO认证响应？

因此现有技术存在上述缺陷，需要改进。

发明内容

本发明的目的在于提供一种组合鉴权架构，并且提供一种组合鉴权架构的实现方法，以实现身份标识联盟架构和通用鉴权架构的互通，同时提供一种解决方案，解决了现有技术中存在的UE和IdP如何知道是否需要先执行GBA过程，然后再执行SSO过程的缺陷。

本发明的技术方案如下：

一种组合鉴权架构，在通用鉴权架构和身份标识联盟架构的基础上实现互通，其中：启动引导服务器功能实体和业务鉴权提供商实体为一个实体。

所述的组合鉴权架构，其中，所述业务鉴权提供商实体与归属用户服务器实体之间的接口功能通过扩展Zh接口实现。

所述的组合鉴权架构，其中，所述业务鉴权提供商实体与归属用户服务器实体之间的接口功能通过新增启动引导服务器功能实体与归属用户服务器实体之间的接口功能实现。

所述的组合鉴权架构，其中，所述IP多媒体业务子系统用户与业务鉴权提供商实体之间的接口功能通过扩展Ub接口实现。

所述的组合鉴权架构，其中，所述IP多媒体业务子系统用户与业务鉴权提供商实体之间的接口功能通过新增IP多媒体业务子系统用户与启动引导服务器功能实体之间的接口功能实现。

所述的组合鉴权架构，其中，所述业务提供商实体与业务鉴权提供商实体之间的接口功能通过扩展Zn接口实现。

所述的组合鉴权架构，其中，所述业务提供商实体与业务鉴权提供商实体之间的接口功能通过新增启动引导服务器功能实体与业务提供商实体之间的接口功能实现。

所述的组合鉴权架构，其中，所述IP多媒体业务子系统用户与业务提供商实体之间的接口功能通过扩展Ua接口实现。

所述的组合鉴权架构，其中，所述IP多媒体业务子系统用户与业务提供商实体之间的接口功能通过新增IP多媒体业务子系统用户与网络应用功能实体之间的接口功能实现。

所述的组合鉴权架构，其中，所述网络应用功能实体与业务提供商实体为一个实体。

一种组合鉴权架构的实现方法，其中，IP多媒体业务子系统用户和业务提供商实体的通信过程中包括通用鉴权架构鉴权过程和身份标识联盟鉴权过程；

其包括步骤：

A1、在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识和根密钥有效期，并且发送给IP多媒体业务子系统用户，在引导服务功能实体和IP多媒体业务子系统用户两端都生成根密钥；

A2、在身份联盟功能鉴权过程中，业务鉴权提供商实体生成鉴权申明，并且发送给IP多媒体业务子系统用户。

所述的实现方法，其中，在步骤A1之前还包括步骤：

B1、IP多媒体业务子系统用户向业务提供商实体发送应用请求；

B2、业务提供商实体向IP多媒体业务子系统用户发送响应信息，所述响应信息携带业务鉴权提供商地址和身份标识联盟请求鉴权信息。

所述的实现方法，其中，步骤A1包括步骤：

C1、IP多媒体业务子系统用户向业务鉴权提供商发送身份标识联盟鉴权请求消息，其中携带上述身份标识联盟请求鉴权信息；

C2、业务鉴权提供商向IP多媒体业务子系统用户发送挑战响应消息，要求其携带身份标识信息；

C3、IP多媒体业务子系统用户通过启动引导服务器实体完成通用鉴权架构引导过程，IP多媒体业务子系统用户得到引导事务标识和根密钥，所述引导事务标识是身份标识；

C4、IP多媒体业务子系统用户向启动引导服务器实体发送鉴权请求消息，其携带引导事务标识和所述身份标识联盟请求鉴权信息；

C5、启动引导服务器实体对IP多媒体业务子系统用户进行通用鉴权架构鉴权。

所述的实现方法，其中，所述步骤C1之前还包括以下步骤：

D1、所述启动引导服务器实体检查所述鉴权请求消息中携带有效的引导事务标识参数，并且根密钥在有效期内，则直接从步骤C4开始执行。

所述的实现方法，其中，所述步骤C1的所述鉴权请求消息还携带一标识，所述标识表示所述IP多媒体业务子系统用户支持通用鉴权架构机制。

所述的实现方法，其中，所述步骤C2的所述挑战响应消息还携带一标识，所述标识表示需要IP多媒体业务子系统用户执行通用鉴权架构机制鉴权。

所述的实现方法，其中，所述步骤C4的所述鉴权请求消息还携带一标识，所述标识表示所述IP多媒体业务子系统用户支持通用鉴权架构机制。

所述的实现方法，其中，通过配置业务鉴权提供商实体上的本地策略，要求IP多媒体业务子系统用户先完成通用鉴权架构机制鉴权过程后，再执行身份标识联盟鉴权过程。

所述的实现方法，其中，步骤A2包括步骤：

E1、业务鉴权提供商对IP多媒体业务子系统用户进行身份标识联盟鉴权；

E2、鉴权成功后，业务鉴权提供商实体向IP多媒体业务子系统用户发送鉴权成功响应消息；

E3、IP多媒体业务子系统用户向业务提供商实体提出请求信息，其携带上述鉴权成功响应信息，业务提供商实体完成对IP多媒体业务子系统用户的身份标识联盟鉴权。

所述的实现方法，其中，所述步骤E2鉴权成功后，其还包括以下步骤：

F1、业务鉴权提供商实体向IP多媒体业务子系统用户返回是否与各业务提供商结成身份标识联盟的选择信息；

F2、IP多媒体业务子系统用户向业务鉴权提供商实体确认所述信息，并完成和所述业务提供商实体结成身份标识联盟。

所述的实现方法，其中，所述步骤E3中所述鉴权成功响应信息包含鉴权申明信息。

所述的实现方法，其中，所述步骤E3中所述鉴权成功响应信息包含鉴权申明链接信息；所述步骤E3还包括以下步骤：

G1、业务提供商实体向业务鉴权提供商实体发送请求消息，其携带所述鉴权申明链接信息；

G2、业务鉴权提供商实体根据所述鉴权申明链接信息找到对应鉴权申明信息，并向业务提供商实体发送响应信息，其携带所述鉴权申明信息。

采用上述方案，本发明提供了一种启动引导服务器功能实体和业务鉴权提供商实体为一个实体的组合鉴权架构，并且提供了一种身份标识联盟架构和通用鉴权架构实现互通的解决方法，还提供了一种解决方法，解决了现有技术中存在的UE和IdP如何知道是否需要先执行GBA过程，然后再执行SSO过程的缺陷，因此在保持原有鉴权架构的安全性的同时，增加了终端操作的简便性，并扩展终端的应用场景，以使用已有的各种WEB业务。

附图说明

图1为现有技术的一种通用鉴权架构图；

图2为现有技术的IMS用户执行引导过程的流程图；

图3为现有技术的网络应用功能获取衍生共享密钥的流程图；

图4为现有技术的身份标识联盟架构图；

图5为现有技术的一种互通场景方案图；

图6为本发明架构的一种组合鉴权架构图：

图7为本发明架构的另一种组合鉴权架构图；

图8为本发明方法的流程图；

图9为本发明方法的流程图一个实例；

图10为本发明方法的流程图另一个实例。

具体实施方式

以下对本发明的较佳实施例加以详细说明。

本发明提供了一种组合鉴权架构，并且提供一种组合鉴权架构的实现方法，以实现身份标识联盟架构和通用鉴权架构的互通。BSF和IdP为一个实体，即BSF上增加IdP功能；UE增加身份标识联盟用户功能；BSF与SP之间接口增加对SP-IdP之间的协议接口功能的支持；BSF与UE之间接口增加对UE-IdP之间接口功能的支持，即增加对鉴权申明或鉴权申明链接内容的传送功能。IdP与HSS之间的接口功能通过扩展Zh接口实现。IdP与HSS之间的接口功能通过新增BSF与HSS之间的接口功能实现。UE与IdP之间的接口功能通过扩展Ub接口实现。UE与IdP之间的接口功能通过新增UE与BSF之间的接口功能实现。SP与IdP之间的接口功能通过扩展Zn接口实现。SP与IdP之间的接口功能通过新增BSF与SP之间的接口功能实现。UE与SP之间的接口功能通过扩展Ua接口实现或者新增UE与NAF之间的接口功能实现。NAF与SP为一个实体。

当IdP与BSF为一个实体时，本发明的一种组合鉴权架构如附图6所示；如果把SP看成是一种NAF，本发明的另一种组合鉴权架构如附图7所示。GBA的BSF需要增加和SP之间的SOAP协议接口，Ub接口上需要增加对Assertion或者Artifact等内容的传送。相关的SP和IdP/BSF通过身份标识联盟功能组成一个安全信任圈。当UE访问各个SP时，在此IdP/BSF上通过鉴权认证后，就相当于在所有相关的其他SP上也通过了鉴权认证。UE和BSF/IdP之间除了原有的UE-BSF之间的Ub接口功能以外，还增加了对UE-IdP之间的UE-IdP接口功能的支持。BSF/IdP和NAF/SP之间除了原有的BSF-NAF之间的Zn接口以外，还增加了对IdP-SP之间的基于SOAP协议的接口功能的支持。上述新增功能也可以通过扩展Ub/Zn接口实现。

一种组合鉴权架构的实现方法，IP多媒体业务子系统用户和业务提供商实体的通信过程中包括通用鉴权架构鉴权过程和身份标识联盟鉴权过程；其包括步骤：A1、在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识和根密钥有效期，并且发送给IP多媒体业务子系统用户，在引导服务功能实体和IP多媒体业务子系统用户两端都生成根密钥；A2、在身份联盟功能鉴权过程中，业务鉴权提供商实体生成鉴权申明，并且发送给IP多媒体业务子系统用户。

在步骤A1之前还包括步骤：B1、UE向SP实体发送应用请求；B2、SP实体向UE发送响应信息，所述响应信息携带IdP地址和身份标识联盟请求鉴权信息。通过上述步骤，UE得到了鉴权所需的信息。

步骤A1包括步骤：C1、UE向IdP发送身份标识联盟鉴权请求消息，其中携带上述身份标识联盟请求鉴权信息；C2、IdP向UE发送挑战响应消息，要求其携带身份标识信息；C3、UE通过BSF实体完成通用鉴权架构引导过程，UE得到引导事务标识和根密钥，所述引导事务标识是身份标识；C4、UE向BSF实体发送鉴权请求消息，其携带引导事务标识和所述身份标识联盟请求鉴权信息；C5、BSF实体对UE进行通用鉴权架构鉴权。

步骤A2包括步骤：E1、IdP对UE进行身份标识联盟鉴权；E2、鉴权成功后，IdP实体向UE发送鉴权成功响应消息；E3、UE向SP实体提出请求信息，其携带上述鉴权成功响应信息，SP实体完成对UE的身份标识联盟鉴权。

步骤E2鉴权成功后，还包括步骤：F1、IdP实体向UE返回是否与各SP结成身份标识联盟的选择信息；F2、IdP向IdP实体确认所述信息，并完成和所述SP实体结成身份标识联盟。

本发明方法的流程图如附图8所示，具体说明如下：

101、IP多媒体业务子系统用户向业务提供商实体发送应用请求，业务提供商实体向IP多媒体业务子系统用户发送响应信息，所述响应信息携带业务鉴权提供商地址和身份标识联盟请求鉴权信息；

102、IP多媒体业务子系统用户向业务鉴权提供商发送身份标识联盟鉴权请求消息，其中携带上述身份标识联盟请求鉴权信息；

103、业务鉴权提供商向IP多媒体业务子系统用户发送挑战响应消息，要求其携带身份标识信息；

104、IP多媒体业务子系统用户通过启动引导服务器实体完成通用鉴权架构引导过程，IP多媒体业务子系统用户得到引导事务标识和根密钥，所述引导事务标识是身份标识；IP多媒体业务子系统用户向启动引导服务器实体发送鉴权请求消息，其携带引导事务标识和所述身份标识联盟请求鉴权信息；

105、启动引导服务器实体对IP多媒体业务子系统用户进行通用鉴权架构鉴权；

106、业务鉴权提供商对IP多媒体业务子系统用户进行身份标识联盟鉴权；鉴权成功后，业务鉴权提供商实体向IP多媒体业务子系统用户发送鉴权成功响应消息；

107、IP多媒体业务子系统用户向业务提供商实体提出请求信息，其携带上述鉴权成功响应信息，业务提供商实体完成对IP多媒体业务子系统用户的身份标识联盟鉴权。

根据IdP返回给UE的认证响应中是直接包含Assertion还是Artifact，上述附图8可以进一步详细分解为附图9和附图10两种情况来说明。

当IdP返回给UE的认证响应中直接包含Assertion时，本发明的一种互通的流程图实例一如附图9所示。

为保证安全，UE和SP之间事先建立TLS安全隧道。TLS安全隧道的建立不属于本发明范围，在此不作赘述。

步骤1、UE向SP发出HTTP应用请求消息。

步骤2、SP找到IdP的地址。

步骤3、SP发送响应消息给UE，要求其先到相应的IdP上进行鉴权，其中包括身份标识鉴权请求信息AuthnRequest和IdP的地址信息。

步骤4、UE给IdP发送HTTP请求消息，其中携带上一步获取的AuthnRequest。

步骤5、IdP给UE发送HTTP挑战响应消息。

步骤6、UE给BSF发送GBA鉴权请求消息，所述信息包含私有用户标识。

步骤7、BSF和HSS交换信息，获取认证矢量，该矢量包括鉴权序号AUTN、随机数RAND、期望结果XRES、完整性密钥IK、机密性密钥CK。

步骤8、BSF给予UE GBA挑战响应，其包括AUTN和RAND。

步骤9、UE运行AKA算法，检查AUTN有效性以鉴权网络，并生成响应结果RES。同时根据RAND生成IK和CK。

步骤10、UE给BSF发送GBA鉴权请求消息，所述信息包含私有用户标识和RES。

步骤11、BSF比较响应结果RES和期望结果XRES，以检查RES的有效性以对UE进行鉴权。

步骤12、BSF根据密钥CK和IK以及密钥算法生成Ks，并生成引导事务标识B-TID和Ks有效期。

步骤13、BSF向UE发送GBA成功响应消息，所述消息包含B-TID和Ks有效期。

步骤14、UE保存B-TID和Ks有效期，并根据CK和IK生成根密钥Ks。

至此，完成GBA引导过程。

步骤15、UE根据公式Ks_NAF＝KDF(Ks，″gba-me″，RAND，IMPI，NAF_Id)或者Ks_Ext_NAF＝KDF(Ks，″gba-me″，RAND，IMPI，NAF_Id)或者Ks_Int_NAF＝KDF(Ks，″gba-u″，RAND，IMPI，NAF_Id)，推导出与想要访问的NAF之间的衍生的共享密钥Ks_(Ext/Int)_NAF。

步骤16、UE再次向IdP发送HTTP鉴权请求消息，其中携带所述的B-TID和AuthnRequest。

步骤17、IdP/BSF根据所述公式推导出与想要访问的NAF之间的衍生的共享密钥Ks_(Ext/Int)_NAF，完成对UE的GBA鉴权过程。由于IdP和BSF为一个实体，因此IdP不需要象正常的GBA流程一样通过Zn接口获取Ks_(Ext/Int)_NAF、USS、密钥有效期、引导时间等信息，而是直接在本地获取；其中USS可能包含有一些身份标识联盟相关的信息。然后对UE进行GBA过程的鉴权。同样的由于IdP和BSF为一个实体，因此计算Ks_(Ext/Int)_NAF时BSF总是知道“NAF_ID”。本步骤在BSF上执行时，也可以放到步骤12-步骤16之间，效果是一样的。

步骤18、IdP根据AuthnRequest内容对UE进行身份标识鉴权。鉴权成功后IdP将告诉UE可以和哪些SP结成身份标识联盟，UE同意并完成和SP的身份标识联盟。这样以后UE可以和相应的SP进行SSO鉴权。

至此，在IP多媒体业务子系统用户和业务鉴权提供商之间建立了安全联盟。

步骤19、IdP向UE返回HTTP鉴权成功响应消息，其中AuthnRes ponse中直接携带对应的Assertion，所述Assertion包含IdP的数字签名。

步骤20、UE重新向SP发起HTTP应用请求消息，其中AuthnRes ponse为上一步中返回的AuthnRes ponse，其中携带对应的Assertion，其包含IdP的数字签名；

步骤21、SP对Assertion进行相应处理，根据和IdP的身份标识联盟信息对UE完成SSO鉴权；

步骤22、SP最后返回给UE成功的HTTP响应消息。

这以后UE和SP可以继续进行通讯，直到密钥过期或者即将过期为止。

当IdP返回给UE的认证响应中包含Artifact时，本发明的一种互通的流程图实例二如附图10所示。

其中步骤1至步骤18，与实例一完全相同，在此不作赘述。

步骤19：IdP生成相应的Artifact和Assertion，并保存两者之间的关系，然后IdP向UE返回HTTP鉴权成功响应消息，其中携带对应的Artifact。

步骤20、UE重新向SP发起HTTP应用请求消息，其中AuthnRes ponse为上一步中返回的AuthnRes ponse，其中携带对应的Artifact，其包含Assertion的链接；

步骤21、SP向IdP发送通过SOAP协议封装的HTTP请求消息，其中携带对应的Artifact；

步骤22、IdP根据Artifact找到对应的Assertion，然后向SP返回通过SOAP协议封装的HTTP响应消息，其中携带对应的Assertion，其包含IdP的数字签名；

步骤23、SP对Assertion进行相应处理，根据和IdP的身份标识联盟信息对UE完成SSO鉴权；

步骤24、SP最后返回给UE成功的HTTP响应消息。

这以后UE和SP可以继续进行通讯，直到密钥过期或者即将过期为止。

根据AuthnRequest中的身份标识策略，IdP可能每次都要求必须先执行步骤5-步骤15，再执行步骤16，以保证每次的用户标识B-TID都是重新生成的。

如果UE和IdP之间已经建立了安全联盟，并且密钥没有过期，则可以执行下面的策略：跳过步骤5-步骤15，直接执行步骤16，即UE给IdP发送的HTTP鉴权请求信息中携带已有的用户信息B-TID和密钥信息Ks_(Ext/Int)_NAF以及身份标识联盟信息AuthnRequest。

如果UE和IdP之间还没有建立安全联盟，则必需先执行步骤4-步骤15，进行正常的GBA引导过程以获取用户信息B-TID和密钥信息Ks_(Ext/Int)_NAF，然后再执行步骤16。

如果UE和IdP之间已经建立了安全联盟，但是密钥已经或者将要过期，则步骤4也带有已有的用户信息B-TID和密钥信息Ks_(Ext/Int)_NAF以及身份标识联盟信息AuthnRequest，然后IdP通过步骤5挑战UE。UE再执行步骤6-步骤15，进行正常的GBA引导过程获取更新的用户信息B-TID和密钥信息Ks_(Ext/Int)_NAF，然后再执行步骤16。

为了解决现有方案中的缺陷，对于本发明中GBA和SSO两种机制都支持的UE，还执行以下步骤：

步骤4、UE向IdP发送HTTP请求时，需要携带一个表示支持GBA机制的标识。

步骤5、IdP发现UE支持GBA后，需要在发给UE的挑战响应中也携带一个表示需要UE执行GBA机制的标识。

步骤6-15、UE如果在挑战响应中发现所述标识，则知道需要先执行GBA过程步骤6-步骤15，然后再执行步骤16。否则直接执行步骤16，其中的用户名、密码的获取通过现有SSO机制处理，例如给用户弹一个对话框，由用户直接输入用户名和密码。

步骤16、UE再次向IdP发送HTTP请求时，也需要携带一个表示支持GBA机制的标识。如果IdP发现此标识，则知道需要先执行步骤17，然后执行步骤18；否则直接跳到步骤18执行。

此外，也可以通过配置IdP来实现上述功能。通过配置IdP实体上的本地策略，要求UE先完成通用鉴权架构机制鉴权过程后，再执行身份标识联盟鉴权过程。

应当理解的是，对本领域普通技术人员来说，可以根据上述说明加以改进或变换，而所有这些改进和变换都应属于本发明所附权利要求的保护范围。

Claims (22)

1、一种组合鉴权架构，在通用鉴权架构和身份标识联盟架构的基础上实现互通，其特征在于：

启动引导服务器功能实体和业务鉴权提供商实体为一个实体。

2、根据权利要求1所述的组合鉴权架构，其特征在于，所述业务鉴权提供商实体与归属用户服务器实体之间的接口功能通过扩展Zh接口实现。

3、根据权利要求1所述的组合鉴权架构，其特征在于，所述业务鉴权提供商实体与归属用户服务器实体之间的接口功能通过新增启动引导服务器功能实体与归属用户服务器实体之间的接口功能实现。

4、根据权利要求1所述的组合鉴权架构，其特征在于，所述IP多媒体业务子系统用户与业务鉴权提供商实体之间的接口功能通过扩展Ub接口实现。

5、根据权利要求1所述的组合鉴权架构，其特征在于，所述IP多媒体业务子系统用户与业务鉴权提供商实体之间的接口功能通过新增IP多媒体业务子系统用户与启动引导服务器功能实体之间的接口功能实现。

6、根据权利要求1所述的组合鉴权架构，其特征在于，所述业务提供商实体与业务鉴权提供商实体之间的接口功能通过扩展Zn接口实现。

7、根据权利要求1所述的组合鉴权架构，其特征在于，所述业务提供商实体与业务鉴权提供商实体之间的接口功能通过新增启动引导服务器功能实体与业务提供商实体之间的接口功能实现。

8、根据权利要求1所述的组合鉴权架构，其特征在于，所述IP多媒体业务子系统用户与业务提供商实体之间的接口功能通过扩展Ua接口实现。

9、根据权利要求1所述的组合鉴权架构，其特征在于，所述IP多媒体业务子系统用户与业务提供商实体之间的接口功能通过新增IP多媒体业务子系统用户与网络应用功能实体之间的接口功能实现。

10、根据权利要求1所述的组合鉴权架构，其特征在于，所述网络应用功能实体与业务提供商实体为一个实体。

11、一种组合鉴权架构的实现方法，其特征在于，IP多媒体业务子系统用户和业务提供商实体的通信过程中包括通用鉴权架构鉴权过程和身份标识联盟鉴权过程；

其包括步骤：

A1、在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识和根密钥有效期，并且发送给IP多媒体业务子系统用户，在引导服务功能实体和IP多媒体业务子系统用户两端都生成根密钥；

A2、在身份联盟功能鉴权过程中，业务鉴权提供商实体生成鉴权申明，并且发送给IP多媒体业务子系统用户。

12、根据权利要求11所述的实现方法，其特征在于，在步骤A1之前还包括步骤：

B1、IP多媒体业务子系统用户向业务提供商实体发送应用请求；

B2、业务提供商实体向IP多媒体业务子系统用户发送响应信息，所述响应信息携带业务鉴权提供商地址和身份标识联盟请求鉴权信息。

13、根据权利要求11所述的实现方法，其特征在于，步骤A1包括步骤：

C1、IP多媒体业务子系统用户向业务鉴权提供商发送身份标识联盟鉴权请求消息，其中携带上述身份标识联盟请求鉴权信息；

C2、业务鉴权提供商向IP多媒体业务子系统用户发送挑战响应消息，要求其携带身份标识信息；

C3、IP多媒体业务子系统用户通过启动引导服务器实体完成通用鉴权架构引导过程，IP多媒体业务子系统用户得到引导事务标识和根密钥，所述引导事务标识是身份标识；

C4、IP多媒体业务子系统用户向启动引导服务器实体发送鉴权请求消息，其携带引导事务标识和所述身份标识联盟请求鉴权信息；

C5、启动引导服务器实体对IP多媒体业务子系统用户进行通用鉴权架构鉴权。

14、根据权利要求13所述的实现方法，其特征在于，所述步骤C1之前还包括以下步骤：

D1、所述启动引导服务器实体检查所述鉴权请求消息中携带有效的引导事务标识参数，并且根密钥在有效期内，则直接从步骤C4开始执行。

15、根据权利要求13所述的实现方法，其特征在于，所述步骤C1的所述鉴权请求消息还携带一标识，所述标识表示所述IP多媒体业务子系统用户支持通用鉴权架构机制。

16、根据权利要求13所述的实现方法，其特征在于，所述步骤C2的所述挑战响应消息还携带一标识，所述标识表示需要IP多媒体业务子系统用户执行通用鉴权架构机制鉴权。

17、根据权利要求13所述的实现方法，其特征在于，所述步骤C4的所述鉴权请求消息还携带一标识，所述标识表示所述IP多媒体业务子系统用户支持通用鉴权架构机制。

18、根据权利要求13所述的实现方法，其特征在于，通过配置业务鉴权提供商实体上的本地策略，要求IP多媒体业务子系统用户先完成通用鉴权架构机制鉴权过程后，再执行身份标识联盟鉴权过程。

19、根据权利要求11所述的实现方法，其特征在于，步骤A2包括步骤：

E1、业务鉴权提供商对IP多媒体业务子系统用户进行身份标识联盟鉴权；

E2、鉴权成功后，业务鉴权提供商实体向IP多媒体业务子系统用户发送鉴权成功响应消息；

E3、IP多媒体业务子系统用户向业务提供商实体提出请求信息，其携带上述鉴权成功响应信息，业务提供商实体完成对IP多媒体业务子系统用户的身份标识联盟鉴权。

20、根据权利要求19所述的实现方法，其特征在于，所述步骤E2鉴权成功后，其还包括以下步骤：

F1、业务鉴权提供商实体向IP多媒体业务子系统用户返回是否与各业务提供商结成身份标识联盟的选择信息；

F2、IP多媒体业务子系统用户向业务鉴权提供商实体确认所述信息，并完成和所述业务提供商实体结成身份标识联盟。

21、据权利要求19所述的实现方法，其特征在于，所述步骤E3中所述鉴权成功响应信息包含鉴权申明信息。

22、根据权利要求19所述的实现方法，其特征在于，所述步骤E3中所述鉴权成功响应信息包含鉴权申明链接信息；所述步骤E3还包括以下步骤：

G1、业务提供商实体向业务鉴权提供商实体发送请求消息，其携带所述鉴权申明链接信息；

G2、业务鉴权提供商实体根据所述鉴权申明链接信息找到对应鉴权申明信息，并向业务提供商实体发送响应信息，其携带所述鉴权申明信息。

Images