CN1953371A - 一种对自由使能的客户端或者代理进行鉴权的方法 - Google Patents

Abstract

本发明公开了一种对自由使能的客户端或者代理进行鉴权的方法，包括步骤：自由使能的客户端或者代理和业务提供商实体的通信过程中包括两种鉴权过程，分别是通用鉴权架构鉴权过程和身份标识联盟鉴权过程，在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识、根密钥有效期，并且发送给自由使能的客户端或者代理，引导服务功能实体和自由使能的客户端或者代理两端都生成根密钥；在身份标识联盟鉴权过程中，身份鉴权提供商实体生成鉴权申明，并且发送给自由使能的客户端或者代理。本发明的技术方案克服了现有技术在对ID－FF的LECP进行鉴权的过程中无法使用GBA方式鉴权的缺点，提供了一种新的对LECP进行鉴权的方法，使ID－FF和GBA的互通更加完善。

Description

一种对自由使能的客户端或者代理进行鉴权的方法

技术领域

本发明涉及互联网技术领域和下一代网络(NGN，Next GenerationNetworks)技术领域以及第三代移动通信系统组织(3GPP，The ThirdGeneration Partnership Project)技术领域，具体涉及一种对自由使能的客户端或者代理(LECP，Liberty-enabled client or proxy)进行鉴权的方法。

背景技术

如图1所示，3GPP定义了一种通用鉴权架构(GBA)，通用鉴权架构通常由IP多媒体业务子系统(IMS，IP Multimedia Core NetworkSubsystem)用户(UE)、引导服务功能实体(BSF，Bootstrapping ServerFunction)、用户归属网络服务器(HSS，Home Subscribe Server)、用户定位功能实体(SLF，Subscriber Locator Function)和网络业务应用功能实体(NAF，Network Application Function)组成。UE与BSF通过Ub接口连接；UE与NAF通过Ua接口连接；BSF与HSS通过Zh接口连接，BSF与NAF通过Zn接口连接，BSF与SLF通过Dz接口连接。BSF用于与UE执行引导过程(bootstrapping)时进行互验证身份，同时生成BSF与用户的共享密钥Ks；HSS中存储用于描述用户信息的签约文件，同时HSS还兼有产生鉴权信息的功能。SLF用于当存在多个HSS时，协助BSF查找相应的HSS。NAF用于为UE提供网络业务。

在Ub接口中，UE执行引导过程(bootstrapping)的流程如图2所示，说明如下：

步骤1：UE需要使用某种业务时，如果知道该业务需要到BSF进行相互鉴权过程，则直接发送鉴权请求到BSF进行相互鉴权。否则，UE会首先和该业务对应的NAF联系，如果该NAF使用GBA通用鉴权架构，并且发现该UE还未到BSF进行互认证过程，NAF则通知该UE到BSF进行互鉴权以验证身份，然后UE再直接发送鉴权请求到BSF进行相互鉴权；

步骤2：BSF接到UE的鉴权请求后，首先到HSS获取该UE的鉴权向量信息(AUTN，RAND，IK，CK，XRES)五元组；

步骤3～步骤6：BSF采用HTTP digest AKA协议与UE进行双向认证以及密钥协商，完成UE和BSF之间身份的互相认证；

步骤7：BSF生成共享根密钥Ks，BSF还为共享密钥Ks定义了一个有效期限，以便对Ks进行定期更新；

步骤8：BSF分配一个引导事务标识(B-TID，bootstrapping transactionidentifier)，用于标识BSF和UE之间的本次鉴权交互事务；BSF将该B-TID与根密钥Ks、UE的私有用户标识(IMPI，IMS Private identity)相关联，以便以后BSF可以根据该B-TID查找出相应的Ks，然后BSF将引导事务标识和Ks的有效期限一起明文发送给UE；

步骤9：UE也生成和BSF侧相同的共享根密钥Ks。

完成上述步骤后，UE和BSF之间就共享了一个根密钥Ks，并且UE可以利用公式：

Ks_NAF＝KDF(Ks，″gba-me″，RAND，IMPI，NAF_Id)或者

Ks_Ext_NAF＝KDF(Ks，″gba-me″，RAND，IMPI，NAF_Id)、

Ks_Int_NAF＝KDF(Ks，″gba-u″，RAND，IMPI，NAF_Id)，

推导出与想要访问的NAF之间的衍生的共享密钥Ks_(Ext/Int)_NAF，其中NAF_Id是由要访问的NAF以及Ua接口上的协议标识(UaID)连接而成，RAND是一个随机数，IMPI是UE的私有用户标识，″gba-me″和″gba-u″代表字符串；KDF是密钥导出函数的缩写。这样，UE侧就获取了该衍生的共享密钥Ks_(Ext/Int)_NAF。剩下的任务就是NAF如何获取该衍生的共享密钥Ks_(Ext/Int)_NAF。只有NAF和UE都获取了Ks_(Ext/Int)_NAF，才能建立双方通讯的安全通道。

NAF获取Ks_(Ext/Int)_NAF的流程如图3所示，说明如下：

步骤1：UE首先根据上述公式推导出衍生的共享密钥Ks_(Ext/Int)_NAF，然后以引导事务标识(B-TID)为用户名，Ks_(Ext/Int)_NAF为口令向NAF发送连接请求，本步骤之前可能会事先建立TLS链接，以保证Ua接口的通讯安全；

步骤2：NAF收到UE的连接请求后，给BSF发出认证请求消息，其中携带引导事务标识B-TID和NAF主机名；

步骤3：BSF上保留有B-TID、IMPI、Ks、密钥有效期、BSF与UE之间的相互鉴权的开始时间、应用相关的GBA用户安全设置(GUSS，GBA User security setting)等信息，如果BSF能够根据该B-TID查找到相应的Ks，则完成相应用户的认证，然后BSF再使用与用户侧相同的上述公式计算出衍生的共享密钥Ks_(Ext/Int)_NAF，然后在认证响应消息中把Ks_(Ext/Int)_NAF、Ks_(Ext/Int)_NAF的有效期限、BSF与UE之间的相互鉴权的开始时间、以及与其它应用相关的用户安全设置信息(USS，User security setting)发给NAF，一个GUSS中可能包含多个USS，NAF收到后，保存这些信息。

这样NAF和UE也就共享了由Ks衍生的密钥Ks_(Ext/Int)_NAF，从而这两者在后续的通信中可以进行安全通信。

另外，自由联盟工程(LAP，Liberty Alliance Project)组织也定义了一些架构和规范，用于实现对Web业务的访问，其主要包含三个子架构：身份标识联盟架构(ID-FF，Identity Federation Framework)；身份标识Web业务架构(ID-WSF，Identity Web Service Framework)；身份标识业务接口规范(ID-SIS，Identity Services Interface Specifications)；其中ID-FF主要包含身份标识联盟(Identity Federation)功能和单点认证功能(SSO，Single Sign On)。ID-WSF主要在ID-FF的基础上定义一些基于身份标识的Web业务架构，以便提供一些简单的、用户可以定制的Web业务。ID-SIS则定义一些与Web业务相关的接口规范。ID-FF的架构如图4所示，它主要包含三个实体：UE、身份鉴权提供商实体(IdP，Identity Provider)、业务提供商实体(SP，Service Provider)。身份标识联盟功能是指UE在IdP和SP上都有自己的身份标识，即用户标识。这些身份标识可以结成一个联盟。SSO是指在上述身份标识联盟功能的基础上，只要UE在IdP上通过了鉴权，就等于同时在所有结成联盟的SP上也同时通过了鉴权。

对于UE，有两种鉴权方式：一种是UE在IdP上鉴权通过后，IdP会将该UE的鉴权申明(Assertion)直接返回给UE。UE再将该Assertion发给SP。SP通过分析Assertion来对终端进行鉴权。另一种是UE在IdP上鉴权通过后，IdP会将该UE的鉴权申明链接(Artifact)返回给UE。UE再将该Artifact发给SP。SP再将该Artifact通过SOAP协议发给IdP。IdP根据该Artifact查询相应的Assertion，并返回给SP。最后SP通过分析Assertion来对终端进行鉴权。

从上面的介绍可以看出，一方面，通用鉴权架构中UE与BSF交互获取根密钥Ks和B-TID以后，都需要分别以B-TID为用户名，Ks_(Ext/Int)_NAF为口令在各个NAF上鉴权，以便访问各个NAF。这种频繁的认证增强了安全性，但增加了终端操作的复杂性和不方便性。另一方面，身份标识联盟架构中通过身份标识联盟功能在各个SP与IdP之间建立身份标识安全联盟，并组成一个安全信任圈。只要在IdP上通过了鉴权，就等于在IdP所属的安全信任圈内的所有SP上也通过了鉴权。因此，如果这两种架构之间能够实现互通，既不会降低原有的安全性，也可以增加终端操作的简便性，并扩展终端的应用场景，以使用已有的多种多样的WEB业务。互通的场景有两种：图5给出了IdP和NAF为一个实体的互通场景，图6给出了IdP和BSF为一个实体的互通场景。

身份标识联盟架构中还有一种称为“自由使能的客户端或者代理(LECP)”的实体，它分为自由使能的客户端(LEC，Liberty-enabled client)、自由使能的代理(LEP，Liberty-enabled proxy)。LEP本质上是模拟LEC的行为，除非特别指明，一般认为两者是一样的。和现有终端相比，其主要特点如下：

1、没有Liberty协议消息包大小的限制，因此不需要考虑Artifact模式的流程。

2、它事先知道用来鉴权的IdP的地址，因此SP不需要再设法获取IdP的地址。

3、它与IdP交互时采用由SOAP(Simple Object Access Protocol，简单对象访问协议)封装鉴权信息的HTTP消息。

4、所有的Liberty协议交互消息中(LECP<-->IdP、LECP<-->SP)都必须带有唯一的Liberty-Enabled消息头域，也就是说，如果在LEC和SP(IdP)之间存在一个LEP，那么只能是LEC和LEP其中之一添加Liberty-Enabled，但是LEP可以修改Liberty-Enabled头域，因此我们一般认为LEC/LEP是一体的，称为LECP。

发明内容

本发明要解决的技术问题是克服现有技术在对ID-FF的LECP进行鉴权的过程中无法使用GBA方式鉴权的缺点，提供一种对LECP进行鉴权的方法。

本发明采用如下的技术方案：

这种对自由使能的客户端或者代理进行鉴权的方法，包括步骤：自由使能的客户端或者代理和业务提供商实体的通信过程中包括两种鉴权过程，分别是通用鉴权架构鉴权过程和身份标识联盟鉴权过程，在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识、根密钥有效期，并且发送给自由使能的客户端或者代理，引导服务功能实体和自由使能的客户端或者代理两端都生成根密钥；在身份标识联盟鉴权过程中，身份鉴权提供商实体生成鉴权申明，并且发送给自由使能的客户端或者代理。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：自由使能的客户端或者代理向业务提供商实体发送应用请求消息，业务提供商实体向自由使能的客户端或者代理发送响应消息，该响应消息中包含要求自由使能的客户端或者代理到相应的身份鉴权提供商实体和引导服务功能实体上进行鉴权的信息。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：自由使能的客户端或者代理向相应的身份鉴权提供商实体发送身份标识联盟鉴权请求消息，身份鉴权提供商实体向自由使能的客户端或者代理发送要求其进行通用鉴权架构鉴权的响应消息，引导服务功能实体对自由使能的客户端或者代理进行通用鉴权架构鉴权，鉴权成功后向自由使能的客户端或者代理发送通用鉴权架构鉴权成功响应消息，该鉴权成功响应消息中包含引导事务标识。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：身份鉴权提供商实体对自由使能的客户端或者代理进行身份标识联盟鉴权，鉴权成功后向自由使能的客户端或者代理发送身份标识联盟鉴权成功响应消息，该鉴权成功响应消息中包含鉴权申明。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：包括步骤：

A1、自由使能的客户端或者代理向业务提供商实体发送应用请求消息，其中包含自由使能头域；

A2、业务提供商实体发现应用请求消息中包含自由使能头域，确认不需要获取身份鉴权提供商实体地址；

A3、业务提供商实体向自由使能的客户端或者代理发送成功响应消息，其中包含身份标识联盟鉴权请求信封头域和自由使能头域；

A4、自由使能的客户端或者代理向给相应的身份鉴权提供商实体发送身份标识联盟鉴权请求消息，其中包含身份标识联盟鉴权请求头域和自由使能头域；

A5、身份鉴权提供商实体向自由使能的客户端或者代理发送挑战响应消息，其中包含自由使能头域。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：身份标识联盟鉴权请求信封头域包含鉴权请求头域和业务提供商实体统一资源定位系统头域。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：业务提供商实体和自由使能的客户端或者代理使用超文本传输协议发送和接收消息。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：身份标识联盟鉴权请求头域由简单对象访问协议封装。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：包括步骤：

B1、自由使能的客户端或者代理向引导服务功能实体发送通用鉴权架构鉴权请求消息，其中包含私有用户标识；

B2、引导服务功能实体收到该通用鉴权架构鉴权请求消息后，从用户归属网络服务器获取自由使能的客户端或者代理的认证矢量；

B3、引导服务功能实体向自由使能的客户端或者代理发送消息，其中携带鉴权序号参数和随机参数；

B4、自由使能的客户端或者代理检查鉴权序号参数有效性并生成期望结果；

B5、自由使能的客户端或者代理向引导服务功能实体发送消息，其中携带私有用户标识、期望结果；

B6、引导服务功能实体检查期望结果的有效性并完成对自由使能的客户端或者代理的鉴权；

B7、引导服务功能实体生成根密钥；

B8、引导服务功能实体向自由使能的客户端或者代理发送通用鉴权架构成功响应消息，其中携带引导事务标识和根密钥有效期；

B9、自由使能的客户端或者代理保存引导事务标识和根密钥有效期，生成并保存根密钥；

B10、自由使能的客户端或者代理生成并保存共享密钥。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：包括步骤：

C1、自由使能的客户端或者代理向身份鉴权提供商实体发送鉴权请求消息，其中携带引导事务标识、身份标识联盟鉴权请求头域和自由使能头域；

C2、身份鉴权提供商实体根据鉴权请求消息内容中的引导事务标识，对自由使能的客户端或者代理进行通用鉴权架构鉴权；

C3、身份鉴权提供商实体根据鉴权请求头域内容中的身份标识联盟鉴权请求头域和自由使能头域对自由使能的客户端或者代理进行身份标识联盟鉴权；

C4、身份鉴权提供商实体向自由使能的客户端或者代理发送鉴权成功响应消息，其中包含身份标识联盟鉴权响应信封头域、自由使能头域，身份标识联盟鉴权响应信封头域中包含身份标识联盟鉴权响应头域、业务提供商实体统一资源定位系统头域，身份标识联盟鉴权响应头域包含相应的鉴权申明；

C5、自由使能的客户端或者代理向业务提供商实体发送应用请求消息，其中包含身份标识联盟鉴权响应头域、自由使能头域；

C6、业务提供商实体对鉴权申明进行处理，根据身份标识联盟信息对自由使能的客户端或者代理完成鉴权；

C7、业务提供商实体向自由使能的客户端或者代理发送成功响应消息，其中包含自由使能头域。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：自由使能的客户端或者代理、业务提供商实体和身份鉴权提供商实体使用超文本传输协议发送和接收消息。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：身份标识联盟鉴权请求头域、身份标识联盟鉴权响应信封头域由简单对象访问协议封装。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：所述步骤C2包括步骤：身份鉴权提供商实体从引导服务功能实体上获取与自由使能的客户端或者代理的共享密钥、用户安全设置信息、根密钥有效期、引导时间。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：所述步骤C3包括步骤：鉴权成功后身份鉴权提供商实体通知自由使能的客户端或者代理可以结成身份标识联盟的业务提供商实体，自由使能的客户端或者代理同意后，进行身份标识联盟的相关处理。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：鉴权申明包含身份鉴权提供商的数字签名。

所述的对自由使能的客户端或者代理进行鉴权的方法，其中：业务提供商实体的地址由所述步骤C4中的业务提供商实体统一资源定位系统头域内容确定。

本发明的技术方案克服了现有技术在对ID-FF的LECP进行鉴权的过程中无法使用GBA方式鉴权的缺点，提供了一种新的对LECP进行鉴权的方法，增强了LECP与业务提供商实体之间通信的安全性，使ID-FF和GBA的互通更加完善。

附图说明

图1是现有技术通用鉴权架构(GBA)示意图；

图2是现有技术UE执行引导过程(bootstrapping)的流程图；

图3是现有技术NAF获取共享密钥Ks_(Ext/Int)_NAF的流程图；

图4是现有技术身份标识联盟架构(ID-FF)示意图；

图5是现有技术IdP和NAF为一个实体时ID-FF与GBA的互通场景示意图；

图6是现有技术IdP和BSF为一个实体时ID-FF与GBA的互通场景示意图；

图7是本发明IdP和NAF为一个实体时LECP应用GBA的流程图；

图8是本发明IdP和BSF为一个实体时LECP应用GBA的流程图。

具体实施方式

下面结合附图和实施例对本发明作进一步详细说明：

本发明的要点在于为了增强LECP与业务提供商实体之间通信的安全性，配合身份标识联盟架构和通用鉴权架构的互通，在LECP与业务提供商实体的通信过程中增加通用鉴权架构鉴权方式，相应的在两者的通信消息中增加可以进行通用鉴权架构鉴权的消息头域，在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识、根密钥有效期，并且发送给自由使能的客户端或者代理，引导服务功能实体和自由使能的客户端或者代理两端都生成根密钥；在身份标识联盟鉴权过程中，身份鉴权提供商实体生成鉴权申明，并且发送给自由使能的客户端或者代理。

当IdP和NAF由一个实体实现其两者功能时，本发明的对LECP的鉴权过程包括如图7所示的步骤；当IdP和BSF由一个实体实现其两者功能时，本发明的对LECP的鉴权过程包括如图8所示的步骤；下面通过对图7和图8所示步骤的具体说明，阐述本发明的实现过程。

首先对图7所示步骤进行说明，图7介绍了本发明当IdP和NAF由一个实体实现其两者功能时的实施例1，包括下面的步骤：

步骤1：为了保证通信安全，LECP和SP之间事先建立TLS(TransportLayer Security，传输层安全协议)安全隧道。LECP向SP发出HTTP应用请求消息，其中包含Liberty-Enabled头域(自由使能头域)。

步骤2：SP发现HTTP应用请求消息中包含上述Liberty-Enabled头域，确认不需要获取IdP的地址。

步骤3：SP发现HTTP应用请求消息中没有包含AuthnResponse头域(身份标识联盟鉴权响应头域)，给LECP发送HTTP 200 OK响应消息，其中包含AuthnRequestEnvelope头域(身份标识联盟鉴权请求信封头域)和Liberty-Enabled头域，请求LECP先到相应的IdP上进行鉴权；AuthnRequestEnvelope头域包含AuthnRequest头域(身份标识联盟鉴权请求头域)、AssertionConsumerServiceURL头域(业务提供商实体统一资源定位系统头域，即SP本身的URL，以便鉴权成功以后LECP可以重新定向到该SP)等内容。

步骤4：LECP事先知道应该到哪个IdP上去鉴权以便访问该SP，因此给相应的IdP发送HTTP POST鉴权请求消息，其中包含步骤3中获取的并且由SOAP协议封装的AuthnRequest头域和Liberty-Enabled头域。

步骤5：IdP向LECP发送HTTP挑战响应消息，其中包含Liberty-Enabled头域，通知LECP到BSF进行相互鉴权以验证身份。

步骤6：LECP向BSF发送GBA鉴权请求消息，其中包含私有用户标识(IMPI)，要求与BSF进行相互鉴权。

步骤7：BSF收到LECP的GBA鉴权请求消息后，首先到HSS获取该LECP的鉴权向量信息，即认证矢量(鉴权序号参数AUTN，随机参数RAND，完整性密钥IK，机密性密钥CK，预期结果XRES)。

步骤8：BSF保存XRES、IK、CK，并向LECP发送消息，其中携带AUTN和RAND。

步骤9：LECP运行AKA算法，检查AUTN有效性以鉴权BSF，并生成期望结果RES。并且利用RAND生成完整性密钥IK和机密性密钥CK。

步骤10：LECP向BSF发送消息，其中携带IMPI、期望结果RES。

步骤11：：BSF将RES和保存的XRES比较，如果两者一致的话完成对LECP的鉴权。

步骤12：BSF利用保存的IK和CK生成根密钥Ks。

步骤13：BSF向LECP发送GBA成功响应消息，其中携带引导事务标识(B-TID)和根密钥Ks有效期。

步骤14：LECP保存B-TID和根密钥Ks有效期，并利用IK和CK生成根密钥Ks。

步骤15：LECP生成并保存共享密钥Ks_(Ext/Int)_NAF。

步骤16：LECP再次向IdP发送HTTP POST鉴权请求消息，其中携带B-TID、SOAP协议封装的AuthnRequest头域和Liberty-Enabled头域。

步骤17：由于IdP和NAF为一个实体，因此IdP需要象正常的GBA流程一样通过Zn接口向BSF获取Ks_(Ext/Int)_NAF、用户安全设置信息(USS)、根密钥Ks有效期、引导时间等信息，其中USS可能包含有一些身份标识联盟相关的信息，然后对LECP进行GBA过程的鉴权。

步骤18：IdP去除SOAP协议封装，得到AuthnRequest头域内容；IdP根据AuthnRequest头域内容对LECP进行身份标识联盟鉴权；鉴权成功后IdP告诉LECP可以和哪些SP结成身份标识联盟，如果LECP同意，则完成和SP的身份标识联盟。

步骤19：IdP向LECP返回HTTP 200 OK鉴权成功响应消息，其中包含SOAP协议封装的AuthnResponseEnvelope头域、Libeny Enabled头域，AuthnResponseEnvelope头域中包含AuthnResponse头域、AssertionConsumerServiceURL头域等内容，其中AuthnResponse头域包含相应的鉴权申明Assertion(里面有IdP的数字签名以及该用户的有关信息)，AssertionConsumerServiceURL头域的内容则和步骤3中AssertionConsumerServiceURL头域的内容一样。

步骤20：LECP重新向步骤19中AssertionConsumerServiceURL头域确定的SP发送HTTP POST应用请求消息，其中包括步骤19返回的AuthnResponse头域、Liberty-Enabled头域，其中AuthnResponse头域携带步骤19中得到的鉴权申明Assertion(里面有IdP的数字签名以及该用户的有关信息)。

步骤21：SP对Assertion进行处理，根据和IdP的身份标识联盟信息对LECP完成身份标识联盟鉴权。

步骤22：SP向LECP发送HTTP成功响应消息，其中包含Liberty-Enabled头域。

这以后LECP和SP可以继续进行通讯，直到密钥过期或者即将过期为止。

图8介绍了本发明当IdP和BSF由一个实体实现其两者功能时的实施例2，实施例2的流程与实施例1的主要区别，体现在实施例2的步骤17上：

步骤17：由于IdP和BSF为一个实体，因此IdP不需要象正常的GBA流程一样通过Zn接口向BSF获取Ks_(Ext/Int)_NAF、USS、密钥有效期、引导时间等信息，而是直接在本地获取，其中USS可能包含有一些身份标识联盟相关的信息；然后对LECP进行GBA过程的鉴权。

需要注意的是：由于IdP和BSF为一体，因此计算Ks_(Ext/Int)_NAF时BSF总是知道“NAF_ID”的。本步骤在BSF上执行时，也可以放到步骤12-步骤16之间，效果是一样的。

另外，实施例1中LECP和IdP(NAF)交互时是在Ua接口，而实施例2中LECP和IdP(BSF)交互时是在Ub接口，因此实施例2中LECP和IdP交互时的相关步骤虽然和实施例1的一样，但是实际上发生在不同的接口。

虽然通过参照本发明的优选实施例，已经对本发明进行了图示和描述，但本领域的普通技术人员应该明白，可以在形式上和细节上对其作各种各样的改变，而不偏离所附权利要求书所限定的本发明的精神和范围。

Claims (16)

1、一种对自由使能的客户端或者代理进行鉴权的方法，其特征在于，包括步骤：自由使能的客户端或者代理和业务提供商实体的通信过程中包括两种鉴权过程，分别是通用鉴权架构鉴权过程和身份标识联盟鉴权过程，在通用鉴权架构鉴权过程中，引导服务功能实体生成引导事务标识、根密钥有效期，并且发送给自由使能的客户端或者代理，引导服务功能实体和自由使能的客户端或者代理两端都生成根密钥；在身份标识联盟鉴权过程中，身份鉴权提供商实体生成鉴权申明，并且发送给自由使能的客户端或者代理。

2、根据权利要求1所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于，包括步骤：自由使能的客户端或者代理向业务提供商实体发送应用请求消息，业务提供商实体向自由使能的客户端或者代理发送响应消息，该响应消息中包含要求自由使能的客户端或者代理到相应的身份鉴权提供商实体和引导服务功能实体上进行鉴权的信息。

3、根据权利要求2所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于，包括步骤：自由使能的客户端或者代理向相应的身份鉴权提供商实体发送身份标识联盟鉴权请求消息，身份鉴权提供商实体向自由使能的客户端或者代理发送要求其进行通用鉴权架构鉴权的响应消息，引导服务功能实体对自由使能的客户端或者代理进行通用鉴权架构鉴权，鉴权成功后向自由使能的客户端或者代理发送通用鉴权架构鉴权成功响应消息，该鉴权成功响应消息中包含引导事务标识。

4、根据权利要求3所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于，包括步骤：身份鉴权提供商实体对自由使能的客户端或者代理进行身份标识联盟鉴权，鉴权成功后向自由使能的客户端或者代理发送身份标识联盟鉴权成功响应消息，该鉴权成功响应消息中包含鉴权申明。

5、根据权利要求2所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于，包括步骤：

A1、自由使能的客户端或者代理向业务提供商实体发送应用请求消息，其中包含自由使能头域；

A2、业务提供商实体发现应用请求消息中包含自由使能头域，确认不需要获取身份鉴权提供商实体地址；

A3、业务提供商实体向自由使能的客户端或者代理发送成功响应消息，其中包含身份标识联盟鉴权请求信封头域和自由使能头域；

A4、自由使能的客户端或者代理向给相应的身份鉴权提供商实体发送鉴权请求消息，其中包含身份标识联盟鉴权请求头域和自由使能头域；

A5、身份鉴权提供商实体向自由使能的客户端或者代理发送挑战响应消息，其中包含自由使能头域。

6、根据权利要求5所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于：身份标识联盟鉴权请求信封头域包含鉴权请求头域和业务提供商实体统一资源定位系统头域。

7、根据权利要求5所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于：业务提供商实体和自由使能的客户端或者代理使用超文本传输协议发送和接收消息。

8、根据权利要求5所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于：身份标识联盟鉴权请求头域由简单对象访问协议封装。

9、根据权利要求3所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于，包括步骤：

B1、自由使能的客户端或者代理向引导服务功能实体发送通用鉴权架构鉴权请求消息，其中包含私有用户标识；

B2、引导服务功能实体收到该通用鉴权架构鉴权请求消息后，从用户归属网络服务器获取自由使能的客户端或者代理的认证矢量；

B3、引导服务功能实体向自由使能的客户端或者代理发送消息，其中携带鉴权序号参数和随机参数；

B4、自由使能的客户端或者代理检查鉴权序号参数有效性并生成期望结果；

B5、自由使能的客户端或者代理向引导服务功能实体发送消息，其中携带私有用户标识、期望结果；

B6、引导服务功能实体检查期望结果的有效性并完成对自由使能的客户端或者代理的鉴权；

B7、引导服务功能实体生成根密钥；

B8、引导服务功能实体向自由使能的客户端或者代理发送通用鉴权架构成功响应消息，其中携带引导事务标识和根密钥有效期；

B9、自由使能的客户端或者代理保存引导事务标识和根密钥有效期，生成并保存根密钥；

B10、自由使能的客户端或者代理生成并保存共享密钥。

10、根据权利要求4所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于，包括步骤：

C1、自由使能的客户端或者代理向身份鉴权提供商实体发送鉴权请求消息，其中携带引导事务标识、身份标识联盟鉴权请求头域和自由使能头域；

C2、身份鉴权提供商实体根据鉴权请求消息内容中的引导事务标识，对自由使能的客户端或者代理进行通用鉴权架构鉴权；

C3、身份鉴权提供商实体根据鉴权请求头域内容中的身份标识联盟鉴权请求头域和自由使能头域对自由使能的客户端或者代理进行身份标识联盟鉴权；

C4、身份鉴权提供商实体向自由使能的客户端或者代理发送鉴权成功响应消息，其中包含身份标识联盟鉴权响应信封头域、自由使能头域，身份标识联盟鉴权响应信封头域中包含身份标识联盟鉴权响应头域、业务提供商实体统一资源定位系统头域，身份标识联盟鉴权响应头域包含相应的鉴权申明；

C5、自由使能的客户端或者代理向业务提供商实体发送应用请求消息，其中包含所述身份标识联盟鉴权响应头域、自由使能头域；

C6、业务提供商实体对鉴权申明进行处理，根据身份标识联盟信息对自由使能的客户端或者代理完成鉴权；

C7、业务提供商实体向自由使能的客户端或者代理发送成功响应消息，其中包含自由使能头域。

11、根据权利要求10所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于：自由使能的客户端或者代理、业务提供商实体和身份鉴权提供商实体使用超文本传输协议发送和接收消息。

12、根据权利要求10所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于：身份标识联盟鉴权请求头域、身份标识联盟鉴权响应信封头域由简单对象访问协议封装。

13、根据权利要求10所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于，所述步骤C2包括步骤：身份鉴权提供商实体从引导服务功能实体上获取与自由使能的客户端或者代理的共享密钥、用户安全设置信息、根密钥有效期、引导时间。

14、根据权利要求10所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于，所述步骤C3包括步骤：鉴权成功后身份鉴权提供商实体通知自由使能的客户端或者代理可以结成身份标识联盟的业务提供商实体，自由使能的客户端或者代理同意后，进行身份标识联盟的相关处理。

15、根据权利要求10所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于：鉴权申明包含身份鉴权提供商的数字签名。

16、根据权利要求10所述的对自由使能的客户端或者代理进行鉴权的方法，其特征在于：业务提供商实体的地址由所述步骤C4中的业务提供商实体统一资源定位系统头域内容确定。

Images