CN1977514B - 用户鉴权 - Google Patents
用户鉴权 Download PDFInfo
- Publication number
- CN1977514B CN1977514B CN200580021721XA CN200580021721A CN1977514B CN 1977514 B CN1977514 B CN 1977514B CN 200580021721X A CN200580021721X A CN 200580021721XA CN 200580021721 A CN200580021721 A CN 200580021721A CN 1977514 B CN1977514 B CN 1977514B
- Authority
- CN
- China
- Prior art keywords
- service
- user
- request
- visit
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims abstract description 29
- 238000004891 communication Methods 0.000 claims abstract description 17
- 239000000463 material Substances 0.000 claims description 20
- VBMOHECZZWVLFJ-GXTUVTBFSA-N (2s)-2-[[(2s)-6-amino-2-[[(2s)-6-amino-2-[[(2s,3r)-2-[[(2s,3r)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-6-amino-2-[[(2s)-2-[[(2s)-2-[[(2s)-2,6-diaminohexanoyl]amino]-5-(diaminomethylideneamino)pentanoyl]amino]propanoyl]amino]hexanoyl]amino]propanoyl]amino]hexan Chemical compound NC(N)=NCCC[C@@H](C(O)=O)NC(=O)[C@H](CCCCN)NC(=O)[C@H](CCCCN)NC(=O)[C@H]([C@@H](C)O)NC(=O)[C@H]([C@H](O)C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCCN)NC(=O)[C@H](C)NC(=O)[C@H](CCCN=C(N)N)NC(=O)[C@@H](N)CCCCN VBMOHECZZWVLFJ-GXTUVTBFSA-N 0.000 claims description 11
- 108010068904 lysyl-arginyl-alanyl-lysyl-alanyl-lysyl-threonyl-threonyl-lysyl-lysyl-arginine Proteins 0.000 claims description 11
- 238000004321 preservation Methods 0.000 claims 1
- 238000013475 authorization Methods 0.000 description 6
- 230000004044 response Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 5
- 238000013507 mapping Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 3
- 230000007246 mechanism Effects 0.000 description 2
- 238000012795 verification Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 238000009795 derivation Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 239000000344 soap Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0407—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the identity of one or more communicating identities is hidden
- H04L63/0421—Anonymous communication, i.e. the party's identifiers are hidden from the other party or parties, e.g. using an anonymizer
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/33—User authentication using certificates
- G06F21/335—User authentication using certificates for accessing specific resources, e.g. using Kerberos tickets
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法,所述方法包括:为用户分配用于访问各个服务的多个服务专用标识;从所述用户发出请求,该请求标识出将要访问的服务并且包含该用户的公开密钥;在认证机构处,对所述请求进行鉴权,发出用于将所述服务专用标识与所述请求中的公开密钥绑定的公开密钥证书,并且将所述公开密钥证书返回给所述用户。
Description
技术领域
本发明涉及用户鉴权,尤其是在为无线通信网络的用户(订户)提供服务的环境中的用户鉴权。
背景技术
一种能够保护用户隐私的方法,可以为用户提供对于不同服务提供商的不同标识。在此,所述标识指的是服务专用标识。但是,在这样的情况下,网络运营商需要为用户提供标识管理服务,所述标识管理服务可以将服务专用标识与被授权的用户相关联。如果标识管理提供者不仅能够代表其本身进行授权,还能够代表其它服务提供商进行授权,那么会很有用。这意味着用户不用必须分别在每一个服务简档站点注册,就能够调用私人服务。
这种方案被称为标识联盟,并且允许服务提供商从集中的地方读取用户的标识。用户不必向所有服务提供商提供特定标识信息。
目前,存在两种专门用于无线通信网络的代表性鉴权程序,在所述无线通信网络中,移动终端形式的用户设备希望访问来自服务提供商的服务。所谓的自由联盟(LA)标准使用了这样的鉴权程序,其中,自由许可代理(LEC)具有或者知道怎样获取,关于用户希望与服务提供商使用的标识提供方的信息。自由许可代理规定了映射在标识提供方(IDP)处的服务专用标识。每一个用户有多个用于访问服务提供商(SP)的标识。标识提供方的联合名录存储了用户、用户的标识以及服务之间的关系。所述标识提供方向所述服务提供商声明服务专用标识,该服务提供商通过所述服务专用标识来识别所述用户。这种把不同的标识呈现给不同服务提供商的能力允许维护用户的隐私。根据所述自由联盟标准,所述用户可以避免在调用服务时暴露其真实身份。用户可以匿名调用服务或者使用化名来调用服务(服务专用标识),而不用暴露其真实身份。所述联合名录将用户的真实身份映射到其化名或者服务专用标识,从而使得服务提供商将不会知道真实身份。通过化名和映射服务,服务提供商可以访问,例如用户的位置或者当前状态。这使得服务提供商可以利用所述化名经由联合数据库中的映射从标识服务提供商访问所述用户的位置。所述自由联盟标准规定了带符号的HTTP/soap绑定以用于声明。然而,有很多现有服务并不知道自由声明,而是依靠其它的形式的“声明”来访问,例如传统的公开密钥证书。这种服务例如对企业虚拟专用网(VPN)的访问控制。
另外一种现有的鉴权形式是用于支持3GPP的用户证书(SSC)[3GPPTS 33.221],其作为3GPP通用鉴权架构(GAA)[3GPP TS 33.220]而实现,并且规定了向认证机构(CA)请求用于特定标识的用户证书的方法。在这种情况中,所述特定标识是所述用户的标识,而不是服务专用的。根据GAA/SSC技术,植入所述用户设备中的通用自举架构(GBA)结合所述服务提供商处的鉴权服务器,对所述用户设备进行鉴权,并且它们约定共享密钥资料。所述通用自举架构将所述共享密钥资料传送给认证机构CA。所述用户设备生成不对称的公开/私有密钥对,并且向所述认证机构请求认证。如果被授权,则返回将所述公开密钥和所述请求用户的标识相关联的证书。所述认证过程受所述共享密钥资料的保护。
移动运营商可以使用USIM、ISIM、用户名/口令对或X.509公开密钥证书,对其移动用户进行鉴权。在使用证书的情况下,被鉴权的标识位于subjectName域中,或者位于所述证书的SubjectAltName扩展中[RFC3280]。
所述3GPP/GAA/SSC鉴权程序没有用于指明用户想要访问的服务提供商的机制。通过所述证书仅可以指明和鉴权所述用户的标识。但并不支持基于所述证书的多标识或服务专用标识的鉴权。尽管所述SubjectAltName扩展能够用来承载多个标识和服务专用标识,但问题是在所述认证过程中,所述用户设备需要能够指明想要的单个标识或多个标识,即所述用户设备计划使用所述证书的单个服务或多个服务。用户设备不想把所有可能的标识都放在一个证书里,原因是:由于所述证书是公开的,发现不同标识之间的绑定将会变得非常容易。
发明内容
本发明的目的是提供一种不会受到上述两系统的限制的鉴权系统。
根据本发明的一个方面,提供一种在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法,所述方法包括:给用户分配用于访问各个服务的多个服务专用标识;从所述用户发出请求,该请求标识出将要访问的服务并且包含所述用户的公开密钥;在认证机构处,对所述请求进行鉴权,并且发出用于将所述服务专用标识与所述请求中的公开密钥绑定的公开密钥证书,以及将所述公开密钥证书返回给所述用户。
在下面描述的实施例中,所述请求包括用于标识出将要访问的服务的服务标识符,以及用于标识出所述用户的请求者标识符。所述方法包括进一步的步骤:在所述认证机构处,将所述服务标识符、请求者标识符对映射到将要鉴权的服务专用标识。尽管如此,还有可能这样实现本发明,其中所述请求标识出所述服务专用标识,并且其中所述方法包括进一步的步骤:所述认证机构验证所述用户是否被授权使用所述服务专用标识。
在优选实施例中,在用户终端产生所述公开密钥,其作为不对称密钥对的一部分,其中,所述不对称密钥对包括所述公开密钥和私有密钥。然而,可以通过其它方式获得密钥对,例如通过所述认证机构产生或者来自附装在所述用户终端上的安全单元。
本发明在无线通信网络的环境中特别有用,然而应理解,本发明还可以应用在其它类型的通信网络中。
本发明的另一方面为用户提供一种在通信网络中的用户终端,所述用户终端包括:用于发出请求的装置,所述请求标识出将要经由无线通信网络访问的服务并且含有公开密钥;用于接收由认证机构发出的公开密钥证书的装置,所述公开密钥证书将对于所述将要访问的服务的服务专用标识与所述公开密钥相关联;以及用于将所述公开密钥证书转发给服务提供商以便对所述用户的服务专用标识进行鉴权,并由此授权访问所述服务的装置。
本发明的进一步的方面提供一种用于在通信网络中允许访问来自服务提供商的服务的鉴权系统,所述系统包括:用于接收用户请求的装置,所述请求标识出将要访问的服务并且包含所述用户的公开密钥;以及,认证机构,其被配置为认证所述请求,发出对于所述将要访问的服务的服务专用标识的公开密钥证书,以及将所述公开密钥证书返回给所述用户。
为了更好地理解本发明,现将参考以下附图通过例子来示出怎样有效地实现本发明。
附图说明
图1示出了通信网络的示意图,其中用户可以访问一个或多个服务;
图2示出了实现本发明实施例的示例性体系结构;
图3示出了联合名录的示意图表;
图4示出了用户和鉴权服务器之间的消息流程图;以及
图5示出了用户和认证机构之间的消息流程图;
具体实施方式
图1是用于为用户提供服务的无线通信网络的示意性框图。所述用户以用户设备(UE)的形式指示,该用户设备可能是例如移动电话的移动终端、个人计算机或任何其它类型的移动通信设备。用户设备UE具有接收/发送电路50,该电路能够通过有能力支持无线通信的无线链路RL接收和发送数据(例如请求和回复信息)到所述网络。用户设备UE还包括存储器52,其用于存储如下详述的鉴权信息。所述移动终端能够执行如下详述的客户端软件。用户UE通过运营商网络和多个不同的服务提供商SP1,SP2...SPN进行通信。所述网络包括或具有到鉴权系统26的接入,该鉴权系统26担当接入所述网络的服务提供者的集中标识提供方。将基于希望访问服务的用户的被鉴权的标识,而对其进行授权。
图2示出了用于实现本发明实施例的示例性体系结构。本图示出了包含通用自举架构(GBA)客户端4的通用鉴权架构(GAA),该通用自举架构(GBA)客户端4在经由Ub接口连接到鉴权服务器(自举服务器功能单元-BSF)的移动终端上执行。鉴权服务器6被连接到归属用户服务器(HSS)/归属位置寄存器(HLR)8,所述HSS/HLR存储鉴权数据,所述鉴权数据包括用户的密钥K和国际移动用户标识(IMSI)。鉴权服务器6通过Zn接口连接认证机构(CA)10。认证机构10包括联合名录。所述联合名录(FD)在图3中示出。所述联合名录将每一用户标识和多个服务专用标识(SSI)相关联,所述用户使用所述服务专用标识向服务提供商访问不同服务。所述联合名录中的用户标识是网络运营商用来了解用户的用户名。参考数字12表示公开密钥证书域PKC。公开密钥证书域12包含在移动终端上执行的认证客户端14,其通过PK接口连接到授权客户端4并且通过Ua接口连接到认证机构10。公开密钥证书域12还包括,通过PK1接口连接到认证客户端14的安全(传输层安全性)SEC(TLS)网关功能单元16。SEC(TLS)网关16是HTTP服务器的一部分,其代表HTTP服务器进行TLS认证部分。
注意,在以下描述中,所给出的例子是由基于http服务来实现的。尽管如此,所述根本原理能够应用于IPSec(因特网协议安全)、VPN(虚拟专用网)或WLAN(无线局域网),等等。
参考数字18表示http域,其包含例如浏览器形式的http客户端20,http客户端20通过HT3接口连接到所述PKC域的认证客户端14,并且通过TE-AA接口连接到所述GAA域的授权客户端。http客户端20通过HT1接口连接http分类器22。http分类器22通过HT2接口连接到所述PKC域的认证客户端。http服务器功能单元24通过内部SP-AA接口连接到所述PKC域的SEC(TLS)网关功能单元16。所述http客户端和http分类器在所述移动终端UE上执行。http服务器功能单元24和图1的服务提供商SP中的一个相关联。
回到GAA域2,用户设备UE中的GBA鉴权客户端4到所述BSF服务器上进行鉴权,而且,它们约定共享密钥资料。服务器BSF 6使用在请求注解(RFC)3310中规定的HTTP摘要鉴权和密钥协商(AKA)协议对所述用户设备进行鉴权,从而产生在BSF服务器6和用户设备UE之间的共享密钥资料。BSF服务器6与归属用户服务器/归属位置寄存器8相接,以取出三元/向量鉴权形式的相应鉴权信息。认证机构10担当PKI入口,并且可以向所述用户设备发出证书并传送运营商CA证书。在这两种情况下,请求和回复都受到在所述用户设备和所述认证服务器之间已经预先建立的共享密钥资料的保护。
现将描述根据本发明的一个实施例的方法,其允许用户使用用户设备UE来访问一个服务提供商SP所提供的服务。GBA客户端4与鉴权服务器BSF进行通信,以基于所述用户的用户标识(例如,用户名)来鉴权所述用户,并且约定共享密钥资料Ks。在授权客户端4和认证机构10两者中,都从鉴权信息导出所述共享密钥资料。客户端4使用HTTP摘要AKA协议来导出共享密钥资料Ks,其需要秘密密钥和密码函数,以从所述鉴权口令中提取出共享密钥资料Ks。所述共享密钥资料被保存在与用于本次被鉴权的会话的相关用户标识相关联的联合名录中。并且,所述共享密钥资料采用加密代码的形式。
于是,用户设备UE产生公开密钥/私有密钥对,并且将它们和用于标识出所述用户将要访问的服务的服务标识符SIi存储在一起。所述密钥对和标识符可以存储在所述用户设备的存储器52中或所述用户设备可访问的智能卡中。
认证客户端14被调用以请求证书。请求包括所述服务标识符和所述公开密钥:所述私有密钥被保密。对于所述证书的请求受到所述共享密钥资料的保护,并且通过Ua接口被发送到认证机构CA。所述用户标识也随着所述请求一起被发送。
在认证机构10中,联合名录FD将服务标识符SIi映射到对于所述服务和用户名的服务专用标识SSIi。
认证机构10基于所述用户名从BSF服务器6获得共享密钥资料Ksi,并且验证所述请求的授权报头。这在TS 33.221中讨论。假设所述请求有效,那么认证机构10发布的证书,所述证书将所述公开密钥和用于所述请求中的服务标识符所标识出的服务的服务专用标识相关联。所述证书通过Ua接口返回到用户UE,并且UE将所述证书存储到存储器52或智能卡中。在多个设备的情况下,UE可以利用私有密钥将所述证书转发到另一设备(便携式电脑)中,除非所述另一设备本身能产生私有密钥。
认证客户端14通过HT3接口通知http客户端20:已经收到有效证书,并且通过PK1接口将用于鉴权的证书发送给SEC(TLS)网关功能单元16。于是,http客户端20调用对于其想要访问的服务的服务提供商的http服务器功能单元24,并且将所述证书包含在内。它还包含证据,服务提供商通过所述证据可以使所述证书生效,所述证据包括,例如包含以私有密钥加密的数据的数字签名。
SEC(TLS)网关16通过面向一系列认证机构的PK3接口,使所述证书生效,并且一旦所述证书被鉴权,所述用户就能调用所述服务。SEC(TLS)网关功能单元16还会质询所述认证客户端并且验证响应以鉴权所述客户端(PK1),并且促使http服务器功能单元24向被授权的客户端提供所述请求的服务(HT4)。
可以根据3GGP标准TS 33.220在Ub接口上进行鉴权,其中,可以基于HTTP摘要AKA[RFC 3310]进行鉴权,也可以使用2G SIM实现鉴权。
图4示出了在引导过程中,在实现授权客户端4(UE)的用户设备UE和鉴权服务器6(BSF)之间的部分消息流程图。GBA客户端4通过发出鉴权请求30GET请求来发起鉴权程序。所述鉴权请求通过用户标识来标识出用户;在这个例子中,使用IMPI(IP多媒体私有标识)来标识出用户。另一个选择可以是IMSI,或者UE能够从IMSI中生成伪IMPI(如TS 23.003中所规定的)。返回HTTP响应32,响应32确认收到所述用户标识IMPI,并且返回包括RAND与AUTN的AKA临时随机数,其唯一地标识出所述请求。所述用户设备上的鉴权客户端4返回带有从AKA导出的适当密码的HTTP请求34,并且鉴权服务器(BSF)6通过返回包含自举事务标识符(B-TID)(图4中未示出)的鉴权信息进行响应,该自举事务标识符被用作在Ua接口中的用户名,而且,所述共享密钥资料是从所述认证信息中导出的。显然,BSF已经从HSS中读取了所述鉴权信息,但是,因为这已经是众所周知的,所以这个事务没有在图2中示出。
在通过图4的信息交互约定了所述共享密钥资料后,于是,在所述用户设备处的认证客户端产生认证请求PKCS#10,所述认证请求通过Ua接口被传送给CA。图5示出了此过程。根据已建立的标准,所述认证请求包括很多域,如下所示:
POST/certificaterequest/HTTP/1.1
Authorization:Digest
Username=“adf..adf”,
Realm=“ca-naf@operator.com”,
Qop=“auth-int”,
algorithrm=“MD5”,
uri=“/certificaterequest/”,
Nonce=“dffef12..2ff7”,
Nc=00000001,
Cnonce=“0a4fee..dd2f”,
reponse=“6629..ef3e”,
Opaque=“e23f45..dff2”
<Base64编码的PKCS#10请求>
所述域参见RFC2617。在这个例子中,HTTP消息包含AuthorizationHTTP报头,在此报头中,所述“username”可以是B-TID,并且所述“opaque”域可以包含服务标识符。
“Authorization”是与HTTP摘要鉴权[RFC2617]相关联的HTTP报头。Authorization报头中的参数用于对所述请求进行鉴权和完整性保护。PKCS#10请求包括认证请求和服务标识符,所述认证请求本身含有所述用户的公开密钥。
根据本发明的一个实施例,认证请求PKCS#10还包括标识出所述用户将要访问的服务的服务标识符域。所述服务可以用很多方式中的任何一种来标识,例如通过透明字符串、领域地址、URI(通用资源标识符)、特异的名字,等等。所需要的只是,对于所述用户将要访问的特定服务的标识符是唯一的。所述服务标识符作为一个扩展,被包含在PKCS#10请求中。例如,通过将subjectAltName作为所请求的扩展,具有“扩展请求”属性的PKCS#9可以用作PKCS#10。
或者,在CRMF(认证请求消息格式)[RFC2511]中,所述服务标识符可以是证书模板(CertTemplate)域中的subjectAltName扩展。
所述CA(NAF)基于所述认证请求PKCS#10中所提供的用户名(B-TID),从鉴权服务器BSF中提取所述共享密钥资料,并且使用所述共享密钥资料验证所述授权报头。如果成功,则BSF处理所述认证请求,并且返回图5中标签为CERT的证书响应。所述证书响应的格式如下:
HTTP/1.1200OK
Content Type:application/x509-user-cert
Authentication-info:nextnonce=“4ff232dd..dd”
qop=auth-int
rspauth=“4dd34...55d2”
cnonce=“0a4fee...dd2f”
nc=00000001
<Base64编码的用户x509证书>
所述用户设备将所述证书存储在所述用户设备的存储器或者智能卡中。所述证书通过所述服务识别码激活所述公开密钥,并且可以使用所述不对称公开密钥/私有密钥对而被鉴权。
通过将所述服务标识符添加到所述认证请求,允许用户拥有对于多个服务的多个证书。尽管如此,所述用户能够保留针对每一个服务的单个标识,这是因为每一个用户证书是和单独的服务专用用户标识相关联的,而不是和公用(“全局”)标识相联系,所述公用标识的行为可能会被跟踪,从而使用户的隐私受到侵犯。换句话说,我们将用户和服务专用自由联盟声明替换为用户和服务专用公开密钥证书。在上述实施例中,CA基于所述共享密钥资料和所述联合数据库中保持的映射,来标识出所述服务专用用户标识。
在可选实施例中,用户设备UE可以发送指明其优选标识的认证请求,例如,在用户具有用于访问服务提供商的多个名字的情况下。
在CA(或其中的联合名录)处,(请求者标识符,服务标识符)对被映射到保存在所述联合数据库中的服务专用用户标识。认证机构为被映射的标识签署公开密钥证书,并且把该公开密钥证书返回到所述用户设备。
这允许用户具有多个证书中的多个标识。所述证书中的公开密钥应该不同以防止链接所述标识。因此,本发明的上述实施例利用所述公开密钥认证技术,通过标识映射来支持自由联盟(LA)私有标准,但是能够达到比所述LA声明机制更广的应用范围。
在上述实施例中,所述服务标识符被包括在PKCS#10消息的附加扩展域中。在和认证机构CA相关联的联合数据库FD中,所述服务标识符被映射到服务专用标识。
根据第一可选实施例,有可能在所述认证请求中发送所述服务专用标识。也就是,UE本身将所述用户标识映射到希望用于证书的服务专用标识。在这种情况下,认证机构必须验证所述用户确实拥有所请求的标识,而且必须维护用于所述验证的标识数据库。因此,所导致的架构比上述实施例的更复杂,然而,在所述用户设备和网络之间可以利用标准PKCS#10协议而不需要任何附加。
进一步可选实施例允许在PKCS#10消息的主题域中指明某些形式的名字字符串。例如,在名字字符串是user@realmname的情况下,realm部分可以是所述服务标识符。在名字字符串是特异的名字的情况下,organisation部分可以是所述服务识标识符。例如,如RFC3280中所描述的,可以使用特异的名字“CN=username,O=realm”。
如上所述,可以在除上述http服务器体系结构之外的体系结构中实现本发明。尤其是,SEC(TLS)网关单元、http服务器功能单元和相关接口(PK1,PK3,HT4,SP-AA)可以用单个功能单元来代替,所述单个功能单元接收用于鉴权的用户证书,可选地使所述证书(PK3)生效,质询客户端和验证响应以鉴权所述客户端(PK1),以及为被授权的客户端提供所请求的服务(HT4)。
Claims (19)
1.一种用于在通信网络中对试图访问来自服务提供商的服务的用户进行鉴权的方法,所述方法包括:
给用户分配用于访问各个服务的多个服务专用标识;
从所述用户发出请求,所述请求标识出将要访问的服务并且包含所述用户的公开密钥;
在认证机构处,对所述请求进行鉴权,并且发出用于将服务专用标识与所述请求中的所述公开密钥绑定的公开密钥证书,并且将所述公开密钥证书返回给所述用户。
2.根据权利要求1所述的方法,其中,所述请求包含用于标识出所述将要访问的服务的服务标识符,以及用于标识出所述用户的请求者标识符,所述方法包含进一步的步骤:
在所述认证机构处,将所述服务标识符和所述请求者标识符映射到将被鉴权的所述服务专用标识。
3.根据权利要求1所述的方法,其中,所述请求标识出所述服务专用标识,并且其中,所述方法包含进一步的步骤:
通过所述认证机构,验证所述用户是否被授权使用所述服务专用标识。
4.根据权利要求1所述的方法,其中,所述发出请求的步骤包含发出这样的请求,所述请求带有包含多个域的消息,所述域中的一个保存用于标识出所述将要访问的服务的服务标识符。
5.根据权利要求4所述的方法,其中,保存所述服务标识符的域是主题域。
6.根据权利要求4所述的方法,其中,所述发出请求的步骤包含发出带有PKCS#10消息的请求。
7.根据权利要求4所述的方法,其中,所述发出请求的步骤包含发出带有CRMF消息的请求。
8.根据权利要求4所述的方法,其中,所述发出请求的步骤包含发出带有HTTP消息的请求。
9.根据权利要求1所述的方法,包含在无线通信网络中实现所述分配、发出、鉴权和返回步骤。
10.一种用在通信网络中的用户终端,包含:
用于发出请求的装置,其中所述请求标识出将要访问的服务并且包含公开密钥;
用于接收由认证机构发出的公开密钥证书的装置,所述公开密钥证书将用于所述将要访问的服务的服务专用标识与所述公开密钥相关联;以及
用于将所述公开密钥证书转发给服务提供商以便对用于所述将要访问的服务的服务专用标识进行鉴权,并由此授权访问所述服务的装置。
11.根据权利要求10所述的用户终端,进一步包含用于在发布所述请求之前与所述认证机构建立共享密钥资料的装置。
12.根据权利要求10所述的用户终端,包含用于产生不对称密钥对的装置,所述不对称密钥对包括所述公开密钥和私有密钥。
13.根据权利要求10所述的用户终端,包含用于通过无线接口发出所述请求的装置。
14.一种用于在通信网络中允许访问来自服务提供商的服务的鉴权系统,所述系统包含:
用于接收来自用户的请求的装置,所述请求标识出将要访问的服务并且包含所述用户的公开密钥;以及
认证机构,其被配置为对所述请求进行鉴权,发出对于所述将要访问的服务的服务专用标识的公开密钥证书,以及将所述公开密钥证书返回给所述用户。
15.根据权利要求14所述的鉴权系统,包含鉴权服务器,其被配置为对发出所述请求的用户的标识进行鉴权。
16.根据权利要求14所述的鉴权系统,包含联合数据库,其被配置为将服务标识符和请求者标识符映射到用于访问各个服务的服务专用标识。
17.根据权利要求14所述的鉴权系统,其中,所述用于接收来自用户的请求的装置包含用于通过无线接口接收所述请求的装置。
18.一种用于根据权利要求14所述的鉴权系统中的鉴权服务器,所述鉴权服务器包括用于对发出所述请求的用户的标识进行鉴权的装置。
19.一种用于根据权利要求14所述的鉴权系统中的映射设备,所述映射设备包括用于将服务标识符和请求者标识符映射到用于访问各个服务的服务专用标识的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB0414421.8A GB0414421D0 (en) | 2004-06-28 | 2004-06-28 | Authenticating users |
| GB0414421.8 | 2004-06-28 | ||
| PCT/IB2005/002035 WO2006003499A1 (en) | 2004-06-28 | 2005-06-24 | Authenticating users |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1977514A CN1977514A (zh) | 2007-06-06 |
| CN1977514B true CN1977514B (zh) | 2012-06-27 |
Family
ID=32800306
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200580021721XA Active CN1977514B (zh) | 2004-06-28 | 2005-06-24 | 用户鉴权 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7788493B2 (zh) |
| EP (1) | EP1763947B1 (zh) |
| CN (1) | CN1977514B (zh) |
| ES (1) | ES2769528T3 (zh) |
| GB (1) | GB0414421D0 (zh) |
| WO (1) | WO2006003499A1 (zh) |
Families Citing this family (71)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TW576071B (en) * | 2001-04-19 | 2004-02-11 | Ntt Docomo Inc | Terminal communication system |
| FI20041447A0 (fi) * | 2004-11-09 | 2004-11-09 | Nokia Corp | Avainderivointitoiminnon määrittäminen |
| US8543814B2 (en) * | 2005-01-12 | 2013-09-24 | Rpx Corporation | Method and apparatus for using generic authentication architecture procedures in personal computers |
| US7784092B2 (en) * | 2005-03-25 | 2010-08-24 | AT&T Intellectual I, L.P. | System and method of locating identity providers in a data network |
| CA2608705A1 (en) * | 2005-05-17 | 2006-11-23 | Telcordia Technologies, Inc. | Secure virtual point of service for 3g wireless networks |
| DE102005026982A1 (de) * | 2005-06-10 | 2006-12-14 | Siemens Ag | Verfahren zur Vereinbarung eines Sicherheitsschlüssels zwischen mindestens einem ersten und einem zweiten Kommunikationsteilnehmer zur Sicherung einer Kommunikationsverbindung |
| CN100379315C (zh) * | 2005-06-21 | 2008-04-02 | 华为技术有限公司 | 对用户终端进行鉴权的方法 |
| US7383044B2 (en) * | 2005-08-05 | 2008-06-03 | Telefonaktiebolaget L M Ericsson (Publ) | Method and database for performing a permission status check on a mobile equipment |
| US7610056B2 (en) * | 2006-03-31 | 2009-10-27 | Ontela, Inc. | Method and system for phone-number discovery and phone-number authentication for mobile communications devices |
| US20070188298A1 (en) * | 2006-02-11 | 2007-08-16 | Radioframe Networks, Inc. | Establishing secure tunnels for using standard cellular handsets with a general access network |
| ES2706540T3 (es) * | 2006-07-06 | 2019-03-29 | Nokia Technologies Oy | Sistema de credenciales de equipos de usuario |
| ATE550890T1 (de) * | 2006-07-20 | 2012-04-15 | Research In Motion Ltd | System und verfahren zur bereitstellung von vorrichtungszertifikaten |
| US8527770B2 (en) * | 2006-07-20 | 2013-09-03 | Research In Motion Limited | System and method for provisioning device certificates |
| WO2008028508A1 (en) * | 2006-09-07 | 2008-03-13 | Fujitsu Limited | Distributed computing and communications protocol |
| US8347090B2 (en) | 2006-10-16 | 2013-01-01 | Nokia Corporation | Encryption of identifiers in a communication system |
| US7974235B2 (en) | 2006-11-13 | 2011-07-05 | Telecommunication Systems, Inc. | Secure location session manager |
| FI121560B (fi) * | 2006-11-20 | 2010-12-31 | Teliasonera Ab | Todentaminen matkaviestintäyhteistoimintajärjestelmässä |
| US8423470B2 (en) * | 2007-09-21 | 2013-04-16 | Microsoft Corporation | Distributed secure anonymous conferencing |
| CN101163010B (zh) * | 2007-11-14 | 2010-12-08 | 华为软件技术有限公司 | 对请求消息的鉴权方法和相关设备 |
| US8516133B2 (en) * | 2008-02-07 | 2013-08-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and system for mobile device credentialing |
| US8468576B2 (en) * | 2008-02-11 | 2013-06-18 | Apple Inc. | System and method for application-integrated information card selection |
| US10015158B2 (en) * | 2008-02-29 | 2018-07-03 | Blackberry Limited | Methods and apparatus for use in enabling a mobile communication device with a digital certificate |
| US9479339B2 (en) * | 2008-02-29 | 2016-10-25 | Blackberry Limited | Methods and apparatus for use in obtaining a digital certificate for a mobile communication device |
| US8438385B2 (en) * | 2008-03-13 | 2013-05-07 | Fujitsu Limited | Method and apparatus for identity verification |
| EP2159653B1 (de) * | 2008-09-02 | 2014-07-23 | Siemens Aktiengesellschaft | Verfahren zur Einräumung einer Zugriffsberechtigung auf ein rechnerbasiertes Objekt in einem Automatisierungssystem, Computerprogramm und Automatisierungssystem |
| JP5325974B2 (ja) * | 2008-10-10 | 2013-10-23 | テレフオンアクチーボラゲット エル エム エリクソン(パブル) | ゲートウェイ装置、認証サーバ、その制御方法及びコンピュータプログラム |
| US8402519B2 (en) * | 2008-10-16 | 2013-03-19 | Verisign, Inc. | Transparent client authentication |
| CN101483525A (zh) * | 2009-01-22 | 2009-07-15 | 中兴通讯股份有限公司 | 一种认证中心的实现方法 |
| US8632003B2 (en) | 2009-01-27 | 2014-01-21 | Novell, Inc. | Multiple persona information cards |
| US8370509B2 (en) * | 2009-04-09 | 2013-02-05 | Alcatel Lucent | Identity management services provided by network operator |
| US9301191B2 (en) | 2013-09-20 | 2016-03-29 | Telecommunication Systems, Inc. | Quality of service to over the top applications used with VPN |
| US8621203B2 (en) * | 2009-06-22 | 2013-12-31 | Nokia Corporation | Method and apparatus for authenticating a mobile device |
| KR101377352B1 (ko) * | 2009-07-17 | 2014-03-25 | 알까뗄 루슨트 | 중소 기업 내의 디지털 저작권 관리 수행 방법 및 장치 및 디지털 저작권 관리 서비스를 제공하기 위한 방법 |
| US9294918B2 (en) * | 2009-07-23 | 2016-03-22 | Mohammed Naser S. Shaikh | Method and system for secure remote login of a mobile device |
| US20110126197A1 (en) | 2009-11-25 | 2011-05-26 | Novell, Inc. | System and method for controlling cloud and virtualized data centers in an intelligent workload management system |
| US8935529B2 (en) * | 2009-11-30 | 2015-01-13 | Telefonaktiebolaget L M Ericsson (Publ) | Methods and systems for end-to-end secure SIP payloads |
| US9055059B1 (en) | 2009-12-16 | 2015-06-09 | Symantec Corporation | Combining multiple digital certificates |
| US8364954B2 (en) | 2009-12-16 | 2013-01-29 | Symantec Corporation | Method and system for provisioning multiple digital certificates |
| US8375204B2 (en) * | 2009-12-16 | 2013-02-12 | Symantec Corporation | Method and system to combine multiple digital certificates using the subject alternative name extension |
| US9680819B2 (en) * | 2009-12-23 | 2017-06-13 | Symantec Corporation | Method and system for co-termination of digital certificates |
| CN101783957B (zh) * | 2010-03-12 | 2012-04-18 | 清华大学 | 一种视频预测编码方法和装置 |
| US8856509B2 (en) * | 2010-08-10 | 2014-10-07 | Motorola Mobility Llc | System and method for cognizant transport layer security (CTLS) |
| US8978100B2 (en) * | 2011-03-14 | 2015-03-10 | Verizon Patent And Licensing Inc. | Policy-based authentication |
| CN103597520B (zh) * | 2011-04-13 | 2016-12-07 | 诺基亚技术有限公司 | 基于身份的票务方法和系统 |
| FR2980062B1 (fr) * | 2011-09-13 | 2014-02-21 | Sagemcom Broadband Sas | Procede d'echanges securises de donnees, dispositif et systeme de communication le mettant en oeuvre |
| US9544271B2 (en) | 2011-09-16 | 2017-01-10 | Telecommunication Systems, Inc. | Anonymous messaging conversation |
| US9479344B2 (en) | 2011-09-16 | 2016-10-25 | Telecommunication Systems, Inc. | Anonymous voice conversation |
| US8874915B1 (en) * | 2011-09-28 | 2014-10-28 | Amazon Technologies, Inc. | Optimized encryption key exchange |
| US9485654B2 (en) * | 2011-10-28 | 2016-11-01 | Samsung Electronics Co., Ltd. | Method and apparatus for supporting single sign-on in a mobile communication system |
| US8893244B2 (en) * | 2011-11-30 | 2014-11-18 | Verizon Patent And Licensing Inc. | Application-based credential management for multifactor authentication |
| US8984591B2 (en) | 2011-12-16 | 2015-03-17 | Telecommunications Systems, Inc. | Authentication via motion of wireless device movement |
| US9384339B2 (en) | 2012-01-13 | 2016-07-05 | Telecommunication Systems, Inc. | Authenticating cloud computing enabling secure services |
| US9380038B2 (en) * | 2012-03-09 | 2016-06-28 | T-Mobile Usa, Inc. | Bootstrap authentication framework |
| US9137234B2 (en) | 2012-03-23 | 2015-09-15 | Cloudpath Networks, Inc. | System and method for providing a certificate based on granted permissions |
| US9338153B2 (en) | 2012-04-11 | 2016-05-10 | Telecommunication Systems, Inc. | Secure distribution of non-privileged authentication credentials |
| CN103797751B (zh) * | 2012-07-27 | 2017-01-25 | 华为技术有限公司 | 一种用户在线状态的查询方法和装置 |
| US9639318B2 (en) * | 2012-09-26 | 2017-05-02 | Tencent Technology (Shenzhen) Company Limited | Systems and methods for sharing image data |
| US8843741B2 (en) | 2012-10-26 | 2014-09-23 | Cloudpath Networks, Inc. | System and method for providing a certificate for network access |
| US9600689B2 (en) | 2013-01-25 | 2017-03-21 | Apple Inc. | Variable anonymous identifier value |
| US9294468B1 (en) * | 2013-06-10 | 2016-03-22 | Google Inc. | Application-level certificates for identity and authorization |
| US9524380B2 (en) * | 2013-12-30 | 2016-12-20 | Cellco Partnership | Secure element-centric digital rights management |
| US10601809B2 (en) | 2015-01-20 | 2020-03-24 | Arris Enterprises Llc | System and method for providing a certificate by way of a browser extension |
| GB2536044A (en) * | 2015-03-05 | 2016-09-07 | Bell Identification Bv | Method and apparatus for authenticating and processing secure transactions using a mobile device |
| US9717004B2 (en) | 2015-03-17 | 2017-07-25 | Qualcomm Incorporated | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
| US9755837B2 (en) * | 2015-03-17 | 2017-09-05 | Qualcomm Incorporated | Apparatus and method for sponsored connectivity to wireless networks using application-specific network access credentials |
| US9825938B2 (en) | 2015-10-13 | 2017-11-21 | Cloudpath Networks, Inc. | System and method for managing certificate based secure network access with a certificate having a buffer period prior to expiration |
| JP2018067854A (ja) * | 2016-10-21 | 2018-04-26 | 株式会社プラットフィールド | 情報通信システム |
| CN108696348A (zh) * | 2017-04-06 | 2018-10-23 | 中国移动通信有限公司研究院 | 一种实现ca互信的方法、装置、系统和电子设备 |
| US11418364B2 (en) | 2017-06-07 | 2022-08-16 | Combined Conditional Access Development And Support, Llc | Determining a session key using session data |
| US11800351B2 (en) | 2018-07-17 | 2023-10-24 | Telefonaktiebolaget Lm Ericsson (Publ) | Multi-X key chaining for Generic Bootstrapping Architecture (GBA) |
| CN114143016A (zh) * | 2020-08-14 | 2022-03-04 | 中兴通讯股份有限公司 | 基于通用引导架构gba的鉴权方法、及对应装置 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1461544A (zh) * | 2001-04-19 | 2003-12-10 | 株式会社Ntt都科摩 | 终端通信系统 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2001054374A2 (en) * | 2000-01-17 | 2001-07-26 | Certicom Corp. | Customized public key infrastructure and developing tool |
| US7996888B2 (en) * | 2002-01-11 | 2011-08-09 | Nokia Corporation | Virtual identity apparatus and method for using same |
-
2004
- 2004-06-28 GB GBGB0414421.8A patent/GB0414421D0/en not_active Ceased
-
2005
- 2005-02-17 US US11/060,374 patent/US7788493B2/en active Active
- 2005-06-24 EP EP05759785.8A patent/EP1763947B1/en active Active
- 2005-06-24 ES ES05759785T patent/ES2769528T3/es active Active
- 2005-06-24 CN CN200580021721XA patent/CN1977514B/zh active Active
- 2005-06-24 WO PCT/IB2005/002035 patent/WO2006003499A1/en active Application Filing
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1461544A (zh) * | 2001-04-19 | 2003-12-10 | 株式会社Ntt都科摩 | 终端通信系统 |
Non-Patent Citations (3)
| Title |
|---|
| Supportforsubscriber certificates.3GPP TS 33.221 V6.0.0.2004,3(33221600),第8页第1行-第16页第13行、附图2. * |
| Technical SpecificationGroup Services and System Aspects.Generic Authentication Architecture (GAA) * |
| VERISIGN.WebServicesFederationLanguage(WS-Federation)Version1.0.http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnglobspec/html/ws-federation.asp.2003,第14、15页、附图11. * |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1763947A1 (en) | 2007-03-21 |
| GB0414421D0 (en) | 2004-07-28 |
| ES2769528T3 (es) | 2020-06-26 |
| WO2006003499A1 (en) | 2006-01-12 |
| EP1763947B1 (en) | 2019-10-16 |
| US20050287990A1 (en) | 2005-12-29 |
| US7788493B2 (en) | 2010-08-31 |
| CN1977514A (zh) | 2007-06-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1977514B (zh) | 用户鉴权 | |
| US8261078B2 (en) | Access to services in a telecommunications network | |
| US8347090B2 (en) | Encryption of identifiers in a communication system | |
| CN101969638B (zh) | 一种移动通信中对imsi进行保护的方法 | |
| US20170026371A1 (en) | User Equipment Credential System | |
| CN101051898B (zh) | 无线网络端到端通信认证方法及其装置 | |
| CN1929371B (zh) | 用户和外围设备协商共享密钥的方法 | |
| EP2553894B1 (en) | Certificate authority | |
| Rahman et al. | Security in wireless communication | |
| CN106254386B (zh) | 一种信息处理方法和名字映射服务器 | |
| US20070186097A1 (en) | Sending of public keys by mobile terminals | |
| CN101771722B (zh) | 一种WAPI终端访问Web应用站点的系统及方法 | |
| US11146536B2 (en) | Method and a system for managing user identities for use during communication between two web browsers | |
| KR100904004B1 (ko) | 사용자들의 인증 | |
| Dimitriadis et al. | An identity management protocol for Internet applications over 3G mobile networks | |
| CN114915494B (zh) | 一种匿名认证的方法、系统、设备和存储介质 | |
| RU2282311C2 (ru) | Использование пары открытых ключей в оконечном устройстве для аутентификации и авторизации пользователя телекоммуникационной сети по отношению к сетевому провайдеру и деловым партнерам | |
| Kambourakis et al. | Support of subscribers’ certificates in a hybrid WLAN-3G environment | |
| FI115097B (fi) | Todentaminen dataviestinnässä | |
| Zhu et al. | A Secure and Flexible WLAN Authentication Scheme for Organizations | |
| Almuhaideb et al. | Toward a Ubiquitous Mobile Access Model: A roaming agreement-less approach | |
| Kim et al. | An efficient Kerberos authentication mechanism associated with X. 509 and DNS (Domain name system) | |
| HOLTMANNS et al. | Identity Management in Mobile Communication Systems | |
| Stakenburg | Managing the Client-side Risks of IEEE 802.11 Networks | |
| Kang et al. | A study on key distribution and ID registration in the AAA system for ubiquitous multimedia environments |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160127 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |