本发明专利技术公开了一种组合认证系统,包括SSO架构及OpenID架构,SSO架构及OpenID架构之间通过共用SSO架构中的AS和OpenID架构中的OP而实现融合互通。本发明专利技术同时公开了一种应用于上述认证系统的认证方法,RP在接收到UE的服务请求后,携带OpenID认证请求重定向UE到OP;OP在接收到UE的HTTP获取请求后,向UE返回未授权的响应,要求UE使用SSO架构中的初始会话认证SIP?Digest机制进行认证;UE在未实现SIP?Digest认证时,通过SSO架构实现SIP?Digest;OP获取SIP?Digest后UE的授权信息,根据UE的授权信息,完成对UE的OpenID认证,并根据认证结果产生认证断言;将认证断言发送给RP。本发明专利技术能为SSO架构中UE扩展了应用场景,以使用已有的更丰富的WEB业务。
【技术实现步骤摘要】
组合认证系统及认证方法
本专利技术涉及单点登录(SSO,SingleSignOn)架构及OpenID架构融合技术,尤其涉及一种SSO架构及OpenID架构融合系统,及应用于该融合系统中的认证方法。
技术介绍
目前第三代合作伙伴计划(3GPP,3rdGenerationPartnershipProject)组织提出了在非通用集成电路卡(UICC,UniversalIntegratedCircuitCard)环境下的统一IMS终端利用会话初始协议(SIP,SessionInitiationProtocol)摘要(Digest)认证机制实现IMS终端访问应用服务器(AS,ApplicationServer)的SSO的功能,其中,通过在SSO_APS中设计的SSO架构可以实现该功能。SSO架构通常由统一IP多媒体子系统(IMS,IPMultimediaSubsystem)用户、归属用户服务器(HSS,HomeSubscriberServer)、AS和身份鉴权认证提供者实体(IdP)。用户设备(UE,UserEquipment)与IdP通过SSOb接口连接;UE与AS通过SSOa接口连接;IdP与HSS通过SSOh接口连接。IdP用于与UE利用SIPDigest进行交互验证身份,并且对AS进行认证,IdP与用户之间的共享密钥为K0;HSS中存储用于描述用户信息的签约文件,同时HSS还兼有产生鉴权信息的功能。AS为UE提供网络服务业务。在该SSO_APS中的SSO架构的实现方案中,针对的是运营商未部署GBA的情况,同时IMS终端不具有UICC的场景下,利用会话初始协议摘要(SIPDigest)认证机制对UE进行认证,实现该IMS终端对AS的SSO功能,具体实现如下:IMS终端(UE)向AS发送HTTP服务请求,应用服务器AS向UE回应一个401未授权的HTTPS响应,要求UE终端去认证中心进行身份认证;同时在该响应中包含由AS和认证中心IdP共享密钥加密的AS身份信息;UE终端向认证中心IdP发送HTTP请求消息,请求IdP对UE终端进行身份认证。同时该消息中携带UE终端的身份标识和加密的AS身份信息;IdP依据获得到的AS私有身份标识符对该AS进行认证,存储认证结果,同时判断是否存在对应UE的K0,若存在该密钥则该UE已认证过,不需要再次利用SIPDigest机制进行认证,跳过该认证直接执行后续步骤;若IdP判断不存在对应UE的K0,则IdP基于IMS身份标识信息从HSS取得SIPDigest认证向量以及UE信息内容;IdP产生随机数nonce,并且存储该nonce和从HSS下载的哈希函数值H(A1);IdP使用SIPDigest机制向UE发送401认证挑战;UE产生随机数cnonce和生成H(A1),进而产生密钥K0,并利用参数计算响应值response;UE针对挑战向IdP发送响应,IdP完成对UE的认证,并产生共享密钥K0;IdP再次产生随机数nonce1,利用nonce1和K0产生共享密钥加密K1,IdP利用密钥K0加密nonce1等信息,利用IdP和AS共享密钥加密K1和UE认证结果,所述IdP向所述UE发送200OK消息,包含K0加密nonce1等信息,表明所述UE认证成功;同时所述IdP将AS和IdP共享密钥加密的K1和对UE的认证结果重定向到AS;UE解密获得nonce1,并产生共享密钥K1;AS解密信息,获得UE的认证结果和密钥K1;此时UE和AS之间拥有共享密钥K1,从而两者后续的通信可以利用K1进行加密,保证两者之间的通信安全。另外,OpenID也定义了自身架构和规范,用于实现对Web业务的访问,其架构主要包括三个实体:UE、OpenID身份提供实体(OP,OpenIDProvider)、服务依赖提供商(RP)。该OpenID架构是利用每个终端用户都有在OpenIDProvider处注册时分发的用户标识符,当UE访问支持OpenID的服务依赖提供商RP时,只需将该用户标识符输入,RP对该标识符进行标准化;接着RP利用发现机制,以及标识符获得OP的终点统一资源定位符(URL,Uniform/UniversalResourceLocator);RP和OP之间进行关联,使得OP和RP之间建立共享密钥,该密钥使得OP标记后续的消息,使得RP识别后续的消息,该关联过程是可选的,当OP和RP两者处于不同的移动网络运营商(MNO,MobileNetworkOperator)网络时,该过程产生的共享密钥对消息的安全传输是很重要的;RP请求OP对该UE进行认证;OP根据UE的授权信息确立是否其被授权执行OpenID认证和期望被授权使用,OP依据UE的授权信息,完成对OpenID用户的认证过程,并且根据认证结果产生认证断言返回给RP;RP对该断言进行确认操作,来决定是否为该UE提供服务。在SSO_APS中SSO架构中最终AS获得共享密钥和终端认证结果授权信息,同时OpenID架构支持Web业务,并且为每个UE提供唯一的身份标识符;若这两种架构之间能够实现互通,既不会降低原有的安全性,还可以增加终端操作的简便性,并扩展终端的应用场景,以便用已有的多种多样的WEB业务。目前3GPP规范33.924中定义了GBA架构和OpenID架构实现互通的场景,即网络应用功能(NAF,NetworkApplicationFunction)和OP为实体。其特点是原GBA架构的Ub和Zn接口功能基本不变,OpenID架构的OP和UE需增加GBA功能。UE访问每个RP时,首先在OP/NAF上通过鉴权认证,而要在OP/NAF上通过鉴权认证,需要UE和引导服务器功能(BSF,BootstrappingServerFunction)之间进行引导过程。对于在非UICC环境下的统一IMS终端,其不能使用GBA架构进行鉴权认证,针对该类IMS终端,在SSO_APS中设计了利用SIPDigest机制实现SSO功能的架构,目前亟需解决SSO架构和OpenID架构之间不能融合互通的问题,使得该类IMS终端支持OpenID机制,进而获得多种多样的WEB业务。
技术实现思路
有鉴于此,本专利技术的主要目的在于提供一种组合认证系统及认证方法,能使SSO架构及OpenID架构融合为UE提供更丰富的WEB业务。为达到上述目的,本专利技术的技术方案是这样实现的:一种组合认证系统,包括SSO架构及OpenID架构,所述SSO架构及OpenID架构之间通过共用SSO架构中的应用服务器AS和OpenID架构中的OpenID身份提供实体OP而实现融合互通。优选地,所述OpenID架构中还包括服务依赖提供商RP;其中,所述RP用于,在接收到IP多媒体业务子系统IMS用户设备UE的服务请求后,携带OpenID认证请求重定向所述UE到所述OP;所述OP用于,在接收到所述UE超文本传输协议HTTP获取请求后,向所述UE返回未授权的响应,要求所述UE使用所述SSO架构中的初始会话摘要认证SIPDigest机制进行认证;所述UE用于,在未实现所述SIPDigest认证时,通过所述SSO架构实现SIPDigest认证;所述OP进一步用于,获取SIPDigest认证后所述UE的授权信息,本文档来自技高网...
【技术保护点】
【技术特征摘要】
1.一种组合认证系统,包括单点登录SSO架构及OpenID架构,其特征在于,所述SSO架构及OpenID架构之间通过共用SSO架构中的应用服务器AS和OpenID架构中的OpenID身份提供实体OP而实现融合互通;所述OP与服务依赖提供商RP之间利用Diffie-hellman密钥交换协议建立共享密钥;所述SSO架构中还包括归属用户服务器HSS和身份鉴权认证提供者实体IdP;其中,所述AS,用于请求UE到所述IdP进行认证,请求认证信息流中包含UE和AS的标识信息;所述IdP,用于根据所述AS的标识信息对该AS进行认证,并存储AS认证结果,并在确认所述UE未经SIPDigest认证时,从HSS取得SIPDigest认证向量和所述UE的信息内容,产生随机数nonce;向所述UE发送认证挑战;所述UE,用于产生随机数cnonce和生成哈希函数值,进而生成共享密钥K0,并向所述IdP回复响应;所述IdP,用于接收到所述UE的响应后完成对所述UE的认证,并生成K0;以及,再次产生随机数nonce1,利用nonce1和K0生成密钥K1,并利用K0加密nonce1,并利用AS与IdP之间的共享密钥对K1和对UE的认证结果进行加密后,向所述UE发送200OK消息,所述200OK消息包含K0加密nonce1信息;以及,重定向该利用AS与IdP之间的共享密钥加密后的信息到所述AS;所述UE进一步用于,在获得所述的200OK消息后,生成K1,使所述UE和所述AS之间拥有共享密钥K1。2.根据权利要求1所述的系统,其特征在于,所述OpenID架构中还包括服务依赖提供商RP;其中,所述RP用于,在接收到IP多媒体业务子系统IMS用户设备UE的服务请求后,携带OpenID认证请求重定向所述UE到所述OP;所述OP用于,在接收到所述UE超文本传输协议HTTP获取请求后,向所述UE返回未授权的响应,要求所述UE使用所述SSO架构中的初始会话认证SIPDigest机制进行认证;所述UE用于,在未实现所述SIPDigest认证时,通过所述SSO架构实现SIPDigest认证;所述OP进一步用于,获取SIPDigest认证后所述UE的授权信息,根据所述UE的授权信息,完成对所述UE的OpenID认证,并根据认证结果产生认证断言;将所述认证断言发送给所述RP;所述RP进一步用于,确认所述断言正确时为所述UE提供服务。3.根据权利要求2所述的系统,其特征在于,所述RP进一步用于,在接收到所述UE的服务请求后,基于所述服务请求中携带的所述UE的标识信息获得所述OP的地址信息和发现所述OP终点统一资源定位符URL,通过所述URL完成对所述UE的认证。4.根据权...
【专利技术属性】
技术研发人员:张孟旺,田甜,
申请(专利权)人:中兴通讯股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。