一种安全连接的方法、系统及网元技术方案

本发明专利技术公开了一种安全连接的方法、系统及网元。所述方法包括：UE在访问SP提供的业务过程中，与该SP共享第一密钥的具有TGS功能的IdP在接收到该SP发送的重定向消息后，将该UE重定向到AS进行认证，该IdP与AS共享第二密钥，该重定向消息中包含认证请求信息，认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息；该IdP根据从经由UE传递的来自AS的第一票据中的信息判断该UE如果通过AS的认证，则生成第二票据，经该UE传递给SP，由SP根据该第二票据中的内容，完成对该UE的认证。本发明专利技术使得运营商可以很好地为用户解决UE和SP之间的安全连接问题，保障端点之间通信的安全。

【技术实现步骤摘要】

本专利技术涉及网络通信领域，具体涉及一种安全连接的方法、系统及网元。
技术介绍
在现有TCP/IP体系中，IP地址具有双重功能，既作为网络层主机的网络接口在网络拓扑中的位置标识，又作为传输层的主机网络接口的身份标识。TCP/IP协议设计之初并未考虑主机移动的情况，但随着移动互联网技术和信息技术的发展，主机移动越来越普遍，这种情况下，IP地址的语义缺陷日益明显。当主机的IP地址发生变化时，不仅路由要发生变化，通信终端主机的身份标识也会发生变化，这样会导致路由负载越来越重，而且主机标识的变化会导致应用和连接的中断。身份标识和位置分离问题提出的目的是为了解决IP地址的语义过载和路由负载严重等问题，将IP地址的双重功能进行分离，实现对移动性、多家乡性、IP地址动态重分配、减轻路由负载及下一代互联网中不同网络区域之间的互访等问题的支持。为了解决上述问题，目前已经提出了一种身份标识和位置分离网络架构。该架构中包含接入服务路由器(ASR, Access Service Router)、用户终端(UE, User Equipment)、身份位置寄存器(ILR, Identification&Location Register)、互连服务路由器(ISR,Interconnect Service Router)等。其中，接入服务路由器负责实现用户终端的接入,并承担计费以及切换等功能；ILR承担用户的位置注册和身份识别的功能，每一个用户终端都存在唯一的身份标识符，即身份标识(AID)。在身份标识和位置分离网络中，数据报文在传输中需要经过很多中间节点转发，如经过通用路由器或互连服务路由器等。在数据报文未被加密处理的情况下，攻击者很容易就可以获取到这些信息，从而给用户带来极大的危害。但目前身份标识和位置分离网络架构还没有很好的办法。
技术实现思路
本专利技术要解决的技术问题是提供一种安全连接的方法、系统及网元。为解决上述技术问题，本专利技术提供了一种安全连接的方法，包括:终端(UE)在访问SP提供的业务过程中，与该业务提供服务器(SP)共享第一密钥的具有票据服务器(TGS)功能的身份提供服务器(IdP)在接收到该SP发送的重定向消息后，将该UE重定向到认证服务器(AS)进行认证，该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP，该IdP与AS共享第二密钥，该重定向消息中包含认证请求信息，所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息；该IdP根据从经由UE传递的来自AS的第一票据中的信息判断该UE是否通过AS的认证，如果通过，则生成第二票据，经该UE传递给SP，由SP根据该第二票据中的内容，完成对该UE的认证。进一步地，所述SP位于身份位置分离网络内时，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的接入标识(AID)。进一步地，所述SP位于身份位置分离网络外时，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。进一步地，所述IdP在接收到该SP发送的重定向消息后，所述方法还包括:所述IdP根据UE的身份信息从IP地址池中查询UE的AID，利用所述UE的AID将所述UE重定向到AS进行认证。进一步地，所述IdP在将UE重定向到AS之前，所述方法还包括:所述IdP先与该UE协商认证能力，确认UE支持Kerberos认证。进一步地，所述IdP根据从经由UE传递的来自AS的第一票据中的信息判断UE是否通过AS的认证，包括:该IdP从经由UE传递的来自AS的第一票据中获取以下信息:UE认证结果、该UE的身份信息、该AS的身份信息、该IdP的身份信息以及时间戳，验证该UE的身份信息、该AS的身份信息、该IdP的身份信息是否与本地保存的一致，以及时间戳是否在限定范围内，如果验证通过，则确认该UE通过AS的认证，所述UE的身份信息包括UE的AID。进一步地，所述IdP生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。进一步地，所述SP位于身份位置分离网络外时，所述IdP将所述UE的AID对应的IP地址和端口号作为该UE的身份信息。进一步地，所述SP根据该第二票据中的内容，完成对该UE的认证，包括:所述SP用与IdP的共享密钥得到第二票据，从该第二票据中获取UE认证结果、该IdP的身份信息、该UE的身份信息、时间戳，比较该UE的身份信息、该IdP的身份信息、该SP的身份信息是否与本地保存的一致，以及时间戳是否在限定范围内，若都通过，则确认该UE通过所述IdP的认证。为解决上述技术问题，本专利技术还提供了一种实现安全连接的系统，包括业务提供服务器(SP)、具有票据服务器(TGS)功能的身份提供服务器(IdP)，其中:所述SP，用于在终端(UE)访问本SP提供的业务过程中，向IdP发送重定向消息，该重定向消息中包含认证请求信息，所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息；该SP还用于在接收到所述IdP发送的第二票据后，根据该第二票据中的内容，完成对该UE的认证；所述具有TGS功能的IdP，用于接收SP发送的重定向消息，将该UE重定向到认证服务器(AS)进行认证，该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP，该IdP与所述SP共享第一密钥，该IdP与所述AS共享第二密钥；该IdP还用于根据从经由UE传递的来自AS的第一票据中的信息判断该UE如果通过AS的认证，则生成第二票据，经该UE传递给SP。 进一步地，所述SP位于身份位置分离网络内，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的接入标识(AID);或者，所述SP位于身份位置分离网络外，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与该UE的AID对应的IP地址和端口号。进一步地，所述SP位于身份位置分离网络外时，所述IdP还用于，在接收到该SP发送的重定向消息后，根据UE的身份信息从IP地址池中查询UE的AID，利用所述UE的AID将所述UE重定向到AS进行认证。进一步地，所述IdP还用于，在将UE重定向到AS之前，先与该UE协商认证能力，确认UE支持Kerberos认证。进一步地，所述IdP生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。进一步地，所述SP位于身份位置分离网络外时，所述IdP将所述UE的AID对应的IP地址和端口号作为该UE的身份信息。进一步地，所述SP是用于采用以下方式根据该第二票据中的内容完成对该UE的认证:所述SP用与IdP的共享密钥得到第二票据，从该第二票据中获取UE认证结果、该IdP本文档来自技高网...

【技术保护点】
一种安全连接的方法，包括：终端(UE)在访问业务提供服务器(SP)提供的业务过程中，与该SP共享第一密钥的具有票据服务器(TGS)功能的身份提供服务器(IdP)在接收到该SP发送的重定向消息后，将该UE重定向到认证服务器(AS)进行认证，该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP，该IdP与AS共享第二密钥，该重定向消息中包含认证请求信息，所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息；该IdP根据从经由UE传递的来自AS的第一票据中的信息判断该UE是否通过AS的认证，如果通过，则生成第二票据，经该UE传递给SP，由SP根据该第二票据中的内容，完成对该UE的认证。

【技术特征摘要】
1.一种安全连接的方法，包括: 终端(UE)在访问业务提供服务器(SP)提供的业务过程中，与该SP共享第一密钥的具有票据服务器(TGS)功能的身份提供服务器(IdP)在接收到该SP发送的重定向消息后，将该UE重定向到认证服务器(AS)进行认证，该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP，该IdP与AS共享第二密钥，该重定向消息中包含认证请求信息，所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息； 该IdP根据从经由UE传递的来自AS的第一票据中的信息判断该UE是否通过AS的认证，如果通过，则生成第二票据，经该UE传递给SP，由SP根据该第二票据中的内容，完成对该UE的认证。2.如权利要求1所述的方法，其特征在于: 所述SP位于身份位置分离网络内时，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括:身份位置分离网络为该UE分配的接入标识(AID)。3.如权利要求1所述的方法，其特征在于: 所述SP位于身份位置分离网络外时，所述认证请求信息中携带的该UE的身份信息为SP收到的业务访问请求消息中的UE的身份信息，所述业务访问请求消息中的UE的身份信息包括:ISR为该UE分配的与 该UE的AID对应的IP地址和端口号。4.如权利要求3所述的方法，其特征在于: 所述IdP在接收到该SP发送的重定向消息后，所述方法还包括: 所述IdP根据UE的身份信息从IP地址池中查询UE的AID，利用所述UE的AID将所述UE重定向到AS进行认证。5.如权利要求1-4中任一权利要求所述的方法,其特征在于: 所述IdP在将UE重定向到AS之前，所述方法还包括: 所述IdP先与该UE协商认证能力，确认UE支持Kerberos认证。6.如权利要求1-4中任一权利要求所述的方法，其特征在于: 所述IdP根据从经由UE传递的来自AS的第一票据中的信息判断UE是否通过AS的认证，包括: 该IdP从经由UE传递的来自AS的第一票据中获取以下信息:UE认证结果、该UE的身份信息、该AS的身份信息、该IdP的身份信息以及时间戳，验证该UE的身份信息、该AS的身份信息、该IdP的身份信息是否与本地保存的一致，以及时间戳是否在限定范围内，如果验证通过，则确认该UE通过AS的认证，所述UE的身份信息包括UE的AID。7.如权利要求1-4中任一权利要求所述的方法，其特征在于: 所述IdP生成的第二票据包括:认证结果、生成的会话密钥、该IdP的身份信息、该SP身份信息、该UE的身份信息和时间戳。8.如权利要求7所述的方法，其特征在于: 所述SP位于身份位置分离网络外时，所述IdP将所述UE的AID对应的IP地址和端口号作为该UE的身份信息。9.如权利要求7所述的方法，其特征在于: 所述SP根据该第二票据中的内容，完成对该UE的认证，包括:所述SP用与IdP的共享密钥得到第二票据，从该第二票据中获取UE认证结果、该IdP的身份信息、该UE的身份信息、时间戳，比较该UE的身份信息、该IdP的身份信息、该SP的身份信息是否与本地保存的一致，以及时间戳是否在限定范围内，若都通过，则确认该UE通过所述IdP的认证。10.一种实现安全连接的系统，包括业务提供服务器(SP)、具有票据服务器(TGS)功能的身份提供服务器(IdP)，其中: 所述SP，用于在终端(UE)访问本SP提供的业务过程中，向IdP发送重定向消息，该重定向消息中包含认证请求信息，所述认证请求信息中携带该UE的身份信息、该SP的身份信息和该IdP的身份信息；该SP还用于在接收到所述IdP发送的第二票据后，根据该第二票据中的内容，完成对该UE的认证； 所述具有TGS功能的IdP，用于接收SP发送的重定向消息，将该UE重定向到认证服务器(AS)进行认证，该具有TGS功能的IdP为部署在该UE归属的运营商网络的IdP，该IdP与所述SP共享第一密钥，该IdP与所述AS共享第二密钥；该IdP还用于根据从经由UE传递的来自AS的第一...

【专利技术属性】
技术研发人员：夏正雪，韦银星，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：