[go: up one dir, main page]

CN102694779B - 组合认证系统及认证方法 - Google Patents

组合认证系统及认证方法 Download PDF

Info

Publication number
CN102694779B
CN102694779B CN201110072463.5A CN201110072463A CN102694779B CN 102694779 B CN102694779 B CN 102694779B CN 201110072463 A CN201110072463 A CN 201110072463A CN 102694779 B CN102694779 B CN 102694779B
Authority
CN
China
Prior art keywords
authentication
openid
idp
sso
architecture
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN201110072463.5A
Other languages
English (en)
Other versions
CN102694779A (zh
Inventor
张孟旺
田甜
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN201110072463.5A priority Critical patent/CN102694779B/zh
Priority to PCT/CN2012/071198 priority patent/WO2012126299A1/zh
Publication of CN102694779A publication Critical patent/CN102694779A/zh
Application granted granted Critical
Publication of CN102694779B publication Critical patent/CN102694779B/zh
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/321Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0815Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/80Wireless

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种组合认证系统,包括SSO架构及OpenID架构,SSO架构及OpenID架构之间通过共用SSO架构中的AS和OpenID架构中的OP而实现融合互通。本发明同时公开了一种应用于上述认证系统的认证方法,RP在接收到UE的服务请求后,携带OpenID认证请求重定向UE到OP;OP在接收到UE的HTTP获取请求后,向UE返回未授权的响应,要求UE使用SSO架构中的初始会话认证SIP Digest机制进行认证;UE在未实现SIP Digest认证时,通过SSO架构实现SIP Digest;OP获取SIP Digest后UE的授权信息,根据UE的授权信息,完成对UE的OpenID认证,并根据认证结果产生认证断言;将认证断言发送给RP。本发明能为SSO架构中UE扩展了应用场景,以使用已有的更丰富的WEB业务。

Description

组合认证系统及认证方法
技术领域
本发明涉及单点登录(SSO,Single Sign On)架构及OpenID架构融合技术,尤其涉及一种SSO架构及OpenID架构融合系统,及应用于该融合系统中的认证方法。
背景技术
目前第三代合作伙伴计划(3GPP,3rd Generation Partnership Project)组织提出了在非通用集成电路卡(UICC,Universal Integrated Circuit Card)环境下的统一IMS终端利用会话初始协议(SIP,Session Initiation Protocol)摘要(Digest)认证机制实现IMS终端访问应用服务器(AS,Application Server)的SSO的功能,其中,通过在SSO_APS中设计的SSO架构可以实现该功能。SSO架构通常由统一IP多媒体子系统(IMS,IP MultimediaSubsystem)用户、归属用户服务器(HSS,Home Subscriber Server)、AS和身份鉴权认证提供者实体(IdP)。用户设备(UE,User Equipment)与IdP通过SSOb接口连接;UE与AS通过SSOa接口连接;IdP与HSS通过SSOh接口连接。IdP用于与UE利用SIP Digest进行交互验证身份,并且对AS进行认证,IdP与用户之间的共享密钥为K0;HSS中存储用于描述用户信息的签约文件,同时HSS还兼有产生鉴权信息的功能。AS为UE提供网络服务业务。
在该SSO_APS中的SSO架构的实现方案中,针对的是运营商未部署GBA的情况,同时IMS终端不具有UICC的场景下,利用会话初始协议摘要(SIPDigest)认证机制对UE进行认证,实现该IMS终端对AS的SSO功能,具体实现如下:
IMS终端(UE)向AS发送HTTP服务请求,应用服务器AS向UE回应一个401未授权的HTTPS响应,要求UE终端去认证中心进行身份认证;同时在该响应中包含由AS和认证中心IdP共享密钥加密的AS身份信息;UE终端向认证中心IdP发送HTTP请求消息,请求IdP对UE终端进行身份认证。同时该消息中携带UE终端的身份标识和加密的AS身份信息;IdP依据获得到的AS私有身份标识符对该AS进行认证,存储认证结果,同时判断是否存在对应UE的K0,若存在该密钥则该UE已认证过,不需要再次利用SIP Digest机制进行认证,跳过该认证直接执行后续步骤;若IdP判断不存在对应UE的K0,则IdP基于IMS身份标识信息从HSS取得SIPDigest认证向量以及UE信息内容;IdP产生随机数nonce,并且存储该nonce和从HSS下载的哈希函数值H(A1);IdP使用SIP Digest机制向UE发送401认证挑战;UE产生随机数cnonce和生成H(A1),进而产生密钥K0,并利用参数计算响应值response;UE针对挑战向IdP发送响应,IdP完成对UE的认证,并产生共享密钥K0;IdP再次产生随机数nonce1,利用nonce1和K0产生共享密钥加密K1,IdP利用密钥K0加密nonce1等信息,利用IdP和AS共享密钥加密K1和UE认证结果,所述IdP向所述UE发送200OK消息,包含K0加密nonce1等信息,表明所述UE认证成功;同时所述IdP将AS和IdP共享密钥加密的K1和对UE的认证结果重定向到AS;UE解密获得nonce1,并产生共享密钥K1;AS解密信息,获得UE的认证结果和密钥K1;此时UE和AS之间拥有共享密钥K1,从而两者后续的通信可以利用K1进行加密,保证两者之间的通信安全。
另外,OpenID也定义了自身架构和规范,用于实现对Web业务的访问,其架构主要包括三个实体:UE、OpenID身份提供实体(OP,OpenID Provider)、服务依赖提供商(RP)。
该OpenID架构是利用每个终端用户都有在OpenID Provider处注册时分发的用户标识符,当UE访问支持OpenID的服务依赖提供商RP时,只需将该用户标识符输入,RP对该标识符进行标准化;接着RP利用发现机制,以及标识符获得OP的终点统一资源定位符(URL,Uniform/Universal ResourceLocator);RP和OP之间进行关联,使得OP和RP之间建立共享密钥,该密钥使得OP标记后续的消息,使得RP识别后续的消息,该关联过程是可选的,当OP和RP两者处于不同的移动网络运营商(MNO,Mobile Network Operator)网络时,该过程产生的共享密钥对消息的安全传输是很重要的;RP请求OP对该UE进行认证;OP根据UE的授权信息确立是否其被授权执行OpenID认证和期望被授权使用,OP依据UE的授权信息,完成对OpenID用户的认证过程,并且根据认证结果产生认证断言返回给RP;RP对该断言进行确认操作,来决定是否为该UE提供服务。
在SSO_APS中SSO架构中最终AS获得共享密钥和终端认证结果授权信息,同时OpenID架构支持Web业务,并且为每个UE提供唯一的身份标识符;若这两种架构之间能够实现互通,既不会降低原有的安全性,还可以增加终端操作的简便性,并扩展终端的应用场景,以便用已有的多种多样的WEB业务。
目前3GPP规范33.924中定义了GBA架构和OpenID架构实现互通的场景,即网络应用功能(NAF,Network Application Function)和OP为实体。其特点是原GBA架构的Ub和Zn接口功能基本不变,OpenID架构的OP和UE需增加GBA功能。UE访问每个RP时,首先在OP/NAF上通过鉴权认证,而要在OP/NAF上通过鉴权认证,需要UE和引导服务器功能(BSF,BootstrappingServer Function)之间进行引导过程。
对于在非UICC环境下的统一IMS终端,其不能使用GBA架构进行鉴权认证,针对该类IMS终端,在SSO_APS中设计了利用SIP Digest机制实现SSO功能的架构,目前亟需解决SSO架构和OpenID架构之间不能融合互通的问题,使得该类IMS终端支持OpenID机制,进而获得多种多样的WEB业务。
发明内容
有鉴于此,本发明的主要目的在于提供一种组合认证系统及认证方法,能使SSO架构及OpenID架构融合为UE提供更丰富的WEB业务。
为达到上述目的,本发明的技术方案是这样实现的:
一种组合认证系统,包括SSO架构及OpenID架构,所述SSO架构及OpenID架构之间通过共用SSO架构中的应用服务器AS和OpenID架构中的OpenID身份提供实体OP而实现融合互通。
优选地,所述OpenID架构中还包括服务依赖提供商RP;其中,
所述RP用于,在接收到IP多媒体业务子系统IMS用户设备UE的服务请求后,携带OpenID认证请求重定向所述UE到所述OP;
所述OP用于,在接收到所述UE超文本传输协议HTTP获取请求后,向所述UE返回未授权的响应,要求所述UE使用所述SSO架构中的初始会话摘要认证SIP Digest机制进行认证;
所述UE用于,在未实现所述SIP Digest认证时,通过所述SSO架构实现SIP Digest认证;
所述OP进一步用于,获取SIP Digest认证后所述UE的授权信息,根据所述UE的授权信息,完成对所述UE的OpenID认证,并根据认证结果产生认证断言;将所述认证断言发送给所述RP;
所述RP进一步用于,确认所述断言正确时为所述UE提供服务。
优选地,所述RP进一步用于,在接收到所述UE的服务请求后,基于所述服务请求中携带的所述UE的标识信息获得所述OP的地址信息和发现所述OP终点URL,通过所述URL完成对所述UE的认证。
优选地,所述RP和所述OP进行信息交互前,进一步协商用于通信安全保护的密钥。
优选地,所述SSO架构中还包括归属用户服务器HSS和身份鉴权认证提供者实体IdP;其中,
所述AS,用于请求所述UE到所述IdP去认证,其中请求认证信息流中包含UE和AS的标识信息;
所述IdP,用于根据所述AS的标识信息对该AS进行认证,并存储AS认证结果,并在确认所述UE未经SIP Digest认证时,从HSS取得SIP Digest认证向量和所述UE的信息内容,产生随机数nonce;向所述UE发送认证挑战;
所述UE,用于产生随机数cnonce和生成哈希函数值,进而生成共享密钥K0,并向所述IdP回复响应;
所述IdP,用于接收到所述UE的响应后完成对所述UE的认证,并生成K0;以及,再次产生随机数nonce1,利用nonce1和K0生成密钥K1,并利用K0加密nonce1等信息,并利用AS与IdP之间的共享密钥对K1和对UE的认证结果进行加密后,所述IdP向所述UE发送200OK消息,200OK消息包含K0加密nonce1等信息,表明所述UE认证成功;同时所述IdP重定向该利用AS与IdP之间的共享密钥加密后的信息到所述AS;
所述UE进一步用于,在获得所述的200OK消息后,生成K1,使所述UE和所述AS之间拥有共享密钥K1
一种认证方法,应用于SSO架构及OpenID架构融合的系统中,其中,所述SSO架构及OpenID架构之间通过共用SSO架构中的AS和OpenID架构中的OP而实现融合互通;所述方法还包括:
所述RP在接收到IMS UE的服务请求后,携带OpenID认证请求重定向所述UE到所述OP;
所述OP在接收到所述UE的HTTP获取请求后,向所述UE返回未授权的响应,要求所述UE使用所述SSO架构中的初始会话认证SIP Digest机制进行认证;
所述UE在未实现所述SIP Digest认证时,通过所述SSO架构实现SIP Digest认证;
所述OP获取SIP Digest认证后所述UE的授权信息,根据所述UE的授权信息,完成对所述UE的OpenID认证,并根据认证结果产生认证断言;将所述认证断言发送给所述RP;
所述RP确认所述断言正确时为所述UE提供服务。
优选地,所述方法还包括:
所述RP在接收到所述UE的服务请求后,基于所述服务请求中携带的所述UE的标识信息获得所述OP的地址信息和发现所述OP终点URL,通过所述URL完成对所述UE的认证。
优选地,所述方法还包括:
所述RP和所述OP进行信息交互前,协商用于通信安全保护的密钥。
优选地,所述UE在未实现所述SIP Digest认证时,通过所述SSO架构实现SIPDigest认证,为:
所述AS将请求所述UE到所述认证中心IdP去认证,请求认证信息流中包含UE和AS的标识信息;
所述IdP根据所述AS的标识信息对该AS进行认证,并存储AS认证结果,并在确认所述UE未经SIP Digest认证时,从HSS取得SIP Digest认证向量、所述UE的信息内容以及哈希函数值,产生随机数nonce;向所述UE发送认证挑战;
所述UE产生随机数cnonce和生成哈希函数值,进而生成共享密钥K0,并向所述IdP回复响应;
所述IdP接收到所述UE的响应后完成对所述UE的认证,并生成K0;以及,再次产生随机数nonce1,利用nonce1和K0生成密钥K1,并利用K0加密nonce1等信息,并利用AS与IdP之间的共享密钥对K1和对UE的认证结果进行加密后,所述IdP向所述UE发送200OK消息,200OK消息包含K0加密nonce1等信息,表明所述UE认证成功;同时所述IdP重定向该利用K0及AS与IdP之间的共享密钥加密后的信息到所述AS;
所述UE在获得所述的200OK消息后,生成K1,使所述UE和所述AS之间拥有共享密钥K1
本发明中,SSO架构及OpenID架构之间通过共用SSO架构中的AS和OpenID架构中的OP而实现融合,这样,UE向OpenID架构发起业务请求时,OpenID架构将触发UE发起到SSO架构的SIP Digest,在对UE用户加强监管的同时,也为SSO架构下的用户提供了更为丰富的WEB业务。
附图说明
图1为本发明SSO架构及OpenID架构融合的系统的组成结构示意图;
图2为应用于图1所示系统的认证方法流程图。
具体实施方式
本发明的基本思想是,SSO架构及OpenID架构之间通过共用SSO架构中的AS和OpenID架构中的OP而实现融合,这样,UE向OpenID架构发起业务请求时,OpenID架构将触发UE发起到SSO架构的SIP Digest,在对UE用户加强监管的同时,也为SSO架构下的用户提供了更为丰富的WEB业务。
为使本发明的目的、技术方案和优点更加清楚明白,以下举实施例并参照附图,对本发明进一步详细说明。
图1为本发明SSO架构及OpenID架构融合的系统的组成结构示意图,如图1所示,本发明提出了一种组合鉴权认证架构,以实现SSO_APS中SSO架构和OpenID架构的互通,以满足UICCless环境下的统一IMS终端利用该组合鉴权架构实现对应用服务器的SSO功能,其中,UE为IMS终端,OpenID提供商实体(OP)和SSO_APS中SSO架构上的应用服务器实体为一个实体,即OP/AS,RP对应于IMS终端要访问的融合系统的OpenID的最终应用服务器,IdP为用户认证中心,完成SSO_APS中SSO架构中对UE的认证。本发明中,SSO架构及OpenID架构中的各网元基本保持了原有的功能及结构,变动较大的是OP和AS进行了融合。由于上述各网元所能实现的功能均为现有技术,这里不再赘述各网元的功能及具体结构。本发明仅对上述融合系统中UE如何实现认证进行说明。
图2为应用于图1所示系统的认证方法流程图,如图2所示,本发明的认证方法具体包括以下步骤:
步骤1.用户通过UE的浏览器发送用户提供方标识符(User-suppliedIdentifier)给RP,发起业务请求。
步骤2.RP初始化User-Supplied Identifier,基于该用户提供方标识符获得OP的地址和发现OP终点统一资源定位符(URL,Uniform/Universal ResourceLocator),并且,UE希望使用该URL完成认证。
步骤3.RP和OP之间利用Diffie-hellman密钥交换协议建立共享密钥,该共享密钥建立的目的是使得OP可以加密后续的消息,RP可以证实所接收消息(此密钥是可选的属性,不是互通必须的操作)。若OP和RP两者位于不同的移动网络运营商(MNO,Mobile NetworkOperator)的控制域内时,则该协商密钥是必要的。
步骤4.RP携带OpenID的认证请求重定向UE的浏览器到OP。RP将步骤1的User-Supplied Identifier插入到OpenID认证请求消息中的openid.claimed_id和openid.identity字段中。
步骤5.紧随着该重定向,UE向OP发送HTTP GET请求。
步骤6.OP/AS初始化UE认证,并且回应401未授权的HTTPS响应,在该HTTPS响应消息中包含携带有挑战信息的认证消息头,UE使用SIP Digest机制与服务器进行认证;同时该响应消息中携带有OP/AS和IdP共享密钥加密的OP/AS身份标识(OP/AS_credential),即EKo,i(OP/AS_credential)。OP/AS和IdP之间利用现有机制拥有共享密钥Ko,i,由于该Ko,i的获得属于现有技术,本发明不再赘述获取其的实现细节。
步骤7.如果UE没有有效的密钥K0可用,那么UE向IdP发送HTTP请求消息以进行对UE的身份认证过程,同时该HTTP请求消息中携带UE的身份标识(U_credential)和EKo,i(OP/AS_credential)。
步骤8.IdP解密EKo,i(OP/AS_credential),获得OP/AS身份标识,基于该OP/AS身份标识对OP/AS进行认证,产生并存储OP/AS认证结果OP/AS_Auth。同时,IdP根据所接收到的UE身份标识符U_credential,首先检查是否存在与其对应的UE与IdP共享密钥K0,若K0存在,则直接跳转到步骤15,否则执行步骤9。
步骤9.IdP向HSS发送认证请求,基于U_credential,IdP到HSS中查找并下载对应的SIP Digest认证向量(SD-AV)和用户配置信息。SD-AV中包括U_credential、领域(realm)、质量保证(qop)、认证算法(algorithm)和H(A1),其中H(A1)是由U_credential、realm和密码(password)组成的哈希函数值。在多HSS环境下,IdP可以通过询问订购关系定位功能(SLF,SubscriptionLocator Function)获得对应的存储用户信息的HSS地址,找到该对应的HSS。
步骤10.IdP产生随机数nonce,并将针对该U_credential的、从HSS下载的H(A1)与该nonce一起存储起来。
步骤11.IdP向UE发送401未认证挑战消息,该401未认证挑战消息中包含U_credential、realm、qop、algorithm和nonce。
步骤12.当收到该401未认证挑战消息时,UE产生随机数cnonce和H(A1);然后再利用cnonce和H(A1)等产生UE和IdP共享密钥K0。通过单向哈希函数F计算response值。response=F(H(A1),cnonce,nonce,qop,nonce-count)。UE用cnonce进行网络认证和避免纯文本攻击(“chosen plaintext”)。nonce-count是计数器,用户每使用与nonce计算一次response,nonce-count将增加1,使用nonce-count参与response计算,可以降低重放攻击的可能性。
步骤13.UE针对步骤11中的挑战消息向IdP发送响应response,该响应消息中包含cnonce、nonce、response、realm、U_credential、qop、algorithm、Digest-url和nonce-count。
步骤14.当收到上步骤响应消息,IdP利用存储的nonce值对响应消息中的nonce值进行检验,若检验正确,则IdP利用收到的响应消息内的参数cnonce、nonce-count、qop等和原存储在IdP内的nonce及H(A1)计算Xresponse,将计算的Xresponse与收到的response值进行比较,若两者比较结果相同则UE认证通过;否则UE认证失败,IdP存储UE的认证结果相关信息UE_Auth。若UE认证成功,则IdP利用H(A1)和cnonce等产生共享密钥K0
步骤15.IdP再产生随机数nonce1;然后利用K0和nonce1等产生密钥K1;共享密钥K0对nonce1等信息进行加密操作产生EK0(nonce1);用OP/AS和IdP共享密钥Ko,i加密K1和UE_Auth产生EKo,i(K1,UE_Auth)。
步骤16.IdP向UE发送200OK消息,包含K0加密nonce1等信息,表明UE认证成功;同时IdP重定向UE到OP/AS;该重定向消息中携带EKo,i(K1,UE_Auth)。
步骤17.UE解密EK0(nonce1),获得nonce1值同时利用K0和nonce1等产生密钥K1
步骤18.IdP发送的消息被重定向到OP/AS,该被重定向消息中携带EKo,i(K1,UE_Auth)。
步骤19.OP/AS收到该被重定向消息后,利用共享密钥解密EKo,i(K1,UE_Auth),获得K1和UE_Auth;OP/AS依据UE_Auth,获知该UE的相关授权信息,OP/AS根据授权信息确立是否该UE被授权执行OpenID认证和期望被授权使用;同时也可能从UE_Auth获知关于信息类型的消息,该信息类型允许与RP共享。OP/AS依据UE的授权信息,利用UE和OP/AS两者共享密钥K1作用的SSOa完成对OpenID用户的认证过程,并且根据认证结果产生认证断言。
步骤20.OP/AS重定向浏览器到OpenID的返回地址,即OP/AS重定向UE的浏览器返回到RP,其中该重定向响应消息中要么携带认证被批准的断言,要么携带认证失败的断言。在该重定向响应消息头包含一系列定义认证断言信息的字段,这些字段也许被OP/AS和RP之间的密钥加密保护。这种密钥保护机制对OP/AS和RP两者位于不同的MNO网络时尤其重要。
步骤21.RP确认收到的断言;即检验认证是否被赞成。UE的认证身份在发给RP的响应消息中被提供。如果OP/AS和RP两者在步骤3时建立了共享密钥,那么该密钥现在被用来确认来自OP/AS的消息。如果断言为肯定断言和信息确认都成功,那么UE将获得RP的服务。
需要说明的是,若上述步骤1~步骤21中任一步骤执行失败,则整个过程停止执行。
在UE访问RP应用服务器的过程中,若遭遇意外断网情况,当UE还未完成UE和RP之间访问服务过程,则当网络恢复后UE要访问应用服务器则需要重新开始请求服务过程;当UE已经完成访问服务过程,若恢复网络用时未到达Cookie和共享密钥的生命周期,则网络恢复后UE和RP之间可以继续利用该共享密钥和Cookie进行应用服务的获取,否则需要重新产生共享密钥过程。在UE访问RP应用服务器后,若遭遇用户主动关闭注销UE或断电等特殊情况,则用户需要重新完成整个执行流程。
本发明中,上述的密钥生成方式可以采用现有的任一种密钥生成方法,本发明并不限定所采用的密钥生成方法。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。

Claims (7)

1.一种组合认证系统,包括单点登录SSO架构及OpenID架构,其特征在于,所述SSO架构及OpenID架构之间通过共用SSO架构中的应用服务器AS和OpenID架构中的OpenID身份提供实体OP而实现融合互通;
所述OP与服务依赖提供商RP之间利用Diffie-hellman密钥交换协议建立共享密钥;
所述SSO架构中还包括归属用户服务器HSS和身份鉴权认证提供者实体IdP;其中,
所述AS,用于请求UE到所述IdP进行认证,请求认证信息流中包含UE和AS的标识信息;
所述IdP,用于根据所述AS的标识信息对该AS进行认证,并存储AS认证结果,并在确认所述UE未经SIP Digest认证时,从HSS取得SIP Digest认证向量和所述UE的信息内容,产生随机数nonce;向所述UE发送认证挑战;
所述UE,用于产生随机数cnonce和生成哈希函数值,进而生成共享密钥K0,并向所述IdP回复响应;
所述IdP,用于接收到所述UE的响应后完成对所述UE的认证,并生成K0;以及,再次产生随机数nonce1,利用nonce1和K0生成密钥K1,并利用K0加密nonce1,并利用AS与IdP之间的共享密钥对K1和对UE的认证结果进行加密后,向所述UE发送200OK消息,所述200OK消息包含K0加密nonce1信息;以及,重定向该利用AS与IdP之间的共享密钥加密后的信息到所述AS;
所述UE进一步用于,在获得所述的200OK消息后,生成K1,使所述UE和所述AS之间拥有共享密钥K1
2.根据权利要求1所述的系统,其特征在于,所述OpenID架构中还包括服务依赖提供商RP;其中,
所述RP用于,在接收到IP多媒体业务子系统IMS用户设备UE的服务请求后,携带OpenID认证请求重定向所述UE到所述OP;
所述OP用于,在接收到所述UE超文本传输协议HTTP获取请求后,向所述UE返回未授权的响应,要求所述UE使用所述SSO架构中的初始会话认证SIP Digest机制进行认证;
所述UE用于,在未实现所述SIP Digest认证时,通过所述SSO架构实现SIP Digest认证;
所述OP进一步用于,获取SIP Digest认证后所述UE的授权信息,根据所述UE的授权信息,完成对所述UE的OpenID认证,并根据认证结果产生认证断言;将所述认证断言发送给所述RP;
所述RP进一步用于,确认所述断言正确时为所述UE提供服务。
3.根据权利要求2所述的系统,其特征在于,所述RP进一步用于,在接收到所述UE的服务请求后,基于所述服务请求中携带的所述UE的标识信息获得所述OP的地址信息和发现所述OP终点统一资源定位符URL,通过所述URL完成对所述UE的认证。
4.根据权利要求2所述的系统,其特征在于,所述RP和所述OP进行信息交互前,进一步协商用于通信安全保护的密钥。
5.一种认证方法,其特征在于,应用于SSO架构及OpenID架构融合的系统中,其中,所述SSO架构及OpenID架构之间通过共用SSO架构中的AS和OpenID架构中的OP而实现融合互通;所述OP与服务依赖提供商RP之间利用Diffie-hellman密钥交换协议建立共享密钥;
所述方法还包括:
RP在接收到IMS UE的服务请求后,携带OpenID认证请求重定向所述UE到所述OP;
所述OP在接收到所述UE的HTTP获取请求后,向所述UE返回未授权的响应,要求所述UE使用所述SSO架构中的初始会话认证SIP Digest机制进行认证;
所述UE在未实现所述SIP Digest认证时,通过所述SSO架构实现SIP Digest认证;
所述OP获取SIP Digest认证后所述UE的授权信息,根据所述UE的授权信息,完成对所述UE的OpenID认证,并根据认证结果产生认证断言;将所述认证断言发送给所述RP;
所述RP确认所述断言正确时为所述UE提供服务;
所述UE在未实现所述SIP Digest认证时,通过所述SSO架构实现SIP Digest认证,为:
所述AS请求所述UE到IdP认证,该请求认证信息流中包含UE和AS的标识信息;
所述IdP根据所述AS的标识信息对该AS进行认证,并存储AS认证结果,并在确认所述UE未经SIP Digest认证时,从HSS取得SIP Digest认证向量和所述UE的信息内容,产生随机数nonce;向所述UE发送认证挑战;
所述UE产生随机数cnonce和生成哈希函数值,进而生成共享密钥K0,并向所述IdP回复响应;
所述IdP接收到所述UE的响应后完成对所述UE的认证,并生成K0;以及,再次产生随机数nonce1,利用nonce1和K0生成密钥K1,并利用K0加密随机数nonce1,并利用AS与IdP之间的共享密钥对K1和对UE的认证结果进行加密后,所述IdP向所述UE发送200OK消息,所述200OK消息包含K0加密nonce1信息;以及,重定向该利用AS与IdP之间的共享密钥加密后的信息到所述AS;
所述UE在获得所述的200OK消息后,生成K1,使所述UE和所述AS之间拥有共享密钥K1
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述RP在接收到所述UE的服务请求后,基于所述服务请求中携带的所述UE的标识信息获得所述OP的地址信息和发现所述OP终点URL,通过所述URL完成对所述UE的认证。
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
所述RP和所述OP进行信息交互前,协商用于通信安全保护的密钥。
CN201110072463.5A 2011-03-24 2011-03-24 组合认证系统及认证方法 Expired - Fee Related CN102694779B (zh)

Priority Applications (2)

Application Number Priority Date Filing Date Title
CN201110072463.5A CN102694779B (zh) 2011-03-24 2011-03-24 组合认证系统及认证方法
PCT/CN2012/071198 WO2012126299A1 (zh) 2011-03-24 2012-02-16 组合认证系统及认证方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201110072463.5A CN102694779B (zh) 2011-03-24 2011-03-24 组合认证系统及认证方法

Publications (2)

Publication Number Publication Date
CN102694779A CN102694779A (zh) 2012-09-26
CN102694779B true CN102694779B (zh) 2017-03-29

Family

ID=46860066

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201110072463.5A Expired - Fee Related CN102694779B (zh) 2011-03-24 2011-03-24 组合认证系统及认证方法

Country Status (2)

Country Link
CN (1) CN102694779B (zh)
WO (1) WO2012126299A1 (zh)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107548051A (zh) * 2016-06-29 2018-01-05 中兴通讯股份有限公司 业务处理方法、网络应用功能实体和通用认证架构系统
CN110035035B (zh) * 2018-01-12 2021-09-17 北京新媒传信科技有限公司 一种单点登录的二次认证方法及系统
CN108664803B (zh) * 2018-04-04 2022-03-22 中国电子科技集团公司第三十研究所 一种基于密码的文档内容细粒度访问控制系统
CN110021086B (zh) * 2018-10-29 2021-09-28 深圳市微开互联科技有限公司 一种基于openid的临时授权开启门禁的方法

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101552673A (zh) * 2009-04-30 2009-10-07 用友软件股份有限公司 使用OpenID账号登录单点登录系统的方法
WO2010028691A1 (en) * 2008-09-12 2010-03-18 Nokia Siemens Networks Oy Methods, apparatuses and computer program product for obtaining user credentials for an application from an identity management system
CN101771676A (zh) * 2008-12-31 2010-07-07 华为技术有限公司 一种跨域授权的设置、鉴权方法、相关装置及系统

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8613058B2 (en) * 2007-05-31 2013-12-17 At&T Intellectual Property I, L.P. Systems, methods and computer program products for providing additional authentication beyond user equipment authentication in an IMS network

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2010028691A1 (en) * 2008-09-12 2010-03-18 Nokia Siemens Networks Oy Methods, apparatuses and computer program product for obtaining user credentials for an application from an identity management system
CN101771676A (zh) * 2008-12-31 2010-07-07 华为技术有限公司 一种跨域授权的设置、鉴权方法、相关装置及系统
CN101552673A (zh) * 2009-04-30 2009-10-07 用友软件股份有限公司 使用OpenID账号登录单点登录系统的方法

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
Update of the solution of implementing SSO_APS based on SIP Digest;ZTE Corporation, et al.;《3GPP TSG-SA3(Security) Meeting #62》;20110128;第6页第1段至第7页最后一段 *

Also Published As

Publication number Publication date
WO2012126299A1 (zh) 2012-09-27
CN102694779A (zh) 2012-09-26

Similar Documents

Publication Publication Date Title
CN101156352B (zh) 基于移动网络端到端通信的认证方法、系统及认证中心
US10411884B2 (en) Secure bootstrapping architecture method based on password-based digest authentication
KR101485230B1 (ko) 안전한 멀티 uim 인증 및 키 교환
KR101009330B1 (ko) 모바일 네트워크를 기반으로 하는 엔드 투 엔드 통신에서의 인증을 위한 방법, 시스템 및 인증 센터
CN101194529B (zh) 用于协商至少一个第一通信用户和第二通信用户之间的安全密钥以保护通信连接的安全的方法
US9015819B2 (en) Method and system for single sign-on
KR101309426B1 (ko) 모바일 네트워크에서 재귀 인증을 위한 방법 및 시스템
CN109639731B (zh) 多因子通用可组合认证及服务授权方法、通信服务系统
EP1997292A2 (en) Establishing communications
CN101867530A (zh) 基于虚拟机的物联网网关系统及数据交互方法
KR20070102722A (ko) 통신 시스템에서 사용자 인증 및 권한 부여
CN102694779B (zh) 组合认证系统及认证方法
CN103781026B (zh) 通用认证机制的认证方法
WO2013044766A1 (zh) 无卡终端的业务访问方法及设备
CN103067345A (zh) 一种变异gba的引导方法及系统
WO2013004104A1 (zh) 单点登录方法及系统
EP3017586A1 (en) User consent for generic bootstrapping architecture
Gupta et al. An efficient handover aka protocol for wireless network using chameleon hash function
CN103297969A (zh) 一种ims单点登录组合鉴权方法和系统
Song et al. Performance evaluation of an authentication solution for IMS services access
CN103095649A (zh) 一种ims单点登录的组合鉴权方法及系统
Shao et al. A Secondary Authentication Algorithm of 5G Communication with PUF Terminal for Power Service
CN102469102B (zh) 单点登录方法及系统
CN114338065A (zh) 安全通讯方法、装置、服务器及存储介质
WO2012129985A1 (zh) 单点登录方法及系统

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20170329

Termination date: 20210324

CF01 Termination of patent right due to non-payment of annual fee