《共享网络中用户数据的方法和身份提供服务器.pdf》由会员分享,可在线阅读,更多相关《共享网络中用户数据的方法和身份提供服务器.pdf(20页完整版)》请在专利查询网上搜索。
1、(10)申请公布号 CN 102938757 A (43)申请公布日 2013.02.20 C N 1 0 2 9 3 8 7 5 7 A *CN102938757A* (21)申请号 201110233110.9 (22)申请日 2011.08.15 H04L 29/06(2006.01) H04L 9/08(2006.01) (71)申请人中兴通讯股份有限公司 地址 518057 广东省深圳市南山区高新技术 产业园科技南路中兴通讯大厦法务部 (72)发明人韦银星 符涛 吴强 (74)专利代理机构北京安信方达知识产权代理 有限公司 11262 代理人李健 龙洪 (54) 发明名称 共享网络中。
2、用户数据的方法和身份提供服务 器 (57) 摘要 本发明提供了一种共享网络中用户数据的方 法、业务提供服务器、身份提供服务器和用户设 备,其中,所述网络包括身份提供服务器和资源服 务器(RS),该方法包括:业务提供服务器接收用 户设备(UE)的访问;所述业务提供服务器从所述 RS直接或间接地获取用户授权的用户共享数据。 上述共享网络中用户数据的方法、业务提供服务 器、身份提供服务器和用户设备,使得业务提供服 务器安全地共享电信运营商的用户数据。 (51)Int.Cl. 权利要求书2页 说明书12页 附图5页 (19)中华人民共和国国家知识产权局 (12)发明专利申请 权利要求书 2 页 说明书。
3、 12 页 附图 5 页 1/2页 2 1.一种共享网络中用户数据的方法,所述网络包括身份提供服务器和资源服务器 (RS),该方法包括: 业务提供服务器接收用户设备(UE)的访问; 所述业务提供服务器从所述RS直接或间接地获取用户授权的用户共享数据。 2.根据权利要求1所述的方法,其特征在于: 所述业务提供服务器接收UE的访问之前,所述方法还包括: 所述业务提供服务器直接或间接地完成对所述UE的业务接入认证。 3.根据权利要求2所述的方法,其特征在于: 所述业务提供服务器直接地完成对UE的业务接入认证包括: 所述业务提供服务器从所述身份提供服务器获得用户安全参数,根据所述用户安全参 数完成对所。
4、述UE的业务接入认证。 4.根据权利要求2所述的方法,其特征在于: 所述业务提供服务器间接地完成对UE的业务接入认证包括: 所述业务提供服务器从所述身份提供服务器获得所述身份提供服务器对所述UE的业 务接入认证结果。 5.根据权利要求3所述的方法,其特征在于: 所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获 得的。 6.根据权利要求4所述的方法,其特征在于: 所述业务接入认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结 果完成的。 7.根据权利要求1-6任一权利要求所述的方法,其特征在于: 所述业务提供服务器从所述RS直接地获取用户授权的用户共享数据包。
5、括: 所述业务提供服务器从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接 地获取用户授权的用户共享数据。 8.根据权利要求1-6任一权利要求所述的方法,其特征在于: 所述业务提供服务器从所述RS间接地获取用户授权的用户共享数据包括: 所述业务提供服务器通过所述身份提供服务器获取用户授权的用户共享数据。 9.一种业务提供服务器,该业务提供服务器包括: 接收模块,用于接收用户设备(UE)的访问; 获取模块,用于从资源服务器(RS)直接或间接地获取用户授权的用户共享数据。 10.根据权利要求9所述的业务提供服务器,其特征在于,所述业务提供服务器还包 括: 业务接入认证模块,用于在所述接收模块。
6、接收UE的访问之前,直接或间接地完成对所 述UE的业务接入认证。 11.根据权利要求10所述的业务提供服务器,其特征在于: 所述业务接入认证模块,是用于从身份提供服务器获得用户安全参数,根据所述用户 安全参数完成对所述UE的业务接入认证;或者,从所述身份提供服务器获得所述身份提供 服务器对所述UE的业务认证结果。 权 利 要 求 书CN 102938757 A 2/2页 3 12.根据权利要求11所述的业务提供服务器,其特征在于: 所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接入认证结果获 得的;或者 所述业务认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结果完 。
7、成的。 13.根据权利要求9-12任一权利要求所述的业务提供服务器,其特征在于: 所述获取模块,是用于从所述身份提供服务器获取令牌,根据所述令牌从所述RS直接 地获取用户授权的用户共享数据;或者通过所述身份提供服务器获取用户授权的用户共享 数据。 14.一种身份提供服务器,该身份提供服务器包括: 网络接入认证模块,用于对用户设备(UE)接入网络进行认证,并获得用户安全参数; 业务接入认证模块,用于根据所述网络接入认证模块获得的用户安全参数完成对所述 UE的业务接入认证,并将业务接入认证结果发送给业务提供服务器。 15.根据权利要求14所述的身份提供服务器,其特征在于,所述身份提供服务器还包 括。
8、: 发送模块,用于将所述网络接入认证模块获得的用户安全参数发送给所述业务提供服 务器。 16.根据权利要求14或15所述的身份提供服务器,其特征在于: 所述用户安全参数包括会话密钥。 17.根据权利要求15所述的身份提供服务器,其特征在于,所述身份提供服务器还包 括: 数据发送模块,用于在所述业务接入认证模块将业务接入认证结果或者所述发送模块 将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的数据请 求,根据所述数据请求从资源服务器(RS)获得用户授权的用户共享数据,并将所述用户共 享数据发送给所述业务提供服务器。 18.根据权利要求17所述的身份提供服务器,其特征在于:。
9、 所述数据发送模块,还用于在所述业务接入认证模块将业务接入认证结果或者所述发 送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发送的 令牌请求,根据所述令牌请求向所述业务提供服务器发送令牌,以便所述业务提供服务器 根据所述令牌从所述RS中获得用户授权的用户共享数据。 19.一种用户设备(UE),该UE包括: 访问模块,用于访问业务提供服务器; 数据处理模块,用于接收身份提供服务器根据所述业务提供服务器发送的数据请求发 送的用户数据授权请求,根据用户对该用户数据授权请求中携带的用户数据的授权结果, 向所述身份提供服务器返回用户授权的用户共享数据。 20.根据权利要求19所。
10、述的UE,其特征在于: 所述访问模块,是用于所述UE采用标识成功接入网络并获得所述业务提供服务器的 业务接入认证后,访问所述业务提供服务器。 权 利 要 求 书CN 102938757 A 1/12页 4 共享网络中用户数据的方法和身份提供服务器 技术领域 0001 本发明涉及通讯领域和互联网领域,尤其涉及一种共享网络中用户数据的方法、 业务提供服务器、身份提供服务器和用户设备。 背景技术 0002 随着网络的普及和信息技术的发展,人们越来越多地在网络空间中开展业务活 动,如网上购物、网络电话、电子邮件、博客、即时通讯等。通常,由电信运营商和业务提供商 向用户提供服务,其中电信运营商拥有通讯网。
11、络的基础设施,为用户提供丰富的接入方式, 如非对称数字用户线路(Asymmetric Digital Subscriber Line,ADSL)接入、第三代(The Third Generation,3G)移动通信接入、无线局域网(Wireless Local Area Network,WLAN) 接入、以太网接入等等;业务提供商向用户提供丰富的业务,如传统门户网站、电子商务、网 络通信、网上银行和社交网络等。 0003 互联网上业务提供商规模不一,有些虽然可以提供创新的业务,但是用户数量发 展较慢,用户数通常成为业务发展的瓶颈。近年来,互联网上出现了一类提供身份服务的供 应商,称为身份提供商。
12、(Identity Provider,身份提供服务器)。身份提供商提供的身份提 供服务器通常具有比较庞大的用户资源,可以为其他用户或业务供应商提供身份验证等服 务。电信运营商的用户数巨大,具备了天然的身份提供服务器的能力,但是与开放的互联网 相比,电信网络相对封闭,业务种类单一。为了增强电信运营商的竞争能力,而不是仅仅为 业务提供商提供管道,电信运营商有必要成为业务价值链的一部分:作为身份提供服务器 提供身份服务、共享用户信息、提供可信的安全服务、提供移动支付能力等;业务提供商可 以尽量重用电信运营商提供的各种能力,专注于核心竞争力的业务;对用户来说,可以享受 无缝的业务体验并提升安全和个人隐。
13、私。 0004 在现有的技术中,IP多媒体子系统(IP Multimedia System,IMS)中应用服务器 (Application Server,AS)可以直接访问归属用户服务器(Home Subscriber Server,HSS) 中用户的签约数据。用户通过修改签约信息决定共享哪些数据。对于互联网上业务提供商 来说,其数量众多,而且新的业务提供商不断出现,事先很难定义签约数据。因此这种方案 存在可扩展性问题。此外,对于第三方AS来说,根据信任关系来保证从HSS中获取用户签 约数据,但是目前不能灵活地控制AS对用户签约数据的访问。 0005 在目前的身份管理(Identity Man。
14、agement,IdM)中,涉及到三个角色:用户、 业务提供商和身份提供服务器,目前的解决方案主要是解决单点登录问题,如开放身份 (OpenID),自由联盟(Liberty Alliance),卡片空间(Card Space),通用认证架构(Generic Authentication Architecture,GAA)和Kerberos模型等,这些方案对用户身份的定义并 不统一,各自独立完成。身份的多样性给用户使用互联网的业务还是带来不便。 0006 开放授权(Open Authorization,OAuth)解决互联网中用户资源数据的授权访问 的协议,对于用户没有采用统一的方式进行标识,没。
15、有定义如何与电信运营商的资源一起 来使用。 说 明 书CN 102938757 A 2/12页 5 0007 目前的网络中,用户的身份用于网络层对用户的识别,也可以用于业务提供商对 用户的识别,为用户提供了一个统一的身份。但是目前还缺乏有效的方法实现业务提供商 的业务提供服务器安全地共享电信运营商的用户数据,这也限制新业务的开展。 发明内容 0008 本发明提供了一种共享网络中用户数据的方法、业务提供服务器、身份提供服务 器和用户设备,以解决现有的业务提供服务器无法安全地共享电信运营商的用户数据的问 题。 0009 本发明提供了一种共享网络中用户数据的方法,该方法包括: 0010 所述网络包括。
16、身份提供服务器和资源服务器(RS),该方法包括: 0011 业务提供服务器接收用户设备(UE)的访问; 0012 所述业务提供服务器从所述RS直接或间接地获取用户授权的用户共享数据。 0013 优选地,所述业务提供服务器接收UE的访问之前,所述方法还包括: 0014 所述业务提供服务器直接或间接地完成对所述UE的业务接入认证。 0015 优选地,所述业务提供服务器直接地完成对UE的业务接入认证包括: 0016 所述业务提供服务器从所述身份提供服务器获得用户安全参数,根据所述用户安 全参数完成对所述UE的业务接入认证。 0017 优选地,所述业务提供服务器间接地完成对UE的业务接入认证包括: 0。
17、018 所述业务提供服务器从所述身份提供服务器获得所述身份提供服务器对所述UE 的业务接入认证结果。 0019 优选地,所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接 入认证结果获得的。 0020 优选地,所述业务接入认证结果是所述身份提供服务器根据所述网络对所述UE 的接入认证结果完成的。 0021 优选地,所述业务提供服务器从所述RS直接地获取用户授权的用户共享数据包 括: 0022 所述业务提供服务器从所述身份提供服务器获取令牌,根据所述令牌从所述RS 直接地获取用户授权的用户共享数据。 0023 优选地,所述业务提供服务器从所述RS间接地获取用户授权的用户共享数据包 括。
18、: 0024 所述业务提供服务器通过所述身份提供服务器获取用户授权的用户共享数据。 0025 本发明还提供了一种业务提供服务器,该业务提供服务器包括: 0026 接收模块,用于接收用户设备(UE)的访问; 0027 获取模块,用于从资源服务器(RS)直接或间接地获取用户授权的用户共享数据。 0028 优选地,所述业务提供服务器还包括: 0029 业务接入认证模块,用于在所述接收模块接收UE的访问之前,直接或间接地完成 对所述UE的业务接入认证。 0030 优选地,所述业务接入认证模块,是用于从身份提供服务器获得用户安全参数,根 据所述用户安全参数完成对所述UE的业务接入认证;或者,从所述身份提。
19、供服务器获得所 说 明 书CN 102938757 A 3/12页 6 述身份提供服务器对所述UE的业务认证结果。 0031 优选地,所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的接 入认证结果获得的;或者 0032 所述业务认证结果是所述身份提供服务器根据所述网络对所述UE的接入认证结 果完成的。 0033 优选地,所述获取模块,是用于从所述身份提供服务器获取令牌,根据所述令牌从 所述RS直接地获取用户授权的用户共享数据;或者通过所述身份提供服务器获取用户授 权的用户共享数据。 0034 本发明还提供了一种身份提供服务器,该身份提供服务器包括: 0035 网络接入认证模块,用于。
20、对用户设备(UE)接入网络进行认证,并获得用户安全参 数; 0036 业务接入认证模块,用于根据所述网络接入认证模块获得的用户安全参数完成对 所述UE的业务接入认证,并将业务接入认证结果发送给业务提供服务器。 0037 优选地,所述身份提供服务器还包括: 0038 发送模块,用于将所述网络接入认证模块获得的用户安全参数发送给所述业务提 供服务器。 0039 优选地,所述用户安全参数包括会话密钥。 0040 优选地,所述身份提供服务器还包括: 0041 数据发送模块,用于在所述业务接入认证模块将业务接入认证结果或者所述发送 模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供服务器发。
21、送的数 据请求,根据所述数据请求从资源服务器(RS)获得用户授权的用户共享数据,并将所述用 户共享数据发送给所述业务提供服务器。 0042 优选地,所述数据发送模块,还用于在所述业务接入认证模块将业务接入认证结 果或者所述发送模块将所述用户安全参数发送给业务提供服务器之后,接收所述业务提供 服务器发送的令牌请求,根据所述令牌请求向所述业务提供服务器发送令牌,以便所述业 务提供服务器根据所述令牌从所述RS中获得用户授权的用户共享数据。 0043 本发明还提供了一种用户设备(UE),该UE包括: 0044 访问模块,用于访问业务提供服务器; 0045 数据处理模块,用于接收身份提供服务器根据所述业。
22、务提供服务器发送的数据请 求发送的用户数据授权请求,根据用户对该用户数据授权请求中携带的用户数据的授权结 果,向所述身份提供服务器返回用户授权的用户共享数据。 0046 优选地,所述访问模块,是用于所述UE采用标识成功接入网络并获得所述业务提 供服务器的业务接入认证后,访问所述业务提供服务器。 0047 上述共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备, 使得业务提供服务器安全地共享电信运营商的用户数据。 附图说明 0048 图1为本发明共享网络中用户数据的场景示意图; 0049 图2为本发明共享网络中用户数据实施例一的架构示意图; 说 明 书CN 102938757 A。
23、 4/12页 7 0050 图3为本发明共享网络中用户数据实施例二的架构示意图; 0051 图4为本发明共享网络中用户数据实施例一的信令流程图; 0052 图5为本发明共享网络中用户数据实施例二的信令流程图; 0053 图6为本发明共享网络中用户数据实施例三的信令流程图。 具体实施方式 0054 为使本发明的目的、技术方案和优点更加清楚明白,下文中将结合附图对本发明 的实施例进行详细说明。需要说明的是,在不冲突的情况下,本申请中的实施例及实施例中 的特征可以相互任意组合。 0055 如图1所示,为本发明共享网络中用户数据的场景示意图,在该实施例中,社交网 络安全地共享用户在网络中的数据,如联系。
24、人列表,该共享过程包括: 0056 步骤10、用户100接入到网络102,通过了网络102的认证; 0057 步骤12、用户100访问社交网站104; 0058 步骤14、社交网站104没有用户100的身份信息,社交网站104根据配置信息找到 网络102或利用动态发现协议找到网络102; 0059 步骤16、网络102联系用户100,由用户100授权是否共享用户数据,如联系人列 表; 0060 步骤18、用户100授权共享的用户数据后,由网络102继续后面的处理; 0061 步骤20、网络102向社交网络104返回用户100共享的信息,如联系人列表; 0062 步骤22、用户106通过网络10。
25、2访问社交网站104时,使用用户100共享的用户数 据,如联系人列表。 0063 如图2所示,为本发明共享网络中用户数据实施例一的架构示意图,网络通过接 入服务节点(ASN,Access Serving Node)完成数据包的路由;用户设备(UE)200用ID来标 识。在网络中,由身份提供服务器对用户设备200进行认证,支持从资源服务器(Resource Server,RS)206直接获取用户共享的数据,或通过身份提供服务器204获取用户共享的数 据。所述的网络包括但不限于移动通信网络,标识网。所述UE 200与业务提供服务器208 之间的认证是基于用户接入认证的结果。该架构中,网络不会把用户。
26、的安全凭证传递到业 务提供服务器208,从而业务提供服务器208不能直接对用户设备200进行认证,需要通过 UE 200和身份提供服务器204之间的接口完成对用户认证。 0064 用户设备200指用户节点,如手机、个人电脑等;用户设备预先配置或从网络获 取标识ID;用户设备拥有安全凭证,与网络预共享根密钥,或者设置数字证书。在移动通 信网络中,用户设备的ID可以用国际移动用户识别码(IMSI)或移动用户综合业务数字网 (MSISDN)来标识;在标识网中,用户设备的ID是接入标识符(Access Identifier,AID)。 用户设备的能力包括但不限于:支持超文本传输协议(HTTP)摘要(D。
27、igest)认证协议;支 持会话初始协议(SIP)Digest认证协议;支持扩展认证协议(Extensible Authentication Protocol,EAP)和EAP认证方法;能够推导出新的密钥材料。 0065 接入服务节点202位于网络的边界处,用于为用户设备200提供接入服务、维护 终端与网络的连接,实现数据报文的路由和转发等功能,与身份提供服务器204配合完成 对UE 200的接入认证。在移动通信网络中,接入服务节点是GPRS服务支持节点(Serving 说 明 书CN 102938757 A 5/12页 8 GPRS SUPPORT NODE,SGSN)和/或网关GPRS支持。
28、节点(Gateway GPRS Support Node, GGSN),在标识网中,接入服务节点是ASN。 0066 身份提供服务器204在网络中是以用户身份ID为核心,负责创建、维护、管理用户 的身份信息,提供用户身份验证服务。身份提供服务器204的能力包括但不限于:提供网络 接入认证服务;提供业务接入认证服务;支持EAP的功能;能够从RS获取用户信息;具体实 现时可以对认证中心的功能增强实现身份管理的功能,如支持Web功能、HTTP(Hypertext Transfer Protocol,超文本传输协议)、HTTP摘要认证协议、安全断言标记语言(Security Assertion Mar。
29、kup Language,SAML)。 0067 资源服务器(RS)206存储用户的安全信息,提供用户的属性数据和其他数据,如 联系人列表、头像、照片、视频等。 0068 业务提供服务器208向用户节点200提供业务,可以是Web类业务,如门户网站、 电子商城,这类业务通常采用超文本传输标记语言(HTML)/HTTP;也可以是非Web类业务, 如电子邮件,即时通信,这类业务通常基于传输层的协议,如传输控制协议(Transmission Control Protocol,TCP)。 0069 下面对图2中各接口进行介绍: 0070 接口A:位于UE 200和ASN 202之间,提供UE 200和。
30、ASN 202的双向认证,支持 但不限于EAP协议; 0071 接口B:位于ASN 202和身份提供服务器204之间,从身份提供服务器204传输主 会话密钥到ASN 202;支持但不限于通过鉴别授权计费(AAA)协议传递EAP载荷; 0072 接口C:位于身份提供服务器204和RS 206之间,身份提供服务器204通过C 214 接口获取用户的安全信息以及其他用户数据。该接口的协议包括但不限于:支持Diameter 协议。 0073 接口D:位于UE 200和身份提供服务器204之间,支持用户的单点登录服务,支持 安全共享数据。该接口的协议包括但不限于:支持HTTP Digest协议;支持SI。
31、P Digest协 议;支持SAML协议。 0074 接口E:位于UE 200和业务提供服务器208之间,UE 200通过该接口访问业务提 供服务器208提供的业务,该接口的协议包括但不限于:支持HTTP协议;支持传输层协议, 如TCP;支持SAML协议;支持Diameter协议;支持HTTPS协议。 0075 接口F:位于身份提供服务器204和业务提供服务器208之间,提供单点登录服 务,支持安全共享数据。该接口的协议包括但不限于:支持HTTP协议,支持AAA协议。 0076 接口G:位于业务提供服务器208和RS 206之间,业务提供服务器208通过该接 口获取用户相关数据。该接口的协议包。
32、括但不限于:支持Diameter协议。 0077 如图3所示,为本发明共享网络中用户数据实施例二的架构示意图,该架构图与 图2所示架构图的区别在于,本实施例中的架构图中,UE和身份提供服务器之间没有接口; 但网络可以把用户安全信息(如标识,主会话密钥,密钥生命周期等)传递到业务提供服务 器208,从而业务提供服务器208能直接对用户设备200进行认证。其中,所述UE 200与业 务提供服务器208之间的认证所使用的用户安全信息是基于用户的网络接入认证的结果。 0078 如图4所示,为本发明共享网络中用户数据实施例一的信令流程图,该流程图是 基于图2所示架构完成的,在该实施例中,由身份提供服务器。
33、204对UE 200进行认证,业务 说 明 书CN 102938757 A 6/12页 9 提供服务器208从身份提供服务器204获取令牌,从RS 206直接获取用户共享的数据,身 份提供服务器204和RS 206已经预先配置了用户数据共享的模板,具体共享哪些数据由用 户来授权。 0079 该流程进行的前提条件是UE 200和ASN202之间的链路已经建立,UE200已预先 配置了用户的身份标识ID;该共享网络中用户数据过程包括: 0080 步骤220、ASN 202发送身份请求至UE 200; 0081 步骤222、UE 200发送响应至ASN 202,在响应中携带用户的身份ID; 0082。
34、 步骤224、ASN 202发送所述响应报文至身份提供服务器204,所述报文携带用户 身份ID; 0083 步骤226、身份提供服务器204发送携带ID的报文至RS 206请求密钥材料; 0084 步骤228、RS 206向身份提供服务器204返回密钥材料; 0085 步骤230、UE 200和身份提供服务器204协商安全参数,包括双方支持的安全协议 和会话密钥; 0086 上述步骤220-230为网络对UE的接入认证过程; 0087 步骤232、UE 200访问业务提供服务器208的业务,业务提供服务器208通过静态 配置或动态发现身份提供服务器204的位置; 0088 步骤234、业务提供。
35、服务器208发送重定向消息至UE 200,UE 200根据重定向消 息头中身份提供服务器的地址把该消息发送至身份提供服务器204; 0089 步骤236、身份提供服务器204向UE 200发送未授权消息; 0090 步骤238、UE200向身份提供服务器204发送摘要认证消息,用ID作为用户名,会 话密钥作为密码; 0091 步骤240、身份提供服务器204收到摘要认证消息后验证用户的身份; 0092 步骤242、身份提供服务器204向RS 206请求用户数据列表,该请求中携带用户的 身份; 0093 步骤244、RS 206向身份提供服务器204返回用户列表; 0094 步骤246、身份提供。
36、服务器204通过向UE200发送用户数据的列表,请求用户授 权; 0095 步骤248、UE 200向身份提供服务器204返回用户授权结果; 0096 步骤250、身份提供服务器204发送重定向消息至UE 200,UE 200根据消息头中 的地址联系业务提供服务器208,所述消息包括索引和授权码; 0097 步骤252、业务提供服务器208向身份提供服务器204请求访问令牌,所述请求中 包含索引和授权码; 0098 步骤254、身份提供服务器204向业务提供服务器208返回访问令牌,该令牌包含 密钥、密钥生命周期等信息; 0099 步骤256、业务提供服务器208从RS206中批量获取共享用户。
37、数据,RS206对这些 数据进行安全保护,如机密性保护、完整性保护;业务提供服务器208收到这些用户数据 后,用访问令牌读取这些受保护的数据; 0100 步骤258、业务提供服务器208返回结果消息至UE 200。 0101 下面以EAP、AAA、HTTP和SAML协议为例,对图4所示的安全共享网络中用户数据 说 明 书CN 102938757 A 7/12页 10 流程以应用示例的形式进行描述: 0102 步骤220a、ASN 202发送EAP-Identity身份请求至UE 200; 0103 步骤222a、UE 200发送EAP-Identity响应至ASN 202,在响应中携带用户的身。
38、份 ID,其中EAP-Identity响应中Type-Data设置为ID; 0104 步骤224a、ASN 202通过AAA协议发送EAP载荷(EAP-Payload)至身份提供 服务器204。对于Diameter协议,采用Diameter-EAP-Request消息的EAP-Payload AVP(Attribute-Value Pair,属性-值对)来封装EAP-Identity载荷;对于远程用户拨 号认证服务(RADIUS)协议,采用RADIUSAccess-Request消息的EAP-Message属性来封装 EAP-Identity载荷; 0105 步骤226a、身份提供服务器204。
39、通过Diameter协议发送ID至RS 206获取密钥材 料,具体可采用多媒体授权请求(Multimedia-Auth-Request,MAR)携带ID; 0106 步骤228a、RS 206通过Diameter协议向身份提供服务器204返回密钥材料,具体 可采用多媒体授权应答(Multimedia-Auth-Answer,MAA)消息携带密钥材料,其中ID映射 为用户名(User-Name)属性; 0107 步骤230a、UE 200和身份提供服务器204协商安全参数:(1)协商EAP方 法(Method),如EAP-认证和密钥协商(AKA),EAK-安全传输层协议(TLS)等,对于 Dia。
40、meter协议,采用Diameter-EAP-Request消息的EAP-Payload AVP(Attribute-Value Pair,属性-值对)来封装EAP-AKA,EAP-TLS等载荷;对于RADIUS协议,采用RADIUS Access-Challenge和Access-Accept封装EAP-AKA,EAP-TLS等载荷。(2)UE 200和身 份提供服务器204协商MSK(Master Session Key,主会话密钥),对于Diameter协议,采 用Diameter-EAP-Request消息的EAP-Master-Session-Key AVP来携带密钥材料;对于 RA。
41、DIUS协议,通过RADIUS Accept消息中VSA(Vendor业务提供服务器ecific Attribute, 特定供应商属性)来携带MSK; 0108 步骤232a、UE 200发送HTTP请求至业务提供服务器208,在业务提供服务 器208上选择通过身份提供服务器204登录。在HTTP请求的头字段中带有身份提供 服务器的URL(Uniform Resource Locator,统一资源定位符)地址,业务提供服务器 208通过静态配置或动态发现身份提供服务器204的URL地址,所述请求消息中携带 ; 0109 步骤234a、业务提供服务器208发送HTTP重定向消息至UE 200,U。
42、E200根据HTTP 重定向消息头中身份提供服务器的URL地址把该消息发送至身份提供服务器204; 0110 步骤236a、身份提供服务器204向UE 200发送HTTP 401未授权(Unauthorized) 消息; 0111 步骤238a、UE200向身份提供服务器204发送HTTP请求消息,用ID作为用户名, MSK作为密码,进行HTTP Digest认证; 0112 步骤240a、身份提供服务器204收到HTTP摘要认证消息后,根据ID检查本地的 ID/MSK,进行同样的HTTP Digest认证算法,计算的结果一致时,则验证通过; 0113 步骤242a、身份提供服务器204通过D。
43、iameter协议发送ID至RS 206请求用户数 据列表,采用Push-Profile-Request消息User Data属性来携带用户数据的列表,其中ID 映射为User-Name属性; 说 明 书CN 102938757 A 10 8/12页 11 0114 步骤244a、RS 206通过Diameter协议向身份提供服务器204返回用户数据列表, 采用Push-Profile-Answer消息User Data属性来携带用户数据的列表,其中ID映射为 User-Name属性; 0115 步骤246a、身份提供服务器204通过HTTPS发送用户数据的列表至UE200请求用 户授权; 0。
44、116 步骤248a、用户授权后由UE 200把用户授权数据列表返回至身份提供服务器 204; 0117 步骤250a、身份提供服务器204生成SAML Artifact(工件)和授权码,通过HTTPS 把消息重定向至UE 200,UE 200根据消息头中的URL联系业务提供服务器208,其中SAML Artifact指向SAML协议消息的结构化数据对象,SAML Artifact比较小,可以嵌在HTTP消 息中; 0118 步骤252a、业务提供服务器208通过HTTPS发送HTTP GET请求至从身份提供服务 器204,该消息中包含SAML Artifact和授权码; 0119 步骤254。
45、a、身份提供服务器204通过HTTPS响应消息向业务提供服务器208返回 访问令牌,该令牌包含密钥、密钥生命周期等信息; 0120 步骤256a、业务提供服务器208通过Diameter协议从RS 206中批量获取共享用 户数据,采用Diameter推送签约请求(Push-Profile-Request)/应答(Answer)消息User Data属性来批量获取用户共享的数据。RS 206对这些数据进行安全保护,如机密性保护、 完整性保护;业务提供服务器208收到这些用户数据后,用访问令牌读取这些受保护的数 据; 0121 步骤258a、业务提供服务器返回HTTP 200OK消息至UE 200。
46、。 0122 上述流程适用于ADSL、WLAN和以太网等支持EAP认证的接入。对于3G接入过程 来说,采用AKA认证过程,认证过程结束后设置MSKCK|IK。 0123 身份位置分离网络支持与现有的终端和接入技术兼容,即不改变终端和接入网。 在这种情况下,UE 200按照现有的方式接入网络,通过接入认证后,网络给用户设备分配接 入标识ID,此时用户设备和网络共享会话密钥。后续的处理流程完全一致。 0124 如图5所示,为本发明共享网络中用户数据实施例二的信令流程图,该实施例也 是基于图2所示架构完成的,在该实施例中,由身份提供服务器204对UE 200进行认证,业 务提供服务器208通过身份提。
47、供服务器204获取用户共享的数据,具体共享哪些数据由用 户来授权,用户的真实身份信息可以不向业务提供服务器透露。 0125 该流程进行的前提条件是UE 200和ASN 202之间的链路已经建立,UE200已预先 配置了用户的身份标识ID或者由网络给用户分配ID;该共享网络中用户数据过程包括: 0126 步骤302、UE 200通过了网络的接入认证,认证结束后UE 200与身份提供服务器 204共享会话密钥; 0127 步骤302具体可以包括图4中的步骤220-步骤230,此处不再赘述; 0128 步骤304、UE 200访问业务提供服务器208的业务,业务提供服务器208通过静态 配置或动态发。
48、现身份提供服务器204的位置; 0129 步骤306、业务提供服务器208发送重定向消息至UE 200,UE 200根据重定向消 息头中身份提供服务器的地址把该消息发送至身份提供服务器204; 说 明 书CN 102938757 A 11 9/12页 12 0130 步骤308、身份提供服务器204向UE 200发送未授权消息; 0131 步骤310、UE200向身份提供服务器204发送摘要认证消息,用ID作为用户名,会 话密钥作为密码; 0132 步骤312、身份提供服务器204收到摘要认证消息后验证用户的身份; 0133 步骤314、身份提供服务器204向业务提供服务器208发送重定向消息。
49、,所述消息 包括索引; 0134 步骤316、业务提供服务器208向身份提供服务器204发送请求以认证用户的身 份,消息中包括索引; 0135 步骤318、身份提供服务器204向业务提供服务器208返回认证结果; 0136 步骤320、业务提供服务器208向身份提供服务器204请求用户共享数据,所述消 息包括索引; 0137 步骤322、身份提供服务器204向RS 208请求用户数据,所述请求包括用户ID; 0138 步骤324、RS 206向身份提供服务器返回用户数据; 0139 步骤326、身份提供服务器204发送请求至UE 200,请求用户授权数据; 0140 步骤328、UE 200向身份提供服务器204返回用户授权的数。