專利名稱：用戶鑒權(quán)的制作方法
技術(shù)領(lǐng)域：
本發(fā)明涉及用戶鑒權(quán)，尤其是在為無線通信網(wǎng)絡(luò)的用戶(訂戶)提供服務(wù)的環(huán)境中的用戶鑒權(quán)。
背景技術(shù)：
一種能夠保護(hù)用戶隱私的方法，可以為用戶提供對于不同服務(wù)提供商的不同標(biāo)識。在此，所述標(biāo)識指的是服務(wù)專用標(biāo)識。但是，在這樣的情況下，網(wǎng)絡(luò)運(yùn)營商需要為用戶提供標(biāo)識管理服務(wù)，所述標(biāo)識管理服務(wù)可以將服務(wù)專用標(biāo)識與被授權(quán)的用戶相關(guān)聯(lián)。如果標(biāo)識管理提供者不僅能夠代表其本身進(jìn)行授權(quán)，還能夠代表其它服務(wù)提供商進(jìn)行授權(quán)，那么會(huì)很有用。這意味著用戶不用必須分別在每一個(gè)服務(wù)簡檔站點(diǎn)注冊，就能夠調(diào)用私人服務(wù)。
這種方案被稱為標(biāo)識聯(lián)盟，并且允許服務(wù)提供商從集中的地方讀取用戶的標(biāo)識。用戶不必向所有服務(wù)提供商提供特定標(biāo)識信息。
目前，存在兩種專門用于無線通信網(wǎng)絡(luò)的代表性鑒權(quán)程序，在所述無線通信網(wǎng)絡(luò)中，移動(dòng)終端形式的用戶設(shè)備希望訪問來自服務(wù)提供商的服務(wù)。所謂的自由聯(lián)盟(LA)標(biāo)準(zhǔn)使用了這樣的鑒權(quán)程序，其中，自由許可代理(LEC)具有或者知道怎樣獲取，關(guān)于用戶希望與服務(wù)提供商使用的標(biāo)識提供方的信息。自由許可代理規(guī)定了映射在標(biāo)識提供方(IDP)處的服務(wù)專用標(biāo)識。每一個(gè)用戶有多個(gè)用于訪問服務(wù)提供商(SP)的標(biāo)識。標(biāo)識提供方的聯(lián)合名錄存儲(chǔ)了用戶、用戶的標(biāo)識以及服務(wù)之間的關(guān)系。所述標(biāo)識提供方向所述服務(wù)提供商聲明服務(wù)專用標(biāo)識，該服務(wù)提供商通過所述服務(wù)專用標(biāo)識來識別所述用戶。這種把不同的標(biāo)識呈現(xiàn)給不同服務(wù)提供商的能力允許維護(hù)用戶的隱私。根據(jù)所述自由聯(lián)盟標(biāo)準(zhǔn)，所述用戶可以避免在調(diào)用服務(wù)時(shí)暴露其真實(shí)身份。用戶可以匿名調(diào)用服務(wù)或者使用化名來調(diào)用服務(wù)(服務(wù)專用標(biāo)識)，而不用暴露其真實(shí)身份。所述聯(lián)合名錄將用戶的真實(shí)身份映射到其化名或者服務(wù)專用標(biāo)識，從而使得服務(wù)提供商將不會(huì)知道真實(shí)身份。通過化名和映射服務(wù)，服務(wù)提供商可以訪問，例如用戶的位置或者當(dāng)前狀態(tài)。這使得服務(wù)提供商可以利用所述化名經(jīng)由聯(lián)合數(shù)據(jù)庫中的映射從標(biāo)識服務(wù)提供商訪問所述用戶的位置。所述自由聯(lián)盟標(biāo)準(zhǔn)規(guī)定了帶符號的HTTP/soap綁定以用于聲明。然而，有很多現(xiàn)有服務(wù)并不知道自由聲明，而是依靠其它的形式的“聲明”來訪問，例如傳統(tǒng)的公開密鑰證書。這種服務(wù)例如對企業(yè)虛擬專用網(wǎng)(VPN)的訪問控制。
另外一種現(xiàn)有的鑒權(quán)形式是用于支持3GPP的用戶證書(SSC)[3GPPTS 33.221]，其作為3GPP通用鑒權(quán)架構(gòu)(GAA)[3GPP TS 33.220]而實(shí)現(xiàn)，并且規(guī)定了向認(rèn)證機(jī)構(gòu)(CA)請求用于特定標(biāo)識的用戶證書的方法。在這種情況中，所述特定標(biāo)識是所述用戶的標(biāo)識，而不是服務(wù)專用的。根據(jù)GAA/SSC技術(shù)，植入所述用戶設(shè)備中的通用自舉架構(gòu)(GBA)結(jié)合所述服務(wù)提供商處的鑒權(quán)服務(wù)器，對所述用戶設(shè)備進(jìn)行鑒權(quán)，并且它們約定共享密鑰資料。所述通用自舉架構(gòu)將所述共享密鑰資料傳送給認(rèn)證機(jī)構(gòu)CA。所述用戶設(shè)備生成不對稱的公開/私有密鑰對，并且向所述認(rèn)證機(jī)構(gòu)請求認(rèn)證。如果被授權(quán)，則返回將所述公開密鑰和所述請求用戶的標(biāo)識相關(guān)聯(lián)的證書。所述認(rèn)證過程受所述共享密鑰資料的保護(hù)。
移動(dòng)運(yùn)營商可以使用USIM、ISIM、用戶名/口令對或X.509公開密鑰證書，對其移動(dòng)用戶進(jìn)行鑒權(quán)。在使用證書的情況下，被鑒權(quán)的標(biāo)識位于subjectName域中，或者位于所述證書的SubjectAltName擴(kuò)展中[RFC3280]。
所述3GPP/GAA/SSC鑒權(quán)程序沒有用于指明用戶想要訪問的服務(wù)提供商的機(jī)制。通過所述證書僅可以指明和鑒權(quán)所述用戶的標(biāo)識。但并不支持基于所述證書的多標(biāo)識或服務(wù)專用標(biāo)識的鑒權(quán)。盡管所述SubjectAltName擴(kuò)展能夠用來承載多個(gè)標(biāo)識和服務(wù)專用標(biāo)識，但問題是在所述認(rèn)證過程中，所述用戶設(shè)備需要能夠指明想要的單個(gè)標(biāo)識或多個(gè)標(biāo)識，即所述用戶設(shè)備計(jì)劃使用所述證書的單個(gè)服務(wù)或多個(gè)服務(wù)。用戶設(shè)備不想把所有可能的標(biāo)識都放在一個(gè)證書里，原因是由于所述證書是公開的，發(fā)現(xiàn)不同標(biāo)識之間的綁定將會(huì)變得非常容易。

發(fā)明內(nèi)容
本發(fā)明的目的是提供一種不會(huì)受到上述兩系統(tǒng)的限制的鑒權(quán)系統(tǒng)。
根據(jù)本發(fā)明的一個(gè)方面，提供一種在通信網(wǎng)絡(luò)中對試圖訪問來自服務(wù)提供商的服務(wù)的用戶進(jìn)行鑒權(quán)的方法，所述方法包括給用戶分配用于訪問各個(gè)服務(wù)的多個(gè)服務(wù)專用標(biāo)識；從所述用戶發(fā)出請求，該請求標(biāo)識出將要訪問的服務(wù)并且包含所述用戶的公開密鑰；在認(rèn)證機(jī)構(gòu)處，對所述請求進(jìn)行鑒權(quán)，并且發(fā)出用于將所述服務(wù)專用標(biāo)識與所述請求中的公開密鑰綁定的公開密鑰證書，以及將所述公開密鑰證書返回給所述用戶。
在下面描述的實(shí)施例中，所述請求包括用于標(biāo)識出將要訪問的服務(wù)的服務(wù)標(biāo)識符，以及用于標(biāo)識出所述用戶的請求者標(biāo)識符。所述方法包括進(jìn)一步的步驟在所述認(rèn)證機(jī)構(gòu)處，將所述服務(wù)標(biāo)識符、請求者標(biāo)識符對映射到將要鑒權(quán)的服務(wù)專用標(biāo)識。盡管如此，還有可能這樣實(shí)現(xiàn)本發(fā)明，其中所述請求標(biāo)識出所述服務(wù)專用標(biāo)識，并且其中所述方法包括進(jìn)一步的步驟所述認(rèn)證機(jī)構(gòu)驗(yàn)證所述用戶是否被授權(quán)使用所述服務(wù)專用標(biāo)識。
在優(yōu)選實(shí)施例中，在用戶終端產(chǎn)生所述公開密鑰，其作為不對稱密鑰對的一部分，其中，所述不對稱密鑰對包括所述公開密鑰和私有密鑰。然而，可以通過其它方式獲得密鑰對，例如通過所述認(rèn)證機(jī)構(gòu)產(chǎn)生或者來自附裝在所述用戶終端上的安全單元。
本發(fā)明在無線通信網(wǎng)絡(luò)的環(huán)境中特別有用，然而應(yīng)理解，本發(fā)明還可以應(yīng)用在其它類型的通信網(wǎng)絡(luò)中。
本發(fā)明的另一方面為用戶提供一種在通信網(wǎng)絡(luò)中的用戶終端，所述用戶終端包括用于發(fā)出請求的裝置，所述請求標(biāo)識出將要經(jīng)由無線通信網(wǎng)絡(luò)訪問的服務(wù)并且含有公開密鑰；用于接收由認(rèn)證機(jī)構(gòu)發(fā)出的公開密鑰證書的裝置，所述公開密鑰證書將對于所述將要訪問的服務(wù)的服務(wù)專用標(biāo)識與所述公開密鑰相關(guān)聯(lián)；以及用于將所述公開密鑰證書轉(zhuǎn)發(fā)給服務(wù)提供商以便對所述用戶的服務(wù)專用標(biāo)識進(jìn)行鑒權(quán)，并由此授權(quán)訪問所述服務(wù)的裝置。
本發(fā)明的進(jìn)一步的方面提供一種用于在通信網(wǎng)絡(luò)中允許訪問來自服務(wù)提供商的服務(wù)的鑒權(quán)系統(tǒng)，所述系統(tǒng)包括用于接收用戶請求的裝置，所述請求標(biāo)識出將要訪問的服務(wù)并且包含所述用戶的公開密鑰；以及，認(rèn)證機(jī)構(gòu)，其被配置為認(rèn)證所述請求，發(fā)出對于所述將要訪問的服務(wù)的服務(wù)專用標(biāo)識的公開密鑰證書，以及將所述公開密鑰證書返回給所述用戶。
為了更好地理解本發(fā)明，現(xiàn)將參考以下附圖通過例子來示出怎樣有效地實(shí)現(xiàn)本發(fā)明。


圖1示出了通信網(wǎng)絡(luò)的示意圖，其中用戶可以訪問一個(gè)或多個(gè)服務(wù)；圖2示出了實(shí)現(xiàn)本發(fā)明實(shí)施例的示例性體系結(jié)構(gòu)；圖3示出了聯(lián)合名錄的示意圖表；圖4示出了用戶和鑒權(quán)服務(wù)器之間的消息流程圖；以及圖5示出了用戶和認(rèn)證機(jī)構(gòu)之間的消息流程圖；具體實(shí)施方式
圖1是用于為用戶提供服務(wù)的無線通信網(wǎng)絡(luò)的示意性框圖。所述用戶以用戶設(shè)備(UE)的形式指示，該用戶設(shè)備可能是例如移動(dòng)電話的移動(dòng)終端、個(gè)人計(jì)算機(jī)或任何其它類型的移動(dòng)通信設(shè)備。用戶設(shè)備UE具有接收/發(fā)送電路50，該電路能夠通過有能力支持無線通信的無線鏈路RL接收和發(fā)送數(shù)據(jù)(例如請求和回復(fù)信息)到所述網(wǎng)絡(luò)。用戶設(shè)備UE還包括存儲(chǔ)器52，其用于存儲(chǔ)如下詳述的鑒權(quán)信息。所述移動(dòng)終端能夠執(zhí)行如下詳述的客戶端軟件。用戶UE通過運(yùn)營商網(wǎng)絡(luò)和多個(gè)不同的服務(wù)提供商SP1，SP2...SPN進(jìn)行通信。所述網(wǎng)絡(luò)包括或具有到鑒權(quán)系統(tǒng)26的接入，該鑒權(quán)系統(tǒng)26擔(dān)當(dāng)接入所述網(wǎng)絡(luò)的服務(wù)提供者的集中標(biāo)識提供方。將基于希望訪問服務(wù)的用戶的被鑒權(quán)的標(biāo)識，而對其進(jìn)行授權(quán)。
圖2示出了用于實(shí)現(xiàn)本發(fā)明實(shí)施例的示例性體系結(jié)構(gòu)。本圖示出了包含通用自舉架構(gòu)(GBA)客戶端4的通用鑒權(quán)架構(gòu)(GAA)，該通用自舉架構(gòu)(GBA)客戶端4在經(jīng)由Ub接口連接到鑒權(quán)服務(wù)器(自舉服務(wù)器功能單元-BSF)的移動(dòng)終端上執(zhí)行。鑒權(quán)服務(wù)器6被連接到歸屬用戶服務(wù)器(HSS)/歸屬位置寄存器(HLR)8，所述HSS/HLR存儲(chǔ)鑒權(quán)數(shù)據(jù)，所述鑒權(quán)數(shù)據(jù)包括用戶的密鑰K和國際移動(dòng)用戶標(biāo)識(IMSI)。鑒權(quán)服務(wù)器6通過Zn接口連接認(rèn)證機(jī)構(gòu)(CA)10。認(rèn)證機(jī)構(gòu)10包括聯(lián)合名錄。所述聯(lián)合名錄(FD)在圖3中示出。所述聯(lián)合名錄將每一用戶標(biāo)識和多個(gè)服務(wù)專用標(biāo)識(SSI)相關(guān)聯(lián)，所述用戶使用所述服務(wù)專用標(biāo)識向服務(wù)提供商訪問不同服務(wù)。所述聯(lián)合名錄中的用戶標(biāo)識是網(wǎng)絡(luò)運(yùn)營商用來了解用戶的用戶名。參考數(shù)字12表示公開密鑰證書域PKC。公開密鑰證書域12包含在移動(dòng)終端上執(zhí)行的認(rèn)證客戶端14，其通過PK接口連接到授權(quán)客戶端4并且通過Ua接口連接到認(rèn)證機(jī)構(gòu)10。公開密鑰證書域12還包括，通過PK1接口連接到認(rèn)證客戶端14的安全(傳輸層安全性)SEC(TLS)網(wǎng)關(guān)功能單元16。SEC(TLS)網(wǎng)關(guān)16是HTTP服務(wù)器的一部分，其代表HTTP服務(wù)器進(jìn)行TLS認(rèn)證部分。
注意，在以下描述中，所給出的例子是由基于http服務(wù)來實(shí)現(xiàn)的。盡管如此，所述根本原理能夠應(yīng)用于IPSec(因特網(wǎng)協(xié)議安全)、VPN(虛擬專用網(wǎng))或WLAN(無線局域網(wǎng))，等等。
參考數(shù)字18表示http域，其包含例如瀏覽器形式的http客戶端20，http客戶端20通過HT3接口連接到所述PKC域的認(rèn)證客戶端14，并且通過TE-AA接口連接到所述GAA域的授權(quán)客戶端。http客戶端20通過HT1接口連接http分類器22。http分類器22通過HT2接口連接到所述PKC域的認(rèn)證客戶端。http服務(wù)器功能單元24通過內(nèi)部SP-AA接口連接到所述PKC域的SEC(TLS)網(wǎng)關(guān)功能單元16。所述http客戶端和http分類器在所述移動(dòng)終端UE上執(zhí)行。http服務(wù)器功能單元24和圖1的服務(wù)提供商SP中的一個(gè)相關(guān)聯(lián)。
回到GAA域2，用戶設(shè)備UE中的GBA鑒權(quán)客戶端4到所述BSF服務(wù)器上進(jìn)行鑒權(quán)，而且，它們約定共享密鑰資料。服務(wù)器BSF 6使用在請求注解(RFC)3310中規(guī)定的HTTP摘要鑒權(quán)和密鑰協(xié)商(AKA)協(xié)議對所述用戶設(shè)備進(jìn)行鑒權(quán)，從而產(chǎn)生在BSF服務(wù)器6和用戶設(shè)備UE之間的共享密鑰資料。BSF服務(wù)器6與歸屬用戶服務(wù)器/歸屬位置寄存器8相接，以取出三元/向量鑒權(quán)形式的相應(yīng)鑒權(quán)信息。認(rèn)證機(jī)構(gòu)10擔(dān)當(dāng)PKI入口，并且可以向所述用戶設(shè)備發(fā)出證書并傳送運(yùn)營商CA證書。在這兩種情況下，請求和回復(fù)都受到在所述用戶設(shè)備和所述認(rèn)證服務(wù)器之間已經(jīng)預(yù)先建立的共享密鑰資料的保護(hù)。
現(xiàn)將描述根據(jù)本發(fā)明的一個(gè)實(shí)施例的方法，其允許用戶使用用戶設(shè)備UE來訪問一個(gè)服務(wù)提供商SP所提供的服務(wù)。GBA客戶端4與鑒權(quán)服務(wù)器BSF進(jìn)行通信，以基于所述用戶的用戶標(biāo)識(例如，用戶名)來鑒權(quán)所述用戶，并且約定共享密鑰資料Ks。在授權(quán)客戶端4和認(rèn)證機(jī)構(gòu)10兩者中，都從鑒權(quán)信息導(dǎo)出所述共享密鑰資料?？蛻舳?使用HTTP摘要AKA協(xié)議來導(dǎo)出共享密鑰資料Ks，其需要秘密密鑰和密碼函數(shù)，以從所述鑒權(quán)口令中提取出共享密鑰資料Ks。所述共享密鑰資料被保存在與用于本次被鑒權(quán)的會(huì)話的相關(guān)用戶標(biāo)識相關(guān)聯(lián)的聯(lián)合名錄中。并且，所述共享密鑰資料采用加密代碼的形式。
于是，用戶設(shè)備UE產(chǎn)生公開密鑰/私有密鑰對，并且將它們和用于標(biāo)識出所述用戶將要訪問的服務(wù)的服務(wù)標(biāo)識符SIi存儲(chǔ)在一起。所述密鑰對和標(biāo)識符可以存儲(chǔ)在所述用戶設(shè)備的存儲(chǔ)器52中或所述用戶設(shè)備可訪問的智能卡中。
認(rèn)證客戶端14被調(diào)用以請求證書。請求包括所述服務(wù)標(biāo)識符和所述公開密鑰所述私有密鑰被保密。對于所述證書的請求受到所述共享密鑰資料的保護(hù)，并且通過Ua接口被發(fā)送到認(rèn)證機(jī)構(gòu)CA。所述用戶標(biāo)識也隨著所述請求一起被發(fā)送。
在認(rèn)證機(jī)構(gòu)10中，聯(lián)合名錄FD將服務(wù)標(biāo)識符SIi映射到對于所述服務(wù)和用戶名的服務(wù)專用標(biāo)識SSIi。
認(rèn)證機(jī)構(gòu)10基于所述用戶名從BSF服務(wù)器6獲得共享密鑰資料Ksi，并且驗(yàn)證所述請求的授權(quán)報(bào)頭。這在TS 33.221中討論。假設(shè)所述請求有效，那么認(rèn)證機(jī)構(gòu)10發(fā)布的證書，所述證書將所述公開密鑰和用于所述請求中的服務(wù)標(biāo)識符所標(biāo)識出的服務(wù)的服務(wù)專用標(biāo)識相關(guān)聯(lián)。所述證書通過Ua接口返回到用戶UE，并且UE將所述證書存儲(chǔ)到存儲(chǔ)器52或智能卡中。在多個(gè)設(shè)備的情況下，UE可以利用私有密鑰將所述證書轉(zhuǎn)發(fā)到另一設(shè)備(便攜式電腦)中，除非所述另一設(shè)備本身能產(chǎn)生私有密鑰。
認(rèn)證客戶端14通過HT3接口通知http客戶端20已經(jīng)收到有效證書，并且通過PK1接口將用于鑒權(quán)的證書發(fā)送給SEC(TLS)網(wǎng)關(guān)功能單元16。于是，http客戶端20調(diào)用對于其想要訪問的服務(wù)的服務(wù)提供商的http服務(wù)器功能單元24，并且將所述證書包含在內(nèi)。它還包含證據(jù)，服務(wù)提供商通過所述證據(jù)可以使所述證書生效，所述證據(jù)包括，例如包含以私有密鑰加密的數(shù)據(jù)的數(shù)字簽名。
SEC(TLS)網(wǎng)關(guān)16通過面向一系列認(rèn)證機(jī)構(gòu)的PK3接口，使所述證書生效，并且一旦所述證書被鑒權(quán)，所述用戶就能調(diào)用所述服務(wù)。SEC(TLS)網(wǎng)關(guān)功能單元16還會(huì)質(zhì)詢所述認(rèn)證客戶端并且驗(yàn)證響應(yīng)以鑒權(quán)所述客戶端(PK1)，并且促使http服務(wù)器功能單元24向被授權(quán)的客戶端提供所述請求的服務(wù)(HT4)。
可以根據(jù)3GGP標(biāo)準(zhǔn)TS 33.220在Ub接口上進(jìn)行鑒權(quán)，其中，可以基于HTTP摘要AKA[RFC 3310]進(jìn)行鑒權(quán)，也可以使用2G SIM實(shí)現(xiàn)鑒權(quán)。
圖4示出了在引導(dǎo)過程中，在實(shí)現(xiàn)授權(quán)客戶端4(UE)的用戶設(shè)備UE和鑒權(quán)服務(wù)器6(BSF)之間的部分消息流程圖。GBA客戶端4通過發(fā)出鑒權(quán)請求30GET請求來發(fā)起鑒權(quán)程序。所述鑒權(quán)請求通過用戶標(biāo)識來標(biāo)識出用戶；在這個(gè)例子中，使用IMPI(IP多媒體私有標(biāo)識)來標(biāo)識出用戶。另一個(gè)選擇可以是IMSI，或者UE能夠從IMSI中生成偽IMPI(如TS 23.003中所規(guī)定的)。返回HTTP響應(yīng)32，響應(yīng)32確認(rèn)收到所述用戶標(biāo)識IMPI，并且返回包括RAND與AUTN的AKA臨時(shí)隨機(jī)數(shù)，其唯一地標(biāo)識出所述請求。所述用戶設(shè)備上的鑒權(quán)客戶端4返回帶有從AKA導(dǎo)出的適當(dāng)密碼的HTTP請求34，并且鑒權(quán)服務(wù)器(BSF)6通過返回包含自舉事務(wù)標(biāo)識符(B-TID)(圖4中未示出)的鑒權(quán)信息進(jìn)行響應(yīng)，該自舉事務(wù)標(biāo)識符被用作在Ua接口中的用戶名，而且，所述共享密鑰資料是從所述認(rèn)證信息中導(dǎo)出的。顯然，BSF已經(jīng)從HSS中讀取了所述鑒權(quán)信息，但是，因?yàn)檫@已經(jīng)是眾所周知的，所以這個(gè)事務(wù)沒有在圖2中示出。
在通過圖4的信息交互約定了所述共享密鑰資料后，于是，在所述用戶設(shè)備處的認(rèn)證客戶端產(chǎn)生認(rèn)證請求PKCS#10，所述認(rèn)證請求通過Ua接口被傳送給CA。圖5示出了此過程。根據(jù)已建立的標(biāo)準(zhǔn)，所述認(rèn)證請求包括很多域，如下所示POST/certificaterequest/HTTP/1.1AuthorizationDigestUsername＝“adf..adf”，Realm＝“ca-naf@operator.com”，Qop＝“auth-int”，algorithrm＝“MD5”，uri＝“/certificaterequest/”，Nonce＝“dffef12..2ff7”，Nc＝00000001，Cnonce＝“0a4fee..dd2f”，reponse＝“6629..ef3e”，Opaque＝“e23f45..dff2”<Base64編碼的PKCS#10請求>
所述域參見RFC2617。在這個(gè)例子中，HTTP消息包含AuthorizationHTTP報(bào)頭，在此報(bào)頭中，所述“username”可以是B-TID，并且所述“opaque”域可以包含服務(wù)標(biāo)識符。
“Authorization”是與HTTP摘要鑒權(quán)[RFC2617]相關(guān)聯(lián)的HTTP報(bào)頭。Authorization報(bào)頭中的參數(shù)用于對所述請求進(jìn)行鑒權(quán)和完整性保護(hù)。PKCS#10請求包括認(rèn)證請求和服務(wù)標(biāo)識符，所述認(rèn)證請求本身含有所述用戶的公開密鑰。
根據(jù)本發(fā)明的一個(gè)實(shí)施例，認(rèn)證請求PKCS#10還包括標(biāo)識出所述用戶將要訪問的服務(wù)的服務(wù)標(biāo)識符域。所述服務(wù)可以用很多方式中的任何一種來標(biāo)識，例如通過透明字符串、領(lǐng)域地址、URI(通用資源標(biāo)識符)、特異的名字，等等。所需要的只是，對于所述用戶將要訪問的特定服務(wù)的標(biāo)識符是唯一的。所述服務(wù)標(biāo)識符作為一個(gè)擴(kuò)展，被包含在PKCS#10請求中。例如，通過將subjectAltName作為所請求的擴(kuò)展，具有“擴(kuò)展請求”屬性的PKCS#9可以用作PKCS#10。
或者，在CRMF(認(rèn)證請求消息格式)[RFC2511]中，所述服務(wù)標(biāo)識符可以是證書模板(CertTemplate)域中的subjectAltName擴(kuò)展。
所述CA(NAF)基于所述認(rèn)證請求PKCS#10中所提供的用戶名(B-TID)，從鑒權(quán)服務(wù)器BSF中提取所述共享密鑰資料，并且使用所述共享密鑰資料驗(yàn)證所述授權(quán)報(bào)頭。如果成功，則BSF處理所述認(rèn)證請求，并且返回圖5中標(biāo)簽為CERT的證書響應(yīng)。所述證書響應(yīng)的格式如下HTTP/1.1200OKContent Typeapplication/x509-user-certAuthentication-infonextnonce＝“4ff232dd..dd”qop＝auth-intrspauth＝“4dd34...55d2”cnonce＝“0a4fee...dd2f”nc＝00000001<Base64編碼的用戶x509證書>
所述用戶設(shè)備將所述證書存儲(chǔ)在所述用戶設(shè)備的存儲(chǔ)器或者智能卡中。所述證書通過所述服務(wù)識別碼激活所述公開密鑰，并且可以使用所述不對稱公開密鑰/私有密鑰對而被鑒權(quán)。
通過將所述服務(wù)標(biāo)識符添加到所述認(rèn)證請求，允許用戶擁有對于多個(gè)服務(wù)的多個(gè)證書。盡管如此，所述用戶能夠保留針對每一個(gè)服務(wù)的單個(gè)標(biāo)識，這是因?yàn)槊恳粋€(gè)用戶證書是和單獨(dú)的服務(wù)專用用戶標(biāo)識相關(guān)聯(lián)的，而不是和公用(“全局”)標(biāo)識相聯(lián)系，所述公用標(biāo)識的行為可能會(huì)被跟蹤，從而使用戶的隱私受到侵犯。換句話說，我們將用戶和服務(wù)專用自由聯(lián)盟聲明替換為用戶和服務(wù)專用公開密鑰證書。在上述實(shí)施例中，CA基于所述共享密鑰資料和所述聯(lián)合數(shù)據(jù)庫中保持的映射，來標(biāo)識出所述服務(wù)專用用戶標(biāo)識。
在可選實(shí)施例中，用戶設(shè)備UE可以發(fā)送指明其優(yōu)選標(biāo)識的認(rèn)證請求，例如，在用戶具有用于訪問服務(wù)提供商的多個(gè)名字的情況下。
在CA(或其中的聯(lián)合名錄)處，(請求者標(biāo)識符，服務(wù)標(biāo)識符)對被映射到保存在所述聯(lián)合數(shù)據(jù)庫中的服務(wù)專用用戶標(biāo)識。認(rèn)證機(jī)構(gòu)為被映射的標(biāo)識簽署公開密鑰證書，并且把該公開密鑰證書返回到所述用戶設(shè)備。
這允許用戶具有多個(gè)證書中的多個(gè)標(biāo)識。所述證書中的公開密鑰應(yīng)該不同以防止鏈接所述標(biāo)識。因此，本發(fā)明的上述實(shí)施例利用所述公開密鑰認(rèn)證技術(shù)，通過標(biāo)識映射來支持自由聯(lián)盟(LA)私有標(biāo)準(zhǔn)，但是能夠達(dá)到比所述LA聲明機(jī)制更廣的應(yīng)用范圍。
在上述實(shí)施例中，所述服務(wù)標(biāo)識符被包括在PKCS#10消息的附加擴(kuò)展域中。在和認(rèn)證機(jī)構(gòu)CA相關(guān)聯(lián)的聯(lián)合數(shù)據(jù)庫FD中，所述服務(wù)標(biāo)識符被映射到服務(wù)專用標(biāo)識。
根據(jù)第一可選實(shí)施例，有可能在所述認(rèn)證請求中發(fā)送所述服務(wù)專用標(biāo)識。也就是，UE本身將所述用戶標(biāo)識映射到希望用于證書的服務(wù)專用標(biāo)識。在這種情況下，認(rèn)證機(jī)構(gòu)必須驗(yàn)證所述用戶確實(shí)擁有所請求的標(biāo)識，而且必須維護(hù)用于所述驗(yàn)證的標(biāo)識數(shù)據(jù)庫。因此，所導(dǎo)致的架構(gòu)比上述實(shí)施例的更復(fù)雜，然而，在所述用戶設(shè)備和網(wǎng)絡(luò)之間可以利用標(biāo)準(zhǔn)PKCS#10協(xié)議而不需要任何附加。
進(jìn)一步可選實(shí)施例允許在PKCS#10消息的主題域中指明某些形式的名字字符串。例如，在名字字符串是user@realmname的情況下，realm部分可以是所述服務(wù)標(biāo)識符。在名字字符串是特異的名字的情況下，organisation部分可以是所述服務(wù)識標(biāo)識符。例如，如RFC3280中所描述的，可以使用特異的名字“CN＝username，O＝realm”。
如上所述，可以在除上述http服務(wù)器體系結(jié)構(gòu)之外的體系結(jié)構(gòu)中實(shí)現(xiàn)本發(fā)明。尤其是，SEC(TLS)網(wǎng)關(guān)單元、http服務(wù)器功能單元和相關(guān)接口(PK1，PK3，HT4，SP-AA)可以用單個(gè)功能單元來代替，所述單個(gè)功能單元接收用于鑒權(quán)的用戶證書，可選地使所述證書(PK3)生效，質(zhì)詢客戶端和驗(yàn)證響應(yīng)以鑒權(quán)所述客戶端(PK1)，以及為被授權(quán)的客戶端提供所請求的服務(wù)(HT4)。
權(quán)利要求
1.一種用于在通信網(wǎng)絡(luò)中對試圖訪問來自服務(wù)提供商的服務(wù)的用戶進(jìn)行鑒權(quán)的方法，所述方法包括給用戶分配用于訪問各個(gè)服務(wù)的多個(gè)服務(wù)專用標(biāo)識；從所述用戶發(fā)出請求，所述請求標(biāo)識出將要訪問的服務(wù)并且包含所述用戶的公開密鑰；在認(rèn)證機(jī)構(gòu)處，對所述請求進(jìn)行鑒權(quán)，并且發(fā)出用于將服務(wù)專用標(biāo)識與所述請求中的所述公開密鑰綁定的公開密鑰證書，并且將所述公開密鑰證書返回給所述用戶。
2.根據(jù)權(quán)利要求1所述的方法，其中，所述請求包含用于標(biāo)識出所述將要訪問的服務(wù)的服務(wù)標(biāo)識符，以及用于標(biāo)識出所述用戶的請求者標(biāo)識符，所述方法包含進(jìn)一步的步驟在所述認(rèn)證機(jī)構(gòu)處，將所述服務(wù)標(biāo)識符和所述請求者標(biāo)識符映射到將被鑒權(quán)的所述服務(wù)專用標(biāo)識。
3.根據(jù)權(quán)利要求1所述的方法，其中，所述請求標(biāo)識出所述服務(wù)專用標(biāo)識，并且其中，所述方法包含進(jìn)一步的步驟通過所述認(rèn)證機(jī)構(gòu)，驗(yàn)證所述用戶是否被授權(quán)使用所述服務(wù)專用標(biāo)識。
4.根據(jù)權(quán)利要求1所述的方法，其中，所述發(fā)出步驟包含發(fā)出這樣的請求，所述請求帶有包含多個(gè)域的消息，所述域中的一個(gè)保存用于標(biāo)識出所述將要訪問的服務(wù)的服務(wù)標(biāo)識符。
5.根據(jù)權(quán)利要求4所述的方法，其中，保存所述服務(wù)標(biāo)識符的域是主題域。
6.根據(jù)權(quán)利要求4所述的方法，其中，所述發(fā)出請求的步驟包含發(fā)出帶有PKCS#10消息的請求。
7.根據(jù)權(quán)利要求4所述的方法，其中，所述發(fā)出請求的步驟包含發(fā)出帶有CRMF消息的請求。
8.根據(jù)權(quán)利要求4所述的方法，其中，所述發(fā)出請求的步驟包含發(fā)出帶有HTTP消息的請求。
9.根據(jù)權(quán)利要求1所述的方法，包含在無線通信網(wǎng)絡(luò)中實(shí)現(xiàn)所述分配、發(fā)出、鑒權(quán)和返回步驟。
10.一種用在通信網(wǎng)絡(luò)中的用戶終端，包含用于發(fā)出請求的裝置，其中所述請求標(biāo)識出將要訪問的服務(wù)并且包含公開密鑰；用于接收由認(rèn)證機(jī)構(gòu)發(fā)出的公開密鑰證書的裝置，所述公開密鑰證書將用于所述將要訪問的服務(wù)的服務(wù)專用標(biāo)識與所述公開密鑰相關(guān)聯(lián)；以及用于將所述公開密鑰證書轉(zhuǎn)發(fā)給服務(wù)提供商以便對用于所述用戶的服務(wù)專用標(biāo)識進(jìn)行鑒權(quán)，并由此授權(quán)訪問所述服務(wù)的裝置。
11.根據(jù)權(quán)利要求10所述的用戶終端，進(jìn)一步包含用于在發(fā)布所述請求之前與所述認(rèn)證機(jī)構(gòu)建立共享密鑰資料的裝置。
12.根據(jù)權(quán)利要求10所述的用戶終端，包含用于產(chǎn)生不對稱密鑰對的裝置，所述不對稱密鑰對包括所述公開密鑰和私有密鑰。
13.根據(jù)權(quán)利要求10所述的用戶終端，包含用于通過無線接口發(fā)出所述請求的裝置。
14.一種用于在通信網(wǎng)絡(luò)中允許訪問來自服務(wù)提供商的服務(wù)的鑒權(quán)系統(tǒng)，所述系統(tǒng)包含用于接收來自用戶的請求的裝置，所述請求標(biāo)識出將要訪問的服務(wù)并且包含所述用戶的公開密鑰；以及認(rèn)證機(jī)構(gòu)，其被配置為對所述請求進(jìn)行鑒權(quán)，發(fā)出對于所述將要訪問的服務(wù)的服務(wù)專用標(biāo)識的公開密鑰證書，以及將所述公開密鑰證書返回給所述用戶。
15.根據(jù)權(quán)利要求14所述的鑒權(quán)系統(tǒng)，包含鑒權(quán)服務(wù)器，其被配置為對發(fā)出所述請求的用戶的標(biāo)識進(jìn)行鑒權(quán)。
16.根據(jù)權(quán)利要求14所述的鑒權(quán)系統(tǒng)，包含聯(lián)合數(shù)據(jù)庫，其被配置為將服務(wù)標(biāo)識符和請求者標(biāo)識符映射到用于訪問各個(gè)服務(wù)的服務(wù)專用標(biāo)識。
17.一種用于根據(jù)權(quán)利要求14所述的鑒權(quán)系統(tǒng)中的鑒權(quán)服務(wù)器，所述鑒權(quán)服務(wù)器被配置為對發(fā)出所述請求的用戶的標(biāo)識進(jìn)行鑒權(quán)。
18.一種用于根據(jù)權(quán)利要求14所述的鑒權(quán)系統(tǒng)中的聯(lián)合數(shù)據(jù)庫，所述聯(lián)合數(shù)據(jù)庫被配置為將服務(wù)標(biāo)識符和請求者標(biāo)識符映射到用于訪問各個(gè)服務(wù)的服務(wù)專用標(biāo)識。
19.根據(jù)權(quán)利要求14所述的鑒權(quán)系統(tǒng)，其中，所述用于接收所述請求的裝置包含用于通過無線接口接收所述請求的裝置。
全文摘要
一種用于在通信網(wǎng)絡(luò)中對試圖訪問來自服務(wù)提供商的服務(wù)的用戶進(jìn)行鑒權(quán)的方法，所述方法包括為用戶分配用于訪問各個(gè)服務(wù)的多個(gè)服務(wù)專用標(biāo)識；從所述用戶發(fā)出請求，該請求標(biāo)識出將要訪問的服務(wù)并且包含該用戶的公開密鑰；在認(rèn)證機(jī)構(gòu)處，對所述請求進(jìn)行鑒權(quán)，發(fā)出用于將所述服務(wù)專用標(biāo)識與所述請求中的公開密鑰綁定的公開密鑰證書，并且將所述公開密鑰證書返回給所述用戶。
文檔編號G06F21/33GK1977514SQ200580021721
公開日2007年6月6日 申請日期2005年6月24日 優(yōu)先權(quán)日2004年6月28日
發(fā)明者R·莫諾寧, N·阿索坎, P·萊蒂寧 申請人:諾基亞公司