共享网络中用户数据的方法和身份提供服务器

摘要

本发明提供了一种共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备，其中，所述网络包括身份提供服务器和资源服务器(RS)，该方法包括：业务提供服务器接收用户设备(UE)的访问；所述业务提供服务器从所述RS直接或间接地获取用户授权的用户共享数据。上述共享网络中用户数据的方法、业务提供服务器、身份提供服务器和用户设备，使得业务提供服务器安全地共享电信运营商的用户数据。

说明书

技术领域

本发明涉及通讯领域和互联网领域，尤其涉及一种共享网络中用户数据 的方法、业务提供服务器、身份提供服务器和用户设备。

背景技术

随着网络的普及和信息技术的发展，人们越来越多地在网络空间中开展 业务活动，如网上购物、网络电话、电子邮件、博客、即时通讯等。通常， 由电信运营商和业务提供商向用户提供服务，其中电信运营商拥有通讯网络 的基础设施，为用户提供丰富的接入方式，如非对称数字用户线路 (Asymmetric Digital Subscriber Line，ADSL)接入、第三代(The Third  Generation，3G)移动通信接入、无线局域网(Wireless Local Area Network， WLAN)接入、以太网接入等等；业务提供商向用户提供丰富的业务，如传 统门户网站、电子商务、网络通信、网上银行和社交网络等。

互联网上业务提供商规模不一，有些虽然可以提供创新的业务，但是用 户数量发展较慢，用户数通常成为业务发展的瓶颈。近年来，互联网上出现 了一类提供身份服务的供应商，称为身份提供商(Identity Provider，身份提 供服务器)。身份提供商提供的身份提供服务器通常具有比较庞大的用户资 源，可以为其他用户或业务供应商提供身份验证等服务。电信运营商的用户 数巨大，具备了天然的身份提供服务器的能力，但是与开放的互联网相比， 电信网络相对封闭，业务种类单一。为了增强电信运营商的竞争能力，而不 是仅仅为业务提供商提供管道，电信运营商有必要成为业务价值链的一部分： 作为身份提供服务器提供身份服务、共享用户信息、提供可信的安全服务、 提供移动支付能力等；业务提供商可以尽量重用电信运营商提供的各种能力， 专注于核心竞争力的业务；对用户来说，可以享受无缝的业务体验并提升安 全和个人隐私。

在现有的技术中，IP多媒体子系统(IP Multimedia System，IMS)中应用 服务器(Application Server，AS)可以直接访问归属用户服务器(Home  Subscriber Server，HSS)中用户的签约数据。用户通过修改签约信息决定共享 哪些数据。对于互联网上业务提供商来说，其数量众多，而且新的业务提供 商不断出现，事先很难定义签约数据。因此这种方案存在可扩展性问题。此 外，对于第三方AS来说，根据信任关系来保证从HSS中获取用户签约数据， 但是目前不能灵活地控制AS对用户签约数据的访问。

在目前的身份管理(Identity Management，IdM)中，涉及到三个角色：用 户、业务提供商和身份提供服务器，目前的解决方案主要是解决单点登录问 题，如开放身份(OpenID)，自由联盟(Liberty Alliance)，卡片空间(Card  Space)，通用认证架构(Generic Authentication Architecture，GAA)和Kerberos 模型等，这些方案对用户身份的定义并不统一，各自独立完成。身份的多样 性给用户使用互联网的业务还是带来不便。

开放授权(Open Authorization，OAuth)解决互联网中用户资源数据的授 权访问的协议，对于用户没有采用统一的方式进行标识，没有定义如何与电 信运营商的资源一起来使用。

目前的网络中，用户的身份用于网络层对用户的识别，也可以用于业务 提供商对用户的识别，为用户提供了一个统一的身份。但是目前还缺乏有效 的方法实现业务提供商的业务提供服务器安全地共享电信运营商的用户数 据，这也限制新业务的开展。

发明内容

本发明提供了一种共享网络中用户数据的方法、业务提供服务器、身份 提供服务器和用户设备，以解决现有的业务提供服务器无法安全地共享电信 运营商的用户数据的问题。

本发明提供了一种共享网络中用户数据的方法，该方法包括：

所述网络包括身份提供服务器和资源服务器(RS)，该方法包括：

业务提供服务器接收用户设备(UE)的访问；

所述业务提供服务器从所述RS直接或间接地获取用户授权的用户共享 数据。

优选地，所述业务提供服务器接收UE的访问之前，所述方法还包括：

所述业务提供服务器直接或间接地完成对所述UE的业务接入认证。

优选地，所述业务提供服务器直接地完成对UE的业务接入认证包括：

所述业务提供服务器从所述身份提供服务器获得用户安全参数，根据所 述用户安全参数完成对所述UE的业务接入认证。

优选地，所述业务提供服务器间接地完成对UE的业务接入认证包括：

所述业务提供服务器从所述身份提供服务器获得所述身份提供服务器对 所述UE的业务接入认证结果。

优选地，所述用户安全参数是所述身份提供服务器根据所述网络对所述 UE的接入认证结果获得的。

优选地，所述业务接入认证结果是所述身份提供服务器根据所述网络对 所述UE的接入认证结果完成的。

优选地，所述业务提供服务器从所述RS直接地获取用户授权的用户共 享数据包括：

所述业务提供服务器从所述身份提供服务器获取令牌，根据所述令牌从 所述RS直接地获取用户授权的用户共享数据。

优选地，所述业务提供服务器从所述RS间接地获取用户授权的用户共 享数据包括：

所述业务提供服务器通过所述身份提供服务器获取用户授权的用户共享 数据。

本发明还提供了一种业务提供服务器，该业务提供服务器包括：

接收模块，用于接收用户设备(UE)的访问；

获取模块，用于从资源服务器(RS)直接或间接地获取用户授权的用户 共享数据。

优选地，所述业务提供服务器还包括：

业务接入认证模块，用于在所述接收模块接收UE的访问之前，直接或 间接地完成对所述UE的业务接入认证。

优选地，所述业务接入认证模块，是用于从身份提供服务器获得用户安 全参数，根据所述用户安全参数完成对所述UE的业务接入认证；或者，从 所述身份提供服务器获得所述身份提供服务器对所述UE的业务认证结果。

优选地，所述用户安全参数是所述身份提供服务器根据所述网络对所述 UE的接入认证结果获得的；或者

所述业务认证结果是所述身份提供服务器根据所述网络对所述UE的接 入认证结果完成的。

优选地，所述获取模块，是用于从所述身份提供服务器获取令牌，根据 所述令牌从所述RS直接地获取用户授权的用户共享数据；或者通过所述身 份提供服务器获取用户授权的用户共享数据。

本发明还提供了一种身份提供服务器，该身份提供服务器包括：

网络接入认证模块，用于对用户设备(UE)接入网络进行认证，并获得 用户安全参数；

业务接入认证模块，用于根据所述网络接入认证模块获得的用户安全参 数完成对所述UE的业务接入认证，并将业务接入认证结果发送给业务提供 服务器。

优选地，所述身份提供服务器还包括：

发送模块，用于将所述网络接入认证模块获得的用户安全参数发送给所 述业务提供服务器。

优选地，所述用户安全参数包括会话密钥。

优选地，所述身份提供服务器还包括：

数据发送模块，用于在所述业务接入认证模块将业务接入认证结果或者 所述发送模块将所述用户安全参数发送给业务提供服务器之后，接收所述业 务提供服务器发送的数据请求，根据所述数据请求从资源服务器(RS)获得 用户授权的用户共享数据，并将所述用户共享数据发送给所述业务提供服务 器。

优选地，所述数据发送模块，还用于在所述业务接入认证模块将业务接 入认证结果或者所述发送模块将所述用户安全参数发送给业务提供服务器之 后，接收所述业务提供服务器发送的令牌请求，根据所述令牌请求向所述业 务提供服务器发送令牌，以便所述业务提供服务器根据所述令牌从所述RS 中获得用户授权的用户共享数据。

本发明还提供了一种用户设备(UE)，该UE包括：

访问模块，用于访问业务提供服务器；

数据处理模块，用于接收身份提供服务器根据所述业务提供服务器发送 的数据请求发送的用户数据授权请求，根据用户对该用户数据授权请求中携 带的用户数据的授权结果，向所述身份提供服务器返回用户授权的用户共享 数据。

优选地，所述访问模块，是用于所述UE采用标识成功接入网络并获得 所述业务提供服务器的业务接入认证后，访问所述业务提供服务器。

上述共享网络中用户数据的方法、业务提供服务器、身份提供服务器和 用户设备，使得业务提供服务器安全地共享电信运营商的用户数据。

附图说明

图1为本发明共享网络中用户数据的场景示意图；

图2为本发明共享网络中用户数据实施例一的架构示意图；

图3为本发明共享网络中用户数据实施例二的架构示意图；

图4为本发明共享网络中用户数据实施例一的信令流程图；

图5为本发明共享网络中用户数据实施例二的信令流程图；

图6为本发明共享网络中用户数据实施例三的信令流程图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，下文中将结合附图 对本发明的实施例进行详细说明。需要说明的是，在不冲突的情况下，本申 请中的实施例及实施例中的特征可以相互任意组合。

如图1所示，为本发明共享网络中用户数据的场景示意图，在该实施例 中，社交网络安全地共享用户在网络中的数据，如联系人列表，该共享过程 包括：

步骤10、用户100接入到网络102，通过了网络102的认证；

步骤12、用户100访问社交网站104；

步骤14、社交网站104没有用户100的身份信息，社交网站104根据配 置信息找到网络102或利用动态发现协议找到网络102；

步骤16、网络102联系用户100，由用户100授权是否共享用户数据， 如联系人列表；

步骤18、用户100授权共享的用户数据后，由网络102继续后面的处理；

步骤20、网络102向社交网络104返回用户100共享的信息，如联系人 列表；

步骤22、用户106通过网络102访问社交网站104时，使用用户100共 享的用户数据，如联系人列表。

如图2所示，为本发明共享网络中用户数据实施例一的架构示意图，网 络通过接入服务节点(ASN，Access Serving Node)完成数据包的路由；用 户设备(UE)200用ID来标识。在网络中，由身份提供服务器对用户设备 200进行认证，支持从资源服务器(Resource Server，RS)206直接获取用户 共享的数据，或通过身份提供服务器204获取用户共享的数据。所述的网络 包括但不限于移动通信网络，标识网。所述UE 200与业务提供服务器208 之间的认证是基于用户接入认证的结果。该架构中，网络不会把用户的安全 凭证传递到业务提供服务器208，从而业务提供服务器208不能直接对用户 设备200进行认证，需要通过UE 200和身份提供服务器204之间的接口完 成对用户认证。

用户设备200指用户节点，如手机、个人电脑等；用户设备预先配置或 从网络获取标识ID；用户设备拥有安全凭证，与网络预共享根密钥，或者设 置数字证书。在移动通信网络中，用户设备的ID可以用国际移动用户识别 码(IMSI)或移动用户综合业务数字网(MSISDN)来标识；在标识网中， 用户设备的ID是接入标识符(Access Identifier，AID)。用户设备的能力包 括但不限于：支持超文本传输协议(HTTP)摘要(Digest)认证协议；支持 会话初始协议(SIP)Digest认证协议；支持扩展认证协议(Extensible  Authentication Protocol，EAP)和EAP认证方法；能够推导出新的密钥材料。

接入服务节点202位于网络的边界处，用于为用户设备200提供接入服 务、维护终端与网络的连接，实现数据报文的路由和转发等功能，与身份提 供服务器204配合完成对UE 200的接入认证。在移动通信网络中，接入服 务节点是GPRS服务支持节点(Serving GPRS SUPPORT NODE，SGSN)和 /或网关GPRS支持节点(Gateway GPRS Support Node，GGSN)，在标识网 中，接入服务节点是ASN。

身份提供服务器204在网络中是以用户身份ID为核心，负责创建、维 护、管理用户的身份信息，提供用户身份验证服务。身份提供服务器204的 能力包括但不限于：提供网络接入认证服务；提供业务接入认证服务；支持 EAP的功能；能够从RS获取用户信息；具体实现时可以对认证中心的功能 增强实现身份管理的功能，如支持Web功能、HTTP(Hypertext Transfer  Protocol，超文本传输协议)、HTTP摘要认证协议、安全断言标记语言(Security  Assertion Markup Language，SAML)。

资源服务器(RS)206存储用户的安全信息，提供用户的属性数据和其 他数据，如联系人列表、头像、照片、视频等。

业务提供服务器208向用户节点200提供业务，可以是Web类业务，如 门户网站、电子商城，这类业务通常采用超文本传输标记语言(HTML) /HTTP；也可以是非Web类业务，如电子邮件，即时通信，这类业务通常基 于传输层的协议，如传输控制协议(Transmission Control Protocol，TCP)。

下面对图2中各接口进行介绍：

接口A：位于UE 200和ASN 202之间，提供UE 200和ASN 202的双 向认证，支持但不限于EAP协议；

接口B：位于ASN 202和身份提供服务器204之间，从身份提供服务器 204传输主会话密钥到ASN 202；支持但不限于通过鉴别授权计费(AAA) 协议传递EAP载荷；

接口C：位于身份提供服务器204和RS 206之间，身份提供服务器204 通过C 214接口获取用户的安全信息以及其他用户数据。该接口的协议包括 但不限于：支持Diameter协议。

接口D：位于UE 200和身份提供服务器204之间，支持用户的单点登 录服务，支持安全共享数据。该接口的协议包括但不限于：支持HTTP Digest 协议；支持SIP Digest协议；支持SAML协议。

接口E：位于UE 200和业务提供服务器208之间，UE 200通过该接口 访问业务提供服务器208提供的业务，该接口的协议包括但不限于：支持 HTTP协议；支持传输层协议，如TCP；支持SAML协议；支持Diameter 协议；支持HTTPS协议。

接口F：位于身份提供服务器204和业务提供服务器208之间，提供单 点登录服务，支持安全共享数据。该接口的协议包括但不限于：支持HTTP 协议，支持AAA协议。

接口G：位于业务提供服务器208和RS 206之间，业务提供服务器208 通过该接口获取用户相关数据。该接口的协议包括但不限于：支持Diameter 协议。

如图3所示，为本发明共享网络中用户数据实施例二的架构示意图，该 架构图与图2所示架构图的区别在于，本实施例中的架构图中，UE和身份 提供服务器之间没有接口；但网络可以把用户安全信息(如标识，主会话密 钥，密钥生命周期等)传递到业务提供服务器208，从而业务提供服务器208 能直接对用户设备200进行认证。其中，所述UE 200与业务提供服务器208 之间的认证所使用的用户安全信息是基于用户的网络接入认证的结果。

如图4所示，为本发明共享网络中用户数据实施例一的信令流程图，该 流程图是基于图2所示架构完成的，在该实施例中，由身份提供服务器204 对UE 200进行认证，业务提供服务器208从身份提供服务器204获取令牌， 从RS 206直接获取用户共享的数据，身份提供服务器204和RS 206已经预 先配置了用户数据共享的模板，具体共享哪些数据由用户来授权。

该流程进行的前提条件是UE 200和ASN202之间的链路已经建立，UE 200已预先配置了用户的身份标识ID；该共享网络中用户数据过程包括：

步骤220、ASN 202发送身份请求至UE 200；

步骤222、UE 200发送响应至ASN 202，在响应中携带用户的身份ID；

步骤224、ASN 202发送所述响应报文至身份提供服务器204，所述报 文携带用户身份ID；

步骤226、身份提供服务器204发送携带ID的报文至RS 206请求密 钥材料；

步骤228、RS 206向身份提供服务器204返回密钥材料；

步骤230、UE 200和身份提供服务器204协商安全参数，包括双方支持 的安全协议和会话密钥；

上述步骤220-230为网络对UE的接入认证过程；

步骤232、UE 200访问业务提供服务器208的业务，业务提供服务器208 通过静态配置或动态发现身份提供服务器204的位置；

步骤234、业务提供服务器208发送重定向消息至UE 200，UE 200根 据重定向消息头中身份提供服务器的地址把该消息发送至身份提供服务器 204；

步骤236、身份提供服务器204向UE 200发送未授权消息；

步骤238、UE200向身份提供服务器204发送摘要认证消息，用ID作 为用户名，会话密钥作为密码；

步骤240、身份提供服务器204收到摘要认证消息后验证用户的身份；

步骤242、身份提供服务器204向RS 206请求用户数据列表，该请求中 携带用户的身份；

步骤244、RS 206向身份提供服务器204返回用户列表；

步骤246、身份提供服务器204通过向UE200发送用户数据的列表， 请求用户授权；

步骤248、UE 200向身份提供服务器204返回用户授权结果；

步骤250、身份提供服务器204发送重定向消息至UE 200，UE 200根 据消息头中的地址联系业务提供服务器208，所述消息包括索引和授权码；

步骤252、业务提供服务器208向身份提供服务器204请求访问令牌， 所述请求中包含索引和授权码；

步骤254、身份提供服务器204向业务提供服务器208返回访问令牌， 该令牌包含密钥、密钥生命周期等信息；

步骤256、业务提供服务器208从RS206中批量获取共享用户数据，RS 206对这些数据进行安全保护，如机密性保护、完整性保护；业务提供服务 器208收到这些用户数据后，用访问令牌读取这些受保护的数据；

步骤258、业务提供服务器208返回结果消息至UE 200。

下面以EAP、AAA、HTTP和SAML协议为例，对图4所示的安全共享 网络中用户数据流程以应用示例的形式进行描述：

步骤220a、ASN 202发送EAP-Identity身份请求至UE 200；

步骤222a、UE 200发送EAP-Identity响应至ASN 202，在响应中携带用 户的身份ID，其中EAP-Identity响应中Type-Data设置为ID；

步骤224a、ASN 202通过AAA协议发送EAP载荷(EAP-Payload)至 身份提供服务器204。对于Diameter协议，采用Diameter-EAP-Request消息 的EAP-Payload AVP(Attribute-Value Pair，属性-值对)来封装EAP-Identity 载荷；对于远程用户拨号认证服务(RADIUS)协议，采用RADIUS Access-Request消息的EAP-Message属性来封装EAP-Identity载荷；

步骤226a、身份提供服务器204通过Diameter协议发送ID至RS 206 获取密钥材料，具体可采用多媒体授权请求(Multimedia-Auth-Request，MAR) 携带ID；

步骤228a、RS 206通过Diameter协议向身份提供服务器204返回密钥 材料，具体可采用多媒体授权应答(Multimedia-Auth-Answer，MAA)消息携 带密钥材料，其中ID映射为用户名(User-Name)属性；

步骤230a、UE 200和身份提供服务器204协商安全参数：(1)协商 EAP方法(Method)，如EAP-认证和密钥协商(AKA)，EAK-安全传输 层协议(TLS)等，对于Diameter协议，采用Diameter-EAP-Request消息的 EAP-Payload AVP(Attribute-Value Pair，属性-值对)来封装EAP-AKA， EAP-TLS等载荷；对于RADIUS协议，采用RADIUS Access-Challenge和 Access-Accept封装EAP-AKA，EAP-TLS等载荷。(2)UE 200和身份提供 服务器204协商MSK(Master Session Key，主会话密钥)，对于Diameter 协议，采用Diameter-EAP-Request消息的EAP-Master-Session-Key AVP来携 带密钥材料；对于RADIUS协议，通过RADIUS Accept消息中VSA(Vendor 业务提供服务器ecific Attribute，特定供应商属性)来携带MSK；

步骤232a、UE 200发送HTTP请求至业务提供服务器208，在业务提 供服务器208上选择通过身份提供服务器204登录。在HTTP请求的头字段 中带有身份提供服务器的URL(Uniform Resource Locator，统一资源定位符) 地址，业务提供服务器208通过静态配置或动态发现身份提供服务器204 的URL地址，所述请求消息中携带<lib:AuthnRequest>；

步骤234a、业务提供服务器208发送HTTP重定向消息至UE 200，UE 200根据HTTP重定向消息头中身份提供服务器的URL地址把该消息发送至 身份提供服务器204；

步骤236a、身份提供服务器204向UE 200发送HTTP 401未授权 (Unauthorized)消息；

步骤238a、UE200向身份提供服务器204发送HTTP请求消息，用ID 作为用户名，MSK作为密码，进行HTTP Digest认证；

步骤240a、身份提供服务器204收到HTTP摘要认证消息后，根据ID 检查本地的ID/MSK，进行同样的HTTP Digest认证算法，计算的结果一致 时，则验证通过；

步骤242a、身份提供服务器204通过Diameter协议发送ID至RS 206 请求用户数据列表，采用Push-Profile-Request消息User Data属性来携带用 户数据的列表，其中ID映射为User-Name属性；

步骤244a、RS 206通过Diameter协议向身份提供服务器204返回用户 数据列表，采用Push-Profile-Answer消息User Data属性来携带用户数据的 列表，其中ID映射为User-Name属性；

步骤246a、身份提供服务器204通过HTTPS发送用户数据的列表至UE 200请求用户授权；

步骤248a、用户授权后由UE 200把用户授权数据列表返回至身份提供 服务器204；

步骤250a、身份提供服务器204生成SAML Artifact(工件)和授权码， 通过HTTPS把消息重定向至UE 200，UE 200根据消息头中的URL联系业 务提供服务器208，其中SAML Artifact指向SAML协议消息的结构化数据 对象，SAML Artifact比较小，可以嵌在HTTP消息中；

步骤252a、业务提供服务器208通过HTTPS发送HTTP GET请求至从 身份提供服务器204，该消息中包含SAML Artifact和授权码；

步骤254a、身份提供服务器204通过HTTPS响应消息向业务提供服务 器208返回访问令牌，该令牌包含密钥、密钥生命周期等信息；

步骤256a、业务提供服务器208通过Diameter协议从RS 206中批量获 取共享用户数据，采用Diameter推送签约请求(Push-Profile-Request)/应答 (Answer)消息User Data属性来批量获取用户共享的数据。RS 206对这些 数据进行安全保护，如机密性保护、完整性保护；业务提供服务器208收到 这些用户数据后，用访问令牌读取这些受保护的数据；

步骤258a、业务提供服务器返回HTTP 200OK消息至UE 200。

上述流程适用于ADSL、WLAN和以太网等支持EAP认证的接入。对于 3G接入过程来说，采用AKA认证过程，认证过程结束后设置MSK＝CK||IK。

身份位置分离网络支持与现有的终端和接入技术兼容，即不改变终端和 接入网。在这种情况下，UE 200按照现有的方式接入网络，通过接入认证后， 网络给用户设备分配接入标识ID，此时用户设备和网络共享会话密钥。后续 的处理流程完全一致。

如图5所示，为本发明共享网络中用户数据实施例二的信令流程图，该 实施例也是基于图2所示架构完成的，在该实施例中，由身份提供服务器204 对UE 200进行认证，业务提供服务器208通过身份提供服务器204获取用 户共享的数据，具体共享哪些数据由用户来授权，用户的真实身份信息可以 不向业务提供服务器透露。

该流程进行的前提条件是UE 200和ASN 202之间的链路已经建立，UE 200已预先配置了用户的身份标识ID或者由网络给用户分配ID；该共享网 络中用户数据过程包括：

步骤302、UE 200通过了网络的接入认证，认证结束后UE 200与身份 提供服务器204共享会话密钥；

步骤302具体可以包括图4中的步骤220-步骤230，此处不再赘述；

步骤304、UE 200访问业务提供服务器208的业务，业务提供服务器208 通过静态配置或动态发现身份提供服务器204的位置；

步骤306、业务提供服务器208发送重定向消息至UE 200，UE 200根 据重定向消息头中身份提供服务器的地址把该消息发送至身份提供服务器 204；

步骤308、身份提供服务器204向UE 200发送未授权消息；

步骤310、UE200向身份提供服务器204发送摘要认证消息，用ID作 为用户名，会话密钥作为密码；

步骤312、身份提供服务器204收到摘要认证消息后验证用户的身份；

步骤314、身份提供服务器204向业务提供服务器208发送重定向消息， 所述消息包括索引；

步骤316、业务提供服务器208向身份提供服务器204发送请求以认证 用户的身份，消息中包括索引；

步骤318、身份提供服务器204向业务提供服务器208返回认证结果；

步骤320、业务提供服务器208向身份提供服务器204请求用户共享数 据，所述消息包括索引；

步骤322、身份提供服务器204向RS 208请求用户数据，所述请求包括 用户ID；

步骤324、RS 206向身份提供服务器返回用户数据；

步骤326、身份提供服务器204发送请求至UE 200，请求用户授权数据；

步骤328、UE 200向身份提供服务器204返回用户授权的数据；

步骤330、身份提供服务器204向业务提供服务器208返回用户授权的 数据；

步骤332、业务提供服务器208返回结果消息至UE 200。

下面以HTTP和SAML协议为例，对图5所示的安全共享网络中用户数 据流程以应用示例的形式进行描述：

步骤302a、UE 200通过了网络的接入认证，认证结束后UE 200与身份 提供服务器204共享会话密钥MSK；

步骤304a、UE 200发送HTTP请求至业务提供服务器208，在业务提 供服务器208上选择通过身份提供服务器204登录。在HTTP请求的头字段 中带有身份提供服务器的URL(Uniform Resource Locator，统一资源定位符) 地址，业务提供服务器208通过静态配置或动态发现身份提供服务器204 的URL地址，携带<lib:AuthnRequest>；

步骤306a、业务提供服务器208发送HTTP重定向消息至UE 200，UE 200根据HTTP重定向消息头中身份提供服务器的URL地址把该消息发送至 身份提供服务器204；

步骤308a、身份提供服务器204向UE 200发送HTTP 401 Unauthorized 消息；

步骤310a、UE 200向身份提供服务器204发送HTTP请求消息，用ID 作为用户名，MSK作为密码，进行HTTP Digest认证；

步骤312a、身份提供服务器204收到HTTP摘要认证消息后，根据ID 检查本地的ID/MSK，进行同样的HTTP Digest认证算法，计算的结果一致 时，则验证通过；

步骤314a、身份提供服务器204生成SAML Artifact，向业务提供服务 器208发送HTTPS重定向消息，消息中携带SAML Artifact，其中SAML Artifact指向SAML协议消息的结构化数据对象，SAML Artifact比较小，可 以嵌在HTTP消息中；

步骤316a、业务提供服务器208收到SAML Artifact后，向身份提供服 务器204发送HTTPS请求，消息中携带SAML Artifact；身份提供服务器204 收到该消息后，构造SAML断言；

步骤318a、身份提供服务器204把SAML断言通过HTTPS返回给业务 提供服务器208；

步骤320a、业务提供服务器208验证SAML断言的签名后，发送HTTPS 请求至身份提供服务器204，请求共享用户数据，消息中携带SAML Artifact；

步骤322a、身份提供服务器204根据SAML Artifact，获取ID，通过 Diameter Push-Profile-Request向RS206请求用户共享数据；

步骤324a、RS206向身份提供服务器204返回用户共享数据，通过 Diameter Push-Profile-Answer消息User Data属性来携带用户数据；

步骤326a、身份提供服务器204发送HTTPS请求至UE 200，请求用户 授权共享的数据；

步骤328a、用户授权共享的用户数据后，结果返回身份提供服务器204；

步骤330a、用户授权后，由身份提供服务器204向业务提供服务器208 返回用户授权的数据；

步骤332a、业务提供服务器208返回HTTP 200OK消息至UE 200。

如图6所示，为本发明安全共享网络中用户数据实施例三的信令流程图， 该流程图是基于图3所示架构完成的，在该实施例中，由身份提供服务器204 对UE 200进行接入认证，业务提供服务器208验证用户身份，然后进行安 全共享网络中用户数据过程。

该流程进行的前提条件是UE 200和ASN 202之间的链路已经建立，UE 200已预先配置了用户的身份标识ID或者由网络给用户分配ID；该过程包 括：

步骤402、UE 200通过了网络的接入认证，认证结束后UE 200与身份 提供服务器204共享会话密钥；

步骤404、UE 200访问业务提供服务器208的业务，业务提供服务器208 通过静态配置或动态发现身份提供服务器204的位置；

步骤406、业务提供服务器208向UE 200发送未授权消息；

步骤408、UE200向业务提供服务器208发送摘要认证消息，用ID作 为用户名，会话密钥作为密码；

步骤410、业务提供服务器208向身份提供服务器204请求用户的安全 参数；

步骤412、身份提供服务器204向业务提供服务器208返回用户的安全 参数；

步骤414、业务提供服务器208验证用户的身份，所述验证过程根据收 到的摘要认证消息和用户的安全参数；

步骤416、业务提供服务器208，RS 206，身份提供服务器204和UE 200 进行安全共享网络中用户数据过程。

其中，安全共享数据的过程可以和图4中的步骤252-258相同，也可以 和图5中的步骤320-332相同，此处不再赘述。

本发明还提供了一种业务提供服务器，该业务提供服务器包括：

接收模块，用于接收用户设备(UE)的访问；

获取模块，用于从资源服务器(RS)直接或间接地获取用户授权的用户 共享数据。

另外，所述业务提供服务器还可以包括：业务接入认证模块，用于在所 述接收模块接收UE的访问之前，直接或间接地完成对所述UE的业务接入 认证。

具体地，所述业务接入认证模块，是用于从身份提供服务器获得用户安 全参数，根据所述用户安全参数完成对所述UE的业务接入认证；或者，从 所述身份提供服务器获得所述身份提供服务器对所述UE的业务认证结果。 其中，所述用户安全参数是所述身份提供服务器根据所述网络对所述UE的 接入认证结果获得的；所述业务认证结果是所述身份提供服务器根据所述网 络对所述UE的接入认证结果完成的。

进一步地，所述获取模块，是用于从所述身份提供服务器获取令牌，根 据所述令牌从所述RS直接地获取用户授权的用户共享数据；或者通过所述 身份提供服务器获取用户授权的用户共享数据。

该业务提供服务器可以共享网络中用户授权的用户共享数据，具体实现 过程可参见图4-图6，此处不再赘述。

本发明还提供了一种身份提供服务器，该身份提供服务器包括：

网络接入认证模块，用于对用户设备(UE)接入网络进行认证，并获得 用户安全参数；

业务接入认证模块，用于根据所述网络接入认证模块获得的用户安全参 数完成对所述UE的业务接入认证，并将业务接入认证结果发送给业务提供 服务器。

其中，所述用户安全参数包括会话密钥。

另外，所述身份提供服务器还可以包括：发送模块，用于将所述网络接 入认证模块获得的用户安全参数发送给所述业务提供服务器。

进一步地，所述身份提供服务器还可以包括：数据发送模块，用于在所 述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户安全 参数发送给业务提供服务器之后，接收所述业务提供服务器发送的数据请求， 根据所述数据请求从资源服务器(RS)获得用户授权的用户共享数据，并将 所述用户共享数据发送给所述业务提供服务器。所述数据发送模块，还用于 在所述业务接入认证模块将业务接入认证结果或者所述发送模块将所述用户 安全参数发送给业务提供服务器之后，接收所述业务提供服务器发送的令牌 请求，根据所述令牌请求向所述业务提供服务器发送令牌，以便所述业务提 供服务器根据所述令牌从所述RS中获得用户授权的用户共享数据。

该身份提供服务器为实现UE访问业务提供服务器奠定了基础，同时， 也为业务提供服务器提供用户授权的用户共享数据，或者，为业务提供服务 器提供令牌，使得业务提供服务器根据令牌可以获得用户授权的用户共享数 据。

本发明还提供了一种用户设备(UE)，该UE包括：

访问模块，用于访问业务提供服务器；

数据处理模块，用于接收身份提供服务器根据所述业务提供服务器发送 的数据请求发送的用户数据授权请求，根据用户对该用户数据授权请求中携 带的用户数据的授权结果，向所述身份提供服务器返回用户授权的用户共享 数据。

具体地，所述访问模块，是用于所述UE采用标识成功接入网络并获得 所述业务提供服务器的业务接入认证后，访问所述业务提供服务器。

该UE可以在成功地接入网络并获得业务提供服务器的业务接入认证 后，访问业务提供服务器，并由自己授权业务提供服务器可以共享网络中的 哪些数据，然后业务提供服务器可以共享网络中用户通过UE授权的用户共 享数据，具体交互过程可参见图4-图6。

本领域普通技术人员可以理解上述方法中的全部或部分步骤可通过程序 来指令相关硬件完成，上述程序可以存储于计算机可读存储介质中，如只读 存储器、磁盘或光盘等。可选地，上述实施例的全部或部分步骤也可以使用 一个或多个集成电路来实现。相应地，上述实施例中的各模块/单元可以采用 硬件的形式实现，也可以采用软件功能模块的形式实现。本发明不限制于任 何特定形式的硬件和软件的结合。

以上实施例仅用以说明本发明的技术方案而非限制，仅仅参照较佳实施 例对本发明进行了详细说明。本领域的普通技术人员应当理解，可以对本发 明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范 围，均应涵盖在本发明的权利要求范围当中。