公开/公告号CN101388777A
专利类型发明专利
公开/公告日2009-03-18
原文格式PDF
申请/专利权人 中兴通讯股份有限公司;
申请/专利号CN200810216759.8
申请日2008-10-16
分类号H04L9/32;H04L12/56;
代理机构深圳市君胜知识产权代理事务所;
代理人王永文
地址 518057 广东省深圳市南山区高新技术产业园科技南路中兴通讯大厦法务部
入库时间 2023-12-17 21:36:28
法律状态公告日
法律状态信息
法律状态
2017-12-08
未缴年费专利权终止 IPC(主分类):H04W8/04 授权公告日:20130116 终止日期:20161016 申请日:20081016
专利权的终止
2013-01-16
授权
授权
2009-05-27
实质审查的生效
实质审查的生效
2009-03-18
公开
公开
技术领域
本发明涉及通信系统中跨系统访问的认证服务方法和系统,更具体的说,是为跨系统提供一种简单、通用和高效的第三方认证方法和系统。
背景技术
现有技术中,随着Internet应用领域不断扩大,3G开始大规模商用以及固网业务和移动业务不断融合,可供用户使用和访问的业务、功能越来越多。
但用户名和口令只存在相应归属服务器HSS(Home Subscriber Server)上,用于保存用户个人信息,所以当用户使用某一业务(如登陆某一应用服务器)时,则将要到归属服务器HSS对用户进行认证。
对于非会话类的业务可能只需一次认证即可,但对于频繁交互的非会话类和既有会话类又有非会话类的业务则也要频繁进行跨系统认证,这将不仅影响应用服务器的性能和实时性,同时用户体验也较差。
所以现有技术有待改进。
发明内容
本发明的目的是,针对上述现有技术存在的缺陷提供了一种通信系统中跨系统访问的第三方认证方法和系统,使得第三方认证对应用服务器系统性能影响较小,达到简单、通用和高效的目的。
本发明的技术方案如下:
一种通信系统中跨系统访问的第三方认证的方法,其中,包括以下步骤:
A、用户终端通过应用服务器向归属服务器进行认证请求,所述应用服务器对获得的认证结果进行处理,生成临时密码发至所述用户终端;
B、所述用户终端根据所述临时密码发起登录请求,登录到所述应用服务器。
所述的方法,其中,所述步骤B之后还包括:C、所述用户终端登录结束后,所述用户终端被注销,所述应用服务器清除所述用户终端登录时的所述临时密码。。
所述的方法,其中,所述步骤A具体包括:
A1、所述用户终端登录网络前,向所述应用服务器发起所述认证请求的第一次请求,所述应用服务器获取用户所属的归属服务器信息并回复给所述用户终端;
A2、所述用户终端根据回复的所述归属服务器信息生成认证信息,向所述应用服务器发起所述认证请求的第二次请求,所述应用服务器将所述认证信息传送到所述归属服务器,所述归属服务器对所述认证信息进行认证。
所述的方法,其中,所述步骤B还包括:
B1、认证授权后回复认证结果至所述应用服务器,所述应用服务器将认证结果及生成的临时密码通知所述用户终端;
B2、所述用户终端根据所述临时密码向所述应用服务器发起登录请求进行登录。
所述的方法,其中,所述归属服务器信息包括所述归属服务器的类别、私钥、随机码。
所述的方法,其中,所述归属服务器信息还包括以加密算法进行密码加密的信息。
所述的方法,其中,所述第二次请求带有响应码和认证码,所述响应码和所述认证码根据所述归属服务器信息计算得到,所述响应码为经过加密后的密码信息;所述认证码为根据所述用户帐号、所述响应码、标示符信息计算出的摘要信息,用于防止在网络传输时摘要信息被修改或出错。
所述的方法,其中,所述步骤A2还包括:
A21、所述应用服务器将所述认证信息透传到接口机;
A22、所述接口机根据所述用户所属的归属服务器的类型,将所述认证信息发送到对应的所述归属服务器;
A23、所述归属服务器对所述认证信息进行认证。
A24、所述接口机收到所述归属服务器回复的认证结果,对所述认证结果进行翻译,将所述认证结果翻译成统一结果发送至所述应用服务器。
一种通信系统中跨系统访问的第三方认证系统,包括:至少一个通过与网络进行通信连接的归属服务器,所述归属服务器,保存用户信息,用于为所述用户提供认证服务,其特征在于,还包括用户终端和应用服务器,其中,
所述用户终端,通过所述网络与所述应用服务器相连,用于向所述应用服务器发起认证请求,根据所述应用服务器提供的认证结果信息及临时密码,发起登陆请求;
所述应用服务器,通过所述网络分别与所述用户终端和所述归属服务器相连,用于通过所述归属服务器对所述用户终端进行认证,并向所述用户终端返回认证结果及生成的临时密码。
所述的系统,其中,还包括一个接口机,所述接口机位于所述应用服务器和所述归属服务器之间,用于接收来自于所述应用服务器的认证信息,将所述认证信息转发给所述归属服务器,并回复认证结果至所述应用服务器。
本发明的有益效果为:采用本发明的一种通信系统中跨系统访问的第三方认证方法和系统,由于用户终端在登陆前通过应用服务器向归属服务器进行鉴权认证请求,获得认证通过结果,在应用服务器生成临时密码,用户终端以临时密码发起登陆请求,无需通过归属服务器再进行第三方认证,因此对应用服务器的性能和实时性影响较小,增强了应用服务器的稳定性和通用性。
附图说明
图1是本发明的跨系统认证的组网图;
图2是本发明跨系统认证信令流程图。
具体实施方式
本发明提供了一种通信系统中跨系统访问的第三方认证的方法,为使本发明的目的、技术方案及优点更加清楚、明确,以下参照附图并举实施例对本发明进一步详细说明。
为了解决在跨系统访问第三方认证服务中所存在影响应用服务器性能和实时性并且用户体验差等问题,本发明提供了一种简单、通用和高效的通信系统中跨系统访问的第三方认证方法,该方法的核心思想是:采用通用的第三方认证系统的组网结构,当用户终端在登陆前通过应用服务器向归属服务器进行鉴权认证请求,归属服务器对用户认证授权,将获得的认证回复结果发至应用服务器,认证通过生成临时密码,应用服务器将认证结果和临时密码通知给用户终端,用户终端以临时密码发起登陆请求,应用服务器通过临时密码进行认证,无需通过归属服务器再进行第三方认证,当用户终端注销时,应用服务器清除临时密码;上述方法增强了应用服务器的性能和实时性,简化了应用服务器在第三方认证方面的开发。
根据上述的方法,本发明采用了如图1所示的通用第三方认证系统的组网结构,该系统包括通过网络20相连的一个用户终端(UE)10,即客户端,一应用服务器AS(Application Server)30,接口机IMP(Interface Machine)40和用户的归属服务器HSS 50;其中用户终端10,应用服务器30,接口机40以及归属服务器50分别通过网络20进行通信连接,用户终端,使用应用服务器提供的服务,用于向应用服务器发起认证请求,根据应用服务器提供的认证结果信息及临时密码,发起登陆请求;应用服务器,用于通过归属服务器对用户终端进行认证,并向用户终端返回认证结果及生成的临时密码;归属服务器,保存用户的详细信息,其中包括用户账号、密码等,用于为用户终端提供认证服务;接口机位于应用服务器和归属服务器之间,以此屏蔽应用服务器和归属服务器之间信令交互的细节,接口机用于接收来自于应用服务器的认证信息,根据认证类型和节点组成归属服务器鉴权消息体,将该认证信息转发给对应的归属服务器,并回复认证结果至应用服务器。应用服务器30和接口机40之间的接口可以是内部接口,这样保证了应用服务器的通用性和稳定性。
利用该系统,本发明采用了如图2所示的一种第三方认证的方法,其中该方法主要包括:第一步、客户端(用户终端(UE))正式登陆前向应用服务器发起第三方认证请求,服务器回复通知客户端其密码信息所在的归属服务器;第二步、客户端根据自身归属,生成认证信息并发送到应用服务器,同时应用服务器将认证信息传送到用户密码所在的归属服务器;第三步、归属服务器对用户认证授权,同时将认证结果通知给应用服务器,如果认证成功,应用服务器生成临时密码通知应用系统内其它认证节点,之后将认证结果和临时密码通知到客户端;第四步、客户端登陆或者使用应用服务的提供的业务,而此时在应用服务器的认证则使用应用服务器的临时密码,无需第三方认证;第五步、客户端注销时应用服务器清除临时密码。
下面根据本发明的信令交互流程图对本发明的方法具体步骤进行详细的描述,该流程描述了用户终端UE和应用服务器AS交互的信令流程,应用服务器AS和接口机交互流程,以及接口机和用户归属服务器交互信令流程;为便于表述,用户终端UE和应用服务器AS之间的信息传送以XCAP协议(XML配置访问协议,Extensible Markup Language Configuration AccessProtocol),接口机和归属服务器HSS之间的信息传送以SOAP协议(简单对象访问协议,Simple Object Access Protocol)为例描述本专利的第三方认证流程,但并不仅限于此,其中:
步骤201、用户终端UE将要使用应用服务器AS所提供的某种服务或者业务功能,首先发起第三方认证请求到应用服务器,XML配置访问协议请求的AUID(Application Unique ID)为标识符remote-auth;
步骤202、应用服务器AS获取用户所属的归属服务器类别,即获取用户终端UE的认证类型和节点;
步骤203、根据所获取的信息,通过扩展的HTTP的401消息通知用户终端UE,所获取的信息包括:归属服务器的类别、私钥、Random随机码,以及将以何种加密算法进行密码的加密等信息;
步骤204、用户终端UE根据应用服务器AS的返回归属服务器的类别、私钥、随机码等信息计算得到响应码(Response Code)和认证码(Authenticator),响应码是用户的密码、帐号和随机码等信息计算出的认证信息;归属服务器HSS用保存在其内的用户密码、帐号和随机码(随机码是AS请求消息中包含的)等信息使用相同的算法计算出认证信息,两个认证信息相同则用户认证通过;响应码是经过加密的密码;
认证码,应用服务器AS发送到归属服务器HSS的认证消息中包含:帐号、响应码、请求ID(标示符)等信息,为防止这些信息被恶意修改或者在网络传输时出错,将计算出的这些信息的一个摘要作为认证码。
根据归属服务器的类别、私钥、随机码等信息计算得到响应码和认证码是本领域技术人员熟知的技术,此处不再描述;
出于减轻应用服务器负担的考虑,认证码可由客户端实现;
步骤205、用户终端UE再次发起第三方认证请求到应用服务器AS,所述的请求是带有响应码和认证码的第三方认证请求
步骤206、应用服务器AS将认证信息以及用户终端UE的归属服务器等信息透传到接口机;如果用户终端UE为本系统用户,则直接回复200OK,用户终端UE将以用户输入的用户名和密码登陆;
步骤207、接口机根据用户的归属服务器类别和认证接口规范,组成相应的第三方认证SOAP(简单对象访问协议)消息,即组成归属服务器鉴权消息体;
步骤208、将认证消息发送到对应的归属服务器;
步骤209、归属服务器收到认证信息,对用户进行认证授权;
步骤210、归属服务器将认证结果通知发送方,即接口机;
步骤211、接口机收到归属服务器回复的用户认证结果,并对认证结果进行翻译(不同的归属服务器认证结果码存在差异,由接口机翻译成统一的结果),同时将回复认证结果通知到应用服务器;由于应用服务器AS面对的归属服务器HSS可能有很多个,对于认证结果不同的归属服务器HSS表示方式不尽相同;对于认证通过、密码错误、用户不存在、认证码错误等结果,接口机统一的翻译为统一的结果(举例如下):0:认证通过;-3:密码错误;-5帐号不存在;-100:其它错误;
步骤212、应用服务器收到客户端的认证结果,如果认证通过则生成临时密码;
步骤213、应用服务器回复认证结果、临时密码、临时帐号(如果应用服务器和归属服务器之间的帐号形式存在差异,则需要分配临时帐号)等信息给用户终端UE,并且出于安全的考虑可以对临时密码进行加密,根据安全的等级可以使用Base64、DES、3DES等加密算法;如果应用服务器AS系统内包含多个认证节点,则将该用户的帐号和密码通知该系统内所有认证节点;
步骤214:用户终端UE以临时帐号、临时密码登陆到应用服务器,开始使用该应用服务器的功能;
步骤215、用户终端注销;
步骤216、应用服务器和系统内其它认证节点清除临时密码。
本发明用户终端在开发时,无须知道用户登录时帐号和密码等信息具体归属于那个归属服务器HSS,只需知道所有可能的归属服务器和认证算法即可,增加客户端版本的统一性;应用服务器AS和用户终端UE之间的第三方认证接口的规范化,也简化了应用服务器在第三方认证方面的开发;同时该系统在接口中增加了接口机,屏蔽了应用服务器和归属服务器之间的多样认证接口,增强了应用服务器的稳定性和通用性。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。
机译: 在通信系统中实现跨系统访问的第三方认证的方法和系统
机译: 基于无线局域网
机译: 在通信系统中将数据内容与权限对象相关联并提供条件访问系统以实施一种方法的方法,流程的接收设备以获得对加密数据流的条件访问,计算机程序产品和D传输产生的一种方法。