技術領域

一般來說，本發明涉及嘗試訪問在通信網絡中提供的服務的用戶 的認證。具體來說，本發明涉及集成服務訪問的不同基礎設施的網絡 中的認證。

背景技術

在電信系統中，用戶必須使用網絡認證的某種方法進行認證，以 便訪問電信網絡。3GPP已經標準化認證和密鑰協議架構(AKA)，其中 用戶設備(UE)和網絡功能性共享作為認證的基礎的公共密鑰。密鑰在 預訂網絡服務時被管理，優選地存儲在安全卡(例如SIM卡)上。

此外，請求訪問網絡服務的用戶必須再次向服務進行認證，例如 以便建立計費的基礎。本領域常見的是將服務提供商與終端用戶之間 的置信基于共享安全密鑰。因此，在管理這類密鑰中存在相當大的問 題，這將妨礙新服務的開發和提供。

為了糾正密鑰管理問題，3GPP已經開發了通用引導架構(GBA)。 基本上，網絡認證方法在引導過程(bootstrapping?procedure)中再使用， 以便創建作為用于生成與網絡服務相關的其它密鑰的基礎的通用密 鑰。因此，實現網絡服務并且屬于特定運營商網絡的網絡應用功能 (NAF)可與網絡“引導服務器功能”(BSF)進行通信，以便接收與NAF 實體相關的會話密鑰。實現與網絡相同的認證方法的用戶設備UE可 得出相同的通用密鑰，并且從其中得出相同的會話密鑰。

因此，引導過程(例如GBA引導)提供可相對網絡運營商所提供的 服務來使用的便捷密鑰管理。在本文檔的其余部分，這類服務將稱作 內部服務。通過建立使漫游用戶UE建立與漫游網絡中網絡服務共享 的密鑰成為可能的互信模型(inter?trust?model)，以上所述的密鑰管理過 程的域可擴展成結合不同的網絡運營商域。

GBA描述用于來自3GPP?AKA機制(3GPP?TS?33.220通用引導架 構)的應用安全性的引導認證和密鑰協議的機制和安全特征。GBA架 構實現向用戶設備UE和網絡應用功能NAF分發共享秘密。GBA意味 著例如“歸屬訂戶服務器”(HSS)和“訂戶定位符功能”(SLF)等某些 網絡實體的修改，并且引入實現密鑰管理功能性的新元素“引導服務 器功能”(BSF)。

3GPP還開發演進GBA基礎設施“通用認證架構”(GAA)，將GBA 的范圍擴展到包括終端用戶與應用之間的附加認證過程(3GPP?TR 33.919通用認證架構)。運營商強調其中通過http代理部署GBA/GAA 的結構。TS?33.222規定認證代理(AP)，它被定義為代表一個或多個應 用服務器作為UE的NAF實體進行操作的反向http代理。認證代理 AP的使用是有利的，例如提供：

-降低的認證矢量(AV)消耗和同步故障

-使應用服務器(AS)免于執行安全任務(AP處理用于向UE的安 全傳輸和用戶認證的TLS協議)

-應用服務器對SSO的感知(perception)。

只要GBA基礎設施提供對內部服務的便捷訪問，則存在通過公共 網絡(例如因特網)所提供的增長數量的服務。這種類型的服務將稱作 外部服務。

為了影響(leverage)公共網絡中的置信關系，自由聯盟聯合會已經 開發了提供單點登入(SSO)和會話管理的基礎設施(自由聯盟身份聯合 框架(ID-FF))。基本上，用戶應當僅需要向聯合提供商的網絡內的任一 個服務提供商(SP)認證一次。身份提供商(IdP)保存與作為該聯合的成 員的所有服務提供商有關的信息。IdP根據來自通過假名(pseudonym) 所標識的用戶的請求來斷言用戶已經向指定SP進行認證。被訪問的 SP檢驗該斷言，并且允許服務訪問。

自由聯盟聯合會致力于開發聯合網絡身份的開放標準，從而為企 業、政府、員工和消費者提供控制身份信息的更便捷且安全的方式。 它是推動使用電子商務和個性化數據服務以及基于Web的服務的關鍵 組成部分。

ID-FF框架引起作為身份提供商IdP的商業角色中的移動運營商 的極大關注。因此，移動運營商使用標準協議來實現SSO，以便于與 外部服務提供商SP的互通性(interoperability)。

在一種情況下，移動運營商提供對外部服務的WAP訪問。為此， 自由聯盟引入設置在身份提供商域中并且通常在WAP網關或HTTP 代理內部運行的稱作“自由使能代理”(Liberty-Enabled?Proxy，LEP)的 實體。