技術領域

本發明涉及通信領域，具體而言，涉及一種單點登錄方法及系統。

背景技術

在統一IP多媒體子系統(IP?multimedia?subsystem，簡稱為IMS)的終端(User?Equipment，簡稱為UE)認證過程和實現單點登錄(Single?Sign-On，簡稱為SSO)的過程中，現存有3種場景：

1，IMS?UE內具有通用集成電路卡(Universal?Integrated?Circuit?Card，簡稱為UICC)，并且網絡運營商已部署了通用認證機制(General?Bootstrapping?Architecture，簡稱為GBA)的情形：此時可以利用GBA認證機制同自由聯盟(Liberty?Alliance)/開放式身份識別(OpenID)結合實現單點登錄以及與現有的其它SSO機制實現互通。在這種場景下，為了實現SSO，運營商會部署大量的GBA，同時為每個IMS?UE內嵌入UICC卡，利用GBA和UICC卡內信息完成對IMS終端訪問應用服務器的SSO功能。

2，IMS?UE內具有UICC卡，但是運營商不能部署GBA的情形：這種情況下需要對UE終端用戶進行認證，實現該IMS終端對AS應用服務器的SSO功能時，多采用認證和密鑰協商(Authentication?and?Key?Agreement，簡稱為AKA)/OpenID相結合的方案。具體如下：

IMS?UE向應用服務器(Application?Server，簡稱為AS，也稱RP)發送一個認證請求，該請求中包含OpenID標識符；RP利用該OpenID標識符發現OpenID身份提供者(OpenID?Provider，簡稱為OP)的最終統一資源定位符(Uniform/Universal?Resource?Locater，簡稱為URL)，并重定向用戶認證請求到達該URL；OP從歸屬用戶寄存器(Home?Subscriber?Server，簡稱為HSS)取得AKA認證向量以及基于IP多媒體私有用戶標識(IP?Multimedia?Private?Identity，簡稱為IMPI)的用戶終端信息內容；OP使用AKA認證方法向UE發送一個認證挑戰，使得UE對該網絡進行認證；UE對挑戰向OP發送一個響應，在OP中完成對UE的認證；OP向UE發送一個宣稱OpenID標識符屬于該終端的標記信息斷言，該斷言被OP使用OP與RP的共享密鑰(密鑰可能是OP與RP的共享密鑰，也可能是OP自身的密鑰)標記；重定向該斷言到達RP；若利用的為OP與RP共享密鑰，則RP直接驗證簽名信息，并通知UE驗證結果。若使用的是OP自身密鑰加密，則RP把該斷言的復本傳送到OP進行驗證，OP驗證后將驗證結果通知給RP，最后RP再將驗證結果通知給UE。

該架構能夠使得網絡運營商作為OpenID?provider為用戶訪問WEB服務器提供身份驗證的服務功能。對保存有ISIM(IMS中的身份識別)的應用程序，用戶可以提供跨IMS和web服務器等實現對其的SSO功能。允許用戶在WEB上控制他們的公共身份標識符。用戶通過訪問信任的網絡運營商控制的WEB應用程序，可以提高用戶自身信息的安全性。

3，IMS?UE不具有UICC卡，并且運營商也未部署GBA的情形：隨著非UICC卡終端接入IMS網絡的增多，這種情形出現的概率越來越大，并且在未部署GBA和非UICC卡情形下，用戶也常常需要訪問IMS網絡和使用與IMS相關的應用服務，這種情況下，基于非UICC的IMS-SSO認證變得非常有必要。但是，相關技術中尚未提出在這種場景下如何進行SSO功能。

綜上所述，相關技術中，只有具有UICC卡的終端才能實現SSO功能，進而訪問IMS網絡中的各種應用服務，且大多數情況需要網絡運營商大量部署GBA，這樣將增加運營商的投入成本；而不具有UICC卡的終端將不能利用已有架構方案實現對IMS網絡中相關應用服務的SSO功能。

發明內容

本發明的主要目的在于提供一種單點登錄方法及系統，以至少解決上述問題。

本發明提供了一種單點登錄方法，包括：終端向應用服務器RP發送服務請求：所述RP獲取認證中心地址，將自身的認證請求通過所述終端重定向到所述認證中心，或者，所述RP向所述終端返回用于指示所述終端向所述認證中心進行認證的響應；

所述終端向所述認證中心發送認證請求；

所述認證中心使用會話初始協議摘要認證SIP?Digest方式對所述終端進行認證，將認證結果通過所述終端重定向到所述RP；